Bài 9 ACTIVE DIRECTORY
Tóm tắt
Lý thuyết 4 tiết -Thực hành 8 tiết
Mục tiêu Các mục chính Bài tập bắt Bài tập làm
buộc thêm
Kết thúc bài học này cung
cấp học viên kiến thức
vềhệthống Active Directory
trên Windows Server 2003,
cách tổchức, nâng cấp
đểtạo thành Domain
Controller …
I. Các mô hình mạng trong môi trường
Microsoft. II. Active Directory. III. Cài
đặt và cấu hình Active Directory.
Dựa vào bài
tập môn Quản
trịWindows
Server 2003.
Dựa vào bài tập
môn Quản
trịWindows
Server 2003.
I. CÁC MÔ HÌNH MẠNG TRONG MÔI TRƯỜNG MICROSOFT.
I.1. Mô hình Workgroup. Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-
peer, là mô hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau. Các dữ liệu
và tài nguyên đượclưu trữphân tán tại các máy cục bộ, các máy tựquản lý tài nguyên cụcbộcủa
mình. Trong hệthống mạng không có máy tính
chuyên cung cấpdịch vụvà quản lý hệthống mạng. Mô hình này chỉphù hợpvới các mạng nhỏ,dưới
mười máy tính và yêu cầubảomật không cao.
Đồng thời trong mô hình mạng này các máy tính sửdụng hệđiều hành hỗtrợđa người dùng lưu

trữthông tin người dùng trong mộttập tin SAM (Security Accounts Manager) ngay chính trên máy
tính cụcbộ. Thông tin này bao gồm: username (tên đăng nhập), fullname, password,
description…Tất nhiên tập tin SAM này được mã hóa nhằm tránh người dùng khác ăncấpmật
khẩu đểtấn công vào máy tính. Do thông tin người dùng đượclưu trữcụcbộtrên các máy trạm nên
việc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tựchứng thực.
I.2. Mô hình Domain. Khác với mô hình Workgroup, mô hình Domain hoạt động theo
cơchếclient-server, trong hệthống mạng phải có ít nhấtmột máy tính làm chứcnăng điều khiển
vùng (Domain Controller), máy tính này sẽđiều khiển toàn bộhoạt động củahệthống mạng. Việc
chứng thực người dùng và quản lý tài
nguyên mạng đượctập trung lạitại các Server trong miền. Mô hình này được áp dụng cho các công
ty vừa và lớn.
Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng đượctập trung lại
do dịch vụActive Directory quản lý và đượclưu trữtrên máy tính điều khiển vùng (domain
controller) với tên tập tin là NTDS.DIT.Tập tin cơsởdữliệu này được xây dựng theo công
nghệtương tựnhưphầnmềm Access của Microsoft nên nó có thểlưu trữhàng triệu người dùng, cải
tiếnhơn so với công nghệcũchỉlưu trữđược khoảng 5 nghìn tài khoản người dùng. Do các thông tin
người dùng đượclưu trữtập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập
trung và do máy điều khiển vùng chứng thực.
Hình 2.1: các bước chứng thực khi người dùng đăng nhập.
II. ACTIVE DIRECTORY.
II.1. Giới thiệu Active Directory. Có thểso sánh Active Directory với LANManager
trên Windows NT 4.0.Vềcănbản, Active Directory là mộtcơsởdữliệucủa các tài nguyên trên mạng
(còn gọi là đốitượng) cũng nhưcác
thông tin liên quan đến các đốitượng đó. Tuy vậy, Active Directory không phải là một
khái niệmmới bởi Novell đãsửdụng dịch vụthưmục(directory service) trong
nhiềunămrồi.
