Đang tải... (xem toàn văn)
Trong bất kỳ một hệ thống mạng của một doanh nghiệp tổ chức nào thì thành phần quan trọng không thể thiếu đó là hệ thống Active Directory (AD). Hệ thống AD gần như là trái tim của cả tổ chức. Trong loạt bài này chúng ta sẽ tìm hiểu sơ lược về hệ thống Active Directory, AD có những thành phần gì? Hoạt động ra sao? Và cuối cùng là cài đặt như thế nào. Khi đã cài đặt Windows Server 2012 trên một hệ thống mới thì chúng ta có thế cấu hình nó là member server, domain controller hoặc là standalone server. Sự khác biệt của chúng cực kỳ quan trọng: • Member server: là một thành phần của hệ thống domain nhưng nó không lưu trữ thông tin địa chỉ (directory information). • Domain controller: đây là thành phần quan trọng nhất vì nó chứa thông tin địa chỉ, đồng thời cung cấp cơ chế xác thực (authentication và các thông tin địa chỉ cho domain. • Standalone server: đây không phải là thành phần của domain bởi vì nó có cơ sở dữ liệu người dùng riêng và nó cung cấp cơ chế xác thực đăng nhập một cách độc lập. Trong một mô hình mạng thì Domain controller (DC có thể xử lý các thay đổi của địa chỉ và sao chép lại chúng tới các DC khác một các tự động. Windows Server sẽ phân phối những thông tin địa chỉ đó và gọi nó là data store. Những data store đó chứa những bộ thông tin người dùng (user), nhóm (group), và những computer accounts được biết đến như là những tài nguyên chia sẻ (servers, files, máy in).
BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC CÔNG NGHỆ TP HCM KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN CƠ SỞ ĐỀ TÀI ACTIVE DIRECTORY (WINDOWS SERVER 2012) Giảng Viên Hướng Dẫn Thầy: Nguyễn Văn Mùi Lớp: 13HTH02 Sinh viên thực hiện: Mã số sinh viên: Nguyễn Trương Ngọc Hải 1315061010 Hồ Chí Minh, 2014 MỤC LỤC Chương I: Tổng quan Active Directory (AD) Chương II: Xây dựng hệ thống AD 2.1 Giới thiệu Active Directory Domain Service (AD DS) 2.2 Xây dựng hệ thống AD DS Chương III: Hệ thống Users (người dùng) 15 3.1 Giới thiệu .15 3.2 Các thành phần users .16 3.2.1 Users 16 3.2.2 Group 19 3.2.3 Organization Unit (OU) 21 3.2.4 Xây dựng tình cho Users 23 Chương IV: Group Policy 25 4.1 Giới thiệu Group Policy Object (GPO) 25 4.2 Cấu tạo GPO 26 4.3 Xây dựng tình cho GPO 27 4.4 Folder Redirection 31 4.5 Script 35 4.6 Deployment Software 38 Chương V: File server (FS) and Share Permission 42 5.1 Tổng quan FS 42 5.2 Xây dựng FS Share Permission .42 Chương VI: Backup and Restore Active Directory 47 6.1 Tổng quan Windows Server Backup .47 6.2 Xây dựng Backup Restore AD 48 Chương VII: Kết luận 52 Active Directory (Windows Server 2012) – 13HTH02 Page I Tổng quan Active Directory Trong hệ thống mạng doanh nghiệp tổ chức thành phần quan trọng khơng thể thiếu hệ thống Active Directory (AD) Hệ thống AD gần trái tim tổ chức Trong loạt tìm hiểu sơ lược hệ thống Active Directory, AD có thành phần gì? Hoạt động sao? Và cuối cài đặt Khi cài đặt Windows Server 2012 hệ thống cấu hình member server, domain controller standalone server Sự khác biệt chúng quan trọng: • Member server: thành phần hệ thống domain khơng lưu trữ thơng tin địa (directory information) • Domain controller: thành phần quan trọng chứa thông tin địa chỉ, đồng thời cung cấp chế xác thực (authentication thông tin địa cho domain • Standalone server: khơng phải thành phần domain có sở liệu người dùng