Professional Documents
Culture Documents
4 - Chuong 4.1 - Active Directory
4 - Chuong 4.1 - Active Directory
1
Thuận lợi của Active Directory Active Directory Server Roles là gì?
Server Role Mô tả
Một thư mục tập trung quản lý và chứng thực cho người sử dụng
Ưu điểm Active Directory: Active Directory Domain
Services (AD DS) và máy tính trong mạng Windows Server
Đơn giản hóa quản lý bảo mật (Domain, OU)
Lưu trữ dự phòng thông tin bảo mật Active Directory Lightweight Một dịch vụ thư mục LDAP (Lightweight Directory Access
Directory Services (AD LDS) Protocol) cung cấp một cơ chế hỗ trợ các ứng dụng directory-
Chính sách nhóm enabled (sử dụng thư mục để lưu trữ dữ liệu), mà không có yêu cầu
triển khai miền, bộ điều khiển miền.
Khả năng mở rộng
Ủy quyền quản trị Active Directory Certificate Một giải pháp được sử dụng để bảo vệ thông tin được lưu trữ trong
Services (AD CS) các văn bản, tin nhắn, e-mail và các trang Web không được phép
xem, sửa đổi, hoặc sử dụng
Active Directory Rights Là dịch vụ được dùng để kết hợp với các ứng dụng hỗ trợ AD RMS
Management Services (AD RMS) (AD RMS – enable application), nhằm bảo vệ dữ liệu quan trọng
trước những đối tượng người dùng không được phép (unauthorized
5 6
users).
Active Directory Domain Services (AD DS) là một dịch vụ AD DS là nền tảng cho một mạng chức năng
trên Windows Server, sử dụng thông tin lưu trữ trong Hầu hết các vai trò máy chủ phụ thuộc vào
AD để quản lý các đối tượng users, group, computer. AD DS để cung cấp cho người sử dụng và
Cung cấp thông tin về tài nguyên dựa vào thuộc tính của tài nguồn tài nguyên thông tin cho các vai trò
nguyên. máy chủ khác
Tự phân tán đến các máy tính trên mạng. AD DS cũng cung cấp dịch vụ xác thực và
Tự nhân bản: giúp ADDS tự bảo vệ, dễ truy xuất. ủy quyền
Có khả năng phân tán -> tăng khả năng lưu trữ
Gồm nhiều phần: miền, cấu hình, lược đồ 7 8
2
Kiến trúc Active Directory Kiến trúc Active Directory
Active Directory như một Datastore có 2 thành phần
Kiến trúc
NTDS.DIT có 5 thành phần
Đối tượng AD (Active Directory Objects) 1. Domain NC: chứa các đối tượng như user, computer, OU….
Lược đồ AD (Active Directory Schema) 2. Schema: là nơi lưu trữ các định nghĩa về từng thuộc tính trên mỗi
đối tượng
Các thành phần AD (Active Directory Components – cấu
3. Configuration: chứa toàn bộ các cấu hình của Active Directory
trúc luận lý và cấu trúc vật lý)
4. DNS: lưu thông tin cấu hình DNS
5. Global Catalog (PAS): đảm nhiểm chức năng chứng thực
(authentication) cho hệ thống Active Directory. Máy chủ quản trị
miền nào (Domain controller) lưu trữ Global Catalog thì
được gọi là Global Catalog Server.
9 10
Active Directory như một Datastore Thông tin users, máy in, server, database, groups,
có 2 thành phần computers và security policies
SYSVOL: là một thư mục chứa các Mỗi object có những thuộc tính riêng đặc trưng cho object
chính sách dành cho các đối tượng đó (ví dụ như object user có các thuộc tính liên quan như
người dùng hoặc máy tính và các đoạn First Name, Last Name, Logon Name, … )
script quan trọng khác.
Một số object đặc biệt bao gồm nhiều object khác bên trong
được gọi là các “container”, (ví dụ như domain là một
container bao gồm nhiều user và computer account).
11 12
3
Đối tượng AD Các quy ước đặt tên trong AD
Mỗi đối tượng trong Active Directory được nhận biết thông qua
một tên
Active Directory hỗ trợ các quy ước đặt tên bao gồm:
Distinguished Name (DN)
Globally Unique Identifier (GUID)
Relative Distinguished Name (RDN)
User Principal Name (UPN)
13 14
Các quy ước đặt tên trong AD-DN Các quy ước đặt tên trong AD-GUID
Distinguished Name (DN) Globally Unique Indentifier (GUID)
Mỗi đối tượng trong Active Directory sẽ có một tên duy nhất dựa Các GUID là các số 128 bit duy nhất được gán cho đối tượng
trên giao thức LDAP (Lightweight Directory Access Protocol) tại thời điểm nó được tạo.
DN chứa đầy đủ thông tin về đối tượng bao gồm: GUID không bao giờ thay đổi ngay cả khi đối tượng được
Tên của miền nơi lưu trữ đối tượng đổi tên (DN) hay di chuyển.
Đường dẫn đầy đủ tới đối tượng
Tương tự như một SID (Security Identifiers) trong Windows
Ví dụ sau đây chỉ ra DN của người dùng David Beckham trong
Cty abc (abc.com) và thuộc phòng Development (OU=Dev): NT nhưng:
/DC=com/DC=abc/OU=dev/CN=Users/CN=David Beckham SID được tạo bên trong một miền là duy nhất trong miền đó
DC: Domain Component Name GUID là duy nhất trên tất cả các miền trong một rừng
OU: Organizational Unit Name
CN: Common Name GUID giống như số CMNN của một người nào đó
15 16
4
Các quy ước đặt tên trong AD-RDN Các quy ước đặt tên trong AD-UPN
User Principal Name (UPN)
ADDS hỗ trợ truy vấn
thông qua thuộc tính của Là tên thân thiện của đối tượng người dùng.
một đối tượng, do đó có Nó là sự kết hợp giữa một tên ngắn của đối tượng và tên
thể xác định được đối DNS của Domain nơi lưu giữ đối tượng.
tượng ngay cả khi không
Tên ngắn thường là tên đăng nhập (logon) của người dùng.
biết DN.
Ví dụ: đối với người dùng Tran Lam Anh có tên đăng
RDN của một đối tượng nhập là tlanh, thì UPN sẽ là: tlanh@abc.com
là thuộc tính của đối
tượng đó
17 18
Lược đồ AD Lược đồ AD
Chứa những định nghĩa về các đối tượng khác nhau được
lưu trữ trong AD.
Các định nghĩa được lưu trữ như đối tượng trong AD.
Lược đồ là duy nhất trong một rừng và được tạo ra trong
quá trình cài đặt Domain Controller đầu tiên của rừng.
Schema được định nghĩa gồm 2 loại object là Schema Class
Objects và Schema Attribute Objects.
Schema Class có chức năng như một template cho việc tạo
mới các đối tượng trong AD.
Schema Attribute định nghĩa các Schema Class tương
ứng với nó. 19 20
5
Cấu trúc luận lý (Logical Structure) Miền (Domain)
Được ánh xạ thông qua mô hình domains, OUs, trees và Trong một miền thì phải có ít nhất là một
forest máy chủ quản lý miền (Domain Controller)
Nó là sự tập hợp các máy tính được định
nghĩa bởi người quản trị.
Tất cả các máy tính trong miền dùng chung
một cơ sở dữ liệu Active Directory chia sẻ
Mục đích chính của miền là phục vụ như một
ranh giới bảo mật trong mạng Windows
Server.
Các máy chủ trong cùng một miền sẽ đồng
bộ với nhau về các đối tượng trong miền đó
21
(Domain Name Context) 22
23
Những miền có sử dụng chung tên gốc hay tên miền không bị gián đoạn 24
6
Rừng (forest) Rừng (forest)
Forest: Là tập hợp của nhiều tree có quan hệ với nhau
Một forest phải đảm bảo thoả các đặc tính sau
Các domain trees trong forest là độc lập với nhau về tổ Toàn bộ domain trong forest phải có 1 schema chia sẻ chung
chức Các domain trong forest phải có 1 global catalog chia sẻ chung
Các domain trong forest phải có mối quan hệ trust 2 chiều với
nhau
Các tree trong 1 forest phải có cấu trúc tên(domain name) khác
nhau
Các domain trong forest hoạt động độc lập với nhau, tuy nhiên
hoạt động của forest là hoạt động của toàn bộ hệ thống tổ chức
doanh nghiệp.
25 26
Danh mục toàn cục (Global Catalog) Danh mục toàn cục (Global Catalog)
Global catalog là trung tâm lưu giữ các thông tin của các đối
tượng trong Active directory
Nhưng thông tin (thuộc tính của đối tượng) được lưu trữ trong
Global catalog thường xuyên được sử dụng cho hoạt động tìm
kiếm và định vị các đối tượng trong AD
Global catalog được tạo ra trong Domain Controller đầu tiên
của Forest -> Global Catalog Server
27 28
7
Cấu trúc vật lý của AD (Physical Structure) Sites
Cấu trúc vật lý và cấu trúc logic là hoàn toàn tách biệt Là một thuật ngữ được dùng đến khi nói
về vị trí địa lý của các domain trong hệ
Cấu trúc vật lý được sử dụng để tổ chức việc trao đổi trên mạng, thống.
trong khi cấu trúc logic dùng để tổ chức tài nguyên trên mạng. Một site là một sự kết hợp của một
hoặc nhiều subnets IP được kết nối với
Cấu trúc vật lý của AD gồm: tốc độ cao
Các Sites được định nghĩa để tối ưu
• Sites hoá việc truy xuất và nhân bản
• Domain Controllers Active Directory.
Mục đích chính của việc định nghĩa
các sites là:
Để đảm bảo chắc chắn kết nối tốc độ cao
29 giữa các domain controllers 30
8
Nhân bản (Replication) trong AD Nhân bản (Replication)
Nhằm bảo đảm rằng những thay đổi trên bất kỳ Domain
Controller nào cũng được phản ánh tới các DC khác trong Một hệ thống thì phải có sự nhất
miền. quán rõ ràng, từ các đối tượng, cho
tới các chính sách thực thi,
Những thông tin trong Active Directory gồm: Cần phải có một sự đồng bộ giữa
Thông tin lược đồ. các các máy chủ quản lý về đối
Thông tin cấu hình. tượng, chính sách .v.v,
Thông tin miền.
Thông tin phần mềm ứng dụng.
Ví dụ: trên DC thứ nhất, bạn được phép truy cập vào tài nguyên A, trong khi
theo máy chủ DC thứ 2, bạn lại không có được quyền này??? 33 34
35 36
9
Cài đặt Active Directory trên Windows Server 2012 Cài đặt Active Directory trên Windows Server 2012
Tổng quan
39 40
10
1. Quản lý đơn vị tổ chức Đơn vị tổ chức (OU) là gì?
Một đơn vị tổ chức (OU):
Đơn vị tổ chức (OU) là gì?
Là một đối tượng thư mục động trong miền
Các thành phần chứa trong OU Là phạm vi nhỏ nhất, đơn vị mà bạn có thể ấn định cài đặt chính
Cấp bậc OU là gì? sách nhóm hoặc uỷ quyền quản trị
Có thể chứa người dùng, máy tính, nhóm, máy in, và các OU khác
Các thao tác quản trị OU
OUs được dùng để:
Sử dụng công cụ dòng lệnh
Tạo địa giới hành chính trong miền bằng cách ủy quyền
Demo tạo OUs Triển khai mô hình quản lý phi tập trung
Áp đặt chính sách nhóm (GPO)
41 42
43 44
11
Sử dụng công cụ dòng lệnh Tạo OUs
Xóa một OU
dsrm ou OrganizationalUnitDN -desc
Description -d Domain -u UserName -p
Password
45 46
Xóa OU Xóa OU
Trong cửa sổ Active Directory Users and Computers -> 1. Click Phải chuột vào OU cần
chọn View -> chọn Advanced Features xóa -> chọn Properties
2. Trong cửa sổ Properties của
OU, chọn tab Object > tick bỏ
Protect object from accidental
deletion -> chon OK
3. Lúc này ta có thể delete OU như
bình thường
47 48
12
2. Quản trị tài khoản người dùng
Một tài khoản người dùng là một đối tượng cho phép xác Tài khoản người dùng cho phép đăng nhập vào miền
thực và truy cập vào tài nguyên cục bộ và mạng Một người dùng được cấp một tài khoản duy nhất.
Một tài khoản người dùng có thể lưu: Một tài khoản người dùng là một đối tượng chứa tất cả dữ liệu cần
Trong AD DS (Tài khoản AD DS) thiết để định nghĩa người dùng trong miền.
Tài khoản AD DS cho phép đăng nhập vào miền và cung Đối tượng người dùng bao gồm các dữ liệu sau:
cấp quyền truy cập vào tài nguyên mạng chia sẻ Username (định danh)
Trên một máy cục bộ (tài khoản cục bộ) Password (mật khẩu)
Tài khoản cục bộ cho phép đăng nhập vào một máy tính và Groups (nhóm mà người dùng là thành viên)
truy cập vào tài nguyên cục bộ
Rights (quyền hệ thống)
Tạo một tài khoản người dùng cũng tạo ra một ID bảo mật (SID) Permissions (cấp phép/quyền truy cập)
51 52
13
Tài khoản người dùng cục bộ Tài khoản người dùng cục bộ
Tài khoản người dùng cục bộ được tạo cho người dùng được phép
Tài khoản người dùng
truy cập có giới hạn đến máy tính tạo ra nó.
cục bộ
Tài khoản này được tạo ra trong cơ sở dữ liệu bảo mật của máy tính
cục bộ.
Cơ sở dữ liệu này được gọi là cơ sở dữ liệu bảo mật cục bộ. Cơ sở dữ liệu bảo mật cục bộ
Tài khoản người dùng được tạo bởi Computer Management
Console
53 54
Tài khoản người dùng miền Tài khoản người dùng miền
Cho phép người dùng đăng nhập đến miền và truy cập tài nguyên
mạng bất kỳ nơi nào trên mạng. Tài khoản người dùng
Bạn phải cung cấp Username và Password hợp lệ để đăng nhập miền
thành công.
Được tạo ra trong một bộ chứa hoặc một OU trong bản sao của cơ
sở dữ liệu Active Directory trên bộ điều khiển miền. Active Directory
Domain Controller
Người dùng miền
55 56
14
Lập kế hoạch tạo tài khoản người dùng Tên tài khoản người dùng
Lập kế hoạch giúp việc tạo và tổ chức thông tin tài khoản người Một quy ước đặt tên giúp dễ nhớ tên đăng nhập và dễ định vị tên
dùng hiệu quả trong danh sách
Các vấn đề cần lưu ý khi đặt tên:
Gồm 4 yếu tố
Tên đăng nhập là duy nhất
Tên tài khoản
Có tối đa 20 ký tự
Mật khẩu Tránh dùng những ký tự không hợp lệ: “ / \ [ ] : ; /=, + * ? <
Thẻ thông minh >
Thuộc tính tài khoản Tính tương thích E-mail
Tên đăng nhập không phân biệt kiểu chữ
Xác định loại nhân viên
Tên nhân viên trùng nhau
57 58
Tùy chọn mật khẩu tài khoản người dùng Thẻ thông minh
Tùy chọn cấu hình cho mật khẩu: Là một thiết bị giống như thẻ tín dụng, dùng PIN để chứng
Lịch sử mật khẩu (Password history) thực và truy cập hệ thống
Chiều dài (Length)
Một số thông tin có thể được lưu:
Phức tạp (Complexity)
Thông tin cá nhân: tên, địa chỉ, thông tin tài khoản
Mặc định, trong Windows Server ® 2012 mật khẩu miền
Chứng nhận (Certificates )
phải đáp ứng ba trong số bốn yêu cầu phức tạp sau đây:
Khoá chung (Public Keys )
Chữ hoa (Uppercase)
Khoá riêng (Private Keys)
Chữ thường (Lowercase)
Mật khẩu (Password)
Ký tự đặc biệt (Special characters)
Số (Numbers)
59 60
15
Thẻ thông minh Thẻ thông minh
Những yêu cầu để dùng Smart card: Những vấn đề quan trọng cần xem xét:
Thiết bị đọc Smart card Có bao nhiêu người dùng cần chứng thực?
