Bài giảng Active directory - Chương 2: Chính sách nhóm và quản lý tài nguyên
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Active directory - Chương 2: Chính sách nhóm và quản lý tài nguyên", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Tài liệu đính kèm:
- bai_giang_active_directory_chuong_2_chinh_sach_nhom_va_quan.pdf
Nội dung text: Bài giảng Active directory - Chương 2: Chính sách nhóm và quản lý tài nguyên
- CHƯƠNG 2: CHÍNH SÁCH NHÓM VÀ QUẢN LÝ TÀI NGUYÊN MÔN: QUẢN TRỊ MẠNG
- CHỨC NĂNG – Thiết lập tập trung và phân quyền các chính sách – Đảm bảo môi trường làm việc cho người dùng – Điều khiển người dùng và máy tính – Áp dụng các chính sách bắt buộc
- Group Policy Thiết lập các chính sách trong Group Policy
- CÁC LOẠI THIẾT LẬP TRONG GP Các thiết lập Ý nghĩa Administrative Thiết lập các chính sách đăng ký cơ bản Templates Thiết lập các chính sách bảo mật mạng: Security cục bộ, domain Các sự thiết lập quản lý tập trung và cài Software Installation đặt phần mềm Các script cho shutdown, logoff, restart, Scripts startup Chứa các thiết lập cho việc lưu trữ các Folder redirection thư mục trên một server mạng
- Group Policy Containner .Được định vị trong Active Directory. Group Policy Object .Cung cấp thông tin về phiên bản được sử dụng trong Domain Controller. Group Policy Templates .Được định vị trong thư mục chia sẻ .Chứa đựng các thiết lập cho Group Policy Sysvol của Domain Controller. .Cung cấp các thiết lập chính sách .Nội dung được lưu trong hai vị trí nhóm cho máy tính chạy windows 2003. Các đối tượng trong chính sách nhóm
- Site GPO Domain GPO OU OU OU Domain OU GPO OU GPO site Các Containner trong Active Directory
- Ví dụ: win.vtt Phòng đào tạo
- • Yêu cầu: Để việc quản trị mạng và chia sẻ cũng như tìm kiếm dữ liệu trong công ty dễ dàng chúng ta tạo mô hình OU như trên hình minh họa Thiết kế một domain giả sử là win.vtt Giả sử công ty có hai phòng là : phòng kế toán và phòng đào tạo Tại hai mức này ta tạo Organization Units – Ous tương đương với phòng kế toán và đào tạo. Tại mỗi phòng sẽ có các bộ phận kế toán (Account) và bộ phận kinh doanh (Account) Chú ý: Nếu các cấp độ bộ phận còn nhiều nhân viên nữa thì ta cũng nên chia ra làm các OU bộ phận
- • Cách tạo OU Vào Start – Programs – Administrative Tool – Active Directory Users and Computers
- • Cách tạo OU Click phải chuột vào Domain win.vtt – New – Organization Unit (OU)
- • Tạo chính sách nhóm ở mức độ Domain Vào start – Programs – Administrative Tool – Active Directory Users and Computers Click phải chuột chọn Domain vtt chọn Properties Chọn tab Group Policy Chọn Edit xuất hiện màn hình sau
- Ta có thể ứng dụng để tạo một số chính sách nhóm sau: Thiết lập lại một số chính sách cho mật khẩu Ngoài ra còn có thể thiết lập một số quyền hệ thống khác
- • Tạo chính sách nhóm cho các tài khoản trong domain Vào start – Programs – Administrative Tool – Active Directory Users and Computers Click phải chuột chọn Domain Controler chọn Properties
- Đây là định danh chứa liên kết đến các đối Nút Edit chứa các liên kết đến Group Policy tượng chính sách nhóm Domain vtt Domain Controller Các chính sách nhóm
- Click chọn Edit để để mở Group Policy Object Editor
- Để thiết lập chính sách về password cho tất cả các users trong các Domain Controller phải đảm bảo tính phức tạp tức là password như: chữ hoa, chữ thường các ký tự đặc biệt và ký tự số ta làm như sau:
- Sau khi Click đôi vào mục Password must meet Complexity requirements Nhấp chọn vào mục Define this Policies Setting – Enable rồi nhấp OK để áp dụng
- Tìm hiểu về Assign Software Là quá trình gán ứng dụng đến người dùng trong domain. Người dùng sẽ nhận được ứng dụng trong lần đăng nhập kế tiếp vào domain. Khi người dùng muốn sử dụng phần mềm mà Server đã gán, họ chỉ việc kích hoạt phần mềm. Đây là tính năng chia sẻ thông tin rất tiện lợi mà hệ thống Client – Server cung cấp. Với một mạng máy tính lớn trong công ty, bạn không phải đi từng máy để cài đặt phần mềm mà chỉ cần gán trực tiếp các ứng dụng trên Server. Quá trình Assign Software chỉ làm việc với tập tin *.MSI
- Tìm hiểu về Assign Software Gán cho một người dùng Ứng dụng được cài đặt lần sau khi mà người dùng khởi động ứng dụng. Điểm phân phối phần Gán cho một máy tính mềm Ứng dụng được cài đặt lần sau khi mà máy tính khởi động nó. Mô hình gán phần mềm
- Lưu ý Gán cho một người dùng: Ứng dụng được gán cho một người dùng trong lần đăng nhập kế tiếp. Gán cho một máy tính: Máy tính được người dùng khởi động, người dùng sẽ kích hoạt ứng dụng được gán. Tất cả các ứng dụng được gán cho người dùng (User) và máy tính (Computer) chỉ phải kích hoạt một lần trong lần đăng nhập kế tiếp.
- Tìm hiểu về Publish Software Khi bạn sử dụng tính năng Publish Software, các ứng dụng không được xuất hiện trên Desktop, Start Menu, cũng như không được đăng ký trong Registry của máy tính. Ứng dụng được Publish sẽ xuất hiện trong các container của Active Directory. Nếu muốn sử dụng các ứng dụng được công bố (Publish) này bạn phải sử dụng đến Add/Remove Programs của máy tính.
- Tìm hiểu về Publish Software Add/Remove Programs ứng dụng được cài đặt khi người dùng từ Add/Remove Programs trong Control Panel Điểm phân phối phần mềm Document Activation ứng dụng được cài đặt khi người dùng double – clicks vào một loại tập tin chưa rõ Mô hình Publish Software
- Sử dụng Group Policy để triển khai MS Office 2003 Triển khai phần mềm là quá trình Assign và Publish được ứng dụng trên Server. Khi muốn sử dụng phần mềm nào, người dùng chỉ việc đăng nhập vào Workstation và kích hoạt nó.
- Quá trình Assign MS Office 2003 trên OU Phòng đào tạo Tạo một thư mục mới trên ổ đĩa C và đặt tên là Office 2003. Thư mục này sẽ chứa nội dung của đĩa CD Office 2003
- Quá trình Assign MS Office 2003 trên OU Phòng đào tạo Tại Server, vào Start – Programs – Administrative Tool – Active Directory Users and Computers, nhấp phải chuột vào vtt – Properties
- Quá trình Assign MS Office 2003 trên OU Phòng đào tạo Tạo một chính sách mới tên Office 2003 và nhấn Edit
- Quá trình Assign MS Office 2003 trên OU Phòng đào tạo Tạo một Package để triển khai ứng dụng
- Quá trình Assign MS Office 2003 trên OU Phòng đào tạo Chọn đường dẫn đến với ứng dụng muốn triển khai
- Quá trình Assign MS Office 2003 trên OU Phòng đào tạo Trong hộp Look In chọn thư mục chứa file .MSI sau đó nhấp nút Open hoặc tại hộp File name nhập đường dẫn sau: \\2k3\Office 2000\Pro11.MSI trong đó: 2k3 là tên Server Office 2003 là thư mục được chia sẻ Pro11.MSI là tập tin .MSI được chứa trong thư mục Office 2003 trên server 2k3
- Quá trình Assign MS Office 2003 trên OU Phòng đào tạo Sau khi nhấp nút open hộp thoại Deploy Software xuất hiện như sau:
- Quá trình Assign MS Office 2003 trên OU Phòng đào tạo Nhấp chọn Assign sau đó nhấp OK để đóng hộp thoại này. Hộp thoại cho thấy phần mềm đã được triển khai
- Quá trình Assign MS Office 2003 trên OU Phòng đào tạo Tiếp theo vào Start – Run – nhập Gpupdate /force – nhấp OK để cập nhật các thiết lập trong Group Policy.
- Quá trình Assign MS Office 2003 trên OU Phòng đào tạo Đăng nhập Client vào Domain Tiếp theo vào Start – All Programs – Office 2003 – Microsoft Office Word 2003 và cài đặt như cài Office trên máy cục bộ Thư mục này được tự động thêm vào sau khi Assign trong Deploy Software Nhấp chọn Microsoft Office Word 2003 tiến trình cài đặt bắt đầu giống như cài Office trên máy cục bộ.
- Publish MS Office 2003 trên Domain hcmc.vn Client1 khi chưa được Publish MS Office 2003 Chưa có phần mềm nào ở đây
- Publish MS Office 2003 trên Domain hcmc.vn Tiến trình thực hiện Publish Software như sau: Tại Server, vào Start Programs Administrative Tool Active Directory Users and Computers nhấp phải chuột vào hcmc.vn chọn Properties chọn thẻ Group Policy Nhấn New để tạo liên kết mới
- Publish MS Office 2003 trên Domain hcmc.vn Tiến trình thực hiện Publish Software như sau: Tiếp theo nhấp nút Edit để liên kết tới Group Policy Object Editor, chọn User Configuration – Software Settings – nhấp phải chuột vào Software Installation – New – Package. Tại mục Look In chọn My Network Places. Nhấp đúp Entire Network
- Publish MS Office 2003 trên Domain hcmc.vn Tiến trình thực hiện Publish Software như sau: Nhấp đúp vào Microsoft Windows Network
- Publish MS Office 2003 trên Domain hcmc.vn Tiến trình thực hiện Publish Software như sau: Nhấp đúp vào Domain Hcmc
- Publish MS Office 2003 trên Domain hcmc.vn Tiến trình thực hiện Publish Software như sau: Tìm đến thư mục Share tập tin PRO11.MSI Nhấp chọn tập tin PRO11.MSI Tiếp theo nhấp Open
- Publish MS Office 2003 trên Domain hcmc.vn Tiến trình thực hiện Publish Software như sau: Chọn Published nhấn OK
- Publish MS Office 2003 trên Domain hcmc.vn Tiến trình thực hiện Publish Software như sau: Vào Start – Run và trong hộp Open gõ lệnh sau: gpupdate /force và nhấp OK để cập nhật sự thay đổi trong Group Policy Object Editor. Màn hình cho thấy Microsoft Office 2003 đã được Published
- Publish MS Office 2003 trên Domain hcmc.vn Tiến trình thực hiện Publish Software như sau: Đăng nhập vào Client Để triển khai phần mềm trên máy Client ta làm như sau: Vào Start – Settings – Control Panel – Add/Remove Programs, nhấp nút Add New Programs sau đó nhấp vào phần mềm muốn cài và nhấp nút Add. Nhấp chọn phần mềm muốn cài đặt Nhấp nút Add để cài đặt về máy Client
- 1. TẠO CÁC TẬP TIN ZAP 1.1 Nguyên lý hoạt động của tập tin zap Tập tin .zap này chỉ sử dụng khi các ứng dụng không cung cấp tập tin .MSI Chỉ sử dụng để Publish, không sử dụng để Assign. Publish chỉ cung cấp cho user không sử dụngcho computer. 1.2 Mã nguồn trong tập tin .Zap Giả sử muốn Publish Winrar cho người dùng trong OU Phòng kế toán ta sử dụng đoạn mã sau: [Application] FriendlyName=Winrar3.71 SetupCommand=\\2K3\Winrar\Winrar371.exe displayVersion=9.0 publisher=Winrar Company, Inc
- 1.3 Nguyên lý hoạt động của tập tin zap Các bước thực hiện Tạo thư mục Winrar có chứa tập tin Winrar.exe trong ổ đĩa C. Shared thư mục Winrar Dungf Notepad soạn thảo tập tin với nội dung như sau: [Application] FriendlyName=Winrar3.71 SetupCommand=\\2K3\Winrar\Wrar371.exe DisplayVersion=3.71 Publisher=Winrar Company, Inc Sau đó lưu nội dung tập tin này với tên là Winrar.zap và lưu vào thư mục Winrar Trong đó: FriendlyName=Winrar3.71 là tên hiển thị của phần mềm Setupcommand=\\2K3\Winrar\Wrar371.exe: 2K3 là tên Server, Winrar là thư mục chia sẻ có chứa tập tin Wrar371.exe. DisplayVersion=3.71 là số phiên bản. Publisher=Winrar Company, Inc là tên công ty.
- 1.4 Publish các ứng dụng sử dụng tập tin .zap Tại Server mở công cụ Active Directory Users and Computers, nhấp phải chuột lên OU Phòng kế toán chọn Properties rồi nhấp thẻ Group Policy.
- 1.4 Publish các ứng dụng sử dụng tập tin .zap Nhấp nút New để tạo liên kết mới đặt tên là Zap App
- 1.4 Publish các ứng dụng sử dụng tập tin .zap Sau đó nhấp nút Edit để mở Group Policy Object Editor. Tại cây bên trái chọn User ConFiguration – Software Settings, nhấp phải chuột vào Software Installation – New – Package.
- 1.4 Publish các ứng dụng sử dụng tập tin .zap Lưu ý: Phải chọn ở mục File of type là ZAW Down – level application packages (*.zap)
- 1.4 Publish các ứng dụng sử dụng tập tin .zap Trong hộp thoại Open ở mục Look in trỏ tới nơi chứa tập tin Winrar.zap hoặc ở mục File name gõ đường dẫn sau: \\2K3\Winrar\Winrar371.zap. Tại mục File oF type chọn ZAW Down –level application packages (*.zap). Sau đó nhấp Open làm xuất hiện hộp thoại Deploy Software
- 1.4 Publish các ứng dụng sử dụng tập tin .zap Trên hộp thoại Deploy Software nhấp chọn Published rồi nhấp OK để áp dụng và đóng hộp thoại Deploy Software trở về hộp thoại Group Policy Objecy Editor như trong hình.
- 1.4 Publish các ứng dụng sử dụng tập tin .zap Để kiểm tra hiệu lực của Group Policy sau khi thiết lập ta làm như sau: Đăng nhập vào Domain từ máy Client với User thuộc OU Phòng kế toán ví dụ là U1.
