Đang tải... (xem toàn văn)
Active Directory
Trang 1`TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘIKHOA CÔNG NGHỆ THÔNG TIN
-&&& -ĐỀ TÀI:
Giáo viên hướng dẫn: Nguyễn Mạnh HùngSinh viên: Nguyễn Thị Thu Huyền
Lớp: A K54
Khoa: Công nghệ thông tin
Trường Đại học Sư phạm Hà Nội.
Hà Nội 4/2008
Trang 2Phần 1 Tổng quan Active Directory
1 Giới thiệu.
2 Những Thành Phần Chính Của Hệ Thống Active Directory 3 Schema Master
3.1 Domain Naming Master
3.2 Relative Identifier (Bộ nhận dạng quan hệ) 3.3 Primary Domain Controller Emulator 3.4 Infrastructure Master
4 Cấu trúc 5 Tên.
5.1 Các nguyên tắc đặt tên cơ bản 5.2 Các tên phân biệt
5.3 Các kí tự đặc biệt trong tên
6 Directory Users và Computers console
7 Tạo một tài khoản người dùng (User Account) 8 Chỉnh sửa và bổ sung các thuộc tính của tài khoản 9 Xác lập lại mật khẩu người dùng
Trang 3Phần 2: Cài đặt một máy chủ Domain Controller cho một
1.2 Cài đặt Active Directory trên máy chủ Windows Server 2003 2 Backup & Restore
2.1 Công nghệ NTBACKUP trong Windows Server 2003.
2.2 Backup và Restore Active Directory trong máy chủ Domain Controllers a Lý thuyết
b Triển khai 3 Addtional New DC
3.1 Replication dữ liệu trong Active Directory.
3.2 Triển khai Additions Domain Controller mới vào hệ thống có sẵn a DNS trên máy chủ Domain Controller mới.
b Cài đặt Additions Domain Controller vào một domain đã có sẵn
Trang 44 Child Domain 5 Forest
6 Rename DC 7 DC vài trò Master
7.1 View Master Role
7.2 Thay đổi Master khi các Domain Controllers đều đang hoạt động tốt a Nâng Domain Master Role
b Nâng Forest Master Role
7.3 Tình huống khi Master Role bị hỏng Kết luận
TÀI LIỆU THAM KHẢO:
Trang 5
Phần 1 Tổng quan Active Directory.
1.Giới thiệu.
Khi Windows 2000 được phát hành, Microsoft tích hợp một thành phần là Active Directory Khi máy chủ Windows sử dụng Windows 2000 Server, Windows Server 2003 hay Longhorn Server, công việc của domain controller (bộ điều khiển miền) là chạy dịch vụ Active Directory
Active Directory chính là trái tim của Windows Server 2003 , hầu như tất cả mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active
Directory Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của domain như các đối tượng user, computer, group … cung cấp những dịch vụ (directory services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.
Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra
các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn.
2 Những Thành Phần Chính Của Hệ Thống Active Directory
User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số tài
khoản built-in được tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ thống, backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào
Trang 6dụng Các user sẽ dùng những tài khoản được cấp bởi administrator để log-in và domain Và truy cập dữ liệu trên file server hay các dịch vụ khác
Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ các
nhân viên của một phòng ban sale có quyền truy cập lên folder sales trên file server hoặc chúng ta muốn các nhân viên của công ty đều có quyền in đối với laser printer, chúng ta nên tạo group printing và gán quyền in trên laser printer sau đó add tất cả các nhân viên của công ty vào group printing này thay vì gán quyền in cho từng user riêng lẽ sẽ không hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thao tác chung, mặc định tất cả các user được tạo ra đều thuộc group này).
OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì
chúng ta khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng ban, bộ phận Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí như phòng ban Sales sẽ có một OU Sales và trong OU này chứa group sales, group sales sẽ bao gồm tất cả những thành viên của phòng ban sale, và những user này cũng được đặt trong OU Sales cùng với group sales Như vậy chúng ta cần phải phân biệt rõ group sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU được dùng để quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phòng ban sales trong môi trường thật được cài đât tự động MS OfficeXP hay update những bản vá nào khi đăng nhập hệ thống thì chúng ta phải tương tác qua OU Nhưng rõ ràng chúng ta không thể quản lý về quyền hạn truy cập của các user này bằng OU, chính vì vậy chúng ta cần phải tạo ra các group và gán quyền thông qua những group này Đó là những khác biệt cơ bản nhất mà chúng ta cần phân biệt
3 Schema Master
Active Directory không thực sự là một thứ gì ngoài cơ sở dữ liệu, cũng giống như cơ sở dữ liệu khác, Active Directory có một giản đồ Tuy nhiên lại không giống như các cơ sở dữ liệu khác, giản đồ của Active Directory không phải giản đồ tĩnh Có một số hoạt động cần thiết mở rộng giản đồ Ví dụ, việc cài đặt Exchange Server cần giản đồ Active Directory để được mở rộng Bất kỳ thời điểm nào diễn ra sự thay đổi giản đồ Active Directory thì những thay đổi đó cũng được áp dụng cho Schema Master
Schema Master là một thành phần rất quan trọng của các FSMO role, vì vậy Microsoft để ẩn nó không cho nhìn thấy Nếu cần phải tìm máy chủ nào đang cấu hình Schema Master role thì ta phải đưa đĩa CD cài Windows Server 2003 và kích đúp vào file ADMINPAK.MSI trong thư mục I386 Khi thực hiện điều đó, Windows sẽ khởi
Trang 7chạy Administration Tools Pack Setup Wizard Theo cửa sổ wizard để cài đặt gói các công cụ quản trị
Khi quá trình cài đặt được hoàn tất, ta đóng Setup wizard và mở Microsoft
Management Console bằng cách nhập vào dòng lệnh MMC trong cửa số lệnh RUN Khi
cửa sổ được mở, chọn Add/Remove từ menu File Sau khi chọn xong, cửa sổ sẽ hiển thị trang thuộc tính của thành phần Add/Remove Kích chuột vào nút Add để xuất hiện một danh sách có sẵn các mô đun Chọn mô đun Active Directory Schema trong danh sách và kích vào nút Add, sau đó nhấn Close và nút OK
Bây giờ mô đun đã được tải ra, kích chuột phải vào Active Directory Schema và
chọn Operations Master từ menu chuột phải Một hộp thoại sẽ xuất hiện, hộp thoại này
thông báo cho ta biết rằng máy chủ nào đang cấu hình với tư cách là Schema Master của forest
3.1 Domain Naming Master
