Active Directory là gì? (Phần 2)

Như phần 1 đã cung cấp thông tin về Active Directory và tại sao phải thực thi nó. Trong bài viết này, ITNow sẽ cung cấp cho bạn thêm chi tiết về Active Directory nhé!

4. Infrastructure Master và Global Catalog:

Một thành phần chính khác bên trong Active Directory chính là Infrastructure Master. Infrastructure Master (được viết tắt là IM) là một Domain-Wide FSMO (Flexible Single Master of Operations) có chức năng đáp trả trong quá trình tự động nhằm sửa lỗi (phantom) bên trong cơ sở dữ liệu Active Directory.

Phantom được tạo ra trên các DC, nó yêu cầu một sự tham chiếu chéo cơ sở dữ liệu giữa 1 đối tượng bên trong cơ sở dữ liệu riêng và 1 đối tượng từ miền bên trong Forest. Ví dụ, bạn có thể bắt gặp khi bạn bổ sung thêm 1 người dùng nào đó từ một miền vào một nhóm bên trong miền khác cùng Forest. Phantom sẽ bị mất hiệu lực khi chúng không chứa dữ liệu mới cập nhật, điều này xuất hiện bởi vì những thay đổi được thực hiện cho đối tượng bên ngoài mà Phantom thể hiện; chẳng hạn khi đối tượng mục tiêu được đặt lại tên, chuyển đi đâu đó giữa các miền hoặc bị xóa. Infrastructure Master có khả năng định vị, khắc phục một số phantom. Bất cứ thay đổi nào xảy ra do quá trình sửa lỗi đều được tạo ra bản sao đến tất cả các DC còn lại bên trong miền.

Đôi khi, IM bị lẫn lộn với Global Catalog (viết tắt là GC), đây chính là thành phần duy trì một copy chỉ cho phép đọc đối với các Domain nằm cùng một Forest, được sử dụng cho lưu trữ nhóm phổ dụng và quá trình đăng nhập,… Bởi vì, GC lưu bản copy không hoàn chỉnh của tất cả các đối tượng bên trong Forest nên chúng có thể tạo ra các tham chiếu chéo giữa miền không có nhu cầu phantom.

>> Bật mí DNS là gì? Chức năng của DNS dùng để làm gì?

5. Active Directory và LDAP:

LDAP (nghĩa là Lightweight Directory Access Protocol) là một phần của Active Directory, là một giao thức phần mềm cho phép định vị các tổ chức, cá nhân hay các tài nguyên khác như File và thiết bị trong mạng, dù mạng của bạn là Internet công cộng hoặc mạng nội bộ trong công ty/ doanh nghiệp.

Trong một mạng, một thư mục sẽ cho bạn biết nơi cất trữ dữ liệu gì đó. Trong các mạng TCP/IP ( bao gồm cả mạng Internet), Domain Name System (DNS) là một hệ thống thư mục được sử dụng gắn liền tên miền cùng với một địa chỉ mạng cụ thể (vị trí duy nhất trong mạng). Dù vậy, bạn có thể không biết tên miền nhưng LDAP cho phép bạn tìm kiếm cụ thể mà không cần biết chúng được định vị ở đâu.

Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản bao gồm có các mức dưới đây:

• Thư mục gốc có các nhánh con.
• Country, mỗi Country có các nhánh con.
• Organizations, mỗi Organization có các nhánh con.
• Organizational Units (các đơn vị, phòng ban,…), có các nhánh.
• Individuals (cá thể, gồm người, File và tài nguyên chia sẻ, chẳng hạn như Printer).

Một thư mục LDAP có thể được phân phối giữa nhiều server. Mỗi server có thể có 1 bản sao của thư mục tổng thể và được đồng bộ theo chu kỳ.

Các quản trị viên cần phải hiểu LDAP khi tìm các thông tin trong Active Directory, cần tạo các truy vấn LDAP hữu dụng khi tìm các thông tin được lưu trong cơ sở dữ liệu Active Directory.

>> Xem ngay Active Directory là gì? (Phần 1)

6. Sự quản lý Group Policy và Active Directory:

Khi nhắc đến Active Directory chắc chắn chúng ta phải đề cập đến Group Policy. Các quản trị viên có thể sử dụng Group Policy trong Active Directory để định nghĩa các thiết lập người dùng cùng máy tính trong toàn mạng. Thiết lập này được cấu hình và lưu trong Group Policy Objects (GPOs), các thành phần này sẽ được kết hợp với các đối tượng Active Directory, gồm các Domain và Site. Đây là cơ chế chủ yếu cho việc áp dụng các thay đổi trong máy tính và người dùng trong môi trường Windows.

Thông qua quản lý Group Policy, các quản trị viên có thể cấu hình toàn cục các thiết lập Desktop trên các máy tính người sử dụng, hạn chế hay cho phép truy cập đối với các File hay thư mục nào đó bên trong mạng.

Thêm vào đó, chúng ta cũng cần phải hiểu GPO được sử dụng thế nào. GPO được áp dụng theo thứ tự sau: Các chính sách máy nội bộ được sử dụng trước, sau đó chính là các chính sách Site, chính sách miền, chính sách được sử dụng cho các OU riêng. Ở một thời điểm nào đó, 1 đối tượng người dùng hay máy tính chỉ có thể thuộc về một Site hay một miền nên chúng sẽ chỉ nhận các GPO liên kết với Site hay miền đó.

Các GPO được chia thành hai phần riêng biệt: Group Policy Template (GPT) và Group Policy Container (GPC). GPT có trách nhiệm lưu các thiết lập được tạo bên trong GPO. Nó lưu các thiết lập trong một cấu trúc thư mục và các File lớn. Để áp dụng các thiết lập thành công đối với tất cả đối tượng người dùng và máy tính, GPT phải được tạo bản sao cho tất cả các DC bên trong miền.

GPC là một phần của GPO và được lưu trong Active Directory trên các DC trong miền. GPC có trách nhiệm giữ tham chiếu cho Client Side Extensions (CSEs), đường dẫn đến GPT, đường dẫn đến các gói cài đặt, những khía cạnh tham chiếu khác của GPO. GPC không chứa nhiều thông tin liên quan đến GPO tương ứng với nó, nhưng nó là một thành phần cần thiết của Group Policy. Khi các chính sách cài đặt phần mềm được cấu hình, GPC sẽ giúp giữ các liên kết bên trong GPO. Hơn nữa, nó cũng giữ các liên kết quan hệ khác và các đường dẫn được lưu trữ trong các thuộc tính đối tượng. Biết được cấu trúc của GPC cũng như cách truy cập các thông tin ẩn được lưu trong các thuộc tính sẽ cần thiết khi bạn cần kiểm tra một vấn đề nào đó có liên quan đến GP.

Với Windows Server 2003, Microsoft đã phát hành một giải pháp quản lý Group Policy đó là Group Policy Management Console (GPMC). GPMC cung cấp đến các quản trị viên 1 giao diện quản lý, giúp đơn giản hóa các nhiệm vụ có liên quan đến GPO.

IT Now chúc các bạn thành công!