Active Directory là gì? Hướng dẫn từng bước

Khi sự phức tạp của tài nguyên mạng đã tăng lên, các dịch vụ thư mục trở nên quan trọng hơn bao giờ hết để quản lý cơ sở hạ tầng CNTT. Không có dịch vụ thư mục có tên lớn hơn Thư mục hoạt động. Dịch vụ thư mục Microsoft Microsoft đã được thiết lập như một công cụ chính trong số các quản trị viên mạng. Trong hướng dẫn Active Directory này, chúng tôi sẽ xem xét Active Directory là gì, cách sử dụng và các công cụ Active Directory như SolarWinds Access Rights Manager. Các chủ đề bao gồm:

  • Active Directory là gì?
  • Active Directory làm gì?
  • Cách thiết lập Active Directory
  • Cách sử dụng Active Directory: Thiết lập bộ điều khiển miền, tạo người dùng thư mục
  • Sự kiện Active Directory cần theo dõi
  • Mối quan hệ tin cậy (và loại tin cậy)
  • Tổng quan về Rừng và Cây Active Directory
  • Báo cáo thư mục hoạt động (với Trình quản lý quyền truy cập SolarWinds)

Active Directory là gì? 

Active Directory là một dịch vụ thư mục hoặc container lưu trữ các đối tượng dữ liệu trên môi trường mạng cục bộ của bạn. Dịch vụ ghi lại dữ liệu trên người dùng, thiết bị, các ứng dụng, các nhóm, và thiết bị trong một cấu trúc phân cấp.

Cấu trúc của dữ liệu cho phép tìm chi tiết các tài nguyên được kết nối với mạng từ một vị trí. Về bản chất, Active Directory hoạt động như một danh bạ cho mạng của bạn để bạn có thể tra cứu và quản lý thiết bị dễ dàng.

Active Directory làm gì? 

Có nhiều lý do tại sao các doanh nghiệp sử dụng các dịch vụ thư mục như Active Directory. Lý do chính là sự tiện lợi. Active Directory cho phép người dùng đăng nhập và quản lý nhiều loại tài nguyên từ một vị trí. Thông tin đăng nhập được thống nhất để dễ dàng quản lý nhiều thiết bị mà không cần phải nhập chi tiết tài khoản để truy cập từng máy riêng lẻ.

Cách thiết lập Active Directory (với RSAT) 

Để bắt đầu, trước tiên bạn cần đảm bảo rằng bạn có Windows chuyên nghiệp hoặc là Doanh nghiệp Windows đã cài đặt, nếu không bạn sẽ có thể cài đặt Công cụ quản trị máy chủ từ xa. Sau đó làm như sau:

Đối với phiên bản Windows 10 1809:

  1. Nhấp chuột phải vào Khởi đầu nút và đi đến Cài đặt > Ứng dụng > Quản lý các tính năng tùy chọn > Thêm tính năng.
  2. Bây giờ chọn RSAT: Dịch vụ miền Active Directory và công cụ thư mục nhẹ.
  3. Cuối cùng, chọn Tải về sau đó đi đến Khởi đầu > Công cụ quản trị Windows để truy cập Active Directory sau khi cài đặt hoàn tất.


Dành cho Windows 8 (Và Windows 10 Phiên bản 1803) 

  1. Tải xuống và cài đặt phiên bản chính xác của Công cụ quản trị máy chủ cho thiết bị của bạn: Windows 8, Windows 10.
  2. Tiếp theo, nhấp chuột phải vào Khởi đầu nút và chọn Bảng điều khiển > Chương trình > Chương trình và các tính năng > Bật hoặc tắt các tính năng của Windows.
  3. Trượt xuống và nhấp vào Công cụ quản trị máy chủ từ xa Lựa chọn.
  4. Bây giờ bấm vào Công cụ quản trị vai trò.
  5. Bấm vào Công cụ AD DS và AD LDS và xác minh Công cụ AD DS đã được kiểm tra.
  6. nhấn Đồng ý.
  7. Đi đến Khởi đầu > Công cụ quản trị trên Khởi đầu menu để truy cập Active Directory.

Cách sử dụng Active Directory: Cách thiết lập bộ điều khiển miền, tạo người dùng thư mục 

Cách thiết lập bộ điều khiển miền

Một trong những điều đầu tiên bạn cần làm khi sử dụng Active Directory là thiết lập bộ điều khiển miền. Bộ điều khiển miền là một máy tính trung tâm sẽ đáp ứng các yêu cầu xác thực và xác thực các máy tính khác trên toàn mạng. Bộ điều khiển miền lưu trữ thông tin đăng nhập của tất cả các máy tính khác và máy in.

Tất cả các máy tính khác kết nối với bộ điều khiển miền để người dùng có thể xác thực mọi thiết bị từ một vị trí. Ưu điểm của việc này là quản trị viên won đã phải quản lý hàng tá thông tin đăng nhập.

Quá trình thiết lập bộ điều khiển miền tương đối đơn giản. Gán một địa chỉ IP tĩnh cho Bộ điều khiển miền của bạncài đặt dịch vụ miền Active Directory hoặc là QUẢNG CÁO. Bây giờ làm theo các hướng dẫn sau:

  1. Mở Quản lý máy chủ và bấm vào Tóm tắt vai trò > Thêm vai trò và tính năng.
  2. Nhấp chuột Kế tiếp.
  3. Lựa chọn Dịch vụ máy tính từ xa cài đặt nếu bạn đang triển khai bộ điều khiển miền trong máy ảo hoặc chọn cài đặt dựa trên vai trò hoặc tính năng.
  4. Chọn một máy chủ từ nhóm máy chủ.
  5. Lựa chọn Dịch vụ miền Active Directorys từ danh sách và bấm Kế tiếp.
  6. Để các tính năng được kiểm tra theo mặc định và nhấn Kế tiếp.
  7. Nhấp chuột Tự động khởi động lại máy chủ đích nếu cần và bấm vào Tải về. Đóng cửa sổ sau khi cài đặt hoàn tất.
  8. Khi vai trò ADDS đã được cài đặt, thông báo sẽ hiển thị bên cạnh Quản lý thực đơn. nhấn Quảng bá máy chủ này thành bộ điều khiển miền.
  9. Bây giờ bấm vào Thêm một khu rừng mới và nhập một Tên miền gốc. nhấn Kế tiếp.
  10. Chọn Cấp chức năng miền bạn mong muốn và nhập mật khẩu vào Nhập Chế độ khôi phục dịch vụ thư mục (mật khẩu DSRM) phần. Nhấp chuột Kế tiếp.
  11. Khi trang Tùy chọn DNS hiển thị, nhấp vào Kế tiếp lần nữa.
  12. Nhập tên miền vào Tên miền NetBios hộp (tốt nhất là giống như tên miền gốc). nhấn Kế tiếp.
  13. Chọn một thư mục để lưu trữ cơ sở dữ liệu của bạn và các tệp nhật ký. Nhấp chuột Kế tiếp.
  14. nhấn Tải về kêt thuc. Hệ thống của bạn sẽ khởi động lại.


Tạo người dùng Active Directory

Người dùngmáy tính là hai đối tượng cơ bản nhất mà bạn sẽ cần quản lý khi sử dụng Active Directory. Trong phần này, chúng tôi sẽ xem xét cách tạo tài khoản người dùng mới. Quá trình này tương đối đơn giản và cách dễ nhất để quản lý người dùng là thông qua Người dùng và máy tính Active Directory hoặc công cụ ADUC đi kèm với Công cụ quản trị máy chủ từ xa hoặc là RSAT đóng gói. Bạn có thể cài đặt ADUC bằng cách làm theo các hướng dẫn được liệt kê bên dưới:


Cài đặt ADUC trên Windows 10 Phiên bản 1809 trở lên:

  1. Nhấp chuột phải vào Khởi đầu nút và bấm Cài đặt > Ứng dụng, sau đó nhấp vào Quản lý các tính năng tùy chọn > Thêm tính năng.
  2. Lựa chọn RSAT: Dịch vụ miền Active Directory và công cụ thư mục nhẹ.
  3. Lựa chọn Tải về và chờ cài đặt hoàn tất.
  4. Đi đến Khởi đầu > Công cụ quản trị Windows để truy cập tính năng.


Cài đặt ADUC trên Windows 8 và Windows 10 Phiên bản 1803 trở xuống: 

  1. Tải xuống và cài đặt Công cụ quản trị máy chủ từ xa cho phiên bản Windows của bạn. Bạn có thể làm như vậy từ một trong những liên kết sau đây:
    Công cụ quản trị viên máy chủ từ xa cho Windows 10, Công cụ quản trị viên máy chủ từ xa cho Windows 8 hoặc Công cụ quản trị viên máy chủ từ xa cho Windows 8.1.
  1. Nhấp chuột phải vào Khởi đầu > Bảng điều khiển > Chương trình > Chương trình và các tính năng > Bật hoặc tắt các tính năng của Windows.
  2. Cuộn xuống và chọn Công cụ quản trị máy chủ từ xa.
  3. Mở rộng Công cụ quản trị vai trò > Công cụ AD DS và AD LDS.
  4. Kiểm tra Công cụ AD DS và hãy nhấn Đồng ý.
  5. Đi đến Khởi đầu > Công cụ quản trị và chọn kích hoạt các người dùng và máy tính.


Cách tạo người dùng mới với ADUC 

  1. Mở Quản lý máy chủ, đi đến Công cụ chọn và chọn kích hoạt các người dùng và máy tính.
  2. Mở rộng tên miền và nhấp Người dùng.
  3. Nhấp chuột phải vào khung bên phải và nhấn Mới > Người dùng.
  4. Khi hộp Đối tượng người dùng mới hiển thị, hãy nhập Tên đầu tiên, Họ, Tên đăng nhập người dùng và bấm vào Kế tiếp.
  5. Nhập mật khẩu và nhấn Kế tiếp.
  6. Nhấp chuột Hoàn thành.
  7. Tài khoản người dùng mới có thể được tìm thấy trong Người dùng phần của ADUC.

Sự kiện Active Directory cần theo dõi 

Giống như tất cả các dạng cơ sở hạ tầng, Active Directory cần được theo dõi để được bảo vệ. Giám sát dịch vụ thư mục là điều cần thiết để ngăn chặn các cuộc tấn công mạng và cung cấp trải nghiệm người dùng cuối tốt nhất cho người dùng của bạn.

Dưới đây chúng tôi sẽ liệt kê một số sự kiện mạng quan trọng nhất mà bạn nên chú ý. Nếu bạn thấy bất kỳ sự kiện nào trong số này thì bạn nên điều tra thêm càng sớm càng tốt để đảm bảo rằng dịch vụ của bạn đã bị xâm phạm.

Sự kiện Windows hiện tại IDLegacy Windows Sự kiện IDDes mô tả
4618 Không có Một mô hình sự kiện bảo mật đã được công nhận.
4649 Không có Một cuộc tấn công phát lại đã được phát hiện (có khả năng là dương tính giả).
4719 612 Chính sách kiểm toán hệ thống đã được thay đổi.
4765 Không có Lịch sử SID được thêm vào tài khoản.
4766 Không có Cố gắng không thêm Lịch sử SID vào tài khoản.
4794 Không có Cố gắng khởi chạy Chế độ khôi phục dịch vụ thư mục.
4897 801 Phân tách vai trò được kích hoạt.
4964 Không có Các nhóm đặc biệt đã được chỉ định đăng nhập mới.
5124 Không có Bảo mật được cập nhật trên Dịch vụ Phản hồi OCSP.
Không có 550 Tấn công DoS tiềm năng.
1102 517 Nhật ký kiểm toán đã bị xóa.

Tổng quan về Rừng và Cây Active Directory 

Rừng và cây là hai thuật ngữ bạn sẽ nghe nhiều khi đi sâu vào Active Directory. Các thuật ngữ này đề cập đến cấu trúc logic của Active Directory. Tóm lại, một cây là một thực thể với một miền hoặc một nhóm đối tượng được theo sau bởi các miền con. Một khu rừng là một nhóm các lĩnh vực đặt cùng nhau. Khi nào nhiều cây được nhóm lại với nhau, chúng trở thành một khu rừng.

Cây trong rừng kết nối với nhau thông qua một mối quan hệ tin tưởng, cho phép các miền khác nhau để chia sẻ thông tin. Tất cả các miền sẽ tự động tin tưởng lẫn nhau để bạn có thể truy cập chúng với cùng thông tin tài khoản bạn đã sử dụng trên tên miền gốc.

Mỗi khu rừng sử dụng một cơ sở dữ liệu thống nhất. Theo logic, khu rừng nằm ở cấp cao nhất của hệ thống phân cấp và cây nằm ở phía dưới. Một trong những thách thức mà quản trị viên mạng gặp phải khi làm việc với Active Directory là quản lý rừng và giữ an toàn cho thư mục.

Ví dụ: quản trị viên mạng sẽ được giao nhiệm vụ chọn giữa thiết kế rừng đơn hoặc là thiết kế đa rừng. Thiết kế rừng đơn giản, chi phí thấp và dễ quản lý chỉ với một khu rừng bao gồm toàn bộ mạng. Ngược lại, một thiết kế đa rừng chia mạng thành các khu rừng khác nhau, điều này tốt cho an ninh nhưng làm cho việc quản trị trở nên phức tạp hơn.

Mối quan hệ tin cậy (và loại tin cậy) 

Như đã đề cập ở trên, tín thác được sử dụng để tạo thuận lợi cho giao tiếp giữa các miền. Tín thác cho phép xác thực và truy cập vào tài nguyên giữa hai thực thể. Tín thác có thể là một chiều hoặc hai chiều trong tự nhiên. Trong một ủy thác, hai miền được chia thành một miền đáng tin cậy và một miền đáng tin cậy.

Trong một niềm tin một chiều, miền tin cậy truy cập các chi tiết xác thực của miền đáng tin cậy để người dùng có thể truy cập tài nguyên từ tên miền khác. Trong một ủy thác hai chiều, cả hai miền sẽ chấp nhận các chi tiết xác thực khác. Tất cả các miền trong rừng tự động tin tưởng lẫn nhau, nhưng bạn cũng có thể thiết lập niềm tin giữa các miền trong các khu rừng khác nhau để chuyển thông tin.

Bạn có thể tạo niềm tin thông qua Thuật sĩ tin cậy mới. Các Thuật sĩ tin cậy mới là một trình hướng dẫn cấu hình cho phép bạn tạo các mối quan hệ tin cậy mới. Ở đây bạn có thể xem Tên miền, Loại ủy thác, và Bắc cầu trạng thái của các ủy thác hiện có và chọn loại ủy thác bạn muốn tạo.

Các loại ủy thác 

Có một loạt các loại tin cậy trong Active Directory. Chúng tôi đã liệt kê những thứ này trong bảng dưới đây:

Tin cậy TypeTransit TypeDirectionDefault? Mô tả
Cha mẹ và con Bắc cầu Hai chiều Đúng Tín thác cha mẹ và con cái được thiết lập khi tên miền con được thêm vào cây miền.
Gốc cây Bắc cầu Hai chiều Đúng Một ủy thác gốc cây được thiết lập ngay khi cây miền được tạo trong rừng.
Bên ngoài Không bắc cầu Một chiều hoặc hai chiều Không Cung cấp quyền truy cập vào các tài nguyên trong miền Windows NT 4.0 hoặc miền nằm trong một khu rừng khác được hỗ trợ bởi một ủy thác rừng.
Vương quốc Chuyển tiếp hoặc không bắc cầu Một chiều hoặc hai chiều Không Hình thành mối quan hệ tin cậy giữa vương quốc Kerberos không phải Windows và miền Windows Server 2003.
rừng Bắc cầu Một chiều hoặc hai chiều Không Chia sẻ tài nguyên giữa rừng.
Đường tắt Bắc cầu Một chiều hoặc hai chiều Không Giảm thời gian đăng nhập của người dùng giữa hai miền trong rừng Windows Server 2003.

Báo cáo thư mục hoạt động với Trình quản lý quyền truy cập SolarWinds (THỬ MIỄN PHÍ)

Tạo báo cáo trên Active Directory là điều cần thiết để tối ưu hóa hiệu suất và tuân thủ quy định tuân thủ quy định. Một trong những công cụ báo cáo Active Directory tốt nhất là Trình quản lý quyền truy cập SolarWinds (ARM). Công cụ đã được tạo để tăng khả năng hiển thị thông tin về thư mục được sử dụng và quản lý. Ví dụ: bạn có thể xem các tài khoản có cấu hình không an toàn và lạm dụng thông tin xác thực có thể chỉ ra một cuộc tấn công mạng.

Quản lý quyền truy cập SolarWinds

Sử dụng công cụ của bên thứ ba như Quản lý quyền truy cập SolarWinds có lợi vì nó cung cấp cho bạn thông tin và các tính năng sẽ khó truy cập hơn hoặc không thể truy cập trực tiếp thông qua Active Directory.

Cũng như tạo báo cáo bạn có thể tự động xóa tài khoản không hoạt động hoặc hết hạn mà tội phạm mạng nhắm đến. Quản lý quyền truy cập SolarWinds bắt đầu từ $ 3,444 (£ 2,829). Cũng có một dùng thử 30 ngày phiên bản mà bạn có thể tải xuống.

SolarWinds Quyền quản lý quyền truy cập Tải xuống bản dùng thử MIỄN PHÍ 30 ngày

Hướng dẫn Active Directory: Khái niệm cơ bản 

Active Directory là một trong những công cụ tốt nhất để quản lý tài nguyên trong mạng của bạn. Trong bài viết này, chúng tôi đã chỉ nói sơ qua về tiềm năng của công cụ này. Nếu bạn sử dụng Active Directory, hãy nhớ rằng đó là một điểm vào tiềm năng cho những kẻ tấn công mạng. Ghi chú các sự kiện thư mục chính và sử dụng trình theo dõi thư mục sẽ giúp giảm thiểu nguy cơ bị tấn công độc hại và bảo vệ tính khả dụng của dịch vụ của bạn.