Giới thiệu và các thao tác quản trị với Active Directory trong Windows Server 2008 (2)

Thông tin tài liệu

VIỆN ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ TIN HỌC BÀI TẬP LỚN Môn: Quản trị mạng Đề tài (06): Giới thiệu thao tác quản trị với Active Directory Windows Server 2008 Sinh viên thực hiện:  Qng Văn Liêm  Lớp: 08B6 Giáo viên hướng daãn: Đinh Tuấn Long Hà Nội - 2010 Active Directory – Windows Server 2008 MỤC LỤC I Giới thiệu Active Directory (DC) 1.1 Active Directory ? 1.2 Tại cần thực thi Active Directory? .3 1.3 Những đơn vị Active Directory 1.3.1 Directory .4 1.3.2 Domain 1.3.3 Domain Controller 1.3.4 Forest 1.3.5 Organizational unit .5 1.3.6 Object (đối tượng) .5 1.3.7 Schema 1.3.8 Site .6 1.3.9 Tree (cây) 1.3.10 Trust 1.3.11 Infrastructure Master Global Catalog 1.3.12 LDAP 1.3.13 Sự quản lý Group Policiy 1.4 Các dịch vụ Active Directory .9 1.4.1 Active Directory Domain Services (AD DS) .9 1.4.2 Active Directory Federation Services (AD FS) 10 1.4.3 Active Directory Lightweight Directory Services (AD LDS) 11 1.4.4 Active Directory Rights Management Services (AD RMS) .12 1.4.5 Active Directory Certificate Services (AD CS) 12 II Các thao tác quản trị với Active Directory 13 1.5 Cài đặt thao tác quản trị với Active Directory Domain Services 13 1.5.1 Các bước chuẩn bị cài đặt 13 1.5.2 Cài đặt dịch vụ Active Directory Domain Services 19 1.5.3 Cài đặt domain (Domain chính) 24 1.5.4 Thêm DC khác vào Domain .35 1.5.5 Thêm domain dựa domain tồn .37 1.5.6 Hạ DC xuống client 38 1.5.7 Quản lý User, Group Organizational Unit (OU) 39 1.5.8 Kết nối máy Client vào Domain 55 1.6 Cài đặt thao tác quản trị với Active Directory Federation Services (AD FS) .61 1.6.1 Các tác vụ cần thực trước cài đặt ADFS .61 1.6.2 Cài đặt role ADFS cấu hình certificate 61 1.6.3 Cấu hình web server 61 1.6.4 Cấu hình federation server .61 1.6.5 Truy cập ứng dụng từ máy client .61 Trang Active Directory – Windows Server 2008 Trang Active Directory – Windows Server 2008 Giới thiệu Active Directory (DC) 1.1 Active Directory ? Active Directory dịch vụ thư mục (directory service) đăng ký quyền Microsoft, phần khơng thể thiếu kiến trúc Windows Giống dịch vụ thư mục khác, chẳng hạn Novell Directory Services (NDS), Active Directory hệ thống chuẩn tập trung, dùng để tự động hóa việc quản lý mạng liệu người dùng, bảo mật nguồn tài nguyên phân phối, cho phép tương tác với thư mục khác Thêm vào đó, Active Directory thiết kế đặc biệt cho môi trường kết nối mạng phân bổ theo kiểu Nói cách khác Active Directory sở liệu với chức như:  Lưu trữ thông tin tài khoản người dùng tài nguyên mạng máy tính  Xác định tính hợp lệ người truy cập tài nguyên mạng  Lưu trữ thơng tin mạng máy tính đối tượng cấu trúc phân cấp Ngoài cịn cung cấp:  Sự quản lý tập trung  Các khả tìm kiếm nâng cao  Ủy quyền đại diện Với người dùng quản trị viên, Active Directory cung cấp khung nhìn mang tính cấu trúc để từ dễ dàng truy cập quản lý tất tài nguyên mạng 1.2 Tại cần thực thi Active Directory? Có số lý để lý giải cho câu hỏi Microsoft Active Directory xem bước tiến triển đáng kể so với Windows NT Server 4.0 domain hay chí mạng máy chủ standalone Active Directory có chế quản trị tập trung toàn mạng Nó cung cấp khả dự phịng tự động chuyển đổi dự phòng hai nhiều domain controller triển khai domain Active Directory tự động quản lý truyền thông domain controller để bảo đảm mạng trì Người dùng truy cập vào tất tài nguyên mạng thông Trang Active Directory – Windows Server 2008 qua chế đăng nhập lần Tất tài nguyên mạng bảo vệ chế bảo mật mạnh, chế bảo mật kiểm tra nhận dạng người dùng quyền hạn truy cập tài nguyên Active Directory cho phép tăng cấp, hạ cấp domain controller máy chủ thành viên cách dễ dàng Các hệ thống quản lý bảo vệ thơng qua sách nhóm Group Policies Đây mơ hình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng ủy nhiệm trách nhiệm quản trị Quan trọng Active Directory có khả quản lý hàng triệu đối tượng bên miền 1.3 Những đơn vị Active Directory 1.3.1 Directory Là kho lưu trữ để biết thông tin người dùng tài nguyên tổ chức Active Directory loại thư mục chứa thuộc tính thông tin liên lạc cho loạt nguồn tài nguyên mạng để người dùng quản trị viên tìm thấy chúng dễ dàng 1.3.2 Domain Là đơn vị chức nòng cốt cấu trúc logic Avtive Directory Nó phương tiện để quy định tập hợp người dùng, máy tính, tài nguyên, chia sẻ có quy tắc bảo mật giống từ giúp cho việc quản lý truy cập vào server dễ dàng Domain đáp ứng chức sau: - Đóng vai trị khu vực quản trị (administrative boundary) đối tượng, tập hợp định nghĩa quản trị cho đối tượng chia sẻ như: có chung sở liệu thư mục, sách bảo mật, quan hệ ủy quyền, sách bảo mật, quan hệ ủy quyền với domain khác - Giúp quản lý bảo mật tài nguyên chia sẻ - Cung cấp server dự phòng làm chức điều khiển vùng (domain Controller), đồng thời đảm bảo thông tin server đồng với Trang Active Directory – Windows Server 2008 1.3.3 Domain Controller Một domain controller giữ thông tin bảo mật sở liệu đối tượng directory cho domain cụ thể có trách nhiệm xác thực đối tượng phạm vi kiểm soát họ Nhiều domain controller liên kết với domain định, domain controller giữ vai trò quết định domain, tất domain controller miền bình đằng quyền lực Điều cho thấy tiến so với nhãn dự phịng phân cơng cho domain controller Windows NT 1.3.4 Forest Forest phận chứa đựng logic lớn Active Directory Domain Services bao gồm tất domain phạm vi hoạt động nó, tất liên kết với thông qua ủy thác bắc cầu xây dựng tự động Bằng cách này, tất domain forest tự động ủy thác domain khác forest Các Forest không bị hạn chế theo địa lý topo mạng Một forest gồm nhiều miền, miền lại chia sẻ lược đồ chung Các thành viên miền forest chí khơng cần có kết nối LAN WAN chúng Mỗi mạng riêng gia đình nhiều forest độc lập Nói chung, forest nên sử dụng cho thực thể Mặc dù vậy, cần đến forest bổ sung cho việc thực test nghiên cứu mục đích bên ngồi forest tham gia sản xuất 1.3.5 Organizational unit Nhóm mục domain Chúng tạo nên kiến trúc phân cấp cho domain tạo cấu trúc tổ chức Active Directory theo điều kiện tổ chức địa lý 1.3.6 Object (đối tượng) Trong Active Directory Domain Services, object phần direcrory, user, group, thư mục chia sẻ, máy in, liên hệ, chí organizational units Object thực thể directory bạn mà quản lý trực tiếp 1.3.7 Schema Các schema Active Directory Domain Services cấu trúc thực tế sở liệu – trường Các loại thông tin khác lưu Active Directory Domain Trang Active Directory – Windows Server 2008 Services gọi thuộc tính Schema Active Directory Domain Services hỗ trợ chuẩn theo lớp, kiểu object Lớp mô tả object tài sản liên quan yêu cầu để tạo phiên đối tượng Ví dụ đối tượng user minh họa lớp user 1.3.8 Site Là tập hợp máy tính vị trí địa lý khác nhau, kết nối tối thiểu qua liên kết Site thường dùng để xác định cách điều khiển domain cập nhật liên tục Active Directory Domain Services lựa chọn phương pháp để phân phối cập nhật (một trình gọi tái tạo lại) dựa vào cách bạn cấu hình site để giữ cho lưu thông qua liên kết WAN đỡ tốn 1.3.9 Tree (cây) Cây tập hợp domain mà gốc rẽ nhánh ngoại vi, domain Cây liên kết với forest Và chia sẻ DNS tên miền không gian liên tục 1.3.10 Trust Trust Active Directory Domain Services phương pháp giao tiếp an toàn domain, tree, forest Cũng giống chúng làm việc Windows NT, trust cho phép người dùng Active Directory Domain Services domain phải xác thực để điều khiển miền khác vùng khác, domain khác directory Trust theo chiều (từ A đến B, từ B đến A), bắc cầu ( A trust B B trust C, A trust C), liên kết ngang (A đến C B đến D) 1.3.11 Infrastructure Master Global Catalog Một thành phần khác bên Active Directory Infrastructure Master Infrastructure Master (IM) domain-wide FSMO (Flexible Single Master of Operations) có vai trị đáp trả trình tự động để sửa lỗi (phantom) bên sở liệu Active Directory Phantom tạo DC, yêu cầu tham chiếu chéo sở liệu đối tượng bên sở liệu riêng đối tượng từ miền bên forest Ví dụ bắt gặp bạn bổ sung thêm người dùng từ miền vào Trang Active Directory – Windows Server 2008 nhóm bên miền khác có forest Phantom bị hiệu lực chúng không chứa liệu cập nhật, điều xuất thay đổi thực cho đối tượng bên ngồi mà Phantom thể hiện, ví dụ đối tượng mục tiêu đặt lại tên, chuyển miền, hay vị xóa Infrastructure Master có khả định vị khắc phục số phantom Bất thay đổi xảy trình sửa lỗi tạo đến tất DC lại bên miền Infrastructure Master bị lẫn lộn với Global Catalog (GC), thành phần trì copy cho phép đọc domain nằm forest, sử dụng cho lưu trữ nhóm phổ dụng trình đăng nhập,… Do GC lưu copy khơng hồn chỉnh tất đối tượng bên forest nên chúng tạo tham chiếu chéo miền khơng có nhu cầu phantom 1.3.12 LDAP LDAP (Lightweight Directory Access Protocol) phần Active Directory, giao thức phần mềm cho phép định vị tổ chức, cá nhân tài nguyên khác file thiết bị mạng, dù mạng bạn mạng Internet công cộng hay mạng nội công ty Trong mạng, thư mục cho bạn biết nơi cất trữ liệu Trong mạng TCP/IP (gồm có Internet), domain name system (DNS) hệ thống thư mục sử dụng gắn liền tên miền với địa mạng cụ thể (vị trí mạng) Mặc dù vậy, bạn khơng biết tên miền LDAP cho phép bạn tìm kiếm cụ thể mà không cần biết chúng định vị đâu Thư mục LDAP tổ chức theo kiến trúc đơn giản gồm có mức đây:  Thư mục gốc có nhánh  Country, Country lại có nhánh  Organizations, Organization lại có nhánh  Organizational units (các đơn vị, phịng ban,…), OU có nhánh Trang Active Directory – Windows Server 2008  Individuals (cá thể, gồm có người, file tài nguyên chia sẻ, chẳng hạn printer) Một thư mục LDAP phân phối nhiều máy chủ Mỗi máy chủ có phiên thư mục tổng thể đồng theo chu kỳ Các quản trị viên cần phải hiểu LDAP tìm kiếm thông tin Active Directory, cần tạo truy vấn LDAP hữu dụng tìm kiếm thơng tin lưu sở liệu Active Directory 1.3.13 Sự quản lý Group Policiy Khi nói đến Active Directory chắn phải đề cập đến Group Policy Các quản trị viên sử dụng Group Policy Active Directory để định nghĩa thiết lập người dùng máy tính tồn mạng Thiết lập cấu hình lưu Group Policy Objects (GPOs), thành phần sau kết hợp với đối tượng Active Directory, gồm có domain site Đây chế chủ yếu cho việc áp dụng thay đổi cho máy tính người dùng môi trường Windows Thông qua quản lý Group Policy, quản trị viên cấu hình tồn cục thiết lập desktop máy tính người dùng, hạn chế cho phép truy cập file thư mục bên mạng Thêm vào cầm phải hiểu GPO sử dụng Group Policy Object áp dụng theo thứ tự sau: Các sách máy nội sử dụng trước, sau sách site, sách miền, sách sử dụng cho OU riêng Ở thời điểm đó, đối tượng người dùng máy tính thuộc site miền, chúng nhận GPO liên kết với site miền Các GPO phân chia thành hai phần riêng biệt: Group Policy Template (GPT) Group Policy Container (GPC) Group Policy Template có trách nhiệm lưu thiết lập tạo bên GPO Nó lưu thiết lập cấu trúc thư mục file lớn Để áp dụng thiết lập thành công tất đối tượng người dùng máy tính, GPT phải tạo cho tất DC bên miền Trang Active Directory – Windows Server 2008 Group Policy Container phần GPO lưu Active Directory DC miền GPC có trách nhiệm giữ tham chiếu cho Client Side Extensions (CSEs), đường dẫn đến GPT, đường dẫn đến gói cài đặt khía cạnh tham chiếu khác GPO GPC khơng chứa nhiều thơng tin có liên quan đến GPO tương ứng với nó, nhiên thành phần cần thiết Group Policy Khi sách cài đặt phần mềm cấu hình, GPC giúp giữ liên kết bên GPO Bên cạnh giữ liên kết quan hệ khác đường dẫn lưu thuộc tính đối tượng Biết cấu trúc GPC cách truy cập thông tin ẩn lưu thuộc tính cần thiết bạn cần kiểm tra vấn đề có liên quan đến GP 1.4 Các dịch vụ Active Directory 1.4.1 Active Directory Domain Services (AD DS) Active Directory Domain Services (AD DS), trước biết tới với tên gọi Active Directory Directory Services, khu vực để tập trung thông tin cấu hình, u cầu xác thực thơng tin tất đối tượng lưu trữ phạm vi hệ thống bạn Dùng Active Directory, bạn quản lý cách hiệu người dùng, máy tính, nhóm làm việc, máy in, ứng dụng đối tượng khác theo thư mục từ khu vực tập trung bảo mật Những tính nâng cao AD DS Windows Server 2008 bao gồm:  Auditing: Những thay đổi thực đối tượng Active Directory lưu lại để bạn biết thay đổi diễn đối tượng đó, giá trị giá trị cũ thuộc tính thay đổi  Fine-Grained Passwords: Có thể cấu hình sách mật cho nhóm phân biệt nằm domain Mỗi tài khoản phạm vi domain khơng cịn phải sử dụng sách mật  Read-Only Domain Controller: Là Domain Controller với sở liệu Active Directory dạng đọc Dịch vụ giúp bạn tạm bảo mật nơi mà bảo mật chưa đảm bảo cao độ, chẳng hạn văn phịng Read-Only Domain Controller khơng cho phép domain controller cấp thấp thực thay đổi lên Active Directory Sử dụng Read-Only Domain Trang 10 ... .61 Trang Active Directory – Windows Server 2008 Trang Active Directory – Windows Server 2008 Giới thiệu Active Directory (DC) 1.1 Active Directory ? Active Directory dịch vụ thư mục (directory. .. Services (AD CS) 12 II Các thao tác quản trị với Active Directory 13 1.5 Cài đặt thao tác quản trị với Active Directory Domain Services 13 1.5.1 Các bước chuẩn bị cài đặt ... trạng tổng thể CA dễ dàng khắc phục lỗi Các thao tác quản trị với Active Directory 2.1 Cài đặt thao tác quản trị với Active Directory Domain Services 2.1.1 Các bước chuẩn bị cài đặt  Yêu cầu phần

Ngày đăng: 31/01/2013, 16:45

Xem thêm: Giới thiệu và các thao tác quản trị với Active Directory trong Windows Server 2008 (2), Giới thiệu và các thao tác quản trị với Active Directory trong Windows Server 2008 (2), Directory Domain Domain Controller, Forest Active Directory là gì ?, Active Directory Lightweight Directory Services AD LDS Active Directory Rights Management Services AD RMS, Cài đặt dịch vụ Active Directory Domain Services Cài đặt domain đầu tiên Domain chính, Thêm một DC khác vào Domain Thêm một domain dựa trên domain chính đã tồn tại, Hạ DC xuống client Quản lý User, Group và Organizational Unit OU, Cấu hình IIS trên web server Tạo và cấu hình ứng dụng Cấu hình federation service cho domain java.fithou.net resource domain