1. Active Directory là gì?
Active Directory (AD) là dịch vụ thư mục độc quyền của Microsoft. Nó chạy trên Windows Server và cho phép quản trị viên quản lý quyền và truy cập tài nguyên mạng.
Active Directory lưu trữ dữ liệu dưới dạng các đối tượng. Đối tượng là một phần tử đơn lẻ,chẳng hạn như người dùng,nhóm,ứng dụng hoặc các thiết bị như máy in. Các đối tượng thường được định nghĩa là tài nguyên chẳng hạn như máy in,máy tính hoặc nguyên tắc bảo mật như người dùng hoặc nhóm người dùng.
Nó phân loại các đối tượng thư mục theo tên và thuộc tính. Ví dụ tên của người dùng có thể bao gồm chuỗi tên,cùng với thông tin được liên kết với người dùng chẳng hạn như mật khẩu và khóa Secure Shell.
Dịch vụ chính trong Active Directory là Domain Services(AD DS),dịch vụ lưu trữ thông tin thư mục và xử lý tương tác của người dùng với miền. AD DS xác minh quyền truy cập khi người dùng đăng nhập vào thiết bị hoặc cố gắng kết nối với máy chủ qua mạng. AD DS kiểm soát người dùng nào có quyền truy cập vào từng tài nguyên,cũng như các chính sách nhóm.
2. Dịch vụ Active Directory
Ngoài dịch vụ chính là AD DS thì một số dịch vụ khác bao gồm :Dịch vụ chính là Dịch vụ miền (Domain Service - DS),ngoài ra nó cũng bao gồm Dịch vụ thư mục nhẹ (Lightweight Directory Services – AD LDS),Dịch vụ chứng chỉ (Certificate Services – AD CS), Dịch vụ liên kết (Federation Services – AD FS) và Dịch vụ quản lý quyền (Right Management Service – AD RMS). Mỗi dịch vụ này đều mở rộng khả năng quản lý thư mục của sản phẩm
- AD LDS : có sơ sở mã giống như AD DS,chia sẻ các chức năng tương tự,chẳng hạn như API.Tuy nhiên,AD LDS có thể chạy trong nhiều trường hợp trên một máy chủ và giữ dữ liệu thư mục trong kho dữ liệu bằng Lightweight Directory Services(LADP) – Giao thức truy cập thư mục nhẹ.
- LADP là một giao thức ứng dụng được sử dụng để truy cập và duy trì các dịch vụ thư mục qua mạng. LADP lưu trữ các đối tượng,chẳng hạn như tên người dùng và mật khẩu,trong cách dịch vụ thư mục,chẳng hạn như Active Directory và chia sẻ dữ liệu đối tượng đó trên mạng.
- Certificate Service (CS): Tạo,quản lý và chia sẻ chứng chỉ. Chứng chỉ sử dụng mã hóa để cho phép người dùng trao đổi thông tin qua Internet một cách an toàn bằng khóa công khai.
- Active Directory Federation Service (AD FS) : xác thực quyền truy cập của người dùng vào nhiều ứng dụng – ngay cả trên các mạng khác nhau – bằng đăng nhập 1 lần (SSO). Như tên cho biết,SSO chỉ yêu cầu người dùng đăng nhập một lần,thay vì sử dụng nhiều khóa xác thực chuyên dụng cho mỗi dịch vụ.
- Rights Management Services (AD RMS) :kiểm soát quyền và quản lý thông tin. AD RMS mã hóa nội dung,chẳng hạn như email hoặc tài liệu Microsoft Word,trên máy chủ để giới hạn quyền truy cập.
3. Các tính năng chính Active Directory Domain Service – AD DS
Dịch vụ miền Active Directory (AD DS) sử dụng bố cục phân cấp bao gồm miền,cây và rừng để điều phối các phần tử được nối mạng.
- Một Domain (miền) là một nhóm đối tượng,chẳng hạn như người dùng hoặc các thiết bị,chia sẻ cơ sở dữ liệu AD. Các miền có cấu trúc Domain Name System (DNS).
- Một Tree (cây) là một hoặc nhiều lĩnh vực nhóm lại với nhau. Cấu trúc cây sử dụng một không gian tên liền kề để tập hợp các miền trong một hệ thống phân cấp hợp lý. Tree có thể được xem như mối quan hệ tin cậy trong đó kết nối an toàn hoặc tin cậy được chia sẻ giữa 2 domain. Có thể tin cậy nhiều domain trong đó một domain có thể tin cậy domain thứ 2 và domain thứ 2 có thể tin cậy domain thứ 3. Do tính chất phân cấp của thiết lập này, domain đầu tiên có thể hoàn toàn tin cậy domain thứ 3 mà không cần tính rõ ràng.
- Organizational Units (Đơn vị tổ chức - OUs) : tổ chức người dùng,nhóm và thiết bị. Mỗi domain có thể chứa đơn vị tổ chức riêng của mình. Tuy nhiên,các đơn vị tổ chức không thể có không gian tên riêng biệt,vì mỗi người dùng hoặc đối tượng trong miền phải là duy nhất. Ví dụ: Không thể tạo tài khoản người dùng có cùng tên người dùng.
- Containers : tương tự như OU,nhưng Đối tượng Chính sách Nhóm ( Group Policy Objects - GPO) không thể được áp dụng hoặc liên kết với các đối tượng vùng chứa.
4. Trusting Terminology – Thuật ngữ tin cậy
Active Directory dựa vào sự tin cậy để kiểm duyệt quyền truy cập tài nguyên giữa các miền. Có một số kiểu loại tin cậy khác nhau như:
- One-way Trust – Tin cậy 1 chiều : là khi domain đầu tiên cho phép người dùng có đặc quyền truy cập trên domain thứ 2. Tuy nhiên,domain thứ 2 không cho phép người dùng truy cập vào domain đầu tiên.
- Two-way Trust – Tin cậy 2 chiều : là khi có 2 domain và mỗi domain cho phép người dùng của domain kia truy cập.
- Trusted Domain – Domain Tin cậy : Một domain duy nhất cho phép người dùng truy cập đến domain khác,được gọi là Trusted Domain.
- Transitive Trust – Tin cậy bắc cầu : có thể mở rộng ra ngoài 2 domain và cho phép truy cập vào các domain đáng tin cậy khác trong một khu rừng (forest).
- Intransitive Trust - Tin cậy nội bộ : là sự tin cậy một chiều(one-way trust) được giới hạn cho 2 domain
- Explicit Trust – Tin cậy rõ ràng : là sự tin cậy một chiều(one-way trust),không trực tiếp được tạo bởi quản trj viên mạng.
- Cross-link Trust – Tin cậy chéo : là một loạt tin cậy rõ ràng. Sự tin cậy liên kết chéo diễn ra giữa các domain trong cùng 1 tree,không có mối quan hệ con-mẹ giữa 2 domain hoặc 2 tree khác nhau.
- Forest Trust – Tin cậy rừng: áp dụng đối với domain trong toàn bộ forest và có thể là một chiều(one-way trust) hoặc 2 chiều(two-way trust) hoặc bắc cầu(transitive trust).
- Shortcut – Đi tắt: Nối 2 domain thuộc các tree riêng biệt. Các shortcut có thể là một chiều(one-way trust) hoặc 2 chiều(two-way trust) hoặc bắc cầu(transitive trust).
- External Trust – Tin cậy bên ngoài : là sự tin cậy liên kết các domain giữa các forest riêng biệt hoặc các domain không phải là AD. External Trust có thể không trực tiếp,một chiều (one-way trust) hoặc 2 chiều (two-way trust).
- Private Access Management (PAM) Trust – Quản lý truy cập tin tưởng : là một loại một chiều tin tưởng (one-way trust). Nó được tạo ra bởi Microsoft Identify Manager,nằm giữa forest production (rừng sản xuất) và forest bastion (forest pháo đài).
Cộng Đồng