Bài viết này cung cấp kiến thức nền tảng về Active Directory (AD), một dịch vụ thư mục quan trọng trong kiến trúc Windows. Chúng ta sẽ khám phá những lợi ích khi triển khai Active Directory, cùng với các khái niệm cốt lõi như forests, domains, organizational units (OU) và sites. Bên cạnh đó, bài viết cũng giới thiệu về LDAP (Lightweight Directory Access Protocol) và Group Policy, hai yếu tố không thể thiếu trong việc quản lý và bảo mật hệ thống mạng.
Mục Lục
1. Active Directory là gì?
Active Directory là một dịch vụ thư mục độc quyền của Microsoft, đóng vai trò then chốt trong kiến trúc Windows. Tương tự như các dịch vụ thư mục khác, ví dụ như Novell Directory Services (NDS), Active Directory là một hệ thống tập trung, tiêu chuẩn hóa, tự động hóa việc quản lý mạng, dữ liệu người dùng, bảo mật và tài nguyên. Nó cho phép tương tác với các thư mục khác và đặc biệt phù hợp với các môi trường mạng phân tán.
Active Directory được xem là một bước tiến vượt bậc so với Windows 2000 Server, được cải tiến và hoàn thiện hơn trong Windows Server 2003, trở thành một phần không thể thiếu của hệ điều hành. Windows Server 2003 Active Directory cung cấp một tham chiếu, hay còn gọi là directory service, đến tất cả các đối tượng trong mạng, bao gồm user, groups, computer, printer, policy và permission.
Cửa sổ quản lý Active Directory
Tóm lại, Active Directory là một cơ sở dữ liệu đặc biệt, không thay thế cho Registry của Windows. Hãy hình dung một mạng lưới rộng lớn với hàng trăm, hàng nghìn nhân viên, mỗi người có tên, công việc, phòng ban khác nhau. Mỗi máy chủ quản lý mạng lưới này cần Active Directory để phân loại và xử lý công việc một cách tối ưu. Dữ liệu trong Active Directory có tính kế thừa, nhân rộng, và phân cấp rõ ràng.
2. Tại sao cần triển khai Active Directory?
Có nhiều lý do để triển khai Active Directory. Microsoft Active Directory là một bước tiến lớn so với Windows NT Server 4.0 domain và các mạng máy chủ độc lập. Active Directory cung cấp cơ chế quản trị tập trung trên toàn bộ mạng, khả năng dự phòng và tự động chuyển đổi dự phòng khi có nhiều domain controller trong một domain.
Active Directory tự động quản lý giao tiếp giữa các domain controller để đảm bảo mạng luôn hoạt động ổn định. Người dùng có thể truy cập tất cả tài nguyên trên mạng thông qua cơ chế đăng nhập một lần (single sign-on). Tất cả tài nguyên được bảo vệ bởi cơ chế bảo mật mạnh mẽ, có khả năng kiểm tra danh tính người dùng và quyền truy cập đối với từng tài nguyên.
Active Directory cho phép dễ dàng nâng cấp, hạ cấp các domain controller và máy chủ thành viên. Hệ thống có thể được quản lý và bảo vệ thông qua Group Policies. Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng và ủy quyền quản trị. Quan trọng nhất, Active Directory có khả năng quản lý hàng triệu đối tượng trong một miền.
3. Các đơn vị cơ bản của Active Directory
Mạng Active Directory được tổ chức bằng cách sử dụng 4 đơn vị hoặc cấu trúc mục chính: forest, domain, organizational unit (OU) và site.
Ví dụ về cấu trúc Active Directory
-
Forests (Rừng): Tập hợp các đối tượng, thuộc tính và cú pháp thuộc tính trong Active Directory. Một forest đại diện cho ranh giới bảo mật và quản lý cao nhất trong AD.
-
Domains (Miền): Tập hợp các máy tính chia sẻ một tập chính sách chung, tên và cơ sở dữ liệu thành viên. Domain là đơn vị quản lý chính trong Active Directory, nơi người dùng và máy tính được xác thực và quản lý.
-
Organizational Unit (OU – Đơn vị tổ chức): Nhóm các đối tượng (users, computers, groups) trong một miền. OUs tạo ra một kiến trúc thứ bậc cho miền, phản ánh cấu trúc tổ chức và địa lý của công ty.
-
Sites (Địa điểm): Nhóm các thành phần độc lập về mặt vật lý của miền và cấu trúc OU. Các Site phân biệt giữa các vị trí được kết nối bằng các kết nối tốc độ cao và tốc độ thấp, được định nghĩa bởi một hoặc nhiều IP subnet. Site giúp tối ưu hóa lưu lượng mạng giữa các domain controller.
Forests không bị giới hạn bởi địa lý hoặc topo mạng. Một forest có thể chứa nhiều miền, mỗi miền chia sẻ một lược đồ chung. Các thành viên miền trong cùng một forest không nhất thiết phải có kết nối LAN hoặc WAN. Mỗi mạng riêng có thể có nhiều forest độc lập. Thông thường, mỗi thực thể nên sử dụng một forest. Tuy nhiên, có thể cần thêm forest cho mục đích kiểm thử và nghiên cứu bên ngoài forest sản xuất.
Domains đóng vai trò là đơn vị quản lý chính sách bảo mật và các nhiệm vụ quản trị. Tất cả các đối tượng trong một miền đều chịu sự chi phối của các Group Policies trên toàn miền. Bất kỳ quản trị viên miền nào cũng có thể quản lý tất cả các đối tượng trong miền. Mỗi miền có cơ sở dữ liệu tài khoản riêng, đảm bảo tính xác thực. Khi một tài khoản người dùng được xác thực hoàn toàn trong một miền, tài khoản đó có thể truy cập các tài nguyên bên trong miền.
Active Directory yêu cầu một hoặc nhiều domain để hoạt động. Một miền Active Directory là một tập hợp các máy tính chia sẻ chung một tập các chính sách, tên và cơ sở dữ liệu. Một miền phải có một hoặc nhiều domain controller (DC), lưu trữ cơ sở dữ liệu, duy trì các chính sách và cung cấp xác thực cho các đăng nhập vào miền.
Trong Windows NT, primary domain controller (PDC) và backup domain controller (BDC) là các vai trò có thể được gán cho máy chủ. Windows sử dụng khái niệm miền để quản lý truy cập vào các tài nguyên mạng (ứng dụng, máy in,…) cho một nhóm người dùng. Người dùng chỉ cần đăng nhập vào miền để truy cập các tài nguyên, có thể nằm trên nhiều máy chủ khác nhau trong mạng.
Máy chủ PDC quản lý cơ sở dữ liệu người dùng Master cho miền. Một hoặc nhiều máy chủ khác được thiết kế làm BDC. PDC định kỳ gửi bản sao cơ sở dữ liệu cho các BDC. Một BDC có thể đóng vai trò PDC nếu máy chủ PDC bị lỗi và có thể giúp cân bằng tải nếu quá bận.
Với Windows 2000 Server, các vai trò PDC và BDC cơ bản được thay thế bởi Active Directory. Người dùng cũng không tạo các miền riêng biệt để phân chia đặc quyền quản trị. Trong Active Directory, người dùng có thể ủy quyền các đặc quyền quản trị dựa trên OU. Các miền không bị giới hạn bởi số lượng 40.000 người dùng. Các miền Active Directory có thể quản lý hàng triệu đối tượng. Vì không còn PDC và BDC, Active Directory sử dụng bản sao multi-master replication và tất cả các domain controller đều ngang hàng.
Organizational units linh hoạt hơn và cho phép quản lý dễ dàng hơn so với các miền. OU cho phép bạn có được khả năng linh hoạt gần như vô hạn, bạn có thể chuyển, xóa và tạo các OU mới nếu cần. Mặc dù các miền cũng có tính chất mềm dẻo, nhưng việc xóa và tạo mới một miền có thể gây ra gián đoạn môi trường so với các OU và nên tránh nếu có thể. Theo định nghĩa, sites chứa các IP subnet có các liên kết truyền thông tin cậy và nhanh giữa các host. Bằng cách sử dụng site, bạn có thể kiểm soát và giảm số lượng lưu lượng truyền tải trên các liên kết WAN chậm.
4. Infrastructure Master và Global Catalog
Một thành phần quan trọng khác trong Active Directory là Infrastructure Master. Infrastructure Master (IM) là một domain-wide FSMO (Flexible Single Master of Operations), có vai trò sửa lỗi (phantom) trong cơ sở dữ liệu Active Directory.
Phantom được tạo ra trên các DC, yêu cầu tham chiếu chéo cơ sở dữ liệu giữa một đối tượng bên trong cơ sở dữ liệu riêng và một đối tượng từ miền bên trong forest. Ví dụ, khi bạn thêm một người dùng từ một miền vào một nhóm bên trong miền khác có cùng forest. Phantom sẽ mất hiệu lực khi chúng không chứa dữ liệu mới cập nhật, do các thay đổi được thực hiện cho đối tượng bên ngoài mà Phantom thể hiện, ví dụ như khi đối tượng mục tiêu được đổi tên, chuyển đi giữa các miền, hoặc bị xóa. Infrastructure Master có khả năng định vị và khắc phục một số phantom. Bất kỳ thay đổi nào xảy ra do quá trình sửa lỗi đều được tạo bản sao đến tất cả các DC còn lại trong miền.
Infrastructure Master đôi khi bị nhầm lẫn với Global Catalog (GC), đây là thành phần duy trì một bản sao chỉ đọc của các domain trong một forest, được sử dụng cho lưu trữ nhóm phổ dụng và quá trình đăng nhập. Do GC lưu bản sao không hoàn chỉnh của tất cả các đối tượng bên trong forest, chúng có thể tạo các tham chiếu chéo giữa miền mà không cần phantom.
5. Active Directory và LDAP
LDAP (Lightweight Directory Access Protocol) là một phần của Active Directory, là một giao thức phần mềm cho phép định vị các tổ chức, cá nhân hoặc các tài nguyên khác như file và thiết bị trong mạng, dù mạng của bạn là mạng Internet công cộng hay mạng nội bộ trong công ty.
Trong một mạng, một thư mục sẽ cho bạn biết nơi cất trữ dữ liệu gì đó. Trong các mạng TCP/IP (bao gồm cả Internet), domain name system (DNS) là một hệ thống thư mục được sử dụng gắn liền tên miền với một địa chỉ mạng cụ thể (vị trí duy nhất trong mạng). Tuy nhiên, bạn có thể không biết tên miền nhưng LDAP cho phép bạn tìm kiếm những thông tin cụ thể mà không cần biết chúng được định vị ở đâu.
Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm các mức sau:
- Thư mục gốc có các nhánh con
- Country (Quốc gia), mỗi Country lại có các nhánh con
- Organizations (Tổ chức), mỗi Organization lại có các nhánh con
- Organizational units (Đơn vị tổ chức) (các đơn vị, phòng ban,…), OU có các nhánh
- Individuals (Cá nhân) (gồm có người, file và tài nguyên chia sẻ, chẳng hạn như printer)
Một thư mục LDAP có thể được phân phối giữa nhiều máy chủ. Mỗi máy chủ có thể có một phiên bản sao của thư mục tổng thể và được đồng bộ theo chu kỳ.
Các quản trị viên cần phải hiểu LDAP khi tìm kiếm các thông tin trong Active Directory, cần tạo các truy vấn LDAP hữu dụng khi tìm kiếm các thông tin được lưu trong cơ sở dữ liệu Active Directory.
6. Quản lý Group Policy và Active Directory
Khi nói đến Active Directory, không thể không nhắc đến Group Policy. Các quản trị viên có thể sử dụng Group Policy trong Active Directory để định nghĩa các thiết lập người dùng và máy tính trong toàn mạng. Các thiết lập này được cấu hình và lưu trong Group Policy Objects (GPOs), sau đó được liên kết với các đối tượng Active Directory, bao gồm các domain và site. Đây là cơ chế chính để áp dụng các thay đổi cho máy tính và người dùng trong môi trường Windows.
Thông qua quản lý Group Policy, các quản trị viên có thể cấu hình toàn cục các thiết lập desktop trên các máy tính người dùng, hạn chế hoặc cho phép truy cập đối với các file hoặc thư mục nào đó trong mạng.
Cần hiểu GPO được sử dụng như thế nào. Group Policy Object được áp dụng theo thứ tự sau: Các chính sách máy nội bộ được sử dụng trước, sau đó là các chính sách site, chính sách miền, chính sách được sử dụng cho các OU riêng. Ở một thời điểm nào đó, một đối tượng người dùng hoặc máy tính chỉ có thể thuộc về một site hoặc một miền, vì vậy chúng sẽ chỉ nhận các GPO liên kết với site hoặc miền đó.
Các GPO được chia thành hai phần riêng biệt: Group Policy Template (GPT) và Group Policy Container (GPC). Group Policy Template lưu trữ các thiết lập được tạo bên trong GPO. Nó lưu các thiết lập trong một cấu trúc thư mục và các file lớn. Để áp dụng các thiết lập này thành công cho tất cả các đối tượng người dùng và máy tính, GPT phải được tạo bản sao cho tất cả các DC trong miền.
Group Policy Container là một phần của GPO và được lưu trong Active Directory trên các DC trong miền. GPC giữ tham chiếu cho Client Side Extensions (CSEs), đường dẫn đến GPT, đường dẫn đến các gói cài đặt và những khía cạnh tham chiếu khác của GPO. GPC không chứa nhiều thông tin liên quan đến GPO tương ứng, nhưng nó là một thành phần cần thiết của Group Policy. Khi các chính sách cài đặt phần mềm được cấu hình, GPC sẽ giúp giữ các liên kết bên trong GPO. Bên cạnh đó, nó cũng giữ các liên kết quan hệ khác và các đường dẫn được lưu trong các thuộc tính đối tượng. Biết được cấu trúc của GPC và cách truy cập các thông tin ẩn được lưu trong các thuộc tính sẽ rất cần thiết khi bạn cần kiểm tra một vấn đề liên quan đến GP.
Với Windows Server 2003, Microsoft đã phát hành một giải pháp quản lý Group Policy là Group Policy Management Console (GPMC). GPMC cung cấp cho các quản trị viên một giao diện quản lý giúp đơn giản các nhiệm vụ liên quan đến GPO.