Tìm hiểu về ACTIVE DIRECTORY

ACTIVE DIRECTORY

CHƯƠNG 1

CÁC MÔ HÌNH MẠNG

MÔ HÌNH MẠẠNGNG MÔ HÌNH M

 Còn gọi là mô hình Peer-to-Peer các máy trong

1. MÔ HÌNH WORKGROUP

mạng có vai trò như nhau

 Dữ liệu tài nguyên được lưu trữ phân tán tại các máy cục bộ và các máy tự quản lý tài nguyên của mình

 Hệ thống mạng không có máy chuyên dụng để

1. MÔ HÌNH WORKGROUP

quản lý và cung cấp dịch vụ

 Phù hợp mạng nhỏ, bảo mật không cao  Các máy tính sử dụng hệ điều hành hỗ trợ đa

người dùng

 Lưu trữ thông tin người dùng trong tập tin SAM (Security Accounts Manager) ngay trên máy tính cục bộ

 Việc chứng thực tài khoản người dụng cũng do

máy cục bộ đảm nhiệm

 Hoạt động theo cơ chế

1. MÔ HÌNH DOMAIN

 Trong hệ thống mạng phải có ít nhất 1 máy tính làm chức năng điều khiển vùng (Domain Controler), điều khiển toàn bộ hoạt động của hệ thống mạng

Client-Server

 Việc chứng thực

1. MÔ HÌNH DOMAIN

 Mô hình này ứng

người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền

dụng trong các công ty vừa và lớn

 Các thông tin người dùng

1. MÔ HÌNH DOMAIN

được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên Domain Controler với tên file là NTDS.DIT, có thể lưu trữ thông tin của hàng triệu người dùng

 Việc đăng nhập vào mạng cũng tập trung lại và do Domain Controler chứng thực

CCáácc bưbướớcc chchứứngng ththựựcc khikhi ngưngườờii ddùùngng đăng

đăng nhnhậậpp

AD

44

66

?

55

22

33

Client Client

Domain Controler

11

User

3. ACTIVE DIRECTORY

a. Giới thiệu

 Về căn bản Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng và các thông tin liên quan đến đối tượng đó.

3. ACTIVE DIRECTORY

a. Giới thiệu

 Để có thể quản lý được 1 hệ thống mạng lớn, ta thường phải phân chia nó thành nhiều Domain rồi thiết lập các mối quan hệ uỷ quyền thích hợp. AD giải quyết được các vấn đề như vậy và cung cấp một mức độ ứng dụng mới cho môi trường.

3. ACTIVE DIRECTORY

a. Giới thiệu  Lúc này dịch vụ thư mục trong mỗi domain có thể lưu trữ hơn 10 triệu đối tượng, đủ để phục vụ hơn 10 triệu người dùng trong mỗi domain.

3. ACTIVE DIRECTORY

b. Chức năng

trung ccáácc têntên ttààii khokhoảảnn tương ứứngng vvàà ccáácc ttààii khokhoảảnn

 LưuLưu gigiữữ mmộộtt danhdanh ssááchch ttậậpp trung ngưngườờii ddùùngng, , mmậậtt khkhẩẩuu tương mmááyy ttíínhnh

 CungCung ccấấpp 1 Server

1 Server đđóóngng vaivai tròtrò chchứứngng ththựựcc

server ququảảnn lýlý đăngđăng Server nnààyy còncòn đưđượợcc ggọọii llàà

(authentication server) hohoặặcc server (authentication server) nhnhậậpp (logon server), (logon server), Server Domain Controler Domain

Controler ((mmááyy điđiềềuu khikhiểểnn vvùùngng).).

hay 1 bbảảngng chchỉỉ mmụụcc trong mmạạngng dòdò ttììmm

nguyên nnààoo đđóó trêntrên ccáácc mmááyy ttíínhnh khkháácc

 DuyDuy trtrìì 1 1 bbảảngng hưhướớngng ddẫẫnn hay 1 (Index) gigiúúpp ccáácc mmááyy ttíínhnh trong (Index) nhanh 1 1 ttààii nguyên nhanh trong vvùùngng.. trong

3. ACTIVE DIRECTORY

b. Chức năng

 Cho Cho phphéépp ttạạoo nhnhữữngng ttààii khokhoảảnn ngưngườờii ddùùngng (right) khkháácc nhaunhau..

 Cho Cho phphéépp tata chiachia nhnhỏỏ mimiềềnn ccủủaa mmììnhnh rara

vvớớii nhnhữữngng mmứứcc đđộộ quyquyềềnn (right)

Subdomain)) hay hay ccáácc con ((Subdomain (Organizational Unit) rrồồii

ththàànhnh nhinhiềềuu mimiềềnn con đơnđơn vvịị ttổổ chchứứcc OU OU (Organizational Unit) uuỷỷ quyquyềềnn chocho ccáácc ququảảnn trtrịị viênviên bbộộ phphậậnn ququảảnn lýlý

 Directory Service (dịch vụ danh bạ) là hệ

3. ACTIVE DIRECTORY c. Directory Service

thống thông tin chứa trong NTDS.DIT, các chương trình quản lý khai thác tập tin này

Active Directory Benefits Active Directory Benefits Active Directory Benefits Active Directory Benefits Active Directory Benefits Active Directory Benefits

DNS integration DNS integration DNS integration DNS integration DNS integration DNS integration

Scalability Scalability Scalability Scalability Scalability Scalability

Centralized Centralized Centralized Centralized Centralized Centralized management management management management management management

Delegated Delegated Delegated Delegated Delegated Delegated administration administration administration administration administration administration

c. Directory Service

 Object (đối tượng) : Trong h.thống CSDL, đối tượng bao gồm các máy in, người dùng, các Server, các máy trạm, thư mục dùng chung, dịch vụ mạng… đối tượng là thành tố căn bản nhất của dịch vụ danh bạ.

 Attribute (thuộc tính) : Dùng để mô tả một đối tượng. Ví dụ: mật khẩu và tên là thuộc tính của người dùng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, nhưng cũng có thể có một vài thuộc tính giống nhau. (vd: cùng có 1 đc IP).

 Schema (cấu trúc tổ chức) : một Schema định nghĩa các danh sách thuộc tính dùng mô tả 1 loại đối tượng nào đó. Schema có thể tuỳ biến sửa đổi được.

c. Directory Service  Container (vật chứa): tương tự với khái niệm thư mục

trong Windows. Một vật chứa có thể chứa các đối tượng và vật chứa khác. Nó cũng có thuộc tính như các đối tượng. Có 3 loại :  Domain: Sẽ trình bày ở phần sau.  Site : một Site là 1 vị trí, dùng phân biệt giữa vị trí cục

bộ và vị trí ở xa.

 OU (Organizational Unit) : là loại vật chứa mà bạn có

thể đưa vào đó người dùng, nhóm, máy tính, máy in và những OU khác… Một OU không thể chứa các đối tượng trong Domain khác

 Global Catalog : Dùng để xác định vị trí của đối tượng mà người dùng được cấp quyền truy cập. Việc tìm kiếm được thực hiện bằng tên và cả bằng thuộc tính

 Domain là đơn vị chức năng cốt lõi của cấu trúc

4. DOMAIN

Active Directory. Nó là một tập hợp những người dùng, máy tính tài nguyên chia sẻ có những quy tắc bảo mật giống nhau, giúp cho việc truy cập vào Server dể dàng hơn.  Domain đáp ứng 3 chức năng chính sau:

1. Đóng vai trò như 1 khu vực quản trị các đối tượng có chung một cơ sở dữ liệu, thư mục dùng chung,

các chính sách bảo mật, các quan hệ uỷ quyền với

các domain khác

2. Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ

controler Domain controler Domain

3. Cung cấp các Server dự phòng làm chức năng điều khiển vùng Đồng thời đảm bảo dữ liệu trên các Server này đồng bộ với nhau

controler Domain controler Domain

controler Domain controler Domain

Domain Tree

vttu.edu.vn

Domain con

Library.vttu.edu.vn

Lms.vttu.edu.vn

 Bao gồm nhiều domain được sắp xếp theo cấu trúc hình cây. Domain tạo ra đầu tiên gọi là Domain Root và nằm ở gốc của cây thư mục, các domain tạo ra sau sẽ nằm bên dưới và được gọi là domain con (Child domain)

 Tên các domain phải khác biệt nhau

Kiến trúc AD

Domain Tree Domain Tree

Domain Domain

Domain Domain

Domain Domain

Domain Domain

Ofject Ofject

Domain Domain

Domain Domain

OUOU

OUOU

OUOU

Domain Domain

Organizational Unit Organizational Unit

Forest Forest

Forest

vttu.edu.vn

cntt.vttu.edu.vn

cb.vttu.edu.vn

kt.vttu.edu.vn

yd.vttu.edu.vn

xhnv.cb.vttu.edu.vn

dv.kt.vttu.edu.vn

tm.kt.vttu.edu.vn

ttyd.yd.vttu.edu.vn

cnpm.cntt.vttu.edu.vn

tty.ttyd.vttu.edu.vn

ttd.ttyd.vttu.edu.vt

qtm.cnpm.cntt.vttu.edu.vn

ht.cnpm.cntt.vttu.edu.vn

 Forest (rừng) được xây dựng trên 1 hoặc

nhiều Domain Tree, là tập hợp các Domain Tree có thiết lập mối quan hệ và uỷ quyền cho nhau.

CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY

 Theo mặc định các máy Windows Server khi mới cài đặt đều là Server độc lập (Standalone Server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp một Server độc lập lên thành một Domain Controler (DC) và ngược lại giáng cấp 1 DC thành 1 Server bình thường

 Đối với Win2k3 thì ta có thể đổi tên Server khi đã

nâng cấp lên DC

 Phải khai báo đầy đủ thông số TCP/IP trước khi

nâng cấp, đặc biệt là phải khai báo DNS Server có địa chỉ là chính đc IP của server đang nâng cấp  Nên cài dv DNS trước khi nâng cấp thành DC,còn không thì chọn cài DNS tự động trong quá trình nâng cấp

 Từ menu Start  Run, nhập dcpromo

nhấn OK

 Hộp thoại Active Directory Installation Wizard xuất hiện, nhấn Next để tiếp tục.

 Chương trình xuất hiện hộp cảnh báo : DOS, Windows 95 và WinNT SP3 trở về trước sẽ bị loại ra khỏi miền AD. Chọn Next để tiếp tục

 Để tạo 1 miền mới ta để mặc định,

nhấn Next

 Tại đây ta có 3 lựa chọn

Domain đầu tiên trong 1 rừng mới

Domain con trong 1 domain có sẳn

Một Domain Tree trong một rừng đã có sẵn

 Nhập tên DNS đầy đủ của domain ta

cần xây dựng

 Nhập tên domain theo chuẩn NetBIOS để tương thích với các máy WinNT, thường thì ta nên để mặc định. Nhấn Next

 Chỉ vị trí lưu trữ database AD và các tập tin log, để mặc định hoặc chỉ vị trí khác tuỳ ta

 Chỉ định vị trí của thư mục SYSVOL. Thư mục này phải nằm trên partition NTFS

Các dữ liệu đặt trong thư mục này sẽ được tự động sao chép sang các domain khác trong miền Nhấn Next để tiếp tục

