• Post author:
  • Post last modified:20 Tháng Chín, 2021

Active Directory là gì? Các tính năng của Active Directory

Active Directory (AD) là một dịch vụ thư mục chạy trên Microsoft Windows Server. Chức năng chính Active Directory là cho phép người quản trị quản lý quyền và kiểm soát quyền truy cập vào tài nguyên mạng. Trong Active Directory, dữ liệu được lưu trữ dưới dạng các đối tượng, bao gồm người dùng, nhóm, ứng dụng và thiết bị. Các đối tượng này được phân loại theo tên và thuộc tính của chúng. Dưới đây là những thông tin chi tiết hơn về Active Directory là gì? Các dịch vụ và tính năng của Active Directory.

Active Directory là gì và nó hoạt động như thế nào?

Active Directory là gì và nó hoạt động như thế nào

Active Directory (AD) là dịch vụ thư mục độc quyền của Microsoft. Nó chạy trên Windows Server và cho phép quản trị viên quản lý quyền cũng như truy cập vào tài nguyên mạng.

Active Directory lưu trữ dữ liệu dưới dạng các đối tượng. Đối tượng là một phần tử đơn lẻ như người dùng, nhóm, ứng dụng hoặc thiết bị như máy in. Các đối tượng thường được định nghĩa là tài nguyên, ví dụ như máy in hoặc máy tính, hoặc nguyên tắc bảo mật, ví dụ như người dùng hoặc nhóm.

Active Directory phân loại các đối tượng thư mục theo tên và thuộc tính. Ví dụ: tên của người dùng có thể bao gồm chuỗi tên, cùng với thông tin được liên kết với người dùng, chẳng hạn như mật khẩu và khóa Secure Shell.

Dịch vụ chính trong Active Directory là Domain Services (viết tắt là AD DS). Active Directory Domain Services là gì? Đây chính là dịch vụ lưu trữ thông tin thư mục và xử lý tương tác của người dùng với domain. AD DS xác minh quyền truy cập khi người dùng đăng nhập vào thiết bị hoặc cố gắng kết nối với máy chủ qua mạng. AD DS kiểm soát người dùng nào có quyền truy cập vào từng tài nguyên, cũng như các chính sách nhóm. Ví dụ: quản trị viên thường có cấp truy cập dữ liệu khác với người dùng cuối.

Các sản phẩm hệ điều hành (OS) khác của Microsoft và Windows, chẳng hạn như Exchange Server và SharePoint Server, dựa vào AD DS để cung cấp quyền truy cập tài nguyên. Máy chủ lưu trữ AD DS là bộ điều khiển miền (domain).

Các dịch vụ của Active Directory là gì?

Một số dịch vụ khác nhau của Active Directory bao gồm: dịch vụ chính là Dịch vụ tên miền (Domain Service). Ngoài ra còn có các dịch vụ khác như dịch vụ thư mục nhẹ (AD LDS), dịch vụ chứng chỉ (AD CS), dịch vụ liên kết (AD FS) và dịch vụ quản lý quyền (AD RMS). Mỗi dịch vụ này đều mở rộng khả năng quản lý thư mục của sản phẩm.

Dịch vụ thư mục hạng nhẹ (AD LDS)

Dịch vụ thư mục nhẹ (Lightweight Directory Services) là dịch vụ thư mục Giao thức truy cập thư mục nhẹ (Lightweight Directory Access Protocol). Nó chỉ cung cấp một tập hợp con các tính năng của Active Directory Domain Services, điều này làm cho nó linh hoạt hơn về nơi có thể chạy. Ví dụ, nó có thể được chạy như một dịch vụ thư mục độc lập mà không cần phải được tích hợp với việc triển khai đầy đủ Active Directory.

Dịch vụ chứng chỉ (AD CS)

Dịch vụ Chứng chỉ của Active Directory (Certificate Services) giúp tạo, quản lý và chia sẻ chứng chỉ. Chứng chỉ sử dụng mã hóa để cho phép người dùng trao đổi thông tin qua internet một cách an toàn bằng khóa công khai.

Dịch vụ liên kết (AD FS)

Dịch vụ liên kết Active Directory (Federation Services) xác thực quyền truy cập của người dùng vào nhiều ứng dụng – ngay cả trên các mạng khác nhau – bằng cách sử dụng đăng nhập một lần (SSO). Đúng như tên gọi của nó, SSO chỉ yêu cầu người dùng đăng nhập một lần, thay vì sử dụng nhiều khóa xác thực chuyên dụng cho mỗi dịch vụ.

Dịch vụ quản lý quyền (AD RMS)

Dịch vụ quản lý quyền (Rights Management Services) mã hóa nội dung, chẳng hạn như email hoặc tài liệu Microsoft Word, trên máy chủ để giới hạn quyền truy cập.

Chức năng chính của Active Directory Domain Services là gì?

Dịch vụ miền Active Directory sử dụng cấu trúc bố cục phân cấp bao gồm miền (domain), cây (tree) và rừng (forest) để điều phối các phần tử được nối mạng.

Miền (domain) là cấp nhỏ nhất trong các cấp chính, trong khi rừng (forest) là cấp lớn nhất. Các đối tượng khác nhau, ví dụ như người dùng và thiết bị, chia sẻ cùng một cơ sở dữ liệu sẽ nằm trên cùng một miền. Cây (tree) là một hoặc nhiều miền (domain) được nhóm lại với nhau bằng các mối quan hệ tin cậy phân cấp. Rừng (forest) là một nhóm gồm nhiều cây (tree). Rừng (forest) cung cấp ranh giới bảo mật, trong khi các miền (domain) – chia sẻ cơ sở dữ liệu chung – có thể được quản lý cho các cài đặt như xác thực và mã hóa.

Chức năng chính của Active Directory Domain Services là gì
  • Miền (domain) là một nhóm các đối tượng, ví dụ như người dùng hoặc thiết bị, chia sẻ cùng một cơ sở dữ liệu Active Directory. Miền có cùng cấu trúc với các miền gốc và miền phụ, ví dụ: yourdomain.com và sales.yourdomain.com.
  • Cây (tree) là một hoặc nhiều miền được nhóm lại với nhau. Cấu trúc cây sử dụng một không gian tên liền kề để tập hợp bộ sưu tập các miền trong một hệ thống phân cấp hợp lý. Cây có thể được xem như mối quan hệ tin cậy, kết nối an toàn khi chia sẻ giữa hai miền. Nhiều miền có thể được tin cậy trong đó một miền có thể tin cậy miền thứ hai và miền thứ hai có thể tin cậy miền thứ ba. Do tính chất phân cấp của thiết lập này, miền đầu tiên có thể hoàn toàn tin tưởng miền thứ ba mà không cần tin cậy rõ ràng.
  • Rừng (forest) là một nhóm gồm nhiều cây. Một khu rừng bao gồm các danh mục dùng chung, lược đồ thư mục, thông tin ứng dụng và cấu hình miền. Lược đồ xác định lớp của một đối tượng và các thuộc tính trong một khu rừng. Ngoài ra, các máy chủ danh mục toàn cầu cung cấp danh sách tất cả các đối tượng trong một khu rừng. Theo Microsoft, khu rừng (forest) là ranh giới bảo mật của Active Directory.
  • Đơn vị tổ chức (OU) tổ chức người dùng, nhóm và thiết bị. Mỗi miền có thể chứa đơn vị tổ chức của riêng mình. Tuy nhiên, các đơn vị tổ chức không thể có không gian tên riêng biệt, vì mỗi người dùng hoặc đối tượng trong miền phải là duy nhất. Ví dụ: không thể tạo tài khoản người dùng có cùng tên người dùng.
  • Vùng chứa (Container) tương tự như đơn vị tổ chức, nhưng Đối tượng chính sách nhóm không thể được áp dụng hoặc liên kết với các đối tượng vùng chứa.

