Active
Directory Mạng máy tính
Nguyễn Thị Thu Huyền K54A - Khoa Cơng nghệ thơng tin - ĐHSPHN
5
Phần 1. Tổng quan Active Directory.
1. Giới thiệu.
Khi Windows 2000 được phát hành, Microsoft tích hợp một thành phần là Active
Directory. Khi máy chủ Windows sử dụng Windows 2000 Server, Windows Server
2003 hay Longhorn Server, cơng việc của domain controller (bộ điều khiển miền) là
chạy dịch vụ Active Directory.
Active Directory chính là trái tim của Windows Server 2003 , hầu như tất cả mọi
hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active
Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống
Active Directory dùng để lưu trữ dữ liệu của domain như các đối tượng user, computer,
group … cung cấp những dịch vụ (directory services) tìm kiếm, kiểm sốt truy cập, ủy
quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ
trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi
đăng nhập vào domain và có thể truy cập tất cả những tài ngun và dịch vụ chia sẽ của
hệ thống vói những quyền hạn hợp lệ.
Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ cơng
việc quản lý và nâng cao hiệu quả hoạt động, những cơng việc mà hầu như khơng thể
thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có
thể tiến hành một cách dễ dàng thơng qua mơ hình quản lý tập trung như đưa ra
các chính sách chung cho tồn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để
phân chia khả năng quản lý trong một mơi trường rộng lớn.
2. Những Thành Phần Chính Của Hệ Thống Active Directory
User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số tài
khoản built-in được tạo ra như Administrator là ngừơi có tồn quyền quản trị hệ thống,
backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ
thống mà khơng cần những quyền hạn hợp lệ đơi với những dữ liệu này. Tuy nhiên để
các nhân viên trong một tổ chức có thể sử dụng tài ngun và đăng nhập (log-in) vào
domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Active
Directory Mạng máy tính
Nguyễn Thị Thu Huyền K54A - Khoa Cơng nghệ thơng tin - ĐHSPHN
6
dụng. Các user sẽ dùng những tài khoản được cấp bởi administrator để log-in và
domain. Và truy cập dữ liệu trên file server hay các dịch vụ khác
Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ các
nhân viên của một phòng ban sale có quyền truy cập lên folder sales trên file server
hoặc chúng ta muốn các nhân viên của cơng ty đều có quyền in đối với laser printer,
chúng ta nên tạo group printing và gán quyền in trên laser printer sau đó add tất cả các
nhân viên của cơng ty vào group printing này thay vì gán quyền in cho từng user riêng
lẽ sẽ khơng hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thao
tác chung, mặc định tất cả các user được tạo ra đều thuộc group này).
OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì
chúng ta khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng ban, bộ
phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí
như phòng ban Sales sẽ có một OU Sales và trong OU này chứa group sales, group
sales sẽ bao gồm tất cả những thành viên của phòng ban sale, và những user này cũng
được đặt trong OU Sales cùng với group sales. Như vậy chúng ta cần phải phân biệt rõ
group sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU được dùng để
quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phòng ban
sales trong mơi trường thật được cài đât tự động MS OfficeXP hay update những bản vá
nào khi đăng nhập hệ thống thì chúng ta phải tương tác qua OU. Nhưng rõ ràng chúng
ta khơng thể quản lý về quyền hạn truy cập của các user này bằng OU, chính vì vậy
chúng ta cần phải tạo ra các group và gán quyền thơng qua những group này. Đó là
những khác biệt cơ bản nhất mà chúng ta cần phân biệt
3. Schema Master
Active Directory khơng thực sự là một thứ gì ngồi cơ sở dữ liệu, cũng giống như
cơ sở dữ liệu khác, Active Directory có một giản đồ. Tuy nhiên lại khơng giống như các
cơ sở dữ liệu khác, giản đồ của Active Directory khơng phải giản đồ tĩnh. Có một số
hoạt động cần thiết mở rộng giản đồ. Ví dụ, việc cài đặt Exchange Server cần giản đồ
Active Directory để được mở rộng. Bất kỳ thời điểm nào diễn ra sự thay đổi giản đồ
Active Directory thì những thay đổi đó cũng được áp dụng cho Schema Master.
