Trong bài này chúng tôi đã ra mắt cho các bạn một trong những kỹ năng cơ bạn dạng về Active Directory với phần lớn ích lợi trong Việc thực thi Active sầu Directory. Các biết tin về các forests, domains, organizational unitsite tương tự như đa số kỹ năng và kiến thức cơ bạn dạng về LDAP (Lightweight Directory Access Protocol) Group Policy.

Bạn đang xem: Ou là gì


1. Active sầu Directory là gì?

Trước hết chúng ta hãy đi kiếm hiểu xem Active sầu Directory là gì. Active sầu Directory là 1 dịch vụ thư mục (directory service) đã được đăng ký phiên bản quyền vày Microsoft, nó là một phần luôn luôn phải có trong phong cách thiết kế Windows. Giống nlỗi các hình thức dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS), Active sầu Directory là một hệ thống chuẩn chỉnh và tập trung, dùng làm tự động hóa hóa câu hỏi quản lý mạng dữ liệu người dùng, bảo mật với các nguồn tài nguyên ổn được phân phối hận, được cho phép địa chỉ cùng với các tlỗi mục khác. Thêm vào kia, Active sầu Directory được thiết kế quan trọng cho những môi trường xung quanh kết nối mạng được phân bổ theo một giao diện nào đó.

Active sầu Directory có thể được xem là một điểm phát triển mới so với Windows 2000 Server và được nâng cấp và hoàn thành tốt rộng trong Windows Server 2003, đổi mới 1 phần đặc trưng của hệ quản lý điều hành. Windows Server 2003 Active Directory hỗ trợ một tđam mê chiếu, được Điện thoại tư vấn là directory service, mang đến tất cả những đối tượng người sử dụng trong một mạng, gồm có user, groups, computer, printer, policy với permission.


Nói nthêm gọn cùng tổng thể, Active Directory là 1 trong dạng cửa hàng tài liệu cùng với mục đích cụ thể và hiếm hoi, tuy vậy nó trọn vẹn không hẳn là một trong những sự thay thế mang đến Registry của Windows. Các các bạn hãy hình dung vắt này nhé, 1 mạng lưới client rộng lớn tất cả hàng trăm ngàn, hàng ngàn nhân viên cấp dưới, cùng mỗi nhân viên cấp dưới lại mang tên (chúng ta cùng tên) khác nhau, quá trình khác biệt, cơ sở khác biệt... cùng từng hệ thống làm chủ "đống" client đó cần bao gồm Active Directory nhằm phân loại cùng cách xử lý các bước một giải pháp tối ưu duy nhất. Các phần dữ liệu trong Active sầu Directory đều phải sở hữu tính thừa kế, nhân rộng, cấp độ... ví dụ và linc hoạt.

2. Tại sao nên thực thi Active sầu Directory?

Có một trong những nguyên nhân để lý giải mang đến thắc mắc trên. Microsoft Active sầu Directory được xem nlỗi là một bước tiến triển đáng kể đối với Windows NT Server 4.0 domain tuyệt thậm chí là những mạng sever standalone. Active sầu Directory gồm một phép tắc quản trị triệu tập bên trên toàn thể mạng. Nó cũng cung cấp khả năng dự phòng với tự động hóa chuyển đổi dự phòng Khi nhị hoặc các domain name controller được tiến hành vào một domain.

Active sầu Directory sẽ tự động hóa cai quản sự truyền thông media giữa những domain controller nhằm bảo đảm mạng được gia hạn. Người sử dụng rất có thể truy cập vào tất cả tài nguim trên mạng trải qua cơ chế singin một lượt. Tất cả những tài nguim trong mạng được bảo đảm bởi một nguyên tắc bảo mật thông tin hơi táo bạo, bề ngoài bảo mật thông tin này rất có thể chất vấn nhận dạng người dùng cùng quyền hạn của mỗi truy cập so với tài ngulặng.


Active sầu Directory cho phép upgrade, hạ cấp cho những tên miền controller và các máy chủ member một cách dễ dãi. Các hệ thống có thể được thống trị và được bảo vệ thông qua các chính sách đội Group Policies. Đây là 1 quy mô tổ chức triển khai bao gồm trang bị bậc linh hoạt, có thể chấp nhận được làm chủ thuận lợi cùng ủy nhiệm trách nát nhiệm quản lí trị. Mặc mặc dù vậy đặc biệt tuyệt nhất vẫn luôn là Active sầu Directory có khả năng làm chủ hàng nghìn đối tượng người tiêu dùng bên phía trong một miền.

3. Những đơn vị cơ bạn dạng của Active Directory?

Các mạng Active Directory được tổ chức bằng cách áp dụng 4 hình trạng đơn vị xuất xắc kết cấu mục. Bốn đơn vị này được tạo thành forest, domain name, organizational unit và site.

*

Forests: Nhóm các đối tượng người dùng, những trực thuộc tính và cú pháp nằm trong tính trong Active Directory.Domain: Nhóm những laptop share một tập cơ chế chung, thương hiệu cùng một các đại lý dữ liệu của những member của bọn chúng.
Organizational unit (OU): Nhóm các mục vào miền làm sao kia. Chúng làm cho một bản vẽ xây dựng đồ vật bậc cho miền và sản xuất kết cấu chủ thể của Active Directory theo các điều kiện tổ chức và địa lý.Sites: Nhóm đồ lý số đông nguyên tố độc lập của miền cùng cấu tạo OU. Các Site biệt lập thân các location được kết nối bởi vì những kết nối vận tốc cao và các kết nối vận tốc rẻ, và được khái niệm vì một hoặc các IP subnet.

Các Forest không trở nên giảm bớt theo địa lý hoặc topo mạng. Một forest hoàn toàn có thể bao gồm nhiều miền, mỗi miền lại share một lược thiết bị phổ biến. Các thành viên miền của cùng một forest thậm chí là không cần có liên kết LAN hoặc WAN thân bọn chúng. Mỗi một mạng riêng biệt cũng rất có thể là 1 gia đình của đa số forest hòa bình. Nói tầm thường, một forest đề xuất được áp dụng cho từng một thực thể. Mặc dù vậy, vẫn yêu cầu mang lại những forest bổ sung cập nhật mang đến vấn đề triển khai demo với nghiên cứu và phân tích các mục đích phía bên ngoài forest tđam mê tài sản xuất.

Các miền - Domain ship hàng nhỏng những mục trong cơ chế bảo mật thông tin với những trách nhiệm quản lí trị. Tất cả những đối tượng người tiêu dùng bên phía trong một miền mọi là chủ thể mang lại Group Policies miền rộng lớn. Tương trường đoản cú những điều đó, bất kể quản lí trị viên miền nào thì cũng rất có thể thống trị toàn bộ những đối tượng người sử dụng phía bên trong một miền. Thêm vào đó, mỗi miền cũng đều sở hữu đại lý tài liệu những thông tin tài khoản tốt nhất của chính nó. Chính bởi vì vậy tính bảo đảm là một trong Một trong những vấn đề cơ bản của miền. Khi một tài khoản người dùng hoàn toàn xác thực đối với một miền nào kia thì tài khoản người dùng này hoàn toàn có thể truy vấn vào các tài ngulặng bên phía trong miền.

Active Directory kinh nghiệm một hoặc các tên miền nhằm chuyển động. Như nhắc trường đoản cú trước, một miền Active sầu Directory là 1 trong những bộ các laptop chia sẻ bình thường một tập những chính sách, tên với đại lý dữ liệu những member của chúng. Một miền nên gồm một hoặc nhiều thứ domain name controller (DC) và lưu giữ cơ sở tài liệu, duy trì những chính sách cùng hỗ trợ sự thẩm định cho các đăng nhtràn lên miền.

Trước tê vào Windows NT, cỗ điều khiển và tinh chỉnh miền bao gồm - primary domain name controller (PDC) cùng cỗ điều khiển miền backup - backup domain name controller (BDC) là những role có thể được gán cho một máy chủ trong một mạng những máy tính thực hiện hệ điều hành và quản lý Windows. Windows đang thực hiện ý tưởng miền nhằm thống trị sự truy vấn đối với những tài nguyên mạng (áp dụng, lắp thêm in và,…) cho một đội nhóm người tiêu dùng. Người cần sử dụng chỉ việc đăng nhập lệ miền là rất có thể truy cập vào các tài nguim, hồ hết tài ngulặng này có thể nằm ở một trong những những máy chủ khác biệt vào mạng.

Xem thêm: Người Mẫu Kỳ Hân Là Ai - Kỳ Hân Bị Chồng Cấm Đoán Từ Ăn Mặc Đến Sự Nghiệp


Máy chủ được nghe biết nhỏng PDC, quản lý đại lý dữ liệu người dùng Master cho miền. Một hoặc một trong những máy chủ khác có thiết kế như BDC. PDC gửi một biện pháp chu kỳ những bản copy cửa hàng tài liệu mang đến các BDC. Một BDC hoàn toàn có thể hoàn toàn có thể nhập vai trò như một PDC nếu sever PDC bị lỗi và cũng có thể giúp đỡ thăng bằng luồng quá trình giả dụ vượt bận.

