Quản trị môi trường mạng

TRƯỜNG CAO ĐẲNG CƠ ĐIỆN HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN GIÁO TRÌNH QUẢN TRỊ MÔI TRƯỜNG MẠNG (Lưu hành nội bộ) Hà Nội, năm 2018 MỤC LỤC BÀI 1: TỔNG QUAN VỀ WINDOWS SERVER................................................ 3 1. Tính năng vượt trội........................................................................................ 3 2. Các phiên bản của Windows Server 2008 .................................................... 6 3. Tính năng trong Windows Server 2008 ........................................................ 6 4. Cài đặt Windows Server 2008..................................................................... 10 BÀI 2: DỊCH VỤ ACTIVE DIRECTORY......................................................... 14 1. Tổng quan về Active Directory ................................................................... 14 2. Cài đặt và cấu hình dịch vụ Active Directory ............................................. 16 3. Triển khai Active Directory Forest và Domain Tree .................................. 31 BÀI 3: QUẢN TRỊ CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY....... 34 1. Quản trị tài khoản User , Group , Computer ............................................... 34 2. Quản trị OU ................................................................................................. 41 3. Quản trị Profile User ................................................................................... 43 4. Tạo các đối tượng bằng Command Line ..................................................... 50 BÀI 4: QUẢN TRỊ TÀI NGUYÊN CHIA SẺ .................................................... 55 1. Tổng quan về quyền truy xuất tệp tin và thư mục ...................................... 55 2. Shared Folder .............................................................................................. 57 3. NTFS Permission ........................................................................................ 68 4. Triển khai DFS ............................................................................................ 75 BÀI 5: TRIỂN KHAI CHÍNH SÁCH ................................................................. 80 1. Giới thiệu về Group Policy Object (GPO) .................................................. 80 2. Ứng dụng các chính sách nhóm .................................................................. 80 3. Cấu hình các chính sách nhóm .................................................................... 82 4. Group Policy tác động đến Startup và Logon ............................................. 86 5. Sự kế thừa .................................................................................................... 86 BÀI 6: QUẢN LÝ LƯU TRỮ VÀ BẢO MẬT DỮ LIỆU ................................. 88 1. Giới thiệu về lưu trữ dữ liệu ........................................................................ 88 -1- 2. Sao lưu và phục hồi dữ liệu......................................................................... 91 3. Mã hóa dữ liệu bằng EFS ............................................................................ 92 4. Thiết lập hạn ngạch ..................................................................................... 93 BÀI 7: GIÁM SÁT VÀ DUY TRÌ HOẠT ĐỘNG CỦA SERVER ................... 97 1. Phương thức quản trị Server ....................................................................... 97 2. Giám sát hoạt động của Server.................................................................... 97 3. Phát hiện và khắc phục sự cố .................................................................... 107 4. Sao lưu và phục hồi hệ thống .................................................................... 109 -2- BÀI 1: TỔNG QUAN VỀ WINDOWS SERVER 1. Tính năng vượt trội Lịch sử phát triển: * Hệ điều hành mạng Windows NT Windows NT là hệ điều hành mạng cao cấp của hãng Microsoft. Phiên bản đầu có tên là Windows NT 3.1 phát hành năm 1993, và phiên bản server là Windows NT Advanced Server (trước đó là LAN Manager for NT). Năm 1994 phiên bản Windows NT Server và Windows NT Workstation version 3.5 được phát hành. Tiếp theo đó ra đời các bản version 3.51. Năm 1995, Windows NT Workstation và Windows NT Server version 4.0 ra đời. Là hệ điều hành mạng đáp ứng tất cả các giao thức truyền thông phổ dụng nhất. Ngoài ra nó vừa cho phép giao lưu giữa các máy trong mạng, vừa cho phép truy nhập từ xa, cho phép truyền file v.v... Windows NT là hệ điều hành vừa đáp ứng cho mạng cục bộ (LAN) vừa đáp ứng cho mạng diện rộng (WAN) như Intranet, Internet. Windows NT server hơn hẳn các hệ điều hành khác bởi tính mềm dẻo,đa dạng trong quản lý. Nó vừa cho phép quản lý mạng theo mô hình mạng phân biệt (Clien/Server), vừa cho phép quản lý theo mô hình mạng ngang hàng (peer to peer). Cài đặt đơn giản, nhẹ nhàng và điều quan trọng nhất là nó tương thích với hầu như tất cả các hệ mạng. Các cơ chế quản lý của Windows NT: - Quản lý đối tượng (Object Manager): Tất cả tài nguyên của hệ điều hành được thực thi như các đối tượng. Một đối tượng là một đại diện trừu tượng của một tài nguyên. Nó mô tả trạng thái bên trong và các tham số của tài nguyên và tập hợp các phương thức (method) có thể được sử dụng để truy cập và điều khiển đối tượng. Bằng cách xử lý toàn bộ tài nguyên như đối tượng Windows NT có thể thực hiện các phương thức giống nhau như: tạo đối tượng, bảo vệ đối tượng, giám sát việc sử dụng đối tượng (Client object) giám sát những tài nguyên được sử dụng bởi một đối tượng. - Cơ chế bảo mật (SRM - Security Reference Monitor): Ðược sử dụng để thực hiện vấn đề an ninh trong hệ thống Windows NT. Các yêu cầu tạo một đối tượng phải được chuyển qua SRM để quyết định việc truy cập tài nguyên được cho phép hay không. SRM làm việc với hệ thống con bảo mật trong chế độ user. -3- Hệ thống con này được sử dụng để xác nhận user login vào hệ thống Windows NT. - Quản lý nhập / xuất (I/O Manager): Chịu trách nhiệm cho toàn bộ các chức năng nhập / xuất trong hệ điều hành Windows NT. I/O Manager liên lạc với trình điều khiển của các thiết bị khác nhau. - I/O Manager: Sử dụng một kiến trúc lớp cho các trình điều khiển. Mỗi bộ phận điều khiển trong lớp này thực hiện một chức năng được xác định rõ. Phương pháp tiếp cận này cho phép một thành phần điều khiển được thay thế dễ dàng mà không ảnh hưởng phần còn lại của các bộ phận điều khiển. * Windows Server 2000: Đây là phiên bản thay thế cho Windows NT Server 4.0, nó được thiết kế cho người dùng là những doanh nghiệp lớn, hướng phục vụ cho các “mạng lớn”. Nó thừa hưởng lại tất cả những chức năng của Windows NT Server 4.0 và thêm vào đó là giao diện đồ họa thân thiện với người sử dụng. Họ hệ điều hành Windows 2000 Server có 3 phiên bản chính là: Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server. Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từng loại dịch vụ. Các đặc trưng của Windows 2000: Những thay đổi quan trọng nhất so với NT cũ gồm có: - Active Directory - Hạ tầng kiến trúc nối mạng TCP/IP đã được cải tiến - Những cơ sở hạ tầng bảo mật dễ co giãn hơn - Việc chia sẻ dùng chung các tập tin trở lên mạnh mẽ hơn so với hệ thống tập tin phân tán (Distributed File System) và dịch vụ sao chép tập tin (File Replication Service) - Không lệ thuộc cứng nhắc vào các mẫu tự ổ đĩa nữa nhờ các điểm nối (junction point) và các ổ đĩa gắn lên được (mountable drive) - Việc lưu trữ dữ liệu trực tuyến mềm dẻo, linh động hơn nhờ có tính năng Removable Storage Manager. * Windows Server 2003: Windows Server 2003 có 4 phiên bản được sử dụng rộng rãi nhất là: Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition, Web Edition. - Windows Server 2003 Web Edition: tối ưu dành cho các máy chủ web -4- - Windows Server 2003 Standard Edition: bản chuẩn dành cho các doanh nghiệp, các tổ chức nhỏ đến vừa. - Windows Server 2003 Enterprise Edition: bản nâng cao dành cho các tổ chức, các doanh nghiệp vừa đến lớn. - Windows Server 2003 Datacenter Edittion: bản dành riêng cho các tổ chức lớn, các tập đoàn ví dụ như IBM, DELL… Những đặc điểm mới của Windows Server 2003: - Khả năng kết chùm các Server để san sẻ tải (Network Load Balancing Clusters) và cài đặt nóng RAM (hot swap). - Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểu được chính sách nhóm (group policy) được thiết lập trong WinXP, có bộ công cụ quản trị mạng đầy đủ các tính năng chạy trên WinXP. - Tính năng cơ bản của Mail Server được tính hợp sẵn: đối với các công ty nhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử dụng dịch vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003 để làm một hệ thống mail đơn giản phục vụ cho công ty. - Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (Mircosoft Database Engine) được cắt xén từ SQL Server 2000. - NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003 này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peer-topeer đến các máy bên ngoài Internet, đặc biệt là các thông tin được truyền giữa các máy này có thể được mã hóa hoàn toàn. - Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and Remote Access). - Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa các gốc rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn. - Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps - Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn - Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một Server. * Windows Server 2008: Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát -5- tối đa cơ sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắc hơn các phiên bản trước đây. Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc bảo đảm tất cả người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từ mạng. Windows Server 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều hành và khả năng chuẩn đoán, cho phép các quản trị viên tăng được thời gian hỗ trợ cho các doanh nghiệp. Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiện mạnh mẽ cho hệ điều hành cơ bản. Cải thiện hệ điều hành cho máy chủ Windows.Thêm vào tính năng mới, Windows Server 2008 cung cấp nhiều cải thiệm tốt hơn cho hệ điều hành cơ bản so với hệ điều hành Windows Server 2003. Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sự triển khai và hệ thống file. Các tính năng được cải thiện mạnh mẽ so với phiên bản 2003: + An toàn bảo mật. + Truy cập ứng dụng từ xa. + Quản lý server tập trung. + Các công cụ giám sát hiệu năng và độ tin cậy. + Failover clustering và hệ thống file. Hỗ trợ trong việc kiểm soát một cách tối ưu hạ tầng máy chủ, đồng thời tạo nên một môi trường máy chủ an toàn, tin cậy và hiệu quả hơn trước rất nhiều. 2. Các phiên bản của Windows Server 2008 - Windows Server 2008 Standard Edition - Windows Server 2008 Enterprise Edition - Windows Server 2008 Datacenter Edition - Windows Web Server 2008 3. Tính năng trong Windows Server 2008 3.1. Công cụ quản trị Server Manager -6- Server Manager là một giao diện điều khiển được thiết kế để tổ chức và quản lý một server chạy hệ điều hành Windows Server 2008. Người quản trị có thể sử dụng Server Manager với những nhiều mục đích khác nhau. - Quản lý đồng nhất trên một server - Hiển thị trạng thái hiện tại của server - Nhận ra các vấn đề gặp phải đối với các role đã đợc cài đặt một cách dễ dàng hơn - Quản lý các role trên server, bao gồm việc thêm và xóa role - Thêm và xóa bỏ các tính năng - Chẩn đoán các dấu hiệu bất thường - Cấu hình server: có 4 công cụ ( Task Scheduler, Windows Firewall, Services và WMI Control). - Cấu hình sao lưu và lưu trữ: các công cụ giúp sao lưu và quản lý ổ đĩa là Windows Server Backup và Disk Management đều nằm trên Server Manager. 3.2. Windows Server Core Server Core là một tính năng mới trong Windows Server 2008. Nó cho phép có thể cài đặt với mục đích hỗ trợ đặc biệt và cụ thể đối với một số role. Tất cả các tương tác với Server Core được thông qua các dòng lệnh. Server Core mang lại những lợi ích sau: + Giảm thiểu được phần mềm, vì thế việc sử dụng dung lượng ổ đĩa cũng được giảm. Chỉ tốn khoảng 1GB khi cài đặt. + Bởi vì giảm thiểu được phần mềm nên việc cập nhật cũng không nhiều. + Giảm thiểu tối đa những hành vi xâm nhập vào hệ thống thông qua các port được mở mặc định. + Dễ dàng quản lý. Server Core không bao gồm tất cả các tính năng có sẵn trong những phiên bản cài đặt Server khác. Ví dụ như .NET Framework hoặc Internet Explorer. 3.3. PowerShell PowerShell là một tập hợp lệnh. Nó kết nối những dòng lệnh shell với một ngôn ngữ script và thêm vào đó hơn 130 công cụ dòng lệnh(được gọi là cmdlets).Hiện tại, có thể sử dụng PowerShell trong: + Exchange Server + SQL Server + Terminal Services + Active Directory Domain Services. -7- + Quản trị các dịch vụ, xử lý và registry. Mặc định, Windows PowerShell chưa được cài đặt. Tuy nhiên có thể cài đặt nó một cách dễ dàng bằng cách sử dụng công cụ quản trị Server Manager và chọn Features / Add Features 3.4. Windows Deloyment Services Windows Deployment Services được tích hợp trong Windows Server 2008 cho phép cài đặt hệ điều hành từ xa cho các máy client mà không cần phải cài đặt trực tiếp. WDS cho phép cài đặt từ xa thông qua Image lấy từ DVD cài đặt. Ngoài ra, WDS còn hỗ trợ tạo Image từ 1 máy tính đã cài đặt sẵn Windows và đầy đủ các ứng dụng khác. Windows Deployment Serviece sử dụng định dạng Windows Image (WIM). Một cải tiến đặc biệt với WIM so với RIS là WIM có thể làm việc tốt với nhiều nền tảng phần cứng khác nhau. 3.5. Terminal Services Terminal Services là một thành phần chính trên Windows Server 2008 cho phép user có thể truy cập vào server để sử dụng những phần mềm. Terminal Services giúp người quản trị triển khai và bảo trì hệ thống phần mềm trong doanh nghiệp một cách hiệu quả. Người quản trị có thể cài đặt các chương trình phần mềm lên Terminal Server mà không cần cài đặt trên hệ thống máy client, vì thế việc cập nhật và bảo trì phần mềm trở nên dễ dàng hơn. Terminal Services cung cấp 2 sự khác biệt cho người quản trị và người dùng cuối: - Dành cho người quản trị: cho phép quản trị có thể kết nối từ xa hệ thống quản trị bằng việc sử dụng Remote Desktop Connection hoặc Remote Desktop. - Dành cho người dùng cuối: cho phép người dùng cuối có thể chạy các chương trình từ Terminal Services server. 3.6. Network Access Protection Network Access Protection (NAP) là một hệ thống chính sách thi hành (Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows Server 2008. Cơ chế thực thi của NAP: + Kiểm tra tình trạng an toàn của client. + Giới hạn truy cập đối với các máy client không an toàn. -8- + NAP sẽ cập nhật những thành phần cần thiết cho các máy client không an toàn, cho đến khi client đủ điều kiện an toàn.Cho phép client kết nối nếu client đã thỏa điều kiện. + NAP giúp bảo vệ hệ thống mạng từ các client. + NAP cung cấp bộ thư viên API (Application Programming Interface), cho phép các nhà quản trị lập trình nhằm tăng tính bảo mật cho mình 3.7. Read-Only Domain Controllers Read-Only Domain Controller (RODC) là một kiểu Domain Controller mới trên Windows Server 2008.Với RODC, doanh nghiệp có thể dễ dàng triển khai các Domain Controller ở những nơi mà sự bảo mật không được đảm bảo về bảo mật. RODC là một phần dữ liệu của Active Directory Domain Services. Vì RODC là một phần dữ liệu của ADDS nên nó lưu trữ mọi đối tượng, thuộc tính và các chính sách giống như domain controller, tuy nhiên mật khẩu thì bị ngoại trừ. 3.8. Công nghệ Failover Clustering Clustering là công nghệ cho phép sử dụng hai hay nhiều server kết hợp với nhau để tạo thành một cụm server để tăng cường tính ổn định trong vận hành.Nếu server này ngưng hoạt động thì server khác trong cụm sẽ đảm nhận nhiệm vụ mà server ngưng hoạt động đó đang thực hiện nhằm mục đích hoạt động của hệ thống vẫn bình thường. Quá trình chuyển giao gọi là failover. Những phiên bản sau hỗ trợ: - Windows Server 2008 Enterprise - Windows Server 2008 Datacenter - Windows Server 2008 Itanium 3.9. Windows Firewall with Advance Security Windows Firewall with Advance Security cho phép người quản trị có thể cấu hình đa dạng và nâng cao để tăng cường tính bảo mật cho hệ thống. Windows Firewall with Advance Security có những điểm mới: + Kiểm soát chặt chẽ các kết nối vào và ra trên hệ thống (inbound và outbound) + IPsec được thay thế bằng khái niệm Connection Security Rule, giúp có thể kiểm soát và quản lý các chính sách, đồng thời giám sát trên firewall. Kết hợp với Active Directory. + Hỗ trợ đầy đủ IPv6. -9- 4. Cài đặt Windows Server 2008 * Yêu cầu phần cứng: Windows Server 2008 hỗ trợ cả 2 cấu trúc vi xử lý 32-bit và 64-bit. Tuy nhiên, phiên bản mới nhất là Windows Server 2008 R2, Windows Midmarket Server và Windows Small Business với những tính năng đa dịch vụ, các phiên bản này chỉ hỗ trợ cấu trúc vi xử lý 64-bit. RAM hỗ trợ tối đa cho hệ thống 32-bit là 4GB khi chạy phiên bản Standard Edition và 64GB khi chạy phiên bản Enterprise và Datacenter. Nếu chạy hệ thống 64-bit, bộ nhớ RAM có thể hỗ trợ lên dến 32GB và 2TB RAM cho phiên bản Enterprise và Datacenter. Thêm vào đó, Windows Server 2008 hỗ trợ hệ thống Itanium, tuy nhiên chip xử lí Intel Itanium 2 nhân là cần thiết. Phần cứng Bộ vi xử lý RAM Dung lượng trống Yêu cầu tối thiểu 1 GHz (x86); 1,4 GHz (x64) 512 MB 15GB Đề nghị 2 GHz hoặc lớn hơn 2 GB 40 GB * Cài đặt hệ điều hành 1. Cho đĩa cài đặt Windows Server 2008 vào ổ và khởi động máy chủ từ đĩa cài. 2. Khi được yêu cầu chọn ngôn ngữ, thời gian, đơn vị tiền tệ và thông tin bàn phím, hãy đưa ra lựa chọn thích hợp rồi click Next. Thiết lập ngôn ngữ, thời gian và đơn vị tiền tệ, thông tin bàn phím - 10 - 3. Tùy chọn Install Now xuất hiện. Nếu chưa chắc chắn về yêu cầu phần cứng, có thể click vào liên kết What to Know Before Installing Windows để biết thêm chi tiết. 4. Nhập khóa kích hoạt sản phẩm (product key) và đánh dấu kiểm vào ô Automatically Activate Windows When I’m Online. Click Next. Nhập khóa kích hoạt sản phẩm hợp lệ 5. Nếu chưa nhập khóa sản phẩm ở mục trước, bây giờ sẽ phải lựa chọn ấn bản Windows Server 2008 sắp cài đặt và đánh dấu kiểm vào ô I Have Selected an Edition of Windows That I Purchased. Nếu đã nhập khóa sản phẩm hợp lệ, trình cài đặt sẽ tự động nhận diện được ấn bản Windows Server 2008 sắp cài đặt. Click Next. - 11 - Lựa chọn bản Windows Server 2008 để cài đặt 6. Đọc các điều khoản quy định và chấp nhận bằng cách đánh dấu ô kiểm. Click Next. 7. Ở cửa sổ mới xuất hiện, do khởi động máy từ đĩa cài nên tùy chọn Upgrade (nâng cấp) đã bị vô hiệu. Click Custom (Advanced). Tùy chọn Upgrade đã bị vô hiệu khi khởi động máy từ đĩa cài Lưu ý: Nếu muốn tiến hành cài đặt nâng cấp, cần chạy trình cài đặt trong môi trường Windows. - 12 - 8. Trên cửa sổ tiếp theo, cần lựa chọn vị trí cài đặt Windows. Nếu có driver của các thiết bị lưu trữ bên thứ ba, cần cài đặt ngay bằng cách click liên kết Load Driver. Tải driver của các thiết bị lưu trữ bên thứ ba và chọn nơi cài đặt Lúc này, Windows sẽ bắt đầu được cài đặt vào hệ thống. Có thể thấy từng bước tiến trình hoàn tất thể hiện bằng phần trăm. Trong quá trình cài đặt, máy chủ sẽ phải khởi động lại nhiều lần. Trình cài đặt sẽ hoàn thành những tác vụ sau đây: - Sao chép tệp tin - Mở rộng tệp tin - Cài đặt chức năng - Cài đặt cập nhật - Hoàn thành 9. Khi quá trình cài đặt hoàn tất, hãy thay đổi mật khẩu tài khoản quản trị administrator trước khi đăng nhập. Sau khi mật khẩu được thay đổi và đã đăng nhập vào hệ điều hành, như vậy là đã xong phần 1 của việc cài đặt. - 13 - BÀI 2: DỊCH VỤ ACTIVE DIRECTORY 1. Tổng quan về Active Directory 1.1. Giới thiệu AD (Active Directory) là dịch vụ thư mục chứa các thông tin về các tài nguyên trên mạng, có thể mở rộng và có khả năng tự điều chỉnh cho phép bạn quản lý tài nguyên mạng hiệu quả. Để có thể làm việc tốt với Active Directory, chúng ta sẽ tìm hiểu khái quát về Active Directory, sau đó khảo sát các thành phần của dịch vụ này. Các đối tượng AD bao gồm dữ liệu của người dùng (user data), máy in(printers), máy chủ (servers), cơ sở dữ liệu (databases), các nhóm người dùng (groups), các máy tính (computers), và các chính sách bảo mật (security policies). Ngoài ra một khái niệm mới được sử dụng là container (tạm dịch là tập đối tượng). Ví dụ Domain là một tập đối tượng chứa thông tin người dùng, thông tin các máy trên mạng, và chứa các đối tượng khác. 1.2. Chức năng của Active Directory - Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. - Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). - Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng - Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa… - Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ. 1.3. Directory Services 1.3.1. Giới thiệu Directory Services Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trong NTDS.DIT và các chương trình quản lý, khai thác tập tin này. Dịch vụ danh bạ là một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống Active Directory. Một hệ thống với những tính năng vượt trội của Microsoft. - 14 - 1.3.2. Các thành phần trong Directory Services Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh bạ là gì? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số điện thoại. Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc tính liên quan đến các đối tượng đó. a. Object (đối tượng) Trong hệ thống cơ sở dữ liệu, đối tượng bao gồm các máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, … Đối tượng chính là thành tố căn bản nhất của dịch vụ danh bạ. b. Attribute (thuộc tính) Một thuộc tính mô tả một đối tượng. Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng mạng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên, các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau. Lấy ví dụ như một máy in và một máy trạm cả hai đều có một thuộc tính là địa chỉ IP. c. Schema (cấu trúc tổ chức) Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đối tượng nào đó. Ví dụ, cho rằng tất cả các đối tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại PDL và tốc độ. Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng “máy in”. Schema có đặc tính là tuỳ biến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi được. Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ Active Directory. d. Container (vật chứa) Vật chứa tương tự với khái niệm thư mục trong Windows. Một thư mục có thể chứa các tập tin và các thư mục khác. Trong Active Directory, một vật chứa có thể chứa các đối tượng và các vật chứa khác. Vật chứa cũng có các thuộc tính như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó như đối tượng. Có ba loại vật chứa là: - Domain: khái niệm này được trình bày chi tiết ở phần sau. - Site: một site là một vị trí. Site được dùng để phân biệt giữa các vị trí cục bộ và các vị trí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco, một chi nhánh đặt ở Denver và một văn phòng đại diện đặt ở Portland kết nối về tổng hành dinh bằng Dialup Networking. Như vậy hệ thống mạng này có ba site. - 15 - - OU (Organizational Unit): là một loại vật chứa mà bạn có thể đưa vào đó người dùng, nhóm, máy tính và những OU khác. Một OU không thể chứa các đối tượng nằm trong domain khác. Nhờ việc một OU có thể chứa các OU khác, bạn có thể xây dựng một mô hình thứ bậc của các vật chứa để mô hình hoá cấu trúc của một tổ chức bên trong một domain. Bạn nên sử dụng OU để giảm thiểu số lượng domain cần phải thiết lập trên hệ thống. e. Global Catalog - Dịch vụ Global Catalog dùng để xác định vị trí của một đối tượng mà người dùng được cấp quyền truy cập. Việc tìm kiếm được thực hiện xa hơn những gì đã có trong Windows NT và không chỉ có thể định vị được đối tượng bằng tên mà có thể bằng cả những thuộc tính của đối tượng. - Giả sử bạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn bạn sẽ không dùng một máy in HP Laserjet 4L. Bạn sẽ phải tìm một máy in chuyên dụng, in với tốc độ 100ppm và có khả năng đóng tài liệu thành quyển. Nhờ Global Catalog, bạn tìm kiếm trên mạng một máy in với các thuộc tính như vậy và tìm thấy được một máy Xerox Docutech 6135. Bạn có thể cài đặt driver cho máy in đó và gửi print job đến máy in. Nhưng nếu bạn ở Portland và máy in thì ở Seattle thì sao? Global Catalog sẽ cung cấp thông tin này và bạn có thể gửi email cho chủ nhân của máy in, nhờ họ in giùm. - Một ví dụ khác, giả sử bạn nhận được một thư thoại từ một người tên Betty Doe ở bộ phận kế toán. Đoạn thư thoại của cô ta bị cắt xén và bạn không thể biết được số điện thoại của cô ta. Bạn có thể dùng Global Catalog để tìm thông tin về cô ta nhờ tên, và nhờ đó bạn có được số điện thoại của cô ta. - Khi một đối tượng được tạo mới trong Active Directory, đối tượng được gán một con số phân biệt gọi là GUID (Global Unique Identifier). GUID của một đối tượng luôn luôn cố định cho dù bạn có di chuyển đối tượng đi đến khu vực khác. 2. Cài đặt và cấu hình dịch vụ Active Directory 2.1. Nâng cấp Server lên Domain Controller * Giới thiệu Một khái niệm không thay đổi từ Windows NT 4.0 là domain. Một domain vẫn còn là trung tâm của mạng Windows 2000 và Windows 2003 cùng và Windows Server 2008, tuy nhiên lại được thiết lập khác đi. Các máy điều khiển vùng (domain controller – DC) không còn phân biệt là PDC (Primary Domain Controller) hoặc là BDC (Backup Domain Controller). Bây giờ, đơn giản chỉ còn - 16 - là DC. Theo mặc định, tất cả các máy Windows Server 2008 khi mới cài đặt đều là Server độc lập (standalone server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp một máy không phải là DC (Server Stand-alone) thành một máy DC và ngược lại giáng cấp một máy DC thành một Server bình thường. * Chuẩn bị các bước cài đặt Các bước nâng cấp lên Domain Controller như sau: Khai báo các thông số về địa chỉ IP cho máy cần nâng cấp trong trường hộp này Chúnh ta sẽ tiến hành nâng cấp máy Server1 chạy Windows Server 2008: Tùy chỉnh lại thống số IP theo mô hình mạng ở trên đưa ra: Click chuột phải vào Icon Network trên Deskop chon Properties / Click vào Manager network connections: Click chọn Internet Potocol version 4 (TCP/IP v4) sau đó Click chọn Properties điều chỉ thông số như hình dưới đây: Chú ý là địa chỉ của máy Server mà Bạn muốn nâng cấp có Perferred DNS phải giống với địa chỉ IP của máy cần nâng cấp. - 17 - Từ Menu Start / Run gõ lệnh dcpromo để tiến hành nâng cấp lên Domain Controller Hộp thoại Wellcome to Active Directory Domain Serviec Installation Wizard xuất hiện Bạn đánh dấu check vào ô Use advanced mode installation sau đó Click Next đễ tiếp tục chương trình dppromo - 18 - Hộp thoại Operting System Compatibility tiếp tục Click Next - 19 - Đánh dấu check vào ô Create a new domain in a new forest đễ tạo mới một domain trong một rừng mới sau đó Click Next đễ tiếp tục. Hộp thoại Name the Root Domain Bạn nhập vào ô FQDN of the forest root domain nhập vào tên Domain cần tạo sau đó Click Next. - 20 - Hộp thoại Domain NetBIOS Name giữ nguyên mặt định Click Next. - 21 - Hộp thoại Set Forest Function Level chọn Windown Server 2008 để sữ dụng hết những chức năng mới trong Windows Server 2008, sau đó Click Next. Hộp thoại Additioal Domain Controller Options Bạn đánh dấu check vào Ô DNS server nếu Bạn muốn chương trình DNS tự dộng được cài đặt trong quá trình nâng cấp. Ở đây mình khách chọn và dịch vụ DNS sẽ được cài đặt và cấu hình sau. - 22 - Hộp thoại Location for Database, Log Files, and SYSVOL chỉ định nơi lưu trữ cho Database, nơi lưu trữ cho tập tin Log /files và SYSVOL. Nếu Bạn là một IT và đây là việc Bạn đang cấu hình thì Hãy chọn nơi lưu trữ vào vị trí khác để dữ liệu được an toàn. - 23 - Hộp thoại Direcroty Serviecs Restore Administrator Password Bạn nhập Password vào ô bên dưới và Lưu ý là phải nhớ thật kỹ Password này. Sau đó Click Next. - 24 - Hộp thoại Summary tổng hộp lại quá trình Bạn vừa thiết lập nếu muốn thay đổi thì bạn Click Back, chấp nhập thì Click Next đễ tiếp tục cài đặt. - 25 - Quá trình nâng cấp lên Domain Controller đang được tiến hành sau khi kết thúc quá trình nâng cấp lên Domain Controller thì hệ thống tự Restart nếu Bạn click chọn vào ô Reboot on completion. - 26 - 2.2. Các bước gia nhập một máy tram và Domain * Giới thiệu Một máy trạm gia nhập vào một domain thực sự là việc tạo ra một mối quan hệ tin cậy (trust relationship) giữa máy trạm đó với các máy Domain Controller trong vùng. Sau khi đã thiết lập quan hệ tin cậy thì việc chứng thực người dùng logon vào mạng trên máy trạm này sẽ do các máy điều khiển vùng đảm nhiệm. Nhưng chú ý việc gia nhập một máy trạm vào miền phải có sự đồng ý của người quản trị mạng cấp miền và quản trị viên cục bộ trên máy trạm đó. Nói cách khác khi bạn muốn gia nhập một máy trạm vào miền, bạn phải đăng nhập cục bộ vào máy trạm với vai trò là administrator, sau đó gia nhập vào miền, hệ thống sẽ yêu cầu bạn xác thực bằng một tài khoản người dùng cấp miền có quyền Add Workstation to Domain (bạn có thể dùng trực tiếp tài khoản administrator cấp miền). * Các bước gia nhập Sau khi nâng cấp Server1 lên Domain Controller. Tiếp theo sau là Zone một máy trạm vào Domain trong phần này thực hiện trên Server2. Login vào Server2 với Username là Administrator thực đội gian nhập một máy trạm vào Domain như sau: - 27 - Click chuột phải vào Icon Network trên Desktop chọn Properties sau đó Click chọn tiếp vào Manager network connections. Click chọn Internet Protocol Version 4 (TCP/IPv4) Bước tiếp theo trở lại màn hình Desktop Click chuột phải vào Icon Computer chọn Properties tiếp tực Click chọn Change settings. - 28 - Trong hộp thoại System Properties tiếp tục Click chọn Change… Hộp thoại Computer name/Domain Changes, Bạn đánh cấu chọn vào ô Domain vào nhập tên Domain của máy Domain Controller vào sau đó Click chọn OK. - 29 - Hộp thoại Windows Security yêu cầu Bạn cần có một Username vào Password của người quản trị viên cấp miền. Bạn nhập vào Administrator là tài khoảng quản trị cho Domain qtm.vn. Hộp thoại Computer Name/Domain Changes xuất hiện lời chào mừng - 30 - Sau khi máy Server2 đã gia nhập thành công hệ thống yêu cầu Restart lại Server2 3. Triển khai Active Directory Forest và Domain Tree * Tạo Trust Relationships Trust Relationship là một liên kết luận lý được thiết lập giữa các hệ thống Domain, giúp cho cơ chế chứng thực giữa các hệ thống Domain có thể được thừa hưởng lẫn nhau. Trust Relationship giải quyết bài toán “single sign-on” – logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các Domain, dịch vụ triển khai trên 1 Domain có thể được truy cập từ user thuộc Domain khác. Trong một trust relationship cần phải có 2 Domain. Domain được tin tưởng gọi là Trusted Domain, còn Domain tin tưởng Domain kia gọi là Trusting Domain. Cơ chế Trust Relationship giúp đảm bảo các đối tượng ( user, ứng dụng hay chương trình ) được tạo ra trên một Trusted Domain có thể được chứng thực đăng - 31 - nhập hay truy cập tài nguyen, dịch vụ trên Trusting Domain. Tuy nhiên, trên hệ thống Windows hỗ trợ đến 6 loại trust relationship với các đặc tính và ứng dụng khác nhau. Mô hình Trust Relationships Các loại Trust: - Tree/root trust: Hệ thống tự thiết lập khi ta đưa thêm một tree root domain vào trong forest có sẵn. - Parent/child trust: Hệ thống tự thiết lập khi ta đưa thêm một child domain vào trong một tree có sẵn. - Shortcut trust: Thiết lập giữa hai domain trong cùng một forest đẻ giảm bớt các bước chứng thực cho đối tượng. Giám sát các bước sử dụng trong quá trình chứng thực bằng giao thức Kerberos. - Realm trust: Thiết lập giữa một hệ thống không sử dụng hệ điều hành Windows và hệ thống Domain Windows 2008. Điều kiện là hệ thống phải có giao thức chứng thực hỗ trợ tương thích với giao thức Kerberos cua Windows 2008. - External trust: Thiết lập để liên kết 2 Domain thuộc 2 Forest khác nhau để giảm bớt các bước chứng thực. - Forest trust: Thiết lập giữa 2 forest, bắt đầu hỗ trợ từ Windows 2008, đây là phương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc Domain của cả 2 forest. Trusted Domain Object: - Đối tượng Domain được tin tưởng. - Đại diện một vài mối quan hệ tin cậy trong phân vùng Domain. - 32 - - Lưu trữ thông tin của loại trust: + Domain tree names. + Service principal name (SPN) suffixes. + Security ID (SID) namespace. Cách Trust làm viêc trong một Forest: Mô hình cách làm việc của Trust trong 1 Forest Cách Trust làm việc giữa các Forest: Mô hình cách làm việc của Trust giữa các Forest - 33 - BÀI 3: QUẢN TRỊ CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY 1. Quản trị tài khoản User , Group , Computer 1.1. Giới thiệu về User Account: Người sử dụng cần truy cập các tài nguyên khác nhau trên máy tính bất kì trong mạng. User acconut được tạo ra để xác nhận người sử dụng và cấp cho họ các thao tác với các tài nguyên trên mạng mà họ có quyền. Một user account chứa các user name và password cho phép user có thể đăng nhập vào một domain hay hay một máy tính từ xa bất kì nào. Bất cứ người sử dụng mạng thông thường nào nên có một user account. Windows 2008 server hỗ trợ ba loại user account: Local User Account, Domain User Account và Built-in User Account. * Local User Account (User Account cục bộ): Với một user account cục bộ, người dùng chỉ có thể đăng nhập vào máy xác định, nơi mà user account đó được tạo ra. User chỉ có thể truy cập được những tài nguyên có trên máy tính đó. Một local user account được tạo ra trong từng cơ sở dữ liệu bảo mật của từng máy cục bộ. * Domain User Account (User account trong Domain): Với Domain user account, người sử dụng có thể đăng nhập vào một domain và có thể truy cập nhiều tài nguyên có mặt tại bất kì nơi nào trên mạng. Một thẻ truy cậo được tạo ra mà xác nhận người dùng sử dụng và các thiết lập bảo mật của user này khi người sử dụng cung cấp thông tin đăng nhập(username và password). Thẻ truy cập được cung cấp bởi windows 2008 server sẽ tồn tại lần cuối cùng cho đến khi người sử dụng đăng nhập(logon) và mất đi khi người sử dụng huỷ đăng nhập(log-off). User account trong trường hợp này sẽ được lưu trong cơ sở dữ liệu của Active Directory. User account này sẽ được nhân bản đến các Domain controller khác trong domain bởi user account được tạo ra trên domain controller. Sự nhân bản này sẽ mất một chút thời gian, vì thế sẽ không thể xử lý ngay lập tức các tài nguyên trên mạng thông qua các user account mới tạo và thời gian nhân bản thông thường của một Active Directory trong một site thường là 5 phút. * Built-in User Account (User Account tạo sẵn): Built-in Account được tạo tự động bởi windows server 2008 và được sử dụng bởi những người sử dụng thực hiện những tác vụ quản trị hoặc những thao tác mạng trên một cơ sở dữ liệu tạm thời(temporary basic). Có hai loại Built-in User account là: Administrator account và Guest account. Hai loại account này không thể xoá. - 34 - - Administrator Account: Built-in Administrator account có thể được sử dụng để quản lý các máy tính và cấu hình trong domain. Sự quản lý bao gồm các tác vụ như tạo, sửa các group và các user account, các printer và quản lý các chính sách bảo mật. Nên tạo ra một user account mới có các nhiệm vụ không phải quản trị hệ thống( non-administrative task) nếu chúng ta có một Administrator, vì administrator account nên được giới hạn sử dụng cho các tác vụ quản trị. Để cấm các user không có quyền đăng nhập vào hệ thống của chúng ta, một giải pháp thực tế là đổi tên built-in administrator account sao cho không giống như một administrator account. Chúng ta cũng có thể đánh lừa người sử dụng bằng cách tạo ra một user account có tên là administrator account nhưng không gán cho một quyền nào với user account này. - Guest Account: Thỉnh thoảng các user được chúng ta cung cấp một guest account để họ có thể đăng nhập tạm thời và các tài nguyên trên mạng. Theo mặc định thì guest account bị disable. Chúng ta có thể cho phép account này trên một mạng bảo mật thấp và gán cho nó một password. 1.2. Tạo và quản lý Account Trong khi tạo các user account chúng ta nên cẩn thận lập kế hoạch và tổ chức tất cả các thông in về user trước khi bắt tay vào thực hiện. Để đạt được những điều này chúng ta nên tự làm quen với các quy ước và chỉ dẫn. Theo những quy ước và chỉ dẫn này giúp chúng ta dễ dàng hơn trong việc quản lý các user account sau khi tạo chúng. Kế hoạch được thực hiện với sự trợ giúp của ba nguyên tắc cơ bản quan trọng sau: Naming Conventions (Quy tắc đặt tên), Password Guidelines (Chỉ dẫn mât khẩu) và Account Option (tuỳ chọn account). * Quy tắc đặt tên User Account: Các quy tắc đặt tên sẽ xác định cách mà user sẽ được biết đến trong một domain. Chúng ta nên đặt tên theo các quy tắc đang tồn tại. Các điểm sau đây nên được chú ý khi chỉ định quy tắc đặt tên cho tổ chức của chúng ta: - Chúng ta nên gán một tên duy nhất cho các domain user account và nó nên được lưu trong Active Directory. Với người sử dụng cục bộ tên account là tên duy nhất trong một nơi mà các user account cục bộ được tạo. - User account có thể nên đến 20 kí tự chữ thường hoặc chữ hoa và các kí tự sau đây không được sử dụng để đặt tên cho User account: “/ \ [ ] ; | = , + * ? < >”. Các tên này không phân biệt hoa thường. Một sự pha trộn đặt biệt của các kí tự số có thể làm đơn giản sự định danh các user names. - 35 - - Với một tổ chức lớn với một số lượng lớn các user, quy tắc đặt tên giữ cho tên khỏi bị trùng lặp. Một điều quan trọng là biết được các user tạm thời trong tổ chức của chúng ta để có thể dễ dàng xoá các tên đăng nhập của họ khi ra khỏi tổ chức của chúng ta. Trong trường hợp này, việc đầu tiên sẽ là định danh các nhân viên tạm thời và thêm một kí tự “T”(temporary) và một kí tự “-“ vào tên đăng nhập của user đó. * Yêu cầu mật khẩu : Bất kì một user account nào cũng phải chứa một password phức tạp để bảo vệ thao tác trên một máy tính hoặc một domain và vì thế giúp chống các cuộc đăng nhập không cho phép vào máy tính hay domain của chúng ta. Các điểm sau đây nên được chú ý khi xác định quy uớc đặt tên cho một tổ chức của chúng ta: - Luôn luôn được khuyến cáo gán mật khẩu cho Administrator account để tránh các tiếp nhận không cho phép của account. - Gán password khó đoán cho tài khoản administrator. Chúng ta nên tránh đặt password liên quan rõ ràng đến ngày sinh, các thành viên trong gia đình hoặc bạn bè thân. - Password nên chứa các kí tự thường, chữ hoa, các kí tự số và các kí tự đặt biệt hợp lệ khác(non-alphanumeric) - Chúng ta nên xác nhận xem administrator hay user có quyền điều khiển password. Thông thường là để quyền điều khiển password cho user. Các user phải được phép gõ vào hoặc thay đổi các password trong lần đầu tiên đăng nhập. Administrator có thể cho một password duy nhất đến user account và users có thể ngăn cản sự thay đổi password. * Các tuỳ chọn account: Các administrator nên theo dõi giờ đăng nhập của user và máy tính nơi họ đăng nhập vào. Giờ kết thúc (logon hours) của một account tạm thời nên được biết trước. Điều này đảm bảo sự bảo mật đúng đắn và sự duy trì của mạng. Các tuỳ chọn của account bao gồm: - Logon hours: Chúng ta có thể đặt logon hours cho user tuỳ thuộc vào khả năng xử lý của user. Theo cách này chúng ta có thể giới hạn thời gian đăng nhập của user từ ngày đến đêm. Xử lý mặc định của windows 2003 cho user là 24 tiếng mỗi ngày. Bằng cách đặt logon hours chúng ta có thể rút ngắn thời lượng mà các unauthorized user (user không được phép) có thể xử lý thông tin thông qua account này. - 36 - - Setting Computer for User Log On: Chúng ta nên xách định xem máy tính mà user sẽ đăng nhập vào. Các user có thể đăng nhập vào domain từ bất kì máy tín nào theo mặc định của domain. Vì lý do bảo mật chúng ta có thể giới hạn cho các user phải đăng nhập vào domain từ các máy tính đơn của họ sở hữu. Có thể là không giới hạn user đăng nhập vào bất kì máy tính nào trên mạng trong truờng hợp NetBIOS trên TCP/IP bị disable. - Account Expiration: Chúng ta nên xác định xem khi nào thì các user xác định phải hết hạn sử dụng. Nếu chúng ta quyết định không tiếp tục một account từ một ngày xác định thì chúng ta đặt ngày hết hạn (expiration date) cho user account đó. Đến sát ngày hết hạn chúng ta sẽ thấy account bị bisable sau ngày hết hạn đó. User account cho nhân viên tạm thời nên hết hạn cùng ngày với ngày hết hạn hợp đồng của họ với công ty. * Tạo các Local user Account: Một user account cục bộ là một account mà user có thể đăng nhập vào và xử lý các tài nguyên được hỗ trợ bởi máy tính đơn đó. Chúng ta có thể tạo ra một user account cục bộ bằng cách dùng console Computer Management. Một User account cục bộ chỉ được dùng trong trường hợp môi trường mạng nhỏ, ví dụ nó có thể là một workgroup đơn giản hay một máy tính stand-alone không được cấu hình trong mạng. Tránh tạo ra các user cục bộ trên các máy tính trong domain vì domain nên được thừa nhận user cục bộ. Điều này giới hạn các user nhận bất cứ tài nguyên nào trên domain, nhưng tài nguyên trên máy tính cục bộ thì truy cập được. Các user account cục bộ có ít số lượng các thuộc tính hơn các domain user account. * Tạo các Domain User Account: Domain User Account có thể được sử dụng để đăng nhập vào domain và vì thế nhận được các xử lý đến các tài nguyên được lưu trữ ở bất kì nơi đâu trong mạng. Một domain user account được tạo với sự trợ giúp của Domain Controller. Administration Tools lưu trữ trong domain controller, được cung cấp trong windows server 2008 giúp chúng ta tạo ra và quản trị domain user account. Chúng ta có thể dùng các thiết đặt cho password để tạo ra một home folder và vị trí trung tâm lưu trữ dữ liệu. - Các tuỳ chọn khi khởi tạo Domain User Account: Một domain user account được tạo ra trong một domain controller mà từ đó nó được tự động copy tất cả đến các domain controller khác trong mạng. Chúng ta nên tạo account trong - 37 - mục user mặc định hoặc trong một số folder khác nơi mà các domain user account khác tồn tại. + First Name: Tên của User + Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user. + Last name: Họ của User + Full name: Tên đầy đủ của user. Nó nên là duy nhất trong thư mục account. Windows server 2008 có khả năng điền thông tin này sau khi tên và họ của user đã được nhập vào. + User logon name: Tuỳ chọn này nên là logon name duy nhất dựa theo các quy tắc đặt tên và phải là duy nhất trong thư mục. + User logon name(pre-windows 2000): Logon name duy nhất của user để đăng nhập từ phiên bản trước windows 2000 của Microsoft. Cái này là duy nhất trong domain và là phần tử bắt buộc. - Các thiết lập cho password: Chúng ta có thể thêm một password khi đang thêm một user account mới trong domain. Dưới đây là các tuỳ chọn cho password được gán password khi đang tạo một user mới. + Password: Đây là password được dùng trong khi xác nhận user và được hiển thị dưới dạng cac dấu hoa thị. + Confirm password: Xác định lại mật khẩu đã nhập ở trên + User Must Change password at next logon: Để cho phép user thay đổi password trong lần đăng nhập lần đầu tiên. + User cannot change password: User không thể thay đổi password. Tuỳ chọn này được chọn đối với nơi có nhiều hơn một user sử dụng cùng user account hoặc khi administrator muốn điều khiển password. + Password never expires: Chọn tuỳ chọn này nếu password không bao giờ thay đổi. Tuỳ chọn này sẽ ghi đè thiết lập User must change password at next logon. Vì thế nếu cả hai tuỳ chọn này được chọn thì windows 2003 sẽ tự động chỉ chọn tuỳ chọn password never expires + Account Dissable: Với tuỳ chọn này chúng ta có thể dừng sử dụng của user account này. - Thay đổi thuộc tính của User account: Tất cả các account đều có một tập các thuộc tính. Các domain user account đương nhiên là có nhiều thuộc tính hơn các local user account. Các thuộc tính của local user account là tập con của các thuộc tính trong domain user account. Các thuộc tính được sử dụng để tìm kiếm - 38 - bất kì user nào trong Active Directory. Mỗi domain nên được cấu hình với những thuộc tính bắt buộc sau đây: + Các thuộc tính các nhân sẽ có: thuộc tính chung (general), điện thoại (telephones), tổ chức (organizational). + Thuộc tính giờ Logon (Logon hours) + Thuộc tính Logon to + Các thuộc tính Account. Để chỉnh sửa các thuộc tính của một domain user account, mở Active Directory Users and Computer. Nhấp đúp chuột lên đối tượng mà user mà chúng ta muốn thay đổi thuộc tính của nó. Trường hợp local user account, mở snap-in Computer management và từ đó chọn Local Users and Groups: Sau đó nhấp đúp lên đối tượng user mà chúng ta muốn thay đổi thuộc tính của nó. Hộp thoại thuộc tính chứa tập các tab cho phép user thay đổi và thiết lập các thuộc tính khách nhau. Các thuộc tính được thiết lập cho dưới đây là dùng cho domain user account và chỉ cho 4 tab thuộc tính từ domain user account bổ xung cho local user account. Các thuộc tính đó bao gồm: Dial-in, General, Member Of và Profile. Chi tiết các các tab thuộc tính này gồm: + General: Tab này sẽ được cung cấp thông tin về tên của user, mô tả, điện thoại, email user name, địa chỉ văn phòng và home page(trang chủ). + Address: Tab này sẽ cung cấp các địa chỉ đường, thành phố, hộp thư, bang hay mã vùng(zip code) và nước(country) của user. + Account: Tab này sẽ cho phép định nghĩa logon name của user và cũng thiết đặt thêm các tuỳ chọn như Logon Hours và Log on to. Những tuỳ chọn này đã được đặt trong suốt quá trình tạo đối tượng user trong cơ sở dữ liệu Active Directory và có thể được thay đổi ở đây. + Profile: Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũng duy trì toàn bộ môi trường làm việc của user. Một đường dẫn mạng cũng có thể được thiết lập để nhận các truy cập các tài nguyên mạng và bổ xung kịch bản đăng nhập và home folder có thể được gán bởi tuỳ chọn này. + Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile, pager (số máy tin nhắn) và IP phone của user. Chúng ta cũng có thể thêm các ghi chú ở đây. + Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty, tên công ty hay tổ chức, các thông tin về user và báo các trực tiếp của user. - 39 - + Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó user này thuộc về. + Dial-In: Tùy chọn này cho phép chúng ta điều khiển user tạo một kết nối dial-in từ một nơi xa đến mạng. Điều này chỉ có thể thực hiện nếu user đang quay số tới một máy tính đang chạy Windows 2003 Remote access services(RAS). Có một số tuỳ để thiết lập cho bảo mật quay số như sau: Allow Access: Tự động xác định các thiết lập dial-in có được cho phép hay không. Deny Access: Sẽ xác định dial-in có bị từ chối hay không Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết nối. No Callback: Sẽ xác định RAS sẽ không gọi người user. Điều này cho phép user gọi từ bất kì số điện thoại nào. Nó được thiết kế cho môi trường bảo mật thấp. Set by caller: Sẽ xác định RAS sẽ đáp ứng đến user có được cung cấp nó với số điện thoại. Vì thông tin này sẽ có thể được ghi lại(logged) nên chúng ta có thể sử dụng có trên môi trường bảo mật trung bình. Always Callback To: Sẽ xác định rằng RAS sẽ đáp ứng lại với user tại số điện thoại đã được xác định. User nên cẩn thận để hiện diện tại cùng một thời điểm RAS kết nối đến. Tuỳ chọn này được dùng trong môi trường bảo mật cao. Environment: Để tạo môi trường client-working thì tab này phải được sử dụng. Nó xác định một hay nhiều ứng dụng khởi động và tất cả các thiết bị để kết nối khi user đăng nhập vào. Sessions: Tuỳ chọn này được sử dụng để giới hạn chiều dài của sessions (phiên), tuỳ thuộc vào session có active (kích hoạt), idle (nghỉ) hay disconnect (ngắt kết nối). Chúng ta cũng có thể quyết định những hành động nên được tiến hành trong trường hợp session đã tiến đến giới hạn thời gian. + End A Disconnected Session: Chỉ định thời gian lớn nhất mà một session chưa kết nối còn cho phép được chạy. Một khi quá giới hạn thời gian thì session không thể tìm trở lại. + Active Session Limit: Xác định khoảng lớn nhất của session được kết nối. Một khi giới hạn thời gian tiến đến gần, session có thể khởi động lại hoặc ngắt kết nối rời khỏi session active trên server. + Idle Session Limit: Xác định thời gian lớn nhất được cho trứoc khi session được khởi tạo lại hay ngắt kết nối. Nó sẽ bị ngắt kết nối sau khi hết thời gian của những hoạt động tại kết nối. - 40 - + Remote control: Sẽ xác định các thiết lập điều khiển từ xa của các dịch vụ Terminal. Bằng các thiết lập điều này chúng ta có thể tham gia giám sát session của client của bất kì máy tính nào đã đăng nhập vào Terminal Server. 1.3. Triển khai User principal name suffixes: User principal name (UPN): Là một tên dùng để logon trong hệ thống mạng windows server 2008. Được chia ra hai phần: + Upn prefix. + Upn suffix. Lợi ích của việc dùng upn: + Duy nhất trong Active Directory forest. + Dùng như 1 địa chỉ email. Name suffix routing: Là cơ chế phân giải tên miền thông qua những forest trust. Name suffix sử dụng để định tuyến các yêu cầu chứng thực giữa các forest được thiết lập trust với nhau. Name suffix không tồn tại trong forest thứ nhất có thể được định tuyến tới forest thứ 2. Thông tin cấu hình định tuyến được thừa kế cho domain con. Name suffix bị xung đột khi: + Một DNS name đã được sử dụng. + Một NETBIOS name đã được sử dụng. + Một domain SID trùng với một name suffix SID. Name suffix conflict trong domain là nguyên nhân khiến bị cấm truy cập tài nguyên từ bên ngoài forest. 2. Quản trị OU 2.1. Xây dựng và quản lý OU Đơn vị tổ chức (OU) là một phân khu trong một Active Directory mà bạn có thể chứa đựng: User account, Groups, Computers, và các đơn vị tổ chức khác. Bạn có thể tạo ra các đơn vị tổ chức để nhân bản cấu trúc chức năng hoặc tổ chức kinh doanh của bạn. Mỗi miền có thể thực hiện của hệ thống phân cấp đơn vị tổ chức. Nếu tổ chức của bạn có chứa một số lĩnh vực, bạn có thể tạo ra những cấu trúc đơn vị tổ chức trong từng lĩnh vực là độc lập của các cấu trúc trong các lĩnh vực khác. Thuật ngữ "đơn vị tổ chức" thường được rút ngắn "OU" trong cuộc trò chuyện thông thường. "Container" cũng thường được áp dụng trong vị trí của nó, - 41 - ngay cả trong tài liệu riêng của Microsoft. Tất cả các thuật ngữ được coi là chính xác và hoán đổi cho nhau. Các phương pháp tạo và quản lý OU: * Active Directory Users and Computer: Start / Administrative Tools /Active Directory Users and Computers (hoặc vào Start / Run, gõ lệnh DSA.MSC) để mở cửa sổ quản lý thành viên trong hệ thống. Bạn nhấn phải vào tên domain, chọn New / Organizational Unit / nhập tên OU vào ô Name / OK, OU vừa tạo sẽ được liệt kê bên dưới tên domain. * Các lệnh hỗ trợ: dsadd, dsmod, dsrm, dsmove, dsget, dsquery - dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào trong dịch vụ Directory. - dsrm: xóa một đối tượng trong dịch vụ Directory. - dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụ Directory. - dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact, group, ou, server hoặc user trong một dịch vụ Directory. - dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trong một dịch vụ Directory. - dsquery: truy vấn các thành phần trong dịch vụ Directory. 2.2. Ủy quyền và quản lý OU * Mục đích ủy quyền quản trị OU: - Phân tán việc quản lý cho từng OU - Đơn giản hóa trong việc quản trị - Việc ủy quyền cung cấp - Việc tự quản trong mỗi OU - Cô lập quản lý dữ liệu và dịch vụ * Các tác vụ quản trị OU: - Thay đổi thuộc tính của vật chứa (container). - Tạo và xóa object. - Thay đổi thuộc tính cuat object. 2.3. Chiến lược xây dựng OU * Tiến trình lập kế hoạch xây dựng OU: - Lập tài liệu về cấu trúc hiện tại của doanh nghiệp. - Xác định các vùng cần cải tiến quản trị. - Xác định cấp độ quản trị. - 42 - - Xác định tài khoản quản trị và tài khoản người dùng trong từng OU và các tài nguyên mà họ được phép quản lý và sử dụng. * Các nhân tố ảnh hương đến cấu trúc OU: - Các loại mô hình quản trị IT: + Tập trung. + Tập trung tại hội sở (Trụ sở chính) và phân tán tại chi nhánh. + Quản trị phân tán. + Thuê IT bên ngoài. - Cấu trúc của các mô hình quản trị IT: + Dựa trên vị trí địa lý (Geographic - based) + Dựa trên cấu trúc tổ chức phòng ban của doanh nghiệp (Organization - based) + Dựa trên chức năng trong cách tổ chức của doanh nghiệp (Bussiness function - based) + Kết hợp (Hybrid) * Chiến lược trong việc triển khai cấu trúc OU: Mô hình chiến lược triển khai cấu trúc OU 3. Quản trị Profile User 3.1. Cấu hình Home Directory - Pro/files Home Folder là một share folder tự động map về máy trạm thành ổ đĩa mạng khi User đăng nhập bất kỳ client nào. Home directory là thư mục cất giữ dữ liệu, chương trình, ứng dụng của một User ngoài thư mục My Documents. Home directory có thể cất giữ local trên mỗi máy user log on locally hay có thể cất giữ trên server. - 43 - Chúng ta chỉ định Home Directory trong "User acc properties" \ Tab Profile. Để cấu hình Home Diretory ta tiến hành làm như sau: Login vào Domain Controller với quyền Administratro. Vào ô đĩa C: tạo thư mục có tên là DULIEU / Click chuột phải vào thư mục vừa tạo chọn Propertiese sau đó chọn tiếp Tab Sharing như hình dưới đây: Sau khi Click chọn vào Tab Sharing tiếp tục Click chọn vào Advanced Sharing …/ đánh dấu chọn vào Share this folder - 44 - Đánh dấu chọn vào Permisssions và cấp quyền cho nhóm Everyone là Full Control / Click chọn Apply / OK - 45 - Hộp thoại DULIEU Properties đã được Sharing / Click chọn Close đễ đống cửa sổ này lại. Bước tiếp theo mở công cụ Active Driectory Users and Computers từ Menu chọn Start / Administrative Tools. Sau đó tạo User với tên Là U1 / Click chọn Properties của User U1 chọn Tab Profile tạo mục Home folder đánh dấu chọn vào Connect: mục To: nhập đường nơi chứa các Profile được tạo ra cho U1 khi Login vào Doamin: \\DC01\DULIEU\%usernamee% .Click chọn Apply / OK - 46 - 3.2. Cấu hình Roaming Pro/files Profile là tổng hợp những dữ liệu đặc thù của một user. Nó bao gồm các dữ liệu như Favorites của IE, bookmark của Firefox, Outlook settings, và nhiều thứ - 47 -