Tìm hiểu về Active Directory và Controller MỤC LỤC 1 Tổng quan về activer directory 5 1.1 Chức năng của Active Directory 5 1.2 cấu trúc của activer directory 5 1.2.1 cấu trúc luận lý 5 1.2.1.1 Objects. 5 1.2.1.2 Organizational Units 6 1.2.1.3 Domain. 6 1.2.1.4 Domain Tree 7 1.2.1.5 Forest. 8 1.2.2 cấu trúc vật lý 9 1.2.2.1 siter 9 1.2.2.2 Domain controllers 9 1.2.3 Giao diện của Active Directory 10 1.2.4 Sử Dụng Active Directory 10 2 Cơ chế hoạt động của Active Directory 15 2.1 Directory service 15 2.2 Active directory schema 15 2.3 Global catalog (GC) 15 2.4 Global catalog server 16 2.5 Distinguished và relative distinguished name 16 2.6 Cơ chế single signon 17 3 Cơ chế quản lý Active Directory 17 4 Công cụ quản lý Active Directory 18 5 Active directory Domain Forest 19 5.1 Forest Domain function level 19 5.2 Tạo Relationships 19 6 Organization Unit ( OU ) 20 6.1 Tìm hiểu OU 20 6.2 Ủy quyền quản lý OU 21 7 Tài khoản Users, Group, Computer 22 7.1 Giới thiệu Tài khoản 22 7.2 Giới thiệu tài khoản người dùng 23 7.2.1 Tài khoản người dùng cục bộ 23 7.2.2 Tài khoản người dùng miền 23 7.2.3 Yêu cầu về tài khoản người dùng 23 7.3 Tài khoản nhóm 23 7.3.1 Nhóm bảo mật 24 7.3.2 Nhóm phân phối 24 7.3.3 Tài khoản người dùng tạo sẵn 25 7.3.4 Các nhóm tạo sẵn đặc biệt 27 7.4 Tạo quản lý account 27 8 Chính sách nhóm 30 8.1 Group Policy là gì? 30 8.2 Chức năng của Group Policy 30 8.3 quản ly GPO 31 9 Site and Replication 32 9.1 Giới thiệu về active directory replication 32 9.2 Tạo và cấu hình site 33 9.3 Quản lý site topology 34 10 Bố trí Domain contronller 35 10.2 Customize Global Catalog Server 36 10.3 Phân bổ domain contronller trong AD 36 11 Operation Master 36 11.1 Giới thiệu Operation Master Role 36 11.2 Chuyển giao chiếm đoạt Master Role 40 11.3 Di chuyển chống phân mảnh database của AD 42 1 Tổng quan về activer directory Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đối tượng) cũng như các thông tin liên quan đến các đối tượng đó. Active Directory cung cấp một mức độ ứng dụng mới cho môi trường xí nghiệp. Dịch vụ thư mục trong mỗi domain có thể lưu trữ hơn mười triệu đối tượng, đủ để phục vụ mười triệu người dùng trong mỗi domain. 1.1 Chức năng của Active Directory lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng. Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa… Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ.
