Active Directory là gì? Cấu trúc của Active Directory

Bizfly Cloud

1975

10-06-2024

Active Directory được đánh giá là một service mạnh mẽ của Microsoft. Vậy thực chất Active Directory là gì và cách cài đặt service này như thế nào? Bài viết dưới đây Bizfly Cloud chia sẻ sẽ giúp bạn hiểu rõ hơn.

Active Directory là gì?

Active Directory (AD) là một sản phẩm của Microsoft gồm một số dịch vụ chạy trên Windows Server nhằm mục đích quản lý quyền và truy cập vào các tài nguyên mạng.

Active Directory là gì?

Active Directory lưu trữ data dưới dạng object. Mỗi object sẽ là một thành phần đơn lẻ, như user, group, ứng dụng hoặc thiết bị (như máy in chẳng hạn).

Active Directory phân loại object theo tên và thuộc tính. Ví dụ; tên của một user có thể bao gồm 1 dải tên cùng với các thông tin liên quan đến user đó như password và secure shell (SSH) key.

Service chính trong Active Directory là Domain Service (AD DS), lưu trữ các thông tin thư mục và xử lý tương tác giữa user và domain. AD DS xác thực truy cập khi một user đăng nhập thiệt bị hoặc tìm cách kết nối với server thông qua 1 network. AD DS sẽ kiểm soát user nào được truy cập vào tài nguyên nào. Ví dụ, một quản trị viên thường sẽ có phân cấp truy cập data khác với 1 end user.

Các product khác của Microsoft, ví dụ như Exchange Server và SharePoint Server, dựa vào AD DS để cấp quyền truy cập tài nguyên. Server lưu trữ AD DS chính là domain controller.

Cấu trúc của Active Directory gồm mấy phần?

Cấu trúc Active Directory sẽ gồm có 3 phần cơ bản sau đây:

Active Directory Objects

Trong Active Directory, mọi thực thể được biểu diễn dưới dạng đối tượng (objects). Đối tượng là các thành phần cơ bản của hệ thống và có thể là người dùng, máy tính, nhóm, tổ chức, ổ đĩa, máy in, tài nguyên mạng…

Mỗi đối tượng có một loại cụ thể và thuộc về một object class trong schema của Active Directory. Mặt khác,  mỗi đối tượng cũng có các thuộc tính riêng, như tên, địa chỉ email, mật khẩu, quyền truy cập, vv. Các thuộc tính này xác định các đặc điểm và tính chất của đối tượng. Nó có thể là thuộc tính cơ bản (như tên, địa chỉ) hoặc thuộc tính tùy chỉnh được định nghĩa bởi người quản trị.

Active Directory Schema

Schema là một phần quan trọng của Active Directory và định nghĩa cấu trúc và các loại đối tượng mà hệ thống có thể lưu trữ. Nó bao gồm các định nghĩa cho mỗi loại đối tượng, bao gồm các thuộc tính mà mỗi đối tượng có thể chứa. Ví dụ, đối tượng người dùng có thể có thuộc tính như tên, ngày sinh, số điện thoại, v.v.

Schema cũng xác định các quy tắc và ràng buộc về cách các đối tượng có thể tương tác với nhau trong hệ thống Active Directory. Nó đảm bảo tính nhất quán và an toàn của dữ liệu trong thư mục.

Active Directory  Components

Components của Active Directory là các phần mềm và dịch vụ cơ bản mà cung cấp các chức năng cốt lõi của hệ thống. Domain Controllers là thành phần chính của Active Directory, chịu trách nhiệm về việc xác thực người dùng, quản lý quyền truy cập và sao lưu phục hồi dữ liệu.

DNS là một dịch vụ quan trọng để ánh xạ tên miền (domain names) thành địa chỉ IP và ngược lại. Lightweight Directory Access Protocol là một giao thức mạng để truy cập và quản lý thông tin trong thư mục.

Các components khác bao gồm các dịch vụ như Kerberos để xác thực và giao tiếp an toàn, và các công cụ quản lý như Active Directory Users and Computers để quản lý đối tượng và thuộc tính trong hệ thống.