Với Windows 2000 Server, Lúc domain controller vẫn được gia hạn, những role sever PDC cùng BDC cơ bản được sửa chữa thay thế vị Active Directory. Người sử dụng cũng ko chế tạo ra những miền khác nhau nhằm phân loại các độc quyền cai quản trị. Bên trong Active sầu Directory, người tiêu dùng trọn vẹn có thể ủy nhiệm các độc quyền cai quản trị dựa vào các OU. Các miền không xẩy ra hạn chế vày một trong những lượng 40.000 người tiêu dùng. Các miền Active Directory có thể cai quản hàng tỷ các đối tượng người tiêu dùng. Vì không hề lâu dài PDC với BDC phải Active Directory áp dụng bạn dạng sao multi-master replication cùng tất cả các tên miền controller những ngang hàng nhau.

Organizational units tỏ ra linc hoạt hơn với được cho phép thống trị thuận tiện rộng đối với những miền. OU có thể chấp nhận được chúng ta giành được tài năng linc hoạt gần như vô hạn, bạn cũng có thể gửi, xóa với tạo nên các OU new ví như phải. Mặc dù các miền cũng có tính chất mềm mỏng. Chúng có thể bị xòa chế tạo new, tuy vậy quy trình này dễ dẫn đến phá tan vỡ môi trường thiên nhiên so với các OU cùng cũng đề nghị tách trường hợp hoàn toàn có thể. Theo quan niệm, sites là đựng những IP.. subnet có các links media tin cậy và nhanh khô thân các host. Bằng biện pháp áp dụng site, chúng ta có thể kiểm soát điều hành cùng giảm số lượng lưu giữ lượng truyền thiết lập trên những link WAN lờ đờ.

4. Infrastructure Master và Global Catalog:

Một yếu tố thiết yếu khác bên phía trong Active DirectoryInfrastructure Master. Infrastructure Master (IM) là 1 trong những domain-wide FSMO (Flexible Single Master of Operations) tất cả vai trò đáp trả trong quá trình tự động hóa nhằm sửa lỗi (phantom) bên phía trong các đại lý dữ liệu Active sầu Directory.

Phantom được tạo thành trên các DC, nó hưởng thụ một sự tsi mê chiếu chéo cửa hàng dữ liệu thân một đối tượng người tiêu dùng phía bên trong các đại lý dữ liệu riêng rẽ với một đối tượng người sử dụng từ bỏ miền bên phía trong forest. lấy một ví dụ hoàn toàn có thể bắt gặp khi bạn bổ sung thêm 1 người tiêu dùng như thế nào đó xuất phát từ một miền vào trong 1 team phía bên trong miền không giống tất cả cùng forest. Phantom sẽ ảnh hưởng mất hiệu lực khi bọn chúng ko chứa tài liệu new cập nhật, điều đó mở ra bởi vì các đổi khác được tiến hành mang đến đối tượng người tiêu dùng bên ngoài mà Phantom diễn tả, ví dụ như Khi đối tượng người dùng phương châm được đặt lại tên, đưa đi đâu đó giữa những miền, tuyệt vị xóa. Infrastructure Master có khả năng xác định cùng khắc chế một trong những phantom. Bất cđọng thay đổi như thế nào xẩy ra vày quá trình sửa lỗi gần như được tạo bản sao mang lại toàn bộ những DC còn sót lại phía bên trong miền.


Infrastructure Master thỉnh thoảng bị lẫn lộn cùng với Global Catalog (GC), đó là thành phần bảo trì một copy chỉ chất nhận được phát âm so với các domain name nằm trong một forest, được thực hiện cho lưu trữ nhóm phổ dụng cùng quá trình singin,… Do GC lưu bạn dạng copy không hoàn chỉnh của toàn bộ những đối tượng người sử dụng phía bên trong forest buộc phải chúng hoàn toàn có thể tạo thành những tyêu thích chiếu chéo cánh giữa miền ko có nhu cầu phantom.

5. Active sầu Directory với LDAP:

LDAP (Lightweight Directory Access Protocol) là 1 phần của Active sầu Directory, nó là 1 trong giao thức ứng dụng cho phép định vị những tổ chức, cá thể hoặc những tài nguyên khác như file cùng sản phẩm công nghệ vào mạng, mặc dù mạng của người tiêu dùng là mạng Internet công cộng tốt mạng nội bộ trong chủ thể.

Trong một mạng, một tlỗi mục đã cho chính mình biết được địa điểm lưu trữ tài liệu nào đó. Trong các mạng TCP/IP (gồm bao gồm cả Internet), tên miền name system (DNS) là 1 trong khối hệ thống thỏng mục được thực hiện nối liền thương hiệu miền với cùng 1 liên hệ mạng rõ ràng (địa chỉ tốt nhất trong mạng). Mặc dù vậy, chúng ta có thể băn khoăn tên miền tuy vậy LDAP.. cho phép bạn kiếm tìm kiếm các cụ thể mà lại ko cần phải biết chúng được định vị chỗ nào.