riêng cung cấp chế xác thực đăng nhập cách độc lập Trong mô hình mạng Domain controller (DC xử lý thay đổi địa chép lại chúng tới DC khác tự động Windows Server phân phối thơng tin địa gọi data store Những data store chứa thơng tin người dùng (user), nhóm (group), computer accounts biết đến tài nguyên chia sẻ (servers, files, máy in) Domains sử dụng AD AD domains Mặc dù AD domain thao tác với DC nhất, có nhiều DC domain Trong trường hợp đó, DC chết DC lại hoạt động bình thường Active Directory (Windows Server 2012) – 13HTH02 Page Microsoft thay đổi vài nguyên tắc từ Windows Server 2008 Microsoft tổ chức lại hệ thống AD tạo với dịch vụ liên quan: • Active • Active • Active • Active • Active Directory Domain Services (AD DS) Directory Certificate Services (AD CS) Directory Federation Services (AD FS) Directory Rights Management Services (AD RMS) Directory Lightweight Directory Services (AD LDS) Active Directory Domain Services (AD DS) AD DS hiểu danh bạ để quản lý tập trung toàn mạng AD DS cung cấp dịch vụ địa (directory services) thiết yếu để xây dựng domain, bao gồm data store, chứa thơng tin bao gồm chủ thể mạng biến chúng thành thông tin hữu ích cho user AD DS sử dụng DC để quản lý truy cập vào nguồn tài nguyên Một user truy cập vào nguồn tài nguyên đó, credentials sử dụng để truy cập vào nguồn tài nguyên mạng AD DS trái tim hệ thống AD Nó cung cấp ứng dụng directory-enable Microsoft® Exchange Server Active Directory Certificate Services (AD CS) AD CS hệ thống xử lý Microsoft cho Public Key Infrastructure (PKI) PKI tập hợp phần cứng, phần mềm, người, sách thủ tục cần có tạo, quản lý, phân phối, sử dụng, lưu trữ thu hồi chứng số (digital certificates) Active Directory (Windows Server 2012) – 13HTH02 Page AD CS cung cấp dịch vụ cần thiết nhằm vào mục đích cấp phát thu hồi chứng số cho user, client computer, server AD CS sử dụng Certificate Authorities (CAs để chứng thực tính hợp lệ user, máy tính sau cung cấp cho chứng số để chứng minh tính xác thực Trong Domains có CA gốc (root CA), CA nút gốc kiến trúc phân tầng, quản lý hết tất chứng tin cậy (trust certificate tổ chức Bên có CA phụ (subordinate CA) Trong mơ hình Workgroup có standalone root CA standalone subordinate CA End-entity: end-user dịch vụ PKI, người hay máy Certificate Authority (CA): tổ chức tin cậy có nhiệm vụ quản lý chứng số (digital certificates) CA trung tâm PKI Một CA có nhiệm vụ cấp chứng chỉ, trì tính pháp lý, quản lý chứng bị thu hồi công khai danh sách chứng bị thu hồi Danh sách chứng thu hồi gọi Certificate Revocation List (CRL) Certificate Signing Request (CSR): tập sinh end-entity user để xin chứng Những u cầu bao thơng user distinguished name public key (signature) Public Digital Certificate and Certificate Path: Chứng chi số thành phần công khai PKI Một chứng công khai (public certificate chứng nhận cho end-entity việc gắn thực thể với public key chuyên biệt End-entity có nhiệm vụ giữ private key phù hợp với chứng Chứng sử dụng cho nhiều phương thức bảo mật khác chứng số để xác thực nguồn gốc (verify the origin), tính tồn vẹn thơng tin (integrity of information tính khơng bác bỏ (non-repudiation) Certificate Revocation List (CRL): danh sách chứng bị thu hồi Danh sách kiểm tra trình chứng thực chứng người nắm giữ certificate nhằm xác minh tình trạng chứng cấp Online Certificate Status