Brien M. Posey
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho bạn khái niệm về cách sử dụng các nhóm để quản lý truy cập mạng, tiếp đó là việc cho phép các điều khoản trực tiếp đối với người dùng. Chúng tôi cũng đã giải thích Windows Server 2003 hỗ trợ một số kiểu nhóm khác và mỗi một kiểu nhóm đó lại có những ưu và nhược điểm riêng.
Trong bài đó, chúng tôi đã nói về local group, domain local group và global group. Bạn có thể dễ dàng quản lý toàn bộ mạng bằng cách chỉ sử dụng các kiểu nhóm này. Tuy nhiên còn có nhiều kiểu nhóm mà Windows Server 2003 hỗ trợ như universal group.
Nếu một số bạn chưa nắm chắc về local groups, domain local groups, và global groups thì các universal group ban đầu dường như sẽ giống như một câu trả lời cho những yêu cầu tìm hiểu của bạn. Các nhóm Universal group là nhóm về bản chất không phải là chủ đề cho những hạn chế áp dụng đối với các kiểu nhóm khác. Ví dụ, trong bài trước, chúng tôi đã đề cập đến rằng bạn không thể đặt một nhóm nội bộ hoặc nhóm miền nội bộ (domain local group) vào một nhóm nội bộ khác. Tuy nhiên bạn lại có thể đặt một nhóm universal group vào một nhóm nội bộ (local group). Các nguyên tắc này áp dụng đối với các loại nhóm khác mà không áp dụng đối với nhóm universal group.
Rõ ràng, vấn đề này càng đặt ra nhiều thắc mắc về tại sao bạn nên sử dụng các nhóm còn lại nếu chúng có những hạn chế mà các nhóm universal group có thể khắc phục được.
Một trong những lý do chính có quá nhiều kiểu nhóm khác nhau vì Windows Server là một sản phẩm tiến hóa dần dần. Các nhóm Universal group đã được giới thiệu trong Windows 2000 Server, cùng với Active Directory. Các phiên bản trước của Windows Server (trước đây vẫn gọi là Windows NT Server) đã hỗ trợ việc sử dụng các nhóm, nhưng nhóm universal group vẫn không được đưa ra khi các phiên bản này thịnh hành. Khi Microsoft đã phát hành Windows 2000 Server, họ muốn tiếp tục hỗ trợ các kiểu nhóm khác với tư cách duy trì sự tương thích với các phiên bản trước đó trong Windows NT. Tương tự như vậy, Windows Server 2003 cũng hỗ trợ các kiểu nhóm đã có từ trước cũng với các lý do tương thích.
Sự thật là các nhóm universal group đã không tồn tại trong thời kỳ Windows NT Server, điều đó có nghĩa rằng Windows NT không hỗ trợ cho các nhóm này. Điều này đã gây ra một số vấn đề nếu bạn có máy chủ Windows NT nào đó trong hệ thống của mình.
Windows 2000 Server là một cải tiến rõ rệt so với Windows NT Server, một số tính năng mới sẽ chỉ làm việc trên mạng mà không cần các bộ điều khiển miền của Windows NT Server. Để giải quyết vấn đề này, Microsoft đã tạo một khái niệm native mode. Chúng tôi sẽ nói chi tiết hơn về native mode trong phần sau, nhưng ý tưởng cơ bản của nó là khi Windows 2000 Server được cài đặt ban đầu thì nó sẽ hoạt động trong một chế độ gọi là mixed mode. Chế độ này tương thích hoàn toàn với Windows NT, nhưng nhiều tính năng của Windows 2000 lại không thể được sử dụng cho tới khi bạn loại bỏ các bộ điều khiển miền của Windows NT và chuyển sang chế độ native mode. Mặc dù về thuật ngữ có phần hơi khác nhưng nó cũng là những khái niệm cơ bản được áp dụng cho Windows Server 2003.
Universal group là một trong những tính năng chỉ có tác dụng nếu các bộ điều khiển miền của bạn đang hoạt động trong chế độ Native Mode của Windows 2000 Server hoặc cao hơn. Đó là lý do tại sao bạn không thể sử dụng các nhóm universal group trong mọi tình huống.
Ngay cả khi tất cả máy chủ của bạn đang chạy trên hệ điều hành Windows Server 2003, và forest của bạn hoàn toàn ở trong chế độ native, thì sử dụng universal group trong hầu hết các trường hợp vẫn là một ý tưởng không tốt.
Như đã nói trong phần trước của loạt bài này, chúng tôi giới thiệu cho bạn khái niệm về global catalog servers. Các máy chủ global catalog server là các bộ điều khiển miền đã được gán nhiệm vụ giữ kiểm tra mọi đối tượng trong forest. Điển hình, mỗi vị trí Active Directory đều có bản copy của chính nó cho global catalog, điều đó có nghĩa rằng ở bất kỳ thời điểm nào một máy chủ global catalog cũng đều được cập nhật, thông tin cập nhật phải được tạo bản sao cho các máy chủ này.
Khi bạn tạo một universal group, cả tên nhóm và danh sách hội viên của nhóm đều được ghi vào các máy chủ global catalog. Điều này có nghĩa rằng khi tạo nhiều nhóm universal group thì các máy chủ global catalog sẽ như phồng lên. Khi global catalog càng lớn thì số lượng thời gian mà nó cần để sao global catalog từ một máy chủ global catalog này sang một máy chủ global catalog khác càng tăng. Nếu không được kiểm tra thì điều này có thể dẫn đến các vấn đề về hiệu suất mạng.
Trong trường hợp này có thể bạn đang phân vân rằng kiểu còn lại của các nhóm không cáng đáng nổi lượng tải trên global catalog. Ví dụ, các nhóm global group đã được liệt kê trong global catalog, nhưng danh sách hội viên của chúng lại không có. Chính vì vậy nguyên lý cơ bản của Microsoft là hoàn toàn “OK” để tạo các nhóm universal group nhưng bạn nên sử dụng chúng một cách dè xẻn.
Group Nesting
Một khái niệm có liên quan đến nhóm cuối cùng mà chúng tôi muốn giới thiệu cho các bạn đó là Nesting. Cách đơn giản nhất để giải thích về nhóm này là so sánh nó với các con búp bê của Nga. Các kiểu búp bê này được thiết kế để chúng có thể đặt được vào bên trong mỗi con khác lớn hơn. Con nhỏ nhất sẽ được đặt vào con nhỏ nhất trừ nó và cứ thế tiếp tục, chúng ta sẽ đặt được tất cả các con búp bê nhỏ vào trong một con lớn. Ý tưởng đặt đối tượng này bên trong đối tượng khác tương tự được gọi là nesting (xếp lồng).
Có nhiều lý do khác nhau cho việc đưa ra các nhóm nesting này. Một trong những lý do chung nhất là việc tương thích các tài nguyên với các văn phòng. Ví dụ, một công ty bắt đầu tạo nhóm cho mỗi phòng ban. Họ có thể tạo nhóm Tải chính, nhóm Thị trường, nhóm CNTT... Tiếp theo họ sẽ đặt người dùng vào nhóm sao cho phù hợp với phòng ban mà người dùng đã làm. Bước tiếp theo trong tiến trình sẽ là tạo các nhóm phù hợp với các tài nguyên khác nhau mà bạn cần đồng ý cho phép truy cập vào. Ví dụ, nếu bạn đã biết rằng một ai đó trong phòng tài chính cần truy cập vào một ứng dụng tài khoản thì có thể tạo một nhóm cho phép truy cập vào ứng dụng đó và sau đó đặt nhóm tài chính vào nhóm đó. Bạn không phải xếp lồng các nhóm nhưng việc làm như vậy đôi khi cho phép dễ làm việc trong tổ chức của mình, trong khi vẫn tiết kiệm được lượng công việc trong tiến trình. Trong trường hợp ví dụ trước, bạn không phải đặt một cách thủ công mỗi một tài khoản người dùng riêng lẻ vào nhóm cho ứng dụng tài khoản mà thay vì đó bạn chỉ cần dùng lại nhóm đã tồn tại trước đó.
Lưu ý rằng không phải mọi nhóm đều có thể được xếp lồng vào nhóm khác. Bảng dưới đây sẽ liệt kê các loại nhóm nào có thể xếp lồng được:
Loại nhóm | Có thể được xếp lồng trong nhóm Local | Có thể được xếp lồng trong nhóm Domain Local | Có thể được xếp lồng trong nhóm Global | Có thể được xếp lồng trong nhóm Universal |
Local | Không | Không | Không | Không |
Domain Local | Có | Có (nếu cùng miền) | Không | Không |
Global | Có | Có | Có (nếu cùng miền) | Có |
Universal | Có | Có | Không | Có |
Lưu ý:
Nếu Windows đang sử dụng trong chế độ mixed mode của hệ điều hành Windows 2000 thì bạn sẽ bị những hạn chế dưới đây:
• Không thể tạo các nhóm Universal groups
• Các nhóm Domain local group chỉ chứa nhóm global
• Các nhóm Global group không chứa các nhóm khác
Kết luận
Trong bài này, chúng tôi đã giới thiệu cho các bạn một số ưu điểm về việc xếp lồng một nhóm này vào trong nhóm khác. Cùng với đó chúng tôi cũng giới thiệu một số tình huống có thể để áp dụng điều này. Phần tiếp theo của loạt bài này có thể sẽ giới thiệu tiếp cho các bạn về nguyên tắc mà hệ điều hành Windows thực hiện trong việc kết nối mạng, mời các bạn đón đọc.