Active Directory là gì?
Trước hết chúng ta hãy đi tìm hiểu xem Active
Directory là gì. Active Directory là một dịch vụ thư mục (directory
service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không
thể thiếu trong kiến trúc Windows. Giống như các dịch vụ thư mục khác,
chẳng hạn như Novell Directory Services (NDS), Active Directory là một
hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ
liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho
phép tương tác với các thư mục khác. Thêm vào đó, Active Directory được
thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo
một kiểu nào đó.
Active Directory có thể được coi là một điểm phát
triển mới so với Windows 2000 Server và được nâng cao và hoàn thiện tốt
hơn trong Windows Server 2003, trở thành một phần quan trọng của hệ
điều hành. Windows Server 2003 Active Directory cung cấp một tham
chiếu, được gọi là directory service, đến tất cả các đối tượng trong
một mạng, gồm có user, groups, computer, printer, policy và permission.
Với người dùng hoặc quản trị viên, Active Directory
cung cấp một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và
quản lý tất cả các tài nguyên trong mạng.
Tại sao cần thực thi Active Directory?
Có một số lý do để lý giải cho câu hỏi trên.
Microsoft Active Directory được xem như là một bước tiến triển đáng kể
so với Windows NT Server 4.0 domain hay thậm chí các mạng máy chủ
standalone. Active Directory có một cơ chế quản trị tập trung trên toàn
bộ mạng. Nó cũng cung cấp khả năng dự phòng và tự động chuyển đổi dự
phòng khi hai hoặc nhiều domain controller được triển khai trong một
domain.
Active Directory sẽ tự động quản lý sự truyền thông
giữa các domain controller để bảo đảm mạng được duy trì. Người dùng có
thể truy cập vào tất cả tài nguyên trên mạng thông qua cơ chế đăng nhập
một lần. Tất cả các tài nguyên trong mạng được bảo vệ bởi một cơ chế
bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người
dùng và quyền hạn của mỗi truy cập đối với tài nguyên.
Active Directory cho phép tăng cấp, hạ cấp các domain
controller và các máy chủ thành viên một cách dễ dàng. Các hệ thống có
thể được quản lý và được bảo vệ thông qua các chính sách nhóm Group
Policies. Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép
quản lý dễ dàng và ủy nhiệm trách nhiệm quản trị. Mặc dù vậy quan trọng
nhất vẫn là Active Directory có khả năng quản lý hàng triệu đối tượng
bên trong một miền.
Những đơn vị cơ bản của Active Directory
Các mạng Active Directory được tổ chức bằng cách sử
dụng 4 kiểu đơn vị hay cấu trúc mục. Bốn đơn vị này được chia thành
forest, domain, organizational unit và site.
Các Forest không bị hạn chế theo địa lý hoặc
topo mạng. Một forest có thể gồm nhiều miền, mỗi miền lại chia sẻ một
lược đồ chung. Các thành viên miền của cùng một forest thậm chí không
cần có kết nối LAN hoặc WAN giữa chúng. Mỗi một mạng riêng cũng có thể
là một gia đình của nhiều forest độc lập. Nói chung, một forest nên
được sử dụng cho mỗi một thực thể. Mặc dù vậy, vẫn cần đến các forest
bổ sung cho việc thực hiện test và nghiên cứu các mục đích bên ngoài
forest tham gia sản xuất.
Các miền Domain phục vụ như các mục trong
chính sách bảo mật và các nhiệm vụ quản trị. Tất cả các đối tượng bên
trong một miền đều là chủ đề cho Group Policies miền rộng. Tương tự như
vậy, bất cứ quản trị viên miền nào cũng có thể quản lý tất cả các đối
tượng bên trong một miền. Thêm vào đó, mỗi miền cũng đều có cơ sở dữ
liệu các tài khoản duy nhất của nó. Chính vì vậy tính xác thực là một
trong những vấn đề cơ bản của miền. Khi một tài khoản người dùng hoàn
toàn xác thực đối với một miền nào đó thì tài khoản người dùng này có
thể truy cập vào các tài nguyên bên trong miền.
