Triển Khai Hệ Thống Domain Trên Windows Server 2003 Active
Directory
Mô Hình Hệ Thống Trên Windows Server 2000/2003
I - Xây Dựng Windows Server 2003 Active Directory Và Tạo Các Đối Tượng Bằng
Dòng Lệnh
Windows Server 2003 là hệ điều hành mạng hòan thiện nhất hiện nay, chúng ta có thể dùng
Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và
người dùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ chức các File
Server lưu trữ dữ liệu, cung cấp các dịch vụ cho người dùng…
Nếu như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng thì
Active Directory chính là trái tim của nó, hầu như tất cả mọi hoạt động diễn ra trên hệ
thống đều chịu sự chi phối và điều khiển của Active Directory. Từ phiên bản Windows
NT4.0 trở về sau, Microsoft đã phát triển hệ thống Active Directory dùng để lưu trữ dữ
liệu của domain như các đối tượng user, computer, group … cung cấp những dịch vụ
(directory services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng
thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các
user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào domain và có thể truy cập tất
cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.
Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản
lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực hiện được
trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một
cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho
toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý
trong một môi trường rộng lớn.
Những Thành Phần Chính Của Hệ Thống Active Directory
User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số tài khoản
built-in được tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ thống, backup
operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống mà
không cần những quyền hạn hợp lệ đôi với những dữ liệu này. Tuy nhiên để các nhân viên
trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào domain thì người
quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng. Các user sẽ
dùng những tài khoản được cấp bởi administrator để log-in và domain. Và truy cập dữ liệu
trên file server hay các dịch vụ khác..
Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ các nhân
viên của một phòng ban sale có quyền truy cập lên folder sales trên file server hoặc chúng
ta muốn các nhân viên của công ty đều có quyền in đối với laser printer, chúng ta nên tạo
group printing và gán quyền in trên laser printer sau đó add tất cả các nhân viên của công
ty vào group printing này thay vì gán quyền in cho từng user riêng lẽ sẽ không hiệu quả
(các bạn cần chú ý sử dụng group Domain User cho những thao tác chung, mặc định tất cả
các user được tạo ra đều thuộc group này).
OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì chúng ta khảo
sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng ban, bộ phận. Dựa trên
kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí như phòng ban Sales
sẽ có một OU Sales và trong OU này chứa group sales, group sales sẽ bao gồm tất cả
những thành viên của phòng ban sale, và những user này cũng được đặt trong OU Sales
cùng với group sales. Như vậy chúng ta cần phải phân biệt rõ group sales và OU Sales,
giữa chúng có những khác biệt cơ bản là OU được dùng để quản trị về mặt chính sách như
chúng ta muốn tất cả các nhân viên thuộc phòng ban sales trong môi trường thật được cài
đât tự động MS OfficeXP hay update những bản vá nào khi đăng nhập hệ thống thì chúng
ta phải tương tác qua OU. Nhưng rõ ràng chúng ta không thể quản lý về quyền hạn truy
cập của các user này bằng OU, chính vì vậy chúng ta cần phải tạo ra các group và gán
quyền thông qua những group này. Đó là những khác biệt cơ bản nhất mà chúng ta cần
phân biệt.
Trên đây là 3 đối tượng cơ bản của hệ thống active directory, ngoài ra còn có những thành
phần khác như group plicy, site, trusting, global catalog, fsmo..sẽ được trình bày ở những
phần tiếp theo.
Trước khi bắt tay vào xây dựng hệ thống domain cho tổ chức của mình, một số lưu ý
chúng ta cần quan tâm là:
- Cần có ít nhất 2 domain controler là Primary (PDC) và cái còn lại dùng là Backup (BDC)
để đáp ứng chức năng load balancing và faultolerant, nếu hệ thống chỉ có một domain
controler duy nhất thì phải backup các system state data của Active Directory cẩn thận theo
các mức chuẩn (baseline) để có thể phục hồi khi có sữ cố xảy ra hay dùng cho migration
(di trú) qua một máy khác khi PDC bị hư hỏng đột xuất.
- Hệ thống Active Directory sử dụng DNS cho quá trình phần giải tên các dịch vụ và
những thành viên của chúng, vì vậy bắt buộc phải có DNS hợp lệ để Active Directory họat
động chính xác, tên của Domain là gì?Thông thường khi cài đặt active directory có thể
chọn cài tích hợp dịch vụ DNS, trong trường hợp đã có sẳn máy chủ DNS thì phải khai báo
địa chỉ của dịch vụ này trong phần Prefered DNS và tên của domain là tên của tổ chức như
tcdescon.com, security365.org..
- Cần phải khảo sát tổ chức có bao nhiêu thành viên (người dùng) tương ứng với số lượng
account được tạo trong Acitve Directory, có bao nhiêu bộ phận, phòng ban để tạo ra các
OU và Group tương ứng, ngòai ra chúng ta cần xem xét các quyền hạn sử dụng của các đối
tượng, khả năng đáp ứng.. để từ đó đưa ra một bản phác thảo đầy đủ cho hệ thống Domain
Controller của mình.
Để thực hiện bài Lab này, cần có các máy tính với cấu hình TCP/IP như hình dưới đây,
trong đó DC1 là Primay Domain Controller với hệ thống Backup (Secondary Domain
Controller) là DC2 tất cả đều sử dụng Windows Server 2003. Client1 có thể dùng
Windows XP hoặc Windows 2000.
Hệ Thống Domain Controler Và Địa Chỉ IP (Click vào ảnh để phóng to)
1- Tiến hành cài đặt tự động Active Directory trên DC1 theo phương pháp Unattend
Để thăng cấp một Windows Server 2003 Standalone lên thành Domain Controller chúng ta
sử dụng lệnh dcpromo và sau đó cung cấp đầy đủ tên domain, vai trò và vị trí cài
đặt..Trong phần này các bạn hãy log-in vào DC1 bằng tài khỏan Administrator và tạo tập
tin như đưới đây, hãy thay tên domain security365 bằng tên domain của bạn cũng như các
thông tin về Password hay SafeModeAdminPassword tương ứng , các bạn có thể chọn cài
cùng lúc DNS bằng cách xác định AutoConfigDNS = Yes, nếu muốn hệ thống reboot lại
sau khi cài đặt hãy đặt giá trị RebootOnSuccess = Yes
[DCInstall]
RebootOnSuccess = No
DatabasePath = %SYSTEMROOT%\NTDS
LogPath = %SYSTEMROOT%\NTDS
SysVolPath = %SYSTEMROOT%\Sysvol
UserName = administrator
Password = Password
ReplicaorNewDomain = Domain
TreeOrChild = Tree
CreateOrJoin = Create
NewDomainDNSName = security365.org
DNSOnNetwork = No
DomainNetBiosName = SECURITY365
AllowAnonymousAccess = No
AutoConfigDNS = Yes
SiteName = Default-First-Site-Name
SafeModeAdminPassword = netmanager
Lưu tập tin trong ở C:\ với tên là dcinfo.txt
Sau đó chạy lệnh dcpromo /answer:C:\dcinfo.txt
Restart lại hệ thống khi tiến trình cài đặt hòan tất, tiêp theo chúng ta cần tạo ra những tài
khỏan người dùng cùng với những Group, OU tương ứng theo các phòng ban như hình sau
đây dựa trên mô hình thực tế của công ty có 2 chi nhánh CA và NC, mỗi chi nhánh có các
bộ phận Marketing, Accountign và Sales.
2- Tạo cấu trúc OU với dsadd ou:
Có nhiều cách để tạo ra các đối tượng trên Active Directory như OU, Group, User..Các bạn
có thể dùng giao diện đồ họa Active Directory Users and Computers console sau đó click
chuột phải vào Domain Name (ví dụ security365.com) và chọn những thao tác tương ứng.
Ở đây chúng ta sử dụng một phương pháp ít thông dụng hơn dựa trên dòng lệnh, điều này
sẽ rất thuận tiện khi muốn xây dựng hệ thống một cách tự động.
Để tạo một OU mới hãy sử dụng dòng lệnh dsadd ou:
Dsadd ou “OU=NC,DC=security365,DC=com”
Dsadd ou “OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Marketing,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Accounting,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Sales,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Marketing,OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Accounting,OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Sales,OU=CA,DC=security365,DC=com”
Có thể dùng tập tin bat để tiến hành tự dộng quá trình trên, với OU là tên của OU được tạo,
DC là tên của domain lưu ý nên tạo tuần tự các bước.
3. Tạo User Với dsadd user:
Chúng ta có thể tạo tài khỏan người dùng với dsadd user, ví dụ sau sẽ tạo ra tài khỏan cho
Nguyen Tran Duy Vinh thuộc phòng ban Sales :
- tên đăng nhập vinhndt, mật mã đăng nhập 123qwe!@#
- thuộc bộ OU Sales