Tìm hiểu Active Directory (AD):Các tính năng và lợi ích chính

Bởi

• Rahul Awati
• Wesley Chai
• Alexander S. Gillis, Nhà văn và Biên tập viên kỹ thuật

Đã xuất bản:ngày 11 tháng 4 năm 2025

Active Directory (AD) là dịch vụ thư mục độc quyền của Microsoft cho phép quản trị viên mạng quản lý người dùng, quyền và quyền truy cập của họ vào tài nguyên mạng. Nó chạy trên Windows Server và lưu trữ thông tin về các đối tượng, chẳng hạn như tài nguyên mạng được chia sẻ, trên mạng công ty theo định dạng logic, phân cấp. Điều này cho phép quản trị viên quản lý các tài nguyên đó cũng như những người dùng cần truy cập vào các tài nguyên đó để hoàn thành công việc của họ.

Cần có bộ điều khiển miền để chạy dịch vụ AD. Bộ điều khiển miền là một máy chủ chạy phiên bản hệ điều hành Windows Server có cài đặt Dịch vụ miền Active Directory (AD DS). Bằng cách cài đặt AD DS, quản trị viên có thể định cấu hình vai trò máy chủ cụ thể cho máy tính, chẳng hạn như vai trò của bộ điều khiển miền.

Vai trò của Active Directory là gì và nó dùng để làm gì?

Active Directory lưu trữ dữ liệu về tất cả các đối tượng trên mạng. Đối tượng là một phần tử đơn lẻ, chẳng hạn như người dùng, nhóm, ứng dụng hoặc thiết bị dùng chung, chẳng hạn như máy chủ hoặc máy in. Các đối tượng thường được xác định là tài nguyên, chẳng hạn như máy in hoặc máy tính, hoặc các nguyên tắc bảo mật, chẳng hạn như người dùng hoặc nhóm.

Active Directory sử dụng một bộ quy tắc được gọi là lược đồ để xác định các lớp đối tượng và thuộc tính của chúng. Lược đồ cũng xác định định dạng tên của từng đối tượng. AD cũng bao gồm một danh mục chung chứa thông tin về tất cả các đối tượng. Lược đồ và danh mục chung giúp quản trị viên mạng dễ dàng xác định và quản lý các đối tượng. Ngoài ra, bằng cách lưu trữ thông tin liên quan về tài khoản người dùng trên mạng, chẳng hạn như tên và mật khẩu của họ, AD cho phép người dùng và quản trị viên được ủy quyền khác trên mạng đó truy cập thông tin này.

AD cũng cho phép quản trị viên, người dùng và ứng dụng xuất bản và tìm các đối tượng cũng như thuộc tính của đối tượng. Họ có thể thực hiện việc này thông qua cơ chế truy vấn và lập chỉ mục của AD. Ngoài ra, AD cung cấp dịch vụ sao chép có hai vai trò. Nó đảm bảo rằng tất cả các bộ điều khiển miền trong mạng đều chứa một bản sao hoàn chỉnh của tất cả thông tin thư mục cho miền của chúng và nó đảm bảo rằng mọi thay đổi đối với dữ liệu trong thư mục đều được sao chép sang tất cả các bộ điều khiển miền trong miền. Bằng cách duy trì các bản sao của dữ liệu thư mục trên tất cả các bộ điều khiển miền, dịch vụ sao chép đảm bảo tính khả dụng của thư mục và cũng tối ưu hóa hiệu suất của nó cho tất cả người dùng.

Dịch vụ miền Active Directory là gì?

Trong các phiên bản Windows Server cũ hơn - Windows 2000 Server và Windows Server 2003 - dịch vụ thư mục được đặt tên là Active Directory. Tuy nhiên, từ Windows Server 2008 R2 và Windows Server 2008 trở đi, Microsoft đã đổi tên dịch vụ thư mục thành Active Directory Domain Services.

AD DS lưu trữ thông tin thư mục, bao gồm thông tin về tài khoản người dùng. Nó thực hiện điều này bằng cách sử dụng một kho lưu trữ dữ liệu có cấu trúc được gọi là thư mục. Thư mục này cho phép thông tin thư mục được tổ chức theo định dạng logic và phân cấp. AD DS cũng cung cấp dữ liệu thư mục cho người dùng và quản trị viên mạng được ủy quyền, cho phép họ truy cập dữ liệu đó theo yêu cầu.

Giống như AD, AD DS bao gồm một hệ thống sao chép tự động xây dựng và cập nhật máy chủ danh mục chung, là một bộ điều khiển miền. Danh mục này lưu trữ một bản sao đầy đủ, có thể ghi của tất cả các đối tượng và thuộc tính của chúng trong một miền, cũng như các bản sao một phần, chỉ đọc của tất cả các miền khác trong forest. Việc sao chép thuộc tính như vậy giúp người dùng và quản trị viên dễ dàng tìm kiếm các đối tượng trong AD DS.

AD DS cung cấp bảo mật thông qua cơ chế kiểm soát truy cập và xác thực đăng nhập tích hợp. Các cơ chế này cho phép người dùng được ủy quyền truy cập tài nguyên mạng và cho phép quản trị viên dễ dàng quản lý dữ liệu thư mục và tổ chức trên toàn mạng bằng một tên người dùng và mật khẩu mạng duy nhất.

Để hỗ trợ thêm cho quản trị viên mạng, AD DS cung cấp quản trị dựa trên chính sách. Điều này cho phép quản trị viên dễ dàng quản lý ngay cả các mạng phức tạp.

Chế độ, giao thức và dịch vụ Active Directory

Một số dịch vụ khác nhau tạo thành Active Directory. Dịch vụ chính là Dịch vụ miền, nhưng Active Directory còn có các dịch vụ khác sau:

• Dịch vụ thư mục hạng nhẹ Active Directory (AD LDS) là một chế độ độc lập của AD, nghĩa là nó hoạt động độc lập với các miền hoặc rừng AD và có thể được cài đặt mà không ảnh hưởng đến AD. Nó cung cấp các dịch vụ thư mục cho các ứng dụng, bao gồm kho lưu trữ dữ liệu và sử dụng các giao diện lập trình ứng dụng (API) tiêu chuẩn để truy cập dữ liệu ứng dụng. Tuy nhiên, nó không bao gồm các tính năng cơ sở hạ tầng của AD.
• Giao thức truy cập thư mục hạng nhẹ (LDAP) là một giao thức dịch vụ thư mục được sử dụng để truy cập và duy trì các thư mục qua mạng. Dựa trên mô hình máy khách-máy chủ, LDAP chạy trên một lớp phía trên ngăn xếp TCP/IP. LDAP không thể được sử dụng để tạo thư mục hoặc chỉ định cách hoạt động của dịch vụ thư mục. Chức năng chính của nó là hỗ trợ quản lý thư mục.
• Dịch vụ chứng chỉ Active Directory (AD CS) được sử dụng để tạo, quản lý và chia sẻ chứng chỉ cơ sở hạ tầng khóa công khai. Chứng chỉ sử dụng mã hóa để cho phép người dùng trao đổi thông tin qua internet một cách an toàn bằng khóa chung. Các chứng chỉ này cung cấp tính bảo mật thông qua mã hóa; xác thực máy tính, người dùng và tài khoản thiết bị trên mạng; và giúp duy trì tính toàn vẹn của tài liệu kỹ thuật số thông qua chữ ký số.
• Dịch vụ liên kết Active Directory (AD FS) xác thực quyền truy cập của người dùng vào nhiều ứng dụng -- ngay cả trên các mạng khác nhau -- bằng cách sử dụng đăng nhập một lần (SSO). Đúng như tên gọi, SSO chỉ yêu cầu người dùng đăng nhập một lần thay vì sử dụng nhiều khóa xác thực chuyên dụng cho mỗi dịch vụ. Bằng cách cho phép chia sẻ an toàn danh tính kỹ thuật số và các quyền được hưởng qua các ranh giới bảo mật và doanh nghiệp, AD FS giúp hợp lý hóa trải nghiệm của người dùng khi họ truy cập các ứng dụng sử dụng Internet.
• Dịch vụ quản lý quyền Active Directory (AD RMS) cho phép các tổ chức bảo vệ tài liệu của họ bằng cách sử dụng quản lý quyền thông tin (IRM). Với AD RMS, họ có thể tạo chính sách IRM để chỉ định ai có thể truy cập thông tin nhạy cảm, từ đó ngăn chặn việc sử dụng hoặc lạm dụng thông tin đó bởi những người không được phép.

Đặc điểm chính của mô hình logic AD và AD DS

Dịch vụ miền Active Directory sử dụng mô hình logic bao gồm các nhóm, miền và đơn vị tổ chức (OU). Mô hình này quan trọng vì nó cung cấp cách thực hiện những việc sau:

• Lưu trữ và quản lý thông tin về tài nguyên mạng.
• Lưu trữ và quản lý dữ liệu dành riêng cho ứng dụng từ các ứng dụng hỗ trợ thư mục.
• Cho phép quản trị viên sắp xếp người dùng, máy tính, thiết bị và các thành phần khác của mạng thành cấu trúc ngăn chặn phân cấp.

Các đối tượng khác nhau, chẳng hạn như người dùng và thiết bị dùng chung cơ sở dữ liệu, đều nằm trên cùng một miền. Cây là một hoặc nhiều miền được nhóm lại với nhau bằng các mối quan hệ tin cậy theo cấp bậc. Một khu rừng là một nhóm gồm nhiều cây. Các khu rừng cung cấp ranh giới bảo mật, trong khi các miền -- chia sẻ cơ sở dữ liệu chung -- có thể được quản lý cho các cài đặt như xác thực và mã hóa. Các phần tử khác nhau này có các chức năng sau:

• Khu rừng là vùng chứa cấp cao nhất trong AD DS. Nó đề cập đến một nhóm gồm một hoặc nhiều miền AD. Nó cung cấp một cấu trúc logic chung cho các miền đó và tự động liên kết chúng với các mối quan hệ tin cậy bắc cầu, hai chiều. Những mối quan hệ này cho phép AD DS cung cấp bảo mật trên nhiều miền hoặc nhiều khu rừng. Chúng cũng cho phép các miền mở rộng dịch vụ xác thực cho người dùng ở các miền bên ngoài khu vực riêng của họ.
• Miền là một vùng chứa hoặc phân vùng trong một khu rừng. Nó cung cấp danh tính người dùng trên toàn mạng, vì vậy danh tính người dùng chỉ cần được tạo một lần. Sau khi hoàn tất, chúng có thể được tham chiếu trên bất kỳ máy tính nào được kết nối với nhóm chứa tên miền đó. Miền sử dụng một hoặc nhiều bộ điều khiển miền để lưu trữ tài khoản người dùng và thông tin xác thực của người dùng, cung cấp dịch vụ xác thực cho người dùng và kiểm soát quyền truy cập vào tài nguyên mạng. Bộ điều khiển miền cho một miền cụ thể có một bản sao thư mục cho toàn bộ miền chứa nó.
• OU là phần tử nhỏ nhất của mô hình logic AD DS. OU tạo thành một hệ thống phân cấp các thùng chứa trong một miền. Quản trị viên thường sử dụng OU để đơn giản hóa các tác vụ quản trị, chẳng hạn như áp dụng Chính sách nhóm. OU cũng hữu ích cho việc ủy quyền, cho phép chủ sở hữu chuyển giao quyền kiểm soát quản trị -- toàn bộ hoặc giới hạn -- đối với các đối tượng cho người dùng hoặc nhóm khác nhằm đơn giản hóa việc quản lý các đối tượng đó.

Mô hình miền-rừng-OU của AD DS áp dụng bất kể cấu trúc liên kết mạng và số lượng bộ điều khiển miền được yêu cầu trong mỗi miền.

Các tính năng chính của Dịch vụ miền AD và Active Directory

Một trong những tính năng chính của AD và AD DS là chúng sử dụng kho lưu trữ dữ liệu có cấu trúc và phân cấp để tổ chức và xuất bản thông tin thư mục một cách hợp lý, tức là thông tin về các đối tượng được lưu trữ trong thư mục AD DS. Những đối tượng này có thể bao gồm những đối tượng sau:

• Người dùng.
• Nhóm.
• Máy tính.
• Tên miền.
• OU.
• Chính sách bảo mật.

Một lược đồ tiêu chuẩn hóa được sử dụng để xác định các lớp đối tượng, thuộc tính và tên cũng như các ràng buộc và giới hạn đối với các thể hiện của các đối tượng này. Lược đồ mặc định trong AD được mô hình hóa theo chuỗi tiêu chuẩn X.500 của Tổ chức Tiêu chuẩn hóa Quốc tế dành cho các dịch vụ thư mục. Nó cũng có khả năng mở rộng, nghĩa là các lớp và thuộc tính có thể được thêm vào và sửa đổi khi cần. Lược đồ AD được lưu trữ trong phân vùng thư mục lược đồ và được sao chép sang tất cả các bộ điều khiển miền trong một nhóm.

Một tính năng quan trọng khác của AD là nó sử dụng bốn loại phân vùng thư mục để lưu trữ và sao chép các loại dữ liệu khác nhau trong tệp Ntds.dit trên bộ điều khiển miền của miền. Người dùng và quản trị viên có thể truy cập thông tin này trên toàn bộ miền. Phân vùng thư mục thường chứa dữ liệu về miền, cấu hình, lược đồ và ứng dụng.

AD và AD DS có cơ chế truy vấn và lập chỉ mục. Cơ chế này cho phép người dùng hoặc ứng dụng mạng tìm các đối tượng và thuộc tính của chúng được lưu trữ trong AD. Cuối cùng, dịch vụ sao chép của AD phân phối dữ liệu thư mục trên mạng. AD bao gồm Trình kiểm tra tính nhất quán kiến thức, tự động tạo các kết nối sao chép từ bộ điều khiển miền nguồn đến bộ điều khiển miền đích và tạo cấu trúc liên kết sao chép cho nhóm AD.

Thuật ngữ tin cậy

Active Directory dựa vào độ tin cậy để hỗ trợ xác thực và cung cấp bảo mật trên nhiều miền hoặc nhóm. Những mối quan hệ tin cậy này áp dụng cho cả miền và rừng trong AD. Tín thác AD chỉ hoạt động bình thường nếu mọi tài nguyên đều có đường dẫn tin cậy trực tiếp tới bộ điều khiển miền trong miền mà nó được đặt. Ngoài ra, để kích hoạt tính năng hỗ trợ, Windows sẽ kiểm tra xem miền được người dùng hoặc máy tính yêu cầu đã có mối quan hệ tin cậy với miền của tài khoản yêu cầu hay chưa.

Các thuật ngữ quan trọng nhất liên quan đến sự tin cậy được sử dụng trong AD bao gồm:

• Tin cậy một chiều là khi miền thứ nhất (Miền A) cấp phép đặc quyền truy cập cho người dùng trên miền thứ hai (Miền B). Tuy nhiên, Miền B không cho phép người dùng truy cập vào Miền A. Nói một cách đơn giản, đó là đường dẫn xác thực một chiều giữa Miền A và B.
• Tin cậy hai chiều là khi hai miền tin cậy lẫn nhau. Do đó, yêu cầu xác thực có thể được chuyển giữa các miền này, nghĩa là mỗi miền cho phép người dùng của miền kia truy cập.
• Miền đáng tin cậy là một miền duy nhất cho phép người dùng truy cập vào một miền khác, được gọi là miền đáng tin cậy. Forest đã sử dụng các đối tượng miền đáng tin cậy để lưu trữ tất cả các không gian tên đáng tin cậy, chẳng hạn như tên cây miền, hậu tố tên chính của người dùng, hậu tố tên chính của dịch vụ và không gian tên định danh bảo mật được sử dụng trong các khu rừng đối tác.
• Độ tin cậy bắc cầu có thể mở rộng ra ngoài hai miền và cho phép truy cập vào các miền đáng tin cậy khác trong một nhóm. Trong AD, mối quan hệ tin cậy mang tính bắc cầu, hai chiều được thiết lập tự động giữa các miền mới và miền gốc trong một nhóm.
• Sự tin cậy không chuyển tiếp là sự tin cậy một chiều được giới hạn ở hai miền. Nó thường được sử dụng để từ chối mối quan hệ tin cậy với các miền khác.
• Nhóm ủy thác cung cấp khả năng xác thực và ủy quyền liền mạch trên nhiều khu rừng AD, do đó cho phép truy cập vào các tài nguyên và các đối tượng khác trong các khu rừng đó. Nó có thể là bắc cầu một chiều hoặc hai chiều.

Lịch sử và sự phát triển của Active Directory

Microsoft đưa ra bản xem trước của Active Directory vào năm 1999 và phát hành nó một năm sau đó cùng với Windows 2000 Server. Microsoft tiếp tục phát triển các tính năng mới với mỗi bản phát hành Windows Server kế tiếp.

Windows Server 2003 bao gồm một bản cập nhật đáng chú ý để thêm các khu rừng cũng như khả năng chỉnh sửa và thay đổi vị trí của các miền trong khu rừng. Miền trên Windows 2000 Server không thể hỗ trợ các bản cập nhật AD mới hơn chạy trong Server 2003.

Windows Server 2008 đã giới thiệu AD FS. Ngoài ra, Microsoft đã đổi tên thư mục để quản lý miền thành AD DS và AD trở thành thuật ngữ chung cho các dịch vụ dựa trên thư mục mà nó hỗ trợ. AD DS có sẵn trong tất cả các phiên bản Windows Server mới nhất, bao gồm Windows Server 2016, Windows Server 2019, Windows Server 2022 và Windows Server 2025.

Windows Server 2016 đã cập nhật AD DS để cải thiện bảo mật AD và di chuyển môi trường AD sang môi trường đám mây hoặc đám mây lai. Các bản cập nhật bảo mật bao gồm việc bổ sung tính năng quản lý quyền truy cập đặc quyền. PAM giám sát quyền truy cập vào một đối tượng, loại quyền truy cập được cấp và những hành động mà người dùng thực hiện. PAM bổ sung thêm rừng AD pháo đài để cung cấp thêm môi trường rừng an toàn và biệt lập. Windows Server 2016 đã ngừng hỗ trợ cho các thiết bị trên Windows Server 2003.

Vào tháng 12 năm 2016, Microsoft đã phát hành Azure AD Connect, hiện được gọi là Microsoft Entra Connect, để kết nối hệ thống Active Directory tại chỗ với Azure AD, hiện được gọi là Microsoft Entra ID. Thông qua việc tích hợp này, các tổ chức có thể kết nối tất cả danh tính và kiểm soát quyền truy cập trên mạng cục bộ của họ với các dịch vụ đám mây của Microsoft, chẳng hạn như Office 365, đồng thời kích hoạt SSO thân thiện với người dùng cho các dịch vụ đó. Azure AD Connect hoạt động với các hệ thống chạy Windows Server 2008, Windows Server 2012, Windows Server 2016 và Windows Server 2019. Tất cả phiên bản 1.x của Azure AD Connect đã ngừng hoạt động vào ngày 31 tháng 8 năm 2022.

