BÁO CÁO NHIỆM VỤ TRIỂN KHAI DỊCH VỤ ACTIVE DIRECTORY

1. Thiết kế hạ tầng dịch vụ Active Directory

1.1Thiết kế vật lý:
- Hệ thống được thiết kế 01 site
- Site sẽ bao gồm 02 AD: DC và ADC. Hai server này hoạt động gần như
ngang hàng và ADC có chức năng sao lưu và backup dự phòng cho DC,
đảm bảo tính sẵn sàng cao của hệ thống.
- Máy chủ của các ứng dụng yêu cầu tích hợp với AD (ví dụ như
Sharepoint, SQL, Zimbra,vCenter…) sẽ được join vào domain. Khi được
join vào domain, máy chủ ứng dụng có thể nhận biết được các tài khoản
người dùng trên hệ thống AD. Nhờ vậy, người dùng có thể sử dụng các
tài khoản này để truy nhập ứng dụng. (Giai đoạn 1 người dùng tạm thời
chưa tích hợp với AD)
- Hệ thống Active Directory của VNCERT/CC sẽ được triển khai với mô
hình một domain với tên miền vncert.vn.
- Mô hình dịch vụ tích hợp AD:

1.2Thiết kế User, Group:

1.2.1 Các loại nhóm
- Phạm vi nhóm (Group scope):
+ Domain local: nhóm này chứa được người dùng a nhiều domain khác
nhau và có phạm vi sử dụng chỉ trong domain chứa nhóm.
+ Global: nhóm này chỉ bao g m người dùng a domain chứa nhóm, nhóm
có phạm vi sử dụng a nhiều domain khác nhau trong hệ thống.
+ Universal: nhóm này chứa được người dùng a bất kì domain nào và có
phạm vi sử dụng a bất kì domain nào trong hệ thống.
- Kiểu nhóm (Group type):

1
 + Security: được sử dụng để gán quyền truy cập tài nguyên mạng, đây là
loại nhóm hay được dùng nhất.
+ Distribution: được sử dụng cho mục đích gửi e-mail đến 1 nhóm nhất
định người dùng, hoạt động tương tự các mailing list trên Internet.
- Các nhóm có sẵn (Built Group):
Tên nhóm Mô tả Môi trường
Account Operators Thành viên của nhóm này có thể tạo tài Domain
khoản nhóm, tài khoản người dùng
nhưng chỉ có thể quản lý những gì do
nó tạo ra.
Administrators Nhóm này có toàn quyền trên hệ thống Local và
Domain
Backup Operators Thành viên của nhóm này có quyền Local và
Backup và Restore. Nếu hệ thống sử Domain
dụng NTFS, họ phải được gán quyền thì
mới có thể thực hiện được công việc
Guests Đây là nhóm bị hạn chế nhiều nhất Local và
Domain
Power Users Nhóm này có ít quyền hơn nhóm Local
Administrators nhưng nhiều quyền hơn
nhóm Users. Nhóm này cũng có thể tạo,
quản lý tài khoản nhóm và người dùng
do họ tạo ra. Ngoài ra, còn có quyền
chia sẻ thư mục và máy in
mạng.
Print Operator Thành viên nhóm này có quyền quản trị Domain
máy in
Replicator Nhóm này được dùng để hổ trợ tạo bản Local và
Domain
sao thư mục, nó là 1 đặc tính được
dùng trong các server
Server Operators Thành viên nhóm này có thể quản trị Domain
các server vùng
Users Nhóm này cũng có quyền rất hạn chế Local và
Domain
Domain Computers Nhóm này chứa tất cả các máy trạm và Global
máy server như là 1 phần của vùng
Domain Controllers Nhóm này chứa tất cả các máy điều Global
khiển vùng của vùng
Domain Guests Là nhóm có quyền truy cập giới hạn Global
trên vùng
Domain Users Nhóm này có quyền tối thiểu trên vùng Global

2
Enterprise Admins Nhóm này có quyền full controll trên Global
tất cả các domain trong forest. Mặc
định nhóm này là member của group
Administrators trên tất cả các domain
controller trong forest. Account
Administrator cũng là member của
group này.
Group Policy Creator Nhóm này có quyền hiệu chỉnh chính Global
Owners sách bảo mật trong vùng
RAS and ISA Server Nhóam này chứa các thông tin về dịch Domain
vụ truy cập từ xa và dịch vụ chứng thực
trên Internet.
Schema Admins Nhóm này có quyền hiệu chỉnh các Global
lược
đ của Active Directory
1.1.3 Thiết kế User, Group cho VNCERT/CC
- Mô hình thiết kế Group:

3
4
- Nguyên tắc thiết kế:
+ Mỗi user sẽ có một user account trên hệ thống AD. Với người dùng là
quản trị hệ thống sẽ có thêm 1 hoặc nhiều account quản trị.
+ Mỗi tổ chức sẽ có một group. Group này bao gồm tất cả các user
account của người dùng thuộc tổ chức đó.
+ Mỗi đơn vị phòng ban sẽ có một group. Group này bao gồm tất cả các
user thuộc phòng ban đó.
+ Tạo một số group theo yêu cầu riêng. Ví dụ: group Thanh niên, group
Phụ nữ, group Lãnh đạo,...
+ Tạo các group quản trị hệ thống: group quản trị các Application, group
quản trị riêng tại từng đơn vị, ban ngành. User quản trị sẽ được add vào
các group quản trị.
- Quy tắc đặt tên cho User:
+ Username = chữ đầu họ + chữ đầu đệm + tên + bổ sung số nếu cần
+ Nếu có nhiều người trùng tên, bổ sung thêm số thứ tự, bắt đầu từ 2, 3,..
Ví dụ: Lê Công Phú sẽ có username là lcphu, từ người thứ 2 trùng
sẽ là lcphu2...
+ Với các username dùng cho mục đích quản trị của nhân viên IT, nên
qui định như sau: Useradmin = admin-username
Ví dụ: account admin của anh Lê Công Phú sẽ có tên là admin-
lcphu
- Quy tắc đặt tên cho Group:
Chia làm 3 nhóm:
+ Nhóm tổ chức:
Groupname = G.tên đơn vị
Ví dụ: Trung tâm VNCERT/CC: G-Trung tâm Ứng cứu khẩn cấp
không gian mạng Việt Nam
+ Nhóm các phòng ban:
Groupname = G-tên phòng (có thể viết tắt)
Ví dụ: Phòng Ứng cứu sự cố: G.UCSC
+ Nhóm các group admin:
Groupname = G.Admin-tên ứng dụng admin
Ví dụ: nhóm các admin cơ sở dữ liệu SQL có tên là: G-Admin-SQL
- Quy tắc đặt tên cho máy chủ:
Server name = VNCERT-tên viết tắt máy chủ + số thứ tự
Ví dụ: Máy chủ AD thứ nhất: VNCERT-AD01
2. Thông số chi tiết hệ thống AD
2.1Cấu hình máy chủ hệ thống AD
- Máy chủ vật lý: sử dụng 02 máy chủ Domain controller

5
 Host server Resoure VMServer
Dell R730-03 CPU (GHz) RAM (GB) HDD (GB) OS
B8TQ7N2 2 vCPUs 8 80 ESXi 6.7
Dell R730-04 2 vCPUs 8 80 ESXi 6.7
B8VT7N2
- Máy chủ ảo hóa: thông số cấu hình và dịch vụ máy chủ AD01
STT Thông số Giá trị
1.1 Thông số hệ điều hành và tên máy chủ
Hệ điều hành Microsoft Windows Server 2012 DC
(64bit)
Server name VNCERT-AD01
Domain name vncert.vn
1.2 Thông số mạng
NIC # of NIC: 1
VLAN: 100
IP address: 103.28.173.20
Subnet Mask: 255.255.255.192
Defaut Gateway: 103.28.173.1
DNS server:
1.3 Các ổ đĩa
Ổ đĩa C: SAN: VNCERT-DS-04 80GB, NTFS
Ổ đĩa D: CD/DVD (Datastore ISO)
1.4 Các Windows Server Role được cài đặt
Roles Active Directory Certificate Services
Active Directory Domain Services
DNS server
1.5 Các Windows Server Feature được cài đặt
Features Group Policy Management
Windows Process Activation Service
.NET framework 3.5.1. Features
1.6 Danh mục các thư mục hệ thống
Các thư mục hệ C:\Windows
thống trên ổ C:\ C:\Program Files
C:\Program Files (x86)
C:\ Documents and Settings
Data folder C:\Windows\NTDS
Log files folder C:\Windows\NTDS
SYSVOL folde C:\Windows\SYSVOL
- Máy chủ ảo hóa: thông số cấu hình và dịch vụ máy chủ AD02

6
 STT Thông số Giá trị
1.1 Thông số hệ điều hành và tên máy chủ
Hệ điều hành Microsoft Windows Server 2012 DC
(64bit)
Server name VNCERT-AD02
Domain name vncert.vn
1.2 Thông số mạng
NIC # of NIC: 1
VLAN: 100
IP address: 103.28.173.24
Subnet Mask: 255.255.255.192
Defaut Gateway: 103.28.173.1
DNS server: 103.28.173.20
1.3 Các ổ đĩa
Ổ đĩa C: SAN: VNCERT-DS-05 80GB, NTFS
Ổ đĩa Z: CD/DVD (Datastore ISO)
1.4 Các Windows Server Role được cài đặt
Roles Active Directory Certificate Services
Active Directory Domain Services
DNS server
1.5 Các Windows Server Feature được cài đặt
Features Group Policy Management
Windows Process Activation Service
.NET framework 3.5.1. Features
1.6 Danh mục các thư mục hệ thống
Các thư mục hệ C:\Windows
thống trên ổ C:\ C:\Program Files
C:\Program Files (x86)
C:\ Documents and Settings
Data folder C:\Windows\NTDS
Log files folder C:\Windows\NTDS
SYSVOL folde C:\Windows\SYSVOL
2.2Đề xuất cấu hình cho Default Domain Policy
STT Group Policy Name Default Value Đề xuất cấu hình
24 passwords
1 Enforce password history 3 password(s)
remembered
2 Maximum password age 42 days 90 days
3 Minimum password age 0 days 0 day(s)
4 Minimum password length 0 characters 8 character(s)
7
 Password must meet
5 Disabled Enabled
complexity requirements
Store passwords using
6 Disabled Disabled
reversible encryption
7 Account lockout duration Not defined 15 minute(s)
0 invalid 10 invalid logon
8 Account lockout threshold
logon attempts attempt(s)
Reset account lockout
9 0 15 minute(s)
counter after
Microsoft network server:
10 Disconnect clients when Enabled Enabled
logon hours expire
2.3Chính sách mở cổng cho dịch vụ AD
Tên chính Danh sách
Nguồn Đích Mô tả
sách các port
AD Policy DC DC 135/tcp (RPC) Phục vụ
PC PC 5000/tcp (RPC authentication
Restricted AD
Replication Ports)
5001/tcp (AD
Restricted
Replication Ports)
5002/tcp (NTFRS
Restricted
Replication Ports)
88/tcp, 88/udp
(Kerberos-Sec)
389/tcp, 389/udp
(LDAP)
636/tcp (LDAPS)
3268/tcp (LDAP
GC)
3269/tcp (LDAPS
GC)
53/tcp-udp (DNS)
123/udp (NTP)
67,68 udp (DHCP)
8
2.4Chính sách tên miền DNS
- Cấu hình DNS server cơ bản trên các DNS server tại Domain:
Forward Lookup Zones : vncert.vn
Type : Active Directory – integrated
Replication : All Dns servers in the active directory domain
Dynamic updates : Secure only
Zone Transfers : Allow zone transfers only to servers listed on
the Name Server tab (chứa 2 server AD tại root)
Forwarders : IP của nhà cung cấp dịch vụ internet
- Chi tiết thông số cấu hình trên các DNS Server

VNCERT-AD01, VNCERT-AD02
Forwarders
Name IP Address
All other DNS
Server

Forward Lookup Zones

_msdcs.vncert.vn Type Active Directory –
integrated
Replication All Dns servers in the
active directory domain
Dynamic updates Secure only
Zone Transfers Allow zone transfers only
to servers listed on the
Name Server tab
Serveraging/scavenging No-fresh Interval: 3
properties
Refresh Interval: 3
vncert.vn Type Active Directory –
integrated
Replication All Dns servers in the
active directory domain
Dynamic updates Secure only
Zone Transfers Allow zone transfers only
9
 to servers listed on the
Name Server tab
Serveraging/scavenging No-fresh Interval: 3
properties
Refresh Interval: 3
vncert.gov.vn Type Primary
Dynamic updates None
Zone File Name vncert.gov.vn.dns
Zone Transfers Allow zone transfers only
to servers listed on the
Name Server tab
Serveraging/scavenging Disable
properties
Reverse Lookup Zones
0.in-addr.arpa
127.in-addr.arpa
103.x.x.x.in-
addr.arpa

10