Hotline: 098 821 7749 info@acinternational.com.vn

Xu hướng CNTT

Active Directory là gì?

Cỡ chữ
Active Directory là gì?
 

Nội dung bài viết:

1. Active Directory là gì?
2. Các dịch vụ Active Directory khác
3. Cấu trúc Active Directory
4. Domain Controllers
5. Hệ thống tên miền DNS (Domain Name System)
6. Replication
 
 
1. Active Directory là gì?
  • Active Directory (AD) là một dịch vụ thư mục được sử dụng trong môi trường Windows Server. Nó là một cấu trúc cơ sở dữ liệu phân tán, phân cấp chia sẻ thông tin cơ sở hạ tầng để định vị (Locating), bảo mật (Securing), quản lý (Managing) và tổ chức (Organizing) tài nguyên máy tính và mạng bao gồm tệp (Files), người dùng (Users), nhóm (Groups), thiết bị ngoại vi (Peripherals) và thiết bị mạng (Network devices).
 
  • Active Directory là dịch vụ thư mục riêng của Microsoft để sử dụng trong các mạng Windows Domain Networks. Nó cung cấp các chức năng xác thực (Authentication) và ủy quyền (Authorization), cũng như cung cấp một khuôn khổ cho các dịch vụ khác như vậy. Bản thân thư mục này là một cơ sở dữ liệu LDAP chứa các đối tượng được nối mạng. Active Directory sử dụng gắn liền với hệ điều hành Windows Server.
 
  • Khi mọi người nói về Active Directory, họ thường ám chỉ đến là dịch vụ miền “Active Directory Domain Services”, cung cấp các dịch vụ xác thực và ủy quyền toàn diện.
 
  • Trước Windows 2000, mô hình xác thực và ủy quyền của Microsoft yêu cầu chia nhỏ mạng thành các “miền” (tiếng Anh gọi là “Domain”), sau đó liên kết các miền đó với một hệ thống tin cậy một và hai chiều phức tạp và đôi khi không thể đoán trước được. Active Directory đã được giới thiệu trong Windows 2000 như một cách để cung cấp các dịch vụ thư mục cho các môi trường phức tạp hơn.



2. Các dịch vụ Active Directory khác
  • Theo thời gian, Microsoft đã thêm các dịch vụ bổ sung dưới dạng Active Directory.
 
  • Active Directory lightweight directory services
    • Phiên bản nhẹ này của Dịch vụ miền “Domain Services” loại bỏ một số chức năng phức tạp và nâng cao để chỉ cung cấp chức năng dịch vụ thư mục cơ bản mà không cần sử dụng bộ điều khiển miền “Domain controllers”, rừng “Forests” hoặc miền “Domains”. Thường được sử dụng trong các môi trường mạng văn phòng nhỏ, đơn lẻ.

  • Active Directory certificate services
    • Dịch vụ Chứng chỉ “Certificate Services” cung cấp dịch vụ chứng thực kỹ thuật số và hỗ trợ cơ sở hạ tầng khóa công khai PKI “PKI - Public Key Infrastructure”. Dịch vụ này có thể lưu trữ (Storage), xác thực (Validate), tạo (Create) và thu hồi (Revoke) thông tin đăng nhập khóa công khai được sử dụng để mã hóa thay vì tạo khóa bên ngoài hoặc cục bộ.

  • Active Directory federation services
    • Dịch vụ liên kết “Federation Services” cung cấp dịch vụ ủy quyền và xác thực đăng nhập một lần dựa trên web chủ yếu để sử dụng trong các tổ chức. Do đó, nhà thầu có thể đăng nhập vào mạng của chính mình và cũng được phép truy cập vào mạng của khách hàng.

  • Active Directory rights management services
    • Đây là một dịch vụ quản lý quyền “Rights Management Services” phá vỡ sự ủy quyền dựa trên mô hình quyền truy cập được cấp “Access Granted Model” hoặc mô hình truy cập bị từ chối “Access Denied Model” và giới hạn những gì người dùng có thể làm với các tệp hoặc tài liệu cụ thể. Các quyền (Rights) và hạn chế (Restrictions) được đính kèm với tài liệu hơn là người dùng. Các quyền này thường được sử dụng để ngăn việc in, sao chép hoặc chụp ảnh màn hình của tài liệu.
 

3. Cấu trúc Active Directory
  • Một tính năng chính của cấu trúc Active Directory là phân quyền ủy quyền (Delegated Authorization) và sao chép hiệu quả (Efficient Replication). Mỗi phần của cơ cấu tổ chức AD giới hạn việc ủy ​​quyền hoặc sao chép trong tiểu phần cụ thể đó.

  • Rừng (Forest)
    • Rừng “Forest” là cấp cao nhất của hệ thống phân cấp tổ chức “Organization Hierarchy”. Rừng là ranh giới an ninh trong một tổ chức. Một khu rừng cho phép phân quyền được ủy quyền trong một môi trường duy nhất. Điều này cung cấp cho quản trị viên các quyền “Permissions” và quyền truy cập “Access Rights” đầy đủ, nhưng chỉ đối với một tập hợp con tài nguyên cụ thể. Có thể chỉ sử dụng một khu rừng duy nhất trên mạng. Thông tin về rừng được lưu trữ trên tất cả các bộ điều khiển miền “Domain Controllers”, trong tất cả các miền “Domain”, trong rừng “Forest”.

  • Cây (Tree)
    • Cây “Tree” là một nhóm các miền “Domain”. Các miền trong một cây chia sẻ cùng một không gian tên gốc “Root Name Space”. Trong khi một cây chia sẻ không gian tên “Name Space”, các cây không bị giới hạn về bảo mật hoặc sao chép.
 
  • Miền (Domain)
    • Mỗi khu rừng “Forest” chứa một miền gốc “Root Domain”. Các miền bổ sung có thể được sử dụng để tạo các phân vùng khác trong một khu rừng. Mục đích của miền là chia nhỏ thư mục thành các phần nhỏ hơn để kiểm soát việc sao chép. Miền “Domain” chỉ giới hạn sao chép Active Directory cho các bộ điều khiển miền “Domain Controller” khác trong cùng một miền. Ví dụ: một văn phòng ở Oakland sẽ không cần sao chép dữ liệu AD từ văn phòng ở Pittsburg. Điều này giúp tiết kiệm băng thông và hạn chế thiệt hại do vi phạm bảo mật.
    • Mỗi bộ điều khiển miền “Domain Controller” trong một miền có một bản sao giống hệt cơ sở dữ liệu Active Directory của miền đó. Điều này được cập nhật thông qua sao chép liên tục.
    • Mặc dù các miền đã được sử dụng trong mô hình dựa trên Windows-NT trước đó và vẫn cung cấp một rào cản bảo mật, nhưng khuyến nghị không chỉ sử dụng các miền để kiểm soát việc sao chép mà thay vào đó hãy sử dụng các đơn vị tổ chức (OU) để nhóm và giới hạn các quyền bảo mật.


  • Các đơn vị tổ chức (Organizational units (OUs))
    • Một đơn vị tổ chức “Organizational Units” cung cấp quyền phân nhóm đối với một tập hợp con tài nguyên từ một miền “Domain”. Một OU cung cấp một ranh giới bảo mật về các đặc quyền (Privileges) và ủy quyền (Authorization) nâng cao, nhưng không giới hạn việc sao chép các đối tượng AD.
    • OU được sử dụng để ủy quyền kiểm soát trong các nhóm chức năng. Các đơn vị tổ chức (OU) nên được sử dụng để triển khai và giới hạn bảo mật và vai trò giữa các nhóm “Groups”, trong khi các miền “Domains” nên được sử dụng để kiểm soát việc sao chép Active Directory.
 
 
4. Domain Controllers
  • Bộ điều khiển miền “Domain controllers” là máy chủ Windows Servers, chứa cơ sở dữ liệu Active Directory và thực hiện các chức năng liên quan đến Active Directory, bao gồm xác thực “Authentication” và ủy quyền “Authorization”. Bộ điều khiển miền là bất kỳ máy chủ Windows Server nào được cài đặt với vai trò Bộ điều khiển miền.
 
  • Mỗi bộ điều khiển miền lưu trữ một bản sao của cơ sở dữ liệu Active Directory chứa thông tin về tất cả các đối tượng trong cùng một miền. Ngoài ra, mỗi bộ điều khiển miền lưu trữ lược đồ “Schema” cho toàn bộ khu rừng “Forest”, cũng như tất cả thông tin về khu rừng. Bộ điều khiển miền sẽ không lưu trữ bản sao của bất kỳ lược đồ “Schema” hoặc thông tin rừng nào từ một khu rừng khác ngay cả khi chúng ở trên cùng một mạng.
 
  • Vai trò bộ điều khiển miền chuyên biệt “Specialized Domain Controller”
    • Vai trò bộ điều khiển miền chuyên biệt được sử dụng để thực hiện các chức năng cụ thể không có sẵn trên bộ điều khiển miền tiêu chuẩn “Standard Domain Controllers”. Các vai trò chính “Master roles” này được gán cho bộ điều khiển miền đầu tiên được tạo trong mỗi khu rừng hoặc miền. Tuy nhiên, quản trị viên có thể chỉ định lại các vai trò theo cách thủ công.
 
  • Lược đồ tổng thể “Schema master”
    • Mỗi rừng chỉ tồn tại một lược đồ tổng thể “Schema Master”. Nó chứa bản sao chính của lược đồ “Schema” được sử dụng bởi tất cả các bộ điều khiển miền khác. Có một bản sao chính “Master Copy” đảm bảo rằng tất cả các đối tượng được định nghĩa theo cùng một cách.
 
  • Tên miền chính “Domain Name Master”
    • Chỉ có một tên miền chính “Domain Name Master” tồn tại trên mỗi khu rừng “Forest”. Tên miền chính đảm bảo rằng tất cả các tên đối tượng là duy nhất và khi cần thiết, các đối tượng tham chiếu chéo “Cross-references Objects” được lưu trữ trong các thư mục khác.
 
  • Cơ sở hạ tầng chính “Infrastructure Master”
    • Có một cơ sở hạ tầng chính “Infrastructure master” cho mỗi miền “Domain”. Cơ sở hạ tầng chính giữ danh sách các đối tượng đã xóa và theo dõi các tham chiếu cho các đối tượng trên các miền khác.
 
  • Mã định danh tương đối chính “Relative identifier master”
    • Có một mã định danh tương đối chính “Relative identifier master” cho mỗi miền “Domain”. Nó theo dõi việc chỉ định và tạo Số nhận dạng bảo mật SIDs (SID - Security Identifiers) duy nhất trên toàn miền.
 
  • Trình mô phỏng bộ điều khiển miền chính “Primary Domain Controller Emulator”
    • Chỉ có một Trình mô phỏng Bộ điều khiển Miền Chính (PDC) trên mỗi miền. Nó tồn tại để cung cấp khả năng tương thích ngược từ các hệ thống miền dựa trên Windows NT cũ hơn. Nó đáp ứng các yêu cầu được gửi đến PDC như một PDC cũ sẽ có.
 
  • Kho dữ liệu “Data store”
    • Lưu trữ và truy xuất dữ liệu trên bất kỳ bộ điều khiển miền nào được xử lý bởi bộ lưu trữ dữ liệu. Kho dữ liệu bao gồm ba lớp. Lớp dưới cùng là chính cơ sở dữ liệu. Lớp giữa là các thành phần dịch vụ, Tác nhân Hệ thống Thư mục (DSA), lớp cơ sở dữ liệu và Công cụ Lưu trữ Mở rộng (ESE). Lớp trên cùng là các dịch vụ lưu trữ thư mục, LDAP (Giao thức truy cập thư mục nhẹ), giao diện sao chép, API nhắn tin (MAPI) và Trình quản lý tài khoản bảo mật (SAM).  
 
 
5. Hệ thống tên miền DNS (Domain Name System)
  • Active Directory chứa thông tin vị trí trên các đối tượng được lưu trữ trong cơ sở dữ liệu, tuy nhiên Active Directory sử dụng Hệ thống tên miền DNS “Domain Name System” để định vị bộ điều khiển miền “Domain Controller”.
 
  • Trong Active Directory, mọi miền “Domain” đều có tên miền DNS “Domain Name” và mọi máy tính được tham gia đều có tên DNS trong cùng miền đó.
 
