Mục tiêu
- Nắm được các lớp chứa trong ADUC - Biết xử lý một số sự cố thường gặp.
Máy điều khiển miền (Domain controllers) – windows 2000 Server. Mỗi Domain controller cất trữ và bảo trì bản sao thư mục. Trong domain, tài khoản người dùng được tạo một lần, Windows 2000 ghi nó trong thư mục này. Khi người dùng đăng nhập tới máy tính trong domain, domain controller kiểm tra thư mục nhờ tên người sử dụng, mật khẩu và giới hạn đăng nhập. Khi có nhiều domain controller, chúng ta kí tái tạo thông tin thư mục của chúng.
3.4.1 Giới thiệu các lớp chứa trong ADUC
Bạn sử dụng Active Directory Users and Computers để quản lý người nhận. Active Directory Users and Computers là một MMC snap- in đó là một phần tiêu chuẩn của Microsoft Windows Server ™ hệ điều hành. Tuy nhiên, khi bạn cài đặt Exchange 2003, hướng dẫn cài đặt tự động mở rộng các chức năng của Active Directory Users and Computers để bao gồm các nhiệm vụ cụ thể Exchange.
Lưu ý:
Nếu Active Directory Users và Computers snap- in được cài đặt trên một máy tính mà không có Exchange hoặc các công cụ quản lý Exchange cài đặt, bạn sẽ không thể thực hiện nhiệm vụ Exchange từ máy tính đó.
Bạn bắt đầu Active Directory Users and Computers từ một máy chủ Exchange hoặc từ một máy trạm có các công cụ Exchange Hệ thống quản lý được cài đặt. Để được hướng dẫn chi tiết, xem Làm thế nào để mở Active Directory Users and Computers. Hình dưới đây cho thấy làm thế nào mới Directory Users and Computers xuất hiện trên màn hình.
Active Directory Users và hệ thống phân cấp Máy tính
Hình 3.7. Active Directory Users
Panel bên trái của Active Directory Users and Computers là cây giao diện điều khiển cho thấy tên miền đầy đủ của bạn ở cấp độ gốc. Nhấp vào dấu + (cộng) để mở mục gốc. Dưới phần gốc là một số thùng chứa mặc định:
Builtin container cho các tài khoản người dùng trong xây dựng. Máy tính Mặc định container cho các đối tượng máy tính.
Default Domain Controllers container cho các bộ điều khiển miền.
ForeignSecurityPrincipals container cho các nguyên tắc bảo mật từ các lĩnh vực bên ngoài đáng tin cậy. Quản trị viên nên không tự thay đổi nội dung của các container này.
Người sử dụng mặc định container cho các đối tượng người dùng. Ngoài ra các thùng chứa mặc định, bạn có thể tổ chức các đối tượng thư mục trong các đơn vị hợp lý bằng cách tạo ra các container được đặt tên đơn vị tổ chức. Ví dụ, bạn có thể tạo ra một đơn vị tổ chức cho nhóm tiếp thị của bạn chứa tất cả các đối tượng thư mục liên quan đến bộ phận tiếp thị của công ty bạn. Đơn vị tổ chức hữu ích cho việc áp dụng các thiết lập Group Policy và tổ chức các đối tượng một cách có ý nghĩa. Để biết thêm thông tin về đơn vị tổ chức, xem tài liệu Windows.
Sau khi bạn đã tổ chức các thùng chứa trong Active Directory Users and Computers, sau đó bạn có thể sử dụng các container:
Tạo người nhận.
Thực hiện các nhiệm vụ cụ thể Exchange- . Quản lý nhiều lĩnh vực trao đổi.
3.4.2 Xử lý một số sự cố thƣờng gặp Tổng quát
Trên các Domain Controller sử dụng hệ điều hành Windows Server SP1 khi mở chức năng Windows Firewall thường gặp các lỗi trong hoạt động như sau:
- Các chức năng Domain Controller không thể thực hiện
- Một số Active Directory (AD) Object không thể Replication Hiện tượng thường gặp
Chúng ta có thể nhận thấy các lỗi như sau :
1- Client Computer không thể thiết lập các Secure connection (giao dich bảo mật) với Domain controller
2- Không thể thực hiện logon với Domain User Account
3- User không thể truy cập các tài nguyên trên Domain cung cấp bởi các Member Servers
4- Các Additional Domain Controller không hoạt động sau khi nâng cấp 5- Xuất hiện các thông báo lỗi trong File Replication Service Event Log như
Event ID 13508 "The File Replication Service is having trouble enabling replication from …" nhưng không đi kèm với các thông báo lỗi như: Event ID 13509 "The File Replication Service has enabled replication from …" - hoặc - Event ID 13516 "The File Replication Service is no longer preventing the computer … from becoming a domain controller."
