Chơng I Mở đầu 1.1. Giới thiệu chung về Windows 2000 Windows 2000 là phiên bản tiếp theo của NT 4 (NT4 đợc đa từ năm 1996). Nhng so với NT 4 , Windows 2000 có sự khác biệt rất lớn cả về nội dung và giao diện. Về nội dung, Windows 2000 đợc phát triển theo hớng phục vụ các mạng lớn, điều đó thể hiện trên những thay đổi quan trọng nhất sau: + Có thêm tính năng Active Directory. + Hạ tầng kiến trúc nối mạng TCP/IP đợc cải tiến cho phép ngời dùng kết nối các mạng LAN, WAN vào Internet ở mọi nơi trên thế giới. + Những cơ sở hạ tầng bảo mật dễ co giãn hơn. + Việc chia sẻ dùng chung các tập tin trở nên mạnh mẽ hơn với hệ thống tập tin phân tán (Distributed File System) và dịch vụ sao chép tập tin (File Replication Service). Active Directory là tính năng quý giá và quan trọng nhất của Windows 2000, đồng thời cũng là bộ phận toả rộng khắp nơi duy nhất của hệ điều hành này. Nhiều tính năng mới, hấp dẫn của Windows 2000 nh: Các chính sách nhóm (group policy), các cây (tree) và rừng (forest) của các miền, các đơn vị tổ chức (organizational unit), các địa bàn (site), sự triển khai tập trung các ứng dụng, và những tính năng của hệ thống tập tin phân tán trên mạng Windows 2000 cũng nh nhiều tính năng khác, sẽ không hoạt động đợc nếu nh cha có máy chủ nào đóng vai trò nh một Active Directory Server. Về giao diện, với ngời dùng đã quen NT 4, khó có thể tìm lại những giao diện quen thuộc trớc đây, bởi có thêm rất nhiều giao diện mới. Đồng thời những tính năng cũ cũng đợc thay đổi cả về giao diện và nơi kích hoạt chúng. 1.2. Làm quen với Active Directory Active Directory đợc phát triển trên cơ sở cấu trúc miền cũ của NT 4 và có bổ sung thêm nhiều điểm cải tiến mới, đây là phần quan trọng nhất và cũng là phần phức tạp nhất của Windows 2000, hầu nh mọi tính năng của Windows 2000 đều đòi hỏi phải có Active Directory. Bởi vậy việc tìm hiểu kỹ về Active Directory phải trải rộng ở hầu hết các tính năng của Windows 2000, và phần này chỉ nhằm giới thiệu sơ lợc về Active Directory. 1.2.1. Vai trò của Active Directory Vai trò của Active Directory thể hiện trên những vấn đề chính sau: 1.2.1.1. Vấn đề bảo mật Bằng cách duy trì một danh bạ về các ngời sử dụng và những đối tợng khác của mạng. Active Directory theo dõi xem ai đợc phép sử dụng mạng, bằng cơ chế xác minh xem ngời sử dụng có hợp lệ không và cấp phép quyền sử dụng tài nguyên cho ngời sử dụng. 1 1.2.1.2. Vấn đề tìm kiếm thông tin trên mạng Ngày nay, mô hình Client Server (Khách Phục vụ) đã trở thành mẫu mực để giải quyết nhu cầu tìm kiếm thông tin. Nhng cấu trúc này sẽ không có tác dụng nếu không giúp Client tìm ra Server. Chức năng tra cứu thông tin của Active Directory giúp các Client tìm kiếm nhanh đến tên của một Mail Server, Web Server, Print Server, hay một File Server cụ thể. 1.2.1.3. Sự phân chia quyền hành trên một miền Dới NT 4, để có sự phân quyền và bảo mật cho các bộ phận khác nhau trên một mạng thì chúng ta phải tổ chức mạng sao cho mỗi một bộ phận thành một miền, mà mỗi miền phải tốn ít nhất một máy chủ là máy điều khiển miền chính (Primary Domain Controller - PDC). Sau đó nếu các bộ phận muốn trao đổi thông tin liên lạc với nhau ở mức nào đó, thì phải thiết lập các mối quan hệ uỷ quyền (Trust relationship), mà việc thiết lập các quan hệ uỷ quyền trong NT 4 có phần rắc rối và không đáng tin cậy lắm. Với Active Directory của Windows 2000, chỉ cần dùng chung một miền cũng có thể phân quyền và bảo mật cho các bộ phận khác nhau, bằng cách chia miền đó thành các đơn vị tổ chức (Organizational Unit OU ) cho mỗi bộ phận khác nhau. Sau đó có thể uỷ quyền kiểm soát các OU đó cho một nhóm điều hành viên nào đó. 1.2.2. Cấu trúc của Active Directory Khi thiết kế cấu trúc của mạng NT4 ta chỉ có một vài công cụ nh: các miền (domain), tài khoản máy (machine account), nhóm (group) mối quan hệ uỷ quyền (trust relationship). Còn khi thiết kế mạng Windows 2000, ngoài tất cả các công cụ trên, còn có các công cụ khác nữa là: đơn vị tổ chức (unit organization), cây (tree), rừng (forest), và địa bàn (site). Mục này sẽ khảo sát qua các công cụ chính để tạo nên cấu trúc của Active Directory. 1.2.2.1. Miền Miền là một tập hợp các máy tính trong mạng cho phép quản trị cũng nh bảo mật một cách tập trung. Một miền có chứa máy chủ và các máy trạm làm việc của miền. Các máy chủ của miền đợc chia thành hai loại sau: a) Máy điều khiển miền (DC - Domain Controller) Mỗi một miền phải có ít nhất một máy chủ điều khiển miền gọi là DC (Domain Controller - DC), để duy trì cơ sở dữ liệu (CSDL) khoản mục của miền (trong đó có những khoản mục chính là: tài khoản ngời sử dụng, tài khoản nhóm và tài khoản máy). Bất kỳ máy chủ khác nào có lu giữ một bản sao CSDL khoản mục của miền cũng đều đợc gọi là DC, những máy chủ này có nhiệm vụ phân tải sự truy nhập vào CSDL khoản mục của miền. b) Máy chủ (Server) Là những máy chủ khác của miền, dùng để cung cấp các dịch vụ nh: dịch vụ tệp, dịch vụ in, Các máy chủ này không đợc cập nhật thông tin về CSDL 2 khoản mục của miền, do vậy không thể cân bằng tải và điều khiển miền trong trờng hợp xảy ra sự cố. 1.2.2.2. Đơn vị tổ chức (OU) Nhiều khi, miền còn là một khu vực quá lớn, nên khó có thể trao quyền điều khiển cho ai đó. Giải pháp cho trờng hợp đó là Windows 2000 chia nhỏ miền ra thành các đơn vị tổ chức (Organizational Unit - OU). Điều này cho phép ta tạo ra các biên mới trong miền để dễ quản lý và tăng tính bảo mật. Mỗi OU thờng chứa các tài khoản ngời dùng, tài khoản nhóm, hoặc tài khoản máy của miền, các tài khoản này là duy nhất trên mạng và chỉ đợc xuất hiện nhiều nhất là trong một OU. Công dụng chính của OU là để tập hợp các tài khoản ngời dùng và tài khoản máy vào một nơi (trong một OU), sau đó có thể trao quyền kiểm soát OU này cho một tập hợp ngời dùng nào đó. Điều này cho phép ta qui định một nhóm điều hành viên có khả năng, chẳng hạn nh, định lại mật khẩu của một bộ phận nào đó, mà không cần biến họ thành những quản trị viên có những quyền lực lớn hơn mức mong muốn. Nhờ vậy mà ta xác định đợc rõ hơn về sơ đồ tổ chức, và thiết lập các biên về yêu cầu an toàn trong miền. Trong một OU lại có thể tạo ra các OU con của nó. Ví dụ: Hình 1.1 dới đây minh hoạ các OU đợc tạo ra trong miền HVKTMM.COM: HVKTMM.COM PHONG_BAN DAO_TAO TC_CBCT TH_HC TAI_VU KHOA CHUYEN_NGANH CO_BAN CO_SO TIN_HOC Hình 1.1. Cấu trúc các OU trong miền HVKTMM.COM 1.2.2.3. Địa bàn (Site) Với Active Directory, ngoài việc nắm những thông tin về máy và ngời dùng trong một mạng, nó còn theo dõi cả khía cạnh địa lý của mạng. Mỗi khu vực mà đợc nối kết bằng một mạng LAN thì đợc gọi là một Site. Windows 2000 dùng những thông tin chi tiết vế cách bố trí vật lý của mạng mà ta cung cấp cho nó để tính ra nơi nào có những đờng liên kết WAN là phần chậm chạp hơn mà lại đắt tiền hơn của mạng. Sau đó nó làm hai việc rất có ích sau: Thứ nhất, nó nén những dữ liệu cần sao chép trớc khi gửi đi, và thứ hai, nó dùng những thông tin chi phí tiếp vận (route costing information) mà ta 3 cung cấp cho để tính ra cách gửi chuyển tiếp tốt nhất những dữ liệu cần sao chép đó với chi phí rẻ nhất. Mỗi một Site thông thờng cần một máy DC để thuận tiện cho các cuộc đăng nhập tại địa bàn đó. Một miền cũng có thể có nhiều Site và một Site lại có thể chứa nhiều miền. 1.2.3.4. Cây của các miền (Tree of domains) Các doanh nghiệp có mạng đa miền đều mong muốn xây dựng hệ thống cấp bậc theo cấu trúc cây cho các miền. Microsoft đã thiết kế Windows 2000 sao cho nó dùng DNS làm hệ thống giải đáp tên, và DNS đợc thiết kế đã có bản chất cấu trúc cây, cho nên Windows 2000 khai thác sự trùng hợp này và khuyến khích thành lập các mạng đa miền dới dạng có cấp bậc. Ví dụ: Một mạng gồm năm miền có cấu trúc nh sau: Hình 1.2. Cấu trúc cây của các miền Miền đầu tiên đợc tạo ra trong một mạng đa miền đợc gọi là gốc (root) của cây. Trong ví dụ trên, gốc của cây là Bancoyeu.Com. ở đây cũng có tên gọi mẹ, con nh cấu trúc phân cấp cây th mục của DOS. Các miền ở mức trên đợc gọi là miền mẹ của các miền ở mức ngay dới nó, Các miền ở mức ngay d- ới đợc gọi là miền con của miền ngay bên trên nó. Khi các miền đợc tổ chức theo cấu trúc cây, Windows 2000 sẽ tự động tạo ra các quan hệ uỷ quyền giữa miền mẹ và các miền con. Ví dụ khi tạo ra miền con HVKTMM.Bancoyeu.Com, thì tự động sẽ có một mối quan hệ uỷ quyền hai chiều giữa Bancoyeu.Com và HVKTMM.Bancoyeu.Com. Mối quan hệ uỷ quyền hai chiều này có nghĩa là: các quản trị viên của miền Bancoyeu.Com có thể quyết định mở rộng những quyền truy cập tập tin và máy in trong miền của họ cho những ngời dùng của miền HVKTMM.Bancoyeu.Com và ngợc lại. Ngoài ra, với Windows 2000, các mối quan hệ uỷ quyền còn có tính bắc cầu. Điều đó dẫn tới tất cả các miền trong một cây đều có quan hệ uỷ quyền hai chiều với nhau. Nh vậy, cây của các miền đem lại lợi điểm là tự động tạo ra các quan hệ uỷ quyền. Nhng tất cả các tên miền phải đợc đặt theo hệ thống cấp bậc chính xác tơng tự nh ví dụ trên thì mới hình thành đợc một cây của Windows 2000. 4 Bancoyeu.Co m HVKTMM.Bancoyeu.Co m Cuc893.Bancoyeu.Com Coso1.HVKTMM.Bancoyeu.Com Coso2.HVKTMM.Bancoyeu.Co m 1.2.3.5. Rừng của các miền (Forest of domains) Rừng là tập hợp của hai hay nhiều cây. Các cây thờng đợc nối qua tuyến truyền thông. Hình 1.3 là một ví dụ về một rừng có hai cây. Hình 1.3. Rừng của các cây Windows 2000 đòi hỏi phải có một miền làm gốc của rừng, và miền đầu tiên đợc tạo ra sẽ là miền gốc của rừng. Các quan hệ uỷ quyền giữa các miền thuộc hai cây khác nhau trong một rừng không đợc tự động tạo ra, mà phải xác lập bằng tay. Chú ý: Với Windows 2000 ta không thể nối hai miền có sẵn vào trong một cây, và cũng không thể ghép một cây có sẵn vào trong một rừng, mà cách duy nhất để đa thêm một miền vào trong một cây, hoặc một cây vào trong một rừng, là xây dựng nó từ đầu trên một cây hoặc rừng có sẵn. 1.3. Đăng nhập vào mạng Muốn làm việc và khai thác tài nguyên trên mạng, thì trớc hết ta phải thực hiện thủ tục đăng nhập vào mạng. Sau đây là một số khái niệm liên quan đến thủ tục này. 1.3.1. Một số khái niệm User name: Là tên đăng nhập vào mạng của một khoản mục ngời sử dụng. Những khoản mục ngời sử dụng do những ngời quản trị có thẩm quyền tạo ra, và mỗi khoản mục này sẽ đợc trao cho một số quyền hạn nhất định khi làm việc trên mạng. Tại mỗi thời điểm trên một máy chỉ cho phép nhiều nhất một ngời sử dụng có thể đăng nhập vào mạng. Mỗi lần muốn đăng nhập vào mạng với user name khác, ta chọn lần lợt Start/Shut Down Log off <tên user name đang làm việc trên mạng>. Administrator: Là user name đặc biệt, đợc tự động tạo ra trong quá trình cài đặt, đóng vai trò là ngời quản trị mạng, là ngời có quyền cao nhất trong việc tổ chức và quản lý mạng. Password: Là mật khẩu đợc gán riêng cho từng khoản mục ngời sử dụng. Chỉ khi nào ngời sử dụng gõ đúng mật khẩu tơng ứng với user name của mình thì mới vào đợc mạng. 1.3.2. Khởi động máy và đăng nhâp vào mạng 5 Root(.) Cay1.Co m Cay2.Co m Nhanh1.Cay1.Co m Nhanh2.Cay1.Co m Trình tự khởi động máy và đăng nhập vào mạng trên máy chủ và máy trạm là tơng tự nhau và gồm những bớc sau: - Khởi động máy - Nếu máy chủ hoặc máy trạm có cài nhiều hệ điều hành thì chọn dòng thông báo: MicroSoft Windows 2000 Server (trên máy chủ) hoặc MicroSoft Windows 2000 Professional (trên máy trạm) để khởi động Windows 2000. - Chờ cho đến khi màn hình hiện ra dòng chữ: Press Ctrl - Alt - Delete to begin thì bấm tổ hợp ba phím Ctrl - Alt - Delete để hiện ra cửa sổ đăng nhập vào mạng gồm những thông tin sau: User name : (để vào tên ngời sử dụng, ví dụ: Administrator) Password : (để vào mật khẩu của ngời sử dụng) Log on to : (để chọn tên miền mà ngời sử dụng đăng nhập vào) Sau khi vào xong những thông tin trên ta nhấn nút OK. Nếu những thông tin trên đợc vào đúng đắn, thì việc khởi động máy và đăng nhập vào mạng đã hoàn tất, ngợc lại máy sẽ hiện ra dòng thông báo lỗi. 1.4. Tạo và quản lý các OU 1.4.1. Tạo các OU Để tạo các OU, ta sử dụng công cụ Active Directory Users and Computers bằng cách chọn lần lợt các mục sau: Start/Programs/Administrator Tools/Active Directory Users and Computers. Khi đó sẽ hiện ra cửa sổ sau: Hình 1.4. Cửa sổ Active Directory Users and Computers Phần bên trái của cửa sổ trên chính là cấu trúc cây của một Active Directory đơn miền. Do đó tên miền Khoatin.Local cũng chính là gốc của cây và cũng là gốc của rừng. Bên phải là phần chi tiết để hiện nội dung của một mục đợc chọn ở phần bên trái. Các mục ngay bên dới miền Khoatin.Local đợc coi nh những khoang chứa (container), tơng tự nh khái niệm Folder của Windows. Các mục này đ- ợc tự động tạo ra trong quá trình cài đặt, dùng để chứa các tài khoản ngời dùng, tài khoản nhóm, tài khoản máy Tuy có sự phân chia thành các mục 6 nh vậy nhng ta có thể tạo ra hoặc di chuyển các tài khoản vào bất kỳ mục nào, kể cả ở mức miền Khoatin.Local, vì nó cũng đợc coi nh một container. Khi nâng cấp một miền từ NT 4 lên Windows 2000, mọi tài khoản ngời dùng và tài khoản máy của NT 4 sẽ đợc tự động chuyển vào hai mục tơng ứng là Users và Computers. Các OU sẽ có biểu tợng quyển sách mở ở giữa để phân biệt, hay có thể phân biệt qua cột Type ở phần chi tiết bên phải. Nh trong hình 1.4 ở trên thì có một OU là Domain Controllers, cộng thêm bản thân miền Khoatin.Local cũng đợc coi nh một OU. Để tạo một OU mới, ta chọn một OU sẽ chứa OU sắp tạo (ví dụ chọn Khoatin.Local), sau đó mở menu Action, rồi lần lợt chọn New/Organizational Unit . Khi đó sẽ hiện ra cửa sổ: Hình 1.5. Cửa sổ khai báo OU mới Trong cửa sổ trên, giả sử ta muốn tạo một OU có tên là PTHUC HANH nằm ngay dới miền KHOATIN.LOCAL để chứa tất cả các học viên tham gia thực hành tại phòng máy của khoa Tin học. Khi kết thúc tạo ta nhấn OK. Hình ảnh của Active Directory khi đó sẽ nh sau: 7 Hình 1.6. Cửa sổ Active Directory Users and Computers sau khi tạo thêm OU PTHUC HANH Chú ý: Tên của các OU có thể đặt dài tới 64 ký tự và có thể chứa các ký tự bất kỳ. ở cùng một mức thì tên của các OU phải khác nhau, nhng ở các mức khác nhau thì chúng có thể có tên giống nhau. 1.4.2. đổi tên OU đã có Chọn OU cần đổi tên, chọn Remane từ menu Action, rồi tiến hành đổi tên mới. 1.4.3. Xoá OU đã có Chọn OU cần xoá, chọn Delete từ menu Action hoặc bấm phím Delete, sau đó chọn: Yes - để xoá, No không xoá. Chú ý: Khi xoá một OU thì tất cả các tài khoản nằm trong nó kể các các OU con của nó cũng đều bị xoá khỏi cấu trúc của Active Directory. Câu hỏi và bài tập 1. Trình bày vai trò của Active Directory 2. Trình bày cấu trúc của Active Directory 3. Thực hành tạo cấu trúc các OU nh hình 1.1 (không cần tạo miền HVKTMM.COM mà chỉ tạo các OU ở bên dới miền này), sau đó đổi tên một số OU. Cuối cùng xoá cấu trúc OU vừa tạo. 8 . Chơng I Mở đầu 1.1. Gi i thiệu chung về Windows 2000 Windows 2000 là phiên bản tiếp theo của NT 4 (NT4 đợc đa từ năm 1996). Nhng so v i NT 4 , Windows 2000 có sự khác biệt rất lớn cả về n i dung. của Windows 2000, hầu nh m i tính năng của Windows 2000 đều đ i h i ph i có Active Directory. B i vậy việc tìm hiểu kỹ về Active Directory ph i tr i rộng ở hầu hết các tính năng của Windows 2000, . đóng vai trò nh một Active Directory Server. Về giao diện, v i ng i dùng đã quen NT 4, khó có thể tìm l i những giao diện quen thuộc trớc đây, b i có thêm rất nhiều giao diện m i. Đồng th i những