Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 24 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
24
Dung lượng
2,68 MB
Nội dung
70-413: Thiết kế triển khai sở hạ tầng mạng 139 Bài 7: Thiết kế cấu trúc OU triển khai mơ hình ủy quyền quản lý Active Directory I Mục tiêu: Thiết kế cấu trúc OU Triển khai cấu trúc OU Triển khai mơ hình ủy quyền quản trị hệ thống AD DS II Kịch bản: Trong khứ, công ty A Datum sử dụng cách tiếp cận tập trung để quản lý sở hạ tầng CNTT Tuy nhiên, cơng ty mở rộng sang nước khác, cách tiếp cận tập trung khơng hiệu Vì vậy, giám đốc IT mong muốn đội ngũ thiết kế Active Directory đưa giải pháp thay đổi cấu quản lý Active Directory để đáp ứng yêu cầu Công ty A Datum mở rộng hoạt động kinh doanh thơng qua thương vụ mua lại cơng ty Contoso Trey Research Giám đốc IT họ quan tâm đến đảm bảo đồng Active Directory phân giải tên công ty Tuy nhiên, giám đốc IT có kế hoạch cho phép nhóm IT địa điểm tự quản lý đối tượng Active Directory hệ thống Tóm tắt thông tin ba công ty: - A Datum: Chịu trách nhiệm sở hạ tầng Active Directory Quản lý tài khoản quản trị (Administrator) nhóm liên quan Có ba địa điểm chính: London, Toronto, Sydney (Địa điểm nhỏ không đưa vào dự thảo thiết kế.) Cung cấp số máy chủ doanh nghiệp Có đội ngũ chuyên dụng để tạo xóa User account Có đội ngũ hỗ trợ người dùng, chẳng hạn thiết lập lại mật Có phận IT trung tâm, người chịu trách nhiệm quản lý máy client server nội - Trey Research: Sau sáp nhập vào Adatum.com, cấu trúc OU nên hỗ trợ cho việc Sẽ không tích hợp research.treyresearch.net - Contoso: Sau sáp nhập vào Adatum.com, cấu trúc OU nên hỗ trợ cho việc Có File server, cung cấp nơi lưu trữ cho tất người dùng doanh nghiệp MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 140 III Yêu cầu tổng quan: Thiết kế cấu trúc OU đáp ứng yêu cầu sau: Đối với mục đích quản lý, sử dụng tài khoản quản trị cá nhân Nhóm IT A Datum phải nhóm thay đổi cấu hình domain, cấu hình site, tạo OU cấp 1, quản lý domain controller, tạo quản lý tài khoản quản trị Tạo điều kiện hội nhập tương lai Contoso Trey Research vào cấu trúc OU A Datum (không bao gồm domain research.treyresearch.net) Một nhóm IT văn phòng London tạo xóa tất User Group domain Adatum.com Mỗi văn phòng trung tâm khu vực phải có nhóm IT, có trách nhiệm khắc phục cố máy tính hỗ trợ người dùng khu vực mà họ quản lý Các nhóm IT phải có quyền truy cập vào tất server văn phòng họ (trừ domain controller) Mỗi phận phải có nhóm IT có quyền thiết lập lại mật cho người dùng họ Nhóm IT A Datum có trách nhiệm quản lý máy chủ ứng dụng toàn doanh nghiệp, phải quản lý quyền truy cập vào ứng dụng tài nguyên lưu trữ máy chủ Kế hoạch có ba máy chủ sau đây: SQL, WEB, APP Người sử dụng từ Contoso.com người sử dụng từ tất văn phòng khác phải có khả truy cập liệu File server Paris Quy trình để tạo thêm nhiều tài khoản người dùng lúc, thay đổi thuộc tính cho số lượng lớn tài khoản (User, Group, Computer Account) phải tự động hóa MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng Cấu trúc OU cần tạo sau: MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 141 70-413: Thiết kế triển khai sở hạ tầng mạng 142 Danh sách goup cần tạo sau: Tên Group Loại Thành viên London- UserGroupProvisioning Global acl_adatum-users_ccdc Domain Local acl_adatum-groups_ccdc Domain Local Enterprise-ServerOps Global acl_enterprise_serveroperator Domain Local Marketing-Admins Global acl_Users-Marketing_resetpwd Domain Local Xyz-Department-Admins Global acl_xyzDepartment_resetpwd Domain Local London-Admins Global acl_clients- London_computer_ccdc Domain Local London-Admins acl_servers- London_computer_ccdc Domain Local London-Admins Mơ tả Tạo, xóa User Group Adatum LondonUserGroupProvi sioning LondonUserGroupProvi sioning Quản lý application servers EnterpriseServerOps Quản lý user Marketing MarketingAdmins Quản lý user phòng ban xyz XyzDepartmentAdmins Quản lý máy client server London MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 143 Ủy quyền quản lý cho group theo bảng sau: Group Ở đâu Quyền Áp dụng cho acl_adatum- Adatum\Users Create User objects Delete All descendant User objects objects users_ccdc acl_adatum- Adatum\Group Create Group objects Delete All descendant groups_ccdc Group objects acl_enterprise- Dùng GPO để cấp quyền quản lý serveroperator Server acl_Users- Adatum\Users Marketing_resetp \Marketing Reset passwords objects Descendant User objects wd acl_clients- Adatum\Client Create Computer objects London_computer_ s\London Delete Computer objects ccdc Ngoài ra, dùng GPO để cấp quyền local admin acl_servers- Adatum\Serve Create Computer objects London_computer_ rs\London Delete Computer objects, ccdc Ngoài ra, dùng GPO để cấp quyền quản lý IV Mơ hình thực hành gồm máy: Máy ảo (VM) 20413C-LON-DC1 User name Adatum\Administrator Password Pa$$w0rd MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 144 V Chuẩn bị: Trên máy thật, bung Start menu, mở công cụ Hyper-V Manager Trong cửa sổ Hyper-V® Manager, nhấn chuột phải máy ảo 20413C-LON-DC1, chọn Start Nhấn chuột phải máy ảo 20413C-LON-DC1, chọn Connect Logon vào máy 20413C-LON-DC1 với thông tin sau: • User name: Adatum\Administrator • Password: Pa$$w0rd VI Thực hành: Thời gian thực hành: 120 phút Bài thực hành bao gồm bước: Tạo cấu trúc OU Di chuyển đối tượng vào cấu trúc OU Tạo Group theo yêu cầu Cấp quyền quản lý cho group Bước Tạo cấu trúc OU Logon vào máy LON-DC1 Mở Server Manager, bung menu Tools, mở Active Directory Administrative Center MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 145 Trong cửa sổ Active Directory Administrative Center, chọn Adatum (local), bung New, chọn Organizational Unit Hộp thoại Create Organizational Unit, nhập thông tin bên dưới, sau chọn OK Name: Central-IT o Description: Admin accounts and Groups for Delegation Administered from DOMAIN ADMINS ONLY MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 146 Lập lại từ bước để tạo OU sau: Name: Enterprise o Description: Enterprise-wide managed objects Name: Adatum o Description: Regular objects for A Datum Name: Contoso o Description: Regular objects for Contoso Name: TreyResearch o Description: Regular objects for Trey Research Sử dụng file Windows PowerShell Script để tạo OU con: a Trên taskbar, nhấn chuột phải Windows PowerShell, chọn Run ISE as Administrator b Trong cửa sổ Administrator: Windows PowerShell ISE, bung menu File, chọn Open MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 147 c Trong hộp thoại Open, trõ vào đường dẫn E:\Labfiles, chọn file Create-SubOUs.ps1, chọn Open d Bung menu File, chọn Run MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng Chú thích: Nội dung file Create-SubOUs.ps1 $subous = @(` ("Admin-Accounts","ou=Central-IT,dc=adatum,dc=com","Admin-accounts only"),` ("Groups","ou=Central-IT,dc=adatum,dc=com","Groups for administrative tasks delegation"),` ("Servers","ou=Enterprise,dc=adatum,dc=com","Enterprise-wide managed Servers"),` ("SQL","ou=Servers,ou=Enterprise,dc=adatum,dc=com",""),` ("WEB","ou=Servers,ou=Enterprise,dc=adatum,dc=com",""),` ("APP","ou=Servers,ou=Enterprise,dc=adatum,dc=com",""),` ("Users","ou=Adatum,dc=adatum,dc=com","Adatum regular user accounts"),` ("Groups","ou=Adatum,dc=adatum,dc=com","Adatum regular group accounts"),` ("Clients","ou=Adatum,dc=adatum,dc=com","Adatum clients"),` ("Servers","ou=Adatum,dc=adatum,dc=com","Adatum Servers"),` ("Marketing","ou=Users,ou=Adatum,dc=adatum,dc=com",""),` ("Sales","ou=Users,ou=Adatum,dc=adatum,dc=com",""),` ("Development","ou=Users,ou=Adatum,dc=adatum,dc=com",""),` ("IT","ou=Users,ou=Adatum,dc=adatum,dc=com",""),` ("Research","ou=Users,ou=Adatum,dc=adatum,dc=com",""),` ("London","ou=Clients,ou=Adatum,dc=adatum,dc=com",""),` ("Sydney","ou=Clients,ou=Adatum,dc=adatum,dc=com",""),` ("Toronto","ou=Clients,ou=Adatum,dc=adatum,dc=com",""),` ("London","ou=Servers,ou=Adatum,dc=adatum,dc=com",""),` ("Sydney","ou=Servers,ou=Adatum,dc=adatum,dc=com",""),` ("Toronto","ou=Servers,ou=Adatum,dc=adatum,dc=com","")) $subous | %{New-ADOrganizationalUnit -Name $_[0] -Path $_[1] -Description $_[2]} MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 148 70-413: Thiết kế triển khai sở hạ tầng mạng 149 Mở công cụ Active Directory Users and Computers, kiểm tra OU tạo thành công theo yêu cầu A Datum đưa MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 150 Bước Di chuyển đối tượng vào cấu trúc OU Sử dụng file Windows PowerShell script để di chuyển users groups vào OU tạo Quay lại cửa sổ Windows PowerShell (ISE), bung menu File, chọn Close Tiếp theo, bung menu File, chọn Open Trong hộp thoại Open, trõ vào đường dẫn E:\Labfiles, chọn file MoveAdatumUserGroups.ps1, chọn Open MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 151 Bung menu File, chọn Run Chú thích: Nội dung file Move-AdatumUserGroups.ps1 $depts = @("Marketing","Sales","IT","Development","Research") ForEach ($dept in $depts) { $userDN = "OU=" + $dept + ",ou=users,ou=adatum,dc=adatum,dc=com" $users = Get-ADUser -Properties Department -Filter {department -eq $dept} ForEach ($user in $users) { Move-ADObject $user -TargetPath $userDN } $group = Get-ADGroup -Filter {Name -eq $dept} Move-ADObject $group -TargetPath "ou=groups,ou=adatum,dc=adatum,dc=com" } MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 152 Qua cửa sổ Active Directory Administrative Center, kiểm tra user group di chuyển vào OU thành công a Bung OU Adatum b Bung OU Users, vào OU Sales Chú ý: Trong OU Sales có user hình bên c Bung OU Adatum d Vào OU Groups Chú ý: Trong OU Groups có group hình bên MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 153 Bước Tạo Group theo yêu cầu Mở công cụ Active Directory Administrative Center, bung Adatum (local), bung OU Central-IT, OU Groups, chọn New, chọn Group Trong hộp thoại Create Group, nhập tên London- UserGroupprovisioning vào ô Group name, chọn OK MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 154 Lập lại bước để tạo thêm group sau: Name: Enterprise-ServerOps o Type: Global/Security Name: Marketing-Admins o Type: Global/Security Name: London-Admins o Type: Global/Security Tương tự bước 2, hộp thoại Create Group, nhập acl_adatum-users_ccdc vào ô Group name, phần Group scope, chọn Domain Local MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 155 Kéo trượt xuống dưới, phần Members, chọn Add Hộp thoại Select Users, Contacts, Computers, Service accounts, or Groups, nhập London-UserGroupProvisioning vào ô Enter the object name to select (examples), chọn Check Names, chọn OK MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 156 Hộp thoại Create Group: acl_adatum-users_ccdc, chọn OK Lập lại từ bước đến để tạo group sau: Name: acl_adatum-groups_ccdc o Type: Domain Local/Security o Member: London-UserGroupProvisioning Name: acl_enterprise-serveroperator o Type: Domain Local/Security o Member: Enterprise-ServerOps Name: acl_Users-Marketing_resetpwd o Type: Domain Local/Security o Member: Marketing-Admins Name: acl_clients-London_computer_ccdc o Type: Domain Local/Security o Member: London-Admins Name: acl_servers-London_computer_ccdc o Type: Domain Local/Security o Member: London-Admins Bước Ủy quyền quản lý cho group Mở công cụ Active Directory Administrative Center, chuyển qua chế độ Tree View Bung Adatum (local), bung OU Adatum, chọn OU Users Trong mục Users bên phải, chọn Properties MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 157 Trong hộp thoại Users, kéo trượt xuống mục Extensions, qua tab Security, chọn Advanced Hộp thoại Advanced Security Settings for Users, qua tab Permissions, chọn Add MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 158 Hộp thoại Permission Entry for Users, chọn Select a principal Hộp thoại Select User, Computer, Service Account or Group, ô Enter the object name to select (examples), nhập acl_adatum-users_ccdc, chọn Check Names, chọn OK Hộp thoại Permission Entry for Users, kéo trượt xuống cùng, chọn Clear All MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng 159 Trong hộp thoại Permission Entry for Users, đánh dấu chọn ô Create User objects Delete User objects, chọn OK Hộp thoại Advanced Security for Users, chọn OK MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng Hộp thoại Users, chọn Cancel 10 Lập lại từ bước đến để ủy quyền cho group theo yêu cầu sau: OU: Adatum\Groups Group: acl_adatum-groups_ccdc Permissions: Create Group objects, Delete Group objects OU: Adatum\Users\Marketing Group: acl_users-Marketing_resetPwd Applies to: Descendant User objects Permissions: Reset password OU: Adatum\Clients\London Group: acl_clients-London_computer_ccdc Permissions: Create Computer objects, Delete Computer objects OU: Adatum\Servers\London Group: acl_servers-London_computer_ccdc Permissions: Create Computer objects, Delete Computer Objects MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 160 70-413: Thiết kế triển khai sở hạ tầng mạng 161 Kết quả: Sau hoàn thành tập này, bạn thiết kế triển khai thành công cấu trúc OU mơ hình ủy quyền quản trị hệ thống VII Chuẩn bị cho tiếp theo: Sau hoàn thành thực hành, để phục hồi máy ảo trạng thái ban đầu, bạn thực bước sau: Trên máy thật, mở công cụ Hyper-V Manager Nhấn chuột phải lên máy ảo 20413C-LON-DC1, chọn Revert Trong hộp thoại Revert Virtual Machine, chọn Revert MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 70-413: Thiết kế triển khai sở hạ tầng mạng MCT Trần Thủy Hoàng | Biên soạn theo Microsoft Official Course (MOC) 162 ... đích quản lý, sử dụng tài kho n quản trị cá nhân Nhóm IT A Datum phải nhóm thay đổi cấu hình domain, cấu hình site, tạo OU cấp 1, quản lý domain controller, tạo quản lý tài kho n quản trị Tạo... truy cập liệu File server Paris Quy trình để tạo thêm nhiều tài kho n người dùng lúc, thay đổi thuộc tính cho số lượng lớn tài kho n (User, Group, Computer Account) phải tự động hóa MCT Trần... cập vào ứng dụng tài nguyên lưu trữ máy chủ Kế hoạch có ba máy chủ sau đây: SQL, WEB, APP Người sử dụng từ Contoso.com người sử dụng từ tất văn phòng khác phải có khả truy cập liệu File server