Caùc moâ hình maïng trong moâi tröôøng Microsoft

Caùc moâ hình maïng trong moâi tröôøng Microsoft
WORKGROUP DOMAIN

Moâ hình Workgroup Còn gọi là mô hình Peer-to-Peer
Các máy trong mạng có vai trò như nhau Dữ liệu tài nguyên được lưu trữ phân tán tại các máy cục bộ Các máy tự quản lý tài nguyên của mình Hệ thống mạng không có máy chuyên dụng để quản lý và cung cấp dịch vụ Phù hợp mạng nhỏ, bảo mật không cao Các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng Lưu trữ thông tin người dùng trong tập tin SAM (Security Accounts Manager) ngay trên máy tính cục bộ Việc chứng thực tài khoản người dùng cũng do máy cục bộ đảm nhiệm

Moâ hình Domain Hoạt động theo cơ chế Client-Server
Trong hệ thống mạng phải có ít nhất 1 máy tính làm chức năng điều khiển vùng (Domain Controler), điều khiển toàn bộ hoạt động của hệ thống mạng Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền Mô hình này ứng dụng trong các công ty vừa và lớn Các thông tin người dùng được tập trung lại do dv Active Directory quản lý và được lưu trữ trên Domain Controler với tên file là NTDS.DIT, có thể lưu trữ thông tin của hàng triệu người dùng Việc đăng nhập vào mạng cũng tập trung lại và do Domain Controler chứng thực

Giới Thiệu Về Active Directory
Active Directory (AD) là nơi lưu trữ các thông tin về tài nguyên khác nhau trên mạng. Các tài nguyên được Active Directory lưu trữ và theo dõi bao gồm File Server, Printer, Fax Service, Application, Data, User, Group và Web Server. Thông tin nó lưu trữ được sử dụng và truy cập các tài nguyên trên mạng.

Các bước chứng thực khi người dùng đăng nhập
AD 4 6 ? 5 2 3 Domain Controler 1 User

ACTIVE DIRECTORY Giôùi thieäu Về căn bản Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng và các thông tin liên quan đến đối tượng đó. Để có thể quản lý được 1 hệ thống mạng lớn, ta thường phải phân chia nó thành nhiều Domain rồi thiết lập các mối quan hệ uỷ quyền thích hợp. AD giải quyết được các vấn đề như vậy và cung cấp một mức độ ứng dụng mới cho môi trường. Lúc này dịch vụ thư mục trong mỗi domain có thể lưu trữ hơn 10 triệu đối tượng, đủ để phục vụ hơn 10 triệu người dùng trong mỗi domain.

Chöùc naêng Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính Cung cấp 1 Server đóng vai trò chứng thực (authentication server) hoặc server quản lý đăng nhập (logon server), Server này còn được gọi là Domain Controler (máy điều khiển vùng). Duy trì 1 bảng hướng dẫn hay 1 bảng chỉ mục (Index) giúp các máy tính trong mạng dò tìm nhanh 1 tài nguyên nào đó trên các máy tính khác trong vùng. Cho phép tạo những tài khoản người dùng với những mức độ quyền (right) khác nhau. Cho phép ta chia nhỏ miền của mình ra thành nhiều miền con (Subdomain) hay các đơn vị tổ chức OU (Organizational Unit) rồi uỷ quyền cho các quản trị viên bộ phận quản lý Domain OU1 OU2 OU3

DIRECTORY SERVICES Chöùc naêng Directory Service (dịch vụ danh bạ) là hệ thống thông tin chứa trong NTDS.DIT, các chương trình quản lý khai thác tập tin này

Caùc thaønh phaàn trong Directory Services
Object (đối tượng) : Trong h.thống CSDL, đối tượng bao gồm các máy in, người dùng, các Server, các máy trạm, thư mục dùng chung, dịch vụ mạng… đối tượng là thành tố căn bản nhất của dịch vụ danh bạ. Attribute (thuộc tính) : Dùng để mô tả một đối tượng. Ví dụ: mật khẩu và tên là thuộc tính của người dùng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, nhưng cũng có thể có một vài thuộc tính giống nhau. (vd: cùng có 1 đc IP). Schema (cấu trúc tổ chức) : một Schema định nghĩa các danh sách thuộc tính dùng mô tả 1 loại đối tượng nào đó. Schema có thể tuỳ biến sửa đổi được.

Domain: Sẽ trình bày ở phần sau.
Caùc thaønh phaàn trong Directory Services (tt) Container (vật chứa): tương tự với khái niệm thư mục trong Windows. Một vật chứa có thể chứa các đối tượng và vật chứa khác. Nó cũng có thuộc tính như các đối tượng. Có 3 loại : Domain: Sẽ trình bày ở phần sau. Site : một Site là 1 vị trí, dùng phân biệt giữa vị trí cục bộ và vị trí ở xa. OU (Organizational Unit) : là nơi mà bạn có thể đưa vào đó người dùng (user), nhóm (group), máy tính (computer), máy in (printer) và những OU khác… Một OU không thể chứa các đối tượng trong Domain khác Global Catalog : Dùng để xác định vị trí của đối tượng mà người dùng được cấp quyền truy cập. Việc tìm kiếm được thực hiện bằng tên và cả bằng thuộc tính Domain OU1 OU2 Admin2 Admin1 Admin3 OU3

Common security policy
Domain Domain là đơn vị chức năng nòng cốt của cấu trúc Active Directory. Nó là một tập hợp những người dùng, máy tính tài nguyên chia sẻ có những quy tắc bảo mật giống nhau, giúp cho việc truy cập vào Server dể dàng hơn. Domain đáp ứng 3 chức năng chính sau: 1. Đóng vai trò như 1 khu vực quản trị các đối tượng có chung một cơ sở dữ liệu, thư mục dùng chung, các chính sách bảo mật, các quan hệ uỷ quyền với các domain khác Common security policy

Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ
2. Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ Domain controler 3. Cung cấp các Server dự phòng làm chức năng điều khiển vùng Đồng thời đảm bảo dữ liệu trên các Server này đồng bộ với nhau Domain controler Domain controler

Domain Tree thbk.com Domain con pm1.thbk.com pm2.thbk.com Bao gồm nhiều domain được sắp xếp theo cấu trúc hình cây. Domain tạo ra đầu tiên gọi là Domain Root và nằm ở gốc của cây thư mục, các domain tạo ra sau sẽ nằm bên dưới và được gọi là domain con (Child domain) Tên các domain phải khác biệt nhau

Kieán truùc cuûa Active Directory
Domain Domain Tree Domain Domain Domain Object OU OU OU Domain Organizational Unit Forest

Forest dhcn.com cnhh.dhcn.com ddt.dhcn.com ck.dhcn.com cntt.dhcn.com pmt.ddt.dhcn.com kt.cntt.dhcn.com sw.kt.cntt.dhcn.com hw.kt.cntt.dhcn.com phc.cnhh.dhcn.com ttdt.ddt.dhcn.com ctm.ck.dhcn.com ptn.ctm.ck.dhcn.com ptk.ctm.ck.dhcn.com Forest (rừng) được xây dựng trên 1 hoặc nhiều Domain Tree, là tập hợp các Domain Tree có thiết lập mối quan hệ và uỷ quyền cho nhau.

Trust Trust trong Active Directory Domain Services là một phương pháp giao tiếp an toàn giữa các domain, tree, forest. Trust cho phép người dùng trong một Active Directory Domain Services domain phải xác thực để điều khiển miền khác trong vùng khác, domain khác trong directory.

Forest 1 Forest (root) Tree/Root Trust Shortcut Trust External
Kerberos Realm Realm Domain D Forest 1 Domain B Domain A Domain E Domain F Domain P Domain Q Parent/Child Trust Forest 2 Domain C

LDAP (Lightweight Directory Access Protocol)
LDAP (Lightweight Directory Access Protocol) là một phần của Active Directory Nó là một giao thức phần mềm cho phép định vị các tổ chức, cá nhân hoặc các tài nguyên khác như file và thiết bị trong mạng, dù đó là mạng Internet công cộng hay mạng nội bộ trong công ty. Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm có các mức dưới đây: Thư mục gốc: gồm có các nhánh con Country: mỗi Country lại có các nhánh con Organizations: mỗi Organization lại có các nhánh con Organizational units: (các đơn vị, phòng ban,…), OU có các nhánh Individuals :(cá thể, gồm có user, file và tài nguyên chia sẻ, chẳng hạn như printer)

Group Policiy Sử dụng Group Policy trong Active Directory để định nghĩa các thiết lập người dùng và máy tính trong toàn mạng. Thông qua quản lý Group Policy, các quản trị viên có thể cấu hình toàn cục các thiết lập desktop trên các máy tính người dùng, hạn chế hoặc cho phép truy cập đối với các file hoặc thư mục nào đó bên trong mạng. Các GPO được phân chia thành hai phần riêng biệt: Group Policy Template (GPT) và Group Policy Container (GPC).

Các dịch vụ của Active Directory
Active Directory Domain Services (AD DS). Active Directory Federation Services (AD FS) Active Directory Lightweight Directory Services (AD LDS) Active Directory Rights Management Services (AD RMS) Active Directory Certificate Services (AD CS)

Active Directory Domain Services (AD DS)
Active Directory Domain Services (AD DS), trước đây được biết tới với tên gọi Active Directory Directory Services, là một khu vực để tập trung thông tin cấu hình, các yêu cầu xác thực và thông tin về tất cả những đối tượng được lưu trữ trong phạm vi hệ thống của bạn. Những tính năng nâng cao đối với AD DS trong Windows Server 2008 bao gồm:

Active Directory Domain Services (AD DS) (tt)
Auditing: Những thay đổi được thực hiện đối với các đối tượng trong Active Directory có thể được lưu lại để bạn biết được những thay đổi diễn ra đối với đối tượng đó, cũng như các giá trị mới và giá trị cũ của những thuộc tính đã thay đổi. Fine-Grained Passwords: Có thể cấu hình các chính sách về mật khẩu cho các nhóm phân biệt nằm trong domain. Mỗi tài khoản trong phạm vi domain sẽ không còn phải sử dụng cùng một chính sách về mật khẩu nữa.

Read-Only Domain Controller: Là một Domain Controller với cơ sở dữ liệu Active Directory ở dạng chỉ đọc. Dịch vụ này giúp bạn tạm bảo mật được đối với những nơi mà bảo mật chưa được đảm bảo cao độ, chẳng hạn như các văn phòng. Read-Only Domain Controller không cho phép các domain controller ở cấp thấp hơn thực hiện những thay đổi lên Active Directory. Sử dụng Read-Only Domain Controllers (RODCs) không cho những thay đổi diễn ra tại khu vực chi nhánh có thể gây hại hoặc đánh sập AD forest của bạn thông qua quá trình sao chép.

Restartable Active Directory Domain Services: đặc điểm này giúp bạn khởi động lại AD DS trong khi vẫn giữ nguyên trạng thái hoạt động của Domain Controller, giúp bạn hoàn thành những thao tác offline môt cách nhanh chóng Database Mounting Tool: Một snapshot trong cơ sở dữ liệu Active Directory có thể được đưa vào bằng công cụ này. Điều này cho phép người quản trị domain quan sát các đối tượng nằm trong snapshot để xác định những yêu cầu liên quan tới việc khôi phục khi cần thiết.

Active Directory Federation Services (AD FS)
Active Directory Federation Services (AD FS) là một giải pháp cho phép người dùng truy cập các ứng dụng web chỉ cần một lần đăng nhập cho dù người dùng và ứng dụng nằm trong các mạng hoặc tổ chức hoàn toàn khác nhau. Đối với ADFS có hai loại tổ chức: Tổ chức tài nguyên (resource organization): là tổ chức đang sở hữu và quản lý tài nguyên có thể được truy cập từ các đối tác tin cậy. Tổ chức tài khoản (account organization): là tổ chức đang sở hữu và quản lý tài khoản có thể truy cập tài nguyên từ các tổ chức tài nguyên ở trên.

Active Directory Lightweight Directory Services (AD LDS) – (tt)
Active Directory Lightweight Directory Service (AD LDS), trước đây được biết đến với tên gọi Active Directory Application Mode, có thể được sử dụng để đem tới các dịch vụ thư mục hoặc các ứng dụng theo thư mục. Thay vì sử dụng cơ sở dữ liệu AD DA của tổ chức, bạn có thể sử dụng AD LDS để lưu trữ dữ liệu. Sử dụng AD LDS, bạn có thể: giảm bớt các chi phí liên quan tới việc sao chép Active Directory; không cần mở rộng lược đồ Active Directory để hỗ trợ ứng dụng; và có thể phân vùng cấu trúc thư mục sao cho dịch vụ AD LDS chỉ được triển khai tới những máy chủ cần hỗ trợ các ứng dụng theo thư mục.

Active Directory Lightweight Directory Services (AD LDS)
Những đặc tính nâng cao đối với AD LDS trong Windows Server 2008 bao gồm: Cài đặt từ Media Generation: Khả năng tạo các phương tiện cài đặt cho AD LDS bằng Ntdsutil.exe hoặc Dsdbutil.exe. Kiểm toán: Kiểm tra những giá trị đã thay đổi trong phạm vị dịch vụ thư mục. Database Mounting Tool: Cho phép bạn xem dữ liệu trong phạm vi các snapshot của file cơ sở dữ liệu.

Active Directory Lightweight Directory Services (AD LDS) – (tt)
Active Directory Sites and Services Support: Cho phép bạn sử dụng các Active Directory Sites and Services để quản lý việc sao lại những thay đổi dữ liệu của AD LDS. Dynamic List of LDIF (LDAP - Lightweight Directory Access Protocol - Interchange Format) files: Với đặc tính này, bạn có thể liên kết các file LDIF tùy biến với các file LDIF mặc định hiện có được dùng để thiết lập AD LDS trên một máy chủ. Recursive Linked-Attribute Queries: Các truy vấn LDAP có thể theo những đường dẫn có cấu trúc mạng lưới của thuộc tính để xác định các tính chất bổ sung của thuộc tính, như là thành viên nhóm.

Active Directory Rights Management Services (AD RMS)
Là dịch vụ được dùng để kết hợp với các ứng dụng hỗ trợ AD RMS (AD RMS – enable application), nhằm bảo vệ dữ liệu quan trọng ( báo cáo tài chính,thông tin khách hàng,đơn hàng,sổ sách kê khai kế toán .v..v.) trước những đối tượng người dùng không được phép (unauthorized users). Với AD RMS, bạn có thể xác định những ai có thể thực hiện các thao tác như xem, chỉnh sửa, in ấn…, trên dữ liệu của mình.

Active Directory Certificate Services (AD CS)
Là một dịch vụ được dùng để sinh ra và quản lý các certificate trên những hệ thống sử dụng công nghệ public key. Bạn có thể sử dụng AD CS để tạo ra các máy chủ chứng thực CA ( Certification Authorities). Các CA có tác dụng nhận yêu cầu về chứng thực, sau đó xử lý và gửi các chứng thực đó về lại cho đối tượng đã gửi yêu cầu.

Caøi ñaët & Caáu hình AD

1.1 Các bước chuẩn bị cài đặt
Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là , DNS cũng là

Chọn Start  Server Manager  Roles  DNS Server Chuột phải tại mục Forward Lookup Zone  chọn New zone

Chọn Next tại cửa sổ kế tiếp và Chọn Primary Zone tại cửa sổ kế

Trong cửa sổ kế bạn có thể chọn một trong 3 tùy chọn sau: To all DNS server in this forest: Áp dụng với tất cả DNS server trong foresr này To all DNS server in this domain: Áp dụng với tất cả DNS server trong domain To all domain controllers in this domain: Áp dụng tới tất cả các domain controller trong domain này Sau đó chọn Next để tiếp tục

Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS. Công việc của bạn chưa kết thúc, bạn vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS. Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory, nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên Zone vừa tạo ra

Chỉnh lại NS Record bằng cách tương tự. Tạo ra một Record để kiểm tra xem hệ thống DNS hoạt động đã chuẩn hay chưa. Ở đây tôi tạo ra một Host A record là Server01.fithou.net địa chỉ IP là Chuột phải vào vnexperts.net Zone chọn Host A record

Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn: Ping server01.fithou.net nếu có reply là thành công.

