Chức năng của active directory là gì năm 2024

Active Directory (AD) là một công nghệ của Microsoft. Được sử dụng để quản lý máy tính và các thiết bị khác trên mạng. Đây là một tính năng chính của Windows Server. Một hệ điều hành chạy cả máy chủ cục bộ và máy chủ dựa trên Internet.

Công nghệ container do Docker cung cấp hứa hẹn sẽ thay đổi cách thức hoạt động của CNTT. Giống như cách mà công nghệ ảo hóa đã làm một vài năm trước đây.

Lợi ích của Active Directory

• Cơ cấu tổ chức phân cấp.
• Xác thực Multimaster & Sao chép Multimaster. Khả năng truy cập và sửa đổi AD DS từ nhiều điểm quản trị.
• Một điểm truy cập duy nhất của tài nguyên mạng.
• Khả năng tạo mối quan hệ tin cậy với các mạng bên ngoài chạy các phiên bản trước đó của AD. Thậm chí là Unix.

Dịch vụ thư mục

Là sự sắp xếp phân cấp của các đối tượng được cấu trúc theo cách giúp truy cập dễ dàng. Tuy nhiên, hoạt động như một dịch vụ định vị không phải là mục đích độc quyền của AD. Nó cũng giúp các tổ chức có một quyền trung ương đối với tất cả các hoạt động được thực hiện trong mạng của họ. Về cơ bản là một dịch vụ thư mục mạng:

• Cung cấp thông tin về các đối tượng người dùng, máy tính và dịch vụ trong mạng.
• Lưu trữ thông tin này trong cơ sở dữ liệu an toàn và cung cấp các công cụ để quản lý và tìm kiếm thư mục.
• Cho phép quản lý tài khoản người dùng và tài nguyên, áp dụng các chính sách một cách nhất quán khi cần thiết bởi một tổ chức.

Active Directory cung cấp một số dịch vụ khác nhau. Nằm dưới sự bảo trợ của Dịch vụ miền Active Directory, hay hoặc AS DS. Những dịch vụ này bao gồm:

1. Dịch vụ tên miền – Lưu trữ dữ liệu tập trung và quản lý giao tiếp giữa người dùng và tên miền. Bao gồm xác thực đăng nhập và chức năng tìm kiếm
2. Dịch vụ chứng nhận – Tạo, quản lý và chia sẻ chứng chỉ. Chứng chỉ sử dụng mã hóa để cho phép người dùng trao đổi thông tin qua internet một cách an toàn bằng khóa chung.
3. Dịch vụ thư mục nhẹ – Hỗ trợ các ứng dụng kích hoạt thư mục bằng giao thức mở (LDAP).
4. Dịch vụ liên kết thư mục – Cung cấp đăng nhập một lần (SSO). Để xác thực người dùng trong nhiều ứng dụng web trong một phiên duy nhất.
5. Quyền quản lý – Kiểm soát quyền thông tin và quản lý. AD RMS mã hóa nội dung, như email hoặc tài liệu Word trên máy chủ để hạn chế quyền truy cập.

Bộ kiểm soát miền

Một máy chủ đang chạy AD DS được gọi là bộ điều khiển miền. Bộ điều khiển miền lưu trữ và sao chép cơ sở dữ liệu dịch vụ thư mục trong forest. Dịch vụ thư mục cũng cung cấp các dịch vụ để quản lý và xác thực tài nguyên trong forest. Các máy chủ này lưu trữ các dịch vụ thiết yếu trong AD DS, bao gồm:

– Trung tâm phân phối khóa Kerberos (kdc)

– NetLogon (Netlogon)

– Giờ Windows (W32time)

– Nhắn tin liên tục (IsmServ)

Active Directory Objects

Container Objects

Những đối tượng này có thể chứa các đối tượng khác bên trong chúng. Ta có thể tạo bộ sưu tập từ chúng. Ví dụ như forest, tree, miền, đơn vị tổ chức.

Leaf Objects Những đối tượng này không thể chứa các đối tượng khác bên trong chúng. Ví dụ như: người dùng cũ, máy tính, máy in, v.v.

Active Directory Concepts:

• Schema – Một tập hợp các quy tắc, lược đồ, xác định các lớp đối tượng và thuộc tính có trong thư mục. Các ràng buộc và giới hạn đối với các thể hiện của các đối tượng này và định dạng tên của chúng.
• Global catalog – Một danh mục toàn cầu có chứa thông tin về mọi đối tượng trong thư mục. Điều này cho phép người dùng và quản trị viên tìm thông tin thư mục bất kể tên miền nào trong thư mục thực sự chứa dữ liệu.
• Forest Root Domain – Tên miền đầu tiên được cài đặt trong Active Directory Forest được gọi là miền gốc.
• Sites – Các trang web trong AD DS đại diện cho cấu trúc vật lý hoặc cấu trúc liên kết của mạng của bạn. AD DS sử dụng thông tin cấu trúc mạng, được lưu trữ trong thư mục dưới dạng đối tượng trang web, mạng con và liên kết trang web, để xây dựng cấu trúc liên kết nhân rộng hiệu quả nhất. Lightweight Directory Access Protocol – AD dựa trên Giao thức truy cập thư mục nhẹ (LDAP). Giao thức này cung cấp một ngôn ngữ chung cho khách hàng và máy chủ để nói chuyện với nhau.

