Chức năng của Active Directory.

I. ACTIVE DIRECTORY

2. ACTIVE DIRECTORY.

2.2 Chức năng của Active Directory.

- Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính.

- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng).

- Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.

- Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ

- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ.

3.Directory Services.

3.1 Giới thiệu Directory Services.

Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trong NTDS.DIT và các chương trình quản lý, khai thác tập tin này. Dịch vụ danh bạ là một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống Active Directory. Một hệ thống với những tính năng vượt trội của Microsoft.

3.2 Các thành phần trong Directory Services.

Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh bạ là gì? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số điện thoại. Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc tính liên quan đến các đối tượng đó.

a. Object (đối tượng).

Trong hệ thống cơ sở dữ liệu, đối tượng bao gồm các máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, … Đối tượng chính là thành tố căn bản nhất của dịch vụ danh bạ.

b. Attribute (thuộc tính).

Một thuộc tính mô tả một đối tượng. Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng mạng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên, các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau. Lấy ví dụ như một máy in và một máy trạm cả hai đều có một thuộc tính là địa chỉ IP.

c. Schema (cấu trúc tổ chức).

Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đối tượng nào đó. Ví dụ, cho rằng tất cả các đối tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại PDL và tốc độ. Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng “máy in”. Schema có đặc tính là tuỳ biến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi được. Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ Active Directory.

d. Container (vật chứa).

Vật chứa tương tự với khái niệm thư mục trong Windows. Một thư mục có thể chứa các tập tin và các thư mục khác. Trong Active Directory, một vật chứa có thể chứa các đối tượng và các vật chứa khác. Vật chứa cũng có các thuộc tính như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó như đối tượng. Có ba loại vật chứa là:

- Domain: khái niệm này được trình bày chi tiết ở phần sau.

- Site: một site là một vị trí. Site được dùng để phân biệt giữa các vị trí cục bộ và các vị trí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco, một chi nhánh đặt ở Denver và một văn phòng đại diện đặt ở Portland kết nối về tổng hành dinh bằng Dialup Networking. Như vậy hệ thống mạng này có ba site.

- OU (Organizational Unit): là một loại vật chứa mà bạn có thể đưa vào đó người dùng, nhóm, máy tính và những OU khác. Một OU không thể chứa các đối tượng nằm trong domain khác. Nhờ việc một OU có thể chứa các OU khác, bạn có thể xây dựng một mô hình thứ bậc của các vật chứa để mô hình hoá cấu trúc của một tổ chức bên trong một domain. Bạn nên sử dụng OU để giảm thiểu số lượng domain cần phải thiết lập trên hệ thống.

e. Global Catalog.

- Dịch vụ Global Catalog dùng để xác định vị trí của một đối tượng mà người dùng được cấp quyền truy cập. Việc tìm kiếm được thực hiện xa hơn những gì đã có trong Windows NT và không chỉ có thể định vị được đối tượng bằng tên mà có thể bằng cả những thuộc tính của đối tượng.

- Giả sử bạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn bạn sẽ không dùng một máy in HP Laserjet 4L. Bạn sẽ phải tìm một máy in chuyên dụng, in với tốc độ 100ppm và có khả năng đóng tài liệu thành quyển. Nhờ Global Catalog, bạn tìm kiếm trên mạng một máy in với các thuộc tính như vậy và tìm thấy được một máy Xerox Docutech 6135. Bạn có thể cài đặt driver cho máy in đó và gửi print job đến máy in. Nhưng nếu bạn ở Portland và máy in thì ở Seattle thì sao? Global Catalog sẽ cung cấp thông tin này và bạn có thể gửi email cho chủ nhân của máy in, nhờ họ in giùm.

- Một ví dụ khác, giả sử bạn nhận được một thư thoại từ một người tên Betty Doe ở bộ phận kế toán. Đoạn thư thoại của cô ta bị cắt xén và bạn không thể biết được số điện thoại của cô ta. Bạn có thể dùng Global Catalog để tìm thông tin về cô ta nhờ tên, và nhờ đó bạn có được số điện thoại của cô ta.

- Khi một đối tượng được tạo mới trong Active Directory, đối tượng được gán một con số phân biệt gọi là GUID (Global Unique Identifier). GUID của một đối tượng luôn luôn cố định cho dù bạn có di chuyển đối tượng đi đến khu vực khác.

II. Nhóm và Chính sách nhóm

1.Giới thiệu

1.1 So sánh giữa System Policy và Group Policy.

Vừa rồi ở chương trước, chúng ta đã tìm hiểu về chính sách hệ thống (System Policy), tiếp theo chúng ta sẽ tìm hiểu về chính sách nhóm (Group Policy). Vậy hai chính sách này khác nhau như thế nào.

- Chính sách nhóm chỉ xuất hiện trên miền Active Directory , nó không tồn tại trên miền NT4.

- Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống. Tất nhiên chính sách nhóm chứa tất cả các chức năng của chính sách hệ thống và hơn thế nữa, bạn có thể dùng chính sách nhóm để triển khai một phần mềm cho một hoặc nhiều máy một cách tự động.

- Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống.

- Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống. Các chính sách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào mạng thôi. Các

chính sách nhóm thì được áp dụng khi bạn bật máy lên, khi đăng nhập vào một cách tự động vào những thời điểm ngẫu nhiên trong suốt ngày làm việc.

- Bạn có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc từng nhóm đối tượng.

- Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy Win2K, WinXP và Windows Server 2003.

1.2. Chức năng của Group Policy.

- Triển khai phần mềm ứng dụng: bạn có thể gom tất cả các tập tin cần thiết để cài đặt một phần mềm nào đó vào trong một gói (package), đặt nó lên Server, rồi dùng chính sách nhóm hướng một hoặc nhiều máy trạm đến gói phần mềm đó. Hệ thống sẽ tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cần sự can thiệp nào của người dùng.

- Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng của chính sách hệ thống. Nó có thể cấp cho một hoặc một nhóm người nào đó có quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu…

- Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thể kiểm soát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy được một vài ứng dụng nào đó thôi như: Outlook Express, Word hay Internet Explorer.

- Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định hạn ngạch đĩa cho một người dùng nào đó. Người dùng này chỉ được phép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định.

- Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 và Windows Server 2003 thì hỗ trợ cả bốn sự kiện này được kích hoạt (trigger) một kịch bản (script). Bạn có thể dùng các GPO để kiểm soát những kịch bản nào đang chạy.

- Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng GPO để gỡ bỏ nhiều tính năng khỏi Internet Explorer, Windows Explorer và những chương trình khác.

- Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ bỏ hầu hết các đề mục trên menu Start của một người dùng nào đó, ngăn chặn không cho người dùng cài thêm máy in, sửa đổi thông số cấu hình của máy trạm…

2.TRIỂN KHAI MỘT CHÍNH SÁCH NHÓM TRÊN MIỀN.

Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đối tượng chính sách (GPO). Các GPO là một vật chứa (container) có thể chứa nhiều chính sách áp dụng cho nhiều người, nhiều máy tính hay toàn bộ hệ thống mạng. Bạn dùng chương trình Group Policy Object Editor để tạo ra các đối tượng chính sách. Trong của sổ chính của Group Policy Object Editor có hai mục chính: cấu hình máy tính (computer configuration) và cấu hình người dùng (user configuration).

Điều kế tiếp bạn cũng chú ý khi triển khai Group Policy là các cấu hình chính sách của Group Policy được tích lũy và kề thừa từ các vật chứa (container) bên trên của Active Directory. Ví dụ các người dùng và máy tính vừa ở trong miền vừa ở trong OU nên sẽ nhận được các cấu hình từ cả hai chính sách cấp miền lẫn chính sách cấp OU. Các chính sách nhóm sau 90 phút sẽ được làm tươi và áp dụng một lần, nhưng các chính nhóm trên các Domain Controller được làm tươi 5 phút một lần. Các GPO hoạt động được không chỉ nhờ chỉnh sửa các thông tin trong Registry mà còn nhờ các thư viện liênkết động (DLL) làm phần mở rộng đặt tại các máy trạm. Chú ý nếu bạn dùng chính sách nhóm thì chính sách nhóm tại chỗ trên máy cục bộ sẽ xử lý trước các chính sách dành cho site, miền hoặc OU.

2.1. Xem chính sách cục bộ của một máy tính ở xa.

Để xem một chính sách cục bộ trên các máy tính khác trong miền, bạn phải có quyền quản trị trên máy đó hoặc quản trị miền. Lúc đó bạn có thể dùng lệnh GPEDIT.MSC /gpcomputer:machinename, ví dụ bạn muốn xem chính sách trên máy PCO1 bạn gõ lệnh GPEDIT.MSC /gpcomputer: PCO1. Chú ý là bạn không thể dùng cách này để thiết lập các chính sách nhóm ở máy tính ở xa, do tính chất bảo mật Microsoft không cho phép bạn ở xa thiết lập các chính sách nhóm.

2.2. Tạo các chính sách trên miền.

Chúng ta dùng snap-in Group Policy trong Active Directory User and Computer hoặc gọi trược tiếp tiện ích Group Policy Object Editor từ dòng lệnh trên máy Domain Controller để tạo ra các chính sách nhóm cho miền. Nếu bạn mở Group Policy từ Active Directory User and Computer thì trong khung cửa sổ chính của chương trình bạn nhấp chuột phải vào biểu tượng tên miền (trong ví dụ này là netclass.edu.vn), chọn Properties. Trong hộp thoại xuất hiện bạn chọn Tab Group Policy.

Nếu bạn chưa tạo ra một chính sách nào thì bạn chỉ nhìn thấy một chính sách tên Default Domain Policy. Cuối hộp thoại có một checkbox tên Block Policy inheritance, chức năng của mục này là ngăn chặn các thiết định của mọi chính sách

bất kỳ ở cấp cao hơn lan truyền xuống đến cấp đang xét. Chú ý rằng chính sách được áp dụng đầu tiên ở cấp site, sau đó đến cấp miền và cuối cùng là cấp OU. Bạn chọn chính sách Default Domain Policy và nhấp chuột vào nút Option để cấu hình các lựa chọn việc áp dụng chính sách. Trong hộp thoại Options, nếu bạn đánh dấu vào mục No Override thì các chính sách khác được áp dụng ở dòng dưới sẽ không phủ quyết được những thiết định của chính sách này, cho dù chính sách đó không đánh dấu vào mục Block Policy inheritance. Tiếp theo nếu bạn đánh dấu vào mục Disabled, thì chính sách này sẽ không hoạt động ở cấp này, Việc disable chính sách ở một cấp không làm disable bản thân đối tượng chính sách.

Để tạo ra một chính sách mới bạn nhấp chuột vào nút New, sau đó nhập tên của chính sách mới. Để khai báo thêm thông tin cho chính sách này bạn có thể nhấp chuột vào nút Properties, hộp thoại xuất hiện có nhiều Tab, bạn có thể vào Tab Links để chỉ ra các site, domain hoặc OU nào liên kết với chinh sách. Trong Tab Security cho phép bạn cấp quyền cho người dùng hoặc nhóm người dùng có quyền gì trên chính sách này.

Trong hộp thoại chính của Group Policy thì các chính sách được áp dụng từ dưới lên trên, cho nên chính sách nằm trên cùng sẽ được áp dụng cuối cùng. Do đó, các GPO càng nằm trên cao trong danh sách thì càng có độ ưu tiên cao hơn, nếu chúng có những thiết định mâu thuẫn nhau thì chính sách nào nằm trên sẽ thắng. Vì lý do đó nên Microsoft thiết kế hai nút Up và Down giúp chúng ta có thể di chuyển các chính sách này lên hay xuống.

Trong các nút mà chúng ta chưa khảo sát thì có một nút quan trọng nhất trong hộp thoại này đó là nút Edit. Bạn nhấp chuột vào nút Edit để thiết lập các thiết định cho chính sách này, dựa trên các khả năng của Group Policy bạn có thể thiết lập bất cứ thứ gì mà bạn muốn. Chúng ta sẽ khảo sát một số ví dụ minh họa ở phía sau.