(+84) 463.28.7979

Làm việc với Read Only Domain Controller phần 2


Giới thiệu

Trong bài trước, tôi đã giải thích những lý do chính yếu vì sao Micrsoft quyết định đưa Read Only Domain Controllers vào Windows Server 2008. Bài này sẽ tiếp tục nghiên cứu những mặt ứng dụng thực tiễn khi làm việc với Read Only Domain Controllers.

Bạn có thể đọc các bài viết về Read only domain controller theo các phần phía dưới

>> Làm việc với Read Only Domain Controller phần 1

>> Làm việc với Read Only Domain Controller phần 3

Bài trước tôi cũng đã nói về những cái lợi khi dùng Read Only Domain Controllers ở các văn phòng chi nhánh. Trong bài này, tôi muốn tiếp tục nói sâu hơn về phương thức hoạt động của Read Only Domain Controllers.

User Account Credentials

Tôi muốn bắt đầu bằng việc làm rõ những gì tôi đã nói ở cuối phần trước. Tôi đã nói không thông tin tài khoản nào của người dùng được cất giữ trên các domain controller read only. Nhưng khi đọc lại, tôi nghĩ mình nên diễn giải rõ ràng hơn.

Thực tế, các thông tin tài khoản người dùng được cất giữ trên các domain controller read only. Chỉ trừ password mà thôi. Password không được sao chép đến Read Only Domain Controllers. Nếu có ai đánh cắp một domain controller read only ở một văn phòng chi nhánh, chúng cũng không thể dùng thông tin ở cơ sở dữ liệu Active Directory để crack password của người dùng.

Thuộc tính người dùng

Mặc định thì password là thuộc tính người dùng duy nhất không được sao chép đến Read Only Domain Controllers. Tuy nhiên bạn cũng có thể cấu hình bằng tay Windows để không cho những thuộc tính người dùng khác bị sao chép.

Vậy tại sao lại dùng tính năng này? Nếu bạn chỉ dùng Active Directory làm cơ cấu chứng nhận, thì bạn không nên dùng cái này. Hãy nhớ rằng, có những công ty, tổ chức phụ thuộc rất nhiều vào Active Directory không chỉ cho việc chứng nhận.

Để tôi cho bạn một ví dụ về điều tôi đang nói. Tôi đã từng làm ở một công ty lớn và có riêng một nhóm phát triển site. Những developer của công ty đã tạo ra một ứng dụng tuỳ chỉnh cho mỗi quá trình công việc trong công ty. Tất cả những ứng dụng tuỳ chỉnh này là những đĩa cơ sơ dữ liệu, nhưng chẳng cơ sở dữ liệu nào liên kết với nhau.

Điều đó có nghĩa là mỗi cơ sở dữ liệu chứa một số thông tin sao chép. Ví dụ, tên, số điện thoại và số ID của mỗi nhân viên (và nhiều thứ khác) đều có trong mỗi cơ sở dữ liệu. Mặc dù vậy, khi có lỗi xảy ra trong quá trình thông tin đi vào nghĩa là dữ liệu sẽ không được nhất quán từ cơ sở dữ liệu này đến cơ sở dữ liệu tiếp theo. Ví dụ, tên một nhân viên có thể sai chính tả trong một cơ sở dữ liệu này nhưng lại đúng ở cơ sở dữ liệu khác, hay hai con số trong ID của một nhân viên có thể chuyển thành một ở cơ sở dữ liệu khác.

Cách đây vài năm, một số công ty bắt đầu nhận thấy cách tiếp cận này rất không hiệu quả. Không chỉ dễ sai sót, mà công ty còn phải trả tiền thuê thư kí điền dữ liệu đã có sẵn trên những cơ sở dữ liệu khác. Có rất nhiều giải pháp khắc phục vấn đề này, nhưng cách tiếp cận thông dụng nhất là để những thông tin thường dùng trong Active Directory.

Ví dụ tôi biết một công ty đã tạo một ứng dụng tài nguyên con người mà họ có thể dùng trong công ty. Mặc dù khối lượng dữ liệu được lưu trữ trong một cơ sở dữ liệu SQL Server, những thứ như tên nhân viên, chức danh, số điện thoại…được cất giữ trong Active Directory như những thuộc tính tài khoản người dùng. Điều cho phép những thông tin chung được sử dụng lại ở những vị trí khác nhau, và không có sự kết nối nào giữa tên những người dùng và những dữ liệu nhạy cảm. Cơ sở dữ liệu SQL Server chứa những thông tin như số bảo hiểm xã hội và tiền lương, nhưng nó không chứa tên của các nhân viên. Điểm chung giữa hai cơ sở dữ liệu này là chúng đều có số của các nhân viên.

Lý do tôi nói cho các bạn biết điều này là vì một số công ty, tổ chức dùng nhiều đến thuộc tính tài khoản và những thuộc tính này có thể chứa những thông tin nhạy cảm. Ví dụ, trừ khi có nhu cầu trực tiếp những dạng thông tin kiểu này cần được lưu trữ nội bộ trên một domain controller ở một chi nhánh văn phòng, thì bạn nên xem xét việc khoá những thuộc tính nhạy cảm không bị sao chép.

Một điều mà bạn cũng nên nhớ là trong khi một số tổ chức, công ty lợi dụng thuộc tính người dùng trong các ứng dụng, thông thường là các ứng dụng sử dụng phân chia directory ứng dụng. Trong trường hợp bạn không quen với phân chia directory ứng dụng, thì chúng là những phân chia Active Directory đặc biệt được tạo đặc biệt để một ứng dụng sử dụng. Read Only Domain Controllers hỗ trợ đầy đủ sao chép một chiều cho những dữ liệu được lưu trữ trên phân chia directory ứng dụng.

Pages: 1 2

Leave a Reply

Your email address will not be published. Required fields are marked *