Một rừng Active Directory có thể gồm nhiều miền Việc kiểm tra các miền này là công việc của Domain Naming Master Nếu Domain Naming Master bị lỗi thì nó không thể tạo và gỡ bỏ các miền cho tới khi Domain Naming Master quay trở lại trực tuyến
Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho một
forest, mở Active Directory Domains and Trusts, khi cửa sổ này được mở, kích chuột phải vào Active Directory Domains and Trusts và chọn Operations Masters Sau khi
chọn xong, Windows sẽ hiển thị Domain Naming master
3.2 Relative Identifier (Bộ nhận dạng quan hệ)
Active Directory cho phép quản trị viên tạo các đối tượng Active Directory trên bất kỳ bộ điều khiển miền nào Mỗi một đối tượng phải có một số hiệu nhận dạng quan hệ duy nhất để ngăn chặn các bộ nhận dạng quan hệ khỏi bị giống nhau, Relative
Identifier Master chỉ định một nhóm bộ nhận dạng quan hệ cho mỗi một điều khiển miền Khi một đối tượng mới được tạo trong một miền, bộ điều khiển miền mà đối tượng đang tạo sẽ lấy một trong những bộ nhận dạng quan hệ của nó ra khỏi nhóm và gán cho đối tượng Khi một nhóm được khai thác hết thì bộ điều khiển miền phải liên lạc với Relative Identifier Master để có thêm bộ nhận dạng quan hệ Như vậy, triệu chứng cuối cùng của Relative Identifier Master lỗi là hoàn toàn bất lực trong việc tạo các đối tượng trong Active Directory
Trang 8Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một
miền, hãy mở Active Directory Users and Computers Khi cửa số này được mở, kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters Windows sẽ
hiển thị trang thuộc tính của Operations Masters Trong cửa sổ này ta có thể chọn bộ điều khiển miền nào đang thực hiện như bộ nhận dạng quan hệ bằng cách quan sát ở tab
RID của trang thuộc tính
3.3 Primary Domain Controller Emulator
Role của PDC emulator được tạo để cho phép các bộ điều khiển miền Active Directory cùng tồn tại với các bộ điều khiển miền Windows NT Ý tưởng cơ bản ở đây là khi một tổ chức đang nâng cấp từ Windows NT lên Windows 2000 hoặc Windows Server 2003 thì PDC là bộ điều khiển miền đầu tiên được nâng cấp Ở điểm này, bộ điều khiển miền được nâng cấp gần đây hoạt động như một bộ điều khiển miền Active Directory và một PDC cho các bộ điều khiển miền vẫn đang chạy Windows NT
Role của PDC emulator ngày nay càng không liên quan nhiều hơn bởi vì rất ít các tổ chức sử dụng Windows NT Server Nếu ta cần chỉ định máy chủ nào trong miền đang cấu hình role của PDC Emulator dù cho ta có thể thực hiện điều đó bằng cách mở
Active Directory Users and Computers Khi cửa số này được mở, kích chuột phải vào
miền hiện hành và chọn Operations Masters Windows sẽ hiển thị trang thuột tính của Operations Masters Có thể xác định bộ điều khiển miền nào đang hành động như PDC
Emulator bằng cách quan sát tại tab PDC của trang thuộc tính
3.4 Infrastructure Master
Trong môi trường Active Directory, một forest có thể gồm nhiều miền Các miền Active Directory không hoàn toàn mà các thực thể độc lập mà chúng đôi khi phải
truyền thông với phần còn lại của forest Đây chính là nơi mà Infrastructure Master diễn ra Khi tạo, thay đổi hoặc xóa một đối tượng bên trong một miền, sự thay đổi sẽ được truyền một cách tự nhiên xuyên suốt miền Vấn đề là phần còn lại của forest không biết đến sự thay đổi này Đây chính là công việc của Infrastructure Master, làm thế nào để cho phần còn lại của forest biết được có sự thay đổi
Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không thể nhìn thấy trong đường biên miền Ví dụ, nếu đã đặt lại tên cho một tài khoản người dùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các miền khác trong forest
Trang 9Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master cho
một miền, mở Active Directory Users and Computers Khi cửa số này được mở, ta kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters, Windows sẽ
hiển thị trang thuộc tính của Operations Masters Ta có thể xác định được bộ điều khiển miền nào đang thực hiện với tư cách Operations Master bằng cách nhìn vào tab
Infrastructure của trang thuộc tính
4 Cấu trúc
Không có công cụ quản trị nào được sử dụng để quản lý Active Directory có thể cho xem được toàn bộ cơ sở dữ liệu của Active Directory Thay vì đó, Microsoft đã cung cấp một số công cụ khác nhau tương ứng với một lĩnh vực cụ thể của cơ sở dữ liệu Với một quản trị viên, công cụ quản trị có thể sử dụng thường là Active Directory Users and Computers console
Có thể truy cập Active Directory Users and Computers console từ bộ điều khiển
miền của Windows Server 2003 bằng cách chọn Active Directory Users and
Computers từ menu Start / All Programs / Administrative Tools của máy chủ Giao
diện của nó được thể hiện như những gì ta thấy trong hình 1
Hình 1:Giao diện Active Directory Users and Computers là một công cụ
Trang 10Nếu nhìn vào hình thì ta sẽ thấy được rằng ở đây có một số thư mục lớn, mỗi một thư mục này tương ứng với một loại đối tượng cụ thể Mỗi đối tượng trong Active Directory đều được gán một kiểu đối tượng (được biết đến như là lớp đối tượng).
Mỗi đối tượng cũng có một số thuộc tính liên quan Các thuộc tính cụ thể thay đổi phụ thuộc vào kiểu đối tượng
Ví dụ, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành các đối tượng người dùng như trong hình 2 Nếu kích chuột phải vào một trong các đối tượng người dùng này và chọn Properties từ menu chuột phải thì ta sẽ thấy được trang thuộc tính của đối tượng (như trong hình 3)
Hình 2: Thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành các đối tượng người dùng.
Trang 11Hình 3: Khi kích chuột phải vào một đối tượng người dùng và chọn Properties thì ta sẽ thấy trang thuộc tính của người dùng.
Nếu nhìn vào hình 3 thì sẽ thấy rằng có một số trường thông tin khác nhau như tên, họ, số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng Mặc dù phần lớn các trường ở trong hình đều không phổ biến nhưng trong một số tình huống thực thì các trường này có thể được sử dụng để tạo thư mục cộng tác Trong thực tế, nhiều ứng dụng được thiết kế để trích thông tin trực tiếp từ Active Directory Ví dụ, Microsoft Exchange Server (sản phẩn e-mail server của Microsoft) tạo một danh sách địa chỉ toàn cục dựa trên nội dung của Active Directory Danh sách này được sử dụng khi gửi các thông báo email đến người dùng khác trong công ty.
Nếu nhìn vào hình 4, sẽ thấy được một màn hình, trong đó đã thực hiện một tìm kiếm với tên Hershey, và Outlook đã trả toàn bộ danh sách địa chỉ toàn cục Global Address List gồm có tên Hershey Nếu nhìn vào phần kết quả của cửa sổ thì sẽ thấy
Trang 12được nơi mà Outlook hiển thị tiêu đề của người dùng, số điện thoại doanh nghiệp và vị trí mà trường đó được phổ biến Tất cả thông tin này đều được lấy từ Active Directory
Hình 4
Nếu muốn thấy các thông tin chi tiết hơn về người dùng, hãy kích chuột phải vào tên của người dùng và chọn Properties.Khi đó cửa sổ như hình 5 sẽ được hiển thị Đây không phải là một màn hình quản trị Đơn giản đây chỉ là một màn hình mà bất kỳ người dùng nào trong công ty cũng có thể truy cập trực tiếp thông qua Outlook 2007 để tìm thông tin về các nhân viên khác
Trang 13Hình 5: Xem thông tin Active Directory trực tiếp thông qua Microsoft Outlook Xét cho cùng thì Outlook là một sản phẩm của Microsoft, vì vậy nó chỉ tạo một cảm giác rằng Outlook sẽ có thể lấy thông tin từ Active Directory, một phần của một sản phẩm khác của Microsoft Tuy nhiên có rất nhiều người không nhận ra một điều, đó là khá dễ dàng cho bất cứ ai có sự cho phép thích hợp để lấy thông tin từ Active
Directory Thực tế, có rất nhiều sản phẩm của nhóm thứ ba được thiết kế để tương tác với Active Directory Một trong số chúng có khả năng lưu dữ liệu trong các phần Active Directory đặc biệt
Active Directory được dựa trên một chuẩn đã biết Active Directory được dựa trên một chuẩn có tên gọi là X.500 Chuẩn này cơ bản là một cách chung chung trong việc thực hiện dịch vụ thư mục Microsoft không chỉ là một công ty tạo dịch vụ thư mục dựa trên dịch vụ này mà Novell ban đầu cũng đã tạo dịch vụ thư mục NetWare
Directory Service trên chuẩn này
Đây cũng là một cách trong việc truy cập vào thông tin dịch vụ thư mục Trong môi trường Active Directory, việc truy cập thông tin thư mục liên quan đến việc sử dụng Lightweight Directory Access Protocol (LDAP) Giao thức LDAP chạy trên phần đỉnh của giao thức TCP/IP
Trang 14Giao thức LDAP là bất cứ tên nào được đặt cũng đều phải được phân biệt, bởi vì không có gì là ít quan trọng về nó (nó quan trọng hơn giao thức truy cập thư mục gốc, giao thức không được thiết kế để tận dụng ngăn xếp giao thức TCP/IP)
5 Tên
Mỗi đối tượng trong Active Directory đều được quy vào một tên phân biệt
(thường được viết tắt là DN) Tên phân biệt được dựa trên vị trí của đối tượng bên trong thứ bậc thư mục Có nhiều thành phần khác nhau trong tên phân biệt nhưng một số cái chung là một tên chung (được viết tắt là CN) và một miền tên (viết tắt là DC) Ví dụ, cho rằng miền Contoso.com gồm có một tài khoản có tên là User1 và tài khoản này được định vị trong thư mục Users Trong trường hợp như vậy, tên phân biệt của tài khoản người dùng sẽ là:
CN=User1, CN=Users, DC=Contoso, DC=com
Các tên phân biệt không duy nhất có trong Active Directory Microsoft đã xây dựng Active Directory để lợi dụng các chuẩn công nghiệp được sử dụng bởi nhiều công ty khác như Novell và IBM Khi nghiên cứu về chúng, ta không chỉ có được sự chuẩn bị tốt hơn cho việc quản lý Active Director mà còn có được một mức thân thiện nhất định nếu như đã từng được yêu cầu làm việc với hệ điều hành mạng không phải của Microsoft
5.1 Các nguyên tắc đặt tên cơ bản
Các tên phân biệt với nhau nhờ thuộc tính, các thuộc tính này được gán giá trị Mỗi một tên phân biệt thường gồm có nhiều cặp giá trị thuộc tính, ví dụ.
CN=User1, CN=Users, DC=Contoso, DC=com
Tên được tạo thành từ 4 cặp thuộc tính/ giá trị khác nhau, mỗi một cặp được phân biệt với nhau bằng dấu phẩy Cặp thuộc tính/ giá trị thứ nhất là CN=USER1 Trong cặp này, CN (viết tắt cho Common Name) là thuộc tính và User1 là giá trị Các thuộc tính và giá trị luôn luôn phân biệt với nhau bởi dấu bằng (=), còn các cặp thuộc tính/ giá trị được phân biệt với nhau bằng dấu phẩy (,)
5.2 Các tên phân biệt
Khi ta xem tên CN=User1, CN=Users, DC=Contoso, DC=com, mọi thứ trở thành rõ ràng ngay lập tức Nếu quan sát kỹ hơn tên phân biệt này có thể nhận ra rằng nó là hệ có thứ bậc Trong trường hợp riêng này, DC=com thể hiện mức cao của thứ bậc
Trang 15DC=Contoso thể hiện mức thứ hai Có thể nói rằng COM và Contoso là các miền bởi vì cả hai sử dụng thuộc tính DC Thứ bậc miền ‘nhại lại’ thứ bậc miền được sử dụng bởi các máy chủ DNS
Cần phải hiểu thứ bậc tên này làm việc như thế nào vì hai lý do Thứ nhất, hiểu thứ bậc, có thể biết chính xác nơi một đối tượng cụ thể được định vị bên trong thư mục Lý do khác là hiểu được bản chất của thứ bậc thư mục vì đôi khi các đường tắt sẽ được sử dụng để thay cho tên đầy đủ
CN=User1, CN=Users, DC=Contoso, DC=com Tên phân biệt này được gán cho mỗi một tài khoản người dùng (chính xác hơn là một đối tượng người dùng) có tên User1 Phần còn lại trong tên cho chúng ta biết vị trí của đối tượng trong thứ bậc thư mục
Nếu ta đang cố nói với một ai đó về vấn đề này thì có thể tình cờ đề cập đến nó như User1 Đôi khi LDAP cũng thực hiện tương tự như vậy Điều này hoàn toàn có thể vì nó không cần thiết phải cung cấp thông tin về vị trí của đối tượng trong thứ bậc nếu vị trí đã được biết
Ví dụ, nếu đang thực hiện một số hoạt động trên các đối tượng người dùng được đặt trong thư mục Users trong miền Contoso.com thì có thực sự cần thiết để tuyên bố rõ ràng rằng các đối tượng đều được đặt trong Users của miền Contoso.com hay không?
Trong tình huống này cũng như vậy, tên phân biệt thường được thay thế bởi Relative Display Name (viết tắt là RDN) Trong trường hợp CN=User1, CN=Users, DC=Contoso, DC=com, thì RDN là CN=User1 RDN luôn luôn được phân biệt của bộ nhận dạng rõ ràng nhất Nó là cặp giá trị/ thuộc tính bên trái nhất trong tên phân biệt Phần khác của tên phân biệt cũng được biết đến như tên cha Trong trường hợp điển hình này, tên cha sẽ là CN=Users, DC=Contoso, DC=com
Các tên của Microsoft thiên về dựa vào container và miền,nó chiếu theo RFC 2253 để thiết lập các nguyên tắc cho tên riêng biệt
5.3 Các kí tự đặc biệt trong tên
Một số kí tự đặc biệt gồm có dấu cộng, dấu lớn hơn, nhỏ hơn, số, dấu trích dẫn và dấu xổ ngược - back slash (\) Ta chỉ tập trung vào giới thiệu cho các ta dấu back slash Dấu này cho phép ta đưa ra một lệnh LDAP để bỏ qua kí tự theo sau Điều này cho phép lưu các kí tự bị cấm trong thư mục
Trang 16biểu diễn với tên và họ cách nhau bằng dấu phẩy Tuy nhiên LDAP không cho phép ta sử dụng lệnh CN=Smith, John vì dấu phẩy được sử dụng bởi LDAP để phân biệt các cặp thuộc tính/ giá trị Nếu muốn lưu giá trị Smith, John trong thư mục, ta có thể thực hiện bằng các tạo một dấu back slash như dưới đây:
CN=Smith\, John
Trong lệnh ở trên, dấu back slash làm cho LDAP phải coi dấu phẩy là dữ liệu chứ không phải là một phần của cú pháp câu lệnh Cách khác để thực hiện điều này là dùng dấu trích dẫn Mọi thứ bên trong dấu trích dẫn đều được coi như dữ liệu
Có một quy tắc đặc biệt với việc sử dụng dấu back slash bên trong các dấu trích dẫn Dấu back slash có thể được sử dụng để áp đặt LDAP bỏ qua các dấu back slash khác Để đơn giản, nếu ta cần gộp một dấu back slash vào phần dữ liệu thì đơn giản ta chỉ cần sử dụng hai dấu back slash thay cho một dấu Các trường hợp sự dụng dấu back slash giữa dấu trích dẫn được xem như không hợp lệ
6 Directory Users và Computers console
Windows Server 2003 có một số công cụ khác được sử dụng cho việc quản lý AD Công cụ quản lý AD này cho phép sử dụng hầu hết các nhiệm vụ quản lý hàng ngày đó là Directory Users và Computers console Như tên của nó, công cụ này được sử dụng để tạo, quản lý và xóa các tài khoản người dùng và máy tính
Ta có thể truy cập vào công cụ này bằng cách kích chuột vào nút Start của máy chủ và từ menu Start tìm đến All Programs / Administrative Tools Tùy chọn Active Directory Users and Computers ở gần phía trên của menu Administrative Tools Chỉ có các bộ điều khiển miền mới có tùy chọn này, vì vậy nếu không quan sát thấy lệnh Active Directory Users and Computers thì phải đăng nhập vào bộ điều khiển miền
Ta phải chú ý, menu Administrative Tools gồm có một cặp công cụ AD khác: Active Directory Domains and Trusts và Active Directory Sites and Services.
Khi mở mục Active Directory Users and Computers, sẽ thấy xuất hiện một màn hình giống như hình 6 dưới đây Ta có thể xem lại từ các phần trước trong loạt bài này, AD có forest, forest này gồm có một hoặc nhiều miền Mặc dù forest thể hiện toàn bộ AD nhưng bảng điều khiển Active Directory Users and Computers không cho phép làm việc với AD ở mức forest Giao diện này chỉ là một công cụ mức miền Thực tế, nếu nhìn vào hình 6 sẽ thấy production.com được đánh dấu Production.com là một miền trên mạng Tất cả các mục khác được liệt kê bên dưới đều là đối tượng của miền AD cho từng miền
Trang 17Hình 6: Giao diện Active Directory Users and Computers cho phép quản lý các miền riêng lẻ
Ta có thể thấy rằng production.com là một trong các miền trên mạng và không có miền nào khác được liệt kê trong hình 6 Điều đó là vì Active Directory Users and Computers chỉ liệt kê một miền tại một thời điểm để giữ cho giao diện trông gọn gàng Miền được liệt kê trong giao diện tương ứng với bộ điều khiển miền mà ta đã đăng nhập Ví dụ, ta đã đăng nhập vào một trong các bộ điều khiển miền đó là
production.com, vì vậy Active Directory Users and Computers sẽ kết nối đến miền production.com
Vấn đề ở đây là các miền đó thường bị phân tán về mặt địa lý Ví dụ, trong công ty lớn phải có các miền khác nhau cho mỗi văn phòng của công ty Nếu lúc này ta đang ở Miami, Florida và miền khác của công ty hiện diện cho một văn phòng tại Las Vegas, Nevada thì nó sẽ không phải di chuyển một quãng đường lớn dọc toàn nước Mỹ mỗi khi ta cần quản lý miền Las Vegas
Mặc dù Active Directory Users and Computers mặc định hiển thị miền có liên quan đến bộ điều khiển miền mà ta đã đăng nhập, nhưng vẫn có thể sử dụng giao diện này để hiển thị bất kỳ miền nào mà ta có quyền thao tác với chúng Tất cả những gì cần
Trang 18Connect to Domain từ menu chuột phải Khi thực hiện như vậy sẽ có một màn hình được hiển thị, màn hình này cho phép đánh vào đó tên miền mà ta muốn kết nối hoặc kích vào nút Browse và duyệt miền
Khi một miền được đặt ở xa thì ta có thể rất khó để đăng nhập trực tiếp vào bộ điều khiển miền Ví dụ, trong một số văn phòng, trong đó các bộ điều khiển miền được đặt trong các tòa nhà riêng biệt hoặc không có điều kiện thuận lợi cho ta đăng nhập vào bộ điều khiển miền để thực hiện công việc bảo trì hàng ngày
Tuy nhiên ta không cần phải đăng nhập vào bộ điều khiển miền để truy cập vào giao diện Active Directory Users and Computers mà chỉ cần đăng nhập vào bộ điều khiển miền để truy cập vào giao diện Active Directory Users and Computers từ menu Administrative Tools Ta có thể truy cập giao diện này với tư cách máy chủ thành viên bằng cách nạp một cách thủ công nó vào Microsoft Management Console
