LDAP和Active Directory有什么区别?


418

LDAP和Active Directory有什么区别?

Answers:


462

Active Directory是基于数据库的系统,可在Windows环境中提供身份验证,目录,策略和其他服务

LDAP(轻型目录访问协议)是一种应用协议,用于查询和修改目录服务提供者(如Active Directory)中的项目,该服务支持LDAP形式。

简短的答案:AD是目录服务数据库,而LDAP是您可以用来与之交谈的协议之一。


111

LDAP是标准,AD是Microsoft的(专有)实现(以及更多)。维基百科上有一篇很好的文章,专门研究了细节。我从LDAP角度对本文档进行了非常详细的评估。


20
感谢您的链接。PDF文档虽然内容丰富,但似乎传达了对Microsoft的负面情绪。虽然我认为事实陈述是正确的,但我发现语气分散了注意力,这听起来听起来不太客观。只是我的2美分。
Mark Bennett 2012年

7
并不是一个确切的答案。LDAP是访问目录服务器的协议,而Microsoft AD是目录服务器的实现。
Daniel Baktiar

7
@Mark:在欧洲,尤其是在德国,反微软情绪很普遍,这应该作为您对该文档的解释。
cdonner 2013年

@MarkBennett从我的(非常快速的)阅读看来,他们的结论似乎是LDAP存在安全问题,并且受到政治议程的推动,该议程是利益而不是安全驱动的。我认为使用“负面语气”一词是一种轻描淡写的说法,但是,是的,韦恩·沃纳(Wayne Werner)这就是为什么我还要阅读该文档!
2015年

41

轻型目录访问协议或LDAP是用于与目录数据进行交互的基于标准的规范。目录服务可以实现对LDAP的支持,以提供第三方应用程序之间的互操作性。

Active Directory是Microsoft对目录服务的实现,除其他协议外,该目录服务还支持LDAP查询其数据。

虽然Active Directory支持LDAP,但它提供了许多扩展和便利,例如密码到期和帐户锁定。


30

简短的摘要

Active Directory是由Microsoft实现的目录服务,它支持Lightweight Directory Access Protocol(LDAP)。

长答案

首先,需要知道什么 Directory Service

目录服务是一种软件系统,用于存储,组织和提供对计算机操作系统目录中信息的访问。在软件工程中,目录是名称和值之间的映射。它允许查找命名值,类似于字典。

有关更多详细信息,请阅读https://en.wikipedia.org/wiki/Directory_service

其次,可以想象,不同的供应商实现了各种形式的目录服务,这不利于多供应商的互操作性。

第三,因此在1980年代,ITU和ISO提出了一套用于目录服务的标准-X.500,最初是为了支持运营商间电子消息传递和网络名称查找的要求。

第四,因此,基于此标准,开发了轻型目录访问协议LDAP。它使用TCP / IP堆栈和X.500目录访问协议(DAP)的字符串编码方案,从而使其在Internet上具有更大的相关性。

最后,基于此LDAP / X.500堆栈,Microsoft为Windows实现了现代的目录服务,该服务源自X.500目录,该目录是为在Exchange Server中使用而创建的。这个实现叫做Active Directory

简而言之,Active Directory是Microsoft实现的目录服务,它支持Lightweight Directory Access Protocol(LDAP)。

PS [0]:此答案大量复制了上面列出的维基百科页面的内容。

PS [1]:要了解为什么最好使用目录服务而不是仅使用关系数据库,请阅读https://en.wikipedia.org/wiki/Directory_service#Comparison_with_relational_databases


26

Active Directory不仅是Microsoft的LDAP实现,而且只是AD的一小部分。Active Directory是(以过于简化的方式)提供基于LDAP的身份验证和基于Kerberos的授权的服务。

当然,它们在AD中的LDAP和Kerberos实施与其他LDAP / Kerberos实施并非完全100%互操作...


24

活动目录是目录服务提供商,您可以在其中向目录添加新用户,删除或修改,指定特权,分配策略等。就像电话目录中每个人都有唯一的联系电话一样。AD(Active Directory)中的所有事物都被视为对象,并且为每个对象赋予唯一ID(类似于电话目录中的唯一联系人号码)。

Ldap是专门为目录服务提供商设计的协议。Windows服务器操作系统使用AD作为目录服务器,IBM的UNIX版本AIX使用Tivoli目录服务器。它们都使用LDAP协议与目录进行交互。

除了协议外,还有LDAP服务器和LDAP浏览器。


5

活动目录是用于存储基于组织的数据,策略,身份验证等的目录服务数据库,而ldap是用于与ad或adam的目录服务数据库进行通信的协议。


5

LDAP位于TCP / IP堆栈的顶部,并控制Internet目录访问。它与环境无关。

AD&ADSI是围绕LDAP层的COM包装,并且特定于Windows。

您可以在此处查看Microsoft的说明 。


微软的解释有问题。Quote:Microsoft提供了Active Directory服务接口(ADSI),用于开发客户端目录服务应用程序。ADSI由目录服务模型和一组COM接口组成。这些接口允许开发网络目录服务访问应用程序。ADSI使用LDAP提供程序与Active Directory通信。ADSI还可以访问Novell NetWare目录服务。ADSI可以使用其本地提供程序与各种目录服务进行通信。--------- NetWare是相对于AD还是LDAP?
pashute

NDS是Netware使用的目录协议。实际上,有NDS的ADSI提供程序。 msdn.microsoft.com/en-us/library/aa772204(v=vs.85).aspx
jwilleke 2015年

AD是服务器。ADSI是COM包装器。NDS是一种产品,它使用LDAP。@jwilleke
洛恩侯爵,

3

https://jumpcloud.com/blog/difference-between-ldap-and-active-directory/

实际上,两个目录解决方案之间的差异可能比相似之处更多。Microsoft的AD主要是Windows用户,设备和应用程序的目录。AD要求提供一个Microsoft域控制器,当存在时,用户便可以单点登录到域结构中的Windows资源。

另一方面,LDAP主要在Windows结构之外工作,重点是Linux / Unix环境和更多技术应用程序。LDAP没有相同的域或单点登录概念。LDAP主要通过开源解决方案实现,因此比AD具有更大的灵活性。

LDAP和Active Directory之间的另一个关键区别是AD和LDAP如何分别处理设备管理。AD通过和组策略对象(GPO)管理Windows设备。LDAP中不存在类似的概念。LDAP和AD都是完全不同的解决方案,因此许多组织必须利用两者来满足不同的目的。

这就是为什么有明显的创新机会的原因。当一个系统可以有效地合并两个系统时,为什么要利用和管理两个完整的系统呢?


0

有许多支持LDAP的系统可以与之通信,而不仅仅是Active Directory。

Sun,IBM,Novell都具有作为LDAP服务器非常有效的目录服务。


0

Active Directory是LDAP协议的超集。根据组织使用Active Directory的方式,您的LDAP搜索/设置查询可能会起作用,也可能不会起作用。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.