Tổng quan về Active Directory Domain Services (ADDS)

Trong bài viết này chúng ta cùng tìm hiểu về những điều cơ bản của Dịch vụ miền Active Directory (AD DS) trong Windows Server, bao gồm rừng (forest), miền (domains), sites, Domain Controller, đơn vị tổ chức (OU), người dùng và nhóm.

tong quan ve active directory domain services 00

Tổng quan về Active Directory Domain Services

Active Directory Domain Services (AD DS) là một dịch vụ thư mục chạy trên Microsoft Windows Server. Nó cung cấp một giải pháp quản lý tập trung cho người dùng, máy tính và các tài nguyên mạng khác trong một môi trường Windows.

AD DS hoạt động như một cơ sở dữ liệu lưu trữ thông tin về các đối tượng mạng, chẳng hạn như:

  • Người dùng: Người dùng là những cá nhân có quyền truy cập vào mạng. AD DS lưu trữ thông tin về tên người dùng, mật khẩu, thông tin liên hệ và các thuộc tính khác.
  • Nhóm: Nhóm là tập hợp các người dùng có thể được cấp quyền truy cập chung vào các tài nguyên mạng. AD DS lưu trữ thông tin về các thành viên nhóm, quyền và các thuộc tính khác.
  • Máy tính: Máy tính là các thiết bị được kết nối với mạng. AD DS lưu trữ thông tin về tên máy tính, hệ điều hành, địa chỉ IP và các thuộc tính khác.

Các đối tượng khác: AD DS cũng có thể lưu trữ thông tin về các đối tượng mạng khác, chẳng hạn như các thiết bị di động, máy in và các ứng dụng.

AD DS bao gồm 2 thành phần logical và physical

Tổng quan về Active Directory Domain Services (ADDS)

Các thành phần Logic của AD DS

Các thành phần logic của AD DS là những cấu trúc mà bạn sử dụng để triển khai một thiết kế AD DS phù hợp cho một tổ chức. Bảng sau mô tả các loại thành phần logic mà cơ sở dữ liệu AD DS chứa.

Thành phần logical

Mô tả
Partition Partition (phân vùng) hay còn gọi là naming context, là một phần logic của cơ sở dữ liệu AD DS. Mặc dù cơ sở dữ liệu này chỉ bao gồm một tệp duy nhất có tên Ntds.dit, nhưng các phân vùng khác nhau lại chứa các dữ liệu khác nhau.
Ví dụ: Phân vùng schema chứa một bản sao của Active Directory schema. Domain partition chứa các users, computers, groups, những objects đặc biệt trong domain. Bản copy của partition này có thể lưu trữ trên multiple domain controllers và update qua directory replication. Active Directory lưu trữ các bản sao của phân vùng trên nhiều bộ điều khiển miền và cập nhật chúng thông qua sao chép thư mục.
Schema Schema là tập hợp các định nghĩa về các loại đối tượng và thuộc tính mà bạn sử dụng để định nghĩa các đối tượng được tạo trong AD DS.
Domain Domain là Logical Administrative Container cho các Object như User, Computer. Domain ánh xạ tới các phân vùng cụ thể và  có thể được tổ chức với các domain khác có mối quan hệ cha-con (parent-child)
Domain tree Domain Tree là tập hợp của nhiều Domain có chung Root Domain và liên kết DNS namespace.
Forest Forest tập hợp của một hoặc nhiều miền có root AD DS chung,Schema và được trust 2 chiều.
OU OU chứa người dùng (users),nhóm (groups), và máy tính (computer) được cung cấp bởi Framework nhằm ủy quyền quản trị và được quản trị bằng cách liên kết các đối tượng chính sách nhóm (GPO).
Container Container là Object cung cấp các Framework trong tổ chức nhằm mục đích sử dụng trong AD DS.  Một vài containers mặc định được tạo hoặc bạn có thể tạo custom containers. Container không link với GPOs.

Các thành phần physical là gì?

Trong Active Directory Domain Services (AD DS), các thành phần vật lý là những đối tượng có thể nhìn thấy được hoặc mô tả các thành phần hữu hình trong thế giới thực.

tong quan ve active directory domain services 03

Bảng sau mô tả một số thành phần vật lý của AD DS:

Thành phần vật lý Mô tả
Domain controller Domain Controller chứa bản copy của database AD DS. Đối với hầu hết các hoạt động thì mỗi Domain Controller có thể xữ lý các thay đổi và sao chép các thay đổi tới tất cả những Domain Controller khác trong domain.
Data store Là bản copy lưu trử data tồn tại trên mỗi domain controller. AD DS datavase sử dụng công nghệ Microsoft Jet và lưu trử trực tiếp thông tin trên Ntds.dit và các log file. Files được lưu trử tại đường dẫn C:\Windows\NTDS.
Global catalog server Là một bộ điều khiển miền lưu trữ danh mục toàn cầu, đây là một bản sao cục bộ chỉ đọc của tất cả các đối tượng trong một rừng có nhiều miền. Danh mục toàn cầu giúp tăng tốc tìm kiếm các đối tượng có thể được lưu trữ trên các bộ điều khiển miền trong một miền khác trong rừng.
Read-only Domain Controller – RODC) RODC là một cài đặt đặc biệt, chỉ đọc của AD DS. RODC thường được sử dụng ở các chi nhánh văn phòng nơi bảo mật vật lý không tối ưu, hỗ trợ CNTT kém tiên tiến hơn so với các trung tâm doanh nghiệp chính hoặc các ứng dụng theo ngành nghề cần chạy trên một bộ điều khiển miền.
Site Địa điểm là một thùng chứa cho các đối tượng AD DS, chẳng hạn như máy tính và dịch vụ cụ thể cho một vị trí vật lý. Điều này khác với miền, đại diện cho cấu trúc logic của các đối tượng, chẳng hạn như người dùng và nhóm, bên cạnh máy tính.
Subnet Mạng con là một phần của địa chỉ IP mạng của một tổ chức được gán cho các máy tính trong một địa điểm. Một địa điểm có thể có nhiều hơn một mạng con.

Chức năng chính của AD DS

  • Lưu trữ thông tin: AD DS lưu trữ thông tin về người dùng, máy tính, nhóm, thiết bị và các tài nguyên mạng khác.
  • Quản lý quyền: AD DS cho phép quản trị viên cấp quyền truy cập vào các tài nguyên mạng cho người dùng và nhóm.
  • Xác thực: AD DS xác minh danh tính của người dùng khi họ đăng nhập vào mạng.
  • Phân phối chính sách: AD DS phân phối các chính sách bảo mật và cấu hình đến các máy tính trong mạng.

Lợi ích của việc sử dụng AD DS

  • Quản lý tập trung: AD DS cho phép quản trị viên quản lý tất cả các đối tượng mạng từ một vị trí trung tâm.
  • Bảo mật: AD DS giúp tăng cường bảo mật mạng bằng cách kiểm soát quyền truy cập vào các tài nguyên mạng.
  • Khả năng mở rộng: AD DS có thể được mở rộng để đáp ứng nhu cầu của các tổ chức lớn.
  • Dễ dàng sử dụng: AD DS cung cấp các công cụ quản lý dễ sử dụng giúp quản trị viên dễ dàng thực hiện các tác vụ quản lý mạng.

Cấu trúc của AD DS:

  • Domain: Một miền là một đơn vị quản lý cơ bản trong AD DS. Nó bao gồm người dùng, máy tính và các tài nguyên mạng khác.
  • Organizational Unit (OU): Một OU là một nhóm con trong miền. Nó được sử dụng để tổ chức các đối tượng mạng theo cấu trúc phân cấp.
  • Domain Controller: Một máy chủ chạy dịch vụ AD DS. Domain controller lưu trữ thông tin về miền và xử lý các yêu cầu từ người dùng và các máy tính khác.

