Monday, November 5, 2018

Active Directory ဆိုတာ



Active Directory ဆိုတာ Microsoft Windows 2000 Network Operating System အတြက္ Directory Serviceတစ္ခုပဲျဖစ္တယ္။ Active Directory မွာ Database ႏွင့္ Service ဆိုၿပီးေတာ့ ႏွစ္မ်ိဳး႐ွိပါတယ္။ Active Directoryဆိုတာက Network မွာ႐ွိေသာ Resource ေတြအတြက္ Information အခ်က္အလက္ေတြကို စုစည္ထားေသာDatabase တစ္ခုျဖစ္တယ္။ Network မွာ႐ွိေသာ Resource ေတြဆုိတာက Network မွာ႐ွိေသာ Computer တို႔၊ Userတို႔၊ Folder ေတြ၊ Printer ေတြShare ေပးတာတုိ႔ု စသျဖင့္ကိုေခၚတာျဖစ္တယ္။ ေနာက္ၿပီးေတာ့ Active Directory ဆိုတာService တစ္ခုလည္းျဖစ္တယ္။ အဲ့ဒီ Information အခ်က္အလက္ေတြကိုပဲ Network မွာ႐ွိေသာ User ေတြႏွင့္Application ေတြကို အသံုးျပဳႏိုင္ဖုိ႔အတြက္ ျပဳလုပ္ေပးျခင္းကို Service လုိ႔ေခၚတာျဖစ္တယ္။ ဒီေတာ့ Active Directory

ဆိုတာက Network မွာ Database လုိ႔လည္းေခၚသလုိ Service လုိ႔လည္းေခၚႏိုင္တယ္။ Active Directory ဟာEnterprise-Level Directory Service တစ္ခုအတြက္ လုိအပ္ေသာ အေျခခံက်ေသာ Basic Feature ေတြကိုပံ့ပိုးေပးပါတယ္။ ဘာေတြပံ့ပိုးေပးတာလဲဆိုေတာ့ Extensible Information Source အေရးပါေသာသတင္းအခ်က္္အလက္ေတြ၊ Naming Conventions For Directory Object ဆိုတဲ့ Network မွာ႐ွိေသာ DirectoryObjects ေတြအတြက္ နာမည္ေတြသတ္မွတ္ေပးျခင္း၊ Policies ေတြသတ္မွတ္ျခင္း၊ ေနာက္ၿပီး Administeringလုပ္ရန္အတြက္ Tools ေတြသတ္မွတ္ေပးျခင္းတုို႔ပဲျဖစ္တယ္။  Network ကြန္ယက္တစ္ခုအတြင္းမွာ႐ွိေသာ Resourcesေတြကို User ေတြ၊ Application ကယူၿပီးေတာ့အသံုးျပဳမႈကို ထိန္းခ်ဳပ္ေပးဖို႔အတြက္ Administrator ကေနမွ ActiveDirectory ကို သတ္မွတ္ေပးရမွာျဖစ္တယ္။





Active Directory မွာ Basic Element အေျခခံက်ေသာ အခ်က္က Object ပဲျဖစ္တယ္။ ဒီေနရာမွာ Object ဆိုတာကNetwork ကြန္ယက္မွာ႐ွိေသာ User တစ္ေယာက္လည္းျဖစ္ႏုိင္သလို၊ Computer တစ္လံုးလည္းျဖစ္ႏုိင္တယ္။ Printerတစ္လံုးလည္းျဖစ္ႏုိင္တယ္။ Application ေတြ၊ File ေတြ၊ ဒါမမဟုတ္ Network မွာရွိေသာ တစ္ျခား Resources ေတြလည္းျဖစ္ႏုိင္ပါတယ္။ ဒါေတြကို ၿခံဳၿပီးေတာ့ Object လုိ႔ေခၚတာျဖစ္တယ္။ ဒီ Active Directory Object ေတြဟာ Attributes ေတြကုိ သတ္မွတ္ေပးတယ္။ Attributes ေတြဆုိတာက ၄င္း Objects ေတြနဲ႔အတူပါလာေသာ Propertiesပိုင္ဆုိင္မႈေတြျဖစ္တယ္။ ဥပမာေျပာရရင္-Network ကြန္ယက္မွာရွိေသာ တစ္ခ်ိဳ႕ User ေတြကဆုိရင္ သူတို႔ရဲ႕ Attributesေတြက ဘာေတြလဲဆိုေတာ့ First Name, Last Name, E-mail Address, ႏွင့္ Phone Number စသျဖင့္ျဖစ္လိမ့္မယ္။

Active Directory Object မွာ အဓိကက်ေသာ အမ်ိဳးအစားတစ္ခုကေတာ့ OU လုိ႔ေခၚတဲ့ Organization Unitပဲျဖစ္တယ္။ OU ဆိုတာဟာလည္း Object တစ္မ်ိဳးပါပဲ။ OU မွာက်ေတာ့ တစ္ျခား Objects ေတြရွိေသးတယ္။ အဲ့ဒီ OUလို႔ေခၚတဲ့ Organization Unit မွာ User တို႔လို၊ Application တို႔လုိ Specific သတ္မွတ္ထားေသာ Object တစ္ခုလည္းရွိႏုိင္သလို၊ ေနာက္ထပ္တစ္ျခား OU တစ္ခုလည္းရွိႏုိင္ပါတယ္။  အဲ့ဒီ OU မွာပဲ User Permission ေတြကိုသတ္မွတ္ေပးႏုိင္တယ္။



Domain ေတြမွာ Organization Unit ေတြ႐ွိၾကတယ္။ အဲ့ဒီ OU ေတြဟာ Domain မွာ႐ွိေသာ Active Directory အတြက္ အေျခခံက်ေသာ Basic Security လည္းျဖစ္သလို၊ Organizational Structure ပံုစံတစ္ခုလည္းျဖစ္တယ္။ Active Directory မွာ႐ွိေသာ Object တိုင္းဟာ ဒီ Domain တစ္ခုႏွင့္ဆက္စပ္သက္ဆိုင္ေနရမယ္။ Domain ေတြဟာ သင့္ရဲ႕ Enterprise လုပ္ငန္းအတြက္  အၿမဲတမ္း Organizational Structure ဖြဲ႔စည္းပံုတစ္ခုျဖစ္ေနမွာျဖစ္သလို၊
သင့္ရဲ႕လုပ္ငန္းအတြက္ လံုၿခံဳေရးဆိုင္ရာ Security Boundary တစ္ခုအျဖစ္လည္း ေဆာင္ရြက္ေပးေနမွာျဖစ္တယ္။ 

ဒါေၾကာင့္ သင့္ရဲ႕ ကြန္ယက္မွာ႐ွိေနေသာ Active Directory မွာ႐ွိေသာ Object တုိင္းမွာ ဒီ Domainတစ္ခုဆိုတာ႐ွိကို႐ွိရမွာျဖစ္တယ္။ ဥပမာေျပာရရင္ေတာ့ Domain တစ္ခုမွာ သတ္မွတ္ေပးထားေသာ၊ 
ခ်မွတ္ေပးထားေသာ Privileges အခြင့္အေရးလုပ္ပိုင္ခြင့္ေတြဟာ ေနာက္တစ္ျခား Domain တစ္ခုေပၚမွာအလုိအေလ်ာက္သက္ေရာက္သြားတာမ်ိဳးမ႐ွိတတ္ပါဘူး။ Domain တစ္ခုထက္ပိုေသာ Domain ေတြကိုစုေပါင္းလိုက္မယ္ဆိုရင္ Domain Tree လို႔ေခၚၿပီးေတာ့ အဲ့ဒီ Domain Tree ေတြတစ္ခုထက္ပိုသြားရင္ေတာ့ Domain Forests ဟုေခၚပါတယ္။
Discretionary Access Control List (DACLs) ႏွင့္ System Access Control Lists (SACLs) တိုမွာ Active Directory Objects ေတြကို Protect ကာကြယ္ေပးထားပါတယ္။ ဘာကိုဆုိလုိတာလဲဆိုေတာ့ ဒီ DACLs ႏွင့္ SACLs တို႔ဟာ Active Directory Object မွာ႐ွိေသာ Attributes ေတြကို ဘယ္ User ေတြ၊ ဘယ္ Application ေတြက Access လုပ္ခြင့္၊အသံုးျပဳခြင့္႐ွိတယ္ဆိုတာကိုသတ္မွတ္ေပးတာျဖစ္တယ္။ အလားတူပဲ Windows NT 4.0 မွာအသံုးျပဳေသာ NTFS File System မွာအသံုုးျပဳေသာ Access Control List (ACLs) ကိုအသံုးျပဳခြင့္ကိုလည္းသတ္မွတ္ေပးတာျဖစ္တယ္။

Directory Objects ေတြကိုဆက္သြယ္ရာမွာ ၄င္းတို႔ရဲ႕ Permission ေတြကို Propagate လုပ္ရာမွာ DACLs ႏွင့္ SACLs တို႔ကိုအသံုးျပဳႏုိင္ပါတယ္။ ေနာက္ၿပီးေတာ့ DACLs ႏွင့္ SACLs တို႔က Active Directory ကို User ေတြ၊ Group ေတြကအသံုးျပဳႏိုင္ဖို႔ရန္အသံုးျပဳခြင့္ေတြကိုလည္းခြင့္ျပဳခ်က္ေပးဖုိ႔ရန္ကို နည္းလမ္းေတြကိုလည္း သတ္မွတ္ေပးပါတယ္။

ဒီေတာ့ Administrator ေတြက Active Directory ကို User ေတြ၊ Group ေတြကအသံုုးျပဳႏိုင္ဖို႔အတြက္ DACLs ႏွင့္ SACLs တို႔ကခ်မွတ္ေပးေသာ နည္းလမ္းေတြအတုိင္းလုပ္ေဆာင္ေပးရပါတယ္။

Active Directory မွာ Rules ေတြ႐ွိတယ္။ အဲ့ဒီ Rules ေတြက သူ႕ရဲ႕ Directory  ထဲမွာသိမ္းဆည္းထားေသာ 

Objects ေတြကို ထိန္းခ်ဳပ္ေပးႏိုင္ဖို႔အတြက္ Rules ေတြကိုခ်မွတ္ထားတာျဖစ္တယ္။ ၄င္းခ်မွတ္ထားေသာ Rules 

ေတြကို Schema လို႔ေခၚပါတယ္။ 


Network ကြန္ယက္အတြင္းမွာ႐ွိေသာ Domain တစ္ခုခ်င္းစီအတြက္ လိုအပ္ေသာ Information သတင္းအခ်က္အလက္အေၾကာင္းအရာေတြကို ဒီ Active Directory မွာ Maintain ထိန္းသိမ္းထားတာျဖစ္တယ္။

ေျပာရမယ္ဆုိရင္ ကြန္္ယက္တစ္ခုမွာရွိေသာ Domain တစ္ခုခ်င္းစီအတြက္လုိအပ္ေသာ အခ်က္အလက္ေတြကို Active Directory မွာရွိေနမွာျဖစ္တယ္။ အဲ့ဒီ Active Directory Database အခ်က္အလက္ေတြကို အဲ့ဒီ ကြန္ယက္မွာရွိေသာ Domain Controller ဆိုတဲ့၊ Domain Controller လုိ႔သတ္မွတ္ထားေသာ ကြန္ပ်ဴတာမွာသိမ္းဆည္းထားတာျဖစ္တယ္။ ဒီသတင္းအခ်က္အလက္ Information ေတြဟာ Domain Controller ေတြရဲ႕ၾကားထဲမွာ သူ႕အလုိအေလ်ာက္ Automatically အရ Replicate ျဖစ္ေနမွာျဖစ္တယ္။ Directory ထဲမွာရွိေသာ Every Portion အစိတ္အပိုင္းမွန္သမွ်ဟာလည္း အၿမဲတမ္း Up-to-date ျဖစ္ေနမွာျဖစ္တယ္။ ပံုမွန္အားျဖင့္ေတာ့ Active Directory ကို Replicate လုပ္တဲ့အခါမွာ ၅ မိနစ္တစ္ႀကိမ္ေလာက္ကို အၿမဲတမ္း Update ျဖစ္တယ္။ အဲ့ဒီ Active Directory Information ေတြကို Automatic အလုိအေလ်ာက္ Replicaton  လုုပ္တဲ့အခါမွာ သတ္မွတ္ထားေသာ Domain တစ္ခုရဲ႕ Security Boundary အတြင္းမွာပဲ Replication လုပ္တာျဖစ္တယ္။ Domain တစ္ခုအတြင္းမွာရွိေသာ Domain Controller
ေတြဟာ Information အခ်က္အလက္ေတြကို Automatic Replicate လုပ္တဲ့အခါမွာ တစ္ျခား Domain ေတြႏွင့္ Replicate မလုပ္ပါဘူး။





No comments:

Post a Comment