Thư mục LDAP.. được tổ chức triển khai theo một bản vẽ xây dựng cây dễ dàng bao gồm có những mức dưới đây:

Thỏng mục gốc gồm các nhánh conCountry, từng Country lại có các nhánh conOrganizations, từng Organization lại sở hữu những nhánh conOrganizational units (những đơn vị chức năng, ban ngành,…), OU có các nhánhIndividuals (thành viên, tất cả gồm fan, file với tài ngulặng share, chẳng hạn như printer)

Một thư mục LDAPhường rất có thể được phân pân hận giữa các máy chủ. Mỗi sever hoàn toàn có thể bao gồm một phiên phiên bản sao của tlỗi mục tổng thể và toàn diện cùng được đồng điệu theo chu kỳ luân hồi.

Các quản trị viên rất cần phải phát âm LDAP khi kiếm tìm tìm các đọc tin vào Active sầu Directory, buộc phải sản xuất các tầm nã vấn LDAP hữu dụng lúc tìm kiếm những biết tin được lưu trong đại lý tài liệu Active Directory.

6. Sự làm chủ Group Policy với Active sầu Directory:

khi kể tới Active Directory chắc hẳn rằng bọn họ bắt buộc đề cùa tới Group Policy. Các quản trị viên rất có thể sử dụng Group Policy trong Active Directory để quan niệm những thiết lập cấu hình người dùng và máy tính xách tay vào toàn mạng. Thiết lập này được thông số kỹ thuật cùng được lưu giữ trong nhóm Policy Objects (GPOs), những nguyên tố này tiếp đến sẽ được kết phù hợp với những đối tượng người dùng Active sầu Directory, bao gồm có các domain name cùng site. Đây đó là cách thức đa phần mang lại việc vận dụng những biến đổi mang đến laptop cùng người tiêu dùng trong môi trường Windows.

Thông qua cai quản Group Policy, những quản lí trị viên rất có thể thông số kỹ thuật toàn bộ các tùy chỉnh cấu hình desktop trên những máy tính xách tay người tiêu dùng, giảm bớt hoặc được cho phép truy vấn so với các file hoặc tlỗi mục nào kia bên phía trong mạng.

Thêm vào đó bọn họ cũng vậy phải hiểu GPO được thực hiện ra làm sao. Group Policy Object được áp dụng theo máy từ sau: Các cơ chế trang bị nội bộ được thực hiện trước, tiếp đến là những chính sách site, cơ chế miền, cơ chế được sử dụng cho những OU riêng rẽ. Ở 1 thời điểm như thế nào kia, một đối tượng người tiêu dùng người tiêu dùng hoặc máy tính chỉ có thể trực thuộc về một site hoặc một miền, bởi vì vậy chúng đã chỉ dấn những GPO liên kết cùng với site hoặc miền kia.

Các GPO được phân chia thành nhì phần riêng biệt biệt: Group Policy Template (GPT) với Group Policy Container (GPC). Group Policy Template có trách nhiệm lưu những thiết lập cấu hình được tạo thành phía bên trong GPO. Nó lưu lại các cấu hình thiết lập trong một cấu tạo tlỗi mục và những tệp tin phệ. Để vận dụng các cấu hình thiết lập này thành công với cả các đối tượng người sử dụng người dùng và máy tính, GPT phải được chế tạo ra phiên bản làm thế nào để cho toàn bộ các DC phía bên trong miền.


Group Policy Container là 1 phần của GPO với được lưu giữ vào Active Directory bên trên những DC vào miền. GPC gồm trách rưới nhiệm duy trì tsay đắm chiếu mang đến Client Side Extensions (CSEs), đường truyền đến GPT, đường dẫn mang lại những gói cài đặt với hầu hết chi tiết tsi mê chiếu khác của GPO. GPC ko chứa được nhiều lên tiếng có liên quan đến GPO tương xứng với nó, tuy vậy nó là 1 yếu tắc quan trọng của Group Policy. Lúc các chế độ thiết lập phần mềm được cấu hình, GPC sẽ giúp giữ các links phía bên trong GPO. Ngoài ra nó cũng giữ lại các liên kết tình dục khác cùng những đường dẫn được giữ trong những thuộc tính đối tượng người dùng. Biết được cấu trúc của GPC và giải pháp truy cập các thông báo ẩn được giữ trong những trực thuộc tính sẽ khá quan trọng khi bạn phải đánh giá một vụ việc như thế nào kia gồm tương quan cho GP.

Với Windows Server 2003, Microsoft đang gây ra một giải pháp thống trị Group Policy chính là Group Policy Management Console (GPMC). GPMC cung cấp cho các quản ngại trị viên một bối cảnh cai quản giúp dễ dàng những trọng trách có liên quan mang đến GPO. Chúc chúng ta thành công!

Bài viết liên quan

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *