DPH Server Active Directory

Bài 8: ACTIVE DIRECTORY

Tổng quan về Active Directory

Mục đích của Directory Service
Directory (nghĩa trong thuật ngữ Active Directory) là nơi lưu thông tin về các đối tượng có liên quan với nhau theo một cách nào đó. Ví dụ: sổ điện thoại cũng là một Directory dùng lưu tên, địa chỉ, nghề nghiệp, số điện thoại của nhiều người.
Trong hệ thống phân tán, mạng diện rộng, đặc biệt là Internet, có vô số các đối tượng tồn tại trên đó. Người sử dụng (NSD) cần biết để truy cập, khai thác. Người quản trị cần biết để bảo mật, xử lý sự cố…Nói tóm lại, các đối tượng phải có khả năng được định vị (locatable) và sử dụng (usable). Directory Service lưu trữ tất cả các thông tin về từng đối tượng, cho phép có thể tìm kiếm và khai thác.
Directory là nới lưu trữ thông tin. Directory Service ngoài lưu thông tin còn có thể cho phép sử dụng đối tượng.
Directory Service giúp người sử dụng (bao gồm cả quản trị mạng) không cần nhớ chính xác tên, địa chỉ của đối tượng. Họ chỉ cần nhớ một số thuộc tính và Directory Service sẽ tự động tìm. Ví dụ: người sử dụng có thể đưa ra yêu cầu “tìm các máy in màu trên tầng 3”



Khi mạng trở nên lớn lên và phức tạp, trên mạng số đối tượng cần quản lý tăng thì nhu cầu sử dụng Directory Service là cần thiết.

Windows 2000 Active Directory

Directory Service trong Windows 2000 Server gọi chung là Active Directory. Như vậy Actice Directory bao gồm Directory, lưu thông tin, và các dịch vụ (Service) nhằm đưa thông tin đó đến người sử dụng. Các tài nguyên lưu trong Active Directory (dữ liệu, máy in, group…) gọi là các đối tượng (Object).

Thuộc tính (attribute) đối tượng dùng để miêu tả đối tượng. Ví dụ: User Account có thể bao gồm các thuộc tính như họ tên, địa chỉ, nghề nghiệp, phòng ban…




Schema là danh sách các định nghĩa mô tả các dạng đối tượng có thể lưu trong Directory. Schema xuất hiện dưới hai dạng: Đặc tính (attribute) và lớp (class).
Lớp (Class) miêu tả cách thức một đối tượng có thể được tạo. Mỗi một lớp bao gồm nhiều đặc tính. Khi bạn tạo các đối tượng, cácđặc tính sẽ thể hiện đặc điểm đối tượng đó. Mọi đối tượng của Active Directory gọi là một thể hiện (instance) của lớp.
Đặc tính (Attrbute) được định nghĩa độc lập với lớp. Mỗi đặc tính chỉ định nghĩa một lần và có thể dùng trong nhiều lớp.
Windows 2000 Server cung cấp sẵn một loạt các lớp và dặc tính. Tuy nhiên, quản trị hệ thống hoàn toàn tự do định nghĩa thêm. Chỉ có điều, lược đồ (schema) không thể bị xoá, tự động nhân bản. Bạn phải có kế hoạch chính xác trước khi quyết định tạo lược đồ mới.

Các thành phần của Active Directory

Cấu trúc logic: bạn có thể căn cứ vào cách tổ chức của cơ quan, đơn vị mình để tự tổ chức các đối tượng trong Active Directory theo đó. Điều này giúp cho người sử dụng cẩm thấy thân thiện, gần gũi thực tế, họ có thể tìm tài nguyên theo tên thực thay vì vị trí vật lý. Cấu trúc logic bao gồm domain, tree, forest, ou.

Vùng (Domain): đơn vị chuẩn trong cấu trúc logic của Active Directory là vùng. Các đối tượng trong một vùng được xem như cần thiết phải có nhau để làm việc. Active Directory hình thành từ một hay nhiều vùng. Về lý thuyết, một vùng có thể chứa 10 triệu đối tượng, tuy nhiên người ta mới chỉ kiểm tra với 1 triệu đối tượng. Các quyền hạn của người dùng có giá trị trong một vùng.

Organizational Unit (OU): là một cách tổ chức các đối tượng trong Active Directory dựa trên mô hình tổ chức thực của cơ quan. Một OU có thể bao gồm khoản mục NSD (user account) , máy tính, máy in hoặc các OU trong cùng domain. Ví dụ: domain.com hiện tại có 3 OU: US, ORDERS, DISP. Khi các giao dịch tăng lên, người quản lý muốn tạo thêm một quản trị cho phòng Order. Người này chỉ có quyền tạo khoản mục và cho phép user truy cập file, máy in trong phạm vi phòng Order. Thay vì phải thêm một domain, có thể tạo OU từ ORDERS OU như hình dưới đây:




Cây (Tree): là một nhóm các domain có quan hệ cha-con như cơ chế của dịch vụ Domain Name System (DNS). Trong một cây, tất các vùng chia sẻ một lược đồ (schema) chung.


Rừng (Forest): hình thành từ các cây độc lập. Trong rừng, các cây lại có thể