Chapter1 - Active Directory - Updated (1) (1)

Machine Translated by Google
ĐHQGHCM – ĐẠI HỌC BÁCH KHOA
KHOA ĐIỆN TỬ – VIỄN THÔNG
CỤC VIỄN THÔNG – MẠNG
KHÓA HỌC
CÔNG NGHỆ MẠNG
chương 1 Tên miền Windows
01 DANH MỤC HOẠT ĐỘNG

Chủ biên: Nguyễn Việt Hà, Ph.D.
Ngày 9 tháng 5 năm 2023
Giảng viên: Nguyễn Việt Hà, Ph.D. Email: nvha@hcmus.edu.vn

2
nhóm làm việc nhóm làm việc
Một nhóm máy tính ngang hàng chia sẻ tài nguyên. Nhỏ bằng hai máy tính hoặc có thể mở rộng quy mô khá lớn.
Nhóm hệ thống nhỏ lý tưởng là 15 hoặc ít hơn. 200 hệ thống.

Phân cấp về mọi mặt.
oCó thể có một máy chủ trung tâm sử dụng để sử dụng các dịch vụ khác nhau. Tự xác thực và tự ủy quyền
để truy cập vào tài nguyên.
oHoặc chia sẻ dữ liệu từ các máy trạm riêng lẻ.
quá tải Yếu đuối
Nguyễn Việt Hà, Ph.D.

- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ 3/5074 Nguyễn Việt Hà, Ph.D.
- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ 4/5074
Xác thực Ủy quyền
Khi kết nối với tài nguyên dùng chung trên máy tính, trước tiên bạn Kiểm tra quyền của người dùng được xác thực và kiểm soát
được nhắc cung cấp tên người dùng và mật khẩu hợp lệ trên đó quyền truy cập vào các chức năng dựa trên các vai trò được gán cho người dùng.
máy tính có quyền truy cập tài nguyên.

- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ
5/5074
6/5074
Quá trình xác thực cho người dùng đăng nhập Các đối tượng SAM bao gồm:
đang ở máy tính cục bộ.

SAM_ALIAS: Nhóm cục bộ
SAM_GROUP: Một nhóm không phải là nhóm cục bộ (ví dụ: nhóm miền)
Windows lưu trữ tài khoản người dùng và bộ mô tả bảo mật trong cơ sở dữ liệu
SAM_USER: Tài khoản người dùng

tệp được gọi là Trình quản lý tài khoản bảo mật (SAM).
Nó xác thực đăng nhập người dùng cục bộ. SAM_DOMAIN: Một tên miền
Cơ sở dữ liệu SAM nằm trong sổ đăng ký Windows.

SAM_SERVER: Tài khoản máy tính
(C:\WINDOWS\system32\con ig)
Khả dụng trên Windows XP, Vista, 7, 8.1, 10 và 11.

7/5074
8/5074
Ưu điểm: Nhược điểm:
Rất đơn giản để quản lý. Tính bảo mật thấp.
oMật khẩu có thể không được thay đổi thường xuyên.
Chỉ cần định cấu hình tài nguyên để chia sẻ và xác định ai Nếu chúng bị thay đổi, người dùng có thể cập nhật mật khẩu của mình trên một vài
bạn muốn chia sẻ tài nguyên đó với vì hệ thống nhưng không phải trên tất cả chúng, và sau đó không đồng bộ.
mọi thứ được đặt cục bộ.
Ít khả năng mở rộng.
Tùy chọn không tốn kém vì bạn không cần nhiều
máy chủ để hỗ trợ một nhóm làm việc.

Lãnh địa Lãnh địa
Một nhóm hợp lý các máy tính xác thực Sau khi được xác thực, người dùng sẽ nhận được mã thông báo theo sau họ
đến một cơ sở dữ liệu trung tâm của người dùng được lưu trữ trên đặc biệt trên mạng và tự động chứng minh danh tính của họ với người khác
máy chủ được gọi là bộ điều khiển miền.

máy chủ và máy khách đã tham gia miền.
Cho phép truy cập các tài nguyên cấp quyền truy cập cụ thể cho họ.
Khi người dùng đăng nhập vào máy tính đã tham gia
đến một miền, tên người dùng và mật khẩu của họ

Chỉ cần xác thực một lần cho một
được xác thực trên tên miền gần nhất
bộ điều khiển miền để chứng minh danh tính của họ
bộ điều khiển.
cho tất cả các thành viên miền, tính năng này là
được gọi là đăng nhập một lần.

Có thể có nhiều miền điều khiển.
trong một

Các thành phần phần mềm cung cấp chức năng xác thực Lợi thế Nhược điểm
được gọi là Active Directory. Tập trung hóa Phức tạp
Chứa nhiều dịch vụ , thành phần khác để quản lý tập trung

Khả năng quản lý Cấp quản trị cao
và bảo mật các máy tính đã tham gia vào miền.
Khả năng mở rộng Thiết bị hiệu suất cao (máy chủ,
oGroup Policy cũng có thể được sử dụng để cấu hình hệ điều hành
An ninh chặt chẽ bộ định tuyến, bộ chuyển mạch)
cài đặt, bảo mật và phần mềm cho các máy tính và người dùng khác nhau
Đăng nhập một lần Đắt tiền
trong miền.
oActive directory Certi icate Services có thể được sử dụng để
tự động hóa cấu hình triển khai mã hóa
chứng chỉ cho máy tính miền và người dùng.

Thư mục hoạt động
Một dịch vụ thư mục lưu trữ tài khoản người dùng/máy tính, ứng dụng,
máy in, thư mục dùng chung, chính sách nhóm và tất cả các loại bản ghi.
Dịch vụ Active Directory chính là Active Directory Domain
Dịch vụ (AD DS).
2 Thư mục hoạt động o Cung cấp xác thực tập trung và hỗ trợ đăng nhập một lần vào
các máy tính trên mạng được kết nối với Active Directory
lãnh địa.
15 Nguyễn Việt Hà, Ph.D.

AD DS bao gồm NTDS.DIT (Dịch vụ thư mục công nghệ mới. Được phân chia hợp lý thành các phân vùng sau:
Tệp Cây thông tin thư mục) (%SystemRoot%\NTDS\Ntds.dit) Schema Partition: chứa định nghĩa của các đối tượng và quy tắc cho
thao tác và tạo của họ trong một thư mục hoạt động.
Phân vùng cấu hình: chứa thư mục hoạt động toàn rừng
Một cơ sở dữ liệu lưu trữ tất cả dữ liệu Active Directory, bao gồm
cấu trúc liên kết bao gồm DC, trang web và dịch vụ.
thông tin về đối tượng người dùng, nhóm và thành viên nhóm như
Domain Partition: chứa thông tin về người dùng, nhóm,
cũng như băm mật khẩu cho người dùng miền.
máy tính và OU.
Application Partition: lưu trữ thông tin về các ứng dụng trong một
QUẢNG CÁO. Giả sử thông tin vùng DNS tích hợp AD được lưu trữ trong này
vách ngăn.

Thư mục hoạt động
Mỗi bộ điều khiển miền (DC) có Sau khi bộ điều khiển miền xác thực tên người dùng và mật khẩu của bạn, nó
một bản sao tập trung của Active cấp cho máy tính của bạn một mã thông báo được mã hóa liệt kê:
Cơ sở dữ liệu thư mục. Tài khoản người dùng miền.
Tài khoản nhóm miền mà bạn là thành viên.
Tokens chỉ có thể được giải mã bởi các máy tính tham gia vào
cùng một miền Active Directory.
Bị hủy khi bạn đăng xuất khỏi hệ thống.

Thư mục hoạt động Thư mục hoạt động
Khi bạn truy cập tài nguyên được chia sẻ trên một máy tính khác trong miền, AD DS bao gồm cả thành phần logic và vật lý
mã thông báo của bạn được tự động gửi cùng với yêu cầu đến máy tính mục tiêu
để xác minh danh tính của bạn.
Sau đó, bạn được cấp hoặc từ chối quyền truy cập vào tài nguyên theo
các quyền được gán cho tài khoản nhóm và người dùng trong miền của bạn
được liệt kê trong ACL (Danh sách kiểm soát truy cập) của tài nguyên .

Đối tượng Active Directory
Đối tượng là thành phần cơ bản nhất
trong cấu trúc logic của AD được xác định
trong cơ sở dữ liệu Active Directory.
3 Cấu trúc Active Directory

Lược đồ Active Directory lưu trữ một
danh sách tất cả các loại đối tượng có sẵn (được gọi là
các lớp, ví dụ: người dùng) và các lớp liên quan của chúng
thuộc tính (được gọi là thuộc tính).

Đối tượng Active Directory Đối tượng Active Directory
Đối tượng lá: đại diện cho tài khoản người dùng, tài khoản nhóm, máy tính Domain (hay miền Active Directory): dùng để nhóm và quản lý
tài khoản, tài nguyên mạng được xuất bản lên cơ sở dữ liệu Active Directory các đối tượng.
ví dụ: (máy in dùng chung). Tạo ranh giới quản lý.
Cho một tên miền DNS duy nhất, chẳng hạn như domain1.com.
Các đối tượng chứa: dùng để nhóm các đối tượng lá lại cho dễ
Mỗi đối tượng miền thường đại diện cho một đơn vị kinh doanh riêng biệt bên trong
quản trị và áp dụng Group Policy. Có ba chính
tổ chức của bạn và có thể chứa OU cũng như các đối tượng lá.
thùng đựng hàng:
Miền
Các đơn vị tổ chức (OU)
Trang web

Đối tượng Active Directory Đối tượng Active Directory
Organizational Unit (OU): chứa các đối tượng dạng lá hoặc các OU khác (gọi là Địa điểm: đại diện cho các địa điểm thực tế trong tổ chức của bạn.
OU con). Mỗi vị trí thực tế chứa một mạng LAN giao tiếp với các vị trí khác
vị trí vật lý qua kết nối WAN/Internet.
Bằng cách biểu diễn từng vị trí thực tế bằng một đối tượng trang web, bạn có thể
Cấu trúc OU bạn tạo
cho mỗi miền nên tạo các cài đặt kiểm soát việc sao chép Active Directory
thông tin trên Internet.

phản ánh cấu trúc
trong đó cụ thể
đơn vị kinh doanh.

Active Directory rừng và cây cối Active Directory rừng và cây cối
Tên miền thường được sử dụng để đại diện cho một đơn vị kinh doanh đơn lẻ trong một Forest: tập hợp các miền Active Directory chia sẻ lược đồ
tổ chức. => phù hợp với các tổ chức nhỏ hơn. và một số hiệu trưởng an ninh.
Phần lớn các tổ chức trên thế giới có một khu rừng duy nhất
lãnh địa.
Các tổ chức lớn hơn thường có nhiều đơn vị kinh doanh và mỗi
Rừng đa miền thường được sử dụng bởi các khu rừng lớn hơn về mặt địa lý
đơn vị kinh doanh có thể cần truy cập tài nguyên trong các đơn vị kinh doanh khác.
tổ chức phân tán.
Rừng Active Directory được sử dụng để cung cấp cho nhiều miền trong
cùng một tổ chức.

29/5074
30/5074
Active Directory rừng và cây cối Active Directory rừng và cây cối
Cây: tập hợp một hoặc nhiều miền có chung

Khi cài đặt bộ điều khiển miền đầu tiên trong miền đầu tiên trong một
không gian tên.
tổ chức, một khu rừng được tạo ra có cùng tên với tên đầu tiên này
Ví dụ: domain2.com, hcm.domain2.com , hn.domain2.com
lãnh địa. miền chia sẻ cùng một tên miền lõi, chúng tôi gọi chúng là
miền2.com cây.
Miền đầu tiên trong một khu rừng được gọi là miền gốc của rừng.
Miền domain2.com được gọi là miền mẹ trong cây,

và tên miền hcm.domain2.com và hn.domain2.com được gọi là
tên miền1.com miền2.com miền con.
(miền gốc rừng)
Tên miền domain1.com cũng là một cây nhưng không có tên miền con.
hcm.domain2.com hn.domain2.com
Miền đầu tiên trong cây được gọi là miền gốc của cây.
domain1.com RỪNG
31/5074
32/5074
Rừng Cây
Nguồn gốc Nguồn gốc

HCM.com Gốc HN.com
Cây
Lãnh địa
Q1.HCM.com Q5.HCM.com BD.HN.com HK.HN.com
4
Đứa trẻ
Active Directory đáng tin cậy

Lãnh địa
P1.Q1.HCM.com P2.Q5.HCM.com P1.BD.HN.com P2.HK.HN.com
CÂY MIỀN CÂY MIỀN
MIỀN RỪNG 33 34
Active Directory đáng tin cậy Active Directory đáng tin cậy
Các tổ chức nhỏ thường có thể có Luồng tin cậy:
chỉ có một miền, nhưng lớn hơn Tin cậy chuyển tiếp: Miền 1 tin tưởng Miền 2 và Miền 2 tin cậy
các tổ chức sẽ kết thúc với Miền 3 => Miền 1 cũng sẽ tin cậy Miền 3.
nhiều miền.
Nontransitive trust: Miền 1 tin tưởng Miền 2 và Miền 2

tin tưởng Miền 3; tuy nhiên, Miền 1 không tin cậy Miền 3.
Tin tưởng một chiều: chỉ thiết lập niềm tin theo một hướng. Miền 1
tin tưởng Miền 2, nhưng Miền 2 không tin tưởng Miền 1.
Để đơn giản hóa việc quản trị và trải nghiệm người dùng, bạn có thể thiết lập
tin cậy giữa các miền để người dùng được xác thực trong một miền Tin cậy hai chiều: mối quan hệ tin cậy hai chiều. Nếu miền 1 tin tưởng
Miền 2 thì Miền 2 cũng tin tưởng Miền 1
có thể truy cập tài nguyên trong miền khác mà không cần phải xác thực
với một bộ thông tin xác thực riêng biệt.

35/5074
36/5074
Các loại tin cậy của AD DS: Các loại tin cậy của AD DS:
Tín nhiệm giữa cha mẹ và con cái: mối quan hệ tin cậy được tạo tự động và Tree-Root Trust: quan hệ tin cậy được tạo tự động và
thiết lập mối quan hệ giữa miền cha và miền con thiết lập mối quan hệ giữa miền gốc của rừng và miền mới
lãnh địa. cây.
Chúng có tính chất bắc cầu và chúng có thể được tạo ra dưới dạng niềm tin hai chiều. Chúng có thể chuyển tiếp và được tạo ra dưới dạng niềm tin hai chiều.
Niềm tin rễ cây
tên miền1.com tên miền1.com
miền2.com
Niềm tin giữa cha mẹ Niềm tin giữa cha mẹ Niềm tin giữa cha mẹ Niềm tin giữa cha mẹ
và con cái và con cái và con cái và con cái Niềm tin giữa cha mẹ
và con cái
a.domain1.com b.domain1.com a.domain1.com b.domain1.com

c.domain2.com
37 domain1.com RỪNG 38
Shortcut trust: được sử dụng trên các miền Windows Server nằm trong Realm trust: cho phép tạo trust giữa Windows Server
cùng một khu rừng, nơi cần tối ưu hóa xác thực tên miền và Kerberos không phải của Windows (Linux, Unix hoặc MacOS)
quá trình. Điều này có thể xảy ra khi người dùng trên Miền A thường xuyên cảnh giới.
cần xác thực với Miền B.

Chúng có thể là bắc cầu hoặc không bắc cầu và được tạo thành một chiều hoặc
Chúng có thể chuyển tiếp và được tạo dưới dạng ủy thác một chiều hoặc hai chiều. tin cậy hai chiều.
Niềm tin rễ cây Niềm tin rễ cây
tên miền1.com tên miền1.com cõi lòng tin

UNIX
niềm tin lối tắt niềm tin lối tắt Kerberos
miền2.com miền2.com
Vương quốc V5
Niềm tin giữa cha mẹ Niềm tin giữa cha mẹ
và con cái và con cái

c.domain2.com c.domain2.com
domain1.com RỪNG 39 domain1.com RỪNG 40

Sự tin cậy bên ngoài: Sự tin cậy bên ngoài kết nối miền Windows Server Forest trust: Forest trust tạo mối quan hệ tin cậy giữa hai bên
trong một khu rừng đến một miền Windows Server khác (Windows NT 4.0 Rừng máy chủ Windows.
và các vùng Kerberos không phải của Windows) trong một khu rừng khác. Chúng có tính bắc cầu và có thể được thiết lập là một chiều hoặc hai chiều
Chúng không chuyển tiếp và được tạo dưới dạng ủy thác một chiều hoặc hai chiều. ủy thác.
Niềm tin rễ cây Niềm tin rễ cây ủy thác rừng
tên miền1.com tên miền1.com

miền3.net miền3.net
miền2.com miền2.com
niềm tin lối tắt niềm tin lối tắt
Niềm tin giữa cha mẹ Niềm tin giữa cha mẹ
và con cái và con cái
Niềm tin bên ngoài Niềm tin bên ngoài

c.domain2.com a.domain3.net b.domain3.net c.domain2.com a.domain3.net b.domain3.ne
domain1.com RỪNG domain3.net RỪNG 41 domain1.com RỪNG domain3.net RỪNG 42
Danh mục toàn cầu
Một khu rừng đơn lẻ có thể chứa số lượng miền không giới hạn. Mỗi miền
có thể chứa số lượng đối tượng không giới hạn.
oCần cách tối ưu để xác định vị trí các đối tượng một cách nhanh chóng trong phạm vi khác nhau
tên miền.
5 Danh mục toàn cầu

Danh mục toàn cầu Danh mục toàn cầu
Danh mục toàn cầu (GC): GC cho phép người dùng tìm kiếm đối tượng nhanh chóng
Cho phép người dùng và ứng dụng tìm đối tượng trong Active Directory không biết tên miền nào chứa chúng
cây miền, được cung cấp một hoặc nhiều thuộc tính của đối tượng đích. không yêu cầu mở rộng liền kề
không gian tên trong doanh nghiệp.
Giữ một bản sao của mọi đối tượng trong thư mục (trong bối cảnh đặt tên)
và một số ít thuộc tính của chúng:
o Được sử dụng thường xuyên nhất trong các thao tác tìm kiếm.
(nghĩa là họ và tên hoặc tên đăng nhập của người dùng)
oBắt buộc phải định vị bản sao đầy đủ của đối tượng.
Ví dụ, khi gán quyền
trên một tài nguyên, giao diện bạn sử dụng sẽ
Được lưu trữ trên ít nhất một bộ điều khiển miền trong rừng.
cho phép bạn chọn người dùng và nhóm
Mặc định là Domain Controller đầu tiên được tạo trong Forest. trong các miền khác trong rừng từ một
Có thể con ig ở Domain Controller khác để cân bằng tải. danh sách được cung cấp bởi GC.

- Sở viễn thông – Mạng, FETEL,VNUHCM-Mỹ 45/5074 46
Đối với các đối tượng tài khoản người dùng , danh mục chung lưu trữ một tên duy nhất GC được cập nhật khi các đối tượng được thêm hoặc xóa trong bất kỳ
mà người dùng có thể sử dụng để đăng nhập vào miền của họ từ bất kỳ máy tính nào trong miền trong rừng.
rừng.
Các bản cập nhật này phải được sao chép sang tất cả các bộ điều khiển miền khác
giữ một bản sao của GC.
Tên nguyên tắc người dùng (UPN): tên người dùng@tên miền.
oĐược ưu tiên làm Tên đăng nhập người dùng
oĐộc nhất trong rừng.
Yêu cầu khi đăng nhập vào máy tính với tư cách tài khoản người dùng trong một máy tính khác
miền trong rừng.
GC được liên hệ để xác minh UPN và định vị bộ điều khiển miền

có thể hoàn tất quá trình xác thực.

Trong môi trường tại Trong môi trường hiện trường,
chỗ, Văn phòng chi nhánh nhỏ hơn với máy chủ dung lượng thấp, không thể
xử lý tải bổ sung khi lưu trữ một GC Bật Universal Group Membership Caching (UGMC) trên các trang web để
giữ một bản sao của danh mục toàn cầu để cung cấp xác thực nhanh.
Sao chép GC có thể làm tắc nghẽn băng thông Internet ở những vị trí
có kết nối Internet chậm hơn.
Bộ điều khiển oDomain phải liên hệ với danh mục toàn cầu từ xa trước tiên
thời gian mỗi người dùng xác thực với miền để xác minh
tư cách thành viên nhóm phổ quát và được lưu vào bộ nhớ cache trên DC.
Giải pháp: Triển khai tên miền
bộ điều khiển, chỉ lưu trữ

thành viên nhóm phổ quát oCác yêu cầu xác thực tiếp theo sử dụng nhóm chung
thông tin tại địa phương. thông tin thành viên cho người dùng được lưu trữ trong bộ đệm.
Làm tắc nghẽn Loại bỏ nhu cầu liên hệ với một danh mục toàn cầu từ xa.

Giao thức xác thực
Trình quản lý mạng LAN NT (NTLM):
Phiên bản hiện tại: 35.0 (29/4/2022)
Được sử dụng để xác thực giữa máy khách và máy chủ.
oThông tin ủy quyền: Tư cách
6 Quy trình xác thực thành viên nhóm.
tin đăng nhập tương tác.

Thông
Tính
toàn vẹn của thông điệp.
Được thay thế bởi Kerberos.

Giao thức xác thực Giao thức xác thực
Giao thức Dịch vụ Xác thực Mạng Kerberos (V5) Giao thức Dịch vụ Xác thực Mạng Kerberos (V5)
(Kerberos V5): (Kerberos V5):
Phiên bản hiện tại: Phiên bản 5, Phiên bản 1.20 (26/05/2022)
Thay thế NTLM trong AD.

Được sử dụng để xác thực giữa máy khách và máy chủ trong DC (mặc định).
oThông tin ủy quyền: Tư
Tuy nhiên, NTLM có thể được sử dụng khi Kerberos không hoạt động.
cách thành viên nhóm
oMột trong các máy không hỗ trợ Kerberos.
Thông tin đăng nhập tương tác
oMáy chủ không được kết nối với một miền.
Tính toàn vẹn của thông điệp
oCấu hình Kerberos không được thiết lập chính xác.
oViệc triển khai chọn sử dụng trực tiếp NLMP (NT LAN
Hỗ trợ đăng nhập một lần
Giao thức xác thực Trình quản lý (NTLM).).
Tính bảo mật cao.

Quy trình xác thực KDC: Trung tâm phân phối trọng điểm
TGT: Vé cấp vé
TGT: Vé cấp vé
Các Chìa khóa
Phân bổ Trung tâm(KDC),
trên mã
ngụhóa mỗi bộ điều khiển miền và cửa hàng
5. Bộ điều khiển miền truy vấn
người dùng thông tin đăng nhập
danh mục toàn cầu để xác định phổ quát
nhóm mà người dùng thuộc về.
2. Thông tin đăng nhập là
được mã hóa bởi khách hàng 6. KDC phát hành cho khách hàng một 4. Bộ điều khiển miền
và gửi đến một miền phiếu cấp vé (TGT). tạo một danh sách các
bộ điều khiển. nhóm dựa trên tên miền để
mà người dùng thuộc về.
3. Thông tin đăng nhập được mã hóa được khớp với

thông tin đăng nhập được mã hóa trên bộ điều khiển miền. TGT chứa các mã định danh bảo mật được mã hóa (SID) mà TGT là thành
viên.nhóm người dùng
1. Người dùng nhập thông tin đăng nhập tại máy trạm để thực hiện đăng nhập tương tác.
TGT: Vé cấp vé
TGT: Vé cấp vé
9. TGS cấp một phiếu dịch vụ (vé phiên) cho

máy chủ nơi chứa tài nguyên cho máy khách.
7. Khách hàng yêu cầu quyền truy cập

đến một tài nguyên cư trú trên một Vé phiên chứa SID cho người dùng
máy chủ cụ thể. thành viên nhóm.
8. Khách hàng sử dụng TGT

để có quyền truy cập vào dịch
vụ cấp vé (TGS), trên
bộ điều khiển miền.

TGT: Vé cấp vé
TGT: Vé cấp vé
10. Máy khách xuất trình vé phiên cho máy chủ 11. LSA so sánh các SID trong mã thông báo truy cập với các nhóm được
nơi tài nguyên cư trú. quyền được chỉ định trong danh sách kiểm soát truy cập tùy ý tài nguyên (DACL). Nếu như
chúng khớp nhau, người dùng được cấp quyền truy cập vào tài nguyên.
Cơ quan bảo mật cục bộ (LSA) trên máy chủ sử dụng
thông tin trong vé phiên để tạo quyền truy cập
mã thông báo.

Mô hình đa chủ
Active Directory là kho lưu trữ trung tâm để lưu trữ tất cả các đối tượng trong một
doanh nghiệp và các thuộc tính tương ứng của chúng.
Đó là một cơ sở dữ liệu phân cấp, hỗ trợ nhiều chủ có thể lưu trữ
hàng triệu đối tượng.
Các thay đổi đối với cơ sở dữ liệu có thể được xử lý tại bất kỳ bộ điều khiển miền nào
Hoạt động đơn Master linh hoạt

7
(DC) trong doanh nghiệp.
(FSMO) Vai trò

Khả năng xảy ra xung đột có khả năng dẫn đến sự cố
khi dữ liệu được sao chép
đến phần còn lại của doanh nghiệp.

Vai trò FSMO Mô hình đơn chủ

Cần một thuật toán giải quyết xung đột. Để ngăn các bản cập nhật xung đột, Active Directory thực hiện các bản cập nhật cho
Thay đổi nào được viết sau cùng, người viết cuối cùng sẽ thắng. Các thay một số đối tượng theo kiểu một chủ.
đổi trong tất cả các DC khác đều bị loại bỏ. Chỉ một DC trong toàn bộ thư mục được phép xử lý các bản cập nhật.
Active Directory bao gồm nhiều vai trò và khả năng chuyển vai trò
Tuy nhiên, có những lúc mâu thuẫn quá khó giải quyết
đến bất kỳ DC nào trong doanh nghiệp.
sử dụng phương pháp tiếp cận chiến thắng của nhà văn cuối cùng.
Trong những trường hợp như vậy, tốt nhất là ngăn xung đột xảy ra thay vì
Năm vai trò FSMO (Vận hành đơn chính linh hoạt):
hơn là cố gắng giải quyết nó sau khi thực tế.
Đối với một số loại thay đổi nhất định,

Windows kết hợp các phương pháp để
ngăn các bản cập nhật Active Directory
xung đột xảy ra.

Vai trò FSMO Vai trò FSMO
Sơ đồ tổng thể Sơ đồ tổng thể
Quản lý bản sao đọc-ghi lược đồ Active Directory của bạn . Chỉ một DC có thể xử lý các bản cập nhật cho lược đồ AD.
o Lược đồ AD xác định tất cả các thuộc tính - những thứ như nhân viên oSau khi cập nhật Lược đồ hoàn tất, nó sẽ được sao chép từ
ID, số điện thoại, địa chỉ email và tên đăng nhập – mà bạn có thể lược đồ chủ cho tất cả các DC khác trong thư mục.
áp dụng cho một đối tượng trong cơ sở dữ liệu AD của bạn.
Chỉ có một chủ lược đồ cho

mỗi khu rừng.
oMặc định: DC chính (PDC)

của miền gốc rừng.

Đặt tên miền Chính Mã định danh tương đối (RID)
Quản lý không gian tên miền toàn rừng của thư mục. Phân bổ nhóm Mã định danh tương đối (RID) cho các DC trong miền của nó.
Chỉ một DC có thể thêm bớt tên miền và ứng dụng oKhi DC tạo đối tượng chính bảo mật (ví dụ: người dùng hoặc
phân vùng thư mục từ thư mục. nhóm), nó gắn một SID duy nhất vào đối tượng, bao gồm:
SID tên miền giống nhau

Chỉ có một tên miền cho tất cả các SID được tạo trong một
đặt tên cho từng khu rừng.
miền. Một RID duy nhất cho mỗi
oMặc định: DC chính (PDC) của
SID chính bảo mật được tạo trong
miền gốc rừng. một miền.
Chuyển đối tượng từ miền này sang miền khác

khác trong một khu rừng.
Có một RID Master trong mỗi miền trong nhóm Active Directory

Trình giả lập Bộ điều khiển Miền Chính (PDC) Thạc sĩ hạ tầng
Kiểm soát xác thực trong một miền. Cập nhật SID và Tên phân biệt (DN) của đối tượng trong tham chiếu đối tượng miền
o Trả lời các yêu cầu xác thực, chéo.
thay đổi mật khẩu, quản lý Đối tượng chính Khi một đối tượng trong một miền được tham chiếu bởi một đối tượng khác trong
sách nhóm, khóa tài khoản.
miền khác, nó đại diện cho tham chiếu bởi:
o Số nhận dạng duy nhất toàn cầu

Đồng bộ hóa thời gian trong doanh nghiệp.
(HƯỚNG DẪN).
Tương thích ngược. oThực oThe SID (để tham chiếu đến bảo mật
hiệu trưởng).
hiện tất cả các chức năng mà PDC dựa trên Máy chủ Windows NT 4.0 hoặc PDC cũ
o DN của đối tượng được
hơn thực hiện cho PDC dựa trên Windows NT 4.0 hoặc
khách hàng trước đó.
đã tham khảo.
Có một trong mỗi miền trong một

Có một trong mỗi miền trong một rừng Active Directory Rừng Active Directory.

Thạc sĩ hạ tầng Thạc sĩ hạ tầng
Xem lại Mã định danh duy nhất toàn cầu (GUID) Xem lại Tên phân biệt (DN):
số o128-bit để xác định duy nhất các thành phần cụ thể, oĐộc nhất trong rừng.
phần cứng, phần mềm, tập tin, tài khoản người dùng, mục nhập cơ sở dữ liệu và
các mặt hàng khác.
o Bao gồm đủ thông tin để xác định vị trí bản sao của phân vùng
oĐộc nhất không chỉ trong doanh nghiệp mà còn trên toàn thế giới. đó giữ đối tượng.
oActive Directory sử dụng GUID bên trong để xác định các đối tượng.
Là một chuỗi các tên phân biệt tương đối (RDN)
oGUID sẽ không thay đổi nhưng SID đôi khi có thể thay đổi. nối với nhau bằng dấu phẩy.
oLý do sử dụng SID không phải GUID, là để lùi

khả năng tương thích. Ví dụ: Windows NT sử dụng SID để xác định người dùng và
nhóm trong ACL trên tài nguyên.
Vai trò FSMO

CÁM ƠN VÌ SỰ QUAN TÂM CỦA BẠN
Thạc sĩ hạ tầng
Xem lại Tên phân biệt (DN): RDN là một

thuộc tính có
giá trị liên quan ở dạng
thuộc tính = giá trị.
Ví dụ:
- CN=Je Smith,OU=Doanh số,DC=Fabrikam,DC=COM Bộ môn Mạng và Viễn thông Khoa Điện tử và

Truyền thông
- CN=Karen Berge,CN=admin,DC=corp,DC=Fabrikam,DC=COM Đại học Khoa học Tự nhiên, Đại học Quốc gia TP.HCM
Email: nvha@hcmus.edu.vn

Chapter1 - Active Directory - Updated (1) (1)

Uploaded by

Copyright:

Available Formats

You might also like

Chapter1 - Active Directory - Updated (1) (1)

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Chapter1 - Active Directory - Updated (1) (1)

Uploaded by

Copyright:

Available Formats

Machine Translated by Google

ĐHQGHCM – ĐẠI HỌC BÁCH KHOA

KHOA ĐIỆN TỬ – VIỄN THÔNG

CỤC VIỄN THÔNG – MẠNG

CÔNG NGHỆ MẠNG

chương 1 Tên miền Windows

01 DANH MỤC HOẠT ĐỘNG

Ngày 9 tháng 5 năm 2023

Giảng viên: Nguyễn Việt Hà, Ph.D. Email: nvha@hcmus.edu.vn

nhóm làm việc nhóm làm việc

Nhóm hệ thống nhỏ lý tưởng là 15 hoặc ít hơn. 200 hệ thống.

để truy cập vào tài nguyên.

oHoặc chia sẻ dữ liệu từ các máy trạm riêng lẻ.

quá tải Yếu đuối

Nguyễn Việt Hà, Ph.D.

nhóm làm việc nhóm làm việc

Xác thực Ủy quyền

máy tính có quyền truy cập tài nguyên.

Nguyễn Việt Hà, Ph.D.

nhóm làm việc nhóm làm việc

đang ở máy tính cục bộ.

SAM_USER: Tài khoản người dùng

Cơ sở dữ liệu SAM nằm trong sổ đăng ký Windows.

Khả dụng trên Windows XP, Vista, 7, 8.1, 10 và 11.

Nguyễn Việt Hà, Ph.D.

nhóm làm việc nhóm làm việc

Ưu điểm: Nhược điểm:

Rất đơn giản để quản lý. Tính bảo mật thấp.

oMật khẩu có thể không được thay đổi thường xuyên.

mọi thứ được đặt cục bộ.

Ít khả năng mở rộng.

Tùy chọn không tốn kém vì bạn không cần nhiều

máy chủ để hỗ trợ một nhóm làm việc.

Nguyễn Việt Hà, Ph.D.

Lãnh địa Lãnh địa

máy chủ được gọi là bộ điều khiển miền.

đến một miền, tên người dùng và mật khẩu của họ

được gọi là đăng nhập một lần.

Nguyễn Việt Hà, Ph.D.

Lãnh địa Lãnh địa

được gọi là Active Directory. Tập trung hóa Phức tạp

Chứa nhiều dịch vụ , thành phần khác để quản lý tập trung

oActive directory Certi icate Services có thể được sử dụng để

tự động hóa cấu hình triển khai mã hóa

chứng chỉ cho máy tính miền và người dùng.

Nguyễn Việt Hà, Ph.D.

Thư mục hoạt động

Dịch vụ Active Directory chính là Active Directory Domain

Dịch vụ (AD DS).

15 Nguyễn Việt Hà, Ph.D.

Lãnh địa Lãnh địa

Nguyễn Việt Hà, Ph.D.

Thư mục hoạt động

Cơ sở dữ liệu thư mục. Tài khoản người dùng miền.

Tài khoản nhóm miền mà bạn là thành viên.

cùng một miền Active Directory.

Bị hủy khi bạn đăng xuất khỏi hệ thống.

19 Nguyễn Việt Hà, Ph.D.

Thư mục hoạt động Thư mục hoạt động