Embed Size (px)
Citation preview
ACTIVE DIRECTORY
I.TỔNG QUAN VỀ ACTIVE DIRECTORY.
Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đối tượng)
cũng như các thông tin liên quan đến các đối tượng đó. Active Directory cung cấp một mức
độ ứng dụng mới cho môi trường xí nghiệp. Dịch vụ thư mục trong mỗi domain có thể lưu
trữ hơn mười triệu đối tượng, đủ để phục vụ mười triệu người dùng trong mỗi domain.
II.CHỨC NĂNG CỦA ACTIVE DIRECTORY.
- Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và
các tài khoản máy tính.
- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản
lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển
vùng).
- Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong
mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.
- Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights)
khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown
Server từ xa…
- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con subdomain) hay các
đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị
viên bộ phận quản lý từng bộ phận nhỏ.
III.CẤU TRÚC CỦA ACTIVE DIRECTORY.
1.CẤU TRÚC LUẬN LÝ.
a.Objects.
Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object
classes và Attributes.
Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các loại đối tượng mà
bạn có thể tạo ra trong Active Directory. Có ba loại object classes thông dụng là: User,
Computer, Printer.
Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với một đối
tượng cụ thể. Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá
trị được gán cho các thuộc tính của object classes.
Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho
các thuộc tính của object classes. Ví dụ hình sau minh họa hai đối tượng là: máy in
ColorPrinter1 và người dùng KimYoshida.
b.Organizational Units
Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là một
vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho
mục đích quản trị của bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là
“một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công dụng chính sau:
Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị
mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ
đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống.
Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU
thông qua việc sử dụng các đối tượng chính sách nhóm (GPO)
c.Domain.
Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương
tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui
tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng
hơn. Domain đáp ứng ba chức năng chính sau:
Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một
tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ
liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác.
Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.
Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller),
đồng thời đảm bảo các thông tin trên các Server này được đồng bộ với nhau.
d.Domain Tree.
Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc
hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục.
Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con
(child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất
một domain con được tạo ra thì hình thành một cây domain.
e.Forest.
Forest là một thuật ngữ được đặt ra nhằm định nghĩa một mô hình tổ chức của AD, một
forest gồm nhiều domain trees có quan hệ với nhau, các domain trees trong forest là độc lập
với nhau về tổ chức, Một forest phải đảm bảo thoả các đặc tính sau:
Toàn bộ domain trong forest phải có một schema chia sẻ chung
Các domain trong forest phải có một global catalog chia sẻ chung
Các domain trong forest phải có mối quan hệ trust hai chiều với nhau
Các tree trong một forest phải có cấu trúc tên(domain name) khác nhau
Các domain trong forest hoạt động độc lập với nhau, tuy nhiên hoạt động của forest là
hoạt động của toàn bộ hệ thống tổ chức doanh nghiệp.
2.CẤU TRÚC VẬT LÝ.
a.Site.
Một site bao gồm một hay nhiều mạng con liên kết với nhau. Có thể cấu hình việc truy
xuất và tạo bản sao cho Active Directory hiệu quả nhất và lập ra một lịch cập nhật để không
ảnh hưởng đến thông lượng của mạng.
b.Domain Controllers.
Domain Controller là một máy tính hay server chuyên dụng được cài đặt Windows
Server và lưu trữ bản sao của Domain Directory (local domain database). Một domain có
thể có một hay nhiều domain controller, mỗi domain controller đều có bản sao dữ liệu của
Domain Directory. Domain Controller chịu trách nhiệm chứng thực cho users và chịu trách
nhiệm đảm bảo các chính sách bảo mật được thực thi. Các chức năng chính của domain
controller:
Mỗi domain controller lưu trữ các bản sao thông tin của Active Directory cho chính
domain đó, chịu trách nhiệm quản lí thông tin và tiến hành đồng bộ dữ liệu với các
domain controller khác trong củng một domain.
Domain Controller trong một Domain có khả năng tự động đồng bộ dữ liệu với các
domain controller khác trong cùng một domain. Khi bạn thực hiện một tác vụ đối với
thông tin lưu trữ trên domain controller, thì thông tin này sẽ tự động được đồng bộ hóa
đến các domain controller khác. Tuy nhiên để đảm bảo sự ổn định cho hệ thống mạng,
chúng ta cần phải có một chính sách hợp lí cho các domain trong việc đồng bộ hóa
thông tin dữ liệu với một thời điểm phù hợp.
Domain Controller tự động đồng bộ hóa ngay lập tức các thay đổi quan trọng đối với
cả Domain như disable một user account.
Active Directory sử dụng việc đồng bộ hóa dữ liệu theo cơ chế multimaster, nghĩa là
không có domain controller nào đóng vai trò là master cả, mà thay vào đó thì tất cả
domain controller đểu ngang hàng với nhau, mỗi domain controller lưu trữ một bản
sao của database hệ thống. Các domain controller lưu trữ các thông tin dữ liệu khác
nhau trong một khỏang thời gian ngắn cho đến khi thông tin các domain controller
trong hệ thống đều được đồng bộ với nhau, hay nói cách khác là thống nhất dữ liệu
cho toàn domain.
Mặc dù là Active Directory hỗ trợ hoàn toàn việc đồng bộ dữ liệu theo cơ chế
multimaster nhưng thực tế thì không phải lúc nào cũng theo cơ chế này (việc thực thi
không được cho phép ở nhiều nơi trong hệ thống mạng trong cùng một thời điểm).
Operations master roles là các roles đặc biệt được assigned với 1 hoặc nhiều domain
ontrollers khác để thực hiện đồng bộ theo cơ chế single-master, ta có thể dễ dàng nhận
thấy việc thực thi operations của multimaster là sự thực thi của nhiều single-master
đồng thời.
Hệ thống có nhiều hơn một domain hỗ trợ trong trường hợp dự phòng backup domain
controller, khi một domain controller có vấn đề xảy ra thì các domain sẽ tự động chạy
dự phòng, đảm bảo hệ thống luôn được ổn định.
Domain Controller quản lí các vấn đề trong việc tương tác với domain của users, ví dụ
xác định đối tượng trong Active Directory hay xác thực việc logon của user.
IV.CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY.
1.Active Directory Schema.
Trong Active Directory, database lưu trữ chính là AD Schema, Schema định nghĩa các
đối tượng được lưu trữ trong Active Directory. Nhưng Schema lưu trữ các đối tượng thế
nào? Thực chất, schema là một danh sách các định nghĩa xác định các loại đối tượng và các
loại thông tin về đối tượng lưu trữ trong Active Directory. Về bản chất, schema cũng được
lưu trữ như 1 object.
Schema được định nghĩa gồm 2 loại đối tượng (object) là schema class objects và schema
Attribute objects.
2.Global Catalog.
Global Catalog lưu trữ tất cả các object của miền chứa Global Catalog và một phần các
object thường được người dùng tìm kiếm của các domain khác trong forest.
Global catalog lưu trữ:
Những thuộc tính thường dùng trong việc truy vấn như user’s first name, last name,
logon name
Thông tin cần thiết để xác định vị trí của bất kỳ object nào trong active directory
Tập hợp các thuộc tính mặc định cho mỗi loại object
Quyền truy cập đến mỗi object
3.Global catalog server
Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin về tất cả các đối
tượng trong Active Directory. Phần lớn,global catalog là lưu trữ thông tin đó là các truy vấn
thường được sử dụng. Nói cách khác, nó chứa các thông tin cần thiêt để tìm các đối tượng
Một global catolog cần được tạo trong domain controller đầu tiên của rừng. Domain
controller này được gọi là Global Catalog Server. Một global catalog server duy trì một bản
copy đầy đủ cơ sở dữ liệu của Active Directory của domain điều khiển của nó. Nó duy trì
một phần copy của cơ sở dữ liệu Active Directory của domain khác trong rừng. Một Global
Catalog Server cũng xử lý các truy vấn được xây dựng trở lại và cho ra kết quả.
4.Distinguished và Relative Distinguished Name.
Distinguished name (DN): là tên để định danh đối tượng duy nhất trong Active Directory.
Relative distinguished name (RDN): là phần tên cũng chính là thuộc tính của đối tượng
Ví dụ:DN: CN=TaiTV,OU=KhoaCNTT,OU=HCM,DC=ispace,DC=vn
RDN: CN=TaiTV
5.Cơ chế Single Sign-on.
Mỗi user chỉ dùng 1 acount cho nhiều dịch vụ nhằm đơn giản hoá việc quản lý và sử
dụng.
V.CƠ CHẾ QUẢN LÝ ACTIVE DIRECTORY.
1.Tập trung.
Cho phép admin có thể quản trị tài nguyên tập trung
Cho phép admin có thể xác định thông tin của các object
Cho phép dùng chính sách nhóm để quản lý user
2.Phân tán.
Uỷ quyền quản lý cho quản trị viên khác
Quản trị hệ thống Active Directory quy mô lớn linh hoạt hơn
VI.CÔNG CỤ QUẢN LÝ ACTIVE DIRECTORY.
Những công cụ quản lý Active Directory thường cung cấp ở dạng Snap-in cho MMC
(Microsoft Management Console).
Active Directory users and Computer: quản trị người dùng, nhóm, máy tính, và đơn vị
tổ chức.
Active Directory and Trusts: dùng làm việc với vùng, hệ vùng phân cấp, tập hợp hệ
vùng phân cấp.
Active Directory Sites and Services : quản lý Site và mạng con.
VII.ACTIVE DIRECTORY DOMAIN & FOREST.
1.Forest & Domain function level
Forest và Domain Functional Level cung cấp cách để mỡ rộng các tính năng AD trên
phạm vi domain hoặc forest. Các cấp độ này phụ thuộc vào môi trường mạng. Yêu cầu sử
dụng những tính năng mới trên indows 2 .
2.Tạo Relationships
Trust Relationship cho phép người dùng trong domain này truy cập tài nguyên ở domain
khác. Một trust relationship trên window server bao gồm đặc tính :
Explicitly or Implicitly (tường minh hay ngầm định)
Explicitly trust là loại liên kết tường minh, do người quản trị thiết lập bằng tay. Ví
dụ như shortcut trust, external trust.
Implicitly trust là loại liên kết ngầm định, do hệ thống thiết lập tự động. Ví dụ như
parent/child trust, tree/root trust.
Transitive or Non-transitive (có tính bắc cầu hay không có tính bắc cầu)
Transitive trust là loại liên kết mà mối liên kết không chỉ giới hạn giữa hai domain
tham gia trực tiếp mà còn mở rộng ra những domain liên quan. Quan sát hình 1,
domain D trust trực tiếp domain E, còn domain E lại trust trực tiếp domain F và cả
hai đều là transitive trust thì domain D cũng trust gián tiếp domain F và ngược lại.
Transitive trust được hệ thống thiết lập tự động, một trong những ví dụ về loại trust
này là parent/child trust (liên kết giữa domain cha và domain con).
Non-transitive trust có tính chất ngược với transitive trust, loại liên kết này chỉ giới
hạn trong hai domain tham gia trực tiếp vào liên kết chứ không mở rộng ra các
domain liên quan với hai domain đó. Non-transitive trust không được hệ thống thiết
lập tự động. Ví dụ điển hình về non-transitive trust là external trust, liên kết giữa 2
domain thuộc 2 forest khác nhau.
Trust direction (chiều của liên kết)
Trong indows 2 , có loại trust direction: one-way incoming, one-way
outgoing, two-way. Ví dụ như trên hình 1, ta thấy trust relationship giữa domain B
và domain Q là một chiều (one-way). Đứng trên domain B, nếu ta thiết lập one-way
incoming trust thì các đối tượng trên domain B sẽ được chứng thực trên domain Q;
còn nếu ta thiết lập one-way outgoing trust thì các đối tượng trên domain Q sẽ được
chứng thực trên domain B. Cuối cùng, nếu ta thiết lập two-way trust thì các đối tược
trên cả hai domain sẽ được chứng thực trên domain đối phương.
Trên indows 2 thì liên kết trust chỉ có one-way và non-transitive. Do vậy, để
tạo ra liên kết cho một hệ thống lớn, người quản trị cần thiết lập và quản lý nhiều
trust relationship. Bắt đầu từ indows 2 thì trust relationship có đặc tính trên
đã đơn giản hóa công việc và giảm thiểu nhiều công sức quản lý cho người quản trị.
Các loại Trust :
Shortcut: được người quản trị thiết lập giữa hai domain trong cùng một forest đê
nhầm giảm bớt các bước chứng thực cho các đối tượng .sử dụng trong quá trình
chứng thực bằng giao thức Kerberos v .
Forest: được người quản trị thiết lập giữa hai forest.Đây là phương pháp hữu hiệu
và ngắn gọn để chứng thực cho các đối tượng thuộc domain của các forest .
External:được người quản trị thiết lập để liên kết hai domain thuộc hai forest khác
nhau để giảm bớt các bước chứng thực. External cấu hình thiết lập đồng bộ tin cậy
giữa một domain của một forest với một domain của forest khác.
Realm: thiết lập tin cậy với hệ thống không phải indows sử dụng Kerberos.