Active Directory yêu cầu một hoặc nhiều domain để
hoạt động. Như đề cập từ trước, một miền Active Directory là một bộ các
máy tính chia sẻ chung một tập các chính sách, tên và cơ sở dữ liệu
các thành viên của chúng. Một miền phải có một hoặc nhiều máy domain
controller (DC) và lưu cơ sở dữ liệu, duy trì các chính sách và cung
cấp sự thẩm định cho các đăng nhập vào miền.
Trước kia trong Windows NT, bộ điều khiển miền chính -
primary domain controller (PDC) và bộ điều khiển miền backup - backup
domain controller (BDC) là các role có thể được gán cho một máy chủ
trong một mạng các máy tính sử dụng hệ điều hành Windows. Windows đã sử
dụng ý tưởng miền để quản lý sự truy cập đối với các tài nguyên mạng
(ứng dụng, máy in và,…) cho một nhóm người dùng. Người dùng chỉ cần
đăng nhập vào miền là có thể truy cập vào các tài nguyên, những tài
nguyên này có thể nằm trên một số các máy chủ khác nhau trong mạng.
Máy chủ được biết đến như PDC, quản lý cơ sở dữ liệu
người dùng Master cho miền. Một hoặc một số máy chủ khác được thiết kế
như BDC. PDC gửi một cách định kỳ các bản copy cơ sở dữ liệu đến các
BDC. Một BDC có thể có thể đóng vai trò như một PDC nếu máy chủ PDC bị
lỗi và cũng có thể trợ giúp cân bằng luồng công việc nếu quá bận.
Với Windows 2000 Server, khi domain controller vẫn
được duy trì, các role máy chủ PDC và BDC cơ bản được thay thế bởi
Active Directory. Người dùng cũng không tạo các miền phân biệt để phân
chia các đặc quyền quản trị. Bên trong Active Directory, người dùng
hoàn toàn có thể ủy nhiệm các đặc quyền quản trị dựa trên các OU. Các
miền không bị hạn chế bởi một số lượng 40.000 người dùng. Các miền
Active Directory có thể quản lý hàng triệu các đối tượng. Vì không còn
tồn tại PDC và BDC nên Active Directory sử dụng bản sao multi-master
replication và tất cả các domain controller đều ngang hàng nhau.
Organizational units tỏ ra linh hoạt hơn và
cho phép quản lý dễ dàng hơn so với các miền. OU cho phép bạn có được
khả năng linh hoạt gần như vô hạn, bạn có thể chuyển, xóa và tạo các OU
mới nếu cần. Mặc dù các miền cũng có tính chất mềm dẻo. Chúng có thể
bị xòa tạo mới, tuy nhiên quá trình này dễ dẫn đến phá vỡ môi trường so
với các OU và cũng nên tránh nếu có thể.
Theo định nghĩa, sites là chứa các IP subnet có các liên kết
truyền thông tin cậy và nhanh giữa các host. Bằng cách sử dụng site,
bạn có thể kiểm soát và giảm số lượng lưu lượng truyền tải trên các
liên kết WAN chậm.
Infrastructure Master và Global Catalog
Một thành phần chính khác bên trong Active Directory
là Infrastructure Master. Infrastructure Master (IM) là một domain-wide
FSMO (Flexible Single Master of Operations) có vai trò đáp trả trong
quá trình tự động để sửa lỗi (phantom) bên trong cơ sở dữ liệu Active Directory.
Phantom được tạo ra trên các DC, nó yêu cầu một sự
tham chiếu chéo cơ sở dữ liệu giữa một đối tượng bên trong cơ sở dữ
liệu riêng và một đối tượng từ miền bên trong forest. Ví dụ có thể bắt
gặp khi bạn bổ sung thêm một người dùng nào đó từ một miền vào một nhóm
bên trong miền khác có cùng forest. Phantom sẽ bị mất hiệu lực khi
chúng không chứa dữ liệu mới cập nhật, điều này xuất hiện vì những thay
đổi được thực hiện cho đối tượng bên ngoài mà Phantom thể hiện, ví dụ
như khi đối tượng mục tiêu được đặt lại tên, chuyển đi đâu đó giữa các
miền, hay vị xóa. Infrastructure Master có khả năng định vị và khắc
phục một số phantom. Bất cứ thay đổi nào xảy ra do quá trình sửa lỗi
đều được tạo bản sao đến tất cả các DC còn lại bên trong miền.
Infrastructure Master đôi khi bị lẫn lộn với Global
Catalog (GC), đây là thành phần duy trì một copy chỉ cho phép đọc đối
với các domain nằm trong một forest, được sử dụng cho lưu trữ nhóm phổ
dụng và quá trình đăng nhập,… Do GC lưu bản copy không hoàn chỉnh của
tất cả các đối tượng bên trong forest nên chúng có thể tạo các tham
chiếu chéo giữa miền không có nhu cầu phantom.
Active Directory và LDAP
LDAP (Lightweight Directory Access Protocol) là một
phần của Active Directory, nó là một giao thức phần mềm cho phép định
vị các tổ chức, cá nhân hoặc các tài nguyên khác như file và thiết bị
trong mạng, dù mạng của bạn là mạng Internet công cộng hay mạng nội bộ
trong công ty.
Trong một mạng, một thư mục sẽ cho bạn biết được nơi
cất trữ dữ liệu gì đó. Trong các mạng TCP/IP (gồm có cả Internet),
domain name system (DNS) là một hệ thống thư mục được sử dụng gắn liền
tên miền với một địa chỉ mạng cụ thể (vị trí duy nhất trong mạng). Mặc
dù vậy, bạn có thể không biết tên miền nhưng LDAP cho phép bạn tìm kiếm
những cụ thể mà không cần biết chúng được định vị ở đâu.
Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm có các mức dưới đây:
Một thư mục LDAP có thể được phân phối giữa nhiều
máy chủ. Mỗi máy chủ có thể có một phiên bản sao của thư mục tổng thể và
được đồng bộ theo chu kỳ.
Các quản trị viên cần phải hiểu LDAP khi tìm kiếm các
thông tin trong Active Directory, cần tạo các truy vấn LDAP hữu dụng
khi tìm kiếm các thông tin được lưu trong cơ sở dữ liệu Active
Directory.
Sự quản lý Group Policiy và Active Directory
Khi nói đến Active Directory chắc chắn chúng ta phải
đề cập đến Group Policy. Các quản trị viên có thể sử dụng Group Policy
trong Active Directory để định nghĩa các thiết lập người dùng và máy
tính trong toàn mạng. Thiết lập này được cấu hình và được lưu trong
Group Policy Objects (GPOs), các thành phần này sau đó sẽ được kết hợp
với các đối tượng Active Directory, gồm có các domain và site. Đây chính
là cơ chế chủ yếu cho việc áp dụng các thay đổi cho máy tính và người
dùng trong môi trường Windows.
Thông qua quản lý Group Policy, các quản trị viên có
thể cấu hình toàn cục các thiết lập desktop trên các máy tính người
dùng, hạn chế hoặc cho phép truy cập đối với các file hoặc thư mục nào
đó bên trong mạng.
Thêm vào đó chúng ta cũng cầm phải hiểu GPO được sử
dụng như thế nào. Group Policy Object được áp dụng theo thứ tự sau: Các
chính sách máy nội bộ được sử dụng trước, sau đó là các chính sách
site, chính sách miền, chính sách được sử dụng cho các OU riêng. Ở một
thời điểm nào đó, một đối tượng người dùng hoặc máy tính chỉ có thể
thuộc về một site hoặc một miền, vì vậy chúng sẽ chỉ nhận các GPO liên
kết với site hoặc miền đó.
