Professional Documents
Culture Documents
Tổng quan :
1. Active diertory là gì ?
- Active Directory (AD) là một dịch vụ thư mục được sử dụng trong môi trường Windows
Server. Nó là một cấu trúc cơ sở dữ liệu phân tán, phân cấp chia sẻ thông tin cơ sở hạ
tầng để định vị (Locating), bảo mật (Securing), quản lý (Managing) và tổ chức
(Organizing) tài nguyên máy tính và mạng bao gồm tệp (Files), người dùng (Users),
nhóm (Groups), thiết bị ngoại vi (Peripherals) và thiết bị mạng (Network devices).
2. Cấu trúc :
- Một tính năng chính của cấu trúc Active Directory là phân quyền ủy quyền (Delegated
Authorization) và sao chép hiệu quả (Efficient Replication). Mỗi phần của cơ cấu tổ chức AD
giới hạn việc ủy quyền hoặc sao chép trong tiểu phần cụ thể đó.
-
- Rừng (Forest)
- Rừng “Forest” là cấp cao nhất của hệ thống phân cấp tổ chức “Organization Hierarchy”.
Rừng là ranh giới an ninh trong một tổ chức. Một khu rừng cho phép phân quyền được ủy
quyền trong một môi trường duy nhất. Điều này cung cấp cho quản trị viên các quyền
“Permissions” và quyền truy cập “Access Rights” đầy đủ, nhưng chỉ đối với một tập hợp con
tài nguyên cụ thể. Có thể chỉ sử dụng một khu rừng duy nhất trên mạng. Thông tin về rừng
được lưu trữ trên tất cả các bộ điều khiển miền “Domain Controllers”, trong tất cả các miền
“Domain”, trong rừng “Forest”.
- Cây (Tree)
- Cây “Tree” là một nhóm các miền “Domain”. Các miền trong một cây chia sẻ cùng một
không gian tên gốc “Root Name Space”. Trong khi một cây chia sẻ không gian tên “Name
Space”, các cây không bị giới hạn về bảo mật hoặc sao chép.
-
- Miền (Domain)
- Mỗi khu rừng “Forest” chứa một miền gốc “Root Domain”. Các miền bổ sung có thể được sử
dụng để tạo các phân vùng khác trong một khu rừng. Mục đích của miền là chia nhỏ thư
mục thành các phần nhỏ hơn để kiểm soát việc sao chép. Miền “Domain” chỉ giới hạn sao
chép Active Directory cho các bộ điều khiển miền “Domain Controller” khác trong cùng một
miền. Ví dụ: một văn phòng ở Oakland sẽ không cần sao chép dữ liệu AD từ văn phòng ở
Pittsburg. Điều này giúp tiết kiệm băng thông và hạn chế thiệt hại do vi phạm bảo mật.
- Mỗi bộ điều khiển miền “Domain Controller” trong một miền có một bản sao giống hệt cơ sở
dữ liệu Active Directory của miền đó. Điều này được cập nhật thông qua sao chép liên tục.
- Mặc dù các miền đã được sử dụng trong mô hình dựa trên Windows-NT trước đó và vẫn
cung cấp một rào cản bảo mật, nhưng khuyến nghị không chỉ sử dụng các miền để kiểm
soát việc sao chép mà thay vào đó hãy sử dụng các đơn vị tổ chức (OU) để nhóm và giới
hạn các quyền bảo mật.