Một dịch vụ mà Microsoft nghiên cứu, xây dựng và phát triển. Đây là một dịch vụ không thể thiếu được trên tất cả các phiên bản Windows Server từ trước đến nay. Dịch vụ đó chính là Domain services active directory. Vậy dịch vụ Domain services active directory là gì? Có những hoạt động, đặc điểm gì mà được nhiều người quan tâm đến thế? Hãy cùng tôi tìm hiều nhé.

1.Giới thiệu chung về Domain services active directory

1.1. Domain services active directory là gì?

Domain services active directory (AD DS) được coi là một kho dữ liệu lưu trữ những thông tin liên quan đến các đối tượng truy cập, quản trị viên hay người dùng… Một dịch vụ không thể thiếu trên tất cả các phiên bản Windows Server từ xưa đến nay.

Chúng lưu trữ dưới dạng một object. Mỗi object sẽ là mỗi thành phần đơn lẻ, như group, ứng dụng, user hoặc thiết bị.

Domain services active directory phân loại object theo tên và thuộc tính. Ví dụ; tên của một user có thể bao gồm 1 dải tên cùng với các thông tin liên quan đến user đó như mật khẩu và secure shell (SSH) key.

1.2. Các cấu trúc của Domain services active directory

Active Directory Objects

Dữ liệu trong Domain services Active Directory như là thông tin tài khoản và các thuộc tính xoay quanh đối tượng như: server, printer, user, computers, groups, database và security policies được tổ chức như các objects.

Mỗi object đều có những đặc tính riêng của chúng, ví dụ như object user có các thuộc tính liên quan như First Name, Last Name, Logon Name,… và Computer Object có các thuộc tính liên quan như Computer name cùng Description.

Một số object đặc biệt bao gồm nhiều object khác bên trong được gọi là các “Container”, ví dụ như Domain là một container bao gồm nhiều computer account và user.

Active Directory Schema

Trong Active Directory, database lưu trữ chính là AD Schema, Schema định nghĩa rằng các đối tượng được lưu trữ trong Active Directory. Thực chất, Schema là một danh sách các định nghĩa các loại đối tượng và các loại thông tin về đối tượng lưu trữ trong Active Directory.

Schema được định nghĩa gồm 2 loại đối tượng (object) là: Schema Attribute objects và Schema Class objects.

Schema Class: Có vai trò như một template cho việc tạo mới các đối tượng trong AD. Mỗi một Schema Class là một tập hợp các thuộc tính của đối tượng (Schema Attribute Objects). Trường hợp bạn tạo một đối tượng thuộc về một loại Schema Class thì Schema Attribute sẽ lưu trữ các thuộc tính của đối tượng đó tương thích với loại Schema Class của đối tượng.

Schema Attribute: Định nghĩa các Schema Class tương ứng với nó, có giá trị như một template cho việc tạo mới các đối tượng trong AD. Mỗi thuộc tính chỉ được định nghĩa một lần trong Active Directory và có thể thuộc nhiều Schema Class theo quan hệ một nhiều (1-m).

Mặc định thì một tập hợp các Schema Class và Schema Attribute được đóng gói sẵn chung với Active Directory. Tuy nhiên Schema của Active Directory mở ra một khả năng phát triển mở rộng Schema Class trên các Attribute có sẵn hay là tạo mới các Attribute Schema.

Tuy nhiên để có thể mở rộng phát triển với Schema AD, chúng ta cần chuẩn bị kỹ lưỡng thông qua các bản thiết kế rõ ràng và xem xét nhu cầu có cần thiết hay không, vì độ rủi ro trong việc này khá cao đối với các hệ thống đang hoạt động ổn định. Schema ảnh hưởng trực tiếp đến hệ thống của bạn.

Active Directory Components

Trong mô hình mạng doanh nghiệp, các components của Domain services Active Directory được sử dụng và áp dụng vào mục đích xây dựng nên các mô hình phù hợp với nhu cầu của doanh nghiệp. Xét về khía cạnh mô hình kiến trúc của AD thì ta phân làm 2 loại là Physical và Logical.

Logical Structure (Kiến trúc luận lý)

Trong AD, việc tổ chức tài nguyên theo cơ chế Logical Structure, được ánh xạ thông qua mô hình Domains, forest, trees và OUs. Nhóm các tài nguyên được tổ chức một cách luận lý cho phép bạn có thể dễ dàng truy xuất đến tài nguyên hơn là phải nhớ cụ thể vị trí vật lý của chúng.