Mỗi phần của cấu trúc này đóng vai trò quan trọng trong việc xây dựng và quản lý một hệ thống Active Directory hiệu quả. Đồng thời, sự tương tác giữa các phần này đảm bảo tính linh hoạt và mạnh mẽ của hệ thống.

Các dịch vụ trong Active Directory

Active Directory cung cấp một số dịch vụ khác nhau như sau:

- Domain service - lưu trữ dữ liệu tập trung và quản lý giao tiếp giữa user và domain; bao gồm xác thực đăng nhập và chức năng tìm kiếm

- Certificate Services - tạo, phân phối và quản lý các secure certificate

- Lightweight Directory Services - hỗ trợ các ứng dụng thư mục bằng giao thức mở (LDAP)

- Directory Federation Services - cung cấp đăng nhập một lần (SSO) để xác thực người dùng trong một phiên duy nhất trên nhiều ứng dụng web.

- Rights Management - bảo vệ các thông tin có bản quyền bằng cách ngăn chặn sử dụng và phân phối trái phép nội dung kỹ thuật số.

Các tính năng chính trong Active Directory Domain Service

Active Directory Domain Service sử dụng bố cục tầng cấp bao gồm các domain, tree và forest kết hợp với các thành phần mạng.

Domain là tập hợp của một nhóm đối tượng, có thể là người dùng hoặc thiết bị, chia sẻ cùng một cơ sở dữ liệu AD. Domain có một hệ thống cấu trúc tên miền gọi là DNS.

Tree là một hoặc nhiều nhóm domain hợp lại. Cấu trúc cây sử dụng một vùng tên liền kề để thu thập một tập hợp các domain trong một hệ thống phân cấp logic. Tree có thể được xem là một mối quan hệ tin cậy khi một kết nối an toàn, hoặc đảm bảo, được chia sẻ giữa hai domain. Nhiều domain có thể cùng được trust khi một domain có thể trust domain thứ 2 và domain thứ hai có thể trust domain thứ ba. Do tính chất phân cấp của kiểu setup này, domain thứ nhất hoàn toàn có thể trust domain thứ ba mà không cần độ trust phải thực sự rõ ràng.

Forest là là một nhóm gồm nhiều tree. Một forest thường bao gồm các danh mục chia sẻ, lược đồ thư mục, thông tin ứng dụng và cấu hình miền. Lược đồ xác định thuộc tính và lớp của đối tượng trong một forest. Ngoài ra, các global catalog servers (máy chủ danh mục chung) sẽ cung cấp danh sách tất cả các đối tượng trong một forest.

Organizational Units (OUs) sẽ sắp xếp người dùng, nhóm người dùng và thiết bị. Mỗi domain có thể có OU riêng của mình. Tuy nhiên, OU không thể có các vùng tên riêng biệt, bởi mỗi user hay mỗi object trong 1 domain phải là duy nhất. Ví dụ: không thể tạo một tài khoản user với cùng một username.

Active Directory và Workgroup

Workgroup là một chương trình Microsoft khác kết nối các máy tính Windows với nhau qua mạng ngang hàng (peer-to-peer). Workgroup cho phép các máy này chia sẻ tệp, truy cập internet, máy in và các tài nguyên khác qua mạng. Mạng ngang hàng loại bỏ nhu cầu xác thực máy chủ.

Các bước để cài đặt Active Directory

Để cài đặt Active Directory trên một máy chủ Windows Server, bạn thực hiện theo các bước sau đây:

Cài đặt Windows Server

Đầu tiên, người dùng cần một bản sao của Windows Server. Bạn có thể sử dụng bản dùng thử hoặc mua một bản cấp phép.

Chuẩn bị máy chủ

Cài đặt Windows Server trên máy chủ của bạn.

Cài đặt và cấu hình các phần mềm bổ sung cần thiết trước khi cài đặt Active Directory, chẳng hạn như .NET Framework.

Cài đặt cấu hình IP tĩnh

• Mở Server Manager (Bấm vào biểu tượng Windows và chọn "Server Manager").
• Trong Server Manager, chọn "Add Roles and Features" để bắt đầu việc cài đặt -> Next.
• Tại Select server roles -> Active Directory Domain Services và DNS Server.
• Chọn máy chủ mà bạn muốn cài đặt Active Directory.
• Bấm "Next" để tiếp tục qua các bước cài đặt còn lại và sau đó chọn "Install".
• Việc cài đặt hoàn thành, bạn có thể tiến hành cấu hình IP tĩnh đối với máy chủ. Hãy truy cập vào gian diện quản lý mạng của máy chỉ, cấu hình những thông số IP như default gateway, subnet mask, địa chỉ IP và máy chủ DNS ưu tiên.

Tạo Domain Controller

Bước tiếp theo, người dùng cần tạo Domain Controller. Vào mục Deployment Configuration sẽ có 3 lựa chọn xuất hiện là xây Domain mới, thêm 1 ADC vào Domain hiện có, xây 1 Domain Controller đầu tiên cho forest. Chọn cái thứ 3 với tên mới là framgia.com.

Thực hiện khôi phục Active Directory ở chế độ khôi phục. Với mục Domain Controller Options -> nhập mật khẩu vào phần Type the Directory Services Restore Mode password -> nhập lại mật khẩu phần nữa ở phía dưới

• Kiểm tra các thiết lập và nhấn Next -> Additional Option -> chọn NetBIOS Domain.
• Lúc này phần tên giữ nguyên, trong mục Paths -> đường dẫn lưu trữ tại AD, SYSVOL và logs.

Thực hiện cài đặt

Chọn next -> Prerequisites Check. Kiểm tra các yêu cầu và nhấn "Install" để bắt đầu quá trình cài đặt.

Hoàn tất và kiểm tra

Sau khi cài đặt hoàn tất, máy chủ của bạn sẽ khởi động lại và sẵn sàng sử dụng Active Directory.

Đăng nhập với quyền quản trị Active Directory để kiểm tra và quản lý người dùng, nhóm và các tài nguyên khác.

 Active Directory có các dịch vụ gì?

Active Directory thường cung cấp các dịch vụ sau đây:

Dịch vụ miền: Đây là thành phần chính của Active Directory, cung cấp các chức năng quản lý tài nguyên mạng như người dùng, máy tính, nhóm và các đối tượng khác trong môi trường mạng.

• Lightweight Directory Access Protocol (LDAP): LDAP là giao thức được sử dụng để truy cập và quản lý dữ liệu trong thư mục Active Directory.
• Dịch vụ chứng chỉ: Active Directory cung cấp khả năng triển khai và quản lý chứng chỉ số trong mạng, giúp bảo mật thông tin và xác thực người dùng.
• Dịch vụ liên minh: Cung cấp tính năng cho phép sự tương tác an toàn giữa các tổ chức khác nhau thông qua việc chia sẻ thông tin xác thực và ủy quyền.
• Dịch vụ quản lý quyền: Cho phép quản lý và bảo vệ dữ liệu bằng cách áp dụng các quyền truy cập và chính sách bảo mật.
• Dịch vụ liên minh thư mục: Cho phép kết nối và đồng bộ hóa dữ liệu giữa các Active Directory và các hệ thống khác nhau.
• Domain Name System (DNS): Active Directory sử dụng DNS để xác định vị trí của các tài nguyên trong mạng, như máy chủ và các dịch vụ khác.
• Những dịch vụ này cung cấp một cơ sở hạ tầng mạnh mẽ cho việc quản lý và bảo mật hệ thống thông tin trong một môi trường doanh nghiệp.

Tổng kết:

AD DS là một thành phần trong Windows Server (bao gồm Windows Server 10) và được thiết kế để quản lý các hệ thống máy khách. Mặc dù các hệ thống chạy phiên bản Windows thông thường không có các tính năng quản trị của AD DS, nhưng các phiên bản này vẫn hỗ trợ Active Directory.

Theo BizFly Cloud tổng hợp