Kiến trúc của Active Directory là một phần quan trọng trong việc quản lý mạng và bảo mật thông tin. Bài viết này sẽ tìm hiểu chi tiết về kiến trúc của Active Directory, từ cấu trúc cơ bản đến các thành phần chính, giúp bạn hiểu rõ hơn về cách thức hoạt động của hệ thống này.
1. Active Directory là gì?
Active Directory (AD) là một dịch vụ thư mục được phát triển bởi Microsoft, cung cấp giải pháp quản lý người dùng, nhóm và phân quyền truy cập vào tài nguyên mạng.
Dịch vụ cung cấp một cơ sở dữ liệu trung tâm để lưu trữ thông tin về người dùng, máy tính, nhóm và tài nguyên mạng.
2. Kiến trúc của Active Directory
Kiến trúc của Active Directory gồm 3 phần: Active Directory Object, Active Directory Schema, Active Directory Component.
2.1 Active Directory Object
Với Active Directory, mỗi tài nguyên là một “object”. Một số object phổ biến bao gồm:
- Users
- Groups
- Computers
- Shared folders
Mỗi object có những thuộc tính riêng đặc trưng cho object đó. Ví dụ như object user có các thuộc tính liên quan như First Name, Last Name, Login Name, … và Computer Object có các thuộc tính như computer name, description…
Container Object có thể chứa các nhóm hoặc object khác.
2.2 Active Directory Schema
Active Directory Schema định nghĩa các đối tượng được lưu trữ trong AD. Hiểu một cách đơn giản, AD Schema là một danh sách bao gồm những thông tin giúp xác định các loại đối tượng liên quan có trong Active Directory.
Hai loại Schema:
- Schema Class: Như một template để tạo ra các đối tượng mới trong AD. Ví dụ, “User” là một Schema Class, nó xác định các thuộc tính cơ bản của một người dùng, như tên, mật khẩu, email, v.v. Mỗi Schema Class bao gồm một tập hợp các thuộc tính (Schema Attribute Objects).
Khi bạn tạo một đối tượng thuộc về một Schema Class, Schema Attribute sẽ lưu trữ các thuộc tính của đối tượng đó. Ví dụ, khi bạn tạo một đối tượng “User” mới, Schema Attribute sẽ lưu trữ tên, mật khẩu, email của người dùng đó. - Schema Attribute: Định nghĩa các thuộc tính và quan hệ tương ứng với Schema Class objects. Mỗi thuộc tính chỉ được định nghĩa một lần trong Active Directory và có thể thuộc về nhiều Schema Class objects.
2.3 Active Directory Components
Có hai loại cấu trúc chính trong AD Components là Logical (Logic) và Physical (Vật lý).
2.3.1 Logical Structure
Tổ chức tài nguyên theo cách logic giúp người quản trị dễ dàng truy xuất đến các tài nguyên mà không cần nhớ vị trí vật lý của chúng. AD sử dụng các cấu trúc logic như Domains, OUs, Trees và Forests để tổ chức các tài nguyên.
– Domain:
- Domain là thành phần cốt lõi trong kiến trúc tổ chức logic của AD. Một domain lưu trữ thông tin về hàng triệu đối tượng (objects), bao gồm:
- User accounts
- Computers
- Groups
- Các đối tượng khác
- AD có thể được tạo bởi một hoặc nhiều domain. Mỗi domain có thể được triển khai trên nhiều physical structure.
- Việc truy cập vào domain được quản lý thông qua Access Control Lists (ACLs), cho phép cấp quyền truy cập cho từng đối tượng cụ thể.
– Organizational Units (OUs):
- OU là một container dùng để nhóm các đối tượng trong một domain theo cách logic. Cho phép bạn quản lý các đối tượng, chẳng hạn như người dùng và tài nguyên.
- Phân quyền: OUs cung cấp phạm vi nhỏ nhất để bạn ủy quyền quản trị.
- Cấu trúc: OUs có thể chứa nhiều đối tượng như user accounts, groups, computers và các OUs khác. Các OUs tạo thành một cây OU trong cùng một domain. Các cây OUs trong một domain hoạt động độc lập với các cây OU trong các domain khác.
– Trees:
- Trees là nhóm các domain được tổ chức theo cấu trúc hình cây, thể hiện mối quan hệ parent-child giữa các domain.
- Một domain có thể có một hoặc nhiều child domain, nhưng một child domain chỉ có thể có một parent domain.
- Ví dụ: microsoft.com là một domain cha và uk.microsoft.com và us.microsoft.com là hai domain con, tạo thành một tree.
– Forests:
- Forest là mô hình tổ chức lớn nhất trong AD, bao gồm nhiều domain trees có quan hệ với nhau.
- Các domain trees trong một forest hoạt động độc lập về tổ chức, nhưng có mối quan hệ tin tưởng hai chiều (trust) với nhau.
- Đặc tính của forest:
- Schema chia sẻ chung
- Global catalog chia sẻ chung
- Mối quan hệ tin tưởng hai chiều giữa các domain
- Cấu trúc tên (domain name) khác nhau giữa các trees
- Các domain trong forest hoạt động độc lập, nhưng hoạt động của forest đại diện cho hoạt động của toàn bộ hệ thống tổ chức.
2.3.2 Physical Structure
Hai thành phần vật lý quan trọng của Active Directory là Sites và Domain Controllers.
– Sites:
- Sites được sử dụng để xác định vị trí địa lý của các domain trong hệ thống AD. Khi các domain được phân tán ở nhiều vị trí địa lý khác nhau, mỗi vị trí đó được coi là một Site.
- Site giúp tối ưu hóa hiệu suất mạng và giảm thiểu lưu lượng mạng bằng cách kết nối các domain cùng Site với nhau thông qua các đường truyền mạng nhanh hơn.
– Domain Controllers (DC):
DC là máy tính hoặc máy chủ chuyên dụng được thiết lập để lưu trữ bản sao của Domain Directory (cơ sở dữ liệu domain).
- Chức năng:
- Xác thực người dùng.
- Quản lý thông tin: Quản lý thông tin và đồng bộ dữ liệu với các DC khác trong cùng một domain để đảm bảo tính nhất quán của dữ liệu trên toàn domain.
- Cơ chế đa chủ: AD sử dụng cơ chế đa chủ (multimaster), nghĩa là tất cả các DC đều ngang hàng với nhau và có bản sao dữ liệu của database.
- Dự phòng: Hệ thống có thể có nhiều hơn một DC để đảm bảo dự phòng, trong trường hợp một DC gặp lỗi, các DC khác sẽ tự động tiếp quản chức năng.
- Vai trò chủ quản lý: Để đảm bảo sự nhất quán trong một số thao tác nhất định, các vai trò chủ quản lý (operations master roles) có thể được gán cho một hoặc nhiều DC để thực hiện đồng bộ theo cơ chế đơn chủ (single-master)
Hy vọng bài viết đã cung cấp cho bạn những kiến thức cơ bản và hữu ích, hiểu rõ kiến trúc của Active Directory sẽ giúp bạn tối ưu hóa hệ thống và tận dụng tối đa các tính năng của nó.
