Tìm hiểu và cài đặt ứng dụng Active Directory trên Windows Server 2003

Tìm hiểu và cài đặt ứng dụng Active Directory trên Windows Server 2003

BÀI TẬP LỚN MÔN: MẠNG MÁY TÍNH

ĐỀ TÀI:

Tìm hiểu và cài đặt ứng dụng Active Directory trên

Windows Server 2003

Giáo viên hướng dẫn: Tống Văn Luyên

Sinh viên thực hiện: Đỗ Tiến Đạt Phan Thanh Tùng Nguyễn Đức Hạnh Nguyễn Lệ Thu

Lời nói đầu

Máy tính cá nhân ra đời là một công cụ hỗ trợ đắc lực cho tất cả các lĩnh vựccủa đời sống kinh tế xã hội Đầu tiên các máy tính độc lập với nhau, do chúng bịhạn chế về số lượng các chương trình ứng dụng, sự trao đổi thông tin, khả năng tậndụng phần cứng

Nhu cầu sử dụng máy tính để trao đổi thông tin ngày càng cao, nhất là tronggiai đoạn hiện nay khi mà ngành tin học và viễn thông là hai ngành cốt lõi của côngnghệ thông tin phát triển vượt bậc, tạo điều kiện rất thuận lợi cho các tổ chức cánhân, tập thể không thể nghĩ đến việc liên kết các máy tính với nhau để cùng traođổi thông tin sử dụng chung các nguồn tài nguyên quý giá cả về phần cứng lẫn phầnmềm Đây chính là lý do để các cơ quan xí nghiệp, trường học kết nối các máytính đơn lẻ hiện có cũng như trang bị máy mới thành một mạng máy tính để phục vụtrao đổi thông tin bên ngoài Đó chính là mạng máy tính cục bộ LAN

Việc ứng dụng mạng máy tính cho các doanh nghiệp giúp chia sẻ tài nguyên,tiết kiệm chi phí và tiết kiệm thời gian Để làm được điều đó thì vai trò của ngườiquản trị mạng là hết sức quan trọng

Với đề tài Active Directory trên Windows Server 2003, nhóm chúng em xintrình bày một số vấn đề cơ bản và ứng dụng vào mạng doanh nghiệp cụ thể

Do kiến thức và thời gian có hạn nên không tránh khỏi sai sót, nhóm mongnhận được góp ý của thầy cô và các bạn Chúng em xin gửi lời cảm ơn đến thầygiáo: Tống Văn Luyên, người hướng dẫn chúng em thực hiện đề tài này Chúng emxin chân thành cảm ơn

Hà Nội, ngày 10/10/2010

Nhóm Sinh viên thực hiện:

Đỗ Tiến Đạt Phan Thanh Tùng Nguyễn Đức Hạnh Nguyễn Lệ Thu

I ĐẶT VẤN ĐỀ:

Xây dựng mạng LAN phân quyền cho hệ thống mạng của một công ty.Trong đó gồm:

 1 máy chủ cài đặt HĐH Windows Server 2003

 Nhiều máy khách cài đặt HĐH Windows XP

Với chức năng như sau:

Tạo các tài khoản người dùng, các tài khoản người dùng này được add vàocác nhóm người dùng và được phân quyền theo các yêu cầu đặt ra như sau:

bị khóa tài khoản, mỗi lần khóa 5 phút

 Phòng nhân sự:

Các user thuộc phòng nhân sự không được sử dụng câu lệnh Run trên menustart, không được truy cập ổ C của máy tính, không được cài đặt hay gỡ bỏcác chương trình có sẵn

II XÂY DỰNG MÔ HÌNH MẠNG:

Hình 1: Mô hình demo mạng

Xây dựng mạng demo dựa trên phần mềm VMWare Workstation:

 Tạo 1 máy ảo cài đặt Server HĐH Windows Server 2003

 Tạo 1 máy ảo cài đặt Server HĐH Windows XP

Tiến hành đặt địa chỉ cho từng máy ảo, lựa chọn địa chỉ IP dùng riêng lớp B:10.0.0.x để đánh địa chỉ cho từng máy Để chế độ đánh địa chỉ IP tĩnh, đánh địa chỉcho các máy như sau:

 Server:

IP: 10.0.0.1Subnet mask: 255.0.0.0Default Gateway: 10.0.0.1 Preferred DNS: 10.0.0.1

Hình 2: Đặt IP tĩnh cho máy chủ

 Máy Windows XP client:

IP: 10.0.0.2Subnet mask: 255.0.0.0Default Gateway: 10.0.0.1Preferred DNS: 10.0.0.1

Hình 3: Đánh IP tĩnh cho máy client Windows XP

Sau đó ta tiến hành nối mạng máy Server với máy client thông qua Switch ảođược cung cấp sẵn trong phần mềm VMware Workstation, cách tiến hành như sau:

Tại giao diện của phần mềm, kích chọn máy ảo Server, kích chuột phải,

menu hiện ra chọn Settings

Hộp thoại Virtual Machine Settings hiện ra, tại Tab Hardware, tại mục Devices, kích chọn Ethernet, phần Network Connection chọn Custom: Specific virtual

network, tại mũi tên xổ xuống chọn Vmnet2 (host-only), đây chính là cách ta chọn

nối card mạng ethernet của máy server nối vào switch ảo VMNet2 có sẵn của phần

mềm Vmware Sau đó nhấp OK

Tiến hành tương tự đối với máy client XP Như vậy là ta đã có một mạngLAN đáp ứng đầy đủ các yêu cầu về phương diện vật lý cũng như logic: IP cùng 1mạng, có kết nối giữa 2 máy Ta có thể kiểm tra mạng LAN này bằng câu lệnh

ping, từ 1 máy ping đến địa chỉ IP của máy kia Nếu ping được là kết nối đã được

bảo đảm

III CẤU HÌNH ACTIVE DIRECTORY:

1.Các khái niệm mở đầu:

Để quản lý một hệ thống mạng ta có 2 mô hình: Workgroup và Domain

Đặc điểm của hệ thống Workgroup:

- Quản lý không tập trung, ví dụ khi cần triển khai policy cho hệ thống ta phải cấu hình trên từng máy

- Mỗi người sử dụng phải sử dụng nhiều user account cho nhiều nhu cầu, ví dụ người sử dụng phải có hai user: một để logon và một để truy cập tài nguyên trên fileserver

Với 2 đặc điểm trên, ta sẽ rất khó khăn khi quản lý một hệ thống mạng lớn

Đặc điểm của hệ thống Domain:

- Quản lý theo cấu trúc danh bạ: tất cả các đối tượng (group, user, computer

account…) và tài nguyên đều được quản lý tập trong bằng dịch vụ Active Directory (AD)

- Là một mô hình quản lý tập trung, ví dụ 1 policy khi triển khai cùng lúc có thể ảnhhưởng trên nhiều máy hoặc nhiều user account

- Hỗ trợ Single Sign On, mỗi người sử dụng trong hệ thống chỉ cần một user

account cho tất cả các nhu cầu: logon, truy cập tài nguyên, sử dụng e-mail…

Với sự khác nhau giữa 2 hệ thống Workgroup và Domain như trên, để quản lý một

hệ thống mạng tập trung chúng ta nên chọn mô hình Domain

Active Directory là gì?

Trước hết chúng ta hãy đi tìm hiểu xem Active Directory là gì ActiveDirectory là một dịch vụ thư mục (directory service) đã được đăng ký bản quyềnbởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows Giống nhưcác dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS), ActiveDirectory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lýmạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, chophép tương tác với các thư mục khác Thêm vào đó, Active Directory được thiết kếđặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó

Active Directory có thể được coi là một điểm phát triển mới so với Windows

2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003,trở thành một phần quan trọng của hệ điều hành Windows Server 2003 ActiveDirectory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đốitượng trong một mạng, gồm có user, groups, computer, printer, policy vàpermission

Với người dùng hoặc quản trị viên, Active Directory cung cấp một khungnhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyêntrong mạng

Chức năng của AD:

- Lưu giữ một danh sách tập trung tên tài khoản người dùng, mật khẩu tương ứng vàcác tài khoản máy tính

- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Serverquản lý đăng nhập (logon Server), Server này còn gọi là Domain Controller (máyđiều khiển vùng).

- Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tínhtrong mạng có thể do rà nhanh một tài nguyên nào đó trên các máy tính khác trongvùng

- Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền(rights) khác nhau như : toàn quyền trên hệ thống mạng, chỉ có quyền backup dữliệu hay shutdown Server từ xa

- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain)hay các đơn vị tổ chức OU (Organizational Unit) Sau đó chúng ta có thể ủy quyềncho các quản trị viên bộ phận quản lý từng bộ phận nhỏ

Những đơn vị cơ bản của Active Directory

1.1/- Objects:

Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes

- Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho đối tượng mà bạn

có thể tạo ra trong Active Directory Có 3 loại Object classes thông dụng là: User, Computer, Printer

- Attributes là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể

Như vậy, Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của Object classses

1.2/- Organizational Units :

Organizational Units hay OU là đơn vị nhỏ nhất trong hệ thống Active Directory, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn OU cũng đượcthiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốtvới nhau” Việc sử dụng OU có hai công dụng chính như sau:

- Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-

administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống

- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong

OU thông qua việc sử dụng các đối tượng chính sách nhóm (Group Policy)

Domain đáp ứng ba chức năng chính sau:

- Đóng vai trò như một khu vực quản trị (administrator boundary) các đối tượng, là một tập hợp các đĩnh nghĩa quản trị cho các đối tượng chia sẻ như : có chung một

cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ uỷ quyền với các

domain khác

- Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ

- Cung cấp các server dự phòng làm chức năng điều khiển vùng (domain

controller), đồng thời đảm bảo các thông tin trên các server này đựơc đồng bộ nhau

1.4/- Domain Tree :

Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây Domain tạo ra đầu tiên đựơc gọi là domain root và nằm ở gốc của câythư mục Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain) Tên của các con phải khác biệt nhau

Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện

1.5/- Forest :

Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau Ví dụgiả sử một công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng để tiện quản lý,các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng

2 Cài đặt Active Directory:

Ta tiến hành cài đặt dịch vụ Active Directory trên máy chủ như sau: Thôngthường theo mặc định, tất cả các máy Windows Server 2003 khi mới cài đặt đều là

server độc lập (standalone server) Chương trình DCPROMO chính là Active Directory Installion Wizard và được dùng để nâng cấp một máy không phải là

Domain Controller (Server Standolone) thành một máy Domain Controller:

Nhấn Start > Run, nhập dcpromo vào hộp thoại Run và bấm OK, xuất hiện hộp thoại Directory Installation Wizard, nhấn Next để tiếp tục:

Xuất hiện hộp hội thoại cảnh báo DOS, Windows 95 và WinNT SP3 trở vềtrước sẽ bị loại ra khỏi miền Active Directory dựa trên Windows Server 2003

Chọn Next, hộp thoại tiếp theo hiện ra, có 2 lựa chọn:

 Domain controller for a new domain: tạo domain controller cho 1

miền domain mới

 Additional domain controller for an existing domain: tạo thêm

domain controller cho 1 miền domain đã tồn tại

Ta chọn lựa chọn đầu để tạo cho một miền domain mới Nhấn Next, hộp

thoại tiếp theo xuất hiện, có 3 lựa chọn:

 Domain in a new forest: tạo domain trong 1 forest mới

 Child domain in an existing domain tree: tên miền domain con trong

1 cây domain đã tồn tại

 Domain tree in an existing forest: tạo cây domain trong 1 forest đã

tồn tại

Ta chọn Domain in a new forest: tạo domain trong 1 forest mới Rồi nhấn

Next, hộp thoại tiếp theo xuất hiện:

Ta gõ tên DNS đầy đủ cho domain mới tạo ra, ở đây ta chọn tên là

dientu1k3.com Sau đó nhấn Next, chờ trong giây lát để việc khởi tạo hoàn thành.

Cửa sổ tiếp theo: Nhập tên Domain theo chuẩn NetBIOS để tương thích với

các máy WinNT và các phiên bản Windows cũ

Mặc định, tên Domain NetBIOS giống phần đầu của tên FullDNS, bạn có thể

đổi sang tên khác hoặc chấp nhận giá trị mặc định Chọn Next, xuất hiện hộp hội

thoại:

Chỉ định vị trí lưu trữ database Active Directory và các tập tin log Tuynhiên, nên đặt tập tin chức thông tin giao dịch (transaction log) ở một đĩa cứng vật

lý khác với đĩa cứng chứa cơ sở dữ liệu của Active Directory nhằm tăng hiệu năng

của hệ thống > Chọn Next, xuất hiện hộp hội thoại:

Chỉ định vị trí của thư mục SYSVOL Thư mục này phải nằm trên một NTFS

Volume Tất cả dữ liệu đặt trong thư mục Sysvol này sẽ đựơc tự động sao chép sangcác Domain Controller khác trong miền Bạn có thể chấp nhận giá trị mặc định hoặcchỉ định vị trí khác

Chọn Next, xuất hiện hộp hội thoại :

Nhấp chọn Install and configure the DNS server on this computer to use this DNS server as its preffered DNS server Lựa chọn này để cài đặt và thiết lập

DNS server trên chính máy chủ DNS là dịch vụ phân giải tên kết hợp với ActiveDirectory để phân giải tên các máy tính trong miền Do đó để hệ thống ActiveDirectory hoạt động được thì trong miền phải có ít nhất một DNS Server phân giảimiền mà chúng ta cần thiết lập

Chọn Next, xuất hiện hộp hội thoại:

Dòng Permissions Compartible with pre-Windows 2000 Server khi hệ thống

có các server phiên bản trước Windows 2000

Chọn dòng Permissions compartible only with Windows Servers 2000 or Windows Servers 2003 > do mạng không có server phiên bản trước Windows

2000 Chọn Next, xuất hiện hộp hội thoại:

Nhập mật khẩu dùng trong trường hợp Server phải khởi động ở chế độ

Directory Services Restore Mode Mật khẩu phải khác mật khẩu admin Chọn Next,

xuất hiện hộp hội thoại:

Hiển thị tất cả các thông tin bạn đã chọn Tất cả đều chính xác, chọn Next để bắt đầu thực hiện quá trình cài đặt, ngược lại bạn chọn Back để quay lại các bước trước đó, xuất hiện hộp hội thoại :

Sau khi quá trình cài đặt kết thúc, xuất hiện hộp hội thoại :

Nhấn Finish để hoàn tất việc cài đặt Máy sẽ yêu cầu bạn khởi động lại máy

tính để việc cài đặt có hiệu lực

Nhấn Restart Now để khởi động lại máy tính

3 Cấu hình Active Directory:

3.1 Tạo tài khoản người dùng và nhóm:

Ta tiến hành tạo 3 nhóm người dùng đại diện cho các 3 phòng: Phòng Giámđốc, Phòng kinh doanh, Phòng nhân sự Mỗi phòng có một số tài khoản người dùngnhất định Demo ta sẽ tạo 3 tài khỏan người dùng ở mỗi phòng

Thực hiện như sau: ta xây dựng mỗi phòng là 1 Organizational Unit (OU).Mỗi OU là một nhóm tài khoản người dùng, máy tính và tài nguyên mạng được tạo

ra nhằm mục đích dễ dàng quản lý hơn và ủy quyền cho các quản trị viên địaphương giải quyết các công việc đơn giản Đặc biệt hơn là thông qua OU chúng ta

có thể áp đặt các giới hạn phần mềm và giới hạn phần cứng thông qua các GroupPolicy Muốn xây dựng một OU thực hiện các bước sau:

Chọn menu Start > Programs > Administrator Tools > Active Directory User

and Computer (ADUC) hoặc Start > Run, nhập vào dsa.msc, nhấn Enter để khởi động

ADUC, xuất hiện hộp hội thoại :

Click phải chuột trên tên miền dientu1k3.com và chọn New Oganizational Unit, xuất hiên hộp hội thoại:

Nhập tên OU cần tạo, ví dụ tên OU là Phòng Giám đốc, chọn OK hoàn tất

Bằng cách tương tự, tạo thêm 3 OU cho 2 phòng còn lại Sau đó tiến hànhadd người dùng vào mỗi OU vừa tạo ra Cách tiến hành: kích chuột phải vào tên

mỗi phòng, cửa sổ hiện ra chọn New > User Cửa sổ hiện ra nhập thông tin về người dùng: Họ tên, và quan trọng nhất là tên đăng nhập ở mục User logon name

Tên đăng nhập để đăng nhập vào hệ thống và không được trùng nhau Saukhi nhập xong bấm Next để chuyển sang phần tiếp theo