Tổng quan Active Directory.
1. Giới thiệu.
Khi Windows 2000 được phát hành, Microsoft tích hợp một thành phần là
Active Directory. Khi máy chủ Windows sử dụng Windows 2000 Server, Windows
Server 2003 hay Longhorn Server, công việc của domain controller (bộ điều khiển
miền) là chạy dịch vụ Active Directory.
Active Directory chính là trái tim của Windows Server 2003 , hầu như tất cả
mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active
Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ
thống Active Directory dùng để lưu trữ dữ liệu của domain như các đối tượng user,
computer, group … cung cấp những dịch vụ (directory services) tìm kiếm, kiểm
soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên
giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng
thực một lần duy nhất khi đăng nhập vào domain và có thể truy cập tất cả những tài
nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.

Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ
công việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như
không thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây
chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung
như đưa ra các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy
quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn.

2. Những Thành Phần Chính Của Hệ Thống Active Directory

User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số
tài khoản built-in được tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ
thống, backup operator là nhóm và người dùng có khả năng backup và restore dữ
liệu của hệ thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu
này. Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và
đăng nhập (log-in) vào domain thì người quản trị cần phải tạo những tài khoản hợp

lệ, và cấp phát cho người sử dụng. Các user sẽ dùng những tài khoản được cấp bởi
administrator để log-in và domain. Và truy cập dữ liệu trên file server hay các dịch
vụ khác..

Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví
dụ các nhân viên của một phòng ban sale có quyền truy cập lên folder sales trên
file server hoặc chúng ta muốn các nhân viên của công ty đều có quyền in đối
với laser printer, chúng ta nên tạo group printing và gán quyền in trên laser printer
sau đó add tất cả các nhân viên của công ty vào group printing này thay vì gán
quyền in cho từng user riêng lẽ sẽ không hiệu quả (các bạn cần chú ý sử dụng
group Domain User cho những thao tác chung, mặc định tất cả các user được tạo ra
đều thuộc group này).

OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì
chúng ta khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng
ban, bộ phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với chức
năng, vị trí như phòng ban Sales sẽ có một OU Sales và trong OU này chứa group
sales, group sales sẽ bao gồm tất cả những thành viên của phòng ban sale, và
những user này cũng được đặt trong OU Sales cùng với group sales. Như vậy
chúng ta cần phải phân biệt rõ group sales và OU Sales, giữa chúng có những khác
biệt cơ bản là OU được dùng để quản trị về mặt chính sách như chúng ta muốn tất
cả các nhân viên thuộc phòng ban sales trong môi trường thật được cài đât tự động
MS OfficeXP hay update những bản vá nào khi đăng nhập hệ thống thì chúng ta
phải tương tác qua OU. Nhưng rõ ràng chúng ta không thể quản lý về quyền hạn
truy cập của các user này bằng OU, chính vì vậy chúng ta cần phải tạo ra các group
và gán quyền thông qua những group này. Đó là những khác biệt cơ bản nhất mà
chúng ta cần phân biệt
3. Schema Master
Active Directory không thực sự là một thứ gì ngoài cơ sở dữ liệu, cũng
giống như cơ sở dữ liệu khác, Active Directory có một giản đồ. Tuy nhiên lại

không giống như các cơ sở dữ liệu khác, giản đồ của Active Directory không phải
giản đồ tĩnh. Có một số hoạt động cần thiết mở rộng giản đồ. Ví dụ, việc cài đặt
Exchange Server cần giản đồ Active Directory để được mở rộng. Bất kỳ thời điểm
nào diễn ra sự thay đổi giản đồ Active Directory thì những thay đổi đó cũng được
áp dụng cho Schema Master.
Schema Master là một thành phần rất quan trọng của các FSMO role, vì vậy
Microsoft để ẩn nó không cho nhìn thấy. Nếu cần phải tìm máy chủ nào đang cấu
hình Schema Master role thì ta phải đưa đĩa CD cài Windows Server 2003 và kích
đúp vào file ADMINPAK.MSI trong thư mục I386. Khi thực hiện điều đó,
Windows sẽ khởi chạy Administration Tools Pack Setup Wizard. Theo cửa sổ
wizard để cài đặt gói các công cụ quản trị.
Khi quá trình cài đặt được hoàn tất, ta đóng Setup wizard và mở Microsoft
Management Console bằng cách nhập vào dòng lệnh MMC trong cửa số lệnh
RUN. Khi cửa sổ được mở, chọn Add/Remove từ menu File. Sau khi chọn xong,
cửa sổ sẽ hiển thị trang thuộc tính của thành phần Add/Remove. Kích chuột vào nút
Add để xuất hiện một danh sách có sẵn các mô đun. Chọn mô đun Active Directory
Schema trong danh sách và kích vào nút Add, sau đó nhấn Close và nút OK.
Bây giờ mô đun đã được tải ra, kích chuột phải vào Active Directory
Schema và chọn Operations Master từ menu chuột phải. Một hộp thoại sẽ xuất
hiện, hộp thoại này thông báo cho ta biết rằng máy chủ nào đang cấu hình với tư
cách là Schema Master của forest.
3.1 Domain Naming Master
Một rừng Active Directory có thể gồm nhiều miền. Việc kiểm tra các miền
này là công việc của Domain Naming Master. Nếu Domain Naming Master bị lỗi
thì nó không thể tạo và gỡ bỏ các miền cho tới khi Domain Naming Master quay
trở lại trực tuyến.
Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho
một forest, mở Active Directory Domains and Trusts, khi cửa sổ này được mở, kích
chuột phải vào Active Directory Domains and Trusts và chọn Operations Masters.
Sau khi chọn xong, Windows sẽ hiển thị Domain Naming master.

3.2 Relative Identifier (Bộ nhận dạng quan hệ)
Active Directory cho phép quản trị viên tạo các đối tượng Active Directory
trên bất kỳ bộ điều khiển miền nào. Mỗi một đối tượng phải có một số hiệu nhận
dạng quan hệ duy nhất để ngăn chặn các bộ nhận dạng quan hệ khỏi bị giống nhau,
Relative Identifier Master chỉ định một nhóm bộ nhận dạng quan hệ cho mỗi một
điều khiển miền. Khi một đối tượng mới được tạo trong một miền, bộ điều khiển
miền mà đối tượng đang tạo sẽ lấy một trong những bộ nhận dạng quan hệ của nó
ra khỏi nhóm và gán cho đối tượng. Khi một nhóm được khai thác hết thì bộ điều
khiển miền phải liên lạc với Relative Identifier Master để có thêm bộ nhận dạng
quan hệ. Như vậy, triệu chứng cuối cùng của Relative Identifier Master lỗi là hoàn
toàn bất lực trong việc tạo các đối tượng trong Active Directory.
Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một
miền, hãy mở Active Directory Users and Computers. Khi cửa số này được mở,
kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters.
Windows sẽ hiển thị trang thuộc tính của Operations Masters. Trong cửa sổ này ta
có thể chọn bộ điều khiển miền nào đang thực hiện như bộ nhận dạng quan hệ
bằng cách quan sát ở tab RID của trang thuộc tính.
3.3 Primary Domain Controller Emulator
Role của PDC emulator được tạo để cho phép các bộ điều khiển miền Active
Directory cùng tồn tại với các bộ điều khiển miền Windows NT. Ý tưởng cơ bản ở
đây là khi một tổ chức đang nâng cấp từ Windows NT lên Windows 2000 hoặc
Windows Server 2003 thì PDC là bộ điều khiển miền đầu tiên được nâng cấp. Ở
điểm này, bộ điều khiển miền được nâng cấp gần đây hoạt động như một bộ điều
khiển miền Active Directory và một PDC cho các bộ điều khiển miền vẫn đang
chạy Windows NT.
Role của PDC emulator ngày nay càng không liên quan nhiều hơn bởi vì rất
ít các tổ chức sử dụng Windows NT Server. Nếu ta cần chỉ định máy chủ nào trong
miền đang cấu hình role của PDC Emulator dù cho ta có thể thực hiện điều đó
bằng cách mở Active Directory Users and Computers. Khi cửa số này được mở,
kích chuột phải vào miền hiện hành và chọn Operations Masters. Windows sẽ hiển

thị trang thuột tính của Operations Masters. Có thể xác định bộ điều khiển miền
nào đang hành động như PDC Emulator bằng cách quan sát tại tab PDC của trang
thuộc tính.
3.4 Infrastructure Master
Trong môi trường Active Directory, một forest có thể gồm nhiều miền. Các
miền Active Directory không hoàn toàn mà các thực thể độc lập mà chúng đôi khi
phải truyền thông với phần còn lại của forest. Đây chính là nơi mà Infrastructure
Master diễn ra. Khi tạo, thay đổi hoặc xóa một đối tượng bên trong một miền, sự
thay đổi sẽ được truyền một cách tự nhiên xuyên suốt miền. Vấn đề là phần còn lại
của forest không biết đến sự thay đổi này. Đây chính là công việc của
Infrastructure Master, làm thế nào để cho phần còn lại của forest biết được có sự
thay đổi.
Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không
thể nhìn thấy trong đường biên miền. Ví dụ, nếu đã đặt lại tên cho một tài khoản
người dùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ
các miền khác trong forest.
Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master
cho một miền, mở Active Directory Users and Computers. Khi cửa số này được mở,
ta kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters,
Windows sẽ hiển thị trang thuộc tính của Operations Masters. Ta có thể xác định
được bộ điều khiển miền nào đang thực hiện với tư cách Operations Master bằng
cách nhìn vào tab Infrastructure của trang thuộc tính.
4. Cấu trúc.
Không có công cụ quản trị nào được sử dụng để quản lý Active Directory có
thể cho xem được toàn bộ cơ sở dữ liệu của Active Directory. Thay vì đó,
Microsoft đã cung cấp một số công cụ khác nhau tương ứng với một lĩnh vực cụ
thể của cơ sở dữ liệu. Với một quản trị viên, công cụ quản trị có thể sử dụng
thường là Active Directory Users and Computers console.
Có thể truy cập Active Directory Users and Computers console từ bộ điều
khiển miền của Windows Server 2003 bằng cách chọn Active Directory Users and

Computers từ menu Start / All Programs / Administrative Tools của máy chủ. Giao
diện của nó được thể hiện như những gì ta thấy trong hình 1.
Hình 1:Giao diện Active Directory Users and Computers là một công cụ
quản trị chính cho việc quản lý các đối tượng Active Directory.
Nếu nhìn vào hình thì ta sẽ thấy được rằng ở đây có một số thư mục lớn, mỗi
một thư mục này tương ứng với một loại đối tượng cụ thể. Mỗi đối tượng trong
Active Directory đều được gán một kiểu đối tượng (được biết đến như là lớp đối
tượng).
Mỗi đối tượng cũng có một số thuộc tính liên quan. Các thuộc tính cụ thể
thay đổi phụ thuộc vào kiểu đối tượng.
Ví dụ, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại
thành các đối tượng người dùng như trong hình 2. Nếu kích chuột phải vào một
trong các đối tượng người dùng này và chọn Properties từ menu chuột phải thì ta sẽ
thấy được trang thuộc tính của đối tượng (như trong hình 3).
Hình 2: Thư mục Users chứa các tài khoản người dùng,
tất cả được phân loại thành các đối tượng người dùng.
Hình 3: Khi kích chuột phải vào một đối tượng người dùng và chọn
Properties thì ta sẽ thấy trang thuộc tính của người dùng.
Nếu nhìn vào hình 3 thì sẽ thấy rằng có một số trường thông tin khác nhau
như tên, họ, số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một
đối tượng. Mặc dù phần lớn các trường ở trong hình đều không phổ biến nhưng
trong một số tình huống thực thì các trường này có thể được sử dụng để tạo thư
mục cộng tác. Trong thực tế, nhiều ứng dụng được thiết kế để trích thông tin trực
tiếp từ Active Directory. Ví dụ, Microsoft Exchange Server (sản phẩn e-mail server
của Microsoft) tạo một danh sách địa chỉ toàn cục dựa trên nội dung của Active
Directory. Danh sách này được sử dụng khi gửi các thông báo email đến người
dùng khác trong công ty.
Nếu nhìn vào hình 4, sẽ thấy được một màn hình, trong đó đã thực hiện một
tìm kiếm với tên Hershey, và Outlook đã trả toàn bộ danh sách địa chỉ toàn cục
Global Address List gồm có tên Hershey. Nếu nhìn vào phần kết quả của cửa sổ thì

sẽ thấy được nơi mà Outlook hiển thị tiêu đề của người dùng, số điện thoại doanh
nghiệp và vị trí mà trường đó được phổ biến. Tất cả thông tin này đều được lấy từ
Active Directory.
Hình 4
Nếu muốn thấy các thông tin chi tiết hơn về người dùng, hãy kích chuột phải
vào tên của người dùng và chọn Properties.Khi đó cửa sổ như hình 5 sẽ được hiển
thị. Đây không phải là một màn hình quản trị. Đơn giản đây chỉ là một màn hình
mà bất kỳ người dùng nào trong công ty cũng có thể truy cập trực tiếp thông qua
Outlook 2007 để tìm thông tin về các nhân viên khác.
Hình 5: Xem thông tin Active Directory trực tiếp thông qua Microsoft Outlook
Xét cho cùng thì Outlook là một sản phẩm của Microsoft, vì vậy nó chỉ tạo
một cảm giác rằng Outlook sẽ có thể lấy thông tin từ Active Directory, một phần
của một sản phẩm khác của Microsoft. Tuy nhiên có rất nhiều người không nhận ra
một điều, đó là khá dễ dàng cho bất cứ ai có sự cho phép thích hợp để lấy thông tin
từ Active Directory. Thực tế, có rất nhiều sản phẩm của nhóm thứ ba được thiết kế
để tương tác với Active Directory. Một trong số chúng có khả năng lưu dữ liệu
trong các phần Active Directory đặc biệt.
Active Directory được dựa trên một chuẩn đã biết. Active Directory được
dựa trên một chuẩn có tên gọi là X.500. Chuẩn này cơ bản là một cách chung
chung trong việc thực hiện dịch vụ thư mục. Microsoft không chỉ là một công ty
tạo dịch vụ thư mục dựa trên dịch vụ này mà Novell ban đầu cũng đã tạo dịch vụ
thư mục NetWare Directory Service trên chuẩn này.
Đây cũng là một cách trong việc truy cập vào thông tin dịch vụ thư mục.
Trong môi trường Active Directory, việc truy cập thông tin thư mục liên quan đến
việc sử dụng Lightweight Directory Access Protocol (LDAP). Giao thức LDAP
chạy trên phần đỉnh của giao thức TCP/IP.
Giao thức LDAP là bất cứ tên nào được đặt cũng đều phải được phân biệt,
bởi vì không có gì là ít quan trọng về nó (nó quan trọng hơn giao thức truy cập thư
mục gốc, giao thức không được thiết kế để tận dụng ngăn xếp giao thức TCP/IP).
5. Tên

Mỗi đối tượng trong Active Directory đều được quy vào một tên phân biệt
(thường được viết tắt là DN). Tên phân biệt được dựa trên vị trí của đối tượng bên
trong thứ bậc thư mục. Có nhiều thành phần khác nhau trong tên phân biệt nhưng
một số cái chung là một tên chung (được viết tắt là CN) và một miền tên (viết tắt là
DC). Ví dụ, cho rằng miền Contoso.com gồm có một tài khoản có tên là User1 và
tài khoản này được định vị trong thư mục Users. Trong trường hợp như vậy, tên
phân biệt của tài khoản người dùng sẽ là:
CN=User1, CN=Users, DC=Contoso, DC=com
Các tên phân biệt không duy nhất có trong Active Directory. Microsoft đã
xây dựng Active Directory để lợi dụng các chuẩn công nghiệp được sử dụng bởi
nhiều công ty khác như Novell và IBM. Khi nghiên cứu về chúng, ta không chỉ có
được sự chuẩn bị tốt hơn cho việc quản lý Active Director mà còn có được một
mức thân thiện nhất định nếu như đã từng được yêu cầu làm việc với hệ điều hành
mạng không phải của Microsoft.
5.1 Các nguyên tắc đặt tên cơ bản
Các tên phân biệt với nhau nhờ thuộc tính, các thuộc tính này được gán giá
trị. Mỗi một tên phân biệt thường gồm có nhiều cặp giá trị thuộc tính, ví dụ.
CN=User1, CN=Users, DC=Contoso, DC=com
Tên được tạo thành từ 4 cặp thuộc tính/ giá trị khác nhau, mỗi một cặp được
phân biệt với nhau bằng dấu phẩy. Cặp thuộc tính/ giá trị thứ nhất là CN=USER1.
Trong cặp này, CN (viết tắt cho Common Name) là thuộc tính và User1 là giá trị.
Các thuộc tính và giá trị luôn luôn phân biệt với nhau bởi dấu bằng (=), còn các
cặp thuộc tính/ giá trị được phân biệt với nhau bằng dấu phẩy (,).
5.2 Các tên phân biệt
Khi ta xem tên CN=User1, CN=Users, DC=Contoso, DC=com, mọi thứ trở
thành rõ ràng ngay lập tức. Nếu quan sát kỹ hơn tên phân biệt này có thể nhận ra
rằng nó là hệ có thứ bậc. Trong trường hợp riêng này, DC=com thể hiện mức cao
của thứ bậc. DC=Contoso thể hiện mức thứ hai. Có thể nói rằng COM và Contoso
là các miền bởi vì cả hai sử dụng thuộc tính DC. Thứ bậc miền ‘nhại lại’ thứ bậc
miền được sử dụng bởi các máy chủ DNS