Mặc dù Windows NT 4.0 là mộthệđiều hành mạng khá tốt, nhưng hệđiều hành này lại
không thích hợp trong các hệthống mạng tầmcỡxí nghiệp. Đốivới các hệthống mạng
nhỏ, công cụNetwork Neighborhood khá tiệndụng, nhưng khi dùng trong hệthống mạng
lớn, việc duyệt và tìm kiếm trên mạng sẽlà một ác mộng (và càng tệhơnnếubạn không

biết chính xác tên của máy in hoặc Server đó là gì). Hơnnữa, đểcó thểquản lý
đượchệthống mạng lớn nhưvậy, bạn thường phải phân chia thành nhiều domain và
thiếtlập các mối quan hệuỷquyền thích hợp. Active Directory giải quyết được các vấn
đềnhưvậy và cung cấpmộtmức độứng dụng mới cho môi trường xí nghiệp. Lúc này, dịch
vụthưmục trong mỗi domain có thểlưu trữhơnmười triệu đốitượng, đủđểphụcvụmười
triệu người dùng trong mỗi domain.
II.2. Chứcnăng của Active Directory.
-Lưu giữmột danh sách tập trung các tên tài khoản người dùng,
mật khẩutương ứng và các tài khoản máy tính. -Cung cấpmột
Server đóng vai trò chứng thực(authentication server) hoặc
Server quản lý đăng nhập(logon Server), Server này còn gọi
là domain controller (máy điều khiển vùng). -Duy trì
mộtbảng hướng dẫn hoặcmộtbảng chỉmục(index) giúp các
máy tính trong mạng có thểdò tìm nhanh một tài nguyên nào
đó trên các máy tính khác trong vùng.
-Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độquyền(rights)
khácnhau như: toàn quyền trên hệthống mạng, chỉcó quyền backup dữliệu hay shutdown
Server từxa…
-Cho phép chúng ta chia nhỏmiềncủa mình ra thành các miền con (subdomain) hay các
đơnvịtổchức OU (Organizational Unit). Sau đó chúng ta có thểủy quyền cho các quản trịviên
bộphận quản lýtừng bộphận nhỏ.
II.3. Directory Services.
II.3.1 Giới thiệu Directory Services.Directory Services (dịch vụdanh bạ) là hệthống thông tin
chứa trong NTDS.DIT và các chương trình
quản lý, khai thác tập tin này. Dịch vụdanh bạlà mộtdịch vụcơsởlàm nềntảng đểhình
thành mộthệthống Active Directory.Mộthệthống với những tính năng vượt trộicủa
Microsoft.
II.3.2 Các thành phần trong Directory Services.
Đầu tiên, bạn phải biết được những thành phầncấutạo nên dịch vụdanh bạlà gì? Bạn có
thểso sánh dịch vụdanh bạvớimột quyểnsổlưusốđiện thoại. Cảhai đều chứa danh sách

của nhiều đốitượng khác nhau cũng nhưcác thông tin và thuộc tính liên quan đến các
đốitượng đó.
a. Object (đốitượng).
Trong hệthống cơsởdữliệu, đốitượng bao gồm các máy in, người dùng mạng, các
server, các máy trạm, các thưmục dùng chung, dịch vụmạng, … Đốitượng chính là thành
tốcănbản nhấtcủadịch vụdanh bạ.
b. Attribute (thuộc tính).
Một thuộc tính mô tảmột đốitượng. Ví dụ,mật khẩu và tên là thuộc tính của đốitượng
người dùng mạng. Các đốitượng khác nhau có danh sách thuộc tính khác nhau, tuy
nhiên, các đốitượng khác nhau cũngcó thểcó mộtsốthuộc tính giống nhau. Lấy ví
dụnhưmộtmáyinvà một máy trạmcảhai đều có một thuộc tính là địa chỉIP.
c. Schema (cấu trúc tổchức).
Một schema định nghĩa danh sách các thuộc tính dùng đểmô tảmột loại đốitượng nào
đó. Ví dụ, cho rằng tấtcảcác đốitượng máy in đều được định nghĩabằng các thuộc tính
tên, loại PDL và tốc độ. Danh sách các đốitượng này hình thành nên schema cho lớp
đốitượng “máy in”. Schema có đặc tính là tuỳbiến được, nghĩa là các thuộc tính dùng
đểđịnh nghĩamộtlớp đốitượng có thểsửa đổi được. Nói tóm lại Schema có thểxem là
một danh bạcủa cái danh bạActive Directory.
d. Container (vật chứa).
Vật chứatương tựvới khái niệm thưmục trong Windows.Một thưmục có thểchứa các tập tin và
cácthưmục khác. Trong Active Directory,mộtvật chứa có thểchứa các đốitượng và các vật chứa
khác. Vật chứacũng có các thuộc tính nhưđốitượng mặc dù vật chứa không thểhiệnmột thực
thểthậtsựnào đó nhưđốitượng. Có ba loạivật chứa là:
233
-Domain: khái niệm này được trình bày chi tiết ởphần sau.-Site:một site là mộtvịtrí. Site được
dùng đểphân biệt giữa các vịtrí cụcbộvà các vịtrí xa xôi. Ví
dụ, công ty XYZ có tổng hành dinh đặt ởSan Fransisco,một chi nhánh đặt ởDenver và mộtvăn
phòng đại diện đặt ởPortland kếtnốivềtổng hành dinh bằng Dialup Networking. Nhưvậyhệ
thống mạngnàycó ba site.
-OU (Organizational Unit): là một loạivật chứa mà bạn có thểđưa vào đó người dùng, nhóm, máy

tính và những OU khác. Một OU không thểchứa các đốitượng nằm trong domain khác.
Nhờviệcmột OU có thểchứa các OU khác, bạn có thểxây dựng một mô hình thứbậccủa các vật
chứa đểmô hình hoá cấu trúc củamộttổchức bên trong một domain. Bạn nên sửdụng OU
đểgiảm thiểusốlượng domain cần phải thiếtlập trên hệthống.
e. Global Catalog. -Dịch vụGlobal Catalog dùng đểxác định vịtrí
củamột đốitượng mà người dùng đượccấp quyền truy cập. Việc
tìm kiếm được thực hiện xa hơn những gì đã có trong Windows
NT và không chỉcó thểđịnh vịđược đốitượng bằng tên mà
cóthểbằng cảnhững thuộc tính của đốitượng.
-Giảsửbạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắnbạnsẽkhông dùng một máy
in HP Laserjet 4L.Bạnsẽphải tìm một máy in chuyên dụng, in vớitốc độ100ppm và có khảnăng
đóng tài liệu thành quyển. NhờGlobal Catalog,bạn tìm kiếm trên mạng một máy in với các
thuộc tính nhưvậy và tìm thấy đượcmột máy Xerox Docutech 6135.Bạn có thểcài đặt driver
cho máy in đó và gửi print job đến máy in. Nhưng nếubạn ởPortland và máy in thì ởSeattle
thì sao? Global Catalog sẽcung cấp thông tin này và bạn có thểgửi email cho chủnhân của
máy in, nhờhọin giùm.
-Một ví dụkhác, giảsửbạn nhận đượcmột thưthoạitừmột người tên Betty Doe ởbộphậnkếtoán.
Đoạn thưthoạicủa cô ta bịcắt xén và bạn không thểbiết đượcsốđiện thoạicủa cô ta. Bạn có
thểdùng Global Catalog đểtìm thông tin vềcô ta nhờtên, và nhờđóbạn có đượcsốđiện
thoạicủa cô ta.
-Khi một đốitượng đượctạomới trong Active Directory, đốitượng được gán một con sốphân
biệtgọi là GUID (Global Unique Identifier). GUID củamột đốitượng luôn luôn cốđịnh cho dù
bạn có di chuyển đốitượng đi đến khu vực khác.
II.4. Kiến trúc của Active Directory.
II.4.1 Objects. Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm
Object classes và Attributes. Object classes là mộtbản thiếtkếmẫu hay một khuôn mẫu cho các
loại đốitượng mà bạn có thểtạo ra trong Active Directory. Có ba loại object classes thông dụng
là: User, Computer, Printer. Khái niệm thứhai là Attributes, nó được định nghĩa là tập các giá
trịphù hợp và đượckết hợpvớimột đốitượng cụthể. Nhưvậy Object là một đốitượng duy nhất được
định nghĩabởi các giá

trịđược gán cho các thuộc tính của object classes. Ví dụhình sau minh họa hai đốitượng là: máy in
ColorPrinter1 và người dùng KimYoshida.
II.4.2 Organizational Units. Organizational Unit hay OU là đơnvịnhỏnhất trong hệthống AD, nó
được xem là mộtvật chứa các đốitượng (Object) được dùng đểsắpxếp các đốitượng khác nhau
phụcvụcho mục đích quản trịcủa
bạn. OU cũng được thiếtlậpdựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet
kếtnối tốtvới nhau”. Việcsửdụng OU có hai công dụng chính sau:
-Trao quyền kiếm soát mộttậphợp các tài khoản người dùng, máy tính hay các thiếtbịmạng cho
một nhóm người hay một phụtá quản trịviên nào đó (sub-administrator), từđó giảmbớt công
tác quản trịcho người quản trịtoàn bộhệthống.
-Kiểm soát và khóa bớtmộtsốchứcnăng trên các máy trạmcủa người dùng trong OU thông qua
việcsửdụng các đốitượng chính sách nhóm (GPO), các chính sách nhóm này chúng ta sẽtìm
hiểu ởcác chương sau.
II.4.3 Domain. Domain là đơnvịchứcnăng nòng cốtcủacấu trúc logic Active Directory. Nó là
phương tiện đểqui định mộttậphợp những người dùng, máy tính, tài nguyên chia sẻcó những qui
tắcbảomật giống
nhau từđó giúp cho việc quản lý các truy cập vào các Server dễdàng hơn. Domain đáp ứng ba
chức năng chính sau:
-Đóng vai trò nhưmột khu vực quản trị(administrative boundary) các đốitượng, là mộttậphợp các
định nghĩa quản trịcho các đốitượng chia sẻnhư: có chung mộtcơsởdữliệu thưmục, các chính
sách bảomật, các quan hệủy quyềnvới các domain khác.
-Giúp chúng ta quản lý bảomật các các tài nguyên chia sẻ.
-Cung cấp các Server dựphòng làm chứcnăng điều khiển vùng (domain controller), đồng thời
đảmbảo các thông tin trên các Server này được được đồng bộvới nhau.
II.4.4 Domain Tree. Domain Tree là cấu trúc bao gồm nhiều domain đượcsắpxếpcó cấpbậc theo
cấu trúc hình cây. Domain tạo ra đầu tiên đượcgọi là domain root và nằm ởgốccủa cây thưmục.
Tấtcảcác domain tạo ra sau sẽnằm bên dưới domain root và đượcgọi là domain con (child
domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhấtmột
domain con đượctạo ra thì hình
thành một cây domain. Khái niệm này bạnsẽthường nghe thấy khi làm việcvớimộtdịch vụthưmục.

Bạn có thểthấycấu trúc sẽcó hình dáng củamột cây khi có nhiều nhánh xuất hiện.
II.4.5 Forest. Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác
Forest là tậphợp các Domain Tree có thiếtlập quan hệvà ủy quyền cho nhau. Ví dụgiảsửmột công
ty nào đó, chẳng hạn
nhưMicrosoft, thu mua một công ty khác. Thông thường, mỗi công ty đều có mộthệthống Domain
Tree riêng và đểtiện quản lý, các cây này sẽđượchợp nhấtvới nhau bằng một khái niệmlà rừng.
III. CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY.
III.1. Nâng cấp Server thành Domain Controller.
III.1.1 Giới thiệu. Một khái niệm không thay đổitừWindows NT 4.0 là domain.Một domain vẫn còn
là trung tâm của mạng Windows 2000 và Windows 2003, tuy nhiên lại được thiếtlập khác đi. Các
máy điều khiển vùng (domain controller – DC) không còn phân biệt là PDC (Primary Domain
Controller) hoặc là BDC (Backup Domain Controller). Bây giờ, đơn giản chỉcòn là DC. Theo mặc
định, tấtcảcác máy Windows Server 2003 khi mới cài đặt đều là Server độclập(standalone
server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng
đểnâng cấpmột máy không phải là DC (Server Stand-alone) thành một máy DC và ngượclại giáng
cấpmột máy DC thành một
Server bình thường. Chú ý đốivới Windows Server 2003 thì bạn có thểđổi tên máy tính khi đã
nâng cấp thành DC.
Trước khi nâng cấp Server thành Domain Controller,bạncần khai báo đầy đủcác thông sốTCP/IP,
đặc biệt là phải khai báo DNS Server có địa chỉchính là địa chỉIP của Server cần nâng cấp.
Nếubạn có khảnăng cấu hình dịch vụDNS thì bạn nên cài đặtdịch vụnày trước khi nâng cấp
Server, còn ngượclại thì bạn chọn cài đặt DNS tựđộng trong quá trình nâng cấp. Có hai cách
đểbạn chạy chương trình Active Directory Installation Wizard:bạn dùng tiện ích Manage Your
Server trong Administrative Tools hoặc nhấp chuột vào Start Run, gõ lệnh DCPROMO.
III.1.2 Các bước cài đặt.
Chọn menu Start Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK.Khi đóhộp thoại
Active Directory Installation Wizard xuất hiện. Bạn nhấn Next đểtiếptục.
Chương trình xuất hiệnhộp thoạicảnh báo: DOS, Windows 95 và WinNT SP3 trởvềtrướcsẽbịloại
ra khỏi miền Active Directory dựa trên Windows Server 2003.Bạn chọn Next đểtiếptục.
Trong hộp thoại Domain Controller Type, chọnmục Domain Controller for a New

Domain và nhấn chọn Next. (Nếubạn muốnbổsung máy điều khiển vùng vào một
domain có sẵn, bạnsẽchọn Additional domain cotroller for an existing domain.)
Đến đây chương trình cho phép bạn chọnmột trong ba lựa chọn sau: chọn Domain in new forest
nếu bạn muốntạo domain đầu tiên trong mộtrừng mới, chọn Child domain in an existing domain
tree nếubạn muốntạo ramột domain con dựa trên một cây domain có sẵn, chọn Domain tree in
an existing forest nếubạn muốntạo ra một cây domain mới trong mộtrừng đãcó sẵn.
Hộp thoại New Domain Name yêu cầubạn tên DNS đầy đủcủa domain mà
bạncần xây dựng.
Hộp thoại NetBIOS Domain Name, yêu cầubạn cho biết tên domain theo chuẩn NetBIOS
đểtương thích với các máy Windows NT. Theo mặc định, tên Domain NetBIOS giống phần
đầucủa tên Full DNS,bạn có thểđổi sang tên khác hoặc chấp nhận giá trịmặc định. Chọn Next
đểtiếptục.
Hộp thoại Database and Log Locations cho phép bạn chỉđịnh vịtrí lưu trữdatabase
Active Directory và các tập tin log.Bạn có thểchỉđịnh vịtrí khác hoặc chấp nhận giá
trịmặc định. Tuy nhiên theo khuyến cáo của các nhà quản trịmạng thì chúng ta nên
đặttập tin chứa thông tin giao dịch (transaction log) ởmột đĩacứng vật lý khác với
đĩacứng chứacơsởdữliệucủa Active Directory nhằmtăng hiệunăng củahệthống. Bạn
chọn Next đểtiếptục.
Hộp thoại Shared System Volume cho phép bạn chỉđịnh ví trí của thưmục SYSVOL. Thưmục này
phảinằm trên một NTFS5 Volume.Tấtcảdữliệu đặt trong thưmục Sysvol này sẽđượctựđộng sao