Trong bài viết này chúng ta cùng tìm hiểu về những điều cơ bản của Dịch vụ miền Active Directory (AD DS) trong Windows Server, bao gồm rừng (forest), miền (domains), sites, Domain Controller, đơn vị tổ chức (OU), người dùng và nhóm. Show Active Directory Domain Services (AD DS) là một dịch vụ thư mục chạy trên Microsoft Windows Server. Nó cung cấp một giải pháp quản lý tập trung cho người dùng, máy tính và các tài nguyên mạng khác trong một môi trường Windows. AD DS hoạt động như một cơ sở dữ liệu lưu trữ thông tin về các đối tượng mạng, chẳng hạn như:
Các đối tượng khác: AD DS cũng có thể lưu trữ thông tin về các đối tượng mạng khác, chẳng hạn như các thiết bị di động, máy in và các ứng dụng. AD DS bao gồm 2 thành phần logical và physical Các thành phần Logic của AD DSCác thành phần logic của AD DS là những cấu trúc mà bạn sử dụng để triển khai một thiết kế AD DS phù hợp cho một tổ chức. Bảng sau mô tả các loại thành phần logic mà cơ sở dữ liệu AD DS chứa. Thành phần logical Mô tả Partition Partition (phân vùng) hay còn gọi là naming context, là một phần logic của cơ sở dữ liệu AD DS. Mặc dù cơ sở dữ liệu này chỉ bao gồm một tệp duy nhất có tên Ntds.dit, nhưng các phân vùng khác nhau lại chứa các dữ liệu khác nhau. Ví dụ: Phân vùng schema chứa một bản sao của Active Directory schema. Domain partition chứa các users, computers, groups, những objects đặc biệt trong domain. Bản copy của partition này có thể lưu trữ trên multiple domain controllers và update qua directory replication. Active Directory lưu trữ các bản sao của phân vùng trên nhiều bộ điều khiển miền và cập nhật chúng thông qua sao chép thư mục. Schema Schema là tập hợp các định nghĩa về các loại đối tượng và thuộc tính mà bạn sử dụng để định nghĩa các đối tượng được tạo trong AD DS. Domain Domain là Logical Administrative Container cho các Object như User, Computer. Domain ánh xạ tới các phân vùng cụ thể và có thể được tổ chức với các domain khác có mối quan hệ cha-con (parent-child) Domain tree Domain Tree là tập hợp của nhiều Domain có chung Root Domain và liên kết DNS namespace. Forest Forest tập hợp của một hoặc nhiều miền có root AD DS chung,Schema và được trust 2 chiều. OU OU chứa người dùng (users),nhóm (groups), và máy tính (computer) được cung cấp bởi Framework nhằm ủy quyền quản trị và được quản trị bằng cách liên kết các đối tượng chính sách nhóm (GPO). Container Container là Object cung cấp các Framework trong tổ chức nhằm mục đích sử dụng trong AD DS. Một vài containers mặc định được tạo hoặc bạn có thể tạo custom containers. Container không link với GPOs. Các thành phần physical là gì?Trong Active Directory Domain Services (AD DS), các thành phần vật lý là những đối tượng có thể nhìn thấy được hoặc mô tả các thành phần hữu hình trong thế giới thực. Bảng sau mô tả một số thành phần vật lý của AD DS: Thành phần vật lý Mô tả Domain controller Domain Controller chứa bản copy của database AD DS. Đối với hầu hết các hoạt động thì mỗi Domain Controller có thể xữ lý các thay đổi và sao chép các thay đổi tới tất cả những Domain Controller khác trong domain. Data store Là bản copy lưu trử data tồn tại trên mỗi domain controller. AD DS datavase sử dụng công nghệ Microsoft Jet và lưu trử trực tiếp thông tin trên Ntds.dit và các log file. Files được lưu trử tại đường dẫn C:\Windows\NTDS. Global catalog server Là một bộ điều khiển miền lưu trữ danh mục toàn cầu, đây là một bản sao cục bộ chỉ đọc của tất cả các đối tượng trong một rừng có nhiều miền. Danh mục toàn cầu giúp tăng tốc tìm kiếm các đối tượng có thể được lưu trữ trên các bộ điều khiển miền trong một miền khác trong rừng. Read-only Domain Controller – RODC) RODC là một cài đặt đặc biệt, chỉ đọc của AD DS. RODC thường được sử dụng ở các chi nhánh văn phòng nơi bảo mật vật lý không tối ưu, hỗ trợ CNTT kém tiên tiến hơn so với các trung tâm doanh nghiệp chính hoặc các ứng dụng theo ngành nghề cần chạy trên một bộ điều khiển miền. Site Địa điểm là một thùng chứa cho các đối tượng AD DS, chẳng hạn như máy tính và dịch vụ cụ thể cho một vị trí vật lý. Điều này khác với miền, đại diện cho cấu trúc logic của các đối tượng, chẳng hạn như người dùng và nhóm, bên cạnh máy tính. Subnet Mạng con là một phần của địa chỉ IP mạng của một tổ chức được gán cho các máy tính trong một địa điểm. Một địa điểm có thể có nhiều hơn một mạng con. Chức năng chính của AD DS
Lợi ích của việc sử dụng AD DS
Cấu trúc của AD DS:
Quản lý AD DS:AD DS có thể được quản lý bằng nhiều công cụ khác nhau, bao gồm:
Định nghĩa Rừng và Miền AD DSRừng AD DS là tập hợp một hoặc nhiều cây AD DS chứa một hoặc nhiều miền AD DS. Các miền trong rừng chia sẻ:
Miền AD DS là vùng chứa quản trị Logic cho các đối tượng như:
AD DS forest là gì?Forest là vùng chứa cấp cao nhất trong AD DS Rừng AD DS thường được mô tả:
Mối quan hệ tin cậy
Các đối tượng sau tồn tại trong miền gốc rừng:
Miền AD DS là gì?Miền AD DS là một container logic để quản lý người dùng, máy tính, nhóm và các đối tượng khác. Cơ sở dữ liệu AD DS lưu trữ tất cả các đối tượng miền và mỗi bộ điều khiển miền lưu trữ một bản sao của cơ sở dữ liệu. Hình bên dưới hiển thị miền AD DS. nó bao gồm người dùng, máy tính và nhóm. Các đối tượng được sử dụng phổ biến nhất được mô tả trong bảng sau: Object Mô tả User accounts Tài khoản người dùng chứa thông tin về người dùng, bao gồm thông tin cần thiết để xác thực người dùng trong quá trình đăng nhập và tạo mã thông báo truy cập của người dùng. Computer accounts Mỗi máy tính tham gia miền đều có một tài khoản trong AD DS. Bạn có thể sử dụng tài khoản máy tính cho các máy tính tham gia miền giống như cách bạn sử dụng tài khoản người dùng cho người dùng. Groups Các nhóm tổ chức người dùng hoặc máy tính để đơn giản hóa việc quản lý quyền và Đối tượng chính sách nhóm trong miền. Tổng kếtTóm lại, Active Directory Domain Service (AD DS) là một dịch vụ thiết yếu cho bất kỳ tổ chức nào sử dụng hệ điều hành Windows. Khóa học MCSA 2025 cung cấp kiến thức và kỹ năng cần thiết để quản lý AD DS hiệu quả. Lưu ý: Đây chỉ là tóm tắt ngắn gọn về AD DS. Để tìm hiểu thêm, bạn nên tham khảo các tài liệu chính thức của Microsoft hoặc tham gia khóa học MCSA 2025. Tham khảo thêm: Microsoft Active Directory Domain Services: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview |