Sunday 8 November 2015

648.Đại gia BĐS Nguyễn Văn Đực: Phải cách ly người nghèo ra khỏi người giàu!

Cha nội này dám đi ngược lại với khẩu hiệu của đảng, nhà nước: Phấn đấu: Xã hội công bằng văn minh. ahhahahha. Đau thật.

Nguồn: Đại gia BĐS Nguyễn Văn Đực: Phải cách ly người nghèo ra khỏi người giàu!

07:13, Thứ Hai, 09/11/2015 (GMT+7)
(VnMedia) - “Những người công nhân, người nghèo sống với nhau vui hơn, chứ người nghèo ngồi gần ông nhà giàu đi xe xịn, ăn mặc xịn thì mặc cảm. Chúng ta nên cách ly ra, có một khu vực riêng cho người thu nhập thấp...” - Phó Giám đốc công ty địa ốc Đất Lành Nguyễn Văn Đực nêu quan điểm.
Nguyễn Văn Đực
Ông Nguyễn Văn Đực, Phó Giám đốc công ty địa ốc Đất lành: phải cách ly người nghèo ra khỏi người giàu
Phát biểu tại hội thảo khoa học "Cơ chế chính sách và giải pháp về nhà ở cho người thu nhập thấp tại đô thị và khu công nghiệp", ông Nguyễn Văn Đực, Phó Giám đốc Công ty địa ốc Đất lành cho rằng, xây nhà thu nhập thấp trong các khu trung tâm là “rất phí” và chỉ nên xây nhà bán giá cao cho người giàu. Vị đại gia này cũng cho rằng, không nên tiếp tục thực hiện chính sách dành 20% quỹ đất hoặc diện tích sàn của các dự án cho nhà ở xã hội.
VnMedia đã có cuộc trao đổi với ông Nguyễn Văn Đực về quan điểm này.
-       - Xin ông giải thích rõ hơn về quan điểm người giàu không nên ở lẫn với người nghèo.
Thật ra, nói người thu nhập thấp và người thu nhập cao mà không ở lẫn với nhau là mất đoàn kết, không có tính nhân văn, nhưng thực tế người thu nhập thấp khó lòng sống chung với người thu nhập cao.
Ví dụ như người ta đang xây nhà thu nhập cao là 70-100m2, thì người thu nhập thấp làm sao có tiền để mua những căn hộ này được? Rồi chi phí dịch vụ ở nhà này cao thì người thu nhập thấp có chịu được hay không? Thứ ba là sinh hoạt phí của khu đó cao, ví dụ như một ly cà phê 20 ngàn hay ổ bánh mì 20 ngàn thì người thu nhập thấp có sống được không? Nên tôi nghĩ chúng ta phải thực tế là người thu nhập thấp phải ở riêng, ở một khu dành cho người thu nhập thấp.
Chúng ta không phải đẩy họ vào khu ổ chuột, chúng ta vẫn có hạ tầng xã hội tốt và người thu nhập thấp vẫn sống thoải mái.
Tôi nói thật, những người công nhân sống với nhau, người nghèo sống với nhau vui hơn, chứ người nghèo ngồi gần ông nhà giàu đi xe xịn, ăn mặc xịn thì người nghèo nhiều khi mặc cảm. Vì vậy, chúng ta nên cách ly ra, có một khu vực riêng cho người thu nhập thấp.
-      Nhiều chuyên gia cho biết, quan điểm hiện đại ngày nay là ngoài việc cần phấn đấu xóa nhòa ranh giới giàu nghèo thì người nghèo và người giầu nên sống cộng sinh với nhau. Ví dụ như người nghèo cung cấp dịch vụ cho người giàu, như vậy, người giàu cũng được lợi mà người nghèo thì được đảm bảo sinh kế. Ông nghĩ sao về quan điểm này?
Ý tưởng đó rất hay nhưng tôi không nghĩ như vậy, bởi người giàu không phải lúc nào cũng có người giúp việc, và người giúp việc có khi từ tỉnh lẻ lên chứ không phải là những người nghèo đó. Còn mức sống của người giàu với người nghèo có chênh  lệch dễ làm cho người nghèo mặc cảm và khó sống.
-       Nhưng nhiệm vụ của những nhà quản lý và những người xây dựng chính sách là làm sao để khoảng cách đó gần hơn và để người nghèo đỡ mặc cảm hơn chứ không phải là đẩy họ ra xa nhau. Ví dụ như có những chính sách hỗ trợ cho người thu nhập thấp như giảm giá nhà, giảm phí dịch vụ, dành những căn hộ có diện tích nhỏ và nội thất không phải hạng sang... cho 20% nhà ở xã hội đó?
Cái đó rất khó. Doanh nghiệp chúng tôi làm toàn nhà cao giá, ví dụ như Vincom, chúng tôi toàn làm nhà 100m trở lên, không thể nào trong khu vực đó lại có những căn hộ 30-40m. Rồi chúng tôi phải dùng thang máy như thế nào..., nên giá thành của chúng tôi cao. Làm sao mà chúng tôi  bán rẻ cho người thu nhập thấp được. Cho nên, ở những vị trí như trung tâm thành phố, không nên để cho người thu nhập thấp ở. Người thu nhập thấp phải đi xa mà ở.
 - Thế với những người sinh ra, lớn lên, sống trên đất thổ cư của họ từ nhiều đời trong trung tâm thành phố thì sao. Từ trước đến nay, họ vẫn sống yên ổn cho tới khi những dự án xây nhà cho người giàu xuất hiện. Chẳng lẽ họ lại phải đi ra khỏi nơi đó để người giàu đến ở?
 - Theo tôi, hãy trả tiền rất cao cho họ để họ mua một khu đất khác cho dễ sống. Ví dụ trong trung tâm Thành phố không thể nào có quán cơm xã hội, quán cơm từ thiện được. Quán cơm từ thiện là phải đi xa, còn ở trung tâm Thành phố toàn nhà giàu, phải ăn 50.000đ/1 tô cơm chứ không thể mà bán 10-15.000đ/ tô cơm được. Không thể nào đòi hỏi được. Người nghèo là không thể nào đòi hỏi được.
 Tóm lại, ông vẫn cho rằng cần phải tách biệt người nghèo ra khỏi người giàu?
Đúng, tôi nói như vậy có thể là hơn 50% người dân sẽ nói tôi là kỳ thị, phân biệt, nhưng thực tế trong cuộc sống chúng ta phải chấp nhận là người nghèo thì phải tìm một nơi nào xa một chút, đất rẻ một chút, rồi mặt bằng sinh hoạt rẻ, không thể nào ở trung tâm được.
 -  Các nước tiên tiến đang cố gắng xóa dần khoảng cách, tìm giải pháp để người nghèo và người giàu có thể chung sống, trẻ em giàu và trẻ em nghèo có thể cùng chơi... còn quan điểm của ông có thể tạo ra sự cách biệt. Ngoài ra, trung tâm thành phố được đầu tư rất lớn từ nguồn lực của nhà nước như vườn hoa, công viên, quảng trường...  chứ không phải chỉ là của doanh nghiệp bỏ ra. Thực tế là doanh nghiệp đang được hưởng lợi từ những hạ tầng đó. Vậy nguồn lực đó không lẽ chỉ để phục vụ cho người giàu? Ông không nghĩ như vậy là bất công hay sao?
Đúng là như vậy thì cũng có sự bất công. Nhưng phải chấp nhận sự bất công đó, bởi vì xã hội hiện nay phân hóa hết rồi, chúng ta không có cách gì để kéo những khoảng cách đó lại.
-        -  Xin hỏi, ông thuộc tầng lớp người giàu hay người nghèo?
Tôi là người khá, chứ tôi không giàu.
-        -  Vậy nếu ông là người nghèo, ông có chấp nhận sự bất công đó không?
Tôi cũng là người từ tầng lớp thấp mà lên, và tôi cũng trăn trở cái sự bất công trong xã hội đó, nhưng sự thực không có xã hội nào hoàn toàn công bằng. Người nghèo thì phải cố gắng vươn lên làm giàu và nếu không vươn lên được thì phải chấp nhận như vậy chứ không thể nào đòi hỏi bình đẳng, thụ hưởng như người giàu được. Ví dụ như nhà nước mở trường công, người nhà giàu có thể gửi con trường quốc tế, đó là quyền của người giàu. Còn mình con nhà nghèo thì không thể đòi hỏi con mình cũng phải học trường quốc tế.
-         - Nhưng chúng ta đang nói đến chính sách của nhà nước...
-        Đối với chính sách công, tôi cho là nhà nước phải có tính thực tế, bởi vì người nghèo người giàu không thể sống chung được, tôi nói là không thể sống chung được!
Nếu cho người nghèo mua một căn  hộ chung với người cao cấp, tôi đảm bảo 1-2 năm sau họ cũng bán họ đi, họ bán giá cao họ đi. Rất nhiều người nhà tái định cư họ cũng không sống được và phải đi ra xa.
Chúng ta rất dễ bị một cái nhân văn quá đáng là giải tỏa thì phải cấp nhà ở cho người ta. Tôi cho rằng nếu giải tỏa chỉ đền họ một số tiền, họ đi đâu là quyền của họ. Ở đây chúng ta giải tỏa xong lại cấp cho họ một căn hộ, nhưng người nghèo ở căn hộ đó không được, bị nhiều phí quá cuối cùng họ cũng bán mà đi. Tôi khẳng định 90% nhà tái định cư đều bán  hết.  Tôi bảo đảm nếu cho người nghèo ở chung với nhà giàu thì 90% chỉ 1-2 năm sau họ bán mà đi vì không sống nổi.
Không giải quyết được bài toán phân hóa thì chúng ta phải chấp nhận thực tế. Phân hóa về tài sản, phân hóa về đẳng cấp thì phải phân hóa về chỗ  ở, xe đi lại, ăn mặc...
 -   Xin cảm ơn ông về cuộc trao đổi.
Tuệ Khanh

Saturday 4 July 2015

647. Dịch vụ Active Directory – Tìm hiểu AD DS domain ( Server 2012)


 
Tiếp nối bài viết Dịch vụ Active Directory – nền tảng của Windows Server trong bài viết này VNLAB sẽ tiếp tục gửi tới các khái niệm cũng như đặc điểm quan trọng về AD DS Domain.

AD DS Domain là gì ?

Khái niệm AD DS domain được dùng để mô tả cho một miền hay một vùng luận lý (logical) để quản lý các đối tượng như tài khoản người dùng, nhóm, máy tính và các loại đối tượng khác. Tất cả các đối tượng kể trên đều được lưu trữ trong cơ sở dữ liệu của dịch vụ Active Directory – nếu mô hình mạng có nhiều máy chủ điều khiển miền (DC), thì trên mỗi DC sẽ lưu một bản sao cơ sở dữ liệu đó.
Dịch vụ Active Directory AD DS domain
3 loại đối tượng chính trong cơ sở dữ liệu AD DS domain:
- Tài khoản người dùng (User Accounts): thường chứa các thông tin được yêu cầu để chứng thực người dùng trong quá trình đăng nhập và xây dựng thẻ bài truy cập.
- Tài khoản máy tính (Computer Accounts): Mỗi máy tính sau khi gia nhập vào miền đều được tạo tự động một tài khoản trong AD DS cho riêng mình.
- Tài khoản nhóm (Group Accounts): Nhóm thường là bao gồm của tài khoản người dùng hoặc máy tính giúp cho việc quản lý và cập nhật các chính sách trở nên dễ dàng và đơn giản hơn.
AD DS Domain là một môi trường đồng bộ !
Điều này có nghĩa là khi chúng ta thay đổi tới bất kỳ đối tượng nào trong một miền, máy chủ điều khiển miền sẽ nhận diện những thay đổi này và cập nhật nó tới tất cả các máy chủ điều khiển miền khác. AD DS sử dụng một cơ chế đặc biệt cho phép tất cả các máy chủ điều khiển miền đều có thể tạo ra các thay đổi lên đối tượng trong miền. Hiện tại với AD DS trên Windows Server 2012, một miền đơn lẻ có khả năng chứa đến 2 tỷ đối tượng.
adds là môi trường đồng bộ
Trong thực tế, chúng ta có thể triển khai chỉ một miền riêng lẻ mà vẫn có thể đảm bảo rằng nó chứa được tất cả các thông tin, đối tượng trong miền. Tuy nhiên, với các tổ chức có sự phân tán về quyền quản trị , hay sự phân tán về địa điểm vật lý có thể cân nhắc sử dụng tới giải pháp nhiều miền (domain) khác nhau trên cùng một rừng (forest).
AD DS Domain cho phép quản trị tập trung !
Cần chú ý là trong miền chúng ta sẽ thường phải sử dụng tới tài khoản Administrator và nhóm Domain Admins. Mặc định thì tài khoản quản trị Administrator là thành viên của nhóm Domain Admins (nhóm này mặc định được tạo ra khi nâng cấp lên máy chủ điều khiển miền và bao gồm  các tài khoản có quyền quản trị miền). Một điều đặc biệt là trên các máy tính đã gia nhập vào miền, thì nhóm Domain Admins đã nhắc ở trên mặc định sẽ là thành viên của nhóm Administrators trên các máy tính này. Vì lý do đó, thành viên của nhóm Domain Admins có toàn quyền trên tất cả các đối tượng trong miền.
AD DS Domain cung cấp khả năng xác thực !
Sau khi một máy tính gia nhập vào miền thành công thì người dùng đã có thể đăng nhập trên máy tính này bằng cách sử dụng một tài khoản và mật khẩu. Và máy chủ điều khiển miền sẽ làm vai trò xác thực tài khoản đăng nhập này có thuộc về AD DS hay không.
AD DS Domain cung cấp khả năng cấp quyền truy cập !
Hệ điều hành Windows sử dụng công nghệ phân quyền và điều khiển truy cập cho phép xác thực tài khoản người dùng được phép truy cập tài nguyên theo các mức độ khác nhau. Lưu ý là quá trình kiểm soát truy cập này được thực hiện trực tiếp ngay trên tài nguyên.
Trên Windows Server 2012, có một tính năng đáng giá đó chính là công nghệ điều khiển truy cập động (Dynamic Access Control). Đây là một giải pháp nâng cao so với giải pháp phân quyền truy cập kể trên, tuy nhiên nó không thay thế, mà được cung cấp như một giải pháp mở rộng, giúp nhà quản trị có thể kết hợp nhiều yếu tố “ngặt nghèo” hơn khi phân quyền truy cập tài nguyên.

648. OU trong dịch vụ Active Directory ( Server 2012)


Nguồn: VNlab

OU – đơn vị tổ chức trong dịch vụ Active Directory của Windows Server là một khái niệm mà chắc chắn mọi người đều sẽ phải nghe qua và …  sử dụng. Trong bài viết này VNLAB sẽ tiếp tục chia sẻ tới các bạn về khái niệm OU, các đặc điểm cũng như tác dụng của nó trong môi trường Active Directory.

OU trong Active Directory là gì ?

OU (là viết tắt của Organization Unit) cũng là một đối tượng trong miền, tuy nhiên, điểm đặc biệt của nó là chứa được các đối tượng khác như tài khoản người dùng, nhóm và máy tính. Tuy nhiên cũng cần chú ý rằng không nên nhầm lẫn giữa OU và đối tượng container mặc định trong AD DS. Điểm khác biệt lớn nhất giữa hai đối tượng này chính là khả năng quản lý.
Cây OU - Active DirectoryCây OU (có thể tổ chức theo quy mô tổ chức hay quy mô địa lý)
Với Container, nó bị giới hạn về khả năng quản lý. Ví dụ cụ thể là chúng ta sẽ không thể cập nhật một chính sách nhóm (GPO) lên Container. Thường thì chúng ta sử dụng Container  để chứa các đối tượng của hệ thống hay là nơi lưu trữ mặc định cho các đối tượng mới tạo.
Với OU, chúng ta hoàn toàn có thể sử dụng nó áp dụng một chính sách nhóm (GPO), ủy quyền quản trị, hoặc gán với các phân vùng COM+.

OU được sử dụng thế nào ?

Mặc định chúng ta sẽ không thể tạo mới Container từ Menu trong Active Directory User and Computer, tuy nhiên, bạn hoàn toàn có thể tạo mới OU bất cứ lúc nào để áp dụng cho các mục đích sau:
  • Sử dụng OU giúp cho việc áp dụng chính sách nhóm trở nên dễ dàng hơn. Khi chúng ta áp dụng một chính sách mới lên một OU, điều này đồng nghĩa với việc các thiết lập mới sẽ được áp dụng lên tất cả các đối tượng nằm trong OU này. (Chính sách nhóm là các chính sách mà người quản trị tạo ra để quản lý, cấu hình cho các máy tính hay tài khoản người dùng trong mạng và được triển khai bằng cách liên kết nó tới các OU, domain hay site đã có)
  • Sử dụng OU giúp dễ dàng ủy quyền quản trị hơn. Điều này có nghĩa rằng, hoàn toàn có thể “ban” quyền quản lý cho một tài khoản nào đó được phép quản trị các đối tượng nằm trong OU này.
Chú ý là hoàn toàn có thể tổ chức OU theo dạng như các mô hình tổ chức thường thấy. Ví dụ tổ chức các OU theo dạng các phòng ban trong một công ty hoặc tổ chức theo phạm vi địa lý của doanh nghiệp, cũng có thể kết hợp cả hai.

Các thành phần OU trong Active Directory 

Mỗi một miền AD DS đều có một số lượng Container và OU nhất định được tạo ra khi cài đặt AD DS. Có một số đối tượng mặc định được sử dụng bởi AD DS và ẩn đi tự động. Các đối tượng được hiển thị theo mặc định bao gồm:
  1. Domain: là cấp độ gốc của miền.
  2. Built-in (Container): Chứa các group mặc định của hệ thống
  3. Computer (Container): Là nơi lưu trữ mặc định cho các máy tính mới gia nhập vào miền
  4. Domain Controller (OU): Là nơi lưu trữ mặc định cho các máy chủ điều khiển miền
  5. Foreign Security Principals (Container): Là nơi lưu trữ mặc định cho các đối tượng được tin cậy từ các miền khác trong forest.
  6. Managed Service Accounts: Là nơi lưu trữ mặc định cho các tài khoản dịch vụ.
  7. Users (Container): Là nơi lưu trữ mặc định cho các tài khoản người dùng mới trong miền.
Một vài container ẩn mà chỉ có thể thấy được khi kích hoạt Advance Features từ menu View trong Active Directory User and Computer:
  1. LostAndFound: Nơi chứa các đối tượng bị xóa
  2. Program DATA: Nơi lưu các dữ liệu của Active Directory cho các ứng dụng của Microsoft, ví dụ như ADFS
  3. System: Nơi lưu các thiết lập hệ thống mặc định
  4. NTDS Quotas: Nơi lưu trữ hạn ngạch dữ liệu của dịch vụ
  5. TPM Devices: Container này mới chỉ xuất hiện trên Windows Server 2012 và lưu trũ thông tin khôi phục về các thiết bị TPM.

646. Cài đặt và cấu hình DHCP Server trên Windows Server 2012



Để bắt đầu, chúng ta cần chuẩn bị:
- 1 máy Windows Server 2012 đã nâng cấp lên DC.
- 1 máy Windows XP/7/8 không cần thiết phải join domain, nhưng phải cùng nằm trong 1 mạng với DC.
Trên máy DC, chúng ta truy cập Server Manager > Add Roles and Feature để cài đặt dịch vụ DHCP Server.
1
Ấn NextInstall để cài đặt
2
Chờ cho quá trình cài đặt hoàn tất, chúng ta ấn Close để kết thúc
3
Tiếp theo, chúng ta vào Tools > DHCP để cấu hình
4
Trước tiên, chúng ta phải xác thực với DC để có quyền cấp phát IP trong mạng bằng cách ấn chuột phải lên tên máy > Authorize để xác thực.
5
Sau khi xác thực xong, chúng ta bắt đầu tạo Scope cấp phát IP. Ấn chuột phải vào IPv4 > New Scope
6
Ghi tên và ghi chú của Scope. sau đó ấn Next
7
Ghi dải địa chỉ cấp phát IP:
Start IP address: dải IP đầu tiên sẽ cấp phát.
End IP address: dải IP cuối cùng sẽ cấp phát.
8
Chúng ta có thể cắt bỏ 1 dải IP thuộc dải mà chúng ta vừa khai báo cấp phát bên trên, làm như thế thì dải địa chỉ mà bạn gõ vào đây sẽ không được cấp phát cho bất kỳ máy nào trong mạng khi họ xin IP
9
Thời gian sống của IP
10
Chúng ta chọn Yes, I want to configure these options now để cấu hình ngay Scope vừa tạo.
11
Default Gateway:
12
Phần này chúng ta có thể để mặc định và Next
13
WINS Server bây giờ không còn dùng nữa nên chúng ta sẽ ấn Next để bỏ qua phần này
14
Chọn Yes, I want to activate this scope now để kích hoạt Scope này lên.
15
Ấn Finish để hoàn tất.
16
Tiếp theo, chúng ta sang máy Client để kiểm tra, điều quan trọng là máy này phải để IP ở chế độ động thì mới cấp phát được.
17
Sau khi xong, chúng ta có thể mở CMD lên và gõ ipconfig để kiểm tra IP của máy:
18
Lưu ý: Nếu như các bạn chạy ipconfig mà IP của máy vẫn chưa thay đổi, có thể gõ lệnh ipconfig/release để bỏ IP cũ và gõ ipconfig/renew để xin cấp phát lại IP mới.
Như thế là quá trình cài đặt và cấu hình DHCP đã hoàn tất. Chúc các bạn thành công!

645. Cài đặt và cầu hình DNS server trên Server 2012.

Đầu tiên, ta cần chuẩn bị:
- 1 máy Windows Server 2012 đã nâng cấp lên DC.
- 1 máy Windows 7/8 đã join domain để kiểm tra.
Ở trên DC, chúng ta truy cập Server Manager > Add Roles and Feature để  cài DNS Server.
1

Ấn Next để tiếp tục và ấn Install để cài đặt dịch vụ DNS Server
2
Sau khi cài đặt xong, chúng ta ấn Close để đóng lại.
3
Tiếp theo, chúng ta sẽ cấu hình cho DNS Server. Trên Server Manager truy cập tới Tools > DNS.
4
Tại cửa sổ DNS Server, chúng ta chuột phải vào Forward Lookup Zone để tạo 1 Zone mới.
5

Để mặc định và ấn Next
6
7

Ghi tên Zone sẽ tạo:
8

Chọn Allow only secure… (mặc định).
9

Sau đó ấn Finish để hoàn tất.
10

Trước khi ta tạo các bản ghi trên DNS, chúng ta nên tạo 1 Zone Reverse Lookup Zone để hệ thống tự tạo bản ghi phân giải ngược cho chúng ta.
11

Giống như ở trên, chúng ta để mặc định giống hình bên dưới và ấn Next
12

Vì ở Việt Nam chưa sử dụng IPv6, nên chúng ta chọn vào IPv4 Reverse Lookup Zone và ấn Next để tiếp tục.
13

Tiếp theo, chúng ta chọn Network ID và ghi dải địa chỉ IP của máy bạn đang cài DNS

14

Để mặc định ấn NextFinish để hoàn tất.

16

17
Bây giờ chúng ta sẽ đi tạo các bản ghi
Đầu tiên là bản ghi A. Chúng ta ấn chuột phải vào vùng trắng và chọn New Record A (or AAAA)…
18

Name: tên của bản ghi.
Fully qualified domain name (FQDN): tên bản ghi hiển thị khi tạo xong.
IP address: địa chỉ IP của server đặt web.

19

Tương tự như thế, chúng ta sẽ tạo 2 bản ghi Aftpmail.
Tiếp theo, chúng ta tạo bản ghi CNAME, ấn chuột phải vào vùng trống vào chọn New Alias CNAME:
20

Bản ghi CNAME này có mục đích nhằm cho chúng ta muốn đổi tên các bản ghi, Ví dụ như các bạn có 1 tên miền là web.ngotiendat.com nhưng bạn thấy nó không được hay lắm, bạn muốn chuyển thành www.ngotiendat.com. Bản ghi CNAME ra đời nhằm mục đích đó của bạn.
Trong phần Alias name, bạn ghi tên thay thế mong muốn của bạn.
21

Sau đó tại phần Fully qualified domain name (FQDN) for target host, bạn chọn Browser và trỏ tới host cần thay thế.
22
Tạo bản ghi MX: Chúng ta chuột phải lên vùng trắng, chọn New Mail Exchanger (MX)…
24

Host or child domain: ghi tên của bản ghi.
Trong phần FQDN of mail server, chọn Browser và trỏ tới bản ghi A mail chúng ta vừa tạo ở trên.

25

28

Như thế là quá trình tạo đã thành công! Bây giờ chúng ta sẽ kiểm tra bằng cách sang máy Client, vào trong CMD, gõ câu lệnh NSLOOKUP và ghi tên domain hoặc địa chỉ IP để xem hệ thống có phân giải ngược lại không,
29

Chúc các bạn thành công!

644. Tìm hiểu về Directory trên Win Server 2012


Trong bất kỳ một hệ thống mạng của một doanh nghiệp tổ chức nào thì thành phần quan trọng không thể thiếu đó là hệ thống Active Directory (AD). Hệ thống AD gần như là trái tim của cả tổ chức. Trong loạt bài này chúng ta sẽ tìm hiểu sơ lược về hệ thống Active Directory, AD có những thành phần gì? Hoạt động ra sao? Và cuối cùng là cài đặt như thế nào.
AnVoNa_AD
   Khi đã cài đặt Windows Server 2012 trên một hệ thống mới thì chúng ta có thế cấu hình nó là member server, domain controller hoặc là standalone server. Sự khác biệt của chúng cực kỳ quan trọng:
  • Member server: là một thành phần của hệ thống domain nhưng nó không lưu trữ thông tin địa chỉ (directory information).
  • Domain controller: đây là thành phần quan trọng nhất vì nó chứa thông tin địa chỉ, đồng thời cung cấp cơ chế xác thực (authentication ) và các thông tin địa chỉ cho domain.
  • Standalone server: đây không phải là thành phần của domain bởi vì nó có cơ sở dữ liệu người dùng riêng và nó cung cấp cơ chế xác thực đăng nhập một cách độc lập.
   Trong một mô hình mạng thì Domain controller (DC ) có thể xử lý các thay đổi của địa chỉ và sao chép lại chúng tới các DC khác một các tự động. Windows Server sẽ phân phối những thông tin địa chỉ đó và gọi nó là data store. Những data store đó chứa những bộ thông tin người dùng (user), nhóm (group), và những computer accounts được biết đến như là những tài nguyên chia sẻ (servers, files, máy in).
    Domains sử dụng AD như là một AD domains. Mặc dù AD domain chỉ có thể thao tác với một DC duy nhất, nhưng chúng ta có thể có nhiều DC trong một domain. Trong trường hợp đó, nếu một DC nào đó chết thì các DC còn lại vẫn có thể hoạt động bình thường.
    Microsoft đã thay đổi vài nguyên tắc cơ bản từ Windows Server 2008. Microsoft đã tổ chức lại hệ thống AD và tạo ra các bộ với các dịch vụ liên quan:
  • Active Directory Domain Services (AD DS)
  • Active Directory Certificate Services (AD CS)
  • Active Directory Federation Services (AD FS)
  • Active Directory Rights Management Services (AD RMS)
  • Active Directory Lightweight Directory Services (AD LDS)

Active Directory Domain Services (AD DS)

    AD DS có thể hiểu như là một cuốn danh bạ để quản lý tập trung trong toàn mạng. AD DS cung cấp những dịch vụ địa chỉ (directory services) thiết yếu để xây dựng một domain, bao gồm những data store, trong đó chứa những thông tin bao gồm những chủ thể trên mạng và biến chúng thành những thông tin hữu ích cho user. AD DS sử dụng những DC để quản lý những truy cập vào những nguồn tài nguyên đó. Một khi user truy cập vào những nguồn tài nguyên đó, những credentials đã được sẽ được sử dụng để truy cập vào các nguồn tài nguyên trên mạng. AD DS như là một trái tim của hệ thống AD. Nó còn cung cấp các ứng dụng directory-enable như là Microsoft® Exchange Server.

Active Directory Certificate Services (AD CS)

    AD CS là một hệ thống xử lý của Microsoft cho Public Key Infrastructure (PKI). PKI là một tập hợp các phần cứng, phần mềm, con người, những chính sách và những thủ tục cần có tạo, quản lý, phân phối, sử dụng, lưu trữ và thu hồi các chứng chỉ số (digital certificates).
    AD CS cung cấp những dịch vụ cần thiết nhằm vào mục đích cấp phát và thu hồi các chứng chỉ số cho user, client computer, server. AD CS sử dụng những Certificate Authorities (CAs ) để chứng thực tính hợp lệ của một user, máy tính và sau đó cung cấp cho nó một chứng chỉ số để chứng minh tính xác thực đó. Trong một Domains có một CA gốc (root CA), CA này là nút gốc trong kiến trúc phân tầng, nó sẽ quản lý hết tất cả các chứng chỉ tin cậy (trust certificate ) của tổ chức. Bên dưới nó còn có các CA phụ (subordinate CA). Trong mô hình Workgroup cũng có standalone root CA và standalone subordinate CA.

  1. End-entity: những end-user của dịch vụ PKI, nó có thể là người hay máy.
  2. Certificate Authority (CA): một tổ chức tin cậy có nhiệm vụ quản lý chứng chỉ số (digital certificates). CA là trung tâm của PKI. Một CA có nhiệm vụ cấp chứng chỉ, duy trì tính pháp lý, quản lý các chứng chỉ bị thu hồi và công khai danh sách các chứng chỉ bị thu hồi đó. Danh sách các chứng chỉ được thu hồi đó gọi là Certificate Revocation List (CRL).
  3. Certificate Signing Request (CSR): là một tập được sinh ra bởi các end-entity user để xin chứng chỉ. Những yêu cầu đó bao thông về user như distinguished name và public key (signature).
  4. Public Digital Certificate and Certificate Path: Chứng chi số là một thành phần công khai của PKI. Một chứng chỉ công khai (public certificate ) được chứng nhận cho một end-entity bởi việc gắn thực thể đó với một public key chuyên biệt. End-entity có nhiệm vụ giữ private key phù hợp với chứng chỉ đó. Chứng chỉ có thể được sử dụng cho nhiều phương thức bảo mật khác nhau như là chứng chỉ số để xác thực nguồn gốc (verify the origin), tính toàn vẹn của thông tin (integrity of information ) và tính không bác bỏ (non-repudiation).
  5. Certificate Revocation List (CRL): là một danh sách các chứng chỉ bị thu hồi. Danh sách này được kiểm tra trong quá trình chứng thực các chứng chỉ bởi những người nắm giữ certificate nhằm xác minh tình trạng của các chứng chỉ được cấp. Online Certificate Status Protocol (OCSP) là một lựa chọn để CRL sử dụng.

Active Directory Federation Services (AD FS)

AD FS là thành phần hỗ trợ chứng thực và quản lý truy cập cho AD DS bằng các mở rộng nó ra bên ngoài Web. AD FS sử dụng những agents để cung cấp cho người dùng những truy cập và các ứng dụng web bên trong và các proxies để quản lý các truy cập của client. Một khi AD FS được cấu hình, user có thể sử dụng những nhận dạng số (digital identities) để chứng thực thông qua Web và truy cập và những ứng dụng web bên trong tổ chức thông qua các trình duyệt web như Internet Explorer.
AD FS còn cung cấp quyền truy cập tới các ứng dụng, dịch vụ giữa hai tổ chức thông qua nền web hoặc dịch vụ Single Sign-on (SSO) mà không cần tạo trust Active Directory.

Active Directory Rights Management Services (AD RMS)

    AD RMS là một lớp bảo vệ tất cả thông tin số cho tổ chức như là email, tài liệu, website khỏi các nguồn không được phép xem, xóa, sửa. AD RMS sử dụng dịch vụ certificate để cấp quyền đúng cho account certificate nhằm biết được tính đúng đắng của user, group, và các dịch vụ. Một khi user được chứng minh được tính pháp lý của mình thì user đó có hoàn toàn có thể truy cập vào các nguồn tài nguyên thông tin được phép, làm việc với nó và tất cả thông tin đó hoàn toàn được bảo vệ. Cơ chế mã hóa sẽ được áp dụng để bảo vệ thông tin cả bên trong và bên ngoài tổ chức.

Active Directory Lightweight Directory Services (AD LDS)

AD LDS là một cấu trúc data store phân tầng được sử dụng cho các ứng dụng cần dịch vụ directory không cần đến AD DS. AD DS không cần nhất thiết phải triển khai trên DC. AD DS không chạy như là một dịch vụ hệ điều hành và nó có thể chạy trong cả môi trường domain cũng như là workgroup. Mỗi ứng dụng chạy trên server đều có thể có những data store riêng nó được triển khai thông qua AD LDS.
AD LDS cung cấp Lightweight Directory Access Protocol (LDAP) phù hợp với directory và các dịch vụ liên quan. Nó được dùng để cung cấp khả chứng thực và các dịch vụ directory cho những ứng dụng thứ ba và các ứng dụng khác của tổ chức.
    Như vậy chúng ta đã hiểu được phần nào các thành phần của hệ thống Active Directory. Trong các phần kế tiếp, mình sẽ hướng dẫn chi tiết cách cài đặt từng service và nói rõ hơn cách hoạt động của nó. Tất cả những dịch vụ này mình sẽ triển khai trên Windows Server 2012. Để có thể thực hành được các bài Lab này thì các bạn cài sẵn Hyper-V, trên đó chúng ta sẽ triển khai các máy ảo chạy Windows Server 2012 hoặc tham khảo bài viết Xây dựng hệ thống Lab Windows Server 2012 . Hẹn gặp lại các bạn.

679.0 Hướng dẫn cài đặt AD RMS server ( Active Directory Rights Management Services) có trong Windows Server 2012.

Nguồn: https://mdungblog.wordpress.com/2018/06/21/simple-guide-huong-dan-cai-dat-ad-rms-windows-server-2012-r2/   Hôm nay mình xin giới thiệ...