 Nếu dv DNS chưa được cài đặt, ta sẽ lựa

chọn lựa chọn thứ 2 để hệ thống tự động cài dv DNS

 Nếu trên hệ thống có các Server thuộc

phiên bản trước Server 2000

Nếu hệ thống chỉ toàn Server 2000 và 2003

 Nhập mật khẩu dùng trong trường hợp

Server phải khởi động vào chế độ Directory Services Restore Mode. Nhấn Next

 Hộp thoại tóm tắt xuất hiện, hiển thị tất cả các thông tin ta đã chọn. Nếu đúng nhấn Next để tiến hành cài đặt

 Hộp thoại Configuring Active Directory cho thấy quá trình cài đặt đang thực hiện những gì, có thể chiếm nhiều thời gian và có thể bạn phải chỉ nguồn cài đặt nếu chương trình không tìm thấy

 Hộp thoại Completing the Active Diretory Installation Wizard xuất hiện, nhấn Finish để kết thúc

Ta phải khởi động lại máy thì các thông tin cài đặt mới bắt đầu có hiệu lực

 TTạạoo mmộộtt mmốốii quanquan hhệệ tin

(Trust tin ccậậyy (Trust

trong domain trong

relationship) gigiữữaa mmááyy trtrạạmm vvàà domain relationship) vvùùngng..

logon vvààoo mmạạngng trêntrên mmááyy trtrạạmm nnààyy ssẽẽ do do

 ViViệệcc logon Domain Controler Domain

Controler đđảảmm nhinhiệệmm..  ViViệệcc giagia nhnhậậpp mimiềềnn phphảảii ccóó ssựự đđồồngng ýý ccủủaa

Admin ccụụcc bbộộ trêntrên mmááyy

Admin ccấấpp mimiềềnn vvàà Admin Admin trtrạạmm đđóó..

 ThưThườờngng ththìì tata ddùùngng luônluôn ttààii khokhoảảnn

domain. Administrator đđểể giagia nhnhậậpp vvààoo domain. Administrator

 ĐăngĐăng nhnhậậpp vvààoo mmááyy ccụụcc bbộộ vvớớii ttààii khokhoảảnn ququảảnn

trtrịị ((ccóó ththểể ddùùngng trtrựựcc titiếếpp ttààii khokhoảảnn Administrator). Administrator). Right click trêntrên bibiểểuu tưtượợngng

 Right click My Computer  Properties Properties My Computer

Computer Name Trong Tab Tab Computer Name Trong Change click vvààoo nnúútt Change click

 HHộộpp thothoạạii nhnhậậpp liliệệuu xuxuấấtt hihiệệnn, , nhnhậậpp têntên mimiềềnn ccủủaa mmạạngng ccầầnn giagia nhnhậậpp vvààoo mmụụcc Member of Domain Member of Domain

Controler Domain Controler

MMááyy trtrạạmm ddựựaa vvààoo têntên mimiềềnn tata khaikhai bbááoo ttììmm đđếếnn Domain ggầầnn nhnhấấtt đđểể xinxin giagia nhnhậậpp mmạạngng. .

Server kkếếtt nnốốii ssẽẽ ggởởii Server đđếếnn yêuyêu ccầầuu tata phphảảii xxáácc ththựựcc bbằằngng mmộộtt ttààii khokhoảảnn ngưngườờii ddùùngng ccấấpp mimiềềnn ccóó quyquyềềnn ququảảnn trtrịị

công vvàà reboot mmááyy llạạii đđểể

: logon vvààoo

SauSau khikhi xxáácc ththựựcc ththàànhnh công vvàà hhệệ ththốốngng chocho phphéépp công mmááyy trtrạạmm nnààyy giagia nhnhậậpp vvààoo mimiềềnn, , hhệệ ththốốngng ssẽẽ xuxuấấtt hihiệệnn thông bbááoo ththàànhnh công thông yêuyêu ccầầuu reboot đăngđăng nhnhậậpp vvààoo mmạạngng  KhiKhi nnààyy hhộộpp thothoạạii logon logon logon to xuxuấấtt hihiệệnn thêmthêm mmụụcc logon to chocho tata 2 2 llựựaa chchọọnn NETCLASS : logon ••NETCLASS mimiềềnn.. ••This computer : logon This computer : logon vvààoo mmááyy ccụụcc bbộộ

CÁC THÀNH PHẦN TRONG ACTIVE DIRECTORY

 Trong

công ccụụ AD AD

công ccụụ Trong ccáácc công ququảảnn trtrịị hhệệ ththốốngng AD AD ththìì công User and User and Computer llàà quanquan Computer trtrọọngng nhnhấấtt. . ChChúúngng tata ssẽẽ ggặặpp rrấấtt nhinhiềềuu trong llúúcc llààmm viviệệcc trong

CÁC THÀNH PHẦN TRONG ACTIVE DIRECTORY

Builtin: chứa các nhóm người dùng đã được tạo và định nghĩa quyền sẵn

Computers: chứa các máy trạm mặc định đang là thành viên của miền.

Domain controlers: chứa các DC đang hoạt động trong miền

Users: chứa các tài khỏan người dùng mặc định trên miền

OU là một nhóm người dùng, máy tính và tài nguyên mạng được tạo ra nhằm mục đích dễ dàng quản lý hơn, và để ủy quyền cho các quản trị viên địa phương giải quyết các công việc đơn giản

Đặc biệt là thông qua OU chúng ta có thể áp đặt các giới hạn phần mềm và phần cứng thông qua các Group Policy

 HHộộpp thothoạạii nhnhậậpp liliệệuu xuxuấấtt hihiệệnn, , tata nhnhậậpp

ô Name têntên OU OU ccầầnn ttạạoo vvààoo ô Name

 ĐưaĐưa ccáácc mmááyy trtrạạmm mmàà tata mumuốốnn chocho

thamtham giagia vvààoo OU OU nnààyy vvààoo

 TiTiếếpp theo

theo đưađưa ccáácc ttààii khokhoảảnn ngưngườờii ddùùngng ccầầnn

ququảảnn lýlý vvààoo OU.OU.

 BâyBây gigiờờ tata ssẽẽ ủủyy quyquyềềnn chocho ngưngườờii nnààoo

hohoặặcc nhnhóómm nnààoo ququảảnn lýlý OU OU nnààyy

click click

vvààoo Right Right chchọọnn OU OU ttạạoo, , vvừừaa thothoạạii Properties, hhộộpp Properties, xuxuấấtt hihiệệnn. . Trong Trong Tab Tab Manager By click vvààoo Manager By click nnúútt Change chchọọnn Change đđểể ngưngườờii ddùùngng ququảảnn lýlý OU OU nnààyy..

Group  ThiThiếếtt llậậpp ccáácc Group Policy áápp ddụụngng chocho Policy OU OU nnààyy, , chchúúngng tata ssẽẽ ttììmm hihiểểuu chi chi titiếếtt ởở bbààii sausau tab Group Trong tab Group  Trong Policy, click vvààoo nnúútt Policy, click New New đđểể ttạạoo mmớớii 1 1 click vvààoo GPO, rrồồii click GPO, nnúútt Edit Edit đđểể hihiệệuu chchỉỉnhnh chchíínhnh ssááchch

Bài tập thực hành nhóm  Mỗi nhóm cài đặt 1 windows server 2003 sau đó nâng cấp lên

thành máy Domain Controler  Tên máy: win  Tên Domain: cntt.vttu  IP: 192.168.1.7 / subnet mask 255.255.255.0  Default gateway: 192.168.1.1  DNS: 192.168.1.2  Sau khi nâng cấp xong tao 1 OU với 2 user để có thể đăng nhập

từ máy trạm

 Cài 1 windows xp làm máy client

 Tên máy: cntt-k2  IP: 192.168.1.17 /SM: 255.255.255.0  Join vào domain của máy server vừa tạo  Login vào miên bằng tài khoản trên máy chủ