Kết nối Smart card với một máy tính Phát hành thẻ như thế nào?
Bộ phận đăng ký (người dùng có chứng nhận bộ phận đăng ký) Người dùng phải cung cấp những thông tin cá nhân nào?
Quyền chứng nhận của đơn vị/ bộ phận đăng ký thứ 3 Những người dùng cơ bản nào sẽ phải được điều tra?
Quá trình để báo cáo sự mất mát thẻ
Phát hành những thẻ tạm thời
61 62
Thiết lập thuộc tính cho tài khoản Công cụ cấu hình các tài khoản người dùng
Các thuộc tính cho tài khoản người dùng bao gồm: Bạn sử dụng các công cụ khác nhau để tạo và quản lý các
Cập nhật nhóm thành viên: cung cấp các thành viên nhóm người dung và tài khoản người dùng cục bộ và miền:
quyền truy cập
Đặt lại mật khẩu người dùng: thay đổi chứng thực bảo mật được sử dụng Tài khoản Công cụ
để truy cập máy tính miền
Thiết lập hạn sử dụng: là ngày hết hạn người sử dụng có thể truy cập miền Tài khoản cục bộ Windows 7 và Windows 10: User Accounts
Thiết lập giờ đăng nhập: đặt giờ trong đó người dùng có thể • Windows Server 2012/2016: Active Directory Users and
đăng nhập vào miền Computers
Chỉ định profiles và thiết lập home folders: Chỉ định profiles và home Tài khoản miền
• Command-line utilities: dsadd, Windows PowerShell™,
folders để điều chỉnh truy cập vào tài nguyên CSVDE, LDIFDE
63 64
16
Tài khoản người dùng mẫu là gì? User profile
Các kiểu của User Profile Lưu trữ các User Profile
Mandatory User Profile: một user profile bắt buộc một Local user profile: được lưu trữ trong thư mục:
C:\Users\user_logon_name
roaming profile
Roaming user profile: được đặt trong một thư mục dùng chung trên
Local User Profile: được tạo ra và lưu giữ trên đĩa cứng server.
cục bộ của máy tính
Thư mục My Documents được thiết lập tự động bởi Windows 2012.
Roaming User Profile: quản trị hệ thống tạo ra một user Nó là vị trí mặc định để lưu trữ dữ liệu người dung cho các ứng
profile di động, và lưu giữ trên một server dụng Microsoft
Temporary User Profile: profile này sẽ bị xóa khi người
dùng kết thúc session
67 68
17
Local user Profile Roaming User Profiles
Local user profile: được tạo bởi Windows 2012 khi người dùng Roaming user profiles có thể thiết lập để hỗ trợ người dùng làm việc
đăng nhập vào máy tính lần đầu tiên. trên nhiều máy tính.
Các thiết lập roaming user profile sẽ được áp dụng lên máy tính đó.
Khi người dùng đăng nhập vào một máy trạm chạy Windows 2012,
người dùng nhận được: Windows server 2012 sao chép tất cả tài liệu đến máy tính cục bộ khi
Các thiết lập desktop người dung đăng nhập lần đầu tiên.
Các kết nối riêng biệt Một roaming user profile chuẩn có thể được tạo cho nhóm của người
dùng bằng cách cấu hình môi trường desktop như yêu cầu.
Profile chuẩn sẽ được sao chép đến vị trí đặt roaming user profile
của người dùng.
69 70
71 72
18
Tạo người dùng Thuộc tính người dùng
73 74
Tạo thư mục Home trong ổ đĩa C và share cho user Kết quả map thư mục Home cho client khi đăng nhập user
75 76
19
3: Tạo tài khoản máy tính Tài khoản máy tính là gì?
Một tài khoản máy tính là một đối tượng trong
Tài khoản máy tính là gì?
Các tùy chọn khi tạo tài khoản máy tính AD DS xác định một máy tính kết nối vào miền.
Quản lý tài khoản máy tính khoản
Tài
Được máyđểtính:
yêu cầu thẩm định và kiểm soát (trước quá trình chứng
thực người dùng).
Kích hoạt tính năng quản lý máy tính bằng cách sử dụng các
chính sách nhóm
Lưu ý: nếu có tài khoản người dùng, nhưng nếu sử dụng máy tính
chưa có tài khoản thì người dùng cũng không thể đăng nhập hệ thống
77 78
Các tùy chọn khi tạo tài khoản máy tính Tài khoản máy tính được thêm vào miền
Tạo nhiều tài khoản máy tính trong 1. Tạo một OU cho từng bộ phận
việc chuẩn bị để tự động hoá một
2. Tạo các tài khoản máy tính mới
hệ điều hành và triển khai phần
mềm 3. Thêm máy tính vào miền
79 80
20
Quản lý tài khoản máy tính 4: Tự động quản lý đối tượng AD DS
Quản lý máy tính hoạt động bao gồm:
Thêm tài khoản máy tính: cung cấp tên máy tính và xác định các
Các công cụ để quản lý đối tượng AD DS tự động
tùy chọn quản lý Cấu hình đối tượng AD DS sử dụng công cụ dòng lệnh
Vô hiệu tài khoản máy tính: duy trì tài khoản, nhưng ngăn cản Quản lý đối tượng sử dụng với LDIFDE
đăng nhập vào từ tài khoản
Đặt lại tài khoản máy tính: thiết lập lại các kết hợp bảo mật giữa
Quản lý đối tượng sử dụng với CSVDE
miền và máy tính khách hàng (cần tái gia nhập) Windows PowerShell là gì?
Xóa tài khoản máy tính: loại bỏ máy tính từ tất cả các dịch vụ
miền
Cấu hình chính sách nhóm: quản lý các phần mềm hay môi
trường máy tính để bàn 81 82
Các công cụ quản lý đối tượng AD DS tự động Cấu hình đối tượng AD DS sử dụng công cụ dòng lệnh
Active Directory Directory Service Tools
Users and Computers Công cụ dòng lệnh:
• Dsadd
Dsadd – Thêm một đối tượng đến AD DS
• Dsmod
• Dsrm Dsmod - Sửa đổi đối tượng trong AD DS
Dsrm - Hủy bỏ đối tượng từ AD DS
Dsget - Xác định vị trí đối tượng trong AD DS
Csvde and Ldifde Tools Windows PowerShell net user - Thêm hoặc sửa đổi tài khoản người dùng
Net group - Thêm hoặc thay đổi nhóm truy cập
Net computer - Thêm hoặc loại bỏ đối tượng máy tính từ AD DS
83 84
21
Quản lý đối tượng sử dụng với LDIFDE Quản lý đối tượng sử dụng với CSVDE
CSVDE.exe
LDIFDE.exe
export
export
filename.csv
import Active Directory
import
Active Directory
HR Application
filename.ldf
85 86
Windows PowerShell là một kịch bản và công nghệ dòng lệnh mà mà bạn có thể sử
dụng để quản lý AD DS và các thành phần khác của Windows
• Pipelining
• Powerful single line cmdlets
• Scripting support
• Aliases
• Access to all
• Variables
cmd.exe commands
87
22