1. Trang chủ
  2. » Luận Văn - Báo Cáo

xây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directory

242 1,2K 4

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 242
Dung lượng 15,37 MB

Nội dung

xây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directory

Trang 1

…………, Ngày … Tháng …….Năm 2015.

Tài……….……

Trang 2

Lời nói đầu

Trước hết em xin cám ơn các thầy và các cô đã tạo cho em điều kiệnhọc tại trường Qua 3 năm học tập và thực hành tại trường Cao Đẳng NghềIspace, chúng em đã được các thầy cô truyền đạt cho những kiến thức cả về

lý thuyết và thực hành, để chúng em áp dụng những kiến thức đó vào thực tế

và làm quen công việc độc lập và làm việc theo nhóm của người cử nhântrong tương lai, thông qua một công việc cụ thể, chính vì lý do đó mà chúng

em được nhận đề tài tốt nhiệp thực tế đó là: “Xây Dựng và Quản Trị Hệ Thống Mạng Doanh Nghiệp với Microsoft Active Directory” Trong quá

trình thực hiện đề tài tốt nghiệp chúng em được sự hướng dẫn nhiệt tình củathầy giáo Trần Văn Tài là giảng viên Hệ Thống Mạng

Tuy nhiên, trong quá trình thực hiện đồ án chúng em còn nhiều bỡ ngỡthiếu sót, do chưa có kinh nghiệm thực tiễn nên không tránh khỏi những saisót Vì vậy, chúng em rất mong nhận được sự góp ý của các thầy, các cô đễhoàn thành đề tài tốt nhiệp và nhiệm vụ học tập tại trường Cao Đẵng NghềIspace

Trang 3

LÝ DO CHỌN ĐỀ TÀI

Ngày nay mạng Internet ngày càng được mở rộng và áp dụng rộng rãi trong nhiềulĩnh vực, đem lại nhiều hiệu quả to lớn cho người sử dụng Trong đó, vấn đề trao đổi thông tinliên lạc là cực kì quan trọng, đặc biệt là với những tổ chức, công ty, doanh nghiệp có qui môlớn với nhiều bộ phận làm việc khác nhau và có trụ sở hoặc chi nhánh đặt khắp nơi trên cácvùng địa lí khác nhau

Có rất nhiều giải pháp được đặt ra nhưng giải pháp nào là tối ưu nhất, vừa có độ antoàn và tính bảo mật thông tin cao, vừa có thể xử lý và lưu trữ tập trung trong khi hệ thống córất nhiều người sử dụng và chia sẽ tài nguyên ở các mức độ khác nhau Giải pháp có thể làxây dựng mô hình workgroup (peer – to – peer), mô hình này không có máy chủ quản lý, cácmáy trên mạng chia sẽ tài nguyên không phụ thuộc vào các máy khác trên mạng, không có sựđăng nhập tập trung, nếu đăng nhập mạng bạn có thể sử dụng tất cả tài nguyên trên mạng.Tuy nhiên, mạng ngang hàng chỉ có thể sử dụng cho các hệ thống vì độ an toàn và bảo mậtkém Ngoài ra, chúng ta có thể sử dụng mô hình lai (Hybrid), mô hình này có độ an toàn vàbảo mật thông tin cao hơn mô hình Worrkgroup nhưng không có sự xử lý và lưu trử tập trung

và chi phí lại cao

Mô hình mạng Domain (Client – Server) là sự lựa chọn tốt nhất vì nó có độ an toàn vàbảo mật thông tin cao nhất, xử lý và lưu trữ tập trung, chi phí cài đặt vừa phải Hiện nay, hầuhết các tổ chức, công ty, doanh nghiệp đều sử dụng mô hình mạng này Trong mô hình này,

có một hoặc một vài máy Server làm máy chủ (Domain Controller) và nhiều máy trạm ( Client)kêt nối vào máy chủ, nhận quyền truy cập mạng và tài nguyên mạng từ máy chủ Tất cảthông tin về người dùng đều được quản lý bằng dịch vụ Active Directory và được lưu trữ trênDomain Controller với tên tập tin là NTDS.DIT Active Directory là một sự ứng dụng củaDirectory Service, được tích hợp vào trong họ cá phiên bản Windows Server, được xem nhưtrái tim của hệ thống mạng và cũng góp phần mang đến sự thành công của Windows Server.Đây là một công cụ mạnh mẽ để quản lý trong hệ thống mạng được xây dựng theo mô hìnhDomain

Dựa trên những chức năng và ý nghĩa thực tiễn nêu trên mà nhóm đã chọ đề tài “Xâydựng và quản lý hệ thống mạng với Microsoft Active Directory” trên nền Windows Server 2008

Trang 4

R2 Để tìm hiểu chi tiết hơn về dịch vụ này mới quý thầy cô và các bạn đi vào phần nội dung

đề tài

Giới thiệu về công ty GenSys

1988 GENPACIFIC được thành lập và là một trong những Công ty Liên doanh đầu tiên tại

Việt nam về lĩnh vực công nghệ thông tin (CNTT) giữa Tổng công ty Điện tử và Tinhọc Việt nam với hãng máy tính hàng đầu Châu Âu - Hãng Bull (Cộng hòa Pháp)

1996 Sau khi hết thời hạn liên doanh, GENPACIFIC trở thành công ty 100% vốn nhà nước

và được đổi thành Chi nhánh Tổng Công Ty Điện tử & Tin học Việt nam

2001 Chi nhánh Tổng Công ty Điện tử Tin học Việt nam tách ra thành công ty Công nghệ

thông tin GENPACIFIC, một công ty hạch toán độc lập, 100% vốn nhà nước, là

thành viên của Tổng công ty điện tử và tin học Việt nam

2006 Cổ phần hóa và trở thành Công ty CP CNTT GENPACIFIC

2007 Đáp ứng nhu cầu phát triển kinh doanh, GENPACIFIC thành lập các công ty con

trực thuộc, hạch toán kinh tế độc lập, hoạt động theo điều lệ của Công ty Cổ phần

và Luật Doanh nghiệp trong đó có CÔNG TY CỔ PHẦN HỆ THỐNG GEN

-GENSYS, là công ty chuyên về lĩnh vực tích hợp hệ thống CNTT và thừa hưởng mọi

năng lực, kinh nghiệm cũng như nhân lực của công ty GENPACIFIC

CƠ CẤU TỔ CHỨC

Trang 5

TẦM NHÌN

Gensys quyết tâm trở thành công ty hàng đầu trong khu vực về tích hợp hệ thống

và phát triển các ứng dụng CNTT để mang lại nhiều lợi ích cho khách hàng và đối tác

Trang 6

Nhận xét của doanh nghiệp

Trang 7

Trang 8

Nhận xét của giáo viên hướng dẫn

Trang 9

Mục lục

Lời nói đầu 2

Lý do chọn đề tài 3

Giới thiệu về công ty GenSys 4

Nhận xét của doanh nghiệp 5

Nhận xét của giáo viên hướng dẫn 6

GIỚI THIỆU TỔNG QUAN: 10

Giới thiệu về Active Directory: 10

Chức năng của Active Directory: 10

TÌM HIỂU KIẾN THỨC: 11

Tổng quan về Active Directory (AD): 11

Cấu trúc Active Directory 11

Cơ chế hoạt động Active Directory 17

Triển khai hệ thống Active Directory và Forest: 20

Xây dựng Forest và Domain: 20

Tích hợp Domain Name System (DNS) vào AD: 22

Forest và Domain Functional Level: 23

Tạo Trust Relationships: 24

Triển khai cấu trúc Organization Unit (OU): 26

Xây dựng và quản lý OU: 26

Ủy quyền và quản lý OU: 29

Chiến lược xây dựng OU: 29

Triển khai tài khoản Users, Groups, Computers 30

Trang 10

Tạo và quản lý Account: 31

Triển khai User principal name suffixes: 37

Kế hoạch triển khai user, group và computer account: 37

Kế hoạch giám sát Active Directory: 38

Triển khai chính sách nhóm 39

Giới thiệu về Group Policy Object (GPO): 39

Ứng dụng các chính sách nhóm: 40

Cấu hình các chính sách nhóm: 41

GP tác động đến Startup và Logon như thế nào: 45

Sự kế thừa GP: 46

Quản trị GP với RSoP: 46

Triển khai Site và quản lý đồng bộ Active Directory: 47

Giới thiệu về Active Directory Replication: 47

Quản lý Site Topology: 50

Lập kế hoạch xây dựng Site: 51

Bố trí Domain Controller: 53

Triển khai Global Catalog trong Active Directory: 53

Phân bố Domain Controller trong Active Directory: 54

Lập kế hoạch phân bố Domain Controller: 55

Quản lý Operation Master: 56

Giới thiệu Operation Master Role: 56

Chuyển giao và chiếm đoạt Operation Master Role: 60

Kế hoạch bố trí Operation Master: 61

PHÂN TÍCH VÀ THIẾT KẾ: 63

Trang 11

Khảo sát yêu cầu thực trạng của Cty Inet: 63

Lập bảng kế hoạch khảo sát yêu cầu triển khai, quản lý môi trường mạng của tập đoàn Inet: 63

Danh mục các thiết bị: 64

Phân bố máy chủ cho hệ thống mạng vai trò và dịch vụ: 70

Thiết kế mô hình hệ thống mạng tổng thể: 71

Lập bảng thiết kế mô hình tổng thể: 71

Thiết kế sơ đồ luận lý và vật lý của kiến trúc Active Directory: 71

Lập bảng thiết kế sơ đồ luận lý 72

Lập bảng thiết kế sơ đồ vật lý: 72

Lập bảng thiết kê sơ đồ tổ chức: 73

Bảng thu hoạch IP: 74

TRIỂN KHAI THỰC HIỆN: 75

The End 266

Trang 12

GIỚI THIỆU TỔNG QUAN:

1.1 Giới thiệu về Active Directory:

Có thể so sánh Active Directory với LANManager trên Windows NT 4.0 Về cănbản, Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi làđối tượng) cũng như các thông tin liên quan đến các đối tượng đó Tuy vậy, ActiveDirectory không phải là một khái niệm mới bởi Novell đã sử dụng dịch vụ thư mục(directory service) trong nhiều năm rồi

Mặc dù Windows NT 4.0 là một hệ điều hành mạng khá tốt, nhưng hệ điều hànhnày lại không thích hợp trong các hệ thống mạng tầm cỡ xí nghiệp Đối với các hệthống mạng nhỏ, công cụ Network Neighborhood khá tiện dụng, nhưng khi dùngtrong hệ thống mạng lớn, việc duyệt và tìm kiếm trên mạng sẽ là một ác mộng (vàcàng tệ hơn nếu bạn không biết chính xác tên của máy in hoặc Server đó là gì) Hơnnữa, để có thể quản lý được hệ thống mạng lớn như vậy, bạn thường phải phân chiathành nhiều domain và thiết lập các mối quan hệ uỷ quyền thích hợp ActiveDirectory giải quyết được các vấn đề như vậy và cung cấp một mức độ ứng dụngmới cho môi trường xí nghiệp Lúc này, dịch vụ thư mục trong mỗi domain có thể lưutrữ hơn mười triệu đối tượng, đủ để phục vụ mười triệu người dùng trong mỗidomain

1.2 Chức năng của Active Directory:

Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tươngứng và các tài khoản máy tính

Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặcServer quản lý đăng nhập (logon Server), Server này còn gọi là domain controller(máy điều khiển vùng)

Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tínhtrong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính kháctrong vùng

Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền(rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữliệu hay shutdown Server từ xa…

Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain)hay các đơn vị tổ chức OU (Organizational Unit) Sau đó chúng ta có thể ủy quyềncho các quản trị viên bộ phận quản lý từng bộ phận nhỏ

Trang 13

Hình I.1: Active Directory

1.1 Tổng quan về Active Directory (AD):

1.1.1 Cấu trúc Active Directory :

 Cấu trúc luận lý của AD:

Nhóm các tài nguyên luận lý giúp tìm kiếm các tài nguyên dễ dàng hơn việc tìmkiếm trong vị trí vật lý của nó Vì thế Active Directory cũng có cấu trúc luận lý để mô

tả cấu trúc thư mục của các tổ chức Một điểm tiến bộ quan trọng khác của nhómcác đối tượng luận lý Active Directory là sự cài đặt vật lý của mạng có thể được ẩnđối với người sử dụng

Các thành phần luận lý của cấu trúc Active Directory là:

 Các Domain

 Các đơn vị tổ chức (OU)

 Các Domain Tree

Trang 14

 Các Forest.

 Domains:

Đơn vị luận lý đầu tiên của mạng Windows 2003 là Domain Nó là một tậpcác máy tính được định nghĩa bởi người quản trị mạng Tất cả các máy tính trongDomain chia sẻ chung một cơ sở dữ liệu Active Directory

Mục đích chính của việc tạo domain là tạo một ranh giới an toàn trong mộtmạng Windows 2003, người quản trị Domain điều khiển các máy tính trongDomain, chỉ trừ khi được gán quyền, nếu không thì người quản trị mạng trongDomain này không thể điều khiển các Domain khác Mỗi một Domain thì có cácquyền và chính sách an toàn riêng, nó được thiết lập bởi người quản trị

Tất cả Domain Controller trong một Domain đều duy trì một bản sao cơ sở

dữ liệu của Domain, do đó các Domain là các đơn vị nhân bản và cơ sở dữ liệuActive Directory là được nhân bản đến tất cả các Domain Controller trong Domain.Windows 2003 Active Directory sử dụng mô hình nhân bản Multi-master Trong

mô hình này bất kỳ một Domain Controller nào trong Domain đều có khả năngnhận sự thay đổi được tạo ra từ cơ sở dữ liệu Active Directory Thay đổi được tạo

sẽ được nhân bản đến các Domain Controller khác trong Domain Từ đó, tất cảDomain Controller có thể trở thành tại bất kỳ thời điểm nào, mô hình này được gọi

là mô hình Multi-master

Domain Active Directory có thể tồn tại trong 2 mô hình là: Native hoặcMixed, hệ điều hành ở trên các Domain Controller sẽ quyết định Domain hoạtđộng theo mô hình nào Mô hình Native là mô hình được sử dụng trong tất cả cácDomain Controller chạy trong Windows 2003 Trong mô hình Mixed, các DomainController có thể sử dụng một trong hai hệ điều hành là Windows 2003 vàWindows NT 4.0 Tại thời điểm cài đặt và ngay sau khi cài đặt Active Directoryhoạt động ở mô hình Mixed Đây là sự cung cấp hỗ trợ cho Domain Controller hiệntại trong Domain mà không được cập nhật trở thành Windows 2003

