Triển khai hệ thống Domain ở trên Windows Server 2003 Active Directory

Chia sẻ: Vn Minh | Ngày: | Loại File: PDF | Số trang:10

0
173
lượt xem
79
download

Triển khai hệ thống Domain ở trên Windows Server 2003 Active Directory

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Xây dựng Windows Server 2003 Active Directory Và Tạo các đối tượng bằng dòng lệnh Windows Server 2003 là hệ điều hành mạng hoàn thiện nhất hiện nay, chúng ta có thể dùng Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và người dùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ chức các file Server lưu trữ dữ liệu, cung cấp các dịch vụ cho người tiêu dùng ......

Chủ đề:
Lưu

Nội dung Text: Triển khai hệ thống Domain ở trên Windows Server 2003 Active Directory

  1. Tri n Khai H Th ng Domain Trên Windows Server 2003 Active Directory Mô Hình H Th ng Trên Windows Server 2000/2003 I - Xây D ng Windows Server 2003 Active Directory Và T o Các ð i Tư ng B ng Dòng L nh Windows Server 2003 là h ñi u hành m ng hòan thi n nh t hi n nay, chúng ta có th dùng Windows Server 2003 ñ tri n khai các h th ng Domain Controller qu n tr tài nguyên và ngư i dùng cho m t công ty hay xây d ng các Web Server m nh m , t ch c các File Server lưu tr d li u, cung c p các d ch v cho ngư i dùng… N u như Windows Server 2003 có th xem như nhà qu n tr tài ba c a h th ng m ng thì Active Directory chính là trái tim c a nó, h u như t t c m i ho t ñ ng di n ra trên h th ng ñ u ch u s chi ph i và ñi u khi n c a Active Directory. T phiên b n Windows NT4.0 tr v sau, Microsoft ñã phát tri n h th ng Active Directory dùng ñ lưu tr d li u c a domain như các ñ i tư ng user, computer, group … cung c p nh ng d ch v (directory services) tìm ki m, ki m soát truy c p, y quy n, và ñ c bi t là d ch v ch ng th c ñư c xây d ng d a trên giao th c Keberos h tr cơ ch single sign-on, cho phép các user ch c n ch ng th c m t l n duy nh t khi ñăng nh p vào domain và có th truy c p t t c nh ng tài nguyên và d ch v chia s c a h th ng vói nh ng quy n h n h p l . V i nh ng d ch v và ti n ích c a mình, Active Directory ñã làm gi m nh công vi c qu n lý và nâng cao hi u qu ho t ñ ng, nh ng công vi c mà h u như không th th c hi n ñư c trên m t h th ng m ng ngang hàng, phân tán Converted to pdf by tech24.vn
  2. thì gi ñây chúng ta có th ti n hành m t cách d dàng thông qua mô hình qu n lý t p trung như ñưa ra các chính sách chung cho toàn b h th ng nhưng ñ ng th i có th y quy n qu n tr ñ phân chia kh năng qu n lý trong m t môi trư ng r ng l n. Nh ng Thành Ph n Chính C a H Th ng Active Directory User : là các tài kho n ngư i dùng, khi cài ñ t Active Directory s có m t s tài kho n built-in ñư c t o ra như Administrator là ng ơi có toàn quy n qu n tr h th ng, backup operator là nhóm và ngư i dùng có kh năng backup và restore d li u c a h th ng mà không c n nh ng quy n h n h p l ñôi v i nh ng d li u này. Tuy nhiên ñ các nhân viên trong m t t ch c có th s d ng tài nguyên và ñăng nh p (log-in) vào domain thì ngư i qu n tr c n ph i t o nh ng tài kho n h p l , và c p phát cho ngư i s d ng. Các user s dùng nh ng tài kho n ñư c c p b i administrator ñ log-in và domain. Và truy c p d li u trên file server hay các d ch v khác.. Group: là m t t p h p c a nh ng ng ơi dùng có nh ng ñ c tính chung, ví d các nhân viên c a m t phòng ban sale có quy n truy c p lên folder sales trên file server ho c chúng ta mu n các nhân viên c a công ty ñ u có quy n in ñ i v i laser printer, chúng ta nên t o group printing và gán quy n in trên laser printer sau ñó add t t c các nhân viên c a công ty vào group printing này thay vì gán quy n in cho t ng user riêng l s không hi u qu (các b n c n chú ý s d ng group Domain User cho nh ng thao tác chung, m c ñ nh t t c các user ñư c t o ra ñ u thu c group này). OU (organization unit): là nh ng ñơn v t ch c, khi thi t k m t domain thì chúng ta kh o sát h th ng có bao nhiêu ñon v t ch c như có bao nhiêu phòng ban, b ph n. D a trên k t qu kh o sát này s t o nh ng OU tương ng v i ch c năng, v trí như phòng ban Sales s có m t OU Sales và trong OU này ch a group sales, group sales s bao g m t t c nh ng thành viên c a phòng ban sale, và nh ng user này cũng ñư c ñ t trong OU Sales cùng v i group sales. Như v y chúng ta c n ph i phân bi t rõ group sales và OU Sales, gi a chúng có nh ng khác bi t cơ b n là OU ñư c dùng ñ qu n tr v m t chính sách như chúng ta mu n t t c các nhân viên thu c phòng ban sales trong môi trư ng th t ñư c cài ñât t ñ ng MS OfficeXP hay update nh ng b n vá nào khi ñăng nh p h th ng thì chúng ta ph i tương tác qua OU. Nhưng rõ ràng chúng ta không th qu n lý v quy n h n truy c p Converted to pdf by tech24.vn
  3. c a các user này b ng OU, chính vì v y chúng ta c n ph i t o ra các group và gán quy n thông qua nh ng group này. ðó là nh ng khác bi t cơ b n nh t mà chúng ta c n phân bi t. Trên ñây là 3 ñ i tư ng cơ b n c a h th ng active directory, ngoài ra còn có nh ng thành ph n khác như group plicy, site, trusting, global catalog, fsmo..s ñư c trình bày nh ng ph n ti p theo. Trư c khi b t tay vào xây d ng h th ng domain cho t ch c c a mình, m t s lưu ý chúng ta c n quan tâm là: - C n có ít nh t 2 domain controler là Primary (PDC) và cái còn l i dùng là Backup (BDC) ñ ñáp ng ch c năng load balancing và faultolerant, n u h th ng ch có m t domain controler duy nh t thì ph i backup các system state data c a Active Directory c n th n theo các m c chu n (baseline) ñ có th ph c h i khi có s c x y ra hay dùng cho migration (di trú) qua m t máy khác khi PDC b hư h ng ñ t xu t. - H th ng Active Directory s d ng DNS cho quá trình ph n gi i tên các d ch v và nh ng thành viên c a chúng, vì v y b t bu c ph i có DNS h p l ñ Active Directory h at ñ ng chính xác, tên c a Domain là gì?Thông thư ng khi cài ñ t active directory có th ch n cài tích h p d ch v DNS, trong trư ng h p ñã có s n máy ch DNS thì ph i khai báo ñ a ch c a d ch v này trong ph n Prefered DNS và tên c a domain là tên c a t ch c như tcdescon.com, security365.org.. C n ph i kh o sát t ch c có bao nhiêu thành viên (ngư i dùng) tương - ng v i s lư ng account ñư c t o trong Acitve Directory, có bao nhiêu b ph n, phòng ban ñ t o ra các OU và Group tương ng, ngòai ra chúng ta c n xem xét các quy n h n s d ng c a các ñ i tư ng, kh năng ñáp ng.. ñ t ñó ñưa ra m t b n phác th o ñ y ñ cho h th ng Domain Controller c a mình. ð th c hi n bài Lab này, c n có các máy tính v i c u hình TCP/IP như hình dư i ñây, trong ñó DC1 là Primay Domain Controller v i h th ng Backup (Secondary Domain Controller) là DC2 t t c ñ u s d ng Windows Server 2003. Client1 có th dùng Windows XP ho c Windows 2000. Converted to pdf by tech24.vn
  4. H Th ng Domain Controler Và ð a Ch IP (Click vào nh ñ phóng to) 1- Ti n hành cài ñ t t ñ ng Active Directory trên DC1 theo phương pháp Unattend ð thăng c p m t Windows Server 2003 Standalone lên thành Domain Controller chúng ta s d ng l nh dcpromo và sau ñó cung c p ñ y ñ tên domain, vai trò và v trí cài ñ t..Trong ph n này các b n hãy log-in vào DC1 b ng tài kh an Administrator và t o t p tin như ñư i ñây, hãy thay tên domain security365 b ng tên domain c a b n cũng như các thông tin v Password hay SafeModeAdminPassword tương ng , các b n có th ch n cài cùng lúc DNS b ng cách xác ñ nh AutoConfigDNS = Yes, n u mu n h th ng reboot l i sau khi cài ñ t hãy ñ t giá tr RebootOnSuccess = Yes [DCInstall] RebootOnSuccess = No DatabasePath = %SYSTEMROOT%\NTDS LogPath = %SYSTEMROOT%\NTDS SysVolPath = %SYSTEMROOT%\Sysvol UserName = administrator Password = Password ReplicaorNewDomain = Domain TreeOrChild = Tree CreateOrJoin = Create NewDomainDNSName = security365.org DNSOnNetwork = No DomainNetBiosName = SECURITY365 AllowAnonymousAccess = No AutoConfigDNS = Yes SiteName = Default-First-Site-Name Converted to pdf by tech24.vn
  5. SafeModeAdminPassword = netmanager Lưu t p tin trong C:\ v i tên là dcinfo.txt Sau ñó ch y l nh dcpromo /answer:C:\dcinfo.txt Restart l i h th ng khi ti n trình cài ñ t hòan t t, tiêp theo chúng ta c n t o ra nh ng tài kh an ngư i dùng cùng v i nh ng Group, OU tương ng theo các phòng ban như hình sau ñây d a trên mô hình th c t c a công ty có 2 chi nhánh CA và NC, m i chi nhánh có các b ph n Marketing, Accountign và Sales. 2- T o c u trúc OU v i dsadd ou: Có nhi u cách ñ t o ra các ñ i tư ng trên Active Directory như OU, Group, User..Các b n có th dùng giao di n ñ h a Active Directory Users and Computers console sau ñó click chu t ph i vào Domain Name (ví d security365.com) và ch n nh ng thao tác tương ng. ñây chúng ta s Converted to pdf by tech24.vn
  6. d ng m t phương pháp ít thông d ng hơn d a trên dòng l nh, ñi u này s r t thu n ti n khi mu n xây d ng h th ng m t cách t ñ ng. ð t o m t OU m i hãy s d ng dòng l nh dsadd ou: Dsadd ou “OU=NC,DC=security365,DC=com” Dsadd ou “OU=CA,DC=security365,DC=com” Dsadd ou “OU=Marketing,OU=NC,DC=security365,DC=com” Dsadd ou “OU=Accounting,OU=NC,DC=security365,DC=com” Dsadd ou “OU=Sales,OU=NC,DC=security365,DC=com” Dsadd ou “OU=Marketing,OU=CA,DC=security365,DC=com” Dsadd ou “OU=Accounting,OU=CA,DC=security365,DC=com” Dsadd ou “OU=Sales,OU=CA,DC=security365,DC=com” Có th dùng t p tin bat ñ ti n hành t d ng quá trình trên, v i OU là tên c a OU ñư c t o, DC là tên c a domain lưu ý nên t o tu n t các bư c. 3. T o User V i dsadd user: Chúng ta có th t o tài kh an ngư i dùng v i dsadd user, ví d sau s t o ra tài kh an cho Nguyen Tran Duy Vinh thu c phòng ban Sales : tên ñăng nh p vinhndt, m t mã ñăng nh p 123qwe!@# - - thu c b OU Sales - first name là nguyen tran duy - last name là vinh - tên upn là ntdvinh@security365.com ñ tài kh an có th s d ng ñư c ngay hãy ñ t –disable no - dsadd user “CN=vinhndt,OU=Sales,OU=CA,DC=security365,DC=com” –upn vinhndt@security365.com –fn nguyen tran duy –ln vinh –pwd 123qwe!@# –disabled no 3.T o Group v i dsadd group: Các user trong m i phòng ban thư ng có nh ng ñ c tínhchung như quy n h n truy c p vào tài nguyên chia s c a b ph n, kh năng s d ng máy in…Vì v y hãy t o ra các nhóm ngư i dùng (Group) sau ñó add nh ng user vào. Chúng ta có th th c hi n ñi u này v i dòng l nh dsadd group. Ví d sau ñây s t o m t gourp có tênlà Consultants (CN) trong OU Marketing c a domain Security365.Com, group type là security và group scope là global. Converted to pdf by tech24.vn
  7. Dsadd group “CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com” –secgrp yes –scope g Ghi Chú: Có hai l ai group trong active directory là security và distribution. H u h t các group chúng ta t o ra và s d ng ñ thu c l ai security goup. Distribution group ch ñư c dùng cho quá trình h at ñ ng c a các ng d ng như Exchange Server, và các b n không thê gán quy n truy c p ñ i v i l ai group này. Ngòai ra các group ñươc chia làm 3 l ai group scope là Global, Universal và Local. V i Local Group các thành viên ch có th truy c p nh ng tài nguyên trên domain n i b . Khi h th ng có nhi u domain, ñ user có th truy c p tà nguyên các domain khác thì chúng ph i là thành viên c a Global hay Universal Group. 