Lab Windows Server 2008 Lab #4 – Active Directory ACTIVE DIRECTORY A Khái Quát Về Active Directory Trong viết tập trung phân tích, giải thích cách tổng quan Active Directory để bạn hiểu rõ vấn đề sau: · Chức Directory Service · Mục đích Active Directory · Các tính Active Directory I Hiểu biết Directory Services (UNDERSTANDING DIRECTORY SERVICES ) - Directory mơ hình tổ chức thơng tin, liệu mà thơng tin liệu có mối quan hệ chặc chẽ với nhau, ta dễ dàng nắm thơng qua ví dụ Danh bạ điện thoại, với Tên danh bạ, ta dễ dàng tra số điện thoại tương ứng - Trong hệ thống máy tính phân tán mạng máy tính, có nhiều đối tượng tổ chức, lưu trữ theo cấu trúc Directory users, máy tính, file, server, máy in, máy fax … Và người dùng cuối tức user, muốn sử dụng đối tượng sao, ví dụ user muốn dùng máy in sao? Do cần có dịch vụ hỗ trợ user xác định đối tượng cho phép user sử dụng nó, mà ta có định nghĩa Directory Service Directory Service áp dụng việc lưu trữ thông tin, liệu theo kiến trúc tổ chức Directory quản lí tập trung đối tượng, đơn giản hóa q trình xác định quản lí resources - Directory Service dịch vụ hoạt động switchboard hệ điều hành máy chủ, hỗ trợ nguồn Resources độc lập phân tán làm việc với nhau, kết nối với Directory Service cung cấp tảng cho chức hệ điều hành máy chủ, đảm bảo tính bảo mật, nâng cao hiệu thiết kế triển khai hệ thống mạng, đồng thời giúp người quản trị dễ dàng quản trị hệ thống II Vì cần phải có Directory Service (WHY HAVE A DIRECTORY SERVICE?): LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory - Directory Service cung cấp phương tiện hỗ trợ việc tổ chức đơn giản hóa việc truy xuất Resources Người dùng người quản trị không cần biết xác đối tượng mà họ cần Họ cần biết số yêu tố đối tượng Trong hình trên, ta dễ dàng thấy Directory Service truy vấn Directory để lấy thông tin Object thông qua số yếu tố Object Directory Service vừa dịch vụ hỗ quản trị hệ thống, công cụ hỗ cho người dùng cuối (User) việc quản trị hệ thống III Vậy Active Directory (HOW ABOUT ACTIVE DIRECTORY?) - Active Directory ứng dụng Directory Service, tích hợp vào họ phiên Windows Server, xem trái tim hệ thống mạng góp phần mang đến thành cơng Windows Server Active Directory lưu trữ thông tin tài ngun hệ thống mạng mơ hình tổ chức Directory họat động với chế dịch vụ, ngun tắc hoạt động Active Directory, tóm lại Active Directory hoạt động với chế Directory Service, nhiên bên Active Directory cịn nhiều điều huyền bí cho anh em IT Pro tụi nghiên cứu, tìm hiểu ứng dụng LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory IV Active Directory có tính (WHAT CAN ACTIVE DIRECTORY DO?) - Là dịch vụ tích hợp sẵn họ sản phẩm Windows Server Microsoft, Active Directory cung cấp cho tụi số tính quan trọng, phải nói nhiều giúp cơng việc thiết kế, triển khai quản trị hệ thống anh em dễ dàng hơn, chặt chẽ Vậy tính năng, dịch vụ gì? · Centralized Data Store – Lưu trữ liệu tập trung: Toàn liệu, thông tin hệ thống lưu trữ cách tập trung, cho phép người dùng truy cập liệu từ nơi đâu, lúc đồng thời nâng cao hiệu quản trị hệ thống, giảm thiếu độ rủi ro cho tài nguyên · Scalability – khả linh hoạt với nhu cầu: Active Directory cung ứng cách linh hoạt giải pháp quản trị khác cho nhu cầu cụ tảng hạ tầng xác định doanh nghiệp · Extensibility – Cơ sở liệu Active Directory cho phép nhà quản trị customize phát triển, ngồi ta cịn phát triển ứng dụng sử dụng sở liệu này, giúp tận dụng hết khả năng, hiệu Active Directory · Manageability – khả quản trị linh hoạt dễ dàng: Active Directory tổ chức theo chế Directory Service mơ hình tổ chức Directory giúp nhà quản trị có nhìn tổng quan hệ thống, đồng thời giúp user dễ dàng truy xuất sử dụng tài nguyên hệ thống · Integration with Domain Name System (DNS) DNS partner cần thiết Active Directory, hệ thống mạng, dịch vụ Active Directory hoạt động dịch vụ DNS cài đặt DNS có trách nhiệm dẫn đường, phân giải Active Directory Domain Controller hệ thống mạng, quan trọng môi trường Multi Domain DNS dễ dàng tích hợp vào Active Directory để nâng cao độ bảo mật khả đồng hóa Domain Controller với môi trường nhiều Domain · Client Configuration Management: Active Directory cung cấp cho khả quản trị cấu hình phía client, giúp quản trị hệ thống dễ dàng nâng cao khả di động user · Policy – based administration: Trong Active Directory, việc quản trị hệ thống mạng đảm bảo cách chắn thơng qua sách quản trị tài nguyên, quyền truy xuất site, domain organization unit Đây tính quan trọng tích hợp vào Active Directory LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory · Replication of information: Active Directory cung cấp khả đồng liệu thông tin domain, tảng, môi trường nhiều domain nhằm mục đích giảm thiếu đến mức tối đa rủi ro nâng cao khả họat động hệ thống mạng · Flexible, secure authentication and authorization: Active Directory cung cấp nhiều chế authentication Kerberos, Secure Socket Layer Transport Layer Security giúp cho việc bảo mật thông tin user xác thực thông tin truy xuất tài nguyên · Security integration: Active Directory tích hợp mặc địnhtrong phiên Windows Server, Active Directory làm việc dễ dàng linh hoạt, truy xuất điều khiển hệ thống định nghĩa đối tượng, thuộc tính đối tượng Khơng thế, sách bảo mật áp dụng khơng phải đơn local mà cịn áp dụng site, domain hay ou xác định · Directory – enable applications and infrastructure: Active Directory môi trường tuyệt hảo cho nhà quản trị thiết lập cấu hình quản trị ứng dụng hệ thống Đồng thời Active Directory cung cấp hướng mở cho nhà phát triển ứng dụng (developer) xây dựng ứng dụng tảng Active Directory thông qua Active Directory Service Interfaces · Interoperability with other directory services: Active Directory xây dựng giao thức directory service chuẩn gồm giao thức Lightweight Directory Access Protocol (LDAP) Name Service Provider Interface (NSPI), Active Directory có khả tương thích với dịch vụ khác xây dựng tảng directory service thơng qua giao thức Vì LDAP giao thức directoy chuẩn, ta phát triển, tích hợp sản phẩm ứng dụng trao đổi, chia sẻ thông tin với Active Directory thông qua giao thức LDAP Còn giao thức NSPI hỗ trợ Active Directory nằm mục đích đảm bảo nâng cao khả tương thích với directoy Exchange · Signed and encrypted LDAP traffic: Mặc định công cụ Active Directoy windows server tự động xác thực mã hóa thơng tin, liệu truyền tải giao thức LDAP Việc xác thực giao thức nhằm đảm bảo thơng tin gửi đến từ nguồn thức không bị giả mạo LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory B Kiến trúc Active Directory Trong viết tập trung tìm hiểusâu giải thích số vấn đề kiến trúc Active Directory : · Kiến trúc database Active Directory · Kiến trúc tổ chức Active Directory I ACTIVE DIRECTORY OBJECTS - Dữ liệu Active Directory thông tin users, máy in, server, database, groups, computers security policies tổ chức objects (đối tượng) Mỗi object có thuộc tính riêng đặc trưng cho object đó, ví dụ object user có thuộc tính liên quan First Name, Last Name, Logon Name, … Computer Object có thuộc tính computer name description Một số object đặc biệt bao gồm nhiều object khác bên gọi “container”, ví dụ domain container bao gồm nhiều user computer account LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory II ACTIVE DIRECTORY SCHEMA - Trong Active Directory, database lưu trữ AD Schema, Schema định nghĩa đối tượng lưu trữ Active Directory Nhưng Schema lưu trữ đối tượng nào? Thực chất, schema danh sách định nghĩa xác định loại đối tượng loại thông tin đối tượng lưu trữ Active Directory Về chất, schema lưu trữ object - Schema định nghĩa gồm loại đối tượng (object) schema class objects schema Attribute objects - Schema Class có chức template cho việc tạo đối tượng AD Mỗi Schema Class tập hợp thuộc tính đối tượng(Schema Attribute Objects) Khi bạn tạo đối tượng thuộc loại Schema Class Schema Attribute lưu trữ thuộc tính đối tượng tương ứng với loại Schema Class đối tượng - Schema Attribute định nghĩa Schema Class tương ứng với Mỗi thuộc tính định nghĩa lần Active Directory thuộc nhiều Schema Class theo quan hệ nhiều (1-m) LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory - Mặc định tập hợp Schema Class Schema Attribute đóng gói sẵn chung với Active Directory Tuy nhiên Schema Active Directory mở khả phát triển mở rộng Schema Class Attribute có sẵn tạo Attribute SChema.Tuy nhiên có lợi hại, để mở rộng phát triển với schema, bạn cần chuẩn bị kỹ lưỡng thông qua thiết kế rõ ràng xem xét có cần thiết hay khơng, độ rủi ro việc cao hệ thống hoạt động ổn định, vấn đề làm Virtual Lab anh em thỏai mái thơi, khơng có vấn đề cả, ^^ III ACTIVE DIRECTORY COMPONENTS - Trong mơ hình mạng doanh nghiệp, components Active Directory sử dụng, áp dụng để xây dựng nên mơ hình phù hợp với nhu cầu doanh nghiệp Xét khía cạnh mơ hình kiến trúc AD ta phân làm loại Physical Logical Logical Structure: - Trong AD, việc tổ chức tài nguyên theo chế Logical Structure, ánh xạ thơng qua mơ hình domains, OUs, trees forest Nhóm tài nguyên tổ chức cách luận lí cho phép bạn dễ dàng truy xuất đến tài nguyên phải nhớ cụ thể vị trí vật lí a) Domain: - Cốt lõi kiến trúc tổ chức luận lí AD Domain, nơi lưu trữ hàng triệu đối tượng (objects) Tất đối tượng hệ thống mạng domain domain lưu trữ thơng tin đối tượng Active Directory kiến tạo hay nhiều domain domain triển khai nhiều physical structure Việc access vào domain quản trị thông qua Access Control Lists (ACLs), quyền truy xuất domain tương ứng với đối tượng b) OUs: - OU container dùng để tổ chức đối tượng domain thành nhóm quản trị luận lí (logical) OUs cung cấp phương tiện thực tác vụ quản trị hệ thống quản trị user resources, scope đối tượng nhỏ mà bạn ủy quyền xác thực quản trị OUs bao gồm nhiều đối tượng khác user accounts, groups, computers OUs khác tạo nên OUs domain Các OUs domain độc lập với kiến trúc OUs thuộc domain khác c) Trees: LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory - Trees nhóm domain tổ chức theo cấu trúc hình với mơ hình parentchild ánh xạ từ thực tế tổ chức doanh nghiệp, tổ chức Một domain có họăc nhiều child domain child domain có parent-domain mà d) Forests: - Forest thuật ngữ đặt nhằm định nghĩa mơ hình tổ chức AD, forest gồm nhiều domain trees có quan hệ với nhau, domain trees forest độc lập với tổ chức, nghe mâu thuẫn mối quan hệ ta dễ hiểu mối quan hệ domain trees quan hệ Trust chiều partners với - Một forest phải đảm bảo thoả đặc tính sau: · Tồn domain forest phải có schema chia sẻ chung · Các domain forest phải có global catalog chia sẻ chung · Các domain forest phải có mối quan hệ trust chiều với · Các tree forest phải có cấu trúc tên(domain name) khác · Các domain forest hoạt động độc lập với nhau, nhiên hoạt động forest hoạt động toàn hệ thống tổ chức doanh nghiệp LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory Physical Structure: - Xét khía cạnh physical component AD gồm phần Sites Domain Controllers Với vị trí administrator, bạn phải dùng components để thiết kế triển khai mơ hình kiến trúc phù hợp với nhu cầu doanh nghiệp tổ chức a) Sites: - Site thuật ngữ dùng đến nói vị trí địa lý domain hệ thống Khi hệ thống domain phân tán vị trí địa lý, nơi khác có quan hệ với nơi đặt domain Site LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory - Trong hình trên, ta thấy với mổi site có nhiều domain khác hay domain thuộc nhiều site khác - Ví dụ cơng ty A có chi nhánh Hà Nội Thành Phố Hồ Chí Minh, chi nhánh, nhân viên thường xuyên phải đăng nhập vào domain để làm việc Tuy nhiên hạ tầng mạng đường truyền hạn chế, giải pháp hợp lí cho công ty A? Với nhu cầu công ty A, ta triển khai domain Hà Nội, domain Thành Phố Hồ Chí Minh domain có quan hệ với nhau, domain tiến hành replicate liệu, thông tin theo schedule xác định, nhân viên Hà Nội Tp Hồ Chí MInh cần đăng nhập vào hệ thống phù hợp với vị trí b) Domain Controllers: - Domain Controller máy tính hay server chuyên dụng setup Windows Server lưu trữ Domain Directory (local domain database) Một domain có hay nhiều domain controller, domain controller có liệu Domain Directory Domain Controller chịu trách nhiệm chứng thực cho users chịu trách nhiệm đãm bảo sách bảo mật thực thi - Các chức domain controller: · Mỗi domain controller lưu trữ thông tin Active Directory cho domain đó, chịu trách nhiệm quản lí thơng tin tiến hành đồng liệu với domain controller khác củng domain · Domain Controller Domain có khả tự động đồng liệu với domain controller khác domain Khi bạn thực tác vụ thông tin lưu trữ domain controller, thơng tin tự động đồng hóa đến domain controller khác Tuy nhiên để đảm bảo ổn định cho hệ thống mạng, cần phải có sách hợp lí cho domain việc đồng hóa thơng tin liệu với thời điểm phù hợp · Domain Controller tự động đồng hóa thay đổi quan trọng Domain disable user account · Active Directory sử dụng việc đồng hóa liệu theo chế multimaster, nghĩa khơng có domain controller đóng vai trị master cả, mà thay vào tất domain controller đểu ngang hàng với nhau, domain controller lưu trữ database hệ thống Các domain controller lưu trữ thông tin liệu khác khỏang thời gian ngắn thông tin domain controller hệ thống đồng với nhau, hay nói cách khác thống liệu cho toàn domain LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory ü Computer Name: đánh tên máy vào muốn đổi tên chọn la dhcp ü Tiếp theo stick vao phần Domain nhập vào domain bạn domain liveclubhoasen.com - Nhấn OK hệ thống check DNS server DC domain liveclubhoasen.com, bảng thông báo yêu cầu nhập tài khoản user quyền joindomain chọn tài khoản Admin - Xác nhận hoàn tất - Yêu cầu Restart lại hệ thống - Log on kiểm tra hệ thống máy sau join LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory III Quản lý User, Group, OU: - Vào Server Management Roles Active Directory Domain Services liveclubhoasen.com (p/s: tên domain bạn) Tạo User, Group, OU: - Chuột phải liveclubhoasen.com New LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory - Chúng ta tạo user hv1, group lop group hocvien a) New User: - Điền thông tin tài khoản user Next LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory ü Password: yêu cầu phức tạp ü User must change password at next logon : tài khoàn sau tạo yêu cầu thay đổi mật lần đăng nhập ü User cannot change passsword : tài khoản không quyến thay đổi mật ü Password never expires : mật khơng hết hạn hệ thống có trường policy quản lý sau khoảng thời gian sẵn yêu cầu người dùng đổi mật lại để tăng mức độ bảo mật với người dùng ü Account Disable : tài khoản sau tạo không sử dụng mà bị khóa chưa sử dụng - Cuối Next tạo tài khoản hoàn tất Lưu ý: xuất thơng q có nghĩa password tài khoản bạn chưa phức tạp phải thay khác: b) New Group: LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory - Nhập group name OK c) New Organizational Unit (OU): LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory Làm việc với User: - Vào thư mục user chuột phải user hv1 vừa tạo Properties - Hộp thoại thông tin user hv1 Chúng ta qua TAB a) General: Chứa thông tin user điện thoai,email,tên,… LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory b) Address: chưa thơng tin địa chỉ, nơi , văn phịng, mã vùng… LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory c) Account: chứa thông tin tài khoản bao gồm tên đăng nhập, tên domain, - Account options chứa thuộc tính action áp cho tài khoản tương tự mục tạo user nói bạn xem lại - Account expires quy định tài khoản khơng cịn sử dụng áp dụng cho tài khoản xài thời vụ - Mục Logon Hours quy định thời gian cho phép sử dụng account ngày, tuần + Với màu xanh ý nghĩa cho sử dụng màu trắng cấm LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory - Mục Logon To quy định máy user có quyền logon sử dụng cị thể điền netbios name domain name máy c) Profile: - Profile path : cho phép thay đổi thư muc chưa profile user - Logon script : đoạn script kích user logon hệ thống LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory - Localpath : cho phép thay đổi đường dẫn thư muc home cua user local máy hệ thống mạng thông qua cách connect d) Member Of: Quản lý group user LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory e) Dial in: Quản lý quyền kết nối user Làm việc với Group: - Chuột phải group properties LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory - General cho biết thông tin type scope group Members cho biết user thuộc group Member of cho biết group có nằm group không, Managed By ủy thác cho user quản lý group Làm việc với Organizational Unit (OU): - Có chức quan delegate control chức có nhiệm vụ ủy quyền OU cho user group quản lý với quyền hạn định tùy theo Admin phân quyền - Bước đầu chuột phải OU Delegate control Next LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory - Add user group quản lý OU Next LiveClub Hoa Sen www.liveclubhoasen.net Lab Windows Server 2008 Lab #4 – Active Directory - Trong muc Delegate the following common tasks chọn quyền hạn cho người quản lý OU Next Finish LiveClub Hoa Sen www.liveclubhoasen.net ... – Active Directory B Kiến trúc Active Directory Trong viết tập trung tìm hiểusâu giải thích số vấn đề kiến trúc Active Directory : · Kiến trúc database Active Directory · Kiến trúc tổ chức Active. .. Server 2008 Lab #4 – Active Directory IV Active Directory có tính (WHAT CAN ACTIVE DIRECTORY DO?) - Là dịch vụ tích hợp sẵn họ sản phẩm Windows Server Microsoft, Active Directory cung cấp cho... b) Domain Controllers: - Domain Controller máy tính hay server chuyên dụng setup Windows Server lưu trữ Domain Directory (local domain database) Một domain có hay nhiều domain controller, domain