Để thực hiện điều đó, ta nhập lệnh MMC vào cửa sổ lệnh RUN của máy chủ Khi
thực hiện xong máy chủ sẽ mở một Microsoft Management Console trống Tiếp theo đó
ta chọn lệnh Add / Remove Snap-In từ menu File của giao diện điều khiển Windows lúc này sẽ mở cửa sổ thuộc tính của Add / Remove Snap-In Kích nút Add trên tab
Standalone trong cửa sổ thuộc tính, sẽ thấy một danh sách các snap-in có sẵn Chọn tùy
chọn Active Directory Users and Computers từ danh sách snap-in đó và kích Add, tiếp theo đó là Close và OK Giao diện điều khiển lúc này sẽ được nạp
Trong một số trường hợp load giao diện theo cách này có thể gây ra lỗi Nếu xuất hiện lỗi và giao diện không cho phép quản lý miền sau khi kích chuột phải trên
mục Active Directory Users and Computers và chọn lệnh Connect to Domain
Controller từ menu chuột phải Lúc này ta có thể kết nối giao diện điều khiển đến một
bộ điều khiển miền nào đó mà không cần đăng nhập vào bộ điều khiển miền đó Bằng cách đó ta sẽ có thể quản lý được miền giống như trong giao diện điều khiển của bộ điều khiển miền
Kỹ thuật đó làm việc sẽ rất thú vị nếu ta có một máy chủ , nhưng điều gì sẽ xảy ra nếu máy trạm làm việc đang sử dụng Windows Vista, và tất cả máy chủ đều nằm bên phía bên kia của tòa nhà
Một trong những giải pháp đơn giản nhất để giải quyết vấn đề này đó là thiết lập một phiên RDP cho một trong những máy chủ RDP là giao thức máy trạm từ xa
(Remote Desktop Protocol) Giao thức này sẽ cho phép điều khiển từ xa các máy chủ trong tổ chức Trong môi trường Windows Server 2003 ta có thể kích hoạt một phiên từ
xa bằng cách kích chuột phải vào My Computer và chọn lệnh Properties từ menu chuột
Trang 19phải Khi đó ta sẽ thấy đươc cửa sổ thuộc tính của hệ thống Vào tab Remote và chọn hộp kiểm Enable Remote Desktop on this Computer (xem hình 7)
Hình 7: Cấu hình một máy chủ để hỗ trợ các kết nối máy trạm từ xa (Remote Desktop)
Để kết nối đến máy chủ từ máy Windows Vista,chọn lệnh Remote Desktop Connection từ menu All Programs / Accessories Khi thực hiện xong, ta sẽ thấy màn
hình xuất hiện như màn hình thể hiện dưới hình C Lúc này hãy nhập vào tên máy chủ
của ta và kích nút Connect để thiết lập một phiên điều khiển xa
Trang 20Hình 8: Có thể kết nối đến một máy chủ từ xa dễ dàng hơn bằng Windows Vista
7 Tạo một tài khoản người dùng (User Account)
Một trong những sử dụng thấy nhiều nhất ở Active Directory Users trong Computers console là tạo các tài khoản người dùng mới Để thực hiện điều đó, ta mở mục tương ứng với miền chứa người dùng, chọn mục Users Sau khi thực hiện như vậy, một panel chi tiết của giao diện sẽ hiển thị tất cả tài khoản người dùng đang tồn tại trong miền (như trong hình 9)
Hình 9: Chọn mục Users, giao diện điều khiển sẽ hiển thị tất cả các tài khoản người dùng trong miền
Trang 21Bây giờ kích chuột phải vào mục Users và chọn New Khi đó ta sẽ thấy được các menu con, từ menu con này có thể chọn nhiều kiểu đối tượng khác nhau mà ta có thể tạo Nói về kỹ thuật, Users chỉ là một mục và ta có thể đưa vào rất nhiều kiểu đối tượng Tuy vậy sẽ không tốt nếu ta thực hiện lưu nhiều đối tượng khác hơn là các đối tượng người dùng trong mục Users Với trường hợp bài này đưa ra, ta chọn lệnh Users từ các menu con Khi đó sẽ thấy một hộp thoại xuất hiện như trong hình 10
Hình 10: Hộp thoại New Object – User cho phép tạo tài khoản người dùng mới Như những gì thấy trong hình, Windows ban đầu chỉ yêu cầu nhập vào một số thông tin cơ bản về người dùng Mặc dù cửa sổ này hỏi nhiều thứ khác như tên và họ, nhưng về mặt kỹ thuật thì nó không cần thiết lắm Phần thông tin cần thiết mà ta cần phải cung cấp đó là tên đăng nhập của người dùng, ta nên điền đầy đủ thông tin vào các trường này, vì tài khoản người dùng không hơn gì một đối tượng sẽ cứ trú bên trong Active Directory Các thành phần như tên và họ là thuộc tính của đối tượng người dùng mà ta đang tạo Càng nhiều thông tin về thuộc tính thì các thông tin được lưu bên trong Active Directory sẽ càng trở lên hữu dụng Xét cho cùng, Active Directory là một cơ sở dữ liệu mà ta có thể truy vấn thông tin Trong thực tế, nhiều ứng dụng làm việc bằng cách trích rút các thuộc tính khác nhau từ Active Directory Khi đã điền đầy các trường này, kích nút Next, khi đó ta sẽ thấy màn hình tiếp theo xuất hiện như trong hình 11 dưới đây
Trang 22Hình 11: Cần phải gán mật khẩi cho tài khoản mới
Việc gán một mật khẩu là hoàn toàn đơn giản, tất cả những gì cần làm là đánh và nhập lại mật một mật khẩu Mặc định, người dùng thường bị yêu cầu thay đổi mật khẩu cho lần đăng nhập kế tiếp Tuy vậy, ta có thể tránh trường hợp này bằng cách xóa hộp kiểm “User Must Change Password at Next Logon” Cũng có nhiều hộp kiểm khác cho phép ngăn chặn người dùng thay đổi tất cả các mật khẩu của họ Ta có thể tùy chọn để thiết lập thời hạn vô hạn cho mật khẩu hoặc vô hiệu hóa toàn bộ tài khoản
Có một điều cần phải lưu ý là màn hình để thiết lập mật khẩu ở trên không phải là tất cả Khi ta gán mật khẩu cho một tài khoản người dùng mới, mật khẩu này phải tuân theo chính sách bảo mật của công ty ta Nếu mật khẩu sử dụng không có các yêu cầu cần thiết đã được đưa ra bởi chính sách nhóm có thể áp dụng thì tài khoản người dùng này sẽ không được tạo
Kích Next ta sẽ thấy một màn hình hiển thị toàn bộ các tùy chọn mà ta đã chọn Xác nhận tất cả các thông tin đều đúng, khi đó chỉ cần kích Finish và một tài khoản người dùng mới sẽ được tạo
8 Chỉnh sửa và bổ sung các thuộc tính của tài khoản
Active Directory gồm nhiều thuộc tính kèm theo có liên quan đến các tài khoản của người dùng
Trang 23Có một số thuộc tính mà ta có thể rất dễ sử dụng và có ích Các thuộc tính đang cư trú mà có liên quan đến thông tin liên hệ cơ bản Trong thực tế, một số công ty thường tạo các thư mục công ty dựa trên thông tin được lưu trong thuộc tính Active Directory này, nó vẫn là một ý tưởng tốt cho việc định cư thông tin tài khoản người dùng trong Active Directory Ví dụ, với mục đích cần khởi động lại một máy chủ, trong khi đó một người dùng vẫn đăng nhập vào ứng dụng cư trú trên máy chủ Nếu có các thông tin liên hệ của người dùng được lưu trong Active Directory thì ta có thể tra cứu số điện thoại của người dùng một cách dễ dàng và gọi cho người dùng này yêu cầu họ đăng xuất
Để truy cập vào các thuộc tính tài khoản người dùng khác nhau, đơn giản ta chỉ cần kích chuột phải vào tài khoản người dùng được chọn, sau đó chọn Properties Sau khi thực hiện như vậy, ta sẽ gặp một màn hình như trong hình 11
Hình 11: Trang thuộc tính của người dùng được sử dụng để lưu thuộc tính và thông tin cấu hình cho tài khoản người dùng.
Trang 24Như có thể thấy được trên hình, tab General có thể cho phép thay đổi tên hoặc tên hiển thị của người dùng Ta cũng có thể điền vào (hoặc thay đổi) một số trường khác như phần mô tả, văn phòng, điện thoại, email, hoặc website Nếu quan tâm đến việc lưu trữ thêm các thông tin chi tiết hơn về người dùng thì ta có thể duyệt qua các tab
Address, Telephones, và Organization Các tab này có tất cả các trường dành cho việc lưu trữ thông tin chi tiết hơn về người dùng
9 Xác lập lại mật khẩu người dùng
Ta có thể thấy trên hình 11 có rất nhiều tab khác nhau Hầu hết các tab này đều liên quan đến bảo mật và cấu hình cho tài khoản người dùng Một thành phần mà hầu hết các quản trị viên mới dường như đều phát hiện ra khi khám khá các tab này đó là không có tùy chọn cho việc thiết lập lại mật khẩu của người dùng
Nếu cần phải thiết lập lại mật khẩu của người dùng thì ta phải đóng cửa sổ này Sau khi thực hiện điều đó, ta kích chuột phải vào tài khoản người dùng và chọn lệnh Reset Password trong menu chuột phải
10 Tạo các nhóm
Trong môi trường miền, các tài khoản người dùng là rất cần thiết Tài khoản người dùng cho phép một người dùng được phân biệt với các người dùng khác trên mạng Điều này có nghĩa là ta hoàn toàn có thể kiểm tra hành động trực tuyến của người dùng và cũng có thể trao cho tài khoản người dùng một tập hợp cho phép, gán cho người dùng một địa chỉ email duy nhất, và có được tất cả các cần thiết khác của mỗi người
Dù ta quản lý một mạng rất nhỏ thì cũng nên xử lý mạng nhỏ này như nó là một mạng lớn, bởi vì ta sẽ không thể biết được mạng của ta sẽ phình ra trở thành một mạng lớn vào khi nào Bằng việc sử dụng các công nghệ quản lý tốt ngay từ khi bắt đầu sẽ giúp ta tránh được những cơn ác mộng sau này
Một nhóm có thể gồm có nhiều tài khoản người dùng Khi các thiết lập bảo mật được gán ở mức nhóm thì ta sẽ không bao giờ nên gán các cho phép trực tiếp đến tài khoản người dùng mà thay vì đó ta nên gán sự cho phép cho một nhóm, sau đó tạo cho người dùng là một thành viên trong các nhóm đó
Điều này có thể gây ra một chút phức tạp Giả dụ rằng một trong số các máy chủ file có
một thư mục tên Data, và ta cần phải đồng ý cho một người dùng truy cập (đọc) thư
mục Data này Thay vì gán trực tiếp sự cho phép cho người dùng, hãy tạo một nhóm
Trang 25Để thực hiện điều đó, bạn mở Active Directory Users and Computers console Khi giao diện được mở, kích chuột phải vào mục Users, chọn lệnh New | Group Bằng
cách làm như vậy, sẽ thấy xuất hiện một màn hình tương tự như màn hình được hiển thị trong hình 12 Tối thiểu, ta cũng phải gán tên cho một nhóm Để dễ dàng cho quản lý,
chúng ta hãy gọi nhóm này là Data, vì nhóm này sẽ được sử dụng để bảo vệ thư mục
Data Lúc này, không quan tâm về phạm vi của nhóm hoặc các thiết lập kiểu của nó
Hình 12: Nhập vào tên nhóm mà ta đang tạo
Kích OK, và nhóm Data sẽ được bổ sung vào danh sách người dùng như trong
hình B Lưu ý rằng, biểu tượng của nhóm sử dụng hai đầu người, điều đó chỉ thị rằng nó là một nhóm, biểu tượng một đầu người được sử dụng cho tài khoản người dùng
Trang 26Hình 13: Nhóm Data được bổ sung vào danh sách người dùng
Bây giờ kích đúp vào nhóm Data, ta sẽ thấy trang thuộc tính của nhóm Chọn tab
Members của trang thuộc tính, kích nút Add Lúc này ta hoàn toàn có thể bổ sung thêm
các tài khoản người dùng vào nhóm Các tài khoản bổ sung là các thành viên nhóm Ta có thể thấy những gì trong tab này thông qua hình 13
Trang 27Hình 14: Tab Members liệt kê tất cả các thành viên của nhóm
Lúc này là thời điểm đưa nhóm ra làm việc Để thực hiện điều này, ta kích chuột
phải vào thư mục Data, chọn lệnh Properties Khi đó ta sẽ thấy xuất hiện trang thuộc tính của thư mục Vào tab Security của trang này, kích nút Add Khi được nhắc nhở, ta nhập vào tên của nhóm đã tạo (Data) và kích OK ta hoàn toàn có thể thiết lập một tập
các cho phép (điều khoản) đối với nhóm Bất cứ điều khoản nào áp dụng cho nhóm cũng được áp dụng cho các thành viên của nhóm Có thể thấy trong hình 14, có một số quyền được áp dụng đối với thư mục một cách mặc định Tốt nhất nên xóa các quyền này (Users group) ra khỏi danh sách điều khiển truy cập để ngăn chặn các mâu thuẫn điều khoản
Trang 28Hình 15: Nhóm Data được bổ sung vào danh sách điều khiển truy cập của thư mục Sẽ mất rất nhiều công sức để tìm ra được người dùng nào đã truy cập vào tài nguyên? Khi các nhóm được sử dụng, quá trình này trở nên đơn giản rất nhiều Nếu ta cần biết người dùng nào đã truy cập vào thư mục, hãy xem các nhóm nào đã truy cập vào thư mục đó trước như trong hình 15 Khi đã xác định được nhóm có thể truy cập vào thư mực, việc tìm ra ai có các quyền truy cập vào thư mục cũng đơn giản như việc kiểm tra danh sách các thành viên nhóm (như trong hình 14) Bất cứ thời điểm nào những người dùng khác cần truy cập vào thư mục, hãy bổ sung tên của họ vào danh sách thành viên nhóm Ngược lại, ta cũng có thể xóa các điều khoản cho thư mục bằng các xóa tên của người dùng khỏi danh sách thành viên
11 Các nhóm bảo mật.
Trang 29Mỗi một kiểu nhóm có một mục đích cụ thể.
Hình 16: Windows cho phép ta tạo một số kiểu nhóm khác nhau.
Nếu nhìn vào hộp thoại hiển thị bên trên, ta sẽ thấy được vùng Group Scope cung cấp một số tùy chọn để tạo nhóm domain local, global, hay universal Ngoài ra cũng có một kiểu nhóm thứ 4 không được hiển thị ở đây, nó được gọi một cách đơn giản là nhóm local
11.1 Local Group
Các nhóm local là các nhóm riêng cho từng máy tính Ta sẽ biết về nó ngay bây giờ, các máy tính cục bộ có thể gồm có nhiều tài khoản người dùng độc lập hoàn toàn với các tài khoản thuộc về miền máy tính đó được kết nối tới Chúng được biết đến như các tài khoản người dùng cục bộ, và chúng chỉ có khả năng truy cập từ máy tính mà chúng cư trú Thêm nữa, các tài khoản người dùng cục bộ cũng chỉ có thể tồn tại trên các máy trạm và trên các máy chủ thành viên Các bộ điều khiển miền không cho phép tồn tại các tài khoản người dùng cục bộ Cần lưu ý những vấn đề đó thì ta sẽ không hề ngạc nhiên khi các nhóm đó chỉ đơn giản là các nhóm riêng cho từng máy chủ thành viên hay máy trạm làm việc Một nhóm local thường được sử dụng để quản lý các tài khoản người dùng cục bộ Ví dụ, nhóm local Administrators cho phép ta có thể chỉ rõ người dùng nào là quản trị viên trên máy tính cục bộ
Trang 30Mặc dù nhóm local chỉ có thể được sử dụng để bảo đảm việc cư trú của tài nguyên trên máy tính cục bộ nhưng điều đó không có nghĩa rằng các thành viên trong nhóm cũng bị hạn chế đối với những người dùng cục bộ này Trong khi đó một nhóm local có thể và thường gồm những người dùng cục bộ thì nó cũng gồm có cả các người dùng trong miền Hơn nữa các nhóm local cũng có thể gồm có cả các nhóm khác cư trú ở mức miền Ví dụ, ta có thể tạo cho một nhóm universal một thành viên của nhóm local, các thành viên của nhóm universal về cơ bản sẽ trở thành các thành viên của nhóm local Trong thực tế, một nhóm local có thể gồm local user, domain user, domain local group, global group và universal group
Chú ý, một nhóm local không thể chứa một nhóm local khác Ta dường như cảm thấy có thể thả một nhóm này vào trong một nhóm khác, nhưng không thể làm như vậy với nhóm local Một số thành viên tại Microsoft đã có lần giải thích lý do cho vấn đề này là để ngăn chặn một tình huống mà ở đó hai nhóm local trở thành các thành viên của nhau
Một vấn đề khác nữa là các nhóm local đó chỉ có thể gồm domain users và domain level groups nếu máy tính gồm nhóm local là một thành viên thuộc miền Ngược lại, nhóm local chỉ có thể gồm local users
11.2 Domain Local Groups
Ý tưởng của nhóm domain local dường như hoàn toàn trái ngược với Local Lý do tại sao các nhóm domain local tồn tại là vì các bộ điều khiển miền không có cơ sở dữ liệu tài khoản cục bộ Điều này có nghĩa rằng không có các thứ khác như vậy khi người dùng cục bộ hay các nhóm local trên một bộ điều khiển miền Thậm chí các bộ điều khiển miền có các tài nguyên cục bộ cần được quản lý Đây chính là nơi các nhóm domain local thực hiện vai trò của nó
Khi ta cài đặt Windows Server 2003 trên một máy tính, máy tính sẽ được bắt đầu như một máy chủ độc lập hay một máy chủ thành viên chẳng hạn Trong cả hai trường hợp đó thì tài khoản người dùng cục bộ và nhóm cục bộ đều được tạo ra trong suốt quá trình cài đặt Bây giờ mục đích của ta là muốn chuyển đổi một máy vào một bộ điều khiển miền Khi ta chạy DCPROMO, các nhóm local và tài khoản người dùng cục bộ được chuyển đổi vào các nhóm domain local và tài khoản người dùng domain
Ở đây, tất cả các bộ điều khiển miền bên trong một miền đều chia sẻ một cơ sở dữ liệu tài khoản người dùng chung với nhau Điều đó có nghĩa là nếu ta thêm một người dùng vào nhóm domain local trên một bộ điều khiển miền thì người dùng này sẽ
Trang 31là một thành viên của nhóm domain local trên mọi bộ điều khiển miền trong tòan bộ miền
Các nhóm domain local là có hai kiểu khác nhau Như chúng tôi đã đề cập tới, khi DCPROMO được chạy, nhóm local được chuyển đổi thành các nhóm domain local Bất kỳ nhóm domain local nào được tạo ra bằng việc chạy DCPROMO đều được định vị trong thư mục Builtin trong Active Directory Users and Computers console, xem hình B
Hình 17: Các nhóm domain local đã tạo bởi DCPROMO cư trú trong Builtin container Vấn đề này khá quan trong là vì có một số hạn chế áp đặt trên một số nhóm domain local Các nhóm bị hạn chế này không thể bị chuyển hoặc bị xóa Hay nói cách khác ta không thể tạo cho các nhóm này là thành viên của nhóm domain local khác
Những hạn chế này không áp dụng cho các nhóm domain local mà ta tạo Các nhóm domain local mà ta tại sẽ tồn tại trong mục Users Từ đó, ta hoàn toàn thoải mái chuyển hoặc xóa chúng mặc theo ý thích của ta
11.3 Global Groups
Trang 32Global groups là một kiểu nhóm được sử dụng phổ biến nhất Trong hầu hết các trường hợp, nhóm global đơn giản chỉ làm việc như một bộ sưu tập các tài khoản người dùng Active Directory Thứ mà chúng ta cần quan tâm về các nhóm này là chúng có thể được đặt bên trong nhau Ta có thể tạo cho nhóm global một thành viên của một nhóm global khác, miễn là cả hai nhóm này tồn tại bên trong cùng một domain
Cần phải lưu ý rằng, các nhóm global này chỉ có thể có tài nguyên Active Directory Chính vì vậy ta không thể định vị một tài khoản người dùng nội bộ hoặc nhóm nội bộ trong nó Mặc dù vậy ta lại vẫn có thể thêm vào nhóm global này một nhóm local Trong thực tế làm như vậy là cách thường được sử dụng nhất đối với việc cấp các quyền cho người dùng miền để họ có thể thao tác với các tài nguyên được lưu trên máy tính cục bộ Ví dụ, với mục đích ta muốn cho các nhà quản lý trong công ty có được các quyền quản trị viên đối với các máy trạm của họ (nên nhớ rằng đây chỉ là một ví dụ chứ không phải là một lời khuyên răn ta nên làm như vậy) Để thực hiện điều đó, ta có thể tạo một nhóm global có tên gọi Managers và đặt mỗi một tài khoản người dùng miền của người ta muốn làm trong nó Sau đó ta có thể bổ sung nhóm Managers vào nhóm local Administrators của máy trạm, theo cách đó ta đã làm cho các nhà quản lý của ta có được quyền của quản trị viên trên các máy trạm đó.
Phần 2: Cài đặt một máy chủ Domain Controller cho mộtDomain
Active Directory là dịch vụ hệ thống quan trọng bậc nhất với vai trò quản lý dữ liệu người dùng, máy tính, groups, và các chính sách cũng như rất nhiều thông tin khác Để triển khai hệ thống Active Directory chuẩn, tránh các sự cố liên quan là điều cần thiết Sau đây tôi sẽ trình bày từ cài đặt 1 máy chủ Domain Controller cho một Domain tới cài thêm một máy chủ DC khác cho Domain đó, bao gồm:
1 Cài đặt Active Directory trên Windows Server 20032 Backup Active Directory
3 Cài đặt thêm một máy chủ Active Directory vào một Domain đã có4 Cài đặt Multiple Domain cho một hệ thống.
a Cài đặt Active Directory trên một Forest mới.
Trang 33b Cài đặt Active Directory trên một domain con5 Đổi tên Domain
6 Chuyển Master của Domain.
Để có thể cài đặt và cấu hình lên một hệ thống như dưới đây.
1 Cài đặt Active Directory trên Windows Server 20031.1 Cài đặt và cấu hình DNS
Khi cài đặt Active Directory trên Windows Server 2003 thì nên cài đặt DNS trước với các thiết lập chuẩn.
- Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình.
- Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập của mình vào trong DNS.
Trang 34a Đặt địa chỉ IP cho máy chủ - Static IP và DNS vào DNS của chính máy mình.
Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là 192.168.100.11, DNS cũng là 192.168.100.11.
b Cài đặt và cấu hình DNS
- Vào Start à chọn Administrative Tools à Manage Your Server
- Trong cửa sổ Manage Your Server chọn phần đầu tiên Add or Remove a Role rồi chọn cài đặt DNS nhấn Next và hệ thống sẽ yêu cầu bạn bộ cài Windows Server 2003 bạn cho đĩa CD hoặc trỏ đường dẫn tới thư mục i386 của bộ cài là OK Kết thúc cài đặt
- Tạo Zone trong DNS: Vào Start à Administrative Tools à DNS sẽ xuất hiện cửa sổ DNS Trong phần tạo Zone này các bạn sẽ phải tạo dạng Forward Lookup Zone Dạng Primary Zone.
- Chuột phải vào Forward Lookup zone chọn New Zone.
Trang 35Nhấn Next hệ thống yêu cầu tên Zone cần tạo tôi chọn là vnexperts.net
Sau khi gõ tên đầy đủ của Zone cần tạo ra bạn nhấn Next để thực hiện bước tiếp tục, chọn Allow Dynamic Update đây là bắt buộc để khi cài đặt Active Directory sẽ tự
Trang 36Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS Công việc chưa kết thúc, ta vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS.
- Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory, nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên Zone vừa tạo ra.
Trang 37Chỉnh lại NS Record bằng cách tương tự.
Trang 38Tạo ra một Record để kiểm tra xem hệ thống DNS hoạt động đã chuẩn hay chưa Ở đây ta tạo ra một Host A record là Server01.vnexperts.net địa chỉ IP là
- Chuột phải vào vnexperts.net Zone chọn Host A record
Trang 39Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn: Ping server01.vnexperts.net nếu có reply là ok.
OK hoàn tất quá trình cài đặt và thiết lập DNS chuẩn bị cho việc cài đặt Active Directory.
Trang 40Chúng ta có thể vào cửa sổ Manage Your Server chọn Add or Remove a Role để cài đặt Active Directory nhưng cách mọi người hay sử dụng là vào Run gõ dcpromo.
- Vào Run gõ dcpromo sẽ xuất hiện cửa sổ sau
Các bạn nhấn Next để tiếp tục quá trình cài đặt Active Directory Vào cửa sổ giới thiệu tương thích với các Windows của Active Directory.
