bai 02 active directory

4/14/2010

1

Bài 2

ACTIVE DIRECTORY

WINDOWS SERVER 2003

QUẢN TRỊ MẠNG

Các mô hình mạng

�Mô hình Workgroup

� Mô hình Workgroup còn gọi là mô hình peer to peer.

� Các máy tính trong mạng có vai trò như nhau.

� Thông tin tài khoản người dùng được lưu trong tập tin SAM (Security Accounts Manager) trên mỗi máy cục bộ.

� Quá trình chứng thực cho người dùng đăng nhập diễn ra tại máy cục bộ mà user đăng nhập.

4/14/2010

2

Các mô hình mạng (t.t)

�Mô hình Domain� Hoạt động theo cơ chế client-server (client – server

mô hình mạng khách chủ có một hệ thống máy tính cung cấp các tài nguyên và dịch vụ cho cả hệ thống mạng sử dụng gọi là các máy chủ )

� Có ít nhất một server làm chức năng điều khiển vùng (Domain Controller).

� Thông tin người dùng được quản lý bởi dịch vụ Active Directory và được lưu trữ trên Domain Controller (DC) với tên tập tin là NTDS.DIT.

� Quá trình chứng thực cho người dùng đăng nhập diễn ra tập trung tại máy Domain Controller.

Mô hình Domain (t.t)

4/14/2010

3

Active Directory�Giới thiệu Active Directory (AD)

Là một cơ sở dữ liệu của các tài nguyên trênmạng (còn gọi là đối tượng) cũng như thôngtin liên quan đến các đối tượng đó.

�Chức năng của Active Directory� Lưu giữa các thông tin người dùng và các tài

nguyên mạng máy tính

� Đóng vai trò chứng thực (Authenticationserver) và quản lý đăng nhập (Logon server)

� Lưu trữ thông tin mạng máy tính như là cácđối tượng trong một cấu trúc phân cấp

Active Directory�Chức năng của Active Directory(tt)

� Sự quản lý tập trung: Cho phép tạo ra nhiềutài khoản người dùng với mức độ quyền(user right) khác nhau

� Các khả năng tìm kiếm năng cao: Duy trì bảnchỉ mục (Index) giúp cho quá trình tìm kiếmtài nguyên mạng nhanh hơn

� Uỷ quyền đại diện: Chia nhỏ domain thànhnhiều subdomain hay OU (OrganizationalUnit)

4/14/2010

4

Active Directory

D o m a i n

Computers

Objects

Userss

Active Directory (t.t)

�Directory Service (dịch vụ danh bạ)

� Giới thiệu Directory Service

Là hệ thống thông tin chứa trong NTDS.DIT và cácchương trình quản lý, khai thác tập tin này. Là mộtdịch vụ cơ sở làm nền tản để hình thành hệ thống AD

� Các thành phần trong Directory Service

• Object (Đối tượng) thông tin về các tài nguyênnhư: máy in, người dùng, dịch vụ mạng…

• Attribute (Thuộc tính) một thuộc tính mô tả mộtđối tượng. Vd mật khẩu và tên là thuộc tính củađối tượng người dùng mạng

4/14/2010

5

Active Directory (t.t)� Các thành phần trong Directory Service (tt)

• Schema (Cấu trúc tổ chức) định nghĩa danh sáchcác thuộc tính dùng để mô tả một loại đối tượngnào đó

• Container (Vật chứa) tương tự khái niệm thư mụctrong Windows.

– Domain: đơn vị nồng cốt trong cấu trúc AD

– Site: một site là một vị trí. Site dùng phân biệt giữacác vị trí cục bộ và các vị trí xa xôi

– OU (Organizational Unit) là một loại vật chứa mà bạncó thể đưa vào đó người dùng, nhóm, máy tính vànhững OU khác

• Global catalog: Dùng để xác định vị trí của một đốitượng mà người dùng được cấu quyền truy cập

Active Directory (t.t)

�Kiến trúc của Active Directory

4/14/2010

6

Kiến trúc của Active Directory

�Objects

� Các khái niệm liên quan

• Object classes: Các Object classes thông dụng là User, Computer, Printer

• Attributes: là tập hợp các giá trị phù hợp và được gắn kết với một đối tượng cụ thể.


�Organizational Units

� OU là đơn vị nhỏ nhất trong hệ thống AD

� Hai công dụng của OU

• Trao quyền kiểm soát một tập hợp tài khoảnngười dùng, máy tính hay các thiết bị mạng chomột hoặc một nhóm phụ tá quản trị viên (sub-administrator) để giảm bớt gánh năng choAdministrator

• Kiểm soát và khoá bớt một số chức năng trên máytrạm thông qua chính sách nhóm (Group PolicyObject)

4/14/2010

7


�Domain

� Domain là đơn vị chức năng nồng cốt của cấu trúc logic Active Diretory

� Ba chức năng của domain

• Đóng vai trò như một khu vực quản trị(administrative boundary) các đối tượng.

• Giúp chúng ta quản lý bảo mật các tài nguyên chiasẻ.

• Cung cấp các server dự phòng làm chức năngđiều khiển vùng (domain controller) và đảm bảothông tin trên các server này đồng bộ với nhau


�Domain: cập nhật thông tin giữa các DC

4/14/2010

8


�Domain Tree• Là cấu trúc bao gồm nhiều domain được sắp xếp

có cấp bậc theo cấu trúc hình cây.


�Forest• Forest (rừng) được xây dựng trên một hoặc nhiều

Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau.

4/14/2010

9

Cấu trúc vật lý của Domain Controller

�Là nơi lưu trữ thư mục SYSVOL.

�Tham gia vào việc mô hình hóa Active Directory

�Thực hiện vai trò một Domain

Cài đặt và cấu hình Active Directory

�Nâng cấp server thành Domain Controller

� Giới thiệu

Mặc định tất cả các máy Win2k3 khi mới cài đều làServer độc lập (stand – alone server). Để sử dụng dcchức năng AD thì phải năng cấp thành máy tính DC

Trước khi cài đặt Domain Controller, ta phải tiến hànhcài đặt địa chỉ IP cho DNS Server vì khai Domain đượccài đặt nó yêu cầu địa chỉ DNS để tham chiếu trong quátrình cấu hình.

DNS Server – Domain Name System: Là hệ thống tênmiền trên máy tính Server sử dụng để phân giải,chuyển đổi địa chỉ IP thành tên miền dễ nhớ hơn vàngược lại.

4/14/2010

10


�Các bước tiến hành thiết lập địa chỉ IP cho DNS

Vào Start > Setting > Control Pannel Chọn Netword Connections > nhấp phải chuột vào Local Area Connection chọn properties

Trong hộp thoại Local Area Connection Properties tại thẻ General chọn Internet Protocol – TCP/IP và chọn Properties.


� Nhập địa chỉ IP vào mục IP Address, Subnet mask. Sau đó nhấp chọn vào mục Use the following DNS Server Address và nhập địa chỉ cho DNS Server trong mục Preferred DNS Server

� Chú ý: Địa chỉ IP của DNS Server phải trùng với địa chỉ IP của Server

4/14/2010

11

Nâng cấp server thành Domain Controller

�Các bước nâng cấp

Dùng tiện ích Manage Your Server hoặc dùng lệnh Start �� Run �� DCPROMO để nâng cấp

Start �� Run �� DCPROMO

Các bước nâng cấp (t.t)

�Chức năng của DC

� DC để quản lý Domain mới

� Thêm DC vào Domain đã tồn tại sẵn

4/14/2010

12


�Loại Domain muốn tạo

� Domain trong một Forest mới

� Domain con của một Domain Tree, …


�Tên DNS đầy đủ của Domain muốn tạo

� Ví dụ: netclass.com hoặc vina.com.vn

4/14/2010

13


�Tên NetBIOS

� Tên Domain theo chuẩn NetBIOS để tương thích với hệ điều hành Windows NT


�Chỉ định vị trí lưu Database và Log của Active Directory

� Nên lưu Database và Log trên 2 đĩa vật lý

4/14/2010

14


�Chỉnh định vị trí lưu thư mục SYSVOL

� SYSVOL phải nằm trên partition NTFS v.5

Các bước nâng cấp (t.t)�Kiểm tra hoặc cài đặt DNS

� DNS là dịch vụ phân giải tên kết hợp với AD để phân giải tên các máy tính trong miền. Hệ thống họat động được có ít nhất 1 DNS server

4/14/2010

15


�Permissions

� Cho phép hoặc không cho phép các máy sử dụng HĐH trước Windows 2000 đăng nhập


�Restore Mode Administrator Password

� Password sử dụng khi khởi động ở chế độ Directory Services Restore Mode

4/14/2010

16


�Các thông tin của AD

� Tổng kết các thông tin mà bạn đã cung cấp cho quá trình cài AD


�Nhấn Finish đểKết thúc

Restart lại máy

4/14/2010

17


�Màn hình đăng nhập sau khi đã nâng cấp thành domain controller như sau:


�Công cụ thay đổi sau khi năng cấp

4/14/2010

18

Gia nhập vào Domain

�Giới thiệu

� Một máy tính gia nhập vào domain tạo một mối quan hệ tin cậy giữa máy đó với DC trong vùng.

� Việc gia nhập vào domain phải có sự đồng ý của người quản trị mạng cấp miền. Máy client phải có quyền admin và khi gia nhập xác thực bằng tài khoản người dùng cấp miền có quyền add workstation to Domain


�Các bước gia nhập máy trạm vào Domain

� Đăng nhập vào máy trạm với vai trò của người quản trị (Có thể sử dụng Administrator)

1. Thiết lập địa chỉ IP cho DNS

4/14/2010

19



2. Right click My Computer �� Properties ��System Properties �� chọn tab Computer Name �� chọn nút Change �� Điền tên của Domain muốn gia nhập vào ô Domain(Hình A)

� DC yêu cầu chứng thực, phải điền username và password của tài khoản có quyền đưa máy trạm vào Domain (Hình B).



Hình A

Hình B

4/14/2010

20


�Chú ý:

� Chỉ lần đầu tiên chúng ta mới đăng nhập bằng tài khoản Administrator vì các user chưa được tạo và chưa được cấp quyền .

� Trong mạng doanh nghiệp tuyệt đối không bao giờ cho user thông thường đăng nhập bằng tài khoản Administrator , vì với tài khoản này họ sẽ có quyền tối cao trong hệ thống -đây cũng là nguyên nhân dẫn đến tình trạng mạng của nhiều doanh nghiệp bị sụp đổ.

Công cụ quản trị các đối tượng trong Active Directory

�Active Directory User and Computer

� Builtin: chứa nhóm người dùng tạo sẵn� Computers: Chứa máy client mặc định đang là thành viên

của miền (domain)� Domain Controllers: chứa các điều khiển vùng (DC)� ForeignSecurityPrincipals: một vật chứa mặc định cho các đối tượng bên ngoài miền đang xem xét

� Users: chứa các tài khoản người dùng mặc định trên miền

4/14/2010

21

Xây dựng OU

�Organizational Unit (OU)

�Start �� Programs �� Administrative Tools �� Active Directory User and Computer

Xây dựng OU

�Nhập tên OU muốn tạo

4/14/2010

22

Xây dựng OU

�Đưa các máy trạm và người dùng vào OU

Xây dựng OU

�Chọn người hoặc nhóm quản lý OU

� Click chuột phải vào OU vừa tạo, chọn Properties hộp thoại xuất hiện, trong Tab Managed By, chọn Change thay đổi người quản lý

4/14/2010

23

Hỏi và đáp

bai 02 active directory

Documents