Bài giảng Mạng máy tính - Bài 12: Active Directory

ppt 45 trang phuongnguyen 3940
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Mạng máy tính - Bài 12: Active Directory", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pptbai_giang_mang_may_tinh_bai_12_active_directory.ppt

Nội dung text: Bài giảng Mạng máy tính - Bài 12: Active Directory

  1. LOGO PowerPoint Template Add your company slogan www.themegallery.com
  2. dungnc2000@yahoo.comwww.themegallery.com
  3. ❖ Cịn gọi là mơ hình Peer-to-Peer ❖ Các máy trong mạng cĩ vai trị như nhau ❖ Dữ liệu tài nguyên được lưu trữ phân tán tại các máy cục bộ ❖ Các máy tự quản lý tài nguyên của mình ❖ Hệ thống mạng khơng cĩ máy chuyên dụng để quản lý và cung cấp dịch vụ ❖ Phù hợp mạng nhỏ, bảo mật khơng cao ❖ Các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng ❖ Lưu trữ thơng tin người dùng trong tập tin SAM (Security Accounts Manager) ngay trên máy tính cục bộ ❖ Việc chứng thực tài khoản người dụng cũng do máy cục bộ đảm nhiệm dungnc2000@yahoo.comwww.themegallery.com
  4. ❖ Hoạt động theo cơ chế Client-Server ❖ Trong hệ thống mạng phải cĩ ít nhất 1 máy tính làm chức năng điều khiển vùng (Domain Controler), điều khiển tồn bộ hoạt động của hệ thống mạng ❖ Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền ❖ Mơ hình này ứng dụng trong các cơng ty vừa và lớn ❖ Các thơng tin người dùng được tập trung lại do dv Active Directory quản lý và được lưu trữ trên Domain Controler với tên file là NTDS.DIT, cĩ thể lưu trữ thơng tin của hàng triệu người dùng ❖ Việc đăng nhập vào mạng cũng tập trung lại và do Domain Controler chứng thực dungnc2000@yahoo.comwww.themegallery.com
  5. Các bước chứng thực khi người dùng đăng nhập AD 4 6 5 ? 2 3 Client Domain Controler 1 User dungnc2000@yahoo.comwww.themegallery.com
  6. Giới thiệu ❖ Về căn bản Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng và các thơng tin liên quan đến đối tượng đĩ. ❖ Để cĩ thể quản lý được 1 hệ thống mạng lớn, ta thường phải phân chia nĩ thành nhiều Domain rồi thiết lập các mối quan hệ uỷ quyền thích hợp. AD giải quyết được các vấn đề như vậy và cung cấp một mức độ ứng dụng mới cho mơi trường. ❖ Lúc này dịch vụ thư mục trong mỗi domain cĩ thể lưu trữ hơn 10 triệu đối tượng, đủ để phục vụ hơn 10 triệu người dùng trong mỗi domain. dungnc2000@yahoo.comwww.themegallery.com
  7. Chức năng ❖ Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính ❖ Cung cấp 1 Server đĩng vai trị chứng thực (authentication server) hoặc server quản lý đăng nhập (logon server), Server này cịn được gọi là Domain Controler (máy điều khiển vùng). ❖ Duy trì 1 bảng hướng dẫn hay 1 bảng chỉ mục (Index) giúp các máy tính trong mạng dị tìm nhanh 1 tài nguyên nào đĩ trên các máy tính khác trong vùng. ❖ Cho phép tạo những tài khoản người dùng với những mức độ quyền (right) khác nhau. ❖ Cho phép ta chia nhỏ miền của mình ra thành nhiều miền con (Subdomain) hay các đơn vị tổ OU1 chức OU (Organizational Unit) rồi uỷ quyền cho OU2 OU3 Domain các quản trị viên bộ phận quản lý dungnc2000@yahoo.comwww.themegallery.com
  8. Giới thiệu ❖ Directory Service (dịch vụ danh bạ) là hệ thống thơng tin chứa trong NTDS.DIT, các chương trình quản lý khai thác tập tin này Active Directory Benefits DNS integration Scalability Centralized management Delegated administration dungnc2000@yahoo.comwww.themegallery.com
  9. Các thành phần trong Directory Services ❖ Object (đối tượng) : Trong h.thống CSDL, đối tượng bao gồm các máy in, người dùng, các Server, các máy trạm, thư mục dùng chung, dịch vụ mạng đối tượng là thành tố căn bản nhất của dịch vụ danh bạ. ❖ Attribute (thuộc tính) : Dùng để mơ tả một đối tượng. Ví dụ: mật khẩu và tên là thuộc tính của người dùng. Các đối tượng khác nhau cĩ danh sách thuộc tính khác nhau, nhưng cũng cĩ thể cĩ một vài thuộc tính giống nhau. (vd: cùng cĩ 1 đc IP). ❖ Schema (cấu trúc tổ chức) : một Schema định nghĩa các danh sách thuộc tính dùng mơ tả 1 loại đối tượng nào đĩ. Schema cĩ thể tuỳ biến sửa đổi được. dungnc2000@yahoo.comwww.themegallery.com
  10. Các thành phần trong Directory Services (tt) ❖ Container (vật chứa): tương tự với khái niệm thư mục trong Windows. Một vật chứa cĩ thể chứa các đối tượng và vật chứa khác. Nĩ cũng cĩ thuộc tính như các đối tượng. Cĩ 3 loại : ▪ Domain: Sẽ trình bày ở phần sau. OU1 Admin1 ▪ Site : một Site là 1 vị trí, dùng phân biệt OU2 OU3 giữa vị trí cục bộ và vị trí ở xa. Admin2 Domain Admin3 ▪ OU (Organizational Unit) : là loại vật chứa mà bạn cĩ thể đưa vào đĩ người dùng, nhĩm, máy tính, máy in và những OU khác Một OU khơng thể chứa các đối tượng trong Domain khác ❖ Global Catalog : Dùng để xác định vị trí của đối tượng mà người dùng được cấp quyền truy cập. Việc tìm kiếm được thực hiện bằng tên và cả bằng thuộc tính dungnc2000@yahoo.comwww.themegallery.com
  11. ❖ Domain là đơn vị chức năng nịng cốt của cấu trúc Active Directory. Nĩ là một tập hợp những người dùng, máy tính tài nguyên chia sẻ cĩ những quy tắc bảo mật giống nhau, giúp cho việc truy cập vào Server dể dàng hơn. ❖ Domain đáp ứng 3 chức năng chính sau: 1. Đĩng vai trị như 1 khu vực quản trị các đối tượng cĩ chung một cơ sở dữ liệu, thư mục dùng chung, các chính sách bảo mật, các quan hệ uỷ quyền với các domain khác Common security policy dungnc2000@yahoo.comwww.themegallery.com
  12. 2. Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ Domain controler 3. Cung cấp các Server dự phịng làm chức năng điều khiển vùng Đồng thời đảm bảo dữ liệu trên các Server này đồng bộ với Domain controler nhau Domain controler dungnc2000@yahoo.comwww.themegallery.com
  13. thbk.com Domain con pm1.thbk.com pm2.thbk.com ❖ Bao gồm nhiều domain được sắp xếp theo cấu trúc hình cây. Domain tạo ra đầu tiên gọi là Domain Root và nằm ở gốc của cây thư mục, các domain tạo ra sau sẽ nằm bên dưới và được gọi là domain con (Child domain) ❖ Tên các domain phải khác biệt nhau dungnc2000@yahoo.comwww.themegallery.com
  14. Domain Tree Domain Domain Domain Domain Domain Domain Ofject OU OU OU Domain Organizational Unit Forest dungnc2000@yahoo.comwww.themegallery.com
  15. dhbk.com cntt.dhbk.co cnhh.dhbk.co ddt.dhbk.com ck.dhbk.com m m phc.cnhh.dhbk.com pmt.ddt.thbk.com ttdt.ddt.thbk.com kt.cntt.dhbk.com ctm.ck.dhbk.co m sw.kt.cntt.dhbk.comhw.kt.cntt.dhbk.com ptn.ctm.ck.dhbk.com ptk.ctm.ck.dhbk.com ❖ Forest (rừng) được xây dựng trên 1 hoặc nhiều Domain Tree, là tập hợp các Domain Tree cĩ thiết lập mối quan hệ và uỷ quyền cho nhau. dungnc2000@yahoo.comwww.themegallery.com
  16. dungnc2000@yahoo.comwww.themegallery.com
  17. ❖ Theo mặc định các máy Windows Server khi mới cài đặt đều là Server độc lập (Standalone Server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp một Server độc lập lên thành một Domain Controler (DC) và ngược lại giáng cấp 1 DC thành 1 Server bình thường ❖ Đối với Win2k3 thì ta cĩ thể đổi tên Server khi đã nâng cấp lên DC ❖ Phải khai báo đầy đủ thơng số TCP/IP trước khi nâng cấp, đặc biệt là phải khai báo DNS Server cĩ địa chỉ là chính đc IP của server đang nâng cấp ❖ Nên cài dv DNS trước khi nâng cấp thành DC,cịn khơng thì chọn cài DNS tự động trong quá trình nâng cấp dungnc2000@yahoo.comwww.themegallery.com
  18. ❖ Từ menu Start → Run, nhập dcpromo nhấn OK ❖ Hộp thoại Active Directory Installation Wizard xuất hiện, nhấn Next để tiếp tục. dungnc2000@yahoo.comwww.themegallery.com
  19. ❖ Chương trình xuất hiện hộp cảnh báo : DOS, Windows 95 và WinNT SP3 trở về trước sẽ bị loại ra khỏi miền AD. Chọn Next để tiếp tục dungnc2000@yahoo.comwww.themegallery.com
  20. ❖ Để tạo 1 miền mới ta để mặc định, nhấn Next dungnc2000@yahoo.comwww.themegallery.com
  21. ❖ Tại đây ta cĩ 3 lựa chọn Domain đầu tiên trong 1 rừng mới Domain con trong 1 domain cĩ sẳn Một Domain Tree trong một rừng đã cĩ sẵn dungnc2000@yahoo.comwww.themegallery.com
  22. ❖ Nhập tên DNS đầy đủ của domain ta cần xây dựng dungnc2000@yahoo.comwww.themegallery.com
  23. ❖ Nhập tên domain theo chuẩn NetBIOS để tương thích với các máy WinNT, thường thì ta nên để mặc định. Nhấn Next dungnc2000@yahoo.comwww.themegallery.com
  24. ❖ Chỉ vị trí lưu trữ database AD và các tập tin log, để mặc định hoặc chỉ vị trí khác tuỳ ta dungnc2000@yahoo.comwww.themegallery.com
  25. ❖ Chỉ định vị trí của thư mục SYSVOL. Thư mục này phải nằm trên partition NTFS Các dữ liệu đặt trong thư mục này sẽ được tự động sao chép sang các domain khác trong miền Nhấn Next để tiếp tục dungnc2000@yahoo.comwww.themegallery.com
  26. ❖ Nếu dv DNS chưa được cài đặt, ta sẽ lựa chọn lựa chọn thứ 2 để hệ thống tự động cài dv DNS dungnc2000@yahoo.comwww.themegallery.com
  27. ❖ Nếu trên hệ thống cĩ các Server thuộc phiên bản trước Server 2000 Nếu hệ thống chỉ tồn Server 2000 và 2003 dungnc2000@yahoo.comwww.themegallery.com
  28. ❖ Nhập mật khẩu dùng trong trường hợp Server phải khởi động vào chế độ Directory Services Restore Mode. Nhấn Next dungnc2000@yahoo.comwww.themegallery.com
  29. ❖ Hộp thoại tĩm tắt xuất hiện, hiển thị tất cả các thơng tin ta đã chọn. Nếu đúng nhấn Next để tiến hành cài đặt dungnc2000@yahoo.comwww.themegallery.com
  30. ❖ Hộp thoại Configuring Active Directory cho thấy quá trình cài đặt đang thực hiện những gì, cĩ thể chiếm nhiều thời gian và cĩ thể bạn phải chỉ nguồn cài đặt nếu chương trình khơng tìm thấy dungnc2000@yahoo.comwww.themegallery.com
  31. ❖ Hộp thoại Completing the Active Diretory Installation Wizard xuất hiện, nhấn Finish để kết thúc dungnc2000@yahoo.comwww.themegallery.com
  32. Ta phải khởi động lại máy thì các thơng tin cài đặt mới bắt đầu cĩ hiệu lực dungnc2000@yahoo.comwww.themegallery.com
  33. Giới thiệu ❖ Tạo một mối quan hệ tin cậy (Trust relationship) giữa máy trạm và domain trong vùng. ❖ Việc logon vào mạng trên máy trạm này sẽ do Domain Controler đảm nhiệm. ❖ Việc gia nhập miền phải cĩ sự đồng ý của Admin cấp miền và Admin cục bộ trên máy trạm đĩ. ❖ Thường thì ta dùng luơn tài khoản Administrator để gia nhập vào domain. dungnc2000@yahoo.comwww.themegallery.com
  34. Các bước cài đặt ❖ Đăng nhập vào máy cục bộ với tài khoản quản trị (cĩ thể dùng trực tiếp tài khoản Administrator). ❖ Right click trên biểu tượng My Computer → Properties Trong Tab Computer Name, click vào nút Change dungnc2000@yahoo.comwww.themegallery.com
  35. ❖ Hộp thoại nhập liệu xuất hiện, nhập tên miền của mạng cần gia nhập vào mục Member of Domain dungnc2000@yahoo.comwww.themegallery.com
  36. Máy trạm dựa vào tên miền ta khai báo tìm đến Domain Controler gần nhất để xin gia nhập mạng. Server kết nối sẽ gởi đến yêu cầu ta phải xác thực bằng một tài khoản người dùng cấp miền cĩ quyền quản trị dungnc2000@yahoo.comwww.themegallery.com
  37. Sau khi xác thực thành cơng và hệ thống cho phép máy trạm này gia nhập vào miền, hệ thống sẽ xuất hiện thơng báo thành cơng và yêu cầu reboot máy lại để đăng nhập vào mạng ❖ Khi này hộp thoại logon xuất hiện thêm mục logon to cho ta 2 lựa chọn •NETCLASS : logon vào miền. •This computer : logon vào máy cục bộ dungnc2000@yahoo.comwww.themegallery.com
  38. OU là một nhĩm người dùng, máy tính và tài nguyên mạng được tạo ra nhằm mục đích dể dàng quản lý hơn, và để ủy quyền cho các quản trị viên địa phương giải quyết các cơng việc đơn giản Đặc biệt là thơng qua OU chúng ta cĩ thể áp đặt các giới hạn phần mềm và phần cứng thơng qua các Group Policy Các bước để xây dựng một OU dungnc2000@yahoo.comwww.themegallery.com
  39. ❖ Hộp thoại nhập liệu xuất hiện, ta nhập tên OU cần tạo vào ơ Name dungnc2000@yahoo.comwww.themegallery.com
  40. ❖ Đưa các máy trạm mà ta muốn cho tham gia vào OU này vào dungnc2000@yahoo.comwww.themegallery.com
  41. ❖ Tiếp theo đưa các tài khoản người dùng cần quản lý vào OU. dungnc2000@yahoo.comwww.themegallery.com
  42. ❖ Bây giờ ta sẽ ủy quyền cho người nào hoặc nhĩm nào quản lý OU này Right click vào OU vừa tạo, chọn Properties, hộp thoại xuất hiện. Trong Tab Manager By click vào nút Change để chọn người dùng quản lý OU này. dungnc2000@yahoo.comwww.themegallery.com
  43. ❖ Thiết lập các Group Policy áp dụng cho OU này, chúng ta sẽ tìm hiểu chi tiết ở bài sau ❖ Trong tab Group Policy, click vào nút New để tạo mới 1 GPO, rồi click vào nút Edit để hiệu chỉnh chính sách dungnc2000@yahoo.comwww.themegallery.com
  44. ❖ Trong các cơng cụ quản trị hệ thống AD thì cơng cụ AD User and Computer là quan trọng nhất. Chúng ta sẽ gặp rất nhiều trong lúc làm việc Builtin: chứa các nhĩm người dùng đã được tạo và định nghĩa quyền sẵn Computer: chứa các máy trạm mặc định đang là thành viên của miền. Domain controler: chứa các DC đang hoạt động trong miền User: chứa các tài khỏan người dùng mặc định trên miền dungnc2000@yahoo.comwww.themegallery.com
  45. LOGO www.themegallery.com