Introducing Active Directory, คำนิยาม และการนำเอาไปใช้
Active Directory = AD
เป็นเทคโนโลยี หรือบริการที่เรียกได้ว่า Directory Services เอาไว้จัดเก็บข้อมูลต่าง ๆ ของ Object ซึ่งช่วยให้นำข้อมูลต่าง ๆ นั้นมาบริหารจัดการได้จากจุดศูนย์กลาง (โดยส่วนใหญ่เป็นการจัดการเรื่อง Permission)
[เรื่องต้องจด] รู้จักเพิ่มเติมเกี่ยวกับ Object |
Object ใน Active Directory เป็น Key หลักของข้อมูลใน AD Database เนื่องจากสามารถนำมาบริหารจัดการที่เกี่ยวข้องกับความปลอดภัย ใช้พิสูจน์ตัวตน ซึ่ง Object ใน AD จะมี Security ID ไม่ซ้ำกันเลย ซึ่ง SID จะถูก Ramdom ผ่านทาง RID Master Role แต่ละ Object ที่ถูกสร้างขึ้น จะมี SID ที่ใช้แทนชื่อเรียกของแต่ละ Object แต่ผู้ใช้งานจะเห็นเป็นชื่อ Object ซึ่งแตกต่างกันกับระบบภายใน
การเช็ค SID เบื้องต้นจากคำสั่ง Whoami /all (ตัวอย่างจากรูปของ Server ที่ยังเป็น Workgroup) |
หมายเหตุ : ถ้าอยาก POC ให้ทำการลองใช้ Sysprep เพื่อทดสอบ SID ของเครื่องที่ทำการ RUN มาให้ |
[เรื่องต้องจด] รู้จักเพิ่มเติมเกี่ยวกับความแตกต่างของ Authentication VS Authorization |
Authentication = การพิสูจน์ตัวตน
Authorization = การอนุญาตให้เข้าถึง |
[เรื่องต้องจด] รู้จักเพิ่มเติมเกี่ยวกับความแตกต่างของ Right VS Permission |
Right = สิทธิที่จะทำเกี่ยวกับ ระบบ (System)
Permission = สิทธิที่จะทำให้มีผลเกี่ยวกับ Object |
Active Directory Domain Service = AD DS
ระบบการให้บริการของ Windows Server 2008 ถูกเรียก หรือเปลี่ยนชื่อ Active Directory Domain Service เป็น Server Roles ทีมีให้เลือกใช้ เพื่อ Enable Directory Service ขึ้นมาใช้งาน
ทั้งนี้การ Enable Server Roles ไม่ควรมีหลาย Role ภายใต้ Server เดียวกัน
Domain Controller = DC
คือ…….ชื่อเรียกแทนเครื่อง Server ที่ทำหน้าที่เป็น Active Directory Domain Service ซึ่งจะเก็บข้อมูล Directory เอาไว้ใน Harddisk ของ Server โดยทั่วไปอยู่ที่ %Systemroot%\ntds\NDTS.DIT
ทั้งนี้ DC สามารถเป็น Multiple Domain Controller เพื่อ Share ข้อมูลใน Database เรียกว่า “Replication”
Active Directory คือ ดีกว่า Workgroup เป็น Database เอาไว้เก็บข้อมูลเกี่ยวกับ Object เช่น Users, Groups, Printer, Computers, Share Folder นอกจากข้อดีสำหรับเอาไว้เก็บข้อมูลแล้ว ยังสามารถเอาไว้บริหารจัดการจากศูนย์กลางได้ (ซึ่งเป็นข้อดีที่เป็นจุดเด่นของ Microsoft Active Directory + Microsoft Client OS เช่น Windows 7)
ข้อดีของ Active Directory คือ
1. ใช้ช่วยในการทำ Authentication
2. ใช้ทำจัดการด้าน Authorization
3. ใช้ Enforcement การใช้งานของ User (User’s environment)
หมายเหตุ: Namespace = Logical Groups ที่ใช้ Database เดียวกัน อะไรที่ต่อด้านหน้า Suffix คืออยู่ภายใต้ Namespace เดียวกัน เช่น
[email protected] = User Principal Names เอาไว้ใช้ Log In เข้าสู่ Active Directory
Demo.local = Suffix
ส่วนประกอบสำคัญของ AD DS ที่จะทำงานได้คือต้องมี DNS และ Microsoft แนะนำให้ใช้ DNS สำหรับระบบ Active Directory ควรติดตั้งเป็น Server Role ที่อยู่บนเครื่องเดียวกับ AD DS Server