TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: QUẢN TRỊ MẠNG Chương 8: TRIỂN KHAI QUẢN TRỊ MẠNG AD-DS TẠI DOANH NGHIỆP Số tín chỉ: Số tiết: 60 tiết (30 LT + 30 TH) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn NỘI DUNG • Quy trình triển khai hệ quản trị mạng • Triển khai hệ thống AD-DS đơn giản • Quản trị tình phát sinh • Tăng cường bảo mật hệ thống • Duy trì hoạt động AD-DS • Triển khai AD-DS quy mơ lớn Quy trình triển khai hệ quản trị mạng • Nguyên tắc: • Hệ quản trị mạng triển khai hạ tầng có sẵn: • Hạ tầng truyền dẫn có sẵn • Máy tính người dùng có sẵn • Server có sẵn mua theo dự án • Đảm bảo vấn đề quyền Hệ điều hành Windows Server • Tận dụng tối đa tính có sẵn hệ AD-DS Windows Server cho giải pháp Quy trình triển khai hệ quản trị mạng • Quy trình triển khai hệ quản trị mạng Khảo sát thu thập nhu cầu Đề xuất giải pháp quản trị mạng Triển khai giải pháp Vận hành thử Bàn giao Giám sát, bảo trì, nâng cấp Quy trình triển khai hệ quản trị mạng • Khảo sát thu thập nhu cầu • Khảo sát trạng: • Số lượng máy tính, server • Số lượng người dùng • Cấu trúc tổ chức hành chánh, quyền hạn người dùng • Thu thập nhu cầu: • Các nhu cầu sử dụng người dùng • Các nhu cầu phần mềm • Các nhu cầu bảo mật • Các nhu cầu quản trị mạng Quy trình triển khai hệ quản trị mạng • Đề xuất giải pháp quản trị mạng • Giải pháp: • Mơ hình mạng • Số lượng máy Server kèm theo mục đích sử dụng • Mơ hình tổ chức quản trị, • Các cơng nghệ, kỹ thuật đáp ứng nhu cầu • Tài liệu hướng dẫn, tập huấn • Chi phí: • Chi phí máy móc, thiết bị • Chi phí quyền • Chi phí triển khai, tập huấn, bảo tri, hỗ trợ kỹ thuật • Đàm phán ký kết hợp đồng • Đề cao khả đáp ứng nhu cầu giải pháp • Các khả mở rộng tương lai Quy trình triển khai hệ quản trị mạng • Triển khai giải pháp • Mua sắm, lắp đặt máy tính, server, mạng • Cài đặt cấu hình • Triển khai cơng nghệ giải pháp • Vận hành thử • Vận hành thử hệ quản mạng • Giả lập nhu cầu – cấu hình đáp ứng nhu cầu • Giả lập cố - đánh giá khả khắc phục • Lập báo cáo đánh giá vận hành • Bàn giao • Bàn giao tài liệu triển khai, quản trị • Tập huấn, hỗ trợ vận hành, quản lý Triển khai hệ thống AD-DS đơn giản • Khảo sát thu thập nhu cầu: • Công ty ABC có 30 máy tính 50 người dùng • Các phịng ban: Giám đốc, Kế tốn, Kinh doanh, Thiết kế… • Một số máy tính có nhiều người dùng chung (theo ca làm việc) • Tất dùng internet • Nhu cầu lưu trữ liệu: • Có liệu dùng chung tồn cơng ty • Có liệu dành cho Kế tốn Kinh doanh • Có liệu dành riêng Phịng, ban • Có liệu cá nhân • Đa phần, liệu Excel, Word, PDF, hình ảnh… Triển khai hệ thống AD-DS đơn giản • Giải pháp quản trị mạng: • Mơ hình mạng: • Mơ hình quản trị AD-DS: Triển khai hệ thống AD-DS đơn giản • Giải pháp quản trị mạng: • Tổ chức OU, Users, Group: • Mỗi đơn vị hành chánh OU (Organization Unit) • Các máy tính (đã join vào domain) di chuyển vào OU tương ứng theo đơn vị hành chánh • Các tài khoản Users tạo đặt OU tương ứng • Tạo Groups tương ứng đơn vị hành chánh Ghi danh Users đơn vị vào group 10 Triển khai hệ thống AD-DS đơn giản • Triển khai hệ quản trị mạng AD-DS: • Chia sẻ liệu từ File Server (máy DC kiêm nhiệm): • Tạo Folder File Server • Chia sẻ phân quyền truy cập theo nhu cầu • Minh họa: : Folder DUNG-CHUNG: Share permissions: Domain Users – Full control Folder KE_TOAN: Share permissions: Ke-toan-group – Full control Folder THIET-KE: Share permissions: Thiet-ke-group – Full control 13 Triển khai hệ thống AD-DS đơn giản • Triển khai hệ quản trị mạng AD-DS: • Cấu hình Home Folder cho người dùng có nhu cầu • Tạo thư mục HOMES File Server • Chia sẻ cho Domain Users quyền Read • Dùng cơng cụ “Active Directory Users and Computers” để triển khai Home Folder cho Users • Cấu hình User profile cho người dùng có nhu cầu • Tạo thư mục PROFILES File Server • Chia sẻ cho Domain Users quyền Read • Dùng công cụ “Active Directory Users and Computers” để triển khai User Profile cho Users 14 Quản trị tình phát sinh • Xử lý tình liên quan File Server (FS): • Tình 1: • Người dùng than phiền: có nhiều Folder họ truy cập vào FS • Giải pháp: kích hoạt tính ABE (Access-Based Enumeration) File Server • Tình 2: • Người dùng Laptop muốn truy cập Folder chia sẻ FS họ mang máy nhà • Giải pháp: kích hoạt tính Offline File cho thư mục chia sẻ • Tình 3: • Một số người dùng vơ tình xóa liệu họ lưu trữ FS Họ muốn người quản trị cứu lại liệu bị xóa • Giải pháp: kích hoạt trước tính Volume Shadow Copy ổ đĩa chứa thư mục chia sẻ FS 15 Quản trị tình phát sinh • Xử lý tình liên quan File Server (FS): • Tình 4: • Người dùng than phiền: file / folder họ lưu DUNG-CHUNG bị người khác xóa • Giải pháp: kích hoạt tính NTFS Permissions để phân quyền lại thư mục DUNG-CHUNG File Server • Minh họa: phân quyền NTFS Permissions thư mục DUNG-CHUNG Users / Group Domain Users CREATOR OWNER Domain Users Permissions Apply To Create File / Folder This folder only Full control This folder, sub-folder and files Read This folder, sub-folder and files 16 Quản trị tình phát sinh • Xử lý tình liên quan File Server (FS): • Tình 5: • Một số người dùng lợi dụng FS để lưu trữ liệu nhân, làm cho FS tiêu tốn khơng gian lưu trữ • Giải pháp: cài đạt dịch vụ FSRM (File Server Resource Management) File Server thiết lập chức Quota để hạn chế dung lượng • Tình 6: • Một số phần mềm độc hại lợi dụng thư mục DUNG-CHUNG FS để lây lan sang máy tính khác • Giải pháp: thiết lập chức File Screening (trong dịch vụ FSRM) ngăn chặn file thực thi (EXE, VBS…) lưu vào fodder chia sẻ 17 Quản trị tình phát sinh • Xử lý tình liên quan tài khoản User • Tình 7: • Nhân A Phịng Thiết kế thường lại buổi tối để chơi game Cần ngăn chặn việc • Giải pháp: điều chỉnh thuộc tính “Logon hour” tài khoản A • Tình 8: • Trưởng Phịng Kế tốn u cầu: nhân viên phép sử dụng máy tính họ họ cấp Khơng dùng máy người khác • Giải pháp: điều chỉnh thuộc tính “Logon to” tài khoản thuộc Phịng Kế tốn 18 Quản trị tình phát sinh • Xử lý tình GPO • Tình 9: • Cơng ty cần cài đặt phần mềm QLDN tất máy tính • Giải pháp: sử dụng GPO (Group Policy Object), chức “Software Installation” để triển khai phần mềm QLDN cho tất máy tính hệ thống • Tình 10: • Tất người dùng phản hồi rằng: chạy phần mềm QLDN nhận thơng báo “Quyền truy cập hệ thống bị cấm” • Giải pháp: sử dụng GPO, chức “Restriction Group” để: Đưa tài khoản người dùng phần mềm (Domain Users) Làm thành viên Group “Power Users” (thuộc local group) 19 Tăng cường bảo mật hệ thống • Tăng cường bảo mật tài khoản: • Chính sách mật khẩu: • Chiều dài tối thiểu • Tuổi thọ • Yêu cầu phức tạp • Số mật phải có trước dùng lại mật cũ • Chính sách khóa tài khoản: • Số lần nhập mật sai -> khóa tài khoản • Thời gian đếm số lần nhập sai • Thời gian khóa 20 Tăng cường bảo mật hệ thống • Tăng cường bảo mật Windows: • Kích hoạt cấu hình cơng cụ bảo mật có sẵn: • Dùng GPO để ép buộc kích hoạt cơng cụ bảo mật: Windows Firewall, Defender, User Account Control • Dùng GPO cấu hình cơng cụ bảo mật cho phù hợp • Khống chế tác vụ gây nguy hại đến Windows: • Dùng GPO để áp đặt sách • Ngăn chặn shutdown máy từ xa • Cấm logon locally local users • Ngăn chặn groups truy cập máy tính qua mạng (network access) • Cấm hiệu chỉnh Registry • Cấm người dùng sử dụng công cụ Disk Management • Ln kích hoạt chức Auto Update 21 Duy trì hoạt động AD-DS • An tồn cho thao tác người quản trị • Người quản trị lỡ tay xóa nhầm đối tượng mạng • Active Directory Recycle Bin: nơi chứa đối tượng mạng bị xóa • Chỉ có phiên Windows Server 2012 sau • Phải kích hoạt trước • Cơng cụ “Active Directory Administrative Center” • “Enable Active Directory Recycle Bin”: kích hoạt lần • OU=Deleted Objects: chứa đối tượng bị xóa 22 Duy trì hoạt động AD-DS • Nâng cao tính sẵn sàng cho Domain Controller • Sự cố: • Mạng AD-DS có DC • Nếu DC bị lỗi => sập mạng • Nếu DC cần bảo trì => mạng dừng hoạt động • Giải pháp triển khai: • Bổ sung thêm DC (Additional DC) • Kích hoạt Global Catalog DNS cho ADC • Vân hành: • Khi cần bảo trì DC: transfer FSMO roles sang DC cịn lại • Khi cần nâng cấp DC: Transfer FSMO roles sang DC-B Nâng cấp DC-A Transfer FSMO roles từ DC-B DC-A 23 Triển khai AD-DS quy mơ lớn • Giải pháp cho Domain có nhiều Site: • Mỗi Site có máy ADC • Kích hoạt Global Catalog cho ADC • Kích hoạt DNS server cho ADC • Cấu hình Sites Subnets: • Tạo Sites tương ứng thực tế • Di chuyển DC vào Site tương ứng • Định nghĩa IP Subnets cho Site • Vấn đề Site link Replication: • Tạo Site link tương ứng thực tế • Tạo Connection máy DCs dựa Site link thực tế • Điều chỉnh thời gian đồng theo chu kỳ (Replication Interval) • Có thể dùng Replication now muốn đồng tức thịi 24 Triển khai AD-DS quy mơ lớn • Giải pháp AD-DS cho nhiều Domain: • Nhu cầu: • Thành lập thêm miền quản trị (new domain) • Miền quản trị chịu quản lý miền hữu • Giải pháp Parent-Child Domain: • Nếu miền quản trị dùng tên miền miền quản trị hữu 25 Triển khai AD-DS quy mô lớn • Giải pháp AD-DS cho nhiều Domain: • Giải pháp Tree-Root Domain: • Nếu miền quản trị dùng tên miền riêng khác với miền quản hữu 26 Cám ơn ! 27