Tài liệu Windows2000 Bài 8: ACTIVE DIRECTORY Tổng quan Active Directory 1.1 Mục đích Directory Service Directory (nghĩa thuật ngữ Active Directory) nơi lưu thông tin đối tượng có liên quan với theo cách Ví dụ: sổ điện thoại Directory dùng lưu tên, địa chỉ, nghề nghiệp, số điện thoại nhiều người Trong hệ thống phân tán, mạng diện rộng, đặc biệt Internet, có vơ số đối tượng tồn Người sử dụng (NSD) cần biết để truy cập, khai thác Người quản trị cần biết để bảo mật, xử lý cố…Nói tóm lại, đối tượng phải có khả định vị (locatable) sử dụng (usable) Directory Service lưu trữ tất thông tin đối tượng, cho phép tìm kiếm khai thác Directory nới lưu trữ thông tin Directory Service ngồi lưu thơng tin cịn cho phép sử dụng đối tượng Directory Service giúp người sử dụng (bao gồm quản trị mạng) khơng cần nhớ xác tên, địa đối tượng Họ cần nhớ số thuộc tính Directory Service tự động tìm Ví dụ: người sử dụng đưa yêu cầu “tìm máy in màu tầng 3” Khi mạng trở nên lớn lên phức tạp, mạng số đối tượng cần quản lý tăng nhu cầu sử dụng Directory Service cần thiết 1.2 Windows 2000 Active Directory Directory Service Windows 2000 Server gọi chung Active Directory Như Actice Directory bao gồm Directory, lưu thông tin, dịch vụ (Service) nhằm Tài liệu Windows2000 đưa thơng tin đến người sử dụng Các tài nguyên lưu Active Directory (dữ liệu, máy in, group…) gọi đối tượng (Object) Thuộc tính (attribute) đối tượng dùng để miêu tả đối tượng Ví dụ: User Account bao gồm thuộc tính họ tên, địa chỉ, nghề nghiệp, phịng ban… Schema danh sách định nghĩa mô tả dạng đối tượng lưu Directory Schema xuất hai dạng: Đặc tính (attribute) lớp (class) Lớp (Class) miêu tả cách thức đối tượng tạo Mỗi lớp bao gồm nhiều đặc tính Khi bạn tạo đối tượng, cácđặc tính thể đặc điểm đối tượng Mọi đối tượng Active Directory gọi thể (instance) lớp Đặc tính (Attrbute) định nghĩa độc lập với lớp Mỗi đặc tính định nghĩa lần dùng nhiều lớp Windows 2000 Server cung cấp sẵn loạt lớp dặc tính Tuy nhiên, quản trị hệ thống hoàn toàn tự định nghĩa thêm Chỉ có điều, lược đồ (schema) khơng thể bị xố, tự động nhân Bạn phải có kế hoạch xác trước định tạo lược đồ 1.3 Các thành phần Active Directory Cấu trúc logic: bạn vào cách tổ chức quan, đơn vị để tự tổ chức đối tượng Active Directory theo Điều giúp cho người sử dụng cẩm thấy thân thiện, gần gũi thực tế, họ tìm tài ngun theo tên thực thay vị trí vật lý Cấu trúc logic bao gồm domain, tree, forest, ou Vùng (Domain): đơn vị chuẩn cấu trúc logic Active Directory vùng Các đối tượng vùng xem cần thiết phải có để làm việc Active Directory hình thành từ hay nhiều vùng Về lý thuyết, vùng chứa 10 Tài liệu Windows2000 triệu đối tượng, nhiên người ta kiểm tra với triệu đối tượng Các quyền hạn người dùng có giá trị vùng Organizational Unit (OU): cách tổ chức đối tượng Active Directory dựa mơ hình tổ chức thực quan Một OU bao gồm khoản mục NSD (user account) , máy tính, máy in OU domain Ví dụ: domain.com có OU: US, ORDERS, DISP Khi giao dịch tăng lên, người quản lý muốn tạo thêm quản trị cho phịng Order Người có quyền tạo khoản mục cho phép user truy cập file, máy in phạm vi phịng Order Thay phải thêm domain, tạo OU từ ORDERS OU hình đây: Cây (Tree): nhóm domain có quan hệ cha-con chế dịch vụ Domain Name System (DNS) Trong cây, tất vùng chia sẻ lược đồ (schema) chung Tài liệu Windows2000 Rừng (Forest): hình thành từ độc lập Trong rừng, lại chia sẻ với lược chung Các có chế hoạt động riêng, nhiên, thơng qua rừng, có trao đổi thơng suốt tồn mạng cơng ty Cấu trúc vật lý: dựa cấu trúc vật lý công ty, bao gồm site, điều khiển vùng (domain controller.) Site: kết hợp hay nhiều phân mạng IP (IP Subnet), kết nối với dựa đường truyền tốc độ cao, tin cậy Lưu ý, bạn tìm kiếm tài ngun Active Directory, bạn khơng có mối liên hệ với site.Thậm chí, domain hình thành từ nhiều site, ngược lại, site chứa tài nguyên từ nhiều vùng Điều khiển vùng (Domain Controller): máy tính lưu sở liệu vùng Trong vùng có nhiều điều khiển vùng, điều khiển vùng chứa sở liệu Active Directory có chế đồng hố liệu xuất thay đổi Sử dụng nhiều điều khiển vùng nhằm tránh tình xảy cố, lúc đó, điều khiển vùng thay 1.4 Các khái niệm khác Active Directory 1.4.1 Global Catalog Global Catalog nơi lưu tập trung thông tin đối tượng rừng Mặc định, Global Catalog khởi tạo rừng xuất điều khiển vùng, gọi global catalog server Global catalog lưu thuộc tính dùng cho vùng nơi chứa cho vùng rừng Tài liệu Windows2000 1.4.2 Nhân (Replication) Do người dùng truy xuất từ máy vùng thời điểm nên điều khiển vùng cần có chế để đồng hố liệu Các thơng tin bao gồm: Lược đồ, thiết lập, liệu liên quan đến vùng Tuỳ theo điều khiển vùng hay global catalog mà cách nhân liệu khác 1.4.3 Quan hệ tin cậy (Trust Relationship) Quan hệ tin cậy thiết lập dựa hai vùng, theo vùng tin cậy (trusting domain) cho phép người sử dụng từ vùng tin cậy (trusted domain) đăng nhập dùng tài ngun Active Directory có hai loại quan hệ tin cậy: Implicit two-way transitive trust: quan hệ domain cha top-domain rừng Do đó, cây, vùng có quan hệ tin cậy với quan hệ quan hệ chiều Tài liệu Windows2000 Expicit one-way nontransitive trust: quan hệ domain không thuộc Loại quan hệ không tự động tạo mà bạn phải trực tiếp định nghĩa 1.4.4 DNS quy ước tên Hệ thống domain Active Directory sử dụng cách đặt tên tương tự Domain Name System (DNS) Mọi đối tượng Active Directory có tên Tuỳ mục đích sử dụng, tên thuộc vào ba loại: tên (distinguished name), tương đối (relative distinguished name), tuyệt đối (global unique identifier name) tên thông dụng (principal name) Distinguished name (DN): tên để định danh đối tượng Active Directory, cho phép NSD tìm kiếm đối tượng DN bao gồm tên domain chứa đối tượng đường dẫn từ gốc đến đối tượng DN xác định đối tượng Active Directory Database Ví dụ sau DN xác định firstname, lastname user microsoft.com domain: /DC=COM/DC=microsoft/OU=dev/CN=Users/CN=Bill Gate Thuộc tính Miêu tả DC Tên domain OU Tên OU CN Tên đại diện nhóm đối tượng Relative distinguished name (RDN): bạn khơng biết DN, bạn dùng RDN để tìm kiếm đối tượng Đó thuộc tính DN Bạn tạo nhiều RDN trùng cho đối tượng Tuy nhiên, khơng thể có đối tượng RDN thuộc OU RDN phải OU Minh hoạ hình đây: Tài liệu Windows2000 Global Unique Identifier (GUI): số 128 bit đảm bảo đối tượng toàn cục GUI gán cho đối tượng tạo không thay đổi kể đối tượng bị đổi tên hay di chuyển Bạn dùng GUI để tìm kiếm đối tượng mà khơng cần quan tâm đến DN (tuy nhiêm khó mà nhớ GUI) GUI có giá trị vùng Bạn hồn tồn n tâm di chuyển đối tượng vùng GUI sinh thuật toán tương đối phức tạp Nếu máy bạn có Card mạng, dựa vào MAC để sinh GUI Nếu máy khơng có Card mạng, giả lập MAC để sinh Nói chung, xác xuất trung GUI khơng có Về lý thuyết, GUI phạm vi Internet Principal Name: gọi User Principal Name (UPN) hình thành từ tên user account với domain name Ví dụ: BillGate@Microsoft.Com Cài đặt Active Directory Sau hoàn tất trình cài đặt Windows 2000 bạn thực trình cài đặt Active Directory Chú ý cài đặt Active Directory đồng nghĩa với việc bạn thăng cấp cho máy tính trở thành điều khiển vùng Bấm Start->Programs->Administrative Tools->Configure Your Server Tiếp theo, bạn bấm vài liên kết Active Directory, Wizard xuất hướng dẫn bạn trình cài Active Directory Một cách khác đơn giản hơn, bạn gõ lệnh dcpromo.exe menu lệnh Run Dùng cách này, bạn loại bỏ Active Directory domain controller chuyển xuống thành Standalone Server Tài liệu Windows2000 B1 Bạn chọn bổ sung tiếp domain controller vào domain tồn tạo domain controller Nếu bạn chọn tạo domain controller mới, tương đương tạo domain B2 Nếu tạo domain mới, bạn lựa chọn tạo domain domain có sẵn hay tạo domain từ đầu Nếu tạo từ đầu, bạn tạo thêm rừng bổ sung vào rừng tồn Tài liệu Windows2000 Các file tạo cài Active Directory: Directory Database lưu file có tên Ntds.dit, bao gồm schema, global catalog, đối tượng domain controller Mặc định Ntds.dit lưu thư mục %systemroot%\Ntds, nhiên, bạn chuyển sang thư mục Theo gợi ý, nên chọn ổ đĩa độc lập để lưu Ntds, đặc biệt ổ có khả chống cố mức phần cứng Ngoài file Ntds, thư mục Sysvol tạo Khi cài Active Directory, bạn phải chọn Domain mode Có hai loại domain mode: Mixed mode: cho phép domain controller tương tác với domain controller khác domain chạy Windows NT 3.5 Windows NT 4.0 Native mode: chuyển từ Mixed mode sang, dùng mạng toàn Win2K domain controller Để cài Active Directory cần có DNS Server Nếu chương trình cài đặt khơng tìm thấy DNS Server, tự động cài cấu hình DNS B3 Bổ sung máy vào domain: mạng có domain controller, bạn bổ sung máy (standalone server) vào domain Mở Control Panel, Chọn System, bấm tab Network Identification, chọn Properties, chọn tiếp domain gõ tên domain mà bạn tạo từ trước Về nguyên tắc, domain controller phải tạo sẵn account cho máy trước bổ sung vào Tuy nhiên, bạn tạo ln lúc bổ sung, nhiên, bạn phải có account user domain controller có quyền Quản trị Active Directory Việc quản trị Active Directory bao gồm tạo OU, bổ sung object vào OU, tìm kiếm đối tượng Active Directory 3.1 Tạo OU Bạn tạo OU bên domain, domain controller object bên OU khác Mặc định, thành viên nhóm Administrator có quyền bổ sung OU Chọn domain hay đối tượng mà bạn muốn tạo tiếp OU, kích menu Action, chọn New, Organization Unit Trong ô Name, gõ tên OU 3.2 Bổ sung đối tượng vào OU Các đối tượng bạn bổ sung OU: Biểu Đối tượng Mơ tả tượng Computer Đại diện máy tính mạng Với Windows NT Workstation Windows NT Server, machine account Contact Là account mà không chứa thông tin quyền hạn, bảo mật Account khơng thể logon Thơng thường xem danh sách địa email Group Nhóm User Tài liệu Windows2000 Printer Máy in mạng User Một user có khả logon Shared Thư mục chia sẻ Folder Bấm chọn OU mà bạn muốn bổ sung đối tượng, chọn menu Action, chọn New chọn tiếp tên loại đối tượng bạn muốn bổ sung 3.3 Quản trị đối tượng Tìm kiếm đối tượng: Mở Active Directory Users and Computers Administrative Tools, bấm phím phải lên domain nhóm bất kỳ, chọn Find Các lựa chọn cửa sổ Find bao gồm: Lựa chọn Miêu tả Find Danh sách loại đối tượng bạn tìm, bao gồm users, contacts, groups; computers; printers; shared folders; OUs; tự tuỳ biến Nếu chọn Custom, bạn xây dựng truy vấn gọi Lightweight Directory Access Protocol (LDAP) Query Ví dụ, LDAP Query: OU=*er*, tìm OU có tên chứa cụm từ "er" In Danh sách domain, OU bạn giới hạn để tìm Browse Cho phép bạn duyệt cấu trúc tìm kiếm Advanced Cho phép bạn định nghĩa tiêu chí tìm kiếm mở rộng Field Danh sách thuộc tính bạn tìm Condition Danh sách điều kiện dựa thuộc tính bạn sử dụng để giới hạn việc tìm kiếm Value Ô dùng trường hợp bạn sử dụng điều kiện Tại bạn gõ giá trị mà điều kiện (thuộc tính) phải thoả mãn Search Criteria Danh sách tiêu chí tìm kiếm bạn định nghĩa Find Now Bắt đầu tìm Stop Chấm dứt việc tìm kiếm Clear All Xố điều kiện tìm kiếm Results Danh sách kết tìm Gán quyền truy cập đối tượng (Object Permission): tương tự NTFS Permission, Active Directory Object Permission thiết lập quyền quy định user có quyền đối tượng Object Permission bao gồm Standard Permission Special Permission Standard Object Cho phép 10 Tài liệu Windows2000 Permission Full Control Toàn quyền tác động đến đối tượng Read Xem đối tượng, thuộc tính, quyền hạn đối tượng, người tạo đối tượng Write Thay đổi thuộc tính đối tượng Create All Child Objects Bổ sung đối tượng vào OU Delete All Child Objects Xoá đối tượng từ OU Để gán Permission cho đối tượng, chọn đối tượng, bấm chuột phải, chọn Properties, bấm tab Security Lưu ý: bạn phải bật View->Advanced Features để nhìn thấy tab Security Tương tự NTFS Permission, Object Permission có chế kế thừa bạn ngăn chặn việc kế thừa Publishing Resources: để đối tượng tìm thấy user, bạn cần publish Publish Shared Folder: Mở Active Directory Users And Computers Bấm chuột phải lên vị trí bạn muốn bổ sung Shared Folder, chọn New, Shared Folder 11 ... Ví dụ: BillGate@Microsoft.Com Cài đặt Active Directory Sau hoàn tất trình cài đặt Windows 2000 bạn thực trình cài đặt Active Directory Chú ý cài đặt Active Directory đồng nghĩa với việc bạn thăng... user domain controller có quyền Quản trị Active Directory Việc quản trị Active Directory bao gồm tạo OU, bổ sung object vào OU, tìm kiếm đối tượng Active Directory 3.1 Tạo OU Bạn tạo OU bên domain,... Start->Programs->Administrative Tools->Configure Your Server Tiếp theo, bạn bấm vài liên kết Active Directory, Wizard xuất hướng dẫn bạn trình cài Active Directory Một cách khác đơn giản hơn, bạn gõ lệnh