1.2 Cài đặt dịch vụ Active Directory Domain Services
00:14:59 1.2 Cài đặt dịch vụ Active Directory Domain Services Vào Server Manager  Roles  Add Roles Nhấn Next để tiếp tục Tích vào Active Directory Domain Services và nhấn Next để tiếp tục trong bước tiếp

00:14:59 1.2 Cài đặt dịch vụ Active Directory Domain Services Nhấn Next.Tại bảng Active Directory Domain Services giới thiệu cho bạn về dịch vụ này và một số lưu ý khi cài đặt trong phần Things to Note Chọn Next để tiếp tục.Tại bảng Confirm Installation Selections sẽ yêu cầu bạn xác nhận lần cuối trước khi cài đặt.Chọn Install

00:14:59 1.2 Cài đặt dịch vụ Active Directory Domain Services Đợi cho đến khi hoàn tất quá trình cài đặt dịch vụ Active Directory Domain Services

00:14:59 1.2 Cài đặt dịch vụ Active Directory Domain Services Đợi cho đến khi hoàn tất quá trình cài đặt dịch vụ Active Directory Domain Services  Chọn Close để hoàn tất

1.3 Cài đặt domain đầu tiên (Domain chính)
00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) Vào Run gõ dcpromo và chọn OK

00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) Đợi trong vài giây để hệ thống kiểm tra đã cài đặt dịch vụ AD DS chưa. Tại bảng Welcome to the Active Directory Domain Services Installation Wizard chọn Next Tại bảng Operating System Compability sẽ cho bạn biết về tính tương thích của Windows Server Nhấn Next để tiếp tục Tại bảng Choose a Deployment Configuration chọn Create a new domain in a new forest để tạo một domain mới trên một forest mới và nhấn Next để tiếp tục

00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) Tại bảng Name the Forest Root Domain.Tại ô FQDN of the forest root domain gõ tên domain vào.Sau đó chọn Next và chờ vài giây để hệ thống kiểm tra tên domain đã sử dụng chưa (ví dụ: fithou.net).

00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) Tại bảng Set Forest Functional Level, nên chọn phiên bản Windows Server 2008 để tận dụng hết tính năng. Sau đó chọn Next để tiếp tục.

00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) Tại bảng Additional Domain Controller Options, hệ thống đã kiểm tra xem thử dịch vụ DNS Server đã có chưa, và tự động đánh dấu cài đặt DNS Server

00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) Tại bảng Directory Services Restore Mode Administrator Password, thiết lập password. Lưu ý, password này không phải là password của tài khoản Administrator trong domain và password phải theo kiểu complexity (gồm các kí tự Ví dụ chọn password là

00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) Chọn Next. Tại bảng Summary cho bạn biết thông tin mà bạn đã thiết lập ở trên. Nếu đã đúng và đầy đủ, chọn Next để thực hiện việc cài đặt Đợi hệ thống cài đặt xong chọn Finish để kết thúc quá trình cài đặt Bạn phải khởi động lại server để việc cài đặt có hiệu lực

00:14:59 1.3 Cài đặt domain đầu tiên (Domain chính) Kiểm tra hệ thống

1.4 Thêm một DC khác vào Domain
00:14:59 1.4 Thêm một DC khác vào Domain Để máy chủ Domain Controller mới hoạt động với chức năng tương đương với máy chủ Domain Controller đầu tiên phải đáp ứng: Cung cấp giải pháp tên miền DNS cho các máy Client Cung cấp xác thực và các dữ liệu liên quan khác tới dữ liệu Active Directory.

00:14:59 1.4 Thêm một DC khác vào Domain Máy chủ đầu tiên chứa toàn bộ dữ liệu DNS và các thiết lập khác trên DNS. Để máy chủ thứ hai này cũng có khả năng đáp ứng các yêu cầu DNS của Client chúng ta cần phải tạo một bản sao bao gồm dữ liệu DNS giống hệt máy chủ đầu tiên. Các bước thực hiện như sau: Bước 1: Cấu hình trên máy chủ dc1.fithou.net cho phép máy khác tạo Secondary Zone từ máy chủ này. Chọn Start  Server Manager  Roles  DNS Server Chuột phải tại mục Forward Lookup Zone Trong cửa sổ DNS chọn forward lookup zone trong đó có Zone fithou.net đã tạo ra ở phần trước. Chuột phải vào tab Zone Tranfers. Chọn Allow Zone Transfers có 3 options cho bạn lựa chọn: To any server: cho tất cả các máy tính đều lấy được dữ liệu DNS Chỉ cho phép máy chủ nào trong NS record (mặc định khi nâng cấp lên Domain Controller) Chỉ cho phép các máy chủ dưới đây Sau khi lựa chọn  OK để hoàn tất

00:14:59 1.4 Thêm một DC khác vào Domain Bước 3: Đặt địa chỉ IP Đặt địa chỉ DNS là địa chỉ DNS của máy chủ dc1.fithou.net – và địa chỉ IP của chính nó là Quá trình cài đặt DC thực hiện theo các bước như với domain đầu tiên chỉ khác trong phần Domain Controller Type, bạn chọn: Additional domain controller for an existing domain

00:14:59 1.5 Thêm một domain Chuẩn bị một máy tính cài Windows Server mới với tên dc3 có địa chỉ và máy chủ dc3 sẽ là domain controller của domain: java.fithou.net tạo ra một Secondary Zone của DNS trên máy chủ dc3 mới và đặt địa chỉ IP và DNS trước khi cài đặt Active Directory. Đặt địa chỉ IP sao cho máy tính dc3 nhận biết được domain fithou.net Quá trình cài đặt tiếp theo tương tự như đối với Domain đầu tiên chỉ khác ở cửa sổ Create a new domain bạn bắt buộc phải chọn Child domain in an existing domain tree Và ở bước nhập tên Domain bạn nhập tên Parent domain là: fithou.net, và Child domain là: java, các bước tiếp theo thực hiện tương tự.

1.6 Hạ DC xuống cliens Các bước thực hiện cụ thể như sau:
00:14:59 1.6 Hạ DC xuống cliens Các bước thực hiện cụ thể như sau: Vào Run ,gõ dcpromo Tại bảng Welcome to Active Directory Domain Services Installation Wizard chọn Next. Tại bảng thông báo Global catalog server. Chọn OK. Tải bảng Delete the Domain, chọn Delete the domain because is the last domain controller in the domain. Chọn Next. Tại bảng Confirm Deletion. Chọn Delete all application directory partitions on this Active Directory domain controller. Chọn Next. Tại bảng Administrator Password. Nhập password cho tài khoản Administrator Chọn Next. Tại bảng Summary, xem lại thông tin thiết lập Chọn Next và đợi cho tới khi hệ thống yêu cầu Restart để thay đổi có hiệu lực.

1.7 Quản lý User, Group và Organizational Unit (OU)
00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Các bước tạo user được thể hiện chi tiết dưới đây:Mở Server Manager.Click Roles  Active Directory Domain Services  Active Directory Users and Computers.Sau đó click vào domain. Nhấp chuột phải vào User và chọn New  User

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Tại bảng New Object – User bạn điền đầy đủ các thông tin vào mục First name,Last name,Full name. Lưu ý : tại mục User logon name. Đây chính là tên tài khoản của bạn dùng để đăng nhập vào hệ domain. Vì thế phải nhớ chính xác, và phải đảm bảo tính duy nhất. Hoàn tất và chọn Next để tiếp tục.

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Tại bảng thiết lập password. Đây là mật khẩu của bạn ứng với tên tài khoản đã tạo ở trên, dùng để đăng nhập vào domain. Có 1 số tùy chọn đối với mật khẩu: User must change password at next logon: Bắt buộc người dùng phải thay đổi mật khẩu trong lần đăng nhập kế tiếp. User cannot change password: Người dùng không được phép thay đổi mật khẩu. Passowrd never expires: Mật khẩu không bao giờ hết hạn. Acount is disabled: Tài khoản cấm sử dụng. Hoàn tất và chọn Next để tiếp tục. Ở bảng tiếp theo là thông tin về user chuẩn bị được tạo. Chọn Finish để hoàn tất.

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Tạo mới group Nhấp chuột phải vào User và chọn New  Group Tại ô Group name gõ tên group. Có một số tùy chọn về phạm vi của nhóm và kiểu của nhóm, lựa chọn phù hợp và nhấn OK

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Tạo Organizational Unit (OU) nhấp chuột phải vào tên domain, chọn New  Organizational Unit Gõ tên OU vào ô Name. Nếu bạn muốn cho phép thao tác xóa đươc thực hiện trên OU này thì bỏ chọn vào mục Protect container from accidental deletion

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Thực hiện các nhiệm vụ quản trị thông dụng(Performing common administrative tasks) Thiết lập thời gian để user được phép đăng nhập vào domain Theo mặc định, user được phép đăng nhập 24/24. Để thiết lập lại ta thực hiện các thao tác như sau: Nhấp chuột phải vào user vừa tạo và chọn Properties chuyển qua tab Account và chọn Logon Hours Chọn khoảng thời gian và click vào ô Logon Denied để chặn thời gian truy cập của user, sau đó chọn OK để hoàn tất

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Hình dưới đây thể hiện cho thiết lập để user này chỉ truy cập được vào 8h sáng đến 19h vào các ngày thứ 2 cho đến thứ 7.

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Thiết lập user đăng nhập sử dụng máy tính Vì lí do bảo mật, không phải user nào cũng được đăng nhập vào các máy tính một cách tùy ý. Để thiết lập tính riêng tư và chỉ định máy tính nào user được phép sử dụng thực hiện theo các bước sau: Nhấp chuột phải vào user vừa tạo và chọn Properties Vào tab Account, chọn Log On To Chọn The following computers Gõ tên máy tính mà user được phép đăng nhập Chọn Add. Nếu bạn muốn bỏ thì click vào tên máy tính và chọn Remove. Hoặc muốn sửa tên thì click vào tên máy tính và chọn Edit. Kết thúc chọn OK để xác nhận

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU)

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Thêm user vào group Để thêm user vào group thực hiện theo các bước sau: nhấp chuột phải vào group và chọn Properties Tại tab Member, chọn Add Tại ô Enter the object name to select bạn gõ tên user muốn đưa vào group.Lưu ý tên user phải là tên bạn đã điền tại mục User logon name ở phần tạo user Sau khi gõ tên user bạn chọn Check Names để kiểm tra Nếu tên tồn tại xuất hiện hộp thoại sau và OK để hoàn tất

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Chọn user quản lý group Thực hiện theo các bước sau: nhấp chuột phải vào group và chọn Properties Chọn tab Managed By Chọn nút change và gõ tên vào ô name. Chọn OK để hoàn tất.

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Đưa group vào OU Thực hiện theo các bước sau: Nhấp chuột phải vào tên group và chọn Move Chọn tên OU và OK để hoàn tất

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Xóa user, group hoặc OU Thao tác rất đơn giản: nhấp chuột phải lên đối tượng và chọn Delete và chọn Yes .

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Ủy quyền(Delegation) Một trong những tính năng tố nhất của Active Directory Domain Services là khả năng ủy quyền. Người quản trị sẽ thiết lập cho một số user được phép thực hiện một số quền quản trị nào đó như: tạo mới hoặc xóa bỏ user, tạo hoặc xóa group, thiết lập lại mật khẩu cho user… Để thực hiện chức năng này làm theo các bước sau: Kích chuột phải vào tên domain  chọn Delegation of Control Wizard và nhấn Next ở cửa sổ chào mừng

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Tại cửa sổ Delegation of Control Wizard  chọn Add sau đó nhập tên user, group hoặc OU mà bạn muốn ủy quyền  Nhấn Check name sau đó OK và chọn Next tại cửa sổ Delegation of Control Wizard để tiếp tục

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Trong hộp thoai tiếp theo bạn chọn các quền mà bạn muốn ủy quền cho các đối tượng đã chọn ở bước trước. Gồm có các quền sau: Create, delete, and manage user accounts: Tạo, hủy và quản lý tài khoản Reset user passwords and force password change at next logon: Thiết lập lại mật khẩu và Chức năng thay đổi mật khẩu vào lần đăng nhập kế tiếp Read all user information: Xem tất cả thông tin về user Modify the membership of a group: Sửa đổi các thành viên trong một nhóm Join a computer to a domain: Kết nối máy tính vào domain Manage Group Policy links: Quản lý các liên kết Group Policy Generate Resultant Set of Policy (Planning): Tạo các chính sách Generate Resultant Set of Policy (Logging): Tạo các chín sách đăng nhập Create, delete, and manage inetOrgPerson accounts: Tạo, hủy và quản lý tài khoản inetOrgPerson Reset inetOrgPerson passwords and force password change at next logon: Thiết lập lại mật khẩu inetOrgPerson và thay đổi mật khẩu trong lần đăng nhập kế tiếp Read all inetOrgPerson information: Xem tất cả các thông tin về inetOrgPerson

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Sau khi đã chọn được các quền phù hợp  chọn Next để tiếp tục

00:14:59 1.7 Quản lý User, Group và Organizational Unit (OU) Sau khi đã chọn được các quền phù hợp  chọn Next để tiếp tục Chọn Finish trong cửa sổ tiếp theo: Cho biết tên các đối tượng và các quyền được ủy quền.

2. Kết nối máy client vào Domain
00:14:59 2. Kết nối máy client vào Domain Sau khi đã triển khai thành công Active Directory Domain Services, tạo các user, group và OU. Lúc này, công việc tiếp theo là join các máy trạm (client) vào domain . Ở đây thực hiện môt tả việc kết nối máy chạy hệ điều hành Windows XP vào domain fithou.net Các bước cụ thể được thể hiện sau đây: Trước tiên, thiết lập IP cho máy XP Điền địa chỉ IP của client cùng lớp mạng với IP của server. Ở trong trường hợp này sử dụng lớp C là x .Tại mục Use the following DNS server addresses điền địa chỉ IP của DNS Server mà bạn đã thiết lập lúc cài đặt DC .Trong trường hợp này là Sau đó chọn OK.

2. Kết nối máy client vào Domain
00:14:59 2. Kết nối máy client vào Domain Nhấp chuột phải vào My Computer trên desktop và chọn Properties Trên tab Computer Name, chọn Change để tiếp tục

2 Kết nối máy client vào Domain
00:14:59 2 Kết nối máy client vào Domain Tại hộp thoại Computer Name Changes Nhập tên máy  Đánh dấu vào domain trong Member of và nhập tên domain. Ở đây là fithou.net sau đó chọn OK để kết thúc

00:14:59 2 Kết nối máy client vào Domain Vì tính bảo mật, hệ thống sẽ yêu cầu bạn đăng nhập vào domain , đăng nhập với Username : Administrator

00:14:59 2 Kết nối máy client vào Domain Sau khi đăng nhập thành công xuất hiện thông báo sau. Nhấn OK để tiếp tục

00:14:59 2 Kết nối máy client vào Domain Tiếp theo hệ thống yêu cầu bạn phải khởi động lại máy để hoàn tất  chọn OK

00:14:59 2 Kết nối máy client vào Domain Sau khi khởi động lại máy. Hệ thống yêu cầu đăng nhập bạn nhấn tổ hợp Alt + Ctrl + Delete để đăng nhập vào máy. Bạn chon logon to fithou.net để đăng nhập được vào domain Có thể đăng nhập với bất kỳ tài khoản nào khi thỏa mãn tài khoản đó được đăng nhập tại máy này và khoảng thời gian này

00:14:59 2 Kết nối máy client vào Domain Trong lần đăng nhập đầu tiên do chính sách được người quản trị thiết lập, bạn nhận được yêu cầu thay đổi mật khẩu Nhập mật khẩu và OK để hoàn tất việc đăng nhập

00:14:59 2 Kết nối máy client vào Domain Kiểm tra bên máy DC. Vào Server Manager  Roles  Active Directory Domain Services  Active Directory Users and Computers  ict24h.net  Computers . Đã thấy tên máy máy XP có tên MAY1 hiện diện trên domain

Question and answer

Thank you for listening

Caùc moâ hình maïng trong moâi tröôøng Microsoft

Similar presentations

Presentation on theme: "Caùc moâ hình maïng trong moâi tröôøng Microsoft"— Presentation transcript:

Similar presentations

About project

Feedback

Log in

Auth with social network:

Caùc moâ hình maïng trong moâi tröôøng Microsoft

Similar presentations

Presentation on theme: "Caùc moâ hình maïng trong moâi tröôøng Microsoft"— Presentation transcript:

Similar presentations

About project

Feedback