647. Dịch vụ Active Directory – Tìm hiểu AD DS domain ( Server 2012)

Nguồn: VNLab

 

Tiếp nối bài viết Dịch vụ Active Directory – nền tảng của Windows Server trong bài viết này VNLAB sẽ tiếp tục gửi tới các khái niệm cũng như đặc điểm quan trọng về AD DS Domain.

AD DS Domain là gì ?

Khái niệm AD DS domain được dùng để mô tả cho một miền hay một vùng luận lý (logical) để quản lý các đối tượng như tài khoản người dùng, nhóm, máy tính và các loại đối tượng khác. Tất cả các đối tượng kể trên đều được lưu trữ trong cơ sở dữ liệu của dịch vụ Active Directory – nếu mô hình mạng có nhiều máy chủ điều khiển miền (DC), thì trên mỗi DC sẽ lưu một bản sao cơ sở dữ liệu đó.

3 loại đối tượng chính trong cơ sở dữ liệu AD DS domain:

- Tài khoản người dùng (User Accounts): thường chứa các thông tin được yêu cầu để chứng thực người dùng trong quá trình đăng nhập và xây dựng thẻ bài truy cập.

- Tài khoản máy tính (Computer Accounts): Mỗi máy tính sau khi gia nhập vào miền đều được tạo tự động một tài khoản trong AD DS cho riêng mình.

- Tài khoản nhóm (Group Accounts): Nhóm thường là bao gồm của tài khoản người dùng hoặc máy tính giúp cho việc quản lý và cập nhật các chính sách trở nên dễ dàng và đơn giản hơn.

AD DS Domain là một môi trường đồng bộ !

Điều này có nghĩa là khi chúng ta thay đổi tới bất kỳ đối tượng nào trong một miền, máy chủ điều khiển miền sẽ nhận diện những thay đổi này và cập nhật nó tới tất cả các máy chủ điều khiển miền khác. AD DS sử dụng một cơ chế đặc biệt cho phép tất cả các máy chủ điều khiển miền đều có thể tạo ra các thay đổi lên đối tượng trong miền. Hiện tại với AD DS trên Windows Server 2012, một miền đơn lẻ có khả năng chứa đến 2 tỷ đối tượng.

Trong thực tế, chúng ta có thể triển khai chỉ một miền riêng lẻ mà vẫn có thể đảm bảo rằng nó chứa được tất cả các thông tin, đối tượng trong miền. Tuy nhiên, với các tổ chức có sự phân tán về quyền quản trị , hay sự phân tán về địa điểm vật lý có thể cân nhắc sử dụng tới giải pháp nhiều miền (domain) khác nhau trên cùng một rừng (forest).

AD DS Domain cho phép quản trị tập trung !

Cần chú ý là trong miền chúng ta sẽ thường phải sử dụng tới tài khoản Administrator và nhóm Domain Admins. Mặc định thì tài khoản quản trị Administrator là thành viên của nhóm Domain Admins (nhóm này mặc định được tạo ra khi nâng cấp lên máy chủ điều khiển miền và bao gồm  các tài khoản có quyền quản trị miền). Một điều đặc biệt là trên các máy tính đã gia nhập vào miền, thì nhóm Domain Admins đã nhắc ở trên mặc định sẽ là thành viên của nhóm Administrators trên các máy tính này. Vì lý do đó, thành viên của nhóm Domain Admins có toàn quyền trên tất cả các đối tượng trong miền.

AD DS Domain cung cấp khả năng xác thực !

Sau khi một máy tính gia nhập vào miền thành công thì người dùng đã có thể đăng nhập trên máy tính này bằng cách sử dụng một tài khoản và mật khẩu. Và máy chủ điều khiển miền sẽ làm vai trò xác thực tài khoản đăng nhập này có thuộc về AD DS hay không.

AD DS Domain cung cấp khả năng cấp quyền truy cập !

Hệ điều hành Windows sử dụng công nghệ phân quyền và điều khiển truy cập cho phép xác thực tài khoản người dùng được phép truy cập tài nguyên theo các mức độ khác nhau. Lưu ý là quá trình kiểm soát truy cập này được thực hiện trực tiếp ngay trên tài nguyên.

Trên Windows Server 2012, có một tính năng đáng giá đó chính là công nghệ điều khiển truy cập động (Dynamic Access Control). Đây là một giải pháp nâng cao so với giải pháp phân quyền truy cập kể trên, tuy nhiên nó không thay thế, mà được cung cấp như một giải pháp mở rộng, giúp nhà quản trị có thể kết hợp nhiều yếu tố “ngặt nghèo” hơn khi phân quyền truy cập tài nguyên.