Active directory là gì? lý do tại sao cần thực thi active directory

Active Directory (AD) là 1 trong những kiến trúc sản phẩm hiếm của Microsoft. Đây là một kiến trúc luôn luôn phải có được trên Windows Server, được hiểu nôm na là một trong dịch vụ thư mục. Active Directory là một khối hệ thống được chuẩn hóa với kĩ năng quản trị tập trung tuyệt đối hoàn hảo về fan dùng cũng giống như các nguồn tài nguyên vào một khối hệ thống mạng. Active Directory được sử dụng trong mô hình mạng “Server - Client”.Khi Windows 2000 được phân phát hành, Microsoft tích phù hợp một nhân tố là Active Directory. Khi máy chủ Windows thực hiện Windows 2000 Server, Windows hệ thống 2003 tốt Longhorn Server, quá trình của tên miền controller (bộ điều khiển miền) là chạy dịch vụ Active Directory. Active Directory chính là trái tim của Windows hệ thống 2003 , phần đông tất cả mọi chuyển động diễn ra trên hệ thống đều chịu đựng sự chi phối và tinh chỉnh và điều khiển của Active Directory. Từ bỏ phiên bản Windows NT4.0 trở về sau, Microsoft vẫn phát triển hệ thống Active Directory dùng để làm lưu trữ tài liệu của domain name như các đối tượng user, computer, group cung cấp những dịch vụ thương mại (directory services) kiếm tìm kiếm, kiểm soát và điều hành truy cập, ủy quyền, và đặc biệt là dịch vụ xác nhận được xây dựng dựa trên giao thức Keberos cung ứng cơ chế single sign-on, được cho phép các user chỉ cần chứng thực một đợt duy nhất khi đăng nhập vào domain name và hoàn toàn có thể truy cập tất cả những tài nguyên và dịch vụ chia sẻ của hệ thống với những quyền lợi và nghĩa vụ hợp lệ.Với những thương mại & dịch vụ và ứng dụng của mình, Active Directory vẫn làm sút nhẹ quá trình quản lý và cải thiện hiệu trái hoạt động, những các bước mà hầu như không thể tiến hành được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây bạn cũng có thể tiến hành một cách thuận tiện thông qua tế bào hình cai quản tập trung như chỉ dẫn các cơ chế chung cho toàn cục hệ thống nhưng lại đồng thời rất có thể ủy quyền quản trị để phân loại khả năng làm chủ trong một môi trường rộng lớn.

Bạn đang xem: Active directory là gì? lý do tại sao cần thực thi active directory

2) Những kỹ năng của Active Directory:

Centralized Data Store - tàng trữ dữ liệu tập trung: toàn cục dữ liệu, thông tin trong hệ thống được tàng trữ một giải pháp tập trung, chất nhận được người dùng có thể truy cập dữ liệu từ bất cứ nơi đâu, bất kể lúc làm sao đồng thời nâng cao hiệu năng quản ngại trị của hệ thống, bớt thiếu độ rủi ro khủng hoảng cho tài nguyên.Scalability - năng lực linh hoạt với nhu cầu: Active Directory cung ứng một cách linh hoạt các chiến thuật quản trị khác nhau cho từng yêu cầu cụ nắm trên căn nguyên hạ tầng xác định của các doanh nghiệp.Extensibility - Cơ sở tài liệu của Active Directory có thể chấp nhận được nhà cai quản trị hoàn toàn có thể customize cùng phát triển, bên cạnh đó ta còn hoàn toàn có thể phát triển những ứng dụng thực hiện cơ sở tài liệu này, giúp tận dụng không còn khả năng, hiệu năng của Active Directory.Manageability - tài năng quản trị linh hoạt dễ dàng dàng: Active Directory được tổ chức theo bề ngoài của Directory Service dưới mô hình tổ chức Directory giúp các nhà quản trị gồm cái chú ý tổng quan tiền nhất đối với tất cả hệ thống, đôi khi giúp user có thể dễ dàng truy nã xuất và sử dụng tài nguyên hệ thống.Integration with domain Name System (DNS): DNS là 1 trong những partner rất quan trọng đối cùng với Active Directory, trong một hệ thống mạng, các dịch vụ của Active Directory chỉ hoạt động được khi thương mại & dịch vụ DNS được thiết lập đặt. DNS có trách nhiệm dẫn đường, phân giải các Active Directory tên miền Controller trong hệ thống mạng, với càng đặc trưng hơn trong môi trường xung quanh Multi Domain. DNS được thuận lợi tích hòa hợp vào Active Directory để nâng cấp độ bảo mật thông tin và khả năng đồng điệu hóa giữa những Domain Controller với nhau trong môi trường thiên nhiên nhiều Domain.Client Configuration Management: Active Directory cung cấp cho chúng ta một kĩ năng quản trị các thông số kỹ thuật phía client, góp quản trị hệ thống thuận tiện hơn và nâng cấp khả năng di động của user.Policy - based administration: trong Active Directory, việc quản trị khối hệ thống mạng được đảm bảo một giải pháp chắn chắc thông qua các chính sách quản trị tài nguyên, các quyền tróc nã xuất trên các site, tên miền và các organization unit. Đây là trong số những tính năng đặc trưng nhất được tích thích hợp vào Active Directory.Replication of information: Active Directory hỗ trợ khả năng đồng bộ dữ liệu tin tức giữa các domain, bên trên nền tảng, môi trường nhiều domain nhằm mục đích giảm thiếu tới mức tối đa rủi ro và nâng cấp khả năng họat động của khối hệ thống mạng.Flexible, secure authentication & authorization: Active Directory cung cấp nhiều hiệ tượng authentication như Kerberos, Secure Socket Layer và Transport Layer Security hỗ trợ cho việc bảo mật thông tin của user lúc xác thực thông tin truy xuất tài nguyên.Security integration: Active Directory được tích đúng theo mặc định trong các phiên bạn dạng Windows Server, cho nên vì thế Active Directory thao tác làm việc rất dễ dàng và linh hoạt, tầm nã xuất điều khiển và tinh chỉnh trên hệ thống được có mang trên từng đối tượng, từng ở trong tính của đối tượng. Không hầu như thế, các chế độ bảo mật được áp dụng không phải đơn thuần trên local hơn nữa được vận dụng trên những site, domain hay OU xác định.Directory - enable applications & infrastructure: Active Directory là một trong môi trường ấn tượng cho các nhà quản lí trị thiết lập cấu hình các cấu hình và quản lí trị các ứng dụng trên hệ thống. Đồng thời Active Directory cung cấp một hướng mở cho những nhà cải tiến và phát triển ứng dụng (developer) xây dựng những ứng dụng trên căn nguyên Active Directory trải qua Active Directory Service Interfaces.Interoperability with other directory services: Active Directory được gây ra trên giao thức directory service chuẩn chỉnh gồm 2 giao thức là Lightweight Directory Access Protocol (LDAP) với Name Service Provider Interface (NSPI), vì thế Active Directory có tác dụng tương say mê với các dịch vụ không giống được xây đắp trên căn cơ directory service trải qua các giao thức này. Bởi vì LDAP là 1 trong giao thức directoy chuẩn, cho nên vì thế ta rất có thể phát triển, tích hòa hợp các thành phầm ứng dụng trao đổi, chia sẻ thông tin cùng với Active Directory thông qua giao thức LDAP. Còn giao thức NSPI được cung cấp bởi Active Directory ở mục đích bảo vệ và nâng cấp khả năng tương thích với directoy của Exchange.Signed và encrypted LDAP traffic: khoác định là điều khoản Active Directoy trong windows vps sẽ tự động xác thực và mã hóa thông tin, tài liệu truyền download trên giao thức LDAP. Việc xác thực giao thức nhằm đảm bảo thông tin được nhờ cất hộ đến từ 1 nguồn xác định và không xẩy ra giả mạo.II. Phong cách xây dựng Active Directory:

1) Active Directory Objects:

*

Dữ liệu trong Active Directory như là tin tức users, máy in, server, database, groups, computers với security policies được tổ chức như các objects (đối tượng). Từng object bao gồm thuộc tính riêng đặc thù cho object đó, ví như object user có những thuộc tính liên quan như First Name, Last Name, Logon Name, … với Computer Object có các thuộc tính như computer name thuộc description.Một số object đặc biệt bao hàm nhiều object khác phía bên trong được điện thoại tư vấn là những “container”, ví dụ như domain là 1 trong những container bao gồm nhiều user và computer account.

2) Active Directory Schema:

*

Trong Active Directory, database lưu lại trữ chính là AD Schema, Schema tư tưởng các đối tượng người dùng được lưu trữ trong Active Directory. Nhưng Schema lưu trữ các đối tượng thế nào? Thực chất, schema là 1 trong những danh sách các định nghĩa xác minh các loại đối tượng người dùng và các loại thông tin về đối tượng người sử dụng lưu trữ trong Active Directory. Về bản chất, schema cũng rất được lưu trữ như một object.Schema được định nghĩa bao gồm 2 loại đối tượng người tiêu dùng (object) là: Schema Class objects với Schema Attribute objects.– Schema Class: Có chức năng như một template cho bài toán tạo new các đối tượng người tiêu dùng trong AD. Mỗi Schema Class là 1 trong tập hợp những thuộc tính của đối tượng(Schema Attribute Objects). Khi bạn tạo một đối tượng thuộc về một loại Schema Class thì Schema Attribute sẽ lưu trữ những thuộc tính của đối tượng người dùng đó khớp ứng với các loại Schema Class của đối tượng.– Schema Attribute: Định nghĩa những Schema Class tương xứng với nó. Từng thuộc tính chỉ được định nghĩa một lần vào Active Directory và có thể thuộc những Schema Class theo quan hệ giới tính một các (1-m).Mặc định thì một tập hợp những Schema Class và Schema Attribute được đóng gói sẵn chung với Active Directory. Tuy nhiên Schema của Active Directory lộ diện một năng lực phát triển không ngừng mở rộng Schema Class trên những Attribute gồm sẵn giỏi là tạo nên mới những Attribute Schema.Tuy nhiên chiếc nào cũng có cái lợi và dòng hại, để hoàn toàn có thể mở rộng cải cách và phát triển với schema, chúng ta cần chuẩn bị kỹ lưỡng thông qua các bản thiết kế ví dụ và chăm chú là có cần thiết hay không, bởi độ rủi ro trong việc này tương đối cao đối với các khối hệ thống đang chuyển động ổn định.

3) Active Directory Components:

Trong quy mô mạng doanh nghiệp, những components của Active Directory được sử dụng, áp dụng để tạo ra nên những mô hình cân xứng với yêu cầu các doanh nghiệp. Xét đến khía cạnh mô hình kiến trúc của AD thì ta phân làm cho 2 các loại là Physical cùng Logical.

* Logical Structure:

Trong AD, việc tổ chức tài nguyên theo qui định Logical Structure, được ánh xạ thông qua quy mô domains, OUs, trees và forest. Nhóm các tài nguyên được tổ chức một cách luận lí được cho phép bạn dễ dãi truy xuất mang lại tài nguyên hơn là cần nhớ cụ thể vị trí thiết bị lí của nó.

Domain: mấu chốt của phong cách thiết kế tổ chức luận lí trong AD đó là Domain, nơi tàng trữ hàng triệu đối tượng người dùng (objects). Toàn bộ các đối tượng người sử dụng trong khối hệ thống mạng vào một tên miền thì do bao gồm domain đó tàng trữ thông tin của những đối tượng. Active Directory được xây đắp bởi một hay nhiều domain với một domain hoàn toàn có thể triển khai trên nhiều physical structure. Vấn đề access vào domain name được quản ngại trị thông qua Access Control Lists (ACLs), quyền tróc nã xuất trên domain tương ứng với từng đối tượng.

Xem thêm: Reference Daily Intake ( Rdi Là Gì ? Remote Defect Indication (Rdi) Là Gì

*
OUs: OU là 1 trong những container được dùng làm tổ chức các đối tượng người dùng trong một tên miền thành các nhóm quản trị luận lí (logical). OUs cung cấp phương tiện thực hiện các tác vụ quản ngại trị trong hệ thống như là cai quản trị user với resources, kia là đầy đủ scope đối tượng bé dại nhất mà chúng ta có thể ủy quyền xác xắn quản trị. OUs bao gồm nhiều đối tượng khác như là user accounts, groups, computers và những OUs khác khiến cho các cây OUs trong và một domain. Các cây OUs vào một domain hòa bình với con kiến trúc những cây OUs thuộc những domain khác.
*
Forests: Forest là 1 thuật ngữ được đề ra nhằm định nghĩa 1 mô hình tổ chức của AD, 1 forest gồm nhiều domain trees bao gồm quan hệ cùng với nhau, các domain trees vào forest là tự do với nhau về tổ chức, nghe ra bao gồm vẻ xích míc trong mối quan hệ nhưng ta sẽ dễ hiểu hơn khi quan hệ giữa những domain trees là quan hệ Trust 2d như các partners cùng với nhau.Một forest phải bảo đảm thoả những đặc tính sau:– toàn thể domain trong forest phải có 1 schema chia sẻ chung.– những domain vào forest phải có 1 global catalog share chung.– các domain trong forest cần có mối quan hệ trust 2 chiều với nhau.– những tree trong 1 forest bắt buộc có cấu tạo tên(domain name) không giống nhau.– những domain vào forest hoạt động hòa bình với nhau, tuy nhiên hoạt động của forest là hoạt động của toàn bộ khối hệ thống tổ chức doanh nghiệp.
*

* Physical Structure:

Xét về chu đáo physical component của AD sẽ có 2 phần là Sites với Domain Controllers. Tùy thuộc vào quy mô tổ chức của công ty, người quản trị sẽ đề xuất dùng những components này để thi công sao mang đến phù hợp.a) Sites:

Site là một trong những thuật ngữ được dùng đến khi nói về vị trí địa lý của các domain trong hệ thống. Khi khối hệ thống các tên miền được phân tán ở phần đông vị trí địa lý, đầy đủ nơi không giống nhau và tất cả quan hệ với nhau thì những nơi đặt các tên miền này đó là các Site.
*

b) tên miền Controllers:Domain Controller (DC) là 1 máy tính hay server chuyên dụng được thiết lập Windows Server cùng lưu trữ bạn dạng sao của tên miền Directory (local domain database). Một domain gồm thể có 1 hay nhiều domain controller, mỗi tên miền controller số đông có bản sao dữ liệu của domain name Directory. Domain Controller chịu đựng trách nhiệm xác nhận cho users và chịu đựng trách nhiệm đảm bảo các cơ chế bảo mật được thực thi.Các tính năng chính của tên miền Controller:

Mỗi domain name controller lưu trữ các bạn dạng sao tin tức của Active Directory cho bao gồm domain đó, phụ trách quản lí tin tức và tiến hành đồng bộ dữ liệu với những domain controller khác trong và một domain.Domain Controller vào một domain tất cả khả năng auto đồng bộ tài liệu với những DC khác trong và một domain. Khi chúng ta thực hiện nay một tác vụ đối với thông tin lưu trữ trên DC, thì tin tức này sẽ auto được đồng hóa hóa đến những DC khác. Tuy nhiên để bảo vệ sự định hình cho khối hệ thống mạng, chúng ta cần phải bao gồm một cơ chế hợp lí cho các domain trong việc đồng hóa hóa tin tức dữ liệu với 1 thời điểm phù hợp.Domain Controller tự động đồng cỗ hóa ngay lập tức các biến đổi quan trọng đối với cả domain như disable một user account.Active Directory áp dụng việc đồng nhất hóa tài liệu theo phương pháp multimaster, nghĩa là không tồn tại domain controller nào vào vai trò là master cả, mà cầm vào kia thì toàn bộ domain controller hầu như ngang hàng với nhau, mỗi tên miền controller tàng trữ một bản sao của database hệ thống. Những domain controller lưu giữ trữ những thông tin dữ liệu không giống nhau trong một khoảng thời gian ngắn cho tới khi thông tin các domain controller trong hệ thống đều được đồng bộ với nhau, hay nói cách khác là thống nhất tài liệu cho toàn domain.Mặc dù cho là Active Directory cung cấp hoàn toàn việc nhất quán dữ liệu theo phép tắc multimaster nhưng thực tiễn thì không phải lúc nào thì cũng theo lý lẽ này (việc thực hiện không được chất nhận được ở nhiều nơi trong hệ thống mạng vào cùng một thời điểm). Operations master roles là các roles đặc biệt quan trọng được assigned với một hoặc các domain controllers khác để thực hiện đồng điệu theo cách thức single-master, ta rất có thể dễ dàng nhận ra việc triển khai operations của multimaster là việc thực thi của không ít single-master đồng thời.Hệ thống có tương đối nhiều hơn một domain cung cấp trong trường hợp dự trữ backup domain controller, lúc 1 domain controller gồm vấn đề xẩy ra thì các domain sẽ tự động chạy dự phòng, bảo đảm hệ thống luôn được ổn định định.Domain Controller quản lí các vấn đề vào việc hệ trọng với domain name của users, lấy ví dụ như xác định đối tượng người tiêu dùng trong Active Directory tốt xác thực việc logon của user.III. Cài đặt và cấu hình Active Directory bên trên Windows server 2012:

Trong môi trường thiên nhiên Windows hệ thống 2012 thì lệnh dcpromo đã bị vô hiệu hóa, vị vậy nếu như muốn tạo tên miền Controller thì phải bắt buộc đến ADDS (Active Directory domain Services) từ giao diện làm chủ - server Manager.

Trước hết cần cấu hình IP tĩnh đến máy:
*
Trên màn hình Dashboard của hệ thống Manager, chọn showroom roles & features:
*
Ấn Next để không thay đổi các setup mặc định. Đến Select server roles -> chọn Active Directory domain Services (AD DS) cùng DNS Server:
*
Tiếp theo ấn Next để giữ nguyên các thiết đặt mặc định. Đến Confirm installation selections, bấm Install để thiết lập các dịch vụ quan trọng của domain name Controller:
*
Sau khi setup xong, thực hiện tạo domain Controller. Lựa chọn Promote this vps to a domain controller:
*
Ở screen Domain Controller Options, nhập password tại ô Type the Directory Services Restore Mode (DSRM) password. Mật khẩu này vẫn được dùng để khôi phục AD ở cơ chế Restore Mode:
*
Click Next đến màn hình hiển thị Addiontonal Options, chọn tên NetBIOS domain. Ở đây đã để mặc định:
*
Tại screen Paths, chọn băng thông lưu database của PAD, logs, SYSVOL. Chọn mặc định:
*
Ấn Next đến màn hình hiển thị Prerequisites Check, tại đây vẫn kiểm tra những điều kiện để thiết lập DC. Chọn Install để bắt đầu cài đặt:
*
Sau khi hoàn tất cài đặt đặt, restart lại máy để hoàn thành quá trình xây dựng Active Directory domain Services.Vậy là bây giờ chúng ta đã rất có thể tạo User, Group, GPO... Bên trên DC. Trong số bài tiếp theo, bản thân sẽ giới thiệu về FSMO roles với các công dụng của FSMO roles.