770 likes | 1.06k Views
00:14:55. VIỆN ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ TIN HOC. Báo cáo bài tập lớn môn: Quản trị mạng Đề tài (06): Giới thiệu và các thao tác quản trị với Active Directory trong Windows Server 2008 Sinh viên thực hiện: Quàng Văn Liêm Giáo viên hướng dẫn: Đinh Tuấn Long Hà nội 10-2010.
E N D
00:14:55 VIỆN ĐẠI HỌC MỞ HÀ NỘIKHOA CÔNG NGHỆ TIN HOC Báo cáo bài tập lớn môn: Quản trị mạng Đề tài (06): Giới thiệu và các thao tác quản trị với Active Directory trong Windows Server 2008 Sinh viên thực hiện: Quàng Văn Liêm Giáo viên hướng dẫn: Đinh Tuấn Long Hà nội 10-2010
00:14:56 Active Directory • Giới thiệu • Các thao tác quản trị
00:14:55 I. Giới thiệu • Active Directory là gì ? • Tại sao cần thực thi Active Directory ? • Những điểm mới trong Active Directory Domain Services 2008
00:14:54 1. Active Directory là gì ? Là một cơ sở dữ liệu với các chức năng như: • Lưu trữ thông tin về tài khoản người dùng và các tài nguyên mạng máy tính. • Xác định tính hợp lệ của người truy cập tài nguyên mạng. • Lưu trữ thông tin mạng máy tính như là các đối tượng trong một cấu trúc phân cấp
00:14:50 1. Active Directory là gì ? Ngoài ra Active Directory còn cung cấp: • Sự quản lý tập trung • Các khả năng tìm kiếm nâng cao. • Ủy quyền đại diện
00:14:45 2. Tại sao cần thực thi Active Directory • Active Directory có một cơ chế quản trị tập trung trên toàn bộ mạng. • Cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiều domain controller được triển khai trong một domain.
00:14:44 2. Tại sao cần thực thi Active Directory ? • Tất cả các tài nguyên trong mạng được bảo vệ bởi một cơ chế bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗi truy cập đối với tài nguyên.
00:14:43 2. Tại sao cần thực thi Active Directory ? • cho phép tăng cấp, hạ cấp các domain controller và các máy chủ thành viên một cách dễ dàng • Các hệ thống có thể được quản lý và được bảo vệ thông qua các chính sách nhóm Group Policies. Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng và ủy nhiệm trách nhiệm quản trị
00:14:42 2. Tại sao cần thực thi Active Directory ? • Active Directory có khả năng quản lý hàng triệu đối tượng bên trong một miền.
00:14:41 3. Những điểm mới trong Active Directory Domain Services 2008 • Auditing lưutrữcácsựkiệnliênquanđếnnhữngđốitượngtrong Active Directory.Từđócóthểbiếtđượcđốitượngđãthayđổinhữnggì.Vàgiátrịhiện tai vàgiátrịtrướckhithayđổicũngđượchệthốngghinhậnlại.
3. Những điểm mới trong Active Directory Domain Services 2008 • Password Policies có thể được cấu hình cho những đối tượng riêng biệt trong một domain. Vì thế bạn sẽ không phải sử dụng chung một chính sách mật khẩu cho tất cả các người dùng trong cùng một domain
00:14:36 3. Những điểm mới trong Active Directory Domain Services 2008 • Read-Only Domain Controller • là một Domain Controller với cơ sở dữ liệu Active Directory ở dạng read-only. Dịch vụ này giúp bạn tạm bảo mật được đối với những nơi mà bảo mật chưa được đảm bảo cao độ, chẳng hạn như các văn phòng. Read-Only Domain Controller không cho phép các domain controller ở cấp thấp hơn thực hiện những thay đổi lên Active Directory
3. Những điểm mới trong Active Directory Domain Services 2008 • Restartable AD DS đặc điểm này giúp bạn khởi động lại AD DS trong khi vẫn giữ nguyên trạng thái hoạt động của Domain Controller,giúp bạn hoàn thành những thao tác offline môt cách nhanh chóng
3. Những điểm mới trong Active Directory Domain Services 2008 • Active Directory Certificate Services (AD CS) là một dịch vụ được dùng để sinh ra và quản lý các certificate trên những hệ thống sử dụng công nghệ public key. Bạn có thể sử dụng ADCS để tạo ra các máy chủ chúng thực CA ( Certification Authorities). Các CA có tác dụng nhận yêu cầu về chứng thực, sau đó xử lý và gửi các chứng thực đó về lại cho đối tượng đã gửi yêu cầu.
3. Những điểm mới trong Active Directory Domain Services 2008 • Active Directory Federation Services (AD FS) là một dịch vụ cung cấp cơ chế đăng nhập - single sign-on(SSO), cho phép bạn đăng nhập chỉ một lần nhưng có thể dùng nhiều ứng dụng Web có quan hệ với nhau
3. Những điểm mới trong Active Directory Domain Services 2008 • Active Directory Rights Management Services (ADRMS) • là dịch vụ được dùng để kết hợp với các ứng dụng hỗ trợ AD RMS (AD RMS – enable application), nhằm bảo vệ dữ liệu quan trọng ( báo cáo tài chính,thông tin khách hàng,đơn hàng,sổ sách kê khai kế toán .v..v.) trước những đối tượng người dùng không được phép (unauthorized users).Với AD RMS, bạn có thể xác định những ai có thể thực hiện các thao tác như xem, chỉnh sửa, in ấn….trên dữ liệu của mình
3. Những điểm mới trong Active Directory Domain Services 2008 • Active Directory Lightweght Directory Services (AD LDS) là một dịch vụ thư mục LDAP (Lightweght Directory Access Protocol) trên Windows Server 2008.AD LDS cung cấp một cơ chế nhằm hỗ trợ các ứng dụng directory-enabled ( sử dụng thư mục để lưu trữ dữ liệu). Dịch vụ này có chức năng tương tự như AD DS, nhưng không đòi hỏi phải triển khai các domain hoặc Domain Controller
00:14:52 II. Các thao tác quản trị • Xây dựng một cấu trúc Active Directory Domain Services • Kết nối một máy Client vào Domain
00:14:53 1. Xây dựng một cấu trúc Active Directory Domain Services 1.1 Các bước chuốn bị cài đặt 1.2 Cài đặt dịch vụ Active Directory Domain Services 1.3 Cài đặt domain đầu tiên (Domain chính) 1.4 Thêm một DC khác vào Domain 1.5 Thêm một domain 1.6 Hạ DC xuống client 1.7 Quản lý User, Group và Organizational Unit (OU)
1.1 Các bước chuốn bị cài đặt • Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình. • Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập của mình vào trong DNS.
1.1 Các bước chuốn bị cài đặt • Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình. • Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập của mình vào trong DNS.
1.1 Các bước chuốn bị cài đặt • Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là 192.168.1.1, DNS cũng là 192.168.1.1
1.1 Các bước chuốn bị cài đặt • Chọn Start Server Manager Roles DNS Server • Chuột phải tại mục Forward Lookup Zone chọn New zone
1.1 Các bước chuốn bị cài đặt • Chọn Next tại cửa sổ kế tiếp và Chọn Primary Zone tại cửa sổ kế
1.1 Các bước chuốn bị cài đặt Trongcửasổkếbạncóthểchọnmộttrong 3 tùychọnsau: • To all DNS server in this forest: Ápdụngvớitấtcả DNS server trongforesrnày • To all DNS server in this domain: Ápdụngvớitấtcả DNS server trong domain • To all domain controllers in this domain: Ápdụngtớitấtcảcác domain controller trong domain này • Sauđóchọn Next đểtiếptục
1.1 Các bước chuốn bị cài đặt • Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS. Công việc của bạn chưa kết thúc, bạn vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS. • Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory, nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên Zone vừa tạo ra
1.1 Các bước chuốn bị cài đặt • Chỉnh lại NS Record bằng cách tương tự. • Tạo ra một Record để kiểm tra xem hệ thống DNS hoạt động đã chuẩn hay chưa. Ở đây tôi tạo ra một Host A record là Server01.fithou.net địa chỉ IP là 192.168.1.11. • Chuột phải vào vnexperts.net Zone chọn Host A record
1.1 Các bước chuốn bị cài đặt • Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn: • Ping server01.fithou.net nếu có reply là thành công.