  • Các đối tượng “Objects
    • Mọi thứ trong Active Directory được lưu trữ dưới dạng một đối tượng “Object”. Lớp “Class” cũng có thể được định nghĩa là kiểu “type” của một đối tượng trong lược đồ “Schema”. Các thuộc tính “Atributes” là các thành phần của đối tượng - các thuộc tính của một đối tượng được định nghĩa bởi lớp của nó.
    • Các đối tượng phải được xác định trong lược đồ trước khi dữ liệu có thể được lưu trữ trong thư mục. Sau khi được xác định, dữ liệu được lưu trữ trong Active Directory dưới dạng các đối tượng riêng lẻ. Mọi đối tượng phải là duy nhất và đại diện cho một thứ duy nhất, chẳng hạn như người dùng “User”, máy tính “Computer” hoặc một nhóm “Group” duy nhất (ví dụ: nhóm người dùng).
    • Hai loại đối tượng chính là tài nguyen “Resources” và nguyên tắc bảo mật “Security Principles”. Các nguyên tắc bảo mật được chỉ định Số nhận dạng bảo mật (SID), nhưng tài nguyên thì không.
 
 
6. Replication
  • Active Directory sử dụng nhiều bộ điều khiển miền vì nhiều lý do bao gồm cân bằng tải “Load Balancing” và khả năng chịu lỗi “Fault Tolorance”. Để điều này hoạt động, mỗi bộ điều khiển miền phải có một bản sao hoàn chỉnh của cơ sở dữ liệu Active Directory riêng của miền. Đảm bảo rằng mỗi bộ điều khiển có một bản sao hiện tại của cơ sở dữ liệu xảy ra thông qua hoạt động sao chép nhân bản “Replication”.
 
  • Việc sao chép nhân bản “Replication” bị giới hạn bởi miền “Domain”. Bộ điều khiển miền “Domain Controller” trên các miền khác nhau không sao chép giữa nhau, ngay cả trong cùng một khu rừng “Forest”. Mọi bộ điều khiển miền đều bình đẳng. Mặc dù các phiên bản trước của Windows có bộ điều khiển miền chính và phụ, nhưng không có điều đó trong Active Directory. Đôi khi có một số nhầm lẫn do việc tiếp tục tên 'domain controller' từ hệ thống dựa trên sự tin cậy cũ thành Active Directory.
 
  • Việc sao chép nhân bản “Replication” hoạt động trên một hệ thống kéo “pull system”, có nghĩa là bộ điều khiển miền yêu cầu “Request” hoặc kéo “Pull” thông tin từ bộ điều khiển miền khác chứ không phải mỗi bộ điều khiển miền gửi “Send” hoặc đẩy “push” dữ liệu cho bộ điều khiển miền khác. Theo mặc định, bộ điều khiển miền yêu cầu dữ liệu sao chép sau mỗi 15 giây. Một số sự kiện bảo mật cao sẽ kích hoạt sự kiện sao chép ngay lập tức, chẳng hạn như khóa tài khoản “Account Lockout”.
 
  • Chỉ những thay đổi mới được sao chép. Để đảm bảo tính trung thực trên một hệ thống đa tổng thể, mỗi bộ điều khiển miền theo dõi các thay đổi và chỉ yêu cầu các bản cập nhật kể từ lần sao chép cuối cùng. Các thay đổi được sao chép trên toàn miền bằng cách sử dụng cơ chế lưu trữ và chuyển tiếp sao cho mọi thay đổi được sao chép khi được yêu cầu, ngay cả khi thay đổi không bắt nguồn từ bộ điều khiển miền trả lời yêu cầu sao chép.
 
  • Điều này vừa ngăn chặn lưu lượng vượt quá và có thể được cấu hình để đảm bảo rằng mỗi bộ điều khiển miền yêu cầu dữ liệu sao chép của nó từ máy chủ mong muốn nhất. Ví dụ: một vị trí từ xa có một kết nối nhanh và một kết nối chậm đến các trang khác bằng bộ điều khiển miền có thể đặt “chi phí” cho mỗi kết nối. Khi làm như vậy, yêu cầu sao chép sẽ được thực hiện trên kết nối nhanh hơn.