thinhle@tlnet.com.vn

Dịch vụ thư mục động - Active Directory

Dịch vụ thư mục - Directory Service

Khi người dùng (User) đăng nhập mạng, máy sẽ hỏi tên người dùng (Username) và mật khẩu (Password). Nếu tên người dùng và mật khẩu hợp lệ, máy cho phép truy nhập mạng, giai đoạn này được gọi là chứng thực thành viên mạng (Anthentication). Khi đã đăng nhập mạng, người dùng truy nhập tài nguyên sẽ có hai trường hợp xãy ra.

• Mở được tài nguyên nếu được phép (Authorization).
• Bị từ chối nếu không được phép.

Tóm lại, khi người dùng đăng nhập mạng đều phải qua hai giai đoạn kiểm tra.

• Kiểm tra chứng thực thành viên mạng.
• Kiểm tra sự cho phép (Permission) truy nhập tài nguyên.

Tên người dùng, mật khẩu, thông tin cho phép người dùng truy nhập tài nguyên được lưu trữ trong tệp tin ntds.dtt. Tệp tin ntds.dtt và trình quản lý được gọi là Directory Service.

Directory ở đây không phải là thư mục chứa tệp tin mà bạn cần phải hiểu đó là một cơ sở dữ liệu về danh mục người dùng.

Tài khoản người dùng - User Account

Khi đăng ký sử dụng mạng, người dùng sẽ nhận được một tài khoản gồm hai tên.

• Pre-Windows 2000 User Logon Name. Tên này dùng để đăng nhập mạng từ những máy sử dụng hệ điều hành trước Windows 2000 như Windows 3.x/95/98.
• User Principal Names Suffix hay Logon Name.

Thí dụ: Anh Nam đăng ký tên sử dụng trên Domain abc.com thì anh Nam được cấp hai tên là Nam dùng cho chương trình Pre-Windows 2000 và nam@abc.com.

UPN (User Principal Names) hay Logon Name

Syntax:name@domainname

• name: tên người dùng.
• domainname: tên vùng domain.

Microsoft hướng cách đặt tên theo mẫu tên E-mail. Trên môi trường có nhiều Domain, Windows 2000 Server muốn xác định User này từ Domain nào đăng nhập vào.

Hậu tố UPN (UPN Suffix)

Hậu tố UPN là phần đi sau ký tự @ của tên UPN.

Khi đăng ký tên vào một vùng nào đó, thì ngoài tên của người dùng, vùng Domain người dùng đăng ký Windows 2000 Server còn cho phép người dùng tự đặt phần tên vùng cho tiện sử dụng.

Thí dụ: Anh Nam đăng ký sử dụng vào vùng Domain abc.com. Như thế theo cách đặt tên ở trên anh Nam se nhận được tài khoản tên: nam@abc.com. Tuy nhiên, anh Nam muốn có tên tài khoản là nam@microsoft.com. Để được như vậy anh Nam đăng ký tên name, tên Domain abc.com đồng thời đăng ký thêm hậu tố microsoft.com.

Computer Account

Tài khoản do người quản trị mạng khởi tạo cho các server nối vào Domain. Computer Account phải giống với tên server nối vào Domain.

Server trong một Domain xác định cho phép người dùng truy nhập tài nguyên của nó dựa trên việc xác định tính hợp pháp của User trong Domain (yêu cầu Domain Controller xác định).

Server sau khi kết nối được với Domain thì nó đổi ngay mật khẩu của nó và cứ mỗi 7 ngày server đổi một lần.

Primary DNS Suffix: tên Domain mà Server nối vào.

DNS Host Name của máy là tên ghép của tên máy và tên Domain mà Server đó nối. Thí dụ webserver.sunlight.com

Service: Pruncipal Name: được xậy dựng từ DNS Host Name. Client tìem kiếm Computer Account dựa trên tên Service Principal Name của Service mà nó truy xuất tới.

Domain

Tệp tin ntds.dit và trình quản lý tệp tin ntds.dit tạo ra Directory Service, được dùng để kiểm tra đăng nhập và truy nhập tài nguyên mạng.

Máy lưu tệp tin ntds.dit được gọi là Domain Controller hay Active Directory Server, đôi khi còn được gọi là Logon Server.

Một nhóm máy tính trong đó có Domain Controller được giao cho việc kiểm tra đăng nhập và truy nhập tài nguyên của nhóm được gọi là Domain.

Đặc điểm

• Có sách lược an toàn mạng riêng không ảnh hưởng tới mạng khác.
• Có thể ủy thác (Trust) quyền truy nhập cho Domain khác hay đơn vị trong Domain.
• Domain phản ảnh lại mô hình hoạt động của cơ quan, đơn vị.
• Mỗi Domain chỉ chứa thông tin về các đối tượng (User, Group Computer) của Domain đó mà thôi.

Ủy thác giữa hai Domain

Ủy thác cho phép thiết lập mối quan hệ giữa hai Domain cho phép người dùng của Domain này Logon vào Domain kia. Thí dụ: Có hai Domain A và B, giả sử Domain B được ủy thác bởi Domain A. Như vậy, người dùng ở Domain B sẽ Logon vào được Domain A, nhưng người dùng ở Domain A không Logon vào được Domain B. Sự ủy thác này là ủy thác một chiều. Trên Winodws 2000 Server, sự ủy thác được tự động hiểu là hai chiều.

Cây Domain và rừng các cây Domain - Domain Trees and Forest

Cây Domain - Domain Tree

Domain được tạo ra đầu tiên được gọi là Domain gốc, Domain thứ hai được tạo ra sẽ được gọi là Domain con và tiếp tục sẽ có Domain cháu, chắt, .... Tập hợp các Domain đó được gọi là cây Domain.

Thí dụ:

• abc.com
  • con1.abc.com
    • chau1.con1.abc.com
    • chau2.con1.abc.com
  • con2.abc.com
    • chau1.con2.abc.com
    • chau2.con2.abc.com

Đặc điểm

• Các Domain được gọi là cùng một cây nếu được đặt tên nối tiếp với Domain cha. Thí dụ: Domain gốc được đặt tên abc.com, Domain con phải được đặt tên con.abc.com (có phần tên của Domain cha nối đuôi).
• Các Domain trên cùng một cây tự động có quan hệ ủy thác hai chiều và chuyển tiếp.

Ủy thác hai chiều:

Domain A ủy thác cho Domain B và ngược lại.

Chuyển tiếp

Domain A ủy thác cho Domain B, Domain B ủy thác cho Domain C thì cũng có nghĩa là Domain A ủy thác cho Domain C.

Rừng của các cây Domain

• Mỗi rừng Domain bao gồm từ hai cây Domain trở lên, tên của các Domain gốc của các cây trên một rừng không cần đặt theo các nối tiếp.
• Mỗi một rừng có một Domain gốc và là Domain đầu tiên của rừng đó.
• Giữa các cây tự động ủy thác chuyển tiếp.
• Có chung thông tin cấu hình.
• Có chung Global Catalog.

OU (Organization Unit)

OU là một nhóm bao gồm thành viên User, Group, Computer hay OU khác mà được ủy thác một số quyền quản lý nhất định.

Groups

Groups cũng là một nhóm bao gồm thành viên User, Group, Computer, nhưng những quyền gán cho nhóm có ảnh hưởng trên toàn mạng. Ví dụ nhóm Administrator, các thành viên của nhóm này sẽ có mọi quyền trên toàn Domain.

Để dễ quản lý, người quản trị thường cấp phép truy nhập tài nguyên tới nhóm hơn là cấp riêng cho từng người dùng.

Các loại nhóm - Group Types

Có hai loại nhóm trên Windows 2000 Server

• Security group: định nghĩa quyền truy xuất tài nguyên của một nhóm người dùng..
• Distribution group: được sử dụng cho các ứng dụng E-mail, chẳng hạn như Exchange để gởi E-mail đến một nhóm người dùng.

Phạm vi của nhóm

• Universal Scope: Bao gồm các thành viên của từ bất kỳ Domain của cây Domain hay của rừng các cây Domain nào và được cấp quyền tới bất kỳ Domain nào trên cây Domain hay rừng cây Domain.
• Group có các thành viên ở toàn bộ hệ thống mạng được gọi là Universal Group.
• Global Scope: Bao gồm các thành viên từ domain mà nhóm định nghĩa và được cấp quyền tới bất kỳ Domain nào trên rừng cây Domain và được gọi là Global Group.
• Local Scope: Bao gồm các thành viên trên một Domain và được cấp quyền trên Domain đó.

Built in group

Là nhóm đã được tạo sẵn trên Windows 2000 Server, thí dụ nhóm Administrator là nhóm được tất cả các quyền trên Domain.

• Administrators có toàn quyền trên mạng.
• Backup Operators được quyền backup và restore tệp tin ngay cả thành viên đó không có quyền truy nhập đến tệp tin đó.
• Account Operator được phép khởi tạo, xóa các tài khoản người dùng, nhóm trên Domain. Tuy nhiên, thành viên của nhóm không được thao tác tới các nhóm Administrators, Domain Admins Account Operators, backup Operators, Print Operators và Server Operators. Thêm các máy tính tới Domain, Logon at server và Shutdown Server.
• Server Operators có quyền quản lý các Server của Domain.
• Print Operator printer share.
• Users có thể chạy Application
• Guest
• Replicator
• Khởi tạo, xóa các Printer ở Server.
• Backup, Restore số liệu.
• Format đĩa cứng Server.
• Lock, Unlock Server.
• Unlock file.
• Thay đổi thời gian hệ thống.
• Logon tới mạng từ Server, Shutdown Server.

Ngoài ra trên Domain Controller còn có các nhóm

• Domain Admin.
• Domain User.
• Domain Guest.

Các nhóm đặc biệt

• Everyone: bao gồm tất cả các User của mạng. Khi người dùng đăng nhập tới mạng, chúng tự động được thêm vào nhóm Everyone.
• Network là nhóm các User đang truy xuất tài nguyên mạng. Khi người dùng truy xuất tới tài nguyên của mạng, người dùng tự động được gắn cho nhóm Network.
• Interactive là nhóm của các User đang đăng nhập vào một máy tính và truy xuất tài nguyên trên máy đó.

Sao y Active Directory - Active Directory Replication

Một hệ WAN gồm hai LAN ở cách xa nhau. Mỗi một LAN đều có một Domain Controller riêng và có khả năng xử lý đăng nhập mạng. Tuy nhiên, các LAN này phải liên lạc với nhau để trao đổi thông tin về Directory. Thí dụ trên một LAN có sự thay đổi mật khẩu của người dùng hay tạo người dùng mới, thì thông tin đó phải được sao lưu một bản giống như vậy qua LAN kia. Sự sao y thông tin về Directory giữa các Domain Controller được gọi là Replication.

Có ba loại dữ liệu trong Active Directory được sao lưu

• Domain Data chứa thông tin về đối tượng (User, Group) trên một Domain và các nguồn tài nguyên sử dụng chung.
• Configuration Data bao gồm bảng liệt kê các Domain,  Tree, Forest và Global Catalog.
• Schema Data: các định nghĩa và thuộc tính của đối tượng.

Site

Việc sao y thông tin hệ thống giữa các Domain Controller trên cùng LAN thì không có gì xảy ra.

Nhưng đối với WAN cần xem xét lại việc sao y giữa LAN với LAN.

Site là một đơn vị LAN

Sao y hệ thống tùy thuộc vào người điều hành thiết lập sao cho truyền được tốt nhất và giá thành hạ nhất.

Global Catalog

Global Catalog được khởi tạo tự động khi khởi tạo Domain Controller gốc của một Forest. Nó lưu toàn bộ Replicate Domain của nó và một Raplicate của các đối tượng của các Domain khác.

Global Catalog thực hiện hai vai trò

• Cho phép người dùng thực hiện đăng nhập mạng ở bất kỳ vị trí nào, không quan tâm phải đúng vị trí Domain.
• Giúp tìm kiếm thông tin thư mục dễ hơn.

Các dạng Domain

Single Domain

Một Domain duy nhất. Với một vài Domain Controller dạng này phù hợp với LAN nhỏ hay cơ quan có cấu trúc tập trung, giữa các đơn vị bộ phận không cần riêng biệt. Có thể sử dụng mô hình cây các OU để phân một số quyền giới hạn tới đơn vị bộ phận trực thuộc.

Master Domain

Cần tổ chức Master Domain với các lý do

• Số người dùng đông không tiện việc quản lý cập nhật.
• Giữa các ban ngành, đơn vị đòi hỏi mật khẩu và chế độ an toàn riêng.
• Đòi hỏi tên Internet riêng trong từng ban ngành

Domain Master chính là Domain gốc của cây

Multi Master Domain

Cần tổ chức Multi Domain Master với các lý do

• Cơ quan quá lớn, nhiều người và bố trí trên nhiều vùng khác nhau
• Mỗi nơi đòi hỏi tổ chức mạng phù hợp với hình thức hoạt động cho nơi đó.
• Với từng đặc thù riêng mỗi nơi cần một người quản trị và kế hoạch an toàn mạng rừng cho từng nơi không ảnh hưởng tới các nơi khác.

Complete Trust Model

Các Domain độc lập hoàn toàn không chia xẻ thông tin với các Domain khác. Việc trao đổi thông tin chỉ thực hiện Trust các Domain.

Khởi tạo Domain Controller

Khởi tạo Domain Controller là để

• Khởi tạo Domain đầu tiên của mạng (Domain gốc của rừng cây Domain).
• Khởi tạo Domain con của một cây Domain.
• Khởi tạo Domain gốc của một cây Domain.

Trong một Domain có thể khởi tạo được hai Domain Controller. Trong đó một Domain Controller đóng vai trò

• Operation Master Domain Controller.
• Standby Operation Master Domain Controller: dự phòng nếu Operation Master Domain Controller hỏng thì nâng Standby Operation Master Domain Controller.

Một số vai trò của Domain Controller

Schema Master: kiểm soát việc truy nhập và thay đổi Schema.

Domain Naming Master: giữ vai trò thêm bớt Domain trong rừng Domain.

Relative ID Master: cấp chuỗi ID tới các Domain Controller của nó khi khởi tạo User, Group hay Computer, domain Controller gần cho đối tượng một ID gồm hai phần

• Domain Security ID.
• Relative ID.

PDC Emulator: nếu trong Domain có một WinNT Backup Domain Controller thì PDC Emulator đóng vai trò Primary Domain controller.

Infrastructure Master cập nhật thông tin các đối tượng.