LDAP和Active Directory有什么区别？

418

active-directory ldap

— 淡蓝色
source

462

Active Directory是基于数据库的系统，可在Windows环境中提供身份验证，目录，策略和其他服务

LDAP（轻型目录访问协议）是一种应用协议，用于查询和修改目录服务提供者（如Active Directory）中的项目，该服务支持LDAP形式。

简短的答案：AD是目录服务数据库，而LDAP是您可以用来与之交谈的协议之一。

— 约翰·福克斯
source

111

LDAP是标准，AD是Microsoft的（专有）实现（以及更多）。维基百科上有一篇很好的文章，专门研究了细节。我从LDAP角度对本文档进行了非常详细的评估。

— 唐纳
source

20

感谢您的链接。PDF文档虽然内容丰富，但似乎传达了对Microsoft的负面情绪。虽然我认为事实陈述是正确的，但我发现语气分散了注意力，这听起来听起来不太客观。只是我的2美分。

— Mark Bennett 2012年

7

并不是一个确切的答案。LDAP是访问目录服务器的协议，而Microsoft AD是目录服务器的实现。

— Daniel Baktiar

7

@Mark：在欧洲，尤其是在德国，反微软情绪很普遍，这应该作为您对该文档的解释。

— cdonner 2013年

@MarkBennett从我的（非常快速的）阅读看来，他们的结论似乎是LDAP存在安全问题，并且受到政治议程的推动，该议程是利益而不是安全驱动的。我认为使用“负面语气”一词是一种轻描淡写的说法，但是，是的，韦恩·沃纳（Wayne Werner）这就是为什么我还要阅读该文档！

— 2015年

41

轻型目录访问协议或LDAP是用于与目录数据进行交互的基于标准的规范。目录服务可以实现对LDAP的支持，以提供第三方应用程序之间的互操作性。

Active Directory是Microsoft对目录服务的实现，除其他协议外，该目录服务还支持LDAP查询其数据。

虽然Active Directory支持LDAP，但它提供了许多扩展和便利，例如密码到期和帐户锁定。

— 艾伦
source

30

简短的摘要

Active Directory是由Microsoft实现的目录服务，它支持Lightweight Directory Access Protocol（LDAP）。

长答案

首先，需要知道什么 Directory Service。

目录服务是一种软件系统，用于存储，组织和提供对计算机操作系统目录中信息的访问。在软件工程中，目录是名称和值之间的映射。它允许查找命名值，类似于字典。

有关更多详细信息，请阅读https://en.wikipedia.org/wiki/Directory_service

其次，可以想象，不同的供应商实现了各种形式的目录服务，这不利于多供应商的互操作性。

第三，因此在1980年代，ITU和ISO提出了一套用于目录服务的标准-X.500，最初是为了支持运营商间电子消息传递和网络名称查找的要求。

第四，因此，基于此标准，开发了轻型目录访问协议LDAP。它使用TCP / IP堆栈和X.500目录访问协议（DAP）的字符串编码方案，从而使其在Internet上具有更大的相关性。

最后，基于此LDAP / X.500堆栈，Microsoft为Windows实现了现代的目录服务，该服务源自X.500目录，该目录是为在Exchange Server中使用而创建的。这个实现叫做Active Directory。

简而言之，Active Directory是Microsoft实现的目录服务，它支持Lightweight Directory Access Protocol（LDAP）。

PS [0]：此答案大量复制了上面列出的维基百科页面的内容。

PS [1]：要了解为什么最好使用目录服务而不是仅使用关系数据库，请阅读https://en.wikipedia.org/wiki/Directory_service#Comparison_with_relational_databases

— 鲍勃
source

26

Active Directory不仅是Microsoft的LDAP实现，而且只是AD的一小部分。Active Directory是（以过于简化的方式）提供基于LDAP的身份验证和基于Kerberos的授权的服务。

当然，它们在AD中的LDAP和Kerberos实施与其他LDAP / Kerberos实施并非完全100％互操作...

— 布莱恩·瑞贝因（Bryan Rehbein）
source

24

活动目录是目录服务提供商，您可以在其中向目录添加新用户，删除或修改，指定特权，分配策略等。就像电话目录中每个人都有唯一的联系电话一样。AD（Active Directory）中的所有事物都被视为对象，并且为每个对象赋予唯一ID（类似于电话目录中的唯一联系人号码）。

Ldap是专门为目录服务提供商设计的协议。Windows服务器操作系统使用AD作为目录服务器，IBM的UNIX版本AIX使用Tivoli目录服务器。它们都使用LDAP协议与目录进行交互。

除了协议外，还有LDAP服务器和LDAP浏览器。

— 施里肯斯
source

5

活动目录是用于存储基于组织的数据，策略，身份验证等的目录服务数据库，而ldap是用于与ad或adam的目录服务数据库进行通信的协议。

— 曼西
source

5

LDAP位于TCP / IP堆栈的顶部，并控制Internet目录访问。它与环境无关。

AD＆ADSI是围绕LDAP层的COM包装，并且特定于Windows。

您可以在此处查看Microsoft的说明。

— D3vtr0n
source

微软的解释有问题。Quote：Microsoft提供了Active Directory服务接口（ADSI），用于开发客户端目录服务应用程序。ADSI由目录服务模型和一组COM接口组成。这些接口允许开发网络目录服务访问应用程序。ADSI使用LDAP提供程序与Active Directory通信。ADSI还可以访问Novell NetWare目录服务。ADSI可以使用其本地提供程序与各种目录服务进行通信。--------- NetWare是相对于AD还是LDAP？

— pashute

NDS是Netware使用的目录协议。实际上，有NDS的ADSI提供程序。 msdn.microsoft.com/en-us/library/aa772204(v=vs.85).aspx

— jwilleke 2015年

AD是服务器。ADSI是COM包装器。NDS是一种产品，它使用LDAP。@jwilleke

— 洛恩侯爵，

3

https://jumpcloud.com/blog/difference-between-ldap-and-active-directory/

实际上，两个目录解决方案之间的差异可能比相似之处更多。Microsoft的AD主要是Windows用户，设备和应用程序的目录。AD要求提供一个Microsoft域控制器，当存在时，用户便可以单点登录到域结构中的Windows资源。

另一方面，LDAP主要在Windows结构之外工作，重点是Linux / Unix环境和更多技术应用程序。LDAP没有相同的域或单点登录概念。LDAP主要通过开源解决方案实现，因此比AD具有更大的灵活性。

LDAP和Active Directory之间的另一个关键区别是AD和LDAP如何分别处理设备管理。AD通过和组策略对象（GPO）管理Windows设备。LDAP中不存在类似的概念。LDAP和AD都是完全不同的解决方案，因此许多组织必须利用两者来满足不同的目的。

这就是为什么有明显的创新机会的原因。当一个系统可以有效地合并两个系统时，为什么要利用和管理两个完整的系统呢？

— Java开发者
source

0

有许多支持LDAP的系统可以与之通信，而不仅仅是Active Directory。

Sun，IBM，Novell都具有作为LDAP服务器非常有效的目录服务。

— Geoffc
source

0

Active Directory是LDAP协议的超集。根据组织使用Active Directory的方式，您的LDAP搜索/设置查询可能会起作用，也可能不会起作用。

— 科迪·雅克
source