TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN – ĐHQG TP.HCM KHOA ĐIỆN TỬ - VIỄN THƠNG Chun ngành: Viễn thơng Mng ằÔô BO CO ÁN CÔNG NGHỆ MẠNG Topic 4: Domain Group; Group Policy Infrastructure, settings and management GVHD: Th.S Trần Thị Huỳnh Vân Nhóm thực hiện: 13 18200079 - Phạm Đỗ Thành Đạt 18200091 - Trần Văn Hải 18200093 - Trần Ngọc Hồng Hạnh 18200097 - Bùi Văn Hậu 18200099 - Nguyễn Thị Hậu 18200103 - Nguyễn Phùng Hiếu Tp.HCM, ngày 01 tháng 11 năm 2021 Lời mở đầu Trong thời đại Khoa Học - Công Nghệ phát triển nhanh nay, công nghệ mạng có bước tiến vượt bậc Với đời nhiều công nghệ ngày đại, đáp ứng nhu cầu ngày cao người dùng phát triển ngành Khoa Học-Kĩ Thuật khác Trong số cơng nghệ tại, nhóm chúng em chọn đề tài có tính thực tế ứng dụng trong doanh nghiệp Đây mô hình hệ thống mạng giúp việc quản lý người dùng thuận tiện cho doanh nghiệp theo cách khác Trong báo cáo này, chúng em từ tổng quan đến chi tiết mơ hình hệ thống này, bao gồm tổng quan, giới thiệu, cấu trúc, công dụng, ưu nhược điểm ứng dụng mơ hình hệ thống Bài báo cáo gồm phần: Phần Domain Group, phần 2: Group Policy Infrastructure, Settings and Management phần Demo Trong trình tìm hiểu, kiến thức cịn hạn chế thời gian gấp rút, có sai sót, kính mong góp ý bạn để báo cáo hồn thiện Nhóm chúng em xin chân thành cảm cô Trần Thị Huỳnh Vân, giảng viên mơn Cơng Nghệ Mạng tận tình giảng dạy, dẫn chúng em, giúp chúng em hoàn thành báo cáo Tp Hồ Chí Minh, ngày 01 tháng 11 năm 2021 MỤC LỤC A Domain Group I Mơ hình hệ thống mạng .4 II Tổng quan AD Giới thiệu Active Directory Cấu trúc Active Directory .5 III Domain Controllers: .7 Tổng quan Domain Controller Phân loại ưu khuyết điểm Cách sử dụng vai trò, chức B Group Policy Infrastructure, settings and management 10 I Group Policy: 10 Tổng quát Group Policy: .10 Chức Group Policy: 10 Group Policy Object số thành phần Group Policy Object: .10 Nhân rộng Group Policy: 11 Tạo, chỉnh sửa liên kết GPOs 11 Tính kế thừa GPO: .12 II Thiết lập quản lý 13 Cấu hình Domain Controller .13 Tạo OU 23 Tạo tài khoản người dùng 24 Tạo GPO 26 C Demo .28 D Tài liệu tham khảo 31 A Domain Group I Mơ hình hệ thống mạng Một hệ thống mạng thường được xây dựng mô hình phở biến là: Workgroup hoă ̣c Domain  Mơ hình Workgroup: - Là nhóm máy tính logic, mơ hình quản trị bảo mật phi tập trungịn gọi mơ hình mạng PeerTo-Peer, mơ hình mà máy tính có vai trị bình đẳng nối kết với - Các liệu tài nguyên lưu trữ phân tán máy cục bộ, máy tự quản lý tài nguyên cục (tài khoản, thông tin bảo mật…) mình, tự chứng thực máy cục - Trong hệ thống mạng khơng có máy tính chun cung cấp dịch vụ quản lý hệ thống mạng Mơ hình phù hợp với mạng nhỏ yêu cầu bảo mật khơng cao ví dụ ̣ thống mạng ở gia đình, mạng phòng net, mạng của các công ty nhỏ đơn giản… - Xác thực cung cấp sở liệu tài khoản cục - Trình quản lý tài khoản bảo mật (SAM)  Thuận lợi + Tài nguyên dễ chia sẻ (printers, folders) + Tài nguyên phân phối tất máy + Chi phí quản lý ít, thiết kế đơn giản, dễ thực + Thuận tiện cho nhóm nhỏ gần + Khơng u cầu máy chủ trung tâm thiết bị mạng công suất lớn (bộ định tuyến, chuyển mạch, cầu nối )  Hạn chế + Khơng kiểm sốt tập trung nguồn lực + Người dùng tự quản lý tài khoản => vấn đề bảo mật  Mơ hình Domain: - Hoạt động theo chế Client-Server, hệ thống mạng phải có máy tính làm chức điều khiển vùng (Domain Controller), máy tính kết nối với thơng qua máy chủ - Domain Controller điều khiển toàn hoạt động hệ thống mạng với giúp đỡ dịch vụ Active Directory xem quan trọng máy chủ Domain Controller - Mơ hình tập trung tất tài nguyên chia sẻ, xác thực quản trị nên áp dụng cho công ty vừa lớn đòi hỏi cao về bảo mâ ̣t - Xác thực cung cấp thông qua Active Directory tập trung - Hỗ trợ Single-Sign-On  Thuận lợi + Chia sẻ tài nguyên tập trung, dễ kiểm soát, triển khai phần mềm Chia sẻ tài nguyên máy khách dễ dàng + Hiệu suất hiệu cho số lượng máy trạm không giới hạn + Có phân cấp máy tính: dễ dàng quản lý quyền người dùng cấp với mục đích khác + Có khả mở rộng Bảo mật cao  Hạn chế + Nỗ lực hành đáng kể + Thiết kế phức tạp, yêu cầu máy chủ mạnh đắt + Khơng có khả mở rộng cao, không hiệu tiền cho 20 máy trạm + Bảo mật phải cấu hình thủ cơng => So với workgroup, AD có ưu điểm: + Quản lý tập trung + Group policy + Bảo mật liệu + Khả dự phòng, bảo mật thông tin + Ủy quyền quản trị + Hiệu suất khả mở rộng II Tổng quan AD Giới thiệu Active Directory Active Directory (AD) có tính mới, giúp cho điều khiển miền trở nên nhanh dễ triển khai hơn, linh hoạt hơn, để kiểm tra cho phép truy cập vào tệp Đó dịch vụ directory hệ thống Windows Server có trách nhiệm:  Xác định nguồn tài nguyên mạng  Cung cấp cách phù hợp về: tên, mơ tả, vị trí, truy cập, quản lý bảo mật  Lợi ích: - Tích hợp DNS - Khả mở rộng < Scalability> : AD tổ chức thành phần cho phép lưu trữ số lượng lớn đối tượng Do đó, AD mở rộng tổ chức phát triển - Quản trị tập trung + AD quản lý tập trung, cung cấp sở liệu tài nguyên mạng dễ dàng tìm kiếm quản trị, cung cấp quản lý đăng nhập tập trung cho tài nguyên: cho phép người dùng đăng nhập lần + AD cho phép quản trị viên quản lý máy tính để bàn, dịch vụ mạng ứng dụng phân phối từ vị trí trung tâm với giao diện quản lý phù hợp + AD cung cấp điều khiển truy câp tâp trung đến tài nguyên mạng việc cho phép người sử dụng single sign-on để tăng truy cập đầy đủ đến tài nguyên thông qua AD - Ủy quyền quản trị < Delegated administration > + Chỉ định quyền: Đối với đơn vị tổ chức cụ thể cho quản trị viên khác Để sửa đổi thuộc tính cụ thể đối tượng đơn vị tổ chức, để thực nhiệm vụ tất đơn vị tổ chức + Giúp giảm trách nhiệm, công việc quản trị ciên tăng khả quản trị (tăng lượng quản trị viên) + Tùy chỉnh Công cụ Quản trị để: Ánh xạ đến tác vụ quản trị ủy quyền, Đơn giản hóa thiết kế giao diện Cấu trúc Active Directory - Bao gồm phần chính: Logical Structure – Cấu trúc logic (luận lý) Physical Structure – Cấu trúc vật lý  Cấu trúc luận lý: Object: là đối tượng tạo Active Directory, ví dụ: user account, computer account, group account  Organizational Unit (OU): là đơn vị nhỏ hệ thống Active Directory, xem vật chứa đối tượng (Object) dùng để xếp đối tượng khác phục vụ cho mục đích quản trị Việc sử dụng OU có hai cơng dụng sau: Trao quyền kiếm sốt tập hợp tài khoản người dùng, máy tính hay thiết bị mạng cho nhóm người hay phụ tá quản trị viên (sub-administrator), từ giảm bớt cơng tác quản trị cho người quản trị tồn hệ thống Kiểm sốt khóa bớt số chức máy trạm người dùng OU thơng qua việc sử dụng đối tượng sách nhóm (GPO)  Domain: là thành phần cấu trúc luận lý AD Nó phương tiện để qui định tập hợp người dùng, máy tính, tài nguyên chia sẻ có qui tắc bảo mật giống từ giúp cho việc quản lý truy cập vào Server dễ dàng Domain đáp ứng ba chức chính: + Đóng vai trị khu vực quản trị đối tượng, tập hợp định nghĩa quản trị cho đối tượng chia sẻ như: có chung sở liệu thư mục, sách bảo mật, quan hệ ủy quyền với domain khác + Giúp quản lý bảo mật tài nguyên chia sẻ + Cung cấp Server dự phòng làm chức điều khiển vùng (domain controller), đồng thời đảm bảo thông tin Server đồng với  Domain Tree: là cấu trúc bao gồm nhiều domain xếp có cấp bậc theo cấu trúc hình Domain tạo gọi domain root, nằm gốc thư mục Tất domain tạo sau nằm bên domain root, gọi domain (child domain) Tên domain phải khác biệt Cần domain để tạo thành domain tree  Forest: được xây dựng nhiều Domain Tree, nói cách khác Forest tập hợp Domain Tree có thiết lập quan hệ ủy quyền cho  Cấu trúc vật lý Sites: Thể cấu trúc vật lý, kiến trúc mạng doanh nghiệp, sử dụng để xây dựng mơ hình đồng database dịch vụ AD, nơi AD lưu trữ thông tin kiến trúc mạng, với WAN links  Global catalog (GC): lưu trữ tất object miền chứa GC phần object thường người dùng tìm kiếm domain khác forest Global catalog server: Domain Controller lưu trữ tất AD object forest  Domain Controllers (DC): chứa copy database AD Đối với hầu hết hoạt động DC xử lý thay đổi chép thay đổi tới tất DCkhác domain III.Domain Controllers: Tổng quan Domain Controller Domain controller (DC) server chịu trách nhiệm quản lý vấn đề  bảo mật mạng danh tính, hoạt động người bảo vệ để xác thực ủy quyền user Sau ủy quyền cho tài nguyên domain Nó hoạt động sách để xác thực danh tính người dùng Windows cho hệ thống Windows-based, ứng dụng, file server mạng DC sử dụng chế đa máy chủ để nhân rộng trình chép liệu từ DC đến máy khác Điều có nghĩa hầu hết hoạt động quản trị quản trị viên, liệu chỉnh sửa DC khác nhau, ngoại trừ những RODC (ReadOnly Domain Controller hay miền đọc) Trong mỗi DC bao gồm thông tin với các Object (Users, Group, PC, …), chứa copy database AD DS Một DC hỗ trợ Domain Các máy chủ Domain controller gọi Member server Đối với hầu hết hoạt động DC xử lý thay đổi chép thay đổi tới tất Domain Controller khác domain Để Domain có tính sẵn sàng cao sử dụng nhiều DC Phân loại ưu khuyết điểm - -  Phân loại: Primary Domain Controller (PDC): Thông tin bảo mật tài nguyên Domain lưu trữ thư mục (Windows server) Backup Domain Controller (BDC): Một BDC đẩy lên PDC PDC bị lỗi BDC cịn có khả cân khối lượng cơng việc lúc mạng bị nghẽn  Lợi ích điều khiển miền Quản lý người dùng tập trung Cho phép chia sẻ tài nguyên cho tệp máy in Cấu hình liên kết để dự phịng (FSMO) Có thể phân phối nhân rộng mạng lớn Mã hóa liệu người dùng Có thể làm cứng khóa lại để cải thiện bảo mật  Hạn chế Bộ điều khiển miền Mục tiêu cơng mạng Có khả bị cơng Người dùng hệ điều hành phải trì để ổn định, bảo mật cập nhật Mạng phụ thuộc vào thời gian hoạt động DC Yêu cầu phần cứng / phần mềm Cách sử dụng vai trò, chức   - -  Nguyên lý: Toàn Request User chuyển đến DC để xác thực ủy quyền Trước truy cập theo Request tương ứng người dùng cần xác nhận danh tính cách dùng Username Password Trong hầu hết phịng máy chủ tổ chức, Domain Controller sử dụng chiếm vị trí quan trọng Nó tích hợp trở thành thành phần dịch vụ Active Directory Vai trò: DC chứa liệu xác định xác thực quyền truy cập người dùng mạng, bao gồm sách nhóm tất tên máy tính Khi người dùng đăng nhập vào miền họ, DC kiểm tra tên người dùng, mật thông tin đăng nhập khác họ phép từ chối quyền truy cập cho người dùng Mọi thứ mà kẻ cơng cần để gây thiệt hại lớn cho liệu mạng bạn nằm DC, điều khiến DC trở thành mục tiêu cơng mạng DC đóng vai trị quan trọng giải pháp hữu hiệu nhằm kiểm soát quyền truy cập vào tài nguyên Domain DC thường dành cho IT Admin Tại phòng máy chủ tổ chức, DC tích hợp giống dịch vụ AD Các bước triển khai mô hình Domain Controller Bước 1: Tiến hành đặt IP tĩnh cho máy lựa chọn làm Domain Controller Bước 2: Xây dựng Domain Controller máy Server chọn làm Domain Controller Bước 3: Tạo user Domain Controller cho máy Client Bước 4: Đặt địa IP Join Client vào Domain Bước 5: Đăng nhập máy Client sau kiểm tra Domain Controller  - - Chức Global Catalog Servers (GCS): DC có nhiệm vụ lưu trữ đối tượng cho domain mà chúng cài đặt Hệ thống định để làm Global Catalog Servers lưu trữ đối tượng từ domain forest Operations Masters: DC thực chức cụ thể nhằm đảm bảo tính thống cho hệ thống Đồng thời chúng cịn có tác dụng loại bỏ khả xung đột entry bên sở liệu AD Chọn Select a server from the server pool => Next Chọn Active Directory Domain Services => Next Chọn vai trò cần thiết cho máy chủ Các tính cần thiết cho Active Directory hình => add features Chọn NET Framework 3.5 Group Policy Management => Next Chọn NET Framework 3.5 Group Policy Management => Next Nếu muốn đồng liệu máy chủ Window Server lên liệu đám mây ta cần tài khoản Azure Sau hoàn thành cài đặt bạn bổ sung yêu cầu nhấn vào Promote this server to a domain controller Chọn Add a new forest để thêm Domain Controller add to an existing forest thêm miền bổ sung sau chọn Next Forest functional Level và Domain functional Level: tùy theo ̣ thống của bạn sử dụng các phiên bản Windows Server nào thì ta chọn cho tương ứng Chọn vào ô Domain Name System (DNS) server để cài đặt thêm DNS cho PDC Bên mục Type the Directory Services Restore Mode (DSRM) password, bạn nhập vào mật Mật dùng để khôi phục AD chế độ Restore Mode Chọn Next Tại bạn đặt lại tên NetBIOS domain name sử dụng tên mặc định, sau click next Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu sở liệu PAD, log files SYSVOL click Next Sau cài đặt hồn tất, bạn phải khởi động lại máy tính để hoàn thành quá trình xây dựng Active Directory Domain Services Sau máy tính khởi động lại, bạn nhấp chuột phải This PC => chọn Properties bạn dùng tổ hợp phím Window + Break để xem thơng tin domain cập nhật Tại máy client ta join vào domain sau khởi động lại máy để máy join vào domain Tạo OU Mở Active Directory Users and Computers từ Server Manager Tools Menu Click chuột phải vào Users chọn New => Organizational Unit sau đặt tên OU OK Tạo tài khoản người dùng Nhấp phải thư mục User => New => User.  Hộp thoại tạo tài khoản người dùng xuất hiện, nhập thông tin nhấn Next  Tại hộp thoại kế tiếp, nhập thông tin mật khẩu, nhấn Next (với tùy chọn User must change password at next logon thì người dùng phải thay đổi mật đăng nhập vào hệ thống lần kế tiếp).Tại hộp thoại tiếp theo, nhấn Finish để hoàn tất việc tạo tài khoản người dùng Để thay đổi thuộc tính tài khoản: Start => Programs => Administrative Tools => Active Directory User and  Computers => chọn miền  => Users Click chuột phải lên tài khoản người dùng cần thay đổi thông tin, chọn Properties, chọn tab Account.  Để thêm tài khoản người dùng vào nhóm chọn tab Member of và chọn Add để thêm thơng nhóm người dùng cho tài khoản Tạo GPO Vào Server Manager chọn Tools / Group Policy Management Ở bảng console chọn Domain / itforvn.vcode.ovh / Hanoi / Phong_Ke_toan , click chuột phải chọn Create a GPO in this domain and Link it here để tạo Group Policy cho OU Phong_ke_toan OU Hanoi Đặt tên cho GPO C Demo Click chuột phải vào link GPO ta vừa tạo chọn Edit Chọn mục User Configuration ta cấu hình đổi hình theo user khơng chọn theo Computer , để user log on máy đổi hình Chọn Policies / Administrative Templates : Policy… / Desktop /Desktop  Click đúp vào Desktop wallpaper , chọn enable policy lên Ở Option mục Wallpaper name bạn nhập đường dẫn share file tên ảnh sau \\192.168.2.2\wallpaper\abc.jpg Địa 192.168.2.2 server DC mà share file ảnh , lúc có đổi tên file ảnh abc.jpg cho dễ nhớ để bạn nhập vào Sau ấn Apply OK  Sau bạn bật CMD lên gõ gpupdate /force để cập nhật sách cho client Đây bước bắt buộc sau cấu hình Group Policy xong Cài đặt phần mềm cho client từ server: Vào Network: gõ đường dẫn đến server để chọn file cần cài đặt Nhấn assigned để cài D Tài liệu tham khảo https://indianpdf.files.wordpress.com/2021/07/mcsa-windows-server-2016-complete-studyguide-2nd-edition-book-pdf-download-www.indianpdf.com_.pdf https://homeworks.it/Pdf/Group%20Policy%20Infrastructure.pdf ... B Group Policy Infrastructure, settings and management 10 I Group Policy: 10 Tổng quát Group Policy: .10 Chức Group Policy: 10 Group Policy Object... viên môn Công Nghệ Mạng tận tình giảng dạy, dẫn chúng em, giúp chúng em hoàn thành báo cáo Tp Hồ Chí Minh, ngày 01 tháng 11 năm 2021 MỤC LỤC A Domain Group I Mơ hình hệ thống mạng ... Domain Group, phần 2: Group Policy Infrastructure, Settings and Management phần Demo Trong trình tìm hiểu, kiến thức cịn hạn chế thời gian gấp rút, có sai sót, kính mong góp ý cô bạn để báo cáo