Organizational Unit, Users Và Groups Trên Active Directory Users And Computers

Trong bài xích này chúng tôi vẫn giới thiệu mang lại các bạn một số trong những kiến thức và kỹ năng cơ phiên bản về Active Directory với những tiện ích vào vấn đề triển khai Active Directory. Các thông tin về các forests, domains, organizational unit với site cũng như phần đông kỹ năng cơ phiên bản về LDAP (Lightweight Directory Access Protocol) Group Policy.

Bạn đang xem: Organizational unit, users và groups trên active directory users and computers


1. Active Directory là gì?

Trước hết bọn họ hãy đi tìm gọi coi Active sầu Directory là gì. Active Directory là một trong dịch vụ tlỗi mục (directory service) đã làm được đăng ký phiên bản quyền bởi Microsoft, nó là một trong những phần luôn luôn phải có vào phong cách xây dựng Windows. Giống nlỗi những dịch vụ thỏng mục khác, ví dụ như Novell Directory Services (NDS), Active Directory là 1 hệ thống chuẩn với tập trung, dùng để làm tự động hóa câu hỏi thống trị mạng tài liệu người dùng, bảo mật với những nguồn tài ngulặng được phân pân hận, chất nhận được shop với các thỏng mục không giống. Thêm vào kia, Active Directory được thiết kế theo phong cách đặc trưng cho những môi trường kết nối mạng được phân chia theo một mẫu mã nào đó.

Active Directory hoàn toàn có thể được xem là một điểm trở nên tân tiến new đối với Windows 2000 Server với được nâng cao với hoàn thành tốt rộng vào Windows Server 2003, thay đổi một phần quan trọng đặc biệt của hệ điều hành và quản lý. Windows Server 2003 Active sầu Directory cung ứng một tmê say chiếu, được Call là directory service, mang lại tất cả những đối tượng người sử dụng vào một mạng, bao gồm có user, groups, computer, printer, policy cùng permission.


Nói ngắn gọn gàng với tổng quát, Active Directory là 1 dạng các đại lý dữ liệu với mục tiêu cụ thể và hiếm hoi, tuy nhiên nó trọn vẹn không phải là một trong những sự sửa chữa thay thế mang lại Registry của Windows. Các bạn hãy hình dung cố gắng này nhé, 1 mạng lưới client rộng lớn gồm hàng nghìn, hàng chục ngàn nhân viên cấp dưới, với từng nhân viên cấp dưới lại có tên (họ và tên) khác biệt, quá trình không giống nhau, phòng ban không giống nhau... cùng mỗi VPS cai quản "đống" client đó phải có Active sầu Directory để phân nhiều loại cùng cách xử lý quá trình một bí quyết tối ưu tốt nhất. Các phần tài liệu trong Active Directory đều phải có tính thừa kế, nhân rộng, level... cụ thể và linh hoạt.

2. Tại sao nên thực hiện Active Directory?

Có một số trong những lý do để phân tích và lý giải đến câu hỏi bên trên. Microsoft Active sầu Directory được xem nlỗi là một trong những bước tiến triển đáng kể đối với Windows NT Server 4.0 domain tốt thậm chí còn các mạng sever standalone. Active Directory có một cơ chế quản trị triệu tập bên trên toàn cục mạng. Nó cũng cung cấp tài năng dự phòng và tự động hóa chuyển đổi dự trữ khi nhì hoặc các domain controller được thực thi trong một domain.

Active sầu Directory vẫn tự động hóa cai quản sự truyền thông giữa các domain name controller nhằm bảo đảm an toàn mạng được gia hạn. Người sử dụng có thể truy cập vào toàn bộ tài nguim trên mạng trải qua hiệ tượng singin một lượt. Tất cả những tài nguyên ổn vào mạng được bảo vệ vì chưng một bề ngoài bảo mật khá bạo phổi, bề ngoài bảo mật thông tin này rất có thể đánh giá dấn dạng người dùng với nghĩa vụ và quyền lợi của từng truy vấn đối với tài nguim.


Active Directory cho phép tăng cấp, hạ cấp các tên miền controller với các sever thành viên một phương pháp thuận lợi. Các khối hệ thống rất có thể được cai quản với được bảo đảm thông qua những chính sách đội Group Policies. Đây là 1 trong quy mô tổ chức có máy bậc linh hoạt, chất nhận được làm chủ dễ dãi và ủy nhiệm trách nhiệm quản lí trị. Mặc mặc dù thế đặc biệt tốt nhất vẫn là Active sầu Directory có chức năng quản lý hàng ngàn đối tượng người sử dụng bên trong một miền.

