Làm chủ windows server 2003 (tập 2) phần 1

Rene Cun)

ighiép bang Windows Server 2003

THU NGO Kinh thưa quý Bạn đọc gắn xa!

“Trước hết, Bạn xuất bản xin bày tễ lịng biết ơn và niềm vinh hạnh được đơng đáo Bạn đọc nhiệt tình ủng bộ tủ sách ME PUB,

"Trong thời gian qua chúng tơi rất vui và cảm ơn các Ban đã gửi e- "mai đồng gĩp nhiễu ý kiến quý báu cho tử sách

"Mục tiêu và phương chấm phục vụ của chúng tơi là: « _ Láo động khoa học nghiêm tức

+ Chất lượng và ngày cảng chất lượng hơn «Tất cả vì Bạn đọc

"Một lẫn nữa, Ban xuất bản MK,PUB xin kính mời quý Bạn đọc tiếp tục tham gia cùng chúng tơi để nâng cao chất lượng sách Cụ thế “Trong quá trình sử dụng sách, nếu quý Bạn phát hiện thấy bất kỳ sai sốt nào (dở nhở) xin đánh đấu, ghỉ chú nhận xét ý kiến của Bạn ra bên cạnh rủi gũi cuốn sách này cho chúng tơi theo địa chỉ:

"Nhà sách Minh Khai

249 Nguyễn Thị Minh Khai, Q.1, Tp Hồ Chí Minh

E-mail: mk.book@minhkhai-com.on hoe mk pub@minhkhai.com.on “Chúng tải xin hồn lại cước phí bưa điện và gửi trả lại Bạn cuốn sách cùng tên Ngồi ra chúng tơi cịn gửi Lạng Đạn một cuốn sách khác trong tả sách MK PUB Bạn cĩ thể chợa cuốn sách này theo danh mục thích hợp sẽ gửi tối Bạn Với mục đích ngày cing năng cao chất lượng tủ séch MK-PUB, chúng tơi rất mong nhận được sự hợp tác nhiệ tình của quý Bạn đọc gắn

Lai ni de ie

Lx xá: Ste

“Cuốn sách này chỉ đành cho những người sử đụng Windows Server 3008? Xin thưa, hồn đồn khơng phải Vâng, nĩ là một cuốn sách về Server 2003 _ nhưng về cơ bản, nĩ cịn là một bản nơng cấp của cuốn Tâm chủ Microsoft Windows 2000 Server" Khi phe thé ke hogch soạn cuốn sách này, chúng tơi đã quyết định tử sớm rằng nổ cĩ hai mục tiêu chính Trước hết, nĩ phải bàn về những: tính năng, đặc điểm mới trong Windows Server 2008 (mi sau day ching ti sin gội tất là WinS2S), nếu khơng thì tiêu để cuốn sách nay đâm ra sai bet, Nhung những khác biệt giữa Win8K và WinS2k] tuy khơng phái là khơng quan trọng, nhưng cũng khơng đến nỗi lớn lầm Và diều đĩ Xhiến chúng tơi để re mục tiêu thứ hai Chúng tơi đốn rằng hấu như khơng cĩ ai dang đọc cuốn sách này sẽ ném di tất cả các máy Win2K Server “cd” của họ khi chấp nhận WinS2k8 cả; thự tế, nhiều bạn đọc kế với chúng tơi rằng họ vẫn cịn đang sử dụng các máy NT 4 Server Điều đĩ chẳng cĩ gì là xấu _ NT 4 và Win2K đều thực sự là những cơng cụ tốt theo ý chúng tơi Vâng, về một số phương điện thì WinS2kf tốt hơn „ và bạn sẽ được tìm hiểu vé nhung mặt hay ho đĩ trong cuốn sách này — nhưng khơng tốt hơn nhiều đến nỗi nhiều người cĩ thể bào chữa cho Việc tong hê các máy Win2K để cĩ chỗ cho WinS2k3 Khơng đầu, chúng, tơi đốn xăng WinS2kÄ sẽ tiến vào mạng của bạn một cách từ tử, và vì thế, bạn sẽ phải sống trong một mơi trường mạng clientaerver cĩ sã các may Win2K Server lẫn các máy WinS2k3 trong một thơi gian khá dài đấy Đĩ là lý do tại sao chúng tơi soạn cuốn sách này với tỉnh thần là một bản nâng cao của *Lâm chủ MS Win2K Server"

“Thay vì lấy cuốn “Làm chủ MS Windows 2000 Server” rồi tìm những: điểm mà chúng tơi cân thay đối để biến nĩ thành một cuốn sách về WinS2k8, chúng tơi dã bắt đầu bằng những chủ để mà cuốn sách kia đã để cập rồi bàn sâu hơn về chúng, để tạo nên sự phát triển của xê<ri sách Ví dụ, cuốn sách kia chưa kháo sát nhiều về những vấn để bảo trì Active Directory, cing như việc kiểm tra sự tồn vẹn cơ sở dữ liệu danh, bạ, hoặc sự cơ đọng cơ sở dữ liệu đĩ, cho nên cuốn này bàn về những để tài đĩ, cho đồ chúng khơng phải đạc điểm mới ¢6 trong WinS2k3

Lâm chủ Windows Server 2008: "Như vậy, chúng tơi đã cố gắng để biển cuốn sích này thành một thứ sách “hai trong một", Chúng tơi hy vọng bạn cho ring ching tơi đã thành cơng trong chuyện đĩ

` số lượng những chủ để mà cuốn sách này để cập quá lớn, cho tên khĩ lịng gom chủng lại trong một, thậm chỉ hai, tập sách dưới 1000, trang, Vì vậy, chúng tơi chỉa cuốn sách này ra thành ba tập, tổng cộng: hơn 2400 trang Tập 1 gồm 7 chương, tập 2 lúc trước dự định gốm 6 chương, và tập 3 đự định 7 chương Những tập 2 bên về những để tài rất quan trọng của một mạng WinS2kư, cho nên để giữ che số trang của hai tập Xế nhau khơng chênh nhau quá nhiều, chúng tơi quyết định đưa chương 13 của lập # sang tập 3, Như vậy tập 2 cịn 5 chương từ 8 đổi, 1), và tập 3 tầng lên đến 8 chương (út 13 đến 20), tChương 8 thực chất bin than nĩ đã là một cuốn sách cỡ vữa rồi, vơi Ấn 330 trang sách và gin 110 hình ảnh mình họa Nĩ đưa bạn đi tứ những khái niệm cơ bản như "Active Directory Ia gl, va tai sao bun lai mmuổn cĩ một AD?” cho tới những kiến thức chuyên sâu như cách thiết kế D, cách thực hiện AD, cách quản lý nĩ, cách tối ưu hĩa nĩ, cách sắp, Xếp lại cấu trúc của nĩ khi cản thiết, và cách sửa chữa nĩ khi nĩ trục trậc hỏng hĩc Như bạn sẽ thấy, những thay đổi trong WinS2k3 đá thẩm, Sâu vào mọi ngơ ngách của để tài này Phần nổi vẻ di (ni (tức nâng cấp! {i mi, Ady đủ hơn nhiễu so với cuốn "Lâm chủ MS Windows 2000 Server, và phần đĩ cùng với phần cịn lại của cuốn sách cung eấp nhiều ví đụ thực hành ng bước một, cho phép bạn xây dựng một AD nhỏ nhưng hoạt động được

“Chương 9 giải thích về những chỉ tiết và tính phúc tạp của việc tao Tạ và quản lý các tài khoản người đong, Đĩ là một để tài lớn, bởi vì nĩ bao gồm cả các biên dạng người dùng tuser profile) và các chính sách nhĩm, và chủng tơi cổ gắng giải thích chúng rất cặn kẻ Chủng tơi cịn Sử gắng trình bày thêm về cách dùng cơng cụ tìm và trị pan mdi me Resultant Set of Policies cia WinS2k3 danh cho ede ehinh sách nhĩm, "Những người hâm mộ chính sách nhĩm hắn sẻ thích phần đĩ,

WinEK xử lý vấn để lưu trữ khác nhiều với NT, và WinS2k3 thay đối "mọi thử thêm một chút nữa, như bạn sẽ được tìm hiểu trong Chương 10 “Trong chương đĩ, chủng tơi cho bạn thấy cách nối kết, chia phân khu, và định dang các 6 dia, va chủng tơi cùng bàn đến những chức năng RAID phân mêm của WinZK và Win83k3, Chương 11 ban về các các ller được chia sẽ dùng chung trên mạng, kế cả cách báo vệ các share 446 bằng cá cae ahare permission (guyển truy cập đối wii share) An các [NTFS permission (quyén truy cụp đối uti cae fle vt falder NTFS), cong

Lãi nĩi

hu ede tinh nang Distribuied File System va File Replication Service Gia Win2K va WinS2k3 Trongchuong 4, ban eng a8 được địp Um biểu ‘6 Encrypted File System (EFS) _ vốn đã thay đối vẻ một số phương diện tế nhị nhưng quan trọng so với thời Win2K _ và các folder ngosi tuyến loffinl, một sự sửa đổi của bộ chuyến hing mang (network redirector, is mang Iai khả năng hỏi đáp mạng tốt hơn, yêm trợ việc đồng bộ hơa dữ liệu Với máy laptop, và khả năng chịu lỗi mạng

Chương 12 mơ tả một ương những tính năng hay ho nhất của Win2K, XP, và WinS2k? dành cho những nhân viên yếm trợ kỹ thuật cho các máy khách trong mang: phan phối phẩn mễm ti trung wong {central software distribution), win lam hao tốn bao nhiêu cơng sức của Ng trước đây

“Cùng như mọi khi, chủng tơi khơng thể khơng bàn xẻ vấn để sử dụng, thuật ngữ, Ban khơng thể hiểu rõ một chương trình, một ứng dụng, nhất Tả một hệ điều hành, nếu khơng nấm được ý nghĩa cũa những thuật ngữ, những khái niệm cơ băn mà chương trình đĩ, ứng dụng đĩ, hay hệ điều hành đĩ sử dụng Nhung trong những thuật ngữ mà một phần mềm sữ ‘dung, thé nào cũng cĩ những thuật ngữ cĩ thể được hiểu theo nhiều nghĩa khác nhau Đọc các tải liệu tiếng nước ngồi, nhiều khi bạn phải đựn vào nhiều yếu tế ngữ cảnh khác nhau, phải đọc nhiều tai liệu khác nhau, tồi mới hiểu được một thuật ngữ nào đĩ được dùng với nghĩa gì Khi biểu được ý nghĩa đổ rồi, ta lại phải tìm từ ngữ cĩ ý nghĩa tương đương trong tiếng Việt để diễn đạt nĩ, đây mới chính là chỗ khĩ nhất ceia việc chuyển thuật ngữ Ví đụ: Hin bạn đọc đã quen với thuật ngữ diag bax, mà rất nhiễu sách tiếng Việt dịch một cách máy mĩc là hộp thoat Thể nhưng, từ hoc ở đây hồn tồn khơng cĩ nghĩa là cái hộp; nếu tra các tự điển máy tính tiếng Mỹ, bạn sẽ thấy họ giải thích rằng đialog bọc là một cửa số, bảng, hoạc tổng quất hơn là khu owe think chet nha) trên màn hình, (Ví đạc 1à Định nghia “dialog box" trong Microsoft ‘Computer Dictionary, 4" & 5 Edition: “In a graphical user interface, a special window displayed by the system or application to solicit @ response from the user", 21 Binh nghla “dialog box” trong MacMillan English Dictionary, version 1: "A small area that appears on a computer screen for you (0 type messages instructions, or choices") “Trong khi đĩ, từ "hộp" trong tiếng Việt vốn khơng phải được dùng để chỉ một vật thể hai chiếu như thể Cho nên, phếi dịch dinlog bay là khung: thoại, bảng thoại, hoặc củn xổ thoại mới đúng

Bw _Lam chii Windows Server 2003

cho cùng, chẳng cĩ ngơn ngữ nào tương dương một đối một hồn tồn với một ngơn ngữ khác Nhưng khơng phải néi vậy là chúng ta được phép thy tiện khi đưa ra thuật ngữ bằng tiếng Việt, bởi vì thuật ngữ đĩ phải phan ảnh được phần nào đĩ ý nghĩa của thuật ngữ gốc, vốn khơng thể bị sửa đối theo ý muốn chủ quan của người Việt chúng ta được,

Với tỉnh thân luơn luơn muốn đĩng gĩp cho hệ thống thuật nga CNTT ước nhà, tháng 9 & 10/2008 vim qua, chúng tơi cĩ tham gia vào Dự án “Thuật ngữ Cộng đồng Microsoft, cho tiếng Viet (Microsoft Community Glossary đọc Viotnamese), tại trang — Web “http/menbers nierosof eonvwdacg/aboutaspx?ec6langid=1068 ` (với nickname Ia Pham Thuong) Mặc đù cách tổ chức và chọn lựa để xuất của câự án ấy cũng cĩ chút vấn để (ví dụ: TS Nạơ Trung Việt, người điều hành, 4g án đồ, thừa nhận với chúng tơi rằng cách dich dialog bor = khung thoại của chúng tải là chính xác, nhưng dng Iai chon eéch dich dialog box “hộp thoại, với lý do là nĩ đã được nhiễu người đùng rồi! TS Việt cũng thửa nhận là do thời giam quá gấp rút, nên một số đổ xuất thuật ngữ được Ong chon chác là khơng chính xác), nhưng do tập hợp được chất xám của nghiều người nên chất lượng cũng khá, và may mắn là đồng gĩp của chúng tơi cũng được đánh giá khơng đến nỗi tải Một số thuật ngữ Tà ban thấy chứng tải ding trong sách này (và khơng cĩ trong bất kỳ sách nào khác) cũng đã được dự án đĩ chấp thuận, ví dụ: gvofile » biên dang router = bộ tiếp cận, v.v

Bu ‘Lam chi Windows Server 2003 8 5 Các Operations Maste/FSW/O 130 85.1, Sap ohép AD singl-master so vi multimaster 131 8.52 Những khdng phii moi ti du muitimaster T82 8.5.3 Domain-naming (dat tên miễn): một ví đụ về FSM0 133 8.54 Tại sao ác quần tị viễn phải biết về các FSMỢ? 134 855 Cac vai rơ FSMO 135 856, Chuyển vi rị F9MO thạo cách khĩ khăn 19 36 Việc đống bộ hĩa gi giấc cho tàn rừng 182 87 Việc sao chếp cơ ẽ dữ liệu AO tại chỗ 185 8.7.1 Théhinh sao chep (replication topology) 186 8.72 Những những khi cĩ trục rắc sao chép thi sao? 104 87 3 Những chi iết cụ thể để vibe sao chip AG nat dng 168 “88 Khâo sét lại ắc SI8 182 88.1 Cch hoại động của các site 188 882 Việc đổi lên Defdf-ftrat-Sie-Name T8 883 Việc qử định mot ste mdi t8 88 4 Vic q định một mạng ca rồi ật rơ vào một so 186 885 Việt đật một 0C vào rong một si mới 186 89 Vite sao chép AD fia site 187 8.10, Tim hu cdc cp host dng (functional level) cia AD tết

8.10.1, Các chế độ Mùed và Native trong mang Win2k Server lạt 8.10.2 Cae efp haạt động của miễn tong WiS2k3 192 8.103, Các cấp hat động của từng trong WinS2kS 194 8.11 Tổng quan về Group Poley, cảnh ty nổi tài của AD 197

.$.11.1 Những điểm khác bit rong cách thực hiện chính sách hệ thống và “đính sảch nhĩm, 198 8.112 Các chính sich nhốm ap dung các nhơm (hấu như vậy) cho cic site, min vi 0U _ khơng cho

199 8.11.3 Vite lọc chên chính sách và các chính sách hơm 200 8.11.4, Các chính sách nhơm tự động hữy bẻ ắc đựng kh được gồđi 201 8 11.6, Bạn khơng cần phải đăng nhập mới cĩ được một chính sách nhĩm _ 202 8.116, Những gị bạn fam được vi các chính sich nhĩm 202 8-12 Kiểm tốn vie si dung mang bằng Active Directory 8.12 +, Bạn cĩ thể kiểm lon những gì 208 204 8.12.2 Cách iển hành km tần 208 8.12.3 Vige quản ý các bản ghí chép 210 8.12.4, Quin Ij cdc bản ghi chép bằng EvertCømb 213 8.13 Che chiến lợc di tú miễn '8.13.1, Năng cấp “ngay tại chỗ" 216 ar 8.13.2 Nâng cấp "sạch sẽ tình ơm” 223

8.1844 Cơng cụ đ tủ min oni cla Mirosom: ADMT 203 8.14, Biot AD 260 8 141 6i phân mảnh ngoại uến bÌn sao AD ca một máy OC 281 8.142 ơn đẹp si các đối tượng bằng NTOSUTIL 263 8143 Đổi tận mot miéo 288 8.15, Những tính chất ky que ca Active Directory ona 8.151 Hai admin cing sa i mot dm, th thay abi cia mot admin sbi mất 1 8 152 Hãy thực hện các hay đối tên những máy DC gn my khách đích 274 8 153 Hy chọn tên min cho khéo 278 8 16 Vệc dy tr (toạch đợk)cấu ric AD 276 8.17 Tìm hi, và sử dụng các chứng chỉ 8.171 Gae than phn ola PKI _ Phin | 280 234 8 172 Các thành phần của PKI ~ Phn i 289 8.173 Các thành ph của PKI - Phần HỊ 292 8.174 Sy Nơng cc CÁ 302 8.175 Bigu hành DA rêng bằng Wins2K3 307 8.178 Vite si dung PAI tong WinS2K3 318 thương 9: Tạo ra và qui ef tl khan ngu ding 28 9.1 Tao ra cé ti kon nb dng ta chỗ về trân mic 3g 13.11 Đổ với các ải khon lại chỗ, Ny ding Computer Management 329 9.1.2 DBi vt cic a khodn mir, hy ding AD Users and Compsters 334 92 Tin hiu các thêm, 261 921 Vệc No ta cíc nhịm đất 922 Dác Đại nhơm 385 923 Tắm ảnh hưởng ca nhơm 388 '924 Lâm tiệc võ các nhơm bảo mật 373 9.25 Nn ding ote OU hư thể nàn? 385 32 6 Nghệ thật sử dụng các ch bản đã nhập, 387 93, Tim niu cic quyén nan va quyén try cAp cia ng đồng .34,1 Quyển ty cập đối tng, ACL, va ACE 386 395 9322 Quyển họn của ngơi ding 400 94 Các chính sách nhơm cho mậy chỗ và cho niền 341 Lí của cc chính sảch nhĩm, 405 408 942 So sinh cic chinh sich qhớm vớ cậc chính sách hộ thống 43 Oiính sách nhơm tại chỗ: các khuơn râu bảo mật 40 409 9.44, Ct kn itm v6 chin sách nhơm dant cho mién at 3.45 Thao tác ơi chính sách nhĩm tại chỗ vit vi 8 tugng cin sách nhơm 3.46, Vệc ạo ra các chính sách nhĩm “5 48

Làm chủ Windows Server 2003

Mục

10.46, Tạ rũ tà Sử đựng mot dia dng cb nh ch li để hơi phục hệ thốn,

105 Phần cơn lại của âu chuyện 105.1 80 dung cic volume NTFS cb ma hia 1052 Vite quinW han ngạch đã 1053, ich w Volune Shadow Copy 1054 Luu tit xa (Remote Storage) 1055 Tiện ih DiskPart 8 quin Wa

106 Sự iến hĩa cửa các cơng cụ quản ý phương tiện MU từ Chương 11: Tạo ta và quản lý các folder ding chung 111, 0 bản v fle staring

112 Vike tao ra ode folder ding chung 112.1 Tạo ra cắc share Windows Explorer

11.22 Tao rat xa cc share Blog console Computer Management 11.23, Vie quing ba share tong Active Decry

1123 Vige quần ý cấc permission 11.1 Share permission 11.8.2 File and directory permission 114 Kiến lon vie try cp fe va hự mục 11.4.1 MG hf 6 ke adn en

11.42 CMi định Wofgir ấn km tốn 115 Các hang ẩn 116, Các share thơng hương 11664 68, DS, v vin vin 11.62 ADMINS 11.63 PRINTS 1184 PCS 1165, REPLS 11888, NETLOGON

17 Vệtổi kết vâo các stare thing qua dng Heh 11.7.1 Gi thi net use 1472 Su yng se ùe với một ài khôn khác 1173 "Asa of credentias contits_~ 11.74 Sit dung net use qua dong lien kết MAN 118 Mộ thống tổ chức fie phần tán

118.1 Gáp thật ng về D:

11.82 Stand-alone Dts so vii Fut-oerant Dis 11.83 Vite tao ra mbt g6e Os

Bx Làm chủ Windows Server 2003

1187 Vc quản ý De 119 Web sharing

11.10 i cng tinh rng Ottine Fist side Caching 11.1011, Get hiệu 0i Fiss 11 108 Cách hoạt động cỉa 0V[ne Fies

1103 C9 sử ề việc hực hện Ofle Flee ồn máy tram

11.104, Vệc thụ thận và du rt Kau mang tong folder One Fes 11.105, Vận dung dine Fes: chain bl use Hi 6 ing te xa 11106 Lêm vệc và thay 681 cdc te rn ang c6ng ae

1.1077 Ap dung Ottine Flevâo vẫn phịng Khi ắc sener trọ rác 11108 Kiếm tốt ệc đồng bộ hĩa đối với những Lõi đùng khơng đi động 11.109, Vệ xơa sạch các le ngại tiến của bạn

Chương 12: Vệc iỂ khai GÌ tà các phấn mm ứng đụng 12.1 Windows (nsler à các thính sảch nhĩm triển khái pin mềm 121.1, él phn mém Windows instar

12.1.2, Cath im vite tue sy cia Windows Installer 121 Vic sử dyng chion sich nhơm để iển khai dại rà phn mm 122 Xem tựa g0 tiễn của chính sich triển Hai phần mềm,

1? 3 Ấp dụng vào một kịch bản tiển khi phần mắm thực tế 123.1 Việc qảng bá một gĩi MSI 12232 Vệc tiến khai lại (ấu lấn đấu iển Mai khơn đại) 1233 Phạm quản của chính sich

12234 Vệ gữ bê một gối MSI đang đực kiểm sốt 1235 Việc phân bổ một gĩi MS choi thaẫn mây 4236, Tif Ki phc tạp và cách ty biển 12337 Vc tiển khai các bn cập nhật cia bộ đu hàn, 12 38 Việ lạ ra vb tn Ral mt fhe ZAP

Chung 8: Active Directory

AT

Mot trong những Khải niệm quan trọng nhất trong kỳ thuật nổi mạng của Microsoft là khái niệm về miền (domain) Diễn đạt một cách đơn gián nhất thì, một miễn chỉ là một nhĩm cấc server và máy trạm) "mà đẳng y tip trung hba ede tén 1ai Rhodn mdy (computer account) va (ải khoản người dùng (user account)! và các mật khẩu tương ứng trong, một eơ sở dữ liệu dùng chung, Điều đĩ hữu íh _ thực ra là thiết yếu, trong một mạng cĩ kích cỡ bất kỳ _ bởi vì nĩ cho phép mỗi người dùng: da mot mang đoanh nghiệp chỉ cắn cĩ duy nhất một tên tài khoản và mật khẩu tướng ứng, rủi sử dụng tên tài khoản và mật khẩu đơ trên hàng chục, hàng tram, hoặc hàng nghìn máy trong miễn của cơ quan, Khi cơng ty của bạn tuyển dung một nhân viên mới, bạn, với tư cách “quản trị viên mạng, chỉ việc tạo ra một tài khoản duy nhất cho nhân viên mới đĩ, để họ cĩ thể ngay lập tức (a khơng, gấn như ngay lập tức thi _ rồi chúng ta sẽ tm hiểu về "sự sao chép thơng tin AD" trong chương này, và bạn sẽ biết tại sao chúng tơi nĩi thế) cĩ khả nâng truy cập vào bat kỳ máy nào mà bạn cho phếp họ truy cập trong mạng của bạn Và khi đến kỳ thay đối mật khẩu, họ chỉ việc làm điều đĩ một lần thơi, rồi tồn bộ miền eẽ nhận ra mật khẩu mới đĩ

8; Lam chi Windows Server 2003

hiểu nhiều hơn về chúng trang chương kế Sau 46, trong NT 4, ede miễn để trở thành một nơi để tập trung hơe các Thính sách hệ thống” {aystem policy, tue một tâp hợp rac chi thị mà các may dong để xây đứng và kiểm sốt các mời trường lâm việc của người dùng) Các miền, ca Win2K sở thêm khả năng tấp trưng hĩa những thong tin DNS, như trong cĩc AN-integrated sone wit ban đã đọc trọng chương trước, và đưa r9 một phiên bản cất Hơn của chính sách hệ thống, gọi là eh/nÀ sách hẻm (group policy) mw hạn sẽ được tìm hiểu trong chương này và chương KẾ Theo nhân xét cũa chúng tải, kế từ khỉ xuất hiện trong WindK, binh như Microsoft định dung các chính sách nhĩm để kiểm sont khơng chỉ các mơi trường làm việc của người đùng _ tốc các thiết định của màn hình Desktop, ác ứng dung, wv _ ma ed các server và phân mêm server nữa Các chính sách nhĩm đang trở thành một thi Contzol Panel dối với tồn bộ mạng _ và các chính sách nhĩm cũng được "vu trữ trong các e sở dữ liệu min