Cần phải hiểu thứ bậc tên này làm việc như thế nào vì hai lý do. Thứ nhất, hiểu thứ
bậc, có thể biết chính xác nơi một đối tượng cụ thể được định vị bên trong thư
mục. Lý do khác là hiểu được bản chất của thứ bậc thư mục vì đôi khi các đường
tắt sẽ được sử dụng để thay cho tên đầy đủ.
CN=User1, CN=Users, DC=Contoso, DC=com. Tên phân biệt này được gán
cho mỗi một tài khoản người dùng (chính xác hơn là một đối tượng người dùng) có
tên User1. Phần còn lại trong tên cho chúng ta biết vị trí của đối tượng trong thứ
bậc thư mục.
Nếu ta đang cố nói với một ai đó về vấn đề này thì có thể tình cờ đề cập đến
nó như User1. Đôi khi LDAP cũng thực hiện tương tự như vậy. Điều này hoàn toàn
có thể vì nó không cần thiết phải cung cấp thông tin về vị trí của đối tượng trong
thứ bậc nếu vị trí đã được biết.
Ví dụ, nếu đang thực hiện một số hoạt động trên các đối tượng người dùng
được đặt trong thư mục Users trong miền Contoso.com thì có thực sự cần thiết để
tuyên bố rõ ràng rằng các đối tượng đều được đặt trong Users của miền
Contoso.com hay không?
Trong tình huống này cũng như vậy, tên phân biệt thường được thay thế bởi
Relative Display Name (viết tắt là RDN). Trong trường hợp CN=User1,
CN=Users, DC=Contoso, DC=com, thì RDN là CN=User1. RDN luôn luôn được
phân biệt của bộ nhận dạng rõ ràng nhất. Nó là cặp giá trị/ thuộc tính bên trái nhất
trong tên phân biệt. Phần khác của tên phân biệt cũng được biết đến như tên cha.
Trong trường hợp điển hình này, tên cha sẽ là CN=Users, DC=Contoso, DC=com.
Các tên của Microsoft thiên về dựa vào container và miền,nó chiếu theo
RFC 2253 để thiết lập các nguyên tắc cho tên riêng biệt.
5.3 Các kí tự đặc biệt trong tên
Một số kí tự đặc biệt gồm có dấu cộng, dấu lớn hơn, nhỏ hơn, số, dấu trích
dẫn và dấu xổ ngược - back slash (\). Ta chỉ tập trung vào giới thiệu cho các ta dấu
back slash. Dấu này cho phép ta đưa ra một lệnh LDAP để bỏ qua kí tự theo sau.
Điều này cho phép lưu các kí tự bị cấm trong thư mục.
Để rõ hơn nó được sử dụng như thế nào, chúng ta hãy xem xét một tên đầy đủ

được biểu diễn với tên và họ cách nhau bằng dấu phẩy. Tuy nhiên LDAP không
cho phép ta sử dụng lệnh CN=Smith, John vì dấu phẩy được sử dụng bởi LDAP để
phân biệt các cặp thuộc tính/ giá trị. Nếu muốn lưu giá trị Smith, John trong thư
mục, ta có thể thực hiện bằng các tạo một dấu back slash như dưới đây:
CN=Smith\, John
Trong lệnh ở trên, dấu back slash làm cho LDAP phải coi dấu phẩy là dữ
liệu chứ không phải là một phần của cú pháp câu lệnh. Cách khác để thực hiện điều
này là dùng dấu trích dẫn. Mọi thứ bên trong dấu trích dẫn đều được coi như dữ
liệu.
Có một quy tắc đặc biệt với việc sử dụng dấu back slash bên trong các dấu
trích dẫn. Dấu back slash có thể được sử dụng để áp đặt LDAP bỏ qua các dấu
back slash khác. Để đơn giản, nếu ta cần gộp một dấu back slash vào phần dữ liệu