Trang 1TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
MẠNG MÁY TÍNH BÁO CÁOTHỰC TẬP TIN HỌC CƠ SỞ MẠNG MÁY TÍNH
Trang 3Tìm hiểu về Active Directory và ControllerMỤC LỤC
1 Tổng quan về activer directory
Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đốitượng) cũng như các thông tin liên quan đến các đối tượng đó Active Directorycung cấp một mức độ ứng dụng mới cho môi trường xí nghiệp Dịch vụ thư mụctrong mỗi domain có thể lưu trữ hơn mười triệu đối tượng, đủ để phục vụ mười triệungười dùng trong mỗi domain
1 Chức năng của Active Directory
- lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng
và các tài khoản máy tính
- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Serverquản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điềukhiển vùng)
- Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trongmạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng
- Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền(rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệuhay shutdown Server từ xa…
- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con subdomain) haycác đơn vị tổ chức OU (Organizational Unit) Sau đó chúng ta có thể ủy quyền chocác quản trị viên bộ phận quản lý từng bộ phận nhỏ
2 cấu trúc của activer directory
Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp vớimột đối tượng cụ thể Như vậy Object là một đối tượng duy nhất được địnhnghĩa bởi các giá trị được gán cho các thuộc tính của object classes
Trang 4Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gáncho các thuộc tính của object classes Ví dụ hình sau minh họa hai đối tượng là: máy
in ColorPrinter1 và người dùng KimYoshida
2 Organizational Units
Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem
là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khácnhau phục vụ cho mục đích quản trị của bạn OU cũng được thiết lập dựa trênsubnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau” Việc
sử dụng OU có hai công dụng chính sau:
Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay cácthiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệthống
Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùngtrong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO)
Trang 5Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory Nó làphương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ
có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vàocác Server dễ dàng hơn Domain đáp ứng ba chức năng chính sau:
Đóng vai trò như một khu vực quản trị (administrative boundary) các đốitượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như:
có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủyquyền với các domain khác
Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ
Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domaincontroller), đồng thời đảm bảo các thông tin trên các Server này được đồng bộvới nhau
4 Domain Tree
Trang 6Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấutrúc hình cây Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của câythư mục.Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi làdomain con (child domain) Tên của các domain con phải khác biệt nhau Khi mộtdomain root và ít nhất một domain con được tạo ra thì hình thành một cây domain
5 Forest.
Forest là một thuật ngữ được đặt ra nhằm định nghĩa một mô hình tổ chức của AD,một forest gồm nhiều domain trees có quan hệ với nhau, các domain trees trong forest
là độc lập với nhau về tổ chức, Một forest phải đảm bảo thoả các đặc tính sau:
Toàn bộ domain trong forest phải có một schema chia sẻ chung
Các domain trong forest phải có một global catalog chia sẻ chung
Các domain trong forest phải có mối quan hệ trust hai chiều với nhau
Các tree trong một forest phải có cấu trúc tên(domain name) khác nhau
Các domain trong forest hoạt động độc lập với nhau, tuy nhiên hoạt động củaforest là hoạt động của toàn bộ hệ thống tổ chức doanh nghiệp
Trang 72 cấu trúc vật lý
Một site bao gồm một hay nhiều mạng con liên kết với nhau Có thể cấu hình việctruy xuất và tạo bản sao cho Active Directory hiệu quả nhất và lập ra một lịch cậpnhật để không ảnh hưởng đến thông lượng của mạng
2 Domain controllers
Domain Controller là một máy tính hay server chuyên dụng được setup WindowsServer và lưu trữ bản sao của Domain Directory (local domain database) Mộtdomain có thể có một hay nhiều domain controller, mỗi domain controller đều cóbản sao dữ liệu của Domain Directory Domain Controller chịu trách nhiệm chứngthực cho users và chịu trách nhiệm đãm bảo các chính sách bảo mật được thực thi.Các chức năng chính của domain controller:
Mỗi domain controller lưu trữ các bản sao thông tin của Active Directory chochính domain đó, chịu trách nhiệm quản lí thông tin và tiến hành đồng bộ dữliệu với các domain controller khác trong củng một domain
Domain Controller trong một Domain có khả năng tự động đồng bộ dữ liệuvới các domain controller khác trong cùng một domain Khi bạn thực hiện mộttác vụ đối với thông tin lưu trữ trên domain controller, thì thông tin này sẽ tựđộng được đồng bộ hóa đến các domain controller khác Tuy nhiên để đảm bảo
sự ổn định cho hệ thống mạng, chúng ta cần phải có một chính sách hợp lí chocác domain trong việc đồng bộ hóa thông tin dữ liệu với một thời điểm phùhợp
Trang 8 Domain Controller tự động đồng bộ hóa ngay lập tức các thay đổi quan trọngđối với cả Domain như disable một user account.