Các thuật ngữ thường gặp trong Active Directory là gì?

Active Directory dựa vào sự tin cậy để kiểm duyệt quyền truy cập tài nguyên giữa các miền (domain). Có một số loại ủy thác khác nhau với các thuật ngữ quen thuộc sau đây:

  • One-way trust: Khi tên miền đầu tiên cho phép người dùng có đặc quyền truy cập trên tên miền thứ hai. Tuy nhiên, tên miền thứ hai không cho phép người dùng truy cập vào tên miền đầu tiên.
  • Two-way trust: Khi có hai tên miền và mỗi tên miền cho phép người dùng của tên miền kia truy cập.
  • Trusted Domain: Một tên miền duy nhất cho phép người dùng truy cập vào một tên miền khác, được gọi là tên miền tin cậy.
  • Transitive trust: Có thể mở rộng ra ngoài hai tên miền và cho phép truy cập vào các tên miền đáng tin cậy khác trong một khu rừng.
  • Intransitive trust: Một chiều được giới hạn cho hai tên miền.
  • Explicit trust: Là sự tin cậy một chiều, không trực tiếp được tạo bởi quản trị viên mạng.
  • Cross-link trust: Sự tin cậy liên kết chéo diễn ra giữa các tên miền trong cùng một cây, không có mối quan hệ con-mẹ nào giữa hai miền hoặc các cây khác nhau.
  • Forest trust: Áp dụng cho các tên miền trong toàn bộ khu rừng và có thể là một chiều, hai chiều hoặc bắc cầu.
  • Shortcut: Một phím tắt nối hai tên miền thuộc các cây riêng biệt. Các phím tắt có thể là một chiều, hai chiều hoặc bắc cầu.
  • Realm: Là một sự tin tưởng có tính bắc cầu, nội tại, một chiều hoặc hai chiều.
  • External trust: Là sự tin cậy liên kết các tên miền giữa các khu rừng riêng biệt hoặc các tên miền không phải là Active Directory. Sự tin cậy bên ngoài có thể không trực tiếp, một chiều hoặc hai chiều.
  • Private access management (PAM) trust: Là ủy thác một chiều được tạo bởi Microsoft Identity Manager giữa rừng sản xuất (production forest) và rừng pháo đài (bastion forest).

Lịch sử và sự phát triển của Active Directory

Lịch sử và sự phát triển của Active Directory

Microsoft đã cung cấp bản xem trước của Active Directory vào năm 1999 và phát hành nó một năm sau đó với Windows 2000 Server. Microsoft tiếp tục phát triển các tính năng mới với mỗi phiên bản Windows Server kế tiếp.

Windows Server 2003 bao gồm một bản cập nhật đáng chú ý để thêm các khu rừng (forest) và khả năng chỉnh sửa cũng như thay đổi vị trí của các tên miền (domain) trong các khu rừng (forest). Các miền trên Windows Server 2000 không thể hỗ trợ các bản cập nhật Active Directory mới hơn đang chạy trong Server 2003.

Windows Server 2008 đã giới thiệu AD FS. Ngoài ra, Microsoft đã đổi tên thư mục để quản lý miền thành AD DS và AD trở thành một thuật ngữ ô cho các dịch vụ dựa trên thư mục mà nó hỗ trợ.

Windows Server 2016 đã cập nhật AD DS để cải thiện bảo mật AD và di chuyển môi trường AD sang môi trường đám mây (Cloud) hoặc đám mây lai (Hybrid Cloud). Các bản cập nhật bảo mật bao gồm việc bổ sung PAM.

PAM giám sát quyền truy cập vào một đối tượng, loại quyền truy cập được cấp và những hành động mà người dùng đã thực hiện. PAM đã bổ sung các khu rừng pháo đài AD (bastion forest)để cung cấp thêm một môi trường rừng an toàn và biệt lập. Windows Server 2016 đã kết thúc hỗ trợ cho các thiết bị trên Windows Server 2003.

Vào tháng 12 năm 2016, Microsoft đã phát hành Azure AD Connect để tham gia hệ thống Active Directory tại chỗ với Azure Active Directory (Azure AD) để kích hoạt SSO cho các dịch vụ đám mây của Microsoft, chẳng hạn như Office 365. Azure AD Connect hoạt động với các hệ thống chạy Windows Server 2008, Windows Server 2012, Windows Server 2016 và Windows Server 2019.

Phân biệt Domain và Workgroup

Nhóm làm việc (workgroup) là thuật ngữ của Microsoft cho các máy Windows được kết nối qua mạng ngang hàng. Nhóm làm việc là một đơn vị tổ chức khác của máy tính Windows trong mạng. Các nhóm làm việc cho phép các máy này chia sẻ tệp, truy cập internet, máy in và các tài nguyên khác qua mạng. Mạng ngang hàng loại bỏ nhu cầu về máy chủ để xác thực. Một số khác biệt giữa tên miền (domain) và nhóm làm việc (workgroup) có thể kể đến như:

  • Tên miền (domain) không giống như nhóm làm việc (workgroup), có thể lưu trữ các máy tính từ các mạng cục bộ khác nhau.
  • Tên miền (domain) có thể được sử dụng để lưu trữ nhiều máy tính hơn nhóm làm việc (workgroup). Tên miền có thể bao gồm hàng nghìn máy tính, không giống như các nhóm làm việc (workgroup), thường có giới hạn trên gần 20.
  • Trong tên miền (domain), ít nhất một máy chủ là máy tính, được sử dụng để kiểm soát quyền và các tính năng bảo mật cho mọi máy tính trong tên miền (domain). Trong nhóm làm việc, không có máy chủ và tất cả các máy tính là ngang hàng.
  • Người dùng tên miền (domain) thường yêu cầu số nhận dạng bảo mật như thông tin đăng nhập và mật khẩu, không giống như nhóm làm việc (workgroup).

Đối thủ cạnh tranh chính của Active Directory

Các dịch vụ thư mục khác trên thị trường cung cấp chức năng tương tự như Active Directory bao gồm Red Hat Directory Server, Apache Directory và OpenLDAP.

  • Red Hat Directory Server quản lý quyền truy cập của người dùng vào nhiều hệ thống trong môi trường Unix. Tương tự như Active Directory, Red Hat Directory Server bao gồm ID người dùng và xác thực dựa trên chứng chỉ để hạn chế quyền truy cập vào dữ liệu trong thư mục.
  • Apache Directory là một dự án mã nguồn mở chạy trên Java và hoạt động trên bất kỳ máy chủ LDAP nào, bao gồm các hệ thống trên Windows, macOS và Linux. Apache Directory bao gồm một trình duyệt lược đồ, một trình duyệt và trình chỉnh sửa LDAP. Apache Directory hỗ trợ các plugin Eclipse.
  • OpenLDAP là một thư mục LDAP mã nguồn mở dựa trên Windows. OpenLDAP cho phép người dùng duyệt, tìm kiếm và chỉnh sửa các đối tượng trong máy chủ LDAP. Các tính năng của OpenLDAP bao gồm sao chép, di chuyển và xóa cây trong thư mục, cũng như cho phép duyệt lược đồ, quản lý mật khẩu và hỗ trợ LDAP SSL (Lớp cổng bảo mật).

Tổng kết

Hy vọng nội dung bài viết này đã giúp bạn hiểu hơn về Active Directory là gì, chức năng của Active Directory là gì, đồng thời giúp bạn tối ưu hiệu suất hoạt động cũng như tính năng của nó. Chúc bạn thành công!

Trả lời