Tài liệu Windows2000

Bài 8: ACTIVE DIRECTORY
1. Tổng quan về Active Directory
1.1 Mục đích của Directory Service
Directory (nghĩa trong thuật ngữ Active Directory) là nơi lưu thông tin về các đối
tượng có liên quan với nhau theo một cách nào đó. Ví dụ: sổ điện thoại cũng là một
Directory dùng lưu tên, địa chỉ, nghề nghiệp, số điện thoại của nhiều người.
Trong hệ thống phân tán, mạng diện rộng, đặc biệt là Internet, có vơ số các đối tượng
tồn tại trên đó. Người sử dụng (NSD) cần biết để truy cập, khai thác. Người quản trị
cần biết để bảo mật, xử lý sự cố…Nói tóm lại, các đối tượng phải có khả năng được
định vị (locatable) và sử dụng (usable). Directory Service lưu trữ tất cả các thông tin
về từng đối tượng, cho phép có thể tìm kiếm và khai thác.
Directory là nới lưu trữ thơng tin. Directory Service ngồi lưu thơng tin cịn có thể
cho phép sử dụng đối tượng.
Directory Service giúp người sử dụng (bao gồm cả quản trị mạng) khơng cần nhớ
chính xác tên, địa chỉ của đối tượng. Họ chỉ cần nhớ một số thuộc tính và Directory
Service sẽ tự động tìm. Ví dụ: người sử dụng có thể đưa ra u cầu “tìm các máy in
màu trên tầng 3”

Khi mạng trở nên lớn lên và phức tạp, trên mạng số đối tượng cần quản lý tăng thì
nhu cầu sử dụng Directory Service là cần thiết.

1.2 Windows 2000 Active Directory
Directory Service trong Windows 2000 Server gọi chung là Active Directory. Như
vậy Actice Directory bao gồm Directory, lưu thông tin, và các dịch vụ (Service) nhằm

1


Tài liệu Windows2000

đưa thơng tin đó đến người sử dụng. Các tài nguyên lưu trong Active Directory (dữ
liệu, máy in, group…) gọi là các đối tượng (Object).
Thuộc tính (attribute) đối tượng dùng để miêu tả đối tượng. Ví dụ: User Account có
thể bao gồm các thuộc tính như họ tên, địa chỉ, nghề nghiệp, phòng ban…

Schema là danh sách các định nghĩa mơ tả các dạng đối tượng có thể lưu trong
Directory. Schema xuất hiện dưới hai dạng: Đặc tính (attribute) và lớp (class).
Lớp (Class) miêu tả cách thức một đối tượng có thể được tạo. Mỗi một lớp bao
gồm nhiều đặc tính. Khi bạn tạo các đối tượng, cácđặc tính sẽ thể hiện đặc điểm
đối tượng đó. Mọi đối tượng của Active Directory gọi là một thể hiện (instance)
của lớp.
Đặc tính (Attrbute) được định nghĩa độc lập với lớp. Mỗi đặc tính chỉ định nghĩa
một lần và có thể dùng trong nhiều lớp.
Windows 2000 Server cung cấp sẵn một loạt các lớp và dặc tính. Tuy nhiên, quản trị
hệ thống hồn tồn tự do định nghĩa thêm. Chỉ có điều, lược đồ (schema) khơng thể
bị xố, tự động nhân bản. Bạn phải có kế hoạch chính xác trước khi quyết định tạo
lược đồ mới.

1.3 Các thành phần của Active Directory
Cấu trúc logic: bạn có thể căn cứ vào cách tổ chức của cơ quan, đơn vị mình để tự
tổ chức các đối tượng trong Active Directory theo đó. Điều này giúp cho người sử
dụng cẩm thấy thân thiện, gần gũi thực tế, họ có thể tìm tài ngun theo tên thực thay
vì vị trí vật lý. Cấu trúc logic bao gồm domain, tree, forest, ou.
Vùng (Domain): đơn vị chuẩn trong cấu trúc logic của Active Directory là vùng. Các
đối tượng trong một vùng được xem như cần thiết phải có nhau để làm việc. Active
Directory hình thành từ một hay nhiều vùng. Về lý thuyết, một vùng có thể chứa 10

2



Tài liệu Windows2000
triệu đối tượng, tuy nhiên người ta mới chỉ kiểm tra với 1 triệu đối tượng. Các quyền
hạn của người dùng có giá trị trong một vùng.
Organizational Unit (OU): là một cách tổ chức các đối tượng trong Active Directory
dựa trên mơ hình tổ chức thực của cơ quan. Một OU có thể bao gồm khoản mục NSD
(user account) , máy tính, máy in hoặc các OU trong cùng domain. Ví dụ:
domain.com hiện tại có 3 OU: US, ORDERS, DISP. Khi các giao dịch tăng lên,
người quản lý muốn tạo thêm một quản trị cho phòng Order. Người này chỉ có quyền
tạo khoản mục và cho phép user truy cập file, máy in trong phạm vi phòng Order.
Thay vì phải thêm một domain, có thể tạo OU từ ORDERS OU như hình dưới đây:

Cây (Tree): là một nhóm các domain có quan hệ cha-con như cơ chế của dịch vụ
Domain Name System (DNS). Trong một cây, tất các vùng chia sẻ một lược đồ
(schema) chung.

3


Tài liệu Windows2000

Rừng (Forest): hình thành từ các cây độc lập. Trong rừng, các cây lại có thể chia sẻ
với nhau một lược chung. Các cây có cơ chế hoạt động riêng, tuy nhiên, thơng qua
rừng, sẽ có sự trao đổi thơng suốt trên tồn mạng cơng ty.

Cấu trúc vật lý: dựa trên cấu trúc vật lý của công ty, bao gồm site, điều khiển vùng
(domain controller.).
Site: là sự kết hợp của một hay nhiều phân mạng IP (IP Subnet), kết nối với nhau dựa
trên đường truyền tốc độ cao, tin cậy. Lưu ý, khi bạn tìm kiếm tài nguyên trên Active
Directory, bạn khơng có mối liên hệ gì với site.Thậm chí, một domain có thể hình
thành từ nhiều site, ngược lại, một site có thể chứa tài nguyên từ nhiều vùng.

Điều khiển vùng (Domain Controller): đây là máy tính lưu cơ sở dữ liệu của vùng.
Trong một vùng có thể có nhiều điều khiển vùng, các điều khiển vùng này đều chứa
một bản cơ sở dữ liệu Active Directory và có cơ chế đồng bộ hố dữ liệu khi xuất
hiện sự thay đổi. Sử dụng nhiều điều khiển vùng nhằm tránh các tình huống có thể
xảy ra sự cố, lúc đó, các điều khiển vùng sẽ thay thế nhau.

1.4 Các khái niệm khác của Active Directory
1.4.1 Global Catalog
Global Catalog là nơi lưu tập trung thông tin về các đối tượng trong cây hoặc rừng.
Mặc định, Global Catalog được khởi tạo khi trong rừng xuất hiện điều khiển vùng,
gọi là global catalog server. Global catalog này lưu các thuộc tính dùng cho vùng nơi
chứa nó và cho mọi vùng trong rừng.

4


Tài liệu Windows2000

1.4.2 Nhân bản (Replication)
Do người dùng có thể truy xuất từ bất kỳ máy nào trong vùng và tại mọi thời điểm
nên các điều khiển vùng cần có cơ chế để đồng bộ hố dữ liệu. Các thơng tin đó bao
gồm: Lược đồ, các thiết lập, các dữ liệu liên quan đến vùng. Tuỳ theo đó là điều
khiển vùng hay global catalog mà cách nhân bản dữ liệu sẽ khác nhau.

1.4.3 Quan hệ tin cậy (Trust Relationship)
Quan hệ tin cậy được thiết lập dựa trên hai vùng, theo đó vùng tin cậy (trusting
domain) cho phép người sử dụng từ vùng được tin cậy (trusted domain) đăng nhập và
dùng tài ngun của mình. Active Directory có hai loại quan hệ tin cậy:
Implicit two-way transitive trust: là quan hệ giữa các domain cha con trong một cây
và giữa các top-domain của các cây trong một rừng. Do đó, trong một cây, các vùng

đều có quan hệ tin cậy với nhau và quan hệ đó là quan hệ 2 chiều.

5


Tài liệu Windows2000

Expicit one-way nontransitive trust: là quan hệ giữa các domain không thuộc cùng
một cây. Loại quan hệ này không tự động tạo mà bạn phải trực tiếp định nghĩa.

1.4.4 DNS và các quy ước về tên
Hệ thống domain trên Active Directory sử dụng cách đặt tên tương tự như Domain
Name System (DNS).
Mọi đối tượng trên Active Directory đều có tên. Tuỳ mục đích sử dụng, tên đó thuộc
vào một trong ba loại: tên duy nhất (distinguished name), duy nhất tương đối
(relative distinguished name), duy nhất tuyệt đối (global unique identifier name) và
tên thông dụng (principal name).
Distinguished name (DN): là tên để định danh duy nhất đối tượng trong Active
Directory, cho phép NSD có thể tìm kiếm đối tượng. DN bao gồm tên domain chứa
đối tượng cùng đường dẫn từ gốc đến đối tượng. DN xác định duy nhất đối tượng trên
một Active Directory Database.
Ví dụ sau là DN xác định firstname, lastname của user trong microsoft.com domain:
/DC=COM/DC=microsoft/OU=dev/CN=Users/CN=Bill Gate
Thuộc tính
Miêu tả
DC
Tên domain
OU
Tên OU
CN

Tên đại diện nhóm đối tượng
Relative distinguished name (RDN): nếu bạn khơng biết DN, bạn có thể dùng RDN
để tìm kiếm đối tượng. Đó là một thuộc tính của DN. Bạn có thể tạo nhiều RDN trùng
nhau cho các đối tượng. Tuy nhiên, khơng thể có 2 đối tượng cùng RDN thuộc cùng
một OU. RDN phải duy nhất trong OU. Minh hoạ bằng hình dưới đây:

6


Tài liệu Windows2000

Global Unique Identifier (GUI): là một số 128 bit đảm bảo mọi đối tượng duy nhất
trên toàn cục. GUI gán cho đối tượng khi được tạo và không bao giờ thay đổi kể cả
đối tượng bị đổi tên hay di chuyển. Bạn có thể dùng GUI để tìm kiếm đối tượng mà
không cần quan tâm đến DN (tuy nhiêm khó mà nhớ được GUI). GUI có giá trị trong
mọi vùng. Bạn hoàn toàn yên tâm khi di chuyển các đối tượng giữa các vùng.
GUI được sinh bằng một thuật toán tương đối phức tạp. Nếu máy của bạn có Card
mạng, nó sẽ dựa vào MAC để sinh GUI. Nếu máy khơng có Card mạng, nó sẽ giả lập
một MAC để sinh. Nói chung, xác xuất trung GUI là hầu như khơng có. Về lý thuyết,
GUI duy nhất trên phạm vi Internet.
Principal Name: còn gọi là User Principal Name (UPN) hình thành từ tên user
account với domain name. Ví dụ:

2. Cài đặt Active Directory
Sau khi hoàn tất quá trình cài đặt Windows 2000 bạn thực hiện quá trình cài đặt
Active Directory. Chú ý rằng khi cài đặt Active Directory đồng nghĩa với việc bạn
thăng cấp cho máy tính trở thành một điều khiển vùng.
Bấm Start->Programs->Administrative Tools->Configure Your Server. Tiếp theo,
bạn bấm vài liên kết Active Directory, Wizard xuất hiện hướng dẫn bạn quá trình cài
Active Directory.

Một cách khác đơn giản hơn, bạn có thể gõ lệnh dcpromo.exe tại menu lệnh Run.
Dùng cách này, bạn có thể loại bỏ Active Directory trên domain controller và chuyển
xuống thành Standalone Server.

7


Tài liệu Windows2000
B1. Bạn có thể chọn bổ sung tiếp một domain controller vào domain đã tồn tại hoặc
tạo mới domain controller. Nếu bạn chọn tạo domain controller mới, tương đương tạo
một domain mới.
B2. Nếu tạo domain mới, bạn được lựa chọn tạo domain con trong cây domain có sẵn
hay tạo cây domain từ đầu. Nếu tạo cây từ đầu, bạn có thể tạo thêm rừng hoặc bổ
sung vào rừng đã tồn tại.

8


Tài liệu Windows2000
Các file tạo ra khi cài Active Directory:
Directory Database được lưu trong file có tên Ntds.dit, bao gồm schema, global
catalog, và mọi đối tượng trên domain controller. Mặc định Ntds.dit lưu trong thư
mục %systemroot%\Ntds, tuy nhiên, bạn có thể chuyển sang thư mục bất kỳ. Theo
gợi ý, nên chọn một ổ đĩa độc lập để lưu Ntds, đặc biệt là các ổ có khả năng chống sự
cố ở mức phần cứng. Ngoài file Ntds, một thư mục là Sysvol cũng được tạo.
Khi cài Active Directory, bạn phải chọn Domain mode. Có hai loại domain mode:
Mixed mode: cho phép domain controller có thể tương tác với các domain controller
khác trong domain chạy Windows NT 3.5 hoặc Windows NT 4.0
Native mode: có thể được chuyển từ Mixed mode sang, dùng khi trong mạng toàn
Win2K domain controller.

Để cài Active Directory cần có DNS Server. Nếu chương trình cài đặt khơng tìm thấy
DNS Server, nó sẽ tự động cài và cấu hình DNS.
B3. Bổ sung máy vào domain: khi trong mạng đã có domain controller, bạn có thể bổ
sung bất kỳ máy nào (standalone server) vào domain. Mở Control Panel, Chọn
System, bấm tab Network Identification, chọn Properties, chọn tiếp domain và gõ tên
domain mà bạn đã tạo từ trước. Về nguyên tắc, trên domain controller phải tạo sẵn
account cho máy trước khi có thể bổ sung vào. Tuy nhiên, bạn có thể tạo ln lúc bổ
sung, tuy nhiên, bạn phải có account của user trên domain controller có quyền này.

3. Quản trị Active Directory
Việc quản trị Active Directory bao gồm tạo OU, bổ sung các object vào OU, tìm kiếm
các đối tượng trong Active Directory.
3.1 Tạo OU
Bạn có thể tạo OU bên dưới domain, domain controller object hoặc bên dưới OU
khác. Mặc định, thành viên của nhóm Administrator có quyền bổ sung OU.
Chọn domain hay đối tượng mà bạn muốn tạo tiếp OU, kích menu Action, chọn New,
Organization Unit.
Trong ơ Name, gõ tên OU.

3.2 Bổ sung đối tượng vào OU
Các đối tượng bạn có thể bổ sung và OU:
Biểu
Đối tượng
Mơ tả
tượng
Computer Đại diện một máy tính trong mạng. Với Windows NT
Workstation và Windows NT Server, đó chính là machine
account.
Contact
Là một account mà không chứa các thông tin về quyền hạn,

bảo mật. Account này khơng thể logon. Thơng thường có
thể xem như danh sách các địa chỉ email.
Group
Nhóm các User

9


Tài liệu Windows2000
Printer

Máy in trong mạng.

User

Một user có khả năng logon.

Shared
Thư mục được chia sẻ.
Folder
Bấm chọn OU mà bạn muốn bổ sung các đối tượng, chọn menu Action, chọn New và
chọn tiếp tên loại đối tượng bạn muốn bổ sung.

3.3 Quản trị các đối tượng
Tìm kiếm đối tượng: Mở Active Directory Users and Computers trong
Administrative Tools, bấm phím phải lên domain hoặc nhóm bất kỳ, chọn Find. Các
lựa chọn trong cửa sổ Find bao gồm:
Lựa chọn
Miêu tả
Find


Danh sách các loại đối tượng bạn có thể tìm, bao gồm users, contacts,
groups; computers; printers; shared folders; OUs; và tự tuỳ biến. Nếu
chọn Custom, bạn sẽ xây dựng một truy vấn gọi là Lightweight Directory
Access Protocol (LDAP) Query. Ví dụ, LDAP Query: OU=*er*, sẽ tìm
các OU có tên chứa cụm từ "er".

In

Danh sách các domain, OU... bạn có thể giới hạn để tìm.

Browse

Cho phép bạn duyệt cấu trúc tìm kiếm.

Advanced

Cho phép bạn định nghĩa các tiêu chí tìm kiếm mở rộng.

Field

Danh sách các thuộc tính bạn có thể tìm.

Condition

Danh sách các điều kiện dựa trên thuộc tính bạn có thể sử dụng để giới
hạn việc tìm kiếm.

Value


Ơ này dùng trong trường hợp bạn sử dụng điều kiện. Tại đây bạn có thể
gõ các giá trị mà điều kiện (thuộc tính) phải thoả mãn.

Search
Criteria

Danh sách các tiêu chí tìm kiếm bạn đã định nghĩa.

Find Now

Bắt đầu tìm.

Stop

Chấm dứt việc tìm kiếm.

Clear All

Xố các điều kiện tìm kiếm.

Results

Danh sách kết quả tìm được.

Gán quyền truy cập đối tượng (Object Permission): tương tự như NTFS Permission,
Active Directory Object Permission thiết lập quyền quy định user nào có quyền gì
trên các đối tượng đó. Object Permission cũng bao gồm Standard Permission và
Special Permission.
Standard Object
Cho phép


10


Tài liệu Windows2000
Permission
Full Control

Toàn quyền tác động đến đối tượng

Read

Xem đối tượng, thuộc tính, quyền hạn đối tượng, người tạo đối
tượng.

Write

Thay đổi thuộc tính đối tượng

Create All Child
Objects

Bổ sung đối tượng vào OU.

Delete All Child
Objects

Xoá đối tượng từ OU.

Để gán Permission cho đối tượng, chọn đối tượng, bấm chuột phải, chọn Properties,

bấm tab Security. Lưu ý: bạn phải bật View->Advanced Features để nhìn thấy tab
Security.
Tương tự như NTFS Permission, Object Permission cũng có cơ chế kế thừa và bạn
cũng có thể ngăn chặn việc kế thừa.
Publishing Resources: để các đối tượng có thể được tìm thấy bởi user, bạn cần
publish.
Publish Shared Folder: Mở Active Directory Users And Computers. Bấm chuột
phải lên vị trí bạn muốn bổ sung Shared Folder, chọn New, Shared Folder.

11