(tiếp theo của W2K8 - 1 - Tong quan ve AD DS)
Domain và Domain Tree
Trong một forest, AD dựa vào hai khái niệm là domain tree và
domain để tạo ra các vùng quản trị nhỏ hơn. Cơ sở dữ liệu của AD ở mức forest sẽ
được quản lý bởi các domain tree và domain.
Domain (đầy đủ là active directory domain) là một tập hợp
các đối tượng trong một hệ thống mạng dựa trên AD. Các đối tượng gồm người
dùng, nhóm, máy tính, máy tin. Thông tin về các đối tượng được lưu trong một cơ
sở dữ liệu tập trung trên máy DC. Tên của domain được đặt theo chuẩn DNS.
Domain tree là tập hợp gồm một hoặc nhiều domain có quan hệ
với nhau theo cấu trúc cha-con. Một forest có thể có một hoặc nhiều domain
tree.
Hình 1 minh họa một domain tree đơn giản gồm một domain cha
(congty.com) và hai domain con (dalat.congty.com và saigon.congty.com).
Mỗi một domain sẽ
có một domain partition (tên gọi khác là domain naming context). Domain
partition chứa thông tin về các đối tượng trong domain, gồm: người dùng, nhóm
người dùng, máy tính, máy tin, OU,...v.v.
Các thông tin của domain partition sẽ
được đồng bộ tới tất cả các DC trong cùng một domain. Tất nhiên, các DC cũng nhận
được thông tin đồng bộ ở mức forest là schema partition và configuration
partition.
Việc đồng bộ các
thông tin của domain partition giúp thực hiện: dự phòng kiểu dư thừa
(redundancy), thiết lập hệ thống chịu lỗi (fault tolerance), cân bằng tải (load
balancing) trong một domain.
Mặc dù không được
xem là một partition chính thức, nhưng global catalog cũng được đồng bộ ở mức
forest. Không giống như domain partition, global catalog không được đồng bộ tới
tất cả DC, mà nó chỉ được đồng bộ tới các DC đã được cấu hình là một global
catalog server. Global catalog server là DC mà có chứa global catalog.
Từ Windows Server
2003, AD sẽ có thêm partition thứ tư là application partition. Dựa trên
application partition, người quản trị mạng có thể lựa chọn thông tin để thực hiện
đồng bộ. Ví dụ, có thể thiết lập chế độ đồng bộ DomainDNSZones tới tất cả các
DNS server trong một domain, hoặc đồng bộ ForestDNSZones tới tất cả các DNS
server trong một forest.
Ví dụ, hệ thống mạng
ở Hình 1 sẽ có các thông tin sau đây được đồng bộ:
-
Mỗi
DC trong domain congty.com sẽ có bản sao của schema partition, configuration
partition và domain partition của congty.com.
-
Mỗi
DC trong domain dalat.congty.com sẽ có bản sao của schema partition,
configuration partition và domain partition của dalat.congty.com.
-
Mỗi DC trong domain saigon.congty.com sẽ có bản
sao của schema partition, configuration partition và domain partition của
saigon.congty.com.
-
Mỗi
DC trong toàn bộ forest mà được cấu hình là global catalog server sẽ có bản sao
của global catalog.
OU (Organization Unit)
OU (đơn vị tổ chức)
là một đối tượng trong AD, được sử dụng để chứa các tài nguyên mạng như người
dùng, nhóm người dùng, máy tính …v.v. Các tài nguyên này có yêu cầu về bảo mật
và quản lý tương tự nhau.
Sử dụng OU để
chia nhỏ các tài nguyên trong hệ thống mạng giúp dễ quản trị. Một domain có thể
có một hoặc nhiều OU.
Trong OU có thể tạo
một hoặc nhiều OU con, các OU được tổ chức theo cấu trúc phân cấp và có quan hệ
theo kiểu cha – con. Tuy nhiên, việc tổ chức OU thành quá nhiều cấp có thể gây
ra khó khăn cho công việc quản trị.
Có thể dựa trên
mô hình tổ chức của công ty để tạo các OU. Ví dụ, mỗi phòng ban là một OU. Cũng
có thể dựa vào nhu cầu sử dụng các tài nguyên mạng của người dùng để tạo các
OU, ví dụ, tất cả người dùng sử dụng tài nguyên giống nhau sẽ được nằm trong
cùng một OU.
Sử dụng OU giúp
việc quản trị dễ dàng hơn. Cụ thể bạn chỉ cần thiết lập chính sách liên quan đến
bảo mật một lần cho một OU, sau đó, các chính sách này sẽ tác động lên các OU
con, các tài khoản người dùng và tài khoản máy tính trong OU đó (lưu ý: không
tác động trên nhóm người dùng).
Để giảm bớt một số
công việc cho nhà quản trị hệ thống mạng, nhà quản trị mạng có thể ủy quyền cho
một ai đó trong OU, thay mặt nhà quản trị mạng thực hiện một số công việc đơn
giản như: thiết lập lại mật khẩu người dùng, thay đổi thời gian đăng nhập hệ thống
…v.v. Trong OU cho phép làm việc này bằng chức năng ủy quyền quản trị
(delegation of control).
Các đối tượng OU
có thể chứa gồm:
-
User
(tài khoản người dùng).
-
Group
(nhóm người dùng).
-
Contact ().
-
Printer
(máy in).
-
Shared folder (các thư mục chia sẻ).
-
Computer (tài khoản máy tính).
-
OU (các OU con).
-
InetOrgPerson().
Schema (giản đồ)
Schema trong AD được sử dụng để định nghĩa các loại đối tượng,
giúp phân biệt được các loại đối tượng khác nhau trong AD. Ví dụ: một tài khoản
người dùng, nhóm người dùng cần những thông tin gì để mô tả các đối tượng? Mặc
định, AD có một schema cơ sở, tùy theo nhu cầu sử dụng có thể mở rộng hoặc thay
đổi các thuộc tính (thông tin mô tả) của schema này.
Mỗi tài nguyên trong AD được xem là một đối tượng (object),
mỗi đối tượng có một tập các thuộc tính (attribute) đi kèm, schema sẽ định
nghĩa các đối tượng này. Như vậy, schema là một cơ sở dữ liệu quan trọng, nó định
nghĩa tất cả các đối tượng trong AD, và có thể xem schema chính là hình hài của
AD.
Schema gồm hai thành phần: lớp đối tượng (object class) và các thuộc tính (attribute). Ví dụ, người dùng
KeToan1 là thể hiện của lớp đối tượng user, máy in MayLaser là thể hiện của lớp
đối tượng printer.
Mỗi lớp đối tượng sẽ được định nghĩa bằng danh sách các thuộc
tính, nhằm phân biệt các lớp đối tượng khác trong schema. Các thuộc tính sẽ được
schema định nghĩa một lần duy nhất, tuy nhiên, thuộc tính này sẽ được sử dụng
nhiều lần ở các lớp đối tượng khác nhau.
Có hai loại thuộc tính: thuộc tính bắt buộc (required), ví dụ
tên đăng nhập của người dùng và thuộc tính tùy chọn (optional), ví dụ: địa chỉ,
số điện thoại của người dùng.
Một số lớp đối tượng được tạo sẵn khi cài đặt AD:
-
Users
-
Groups
-
Computers
-
Domain controllers
-
Printers
Một số
thuộc tính quan trọng giúp phân biệt các đối tượng với nhau là:
-
Unique name (định danh duy nhất), được sử dụng để
xác định tính duy nhất của đối tượng trong cơ sở dữ liệu. Định danh này được cấp
khi đối tượng được tạo ra.
-
GUID (Globally Unique Identifier), là một số hệ
16 có độ dài 128 bít, được AD cấp cho mỗi đối tượng, khi đối tượng được tạo ra.
Đây là số duy nhất trong phạm vi một forest. Số này không bị thay đổi giá trị,
kể cả trong trường hợp đối tượng bị thay đổi tên. Số này cũng không được sử dụng
lại, ngay cả trong trường hợp đối tượng đã bị xóa và được tạo lại với tên giống
với tên ban đầu.
-
Các thuộc tính bắt buộc phải có của đối tượng, là
các thuộc tính cần thiết cho việc sử dụng, ví dụ tài khoản người dùng phải có
tên duy nhất và phải có mật khẩu khi được tạo ra.
-
Các thuộc tính tùy chọn của đối tượng, đây là
các thông tin bổ sung cho đối tượng nó không liên quan đến chức năng chính của
đối tượng. Đây là thông tin thuộc loại “có thì tốt” mà “không có thì cũng không
sao”. Ví dụ số điện thoại, địa chỉ của một tài khoản người dùng.
Schema cho phép bổ sung hoặc thay đổi các đối tượng cũng như
các thuộc tính. Tuy nhiên, các đối tượng trong schema được bảo vệ bằng ACL, do
vậy chỉ có người có quyền hợp lệ mới được phép truy cập và thay đổi. Administrator
có toàn quyền quản lý ACL này.
Active Directory Site và Subnet
Site (theo định nghĩa) là một hoặc nhiều subnet IP được kết
nối bằng đường truyền có tốc độ cao. Trong nhiều trường hợp, người ta coi tất cả
các máy tính nằm trong một mạng LAN là một site. Trong môi trường AD, site được
sử dụng để tối ưu việc đồng bộ thông tin của AD trong một phạm vi địa lý cụ thể.
Tất cả các DC trong cùng một site sẽ được đồng bộ hóa bằng
chức năng đồng bộ hóa nội site (intrasite), việc đồng bộ hóa giúp các DC cập nhật
những thay đổi đối với AD. Administrator sẽ thiết lập thời gian đồng bộ hóa nội
site theo chu kì tùy ý. Mô hình (topo) đồng bộ hóa được tạo ra và duy trì bởi
tiến trình KCC (Knowledge Consistency Checker). KCC hoạt động dựa trên các
thông tin được khai báo trong Active Directory Sites and Services.
---------------------------
Tài liệu đã tham khảo:
Windows Server 2008 Active Directory Configuration, Exam
70-640, Microsoft.
--------------------------------
Cập nhập: 2014/4/30