 Organizationnal Unit:

Trong phạm vi Domain các đối tượng được tổ chức sử dụng các đơn vị tổchức OU là đối tượng chứa Nó chứa các đối tượng như là User, Computer, Printer,Group và các OU khác

Về cơ bản OU giúp nhóm các đối tượng tổ chức logic phù hợp với kiểu nào

đó Các đối tượng có thể được nhóm từ một OU

 Hoặc dựa trên cấu trúc của tổ chức

 Hoặc phù hợp với mô hình quản trị mạng Mỗi Domain có thể được tổchức dựa vào người quản trị mạng và giới hạn người điều khiển nó Máycủa người quản trị sẽ điều khiển Domain và các máy tính của tất cảnhững người dưới sự điều khiển của người quản trị mạng sẽ nằm trongDomain

Trang 15

Hệ thống phân cấp OU có thể được biến đổi từ Domain này sang Domainkhác Đó là mỗi Domain có thể được cài đặt một hệ thống phân cấp riêng của nó.

Sự điều khiển của một OU có thể được cấp trong phạm vi của OU

Lợi ích chính của OU là tránh sự phức tạp của hệ thống mạng với kiến trúc

đa Domain Các công ty có thể tạo ra một Domain đơn và một trạng thái khác củacác OU phù hợp với yêu cầu bằng cách tạo ra một cấu trúc Domain Các OU có thểđược bổ sung mới như là khi chúng cần xuất hiện trong một Domain Các Ou cũng

có thể được lồng vào theo nhiều cách Tuy nhiên một cấu trúc Domain đơn vớinhiều OU đưa ra tất cả các thuận lợi được đưa ra bởi mô hình đa Domain

 Domain Trees:

Một vài nguyên nhân tại sao mô hình đa Domain lại được ưa thích:

 Phân quyền quản trị mạng

 Các tên miền Internet khác nhau

 Yêu cầu về password khác nhau

 Dễ điều khiển việc nhân bản

 Một số lượng lớn các đối tượng

 Nhiều cấp độ điều khiển với nhiều nhánh

Mô hình đa Domain bao gồm một hoặc nhiều hơn một cấu trúc logic trongActive Directory Tree là một sự sắp xếp phân cấp của các Domain Windows 2003

mà nó chia sẻ một không gian tên liền kề

Trang 16

Hình II.1.1.1.1: Domain Trees

 Forests:

Forest là một thuật ngữ được đặt ra nhằm định nghĩa 1 mô hình tổ chức của

AD, 1 forest gồm nhiều domain trees có quan hệ với nhau, các domain trees trongforest là độc lập với nhau về tổ chức, nghe ra có vẻ mâu thuận trong mối quan hệnhưng ta sẽ dễ hiểu hơn khi mối quan hệ giữa các domain trees là quan hệ Trust 2chiều như các partners với nhau Một forest phải đảm bảo thỏa các đặc tính sau:       Toàn bộ domain trong forest phải có một lược đồ (schema) chia sẻ chung       Các domain trong forest phải có 1 global catalog chia sẻ chung

       Các domain trong forest phải có mối quan hệ  Trust 2 chiều với nhau

       Các tree trong forest phải có cấu trúc tên (domain name) khác nhau

       Các domain forest hoạt động độc lập với nhau, tuy nhiên hoạt động củaforest là hoạt động của toàn bộ hệ thống tổ chức doanh nghiệp

Hình II.1.1.1.2: Forest

 Cấu trúc vật lý:

Cấu trúc luận lý của một Active Directory là được tách ra từ cấu trúc vật lý của

nó, và hoàn toàn tách biệt với cấu trúc vật lý Cấu trúc vật lý được sử dụng để tổchức việc trao đổi trên mạng trong khi đó cấu trúc luận lý được sử dụng để tổ chứccác tài nguyên có sẵn trên mạng

Cấu trúc vật lý của một Active Directory bao gồm:

 Domain Controllers

Trang 17

 Sites.

Cấu trúc vật lý của một Active Directory mô tả nơi nào và khi nào thì sự logon vànhân bản sẽ xuất hiện Do đó để giải quyết vấn đề về logon và nhân bản thì trướchết phải hiểu về các thành phần của cấu trúc vật lý của Active Directory

sở dữ liệu Directory trong các DC Tuy nhiên trong các tổ chức lớn, mỗi vị trí địa lýđều cần phải có các DC tách biệt để cung cấp đầy đủ khả năng sẵn sàng và khảnăng chịu lỗi

Các chức năng khác nhau của DC bao gồm:

 Duy trì một bản sao của cơ sở dữ liệu Directory

 Duy trì các thông tin của Active Directory

 Nhân bản các thông tin được cập nhật đến DC trong Domain

 Quản lý và giúp đỡ người sử dụng trong việc tìm kiếm các đối tượngtrong Active Directory Nó kiểm tra tính hợp lệ của việc logon củangười dùng truy cập tài nguyên được yêu cầu

 Cung cấp khả năng chịu lỗi trong môi trường đa DC

Trang 18

Hình : II.1.1.1.3: Domain Controller

 Sites:

Một site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó đượckết nối bởi các đường truyền tốc độ cao Các site được định nghĩa để tạo ra sựthuận lợi đặc biệt cho chiến lược truy cập và nhân bản một Active Directory Cácmục đích chính của việc định nghĩa có thể kể ra dưới đây:

 Cho phép các kết nối tin cậy và tốc độ cao giữa các DC

 Tối ưu việc truyền tải trên mạng

 Không cần có sự tương quan giữa cấu trúc vật lý của mạng và cấutrúc domain của nó

 Không gian tên của site và Domain không cần tương quan

 Active Directory cho phép nhiều site trong một Domain cũng giốngnhư nhiều Domain trong một site

Không gian giữa tên logic chứa các Computer, các Domain và các OU,không có các site Một site chứa thông tin về các đối tượng Computer và các đốitượng connection

Hình II.1.1.1.4: Site

Trang 19

1.1.2 Cơ chế hoạt động Active Directory :

 Directory service:

Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trong NTDS.DIT

và các chương trình quản lý, khai thác tập tin này Dịch vụ danh bạ là một dịch vụ cơ

sở làm nền tảng để hình thành một hệ thống Active Directory Một hệ thống vớinhững tính năng vượt trội của Microsoft

Hình II.1.1.2.1: Directory Service

 Active Directory Schema:

Một Schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đốitượng nào đó Ví dụ, cho rằng tất cả các đối tượng máy in đều được định nghĩa bằngcác thuộc tính tên, loại PDL và tốc độ Danh sách các đối tượng này hình thành nênSchema cho lớp đối tượng “máy in” Schema có đặc tính là tuỳ biến được, nghĩa làcác thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi được Nói tóm lạiSchema có thể xem là một danh bạ của cái danh bạ Active Directory

Trang 20

 Những thuộc tính thường dùng trong việc truy vấn như user’s first name,last name, logon name.

 Thông tin cần thiết để xác định vị trí của bất kỳ object nào trong activedirectory

 Tập hợp các thuộc tính mặc định cho mỗi loại object

 Quyền truy cập đến mỗi object

 Global Catalog Server:

Một Global Catalog là bộ lưu trữ mà nó lưu trữ tập con thông tin về tất cả các đốitượng trong Active Directory Phần lớn Global Catalog là lưu trữ thông tin đó là cáctruy vấn thường được sử dụng Nói các khác, nó chứa các thông tin cần thiết để tìmcác đối tượng

Một Global Catalog cần được tạo trong DC đầu tiên của Forest DC này được gọi

là Global Catalog Server Một Global Catalog Server duy trì một bản copy đầy đủ cơ

sở sữ liệu của Active Directory của Domain điều khiển của nó Nó duy trì một phầncopy của cơ sở dữ liệu Active Directory của Domain khác trong Forest Nó cũng xử lýcác truy vấn được xây dựng trở lại và cho ra kết quả

Hai vai trò quan trọng của Global Catalog Server là:

 Nó giúp người sử dụng định vị trí đến các đối tượng trong Active Directoryđược dễ dàng

 Nó cho phép người sử dụng logon vào mạng Thực hiện điều này bằng cáchcung cấp thông tin về thành viên nhóm đến các DC khi quá trình này đượckhởi tạo.Trong trường hợp Global Catalog Server là không sẵn sàng, người

sử dụng có thể logon đến mạng nếu họ là thành viên của nhóm DomainAdministrator Mặc khác người sử dụng chỉ có thể logon đến máy tính cục

bộ DC đầu tiên trong Forest là Global Catalog Server Nó có thể cấu hình

để thêm DC vào Global Catalog Server Điều này cân bằng thông lượng tàinguyên trên mạng và nạp vào Global Catalog Server

Trang 21

Hình II.1.1.2.2: Global Catalog Server

 Distinguished và Relative Distinguished Name:

 Distinguished Name (DN):

Mỗi object trong Active Directory sẽ có một tên duy nhất Đây là tên đượcxem như là DN Nó chứa đầy đủ các thông tin về đối tượng bao gồm tên củadomain nơi lưu trữ đối tượng và đường dẫn đầy đủ mà thông qua đó đối tượng cóthể được chỉ ra

 Relative Distinguished Name (RDN):

RDN của một đối tượng là một thuộc tính của chính đối tượng đó ActiveDirectory hỗ trợ truy vấn bằng thuộc tính Vì thế mỗi đối tượng đó có thể được xácđịnh ngay cả khi không biết về DN vủa nó Một thuộc tính quan trọng được sửdụng để truy vấn trong Active Directory là RDN

 Cơ chế Single Sign-on:

Mỗi user chỉ dùng 1 account cho nhiều dịch vụ

Làm đơn giản hóa việc quản lý và sử dụng

Trang 22

Hình II.1.1.2.3: Cơ chế Single Sign-on

1.2 Triển khai hệ thống Active Directory và Forest:

1.2.1 Xây dựng Forest và Domain:

 Các yêu cầu để cài đặt AD:

 Server sử dụng Windows Server 2003:

 Windows Server 2003 Stander Edition

 Windows Server 2003 Enterprise Edition

 Windows Server 2003 Datatacenter Edition

 Không gian lưu trữ

 Tối thiểu 250MB:

 Database AD (NTDS.DIT): 200MB

 Log files: 50MB

 Cần thêm phân vùng trống nếu là máy chủ Global Catalog

 Phân vùng trống định dạng NTFS lưu trữ thư mục SYSVOL

Trang 23

 Logon với tài khoản có quyền quản trị hệ thống.

 Cấu hình TCP/IP và cấu hình Preferred DNS

 Yêu cầu cài đặt AD:

 Đối với Authoritative DNS Server:

 SRV Resoure Record: Xác định máy tính đang chạy dịch vụ cụ thể trên môitrường mạng Windows Server 2003

 Dyanmic update (tùy chọn): cập nhật tự động các Resource Recordthay vì tự cấu hình

 Incremental zone transfer (tùy chọn): giúp tiết kiệm băng thông trong quátrình đồng bộ database của dịch vụ DNS giữa các Server

 Tiến trình cài đặt AD:

 Khởi động giao thức bảo mật và thiết lập chính sách bảo mât

 Kerberos v.5 Authentication Protocol

 Local Security Authority (LSA) policy (xác định server này là DC)

 Tạo các Active Directory Partition (DC đầu tiên trong Forest):

 Schema directory partition

 Configuration directory partition

 Domain directory partition

 Forest DNS zone

 Domain DNS zone partition

 Tạo database và log file của AD, mặc định lưu trữ trong thư mục %systemroot

%\NTDS

 Tạp forest root domain DC đầu tiên giữ các master roles:

 Primary domain controller (PDC) emulator

 Relative indentifier (RID) operations master

 Domain-naming master

 Schema master

 Infrastructure master

Trang 24

 Tạo và chia sẽ thư mục system volume trên tất cả DC và lưu trữ:

 Thư mục SYSVOL, lưu trữ thông tin Group Policy

 Thư mục Net Logon, lưu trữ các file script cho các hệ thống không phải làWindows 2003

 Cấu hình vị trí DC phù hợp với site

 Nếu IP của DC trong quá trình nâng cấp thược subnet được định nghĩatrong AD thì DC sẽ là thành viên trong site đó

 Nếu không có subnet object nào được định nghĩa hoặc địa chỉ IP của DCkhông thuộc subnet nào trong AD thì DC sẽ được đưa vào site “Default-First-Site-Name”

 Server object (DC) được tạo ra trong vị trí site thích hợp và lưu trữ thôngtin cần cho quá trình đồng bộ

 Cấu hình bảo mật các đối tượng trên Directory và đồng bộ file

 Cấu hình mật khẩu cho administrator account ở chế độ Restore dịch vụDirectory

 Kiểm tra quá trình cài đặt AD:

 Sau khi tiến hành cài đặt AD thành công cần phải kiểm tra những vấn đề sau:

 Kiểm tra folder SYSVOL: thư mục SYSVOL đã được tạo trong %systemroot%\sysvol và đã được share

 Kiểm tra file Database của AD và log file đã được tạo trong thư mục

%systemroot%\ntds: NTDS.dit, Edb.*, Res*.log

 Kiểm tra các đối tượng mặc định được tạo ra: Builtin, Domain Controller,Computer, Users,…

 Kiêm tra sự kiện Event logs: các lỗi xảy ra trong quá trình triển khai DC sẽđược ghi nhận trong Event viewer

 Khắc phục lỗi trong khi cài đặt AD:

 Từ chối cài đặt hoặc thêm Domain Controller:

 Logon vào server với tài khoản thuộc nhóm Local Administrators củaserver

 Cung cấp một User để chứng thực thuộc nhóm Domain Admins hoặcEnterprise Admins

Trang 25

 Tên Domain DNS hoặc NetBIOS không duy nhất: đổi lại tên DNS hoặc NetBIOSname

 Không kết nối được với Domain:

 Kiểm tra keert nối đến một Domain Controller bất kỳ, bằng lệnh ping

 Kiểm tra dịch vụ DNS đã đăng ký máy chủ Domain Controller

 Thiếu dung lượng ổ cứng: tăng dung lượng ổ cứng để cài đặt AD

1.2.2 Tích hợp Domain Name System (DNS) vào AD:

 Active Directory Integrated Zone:

 Là Primary DNS zone và stub DNS zone được lưu trữ như là các đối tượngtrong database của Active Directory

 Có thể lưu trữ trong Application Partition hoặc Domain Partition

 Những lợi ích của AD Integrated Zones:

 Đồng bộ với nhiều Domain chính

 Hỗ trợ secure dynamic updates

 Có thể transfer DNS zone với các DNS Server khác

 SVR Resource Record:

 SRV resource record là DNS record dùng để ánh xạ một dịch vụ tới máy tínhđang cung cấp dịch vụ đó

 Cấu trúc của SRV record:

_Service_.Protocol.Name Ttl Class SRV Priority Weight Port Target

 SRV Record đăng ký bởi Domain Controller

 Domain Controller chạy Windows Server 2003 đăng ký SRV records trong_msdcs subdomain với cấu trúc như sau:

_Service_.Protocol.DcType._msdcs.DnsDomainName1.2.3 Forest và Domain Functional Level:

Cung cấp cách để mở rộng các tính năng AD trên phạm vi Domain hoặc Forest Các cấp độ này phụ thuộc vào môi trường mạng của bạn

 Forest và Domain Function Level:

Network environment Domain functional levels Forest functional levels

Trang 26

 Yêu cầu sử dụng những tính năng mới trên Windows 2003:

Tất cả sử dụng HĐH Windows Server 2003 Windows Server 2003

Domain functional level Phải nâng cấp lên Windows Server 2003 Có thể được nâng cấp lên Windows Server 2003

Administrator

Domain administrator để nâng cấp domain functional level

Enterprise administrator để nâng cấp Forest functional level

1.2.4 Tạo Trust Relationships:

Trust Relationship là một liên kết luận lý được thiết lập giữa các hệ thống Domain,giúp cho cơ chế chứng thực giữa các hệ thống Domain có thể được thừa hưởng lẫnnhau Trust Relationship giải quyết bài toán “single sign-on” – logon chứng thực một lầnduy nhất cho tất cả mọi hoạt động trên các Domain, dịch vụ triển khai trên 1 Domain cóthể được truy cập từ user thuộc Domain khác

Trong một trust relationship cần phải có 2 Domain Domain được tin tưởng gọi làTrusted Domain, còn Domain tin tưởng Domain kia gọi là Trusting Domain Cơ chế TrustRelationship giúp đảm bảo các đối tượng ( user, ứng dụng hay chương trình ) được tạo

ra trên một Trusted Domain có thể được chứng thực đăng nhập hay truy cập tàinguyen, dịch vụ trên Trusting Domain Tuy nhiên, trên hệ thống Windows hỗ trợ đến 6loại trust relationship với các đặc tính và ứng dụng khác nhau

Trang 27

Hình II.1.2.4.1: Mô hình Trust Relationships

 Realm trust: Thiết lập giữa một hệ thống không sử dụng hệ điều hànhWindows và hệ thống Domain Windows 2003 Điều kiện là hệ thống phải cógiao thức chứng thực hỗ trợ tương thích với giao thức Kerberos v5 cuaWindows 2003

 External trust: Thiết lập để liên kết 2 Domain thuộc 2 Forest khác nhau đểgiảm bớt các bước chứng thực

 Forest trust: Thiết lập giữa 2 forest, bắt đầu hỗ trợ từ Windows 2003, đây làphương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộcDomain của cả 2 forest

 Trusted Domain Object:

 Đối tượng Domain được tin tưởng

Trang 28

 Đại diện một vài mối quan hệ tin cậy trong phân vùng Domain.

 Lưu trữ thông tin của loại trust:

 Domain tree names

 Service principal name (SPN) suffixes

 Security ID (SID) namespace

 Cách Trust làm viêc trong một Forest:

Hình II.1.2.4.2: Mô hình cách làm việc của Trust trong 1 Forest

 Cách Trust làm việc giữa các Forest:

Trang 29

Hình II.1.2.4.3: Mô hình cách làm việc của Trust giữa các Forest1.3 Triển khai cấu trúc Organization Unit (OU):

1.3.1 Xây dựng và quản lý OU:

 Giới thiệu OU:

Đơn vị tổ chức (OU) là một phân khu trong một Active Directory mà bạn có thểchứa đựng: User account, Groups, Computers, và các đơn vị tổ chức khác Bạn có thểtạo ra các đơn vị tổ chức để nhân bản cấu trúc chức năng hoặc tổ chức kinh doanh củabạn Mỗi miền có thể thực hiện của hệ thống phân cấp đơn vị tổ chức Nếu tổ chức củabạn có chứa một số lĩnh vực, bạn có thể tạo ra những cấu trúc đơn vị tổ chức trong từnglĩnh vực là độc lập của các cấu trúc trong các lĩnh vực khác

Thuật ngữ "đơn vị tổ chức" thường được rút ngắn "OU" trong cuộc trò chuyệnthông thường "Container" cũng thường được áp dụng trong vị trí của nó, ngay cả trongtài liệu riêng của Microsoft Tất cả các thuật ngữ được coi là chính xác và hoán đổi chonhau

 Các phương pháp tạo và quản lý OU:

 Active Directory Users and Computer:

Start > Administrative Tools > Active Directory Users and Computers (hoặc

vào Start > Run, gõ lệnh DSA.MSC) để mở cửa sổ quản lý thành viên trong hệ thống Bạn nhấn phải vào tên domain, chọn New > Organizational Unit > nhập tên OU vào ô Name > OK, OU vừa tạo sẽ được liệt kê bên dưới tên domain.

Trang 30

Hình II.1.3.1.1: OU

 Các lệnh hỗ trợ: dsadd, dsmod, dsrm, dsmove, dsget, dsquery

 dsadd : cho phép bạn thêm một computer, contact, group, ou hoặc uservào trong dịch vụ Directory

 dsrm : xóa một đối tượng trong dịch vụ Directory

 dsmove : di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụDirectory

 dsget : hiển thị các thông tin lựa chọn của một đối tượng computer,contact, group, ou, server hoặc user trong một dịch vụ Directory

 dsmod : chỉnh sửa các thông tin của computer, contact, group, ou hoặcuser trong một dịch vụ Directory

 dsquery : truy vấn các thành phần trong dịch vụ Directory

 Ldifde command-line tool:

Trang 31

Là một lệnh tạo user cao cấp hơn DSADD vì ta có thể add user từ một file list bằng lệnh này Nhưng nhược điểm của lệnh là ta ko thể tạo password cho các user để khắc phục thì ta phải bổ sung thêm script.

