Bài giảng Active directory - Chương 1: Mô hình mạng

pdf 52 trang hapham 4580
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Active directory - Chương 1: Mô hình mạng", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_active_directory.pdf

Nội dung text: Bài giảng Active directory - Chương 1: Mô hình mạng

  1. ACTIVE DIRECTORY CHƯƠNG 1
  2. CÁC MÔ HÌNH MẠNG MÔ HÌNH MẠNG
  3. 1. MÔ HÌNH WORKGROUP  Còn gọi là mô hình Peer-to-Peer các máy trong mạng có vai trò như nhau  Dữ liệu tài nguyên được lưu trữ phân tán tại các máy cục bộ và các máy tự quản lý tài nguyên của mình
  4. 1. MÔ HÌNH WORKGROUP  Hệ thống mạng không có máy chuyên dụng để quản lý và cung cấp dịch vụ  Phù hợp mạng nhỏ, bảo mật không cao  Các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng  Lưu trữ thông tin người dùng trong tập tin SAM (Security Accounts Manager) ngay trên máy tính cục bộ  Việc chứng thực tài khoản người dụng cũng do máy cục bộ đảm nhiệm
  5. 1. MÔ HÌNH DOMAIN  Hoạt động theo cơ chế Client-Server  Trong hệ thống mạng phải có ít nhất 1 máy tính làm chức năng điều khiển vùng (Domain Controler), điều khiển toàn bộ hoạt động của hệ thống mạng
  6. 1. MÔ HÌNH DOMAIN  Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền  Mô hình này ứng dụng trong các công ty vừa và lớn
  7. 1. MÔ HÌNH DOMAIN  Các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên Domain Controler với tên file là NTDS.DIT, có thể lưu trữ thông tin của hàng triệu người dùng  Việc đăng nhập vào mạng cũng tập trung lại và do Domain Controler chứng thực
  8. CCáácc bưbướớcc chchứứngng ththựựcc khikhi ngưngườờii ddùùngng đăngđăng nhnhậậpp AD 4 6 5 ? 2 3 Client Domain Controler 1 User
  9. 3. ACTIVE DIRECTORY a. Giới thiệu  Về căn bản Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng và các thông tin liên quan đến đối tượng đó.
  10. 3. ACTIVE DIRECTORY a. Giới thiệu  Để có thể quản lý được 1 hệ thống mạng lớn, ta thường phải phân chia nó thành nhiều Domain rồi thiết lập các mối quan hệ uỷ quyền thích hợp. AD giải quyết được các vấn đề như vậy và cung cấp một mức độ ứng dụng mới cho môi trường.
  11. 3. ACTIVE DIRECTORY a. Giới thiệu  Lúc này dịch vụ thư mục trong mỗi domain có thể lưu trữ hơn 10 triệu đối tượng, đủ để phục vụ hơn 10 triệu người dùng trong mỗi domain.
  12. 3. ACTIVE DIRECTORY b. Chức năng  Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính  Cung cấp 1 Server đóng vai trò chứng thực (authentication server) hoặc server quản lý đăng nhập (logon server), Server này còn được gọi là Domain Controler (máy điều khiển vùng).  Duy trì 1 bảng hướng dẫn hay 1 bảng chỉ mục (Index) giúp các máy tính trong mạng dò tìm nhanh 1 tài nguyên nào đó trên các máy tính khác trong vùng.
  13. 3. ACTIVE DIRECTORY b. Chức năng  Cho phép tạo những tài khoản người dùng với những mức độ quyền (right) khác nhau.  Cho phép ta chia nhỏ miền của mình ra thành nhiều miền con (Subdomain) hay các đơn vị tổ chức OU (Organizational Unit) rồi uỷ quyền cho các quản trị viên bộ phận quản lý
  14. 3. ACTIVE DIRECTORY c. Directory Service  Directory Service (dịch vụ danh bạ) là hệ thống thông tin chứa trong NTDS.DIT, các chương trình quản lý khai thác tập tin này Active Directory Benefits DNS integration Scalability Centralized management Delegated administrationadministration
  15. c. Directory Service  Object (đối tượng) : Trong h.thống CSDL, đối tượng bao gồm các máy in, người dùng, các Server, các máy trạm, thư mục dùng chung, dịch vụ mạng đối tượng là thành tố căn bản nhất của dịch vụ danh bạ.  Attribute (thuộc tính) : Dùng để mô tả một đối tượng. Ví dụ: mật khẩu và tên là thuộc tính của người dùng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, nhưng cũng có thể có một vài thuộc tính giống nhau. (vd: cùng có 1 đc IP).  Schema (cấu trúc tổ chức) : một Schema định nghĩa các danh sách thuộc tính dùng mô tả 1 loại đối tượng nào đó. Schema có thể tuỳ biến sửa đổi được.
  16. c. Directory Service  Container (vật chứa): tương tự với khái niệm thư mục trong Windows. Một vật chứa có thể chứa các đối tượng và vật chứa khác. Nó cũng có thuộc tính như các đối tượng. Có 3 loại :  Domain: Sẽ trình bày ở phần sau.  Site : một Site là 1 vị trí, dùng phân biệt giữa vị trí cục bộ và vị trí ở xa.  OU (Organizational Unit) : là loại vật chứa mà bạn có thể đưa vào đó người dùng, nhóm, máy tính, máy in và những OU khác Một OU không thể chứa các đối tượng trong Domain khác  Global Catalog : Dùng để xác định vị trí của đối tượng mà người dùng được cấp quyền truy cập. Việc tìm kiếm được thực hiện bằng tên và cả bằng thuộc tính
  17. 4. DOMAIN  Domain là đơn vị chức năng cốt lõi của cấu trúc Active Directory. Nó là một tập hợp những người dùng, máy tính tài nguyên chia sẻ có những quy tắc bảo mật giống nhau, giúp cho việc truy cập vào Server dể dàng hơn.  Domain đáp ứng 3 chức năng chính sau: 1. Đóng vai trò như 1 khu vực quản trị các đối tượng có chung một cơ sở dữ liệu, thư mục dùng chung, các chính sách bảo mật, các quan hệ uỷ quyền với các domain khác
  18. 2. Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ Domain controler 3. Cung cấp các Server dự phòng làm chức năng điều khiển vùng Đồng thời đảm bảo dữ liệu trên các Server này đồng bộ với nhau Domain controler Domain controler
  19. Domain Tree vttu.edu.vn Domain con Library.vttu.edu.vn Lms.vttu.edu.vn  Bao gồm nhiều domain được sắp xếp theo cấu trúc hình cây. Domain tạo ra đầu tiên gọi là Domain Root và nằm ở gốc của cây thư mục, các domain tạo ra sau sẽ nằm bên dưới và được gọi là domain con (Child domain)  Tên các domain phải khác biệt nhau
  20. Kiến trúc AD Domain Tree Domain Domain Domain Domain Domain Domain Ofject OU OU OU Domain Organizational Unit Forest
  21. Forest vttu.edu.vn cntt.vttu.edu.vn cb.vttu.edu.vn kt.vttu.edu.vn yd.vttu.edu.vn xhnv.cb.vttu.edu.vn dv.kt.vttu.edu.vn tm.kt.vttu.edu.vn cnpm.cntt.vttu.edu.vn ttyd.yd.vttu.edu.vn qtm.cnpm.cntt.vttu.edu.vn ht.cnpm.cntt.vttu.edu.vn tty.ttyd.vttu.edu.vn ttd.ttyd.vttu.edu.vt  Forest (rừng) được xây dựng trên 1 hoặc nhiều Domain Tree, là tập hợp các Domain Tree có thiết lập mối quan hệ và uỷ quyền cho nhau.
  22. CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY
  23.  Theo mặc định các máy Windows Server khi mới cài đặt đều là Server độc lập (Standalone Server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp một Server độc lập lên thành một Domain Controler (DC) và ngược lại giáng cấp 1 DC thành 1 Server bình thường  Đối với Win2k3 thì ta có thể đổi tên Server khi đã nâng cấp lên DC  Phải khai báo đầy đủ thông số TCP/IP trước khi nâng cấp, đặc biệt là phải khai báo DNS Server có địa chỉ là chính đc IP của server đang nâng cấp  Nên cài dv DNS trước khi nâng cấp thành DC,còn không thì chọn cài DNS tự động trong quá trình nâng cấp
  24.  Từ menu Start Run, nhập dcpromo nhấn OK  Hộp thoại Active Directory Installation Wizard xuất hiện, nhấn Next để tiếp tục.
  25.  Chương trình xuất hiện hộp cảnh báo : DOS, Windows 95 và WinNT SP3 trở về trước sẽ bị loại ra khỏi miền AD. Chọn Next để tiếp tục
  26.  Để tạo 1 miền mới ta để mặc định, nhấn Next
  27.  Tại đây ta có 3 lựa chọn Domain đầu tiên trong 1 rừng mới Domain con trong 1 domain có sẳn Một Domain Tree trong một rừng đã có sẵn
  28.  Nhập tên DNS đầy đủ của domain ta cần xây dựng
  29.  Nhập tên domain theo chuẩn NetBIOS để tương thích với các máy WinNT, thường thì ta nên để mặc định. Nhấn Next
  30.  Chỉ vị trí lưu trữ database AD và các tập tin log, để mặc định hoặc chỉ vị trí khác tuỳ ta
  31.  Chỉ định vị trí của thư mục SYSVOL. Thư mục này phải nằm trên partition NTFS Các dữ liệu đặt trong thư mục này sẽ được tự động sao chép sang các domain khác trong miền Nhấn Next để tiếp tục
  32.  Nếu dv DNS chưa được cài đặt, ta sẽ lựa chọn lựa chọn thứ 2 để hệ thống tự động cài dv DNS
  33.  Nếu trên hệ thống có các Server thuộc phiên bản trước Server 2000 Nếu hệ thống chỉ toàn Server 2000 và 2003
  34.  Nhập mật khẩu dùng trong trường hợp Server phải khởi động vào chế độ Directory Services Restore Mode. Nhấn Next
  35.  Hộp thoại tóm tắt xuất hiện, hiển thị tất cả các thông tin ta đã chọn. Nếu đúng nhấn Next để tiến hành cài đặt
  36.  Hộp thoại Configuring Active Directory cho thấy quá trình cài đặt đang thực hiện những gì, có thể chiếm nhiều thời gian và có thể bạn phải chỉ nguồn cài đặt nếu chương trình không tìm thấy
  37.  Hộp thoại Completing the Active Diretory Installation Wizard xuất hiện, nhấn Finish để kết thúc
  38. Ta phải khởi động lại máy thì các thông tin cài đặt mới bắt đầu có hiệu lực
  39.  TTạạoo mmộộtt mmốốii quanquan hhệệ tintin ccậậyy (Trust(Trust relationship)relationship) gigiữữaa mmááyy trtrạạmm vvàà domaindomain trongtrong vvùùngng  ViViệệcc logonlogon vvààoo mmạạngng trêntrên mmááyy trtrạạmm nnààyy ssẽẽ dodo DomainDomain ControlerControler đđảảmm nhinhiệệmm  ViViệệcc giagia nhnhậậpp mimiềềnn phphảảii ccóó ssựự đđồồngng ýý ccủủaa AdminAdmin ccấấpp mimiềềnn vvàà AdminAdmin ccụụcc bbộộ trêntrên mmááyy trtrạạmm đđóó  ThưThườờngng ththìì tata ddùùngng luônluôn ttààii khokhoảảnn AdministratorAdministrator đđểể giagia nhnhậậpp vvààoo domain.domain.
