Tổng quan về Active Directory trên Windows Server 2008 (Phần 3)

Tổng quan về Active Directory trên Windows Server 2008

Tổng quan về Active Directory trên Windows Server 2008

Tổng quan về Active Directory trên Windows Server 2008

Phần 3: Các khái niệm cơ bản trong Active Directory

Tiếp nối bài viết về  kiến trúc Active Directory, bài viết này sẽ giới thiệu về các khái niệm căn bản nhất trong Active Directory:

1. OU (Organization Unit):

Đây được coi là một trong những khái niệm căn bản nhất trong Active Directory. Vậy OU là gì ? Cần nhớ là điểm ưu việt của Active Directory là nó có thể chứa tới hàng triệu đối tượng khác nhau. Vậy làm sao để quản lý các đối tượng này một cách hiệu quả. Bạn sẽ không phải ngồi lần mò hoặc tìm kiếm trong cả đống đối tượng như vậy mà đơn giản hơn các đối tượng đó có thể được nhóm lại với nhau theo một tiêu chí hay nguyên tắc nào đó – và đó chính là OU (hay còn được gọi là đơn vị tổ chức dữ liệu). Vậy OU có thể chứa được gì ? Câu trả lời là các tài khoản người dùng (user), nhóm (group) hay các máy tính (computer) hoặc là các OU khác.

organization unit active directory

organization unit active directory

Trong thực tế, các bạn có thể sử dụng OU để lưu các tài khoản người dùng trong một phòng ban, hay các máy tính trong phòng ban đó, hoặc cũng có thể tổ chức cả công ty thành một cây thư mục các OU chứa các máy tính, các group, hay các tài khoản người dùng như ví dụ dưới đây:

cây ou active directory

cây ou active directory

2. Domain:

Domain ở đây được hiểu là một miền, có nghĩa là khi hệ thống của bạn sử dụng Active Directory, đồng nghĩa là tất cả các máy tính trong này đều thuộc về ít nhất là cùng một miền nào đó. Trong một miền thì phải có ít nhất là một máy chủ quản lý miền (Domain Controller) trở lên. Các máy chủ trong cùng một miền thì sẽ đồng bộ với nhau về các đối tượng trong miền đó (Domain Name Context). Các máy chủ này sẽ đảm trách các vai trò về quản lý chung trên toàn miền đó.

domain active directory

domain active directory

3. Tree và Forest:

Tree: Ở đây được hiểu là một cây (những miền có sử dụng chung tên gốc hay tên miền không bị gián đoạn), ví dụ, localhost, các tên miền cấp thấp hơn là sale.localhost và it.sale.localhost thì được hiểu là một tree. Còn Forest thì sao ?

Forest: Là tập hợp của nhiều tree, ví dụ: 2 tree localhost và tie.com.vn kết hợp lại tạo thành một Forest. Cần chú ý rằng một Forest phải bao gồm tối thiểu từ 2 tree trở lên, để hiểu rõ hơn có thể xem hình minh họa dưới đây :

domain tree active directory

domain tree active directory

Như trong hình minh họa, miền localhost tạo thành 1 tree, trong khi đó miền tie.com.vn lại tạo thành 1 tree khác, và khi kết hợp 2 tree này lại với nhau, thì chúng ta có một forest.

4. Replication:

Như chúng ta đã biết, trong một miền, hay nhiều miền có quan hệ với nhau thì luôn bao gồm hai thành phần chính như trong phần kiến trúc Active Directory đã nhắc tới, một là các đối tượng và các thuộc tính của chúng, thứ hai là các chính sách được áp dụng lên đối tượng. Hãy thử tượng nếu như trên DC thứ nhất, bạn được phép truy cập vào tài nguyên A, trong khi theo máy chủ DC thứ 2, bạn lại không có được quyền này. Vậy điều gì sẽ xảy ra và chúng ta sẽ giải quyết chúng thế nào ???

Cần rõ ràng là một hệ thống thì phải có sự nhất quán rõ ràng, từ các đối tượng, cho tới các chính sách thực thi, để làm được điều này, cần phải có một sự đồng bộ (Replication) giữa các các máy chủ quản lý. Có thể tạm hiểu là các máy chủ quản lý miền sẽ tự làm việc, đồng bộ các đối tượng, chính sách…. với nhau để tạo ra sự nhất quán và tăng cường hiệu suất chung trên toàn hệ thống. Về chi tiết vấn đề này sẽ được đề cập tới trong một bài viết khác.

Replication Active Directory

Replication Active Directory

5. Site:

Khái niệm này thường được chia theo vùng, ví dụ công ty của bạn có 2 chi nhánh, một tại Hà Nội và một tại Hồ Chí Minh. Khái niệm Site ở đây được hiểu là khi các máy trong đó thuộc về cùng một subnet địa chỉ IP. Các máy chủ trong cùng một subnet thì được gọi là Intrasite, còn các máy chủ nằm khác subnet thì được gọi là Intersite.

intrasite intersite active directory

intrasite intersite active directory

6. Function Levels:

Khái niệm này muốn chỉ tới cấp độ tương thích khi các máy chủ làm việc với nhau, ví dụ, trong hệ thống có 3 máy chủ, sử dụng các hệ điều hành Windows Server phiên bản 2008, 2003, 2000. Function Levels ở đây là giới hạn mà mà một máy chủ sẽ hoạt động với các máy chủ khác trong miền. Ví dụ, trên máy chủ Windows server 2008, ta để cấp độ Function Levels là Windows 2003, thì có nghĩa là chỉ các Server chạy Windows server 2003 mới có khả năng làm việc được với máy chủ này. Thông thường trong thực tế, trường hợp này chỉ xảy ra khi chúng không nâng cấp toàn bộ miền.

function level active directory

function level active directory

7. Trust Relationships:

Để hiểu về cụm từ này cần phải lướt qua một ví dụ dễ hiểu khác :) Tôi là Thái Snake, tôi đặt sự tin tưởng của mình vào con bé hàng xóm: “Anh tin em, em có thể sang nhà anh, dùng đồ của anh, sử dụng tất cả những thứ thuộc về anh…” Oh, chuyện này hoàn toàn bình thường thôi. Tuy nhiên, đó chỉ là con bé đó thôi, còn rõ ràng, tôi muốn vào nhà nó, dùng đồ của nó, thì chưa chắc…. vì rõ ràng, nó có tin gì tôi đâu :)
Trust Relationships ở đây cũng tương tự hệt như vậy. Một Domain A, khi tin cậy một domain B, quản trị viên domain A có thể cho phép người dùng bên domain B, truy cập vào tài nguyên của mình. Tuy nhiên, người dùng ở domain A, thậm chí ngay cả quản trị viên domain A cũng không thể truy cập vào tài nguyên của B, do không được domain B tin tưởng. Điều này chỉ có thể xảy ra, khi quản trị viên từ domain B cũng có một động thái tương tự.

trust relation ship active directory

trust relation ship active directory

Một vài khái niệm quan trọng khác sẽ được tiếp tục cập nhật trong bài viết này sau !!! 

4 Comments

  1. Son Nguyen 26/09/2014
  2. hack like 19/01/2015
  3. Anna 25/02/2015
  4. 14/03/2015

Leave a Reply

Your email address will not be published. Required fields are marked *

Điền số vào ô:

000webhost logo