Kiến thức cơ bản về mạng: Phần 15 – Universal Groups & Group Nesting
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho bạn khái niệm về cách sử dụng các nhóm để quản lý truy cập mạng, tiếp đó là việc cho phép các điều khoản trực tiếp đối với người dùng.
Chúng tôi cũng đã giải thích Windows Server 2003 hỗ trợ một số kiểu nhóm khác
và mỗi một kiểu nhóm đó lại có những ưu và nhược điểm riêng.
Trong bài đó, chúng tôi đã nói về
local group, domain local group và
global
group. Bạn có thể dễ dàng quản lý toàn bộ mạng bằng cách chỉ sử dụng các kiểu
nhóm này. Tuy nhiên còn có nhiều kiểu nhóm mà Windows Server 2003 hỗ trợ như
universal group.
Nếu một số bạn chưa nắm chắc về local groups, domain local groups, và global
groups thì các universal group ban đầu dường như sẽ giống như một câu trả lời
cho những yêu cầu tìm hiểu của bạn. Các nhóm
Universal group là nhóm về bản chất
không phải là chủ đề cho những hạn chế áp dụng đối với các kiểu nhóm khác. Ví
dụ, trong bài trước, chúng tôi đã đề cập đến rằng bạn không thể đặt một nhóm nội
bộ hoặc nhóm miền nội bộ (domain local group) vào một nhóm nội bộ khác. Tuy
nhiên bạn lại có thể đặt một nhóm universal group vào một nhóm nội bộ (local
group). Các nguyên tắc này áp dụng đối với các loại nhóm khác mà không áp dụng
đối với nhóm universal group.
Rõ ràng, vấn đề này càng đặt ra nhiều thắc mắc về tại sao bạn nên sử dụng các
nhóm còn lại nếu chúng có những hạn chế mà các nhóm universal group có thể khắc
phục được.
Một trong những lý do chính có quá nhiều kiểu nhóm khác nhau vì Windows Server
là một sản phẩm tiến hóa dần dần. Các nhóm Universal group đã được giới thiệu
trong Windows 2000 Server, cùng với Active Directory. Các phiên bản trước của
Windows Server (trước đây vẫn gọi là Windows NT Server) đã hỗ trợ việc sử dụng
các nhóm, nhưng nhóm universal group vẫn không được đưa ra khi các phiên bản này
thịnh hành. Khi Microsoft đã phát hành Windows 2000 Server, họ muốn tiếp tục hỗ
trợ các kiểu nhóm khác với tư cách duy trì sự tương thích với các phiên bản
trước đó trong Windows NT. Tương tự như vậy, Windows Server 2003 cũng hỗ trợ các
kiểu nhóm đã có từ trước cũng với các lý do tương thích.
Sự thật là các nhóm universal group đã không tồn tại trong thời kỳ Windows NT
Server, điều đó có nghĩa rằng Windows NT không hỗ trợ cho các nhóm này. Điều này
đã gây ra một số vấn đề nếu bạn có máy chủ Windows NT nào đó trong hệ thống của
mình.
Windows 2000 Server là một cải tiến rõ rệt so với Windows NT Server, một số tính
năng mới sẽ chỉ làm việc trên mạng mà không cần các bộ điều khiển miền của
Windows NT Server. Để giải quyết vấn đề này, Microsoft đã tạo một khái niệm
native mode. Chúng tôi sẽ nói chi tiết hơn về native mode trong phần sau, nhưng
ý tưởng cơ bản của nó là khi Windows 2000 Server được cài đặt ban đầu thì nó sẽ
hoạt động trong một chế độ gọi là
mixed mode. Chế độ này tương thích hoàn toàn
với Windows NT, nhưng nhiều tính năng của Windows 2000 lại không thể được sử
dụng cho tới khi bạn loại bỏ các bộ điều khiển miền của Windows NT và chuyển
sang chế độ native mode. Mặc dù về thuật ngữ có phần hơi khác nhưng nó cũng là
những khái niệm cơ bản được áp dụng cho Windows Server 2003.
Universal group là một trong những tính năng chỉ có tác dụng nếu các bộ điều
khiển miền của bạn đang hoạt động trong chế độ Native Mode của Windows 2000
Server hoặc cao hơn. Đó là lý do tại sao bạn không thể sử dụng các nhóm
universal group trong mọi tình huống.
Ngay cả khi tất cả máy chủ của bạn đang chạy trên hệ điều hành Windows Server
2003, và forest của bạn hoàn toàn ở trong chế độ native, thì sử dụng universal
group trong hầu hết các trường hợp vẫn là một ý tưởng không tốt.
Như đã nói trong phần trước của loạt bài này, chúng tôi giới thiệu cho bạn khái
niệm về global catalog servers. Các máy chủ
global catalog server là các bộ điều
khiển miền đã được gán nhiệm vụ giữ kiểm tra mọi đối tượng trong forest. Điển
hình, mỗi vị trí Active Directory đều có bản copy của chính nó cho global
catalog, điều đó có nghĩa rằng ở bất kỳ thời điểm nào một máy chủ global catalog
cũng đều được cập nhật, thông tin cập nhật phải được tạo bản sao cho các máy chủ
này.
Khi bạn tạo một universal group, cả tên nhóm và danh sách hội viên của nhóm đều
được ghi vào các máy chủ global catalog. Điều này có nghĩa rằng khi tạo nhiều
nhóm universal group thì các máy chủ global catalog sẽ như phồng lên. Khi global
catalog càng lớn thì số lượng thời gian mà nó cần để sao global catalog từ một
máy chủ global catalog này sang một máy chủ global catalog khác càng tăng. Nếu
không được kiểm tra thì điều này có thể dẫn đến các vấn đề về hiệu suất mạng.
Trong trường hợp này có thể bạn đang phân vân rằng kiểu còn lại của các nhóm
không cáng đáng nổi lượng tải trên global catalog. Ví dụ, các nhóm global group
đã được liệt kê trong global catalog, nhưng danh sách hội viên của chúng lại
không có. Chính vì vậy nguyên lý cơ bản của Microsoft là hoàn toàn “OK” để tạo
các nhóm universal group nhưng bạn nên sử dụng chúng một cách dè xẻn.
Group Nesting
Một khái niệm có liên quan đến nhóm cuối cùng mà chúng tôi muốn giới thiệu cho
các bạn đó là
Nesting. Cách đơn giản nhất để giải thích về nhóm này là so sánh
nó với các con búp bê của Nga. Các kiểu búp bê này được thiết kế để chúng có thể
đặt được vào bên trong mỗi con khác lớn hơn. Con nhỏ nhất sẽ được đặt vào con
nhỏ nhất trừ nó và cứ thế tiếp tục, chúng ta sẽ đặt được tất cả các con búp bê
nhỏ vào trong một con lớn. Ý tưởng đặt đối tượng này bên trong đối tượng khác
tương tự được gọi là
nesting (xếp lồng).
Có nhiều lý do khác nhau cho việc đưa ra các nhóm nesting này. Một trong những
lý do chung nhất là việc tương thích các tài nguyên với các văn phòng. Ví dụ,
một công ty bắt đầu tạo nhóm cho mỗi phòng ban. Họ có thể tạo nhóm Tải chính,
nhóm Thị trường, nhóm CNTT... Tiếp theo họ sẽ đặt người dùng vào nhóm sao cho
phù hợp với phòng ban mà người dùng đã làm. Bước tiếp theo trong tiến trình sẽ
là tạo các nhóm phù hợp với các tài nguyên khác nhau mà bạn cần đồng ý cho phép
truy cập vào. Ví dụ, nếu bạn đã biết rằng một ai đó trong phòng tài chính cần
truy cập vào một ứng dụng tài khoản thì có thể tạo một nhóm cho phép truy cập
vào ứng dụng đó và sau đó đặt nhóm tài chính vào nhóm đó. Bạn không phải xếp
lồng các nhóm nhưng việc làm như vậy đôi khi cho phép dễ làm việc trong tổ chức
của mình, trong khi vẫn tiết kiệm được lượng công việc trong tiến trình. Trong
trường hợp ví dụ trước, bạn không phải đặt một cách thủ công mỗi một tài khoản
người dùng riêng lẻ vào nhóm cho ứng dụng tài khoản mà thay vì đó bạn chỉ cần
dùng lại nhóm đã tồn tại trước đó.
Lưu ý rằng không phải mọi nhóm đều có thể được xếp lồng vào nhóm khác. Bảng dưới
đây sẽ liệt kê các loại nhóm nào có thể xếp lồng được:
Loại nhóm |
Có thể được xếp lồng trong nhóm Local |
Có thể được xếp lồng trong nhóm Domain
Local |
Có thể được xếp lồng trong nhóm Global |
Có thể được xếp lồng trong nhóm
Universal |
Local |
Không |
Không |
Không |
Không |
Domain Local |
Có |
Có (nếu cùng miền) |
Không |
Không |
Global |
Có |
Có |
Có (nếu cùng miền) |
Có |
Universal |
Có |
Có |
Không |
Có |
Lưu ý:
Nếu Windows đang sử dụng trong chế độ mixed mode của hệ điều hành Windows 2000
thì bạn sẽ bị những hạn chế dưới đây:
• Không thể tạo các nhóm Universal groups
• Các nhóm Domain local group chỉ chứa nhóm global
• Các nhóm Global group không chứa các nhóm khác
Kết luận
Trong bài này, chúng tôi đã giới thiệu cho các bạn một số ưu điểm về việc xếp
lồng một nhóm này vào trong nhóm khác. Cùng với đó chúng tôi cũng giới thiệu một
số tình huống có thể để áp dụng điều này. Phần tiếp theo của loạt bài này có thể
sẽ giới thiệu tiếp cho các bạn về nguyên tắc mà hệ điều hành Windows thực hiện
trong việc kết nối mạng, mời các bạn đón đọc.