Giáo trình quản trị môi trường mạng

BÀI 1: TỔNG QUAN VỀ WINDOWS SERVER 2008 3 1. Tính năng vượt trội 3 2. Các phiên bản của Windows Server 2008 6 3. Tính năng trong Windows Server 2008 6 4. Cài đặt Windows Server 2008 10 BÀI 2: DỊCH VỤ ACTIVE DIRECTORY 14 1. Tổng quan về Active Directory 14 2. Cài đặt và cấu hình dịch vụ Active Directory 16 3. Triển khai Active Directory Forest và Domain Tree 31 BÀI 3: QUẢN TRỊ CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY 34 1. Quản trị tài khoản User , Group , Computer 34 2. Quản trị OU 41 3. Quản trị Profile User 43 4. Tạo các đối tượng bằng Command Line 50 BÀI 4: QUẢN TRỊ TÀI NGUYÊN CHIA SẺ 55 1. Tổng quan về quyền truy xuất tệp tin và thư mục 55 2. Shared Folder 57 3. NTFS Permission 68 4. Triển khai DFS 75 BÀI 5: TRIỂN KHAI CHÍNH SÁCH 80 1. Giới thiệu về Group Policy Object (GPO) 80 2. Ứng dụng các chính sách nhóm 80 3. Cấu hình các chính sách nhóm 82 4. Group Policy tác động đến Startup và Logon 86 5. Sự kế thừa 86 BÀI 6: QUẢN LÝ LƯU TRỮ VÀ BẢO MẬT DỮ LIỆU 88 1. Giới thiệu về lưu trữ dữ liệu 88 2. Sao lưu và phục hồi dữ liệu 91 3. Mã hóa dữ liệu bằng EFS 92 4. Thiết lập hạn ngạch 93 BÀI 7: GIÁM SÁT VÀ DUY TRÌ HOẠT ĐỘNG CỦA SERVER 97 1. Phương thức quản trị Server 97 2. Giám sát hoạt động của Server 97 3. Phát hiện và khắc phục sự cố 107 4. Sao lưu và phục hồi hệ thống 109

TRƯỜNG CAO ĐẲNG CƠ ĐIỆN HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

GIÁO TRÌNH QUẢN TRỊ MÔI TRƯỜNG MẠNG

(Lưu hành nội bộ)

Hà Nội, năm 2018

MỤC LỤC

BÀI 1: TỔNG QUAN VỀ WINDOWS SERVER 2008

1 Tính năng vượt trội

Lịch sử phát triển:

* Hệ điều hành mạng Windows NT

Windows NT là hệ điều hành mạng cao cấp của hãng Microsoft Phiênbản đầu có tên là Windows NT 3.1 phát hành năm 1993, và phiên bản server làWindows NT Advanced Server (trước đó là LAN Manager for NT) Năm 1994phiên bản Windows NT Server và Windows NT Workstation version 3.5 đượcphát hành Tiếp theo đó ra đời các bản version 3.51 Năm 1995, Windows NTWorkstation và Windows NT Server version 4.0 ra đời

Là hệ điều hành mạng đáp ứng tất cả các giao thức truyền thông phổ dụngnhất Ngoài ra nó vừa cho phép giao lưu giữa các máy trong mạng, vừa cho phéptruy nhập từ xa, cho phép truyền file v.v Windows NT là hệ điều hành vừa đápứng cho mạng cục bộ (LAN) vừa đáp ứng cho mạng diện rộng (WAN) nhưIntranet, Internet

Windows NT server hơn hẳn các hệ điều hành khác bởi tính mềm dẻo,đadạng trong quản lý

Nó vừa cho phép quản lý mạng theo mô hình mạng phân biệt(Clien/Server), vừa cho phép quản lý theo mô hình mạng ngang hàng (peer topeer) Cài đặt đơn giản, nhẹ nhàng và điều quan trọng nhất là nó tương thích vớihầu như tất cả các hệ mạng

Các cơ chế quản lý của Windows NT:

- Quản lý đối tượng (Object Manager): Tất cả tài nguyên của hệ điều hànhđược thực thi như các đối tượng Một đối tượng là một đại diện trừu tượng củamột tài nguyên Nó mô tả trạng thái bên trong và các tham số của tài nguyên vàtập hợp các phương thức (method) có thể được sử dụng để truy cập và điềukhiển

đối tượng Bằng cách xử lý toàn bộ tài nguyên như đối tượng Windows NT cóthể thực hiện các phương thức giống nhau như: tạo đối tượng, bảo vệ đối tượng,giám sát việc sử dụng đối tượng (Client object) giám sát những tài nguyên được

sử dụng bởi một đối tượng

- Cơ chế bảo mật (SRM - Security Reference Monitor): Ðược sử dụng đểthực hiện vấn đề an ninh trong hệ thống Windows NT Các yêu cầu tạo một đốitượng phải được chuyển qua SRM để quyết định việc truy cập tài nguyên đượccho phép hay không SRM làm việc với hệ thống con bảo mật trong chế độ user

Hệ thống con này được sử dụng để xác nhận user login vào hệ thống WindowsNT.

- Quản lý nhập / xuất (I/O Manager): Chịu trách nhiệm cho toàn bộ cácchức năng nhập / xuất trong hệ điều hành Windows NT I/O Manager liên lạcvới trình điều khiển của các thiết bị khác nhau

- I/O Manager: Sử dụng một kiến trúc lớp cho các trình điều khiển Mỗi

bộ phận điều khiển trong lớp này thực hiện một chức năng được xác định rõ.Phương pháp tiếp cận này cho phép một thành phần điều khiển được thay thế dễdàng mà không ảnh hưởng phần còn lại của các bộ phận điều khiển

Họ hệ điều hành Windows 2000 Server có 3 phiên bản chính là: Windows

2000 Server, Windows 2000 Advanced Server, Windows 2000 DatacenterServer Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từngloại dịch vụ

Các đặc trưng của Windows 2000:

Những thay đổi quan trọng nhất so với NT cũ gồm có:

- Active Directory

- Hạ tầng kiến trúc nối mạng TCP/IP đã được cải tiến

- Những cơ sở hạ tầng bảo mật dễ co giãn hơn

- Việc chia sẻ dùng chung các tập tin trở lên mạnh mẽ hơn so với hệ thốngtập tin phân tán (Distributed File System) và dịch vụ sao chép tập tin (FileReplication Service)

- Không lệ thuộc cứng nhắc vào các mẫu tự ổ đĩa nữa nhờ các điểm nối(junction point) và các ổ đĩa gắn lên được (mountable drive)

- Việc lưu trữ dữ liệu trực tuyến mềm dẻo, linh động hơn nhờ có tính năngRemovable Storage Manager

* Windows Server 2003:

Windows Server 2003 có 4 phiên bản được sử dụng rộng rãi nhất là:Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition,Web Edition

- Windows Server 2003 Web Edition: tối ưu dành cho các máy chủ web

- Windows Server 2003 Standard Edition: bản chuẩn dành cho các doanhnghiệp, các tổ chức nhỏ đến vừa.

- Windows Server 2003 Enterprise Edition: bản nâng cao dành cho các tổchức, các doanh nghiệp vừa đến lớn

- Windows Server 2003 Datacenter Edittion: bản dành riêng cho các tổchức lớn, các tập đoàn ví dụ như IBM, DELL…

Những đặc điểm mới của Windows Server 2003:

- Khả năng kết chùm các Server để san sẻ tải (Network Load BalancingClusters) và cài đặt nóng RAM (hot swap)

- Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểuđược chính sách nhóm (group policy) được thiết lập trong WinXP, có bộ công cụquản trị mạng đầy đủ các tính năng chạy trên WinXP

- Tính năng cơ bản của Mail Server được tính hợp sẵn: đối với các công tynhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sửdụng dịch vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003 để làmmột hệ thống mail đơn giản phục vụ cho công ty

- Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (Mircosoft DatabaseEngine) được cắt xén từ SQL Server 2000

- NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peer-to-peer đến các máy bên ngoài Internet, đặc biệt là các thông tin được truyền giữacác máy này có thể được mã hóa hoàn toàn

- Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS(Routing and Remote Access)

- Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữacác gốc rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng

dễ dàng hơn

- Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP(Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps

- Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn

- Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng mộtServer

* Windows Server 2008:

Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hànhWindows Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm

soát tối đa cơ sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưatừng có, là sản phẩm hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy vàmôi trường máy chủ vững chắc hơn các phiên bản trước đây.

Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằngviệc bảo đảm tất cả người dùng đều có thể có được những thành phần bổ sung từcác dịch vụ từ mạng Windows Server 2008 cũng cung cấp nhiều tính năng vượttrội bên trong hệ điều hành và khả năng chuẩn đoán, cho phép các quản trị viêntăng được thời gian hỗ trợ cho các doanh nghiệp

Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có đượcnền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làmviệc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị vànhững cải thiện mạnh mẽ cho hệ điều hành cơ bản

Cải thiện hệ điều hành cho máy chủ Windows.Thêm vào tính năng mới,Windows Server 2008 cung cấp nhiều cải thiệm tốt hơn cho hệ điều hành cơ bản

so với hệ điều hành Windows Server 2003

Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tínhnăng bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung,các công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sựtriển khai và hệ thống file

Các tính năng được cải thiện mạnh mẽ so với phiên bản 2003:

+ An toàn bảo mật

+ Truy cập ứng dụng từ xa

+ Quản lý server tập trung

+ Các công cụ giám sát hiệu năng và độ tin cậy

+ Failover clustering và hệ thống file

Hỗ trợ trong việc kiểm soát một cách tối ưu hạ tầng máy chủ, đồng thờitạo nên một môi trường máy chủ an toàn, tin cậy và hiệu quả hơn trước rấtnhiều

2 Các phiên bản của Windows Server 2008

- Windows Server 2008 Standard Edition

- Windows Server 2008 Enterprise Edition

- Windows Server 2008 Datacenter Edition

- Windows Web Server 2008

3 Tính năng trong Windows Server 2008

3.1 Công cụ quản trị Server Manager

Server Manager là một giao diện điều khiển được thiết kế để tổ chức vàquản lý một server chạy hệ điều hành Windows Server 2008 Người quản trị cóthể sử dụng Server Manager với những nhiều mục đích khác nhau.

- Quản lý đồng nhất trên một server

- Hiển thị trạng thái hiện tại của server

- Nhận ra các vấn đề gặp phải đối với các role đã đợc cài đặt một cách dễdàng hơn

- Quản lý các role trên server, bao gồm việc thêm và xóa role

- Thêm và xóa bỏ các tính năng

- Chẩn đoán các dấu hiệu bất thường

- Cấu hình server: có 4 công cụ ( Task Scheduler, Windows Firewall,Services và WMI Control)

- Cấu hình sao lưu và lưu trữ: các công cụ giúp sao lưu và quản lý ổ đĩa làWindows Server Backup và Disk Management đều nằm trên Server Manager

3.2 Windows Server Core

Server Core là một tính năng mới trong Windows Server 2008 Nó chophép có thể cài đặt với mục đích hỗ trợ đặc biệt và cụ thể đối với một số role

Tất cả các tương tác với Server Core được thông qua các dòng lệnh

Server Core mang lại những lợi ích sau:

+ Giảm thiểu được phần mềm, vì thế việc sử dụng dung lượng ổ đĩa cũngđược giảm Chỉ tốn khoảng 1GB khi cài đặt

+ Bởi vì giảm thiểu được phần mềm nên việc cập nhật cũng không nhiều.+ Giảm thiểu tối đa những hành vi xâm nhập vào hệ thống thông qua cácport được mở mặc định

+ Quản trị các dịch vụ, xử lý và registry.

Mặc định, Windows PowerShell chưa được cài đặt Tuy nhiên có thể càiđặt nó một cách dễ dàng bằng cách sử dụng công cụ quản trị Server Manager vàchọn Features / Add Features

3.4 Windows Deloyment Services

Windows Deployment Services được tích hợp trong Windows Server

2008 cho phép cài đặt hệ điều hành từ xa cho các máy client mà không cần phảicài đặt trực tiếp WDS cho phép cài đặt từ xa thông qua Image lấy từ DVD càiđặt Ngoài ra, WDS còn hỗ trợ tạo Image từ 1 máy tính đã cài đặt sẵn Windows

và đầy đủ các ứng dụng khác

Windows Deployment Serviece sử dụng định dạng Windows Image(WIM) Một cải tiến đặc biệt với WIM so với RIS là WIM có thể làm việc tốtvới nhiều nền tảng phần cứng khác nhau

Terminal Services cung cấp 2 sự khác biệt cho người quản trị và ngườidùng cuối:

- Dành cho người quản trị: cho phép quản trị có thể kết nối từ xa hệ thốngquản trị bằng việc sử dụng Remote Desktop Connection hoặc Remote Desktop

- Dành cho người dùng cuối: cho phép người dùng cuối có thể chạy cácchương trình từ Terminal Services server

3.6 Network Access Protection

Network Access Protection (NAP) là một hệ thống chính sách thi hành(Health Policy Enforcement) được xây dựng trong các hệ điều hành WindowsServer 2008

Cơ chế thực thi của NAP:

+ Kiểm tra tình trạng an toàn của client

+ Giới hạn truy cập đối với các máy client không an toàn

+ NAP sẽ cập nhật những thành phần cần thiết cho các máy client không

an toàn, cho đến khi client đủ điều kiện an toàn.Cho phép client kết nối nếuclient đã thỏa điều kiện

+ NAP giúp bảo vệ hệ thống mạng từ các client

+ NAP cung cấp bộ thư viên API (Application Programming Interface),cho phép các nhà quản trị lập trình nhằm tăng tính bảo mật cho mình

3.7 Read-Only Domain Controllers

Read-Only Domain Controller (RODC) là một kiểu Domain Controllermới trên Windows Server 2008.Với RODC, doanh nghiệp có thể dễ dàng triểnkhai các Domain Controller ở những nơi mà sự bảo mật không được đảm bảo vềbảo mật RODC là một phần dữ liệu của Active Directory Domain Services

Vì RODC là một phần dữ liệu của ADDS nên nó lưu trữ mọi đối tượng,thuộc tính và các chính sách giống như domain controller, tuy nhiên mật khẩuthì bị ngoại trừ

3.8 Công nghệ Failover Clustering

Clustering là công nghệ cho phép sử dụng hai hay nhiều server kết hợpvới nhau để tạo thành một cụm server để tăng cường tính ổn định trong vậnhành.Nếu server này ngưng hoạt động thì server khác trong cụm sẽ đảm nhậnnhiệm vụ mà server ngưng hoạt động đó đang thực hiện nhằm mục đích hoạtđộng của hệ thống vẫn bình thường Quá trình chuyển giao gọi là failover

Những phiên bản sau hỗ trợ:

- Windows Server 2008 Enterprise

- Windows Server 2008 Datacenter

- Windows Server 2008 Itanium

3.9 Windows Firewall with Advance Security

Windows Firewall with Advance Security cho phép người quản trị có thểcấu hình đa dạng và nâng cao để tăng cường tính bảo mật cho hệ thống

Windows Firewall with Advance Security có những điểm mới:

+ Kiểm soát chặt chẽ các kết nối vào và ra trên hệ thống (inbound vàoutbound)

+ IPsec được thay thế bằng khái niệm Connection Security Rule, giúp cóthể kiểm soát và quản lý các chính sách, đồng thời giám sát trên firewall Kếthợp với Active Directory

+ Hỗ trợ đầy đủ IPv6

4 Cài đặt Windows Server 2008

* Yêu cầu phần cứng:

Windows Server 2008 hỗ trợ cả 2 cấu trúc vi xử lý 32-bit và 64-bit Tuy nhiên,phiên bản mới nhất là Windows Server 2008 R2, Windows Midmarket Server vàWindows Small Business với những tính năng đa dịch vụ, các phiên bản này chỉ

hỗ trợ cấu trúc vi xử lý 64-bit RAM hỗ trợ tối đa cho hệ thống 32-bit là 4GBkhi chạy phiên bản Standard Edition và 64GB khi chạy phiên bản Enterprise vàDatacenter Nếu chạy hệ thống 64-bit, bộ nhớ RAM có thể hỗ trợ lên dến 32GB

và 2TB RAM cho phiên bản Enterprise và Datacenter Thêm vào đó, WindowsServer 2008 hỗ trợ hệ thống Itanium, tuy nhiên chip xử lí Intel Itanium 2 nhân làcần thiết

2 Khi được yêu cầu chọn ngôn ngữ, thời gian, đơn vị tiền tệ và thông tin

bàn phím, hãy đưa ra lựa chọn thích hợp rồi click Next

Thiết lập ngôn ngữ, thời gian và đơn vị tiền tệ, thông tin bàn phím

3 Tùy chọn Install Now xuất hiện Nếu chưa chắc chắn về yêu cầu phần

cứng, có thể click vào liên kết What to Know Before Installing

Windows để biết thêm chi tiết.

4 Nhập khóa kích hoạt sản phẩm (product key) và đánh dấu kiểm vào

ô Automatically Activate Windows When I’m Online Click Next.

Nhập khóa kích hoạt sản phẩm hợp lệ

5 Nếu chưa nhập khóa sản phẩm ở mục trước, bây giờ sẽ phải lựa chọn ấn

bản Windows Server 2008 sắp cài đặt và đánh dấu kiểm vào ô I Have

Selected an Edition of Windows That I Purchased Nếu đã nhập khóa sản

phẩm hợp lệ, trình cài đặt sẽ tự động nhận diện được ấn bản Windows

Server 2008 sắp cài đặt Click Next.

Lựa chọn bản Windows Server 2008 để cài đặt

6 Đọc các điều khoản quy định và chấp nhận bằng cách đánh dấu ô kiểm

Click Next.

7 Ở cửa sổ mới xuất hiện, do khởi động máy từ đĩa cài nên tùy chọn

Upgrade (nâng cấp) đã bị vô hiệu Click Custom (Advanced)

Tùy chọn Upgrade đã bị vô hiệu khi khởi động máy từ đĩa cài

Lưu ý: Nếu muốn tiến hành cài đặt nâng cấp, cần chạy trình cài đặt trong

môi trường Windows

8 Trên cửa sổ tiếp theo, cần lựa chọn vị trí cài đặt Windows Nếu có drivercủa các thiết bị lưu trữ bên thứ ba, cần cài đặt ngay bằng cách click liên

kết Load Driver.

Tải driver của các thiết bị lưu trữ bên thứ ba và chọn nơi cài đặt

Lúc này, Windows sẽ bắt đầu được cài đặt vào hệ thống Có thể thấy từngbước tiến trình hoàn tất thể hiện bằng phần trăm Trong quá trình cài đặt, máychủ sẽ phải khởi động lại nhiều lần Trình cài đặt sẽ hoàn thành những tác vụ sauđây:

BÀI 2: DỊCH VỤ ACTIVE DIRECTORY

1 Tổng quan về Active Directory

1.1 Giới thiệu

AD (Active Directory) là dịch vụ thư mục chứa các thông tin về các tàinguyên trên mạng, có thể mở rộng và có khả năng tự điều chỉnh cho phép bạnquản lý tài nguyên mạng hiệu quả Để có thể làm việc tốt với Active Directory,chúng ta sẽ tìm hiểu khái quát về Active Directory, sau đó khảo sát các thànhphần của dịch vụ này

Các đối tượng AD bao gồm dữ liệu của người dùng (user data), máyin(printers), máy chủ (servers), cơ sở dữ liệu (databases), các nhóm người dùng(groups), các máy tính (computers), và các chính sách bảo mật (securitypolicies)

Ngoài ra một khái niệm mới được sử dụng là container (tạm dịch là tập đốitượng) Ví dụ Domain là một tập đối tượng chứa thông tin người dùng, thông tincác máy trên mạng, và chứa các đối tượng khác

1.2 Chức năng của Active Directory

- Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩutương ứng và các tài khoản máy tính

- Cung cấp một Server đóng vai trò chứng thực (authentication server)hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domaincontroller (máy điều khiển vùng)

- Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp cácmáy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máytính khác trong vùng

- Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độquyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyềnbackup dữ liệu hay shutdown Server từ xa…

- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con(subdomain) hay các đơn vị tổ chức OU (Organizational Unit) Sau đó chúng ta

có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ

1.3 Directory Services

1.3.1 Giới thiệu Directory Services

Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trongNTDS.DIT và các chương trình quản lý, khai thác tập tin này Dịch vụ danh bạ

là một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống Active Directory.Một hệ thống với những tính năng vượt trội của Microsoft.

1.3.2 Các thành phần trong Directory Services

Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh

bạ là gì? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số điện thoại

Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thôngtin và thuộc tính liên quan đến các đối tượng đó

a Object (đối tượng)

Trong hệ thống cơ sở dữ liệu, đối tượng bao gồm các máy in, người dùngmạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, … Đốitượng chính là thành tố căn bản nhất của dịch vụ danh bạ

b Attribute (thuộc tính)

Một thuộc tính mô tả một đối tượng Ví dụ, mật khẩu và tên là thuộc tínhcủa đối tượng người dùng mạng Các đối tượng khác nhau có danh sách thuộctính khác nhau, tuy nhiên, các đối tượng khác nhau cũng có thể có một số thuộctính giống nhau Lấy ví dụ như một máy in và một máy trạm cả hai đều có mộtthuộc tính là địa chỉ IP

c Schema (cấu trúc tổ chức)

Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loạiđối tượng nào đó Ví dụ, cho rằng tất cả các đối tượng máy in đều được địnhnghĩa bằng các thuộc tính tên, loại PDL và tốc độ Danh sách các đối tượng nàyhình thành nên schema cho lớp đối tượng “máy in” Schema có đặc tính là tuỳbiến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thểsửa đổi được Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạActive Directory

d Container (vật chứa)

Vật chứa tương tự với khái niệm thư mục trong Windows Một thư mục

có thể chứa các tập tin và các thư mục khác Trong Active Directory, một vậtchứa có thể chứa các đối tượng và các vật chứa khác Vật chứa cũng có cácthuộc tính như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sựnào đó như đối tượng Có ba loại vật chứa là:

- Domain: khái niệm này được trình bày chi tiết ở phần sau

- Site: một site là một vị trí Site được dùng để phân biệt giữa các vị trícục bộ và các vị trí xa xôi Ví dụ, công ty XYZ có tổng hành dinh đặt ở SanFransisco, một chi nhánh đặt ở Denver và một văn phòng đại diện đặt ở Portland

kết nối về tổng hành dinh bằng Dialup Networking Như vậy hệ thống mạng này

có ba site

- OU (Organizational Unit): là một loại vật chứa mà bạn có thể đưa vào

đó người dùng, nhóm, máy tính và những OU khác Một OU không thể chứa cácđối tượng nằm trong domain khác Nhờ việc một OU có thể chứa các OU khác,bạn có thể xây dựng một mô hình thứ bậc của các vật chứa để mô hình hoá cấutrúc của một tổ chức bên trong một domain Bạn nên sử dụng OU để giảm thiểu

số lượng domain cần phải thiết lập trên hệ thống

e Global Catalog

- Dịch vụ Global Catalog dùng để xác định vị trí của một đối tượng màngười dùng được cấp quyền truy cập Việc tìm kiếm được thực hiện xa hơnnhững gì đã có trong Windows NT và không chỉ có thể định vị được đối tượngbằng tên mà có thể bằng cả những thuộc tính của đối tượng

- Giả sử bạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắnbạn sẽ không dùng một máy in HP Laserjet 4L Bạn sẽ phải tìm một máy inchuyên dụng, in với tốc độ 100ppm và có khả năng đóng tài liệu thành quyển.Nhờ Global Catalog, bạn tìm kiếm trên mạng một máy in với các thuộc tính nhưvậy và tìm thấy được một máy Xerox Docutech 6135 Bạn có thể cài đặt drivercho máy in đó và gửi print job đến máy in Nhưng nếu bạn ở Portland và máy inthì ở Seattle thì sao? Global Catalog sẽ cung cấp thông tin này và bạn có thể gửiemail cho chủ nhân của máy in, nhờ họ in giùm

- Một ví dụ khác, giả sử bạn nhận được một thư thoại từ một người tênBetty Doe ở bộ phận kế toán Đoạn thư thoại của cô ta bị cắt xén và bạn khôngthể biết được số điện thoại của cô ta Bạn có thể dùng Global Catalog để tìmthông tin về cô ta nhờ tên, và nhờ đó bạn có được số điện thoại của cô ta

- Khi một đối tượng được tạo mới trong Active Directory, đối tượng đượcgán một con số phân biệt gọi là GUID (Global Unique Identifier) GUID củamột đối tượng luôn luôn cố định cho dù bạn có di chuyển đối tượng đi đến khuvực khác

2 Cài đặt và cấu hình dịch vụ Active Directory

2.1 Nâng cấp Server lên Domain Controller

* Giới thiệu

Một khái niệm không thay đổi từ Windows NT 4.0 là domain Mộtdomain vẫn còn là trung tâm của mạng Windows 2000 và Windows 2003 cùng

và Windows Server 2008, tuy nhiên lại được thiết lập khác đi Các máy điềukhiển vùng (domain controller – DC) không còn phân biệt là PDC (PrimaryDomain Controller) hoặc là BDC (Backup Domain Controller) Bây giờ, đơngiản chỉ còn là DC Theo mặc định, tất cả các máy Windows Server 2008 khimới cài đặt đều là Server độc lập (standalone server) Chương trình DCPROMOchính là Active Directory Installation Wizard và được dùng để nâng cấp mộtmáy không phải là DC (Server Stand-alone) thành một máy DC và ngược lạigiáng cấp một máy DC thành một Server bình thường.

* Chuẩn bị các bước cài đặt

Các bước nâng cấp lên Domain Controller như sau: Khai báo các thông số

về địa chỉ IP cho máy cần nâng cấp trong trường hộp này Chúnh ta sẽ tiến hànhnâng cấp máy Server1 chạy Windows Server 2008:

Tùy chỉnh lại thống số IP theo mô hình mạng ở trên đưa ra: Click chuộtphải vào Icon Network trên Deskop chon Properties / Click vào Managernetwork

Từ Menu Start / Run gõ lệnh dcpromo để tiến hành nâng cấp lên Domain

Hộp thoại Operting System Compatibility tiếp tục Click Next

Đánh dấu check vào ô Create a new domain in a new forest đễ tạo mớimột domain trong một rừng mới sau đó Click Next đễ tiếp tục.

Hộp thoại Name the Root Domain Bạn nhập vào ô FQDN of the forestroot domain nhập vào tên Domain cần tạo sau đó Click Next

Hộp thoại Domain NetBIOS Name giữ nguyên mặt định Click Next.

Hộp thoại Set Forest Function Level chọn Windown Server 2008 để sữdụng hết những chức năng mới trong Windows Server 2008, sau đó Click Next.

Hộp thoại Additioal Domain Controller Options Bạn đánh dấu check vào

Ô DNS server nếu Bạn muốn chương trình DNS tự dộng được cài đặt trong quátrình nâng cấp Ở đây mình khách chọn và dịch vụ DNS sẽ được cài đặt và cấuhình sau

Hộp thoại Location for Database, Log Files, and SYSVOL chỉ định nơilưu trữ cho Database, nơi lưu trữ cho tập tin Log files và SYSVOL Nếu Bạn làmột IT và đây là việc Bạn đang cấu hình thì Hãy chọn nơi lưu trữ vào vị trí khác

để dữ liệu được an toàn

Hộp thoại Direcroty Serviecs Restore Administrator Password Bạn nhậpPassword vào ô bên dưới và Lưu ý là phải nhớ thật kỹ Password này Sau đóClick Next.

Hộp thoại Summary tổng hộp lại quá trình Bạn vừa thiết lập nếu muốnthay đổi thì bạn Click Back, chấp nhập thì Click Next đễ tiếp tục cài đặt.

Quá trình nâng cấp lên Domain Controller đang được tiến hành sau khikết thúc quá trình nâng cấp lên Domain Controller thì hệ thống tự Restart nếuBạn click chọn vào ô Reboot on completion.

2.2 Các bước gia nhập một máy tram và Domain

* Giới thiệu

Một máy trạm gia nhập vào một domain thực sự là việc tạo ra một mốiquan hệ tin cậy (trust relationship) giữa máy trạm đó với các máy DomainController trong vùng Sau khi đã thiết lập quan hệ tin cậy thì việc chứng thựcngười dùng logon vào mạng trên máy trạm này sẽ do các máy điều khiển vùngđảm nhiệm

Nhưng chú ý việc gia nhập một máy trạm vào miền phải có sự đồng ý củangười quản trị mạng cấp miền và quản trị viên cục bộ trên máy trạm đó Nóicách khác khi bạn muốn gia nhập một máy trạm vào miền, bạn phải đăng nhậpcục bộ vào máy trạm với vai trò là administrator, sau đó gia nhập vào miền, hệthống sẽ yêu cầu bạn xác thực bằng một tài khoản người dùng cấp miền cóquyền Add Workstation to Domain (bạn có thể dùng trực tiếp tài khoảnadministrator cấp miền)

* Các bước gia nhập

Sau khi nâng cấp Server1 lên Domain Controller Tiếp theo sau là Zonemột máy trạm vào Domain trong phần này thực hiện trên Server2

Login vào Server2 với Username là Administrator thực đội gian nhập mộtmáy trạm vào Domain như sau:

Click chuột phải vào Icon Network trên Desktop chọn Properties sau đóClick chọn tiếp vào Manager network connections

Click chọn Internet Protocol Version 4 (TCP/IPv4)

Bước tiếp theo trở lại màn hình Desktop Click chuột phải vào IconComputer chọn Properties tiếp tực Click chọn Change settings

Trong hộp thoại System Properties tiếp tục Click chọn Change…

Hộp thoại Computer name/Domain Changes, Bạn đánh cấu chọn vào ôDomain vào nhập tên Domain của máy Domain Controller vào sau đó Clickchọn OK

Hộp thoại Windows Security yêu cầu Bạn cần có một Username vàoPassword của người quản trị viên cấp miền Bạn nhập vào Administrator là tàikhoảng quản trị cho Domain qtm.vn.

Hộp thoại Computer Name/Domain Changes xuất hiện lời chào mừng

Sau khi máy Server2 đã gia nhập thành công hệ thống yêu cầu Restart lạiServer2

3 Triển khai Active Directory Forest và Domain Tree

* Tạo Trust Relationships

Trust Relationship là một liên kết luận lý được thiết lập giữa các hệ thốngDomain, giúp cho cơ chế chứng thực giữa các hệ thống Domain có thể đượcthừa hưởng lẫn nhau Trust Relationship giải quyết bài toán “single sign-on” –logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các Domain,dịch vụ triển khai trên 1 Domain có thể được truy cập từ user thuộc Domainkhác

Trong một trust relationship cần phải có 2 Domain Domain được tintưởng gọi là Trusted Domain, còn Domain tin tưởng Domain kia gọi là TrustingDomain Cơ chế Trust Relationship giúp đảm bảo các đối tượng ( user, ứng dụng

hay chương trình ) được tạo ra trên một Trusted Domain có thể được chứng thựcđăng nhập hay truy cập tài nguyen, dịch vụ trên Trusting Domain Tuy nhiên,trên hệ thống Windows hỗ trợ đến 6 loại trust relationship với các đặc tính vàứng dụng khác nhau.

Mô hình Trust Relationships

- Realm trust: Thiết lập giữa một hệ thống không sử dụng hệ điều hànhWindows và hệ thống Domain Windows 2008 Điều kiện là hệ thống phải cógiao thức chứng thực hỗ trợ tương thích với giao thức Kerberos cua Windows2008

- External trust: Thiết lập để liên kết 2 Domain thuộc 2 Forest khác nhau

để giảm bớt các bước chứng thực

- Forest trust: Thiết lập giữa 2 forest, bắt đầu hỗ trợ từ Windows 2008,đây là phương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượngthuộc Domain của cả 2 forest

Trusted Domain Object:

- Đối tượng Domain được tin tưởng.

- Đại diện một vài mối quan hệ tin cậy trong phân vùng Domain

- Lưu trữ thông tin của loại trust:

+ Domain tree names

+ Service principal name (SPN) suffixes

+ Security ID (SID) namespace

Cách Trust làm viêc trong một Forest:

Mô hình cách làm việc của Trust trong 1 Forest

Cách Trust làm việc giữa các Forest:

Mô hình cách làm việc của Trust giữa các Forest

BÀI 3: QUẢN TRỊ CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY

1 Quản trị tài khoản User , Group , Computer

1.1 Giới thiệu về User Account:

Người sử dụng cần truy cập các tài nguyên khác nhau trên máy tính bất kìtrong mạng User acconut được tạo ra để xác nhận người sử dụng và cấp cho họcác thao tác với các tài nguyên trên mạng mà họ có quyền Một user accountchứa các user name và password cho phép user có thể đăng nhập vào mộtdomain hay hay một máy tính từ xa bất kì nào Bất cứ người sử dụng mạngthông thường nào nên có một user account Windows 2008 server hỗ trợ ba loạiuser account: Local User Account, Domain User Account và Built-in UserAccount

* Local User Account (User Account cục bộ):

Với một user account cục bộ, người dùng chỉ có thể đăng nhập vào máyxác định, nơi mà user account đó được tạo ra User chỉ có thể truy cập đượcnhững tài nguyên có trên máy tính đó Một local user account được tạo ra trongtừng cơ sở dữ liệu bảo mật của từng máy cục bộ

* Domain User Account (User account trong Domain):

Với Domain user account, người sử dụng có thể đăng nhập vào mộtdomain và có thể truy cập nhiều tài nguyên có mặt tại bất kì nơi nào trên mạng.Một thẻ truy cậo được tạo ra mà xác nhận người dùng sử dụng và các thiết lậpbảo mật của user này khi người sử dụng cung cấp thông tin đăng nhập(username

và password) Thẻ truy cập được cung cấp bởi windows 2008 server sẽ tồn tạilần cuối cùng cho đến khi người sử dụng đăng nhập(logon) và mất đi khi người

sử dụng huỷ đăng nhập(log-off) User account trong trường hợp này sẽ được lưutrong cơ sở dữ liệu của Active Directory User account này sẽ được nhân bảnđến các Domain controller khác trong domain bởi user account được tạo ra trêndomain controller Sự nhân bản này sẽ mất một chút thời gian, vì thế sẽ khôngthể xử lý ngay lập tức các tài nguyên trên mạng thông qua các user account mớitạo và thời gian nhân bản thông thường của một Active Directory trong một sitethường là 5 phút

* Built-in User Account (User Account tạo sẵn):

Built-in Account được tạo tự động bởi windows server 2008 và được sửdụng bởi những người sử dụng thực hiện những tác vụ quản trị hoặc những thaotác mạng trên một cơ sở dữ liệu tạm thời(temporary basic) Có hai loại Built-in

User account là: Administrator account và Guest account Hai loại account nàykhông thể xoá.

- Administrator Account: Built-in Administrator account có thể được sửdụng để quản lý các máy tính và cấu hình trong domain Sự quản lý bao gồm cáctác vụ như tạo, sửa các group và các user account, các printer và quản lý cácchính sách bảo mật Nên tạo ra một user account mới có các nhiệm vụ khôngphải quản trị hệ thống( non-administrative task) nếu chúng ta có mộtAdministrator, vì administrator account nên được giới hạn sử dụng cho các tác

vụ quản trị Để cấm các user không có quyền đăng nhập vào hệ thống của chúng

ta, một giải pháp thực tế là đổi tên built-in administrator account sao cho khônggiống như một administrator account Chúng ta cũng có thể đánh lừa người sửdụng bằng cách tạo ra một user account có tên là administrator account nhưngkhông gán cho một quyền nào với user account này

- Guest Account: Thỉnh thoảng các user được chúng ta cung cấp một guestaccount để họ có thể đăng nhập tạm thời và các tài nguyên trên mạng Theo mặcđịnh thì guest account bị disable Chúng ta có thể cho phép account này trên mộtmạng bảo mật thấp và gán cho nó một password

1.2 Tạo và quản lý Account

Trong khi tạo các user account chúng ta nên cẩn thận lập kế hoạch và tổchức tất cả các thông in về user trước khi bắt tay vào thực hiện Để đạt đượcnhững điều này chúng ta nên tự làm quen với các quy ước và chỉ dẫn Theonhững quy ước và chỉ dẫn này giúp chúng ta dễ dàng hơn trong việc quản lý cácuser account sau khi tạo chúng Kế hoạch được thực hiện với sự trợ giúp của banguyên tắc cơ bản quan trọng sau: Naming Conventions (Quy tắc đặt tên),Password Guidelines (Chỉ dẫn mât khẩu) và Account Option (tuỳ chọn account)

* Quy tắc đặt tên User Account:

Các quy tắc đặt tên sẽ xác định cách mà user sẽ được biết đến trong mộtdomain Chúng ta nên đặt tên theo các quy tắc đang tồn tại Các điểm sau đâynên được chú ý khi chỉ định quy tắc đặt tên cho tổ chức của chúng ta:

- Chúng ta nên gán một tên duy nhất cho các domain user account và nónên được lưu trong Active Directory Với người sử dụng cục bộ tên account làtên duy nhất trong một nơi mà các user account cục bộ được tạo

- User account có thể nên đến 20 kí tự chữ thường hoặc chữ hoa và các kí

tự sau đây không được sử dụng để đặt tên cho User account: “/ \ [ ] ; | = , + * ? <

>” Các tên này không phân biệt hoa thường Một sự pha trộn đặt biệt của các kí

tự số có thể làm đơn giản sự định danh các user names

- Với một tổ chức lớn với một số lượng lớn các user, quy tắc đặt tên giữcho tên khỏi bị trùng lặp Một điều quan trọng là biết được các user tạm thờitrong tổ chức của chúng ta để có thể dễ dàng xoá các tên đăng nhập của họ khi

ra khỏi tổ chức của chúng ta Trong trường hợp này, việc đầu tiên sẽ là địnhdanh các nhân viên tạm thời và thêm một kí tự “T”(temporary) và một kí tự “-“vào tên đăng nhập của user đó

* Yêu cầu mật khẩu :

Bất kì một user account nào cũng phải chứa một password phức tạp đểbảo vệ thao tác trên một máy tính hoặc một domain và vì thế giúp chống cáccuộc đăng nhập không cho phép vào máy tính hay domain của chúng ta Cácđiểm sau đây nên được chú ý khi xác định quy uớc đặt tên cho một tổ chức củachúng ta:

- Luôn luôn được khuyến cáo gán mật khẩu cho Administrator account đểtránh các tiếp nhận không cho phép của account

- Gán password khó đoán cho tài khoản administrator Chúng ta nên tránhđặt password liên quan rõ ràng đến ngày sinh, các thành viên trong gia đình hoặcbạn bè thân

- Password nên chứa các kí tự thường, chữ hoa, các kí tự số và các kí tựđặt biệt hợp lệ khác(non-alphanumeric)

- Chúng ta nên xác nhận xem administrator hay user có quyền điều khiểnpassword Thông thường là để quyền điều khiển password cho user Các userphải được phép gõ vào hoặc thay đổi các password trong lần đầu tiên đăng nhập.Administrator có thể cho một password duy nhất đến user account và users cóthể ngăn cản sự thay đổi password

* Các tuỳ chọn account:

Các administrator nên theo dõi giờ đăng nhập của user và máy tính nơi họđăng nhập vào Giờ kết thúc (logon hours) của một account tạm thời nên đượcbiết trước Điều này đảm bảo sự bảo mật đúng đắn và sự duy trì của mạng Cáctuỳ chọn của account bao gồm:

- Logon hours: Chúng ta có thể đặt logon hours cho user tuỳ thuộc vàokhả năng xử lý của user Theo cách này chúng ta có thể giới hạn thời gian đăngnhập của user từ ngày đến đêm Xử lý mặc định của windows 2003 cho user là

24 tiếng mỗi ngày Bằng cách đặt logon hours chúng ta có thể rút ngắn thời

lượng mà các unauthorized user (user không được phép) có thể xử lý thông tinthông qua account này.

- Setting Computer for User Log On: Chúng ta nên xách định xem máytính mà user sẽ đăng nhập vào Các user có thể đăng nhập vào domain từ bất kìmáy tín nào theo mặc định của domain Vì lý do bảo mật chúng ta có thể giớihạn cho các user phải đăng nhập vào domain từ các máy tính đơn của họ sở hữu

Có thể là không giới hạn user đăng nhập vào bất kì máy tính nào trên mạngtrong truờng hợp NetBIOS trên TCP/IP bị disable

- Account Expiration: Chúng ta nên xác định xem khi nào thì các user xácđịnh phải hết hạn sử dụng Nếu chúng ta quyết định không tiếp tục một account

từ một ngày xác định thì chúng ta đặt ngày hết hạn (expiration date) cho useraccount đó Đến sát ngày hết hạn chúng ta sẽ thấy account bị bisable sau ngàyhết hạn đó User account cho nhân viên tạm thời nên hết hạn cùng ngày với ngàyhết hạn hợp đồng của họ với công ty

* Tạo các Local user Account:

Một user account cục bộ là một account mà user có thể đăng nhập vào và

xử lý các tài nguyên được hỗ trợ bởi máy tính đơn đó Chúng ta có thể tạo ramột user account cục bộ bằng cách dùng console Computer Management MộtUser account cục bộ chỉ được dùng trong trường hợp môi trường mạng nhỏ, ví

dụ nó có thể là một workgroup đơn giản hay một máy tính stand-alone khôngđược cấu hình trong mạng Tránh tạo ra các user cục bộ trên các máy tính trongdomain vì domain nên được thừa nhận user cục bộ Điều này giới hạn các usernhận bất cứ tài nguyên nào trên domain, nhưng tài nguyên trên máy tính cục bộthì truy cập được Các user account cục bộ có ít số lượng các thuộc tính hơn cácdomain user account

* Tạo các Domain User Account:

Domain User Account có thể được sử dụng để đăng nhập vào domain và

vì thế nhận được các xử lý đến các tài nguyên được lưu trữ ở bất kì nơi đâutrong mạng Một domain user account được tạo với sự trợ giúp của DomainController Administration Tools lưu trữ trong domain controller, được cung cấptrong windows server 2008 giúp chúng ta tạo ra và quản trị domain useraccount Chúng ta có thể dùng các thiết đặt cho password để tạo ra một homefolder và vị trí trung tâm lưu trữ dữ liệu

- Các tuỳ chọn khi khởi tạo Domain User Account: Một domain useraccount được tạo ra trong một domain controller mà từ đó nó được tự động copy

tất cả đến các domain controller khác trong mạng Chúng ta nên tạo accounttrong mục user mặc định hoặc trong một số folder khác nơi mà các domain useraccount khác tồn tại.

+ First Name: Tên của User+ Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user

+ Last name: Họ của User+ Full name: Tên đầy đủ của user Nó nên là duy nhất trong thưmục account Windows server 2008 có khả năng điền thông tin này saukhi tên và họ của user đã được nhập vào

+ User logon name: Tuỳ chọn này nên là logon name duy nhất dựatheo các quy tắc đặt tên và phải là duy nhất trong thư mục

+ User logon name(pre-windows 2000): Logon name duy nhất củauser để đăng nhập từ phiên bản trước windows 2000 của Microsoft Cáinày là duy nhất trong domain và là phần tử bắt buộc

- Các thiết lập cho password: Chúng ta có thể thêm một password khiđang thêm một user account mới trong domain Dưới đây là các tuỳ chọn chopassword được gán password khi đang tạo một user mới

+ Password: Đây là password được dùng trong khi xác nhận user và đượchiển thị dưới dạng cac dấu hoa thị

+ Confirm password: Xác định lại mật khẩu đã nhập ở trên

+ User Must Change password at next logon: Để cho phép user thay đổipassword trong lần đăng nhập lần đầu tiên

+ User cannot change password: User không thể thay đổi password Tuỳchọn này được chọn đối với nơi có nhiều hơn một user sử dụng cùng useraccount hoặc khi administrator muốn điều khiển password

+ Password never expires: Chọn tuỳ chọn này nếu password không baogiờ thay đổi Tuỳ chọn này sẽ ghi đè thiết lập User must change password atnext logon Vì thế nếu cả hai tuỳ chọn này được chọn thì windows 2003 sẽ tựđộng chỉ chọn tuỳ chọn password never expires

+ Account Dissable: Với tuỳ chọn này chúng ta có thể dừng sử dụng củauser account này

- Thay đổi thuộc tính của User account: Tất cả các account đều có một tậpcác thuộc tính Các domain user account đương nhiên là có nhiều thuộc tính hơncác local user account Các thuộc tính của local user account là tập con của cácthuộc tính trong domain user account Các thuộc tính được sử dụng để tìm kiếm

bất kì user nào trong Active Directory Mỗi domain nên được cấu hình vớinhững thuộc tính bắt buộc sau đây:

+ Các thuộc tính các nhân sẽ có: thuộc tính chung (general), điện thoại(telephones), tổ chức (organizational)

+ Thuộc tính giờ Logon (Logon hours)

+ General: Tab này sẽ được cung cấp thông tin về tên của user, mô tả,điện thoại, email user name, địa chỉ văn phòng và home page(trang chủ)

+ Address: Tab này sẽ cung cấp các địa chỉ đường, thành phố, hộp thư,bang hay mã vùng(zip code) và nước(country) của user

+ Account: Tab này sẽ cho phép định nghĩa logon name của user và cũngthiết đặt thêm các tuỳ chọn như Logon Hours và Log on to Những tuỳ chọn này

đã được đặt trong suốt quá trình tạo đối tượng user trong cơ sở dữ liệu ActiveDirectory và có thể được thay đổi ở đây

+ Profile: Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũngduy trì toàn bộ môi trường làm việc của user Một đường dẫn mạng cũng có thểđược thiết lập để nhận các truy cập các tài nguyên mạng và bổ xung kịch bảnđăng nhập và home folder có thể được gán bởi tuỳ chọn này

+ Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile,pager (số máy tin nhắn) và IP phone của user Chúng ta cũng có thể thêm các ghichú ở đây

+ Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty,tên công ty hay tổ chức, các thông tin về user và báo các trực tiếp của user