Active Directory là gì? (Phần 1)

Trong bài viết này, ITNow sẽ cung cấp cho bạn Active Directory là gì và tại sao cần phải thực thi Active Directory nhé!

1. Active Directory là gì?

Active Directory là một dịch vụ thư mục (được gọi là Directory Service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows. Giống như các dịch vụ thư mục khác như Novell Directory Services (NDS), Active Directory chính là một hệ thống chuẩn và tập trung, giúp tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác các thư mục khác. Hơn nữa, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó.

Active Directory có thể xem như là một điểm phát triển mới so với Windows 2000 Server, được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003, và trở thành một phần quan trọng của hệ điều hành. Windows Server 2003 Active Directory cung cấp một tham chiếu, gọi là Directory service, đến tất cả các đối tượng trong một mạng bao gồm user, groups, computer, printer, policy và permission.

Active Directory là 1 dạng cơ sở dữ liệu với mục đích rõ ràng, riêng biệt nhưng nó hoàn toàn không phải là 1 sự thay thế cho Registry của Windows. Các bạn hãy hình dung rằng 1 mạng lưới client rộng lớn có hàng trăm, hàng ngàn nhân viên và mỗi nhân viên lại có tên (họ và tên) khác nhau, công việc khác nhau và phòng ban khác nhau…, mỗi server quản lý nhiều client đó phải có Active Directory với mục đích phân loại và xử lý công việc một cách tối ưu nhất. Các phần dữ liệu trong Active Directory đều có tính kế thừa, nhân rộng và cấp bậc… rõ ràng và linh hoạt.

>> Tiết lộ Bảo mật thông tin là gì? Tầm quan trọng của nó

2. Tại sao cần phải thực thi Active Directory?

Microsoft Active Directory được xem là một bước tiến triển đáng kể so với Windows NT Server 4.0 Domain hoặc thậm chí các mạng máy chủ standalone. Active Directory có một cơ chế quản trị tập trung trên toàn bộ mạng. Nó cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hay nhiều Domain Controller được triển khai trong cùng một Domain.

Active Directory sẽ tự động việc quản lý sự truyền thông giữa các Domain Controller để bảo đảm mạng được duy trì. Người dùng có thể truy cập tất cả tài nguyên trên mạng thông qua cơ chế đăng nhập chỉ một lần. Tất cả các tài nguyên trong mạng được bảo vệ từ một cơ chế bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng cùng quyền hạn của mỗi truy cập đối với tài nguyên.

Active Directory cho phép việc tăng cấp và hạ cấp các Domain Controller và các server thành viên một cách dễ dàng. Các hệ thống có thể được quản lý, bảo vệ thông qua các chính sách nhóm Group Policies. Đây chính là một mô hình tổ chức có thứ bậc linh hoạt, cho phép việc quản lý dễ dàng và ủy nhiệm trách nhiệm quản trị. Tuy nhiên, quan trọng nhất là Active Directory có khả năng quản lý hàng triệu đối tượng bên trong một miền.

>> Bật mí Giải pháp Domain là gì? Cách sử dụng giải pháp Domain?

3. Những đơn vị cơ bản của Active Directory?

Các mạng Active Directory được tổ chức bằng việc sử dụng 4 kiểu đơn vị hoặc cấu trúc mục. 4 đơn vị này được chia thành Forest, Domain, Organizational Unit và Site.

Forests: Nhóm các đối tượng, thuộc tính, cú pháp thuộc tính trong Active Directory.

Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên, một cơ sở dữ liệu của các thành viên từ chúng.

Organizational unit (OU): Nhóm các mục trong miền nào đó, chúng tạo nên một kiến trúc thứ bậc cho miền, tạo cấu trúc công ty của Active Directory theo các điều kiện tổ chức, địa lý.

Sites: Nhóm vật lý những thành phần độc lập của miền, cấu trúc OU. Các Site phân biệt giữa các Location được kết nối từ các kết nối tốc độ cao, các kết nối tốc độ thấp và được định nghĩa bởi một hay nhiều IP subnet.

Các Forest không bị hạn chế theo địa lý hay topo mạng. Một Forest có thể gồm nhiều miền, mỗi miền chia sẻ một lược đồ chung. Các thành viên miền của cùng một Forest không cần có kết nối LAN hay WAN giữa chúng. Mỗi một mạng riêng có thể là một gia đình của nhiều Forest độc lập. Nói chung, một Forest nên được sử dụng cho mỗi thực thể. Mặc dù vậy, vẫn cần đến các Forest bổ sung cho việc thực hiện test, nghiên cứu các mục đích bên ngoài Forest tham gia sản xuất.

Các miền (Domain) phục vụ như các mục trong chính sách bảo mật, các nhiệm vụ quản trị. Tất cả đối tượng bên trong một miền đều là chủ đề cho Group Policies miền rộng. Tương tự, bất cứ quản trị viên miền nào có thể quản lý tất cả đối tượng bên trong một miền. Hơn thế nữa, mỗi miền cũng có cơ sở dữ liệu các tài khoản duy nhất của nó. Vì vậy, tính xác thực là một trong những vấn đề cơ bản của miền. Khi một tài khoản người dùng xác thực hoàn toàn đối với một miền nào đó thì tài khoản người dùng này có thể truy cập vào các tài nguyên bên trong miền.

Active Directory yêu cầu một hay nhiều Domain để hoạt động. Một miền Active Directory là một bộ các máy tính chia sẻ chung một tập các chính sách, tên và cơ sở dữ liệu các thành viên của chúng. Một miền phải có một hay nhiều máy Domain Controller (DC) và lưu cơ sở dữ liệu, duy trì các chính sách, cung cấp sự thẩm định cho các đăng nhập vào miền.

Trước kia trong Windows NT, bộ điều khiển miền chính – Primary Domain Controller (PDC) và bộ điều khiển miền backup – Backup Domain Controller (BDC) là các role có thể được gán đến một máy chủ trong một mạng các máy tính dùng hệ điều hành Windows. Windows đã sử dụng ý tưởng miền nhằm quản lý sự truy cập đối với các tài nguyên mạng (ứng dụng và máy in,…) cho một nhóm người dùng. Người dùng chỉ cần đăng nhập vào miền là có thể truy cập vào các tài nguyên, tài nguyên này có thể nằm trên một số các server khác nhau trong mạng.

Server được biết đến như PDC, quản lý cơ sở dữ liệu người dùng Master cho miền. Một hay một số server khác được thiết kế như BDC. PDC gửi một cách định kỳ các bản copy cơ sở dữ liệu đến các BDC. Một BDC có thể đóng vai trò như PDC nếu server PDC bị lỗi và cũng có thể trợ giúp cân bằng luồng công việc nếu quá bận.

Với Windows 2000 Server, khi Domain Controller vẫn được duy trì, các role server PDC và BDC cơ bản được thay thế bởi Active Directory. Người dùng cũng không tạo các miền phân biệt nhằm phân chia các đặc quyền quản trị. Bên trong Active Directory, người dùng có thể hoàn toàn ủy nhiệm các đặc quyền quản trị dựa trên các OU. Các miền không bị hạn chế bởi lượng 40.000 người dùng. Các miền Active Directory có thể quản lý hàng triệu đối tượng. Vì không còn tồn tại PDC và BDC nên Active Directory dùng bản sao multi-master replication và tất cả các Domain Controller đều ngang hàng nhau.

OU tỏ ra linh hoạt hơn, cho phép quản lý dễ dàng hơn so với các miền. OU cho phép bạn có khả năng linh hoạt gần như vô hạn, bạn có thể chuyển, xóa và tạo các OU mới nếu cần. Mặc dù các miền có tính chất mềm dẻo. Chúng có thể bị xóa tạo mới nhưng quá trình này dễ dẫn đến phá vỡ môi trường so với các OU, và nên tránh nếu có thể.

Theo định nghĩa, sites là chứa các IP subnet có liên kết truyền thông tin cậy, nhanh giữa các host. Bằng cách sử dụng site, bạn có thể kiểm soát cũng như giảm số lượng lưu lượng truyền tải trên các liên kết WAN chậm.

>> Xem ngay Mạng diện rộng WAN là gì? Những điều cần biết về mạng WAN

Trên đây chính là thông tin về Active Directory cũng như các đơn vị của nó. ITNow hy vọng các thông tin nêu trên có thể giúp bạn hiểu được Active Directory hơn.