Active Directory sử dụng việc đồng bộ hóa dữ liệu theo cơ chế multimaster,nghĩa là không có domain controller nào đóng vai trò là master cả, mà thay vào
đó thì tất cả domain controller đểu ngang hàng với nhau, mỗi domaincontroller lưu trữ một bản sao của database hệ thống Các domain controllerlưu trữ các thông tin dữ liệu khác nhau trong một khỏang thời gian ngắn chođến khi thông tin các domain controller trong hệ thống đều được đồng bộ vớinhau, hay nói cách khác là thống nhất dữ liệu cho toàn domain
Mặc dù là Active Directory hỗ trợ hoàn toàn việc đồng bộ dữ liệu theo cơ chếmultimaster nhưng thực tế thì không phải lúc nào cũng theo cơ chế này (việcthực thi không được cho phép ở nhiều nơi trong hệ thống mạng trong cùng mộtthời điểm) Operations master roles là các roles đặc biệt được assigned với 1hoặc nhiều domain ontrollers khác để thực hiện đồng bộ theo cơ chế single-master, ta có thể dễ dàng nhận thấy việc thực thi operations của multimaster là
sự thực thi của nhiều single-master đồng thời
Hệ thống có nhiều hơn một domain hỗ trợ trong trường hợp dự phòng backupdomain controller, khi một domain controller có vấn đề xảy ra thì các domain
sẽ tự động chạy dự phòng, đảm bảo hệ thống luôn được ổn định
Domain Controller quản lí các vấn đề trong việc tương tác với domain củausers, ví dụ xác định đối tượng trong Active Directory hay xác thực việc logoncủa user
1.2.3 Giao diện của Active Directory
Bạn có thể truy cập Active Directory Users and Computers console từ bộ điều khiểnmiền của Windows Server 2003 bằng cách chọn Active Directory Users and Computers
từ menu Start / All Programs / Administrative Tools của máy chủ Giao diện của nó đượcthể hiện như những gì bạn thấy trong hình A dưới đây :
Trang 9Hình A
1.2.4 Sử Dụng Active Directory
Bây giờ chúng ta sẽ tìm hiểu kỹ hơn về giao diện và cách sử dụng bởi vì nó giúp chúng
ta khám phá một chút về cấu trúc của Active Directory Nếu nhìn vào hình A thì bạn sẽ thấy được rằng ở đây có một số thư mục lớn, mỗi một thư mục này tương ứng với một loại đối tượng cụ thể Mỗi đối tượng trong Active Directory đều được gán một kiểu đối tượng (được biết đến như là lớp đối tượng)
Mỗi đối tượng cũng có một số thuộc tính liên quan Các thuộc tính cụ thể thay đổi phụ thuộc vào kiểu đối tượng
Ví dụ, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành các đối tượng người dùng như trong hình B Nếu kích chuột phải vào một trong các đối tượng người dùng này và chọn Properties từ menu chuột phải thì bạn sẽ thấy được trang thuộc tính của đối tượng (như trong hình C)
Trang 10Hình B
Trang 11Hình C
Nếu nhìn vào hình C thì bạn sẽ thấy rằng có một số trường thông tin khác nhau như tên,
họ, số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng Mặc
dù phần lớn các trường ở trong hình đều không phổ biến nhưng trong một số tình huống thực thì các trường này có thể được sử dụng để tạo thư mục cộng tác Trong thực tế, nhiều ứng dụng được thiết kế để trích thông tin trực tiếp từ Active Directory Ví dụ, Microsoft Exchange Server (sản phẩn e-mail server của Microsoft) tạo một danh sách địa chỉ toàn cục dựa trên nội dung của Active Directory Danh sách này được sử dụng khi gửicác thông báo email đến người dùng khác trong công ty
Nếu nhìn vào hình D, bạn sẽ thấy được một màn hình, trong đó chúng tôi đã thực hiện một tìm kiếm với tên Hershey, và Outlook đã trả toàn bộ danh sách địa chỉ toàn cục Global Address List gồm có tên Hershey Không hề ngạc nhiên vì đây chỉ là một kết quả Nếu nhìn vào phần kết quả của cửa sổ thì bạn sẽ thấy được nơi mà Outlook hiển thị tiêu
đề của người dùng, số điện thoại doanh nghiệp và vị trí mà trường đó được phổ biến Tất
cả thông tin này đều được lấy từ Active Directory
Trang 12Hình D
Nếu muốn thấy các thông tin chi tiết hơn về người dùng, bạn hãy kích chuột phải vào tên của người dùng và chọn Properties.Khi đó cửa sổ như hình E sẽ được hiển thị Bạn hãy nhớ rằng đây không phải là một màn hình quản trị Đơn giản đây chỉ là một màn hình
mà bất kỳ người dùng nào trong công ty cũng có thể truy cập trực tiếp thông qua Outlook
2007 để tìm thông tin về các nhân viên khác
Trang 13Hình E
Xét cho cùng thì Outlook là một sản phẩm của Microsoft, vì vậy nó chỉ tạo một cảm giác rằng Outlook sẽ có thể lấy thông tin từ Active Directory, một phần của một sản phẩm khác của Microsoft Tuy nhiên có rất nhiều người không nhận ra một điều, đó là khá dễ dàng cho bất cứ ai có sự cho phép thích hợp để lấy thông tin từ Active Directory Thực tế,
có rất nhiều sản phẩm của nhóm thứ ba được thiết kế để tương tác với Active Directory Một trong số chúng có khả năng lưu dữ liệu trong các phần Active Directory đặc biệt
Lý do nó hợp lý với bạn hoặc với các hãng phần mềm nhóm thứ ba khi tương tác với Active Directory là vì Active Directory được dựa trên một chuẩn đã biết Active
Directory được dựa trên một chuẩn có tên gọi là X.500 Chuẩn này cơ bản là một cách chung chung trong việc thực hiện dịch vụ thư mục Microsoft không chỉ là một công ty tạo dịch vụ thư mục dựa trên dịch vụ này mà Novell ban đầu cũng đã tạo dịch vụ thư mụcNetWare Directory Service trên chuẩn này
Đây cũng là một cách trong việc truy cập vào thông tin dịch vụ thư mục Trong môi trường Active Directory, việc truy cập thông tin thư mục liên quan đến việc sử dụng Lightweight Directory Access Protocol (LDAP) Giao thức LDAP chạy trên phần đỉnh của giao thức TCP/IP
Thứ đầu tiên mà bạn cần phải biết về giao thức LDAP là bất cứ tên nào được đặt cũng đều phải được phân biệt, bởi vì không có gì là ít quan trọng về nó (nó quan trọng hơn giao thức truy cập thư mục gốc, giao thức không được thiết kế để tận dụng ngăn xếp giao
Trang 14thức TCP/IP)
Mỗi đối tượng trong Active Directory đều được quy vào một tên phân biệt (thường được viết tắt là DN) Tên phân biệt được dựa trên vị trí của đối tượng bên trong thứ bậc thư mục Có nhiều thành phần khác nhau trong tên phân biệt nhưng một số cái chung là một tên chung (được viết tắt là CN) và một miền tên (viết tắt là DC) Ví dụ, cho rằng miền Contoso.com gồm có một tài khoản có tên là User1 và tài khoản này được định vị trong thư mục Users Trong trường hợp như vậy, tên phân biệt của tài khoản người dùng sẽ là:CN=User1, CN=Users, DC=Contoso, DC=com
2 Cơ chế hoạt động của Active Directory
1 Directory service
2 Active directory schema
Trong Active Directory, database lưu trữ chính là AD Schema, Schema định nghĩa các đốitượng được lưu trữ trong Active Directory Nhưng Schema lưu trữ các đối tượng thế nào?Thực chất, schema là một danh sách các định nghĩa xác định các loại đối tượng và các loạithông tin về đối tượng lưu trữ trong Active Directory Về bản chất, schema cũng được lưutrữ như 1 object
Schema được định nghĩa gồm 2 loại đối tượng (object) là schema class objects và schemaAttribute objects
3 Global catalog (GC)
Trang 15GC lưu trữ tất cả các object của miền chứa GC và một phần các object thường đượcngười dùng tìm kiếm của các domain khác trong forest.
Global catalog lưu trữ:
• Những thuộc tính thường dùng trong việc truy vấn như user’s first name, lastname, logon name
• Thông tin cần thiết để xác định vị trí của bất kỳ object nào trong activedirectory
• Tập hợp các thuộc tính mặc định cho mỗi loại object
• Quyền truy cập đến mỗi object
4 Global catalog server
Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin về tất cả cácđối tượng trong Active Directory Phần lớn,global catalog là lưu trữ thông tin đó làcác truy vấn thường được sử dụng Nói cách khác, nó chứa các thông tin cần thiêt đểtìm các đối tượng
Một global catolog cần được tạo trong domain controller đầu tiên của rừng.Domain controller này được gọi là Global Catalog Server Một global catalog serverduy trì một bản copy đầy đủ cơ sở dữ liệu của Active Directory của domain điềukhiển của nó Nó duy trì một phần copy của cơ sở dữ liệu Active Directory củadomain khác trong rừng Một Global Catalog Server cũng xử lý các truy vấn đượcxây dựng trở lại và cho ra kết
quả
5 Distinguished và relative distinguished name
Trang 16Distinguished name (DN): là tên để định danh đối tượng duy nhất trong ActiveDirectory
Relative distinguished name (RDN): là phần tên cũng chính là thuộc tính của đốitượng
Ví dụ:DN: CN=TaiTV,OU=KhoaCNTT,OU=HCM,DC=ispace,DC=vnRDN: CN=TaiTV
6 Cơ chế single sign-on
Mỗi user chỉ dùng 1 acount cho nhiều dịch vụLàm đơn giản hoá việc quản lý và sử dụng
3 Cơ chế quản lý Active Directory
Trang 17Tập trung
Cho phép admin có thể quản trị tài nguyên tập trung
Cho phép admin có thể xác định thông tin của các object
Cho phép dùng chính sách nhóm để quản lý user
Phân tán
Uỷ quyền quản lý cho quản trị viên khác
Quản trị hệ thống Active Directory quy mô lớn linh hoạt hơn
4 Công cụ quản lý Active Directory
Trang 18Những công cụ quản lý Active Directory thường cung cấp ở dạng Snap-in cho MMC(Microsoft Management Console).
Active Directory users and Computer: quản trị người dùng, nhóm, máy tính, vàđơn vị tổ chức
Active Directory and Trusts: dùng làm việc với vùng, hệ vùng phân cấp, tập hợp
hệ vùng phân cấp
Active Directory Sites and Services : quản lý Site và mạng con
5 Active directory Domain & Forest
1 Forest & Domain function level
Forest và Domain Functional Level cung cấp cách để mỡ rộng các tính năng AD trênphạm vi domain hoặc forest Các cấp độ này phụ thuộc vào môi trường mạng Yêucầu sử dụng những tính năng mới trên Windows 2003
2 Tạo Relationships
Trust Relationship cho phép người dùng trong domain này truy cập tài nguyên ởdomain khác Một trust relationship trên window server bao gồm 3 đặc tính :
Explicitly or Implicitly (tường minh hay ngầm định)
• Explicitly trust là loại liên kết tường minh, do người quản trị thiết lập bằngtay Ví dụ như shortcut trust, external trust
• Implicitly trust là loại liên kết ngầm định, do hệ thống thiết lập tự động Ví
dụ như parent/child trust, tree/root trust
Transitive or Non-transitive (có tính bắc cầu hay không có tính bắc cầu)
• Transitive trust là loại liên kết mà mối liên kết không chỉ giới hạn giữa haidomain tham gia trực tiếp mà còn mở rộng ra những domain liên quan.Quan sát hình 1, domain D trust trực tiếp domain E, còn domain E lại trusttrực tiếp domain F và cả hai đều là transitive trust thì domain D cũng trustgián tiếp domain F và ngược lại Transitive trust được hệ thống thiết lập tự
Trang 19động, một trong những ví dụ về loại trust này là parent/child trust (liên kếtgiữa domain cha và domain con)
• Non-transitive trust có tính chất ngược với transitive trust, loại liên kết nàychỉ giới hạn trong hai domain tham gia trực tiếp vào liên kết chứ không mởrộng ra các domain liên quan với hai domain đó Non-transitive trust khôngđược hệ thống thiết lập tự động Ví dụ điển hình về non-transitive trust làexternal trust, liên kết giữa 2 domain thuộc 2 forest khác nhau
Trust direction (chiều của liên kết)
• Trong Windows 2003, có 3 loại trust direction: one-way incoming, one-wayoutgoing, two-way Ví dụ như trên hình 1, ta thấy trust relationship giữadomain B và domain Q là một chiều (one-way) Đứng trên domain B, nếu
ta thiết lập one-way incoming trust thì các đối tượng trên domain B sẽ đượcchứng thực trên domain Q; còn nếu ta thiết lập one-way outgoing trust thìcác đối tượng trên domain Q sẽ được chứng thực trên domain B Cuối cùng,nếu ta thiết lập two-way trust thì các đối tược trên cả hai domain sẽ đượcchứng thực trên domain đối phương
• Trên Windows 2000 thì liên kết trust chỉ có one-way và non-transitive Dovậy, để tạo ra liên kết cho một hệ thống lớn, người quản trị cần thiết lập vàquản lý nhiều trust relationship Bắt đầu từ Windows 2003 thì trustrelationship có 3 đặc tính trên đã đơn giản hóa công việc và giảm thiểu
nhiều công sức quản lý cho người quản trị.
