MCSE

øi nguyên thuộc về domain có thể được sử dụng bởi các domain khác nhờ việc thiết lập các 
quan hệ tin cậy. 
 35 
 Trust Relationships 
Một quan hệ tin cậy là sự gạch nối giữa hai domain mà trong đó trusting domain xác nhận giá 
trị của một trusted domain. Chi tiết cá nhân và nhóm cuả user thuộc về một trusted domain có 
thể sở hữu các quyền hạn, các tài nguyên trong một trusting domain, ngay cả các chi tiết đó 
không được lưu giữ trong trusting domain's directory database. 
 Quan Hệ tin cậy xác định một chiều 
Với Windows NT phiên bản 4.0 và các phiên 
bản trước, quan hệ tin cậy interdomain được 
qui định bởi quan hệ tin cậy xác định một 
chiều giữa các domain controllers. Mỗi sự tin 
cậy phải được thiết lập và quản lý một cách 
riêng biệt. Việc quản lý quan hệ tin cậy xác 
định một chiều giữa những domain đối với một 
mạng lớn là một công việc hết sức phức tạp. 
 Quan Hệ tin cậy hổ tương 
Windows 2000 đơn giản hóa việc quản lý các 
tin cậy bằng cách dùng sự tin cậy hổ tương 
giữa các Active Directory domains. Khi một 
domain được kết hợp với một Windows 2000 
domain tree thì sự quan hệ tin cậy hổ tương sẽ 
được tự động thiết lập giữa domain mới và 
domain mẹ của nó. 
Với các quan hệ tin cậy hổ tương này, mỗi 
domain có một quan hệ tin cậy hai chiều với 
domain mẹ của chúng trong tree, và tất cả 
những domain tin cậy một cách tuyệt đối đối 
với những domain khác trong cùng một tree. Ví dụ, nếu domain A tin cậy domain B, và 
domain A tin cậy domain C, thì domain B tin cậy domain C. Tin cậy hổ tương giữa những 
domain làm đơn giản hóa việc quản lý của các quan hệ tin cậy giữa các domain với nhau. 
Windows 2000 Active Directory cũng yểm trợ các quan hệ tin cậy xác định một chiều đối với 
những clients không sử dụng Active Directory directory service. 
 Organizational Units 
Trong phạm vi ảnh hưởng cuả Windows 2000, bạn có thể tạo nên các ban ngành (OUs) như là 
thùng chứa đựng đối tượng (objects) trong Active Directory chẳng hạn như user accounts, 
 36 
groups, printers cũng như các thùng chứa các ban ngành (OUs) khác. Bạn cũng có thể sắp xếp 
hay lồng vào nhau các ban ngành (OUs) để tạo nên các cấu trúc hợp lý, vẽ ra được phương 
cách làm việc cũng như cách tổ chức kinh doanh của công ty. Hơn nữa, bạn có thể ủy thác 
công việc quản lý nhân viên cho các ban ngành (OUs) liên hệ. 
Khi bạn sắp xếp các user accounts và các tài nguyên theo hệ thống cấp bậc, bạn có thể hình 
dung một cách rõ ràng và sát thực tế cấu trúc kinh doanh trong phạm vi của công ty. Và cũng 
nhờ sự ủy thác công việc hết sức đặc trưng như vậy, các người xử dụng và nhóm người đó có 
thể hoàn thành một vài công việc quản lý giới hạn thí dụ như đặt lại mật lệnh (password) hay 
làm cho việc ấn loát được thông suốt. 
Bạn có thể tạo ra các ban ngành cho các mục đích sau đây: 
 Để ủy thác hạn chế việc quản lý cho các ban ngành và các vật thể liên hệ. 
 Để đơn giản hoá sự áp dụng các chính sách chung (Group Policy). 
 Để tạo ra các cấu trúc quản lý một cách hợp lý và đầy đủ ý nghĩa. 
Các ban ngành có thể được xếp đặt theo hệ thống cấp bậc trong một phạm vi nào đó của công 
ty. Và hệ thống ban ngành đó hoàn toàn độc lập đối với các hệ thống ban ngành khác. 
 Replication 
Khi bản hướng dẫn (a directory) được sửa đổi thì sự thay đổi đó được sao chép ra cho tất cả 
các domain controllers khác trong vòng và giữa các sites với nhau. Và khi một domain 
controller mới được cài trong phạm vi của mình thì domain directory lập tức được sao ra và 
gởi đến cho domain controller mới đó một cách tự động. 
Chính Active Directory thực hiện kiểu mẫu multi-master replication. Với kiểu mẫu đó, các sự 
thay đổi sẽ được thi hành trong bất cứ một domain controller nào trong phạm vi của mình. Sau 
đó, các domain controller tiếp tục truyền đi sự thay đổi đó tới các thành viên khác có cùng 
chung phận sự. 
Khi việc sao chép đang xãy ra thì một phần bản sao của domain directory sẽ gởi đến bản liệt 
kê toàn bộ (Global Catalog). 
 Sites 
Hệ thống mạng vật chất được tổ chức thành sites. Chính các Sites đó biểu hiện hệ thống vật 
chất trong mạng của bạn. Site là một khu vực bao gồm hệ thống các máy điện toán nối lại với 
nhau. Cách nối đó có ảnh hưởng đến khả năng lưu thông trong việc trao đổi các bản sao với 
 37 
nhau. Điển hình là một khu vực hệ thống mạng cục bộ hay các mạng khác nhanh hơn gồm 
một hoặc nhiều IP subnets. 
Các khu vực (Sites) có hai chức năng chính: 
 Để tạo điều kiện thuận lợi cho việc trao đổi qua lại các bản sao. 
 Để cho phép người dùng được nối vào domain controller gần nhất trong cùng một khu 
vực. 
Khi đặt ra kế hoạch cho từng khu vực thì sự quan tâm chính của bạn là vấn đề bandwidth có 
sẳn sàng cho việc trao đổ các bản sao trong phạm vi của công ty. Thí dụ như bạn có văn 
phòng ở cả hai nơi - Dallas và Austin trong cùng một phạm vi. Nếu như bạn không thể thiết 
lập mỗi văn phòng ở khác khu vực, thì các servers ở mỗi khu vực đó phải trao đổ bản sao của 
directories một cách thường xuyên hơn. Nhờ thiết lập mỗi văn phòng ở các khu vực khác 
nhau, bạn có thể kiểm soát thời biểu trao đổi các bản sao trong các giờ giấc thuận tiện những 
lúc ít có nhu cầu xử dụng các tài nguyên hay khi náo các cầu nối sẵn sàng hơn, và ngay cả 
việc xử dụng dial-up connections để gaỉm thiểu việc chi tiêu. 
 Global Catalog 
Một trong số các yêu cầu thiết yếu khi làm việc trong môi trường to lớn và mở rộng là xác 
nhận được lý lịch và vị trí các tài nguyên thí dụ như users, hàng loạt việc ấn loát và các tập 
tin. Trong Active Directory, Global Catalog cho phép users truy nguyên đối tượng cần dùng 
mà không cần phải biết vị trí của đối tượng đó trong domain. 
 38 
Global Catalog chứa một phần bản sao của mổi đối tượng trong Active Directory. Global 
Catalog server là một dịch vụ hướng dẩn thông tin tập trung ở một chổ trung ương, nó chứa 
đựng toàn bộ bản sao các đối tượng trong một domain và một số đặc tính các đối tượng ở các 
domain khác. 
Các đặc tính được dùng nhiều trong Global Catalog là các hoạt động truy tầm (thí dụ như truy 
tầm tên họ của user, logon name, và ...) và các đặc tính cần thiết để định vị bản sao đầy đủ 
của một đối tượng. Các đặc tính đó được sao chép lại trong Global Catalog kể cả bộ cơ bản 
mà Microsoft đã xác định. 
Domain đầu tiên được tạo ra với Windows 2000 là Global Catalog server. 
 Active Directory Queries 
Windows 2000 làm cho người xử dụng (users) và người quản trị (administrators) dễ dàng tìm 
kiếm Active Directory. Users có thể chọn lựa Search ở Start menu để tìm kiếm các vật thể 
(objects) trong bản hướng dẫn (directory). Mệnh lệnh Search trong Windows Explorer và My 
Network Places cũng cho biết vị trí các vật thể của Active Directory. Administrators có thể 
dùng mệnh lệnh Find trong Active Directory Manager để tạo ra các cách tìm kiếm riêng biệt 
(custom searches). 
Sự lựa chọn Custom Search trong Active Directory Manager là một đặc tính ưu việt của 
Windows 2000, chính nó mở đường cho bạn thay đổi các đặc tính chuyên biệt của các đố 
tượng trong mạng một cách trực tiếp . 
 39 
 Lab A: Promoting a Stand-Alone Server to a Domain 
Controller 
 Những mục tiêu 
Sau hoàn thành sự thử nghiệm này, bạn sẽ có khả năng để làm stand-alone server lên thành 
domain controller bằng cách thiết đặt những dịch vụ thư mục của Active Directory. 
Xắp xếp những thử nghiệm 
Thử nghiệm này là một bài tập tương tác. Hoàn thành cuộc thử nghiệm này, bạn cần: 
 Một máy vi tính chạy Microsoft Windows 2000, Microsoft Windows NT version 4.0, 
Microsoft Windows 98, hoặc Microsoft Windows 95. 
 Ít nhất có thể trình bày được 800 x 600 với 256 màu. 
 Để bắt đầu 
1. Lấy xuống 2000b.zip (2,664KB), bạn chỉ cần lấy hồ sơ này xuống một lần và sau đó 
xài chung cho những thử nghiệm sau này. 
2. Chọn 2000B_DCP.zip (1,034KB), rồi chọn OK. 
3. Trong phần Security Warning, chọn Yes. 
4. Sau khi unzip, bạn lấy hồ sơ 2000B_DCP.EXE bỏ vô chung trong folder 2000b. 
5. Chạy hồ sơ 2000B_DCP.EXE và làm theo sự hướng dẫn trong bài thử nghiệm. 
Thời gian ước lượng để hồn thành thử nghiệm này: 30 phút 
 Module 3 Review 
Review Questions 
1. Đơn vị căn bản của nhóm và sự an toàn trong Active Directory là gì? 
a. Organizational unit 
b. Site 
 40 
c. Global catalog 
d. Domain 
1. 2. Câu nào dưới đây diễn tả được sự giao tiếp giữa Windows 2000 domains? 
a. Interdomain trust relationships are defined by explicit one-way trust 
relationships between domain controllers. 
b. When a domain is joined to a Windows 2000 domain tree, a transitive trust 
relationship is automatically established between the new domain and its 
parent domain. 
c. The trust relationship between each domain and its parent domain must be 
established and managed individually. 
d. The parent domain has a two-way trust relationship with each child 
domain, but you must manually establish trust relationships between the child 
domains.