Hãy để chúng tơi nhấn mạnh rằng, bạn khơng cần phải cĩ một miền thì mới nối mạng được một mở máy tính chạy một (hoặc một số) ấn bản Windows nao 46 dau, nhung nếu cĩ một miền, bạn sẽ thực hiện hầu như “mọi thứ trong kỹ thuật nối mang cia Microsoft dé dang hơn nhiều, cho nnên thực sự rất đáng để bạn bỏ thời giờ ra mà tm hiểu về các miễn đấy Trong chương này, chúng ta sẽ bất đâu từ những kiến thức cơ sở về - nghĩa và chúc năng của các miễn, rồ chuyển sang những khái niệm và việc hoạch định (vâng, chúng tơi nĩi la ‘vige hoạch định” đấy _ day “khơng phãi là loại việc cho-đla-CD-ROM-vào-rồi-đốn-câu-trả lời đúng shø-những-câu-hỏi-cưa-wizard đâu) Sau đĩ, chúng ta sẽ đi vào những chỉ tiết cụ thể của việc xây đựng một miền, rồi thử nghiệm với một miễn ahd Tu đĩ, chủng ta sẽ tiếp tục với một aố chủ để chuyên sâu (nhưng cẩn thiết) vẽ AD và cách giải quyết tre trậc AD, rồi một việc di trú miền, và cuối cùng ching ta sẽ bàn vẻ một tính năng bảo số mánh lới về mật hữu ích mà bạn thậm chị khơng thể khơng tính tới việc sử đụng nĩ nếu muốn cĩ một miễn AD hoạt động được: hạ tổng cơ sở khĩa cơng Khai

8.1 Các mién AD lam được những gì

Chương 8: Active Directory 38

xem một bản tổng kết vấn tất về những cải tiến theo hướng AD của WinSEk8, Đối với những ai đang tự hỗi "Hại sao ta lại đọc cái chương ầng nhàng này nhĩ, thì chúng tơi xin trình bây ngay sau đây những, điều mà các miễn AD cĩ thể làm cho ching ta

(Các miễn thực biện một sổ chuyện cho chúng ta Chúng tơi đã nĩi qua một vài chuyên như thế, nhưng sau day là một danh sách dấy đủ bơn Một miễn AD cĩ nhiệm vụ và khả năng:

‘= Lan git mot danh sách trung ương các tên tài khoản người đồng và my và các mật KHẨU tướng ng,

I8 Cong cấp một thứ server đồng vai tro "uthentieation server” (tức seroer sĩc mink) hoae “logon server” (ule server dang nhập”), gọi 1a domain controler (ma chung toi địch là máy kiểm: sốt miền) = Duy tet mot bang ch đến hoặc bồng chỉ mục (index) cĩ thể đị tìm

nhanh của những thứ thuộc miễn đĩ, khiến người ta dễ tìm ra các tài nguyên cĩ rong các máy thuộc miỄn hơn

I8 Cho phép bạn tạo ra những tài khốn người dùng với những mức độ quyền lực (heạe quyên hợn _ rịghte) khát nhau, từ những khách: ving (guest) gin nbu khơng cơ quyên hạn gì, cho đến những người dùng bình thường, cho tới các quản trị vien (administrator) cĩ mọi “quyên lực trên tồn niền Nhưng bạn cũng cổ thể tạo ra những thứ tài khoản phy (3 quản øƒ niên (subadministrator), te nhang người đùng cĩ một số quyén lực, nhưng khơng phải tồn bộ quyền lực, của các quản trị viên của miễn

= Cho phép ban chia nhé miễn của mình ra thành những miền phụ (Gubdomain), goi la ede don uj đổ chức (Organizational Unit, we (OU), Sau 46, ban e6 thé phân bổ những lượng quyền hạn kiểm sốt và quyến lực khác nhau qua những OU này đến những cá nhân cụ thể Điều này cho phép bạn tạo ra thứ cĩ thể được gọi là “quân trị viên bộ phơn" _ túc những người đàng cố nhiều quyền ựe, nhưng chỉ trên một nhĩm nhỏ các máy và người đồng thơi “Trong vài mục sau đây, chúng tơi sẽ cổ gắng trình bày những điều này thật cận ke,

8.1.1 Tính bảo an: Theo dõi những ai được phép sử dụng mạng

8:

hoặc những thử phúc tạp hơn như các cơ sơ dữ liệu, khả nâng ín ấn dàng chung, hoặc dịch vụ fax Nĩ giáp người ta liên lạc truyền thơng được với nhau theo những phương tiện như e-mail, hột đâm: thấy hình đức 1a (wideoconferencing), hote cong nghệ nào đĩ sẽ xuất hiện trong tương, lai Và gần đây, nĩ giúp người ta mua bán hàng hĩa đễ dàng hơn

tạ chủ Windows Server 2003,

"Tuy nhiên, theo ngay sau nhiệm vụ đầu tiên đĩ, là nhiệm vụ thứ hai cia moi mạng máy tính: bdo an (seeuriy), Trước kia, hầu hết các mạng máy tính đều khơng được bảo an hoậc chí được bảo an một cách hei ht, "những bản chất tự nhiên của cơn người đã buộc sự việc phải thay đối, và khơng cĩ cách não quay trở lại tình trạng cũ nữa Ngay khi các doanh, nghiệp khĩa chặt các cửa lớn cửa nhỏ, tủ hồ sơ, và kết tiến của họ để báo vệ những tải sản vật lý của họ, thì bầu hết các hãng biện đại cơng: thực hiện những cách não đĩ để bảo vệ những tài sản thơng tin của họ `Và bất luận bạn đang sử đụng phẩn mm mạng của hãng nào đi nữa vấn để bảo an máy tính thơng thường nĩi ehung đều bao gồm hai thành, phẩn chink: sic mink hay xée nhén lauthentiendon) và cấp pháp (authorization) Để hiểu tại sao, chúng ta hay xem xét ví dự sau đây

Ching ta đã gập BigRrm trong Chương 7 Đigđrm cạnh tranh với ‘Acme, một hãng nối tiếng chuyên về các tiết bị để di dời các loi chìm khối sa mạc, Bigđrm khơng nối tiếng như vậy, nhưng đang cố gắng giành giật thị phn từ Acme bằng cách bán những sản phẩm đây sáng tạo để giải quyết nhiều nhu cầu, những cơng cụ chẳng hạn như những “động cơ vĩnh cửu, neo trời, kính X-quang, và những thứ đại loại như vậy Mẹ c6 một nhà quần lý bán hàng tên là lvana CEllalot; Ivana muốn việc bán một sản phẩm mới, tên là Instant Hols, được thực hiện ra vao, Bigfirm cĩ cách sấp đặt sao cho Ivana o6 thé xem lại thơng ta về bắn hàng thơng qua trình duyệt Wb của bà ta bà ta chỉ việc lướt qua đến “một v1 trí cự thể trên một trong các Wcb server nội bộ cẫn cơng ty, và thế là các báo cáo đĩ xuất hiện trên màn hình của bà ta

Ti nhiên, ban quản lý của Bigfirm hắn sẻ khơng vui nếu như bất kỳ ai cũng cổ thể vào được những trang báo cáo bản hàng này, cho nên các trang đĩ được bảo ve Giga hie ma Ivana yêu cầu cung cấp các trang do và lúc mà bà ta phận được chủng, cĩ hai điều xây ra

“Sự xác mình (Authentication): Web server chia e&e bin báo cáo bán hàng hồi máy trạm của bà ta, “Ai đang hỏi những thong tin aay thế" May trạm dé trd 16, “Thus, Ivana 2” Server kia néi, “Ching minh đi”, Cho nên máy trạm này hiện một khung thoại lên trên man hình của Ivana, yéu cẫu bà ta cho biết uername và password Bà tạ 69 username va password cia minh vio, va gid diah rằng bạ ta go

Chung 8: Active Directory

chúng đúng cá, thì sau đĩ servor kia sẽ đối chiếu username va password dé voi một danh sách những người đồng và mật khẩu đã Biết, rồi nhận ra rằng bà ta đích thực là Ivana

Sự cấp phép (Authorization): Chỉ độc một chuyên bà ta đã chứng mình mình là Ivana cĩ thể khơng đổ lý do để Web server kia trao cho bê ta quyền (ruy cộp fpertnieion) vào các trang thơng tỉn bán hàng ‘i trén Vi thé Web server kia quan sát một danh sách khác, đơi khi ue goi 1A Access Control List, tde mpt danh sách của những người và mức độ truy cập được phép tương ứng „ ví đụ: "Jae cĩ thế đọc trang nay những khơng được thay đối nĩ", “Sue cĩ thể đọc trang ngày và thay đối nĩ”, “Larry hồn tần khơng được đọc trang này”, Giá sử Ivana cĩ trên danh sich “duge phép đọc", thì server kia sẽ gửi các trang được yêu cầu đến trình đuyệt của ba ta

“Trồng cĩ về như vi du vữa rối khơng hàm: chứa thơng tin nào sâu sắc cã._ rốt cuộc, bạn chỉ thấy mỗi người đăng nhập vào mạng, cổ gắng truy cp thu gi ds, rồi hoạc là thành cơng, hoặc là bị bác đi _ nhưng để hiểu được cách làm việc của AD, bạn phải khảo sát kỹ một chút những chuyện hãng ngây như vậy đấy Sau đây là một cái nhìn tường tận hơn về một số cơ chế quản lý việc dang nhập Trước hết, bạn cần cố một danh sách những người dùng đã biết, rồi bạn cắn một thứ dịch vụ nào: 6 làm nhiệm vụ tra cửu tên người đựa theo yêu cầu rồi nĩi, “Đúng rồi, đây là người mã tơi biết, Kế đến, bạn phải trả lời câu hỏi, "Hữ địch vụ đĩ nổi rằng người đân bà bự xưng là Ivana kia đăng là lvana nhưng tại sao ta phải tín dịch vụ đĩ nhị”, Và cuối cùng, sau khi bạn đã cĩ dịch vụ đĩ hoạt động và bạn tin cây vào khả nâng của nĩ, làm thể nào bạn sử thể mở rộng nổ ra để xác mình cả cho những phần mắm khơng phái là chương trình của MierosoR?

8.1.1.1 Duy trì một “danh bạ" các người ding và đối tượng khác của mạng

Mọi hộ điều hành cĩ khả năng báo an dù là tối thiểu đều cĩ một hoạc vài file hình thành nên một sơ sở đữ liêu vẻ các tài khoản người dùng đã biết Những phiên bản NT củ, từ 3.1 cho tới 4, chỉ sử dung mot Gle uy nhất cĩ tên la SAM, viết tất của cụm từ ít tối nghĩa hơn là Sesurity ‘Accounts Manager Né chila những thơng tin nhức tên (u3ername, tứ tên đăng nhập _logon name), ten dy du (fall narne), một Khẩu (paseword), “những giờ được phép đăng nhép (allowed logon hours), nha hy het hon ải khoơn (account expiration date), lai md ta (i hhosin (deseription), ten rnhém chink (primary group name), và thơng tin vé bién dang (profile) của người dàng, Dĩ nhiên, Rle đĩ đã được mã hĩa rồi; nếu chép một file

Bs Làm chủ Windows Server 2003

AM từ một máy NT 4 hiện cĩ rồi mở nĩ lên trong Notepad, ban sẽ chỉ thấy tồn rác rười Cho đến ngày nay, các máy thuộc họ NT vẫn dùng các file SAM trên các máy trạm, kế cả Win9fK Pro và XP Theo mặc định, ‘ee may server WinS2k3 cong chia va sit dung mgt fle SAM Nhưng cĩ một số Ít máy server sẽ đuy trì một eơ sở dữ liệu tập trung hĩa của Active Directory Các server đĩ được gọi là các domain controller (ma chúng tơi dịch là máy kiểm sốt miện), và chúng khơng cĩ Re SAM Vào thời NT 4 và trước đĩ nữa, máy domain controller cũng sử đụng một file SAM, nhưng kế từ khi Win#K Server xuất hiện, chúng đã sử dụng một thứ khác _ một "Danh bạ ich eve" (Active Directory)

‘Active Direelory là người nối nghiệp của SAM, và nĩ lưu trữ hầu hết những thơng tin của nĩ trong mbt file goi Ia NTDS.DIT Nhung NTDS.DIT khác với SAM 6 vài chỗ Trước hết, NID$.DT là một cơ sở đỡ liệu được sửa đối, được xây dựng bằng cách về cơ bần là dịng cùng một cơng nghệ với phần mềm eơ sở dữ liệu Accsse của Microsoft, và các máy domain eontroller kiểu Active Dirketory thực tế cĩ chứa một biến thể của động sử eơ kở đữ liệu của Access ben trọng cơ cấu cũa nĩ, (Microsoft đã từng soi dong co eơ sở dữ liệu của Access la JET, viết tất của Joint Engine ‘Technology, nhung nay nĩ được gọi là ESB, viết tất cia Extensible Storage Engine’ Nhưng chúng tơi đã nĩi địa một chút khi nĩi rằng nĩ à động cơ cơ sở dữ liệu Aeeess; đồng ra, nĩ là động cơ cơ sở đữ liệu của Exchange es Microsoft cén 6 Exchange để cĩ một động cơ cơ sở dữ live khá tốt khi chuyển vận cả thơng tin về các tài khoản người dịng Exchange lin ede e-mail, C6 18 6 la lý do khiến họ đổi tên động cơ đĩi “Thứ hai, như bạn sẽ được ching mink nhiều lần sau này, WTDS.DIT las trữ những thơng tin vẻ người ding da dang hon SAM rất nhiều

Những thơng tin trong NTDS.D cùng với chương trình cĩ nhiệm vụ “quản lý NTDS.DIT được gọi chung là Directory Services (ma chúng tơi dịch là Hệ Dịch oụ Danh bạ) (Thực tế, hấu hết mọi người sẽ chẳng bao giờ nối "NID®.ĐT”; người ta chỉ nĩi "Direetsxy Serxices" thơi), Điều đĩ dẫn, tới mt edu hai: Dich xác thì “Direetory" 1à cái gì vậy?

