Active Directory: Hướng dẫn cài đặt và quản lý
MỤC LỤC
Tên
Các nguyên tắc đặt tên cơ bản
Tên được tạo thành từ 4 cặp thuộc tính/ giá trị khác nhau, mỗi một cặp được phân biệt với nhau bằng dấu phẩy. Các thuộc tính và giá trị luôn luôn phân biệt với nhau bởi dấu bằng (=), còn các cặp thuộc tính/ giá trị được phân biệt với nhau bằng dấu phẩy (,).
Các tên phân biệt
Điều này hoàn toàn có thể vì nó không cần thiết phải cung cấp thông tin về vị trí của đối tượng trong thứ bậc nếu vị trí đã được biết. Ví dụ, nếu đang thực hiện một số hoạt động trên các đối tượng người dùng được đặt trong thư mục Users trong miền Contoso.com thỡ cú thực sự cần thiết để tuyờn bố rừ ràng rằng các đối tượng đều được đặt trong Users của miền Contoso.com hay không?.
Các kí tự đặc biệt trong tên
Tuy nhiên LDAP không cho phép ta sử dụng lệnh CN=Smith, John vì dấu phẩy được sử dụng bởi LDAP để phân biệt các cặp thuộc tính/ giá trị. Để đơn giản, nếu ta cần gộp một dấu back slash vào phần dữ liệu thì đơn giản ta chỉ cần sử dụng hai dấu back slash thay cho một dấu.
Directory Users và Computers console
Mặc dù Active Directory Users and Computers mặc định hiển thị miền có liên quan đến bộ điều khiển miền mà ta đã đăng nhập, nhưng vẫn có thể sử dụng giao diện này để hiển thị bất kỳ miền nào mà ta có quyền thao tác với chúng. Tuy nhiên ta không cần phải đăng nhập vào bộ điều khiển miền để truy cập vào giao diện Active Directory Users and Computers mà chỉ cần đăng nhập vào bộ điều khiển miền để truy cập vào giao diện Active Directory Users and Computers từ menu Administrative Tools.
Chỉnh sửa và bổ sung các thuộc tính của tài khoản
Trong thực tế, một số công ty thường tạo các thư mục công ty dựa trên thông tin được lưu trong thuộc tính Active Directory này, nó vẫn là một ý tưởng tốt cho việc định cư thông tin tài khoản người dùng trong Active Directory. Nếu có các thông tin liên hệ của người dùng được lưu trong Active Directory thì ta có thể tra cứu số điện thoại của người dùng một cách dễ dàng và gọi cho người dùng này yêu cầu họ đăng xuất.
Xác lập lại mật khẩu người dùng
Ta cũng có thể điền vào (hoặc thay đổi) một số trường khác như phần mô tả, văn phòng, điện thoại, email, hoặc website. Nếu quan tâm đến việc lưu trữ thêm các thông tin chi tiết hơn về người dùng thì ta có thể duyệt qua các tab.
Tạo các nhóm
Lưu ý rằng, biểu tượng của nhóm sử dụng hai đầu người, điều đó chỉ thị rằng nó là một nhóm, biểu tượng một đầu người được sử dụng cho tài khoản người dùng. Khi đã xác định được nhóm có thể truy cập vào thư mực, việc tìm ra ai có các quyền truy cập vào thư mục cũng đơn giản như việc kiểm tra danh sách các thành viên nhóm (như trong hình 14).
Các nhóm bảo mật
Local Group
Ta sẽ biết về nó ngay bây giờ, các máy tính cục bộ có thể gồm có nhiều tài khoản người dùng độc lập hoàn toàn với các tài khoản thuộc về miền máy tính đó được kết nối tới. Mặc dù nhóm local chỉ có thể được sử dụng để bảo đảm việc cư trú của tài nguyên trên máy tính cục bộ nhưng điều đó không có nghĩa rằng các thành viên trong nhóm cũng bị hạn chế đối với những người dùng cục bộ này.
Domain Local Groups
Ví dụ, ta có thể tạo cho một nhóm universal một thành viên của nhóm local, các thành viên của nhóm universal về cơ bản sẽ trở thành các thành viên của nhóm local. Bất kỳ nhóm domain local nào được tạo ra bằng việc chạy DCPROMO đều được định vị trong thư mục Builtin trong Active Directory Users and Computers console, xem hình B.
Global Groups
Ví dụ, với mục đích ta muốn cho các nhà quản lý trong công ty có được các quyền quản trị viên đối với các máy trạm của họ (nên nhớ rằng đây chỉ là một ví dụ chứ không phải là một lời khuyên răn ta nên làm như vậy). Sau đó ta có thể bổ sung nhóm Managers vào nhóm local Administrators của máy trạm, theo cách đó ta đã làm cho các nhà quản lý của ta có được quyền của quản trị viên trên các máy trạm đó.
Cài đặt một máy chủ Domain Controller cho một Domain
Cài đặt Active Directory trên Windows Server 2003 1 Cài đặt và cấu hình DNS
- Trong cửa sổ Manage Your Server chọn phần đầu tiên Add or Remove a Role rồi chọn cài đặt DNS nhấn Next và hệ thống sẽ yêu cầu bạn bộ cài Windows Server 2003 bạn cho đĩa CD hoặc trỏ đường dẫn tới thư mục i386 của bộ cài là OK. - Additional domain Controller …: là lựa chọn để cài đặt them một máy chủ DC vào cho một Domain, với thiết lập Hai hay nhiều DC cho một Domain đáp ứng được khi một máy chủ bị sự cố xảy ra thì hệ thống vẫn hoạt động bình thường. Trong Mode này Active Directory không có một số tính năng cao cấp của Windows Server 2000, và Windows Server 2003, nhưng bạn sẽ phải buộc cài Mode này khi bạn Joint hệ thống windows 2003 mới vào hệ thống Windows NT cũ đang hoạt động.
Backup & Restore
- Chú ý sau khi cài đặt Active Directory sẽ có một Default Domain Security Policy yêu cầu bất kỳ một user mới tạo ra đều phải có password nhỏ nhất là 7 ký tự và phải phức tạp. Tiếp đến bạn phải chỉnh hai thông số là Minimum Password Lengh, và Password must meet complexity Requirements (độ dài tối thiểu và phải phức tạp) nhấp đúp chuột trái sẽ xuất hiện như hình dưới đây bạn bỏ dấu Check Box – Define this policy setting – thực hiện với cả hai thiết lập. - Vào Run gừ Gpupdate /force để apply sự thay đổi policy trong domain sau đú bạn phải chỉnh cả trong Local Policy của máy chủ Domain Controller nữa thì mới tạo được User ở dạng Password là chống (blank).
Restore Acitve Directory
Addtional New DC
Sau đây là cách tạo cài đặt thêm một máy chủ Domain Controller vào Domain có sẵn là vnexperts.net với dữ liệu DNS và Active Directory giống Domain Controller đầu tiên và hoạt động với chức năng tương đương nhau trong hệ thống. - Vào kiểm tra và kết quả tôi đã được một bản copy của dữ liệu DNS trên máy chủ mới, điều này có nghĩa máy chủ Secondary này hoàn toàn có khả năng giải quyết vấn đề về tên miền trong hệ thống. - Nhấn Next hệ thống tự động tìm kiếm Domain đã chọn, nếu bạn đặt địa chỉ DNS cho card mạng sai đến bước này sẽ không tìm thấy domain mà bạn cần add vào, khi đó bạn chỉ cần kiểm tra lại DNS khi đặt địa chỉ IP là ok.
Child Domain
- Sau khi hoàn thành quá trình tạo Secondary Zone vnexperts.net của DNS trên mỏy chủ dc3 và đặt địa chỉ IP như trờn ta vào run gừ dcpromo để bắt đầu quỏ trỡnh cài đặt. - Hệ thống sẽ hiển thị NetBIOS Name của domain mới tạo ra là MCSA ta để mặc định, tên MCSA này chính là tên khi client join vào domain sẽ lựa chọn trong danh sách những domain trong khi logon. Tương tự như cài đặt domain mcsa.vnexperts.net ta tiếp tục cài đặt thêm một domain con của domain vnexperts.net nữa đó là domain ccna.vnexperts.net trên máy chủ dc4.
Forest
Trong cửa sổ dưới đây bạn chọn "Domain Controller for a New domain" bắt buộc bạn phải chọn Options này bởi domain vne.vn bạn cần cài đặt chưa có máy chủ Domain Controller nào cả. - Cài đặt một domain mới hoàn toàn bạn phải chọn Options đầu tiên, nếu chọn Option thứ 2 là cài đặt Domain Con trong domain tree có sẵn. - Lựa chọn tên mới cho domain: vne.vn trong domain forest vnexperts.net nhấn Next để tiếp tục quá trình cài đặt.
Rename DC
Vào Active Directory Sites and Services để kiểm tra xem mọi thứ kết quả thật là đều chạy tốt.
Sử dụng Netdom tool
Giờ việc đầu tiên sẽ phải add một tên nữa vào cho máy chủ dc1.vnexperts.net ta chọn tên vne.vnexperts.net. Vào administrative tools -> Active Directory Users and Computers - chuột phải vào domain vnexperts chọn Raise Domain Function Level. Và ta đã add được thêm một tên mới là vne.vnexperts.net cho máy chủ dc1.vnexperts.net.
Xem kết quả
DC vài trò Master
Nhấn OK rồi tiếp tục chuột phải vào Domain vnexperts.net chọn Operations Master, ngay trong tab đầu tiên là tab RID thấy: current Master và Change, nhấn Change để thay đổi RID master từ máy chủ vne.vnexperts.net sang máy chủ dc3.vnexperts.net. Việc chuyển đổi Master Role khi tất cả các Domain Controller đều đang hoạt động bình thường là vô cùng đơn giản, nhưng thật không may đôi khi máy chủ Master Role của chúng ta bị hỏng không thể khắc phục lại được. Lưu ý chỉ khi nào máy chủ Master Role thực sự hỏng bạn mới làm theo phương pháp này, bởi khi bạn tự ý nâng cấp Master Role cho một máy chủ Domain Controller, khi đó máy chủ Master trước được bật lên sẽ bị sung nhau bởi hệ thống không thể có hai Master Role.