Tổng quan về windows 2000

Tài liệu gồm các nội dung : Mục đích thiết kế của windows 2000 Xây dựng cấu trúc hợp nhất của người dùng và tài nguyên mạng. Hỗ trợ cho các mô hình mạng máy tính Client Server network Peer to peer networks Kết nối Internet Các phiên bản windows 2000 Windows 2000 proffesional Windows 2000 Server Windows 2000 advance Server Windows 2000 Data Center Server

T ổng quan về windows 2000

Mục đích thiết kế của windows 2000

 Xây dựng cấu trúc hợp nhất của người dùng và tài nguyên mạng.

 Hỗ trợ cho các mô hình mạng máy tính

 Client / Server network

 Peer to peer networks

Các đặc trưng của Windows 2000

 Dịch vụ thư mục Directory services

 Tính năng tốt kết hợp khả năng mở rộng Performance & scalability

 Các dịch vụ mạng và truyền thông đa dạng Networking and communication services

 Tích hợp Internet Internet intergration

 Các công cụ quản trị tích hợp sẵn Intergrated administration tools

 Hỗ trợ phần cứng tốt Hardware support

Tìm hiểu về Win2K Directory Services

Thế nào là dịch vụ thư mục (Directory Service)

Chức năng của dịch vụ thư mục

Mục đích của Active Directory

Các đặc trưng của Active Directory Service

Kiến trúc của Active Directory

Xây dựng Active Directory

Tìm hiểu về Win2K Directory Services

Built-in Accounts

Headers OU

University.

edu

Administra tor

Training Bureau

Personel Departme nt

Staff Manager

Printer Group

Color Printer

White Printer

Black-President

Vice President

Managers Schema

Administra tors

Enterprise Administra tors

Domain Head

Sun

Multi Media Database WEB

Internet Servers

Secretary

Personel Comp

Training Manager

Training Working Part

Training Staffs

Training Result Database Server

Tổ chức thư mục với Active Directory

Tìm hiểu về Win2K Directory Services

Mô hình quản lý thông tin với Active Directory

JUPITER server

SUN server

James Bond Active Directory

• Quyền truy xuất

• Môi trường làm việc

• Thông tin thêm

Tìm hiểu về Win2K Directory Services

Active Directory Service (ADS)

Tổ chức sắp xếp các đối tượng thông tin (Directory)

Tìm hiểu về Win2K Directory Services

Directory - Thư mục thông tin tài nguyên mạng và các dịch vụ Active directory objects - Đối tượng lưu nội dung thông tin.

Đối tượng Active directory

Tìm hiểu về Win2K Directory Services

Lược đồ của Active Directory (schema)

Các đối tượng Active Directory

Các lớp đối tượng

Thuéc tÝnh

Tªn Hä

Tìm hiểu về Win2K Directory Services

 Danh sách các loại đối tượng được định

nghĩa trong AD

 Các dạng thông tin về đối tượng trong AD.

 Lược đồ (Schema) gồm có

 Attributes, thuộc tính của đối tượng

Thuộc tính sẽ nhận giá trị cụ thể ứng

với từng đối tượng.

 Classes, các loại (lớp)đối tượng Lớp

là tập hợp của các thuộc tính xây dựng

nên đặc tính của một loại đối tượng

 Một thuộc tính (Attribute) có thể được

Nội dung Lược Đồ Active Directory

Lớp tài khoản người dùng

Lớp máy

Tìm hiểu về Win2K Directory Services Thành phần logic của Active Directory

 Domain

 Organizational Unit

 Tree

 Forest

Tìm hiểu về Win2K Directory Services

Domain (miền)

 Domain chứa các đối tượng của AD và lưu trữ tất cả thông tin về các đối tượng này.

 AD được hình thành bởi một hay nhiều Domain.

 Domain là các miền phân biệt với nhau về bảo mật (các chính sách bảo mật được áp dụng trên một Domain không có tác dụng trên một Domain khác).

 Một domain có thể chứa đến 10 triệu đối tượng của AD (giá trị có thể

áp dụng cho mạng thực tế là khoảng 1,5 triệu).

Tìm hiểu về Win2K Directory Services

 OU tổ chức các đối tượng trong 1 domain vào

trong cùng một nhóm quản lý tập trung về mặt

logic

 Các OU chứa các nhóm đối tượng hoàn toàn

tách biệt

 OU được sử dụng để quản lý tài nguyên và uỷ

quyền kiểm soát các tác vụ quản lý trên một

nhóm đối tượng

Ví dụ về OU

 Các máy tính, máy in, tài khoản,

các dịch vụ của môt bộ phận (truy

nhập thông tin nhân sự, tài liệu

chia sẻ, ), quản trị viên trong

phòng được tổ chức vào một OU.

Quyền quản trị cho quản trị viên

Organizational Unit

(OU)

Tree (cây)

 Các Domain trong Tree tuân theo chuẩn

của hệ thống tên miền (DNS)

 Tất cả các domain trong Tree đều có

chung một lược đồ (có một định nghĩa

thống nhất cho các loại đối tượng của AD)

 Tất cả các domain trong mộtTree có

cùng Global Catalog (nơi lưu trữ dữ liệu

tập trung cho tất cả các đối tượng trong

Tìm hiểu về Win2K Directory Services

Forest (rừng)

 Các cây của một rừng có cùng một lược đồ (Schema).

 Mỗi cây có có một cấu trúc miền riêng biệt.

 Tất cả các Domain trong rừng có một cơ sở dữ liệu đối tượng chung (một Global Catalog chung).

 Các Domain hoạt động độc lập nhưng Rừng sẽ đảm nhiệm việc trao đổi

thông tin giữa chúng.

 Cơ chế xác thực 2 chiều hoạt động giữa các Domain và các cây Domain.

Tìm hiểu về Win2K Directory Services

Tìm hiểu về Win2K Directory Services

Tìm hiểu về Win2K Directory Services

Global Catalog (GC)

 Lưu trữ tập trung thông tin về tất cả các đối tượng trong AD

 GC được tự động thiết lập trên Domain Controller

 Lưu trữ bản sao đầy đủ của các đối tượng trên domain cấp cao nhất và bản sao một phần thông tin của các đối tượng trên domain khác

Vai trò cơ bản của GC

 Cung cấp cho Domain Controller thông tin liên hệ giữa các thành viên trong nhóm khi đăng nhập mạng (membership)

 Cho phép tìm kiếm thông tin về các đối tượng trong Active Directory mà không quan tâm tới việc domain nào chứa thông tin về đối tượng

Liên hệ giữa các thành viên (Group membership)

Tìm hiểu về Win2K Directory Services

Tính chất của GC

 GC được sử dụng như một danh

bạ để tra cứu.

 Việc truy vấn, tìm kiếm

thông tin được giải quyết bởi

cơ sở dữ liệu tập trung GC 

tăng tốc độ và giảm lưu lượng

mạng.

 Việc áp dụng các chính sách

lên các đối tượng của AD được

thực hiện dựa trên thông tin

do GC cung cấp.

 Các thông tin trong GC tuân

theo lược đồ Active Directory.

Domain Controller (DC)

Tìm hiểu về Win2K Directory Services

Primary Domain Controller

Backup Domain Controller

PDC

BDC

Acitive Directory Domain Controller

ADS DC

Chức năng của Domain Controller

Tìm hiểu về Win2K Directory Services

• Xác thực

• Thay đổi

• Cập nhật

Thông tin về các đối tượng của AD

Cơ chế tương tác giữa các đối tượng trong AD

Domain Controller [1]

 Mỗi DC lưu toàn bộ thông tin Acitve

Directory của Domain mà nó quản lý

các thay đổi lên các DC khác trong

miền

 Các thay đổi trên các DC của cùng một

Domain được sao chép tự động Có thể

kiểm soát tần suất cũng như khối lượng

thông tin trong một lần cập nhật giữa

các DC.

 DC sẽ sao chép ngay lập tức các thông

Tìm hiểu về Win2K Directory Services

Domain Controller [2]

 Tất cả các DC trong cùng một Domain là

ngang cấp.

 Các DC hỗ trợ lẫn nhau trong hoạt động,

khi một DC ở trạng thái offline thì các DC khác

có thể thay thế chức năng của nó.

 DC quản lý tất cả các tương tác tài

khoản trong Domain như xác định các đối

tượng AD, nhận thực thông tin đăng nhập của

tài khoản

Tìm hiểu về Win2K Directory Services

Tổ chức tài nguyên mạng với Win2000

W indows 2000 workgroup

 Mỗi người dùng phải có tài khoản riêng trên mỗi máy tính để có thể truy xuất máy tính đó.

 Mỗi thay đổi về người dùng (đổi password, thêm tài khoản) phải được thực hiện trên từng máy.

 Các tài nguyên (thiết bị và file chia sẻ) được quản lý bởi các máy tính riêng

lẻ và chỉ bởi các người dùng có tài khoản trên máy tính đó.

 Không cần lưu thông tin quản lý thông tin bảo mật tập trung.

 Dễ thiết kế và lắp đặt.

Tổ chức tài nguyên mạng với Win2000

Windows 2000 Domain

 Quản lý tập trung – thông tin người dùng được lưu trữ tập trung

và các thay đổi được tự động cập nhật.

 Single logon process - người dùng đăng nhập mạng một lần và có

thể truy xuất tất cả các tài nguyên trên mạng với quyền đã được thiết lập.

 Scalability - khả năng linh hoạt trong việc thay đổi quy mô của

mạng.

Tổ chức tài nguyên mạng với Win2k

Xây dựng Active Diretory Active Directory và các yếu tố khởi nguyên

Khảo sát cấu trúc miền

Các hệ thống đã có sẵn (DNS)

Các đòi hỏi phân vùng lưu trữ dữ liệu AD (NTFS)

Liên hệ với các thành phần AD đang hoạt động

Xây dựng Active Diretory Active Directory với miền đầu tiên

university.edu

D om ain đ ầu tiê n

Personel.university.eduadministration.university.edu

Domain Controller

Xây dựng Active Diretory

Active Directory với miền đầu tiên

Start / Run - DCPROMO

1

Xây dựng Active Diretory Tạo miền đầu tiên

Tạo một Domain mới, máy tính trở thành Domain Controller

Xây dựng Active Diretory Miền tạo ra là miền khởi nguyên

3

Tạo một hệ thống Domain mới, hoàn toàn độc lập

Xây dựng Active Diretory Đặt tên cho miền

4

Tên Domain mới

University.edu

Xây dựng Active Diretory Đặt tên cho miền

5

Tên Domain theo hệ thống tên trên Windows

UNIVERSITY

Xây dựng Active Diretory

Cơ sở dữ liệu Active Directory

Xây dựng Active Diretory

Cơ sở dữ liệu Active Directory

7

Nơi lưu trữ bản sao Cơ sở dữ liệu

của dịch vụ thư mục, bản sao này

được sử dụng để sao chép giữa các

Domain Controller trong cùng một

Domain

%Systemroot%SYSVOL

Xây dựng Active Diretory Active Directory và DNS

Xây dựng thông tin DNS trên máy chủ Windows 2000.

Xây dựng Active Diretory Windows 2000 và các phiên bản trước

server trước Win2000

 Cơ chế quyền được xây

dựng hoàn toàn trên hệ

Xây dựng Active Diretory Khôi phục dữ liệu Active Directory

10

Việc khôi phục hay xây

dựng lại cơ sở dữ liệu AD,

phải được bảo vệ với một

mật khẩu khác của tài

khoản Administrator.

Xây dựng Active Diretory

Xem lại các thông tin xây dựng Active Directory

11

Xây dựng Active Diretory Bắt đầu quá trình thiết lập Active Directory

12

Xây dựng Active Diretory Active Directory sẵn sàng

13

Xây dựng Active Diretory Active Directory và các đối tượng

14

Xây dựng Active Diretory

Active Directory và tương tác giữa các domain

Domain Src Domain Dest

Xây dựng Active Diretory

Active Directory và tương tác giữa các domain

Xây dựng Active Diretory

Xác thực giữa các Domain

Xác thực tương hỗ giữa các Domain (transitive trust)

 Là ngầm định (implicit) giữa Domain con và Domain cấp trên, hoặc

giữa các Domain cấp cao nhất của các Tree trong cùng một Forest

 Cho phép các Domain có thể trao đổi thông tin của AD một cách tương hỗ  một Domain có thể nhận biết được một phiên đăng nhập

trên một Domain khác và các chính sách bảo mật mà Domain cấp cho đối tượng đăng nhập mạng

Xác thực một chiều giữa các Domain

Việc xác thực phải được thực hiện một cách thủ công và công khai

(explicit), ứng với các trường hợp:

 Giữa Domain trên windows 2000 và domain trên Windows NT

 Giữa các Domain ở các Tree khác nhau trên cùng một Forest

ADS DC

Xây dựng Active Diretory

Chế độ hỗn hợp

(mixed mode)

Kết hợp Domain trên Windows 2K

và Domain trên Windows NT

Chế độ thuần nhất

(native mode)

 Chỉ gồm các Domain trên

Windows 2000.

 Các Domain Controller trong

Domain hoạt động ngang hàng.

 Không chứa các DC hoạt động

trên server winNT.

Tổ chức trong Domain

Primary Domain Controller

Backup Domain Controller

PDC

BDC ADS DC

Xây dựng Active Diretory Đăng nhập dưới Active Directory

Domain Controller 3 Sao chép giữa các DC

Do ma in

Un iv er si ty e du

Xây dựng Active Diretory Đăng nhập dưới Active Directory

Administrator

***********

UNIVERSITY

Xây dựng Active DiretoryThông tin đăng nhập dưới Active Directory

Quản trị Active Diretory

cho các tài nguyên mạng (file, thư mục, máy in) ứng với các đối tượng AD

 Quản trị AD Quản lý nơi lưu trữ AD và các đối tượng AD Tổ chức các hoạt động sao dự phòng và khôi phục AD.

Quản trị Active Diretory

Các công cụ quản trị Active Directory

Quản trị Active Diretory

Active Directory quản lý tương tác giữa các Domain

Active Directory Domains and Trusts

 Tương tác với các Domain khác.

 Thay đổi chế độ Domain (từ mixed mode sang native mode).

 Thêm hay bỏ các hậu tố UPN.

 Thông báo các thay đổi từ một Domain tới các

Quản trị Active Diretory

Active Directory quản lý tương tác giữa các Domain

UPN Suffix = Hậu tố cho tên

người dùng chuẩn tắc

(UPN = User Principle Name)

Tên đại diện tương thích với các hệ thống trước Windows 2000

Quản trị Active Diretory

Active Directory với Site và các dịch vụ mạng

Active Directory Sites and Services

site (địa bàn) và cấu trúc vật lý của mạng cho Active Directory.

Quản trị Active Diretory

Active Directory với tài khoản và máy tính

Active Directory Users and Computers

 Thêm, xoá, thay đổi và tổ chức tài khoản người dùng, máy tính, nhóm người dùng trên AD Xây dựng và thực hiện các chính sách bảo mật, phân phối tài

nguyên.

 Cho phép quản lý các Domain Controller

và các OU trên Domain.

Quản trị Active Diretory

Xây dựng Domain Controller cấp dưới

University.edu

Training.University.edu

Enterprise Administrators

Schema Administrators

Tạo

mớ i

Super User

Tìm hiểu về Win2K Directory Services

Quản lý dịch vụ thư mục (Active Directory Service)

Quản trị Active Diretory

Một số thông tin mở rộng về Active Directory

LDAP – Light Weight Directory Access Protocol

)

Port 389

Th«ng tin truy vÊn

Quản trị Active Diretory

Một số thông tin mở rộng về Active Directory

 LDAP là một chuẩn công nghiệp xây dựng dịch vụ thư mục (RFC1777,

RFC2251).

 Dịch vụ LDAP gắn với cổng dịch vụ 389.

 LDAP hỗ trợ TCP/IP.

 LDAP xây dựng cơ chế thư mục phân cấp, với nút thư mục có dữ liệu

mở rộng được, hỗ trợ các dạng dữ liệu Text, ảnh, và nhiều dạng khác.

 Có các đặc tính nhận thực, bảo mật tới từng nút thư mục (Directory Entry).

 Kiến trúc AD xây dựng với LDAP có thể chứa tới 10 triệu nút với

hiệu suất truy xuất là hơn 100.000 truy vấn/1 giờ.

LDAP://sun.university.edu/CN=James Bond,OU=Users,dc=university,dc=edu.

CN - Common Name

OU - Organizational Unit Name

Quản trị Active Diretory

Xem thông tin với LDAP

Sub Entries Base DN

Quản trị windows 2000 server

Các tác vụ quản trị với windows 2000 server

Quản trị tài khoản người dùng

Quản trị tài nguyên mạng

Quản trị truy xuất tài nguyên mạng

Quản trị dịch vụ mạng

Duy trì các chính sách người dùng (nhóm người dùng)