Protocol (OCSP) lựa chọn để CRL sử dụng Active Directory (Windows Server 2012) – 13HTH02 Page Active Directory Federation Services (AD FS) AD FS thành phần hỗ trợ chứng thực quản lý truy cập cho AD DS mở rộng bên ngồi Web AD FS sử dụng agents để cung cấp cho người dùng truy cập ứng dụng web bên proxies để quản lý truy cập client Một AD FS cấu hình, user sử dụng nhận dạng số (digital identities) để chứng thực thông qua Web truy cập ứng dụng web bên tổ chức thông qua trình duyệt web Internet Explorer AD FS cung cấp quyền truy cập tới ứng dụng, dịch vụ hai tổ chức thông qua web dịch vụ Single Sign-on (SSO) mà không cần tạo trust Active Directory Active Directory Rights Management Services (AD RMS) AD RMS lớp bảo vệ tất thông tin số cho tổ chức email, tài liệu, website khỏi nguồn khơng phép xem, xóa, sửa AD RMS sử dụng dịch vụ certificate để cấp quyền cho account certificate nhằm biết tính đắng user, group, dịch vụ Một user chứng minh tính pháp lý user có hồn tồn truy cập vào nguồn tài ngun thơng tin phép, làm việc với tất thơng tin hồn tồn bảo vệ Cơ chế mã hóa áp dụng để bảo vệ thơng tin bên bên ngồi tổ chức Active Directory (Windows Server 2012) – 13HTH02 Page Active Directory Lightweight Directory Services (AD LDS) AD LDS cấu trúc data store phân tầng sử dụng cho ứng dụng cần dịch vụ directory không cần đến AD DS AD DS không cần thiết phải triển khai DC AD DS không chạy dịch vụ hệ điều hành chạy môi trường domain workgroup Mỗi ứng dụng chạy server có data store riêng triển khai thơng qua AD LDS AD LDS cung cấp Lightweight Directory Access Protocol (LDAP) phù hợp với directory dịch vụ liên quan Nó dùng để cung cấp khả chứng thực dịch vụ directory cho ứng dụng thứ ba ứng dụng khác tổ chức Active Directory (Windows Server 2012) – 13HTH02 Page Như biết sơ qua Active Directory phải không !! Tiếp theo tìm hiểu Active Directory Domain Service (AD DS) đề tài mà em chọn để tìm hiểu thực hành phục vụ cho đồ án sở II XÂY DỰNG HỆ THỐNG ACTIVE DIRECTORY Giới thiệu Active Directory Domain Service (AD DS) Khi xây dựng hệ thống mạng, quản lý đối tượng, ta chọn hệ thống mạng Workgroup Domain (Để nhận biết máy tính tham gia mạng Workgroup hay Domain ta vào: run -> sysdm.cpl: có Workgroup tham gia mạng workgroup) Mạng workgroup: sử dụng số máy tính hệ thống máy nhỏ, PC độc lập với (local computer), tài nguyên PC PC tự quản lý Mạng workgroup tồn loại user local user, local user log-on, truy cập tài nguyên local computer Ưu điểm: loại chi phí thấp Chỉ cần máy tính, cable, switch xây dựng mạng workgroup Mạng Domain (domain network) sử dụng số máy nhiều Ưu điểm: quản lý tập trung dịch vụ, đối tượng Nhưng tốn chi phí cần máy làm Domain Controller (DC) Các máy tính client tham gia vào domain gọi workstation (domain member) Một máy tính cài đặt dịch vụ Active Directory (AD) trở thành DC, DC lưu trữ AD Database đảm nhiệm chức năng: - Quản lý tập trung hệ thống (user tạo AD databse log on máy mạng domain, truy cập tài nguyên mà không cần tạo user workstation mạng workgroup) - Chứng thực user log on, truy cập tài nguyên hệ thống (mạng workgroup user chứng thực local) - Triển khai Policy tác động lên user, computer hệ thống domain (mạng workgroup phải thiết lập policy máy) - Triển khai ứng dụng tự động cho user (thay đến máy cài) 2.Xây dựng mạng Domain: Đầu tiên ta phải nâng cấp DC ( xây dựng Domain Controller) Điều kiện: - Phải phiên HDH Server (trừ phiên Web) - Tồn card mạng online (có kết nối, khơng có card online ta dùng card Loopback Mirosoft) Active Directory (Windows Server 2012) – 13HTH02 Page - Tồn DNS server (điều kiện có trước hay sau được, Windows tự xây dựng trình nâng cấp DC) Bước 1: Chỉnh prefer DNS máy DC (hoặc DNS server), để truy cập tài nguyên, quản lý đối tượng tên Bước 2: Cài đặt dịch vụ Active Directory Domain Services (ADDS) cấu hình AD Thực hiện: Trên Server: 2012may1 vào run -> ncpa.cpl để prefer DNS, hệ thống khơng có DNS nên prefer máy 2012may1 Prefer DNS Trên HDH cũ 2003, 2008 ta cần đánh lệnh dcpromo để nâng cấp, đánh lệnh Windows tự động cài dịch vụ ADDS, cần nâng cấp máy thành DC Từ 2012 ta phải tự cài ADDS sau nâng cấp Mở Server Manager Server manager Active Directory (Windows Server 2012) – 13HTH02 Page Menu Manage (bên phải) chọn Add Roles and Features Ở giao diện Add Roles and Features ta Next lần Server Roles: check vào Active Directory Domain Services Xuất bảng yêu cầu add thêm feature cần thiết -> Add feature ->Next Add Roles and Features Ta Next mặc định Install Active Directory (Windows Server 2012) – 13HTH02 Page 10 Add scripts vào Đánh lệnh : Gpupdate /force 6.Deployment Software Tình huống: Cơng ty có nhu cầu 100 máy tinh cơng ty phải có phần Microsoft office => phải cài máy => tốn thời gian Triển khai: Bước 1: share source cài đặt File Server Lưu ý: share source phải tạo folder cha, sau tạo thêm folder chứa source phần mềm Rồi Share folder cha (nếu tạo folder lúc deploy được, lúc deploy không được) (Share folder Deploy Software: everyone: Read đủ) Active Directory (Windows Server 2012) – 13HTH02 Page 38 Phân Quyền Share Bước 2: tạo GPO Gpmc.msc -> chọn OU Nhan Su -> Creat a GPO … Name: GPO 9: deploy Adobe Reader -> Edit User Configuration -> Policies -> Software Setting -> Software Installation-> New -> Packet Deploy Adobe Reader Active Directory (Windows Server 2012) – 13HTH02 Page 39 Ở dòng File Name nhập nơi lưu trữ source software ( phải dùng đường dẫn UNC) \\192.168.2.100\Deploy Sofware Đường dẫn đến folder lưu trữ Source Ta Browse file msi folder Adobe Reader Sau chọn file msi xong xuất bảng thông báo cho ta chọn phương thức deploy: Ta chọn Published Active Directory (Windows Server 2012) – 13HTH02 Page 40 Chọn phương thức deploy Ta double click vào Adobe Reader X (bên phải) -> Tab Deployment Ta tùy chỉnh lại phương thức deploy Tùy chỉnh lại phương thức deploy Lưu ý: ta chọn Advanced (trong phần chọn phương pháp deploy) tự động vào cửa sổ Deployment Phần: Deployment Options: Ta thấy có option: Uninstall this application when it falls out of the scope of management (quan trọng nhất) Active Directory (Windows Server 2012) – 13HTH02 Page 41 Nếu ta khơng chọn option NS1 thuộc OU NhanSu, ta muốn đổi NS1 qua OU KeToan Adobe Reader ta deploy cho OU NhanSU máy NS1 ( CƠng ty có quy định OU KeToan được deploy Adode Reader) Nếu chọn move NS1 qua OU KeToan , sau NS1 log off hệ thống gỡ Adobe NS1 khơng viên OU NhanSu Option: Do not display this packet … Nếu dùng phương pháp published khơng check Tab Upgrades: Nếu ứng dụng có update ta Add vào, tự động GPO cài update deploy xuống cho người dùng cài đánh lệnh: Gpupdate /force V FILE SERVER (FS) VÀ SHARE PERMISSION 1.Tổng quan File Server Nói cách đơn giản, file server server dùng để lưu trữ liệu chia cho người dùng sử dụng Xây dựng File Server Hardware: Ổ cứng (HDD, SSD) lớn, có khả chịu Có card mạng online Software: Nếu FS sử dụng HDH windows client bị giới hạn số kết nối đồng thời Win XP: cho phép 10 kết nối đồng thời Win 7, 8: 20 kết nối (có thể chỉnh registry để tăng kết nối) Nếu FS sử dụng HDH họ Server nói số kết nối cao (bản Datacenter hỗ trợ tối đa 16777216 kết nối) Để File Server (print server v.v) Client liên lạc với phải đáp ứng điều kiện sau: Về Service: Mở Start -> Run -> Services.msc Phải đảm bảo dịch vụ sau phải trạng thái (status) running Startup type: Automatic - Server Active Directory (Windows Server 2012) – 13HTH02 Page 42 - Workstation - Computer Browser Nếu File Server bị disable Server Services, client truy cập vào thấy thơng báo: thiếu Server service Nếu Workstation service bị disable xuất thơng báo: thiếu Workstation service Về Firewall: có firewall phải mở port TCP, UDP port 445 Về NIC: Start -> run -> ncpa.cpl -> Properties biểu tượng network connection windows, phải đảm bảo option: Active Directory (Windows Server 2012) – 13HTH02 Page 43 + Client for Microsoft Network + File and Printer sharing for Microsoft Network Đương nhiên, để người dùng truy cập tài nguyên File Server ta phải share tài nguyên Cách Share Folder: Properties Folder -> tab sharing Ta thấy có cách share tài nguyên Share (giao diện File Sharing) Advanced Sharing Chọn Share: File sharing Ở giao diện có quyền: Read Read/ Write Active Directory (Windows Server 2012) – 13HTH02 Page 44 Chọn Advanced Sharing: Check vào share this folder Share name: hiển thị người dùng truy cập tài nguyên (ta đặt tên khác để người dùng biết liệu nằm folder nào) Chọn Permission Active Directory (Windows Server 2012) – 13HTH02 Page 45 Share permission Đây giao diện Share Permission, gồm quyền bản: - Read: đọc, copy liệu (giống read/ execute NTFS) - Change: = Read + chỉnh sửa, xóa liệu (giống Modify NTFS) - Full: toàn quyền (giống full control NTFS) Ta thấy có tương đồng Share Permission NTFS Permission Khi Folder vừa sử dụng Share permission NTFS permission quyền áp lên user giao quyền VD: Share: cho full control, NTFS cho Read/ Execute giao Full Read => Read Share: Read, NTFS: Full => kết Read Share: Read, NTFS: Write => kết khơng có quyền Và lưu ý rằng: Share Permisson tác động đến người dùng Network Access (\\), không tác động với người dùng local access (ngồi trực tiếp máy) Ta share folder Data Cách truy cập tài nguyên: Active Directory (Windows Server 2012) – 13HTH02 Page 46 Cách 1: Dùng UNC (Universal naming convention): đường dẫn mạng (hay gọi đường dẫn tuyệt đối) Cú pháp: \\[IP] [tên server]\Share name : \\192.168.1.100 Nhược điểm: gây khó khăn với người dùng Cách 2: Map Share folder thành ổ đĩa mạng máy tính (Map Network Drive), ánh xã ổ đĩa mạng từ sahre folder File Server (thực client) Client cần vào ổ đĩa thao tác với liệu start -> run -> \\192.168.1.100 Propersties -> chọn Map Network Drive map network drive Ta check vào Reconnect at sign-in: tự động connect lại user đăng nhập lần ->Finish Ổ đĩa mạng Z Ta thấy xuất ổ Z Nếu khơng thích sử dụng chuột phải vào ổ Z -> disconnect VI BACKUP AND RESTORE ACTIVE DIRECTORY 1.Tổng quan Active Directory (Windows Server 2012) – 13HTH02 Page 47 Bạn làm ngày Domain Controller chết đi, bạn phải