Quản trị vùng Domain Controller

User 1 User 2 User 3 SAM User 1 User 2 User 3 SAM Các mô hình mạng Trong mô hình Workgroup: •Thông tin tài khoản người dùng được lưu trong tệp SAM trên mỗi máy cục bộ.. Máy tính này s

Please purchase a personal license.

Network Administration

QUẢN TRỊ MẠNG TRÊN MÔI TRƯỜNG WINDOW SERVER

Chương 4 : Domain controller

Quản trị vùng

• Active Directory

• Group policy

User 1 User 2 User 3

SAM

User 1 User 2 User 3

SAM

Các mô hình mạng

Trong mô hình Workgroup:

•Thông tin tài khoản người dùng được lưu

trong tệp SAM trên mỗi máy cục bộ.

•Quá trình chứng thực diễn ra trên máy cục

bộ

Trong mô hình Domain của Windows Server 2003 thì :

• Một máy tính làm chức năng điều khỉên vùng (Domain controller) Máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng

• Các thông tin người dùng được tập trung lại do dịch vụActive Directory quản lý và được lưu trữ trên Domain controller với tên tập tin là NTDS.DIT

• Quá trình chứng thực đăng nhập diễn ra trên máy Domain Controller

1 Khái niệm:

– AD là dịch vụ Internet chuẩn, chịu trách nhiệm tổ chức các nhóm máy tính thành vùng

– AD sử dụng dịch vụ thư mục (directory service)- Directory là nơi lưu trữ thông tin về người dùng và tài nguyên, Service cho phép người dùng truy nhập và quản lý tài nguyên

– AD được xây dựng dựa trên DNS (Domain Name System) và LDAP(Lightweight Directory Access Protocol) để định vị và troy nhập tài nguyên

2 Lợi ích của Active Directory

– Cho phép người dùng sử dụng single logon

– Quản trị tài khoản và tài nguyên một cách tập trung
Cần ít người quản trị

– AD là một phương tiện để quản lý tất cả các kiểu đối tượng: user, group, computer, domain, organizational unit, và security policy

3 Chức năng của Active Directory

• Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương

ứng và các tài khoản máy tính

• Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server

quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy

điều khiển vùng)

• Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền

(rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ

liệu hay shutdown Server từ xa…

• Cho phép chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn

vị tổ chức OU (Organizational Unit) Sau đó có thể ủy quyền cho các quản trị viên

bộ phận quản lý từng bộ phận nhỏ

4 Cấu trúc AD

• Dịch vụ thư mục Active Directory cung cấp cả cấu trúc Logic và cấu trúc vật lý cho

các thành phần mạng

• Organizational Unit(OU)

• Là một đối tượng được thiết kế để giảm số miền(domain) trong đơn vị

• Chứa các object phục vụ cho mục đích quản trị

• Trao quyền kiểm soát tài nguyên cho 1 nhóm các đối tượng nhằm đơn giản cho công việc quản lý

Kiểm soát và khoá bớt một số chức năng trên các

máy trạm của người dùng trong OU thông qua sử

dụng Group policy

• Domain: Nhóm các máy tính dùng chung

cơ sở dữ liệu thư mục

– Đóng vai trò như một khu vực quản trị– Nhóm các đối tượng mạng và OU vào một đơn vị (với chính sách bảo mật các tài nguyên chia sẻ riêng)

– Cập nhật thông tin giữa các DC

• Domain Tree

– Là cấu trúc bao gồm nhiều domain– Được sắp xếp có cấp bậc theo cấu trúc hình cây

• Forest

– Được xây dựng trên một hoặc nhiều domain tree– Có thiết lập quan hệ và ủy quyền cho nhau

b.Cấu trúc vật lý của active directory

• Domain Controller

– Được sử dụng để quản lý miền Lưu thông tin AD của miền

– Phải có ít nhất 1 DC trong domain

• Site

– AD cho phép tạo các site để thể hiện cấu trúc miền vật lý

– Một site là một hay nhiều IP subnet được nối với nhau

– Trong một site có thể có nhiều domain

– Một domain có thể chứa nhiều site

Cài đặt AD

Yêu cầu:

• Cài đặt trên HĐH Win2003 server

• Cài đặt và cấu hình DNS: Đặt địa chỉ IP là địa chỉ tĩnh và địa chỉ DNS là địa chỉ của máy đó

• Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu cầu bắt buộc trong để

Active Directory có khả năng tự động Update các thiết lập của mình vào trong DNS

• Lệnh run
dcpromo

– Sử dụng configure your server wizard

Cài đặt AD

- Domain Controller for a New domain : Là thiết lập tạo ra Domain

Controller đầu tiên trong Domain

- Additional domain Controller …: là lựa chọn để cài đặt thêm một máy chủ

DC vào cho một Domain có sẵn

Cài đặt AD

chọn loại Domain muốn tạo: Nhập tên DNS cho domain muốn tao

- Domain in a new forest : Cài đặt máy chủ Domain

Controller đầu tiên trên Forest

- Child domain in an existing domain tree : cài đặt Domain

Controller để quản lý một miền con của một miền (Domain)

đ ã có sẵn

- Domain tree in an existing forest : Nếu tôi muốn tạo một

domain khác với tên domain da tao cùng trong forest

Cài đặt AD

• Cho phép hoặc không cho phép các máy tính sử dụng HĐH trước Win 2000 đăng nhập

Tên Domain theo chuẩn NetBios

để tương thích với HĐH Win NT

Password sử dụng khi khởi động ở chế độDirectory Services Restore Mode

Cài đặt AD

Kết thúc quá trình cài đặt

Quản trị dịch vụ Active Directory.

• Công việc quản trị dịch vụ thư mục Active Directory tập trung vào những nhiệm vụ chủ yếu được

người quản trị thi hành thường kỳ với dịch vụ thư mục Active Directory, như mở tài khoản máy tính

hoặc kết nạp máy tính vào vùng.

Thường được cung cấp ở dạng Snap-in cho MMC (Microsoft Management Console)

 Active Directory users and Computer: Quản trị người dùng, nhóm, máy tính, và đơn vị tổ

chức

 Active Directory and Trusts: Dùng làm việc với vùng, hệ vùng phân cấp, tập hợp hệ vùng

phân cấp

 Active Directory Sites and Services : Quản lý Site vàmạng con.

Start / Programs / Administrative Tools /

Active Directory users and Computer.

Tài khoản miền (domain user account)

• Dùng để đăng nhập miền

• Có quyền truy nhập tài nguyên miền

Gia nhập máy trạm vào Domain

II.Chính sách nhóm- group policy

1 Khái niệm:

– Chính sách nhóm chỉ áp dụng được trên máy win2K, winXP và windows server 2003

– Chính sách nhóm chỉ xuất hiện trên miền active directory.

– Sau khi tạo ra nhóm trong AD, người quản trị sẽ dùng công cụ Group Policy để quản lý Nhưng rất chú ý là Group Policy không quản lý được nhóm mà chỉ có khả năng quản lý OU, Site.

– GP là một trong các thành phần của Microsoft Management Console (MMC) – Phải là thành viên của nhóm Adminstrators mới được quyền sử dụng chương trình này

– Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống

2 Chức năng

• Với Group Policy, người quản trị có thể thực hiện được những công việc sau:

 Phân phối các gói phần mềm tới các máy tính trạm hoặc người sử dụng

 Giới hạn các ứng dụng mà người dùng được phép thi hành

 Gán các quyền hệ thống cho người dùng

 Thiết lập các kịch bản (Đăng nhập, đăng xuất, tắt máy )

 Quy định các chính sách mật khẩu, khoá chặn tài khoản và kiểm soát cho miền

 Quy định, thiết đặt những thông số dành cho Internet Explorer

 Quy định và cài đặt những hạn chế trên Destop của máy người sử dụng

 Triển khai phần mền ứng dụng

• Triển khai chính sách nhóm trên miền

– Xây dựng các đối tượng chính sách group policy object editor (GPO)

– Các (GPO)là một vật chứa (container)có thể chứa nhiều chính sách áp dụng cho nhiều người,nhiều máy tính hoặc toàn bộ hệ thống mạng

Khởi động chương trình:

Cách 1: Vào menu Start > Run
nhậpmmc để khởi động Microsoft Management Console

• File
Open Trong cửa sổ Open, nhấn nút Browse rồi tìm đến thư mục System32

Cách 2: Vào menu Start > Run và nhập vào gpedit.msc

•Cấu hình máy tính (computer configuration )

•Cấu hình người dùng ( user configuration )

Chính sách hệ thống

Domain security policy

• Các tùy chỉnh sẽ tác động lên toàn bộ user trên

domain

• Khi một cấu hình bảo mật được cài đặt trên chính

bảo mật domain ,mọi người dùng và máy tính trong

domain đó đều bị ảnh hưởng bởi chính sách đó

Domain controller security policy

• Các tùy chỉnh chỉ tác động trên máy DC mà thôi

• Có thể đặt chính sách bảo mật trên tât cả các

domain controller trên tất cả các mạng

• Có thể đặt các chính sách bảo mật khác nhau cho

domain với các mục đích bảo mật khác nhau