4/10/2552

Active Directory Service (ส่วนที่ 2)

โดเมน (Domain)
โดเมน คือ การรวมทรัพยากรต่างๆ บนระบบเน็ตเวิร์กเข้าไว้ด้วยกันทั้งหมดเพื่อใช้ในการบริหารและการจัดการทรัพยากร เช่น บัญชีรายชื่อผู้ใช้ เครื่องคอมพิวเตอร์ เครื่องเซิร์ฟเวอร์ เครื่องพิมพ์ แชร์โฟลเดอร์ และออบเจ็กต์อื่นๆ โดยทรัพยากรข้างต้นจะต้องอยู่ภายใต้ชื่อโดเมน (Domain Name) เดียวกัน และชื่อของโดเมนจะบ่งบอกถึงชื่อของหน่วยงานหรือชื่อขององค์กรด้วย ซึ่งผู้บริหารระบบโดเมนมีสิทธิ์สูงสุดในการจัดการทรัพยากรต่างๆ ที่อยู่ภายใต้โดเมน
โดเมนจะมีฐานข้อมูลกลางที่จัดเก็บทรัพทยากรต่างๆ ของระบบเน็ตเวิร์กไว้ เพื่อให้เครื่องเซิร์ฟเวอร์ทุกตัวในระบบอ้างอิงและใช้งานฐานข้อมูลกลางนี้ได้ ซึ่งระบบโดเมนมีการใช้งานครั้งแรกบน Windows NT4 ฐานข้อมูลนี้ถูกเรียกว่า SAM (Security Account Manager) ถ้าเป็นโดเมนของ Windows 2000 และ 2003 ฐานข้อมูลนี้ถูกเรียกว่า Active Directory Database ฐานข้อมูลนี้จะจัดเก็บอยู่ที่เครื่องเซิร์ฟเวอร์ที่ทำหน้าที่เป็น "โดเมนคอนโทรลเลอร์" (Domain Controller)
โดเมนคอนโทรลเลอร์ มีหน้าที่ตรวจสอบการล็อกออน (Logon) ก่อนว่าบัญชีรายชื่อผู้ใช้ที่ล็อกออนเข้ามาตรงกับบัญชีรายชื่อผู้ใช้ที่มีอยู่ใน Active Directory Database หรือไม่ ก่อนผู้ใช้เข้าใช้ทรัพยากรต่างๆ ในระบบ เมื่อผ่านการล็อกออนเข้าสู่ระบบได้แล้ว ผู้ใช้สามารถเข้าใช้ทรัพยากร (แชร์โฟลเดอร์ เครื่องพิมพ์) จากเซิร์ฟเวอร์ไหนก็ได้ที่อยู่ภายใต้โดเมนเดียวกัน ผู้ใช้จะมีบัญชีรายชื่อเพียงแอคเคานต์ (Account) เดียวเพื่อเข้าถึงทรัพยากรและเซิร์ฟเวอร์ได้ทั้งหมดในโดเมน การทำงานลักษณะนี้เรียกว่า "Single Logon" ซึ่งหากอนาคตมีการเพิ่มเครื่องเซิร์ฟเวอร์ก็ไม่จำเป็นต้องเพิ่มบัญชีรายชื่อผู้ใช้ที่เซิร์ฟเวอร์นั้นๆ เพียงติดตั้งให้เซิร์ฟเวอร์นั้นๆ เข้าเป็นสมาชิกของโดเมนที่มีอยู่แล้ว เซิร์ฟเวอร์เหล่านั้นจะรู้จักบัญชีรายชื่อผู้ใช้ทั้งหมดในโดเมนทันที และผู้ใช้ก็สามารถเข้าใช้ทรัพยากรจากเซิร์ฟเวอร์ได้

Domain_basic

รูปภาพ: โครงสร้างพื้นฐานโดเมน

โหมดของโดเมน (Domain Modes)
Mixed Mode เป็นการติดตั้ง Active Directory ของ Windows Server 2003 ให้สามารถทำงานร่วมกับ Window NT4.0 และ Windows 2000 ได้ โดย Windows Server 2003 สามารถซิงโครไนซ์บัญชีรายชื่อผู้ใช้และสื่อสารกับ Backup Domain Controller (BDC) ของ Windows NT4.0 ได้ และ Windows Server 2003 ยังรองรับการล็อกออนได้ 2 แบบ คือ NTLM (NT Lan Manager) สำหรับผู้ใช้ของ Windows NT และ Kerberos สำหรับผู้ใช้ของ Windows Server 2003
Native Mode เป็นการทำงานร่วมกันระหว่าง Windows Server 2000 และ Windows Server 2003 เท่านั้น ถ้าหากมีเครื่องเซิร์ฟเวอร์ที่เป็น windows NT4.0 ต้องเปลี่ยนให้เป็น Windows Server 2000 ทั้งหมดก่อน (หากเป็น Mixed Mode ก่อนหน้านี้ ต้องเปลี่ยนทุกเซิร์ฟเวอร์จาก Windows NT4.0 เป็น Windows Server 2000 ก่อนถึงจะสามารถเปลี่ยนโหมดเป็น Native Mode ได้ในภายหลัง) หรือจะเปลี่ยนเป็น Windows Server 2003 ทั้งหมดก็ได้ จึงจะทำงานในโหมดนี้ได้ ในโหมดนี้เซิร์ฟเวอร์ Windows Server 2003 จะไม่ซิงโครไนซ์ข้อมูลกับเครื่องเซิร์ฟเวอร์ที่เป็น Windows NT4.0 แล้ว แต่จะสามารถเรพลิเคต (Replicate) ข้อมูลร่วมกับโดเมนคอนโทรลเลอร์ของ Windows Server 2000 ได้

นอกจากที่กล่าวมาข้างต้นแล้วโดเมนยังเป็นเสมือนขอบเขตของระบบรักษาความปลอดภัย (Security boundary) และขอบเขตของการบริหาร (Administrative Boundary)ด้วย ซึ่งสามารถอธิบายได้ดังนี้

  1. ขอบเขตของระบบรักษาความปลอดภัย เมื่อผู้ใช้ล็อกออนเข้าสู่โดเมนแล้ว ผู้ใช้จะสามารถใช้ทรัพยากรต่างๆ ในระบบได้ตามสิทธิที่ตัวเองมี หรือที่ผู้ดูแลระบบโดเมนกำหนดให้ และผู้ใช้จะไม่สามารถเข้าใช้งานทรัพยากรที่อยู่ภายในโดเมนอื่นได้ จนกว่าผู้ดูแลระบบโดเมนจะกำหนดสิทธิ์ให้ เป็นต้น
  2. ขอบเขตของการบริหาร ผู้ดูแลระบบโดเมนหรือผู้บริหารระบบจะมีสิทธิ์เต็มที่ในการจัดการบัญชีรายชื่อผู้ใช้และทรัพยากรต่างๆ ได้เฉพาะภายในโดเมนของตนเท่านั้น ไม่มีสิทธ์เข้าไปจัดการทรัพยากรของโดเมนอื่น ยกเว้นแต่ผู้ดูแลระบบโดเมนนั้นๆ จะอนุญาติให้สิทธิ์เท่านั้น

หน้าที่ของโดเมนคอนโทรลเลอร์

  1. ใน 1 โดเมนต้องมีโดเมนคอนโทรลเลอร์อย่างน้อย 1 ตัว แต่จะมีมากกว่า 1 ตัวก็ได้
  2. โดเมนคอนโทรลเลอร์ทำการตรวจสอบการล็อกออนเข้าใช้เครื่องและสิทธิ์ของผู้ใช้ในการใช้ทรัพยากรต่างๆ บนเซิร์ฟเวอร์ในระบบเน็ตเวิร์ก
  3. โดเมนคอนโทรลเลอร์คอยให้บริการกับผู้ดูแลระบบและผู้ใช้ในการค้นหาทรัพยากรต่างๆ ในฐานข้อมูล Active Directory Database
  4. โดเมนคอนโทรลเลอร์ทำหน้าที่เก็บรักษาและดูแลฐานข้อมูล Active Directory Database
  5. โดเมนคอนโทรลเลอร์ทำหน้าที่อัพเดพข้อมูล Active Directory Database บนโดเมนคอนโทรลเลอร์ทุกตัวที่อยู่บนโดเมนเดียวกัน ให้ข้อมูลมีความเหมือนกันอยู่ตลอดเวลาด้วยการเรพลิเคตฐานข้อมูลระหว่างกัน

หัวข้อต่อไปศึกษาได้จากหัวข้อ "ADS ส่วนที่ 3"


1 ความคิดเห็น: