Khi làm việc trên một mạng hỗn hợp, bạn cần nhớ là không phải mọi hệ điều hành thậm trí không phải tất cả các hệ điều hành Windows đều hỗ trợ Active Directory. Mà chỉ có trên hệ điều hành Windows XP và Windows server 2003 mới có tính năng này. Các máy tính chạy trên hệ điều hành khác có thể có chức năng này của dịch vụ Active Directory máy khách, nhưng bạn phải tải phần mềm Active Directory client từ trang web của Microsoft và cài đặt nó. Các máy khác có thể thực hiện rất nhiều tính năng của Active Directory trên hệ thống Windows server 2003, Windows XP và Windows 2000
+ Thêm vào đó khi làm việc trên một mạng hỗn hợp bạn nên ý thức được các vấn đề sau trong môi trường này là:
- Không có dịch vụ Active Directory máy khách, người dùng trong hệ thống chạy các phiên bản trước Windows 2000 chỉ có thể thay đổi mật khẩu nếu hệ thống truy nhập được tới máy điều khiển miền có chức năng như là Primary Domain Controller Emulator. Để xác định PDC- Emulator trong miền, mở Active Directory Users And Computers, chọn miền, chọn lệnh Operations Masters từ thực đơn Action , sau đó chọn thẻ PDC. Nếu PDC Emulator không làm việc (hoặc không ở trên mạng (offline) hoặc ở đang nằm trên phía bên kia của kết nối mạng bị đứt) thì người dùng không thể thay đổi được mật khẩu của họ.
- Ta đã biết người dùng duy trì hai thuộc tính tên người dùng đăng nhập. Khi người dùng đăng nhập, họ nhập tên người dùng và chọn miền danh sách chon Log On To. Cách khác nữa là tên người dùng có thể được vào theo dạng Domail Name/User Logon Name. Người dùng đăng nhập vào máy tính chạy hệ điều hành Windows 2000 hoặc các phiên bản sau đó của hệ điều hành Windows có thể đăng nhập theo cùng một cách như vậy, hoặc họ có thể sử dụng tên UPN theo dạng UserLogonName@UPN Suffix, trong đó UPN suffix mặc định là tên DNS miền của đối tượng người dùng. Khi đó bạn không cần phải chọn miền từ Log On To. Trên thực tế hộp chọn này sẽ bị vô hiệu hoá ngay sau khi bạn gõ kí hiệu @. 2.25 – Kiểm định xác thực
Nếu bạn lo rằng có thể có các cuộc tấn công dò tìm mật khẩu hoặc bạn muốn biết thêm thông tin về khắc phục các vấn đề sự cố xác thực, bạn có thể cấu hình chính sách kiểm định để ghi các sự kiện vào nhật kí bảo mật giúp bạn thấy rõ quá trính xác thực đã diễn ra như thế nào.Các chính sách kiểm định sau được đặt tại Computer Configuration \Windows Settings\Security Settings\Local Policies\Audit Policy ở cả hai bảng điều khiển Group Policy Object Editor và Local Security Policy. Bạn có thể cấu hình để ghi lại các sự kiện thành công hoặc bị lỗi.
- Audit Account Logon Events: Ghi lại từng sự kiện đăng nhập thành công hoăc lỗi. Đối với máy chủ điều khiển miền, chính sách này được xác định trong chính sách máy chủ điều khiển miền mặc định (Default Domain Controllers Policy GPO). Việc kích hoạt chính sách trên sẽ khở tạo một mục vào của nhật kí bảo mật trên máy chủ điều khiển miền mỗi lần người dùng đăng nhập trực tiếp hoặc qua mạng sử dụng tài khoản miền. Để đánh giá đầy đủ kết quả của việc kiểm định bạn phải kiểm tra nhật ký bảo mật trên tất cả các máy chủ điều khiển miền do người dùng được xác thực phân tán trên tất cả các máy chủ điều khiển miền trong site hoặc miền.
- Audit Account Management: Cấu hình kiểm định trong tác vụ quản trị bao gồm tạo, xoá hoặc sửa tài khoản người dùng, nhóm, máy, máy tính, cũng như việc đặt lại mật khẩu.
- Audit Logon Events: Sự kiện đăng nhập gồm đăng nhập và thoát ra khỏi windows, trực tiếp hoặc qua mạng. Nếu bạn kích hoạt chính sách kiểm định sự kiện tài khoản đăng nhập cho những lần thành công trên máy chủ điều khiển miền, việc đăng nhập máy trạm sẽ không tạo ra các mục và kiểm định khi đăng nhập. Chỉ đăng nhập trực tiếp và qua mạng vào máy chủ điều khiển miền mới tạo ra các sự kiện đăng nhập. Các sự kiện đăng nhập của tài khoản được tạo trên máy cục bộcho tài khoản cục bộ và cho máy chủ điều kiển miền cho các tài khoản mạng. Các sự kiện đăng nhập được sinh ra bất cứ lúc nào khi việc đăng nhập xảy ra.
Một khi ban đã cấu hình chính sách kiểm định, nhật ký bảo mật sẽ bắt đầu điền các thông điệp sự kiện. Bạn có thể xem các thông điệp này bằng cách sử dụng bảng điều khiển Event Viewer .
Chương 3 : LÀM VIỆC VỚI NHÓM
Khi sử dụng nhóm, các quản trị mạng có thể đơn giản hóa quá trình cấp phép truy cập cho người dùng.
3.1– tìm hiểu về nhóm
Để người dùng có khả năng truy cập các tài nguyên trên mạng Active Directory, họ nhất thiết phải có các cấp phép thích hợp. Các thư mục, ổ đĩa, máy in được chia sẻ, và nói rộng hơn là tất cả các loại tài nguyên khác trên mạng đều có một Danh sách Kiểm soát Truy cập (Access Control List - ACL). ACL chính là danh sách của các đối tượng được cho phép truy cấp đến tài nguyên, theo các mức độ truy cập khác nhau mà mỗi đối tượng được cấp. Trong Microsoft Windows Server 2003, ACL được hiển thị tại thẻ Sercurity (Bảo mật) của phần lớn trong bất cứ hộp thoại Properties nào, như được thể hiện trong hình 3-1. Các đối tượng trong ACL được gọi là Sercurity Principals (Đối tượng bảo mật). Bạn có thể sử dụng Dối tượng người dùng như là các Đối tượng Bảo mật để trao cho người dùng quyền truy cập đến các tài nguyên họ cần, do Đối lượng người dùng xác định tính duy nhất của người dùng thông qua quá trình xác thực. Về mặt lý thuyết, Quản trị viên có thể tạo toàn bộ các cấp phép cho mọi người dùng bằng cách thêm các đối tượng người dùng vào ACL, và việc thực hiện điều này với toàn bộ các mạng máy tính (trừ trường hợp đối với các mạng rất nhỏ) là điều không thể do việc tiêu tốn một cách lãng phí thời gian và lao động. Hãy Hãy tưởng tượng bạn đang tuyển thêm 250 nhân viên mới và sau khi đã tạo các Đối tượng người dùng cho họ, phải cấp phép cho họ truy nhập các nguồn tài nguyên trải dài trên toàn bộ mạng. Thậm chí với trường hợp xấu nhất, giả sử máy chủ bị hỏng và bạn cần cài đặt nhanh một máy chủ thay thế và sau đó cấp phép cho 250 người để có thể truy cập đến máy chủ mới.
Hình 3-1: Thẻ Security trong hộp thoại Properties của thư mục
Để tránh những việc xảy ra, người quản trị sử dụng nhóm, nhóm sẽ đơn giản hóa danh sách của các người dùng có các chức năng như các đối tượng bảo mật. Trong Active Directory đối tượng nhóm bao gồm các đối tượng người dùng, máy tính, mối liên hệ (contact), và trong những điều kiện nhất định, thậm chí bao gồm các nhóm. Khi bạn sử dụng Đối tượng Nhóm như là Đối tượng Bảo mật bằng cách thêm chúng vào trong danh sách ACL, tất cả các thành viên trong nhóm đều nhận các cấp phép mà bạn đã gán cho nhóm. Nếu bạn thêm thành viên mới vào nhóm tại các thời điểm sau này, họ cũng sẽ nhận được các cấp phép giống như vậy. Nếu bạn loại bỏ thành viên nào đó, các cấp phép cho họ cũng loại bỏ theo.
Trong ví dụ đã nêu ở trên, bạn có thể tạo ra một Đối tượng Nhóm và gán cho nó các cấp phép mà những người mới được nhận vào làm việc cần có. Khi các nhân viên mới đến làm việc, toàn bộ các công việc bạn phải làm chỉ là tạo ra các Đối tượng người dùng cho họ và thêm họ vào Nhóm. Để đơn giản hóa việc tổ chức một máy chủ thay thế, bạn cần tạo ra một nhóm chứa toàn bộ các người dùng của máy chủ ban đầu. Nếu máy chủ hỏng và bạn cần chuyển sang sử dụng máy chủ thay thế, tất cả các công việc bạn cần làm là gán các cấp phép truy cập đến máy chủ mới cho đối tượng nhóm đã tạo, và tất cả các người dùng sẽ được chuyển qua sử dụng máy chủ mới một thuận tiện. Trên các mạng có hệ thống các nhóm được thiết kế tốt, quản trị mạng rất hiếm khi, nếu có, phải gán các cấp phép cho các người dùng riêng lẻ.
hình 3-2: Là đối tượng bảo mật, một nhóm tương đương với thiếu người dùng
Nhóm cũng có thể giúp chúng ta gán Quyền của người dùng cho nhiều người dùng cùng lúc. Trong Microsoft Windows Server 2003, khái niệm Quyền (Right) hoàn toàn khác với khái niệm Cấp phép (Permission). Quyền của người dùng (User right) trao cho người dùng hay nhóm khả năng thực hiện một tác vụ nhất định, như truy cập đến một máy tính nào đó thông qua mạng, thay đổi thời gian hệ thống, hoặc giành quyền sở hữu (Take ownership) đối với file hay các đối tượng khác. Thêm vào đó, bạn cũng có thể sử dụng nhóm để tạo danh sách phân phối thư điện tử.
- Sử dụng nhóm (Group) và các chính sách của nhóm (Group Policies). Cấu trúc của cây Active Directory là một phần rất quan trọng của quá trình tạo tài khoản người dùng trong miền do các quyền và Cấp phép ta đã gán cho các đối tượng chứa sẽ được các đối tượng con của nó thừa hưởng, bao gồm cả các đối tượng người dùng. Việc thừa kế giữa các nhóm cũng làm việc giống như vậy,với các thành viên sẽ nhận được các thiết lập đã gán cho nhóm. Sự khác biệt chủ yếu giữa các đối tượng nhóm và đối tượng chứa là đối tượng nhóm không bị chi phối bởi cấu trúc hình cây của Active Directory. Bạn có thể tạo ra nhóm với các thành viên ở bất cứ đâu trong miền, thậm trí tại các miền khác, và trao đổi cho chúng các đặc quyền chỉ với một thao tác đơn giản.
Chính sách nhóm, mặc dù với tên như vậy, được kết hợp chặt chẽ với các đối tượng chứa nhiều hơn là các đối tượng chứa nhóm. Đối tượng chính sách nhóm chỉ có thể gán với các đối tượng miền, vị trí (site), OU có sử dụng Active Directory, và các thiết lập của chúng sẽ được truyền xuống theo cây Active Directory. Bạn không thể gán GPO cho nhóm, mặc dù trong nhiều trường hợp, bạn có thể cấu hình các thiết lập chính sách nhóm để cấu hình một vài tính năng của hệ điều hành trên tất cả các thành viên của nhóm.
Một trong số các hiểu lầm phổ biến nhất đối với các khái niệm Active Directory chính là cấp chức năng. Các quản trị mạng đôi khi cũng nản lòng trước viễn cảnh của việc thay đổi cấp chức năng của Miền hay Rừng do nó là một trong vài quyết định mà bạn sẽ không thể thu hồi được trong Microsoft Windows Server 2003. Khi bạn đã thay đổi cấp chức năng, bạn sẽ không có cơ hội để khôi phục lại được. Nói cách khác là các phiên bản khác nhau của Windows có một chút khác nhau trong việc thực thi các chức năng của Active Directory. Mỗi phiên bản thành công sẽ có vài tính năng mới không được sử dụng tới khi một vài máy chủ quản trị miền đều tương thích và là an toàn để kích hoạt các tính năng chỉ có trong phiên bản mới.
Trong Microsoft Windows Server 2003, bốn cấp chức năng có thể có của chúng bao gồm: Windows 2000 mixed (Pha trộn), Windows 2000 Native (tự nhiên), Windows 2003 Interim (Chuyển tiếp), và Windows Server 2003. Các cấp chức năng nói trên hỗ trợ các máy chủ quản trị miền chạy trong môi trường kết hợp rất nhiều các hệ điều hành, và chúng sẽ cung cấp rất nhiều các tính năng phụ thêm, và một vài tính năng này sẽ được áp dụng cho chức năng của đối tượng nhóm trong Miền. Các đặc tính của cấp chức năng cho miền được liệt kê sau đây:
- Windows 2000 Mixed: là cấp chức năng mặc định của máy chủ quản trị miền Windows server 2003.
o Hỗ trợ các Máy chủ Quản tri Miền chạy Windows Server 2003, Windows Server 2000, và Windows NT 4
o Hỗ trợ Nhóm Phân phối Tổng hợp (Universal Distribution Group), nhưng không hỗ trợ Nhóm Bảo mật Tổng hợp
o Nhóm Toàn cục (Global Group) không thể chứa các nhóm khác (nhóm trong nhóm).
o Việc chuyển đổi các nhóm là không được phép.
- Windows 2000 Native: Hỗ trợ các Máy chủ Quản tri Miền chạy Windows Server 2003 và Windows Server 2000.
o Hỗ trợ các Nhóm Phân phối và Bảo mật Tổng hợp.
o Cho phép một hay nhiều nhóm là thành viên của nhóm khác.
o Cho phép chuyển đổi qua lại giữa các Nhóm Bảo mật và Nhóm Phân phối.
o Cho phép di chuyển các Đối tượng Bảo mất (Security Principal) từ Miền này qua Miền khác (Lịch sử SID).
- Windows Server 2003 Interrim: Hỗ trợ các Máy chủ Quản trị Miền chạy Windows Server 2003.
o Hỗ trợ các Nhóm Phân phối và Bảo mật Tổng hợp.
o Cho phép một hay nhiều nhóm là thành viên của nhóm khác
o Cho phép chuyển đổi qua lại giữa các Nhóm Bảo mật và Nhóm phân phối.
Hình 3.2: Hộp thoại Properties của miền 3.2- SỬ DỤNG NHÓM CỤC BỘ
Một nhóm Cục bộ là một tập hợp của các Tài khoản người dùng Cục bộ trên một máy tính nhất định. Nhóm cục bộ thực hiện cùng các chức năng cơ bản của Nhóm: nó cho phép bạn có thể gán các Cấp phép cho nhiều người dùng trong cùng một bước thực hiện. Bạn tạo Nhóm cục bộ bằng Snap-in “Local Users And Groups” đã được tích hợp trong bảng điều khiển “Computer Management” (có thể truy cập từ nhóm chương trình “Administrative Tools”), như đã chỉ ra trong hình 3.4. Khi bạn tạo Nhóm Cục bộ, hệ thống sẽ lưu chúng tại CSDL của Trình Quản lý Tài khoản bảo mật (Security Accounts Manager - SAM) Các nhóm Cục bộ cũng có những hạn chế giống như đối với các người dùng cục bộ.
Các hạn chế của nhóm cục bộ được liệt kê sau:
• Bạn chỉ có thể sử dụng Nhóm Cục bộ chỉ trên máy tính nơi bạn tạo ra nó. • Chỉ có các người dùng cục bộ trên cùng máy tính có thể là thành viên của nhóm cục bộ.
• Khi máy tính là thành viên của một miến, thành viên của nhóm cục bộ có thể bao gồm các người dùng và các nhóm toàn cục của miền này hay bất cứ miền nào khác được tin cậy.
• Việc cấp phép cho nhóm cục bộ chỉ cung cấp việc truy cập đến các nguồn tài nguyên trên máy tính mà bạn tạo ra nhóm
• Bạn không thể tạo ra nhóm cục bộ trên máy tính chạy Windows server 2003 đóng vai trò như máy chủ quản trị miền
Hình 3.3: Snap-in “Local Users And Groups”
3.3: Sử dụng nhóm Active Directory
Các nhóm Active Directory được phân biệt bởi kiểu (Type) và phạm vi (Scope) của chúng. Nhóm Active Directory có hai kiểu, mà mỗi kiểu đều có ba phạm vi khác nhau. Việc xây dựng các nhóm này dúng phạm vi của nó sẽ giúp chúng ta sử dụng tốt nhất nguồn lực quản trị khi tạo, gán, và quản lý việc truy cập đến nguồn tài nguyên. Khả năng của việc xây dựng các nhóm cũng phụ thuộc vào Cấp chức năng của miền mà tại đó các nhóm được tạo ra. Windows Server 2003 có hàng loạt các nhóm được tạo sẵn, và bạn cũng có thể tạo ra thêm bao nhiêu nhóm là tùy vào yêu cầu của bạn.
Nhóm Active Directory, không phụ thuộc vào kiểu hay phạm vi của nó, là các đối tượng trong CSDL Active Directory, cũng giống như tài khoản người dùng và đối tượng chứa là các đối tượng. so sánh với đối tượng người dùng, đối tượng nhóm là hoàn toàn tương tự. Thay vào những thuộc tính của đối tượng người dùng, đối tượng nhóm chỉ có một vài thuộc tính, mà quan trọng nhất trong số đó là danh sách các thành viên. Như tên của nó đã chỉ ra, danh sách thành viên đơn giản chỉ là một danh sách các đối tượng, như người dùng, các nhóm khác, máy tính, và Liên lạc (Contact), đó là các thành viên của nhóm. Tất cả các Cấp phép và Quyền được gán cho nhóm sẽ được mọi đối tượng có tên trong danh sách thành viên của nhóm thừa kế.