VIỆN ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ TIN HOC

VIỆN ĐẠI HỌC MỞ HÀ NỘIKHOA CÔNG NGHỆ TIN HOC

Báo cáo bài tập lớn môn: Quản trị mạngĐề tài (06): Giới thiệu và các thao tác quản trị với Active Directory trong Windows Server 2008

Sinh viên thực hiện: Quàng Văn LiêmGiáo viên hướng dẫn: Đinh Tuấn Long

Hà nội 10-2010

00:14:55

Active Directory

I. Giới thiệu

II.Các thao tác quản trị

00:14:56

I. Giới thiệu

1. Active Directory là gì ?

2. Tại sao cần thực thi Active Directory ?

3. Những điểm mới trong Active Directory Domain Services 2008

00:14:55

1. Active Directory là gì ?Là một cơ sở dữ liệu với các chức năng

như:

Lưu trữ thông tin về tài khoản người dùng và các tài nguyên mạng máy tính.

Xác định tính hợp lệ của người truy cập tài nguyên mạng.

Lưu trữ thông tin mạng máy tính như là các đối tượng trong một cấu trúc phân cấp

00:14:54

1. Active Directory là gì ?

Ngoài ra Active Directory còn cung cấp:

Sự quản lý tập trung Các khả năng tìm kiếm nâng

cao.Ủy quyền đại diện

00:14:50

2. Tại sao cần thực thi Active Directory

Active Directory có một cơ chế quản trị tập trung trên toàn bộ mạng.

Cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiều domain controller được triển khai trong một domain.

00:14:45


Tất cả các tài nguyên trong mạng được bảo vệ bởi một cơ chế bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗi truy cập đối với tài nguyên.

00:14:44


cho phép tăng cấp, hạ cấp các domain controller và các máy chủ thành viên một cách dễ dàng

Các hệ thống có thể được quản lý và được bảo vệ thông qua các chính sách nhóm Group Policies. Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng và ủy nhiệm trách nhiệm quản trị

00:14:43


Active Directory có khả năng quản lý hàng triệu đối tượng bên trong một miền.

00:14:42

3. Những điểm mới trong Active Directory Domain

Services 2008 Auditing

lưu trữ các sự kiện liên quan đến những đối tượng trong Active Directory.Từ đó có thể biết được đối tượng đã thay đổi những gì.Và giá trị hiện tai và giá trị trước khi thay đổi cũng được hệ thống ghi nhận lại.

00:14:41


Password Policies có thể được cấu hình cho

những đối tượng riêng biệt trong một domain. Vì thế bạn sẽ không phải sử dụng chung một chính sách mật khẩu cho tất cả các người dùng trong cùng một domain


• Read-Only Domain Controller • là một Domain Controller với cơ sở dữ

liệu Active Directory ở dạng read-only. Dịch vụ này giúp bạn tạm bảo mật được đối với những nơi mà bảo mật chưa được đảm bảo cao độ, chẳng hạn như các văn phòng. Read-Only Domain Controller không cho phép các domain controller ở cấp thấp hơn thực hiện những thay đổi lên Active Directory

00:14:36


Restartable AD DS đặc điểm này giúp bạn khởi

động lại AD DS trong khi vẫn giữ nguyên trạng thái hoạt động của Domain Controller,giúp bạn hoàn thành những thao tác offline môt cách nhanh chóng


Active Directory Certificate Services (AD CS)

là một dịch vụ được dùng để sinh ra và quản lý các certificate trên những hệ thống sử dụng công nghệ public key. Bạn có thể sử dụng ADCS để tạo ra các máy chủ chúng thực CA ( Certification Authorities). Các CA có tác dụng nhận yêu cầu về chứng thực, sau đó xử lý và gửi các chứng thực đó về lại cho đối tượng đã gửi yêu cầu.

3. Những điểm mới trong Active Directory Domain Services 2008Active Directory Federation

Services (AD FS) là một dịch vụ cung cấp cơ

chế đăng nhập - single sign-on(SSO), cho phép bạn đăng nhập chỉ một lần nhưng có thể dùng nhiều ứng dụng Web có quan hệ với nhau


• Active Directory Rights Management Services (ADRMS)

• là dịch vụ được dùng để kết hợp với các ứng dụng hỗ trợ AD RMS (AD RMS – enable application), nhằm bảo vệ dữ liệu quan trọng ( báo cáo tài chính,thông tin khách hàng,đơn hàng,sổ sách kê khai kế toán .v..v.) trước những đối tượng người dùng không được phép (unauthorized users).Với AD RMS, bạn có thể xác định những ai có thể thực hiện các thao tác như xem, chỉnh sửa, in ấn….trên dữ liệu của mình


Active Directory Lightweght Directory Services (AD LDS)

là một dịch vụ thư mục LDAP (Lightweght Directory Access Protocol) trên Windows Server 2008.AD LDS cung cấp một cơ chế nhằm hỗ trợ các ứng dụng directory-enabled ( sử dụng thư mục để lưu trữ dữ liệu). Dịch vụ này có chức năng tương tự như AD DS, nhưng không đòi hỏi phải triển khai các domain hoặc Domain Controller

II. Các thao tác quản trị

1. Xây dựng một cấu trúc Active Directory Domain Services

2. Kết nối một máy Client vào Domain

00:14:52

1. Xây dựng một cấu trúc Active Directory Domain Services

1.1 Các bước chuốn bị cài đặt1.2 Cài đặt dịch vụ Active Directory

Domain Services1.3 Cài đặt domain đầu tiên (Domain

chính)1.4 Thêm một DC khác vào Domain1.5 Thêm một domain1.6 Hạ DC xuống client1.7 Quản lý User, Group và

Organizational Unit (OU)

00:14:53

1.1 Các bước chuốn bị cài đặt

Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình.

Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập của mình vào trong DNS.


Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình.

Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập của mình vào trong DNS.


• Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là 192.168.1.1, DNS cũng là 192.168.1.1


• Chọn Start Server Manager Roles DNS Server

• Chuột phải tại mục Forward Lookup Zone chọn New zone


• Chọn Next tại cửa sổ kế tiếp và Chọn Primary Zone tại cửa sổ kế


Trong cửa sổ kế bạn có thể chọn một trong 3 tùy chọn sau:

1. To all DNS server in this forest: Áp dụng với tất cả DNS server trong foresr này

2. To all DNS server in this domain: Áp dụng với tất cả DNS server trong domain

3. To all domain controllers in this domain: Áp dụng tới tất cả các domain controller trong domain này

• Sau đó chọn Next để tiếp tục


• Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS. Công việc của bạn chưa kết thúc, bạn vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS.

• Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory, nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên Zone vừa tạo ra


• Chỉnh lại NS Record bằng cách tương tự.

• Tạo ra một Record để kiểm tra xem hệ thống DNS hoạt động đã chuẩn hay chưa. Ở đây tôi tạo ra một Host A record là Server01.fithou.net địa chỉ IP là 192.168.1.11.

• Chuột phải vào vnexperts.net Zone chọn Host A record


• Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn:

• Ping server01.fithou.net nếu có reply là thành công.

1.2 Cài đặt dịch vụ Active Directory Domain Services

• Vào Server Manager Roles Add Roles

• Nhấn Next để tiếp tục

• Tích vào Active Directory Domain Services và nhấn Next để tiếp tục trong bước tiếp

00:14:59


• Nhấn Next.Tại bảng Active Directory Domain Services giới thiệu cho bạn về dịch vụ này và một số lưu ý khi cài đặt trong phần Things to Note

• Chọn Next để tiếp tục.Tại bảng Confirm Installation Selections sẽ yêu cầu bạn xác nhận lần cuối trước khi cài đặt.Chọn Install

00:14:59


• Đợi cho đến khi hoàn tất quá trình cài đặt dịch vụ Active Directory Domain Services

00:14:59


• Đợi cho đến khi hoàn tất quá trình cài đặt dịch vụ Active Directory Domain Services Chọn Close để hoàn tất

00:14:59

1.3 Cài đặt domain đầu tiên (Domain chính)

• Vào Run gõ dcpromo và chọn OK

00:14:59


• Đợi trong vài giây để hệ thống kiểm tra đã cài đặt dịch vụ AD DS chưa. Tại bảng Welcome to the Active Directory Domain Services Installation Wizard chọn Next

• Tại bảng Operating System Compability sẽ cho bạn biết về tính tương thích của Windows Server 2008. Nhấn Next để tiếp tục

• Tại bảng Choose a Deployment Configuration chọn Create a new domain in a new forest để tạo một domain mới trên một forest mới và nhấn Next để tiếp tục

00:14:59


• Tại bảng Name the Forest Root Domain.Tại ô FQDN of the forest root domain gõ tên domain vào.Sau đó chọn Next và chờ vài giây để hệ thống kiểm tra tên domain đã sử dụng chưa (ví dụ: fithou.net).

00:14:59


• Tại bảng Set Forest Functional Level, nên chọn phiên bản Windows Server 2008 để tận dụng hết tính năng. Sau đó chọn Next để tiếp tục.

00:14:59


• Tại bảng Additional Domain Controller Options, hệ thống đã kiểm tra xem thử dịch vụ DNS Server đã có chưa, và tự động đánh dấu cài đặt DNS Server

00:14:59


• Tại bảng Directory Services Restore Mode Administrator Password, thiết lập password. Lưu ý, password này không phải là password của tài khoản Administrator trong domain và password phải theo kiểu complexity (gồm các kí tự a,A,@,1….). Ví dụ chọn password là pass@word1

00:14:59


• Chọn Next. Tại bảng Summary cho bạn biết thông tin mà bạn đã thiết lập ở trên. Nếu đã đúng và đầy đủ, chọn Next để thực hiện việc cài đặt

• Đợi hệ thống cài đặt xong chọn Finish để kết thúc quá trình cài đặt

• Bạn phải khởi động lại server để việc cài đặt có hiệu lực

00:14:59


• Kiểm tra hệ thống

00:14:59

1.4 Thêm một DC khác vào Domain

• Để máy chủ Domain Controller mới hoạt động với chức năng tương đương với máy chủ Domain Controller đầu tiên phải đáp ứng:

Cung cấp giải pháp tên miền DNS cho các máy Client

Cung cấp xác thực và các dữ liệu liên quan khác tới dữ liệu Active Directory.

00:14:59


• Máy chủ đầu tiên chứa toàn bộ dữ liệu DNS và các thiết lập khác trên DNS. Để máy chủ thứ hai này cũng có khả năng đáp ứng các yêu cầu DNS của Client chúng ta cần phải tạo một bản sao bao gồm dữ liệu DNS giống hệt máy chủ đầu tiên. Các bước thực hiện như sau:

• Bước 1: Cấu hình trên máy chủ dc1.fithou.net cho phép máy khác tạo Secondary Zone từ máy chủ này.

Chọn Start Server Manager Roles DNS ServerChuột phải tại mục Forward Lookup Zone Trong cửa sổ DNS chọn forward

lookup zone trong đó có Zone fithou.net đã tạo ra ở phần trước. Chuột phải vào tab Zone Tranfers.

Chọn Allow Zone Transfers có 3 options cho bạn lựa chọn:1. to any server: cho tất cả các máy tính đều lấy được dữ liệu DNS2. Chỉ cho phép máy chủ nào trong NS record (mặc định khi nâng cấp lên Domain

Controller)3. Chỉ cho phép các máy chủ dưới đây

Sau khi lựa chọn OK để hoàn tất

00:14:59


• Bước 3: Đặt địa chỉ IP• Đặt địa chỉ DNS là địa chỉ

DNS của máy chủ dc1.fithou.net – 192.168.1.11 và địa chỉ IP của chính nó là 192.168.1.12

• Quá trình cài đặt DC thực hiện theo các bước như với domain đầu tiên chỉ khác trong phần Domain Controller Type, bạn chọn: Additional domain controller for an existing domain

00:14:59

1.5 Thêm một domainChuẩn bị một máy tính cài Windows Server mới với tên dc3 có địa chỉ 192.168.100.13. và máy chủ dc3 sẽ là domain controller của domain: java.fithou.net

• tạo ra một Secondary Zone của DNS trên máy chủ dc3 mới và đặt địa chỉ IP và DNS trước khi cài đặt Active Directory.

• Đặt địa chỉ IP sao cho máy tính dc3 nhận biết được domain fithou.net

• Quá trình cài đặt tiếp theo tương tự như đối với Domain đầu tiên chỉ khác ở cửa sổ Create a new domain bạn bắt buộc phải chọn Child domain in an existing domain tree

• Và ở bước nhập tên Domain bạn nhập tên Parent domain là: fithou.net, và Child domain là: java, các bước tiếp theo thực hiện tương tự.

00:14:59

1.6 Hạ DC xuống client• Các bước thực hiện cụ thể như sau:• Vào Run ,gõ dcpromo• Tại bảng Welcome to Active Directory Domain Services

Installation Wizard chọn Next.• Tại bảng thông báo Global catalog server. Chọn OK.• Tải bảng Delete the Domain, chọn Delete the domain because

is the last domain controller in the domain.• Chọn Next. Tại bảng Confirm Deletion. Chọn Delete all

application directory partitions on this Active Directory domain controller.

• Chọn Next. Tại bảng Administrator Password. Nhập password cho tài khoản Administrator

• Chọn Next. Tại bảng Summary, xem lại thông tin thiết lập • Chọn Next và đợi cho tới khi hệ thống yêu cầu Restart để thay đổi có

hiệu lực.

00:14:59

1.7 Quản lý User, Group và Organizational Unit (OU)

00:14:59

Các bước tạo user được thể hiện chi tiết dưới đây:Mở Server Manager.Click Roles Active Directory Domain Services Active Directory Users and Computers.Sau đó click vào domain.

Nhấp chuột phải vào User và chọn New User


00:14:59

• Tại bảng New Object – User bạn điền đầy đủ các thông tin vào mục First name,Last name,Full name.

• • Lưu ý : tại mục User

logon name. Đây chính là tên tài khoản của bạn dùng để đăng nhập vào hệ domain. Vì thế phải nhớ chính xác, và phải đảm bảo tính duy nhất. Hoàn tất và chọn Next để tiếp tục.


00:14:59

• Tại bảng thiết lập password. Đây là mật khẩu của bạn ứng với tên tài khoản đã tạo ở trên, dùng để đăng nhập vào domain.

• Có 1 số tùy chọn đối với mật khẩu:• User must change password at next logon: Bắt buộc người

dùng phải thay đổi mật khẩu trong lần đăng nhập kế tiếp.• User cannot change password: Người dùng không được phép

thay đổi mật khẩu.• Passowrd never expires: Mật khẩu không bao giờ hết hạn.• Acount is disabled: Tài khoản cấm sử dụng.• Hoàn tất và chọn Next để tiếp tục.• Ở bảng tiếp theo là thông tin về user chuẩn bị được tạo. Chọn

Finish để hoàn tất.


00:14:59

• Tạo mới group• Nhấp chuột phải

vào User và chọn New Group

• Tại ô Group name gõ tên group.

• Có một số tùy chọn về phạm vi của nhóm và kiểu của nhóm, lựa chọn phù hợp và nhấn OK


00:14:59

• Tạo Organizational Unit (OU)

nhấp chuột phải vào tên domain, chọn New Organizational Unit

Gõ tên OU vào ô Name. Nếu bạn muốn cho phép thao tác xóa đươc thực hiện trên OU này thì bỏ chọn vào mục Protect container from accidental deletion


00:14:59

• Thực hiện các nhiệm vụ quản trị thông dụng(Performing common administrative tasks)

• Thiết lập thời gian để user được phép đăng nhập vào domain

• Theo mặc định, user được phép đăng nhập 24/24. Để thiết lập lại ta thực hiện các thao tác như sau:

• Nhấp chuột phải vào user vừa tạo và chọn Properties• chuyển qua tab Account và chọn Logon Hours• Chọn khoảng thời gian và click vào ô Logon Denied để chặn

thời gian truy cập của user, sau đó chọn OK để hoàn tất


00:14:59

• Hình dưới đây thể hiện cho thiết lập để user này chỉ truy cập được vào 8h sáng đến 19h vào các ngày thứ 2 cho đến thứ 7.


00:14:59

• Thiết lập user đăng nhập sử dụng máy tính • Vì lí do bảo mật, không phải user nào cũng được đăng nhập vào

các máy tính một cách tùy ý. Để thiết lập tính riêng tư và chỉ định máy tính nào user được phép sử dụng thực hiện theo các bước sau:

1. Nhấp chuột phải vào user vừa tạo và chọn Properties2. Vào tab Account, chọn Log On To3. Chọn The following computers4. Gõ tên máy tính mà user được phép đăng nhập5. Chọn Add.6. Nếu bạn muốn bỏ thì click vào tên máy tính và chọn Remove.7. Hoặc muốn sửa tên thì click vào tên máy tính và chọn Edit.8. Kết thúc chọn OK để xác nhận


00:14:59


00:14:59

• Thêm user vào group• Để thêm user vào group thực

hiện theo các bước sau:• nhấp chuột phải vào group

và chọn Properties• Tại tab Member, chọn Add• Tại ô Enter the object name

to select bạn gõ tên user muốn đưa vào group.Lưu ý tên user phải là tên bạn đã điền tại mục User logon name ở phần tạo user

• Sau khi gõ tên user bạn chọn Check Names để kiểm tra

• Nếu tên tồn tại xuất hiện hộp thoại sau và OK để hoàn tất


00:14:59

• Chọn user quản lý group• Thực hiện theo các bước

sau:• • nhấp chuột phải vào group

và chọn Properties• Chọn tab Managed By• Chọn nút change và gõ tên

vào ô name. Chọn OK để hoàn tất.


00:14:59

• Đưa group vào OU• Thực hiện theo các bước

sau:• Nhấp chuột phải vào tên

group và chọn Move• Chọn tên OU và OK để

hoàn tất• .


00:14:59

• Xóa user, group hoặc OU

• Thao tác rất đơn giản: nhấp chuột phải lên đối tượng và chọn Delete và chọn Yes

• .


00:14:59

• Ủy quyền(Delegation)• Một trong những tính

năng tố nhất của Active Directory Domain Services là khả năng ủy quyền. Người quản trị sẽ thiết lập cho một số user được phép thực hiện một số quền quản trị nào đó như: tạo mới hoặc xóa bỏ user, tạo hoặc xóa group, thiết lập lại mật khẩu cho user…

• Để thực hiện chức năng này làm theo các bước sau:

• Kích chuột phải vào tên domain chọn Delegation of Control Wizard và nhấn Next ở cửa sổ chào mừng


00:14:59

• Tại cửa sổ Delegation of Control Wizard chọn Add sau đó nhập tên user, group hoặc OU mà bạn muốn ủy quyền Nhấn Check name sau đó OK và chọn Next tại cửa sổ Delegation of Control Wizard để tiếp tục


