Active Directory là một sự ứng dụng của Directory Service, được tích hợp vào trong họ các phiên bản Windows Server, được xem như trái tim của cả hệ thống mạng và cũng góp phần mang đến sự thành công của Windows Server.
Active Directory lưu trữ thông tin và tài nguyên trong hệ thống mạng dưới mô hình tổ chức Directory và họat động với cơ chế là 1 dịch vụ, đó chính là nguyên tắc hoạt động cơ bản của Active Directory, tóm lại Active Directory hoạt động với cơ chế của Directory Service.
I.Sự ra đời của Active Directory
Khi Windows 2000 được phát hành, Microsoft tích hợp một thành phần vẫn còn được dùng tới nay là Active Directory.
II.Khi nào thì sử dụng Active Directory
Một hệ thống mạng thường được xây dựng trên mô hình phổ biến đó là: Workgroup hoặc Domain.
- Mô hình Workgroup:
- Còn gọi là mô hình mạng Peer-To-Peer, là mô hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau.
- Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên cục bộ của mình, tự chứng thực trên máy cục bộ.
- Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng. Mô hình này chỉ phù hợp với các mạng nhỏ và yêu cầu bảo mật không cao.
- Mạng Workgroup thường được triển khai ở hệ thống mạng ở gia đình, mạng phòng Net, mạng của các công ty nhỏ đơn giản…
- Mô hình Domain:
- Hoạt động theo cơ chế Client-Server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller).
- Domain Controller này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng với sự giúp đỡ của dịch vụ Active Directory được xem là quan trọng nhất trong máy chủ Domain Controller.
- Mô hình này được áp dụng cho các công ty vừa và lớn đòi hỏi cao về bảo mật.
III.Khái niệm về Active Directory
Active Directory là một sự ứng dụng của Directory Service, được tích hợp vào trong họ các phiên bản Windows Server, được xem như trái tim của cả hệ thống mạng và cũng góp phần mang đến sự thành công của Windows Server. Active Directory lưu trữ thông tin và tài nguyên trong hệ thống mạng dưới mô hình tổ chức Directory và họat động với cơ chế là 1 dịch vụ, đó chính là nguyên tắc hoạt động cơ bản của Active Directory, tóm lại Active Directory hoạt động với cơ chế của Directory Service.
Vậy Directory Services là gì ?. Directory là một mô hình tổ chức thông tin, dữ liệu mà trong đó các thông tin dữ liệu có mối quan hệ chặc chẽ với nhau. Ví dụ như trong cuốn danh bạ điện thoại, với tên trên danh bạ, ta có thể dễ dàng tra ra được số điện thoại tương ứng.
Trong các hệ thống máy tính phân tán hoặc trong mạng máy tính, có rất nhiều đối tượng được tổ chức, lưu trữ theo cấu trúc Directory như users, file, máy in, máy fax… Và khi người dùng cuối tức là user, muốn sử dụng những đối tượng trên thì sao, ví dụ như user muốn dùng máy in thì sao. Do đó cần có một dịch vụ hỗ trợ user có thể xác định được đối tượng và cho phép user sử dụng nó, vì thế mà ta có định nghĩa Directory Service.
Directory Service là một dịch vụ thư mục được áp dụng trong việc lưu trữ các thông tin, dữ liệu theo kiến trúc tổ chức Directory và quản lí tập trung các đối tượng (ứng dụng dùng chung, user, máy in,…), đơn giản hóa quá trình xác định và quản lí tài nguyên.
Chức năng của Directory Services
Directory Service là một dịch vụ hoạt động như một switchboard chính trong các hệ điều hành máy chủ, nó hỗ trợ các nguồn tài nguyên độc lập và phân tán có thể làm việc với nhau, có thể kết nối với nhau.
Directory Service cung cấp một nền tảng cho các chức năng của một hệ điều hành máy chủ, đảm bảo tính bảo mật, nâng cao hiệu năng khi thiết kế và triển khai các hệ thống mạng, đồng thời giúp người quản trị có thể dễ dàng quản trị được hệ thống.
Các thành phần trong Directory Services
- Object (đối tượng): Trong hệ thống cơ sở dữ liệu, đối tượng bao gồm các máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, …
- Attribute (thuộc tính): Một thuộc tính mô tả một đối tượng . Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng mạng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau, lấy ví dụ như một máy in và một máy trạm, cả hai đều có một thuộc tính là địa chỉ IP.
- Schema (cấu trúc tổ chức): Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đối tượng nào đó. Ví dụ, cho rằng tất cả các đối tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại và tốc độ. Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng “máy in”. Schema có đặc tính là tùy biến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi được. Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ Active Directory
- Container (vật chứa): chứa các đối tượng và các vật chứa khác. Vật chứa cũng có các thuộc tính như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó như đối tượng, có 3 loại vật chứa: Domain, Site, OU (Organizational Unit).
- Global Catalog: Dịch vụ Global Catalog dùng để xác định vị trí của một đối tượng mà người dùng được cấp quyền truy cập.
IV.Kiến trúc Database của Active Directory
- ACTIVE DIRECTORY OBJECTS:
- Dữ liệu trong Active Directory như là thông tin users, máy in, server, database, groups, computers và security policies được tổ chức như các objects (đối tượng).
- Mỗi object có những thuộc tính riêng đặc trưng cho object đó, ví dụ như object user có các thuộc tính liên quan như First Name, Last Name, Logon Name, … và Computer Object có các thuộc tính như Computer Name cùng Description.
- Một số object đặc biệt bao gồm nhiều object khác bên trong được gọi là các “container”, ví dụ như domain là một container bao gồm nhiều user và computer account
- ACTIVE DIRECTORY SCHEMA:
- Trong Active Directory, database lưu trữ chính là AD Schema, Schema định nghĩa các đối tượng được lưu trữ trong Active Directory. Nhưng Schema lưu trữ các đối tượng thế nào? Thực chất, schema là một danh sách các định nghĩa xác định các loại đối tượng và các loại thông tin về đối tượng lưu trữ trong Active Directory. Về bản chất, schema cũng được lưu trữ như 1 object.
- Schema được định nghĩa gồm 2 loại đối tượng (object) là schema class objects và schema Attribute objects.
- Schema Class có chức năng như một template cho việc tạo mới các đối tượng trong AD. Mỗi Schema Class là một tập hợp các thuộc tính của đối tượng(Schema Attribute Objects). Khi bạn tạo một đối tượng thuộc về một loại Schema Class thì Schema Attribute sẽ lưu trữ các thuộc tính của đối tượng đó tương ứng với loại Schema Class của đối tượng.
- Schema Attribute định nghĩa các Schema Class tương ứng với nó. Mỗi thuộc tính chỉ được định nghĩa một lần trong Active Directory và có thể thuộc nhiều Schema Class theo quan hệ một nhiều.
- Mặc định thì một tập hợp các Schema Class và Schema Attribute được đóng gói sẵn chung với Active Directory. Tuy nhiên Schema của Active Directory mở ra một khả năng phát triển mở rộng Schema Class trên các Attribute có sẵn hay là tạo mới các Attribute Schema.
V.Giới thiệu về cấu trúc của Active Directory
Cấu trúc của Active Directory bao gồm 2 phần chính
- Logical Structure – Cấu trúc luận lý
- Physical Structure – Cấu trúc vật lý
Cấu trúc luận lý của Active Directory bao gồm:
- Object: là các đối tượng được tạo ra trong Active Directory, ví dụ: user account, computer account, group account.
- Organizational Unit (OU): là đơn vị nhỏ nhất trong hệ thống Active Directory, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị. Việc sử dụng OU có hai công dụng chính sau:
- Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống.
- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO).
- Domain: là thành phần chính trong cấu trúc luận lý của Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau:
- Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác.
- Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.
- Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được đồng bộ với nhau.
- Domain Tree: là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain.
- Forest: được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. Ví dụ giả sử một công ty nào đó, chẳng hạn như Microsoft thu mua một công ty khác. Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng và để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng.
Cấu trúc vật lý của Active Directory
- Sites
- Domain controlers
- WAN links
Sites:
- Thể hiện cấu trúc vật lý, kiến trúc mạng của doanh nghiệp
- AD lưu trữ thông tin về kiến trúc mạng thông qua: Site và Site link (WAN links).
- Sử dụng để xây dựng mô hình đồng bộ database của dịch vụ AD
- Công cụ quản lý: Active Directory Sites and Services
Domain Controllers:
- Máy chủ sử dụng Windows Server
- Lưu trữ database của dịch vụ Active Directory
- Quản lý user và sự tương tác trong miền:
- Tiến trình đăng nhập của người dùng
- Chứng thực người dùng
- Directory Searches
Global catalog (GC)
- GC lưu trữ tất cả các object của miền chứa GC và một phần các object thường được người dùng tìm kiếm của các domain khác trong forest.
- Global catalog lưu trữ:
- Những thuộc tính thường dùng trong việc truy vấn như user’s first name, last name, logon name
- Thông tin cần thiết để xác định vị trí của bất kỳ object nào trong active directory
- Tập hợp các thuộc tính mặc định cho mỗi loại object
- Quyền truy cập đến mỗi object
Global catalog server: là một Domain Controller lưu trữ tất các AD object trong một forest