Giới thiệu về Active Directory
Active Directory là một dịch vụ thư mục (directory service) đã đư
đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu tro
kiến trúc Windows. Giống như các dịch vụ thư mục khác, chẳng h
như Novell Directory Services (NDS)
Active Directory là một hệ thống chuẩn và tập trung, dùng để tự độ
hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn
nguyên được phân phối, cho phép tương tác với các thư mục khác.
28 trang |
Chia sẻ: thanhle95 | Lượt xem: 748 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Bài giảng Lý thuyết quản trị mạng - Chương 3: Active Directory - Lương Minh Huấn, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC SÀI GÒN
CHƯƠNG 3: ACTIVE DIRECTORY
GV: LƯƠNG MINH HUẤN
NỘI DUNG
Khái niệm Active Directory
Cách đặt tên domain
Cài đặt và quản lý AD trên Win server 2012
Quản lý domain trên win server 2012
Định nghĩa về tài khoản người dùng, tài khoản nhóm
Backup DC và Child DC
Cài đặt domain trên Centos 7
Giới thiệu về Active Directory
Active Directory là một dịch vụ thư mục (directory service) đã được
đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong
kiến trúc Windows. Giống như các dịch vụ thư mục khác, chẳng hạn
như Novell Directory Services (NDS)
Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động
hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn
nguyên được phân phối, cho phép tương tác với các thư mục khác.
KHÁI NIỆM ACTIVE DIRECTORY
KHÁI NIỆM ACTIVE DIRECTORY
Thêm vào đó, Active Directory được thiết kế đặc biệt cho các
trường kết nối mạng được phân bổ theo một kiểu nào đó.
Với người dùng hoặc quản trị viên, Active Directory cung
một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập
quản lý tất cả các tài nguyên trong mạng.
Trên nền Linux, để có thể thực hiện Active Directory, người ta
phải sử dụng gói Samba để thực hiện cấu hình.
Chức năng của Active Directory
Lưu giữ một danh sách tập trung các tên tài khoản người dùng,
mật khẩu tương ứng và các tài khoản máy tính.
Cung cấp một Server đóng vai trò chứng thực (authentication
server) hoặc Server quản lý đăng nhập (logon Server), Server
này còn gọi là domain controller (máy điều khiển vùng).
Chức năng của Active Directory
Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp
các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào
đó trên các máy tính khác trong vùng.
Cho phép chúng ta tạo ra những tài khoản người dùng với những
mức độ quyền (rights) khácnhau như: toàn quyền trên hệ thống
mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa
Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con
(subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau
đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản
từng bộ phận nhỏ.
Kiến trúc của Active Directory
Bao gồm 5 loại :
Object
OU
Domain
Domain Tree
Forest
Kiến trúc của Active Directory
OBJECTS : gồm 2 loại
Object Class : user, computer, và printer.
Attributes : tập các giá trị phù hợp và được
kết hợp với một đối tượng cụ thể.
Kiến trúc của Active Directory
ORGANATIONAL UNITS (OU) : là đơn vị nhỏ nhất trong
thống Active Directory, được xem là vật chứa các đối tượng
(Objects), được dùng để sắp xếp các đối tượng khác nhau nhằm mục
đích quản trị của người dùng.
Kiến trúc của Active Directory
DOMAIN : là đơn vị chức năng nòng cốt của cấu trúc logic
Active Directory.
Nó là phương tiện để qui định một tập hợp những người dùng,
máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau
từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng
hơn.
omain đáp ứng hai chức năng chính sau:
Đóng vai trò như một khu vực quản trị (administrative boundary)
các đối tượng, là một tập hợp các định nghĩa quản trị cho các
tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính
sách bảo mật, các quan hệ ủy quyền với các domain khác.
Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ.
Kiến trúc của Active Directory
Kiến trúc của Active Directory
DOMAIN TREE
Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc
theo cấu trúc hình cây.
Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư
mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi
là domain con (child domain).
Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất
một domain con được tạo ra thì hình thành một cây domain
Kiến trúc của Active Directory
FOREST
Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree,
nói cách khác Forest là tập hợp các Domain Tree có thiết lập
quan hệ và ủy quyền cho nhau.
Cách đặt tên domain
Tên miền được cấu tạo bởi nhiều thành phần ngăn cách nhau
dấu chấm.
Trong đó có tên miền cấp cao nhất và tên miền cấp 2,3,4,
Tên miền cấp cao nhất bao gồm :
Cách đặt tên domain
Tên miền chung cấp cao nhất : .com, .net, .org, những tên miền
chung cấp cao nhất khác theo quy định của các tổ chức quốc tế
thẩm quyền về tài nguyên Internet.
Tên miền quốc gia cấp cao nhất : bao gồm các tên miền được
định theo chuẩn quốc tế về mã quốc gia.
dụ : tên miền Việt Nam là : .vn, .com.vn, .net.vn,
Cách đặt tên domain
Tên miền cấp 2, cấp 3, cấp 4,là các tên miền đứng ngay bên trái
tên miền cấp cao nhất.
dụ :
sgu.edu.vn : tên miền cấp 2
cntt.sgu.edu.vn : tên miền cấp 3
mang.cntt.sgu.edu.vn : tên miền cấp 4
Cách đặt tên domain
Qui tắc đặt tên miền :
Tên miền nên được đặt đơn giản và có tính chất gợi nhớ với
đích và phạm vi hoạt động của tổ chức sỡ hữu tên miền.
Mỗi tên miền được có tối đa 63 ký tự bao gồm cả dấu “.”.
miền được đặt bằng các ký tự (a-z A-Z 0-9) và ký tự “-”.
Một tên miền đầy đủ có chiều dài không vượt quá 255 ký tự.
Cách đặt tên domain
Một tên miền hoàn chỉnh phải luôn kết thúc bằng dấu chấm.
dụ :
sgu.edu.vn.
Tên miền không nhất thiết phải luôn bắt đầu bằng www.
CẤU HÌNH ACTIVE DIRECTORY TRÊN WIN SERVER
B1: Cấu hình IP tĩnh.
B2: Cấu hình DNS.
B3: Cấu hình Active Directory
B4: Tạo user, quản lý Active Directory
QUẢN LÝ DOMAIN TRÊN WIN SERVER 2012
Thiết lập các chính sách về mật khẩu, khóa tài khoản người dung.
Tạo và quản lý user, group, OU.
Quản lý user profile
Định nghĩa tài khoản người dùng
Tài khoản người dùng (user account) là một đối
tượng quan trọng đại diện cho người dùng trên
mạng, chúng được phân biệt với nhau thông qua
chuỗi nhận dạng username.
Chuỗi nhận dạng này giúp hệ thống mạng phân
biệt giữa người này và người khác trên mạng từ đó
người dùng có thể đăng nhập vào mạng và truy
cập các tài nguyên mạng mà mình được phép.
Tài khoản người dùng cục bộ.
Tài khoản người dùng cục bộ (local user account) là tài khoản
người dùng được định nghĩa trên máy cục bộ và chỉ được phép
logon, truy cập các tài nguyên trên máy tính cục bộ.
Tài khoản người dùng miền
Tài khoản người dùng miền (domain user account) là tài khoản
người dùng được định nghĩa trên Active Directory và được phép
đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng
Đồng thời với tài khoản này người dùng có thể truy cập đến các
nguyên trên mạng
Tài khoản nhóm
Tài khoản nhóm (group account) là một đối tượng đại diện
một nhóm người nào đó, dùng cho việc quản lý chung các
tượng người dùng.
Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng
quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in
Tài khoản nhóm
Tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản
nhóm không được phép đăng nhập mà chỉ dùng để quản lý
Tài khoản nhóm được chia làm hai loại: nhóm bảo mật (security
group) và nhóm phân phối (distribution group).
BACKUP DOMAIN CONTROLLER
DC là máy quan trọng trong hệ thống mạng. Nếu DC không hoạt
động sẽ ảnh hưởng rất lớn đến hệ thống. Do đó, người ta phải xây
dựng một phương án dự phòng khi máy DC xảy ra sự cố.
Đó chính là thực hiện backup DC.
CHILD DOMAIN
Một hệ thống cần được chia nhỏ ra thành nhiều miền con để dễ
quản lý, nếu hệ thống đó đủ lớn.
Để thực hiện chia nhỏ miền con này, ta cần phải thực hiện child
domain.
Để thực hiện child domain, ta phải xây dựng DNS cho hoàn chỉnh
sau đó ta mới xây dựng child domain.
XÂY DỰNG DOMAIN TRÊN CENTOS 7
Cấu hình IP tĩnh
Cấu hình DNS
Cài đặt gói samba
Cấu hình gói samba