Professional Documents
Culture Documents
Chapter1 - Active Directory - Updated (1) (1)
Chapter1 - Active Directory - Updated (1) (1)
Chapter1 - Active Directory - Updated (1) (1)
KHÓA HỌC
Một nhóm máy tính ngang hàng chia sẻ tài nguyên. Nhỏ bằng hai máy tính hoặc có thể mở rộng quy mô khá lớn.
oCó thể có một máy chủ trung tâm sử dụng để sử dụng các dịch vụ khác nhau. Tự xác thực và tự ủy quyền
Khi kết nối với tài nguyên dùng chung trên máy tính, trước tiên bạn Kiểm tra quyền của người dùng được xác thực và kiểm soát
được nhắc cung cấp tên người dùng và mật khẩu hợp lệ trên đó quyền truy cập vào các chức năng dựa trên các vai trò được gán cho người dùng.
Quá trình xác thực cho người dùng đăng nhập Các đối tượng SAM bao gồm:
SAM_GROUP: Một nhóm không phải là nhóm cục bộ (ví dụ: nhóm miền)
Windows lưu trữ tài khoản người dùng và bộ mô tả bảo mật trong cơ sở dữ liệu
Nó xác thực đăng nhập người dùng cục bộ. SAM_DOMAIN: Một tên miền
Chỉ cần định cấu hình tài nguyên để chia sẻ và xác định ai Nếu chúng bị thay đổi, người dùng có thể cập nhật mật khẩu của mình trên một vài
bạn muốn chia sẻ tài nguyên đó với vì hệ thống nhưng không phải trên tất cả chúng, và sau đó không đồng bộ.
Một nhóm hợp lý các máy tính xác thực Sau khi được xác thực, người dùng sẽ nhận được mã thông báo theo sau họ
đến một cơ sở dữ liệu trung tâm của người dùng được lưu trữ trên đặc biệt trên mạng và tự động chứng minh danh tính của họ với người khác
Cho phép truy cập các tài nguyên cấp quyền truy cập cụ thể cho họ.
Khi người dùng đăng nhập vào máy tính đã tham gia
Các thành phần phần mềm cung cấp chức năng xác thực Lợi thế Nhược điểm
cài đặt, bảo mật và phần mềm cho các máy tính và người dùng khác nhau
Đăng nhập một lần Đắt tiền
trong miền.
Một dịch vụ thư mục lưu trữ tài khoản người dùng/máy tính, ứng dụng,
máy in, thư mục dùng chung, chính sách nhóm và tất cả các loại bản ghi.
2 Thư mục hoạt động o Cung cấp xác thực tập trung và hỗ trợ đăng nhập một lần vào
các máy tính trên mạng được kết nối với Active Directory
lãnh địa.
AD DS bao gồm NTDS.DIT (Dịch vụ thư mục công nghệ mới. Được phân chia hợp lý thành các phân vùng sau:
Tệp Cây thông tin thư mục) (%SystemRoot%\NTDS\Ntds.dit) Schema Partition: chứa định nghĩa của các đối tượng và quy tắc cho
thao tác và tạo của họ trong một thư mục hoạt động.
Phân vùng cấu hình: chứa thư mục hoạt động toàn rừng
Một cơ sở dữ liệu lưu trữ tất cả dữ liệu Active Directory, bao gồm
cấu trúc liên kết bao gồm DC, trang web và dịch vụ.
thông tin về đối tượng người dùng, nhóm và thành viên nhóm như
Domain Partition: chứa thông tin về người dùng, nhóm,
cũng như băm mật khẩu cho người dùng miền.
máy tính và OU.
Application Partition: lưu trữ thông tin về các ứng dụng trong một
QUẢNG CÁO. Giả sử thông tin vùng DNS tích hợp AD được lưu trữ trong này
vách ngăn.
