Acti
Content
Bài 9 ACTIVE DIRECTORY..................................................................................................................179
Tóm tắt..................................................................................................................................................179
I.1. Mô hình Workgroup............................................................................................................. 180
I.2. Mô hình Domain..................................................................................................................180
II. ACTIVE DIRECTORY....................................................................................................................181
II.1. Giới thiệu Active Directory. .................................................................................................181
II.2. Chức năng của Active Directory. ........................................................................................181
II.3. Directory Services. ..............................................................................................................182
II.3.1
Giới thiệu Directory Services.............................................................................. 182
II.3.2
Các thành phần trong Directory Services. ....................................................... 182
II.4. Kiến trúc của Active Directory. ............................................................................................183
II.4.1
Objects................................................................................................................... 184
II.4.2
Organizational Units. ........................................................................................... 184
II.4.3
Domain................................................................................................................... 185
II.4.4
Domain Tree. ........................................................................................................ 186
II.4.5
Forest..................................................................................................................... 186
III. CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY. ...........................................................................187
III.1. Nâng cấp Server thành Domain Controller. ........................................................................187
III.1.1
Giới thiệu............................................................................................................... 187
III.1.2
Các bước cài đặt. ................................................................................................ 187
III.2. Gia nhập máy trạm vào Domain. ........................................................................................194
III.2.1
Giới thiệu............................................................................................................... 194
III.2.2
Các bước cài đặt. ................................................................................................ 195
III.3. Xây dựng các Domain Controller đồng hành. .....................................................................196
III.3.1
Giới thiệu............................................................................................................... 196
III.3.2
Các bước cài đặt. ................................................................................................ 196
III.4. Xây dựng Subdomain. ........................................................................................................200
III.5. Xây dựng Organizational Unit. ............................................................................................203
III.6. Công cụquản trịcác đối tượng trong Active Directory.
II.
ACTIVE DIRECTORY.
II.1. Giới thiệu Active Directory.
Có thể so sánh Active Directory với LANManager trên Windows
NT 4.0. Về căn bản, Active
Directory là một cơsởdữliệu của các tài nguyên trên mạng (còn gọi là đối tượng) cũng nhưcác
thông tin liên quan đến các đối tượng đó. Tuy vậy, Active Directory không phải là một khái niệm mới
bởi Novell đã sửdụng dịch vụthưmục (directory service) trong nhiều năm rồi.
Mặc dù Windows NT 4.0 là một hệđiều hành mạng khá tốt, nhưng hệđiều hành này lại không thích
hợp trong các hệthống mạng tầm cỡxí nghiệp. Đối với các hệthống mạng nhỏ, công cụNetwork
Neighborhood khá tiện dụng, nhưng khi dùng trong hệthống mạng lớn, việc duyệt và tìm kiếm trên
mạng sẽlà một ác mộng (và càng tệhơn nếu bạn không biết chính xác tên của máy in hoặc Server đó
là gì). Hơn nữa, đểcó thểquản lý được hệthống mạng lớn nhưvậy, bạn thường phải phân chia thành
nhiều domain và thiết lập các mối quan hệuỷquyền thích hợp. Active Directory giải quyết được các
vấn đềnhưvậy và cung cấp một mức độứng dụng mới cho môi trường xí nghiệp. Lúc này, dịch vụthư
mục trong mỗi domain có thểlưu trữhơn mười triệu đối tượng, đủđểphục vụmười triệu người dùng
trong mỗi domain.
II.2. Chức năng của Active Directory.
- Lưu giữmột danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài
khoản máy tính.
- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng
nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng).
- Duy trì một bảng hướng dẫn hoặc một bảng chỉmục (index) giúp các máy tính trong mạng có thể
dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.
Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độquyền (rights) khác
nhau như: toàn quyền trên hệthống mạng, chỉcó quyền backup dữliệu hay shutdown Server từ
232
xa…
- Cho phép chúng ta chia nhỏmiền của mình ra thành các miền con (subdomain) hay các đơn vịtổ
chức OU (Organizational Unit). Sau đó chúng ta có thểủy quyền cho các quản trịviên bộphận
quản lý từng bộphận nhỏ.
II.3. Directory Services.
II.3.1 Giới thiệu Directory Services.
Directory Services (dịch vụdanh bạ) là hệthống thông tin chứa trong NTDS.DIT và các chương trình
quản lý, khai thác tập tin này. Dịch vụdanh bạlà một dịch vụcơsởlàm nền tảng đểhình thành một hệ
thống Active Directory. Một hệthống với những tính năng vượt trội của Microsoft.
II.3.2 Các thành phần trong Directory Services.
Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụdanh bạlà gì? Bạn có thểso sánh
dịch vụdanh bạvới một quyển sổlưu sốđiện thoại. Cảhai đều chứa danh sách của nhiều đối tượng
khác nhau cũng nhưcác thông tin và thuộc tính liên quan đến các đối tượng đó.
a. Object (đối tượng).
Trong hệthống cơsởdữliệu, đối tượng bao gồm các máy in, người dùng mạng, các server, các máy
trạm, các thưmục dùng chung, dịch vụmạng, … Đối tượng chính là thành tốcăn bản nhất của dịch vụ
danh bạ.
b. Attribute (thuộc tính).
Một thuộc tính mô tảmột đối tượng. Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng
mạng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên, các đối tượng khác
nhau cũng có thểcó một sốthuộc tính giống nhau. Lấy ví dụnhưmột máy in và một máy trạm cảhai
đều có một thuộc tính là địa chỉIP.
c. Schema (cấu trúc tổchức).
Một schema định nghĩa danh sách các thuộc tính dùng đểmô tảmột loại đối tượng nào đó. Ví dụ, cho
rằng tất cảcác đối tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại PDL và tốc độ.
Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng “máy in”. Schema có đặc tính
là tuỳbiến được, nghĩa là các thuộc tính dùng đểđịnh nghĩa một lớp đối tượng có thểsửa đổi được.
Nói tóm lại Schema có thểxem là một danh bạcủa cái danh bạActive Directory.
d. Container (vật chứa).
Vật chứa tương tựvới khái niệm thưmục trong Windows. Một thưmục có thểchứa các tập tin và các
thưmục khác. Trong Active Directory, một vật chứa có thểchứa các đối tượng và các vật chứa khác.
Vật chứa cũng có các thuộc tính nhưđối tượng mặc dù vật chứa không thểhiện một thực thểthật sự
nào đó nhưđối tượng. Có ba loại vật chứa là:
233
- Domain: khái niệm này được trình bày chi tiết ởphần sau.
- Site: một site là một vịtrí. Site được dùng đểphân biệt giữa các vịtrí cục bộvà các vịtrí xa xôi. Ví
dụ, công ty XYZ có tổng hành dinh đặt ởSan Fransisco, một chi nhánh đặt ởDenver và một văn
phòng đại diện đặt ởPortland kết nối vềtổng hành dinh bằng Dialup Networking. Nhưvậy hệ
thống mạng này có ba site.
- OU (Organizational Unit): là một loại vật chứa mà bạn có thể đưa vào đó người dùng, nhóm,
máy tính và những OU khác. Một OU không thểchứa các đối tượng nằm trong domain khác. Nhờ
việc một OU có thểchứa các OU khác, bạn có thểxây dựng một mô hình thứbậc của các vật
chứa đểmô hình hoá cấu trúc của một tổchức bên trong một domain. Bạn nên sửdụng OU để
giảm thiểu sốlượng domain cần phải thiết lập trên hệthống.
e. Global Catalog.
- Dịch vụGlobal Catalog dùng đểxác định vịtrí của một đối tượng mà người dùng được cấp quyền
truy cập. Việc tìm kiếm được thực hiện xa hơn những gì đã có trong Windows NT và không chỉcó
thểđịnh vịđược đối tượng bằng tên mà có thểbằng cảnhững thuộc tính của đối tượng.
- Giảsửbạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn bạn sẽkhông dùng một
máy in HP Laserjet 4L. Bạn sẽphải tìm một máy in chuyên dụng, in với tốc độ100ppm và có khả
năng đóng tài liệu thành quyển. NhờGlobal Catalog, bạn tìm kiếm trên mạng một máy in với các
thuộc tính nhưvậy và tìm thấy được một máy Xerox Docutech 6135. Bạn có thểcài đặt driver
cho máy in đó và gửi print job đến máy in. Nhưng nếu bạn ởPortland và máy in thì ởSeattle thì
sao? Global Catalog sẽcung cấp thông tin này và bạn có thểgửi email cho chủnhân của máy in,
nhờhọin giùm.
