Pages

Tuesday, January 10, 2017

Why need Active Directory?

Active Directory

Q: ဘာေၾကာင့္ ငါတို ့ရုံးမွာ Server တည္ေဆာက္ဖို ့လုိအပ္တာလဲ၊ Active Directory လုိအပ္တာလဲ။
A: ရုံးေတြရဲ ့Computer ေတြ၊ အဖြဲ ့အစည္းေတြရဲ ့Computer ေတြမွာ သုံးေနတဲ့ Data ေတြ၊ Information ေတြ၊ User ေတြကို ထိန္းခ်ဳပ္ခ်င္တယ္ဆိုရင္ Active Directory Server တည္ေဆာက္သင့္ပါတယ္။ ရုံးရဲ ့Security လည္း ပိုျပီး ေကာင္းသြားပါတယ္။
Active Directory ကို ပုိျပီး နားလည္ေအာင္ ေအာက္မွာ ရွင္းျပထားပါတယ္။

“Active Directory ဆိုတာ Microsoft Windows Operating System အတြက္ Directory Service
တစ္ခုပဲျဖစ္တယ္။ Active Directory မွာ Database ႏွင့္ Service ဆိုၿပီးေတာ့ ႏွစ္မ်ိဳး႐ွိပါတယ္။ Active Directory
ဆိုတာက Network မွာ႐ွိေသာ Resource ေတြအတြက္ Information အခ်က္အလက္ေတြကို စုစည္ထားေသာ
Database တစ္ခုျဖစ္တယ္။ Network မွာ႐ွိေသာ Resource ေတြဆုိတာက Network မွာ႐ွိေသာ Computer တို႔၊ User
တို႔၊ Folder ေတြ၊ Printer ေတြ Share ေပးတာတုိ႔ု စသျဖင့္ကိုေခၚတာျဖစ္တယ္။ ေနာက္ၿပီးေတာ့ Active Directory ဆိုတာ
Service တစ္ခုလည္းျဖစ္တယ္။ အဲ့ဒီ Information အခ်က္အလက္ေတြကိုပဲ Network မွာ႐ွိေသာ User ေတြႏွင့္
Application ေတြကို အသံုးျပဳႏိုင္ဖုိ႔အတြက္ ျပဳလုပ္ေပးျခင္းကို Service လုိ႔ေခၚတာျဖစ္တယ္။ ဒီေတာ့ Active Directory
ဆိုတာက Network မွာ Database လုိ႔လည္းေခၚသလုိ Service လုိ႔လည္းေခၚႏိုင္တယ္။ Active Directory ဟာ
Enterprise-Level Directory Service တစ္ခုအတြက္ လုိအပ္ေသာ အေျခခံက်ေသာ Basic Feature ေတြကို
ပံ့ပိုးေပးပါတယ္။ ဘာေတြပံ့ပိုးေပးတာလဲဆိုေတာ့ Extensible Information Source အေရးပါေသာ
သတင္းအခ်က္္အလက္ေတြ၊ Naming Conventions For Directory Object ဆိုတဲ့ Network မွာ႐ွိေသာ Directory
Objects ေတြအတြက္ နာမည္ေတြသတ္မွတ္ေပးျခင္း၊ Policies ေတြသတ္မွတ္ျခင္း၊ ေနာက္ၿပီး Administering
လုပ္ရန္အတြက္ Tools ေတြသတ္မွတ္ေပးျခင္းတုို႔ပဲျဖစ္တယ္။  Network ကြန္ယက္တစ္ခုအတြင္းမွာ႐ွိေသာ Resources
ေတြကို User ေတြ၊ Application ကယူၿပီးေတာ့အသံုးျပဳမႈကို ထိန္းခ်ဳပ္ေပးဖို႔အတြက္ Administrator ကေနမွ Active
Directory ကို သတ္မွတ္ေပးရမွာျဖစ္တယ္။
Active Directory မွာ Basic Element အေျခခံက်ေသာ အခ်က္က Object ပဲျဖစ္တယ္။ ဒီေနရာမွာ Object ဆိုတာက
Network ကြန္ယက္မွာ႐ွိေသာ User တစ္ေယာက္လည္းျဖစ္ႏုိင္သလို၊ Computer တစ္လံုးလည္းျဖစ္ႏုိင္တယ္။ Printer
တစ္လံုးလည္းျဖစ္ႏုိင္တယ္။ Application ေတြ၊ File ေတြ၊ ဒါမမဟုတ္ Network မွာရွိေသာ တစ္ျခား Resources
ေတြလည္းျဖစ္ႏုိင္ပါတယ္။ ဒါေတြကို ၿခံဳၿပီးေတာ့ Object လုိ႔ေခၚတာျဖစ္တယ္။ ဒီ Active Directory Object ေတြဟာ
Attributes ေတြကုိ သတ္မွတ္ေပးတယ္။ Attributes ေတြဆုိတာက ၄င္း Objects ေတြနဲ႔အတူပါလာေသာ Properties
ပိုင္ဆုိင္မႈေတြျဖစ္တယ္။ ဥပမာေျပာရရင္-Network ကြန္ယက္မွာရွိေသာ တစ္ခ်ိဳ႕ User ေတြကဆုိရင္ သူတို႔ရဲ႕ Attributes
ေတြက ဘာေတြလဲဆိုေတာ့ First Name, Last Name, E-mail Address, ႏွင့္ Phone Number စသျဖင့္ျဖစ္လိမ့္မယ္။
တစ္ခ်ိဳ႕ User ေတြက်ေတာ့ ၄င္းတို႔ရဲ႕ Attributes ေတြက Mandatory Values ေတြျဖစ္ၾကတယ္။ တစ္ခ်ိဳ႕ေတြကေတာ့
ဘာမွကိုမသတ္မွတ္ၾကျပန္ဘူး။ ေနာက္ၿပီး Printer တစ္လံုးရဲ႕ Attributes ေတြဆိုတာက အဲ့ဒီ Printer ရွိေနေသာေနရာ၊
Printer ရဲ႕ Asset Number ၊ ေနာက္ Printer အမ်ိဳးအစား စသည္တို႔ျဖစ္ၾကတယ္။
Active Directory Object မွာ အဓိကက်ေသာ အမ်ိဳးအစားတစ္ခုကေတာ့ OU လုိ႔ေခၚတဲ့ Organization Unit
ပဲျဖစ္တယ္။ OU ဆိုတာဟာလည္း Object တစ္မ်ိဳးပါပဲ။ OU မွာက်ေတာ့ တစ္ျခား Objects ေတြရွိေသးတယ္။ အဲ့ဒီ OU
လို႔ေခၚတဲ့ Organization Unit မွာ User တို႔လို၊ Application တို႔လုိ Specific သတ္မွတ္ထားေသာ Object
တစ္ခုလည္းရွိႏုိင္သလို၊ ေနာက္ထပ္တစ္ျခား OU တစ္ခုလည္းရွိႏုိင္ပါတယ္။  အဲ့ဒီ OU မွာပဲ User Permission
ေတြကိုသတ္မွတ္ေပးႏုိင္တယ္။
Domain ေတြမွာ Organization Unit ေတြ႐ွိၾကတယ္။ အဲ့ဒီ OU ေတြဟာ Domain မွာ႐ွိေသာ Active Directory
အတြက္ အေျခခံက်ေသာ Basic Security လည္းျဖစ္သလို၊ Organizational Structure ပံုစံတစ္ခုလည္းျဖစ္တယ္။ Active
Directory မွာ႐ွိေသာ Object တိုင္းဟာ ဒီ Domain တစ္ခုႏွင့္ဆက္စပ္သက္ဆိုင္ေနရမယ္။ Domain ေတြဟာ သင့္ရဲ႕
Enterprise လုပ္ငန္းအတြက္  အၿမဲတမ္း Organizational Structure ဖြဲ႔စည္းပံုတစ္ခုျဖစ္ေနမွာျဖစ္သလို၊
သင့္ရဲ႕လုပ္ငန္းအတြက္ လံုၿခံဳေရးဆိုင္ရာ Security Boundary တစ္ခုအျဖစ္လည္း ေဆာင္ရြက္ေပးေနမွာျဖစ္တယ္။ ဒါေၾကာင့္
သင့္ရဲ႕ ကြန္ယက္မွာ႐ွိေနေသာ Active Directory မွာ႐ွိေသာ Object တုိင္းမွာ ဒီ Domain
တစ္ခုဆိုတာ႐ွိကို႐ွိရမွာျဖစ္တယ္။ ဥပမာေျပာရရင္ေတာ့ Domain တစ္ခုမွာ သတ္မွတ္ေပးထားေသာ၊ ခ်မွတ္ေပးထားေသာ
Privileges အခြင့္အေရးလုပ္ပိုင္ခြင့္ေတြဟာ ေနာက္တစ္ျခား Domain တစ္ခုေပၚမွာ
အလုိအေလ်ာက္သက္ေရာက္သြားတာမ်ိဳးမ႐ွိတတ္ပါဘူး။ Domain တစ္ခုထက္ပိုေသာ Domain
ေတြကိုစုေပါင္းလိုက္မယ္ဆိုရင္ Domain Tree လို႔ေခၚၿပီးေတာ့ အဲ့ဒီ Domain Tree ေတြတစ္ခုထက္ပိုသြားရင္ေတာ့
Domain Forests ဟုေခၚပါတယ္။
Discretionary Access Control List (DACLs) ႏွင့္ System Access Control Lists (SACLs) တိုမွာ Active
Directory Objects ေတြကို Protect ကာကြယ္ေပးထားပါတယ္။ ဘာကိုဆုိလုိတာလဲဆိုေတာ့ ဒီ DACLs ႏွင့္ SACLs
တို႔ဟာ Active Directory Object မွာ႐ွိေသာ Attributes ေတြကို ဘယ္ User ေတြ၊ ဘယ္ Application ေတြက Access
လုပ္ခြင့္၊ အသံုးျပဳခြင့္႐ွိတယ္ဆိုတာကို သတ္မွတ္ေပးတာျဖစ္တယ္။ အလားတူပဲ NTFS File System မွာအသံုုးျပဳေသာ Access Control List (ACLs) ကိုအသံုးျပဳခြင့္ကိုလည္းသတ္မွတ္ေပးတာျဖစ္တယ္။
Directory Objects ေတြကိုဆက္သြယ္ရာမွာ ၄င္းတို႔ရဲ႕ Permission ေတြကို Propagate လုပ္ရာမွာ DACLs ႏွင့္ SACLs
တို႔ကိုအသံုးျပဳႏုိင္ပါတယ္။ ေနာက္ၿပီးေတာ့ DACLs ႏွင့္ SACLs တို႔က Active Directory ကို User ေတြ၊ Group
ေတြကအသံုးျပဳႏိုင္ဖို႔ရန္ အသံုးျပဳခြင့္ေတြကိုလည္းခြင့္ျပဳခ်က္ေပးဖုိ႔ရန္ကို နည္းလမ္းေတြကိုလည္း သတ္မွတ္ေပးပါတယ္။
ဒီေတာ့ Administrator ေတြက Active Directory ကို User ေတြ၊ Group ေတြကအသံုုးျပဳႏိုင္ဖို႔အတြက္ DACLs ႏွင့္
SACLs တို႔ကခ်မွတ္ေပးေသာ နည္းလမ္းေတြအတုိင္းလုပ္ေဆာင္ေပးရပါတယ္။
Active Directory မွာ Rules ေတြ႐ွိတယ္။ အဲ့ဒီ Rules ေတြက သူ႕ရဲ႕ Directory  ထဲမွာသိမ္းဆည္းထားေသာ Objects
ေတြကို ထိန္းခ်ဳပ္ေပးႏိုင္ဖို႔အတြက္ Rules ေတြကိုခ်မွတ္ထားတာျဖစ္တယ္။ ၄င္းခ်မွတ္ထားေသာ Rules ေတြကို Schema
လို႔ေခၚပါတယ္။
Network ကြန္ယက္အတြင္းမွာ႐ွိေသာ Domain တစ္ခုခ်င္းစီအတြက္ လိုအပ္ေသာ Information
သတင္းအခ်က္အလက္အေၾကာင္းအရာေတြကို ဒီ Active Directory မွာ Maintain ထိန္းသိမ္းထားတာျဖစ္တယ္။
ေျပာရမယ္ဆုိရင္ ကြန္္ယက္တစ္ခုမွာရွိေသာ Domain တစ္ခုခ်င္းစီအတြက္လုိအပ္ေသာ အခ်က္အလက္ေတြကို Active
Directory မွာရွိေနမွာျဖစ္တယ္။ အဲ့ဒီ Active Directory Database အခ်က္အလက္ေတြကို အဲ့ဒီ ကြန္ယက္မွာရွိေသာ
Domain Controller ဆိုတဲ့၊ Domain Controller လုိ႔သတ္မွတ္ထားေသာ ကြန္ပ်ဴတာမွာသိမ္းဆည္းထားတာျဖစ္တယ္။ ဒီ
သတင္းအခ်က္အလက္ Information ေတြဟာ Domain Controller ေတြရဲ႕ၾကားထဲမွာ သူ႕အလုိအေလ်ာက္
Automatically အရ Replicate ျဖစ္ေနမွာျဖစ္တယ္။ Directory ထဲမွာရွိေသာ Every Portion
အစိတ္အပိုင္းမွန္သမွ်ဟာလည္း အၿမဲတမ္း Up-to-date ျဖစ္ေနမွာျဖစ္တယ္။ ပံုမွန္အားျဖင့္ေတာ့ Active Directory ကို
Replicate လုပ္တဲ့အခါမွာ ၅ မိနစ္တစ္ႀကိမ္ေလာက္ကို အၿမဲတမ္း Update ျဖစ္တယ္။ အဲ့ဒီ Active Directory
Information ေတြကို Automatic အလုိအေလ်ာက္ Replicaton  လုုပ္တဲ့အခါမွာ သတ္မွတ္ထားေသာ Domain တစ္ခုရဲ႕
Security Boundary အတြင္းမွာပဲ Replication လုပ္တာျဖစ္တယ္။ Domain တစ္ခုအတြင္းမွာရွိေသာ Domain Controller
ေတြဟာ Information အခ်က္အလက္ေတြကို Automatic Replicate လုပ္တဲ့အခါမွာ တစ္ျခား Domain ေတြႏွင့္
Replicate မလုပ္ပါဘူး။”

No comments:

Post a Comment