3. Những đơn vị cơ bạn dạng của Active Directory?

Các mạng Active Directory được tổ chức triển khai bằng cách sử dụng 4 kiểu đơn vị tốt cấu tạo mục. Bốn đơn vị này được phân thành forest, domain name, organizational unit với site.

*

Forests: Nhóm các đối tượng người tiêu dùng, những nằm trong tính và cú pháp trực thuộc tính vào Active sầu Directory.Domain: Nhóm các máy tính chia sẻ một tập chính sách tầm thường, tên cùng một đại lý dữ liệu của các thành viên của chúng.
Organizational unit (OU): Nhóm những mục trong miền nào đó. Chúng làm cho một phong cách thiết kế máy bậc mang đến miền cùng tạo thành kết cấu công ty của Active Directory theo những ĐK tổ chức triển khai và địa lý.Sites: Nhóm vật lý rất nhiều yếu tắc độc lập của miền và cấu trúc OU. Các Site phân biệt giữa những location được liên kết vì những kết nối vận tốc cao và các kết nối vận tốc phải chăng, và được có mang bởi một hoặc nhiều IPhường. subnet.

Các Forest không bị hạn chế theo địa lý hoặc topo mạng. Một forest hoàn toàn có thể gồm nhiều miền, mỗi miền lại share một lược thứ bình thường. Các member miền của và một forest thậm chí ko cần có liên kết LAN hoặc WAN thân bọn chúng. Mỗi một mạng riêng rẽ cũng hoàn toàn có thể là một mái ấm gia đình của đa số forest tự do. Nói chung, một forest cần được sử dụng cho từng một thực thể. Mặc dù thế, vẫn đề nghị đến những forest bổ sung cập nhật mang đến câu hỏi thực hiện demo với nghiên cứu và phân tích những mục tiêu bên phía ngoài forest tđê mê gia tài xuất.

Các miền - Domain ship hàng nlỗi các mục vào cơ chế bảo mật thông tin cùng những trách nhiệm quản ngại trị. Tất cả những đối tượng phía bên trong một miền hồ hết là chủ đề cho Group Policies miền rộng. Tương từ bỏ điều này, bất kể quản lí trị viên miền nào thì cũng rất có thể thống trị toàn bộ những đối tượng người sử dụng bên trong một miền. Thêm vào kia, mỗi miền cũng đều sở hữu đại lý dữ liệu các tài khoản tốt nhất của chính nó. Chính bởi vậy tính bảo đảm là một trong trong những vụ việc cơ bạn dạng của miền. Khi một thông tin tài khoản người dùng trọn vẹn chính xác so với một miền như thế nào đó thì tài khoản người tiêu dùng này hoàn toàn có thể truy vấn vào các tài nguyên phía bên trong miền.

Active sầu Directory yêu cầu một hoặc nhiều tên miền nhằm chuyển động. Như nói trường đoản cú trước, một miền Active Directory là 1 trong những bộ những laptop share thông thường một tập các cơ chế, thương hiệu và cơ sở dữ liệu những thành viên của bọn chúng. Một miền đề nghị bao gồm một hoặc những máy domain name controller (DC) và lưu lại cơ sở tài liệu, bảo trì những chính sách cùng hỗ trợ sự thẩm định và đánh giá cho những đăng nhập vào miền.

Trước tê vào Windows NT, cỗ tinh chỉnh và điều khiển miền chính - primary domain controller (PDC) và bộ tinh chỉnh miền backup - backup tên miền controller (BDC) là các role hoàn toàn có thể được gán cho một sever trong một mạng các laptop áp dụng hệ quản lý điều hành Windows. Windows đang sử dụng ý tưởng miền để cai quản sự truy cập đối với những tài nguyên ổn mạng (áp dụng, thiết bị in cùng,…) mang lại một đội nhóm người dùng. Người cần sử dụng chỉ việc đăng nhtràn vào miền là hoàn toàn có thể truy vấn vào những tài nguyên ổn, phần lớn tài nguim này hoàn toàn có thể nằm trong một số trong những những máy chủ khác biệt trong mạng.

Xem thêm: Các Loại Súng Trong Ros


Máy nhà được nghe biết như PDC, cai quản các đại lý dữ liệu người tiêu dùng Master cho miền. Một hoặc một trong những máy chủ khác có phong cách thiết kế như BDC. PDC gửi một giải pháp thời hạn những phiên bản copy các đại lý dữ liệu đến những BDC. Một BDC rất có thể rất có thể đóng vai trò nlỗi một PDC nếu máy chủ PDC bị lỗi cùng cũng rất có thể giúp đỡ cân bằng luồng các bước nếu thừa bận.

Với Windows 2000 Server, khi domain controller vẫn được gia hạn, các role máy chủ PDC và BDC cơ bản được thay thế vì chưng Active sầu Directory. Người sử dụng cũng không tạo nên các miền khác nhau để phân chia những độc quyền cai quản trị. Bên vào Active Directory, người dùng hoàn toàn rất có thể ủy nhiệm những độc quyền quản lí trị dựa trên những OU. Các miền không bị hạn chế vị một số lượng 40.000 người dùng. Các miền Active Directory rất có thể cai quản hàng tỷ các đối tượng. Vì không thể sống thọ PDC cùng BDC cần Active Directory thực hiện bạn dạng sao multi-master replication và toàn bộ những domain controller đông đảo ngang mặt hàng nhau.

Organizational units trầm trồ linch hoạt rộng cùng được cho phép cai quản dễ dãi hơn đối với những miền. OU cho phép chúng ta đã có được kỹ năng linh hoạt gần như là vô hạn, chúng ta có thể chuyển, xóa cùng sinh sản các OU mới giả dụ cần. Mặc cho dù các miền cũng có tính chất mềm mỏng. Chúng có thể bị xòa tạo thành mới, mặc dù quá trình này dễ dàng dẫn cho phá vỡ môi trường đối với các OU với cũng yêu cầu rời trường hợp hoàn toàn có thể. Theo tư tưởng, sites là chứa các IP subnet có các links media tin cậy và nhanh hao giữa các host. Bằng phương pháp sử dụng site, bạn có thể kiểm soát và bớt con số lưu lượng truyền tải trên các liên kết WAN lờ lững.

4. Infrastructure Master cùng Global Catalog:

Một thành phần bao gồm khác phía bên trong Active sầu DirectoryInfrastructure Master. Infrastructure Master (IM) là 1 domain-wide FSMO (Flexible Single Master of Operations) tất cả sứ mệnh đáp trả vào quá trình tự động nhằm sửa lỗi (phantom) bên phía trong cửa hàng dữ liệu Active Directory.

Phantom được tạo thành trên những DC, nó thử khám phá một sự tsi mê chiếu chéo đại lý dữ liệu thân một đối tượng người dùng phía bên trong các đại lý dữ liệu riêng rẽ cùng một đối tượng người dùng từ bỏ miền bên trong forest. ví dụ như hoàn toàn có thể bắt gặp khi chúng ta bổ sung thêm một người dùng nào kia xuất phát điểm từ 1 miền vào một nhóm bên phía trong miền khác tất cả thuộc forest. Phantom sẽ bị mất hiệu lực hiện hành khi chúng không chứa tài liệu mới cập nhật, vấn đề này xuất hiện vày phần nhiều đổi khác được tiến hành mang đến đối tượng người tiêu dùng bên ngoài nhưng mà Phantom miêu tả, ví như lúc đối tượng người tiêu dùng mục tiêu được đặt lại tên, đưa đi lượn lờ đâu đó giữa các miền, hay vị xóa. Infrastructure Master có khả năng xác định với hạn chế một số phantom. Bất cứ đọng đổi khác nào xẩy ra bởi quá trình sửa lỗi các được sinh sản bản sao đến toàn bộ những DC sót lại bên trong miền.


Infrastructure Master đôi khi bị lộn lạo cùng với Global Catalog (GC), đây là yếu tố bảo trì một copy chỉ có thể chấp nhận được đọc đối với những domain name bên trong một forest, được áp dụng đến tàng trữ team phổ dụng cùng quá trình đăng nhập,… Do GC lưu giữ bản copy ko hoàn hảo của toàn bộ các đối tượng người sử dụng bên trong forest bắt buộc chúng rất có thể chế tạo những tham chiếu chéo giữa miền không có nhu cầu phantom.

5. Active sầu Directory cùng LDAP:

LDAP.. (Lightweight Directory Access Protocol) là một trong những phần của Active Directory, nó là một trong những giao thức phần mềm có thể chấp nhận được định vị các tổ chức, cá nhân hoặc các tài nguyên khác như tệp tin cùng sản phẩm công nghệ vào mạng, mặc dù mạng của bạn là mạng Internet nơi công cộng giỏi mạng nội bộ trong công ty.

Trong một mạng, một thư mục đã cho chính mình biết được nơi cất trữ dữ liệu gì đấy. Trong các mạng TCP/IP (có có cả Internet), domain name name system (DNS) là một trong hệ thống tlỗi mục được áp dụng nối sát thương hiệu miền với cùng một địa chỉ mạng ví dụ (địa điểm nhất trong mạng). Mặc mặc dù vậy, chúng ta có thể đo đắn thương hiệu miền nhưng mà LDAPhường chất nhận được chúng ta search tìm đa số rõ ràng cơ mà ko cần biết chúng được định vị chỗ nào.

