Mô hình hệ thống Domain Controller Mỗi học sinh khi tham gia vào hệ thống mạng này sẽ được cấp một tài khoản Username và Password để có thể đăng nhập và sử dụng tài nguyên trên bất kỳ má
Trang 1Mục lục Trang
Mục lục 1
Các kí hiệu viết tắt trong đồ án 3
Phần 1: Giới thiệu và tóm tắc về đề tài 4
I Giới thiệu đề tài 4
II Tóm tắt sơ lược về đề tài 4
Phần 2: Cơ sở lý thuyết 6
Chương 1: Tìm hiểu một số khái niệm liên quan 6
1.1 DNS Server 6
1.2 Workstation (máy trạm) và Server 8
1.3 Giới thiệu về LDAP 9
1.4 Roaming and Mandatory Profiles 10
Chương 2: Mô hình Domain, Domain Controller 11
2.1 Mô hình Domain 11
2.2 Giới thiệu về Domain Controller 11
2.3 Chức năng của Domain Controller 11
2.4 Nâng cấp Server thành Domain Controller 12
2.5 Domain Controller đồng hành 13
Chương 3: Active Directory 14
3.1 Giới thiệu về Active Directory 14
3.2 Chức năng của Active Directory 14
3.3 Cấu trúc của Active Directory 14
3.4 Cách đặt tên trong Active Directory 21
3.5 Backup và Restore 21
Chương 4: Quản lý tài khoản người dùng và nhóm 26
4.1 Định nghĩa tài khoản người dùng và tài khoản nhóm 26
4.2 Chứng thực và kiểm soát truy cập 28
4.3 Các tài khoản tạo sẵn 29
4.4 Quản lý tài khoản người dùng và nhóm trên Active Directory 33
Chương 5: Chính sách của hệ thống 44
Trang 2Chương 7: Chính sách nhóm
7.1 Giới thiệu về chính sách nhóm 59
7.2 Triển khai một chính sách nhóm trên miền 60
7.3 Một số minh họa GPO trên người dùng và cấu hình máy 63
Phần 3: Thiết kế cài đặt và ứng dụng 65
Chương 1: Thiết kế và cài đặt I Nâng cấp Server thành Domain Controller 67
II Tạo Domain User, Domain Group và OU 69
III Cấp thư mục Home và thiết lập Quota 71
IV Thiết lập Roaming and Mandatory Profile 72
V Backup và Restore AD 73
VI Gia nhập các máy client vào DC 73
VII NTFS trên thư mục chia sẻ 75
Chương 2: Các ứng dụng trong trường học I Chia sẽ tài nguyên 79
II Tổ chức thi nộp bài qua mạng (tự luận) 79
III Thi qua mạng dùng phần mềm EmpTest (trắc nghiệm) 79
IV Dùng các phần mềm EASYCAFE quản lý HS dùng Internet 80
V Dùng NetOp School dạy học 80
Tài liệu tham khảo 81
Trang 3Các kí hiệu viết tắt
AD : Active Directory
BDC : Backup Domain Controller
DC : Domain Controller
DNS : Domain Name System
IP : Internet Protocol
OU : Oranization Unit
PDC : Primary Domain Controller
RL : Right Click (nhấn chuột phải)
TCP : Transmission Control Protocol
W2K3 : Windows 2003
WXP : Windows XP
Trang 4Việc trao đổi thông tin chưa lúc nào trở nên quan trọng và mạnh mẽ như hiện nay, việc trao đổi thông tin qua mạng đã trở thành một kênh thông tin không thể thiếu trong thời đại ngày nay – thời đại công nghệ thông tin
Một thực tế, trong tình hình mới việc triển khai và áp dụng công nghệ thông tin vào trường học là vấn đề khó khăn không thể giải quyết một sớm một chiều Đòi hỏi phải có một quá trình học tập, nghiên cứu nhất định
Theo tìm hiểu thức tế, ở các trường phổ thông hiện nay đa số các phòng máy của trường đều hoạt động độc lập, có trường đã có sự kết nối các phòng máy với nhau Tuy nhiên, việc lắp đặt và bảo trì hệ thống lại giao hoàn toàn cho các dịch vụ vi tính, nên đã xảy ra nhiều trường hợp hư hỏng bất thường ảnh hưởng đến quá trình giảng dạy và gây ra nhiều bối rối rất bị động đối với giáo viên của trường Là một giáo viên Tin học trong tương lai, khi nhìn nhận sự việc này, em không khỏi những trăn trở và đặt câu hỏi “Tại sao tự mình không làm chủ công cụ của mình?” Cũng vì lẽ đó em quyết định chọn đề tài này để nghiên cứu với hi vọng Trước tiên đề tài này sẽ tích lũy cho bản thân em một lượng kiến thức cần thiết về quản trị mạng, sau là em muốn chia sẽ tài liệu này với các đồng nghiệp những người cùng chung trọng trách hướng dẫn giảng dạy trong tương lai
Đề tài của em là “Nghiên cứu, xây dựng và thiết kế hệ thống mạng LAN của trường phổ thông.”
Đây là đề tài tuy không còn mới mẻ nhưng ứng dụng của nó lại rất lớn, đặc biệt trong các trường phổ thông hiện nay Nó đảm bảo được sự thống nhất về tài nguyên của hệ thống, đồng thời giúp việc đăng nhập vào hệ thống máy tính
ở trường của mỗi học sinh một cách dễ dàng và thân thiện Đảm bảo quản lí tập trung tài khoản của mỗi học sinh theo khối lớp một cách dễ dàng
II Tóm tắt sơ lược về đề tài
Thiết kế hệ thống mạng máy tính của trường phổ thông gồm 4 phòng máy tính và một Server Server này đóng vai trò là một Domain Controller (máy điều khiển tên miền) quản lý tập trung và thẩm định quyền đăng nhập vào hệ thống của các User
Trang 5Mô hình hệ thống Domain Controller Mỗi học sinh khi tham gia vào hệ thống mạng này sẽ được cấp một tài khoản (Username và Password) để có thể đăng nhập và sử dụng tài nguyên trên bất kỳ máy tính nào của hệ thống này Đồng thời mỗi học sinh cũng được cấp một thư mục Home trên Server với dung lượng 1Gb để lưu trữ dữ liệu và thông tin profile, khi học sinh đăng nhập vào hệ thống bằng bất kỳ máy nào trong hệ thống, thư mục Home sẽ ánh xạ thành thư mục Home trên máy trạm, giúp học sinh có thể sử dụng cùng một môi trường làm việc trên các máy tính khác nhau
Hệ thống được thiết kế để học sinh và giáo viên có thể chia sẻ thông tin với nhau Qua hệ thống này giáo viên có thể tổ chức thi và nộp bài quan mạng đảm bảo an toàn và bảo mật
Roaming Profile sẽ lưu lại tất cả những gì thay đổi trên Desktop và My Documents lên Server Domain khi User kết thúc phiên làm việc trong hệ thống mạng Mỗi khi User logon trở lại hệ thống, Roaming Profile sẽ tự động ánh xạ khôi phục hoàn toàn các thiết lập trên Desktop ở phiên làm việc trước, tạo ra một môi trường quen thuộc mà không phải mất công thiết lập lại
Trang 6tiếp với nhau bằng địa chỉ IP Để thuận tiện cho việc sử dụng và dễ nhớ ta dùng tên (Domain name) để xác định vị trí của thiết bị đó Hệ thống tên miền DNS được sử dụng để ánh xạ tên miền thành địa chỉ IP Vì vậy, khi muốn liên hệ tới
các máy, chúng chỉ cần sử dụng chuỗi ký tự dễ nhớ như: www.tuoitre.com.vn, www.ibm.com , thay vì sử dụng địa chỉ IP
là một dãy số dài khó nhớ
Máy DNS
Máy chủ phân giải tên miền là những
máy chủ được cài đặt, và cung cấp dịch vụ
phân giải tên miền DNS Máy chủ DNS
được phân ra thành 2 loại: Primary DNS
Server(PDS) và Secondary DNS Server
(SDS)
a Primary DNS Server
Primary DNS Server là nguồn xác thực thông tin chính thức cho các tên miền mà nó được phép quản lý Thông tin về một tên miền do PDS được phân cấp quản lý thì được lưu trữ tại đây và sau đó có thể được chuyển sang các Secondary DNS Server
Các tên miền do PDS quản lý thì được tạo, và sửa đổi tại PDS và sau đó được cập nhật đến các SDS
b Secondary DNS Server
DNS được khuyến nghị nên sử dụng ít nhất là hai DNS server để lưu địa chỉ
cho mỗi một vùng (zone) PDS quản lý các vùng và SDS được sử dụng để lưu
trữ dự phòng cho vùng, và cho cả PDS SDS không nhất thiết phải có nhưng khuyến khích hãy sử dụng SDS được phép quản lý tên miền nhưng dữ liệu về tên miền không phải được tạo ra từ SDS mà được lấy về từ PDS
SDS có thể cung cấp các hoạt động ở chế độ không tải trên mạng Khi lượng truy vấn vùng tăng cao, PDS sẽ chuyển bớt tải sang SDS (quá trình này còn được gọi là cân bằng tải), hoặc khi PDS bị sự cố thì SDS hoạt động thay thế cho đến khi PDS hoạt động trở lại
SDS thường được sử dụng tại nơi gần với các máy trạm (client) để có thể phục vụ cho các truy vấn một cách dễ dàng (Tuy nhiên, cài đặt SDS trên cùng một subnet hoặc cùng một kết nối với PDS là không nên) Điều đó sẽ là một
giải pháp tốt để dự phòng cho PDS, vì khi kết nối đến PDS bị hỏng thì cũng không ảnh hưởng gì tới đến SDS
Ngoài ra, PDS luôn duy trì một lượng lớn dữ liệu và thường xuyên thay đổi hoặc thêm các địa chỉ mới vào các vùng Do đó, DNS server sử dụng một cơ chế cho phép chuyển các thông tin từ PDS sang SDS và lưu giữ trên đĩa Khi
Trang 7cần phục hồi dữ liệu về các vùng, chúng ta có thể sử dụng giải pháp lấy toàn bộ (full) hoặc chỉ lấy phần thay đổi (incrememtal)
1.1.2 Cách thức hoạt động của DNS Server
DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trong một thể thống nhất
Trong phạm vi lớn hơn, các máy tính kết nối với Internet sử dụng DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators) Theo phương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối mà chỉ cần
sử dụng tên miền (domain name) để truy vấn đến kết nối đó Với mô hình phân cấp như hình dưới đây :
Mô hình phân cấp tên miền
Mịnh họa hoạt động của DNS Khi một máy tính (PCA) muốn truy cập đến trang web www.yahoo.com và
server vnn chưa lưu thông tin về trang web này, các bước truy vấn sẽ diễn ra như sau:
− Đầu tiên PCA gửi một request server quản lý tên miền vnn hỏi thông
tin về www.yahoo.com
− Server quản lý tên miền vnn gửi một truy vấn đến server top level domain
− Top level domain lưu trữ thông tin về mọi tên miền trên mạng Do đó nó
sẽ gửi lại cho server quản lý tên miền vnn địa chỉ IP của server quản lý
miền com (gọi tắt server com)
− Khi có địa chỉ IP của server quản lý tên miền com thì lập tức server vnn
hỏi server com thông tin về yahoo.com Server com quản lý toàn bộ những
trang web có domain là com, chúng gửi thông tin về địa chỉ IP của server
yahoo.com cho server vnn
Trang 8thông tin về www.yahoo.com cho những lần truy vấn đến sau của các client
khác
1 2 Workstation(máy trạm) và Server
Các thuật ngữ Workstation và Server (máy chủ) được dùng để nói tới vai trò của máy tính trong mạng Chẳng hạn, một máy tính đang hoạt động như một Server thì nó không cần thiết phải chạy cả phần cứng của Server Khi một máy tính được cài hệ điều hành Server, nó sẽ hoạt động thực sự như một Server mạng Trong thực tế, hầu hết tất cả các máy chủ đếu sử dụng thiết bị phần cứng đặc biệt, giúp chúng có thể kiểm soát được khối lượng công việc nặng nề vốn
có của mình
Khái niệm máy chủ mạng (network server) thường hay bị nhầm về mặt kỹ thuật theo kiểu định nghĩa: “máy chủ là bất kỳ máy tính nào sở hữu hay lưu trữ tài nguyên chia sẻ trên mạng” Nói như thế thì ngay cả một máy tính đang chạy windows XP cũng có thể xem là máy chủ nếu nó được cấu hình chia sẻ một số tài nguyên như file và máy in…
Trước đây các máy tính thường được nối thành mạng là peer to peer (kiểu máy ngang hàng) Máy tính ngang hàng hoạt động trên cả máy trạm và máy chủ Các máy này thường sử dụng hệ điều hành ở máy trạm (như windows XP), nhưng có thể truy cập và sở hữu các tài nguyên mạng do ta chỉ định một máy nào đó trong mạng làm máy “server” chứa tài nguyên chia sẻ Mạng kiểu này thường là các mạng rất nhỏ
Ý tưởng ở đây là nếu một công ty nhỏ thiếu tài nguyên để có được các máy chủ thực sự thì các máy trạm có thể được cấu hình để thực hiện nhiệm vụ
"kép" Ví dụ, mỗi người dùng có thể tạo cho các file của mình khả năng truy cập chung với nhiều người khác trên mạng Nếu một máy nào đó có gắn máy
in, họ có thể chia sẻ nó cho công việc in ấn của toàn bộ máy trong mạng, tiết kiệm được tài nguyên
Các mạng ngang hàng thường không sử dụng được trong các công ty lớn vì thiếu khả năng bảo mật cao, không thể quản lý trung và thống nhất được nguồn tài liệu vốn rất quan trọng của công ty Đó là lý do vì sao các mạng ngang hàng thường chỉ được tìm thấy trong các công ty cực kỳ nhỏ hoặc người dùng gia đình sử dụng nhiều máy PC
Windows Vista (thế hệ kế tiếp của windows XP) đang cố gắng thay đổi điều này Windows Vista cho phép người dùng mạng client/server tạo nhóm ngang hàng Trong đó các thành viên của nhóm sẽ được chia sẻ tài nguyên với nhau trong chế độ bảo mật an toàn mà không cần ngắt kết nối với server mạng Thành phần mới này sẽ được tung ra thị trường với vai trò như một công cụ hợp tác
Trang 9Ngày nay các mạng ngang hàng không phổ biến bằng mạng client/server vì những khuyết điểm của chúng (thiếu an toàn và khả năng quản lý tập trung) Tuy nhiên, vì mạng máy tính được hình thành từ các máy chủ và máy trạm nên bản thân mạng không cần phải đảm bảo độ bảo mật cao và khả năng quản lý tập trung Thật ra server chỉ là một máy chuyên dùng để lưu trữ tài nguyên trên mạng Nói như thế tức là có vô số kiểu máy chủ khác nhau và một trong số đó được thiết kế chuyên dùng để cung cấp khả năng bảo mật và quản lý
Chẳng hạn, Windows Server có hai kiểu loại chính: Member Server (máy chủ thành viên) và Domain Controller (bộ điều khiển miền) Thực sự không có
gì đặc biệt với Member Server Member server đơn giản chỉ là máy tính được kết nối mạng và chạy hệ điều hành windows Server Máy chủ kiểu Member Server có thể được dùng như một nơi lưu trữ file (còn gọi là file server) hoặc nơi sở hữu một hay nhiều máy in mạng (còn gọi là máy in server) Các Member Server cũng thường xuyên được dùng để lưu trữ chương trình ứng dụng mạng Chẳng hạn, Microsoft cung cấp một sản phẩm gọi là Exchange Server 2003 Khi cài đặt lên Member Server, nó cho phép Member Server thực hiện chức năng như một mail server
Domain Controller thì đặc biệt hơn nhiều Công việc của một Domain Controller là cung cấp tính năng bảo mật và khả năng quản lý cho mạng Chúng ta đã quen thuộc với việc đăng nhập bằng cách nhập Username và Password, điều này nếu trên mạng windows, đó chính là Domain Controller
Nó có trách nhiệm theo dõi và kiểm tra Username và Password
Người chịu trách nhiệm quản lý mạng được gọi là quản trị viên (administrator) Khi người dùng muốn truy cập tài nguyên trên mạng Windows, quản trị viên sẽ dùng một tiện ích do Domain Controller cung cấp để tạo tài khoản cho người dùng mới Khi người dùng mới (hoặc người nào đó muốn có tài khoản thứ hai) cố gắng đăng nhập vào mạng thì "giấy thông hành" của họ (Username và Password) được gửi tới Domain Controller Domain Cotroller sẽ kiểm tra tính hợp lệ bằng cách so sánh thông tin được cung cấp với bản sao chép lưu trữ trong cơ sở dữ liệu của nó Nếu mật khẩu người dùng cung cấp và mật khẩu lưu trữ trong Domain Controller khớp với nhau, họ sẽ được cấp quyền truy cập mạng Quá trình này được gọi là thẩm định (authentication)
LDAP là một nghi thức “lightweight ” có nghĩa là đây là một giao thức có tính hiệu quả, đơn giản và dể dàng để cài đặt Trong khi chúng sử dụng các hàm ở mức cao Điều này trái ngược với nghi thức “heavyweight” như là nghi thức truy cập thư mục X.500 (DAP) Nghi thức này sử dụng các phương thức
mã hoá quá phức tạp
Trang 101.4 Roaming and Mandatory Profiles
Trước tiên chúng ta hãy tìm hiểu khái niệm Profile User Profiles là một thư mục chứa các thông tin về môi trường của Windows Server 2003 cho từng người dùng mạng Profile chứa các qui định về màn hình Desktop, nội dung của menu Start, kiểu cách phối màu sắc, vị trí sắp xếp các icon, biểu tượng
chuột…
Mặc định khi người dùng đăng nhập vào mạng, một profile sẽ được mở cho
người dùng đó Nếu là lần đăng nhập lần đầu tiên thì họ sẽ nhận được một
profile chuẩn Một thư mục có tên giống như tên của người dùng đăng nhập sẽ được tạo trong thư mục Documents and Settings Thư mục profile người dùng được tạo chứa một tập tin ntuser.dat, tập tin này được xem như là một
thư mục con chứa các liên kết thư mục đến các biểu tượng nền của người dùng
Trong Windows Server 2003 có ba loại Profile:
Local Profile: là profile của người dùng được lưu trên máy cục bộ và họ tự cấu hình trên profile đó
Roaming Profile: là loại Profile được chứa trên mạng và người quản trị mạng thêm thông tin đường dẫn user profile vào trong thông tin tài khoản
người dùng, để tự động duy trì một bản sao của tài khoản người dùng trên mạng
Mandatory Profile: người quản trị mạng thêm thông tin đường dẫn user profile vào trong thông tin tài khoản người dùng, sau đó chép một profile đã cấu hình sẵn vào đường dẫn đó Lúc đó các người dùng dùng chung profile này
và không được quyền thay đổi profile đó
Trang 11Chương 2: Mô hình Domain và Domain Controller
2.1 Mô hình Domain
Hoạt động theo cơ chế client/server, trong hệ thống mạng ít nhất phải có một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển mọi hoạt động của hệ thống mang Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền
Mô hình này đáp ứng được mọi yêu cầu về quản lý tập trung và sử dụng tài nguyên của hệ thống, được áp dụng cho các công ty vừa và lớn, rất phù hợp với
mô hình quản lý tập trung các phòng máy của trường phổ thông
Trong mô hình Domain của các Windows Server 2003 thì các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điểu khiền vùng với tập tin là NTDS.DIT Tập tin cơ sở dữ liệu này được xây dựng theo một công nghệ tương tự phần mềm Access của Microsoft nên nó có thể lưu trữ được hàng triệu người dùng, cải tiến nhiều so với công nghệ cũ chỉ lưu trữ được khoảng 5 ngàn tài khoản người dùng Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung do máy điều khiển vùng chứng thực
2.2 Giới thiệu về Domain Controller
Domain controller là một máy chủ được cấu hình để quản lý một domain trong mô hình server/client Thực chất nó là bộ điểu khiển miền cung cấp tính năng bảo mật và khả năng quản lý cho mạng Máy chủ là domain controller cung cấp một tiện ích là Active Directory(AD) để quản trị domain có thể theo dõi và kiểm tra và thẩm định các tài khoản người dùng (Username và Password) DC quản lý domain của mình thông qua các công cụ đó Các nội dung quản lý quan trọng nhất là quản lý tài khoản người dùng, quản lý DNS, quản lý địa chỉ cấp phát động (DHCP),
2.3 Chức năng của Domain Controller
2.3.1 Quản lý tập trung
Ta đã biết bất kỳ máy trạm nào đang sử dụng hệ điều hành Windows Xp cũng có một nhóm tài khoản người dùng được tạo sẵn, nó còn cho phép tạo thêm một số tài khoản bổ sung khi cần thiết Nếu máy trạm có chức năng như một hệ thống độc lập hoặc là một phần của mạng ngang hàng thì tài khoản người dùng mức máy trạm (được gọi là tài khoản người dùng cục bộ) không thể điều khiển tài nguyên mạng Chúng chỉ được dùng để điều chỉnh truy cập
Trang 12đổi quyền hạn cho tài khoản Vấn đề này không gây ra tác động gì lớn trong mạng nhỏ, nhưng sẽ trở nên cực kỳ nặng nề với ở mạng lớn hay khi cần áp dụng thay đổi rộng cho tất cả mọi tài khoản
Một lý do khác nữa là không ai muốn phải chuyển tài khoản người dùng từ máy này sang máy khác Chẳng hạn, nếu máy tính của bạn bị phá hoại, bạn sẽ không thể đăng nhập vào máy tính khác để làm việc vì tài khoản của bạn chỉ có tác dụng trên máy cũ Nếu muốn làm được việc bạn lại phải tạo tài khoản mới trên máy khác Đây chỉ là một trong số rất nhiều lý do khiến việc sử dụng tài khoản người dùng cục bộ cho việc truy cập an toàn tài nguyên mạng là không thực tế Thậm chí nếu bạn muốn triển khai kiểu bảo mật này, Windows cũng không cho phép Tài khoản người dùng cục bộ chỉ có thể dùng tài nguyên cục
bộ trên một máy trạm nhất định
DC có nhiệm vụ giải quyết các vấn đề vừa nêu và một số vấn đề khác nữa Chúng sẽ tập trung hoá tài khoản người dùng (hay cấu hình khác, các đối tượng liên quan đến bảo mật; chúng ta sẽ đề cập đến trong các phần tiếp theo) Điều này giúp việc quản trị dễ dàng hơn và cho phép người dùng đăng nhập từ bất
kỳ máy tính nào có trên mạng (trừ khi bạn giới hạn quyền truy cập người dùng)
2.3.2 Thẩm định
Khi một người muốn đăng nhập vào hệ thống DC họ phải có Username và Password như một loại giấy thông hành để gửi đến DC, DC sẽ kiểm tra tính hợp lệ bằng cách so sánh thông tin được cung cấp với bản sao chép lưu trữ trong cơ sở dữ liệu của nó Nếu mật khẩu người dùng cung cấp và mật khẩu lưu trữ trong Domain Controller khớp với nhau, họ sẽ được cấp quyền truy cập mạng Quá trình này được gọi là thẩm định (authentication)
2.4 Nâng cấp Server thành Domain Controller
Theo mặc định, tất cả các máy Windows Server 2003 đều là Server độc lập (stand-alone server), chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp một máy không phải là DC thành một máy DC và ngược lại giáng cấp một máy DC thành một Server bình thường
Trước khi nâng cấp một server thành DC, cần phải khai báo đầy đủ thông số TCP/IP Đặc biệt là phải khai báo DNS server có địa chỉ chính là địa chỉ IP của Server cần nâng cấp
Máy tính Server sau khi đã nâng cấp thành Domain Controller gọi là máy Domain Controller hay máy có chức năng điều khiển miền
Trang 132.5 Domain Controller đồng hành
Domain Controller là một máy tính điều khiển mọi hoạt động của mạng nếu máy này có sự cố thì toàn bộ hệ thống mạng sẽ bị tê liệt Do tính năng quan trọng này nên trong một hệ thống mạng thông thường chúng ta phải xây dựng ít nhất hai máy DC Ở Windows Server 2003 thì hai máy này có vai trò ngang nhau, cùng tham gia vào việc chứng thực tài khoản người dùng Còn ở Windows 2000 trở xuống có sự phân biệt rõ ràng một là Primary Domain Controller máy còn lại là Backup Domain Controller
Như chúng ta đã biết, công việc chứng thực đăng nhập thường được thực hiện vào đầu giờ mỗi buổi làm việc, nếu mạng của bạn chỉ có một máy DC và
có 10.000 nhân viên thì chuyện gì sẽ xảy ra vào mỗi buổi sáng? Để giải quyết trường hợp trên, Microsoft cho phép các máy DC trong mạng cùng nhau hoạt động đồng thời, chia sẻ công việc của nhau, khi có một máy bị sự cố thì các máy còn lại đảm bảo luôn công việc của máy này Do đó ta có thể gọi các DC này là các DC đồng hành, nhưng khi khảo sát sâu hơn về AD thì DC được tạo
ra đầu tiên vẫn có một vai trò đặc biệt Sâu hơn về vấn đề này tôi xin hẹn gặp
lại trong một dịp khác khi nghiên cứu về MSMO(Flexible Single Master
Operation)
Trang 14domain theo tên (DNS) Một trong những điểm ưu việt của Active Directory là
nó quản lý hệ thống mạng bằng cách tạo ra tên domain cho workgroup, trên cơ
sở đó cho phép các hệ thống mạng khác (Unix, Mac) có thể truy cập vào được Active Directory là một cơ sở dữ liệu, tuy nhiên Microsoft lại không đưa ra một công cụ quản trị nào sử dụng để quản lý Active Directory cho bạn có thể xem được toàn bộ cơ sở dữ liệu của Active Directory Khác hẳn việc bạn sử dụng Microsoft Access hoặc SQL Server thì bạn hoàn toàn có thể mở cơ sở dữ liệu và quan sát các thực thể bên trong nó Microsoft chỉ cung cấp một số công
cụ giúp các quản trị viên có thể quản lý các đối tượng trong AD đó là Active Directory Users and Computers console
3.2 Chức năng của Active Directory
Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính
Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon server), Server này chính là Domain Controller
Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong hệ thống
Cho phép tạo ra các tài khoản người dùng với những mức độ quyền (right) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown server từ xa…
Cho phép chia nhỏ miền thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit) sau đó có thể uỷ quyền cho các quản trị viên ở từng bộ phận nhỏ
3.3 Cấu trúc của Active Directory
Tương tự windows explore, nhưng bên trong nó gồm các đối tượng: Objects, Organizational Units, domain, forest, forest tree…ta sẽ tìm hiểu về các thành phần trong cấu trúc AD ngay sau đây:
Trang 153.3.1 Objects
Trước khi tìm hiểu về Object, chúng ta phải tìm hiểu trước hai khái niệm object classes và attributes Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các loại đối tượng mà bạn có thể tạo ra trong AD Có ba loại object classes thông dụng: User, Computer và Printer Khái niệm thứ hai là Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của object classes
3.3.2 Organizational Units (OU)
Là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn Sử dụng OU vào hai công dụng chính như sau:
- Trao quyền kiểm soát tập hợp các tài khoản người dùng, máy tính hay các thiết bị cho một nhóm người hay một phụ tá quản trị viên nào đó, từ đó giảm bớt công tác của quản trị cho người quản trị toàn bộ hệ thống
- Kiểm soát và khoá bớt một số chức năng trên các máy trạm của một số người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm, các chính sách này chúng ta sẽ tìm hiểu ở các phần sau
Trang 173.3.3 Domain
Domain là đơn vị có chức năng nòng cốt của cấu trúc logic Active Directory Nó là phương tiện để quy định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những quy tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các server dễ dàng hơn Domain đáp ứng ba chức năng chình đó là:
- Đóng vai trò như một khu vực quản trị (Administrative boundary)các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẽ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan
hệ uỷ quyền với các domain khác
- Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ
- Cung cấp các server dự phòng làm chức năng điều khiển vùng, đồng thời đảm bảo các thông tin trên các server này được đồng bộ với nhau
3.3.4 Domain tree
Là cấu trúc bao gồm nhiều domain được sắp xếp có thứ bậc theo cấu trúc hình cây Domain được tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain) Tên của các domain con phải khác biệt nhau Khi một domain root và ít nhất một domain con được tạo ra thì hình
Trang 183.3.5 Forest
Forest được xây dựng trên một hoặc nhiều domain tree, nó cách khác Forest chính là tập hợp các Domain Tree có thiết lập quan hệ và uỷ quyền cho nhau Giả sử một công ty nào đó thu mua một công ty khác, thông thường mỗi công
ty có một Domain Tree riêng để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm rừng
Trong sơ đồ trên công ty mcmcsi.com thu mua công ty techtutorials.com và
xyzabc.com hình thành rừng từ gốc là mcmcsi.com
Bạn có thể truy cập Active Directory Users and Computers console từ bộ
điều khiển miền của Windows Server 2003 bằng cách chọn Active Directory Users and Computers từ menu Start / All Programs / Administrative Tools
của máy chủ Giao diện của nó được thể hiện cơ bản giống với Window Explore mà đã rất quen thuộc với bạn
Trang 19Hình A: Giao diện Active Directory Users and Computers là một công cụ
quản trị chính cho việc quản lý các đối tượng Active Directory.
Chúng ta sẽ thảo luận quá trình tạo hoặc soạn thảo các đối tượng Active Directory sau, bây giờ tôi sẽ giới thiệu kỹ hơn về giao diện Active Directory Users and Computers console bởi vì nó giúp chúng ta khám phá một chút về cấu trúc của Active Directory Nếu nhìn vào hình A thì bạn sẽ thấy được rằng ở đây có một số thư mục lớn, mỗi một thư mục này tương ứng với một loại đối tượng cụ thể Mỗi đối tượng trong Active Directory đều được gán một kiểu đối tượng (được biết đến như là lớp đối tượng)
Mỗi đối tượng trong AD cũng có một số thuộc tính liên quan Các thuộc tính cụ thể thay đổi phụ thuộc vào kiểu đối tượng Chẳng hạn, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành các đối tượng người dùng như trong hình B Nếu kích chuột phải vào một trong các đối tượng người dùng này và chọn Properties từ menu chuột phải thì bạn sẽ thấy được trang thuộc tính của đối tượng như trong hình C
Hình B: Thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành các đối tượng người dùng
Trang 20Hình C: Khi kích chuột phải vào một đối tượng người dùng và chọn
Properties thì bạn sẽ thấy trang thuộc tính của người dùng
Nếu nhìn vào hình C thì bạn sẽ thấy rằng có một số trường thông tin khác nhau như tên, họ, số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng Mặc dù phần lớn các trường ở trong hình đều không phổ biến nhưng trong một số tình huống thực thì các trường này có thể được sử dụng để tạo thư mục cộng tác Trong thực tế, nhiều ứng dụng được thiết kế để trích thông tin trực tiếp từ Active Directory Chẳng hạn, Microsoft Exchange Server (sản phẩn e-mail server của Microsoft) sẽ tạo một danh sách địa chỉ toàn cục dựa trên nội dung của Active Directory Danh sách này được sử dụng khi gửi các thông báo email đến người dùng khác trong hệ thống Điều này có ý nghĩa quan trọng trong việc tương tác của AD Thực tế, có rất nhiều sản phẩm của các hãng khác (nhóm thứ ba)được thiết kế để tương tác với Active Directory Một trong số chúng có khả năng lưu dữ liệu trong các phần Active Directory đặc biệt
Lý do nó hợp lý với các hãng phần mềm nhóm thứ ba khi tương tác với Active Directory là vì Active Directory được dựa trên một chuẩn đã biết Active Directory được dựa trên một chuẩn có tên gọi là X.500 Chuẩn này cơ bản là một cách chung chung trong việc thực hiện dịch vụ thư mục Microsoft không chỉ là một công ty tạo dịch vụ thư mục dựa trên dịch vụ này mà Novell ban đầu cũng đã tạo dịch vụ thư mục NetWare Directory Service trên chuẩn này
Đây cũng là một cách trong việc truy cập vào thông tin dịch vụ thư mục Trong môi trường Active Directory, việc truy cập thông tin thư mục liên quan đến việc sử dụng một giao thức mà tôi đã đề cập ở phần 1 đó là giao thức
Trang 21Lightweight Directory Access Protocol (LDAP) Việc đi sâu để tìm hiểu về giao thức này tôi xin hẹn vào dịp khác, trong phạm vi này ta chỉ cần biết vềLDAP là giao thức được sử dụng để giúp các máy trong Domain có thể trao đổi thông tin với nhau
3.4 Cách đặt tên trong Active Directory.
Mỗi đối tượng trong Active Directory đều được quy vào một tên phân biệt (thường được viết tắt là DN) Tên phân biệt được dựa trên vị trí của đối tượng bên trong thứ bậc thư mục Có nhiều thành phần khác nhau trong tên phân biệt nhưng một số cái chung là một tên chung (được viết tắt là CN – Common Name) và một miền tên (viết tắt là DC) Chẳng hạn, cho rằng miền Ngonaldo.com gồm có một tài khoản có tên là User1 và tài khoản này được định vị trong thư mục Users Trong trường hợp như vậy, tên phân biệt của tài
khoản người dùng sẽ là: CN=User1, CN=Users, DC=Ngonaldo, DC=com
Trong ví dụ này, tên được tạo thành từ 4 cặp thuộc tính/ giá trị khác nhau, mỗi một cặp được phân biệt với nhau bằng dấu phẩy Cặp thuộc tính/ giá trị thứ nhất là CN=USER1 Trong cặp này, CN (viết tắt cho Common Name) là thuộc tính và User1 là giá trị Các thuộc tính và giá trị luôn luôn phân biệt với nhau bởi dấu bằng (=), còn các cặp thuộc tính/ giá trị được phân biệt với nhau bằng dấu phẩy (,)
3.5 Backup và Restore
Backup và Restore là một trong những kiến thức vô cùng quan trọng trong việc đảm bảo hệ thống hoạt động một cách hiệu quả, và tránh được những sự
cố đáng tiếc xảy ra Trong Windows Server 2003 có sử dụng một công cụ
Backup dữ liệu đó là: ntbackup
NTBACKUP trong Windows Server 2003 sử dụng công nghệ Backup là Shadow Copy để backup cả những dữ liệu đang hoạt động như SQL, hay dịch
vụ Active Directory, các file đang chạy hay các folder bị cấm truy cập…
Nhưng trong Windows có một quy định là không cho can thiệp vào các file hay dữ liệu khi đang có một chương trình khác đang hoạt động hay đang sử dụng Và hai điều này có nghĩa là bạn hoàn toàn có thể Backup được Active Directory theo một cách nào đó, nhưng bạn không thể Restore lại được bởi Service này hoạt động từ lúc hệ thống bắt đầu khởi động Vậy không có cách nào Restore sao.Tuy nhiên, Microsoft đã tính toán đến tình huống này và ngay bây giờ chúng ta sẽ tìm hiểu về Backup và Restore dữ liệu của Active Directory
Để tiến hành chúng ta sẽ làm theo các bước dưới đây:
Bước 1: Backup Active Directory
Vào Run gõ ntbackup hệ thống sẽ hiện cửa sổ sau đây
Trang 22Bạn chọn Advanced Mode (dòng chữ màu xanh) sẽ xuất hiện cửa sổ
Backup Utility, chọn Tab Backup sẽ được cửa sổ như hình dưới đây
Bạn muốn backup Active Directory bạn cần phải Backup System State Để
ý thấy khi backup System State sẽ bao gồm rất nhiều thông tin: Active Directory, Boot Files, Registry, SYSVOL…
Sau khi chọn System State, cần phải thiết lập nơi chứa file Backup, ở đây
tôi chọn là lưu tại ổ C: và tên file là Backup.bkf
Nhấn Start Backup để bắt đầu Backup dữ liệu
Khi nhấn Start Backup hệ thống sẽ bật ra cửa sổ như hình dưới đây bạn chọn Start Backup để bắt đầu thực hiện backup
Trang 23Cửa sổ hiển thị quá trình Backup đang được thực hiện, bạn đợi một lát để
hệ thống hoàn thành công việc
Step 2 – Xoá dữ liệu trong Active Directory
Sau khi hệ thống kết thúc việc Backup System State bạn vào Active Directory (như cách vào bên trên) chuột phải vào OU học sinh chọn Delete, để xoá dữ liệu trong Active Directory
Trang 24Step 3 – Restore Acitve Directory
Như tôi trình bày ở trên, bạn không thể thực hiện Restore để thao tác lên các dữ liệu đang hoạt động, giờ tôi phải khởi động lại máy chủ Domain Controller Trong lúc máy tính đang khởi động nhấn F8 để chọn các Mode của
hệ thống như cách vào Safe Mode Trong Menu các Mode tôi phải chọn
"Directory Service Restore Mode" - Bạn bắt buộc phải chọn mode này bởi khi bạn lựa chọn Mode này mặc định Service Active Directory sẽ bị tắt và bạn có thể thao tác bằng các tác vụ khác vào dữ liệu của Active Directory được
Khi chọn khởi động từ "Directory Service Restore Mode" hệ thống sẽ yêu cầu gõ User name và Password Ta nhập bình thường như hang ngày để vào môi trường Windows
Vào Run nhập ntbackup, trong cửa sổ ntbackup chọn tab Restore Chọn System State để restore Nhấn Start Restore để hệ thống bắt đầu lấy lại dữ liệu như lúc Backup
Trang 25Dưới đây là cửa sổ hệ thống đang Restore lại System State
Sau khi hệ thống Restore hoàn tất sẽ yêu cầu khởi động lại máy tính.Lần này bạn để máy tính khởi động vào bình thường và công việc cuối cùng của chúng
ta là xem lại xem OU hocsinh và các User trong OU xem có còn hay không Thật may mắn là mọi thứ lại như cũ
Trang 26mạng và truy cập các tài nguyên mạng mà mình được phép
1.1 Tài khoản người dùng cục bộ
Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ Nếu muốn truy cập các tài nguyên trên mạng thì
người dùng này phải chứng thực lại với máy Domain Controller hoặc máy
tính chứa tài nguyên chia sẻ Bạn tạo tài khoản người dùng cục bộ với công cụ
Local Users and Group trong Computer Management (compmgmt.msc) Các tài khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager) Tập tin SAM này được đặt trong thư mục
\Windows\system32\config
Hình 3.1: lưu trữ thông tin tài khoản người dùng cục bộ
1.2 Tài khoản người dùng miền
Tài khoản người dùng miền (domain user account) là tài khoản người dùng
được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào
mạng trên bất kỳ máy trạm nào thuộc domain Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng Bạn tạo tài khoản
người dùng miền với công cụ Active Directory Users and Computer (dsa.msc) Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục
\Windows\NTDS
Trang 27Hình 3.2: lưu trữ thông tin tài khoản người dùng miền
1.3 Yêu cầu về tài khoản người dùng
Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên
đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ
điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự)
Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên
của người dùng và nhóm không được trùng nhau
Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm
câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới Tuy nhiên, nên tránh các khoảng trắng vì những tên như thế phải đặt trong dấu ngoặc khi dùng các kịch bản hay dòng lệnh
2 Tài khoản nhóm
Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm
người nào đó, dùng cho việc quản lý chung các đối tượng người dùng Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập
mà chỉ dùng để quản lý Tài khoản nhóm được chia làm hai loại: nhóm bảo mật
(security group) và nhóm phân phối (distribution group)
2.1 Nhóm bảo mật
Nhóm bảo mật là loại nhóm được dùng để cấp phát các quyền hệ thống (rights)
và quyền truy cập (permission) Giống như các tài khoản người dùng, các
nhóm bảo mật đều được chỉ định các SID (Security Identifier – số nhận diện bảo
mật)
Có ba loại nhóm bảo mật chính là: local, global và universal Tuy nhiên nếu chúng ta khảo sát kỹ thì có thể phân thành bốn loại như sau: local, domain local, global và universal
Trang 28local group này có mặt trên miền nên được gọi với cái tên nhóm cục bộ miền Các nhóm trong mục Built-in của Active Directory là các domain local
Global group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong Active Directory và được tạo trên các Domain Controller Chúng dùng
để cấp phát những quyền hệ thống và quyền truy cập vượt qua những ranh giới
của một miền Một nhóm global có thể đặt vào trong một nhóm local của các server thành viên trong miền Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng công việc của Global Catalog
Universal group (nhóm phổ quát) là loại nhóm có chức năng giống như global group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp các
miền trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau
Loại nhóm này tiện lợi hơn hai nhóm global group và local group vì chúng dễ
dàng lồng các nhóm vào nhau Nhưng chú ý là loại nhóm này chỉ có thể dùng
được khi hệ thống của bạn phải hoạt động ở chế độ Windows 2000 native functional level hoặc Windows Server 2003 functional level có nghĩa là tất
cả các máy Domain Controller trong mạng đều phải là Windows Server 2003 hoặc Windows 2000 Server
2.2 Nhóm phân phối
Nhóm phân phối là một loại nhóm phi bảo mật, không có SID và không xuất hiện trong các ACL (Access Control List) Loại nhóm này không được
dùng bởi các nhà quản trị mà được dùng bởi các phần mềm và dịch vụ Chúng
được dùng để phân phố thư (e-mail) hoặc các tin nhắn (message) Bạn sẽ gặp lại loại nhóm này khi làm việc với phần mềm MS Exchange
Nhóm Global và Universal có thể đặt vào trong nhóm Domain local
Nhóm Global có thể đặt vào trong nhóm Universal
Trang 29Quy tắc gia nhập nhóm
4.2 Chứng thực và kiểm soát truy cập
1 Các giao thức chứng thực
Chứng thực trong Windows Server 2003 là quy trình gồm hai giai đoạn:
đăng nhập tương tác và chứng thực mạng Khi người dùng đăng nhập vùng bằng tên và mật mã, quy trình đăng nhập tương tác sẽ phê chuẩn yêu cầu truy cập của người dùng Với tài khoản cục bộ, thông tin đăng nhập được chứng thực cục bộ và người dùng được cấp quyền truy cập máy tính cục bộ Với tài
khoản miền, thông tin đăng nhập được chứng thực trên Active Directory và
người dùng có quyền truy cập các tài nguyên trên mạng Như vậy với tài khoản người dùng miền ta có thể chứng thực trên bất kỳ máy tính nào trong miền
Windows 2003 hỗ trợ nhiều giao thức chứng thực mạng, nổi bật nhất là:
- Kerberos V5: là giao thức chuẩn Internet dùng để chứng thực người
2 Số nhận diện bảo mật SID
Tuy hệ thống Windows Server 2003 dựa vào tài khoản người dùng để mô
tả các quyền hệ thống và quyền truy cập nhưng thực sự bên trong hệ thống mỗi
tài khoản được đặc trưng bởi một con số nhận dạng bảo mật SID SID là thành
phần nhận dạng không trùng lặp, được hệ thống tạo ra đồng thời với tài khoản
và dùng riêng cho hệ thống xử lý, người dùng không quan tâm đến các giá trị
này SID bao gồm phần SID vùng cộng thêm với một RID của người dùng không trùng lặp SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID”, khi đó tất cả các SID trong miền đều có cùng giá trị D1, D2, D3, nhưng giá trị RID là khác nhau Hai mục đích chính của việc hệ thống sử dụng SID là:
- Dễ dàng thay đổi tên tài khoản người dùng mà các quyền hệ thống và quyền truy cập không thay đổi
- Khi xóa một tài khoản thì SID của tài khoản đó không còn giá trị nữa, nếu
chúng ta có tạo một tài khoản mới cùng tên với tài khoản vừa xóa thì các quyền
Trang 30mật ACE (Access Control Entry) Chức năng của bộ mô tả bảo mật bao gồm:
- Liệt kê người dùng và nhóm nào được cấp quyền truy cập đối tượng
- Định rõ quyền truy cập cho người dùng và nhóm
- Theo dõi các sự kiện xảy ra trên đối tượng
- Định rõ quyền sở hữu của đối tượng
Các thông tin của một đối tượng Active Directory trong bộ mô tả bảo mật được xem là mục kiểm soát hoạt động truy cập ACE Một ACL (Access Control List) chứa nhiều ACE, nó là danh sách tất cả người dùng và nhóm có quyền truy cập đến đối tượng ACL có đặc tính kế thừa, có nghĩa là thành viên
của một nhóm thì được thừa hưởng các quyền truy cập đã cấp cho nhóm này
4.3 Các tài khoản tạo sẵn
1 Tài khoản người dùng tạo sẵn
Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server 2003 thì mặc định được tạo ra Tài khoản này là
tài khoản hệ thống nên chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi tên (chú ý thao tác đổi tên trên những tài khoản hệ thống phức tạp một chút
so với việc đổi tên một tài khoản bình thường do nhà quản trị tạo ra) Tất cả các
tài khoản người dùng tạo sẵn này đều nằng trong Container Users của công cụ Active Directory User and Computer Sau đây là bảng mô tả các tài khoản
người dùng được tạo sẵn:
Administrator
Administrator là một tài khoản đặc biệt, có toàn
quyền trên máy tính hiện tại Bạn có thể đặt mật khẩu
cho tài khoản này trong lúc cài đặt Windows Server
2003 Tài khoản này có thể thi hành tất cả các tác vụ
như tạo tài khoản người dùng, nhóm, quản lý các tập tin hệ thống và cấu hình máy in…
Guest
Tài khoản Guest cho phép người dùng truy cập vào
các máy tính nếu họ không có một tài khoản và mật
mã riêng Mặc định là tài khoản này không được sử dụng, nếu được sử dụng thì thông thường nó bị giới
hạn về quyền, ví dụ như là chỉ được truy cập Internet
hoặc in ấn
ILS_Anonymous_
User
Là tài khoản đặc biệt được dùng cho dịch vụ ILS ILS
hỗ trợ cho các ứng dụng điện thoại có các đặc tính
như: caller ID, video conferencing, conference
Trang 31calling, và faxing Muốn sử dụng ILS thì dịch vụ IIS
phải được cài đặt
Krbtgt Là tài khoản đặc biệt được dùng cho dịch vụ trung tâm
phân phối khóa (Key Distribution Center)
TSInternetUser Là tài khoản đặc biệt được dùng cho Terminal Services
2 Tài khoản nhóm Domain Local tạo sẵn
Nhưng chúng ta đã thấy trong công cụ Active Directory User and Computers, container Users chứa nhóm universal, nhóm domain local và nhóm global là do hệ thống đã mặc định quy định trước Nhưng một số nhóm domain local đặc biệt được đặt trong container Built-in, các nhóm này không được di chuyển sang các OU khác, đồng thời nó cũng được gán một số quyền
cố định trước nhằm phục vụ cho công tác quản trị Bạn cũng chú ý rằng là không có quyền xóa các nhóm đặc biệt này
Nhóm này chỉ có trên các Domain Controller và mặc định
không có thành viên nào, thành viên của nhóm có thể đăng
nhập cục bộ vào các Domain Controller nhưng không có
quyền quản trị các chính sách bảo mật
Backup
operators
Thành viên của nhóm này có quyền lưu trữ dự phòng
(Backup) và phục hồi (Retore) hệ thống tập tin Trong trường hợp hệ thống tập tin là NTFS và họ không được gán quyền
trên hệ thống tập tin thì thành viên của nhóm này chỉ có thể
truy cập hệ thống tập tin thông qua công cụ Backup Nếu
muốn truy cập trực tiếp thì họ phải được gán quyền
Trang 32Directory Services, nhóm này không có thành viên mặc định
Thành viên nhóm này có quyền truy cập từ xa để ghi nhận lại
những giá trị về hiệu năng của các máy Domain Controller,
nhóm này cũng không có thành viên mặc định
các dịch vụ, chúng ta sẽ tìm hiểu cụ thể trong từng dịch vụ ở giáo trình “Dịch
Vụ Mạng” Chú ý theo mặc định hai nhóm Domain Computers và Domain Controllers được dành riêng cho tài khoản máy tính, nhưng bạn vẫn có thể đưa
tài khoản người dùng vào hai nhóm này
3 Tài khoản nhóm Global tạo sẵn
Domain Users Theo mặc định mọi tài khoản người dùng trên miền đều là thành viên của nhóm này Mặc định nhóm này là thành viên
Trang 33của nhóm cục bộ Users trên các máy server thành viên và máy trạm
Group Policy
Creator Owners
Thành viên nhóm này có quyền sửa đổi chính sách nhóm của
miền, theo mặc định tài khoản administrator miền là thành
viên của nhóm này
Enterprise
Admins
Đây là một nhóm universal, thành viên của nhóm này có
toàn quyền trên tất cả các miền trong rừng đang xét Nhóm này chỉ xuất hiện trong miền gốc của rừng thôi Mặc định
nhóm này là thành viên của nhóm administrators trên các Domain Controller trong rừng
Schema
Admins
Nhóm universal này cũng chỉ xuất hiện trong miền gốc của
rừng, thành viên của nhóm này có thể chỉnh sửa cấu trúc tổ
chức (schema) của Active Directory
4 Các nhóm tạo sẵn đặc biệt
Ngoài các nhóm tạo sẵn đã trình bày ở trên, hệ thống Windows Server
2003 còn có một số nhóm tạo sẵn đặt biệt, chúng không xuất hiện trên cửa sổ của công cụ Active Directory User and Computer, mà chúng chỉ xuất hiện trên các ACL của các tài nguyên và đối tượng Ý nghĩa của nhóm đặc biệt này
là:
- Interactive: đại diện cho những người dùng đang sử dụng máy tại chỗ
- Network: đại diện cho tất cả những người dùng đang nối kết mạng đến
một máy tính khác
- Everyone: đại diện cho tất cả mọi người dùng
- System: đại diện cho hệ điều hành
- Creator owner: đại diện cho những người tạo ra, những người sở hữa một tài nguyên nào đó như: thư mục, tập tin, tác vụ in ấn (print job)…
- Authenticated users: đại diện cho những người dùng đã được hệ thống
xác thực, nhóm này được dùng như một giải pháp thay thế an toàn hơn cho
4.4 Quản lý tài khoản người dùng và nhóm trên AD
1 Tạo mới tài khoản người dùng
Bạn có thể dùng công cụ Active Directory User and Computers trong Administrative Tools ngay trên máy Domain Controller để tạo các tài khoản
người dùng miền Công cụ này cho phép bạn quản lý tài khoản người dùng từ
xa thậm chí trên các máy trạm không phải dùng hệ điều hành Server như WinXP, Win2K Pro Muốn thế trên các máy trạm này phải cài thêm bộ công
Trang 34Hộp thoại New Object-User xuất hiện như hình sau, bạn nhập tên mô tả người dùng, tên tài khoản logon vào mạng Giá trị Full Name sẽ tự động phát sinh khi bạn nhập giá trị First Name và Last Name, nhưng bạn vẫn có thể thay đổi được Chú ý: giá trị quan trọng nhất và bắt buộc phải có là logon name (username) Chuỗi này là duy nhất cho một tài khoản người dùng theo như định nghĩa trên phần lý thuyết Trong môi trường Windows 2000 và 2003, Microsoft đưa thêm một khái niệm hậu tố UPN (Universal Principal Name), trong ví dụ này là “@netclass.edu.vn” Hậu tố UPN này gắn vào sau chuỗi username dùng để tạo thành một tên username đầy đủ dùng để chứng thực ở
cấp rừng hoặc chứng thực ở một miền khác có quan hệ tin cậy với miền của
người dùng đó, trong ví dụ này thì tên username đầy đủ là
“tuan@netclass.edu.vn” Ngoài ra trong hộp thoại này cũng cho phép chúng
ta đặt tên username của tài khoản người dùng phục vụ cho hệ thống cũ Windows 2000) Sau khi việc nhập các thông tin hoàn thành bạn nhấp chuột vào nút Next để tiếp tục
Trang 35(pre-Hộp thoại thứ hai xuất hiện, cho phép bạn nhập vào mật khẩu (password)
của tài khoản người dùng và đánh dấu vào các lựa chọn liên quan đến tài khoản như: cho phép đổi mật khẩu, yêu cầu phải đổi mật khẩu lần đăng nhập đầu tiên hay khóa tài khoản Các lựa chọn này chúng ta sẽ tìm hiểu chi tiết ở phần tiếp theo
Hộp thoại cuối cùng xuất hiện và nó hiển thị các thông tin đã cấu hình cho người dùng Nếu tất cả các thông tin đã chính xác thì bạn nhấp chuột vào nút
Finish để hoàn thành, còn nếu cần chỉnh sửa lại thì nhấp chuột vào nút Back để
trở về các hộp thoại trước
Trang 362 Các thuộc tính của tài khoản người dùng
Muốn quản lý các thuộc tính của các tài khoản người ta dùng công cụ
Active Directory Users and Computers, sau đó chọn thư mục Users và nhấp đôi chuột vào tài khoản người dùng cần khảo sát Hộp thoại Properties xuất hiện, trong hộp thoại này chứa 12 Tab chính, ta sẽ lần lượt khảo sát các Tab này Ngoài ra bạn có thể gom nhóm (dùng hai phím Shift, Ctrl) và hiệu chỉnh
thông tin của nhiều tài khoản người dùng cùng một lúc
2.1 Các thông tin mở rộng của người dùng
Tab General chứa các thông tin chung của người dùng trên mạng mà bạn
đã nhập trong lúc tạo người dùng mới Đồng thời bạn có thể nhập thêm một số thông tin như: số điện thoại, địa chỉ mail và trang địa chỉ trang Web cá nhân…
Trang 37Tab Address cho phép bạn có thể khai báo chi tiết các thông tin liên quan
đến địa chỉ của tài khoản người dùng như: địa chỉ đường, thành phố, mã vùng, quốc gia…
Tab Telephones cho phép bạn khai báo chi tiết các số điện thoại của tài
Trang 38Tab Organization cho phép bạn khai báo các thông tin người dùng về:
chức năng của công ty, tên phòng ban trực thuộc, tên công ty …
Trang 392.2 Tab Account
Tab Account cho phép bạn khai báo lại username, quy định giờ logon vào
mạng cho người dùng, quy định máy trạm mà người dùng có thể sử dụng để
vào mạng, quy định các chính sách tài khoản cho người dùng, quy định thời
điểm hết hạn của tài khoản…
Điều khiển giờ logon vào mạng: bạn nhấp chuột vào nút Logon Hours, hộp thoại Logon Hours xuất hiện Mặc định tất cả mọi người dùng đều được phép
truy cập vào mạng 24 giờ mỗi ngày, trong tất cả 7 ngày của tuần Khi một
người dùng logon vào mạng thì hệ thống sẽ kiểm tra xem thời điểm này có nằm
trong khoảng thời gian cho phép truy cập không, nếu không phù hợp thì hệ
thống sẽ không cho vào mạng và thông báo lỗi Unable to log you on because
of an account restriction Bạn có thể thay đổi quy định giờ logon bằng cách chọn vùng thời gian cần thay đổi và nhấp chuột vào nút lựa chọn Logon Permitted, nếu ngược lại không cho phép thì nhấp chuột vào nút lựa chọn Logon Denied Sau đây là hình ví dụ chỉ cho phép người dùng làm việc từ 7h
sáng đến 5h chiều, từ thứ 2 đến thứ 6 Chú ý: mặc định người dùng không bị
logoff tự động khi hết giờ đăng nhập nhưng bạn có thể điều chỉnh điều này tại mục Automatically Log Off Users When Logon Hours Expire trong Group Policy phần Computer Configuration\ Windows Settings\Security Settings\ Local Policies\ Security Option Ngoài ra bạn cũng có cách khác để điều
Trang 40Chọn lựa máy trạm được truy cập vào mạng: bạn nhấp chuột vào nút Log
On To, bạn sẽ thấy hộp thoại Logon Workstations xuất hiện Hộp thoại này cho phép bạn chỉ định người dùng có thể logon từ tất cả các máy tính trong mạng hoặc giới hạn người dùng chỉ được phép logon từ một số máy tính trong
mạng Ví dụ như người quản trị mạng làm việc trong môi trường bảo mật nên
tài khoản người dùng này chỉ được chỉ định logon vào mạng từ một số máy
tránh tình trạng người dùng giả dạng quản trị để tấn công mạng Muốn chỉ định
máy tính mà người dùng được phép logon vào mạng, bạn nhập tên máy tính đó vào mục Computer Name và sau đó nhấp chuột vào nút Add
Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản người dùng: