Tài liệu Triển khai hệ thống domain trên windows server 2003 Active Directory: Converted to pdf by tech24.vn
Triển Khai Hệ Thống Domain Trên Windows Server 2003
Active Directory
Mơ Hình Hệ Thống Trên Windows Server 2000/2003
I - Xây Dựng Windows Server 2003 Active Directory Và
Tạo Các ðối Tượng Bằng Dịng Lệnh
Windows Server 2003 là hệ điều hành mạng hịan thiện nhất hiện nay, chúng
ta cĩ thể dùng Windows Server 2003 để triển khai các hệ thống Domain
Controller quản trị tài nguyên và người dùng cho một cơng ty hay xây dựng
các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu, cung cấp
các dịch vụ cho người dùng…
Nếu như Windows Server 2003 cĩ thể xem như nhà quản trị tài ba của hệ
thống mạng thì Active Directory chính là trái tim của nĩ, hầu như tất cả mọi
hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của
Active Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã
phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của domain như
các đối tượng user, computer, group … cung cấp những d...
10 trang |
Chia sẻ: hunglv | Lượt xem: 1165 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Triển khai hệ thống domain trên windows server 2003 Active Directory, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Converted to pdf by tech24.vn
Triển Khai Hệ Thống Domain Trên Windows Server 2003
Active Directory
Mơ Hình Hệ Thống Trên Windows Server 2000/2003
I - Xây Dựng Windows Server 2003 Active Directory Và
Tạo Các ðối Tượng Bằng Dịng Lệnh
Windows Server 2003 là hệ điều hành mạng hịan thiện nhất hiện nay, chúng
ta cĩ thể dùng Windows Server 2003 để triển khai các hệ thống Domain
Controller quản trị tài nguyên và người dùng cho một cơng ty hay xây dựng
các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu, cung cấp
các dịch vụ cho người dùng…
Nếu như Windows Server 2003 cĩ thể xem như nhà quản trị tài ba của hệ
thống mạng thì Active Directory chính là trái tim của nĩ, hầu như tất cả mọi
hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của
Active Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã
phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của domain như
các đối tượng user, computer, group … cung cấp những dịch vụ (directory
services) tìm kiếm, kiểm sốt truy cập, ủy quyền, và đặc biệt là dịch vụ
chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single
sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng
nhập vào domain và cĩ thể truy cập tất cả những tài nguyên và dịch vụ chia
sẽ của hệ thống vĩi những quyền hạn hợp lệ.
Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ
cơng việc quản lý và nâng cao hiệu quả hoạt động, những cơng việc mà hầu
như khơng thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán
Converted to pdf by tech24.vn
thì giờ đây chúng ta cĩ thể tiến hành một cách dễ dàng thơng qua mơ hình
quản lý tập trung như đưa ra các chính sách chung cho tồn bộ hệ thống
nhưng đồng thời cĩ thể ủy quyền quản trị để phân chia khả năng quản lý
trong một mơi trường rộng lớn.
Những Thành Phần Chính Của Hệ Thống Active
Directory
User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ cĩ một số
tài khoản built-in được tạo ra như Administrator là ngừơi cĩ tồn quyền
quản trị hệ thống, backup operator là nhĩm và người dùng cĩ khả năng
backup và restore dữ liệu của hệ thống mà khơng cần những quyền hạn hợp
lệ đơi với những dữ liệu này. Tuy nhiên để các nhân viên trong một tổ chức
cĩ thể sử dụng tài nguyên và đăng nhập (log-in) vào domain thì người quản
trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng. Các
user sẽ dùng những tài khoản được cấp bởi administrator để log-in và
domain. Và truy cập dữ liệu trên file server hay các dịch vụ khác..
Group: là một tập hợp của những ngừơi dùng cĩ những đặc tính chung, ví
dụ các nhân viên của một phịng ban sale cĩ quyền truy cập lên folder sales
trên file server hoặc chúng ta muốn các nhân viên của cơng ty đều cĩ quyền
in đối với laser printer, chúng ta nên tạo group printing và gán quyền in trên
laser printer sau đĩ add tất cả các nhân viên của cơng ty vào group printing
này thay vì gán quyền in cho từng user riêng lẽ sẽ khơng hiệu quả (các bạn
cần chú ý sử dụng group Domain User cho những thao tác chung, mặc định
tất cả các user được tạo ra đều thuộc group này).
OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì
chúng ta khảo sát hệ thống cĩ bao nhiêu đon vị tổ chức như cĩ bao nhiêu
phịng ban, bộ phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tương
ứng với chức năng, vị trí như phịng ban Sales sẽ cĩ một OU Sales và trong
OU này chứa group sales, group sales sẽ bao gồm tất cả những thành viên
của phịng ban sale, và những user này cũng được đặt trong OU Sales cùng
với group sales. Như vậy chúng ta cần phải phân biệt rõ group sales và OU
Sales, giữa chúng cĩ những khác biệt cơ bản là OU được dùng để quản trị về
mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phịng ban
sales trong mơi trường thật được cài đât tự động MS OfficeXP hay
update những bản vá nào khi đăng nhập hệ thống thì chúng ta phải tương tác
qua OU. Nhưng rõ ràng chúng ta khơng thể quản lý về quyền hạn truy cập
Converted to pdf by tech24.vn
của các user này bằng OU, chính vì vậy chúng ta cần phải tạo ra các group
và gán quyền thơng qua những group này. ðĩ là những khác biệt cơ bản
nhất mà chúng ta cần phân biệt.
Trên đây là 3 đối tượng cơ bản của hệ thống active directory, ngồi ra cịn cĩ
những thành phần khác như group plicy, site, trusting, global catalog,
fsmo..sẽ được trình bày ở những phần tiếp theo.
Trước khi bắt tay vào xây dựng hệ thống domain cho tổ chức của mình, một
số lưu ý chúng ta cần quan tâm là:
- Cần cĩ ít nhất 2 domain controler là Primary (PDC) và cái cịn lại
dùng là Backup (BDC) để đáp ứng chức năng load balancing và
faultolerant, nếu hệ thống chỉ cĩ một domain controler duy nhất thì phải
backup các system state data của Active Directory cẩn thận theo các mức
chuẩn (baseline) để cĩ thể phục hồi khi cĩ sữ cố xảy ra hay dùng cho
migration (di trú) qua một máy khác khi PDC bị hư hỏng đột xuất.
- Hệ thống Active Directory sử dụng DNS cho quá trình phần giải tên
các dịch vụ và những thành viên của chúng, vì vậy bắt buộc phải cĩ DNS
hợp lệ để Active Directory họat động chính xác, tên của Domain là
gì?Thơng thường khi cài đặt active directory cĩ thể chọn cài tích hợp dịch
vụ DNS, trong trường hợp đã cĩ sẳn máy chủ DNS thì phải khai báo địa chỉ
của dịch vụ này trong phần Prefered DNS và tên của domain là tên của tổ
chức như tcdescon.com, security365.org..
- Cần phải khảo sát tổ chức cĩ bao nhiêu thành viên (người dùng) tương
ứng với số lượng account được tạo trong Acitve Directory, cĩ bao nhiêu bộ
phận, phịng ban để tạo ra các OU và Group tương ứng, ngịai ra chúng ta
cần xem xét các quyền hạn sử dụng của các đối tượng, khả năng đáp ứng..
để từ đĩ đưa ra một bản phác thảo đầy đủ cho hệ thống Domain Controller
của mình.
ðể thực hiện bài Lab này, cần cĩ các máy tính với cấu hình TCP/IP như hình
dưới đây, trong đĩ DC1 là Primay Domain Controller với hệ thống Backup
(Secondary Domain Controller) là DC2 tất cả đều sử dụng Windows Server
2003. Client1 cĩ thể dùng Windows XP hoặc Windows 2000.
Converted to pdf by tech24.vn
Hệ Thống Domain Controler Và ðịa Chỉ IP (Click vào ảnh để phĩng to)
1- Tiến hành cài đặt tự động Active Directory trên DC1 theo phương
pháp Unattend
ðể thăng cấp một Windows Server 2003 Standalone lên thành Domain
Controller chúng ta sử dụng lệnh dcpromo và sau đĩ cung cấp đầy đủ tên
domain, vai trị và vị trí cài đặt..Trong phần này các bạn hãy log-in vào DC1
bằng tài khỏan Administrator và tạo tập tin như đưới đây, hãy thay tên
domain security365 bằng tên domain của bạn cũng như các thơng tin về
Password hay SafeModeAdminPassword tương ứng , các bạn cĩ thể chọn
cài cùng lúc DNS bằng cách xác định AutoConfigDNS = Yes, nếu muốn hệ
thống reboot lại sau khi cài đặt hãy đặt giá trị RebootOnSuccess = Yes
[DCInstall]
RebootOnSuccess = No
DatabasePath = %SYSTEMROOT%\NTDS
LogPath = %SYSTEMROOT%\NTDS
SysVolPath = %SYSTEMROOT%\Sysvol
UserName = administrator
Password = Password
ReplicaorNewDomain = Domain
TreeOrChild = Tree
CreateOrJoin = Create
NewDomainDNSName = security365.org
DNSOnNetwork = No
DomainNetBiosName = SECURITY365
AllowAnonymousAccess = No
AutoConfigDNS = Yes
SiteName = Default-First-Site-Name
Converted to pdf by tech24.vn
SafeModeAdminPassword = netmanager
Lưu tập tin trong ở C:\ với tên là dcinfo.txt
Sau đĩ chạy lệnh dcpromo /answer:C:\dcinfo.txt
Restart lại hệ thống khi tiến trình cài đặt hịan tất, tiêp theo chúng ta cần tạo
ra những tài khỏan người dùng cùng với những Group, OU tương ứng theo
các phịng ban như hình sau đây dựa trên mơ hình thực tế của cơng ty cĩ 2
chi nhánh CA và NC, mỗi chi nhánh cĩ các bộ phận Marketing, Accountign
và Sales.
2- Tạo cấu trúc OU với dsadd ou:
Cĩ nhiều cách để tạo ra các đối tượng trên Active Directory như OU, Group,
User..Các bạn cĩ thể dùng giao diện đồ họa Active Directory Users and
Computers console sau đĩ click chuột phải vào Domain Name (ví dụ
security365.com) và chọn những thao tác tương ứng. Ở đây chúng ta sử
Converted to pdf by tech24.vn
dụng một phương pháp ít thơng dụng hơn dựa trên dịng lệnh, điều này sẽ rất
thuận tiện khi muốn xây dựng hệ thống một cách tự động.
ðể tạo một OU mới hãy sử dụng dịng lệnh dsadd ou:
Dsadd ou “OU=NC,DC=security365,DC=com”
Dsadd ou “OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Marketing,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Accounting,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Sales,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Marketing,OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Accounting,OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Sales,OU=CA,DC=security365,DC=com”
Cĩ thể dùng tập tin bat để tiến hành tự dộng quá trình trên, với OU là tên của
OU được tạo, DC là tên của domain lưu ý nên tạo tuần tự các bước.
3. Tạo User Với dsadd user:
Chúng ta cĩ thể tạo tài khỏan người dùng với dsadd user, ví dụ sau sẽ tạo ra
tài khỏan cho Nguyen Tran Duy Vinh thuộc phịng ban Sales :
- tên đăng nhập vinhndt, mật mã đăng nhập 123qwe!@#
- thuộc bộ OU Sales
- first name là nguyen tran duy
- last name là vinh
- tên upn là ntdvinh@security365.com
- để tài khỏan cĩ thể sử dụng được ngay hãy đặt –disable no
dsadd user “CN=vinhndt,OU=Sales,OU=CA,DC=security365,DC=com”
–upn
vinhndt@security365.com –fn nguyen tran duy –ln vinh –pwd
123qwe!@# –disabled no
3.Tạo Group với dsadd group:
Các user trong mỗi phịng ban thường cĩ những đặc tínhchung như quyền
hạn truy cập vào tài nguyên chia sẽ của bộ phận, khả năng sử dụng máy
in…Vì vậy hãy tạo ra các nhĩm người dùng (Group) sau đĩ add những user
vào. Chúng ta cĩ thể thực hiện điều này với dịng lệnh dsadd group. Ví dụ
sau đây sẽ tạo một gourp cĩ tênlà Consultants (CN) trong OU Marketing của
domain Security365.Com, group type là security và group scope là global.
Converted to pdf by tech24.vn
Dsadd group
“CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com”
–secgrp yes –scope g
Ghi Chú: Cĩ hai lọai group trong active directory là security và distribution.
Hầu hết các group chúng ta tạo ra và sử dụng đề thuộc lọai security goup.
Distribution group chỉ được dùng cho quá trình họat động của các ứng dụng
như Exchange Server, và các bạn khơng thê gán quyền truy cập đối với lọai
group này. Ngịai ra các group đươc chia làm 3 lọai group scope là Global,
Universal và Local. Với Local Group các thành viên chỉ cĩ thể truy cập
những tài nguyên trên domain nội bộ. Khi hệ thống cĩ nhiều domain, để user
cĩ thể truy cập tà nguyên ở các domain khác thì chúng phải là thành viên của
Global hay Universal Group.
4.Add User vào Group Với Dsmod:
ðể Add User Nguyen Tran Cat Vinh là thành viên của group Consultant
trong OU Marketing (là OU con của CA) cho domain Security365.Com ta
sử dụng lệnh sau :
Dsmod group
“CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com” –
addmbr
“CN=vinhntc,OU=Marketing,OU=CA,DC=security365,DC=com”
Trong những trường hợp quản trị từ xa hay cần tạo ra nhiều đối tượng cùng
lúc cho hệ thống cách tốt nhất là sử dụng các tiện ích dịng lệnh. Cách thức
quản trị Active Directory thơng qua giao diện đồ họa như Active Directory
Users and Computer các bạn cĩ thể tham khảo ở trang web
www.microsoft.com, mọi thắc mắc gởi đến mục HelpDesk trang web
www.security365.org, Cơng ty Giải Pháp An Tịan.
II – Join Máy Tính Client1 Vơ Domain
Sau khi cài đặt và cấu hình xong hệ thống Active Directory chúng ta cần join
các clien vào domain để cĩ thể quản lý, cấp quyền truy cập, sử dụng tài
nguyên cho người sử dụng. Hãy log-in vào Client1 với quyền Administrator
và click chuột phải vào My Computer chọn Properties:
Trên tab Computer (Network Identification) hãy nhấn Change hoặc
Properties tùy thuộc vào hệ điều hành Client1 sử dụng là Windows XP hay
Windows 2000Tiếp theo và nhập vào thơng tin sau:
Converted to pdf by tech24.vn
Nhấn OK, một hộp thọai yêu cầu thơng tin Username & Password sẽ hiển
thị, hãy nhập vào tài khỏan hợp lệ ví dụ Administrator và nhấn OK để hịan
tất quá trình join domain.
III – Cài ðặt Secondary Domain Controler:
ðối với các hệ thống mạng lớn cĩ nhiều user, chúng ta nên triển khai thêm
các secondary domain controler (hay cịn gọi là Backup Domain Controler-
BDC) để tăng cường khả năng đáp ứng yêu cầu truy cập của user và khi
primary domain controler gặp phải những sự cố thì hệ thống vẫn cĩ thể họat
động bình thường nhờ vào secondary domain controler này, ngịai ra chúng
ta cịn cĩ thể phục hồi cơ sở dữ liệu của Active Directory trên PDC. Cả hai
hệ thống Domain Controler này đề chứa cùng một cơ sở dữ liệu của domain
như user, group policy, ou…và khi dữ liệu trên một domain controller này
thay đổi sẽ được tự động replicate (sao chép) sang những domain controler
cịn lại, tiến trình này diễn ra hịan tịan tự động do dịch vụ KCC (knowledge
consistent checker) của hệ thống đảm nhiệm. Tuy nhiên trong những trường
hợp đặc biệt các bạn cĩ thể tiến hành replicate ngay lập tức. Sau đây là các
bước xây dựng secondary domain controller:
Converted to pdf by tech24.vn
Join máy tính DC2 vào domain và log-in bằng tài khỏan Administrator. Mở
Start - > Run và chạy lệnh dcpromo
Trên màn hình cài đặt tiếp theo chúng ta chọn mục Additional domain
controller for an existing domain và nhấn Next. Ở cữa sổ Network
Credential hãy nhập vào tài khỏan Administrator, Password của domain và
chọn Next:
Tiếp theo chương trình sẽ hỏi tên của domain mà DC2 sẽ làm secondary
domain controller (trong ơ additional domain controller). Tên này sẽ tự hiển
thị nếu như DC2 là thành viên của Domain. Nếu các bạn tiến hành thăng cấp
khơng qua bước join DC2 vơ domain thì phải nhập tên Domain đầy đủ như
security365.com. Một điều cần lưu ý là phải cấu hình địa chỉ DNS cho
domain trong phần Prefered DNS, vì đa số các sự cố và lỗi khi thăng cấp
một secondary domain controller cũng như trong qua trình họat động của
Active Directory đều liên quan đến việc cấu hình địa chỉ DNS server khơng
chính xác làm cho quá trình phân giải tên các máy chủ và các dịch vụ khơng
tiến hành được.
Sau đĩ hãy chấp nhận giá trị mặc định về vị trí cài đặt, lưu trữ database của
active directory cũng như sysvol folder. Nếu muốn thay đổi các thơng số này
sau khi cài đặt hãy dùng cơng cụ NTDSUTIL.
Converted to pdf by tech24.vn
Cuối cùng một bảng tĩm tắt các thơng tin của secondary domain controller
hiển thị, hãy kiểm tar lại và nhấn Next để tiến trình cài đặt diễn ra, sau khi
hịan tất hãy restart lại hệ thống DC2.
Như vậy chúng ta đã xây dựng xong hệ thống active directory cho domain
security365.com với một primary và một secondary domain controler, lúc
này các máy tính client trên hệ thống cĩ thể join domain với những tài khỏan
hợp lệ để thực hiện cơng việc của mình.
Các file đính kèm theo tài liệu này:
- trienkhaihethongdomaintrenwindowsserver2003activedirectory.pdf