Schema Master là một thành phần rất quan trọng của các FSMO role, vì vậy
Microsoft để ẩn nó khơng cho nhìn thấy. Nếu cần phải tìm máy chủ nào đang cấu hình
Schema Master role thì ta phải đưa đĩa CD cài Windows Server 2003 và kích đúp vào
file ADMINPAK.MSI trong thư mục I386. Khi thực hiện điều đó, Windows sẽ khởi
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Active
Directory Mạng máy tính
Nguyễn Thị Thu Huyền K54A - Khoa Cơng nghệ thơng tin - ĐHSPHN
7
chạy Administration Tools Pack Setup Wizard. Theo cửa sổ wizard để cài đặt gói các
cơng cụ quản trị.
Khi q trình cài đặt được hồn tất, ta đóng Setup wizard và mở Microsoft
Management Console bằng cách nhập vào dòng lệnh MMC trong cửa số lệnh RUN. Khi
cửa sổ được mở, chọn Add/Remove từ menu File. Sau khi chọn xong, cửa sổ sẽ hiển thị
trang thuộc tính của thành phần Add/Remove. Kích chuột vào nút Add để xuất hiện một
danh sách có sẵn các mơ đun. Chọn mơ đun Active Directory Schema trong danh sách
và kích vào nút Add, sau đó nhấn Close và nút OK.
Bây giờ mơ đun đã được tải ra, kích chuột phải vào Active Directory Schema và
chọn Operations Master từ menu chuột phải. Một hộp thoại sẽ xuất hiện, hộp thoại này
thơng báo cho ta biết rằng máy chủ nào đang cấu hình với tư cách là Schema Master
của forest.
3.1 Domain Naming Master
Một rừng Active Directory có thể gồm nhiều miền. Việc kiểm tra các miền này là
cơng việc của Domain Naming Master. Nếu Domain Naming Master bị lỗi thì nó khơng
thể tạo và gỡ bỏ các miền cho tới khi Domain Naming Master quay trở lại trực tuyến.
Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho một
forest, mở Active Directory Domains and Trusts, khi cửa sổ này được mở, kích chuột
phải vào Active Directory Domains and Trusts và chọn Operations Masters. Sau khi
chọn xong, Windows sẽ hiển thị Domain Naming master.
3.2 Relative Identifier (Bộ nhận dạng quan hệ)
Active Directory cho phép quản trị viên tạo các đối tượng Active Directory trên
bất kỳ bộ điều khiển miền nào. Mỗi một đối tượng phải có một số hiệu nhận dạng quan
hệ duy nhất để ngăn chặn các bộ nhận dạng quan hệ khỏi bị giống nhau, Relative
Identifier Master chỉ định một nhóm bộ nhận dạng quan hệ cho mỗi một điều khiển
miền. Khi một đối tượng mới được tạo trong một miền, bộ điều khiển miền mà đối
tượng đang tạo sẽ lấy một trong những bộ nhận dạng quan hệ của nó ra khỏi nhóm và
gán cho đối tượng. Khi một nhóm được khai thác hết thì bộ điều khiển miền phải liên
lạc với Relative Identifier Master để có thêm bộ nhận dạng quan hệ. Như vậy, triệu
chứng cuối cùng của Relative Identifier Master lỗi là hồn tồn bất lực trong việc tạo
các đối tượng trong Active Directory.
Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một
miền, hãy mở Active Directory Users and Computers. Khi cửa số này được mở, kích
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Active
Directory Mạng máy tính
Nguyễn Thị Thu Huyền K54A - Khoa Cơng nghệ thơng tin - ĐHSPHN
8
chuột phải vào danh sách miền hiện hành và chọn Operations Masters. Windows sẽ
hiển thị trang thuộc tính của Operations Masters. Trong cửa sổ này ta có thể chọn bộ
điều khiển miền nào đang thực hiện như bộ nhận dạng quan hệ bằng cách quan sát ở tab
RID của trang thuộc tính.
