Active Directory là gì?

12/09/2020 - 12:00 AM 6.854 lượt xem

Cỡ chữ

Active Directory là gì?

Nội dung bài viết:

1. Active Directory là gì?
2. Các dịch vụ Active Directory khác
3. Cấu trúc Active Directory
4. Domain Controllers
5. Hệ thống tên miền DNS (Domain Name System)
6. Replication

1. Active Directory là gì?

Active Directory (AD) là một dịch vụ thư mục được sử dụng trong môi trường Windows Server. Nó là một cấu trúc cơ sở dữ liệu phân tán, phân cấp chia sẻ thông tin cơ sở hạ tầng để định vị (Locating), bảo mật (Securing), quản lý (Managing) và tổ chức (Organizing) tài nguyên máy tính và mạng bao gồm tệp (Files), người dùng (Users), nhóm (Groups), thiết bị ngoại vi (Peripherals) và thiết bị mạng (Network devices).

Active Directory là dịch vụ thư mục riêng của Microsoft để sử dụng trong các mạng Windows Domain Networks. Nó cung cấp các chức năng xác thực (Authentication) và ủy quyền (Authorization), cũng như cung cấp một khuôn khổ cho các dịch vụ khác như vậy. Bản thân thư mục này là một cơ sở dữ liệu LDAP chứa các đối tượng được nối mạng. Active Directory sử dụng gắn liền với hệ điều hành Windows Server.

Khi mọi người nói về Active Directory, họ thường ám chỉ đến là dịch vụ miền “Active Directory Domain Services”, cung cấp các dịch vụ xác thực và ủy quyền toàn diện.

Trước Windows 2000, mô hình xác thực và ủy quyền của Microsoft yêu cầu chia nhỏ mạng thành các “miền” (tiếng Anh gọi là “Domain”), sau đó liên kết các miền đó với một hệ thống tin cậy một và hai chiều phức tạp và đôi khi không thể đoán trước được. Active Directory đã được giới thiệu trong Windows 2000 như một cách để cung cấp các dịch vụ thư mục cho các môi trường phức tạp hơn.

2. Các dịch vụ Active Directory khác

Theo thời gian, Microsoft đã thêm các dịch vụ bổ sung dưới dạng Active Directory.

Active Directory lightweight directory services
- Phiên bản nhẹ này của Dịch vụ miền “Domain Services” loại bỏ một số chức năng phức tạp và nâng cao để chỉ cung cấp chức năng dịch vụ thư mục cơ bản mà không cần sử dụng bộ điều khiển miền “Domain controllers”, rừng “Forests” hoặc miền “Domains”. Thường được sử dụng trong các môi trường mạng văn phòng nhỏ, đơn lẻ.

Active Directory certificate services
- Dịch vụ Chứng chỉ “Certificate Services” cung cấp dịch vụ chứng thực kỹ thuật số và hỗ trợ cơ sở hạ tầng khóa công khai PKI “PKI - Public Key Infrastructure”. Dịch vụ này có thể lưu trữ (Storage), xác thực (Validate), tạo (Create) và thu hồi (Revoke) thông tin đăng nhập khóa công khai được sử dụng để mã hóa thay vì tạo khóa bên ngoài hoặc cục bộ.

Active Directory federation services
- Dịch vụ liên kết “Federation Services” cung cấp dịch vụ ủy quyền và xác thực đăng nhập một lần dựa trên web chủ yếu để sử dụng trong các tổ chức. Do đó, nhà thầu có thể đăng nhập vào mạng của chính mình và cũng được phép truy cập vào mạng của khách hàng.

Active Directory rights management services
- Đây là một dịch vụ quản lý quyền “Rights Management Services” phá vỡ sự ủy quyền dựa trên mô hình quyền truy cập được cấp “Access Granted Model” hoặc mô hình truy cập bị từ chối “Access Denied Model” và giới hạn những gì người dùng có thể làm với các tệp hoặc tài liệu cụ thể. Các quyền (Rights) và hạn chế (Restrictions) được đính kèm với tài liệu hơn là người dùng. Các quyền này thường được sử dụng để ngăn việc in, sao chép hoặc chụp ảnh màn hình của tài liệu.

3. Cấu trúc Active Directory

Một tính năng chính của cấu trúc Active Directory là phân quyền ủy quyền (Delegated Authorization) và sao chép hiệu quả (Efficient Replication). Mỗi phần của cơ cấu tổ chức AD giới hạn việc ủy quyền hoặc sao chép trong tiểu phần cụ thể đó.

Rừng (Forest)
- Rừng “Forest” là cấp cao nhất của hệ thống phân cấp tổ chức “Organization Hierarchy”. Rừng là ranh giới an ninh trong một tổ chức. Một khu rừng cho phép phân quyền được ủy quyền trong một môi trường duy nhất. Điều này cung cấp cho quản trị viên các quyền “Permissions” và quyền truy cập “Access Rights” đầy đủ, nhưng chỉ đối với một tập hợp con tài nguyên cụ thể. Có thể chỉ sử dụng một khu rừng duy nhất trên mạng. Thông tin về rừng được lưu trữ trên tất cả các bộ điều khiển miền “Domain Controllers”, trong tất cả các miền “Domain”, trong rừng “Forest”.

Cây (Tree)
- Cây “Tree” là một nhóm các miền “Domain”. Các miền trong một cây chia sẻ cùng một không gian tên gốc “Root Name Space”. Trong khi một cây chia sẻ không gian tên “Name Space”, các cây không bị giới hạn về bảo mật hoặc sao chép.

Miền (Domain)
- Mỗi khu rừng “Forest” chứa một miền gốc “Root Domain”. Các miền bổ sung có thể được sử dụng để tạo các phân vùng khác trong một khu rừng. Mục đích của miền là chia nhỏ thư mục thành các phần nhỏ hơn để kiểm soát việc sao chép. Miền “Domain” chỉ giới hạn sao chép Active Directory cho các bộ điều khiển miền “Domain Controller” khác trong cùng một miền. Ví dụ: một văn phòng ở Oakland sẽ không cần sao chép dữ liệu AD từ văn phòng ở Pittsburg. Điều này giúp tiết kiệm băng thông và hạn chế thiệt hại do vi phạm bảo mật.
- Mỗi bộ điều khiển miền “Domain Controller” trong một miền có một bản sao giống hệt cơ sở dữ liệu Active Directory của miền đó. Điều này được cập nhật thông qua sao chép liên tục.
- Mặc dù các miền đã được sử dụng trong mô hình dựa trên Windows-NT trước đó và vẫn cung cấp một rào cản bảo mật, nhưng khuyến nghị không chỉ sử dụng các miền để kiểm soát việc sao chép mà thay vào đó hãy sử dụng các đơn vị tổ chức (OU) để nhóm và giới hạn các quyền bảo mật.

Các đơn vị tổ chức (Organizational units (OUs))
- Một đơn vị tổ chức “Organizational Units” cung cấp quyền phân nhóm đối với một tập hợp con tài nguyên từ một miền “Domain”. Một OU cung cấp một ranh giới bảo mật về các đặc quyền (Privileges) và ủy quyền (Authorization) nâng cao, nhưng không giới hạn việc sao chép các đối tượng AD.
- OU được sử dụng để ủy quyền kiểm soát trong các nhóm chức năng. Các đơn vị tổ chức (OU) nên được sử dụng để triển khai và giới hạn bảo mật và vai trò giữa các nhóm “Groups”, trong khi các miền “Domains” nên được sử dụng để kiểm soát việc sao chép Active Directory.

4. Domain Controllers

Bộ điều khiển miền “Domain controllers” là máy chủ Windows Servers, chứa cơ sở dữ liệu Active Directory và thực hiện các chức năng liên quan đến Active Directory, bao gồm xác thực “Authentication” và ủy quyền “Authorization”. Bộ điều khiển miền là bất kỳ máy chủ Windows Server nào được cài đặt với vai trò Bộ điều khiển miền.

