Active Directory

20
Jul

Q: ဘာေၾကာင့္ ငါတို ့ရုံးမွာ Server တည္ေဆာက္ဖို ့လုိအပ္တာလဲ၊ Active Directory လုိအပ္တာလဲ။

A: ရုံးေတြရဲ ့Computer ေတြ၊ အဖြဲ ့အစည္းေတြရဲ ့Computer ေတြမွာ သုံးေနတဲ့ Data ေတြ၊ Information ေတြ၊ User ေတြကို ထိန္းခ်ဳပ္ခ်င္တယ္ဆိုရင္ Active Directory Server တည္ေဆာက္သင့္ပါတယ္။ ရုံးရဲ ့Security လည္း ပိုျပီး ေကာင္းသြားပါတယ္။

Active Directory ကို ပုိျပီး နားလည္ေအာင္ ေအာက္မွာ ရွင္းျပထားပါတယ္။

“Active Directory ဆိုတာ Microsoft Windows Operating System အတြက္ Directory Service

တစ္ခုပဲျဖစ္တယ္။ Active Directory မွာ Database ႏွင့္ Service ဆိုၿပီးေတာ့ ႏွစ္မ်ိဳး႐ွိပါတယ္။ Active Directory

ဆိုတာက Network မွာ႐ွိေသာ Resource ေတြအတြက္ Information အခ်က္အလက္ေတြကို စုစည္ထားေသာ

Database တစ္ခုျဖစ္တယ္။ Network မွာ႐ွိေသာ Resource ေတြဆုိတာက Network မွာ႐ွိေသာ Computer တို႔၊ User

တို႔၊ Folder ေတြ၊ Printer ေတြ Share ေပးတာတုိ႔ု စသျဖင့္ကိုေခၚတာျဖစ္တယ္။ ေနာက္ၿပီးေတာ့ Active Directory ဆိုတာ

Service တစ္ခုလည္းျဖစ္တယ္။ အဲ့ဒီ Information အခ်က္အလက္ေတြကိုပဲ Network မွာ႐ွိေသာ User ေတြႏွင့္

Application ေတြကို အသံုးျပဳႏိုင္ဖုိ႔အတြက္ ျပဳလုပ္ေပးျခင္းကို Service လုိ႔ေခၚတာျဖစ္တယ္။ ဒီေတာ့ Active Directory

ဆိုတာက Network မွာ Database လုိ႔လည္းေခၚသလုိ Service လုိ႔လည္းေခၚႏိုင္တယ္။ Active Directory ဟာ

Enterprise-Level Directory Service တစ္ခုအတြက္ လုိအပ္ေသာ အေျခခံက်ေသာ Basic Feature ေတြကို

ပံ့ပိုးေပးပါတယ္။ ဘာေတြပံ့ပိုးေပးတာလဲဆိုေတာ့ Extensible Information Source အေရးပါေသာ

သတင္းအခ်က္္အလက္ေတြ၊ Naming Conventions For Directory Object ဆိုတဲ့ Network မွာ႐ွိေသာ Directory

Objects ေတြအတြက္ နာမည္ေတြသတ္မွတ္ေပးျခင္း၊ Policies ေတြသတ္မွတ္ျခင္း၊ ေနာက္ၿပီး Administering

လုပ္ရန္အတြက္ Tools ေတြသတ္မွတ္ေပးျခင္းတုို႔ပဲျဖစ္တယ္။ Network ကြန္ယက္တစ္ခုအတြင္းမွာ႐ွိေသာ Resources

ေတြကို User ေတြ၊ Application ကယူၿပီးေတာ့အသံုးျပဳမႈကို ထိန္းခ်ဳပ္ေပးဖို႔အတြက္ Administrator ကေနမွ Active

Directory ကို သတ္မွတ္ေပးရမွာျဖစ္တယ္။

Active Directory မွာ Basic Element အေျခခံက်ေသာ အခ်က္က Object ပဲျဖစ္တယ္။ ဒီေနရာမွာ Object ဆိုတာက

Network ကြန္ယက္မွာ႐ွိေသာ User တစ္ေယာက္လည္းျဖစ္ႏုိင္သလို၊ Computer တစ္လံုးလည္းျဖစ္ႏုိင္တယ္။ Printer

တစ္လံုးလည္းျဖစ္ႏုိင္တယ္။ Application ေတြ၊ File ေတြ၊ ဒါမမဟုတ္ Network မွာရွိေသာ တစ္ျခား Resources

ေတြလည္းျဖစ္ႏုိင္ပါတယ္။ ဒါေတြကို ၿခံဳၿပီးေတာ့ Object လုိ႔ေခၚတာျဖစ္တယ္။ ဒီ Active Directory Object ေတြဟာ

Attributes ေတြကုိ သတ္မွတ္ေပးတယ္။ Attributes ေတြဆုိတာက ၄င္း Objects ေတြနဲ႔အတူပါလာေသာ Properties

ပိုင္ဆုိင္မႈေတြျဖစ္တယ္။ ဥပမာေျပာရရင္-Network ကြန္ယက္မွာရွိေသာ တစ္ခ်ိဳ႕ User ေတြကဆုိရင္ သူတို႔ရဲ႕ Attributes

ေတြက ဘာေတြလဲဆိုေတာ့ First Name, Last Name, E-mail Address, ႏွင့္ Phone Number စသျဖင့္ျဖစ္လိမ့္မယ္။

တစ္ခ်ိဳ႕ User ေတြက်ေတာ့ ၄င္းတို႔ရဲ႕ Attributes ေတြက Mandatory Values ေတြျဖစ္ၾကတယ္။ တစ္ခ်ိဳ႕ေတြကေတာ့

ဘာမွကိုမသတ္မွတ္ၾကျပန္ဘူး။ ေနာက္ၿပီး Printer တစ္လံုးရဲ႕ Attributes ေတြဆိုတာက အဲ့ဒီ Printer ရွိေနေသာေနရာ၊

Printer ရဲ႕ Asset Number ၊ ေနာက္ Printer အမ်ိဳးအစား စသည္တို႔ျဖစ္ၾကတယ္။

Active Directory Object မွာ အဓိကက်ေသာ အမ်ိဳးအစားတစ္ခုကေတာ့ OU လုိ႔ေခၚတဲ့ Organization Unit

ပဲျဖစ္တယ္။ OU ဆိုတာဟာလည္း Object တစ္မ်ိဳးပါပဲ။ OU မွာက်ေတာ့ တစ္ျခား Objects ေတြရွိေသးတယ္။ အဲ့ဒီ OU

လို႔ေခၚတဲ့ Organization Unit မွာ User တို႔လို၊ Application တို႔လုိ Specific သတ္မွတ္ထားေသာ Object

တစ္ခုလည္းရွိႏုိင္သလို၊ ေနာက္ထပ္တစ္ျခား OU တစ္ခုလည္းရွိႏုိင္ပါတယ္။ အဲ့ဒီ OU မွာပဲ User Permission

ေတြကိုသတ္မွတ္ေပးႏုိင္တယ္။

Domain ေတြမွာ Organization Unit ေတြ႐ွိၾကတယ္။ အဲ့ဒီ OU ေတြဟာ Domain မွာ႐ွိေသာ Active Directory

အတြက္ အေျခခံက်ေသာ Basic Security လည္းျဖစ္သလို၊ Organizational Structure ပံုစံတစ္ခုလည္းျဖစ္တယ္။ Active

Directory မွာ႐ွိေသာ Object တိုင္းဟာ ဒီ Domain တစ္ခုႏွင့္ဆက္စပ္သက္ဆိုင္ေနရမယ္။ Domain ေတြဟာ သင့္ရဲ႕

Enterprise လုပ္ငန္းအတြက္ အၿမဲတမ္း Organizational Structure ဖြဲ႔စည္းပံုတစ္ခုျဖစ္ေနမွာျဖစ္သလို၊

သင့္ရဲ႕လုပ္ငန္းအတြက္ လံုၿခံဳေရးဆိုင္ရာ Security Boundary တစ္ခုအျဖစ္လည္း ေဆာင္ရြက္ေပးေနမွာျဖစ္တယ္။ ဒါေၾကာင့္

သင့္ရဲ႕ ကြန္ယက္မွာ႐ွိေနေသာ Active Directory မွာ႐ွိေသာ Object တုိင္းမွာ ဒီ Domain

တစ္ခုဆိုတာ႐ွိကို႐ွိရမွာျဖစ္တယ္။ ဥပမာေျပာရရင္ေတာ့ Domain တစ္ခုမွာ သတ္မွတ္ေပးထားေသာ၊ ခ်မွတ္ေပးထားေသာ

Privileges အခြင့္အေရးလုပ္ပိုင္ခြင့္ေတြဟာ ေနာက္တစ္ျခား Domain တစ္ခုေပၚမွာ

အလုိအေလ်ာက္သက္ေရာက္သြားတာမ်ိဳးမ႐ွိတတ္ပါဘူး။ Domain တစ္ခုထက္ပိုေသာ Domain

ေတြကိုစုေပါင္းလိုက္မယ္ဆိုရင္ Domain Tree လို႔ေခၚၿပီးေတာ့ အဲ့ဒီ Domain Tree ေတြတစ္ခုထက္ပိုသြားရင္ေတာ့

Domain Forests ဟုေခၚပါတယ္။
Discretionary Access Control List (DACLs) ႏွင့္ System Access Control Lists (SACLs) တိုမွာ Active

Directory Objects ေတြကို Protect ကာကြယ္ေပးထားပါတယ္။ ဘာကိုဆုိလုိတာလဲဆိုေတာ့ ဒီ DACLs ႏွင့္ SACLs

တို႔ဟာ Active Directory Object မွာ႐ွိေသာ Attributes ေတြကို ဘယ္ User ေတြ၊ ဘယ္ Application ေတြက Access

လုပ္ခြင့္၊ အသံုးျပဳခြင့္႐ွိတယ္ဆိုတာကို သတ္မွတ္ေပးတာျဖစ္တယ္။ အလားတူပဲ NTFS File System မွာအသံုုးျပဳေသာ Access Control List (ACLs) ကိုအသံုးျပဳခြင့္ကိုလည္းသတ္မွတ္ေပးတာျဖစ္တယ္။

Directory Objects ေတြကိုဆက္သြယ္ရာမွာ ၄င္းတို႔ရဲ႕ Permission ေတြကို Propagate လုပ္ရာမွာ DACLs ႏွင့္ SACLs

တို႔ကိုအသံုးျပဳႏုိင္ပါတယ္။ ေနာက္ၿပီးေတာ့ DACLs ႏွင့္ SACLs တို႔က Active Directory ကို User ေတြ၊ Group

ေတြကအသံုးျပဳႏိုင္ဖို႔ရန္ အသံုးျပဳခြင့္ေတြကိုလည္းခြင့္ျပဳခ်က္ေပးဖုိ႔ရန္ကို နည္းလမ္းေတြကိုလည္း သတ္မွတ္ေပးပါတယ္။

ဒီေတာ့ Administrator ေတြက Active Directory ကို User ေတြ၊ Group ေတြကအသံုုးျပဳႏိုင္ဖို႔အတြက္ DACLs ႏွင့္

SACLs တို႔ကခ်မွတ္ေပးေသာ နည္းလမ္းေတြအတုိင္းလုပ္ေဆာင္ေပးရပါတယ္။

Active Directory မွာ Rules ေတြ႐ွိတယ္။ အဲ့ဒီ Rules ေတြက သူ႕ရဲ႕ Directory ထဲမွာသိမ္းဆည္းထားေသာ Objects

ေတြကို ထိန္းခ်ဳပ္ေပးႏိုင္ဖို႔အတြက္ Rules ေတြကိုခ်မွတ္ထားတာျဖစ္တယ္။ ၄င္းခ်မွတ္ထားေသာ Rules ေတြကို Schema

လို႔ေခၚပါတယ္။

Network ကြန္ယက္အတြင္းမွာ႐ွိေသာ Domain တစ္ခုခ်င္းစီအတြက္ လိုအပ္ေသာ Information

သတင္းအခ်က္အလက္အေၾကာင္းအရာေတြကို ဒီ Active Directory မွာ Maintain ထိန္းသိမ္းထားတာျဖစ္တယ္။

ေျပာရမယ္ဆုိရင္ ကြန္္ယက္တစ္ခုမွာရွိေသာ Domain တစ္ခုခ်င္းစီအတြက္လုိအပ္ေသာ အခ်က္အလက္ေတြကို Active

Directory မွာရွိေနမွာျဖစ္တယ္။ အဲ့ဒီ Active Directory Database အခ်က္အလက္ေတြကို အဲ့ဒီ ကြန္ယက္မွာရွိေသာ

Domain Controller ဆိုတဲ့၊ Domain Controller လုိ႔သတ္မွတ္ထားေသာ ကြန္ပ်ဴတာမွာသိမ္းဆည္းထားတာျဖစ္တယ္။ ဒီ

သတင္းအခ်က္အလက္ Information ေတြဟာ Domain Controller ေတြရဲ႕ၾကားထဲမွာ သူ႕အလုိအေလ်ာက္

Automatically အရ Replicate ျဖစ္ေနမွာျဖစ္တယ္။ Directory ထဲမွာရွိေသာ Every Portion

အစိတ္အပိုင္းမွန္သမွ်ဟာလည္း အၿမဲတမ္း Up-to-date ျဖစ္ေနမွာျဖစ္တယ္။ ပံုမွန္အားျဖင့္ေတာ့ Active Directory ကို

Replicate လုပ္တဲ့အခါမွာ ၅ မိနစ္တစ္ႀကိမ္ေလာက္ကို အၿမဲတမ္း Update ျဖစ္တယ္။ အဲ့ဒီ Active Directory

Information ေတြကို Automatic အလုိအေလ်ာက္ Replicaton လုုပ္တဲ့အခါမွာ သတ္မွတ္ထားေသာ Domain တစ္ခုရဲ႕

Security Boundary အတြင္းမွာပဲ Replication လုပ္တာျဖစ္တယ္။ Domain တစ္ခုအတြင္းမွာရွိေသာ Domain Controller

ေတြဟာ Information အခ်က္အလက္ေတြကို Automatic Replicate လုပ္တဲ့အခါမွာ တစ္ျခား Domain ေတြႏွင့္

Replicate မလုပ္ပါဘူး။”

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>