nguyen thi thu huyen-k54a

8/8/2019 Nguyen Thi Thu Huyen-k54a

http://slidepdf.com/reader/full/nguyen-thi-thu-huyen-k54a 1/119



Active Directory Mạng máy tính

Phần 1. Tổng quan Active Directory

1. Giới thiệu.

2. Những Thành Phần Chính Của Hệ Thống Active Directory

3. Schema Master

3.1 Domain Naming Master

3.2 Relative Identifier (Bộ nhận dạng quan hệ)

3.3 Primary Domain Controller Emulator

3.4 Infrastructure Master

4. Cấu trúc

5. Tên.

5.1 Các nguyên tắc đặt tên cơ bản

5.2 Các tên phân biệt

5.3 Các kí tự đặc biệt trong tên

6. Directory Users và Computers console

7. Tạo một tài khoản người dùng (User Account) 8. Chỉnh sửa và bổ sung các thuộc tính của tài khoản

9. Xác lập lại mật khẩu người dùng

10. Tạo các nhóm

11. Các nhóm bảo mật.

11.1 Local Group

11.2 Domain Local Groups

11.3 Global Groups

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 2

http://www.quantrimang.com/view.asp?Cat_ID=8&Cat_Sub_ID=0&news_id=41151







Phần 2: Cài đặt một máy chủ Domain Controller cho một

Domain

1. Cài đặt Active Directory trên Windows Server 2003

1.1 Cài đặt và cấu hình DNS

a. Đặt địa chỉ IP cho máy chủ - Static IP và DNS vào DNS của chính máy mình.

b. Cài đặt và cấu hình DNS

1.2 Cài đặt Active Directory trên máy chủ Windows Server 2003

2. Backup & Restore

2.1 Công nghệ NTBACKUP trong Windows Server 2003.

2.2 Backup và Restore Active Directory trong máy chủ Domain Controllers.

a. Lý thuyết

b. Triển khai.

3. Addtional New DC

3.1 Replication dữ liệu trong Active Directory.

3.2 Triển khai Additions Domain Controller mới vào hệ thống có sẵn.

a. DNS trên máy chủ Domain Controller mới.

b. Cài đặt Additions Domain Controller vào một domain đã có sẵn





4. Child Domain

5. Forest

6. Rename DC

7. DC vài trò Master

7.1 View Master Role

7.2. Thay đổi Master khi các Domain Controllers đều đang hoạt động tốt.

a. Nâng Domain Master Role

b. Nâng Forest Master Role

7.3 Tình huống khi Master Role bị hỏng.

Kết luận

TÀI LIỆU THAM KHẢO:





Phần 1. Tổng quan Active Directory.

1. Giới thiệu.

Khi Windows 2000 được phát hành, Microsoft tích hợp một thành phần là ActiveDirectory. Khi máy chủ Windows sử dụng Windows 2000 Server, Windows Server 2003 hay Longhorn Server, công việc của domain controller (bộ điều khiển miền) là

chạy dịch vụ Active Directory.Active Directory chính là trái tim của Windows Server 2003 , hầu như tất cả mọihoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của ActiveDirectory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thốngActive Directory dùng để lưu trữ dữ liệu của domain như các đối tượng user, computer,group … cung cấp những dịch vụ (directory services) tìm kiếm, kiểm soát truy cập, ủyquyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổtrợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khiđăng nhập vào domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ củahệ thống vói những quyền hạn hợp lệ.

Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công

việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thểthực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta cóthể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa racác chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để

phân chia khả năng quản lý trong một môi trường rộng lớn. 2. Những Thành Phần Chính Của Hệ Thống Active Directory

User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số tàikhoản built-in được tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ thống,

backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệthống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này. Tuy nhiên đểcác nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vàodomain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử





dụng. Các user sẽ dùng những tài khoản được cấp bởi administrator để log-in vàdomain. Và truy cập dữ liệu trên file server hay các dịch vụ khác..

Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ cácnhân viên của một phòng ban sale có quyền truy cập lên folder sales trên file server hoặc chúng ta muốn các nhân viên của công ty đều có quyền in đối với laser printer,chúng ta nên tạo group printing và gán quyền in trên laser printer sau đó add tất cả cácnhân viên của công ty vào group printing này thay vì gán quyền in cho từng user riênglẽ sẽ không hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thaotác chung, mặc định tất cả các user được tạo ra đều thuộc group này).

OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thìchúng ta khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng ban, bộ

phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí

như phòng ban Sales sẽ có một OU Sales và trong OU này chứa group sales, groupsales sẽ bao gồm tất cả những thành viên của phòng ban sale, và những user này cũngđược đặt trong OU Sales cùng với group sales. Như vậy chúng ta cần phải phân biệt rõgroup sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU được dùng đểquản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phòng bansales trong môi trường thật được cài đât tự động MS OfficeXP hay update những bản vánào khi đăng nhập hệ thống thì chúng ta phải tương tác qua OU. Nhưng rõ ràng chúngta không thể quản lý về quyền hạn truy cập của các user này bằng OU, chính vì vậychúng ta cần phải tạo ra các group và gán quyền thông qua những group này. Đó lànhững khác biệt cơ bản nhất mà chúng ta cần phân biệt

3. Schema Master

Active Directory không thực sự là một thứ gì ngoài cơ sở dữ liệu, cũng giống nhưcơ sở dữ liệu khác, Active Directory có một giản đồ. Tuy nhiên lại không giống như cáccơ sở dữ liệu khác, giản đồ của Active Directory không phải giản đồ tĩnh. Có một sốhoạt động cần thiết mở rộng giản đồ. Ví dụ, việc cài đặt Exchange Server cần giản đồActive Directory để được mở rộng. Bất kỳ thời điểm nào diễn ra sự thay đổi giản đồ

Active Directory thì những thay đổi đó cũng được áp dụng cho Schema Master.Schema Master là một thành phần rất quan trọng của các FSMO role, vì vậy

Microsoft để ẩn nó không cho nhìn thấy. Nếu cần phải tìm máy chủ nào đang cấu hìnhSchema Master role thì ta phải đưa đĩa CD cài Windows Server 2003 và kích đúp vàofile ADMINPAK.MSI trong thư mục I386. Khi thực hiện điều đó, Windows sẽ khởi





chạy Administration Tools Pack Setup Wizard. Theo cửa sổ wizard để cài đặt gói cáccông cụ quản trị.

Khi quá trình cài đặt được hoàn tất, ta đóng Setup wizard và mở MicrosoftManagement Console bằng cách nhập vào dòng lệnh MMC trong cửa số lệnh RUN. Khicửa sổ được mở, chọn Add/Remove từ menu File. Sau khi chọn xong, cửa sổ sẽ hiển thịtrang thuộc tính của thành phần Add/Remove. Kích chuột vào nút Add để xuất hiện mộtdanh sách có sẵn các mô đun. Chọn mô đun Active Directory Schema trong danh sáchvà kích vào nút Add , sau đó nhấn Close và nút OK .

Bây giờ mô đun đã được tải ra, kích chuột phải vào Active Directory Schema vàchọn Operations Master từ menu chuột phải. Một hộp thoại sẽ xuất hiện, hộp thoại nàythông báo cho ta biết rằng máy chủ nào đang cấu hình với tư cách là Schema Master của forest.

3.1 Domain Naming Master

Một rừng Active Directory có thể gồm nhiều miền. Việc kiểm tra các miền này làcông việc của Domain Naming Master. Nếu Domain Naming Master bị lỗi thì nó khôngthể tạo và gỡ bỏ các miền cho tới khi Domain Naming Master quay trở lại trực tuyến.

Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho mộtforest, mở Active Directory Domains and Trusts, khi cửa sổ này được mở, kích chuột

phải vào Active Directory Domains and Trusts và chọn Operations Masters. Sau khi

chọn xong, Windows sẽ hiển thị Domain Naming master.

3.2 Relative Identifier (Bộ nhận dạng quan hệ)

Active Directory cho phép quản trị viên tạo các đối tượng Active Directory trên bất kỳ bộ điều khiển miền nào. Mỗi một đối tượng phải có một số hiệu nhận dạng quanhệ duy nhất để ngăn chặn các bộ nhận dạng quan hệ khỏi bị giống nhau, RelativeIdentifier Master chỉ định một nhóm bộ nhận dạng quan hệ cho mỗi một điều khiểnmiền. Khi một đối tượng mới được tạo trong một miền, bộ điều khiển miền mà đốitượng đang tạo sẽ lấy một trong những bộ nhận dạng quan hệ của nó ra khỏi nhóm vàgán cho đối tượng. Khi một nhóm được khai thác hết thì bộ điều khiển miền phải liênlạc với Relative Identifier Master để có thêm bộ nhận dạng quan hệ. Như vậy, triệuchứng cuối cùng của Relative Identifier Master lỗi là hoàn toàn bất lực trong việc tạocác đối tượng trong Active Directory.





Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho mộtmiền, hãy mở Active Directory Users and Computers. Khi cửa số này được mở, kíchchuột phải vào danh sách miền hiện hành và chọn Operations Masters. Windows sẽhiển thị trang thuộc tính của Operations Masters. Trong cửa sổ này ta có thể chọn bộđiều khiển miền nào đang thực hiện như bộ nhận dạng quan hệ bằng cách quan sát ở tab

RID của trang thuộc tính.

3.3 Primary Domain Controller Emulator

Role của PDC emulator được tạo để cho phép các bộ điều khiển miền ActiveDirectory cùng tồn tại với các bộ điều khiển miền Windows NT. Ý tưởng cơ bản ở đâylà khi một tổ chức đang nâng cấp từ Windows NT lên Windows 2000 hoặc WindowsServer 2003 thì PDC là bộ điều khiển miền đầu tiên được nâng cấp. Ở điểm này, bộđiều khiển miền được nâng cấp gần đây hoạt động như một bộ điều khiển miền Active

Directory và một PDC cho các bộ điều khiển miền vẫn đang chạy Windows NT.

Role của PDC emulator ngày nay càng không liên quan nhiều hơn bởi vì rất ít cáctổ chức sử dụng Windows NT Server. Nếu ta cần chỉ định máy chủ nào trong miền đangcấu hình role của PDC Emulator dù cho ta có thể thực hiện điều đó bằng cách mở

Active Directory Users and Computers. Khi cửa số này được mở, kích chuột phải vàomiền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuột tính củaOperations Masters. Có thể xác định bộ điều khiển miền nào đang hành động như PDC

Emulator bằng cách quan sát tại tab PDC của trang thuộc tính.

3.4 Infrastructure Master

Trong môi trường Active Directory, một forest có thể gồm nhiều miền. Các miềnActive Directory không hoàn toàn mà các thực thể độc lập mà chúng đôi khi phảitruyền thông với phần còn lại của forest. Đây chính là nơi mà Infrastructure Master diễnra. Khi tạo, thay đổi hoặc xóa một đối tượng bên trong một miền, sự thay đổi sẽ đượctruyền một cách tự nhiên xuyên suốt miền. Vấn đề là phần còn lại của forest không biếtđến sự thay đổi này. Đây chính là công việc của Infrastructure Master, làm thế nào đểcho phần còn lại của forest biết được có sự thay đổi.

Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không thểnhìn thấy trong đường biên miền. Ví dụ, nếu đã đặt lại tên cho một tài khoản ngườidùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các miềnkhác trong forest.





Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master chomột miền, mở Active Directory Users and Computers. Khi cửa số này được mở, ta kíchchuột phải vào danh sách miền hiện hành và chọn Operations Masters, Windows sẽhiển thị trang thuộc tính của Operations Masters. Ta có thể xác định được bộ điều khiểnmiền nào đang thực hiện với tư cách Operations Master bằng cách nhìn vào tab

Infrastructure của trang thuộc tính.

4. Cấu trúc.

Không có công cụ quản trị nào được sử dụng để quản lý Active Directory có thểcho xem được toàn bộ cơ sở dữ liệu của Active Directory. Thay vì đó, Microsoft đãcung cấp một số công cụ khác nhau tương ứng với một lĩnh vực cụ thể của cơ sở dữliệu. Với một quản trị viên, công cụ quản trị có thể sử dụng thường là Active DirectoryUsers and Computers console.

Có thể truy cập Active Directory Users and Computers console từ bộ điều khiểnmiền của Windows Server 2003 bằng cách chọn Active Directory Users andComputers từ menu Start / All Programs / Administrative Tools của máy chủ. Giaodiện của nó được thể hiện như những gì ta thấy trong hình 1.

Hình 1:Giao diện Active Directory Users and Computers là một công cụquản trị chính cho việc quản lý các đối tượng Active Directory.





Nếu nhìn vào hình thì ta sẽ thấy được rằng ở đây có một số thư mục lớn, mỗi mộtthư mục này tương ứng với một loại đối tượng cụ thể. Mỗi đối tượng trong ActiveDirectory đều được gán một kiểu đối tượng (được biết đến như là lớp đối tượng).

Mỗi đối tượng cũng có một số thuộc tính liên quan. Các thuộc tính cụ thể thayđổi phụ thuộc vào kiểu đối tượng.

Ví dụ, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thànhcác đối tượng người dùng như trong hình 2. Nếu kích chuột phải vào một trong các đốitượng người dùng này và chọn Properties từ menu chuột phải thì ta sẽ thấy được trangthuộc tính của đối tượng (như trong hình 3).

Hình 2: Thư mục Users chứa các tài khoản người dùng,tất cả được phân loại thành các đối tượng người dùng.





Hình 3: Khi kích chuột phải vào một đối tượng người dùng và chọnProperties thì ta sẽ thấy trang thuộc tính của người dùng.

Nếu nhìn vào hình 3 thì sẽ thấy rằng có một số trường thông tin khác nhau nhưtên, họ, số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng.Mặc dù phần lớn các trường ở trong hình đều không phổ biến nhưng trong một số tìnhhuống thực thì các trường này có thể được sử dụng để tạo thư mục cộng tác. Trong thựctế, nhiều ứng dụng được thiết kế để trích thông tin trực tiếp từ Active Directory. Ví dụ,Microsoft Exchange Server (sản phẩn e-mail server của Microsoft) tạo một danh sách

địa chỉ toàn cục dựa trên nội dung của Active Directory. Danh sách này được sử dụngkhi gửi các thông báo email đến người dùng khác trong công ty.

Nếu nhìn vào hình 4, sẽ thấy được một màn hình, trong đó đã thực hiện một tìmkiếm với tên Hershey, và Outlook đã trả toàn bộ danh sách địa chỉ toàn cục GlobalAddress List gồm có tên Hershey. Nếu nhìn vào phần kết quả của cửa sổ thì sẽ thấy





được nơi mà Outlook hiển thị tiêu đề của người dùng, số điện thoại doanh nghiệp và vịtrí mà trường đó được phổ biến. Tất cả thông tin này đều được lấy từ Active Directory.

Hình 4

Nếu muốn thấy các thông tin chi tiết hơn về người dùng, hãy kích chuột phải vàotên của người dùng và chọn Properties.Khi đó cửa sổ như hình 5 sẽ được hiển thị. Đâykhông phải là một màn hình quản trị. Đơn giản đây chỉ là một màn hình mà bất kỳngười dùng nào trong công ty cũng có thể truy cập trực tiếp thông qua Outlook 2007 đểtìm thông tin về các nhân viên khác.





Hình 5: Xem thông tin Active Directory trực tiếp thông qua Microsoft Outlook

Xét cho cùng thì Outlook là một sản phẩm của Microsoft, vì vậy nó chỉ tạo mộtcảm giác rằng Outlook sẽ có thể lấy thông tin từ Active Directory, một phần của mộtsản phẩm khác của Microsoft. Tuy nhiên có rất nhiều người không nhận ra một điều, đólà khá dễ dàng cho bất cứ ai có sự cho phép thích hợp để lấy thông tin từ ActiveDirectory. Thực tế, có rất nhiều sản phẩm của nhóm thứ ba được thiết kế để tương tácvới Active Directory. Một trong số chúng có khả năng lưu dữ liệu trong các phầnActive Directory đặc biệt.

Active Directory được dựa trên một chuẩn đã biết. Active Directory được dựatrên một chuẩn có tên gọi là X.500. Chuẩn này cơ bản là một cách chung chung trongviệc thực hiện dịch vụ thư mục. Microsoft không chỉ là một công ty tạo dịch vụ thư mụcdựa trên dịch vụ này mà Novell ban đầu cũng đã tạo dịch vụ thư mục NetWareDirectory Service trên chuẩn này.

Đây cũng là một cách trong việc truy cập vào thông tin dịch vụ thư mục. Trongmôi trường Active Directory, việc truy cập thông tin thư mục liên quan đến việc sửdụng Lightweight Directory Access Protocol (LDAP). Giao thức LDAP chạy trên phầnđỉnh của giao thức TCP/IP.





Giao thức LDAP là bất cứ tên nào được đặt cũng đều phải được phân biệt, bởi vìkhông có gì là ít quan trọng về nó (nó quan trọng hơn giao thức truy cập thư mục gốc,giao thức không được thiết kế để tận dụng ngăn xếp giao thức TCP/IP).

5. Tên

Mỗi đối tượng trong Active Directory đều được quy vào một tên phân biệt(thường được viết tắt là DN). Tên phân biệt được dựa trên vị trí của đối tượng bên trongthứ bậc thư mục. Có nhiều thành phần khác nhau trong tên phân biệt nhưng một số cáichung là một tên chung (được viết tắt là CN) và một miền tên (viết tắt là DC). Ví dụ,cho rằng miền Contoso.com gồm có một tài khoản có tên là User1 và tài khoản nàyđược định vị trong thư mục Users. Trong trường hợp như vậy, tên phân biệt của tàikhoản người dùng sẽ là:

CN=User1, CN=Users, DC=Contoso, DC=com Các tên phân biệt không duy nhất có trong Active Directory. Microsoft đã xây

dựng Active Directory để lợi dụng các chuẩn công nghiệp được sử dụng bởi nhiều côngty khác như Novell và IBM. Khi nghiên cứu về chúng, ta không chỉ có được sự chuẩn

bị tốt hơn cho việc quản lý Active Director mà còn có được một mức thân thiện nhấtđịnh nếu như đã từng được yêu cầu làm việc với hệ điều hành mạng không phải củaMicrosoft.

5.1 Các nguyên tắc đặt tên cơ bản

Các tên phân biệt với nhau nhờ thuộc tính, các thuộc tính này được gán giá trị.Mỗi một tên phân biệt thường gồm có nhiều cặp giá trị thuộc tính, ví dụ.

CN=User1, CN=Users, DC=Contoso, DC=com

Tên được tạo thành từ 4 cặp thuộc tính/ giá trị khác nhau, mỗi một cặp được phân biệt với nhau bằng dấu phẩy. Cặp thuộc tính/ giá trị thứ nhất là CN=USER1. Trong cặpnày, CN (viết tắt cho Common Name) là thuộc tính và User1 là giá trị. Các thuộc tínhvà giá trị luôn luôn phân biệt với nhau bởi dấu bằng (=), còn các cặp thuộc tính/ giá trị

được phân biệt với nhau bằng dấu phẩy (,).

5.2 Các tên phân biệt

Khi ta xem tên CN=User1, CN=Users, DC=Contoso, DC=com, mọi thứ trở thànhrõ ràng ngay lập tức. Nếu quan sát kỹ hơn tên phân biệt này có thể nhận ra rằng nó là hệcó thứ bậc. Trong trường hợp riêng này, DC=com thể hiện mức cao của thứ bậc.





DC=Contoso thể hiện mức thứ hai. Có thể nói rằng COM và Contoso là các miền bởi vìcả hai sử dụng thuộc tính DC. Thứ bậc miền ‘nhại lại’ thứ bậc miền được sử dụng bởicác máy chủ DNSCần phải hiểu thứ bậc tên này làm việc như thế nào vì hai lý do. Thứ nhất, hiểu thứ bậc,có thể biết chính xác nơi một đối tượng cụ thể được định vị bên trong thư mục. Lý dokhác là hiểu được bản chất của thứ bậc thư mục vì đôi khi các đường tắt sẽ được sửdụng để thay cho tên đầy đủ.

CN=User1, CN=Users, DC=Contoso, DC=com. Tên phân biệt này được gán chomỗi một tài khoản người dùng (chính xác hơn là một đối tượng người dùng) có tênUser1. Phần còn lại trong tên cho chúng ta biết vị trí của đối tượng trong thứ bậc thưmục.

Nếu ta đang cố nói với một ai đó về vấn đề này thì có thể tình cờ đề cập đến nó

như User1. Đôi khi LDAP cũng thực hiện tương tự như vậy. Điều này hoàn toàn có thểvì nó không cần thiết phải cung cấp thông tin về vị trí của đối tượng trong thứ bậc nếuvị trí đã được biết.

Ví dụ, nếu đang thực hiện một số hoạt động trên các đối tượng người dùng đượcđặt trong thư mục Users trong miền Contoso.com thì có thực sự cần thiết để tuyên bố rõràng rằng các đối tượng đều được đặt trong Users của miền Contoso.com hay không?

Trong tình huống này cũng như vậy, tên phân biệt thường được thay thế bởiRelative Display Name (viết tắt là RDN). Trong trường hợp CN=User1, CN=Users,

DC=Contoso, DC=com, thì RDN là CN=User1. RDN luôn luôn được phân biệt của bộnhận dạng rõ ràng nhất. Nó là cặp giá trị/ thuộc tính bên trái nhất trong tên phân biệt.Phần khác của tên phân biệt cũng được biết đến như tên cha. Trong trường hợp điểnhình này, tên cha sẽ là CN=Users, DC=Contoso, DC=com.

Các tên của Microsoft thiên về dựa vào container và miền,nó chiếu theo RFC2253 để thiết lập các nguyên tắc cho tên riêng biệt.

5.3 Các kí tự đặc biệt trong tên

Một số kí tự đặc biệt gồm có dấu cộng, dấu lớn hơn, nhỏ hơn, số, dấu trích dẫn vàdấu xổ ngược - back slash (\). Ta chỉ tập trung vào giới thiệu cho các ta dấu back slash.Dấu này cho phép ta đưa ra một lệnh LDAP để bỏ qua kí tự theo sau. Điều này cho

phép lưu các kí tự bị cấm trong thư mục.

Để rõ hơn nó được sử dụng như thế nào, chúng ta hãy xem xét một tên đầy đủ được





biểu diễn với tên và họ cách nhau bằng dấu phẩy. Tuy nhiên LDAP không cho phép tasử dụng lệnh CN=Smith, John vì dấu phẩy được sử dụng bởi LDAP để phân biệt cáccặp thuộc tính/ giá trị. Nếu muốn lưu giá trị Smith, John trong thư mục, ta có thể thựchiện bằng các tạo một dấu back slash như dưới đây:

CN=Smith\, John

Trong lệnh ở trên, dấu back slash làm cho LDAP phải coi dấu phẩy là dữ liệu chứkhông phải là một phần của cú pháp câu lệnh. Cách khác để thực hiện điều này là dùngdấu trích dẫn. Mọi thứ bên trong dấu trích dẫn đều được coi như dữ liệu.

Có một quy tắc đặc biệt với việc sử dụng dấu back slash bên trong các dấu tríchdẫn. Dấu back slash có thể được sử dụng để áp đặt LDAP bỏ qua các dấu back slashkhác. Để đơn giản, nếu ta cần gộp một dấu back slash vào phần dữ liệu thì đơn giản ta

chỉ cần sử dụng hai dấu back slash thay cho một dấu. Các trường hợp sự dụng dấu back slash giữa dấu trích dẫn được xem như không hợp lệ.

6. Directory Users và Computers console

Windows Server 2003 có một số công cụ khác được sử dụng cho việc quản lýAD. Công cụ quản lý AD này cho phép sử dụng hầu hết các nhiệm vụ quản lý hàngngày đó là Directory Users và Computers console. Như tên của nó, công cụ này được sửdụng để tạo, quản lý và xóa các tài khoản người dùng và máy tính.

Ta có thể truy cập vào công cụ này bằng cách kích chuột vào nút Start của máychủ và từ menu Start tìm đến All Programs / Administrative Tools. Tùy chọn ActiveDirectory Users and Computers ở gần phía trên của menu Administrative Tools. Chỉ cócác bộ điều khiển miền mới có tùy chọn này, vì vậy nếu không quan sát thấy lệnhActive Directory Users and Computers thì phải đăng nhập vào bộ điều khiển miền.

Ta phải chú ý, menu Administrative Tools gồm có một cặp công cụ AD khác:Active Directory Domains and Trusts và Active Directory Sites and Services.

Khi mở mục Active Directory Users and Computers, sẽ thấy xuất hiện một màn

hình giống như hình 6 dưới đây. Ta có thể xem lại từ các phần trước trong loạt bài này,AD có forest, forest này gồm có một hoặc nhiều miền. Mặc dù forest thể hiện toàn bộAD nhưng bảng điều khiển Active Directory Users and Computers không cho phép làmviệc với AD ở mức forest. Giao diện này chỉ là một công cụ mức miền. Thực tế, nếunhìn vào hình 6 sẽ thấy production.com được đánh dấu. Production.com là một miềntrên mạng. Tất cả các mục khác được liệt kê bên dưới đều là đối tượng của miền ADcho từng miền.





Hình 6: Giao diện Active Directory Users and Computers cho phép quản lý các miềnriêng lẻ

Ta có thể thấy rằng production.com là một trong các miền trên mạng và không cómiền nào khác được liệt kê trong hình 6. Điều đó là vì Active Directory Users and

Computers chỉ liệt kê một miền tại một thời điểm để giữ cho giao diện trông gọn gàng.Miền được liệt kê trong giao diện tương ứng với bộ điều khiển miền mà ta đã đăngnhập. Ví dụ, ta đã đăng nhập vào một trong các bộ điều khiển miền đó là

production.com, vì vậy Active Directory Users and Computers sẽ kết nối đến miền production.com.

Vấn đề ở đây là các miền đó thường bị phân tán về mặt địa lý. Ví dụ, trong côngty lớn phải có các miền khác nhau cho mỗi văn phòng của công ty. Nếu lúc này ta đangở Miami, Florida và miền khác của công ty hiện diện cho một văn phòng tại Las Vegas,

Nevada thì nó sẽ không phải di chuyển một quãng đường lớn dọc toàn nước Mỹ mỗikhi ta cần quản lý miền Las Vegas.

Mặc dù Active Directory Users and Computers mặc định hiển thị miền có liênquan đến bộ điều khiển miền mà ta đã đăng nhập, nhưng vẫn có thể sử dụng giao diệnnày để hiển thị bất kỳ miền nào mà ta có quyền thao tác với chúng. Tất cả những gì cần

phải làm lúc này là kích chuột phải vào miền đang được hiển thị, sau đó chọn lệnh





Connect to Domain từ menu chuột phải. Khi thực hiện như vậy sẽ có một màn hìnhđược hiển thị, màn hình này cho phép đánh vào đó tên miền mà ta muốn kết nối hoặckích vào nút Browse và duyệt miền.

Khi một miền được đặt ở xa thì ta có thể rất khó để đăng nhập trực tiếp vào bộđiều khiển miền. Ví dụ, trong một số văn phòng, trong đó các bộ điều khiển miền đượcđặt trong các tòa nhà riêng biệt hoặc không có điều kiện thuận lợi cho ta đăng nhập vào

bộ điều khiển miền để thực hiện công việc bảo trì hàng ngày.

Tuy nhiên ta không cần phải đăng nhập vào bộ điều khiển miền để truy cập vàogiao diện Active Directory Users and Computers mà chỉ cần đăng nhập vào bộ điềukhiển miền để truy cập vào giao diện Active Directory Users and Computers từ menuAdministrative Tools. Ta có thể truy cập giao diện này với tư cách máy chủ thành viên

bằng cách nạp một cách thủ công nó vào Microsoft Management Console.

Để thực hiện điều đó, ta nhập lệnh MMC vào cửa sổ lệnh RUN của máy chủ. Khithực hiện xong máy chủ sẽ mở một Microsoft Management Console trống. Tiếp theo đóta chọn lệnh Add / Remove Snap-In từ menu File của giao diện điều khiển. Windowslúc này sẽ mở cửa sổ thuộc tính của Add / Remove Snap-In. Kích nút Add trên tabStandalone trong cửa sổ thuộc tính, sẽ thấy một danh sách các snap-in có sẵn. Chọn tùychọn Active Directory Users and Computers từ danh sách snap-in đó và kích Add,tiếp theo đó là Close và OK . Giao diện điều khiển lúc này sẽ được nạp.

Trong một số trường hợp load giao diện theo cách này có thể gây ra lỗi. Nếu

xuất hiện lỗi và giao diện không cho phép quản lý miền sau khi kích chuột phải trênmục Active Directory Users and Computers và chọn lệnh Connect to DomainController từ menu chuột phải. Lúc này ta có thể kết nối giao diện điều khiển đến một

bộ điều khiển miền nào đó mà không cần đăng nhập vào bộ điều khiển miền đó. Bằngcách đó ta sẽ có thể quản lý được miền giống như trong giao diện điều khiển của bộđiều khiển miền.

Kỹ thuật đó làm việc sẽ rất thú vị nếu ta có một máy chủ , nhưng điều gì sẽ xảy ranếu máy trạm làm việc đang sử dụng Windows Vista, và tất cả máy chủ đều nằm bên

phía bên kia của tòa nhà.

Một trong những giải pháp đơn giản nhất để giải quyết vấn đề này đó là thiết lậpmột phiên RDP cho một trong những máy chủ. RDP là giao thức máy trạm từ xa(Remote Desktop Protocol). Giao thức này sẽ cho phép điều khiển từ xa các máy chủtrong tổ chức. Trong môi trường Windows Server 2003 ta có thể kích hoạt một phiên từxa bằng cách kích chuột phải vào My Computer và chọn lệnh Properties từ menu chuột





phải. Khi đó ta sẽ thấy đươc cửa sổ thuộc tính của hệ thống. Vào tab Remote và chọnhộp kiểm Enable Remote Desktop on this Computer (xem hình 7).

Hình 7: Cấu hình một máy chủ để hỗ trợ các kết nối máy trạm từ xa (Remote Desktop)

Để kết nối đến máy chủ từ máy Windows Vista,chọn lệnh Remote DesktopConnection từ menu All Programs / Accessories. Khi thực hiện xong, ta sẽ thấy mànhình xuất hiện như màn hình thể hiện dưới hình C. Lúc này hãy nhập vào tên máy chủcủa ta và kích nút Connect để thiết lập một phiên điều khiển xa.





Hình 8: Có thể kết nối đến một máy chủ từ xa dễ dàng hơn bằng Windows Vista

7. Tạo một tài khoản người dùng (User Account)

Một trong những sử dụng thấy nhiều nhất ở Active Directory Users trongComputers console là tạo các tài khoản người dùng mới. Để thực hiện điều đó, ta mở

mục tương ứng với miền chứa người dùng, chọn mục Users. Sau khi thực hiện như vậy,một panel chi tiết của giao diện sẽ hiển thị tất cả tài khoản người dùng đang tồn tạitrong miền (như trong hình 9).

Hình 9: Chọn mục Users, giao diện điều khiển sẽ hiển thịtất cả các tài khoản người dùng trong miền





Bây giờ kích chuột phải vào mục Users và chọn New. Khi đó ta sẽ thấy được cácmenu con, từ menu con này có thể chọn nhiều kiểu đối tượng khác nhau mà ta có thểtạo. Nói về kỹ thuật, Users chỉ là một mục và ta có thể đưa vào rất nhiều kiểu đối tượng.Tuy vậy sẽ không tốt nếu ta thực hiện lưu nhiều đối tượng khác hơn là các đối tượngngười dùng trong mục Users. Với trường hợp bài này đưa ra, ta chọn lệnh Users từ cácmenu con. Khi đó sẽ thấy một hộp thoại xuất hiện như trong hình 10.

Hình 10: Hộp thoại New Object – User cho phép tạo tài khoản người dùng mới

Như những gì thấy trong hình, Windows ban đầu chỉ yêu cầu nhập vào một sốthông tin cơ bản về người dùng. Mặc dù cửa sổ này hỏi nhiều thứ khác như tên và họ,nhưng về mặt kỹ thuật thì nó không cần thiết lắm. Phần thông tin cần thiết mà ta cần

phải cung cấp đó là tên đăng nhập của người dùng, ta nên điền đầy đủ thông tin vào cáctrường này, vì tài khoản người dùng không hơn gì một đối tượng sẽ cứ trú bên trongActive Directory. Các thành phần như tên và họ là thuộc tính của đối tượng người dùngmà ta đang tạo. Càng nhiều thông tin về thuộc tính thì các thông tin được lưu bên trong

Active Directory sẽ càng trở lên hữu dụng. Xét cho cùng, Active Directory là một cơ sở dữ liệu mà ta có thể truy vấn thông tin. Trong thực tế, nhiều ứng dụng làm việc bằngcách trích rút các thuộc tính khác nhau từ Active Directory. Khi đã điền đầy các trườngnày, kích nút Next, khi đó ta sẽ thấy màn hình tiếp theo xuất hiện như trong hình 11dưới đây.





Hình 11: Cần phải gán mật khẩi cho tài khoản mới

Việc gán một mật khẩu là hoàn toàn đơn giản, tất cả những gì cần làm là đánh vànhập lại mật một mật khẩu. Mặc định, người dùng thường bị yêu cầu thay đổi mật khẩucho lần đăng nhập kế tiếp. Tuy vậy, ta có thể tránh trường hợp này bằng cách xóa hộpkiểm “User Must Change Password at Next Logon”. Cũng có nhiều hộp kiểm khác cho

phép ngăn chặn người dùng thay đổi tất cả các mật khẩu của họ. Ta có thể tùy chọn đểthiết lập thời hạn vô hạn cho mật khẩu hoặc vô hiệu hóa toàn bộ tài khoản.

Có một điều cần phải lưu ý là màn hình để thiết lập mật khẩu ở trên không phải làtất cả. Khi ta gán mật khẩu cho một tài khoản người dùng mới, mật khẩu này phải tuântheo chính sách bảo mật của công ty ta. Nếu mật khẩu sử dụng không có các yêu cầucần thiết đã được đưa ra bởi chính sách nhóm có thể áp dụng thì tài khoản người dùngnày sẽ không được tạo.

Kích Next ta sẽ thấy một màn hình hiển thị toàn bộ các tùy chọn mà ta đã chọn.

Xác nhận tất cả các thông tin đều đúng, khi đó chỉ cần kích Finish và một tài khoảnngười dùng mới sẽ được tạo.

8. Chỉnh sửa và bổ sung các thuộc tính của tài khoản

Active Directory gồm nhiều thuộc tính kèm theo có liên quan đến các tài khoảncủa người dùng.





Có một số thuộc tính mà ta có thể rất dễ sử dụng và có ích. Các thuộc tính đangcư trú mà có liên quan đến thông tin liên hệ cơ bản. Trong thực tế, một số công tythường tạo các thư mục công ty dựa trên thông tin được lưu trong thuộc tính ActiveDirectory này, nó vẫn là một ý tưởng tốt cho việc định cư thông tin tài khoản ngườidùng trong Active Directory. Ví dụ, với mục đích cần khởi động lại một máy chủ, trongkhi đó một người dùng vẫn đăng nhập vào ứng dụng cư trú trên máy chủ. Nếu có cácthông tin liên hệ của người dùng được lưu trong Active Directory thì ta có thể tra cứu sốđiện thoại của người dùng một cách dễ dàng và gọi cho người dùng này yêu cầu họđăng xuất.

Để truy cập vào các thuộc tính tài khoản người dùng khác nhau, đơn giản ta chỉcần kích chuột phải vào tài khoản người dùng được chọn, sau đó chọn Properties. Saukhi thực hiện như vậy, ta sẽ gặp một màn hình như trong hình 11.

Hình 11: Trang thuộc tính của người dùng được sử dụng để lưu thuộc tínhvà thông tin cấu hình cho tài khoản người dùng.





Như có thể thấy được trên hình, tab General có thể cho phép thay đổi tên hoặc tênhiển thị của người dùng. Ta cũng có thể điền vào (hoặc thay đổi) một số trường khácnhư phần mô tả, văn phòng, điện thoại, email, hoặc website. Nếu quan tâm đến việc lưutrữ thêm các thông tin chi tiết hơn về người dùng thì ta có thể duyệt qua các tabAddress, Telephones, và Organization. Các tab này có tất cả các trường dành cho việclưu trữ thông tin chi tiết hơn về người dùng.

9. Xác lập lại mật khẩu người dùng

Ta có thể thấy trên hình 11 có rất nhiều tab khác nhau. Hầu hết các tab này đềuliên quan đến bảo mật và cấu hình cho tài khoản người dùng. Một thành phần mà hầuhết các quản trị viên mới dường như đều phát hiện ra khi khám khá các tab này đó làkhông có tùy chọn cho việc thiết lập lại mật khẩu của người dùng.

Nếu cần phải thiết lập lại mật khẩu của người dùng thì ta phải đóng cửa sổ này.Sau khi thực hiện điều đó, ta kích chuột phải vào tài khoản người dùng và chọn lệnhReset Password trong menu chuột phải.

10. Tạo các nhóm

Trong môi trường miền, các tài khoản người dùng là rất cần thiết. Tài khoảnngười dùng cho phép một người dùng được phân biệt với các người dùng khác trênmạng. Điều này có nghĩa là ta hoàn toàn có thể kiểm tra hành động trực tuyến củangười dùng và cũng có thể trao cho tài khoản người dùng một tập hợp cho phép, gán

cho người dùng một địa chỉ email duy nhất, và có được tất cả các cần thiết khác củamỗi người.

Dù ta quản lý một mạng rất nhỏ thì cũng nên xử lý mạng nhỏ này như nó là mộtmạng lớn, bởi vì ta sẽ không thể biết được mạng của ta sẽ phình ra trở thành một mạnglớn vào khi nào. Bằng việc sử dụng các công nghệ quản lý tốt ngay từ khi bắt đầu sẽgiúp ta tránh được những cơn ác mộng sau này.

Một nhóm có thể gồm có nhiều tài khoản người dùng. Khi các thiết lập bảo mậtđược gán ở mức nhóm thì ta sẽ không bao giờ nên gán các cho phép trực tiếp đến tài

khoản người dùng mà thay vì đó ta nên gán sự cho phép cho một nhóm, sau đó tạo chongười dùng là một thành viên trong các nhóm đó.Điều này có thể gây ra một chút phức tạp. Giả dụ rằng một trong số các máy chủ file cómột thư mục tên Data, và ta cần phải đồng ý cho một người dùng truy cập (đọc) thưmục Data này. Thay vì gán trực tiếp sự cho phép cho người dùng, hãy tạo một nhóm.







Để thực hiện điều đó, bạn mở Active Directory Users and Computers console.Khi giao diện được mở, kích chuột phải vào mục Users, chọn lệnh New | Group. Bằngcách làm như vậy, sẽ thấy xuất hiện một màn hình tương tự như màn hình được hiển thịtrong hình 12. Tối thiểu, ta cũng phải gán tên cho một nhóm. Để dễ dàng cho quản lý,chúng ta hãy gọi nhóm này là Data, vì nhóm này sẽ được sử dụng để bảo vệ thư mụcData. Lúc này, không quan tâm về phạm vi của nhóm hoặc các thiết lập kiểu của nó

. Hình 12: Nhập vào tên nhóm mà ta đang tạo

Kích OK , và nhóm Data sẽ được bổ sung vào danh sách người dùng như tronghình B. Lưu ý rằng, biểu tượng của nhóm sử dụng hai đầu người, điều đó chỉ thị rằng nólà một nhóm, biểu tượng một đầu người được sử dụng cho tài khoản người dùng.





Hình 13: Nhóm Data được bổ sung vào danh sách người dùng

Bây giờ kích đúp vào nhóm Data, ta sẽ thấy trang thuộc tính của nhóm. Chọn tabMembers của trang thuộc tính, kích nút Add. Lúc này ta hoàn toàn có thể bổ sung thêmcác tài khoản người dùng vào nhóm. Các tài khoản bổ sung là các thành viên nhóm. Ta

có thể thấy những gì trong tab này thông qua hình 13.





Hình 14: Tab Members liệt kê tất cả các thành viên của nhóm

Lúc này là thời điểm đưa nhóm ra làm việc. Để thực hiện điều này, ta kích chuột

phải vào thư mục Data, chọn lệnh Properties. Khi đó ta sẽ thấy xuất hiện trang thuộctính của thư mục. Vào tab Security của trang này, kích nút Add. Khi được nhắc nhở, tanhập vào tên của nhóm đã tạo (Data) và kích OK . ta hoàn toàn có thể thiết lập một tậpcác cho phép (điều khoản) đối với nhóm. Bất cứ điều khoản nào áp dụng cho nhómcũng được áp dụng cho các thành viên của nhóm. Có thể thấy trong hình 14, có một sốquyền được áp dụng đối với thư mục một cách mặc định. Tốt nhất nên xóa các quyềnnày (Users group) ra khỏi danh sách điều khiển truy cập để ngăn chặn các mâu thuẫnđiều khoản.





Hình 15: Nhóm Data được bổ sung vào danh sách điều khiển truy cập của thư mục

Sẽ mất rất nhiều công sức để tìm ra được người dùng nào đã truy cập vào tàinguyên? Khi các nhóm được sử dụng, quá trình này trở nên đơn giản rất nhiều. Nếu tacần biết người dùng nào đã truy cập vào thư mục, hãy xem các nhóm nào đã truy cậpvào thư mục đó trước như trong hình 15. Khi đã xác định được nhóm có thể truy cậpvào thư mực, việc tìm ra ai có các quyền truy cập vào thư mục cũng đơn giản như việckiểm tra danh sách các thành viên nhóm (như trong hình 14). Bất cứ thời điểm nàonhững người dùng khác cần truy cập vào thư mục, hãy bổ sung tên của họ vào danhsách thành viên nhóm. Ngược lại, ta cũng có thể xóa các điều khoản cho thư mục bằngcác xóa tên của người dùng khỏi danh sách thành viên.

11. Các nhóm bảo mật.







Mỗi một kiểu nhóm có một mục đích cụ thể.

Hình 16: Windows cho phép ta tạo một số kiểu nhóm khác nhau.

Nếu nhìn vào hộp thoại hiển thị bên trên, ta sẽ thấy được vùng Group Scope cungcấp một số tùy chọn để tạo nhóm domain local, global, hay universal. Ngoài ra cũng cómột kiểu nhóm thứ 4 không được hiển thị ở đây, nó được gọi một cách đơn giản là

nhóm local.11.1 Local Group

Các nhóm local là các nhóm riêng cho từng máy tính. Ta sẽ biết về nó ngay bâygiờ, các máy tính cục bộ có thể gồm có nhiều tài khoản người dùng độc lập hoàn toànvới các tài khoản thuộc về miền máy tính đó được kết nối tới. Chúng được biết đến nhưcác tài khoản người dùng cục bộ, và chúng chỉ có khả năng truy cập từ máy tính màchúng cư trú. Thêm nữa, các tài khoản người dùng cục bộ cũng chỉ có thể tồn tại trêncác máy trạm và trên các máy chủ thành viên. Các bộ điều khiển miền không cho phép

tồn tại các tài khoản người dùng cục bộ. Cần lưu ý những vấn đề đó thì ta sẽ không hềngạc nhiên khi các nhóm đó chỉ đơn giản là các nhóm riêng cho từng máy chủ thànhviên hay máy trạm làm việc. Một nhóm local thường được sử dụng để quản lý các tàikhoản người dùng cục bộ. Ví dụ, nhóm local Administrators cho phép ta có thể chỉ rõngười dùng nào là quản trị viên trên máy tính cục bộ.





Mặc dù nhóm local chỉ có thể được sử dụng để bảo đảm việc cư trú của tàinguyên trên máy tính cục bộ nhưng điều đó không có nghĩa rằng các thành viên trongnhóm cũng bị hạn chế đối với những người dùng cục bộ này. Trong khi đó một nhómlocal có thể và thường gồm những người dùng cục bộ thì nó cũng gồm có cả các ngườidùng trong miền. Hơn nữa các nhóm local cũng có thể gồm có cả các nhóm khác cư trúở mức miền. Ví dụ, ta có thể tạo cho một nhóm universal một thành viên của nhómlocal, các thành viên của nhóm universal về cơ bản sẽ trở thành các thành viên củanhóm local. Trong thực tế, một nhóm local có thể gồm local user, domain user, domainlocal group, global group và universal group.

Chú ý, một nhóm local không thể chứa một nhóm local khác. Ta dường như cảmthấy có thể thả một nhóm này vào trong một nhóm khác, nhưng không thể làm như vậyvới nhóm local. Một số thành viên tại Microsoft đã có lần giải thích lý do cho vấn đềnày là để ngăn chặn một tình huống mà ở đó hai nhóm local trở thành các thành viên

của nhau.

Một vấn đề khác nữa là các nhóm local đó chỉ có thể gồm domain users vàdomain level groups nếu máy tính gồm nhóm local là một thành viên thuộc miền.

Ngược lại, nhóm local chỉ có thể gồm local users.

11.2 Domain Local Groups

Ý tưởng của nhóm domain local dường như hoàn toàn trái ngược với Local. Lýdo tại sao các nhóm domain local tồn tại là vì các bộ điều khiển miền không có cơ sở dữ

liệu tài khoản cục bộ. Điều này có nghĩa rằng không có các thứ khác như vậy khi ngườidùng cục bộ hay các nhóm local trên một bộ điều khiển miền. Thậm chí các bộ điềukhiển miền có các tài nguyên cục bộ cần được quản lý. Đây chính là nơi các nhómdomain local thực hiện vai trò của nó.

Khi ta cài đặt Windows Server 2003 trên một máy tính, máy tính sẽ được bắt đầunhư một máy chủ độc lập hay một máy chủ thành viên chẳng hạn. Trong cả hai trườnghợp đó thì tài khoản người dùng cục bộ và nhóm cục bộ đều được tạo ra trong suốt quátrình cài đặt. Bây giờ mục đích của ta là muốn chuyển đổi một máy vào một bộ điềukhiển miền. Khi ta chạy DCPROMO, các nhóm local và tài khoản người dùng cục bộđược chuyển đổi vào các nhóm domain local và tài khoản người dùng domain.

Ở đây, tất cả các bộ điều khiển miền bên trong một miền đều chia sẻ một cơ sở dữ liệu tài khoản người dùng chung với nhau. Điều đó có nghĩa là nếu ta thêm mộtngười dùng vào nhóm domain local trên một bộ điều khiển miền thì người dùng này sẽ





là một thành viên của nhóm domain local trên mọi bộ điều khiển miền trong tòan bộmiền.

Các nhóm domain local là có hai kiểu khác nhau. Như chúng tôi đã đề cập tới,khi DCPROMO được chạy, nhóm local được chuyển đổi thành các nhóm domain local.Bất kỳ nhóm domain local nào được tạo ra bằng việc chạy DCPROMO đều được địnhvị trong thư mục Builtin trong Active Directory Users and Computers console, xemhình B.

Hình 17: Các nhóm domain local đã tạo bởi DCPROMO cư trú trong Builtin container

Vấn đề này khá quan trong là vì có một số hạn chế áp đặt trên một số nhómdomain local. Các nhóm bị hạn chế này không thể bị chuyển hoặc bị xóa. Hay nói cáchkhác ta không thể tạo cho các nhóm này là thành viên của nhóm domain local khác.

Những hạn chế này không áp dụng cho các nhóm domain local mà ta tạo. Cácnhóm domain local mà ta tại sẽ tồn tại trong mục Users. Từ đó, ta hoàn toàn thoải máichuyển hoặc xóa chúng mặc theo ý thích của ta.

11.3 Global Groups





Global groups là một kiểu nhóm được sử dụng phổ biến nhất. Trong hầu hết cáctrường hợp, nhóm global đơn giản chỉ làm việc như một bộ sưu tập các tài khoản ngườidùng Active Directory. Thứ mà chúng ta cần quan tâm về các nhóm này là chúng có thểđược đặt bên trong nhau. Ta có thể tạo cho nhóm global một thành viên của một nhómglobal khác, miễn là cả hai nhóm này tồn tại bên trong cùng một domain.

Cần phải lưu ý rằng, các nhóm global này chỉ có thể có tài nguyên ActiveDirectory. Chính vì vậy ta không thể định vị một tài khoản người dùng nội bộ hoặcnhóm nội bộ trong nó. Mặc dù vậy ta lại vẫn có thể thêm vào nhóm global này mộtnhóm local. Trong thực tế làm như vậy là cách thường được sử dụng nhất đối với việccấp các quyền cho người dùng miền để họ có thể thao tác với các tài nguyên được lưutrên máy tính cục bộ. Ví dụ, với mục đích ta muốn cho các nhà quản lý trong công ty cóđược các quyền quản trị viên đối với các máy trạm của họ (nên nhớ rằng đây chỉ là mộtví dụ chứ không phải là một lời khuyên răn ta nên làm như vậy). Để thực hiện điều đó,

ta có thể tạo một nhóm global có tên gọi Managers và đặt mỗi một tài khoản ngườidùng miền của người ta muốn làm trong nó. Sau đó ta có thể bổ sung nhóm Managersvào nhóm local Administrators của máy trạm, theo cách đó ta đã làm cho các nhà quảnlý của ta có được quyền của quản trị viên trên các máy trạm đó.

Phần 2: Cài đặt một máy chủ Domain Controller cho mộtDomain

Active Directory là dịch vụ hệ thống quan trọng bậc nhất với vai trò quản lý dữliệu người dùng, máy tính, groups, và các chính sách cũng như rất nhiều thông tin khác.Để triển khai hệ thống Active Directory chuẩn, tránh các sự cố liên quan là điều cầnthiết. Sau đây tôi sẽ trình bày từ cài đặt 1 máy chủ Domain Controller cho một Domaintới cài thêm một máy chủ DC khác cho Domain đó, bao gồm:


2. Backup Active Directory

3. Cài đặt thêm một máy chủ Active Directory vào một Domain đã có

4. Cài đặt Multiple Domain cho một hệ thống.

a. Cài đặt Active Directory trên một Forest mới.





b. Cài đặt Active Directory trên một domain con

5. Đổi tên Domain

6. Chuyển Master của Domain.

Để có thể cài đặt và cấu hình lên một hệ thống như dưới đây.


1.1 Cài đặt và cấu hình DNS

Khi cài đặt Active Directory trên Windows Server 2003 thì nên cài đặt DNStrước với các thiết lập chuẩn.

- Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình.

- Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêucầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập củamình vào trong DNS.





a. Đặt địa chỉ IP cho máy chủ - Static IP và DNS vào DNS của chính máy mình.

Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là192.168.100.11, DNS cũng là 192.168.100.11.

b. Cài đặt và cấu hình DNS

- Vào Start à chọn Administrative Tools à Manage Your Server

- Trong cửa sổ Manage Your Server chọn phần đầu tiên Add or Remove a Rolerồi chọn cài đặt DNS nhấn Next và hệ thống sẽ yêu cầu bạn bộ cài Windows Server 2003 bạn cho đĩa CD hoặc trỏ đường dẫn tới thư mục i386 của bộ cài là OK. Kết thúc

cài đặt

- Tạo Zone trong DNS: Vào Start à Administrative Tools à DNS sẽ xuất hiện cửasổ DNS. Trong phần tạo Zone này các bạn sẽ phải tạo dạng Forward Lookup ZoneDạng Primary Zone.

- Chuột phải vào Forward Lookup zone chọn New Zone.





Nhấn Next hệ thống yêu cầu tên Zone cần tạo tôi chọn là vnexperts.net

Sau khi gõ tên đầy đủ của Zone cần tạo ra bạn nhấn Next để thực hiện bước tiếptục, chọn Allow Dynamic Update đây là bắt buộc để khi cài đặt Active Directory sẽ tựđộng ghi các Record vào DNS





Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS. Công việc chưa kếtthúc, ta vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS.

- Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory,nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tênZone vừa tạo ra.





Chỉnh lại NS Record bằng cách tương tự.





Tạo ra một Record để kiểm tra xem hệ thống DNS hoạt động đã chuẩn hay chưa.Ở đây ta tạo ra một Host A record là Server01.vnexperts.net địa chỉ IP là192.168.100.11.

- Chuột phải vào vnexperts.net Zone chọn Host A record





Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn:

Ping server01.vnexperts.net nếu có reply là ok.

OK hoàn tất quá trình cài đặt và thiết lập DNS chuẩn bị cho việc cài đặt ActiveDirectory.

1.2 Cài đặt Active Directory trên máy chủ Windows Server 2003





Chúng ta có thể vào cửa sổ Manage Your Server chọn Add or Remove a Role đểcài đặt Active Directory nhưng cách mọi người hay sử dụng là vào Run gõ dcpromo.

- Vào Run gõ dcpromo sẽ xuất hiện cửa sổ sau

Các bạn nhấn Next để tiếp tục quá trình cài đặt Active Directory. Vào cửa sổ giớithiệu tương thích với các Windows của Active Directory.





Nhấn Next để tiếp tục, trong cửa sổ này bạn phải lựa chọn giữa hai Options:

- Domain Controller for a New domain: Là thiết lập tạo ra Domain Controller đầutiên trong Domain

- Additional domain Controller …: là lựa chọn để cài đặt them một máy chủ DCvào cho một Domain, với thiết lập Hai hay nhiều DC cho một Domain đáp ứng đượckhi một máy chủ bị sự cố xảy ra thì hệ thống vẫn hoạt động bình thường. Ở đây ta chọnOption: Domain Controller for a New Domain để cài đặt Máy chủ Domain Controller đầu tiên trên Domain.





Sau khi lựa chọn Options trên bạn nhấn Next để tiếp tục quá trình cài đặt.

- Trong cửa sổ tiếp theo này có ba Options vô cùng quan trọng để khi bạn cài đặtDomain Controller.

- Domain in a new forest: Cài đặt máy chủ Domain Controller đầu tiên trênForest sẽ phải lựa chọn thiết lập này ví dụ ở đây ta cài cho domain đầu tiên là:vnexperts.net phải lựa chọn Options này.

- Child domain in an existing domain tree: Nếu khi ta đã có domain vnexperts.netmà ta lại muốn cài đặt các domain con bên trong của nó như: mcsa.vnexperts.net, hayccna.vnexperts.net thì ta phải lựa chọn Options này.

- Domain tree in an existing forest: Nếu ta muốn tạo một domain khác với tênvne.vn cùng trong forest vnexperts.net ta sẽ phải lựa chọn Options này

- Cả hai options dưới là việc cài đặt Multiple, cài đặt máy chủ Domain Controller đầu tiên trong Domain.





Lựa chọn Options đầu tiên rồi nhấn Next tiếp tục quá trình cài đặt, Trong bướcnày hệ thống yêu cầu bạn là: Máy chủ Domain Controller này quản lý Domain tên là gìta gõ vnexperts.net





Nhấn Next để tiếp tục, lựa chọn NetBIOS name cho Domain. NetBIOS namechính là tên của Domain xuất hiện khi client đăng nhập vào hệ thống. Bạn để mặc định





Nhấn Next bạn cần phải lựa chọn nơi chứa thư mục NTDS cho quá trìnhReplications của hệ thống Domain Controller:

Nhấn Next để tiếp tục, bạn cần phải thiết lập nơi lưu trữ thư mục SYSVOL đây làthư mục bắt buộc phải để trong Partition định dạng NTFS, với tác dụng chứa các dữ

liệu để Replication cho toàn bộ Domain Controller trong Domain. Nếu mặc định hệthống sẽ để tại thư mục %systemroot%\SYSVOL





Nhấn Next để tiếp tục, bước này hệ thống sẽ hiển thị các thông tin về DNS đãđược cấu hình chuẩn chưa và các thông tin về Domain… thể hiện ở hình dưới đây. Nếutrong bước này mà hệ thống báo lỗi bạn cần phải thực hiện lại các bước trong cài đặt vàthiết lập DNS.

- Ở đây toàn bộ đã thiết lập chuẩn





Giờ là bước bạn nhấn Next, và lựa chọn Mode cho Domain.

- Domain Function Level có 4 Mode là

- Mix Mode là Active Directory được tạo ra bởi cả Windows NT Server,

Windows 2000 Server, và Windows 2003 Server. Trong Mode này Active Directorykhông có một số tính năng cao cấp của Windows Server 2000, và Windows Server 2003, nhưng bạn sẽ phải buộc cài Mode này khi bạn Joint hệ thống windows 2003 mớivào hệ thống Windows NT cũ đang hoạt động.

- Native Mode: Active Directory được tạo trên nền tảng Windows Server 2000 vàWindows Server 2003 nên có gần như đầy đủ hết các tính năng cao cấp của ActiveDirectory

- Interim Mode: được tạo ra bởi Windows NT và Windows Server 2003 tương tự

như Mix Mode

- 2003 Mode: Là mode cao nhất hỗ trợ đầy đủ nhất toàn bộ các tính năng củaWindows Server 2003.

- Ở đây trong bước này ta chọn là mode Native





Nhấn Next để tiếp tục quá trình cài đặt, Hệ thống yêu cầu thiết lập Passwordtrong Restore Mode.

- Khi bạn backup Active Directory là hoàn toàn dễ dàng trong Windows Server 2003 bởi hệ thống sử dụng cơ chế Shadow Backup, cho phép backup cả những dữ liệu,

file, service đang hoạt động.

- Nhưng khi bạn Restore lại sẽ là cả vấn đề, Windows không cho can thiệp vàoFile, hay dữ liệu đang được sử dụng, và khi đó bạn phải khởi động hệ thống vào Modemà Active Directory không hoạt động thì mới Restore được. Password đặt trong phầnnày chính là Password để đăng nhập vào hệ thống khi Restore lại Active Directory.





Sau đặt Password bạn nhấn Next hệ thống sẽ cho bạn hiển thị toàn bộ thông tinnhư:

- NetBIOS name ở đây là VNEXPERTS

- Folder chứa dữ liệu của Active Directory là NTDS ở đâu

- Tương tự vậy các folder SYSVOL

- Hệ thống sẽ thông báo là Password đăng nhập vào Domain của User Administrator sẽ tương tự như Password đăng nhập của User Administrator trước khicài Active Directory.





Nhấn Next bắt đầu tiến hành cài đặt Active Directory





Đợi vài phút cho đến khi hệ thống thông báo hoàn thành và yêu cầu khởi động lạilà bạn đã hoàn tất quá trình cài đặt Active Directory trên máy chủ Windows Server 2003.

2. Backup & Restore

2.1 Công nghệ NTBACKUP trong Windows Server 2003.

Backup và Restore là một trong những kiến thức vô cùng quan trọng trong việcđảm bảo hệ thống hoạt động một cách hiệu quả, và tránh được những sự cố đáng tiếcxảy ra. Trong Windows Server 2003 có sử dụng một công cụ backup dữ liệu đó là:ntbackup.

- NTBACKUP trong Windows Server 2003 sử dụng công nghệ backup làShadow Copy để backup cả những dữ liệu đang hoạt động như SQL, hay dịch vụ

Active Directory, các file đang chạy hay các folder bị cấm truy cập…

- Nhưng trong Windows có một quy định là không cho can thiệp vào các file haydữ liệu đang có một chương trình khác đang hoạt động hay đang sử dụng.

- Và hai điều này có nghĩa là bạn hoàn toàn có thể backup được Active Directorytheo một cách nào đó, nhưng bạn không thể Restore lại được bởi Service này hoạt động





từ lúc hệ thống bắt đầu khởi động. Microsoft đã tính toán đến tình huống này - cáchBackup và Restore dữ liệu của Active Directory.

- Khi backup System State sẽ chứa toàn bộ thông tin của Active Directory.

2.2 Backup và Restore Active Directory trong máy chủ Domain Controllers.

a. Lý thuyết

- Phần trên ta đã có một Domain với tên miền là: vnexperts.net có máy chủDomain Controller cài dịch vụ Active Directory là dc1.vnexperts.net.

- Step 1: Tạo một OU trong Active Directory với tên MCSA trong OU này tôi tạotiếp một User Name là Hoang Tuan Dat.

- Step 2: Backup Active Directory

- Step 3: Xoá OU và User vừa tạo ra

- Step 4: Khôi phục lại dữ liệu Active Directory vừa bị xoá.

b. Triển khai.

Step 1

- Log on vào máy chủ Domain Controller bằng user administrator

- Vào Start à All Programs à Administrative tools à Active Directory Users andComputers.





Chuột phải vào Active Directory domain vnexperts.net chọn New vàOrganizational Unit (OU) với tên MCSA

- Vào trong OU MCSA kick chuột phải chọn New User Account - để tạo một tàikhoản User mới.

- Ở đây ta tạo User tên Hoang Tuan Dat, logon name là tocbatdat





Nhấn Next hệ thống yêu cầu gõ Password của user mới tạo ra là gì ta chọnPassword là: Password12!

- Chú ý sau khi cài đặt Active Directory sẽ có một Default Domain SecurityPolicy yêu cầu bất kỳ một user mới tạo ra đều phải có password nhỏ nhất là 7 ký tự và

phải phức tạp. Nếu bạn muốn chỉnh lại để tạo ra User một cách đơn giản hơn phải chỉnhlại Default Domain Security Policy này và Local Policy của Máy chủ DomainControllers.

- Cách chỉnh Default Domain Security Policy: Vào Startà All Programs àAdministrative tools à Domain Security Policy. Trong Cửa sổ chỉnh Policy bạn chọnchọn Account Policies à Password Policies. Tiếp đến bạn phải chỉnh hai thông số làMinimum Password Lengh, và Password must meet complexity Requirements (độ dàitối thiểu và phải phức tạp) nhấp đúp chuột trái sẽ xuất hiện như hình dưới đây bạn bỏ

dấu Check Box – Define this policy setting – thực hiện với cả hai thiết lập.

- Vào Run gõ Gpupdate /force để apply sự thay đổi policy trong domain sau đó bạn phải chỉnh cả trong Local Policy của máy chủ Domain Controller nữa thì mới tạođược User ở dạng Password là chống (blank).

- Vào Run gõ gpedit.msc để chỉnh Local Policy cho máy chủ DomainControllers. Tương tự chỉnh các thông số trong Password Policy. Lưu ý một điều nếu





bạn chưa bỏ dấu check box trong Domain Policy thì vào Local Policy sẽ không chỉnhđược các thông số này.

- Chỉnh Minimum Password Lengh về 0, và Disable Password must meetcomplexity requirements

Vào Run gõ Gpupdate /force là OK giờ bạn có thể tạo user với password trắngStep 2 – Backup Active Directory

- Vào Run gõ ntbackup hệ thống sẽ hiện cửa sổ sau đây





Bạn chọn Advanced Mode (dòng chữ màu xanh) sẽ xuất hiện cửa sổ BackupUtility à Chọn Tab Backup sẽ được cửa sổ như hình dưới đây.

- Bạn muốn backup Active Directory bạn cần phải Backup System State. Để ý thấy khi backup System State sẽ bao gồm rất nhiều thông tin: Active Directory, Boot Files,Registry, SYSVOL…

- Sau khi chọn System State, cần phải thiết lập nơi chứa file Backup, ở đây ta

chọn là lưu tại ổ C: và tên file là Backup.bkf - Nhấn Start Backup để bắt đầu Backup dữ liệu.





Khi nhấn Start Backup hệ thống sẽ bật ra cửa sổ như hình dưới đây bạn chọnStart Backup để bắt đầu thực hiện backup.

Cửa sổ hiển thị quá trình Backup đang được thực hiện, bạn đợi một lát để hệthống hoàn thành công việc





Step 3 – Xoá dữ liệu trong Active Directory.

Sau khi hệ thống kết thúc việc Backup System State bạn vào Active Directory(như cách vào bên trên) chuột phải vào OU MCSA chọn Delete, để xoá dữ liệu trongActive Directory

Step 4 – Restore Acitve Directory.

Bạn không thể thực hiện Restore để thao tác lên các dữ liệu đang hoạt động, giờ ta phải khởi động lại máy chủ Domain Controller.





- Trong lúc máy tính đang khởi động nhấn F8 để chọn các Mode của hệ thốngnhư cách vào Safe Mode

- Trong Menu các Mode ta phải chọn "Directory Service Restore Mode" - Bạn bắt buộc phải chọn mode này bởi khi bạn lựa chọn Mode này mặc định Service ActiveDirectory sẽ bị tắt và bạn có thể thao tác bằng các tác vụ khác vào dữ liệu của ActiveDirectory được.

Khi chọn khởi động từ "Directory Service Restore Mode" hệ thống sẽ yêu cầu gõUser name và Password.

- Ở trên, "cài đặt Active Directory" ta có nói tới một Password lúc cài đặt, đóchính là password để bạn đăng nhập trong khi Restore lại Active Directory.

Vào được trong môi trường Windows

- Run à ntbackup trong cửa sổ ntbackup chọn tab Restore





- Chọn System State để restore

Nhấn Start Restore để hệ thống bắt đầu lấy lại dữ liệu như lúc Backup.

- Dưới đây là cửa sổ hệ thống đang Restore lại System State

Sau khi hệ thống Restore hoàn tất sẽ yêu cầu khởi động lại máy tính.





- Lần này bạn để máy tính khởi động vào bình thường và công việc cuối cùng củachúng ta là xem lại xem OU MCSA và User Hoang Tuan Dat xem có còn hay không

- Thật may mắn là mọi thứ lại như cũ

3. Addtional New DC

Trong một tình huống hệ thống có rất nhiều máy tính join vào domainvnexperts.net, khi máy chủ Domain Controller bị gián đoạn điều đó có nghĩa toàn bộcác dịch vụ về tên miền, về xác thực người dùng, và nhiều dịch vụ khác sẽ bị gián đoạn.Sau đây là cách phòng tránh sự cố xảy ra và đảm bảo hệ thống luôn luôn hoạt động.

3.1 Replication dữ liệu trong Active Directory.

- Active Directory trên máy chủ Windows Server 2003 có cơ chế Replicationsgiữa các máy chủ Domain Controller với nhau. Cho phép nhiều máy chủ DomainController cùng quản lý chung một dữ liệu Active Directory, với dữ liệu và thiết lậpgiống nhau. Đồng thời cho phép nhiều máy chủ Domain Controllers hoạt động vớiquyền ngang hàng nhau trong Active Directory.

- Các máy chủ hoàn toàn có khả năng thêm dữ liệu vào trong Active Directory(như việc tạo User mới, hay thay đổi thông tin trong Active Directory). Khi bạn thayđổi dữ liệu Active Directory trên một máy chủ Domain Controller thì chúng sẽ tự độngđồng bộ hoá với toàn bộ máy chủ Domain Controller trong hệ thống mạng.





- Như vậy nếu một hệ thống Domain nếu bạn có một máy chủ Domain Controller chẳng may máy chủ này bị gián đoạn trong một thời gian nhất định thì cả hệ thống sẽ bịtê liệt. Khắc phục vấn đề này bạn cài đặt thêm một hay nhiều máy chủ DomainController nữa cùng quản lý dữ liệu Active Directory và DNS của hệ thống. Khi mộttrong các máy chủ Domain Controller trong hệ thống phải bảo trì hay gián đoạn mộtthời gian thì hệ thống vẫn hoạt động bình thường.

Sau đây là cách tạo cài đặt thêm một máy chủ Domain Controller vào Domain cósẵn là vnexperts.net với dữ liệu DNS và Active Directory giống Domain Controller đầutiên và hoạt động với chức năng tương đương nhau trong hệ thống.

3.2 Triển khai Additions Domain Controller mới vào hệ thống có sẵn.

- Để máy chủ Domain Controller mới hoạt động với chức năng tương đương với

máy chủ Domain Controller đầu tiên phải đáp ứng:+ Cung cấp giải pháp tên miền DNS cho các máy Client

+ Cung cấp xác thực và các dữ liệu liên quan khác tới dữ liệu Active Directory.

a. DNS trên máy chủ Domain Controller mới.

- Máy chủ đầu tiên chứa toàn bộ dữ liệu DNS và các thiết lập khác trên DNS. Đểmáy chủ thứ hai này cũng có khả năng đáp ứng các yêu cầu DNS của Client chúng ta

cần phải tạo một bản sao bao gồm dữ liệu DNS giống hệt máy chủ đầu tiên.- Trên Windows Server 2003 dịch vụ DNS cho phép tạo Secondary Zone như một

bản sao dữ liệu DNS từ một Primary Zone đã được tạo sẵn.

- Domain của ta đã được cài đặt với một máy chủ DNS và Domain Controller là:dc1.vnexperts.net.

- Trên dữ liệu DNS của dc1.vnexperts.net có một Primary Zone tên vnexperts.netchứa toàn bộ các record về tên của domain vnexperts.net.

- Yêu cầu lúc này là tạo ra một máy chủ với dữ liệu DNS giống hệtdc1.vnexperts.net.

Step 1: Trên máy chủ dc1.vnexperts.net cho phép các máy chủ lấy được dữ liệuZone vnexperts.net





Step 2: Trên máy chủ mới tạo Secondary Zone tên Vnexperts.net từ máy chủdc1.vnexperts.net

- Ở đây: dc1.vnexperts.net – IP 192.168.100.11

- Cài đặt dc2.vnexperts.net – IP 192.168.100.12

Step 1: Cấu hình trên máy chủ dc1.vnexperts.net cho phép máy khác tạo SecondaryZone vnexperts từ máy chủ này.

Start à All Programs à Administrative tools à DNS

Trong cửa sổ DNS chọn forward lookup zone trong đó có Zone vnexperts.net đãtạo ra trong phần 1+2 của bài viết. Chuột phải vào tab Zone Tranfers.





- Chọn Allow Zone Transfers có 3 options cho bạn lựa chọn:

+ to any server: cho tất cả các máy tính đều lấy được dữ liệu DNS

+ Chỉ cho phép máy chủ nào trong NS record (mặc định khi nâng cấp lên DomainController)

+ Chỉ cho phép các máy chủ dưới đây

- Ta chọn to any server cho dễ

Step 2: tạo Secondary Zone từ máy chủ khác chuẩn bị cài đặt làm DomainController





- Cài đặt dịch vụ DNS như trên

- Vào giao diện quản trị DNS chuột phải vào Forward Lookup Zone chọn NewZone nhấn Next hệ thống sẽ bắt bạn lựa chọn Type Zone bạn chọn Secondary Zone

Nhấn Next tiếp tục quá trình thiết lập

- Hệ thống sẽ yêu cầu bạn tên Primary Zone mà bạn cần tạo Secondary Zone tôichọn vnexperts.net vì tôi đã có Zone này trên máy dc1.vnexperts.net – 192.168.100.11rồi.





Hệ thống sẽ yêu cầu bạn gõ địa chỉ của máy chủ chứa Primary Zone củaVnexperts.net

- Ta gõ địa chỉ IP là 192.168.100.11 - điạ chỉ của máy chủ dc1.vnexperts.net





Nhấn Next để hoàn thành quá trình tạo Secondary Zone vnexperts.net trên máychủ dc2.

- Để lấy toàn bộ dữ liệu DNS từ máy chủ dc1 về máy chủ dc2 bạn chuột phải vàoZone vnexperts.net mới được tạo ra trên máy chủ dc2 chọn "Transfers from master".

- Vào kiểm tra và kết quả tôi đã được một bản copy của dữ liệu DNS trên máychủ mới, điều này có nghĩa máy chủ Secondary này hoàn toàn có khả năng giải quyếtvấn đề về tên miền trong hệ thống.

b. Cài đặt Additions Domain Controller vào một domain đã có sẵn

- Việc cài đặt Addtions một Domain Controller mới vào một domain đã có sẵn vôcùng đơn giản

- Step 1 đặt địa chỉ IP tĩnh

- Step 2 đặt địa chỉ DNS là địa chỉ DNS của máy chủ dc1.vnexperts.net – 192.168.100.11 và địa chỉ IP của chính nó là 192.168.100.12





Khi bạn đã hoàn tất quá trình cài đặt DNS và tạo Secondary Zone trên máy chủ

mới, bạn cần thiết phải đặt địa chỉ của DNS như trên bởi khi DC1 bị hỏng thì hệ thốngvẫn hoạt động bình thường.

- Tiếp tục quá trình cài đặt vào Run gõ dcpromo.





Nhấn Next để tiếp tục quá trình cài đặt Addtions Domain Controller

Nhấn Next để tiếp tục quá trình cài đặt.





- Đến bước chọn hai Options: Bạn bắt buộc phải chọn Additional domaincontroller for an existing domain. Đây chính là sự khác nhau cơ bản giữa cài mới vàadd vào một domain có sẵn

Nhấn Next để tiếp tục quá trình, hệ thống sẽ yêu cầu bạn gõ Username, Passwordvà domain mà bạn cần add vào:





Sau khi điền đủ các dữ kiện từ domain, username password.

- Nhấn Next hệ thống tự động tìm kiếm Domain đã chọn, nếu bạn đặt địa chỉDNS cho card mạng sai đến bước này sẽ không tìm thấy domain mà bạn cần add vào,khi đó bạn chỉ cần kiểm tra lại DNS khi đặt địa chỉ IP là ok.

- Nhấn Next để tiếp tục





Gõ lại tên miền bạn muốn add vào : gõ vnexperts.net (bởi tacần add them mộtdomain controller vào domain này).

- Nhấn Next tiếp tục quá trình cài đặt. Hệ thống yêu cầu nơi chứa folder NTDSđể cho quá trình Replications trong Domain.





Ta để mặc định nhấn Next. Hệ thống yêu cầu vị trí folder SYSVOL

Để mặc định tôi nhấn Next. Hệ thống yêu cầu gõ password dành cho quá trìnhRestore Mode như đã đề cập ở trên.





Nhấn Next để tiếp tục quá trình cài đặt: hệ thống hiển thị toàn bộ thông tin về quátrình thiết lập:

Nhấn Next hệ thống sẽ bắt đầu cài đặt cho dc2 này.





Đợi vài phút và khởi động lại máy sau đó vào Active Directory Users andComputers để xem và ta thấy đã có hai máy chủ Domain Controller.

Vậy là hoàn tất quá trình tạo ra một Domain Controller mới trong domainvnexperts.

4. Child Domain

- Domain vnexperts.net có hai máy chủ Domain Controller: dc1.vnexperts.net vớiIP là 192.168.100.11 và dc2.vnexperts.net với địa chỉ IP là 192.168.100.12

- Chuẩn bị một máy tính cài Windows Server 2003 mới với tên dc3 có địa chỉ192.168.100.13. và ta định cài máy chủ dc3 sẽ là domain controller của domain:mcsa.vnexperts.net

- Đặt địa chỉ IP sao cho máy tính dc3 nhận biết được domain vnexperts.net

+ Thiết lập địa chỉ DNS trên máy dc3 như dưới đây.





Tạo ra một Secondary Zone của DNS trên máy chủ dc3 mới và đặt địa chỉ IP vàDNS như trên trước khi cài đặt Active Directory.

- Sau khi hoàn thành quá trình tạo Secondary Zone vnexperts.net của DNS trênmáy chủ dc3 và đặt địa chỉ IP như trên ta vào run gõ dcpromo để bắt đầu quá trình càiđặt. Nhấn Next những bước bắt đầu quá trình cài đặt đến khi cửa sổ sau xuất hiện





- Do domain mcsa.vnexperts.net chưa có nên khi cài đặt domain đó trên máy chủdc3 ta phải chọn là Domain Controller for a new domain.

- Nhấn Next để đến một bước quan trọng nhất trong quá trinh cài đặt.





Bước này bạn phải buộc phải chọn Option "Child domain in an existing domaintree"

- Option đầu tiên là cài đặt domain controller trên một domain mới hoàn toàn

- Option thứ hai là cài đặt domain child trên một domain có sẵn

- Option thứ 3 là cài đặt một domain mới trên một domain có sẵn ta sẽ trình bàytrong phần 6 của bài viết.

- Sau khi lựa chọn đúng Option 2 nhấn Next để tiếp tục quá trình.





Hệ thống sẽ yêu cầu bạn gõ domain cha: gõ vnexperts.net và user name nào mà bạn sử dụng để cài đặt một domain mới.

- Sau khi điền đầy đủ thông tin cần thiết nhấn Next để tiếp tục quá trình.





- Hệ thống sẽ hiển thị NetBIOS Name của domain mới tạo ra là MCSA ta để mặcđịnh, tên MCSA này chính là tên khi client join vào domain sẽ lựa chọn trong danh sáchnhững domain trong khi logon.

- Để mặc định nhấn Next





- Vị chí thư mục NTDS (dùng để thực hiện Replication).

- Để mặc định nhấn Next để tiếp tục quá trình cài đặt





- Hệ thống hỏi vị trí của thư mục SYSVOL tôi để mặc định và nhấn Next tiếp tụcquá trình.





Tổng hợp toàn bộ thông tin ta thiết lập sẽ được hiển thị trong bảng trên

Nhấn Next tiếp tục quá trình cài đặt.

Để mặc định nhấn Next tiếp tục quá trình cài đặt.





Hệ thống yêu cầu gõ Password dành cho quá trình backup và Restore ActiveDirectory trên máy này ta nhập password.

- Nhấn Next để tiếp tục quá trình cài đặt.





Hệ thống đưa cho ta kết quả toàn bộ thiết lập về domain mới của ta làmcsa.vnexperts.net và các thư mục sử dụng trong Active Directory.

- Thấy tất cả đều đúng như yêu cầu ta nhấn Next để bắt đầu quá trình cài đặt.





Hệ thống đang cài đặt Child domain mới là mcsa.vnexperts.net trên domain cósẵn là vnexperts.net. Đợi vài phút để hoàn thành quá trình cài đặt.





Nhấn Finish và khởi động lại máy tính

- Bạn để ý khi logon lại vào máy tính dc3.mcsa.vnexperts.net sẽ suất hiện danhsách hai domain

Vào Active Directory Site and Service kiểm tra lại quá trình cài đặt Domain mớivới kết quả thật đúng như yêu cầu:





- Start và administrative tools và Active Directory Site and Services để xem toàn bộ các site và các máy chủ Domain Controller.

- Kết quả hai máy chủ dc1 và dc2 là domain controller của domain vnexperts.net

- Dc3 là máy chủ domain controller của domain mcsa.vnexperts.net

Tương tự như cài đặt domain mcsa.vnexperts.net ta tiếp tục cài đặt thêm mộtdomain con của domain vnexperts.net nữa đó là domain ccna.vnexperts.net trên máy

chủ dc4.





5. Forest

Khi trong cùng một Domain với nhiều doman con thì rất nhiều thông tin trênDomain đó được Replication, chúng ta thiết lập nhiều Domain Forest để đơn giản hoáquá trình quản lý nhiều site khác nhau cho một doanh nghiệp, nhưng vẫn đảm bảo dữliệu được thống nhất.

Ởcác phần trước chúng ta cài đặt và thiết lập hoàn chỉnh domain: Vnexperts.netvới hai domain con là mcsa.vnexperts.net và ccna.vnexperts.net. Bây giờ ta tạo mộtDomain forest mới là vne.vn và khi bạn đã có domain forest mới này bạn hoàn toàn có

khả năng cài đặt domain con trên domain forest mới này.

Đầu tiên như các phần kia bạn phải đặt địa chỉ IP cho card mạng và DNS phải làDNS của máy chủ dc1.vnexperts.net – 192.168.100.11.

Sau khi thiết lập địa chỉ IP cho máy chủ xong ta tiến hành cài đặt DomainController.

Máy chủ mới có địa chỉ IP là: 192.168.100.15 với tên là dc5. Và ta cần phải càiđặt Domain Forest với tên: vne.vn vào trong forest có sẵn là vnexperts.net

Vào Run gõ dcpromo để bắt đầu quá trình cài đặt.





Nhấn Next để bắt đầu cài đặt.

Nhấn Next để bắt đầu cài đặt.





Trong cửa sổ dưới đây bạn chọn "Domain Controller for a New domain" bắt buộc bạn phải chọn Options này bởi domain vne.vn bạn cần cài đặt chưa có máy chủ DomainController nào cả.

Sau khi lựa chọn chuẩn nhấn Next để tiếp tục quá trình cài đặt.

Đến bước quan trọng nhất với 3 Option

- Bạn buộc phải chọn Domain Tree in an existing forest (add một domain treemới vào trong một forest có sẵn).





Điền đầy đủ các thông tin về username, password và domain nhấn Next để tiếptục quá trình cài đặt.

- Hệ thống sẽ yêu cầu tên Domain Tree mới mà ta thiết lập là gì:cần cài đặtdomain mới là vne.vn





- Lựa chọn tên mới cho domain: vne.vn trong domain forest vnexperts.net nhấn Next để tiếp tục quá trình cài đặt.

- Yêu cầu vị trí đặt folder NTDS chứa các thong tin cần Replications, ở đây tôi đểmặc định

- Nhấn Next để tiếp tục, hệ thống yêu cầu vị trí chứa folder SYSVOL





Nhấn Next tiếp tục quá trình cài đặt. Hệ thống sẽ kiểm tra DNS cho chúng ta thấymọi thứ OK

Nhấn Next tiếp tục quá trình cài đặt.





Để mặc định đó là Domain Function Level là Native Mode.

Nhấn next bắt đầu quá trình cài đặt. Đợi một nát để hệ thống hoàn thành quá trìnhcài đặt, khởi động lại máy để mọi thứ OK.

Sau khi khởi động lại máy Logon hệ thống sẽ hiện ra danh sách domain mà ta cóthể logon vào.





Chọn VNE rồi gõ username password vào ta đăng nhập vào domain mới .

Vào Active Directory Sites and Services để kiểm tra xem mọi thứ kết quả thật làđều chạy tốt.

6. Rename DC

Sau khi cài đặt và thiết lập hoàn chỉnh một domain tên: vnexperts.net với máy chủdomain controller là: dc1.vnexperts.net. Sau một thời gian hoạt động giờ talại muốn đổitên máy chủ dc1.vnexperts.net thành máy chủ vne.vnexperts.net. Sau đây là chi tiếtcách đổi tên máy chủ domain controller (DC) sử dụng tool "netdom computername".

Netdom là một tool không được tích hợp sẵn ngay khi cài đặt hệ điều hành nên bạn muốn sử dụng nó phải add thêm vào.

Step 1: sử dụng Netdom tool

Step 2: Add một tên khác cho máy chủ DC

Step 3: Nâng cấp tên mới thành tên chính

Step 4: reboot

Step 5: Tên mới thực hiện đầy đủ chức năng

Step 6: Remove tên cũ.





Step 1 - Sử dụng Netdom tool.

Netdom tool có đi kèm trong đĩa cài đặt Windows Server 2003, tại:CDROM\SUPPORT\TOOLS\SUPPORT.CAB.

Để sử dụng netdom tool bạn mở file support.cab chuột phải vào file netdom.exechọn extract vào thư mục Windows là OK

Thử tool netdom vào run gõ cmd để vào môi trường dòng lệnh gõ netdom /? sẽđược kết quả như hình dưới đây:





Step 2: Add một thêm một tên mới cho máy chủ DC

Máy chủ DC có tên dc1.vnexperts.net

Giờ việc đầu tiên sẽ phải add một tên nữa vào cho máy chủ dc1.vnexperts.net tachọn tên vne.vnexperts.net.





Sử dụng câu lệnh: Netdom Computername dc1.vnexperts.net /add:vne.vnexperts.net

Tại sao lại fails, chỉ khi Domain Function Level là 2003 hoặc cao hơn thì mớiđược.

Domain Function Level có 4 mức độ:

Mix Mode: Active Directory được quản lý bởi: Windows NT, 2000, 2003

Interim Mode: Active Directory được quản lý bởi: NT, 2003

Native Move: Active Directory được quản lý bởi: 2000, 2003

2003 Mode: AD được quản lý bởi máy chủ 2003 – và chỉ khi AD ở dạng này mớihỗ trợ đầy đủ các tính năng của Active Directory trên Windows Server 2003. Ta buộc

phải nâng cấp domain (mặc định là Mix Mode) lên 2003 Mode.

Vào administrative tools -> Active Directory Users and Computers - chuột phải

vào domain vnexperts chọn Raise Domain Function Level.





Thực hiện song câu lệnh này hệ thống sẽ bắt phải khởi động lại.

Step 4: Cho tên mới của máy chủ DC thực hiện chức năng

Sau khi khởi động lại máy tính, hệ thống sẽ vẫn tồn tại hai tên: vne.vnexperts.netvà dc1.vnexperts.net và tên vne.vnexperts.net chưa hoạt động trong khi tên

dc1.vnexperts.net đã bị chuất quyền.Sử dụng câu lệnh: Netdom Computername vne.vnexperts.net /enumerate

Để cho tên mới của máy chủ đi vào hoạt động.

Step 5: Remove tên cũ

Máy chủ Domain Controller vẫn tồn tại hai tên giờ ta cần phải remove tên cũ làdc1.vnexperts.net

Sử dụng câu lệnh: Netdom Computername vne.vnexperts.net /remove:dc1.vnexperts.net để remove tên cũ đi.





Step 6 Xem kết quả

Vào Active Directory User and Computer vào OU Domain Controller xem kếtquả được như hình dưới đây:

7. DC vài trò Master

Active Directory cho phép nhiều máy chủ Domain Controller hoạt động tươngđương, tính năng Replication sẽ tự động đồng bộ toàn bộ dữ liệu giữa các DomainController. Tuy nhiên có những thuộc tính trong Forest và Domain chỉ có máy chủ





Master thì mới có những tính năng đó. Sau đây là cách thay đổi vai trò Master trongActive Directory

Trong hình vẽ trên thể hiện hệ thống với:

1 – Forest đó là vnexperts.net

2 – Domain tree đó là: vnexperts.net và vne.com

4 – Domain con: mcsa.vnexperts.net và ccna.vnexperts.net là đomain con củadomain tree vnexperts.net; a.vne.com và b.vne.com là domain con của domain treevne.com.

Forest Master Role

Cả hệ thống trên có một Forest duy nhất là: vnexperts.net – Và chỉ có một máychủ Domain Controller trong forest này hoạt động với vai trò Master, thường là máychủ cài Active Directory đầu tiên trên forest. Có hai Vai trò Master trong Forest đó là:

- Schema Master Role

- Domain Naming Master Role

Schema Master Role: Trong Forest chỉ có máy chủ đóng vai trò Schema Master mới có khả năng update schema - giản đồ của Active Directory. Trong Forest khi muốnthay đổi bất kỳ cấu trúc của Active Directory bạn phải là Schema Master.

Domain Naming Master Role: Máy chủ Domain Controller với vai trò Domain Naming Master sẽ đảm nhiệm việc tạo ra domain con mới hay remove một domaincon…. Tóm lại sẽ hoạt động với chức năng quản lý tên tạo và xoá domain.

Domain Master Role

Mỗi Domain Tree hay Domain con trong Domain Forest đều có một máy chủđóng vai trò Master Domain Role. Máy chủ hoạt động với vai trò Domain Master Rolemặc định là máy chủ Domain Controller đầu tiên của Domain đó. Có 3 Domain Master Role:

- Relative Identifier - RID Master

- Primary Domain Controller – PDC Master





- Infrastructure Master

Mỗi Domain chỉ có một máy chủ đảm nhiệm vai trò Domain Master Role, có thểmột máy chủ đảm nhiệm tất cả các tác vụ trên nhưng bạn có thể gán cho mỗi máy chủlàm một nhiệm vụ trên.

RID Master: Mỗi domain trong Forest chỉ có một Domain Controller đóng vai tròRID Master. Khi một user, một computers được tạo mới trong active directory thì RIDđóng vai trò kiểm tra tính duy nhất của record đó. Sau đó RID gán cho mỗi thông tin đómột Security ID.

PDC Master: Trong mỗi domain có một PDC master, khi hệ thống bao gồm cácmáy chủ domain controller: NT và cả 2003. PDC làm nhiệm vụ cho phép client đổi

password, sau đó thực hiện Replications với các Domain Controller khác trong Domain.

Infrastructure Master: Khi đổi tên hay add một user vào một group nào đó,Infrastructure của Active Directory sẽ làm nhiệm vụ quản lý user và group. Một user cóthể thuộc nhiều group, một group có thể chứa nhiều user và group khác và quản lý vấnđề đó thuộc về Infrastructure Master.

Ở đây có hai tình huống xảy ra khi thay đổi Master của Forest hay của Domain.Để đơn giản ta chỉ thực hiện trên forest vnexperts.net không có domain con hay domaintree, với hai máy chủ domain controller: vne.vnexperts.net và dc3.vnexperts.net – Forest Master Role và Domain Master Role đều là vne.vnexperts.net.

1. Khi tất cả các Domain Controller đều hoạt động

2. Khi Master Server bị hỏng và bạn phải nâng cấp máy thứ cấp lên Master Domain.

7.1 View Master Role

Để xem hiện tại Domain Controller nào đóng vai trò master bạn có thể thực hiệntheo cách sau:

- Xem RID, PDC, Infrastructure Master role bạn chỉ cần vào Active DirectoryUsers and Computer chuột phải lên nó chọn Operations Master





Để xem Forest Master role:

- Domain Naming Master Role: vào Administrative Tools chọn Active DirectoryDomains and Trusts chuột phải vào nó chọn Operations Master.





- Schema Master Role: Muốn xem được Schema Master Role bạn phải vàoActive Directory Schema Snap-in, thật không may là mặc định Active DirectorySchema Snap-in lại không được tự động cài đặt cùng với Active Directory. Nhưng bạncó thể cài đặt Snap-In này bằng cách vào cmd gõ: regsvr32 schmmgmt.dll để cài đặt

Snap-in này. Sau hệ thống báo Success:

Vào run gõ mmc trong cửa sổ này chọn file à add/remove Snap-in chọn Add rồichỉ đến: Active Directory Schema Snap-in sau đó chuột phải chọn Operations Master sẽxem được máy chủ nào là máy chủ Schema Master.





7.2. Thay đổi Master khi các Domain Controllers đều đang hoạt động tốt.

Tình huống xảy ra khi máy chủ Master được cài đặt trước với cấu hình máykhông cao, không ổn định. Công ty nâng cấp máy chủ Domain Controller mới và yêucầu mọi user và group… không được thay đổi. Khi đó bạn phải chuyển Master Role chomáy chủ mới. Với tình huống này chúng ta thực hiện tương đối đơn giản.

Trong mô hình ta có hai máy chủ domain controller: vne.vnexperts.net vàdc3.vnexperts.net hiện tại máy chủ vne.vnexperts.net là Master role của cả ForestMaster và Domain Master.

Ta sẽ chuyển đổi vị trí Master role cho máy chủ dc3.vnexperts.net

a. Nâng Domain Master Role

- Bao gồm: RID, PDC và Infrastructure.





Cứ thế tôi tiếp tục chuyển sang tab PDC và Infrastructure chuyển master sangdc3.vnexperts.net.

b. Nâng Forest Master Role

- Như vừa nói ở trên Forest Master role có: Schema Master Role và Domain Naming Master role

Chuyển Domain Naming master

Vào máy chủ vne.vnexperts.net à Administrative tools à Active DirectoryDomain and Trust chuột phải vào đó chọn Connect to Domain Controller. Trong cửa sổta chọn máy chủ dc3.vnexperts.net rồi OK.





Tiếp đến chuột phải vào Active Directory Domains and Trust chọn OperationsMaster, trong cửa sổ thấy xuất hiện: Current Master và máy chủ cần chuyển sang làdc3.vnexperts.net





Chuyển Schema Master Role

Vào run gõ mmc rồi add snap-in Active Directory Schema vào

Trong cửa sổ Active Directory Schema chuột phải chọn Change DomainController, lựa chọn phần Specify Name ta chọn đến máy chủ: dc3.vnexperts.net nhấnOK





Trong cửa sổ Active Directory Schema chuột phải chọn Operations Master, tôithấy current master là vne.vnexperts.net máy chủ cần transfer tới là dc3.vnexperts.nettôi nhấn vào Change.





Trong tình huống 1 ta đã nâng cấp máy chủ dc3.vnexperts.net thành máy chủMaster. Tắt máy chủ dc3.vnexperts.net và thực hiện các bứơc chiếm đoạt quyền master từ máy chủ vne.vnexperts.net, coi như máy chủ dc3.vnexperts.net hỏng hẳn.

Chúng ta dùng một tool đó là: ntdsutil

Step 1: vào run gõ cmd để vào command line

Step 2: trong giao diện này gõ ntdsutil trong tools này chúng ta gõ: roles

Step 3: connect vào máy chủ vne.vnexperts.net (phải sử dụng FQDN như thếnày)

- Gõ connections để vào giao diện kết nối

- Gõ connect to server vne.vnexperts.net để kết nối tới máy chủ cần thiết.

Step 4: gõ Quit để vào giao diện: fsmo maintenance

- Gõ Seize Schema Master rồi enter

- Gõ Seize Domain Naming Master rồi enter

- Gõ Seize RID Master rồi Enter

- Gõ Seize PDC rồi Enter

- Gõ Seize Infrastructure Master rồi Enter

Dưới đây là một hình ảnh về việc Seize (chiếm đoạt) Schema Master Role

Sau khi gõ seize schema master hệ thống sẽ hỏi có chắc chắn làm việc này khôngtôi chọn YES để hệ thống bắt đầu Seize đợi một lát sẽ hoàn tất quá trình

Cứ như vậy ta lần lượt Seize các Master role như: RID, PDC, Infrastructure,

Domain Naming





Sau Seize cả 5 Master Role chọn quit, quit để thoát khỏi giao diện cmd.

Khởi động lại máy tính vào Active Directory Domain and Trust chuột phải chọnOperations Master ta xem kết quả làm việc.

Máy chủ vne.vnexperts.net đã hoạt động như một Master Server.





Kết luận

Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ côngviệc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thểthực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta cóthể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa racác chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để

phân chia khả năng quản lý trong một môi trường rộng lớn.Từ cài đặt 1 máy chủDomain Controller cho một Domain tới cài thêm một máy chủ DC khác cho Domainđó.Chúng ta đã làm chủ Active Directory.

Active Directory thực sự là trái tim của Windows Server 2003 .

TÀI LIỆU THAM KHẢO

Tài liệu của giáo viên hướng dẫn:

1. Active Directory Collection.2. MS_Active_Directory_Design_Guide3. Integrating-ibm-msad

Website: http://www.3c.com.vn http://technet.microsoft.com http://www.quantrimang.com http://www.itgatevn.com.vn

http://www.iforce.com.vn

http://www.3c.com.vn/

http://technet.microsoft.com/

http://www.quantrimang.com/

http://www.itgatevn.com.vn/

http://www.iforce.com.vn/

http://www.3c.com.vn/

http://technet.microsoft.com/

http://www.quantrimang.com/

http://www.itgatevn.com.vn/

http://www.iforce.com.vn/

nguyen thi thu huyen-k54a

Documents