Active Directory
Active directory မွာ ပါဝင္တဲ႔အစိတ္အပိုင္းေတြ ကေတာ႔
Domains
Trees
Forests
Organizational units (OUs)
တို႔ျဖစ္ပါတယ္။
Domains
ဒိုမိန္းဆိုတာ နက္ဝက္တည္ေဆာက္ျခင္းတစ္ခုလံုးရဲ႔အဓိကအက်ဆံုးအပိုင္းလို႔ေျပာလို႔ရပါတယ္။
ဒို မိန္း ဟာ နက္ဝက္အတြင္းမွာရွိတဲ႔ ကြန္ပ်ဴတာ မ်ားကိုသတင္းအခ်က္အလက္မ်ားထိန္းခ်ဳပ္ျခင္း
နက္ဝက္တစ္ခုလံုးရဲ႔လံုျခံဳေရး ကို စီမံခန္႔ခြဲျခင္း စတာေတြကိုျပဳလုပ္ေပးတဲ႔အဓိကအက်ုဆံုးအစိတ္အပိုင္းျဖစ္
ပါတယ္။ဝင္းဒိုး NT မွာတုန္းကဆိုရင္ေတာ႔ ဒိုမိန္းဆိုတာ နက္ဝက္တစ္ခုထဲအတြက္ျဖစ္ပါတယ္။
ေနာက္ပိုင္းဝင္းဒိုးေတြမွေတာ႔ ဒိုမိန္းဟာ trust connection ဆိုတဲ႔ ျပင္ပ ဒိုမိန္းတစ္ခုနဲ႔ခ်ိတ္ဆက္အသံုးျပဳလို႔ရ
တဲ႔နည္းပညာေတြကို ဝင္းဒိုး 2000 က စလို႔ထည္႔သြင္းလာခဲ႔ပါတယ္။
ဝင္ဒိုး 2000 က စလို႔ Active Directory ဟာ ေျမာက္မ်ားစြာေသာကြန္ပ်ဴတာမ်ားကို ထိန္းခ်ဳပ္ထားႏိုင္ခဲ႔ပါျပီ။
ဝင္းဒိုးNT မွာတုန္းကေတာ႔ အမ်ားဆံုး 40,000 ေလာက္သာ လက္ခံခဲ႔ပါတယ္။
Trees
Trees ဆိုတာလူတိုင္းသိပါတယ္.. သစ္ပင္ပါ.. သစ္ပင္ တစ္ပင္ မွာ အကိုင္း အခက္ အရြက္အလက္ေပါင္းမ်ား
စြာ ပါရွိပါတယ္။ ဒီလိုပါပဲ ကြန္ပ်ဴတာ အသံုးအႏွုန္းမွာေတာ႔ သစ္ပင္တစ္ပင္ရဲ႔ပံုစံအတုိင္းမ်ားစြာေသာနက္ဝက္
ေတြနဲ႔တည္ေဆာက္ထားတာကို Trees လို႔ေခၚပါတယ္။သစ္ရြက္တစ္ရြက္ ကို ကြန္ပ်ဴတာတစ္လံုး၊ ဒိုမိန္း တစ္ခု
ကို အကိုင္း တစ္ခုအေနနဲ႔သတ္မွတ္မယ္ဆိုရင္ ဒိုမိန္းေတြအားလံုးကိုစုေပါင္းထားရင္ သစ္ပင္တစ္ပင္ရဲ႔ပံုစံမ်ိဳးနဲ႔
သြားတူေနတဲ႔အတြက္ ဒိုမိန္း အမ်ားအျပားခ်ိတ္ဆက္ထားရင္ ေတာ႔ ကၽြန္ေတာ္တို႔က Trees လို႔ေခၚပါတယ္။
Trees တစ္ခုရဲ ႔ပံုစံကေတာ႔ Parent Domain တစ္ခု ရယ္ Child Domains ,grandchild domain ေတြရယ္.. ပါရွိပါတယ္။
ပံုစံကေတာ႔ ဥပမာ ။ ။ MTF.com က parent domain ပဲထားေတာ႔ child domains ကေတာ႔ parent doamin ကေနဆင္႔ပြား
သြားတဲ႔ပံုစံနဲ႔ ရွိရမွာျဖစ္ပါတယ္။ ဥပမာ။ ။ networking.MTF.com, Electrical.MTF.com,OS.MTF.com စတာေတြကို child domains လို႔သတ္မွတ္ပါတယ္။
ျပီးေတာ႔ child domains ျပီးရင္Grandchild Domains ဆိုတာ လဲ ရွိပါေသးတယ္ ဘယ္လိုမ်ိဳးလဲ ဆိုေတာ႔
ဥပမာ။ ။ windows.os.mtf.com,linux.os.com,Android.os.com စတာေတြကို grandchild domains လို႔ေခၚပါတယ္။
Forests
Forest ဆိုတာက ကလဲ အေပၚမွာကၽြန္ေတာ္ ဥပမာေပးခဲ႔သလိုပဲ သစ္ေတာအုပ္ တစ္ခုလို႔သေဘာသက္ေရာက္
တဲ႔အတိုင္း Domain Trees ေတြ ကိုစုေပါင္းထားရင္ Forest ဆိုျပီးေခၚပါတယ္။ Forest မွာ က Trees နဲ႔မတူ
တာကေတာ႔ Namespace ေတြနဲ႔မဆက္သြယ္ထားျခင္း ျဖစ္ပါတယ္။ဥမာေျပာရရင္ေတာ႔ MTF.org နဲ႔ MEF.org
ခ်ိတ္ဆက္လိုက္မယ္ဆိုရင္ ဒါကို Forest လို႔ေခၚႏိုင္ပါတယ္။ ဒီလိုမ်ိဳး ဒိုမိန္းေတြခ်ိတ္ဆက္ရင္ေတာ႔ Trust ခ်ိတ္
တယ္လို႔ကြန္ပ်ဴတာအသံုးအႏွုန္းနဲ႔သံုးပါတယ္။ဒီလိုခ်ိတ္ဆက္ျခင္းမွာtwo-way transitive trust relationship
ဆိုတဲ႔ လုပ္ေဆာင္ခ်က္ဟာ သက္ေရာက္ပါတယ္။
Two- way Transitive Trust Relationship
ဒါကေတာ႔ ဝင္ဒိုးဆာဗာ 2008 မွာ ပါတဲ႔လုပ္ေဆာင္ခ်က္တစ္ခုပါ။
ကြန္ပ်ဴတာAdmin တစ္ေယာက္က ဒိုမိန္း တစ္ခု ကို Trust ခ်ိတ္ မယ္ဆုိရင္ အဲဒီ Trust ခ်ိတ္လိုက္တဲ႔ဒိုမိန္းက
တစ္ျခား လက္ခံထားတဲ႔ တစ္ျခား ဒိုမိန္း တစ္ခု နဲ႔ပါ သူ႔အလိုလို Trust ခ်ိတ္သြား မယ္လို႔ဆိုလိုျခင္းျဖစ္ပါတယ္။
ကၽြန္ေတာ္ ေရးတာ နားရွဳပ္သြားမယ္ထင္တယ္။ ဥပမာ ။ ။ MTF.org နဲ႔ MEF.org တို႔ ခ်ိတ္ဆက္မယ္ဆုိရင္
MEF.org က တစ္ျခား ဒိုမိန္း တစ္ခု ဥပမာ ။ ။ MF.com ကို ခ်ိတ္ ဆက္ထားတယ္ ဆိုရင္ MTF.org က MF.com
နဲ႔ အလိုလို Trust ခ်ိတ္ဆက္ထားျခင္းကို Two-way Transitive Trust Relationship လို႔ေခၚပါတယ္။Administrator
တစ္ေယာက္က Active Directory structure တစ္ခုကို တည္ေဆာက္တဲ႔ အခါ
သူပထမဆံုးတည္ေဆာက္တဲ႔ ဒိုမိန္း ဟာ Forest Root Domain ျဖစ္ပါတယ္။
Organizational Units (OUs)
Organization Units ဆိုတာကေတာ႔ ဒိုမိန္း ထဲကတည္ေဆာက္ထားတဲ႔ အုပ္စု အခြဲေလးေတြျဖစ္ပါတယ္။
OUေအာက္မွာ user ေတြကို ထားျပီး manage လုပ္ပါတယ္။ OU ေတြကိုဘာေၾကာင္႔ခြဲလဲ
ဥပမာ ။ ။ company တစ္ခုမွာ ဌာန အသီးသီမွာဝန္ထမ္းေတြ အမ်ားအျပားအလုပ္လုပ္ၾကပါတယ္။
ဒါေတြကို manage လုပ္ဖို႔အတြက္ OU တစ္ခုစီ တည္ေဆာက္ၾကပါတယ္။ ဥပမာ manager, finance , marketing
စသည္ျဖင္႔ ခြဲထားျပီး အဲဒီေအာက္မွာ ဝန္ထမ္းေတြအတြက္ user အေကာင္႔ေတြထားျပီး ေတာ႔ဘယ္သူကေတာ႔ ဘယ္လို
permission မ်ိဳးရသင္႔တယ္ဆိုတာ ကို စီမံခန္႔ခြဲျခင္းျဖစ္ပါတယ္။ေအာက္က ပံုစံက ေတာ႔ OU တည္ေဆာက္ပံုဥပမာပါ။
Admin တစ္ေယာက္ဟာ OUs နဲ႔ sub OUs ေတြတည္ေဆာက္ျပီး OUs ေတြရဲ႔ ေဒတာေတြ ကို Server
စက္ထဲမွာ Folder , sub folder, sub-subfolder ေတြကို တည္ေဆာက္ျပီး Data သိမ္းဆည္းမွဳျပဳလုပ္ရပါတယ္။
အဲသည္ အတြက္ ဌာနတစ္ခုခ်င္းစီရဲ႔အုပ္ခ်ဳပ္သူေတြကို permission ေတြေပး ျပီးေတာ႔ တစ္ဦးခ်င္းစီရဲ႔အေကာင္႔
အသစ္တည္ေဆာက္ႏိုင္မွဳ, အုပ္စု အသစ္တည္ေဆာက္မွဳ, ေဒတာ စီမံခန္႔ခြဲမွဳ, printer sharing ေတြအတြက္ ကုိယ္စား
လွယ္လႊဲျခင္းမ်ားျပဳလုပ္ေပးရပါတယ္။Admin တစ္ေယာက္ဟာ ကြန္ပ်ဴတာတစ္ခုခ်င္းစီ , OU တစ္ခု
ခ်င္းစီကိုထိန္းခ်ဳပ္ႏိုင္ဖို႔အတြက္ Group Policy ကိုသံုးျပီ ထိန္းခ်ဳပ္ႏိုင္ပါတယ္.။
Active Directory ဆိုတာ
Active Directory ဆိုတာ Microsoft Windows 2000 Network Operating System အတြက္ Directory Serviceတစ္ခုပဲျဖစ္တယ္။ Active Directory မွာ Database ႏွင့္ Service ဆိုၿပီးေတာ့ ႏွစ္မ်ိဳး႐ွိပါတယ္။ Active Directoryဆိုတာက Network မွာ႐ွိေသာ Resource ေတြအတြက္ Information အခ်က္အလက္ေတြကို စုစည္ထားေသာDatabase တစ္ခုျဖစ္တယ္။ Network မွာ႐ွိေသာ Resource ေတြဆုိတာက Network မွာ႐ွိေသာ Computer တို႔၊ Userတို႔၊ Folder ေတြ၊ Printer ေတြ Share ေပးတာတုိ႔ု စသျဖင့္ကိုေခၚတာျဖစ္တယ္။ ေနာက္ၿပီးေတာ့ Active Directory ဆိုတာService တစ္ခုလည္းျဖစ္တယ္။ အဲ့ဒီ Information အခ်က္အလက္ေတြကိုပဲ Network မွာ႐ွိေသာ User ေတြႏွင့္Application ေတြကို အသံုးျပဳႏိုင္ဖုိ႔အတြက္ ျပဳလုပ္ေပးျခင္းကို Service လုိ႔ေခၚတာျဖစ္တယ္။ ဒီေတာ့ Active Directory ဆိုတာက Network မွာ Database လုိ႔လည္းေခၚသလုိ Service လုိ႔လည္းေခၚႏိုင္တယ္။ Active Directory ဟာ Enterprise-Level Directory Service တစ္ခုအတြက္ လုိအပ္ေသာ အေျခခံက်ေသာ Basic Feature ေတြကိုပံ့ပိုးေပးပါတယ္။ ဘာေတြပံ့ပိုးေပးတာလဲဆိုေတာ့ Extensible Information Source အေရးပါေသာသတင္းအခ်က္္အလက္ေတြ၊ Naming Conventions For Directory Object ဆိုတဲ့ Network မွာ႐ွိေသာ DirectoryObjects ေတြအတြက္ နာမည္ေတြသတ္မွတ္ေပးျခင္း၊ Policies ေတြသတ္မွတ္ျခင္း၊ ေနာက္ၿပီး Administeringလုပ္ရန္အတြက္ Tools ေတြသတ္မွတ္ေပးျခင္းတုို႔ပဲျဖစ္တယ္။ Network ကြန္ယက္တစ္ခုအတြင္းမွာ႐ွိေသာ Resourcesေတြကို User ေတြ၊ Application ကယူၿပီးေတာ့အသံုးျပဳမႈကို ထိန္းခ်ဳပ္ေပးဖို႔အတြက္ Administrator ကေနမွ ActiveDirectory ကို သတ္မွတ္ေပးရမွာျဖစ္တယ္။
Active Directory မွာ Basic Element အေျခခံက်ေသာ အခ်က္က Object ပဲျဖစ္တယ္။ ဒီေနရာမွာ Object ဆိုတာကNetwork ကြန္ယက္မွာ႐ွိေသာ User တစ္ေယာက္လည္းျဖစ္ႏုိင္သလို၊ Computer တစ္လံုးလည္းျဖစ္ႏုိင္တယ္။ Printerတစ္လံုးလည္းျဖစ္ႏုိင္တယ္။ Application ေတြ၊ File ေတြ၊ ဒါမမဟုတ္ Network မွာရွိေသာ တစ္ျခား Resourcesေတြလည္းျဖစ္ႏုိင္ပါတယ္။ ဒါေတြကို ၿခံဳၿပီးေတာ့ Object လုိ႔ေခၚတာျဖစ္တယ္။ ဒီ Active Directory Object ေတြဟာAttributes ေတြကုိ သတ္မွတ္ေပးတယ္။ Attributes ေတြဆုိတာက ၄င္း Objects ေတြနဲ႔အတူပါလာေသာ Propertiesပိုင္ဆုိင္မႈေတြျဖစ္တယ္။ ဥပမာေျပာရရင္-Network ကြန္ယက္မွာရွိေသာ တစ္ခ်ိဳ႕ User ေတြကဆုိရင္ သူတို႔ရဲ႕ Attributesေတြက ဘာေတြလဲဆိုေတာ့ First Name, Last Name, E-mail Address, ႏွင့္ Phone Number စသျဖင့္ျဖစ္လိမ့္မယ္။တစ္ခ်ိဳ႕ User ေတြက်ေတာ့ ၄င္းတို႔ရဲ႕ Attributes ေတြက Mandatory Values ေတြျဖစ္ၾကတယ္။ တစ္ခ်ိဳ႕ေတြကေတာ့ဘာမွကိုမသတ္မွတ္ၾကျပန္ဘူး။ ေနာက္ၿပီး Printer တစ္လံုးရဲ႕ Attributes ေတြဆိုတာက အဲ့ဒီ Printer ရွိေနေသာေနရာ၊Printer ရဲ႕ Asset Number ၊ ေနာက္ Printer အမ်ိဳးအစား စသည္တို႔ျဖစ္ၾကတယ္။Active Directory Object မွာ အဓိကက်ေသာ အမ်ိဳးအစားတစ္ခုကေတာ့ OU လုိ႔ေခၚတဲ့ Organization Unit ပဲျဖစ္တယ္။ OU ဆိုတာဟာလည္း Object တစ္မ်ိဳးပါပဲ။ OU မွာက်ေတာ့ တစ္ျခား Objects ေတြရွိေသးတယ္။ အဲ့ဒီ OU လို႔ေခၚတဲ့ Organization Unit မွာ User တို႔လို၊ Application တို႔လုိ Specific သတ္မွတ္ထားေသာ Object တစ္ခုလည္းရွိႏုိင္သလို၊ ေနာက္ထပ္တစ္ျခား OU တစ္ခုလည္းရွိႏုိင္ပါတယ္။ အဲ့ဒီ OU မွာပဲ User Permission ေတြကိုသတ္မွတ္ေပးႏုိင္တယ္။
Domain ေတြမွာ Organization Unit ေတြ႐ွိၾကတယ္။ အဲ့ဒီ OU ေတြဟာ Domain မွာ႐ွိေသာ Active Directoryအတြက္ အေျခခံက်ေသာ Basic Security လည္းျဖစ္သလို၊ Organizational Structure ပံုစံတစ္ခုလည္းျဖစ္တယ္။ Active Directory မွာ႐ွိေသာ Object တိုင္းဟာ ဒီ Domain တစ္ခုႏွင့္ဆက္စပ္သက္ဆိုင္ေနရမယ္။ Domain ေတြဟာ သင့္ရဲ႕Enterprise လုပ္ငန္းအတြက္ အၿမဲတမ္း Organizational Structure ဖြဲ႔စည္းပံုတစ္ခုျဖစ္ေနမွာျဖစ္သလို၊ သင့္ရဲ႕လုပ္ငန္းအတြက္ လံုၿခံဳေရးဆိုင္ရာ Security Boundary တစ္ခုအျဖစ္လည္း ေဆာင္ရြက္ေပးေနမွာျဖစ္တယ္။ ဒါေၾကာင့္သင့္ရဲ႕ ကြန္ယက္မွာ႐ွိေနေသာ Active Directory မွာ႐ွိေသာ Object တုိင္းမွာ ဒီ Domain တစ္ခုဆိုတာ႐ွိကို႐ွိရမွာျဖစ္တယ္။ ဥပမာေျပာရရင္ေတာ့ Domain တစ္ခုမွာ သတ္မွတ္ေပးထားေသာ၊ ခ်မွတ္ေပးထားေသာ Privileges အခြင့္အေရးလုပ္ပိုင္ခြင့္ေတြဟာ ေနာက္တစ္ျခား Domain တစ္ခုေပၚမွာအလုိအေလ်ာက္သက္ေရာက္သြားတာမ်ိဳးမ႐ွိတတ္ပါဘူး။ Domain တစ္ခုထက္ပိုေသာ Domain
ေတြကိုစုေပါင္းလိုက္မယ္ဆိုရင္ Domain Tree လို႔ေခၚၿပီးေတာ့ အဲ့ဒီ Domain Tree ေတြတစ္ခုထက္ပိုသြားရင္ေတာ့
Domain Forests ဟုေခၚပါတယ္။
Discretionary Access Control List (DACLs) ႏွင့္ System Access Control Lists (SACLs) တိုမွာ Active Directory Objects ေတြကို Protect ကာကြယ္ေပးထားပါတယ္။ ဘာကိုဆုိလုိတာလဲဆိုေတာ့ ဒီ DACLs ႏွင့္ SACLs တို႔ဟာ Active Directory Object မွာ႐ွိေသာ Attributes ေတြကို ဘယ္ User ေတြ၊ ဘယ္ Application ေတြက Access လုပ္ခြင့္၊ အသံုးျပဳခြင့္႐ွိတယ္ဆိုတာကို သတ္မွတ္ေပးတာျဖစ္တယ္။ အလားတူပဲ Windows NT 4.0 မွာအသံုးျပဳေသာ NTFS File System မွာအသံုုးျပဳေသာ Access Control List (ACLs) ကိုအသံုးျပဳခြင့္ကိုလည္းသတ္မွတ္ေပးတာျဖစ္တယ္။ Directory Objects ေတြကိုဆက္သြယ္ရာမွာ ၄င္းတို႔ရဲ႕ Permission ေတြကို Propagate လုပ္ရာမွာ DACLs ႏွင့္ SACLs တို႔ကိုအသံုးျပဳႏုိင္ပါတယ္။ ေနာက္ၿပီးေတာ့ DACLs ႏွင့္ SACLs တို႔က Active Directory ကို User ေတြ၊ Group ေတြကအသံုးျပဳႏိုင္ဖို႔ရန္ အသံုးျပဳခြင့္ေတြကိုလည္းခြင့္ျပဳခ်က္ေပးဖုိ႔ရန္ကို နည္းလမ္းေတြကိုလည္း သတ္မွတ္ေပးပါတယ္။ ဒီေတာ့ Administrator ေတြက Active Directory ကို User ေတြ၊ Group ေတြကအသံုုးျပဳႏိုင္ဖို႔အတြက္ DACLs ႏွင့္ SACLs တို႔ကခ်မွတ္ေပးေသာ နည္းလမ္းေတြအတုိင္းလုပ္ေဆာင္ေပးရပါတယ္။ Active Directory မွာ Rules ေတြ႐ွိတယ္။ အဲ့ဒီ Rules ေတြက သူ႕ရဲ႕ Directory ထဲမွာသိမ္းဆည္းထားေသာ Objects ေတြကို ထိန္းခ်ဳပ္ေပးႏိုင္ဖို႔အတြက္ Rules ေတြကိုခ်မွတ္ထားတာျဖစ္တယ္။ ၄င္းခ်မွတ္ထားေသာ Rules ေတြကို Schema လို႔ေခၚပါတယ္။
Network ကြန္ယက္အတြင္းမွာ႐ွိေသာ Domain တစ္ခုခ်င္းစီအတြက္ လိုအပ္ေသာ Information သတင္းအခ်က္အလက္အေၾကာင္းအရာေတြကို ဒီ Active Directory မွာ Maintain ထိန္းသိမ္းထားတာျဖစ္တယ္။ ေျပာရမယ္ဆုိရင္ ကြန္္ယက္တစ္ခုမွာရွိေသာ Domain တစ္ခုခ်င္းစီအတြက္လုိအပ္ေသာ အခ်က္အလက္ေတြကို Active Directory မွာရွိေနမွာျဖစ္တယ္။ အဲ့ဒီ Active Directory Database အခ်က္အလက္ေတြကို အဲ့ဒီ ကြန္ယက္မွာရွိေသာ Domain Controller ဆိုတဲ့၊ Domain Controller လုိ႔သတ္မွတ္ထားေသာ ကြန္ပ်ဴတာမွာသိမ္းဆည္းထားတာျဖစ္တယ္။ ဒီ သတင္းအခ်က္အလက္ Information ေတြဟာ Domain Controller ေတြရဲ႕ၾကားထဲမွာ သူ႕အလုိအေလ်ာက္ Automatically အရ Replicate ျဖစ္ေနမွာျဖစ္တယ္။ Directory ထဲမွာရွိေသာ Every Portion အစိတ္အပိုင္းမွန္သမွ်ဟာလည္း အၿမဲတမ္း Up-to-date ျဖစ္ေနမွာျဖစ္တယ္။ ပံုမွန္အားျဖင့္ေတာ့ Active Directory ကို Replicate လုပ္တဲ့အခါမွာ ၅ မိနစ္တစ္ႀကိမ္ေလာက္ကို အၿမဲတမ္း Update ျဖစ္တယ္။ အဲ့ဒီ Active Directory Information ေတြကို Automatic အလုိအေလ်ာက္ Replicaton လုုပ္တဲ့အခါမွာ သတ္မွတ္ထားေသာ Domain တစ္ခုရဲ႕ Security Boundary အတြင္းမွာပဲ Replication လုပ္တာျဖစ္တယ္။ Domain တစ္ခုအတြင္းမွာရွိေသာ Domain Controller ေတြဟာ Information အခ်က္အလက္ေတြကို Automatic Replicate လုပ္တဲ့အခါမွာ တစ္ျခား Domain ေတြႏွင့္Replicate မလုပ္ပါဘူး။
Active directory မွာ ပါဝင္တဲ႔အစိတ္အပိုင္းေတြ ကေတာ႔
Domains
Trees
Forests
Organizational units (OUs)
တို႔ျဖစ္ပါတယ္။
Domains
ဒိုမိန္းဆိုတာ နက္ဝက္တည္ေဆာက္ျခင္းတစ္ခုလံုးရဲ႔အဓိကအက်ဆံုးအပိုင္းလို႔ေျပာလို႔ရပါတယ္။
ဒို မိန္း ဟာ နက္ဝက္အတြင္းမွာရွိတဲ႔ ကြန္ပ်ဴတာ မ်ားကိုသတင္းအခ်က္အလက္မ်ားထိန္းခ်ဳပ္ျခင္း
နက္ဝက္တစ္ခုလံုးရဲ႔လံုျခံဳေရး ကို စီမံခန္႔ခြဲျခင္း စတာေတြကိုျပဳလုပ္ေပးတဲ႔အဓိကအက်ုဆံုးအစိတ္အပိုင္းျဖစ္
ပါတယ္။ဝင္းဒိုး NT မွာတုန္းကဆိုရင္ေတာ႔ ဒိုမိန္းဆိုတာ နက္ဝက္တစ္ခုထဲအတြက္ျဖစ္ပါတယ္။
ေနာက္ပိုင္းဝင္းဒိုးေတြမွေတာ႔ ဒိုမိန္းဟာ trust connection ဆိုတဲ႔ ျပင္ပ ဒိုမိန္းတစ္ခုနဲ႔ခ်ိတ္ဆက္အသံုးျပဳလို႔ရ
တဲ႔နည္းပညာေတြကို ဝင္းဒိုး 2000 က စလို႔ထည္႔သြင္းလာခဲ႔ပါတယ္။
ဝင္ဒိုး 2000 က စလို႔ Active Directory ဟာ ေျမာက္မ်ားစြာေသာကြန္ပ်ဴတာမ်ားကို ထိန္းခ်ဳပ္ထားႏိုင္ခဲ႔ပါျပီ။
ဝင္းဒိုးNT မွာတုန္းကေတာ႔ အမ်ားဆံုး 40,000 ေလာက္သာ လက္ခံခဲ႔ပါတယ္။
Trees
Trees ဆိုတာလူတိုင္းသိပါတယ္.. သစ္ပင္ပါ.. သစ္ပင္ တစ္ပင္ မွာ အကိုင္း အခက္ အရြက္အလက္ေပါင္းမ်ား
စြာ ပါရွိပါတယ္။ ဒီလိုပါပဲ ကြန္ပ်ဴတာ အသံုးအႏွုန္းမွာေတာ႔ သစ္ပင္တစ္ပင္ရဲ႔ပံုစံအတုိင္းမ်ားစြာေသာနက္ဝက္
ေတြနဲ႔တည္ေဆာက္ထားတာကို Trees လို႔ေခၚပါတယ္။သစ္ရြက္တစ္ရြက္ ကို ကြန္ပ်ဴတာတစ္လံုး၊ ဒိုမိန္း တစ္ခု
ကို အကိုင္း တစ္ခုအေနနဲ႔သတ္မွတ္မယ္ဆိုရင္ ဒိုမိန္းေတြအားလံုးကိုစုေပါင္းထားရင္ သစ္ပင္တစ္ပင္ရဲ႔ပံုစံမ်ိဳးနဲ႔
သြားတူေနတဲ႔အတြက္ ဒိုမိန္း အမ်ားအျပားခ်ိတ္ဆက္ထားရင္ ေတာ႔ ကၽြန္ေတာ္တို႔က Trees လို႔ေခၚပါတယ္။
Trees တစ္ခုရဲ ႔ပံုစံကေတာ႔ Parent Domain တစ္ခု ရယ္ Child Domains ,grandchild domain ေတြရယ္.. ပါရွိပါတယ္။
ပံုစံကေတာ႔ ဥပမာ ။ ။ MTF.com က parent domain ပဲထားေတာ႔ child domains ကေတာ႔ parent doamin ကေနဆင္႔ပြား
သြားတဲ႔ပံုစံနဲ႔ ရွိရမွာျဖစ္ပါတယ္။ ဥပမာ။ ။ networking.MTF.com, Electrical.MTF.com,OS.MTF.com စတာေတြကို child domains လို႔သတ္မွတ္ပါတယ္။
ျပီးေတာ႔ child domains ျပီးရင္Grandchild Domains ဆိုတာ လဲ ရွိပါေသးတယ္ ဘယ္လိုမ်ိဳးလဲ ဆိုေတာ႔
ဥပမာ။ ။ windows.os.mtf.com,linux.os.com,Android.os.com စတာေတြကို grandchild domains လို႔ေခၚပါတယ္။
Forests
Forest ဆိုတာက ကလဲ အေပၚမွာကၽြန္ေတာ္ ဥပမာေပးခဲ႔သလိုပဲ သစ္ေတာအုပ္ တစ္ခုလို႔သေဘာသက္ေရာက္
တဲ႔အတိုင္း Domain Trees ေတြ ကိုစုေပါင္းထားရင္ Forest ဆိုျပီးေခၚပါတယ္။ Forest မွာ က Trees နဲ႔မတူ
တာကေတာ႔ Namespace ေတြနဲ႔မဆက္သြယ္ထားျခင္း ျဖစ္ပါတယ္။ဥမာေျပာရရင္ေတာ႔ MTF.org နဲ႔ MEF.org
ခ်ိတ္ဆက္လိုက္မယ္ဆိုရင္ ဒါကို Forest လို႔ေခၚႏိုင္ပါတယ္။ ဒီလိုမ်ိဳး ဒိုမိန္းေတြခ်ိတ္ဆက္ရင္ေတာ႔ Trust ခ်ိတ္
တယ္လို႔ကြန္ပ်ဴတာအသံုးအႏွုန္းနဲ႔သံုးပါတယ္။ဒီလိုခ်ိတ္ဆက္ျခင္းမွာtwo-way transitive trust relationship
ဆိုတဲ႔ လုပ္ေဆာင္ခ်က္ဟာ သက္ေရာက္ပါတယ္။
Two- way Transitive Trust Relationship
ဒါကေတာ႔ ဝင္ဒိုးဆာဗာ 2008 မွာ ပါတဲ႔လုပ္ေဆာင္ခ်က္တစ္ခုပါ။
ကြန္ပ်ဴတာAdmin တစ္ေယာက္က ဒိုမိန္း တစ္ခု ကို Trust ခ်ိတ္ မယ္ဆုိရင္ အဲဒီ Trust ခ်ိတ္လိုက္တဲ႔ဒိုမိန္းက
တစ္ျခား လက္ခံထားတဲ႔ တစ္ျခား ဒိုမိန္း တစ္ခု နဲ႔ပါ သူ႔အလိုလို Trust ခ်ိတ္သြား မယ္လို႔ဆိုလိုျခင္းျဖစ္ပါတယ္။
ကၽြန္ေတာ္ ေရးတာ နားရွဳပ္သြားမယ္ထင္တယ္။ ဥပမာ ။ ။ MTF.org နဲ႔ MEF.org တို႔ ခ်ိတ္ဆက္မယ္ဆုိရင္
MEF.org က တစ္ျခား ဒိုမိန္း တစ္ခု ဥပမာ ။ ။ MF.com ကို ခ်ိတ္ ဆက္ထားတယ္ ဆိုရင္ MTF.org က MF.com
နဲ႔ အလိုလို Trust ခ်ိတ္ဆက္ထားျခင္းကို Two-way Transitive Trust Relationship လို႔ေခၚပါတယ္။Administrator
တစ္ေယာက္က Active Directory structure တစ္ခုကို တည္ေဆာက္တဲ႔ အခါ
သူပထမဆံုးတည္ေဆာက္တဲ႔ ဒိုမိန္း ဟာ Forest Root Domain ျဖစ္ပါတယ္။
Organizational Units (OUs)
Organization Units ဆိုတာကေတာ႔ ဒိုမိန္း ထဲကတည္ေဆာက္ထားတဲ႔ အုပ္စု အခြဲေလးေတြျဖစ္ပါတယ္။
OUေအာက္မွာ user ေတြကို ထားျပီး manage လုပ္ပါတယ္။ OU ေတြကိုဘာေၾကာင္႔ခြဲလဲ
ဥပမာ ။ ။ company တစ္ခုမွာ ဌာန အသီးသီမွာဝန္ထမ္းေတြ အမ်ားအျပားအလုပ္လုပ္ၾကပါတယ္။
ဒါေတြကို manage လုပ္ဖို႔အတြက္ OU တစ္ခုစီ တည္ေဆာက္ၾကပါတယ္။ ဥပမာ manager, finance , marketing
စသည္ျဖင္႔ ခြဲထားျပီး အဲဒီေအာက္မွာ ဝန္ထမ္းေတြအတြက္ user အေကာင္႔ေတြထားျပီး ေတာ႔ဘယ္သူကေတာ႔ ဘယ္လို
permission မ်ိဳးရသင္႔တယ္ဆိုတာ ကို စီမံခန္႔ခြဲျခင္းျဖစ္ပါတယ္။ေအာက္က ပံုစံက ေတာ႔ OU တည္ေဆာက္ပံုဥပမာပါ။
Admin တစ္ေယာက္ဟာ OUs နဲ႔ sub OUs ေတြတည္ေဆာက္ျပီး OUs ေတြရဲ႔ ေဒတာေတြ ကို Server
စက္ထဲမွာ Folder , sub folder, sub-subfolder ေတြကို တည္ေဆာက္ျပီး Data သိမ္းဆည္းမွဳျပဳလုပ္ရပါတယ္။
အဲသည္ အတြက္ ဌာနတစ္ခုခ်င္းစီရဲ႔အုပ္ခ်ဳပ္သူေတြကို permission ေတြေပး ျပီးေတာ႔ တစ္ဦးခ်င္းစီရဲ႔အေကာင္႔
အသစ္တည္ေဆာက္ႏိုင္မွဳ, အုပ္စု အသစ္တည္ေဆာက္မွဳ, ေဒတာ စီမံခန္႔ခြဲမွဳ, printer sharing ေတြအတြက္ ကုိယ္စား
လွယ္လႊဲျခင္းမ်ားျပဳလုပ္ေပးရပါတယ္။Admin တစ္ေယာက္ဟာ ကြန္ပ်ဴတာတစ္ခုခ်င္းစီ , OU တစ္ခု
ခ်င္းစီကိုထိန္းခ်ဳပ္ႏိုင္ဖို႔အတြက္ Group Policy ကိုသံုးျပီ ထိန္းခ်ဳပ္ႏိုင္ပါတယ္.။
Active Directory ဆိုတာ
Active Directory ဆိုတာ Microsoft Windows 2000 Network Operating System အတြက္ Directory Serviceတစ္ခုပဲျဖစ္တယ္။ Active Directory မွာ Database ႏွင့္ Service ဆိုၿပီးေတာ့ ႏွစ္မ်ိဳး႐ွိပါတယ္။ Active Directoryဆိုတာက Network မွာ႐ွိေသာ Resource ေတြအတြက္ Information အခ်က္အလက္ေတြကို စုစည္ထားေသာDatabase တစ္ခုျဖစ္တယ္။ Network မွာ႐ွိေသာ Resource ေတြဆုိတာက Network မွာ႐ွိေသာ Computer တို႔၊ Userတို႔၊ Folder ေတြ၊ Printer ေတြ Share ေပးတာတုိ႔ု စသျဖင့္ကိုေခၚတာျဖစ္တယ္။ ေနာက္ၿပီးေတာ့ Active Directory ဆိုတာService တစ္ခုလည္းျဖစ္တယ္။ အဲ့ဒီ Information အခ်က္အလက္ေတြကိုပဲ Network မွာ႐ွိေသာ User ေတြႏွင့္Application ေတြကို အသံုးျပဳႏိုင္ဖုိ႔အတြက္ ျပဳလုပ္ေပးျခင္းကို Service လုိ႔ေခၚတာျဖစ္တယ္။ ဒီေတာ့ Active Directory ဆိုတာက Network မွာ Database လုိ႔လည္းေခၚသလုိ Service လုိ႔လည္းေခၚႏိုင္တယ္။ Active Directory ဟာ Enterprise-Level Directory Service တစ္ခုအတြက္ လုိအပ္ေသာ အေျခခံက်ေသာ Basic Feature ေတြကိုပံ့ပိုးေပးပါတယ္။ ဘာေတြပံ့ပိုးေပးတာလဲဆိုေတာ့ Extensible Information Source အေရးပါေသာသတင္းအခ်က္္အလက္ေတြ၊ Naming Conventions For Directory Object ဆိုတဲ့ Network မွာ႐ွိေသာ DirectoryObjects ေတြအတြက္ နာမည္ေတြသတ္မွတ္ေပးျခင္း၊ Policies ေတြသတ္မွတ္ျခင္း၊ ေနာက္ၿပီး Administeringလုပ္ရန္အတြက္ Tools ေတြသတ္မွတ္ေပးျခင္းတုို႔ပဲျဖစ္တယ္။ Network ကြန္ယက္တစ္ခုအတြင္းမွာ႐ွိေသာ Resourcesေတြကို User ေတြ၊ Application ကယူၿပီးေတာ့အသံုးျပဳမႈကို ထိန္းခ်ဳပ္ေပးဖို႔အတြက္ Administrator ကေနမွ ActiveDirectory ကို သတ္မွတ္ေပးရမွာျဖစ္တယ္။
Active Directory မွာ Basic Element အေျခခံက်ေသာ အခ်က္က Object ပဲျဖစ္တယ္။ ဒီေနရာမွာ Object ဆိုတာကNetwork ကြန္ယက္မွာ႐ွိေသာ User တစ္ေယာက္လည္းျဖစ္ႏုိင္သလို၊ Computer တစ္လံုးလည္းျဖစ္ႏုိင္တယ္။ Printerတစ္လံုးလည္းျဖစ္ႏုိင္တယ္။ Application ေတြ၊ File ေတြ၊ ဒါမမဟုတ္ Network မွာရွိေသာ တစ္ျခား Resourcesေတြလည္းျဖစ္ႏုိင္ပါတယ္။ ဒါေတြကို ၿခံဳၿပီးေတာ့ Object လုိ႔ေခၚတာျဖစ္တယ္။ ဒီ Active Directory Object ေတြဟာAttributes ေတြကုိ သတ္မွတ္ေပးတယ္။ Attributes ေတြဆုိတာက ၄င္း Objects ေတြနဲ႔အတူပါလာေသာ Propertiesပိုင္ဆုိင္မႈေတြျဖစ္တယ္။ ဥပမာေျပာရရင္-Network ကြန္ယက္မွာရွိေသာ တစ္ခ်ိဳ႕ User ေတြကဆုိရင္ သူတို႔ရဲ႕ Attributesေတြက ဘာေတြလဲဆိုေတာ့ First Name, Last Name, E-mail Address, ႏွင့္ Phone Number စသျဖင့္ျဖစ္လိမ့္မယ္။တစ္ခ်ိဳ႕ User ေတြက်ေတာ့ ၄င္းတို႔ရဲ႕ Attributes ေတြက Mandatory Values ေတြျဖစ္ၾကတယ္။ တစ္ခ်ိဳ႕ေတြကေတာ့ဘာမွကိုမသတ္မွတ္ၾကျပန္ဘူး။ ေနာက္ၿပီး Printer တစ္လံုးရဲ႕ Attributes ေတြဆိုတာက အဲ့ဒီ Printer ရွိေနေသာေနရာ၊Printer ရဲ႕ Asset Number ၊ ေနာက္ Printer အမ်ိဳးအစား စသည္တို႔ျဖစ္ၾကတယ္။Active Directory Object မွာ အဓိကက်ေသာ အမ်ိဳးအစားတစ္ခုကေတာ့ OU လုိ႔ေခၚတဲ့ Organization Unit ပဲျဖစ္တယ္။ OU ဆိုတာဟာလည္း Object တစ္မ်ိဳးပါပဲ။ OU မွာက်ေတာ့ တစ္ျခား Objects ေတြရွိေသးတယ္။ အဲ့ဒီ OU လို႔ေခၚတဲ့ Organization Unit မွာ User တို႔လို၊ Application တို႔လုိ Specific သတ္မွတ္ထားေသာ Object တစ္ခုလည္းရွိႏုိင္သလို၊ ေနာက္ထပ္တစ္ျခား OU တစ္ခုလည္းရွိႏုိင္ပါတယ္။ အဲ့ဒီ OU မွာပဲ User Permission ေတြကိုသတ္မွတ္ေပးႏုိင္တယ္။
Domain ေတြမွာ Organization Unit ေတြ႐ွိၾကတယ္။ အဲ့ဒီ OU ေတြဟာ Domain မွာ႐ွိေသာ Active Directoryအတြက္ အေျခခံက်ေသာ Basic Security လည္းျဖစ္သလို၊ Organizational Structure ပံုစံတစ္ခုလည္းျဖစ္တယ္။ Active Directory မွာ႐ွိေသာ Object တိုင္းဟာ ဒီ Domain တစ္ခုႏွင့္ဆက္စပ္သက္ဆိုင္ေနရမယ္။ Domain ေတြဟာ သင့္ရဲ႕Enterprise လုပ္ငန္းအတြက္ အၿမဲတမ္း Organizational Structure ဖြဲ႔စည္းပံုတစ္ခုျဖစ္ေနမွာျဖစ္သလို၊ သင့္ရဲ႕လုပ္ငန္းအတြက္ လံုၿခံဳေရးဆိုင္ရာ Security Boundary တစ္ခုအျဖစ္လည္း ေဆာင္ရြက္ေပးေနမွာျဖစ္တယ္။ ဒါေၾကာင့္သင့္ရဲ႕ ကြန္ယက္မွာ႐ွိေနေသာ Active Directory မွာ႐ွိေသာ Object တုိင္းမွာ ဒီ Domain တစ္ခုဆိုတာ႐ွိကို႐ွိရမွာျဖစ္တယ္။ ဥပမာေျပာရရင္ေတာ့ Domain တစ္ခုမွာ သတ္မွတ္ေပးထားေသာ၊ ခ်မွတ္ေပးထားေသာ Privileges အခြင့္အေရးလုပ္ပိုင္ခြင့္ေတြဟာ ေနာက္တစ္ျခား Domain တစ္ခုေပၚမွာအလုိအေလ်ာက္သက္ေရာက္သြားတာမ်ိဳးမ႐ွိတတ္ပါဘူး။ Domain တစ္ခုထက္ပိုေသာ Domain
ေတြကိုစုေပါင္းလိုက္မယ္ဆိုရင္ Domain Tree လို႔ေခၚၿပီးေတာ့ အဲ့ဒီ Domain Tree ေတြတစ္ခုထက္ပိုသြားရင္ေတာ့
Domain Forests ဟုေခၚပါတယ္။
Discretionary Access Control List (DACLs) ႏွင့္ System Access Control Lists (SACLs) တိုမွာ Active Directory Objects ေတြကို Protect ကာကြယ္ေပးထားပါတယ္။ ဘာကိုဆုိလုိတာလဲဆိုေတာ့ ဒီ DACLs ႏွင့္ SACLs တို႔ဟာ Active Directory Object မွာ႐ွိေသာ Attributes ေတြကို ဘယ္ User ေတြ၊ ဘယ္ Application ေတြက Access လုပ္ခြင့္၊ အသံုးျပဳခြင့္႐ွိတယ္ဆိုတာကို သတ္မွတ္ေပးတာျဖစ္တယ္။ အလားတူပဲ Windows NT 4.0 မွာအသံုးျပဳေသာ NTFS File System မွာအသံုုးျပဳေသာ Access Control List (ACLs) ကိုအသံုးျပဳခြင့္ကိုလည္းသတ္မွတ္ေပးတာျဖစ္တယ္။ Directory Objects ေတြကိုဆက္သြယ္ရာမွာ ၄င္းတို႔ရဲ႕ Permission ေတြကို Propagate လုပ္ရာမွာ DACLs ႏွင့္ SACLs တို႔ကိုအသံုးျပဳႏုိင္ပါတယ္။ ေနာက္ၿပီးေတာ့ DACLs ႏွင့္ SACLs တို႔က Active Directory ကို User ေတြ၊ Group ေတြကအသံုးျပဳႏိုင္ဖို႔ရန္ အသံုးျပဳခြင့္ေတြကိုလည္းခြင့္ျပဳခ်က္ေပးဖုိ႔ရန္ကို နည္းလမ္းေတြကိုလည္း သတ္မွတ္ေပးပါတယ္။ ဒီေတာ့ Administrator ေတြက Active Directory ကို User ေတြ၊ Group ေတြကအသံုုးျပဳႏိုင္ဖို႔အတြက္ DACLs ႏွင့္ SACLs တို႔ကခ်မွတ္ေပးေသာ နည္းလမ္းေတြအတုိင္းလုပ္ေဆာင္ေပးရပါတယ္။ Active Directory မွာ Rules ေတြ႐ွိတယ္။ အဲ့ဒီ Rules ေတြက သူ႕ရဲ႕ Directory ထဲမွာသိမ္းဆည္းထားေသာ Objects ေတြကို ထိန္းခ်ဳပ္ေပးႏိုင္ဖို႔အတြက္ Rules ေတြကိုခ်မွတ္ထားတာျဖစ္တယ္။ ၄င္းခ်မွတ္ထားေသာ Rules ေတြကို Schema လို႔ေခၚပါတယ္။
Network ကြန္ယက္အတြင္းမွာ႐ွိေသာ Domain တစ္ခုခ်င္းစီအတြက္ လိုအပ္ေသာ Information သတင္းအခ်က္အလက္အေၾကာင္းအရာေတြကို ဒီ Active Directory မွာ Maintain ထိန္းသိမ္းထားတာျဖစ္တယ္။ ေျပာရမယ္ဆုိရင္ ကြန္္ယက္တစ္ခုမွာရွိေသာ Domain တစ္ခုခ်င္းစီအတြက္လုိအပ္ေသာ အခ်က္အလက္ေတြကို Active Directory မွာရွိေနမွာျဖစ္တယ္။ အဲ့ဒီ Active Directory Database အခ်က္အလက္ေတြကို အဲ့ဒီ ကြန္ယက္မွာရွိေသာ Domain Controller ဆိုတဲ့၊ Domain Controller လုိ႔သတ္မွတ္ထားေသာ ကြန္ပ်ဴတာမွာသိမ္းဆည္းထားတာျဖစ္တယ္။ ဒီ သတင္းအခ်က္အလက္ Information ေတြဟာ Domain Controller ေတြရဲ႕ၾကားထဲမွာ သူ႕အလုိအေလ်ာက္ Automatically အရ Replicate ျဖစ္ေနမွာျဖစ္တယ္။ Directory ထဲမွာရွိေသာ Every Portion အစိတ္အပိုင္းမွန္သမွ်ဟာလည္း အၿမဲတမ္း Up-to-date ျဖစ္ေနမွာျဖစ္တယ္။ ပံုမွန္အားျဖင့္ေတာ့ Active Directory ကို Replicate လုပ္တဲ့အခါမွာ ၅ မိနစ္တစ္ႀကိမ္ေလာက္ကို အၿမဲတမ္း Update ျဖစ္တယ္။ အဲ့ဒီ Active Directory Information ေတြကို Automatic အလုိအေလ်ာက္ Replicaton လုုပ္တဲ့အခါမွာ သတ္မွတ္ထားေသာ Domain တစ္ခုရဲ႕ Security Boundary အတြင္းမွာပဲ Replication လုပ္တာျဖစ္တယ္။ Domain တစ္ခုအတြင္းမွာရွိေသာ Domain Controller ေတြဟာ Information အခ်က္အလက္ေတြကို Automatic Replicate လုပ္တဲ့အခါမွာ တစ္ျခား Domain ေတြႏွင့္Replicate မလုပ္ပါဘူး။
Thank a Lot
ReplyDelete