[Nay giữ, hình như ái mà chúng ta cĩ ở đây là một cơ sở dữ liệu về "những ngvời đăng mạng và thơng tìn về người dùng kia ma, Thế tại sao ‘khong goi né 1a “database” ma Iai gọi Ia “directory” chi cho rde rối cuộc đời vay? Khong cĩ lý do gì thuyết phục cá; hầu như chỉ là do qui we Ư Những cái tên này nghe kêu thật, nhưng ý nghĩa thật mơ hổ Cĩ lẻ ‘Microsoft chì khối đạng viết tất cưa chúng thơi - JET nghĩa là máy bay phản lực, cịn ESE thì phát âm

“Chương 8: Active Directory 78

(hoặc thơng lệ) thơi, nhưng cĩ một ý nghĩa sâu sác thú vị trong cái tên đấy đấy, Theo một 9ố người thị, các cơ sở dữ liệu về người dùng cĩ khuynh hướng được đọc ro là chính chứ ít khi được ghỉ vdo Bibu d6 cho phép tạ sửa đổi nhiễu chỗ trong động eơ cơ sở dữ liệu để cĩ được hiệu năng làm việc cao hơn Vì vậy, loại cơ sở dữ liệu này được đạt cho cái tên riêng là Danh bợ (Direelory), Chúng tơi đốn là nĩ cổ cái tơn đĩ bồi vì người ta quen đạt tên cho các danh sách về người là “ofieo direetory”, “phone directory", v.v rồi Chúng tơi cũng ước sao phải chỉ mà những người cĩ quyên (đã đặt ra Liêu chuẩn, đã chế ra phần mềm) xưa kia đã đật cho chủng cái tên khác; bỏi hầu hốt những người dịng PC rằng “Directory” la gì, họ đều nghĩ ngay đến các cấu tríc trên đĩa cũng (mà chúng ta đã quen gọi la myc) _ nhw CAWINDOWS chẳng hạn _ chữ chẳng ai nghĩ đến một eơ sẽ dữ liệu về người dùng cả!

‘Trude khí rời khỏi mục này, chúng tơi phải bổ sung một phụ chú về sự khác biệt giữn các miễn AD và các miền đựa trên NT'4 cũ kỹ: miễn [AD of thé 6 kich e6 lớn hơn miễn NT 4 nhiều lắm Bạn chỉ cĩ thể đạt khơng quá 5000 tài khoản người đùng (nhiêu hơn sẽ kh6 khan đấy) vào một miễn NT é, điều này buộc những doanh nghiệp lớn phải tạo ra nhiều miễn để dung chứa tất cả các tài khoản của họi một kiểu thiết trí "min như thể được gọi là một mơ hình muleimesfer Ngược lại, một miễn AD cĩ thể nhét vừa lỡ triệu người đồng (hoặc hơn nữa, tùy theo bạn nĩi chuyên với ai) vào trong cơ sở dữ liệu Acive Direetory của nổ; số tài khoản người ding này đủ cho ngay cễ những cơng ty lớn nhất trên thế giới AD cho phép nhiều cơng ty lớn vốn vào thời NT 4 bị boộc phải sử dụng nhiễu miễn do bối qui mơ của lực lượng lao động của họ nay hợp nhất tất cả các miễn trước đây của họ hành một miễn AD duy nhất Tuy nhiên, điểu để dị sao cũng khơng cĩ nghĩa là chỉ những doanh "nghiệp lớn mới hưởng lợ từ AD, khong hé _ AD yếm trợ nhiều cơng ey "mà ngay cả cơ quan nhỏ nhất cũng cĩ thể hưởng lợi ích từ chúng

Bs Lam chi Windows Server 2003

8.1.1.2 Cung cấp một “dịch vụ xác minh”: các máy DC

Hay em xét kỹ hơn một chút việc máy trạm của bạn sử dụng những thơng tin vÉ người đùng được đặt trong AD, Khi bạn định truy cập một "hư mục đùng chung (file share) hoặc máy in diing chung (print share), [AD sẽ xác mình rồi cấp phép cho bạn Cụ thể hơn, nếu bạn đang ngối tại may A và toan đăng nhập một file trong mét file share trén server thành viên B, thì B sẽ hoi A rằng bạn là ai, để sau đĩ B cĩ thể quyết định là cĩ cho bạn truy cập file 46 hay khơng Như vậy là A và B rốt cuộc phải đã đến một mấy DC (domain controller! để xác mình tỉnh hợp lệ của bạn Cho nên, xin nhấc lại, AD cung cấp một cơ sở dữ liệu trong: ương các tài khoản người đồng mà các fle server đựa trên hệ điều hành, của Microsoft cĩ thể trơng cậy vào đĩ để xác minh Nhưng chúng ta hãy, Xháo sát kỹ hơn tại sao điều đĩ lại hữu ích, và làm thế nào để nổ cĩ thế hữu íth hơn nữa,

Giá sử chúng tơi cĩ 10.000 người đồng, 10.000 máy trạm (một trong s đồ là máy A) và 500 server tiệt trong số đĩ là máy ), Bất ký ai trong số 10.000 người ding của chúng tơi cũng đều cĩ khá năng truy cập vào Dit kỳ server nào của chúng tơi và cĩ iểm năng truy cập các le hose máy in của các server đĩ, trừ khí chúng tơi đã bác bồ một cách cụ thé khả nâng truy cập của bọ vào thử gì đĩ, Và bất kỹ ai trong số 10.000 người đùng của chúng Vơi cũng cĩ khả năng ngồi tại bất kỳ máy nào trong số 10.000 may tram của chúng tơi, đăng nhập rồi làm một cơng vige nào đĩ Nhưng làm cách nào chúng tơi thực hiện được điều đĩ mà khơng cĩ một miễn nào cá? Chúng tải phẩt nhập lại mỗi một trong số 10.000 tài khoăn người dùng vào từng Ble SAM của mỗi một máy trạm, va file SAM cia mbi một máy server của chúng tối Chỉ nghe thơi đã rung ri tay chant

Cái đẹp cđa một miễn là ở chỗ, chúng ta phong cấp cho một số lượng nhỏ máy server để chúng đuy trì một eơ sở đờ liệu của những tài khoảm "người dung và mật khẩu „ tức Rle NID§.DT _ và rồi sung cấp mot dich ` ho phẫn cịn lại của mạng, để một máy server nào đồ cĩ thể nĩi với một trong số chúng, *Ê bé, td Ia server B day, va eb một g ở mấy trạm -A tự nhận là Hai muốn truy cập vào tý, cĩ đúng gã là Hai hay khơng voy?" NO IA một dịch vụ ở trùng ương, hật như một dịch vụ cụng cấp Ble, djch vụ in ấn, dịch vụ cơ sở dữ liệu, bode địch vụ Web vay Chúng ta c0 thể gọi nĩ là "dịch vụ đăng nhap” hode “dich vy xée minh", và vì thế, gi số lượng nhỏ server mà cung cấp nĩ là các "server đăng nhập” hoặc “Server xác minh”, Nhưng vì lý do nào đĩ, người ta khơng gọi chúng nhự thế, thay vì vậy, Mierosft gọi chúng là các “máy kiếm sốt miễn” (domain controller, thường được viết tất là DC) Và xin lưu ý rằng, người

Chung 8: Aetive Directory 3 ta vẫn thường dùng số nhiễu {DCS) để nĩi về chúng _ thực sựlà bạn cắn t nhất hai ĐC, đĩ là suớe đối chiếu, trong bất kỳ miền nào, để nếu như một cái hong thì bạn cũng khơng mất di cơ sở đữ liệu miễn của bạn (Nhưng tất nhiên, nếu bạn chỉ cĩ vài máy để thí nghiệm, và mang et bạn chẳng phục vụ cơng việc nào thực sự quan trọng, thì một DC thơi cơng được rồi

Như vậy, DC là loại máy mà:

= Chay mot phiên án NT Server nào đĩ _ để cĩ được những tính "năng mới nhất của Active Directory th c6 le ban edn phải cho các TC của bạn chạy WinS2k3 Nhưng đối khi bạn cũng xoay xở được với một sự pha trộn các máy DƠ chạy WinS2k3, Win2K, và thậm chí cả NT 4 nữa,

I8 Duy trì cơ sở dữ liệu thơng tin về miễn

1 Bao dim rằng các bản sao thơng tỉ vỆ miền của chheg là nhất quán: nếu bạn cĩ năm mây DC trong mang cia mình, tì nghệ thuật giữ cho các DC để bận rộn là một quá trình gọi là replication (des sao Igp) ma nh đĩ các DC giữ cho nhau luơn sập nhật đối với những thay đối của cơ sở d lu, chẳng hạn như Khi bạn tạo ra một tải khoẩn người đồng mới, hay đổi một mặt Xhẩu, hoạc cơng việc gì đại lại như vậy:

Cong cấp một địch vụ xác mình mà các máy khác cĩ thể trịng cây vào đĩ để dang nhập các người dùng (và các máy nữa, đối với vấn để đĩ, như lất nữa bạn #8 thấy)

8.1.1.3 Việc định rõ miễn: “quan hệ tin” (trust°)

‘Vay Ia gid đây chúng ta đã cĩ một server cĩ khả năng xác mình một "người dùng, đĩ là máy DO Nhưng nĩ sẽ thực hiện việc xác minh này cho ai? Khơng phải cho mọi máy đâu Một máy (bất kế là máy trạm hay, nầy server) chỉ cĩ thé dùng các máy DƠ của một miễn để xác mình nếu máy đĩ “gia nhập” Goin) mién 46 để trở thành một "thành viên miễn" (domain member) Những máy mà khơng phải là thành viên của bất kỳ miễn nào thì chỉ cĩ thể xác minh bằng cách đùng các tài khoản người

Bo Lam chi Windows Server 2008

dang trong Rle SAM tại chỗ của chúng thơi; những máy là thành viên miễn thị cĩ khả năng hoặc xác mình một người dùng bằng các tài khoản trong SAM tại chỗ đĩ, hoạc yêu cầu một trong các máy DC cia miền của chúng xác mình người đùng ấy Trong thế giới nối mạng của Mierosof\, chúng ta nĩi rằng các mây khơng ở trong bất kỳ miễn nào chỉ in (tru) SAM tai chỗ của chúng thơi, nhưng các máy trong một miễn thì tn cá SAM cia ching Hin ede DC của miễn của chúng Việc một máy gia nhập, uỘt miễn tạo ra một mối "quan hệ tin” (trust relationship) git máy đĩ và các DC của miễn đĩ Trước khi một máy trạm nhờ cậy một DC cung cấp cho nĩ các dịch vụ đăng nhập, và trước khi một DC tin mot máy tram đủ để cong cấp các dịch vụ đăng nhập đĩ, phần mém cia Microsoft đồi hồi phải sự đơng thuận của cã một quản trị viên ở cấp miền lẫn mt quân trị iên ở cấp máy trạm Khi bạn gia nhập một máy vào một "miễn, bạn thường đăng nhập bằng cách sử đọng một tài khoản mà máy đĩ nhận diện là tài khoản quản trị viên foi chd (local, tue tai may tram 6), nhưng khi bạn toan gia nhập mấy đĩ vào miễn kia, ban sẽ nhận được lời phân hỗi từ may DC của miễn kia, “Bây giờ 12 cần thấy một tài khoản quần trị mà miền này nhận ra” Sự tin cậy lẫn nhau giữa máy trạm và miễn đồi hỏi sự chuẩn y cả từ aảmjn tại chỗ lẫn từ admin cấp, "miễn, hệt như một hiệp ước giữa hai quốc gia đồi hồi phải cĩ chữ ký từ các nhà lãnh đạo của cả hai nước đĩ vậy,

Những, các quan hệ tỉn cịn đi xe hơn thế nữa Như lất nữa bạn sẽ thấy, bạn cĩ thể tạo ra những quan hộ tin khơng chỉ giữa các máy và sắc miễn, mà cịn giữa các miễn với nhau nữa, Vì vậy, nếu máy cũ chúng tơi là thành viên của miễn bigđirm.biz, và nếu miễn bìgđzm bie tin miễn mïnasicom, thì các mấy DC củe tại chỗ của chúng tơi cĩ thể Xác mình những thơng tin khơng chỉ về những tài khoản người ding trong bigfirm.biz, m& con v6 những tài khoản người đùng trong

tmìnggicom nữa

[Nhu vay, những gì bạn va đọc ở đây là:

(© Miễn là một nhĩm máy ma trong cdy thay dy thde) vite xác mình cho các DC của một miễn nhất định (à chính miễn đĩ, hoặc một niỄn khác, được miễn này nhờ cậy), và