4.Add User vào Group V i Dsmod: ð Add User Nguyen Tran Cat Vinh là thành viên c a group Consultant trong OU Marketing (là OU con c a CA) cho domain Security365.Com ta s d ng l nh sau : Dsmod group “CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com” – addmbr “CN=vinhntc,OU=Marketing,OU=CA,DC=security365,DC=com” Trong nh ng trư ng h p qu n tr t xa hay c n t o ra nhi u ñ i tư ng cùng lúc cho h th ng cách t t nh t là s d ng các ti n ích dòng l nh. Cách th c qu n tr Active Directory thông qua giao di n ñ h a như Active Directory Users and Computer các b n có th tham kh o trang web www.microsoft.com, m i th c m c g i ñ n m c HelpDesk trang web www.security365.org, Công ty Gi i Pháp An Tòan. II – Join Máy Tính Client1 Vô Domain Sau khi cài ñ t và c u hình xong h th ng Active Directory chúng ta c n join các clien vào domain ñ có th qu n lý, c p quy n truy c p, s d ng tài nguyên cho ngư i s d ng. Hãy log-in vào Client1 v i quy n Administrator và click chu t ph i vào My Computer ch n Properties: Trên tab Computer (Network Identification) hãy nh n Change ho c Properties tùy thu c vào h ñi u hành Client1 s d ng là Windows XP hay Windows 2000Ti p theo và nh p vào thông tin sau: Converted to pdf by tech24.vn
  8. Nh n OK, m t h p th ai yêu c u thông tin Username & Password s hi n th , hãy nh p vào tài kh an h p l ví d Administrator và nh n OK ñ hòan t t quá trình join domain. III – Cài ð t Secondary Domain Controler: ð i v i các h th ng m ng l n có nhi u user, chúng ta nên tri n khai thêm các secondary domain controler (hay còn g i là Backup Domain Controler- BDC) ñ tăng cư ng kh năng ñáp ng yêu c u truy c p c a user và khi primary domain controler g p ph i nh ng s c thì h th ng v n có th h at ñ ng bình thư ng nh vào secondary domain controler này, ngòai ra chúng ta còn có th ph c h i cơ s d li u c a Active Directory trên PDC. C hai h th ng Domain Controler này ñ ch a cùng m t cơ s d li u c a domain như user, group policy, ou…và khi d li u trên m t domain controller này thay ñ i s ñư c t ñ ng replicate (sao chép) sang nh ng domain controler còn l i, ti n trình này di n ra hòan tòan t ñ ng do d ch v KCC (knowledge consistent checker) c a h th ng ñ m nhi m. Tuy nhiên trong nh ng trư ng h p ñ c bi t các b n có th ti n hành replicate ngay l p t c. Sau ñây là các bư c xây d ng secondary domain controller: Converted to pdf by tech24.vn
  9. Join máy tính DC2 vào domain và log-in b ng tài kh an Administrator. M Start - > Run và ch y l nh dcpromo Trên màn hình cài ñ t ti p theo chúng ta ch n m c Additional domain controller for an existing domain và nh n Next. c a s Network Credential hãy nh p vào tài kh an Administrator, Password c a domain và ch n Next: Ti p theo chương trình s h i tên c a domain mà DC2 s làm secondary domain controller (trong ô additional domain controller). Tên này s t hi n th n u như DC2 là thành viên c a Domain. N u các b n ti n hành thăng c p không qua bư c join DC2 vô domain thì ph i nh p tên Domain ñ y ñ như security365.com. M t ñi u c n lưu ý là ph i c u hình ñ a ch DNS cho domain trong ph n Prefered DNS, vì ña s các s c và l i khi thăng c p m t secondary domain controller cũng như trong qua trình h at ñ ng c a Active Directory ñ u liên quan ñ n vi c c u hình ñ a ch DNS server không chính xác làm cho quá trình phân gi i tên các máy ch và các d ch v không ti n hành ñư c. Sau ñó hãy ch p nh n giá tr m c ñ nh v v trí cài ñ t, lưu tr database c a active directory cũng như sysvol folder. N u mu n thay ñ i các thông s này sau khi cài ñ t hãy dùng công c NTDSUTIL. Converted to pdf by tech24.vn
  10. Cu i cùng m t b ng tóm t t các thông tin c a secondary domain controller hi n th , hãy ki m tar l i và nh n Next ñ ti n trình cài ñ t di n ra, sau khi hòan t t hãy restart l i h th ng DC2. Như v y chúng ta ñã xây d ng xong h th ng active directory cho domain security365.com v i m t primary và m t secondary domain controler, lúc này các máy tính client trên h th ng có th join domain v i nh ng tài kh an h p l ñ th c hi n công vi c c a mình. Converted to pdf by tech24.vn

CÓ THỂ BẠN MUỐN DOWNLOAD

Đồng bộ tài khoản