Đang tải... (xem toàn văn)
Tìm hiểu và cài đặt ứng dụng Active Directory trên Windows Server 2003
Bài tập lớn Mạng máy tính *** Active Directory BÀI TẬP LỚN MƠN: MẠNG MÁY TÍNH ĐỀ TÀI: Tìm hiểu cài đặt ứng dụng Active Directory Windows Server 2003 Giáo viên hướng dẫn: Tống Văn Luyên Sinh viên thực hiện: GVHD: Tống Văn Luyên -1- Đỗ Tiến Đạt Phan Thanh Tùng Nguyễn Đức Hạnh Nguyễn Lệ Thu Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory Lời nói đầu Máy tính cá nhân đời công cụ hỗ trợ đắc lực cho tất lĩnh vực đời sống kinh tế xã hội Đầu tiên máy tính độc lập với nhau, chúng bị hạn chế số lượng chương trình ứng dụng, trao đổi thơng tin, khả tận dụng phần cứng Nhu cầu sử dụng máy tính để trao đổi thơng tin ngày cao, giai đoạn mà ngành tin học viễn thông hai ngành cốt lõi công nghệ thông tin phát triển vượt bậc, tạo điều kiện thuận lợi cho tổ chức cá nhân, tập thể nghĩ đến việc liên kết máy tính với để trao đổi thơng tin sử dụng chung nguồn tài nguyên quý giá phần cứng lẫn phần mềm Đây lý để quan xí nghiệp, trường học kết nối máy tính đơn lẻ có trang bị máy thành mạng máy tính để phục vụ trao đổi thơng tin bên ngồi Đó mạng máy tính cục LAN Việc ứng dụng mạng máy tính cho doanh nghiệp giúp chia sẻ tài nguyên, tiết kiệm chi phí tiết kiệm thời gian Để làm điều vai trị người quản trị mạng quan trọng Với đề tài Active Directory Windows Server 2003, nhóm chúng em xin trình bày số vấn đề ứng dụng vào mạng doanh nghiệp cụ thể Do kiến thức thời gian có hạn nên khơng tránh khỏi sai sót, nhóm mong nhận góp ý thầy cô bạn Chúng em xin gửi lời cảm ơn đến thầy giáo: Tống Văn Luyên, người hướng dẫn chúng em thực đề tài Chúng em xin chân thành cảm ơn Hà Nội, ngày 10/10/2010 Nhóm Sinh viên thực hiện: Đỗ Tiến Đạt Phan Thanh Tùng Nguyễn Đức Hạnh Nguyễn Lệ Thu GVHD: Tống Văn Luyên -2- Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory I ĐẶT VẤN ĐỀ: Xây dựng mạng LAN phân quyền cho hệ thống mạng cơng ty Trong gồm: máy chủ cài đặt HĐH Windows Server 2003 Nhiều máy khách cài đặt HĐH Windows XP Với chức sau: Tạo tài khoản người dùng, tài khoản người dùng add vào nhóm người dùng phân quyền theo yêu cầu đặt sau: Phòng giám đốc: Các user phòng giám đốc tồn quyền domain Phịng kinh doanh: Các user thuộc phịng kinh doanh có sách mật sau: mật dài tối thiểu kí tự, thời gian tồn mật lớn 30 ngày, người dùng phải thay đổi mật lần đầu đăng nhập, nhập sai lần bị khóa tài khoản, lần khóa phút Phịng nhân sự: Các user thuộc phịng nhân khơng sử dụng câu lệnh Run menu start, không truy cập ổ C máy tính, khơng cài đặt hay gỡ bỏ chương trình có sẵn II XÂY DỰNG MƠ HÌNH MẠNG: Hình 1: Mơ hình demo mạng Xây dựng mạng demo dựa phần mềm VMWare Workstation: Tạo máy ảo cài đặt Server HĐH Windows Server 2003 Tạo máy ảo cài đặt Server HĐH Windows XP GVHD: Tống Văn Luyên -3- Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory Tiến hành đặt địa cho máy ảo, lựa chọn địa IP dùng riêng lớp B: 10.0.0.x để đánh địa cho máy Để chế độ đánh địa IP tĩnh, đánh địa cho máy sau: Server: IP: 10.0.0.1 Subnet mask: 255.0.0.0 Default Gateway: 10.0.0.1 Preferred DNS: 10.0.0.1 Hình 2: Đặt IP tĩnh cho máy chủ Máy Windows XP client: IP: 10.0.0.2 Subnet mask: 255.0.0.0 Default Gateway: 10.0.0.1 Preferred DNS: 10.0.0.1 GVHD: Tống Văn Luyên -4- Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory Hình 3: Đánh IP tĩnh cho máy client Windows XP Sau ta tiến hành nối mạng máy Server với máy client thông qua Switch ảo cung cấp sẵn phần mềm VMware Workstation, cách tiến hành sau: Tại giao diện phần mềm, kích chọn máy ảo Server, kích chuột phải, menu chọn Settings Hộp thoại Virtual Machine Settings ra, Tab Hardware, mục Devices, kích chọn Ethernet, phần Network Connection chọn Custom: Specific virtual GVHD: Tống Văn Luyên -5- Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory network, mũi tên xổ xuống chọn Vmnet2 (host-only), cách ta chọn nối card mạng ethernet máy server nối vào switch ảo VMNet2 có sẵn phần mềm Vmware Sau nhấp OK Tiến hành tương tự máy client XP Như ta có mạng LAN đáp ứng đầy đủ yêu cầu phương diện vật lý logic: IP mạng, có kết nối máy Ta kiểm tra mạng LAN câu lệnh ping, từ máy ping đến địa IP máy Nếu ping kết nối bảo đảm III CẤU HÌNH ACTIVE DIRECTORY: 1.Các khái niệm mở đầu: Để quản lý hệ thống mạng ta có mơ hình: Workgroup Domain Đặc điểm hệ thống Workgroup: - Quản lý khơng tập trung, ví dụ cần triển khai policy cho hệ thống ta phải cấu hình máy - Mỗi người sử dụng phải sử dụng nhiều user account cho nhiều nhu cầu, ví dụ người sử dụng phải có hai user: để logon để truy cập tài nguyên file server Với đặc điểm trên, ta khó khăn quản lý hệ thống mạng lớn Đặc điểm hệ thống Domain: - Quản lý theo cấu trúc danh bạ: tất đối tượng (group, user, computer GVHD: Tống Văn Luyên -6- Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory account…) tài nguyên quản lý tập dịch vụ Active Directory (AD) - Là mơ hình quản lý tập trung, ví dụ policy triển khai lúc ảnh hưởng nhiều máy nhiều user account - Hỗ trợ Single Sign On, người sử dụng hệ thống cần user account cho tất nhu cầu: logon, truy cập tài nguyên, sử dụng e-mail… Với khác hệ thống Workgroup Domain trên, để quản lý hệ thống mạng tập trung nên chọn mơ hình Domain Active Directory gì? Trước hết tìm hiểu xem Active Directory Active Directory dịch vụ thư mục (directory service) đăng ký quyền Microsoft, phần khơng thể thiếu kiến trúc Windows Giống dịch vụ thư mục khác, chẳng hạn Novell Directory Services (NDS), Active Directory hệ thống chuẩn tập trung, dùng để tự động hóa việc quản lý mạng liệu người dùng, bảo mật nguồn tài nguyên phân phối, cho phép tương tác với thư mục khác Thêm vào đó, Active Directory thiết kế đặc biệt cho môi trường kết nối mạng phân bổ theo kiểu Active Directory coi điểm phát triển so với Windows 2000 Server nâng cao hoàn thiện tốt Windows Server 2003, trở thành phần quan trọng hệ điều hành Windows Server 2003 Active Directory cung cấp tham chiếu, gọi directory service, đến tất đối tượng mạng, gồm có user, groups, computer, printer, policy permission Với người dùng quản trị viên, Active Directory cung cấp khung nhìn mang tính cấu trúc để từ dễ dàng truy cập quản lý tất tài nguyên mạng Chức AD: - Lưu giữ danh sách tập trung tên tài khoản người dùng, mật tương ứng tài khoản máy tính GVHD: Tống Văn Luyên -7- Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory - Cung cấp Server đóng vai trị chứng thực (authentication server) Server quản lý đăng nhập (logon Server), Server gọi Domain Controller (máy điều khiển vùng) - Duy trì bảng hướng dẫn bảng mục (index) giúp máy tính mạng rà nhanh tài nguyên máy tính khác vùng - Cho phép tạo tài khoản người dùng với mức độ quyền (rights) khác : toàn quyền hệ thống mạng, có quyền backup liệu hay shutdown Server từ xa - Cho phép chia nhỏ miền thành miền (subdomain) hay đơn vị tổ chức OU (Organizational Unit) Sau ủy quyền cho quản trị viên phận quản lý phận nhỏ Những đơn vị Active Directory 1.1/- Objects: Trước tìm hiểu khái niệm Object, phải tìm hiểu trước hai khái niệm Object classes Attributes - Object classes thiết kế mẫu hay khn mẫu cho đối tượng mà bạn tạo Active Directory Có loại Object classes thông dụng là: User, Computer, Printer - Attributes tập giá trị phù hợp kết hợp với đối tượng cụ thể Như vậy, Object đối tượng định nghĩa giá trị gán cho thuộc tính Object classses 1.2/- Organizational Units : Organizational Units hay OU đơn vị nhỏ hệ thống Active Directory, xem vật chứa đối tượng (Object) dùng để xếp đối tượng khác phục vụ cho mục đích quản trị bạn OU thiết lập dựa subnet IP định nghĩa “một nhiều subnet kết nối tốt với nhau” Việc sử dụng OU có hai cơng dụng sau: - Trao quyền kiểm sốt tập hợp tài khoản người dùng, máy tính hay thiết bị mạng cho nhóm người hay phụ tá quản trị viên (subadministrator), từ giảm bớt cơng tác quản trị cho người quản trị tồn hệ thống GVHD: Tống Văn Luyên -8- Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory - Kiểm sốt khóa bớt số chức máy trạm người dùng OU thơng qua việc sử dụng đối tượng sách nhóm (Group Policy) 1.3/-Domain : Domain đơn vị chức nịng cốt cấu trúc logic Active Directory Nó phương tiện để qui định tập hợp người dùng, máy tính, tài ngun chia sẻ có qui tắc bảo mật giống từ giúp cho việc quản lý truy cập vào Server dễ dàng Domain đáp ứng ba chức sau: - Đóng vai trị khu vực quản trị (administrator boundary) đối tượng, tập hợp đĩnh nghĩa quản trị cho đối tượng chia sẻ : có chung sở liệu thư mục, sách bảo mật, quan hệ uỷ quyền với domain khác - Giúp quản lý bảo mật tài nguyên chia sẻ - Cung cấp server dự phòng làm chức điều khiển vùng (domain controller), đồng thời đảm bảo thông tin server đựơc đồng 1.4/- Domain Tree : Domain Tree cấu trúc bao gồm nhiều domain xếp có cấp bậc theo cấu trúc hình Domain tạo đựơc gọi domain root nằm gốc thư mục Tất domain tạo sau nằm bên domain root gọi domain (child domain) Tên phải khác biệt Khi domain root domain tạo hình thành domain Khái niệm bạn thường nghe thấy làm việc với dịch vụ thư mục Bạn thấy cấu trúc có hình dáng có nhiều nhánh xuất 1.5/- Forest : Forest (rừng) xây dựng nhiều Domain Tree, nói cách khác Forest tập hợp Domain Tree có thiết lập quan hệ ủy quyền cho Ví dụ giả sử cơng ty đó, chẳng hạn Microsoft, thu mua công ty khác Thông thường, cơng ty có hệ thống Domain Tree riêng để tiện quản lý, hợp với khái niệm rừng Cài đặt Active Directory: GVHD: Tống Văn Luyên -9- Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory Ta tiến hành cài đặt dịch vụ Active Directory máy chủ sau: Thông thường theo mặc định, tất máy Windows Server 2003 cài đặt server độc lập (standalone server) Chương trình DCPROMO Active Directory Installion Wizard dùng để nâng cấp máy Domain Controller (Server Standolone) thành máy Domain Controller: Nhấn Start > Run, nhập dcpromo vào hộp thoại Run bấm OK, xuất hộp thoại Directory Installation Wizard, nhấn Next để tiếp tục: Xuất hộp hội thoại cảnh báo DOS, Windows 95 WinNT SP3 trở trước bị loại khỏi miền Active Directory dựa Windows Server 2003 Chọn Next, hộp thoại ra, có lựa chọn: GVHD: Tống Văn Luyên - 10 - Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory Bằng cách tương tự, tạo thêm OU cho phịng cịn lại Sau tiến hành add người dùng vào OU vừa tạo Cách tiến hành: kích chuột phải vào tên phịng, cửa sổ chọn New > User Cửa sổ nhập thông tin người dùng: Họ tên, quan trọng tên đăng nhập mục User logon name Tên đăng nhập để đăng nhập vào hệ thống không trùng Sau nhập xong bấm Next để chuyển sang phần GVHD: Tống Văn Luyên - 18 - Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory Nhập mật xác nhận mật cho tài khoản Chú ý ta chưa thay đổi sách an tồn mật theo mặc định, mật phải dài tối thiểu ký tự, có ký tự chữ cái, số, ký tự đặc biệt:@, $, &… Có thể đặt mật đơn giản cách thay đổi sách trước đặt (vào Start > Administrative Tools > Domain Security Policy > Account Policies > Password Policy chỉnh lại thông số) Ta thấy bên có lựa chọn: User must change password at next logon: người dùng phải đổi mật lần đăng nhập sau User cannot change password: người dùng thay đổi mật Password never expires: mật không hết hạn Tùy theo yêu cầu mà ta có lựa chọn thích hợp, sau bấm Next Cửa sổ thơng báo hồn tất: Nhấn chọn Finish để chấp nhận thơng tin hồn tất Làm tương tự với tài khoản khác phòng phòng lại Sau tạo tài khỏan người dùng phòng ta sau: GVHD: Tống Văn Luyên - 19 - Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory Phòng Giám đốc: tài khoản người dùng: giamdoc@dientu1k3.com phogiamdoc@dientu1k3.com lethu@dientu1k3.com Phòng Kinh doanh: tài khoản người dùng: thanhtung@dientu1k3.com kd1@dientu1k3.com kd2@dientu1k3.com Phòng nhân sự: tài khoản người dùng: ns1@dientu1k3.com ns2@dientu1k3.com ns3@dientu1k3.com 3.2 Thiết lập sách nhóm: Cách tiến hành: Chính sách nhóm cho Phịng Giám đốc: Vẫn phần Active Directory User and Computer ta nhấp chuột phải vào Phòng Giám đốc Cửa sổ chọn: New > Group hộp thoại tiếp theo, nhập tên group vào ô Group name nhấn OK GVHD: Tống Văn Luyên - 20 - Nhóm SV: CĐĐH ĐT1-K3 ... máy tính *** Active Directory I ĐẶT VẤN ĐỀ: Xây dựng mạng LAN phân quyền cho hệ thống mạng công ty Trong gồm: máy chủ cài đặt HĐH Windows Server 2003 Nhiều máy khách cài đặt HĐH Windows XP... pre -Windows 2000 Server hệ thống có server phiên trước Windows 2000 Chọn dòng Permissions compartible only with Windows Servers 2000 or Windows Servers 2003 > mạng khơng có server phiên trước Windows. .. với khái niệm rừng Cài đặt Active Directory: GVHD: Tống Văn Luyên -9- Nhóm SV: CĐĐH ĐT1-K3 Bài tập lớn Mạng máy tính *** Active Directory Ta tiến hành cài đặt dịch vụ Active Directory máy chủ