Các GPO được phân chia thành hai phần riêng biệt:
Group Policy Template (GPT) và Group Policy Container (GPC). Group
Policy Template có trách nhiệm lưu các thiết lập được tạo bên trong
GPO. Nó lưu các thiết lập trong một cấu trúc thư mục và các file lớn.
Để áp dụng các thiết lập này thành công đối với tất cả các đối tượng
người dùng và máy tính, GPT phải được tạo bản sao cho tất cả các DC bên
trong miền.
Group Policy Container là một phần của GPO và được
lưu trong Active Directory trên các DC trong miền. GPC có trách nhiệm
giữ tham chiếu cho Client Side Extensions (CSEs), đường dẫn đến GPT,
đường dẫn đến các gói cài đặt và những khía cạnh tham chiếu khác của
GPO. GPC không chứa nhiều thông tin có liên quan đến GPO tương ứng với
nó, tuy nhiên nó là một thành phần cần thiết của Group Policy. Khi các
chính sách cài đặt phần mềm được cấu hình, GPC sẽ giúp giữ các liên kết
bên trong GPO. Bên cạnh đó nó cũng giữ các liên kết quan hệ khác và
các đường dẫn được lưu trong các thuộc tính đối tượng. Biết được cấu
trúc của GPC và cách truy cập các thông tin ẩn được lưu trong các thuộc
tính sẽ rất cần thiết khi bạn cần kiểm tra một vấn đề nào đó có liên
quan đến GP.
Với Windows Server 2003, Microsoft đã phát hành một
giải pháp quản lý Group Policy đó là Group Policy Management Console
(GPMC). GPMC cung cấp cho các quản trị viên một giao diện quản lý giúp
đơn giản các nhiệm vụ có liên quan đến GPO.
Trước hết chúng ta hãy đi tìm hiểu xem Active
Directory là gì. Active Directory là một dịch vụ thư mục (directory
service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không
thể thiếu trong kiến trúc Windows. Giống như các dịch vụ thư mục khác,
chẳng hạn như Novell Directory Services (NDS), Active Directory là một
hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ
liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho
phép tương tác với các thư mục khác. Thêm vào đó, Active Directory được
thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo
một kiểu nào đó.
Active Directory có thể được coi là một điểm phát
triển mới so với Windows 2000 Server và được nâng cao và hoàn thiện tốt
hơn trong Windows Server 2003, trở thành một phần quan trọng của hệ
điều hành. Windows Server 2003 Active Directory cung cấp một tham
chiếu, được gọi là directory service, đến tất cả các đối tượng trong
một mạng, gồm có user, groups, computer, printer, policy và permission.
Với người dùng hoặc quản trị viên, Active Directory
cung cấp một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và
quản lý tất cả các tài nguyên trong mạng.
Tại sao cần thực thi Active Directory?
Có một số lý do để lý giải cho câu hỏi trên.
Microsoft Active Directory được xem như là một bước tiến triển đáng kể
so với Windows NT Server 4.0 domain hay thậm chí các mạng máy chủ
standalone. Active Directory có một cơ chế quản trị tập trung trên toàn
bộ mạng. Nó cũng cung cấp khả năng dự phòng và tự động chuyển đổi dự
phòng khi hai hoặc nhiều domain controller được triển khai trong một
domain.
Active Directory sẽ tự động quản lý sự truyền thông
giữa các domain controller để bảo đảm mạng được duy trì. Người dùng có
thể truy cập vào tất cả tài nguyên trên mạng thông qua cơ chế đăng nhập
một lần. Tất cả các tài nguyên trong mạng được bảo vệ bởi một cơ chế
bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người
dùng và quyền hạn của mỗi truy cập đối với tài nguyên.
Active Directory cho phép tăng cấp, hạ cấp các domain
controller và các máy chủ thành viên một cách dễ dàng. Các hệ thống có
thể được quản lý và được bảo vệ thông qua các chính sách nhóm Group
Policies. Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép
quản lý dễ dàng và ủy nhiệm trách nhiệm quản trị. Mặc dù vậy quan trọng
nhất vẫn là Active Directory có khả năng quản lý hàng triệu đối tượng
bên trong một miền.
Những đơn vị cơ bản của Active Directory
Các mạng Active Directory được tổ chức bằng cách sử
dụng 4 kiểu đơn vị hay cấu trúc mục. Bốn đơn vị này được chia thành
forest, domain, organizational unit và site.
- Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active Directory.
- Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một cơ sở dữ liệu của các thành viên của chúng.
- Organizational unit (OU): Nhóm các mục trong miền nào
đó. Chúng tạo nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công
ty của Active Directory theo các điều kiện tổ chức và địa lý.
- Sites: Nhóm vật lý những thành phần độc lập của miền và
cấu trúc OU. Các Site phân biệt giữa các location được kết nối bởi
các kết nối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa
bởi một hoặc nhiều IP subnet.
Các Forest không bị hạn chế theo địa lý hoặc
topo mạng. Một forest có thể gồm nhiều miền, mỗi miền lại chia sẻ một
lược đồ chung. Các thành viên miền của cùng một forest thậm chí không
cần có kết nối LAN hoặc WAN giữa chúng. Mỗi một mạng riêng cũng có thể
là một gia đình của nhiều forest độc lập. Nói chung, một forest nên
được sử dụng cho mỗi một thực thể. Mặc dù vậy, vẫn cần đến các forest
bổ sung cho việc thực hiện test và nghiên cứu các mục đích bên ngoài
forest tham gia sản xuất.
Các miền Domain phục vụ như các mục trong
chính sách bảo mật và các nhiệm vụ quản trị. Tất cả các đối tượng bên
trong một miền đều là chủ đề cho Group Policies miền rộng. Tương tự như
vậy, bất cứ quản trị viên miền nào cũng có thể quản lý tất cả các đối
tượng bên trong một miền. Thêm vào đó, mỗi miền cũng đều có cơ sở dữ
liệu các tài khoản duy nhất của nó. Chính vì vậy tính xác thực là một
trong những vấn đề cơ bản của miền. Khi một tài khoản người dùng hoàn
toàn xác thực đối với một miền nào đó thì tài khoản người dùng này có
thể truy cập vào các tài nguyên bên trong miền.
Active Directory yêu cầu một hoặc nhiều domain để
hoạt động. Như đề cập từ trước, một miền Active Directory là một bộ các
máy tính chia sẻ chung một tập các chính sách, tên và cơ sở dữ liệu
các thành viên của chúng. Một miền phải có một hoặc nhiều máy domain
controller (DC) và lưu cơ sở dữ liệu, duy trì các chính sách và cung
cấp sự thẩm định cho các đăng nhập vào miền.
Trước kia trong Windows NT, bộ điều khiển miền chính -
primary domain controller (PDC) và bộ điều khiển miền backup - backup
domain controller (BDC) là các role có thể được gán cho một máy chủ
trong một mạng các máy tính sử dụng hệ điều hành Windows. Windows đã sử
dụng ý tưởng miền để quản lý sự truy cập đối với các tài nguyên mạng
(ứng dụng, máy in và,…) cho một nhóm người dùng. Người dùng chỉ cần
đăng nhập vào miền là có thể truy cập vào các tài nguyên, những tài
nguyên này có thể nằm trên một số các máy chủ khác nhau trong mạng.
Máy chủ được biết đến như PDC, quản lý cơ sở dữ liệu
người dùng Master cho miền. Một hoặc một số máy chủ khác được thiết kế
như BDC. PDC gửi một cách định kỳ các bản copy cơ sở dữ liệu đến các
BDC. Một BDC có thể có thể đóng vai trò như một PDC nếu máy chủ PDC bị
lỗi và cũng có thể trợ giúp cân bằng luồng công việc nếu quá bận.
Với Windows 2000 Server, khi domain controller vẫn
được duy trì, các role máy chủ PDC và BDC cơ bản được thay thế bởi
Active Directory. Người dùng cũng không tạo các miền phân biệt để phân
chia các đặc quyền quản trị. Bên trong Active Directory, người dùng
hoàn toàn có thể ủy nhiệm các đặc quyền quản trị dựa trên các OU. Các
miền không bị hạn chế bởi một số lượng 40.000 người dùng. Các miền
Active Directory có thể quản lý hàng triệu các đối tượng. Vì không còn
tồn tại PDC và BDC nên Active Directory sử dụng bản sao multi-master
replication và tất cả các domain controller đều ngang hàng nhau.
Organizational units tỏ ra linh hoạt hơn và
cho phép quản lý dễ dàng hơn so với các miền. OU cho phép bạn có được
khả năng linh hoạt gần như vô hạn, bạn có thể chuyển, xóa và tạo các OU
mới nếu cần. Mặc dù các miền cũng có tính chất mềm dẻo. Chúng có thể
bị xòa tạo mới, tuy nhiên quá trình này dễ dẫn đến phá vỡ môi trường so
với các OU và cũng nên tránh nếu có thể.
Theo định nghĩa, sites là chứa các IP subnet có các liên kết
truyền thông tin cậy và nhanh giữa các host. Bằng cách sử dụng site,
bạn có thể kiểm soát và giảm số lượng lưu lượng truyền tải trên các
liên kết WAN chậm.
Infrastructure Master và Global Catalog
Một thành phần chính khác bên trong Active Directory
là Infrastructure Master. Infrastructure Master (IM) là một domain-wide
FSMO (Flexible Single Master of Operations) có vai trò đáp trả trong
quá trình tự động để sửa lỗi (phantom) bên trong cơ sở dữ liệu Active Directory.
Phantom được tạo ra trên các DC, nó yêu cầu một sự
tham chiếu chéo cơ sở dữ liệu giữa một đối tượng bên trong cơ sở dữ
liệu riêng và một đối tượng từ miền bên trong forest. Ví dụ có thể bắt
gặp khi bạn bổ sung thêm một người dùng nào đó từ một miền vào một nhóm
bên trong miền khác có cùng forest. Phantom sẽ bị mất hiệu lực khi
chúng không chứa dữ liệu mới cập nhật, điều này xuất hiện vì những thay
đổi được thực hiện cho đối tượng bên ngoài mà Phantom thể hiện, ví dụ
như khi đối tượng mục tiêu được đặt lại tên, chuyển đi đâu đó giữa các
miền, hay vị xóa. Infrastructure Master có khả năng định vị và khắc
phục một số phantom. Bất cứ thay đổi nào xảy ra do quá trình sửa lỗi
đều được tạo bản sao đến tất cả các DC còn lại bên trong miền.
Infrastructure Master đôi khi bị lẫn lộn với Global
Catalog (GC), đây là thành phần duy trì một copy chỉ cho phép đọc đối
với các domain nằm trong một forest, được sử dụng cho lưu trữ nhóm phổ
dụng và quá trình đăng nhập,… Do GC lưu bản copy không hoàn chỉnh của
tất cả các đối tượng bên trong forest nên chúng có thể tạo các tham
chiếu chéo giữa miền không có nhu cầu phantom.
Active Directory và LDAP
LDAP (Lightweight Directory Access Protocol) là một
phần của Active Directory, nó là một giao thức phần mềm cho phép định
vị các tổ chức, cá nhân hoặc các tài nguyên khác như file và thiết bị
trong mạng, dù mạng của bạn là mạng Internet công cộng hay mạng nội bộ
trong công ty.
Trong một mạng, một thư mục sẽ cho bạn biết được nơi
cất trữ dữ liệu gì đó. Trong các mạng TCP/IP (gồm có cả Internet),
domain name system (DNS) là một hệ thống thư mục được sử dụng gắn liền
tên miền với một địa chỉ mạng cụ thể (vị trí duy nhất trong mạng). Mặc
dù vậy, bạn có thể không biết tên miền nhưng LDAP cho phép bạn tìm kiếm
những cụ thể mà không cần biết chúng được định vị ở đâu.
Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm có các mức dưới đây:
- Thư mục gốc có các nhánh con
- Country, mỗi Country lại có các nhánh con
- Organizations, mỗi Organization lại có các nhánh con
- Organizational units (các đơn vị, phòng ban,…), OU có các nhánh
- Individuals (cá thể, gồm có người, file và tài nguyên chia sẻ, chẳng hạn như printer)
Một thư mục LDAP có thể được phân phối giữa nhiều
máy chủ. Mỗi máy chủ có thể có một phiên bản sao của thư mục tổng thể và
được đồng bộ theo chu kỳ.
Các quản trị viên cần phải hiểu LDAP khi tìm kiếm các
thông tin trong Active Directory, cần tạo các truy vấn LDAP hữu dụng
khi tìm kiếm các thông tin được lưu trong cơ sở dữ liệu Active
Directory.
Sự quản lý Group Policiy và Active Directory
Khi nói đến Active Directory chắc chắn chúng ta phải
đề cập đến Group Policy. Các quản trị viên có thể sử dụng Group Policy
trong Active Directory để định nghĩa các thiết lập người dùng và máy
tính trong toàn mạng. Thiết lập này được cấu hình và được lưu trong
Group Policy Objects (GPOs), các thành phần này sau đó sẽ được kết hợp
với các đối tượng Active Directory, gồm có các domain và site. Đây chính
là cơ chế chủ yếu cho việc áp dụng các thay đổi cho máy tính và người
dùng trong môi trường Windows.
Thông qua quản lý Group Policy, các quản trị viên có
thể cấu hình toàn cục các thiết lập desktop trên các máy tính người
dùng, hạn chế hoặc cho phép truy cập đối với các file hoặc thư mục nào
đó bên trong mạng.
Thêm vào đó chúng ta cũng cầm phải hiểu GPO được sử
dụng như thế nào. Group Policy Object được áp dụng theo thứ tự sau: Các
chính sách máy nội bộ được sử dụng trước, sau đó là các chính sách
site, chính sách miền, chính sách được sử dụng cho các OU riêng. Ở một
thời điểm nào đó, một đối tượng người dùng hoặc máy tính chỉ có thể
thuộc về một site hoặc một miền, vì vậy chúng sẽ chỉ nhận các GPO liên
kết với site hoặc miền đó.
Các GPO được phân chia thành hai phần riêng biệt:
Group Policy Template (GPT) và Group Policy Container (GPC). Group
Policy Template có trách nhiệm lưu các thiết lập được tạo bên trong
GPO. Nó lưu các thiết lập trong một cấu trúc thư mục và các file lớn.
Để áp dụng các thiết lập này thành công đối với tất cả các đối tượng
người dùng và máy tính, GPT phải được tạo bản sao cho tất cả các DC bên
trong miền.
Group Policy Container là một phần của GPO và được
lưu trong Active Directory trên các DC trong miền. GPC có trách nhiệm
giữ tham chiếu cho Client Side Extensions (CSEs), đường dẫn đến GPT,
đường dẫn đến các gói cài đặt và những khía cạnh tham chiếu khác của
GPO. GPC không chứa nhiều thông tin có liên quan đến GPO tương ứng với
nó, tuy nhiên nó là một thành phần cần thiết của Group Policy. Khi các
chính sách cài đặt phần mềm được cấu hình, GPC sẽ giúp giữ các liên kết
bên trong GPO. Bên cạnh đó nó cũng giữ các liên kết quan hệ khác và
các đường dẫn được lưu trong các thuộc tính đối tượng. Biết được cấu
trúc của GPC và cách truy cập các thông tin ẩn được lưu trong các thuộc
tính sẽ rất cần thiết khi bạn cần kiểm tra một vấn đề nào đó có liên
quan đến GP.
Với Windows Server 2003, Microsoft đã phát hành một
giải pháp quản lý Group Policy đó là Group Policy Management Console
(GPMC). GPMC cung cấp cho các quản trị viên một giao diện quản lý giúp
đơn giản các nhiệm vụ có liên quan đến GPO.