3.3 Primary Domain Controller Emulator
Role của PDC emulator được tạo để cho phép các bộ điều khiển miền Active
Directory cùng tồn tại với các bộ điều khiển miền Windows NT. Ý tưởng cơ bản ở đây
là khi một tổ chức đang nâng cấp từ Windows NT lên Windows 2000 hoặc Windows
Server 2003 thì PDC là bộ điều khiển miền đầu tiên được nâng cấp. Ở điểm này, bộ
điều khiển miền được nâng cấp gần đây hoạt động như một bộ điều khiển miền Active
Directory và một PDC cho các bộ điều khiển miền vẫn đang chạy Windows NT.
Role của PDC emulator ngày nay càng khơng liên quan nhiều hơn bởi vì rất ít các
tổ chức sử dụng Windows NT Server. Nếu ta cần chỉ định máy chủ nào trong miền đang
cấu hình role của PDC Emulator dù cho ta có thể thực hiện điều đó bằng cách mở
Active Directory Users and Computers. Khi cửa số này được mở, kích chuột phải vào
miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuột tính của
Operations Masters. Có thể xác định bộ điều khiển miền nào đang hành động như PDC
Emulator bằng cách quan sát tại tab PDC của trang thuộc tính.
3.4 Infrastructure Master
Trong mơi trường Active Directory, một forest có thể gồm nhiều miền. Các miền
Active Directory khơng hồn tồn mà các thực thể độc lập mà chúng đơi khi phải
truyền thơng với phần còn lại của forest. Đây chính là nơi mà Infrastructure Master diễn
ra. Khi tạo, thay đổi hoặc xóa một đối tượng bên trong một miền, sự thay đổi sẽ được
truyền một cách tự nhiên xun suốt miền. Vấn đề là phần còn lại của forest khơng biết
đến sự thay đổi này. Đây chính là cơng việc của Infrastructure Master, làm thế nào để
cho phần còn lại của forest biết được có sự thay đổi.
Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ khơng thể
nhìn thấy trong đường biên miền. Ví dụ, nếu đã đặt lại tên cho một tài khoản người
dùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các miền
khác trong forest.
Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master cho
một miền, mở Active Directory Users and Computers. Khi cửa số này được mở, ta kích
chuột phải vào danh sách miền hiện hành và chọn Operations Masters, Windows sẽ
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Active
Directory Mạng máy tính
Nguyễn Thị Thu Huyền K54A - Khoa Cơng nghệ thơng tin - ĐHSPHN
9
hiển thị trang thuộc tính của Operations Masters. Ta có thể xác định được bộ điều khiển
miền nào đang thực hiện với tư cách Operations Master bằng cách nhìn vào tab
Infrastructure của trang thuộc tính.
4. Cấu trúc.
Khơng có cơng cụ quản trị nào được sử dụng để quản lý Active Directory có thể
cho xem được tồn bộ cơ sở dữ liệu của Active Directory. Thay vì đó, Microsoft đã
cung cấp một số cơng cụ khác nhau tương ứng với một lĩnh vực cụ thể của cơ sở dữ
liệu. Với một quản trị viên, cơng cụ quản trị có thể sử dụng thường là Active Directory
Users and Computers console.
Có thể truy cập Active Directory Users and Computers console từ bộ điều khiển
miền của Windows Server 2003 bằng cách chọn Active Directory Users and
Computers từ menu Start / All Programs / Administrative Tools của máy chủ. Giao
diện của nó được thể hiện như những gì ta thấy trong hình 1.
Hình 1:Giao diện Active Directory Users and Computers là một cơng cụ
quản trị chính cho việc quản lý các đối tượng Active Directory.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Active
Directory Mạng máy tính
Nguyễn Thị Thu Huyền K54A - Khoa Cơng nghệ thơng tin - ĐHSPHN
10
Nếu nhìn vào hình thì ta sẽ thấy được rằng ở đây có một số thư mục lớn, mỗi một
thư mục này tương ứng với một loại đối tượng cụ thể. Mỗi đối tượng trong Active
Directory đều được gán một kiểu đối tượng (được biết đến như là lớp đối tượng).
Mỗi đối tượng cũng có một số thuộc tính liên quan. Các thuộc tính cụ thể thay
đổi phụ thuộc vào kiểu đối tượng.
Ví dụ, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành
các đối tượng người dùng như trong hình 2. Nếu kích chuột phải vào một trong các đối
tượng người dùng này và chọn Properties từ menu chuột phải thì ta sẽ thấy được trang
thuộc tính của đối tượng (như trong hình 3).
Hình 2: Thư mục Users chứa các tài khoản người dùng,
tất cả được phân loại thành các đối tượng người dùng.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Active
Directory Mạng máy tính
Nguyễn Thị Thu Huyền K54A - Khoa Cơng nghệ thơng tin - ĐHSPHN
11
Hình 3: Khi kích chuột phải vào một đối tượng người dùng và chọn
Properties thì ta sẽ thấy trang thuộc tính của người dùng.
Nếu nhìn vào hình 3 thì sẽ thấy rằng có một số trường thơng tin khác nhau như
tên, họ, số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng.
Mặc dù phần lớn các trường ở trong hình đều khơng phổ biến nhưng trong một số tình
huống thực thì các trường này có thể được sử dụng để tạo thư mục cộng tác. Trong thực
tế, nhiều ứng dụng được thiết kế để trích thơng tin trực tiếp từ Active Directory. Ví dụ,
Microsoft Exchange Server (sản phẩn e-mail server của Microsoft) tạo một danh sách
địa chỉ tồn cục dựa trên nội dung của Active Directory. Danh sách này được sử dụng
khi gửi các thơng báo email đến người dùng khác trong cơng ty.
Nếu nhìn vào hình 4, sẽ thấy được một màn hình, trong đó đã thực hiện một tìm
kiếm với tên Hershey, và Outlook đã trả tồn bộ danh sách địa chỉ tồn cục Global
Address List gồm có tên Hershey. Nếu nhìn vào phần kết quả của cửa sổ thì sẽ thấy
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Active
Directory Mạng máy tính
Nguyễn Thị Thu Huyền K54A - Khoa Cơng nghệ thơng tin - ĐHSPHN
12
được nơi mà Outlook hiển thị tiêu đề của người dùng, số điện thoại doanh nghiệp và vị
trí mà trường đó được phổ biến. Tất cả thơng tin này đều được lấy từ Active Directory.
Hình 4
Nếu muốn thấy các thơng tin chi tiết hơn về người dùng, hãy kích chuột phải vào
tên của người dùng và chọn Properties.Khi đó cửa sổ như hình 5 sẽ được hiển thị. Đây
khơng phải là một màn hình quản trị. Đơn giản đây chỉ là một màn hình mà bất kỳ
người dùng nào trong cơng ty cũng có thể truy cập trực tiếp thơng qua Outlook 2007 để
tìm thơng tin về các nhân viên khác.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Active
Directory Mạng máy tính
Nguyễn Thị Thu Huyền K54A - Khoa Cơng nghệ thơng tin - ĐHSPHN
13
Hình 5: Xem thơng tin Active Directory trực tiếp thơng qua Microsoft Outlook
Xét cho cùng thì Outlook là một sản phẩm của Microsoft, vì vậy nó chỉ tạo một
cảm giác rằng Outlook sẽ có thể lấy thơng tin từ Active Directory, một phần của một
sản phẩm khác của Microsoft. Tuy nhiên có rất nhiều người khơng nhận ra một điều, đó
là khá dễ dàng cho bất cứ ai có sự cho phép thích hợp để lấy thơng tin từ Active
Directory. Thực tế, có rất nhiều sản phẩm của nhóm thứ ba được thiết kế để tương tác
với Active Directory. Một trong số chúng có khả năng lưu dữ liệu trong các phần
Active Directory đặc biệt.