.® Các miễn cĩ thể được định cấu hình để tin cậy vào nhau,

Chương 8: Active Directory ¡8

dda miễn trở nên dễ dàng hơn Nếu trước day (đưới thời NT 4), người cqun tị viên của một mang đa miễn phải xây đựng và duy trì một hệ thong phe tap ede trust, thi git day Active Directory cho phép bạn xây ddyng mot hệ thống các miễn gọi là rừng (re) Sức mạnh chính của xừng là, một khi một nhĩm miền đã được xây dựng thành một rừng rồi, thi ede trust gita ede mién đĩ được tự động tạo ra và duy trì Ngồi ra, ceð những cấu trúe đa miễn nh hơn thn Id edy (tree), vốn cơng cĩ các trust ty động; bạn sẽ đọc nhiều hơn vÉ các cây và rừng đ những phần sau rong chương nay

8.1.1.4 Việc xác minh cho phần mềm của nhiều hãng

“Các miễn AD cho phép chúng ta thiết lập một mé Gle server va print server dựa trên hệ điều hành của Microsoft để tập trung hĩa việc xác "mảnh, Nhưng AD cịn cĩ khả năng làm nhiều hơn thế nữa Khi được thực biện đầy đủ, Active Directory e6 thể tiết kiệm được cho bạn một lượng: kha khá cơng sức quản trị trong những chức nâng mạng khác nữa đấy

Ví dụ, giả sử mạng của bạn địi hỏi phái cĩ các địch vụ cơ sở dữ liệu SQL The thì bạn sẽ chạy một sẵn phẩm cơ sở dữ liệu như MS SQL ‘Server hoae Oracle chiing han trên mạng Nhưng việc bổ sung thêm một chương trình dựa trên server khác vào mang của bạn cĩ thé mang lại Tản CN MU tên kg AI So đe nh sie ot + server, một dalabase server cần sự yếm trợ xác minh và cấp phép, Bo vi thường thì bạn khơng muốn quảng một c sở dã lệu giá tị nàn đđĩ lên mạng rồi cho phép cả thế giỏi xai chung nĩ _ bạn muốn kiểm, suất là ai được quyên ty cập cơ

Vay 18, chương trình cơ sở dữ liệu đĩ cắn một phương thức để xác minh và cấp phép Và đây chính là chỗ mà nĩ gap chuyện xấu đấy: “Trang quá khử, nhiều chương trình cơ sở dữ liệu đã đơi hồi các quân trị viên của chúng phải lưu giữ và duy tì một danh sách các người đồng và mật khẩu Các chương trình cơ sở dữ liệu ấy địi hỏi bạn phái lập lại tồn bộ cái cơng việc gõ vào các tên và một khẩu đĩ _ làm lại cơng việc ‘mi bạn vốn đã làm rồi để thiết lấp và vân hành mang LAN NetWare, Linux, hoge NT của bạn Kinh thật Nhưng sự việc cịn tệ hơn nữa cơ Hay xem thử bạn phải làm gì nếu bạn dùng cả một phiên bin NT nao đĩ lẫn Novell NetWare làm hệ điều hành mạng: Vang, ban lại phải go Vào các tên và mật khẩu đĩ một lượt nữa Bây giớ, hãy cải đạt thêm Letue Notes làm chương trình đảm trách e-mail vi groupware (tde phén miễn yếm: trợ làm vite theo whim), Igi một danh sách người đùng khác, và nếu cổ thêm một máy tính mainframe hoặc AS/400 trong mạng thì sao? Lại phải nhập một loạt tài khoăn như thế chữ cịn sao nữa

Bie Lam chủ Windows Server 2003

‘Ching ta dim xem nhé: với một mạng kết hợp NT, Oracle, NetWare, vb Lotus Notes, mỗi ngưới ding sở hữu bốn tài khoản người dùng khác nhau C6 nghĩa là mỗi người dùng cĩ bốn mật khẩu khác nhau cẳn phải nhỏ Và, cứ mỗi vài tháng lại phải nhỏ đối bốn mật khẩu khác

Điều đĩ cĩ vẻ thật là ngốc; tại sao chúng te khơng thể chỉ việc gồ những cái tên và mật khẩu đố một JẤn thơi vào trong máy DC Active Directory ova ching ta, réi sau dé bio Oracle, NetWare, va Latus Notes chi vige hoi máy DC tai chd _ ching la sỡ cĩ nhiều DC _ để kiểm tra Xem người đồng nào đĩ cổ đúng 1a agi md anbiehj ta tự xưng hay khơng, thay vì bất Oracle, NetWare, vi okos Notes phải lập lại tất cả những thủ tye bio an dé? Noi cách khác, chúng ta cĩ một máy ở trung tâm mạng đồng vai trd database server, mbt may khác đồng vai trị œ "mail Server tập trung, một máy khác đồng vai trị print server _ tại san khơng e6 mot “logon” server t8p trung, mit “authentication” server tập, trong? Sau đĩ những người dùng của chủng ta dt hẳn chỉ việc nhữ tvà

“đổi một mật khẩu và một tên tài khoăn thay vì bẩn

Đăng nhập tập trung hắn là rất cĩ ích rồi, nhưng cĩ một vấn đề với nĩ: Thực tế thì, làm thế nào để Lotus Notes yêu cầu một server đồng vai ĐC của một miễn AD xác minh người dùng giớm nĩ? Một database server Oracle dùng những lệnh lập trình nào để hỗi một "logon server" (thuật ngữ thực tế 1a domain controller, tie DC, như bạn đã biết) của Microsoft la m@t người đồng cụ thể nào đĩ cĩ được phép truy cập mộ tấu dữ liệu cụ thể nào đĩ mà nĩ quản lý hay khơng?

Thế này nhé, nếu máy DC đĩ đang chạy NT 4, thi tap Adm giao tiếp lập trình (programming interface) của hệ điều hành này khơng được trình bay cụ thể lầm trong các tải liệu hướng dẫn Và các hãng khác thăng “bên thử ba”) chẳng hạn như Ozacle, Lotus, và Novoll hản là “khơng sẵn lịng viết những chương trình đựa trên thứ tập hàm giao tiếp bảo mật được lập tài liệu một cách nghèo nàn đĩ, bởi vì họ lo ngại một cách chính đáng rằng khi phiên bin NT kế tiếp xuất hiện (tae Wind “Server _ xin nhớ lại rùng nĩ là phiên bản NT đầu tiên yếm trự các miền ‘Active Directory), thi Microsoft ất sẽ thay đối tập hàm giao tiếp lập trình, để mặc Lols, Novel, và Oraele tranh giành nhau tim hiểu rồi thực hiện theo cách giao tiếp mới này, Và một số người de mbm thậm chí sồn đưa rm nghỉ vấn rằng, cĩ lẽ Lotos va Oracle lo ag 88 xuất hiện, những phiên bin Exchange va SQL Server chay t6t véi WindK Server gắn như ngay sau khi Win2K Server được tang ra nữa cơ

‘Thay vì làm thế, Microsoft 4a chọn cách đặt một tập hàm giao tiếp chuẩn mực lên Aetive Directory eia hp, mét thi tap hàm giao tiếp tên In

Chương 8: Active Directory 13

Lightweight Directory Access Protocol (LDAP, tam địch: Giao (hức Truy cặp Danh bạ Hạng nhẹ! Chắc bạn bất đầu nghĩ rằng LDAP cĩ lẽ lại là một từ viết tất dành cho dân chuyên nghiệp khác nữa thơi, nhưng thật ra nĩ cổ ý nghĩa lắm đấy _ bằng cách đạt một tập hàm giao tiếp LDAP lin Active Directory, Microsoft da md ra một cảnh cửa nhố cho những “nhà lập trình bên ngồi tham gia vào mơi trường nối mạng của họ Và tắm quan trọng của nĩ là, LDAP st lim cho cơng việc của Oracle hoặc cia Lotus để dàng hơn nếu như họ quyết định tích hợp tính năng mật trong sản phẩm của họ với tính năng bảo mật cĩ sân của NT (Theo chúng tơi biết thì họ chưa làm nh thế Cĩ lẽ Microsoft phải yếm trợ nhiều hơn ch khơng phải chỉ LDAP thì mới giành được lịng tin của Larry Eilieon, chủ tịch Oracle) Nhung thye hign LDAP cũng cĩ nghĩa là c6 thể ít ra là về lý thuyế) xây đựng những cơng cụ cĩ chức nâng tao ra các cấu phần của Aeive Dire<tory „ miền, cây, rừng, đơn vị tổ chức, tài khoản người đùng, nĩi chưng là tất cả các thành phần Nĩ cĩ nghĩa ]â, nếu chúng ta thích AD nhưng lại ghét ắc cơng cụ quân trị AD của “Microsoft, thi mot hang bên thứ ba lấu linh nào đổ cĩ thể chỉ việc nhây, bố vào và đơa ra một giái pháp thay thế hồn tồn, được xây đựng ben trên các lệnh LDAP

"Nếu đã bỏ ra chút (thời gian đọc Chương 3 để tim hiểu cơng cụ quần ti AD cua Microsoft nay (la Mierosof Management Console, tile MMC, va da làm việc với nĩ một thời gian, thì cĩ lẽ ban sẽ thấy nĩ khơng đến nỗi đỡ đâu,

8.1.2 Vấn để tìm kiếm thơng tin trên mang

Cho đến nay, chủng tơi đã nĩi vẻ dịch vụ danh bạ như thể nĩ chỉ chứa các tài khoản người dùng thơi Nhưng điều đĩ khơng đúng Dịch vụ anh bạ khơng phải chí cổ các để mục đành cho người, mà nĩ cịn chứa những để mục mơ tả các server và máy trạm: nữa Và, vì vải lý do, diều đĩ hĩa ra lại rất quan trọng 4

8.1.2.1 Việc tìm k lient-Server Rendezvous”

Ngày nay, mộ hình cientzserxy (khách hàng ~ người phục vụ) đã rở thành mẫu mực để giải quyết nhủ cấu điện tốn eda ede co quan Bạn kiếm tra xem cĩ email mới hay khơng bằng Outlook (khách bằng), vốn lấy những thự tín đĩ từ phần mềm Exchange (ogubi phue wy) trên một mấy ở đâu đĩ trong eo quan Ban ngồi tại may tram của bạn (khách ảng), truy cập những He nào đồ trên một máy ie server (nj phục vụ) Bạn mua một chiếc sơm tại Web server của siêu thi ni ting LL

cdc server:

Bu Làm chủ Windows Server 2003 [Bean (người phục vụ) từ máy PC sử dụng Internet Explorer cia bạn (khách hãng)

“Trong ba trường hợp trên, bản Outlook trên máy trạm của bạn phải bằng cách nào đĩ biết được là cần thm máy Exchange servor ở đâu trong, mạng ea quan Ban khong thể truy cập ede file ws file server khi cịn chưa biết là cần tìm le server nào, và hạn khơng thể đặt hàng cái áo sơ kia đĩ chững nào cịn chưa biết địa chỉ Web server cla LL Bean Web, te www llbean.com,

“Trong mọi trường hp, cấu trúc cient-server sẽ khơng cĩ tác dụng nếu bạn khơng giúp client tim ra sorver, vi thé méi cố cách diễn đạt “client-server rendezvous” (tam dich: not elient hội ngộ serocr) Trong trường hep Outlook bên trên, phdn mém mail client của bạn biết được "mail serer ở đâu cổ lẽ là vi ai đố trong số những người quản trị mạng (6 thé chính là bạn cũng nên) đã cải đật nĩ, đưa tên của Exchange server đĩ vào một màn bình cải đặt nào dé trong Outlook Cĩ ch bạn tm ra file server ding để troy cập những Øle mong muốn bằng cách rà sốt khấp not trong Network Neighborhood nếu máy trạm của bạn chạy Windows 9x, hoặc trong My Network Places néu may tram của bạn chạy Win2K Pro hoặc XP Pro, hoặc cĩ thể là ai đĩ cho bạn biết nơi cần tìm các fle ấy Cổ thé ban đốn ra địa chỉ Web site cla L.l Bean, di thay nổ trong một quảng cáo trên tạp chí, hoặc đã dùng một động cơ tìm kiếm như Google chẳng hạn

“Trên đây ch là ba ví đụ về nơi hội ngộ ciient-server; cịn nhiều trường hợp như vậy nữa xảy ra trong quá trình sử dụng mạng hàng "ngày Khi máy trạm: của bạn tìm cách đăng nhập cho bạn, nĩ phái tìm +a một đomain controller, hoặc ni cách khác, “logon client” eda bạn tìm kiểm một "logon server" Muốn in tài liệu nào đĩ cĩ mầu sắc cho hấp din, va ban ty bơi các máy in mau nối mạng gắn đĩ ở dau v? Lai mot cliont-server rendezvous

Chuang 8: Active Directory 1a 8

1.2.2 Việc phân giải tên va ONS

“Tuy nhiên, chức nâng tra cửu thơng tin của AD khơng phái chỉ để tìm kiếm tên của một mail server, Web server, print server, hoặc file server thoậc domain controller) Xét theo quan điểm của phần mềm mạng thi cái ten www.llbean.com chẳng gidp ích được gì nhiều Để giúp bạn nổi Kết được với Web server cia Bean, phin mém mạng cẩn biết địa chỉ IP cia server đĩ, tức một tố hợp gồm bến con số, cĩ dạng đại khái như 208,7.129,82, Ds la phn thi hai cia client-server rendezvous dy,

“Trong trường hợp mot Web site cơng cộng như Wb site của Bean, máy bạn cĩ thể tra cứu địa chỉ của Web server chứa site d6 bằng cách trả vấn một mạng lưới vi đại các server cổ thể truy cập chung trên Internet goi 1d Domain Name System, tie DNS Các DNS server cơng cộng chữa tên của nhiều máy mà bạn sẽ cần truy cập, nhưng rất cĩ khá "năng là mạng nội bộ của cơng ty bạn khơng quảng cáo nhiều tên máy của nĩ trên Internet; thay vào đĩ, mạng nội bộ của bạn cĩ thể vận hành một mổ DNS servor riêng,

“Sau sự ra đời của né vio nam 1984, DNS đã khơng thay đối nhiều “Những các nâm 1996 và 1998 đã meng lại hai thay đổi lớn, gọi là REC £2782 va RPC 2136 (ban đã dọc về chúng trong Chương 7), biến đối DNS thành một hệ thống định danh tốt khơng chi cho Internet ton edu ma cịn cho các ntzanet nội bộ nữa Nhiều phẩn mm DNS hiện cổ trên Xhấp thể giới nối mang chưa yếm trợ các RFC 2782 và 2136, cho nên thật tiện lợi là DNS server của WinS2k3 lại yểm tr các tính năng này

8.1.3 Việc tạo ra những kiểu “Trợ lý Quản trị viên”

(Sub-Administrator) mới

“Sau khí mạng phình to lên, sẽ nảy sinh những thách thức mới Khi mạng cn nhỏ hoẠc mới thành lập, chỉ cần một nhậm nhỏ quản tị viên đảm trách mi chuyện, ừ chuyện chay cáp và lấp đặt các card mạng cho ới việc tạo ra các lài khoăn người ding và tiến hành các cuộc lưu dự phịng, Khi thời gian trồi đi và mạng trổ nân lớn hơn „ và eơ quan trợ nên cĩ thể lực hơn , ĩ hai điều xây ra Trước hết, eơ quan tuyến đọng nhiều người hơn _ phái tuyến dụng thêm thơi, bi vì cĩ nhiều server hải trởng nom hơn và nhiêu tài khoản người dimg phải chăm sĩc hơn _ đđể phụ trách tất cả những khâu Khác nhau cđa việc giữ cho mạng vận hành suơn sẽ Và thứ hai, các mạng nảy sinh những vdn dé chink tri đột nhiên, một quan chức chúp bu nào đĩ trong eơ quan gắm lên, “Máy thang quan tr] mang lam cải guải gì mã ơng mất liết quyên Iành ở đây sấy hát”

Bis Lâm chủ Windows Server 2008

“Cá hai chuyện đĩ đều cĩ nghĩa là, eơ quan bạn chẳng bao lâu sẽ bất đầu thuê mướn thêm ngưới trợ giáp việc quản trị mạng Trong một số cơ “quan, những chức vụ mới được tạo ra này phải làm nhiều chuyện vật vvanh về quản trị mang, những chuyện mà (a? huấn loyện người ta lam cơng đơn giấn thơi, và (bì chẳng thủ vị gì ÄBi với các loại quản trị viên “ma cỡ" Ví dụ vẻ những cơng việc t-ngấệ-lám-cặu-làm-đi trong mạng, này báo gồm

Đặt lại mật khẩu mới: Vì lý do an nình, người tạ thường địi hỏi người dùng phải thay đối cac mật khẩu của họ cử sau mỗi vài thắng, Người ta cũng thường ngan cấm thơi xấu là ghỉ lại các mật khẩu đĩ uống mật bàn, trên poster chẳng hạn), cho nên khá thường xảy ra chuyện nhiều người dịng quên mất các mật khẩu Lược dat gin đầy của họ là gì Vì thế, rất cần đt lại súc mật khẩu, (reset passworle) cho những người đùng ấy (thành những giá trị vớ vấn gì đổ để họ tạm thời đăng nhập được vào tải khoản của hại ‘a0 cho mau le „ khổ chủ sẽ áy náy khơng yên nếu hạn mất cá một tuẫn mới đứa được họ quay trở lại lâm việc được với mạng _ và đĩ là một tác vụ tương đối đơn giản, cho nên rất thích hợp eho những người tra ly mang mới thuê, lương thấp

Trồng nom các cuộc lưu dự phịng: Nĩi về những cơng việc “quản trị nhàm chán thì chuyện lưu dự phịng (bacup) cho tồn bộ mang xing ding li v8 địch Hầu hết chúng ta đều bị buộc phải ung ede ổ bằng để lưu dự phịng, và nếu phải làm việc với chủng: một thời gian, hẫn bạn cùng sẽ bắt chước các tay quản trị mạng mà chữi rủa những người phát mình ra chúng thơi Các ố bằng này din độn như lừa ấy, cử thỉnh thoảng lại đứng sựng lại, và khơng bao giờ bạn đốn chính xác đợc là bạn cĩ thế đưa được bạo nhiêu đỡ liệu lên chúng đâu „ hơm nay thi 8 gigabytes, ngay mai thì 3, ngày mốt lại 7 và hậu quả là, luơn luơn phải cĩ người túc trực quanh đĩ để nạp bảng mới vào Và phái cĩ ai đĩ để dân nhân và theo dõi chúng nữa chữ Cử thử hối hầu hết các loại quản trị viên mạng ở các cơng ty lớn rằng, họ thich giao lại những cơng việc gì cho người khác đảm trách nhất, chắc chấn chuyện lưu dự phịng sẽ dũng đầu cái danh sách mà họ kể ra

“Việc thuê một íL người lương thấp trơng coi việc ha dự phịng và sửa chữa một khẩu cũng giúp cơ quan cổ được một thứ "lực lượng lao động thời vụ”, một cách để thử thách các nhân viên cũ (vốn là người dùng bình thường) xem họ cĩ đỏ khá năng để học hồi và cuối cùng trở thành "những chuyên viên phân tich mang với trích nhiệm lớn hơn (va, hy ong là với đồng lương khá hơn) hay khơng,

Chương

Active Directory ne

Nhung những người đùng thơng thường khơng thể làm được những chuyện như đặt lại mật khẩu và điều hành các cuộc lưu đự phịng „ bạn sắn cĩ íL nhất là một số quyền hạn quân trị nào đồ thì mới làm được những việc đĩ Xin nhớ rằng, các cơ quan muốn thuê mươn (những) người làm laại chuyện quản trị mạng lạt vật đĩ là chỉ để phất trầ một mức lương thấp thơi, và xét theo quan điểm bảo mật thì điều đĩ rắc rồi đấy Nếu một nhân viên thường nào đĩ chấp nhận bỏ cơng việc củ của y và chuyển sang làm cơng việc quan tri mang này với đồng lương như cũ, thì cĩ lê chẳng khơn ngoan gì lắm nếu trao cho ý đẩy đỏ quyền hành kiếm sốt trên tồn bộ mạng Liệu cĩ cách nào để tạo ra một kiểu “quản trị viên bán phẩn" hay khơng?

“Trong NT 4, đã cĩ một vài kiếu quản trị viên như vậy, bởi vì đã cĩ một tài khoản nhĩm tạo sẵn tên la Backup Operators, nhung khong cĩ nhơm nào tên là Reset Password Operators; vi chăng, tất cả những mà NT 4 cũng cấp chỉ là vài nhĩm được tạo sẵn đãnh cho các loại quản trị viên bán phần như vậy chẳng hạn như các nhom Server Operators, ‘Account Operators, vi Backup Operators , với những mức độ quyền lực khác nhau Trong các miền NT 4, chẳng cĩ cách nào để tạo ra một loại tài khốn nhĩm mới cĩ những quyến lực vừa khéo theo ý bạn cả Các tmiền Active Directory thay đốt điều đĩ, đưa ra một loạt các ty chọn về sấp độ quyên hạn bảo mật trong miễn, nhiễu đến mức đơi khi bạn cũof: phải lũng túng đấy

8.1.4 Ủy thác quyển kiểm sốt (delegation): Sự phân

chia quyển hành trên một miền

“Trong mục trên, chúng tơi đã đưa ra hai ví đụ vẻ những sự kiện cĩ thể đẫn đến việc thay đối cách hoạt động của mạng _ khối lượng cơng, Việc ngày càng gia tang khiến cần cĩ một sự phân chia lao động nào đĩ (mà chủng tơi đã để cập trong mục đĩ), và sự chủ ý nưày càng tăng từ phía những người lãnh đạo cấp cao khi ngày cảng nhận thấy rõ hơn tắm “quản trọng của mạng trong cơ quan Cĩ lã, nên gọi cái lực đẩy thứ hai trong sự tiến hĩa của mạng này là "sự tranh giảnh ảnh hưởng chính tị” (pohiiee Mạc đồ đĩ là một từ cĩ vẽ xấu xa, song chúng ta khơng thể bổ -qua tắc động của nĩ được đầu (xét cho cùng, nĩ TA ting thử tâm cũa mơ hình OSI đấy), vậy thì Aetive Directory giải quyết nhu cầu chính trị của một cơ quan như thể nào?

8u Làm chi Windows Server 2003

‘ehude Virginia) C6 ede server dit tai San Diego va Norfolk, Ut od déu Âược trồng nom bởi những nhĩm khác nhau VỊ tất cả những lý do thong thường, các ĩ quan chí huy của văn phơng Norfalk khơng muốn các quần trị viên từ San Diego voe vio ede server Norfolk, va eée aĩ quan chỉ huy ở San Diego khơng muốn những kẻ 6 Norfolk ling ving lại gin các server “cia ho”, hậu quả là các sĩ quan phụ trách kỹ thuật của Hải quản Mỹ muốn cĩ một cách nào đĩ để phân quyển rạch rồi: chỉ những người dàng thuộc nhém Norfolk Admins mai duge quyén kiểm sốt các server [Norfolk và tương tự như vậy đối với San Diego Lâm cách nào thực hiện điều đĩ? “Thế này nhé, đưới NT 4, họ chí cĩ thể thực hiện điều đĩ bằng cách tạo ra hai thực thể bảo mật riêng biệt nhau, mỗi cái được gọi là một miền Việc tạo hai miễn khác nhau cĩ lẽ sẽ gidi quyết được vấn đề, bởi vì các miễn riêng biệt giống như các ud ry riêng biệt vậy _ chúng hơng hề biết đến nhau Với một miễn Norfolk va mot miễn San Diego, hho cĩ thế tách rồi các quản trị viên của bọ ra thành hai nhĩm, nhĩm cày khơng thể chỗ mũi vào cơng việc của nhĩm kia Đĩ là một giải pháp “hồn tồn cĩ thể chấp nhận được, và thực tế là nhiều cơ quan, cơng ty “hấp thế giới vẫn dùng NT 4 theo kiểu đĩ Thể nhưng, nĩ là một giải pháp cĩ đội chút vấn để đấy

Chẳng hạn như, thường thì các doanh nghiệp đều muốn cĩ một mức độ thơng Ín liên lạc nào đồ giữa các miễn, và để thực hiện điều đĩ, các dđoanh nghiệp phái đặt các mối liên lạc giữa các miền Chúng ta da ban cqua về các mối liên lạc giữa các miễn nây trước đây _ chúng được gi là sắc quan he tin (trust relationship) Khơng cĩ một trust, đứt khốt là “khơng thể nào cĩ chuyện một người dùng thuộc miễn này truy cập thử gì đĩ „ một may in, một Mle dung chung, mot mail server, hoặe đại loại như vậy _ trong miễn khác Quá trình để cho một người dùng trong "miễn này truy cập một tài nguyên trong một miễn khác đi hỏi một cuộc đăng nhập, miền mà chứa lài nguyên (máy in, file ding chung, mail server, vv.) phil nhận ra và đăng nhập cho người ding ấy Nhưng trừ “khi bai miễn đĩ đã được "giới thiệu với nhau” tức là, trừ khi các quản trị viên từ mỗi miễn đĩ đã đồng ý để cho sắc miễn cia họ tìn vào nhau, ‘con khơng thì khơng e6 efch nào để miễn sở hữu tài nguyên cho phép, một người đơng truy cập vào nĩ từ miễn của họ (thậm chí, chỉ đăng "nhập vào nĩ thơi cũng khơng được)

“Chương 8: Active Directory 198

‘© True hét, họ sẽ tạo ra hai miền NT 4 khác biệt Các mién NT 4 sẽ những cái tên dài đến 15 ký tự, cho nên cĩ thể họ đạt tên cho ai mién 46 la NORFOLK và SANDIEGO

(© Khi được tạo ra, mỗi miễn NT 4 bự động tạo ra một nhĩm người dùng tên 1a Domain Admins

te Bất kỳ ði trong nhĩm đĩ đều cĩ những quyền lực kiểm sốt đầy đủ và tuyệt đối trên miễn ấy, Cho nơn, họ chỉ việc đật những người mà họ muốn đảm trách cơng việc quản trị viên của Norilk vào tong nhĩm Domain Admine của mién NORFOLK, va dat những người mà họ muốn đảm trách cơng việc quấn trị viên của San Diego vio trong nhĩm Domain Admins trong mién SANDIEGO (© Sau Khi tạo xong các miễn đĩ, tiếp đến họ cẩn tạo ra một tài

khoản người dùng cho mỗi người tại vân phOng Norfolk trong miễn NORFOLK, va tgo ra một lài khoản người dang cho mi "người tại văn phịng San Diego trong miễn SANDIEGO Tương tử, Ti server thành viên và mấy trạm ở Nodflk đều gia nhập miễn NORFOLK, vi các server thành viên và máy trạm ở San Diego đâu gia nhập miễn SANDIEGO

© Cosi cùng, họ sẽ tạo ra một quan hệ tin giữa NORFOLK va ‘SANDIEGO, hay thực tế là tạo ra hai traet, bởi vì các truet kiểu NT 4 chỉ là loại quan hp tin mot chidu (one-way trust) thoi, Ha “miễn chi o6 thé tin eby Hin nhau nếu các quản trị viên miễn trên cả hai phía đổu đồng ý, cho nên nhĩm Domain Admins cia NORFOLK và nhĩm Domain Admins cia SANDIEGO phải hợp tác để tạo ra trust "NORFOLK tin SANDIEGO" va trust "SANDIBGO tin NORFOLK"

(Cách này áp dụng đuợc, nhưng cĩ lẽ nĩ khơng phải là cách tiện lợi nhất để ben cứ giữ mãi đầu Mot trong những lý do là, chúng tơi đã giải thích rằng các truet trong NT 4 lất léo và khơng đáng tin cậy lim, va "mơ hình này lệ thuộc vào hai tru đĩ Ngược lại, với các miễn AD, Ha quân Mỹ chỉ cần tạo ra độc một miền thơi, rồi sau đĩ phân chia nổ ra Đằng cách dàng một khái niệm lên đầu tiên xuất hiện trong thế giới Microsoft cùng với Active Directory _ khái niệm đơn vj tổ chức (organizatiooal uaÏt, thường được viết tắt là OU

“Cụ thể hơn, Hải quản Mỹ cĩ thế giải quyết vấn để của họ bằng cách sử đọng Active Diroetory nh sau:

Boo

® Họ tạo ra một mitn duy nhất, ton là navy.mil (vf dy ahe vay) (Xin nhớ rằng, các miễn AD cĩ những cái tên giống như tên DNS, vay) © Ben trong navy ml, họ tạo ra một đơn vị tổ chốc (OU) tên là Norfolk, va mot OU khác tên là San Diego Họ thiết lập các server của họ rồi đật từng server đĩ vào trong OU thích hợp, Làm chủ Windows Server 2003

'® Cũng bên trong nay ml, họ tạo ra một nhĩm người dùng tên là Norfolk Admine, va một nhĩm người dùng khác tên là San Diego ‘Admins Ho tạo ra các tài khoản đành cho những người dùng của họ, rồi đạt những quân trị viên nào đồ vào trong nhĩm thích hợp, tay theo ho cơng tác ở San Diego hay Norfolk,

.® Cuối cùng, họ trao cho nhĩm San Diego Admins quyén kiếm sốt “đây đồ trên OU San Diego, va trao cho nhém Norfolk Admins “quyển kiểm sốt đây đủ trên OU Norlk

6 đây, hãy để chúng tơi làm rõ hai điều Đầu tiên, hãy hiểu rằng San Điega Admins chưa cĩ chút quyển lực nào cho tới khi cĩ ai đĩ trao một cách tường minh cho ho quyén kiểm sốt đối với OU Sen Diego Active Directory ching 6 phép thần thơng nào d€ dodn, “em nao, ef mot OU tên là San Diego và một nhĩm tên là San Diego Admina, vậy ta nên để cho những anh chàng Admin này cĩ tồn quyển kiếm sốt trên các server trong OU San Diogo kia", Bạn phải tự tay tạo ra mi liên kết đĩ, bằng cách ủy thác quyển kiếm sốt đối vei OU San Diego cho nhĩm, "người dùng San Diego Admins (O6 một wizard giúp bạn làm chuyện đĩ, hư bạn sẽ thấy khi chúng ta bàn đến một ví dụ vế ủy quyền kiểm sốt (Getegation contro!) ở mộ phân sau trong chương này Đến lúc đĩ, bạn Sẽ thấy rằng các OU thực sự là một cơng cụ hữu ích để xây dựng những "iỄn lớn và hữu đụng

“Thử bai, sự kiện các miễn AD cĩ những cái tấn kiểu DNS va cde OU Ơê những đơn vị con của các miễn khiến người ta nghĩ rằng các OU cũng s6 những cái tên kiếu DNS Ví dụ, nhiều người cho là OU Norfolk của miỀn navymil cĩ lẽ phải cĩ tên la norfolk.navy.mil boặc cái gì đĩ dại loại như vậy, Nhưng điều đĩ khơng đúng _ ty bạn đật tên cho các miện bồng cách dùng DNS, nhưng bạn đặt tên cho bầu như mọi thứ khác long Active Directory bg cdch ding ede qui ude dat ton LDAP ev Ban hơng cần phải tìm hiểu nhiễu khái niệm về LDAP, nhưng để cho đây, đổ, chủng tơi cơng xin nữu rs luớn tên LOAP của Norbli, “wuzNorfilk de=nay,đemil", Lát nữa, bạn sẽ được tìm hiểu nhiều hơn về LDẠP,

ag

9.1.5 Thỏa mãn các nhu cầu chính trị

'Đĩ là để liệu của đi, cho nên tơi muốp nĩ nằm trên các server của foil" Khi thơng tin đã trở thành tại sân quan trọng nhất của nhiều hãng _ ví dụ, cĩ người từng nĩi rằng phần lớn tài sản của Microsoft là năm trong các hộp sọ của các nhân viên của họ _ một số hãng rất miễn, ‘wong khi trao lại quyên kiếm sốt những thơng tin đĩ cho một nhĩm chuyên viên cơng nghệ thơng tín ở trung ương Đồ cũng chẳng phải là một viễn cảnh phi lý đâu: nếu bạn là người chịu trách nhiệm giữ gìn một danh sách thư tín khách hàng gồm đến ð triệu người, và nếu danh, sách đĩ tạo ra một nữa những người lãnh đạo bản hàng của cơ quan bạn, thì chấc bẩn bạn muốn thấy là những dữ liệu đĩ được chứa trên một hoặc vài máy thơi, được điều hành bồi những nhân viên thuộc cấp, báo cáo trực tiếp cho bạn

DI nhiên, ở phía bên kia của cầu chuyện lại xuất hiện tay trường bộ phận IT (cing nghệ thơng tìn), người muốn tồn quyển kiểm sát các server trong toa aha, va ly do y đưa ra hồn tồn ding dn Ban biết đấy, nếu cĩ một server được điều hành tệ hại nào đĩ bị hồng hĩc, và sự "hơng hĩc đĩ ảnh hưởng đến phần cịn lại của mạng, tì chính y phải đưa đầu lên thốt thơi

“Cho nên một mặt thì người trưởng phịng hoặc phĩ giám đốc muốn kiểm sốt các máy cĩ chữa dữ liệu cũa sống cịn của ơng tạ, cịn mật ben kia thì người trường bộ phân cơng nghệ thơng ti, vốn chịu trách nhiệm bảo đảm an tồn cho tất cả dữ liệu, và bảo đảm rằng mọi hoạt động của mạng đêu điễn ra suơn sẻ, Ài thắng? Điễu đĩ cịn tịy _ và đĩ chính là phần "chính trị” của mạng,

Active Directory mang lại cải thiện gì cho các vấn đẻ chính trŸ Ơi, khơng nhiều lắm đâu _ chẳng cĩ efi wizard nto mang tên “làm cho cde phĩ giám đốc được và tiên hơn” đâu tuy nhiên, những tùy chon da cdạng về thiết kế (sấp đặt bố tr) miễn khiến các nhà thiết kế mạng cĩ được khả năng lính động trồng khi xây dựng mọi thứ cấu trúc mạng mã họ cẩn Cĩ một cơ quan tương đối nhỏ thơi, cĩ thể được bố trí vừa vận ào trong một ruiễn duy nhất, nhưng lại cĩ một pĩ giám đốc muốn làm chủ riêng một server ứ? Khơng hể gì, cử cho riêng y một OU bên trong ‘ifn kia là xong Cĩ một hãng với hai văn phịng lớn vừa phải thơi, nhưng lại cách xa nhau vài trăm cây số ư? Dưới NT 4 thì cĩ thể giải pháp là bai miễn và một quan hệ tin, và bạn cũng cĩ thể chọn thực hiện điều đĩ dưới AD, nung đĩ khơng phải là giải pháp duy nhất Bởi vì các sy domain controller AD sử dụng bandwidth (8 đây được hiểu là nầg lực truyền dữ liệu) của đường liên kết WAN rất chỉ lí (khơng hoang phí)

Bx

so với các máy DC NT 4, nơn cĩ lẽ bạn sẽ thấy rằng một miễn duy nhất thì hay hơn thổi lẽ nĩ dễ quản trị hơn) hai miền, mà vẫn khả thị nếu Xết theo quan điểm bandwidth của mạng Và sự tận đọng bandwidth la để tài thảo luận kế tiếp của chúng tá

8.1.6 Vấn để nối kết và sao chép danh bạ trên mạng lớn

Ngày càng cĩ nhiều cơng ty phân bố các văn phịng rải rác ở nhiều địa bàn Ví dụ, họ vừa mua lại một hãng khác ở đầu bên kia đất nước, và hai mạng cục bộ riêng biệt trước kia giờ đầy trở thành một mạng lớn, và cần một đường liên kết mạng điện rộng (WAN) Neu đường liên kết WAN đĩ nhanh thì chẳng cĩ vấn để g lớn về thiết kế: Cứ mĩc n hai văn phơng để lại bằng một đường dây TL, và thế là thực chất bạn cĩ thế xem chúng như một văn phịng duy nhất

"Điều đĩ cĩ lợi lầm, bởi vì thường thì mỗi địa bàn đĩ đều cĩ sẵn một dy domain controller (la mt trong các server cĩ chứa cơ sở dữ liệu Active Directory va đồng vai trị như máy thực hiện các cuốc đăng nhập, cho miền) Nhưng các mấy domain contrsller đĩ phải liên lạc với nhau mỗi khi cĩ điều gì đĩ thay đối, như khi mật khẩu của một người dùng thay đối, hoặc khí một quản trị viên tạo ra một tài khoăn người dong "mới chẳng hạn Chuyện đồ được gọi là Sự sao chép AD (Active Directory eplieation) Chuyện đĩ cũng đã xây ra với NT 4, bởi vì NT 4 cũng cho phép ban dat nhiều máy domain controller trong một mạng lớn dành cho đoạnh nghiệp

Giả sử đường liên kết WAN giữa hai văn phịng nĩi trên chậm chap thơi, và giá sử mỗi văn phịng đố cĩ một may domain controller Nếu là mang NT4, tớì cơng ty đĩ cẩn sao chép các cơ sở dữ liệu SAM cửa họ sida ce domain controller &y Những cuộc cập nhật cơ sở dữ liệu domain controller ela NT 4 xây ra sau mỗi năm phút đồng hồ, Điều đĩ cĩ nghĩa là, cử mỗi nâm phút thì một domain contrdlar e6 thể lại cố sao chép, "những thay đối của nổ sang một domain controller khée, cho đủ chúng chỉ được nối kết với nhau bằng một đường liên kết rất chậm chạp Tất cd bing cuộc "đấu hĩt huyện thuyên” đĩ cĩ thé lam tde nghẽn đường liên kết WAN, và làm cho những coộc trao đổi dữ liệu khác, quan trọng "hơn, khơng tiến hành được qua đường liên kết đĩ

[AD cdi thiện tình trạng đĩ bằng cách cho phép bạn báo các máy DC Win2K va WinS2k3 vé mde độ nhanh chậm của đường liên kết giữa chủng, Ý tưởng ð đây là, bạn sẽ mơ tả mạng doanh nghiệp của bạn như Ja gm nhiều địa bản (site) kết nối lại với nhau; mỗi site thực chất chỉ

‘Chuang 8: Active Directory 23 B

Ta met nhém server nối lại với nhau bằng những đường nối kết nhanh „ “thực chất, mỗi nhĩm server đồ thuộc cùng một mạng cục bộ Sau đĩ, bạn cĩ thế định rõ là những mối nối kết giữa các siue đĩ nhanh chậm ra sao, và rồi AD sẽ sử dụng các mối nối kết đĩ khơn khéo hơn một chút

Đặc biệt, các server Aetive Direetory của Win2K Server nên dữ liệu lại trước khi gửi chúng qua những đường liên kết WAN chậm chạp Việc nên dữ liệu đĩ phải tiêu tốn một lượng đáng kể năng lực xử lý của CPU (và cả thời gian nữa), nhưng cũng đáng thơi, bải vi AD cĩ khả năng nén dữ liệu với Œ lệ đến 10:1 cot Cĩ lê bạn cho rằng điều đĩ sẽ lâm moi người vui vẻ, những một số ngưới lại thích AD khơng tiêu tốn năng lực CPU để làm những chuyện nĩn và giải nén đồ cơ, bởi vì họ cĩ bandwidth lon 6 tha hồ xài Đối với họ, các AD dựa trên WinS2k3 "mang lại một sự cải tiến hơn so với ede AD dựa trên Win2E: giỡ đây ben @6 thể chọn tất đi chế độ nén dữ iệu trước khi sao chép dữ liệu AD

'Ngói việc thường gặp những đường iên kết châm chạp, chủng ta cịn thường phải sống chung với những dưỡng liên kết &hơng đáng tin oy nữa (ếi thử đường liên kết mà lúc chạy lĩe ngưng, hoặc mỗi ngày chỉ Chay được trong một khoảng thời gian ngdn thei) Active Directory cho hp bạn chỉ định rõ khơng chỉ tốc độ của đường liên kết WAN (nếu cĩ) Bữa mạng, mà cịn cá những lác nĩ chay nữa Nhìn chung, sự kiểm sốt đối với ets như thế khiển cho cuộc đời trở nên dễ thở hơn đối với những ‘ai dang quần lý những mạng trải ra trên nhiễu địa ban

8.1.7 Đơn giản hĩa các tên máy (thống nhất hĩa hệ thống cấp bậc tên)

Chĩng ta da ban về điều này trong chương trước (Chương 7, tập D, nhơng cơng đồng để quay lại để tải tơn này một chút, đạc biệt là nếu ban là người mới làm quen với kỹ thuật nối mạng của MicrotoF

Bu Lam chil Windows Server 2003

địa chỉ (hoặc các địa chỉ _ nếu máy đĩ số nhiều NTC) IP của chúng, các thành phẩn cịn lại thì nhận diện bằng (các) địa chỉ MÁC của máy

"Nhưng con ngưới khơng khối dây dưa với những con số hoặc chuỗi ý tự đài đồng _ bảo bạn rằng bạn cĩ thể gửi thư cho chúng tơi tối dungph611001011101000100000011100100010 thì chính xác về mật kỹ thuật đấy (cử cho là bạn cĩ thể tìm ra một chương trình mail cient chịu chấp nhận các địa chỉ mạng ở dạng nhị phân như vậy di), nhung chẳng s6 ích lợi gì mấy Thay vì vay, chấc bản bạn thích bảo chương trình mai! Bi thu tdi một địa chỉ bằng chữ nghĩa, như dungph@hem fpL.vn chẳng, hạn Tuy nhiên, muốn vậy thì trình mail client eda bạn phải cĩ khả "năng trả cửu cái tên minssi com, rỗi từ đĩ tìm ra nơi cân gửi mail cho hempL.vn, Tương bự như vậy, nếu bạn hướng trình duyệt Web của bạn đến www-microsoftcom, thì trình duyệt đĩ sẽ chuyến đối cái tên ‘www microsoft.com thanh oén Web site cia Microsoft Qué trinh chuyển đối từ những cái tên thân thiện với con người (như hemfpt.vn) ra thành những địa chỉ ra thank (cde) dia ehi IP ey thé eda nhitng máy hình thân thiện với máy, như 11001011101000100000011100100010 chẳng, hạn, được gọi là sự phản giải sên (name resoluon) Đĩ là điều mà mọi mạng đêu phải làm

“Vậy thì tại sao việc giải đáp tên lại là vấn để với NT? Bởi vì hầu hết, thể giới nối mạng sử đụng một cách tiếp cận duy nhất để giải đáp tên, tong khi cho đến version 4, NT vẫn sử đụng một cách giải đáp tên khác hân, Hấu hết mọi hãng đều hoặc nổi vào mạng Inlernel hoc cĩ một intranet nội bộ, hoặc vữa cĩ thử này vừa cĩ thử kia Các intranet và Internet sử dụng một dạng phân giái tên gọi là Domain Name System, tửc DNS, Tên DNS là những cái tên Internet quen thuộc, chẳng hạn như Wwweicrosofteom Ngược lại kỹ thuật nối mạng cia Microsoft tcong nhiều năm đã sử dụng mật bệ thống định danh khác biệt và khơng ương thích, gi là lệ chống tên NetBIOS, wn đơn giãn hơn _ khơng dài hơn 15 kỹ tự, khơng cĩ các đấu chấm,

Các máy PC trong mạng intranet hoge Internet phân giải những cái tên DNS bằng cách tham kháo một nhém các server nằm rãi rác khẩp, thế Bi, ọi IA cde DNS server Cong ty ban, hoặc nhà cung cấp dịch vụ mềm Internet của bạn sử dụng các DNS server ở gin đĩ để phân giải Internet của bạn, cĩ thể điều hành một hoặc nhiều DNS server, và phân

những cái tên Internet ra thành các địa chỉ IP

“Các mạng dựa trên NT cĩ sử dụng phần mm Internet thì khơng sử ‘dung DNS nhiễu cho cơng việc của họ đâu Thay vào đĩ, Microsoft da

‘Chuang 8: Active Directory a8

phát mình ra các server giải đáp tơn theo kiểu riêng của họ, vốn hơi giếng như DNS nhưng lại sử dạng những cái tên NetBIOS; họ gọi các server giải dap thn nay Ia server Windows Internet Name Service, te WINS server

Điều đĩ dẫn đến vấn để sau đây: Gần như mọi hãng đều cĩ mặt trên (te nối vào) Internet „ tất nhiên, trong thời đại ngày nay thì phải cĩ "mật trên Internet thơi ˆ và vì thế, mỗi hãng đầu phải đạt những cái tên DNS cho các máy của họ Nhưng nếu họ cơng dùng NT trong mang của "mình, thì họ cắn phải đặt cho các máy đĩ những cái tên NetBIOS nữa "Tình trạng ơm dbm đĩ cơng chứa phải 1à điều đáng nĩi; điều đáng nĩi là những cái tên này quan trọng đối với những chương trình sử dụng chúng, và thơng thường thì các chương trình chỉ cắn một trong hai loại tên đĩ thơi chữ khơng thể dùng loại tên kia

(Chúng ta xem thử một ví dạ nh Giả sử sĩ một người muốn đăng nhập vào một miễn NT 4 cia hing Bigfirm Để thực hiện điều đĩ, máy trạm của họ phải tìm ra một domain controller danh cho miễn đĩ Máy trạm của họ làm điều này bằng cách truy tìm một mấy mà cĩ một cái ten NetBIOS ey thé Ta od gid sử rằng hãng Bigfirn thực tế cĩ một may domain controller 6 dau d6 trong mạng của mình, và tên NetBIOS của nĩ là LOCMEIN; máy này cũng đơng thời đồng vai trị Web server với gái ten DNS la reptiles pictures animalworld.com, béi vì nĩ chứa các trang Web về hình ảnh của các lồi bị sát tại địa phương Chúng ta căng giả sử rằng, vì một lý do nào đố, hãng Bigirm khơng cĩ WINS server nào, nhưng lại cĩ cả một mớ DNS server

Viin để là, những cái tên DNS khơng cĩ giá trị gì đối với máy trạm đang tìm kiếm cơ hội đăng nhập vào miễn kiếu NT 4 kia Cho dù Bigfirm cĩ những bộ DNS aerver tốt nhất thế giới đi chăng nữa, sự việc cũng chẳng khác đi được đâu _ khơng cĩ một WINS server hoạt động được, mấy trạm đề cĩ lề sẽ khơng thé tìm ra domain controller nào để đăng nhập cho người đĩ Nhưng mat khác, nếu cĩ ai đang ngồi cũng tại máy trạm đĩ muốn tm để xem các búc ảnh vẽ lồi bị sát trên site hữp/Jreples picures.animalworld com, thì họ chỉ việc khỏi động Internet Explorer rồi hướng nĩ đến địa chỉ (URL) đĩ Dĩ nhiên là Internet Explorer chẳng quan tâm gì đến những cái tên NetBIOS, ma chỉ trơng cậy vào những cái tên DNS thơi Nhờ Bigđrm cĩ ci mo DNS ‘server, nên máy trạm đĩ sẽ nhanh chĩng tim ra Web server kia réi cđuyệt các trang của nĩ, cho đã cũng chính máy trạm đĩ khơng phát hiện ra rằng chính server ấy sĩ khả năng thực hiện những cuộc đăng nhập cho nĩ

Bos Làm chii Windows Server 2 Với sự ra doi cua Active Directory trong Win2K, nguti ta hy vọng là NetBIOS sẽ sớm bién mit, mang theo ed WINS loơn, bởi vì AD sử dụng, DNS cho nhu cầu giải đáp tên của nĩ Nhưng vấn cịn nhiễu thứ cũ kỹ ở khắp nơi _ các may Windows 9x, các máy NT 4, v.v đến nỗi cĩ vẻ như ngay cả những mạng đựa trên WiaS2k# nhất cơng sẽ vẫn sử dụng NetBIOS và WINS để nĩi choyện với ít nhất là một số máy khách và phần mềm của chúng Tuy nhiên, rốt cuộc rồi WINS cing st chi con là một kỹ ức xấu thơi Nhưng chưa phi bay gio!

8.1.8 Cho phép cĩ những cơng cụ yểm trợ tập trung

hĩa

"Ni một cách don gin thi, @ moi nai, khong cĩ đã những người làm sơng tắc yểm trợ ky thudt (technical support, từ nay xin gọi vấn tất là kỹ thuật tiên) nhưng lại khơng thiếu những người dùng cắn yếm trợ kỳ thuật Năm 1987, nhiễu báng duy trì một kỹ thuật viên cho mỗi 100 "người đùng; ngày nay, trong nhiều cơng ty, tỉ lệ đĩ trở thành một kỹ thuật viên cho mỗi 2.000 người đừng

Điểu đĩ cĩ nghĩa là, nếu trước đây một kỹ thuật viên cĩ thể thực sự ghe đến máy PC của mỗi người dùng mà y phụ trách để thực hiện cơng tác yếm trợ của y, thì giờ đầy khơng cĩ lý do gì để trồng mong điều đĩ "nữa Các chuyên viên này cần cĩ những cơng cụ cho phép bọ thực hiện cing việc yếm trợ của mình từ một vị trí trưng tâm càng nhiều càng tết

Và, một cách để đơn gián hĩa cơng

8.1.8.1 AD lưu trữ những thơng tìn Zero Administration

Bạn đã bao giờ phải xây dựng lại từ đầu máy trạm cũa một người đăng chưa” Chuyện đĩ mất bao lâu _ bạn đo nĩ theo phút, theo gið, theo "ngày, hay theo tuân? Cĩ những cơng cụ phẩn mềm thương mại, như Ghost cia Symantec ching hạn, cĩ thể trợ giúp bạn trong cơng việc đĩ, nhưng Win8R và WinS2k8 cĩ một cơng eụ giống như Ghost được xáy dung ngay trong cái gi Ia Remote Installation Services (RIS), nhu ban đđã đọc trong Chương 6 RIS cho phép bạn khui một máy PC mới ra khỏi thùng, gắn nối nĩ vào trong mạng, rồi boot một đĩa mềm Đĩa mém 46 đứa máy ấy vào mạng réi tim kiém Active Direetory Từ đĩ trở di, AD nấm quyển kiếm sốt và chỉ đạo gui trình đưa một hình ảnh đĩa làm Việc được lên trên máy tram de trong khoảng từ 80 đến 4õ phút, khơng ‘edn theo dõi Những thơng tìn về chuyện nơi nào chữa những hình ảnh đĩn đĩ và ai nhận những hình ảnh đổ cũng được trừ trong AD Bất kỳ ai đã tíng chiến đấu với các chính sách hệ thống dười NT 4 đều biết ring cơng việc đĩ chẳng nhân hạ chat nao: Ban phải tạo ra ‘mot file NTCONFIG.POL, dt nd lén mgt domain controller, ồi thiết lập cơ chế sao chép cho MTOONFIG.POL gita cic may domain controller Thế "hưng, với Win2K, tất cả những thứ chính sách hệ thống đĩ _ mà giờ đây được gọi là các chính sách nhĩm _ đều được lưu trừ và được tự động sao lập bởi AD

Da bao gid ban thir “iy” mot tng dung len các máy trạm bằng SMS hoặc một cơng cụ tương tự như thế chưa? Cơng chẳng để dàng chút nào chứ gi? Nhưng giờ đây, một trong những chức năng của ÂD là hữu trừ và quyết định những ai sẽ nhân các ứng đụng nào 8.1.8.2, AD yểm trợ kỹ thuật nối mạng cĩ áp dụng danh bạ

WinơlK, XP, và WiaSak3 cho phép bạn kiếm sốt bandwidth bên trong intranet ein ban bang cách dùng cơng cụ điều khiéa QuS (Quality of Service) trong TCPAP Sav d6, bạn cĩ thể quyết định những chuyên như một người cụ thể sào đĩ phải nhận được nhiều bandwidth hơn vào Chiều thứ Ba, khi y cân nĩ cho hội đầm video qua mang chẳng hạn Và hững thơng tin đĩ được trữ ở đâu? Trong Àetive Directory

8.1.8.3 AD rốt cuộc sẽ thay thé Browser

“Trải qua nhiều nam, Microsoft đã mạo hiểm cố gắng yếm trợ một phương thức đơn giản để đoyệt xem những server nào cĩ mật trên các mang cục bộ được nối theo kiểu Microsoft (Ching toi đã nĩi qua về điều nây trong mục 2.1.5 trong Chương 21 Lúc đấu được gọi là Đrowser, rồi {én Network Neighborhood, toan bộ ý đổ của nỗ lực đĩ là, một người