ngồi lọ mọ làm lại từ đầu được, thời gian cơng sức bạn, Windows server 2012 cung cấp cho công cụ Backup Server, tìm hiểu quy trình cách xây dựng Backup server Xây dựng hệ thống Backup cho Server -Cài đặt Server Backup Add Roles and Features Next Next Next Next Features ta check vào Windows Server Backup Install chờ hệ thống cài đặt xong -Sau cài đặt xong Vào Manager tool Windows Server Backup Active Directory (Windows Server 2012) – 13HTH02 Page 48 Ra giao diện Windows Server Backup Backup Once… -Xuất hộp thoại, có mục: -Scheduled backup option:chọn mục bạn muốn backup lại server thời điểm giống -Different option:chọn mục bạn muốn backup lại server tùy ý thời điểm dc Ta chọn Different option Next -Tiếp tục xuất hộp thoại, có mục để chọn: Active Directory (Windows Server 2012) – 13HTH02 Page 49 -Full server: Backup lại tồn server (có khuyết điểm dung lượng lớn) -Custom: tùy chọn mục bạn muốn Backup lại Ta chọn Full server Next -Tiếp tục xuất hộp thoại, có mục để chọn: -Local driver: Chọn ổ đĩa nơi muốn lưu trữ -Remote shared folder: Chọn thư mục share server để lưu trữ Ta chọn Remote (vì ban đầu chia ổ đĩa để cài Win server thôi) Next -Xuất hộp thoại, gõ địa local vào dạng \\tênmáy\foldershare ta gõ \\server2012may1\Backup >Backup chờ hệ thống chạy xong Active Directory (Windows Server 2012) – 13HTH02 Page 50 Bây bạn thử vào xóa AD mà bạn vừa tạo, xóa AD vừa tạo CongTy sau restart lại server bấm F8 Các bạn chọn Directory Services Repair Mode Để đăng nhập vào Win bạn phải đăng nhập tài khoản cài đặt lúc ban đầu, đăng nhập tài khoản \\server2012máy\Administrator -Tiếp tục vào Tool Manager Server Backup Recover -Xuất hộp thoại Next Next gõ đường dẫn lưu trữ (\\server2012máy\Backup) Active Directory (Windows Server 2012) – 13HTH02 Page 51 -Xuất hộp thoại, có lựa chọn: -Files and folder: recover lại Files and folder -Volumes: recover lại ổ đĩa -System state: recover lại AD Ta chọn System state Next Next Recover chờ hệ thống Recover lại VII KẾT LUẬN Với dịch vụ tiện ích mình, Active Directory làm giảm nhẹ công việc quản lý nâng cao hiệu hoạt động, công việc mà thực hệ thống mạng ngang hàng, phân tán tiến hành cách dễ dàng thông qua mô hình quản lý tập trung đưa sách chung cho toàn hệ thống đồng thời ủy quyền quản trị để phân chia khả quản lý môi trường rộng lớn.Từ cài đặt máy chủ Domain Controller cho Domain tới cài thêm máy chủ DC khác cho Domain đó.Chúng ta làm chủ Active Directory Active Directory thực trái tim Windows Server 2012 TÀI LIỆU THAM KHẢO Website: http://blogs.msmvps.com/ http://technet.microsoft.com/ http://tailieu.nhatnghe.com/ http://tuhocmang.com/ http://labmicrosoft.blogspot.com/ http://thietkebaotrimang.com/ http://anvona.com/ Active Directory (Windows Server 2012) – 13HTH02 Page 52 ... quan Active Directory Trong hệ thống mạng doanh nghiệp tổ chức thành phần quan trọng khơng thể thiếu hệ thống Active Directory (AD) Hệ thống AD gần trái tim tổ chức Trong loạt tìm hiểu sơ lược hệ. .. Tổng quan Active Directory (AD) Chương II: Xây dựng hệ thống AD 2.1 Giới thiệu Active Directory Domain Service (AD DS) 2.2 Xây dựng hệ thống AD DS Chương III: Hệ thống. .. Active • Active • Active • Active Directory Domain Services (AD DS) Directory Certificate Services (AD CS) Directory Federation Services (AD FS) Directory Rights Management Services (AD RMS) Directory