Active Directory.doc

Active Directory Mạng máy tính

`TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

-------&&&-------

ĐỀ TÀI:

Giáo viên hướng dẫn: Nguyễn Mạnh Hùng

Sinh viên: Nguyễn Thị Thu Huyền

Lớp: A K54

Khoa: Công nghệ thông tin

Trường Đại học Sư phạm Hà Nội.

Hà Nội 4/2008

MỤC LỤC

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 1

Active Directory Mạng máy tính

Phần 1. Tổng quan Active Directory

1. Giới thiệu.

2. Những Thành Phần Chính Của Hệ Thống Active Directory

3. Schema Master

3.1 Domain Naming Master

3.2 Relative Identifier (Bộ nhận dạng quan hệ)

3.3 Primary Domain Controller Emulator

3.4 Infrastructure Master

4. Cấu trúc

5. Tên.

5.1 Các nguyên tắc đặt tên cơ bản

5.2 Các tên phân biệt

5.3 Các kí tự đặc biệt trong tên

6. Directory Users và Computers console

7. Tạo một tài khoản người dùng (User Account)

8. Chỉnh sửa và bổ sung các thuộc tính của tài khoản

9. Xác lập lại mật khẩu người dùng

10. Tạo các nhóm

11. Các nhóm bảo mật.

11.1 Local Group

11.2 Domain Local Groups

11.3 Global Groups

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 2

Active Directory Mạng máy tính

Phần 2: Cài đặt một máy chủ Domain Controller cho một

Domain

1. Cài đặt Active Directory trên Windows Server 2003

1.1 Cài đặt và cấu hình DNS

a. Đặt địa chỉ IP cho máy chủ - Static IP và DNS vào DNS của chính máy mình.

b. Cài đặt và cấu hình DNS

1.2 Cài đặt Active Directory trên máy chủ Windows Server 2003

2. Backup & Restore

2.1 Công nghệ NTBACKUP trong Windows Server 2003.

2.2 Backup và Restore Active Directory trong máy chủ Domain Controllers.

a. Lý thuyết

b. Triển khai.

3. Addtional New DC

3.1 Replication dữ liệu trong Active Directory.

3.2 Triển khai Additions Domain Controller mới vào hệ thống có sẵn.

a. DNS trên máy chủ Domain Controller mới.

b. Cài đặt Additions Domain Controller vào một domain đã có sẵn

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 3

Active Directory Mạng máy tính

4. Child Domain

5. Forest

6. Rename DC

7. DC vài trò Master

7.1 View Master Role

7.2. Thay đổi Master khi các Domain Controllers đều đang hoạt động tốt.

a. Nâng Domain Master Role

b. Nâng Forest Master Role

7.3 Tình huống khi Master Role bị hỏng.

Kết luận

TÀI LIỆU THAM KHẢO:

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 4

Active Directory Mạng máy tính

Phần 1. Tổng quan Active Directory.

1. Giới thiệu.

Khi Windows 2000 được phát hành, Microsoft tích hợp một thành phần là Active

Directory. Khi máy chủ Windows sử dụng Windows 2000 Server, Windows Server

2003 hay Longhorn Server, công việc của domain controller (bộ điều khiển miền) là

chạy dịch vụ Active Directory.

Active Directory chính là trái tim của Windows Server 2003 , hầu như tất cả mọi

hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active

Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống

Active Directory dùng để lưu trữ dữ liệu của domain như các đối tượng user, computer,

group … cung cấp những dịch vụ (directory services) tìm kiếm, kiểm soát truy cập, ủy

quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ

trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi

đăng nhập vào domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của

hệ thống vói những quyền hạn hợp lệ.

Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công

việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể

thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có

thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra

các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để

phân chia khả năng quản lý trong một môi trường rộng lớn.

2. Những Thành Phần Chính Của Hệ Thống Active Directory

User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số tài

khoản built-in được tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ thống,

backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ

thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này. Tuy nhiên để

các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào

domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 5

Active Directory Mạng máy tính

dụng. Các user sẽ dùng những tài khoản được cấp bởi administrator để log-in và

domain. Và truy cập dữ liệu trên file server hay các dịch vụ khác..

Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ các

nhân viên của một phòng ban sale có quyền truy cập lên folder sales trên file server

hoặc chúng ta muốn các nhân viên của công ty đều có quyền in đối với laser printer,

chúng ta nên tạo group printing và gán quyền in trên laser printer sau đó add tất cả các

nhân viên của công ty vào group printing này thay vì gán quyền in cho từng user riêng

lẽ sẽ không hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thao

tác chung, mặc định tất cả các user được tạo ra đều thuộc group này).

OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì

chúng ta khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng ban, bộ

phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí

như phòng ban Sales sẽ có một OU Sales và trong OU này chứa group sales, group

sales sẽ bao gồm tất cả những thành viên của phòng ban sale, và những user này cũng

được đặt trong OU Sales cùng với group sales. Như vậy chúng ta cần phải phân biệt rõ

group sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU được dùng để

quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phòng ban

sales trong môi trường thật được cài đât tự động MS OfficeXP hay update những bản vá

nào khi đăng nhập hệ thống thì chúng ta phải tương tác qua OU. Nhưng rõ ràng chúng

ta không thể quản lý về quyền hạn truy cập của các user này bằng OU, chính vì vậy

chúng ta cần phải tạo ra các group và gán quyền thông qua những group này. Đó là

những khác biệt cơ bản nhất mà chúng ta cần phân biệt

3. Schema Master

Active Directory không thực sự là một thứ gì ngoài cơ sở dữ liệu, cũng giống như

cơ sở dữ liệu khác, Active Directory có một giản đồ. Tuy nhiên lại không giống như các

cơ sở dữ liệu khác, giản đồ của Active Directory không phải giản đồ tĩnh. Có một số

hoạt động cần thiết mở rộng giản đồ. Ví dụ, việc cài đặt Exchange Server cần giản đồ

Active Directory để được mở rộng. Bất kỳ thời điểm nào diễn ra sự thay đổi giản đồ

Active Directory thì những thay đổi đó cũng được áp dụng cho Schema Master.

Schema Master là một thành phần rất quan trọng của các FSMO role, vì vậy

Microsoft để ẩn nó không cho nhìn thấy. Nếu cần phải tìm máy chủ nào đang cấu hình

Schema Master role thì ta phải đưa đĩa CD cài Windows Server 2003 và kích đúp vào

file ADMINPAK.MSI trong thư mục I386. Khi thực hiện điều đó, Windows sẽ khởi

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 6

Active Directory Mạng máy tính

chạy Administration Tools Pack Setup Wizard. Theo cửa sổ wizard để cài đặt gói các

công cụ quản trị.

Khi quá trình cài đặt được hoàn tất, ta đóng Setup wizard và mở Microsoft

Management Console bằng cách nhập vào dòng lệnh MMC trong cửa số lệnh RUN. Khi

cửa sổ được mở, chọn Add/Remove từ menu File. Sau khi chọn xong, cửa sổ sẽ hiển thị

trang thuộc tính của thành phần Add/Remove. Kích chuột vào nút Add để xuất hiện một

danh sách có sẵn các mô đun. Chọn mô đun Active Directory Schema trong danh sách

và kích vào nút Add, sau đó nhấn Close và nút OK.

Bây giờ mô đun đã được tải ra, kích chuột phải vào Active Directory Schema và

chọn Operations Master từ menu chuột phải. Một hộp thoại sẽ xuất hiện, hộp thoại này

thông báo cho ta biết rằng máy chủ nào đang cấu hình với tư cách là Schema Master

của forest.

3.1 Domain Naming Master

Một rừng Active Directory có thể gồm nhiều miền. Việc kiểm tra các miền này là

công việc của Domain Naming Master. Nếu Domain Naming Master bị lỗi thì nó không

thể tạo và gỡ bỏ các miền cho tới khi Domain Naming Master quay trở lại trực tuyến.

Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho một

forest, mở Active Directory Domains and Trusts, khi cửa sổ này được mở, kích chuột

phải vào Active Directory Domains and Trusts và chọn Operations Masters. Sau khi

chọn xong, Windows sẽ hiển thị Domain Naming master.

3.2 Relative Identifier (Bộ nhận dạng quan hệ)

Active Directory cho phép quản trị viên tạo các đối tượng Active Directory trên

bất kỳ bộ điều khiển miền nào. Mỗi một đối tượng phải có một số hiệu nhận dạng quan

hệ duy nhất để ngăn chặn các bộ nhận dạng quan hệ khỏi bị giống nhau, Relative

Identifier Master chỉ định một nhóm bộ nhận dạng quan hệ cho mỗi một điều khiển

miền. Khi một đối tượng mới được tạo trong một miền, bộ điều khiển miền mà đối

tượng đang tạo sẽ lấy một trong những bộ nhận dạng quan hệ của nó ra khỏi nhóm và

gán cho đối tượng. Khi một nhóm được khai thác hết thì bộ điều khiển miền phải liên

lạc với Relative Identifier Master để có thêm bộ nhận dạng quan hệ. Như vậy, triệu

chứng cuối cùng của Relative Identifier Master lỗi là hoàn toàn bất lực trong việc tạo

các đối tượng trong Active Directory.

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 7

Active Directory Mạng máy tính

Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một

miền, hãy mở Active Directory Users and Computers. Khi cửa số này được mở, kích

chuột phải vào danh sách miền hiện hành và chọn Operations Masters. Windows sẽ

hiển thị trang thuộc tính của Operations Masters. Trong cửa sổ này ta có thể chọn bộ

điều khiển miền nào đang thực hiện như bộ nhận dạng quan hệ bằng cách quan sát ở tab

RID của trang thuộc tính.

3.3 Primary Domain Controller Emulator

Role của PDC emulator được tạo để cho phép các bộ điều khiển miền Active

Directory cùng tồn tại với các bộ điều khiển miền Windows NT. Ý tưởng cơ bản ở đây

là khi một tổ chức đang nâng cấp từ Windows NT lên Windows 2000 hoặc Windows

Server 2003 thì PDC là bộ điều khiển miền đầu tiên được nâng cấp. Ở điểm này, bộ

điều khiển miền được nâng cấp gần đây hoạt động như một bộ điều khiển miền Active

Directory và một PDC cho các bộ điều khiển miền vẫn đang chạy Windows NT.

Role của PDC emulator ngày nay càng không liên quan nhiều hơn bởi vì rất ít các

tổ chức sử dụng Windows NT Server. Nếu ta cần chỉ định máy chủ nào trong miền đang

cấu hình role của PDC Emulator dù cho ta có thể thực hiện điều đó bằng cách mở

Active Directory Users and Computers. Khi cửa số này được mở, kích chuột phải vào

miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuột tính của

Operations Masters. Có thể xác định bộ điều khiển miền nào đang hành động như PDC

Emulator bằng cách quan sát tại tab PDC của trang thuộc tính.

3.4 Infrastructure Master

Trong môi trường Active Directory, một forest có thể gồm nhiều miền. Các miền

Active Directory không hoàn toàn mà các thực thể độc lập mà chúng đôi khi phải

truyền thông với phần còn lại của forest. Đây chính là nơi mà Infrastructure Master diễn

ra. Khi tạo, thay đổi hoặc xóa một đối tượng bên trong một miền, sự thay đổi sẽ được

truyền một cách tự nhiên xuyên suốt miền. Vấn đề là phần còn lại của forest không biết

đến sự thay đổi này. Đây chính là công việc của Infrastructure Master, làm thế nào để

cho phần còn lại của forest biết được có sự thay đổi.

Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không thể

nhìn thấy trong đường biên miền. Ví dụ, nếu đã đặt lại tên cho một tài khoản người

dùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các miền

khác trong forest.

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 8

Active Directory Mạng máy tính

Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master cho

một miền, mở Active Directory Users and Computers. Khi cửa số này được mở, ta kích

chuột phải vào danh sách miền hiện hành và chọn Operations Masters, Windows sẽ

hiển thị trang thuộc tính của Operations Masters. Ta có thể xác định được bộ điều khiển

miền nào đang thực hiện với tư cách Operations Master bằng cách nhìn vào tab

Infrastructure của trang thuộc tính.

4. Cấu trúc.

Không có công cụ quản trị nào được sử dụng để quản lý Active Directory có thể

cho xem được toàn bộ cơ sở dữ liệu của Active Directory. Thay vì đó, Microsoft đã

cung cấp một số công cụ khác nhau tương ứng với một lĩnh vực cụ thể của cơ sở dữ

liệu. Với một quản trị viên, công cụ quản trị có thể sử dụng thường là Active Directory

Users and Computers console.

Có thể truy cập Active Directory Users and Computers console từ bộ điều khiển

miền của Windows Server 2003 bằng cách chọn Active Directory Users and

Computers từ menu Start / All Programs / Administrative Tools của máy chủ. Giao

diện của nó được thể hiện như những gì ta thấy trong hình 1.

Hình 1:Giao diện Active Directory Users and Computers là một công cụ

quản trị chính cho việc quản lý các đối tượng Active Directory.

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 9

Active Directory Mạng máy tính

Nếu nhìn vào hình thì ta sẽ thấy được rằng ở đây có một số thư mục lớn, mỗi một

thư mục này tương ứng với một loại đối tượng cụ thể. Mỗi đối tượng trong Active

Directory đều được gán một kiểu đối tượng (được biết đến như là lớp đối tượng).

Mỗi đối tượng cũng có một số thuộc tính liên quan. Các thuộc tính cụ thể thay

đổi phụ thuộc vào kiểu đối tượng.

Ví dụ, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành

các đối tượng người dùng như trong hình 2. Nếu kích chuột phải vào một trong các đối

tượng người dùng này và chọn Properties từ menu chuột phải thì ta sẽ thấy được trang

thuộc tính của đối tượng (như trong hình 3).

Hình 2: Thư mục Users chứa các tài khoản người dùng,

tất cả được phân loại thành các đối tượng người dùng.

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 10

Active Directory Mạng máy tính

Hình 3: Khi kích chuột phải vào một đối tượng người dùng và chọn

Properties thì ta sẽ thấy trang thuộc tính của người dùng.

Nếu nhìn vào hình 3 thì sẽ thấy rằng có một số trường thông tin khác nhau như

tên, họ, số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng.

Mặc dù phần lớn các trường ở trong hình đều không phổ biến nhưng trong một số tình

huống thực thì các trường này có thể được sử dụng để tạo thư mục cộng tác. Trong thực

tế, nhiều ứng dụng được thiết kế để trích thông tin trực tiếp từ Active Directory. Ví dụ,

Microsoft Exchange Server (sản phẩn e-mail server của Microsoft) tạo một danh sách

địa chỉ toàn cục dựa trên nội dung của Active Directory. Danh sách này được sử dụng

khi gửi các thông báo email đến người dùng khác trong công ty.

Nếu nhìn vào hình 4, sẽ thấy được một màn hình, trong đó đã thực hiện một tìm

kiếm với tên Hershey, và Outlook đã trả toàn bộ danh sách địa chỉ toàn cục Global

Address List gồm có tên Hershey. Nếu nhìn vào phần kết quả của cửa sổ thì sẽ thấy

Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN 11