: Hình I.4.7Bản ghi Name Server của DNS
2.2Thiết lập chiến lược sao lưu và khôi phục domain controller
2. Cơ sở lí thuyết.
2.2Thiết lập chiến lược sao lưu và khôi phục domain controller
Những người quản trị lập kế hoạch sao lưu system state trên các domain controller để khôi phục khi dữ liệu Administratorsbị mất và một domain controller bị hỏng. Domain controller bị lỗi có thể do một lỗi nghiêm trong trong dịch vụ. Như một phần của việc quản lý an toàn và các hoạt động khôi phục, domain controller backups phải được thực hiện an toàn và tin cậy. Sao lưu trạng thái hệ thống ( System state) trên domain controller không giống các dạng sao lưu và khôi phục trên các máy chủ ở một số điểm:
Không thể thực hiện Incremental backup
Không phải tất cả domain controller sẽ được sao lưu
Sao lưu từ một domain controller không thể được sử dụng để khôi phục trên một domain controller khác
Khôi phục ở cả hai dạng authoritative hoặc non-authoritative
Các domain controller ở mức bảo mật cao, cần đến các thao tác đặc biệt
Do yêu cầu bảo mật ở mức cao, một chính sách sao lưu và khôi phục an toàn bao gồm các thao tác bảo mật mà không được cần đến cho việc sao lưu máy chủ cụ thể. Chiến lược sao lưu và khôi phục domain controller an toàn sẽ bao gồm các thao tác chính sau:
Tránh sử dụng một tài khoản chung cho toàn công ty để thực hiện sao lưu
Hạn chế phần cứng sao lưu domain controller để các chúng được bảo mật
Kế hoạch sao lưu domain controller thông thường và huỷ các phương tiện sao lưu khi chúng không còn sử dụng
Bảo vệ các tài khoản Backup Operators
Thao tác khôi phục định kỳ các domain controller từ phương tiện sao lưu.
Thực thi một chính sách sao lưu và khôi phục đã đưa ra để xác định domain controller nào sẽ được sao lưu, ai có quyền thực hiện chức năng này, cách các domain controller sẽ được sao lưu và cách phương tiện sao lưu sẽ được sử dụng.
2.3 Quản lý tài khoản Backup Operators
Administratorschứa một nhóm có sẵn tên là Backup Operators. Các thành viên của nhóm này được coi như những người quản trị dịch vụ, bởi vì các thành viên của nhóm này có quyền khôi phục các file, bao gồm các file hệ thống trên các domain controller. Thành viên của nhóm Backup
Operators trong Administratorssẽ được giới hạn bao gồm những cá nhân thực hiện sao lưu và khôi phục các domain controller.
Tất cả các máy chủ thành viên cũng chứa một nhóm có sẵn được gọi là Backup Operators ở trên mỗi máy chủ đó. Các cá nhân những người chịu trách nhiệm cho việc sao lưu các ứng dụng trên mỗi máy chủ thành viên sẽ là thành viên của nhóm Backup Operators trên máy chủ đó chứ không phải là thành viên nhóm Backup Operators trong Active Directory.
Trên một domain controller riêng, bạn có thể giảm số lượng thành viên của nhóm Backup Operators. Khi một domain controller được sử dụng để chạy các ứng dụng khác, các cá nhân chịu trách nhiệm cho việc sao lưu các ứng dụng trên các domain controller cũng phải được tin cậy như người quản trị dịch vụ, bởi vì họ sẽ có quyền cần thiết để khôi phục file, bao gồm
Bởi mặc định, nhóm Backup Operators rỗng. Các thành viên của nó có thể được thay đổi bởi các thành viên của các nhóm administrators,
Domain Administrators, and Enterprise Administrators. Các quyền được liệt kê trong bảng II.1
Bảng II.1 Kí hiệu bảo mật để bảo vệ nhóm Backup Operators trong Active Directory
Dạng Tên
Quyền Áp
dụng tới Allow Administrators List Contents
ReAdministratorsAll Properties
Write All Properties Delete
ReAdministratorsPermissions Modify Permissions
Modify Owner All Validated Writes All Extended Rights Create All Child Objects Delete All Child Objects
Chỉ đối tượng này Allow Authenticated Users List Contents ReAdministratorsAll Properties ReAdministratorsPermissions Chỉ đối tượng này
Dạng Tên Quyền Áp dụng tới Allow Domain Admins List Contents ReAdministratorsAll Properties
Write All Properties (adsbygoogle = window.adsbygoogle || []).push({});
ReAdministratorsPermissions Modify Permissions
Modify Owner All Validated Writes All Extended Rights Create All Child Objects Delete All Child Objects
Chỉ đối tượng này Allow Enterprise admins List Contents ReAdministratorsAll Properties
Write All Properties
ReAdministratorsPermissions Modify Permissions
Modify Owner All Validated Writes All Extended Rights Create All Child Objects Delete All Child Objects
Chỉ đối tượng này
Dạng Tên
Quyền Áp
dụng tới
Allow Everyone Change Password Chỉ đối
tượng này Allow Pre– Windows 2000 Compatible Access List Contents ReAdministratorsAll Properties ReAdministratorsPermissions Đặc biệt
Allow SYSTEM Full Control Chỉ đối
tượng này
Ghi chú: các từ chuyên ngành khó hiểu sẽ được chú thích trong phụ lục
3. Hiện trạng hệ thống
Các tài khoản của nhân viên chưa được sắp xếp, phân quyền cụ thể. Các user chưa đều có các quyền cơ bản và ngang nhau.
Chưa có các mẫu policy nào áp dụng hay chính sách nào sử dụng cho hệ thống Active Directory.
Hệ thống công ty mói được xây dựng do đó chưa hề có một chính sách Update và backup. Do đó để đảm bảo hệ thống hoạt động một cách bình thường và an toàn thì một cơ chế backup tốt là một đòi hỏi tối quan trọng.