Bài 9 ACTIVE DIRECTORY Tóm tắt Lý thuyết 4 tiết -Thực hành 8 tiết Mục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêm Kết thúc bài học này cung cấp học viên kiến thức vềhệthống Active Directory trên Windows Server 2003, cách tổchức, nâng cấp đểtạo thành Domain Controller … I. Các mô hình mạng trong môi trường Microsoft. II. Active Directory. III. Cài đặt và cấu hình Active Directory. Dựa vào bài tập môn Quản trịWindows Server 2003. Dựa vào bài tập môn Quản trịWindows Server 2003. I. CÁC MÔ HÌNH MẠNG TRONG MÔI TRƯỜNG MICROSOFT. I.1. Mô hình Workgroup. Mô hình mạng workgroup còn gọi là mô hình mạng peer-to- peer, là mô hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau. Các dữ liệu và tài nguyên đượclưu trữphân tán tại các máy cục bộ, các máy tựquản lý tài nguyên cụcbộcủa mình. Trong hệthống mạng không có máy tính chuyên cung cấpdịch vụvà quản lý hệthống mạng. Mô hình này chỉphù hợpvới các mạng nhỏ,dưới mười máy tính và yêu cầubảomật không cao. Đồng thời trong mô hình mạng này các máy tính sửdụng hệđiều hành hỗtrợđa người dùng lưu trữthông tin người dùng trong mộttập tin SAM (Security Accounts Manager) ngay chính trên máy tính cụcbộ. Thông tin này bao gồm: username (tên đăng nhập), fullname, password, description…Tất nhiên tập tin SAM này được mã hóa nhằm tránh người dùng khác ăncấpmật khẩu đểtấn công vào máy tính. Do thông tin người dùng đượclưu trữcụcbộtrên các máy trạm nên việc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tựchứng thực. I.2. Mô hình Domain. Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơchếclient-server, trong hệthống mạng phải có ít nhấtmột máy tính làm chứcnăng điều khiển vùng (Domain Controller), máy tính này sẽđiều khiển toàn bộhoạt động củahệthống mạng. Việc chứng thực người dùng và quản lý tài nguyên mạng đượctập trung lạitại các Server trong miền. Mô hình này được áp dụng cho các công ty vừa và lớn. Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng đượctập trung lại do dịch vụActive Directory quản lý và đượclưu trữtrên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT.Tập tin cơsởdữliệu này được xây dựng theo công nghệtương tựnhưphầnmềm Access của Microsoft nên nó có thểlưu trữhàng triệu người dùng, cải tiếnhơn so với công nghệcũchỉlưu trữđược khoảng 5 nghìn tài khoản người dùng. Do các thông tin người dùng đượclưu trữtập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực. Hình 2.1: các bước chứng thực khi người dùng đăng nhập. II. ACTIVE DIRECTORY. II.1. Giới thiệu Active Directory. Có thểso sánh Active Directory với LANManager trên Windows NT 4.0.Vềcănbản, Active Directory là mộtcơsởdữliệucủa các tài nguyên trên mạng (còn gọi là đốitượng) cũng nhưcác thông tin liên quan đến các đốitượng đó. Tuy vậy, Active Directory không phải là một khái niệmmới bởi Novell đãsửdụng dịch vụthưmục(directory service) trong nhiềunămrồi. Mặc dù Windows NT 4.0 là mộthệđiều hành mạng khá tốt, nhưng hệđiều hành này lại không thích hợp trong các hệthống mạng tầmcỡxí nghiệp. Đốivới các hệthống mạng nhỏ, công cụNetwork Neighborhood khá tiệndụng, nhưng khi dùng trong hệthống mạng lớn, việc duyệt và tìm kiếm trên mạng sẽlà một ác mộng (và càng tệhơnnếubạn không biết chính xác tên của máy in hoặc Server đó là gì). Hơnnữa, đểcó thểquản lý đượchệthống mạng lớn nhưvậy, bạn thường phải phân chia thành nhiều domain và thiếtlập các mối quan hệuỷquyền thích hợp. Active Directory giải quyết được các vấn đềnhưvậy và cung cấpmộtmức độứng dụng mới cho môi trường xí nghiệp. Lúc này, dịch vụthưmục trong mỗi domain có thểlưu trữhơnmười triệu đốitượng, đủđểphụcvụmười triệu người dùng trong mỗi domain. II.2. Chứcnăng của Active Directory. -Lưu giữmột danh sách tập trung các tên tài khoản người dùng, mật khẩutương ứng và các tài khoản máy tính. -Cung cấpmột Server đóng vai trò chứng thực(authentication server) hoặc Server quản lý đăng nhập(logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). -Duy trì mộtbảng hướng dẫn hoặcmộtbảng chỉmục(index) giúp các máy tính trong mạng có thểdò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng. -Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độquyền(rights) khácnhau như: toàn quyền trên hệthống mạng, chỉcó quyền backup dữliệu hay shutdown Server từxa… -Cho phép chúng ta chia nhỏmiềncủa mình ra thành các miền con (subdomain) hay các đơnvịtổchức OU (Organizational Unit). Sau đó chúng ta có thểủy quyền cho các quản trịviên bộphận quản lýtừng bộphận nhỏ. II.3. Directory Services. II.3.1 Giới thiệu Directory Services.Directory Services (dịch vụdanh bạ) là hệthống thông tin chứa trong NTDS.DIT và các chương trình quản lý, khai thác tập tin này. Dịch vụdanh bạlà mộtdịch vụcơsởlàm nềntảng đểhình thành mộthệthống Active Directory.Mộthệthống với những tính năng vượt trộicủa Microsoft. II.3.2 Các thành phần trong Directory Services. Đầu tiên, bạn phải biết được những thành phầncấutạo nên dịch vụdanh bạlà gì? Bạn có thểso sánh dịch vụdanh bạvớimột quyểnsổlưusốđiện thoại. Cảhai đều chứa danh sách của nhiều đốitượng khác nhau cũng nhưcác thông tin và thuộc tính liên quan đến các đốitượng đó. a. Object (đốitượng). Trong hệthống cơsởdữliệu, đốitượng bao gồm các máy in, người dùng mạng, các server, các máy trạm, các thưmục dùng chung, dịch vụmạng, … Đốitượng chính là thành tốcănbản nhấtcủadịch vụdanh bạ. b. Attribute (thuộc tính). Một thuộc tính mô tảmột đốitượng. Ví dụ,mật khẩu và tên là thuộc tính của đốitượng người dùng mạng. Các đốitượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên, các đốitượng khác nhau cũngcó thểcó mộtsốthuộc tính giống nhau. Lấy ví dụnhưmộtmáyinvà một máy trạmcảhai đều có một thuộc tính là địa chỉIP. c. Schema (cấu trúc tổchức). Một schema định nghĩa danh sách các thuộc tính dùng đểmô tảmột loại đốitượng nào đó. Ví dụ, cho rằng tấtcảcác đốitượng máy in đều được định nghĩabằng các thuộc tính tên, loại PDL và tốc độ. Danh sách các đốitượng này hình thành nên schema cho lớp đốitượng “máy in”. Schema có đặc tính là tuỳbiến được, nghĩa là các thuộc tính dùng đểđịnh nghĩamộtlớp đốitượng có thểsửa đổi được. Nói tóm lại Schema có thểxem là một danh bạcủa cái danh bạActive Directory. d. Container (vật chứa). Vật chứatương tựvới khái niệm thưmục trong Windows.Một thưmục có thểchứa các tập tin và cácthưmục khác. Trong Active Directory,mộtvật chứa có thểchứa các đốitượng và các vật chứa khác. Vật chứacũng có các thuộc tính nhưđốitượng mặc dù vật chứa không thểhiệnmột thực thểthậtsựnào đó nhưđốitượng. Có ba loạivật chứa là: 233 -Domain: khái niệm này được trình bày chi tiết ởphần sau.-Site:một site là mộtvịtrí. Site được dùng đểphân biệt giữa các vịtrí cụcbộvà các vịtrí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ởSan Fransisco,một chi nhánh đặt ởDenver và mộtvăn phòng đại diện đặt ởPortland kếtnốivềtổng hành dinh bằng Dialup Networking. Nhưvậyhệ thống mạngnàycó ba site. -OU (Organizational Unit): là một loạivật chứa mà bạn có thểđưa vào đó người dùng, nhóm, máy tính và những OU khác. Một OU không thểchứa các đốitượng nằm trong domain khác. Nhờviệcmột OU có thểchứa các OU khác, bạn có thểxây dựng một mô hình thứbậccủa các vật chứa đểmô hình hoá cấu trúc củamộttổchức bên trong một domain. Bạn nên sửdụng OU đểgiảm thiểusốlượng domain cần phải thiếtlập trên hệthống. e. Global Catalog. -Dịch vụGlobal Catalog dùng đểxác định vịtrí củamột đốitượng mà người dùng đượccấp quyền truy cập. Việc tìm kiếm được thực hiện xa hơn những gì đã có trong Windows NT và không chỉcó thểđịnh vịđược đốitượng bằng tên mà cóthểbằng cảnhững thuộc tính của đốitượng. -Giảsửbạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắnbạnsẽkhông dùng một máy in HP Laserjet 4L.Bạnsẽphải tìm một máy in chuyên dụng, in vớitốc độ100ppm và có khảnăng đóng tài liệu thành quyển. NhờGlobal Catalog,bạn tìm kiếm trên mạng một máy in với các thuộc tính nhưvậy và tìm thấy đượcmột máy Xerox Docutech 6135.Bạn có thểcài đặt driver cho máy in đó và gửi print job đến máy in. Nhưng nếubạn ởPortland và máy in thì ởSeattle thì sao? Global Catalog sẽcung cấp thông tin này và bạn có thểgửi email cho chủnhân của máy in, nhờhọin giùm. -Một ví dụkhác, giảsửbạn nhận đượcmột thưthoạitừmột người tên Betty Doe ởbộphậnkếtoán. Đoạn thưthoạicủa cô ta bịcắt xén và bạn không thểbiết đượcsốđiện thoạicủa cô ta. Bạn có thểdùng Global Catalog đểtìm thông tin vềcô ta nhờtên, và nhờđóbạn có đượcsốđiện thoạicủa cô ta. -Khi một đốitượng đượctạomới trong Active Directory, đốitượng được gán một con sốphân biệtgọi là GUID (Global Unique Identifier). GUID củamột đốitượng luôn luôn cốđịnh cho dù bạn có di chuyển đốitượng đi đến khu vực khác. II.4. Kiến trúc của Active Directory. II.4.1 Objects. Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes. Object classes là mộtbản thiếtkếmẫu hay một khuôn mẫu cho các loại đốitượng mà bạn có thểtạo ra trong Active Directory. Có ba loại object classes thông dụng là: User, Computer, Printer. Khái niệm thứhai là Attributes, nó được định nghĩa là tập các giá trịphù hợp và đượckết hợpvớimột đốitượng cụthể. Nhưvậy Object là một đốitượng duy nhất được định nghĩabởi các giá trịđược gán cho các thuộc tính của object classes. Ví dụhình sau minh họa hai đốitượng là: máy in ColorPrinter1 và người dùng KimYoshida. II.4.2 Organizational Units. Organizational Unit hay OU là đơnvịnhỏnhất trong hệthống AD, nó được xem là mộtvật chứa các đốitượng (Object) được dùng đểsắpxếp các đốitượng khác nhau phụcvụcho mục đích quản trịcủa bạn. OU cũng được thiếtlậpdựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kếtnối tốtvới nhau”. Việcsửdụng OU có hai công dụng chính sau: -Trao quyền kiếm soát mộttậphợp các tài khoản người dùng, máy tính hay các thiếtbịmạng cho một nhóm người hay một phụtá quản trịviên nào đó (sub-administrator), từđó giảmbớt công tác quản trịcho người quản trịtoàn bộhệthống. -Kiểm soát và khóa bớtmộtsốchứcnăng trên các máy trạmcủa người dùng trong OU thông qua việcsửdụng các đốitượng chính sách nhóm (GPO), các chính sách nhóm này chúng ta sẽtìm hiểu ởcác chương sau. II.4.3 Domain. Domain là đơnvịchứcnăng nòng cốtcủacấu trúc logic Active Directory. Nó là phương tiện đểqui định mộttậphợp những người dùng, máy tính, tài nguyên chia sẻcó những qui tắcbảomật giống nhau từđó giúp cho việc quản lý các truy cập vào các Server dễdàng hơn. Domain đáp ứng ba chức năng chính sau: -Đóng vai trò nhưmột khu vực quản trị(administrative boundary) các đốitượng, là mộttậphợp các định nghĩa quản trịcho các đốitượng chia sẻnhư: có chung mộtcơsởdữliệu thưmục, các chính sách bảomật, các quan hệủy quyềnvới các domain khác. -Giúp chúng ta quản lý bảomật các các tài nguyên chia sẻ. -Cung cấp các Server dựphòng làm chứcnăng điều khiển vùng (domain controller), đồng thời đảmbảo các thông tin trên các Server này được được đồng bộvới nhau. II.4.4 Domain Tree. Domain Tree là cấu trúc bao gồm nhiều domain đượcsắpxếpcó cấpbậc theo cấu trúc hình cây. Domain tạo ra đầu tiên đượcgọi là domain root và nằm ởgốccủa cây thưmục. Tấtcảcác domain tạo ra sau sẽnằm bên dưới domain root và đượcgọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhấtmột domain con đượctạo ra thì hình thành một cây domain. Khái niệm này bạnsẽthường nghe thấy khi làm việcvớimộtdịch vụthưmục. Bạn có thểthấycấu trúc sẽcó hình dáng củamột cây khi có nhiều nhánh xuất hiện. II.4.5 Forest. Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tậphợp các Domain Tree có thiếtlập quan hệvà ủy quyền cho nhau. Ví dụgiảsửmột công ty nào đó, chẳng hạn nhưMicrosoft, thu mua một công ty khác. Thông thường, mỗi công ty đều có mộthệthống Domain Tree riêng và đểtiện quản lý, các cây này sẽđượchợp nhấtvới nhau bằng một khái niệmlà rừng. III. CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY. III.1. Nâng cấp Server thành Domain Controller. III.1.1 Giới thiệu. Một khái niệm không thay đổitừWindows NT 4.0 là domain.Một domain vẫn còn là trung tâm của mạng Windows 2000 và Windows 2003, tuy nhiên lại được thiếtlập khác đi. Các máy điều khiển vùng (domain controller – DC) không còn phân biệt là PDC (Primary Domain Controller) hoặc là BDC (Backup Domain Controller). Bây giờ, đơn giản chỉcòn là DC. Theo mặc định, tấtcảcác máy Windows Server 2003 khi mới cài đặt đều là Server độclập(standalone server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng đểnâng cấpmột máy không phải là DC (Server Stand-alone) thành một máy DC và ngượclại giáng cấpmột máy DC thành một Server bình thường. Chú ý đốivới Windows Server 2003 thì bạn có thểđổi tên máy tính khi đã nâng cấp thành DC. Trước khi nâng cấp Server thành Domain Controller,bạncần khai báo đầy đủcác thông sốTCP/IP, đặc biệt là phải khai báo DNS Server có địa chỉchính là địa chỉIP của Server cần nâng cấp. Nếubạn có khảnăng cấu hình dịch vụDNS thì bạn nên cài đặtdịch vụnày trước khi nâng cấp Server, còn ngượclại thì bạn chọn cài đặt DNS tựđộng trong quá trình nâng cấp. Có hai cách đểbạn chạy chương trình Active Directory Installation Wizard:bạn dùng tiện ích Manage Your Server trong Administrative Tools hoặc nhấp chuột vào Start Run, gõ lệnh DCPROMO. III.1.2 Các bước cài đặt. Chọn menu Start Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK.Khi đóhộp thoại Active Directory Installation Wizard xuất hiện. Bạn nhấn Next đểtiếptục. Chương trình xuất hiệnhộp thoạicảnh báo: DOS, Windows 95 và WinNT SP3 trởvềtrướcsẽbịloại ra khỏi miền Active Directory dựa trên Windows Server 2003.Bạn chọn Next đểtiếptục. Trong hộp thoại Domain Controller Type, chọnmục Domain Controller for a New Domain và nhấn chọn Next. (Nếubạn muốnbổsung máy điều khiển vùng vào một domain có sẵn, bạnsẽchọn Additional domain cotroller for an existing domain.) Đến đây chương trình cho phép bạn chọnmột trong ba lựa chọn sau: chọn Domain in new forest nếu bạn muốntạo domain đầu tiên trong mộtrừng mới, chọn Child domain in an existing domain tree nếubạn muốntạo ramột domain con dựa trên một cây domain có sẵn, chọn Domain tree in an existing forest nếubạn muốntạo ra một cây domain mới trong mộtrừng đãcó sẵn. [...]... III.6 Công cụquản trịcác đốitượng trong Active Directory Một trong bốn công cụquản trịhệthống Active Directory thì công c Active Directory User and Computer là công cụquan trọng nhất và chúng ta sẽgặplại nhiều trong trong giáo trình này, từng bước ta sẽkhảo sát hết các tính năng trong công cụnày Công cụnày có chứcnăng tạo và quản lý các đốitượng cơbảncủahệthống Active Directory Theo hình trên chúng ta thấy... 2003 (Windows Server 2003 functional level) đểkhai thác hết các tính năng mớicủa Active 247 Directory III.3.2 Các bước cài đặt Khi đóhộp thoại Active Directory Installation Wizard xuất hiện Bạn nhấn Next đểtiếptục Chương trình xuất hiệnhộp thoạicảnh báo: DOS, Windows 95 và WinNT SP3 trởvềtrướcsẽbịloại ra khỏi miền Active Directory dựa trên Windows Server 2003.Bạn chọn Next đểtiếptục Trong hộp thoại... động chính xác thì chúng phải liên lạc và trao đổi thông tin với nhau khi có các thay đổivềthông tin người dùng như:tạomới tài khoản, đổimật khẩu, xóa tài khoản Việc trao đổi thông tin này gọi là Active Directory Replication Đặc biệt các server Active Directory cho phép nén d liệu trước khi gởi đến các server khác, tỉlệnén đến 10:1, đo đó chúng có thểtruyền trên các đường truyền WAN chậm chạp Trong... có thông tin không chính xác thì bạn chọn Back đểquay lại các bước trước đó Đến đây hệthống sẽxây dựng một Domain Controller mới và đồng bộd liệu Active Directory giữa hai Domain Controller này Sau khi quá trình cài đặtkết thúc, hộp thoại Completing the Active Directory Installation Wizard xuất hiện Bạn nhấn chọn Finish đểkết thúc Cuối cùng, bạn được yêu cầu phải khởi động lại máy thì các thông tin... and Log Locations cho phép bạn chỉđịnh vịtrí lưu trữdatabase Active Directory và các tập tin log.Bạn có thểchỉđịnh vịtrí khác hoặc chấp nhận giá trịmặc định Tuy nhiên theo khuyến cáo của các nhà quản trịmạng thì chúng ta nên đặttập tin chứa thông tin giao dịch (transaction log) ởmột đĩacứng vật lý khác với đĩacứng chứacơsởdữliệucủa Active Directory nhằmtăng hiệunăng củahệthống Bạn chọn Next đểtiếptục... đểquay lại các bước trước đó Hộp thoại Configuring Active Directory cho bạn biết quá trình cài đặt đang thực hiện những gì Quá trình này sẽchiếm nhiều thời gian Chương trình cài đặtcũng yêu cầubạn cung cấp nguồn cài đặt Windows Server 2003 đểtiến hành sao chép các tập tin nếu tìm không thấy Sau khi quá trình cài đặtkết thúc, hộp thoại Completing the Active Directory Installation Wizard xuất hiện Bạn nhấn... miền thì mới có quyềntạo các Domain Controller.Bạn nhập tài khoản người dùng có quyền quản trịvào hộp thoại này Chương trình yêu cầubạn nhập Full DNS Name của miền mà bạncầntạo thêm Domain Controller Tương tựnhưquá trình nâng cấp Server thành Domain Controller đã trình bày ởtrên, các bước tiếp theo chúng ta chỉđịnh thưmục chứacơsởdữliệucủa Active Directory, Transaction Log và thưmục Sysvol Hộp thoại... mạng cùng nhau hoạt động đông thời, chia sẻcông việccủa nhau, khi có một máy bịsựcốthì các máy còn lại đảm nhiệm luôn công việc máy này Do đó trong tài liệu này chúng tôi gọi các máy này là các máy điều khiển vùng đồng hành Nhưng khi khảo sát sâu v Active Directory thì máy điều khiển vùng đượctạo đầu tiên vẫn có vai trò đặc biệthơn đó là FSMO (flexible single master of operations) Chú ý đểđảmbảo các... một nhóm tài khoản người dùng, máy tính và tài nguyên mạng đượctạo ra nhằmmục đích dễdàng quản lý hơn và ủy quyền cho các quản trịviên địa phương giải quyết các công việc đơn giản Đặc biệthơn là thông qua OU chúng ta có thểáp đặt các giớihạn phầnmềm và giớihạn phầncứng thông qua các Group Policy Muốn xây dựng một OU bạn làm theo các bước sau: Chọn menu Start Programs Administrative Tools Active Directory. .. Tools Active Directory User and Computer, đểmởchương trình Active Directory User and Computer Chương trình mởra, bạn nhấp phải chuột trên tên miền và chọn New-Organizational Unit Đưa các máy trạm đã gia nhập nhậpmạng cần quản lý vào OU vừatạo Tiếp theo bạn đưa các tài khoản người dùng cần quản lý vào OU vừatạo Sau khi đã đưa các máy tính và tài khoản người dùng vào OU,bước tiếp theo là bạn chỉra người . nhập. II. ACTIVE DIRECTORY. II.1. Giới thiệu Active Directory. Có thểso sánh Active Directory với LANManager trên Windows NT 4.0.Vềcănbản, Active Directory. Bài 9 ACTIVE DIRECTORY Tóm tắt Lý thuyết 4 tiết -Thực hành 8 tiết Mục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêm Kết thúc bài học này