Tìm hiểu hệ thống domain controler trên Windows Server 2003
Buôn Ma Thuột - 2015 SỞ GIÁO DỤC ĐÀO TẠO TRƯỜNG TRUNG CẤP TÂY NGUYÊN ĐỒ ÁN CHUYÊN ĐỀ MẠNG Giảng viên : Nguyễn Trần Hồng Quân Trung cấp công nghệ Tây Nguyên Nguyễn Trần Hồng Quân NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Trang 2 Giáo viên Nguyễn Trần Hồng Quân Trung cấp công nghệ Tây Nguyên Nguyễn Trần Hồng Quân I.Cơ sở lí thuyết 5 Mạng máy tính 5 Lợi ích của mạng máy tính 5 Các mô hình mạng trong môi trường MICROSOFT 5 1)Mô hình Workgroup 5 2)Mô hình Domain 6 DNS 10 Tổng quát về DHCP 15 1)Tài khoản người dùng cục bộ (local user account) 16 2)Tài khoản người dùng miền (Domain user account) 16 Quản lí tài khoản người dùng và nhóm trên ACTIVE DIRECTORY 17 So sánh giữa System Policy và Group Policy. 26 Chức năng của Group Policy 26 1)Chia sẻ thư mục dùng chung 27 2)Các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm 28 3)Quyền truy cập NTFS 30 4)Kế thừa và thay thế quyền của đối tượng con 31 B.Chuẩn bị 34 Đặt địa chỉ IP và đặt tên 34 Cài đặt DNS trên Server 34 Cài đặt dịch vụ DHCP 41 Lên Domain controler 46 Join máy client vào hệ thống Domain 51 C.Thực hiện 54 Câu 1 : Tạo các object và đưa các user vào nhóm tương ứng 54 Câu 2 : Roaming Profile cho các user “Sếp”. Thư mục chứa roaming profile tên là “Profiles” 55 Câu 3 : Tạo cây thư mục và phân quyền 57 Câu 4 : Deploy phần mềm Microsoft Office cho các user trong OU KeToan. .66 Câu 5 : Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử dụng (Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password. 69 Câu 6 : Delegate Control cho phép kt1 được quản lý user account trong OU KeToan 74 Trang 3 Trung cấp công nghệ Tây Nguyên Nguyễn Trần Hồng Quân Câu 7 : Delegate Control cho phép ns1 được quản lý user account và group trong OU NhanSu 75 Câu 8: Map Network Driver Folder Data bằng Script cho các user thuộc OU Kế toan 76 Câu 9: Giám sát quá trình logon không thành công của các user 78 Câu 10: Giám sát quá trình truy cập vào Folder DataKeToan của các user trong OU KeToan 79 TÀI LIỆU THAM KHẢO: 82 Trang 4 Trung cấp công nghệ Tây Nguyên Nguyễn Trần Hồng Quân I. Cơ sở lí thuyết Mạng máy tính Mạng máy tính hay hệ thống mạng (tiếng Anh: computer network hay network system) là sự kết hợp các máy tính lại với nhau thông qua các thiết bị nối kết mạng và phương tiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo một cấu trúc nào đó và các máy tính này trao đổi thông tin qua lại với nhau. Lợi ích của mạng máy tính • Nhiều người có thể dùng chung một phần mềm tiện ích. • Một nhóm người cùng thực hiện một đề án nếu nối mạng họ sẽ dùng chung dữ liệu của đề án, dùng chung tập tin chính (master file) của đề án, họ trao đổi thông tin với nhau dễ dàng. • Dữ liệu được quản lý tập trung nên bảo mật an toàn, trao đổi giữa những người sử dụng thuận lợi, nhanh chóng, backup dữ liệu tốt hơn. • Sử dụng chung các thiết bị máy in, máy scaner, đĩa cứng và các thiết bị khác. • Người sử dụng và trao đổi thông tin với nhau dễ dàng thông qua dịch vụ thư điện tử (Email), dịch vụ Chat, dịch vụ truyền file (FTP), dịch vụ Web, • Xóa bỏ rào cản về khoảng cách địa lý giữa các máy tính trong hệ thống mạng muốn chia sẻ và trao đổi dữ liệu với nhau. • Một số người sử dụng không cần phải trang bị máy tính đắt tiền (chi phí thấp mà chức năng lại mạnh). • Cho phép người lập trình ở một trung tâm máy tính này có thể sử dụng các chương trình tiện ích, vùng nhớ của một trung tâm máy tính khác đang rỗi để làm tăng hiệu quả kinh tế của hệ thống. • An toàn cho dữ liệu và phần mềm vì nó quản lý quyền truy cập của các tài khoản người dùng (phụ thuộc vào các chuyên gia quản trị mạng) Các mô hình mạng trong môi trường MICROSOFT 1) Mô hình Workgroup Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau. Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên cục bộ của mình. Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng. Mô hình này chỉ phù hợp với các mạng nhỏ, dưới mười máy tính và yêu cầu bảo mật không cao. Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng lưu trữ thông tin người dùng trong một tập tin SAM (Security Accounts Manager) ngay chính trên máy tính cục bộ. Thông tin này bao gồm: username (tên đăng nhập), fullname, password, description… Tất nhiên tập tin Trang 5 Trung cấp công nghệ Tây Nguyên Nguyễn Trần Hồng Quân SAM này được mã hóa nhằm tránh người dùng khác ăn cấp mật khẩu để tấn công vào máy tính. Do thông tin người dùng được lưu trữ cục bộ trên các máy trạm nên việc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tự chứng thực. 2) Mô hình Domain Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế client- server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng. Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền. Mô hình này được áp dụng cho các công ty vừa và lớn. Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT. Tập tin cơ sở dữ liệu này được xây dựng theo công nghệ tương tự như phần mềm Access của Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũ chỉ lưu trữ được khoảng 5 nghìn tài khoản người dùng. Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực. Active Directory Active Directory là một dịch vụ quản lý thư mục có thể chứa các thông tin về các máy tính trong mạng, người dùng mạng, máy in, ứng dụng trên mạng, Bằng cách lưu trữ thông tin trong một thư mục trung tâm nên tất cả các tài nguyên này đều có thể được sử dụng chung đối với tất cả mọi người ở mọi thời điểm. Mô hình Domain (Miền) là một kiến trúc thư mục có phân cấp các tài nguyên – Active Directory – và được sử dụng bởi tất cả các hệ thống là thành viên của Miền. Các hệ thống này có thể sử dụng các tài khoản người dùng, nhóm và máy tính trong trong thư mục để bảo mật các tài nguyên của chúng. Do đó Active Directory đóng vai trò như một trung tâm lưu trữ nhận thực, cung cấp một danh sách tin cậy chỉ ra “ai là ai” trong Miền. Bản thân Active Directory đóng vai trò là một cơ sở dữ liệu, nó chứa một danh sách các thành phần hỗ trợ, bao gồm cả các nhật ký giao dịch (transaction log) và dữ liệu hệ thống (sysvol), ở đây chứa các thông tin về kịch bản đăng nhập và chính sách nhóm. Active Directory sử dụng giao thức LDAP (Lightweight Directory Access Protocol), giao thức bảo mật Kerberos, các chu trình đồng bộ dữ liệu và dịch vụ đồng bộ file FRS (File Replication Service). Chính sách nhóm (Group Policy) Do cách thức thừa hưởng các thiết lập từ đối tượng mức cha truyền xuống mức con, người quản trị có thể sử dụng các OU để gom các đối tượng cần cấu hình tương tự nhau. Các thiết lập cấu hình mà được áp dụng đến Trang 6 Trung cấp công nghệ Tây Nguyên Nguyễn Trần Hồng Quân từng máy tính chạy Windows cũng có thể quản trị một cách tập trung nhờ sử dụng một tính năng của Active Directory gọi là chính sách nhóm (Group Policy). Các chính sách nhóm cho phép xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành và cách thức hoạt động của các ứng dụng trên một máy tính mà không cần thiết phải thực hiện trực tiếp trên máy tính cần thiết lập. Việc thiết lập các tùy chọn cấu hình trên một đối tượng đặc biệt của Active Directory gọi là đối tượng chính sách nhóm GPO (Group Policy Object) sau đó kết nối các GPO này vào các đối tượng trong Active Directory chứa các máy tính hoặc người dùng muốn áp dụng. − Hệ thống xác thực tập trung là ứng dụng trung gian, hoạt động như một dịch vụ, kiểm tra tính hợp lệ và quyền truy cập của người dùng đối với các ứng dụng và các tài nguyên trên mạng. - Cổng thông tin điện tử đóng vai trò cổng vào tập trung, thống nhất đối với tất cả các ứng dụng, tài nguyên trên mạng. b) Các chính sách bảo mật máy trạm − Thiết lập các quyền truy cập tài nguyên mạng theo chức năng nhiệm vụ cho từng nhóm đối tượng. - Các máy trạm khai thác số liệu kinh doanh chỉ được quyền sử dụng ứng dụng cho phép, không được quyền cài đặt bất kỳ phần mềm nào khác. - Triển khai từ xa các phần mềm ứng dụng cho các máy trạm. - Triển khai từ xa các phần mềm anti-virus cho các máy trạm, đồng thời thực hiện việc rà quét từ xa. − Kiểm soát tình trạng kết nối của các máy trạm. - Kiểm soát tình trạng đăng nhập, sử dụng tài nguyên của người dùng. Kiến trúc của Active Directory bao gồm Objects, Organizational Units, Domain , Domain Tree, Forest Kiến trúc của Active Directory 1) Objects Trang 7 Trung cấp công nghệ Tây Nguyên Nguyễn Trần Hồng Quân Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes. Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các loại đối tượng mà bạn có thể tạo ra trong Active Directory. Có ba loại object classes thông dụng là: User, Computer, Printer. Khái niệm thứ hai là Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể. Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của object classes. Ví dụ hình sau minh họa hai đối tượng là: máy in ColorPrinter1 và người dùng KimYoshida. 2) Organizational Units Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công dụng chính sau: - Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub- administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống. - Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO), các chính sách nhóm này chúng ta sẽ tìm hiểu ở các chương sau. 3) Domain Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau: - Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác. - Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ. - Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau. 4) Domain Tree Trang 8 Trung cấp công nghệ Tây Nguyên Nguyễn Trần Hồng Quân Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain. Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục. Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện. 5) Forest Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. Ví dụ giả sử một công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác. Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng và để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng. Trong ví dụ trên, công ty mcmcse.com thu mua được techtutorials.com và xyzabc.com và hình thành rừng từ gốc mcmcse.com. Trang 9 Trung cấp công nghệ Tây Nguyên Nguyễn Trần Hồng Quân Domain Controller Domain Controller là hệ thống máy chủ được thiết lập để quản lý một Domain. Một Domain có thể có nhiều Domain Controller. Một máy chủ để trở thành Domain Controller bắt buộc phải cài đặt và khởi tạo Active Directory. Domain Controller quản lý Domain của mình thông qua Active Directory đó,tính hoặc các nhóm khác, độc lập trong cấu trúc của Active Directory. Các nhóm có thể chứa các đối tượng từ các OU và các Miền. Thư mục chia sẻ: cung cấp các truy nhập dựa trên Active Directory đến một thư mục chia sẻ trong một máy tính Windows. Máy in: Cung cấp các truy nhập mạng dựa trên Active Directory đến một máy in trong một máy tính Windows. Mỗi đối tượng Active Directory có chứa một tập hợp các thuộc tính, chính là các thông tin về đối tượng đó. Ví dụ, đối tượng người dùng sẽ có các thuộc tính mô tả tên tài khoản, mật khẩu, địa chỉ, số điện thoại,…; Một đối tượng nhóm sẽ có các thuộc tính cho biết danh sách người dùng là thành viên của nhóm đó,… Bên cạnh các thuộc tính thuần túy thông tin, các đối tượng còn có các thuộc tính thực hiện các chức năng quản trị, ví dụ như một Danh sách kiểm soát truy nhập ACL (Access Control List) chỉ định những ai được phép truy cập đến đối tượng đó. DNS 1) Giới thiệu DNS Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin, dữ liệu cho nhau cần phải biết rõ địa chỉ IP của nhau. Nếu số lượng máy tính nhiều thì việc nhớ những địa chỉ IP này rất là khó khăn. Mỗi máy tính ngoài địa chỉ IP ra còn có một tên (hostname). Đối với con người việc nhớ tên máy dù sao cũng dễ dàng hơn vì chúng có tính trực quan và gợi nhớ hơn địa chỉ IP. Vì thế, người ta nghĩ ra cách làm sao ánh xạ địa chỉ IP thành tên máy tính. Ban đầu do quy mô mạng ARPA NET (tiền thân của mạng Internet) còn nhỏ chỉ vài trăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lưu thông tin về ánh xạ tên máy thành địa chỉ IP. Trong đó tên máy chỉ là 1 chuỗi văn bản không phân cấp (flat name). Tập tin này được duy trì tại 1 máy chủ và các máy chủ khác lưu giữ bản sao của nó. Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOSTS.TXT có các nhược điểm như sau: - Lưu lượng mạng và máy chủ duy trì tập tin HOSTS.TXT bị quá tải do hiệu ứng “cổ chai”. Trang 10 [...]... toán Hệ thống sẽ Audit privilege use ghi nhận lại khi bạn bạn thao tác quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của một ai đó Audit process tracking Audit system event Kiểm toán này theo dõi hoạt động của chương trình hay hệ điều hành Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hoặc tắt máy 2) Quyền hệ thống của người dùng (User Rights Assignment) Đối với hệ thống Windows Server 2003, ... name server : Là máy chủ quản lý các name server ở mức top-level domain Khi có truy vấn về một tên miền nào đó thì Root Name Server phải cung cấp tên và địa chỉ IP của name server quản lý top-level domain (Thực tế là hầu hết các root server cũng chính là máy chủ quản lý top-level domain) và đến lượt các name server của toplevel domain cung cấp danh sách các name server có quyền trên các second-level domain. .. Hồng Quân Trung cấp công nghệ Tây Nguyên II Nội dung đồ án A Đề Họ tên sinh viên : Lớp Đề 3 : A Chuẩn bị: - Sử dụng phần mềm tạo máy ảo VirtualBox Cài đặt hệ điều hành Windows Server2 k3 cho máy Server Máy Client cài đặt hệ điểu hành Windows Server2 k3 (hoặc Windows XP) - Đặt địa chỉ IP cho máy SERVER ở mạng 192.168.1.X/24 (X: là số đề); đặt tên máy Server và tên Domain theo qui tắc sau:... Tools ngay trên máy Domain Controller để tạo các tài khoản người dùng miền Công cụ này cho phép bạn quản lý tài khoản người dùng từ xa thậm chí trên các máy trạm không phải dùng hệ điều hành Server như WinXP, Win2K Pro Muốn thế trên các máy trạm này phải cài thêm bộ công cụ Admin Pack Bộ công cụ này nằm trên Server trong thư mục \Windows\ system32\ADMINPAK.MSI Tạo một tài khoản người dùng trên Active... Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định hạn ngạch đĩa cho một người dùng nào đó Người dùng này chỉ được phép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định - Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 và Windows Server 2003 thì hỗ trợ cả bốn sự... [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài đến 48 ký tự - [ /domain] : các tác vụ sẽ thực hiện trên máy điều khiển vùng Tham số này chỉ áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành viên của máy Windows 2000 Server domain - [username[ ]]: danh sách một hoặc nhiều người dùng cần thêm hoặc xóa ra khỏi nhóm, các tên... [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài đến 48 ký tự - [ /domain] : các tác vụ sẽ thực hiện trên máy điều khiển vùng Tham số này chỉ áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành viên của máy Windows 2000 Server domain - [name [ ]]: danh sách một hoặc nhiều tên người dùng hoặc tên nhóm cần thêm vào hoặc xóa... Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì bạn sẽ thấy ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy Trong Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai cấp độ là: cục bộ và miền Muốn cấu hình các chính sách tài khoản người dùng ta vào Start > Programs > Administrative Tools > Domain Security Policy hoặc Local... Domain theo qui tắc sau: Ví dụ tên thí sinh dự thi tốt nghiệp là Lê Văn Khoa thì đặt tên máy là LVKSERVER và tên Domain là LVK.NET - Nâng cấp máy Server lên Domain Controller - Cài đặt và cấu hình dịch vụ DHCP trên máy Server - Máy Client nhận IP được cấp từ DHCP Server - Máy Client Join domain vào máy Server B THỰC HIỆN 1 Tạo các object và đưa các user vào nhóm tương ứng (Lưu ý: Các đối tượng OU, Group,... tất cả các máy trạm mà không cần sự can thiệp nào của người dùng - Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng của chính sách hệ thống Nó có thể cấp cho một hoặc một nhóm người nào đó có quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu… Trang 26 Nguyễn Trần Hồng Quân Trung cấp công nghệ Tây Nguyên - Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng . 9 Trung cấp công nghệ Tây Nguyên Nguyễn Trần Hồng Quân Domain Controller Domain Controller là hệ thống máy chủ được thiết lập để quản lý một Domain. Một Domain có thể có nhiều Domain Controller Units, Domain , Domain Tree, Forest Kiến trúc của Active Directory 1) Objects Trang 7 Trung cấp công nghệ Tây Nguyên Nguyễn Trần Hồng Quân Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain) . Tên của các domain