Kiến trúc của Active Directory – Các thành phần chính

Đăng vào Tác giả Nguyễn Tiến Trường

Kiến trúc của Active Directory là một phần quan trọng trong việc quản lý mạng và bảo mật thông tin. Bài viết này sẽ tìm hiểu chi tiết về kiến trúc của Active Directory, từ cấu trúc cơ bản đến các thành phần chính, giúp bạn hiểu rõ hơn về cách thức hoạt động của hệ thống này.

Xem thêm:

Network Policy Server là gì

cấu hình DHCP Server Windows

Hướng dẫn Demote Domain Controller

1. Active Directory là gì?

Active Directory (AD) là một kiến trúc độc quyền của Microsoft, cung cấp giải pháp quản lý người dùng, nhóm và phân quyền truy cập vào tài nguyên mạng.

Active Directory là một hệ thống được chuẩn hoá với khả năng quản trị tập trung người dùng cũng như các nguồn tài nguyên trong hệ thống mạng. Từ đó, làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động. AD được sử dụng trong mô hình mạng “Client – Server”,

Active Directory

2. Kiến trúc của Active Directory

Kiến trúc của Active Directory gồm 3 phần: Active Directory Object, Active Directory Schema, Active Directory Component.

Kiến trúc Active Directory

2.1 Active Directory Object

Với Active Directory, mỗi tài nguyên là một “object”. Một số object phổ biến bao gồm:

  • Users
  • Groups
  • Computers
  • Shared folders

Mỗi object có những thuộc tính riêng đặc trưng cho object đó. Ví dụ như object user có các thuộc tính liên quan như First Name, Last Name, Login Name, … và Computer Object có các thuộc tính như computer name, description…

Container Object có thể chứa các nhóm hoặc object khác.

Active Directory Object

2.2 Active Directory Schema (Lược đồ AD)

Active Directory Schema định nghĩa các đối tượng được lưu trữ trong AD. Hiểu một cách đơn giản, AD Schema là một danh sách bao gồm những thông tin giúp xác định các loại đối tượng liên quan có trong Active Directory.

Hai loại Schema:

  • Schema Class: Như một template để tạo ra các đối tượng mới trong AD. Ví dụ, “User” là một Schema Class, nó xác định các thuộc tính cơ bản của một người dùng, như tên, mật khẩu, email, v.v. Mỗi Schema Class bao gồm một tập hợp các thuộc tính (Schema Attribute Objects).
    Khi bạn tạo một đối tượng thuộc về một Schema Class, Schema Attribute sẽ lưu trữ các thuộc tính của đối tượng đó. Ví dụ, khi bạn tạo một đối tượng “User” mới, Schema Attribute sẽ lưu trữ tên, mật khẩu, email của người dùng đó.
  • Schema Attribute: Định nghĩa các thuộc tính và quan hệ tương ứng với Schema Class objects. Mỗi thuộc tính chỉ được định nghĩa một lần trong Active Directory và có thể thuộc về nhiều Schema Class objects.

Active Directory Schema

2.3 Active Directory Components

Có hai loại cấu trúc chính trong AD Components là Logical (Logic) và Physical (Vật lý).

2.3.1 Logical Structure

Tổ chức tài nguyên theo cách logic giúp người quản trị dễ dàng truy xuất đến các tài nguyên mà không cần nhớ vị trí vật lý của chúng. AD sử dụng các cấu trúc logic như Domains, OUs, Trees và Forests để tổ chức các tài nguyên.

Logical Structure Active Directory

– Domain:

  • Domain là thành phần cốt lõi trong kiến trúc tổ chức logic của AD. Một domain lưu trữ thông tin về hàng triệu đối tượng (objects), bao gồm:
    • User accounts
    • Computers
    • Groups
    • Các đối tượng khác
  • AD có thể được tạo bởi một hoặc nhiều domain. Mỗi domain có thể được triển khai trên nhiều physical structure.
  • Việc truy cập vào domain được quản lý thông qua Access Control Lists (ACLs), cho phép cấp quyền truy cập cho từng đối tượng cụ thể.

Active Directory Domain

– Organizational Units (OUs):

  • OU là một container dùng để nhóm các đối tượng trong một domain theo cách logic. Cho phép bạn quản lý các đối tượng, chẳng hạn như người dùng và tài nguyên.
  • Phân quyền: OUs cung cấp phạm vi nhỏ nhất để bạn ủy quyền quản trị.
  • Cấu trúc: OUs có thể chứa nhiều đối tượng như user accounts, groups, computers và các OUs khác. Các OUs tạo thành một cây OU trong cùng một domain. Các cây OUs trong một domain hoạt động độc lập với các cây OU trong các domain khác.

Active Directory OU

– Trees:

  • Trees là nhóm các domain được tổ chức theo cấu trúc hình cây, thể hiện mối quan hệ parent-child giữa các domain.
  • Một domain có thể có một hoặc nhiều child domain, nhưng một child domain chỉ có thể có một parent domain.
  • Ví dụ: microsoft.com là một domain cha và uk.microsoft.com và us.microsoft.com là hai domain con, tạo thành một tree.

Active Directory Tree

– Forests:

  • Forest là mô hình tổ chức lớn nhất trong AD, bao gồm nhiều domain trees có quan hệ với nhau.
  • Các domain trees trong một forest hoạt động độc lập về tổ chức, nhưng có mối quan hệ tin tưởng hai chiều (trust) với nhau.
  • Đặc tính của forest:
    • Schema chia sẻ chung
    • Global catalog chia sẻ chung
    • Mối quan hệ tin tưởng hai chiều giữa các domain
    • Cấu trúc tên (domain name) khác nhau giữa các trees
  • Các domain trong forest hoạt động độc lập, nhưng hoạt động của forest đại diện cho hoạt động của toàn bộ hệ thống tổ chức.

Active Directory Forest

2.3.2 Physical Structure

Hai thành phần vật lý quan trọng của Active Directory là Sites và Domain Controllers.

– Sites:

  • Sites được sử dụng để xác định vị trí địa lý của các domain trong hệ thống AD. Khi các domain được phân tán ở nhiều vị trí địa lý khác nhau, mỗi vị trí đó được coi là một Site.
  • Site giúp tối ưu hóa hiệu suất mạng và giảm thiểu lưu lượng mạng bằng cách kết nối các domain cùng Site với nhau thông qua các đường truyền mạng nhanh hơn.

– Domain Controllers (DC):

Domain Controller là máy tính hoặc máy chủ chuyên dụng được thiết lập để lưu trữ bản sao của Domain Directory (cơ sở dữ liệu domain).

  • Chức năng:
    • Xác thực người dùng.
    • Quản lý thông tin: Quản lý thông tin và đồng bộ dữ liệu với các DC khác trong cùng một domain để đảm bảo tính nhất quán của dữ liệu trên toàn domain.
    • Cơ chế đa chủ: AD sử dụng cơ chế đa chủ (multimaster), nghĩa là tất cả các DC đều ngang hàng với nhau và có bản sao dữ liệu của database.
    • Dự phòng: Hệ thống có thể có nhiều hơn một DC để đảm bảo dự phòng, trong trường hợp một DC gặp lỗi, các DC khác sẽ tự động tiếp quản chức năng.
    • Vai trò chủ quản lý: Để đảm bảo sự nhất quán trong một số thao tác nhất định, các vai trò chủ quản lý (operations master roles) có thể được gán cho một hoặc nhiều DC để thực hiện đồng bộ theo cơ chế đơn chủ (single-master)

