Tải bản đầy đủ
Chương 2 Dịch vụ thư mục (Active Directory)

Chương 2 Dịch vụ thư mục (Active Directory)

Tải bản đầy đủ

12

2.2. Child Domain
Child domain là kỹ thuật ủy thác quyền quản trị cho các chi nhánh. Tùy theo mức
độ mà người ta lựa chọn phương thức khác nhau. Đối với Child Domain thì chúng ta có
thể ủy thác hoàn toàn quyền quản trị một site đến một chi nhánh một các độc lập.

2.3. Server đồng hành
DC là máy tính điều khiển mọi hoạt động của mạng nếu máy này có sự cố thì
toàn bộ hệ thống mạng bị tê liệt. do tính năng quang trọng này nên trong một hệ thống
mạng ta thường xây dựng ít nhất hai máy DC, hai máy này có vai trò ngang nhau, cùng
nhau tham gia chứng thực người dung.
Như chúng ta đã biết, công việc chứng thực đăng nhập thường được thực hiện
vào đầu giờ mỗi buổi làm việc, nếu mạng chỉ có một máy điểu khiển dung và 10,000
máy trạm thì chuyện gì xảy ra vào buổi sang. Để giải quyết trường hợp trên, Microsoft
cho phép các máy này điểu khiển các vùng trong mạng cùng nhau hoạt động đồng thời,
chia sẻ công việc của nhau, khi có một máy bị sự cố thì các máy còn lại đảm nhiệm luôn
công việc của máy này. Do đó trong tài liệu này ta gọi các máy này là các máy điểu
khiển vùng đồng hành. Nhưng khi khảo sát sâu về Active Directory thì máy điểu khiển
vùng được tạo đầu tiên vẫn có vai trò đặc biệt hơn đó là FSMO (flexible single master
of operations).
Chú ý để đảm bảo các máy điểu khiển vùng này hoạt động chính xác thì chúng
phải liên lạc và trao đổi thông tin với nhau khi có các thay đổi về thông tin người dung
như: Tạo mới tài khoản, đổi mật khẩu, xóa tài khoản. việc trao đổi thông tin này gọi là
Active Directory Replication. Đặc biệt các server Active Directory cho phép nén dữ liệu
trước khi gửi đến các server khác, tỉ lệ nén đến 10:1, do đó chúng có thể truyền trên các
đường truyền WAN.

2.4. Read Only Domain Control (RODC)
Read-Only Domain Controllers (RODCs) là một dạng mới của domain controller
trong Windows Server 2008. Cùng với RODCs, các tổ chức có thể dễ dàng triển khai
một domain controller tại vị trí mà bảo mật thông thường không thể đảm bảo.
Mục đích chính của RODC là để củng cố an ninh trong các văn phòng chi nhánh.
Ở các văn phòng chi nhánh thường khó để có được sự giúp đỡ cho những vấn đề cơ sở
hạ tầng IT, đặc biệt là Domain Controllers chứa những dữ liệu nhạy cảm. Thông thường
một DC có thể tìm thấy trong một văn phòng. Nếu người nào đó có thể truy cập vật lý
vào DC, không khó để tác động và hệ thống à có thể truy cập dữ liệu. RODC có thể giải
quyết những vấn đề này.
13

Những yếu tố cần thiết cho RODC là:
* Read-Only Domain Controller
* Administrative Role Separation
* Credential Caching
* Read-Only DNS
RODC chứa những bản copy không cho phép ghi và không cho phép đọc của cơ s
ở dữ liệu của cơ sở dữ liệu của Active Directory với tất cả những thuộc tính và đối
tượng. RODC chỉ hỗ trợ những bản sao đơn hướng, những thay đổi của Active
Directory, có nghĩa là RODC luôn sao chép trực tiếp với Domain Controllers tại vị trí
HUB.
RODC sẽ thực hiện việc sao chép thông thường hướng đến từ vị trí HUB cho
những thay đổi của Active Directory và DFS. RODC sẽ nhận bất kì thứ gì đến từ Active
Directory nhưng những thông tin nhạy cảm, bằng những tài khoản mặc định như
Domain Admins, Enterprise Admins và Schema Admins đều được loại ra khỏi việc sao
chép RODC.
Nếu một bản sao chép cần viết truy cập đến Active Directory, RODC gơi một
phản hồi chuyển đến LDAP tự động đưa ứng dụng đến một Domain Controller cho
phép ghi, tại vị trí HUB chính. RODC này cũng có thể chạy Global Catalog Role để
đăng nhập nhanh hơn nếu ai cần.
Như vậy, nếu có người có thể crack mật mã trên tài khoản người dùng ở AD,
nhưng không phải tất cả các tài khoản nhạy cảm bởi vì chúng không tồn tại trên RODC.

14

Chương 3
CẤU HÌNH VÀ CÀI ĐẶT

3.1. Active Directory Domain Control
- Kích hoạt Roles: Vào Server Manager  Roles  Add Roles  Next.

- Tích chọn vào Active Directory Domain Service để kích hoạt dịch vụ. Chọn
Next.

15

- Thông tin về Server Role, chọn Next để tiếp tục.

- Kích hoạt Install để cài đặt dịch vụ.

- Quá trình cài đặt.

16