- Quản lý chặt chẽ hệ thống máy trạm: Để đảm bảo cho hệ thống ổn
2.2.2Quản lý các đối tượng trên domain
Quản lý thông tin computer trên domain
Khi một máy tính được gia nhập vào domain, thông tin về computer đó sẽ được lưu trữ trên domain và chính sách về IPSEC sẽ áp cho các computer này. Các bản ghi của Computer name sẽ được lưu trong OU computer của các OU chi nhánh. Trường hợp máy PC tại chi nhánh không đặt đúng theo quy định hay không có trong OU computer thì sẽ không nhận được chính sách IPSec client và không được kết nối đến máy chủ. Nếu bản ghi computer name đó bị mất thì máy tính cũng không kết nối được vào mạng và phải thực hiện gia nhập lại.
Quản lý thông tin tài khoản Users trên domain
Tài khoản của người sử dụng sẽ do Ngân hàng Công thương quản lý và cung cấp. Điện toán chi nhánh có nhiệm vụ quản lý và thực hiện hỗ trợ người dùng trong việc thay đổi mật khẩu. Mỗi người sử dụng có một user riêng và user đó sẽ là duy nhất trên toàn hệ thống.
Trước đây các Group User được tạo trên các máy chủ chi nhánh để thực hiện việc phân quyền hạn sử dụng. Sau khi triển khai, các Groups này sẽ được tạo trên domain và gán quyền cho các users trực tiếp vào nhóm này (việc thêm bớt thành viên của nhóm được bàn giao cho Phòng điện toán của chi nhánh quản lý và theo dõi). Số lượng các nhóm sẽ do TTCNTT quản lý, việc phân quyền trên các máy chủ chi nhánh sẽ gán trực tiếp từ các Group
này. Để đảm bảo an toàn thì việc thêm bớt các thành viên trong nhóm này nhất thiết phải được sự đồng ý của Ban lãnh đạo chi nhánh.
Như ở những phần trước đã trình bày thì cấu trúc của cây Active Directory là một phần rất quan trọng trong quá trình tạo tài khoản người dùng trong các miền do các quyền và các cấp phép ta đã gán cho đối tượng chứa sẽ được các đối tượng con trong nó thừa hưởng, bao gồm cả các đối tượng người dùng. Việc thừa kế giữa các nhóm cũng làm việc giống như thế, với các thành viên sẽ nhận được thiết lập trên các nhóm (cho phép vào những thư mục nào, sử dụng những chương trình nào của hệ thống…). Sự khác biệt chủ yếu giữa đối tượng nhóm và đối tượng chứa là đối tượng Nhóm không bị chi phối bởi cấu trúc của cây Active Directory. Việc thêm bớt và quản lý các tài khoản trong các Group được các Admin của các chi nhánh Ngân hàng Công thương quản lý và phải được sự thông qua của ban lãnh đạo. Ở Chi nhánh Ngân hàng Công thương khu vực Ba Đình, các Group được phân chia theo nghiệp vụ: ví dụ như Group BDS dành cho các tài khoản người dùng làm ở phòng giao dịch khách hàng, Group KT dành cho người dùng làm ở phòng kế toán.
3. Cấu hình dịch vụ Microsoft Software Update Services – SUS (Dịch vụ cập nhật phần mềm của Microsoft)
Việc triển khai bất ký phần mềm nào trong một hệ thống mạng lớn cũng là một nhiệm vụ phức tạp, và các bản cập nhật hệ điều hành cũng không là một ngoại lệ. Những tác vụ được coi là đơn giản trong một máy tính đơn cũng là một vấn đề lớn khi phải thực hiện trên hàng tăng hay hàng ngàn máy tính. SUS là một sản phẩm miễn phí, nó thông báo cho người
quản trị mạng khi một bản cập nhật bảo mật mới xuất hiện, tải bản cập nhật đó và triển khai chúng đến các máy tính trong mạng. Trong 3 server tại chi nhánh Ngân hàng Công thương Ba Đình thì có 1 Server chính là máy chủ SUS đảm nhận Update các bản vá lỗi bảo mật cho hệ thống máy tính của chi nhánh. Các máy tính con trong mạng được cấu hình trỏ đến địa chỉ của máy chủ đảm nhận SUS này để nhận các bản cập nhật mới khi có một cách tự động. SUS thực chất là phiên bản Intranet của Website Windows Update,
cho phép giảm thiểu nhu cầu cập nhật đối với các máy tính trong 1 mạng đã được cài đặt AD.
SUS bao gồm các thành phần sau đây:
- Máy chủ đồng bộ: Một máy tính chạy SUS, đóng vai trò như một
máy chủ đồng bộ, sẽ tải các bản cập nhật phần mềm từ Website
Windows Update ngay sau khi chúng được phát hành. Người quản trị có thể cho phép việc tải này diễn ra nếu cần, lập lịch cho chúng diễn ra tại các thời điểm xác định. Ở Ngân hàng công thương Ba Đình, việc thực hiện update được thực hiện lúc hết giờ làm việc và được bố trí hợp lý với thời điểm thực hiện backup của hệ thống. Khi máy chủ SUS tải về các bản cập nhật, chúng lưu trữ trên máy chủ và điều này làm giảm thiểu việc người quản trị phải thường xuyên kiểm tra xem đã có các bản Update mới hay chưa.
- Máy chủ Intranet Windows Update: Khi máy chủ SUS đã tải về
các bản Update, người quản trị quyết định xem đã triển khai chúng chưa hay lưu lại để kiểm tra xem có ổn định không để triển khai thực trên hệ thống của mình. Khi đó máy chủ SUS sẽ đảm nhận vai trò như là máy chủ Windows Update ngoại trừ việc nó là máy chủ
trong mạng Intranet và không yêu cầu các máy tính trong mạng kết nối Internet.
- Automatic Update: là một tính năng cho phép các máy tính tải và
cài đặt các bản cập nhật phần mềm mà không cần người dùng tác động. Trong một mạng lớn thì khi được cài đặt AD, người quản trị sẽ phải cấu hình để các máy trạm trong hệ thống tự động lấy các bản cập nhật mới khi có trên máy chủ và người quản trị khi đó có thể kiểm soát được các bản Update được phép cài đặt trên các máy trạm.
Triển khai SUS tại chi nhánh:
Quá trình triển khai SUS bao gồm các bước cơ bản sau đây: - Cài đặt máy chủ SUS
- Đồng bộ hóa máy chủ
- Phê chuẩn các bản cập nhật
- Cấu hình Automatic Update trên các máy trạm trong hệ thống mạng chi nhánh.
Cài dặt SUS:
Do SUS sử dụng Website cho cả máy khách và các tác vụ quản trị truy cập nên phải cài đặt IIS trên máy chủ này trước khi cài đặt SUS. Windows Server 2003 chứa sẵn bộ cài đặt IIS nhưng không cài nó theo mặc định, chúng ta phải vào Control panel, mở Add or Remove Programs, vào
Add/Remove Windows Components và lựa chọn Internet Information Services (ISS) từ trong danh sách các thành phần để add thêm vào.
Sau khi cài đặt xong IIS, chạy chương trình cài đặt SUS đã đựoc tải về từ trang chủ của Microsoft. Sau khi đồng ý với các thỏa thuận về giấy phép người dùng phần mềm thì Microsoft Software update Services Setup
Wizard (Trình hướng dẫn cài đặt dịch vụ cập nhật) sẽ hướng dẫn người
quản trị cài đặt và cấu hình các tham số. (adsbygoogle = window.adsbygoogle || []).push({});
Microsoft Software update Services Setup Wizard cài đặt 3 thành
phần sau đây vào máy chủ:
- Dịch vụ Software Update Synchronization Service, dịch vụ này tải nội dung bản cập nhật về máy chủ SUS.
- Mọt Website sử dụng IIS phục vụ cho các yêu cầu cập nhật của các máy khách có đặt chế độ Automatic Update
- Một trang Web quản trị SUS, từ đó người quản trị có thể tiến hành đồng bộ máy chủ SUS và phê chuẩn các bản cập nhật.
Khi quá trình cài đặt SUS kết thúc, Internet Explorer sẽ hiện thị giao diện quản trị Web của SUS.
Đồng bộ SUS
Hai tác vụ quản trị chính của máy chủ SUS là đồng bộ máy chủ và phê chuẩn các bản cập nhật. Khi nhấn vào siêu liên kết Synchronize Server
trong trang quản trị chính sẽ xuất hiện một giao diện như ở hình bên dưới: Trong trang này, người quản trị có thể lập lịch để quá trình đồng bộ diễn ra thủ công hay là diễn ra theo một lịch đều đặn.
Để lập lịch cho qúa trình đồng bộ, người quản trị mạng chọn vào phím
Synchronization Schedule để hiện thị hộp thoại Schedule Synchronization.
Trong quá trình đồng bộ, máy chủ kết nối đến Website Windows Update và tải danh mục các bản Update về máy chủ SUS.
Việc thực hiện lập lịch cho hệ thống mạng các chi nhánh Ngân hàng Công thương Việt Nam được các cán bộ quản trị mạng ở mỗi chi nhánh thực hiện.
Sau khi quá trình cập nhật hoàn thành, người quản trị có thể xem được một danh sách các bản cập nhật đã được đồng bộ và lựa chọn bản nào để triển khai cho toàn hệ thống thông qua trang Approve Update.
Cấu hình Automatic Update:
Khi máy chủ SUS đã được cài đặt xong và hoạt động thì nhân viên quản trị mạng phải cấu hình các máy khách để sử dụng nó. Các máy khách phải được thiết lập để có thể truy cập vào máy chủ SUS để lấy các bản cập nhật. Để làm được điều này, người quản trị mạng phải cấu hình máy khách bằng chính sách nhóm.
Các chính sách Windows Update trong bảng điều khiển Group Policy Object Editor:
4. Quản trị mạng với MOM và SMS Việc triển khai MOM và SMS giúp: