Mô Hình Hệ Thống Trên Windows Server 2000/2003
I - Xây Dựng Windows Server 2003 Active Directory Và Tạo Các Đối Tượng Bằng Dòng Lệnh
Windows
Server 2003 là hệ điều hành mạng hòan thiện nhất hiện nay, chúng ta có
thể dùng Windows Server 2003 để triển khai các hệ thống Domain
Controller quản trị tài nguyên và người dùng cho một công ty hay xây
dựng các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu,
cung cấp các dịch vụ cho người dùng…
Nếu như
Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng
thì Active Directory chính là trái tim của nó, hầu như tất cả mọi hoạt
động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active
Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát
triển hệ thống Active Directory dùng để lưu trữ dữ liệu của domain như
các đối tượng user, computer, group … cung cấp những dịch vụ (directory
services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ
chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế
single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất
khi đăng nhập vào domain và có thể truy cập tất cả những tài nguyên và
dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.
Với những
dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc
quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như
không thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì
giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình
quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ thống
nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý
trong một môi trường rộng lớn.
Những Thành Phần Chính Của Hệ Thống Active Directory
User
: là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một
số tài khoản built-in được tạo ra như Administrator là ngừơi có toàn
quyền quản trị hệ thống, backup operator là nhóm và người dùng có khả
năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn
hợp lệ đôi với những dữ liệu này. Tuy nhiên để các nhân viên trong một
tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào domain thì
người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho
người sử dụng. Các user sẽ dùng những tài khoản được cấp bởi
administrator để log-in và domain. Và truy cập dữ liệu trên file server
hay các dịch vụ khác..
Group:
là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ các
nhân viên của một phòng ban sale có quyền truy cập lên folder sales trên
file server hoặc chúng ta muốn các nhân viên của công ty đều có quyền
in đối với laser printer, chúng ta nên tạo group printing và gán quyền
in trên laser printer sau đó add tất cả các nhân viên của công ty vào
group printing này thay vì gán quyền in cho từng user riêng lẽ sẽ không
hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thao tác
chung, mặc định tất cả các user được tạo ra đều thuộc group này).
OU
(organization unit): là những đơn vị tổ chức, khi thiết kế một domain
thì chúng ta khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao
nhiêu phòng ban, bộ phận. Dựa trên kết quả khảo sát này sẽ tạo những OU
tương ứng với chức năng, vị trí như phòng ban Sales sẽ có một OU Sales
và trong OU này chứa group sales, group sales sẽ bao gồm tất cả những
thành viên của phòng ban sale, và những user này cũng được đặt trong OU
Sales cùng với group sales. Như vậy chúng ta cần phải phân biệt rõ group
sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU được dùng
để quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên
thuộc phòng ban sales trong môi trường thật được cài đât tự động MS
OfficeXP hay update những bản vá nào khi đăng nhập hệ thống thì chúng ta
phải tương tác qua OU. Nhưng rõ ràng chúng ta không thể quản lý về
quyền hạn truy cập của các user này bằng OU, chính vì vậy chúng ta cần
phải tạo ra các group và gán quyền thông qua những group này. Đó là
những khác biệt cơ bản nhất mà chúng ta cần phân biệt.
Trên đây là 3
đối tượng cơ bản của hệ thống active directory, ngoài ra còn có những
thành phần khác như group plicy, site, trusting, global catalog,
fsmo..sẽ được trình bày ở những phần tiếp theo.
Trước khi bắt tay vào xây dựng hệ thống domain cho tổ chức của mình, một số lưu ý chúng ta cần quan tâm là:
- Cần có ít nhất 2 domain controler là Primary (PDC) và cái còn lại dùng là Backup (BDC) để đáp ứng chức năng load balancing và faultolerant, nếu hệ thống chỉ có một domain controler duy nhất thì phải backup các system state data
của Active Directory cẩn thận theo các mức chuẩn (baseline) để có thể
phục hồi khi có sữ cố xảy ra hay dùng cho migration (di trú) qua một máy
khác khi PDC bị hư hỏng đột xuất.
- Hệ
thống Active Directory sử dụng DNS cho quá trình phần giải tên các dịch
vụ và những thành viên của chúng, vì vậy bắt buộc phải có DNS hợp lệ để
Active Directory họat động chính xác, tên của Domain là gì?Thông thường
khi cài đặt active directory có thể chọn cài tích hợp dịch vụ DNS,
trong trường hợp đã có sẳn máy chủ DNS thì phải khai báo địa chỉ của
dịch vụ này trong phần Prefered DNS và tên của domain là tên của tổ chức
như tcdescon.com, security365.org..
- Cần
phải khảo sát tổ chức có bao nhiêu thành viên (người dùng) tương ứng
với số lượng account được tạo trong Acitve Directory, có bao nhiêu bộ
phận, phòng ban để tạo ra các OU và Group tương ứng, ngòai ra chúng ta
cần xem xét các quyền hạn sử dụng của các đối tượng, khả năng đáp ứng..
để từ đó đưa ra một bản phác thảo đầy đủ cho hệ thống Domain Controller
của mình.
Để thực hiện
bài Lab này, cần có các máy tính với cấu hình TCP/IP như hình dưới đây,
trong đó DC1 là Primay Domain Controller với hệ thống Backup (Secondary
Domain Controller) là DC2 tất cả đều sử dụng Windows Server 2003.
Client1 có thể dùng Windows XP hoặc Windows 2000.
Hệ Thống Domain Controler Và Địa Chỉ IP (Click vào ảnh để phóng to)
1- Tiến hành cài đặt tự động Active Directory trên DC1 theo phương pháp Unattend
Để thăng cấp một Windows Server 2003 Standalone lên thành Domain Controller chúng ta sử dụng lệnh dcpromo
và sau đó cung cấp đầy đủ tên domain, vai trò và vị trí cài đặt..Trong
phần này các bạn hãy log-in vào DC1 bằng tài khỏan Administrator và tạo
tập tin như đưới đây, hãy thay tên domain security365 bằng tên domain
của bạn cũng như các thông tin về Password hay SafeModeAdminPassword
tương ứng , các bạn có thể chọn cài cùng lúc DNS bằng cách xác định
AutoConfigDNS = Yes, nếu muốn hệ thống reboot lại sau khi cài đặt hãy
đặt giá trị RebootOnSuccess = Yes
[DCInstall]
RebootOnSuccess = No
DatabasePath = %SYSTEMROOT%\NTDS
LogPath = %SYSTEMROOT%\NTDS
SysVolPath = %SYSTEMROOT%\Sysvol
UserName = administrator
Password = Password
ReplicaorNewDomain = Domain
TreeOrChild = Tree
CreateOrJoin = Create
NewDomainDNSName = security365.org
DNSOnNetwork = No
DomainNetBiosName = SECURITY365
AllowAnonymousAccess = No
AutoConfigDNS = Yes
SiteName = Default-First-Site-Name
SafeModeAdminPassword = netmanager
Lưu tập tin trong ở C:\ với tên là dcinfo.txt
Sau đó chạy lệnh dcpromo /answer:C:\dcinfo.txt
Restart lại
hệ thống khi tiến trình cài đặt hòan tất, tiêp theo chúng ta cần tạo ra
những tài khỏan người dùng cùng với những Group, OU tương ứng theo các
phòng ban như hình sau đây dựa trên mô hình thực tế của công ty có 2 chi
nhánh CA và NC, mỗi chi nhánh có các bộ phận Marketing, Accountign và
Sales.
2- Tạo cấu trúc OU với dsadd ou:
Có nhiều cách
để tạo ra các đối tượng trên Active Directory như OU, Group, User..Các
bạn có thể dùng giao diện đồ họa Active Directory Users and Computers
console sau đó click chuột phải vào Domain Name (ví dụ security365.com)
và chọn những thao tác tương ứng. Ở đây chúng ta sử dụng một phương pháp
ít thông dụng hơn dựa trên dòng lệnh, điều này sẽ rất thuận tiện khi
muốn xây dựng hệ thống một cách tự động.
Để tạo một OU mới hãy sử dụng dòng lệnh dsadd ou:
Dsadd ou “OU=NC,DC=security365,DC=com”
Dsadd ou “OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Marketing,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Accounting,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Sales,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Marketing,OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Accounting,OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Sales,OU=CA,DC=security365,DC=com”
Có thể dùng
tập tin bat để tiến hành tự dộng quá trình trên, với OU là tên của OU
được tạo, DC là tên của domain lưu ý nên tạo tuần tự các bước.
3. Tạo User Với dsadd user:
Chúng ta có thể tạo tài khỏan người dùng với dsadd user, ví dụ sau sẽ tạo ra tài khỏan cho Le Quoc Cuong thuộc phòng ban Sales :
- tên đăng nhập cuonglq, mật mã đăng nhập 123qwe!@#
- thuộc bộ OU Sales
- first name là le quoc
- last name là cuong
- tên upn là cuonglq@hotmail.com
- để tài khỏan có thể sử dụng được ngay hãy đặt –disable no
dsadd user “CN=cuonglq,OU=Sales,OU=CA,DC=hotmail,DC=com” –upn
cuonglq@hotmail.com –fn le quoc –ln cuong –pwd 123qwe!@# –disabled no
3.Tạo Group với dsadd group:
Các user
trong mỗi phòng ban thường có những đặc tínhchung như quyền hạn truy cập
vào tài nguyên chia sẽ của bộ phận, khả năng sử dụng máy in…Vì vậy hãy
tạo ra các nhóm người dùng (Group) sau đó add những user vào. Chúng ta
có thể thực hiện điều này với dòng lệnh dsadd group. Ví dụ sau đây sẽ
tạo một gourp có tênlà Consultants (CN) trong OU Marketing của domain
Security365.Com, group type là security và group scope là global.
Dsadd group “CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com”
–secgrp yes –scope g
Ghi Chú:
Có hai lọai group trong active directory là security và distribution.
Hầu hết các group chúng ta tạo ra và sử dụng đề thuộc lọai security
goup. Distribution group chỉ được dùng cho quá trình họat động của các
ứng dụng như Exchange Server, và các bạn không thê gán quyền truy cập
đối với lọai group này. Ngòai ra các group đươc chia làm 3 lọai group
scope là Global, Universal và Local. Với Local Group các thành viên chỉ
có thể truy cập những tài nguyên trên domain nội bộ. Khi hệ thống có
nhiều domain, để user có thể truy cập tà nguyên ở các domain khác thì
chúng phải là thành viên của Global hay Universal Group.
4.Add User vào Group Với Dsmod:
Để Add User
Nguyen Tran Cat Vinh là thành viên của group Consultant trong OU
Marketing (là OU con của CA) cho domain Security365.Com ta sử dụng lệnh
sau :
Dsmod group “CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com” –
addmbr “CN=vinhntc,OU=Marketing,OU=CA,DC=security365,DC=com”
Trong những
trường hợp quản trị từ xa hay cần tạo ra nhiều đối tượng cùng lúc cho hệ
thống cách tốt nhất là sử dụng các tiện ích dòng lệnh. Cách thức quản
trị Active Directory thông qua giao diện đồ họa như Active Directory
Users and Computer các bạn có thể tham khảo ở trang web www.microsoft.com, mọi thắc mắc gởi đến mục HelpDesk trang web www.security365.org, Công ty Giải Pháp An Tòan.
II – Join Máy Tính Client1 Vô Domain
Sau khi cài
đặt và cấu hình xong hệ thống Active Directory chúng ta cần join các
clien vào domain để có thể quản lý, cấp quyền truy cập, sử dụng tài
nguyên cho người sử dụng. Hãy log-in vào Client1 với quyền Administrator
và click chuột phải vào My Computer chọn Properties:
Trên tab
Computer (Network Identification) hãy nhấn Change hoặc Properties tùy
thuộc vào hệ điều hành Client1 sử dụng là Windows XP hay Windows
2000Tiếp theo và nhập vào thông tin sau:
Nhấn OK, một
hộp thọai yêu cầu thông tin Username & Password sẽ hiển thị, hãy
nhập vào tài khỏan hợp lệ ví dụ Administrator và nhấn OK để hòan tất quá
trình join domain.
III – Cài Đặt Secondary Domain Controler:
Đối với các
hệ thống mạng lớn có nhiều user, chúng ta nên triển khai thêm các
secondary domain controler (hay còn gọi là Backup Domain Controler-BDC)
để tăng cường khả năng đáp ứng yêu cầu truy cập của user và khi primary
domain controler gặp phải những sự cố thì hệ thống vẫn có thể họat động
bình thường nhờ vào secondary domain controler này, ngòai ra chúng ta
còn có thể phục hồi cơ sở dữ liệu của Active Directory trên PDC. Cả hai
hệ thống Domain Controler này đề chứa cùng một cơ sở dữ liệu của domain
như user, group policy, ou…và khi dữ liệu trên một domain controller này
thay đổi sẽ được tự động replicate (sao chép) sang những domain
controler còn lại, tiến trình này diễn ra hòan tòan tự động do dịch vụ
KCC (knowledge consistent checker) của hệ thống đảm nhiệm. Tuy nhiên
trong những trường hợp đặc biệt các bạn có thể tiến hành replicate ngay
lập tức. Sau đây là các bước xây dựng secondary domain controller:
Join máy tính DC2 vào domain và log-in bằng tài khỏan Administrator. Mở Start - > Run và chạy lệnh dcpromo
Trên màn hình cài đặt tiếp theo chúng ta chọn mục Additional domain controller for an existing domain và nhấn Next. Ở cữa sổ Network Credential hãy nhập vào tài khỏan Administrator, Password của domain và chọn Next:
Tiếp
theo chương trình sẽ hỏi tên của domain mà DC2 sẽ làm secondary domain
controller (trong ô additional domain controller). Tên này sẽ tự hiển
thị nếu như DC2 là thành viên của Domain. Nếu các bạn tiến hành thăng
cấp không qua bước join DC2 vô domain thì phải nhập tên Domain đầy đủ
như security365.com. Một điều cần lưu ý là phải cấu hình địa chỉ DNS cho
domain trong phần Prefered DNS, vì đa số các sự cố và lỗi khi thăng cấp
một secondary domain controller cũng như trong qua trình họat động của
Active Directory đều liên quan đến việc cấu hình địa chỉ DNS server
không chính xác làm cho quá trình phân giải tên các máy chủ và các dịch
vụ không tiến hành được.
Sau đó hãy
chấp nhận giá trị mặc định về vị trí cài đặt, lưu trữ database của
active directory cũng như sysvol folder. Nếu muốn thay đổi các thông số
này sau khi cài đặt hãy dùng công cụ NTDSUTIL.
Cuối cùng một
bảng tóm tắt các thông tin của secondary domain controller hiển thị,
hãy kiểm tar lại và nhấn Next để tiến trình cài đặt diễn ra, sau khi
hòan tất hãy restart lại hệ thống DC2.
Như vậy chúng
ta đã xây dựng xong hệ thống active directory cho domain
security365.com với một primary và một secondary domain controler, lúc
này các máy tính client trên hệ thống có thể join domain với những tài
khỏan hợp lệ để thực hiện công việc của mình.