Mỗi bộ điều khiển miền (DC) có Sau khi bộ điều khiển miền xác thực tên người dùng và mật khẩu của bạn, nó
một bản sao tập trung của Active cấp cho máy tính của bạn một mã thông báo được mã hóa liệt kê:
Tokens chỉ có thể được giải mã bởi các máy tính tham gia vào
Khi bạn truy cập tài nguyên được chia sẻ trên một máy tính khác trong miền, AD DS bao gồm cả thành phần logic và vật lý
mã thông báo của bạn được tự động gửi cùng với yêu cầu đến máy tính mục tiêu
Sau đó, bạn được cấp hoặc từ chối quyền truy cập vào tài nguyên theo
các quyền được gán cho tài khoản nhóm và người dùng trong miền của bạn
được liệt kê trong ACL (Danh sách kiểm soát truy cập) của tài nguyên .
danh sách tất cả các loại đối tượng có sẵn (được gọi là
các lớp, ví dụ: người dùng) và các lớp liên quan của chúng
Đối tượng lá: đại diện cho tài khoản người dùng, tài khoản nhóm, máy tính Domain (hay miền Active Directory): dùng để nhóm và quản lý
tài khoản, tài nguyên mạng được xuất bản lên cơ sở dữ liệu Active Directory các đối tượng.
Cho một tên miền DNS duy nhất, chẳng hạn như domain1.com.
Các đối tượng chứa: dùng để nhóm các đối tượng lá lại cho dễ
Mỗi đối tượng miền thường đại diện cho một đơn vị kinh doanh riêng biệt bên trong
quản trị và áp dụng Group Policy. Có ba chính
tổ chức của bạn và có thể chứa OU cũng như các đối tượng lá.
thùng đựng hàng:
Miền
Trang web
Organizational Unit (OU): chứa các đối tượng dạng lá hoặc các OU khác (gọi là Địa điểm: đại diện cho các địa điểm thực tế trong tổ chức của bạn.
OU con). Mỗi vị trí thực tế chứa một mạng LAN giao tiếp với các vị trí khác
Bằng cách biểu diễn từng vị trí thực tế bằng một đối tượng trang web, bạn có thể
Cấu trúc OU bạn tạo
cho mỗi miền nên tạo các cài đặt kiểm soát việc sao chép Active Directory
trong đó cụ thể
Active Directory rừng và cây cối Active Directory rừng và cây cối
Tên miền thường được sử dụng để đại diện cho một đơn vị kinh doanh đơn lẻ trong một Forest: tập hợp các miền Active Directory chia sẻ lược đồ
tổ chức. => phù hợp với các tổ chức nhỏ hơn. và một số hiệu trưởng an ninh.
Phần lớn các tổ chức trên thế giới có một khu rừng duy nhất
lãnh địa.
Các tổ chức lớn hơn thường có nhiều đơn vị kinh doanh và mỗi
Rừng đa miền thường được sử dụng bởi các khu rừng lớn hơn về mặt địa lý
đơn vị kinh doanh có thể cần truy cập tài nguyên trong các đơn vị kinh doanh khác.
Rừng Active Directory được sử dụng để cung cấp cho nhiều miền trong
Active Directory rừng và cây cối Active Directory rừng và cây cối
Tên miền domain1.com cũng là một cây nhưng không có tên miền con.
hcm.domain2.com hn.domain2.com
Miền đầu tiên trong cây được gọi là miền gốc của cây.
domain1.com RỪNG
Nguyễn Việt Hà, Ph.D.
- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ
31/5074
Nguyễn Việt Hà, Ph.D.
- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ
32/5074
Machine Translated by Google
Rừng Cây
Lãnh địa
Q1.HCM.com Q5.HCM.com BD.HN.com HK.HN.com
4
Đứa trẻ
MIỀN RỪNG 33 34
Active Directory đáng tin cậy Active Directory đáng tin cậy
chỉ có một miền, nhưng lớn hơn Tin cậy chuyển tiếp: Miền 1 tin tưởng Miền 2 và Miền 2 tin cậy
các tổ chức sẽ kết thúc với Miền 3 => Miền 1 cũng sẽ tin cậy Miền 3.
nhiều miền.
Tin tưởng một chiều: chỉ thiết lập niềm tin theo một hướng. Miền 1
tin tưởng Miền 2, nhưng Miền 2 không tin tưởng Miền 1.
Để đơn giản hóa việc quản trị và trải nghiệm người dùng, bạn có thể thiết lập
tin cậy giữa các miền để người dùng được xác thực trong một miền Tin cậy hai chiều: mối quan hệ tin cậy hai chiều. Nếu miền 1 tin tưởng
Miền 2 thì Miền 2 cũng tin tưởng Miền 1
có thể truy cập tài nguyên trong miền khác mà không cần phải xác thực
với một bộ thông tin xác thực riêng biệt.
Active Directory đáng tin cậy Active Directory đáng tin cậy
Các loại tin cậy của AD DS: Các loại tin cậy của AD DS:
Tín nhiệm giữa cha mẹ và con cái: mối quan hệ tin cậy được tạo tự động và Tree-Root Trust: quan hệ tin cậy được tạo tự động và
thiết lập mối quan hệ giữa miền cha và miền con thiết lập mối quan hệ giữa miền gốc của rừng và miền mới
lãnh địa. cây.
Chúng có tính chất bắc cầu và chúng có thể được tạo ra dưới dạng niềm tin hai chiều. Chúng có thể chuyển tiếp và được tạo ra dưới dạng niềm tin hai chiều.
miền2.com
Niềm tin giữa cha mẹ Niềm tin giữa cha mẹ Niềm tin giữa cha mẹ Niềm tin giữa cha mẹ
và con cái và con cái và con cái và con cái Niềm tin giữa cha mẹ
và con cái
37 domain1.com RỪNG 38
Active Directory đáng tin cậy Active Directory đáng tin cậy
Các loại tin cậy của AD DS: Các loại tin cậy của AD DS:
Shortcut trust: được sử dụng trên các miền Windows Server nằm trong Realm trust: cho phép tạo trust giữa Windows Server
cùng một khu rừng, nơi cần tối ưu hóa xác thực tên miền và Kerberos không phải của Windows (Linux, Unix hoặc MacOS)
quá trình. Điều này có thể xảy ra khi người dùng trên Miền A thường xuyên cảnh giới.
Active Directory đáng tin cậy Active Directory đáng tin cậy
Các loại tin cậy của AD DS: Các loại tin cậy của AD DS:
Sự tin cậy bên ngoài: Sự tin cậy bên ngoài kết nối miền Windows Server Forest trust: Forest trust tạo mối quan hệ tin cậy giữa hai bên
trong một khu rừng đến một miền Windows Server khác (Windows NT 4.0 Rừng máy chủ Windows.
và các vùng Kerberos không phải của Windows) trong một khu rừng khác. Chúng có tính bắc cầu và có thể được thiết lập là một chiều hoặc hai chiều
Chúng không chuyển tiếp và được tạo dưới dạng ủy thác một chiều hoặc hai chiều. ủy thác.
Một khu rừng đơn lẻ có thể chứa số lượng miền không giới hạn. Mỗi miền
oCần cách tối ưu để xác định vị trí các đối tượng một cách nhanh chóng trong phạm vi khác nhau
tên miền.
Danh mục toàn cầu (GC): GC cho phép người dùng tìm kiếm đối tượng nhanh chóng
Cho phép người dùng và ứng dụng tìm đối tượng trong Active Directory không biết tên miền nào chứa chúng
cây miền, được cung cấp một hoặc nhiều thuộc tính của đối tượng đích. không yêu cầu mở rộng liền kề
không gian tên trong doanh nghiệp.
Giữ một bản sao của mọi đối tượng trong thư mục (trong bối cảnh đặt tên)
và một số ít thuộc tính của chúng:
o Được sử dụng thường xuyên nhất trong các thao tác tìm kiếm.
oBắt buộc phải định vị bản sao đầy đủ của đối tượng.
Ví dụ, khi gán quyền
trên một tài nguyên, giao diện bạn sử dụng sẽ
Được lưu trữ trên ít nhất một bộ điều khiển miền trong rừng.
cho phép bạn chọn người dùng và nhóm
Mặc định là Domain Controller đầu tiên được tạo trong Forest. trong các miền khác trong rừng từ một
Có thể con ig ở Domain Controller khác để cân bằng tải. danh sách được cung cấp bởi GC.
Đối với các đối tượng tài khoản người dùng , danh mục chung lưu trữ một tên duy nhất GC được cập nhật khi các đối tượng được thêm hoặc xóa trong bất kỳ
mà người dùng có thể sử dụng để đăng nhập vào miền của họ từ bất kỳ máy tính nào trong miền trong rừng.
rừng.
Các bản cập nhật này phải được sao chép sang tất cả các bộ điều khiển miền khác
giữ một bản sao của GC.
Tên nguyên tắc người dùng (UPN): tên người dùng@tên miền.
Yêu cầu khi đăng nhập vào máy tính với tư cách tài khoản người dùng trong một máy tính khác
miền trong rừng.
chỗ, Văn phòng chi nhánh nhỏ hơn với máy chủ dung lượng thấp, không thể
xử lý tải bổ sung khi lưu trữ một GC Bật Universal Group Membership Caching (UGMC) trên các trang web để
giữ một bản sao của danh mục toàn cầu để cung cấp xác thực nhanh.
Sao chép GC có thể làm tắc nghẽn băng thông Internet ở những vị trí
có kết nối Internet chậm hơn.
Bộ điều khiển oDomain phải liên hệ với danh mục toàn cầu từ xa trước tiên
thời gian mỗi người dùng xác thực với miền để xác minh
tư cách thành viên nhóm phổ quát và được lưu vào bộ nhớ cache trên DC.
Giải pháp: Triển khai tên miền
Làm tắc nghẽn Loại bỏ nhu cầu liên hệ với một danh mục toàn cầu từ xa.
Tính
Giao thức Dịch vụ Xác thực Mạng Kerberos (V5) Giao thức Dịch vụ Xác thực Mạng Kerberos (V5)
(Kerberos V5): (Kerberos V5):
Phiên bản hiện tại: Phiên bản 5, Phiên bản 1.20 (26/05/2022)
oViệc triển khai chọn sử dụng trực tiếp NLMP (NT LAN
Hỗ trợ đăng nhập một lần
Giao thức xác thực Trình quản lý (NTLM).).
Quy trình xác thực KDC: Trung tâm phân phối trọng điểm
TGT: Vé cấp vé
Quy trình xác thực KDC: Trung tâm phân phối trọng điểm
TGT: Vé cấp vé
Các Chìa khóa
Phân bổ Trung tâm(KDC),
trên mã
ngụhóa mỗi bộ điều khiển miền và cửa hàng
5. Bộ điều khiển miền truy vấn
người dùng thông tin đăng nhập
danh mục toàn cầu để xác định phổ quát
nhóm mà người dùng thuộc về.
được mã hóa bởi khách hàng 6. KDC phát hành cho khách hàng một 4. Bộ điều khiển miền
và gửi đến một miền phiếu cấp vé (TGT). tạo một danh sách các
bộ điều khiển. nhóm dựa trên tên miền để
mà người dùng thuộc về.
Quy trình xác thực KDC: Trung tâm phân phối trọng điểm
TGT: Vé cấp vé
Quy trình xác thực KDC: Trung tâm phân phối trọng điểm
TGT: Vé cấp vé
Quy trình xác thực KDC: Trung tâm phân phối trọng điểm
TGT: Vé cấp vé
Quy trình xác thực KDC: Trung tâm phân phối trọng điểm
TGT: Vé cấp vé
10. Máy khách xuất trình vé phiên cho máy chủ 11. LSA so sánh các SID trong mã thông báo truy cập với các nhóm được
nơi tài nguyên cư trú. quyền được chỉ định trong danh sách kiểm soát truy cập tùy ý tài nguyên (DACL). Nếu như
chúng khớp nhau, người dùng được cấp quyền truy cập vào tài nguyên.
Cơ quan bảo mật cục bộ (LSA) trên máy chủ sử dụng
thông tin trong vé phiên để tạo quyền truy cập
mã thông báo.
Mô hình đa chủ
Active Directory là kho lưu trữ trung tâm để lưu trữ tất cả các đối tượng trong một
Đó là một cơ sở dữ liệu phân cấp, hỗ trợ nhiều chủ có thể lưu trữ
Các thay đổi đối với cơ sở dữ liệu có thể được xử lý tại bất kỳ bộ điều khiển miền nào
Thay đổi nào được viết sau cùng, người viết cuối cùng sẽ thắng. Các thay một số đối tượng theo kiểu một chủ.
đổi trong tất cả các DC khác đều bị loại bỏ. Chỉ một DC trong toàn bộ thư mục được phép xử lý các bản cập nhật.
Active Directory bao gồm nhiều vai trò và khả năng chuyển vai trò
Tuy nhiên, có những lúc mâu thuẫn quá khó giải quyết
đến bất kỳ DC nào trong doanh nghiệp.
sử dụng phương pháp tiếp cận chiến thắng của nhà văn cuối cùng.
Trong những trường hợp như vậy, tốt nhất là ngăn xung đột xảy ra thay vì
Năm vai trò FSMO (Vận hành đơn chính linh hoạt):
hơn là cố gắng giải quyết nó sau khi thực tế.
Quản lý bản sao đọc-ghi lược đồ Active Directory của bạn . Chỉ một DC có thể xử lý các bản cập nhật cho lược đồ AD.
o Lược đồ AD xác định tất cả các thuộc tính - những thứ như nhân viên oSau khi cập nhật Lược đồ hoàn tất, nó sẽ được sao chép từ
ID, số điện thoại, địa chỉ email và tên đăng nhập – mà bạn có thể lược đồ chủ cho tất cả các DC khác trong thư mục.
áp dụng cho một đối tượng trong cơ sở dữ liệu AD của bạn.
Quản lý không gian tên miền toàn rừng của thư mục. Phân bổ nhóm Mã định danh tương đối (RID) cho các DC trong miền của nó.
Chỉ một DC có thể thêm bớt tên miền và ứng dụng oKhi DC tạo đối tượng chính bảo mật (ví dụ: người dùng hoặc
phân vùng thư mục từ thư mục. nhóm), nó gắn một SID duy nhất vào đối tượng, bao gồm:
Có một RID Master trong mỗi miền trong nhóm Active Directory
Trình giả lập Bộ điều khiển Miền Chính (PDC) Thạc sĩ hạ tầng
Kiểm soát xác thực trong một miền. Cập nhật SID và Tên phân biệt (DN) của đối tượng trong tham chiếu đối tượng miền
thay đổi mật khẩu, quản lý Đối tượng chính Khi một đối tượng trong một miền được tham chiếu bởi một đối tượng khác trong
sách nhóm, khóa tài khoản.
miền khác, nó đại diện cho tham chiếu bởi:
Tương thích ngược. oThực oThe SID (để tham chiếu đến bảo mật
hiệu trưởng).
hiện tất cả các chức năng mà PDC dựa trên Máy chủ Windows NT 4.0 hoặc PDC cũ
o DN của đối tượng được
hơn thực hiện cho PDC dựa trên Windows NT 4.0 hoặc
khách hàng trước đó.
đã tham khảo.
Xem lại Mã định danh duy nhất toàn cầu (GUID) Xem lại Tên phân biệt (DN):
số o128-bit để xác định duy nhất các thành phần cụ thể, oĐộc nhất trong rừng.
phần cứng, phần mềm, tập tin, tài khoản người dùng, mục nhập cơ sở dữ liệu và
các mặt hàng khác.
o Bao gồm đủ thông tin để xác định vị trí bản sao của phân vùng
oĐộc nhất không chỉ trong doanh nghiệp mà còn trên toàn thế giới. đó giữ đối tượng.
oActive Directory sử dụng GUID bên trong để xác định các đối tượng.
Là một chuỗi các tên phân biệt tương đối (RDN)
oGUID sẽ không thay đổi nhưng SID đôi khi có thể thay đổi. nối với nhau bằng dấu phẩy.
Ví dụ:
Nguyễn Việt Hà, Ph.D.