รูปแบบการบริหารระบบของ Active Directory

             ใน Windows Server 2003 นั้น ได้อำนวยความสะดวกให้กับผู้ดูแลระบบ ด้วยการติดตั้งเครื่องมือจำนวนมาก เพื่อให้สามารถใช้ควบคุมและจัดการกับข้อมูลได้จากศูนย์กลาง เพราะข้อมูลทั้งหมดที่ทำจะถูกเก็บลงในฐานข้อมูลเดียวกัน และในทางกลับกันก็อาจจะมองว่า เราสามารถแยกการควบคุมและการบริการออกเป็นหลายๆ ส่วนก็ได้ เพื่อความสะดวกในการทำงานกับฐานข้อมูลที่มีขนาดใหญ่

                การจัดการกับ Active Directory     

Active Directory มีเครื่องมือหลายตัวเพื่อใช้ในการจัดการกับทรัพยากรจากศูนย์กลาง ซึ่งการที่ Active Directory สามารถทำงานในลักษณะที่ว่านี้ได้ เพราะมีเหตุผลสนับสนุนดังนี้

q  Active Directory เก็บข้อมูลต่างๆ ไว้ในออบเจค ซึ่งออบเจคเหล่านั้นก็จะมีข้อมูลที่เกี่ยวกับทรัพยากรที่มีในระบบ ดังนั้นผู้ดูแลระบบเพียงคนเดียวก็สามารถดูแลและควบคุมทรัพยากรที่มีในระบบได้ผ่านทางเครื่องมือของ Active Directory เอง

q Active Directory สามารถค้นหาข้อมูลได้โดยการใช้งานผ่านโปรโตคอล LDAP ดังนั้นมันจึงเป็นเรื่องที่ง่ายสำหรับผู้ดูแลระบบที่จะเลือกดูและค้นหาข้อมูลของ Active Directory เพราะเครื่องมือต่างๆ ที่มีให้รองรับการทำงานบนโปรโตคอล LDAP

q Active Directory อนุญาตให้เราเก็บรวบรัมออบเจคต่างๆ ที่มีลักษณะของการกำหนดเงื่อนไขความปลอดภัยคล้ายกัน หรือต้องการรับบริการจาก Active Directory เหมือนกัน มาเก็บรวมเข้าด้วยกันภายใจ OU ซึ่งการเก็บรวบรวมออบเจคต่างๆ ไว้ใน OU นั้น นอกจากจะช่วยให้ข้อมูลต่างๆ ถูกจัดเก็บได้อย่างเป็นระเบียบแล้ว เรายังสามารถใช้เงื่อนไขเกี่ยวกับการทำงานของ Group Policy และการทำ Delegate Control เข้ามาช่วยในการทำงานได้อีกด้วย

q  สามารถกำหนดเงื่อนไขการทำงานด้วย Group Policy โดยการทำงานในส่วนของ Group Policy นั้น สามารถกำหนดได้ตั้งแต่ระดับ ของ Site , โดเมน และ OU โดย Group Policy สามารถควบคุม และกำหนดสภาพแวดล้อมการทำงาน ได้ทั้งสมาชิกที่อยู่ใน OU ทั้งยูสเซอร์แอคเคานท์และคอมพิวเตอร์แอคเคานท์

q Active Directory ช่วยให้การมอบหมายงานในส่วนของผู้ดูแลระบบไปยังผู้ใช้งานทั่วไปได้ โดยไม่จำเป็นต้องกำหนดให้ผู้ใช้คนนั้นๆ เป็นสมาชิกในกลุ่มของ Admins อีกต่อไป ซึ่งลักษณะของการทำงานดังกล่าว คล้ายคลึงกับการกำหนดสิทธิ์ให้กับผู้ใช้งานสามารถที่จะอ่านหรือเขียนข้อมูลลงบนไฟล์ได้ ซึ่งเราเรียกการทำงานในส่วนนี้ว่าการทำ Delegate Control

ลักษณะของการทำ Delegate Control ช่วยให้เราสามารถกำหนดวิธีการทำงานในลักษณะต่างๆ ดังนี้

q สามารถกำหนด Permission แบบ Full Control เพื่อให้ผู้ดูแลระบบในแต่ละส่วน สามารถจัดการกับระบบที่ตนเองดูแลได้อย่างเต็มที่ และไม่อนุญาตให้ผู้ดูแลระบบในส่วนงานอื่น เข้ามายุ่งเกี่ยวด้วย

q  สามารถกำหนดสิทธิในการแก้ไขได้ถึงระดับแอตทริบิวต์ของออบเจค ภายใจ OU ที่ดูแลนั้นๆ เช่น สามารถเปลี่ยน ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ และรีเซ็ตรหัสผ่านของผู้ใช้ทุกคนใน OU นั้นๆ

q สามารถกำหนดสิทธิตามลักษณะงาน เช่นสามารถรีเซ็ตรหัสผ่านให้กับผู้ใช้ทุกคนในโดเมนไม่ว่าจะอยู่ใน OU ใดก็ตาม

ลักษณะของชื่อแบบ Distinguished และ Relative Distinguished Names

         การค้นหาและการแก้ไขฐานข้อมูลของ Active Directory นั้น สามารถทำได้โดยใช้ โปรโตคอล LDAP (Lightweight Directory Access Protocol) เป็นโปรโตคอลหลักในการทำงาน โดยโปรโตคอล LDAP นั้นจัดเป็นซับเซ็ตของโปรโตคอล x.500 ซึ่งจัดได้ว่าเป็นโปรโตคอลมาตรฐาน ในการทำ Directory Services โดยโปรโตคอล LDAP นั้นใช้ข้อมูลจากโครงสร้างของชื่อโดเมนเป็นช่องทางในการค้นหาออบเจค รูปแบบของชื่อที่ LDAP ใช้ในการค้นหาสถานที่เก็บออบเจคนั้น มีลักษณะการเขียนอยู่ในโครงสร้างแบบ Logical ซึ่งเราเรียกว่า distinguish name โดยในที่นี้ distinguish name ก็คือชื่อของโดเมนที่ใช้เก็บออบเจคต่างนั่นเอง ซึ่งโดยทั่วไปชื่อที่เป็นแบบ distinguish name จะมีเพียงหนึ่งเดียวเท่านั้นภายใจฟอเรสต์

                ส่วน Relative Distinguish Name ก็คือ ชื่อของออบเจคที่เก็บอยู่ภายใจคอนเทนเนอร์ ซึ่งจะต้องไม่ซ้ำกับออบเจคอื่นๆ ที่มีในคอนเทนเนอร์นั้นๆ ยกตัวอย่างเช่น ผู้ใช้ชื่อ Somkid Saetang ซึ่งเป็นสมาชิกใน OU ชื่อ Trainers ซึ่งเก็บในโดเมนชื่อ ABC.COM เมื่อนำมาเขียนในรูปของโปรโตคอล LDAP ก็จะได้เป็น

                CN=Somkid Saetang,OU=Trainers,DC=ABC,DC=COM

                CN หรือ Common Name หมายถึง ชื่อของออบเจคที่เก็บอยู่ในคอนเทนเนอร์

                OU หรือ Organizational Unit หมายถึง คอนเทนเนอร์ที่ใช้เก็บออบเจคต่างๆ ซึ่งเราสามารถสร้างเป็น OU ย่อยๆ ภายใจเพื่อจัดระเบียบการเก็บออบเจคต่างๆ ให้เป็นระเบียบได้อีกด้วย โดยไม่มีข้อจำกัดเกี่ยวกับลำดับชั้นที่จะสร้าง

                DC หรือ Domain Components หมายถึง ตำแหน่งของโดเมนที่อ้างอิงใน DNS Server เช่น .COM หรือ .PERSON ซึ่งตามตัวอย่างใช้เป็น ABC.COM เพราะต้องการให้สอดคล้องกับชื่อที่ใช้ในระบบอินเตอร์เน็ตแต่หากไม่ต้องการก็อาจใช้เป็น ABC.PERSON ก็ได้ ฉะนั้นจากรูปแบบของข้อมูลตัวอย่าง ABC.COM จัดเป็นชื่อแบบ distinguish name ที่ใช้อ้างอิงตามลักษณะของ Domain Name System กับ DNS Server

                ส่วน Trainers จัดเป็นชื่อแบบ relative distinguish name ซึ่งเราใช้สำหรับอ้างอิงกับโปรโตคอล LDAP เพื่อใช้ระบุตำแหน่งที่เก็บออบเจคคือ

                OU=Trainers,DC=ABC,DC=COM