Tài liệu hướng dẫn giảng dạy III.5 Xây dựng Organizational Unit Như trình bày phần lý thuyết OU nhóm tài khoản người dùng, máy tính tài nguyên mạng tạo nhằm mục đích dễ dàng quản lý ủy quyền cho quản trị viên địa phương giải công việc đơn giản Đặc biệt thông qua OU áp đặt giới hạn phần mềm giới hạn phần cứng thông qua Group Policy Muốn xây dựng OU bạn làm theo bước sau: Chọn menu Start ¾ Programs ¾ Administrative Tools ¾ Active Directory User and Computer, để mở chương trình Active Directory User and Computer Chương trình mở ra, bạn nhấp phải chuột tên miền chọn New-Organizational Unit Hộp thoại xuất hiện, yêu cầu nhập tên OU cần tạo, ví dụ OU cần tạo có tên HocVien Học phần - Quản trị mạng Microsoft Windows Trang 202/555 Tài liệu hướng dẫn giảng dạy Đưa máy trạm gia nhập nhập mạng cần quản lý vào OU vừa tạo Tiếp theo bạn đưa tài khoản người dùng cần quản lý vào OU vừa tạo Học phần - Quản trị mạng Microsoft Windows Trang 203/555 Tài liệu hướng dẫn giảng dạy Sau đưa máy tính tài khoản người dùng vào OU, bước bạn người nhóm quản lý OU Bạn nhấp phải chuột vào OU vừa tạo, chọn Properties, hộp thoại xuất hiện, Tab Managed By, bạn nhấp chuột vào nút Change để chọn người dùng quản lý OU này, ví dụ chọn tài khoản Thanh quản lý OU Bước cuối quan trọng, tìm hiểu chi tiết chương Group Policy, thiết lập Group Policy áp dụng cho OU Bạn vào Tab Group Policy, nhấp chuột vào nút New để tạo GPO, sau nhấp chuột vào nút Edit để hiệu chỉnh sách Trong ví dụ tạo sách cấm khơng cho phép dùng ổ đĩa CD-ROM áp dụng cho tất người dùng OU Học phần - Quản trị mạng Microsoft Windows Trang 204/555 Tài liệu hướng dẫn giảng dạy III.6 Công cụ quản trị đối tượng Active Directory Một bốn công cụ quản trị hệ thống Active Directory cơng cụ Active Directory User and Computer công cụ quan trọng gặp lại nhiều trong giáo trình này, bước ta khảo sát hết tính cơng cụ Cơng cụ có chức tạo quản lý đối tượng hệ thống Active Directory Theo hình thấy miền netclass.edu.vn có mục sau: - Builtin: chứa nhóm người dùng tạo định nghĩa quyền sẵn - Computers: chứa máy trạm mặc định thành viên miền Bạn dùng tính để kiểm tra máy trạm gia nhập vào miền có thành cơng khơng - Domain Controllers: chứa điều khiển vùng (Domain Controller) hoạt động miền Bạn dùng tính để kiểm tra việc tạo thêm Domain Controller đồng hành có thành cơng khơng - ForeignSecurityPrincipals: vật chứa mặc định dành cho đối tượng bên miền xem xét, từ miền thiết lập quan hệ tin cậy (trusted domain) - Users: chứa tài khoản người dùng mặc định miền Học phần - Quản trị mạng Microsoft Windows Trang 205/555 Tài liệu hướng dẫn giảng dạy Học phần - Quản trị mạng Microsoft Windows Trang 206/555 Tài liệu hướng dẫn giảng dạy Domain local group (nhóm cục miền) loại nhóm cục đặc biệt chúng local group nằm máy Domain Controller Các máy Domain Controller có sở liệu Active Directory chung chép đồng với local group Domain Controller có mặt Domain Controller anh em nó, local group có mặt miền nên gọi với tên nhóm cục miền Các nhóm mục Built-in Active Directory domain local Global group (nhóm tồn cục hay nhóm tồn mạng) loại nhóm nằm Active Directory tạo Domain Controller Chúng dùng để cấp phát quyền hệ thống quyền truy cập vượt qua ranh giới miền Một nhóm global đặt vào nhóm local server thành viên miền Chú ý tạo nhiều nhóm global làm tăng tải trọng cơng việc Global Catalog Universal group (nhóm phổ quát) loại nhóm có chức giống global group dùng để cấp quyền cho đối tượng khắp miền rừng miền có thiết lập quan hệ tin cậy với Loại nhóm tiện lợi hai nhóm global group local group chúng dễ dàng lồng nhóm vào Nhưng ý loại nhóm dùng hệ thống bạn phải hoạt động chế độ Windows 2000 native functional level Windows Server 2003 functional level có nghĩa tất máy Domain Controller mạng phải Windows Server 2003 Windows 2000 Server I.2.2 Nhóm phân phối Nhóm phân phối loại nhóm phi bảo mật, khơng có SID khơng xuất ACL (Access Control List) Loại nhóm khơng dùng nhà quản trị mà dùng phần mềm dịch vụ Chúng dùng để phân phố thư (e-mail) tin nhắn (message) Bạn gặp lại loại nhóm làm việc với phần mềm MS Exchange I.2.3 Qui tắc gia nhập nhóm - Tất nhóm Domain local, Global, Universal đặt vào nhóm Machine Local - Tất nhóm Domain local, Global, Universal đặt vào loại nhóm - Nhóm Global Universal đặt vào nhóm Domain local - Nhóm Global đặt vào nhóm Universal Học phần - Quản trị mạng Microsoft Windows Trang 210/555 Tài liệu hướng dẫn giảng dạy Hình 3.3: khả gia nhập loại nhóm II CHỨNG THỰC VÀ KIỂM SOÁT TRUY CẬP II.1 Các giao thức chứng thực Chứng thực Windows Server 2003 quy trình gồm hai giai đoạn: đăng nhập tương tác chứng thực mạng Khi người dùng đăng nhập vùng tên mật mã, quy trình đăng nhập tương tác phê chuẩn yêu cầu truy cập người dùng Với tài khoản cục bộ, thông tin đăng nhập chứng thực cục người dùng cấp quyền truy cập máy tính cục Với tài khoản miền, thơng tin đăng nhập chứng thực Active Directory người dùng có quyền truy cập tài nguyên mạng Như với tài khoản người dùng miền ta chứng thực máy tính miền Windows 2003 hỗ trợ nhiều giao thức chứng thực mạng, bật là: - Kerberos V5: giao thức chuẩn Internet dùng để chứng thực người dùng hệ thống - NT LAN Manager (NTLM): giao thức chứng thực Windows NT - Secure Socket Layer/Transport Layer Security (SSL/TLS): chế chứng thực dùng truy cập vào máy phục vụ Web an toàn II.2 Số nhận diện bảo mật SID Tuy hệ thống Windows Server 2003 dựa vào tài khoản người dùng (user account) để mô tả quyền hệ thống (rights) quyền truy cập (permission) thực bên hệ thống tài khoản đặc trưng số nhận dạng bảo mật SID (Security Identifier) SID thành phần nhận dạng không trùng lặp, hệ thống tạo đồng thời với tài khoản dùng riêng cho hệ thống xử lý, người dùng không quan tâm đến giá trị SID bao gồm phần SID vùng cộng thêm với RID người dùng khơng trùng lặp SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID”, tất SID miền có giá trị D1, D2, D3, giá trị RID khác Hai mục đích việc hệ thống sử dụng SID là: - Dễ dàng thay đổi tên tài khoản người dùng mà quyền hệ thống quyền truy cập khơng thay đổi - Khi xóa tài khoản SID tài khoản khơng cịn giá trị nữa, có tạo tài khoản tên với tài khoản vừa xóa quyền cũ khơng sử dụng tạo tài khoản giá trị SID tài khoản giá trị Học phần - Quản trị mạng Microsoft Windows Trang 211/555