Quản lý AD DS:

AD DS có thể được quản lý bằng nhiều công cụ khác nhau, bao gồm:

  • Active Directory Users and Computers: Một công cụ quản lý đồ họa cho phép quản trị viên tạo, sửa đổi và xóa người dùng, máy tính và nhóm.
  • Active Directory PowerShell: Một công cụ quản lý dòng lệnh cho phép quản trị viên tự động hóa các tác vụ quản lý AD DS.
  • Group Policy Management Console: Một công cụ quản lý cho phép quản trị viên tạo và phân phối các chính sách bảo mật và cấu hình đến các máy tính trong mạng.

Định nghĩa Rừng và Miền AD DS

Rừng AD DS là tập hợp một hoặc nhiều cây AD DS chứa một hoặc nhiều miền AD DS. Các miền trong rừng chia sẻ:

  • Root chung
  • Schema chung
  • Global catalog

Miền AD DS là vùng chứa quản trị Logic cho các đối tượng như:

  • Users – Người dùng
  • Groups – Nhóm
  • Computers – Máy tính

AD DS forest là gì?

Forest là vùng chứa cấp cao nhất trong AD DS

Rừng AD DS thường được mô tả:

  • Ranh giới an ninh
  • Ranh giới sao chép

Mối quan hệ tin cậy

  • Cung cấp quyền truy cập vào tài nguyên  trong môi trường AD DS phức tạp.

ADDS forest

Các đối tượng sau tồn tại trong miền gốc rừng:

  • Vai trò chủ sở hữu lược đồ (schema master role)
  • Vai trò chủ sở hữu đặt tên miền (domain naming master role)
  • Nhóm Quản trị viên Doanh nghiệp (Enterprise Admins group)
  • Nhóm Quản trị viên Lược đồ (Schema Admins group)

Miền AD DS là gì?

Miền AD DS là một container logic để quản lý người dùng, máy tính, nhóm và các đối tượng khác. Cơ sở dữ liệu AD DS lưu trữ tất cả các đối tượng miền và mỗi bộ điều khiển miền lưu trữ một bản sao của cơ sở dữ liệu.

Hình bên dưới hiển thị miền AD DS. nó bao gồm người dùng, máy tính và nhóm.

domain adds

Các đối tượng được sử dụng phổ biến nhất được mô tả trong bảng sau:

Object Mô tả
User accounts Tài khoản người dùng chứa thông tin về người dùng, bao gồm thông tin cần thiết để xác thực người dùng trong quá trình đăng nhập và tạo mã thông báo truy cập của người dùng.
Computer accounts Mỗi máy tính tham gia miền đều có một tài khoản trong AD DS. Bạn có thể sử dụng tài khoản máy tính cho các máy tính tham gia miền giống như cách bạn sử dụng tài khoản người dùng cho người dùng.
Groups Các nhóm tổ chức người dùng hoặc máy tính để đơn giản hóa việc quản lý quyền và Đối tượng chính sách nhóm trong miền.

Tổng kết

Tóm lại, Active Directory Domain Service (AD DS) là một dịch vụ thiết yếu cho bất kỳ tổ chức nào sử dụng hệ điều hành Windows. Khóa học MCSA 2025 cung cấp kiến thức và kỹ năng cần thiết để quản lý AD DS hiệu quả.

Lưu ý: Đây chỉ là tóm tắt ngắn gọn về AD DS. Để tìm hiểu thêm, bạn nên tham khảo các tài liệu chính thức của Microsoft hoặc tham gia khóa học MCSA 2025.

Tham khảo thêm:

Bài viết này hữu ích như thế nào?

Hãy bấm vào ngôi sao để đánh giá!

Đánh giá trung bình 0 / 5. Số phiếu bầu: 0

Xin chào! Chúng tôi có thể giúp gì cho bạn?
Xin chào! Chúng tôi có thể giúp gì cho bạn?