Active Directory là một dịch vụ thư mục qui mô xí nghiệp, được xây dựng trên nền tảng công nghệ chuẩn Internet, được tích hợp đầy đủ trên cấp độ hệ điều hành. Active Directory làm cho việc quản trị đơn giản hơn và giúp cho người sử dụng tìm kiếm tài nguyên dễ dàng hơn. Active Directory cung cấp các khả năng và đặc điểm phong phú, bao gồm cách giải quyết theo nhóm, khả năng nâng cấp không phức tạp, hỗ trợ nhiều phương thức xác thực, và sử dụng hiệu quả các chuẩn Internet.
Sử dụng dịch vụ Active Directory
Ba mục đích cơ bản của Active Directory là:
• Cung cấp các dịch vụ đăng nhập và xác thực người dùng.
• Cho phép nhà quản trị tổ chức và quản lý các tài khoản người dùng, các nhóm và tài nguyên mạng.
Active Directory
Giới thiệu
Nếu chúng ta nghĩ đến một mạng máy tính văn phòng cho các cơ quan, trường học ở đó mỗi nhân viên (hay mỗi phòng làm việc) có một máy tính và quyền quản trị tối cao thuộc về họ; các nhân viên tạo văn bản và sử dụng trao đổi thư điện tử trong mạng nội bộ hay qua Internet; ngoài ra họ có thể xem thông tin trên các trang Web trên Internet thì mạng máy tính Workgroup hoàn toàn đáp ứng được. Công việc thực hiện gồm cài đặt một số máy chủ Windows 2000 Advanced Server như đã trình bày ở chủ đề 2, sau đó cài thêm dịch vụ phục vụ chia sẻ đường kết nối Internet , cài thêm dịch vụ DNS, cài thêm dịch vụ Mail Server lên trên các máy đó, còn phía máy nhân viên cài đặt Windows 2000 Professional thì hoàn toàn đáp ứng được những yêu cầu đã nêu.Vậy người sử dụng còn mong muốn điều gì hơn thế nữa.
Sản phẩm hệ điều hành cho máy chủ của hãng Microsoft cung cấp dịch vụ đáp ứng cho đa dạng yêu cầu từ phía người dùng. Hãy nghĩ đến các công ty kinh doanh. Các nhà quản trị doanh nghiệp không muốn nhân viên sử dụng máy tính với quyền quản trị tối cao. Người sử dụng không có quyền cài đặt chương trình, trên máy tính chỉ có những chương trình được cài đặt sẵn là do người quản trị thực hiện và cấp quyền hạn sử dụng. Tất cả tài khoản cấp phát cho người sử dụng không ở trên các máy người dùng, tất cả phải xuất phát từ máy chủ của người quản trị. Không có tài khoản cấp phát thì không một nhân viên nào có thể đăng nhập được vào các máy tính. Sau giờ làm việc, các tài khoản tự động hết quyền đăng nhập máy và máy tính tự động đóng cửa sổ chương trình, tắt máy. Một môi trường quản lý chặt chẽ như thế cần phải được xây dựng trên mô hình Domain. Trong mô hình Domain phải có máy điều khiển vùng (Domain Controller), đó là máy cài đặt Windows 2000 Server cùng với dịch vụ Active Directory. Nếu công
việc quản lý của mạng không yêu cầu bảo mật đến mức cao thì người quản trị không nhất thiết phải cài đặt dịch vụ này.
Các đối tượng của AD bao gồm dữ liệu của máy in (printers), máy chủ (servers), các máy tính (computers), cơ sở dữ liệu (databases), các tài khoản người dùng, nhóm (groups), và các chính sách bảo mật (security policies).
Ngoài ra một khái niệm mới được sử dụng làcontainer(tạm dịch là tập đối tượng). Ví dụ Domain là một tập đối tượng chứa thông tin người dùng, thông tin các máy trên mạng và chứa các đối tượng khác.
Các thành phần của AD
Cấu trúc AD logic gồm các thành phần: domains (vùng), organization units (đơn vị tổ chức), trees (hệ vùng phân cấp ) và forests (tập hợp hệ vùng phân cấp) .
- Vùng (Domain): là đơn vị cốt lõi của AD logic.
Tất cả các đối tượng AD đều thuộc một vùng nhất định. Mỗi vùng có thể chứa đến hàng triệu đối tượng.
Vùng là đường biên an toàn cho mạng. Người quản trị vùng chỉ được quyền quản lý các đối tượng trong vùng đó mà thôi. Danh sách kiểm soát truy nhập (Access Control Lists -ACLs) được lập riêng cho mỗi vùng và không có tác dụng đối với các vùng khác. - Đơn vị tổ chức (Organization Unit):
OU là những tập đối tượng dùng để tổ chức các đối tượng trong một vùng thành những nhóm quản trị lôgic nhỏ hơn.
Một OU có thể chứa các đối tượng khác nhau như: các tài khoản người dùng, các nhóm, các máy tính, các máy in, các trình ứng dụng, các tệp sử dụng chung và các đơn vị tổ chức khác nằm trên cùng một vùng.
- Hệ vùng phân cấp (domain tree): Một hay nhiều vùng dùng chung không gian liên tục. - Tập hợp hệ vùng phân cấp (domain forest): Một hay nhiều hệ vùng phân cấp dùng chung không gian thư mục.
- Địa bàn (site): là tập hợp của một hay nhiều mạng con kết nối bằng đường truyền tốc độ cao.
- Điều khiển vùng (domain controllers): là máy tính chạy Windows2000 Server chứa bản sao dữ liệu vùng. Một vùng có thể có một hay nhiều điều khiển vùng. Mỗi sự thay đổi dữ liệu trên một điều khiển vùng sẽ được tự động cập nhật lên các điều khiển khác của vùng.
Tên vùng AD không được phép trùng lặp. Ví dụ không thể có hai vùng cisco.com, tuy nhiên có thể đặt tên vùng cha cisco.com với hai tên vùng con là software.cisco.com và marketing.cisco.com. Nếu vùng thuộc về mạng Internet thì tên gán cho vùng mới không được trùng với bất kỳ tên vùng nào hiện có trên Internet. Bạn phải đăng ký tên vùng cha trước khi sử dụng. Đăng ký tên vùng với InterNIC (tổ chức quản lý tên vùng của Internet, http://www.internic.net) hay địa điểm được chỉ định khác. Mỗi vùng đều có chính sách bảo mật riêng và mối quan hệ ủy quyền với vùng khác. Vùng cũng có thể trải rộng qua nhiều vị trí vật lý nghĩa là một vùng có thể có nhiều site, mỗi site như thế chứa nhiều mạng con. Nếu bạn dò tìm IP của địa chỉhttp://www.yahoo.combạn có thể thấy sẽ có nhiều IP, và mỗi IP này có thể đặt tại nhiều quốc qia khác nhau sẽ giúp bạn truy cập nhanh chóng vì cơ chế router sẽ cung cấp con đường đến máy chủ nào mà bạn có thể truy cập nhanh, gần nhất, vì vậy bạn luôn cảm giác mạng hoạt động hiệu quả.
Hệ thống chạy Windows 2000 Profesional và Server có thể tận dụng triệt để AD. Hệ thống Windows 2000 Profesional truy cập mạng với tư cách máy khách AD và dùng toàn bộ đặc tính của AD.
Cài đặt máy điều khiển vùng (Domain Controller)
Chuẩn bị
- Mỗi nhóm có một máy chủ đã cài đặt Windows 2000 Advanced Server + dịch vụ DNS. Dung lượng phân vùng ổ đĩa cứng nơi cài đặt Windows 2000 Server còn tối thiểu là 400MB tự do.
- Máy chủ được đăng nhập hệ thống bằng tài khoản Administrator.
Thực hiện
Bước 2:Khi Active Direcrory Installation Wizard xuất hiện chọn nút Next. Trong cửa sổ hình 78, chọn mụcDomain controller for a new domain.
(Hình 78)
Nhấn nút Next để đến cửa sổ mới. Nhập tên NetBIOS (dạng ngắn gọn được dùng với những hệ điều hành đã có trước đây như trong hình 80.
(Hình 80 )
Nhấn nút Next trong các cửa sổ tiếp theo, đến khi gặp cửa sổ hình 81. Bấm chọn mục Yes đồng ý sửa chữa lại dữ liệu DNS.
Nhấn nút Next để tiếp tục cài đặt cho đến khi xuất hiện màn hình thông báo hoàn thành việc cài đặt. Bấm nút Finish và khởi động lại hệ thống.