3. Những tính năng của Active Directory

  • Lưu trữ dữ liệu tập trung (Centralized Data Store)
    • Ví dụ: Một công ty có 500 nhân viên cần quản lý tài khoản đăng nhập của tất cả mọi người. Thay vì lưu trữ thông tin đăng nhập trên từng máy tính cá nhân, công ty sử dụng Active Directory để tập trung toàn bộ thông tin tài khoản trên một máy chủ (domain controller). Nhờ đó, nhân viên có thể đăng nhập vào bất kỳ máy tính nào trong mạng nội bộ mà không cần tạo tài khoản mới.
  • Khả năng mở rộng (Scalability)
    • Ví dụ: Một tập đoàn đa quốc gia có hàng chục ngàn nhân viên ở nhiều chi nhánh khác nhau có thể mở rộng hệ thống Active Directory để quản lý tất cả người dùng trong cùng một hệ thống, bất kể họ làm việc ở đâu. Khi công ty mở thêm chi nhánh mới, họ chỉ cần thêm domain controller tại địa điểm mới thay vì xây dựng một hệ thống quản lý riêng biệt.
  • Khả năng mở rộng linh hoạt (Extensibility)
    • Ví dụ: Một công ty phần mềm cần lưu trữ thêm thông tin về kỹ năng lập trình của nhân viên trong Active Directory. Thay vì sử dụng một hệ thống quản lý riêng, công ty có thể mở rộng lược đồ của AD để thêm thuộc tính “Ngôn ngữ lập trình thành thạo” vào hồ sơ nhân viên mà không ảnh hưởng đến dữ liệu hiện có.
  • Khả năng quản trị linh hoạt và dễ dàng (Management)
    • Ví dụ: Bộ phận IT của một trường đại học sử dụng Active Directory để cấp quyền truy cập Wi-Fi, email, và thư viện số cho sinh viên. Khi một sinh viên tốt nghiệp, quản trị viên có thể dễ dàng vô hiệu hóa tài khoản của họ chỉ với một vài cú nhấp chuột mà không cần xử lý thủ công trên từng hệ thống riêng lẻ.
  • Tích hợp với Hệ thống Tên Miền (Integration with DNS)
    • Ví dụ: Khi một nhân viên muốn truy cập vào máy chủ nội bộ của công ty bằng cách nhập “intranet.company.com” vào trình duyệt, hệ thống DNS của Active Directory sẽ tự động phân giải tên miền này thành địa chỉ IP của máy chủ nội bộ, giúp nhân viên truy cập nhanh chóng mà không cần nhớ địa chỉ IP phức tạp.
  • Quản lý cấu hình máy khách (Client Configuration Management)
    • Ví dụ: Một công ty muốn đảm bảo rằng tất cả các máy tính nhân viên đều có tường lửa và phần mềm diệt virus được bật. Thay vì yêu cầu từng nhân viên tự cài đặt, quản trị viên IT có thể sử dụng Group Policy của Active Directory để tự động áp dụng các thiết lập này lên tất cả máy tính trong mạng.
  • Quản trị dựa trên chính sách (Policy-based Administration)
    • Ví dụ: Một doanh nghiệp muốn chặn nhân viên cài đặt phần mềm không rõ nguồn gốc để giảm nguy cơ bảo mật. Thay vì kiểm tra từng máy tính, quản trị viên có thể tạo một Group Policy trong Active Directory để ngăn chặn việc cài đặt ứng dụng không được phép trên tất cả các máy tính của công ty.
  • Nhân bản dữ liệu (Replication of Information)
    • Ví dụ: Một ngân hàng có nhiều chi nhánh sử dụng Active Directory để quản lý thông tin khách hàng. Khi một giao dịch viên cập nhật địa chỉ của khách hàng tại chi nhánh Hà Nội, dữ liệu này sẽ tự động được đồng bộ với tất cả các máy chủ domain controller khác, đảm bảo rằng nhân viên ở chi nhánh TP.HCM cũng có thể truy cập thông tin mới nhất mà không cần nhập lại dữ liệu.

Hy vọng bài viết đã cung cấp cho bạn những kiến thức cơ bản và hữu ích, hiểu rõ kiến trúc của Active Directory sẽ giúp bạn tối ưu hóa hệ thống và tận dụng tối đa các tính năng của nó. Cảm ơn bạn đã tham khảo trên ttnguyen.net

Bài viết liên quan:

disk quota là gì

cách cài Windows Server 2022 trên VMware

cách cài đặt FTP Server trên Windows Server 2022

readonly access trên active directory

Nguyễn Tiến Trường

Mình viết về những điều nhỏ nhặt trong cuộc sống, Viết về câu chuyện những ngày không có em