Để người dùng có khả năng truy cập các tài nguyên trên mạng Active Directory, họ nhất thiết phải có các cấp phép thích hợp. Các thư mục, ổ đĩa, máy in được chia sẻ, và nói rộng hơn là tất cả các loại tài nguyên khác trên mạng đều có một Danh sách Kiểm soát Truy cập (Access Control List - ACL). ACL chính là danh sách của các đối tượng được cho phép truy cấp đến tài nguyên, theo các mức độ truy cập khác nhau mà mỗi đối tượng được cấp. Trong Microsoft Windows Server 2003, ACL được hiển thị tại thẻ Sercurity (Bảo mật) của phần lớn trong bất cứ hộp thoại Properties nào, như được thể hiện trong hình 3-1. Các đối tượng trong ACL được gọi là Sercurity Principals (Đối tượng bảo mật). Bạn có thể sử dụng Dối tượng người dùng như là các Đối tượng Bảo mật để trao cho người dùng quyền truy cập đến các tài nguyên họ cần, do Đối lượng người dùng xác định tính duy nhất của người dùng thông qua quá trình xác thực. Về mặt lý thuyết, Quản trị viên có thể tạo toàn bộ các cấp phép cho mọi người dùng bằng cách thêm các đối tượng người dùng vào ACL, và việc thực hiện điều này với toàn bộ các mạng máy tính (trừ trường hợp đối với các mạng rất nhỏ) là điều không thể do việc tiêu tốn một cách lãng phí thời gian và lao động. Hãy Hãy tưởng tượng bạn đang tuyển thêm 250 nhân viên mới và sau khi đã tạo các Đối tượng người dùng cho họ, phải cấp phép cho họ truy nhập các nguồn tài nguyên trải dài trên toàn bộ mạng. Thậm chí với trường hợp xấu nhất, giả sử máy chủ bị hỏng và bạn cần cài đặt nhanh một máy chủ thay thế và sau đó cấp phép cho 250 người để có thể truy cập đến máy chủ mới.
Hình 3-1: Thẻ Security trong hộp thoại Properties của thư mục
Để tránh những việc xảy ra, người quản trị sử dụng nhóm, nhóm sẽ đơn giản hóa danh sách của các người dùng có các chức năng như các đối tượng bảo mật. Trong Active Directory đối tượng nhóm bao gồm các đối tượng người dùng, máy tính, mối liên hệ (contact), và trong những điều kiện nhất định, thậm chí bao gồm các nhóm. Khi bạn sử dụng Đối tượng Nhóm như là Đối tượng Bảo mật bằng cách thêm chúng vào trong danh sách ACL, tất cả các thành viên trong nhóm đều nhận các cấp phép mà bạn đã gán cho nhóm. Nếu bạn thêm thành viên mới vào nhóm tại các thời điểm sau này, họ cũng sẽ nhận được các cấp phép giống như vậy. Nếu bạn loại bỏ thành viên nào đó, các cấp phép cho họ cũng loại bỏ theo.
Trong ví dụ đã nêu ở trên, bạn có thể tạo ra một Đối tượng Nhóm và gán cho nó các cấp phép mà những người mới được nhận vào làm việc cần có. Khi các nhân viên mới đến làm việc, toàn bộ các công việc bạn phải làm chỉ là tạo ra các Đối tượng người dùng cho họ và thêm họ vào Nhóm. Để đơn giản hóa việc tổ chức một máy chủ thay thế, bạn cần tạo ra một nhóm chứa toàn bộ các người dùng của máy chủ ban đầu. Nếu máy chủ hỏng và bạn cần chuyển sang sử dụng máy chủ thay thế, tất cả các công việc bạn cần làm là gán các cấp phép truy cập đến máy chủ mới cho đối tượng nhóm đã tạo, và tất cả các người dùng sẽ được chuyển qua sử dụng máy chủ mới một thuận
tiện. Trên các mạng có hệ thống các nhóm được thiết kế tốt, quản trị mạng rất hiếm khi, nếu có, phải gán các cấp phép cho các người dùng riêng lẻ.
hình 3-2: Là đối tượng bảo mật, một nhóm tương đương với thiếu người dùng
Nhóm cũng có thể giúp chúng ta gán Quyền của người dùng cho nhiều người dùng cùng lúc. Trong Microsoft Windows Server 2003, khái niệm Quyền (Right) hoàn toàn khác với khái niệm Cấp phép (Permission). Quyền của người dùng (User right) trao cho người dùng hay nhóm khả năng thực hiện một tác vụ nhất định, như truy cập đến một máy tính nào đó thông qua mạng, thay đổi thời gian hệ thống, hoặc giành quyền sở hữu (Take ownership) đối với file hay các đối tượng khác. Thêm vào đó, bạn cũng có thể sử dụng nhóm để tạo danh sách phân phối thư điện tử.
- Sử dụng nhóm (Group) và các chính sách của nhóm (Group Policies).
Cấu trúc của cây Active Directory là một phần rất quan trọng của quá trình tạo tài khoản người dùng trong miền do các quyền và Cấp phép ta đã gán cho các đối tượng chứa sẽ được các đối tượng con của nó thừa hưởng, bao gồm cả các đối tượng người dùng. Việc thừa kế giữa các nhóm cũng làm việc giống như vậy,với các thành viên sẽ nhận được các thiết lập đã gán cho nhóm. Sự khác biệt chủ yếu giữa các đối tượng nhóm và đối tượng chứa là đối tượng nhóm không bị chi phối bởi cấu trúc hình cây của Active Directory. Bạn có thể tạo ra nhóm với các thành viên ở bất cứ đâu trong miền, thậm trí tại các miền khác, và trao đổi cho chúng các đặc quyền chỉ với một thao tác đơn giản.
Chính sách nhóm, mặc dù với tên như vậy, được kết hợp chặt chẽ với các đối tượng chứa nhiều hơn là các đối tượng chứa nhóm. Đối tượng chính sách nhóm chỉ có thể gán với các đối tượng miền, vị trí (site), OU có sử dụng Active Directory, và các thiết lập của chúng sẽ được truyền xuống theo cây Active Directory. Bạn không thể gán GPO cho nhóm, mặc dù trong nhiều
trường hợp, bạn có thể cấu hình các thiết lập chính sách nhóm để cấu hình một vài tính năng của hệ điều hành trên tất cả các thành viên của nhóm.
- Tìm hiểu về các cấp chức năng của miền
Một trong số các hiểu lầm phổ biến nhất đối với các khái niệm Active Directory chính là cấp chức năng. Các quản trị mạng đôi khi cũng nản lòng trước viễn cảnh của việc thay đổi cấp chức năng của Miền hay Rừng do nó là một trong vài quyết định mà bạn sẽ không thể thu hồi được trong Microsoft Windows Server 2003. Khi bạn đã thay đổi cấp chức năng, bạn sẽ không có cơ hội để khôi phục lại được. Nói cách khác là các phiên bản khác nhau của Windows có một chút khác nhau trong việc thực thi các chức năng của Active Directory. Mỗi phiên bản thành công sẽ có vài tính năng mới không được sử dụng tới khi một vài máy chủ quản trị miền đều tương thích và là an toàn để kích hoạt các tính năng chỉ có trong phiên bản mới.
Trong Microsoft Windows Server 2003, bốn cấp chức năng có thể có của chúng bao gồm: Windows 2000 mixed (Pha trộn), Windows 2000 Native (tự nhiên), Windows 2003 Interim (Chuyển tiếp), và Windows Server 2003. Các cấp chức năng nói trên hỗ trợ các máy chủ quản trị miền chạy trong môi trường kết hợp rất nhiều các hệ điều hành, và chúng sẽ cung cấp rất nhiều các tính năng phụ thêm, và một vài tính năng này sẽ được áp dụng cho chức năng của đối tượng nhóm trong Miền. Các đặc tính của cấp chức năng cho miền được liệt kê sau đây:
- Windows 2000 Mixed: là cấp chức năng mặc định của máy chủ quản trị miền Windows server 2003.
o Hỗ trợ các Máy chủ Quản tri Miền chạy Windows Server 2003, Windows Server 2000, và Windows NT 4
o Hỗ trợ Nhóm Phân phối Tổng hợp (Universal Distribution Group), nhưng không hỗ trợ Nhóm Bảo mật Tổng hợp
o Nhóm Toàn cục (Global Group) không thể chứa các nhóm khác (nhóm trong nhóm).
o Việc chuyển đổi các nhóm là không được phép.
- Windows 2000 Native: Hỗ trợ các Máy chủ Quản tri Miền chạy Windows Server 2003 và Windows Server 2000.
o Hỗ trợ các Nhóm Phân phối và Bảo mật Tổng hợp.
o Cho phép một hay nhiều nhóm là thành viên của nhóm khác.
o Cho phép chuyển đổi qua lại giữa các Nhóm Bảo mật và Nhóm Phân phối.
o Cho phép di chuyển các Đối tượng Bảo mất (Security Principal) từ Miền này qua Miền khác (Lịch sử SID).
- Windows Server 2003 Interrim: Hỗ trợ các Máy chủ Quản trị Miền chạy Windows Server 2003.
o Hỗ trợ các Nhóm Phân phối và Bảo mật Tổng hợp.
o Cho phép chuyển đổi qua lại giữa các Nhóm Bảo mật và Nhóm phân phối.
o Cho phép di chuyển các Đối tượng Bảo mật từ Miền này qua Miền khác
Hình 3.2: Hộp thoại Properties của miền 3.2- SỬ DỤNG NHÓM CỤC BỘ
Một nhóm Cục bộ là một tập hợp của các Tài khoản người dùng Cục bộ trên một máy tính nhất định. Nhóm cục bộ thực hiện cùng các chức năng cơ bản của Nhóm: nó cho phép bạn có thể gán các Cấp phép cho nhiều người dùng trong cùng một bước thực hiện. Bạn tạo Nhóm cục bộ bằng Snap-in “Local Users And Groups” đã được tích hợp trong bảng điều khiển “Computer Management” (có thể truy cập từ nhóm chương trình “Administrative Tools”), như đã chỉ ra trong hình 3.4. Khi bạn tạo Nhóm Cục bộ, hệ thống sẽ lưu chúng tại CSDL của Trình Quản lý Tài khoản bảo mật (Security Accounts Manager - SAM) Các nhóm Cục bộ cũng có những hạn chế giống như đối với các người dùng cục bộ.
Các hạn chế của nhóm cục bộ được liệt kê sau:
• Bạn chỉ có thể sử dụng Nhóm Cục bộ chỉ trên máy tính nơi bạn tạo ra nó. • Chỉ có các người dùng cục bộ trên cùng máy tính có thể là thành viên của nhóm cục bộ.
• Khi máy tính là thành viên của một miến, thành viên của nhóm cục bộ có thể bao gồm các người dùng và các nhóm toàn cục của miền này hay bất cứ miền nào khác được tin cậy.
• Nhóm cục bộ không thể có các thành viên là các nhóm cục bộ khác.
• Việc cấp phép cho nhóm cục bộ chỉ cung cấp việc truy cập đến các nguồn tài nguyên trên máy tính mà bạn tạo ra nhóm
• Bạn không thể tạo ra nhóm cục bộ trên máy tính chạy Windows server 2003 đóng vai trò như máy chủ quản trị miền
Hình 3.3: Snap-in “Local Users And Groups”
3.3: Sử dụng nhóm Active Directory
Các nhóm Active Directory được phân biệt bởi kiểu (Type) và phạm vi (Scope) của chúng. Nhóm Active Directory có hai kiểu, mà mỗi kiểu đều có ba phạm vi khác nhau. Việc xây dựng các nhóm này dúng phạm vi của nó sẽ giúp chúng ta sử dụng tốt nhất nguồn lực quản trị khi tạo, gán, và quản lý việc truy cập đến nguồn tài nguyên. Khả năng của việc xây dựng các nhóm cũng phụ thuộc vào Cấp chức năng của miền mà tại đó các nhóm được tạo ra. Windows Server 2003 có hàng loạt các nhóm được tạo sẵn, và bạn cũng có thể tạo ra thêm bao nhiêu nhóm là tùy vào yêu cầu của bạn.
Nhóm Active Directory, không phụ thuộc vào kiểu hay phạm vi của nó, là các đối tượng trong CSDL Active Directory, cũng giống như tài khoản người dùng và đối tượng chứa là các đối tượng. so sánh với đối tượng người dùng, đối tượng nhóm là hoàn toàn tương tự. Thay vào những thuộc tính của đối tượng người dùng, đối tượng nhóm chỉ có một vài thuộc tính, mà quan trọng nhất trong số đó là danh sách các thành viên. Như tên của nó đã chỉ ra, danh
sách thành viên đơn giản chỉ là một danh sách các đối tượng, như người dùng, các nhóm khác, máy tính, và Liên lạc (Contact), đó là các thành viên của nhóm. Tất cả các Cấp phép và Quyền được gán cho nhóm sẽ được mọi đối tượng có tên trong danh sách thành viên của nhóm thừa kế.
Trong Windows Server 2003, ta có thể tạo và quản trị tất cả các nhóm Active Directory bằng cách sử dụng bảng điều khiển “Active Directory Users and Computerrs”, mà ta có thể truy cập từ nhóm chương trình “Adminitrative Tool”. Giống như đối với bất cứ một đối tượng Active Directory nào, để có thể tạo và quản trị được nhóm bạn cần có các cấp phép thích hợp tạo đối tượng chứa, nơi nhóm được bố trí.
Hình 3.4: Bảng điều khiển “Active Directory Users And Computers
1. Kiểu nhóm của Active Directory có hai kiểu: nhóm bảo mật (Security) và nhóm phân phối (Distribution)
- Nhóm bảo mật là nhóm mà bạn dùng để gán các cấp phép để nó có thể truy cập tới các tài nguyên mạng. Khi một người nào đó nói tới nhóm liên quan tới windows server 2003 hay Active Directory, thông thường là họ đề cập đến nhóm Bảo mật. Các chương trình được thiết kế để làm việc với Active Directory cũng có thể sử dụng các nhóm Bảo mật cho các mục đích không liên quan tới việc bảo mật.
- Nhóm phân phối
Nhóm phân phối được sử dụng cho các chương trình có các chức năng không liên quan tới bảo mật. Bạn sử dụng nhóm Phân phối chỉ khi chức năng của nhóm không liên quan đến việc bảo mật, như gửi E-mail đến một nhóm các người dùng trong cùng thời điểm. Bạn không thể sử dụng nhóm phân
phối để gán quyền hay cấp phép. Chỉ các chương trính được thiết kế làm việc với Active Directory là có thể sử dụng nhóm phân phối.
2. phạm vi của nhóm Active Directory.
Phạm vi của nhóm xác định việc các cấp phép được gán cho các thành viên của nhóm như thế nào. Tất cả các nhóm Active Directory, cả nhóm phân phối và nhóm bảo mật, đều có thể xếp vào một trong ba phạm vi: Domain Local (cục bộ Miền), Global (Toàn thể), và Universal (Tổng hợp).
- Nhóm Domain Local (cục bộ miền)
Nhóm nhiều cục bộ thường được sử dụng để gán các cấp phép truy cập đến các tài nguyên, hoặc trực tiếp hoặc bằng cách thêm nhóm Global và nhóm Domain Local. Nhóm Domain Local có các đặc tính sau:
+ Nhóm Domain Local tồn tại trong tất cả các cấp chức năng: Windows 2000 Mixed, Windows 2000 native, Windows server 2003 interim và Windows server 2003.
+ Bạn chỉ có thể sử dụng nhóm cục bộ miền để trao đổi các cấp phép truy cập chỉ đến các tài nguyên trên cùng miền bạn tạo ra nhóm.
+ Khi bạn sử dụng cấp chức năng Windows 2000 mixed hay Windows 2003 interim, thành viên của nhóm cục bộ miền có thể bao gồm các tài khoản người dùng. Tài khoản máy tính và các nhóm Global từ bất cứ miền nào trong rừng. Ngoài ra, không tồn tại bất cứ một kiểu nhóm trong nhóm nào khác.
+ Khi bạn sử dụng Cấp chức năng Windows 2000 native hay WindowsServer 2003, nhóm cục bộ miền có thể bao gồm các Tài khoản người dùng, Máy tính, các nhóm Global và Universal từ bất cứ miền nào trong rừng, và các nhóm cục bộ miền khác trong cùng miền. Nhóm cục bộ miền có thể được chuyển thành nhóm Universal khi nó không có thành viên nào là nhóm cục bộ miền.
Nhóm cục bộ miền được sử dụng thông thường nhất để kiểm soát sự truy cập tới các tài nguyên chỉ trong một miền đơn. Ví dụ như bạn có thể tạo một nhóm cục bộ miền để trao cấp phép cho các thành viên của nó được truy cập đến một máy in nhất định. Sau đó bạn có thể thêm trực tiếp các người dùng trong miền vào nhóm cục bộ miền đã tạo, hoặc bạn có thể tạo ra các nhóm Global gồm các người dùng cần truy cập đến máy in và đặt nhóm Global này là thành viên của nhóm cục bộ miền đã tạo.
- Nhóm Global
Nhóm Global được sử dụng để cung cấp các thành viên đã được phân loại trong nhóm cục bộ miền cho các đối tượng Bảo mật hay cho việc gán các Cấp phép một cách trực tiếp (riêng cho trường hợp mạng sử dụng Cấp chức năng Windows 2000 mixed, hay Windows Server 2003 interim). Thông thường, nhóm Global được sử dụng để gom các người dùng và Máy tính trong cùng một miền mà có cùng công việc, vai trò, hay chức năng hoặc họ
có cùng các nhu cầu tương tự trong việc truy cập mạng. Nhóm Global có các đặc tính sau:
• Nhóm Global có mặt tại tất cả các Cấp Chức năng: Windows 2000 Mixed,
Windows 2000 native, Windowws Server 2003 interim, và Windows Server
200.
• Nhóm Global chỉ bao gồm các thành viên từ cùng một miền
• Khi bạn sử dụng Cấp chức năng Windows 2000 native hay Windows Server 2003, thành viên của nhóm Global có thể bao gồm các Tài khoản người dùng, Máy tính cũng như các các nhóm Global khác trong cùng miền.
