DPH Server Active Directory

Tổng quan về Active Directory 1.1Mục đích của Directory Service Directory nghĩa trong thuật ngữ Active Directory là nơi lưu thông tin về các đối tượng có liên quan với nhau theo một cách

Bài 8: ACTIVE DIRECTORY

1 Tổng quan về Active Directory

1.1Mục đích của Directory Service

Directory (nghĩa trong thuật ngữ Active Directory) là nơi lưu thông tin về các đối tượng có liên quan với nhau theo một cách nào đó Ví dụ: sổ điện thoại cũng là một Directory dùng lưu tên, địa chỉ, nghề nghiệp, số điện thoại của nhiều người

Trong hệ thống phân tán, mạng diện rộng, đặc biệt là Internet, có vô số các đối tượng tồn tại trên đó Người sử dụng (NSD) cần biết để truy cập, khai thác Người quản trị cần biết để bảo mật, xử lý sự cố…Nói tóm lại, các đối tượng phải có khả năng được

định vị (locatable) và sử dụng (usable) Directory Service lưu trữ tất cả các thông tin

về từng đối tượng, cho phép có thể tìm kiếm và khai thác

Directory là nới lưu trữ thông tin Directory Service ngoài lưu thông tin còn có thể cho phép sử dụng đối tượng.

Directory Service giúp người sử dụng (bao gồm cả quản trị mạng) không cần nhớ chính xác tên, địa chỉ của đối tượng Họ chỉ cần nhớ một số thuộc tính và Directory Service sẽ tự động tìm Ví dụ: người sử dụng có thể đưa ra yêu cầu “tìm các máy in màu trên tầng 3”

Khi mạng trở nên lớn lên và phức tạp, trên mạng số đối tượng cần quản lý tăng thì nhu cầu sử dụng Directory Service là cần thiết

1.2Windows 2000 Active Directory

đưa thông tin đó đến người sử dụng Các tài nguyên lưu trong Active Directory (dữ liệu, máy in, group…) gọi là các đối tượng (Object)

Thuộc tính (attribute) đối tượng dùng để miêu tả đối tượng Ví dụ: User Account có thể bao gồm các thuộc tính như họ tên, địa chỉ, nghề nghiệp, phòng ban…

Schema là danh sách các định nghĩa mô tả các dạng đối tượng có thể lưu trong Directory Schema xuất hiện dưới hai dạng: Đặc tính (attribute) và lớp (class)

Lớp (Class) miêu tả cách thức một đối tượng có thể được tạo Mỗi một lớp bao

gồm nhiều đặc tính Khi bạn tạo các đối tượng, cácđặc tính sẽ thể hiện đặc điểm đối tượng đó Mọi đối tượng của Active Directory gọi là một thể hiện (instance) của lớp.

Đặc tính (Attrbute) được định nghĩa độc lập với lớp Mỗi đặc tính chỉ định nghĩa

một lần và có thể dùng trong nhiều lớp.

Windows 2000 Server cung cấp sẵn một loạt các lớp và dặc tính Tuy nhiên, quản trị

hệ thống hoàn toàn tự do định nghĩa thêm Chỉ có điều, lược đồ (schema) không thể

bị xoá, tự động nhân bản Bạn phải có kế hoạch chính xác trước khi quyết định tạo lược đồ mới

1.3Các thành phần của Active Directory

Cấu trúc logic: bạn có thể căn cứ vào cách tổ chức của cơ quan, đơn vị mình để tự

tổ chức các đối tượng trong Active Directory theo đó Điều này giúp cho người sử dụng cẩm thấy thân thiện, gần gũi thực tế, họ có thể tìm tài nguyên theo tên thực thay

vì vị trí vật lý Cấu trúc logic bao gồm domain, tree, forest, ou

Vùng (Domain): đơn vị chuẩn trong cấu trúc logic của Active Directory là vùng Các

đối tượng trong một vùng được xem như cần thiết phải có nhau để làm việc Active Directory hình thành từ một hay nhiều vùng Về lý thuyết, một vùng có thể chứa 10

triệu đối tượng, tuy nhiên người ta mới chỉ kiểm tra với 1 triệu đối tượng Các quyền hạn của người dùng có giá trị trong một vùng

Organizational Unit (OU): là một cách tổ chức các đối tượng trong Active Directory

dựa trên mô hình tổ chức thực của cơ quan Một OU có thể bao gồm khoản mục NSD (user account) , máy tính, máy in hoặc các OU trong cùng domain Ví dụ: domain.com hiện tại có 3 OU: US, ORDERS, DISP Khi các giao dịch tăng lên, người quản lý muốn tạo thêm một quản trị cho phòng Order Người này chỉ có quyền tạo khoản mục và cho phép user truy cập file, máy in trong phạm vi phòng Order Thay vì phải thêm một domain, có thể tạo OU từ ORDERS OU như hình dưới đây:

Cây (Tree): là một nhóm các domain có quan hệ cha-con như cơ chế của dịch vụ

Domain Name System (DNS) Trong một cây, tất các vùng chia sẻ một lược đồ (schema) chung

Rừng (Forest): hình thành từ các cây độc lập Trong rừng, các cây lại có thể chia sẻ

với nhau một lược chung Các cây có cơ chế hoạt động riêng, tuy nhiên, thông qua rừng, sẽ có sự trao đổi thông suốt trên toàn mạng công ty

Cấu trúc vật lý: dựa trên cấu trúc vật lý của công ty, bao gồm site, điều khiển vùng (domain controller.)

Site: là sự kết hợp của một hay nhiều phân mạng IP (IP Subnet), kết nối với nhau dựa

trên đường truyền tốc độ cao, tin cậy Lưu ý, khi bạn tìm kiếm tài nguyên trên Active Directory, bạn không có mối liên hệ gì với site.Thậm chí, một domain có thể hình thành từ nhiều site, ngược lại, một site có thể chứa tài nguyên từ nhiều vùng

Điều khiển vùng (Domain Controller): đây là máy tính lưu cơ sở dữ liệu của vùng.

Trong một vùng có thể có nhiều điều khiển vùng, các điều khiển vùng này đều chứa một bản cơ sở dữ liệu Active Directory và có cơ chế đồng bộ hoá dữ liệu khi xuất hiện sự thay đổi Sử dụng nhiều điều khiển vùng nhằm tránh các tình huống có thể xảy ra sự cố, lúc đó, các điều khiển vùng sẽ thay thế nhau

1.4Các khái niệm khác của Active Directory

1.4.1 Global Catalog

Global Catalog là nơi lưu tập trung thông tin về các đối tượng trong cây hoặc rừng Mặc định, Global Catalog được khởi tạo khi trong rừng xuất hiện điều khiển vùng,

gọi là global catalog server Global catalog này lưu các thuộc tính dùng cho vùng nơi

chứa nó và cho mọi vùng trong rừng

1.4.2 Nhân bản (Replication)

Do người dùng có thể truy xuất từ bất kỳ máy nào trong vùng và tại mọi thời điểm nên các điều khiển vùng cần có cơ chế để đồng bộ hoá dữ liệu Các thông tin đó bao gồm: Lược đồ, các thiết lập, các dữ liệu liên quan đến vùng Tuỳ theo đó là điều khiển vùng hay global catalog mà cách nhân bản dữ liệu sẽ khác nhau

1.4.3 Quan hệ tin cậy (Trust Relationship)

Quan hệ tin cậy được thiết lập dựa trên hai vùng, theo đó vùng tin cậy (trusting domain) cho phép người sử dụng từ vùng được tin cậy (trusted domain) đăng nhập và dùng tài nguyên của mình Active Directory có hai loại quan hệ tin cậy:

Implicit two-way transitive trust: là quan hệ giữa các domain cha con trong một cây

và giữa các top-domain của các cây trong một rừng Do đó, trong một cây, các vùng đều có quan hệ tin cậy với nhau và quan hệ đó là quan hệ 2 chiều

Expicit one-way nontransitive trust: là quan hệ giữa các domain không thuộc cùng

một cây Loại quan hệ này không tự động tạo mà bạn phải trực tiếp định nghĩa

1.4.4 DNS và các quy ước về tên

Hệ thống domain trên Active Directory sử dụng cách đặt tên tương tự như Domain Name System (DNS)

Mọi đối tượng trên Active Directory đều có tên Tuỳ mục đích sử dụng, tên đó thuộc

vào một trong ba loại: tên duy nhất (distinguished name), duy nhất tương đối (relative distinguished name), duy nhất tuyệt đối (global unique identifier name) và tên thông dụng (principal name).

Distinguished name (DN): là tên để định danh duy nhất đối tượng trong Active

Directory, cho phép NSD có thể tìm kiếm đối tượng DN bao gồm tên domain chứa đối tượng cùng đường dẫn từ gốc đến đối tượng DN xác định duy nhất đối tượng trên một Active Directory Database

Ví dụ sau là DN xác định firstname, lastname của user trong microsoft.com domain:

/DC=COM/DC=microsoft/OU=dev/CN=Users/CN=Bill Gate

Relative distinguished name (RDN): nếu bạn không biết DN, bạn có thể dùng RDN

để tìm kiếm đối tượng Đó là một thuộc tính của DN Bạn có thể tạo nhiều RDN trùng nhau cho các đối tượng Tuy nhiên, không thể có 2 đối tượng cùng RDN thuộc cùng một OU RDN phải duy nhất trong OU Minh hoạ bằng hình dưới đây:

Global Unique Identifier (GUI): là một số 128 bit đảm bảo mọi đối tượng duy nhất

trên toàn cục GUI gán cho đối tượng khi được tạo và không bao giờ thay đổi kể cả đối tượng bị đổi tên hay di chuyển Bạn có thể dùng GUI để tìm kiếm đối tượng mà không cần quan tâm đến DN (tuy nhiêm khó mà nhớ được GUI) GUI có giá trị trong mọi vùng Bạn hoàn toàn yên tâm khi di chuyển các đối tượng giữa các vùng

GUI được sinh bằng một thuật toán tương đối phức tạp Nếu máy của bạn có Card

mạng, nó sẽ dựa vào MAC để sinh GUI Nếu máy không có Card mạng, nó sẽ giả lập một MAC để sinh Nói chung, xác xuất trung GUI là hầu như không có Về lý thuyết, GUI duy nhất trên phạm vi Internet.

Principal Name: còn gọi là User Principal Name (UPN) hình thành từ tên user

account với domain name Ví dụ: BillGate@Microsoft.Com

2 Cài đặt Active Directory

Sau khi hoàn tất quá trình cài đặt Windows 2000 bạn thực hiện quá trình cài đặt Active Directory Chú ý rằng khi cài đặt Active Directory đồng nghĩa với việc bạn thăng cấp cho máy tính trở thành một điều khiển vùng

Bấm Start->Programs->Administrative Tools->Configure Your Server Tiếp theo, bạn bấm vài liên kết Active Directory, Wizard xuất hiện hướng dẫn bạn quá trình cài Active Directory

Một cách khác đơn giản hơn, bạn có thể gõ lệnh dcpromo.exe tại menu lệnh Run Dùng cách này, bạn có thể loại bỏ Active Directory trên domain controller và chuyển xuống thành Standalone Server

B1 Bạn có thể chọn bổ sung tiếp một domain controller vào domain đã tồn tại hoặc tạo mới domain controller Nếu bạn chọn tạo domain controller mới, tương đương tạo một domain mới

B2 Nếu tạo domain mới, bạn được lựa chọn tạo domain con trong cây domain có sẵn hay tạo cây domain từ đầu Nếu tạo cây từ đầu, bạn có thể tạo thêm rừng hoặc bổ sung vào rừng đã tồn tại

Các file tạo ra khi cài Active Directory:

Directory Database được lưu trong file có tên Ntds.dit, bao gồm schema, global catalog, và mọi đối tượng trên domain controller Mặc định Ntds.dit lưu trong thư mục %systemroot%\Ntds, tuy nhiên, bạn có thể chuyển sang thư mục bất kỳ Theo gợi ý, nên chọn một ổ đĩa độc lập để lưu Ntds, đặc biệt là các ổ có khả năng chống sự

cố ở mức phần cứng Ngoài file Ntds, một thư mục là Sysvol cũng được tạo

Khi cài Active Directory, bạn phải chọn Domain mode Có hai loại domain mode:

Mixed mode: cho phép domain controller có thể tương tác với các domain controller

khác trong domain chạy Windows NT 3.5 hoặc Windows NT 4.0

Native mode: có thể được chuyển từ Mixed mode sang, dùng khi trong mạng toàn

Win2K domain controller

Để cài Active Directory cần có DNS Server Nếu chương trình cài đặt không tìm thấy DNS Server, nó sẽ tự động cài và cấu hình DNS