• Domain: Cốt lõi của kiến trúc tổ chức luận lý trong AD chính là domain, nơi lưu trữ hàng triệu objects (đối tượng). Tất cả các objects trong hệ thống mạng thuộc domain thì sẽ do chính domain đó lưu trữ thông tin của các đối tượng.
• Active Directory được tạo ra bởi một hay nhiều domain và một domain, chúng có thể triển khai trên nhiều Physical Structure. Việc access vào domain được quản trị thông qua Access Control Lists.
• OUs: OU là một container được dùng để tổ chức các đối tượng trong một domain thành các nhóm quản trị luận lý (logical). OUs cung cấp những phương tiện thực hiện các tác vụ quản trị trong hệ thống như là quản trị resources và user, đó là những scope đối tượng nhỏ nhất mà bạn có thể ủy quyền xác thực quản trị. OUs bao gồm nhiều đối tượng khác nhau như là groups, user accound, computers và các OUs khác tạo nên các cây OUs trong cùng một domain. Các cây OUs trong một domain độc lập với kiến trúc các cây OUs thuộc các domain khác.
• Trees: Trees là một nhóm các domain được tổ chức theo cấu trúc hình cây với mô hình parent-child ánh xạ từ thực tế tổ chức của doanh nghiệp, tổ chức. Một domain có 1 họăc nhiều child domain nhưng 1 child domain chỉ có 1 parent-domain. Ví dụ: Trong domain com, có các domain thấp hơn là abc.framgia.com và xyz.framgia.com thì được hiểu là Tree.
• Forests: Forest là một thuật ngữ được đặt ra nhằm chỉ khái niệm một mô hình tổ chức của AD, một forest gồm nhiều domain trees có quan hệ liên kết với nhau, các domain trees trong forest luôn độc lập với nhau về tổ chức, có thể hiểu rằng khi mối quan hệ giữa các domain trees là quan hệ Trust 2 chiều như các partners với nhau. Một forest phải đảm bảo thoả mãn các đặc tính sau:
• Trong forest phải có một schema chia sẻ chung trên toàn bộ domain. Các domain trong forest phải có 1 global catalog (GC) chia sẻ chung.
• Các domain trong forest bắt buộc phải có mối quan hệ trust 2 chiều với nhau. Các tree trong 1 forest phải có cấu trúc tên (domain name) khác nhau, không được trùng lặp
• Các domain trong forest hoạt động độc lập với nhau, tuy nhiên hoạt động của forest là hoạt động của tất cả hệ thống.

Physical Structure (Kiến trúc vật lý):

Xét về khía cạnh physical component của AD sẽ gồm 2 phần là Sites và Domain Controllers. Tùy thuộc vào mô hình tổ chức của công ty, người quản trị sẽ thiết kế sao cho phù hợp nhất và dùng các components.

Domain Controller (DC) là 1 máy tính hay server chuyên dụng, máy ảo được triển khai cài đặt Windows Server và lưu trữ bản copy của Domain Directory (local domain database):

• Mỗi Domain Controller lưu trữ các bản copy thông tin của Active Directory cho chính domain đó, có trách nhiệm quản lý thông tin và tiến hành đồng bộ dữ liệu với các domain controller khác trong cùng một domain.
• Có khả năng tự đồng bộ hóa dữ liệu với các DC khác trong cùng domain. Khi thực hiện tác vụ sẽ được đồng bộ hóa đến DC khác. Khi có thay đổi cập nhật trong hệ thống thì DC nào giữa 5 master roles sẽ được cập nhật trước sau đó đồng bộ các thay đổi này về các DC khác trong hệ thống mạng.
• Operations Master Roles (FSMO) là các roles đặc biệt được Assigned với 1 hoặc nhiều domain controllers khác để thực hiện đồng bộ theo cơ chế single-master.

2.Chức năng của Domain services actice directory

• Dịch vụ miền: Chức năng chính của AD DS là lưu trữ dữ liệu và quản lý thông tin liên lạc giữa người dùng và DC, thông tin được đảm bảo
• Thư mục nhẹ: được hỗ trợ LDAP cho các dịch vụ miền nhiều nền tảng, giống như bất kỳ máy tính Linux nào trong mạng của bạn. Thư mục lưu trữ dung lượng nhỏ, dễ dàng thực hiện lưu trữ thông tin mà không phải lo rằng file bị nặng, hay tốc độ load bị chậm.
• Quyền quản lý dữ liệu: Cung cấp cho bạn quyền kiểm soát thông tin chính xác về chính sách truy cập dữ liệu …
• Chức năng liên kết thư mục: Cung cấp xác thực cho nhiều ứng dụng trong cùng một phiên, vì vậy người dùng không phải tiếp tục cung cấp cùng một thông tin đăng nhập.
• Cung cấp chứng chỉ: Cho phép DC của bạn cung cấp chứng chỉ số, chữ ký và mật mã khóa một cách công khai.

Lời kết:

Chúng tôi đã cung cấp những thông tin liên quan đến Domain services active directory. Hy vọng qua bài viết này bạn sẽ xem xét, và hiểu dịch vụ này một cách dễ hiểu và đơn giản hơn.