Kiến trúc của Active Directory.
Trước khi tìm hiểu khái niệm Active Directory chúng ta tìm hiểu một số khái niệm cơ bản:
1. Objects.
Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và
Attributes. Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các loại đối tượng mà
bạn có thể tạo ra trong Active Directory. Có ba loại object classes thông dụng là: User, Computer,
Printer. Khái niệm thứ hai là Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết
hợp với một đối tượng cụ thể. Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá
trị được gán cho các thuộc tính của object classes.
2. Organizational Units.
Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là một vật chứa các
đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của
bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối
tốt với nhau”. Việc sử dụng OU có hai công dụng chính sau:
- Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho
một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác
quản trị cho người quản trị toàn bộ hệ thống.
- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua
việc sử dụng các đối tượng chính sách nhóm (GPO), các chính sách nhóm này chúng ta sẽ tìm hiểu ở một bài khác.
3. Domain.
Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui
định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống
nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức
năng chính sau:
- Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp
các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các
chính sách bảo mật, các quan hệ ủy quyền với các domain khác.
- Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.
- Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời
đảm bảo các thông tin trên các Server này được được đồng bộ với nhau.
4. Domain Tree.
Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây.
Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain
tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các
domain con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình
thành một cây domain. Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục.
Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện.
5. Forest.
Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các
Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. Ví dụ giả sử một công ty nào đó, chẳng hạn
như Microsoft, thu mua một công ty khác. Thông thường, mỗi công ty đều có một hệ thống Domain
Tree riêng và để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng.
Mình sẽ viết tiếp ở phần sau.
Trả lời với trích dẫn