6- Trên các Additional Domain controller sau khi xây dựng, không thấy các share folders SYSVOL và NETLOGON
7- Trên các Additional Domain controller sau khi xây dựng, folders chứa các GPOs%systemroot%\SYSVOL\domain\Policies
Không nhận được thông tin replication tù các Domain Controller khác Nguyên nhân Việc mở chức năng Firewall trên các Domain Controller đã ngăn cản máy Client Computer truy cập Active Directory hoặc ngăn chận thực hiện công tác AD- Replication (adsbygoogle = window.adsbygoogle || []).push({});
Giải pháp xử lý
Để xử lý lỗi nói trên, chúng ta thực hiện các công việc bao gồm : Cấu hình Active Directory File Repication Service (AD- FRS) sử dụng TCP/IP Port xác định không bị tranh chấp và cấu hình Firewall cho ph p các Incomming Connections đối với các chương trình và ports yêu cầu
1) Cấu hình AD- FRS sử dụng TCP/IP Port xác định
a- Chọn 2 Ports cụ thể không bị sử dụng trên bất kỳ Domain controller nào. Chúng ta có thể chọn các Ports có gía trị trong khoảng từ 49152 dến 65535 (Ví dụ : 53211 và 53212 )
b- Tạo thêm các biến Registry trên các Domain controller như sau:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters \ TCP/IP Port tạo biến DWORD chứa giá trị Port VD:
53211- cfdb(hex)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Para meters\RPC TCP/IP Port Assignment tạo biến DWORD chứa fía trị Port VD: 53212 - cfdc (hex)
2) Cấu hình Firewall Service
Thiết lập GPO để cấu hình Firewall Service và áp dụng lên các Domain Controllers (có thể áp dụng GPO trên OU=Domain Controllers có sẵn trong các Domain) như sau :
a. Windows Firewall: Protect all network connections – Enabled b. Windows Firewall: Allow remote administration exception - Enabled (enables port 135 và 445)
c. Windows Firewall: Allow file and printer sharing exception: - Enabled d. Windows Firewall: Define port exceptions:
- Enabled (trong bảng Exception, giá trị * có ý nghĩa cho ph p incoming requests từ bất kỳ địa chỉ nào) 123:udp:*:enabled:NTP
3268:tcp:*:enabled:Global Catalog LDAP 389:tcp:*:enabled:LDAP
389:udp:*:enabled:LDAP 53:tcp:*:enabledNS 53:udp:*:enabledNS
53211:tcp:*:enabled:AD Replication (Lưu ý: sử dụng Port đã chọn ở phần 1) 53212:tcp:*:enabled:File Replication Service (Lưu ý: sử dụng Port đã chọn ở phần1)
88:tcp:*:enabled:Kerberos 88:udp:*:enabled:Kerberos
Hình 3.8. Cấu hình Firewall Service
CÂU HỎI VÀ BÀI TẬP
1. AD (Active Directory là gì? 2. Nêu chức năng của AD? 3. Các thành phần của AD.
5- Những đơn vị cơ bản của Active Directory 6- Infrastructure Master và Global Catalog 7- Active Directory và LDAP
Bài 4
Quản lý tài khoản ngƣời dùng và nhóm
Giới thiệu:
Quản lý tài nguyên người dùng và nhóm cung cấp cho người học những kiến thức về tài khoản người dùng và nhóm, các thuộc tính của tài khoản người dùng , các nhóm tạo sẵn. Bài này được trình bày thành các mục chính được sắp xếp như sau:
- Định nghĩa tài khoản người dùng và tài khoản nhóm.
- Các tài khoản tạo sẵn.
- Quản lý tài khoản người dùng và nhóm cục bộ.
Mục tiêu
- Hiểu được tài khoản người dùng, tài khoản nhóm (adsbygoogle = window.adsbygoogle || []).push({});
- Tạo và quản trị được tài khoản người dùng, tài khoản nhóm.
- Tính chính xác, đúng đắn khi ra những quyết định quản trị.
NỘI DUNG CHÍNH 4.1. Giới thiệu
Mục tiêu.
- Biết đăng nhập vào hệ thống
- Tạo được tài khoản người dùng cục bộ và tài khoản người dùng miền.
4.1.1 Quá trình đăng nhập vào hệ thống
Nếu bạn không muốn nhập tên người dùng và mật khẩu mỗi khi truy cập vào sản phẩm Google ưa thích của mình, bạn có thể chọn tuỳ chọn 'Duy trì trạng thái đăng nhập' trên trang đăng nhập của Tài khoản Google ở ngay phía trên nút Đăng nhập.
Nếu bạn chọn tuỳ chọn này và đăng nhập vào Tài khoản Google của bạn thành công, hệ thống của chúng tôi sẽ không yêu cầu bạn đăng nhập lại trong tối đa 2 tuần, trừ khi bạn đăng xuất.
4.1.2 Tài khoản ngƣời dùng cục bộ
Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được ph p logon, truy cập các tài
nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính
chứa tài nguyên chia sẻ. Bạn tạo tài khoản người dùng cục bộ với công cụ Local
Users and Group trong ComputerManagement (COMPMGMT.MSC). Các
tài khoản cục bộ tạo ra trên máy stand- alone server , member server hoặc các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts
Manager). Tập tin SAM này được đặt trong thư mục \Windows \system32\config.
Để tổ chức và quản lý như tạo, xóa, sửa, thay đổi mật khẩu tài khoản người dùng cục bộ, bạn sử dụng công cụ Local Users ang Groups.
Có 3 cách truy cập Local Users and Groups :
- Cách 1:
Chèn Local Users and Groups snap- in vào MMC (Microsoft Management Console) bằng cách:
Chọn Start - - > Run, nhập vào MMC - - > nhấn Enter. Xuất hiện cửa sổ :
Hình 4.1. Microsoft Management Console
Chọn File - - > Add/Remove Snap- in, xuất hiện hộp hội thoại :
Chọn Add, xuất hiện hộp hội thoại :
Hình 4.3. Add Standalone Snap- in
Chọn Local Users and Groups - - > chọn Add, xuất hiện hộp hội thoại :
Hình 4.4. Choose Target Machine
Chọn Finish - - > chọn Close - - > chọn OK để hoàn tất việc chèn Local Users and Groups snap- in vào MMC. Cửa sổ console xuất hiện :
Hình 4.5. Console
Để lưu console, bạn chọn File - - > Save, xuất hiện hộp hội thoại : (adsbygoogle = window.adsbygoogle || []).push({});
Hình 4.6. Lưu Console
Chọn đường dẫn và đặt tên để lưu file *.msc, ví dụ là console1.msc.
Khi cần sử dụng công cụ Local Users and Groups, bạn mở file console1.msc.
- Cách 2 :
Sử dụng công cụ Computer Management bằng cách :
Click chuột phải tại biểu tượng của My Computer trên desktop, chọn Manege, xuất hiện cửa sổ :
Hình 4.7. Computer Management
Bên khung cửa sổ bên phải, chọn và mở Local Users and Groups. - Cách 3 :
Chọn Start - - > Programs - - > Administrative Tools - - > Computer Management, xuất hiện cửa sổ như hình trên
4.1.3 Tài khoản ngƣời dùng miền.
Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được ph p đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. Bạn tạo tài khoản người dùng miền với công cụ ActiveDirectory Users and Computer (DSA.MSC). Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền
không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa
trong tập tinNTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục\Wind
ows\NTDS
4.2. Tài khoản ngƣời dùng.
Mục tiêu.
- Biết tạo tài khoản người dùng
- Phân biệt được tạo tài khoản người dùng
Muốn tổ chức và quản lý người dùng cục bộ, ta dùng công cụ Local Users and Groups. Với công cụ này bạn có thể tạo, xóa, sửa các tài khoản
người dùng, cũng như thay đổi mật mã. Có hai phương thức truy cập đến công cụ Local Users and Groups:
4.2.1 Tạo tài khoản ngƣời dùng b ng giao diện
Trong công cụ Local Users and Groups, ta nhấp phải chuột vào Users và chọn New User, hộp thoại New User hiển thị bạn nhập các thông tin cần thiết
vào, nhưng quan trọng nhất và bắt buộc phải có là mục Username.
Hình 4.8. Tạo tài khoản người dùng bằng giao diện
4.2.2 Tạo tài khoản ngƣời dùng b ng dòng lệnh
- Dùng như một MMC (Microsoft Management Console) snap- in. - Dùng thông qua công cụ Computer Management.
Các bước dùng để chèn Local Users and Groups snap- in vào trong MMC: Chọn Start / Run, nhập vào hộp thoại MMC và ấn phím Enter để mở cửa sổ MMC.
Chọn Console / Add/Remove Snap- in để mở hộp thoại Add/Remove Snap- in.
Nhấp chuột vào nút Add để mở hộp thoại Add Standalone Snap- in.
Target Machine xuất hiện, ta chọn Local Computer và nhấp chuột vào nút (adsbygoogle = window.adsbygoogle || []).push({});
Finish để trở lại hộp thoại Add Standalone Snap- in.
Nhấp chuột vào nút Close để trở lại hộp thoại Add/Remove Snap- in. Nhấp chuột vào nút OK, ta sẽ nhìn thấy Local Users and Groups snap-
in đã chèn vào MMC như hình sau.
Lưu Console bằng cách chọn Console / Save, sau đó ta nhập đường dẫn và tên file cần lưu trữ. Để tiện lợi cho việc quản trị sau này ta có thể lưu console ngay trên Desktop. Nếu máy tính của bạn không có cấu hình MMC thì cách nhanh nhất để truy cập công cụ Local Users and Groups thông qua công cụ
Computer Management. Nhầp phải chuột vào My Computer và chọn Manage từ pop- up menu và mở cửa sổ Computer Management. Trong mục System Tools, ta sẽ nhìn thấy mục Local Users and Groups
Cách khác để truy cập đến công cụ Local Users and Groups là vào Start / Programs /Administrative Tools / Computer Management.
4.3. Tài khoản nhóm. Mục tiêu. Mục tiêu.
- Nắm được ý nghĩa của group scope và ý nghĩa của group type. - Phân biệt được 2 ý nghĩa này.
4.3.1 Ý ngh a của group scope
Phạm vi của một nhóm xác định hai đặc điểm:
Nó xác định mức độ ứng dụng bảo mật cho một nhóm xác định mà người dùng có thể được thêm vào một nhóm. Windows Server 2003 hỗ trợ các phạm vi sau đây: Domain Local: Các nhóm domain địa phương được sử dụng để gán quyền truy cập địa phương nguồn tài nguyên như file và máy in. Các thành viên có thể đến từ tên miền bất kỳ. toàn cầu: Các thành viên của nhóm này có thể truy cập tài nguyên trong phạm vi bất kỳ. Các thành viên chỉ có thể đến từ các miền địa phương. giới: Các thành viên có thể được thêm vào từ bất kỳ tên miền trong rừng. Các thành viên có thể truy cập tài nguyên từ tên miền bất kỳ. Các nhóm Universal group được sử dụng cho quản lý an ninh trên các tên miền. Các nhóm Universal group cũng có thể chứa toàn cầu nhóm. Universal group là chỉ có sẵn trong các lĩnh vực có mức chức năng Windows 2000 có nguồn gốc hoặc Windows Server 2003.
4.3.2 Ý ngh a của group type
Nhóm các loại
Nhóm được sử dụng để thu thập các tài khoản người dùng, tài khoản máy tính, và nhóm tài khoản khác vào đơn vị quản lý. Làm việc với các nhóm thay vì với người dùng cá nhân giúp đơn giản hóa việc bảo trì mạng và quản trị.
Có hai loại của các nhóm trong Active Directory: nhóm phân phối và các nhóm bảo mật. Bạn có thể sử dụng các nhóm phân phối để tạo ra danh sách phân phối e- mail và các nhóm bảo mật để gán quyền truy cập tài nguyên chia sẻ.
Phân phối các nhóm
Nhóm phân phối có thể được sử dụng chỉ với các ứng dụng e- mail (chẳng hạn như Exchange) để gửi e- mail cho các bộ sưu tập của người sử dụng. Nhóm phân phối không phải là an ninh cho ph p, có nghĩa là họ không thể được liệt kê trong danh sách kiểm soát truy cập tùy ý (DACLs). Nếu bạn cần một nhóm để kiểm soát truy cập vào tài nguyên chia sẻ, tạo ra một nhóm bảo mật.
An ninh nhóm
Được sử dụng với việc chăm sóc, nhóm an ninh cung cấp một cách hiệu quả để gán quyền truy cập tài nguyên trên mạng của bạn. Sử dụng các nhóm bảo mật, bạn có thể:
Chỉ định quyền ngƣời dùng để nhóm bảo mật trong Active mục
Quyền của người dùng được gán cho nhóm bảo mật để xác định những gì các thành viên của nhóm đó có thể làm trong phạm vi của một tên miền (hoặc rừng). Quyền người dùng được tự động gán cho một số nhóm bảo mật Active Directory được cài đặt để giúp các quản trị viên xác định vai trò quản lý của một người trong miền. Ví dụ, một người dùng được thêm vào nhóm nhà khai thác sao lưu trong Active Directory có khả năng sao lưu và khôi phục lại các tập tin và thư mục nằm trên mỗi bộ điều khiển miền trong miền này có thể bởi vì theo mặc định, các quyền người dùng Back up files và thư mục Khôi phục các tập tin và thư mục được tự động gán cho nhóm Nhà điều hành sao lưu. Vì vậy, các