Miền so với nhóm làm việc

Nhóm làm việc là thuật ngữ của Microsoft dành cho các máy Windows được kết nối qua mạng ngang hàng (P2P). Nhóm làm việc là một đơn vị tổ chức khác dành cho máy tính Windows trong mạng. Nhóm làm việc cho phép các máy này chia sẻ tệp, truy cập internet, máy in và các tài nguyên khác qua mạng. Mạng P2P loại bỏ nhu cầu về máy chủ để xác thực. Có một số khác biệt giữa miền và nhóm làm việc:

• Miền, không giống như nhóm làm việc, có thể lưu trữ máy tính từ các mạng cục bộ khác nhau.
• Miền có thể được sử dụng để lưu trữ nhiều máy tính hơn nhóm làm việc. Tên miền có thể bao gồm hàng nghìn máy tính; nhóm làm việc thường có giới hạn trên là gần 20.
• Trong miền, ít nhất một máy chủ là máy tính được sử dụng để kiểm soát các quyền và tính năng bảo mật cho mọi máy tính trong miền. Trong nhóm làm việc, không có máy chủ và các máy tính đều là máy ngang hàng.
• Người dùng miền thường yêu cầu thông tin nhận dạng bảo mật, chẳng hạn như thông tin đăng nhập và mật khẩu, không giống như nhóm làm việc.

Đối thủ cạnh tranh chính của Active Directory

Các dịch vụ thư mục khác trên thị trường cung cấp chức năng tương tự như AD bao gồm:

• Red Hat Directory Server là thư mục dựa trên LDAP quản lý quyền truy cập của người dùng vào nhiều hệ thống trong môi trường Unix. Nó cung cấp sổ đăng ký dựa trên mạng để tập trung thông tin nhận dạng và bao gồm xác thực dựa trên ID người dùng và chứng chỉ để hạn chế quyền truy cập vào dữ liệu trong thư mục. Ngoài ra, nó còn cung cấp khả năng kiểm soát truy cập tập trung, chi tiết vào thư mục và bảo vệ dữ liệu nâng cao, ngay cả khi số lượng hệ thống và người dùng tăng lên.
• Thư mục Apache là một dự án nguồn mở chạy trên Java và hoạt động trên mọi máy chủ LDAP, bao gồm các hệ thống trên Windows, macOS và Linux. Nó cung cấp một máy chủ thư mục tuân thủ LDAP v3 và một công cụ thư mục dựa trên Eclipse có tên là Apache Directory Studio. Ngoài ra, phần mềm còn bao gồm API LDAP Thư mục Apache cung cấp một cách thuận tiện để truy cập tất cả các loại máy chủ LDAP.
• OpenLDAP là một nguồn mở khác thay thế cho AD. Cụ thể, đây là một triển khai LDAP mã nguồn mở, với các mô-đun như daemon cân bằng tải LDAP độc lập; daemon LDAP độc lập (máy chủ); và nhiều thư viện, công cụ cũng như ứng dụng khách mẫu khác nhau để triển khai LDAP.

Bộ phận CNTT phải quản lý cẩn thận các Chính sách nhóm khác nhau dành cho máy tính để bàn để đảm bảo triển khai các chính sách chính xác. Tìm hiểu khi nào Chính sách nhóm tham gia miền AD ghi đè cục bộ.

Continue Reading Về Active Directory (AD) là gì?

• Cách sử dụng đồng bộ hóa Azure AD Connect cho IAM kết hợp

• Sử dụng Microsoft AD Explorer cho các tác vụ quản trị thông thường

• Cách bật chính sách mật khẩu chi tiết của Active Directory

• Cách thiết lập bộ điều khiển miền Windows Server 2022

• Các tính năng Active Directory mới sắp có trong Windows Server 2025

Tìm hiểu sâu hơn về quản lý quyền truy cập và nhận dạng của Microsoft

• 

  Lên kế hoạch di chuyển bộ điều khiển miền của bạn sang Windows Server 2025

  

  Bởi:Brien Posey

• 

  Miền Active Directory (Miền AD) là gì?

  

  Bởi:Rahul Awati

• 

  Chế độ khôi phục dịch vụ thư mục (DSRM)

  

  Bởi:Rahul Awati

• 

  Các cấp độ chức năng của Active Directory

  

  Bởi:Stephen Bigelow