- 1.4 Publish các ứng dụng sử dụng tập tin .zap Sau đó tại máy Client mở Control Panel – Add Or Remove Programs – Add New Programs Đây là phần mềm đã được Publish
- 1.4 Publish các ứng dụng sử dụng tập tin .zap Để cài đặt phần mềm này chúng ta chỉ cần nhấp nút Add và tiến hành cài đặt bình thường. Chúng ta chỉ triển khai phần mềm Winrar trên OU Phòng kế toán do vậy OU Phòng kinh doanh sẽ không có Winrar3.71 trong Add New Programs của các máy tính thuộc người dùng của OU Phòng kinh doanh. Chúng ta kiểm tra xem có đúng không. Đăng nhập từ máy Client vào Domain bằng tài khoản u2 thuộc OU Phòng kinh doanh
- 1.4 Publish các ứng dụng sử dụng tập tin .zap
- 1.4 Publish các ứng dụng sử dụng tập tin .zap Nhấp chọn nút Add New Programs Nhận thấy không có phần mềm nào được Publish ở đây
- 1.5 Phân loại ứng dụng Server là nơi lưu trữ và chia sẻ các ứng dụng trong mạng Công ty. Trong môi trường làm việc đa ngành và kể cả không đa ngành thì trong Công ty cũng có các dữ liệu khác nhau tương ứng với các bộ phận và phòng ban khác nhau. Vì vậy, trên Server chúng ta phải tạo ra các danh mục phân loại khác nhau để tiện cho việc truy xuất và quản lý. a. Tạo danh sách các Categories Tại Server mở công cụ Active Directory Users and Computers, nhấp phải chuột vào Domain hcmc.vn chọn Properties nhấp chọn thẻ Group Policy.
- a. Tạo danh sách các Categories
- a. Tạo danh sách các Categories Tạo một Categories Policy
- a. Tạo danh sách các Categories Nhấp nút Edit, tiếp theo chọn User Configuration – Software Settings
- a. Tạo danh sách các Categories Nhấp phải chuột vào Software installation chọn Properties sau đó nhấp chọn thẻ Categories.
- a. Tạo danh sách các Categories Categories là nơi lưu trữ các danh mục khác nhau, ứng với mỗi danh mục sẽ chữa các tiện ích cũng như các loại dữ liệu khác nhau.
- b. Add dữ liệu vào Categories Giả sử chúng ta đã tạo ra tập tin .zap và theo mặc định tập tin này chứa trong mục All Categories. Chúng ta muốn tập tin này chứa trong mục Tool của danh mục mà ta vừa tạo. Các bước thực hiện như sau: Tại Server mở Active Directory Users and Computers – hcmc.vn. Nhấp phải chuột vào OU Phong kế toán – Properties tiếp theo chọn thẻ Group Policy
- b. Add dữ liệu vào Categories Nhấp chọn Zap App, sau đó nhấp nút Edit để mở liên kết đến Group Policy Object Editor
- b. Add dữ liệu vào Categories Tại cửa sổ Group Policy Object Editor, chọn User Configuration – Software installation sau đó nhấp phải chuột vào Winrar3.71 chọn Properties.
- b. Add dữ liệu vào Categories Hộp thoại Winrar 3.71 xuất hiện, chọn thẻ Categories. Tại danh mục Available categories nhấp chọn mục Tool sau đó nhấp nút selected để chuyển Tool sang danh mục Selected Categories, tiếp theo nhấp nút Apply để áp dụng và nhấp OK để đóng hộp thoại.
- b. Add dữ liệu vào Categories Đóng tất cả các hộp thoại. Tại Server, vào Start – Run – nhập dòng lệnh gpupdate /force để cập nhật các chính sách vừa thiết lập. . Đăng nhập vào máy Client bằng tài khoản u1 là tài khoản thuộc OU Phòng kế toán. Tại máy Client mở Control Panel – Add or Remove Programs – Add New Programs để xem kết quả
- b. Add dữ liệu vào Categories
- Cấu hình hệ thống tập tin Cấu hình đĩa lưu trữ Sử dụng chương trình Disk Manager Quản lý việc nén dữ liệu Thiết lập hạn ngạch đĩa Mã hóa dữ liệu
- Các loại File System: Khả năng FAT16 FAT32 NTFS 95,98,XP,NT, Hổ trợ Hầu hết NT,2000,2003,XP 2000, 2003 256/Windows Hổ trợ tên file dài 256 ký tự 256 ký tự 8.3/Dos N Sử dụng hiệu quả Không Có Có đĩa Nén đĩa Không Không Có Hạn nghạch Không Không Có Mã hoá Không Không Có Bảo mật cục bộ Không Không Có Bảo mật trên mạng Có Có Có Kích thước tối đa 4 GB 32 GB 1024 GB
- Chuyển đổi File System từ FAT16, FAT 32 sang NTFS CCúú phpháápp :: convertconvert␣␣[[ổổ đđĩĩa]:a]:␣␣/fs:ntfs/fs:ntfs Lưu ý: Lệnh Convert chỉ tác dụng 1 lần. Khi muốn đổi lại từ NTFS sang FAT32 phải dùng lệnh Format.
- Windows Server 2003 hỗ trợ 2 loại đĩa lưu trữ : Basic và Dynamic, còn gọi là hệ thống lưu trữ căn bản và hệ thống lưu trữ động. a. Basic Disk – Bao gồm Primary Partition và Extended Partition – Mỗi ổ đĩa vật lý cho phép tạo tối đa 4 Partition – Ta có thể tạo 3 Primary Partition và 1 Extended Partition.
- b. Dynamic Disk – Đĩa lưu trữ Dynamic được chia thành các Dynamic Volume. – Dynamic có những đặc tính mà Base disk không có là khả năng tạo một Dynamic Volume trên nhiều ổ đĩa vật lý và khả năng dung lỗi (fault tolerant), – Windows server 2000, 2003 hỗ trợ 5 loại Dynamic Volume: Simple, Spanned, Striped, mirrored, RAID 5
- Simple Volume: là loại Volume đơn giản, chỉ chiếm chỗ trên một ổ đĩa Dynamic duy nhất. Không gian này có thể liên tục hoặc không liên tục
- Spanned Volume Gồm một hoặc nhiều đĩa Dynamic (tối đa có 32 đĩa). Dùng để sử dụng để tăng kích thước Volume. Dữ liệu ghi trên Spanned Volume theo thứ tự, hết đĩa này đến đĩa khác Ghi chú: Nếu mở rộng Simple Volume sang một đĩa vật lý khác thì nó trở thành Spanned Volume.
- Mirrored Volume (RAID-1) • Dùng 2 Dynamic disk: 1 chính và 1 phụ • Dữ liệu được ghi trên đĩa chính cũng được ghi lên đĩa phụ (bản sao). • Mirrored Volume có khả năng dung lỗi tốt. • Dữ liệu được ghi tuần tự trên đĩa chính, đĩa phụ nên làm giảm hiệu suất hoạt động.
- RAID-5 • RAID: Redundant Arrays of Inexpensive Disk • Sử dụng ít nhất 3 Dynamic disk (tối đa là 32) • Sử dụng thêm một dải (Striped) để ghi thông tin Parity dùng để phục hồi dữ liệu bị hỏng. • RAID-5: tăng khả năng dung lỗi và tăng hiệu suất hoạt động.
- • Right click chuột lên ổ đĩa vật lý muốn xem thuộc tính • Hộp thoại cung cấp thông tin: – Số thứ tự vật lý – Loại đĩa – Trạng thái – Dung lượng – .
- • Right click chuột lên ổ đĩa logic muốn xem thuộc tính, chọn Properties • Tab General hiển thị thông tin về: – Nhãn, hệ thống tập tin, dung lượng sử dụng, dụng lượng trống, – Nút Disk Cleanup dùng để xóa các tập tin không cần thiết, giải phóng không gian đĩa.
- • Windows server 2003 hỗ trợ cơ chế nén dữ liệu tự động và trong suốt • Chỉ có thể sử dụng trên NTFS
- • Disk Quota dùng để chỉ định lượng không gian lưu trữ tối đa của người dùng • Chỉ có thể sử dụng trên NTFS • Lượng không gian chiếm dụng được tính theo các tập tin và thư mục do người dùng sở hữu và tính toán dựa trên kích thước thật của tập tin (thư mục) • Không gian còn trống là được tính toán dựa vào hạn ngạch của người dùng
- • Dùng để mã hóa dữ liệu trên các Patition • Sử dụng trên phân vùng NTFS