- Một ví dụkhác, giảsửbạn nhận được một thưthoại từmột người tên Betty Doe ởbộphận kế
toán. Đoạn thưthoại của cô ta bịcắt xén và bạn không thểbiết được sốđiện thoại của cô ta. Bạn
có thểdùng Global Catalog đểtìm thông tin vềcô ta nhờtên, và nhờđó bạn có được sốđiện
thoại của cô ta.
- Khi một đối tượng được tạo mới trong Active Directory, đối tượng được gán một con sốphân
biệt gọi là GUID (Global Unique Identifier). GUID của một đối tượng luôn luôn cốđịnh cho dù bạn
có di chuyển đối tượng đi đến khu vực khác.
II.4. Kiến trúc của Active Directory.
234
Hình 2.2: kiến trúc của Active Directory.
II.4.1 Objects.
Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và
Attributes. Object classes là
một bản thiết kếmẫu hay một khuôn mẫu cho các loại đối tượng mà
bạn có thểtạo ra trong Active Directory. Có ba loại object classes thông dụng là: User, Computer,
Printer. Khái niệm thứhai là Attributes, nó được định nghĩa là tập các giá trịphù hợp và được kết
hợp với một đối tượng cụthể. Nhưvậy Object là một đối tượng duy nhất được định nghĩa bởi các giá
trịđược gán cho các thuộc tính của object classes. Ví dụhình sau minh họa hai đối tượng là: máy in
ColorPrinter1 và người dùng KimYoshida.
II.4.2 Organizational Units.
Organizational Unit hay OU là đơn vịnhỏnhất trong hệthống AD, nó được xem là một vật chứa các
đối tượng (Object) được dùng đểsắp xếp các đối tượng khác nhau phục vụcho mục đích quản trịcủa
bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối
tốt với nhau”. Việc sửdụng OU có hai công dụng chính sau:
- Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bịmạng cho
một nhóm người hay một phụtá quản trịviên nào đó (sub-administrator), từđó giảm bớt công tác
quản trịcho người quản trịtoàn bộhệthống.
- Kiểm soát và khóa bớt một sốchức năng trên các máy trạm của người dùng trong OU thông qua
việc sửdụng các đối tượng chính sách nhóm (GPO), các chính sách nhóm này chúng ta sẽtìm
hiểu ởcác chương sau.
Tóm tắt..................................................................................................................................................179
I.1. Mô hình Workgroup............................................................................................................. 180
I.2. Mô hình Domain..................................................................................................................180
II. ACTIVE DIRECTORY....................................................................................................................181
II.1. Giới thiệu Active Directory. .................................................................................................181
II.2. Chức năng của Active Directory. ........................................................................................181
II.3. Directory Services. ..............................................................................................................182
II.3.1
Giới thiệu Directory Services.............................................................................. 182
II.3.2
Các thành phần trong Directory Services. ....................................................... 182
II.4. Kiến trúc của Active Directory. ............................................................................................183
II.4.1
Objects................................................................................................................... 184
II.4.2
Organizational Units. ........................................................................................... 184
II.4.3
Domain................................................................................................................... 185
II.4.4
Domain Tree. ........................................................................................................ 186
II.4.5
Forest..................................................................................................................... 186
III. CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY. ...........................................................................187
III.1. Nâng cấp Server thành Domain Controller. ........................................................................187
III.1.1
Giới thiệu............................................................................................................... 187
III.1.2
Các bước cài đặt. ................................................................................................ 187
III.2. Gia nhập máy trạm vào Domain. ........................................................................................194
III.2.1
Giới thiệu............................................................................................................... 194
III.2.2
Các bước cài đặt. ................................................................................................ 195
III.3. Xây dựng các Domain Controller đồng hành. .....................................................................196
III.3.1
Giới thiệu............................................................................................................... 196
III.3.2
Các bước cài đặt. ................................................................................................ 196
III.4. Xây dựng Subdomain. ........................................................................................................200
III.5. Xây dựng Organizational Unit. ............................................................................................203
III.6. Công cụquản trịcác đối tượng trong Active Directory.
II.
ACTIVE DIRECTORY.
II.1. Giới thiệu Active Directory.
Có thể so sánh Active Directory với LANManager trên Windows
NT 4.0. Về căn bản, Active
Directory là một cơsởdữliệu của các tài nguyên trên mạng (còn gọi là đối tượng) cũng nhưcác
thông tin liên quan đến các đối tượng đó. Tuy vậy, Active Directory không phải là một khái niệm mới
bởi Novell đã sửdụng dịch vụthưmục (directory service) trong nhiều năm rồi.
Mặc dù Windows NT 4.0 là một hệđiều hành mạng khá tốt, nhưng hệđiều hành này lại không thích
hợp trong các hệthống mạng tầm cỡxí nghiệp. Đối với các hệthống mạng nhỏ, công cụNetwork
Neighborhood khá tiện dụng, nhưng khi dùng trong hệthống mạng lớn, việc duyệt và tìm kiếm trên
mạng sẽlà một ác mộng (và càng tệhơn nếu bạn không biết chính xác tên của máy in hoặc Server đó
là gì). Hơn nữa, đểcó thểquản lý được hệthống mạng lớn nhưvậy, bạn thường phải phân chia thành
nhiều domain và thiết lập các mối quan hệuỷquyền thích hợp. Active Directory giải quyết được các
vấn đềnhưvậy và cung cấp một mức độứng dụng mới cho môi trường xí nghiệp. Lúc này, dịch vụthư
mục trong mỗi domain có thểlưu trữhơn mười triệu đối tượng, đủđểphục vụmười triệu người dùng
trong mỗi domain.
II.2. Chức năng của Active Directory.
- Lưu giữmột danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài
khoản máy tính.
- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng
nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng).
- Duy trì một bảng hướng dẫn hoặc một bảng chỉmục (index) giúp các máy tính trong mạng có thể
dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.
Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độquyền (rights) khác
nhau như: toàn quyền trên hệthống mạng, chỉcó quyền backup dữliệu hay shutdown Server từ
232
xa…
- Cho phép chúng ta chia nhỏmiền của mình ra thành các miền con (subdomain) hay các đơn vịtổ
chức OU (Organizational Unit). Sau đó chúng ta có thểủy quyền cho các quản trịviên bộphận
quản lý từng bộphận nhỏ.
II.3. Directory Services.
II.3.1 Giới thiệu Directory Services.
Directory Services (dịch vụdanh bạ) là hệthống thông tin chứa trong NTDS.DIT và các chương trình
quản lý, khai thác tập tin này. Dịch vụdanh bạlà một dịch vụcơsởlàm nền tảng đểhình thành một hệ
thống Active Directory. Một hệthống với những tính năng vượt trội của Microsoft.
II.3.2 Các thành phần trong Directory Services.
Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụdanh bạlà gì? Bạn có thểso sánh
dịch vụdanh bạvới một quyển sổlưu sốđiện thoại. Cảhai đều chứa danh sách của nhiều đối tượng
khác nhau cũng nhưcác thông tin và thuộc tính liên quan đến các đối tượng đó.
a. Object (đối tượng).
Trong hệthống cơsởdữliệu, đối tượng bao gồm các máy in, người dùng mạng, các server, các máy
trạm, các thưmục dùng chung, dịch vụmạng, … Đối tượng chính là thành tốcăn bản nhất của dịch vụ
danh bạ.
b. Attribute (thuộc tính).
Một thuộc tính mô tảmột đối tượng. Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng
mạng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên, các đối tượng khác
nhau cũng có thểcó một sốthuộc tính giống nhau. Lấy ví dụnhưmột máy in và một máy trạm cảhai
đều có một thuộc tính là địa chỉIP.
c. Schema (cấu trúc tổchức).
Một schema định nghĩa danh sách các thuộc tính dùng đểmô tảmột loại đối tượng nào đó. Ví dụ, cho
rằng tất cảcác đối tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại PDL và tốc độ.
Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng “máy in”. Schema có đặc tính
là tuỳbiến được, nghĩa là các thuộc tính dùng đểđịnh nghĩa một lớp đối tượng có thểsửa đổi được.
Nói tóm lại Schema có thểxem là một danh bạcủa cái danh bạActive Directory.
d. Container (vật chứa).
Vật chứa tương tựvới khái niệm thưmục trong Windows. Một thưmục có thểchứa các tập tin và các
thưmục khác. Trong Active Directory, một vật chứa có thểchứa các đối tượng và các vật chứa khác.
Vật chứa cũng có các thuộc tính nhưđối tượng mặc dù vật chứa không thểhiện một thực thểthật sự
nào đó nhưđối tượng. Có ba loại vật chứa là:
233
- Domain: khái niệm này được trình bày chi tiết ởphần sau.
