Tim hieu ve Active Directory (AD)
Trang 1 trong tổng số 1 trang
Tim hieu ve Active Directory (AD)
trangle 20/4/2009, 21:40
I. GIỚI THIỆU :
- Windows Server 2003 là hệ điều hành mạng hoàn thiện nhất hiện nay, chúng ta có thể dùng Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và người dùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu, cung cấp các dịch vụ cho người dùng…
- Nếu như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng thì Active Directory chính là trái tim của nó, hầu như tất cả mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của Domain như các đối tượng user, computer, group. Cung cấp những dịch vụ (Directory Services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào Domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.
- Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn.
- Như vậy chức năng chính của Avtive Directory là :
+ Lưu trữ 1 danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính.
+ Cung cấp một Server đóng vai trò chứng thực (Authentication Server) hoặc Server quản lý đăng nhập (Logon Server), Server này còn đuợc gọi là Domain Controller (máy điều khiển vùng).
+ Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (Index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.
+ Cho phép chúng ta tạo ra các tài khoản người dùng với những mức độ quyền khác nhau.
+ Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (Sub Domain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phân nhỏ.
II. HỆ THỐNG ACTIVER DICRECTORY :
- Hệ thống Active Dicrectory bao gồm cấu trúc logic và cấu trúc vật lý :
1. Cấu trúc Logic :
1A. Domain :
- Một Domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau để quản lý một cách tập trung. Và công việc quản lý là dành cho Domain Controller (bộ điều khiển miền) nhằm giúp việc khai thác tài nguyên trở nên dễ dàng hơn.
- Là đơn vị chức năng nòng cốt của cấu trúc logic Avtive Directory. Nó là phương tiện để quy định tập hợp những người dùng, máy tính, tài nguyên, chia sẻ có những quy tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng 3 chức năng chính như sau:
+ Đóng vai trò như một khu vực quản trị ( Administrative Boundary) các đối tượng, là tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung 1 cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền, chính sách bảo mật, các quan hệ ủy quyền với các Domain khác.
+ Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ.
+ Cung cấp các Server dự phòng làm chức năng điều khiển vùng ( Domain Controller), đồng thời đảm bảo các thông tin trên các Server này được đồng bộ với nhau.
+ Là trung tâm của mạng Windows Server 2000 và Windows Server 2003. Các máy điều khiển vùng (Domain Controller) hoặc là PDC (Primary Domain Controller) hoặc là BDC (Backup Domain Controller), được gọi là DC. Theo mặc định, tất cả Windows Server 2003 khi cài đặt đều là Server độc lập (Stand - Alone Server).
- Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp 1 máy không phải là DC thành một máy DC và ngược lại giáng vấp 1 máy DC thành 1 Server bình thường.
* Organizational unit - Đơn vị tổ chức OU :
- Nhóm con gồm những vùng thường phản ánh cấu trúc kinh doanh hoặc cấu trúc chức năng của một công ty.
- Là những đơn vị tổ chức. Có thể chứa các user account, group.. Ví dụ, khi thiết kế một hệ thống thì chúng ta khảo sát hệ thống đó có bao nhiêu phòng ban, bộ phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với các phòng ban.
- Trong OU, ta sẽ tạo ra các group ( có thể là gourp quản lý và group nhân viên, đều thuộc OU). Sau đó ta sẽ tạo ra các user thuộc các group tương ứng.
- Trong OU có thể chứa :
+ User : là các tài khoản người dùng.
o Khi cài đặt Active Directory sẽ có một số tài khoản built-in được tạo ra như Administrator là người có toàn quyền quản trị hệ thống. Backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này.
o Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào Domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng. Các user sẽ dùng những tài khoản được cấp bởi Administrator để log-in và Domain. Và truy cập dữ liệu trên file Server hay các dịch vụ khác.
+ Group: là một tập hợp những người dùng có những đặc tính chung, ví dụ như các nhân viên của một phòng ban có quyền truy cập lên cùng một folder hoặc có quyền in cùng một máy in.
+ Computer Account : được tạo ra để quản lý một máy tính cụ thể trong mạng
1B. Domain Tree - Vùng phân cấp :
- Một hay nhiều vùng dùng chung không gian tên liên tục.
1C. Domain Forest - Tập hợp hệ vùng phân cấp :
- Một hay nhiều hệ vùng dùng chung thông tin thư mục.
2. Cấu trúc vật lý :
- Subnet ( mạng con) : đoạn mạng với dãy địa chỉ IP và mặ nạ mạng cụ thể.
- Site ( địa điểm): một hoặc nhiều mạng con dùng để lập cấu hình dịch vụ sao chép và truy cập thư mục.
3. Những công cụ quản lý Active Directory :
- Những công cụ quản lý Active Directory thường cung cấp ở dạng Snap-in cho MMC (Microsoft Management Console).
+ Active Directory users and Computer: quản trị người dùng, nhóm, máy tính, và đơn vị tổ chức.
+ Active Directory and Trusts: dùng làm việc với vùng, hệ vùng phân cấp, tập hợp hệ vùng phân cấp.
+ Active Directory Sites and Services : quản lý Site và mạng con.
(nguồn: Infoworld Forum posted 28/05/2007)
- Windows Server 2003 là hệ điều hành mạng hoàn thiện nhất hiện nay, chúng ta có thể dùng Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và người dùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu, cung cấp các dịch vụ cho người dùng…
- Nếu như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng thì Active Directory chính là trái tim của nó, hầu như tất cả mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của Domain như các đối tượng user, computer, group. Cung cấp những dịch vụ (Directory Services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào Domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.
- Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn.
- Như vậy chức năng chính của Avtive Directory là :
+ Lưu trữ 1 danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính.
+ Cung cấp một Server đóng vai trò chứng thực (Authentication Server) hoặc Server quản lý đăng nhập (Logon Server), Server này còn đuợc gọi là Domain Controller (máy điều khiển vùng).
+ Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (Index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.
+ Cho phép chúng ta tạo ra các tài khoản người dùng với những mức độ quyền khác nhau.
+ Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (Sub Domain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phân nhỏ.
II. HỆ THỐNG ACTIVER DICRECTORY :
- Hệ thống Active Dicrectory bao gồm cấu trúc logic và cấu trúc vật lý :
1. Cấu trúc Logic :
1A. Domain :
- Một Domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau để quản lý một cách tập trung. Và công việc quản lý là dành cho Domain Controller (bộ điều khiển miền) nhằm giúp việc khai thác tài nguyên trở nên dễ dàng hơn.
- Là đơn vị chức năng nòng cốt của cấu trúc logic Avtive Directory. Nó là phương tiện để quy định tập hợp những người dùng, máy tính, tài nguyên, chia sẻ có những quy tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng 3 chức năng chính như sau:
+ Đóng vai trò như một khu vực quản trị ( Administrative Boundary) các đối tượng, là tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung 1 cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền, chính sách bảo mật, các quan hệ ủy quyền với các Domain khác.
+ Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ.
+ Cung cấp các Server dự phòng làm chức năng điều khiển vùng ( Domain Controller), đồng thời đảm bảo các thông tin trên các Server này được đồng bộ với nhau.
+ Là trung tâm của mạng Windows Server 2000 và Windows Server 2003. Các máy điều khiển vùng (Domain Controller) hoặc là PDC (Primary Domain Controller) hoặc là BDC (Backup Domain Controller), được gọi là DC. Theo mặc định, tất cả Windows Server 2003 khi cài đặt đều là Server độc lập (Stand - Alone Server).
- Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp 1 máy không phải là DC thành một máy DC và ngược lại giáng vấp 1 máy DC thành 1 Server bình thường.
* Organizational unit - Đơn vị tổ chức OU :
- Nhóm con gồm những vùng thường phản ánh cấu trúc kinh doanh hoặc cấu trúc chức năng của một công ty.
- Là những đơn vị tổ chức. Có thể chứa các user account, group.. Ví dụ, khi thiết kế một hệ thống thì chúng ta khảo sát hệ thống đó có bao nhiêu phòng ban, bộ phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với các phòng ban.
- Trong OU, ta sẽ tạo ra các group ( có thể là gourp quản lý và group nhân viên, đều thuộc OU). Sau đó ta sẽ tạo ra các user thuộc các group tương ứng.
- Trong OU có thể chứa :
+ User : là các tài khoản người dùng.
o Khi cài đặt Active Directory sẽ có một số tài khoản built-in được tạo ra như Administrator là người có toàn quyền quản trị hệ thống. Backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này.
o Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào Domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng. Các user sẽ dùng những tài khoản được cấp bởi Administrator để log-in và Domain. Và truy cập dữ liệu trên file Server hay các dịch vụ khác.
+ Group: là một tập hợp những người dùng có những đặc tính chung, ví dụ như các nhân viên của một phòng ban có quyền truy cập lên cùng một folder hoặc có quyền in cùng một máy in.
+ Computer Account : được tạo ra để quản lý một máy tính cụ thể trong mạng
1B. Domain Tree - Vùng phân cấp :
- Một hay nhiều vùng dùng chung không gian tên liên tục.
1C. Domain Forest - Tập hợp hệ vùng phân cấp :
- Một hay nhiều hệ vùng dùng chung thông tin thư mục.
2. Cấu trúc vật lý :
- Subnet ( mạng con) : đoạn mạng với dãy địa chỉ IP và mặ nạ mạng cụ thể.
- Site ( địa điểm): một hoặc nhiều mạng con dùng để lập cấu hình dịch vụ sao chép và truy cập thư mục.
3. Những công cụ quản lý Active Directory :
- Những công cụ quản lý Active Directory thường cung cấp ở dạng Snap-in cho MMC (Microsoft Management Console).
+ Active Directory users and Computer: quản trị người dùng, nhóm, máy tính, và đơn vị tổ chức.
+ Active Directory and Trusts: dùng làm việc với vùng, hệ vùng phân cấp, tập hợp hệ vùng phân cấp.
+ Active Directory Sites and Services : quản lý Site và mạng con.
(nguồn: Infoworld Forum posted 28/05/2007)
trangle- Tổng số bài gửi : 24
Join date : 10/03/2009
Similar topics» Vai trò của các Operation Master Role trong Active Directory Domain Service
» Tim hieu ve LDAP (LightWeight Directory Access Protocol)
» cần giúp đở
» Sửa lỗi Active desktop recovery
» Các bạn có đóng góp Tích cực trên lớp
» Tim hieu ve LDAP (LightWeight Directory Access Protocol)
» cần giúp đở
» Sửa lỗi Active desktop recovery
» Các bạn có đóng góp Tích cực trên lớp
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết