Quản trị môi trường mạng
Gửi bởi: Khoa CNTT - HCEM 26 tháng 8 2020 lúc 9:02:35 | Được cập nhật: hôm kia lúc 17:59:32 Kiểu file: PDF | Lượt xem: 284 | Lượt Download: 1 | File size: 5.361755 Mb
Nội dung tài liệu
Tải xuống
Link tài liệu:
Các tài liệu liên quan
Có thể bạn quan tâm
Thông tin tài liệu
TRƯỜNG CAO ĐẲNG CƠ ĐIỆN HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
GIÁO TRÌNH
QUẢN TRỊ MÔI TRƯỜNG MẠNG
(Lưu hành nội bộ)
Hà Nội, năm 2018
MỤC LỤC
BÀI 1: TỔNG QUAN VỀ WINDOWS SERVER................................................ 3
1. Tính năng vượt trội........................................................................................ 3
2. Các phiên bản của Windows Server 2008 .................................................... 6
3. Tính năng trong Windows Server 2008 ........................................................ 6
4. Cài đặt Windows Server 2008..................................................................... 10
BÀI 2: DỊCH VỤ ACTIVE DIRECTORY......................................................... 14
1. Tổng quan về Active Directory ................................................................... 14
2. Cài đặt và cấu hình dịch vụ Active Directory ............................................. 16
3. Triển khai Active Directory Forest và Domain Tree .................................. 31
BÀI 3: QUẢN TRỊ CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY....... 34
1. Quản trị tài khoản User , Group , Computer ............................................... 34
2. Quản trị OU ................................................................................................. 41
3. Quản trị Profile User ................................................................................... 43
4. Tạo các đối tượng bằng Command Line ..................................................... 50
BÀI 4: QUẢN TRỊ TÀI NGUYÊN CHIA SẺ .................................................... 55
1. Tổng quan về quyền truy xuất tệp tin và thư mục ...................................... 55
2. Shared Folder .............................................................................................. 57
3. NTFS Permission ........................................................................................ 68
4. Triển khai DFS ............................................................................................ 75
BÀI 5: TRIỂN KHAI CHÍNH SÁCH ................................................................. 80
1. Giới thiệu về Group Policy Object (GPO) .................................................. 80
2. Ứng dụng các chính sách nhóm .................................................................. 80
3. Cấu hình các chính sách nhóm .................................................................... 82
4. Group Policy tác động đến Startup và Logon ............................................. 86
5. Sự kế thừa .................................................................................................... 86
BÀI 6: QUẢN LÝ LƯU TRỮ VÀ BẢO MẬT DỮ LIỆU ................................. 88
1. Giới thiệu về lưu trữ dữ liệu ........................................................................ 88
-1-
2. Sao lưu và phục hồi dữ liệu......................................................................... 91
3. Mã hóa dữ liệu bằng EFS ............................................................................ 92
4. Thiết lập hạn ngạch ..................................................................................... 93
BÀI 7: GIÁM SÁT VÀ DUY TRÌ HOẠT ĐỘNG CỦA SERVER ................... 97
1. Phương thức quản trị Server ....................................................................... 97
2. Giám sát hoạt động của Server.................................................................... 97
3. Phát hiện và khắc phục sự cố .................................................................... 107
4. Sao lưu và phục hồi hệ thống .................................................................... 109
-2-
BÀI 1: TỔNG QUAN VỀ WINDOWS SERVER
1. Tính năng vượt trội
Lịch sử phát triển:
* Hệ điều hành mạng Windows NT
Windows NT là hệ điều hành mạng cao cấp của hãng Microsoft. Phiên bản
đầu có tên là Windows NT 3.1 phát hành năm 1993, và phiên bản server là
Windows NT Advanced Server (trước đó là LAN Manager for NT). Năm 1994
phiên bản Windows NT Server và Windows NT Workstation version 3.5 được
phát hành. Tiếp theo đó ra đời các bản version 3.51. Năm 1995, Windows NT
Workstation và Windows NT Server version 4.0 ra đời.
Là hệ điều hành mạng đáp ứng tất cả các giao thức truyền thông phổ dụng
nhất. Ngoài ra nó vừa cho phép giao lưu giữa các máy trong mạng, vừa cho phép
truy nhập từ xa, cho phép truyền file v.v... Windows NT là hệ điều hành vừa đáp
ứng cho mạng cục bộ (LAN) vừa đáp ứng cho mạng diện rộng (WAN) như
Intranet, Internet.
Windows NT server hơn hẳn các hệ điều hành khác bởi tính mềm dẻo,đa
dạng trong quản lý.
Nó vừa cho phép quản lý mạng theo mô hình mạng phân biệt
(Clien/Server), vừa cho phép quản lý theo mô hình mạng ngang hàng (peer to
peer). Cài đặt đơn giản, nhẹ nhàng và điều quan trọng nhất là nó tương thích với
hầu như tất cả các hệ mạng.
Các cơ chế quản lý của Windows NT:
- Quản lý đối tượng (Object Manager): Tất cả tài nguyên của hệ điều hành
được thực thi như các đối tượng. Một đối tượng là một đại diện trừu tượng của
một tài nguyên. Nó mô tả trạng thái bên trong và các tham số của tài nguyên và
tập hợp các phương thức (method) có thể được sử dụng để truy cập và điều khiển
đối tượng. Bằng cách xử lý toàn bộ tài nguyên như đối tượng Windows NT có thể
thực hiện các phương thức giống nhau như: tạo đối tượng, bảo vệ đối tượng, giám
sát việc sử dụng đối tượng (Client object) giám sát những tài nguyên được sử dụng
bởi một đối tượng.
- Cơ chế bảo mật (SRM - Security Reference Monitor): Ðược sử dụng để
thực hiện vấn đề an ninh trong hệ thống Windows NT. Các yêu cầu tạo một đối
tượng phải được chuyển qua SRM để quyết định việc truy cập tài nguyên được
cho phép hay không. SRM làm việc với hệ thống con bảo mật trong chế độ user.
-3-
Hệ thống con này được sử dụng để xác nhận user login vào hệ thống Windows
NT.
- Quản lý nhập / xuất (I/O Manager): Chịu trách nhiệm cho toàn bộ các
chức năng nhập / xuất trong hệ điều hành Windows NT. I/O Manager liên lạc với
trình điều khiển của các thiết bị khác nhau.
- I/O Manager: Sử dụng một kiến trúc lớp cho các trình điều khiển. Mỗi bộ
phận điều khiển trong lớp này thực hiện một chức năng được xác định rõ. Phương
pháp tiếp cận này cho phép một thành phần điều khiển được thay thế dễ dàng mà
không ảnh hưởng phần còn lại của các bộ phận điều khiển.
* Windows Server 2000:
Đây là phiên bản thay thế cho Windows NT Server 4.0, nó được thiết kế
cho người dùng là những doanh nghiệp lớn, hướng phục vụ cho các “mạng lớn”.
Nó thừa hưởng lại tất cả những chức năng của Windows NT Server 4.0 và thêm
vào đó là giao diện đồ họa thân thiện với người sử dụng.
Họ hệ điều hành Windows 2000 Server có 3 phiên bản chính là: Windows
2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server.
Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từng loại dịch
vụ.
Các đặc trưng của Windows 2000:
Những thay đổi quan trọng nhất so với NT cũ gồm có:
- Active Directory
- Hạ tầng kiến trúc nối mạng TCP/IP đã được cải tiến
- Những cơ sở hạ tầng bảo mật dễ co giãn hơn
- Việc chia sẻ dùng chung các tập tin trở lên mạnh mẽ hơn so với hệ thống
tập tin phân tán (Distributed File System) và dịch vụ sao chép tập tin (File
Replication Service)
- Không lệ thuộc cứng nhắc vào các mẫu tự ổ đĩa nữa nhờ các điểm nối
(junction point) và các ổ đĩa gắn lên được (mountable drive)
- Việc lưu trữ dữ liệu trực tuyến mềm dẻo, linh động hơn nhờ có tính năng
Removable Storage Manager.
* Windows Server 2003:
Windows Server 2003 có 4 phiên bản được sử dụng rộng rãi nhất là:
Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition,
Web Edition.
- Windows Server 2003 Web Edition: tối ưu dành cho các máy chủ web
-4-
- Windows Server 2003 Standard Edition: bản chuẩn dành cho các doanh
nghiệp, các tổ chức nhỏ đến vừa.
- Windows Server 2003 Enterprise Edition: bản nâng cao dành cho các tổ
chức, các doanh nghiệp vừa đến lớn.
- Windows Server 2003 Datacenter Edittion: bản dành riêng cho các tổ chức
lớn, các tập đoàn ví dụ như IBM, DELL…
Những đặc điểm mới của Windows Server 2003:
- Khả năng kết chùm các Server để san sẻ tải (Network Load Balancing
Clusters) và cài đặt nóng RAM (hot swap).
- Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểu được
chính sách nhóm (group policy) được thiết lập trong WinXP, có bộ công cụ quản
trị mạng đầy đủ các tính năng chạy trên WinXP.
- Tính năng cơ bản của Mail Server được tính hợp sẵn: đối với các công ty
nhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử
dụng dịch vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003 để làm
một hệ thống mail đơn giản phục vụ cho công ty.
- Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (Mircosoft Database
Engine) được cắt xén từ SQL Server 2000.
- NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003
này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peer-topeer đến các máy bên ngoài Internet, đặc biệt là các thông tin được truyền giữa
các máy này có thể được mã hóa hoàn toàn.
- Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS
(Routing and Remote Access).
- Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa
các gốc rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng
dễ dàng hơn.
- Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP
(Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps
- Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn
- Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một
Server.
* Windows Server 2008:
Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành
Windows Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát
-5-
tối đa cơ sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng
có, là sản phẩm hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và môi
trường máy chủ vững chắc hơn các phiên bản trước đây.
Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng
việc bảo đảm tất cả người dùng đều có thể có được những thành phần bổ sung từ
các dịch vụ từ mạng. Windows Server 2008 cũng cung cấp nhiều tính năng vượt
trội bên trong hệ điều hành và khả năng chuẩn đoán, cho phép các quản trị viên
tăng được thời gian hỗ trợ cho các doanh nghiệp.
Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được
nền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm
việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và
những cải thiện mạnh mẽ cho hệ điều hành cơ bản.
Cải thiện hệ điều hành cho máy chủ Windows.Thêm vào tính năng mới,
Windows Server 2008 cung cấp nhiều cải thiệm tốt hơn cho hệ điều hành cơ bản
so với hệ điều hành Windows Server 2003.
Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng
bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các
công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sự triển khai
và hệ thống file.
Các tính năng được cải thiện mạnh mẽ so với phiên bản 2003:
+ An toàn bảo mật.
+ Truy cập ứng dụng từ xa.
+ Quản lý server tập trung.
+ Các công cụ giám sát hiệu năng và độ tin cậy.
+ Failover clustering và hệ thống file.
Hỗ trợ trong việc kiểm soát một cách tối ưu hạ tầng máy chủ, đồng thời tạo
nên một môi trường máy chủ an toàn, tin cậy và hiệu quả hơn trước rất nhiều.
2. Các phiên bản của Windows Server 2008
- Windows Server 2008 Standard Edition
- Windows Server 2008 Enterprise Edition
- Windows Server 2008 Datacenter Edition
- Windows Web Server 2008
3. Tính năng trong Windows Server 2008
3.1. Công cụ quản trị Server Manager
-6-
Server Manager là một giao diện điều khiển được thiết kế để tổ chức và
quản lý một server chạy hệ điều hành Windows Server 2008. Người quản trị có
thể sử dụng Server Manager với những nhiều mục đích khác nhau.
- Quản lý đồng nhất trên một server
- Hiển thị trạng thái hiện tại của server
- Nhận ra các vấn đề gặp phải đối với các role đã đợc cài đặt một cách dễ
dàng hơn
- Quản lý các role trên server, bao gồm việc thêm và xóa role
- Thêm và xóa bỏ các tính năng
- Chẩn đoán các dấu hiệu bất thường
- Cấu hình server: có 4 công cụ ( Task Scheduler, Windows Firewall,
Services và WMI Control).
- Cấu hình sao lưu và lưu trữ: các công cụ giúp sao lưu và quản lý ổ đĩa là
Windows Server Backup và Disk Management đều nằm trên Server Manager.
3.2. Windows Server Core
Server Core là một tính năng mới trong Windows Server 2008. Nó cho phép
có thể cài đặt với mục đích hỗ trợ đặc biệt và cụ thể đối với một số role.
Tất cả các tương tác với Server Core được thông qua các dòng lệnh.
Server Core mang lại những lợi ích sau:
+ Giảm thiểu được phần mềm, vì thế việc sử dụng dung lượng ổ đĩa cũng
được giảm. Chỉ tốn khoảng 1GB khi cài đặt.
+ Bởi vì giảm thiểu được phần mềm nên việc cập nhật cũng không nhiều.
+ Giảm thiểu tối đa những hành vi xâm nhập vào hệ thống thông qua các
port được mở mặc định.
+ Dễ dàng quản lý.
Server Core không bao gồm tất cả các tính năng có sẵn trong những phiên
bản cài đặt Server khác. Ví dụ như .NET Framework hoặc Internet Explorer.
3.3. PowerShell
PowerShell là một tập hợp lệnh. Nó kết nối những dòng lệnh shell với một
ngôn ngữ script và thêm vào đó hơn 130 công cụ dòng lệnh(được gọi là
cmdlets).Hiện tại, có thể sử dụng PowerShell trong:
+ Exchange Server
+ SQL Server
+ Terminal Services
+ Active Directory Domain Services.
-7-
+ Quản trị các dịch vụ, xử lý và registry.
Mặc định, Windows PowerShell chưa được cài đặt. Tuy nhiên có thể cài
đặt nó một cách dễ dàng bằng cách sử dụng công cụ quản trị Server Manager và
chọn Features / Add Features
3.4. Windows Deloyment Services
Windows Deployment Services được tích hợp trong Windows Server 2008
cho phép cài đặt hệ điều hành từ xa cho các máy client mà không cần phải cài đặt
trực tiếp. WDS cho phép cài đặt từ xa thông qua Image lấy từ DVD cài đặt. Ngoài
ra, WDS còn hỗ trợ tạo Image từ 1 máy tính đã cài đặt sẵn Windows và đầy đủ
các ứng dụng khác.
Windows Deployment Serviece sử dụng định dạng Windows Image
(WIM). Một cải tiến đặc biệt với WIM so với RIS là WIM có thể làm việc tốt với
nhiều nền tảng phần cứng khác nhau.
3.5. Terminal Services
Terminal Services là một thành phần chính trên Windows Server 2008 cho
phép user có thể truy cập vào server để sử dụng những phần mềm.
Terminal Services giúp người quản trị triển khai và bảo trì hệ thống phần
mềm trong doanh nghiệp một cách hiệu quả. Người quản trị có thể cài đặt các
chương trình phần mềm lên Terminal Server mà không cần cài đặt trên hệ thống
máy client, vì thế việc cập nhật và bảo trì phần mềm trở nên dễ dàng hơn.
Terminal Services cung cấp 2 sự khác biệt cho người quản trị và người
dùng cuối:
- Dành cho người quản trị: cho phép quản trị có thể kết nối từ xa hệ thống
quản trị bằng việc sử dụng Remote Desktop Connection hoặc Remote Desktop.
- Dành cho người dùng cuối: cho phép người dùng cuối có thể chạy các
chương trình từ Terminal Services server.
3.6. Network Access Protection
Network Access Protection (NAP) là một hệ thống chính sách thi hành
(Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows
Server 2008.
Cơ chế thực thi của NAP:
+ Kiểm tra tình trạng an toàn của client.
+ Giới hạn truy cập đối với các máy client không an toàn.
-8-
+ NAP sẽ cập nhật những thành phần cần thiết cho các máy client không
an toàn, cho đến khi client đủ điều kiện an toàn.Cho phép client kết nối nếu client
đã thỏa điều kiện.
+ NAP giúp bảo vệ hệ thống mạng từ các client.
+ NAP cung cấp bộ thư viên API (Application Programming Interface),
cho phép các nhà quản trị lập trình nhằm tăng tính bảo mật cho mình
3.7. Read-Only Domain Controllers
Read-Only Domain Controller (RODC) là một kiểu Domain Controller mới
trên Windows Server 2008.Với RODC, doanh nghiệp có thể dễ dàng triển khai
các Domain Controller ở những nơi mà sự bảo mật không được đảm bảo về bảo
mật. RODC là một phần dữ liệu của Active Directory Domain Services.
Vì RODC là một phần dữ liệu của ADDS nên nó lưu trữ mọi đối tượng,
thuộc tính và các chính sách giống như domain controller, tuy nhiên mật khẩu thì
bị ngoại trừ.
3.8. Công nghệ Failover Clustering
Clustering là công nghệ cho phép sử dụng hai hay nhiều server kết hợp với
nhau để tạo thành một cụm server để tăng cường tính ổn định trong vận hành.Nếu
server này ngưng hoạt động thì server khác trong cụm sẽ đảm nhận nhiệm vụ mà
server ngưng hoạt động đó đang thực hiện nhằm mục đích hoạt động của hệ thống
vẫn bình thường. Quá trình chuyển giao gọi là failover.
Những phiên bản sau hỗ trợ:
- Windows Server 2008 Enterprise
- Windows Server 2008 Datacenter
- Windows Server 2008 Itanium
3.9. Windows Firewall with Advance Security
Windows Firewall with Advance Security cho phép người quản trị có thể
cấu hình đa dạng và nâng cao để tăng cường tính bảo mật cho hệ thống.
Windows Firewall with Advance Security có những điểm mới:
+ Kiểm soát chặt chẽ các kết nối vào và ra trên hệ thống (inbound và
outbound)
+ IPsec được thay thế bằng khái niệm Connection Security Rule, giúp có
thể kiểm soát và quản lý các chính sách, đồng thời giám sát trên firewall. Kết hợp
với Active Directory.
+ Hỗ trợ đầy đủ IPv6.
-9-
4. Cài đặt Windows Server 2008
* Yêu cầu phần cứng:
Windows Server 2008 hỗ trợ cả 2 cấu trúc vi xử lý 32-bit và 64-bit. Tuy nhiên,
phiên bản mới nhất là Windows Server 2008 R2, Windows Midmarket Server và
Windows Small Business với những tính năng đa dịch vụ, các phiên bản này chỉ
hỗ trợ cấu trúc vi xử lý 64-bit. RAM hỗ trợ tối đa cho hệ thống 32-bit là 4GB khi
chạy phiên bản Standard Edition và 64GB khi chạy phiên bản Enterprise và
Datacenter. Nếu chạy hệ thống 64-bit, bộ nhớ RAM có thể hỗ trợ lên dến 32GB
và 2TB RAM cho phiên bản Enterprise và Datacenter. Thêm vào đó, Windows
Server 2008 hỗ trợ hệ thống Itanium, tuy nhiên chip xử lí Intel Itanium 2 nhân là
cần thiết.
Phần cứng
Bộ vi xử lý
RAM
Dung lượng trống
Yêu cầu tối thiểu
1 GHz (x86); 1,4 GHz (x64)
512 MB
15GB
Đề nghị
2 GHz hoặc lớn hơn
2 GB
40 GB
* Cài đặt hệ điều hành
1. Cho đĩa cài đặt Windows Server 2008 vào ổ và khởi động máy chủ từ đĩa
cài.
2. Khi được yêu cầu chọn ngôn ngữ, thời gian, đơn vị tiền tệ và thông tin bàn
phím, hãy đưa ra lựa chọn thích hợp rồi click Next.
Thiết lập ngôn ngữ, thời gian và đơn vị tiền tệ, thông tin bàn phím
- 10 -
3. Tùy chọn Install Now xuất hiện. Nếu chưa chắc chắn về yêu cầu phần cứng,
có thể click vào liên kết What to Know Before Installing Windows để biết
thêm chi tiết.
4. Nhập khóa kích hoạt sản phẩm (product key) và đánh dấu kiểm vào
ô Automatically Activate Windows When I’m Online. Click Next.
Nhập khóa kích hoạt sản phẩm hợp lệ
5. Nếu chưa nhập khóa sản phẩm ở mục trước, bây giờ sẽ phải lựa chọn ấn
bản Windows Server 2008 sắp cài đặt và đánh dấu kiểm vào ô I Have
Selected an Edition of Windows That I Purchased. Nếu đã nhập khóa sản
phẩm hợp lệ, trình cài đặt sẽ tự động nhận diện được ấn bản Windows
Server 2008 sắp cài đặt. Click Next.
- 11 -
Lựa chọn bản Windows Server 2008 để cài đặt
6. Đọc các điều khoản quy định và chấp nhận bằng cách đánh dấu ô kiểm.
Click Next.
7. Ở cửa sổ mới xuất hiện, do khởi động máy từ đĩa cài nên tùy chọn Upgrade
(nâng cấp) đã bị vô hiệu. Click Custom (Advanced).
Tùy chọn Upgrade đã bị vô hiệu khi khởi động máy từ đĩa cài
Lưu ý: Nếu muốn tiến hành cài đặt nâng cấp, cần chạy trình cài đặt trong
môi trường Windows.
- 12 -
8. Trên cửa sổ tiếp theo, cần lựa chọn vị trí cài đặt Windows. Nếu có driver
của các thiết bị lưu trữ bên thứ ba, cần cài đặt ngay bằng cách click liên
kết Load Driver.
Tải driver của các thiết bị lưu trữ bên thứ ba và chọn nơi cài đặt
Lúc này, Windows sẽ bắt đầu được cài đặt vào hệ thống. Có thể thấy từng
bước tiến trình hoàn tất thể hiện bằng phần trăm. Trong quá trình cài đặt, máy chủ
sẽ phải khởi động lại nhiều lần. Trình cài đặt sẽ hoàn thành những tác vụ sau đây:
- Sao chép tệp tin
- Mở rộng tệp tin
- Cài đặt chức năng
- Cài đặt cập nhật
- Hoàn thành
9. Khi quá trình cài đặt hoàn tất, hãy thay đổi mật khẩu tài khoản quản trị
administrator trước khi đăng nhập. Sau khi mật khẩu được thay đổi và đã
đăng nhập vào hệ điều hành, như vậy là đã xong phần 1 của việc cài đặt.
- 13 -
BÀI 2: DỊCH VỤ ACTIVE DIRECTORY
1. Tổng quan về Active Directory
1.1. Giới thiệu
AD (Active Directory) là dịch vụ thư mục chứa các thông tin về các tài
nguyên trên mạng, có thể mở rộng và có khả năng tự điều chỉnh cho phép bạn
quản lý tài nguyên mạng hiệu quả. Để có thể làm việc tốt với Active Directory,
chúng ta sẽ tìm hiểu khái quát về Active Directory, sau đó khảo sát các thành phần
của dịch vụ này.
Các đối tượng AD bao gồm dữ liệu của người dùng (user data), máy
in(printers), máy chủ (servers), cơ sở dữ liệu (databases), các nhóm người dùng
(groups), các máy tính (computers), và các chính sách bảo mật (security policies).
Ngoài ra một khái niệm mới được sử dụng là container (tạm dịch là tập đối tượng).
Ví dụ Domain là một tập đối tượng chứa thông tin người dùng, thông tin các máy
trên mạng, và chứa các đối tượng khác.
1.2. Chức năng của Active Directory
- Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu
tương ứng và các tài khoản máy tính.
- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc
Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller
(máy điều khiển vùng).
- Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy
tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác
trong vùng
- Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ
quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền
backup dữ liệu hay shutdown Server từ xa…
- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con
(subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta
có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ.
1.3. Directory Services
1.3.1. Giới thiệu Directory Services
Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trong
NTDS.DIT và các chương trình quản lý, khai thác tập tin này. Dịch vụ danh bạ là
một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống Active Directory. Một
hệ thống với những tính năng vượt trội của Microsoft.
- 14 -
1.3.2. Các thành phần trong Directory Services
Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh bạ
là gì? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số điện thoại. Cả
hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và
thuộc tính liên quan đến các đối tượng đó.
a. Object (đối tượng)
Trong hệ thống cơ sở dữ liệu, đối tượng bao gồm các máy in, người dùng
mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, … Đối
tượng chính là thành tố căn bản nhất của dịch vụ danh bạ.
b. Attribute (thuộc tính)
Một thuộc tính mô tả một đối tượng. Ví dụ, mật khẩu và tên là thuộc tính
của đối tượng người dùng mạng. Các đối tượng khác nhau có danh sách thuộc
tính khác nhau, tuy nhiên, các đối tượng khác nhau cũng có thể có một số thuộc
tính giống nhau. Lấy ví dụ như một máy in và một máy trạm cả hai đều có một
thuộc tính là địa chỉ IP.
c. Schema (cấu trúc tổ chức)
Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại
đối tượng nào đó. Ví dụ, cho rằng tất cả các đối tượng máy in đều được định nghĩa
bằng các thuộc tính tên, loại PDL và tốc độ. Danh sách các đối tượng này hình
thành nên schema cho lớp đối tượng “máy in”. Schema có đặc tính là tuỳ biến
được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi
được. Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ Active
Directory.
d. Container (vật chứa)
Vật chứa tương tự với khái niệm thư mục trong Windows. Một thư mục có
thể chứa các tập tin và các thư mục khác. Trong Active Directory, một vật chứa
có thể chứa các đối tượng và các vật chứa khác. Vật chứa cũng có các thuộc tính
như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó như
đối tượng. Có ba loại vật chứa là:
- Domain: khái niệm này được trình bày chi tiết ở phần sau.
- Site: một site là một vị trí. Site được dùng để phân biệt giữa các vị trí cục
bộ và các vị trí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco,
một chi nhánh đặt ở Denver và một văn phòng đại diện đặt ở Portland kết nối về
tổng hành dinh bằng Dialup Networking. Như vậy hệ thống mạng này có ba site.
- 15 -
- OU (Organizational Unit): là một loại vật chứa mà bạn có thể đưa vào đó
người dùng, nhóm, máy tính và những OU khác. Một OU không thể chứa các đối
tượng nằm trong domain khác. Nhờ việc một OU có thể chứa các OU khác, bạn
có thể xây dựng một mô hình thứ bậc của các vật chứa để mô hình hoá cấu trúc
của một tổ chức bên trong một domain. Bạn nên sử dụng OU để giảm thiểu số
lượng domain cần phải thiết lập trên hệ thống.
e. Global Catalog
- Dịch vụ Global Catalog dùng để xác định vị trí của một đối tượng mà
người dùng được cấp quyền truy cập. Việc tìm kiếm được thực hiện xa hơn những
gì đã có trong Windows NT và không chỉ có thể định vị được đối tượng bằng tên
mà có thể bằng cả những thuộc tính của đối tượng.
- Giả sử bạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn
bạn sẽ không dùng một máy in HP Laserjet 4L. Bạn sẽ phải tìm một máy in chuyên
dụng, in với tốc độ 100ppm và có khả năng đóng tài liệu thành quyển. Nhờ Global
Catalog, bạn tìm kiếm trên mạng một máy in với các thuộc tính như vậy và tìm
thấy được một máy Xerox Docutech 6135. Bạn có thể cài đặt driver cho máy in
đó và gửi print job đến máy in. Nhưng nếu bạn ở Portland và máy in thì ở Seattle
thì sao? Global Catalog sẽ cung cấp thông tin này và bạn có thể gửi email cho chủ
nhân của máy in, nhờ họ in giùm.
- Một ví dụ khác, giả sử bạn nhận được một thư thoại từ một người tên
Betty Doe ở bộ phận kế toán. Đoạn thư thoại của cô ta bị cắt xén và bạn không
thể biết được số điện thoại của cô ta. Bạn có thể dùng Global Catalog để tìm thông
tin về cô ta nhờ tên, và nhờ đó bạn có được số điện thoại của cô ta.
- Khi một đối tượng được tạo mới trong Active Directory, đối tượng được
gán một con số phân biệt gọi là GUID (Global Unique Identifier). GUID của một
đối tượng luôn luôn cố định cho dù bạn có di chuyển đối tượng đi đến khu vực
khác.
2. Cài đặt và cấu hình dịch vụ Active Directory
2.1. Nâng cấp Server lên Domain Controller
* Giới thiệu
Một khái niệm không thay đổi từ Windows NT 4.0 là domain. Một domain
vẫn còn là trung tâm của mạng Windows 2000 và Windows 2003 cùng và
Windows Server 2008, tuy nhiên lại được thiết lập khác đi. Các máy điều khiển
vùng (domain controller – DC) không còn phân biệt là PDC (Primary Domain
Controller) hoặc là BDC (Backup Domain Controller). Bây giờ, đơn giản chỉ còn
- 16 -
là DC. Theo mặc định, tất cả các máy Windows Server 2008 khi mới cài đặt đều
là Server độc lập (standalone server). Chương trình DCPROMO chính là Active
Directory Installation Wizard và được dùng để nâng cấp một máy không phải là
DC (Server Stand-alone) thành một máy DC và ngược lại giáng cấp một máy DC
thành một Server bình thường.
* Chuẩn bị các bước cài đặt
Các bước nâng cấp lên Domain Controller như sau: Khai báo các thông số
về địa chỉ IP cho máy cần nâng cấp trong trường hộp này Chúnh ta sẽ tiến hành
nâng cấp máy Server1 chạy Windows Server 2008:
Tùy chỉnh lại thống số IP theo mô hình mạng ở trên đưa ra: Click chuột
phải vào Icon Network trên Deskop chon Properties / Click vào Manager network
connections:
Click chọn Internet Potocol version 4 (TCP/IP v4) sau đó Click chọn
Properties điều chỉ thông số như hình dưới đây: Chú ý là địa chỉ của máy Server
mà Bạn muốn nâng cấp có Perferred DNS phải giống với địa chỉ IP của máy cần
nâng cấp.
- 17 -
Từ Menu Start / Run gõ lệnh dcpromo để tiến hành nâng cấp lên Domain
Controller
Hộp thoại Wellcome to Active Directory Domain Serviec Installation
Wizard xuất hiện Bạn đánh dấu check vào ô Use advanced mode installation sau
đó Click Next đễ tiếp tục chương trình dppromo
- 18 -
Hộp thoại Operting System Compatibility tiếp tục Click Next
- 19 -
Đánh dấu check vào ô Create a new domain in a new forest đễ tạo mới một
domain trong một rừng mới sau đó Click Next đễ tiếp tục.
Hộp thoại Name the Root Domain Bạn nhập vào ô FQDN of the forest root
domain nhập vào tên Domain cần tạo sau đó Click Next.
- 20 -
Hộp thoại Domain NetBIOS Name giữ nguyên mặt định Click Next.
- 21 -
Hộp thoại Set Forest Function Level chọn Windown Server 2008 để sữ
dụng hết những chức năng mới trong Windows Server 2008, sau đó Click Next.
Hộp thoại Additioal Domain Controller Options Bạn đánh dấu check vào
Ô DNS server nếu Bạn muốn chương trình DNS tự dộng được cài đặt trong quá
trình nâng cấp. Ở đây mình khách chọn và dịch vụ DNS sẽ được cài đặt và cấu
hình sau.
- 22 -
Hộp thoại Location for Database, Log Files, and SYSVOL chỉ định nơi lưu
trữ cho Database, nơi lưu trữ cho tập tin Log /files và SYSVOL. Nếu Bạn là một
IT và đây là việc Bạn đang cấu hình thì Hãy chọn nơi lưu trữ vào vị trí khác để
dữ liệu được an toàn.
- 23 -
Hộp thoại Direcroty Serviecs Restore Administrator Password Bạn nhập
Password vào ô bên dưới và Lưu ý là phải nhớ thật kỹ Password này. Sau đó Click
Next.
- 24 -
Hộp thoại Summary tổng hộp lại quá trình Bạn vừa thiết lập nếu muốn thay
đổi thì bạn Click Back, chấp nhập thì Click Next đễ tiếp tục cài đặt.
- 25 -
Quá trình nâng cấp lên Domain Controller đang được tiến hành sau khi kết
thúc quá trình nâng cấp lên Domain Controller thì hệ thống tự Restart nếu Bạn
click chọn vào ô Reboot on completion.
- 26 -
2.2. Các bước gia nhập một máy tram và Domain
* Giới thiệu
Một máy trạm gia nhập vào một domain thực sự là việc tạo ra một mối quan
hệ tin cậy (trust relationship) giữa máy trạm đó với các máy Domain Controller
trong vùng. Sau khi đã thiết lập quan hệ tin cậy thì việc chứng thực người dùng
logon vào mạng trên máy trạm này sẽ do các máy điều khiển vùng đảm nhiệm.
Nhưng chú ý việc gia nhập một máy trạm vào miền phải có sự đồng ý của
người quản trị mạng cấp miền và quản trị viên cục bộ trên máy trạm đó. Nói cách
khác khi bạn muốn gia nhập một máy trạm vào miền, bạn phải đăng nhập cục bộ
vào máy trạm với vai trò là administrator, sau đó gia nhập vào miền, hệ thống sẽ
yêu cầu bạn xác thực bằng một tài khoản người dùng cấp miền có quyền Add
Workstation to Domain (bạn có thể dùng trực tiếp tài khoản administrator cấp
miền).
* Các bước gia nhập
Sau khi nâng cấp Server1 lên Domain Controller. Tiếp theo sau là Zone
một máy trạm vào Domain trong phần này thực hiện trên Server2.
Login vào Server2 với Username là Administrator thực đội gian nhập một
máy trạm vào Domain như sau:
- 27 -
Click chuột phải vào Icon Network trên Desktop chọn Properties sau đó
Click chọn tiếp vào Manager network connections.
Click chọn Internet Protocol Version 4 (TCP/IPv4)
Bước tiếp theo trở lại màn hình Desktop Click chuột phải vào Icon
Computer chọn Properties tiếp tực Click chọn Change settings.
- 28 -
Trong hộp thoại System Properties tiếp tục Click chọn Change…
Hộp thoại Computer name/Domain Changes, Bạn đánh cấu chọn vào ô
Domain vào nhập tên Domain của máy Domain Controller vào sau đó Click chọn
OK.
- 29 -
Hộp thoại Windows Security yêu cầu Bạn cần có một Username vào
Password của người quản trị viên cấp miền. Bạn nhập vào Administrator là tài
khoảng quản trị cho Domain qtm.vn.
Hộp thoại Computer Name/Domain Changes xuất hiện lời chào mừng
- 30 -
Sau khi máy Server2 đã gia nhập thành công hệ thống yêu cầu Restart lại
Server2
3. Triển khai Active Directory Forest và Domain Tree
* Tạo Trust Relationships
Trust Relationship là một liên kết luận lý được thiết lập giữa các hệ thống
Domain, giúp cho cơ chế chứng thực giữa các hệ thống Domain có thể được thừa
hưởng lẫn nhau. Trust Relationship giải quyết bài toán “single sign-on” – logon
chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các Domain, dịch vụ
triển khai trên 1 Domain có thể được truy cập từ user thuộc Domain khác.
Trong một trust relationship cần phải có 2 Domain. Domain được tin tưởng
gọi là Trusted Domain, còn Domain tin tưởng Domain kia gọi là Trusting Domain.
Cơ chế Trust Relationship giúp đảm bảo các đối tượng ( user, ứng dụng hay
chương trình ) được tạo ra trên một Trusted Domain có thể được chứng thực đăng
- 31 -
nhập hay truy cập tài nguyen, dịch vụ trên Trusting Domain. Tuy nhiên, trên hệ
thống Windows hỗ trợ đến 6 loại trust relationship với các đặc tính và ứng dụng
khác nhau.
Mô hình Trust Relationships
Các loại Trust:
- Tree/root trust: Hệ thống tự thiết lập khi ta đưa thêm một tree root domain
vào trong forest có sẵn.
- Parent/child trust: Hệ thống tự thiết lập khi ta đưa thêm một child domain
vào trong một tree có sẵn.
- Shortcut trust: Thiết lập giữa hai domain trong cùng một forest đẻ giảm
bớt các bước chứng thực cho đối tượng. Giám sát các bước sử dụng trong quá
trình chứng thực bằng giao thức Kerberos.
- Realm trust: Thiết lập giữa một hệ thống không sử dụng hệ điều hành
Windows và hệ thống Domain Windows 2008. Điều kiện là hệ thống phải có giao
thức chứng thực hỗ trợ tương thích với giao thức Kerberos cua Windows 2008.
- External trust: Thiết lập để liên kết 2 Domain thuộc 2 Forest khác nhau để
giảm bớt các bước chứng thực.
- Forest trust: Thiết lập giữa 2 forest, bắt đầu hỗ trợ từ Windows 2008, đây
là phương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc
Domain của cả 2 forest.
Trusted Domain Object:
- Đối tượng Domain được tin tưởng.
- Đại diện một vài mối quan hệ tin cậy trong phân vùng Domain.
- 32 -
- Lưu trữ thông tin của loại trust:
+ Domain tree names.
+ Service principal name (SPN) suffixes.
+ Security ID (SID) namespace.
Cách Trust làm viêc trong một Forest:
Mô hình cách làm việc của Trust trong 1 Forest
Cách Trust làm việc giữa các Forest:
Mô hình cách làm việc của Trust giữa các Forest
- 33 -
BÀI 3: QUẢN TRỊ CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY
1. Quản trị tài khoản User , Group , Computer
1.1. Giới thiệu về User Account:
Người sử dụng cần truy cập các tài nguyên khác nhau trên máy tính bất kì
trong mạng. User acconut được tạo ra để xác nhận người sử dụng và cấp cho họ
các thao tác với các tài nguyên trên mạng mà họ có quyền. Một user account chứa
các user name và password cho phép user có thể đăng nhập vào một domain hay
hay một máy tính từ xa bất kì nào. Bất cứ người sử dụng mạng thông thường nào
nên có một user account. Windows 2008 server hỗ trợ ba loại user account: Local
User Account, Domain User Account và Built-in User Account.
* Local User Account (User Account cục bộ):
Với một user account cục bộ, người dùng chỉ có thể đăng nhập vào máy
xác định, nơi mà user account đó được tạo ra. User chỉ có thể truy cập được những
tài nguyên có trên máy tính đó. Một local user account được tạo ra trong từng cơ
sở dữ liệu bảo mật của từng máy cục bộ.
* Domain User Account (User account trong Domain):
Với Domain user account, người sử dụng có thể đăng nhập vào một domain
và có thể truy cập nhiều tài nguyên có mặt tại bất kì nơi nào trên mạng. Một thẻ
truy cậo được tạo ra mà xác nhận người dùng sử dụng và các thiết lập bảo mật của
user này khi người sử dụng cung cấp thông tin đăng nhập(username và password).
Thẻ truy cập được cung cấp bởi windows 2008 server sẽ tồn tại lần cuối cùng cho
đến khi người sử dụng đăng nhập(logon) và mất đi khi người sử dụng huỷ đăng
nhập(log-off). User account trong trường hợp này sẽ được lưu trong cơ sở dữ liệu
của Active Directory. User account này sẽ được nhân bản đến các Domain
controller khác trong domain bởi user account được tạo ra trên domain controller.
Sự nhân bản này sẽ mất một chút thời gian, vì thế sẽ không thể xử lý ngay lập tức
các tài nguyên trên mạng thông qua các user account mới tạo và thời gian nhân
bản thông thường của một Active Directory trong một site thường là 5 phút.
* Built-in User Account (User Account tạo sẵn):
Built-in Account được tạo tự động bởi windows server 2008 và được sử
dụng bởi những người sử dụng thực hiện những tác vụ quản trị hoặc những thao
tác mạng trên một cơ sở dữ liệu tạm thời(temporary basic). Có hai loại Built-in
User account là: Administrator account và Guest account. Hai loại account này
không thể xoá.
- 34 -
- Administrator Account: Built-in Administrator account có thể được sử
dụng để quản lý các máy tính và cấu hình trong domain. Sự quản lý bao gồm các
tác vụ như tạo, sửa các group và các user account, các printer và quản lý các chính
sách bảo mật. Nên tạo ra một user account mới có các nhiệm vụ không phải quản
trị hệ thống( non-administrative task) nếu chúng ta có một Administrator, vì
administrator account nên được giới hạn sử dụng cho các tác vụ quản trị. Để cấm
các user không có quyền đăng nhập vào hệ thống của chúng ta, một giải pháp thực
tế là đổi tên built-in administrator account sao cho không giống như một
administrator account. Chúng ta cũng có thể đánh lừa người sử dụng bằng cách
tạo ra một user account có tên là administrator account nhưng không gán cho một
quyền nào với user account này.
- Guest Account: Thỉnh thoảng các user được chúng ta cung cấp một guest
account để họ có thể đăng nhập tạm thời và các tài nguyên trên mạng. Theo mặc
định thì guest account bị disable. Chúng ta có thể cho phép account này trên một
mạng bảo mật thấp và gán cho nó một password.
1.2. Tạo và quản lý Account
Trong khi tạo các user account chúng ta nên cẩn thận lập kế hoạch và tổ
chức tất cả các thông in về user trước khi bắt tay vào thực hiện. Để đạt được những
điều này chúng ta nên tự làm quen với các quy ước và chỉ dẫn. Theo những quy
ước và chỉ dẫn này giúp chúng ta dễ dàng hơn trong việc quản lý các user account
sau khi tạo chúng. Kế hoạch được thực hiện với sự trợ giúp của ba nguyên tắc cơ
bản quan trọng sau: Naming Conventions (Quy tắc đặt tên), Password Guidelines
(Chỉ dẫn mât khẩu) và Account Option (tuỳ chọn account).
* Quy tắc đặt tên User Account:
Các quy tắc đặt tên sẽ xác định cách mà user sẽ được biết đến trong một
domain. Chúng ta nên đặt tên theo các quy tắc đang tồn tại. Các điểm sau đây nên
được chú ý khi chỉ định quy tắc đặt tên cho tổ chức của chúng ta:
- Chúng ta nên gán một tên duy nhất cho các domain user account và nó
nên được lưu trong Active Directory. Với người sử dụng cục bộ tên account là tên
duy nhất trong một nơi mà các user account cục bộ được tạo.
- User account có thể nên đến 20 kí tự chữ thường hoặc chữ hoa và các kí
tự sau đây không được sử dụng để đặt tên cho User account: “/ \ [ ] ; | = , + * ? <
>”. Các tên này không phân biệt hoa thường. Một sự pha trộn đặt biệt của các kí
tự số có thể làm đơn giản sự định danh các user names.
- 35 -
- Với một tổ chức lớn với một số lượng lớn các user, quy tắc đặt tên giữ
cho tên khỏi bị trùng lặp. Một điều quan trọng là biết được các user tạm thời trong
tổ chức của chúng ta để có thể dễ dàng xoá các tên đăng nhập của họ khi ra khỏi
tổ chức của chúng ta. Trong trường hợp này, việc đầu tiên sẽ là định danh các
nhân viên tạm thời và thêm một kí tự “T”(temporary) và một kí tự “-“ vào tên
đăng nhập của user đó.
* Yêu cầu mật khẩu :
Bất kì một user account nào cũng phải chứa một password phức tạp để bảo
vệ thao tác trên một máy tính hoặc một domain và vì thế giúp chống các cuộc
đăng nhập không cho phép vào máy tính hay domain của chúng ta. Các điểm sau
đây nên được chú ý khi xác định quy uớc đặt tên cho một tổ chức của chúng ta:
- Luôn luôn được khuyến cáo gán mật khẩu cho Administrator account để
tránh các tiếp nhận không cho phép của account.
- Gán password khó đoán cho tài khoản administrator. Chúng ta nên tránh
đặt password liên quan rõ ràng đến ngày sinh, các thành viên trong gia đình hoặc
bạn bè thân.
- Password nên chứa các kí tự thường, chữ hoa, các kí tự số và các kí tự đặt
biệt hợp lệ khác(non-alphanumeric)
- Chúng ta nên xác nhận xem administrator hay user có quyền điều khiển
password. Thông thường là để quyền điều khiển password cho user. Các user phải
được phép gõ vào hoặc thay đổi các password trong lần đầu tiên đăng nhập.
Administrator có thể cho một password duy nhất đến user account và users có thể
ngăn cản sự thay đổi password.
* Các tuỳ chọn account:
Các administrator nên theo dõi giờ đăng nhập của user và máy tính nơi họ
đăng nhập vào. Giờ kết thúc (logon hours) của một account tạm thời nên được
biết trước. Điều này đảm bảo sự bảo mật đúng đắn và sự duy trì của mạng. Các
tuỳ chọn của account bao gồm:
- Logon hours: Chúng ta có thể đặt logon hours cho user tuỳ thuộc vào khả
năng xử lý của user. Theo cách này chúng ta có thể giới hạn thời gian đăng nhập
của user từ ngày đến đêm. Xử lý mặc định của windows 2003 cho user là 24 tiếng
mỗi ngày. Bằng cách đặt logon hours chúng ta có thể rút ngắn thời lượng mà các
unauthorized user (user không được phép) có thể xử lý thông tin thông qua
account này.
- 36 -
- Setting Computer for User Log On: Chúng ta nên xách định xem máy tính
mà user sẽ đăng nhập vào. Các user có thể đăng nhập vào domain từ bất kì máy
tín nào theo mặc định của domain. Vì lý do bảo mật chúng ta có thể giới hạn cho
các user phải đăng nhập vào domain từ các máy tính đơn của họ sở hữu. Có thể là
không giới hạn user đăng nhập vào bất kì máy tính nào trên mạng trong truờng
hợp NetBIOS trên TCP/IP bị disable.
- Account Expiration: Chúng ta nên xác định xem khi nào thì các user xác
định phải hết hạn sử dụng. Nếu chúng ta quyết định không tiếp tục một account
từ một ngày xác định thì chúng ta đặt ngày hết hạn (expiration date) cho user
account đó. Đến sát ngày hết hạn chúng ta sẽ thấy account bị bisable sau ngày hết
hạn đó. User account cho nhân viên tạm thời nên hết hạn cùng ngày với ngày hết
hạn hợp đồng của họ với công ty.
* Tạo các Local user Account:
Một user account cục bộ là một account mà user có thể đăng nhập vào và
xử lý các tài nguyên được hỗ trợ bởi máy tính đơn đó. Chúng ta có thể tạo ra một
user account cục bộ bằng cách dùng console Computer Management. Một User
account cục bộ chỉ được dùng trong trường hợp môi trường mạng nhỏ, ví dụ nó
có thể là một workgroup đơn giản hay một máy tính stand-alone không được cấu
hình trong mạng. Tránh tạo ra các user cục bộ trên các máy tính trong domain vì
domain nên được thừa nhận user cục bộ. Điều này giới hạn các user nhận bất cứ
tài nguyên nào trên domain, nhưng tài nguyên trên máy tính cục bộ thì truy cập
được. Các user account cục bộ có ít số lượng các thuộc tính hơn các domain user
account.
* Tạo các Domain User Account:
Domain User Account có thể được sử dụng để đăng nhập vào domain và vì
thế nhận được các xử lý đến các tài nguyên được lưu trữ ở bất kì nơi đâu trong
mạng. Một domain user account được tạo với sự trợ giúp của Domain Controller.
Administration Tools lưu trữ trong domain controller, được cung cấp trong
windows server 2008 giúp chúng ta tạo ra và quản trị domain user account. Chúng
ta có thể dùng các thiết đặt cho password để tạo ra một home folder và vị trí trung
tâm lưu trữ dữ liệu.
- Các tuỳ chọn khi khởi tạo Domain User Account: Một domain user
account được tạo ra trong một domain controller mà từ đó nó được tự động copy
tất cả đến các domain controller khác trong mạng. Chúng ta nên tạo account trong
- 37 -
mục user mặc định hoặc trong một số folder khác nơi mà các domain user account
khác tồn tại.
+ First Name: Tên của User
+ Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user.
+ Last name: Họ của User
+ Full name: Tên đầy đủ của user. Nó nên là duy nhất trong thư mục
account. Windows server 2008 có khả năng điền thông tin này sau khi tên
và họ của user đã được nhập vào.
+ User logon name: Tuỳ chọn này nên là logon name duy nhất dựa
theo các quy tắc đặt tên và phải là duy nhất trong thư mục.
+ User logon name(pre-windows 2000): Logon name duy nhất của
user để đăng nhập từ phiên bản trước windows 2000 của Microsoft. Cái này
là duy nhất trong domain và là phần tử bắt buộc.
- Các thiết lập cho password: Chúng ta có thể thêm một password khi đang
thêm một user account mới trong domain. Dưới đây là các tuỳ chọn cho password
được gán password khi đang tạo một user mới.
+ Password: Đây là password được dùng trong khi xác nhận user và được
hiển thị dưới dạng cac dấu hoa thị.
+ Confirm password: Xác định lại mật khẩu đã nhập ở trên
+ User Must Change password at next logon: Để cho phép user thay đổi
password trong lần đăng nhập lần đầu tiên.
+ User cannot change password: User không thể thay đổi password. Tuỳ
chọn này được chọn đối với nơi có nhiều hơn một user sử dụng cùng user account
hoặc khi administrator muốn điều khiển password.
+ Password never expires: Chọn tuỳ chọn này nếu password không bao giờ
thay đổi. Tuỳ chọn này sẽ ghi đè thiết lập User must change password at next
logon. Vì thế nếu cả hai tuỳ chọn này được chọn thì windows 2003 sẽ tự động chỉ
chọn tuỳ chọn password never expires
+ Account Dissable: Với tuỳ chọn này chúng ta có thể dừng sử dụng của
user account này.
- Thay đổi thuộc tính của User account: Tất cả các account đều có một tập
các thuộc tính. Các domain user account đương nhiên là có nhiều thuộc tính hơn
các local user account. Các thuộc tính của local user account là tập con của các
thuộc tính trong domain user account. Các thuộc tính được sử dụng để tìm kiếm
- 38 -
bất kì user nào trong Active Directory. Mỗi domain nên được cấu hình với những
thuộc tính bắt buộc sau đây:
+ Các thuộc tính các nhân sẽ có: thuộc tính chung (general), điện thoại
(telephones), tổ chức (organizational).
+ Thuộc tính giờ Logon (Logon hours)
+ Thuộc tính Logon to
+ Các thuộc tính Account.
Để chỉnh sửa các thuộc tính của một domain user account, mở Active
Directory Users and Computer. Nhấp đúp chuột lên đối tượng mà user mà chúng
ta muốn thay đổi thuộc tính của nó. Trường hợp local user account, mở snap-in
Computer management và từ đó chọn Local Users and Groups: Sau đó nhấp đúp
lên đối tượng user mà chúng ta muốn thay đổi thuộc tính của nó. Hộp thoại thuộc
tính chứa tập các tab cho phép user thay đổi và thiết lập các thuộc tính khách nhau.
Các thuộc tính được thiết lập cho dưới đây là dùng cho domain user account và
chỉ cho 4 tab thuộc tính từ domain user account bổ xung cho local user account.
Các thuộc tính đó bao gồm: Dial-in, General, Member Of và Profile. Chi tiết các
các tab thuộc tính này gồm:
+ General: Tab này sẽ được cung cấp thông tin về tên của user, mô tả, điện
thoại, email user name, địa chỉ văn phòng và home page(trang chủ).
+ Address: Tab này sẽ cung cấp các địa chỉ đường, thành phố, hộp thư,
bang hay mã vùng(zip code) và nước(country) của user.
+ Account: Tab này sẽ cho phép định nghĩa logon name của user và cũng
thiết đặt thêm các tuỳ chọn như Logon Hours và Log on to. Những tuỳ chọn này
đã được đặt trong suốt quá trình tạo đối tượng user trong cơ sở dữ liệu Active
Directory và có thể được thay đổi ở đây.
+ Profile: Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũng
duy trì toàn bộ môi trường làm việc của user. Một đường dẫn mạng cũng có thể
được thiết lập để nhận các truy cập các tài nguyên mạng và bổ xung kịch bản đăng
nhập và home folder có thể được gán bởi tuỳ chọn này.
+ Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile,
pager (số máy tin nhắn) và IP phone của user. Chúng ta cũng có thể thêm các ghi
chú ở đây.
+ Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty,
tên công ty hay tổ chức, các thông tin về user và báo các trực tiếp của user.
- 39 -
+ Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó user
này thuộc về.
+ Dial-In: Tùy chọn này cho phép chúng ta điều khiển user tạo một kết nối
dial-in từ một nơi xa đến mạng. Điều này chỉ có thể thực hiện nếu user đang quay
số tới một máy tính đang chạy Windows 2003 Remote access services(RAS). Có
một số tuỳ để thiết lập cho bảo mật quay số như sau:
Allow Access: Tự động xác định các thiết lập dial-in có được cho phép hay
không.
Deny Access: Sẽ xác định dial-in có bị từ chối hay không
Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết nối.
No Callback: Sẽ xác định RAS sẽ không gọi người user. Điều này cho phép
user gọi từ bất kì số điện thoại nào. Nó được thiết kế cho môi trường bảo mật thấp.
Set by caller: Sẽ xác định RAS sẽ đáp ứng đến user có được cung cấp nó
với số điện thoại. Vì thông tin này sẽ có thể được ghi lại(logged) nên chúng ta có
thể sử dụng có trên môi trường bảo mật trung bình.
Always Callback To: Sẽ xác định rằng RAS sẽ đáp ứng lại với user tại số
điện thoại đã được xác định. User nên cẩn thận để hiện diện tại cùng một thời
điểm RAS kết nối đến. Tuỳ chọn này được dùng trong môi trường bảo mật cao.
Environment: Để tạo môi trường client-working thì tab này phải được sử
dụng. Nó xác định một hay nhiều ứng dụng khởi động và tất cả các thiết bị để kết
nối khi user đăng nhập vào.
Sessions: Tuỳ chọn này được sử dụng để giới hạn chiều dài của sessions
(phiên), tuỳ thuộc vào session có active (kích hoạt), idle (nghỉ) hay disconnect
(ngắt kết nối). Chúng ta cũng có thể quyết định những hành động nên được tiến
hành trong trường hợp session đã tiến đến giới hạn thời gian.
+ End A Disconnected Session: Chỉ định thời gian lớn nhất mà một session
chưa kết nối còn cho phép được chạy. Một khi quá giới hạn thời gian thì session
không thể tìm trở lại.
+ Active Session Limit: Xác định khoảng lớn nhất của session được kết nối.
Một khi giới hạn thời gian tiến đến gần, session có thể khởi động lại hoặc ngắt kết
nối rời khỏi session active trên server.
+ Idle Session Limit: Xác định thời gian lớn nhất được cho trứoc khi session
được khởi tạo lại hay ngắt kết nối. Nó sẽ bị ngắt kết nối sau khi hết thời gian của
những hoạt động tại kết nối.
- 40 -
+ Remote control: Sẽ xác định các thiết lập điều khiển từ xa của các dịch
vụ Terminal. Bằng các thiết lập điều này chúng ta có thể tham gia giám sát session
của client của bất kì máy tính nào đã đăng nhập vào Terminal Server.
1.3. Triển khai User principal name suffixes:
User principal name (UPN): Là một tên dùng để logon trong hệ thống mạng
windows server 2008.
Được chia ra hai phần:
+ Upn prefix.
+ Upn suffix.
Lợi ích của việc dùng upn:
+ Duy nhất trong Active Directory forest.
+ Dùng như 1 địa chỉ email.
Name suffix routing: Là cơ chế phân giải tên miền thông qua những forest
trust. Name suffix sử dụng để định tuyến các yêu cầu chứng thực giữa các forest
được thiết lập trust với nhau. Name suffix không tồn tại trong forest thứ nhất có
thể được định tuyến tới forest thứ 2.
Thông tin cấu hình định tuyến được thừa kế cho domain con.
Name suffix bị xung đột khi:
+ Một DNS name đã được sử dụng.
+ Một NETBIOS name đã được sử dụng.
+ Một domain SID trùng với một name suffix SID.
Name suffix conflict trong domain là nguyên nhân khiến bị cấm truy cập
tài nguyên từ bên ngoài forest.
2. Quản trị OU
2.1. Xây dựng và quản lý OU
Đơn vị tổ chức (OU) là một phân khu trong một Active Directory mà bạn
có thể chứa đựng: User account, Groups, Computers, và các đơn vị tổ chức khác.
Bạn có thể tạo ra các đơn vị tổ chức để nhân bản cấu trúc chức năng hoặc tổ chức
kinh doanh của bạn. Mỗi miền có thể thực hiện của hệ thống phân cấp đơn vị tổ
chức. Nếu tổ chức của bạn có chứa một số lĩnh vực, bạn có thể tạo ra những cấu
trúc đơn vị tổ chức trong từng lĩnh vực là độc lập của các cấu trúc trong các lĩnh
vực khác.
Thuật ngữ "đơn vị tổ chức" thường được rút ngắn "OU" trong cuộc trò
chuyện thông thường. "Container" cũng thường được áp dụng trong vị trí của nó,
- 41 -
ngay cả trong tài liệu riêng của Microsoft. Tất cả các thuật ngữ được coi là chính
xác và hoán đổi cho nhau.
Các phương pháp tạo và quản lý OU:
* Active Directory Users and Computer:
Start / Administrative Tools /Active Directory Users and Computers (hoặc
vào Start / Run, gõ lệnh DSA.MSC) để mở cửa sổ quản lý thành viên trong hệ
thống. Bạn nhấn phải vào tên domain, chọn New / Organizational Unit / nhập tên
OU vào ô Name / OK, OU vừa tạo sẽ được liệt kê bên dưới tên domain.
* Các lệnh hỗ trợ: dsadd, dsmod, dsrm, dsmove, dsget, dsquery
- dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào
trong dịch vụ Directory.
- dsrm: xóa một đối tượng trong dịch vụ Directory.
- dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch
vụ Directory.
- dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact,
group, ou, server hoặc user trong một dịch vụ Directory.
- dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user
trong một dịch vụ Directory.
- dsquery: truy vấn các thành phần trong dịch vụ Directory.
2.2. Ủy quyền và quản lý OU
* Mục đích ủy quyền quản trị OU:
- Phân tán việc quản lý cho từng OU
- Đơn giản hóa trong việc quản trị
- Việc ủy quyền cung cấp
- Việc tự quản trong mỗi OU
- Cô lập quản lý dữ liệu và dịch vụ
* Các tác vụ quản trị OU:
- Thay đổi thuộc tính của vật chứa (container).
- Tạo và xóa object.
- Thay đổi thuộc tính cuat object.
2.3. Chiến lược xây dựng OU
* Tiến trình lập kế hoạch xây dựng OU:
- Lập tài liệu về cấu trúc hiện tại của doanh nghiệp.
- Xác định các vùng cần cải tiến quản trị.
- Xác định cấp độ quản trị.
- 42 -
- Xác định tài khoản quản trị và tài khoản người dùng trong từng OU và
các tài nguyên mà họ được phép quản lý và sử dụng.
* Các nhân tố ảnh hương đến cấu trúc OU:
- Các loại mô hình quản trị IT:
+ Tập trung.
+ Tập trung tại hội sở (Trụ sở chính) và phân tán tại chi nhánh.
+ Quản trị phân tán.
+ Thuê IT bên ngoài.
- Cấu trúc của các mô hình quản trị IT:
+ Dựa trên vị trí địa lý (Geographic - based)
+ Dựa trên cấu trúc tổ chức phòng ban của doanh nghiệp
(Organization - based)
+ Dựa trên chức năng trong cách tổ chức của doanh nghiệp
(Bussiness function - based)
+ Kết hợp (Hybrid)
* Chiến lược trong việc triển khai cấu trúc OU:
Mô hình chiến lược triển khai cấu trúc OU
3. Quản trị Profile User
3.1. Cấu hình Home Directory - Pro/files
Home Folder là một share folder tự động map về máy trạm thành ổ đĩa
mạng khi User đăng nhập bất kỳ client nào.
Home directory là thư mục cất giữ dữ liệu, chương trình, ứng dụng của một
User ngoài thư mục My Documents.
Home directory có thể cất giữ local trên mỗi máy user log on locally hay
có thể cất giữ trên server.
- 43 -
Chúng ta chỉ định Home Directory trong "User acc properties" \ Tab
Profile.
Để cấu hình Home Diretory ta tiến hành làm như sau: Login vào Domain
Controller với quyền Administratro. Vào ô đĩa C: tạo thư mục có tên là DULIEU
/ Click chuột phải vào thư mục vừa tạo chọn Propertiese sau đó chọn tiếp Tab
Sharing như hình dưới đây:
Sau khi Click chọn vào Tab Sharing tiếp tục Click chọn vào Advanced
Sharing …/ đánh dấu chọn vào Share this folder
- 44 -
Đánh dấu chọn vào Permisssions và cấp quyền cho nhóm Everyone là Full
Control / Click chọn Apply / OK
- 45 -
Hộp thoại DULIEU Properties đã được Sharing / Click chọn Close đễ đống
cửa sổ này lại.
Bước tiếp theo mở công cụ Active Driectory Users and Computers từ Menu
chọn Start / Administrative Tools. Sau đó tạo User với tên Là U1 / Click chọn
Properties của User U1 chọn Tab Profile tạo mục Home folder đánh dấu chọn vào
Connect: mục To: nhập đường nơi chứa các Profile được tạo ra cho U1 khi Login
vào Doamin: \\DC01\DULIEU\%usernamee% .Click chọn Apply / OK
- 46 -
3.2. Cấu hình Roaming Pro/files
Profile là tổng hợp những dữ liệu đặc thù của một user. Nó bao gồm các dữ
liệu như Favorites của IE, bookmark của Firefox, Outlook settings, và nhiều thứ
- 47 -