00:14:59

• Trong hộp thoai tiếp theo bạn chọn các quền mà bạn muốn ủy quền cho các đối tượng đã chọn ở bước trước. Gồm có các quền sau:– Create, delete, and manage user accounts: Tạo, hủy và quản lý tài khoản– Reset user passwords and force password change at next logon: Thiết lập lại

mật khẩu và Chức năng thay đổi mật khẩu vào lần đăng nhập kế tiếp– Read all user information: Xem tất cả thông tin về user– Modify the membership of a group: Sửa đổi các thành viên trong một nhóm– Join a computer to a domain: Kết nối máy tính vào domain– Manage Group Policy links: Quản lý các liên kết Group Policy– Generate Resultant Set of Policy (Planning): Tạo các chính sách– Generate Resultant Set of Policy (Logging): Tạo các chín sách đăng nhập– Create, delete, and manage inetOrgPerson accounts: Tạo, hủy và quản lý tài

khoản inetOrgPerson– Reset inetOrgPerson passwords and force password change at next logon:

Thiết lập lại mật khẩu inetOrgPerson và thay đổi mật khẩu trong lần đăng nhập kế tiếp

– Read all inetOrgPerson information: Xem tất cả các thông tin về inetOrgPerson


00:14:59

• Sau khi đã chọn được các quền phù hợp chọn Next để tiếp tục


00:14:59

• Sau khi đã chọn được các quền phù hợp chọn Next để tiếp tục

Chọn Finish trong cửa sổ tiếp theo: Cho biết tên các đối tượng và các quyền được ủy quền.

2 Kết nối máy client vào Domain

00:14:59

• Sau khi đã triển khai thành công Active Directory Domain Services, tạo các user, group và OU. Lúc này, công việc tiếp theo là join các máy trạm (client) vào domain . Ở đây thực hiện môt tả việc kết nối máy chạy hệ điều hành Windows XP vào domain fithou.net

• Các bước cụ thể được thể hiện sau đây:• Trước tiên, thiết lập IP cho máy XP• Điền địa chỉ IP của client cùng lớp mạng

với IP của server. Ở trong trường hợp này sử dụng lớp C là 192.168.1.x .Tại mục Use the following DNS server addresses điền địa chỉ IP của DNS Server mà bạn đã thiết lập lúc cài đặt DC .Trong trường hợp này là 192.168.1.1

• Sau đó chọn OK.


00:14:59

• Nhấp chuột phải vào My Computer trên desktop và chọn Properties

• Trên tab Computer Name, chọn Change để tiếp tục


00:14:59

• Tại hộp thoại Computer Name Changes Nhập tên máy Đánh dấu vào domain trong Member of và nhập tên domain. Ở đây là fithou.net sau đó chọn OK để kết thúc


00:14:59

• Vì tính bảo mật, hệ thống sẽ yêu cầu bạn đăng nhập vào domain , đăng nhập với

• Username : Administrator


00:14:59

• Sau khi đăng nhập thành công xuất hiện thông báo sau. Nhấn OK để tiếp tục


00:14:59

• Tiếp theo hệ thống yêu cầu bạn phải khởi động lại máy để hoàn tất chọn OK


00:14:59

• Sau khi khởi động lại máy. Hệ thống yêu cầu đăng nhập bạn nhấn tổ hợp Alt + Ctrl + Delete để đăng nhập vào máy. Bạn chon logon to fithou.net để đăng nhập được vào domain

• • Có thể đăng nhập với bất kỳ tài

khoản nào khi thỏa mãn tài khoản đó được đăng nhập tại máy này và khoảng thời gian này


00:14:59

• Trong lần đăng nhập đầu tiên do chính sách được người quản trị thiết lập, bạn nhận được yêu cầu thay đổi mật khẩu

• Nhập mật khẩu và OK để hoàn tất việc đăng nhập


00:14:59

• Kiểm tra bên máy DC.• • Vào Server Manager Roles Active Directory Domain Services

Active Directory Users and Computers ict24h.net Computers . Đã thấy tên máy máy XP có tên MAY1 hiện diện trên domain

Question and answer

Thank you for listening

Documents

VIỆN ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ TIN HOC