Giới thiệu về Active Directory
Active Directory là gì?
Trước hết chúng ta hãy đi tìm hiểu xem Active Directory là gì. Active Directory là
một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft,
nó là một phần không thể thiếu trong kiến trúc Windows. Giống như các dịch vụ
thư mục khác, chẳng hạn như Novell Directory Services (NDS), Active Directory
là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ
liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép
tương tác với các thư mục khác. Thêm vào đó, Active Directory được thiết kế đặc
biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó.
Active Directory có thể được coi là một điểm phát triển mới so với Windows 2000
Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003, trở
thành một phần quan trọng của hệ điều hành. Windows Server 2003 Active
Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các
đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và
permission.
Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn
mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong
mạng.
Tại sao cần thực thi Active Directory?
Có một số lý do để lý giải cho câu hỏi trên. Microsoft Active Directory được xem
như là một bước tiến triển đáng kể so với Windows NT Server 4.0 domain hay
thậm chí các mạng máy chủ standalone. Active Directory có một cơ chế quản trị
tập trung trên toàn bộ mạng. Nó cũng cung cấp khả năng dự phòng và tự động
chuyển đổi dự phòng khi hai hoặc nhiều domain controller được triển khai trong
một domain.
Active Directory sẽ tự động quản lý sự truyền thông giữa các domain controller để
bảo đảm mạng được duy trì. Người dùng có thể truy cập vào tất cả tài nguyên trên
mạng thông qua cơ chế đăng nhập một lần. Tất cả các tài nguyên trong mạng được
bảo vệ bởi một cơ chế bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận
dạng người dùng và quyền hạn của mỗi truy cập đối với tài nguyên.
Active Directory cho phép tăng cấp, hạ cấp các domain controller và các máy chủ
thành viên một cách dễ dàng. Các hệ thống có thể được quản lý và được bảo vệ
thông qua các chính sách nhóm Group Policies. Đây là một mô hình tổ chức có
thứ bậc linh hoạt, cho phép quản lý dễ dàng và ủy nhiệm trách nhiệm quản trị.
Mặc dù vậy quan trọng nhất vẫn là Active Directory có khả năng quản lý hàng
triệu đối tượng bên trong một miền.
Những đơn vị cơ bản của Active Directory
Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu
trúc mục. Bốn đơn vị này được chia thành forest, domain, organizational unit và
site.
Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong
Active Directory.
Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một
cơ sở dữ liệu của các thành viên của chúng.
Organizational unit (OU): Nhóm các mục trong miền nào đó. Chúng tạo
nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active
Directory theo các điều kiện tổ chức và địa lý.
Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU. Các
Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các
kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet.
Các Forest không bị hạn chế theo địa lý hoặc topo mạng. Một forest có thể gồm
nhiều miền, mỗi miền lại chia sẻ một lược đồ chung. Các thành viên miền của
cùng một forest thậm chí không cần có kết nối LAN hoặc WAN giữa chúng. Mỗi
một mạng riêng cũng có thể là một gia đình của nhiều forest độc lập. Nói chung,
một forest nên được sử dụng cho mỗi một thực thể. Mặc dù vậy, vẫn cần đến các
forest bổ sung cho việc thực hiện test và nghiên cứu các mục đích bên ngoài forest
tham gia sản xuất.
Các miền Domain phục vụ như các mục trong chính sách bảo mật và các nhiệm vụ
quản trị. Tất cả các đối tượng bên trong một miền đều là chủ đề cho Group
Policies miền rộng. Tương tự như vậy, bất cứ quản trị viên miền nào cũng có thể
quản lý tất cả các đối tượng bên trong một miền. Thêm vào đó, mỗi miền cũng đều
có cơ sở dữ liệu các tài khoản duy nhất của nó. Chính vì vậy tính xác thực là một
trong những vấn đề cơ bản của miền. Khi một tài khoản người dùng hoàn toàn xác
thực đối với một miền nào đó thì tài khoản người dùng này có thể truy cập vào các
tài nguyên bên trong miền.
Active Directory yêu cầu một hoặc nhiều domain để hoạt động. Như đề cập từ
trước, một miền Active Directory là một bộ các máy tính chia sẻ chung một tập
các chính sách, tên và cơ sở dữ liệu các thành viên của chúng. Một miền phải có
một hoặc nhiều máy domain controller (DC) và lưu cơ sở dữ liệu, duy trì các chính
sách và cung cấp sự thẩm định cho các đăng nhập vào miền