  40.  Đăng nhập vào máy cục bộ với tài khoản quản trị (có thể dùng trực tiếp tài khoản Administrator).  Right click trên biểu tượng My Computer Properties Trong Tab Computer Name click vào nút Change
  41.  HHộộpp thothoạạii nhnhậậpp liliệệuu xuxuấấtt hihiệệnn,, nhnhậậpp têntên mimiềềnn ccủủaa mmạạngng ccầầnn giagia nhnhậậpp vvààoo mmụụcc MemberMember ofof DomainDomain
  42. Máy trạm dựa vào tên miền ta khai báo tìm đến Domain Controler gần nhất để xin gia nhập mạng. Server kết nối sẽ gởi đến yêu cầu ta phải xác thực bằng một tài khoản người dùng cấp miền có quyền quản trị
  43. Sau khi xác thực thành công và hệ thống cho phép máy trạm này gia nhập vào miền, hệ thống sẽ xuất hiện thông báo thành công và yêu cầu reboot máy lại để đăng nhập vào mạng  Khi này hộp thoại logon xuất hiện thêm mục logon to cho ta 2 lựa chọn •NETCLASS : logon vào miền. •This computer : logon vào máy cục bộ
  44. CÁC THÀNH PHẦN TRONG ACTIVE DIRECTORY  Trong các công cụ quản trị hệ thống AD thì công cụ AD User and Computer là quan trọng nhất. Chúng ta sẽ gặp rất nhiều trong lúc làm việc
  45. CÁC THÀNH PHẦN TRONG ACTIVE DIRECTORY Builtin: chứa các nhóm người dùng đã được tạo và định nghĩa quyền sẵn Computers: chứa các máy trạm mặc định đang là thành viên của miền. Domain controlers: chứa các DC đang hoạt động trong miền Users: chứa các tài khỏan người dùng mặc định trên miền
  46. OU là một nhóm người dùng, máy tính và tài nguyên mạng được tạo ra nhằm mục đích dễ dàng quản lý hơn, và để ủy quyền cho các quản trị viên địa phương giải quyết các công việc đơn giản Đặc biệt là thông qua OU chúng ta có thể áp đặt các giới hạn phần mềm và phần cứng thông qua các Group Policy
  47.  HHộộpp thothoạạii nhnhậậpp liliệệuu xuxuấấtt hihiệệnn,, tata nhnhậậpp têntên OUOU ccầầnn ttạạoo vvààoo ôô NameName
  48.  ĐưaĐưa ccáácc mmááyy trtrạạmm mmàà tata mumuốốnn chocho thamtham giagia vvààoo OUOU nnààyy vvààoo
  49.  TiTiếếpp theotheo đưađưa ccáácc ttààii khokhoảảnn ngưngườờii ddùùngng ccầầnn ququảảnn lýlý vvààoo OU.OU.
  50.  BâyBây gigiờờ tata ssẽẽ ủủyy quyquyềềnn chocho ngưngườờii nnààoo hohoặặcc nhnhóómm nnààoo ququảảnn lýlý OUOU nnààyy Right click vào OU vừa tạo, chọn Properties, hộp thoại xuất hiện. Trong Tab Manager By click vào nút Change để chọn người dùng quản lý OU này.
  51.  Thiết lập các Group Policy áp dụng cho OU này, chúng ta sẽ tìm hiểu chi tiết ở bài sau  Trong tab Group Policy, click vào nút New để tạo mới 1 GPO, rồi click vào nút Edit để hiệu chỉnh chính sách
  52. Bài tập thực hành nhóm  Mỗi nhóm cài đặt 1 windows server 2003 sau đó nâng cấp lên thành máy Domain Controler  Tên máy: win  Tên Domain: cntt.vttu  IP: 192.168.1.7 / subnet mask 255.255.255.0  Default gateway: 192.168.1.1  DNS: 192.168.1.2  Sau khi nâng cấp xong tao 1 OU với 2 user để có thể đăng nhập từ máy trạm  Cài 1 windows xp làm máy client  Tên máy: cntt-k2  IP: 192.168.1.17 /SM: 255.255.255.0  Join vào domain của máy server vừa tạo  Login vào miên bằng tài khoản trên máy chủ