Bài 3:Triển khai dịch vụ Active Directory

Nội dung bài trước

Giới thiệu các phiên bản của hệ điều hành WindowsServer 2008Các dịch vụ chính của Windows Server 2008Các bước cài đặt 1 máy chủ Windows Server 2008

Bài 3 - Triển khai dịch vụ Active Directory 2

Mục tiêu bài học

Giới thiệu đặc điểm của mô hình ADCác khái niệm trong môi trường ADCác bước cài đặt 1 hệ thống ADKhái niệm về tài khoản người dùng và quản trị tài khoảnngười dùng

Bài 3 - Triển khai dịch vụ Active Directory 3

Định nghĩa Active Directory

Active Directory:Là dịch vụ nền tảng của Windows ServerĐược tổ chức theo mô hình phân cấp rừng, cây và vùngActive Directory quản lý tập trung tất cả mọi đối tượng trong vùng bao gồmngười dùng, máy tính, thiết bị khác, thư mục chia sẻ

Bài 3 - Triển khai dịch vụ Active Directory 4

Lợi ích của Active Directory

So với cơ chế Workgroup, Active Directory có các ưuđiểm

• Quản trị tập trung• Bảo mật dữ liệu• Group Policy• Khả năng mở rộng, dự phòng thông tin• Ủy quyền quản trị

So với cơ chế Workgroup, Active Directory có các ưuđiểm

• Quản trị tập trung• Bảo mật dữ liệu• Group Policy• Khả năng mở rộng, dự phòng thông tin• Ủy quyền quản trị

Bài 3 - Triển khai dịch vụ Active Directory 5

Định nghĩa Domain

Domain là tập hợp của 1 nhóm các tài khoản ngườidùng và tài khoản máy tínhDomain là tập hợp của 1 nhóm các tài khoản ngườidùng và tài khoản máy tính

Tài khoảnmáy tính

Tài khoảnngười dùng

Bài 3 - Triển khai dịch vụ Active Directory 6

Định nghĩa OU

Tài khoảnmáy tính

OU là 1 đơn vị thuộc Domain

OU là 1 đơn vị trực thuộcDomain. Trong 1 domaincó thể có nhiều OU

OU là 1 đơn vị trực thuộcDomain. Trong 1 domaincó thể có nhiều OU

Tài khoảnngười dùng

Bài 3 - Triển khai dịch vụ Active Directory 7

Định nghĩa rừng

nwtrader.msft

Rừng là tập hợp củanhiều đomain có mốiquan hệ tin cậy

Rừng là tập hợp củanhiều đomain có mốiquan hệ tin cậy

Treecontoso.msft

GlobalCatalog

eu.nwtrader.msft

na.nwtrader.msft

sales.contoso.msft

Tree

Bài 3 - Triển khai dịch vụ Active Directory 8

Định nghĩa máy Domain Controller

Máy DC có chứa bản sao của Active DirectoryChịu trách nhiệm phản hồi các yêu cầu trong DomainXác thực người dùng đăng nhập Domain

Bài 3 - Triển khai dịch vụ Active Directory 9

Định nghĩa máy Read-Only DomainController?

RODC chứa bản sao của AD, tuy nhiên không thểchỉnh sửa được, chỉ có tính năng read onlyRODC chứa bản sao của AD, tuy nhiên không thểchỉnh sửa được, chỉ có tính năng read only

RODC cung cấp:• Tăng cường khả năng bảo mật cho các máy DC trong trường hợphạn chế về bảo mật vật lý

RODCRODC

RODC:

• Có thể triển khai Windows Server Core làm RODC để tăng cườngbảo mật

• Tăng cường khả năng bảo mật cho các máy DC trong trường hợphạn chế về bảo mật vật lý

• Cung cấp bản sao dự phòng của AD

Bài 3 - Triển khai dịch vụ Active Directory 10

Các bước cài đặt Active Directory

Tại cửa sổ Server Manager, chọn RolesTại phần cửa sổ Roles, chọn Add Roles

Bài 3 - Triển khai dịch vụ Active Directory 11

Lưu ý trước khi thực hiện

Đảm bảo tài khoản admin có mật khẩu mạnhĐịa chỉ IP của máy chủ là được gán tĩnhĐã cập nhật bản nâng cấp bảo mật mới nhấtSau đó chọn Next

Bài 3 - Triển khai dịch vụ Active Directory 12

Chọn vai trò của máy chủ

Chọn vai trò của máy chủ cần cài đặt, ở đây ta chọn Active DirectoryDomain Services (AD DS)Sau đó chọn Next

Bài 3 - Triển khai dịch vụ Active Directory 13

Thông tin giới thiệu về AD DS

Chọn Next để tiếp tục

Bài 3 - Triển khai dịch vụ Active Directory 14

Xác nhận cài đặt AD DS

Chương trình yêu cầu xác nhận muốn cái đặt AD DS và khuyến cáo:Server cần khởi động lại sau khi cài đặt xongSau khi cài đặt, nên dùng Active Directory Domain Services Installation Wizard(dcpromo.exe) để cài đặt đủ các chức năng DC

Chọn Install để tiếp tụcBài 3 - Triển khai dịch vụ Active Directory 15

Quá trình cái đặt

Bài 3 - Triển khai dịch vụ Active Directory 16

Hoàn thành bước cài đặt AD DS

Chờ tới khi chương trình thông báo quá trình cài đặt thành công, chọnClose

Bài 3 - Triển khai dịch vụ Active Directory 17

Cài đặt các tính năng

Tại màn hình Server Manager, chọn Roles Active Directory DomainServiceChọn vào link Active Directory Domain Services

Bài 3 - Triển khai dịch vụ Active Directory 18

Câu lệnh

Dùng câu lệnh dcpromo trong dòng lệnh

Bài 3 - Triển khai dịch vụ Active Directory 19

Cài đặt tính năng AD DS

Active Directory Domain Services Installation Wizard sẽ hiện raChọn Next để cài đặt chế độ mặc định

Bài 3 - Triển khai dịch vụ Active Directory 20

Khuyến nghị tương thích

Chương trình sẽ hiển thị khuyến nghị tương thích để cài đặtChọn Next để tiếp tục

Bài 3 - Triển khai dịch vụ Active Directory 21

Chọn chế độ triển khai AD

Nếu chúng ta cài 1 AD mới cho 1 forest đã có thì chọn mục Existing forestỞ đây chúng ta cài AD mới hoàn toàn nên chọn mục Create a new domainin a new forest – lựa chọn mặc địnhChọn Next để tiếp tục

Bài 3 - Triển khai dịch vụ Active Directory 22

Đặt tên cho domain

Điền tên mong muốn của domain rồi chọn Next

Bài 3 - Triển khai dịch vụ Active Directory 23

Quá trình kiểm tra

Chương trình sẽ kiểm tra xem tên bạn vừa đặt có bị trùng không?

Bài 3 - Triển khai dịch vụ Active Directory 24

Chọn cấp độ forest

Chọn cấp độ chức năng của forestỞ đây chúng ta chọn Windows Server 2008, sau đó chọn Next

Bài 3 - Triển khai dịch vụ Active Directory 25

Kiểm tra DNS Server

Chương trình kiểm tra DNS Server, nếu hệ thống chưa có DNS thì sẽ yêucầu tạo DNS

Bài 3 - Triển khai dịch vụ Active Directory 26

Thêm tính năng Server cho máy

Vì đây là máy chủ domain mới đầu tiên được tạo nên chỉ có 1 lựa chọnchúng ta có thể dùng là DNS ServerChọn Next để tiếp tục

Bài 3 - Triển khai dịch vụ Active Directory 27

Kiểm tra, cấu hình địa chỉ IP

Vì đây là máy chủ DC nên địa chỉ IP phải được đặt tĩnh, vì thế ta chọn: No,I will assign static IP addresses to all physical network adapters

Bài 3 - Triển khai dịch vụ Active Directory 28

Kiểm tra DNS Server

Chương trình thông báo về việc không tìm thấy DNS server khác trongmạng không vấn đề gì vì giờ chúng ta mới bắt đầu càiChọn Yes để tiếp tục

Bài 3 - Triển khai dịch vụ Active Directory 29

Chọn nơi lưu CSDL, Log và SYSVOL

Chương trình yêu cầu chọn nơi lưu CSDL, tập tin log và SYSVOLTa nên để mặc định và chọn Next

Bài 3 - Triển khai dịch vụ Active Directory 30

Thiết lập mật khẩu

Chương trình yêu cầu đặt mật khẩu mạnh (chúng ta sẽ học thiết lập chế độmật khẩu sau)

Bài 3 - Triển khai dịch vụ Active Directory 31

Tổng kết các thiết lập

Chương trình sẽ tổng kết các lựa chọn, nếu cần thay đổi gì, chọn BackChọn Next để tiếp tục

Bài 3 - Triển khai dịch vụ Active Directory 32

Quá trình cài đặt

Chương trình thực hiện cài đặt

Bài 3 - Triển khai dịch vụ Active Directory 33

Hoàn thành quá trình cài đặt

Chọn Finish để hoàn thành quá trình cài đặt

Bài 3 - Triển khai dịch vụ Active Directory 34

Khởi động lại máy

Như đã khuyến cáo, chương trình cần khởi động lại để hoàn tất quá trìnhcài đặt chọn Restart Now