• Các loại Trust
• Shortcut: được người quản trị thiết lập giữa hai domain trong cùng một
forest đê nhầm giảm bớt các bước chứng thực cho các đối tượng sử dụngtrong quá trình chứng thực bằng giao thức Kerberos v5
• Forest: được người quản trị thiết lập giữa hai forest.Đây là phương pháp
hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc domain củacác forest
• External:được người quản trị thiết lập để liên kết hai domain thuộc hai
forest khác nhau để giảm bớt các bước chứng thực External cấu hình thiếtlập đồng bộ tin cậy giữa một domain của một forest với một domain củaforest khác
• Realm: thiết lập tin cậy với hệ thống không phải Windows sử dụng
Kerberos
6 Organization Unit ( OU )
1 Tìm hiểu OU
Trang 20OUS được tạo ra để làm quản trị đại diện, để quản trị chính sách nhóm, và để giấucác object Tạo các OU để quản trị đại diện là lý do quan trọng nhất để tạo một OU,
và bạn nên cân nhắc trước khi tạo các OUS để quản trị chính sách nhóm hoặc để dấuobject Các tác vụ quản trị của OU như đổi tên, di chuyển và xóa các OU, và cài đặtcác thuộc tính của OU, là các tác vụ cần thiết bạn phải biết để bảo trì các OU
Organizational unit(OU) là một container sử dụng để sắp xếp các object trong mộtmiền vào một nhóm quản trị logic Một OU có thể chứa các object như tài khoảnngười sử dụng, nhóm, máy tính, máy tin, các ứng dụng, các thư mục chia sẻ, và các
OU khác từ cùng một miền Các OU được biểu diễn bằng biểu tượng thư mục với 1quyển sách bên trong Các OU có thể được thêm vào các OU khác tạo nên cấu trúcphân cấp; quá trình này được gọi là nesting OU Mỗi miền có một cấu trúc OU riêng,cấu trúc của OU trong một miền không phụ thuộc vào cấu trúc của các OU ở cácmiền khác
Có 3 lý do để tạo ra OU
• Để ủy quyền quản trị
• Để quản trị group policy
• Để che dấu các object
2 Ủy quyền quản lý OU
Organizasional Units hay OU còn gọi là đơn vị nhỏ nhất trong hệ thống activedirectory , nó được xem là vật chứa các đối tượng (object) được dùng để sắp xếp cácđối tượng khác nhau phục vụ cho các mục đích quản trị của bạn Việc sử dụng OU cóhai công dụng chính như sau :
Trao quyền kiểm soát một tập hợp các tài khoản người dung, máy tính hay cácthiết bị mạng cho một nhóm người hay một phụ tá quản trị nào đó(sub-administrator),từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệthống
Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dungtrong OU thông qua việc sử dụng các đối tượng chính sách nhóm(Grouppolicy)
Mục đích uỷ quyền quản trị OU
Phân tán việc quản lý cho từng OU
Đơn giản hoá trong việc quản trị
Việc uỷ quyền cung cấp