Tlỗi mục LDAP.. được tổ chức theo một kiến trúc cây dễ dàng tất cả bao gồm những nút dưới đây:

Thư mục gốc gồm những nhánh conCountry, từng Country lại có những nhánh conOrganizations, từng Organization lại sở hữu các nhánh conOrganizational units (những đơn vị, cơ quan,…), OU bao gồm các nhánhIndividuals (thành viên, bao gồm bao gồm tín đồ, tệp tin với tài nguyên chia sẻ, ví dụ như printer)

Một thư mục LDAP.. có thể được phân phối thân nhiều sever. Mỗi sever có thể tất cả một phiên phiên bản sao của tlỗi mục tổng thể cùng được đồng nhất theo chu kỳ luân hồi.

Các quản trị viên cần được đọc LDAP. Khi kiếm tìm tìm những biết tin vào Active Directory, yêu cầu sinh sản những truy vấn LDAP có lợi khi tìm tìm những biết tin được lưu lại trong cửa hàng tài liệu Active Directory.

6. Sự cai quản Group Policy và Active sầu Directory:

Lúc kể đến Active sầu Directory chắc chắn là chúng ta phải đề cập tới Group Policy. Các quản trị viên rất có thể áp dụng Group Policy vào Active Directory nhằm định nghĩa những thiết lập người tiêu dùng cùng máy tính xách tay trong toàn mạng. Thiết lập này được thông số kỹ thuật cùng được giữ trong nhóm Policy Objects (GPOs), những yếu tắc này kế tiếp sẽ tiến hành kết phù hợp với các đối tượng người dùng Active sầu Directory, gồm gồm những tên miền cùng site. Đây chính là vẻ ngoài hầu hết cho Việc áp dụng các đổi khác cho máy tính với người tiêu dùng trong môi trường Windows.

Thông qua quản lý Group Policy, những quản ngại trị viên hoàn toàn có thể thông số kỹ thuật toàn thể những cấu hình thiết lập desktop trên các laptop người dùng, hạn chế hoặc chất nhận được truy cập so với các tệp tin hoặc thỏng mục làm sao đó phía bên trong mạng.

Thêm vào đó họ cũng nạm bắt buộc phát âm GPO được sử dụng như thế nào. Group Policy Object được vận dụng theo máy tự sau: Các chế độ đồ vật nội cỗ được thực hiện trước, sau đó là những chế độ site, chính sách miền, chế độ được thực hiện cho những OU riêng biệt. Tại 1 thời điểm như thế nào kia, một đối tượng người tiêu dùng hoặc laptop chỉ có thể ở trong về một site hoặc một miền, do vậy bọn chúng đang chỉ nhấn các GPO links với site hoặc miền kia.

Các GPO được phân phân thành hai phần riêng biệt: Group Policy Template (GPT)Group Policy Container (GPC). Group Policy Template tất cả trách rưới nhiệm lưu những tùy chỉnh cấu hình được sản xuất phía bên trong GPO. Nó lưu các tùy chỉnh cấu hình vào một cấu tạo tlỗi mục cùng những file bự. Để áp dụng các tùy chỉnh thiết lập này thành công xuất sắc với tất cả các đối tượng người tiêu dùng người dùng và máy vi tính, GPT cần được tạo phiên bản làm thế nào để cho tất cả các DC phía bên trong miền.


Group Policy Container là một trong những phần của GPO với được lưu vào Active Directory bên trên các DC vào miền. GPC tất cả trách nhiệm giữ lại tham chiếu đến Client Side Extensions (CSEs), đường dẫn mang lại GPT, đường dẫn đến những gói cài đặt cùng đều chi tiết tham mê chiếu khác của GPO. GPC không đựng nhiều báo cáo tất cả liên quan mang đến GPO khớp ứng cùng với nó, mặc dù nó là một trong những yếu tắc cần thiết của Group Policy. Lúc những chế độ cài đặt ứng dụng được thông số kỹ thuật, GPC để giúp đỡ giữ lại những liên kết bên trong GPO. Hình như nó cũng duy trì những links dục tình khác cùng các đường truyền được giữ trong các trực thuộc tính đối tượng người tiêu dùng. Biết được cấu tạo của GPC với phương pháp truy vấn các ban bố ẩn được lưu trong các thuộc tính sẽ rất quan trọng khi bạn đề xuất khám nghiệm một vụ việc như thế nào kia có tương quan mang lại GP.

Với Windows Server 2003, Microsoft vẫn thiết kế một phương án thống trị Group Policy chính là Group Policy Management Console (GPMC). GPMC hỗ trợ cho các quản lí trị viên một giao diện thống trị góp dễ dàng các trách nhiệm có tương quan đến GPO. Chúc các bạn thành công!