 Windows script host:

 Windows Script Host (WSH) là một chương trình cung cấp Môi Trường để

người dùng thực thi các Ngôn Ngữ Kịch Bản

 Một số Script Host khác:

 Microsoft Internet Explorer: Hỗ trợ VBScript, JavaScript

 C Shell: Hỗ trợ ngôn ngữ Batch file (.Bat)

 Command Prompt: Hỗ trợ Batch file

 Đặc điểm:

 Chạy trên nền Windows

 Can thiệp sâu về hệ thống, đặc biệt là các chức năng về quản trị

 Quản lý nhiều đối tượng một lúc

 Điều khiển từ xa

 Tốc độ nhanh

 Phức tạp, đòi hỏi người quản trị có kiến thức về lập trình

 VD:

Tạo Organization Unit (OU)

'Thu tuc: tao 1 OUSub CreateOU  Set objDomain = GetObject("LDAP://DC=csa,DC=hpa,DC=local")    Set objOU = objDomain.Create("OrganizationalUnit", "OU=Students")    objOU.Put "description", "OU cua Hoc vien"

    objOU.SetInfo   

    Msgbox "Done!"

End Sub'Goi Thu tucCall CreateOU

Trang 32

1.3.2 Ủy quyền và quản lý OU:

 Mục đích ủy quyền quản trị OU:

 Phân tán việc quản lý cho từng OU

 Đơn giản hóa trong việc quản trị

 Việc ủy quyền cung cấp

 Việc tự quản trong mỗi OU

 Cô lập quản lý dữ liệu và dịch vụ

 Các tác vụ quản trị OU:

 Thay đổi thuộc tính của vật chứa (container)

 Tạo và xóa object

 Thay đổi thuộc tính cuat object

1.3.3 Chiến lược xây dựng OU:

 Tiến trình lập kế hoạch xây dựng OU:

 Lập tài liệu về cấu trúc hiện tại của doanh nghiệp

 Xác định các vùng cần cải tiến quản trị

 Xác định cấp độ quản trị

 Xác định tài khoản quản trị và tài khoản người dùng trong từng OU và các tàinguyên mà họ được phép quản lý và sử dụng

 Các nhân tố ảnh hương đến cấu trúc OU:

 Các loại mô hình quản trị IT:

 Tập trung.

 Tập trung tại hội sở (Trụ sở chính) và phân tán tại chi nhánh.

 Quản trị phân tán

 Thuê IT bên ngoài

 Cấu trúc của các mô hình quản trị IT:

 Dựa trên vị trí địa lý (Geographic - based)

 Dựa trên cấu trúc tổ chức phòng ban của doanh nghiệp (Organization based)

Trang 33

- Dựa trên chức năng trong cách tổ chức của doanh nghiệp (Bussinessfunction - based)

 Kết hợp (Hybrid)

 Chiến lược trong việc triển khai cấu trúc OU:

Hình II.1.3.3.1: Mô hình chiến lược triển khai cấu trúc OU

1.4 Triển khai tài khoản Users, Groups, Computers :

1.4.1 Giới thiệu về User Account:

Người sử dụng cần truy cập các tài nguyên khác nhau trên máy tính bất kì trongmạng User acconut được tạo ra để xác nhận người sử dụng và cấp cho họ các thao tácvới các tài nguyên trên mạng mà họ có quyền Một user account chứa các user name vàpassword cho phép user có thể đăng nhập vào một domain hay hay một máy tính từ xabất kì nào Bất cứ người sử dụng mạng thông thường nào nên có một user account.Windows 2003 server hỗ trợ ba loại user account: Local User Account, Domain UserAccount và Built-in User Account

 Local User Account (User Account cục bộ):

Với một user account cục bộ, người dùng chỉ có thể đăng nhập vào máy xác định,nơi mà user account đó được tạo ra User chỉ có thể truy cập được những tài nguyên cótrên máy tính đó Một local user account được tạo ra trong từng cơ sở dữ liệu bảo mậtcủa từng máy cục bộ

Trang 34

 Domain User Account (User account trong Domain):

Với Domain user account, người sử dụng có thể đăng nhập vào một domain và cóthể truy cập nhiều tài nguyên có mặt tại bất kì nơi nào trên mạng Một thẻ truy cậođược tạo ra mà xác nhận người dùng sử dụng và các thiết lập bảo mật của user này khingười sử dụng cung cấp thông tin đăng nhập(username và password) Thẻ truy cậpđược cung cấp bởi windows 2003 server sẽ tồn tại lần cuối cùng cho đến khi người sửdụng đăng nhập(logon) và mất đi khi người sử dụng huỷ đăng nhập(log-off) Useraccount trong trường hợp này sẽ được lưu trong cơ sở dữ liệu của Active Directory Useraccount này sẽ được nhân bản đến các Domain controller khác trong domain bởi useraccount được tạo ra trên domain controller Sự nhân bản này sẽ mất một chút thời gian,

vì thế sẽ không thể xử lý ngay lập tức các tài nguyên trên mạng thông qua các useraccount mới tạo và thời gian nhân bản thông thường của một Active Directory trongmột site thường là 5 phút

 Built-in User Account (User Account tạo sẵn):

Built-in Account được tạo tự động bởi windows server 2003 và được sử dụng bởinhững người sử dụng thực hiện những tác vụ quản trị hoặc những thao tác mạng trênmột cơ sở dữ liệu tạm thời(temporary basic) Có hai loại Built-in User account là:Administrator account và Guest account Hai loại account này không thể xoá

 Administrator Account: Built-in Administrator account có thể được sử dụng đểquản lý các máy tính và cấu hình trong domain Sự quản lý bao gồm các tác

vụ như tạo, sửa các group và các user account, các printer và quản lý cácchính sách bảo mật Nên tạo ra một user account mới có các nhiệm vụ khôngphải quản trị hệ thống( non-administrative task) nếu chúng ta có mộtAdministrator, vì administrator account nên được giới hạn sử dụng cho các tác

vụ quản trị Để cấm các user không có quyền đăng nhập vào hệ thống củachúng ta, một giải pháp thực tế là đổi tên built-in administrator account saocho không giống như một administrator account Chúng ta cũng có thể đánhlừa người sử dụng bằng cách tạo ra một user account có tên là administratoraccount nhưng không gán cho một quyền nào với user account này

 Guest Account: Thỉnh thoảng các user được chúng ta cung cấp một guestaccount để họ có thể đăng nhập tạm thời và các tài nguyên trên mạng Theomặc định thì guest account bị disable Chúng ta có thể cho phép account nàytrên một mạng bảo mật thấp và gán cho nó một password

1.4.2 Tạo và quản lý Account:

Trong khi tạo các user account chúng ta nên cẩn thận lập kế hoạch và tổ chức tất

cả các thông in về user trước khi bắt tay vào thực hiện Để đạt được những điều nàychúng ta nên tự làm quen với các quy ước và chỉ dẫn Theo những quy ước và chỉ dẫnnày giúp chúng ta dễ dàng hơn trong việc quản lý các user account sau khi tạo chúng

Kế hoạch được thực hiện với sự trợ giúp của ba nguyên tắc cơ bản quan trọng sau:

Trang 35

Naming Conventions (Quy tắc đặt tên), Password Guidelines (Chỉ dẫn mât khẩu) vàAccount Option (tuỳ chọn account).

 Quy tắc đặt tên User Account:

Các quy tắc đặt tên sẽ xác định cách mà user sẽ được biết đến trong một domain.Chúng ta nên đặt tên theo các quy tắc đang tồn tại Các điểm sau đây nên được chú ýkhi chỉ định quy tắc đặt tên cho tổ chức của chúng ta:

 Chúng ta nên gán một tên duy nhất cho các domain user account và nó nênđược lưu trong Active Directory Với người sử dụng cục bộ tên account là tênduy nhất trong một nơi mà các user account cục bộ được tạo

 User account có thể nên đến 20 kí tự chữ thường hoặc chữ hoa và các kí tựsau đây không được sử dụng để đặt tên cho User account: “/ \ [ ] ; | = , + * ?

< >” Các tên này không phân biệt hoa thường Một sự pha trộn đặt biệt củacác kí tự số có thể làm đơn giản sự định danh các user names

 Với một tổ chức lớn với một số lượng lớn các user, quy tắc đặt tên giữ cho tênkhỏi bị trùng lặp Một điều quan trọng là biết được các user tạm thời trong tổchức của chúng ta để có thể dễ dàng xoá các tên đăng nhập của họ khi rakhỏi tổ chức của chúng ta Trong trường hợp này, việc đầu tiên sẽ là địnhdanh các nhân viên tạm thời và thêm một kí tự “T”(temporary) và một kí tự

“-“ vào tên đăng nhập của user đó

 Yêu cầu mật khẩu :Bất kì một user account nào cũng phải chứa một password phức tạp để bảo vệthao tác trên một máy tính hoặc một domain và vì thế giúp chống các cuộc đăng nhậpkhông cho phép vào máy tính hay domain của chúng ta Các điểm sau đây nên đượcchú ý khi xác định quy uớc đặt tên cho một tổ chức của chúng ta:

 Luôn luôn được khuyến cáo gán mật khẩu cho Administrator account để tránhcác tiếp nhận không cho phép của account

Gán password khó đoán cho tài khoản administrator Chúng ta nên tránh đặtpassword liên quan rõ ràng đến ngày sinh, các thành viên trong gia đình hoặcbạn bè thân

 Password nên chứa các kí tự thường, chữ hoa, các kí tự số và các kí tự đặt biệthợp lệ khác(non-alphanumeric)

 Chúng ta nên xác nhận xem administrator hay user có quyền điều khiểnpassword Thông thường là để quyền điều khiển password cho user Các userphải được phép gõ vào hoặc thay đổi các password trong lần đầu tiên đăng

Trang 36

nhập Administrator có thể cho một password duy nhất đến user account vàusers có thể ngăn cản sự thay đổi password.

 Các tuỳ chọn account:

Các administrator nên theo dõi giờ đăng nhập của user và máy tính nơi họ đăngnhập vào Giờ kết thúc (logon hours) của một account tạm thời nên được biết trước.Điều này đảm bảo sự bảo mật đúng đắn và sự duy trì của mạng Các tuỳ chọn củaaccount bao gồm:

 Logon hours: Chúng ta có thể đặt logon hours cho user tuỳ thuộc vào khảnăng xử lý của user Theo cách này chúng ta có thể giới hạn thời gian đăngnhập của user từ ngày đến đêm Xử lý mặc định của windows 2003 cho user

là 24 tiếng mỗi ngày Bằng cách đặt logon hours chúng ta có thể rút ngắn thờilượng mà các unauthorized user (user không được phép) có thể xử lý thông tinthông qua account này

 Setting Computer for User Log On: Chúng ta nên xách định xem máy tính màuser sẽ đăng nhập vào Các user có thể đăng nhập vào domain từ bất kì máytín nào theo mặc định của domain Vì lý do bảo mật chúng ta có thể giới hạncho các user phải đăng nhập vào domain từ các máy tính đơn của họ sở hữu

Có thể là không giới hạn user đăng nhập vào bất kì máy tính nào trên mạngtrong truờng hợp NetBIOS trên TCP/IP bị disable

 Account Expiration: Chúng ta nên xác định xem khi nào thì các user xác địnhphải hết hạn sử dụng Nếu chúng ta quyết định không tiếp tục một account từmột ngày xác định thì chúng ta đặt ngày hết hạn (expiration date) cho useraccount đó Đến sát ngày hết hạn chúng ta sẽ thấy account bị bisable saungày hết hạn đó User account cho nhân viên tạm thời nên hết hạn cùng ngàyvới ngày hết hạn hợp đồng của họ với công ty

 Tạo các Local user Account:

Một user account cục bộ là một account mà user có thể đăng nhập vào và xử lýcác tài nguyên được hỗ trợ bởi máy tính đơn đó Chúng ta có thể tạo ra một useraccount cục bộ bằng cách dùng console Computer Management Một User account cục

bộ chỉ được dùng trong trường hợp môi trường mạng nhỏ, ví dụ nó có thể là mộtworkgroup đơn giản hay một máy tính stand-alone không được cấu hình trong mạng.Tránh tạo ra các user cục bộ trên các máy tính trong domain vì domain nên được thừanhận user cục bộ Điều này giới hạn các user nhận bất cứ tài nguyên nào trên domain,nhưng tài nguyên trên máy tính cục bộ thì truy cập được Các user account cục bộ có ít

số lượng các thuộc tính hơn các domain user account

Trang 37

 Tạo các Domain User Account:

Domain User Account có thể được sử dụng để đăng nhập vào domain và vì thếnhận được các xử lý đến các tài nguyên được lưu trữ ở bất kì nơi đâu trong mạng Mộtdomain user account được tạo với sự trợ giúp của Domain Controller AdministrationTools lưu trữ trong domain controller, được cung cấp trong windows server 2003 giúpchúng ta tạo ra và quản trị domain user account Quản lý từ xa của domain và useraccount cũng được cung cấp bằng cài đặt Windows XP Professional Administration Toolstrên máy tính chạy Windows XP Professional Chúng ta nên dùng Active Directory Usersand Computers để tạo các domain user account Chúng ta có thể dùng các thiết đặt chopassword để tạo ra một home folder và vị trí trung tâm lưu trữ dữ liệu

 Các tuỳ chọn khi khởi tạo Domain User Account:

Một domain user account được tạo ra trong một domain controller mà từ đó

nó được tự động copy tất cả đến các domain controller khác trong mạng Chúng

ta nên tạo account trong mục user mặc định hoặc trong một số folder khác nơi

mà các domain user account khác tồn tại

 First Name: Tên của User

 Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user

 Last name: Họ của User

 Full name: Tên đầy đủ của user Nó nên là duy nhất trong thư mụcaccount Windows server 2003 có khả năng điền thông tin này sau khi tên

và họ của user đã được nhập vào

 User logon name: Tuỳ chọn này nên là logon name duy nhất dựa theo cácquy tắc đặt tên và phải là duy nhất trong thư mục

 User logon name(pre-windows 2000): Logon name duy nhất của user đểđăng nhập từ phiên bản trước windows 2000 của Microsoft Cái này là duynhất trong domain và là phần tử bắt buộc

 Các thiết lập cho password:

Chúng ta có thể thêm một password khi đang thêm một user account mớitrong domain Dưới đây là các tuỳ chọn cho password được gán password khiđang tạo một user mới

 Password: Đây là password được dùng trong khi xác nhận user và được

hiển thị dưới dạng cac dấu hoa thị

 Confirm password: Xác định lại mật khẩu đã nhập ở trên

Trang 38

 User Must Change password at next logon: Để cho phép user thay đổi

password trong lần đăng nhập lần đầu tiên

 User cannot change password: User không thể thay đổi password Tuỳchọn này được chọn đối với nơi có nhiều hơn một user sử dụng cùng useraccount hoặc khi administrator muốn điều khiển password

 Password never expires: Chọn tuỳ chọn này nếu password không bao giờ

thay đổi Tuỳ chọn này sẽ ghi đè thiết lập User must change password atnext logon Vì thế nếu cả hai tuỳ chọn này được chọn thì windows 2003 sẽ

tự động chỉ chọn tuỳ chọn password never expires

 Account Dissable: Với tuỳ chọn này chúng ta có thể dừng sử dụng của user

account này

 Thay đổi thuộc tính của User account:

Tất cả các account đều có một tập các thuộc tính Các domain user accountđương nhiên là có nhiều thuộc tính hơn các local user account Các thuộc tínhcủa local user account là tập con của các thuộc tính trong domain user account.Các thuộc tính được sử dụng để tìm kiếm bất kì user nào trong Active Directory.Mỗi domain nên được cấu hình với những thuộc tính bắt buộc sau đây:

 Các thuộc tính các nhân sẽ có: thuộc tính chung (general), điện thoại(telephones), tổ chức (organizational)

 Thuộc tính giờ Logon (Logon hours)

 General: Tab này sẽ được cung cấp thông tin về tên của user, mô tả, điệnthoại, email user name, địa chỉ văn phòng và home page(trang chủ)

 Address: Tab này sẽ cung cấp các địa chỉ đường, thành phố, hộp thư, banghay mã vùng(zip code) và nước(country) của user

Trang 39

 Account: Tab này sẽ cho phép định nghĩa logon name của user và cũngthiết đặt thêm các tuỳ chọn như Logon Hours và Log on to Những tuỳchọn này đã được đặt trong suốt quá trình tạo đối tượng user trong cơ sở

dữ liệu Active Directory và có thể được thay đổi ở đây

 Profile: Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũngduy trì toàn bộ môi trường làm việc của user Một đường dẫn mạng cũng

có thể được thiết lập để nhận các truy cập các tài nguyên mạng và bổxung kịch bản đăng nhập và home folder có thể được gán bởi tuỳ chọnnày

 Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile,pager (số máy tin nhắn) và IP phone của user Chúng ta cũng có thể thêmcác ghi chú ở đây

 Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty, têncông ty hay tổ chức, các thông tin về user và báo các trực tiếp của user

 Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó user nàythuộc về

 Dial-In: Tùy chọn này cho phép chúng ta điều khiển user tạo một kết nốidial-in từ một nơi xa đến mạng Điều này chỉ có thể thực hiện nếu userđang quay số tới một máy tính đang chạy Windows 2003 Remote accessservices(RAS) Có một số tuỳ để thiết lập cho bảo mật quay số như sau:

 Allow Access: Tự động xác định các thiết lập dial-in có được cho phép hay không

 Deny Access: Sẽ xác định dial-in có bị từ chối hay không

 Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết nối

 No Callback: Sẽ xác định RAS sẽ không gọi người user Điều này cho phép user gọi từ bất kì số điện thoại nào Nó được thiết kế cho môi trường bảo mật thấp

 Set by caller: Sẽ xác định RAS sẽ đáp ứng đến user có được cung cấp

nó với số điện thoại Vì thông tin này sẽ có thể được ghi lại(logged) nên chúng ta có thể sử dụng có trên môi trường bảo mật trung bình

 Always Callback To: Sẽ xác định rằng RAS sẽ đáp ứng lại với user tại

số điện thoại đã được xác định User nên cẩn thận để hiện diện tại cùng một thời điểm RAS kết nối đến Tuỳ chọn này được dùng trong môi trường bảo mật cao

 Environment: Để tạo môi trường client-working thì tab này phải được sửdụng Nó xác định một hay nhiều ứng dụng khởi động và tất cả các thiết bị

để kết nối khi user đăng nhập vào

Trang 40

 Sessions: Tuỳ chọn này được sử dụng để giới hạn chiều dài của sessions(phiên), tuỳ thuộc vào session có active (kích hoạt), idle (nghỉ) haydisconnect (ngắt kết nối) Chúng ta cũng có thể quyết định những hànhđộng nên được tiến hành trong trường hợp session đã tiến đến giới hạnthời gian

 End A Disconnected Session: Chỉ định thời gian lớn nhất mà một session chưa kết nối còn cho phép được chạy Một khi quá giới hạn thời gian thì session không thể tìm trở lại

 Active Session Limit: Xác định khoảng lớn nhất của session được kết nối Một khi giới hạn thời gian tiến đến gần, session có thể khởi động lại hoặc ngắt kết nối rời khỏi session active trên server

 Idle Session Limit: Xác định thời gian lớn nhất được cho trứoc khi session được khởi tạo lại hay ngắt kết nối Nó sẽ bị ngắt kết nối sau khi hết thời gian của những hoạt động tại kết nối

 Remote control: Sẽ xác định các thiết lập điều khiển từ xa của các dịch vụTerminal Bằng các thiết lập điều này chúng ta có thể tham gia giám sátsession của client của bất kì máy tính nào đã đăng nhập vào TerminalServer

1.4.3 Triển khai User principal name suffixes:

 User principal name (UPN):

 Là một tên dùng để logon trong hệ thống mạng windows server 2003

 Được chia ra hai phần:

 Upn prefix

 Upn suffix

 Lợi ích của việc dùng upn:

 Duy nhất trong Active Directory forest

 Dùng như 1 địa chỉ email

 Name suffix routing:

 Là cơ chế phân giải tên miền thông qua những forest trust

 Name suffix sử dụng để định tuyến các yêu cầu chứng thực giữa các forestđược thiết lập trust với nhau

 Name suffix không tồn tại trong forest thứ nhất có thể được định tuyến tớiforest thứ 2

Ngày đăng: 31/07/2015, 10:12

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w