Bài 9 ACTIVE DIRECTORY

Kết thúc bài học này cung cấp cho học viên kiến thức về hệ thống Active Directory trên Windows Server 2003, cách tổ chức, nâng cấp để tạo thành Domain Controller...
Nội dung trích xuất từ tài liệu:
Bài 9 ACTIVE DIRECTORYBài9ACTIVEDIRECTORYTóm tắtLý thuyết 4 tiết -Thực hành 8 tiếtMục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêmKết thúc bài học này cung I. Các mô hình mạng trong môi Dựa vào bài Dựa vào bài tậpcấp học viên kiến thức trường Microsoft. II. Active Directory. tập môn Quản môn Quảnvềhệthống Active Directory III. Cài đặt và cấu hình Active trịWindows trịWindowstrên Windows Server 2003, Directory. Server 2003. Server 2003.cách tổchức, nâng cấpđểtạo thành DomainController …I. CÁC MÔ HÌNH MẠNG TRONG MÔI TRƯỜNG MICROSOFT.I.1. Mô hình Workgroup. Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau. Các dữliệu và tài nguyên đượclưu trữphân tán tại các máy cục bộ, các máy tựquản lý tài nguyêncụcbộcủa mình. Trong hệthống mạng không có máy tínhchuyên cung cấpdịch vụvà quản lý hệthống mạng. Mô hình này chỉphù hợpvới các mạngnhỏ,dưới mười máy tính và yêu cầubảomật không cao.Đồng thời trong mô hình mạng này các máy tính sửdụng hệđiều hành hỗtrợđa người dùng lưutrữthông tin người dùng trong mộttập tin SAM (Security Accounts Manager) ngay chính trênmáy tính cụcbộ. Thông tin này bao gồm: username (tên đăng nhập), fullname, password,description…Tất nhiên tập tin SAM này được mã hóa nhằm tránh người dùng khác ăncấpmậtkhẩu đểtấn công vào máy tính. Do thông tin người dùng đượclưu trữcụcbộtrên các máy trạm nênviệc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tựchứng thực.I.2. Mô hình Domain. Khác với mô hình Workgroup, mô hình Domain hoạt động theocơchếclient-server, trong hệthống mạng phải có ít nhấtmột máy tính làm chứcnăng điều khiểnvùng (Domain Controller), máy tính này sẽđiều khiển toàn bộhoạt động củahệthống mạng.Việc chứng thực người dùng và quản lý tàinguyên mạng đượctập trung lạitại các Server trong miền. Mô hình này được áp dụng cho cáccông ty vừa và lớn.Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng đượctập trunglại do dịch vụActive Directory quản lý và đượclưu trữtrên máy tính điều khiển vùng (domaincontroller) với tên tập tin là NTDS.DIT.Tập tin cơsởdữliệu này được xây dựng theo côngnghệtương tựnhưphầnmềm Access của Microsoft nên nó có thểlưu trữhàng triệu người dùng,cải tiếnhơn so với công nghệcũchỉlưu trữđược khoảng 5 nghìn tài khoản người dùng. Do cácthông tin người dùng đượclưu trữtập trung nên việc chứng thực người dùng đăng nhập vào mạngcũng tập trung và do máy điều khiển vùng chứng thực. Hình 2.1: các bước chứng thực khi người dùng đăng nhập.II. ACTIVE DIRECTORY.II.1. Giới thiệu Active Directory. Có thểso sánh Active Directory với LANManagertrên Windows NT 4.0.Vềcănbản, Active Directory là mộtcơsởdữliệucủa các tài nguyên trênmạng (còn gọi là đốitượng) cũng nhưcácthông tin liên quan đến các đốitượng đó. Tuy vậy, Active Directory không phải là mộtkhái niệmmới bởi Novell đãsửdụng dịch vụthưmục(directory service) trongnhiềunămrồi.Mặc dù Windows NT 4.0 là mộthệđiều hành mạng khá tốt, nhưng hệđiều hành này lạikhông thích hợp trong các hệthống mạng tầmcỡxí nghiệp. Đốivới các hệthống mạngnhỏ, công cụNetwork Neighborhood khá tiệndụng, nhưng khi dùng trong hệthốngmạng lớn, việc duyệt và tìm kiếm trên mạng sẽlà một ác mộng (và càng tệhơnnếubạnkhông biết chính xác tên của máy in hoặc Server đó là gì). Hơnnữa, đểcó thểquản lýđượchệthống mạng lớn nhưvậy, bạn thường phải phân chia thành nhiều domain vàthiếtlập các mối quan hệuỷquyền thích hợp. Active Directory giải quyết được các vấnđềnhưvậy và cung cấpmộtmức độứng dụng mới cho môi trường xí nghiệp. Lúc này,dịch vụthưmục trong mỗi domain có thểlưu trữhơnmười triệu đốitượng,đủđểphụcvụmười triệu người dùng trong mỗi domain.II.2. Chứcnăng của Active Directory. -Lưu giữmột danh sách tập trung các tên tài khoản người dùng, mật khẩutương ứng và các tài khoản máy tính. -Cung cấpmột Server đóng vai trò chứng thực(authentication server) hoặc Server quản lý đăng nhập(logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). -Duy trì mộtbảng hướng dẫn hoặcmộtbảng chỉmục(index) giúp các máy tính trong mạng có thểdò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.-Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độquyền(rights) khácnhau như: toàn quyền trên hệthống mạng, chỉcó quyền backup dữliệu hay shutdown Server từxa…-Cho phép chúng ta chia nhỏmiềncủa mình ra thành các miền con (subdomain) hay các đơnvịtổchức OU (Organizational Unit). Sau đó chúng ta có thểủy quyền cho các quản trịviên bộphận quản lýtừng bộphận nhỏ.II.3. D ...