Bài 3 - Triển khai dịch vụ Active Directory 35

Tài khoản người dùng lưu ởActive Directory

Tài khoản cục bộ trên máy tính

Định nghĩa tài khoản người dùng

Là một đối tượng cho phép chứng thực và truy cập tới tài nguyên mạng trong hệ thốngdomainLà một đối tượng cho phép chứng thực và truy cập tới tài nguyên mạng trong hệ thốngdomain

Cho phép người dùng truy cập domain và các tài nguyên mạng chia sẻCho phép người dùng truy cập domain và các tài nguyên mạng chia sẻ

Tài khoản người dùng lưu ởActive Directory

Tài khoản cục bộ trên máy tính

Tạo 1 tài khoản cũng đồng thời tạo ra 1 số SID

Cho phép người dùng truy cập domain và các tài nguyên mạng chia sẻCho phép người dùng truy cập domain và các tài nguyên mạng chia sẻ

Cho phép truy cập máy tính cục bộ và tài nguyên cục bộCho phép truy cập máy tính cục bộ và tài nguyên cục bộ

Bài 3 - Triển khai dịch vụ Active Directory 36

Cách tổ chức tên trong Domain

Thuộc tính tên người dùng:

Đối tượng Ví dụ Yêu cầu

Tên đăng nhập Gregory Phải là tên duy nhất trongvùng

Tên đăng nhập(sử dụng vớiWindows 2000trở về trước)

Phải là tên duy nhất trongvùng

Tên đăng nhập(sử dụng vớiWindows 2000trở về trước)

Woodgrove\Gregory Phải là tên duy nhất trongvùng

Tên người dùngchính (UPN)

Gregory@WoodgroveBank.com

Phải là tên duy nhất trongrừng

Tên phân biệtLDAP

CN=Gregory,OU=IT,DC=WoodgroveBank,DC=com

Phải là tên duy nhất trongtoàn vùng

Bài 3 - Triển khai dịch vụ Active Directory 37

Cấu hình mật khẩu

Mật khẩu người dùng có thể có các cấu hình sau:Lịch sử mật khẩuĐộ dàiĐộ phức tạp

Mặc định, Windows 2008 yêu cầu mật khẩu phải có 4 yếu tố sauChữ hoaChữ thườngKý tự đặc biệtSố

Bài 3 - Triển khai dịch vụ Active Directory 38

Quản lý người dùng

Quản lý người dùng bao gồm:

Gán quyền thích hợp cho người dùng

Đặt lại mật khẩu người dùng

Đặt thời hạn truy cập vùng cho người dùng

Đặt thời gian người dùng truy cập

Gán các profile và thư mục home

Bài 3 - Triển khai dịch vụ Active Directory 39

Công cụ dùng để cấu hìnhngười dùng

Có nhiều công cụ để cấu hình ngườidùng trong vùng hoặc cục bộ

Tài khoản Công cụ

Sử dụng tool User account trongXP/VistaTài khoản cục bộ Sử dụng tool User account trongXP/Vista

Tài khoản vùng

• Windows Server 2003/2008: ActiveDirectory Users and Computers

• Dòng lệnh: dsadd, WindowsPowerShell™, CSVDE, LDIFDE

Bài 3 - Triển khai dịch vụ Active Directory 40

Định nghĩa tài khoản mẫu

Tài khoản mẫu giúp việc triển khai các user có thuộc tínhgiống nhau trở nên rất thuận tiện

Là 1 tài khoản với các thuộc tính đã được cấu hình trước sẵnLà 1 tài khoản với các thuộc tính đã được cấu hình trước sẵn

Để sử dụng tài khoản mẫuTạo ra tài khoản người dùng với các thuộc tính cụ thểSao chép tài khoản người dùng này sang một tài khoản mớiChỉnh sửa lại các thuộc tính như tên đăng nhập, email…

Bài 3 - Triển khai dịch vụ Active Directory 41

Tổng kết bài học

Các khái niệm về AD: Domain, OU, Forest, DCCác bước cài đặt 1 ADTài khoản người dùng và tổ chức trong DomainQuản trị tài khoản người dùng

Các khái niệm về AD: Domain, OU, Forest, DCCác bước cài đặt 1 ADTài khoản người dùng và tổ chức trong DomainQuản trị tài khoản người dùng

Bài 3 - Triển khai dịch vụ Active Directory 42