- Site: một site là một vịtrí. Site được dùng đểphân biệt giữa các vịtrí cục bộvà các vịtrí xa xôi. Ví
dụ, công ty XYZ có tổng hành dinh đặt ởSan Fransisco, một chi nhánh đặt ởDenver và một văn
phòng đại diện đặt ởPortland kết nối vềtổng hành dinh bằng Dialup Networking. Nhưvậy hệ
thống mạng này có ba site.
- OU (Organizational Unit): là một loại vật chứa mà bạn có thể đưa vào đó người dùng, nhóm,
máy tính và những OU khác. Một OU không thểchứa các đối tượng nằm trong domain khác. Nhờ
việc một OU có thểchứa các OU khác, bạn có thểxây dựng một mô hình thứbậc của các vật
chứa đểmô hình hoá cấu trúc của một tổchức bên trong một domain. Bạn nên sửdụng OU để
giảm thiểu sốlượng domain cần phải thiết lập trên hệthống.
e. Global Catalog.
- Dịch vụGlobal Catalog dùng đểxác định vịtrí của một đối tượng mà người dùng được cấp quyền
truy cập. Việc tìm kiếm được thực hiện xa hơn những gì đã có trong Windows NT và không chỉcó
thểđịnh vịđược đối tượng bằng tên mà có thểbằng cảnhững thuộc tính của đối tượng.
- Giảsửbạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn bạn sẽkhông dùng một
máy in HP Laserjet 4L. Bạn sẽphải tìm một máy in chuyên dụng, in với tốc độ100ppm và có khả
năng đóng tài liệu thành quyển. NhờGlobal Catalog, bạn tìm kiếm trên mạng một máy in với các
thuộc tính nhưvậy và tìm thấy được một máy Xerox Docutech 6135. Bạn có thểcài đặt driver
cho máy in đó và gửi print job đến máy in. Nhưng nếu bạn ởPortland và máy in thì ởSeattle thì
sao? Global Catalog sẽcung cấp thông tin này và bạn có thểgửi email cho chủnhân của máy in,
nhờhọin giùm.
- Một ví dụkhác, giảsửbạn nhận được một thưthoại từmột người tên Betty Doe ởbộphận kế
toán. Đoạn thưthoại của cô ta bịcắt xén và bạn không thểbiết được sốđiện thoại của cô ta. Bạn
có thểdùng Global Catalog đểtìm thông tin vềcô ta nhờtên, và nhờđó bạn có được sốđiện
thoại của cô ta.
- Khi một đối tượng được tạo mới trong Active Directory, đối tượng được gán một con sốphân
biệt gọi là GUID (Global Unique Identifier). GUID của một đối tượng luôn luôn cốđịnh cho dù bạn
có di chuyển đối tượng đi đến khu vực khác.
II.4. Kiến trúc của Active Directory.
234
Hình 2.2: kiến trúc của Active Directory.
II.4.1 Objects.
Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và
Attributes. Object classes là
một bản thiết kếmẫu hay một khuôn mẫu cho các loại đối tượng mà
bạn có thểtạo ra trong Active Directory. Có ba loại object classes thông dụng là: User, Computer,
Printer. Khái niệm thứhai là Attributes, nó được định nghĩa là tập các giá trịphù hợp và được kết
hợp với một đối tượng cụthể. Nhưvậy Object là một đối tượng duy nhất được định nghĩa bởi các giá
trịđược gán cho các thuộc tính của object classes. Ví dụhình sau minh họa hai đối tượng là: máy in
ColorPrinter1 và người dùng KimYoshida.
II.4.2 Organizational Units.
Organizational Unit hay OU là đơn vịnhỏnhất trong hệthống AD, nó được xem là một vật chứa các
đối tượng (Object) được dùng đểsắp xếp các đối tượng khác nhau phục vụcho mục đích quản trịcủa
bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối
tốt với nhau”. Việc sửdụng OU có hai công dụng chính sau:
- Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bịmạng cho
một nhóm người hay một phụtá quản trịviên nào đó (sub-administrator), từđó giảm bớt công tác
quản trịcho người quản trịtoàn bộhệthống.
- Kiểm soát và khóa bớt một sốchức năng trên các máy trạm của người dùng trong OU thông qua
việc sửdụng các đối tượng chính sách nhóm (GPO), các chính sách nhóm này chúng ta sẽtìm
hiểu ởcác chương sau.