Active Directory được dựa trên một chuẩn đã biết. Active Directory được dựa
trên một chuẩn có tên gọi là X.500. Chuẩn này cơ bản là một cách chung chung trong
việc thực hiện dịch vụ thư mục. Microsoft khơng chỉ là một cơng ty tạo dịch vụ thư mục
dựa trên dịch vụ này mà Novell ban đầu cũng đã tạo dịch vụ thư mục NetWare
Directory Service trên chuẩn này.
Đây cũng là một cách trong việc truy cập vào thơng tin dịch vụ thư mục. Trong
mơi trường Active Directory, việc truy cập thơng tin thư mục liên quan đến việc sử
dụng Lightweight Directory Access Protocol (LDAP). Giao thức LDAP chạy trên phần
đỉnh của giao thức TCP/IP.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Active
Directory Mạng máy tính
Nguyễn Thị Thu Huyền K54A - Khoa Cơng nghệ thơng tin - ĐHSPHN
14
Giao thức LDAP là bất cứ tên nào được đặt cũng đều phải được phân biệt, bởi vì
khơng có gì là ít quan trọng về nó (nó quan trọng hơn giao thức truy cập thư mục gốc,
giao thức khơng được thiết kế để tận dụng ngăn xếp giao thức TCP/IP).
5. Tên
Mỗi đối tượng trong Active Directory đều được quy vào một tên phân biệt
(thường được viết tắt là DN). Tên phân biệt được dựa trên vị trí của đối tượng bên trong
thứ bậc thư mục. Có nhiều thành phần khác nhau trong tên phân biệt nhưng một số cái
chung là một tên chung (được viết tắt là CN) và một miền tên (viết tắt là DC). Ví dụ,
cho rằng miền Contoso.com gồm có một tài khoản có tên là User1 và tài khoản này
được định vị trong thư mục Users. Trong trường hợp như vậy, tên phân biệt của tài
khoản người dùng sẽ là:
CN=User1, CN=Users, DC=Contoso, DC=com
Các tên phân biệt khơng duy nhất có trong Active Directory. Microsoft đã xây
dựng Active Directory để lợi dụng các chuẩn cơng nghiệp được sử dụng bởi nhiều cơng
ty khác như Novell và IBM. Khi nghiên cứu về chúng, ta khơng chỉ có được sự chuẩn bị
tốt hơn cho việc quản lý Active Director mà còn có được một mức thân thiện nhất định
nếu như đã từng được u cầu làm việc với hệ điều hành mạng khơng phải của
Microsoft.
5.1 Các ngun tắc đặt tên cơ bản
Các tên phân biệt với nhau nhờ thuộc tính, các thuộc tính này được gán giá trị.
Mỗi một tên phân biệt thường gồm có nhiều cặp giá trị thuộc tính, ví dụ.
CN=User1, CN=Users, DC=Contoso, DC=com
Tên được tạo thành từ 4 cặp thuộc tính/ giá trị khác nhau, mỗi một cặp được phân
biệt với nhau bằng dấu phẩy. Cặp thuộc tính/ giá trị thứ nhất là CN=USER1. Trong cặp
này, CN (viết tắt cho Common Name) là thuộc tính và User1 là giá trị. Các thuộc tính
và giá trị ln ln phân biệt với nhau bởi dấu bằng (=), còn các cặp thuộc tính/ giá trị
được phân biệt với nhau bằng dấu phẩy (,).
5.2 Các tên phân biệt
Khi ta xem tên CN=User1, CN=Users, DC=Contoso, DC=com, mọi thứ trở thành
rõ ràng ngay lập tức. Nếu quan sát kỹ hơn tên phân biệt này có thể nhận ra rằng nó là hệ
có thứ bậc. Trong trường hợp riêng này, DC=com thể hiện mức cao của thứ bậc.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Không có nhận xét nào:
Đăng nhận xét