B3 Bổ sung máy vào domain: khi trong mạng đã có domain controller, bạn có thể bổ sung bất kỳ máy nào (standalone server) vào domain Mở Control Panel, Chọn System, bấm tab Network Identification, chọn Properties, chọn tiếp domain và gõ tên domain mà bạn đã tạo từ trước Về nguyên tắc, trên domain controller phải tạo sẵn account cho máy trước khi có thể bổ sung vào Tuy nhiên, bạn có thể tạo luôn lúc bổ sung, tuy nhiên, bạn phải có account của user trên domain controller có quyền này

3 Quản trị Active Directory

Việc quản trị Active Directory bao gồm tạo OU, bổ sung các object vào OU, tìm kiếm các đối tượng trong Active Directory

3.1Tạo OU

Bạn có thể tạo OU bên dưới domain, domain controller object hoặc bên dưới OU khác Mặc định, thành viên của nhóm Administrator có quyền bổ sung OU

Chọn domain hay đối tượng mà bạn muốn tạo tiếp OU, kích menu Action, chọn New, Organization Unit

Trong ô Name, gõ tên OU

3.2Bổ sung đối tượng vào OU

Các đối tượng bạn có thể bổ sung và OU:

Biểu

tượng

Computer Đại diện một máy tính trong mạng Với Windows NT

Workstation và Windows NT Server, đó chính là machine account

Contact Là một account mà không chứa các thông tin về quyền hạn,

bảo mật Account này không thể logon Thông thường có

Printer Máy in trong mạng.

User Một user có khả năng logon

Shared Folder

Thư mục được chia sẻ

Bấm chọn OU mà bạn muốn bổ sung các đối tượng, chọn menu Action, chọn New và chọn tiếp tên loại đối tượng bạn muốn bổ sung

3.3Quản trị các đối tượng

Tìm kiếm đối tượng: Mở Active Directory Users and Computers trong

Administrative Tools, bấm phím phải lên domain hoặc nhóm bất kỳ, chọn Find Các lựa chọn trong cửa sổ Find bao gồm:

Find Danh sách các loại đối tượng bạn có thể tìm, bao gồm users, contacts,

groups; computers; printers; shared folders; OUs; và tự tuỳ biến Nếu chọn Custom, bạn sẽ xây dựng một truy vấn gọi là Lightweight Directory

Access Protocol (LDAP) Query Ví dụ, LDAP Query: OU=*er*, sẽ tìm

các OU có tên chứa cụm từ "er"

In Danh sách các domain, OU bạn có thể giới hạn để tìm

Browse Cho phép bạn duyệt cấu trúc tìm kiếm

Advanced Cho phép bạn định nghĩa các tiêu chí tìm kiếm mở rộng

Field Danh sách các thuộc tính bạn có thể tìm

Condition Danh sách các điều kiện dựa trên thuộc tính bạn có thể sử dụng để giới

hạn việc tìm kiếm

Value Ô này dùng trong trường hợp bạn sử dụng điều kiện Tại đây bạn có thể

gõ các giá trị mà điều kiện (thuộc tính) phải thoả mãn

Search

Criteria

Danh sách các tiêu chí tìm kiếm bạn đã định nghĩa

Find Now Bắt đầu tìm

Stop Chấm dứt việc tìm kiếm

Clear All Xoá các điều kiện tìm kiếm

Results Danh sách kết quả tìm được

Gán quyền truy cập đối tượng (Object Permission): tương tự như NTFS Permission, Active Directory Object Permission thiết lập quyền quy định user nào có quyền gì trên các đối tượng đó Object Permission cũng bao gồm Standard Permission và Special Permission

Full Control Toàn quyền tác động đến đối tượng

Read Xem đối tượng, thuộc tính, quyền hạn đối tượng, người tạo đối

tượng

Write Thay đổi thuộc tính đối tượng

Create All Child

Objects

Bổ sung đối tượng vào OU

Delete All Child

Objects

Xoá đối tượng từ OU

Để gán Permission cho đối tượng, chọn đối tượng, bấm chuột phải, chọn Properties, bấm tab Security Lưu ý: bạn phải bật View->Advanced Features để nhìn thấy tab Security

Tương tự như NTFS Permission, Object Permission cũng có cơ chế kế thừa và bạn cũng có thể ngăn chặn việc kế thừa

Publishing Resources: để các đối tượng có thể được tìm thấy bởi user, bạn cần

publish

Publish Shared Folder: Mở Active Directory Users And Computers Bấm chuột

phải lên vị trí bạn muốn bổ sung Shared Folder, chọn New, Shared Folder