Mỗi bộ điều khiển miền lưu trữ một bản sao của cơ sở dữ liệu Active Directory chứa thông tin về tất cả các đối tượng trong cùng một miền. Ngoài ra, mỗi bộ điều khiển miền lưu trữ lược đồ “Schema” cho toàn bộ khu rừng “Forest”, cũng như tất cả thông tin về khu rừng. Bộ điều khiển miền sẽ không lưu trữ bản sao của bất kỳ lược đồ “Schema” hoặc thông tin rừng nào từ một khu rừng khác ngay cả khi chúng ở trên cùng một mạng.

Vai trò bộ điều khiển miền chuyên biệt “Specialized Domain Controller”
- Vai trò bộ điều khiển miền chuyên biệt được sử dụng để thực hiện các chức năng cụ thể không có sẵn trên bộ điều khiển miền tiêu chuẩn “Standard Domain Controllers”. Các vai trò chính “Master roles” này được gán cho bộ điều khiển miền đầu tiên được tạo trong mỗi khu rừng hoặc miền. Tuy nhiên, quản trị viên có thể chỉ định lại các vai trò theo cách thủ công.

Lược đồ tổng thể “Schema master”
- Mỗi rừng chỉ tồn tại một lược đồ tổng thể “Schema Master”. Nó chứa bản sao chính của lược đồ “Schema” được sử dụng bởi tất cả các bộ điều khiển miền khác. Có một bản sao chính “Master Copy” đảm bảo rằng tất cả các đối tượng được định nghĩa theo cùng một cách.

Tên miền chính “Domain Name Master”
- Chỉ có một tên miền chính “Domain Name Master” tồn tại trên mỗi khu rừng “Forest”. Tên miền chính đảm bảo rằng tất cả các tên đối tượng là duy nhất và khi cần thiết, các đối tượng tham chiếu chéo “Cross-references Objects” được lưu trữ trong các thư mục khác.

Cơ sở hạ tầng chính “Infrastructure Master”
- Có một cơ sở hạ tầng chính “Infrastructure master” cho mỗi miền “Domain”. Cơ sở hạ tầng chính giữ danh sách các đối tượng đã xóa và theo dõi các tham chiếu cho các đối tượng trên các miền khác.

Mã định danh tương đối chính “Relative identifier master”
- Có một mã định danh tương đối chính “Relative identifier master” cho mỗi miền “Domain”. Nó theo dõi việc chỉ định và tạo Số nhận dạng bảo mật SIDs (SID - Security Identifiers) duy nhất trên toàn miền.

Trình mô phỏng bộ điều khiển miền chính “Primary Domain Controller Emulator”
- Chỉ có một Trình mô phỏng Bộ điều khiển Miền Chính (PDC) trên mỗi miền. Nó tồn tại để cung cấp khả năng tương thích ngược từ các hệ thống miền dựa trên Windows NT cũ hơn. Nó đáp ứng các yêu cầu được gửi đến PDC như một PDC cũ sẽ có.

Kho dữ liệu “Data store”
- Lưu trữ và truy xuất dữ liệu trên bất kỳ bộ điều khiển miền nào được xử lý bởi bộ lưu trữ dữ liệu. Kho dữ liệu bao gồm ba lớp. Lớp dưới cùng là chính cơ sở dữ liệu. Lớp giữa là các thành phần dịch vụ, Tác nhân Hệ thống Thư mục (DSA), lớp cơ sở dữ liệu và Công cụ Lưu trữ Mở rộng (ESE). Lớp trên cùng là các dịch vụ lưu trữ thư mục, LDAP (Giao thức truy cập thư mục nhẹ), giao diện sao chép, API nhắn tin (MAPI) và Trình quản lý tài khoản bảo mật (SAM).

5. Hệ thống tên miền DNS (Domain Name System)

Active Directory chứa thông tin vị trí trên các đối tượng được lưu trữ trong cơ sở dữ liệu, tuy nhiên Active Directory sử dụng Hệ thống tên miền DNS “Domain Name System” để định vị bộ điều khiển miền “Domain Controller”.

Trong Active Directory, mọi miền “Domain” đều có tên miền DNS “Domain Name” và mọi máy tính được tham gia đều có tên DNS trong cùng miền đó.

Các đối tượng “Objects”
- Mọi thứ trong Active Directory được lưu trữ dưới dạng một đối tượng “Object”. Lớp “Class” cũng có thể được định nghĩa là kiểu “type” của một đối tượng trong lược đồ “Schema”. Các thuộc tính “Atributes” là các thành phần của đối tượng - các thuộc tính của một đối tượng được định nghĩa bởi lớp của nó.
- Các đối tượng phải được xác định trong lược đồ trước khi dữ liệu có thể được lưu trữ trong thư mục. Sau khi được xác định, dữ liệu được lưu trữ trong Active Directory dưới dạng các đối tượng riêng lẻ. Mọi đối tượng phải là duy nhất và đại diện cho một thứ duy nhất, chẳng hạn như người dùng “User”, máy tính “Computer” hoặc một nhóm “Group” duy nhất (ví dụ: nhóm người dùng).
- Hai loại đối tượng chính là tài nguyen “Resources” và nguyên tắc bảo mật “Security Principles”. Các nguyên tắc bảo mật được chỉ định Số nhận dạng bảo mật (SID), nhưng tài nguyên thì không.

6. Replication

Active Directory sử dụng nhiều bộ điều khiển miền vì nhiều lý do bao gồm cân bằng tải “Load Balancing” và khả năng chịu lỗi “Fault Tolorance”. Để điều này hoạt động, mỗi bộ điều khiển miền phải có một bản sao hoàn chỉnh của cơ sở dữ liệu Active Directory riêng của miền. Đảm bảo rằng mỗi bộ điều khiển có một bản sao hiện tại của cơ sở dữ liệu xảy ra thông qua hoạt động sao chép nhân bản “Replication”.

Việc sao chép nhân bản “Replication” bị giới hạn bởi miền “Domain”. Bộ điều khiển miền “Domain Controller” trên các miền khác nhau không sao chép giữa nhau, ngay cả trong cùng một khu rừng “Forest”. Mọi bộ điều khiển miền đều bình đẳng. Mặc dù các phiên bản trước của Windows có bộ điều khiển miền chính và phụ, nhưng không có điều đó trong Active Directory. Đôi khi có một số nhầm lẫn do việc tiếp tục tên 'domain controller' từ hệ thống dựa trên sự tin cậy cũ thành Active Directory.

Việc sao chép nhân bản “Replication” hoạt động trên một hệ thống kéo “pull system”, có nghĩa là bộ điều khiển miền yêu cầu “Request” hoặc kéo “Pull” thông tin từ bộ điều khiển miền khác chứ không phải mỗi bộ điều khiển miền gửi “Send” hoặc đẩy “push” dữ liệu cho bộ điều khiển miền khác. Theo mặc định, bộ điều khiển miền yêu cầu dữ liệu sao chép sau mỗi 15 giây. Một số sự kiện bảo mật cao sẽ kích hoạt sự kiện sao chép ngay lập tức, chẳng hạn như khóa tài khoản “Account Lockout”.

Chỉ những thay đổi mới được sao chép. Để đảm bảo tính trung thực trên một hệ thống đa tổng thể, mỗi bộ điều khiển miền theo dõi các thay đổi và chỉ yêu cầu các bản cập nhật kể từ lần sao chép cuối cùng. Các thay đổi được sao chép trên toàn miền bằng cách sử dụng cơ chế lưu trữ và chuyển tiếp sao cho mọi thay đổi được sao chép khi được yêu cầu, ngay cả khi thay đổi không bắt nguồn từ bộ điều khiển miền trả lời yêu cầu sao chép.

Điều này vừa ngăn chặn lưu lượng vượt quá và có thể được cấu hình để đảm bảo rằng mỗi bộ điều khiển miền yêu cầu dữ liệu sao chép của nó từ máy chủ mong muốn nhất. Ví dụ: một vị trí từ xa có một kết nối nhanh và một kết nối chậm đến các trang khác bằng bộ điều khiển miền có thể đặt “chi phí” cho mỗi kết nối. Khi làm như vậy, yêu cầu sao chép sẽ được thực hiện trên kết nối nhanh hơn.

Nguồn: https://www.paessler.com/it-explained/active-directory
Dịch: N.V.Hùng

Gửi email

Linux® container là một tập hợp gồm 1 hoặc nhiều tiến trình được tách biệt khỏi phần còn lại của hệ thống. Tất cả các tệp cần thiết để chạy chúng đều được cung cấp từ một ảnh image riêng biệt, nghĩa là các Linux containers có tính di động và nhất quán khi chúng chuyển từ giai đoạn phát triển, thử nghiệm và cuối cùng là sản xuất. Điều này làm cho chúng được sử dụng nhanh hơn nhiều so với các quy trình phát triển dựa vào việc sao chép các môi trường thử nghiệm truyền thống. Do tính phổ biến và dễ sử dụng của chúng, các container cũng là một phần quan trọng trong bảo mật CNTT.

Container orchestration là gì?

08/01/2024 178 lượt xem

Điều phối vùng chứa “Container orchestration” tự động hóa việc triển khai, quản lý, mở rộng quy mô và kết nối mạng các vùng chứa “Containers”. Các doanh nghiệp cần triển khai và quản lý hàng trăm hoặc hàng nghìn Linux® container và máy chủ hosts có thể hưởng lợi từ việc điều phối vùng chứa.

Containers vs VMs

08/01/2024 169 lượt xem

Containers và Máy ảo “Virtual machines (VMs)” là 2 phương pháp tiếp cận Môi trường điện toán đóng gói “Packaging Computing Environments” kết hợp nhiều thành phần CNTT “IT Components” khác nhau và tách biệt chúng khỏi phần còn lại của hệ thống. Sự khác biệt chính giữa cả hai là những thành phần nào được tách biệt, do đó ảnh hưởng đến quy mô và tính di động của từng phương pháp.

Máy ảo (VM) là gì?

08/01/2024 174 lượt xem

Máy ảo (tiếng Anh là Virtual Machine, viết tắt là VM) là một môi trường ảo hoạt động như một hệ thống máy tính ảo với CPU, bộ nhớ, giao diện mạng và bộ lưu trữ riêng, được tạo trên hệ thống phần cứng vật lý (nằm ngoài hoặc tại chỗ). Phần mềm được gọi là bộ ảo hóa hay Trình ảo hóa “Hypervisor” sẽ tách các tài nguyên của máy khỏi phần cứng và cung cấp chúng một cách thích hợp để VM có thể sử dụng chúng.

KVM là gì?

08/01/2024 170 lượt xem

Kernel-based Virtual Machine (KVM) (tiếng Việt: Máy ảo dựa trên nhân hệ điều hành) là một công nghệ ảo hóa nguồn mở được tích hợp trong Linux®. Cụ thể, KVM cho phép bạn biến Linux thành một trình ảo hóa “Hypervisor” cho phép máy chủ chạy nhiều môi trường ảo biệt lập được gọi là máy khách “guests” hoặc máy ảo (VM - Virtual machines).

Điện toán đám mây là gì?

09/02/2023 242 lượt xem

Điện toán đám mây cho phép khách hàng sử dụng cơ sở hạ tầng và ứng dụng qua internet mà không cần cài đặt và bảo trì chúng tại chỗ

Hybrid Cloud là gì?

09/02/2023 246 lượt xem

Hybrid cloud (tạm dịch sang tiếng Việt là Đám mây lai) kết hợp và thống nhất Public Cloud (đám mây công cộng), Private Cloud (đám mây riêng) và On-premises infrastructure (cơ sở hạ tầng tại chỗ) để tạo ra một cơ sở hạ tầng CNTT duy nhất, linh hoạt, tối ưu về chi phí.