00:14:59 1.2 Cài đặt dịch vụ Active Directory Domain Services • Vào Server ManagerRoles Add Roles • Nhấn Next để tiếp tục • Tích vào Active Directory Domain Services và nhấn Next để tiếp tục trong bước tiếp
00:14:59 1.2 Cài đặt dịch vụ Active Directory Domain Services • Nhấn Next.Tại bảng Active Directory Domain Services giới thiệu cho bạn về dịch vụ này và một số lưu ý khi cài đặt trong phần Things to Note • Chọn Next để tiếp tục.Tại bảng Confirm Installation Selections sẽ yêu cầu bạn xác nhận lần cuối trước khi cài đặt.Chọn Install
00:14:59 1.2 Cài đặt dịch vụ Active Directory Domain Services • Đợi cho đến khi hoàn tất quá trình cài đặt dịch vụ Active Directory Domain Services
00:14:59 1.2 Cài đặt dịch vụ Active Directory Domain Services • Đợi cho đến khi hoàn tất quá trình cài đặt dịch vụ Active Directory Domain Services Chọn Close để hoàn tất
00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) • Vào Run gõ dcpromo và chọn OK
00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) • Đợi trong vài giây để hệ thống kiểm tra đã cài đặt dịch vụ AD DS chưa. Tại bảng Welcome to the Active Directory Domain Services Installation Wizard chọn Next • Tại bảng Operating System Compability sẽ cho bạn biết về tính tương thích của Windows Server 2008. Nhấn Next để tiếp tục • Tại bảng Choose a Deployment Configuration chọn Create a new domain in a new forest để tạo một domain mới trên một forest mới và nhấn Next để tiếp tục
00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) • Tại bảng Name the Forest Root Domain.Tại ô FQDN of the forest root domain gõ tên domain vào.Sau đó chọn Next và chờ vài giây để hệ thống kiểm tra tên domain đã sử dụng chưa (ví dụ: fithou.net).
00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) • Tại bảng Set Forest Functional Level, nên chọn phiên bản Windows Server 2008 để tận dụng hết tính năng. Sau đó chọn Next để tiếp tục.
00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) • Tại bảng Additional Domain Controller Options, hệ thống đã kiểm tra xem thử dịch vụ DNS Server đã có chưa, và tự động đánh dấu cài đặt DNS Server
00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) • Tại bảng Directory Services Restore Mode Administrator Password, thiết lập password. Lưu ý, password này không phải là password của tài khoản Administrator trong domain và password phải theo kiểu complexity (gồm các kí tự a,A,@,1….). Ví dụ chọn password là pass@word1
00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) • Chọn Next. Tại bảng Summary cho bạn biết thông tin mà bạn đã thiết lập ở trên. Nếu đã đúng và đầy đủ, chọn Next để thực hiện việc cài đặt • Đợi hệ thống cài đặt xong chọn Finish để kết thúc quá trình cài đặt • Bạn phải khởi động lại server để việc cài đặt có hiệu lực
00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) • Kiểm tra hệ thống
00:14:59 1.4 Thêm một DC khác vào Domain • Để máy chủ Domain Controller mới hoạt động với chức năng tương đương với máy chủ Domain Controller đầu tiên phải đáp ứng: • Cung cấp giải pháp tên miền DNS cho các máy Client • Cung cấp xác thực và các dữ liệu liên quan khác tới dữ liệu Active Directory.
00:14:59 1.4 Thêm một DC khác vào Domain • Máychủđầutiênchứatoànbộdữliệu DNS vàcácthiếtlậpkháctrên DNS. Đểmáychủthứhainàycũngcókhảnăngđápứngcácyêucầu DNS của Client chúngtacầnphảitạomộtbảnsaobaogồmdữliệu DNS giốnghệtmáychủđầutiên. Cácbướcthựchiệnnhưsau: • Bước 1: Cấuhìnhtrênmáychủ dc1.fithou.net chophépmáykháctạo Secondary Zone từmáychủnày. Chọn Start Server Manager Roles DNS Server Chuộtphảitạimục Forward Lookup Zone Trongcửasổ DNS chọn forward lookup zone trongđócó Zone fithou.net đãtạora ở phầntrước. Chuộtphảivào tab Zone Tranfers. Chọn Allow Zone Transfers có 3 options chobạnlựachọn: • to any server: chotấtcảcácmáytínhđềulấyđượcdữliệu DNS • Chỉchophépmáychủnàotrong NS record (mặcđịnhkhinângcấplên Domain Controller) • Chỉchophépcácmáychủdướiđây Saukhilựachọn OK đểhoàntất
00:14:59 1.4 Thêm một DC khác vào Domain • Bước 3: Đặt địa chỉ IP • Đặt địa chỉ DNS là địa chỉ DNS của máy chủ dc1.fithou.net – 192.168.1.11 và địa chỉ IP của chính nó là 192.168.1.12 • Quá trình cài đặt DC thực hiện theo các bước như với domain đầu tiên chỉ khác trong phần Domain Controller Type, bạn chọn: Additional domain controller for an existing domain
00:14:59 1.5 Thêm một domain Chuẩn bị một máy tính cài Windows Server mới với tên dc3 có địa chỉ 192.168.100.13. và máy chủ dc3 sẽ là domain controller của domain: java.fithou.net • tạo ra một Secondary Zone của DNS trên máy chủ dc3 mới và đặt địa chỉ IP và DNS trước khi cài đặt Active Directory. • Đặt địa chỉ IP sao cho máy tính dc3 nhận biết được domain fithou.net • Quá trình cài đặt tiếp theo tương tự như đối với Domain đầu tiên chỉ khác ở cửa sổ Create a new domain bạn bắt buộc phải chọn Child domain in an existing domain tree • Và ở bước nhập tên Domain bạn nhập tên Parent domain là: fithou.net, và Child domain là: java, các bước tiếp theo thực hiện tương tự.
00:14:59 1.6 Hạ DC xuống client • Các bước thực hiện cụ thể như sau: • Vào Run ,gõ dcpromo • Tại bảng Welcome to Active Directory Domain Services Installation Wizard chọn Next. • Tại bảng thông báo Global catalog server. Chọn OK. • Tải bảng Delete the Domain, chọn Delete the domain because is the last domain controller in the domain. • Chọn Next. Tại bảng Confirm Deletion. Chọn Delete all application directory partitions on this Active Directory domain controller. • Chọn Next. Tại bảng Administrator Password. Nhập password cho tài khoản Administrator • Chọn Next. Tại bảng Summary, xem lại thông tin thiết lập • Chọn Next và đợi cho tới khi hệ thống yêu cầu Restart để thay đổi có hiệu lực.
00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Các bước tạo user được thể hiện chi tiết dưới đây:Mở Server Manager.Click Roles Active Directory Domain Services Active Directory Users and Computers.Sau đó click vào domain. Nhấp chuột phải vào User và chọn New User
00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) • Tại bảng New Object – User bạn điền đầy đủ các thông tin vào mục First name,Last name,Full name. • Lưu ý : tại mục User logon name. Đây chính là tên tài khoản của bạn dùng để đăng nhập vào hệ domain. Vì thế phải nhớ chính xác, và phải đảm bảo tính duy nhất. Hoàn tất và chọn Next để tiếp tục.
00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) • Tại bảng thiết lập password. Đây là mật khẩu của bạn ứng với tên tài khoản đã tạo ở trên, dùng để đăng nhập vào domain. • Có 1 số tùy chọn đối với mật khẩu: • User must change password at next logon: Bắt buộc người dùng phải thay đổi mật khẩu trong lần đăng nhập kế tiếp. • User cannot change password: Người dùng không được phép thay đổi mật khẩu. • Passowrd never expires: Mật khẩu không bao giờ hết hạn. • Acount is disabled: Tài khoản cấm sử dụng. • Hoàn tất và chọn Next để tiếp tục. • Ở bảng tiếp theo là thông tin về user chuẩn bị được tạo. Chọn Finish để hoàn tất.
00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) • Tạo mới group • Nhấp chuột phải vào User và chọn New Group • Tại ô Group name gõ tên group. • Có một số tùy chọn về phạm vi của nhóm và kiểu của nhóm, lựa chọn phù hợp và nhấn OK
00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) • Tạo Organizational Unit (OU) nhấp chuột phải vào tên domain, chọn New Organizational Unit Gõ tên OU vào ô Name. Nếu bạn muốn cho phép thao tác xóa đươc thực hiện trên OU này thì bỏ chọn vào mục Protect container from accidental deletion