Các dịch vụ miền của Windows Server 2008 – Phần 1: Active Directory Domain Services

Cập nhật lúc 22h43' ngày 15/05/2008

Peter Schmidt

Các dịch vụ miền của Active Directory (Active Directory Domain Services) - trước đây vẫn được biết đến là Active Directory - và Identity Management trong Windows Server 2008 hiện có một số dịch vụ khác:

  • Active Directory Domain Services (AD DS)
  • Active Directory Federation Services (AD FS)
  • Active Directory Lightweight Directory Services (AD LDS)
  • Active Directory Rights Management Services (AD RMS).
  • Active Directory Certificate Services (AD CS)

Mỗi dịch vụ trên lại có một Server Role, một khái niệm mới trong Windows Server 2008.

Những điểm mới trong Windows Server 2008

Có rất nhiều tính năng và chức năng mới được bổ sung vào Active Directory trong Windows Server 2008.

Trong bài này chúng tôi sẽ tập trung vào Active Directory Domain Services (AD DS) trong Windows Server 2008, dịch vụ này có một số tính năng và nâng cao mới so với Windows Server 2003.

Đây là toàn bộ tóm tắt ngắn gọn về những thay đổi chính và các chức năng dịch vụ miền mới mà chúng tôi sẽ đề cập đến trong bài này:

  • Active Directory Domain Services - Read-Only Domain Controllers
  • Active Directory Domain Services - Restartable Active Directory Domain Services
  • Active Directory Domain Services - Fine-Grained Password Policies

Active Directory Domain Services

Chức năng Domain Services được đưa vào và nâng cấp trong Windows Server 2008, cùng với một tiện ích cài đặt đã được cải thiện (Server Manager). Dịch vụ này cung cấp một số tùy chọn mới cho các tính năng AD DS như Read-Only Domain Controller (RODC).

Read-Only Domain Controller (RODC) của Active Directory là một kiểu domain controller mới trong Windows Server 2008. Với mỗi RODC, các tổ chức có thể triển khai dễ dàng một domain controller trong các vị trí mà sự bảo mật về mặt vật lý không được bảo đảm.

Mục đích chính của RODC là cải thiện độ bảo mật tại các chi nhánh văn phòng. Tại các văn phòng chi nhánh thường gặp rất nhiều khó khăn trong việc bảo mật vật lý đối với cơ sở hạ tầng CNTT, đặc biệt cho Domain Controller có bên trong các dữ liệu nhạy cảm. Thông thường một DC có thể được tìm thấy ở đâu đó trong văn phòng (có thể dưới bàn làm việc). Nếu ai đó có được sự truy cập vật lý vào DC thì họ có thể dễ dàng thao túng hệ thống và có thể truy cập vào dữ liệu. RODC được giới thiệu để giải quyết vấn đề này.

Bản chất của RODC là:

  • Read-Only Domain Controller
  • Administrative Role Separation
  • Credential Caching
  • Read-Only DNS

Read-Only Domain Controller

RODC giữ một copy cơ sở dữ liệu Active Directory chỉ đọc, không cho phép ghi, gồm tất cả các đối tượng và thuộc tính. RODC chỉ hỗ trợ bản sao một hướng (uni-directional) đối với các thay đổi của Active Directory, điều đó có nghĩa rằng RODC luôn sao chép ngay lập tức với Domain Controllers trong HUB.


Hình A: Bản sao đối với RODC

RODC sẽ thực hiện sao chép gửi về từ HUB đối với các thay đổi của Active Directory và DFS. RODC sẽ nhận mọi thứ từ Active Directory nhưng các thông tin nhạy cảm, mặc định các tài khoản như Domain Admins, Enterprise Admins và Schema Admins đều bị loại trừ khỏi việc sao chép đối với RODC.

Nếu một ứng dụng cần phải ghi vào Active Directory thì RODC sẽ gửi một thông tin chỉ dẫn LDAP để tự động gửi chuyển tiếp ứng dụng đến Domain Controller có thể ghi, Domain Controller này nằm trên HUB chính. RODC cũng có khả năng chạy Global Catalog Role để có thể đăng nhập nhanh hơn nếu cần.

Đây thực sự là một ưu điểm tuyệt vời dành cho các văn phòng chi nhánh, vì nếu một ai đó có thể truy cập vật lý vào máy chủ hoặc thậm chí lấy cắp máy chủ thì người này có thể bẻ khóa mật khẩu của các tài khoản trong Active Directory, tuy nhiên không phải các tài khoản nhạy cảm – vì chúng không nằm trong RODC.

Điều này cũng có nghĩa rằng các tài khoản quản trị nhạy cảm đó là không thể đăng nhập vào RODC nếu liên kết WAN đến HUB chính không được thiết lập.

Để bổ sung RODC trong môi trường của bạn, bạn cần domain và forest ở chế độ Windows Server 2003 và DC đang chạy PDC emulator cần thiết để chạy Windows Server 2008.

Administrative Role Separation- Chia cắt vai trò quản trị

Bạn có thể ủy nhiệm các điều khoản quản trị viên cho một máy chu RODC nào đó đối với người dùng trong Active Directory. Tài khoản của người dùng được ủy nhiệm sẽ có thể đăng nhập vào máy chủ và thực hiện các nhiệm vụ bảo trì máy chủ mà không cần bất cứ điều khoản AD DS nào và người dùng không có quyền truy cập vào Domain Controllers khác trong Active Directory, đây là cách bảo mật không được thỏa hiệp đối với miền.

Credential Caching – Lưu trữ các thông tin quan trọng

Mặc định, RODC không lưu các thông tin máy tính hoặc của người dùng, ngoại trừ tài khoản máy tính của bản thân RODC và tài khoản đặc biệt nào đó mà mỗi RODC có.

Tuy vậy RODC có thể được cấu hình để lưu trữ mật khẩu, cấu hình này được quản lý bởi Password Replication Policy. Password Replication Policy xác định xem bản sao từ DC cho phép ghi vào RODC có được phép đối với các thông tin quan trọng của máy tính hoặc người dùng hay không. Nếu một người dùng nào đó được phép thì các thông tin quan trọng của họ sẽ được lưu trên RODC lúc đăng nhập.

Khi một tài khoản nào đó đã được chứng thực thành công với RODC thì RODC sẽ cố gắng liên lạc với Domain Controller có khả năng ghi tại HUB. Nếu một mật khẩu nào đó không được lưu trữ thì RODC sẽ chuyển tiếp yêu cầu chứng thực vào DC có thể ghi. DC nhận yêu cầu sẽ nhận ra rằng yêu cầu đang gửi đến từ RODC và các check với Password Replication Policy.

Ưu điểm của việc lưu trữ các thông tin quan trọng này sẽ bảo vệ được mật khẩu của bạn tại các văn phòng chi nhánh và tối thiểu hóa nguy cơ lộ thông tin quan trọng này trong trường hợp RODC bị thỏa hiệp. Khi sử dụng Credential Caching và trong trường hợp nếu có một RODC bị đánh cắp thì tài khoản người dùng và tài khoản máy tính có thể thiết lập lại mật khẩu của chính chúng, việc thiết lập này dựa vào RODC mà chúng thuộc về.

Credential Caching có thể bị vô hiệu hóa, tính năng này sẽ hạn chế việc bị lộ thông tin, tuy nhiên nó cũng sẽ tăng lưu lượng WAN vì tất cả các yêu cầu chứng thực sẽ được chuyển tiếp đến DC có khả năng ghi trong HUB chính.

Read-Only DNS

Bổ sung thêm vào RODC, chức năng này cũng có thể cài đặt dịch vụ DNS. Máy chủ DNS đang chạy trên RODC không hỗ trợ các nâng cấp động. Tuy nhiên các máy khách lại có thể sử dụng máy chủ DNS để truy vấn về tên.

Do DNS ở chế độ chỉ đọc (Read-Only) nên các máy khách (client) không thể nâng cấp các bản ghi trên nó. Tuy nhiên nếu một máy khách nào đó muốn cập nhật bản thân các bản ghi DNS của chính nó thì RODC sẽ gửi một thông tin chuyển tiếp đến DNS cho phép ghi. Bản ghi cập nhật này sẽ được sao chép từ máy chủ DNS này vào máy chủ DNS trên RODC. Đây là một bản sao đối tượng đặc biệt (DNS record), để giữ các máy chủ RODC DNS được cập nhật một cách kịp thời và mang đến các máy khách tại văn phòng chi nhánh một giải pháp tên thích hợp hơn.

Các dịch vụ miền Active Directory có khả năng khởi động lại

Với Windows Server 2008, Active Directory Domain Services (AD DS) lúc này có khả năng stop và start trở lại. Điều này có nghĩa rằng bạn có thể stop ADDS để thực hiện các nhiệm vụ và bảo trì, việc mà trong các phiên bản trước đây của Windows Server cần phải khởi động lại trong Directory Services Restore Mode (DSRM). Đây quả là một tính năng tuyệt vời cho việc viết mã và tự động hóa các nhiệm vụ đó.

Các trạng thái có thể cho ADDS là:

  • AD DS – (đã được khởi động)
  • AD DS – (đã được tạm dừng)
  • AD DS Restore Mode (DSRM) (chế độ khôi phục)

Có một lợi ích ở đây đó là các nhiệm vụ đã sử dụng để yêu cầu khởi động lại cần đến ADDS offline hiện được cung cấp một cách trực tiếp từ giao diện điều khiển. Điều này cho phép các quản trị viên có thể linh động trong việc bảo trì và thực hiện các hoạt động ADDS offline được nhanh hơn.

Các chính sách mật khẩu chi tiết

Trước Windows Server 2008, bạn chỉ có một mật khẩu và một chính sách khóa tài khoản trên mỗi miền, mật khẩu này được áp dụng đối với tất cả người dùng trong miền. Trong AD DS của Windows Server 2008 có một điểm mới đó là nó có thể điều chỉnh một cách chi tiết hơn các chính sách mật khẩu để định nghĩa các tập mật khẩu khác hoặc chính sách khóa cho nhóm người dùng khác trong cùng một miền.

Các chính sách mật khẩu chi tiết này có các thiết lập dưới đây:

Chính sách mật khẩu:

  • Áp đặt history của mật khẩu
  • Tuổi thọ tối đa của mật khẩu
  • Tuổi thọ tối thiểu
  • Chiều dài tối thiểu
  • Mật khẩu phải có các yêu cầu cần thiết về độ phức tạp
  • Lưu các mật khẩu bằng sử dụng mã hóa đảo ngược

Chính sách khóa

  • Khoảng thời gian khóa tài khoản
  • Ngưỡng khóa
  • Thiết lập lại tài khoản sau khi khóa

Chính sách mật khẩu chi tiết hơn có thể được áp dụng cho các đối tượng người dùng và các nhóm bảo mật toàn cục. Nó không thể áp dụng cho OU.

Để sử dụng chức năng này, mức chức năng miền phải ở Windows Server 2008.

Kết luận

Windows Server 2008 Active Directory Domain Services (AD DS) có một số tính năng và chức năng tuyệt vời như vừa được giới thiệu ở trên, các tính năng này có thể tối ưu rất nhiều trong vấn đề quản lý miền.

Với các văn phòng chi nhánh, Read-Only Domain Controller (RODC) cho thấy là một tính năng tuyệt vời của Windows Server 2008, nó là một nâng cao về góc độ bảo mật cho các tổ chức đang sử dụng Domain Controllers trong ở các địa điểm từ xa.

Chính sách mật khẩu chi tiết cũng là một tính năng mới tạo khả năng linh động trong mọi miền với khả năng cho phép nhiều chính sách mật khẩu và khóa.

Cùng với đó còn có nhiều tính năng mới, tất cả chúng đều làm tăng tính bảo mật và độ linh động trong Active Directory.

(Còn nữa)

Văn Linh (Theo WindowsNetworking)
Đánh giá(?):
META.vn | Mua sắm trực tuyến
Bài viết mới nhất
Xem tất cả
Bài viết cũ hơn cùng chủ đề
Xem tất cả