1. Active Directory
Là một cơ sở d liệu với các chức năng như:
Lưu tr thông tin về tài khoản người dùng và các tài nguyên mạng máy tính.
Xác định tính hợp lệ của người truy cập tài nguyên mạng.
Lưu tr thơng tin mạng máy tính như là các đối tượng trong một cấu trúc ph n cấp. Ngồi ra nó cịn cung cấp:
Sự quản lý tập trung
Các khả năng tìm ki m n ng cao.
Ủy quyền đại diện
2. Cấu trúc vật lý của Domain Controller. Controller.
Là nơi lưu tr thư m c SYSVOL.
Tham gia vào việc mơ hình hóa Active Directory
Trang 30
II. CÁC THÀNH PHẦN CỦA ACTIVE DIRECTORY
Người dùng có quyền truy cập d liệu của các máy tính khác nhau trong một mạng.
Quá trình đăng nhập đơn giản cho tất cả các máy tính.
Người dùng và các thông tin tài nguyên được lưu gi và quản trị tập trung
Có thể triển khai trên các mơ hình mạng lớn.
1. Các máy tính trong Domain
Một Domain có thể chứa nhiều máy tính khác nhau. Nh ng máy tính này có thể
chạy các hệ điều hành khác nhau.
Domain Replication Domain Controller Domain Controller
Mơ hình Domain Controller
Client Computer
Member Server running Windows 2003 Server Windows XP Pro Windows Vista
Các máy tính trong một Domain
Domain Controller running
Windows 2003 Server
Member Server running Windows 2000 Server Windows 2003 Server Server Linux
Client Computer running Windows 2000 Pro Windows XP Pro Windows Vista
Trang 31
2. Tree và Forest
Một Forest Domain có thể chứa nhiều Tree khác nhau
Một Forest có thể có nhiều Organization Units – Ous
Tree chịu sự quản lý của Forest.
III. CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY 1. Thiết lập địa chỉ IP cho DNS
Trước khi cài đặt Domain Controller, ta phải ti n hành cài đặt địa chỉ IP cho DNS Server vì khai Domain được cài đặt nó u c u địa chỉ DNS để tham chi u trong quá trình cấu hình.
DNS Server – Domain Name System: Là hệ thống tên miền trên máy tính Server sử
d ng để ph n giải, chuyển đổi địa chỉ IP thành tên miền dễ nhớ hơn và ngược lại.
Các bƣớc tiến hành nhƣ sau:
Nhấp phải chuột vào My Network Places trên Desktop chọn Properties. Cửa sổ
Network Connection xuất hiện với hai biểu tượng : Local Area Connection và New Connection Wirzard.
Nhấp phải chuột vào Local Area Connection chọn Properties
Nwtradera.msft Asa.nwtradera. msft au.nwtradera. msft Tree Nwtradera.msft Asa.nwtradera. msft au.nwtradera. msft Tree contoso.msft Asa.contoso.m sft au.contoso.m sft Tree (Root )
Two-Way, Transitive Trust
Trang 32
Trong hộp thoại Local Area Connection Properties tại thẻ General chọn Internet Protocol – TCP/IP và chọn Properties.
Trang 33
Trên cửa sổ Internet Protocol (TCP/IP) Properties chọn và thi t lập như trên hình
Hộp thoại Internet Protocol Properties này có chức năng để người dùng thi t lập địa chỉ IP cho máy cũng như địa chỉ IP cho DNS Server.
Nhấp chọn vào m c Use the following IP Address. Ti p theo nhập địa chỉ IP vào m c IP Address, Subnet mask được đặt tự động. Sau đó nhấp chọn vào m c Use the following DNS Server Address và nhập địa chỉ cho DNS Server trong m c Preferred DNS Server . Nhấp OK để k t thúc . Ví d : IP Address: 192.168.0.2 Subnet mask: 255.255.255.0 Preferred DNS Server: 192.168.0.2
Trang 34
2. Cài đặt Domain Controller
B1. Vao Start – Run – dcpromo – nhấp OK
Hộp thoại Active Directory Install Wizard xuất hiện, hộp thoại này g m 3 nút Back, Next, và Cancel.
B2. Nhấp Next hai l n để ti p t c
B3. Trên hộp thoại Directory Install Wizard nhấp chọn vào Domain Controller for a new domain r i nhấp Next.
Trang 35
Lựa chọn này là tạo mới một Domain, c y Domain, rừng Domain trong đó Server là Domain đ u tiên trong các Domain mới.
B4. Nhấp chọn Domain in a new forest sau đó nhấp Next
Trang 36 B5. Nhập hcmc.com vào m c Full DNS Name for a new domain, sau đó nhấp Next để
ti p t c
Lưu ý : tên đ y đủ của domain name. Ví d : hcmc.com
B6. Nhập tên Domain NetBIOS Name r i nhấp next để ti p t c
Domain NetBios name là tên để người dùng Windows có thể dễ dàng xác định một domain. Thông thường tên NetBios được xác định mặc định trùng với tên domain.
Trang 37 B7. Xác định nơi lưu tr cơ sở d liệu của Active Directory và thư m c chứa file log,
sau đó nhấp Next để ti p t c.
Mặc định thư m c CSDL và file log được lưu tr trong C:\windows\NTDS\ tuy
nhiên cũng có thể định thư m c này trong bất kỳ ổ đĩa nào định dạng là NTFS.
Trang 38
Thư m c SYSVOL lưu tr tất cả các tập tin mà Server muốn chia sẻ với các
Clients trong Domain Controller. Mặc định thư m c này được lưu tại C:\windows\SYSVOL. Tuy nhiên cũng có thể đặt thư m c này ở ổ đĩa nào được định dạng là NTFS.
B9. Nhấp chọn vào Install and Configure the DNS Server on this Computer and set this computer to use this DNS server as its preferred DNS server, sau đó nhấp Next để ti p t c
Hộp thoại này cho phép cài đặt, cấu hình và sử d ng DNS server
B10. Nhấp chọn Permissions compatible only with windows 2000 or windows server 2003 Operation Systems r i nhấp Next để ti p t c .
Lựa chọn này chỉ tương thích với windows 2000 hoặc windows server 2003,
nghĩa là n u chạy các chương trình server trên hai hệ điều hành này ( mà nó là thành viên của Active Directory Domain ) thì người dùng được ủy quyền để đọc các thông tin trong domain.
Trang 39 B11. Nhập password trong m c Restore mode password và nhập lại password này
Trang 40
Cũng có thể bỏ qua m c nhập password này và nhấp Next để ti p t c
B12. Bảng summary xuất hiện, nhấp Next để ti n hành cài đặt
Bảng này hiển thị thông tin mà chúng ta đã thi t lập từ bước 1 đ n bước 11 B13. Quá trình cài đặt đang thực hiện
Trang 41 B14. Sau khi cài xong nhấp finish để hoàn thành
Sau đó khởi động lại máy tính bằng cách nhấp vào nút Restart Now
Trang 42
IV. TẠO DOMAIN HCMC1.HCMC.COM
Một cơng ty lớn có rất nhiều phịng ban có nhiều máy tính khác nhau k t nối. Vì vậy, để tiện cho việc quản lý và tìm ki m thơng tin trong mạng chúng ta nên tạo ra nhiều Domain Controller khác nhau.
Để tạo được Domain hcmc1.hcmc.com ta phải k t nối server1 vào Domain hcmc.com. Server1 là server s cài đặt domain hcmc1.hcmc.com.
Các bƣớc thực hiện nhƣ sau:
1. Thiết lập DNS Server và địa chỉ IP
B1. Trên màn hình Desktop nhấp phải chuột vào My network places – Properties. Cửa sổ Network Connection xuất hiện như sau:
B2. Nhấp phải chuột vào Local Area Connection – Properties để mở hộp thoại Local Area Connection Properties . Tại thẻ General chọn Internet protocol (TCP/IP). B3. Nhấp nút properties để mở hộp thoại Internet protocol. Nhấp chọn vào m c use the
following IP Address và thi t lập như sau:
IP Address : 192.168.0.3
Subnet mask : 255.255.255.0
Trang 43
Sau đó nhấp OK để áp d ng nhấp Close để đóng hộp thoại Area Network Connection.
2. Gia nhập vào Domain hcmc.com hcmc.com
B1. Nhấp phải chuột vào My Computer trên Desktop chọn Properties, ti p theo
nhấp Tab Computer
Trang 44 B2. Nhấp nút Change, hộp thoại Computer Name Change thi t lập như sau:
Computer Name : Server1 Domain Name : HCMC.COM Nhấp OK để áp d ng
B3. Nhập User Name là Administrator và Password của tài khoản này, sau đó nhấp OK B4. N u đăng nhập thành công s xuất hiện hộp thoại Welcom to the hcmc.com.
3. Tạo Domain hcmc1.hcmc.com
B1. Nhấp Start – Run – nhập dcpromo – nhấp OK.
Trang 45
Trong hộp thoại Active Directory Install Wizard, nhấp chọn m c Domain Controller for a new Domain r i nhấp Next
Chọn m c này là vì chúng ta muốn hcmc1.hcmc.com là con của Domain hcmc.com
B2. Trong hộp thoại Active Directory Install Wizard, nhấp chọn m c Domain Controller for a new domain r i nhấp Next để ti p t c. Xuất hiện màn hình Create New Domain
Trang 46 B3. Tại hộp thoại Create New Domain nhấp chọn m c child domain in an existing
domain tree r i nhấp next để ti p t c làm xuất hiện màn hình Network Credentials
B4. Nhập user name, password của người quản trị domain hcmc.com và domain cha là hcmc.com như trên hình, xong r i nhấp next để ti p t c
B5. Trên màn hình Child Domain Install thi t lập các thơng số sau: Parent domain: hcmc.com
Child domain: hcmc1
Tại m c Complete DNS name of new domain tự động xuất hiện hcmc1.hcmc.com.
B6. Tại hộp thoại NetBios domain name, trong m c Domain NetBios name nhập hcmc1. hoặc chấp nhận giá trị mặc định do windows đưa ra.
B7. Hộp thoại Database and Log Folders xuất hiện. Chấp nhận gía trị mặc định và nhấp next để ti p t c
B8. Xác định nơi lưu tr thư m c SYSVOL. Chấp nhận giá trị mặc định
Đ y là thư m c chứa các thông tin, cũng như các file chia sẻ và tài nguyên mạng. B9. Hộp thoại DNS Registration Diagnostics xuất hiện , nhấp next để ti p t c.
B10. Hộp thoại permission xuất hiện, nhấp chọn Permission compatible only with Windows 2000 or windows server 2003 operating system và nhấp next để ti p t c.
Trang 47 B11. Hộp thoại Directory Services Restore Mode Ádministrator Password xuất hiện.
Nhập Restore Mode Password và Comfirm password sau đó nhấp next để ti p t c.
B12. Ti p theo đ n bảng summary, bảng này chứa thông tin các thi t lập mà ta đã thực hiện từ bước 1 đ n bước 11
Nhấp Next để ti p t c quá trình cài đặt.
V. KẾT NỐI CLIENT1 VÀO DOMAIN HCMC.COM 1. Thiết lập địa chỉ IP cho CLIENT1 1. Thiết lập địa chỉ IP cho CLIENT1
B1. Nhấp phải chuột vào My Network Places trên Desktop của client1 chọn Properties. Cửa sổ Network Connection xuất hiện, cửa sổ này có m c Local Area Connection. B2. Nhấp phải chuột vào m c Local Area Connection – Properties ti p theo nhấp chọn
Internet Protocol – TCP/IP.
B3. Nhấp nút Properties, ti p theo nhập địa chỉ IP trong m c IP Address, Subnet mask và Preferred DNS Server. Các thơng số như trên hình.
Trang 48
2. Kết nối Client1 vào Domain hcmc.com
B1. Nhấp phải My Computer trên Desktop của Client1 – Properties
Hộp thoại System Properties xuất hiện. Hộp thoại này chứa các thi t lập hệ thống, cũng như các chức năng quản lý toàn bộ hệ thống máy tính.
Trang 49 B2. Nhấp chọn Tab Computer Name
B3. Nhấp nút Change sau đó tại m c Member Of, nhấp chọn Domain ti p theo nhập hcmc.com, cuối cùng nhấp OK .
B4. Hộp thoại Computer name change xuất hiện. Tại m c User Name nhập vào Administrator, nhập password của Administrator sau đó nhấp OK để hoàn thành.
Trang 50 B5. Sau khi đăng nhập thành công hệ thống s thông báo đã k t nối vào domain thành
công. Nhấp OK để ti p t c
Nhấp OK để khởi động lại máy tính
3. Đăng nhập từ Client1 vào Domain
B1. Nhập user name và password, ti p theo nhấp vào m c Log on to chọn hcmc, sau đó nhấp OK để đăng nhập
Chú ý:
Chỉ l n đ u tiên chúng ta mới đăng nhập bằng tài khoản Administrator vì các user chưa được tạo và chưa được cấp quyền .
Trong mạng doanh nghiệp tuyệt đối không bao giờ cho user thông thường đăng
nhập bằng tài khoản Administrator, vì với tài khoản này họ s có quyền tối cao trong hệ thống.
Trang 51
Chƣơng 4.
QUẢN LÝ TÀI KHỎA NGƢỜI DÙNG VÀ NHÓM
Trong chương này nghiên cứu các vấn đề sau: Quản lý user
Quản lý Group Quyền người dùng Quyền truy cập
I. TÀI KHOẢN NGƢỜI DÙNG 1. Tạo tài khoản ngƣời dùng
Trên mạng Windows có hai loại tài khoản người dùng là: Người dùng c c bộ và người dùng vùng.
1.1. Ngƣời dùng cục bộ:
Là tài khoản người dùng được tạo ra trên máy tính c c bộ ví d : trên các máy tính chạy hệ điều hành Windows XP hay Windows Server 2003 khi chưa n ng cấp thành Domain.
Đặc điểm của ngƣời dùng cục bộ:
Tài khoản người dùng c c bộ chỉ có giá trị trên chính máy tính mà tài khoản đó được tạo ra
Cụ thể:
Tài khoản c c bộ được đăng nhập c c bộ vào máy tính mà trên đó tài khoản được tạo ra
Trang 52 Cách tạo tài khoản người dùng c c bộ trên máy tính chạy hệ điều hành Windows XP:
Nhấp phải chuột vào My Computer chọn Manage làm xuất hiện màn hình
Computer management
Trên màn hình Computer Management nhấp chọn thư m c Local Users and
Group trên màn hình bên trái và nhấp phải vào khoảng trống trên màn hình bên phải và chọn New User
Trang 53
Trên màn hình New User nhập các thông tin sau:
User name: Tên tài khoản đăng nhập ví d : u1
Full name: Tên đ y đủ của tài khoản đăng nhập ví d : Nguyễn Văn A
Description: Ph n diễn giải
Password: Nhập vào password của tài khoản đăng nhập
Confirm password: Nhắc lại password đã nhập
User must change password at next logon: n u chọn m c này thì khi đăng nhập l n đ u vào máy c c bộ người dùng phải đổi password.
User cannot change password: N u chọn m c này người dùng không được thay
đổi password.
Password never expires: N u chọn m c này Password không bao giờ bị loại bỏ.
Account is disabled: N u m c này được chọn thì tài khoản s bị cấm.
Sau khi đã nhập và lựa chọn đ y đủ các thông tin nhấp nút Create tài khoản s được tạo.
Trang 54
Trên Server 2003 khi chưa n ng cấp thành Domain Controller, cách tạo tài khoản c c bộ giống như trên máy Windows XP.
.
1.2. Ngƣời dùng vùng
Tài khoản người dùng vùng là tài khoản được tạo ra trên máy điều khiển vùng.
Đăng nhập vùng bằng tài khoản người dùng vùng có thể truy cập tới tất cả các máy tính trong vùng.
Được quyền truy cập tài nguyên trên tất cả các máy tính trong vùng
Domain
Domain Controller
Đ y là Computer
Management của Server 2003 khi chưa n ng cấp thành Domain Controller
Trang 55
2. Sửa, xóa tài khoản ngƣời dùng
Để sửa tài khoản người dùng vùng ta làm như sau:
Để sửa tên tài khoản: Trên màn hình Active Directory Users and Computers nhấp phải chuột vào tên tài khoản chọn Rename
Để xóa tài khoản : Trên màn hình Active Directory Users and Computers nhấp phải chuột vào tên tài khoản chọn Delete.
Trang 56
3. Cấu hình thuộc tính tài khoản ngƣời dùng
Để cấu hình các thuộc tính của tài khoản người dùng trên màn hình Active Directory ta nhấp phải chuột vào tài khoản chọn Properties
Trên màn hình thuộc tính
của tài khoản người dùng nhấp chọn thẻ Account
User logon name: Là tài
khoản đăng nhập
Mục Logon Hours:
Dùng để cấu hình thời
gian làm việc của
Account, nhấp vào nút Logon Hours màn hình
Trang 57 xuất hiện như sau:
Màu xanh là Logon Permission: được quyền truy cập
Màu trắng là Logon Denied: Không được quyền truy cập
Mặc định tài khoản người dùng vùng s được quyền truy cập vào mạng bất cứ thời gian nào tức là 24/7.
Để giới hạn thời gian làm việc ta cấp quyền như sau:
Giả sử tài khoản u1 làm việc các ngày thứ 2, thứ 4, thứ 6 và thời gian từ 2 giờ chiều đ n 10 giờ đêm.
Trang 58
Ngoài thời gian đã cho phép n u người dùng vẫn truy cập mạng thì đương nhiên tài khoản s không hiệu lực.
Ở Account is Locked Out: m c này s được chọn khi Account bị khóa.
Ở m c Account Option:
User must change password at logon: m c này n u được chọn người dùng s phải đổi password tại l n đăng nhập đ u tiên.