TRƯỜNG ĐẠI HỌC MỞ HÀ NỘIKHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO BÀI TẬP LỚN MÔN QUẢN TRỊ MẠNG Đề tài: Giới thiệu và các thao tác quản trị với Active Directory trong Windows Server 2012 Giáo Viê
Trang 1TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO BÀI TẬP LỚN MÔN
QUẢN TRỊ MẠNG
Đề tài: Giới thiệu và các thao tác quản trị với Active Directory trong
Windows Server 2012 Giáo Viên: Nguyễn Thành Huy
Thành viên: Nguyễn Việt Anh – 2010A03
Lê Như Tú – 2010A03
Hà nội, 2022
Trang 2Thành viên Phân công công việc Nguyễn Việt Anh Giới thiệu về AD,đơn vị cơ bản, tính
năng AD, các thành phần AD,ưu nhược điểm AD, thao tác DNS, Active Directory Site and Services, Active Directory Users and Computers
Trang 3I Giới thiệu Active Directory
1 Active Directory là gì
- Active Directory (AD) là dịch vụ thư mục độc quyền củaMicrosoft Nó chạy trên Windows Server và cho phép userquản trị viên quản lý quyền truy cập vào tài nguyên mạng
- Active Directory lưu trữ dữ liệu dưới dạng các đối tượng.Đối tượng ở đây là một phần tử đơn lẻ, chẳng hạn như user,group user, ứng dụng hoặc thiết bị như máy in Các đối tượngthường được định nghĩa là tài nguyên, chẳng hạn như máy in,máy tính hoặc các công cụ dùng để bảo mật và user hoặcgroup user
- Active Directory phân loại các đối tượng thư mục theo tên vàthuộc tính Ví dụ: tên của người dùng có thể bao gồm chuỗitên, cùng với thông tin được liên kết với người dùng, chẳnghạn như mật khẩu và khóa Secure Shell (SSH)
- Dịch vụ chính trong Active Directory là DomainServices (AD DS), dịch vụ lưu trữ thông tin thư mục và xử lýtương tác của người dùng với domain AD DS xác minhquyền truy cập khi người dùng đăng nhập vào thiết bị hoặc
cố gắng kết nối với máy chủ qua mạng Domain Services cóthể kiểm soát từng người dùng có quyền truy cập vào từng tàinguyên, cũng như các chính sách nhóm Ví dụ: quản trị viênthường có thể truy cập dữ liệu của nhiều người dùng khácnhau
2 Tại sao cần thực thi Active Directory?
- Có một số lý do để lý giải cho câu hỏi trên Microsoft ActiveDirectory được xem như là một bước tiến triển đáng kể sovới Windows NT Server 4.0 domain hay thậm chí các mạngmáy chủ standole Active Directory có một cơ chế quản trịtập trung trên toàn bộ mạng Nó cũng cung cấp khả năng dự
Trang 4phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiềudomain controller được triển khai trong một domain.
- Active Directory sẽ tự động quản lý sự truyền thông giữa cácdomain controller để bảo đảm mạng được duy trì Ngườidùng có thể truy cập vào tất cả tài nguyên trên hệ thông qua
cơ chế đăng nhập một lần Tất cả tài nguyên trong mạngđược bảo vệ bởi một cơ chế bảo mật khá mạnh, cơ chế bảomật này có thể kiểm tra nhận dạng người dùng và quyền hạncủa mỗi truy cập đối với tài nguyên
- Active Directory cho phép tăng cấp, hạ cấp các domaincontroller và các máy chủ thành viên một cách dễ dàng Các
hệ thống có thể được quản lý và được bảo vệ thông qua cácchính sách nhóm Group Policies Đây là một mô hình tổ chức
có thức bậc linh hoạt, cho phép quản lý dễ dàng và ủy nhiệmtrách nhiệm quản trị Mặc dù vậy quan trọng nhất vẫn làActive Directory có khả năng quản lý hàng triệu đối tượngbên trong một miền
3 Những đơn vị cơ bản của Active Directory.
a) Directory: Là một kho lưu trữ duy nhất để biết thông tin
về người dùng và các tài nguyên trong một tổ chức.b) Domain: Là đơn vị chức năng nòng cốt của cấu trúc logic
AD Nó là phương tiện để quy định tập hợp những ngườidùng, máy tính, tài nguyên, chia sẻ có những quy tắc bảomật giống nhau từ đó giúp cho việc quản lý các truy cậpvào các server dễ dàng hơn Domain đáp ứng 3 chức năngchính sau: đóng vai trò như một khu vực quản trị các đốitượng, giúp chúng ta quản lý bảo mật các tài nguyên chia
sẻ, cung cấp các server dự phòng làm chức năng điềukhiển vùng
Trang 5c) Domain controller: Giữ các thông tin bảo mật và cơ sở dữliệu đối tượng directory cho một domain cụ thể và có tráchnhiệm xác thực các đối tượng trong phạm vi kiểm soát của
họ Nhiều domain controller có thể được liên kết với mộtdomain nhất định, và mỗi domain controller giữ vai tròquyết định trong domain, tất cả domain controller trongmột miền là bình đẳng về quyền lực
d) Forest: là cấp cao nhất của hệ thống phân cấp tổ chức
“Organization Hierarchy” Forest là ranh giới an ninhtrong một tổ chức Một khu Forest cho phép phân quyềnđược ủy quyền trong một môi trường duy nhất Điều nàycung cấp cho quản trị viên các quyền “Permissions” vàquyền truy cập “Access Rights” đầy đủ, nhưng chỉ đối vớimột tập hợp con tài nguyên cụ thể Có thể chỉ sử dụng mộtkhu Forest duy nhất trên mạng Thông tin về Forest đượclưu trữ trên tất cả các bộ điều khiển tên miền “DomainControllers”, trong tất cả các tên miền “Domain”, trongForest “Forest”
e) Tree: là một nhóm các tên miền “Domain” Các tên miềntrong một Tree chia sẻ cùng một không gian tên gốc “RootName Space” Trong khi một Tree chia sẻ không gian tên
“Name Space”, các Tree không bị giới hạn về bảo mậthoặc sao chép
f) Organizational Unit: Một đơn vị tổ chức “OrganizationalUnits” cung cấp quyền phân nhóm đối với một tập hợpcon tài nguyên từ một tên miền “Domain” Một OU cungcấp một ranh giới bảo mật về các đặc quyền Privileges và
ủy quyền Authorization nâng cao, nhưng không giới hạnviệc sao chép các đối tượng AD
Trang 6g) Object: Có thể là 1 phần của AD, có thể là một user,group, thư mục chia sẻ, máy in, liên hệ, thậm chí là cả 1
OU Object có thể là 1 thực thể duy nhất trong directoryquản lý trực tiếp
h) Site: Là tập hợp các máy tính ở các vị trí địa lý khác nhau,được kết nối tối thiểu qua một liên kết Site thường đượcdùng để xác định cách điều khiển domain được cập nhậtliên tục
i) Trust: Là một phương pháp giao tiếp an toàn giữa cácdomain, tree, forest
j) Infrastructure Master và Global Catalog: là một wide FSMO có vai trò đáp trả trong quá trình tự động đểsửa lỗi bên trong cơ sở
domain-k) LDAP: là một giao thức phần mềm cho phép định vị các
tổ chức, cá nhân hoặc các tài nguyên khác như file và thiết
bị trong mạng, dù mạng của bạn là mạng Internet côngcộng hay mạng nội bộ trong công ty
l) Attribute: Một thuộc tính mô tả một đối tượng
m) Schema: Một schema định nghĩa danh sách các thuộc tínhdùng để mô tả một loại đối tượng nào đó
n)Container: Chứa các đối tượng và các vật chứa khác
4 Những tính năng của AD.
a) Centralized Data Store – Lưu trữ dữ liệu tập trung.b) Scalability – Khả năng linh hoạt với nhu cầu
c) Extensibility – Cơ sở dữ liệu của AD cho phép nhà quảntrị có thể customize và phát triển
d) Manageability – Khả năng quản trị linh hoạt dễ dàng.e) Integration with Domain Name System
f) Client Configuration Management: AD cung cấp một khảnăng quản trị các cấu hình phía client
Trang 7g) Policy – based administrator
h) Replication of information: Cung cấp khả năng đồng bộ
dữ liệu thông tin giữa các domain
i) Flexible, secure authentication and authorization: Xác thực
và hủy quyền linh hoạt, an toàn
j) Security intergration: Tích hợp bảo mật
k) Directory – enable application and infrastructure
l) Interoperability with other directory services: Khả năngtương tác với các dịch vụ thư mục khác
m) Signed and encrypted LDAP traffic
5 Ưu điểm và nhược điểm AD.
- Ưu điểm: Active Directory rất linh hoạt, cho phép kiến trúc
sư hệ thống xác định các phần tử như máy tính, máy chủmạng, vị trí, nhóm bảo mật và nhân viên theo cách phù hợpvới một tổ chức cụ thể Một trong những tính năng mạnh nhấtcủa nó trong các thực thể lớn là khả năng thực hiện nâng cấpphần mềm cho tất cả các máy tính trong doanh nghiệp.ActiveDirectory kiểm soát quyền truy cập vào từng máy hoặc phầnmềm được lưu trữ trên đám mây bằng cách sử dụng xác thực
Nó cho phép các tùy chọn bảo mật và quyền riêng tư chi tiết,rất quan trọng trong các trường hợp yêu cầu về quyền riêng
tư và kiểm toán do chính phủ ủy quyền
- Nhược điểm: Active Directory bao gồm các lỗ hổng bảo mậtđược Viện Tiêu chuẩn và Công nghệ Quốc gia xác định.Những điều đó đòi hỏi phải sửa chữa thường xuyên vì nhữngtiến bộ công nghệ xảy ra thúc đẩy các phương pháp tấn côngmạng mới
II Các thành phần của Active Directory.
1 Active Directory Lightweight Directory Services: Dịch vụ
thư mục nhẹ “Lightweight Directory”: của dịch vụ tên miền
Trang 8“Domain Services” loại bỏ một số chức năng phức tạp và nângcao để chỉ cung cấp chức năng dịch vụ thư mục cơ bản màkhông cần sử dụng bộ điều khiển tên miền “Domaincontrollers”, Forest hoặc tên miền “Domains” Thường được sửdụng trong các môi trường mạng văn phòng nhỏ, đơn lẻ.
2 Active Directory Certificate Services: Dịch vụ chứng nhận
của Active Directory “Certificate Services” cung cấp dịch vụchứng thực kỹ thuật số và hỗ trợ cơ sở hạ tầng khóa công khaiPKI “PKI – Public Key Infrastructure” Dịch vụ này có thể lưutrữ (Storage), xác thực (Validate), tạo (Create) và thu hồi(Revoke) thông tin đăng nhập khóa công khai được sử dụng để
mã hóa thay vì tạo khóa bên ngoài hoặc cục bộ
3 Active Directory Federation Services: Dịch vụ liên kết
“Federation Services” cung cấp dịch vụ ủy quyền và xác thựcđăng nhập một lần dựa trên web chủ yếu để sử dụng trong các tổchức Do đó, nhà thầu có thể đăng nhập vào mạng của chínhmình và cũng được phép truy cập vào mạng của khách hàng
4 Active Directory Rights Management Services: Đây là một
dịch vụ quyền quản lý “Rights Management Services” phá vỡ
sự ủy quyền dựa trên mô hình quyền truy cập được cấp “AccessGranted Model” hoặc mô hình truy cập bị từ chối “AccessDenied Model” và giới hạn những gì người dùng có thể làm vớicác tệp hoặc tài liệu cụ thể Các quyền (Rights) và hạn chế(Restrictions) được đính kèm với tài liệu hơn là người dùng.Các quyền này thường được sử dụng để ngăn việc in, sao chéphoặc chụp ảnh màn hình của tài liệu
III Các thao tác quản trị với AD.
1 Cài DNS.
Add Roles and features Chọn cài DNS Server
Trang 9Vào Control Panel Ở Network and Internet Click vào View network status and tasks Vào Ethernet0 Properties
Internet Protocol Version 4(TCP/IP) Thiết lập DNS chomáy chủ
Trang 10Tạo DNS Vào DNS Managent Click chuột phải vào tên máy chủ(WIN-JC66QA91VOT) New Zone để tạo 1 DNSmới Chọn Primary zone To all DNS server running on domain controller in this domain Forward lookup zone Viết tên miền mới.
Trang 132 Quản trị trong Active Directory Administrative Center: Cài trong Add roles and features
Trong Server Manager Tools Active Directory Administrative Center
Trang 14- Mục overview là trung tâm quản trị chính của AD này, chúng
ta có thể reset password người dùng lần tiếp theo khi nhập ở
ô RESET PASSWORD
- Add Navigation Nodes…
Manage Add Navigation Node
Trang 15- Tạo user, group, OU….: Click vào mụclocal(vietanhdemo) New User, group, OU….
Trang 163 Các thao tác quản trị trong Active Directory Site and Services
Vào Server Manage Tools Active Directory Site and Services
Trang 17- Tạo 1 site mới Click chuột phải vào Site New Site
Trang 18- Tạo 1 Subnet mới Click chuột phải vào Subnet New Subnet
- Trong Inter – Site Transports Click chuột phải vào IP New Site Link
Trang 194 Quản trị với Active Directory Users and Computers
Vào Server Manage Tools Active Directory Users and Computers
Trang 20- Trong domain( ở đây là vietanhdemo.hou) có thể tạo OU:Click chuột phải domain New Organizational Unit
Trang 21- Trong các OU( ví dụ: demo) có thể tạo các user và group:Click chuột phải demo User hoặc group.
Trang 22Ví dụ tạo user3.
Trang 23- Password phải là mạnh gồm có chữ hoa, chữ thường, số, ký
tự đặc biệt
Trang 24- User3 đã được tạo xong
Thử tạo 1 group vào add user 3 vào group đó
Trang 25Click chuột phải vào user3 Add to a group.
Trang 26Click vào Advanced Find now Tìm tên group cần add user3 vào.
Trang 27- Đã add thành công user vào group
Phân quyền cho user có thể đăng nhập và làm việc trong máy tính
Ở Start Window Administrative Tool Tìm Group Policy Management
Trang 29Click chuột phải vào Default Domain Controllers Policy Edit Computer Configuration Policies Windows Settings Security Local Policies User Rights Assignment.
Cấp cho user3 các quyền Add workstations to domain, Allow log
on locally, Back up files and directories, Force shutdown from a remote system Thì chúng ta sẽ đăng nhập được tài khoản người dùng vào máy
Trang 30- Apply để lưu.
Trang 32Cấp cho user3 quyền full control trong Active Directory Users and Computers
Vào Active Directory Users and Computers click chuột phải vào OU demo Delegate Control
Tìm user 3 để add vào phân quyền
Trang 34Ở mục Delegate the following common tasks chúng ta có thể phân quyền cho user3 một số quyền như tạo, xóa tài khoản, đọc thông tin người dùng, tạo, xóa các nhóm….
Ở mục create a custom task to delegate ta có thể cho user3 full control quyền điều khiển
Trang 36Vậy user3 đã có quyền full control giờ ta có thể đăng nhập user3
để kiểm tra