xây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directory

Đồ án ( Môn học/Tốt nghiệp) :

XÂY DỰNG VÀ QUẢN TRỊ HỆ THỐNG MẠNG DOANH NGHIỆP

VỚI MICROSOFT ACTIVE DIRECTORYTên đề tài: Đề tài tốt nghiệp HT-508

GVHD:………………………Trần Văn

Tài………………………….…….

SVTH

1. :……. Huỳnh Thanh Hùng .....MSSV:…99410120002

2. :……. Ngô Minh Nhựt ………...MSSV:…

3. :……. Lê Phú Quí ……………….MSSV:…

4. :……. Đoàn Minh Tiến ………..MSSV:…

5. :……. Nguyễn Minh Khoa…….MSSV:…

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: [email protected]

Tel: (848) 6267 8999 - Fax: (848) 6283 7867

………… , Ngày …..Tháng …….Năm 2014.

Lời nói đầu

Trước hết em xin cám ơn các thầy và các cô đã tạo cho em điều kiện học tại

trường. Qua 3 năm học tập và thực hành tại trường Cao Đẳng Nghề Ispace, chúng em

đã được các thầy cô truyền đạt cho những kiến thức cả về lý thuyết và thực hành, để

chúng em áp dụng những kiến thức đó vào thực tế và làm quen công việc độc lập và

làm việc theo nhóm của người cử nhân trong tương lai, thông qua một công việc cụ thể,

chính vì lý do đó mà chúng em được nhận đề tài tốt nhiệp thực tế đó là: “Xây Dựng và

Quản Trị Hệ Thống Mạng Doanh Nghiệp với Microsoft Active Directory ”.

Trong quá trình thực hiện đề tài tốt nghiệp chúng em được sự hướng dẫn nhiệt tình của

thầy giáo Trần Văn Tài là giảng viên Hệ Thống Mạng.

Khoa CNTT - Đề tài tốt nghiệp. Trang 2




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Tuy nhiên, trong quá trình thực hiện đồ án chúng em còn nhiều bỡ ngỡ thiếu sót,

do chưa có kinh nghiệm thực tiễn nên không tránh khỏi những sai sót. Vì vậy, chúng em

rất mong nhận được sự góp ý của các thầy, các cô đễ hoàn thành đề tài tốt nhiệp và

nhiệm vụ học tập tại trường Cao Đẵng Nghề Ispace.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

LÝ DO CHỌN ĐỀ TÀI

Ngày nay mạng Internet ngày càng được mở rộng và áp dụng rộng rãi trong nhiều lĩnh vực, đem

lại nhiều hiệu quả to lớn cho người sử dụng. Trong đó, vấn đề trao đổi thông tin liên lạc là cực kì quan

trọng, đặc biệt là với những tổ chức, công ty, doanh nghiệp có qui mô lớn với nhiều bộ phận làm việc khác

nhau và có trụ sở hoặc chi nhánh đặt khắp nơi trên các vùng địa lí khác nhau.

Có rất nhiều giải pháp được đặt ra nhưng giải pháp nào là tối ưu nhất, vừa có độ an toàn và tính

bảo mật thông tin cao, vừa có thể xử lý và lưu trữ tập trung trong khi hệ thống có rất nhiều người sử dụng

và chia sẽ tài nguyên ở các mức độ khác nhau. Giải pháp có thể là xây dựng mô hình workgroup (peer – to

– peer), mô hình này không có máy chủ quản lý, các máy trên mạng chia sẽ tài nguyên không phụ thuộc

vào các máy khác trên mạng, không có sự đăng nhập tập trung, nếu đăng nhập mạng bạn có thể sử dụng

tất cả tài nguyên trên mạng. Tuy nhiên, mạng ngang hàng chỉ có thể sử dụng cho các hệ thống vì độ an

toàn và bảo mật kém. Ngoài ra, chúng ta có thể sử dụng mô hình lai (Hybrid), mô hình này có độ an toàn

và bảo mật thông tin cao hơn mô hình Worrkgroup nhưng không có sự xử lý và lưu trử tập trung và chi phí

lại cao.

Mô hình mạng Domain (Client – Server) là sự lựa chọn tốt nhất vì nó có độ an toàn và bảo mật

thông tin cao nhất, xử lý và lưu trữ tập trung, chi phí cài đặt vừa phải. Hiện nay, hầu hết các tổ chức, công

ty, doanh nghiệp đều sử dụng mô hình mạng này. Trong mô hình này, có một hoặc một vài máy Server làm

máy chủ (Domain Controller) và nhiều máy trạm ( Client) kêt nối vào máy chủ, nhận quyền truy cập mạng

và tài nguyên mạng từ máy chủ. Tất cả thông tin về người dùng đều được quản lý bằng dịch vụ Active

Directory và được lưu trữ trên Domain Controller với tên tập tin là NTDS.DIT. Active Directory là một sự ứng





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

dụng của Directory Service, được tích hợp vào trong họ cá phiên bản Windows Server, được xem như trái

tim của hệ thống mạng và cũng góp phần mang đến sự thành công của Windows Server. Đây là một công

cụ mạnh mẽ để quản lý trong hệ thống mạng được xây dựng theo mô hình Domain.

Dựa trên những chức năng và ý nghĩa thực tiễn nêu trên mà nhóm đã chọ đề tài “Xây dựng và

quản lý hệ thống mạng với Microsoft Active Directory” trên nền Windows Server 2008 R2. Để tìm hiểu chi

tiết hơn về dịch vụ này mới quý thầy cô và các bạn đi vào phần nội dung đề tài.

Giới thiệu về công ty GenSys

1988 GENPACIFIC được thành lập và là một trong những Công ty Liên doanh đầu tiên tại Việt nam

về lĩnh vực công nghệ thông tin (CNTT) giữa Tổng công ty Điện tử và Tin học Việt nam với hãng

máy tính hàng đầu Châu Âu - Hãng Bull (Cộng hòa Pháp).

1996 Sau khi hết thời hạn liên doanh, GENPACIFIC trở thành công ty 100% vốn nhà nước và được

đổi thành Chi nhánh Tổng Công Ty Điện tử & Tin học Việt nam.

2001 Chi nhánh Tổng Công ty Điện tử Tin học Việt nam tách ra thành công ty Công nghệ thông tin

GENPACIFIC, một công ty hạch toán độc lập, 100% vốn nhà nước, là thành viên của Tổng

công ty điện tử và tin học Việt nam.

2006 Cổ phần hóa và trở thành Công ty CP CNTT GENPACIFIC

2007 Đáp ứng nhu cầu phát triển kinh doanh, GENPACIFIC thành lập các công ty con trực thuộc,

hạch toán kinh tế độc lập, hoạt động theo điều lệ của Công ty Cổ phần và Luật Doanh nghiệp

trong đó có CÔNG TY CỔ PHẦN HỆ THỐNG GEN - GENSYS , là công ty chuyên về lĩnh

vực tích hợp hệ thống CNTT và thừa hưởng mọi năng lực, kinh nghiệm cũng như nhân lực của

công ty GENPACIFIC

CƠ CẤU TỔ CHỨC





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

TẦM NHÌN

Gensys quyết tâm trở thành công ty hàng đầu trong khu vực về tích hợp hệ thống và phát

tr iển các ứng dụng CNTT để mang lại nhiều lợi ích cho khách hàng và đối tác





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Nhận xét của doanh nghiệp

...........................................................................................................................................





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

...........................................................................................................................................





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Nhận xét của giáo viên hướng dẫn

...........................................................................................................................................





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

...........................................................................................................................................





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................

...........................................................................................................................................





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Mục lụcL i nói đ uờ ầ ..................................................................................................................................................................................2

Gi i thi u v công ty GenSysớ ệ ề ......................................................................................................................................................5

Nh n xét c a doanh nghi pậ ủ ệ ........................................................................................................................................................7

Nh n xét c a giáo viên h ng d nậ ủ ướ ẫ ...........................................................................................................................................66

GI I THI U T NG QUAN:Ớ Ệ Ổ ........................................................................................................................................................75

1.1.Gi i thi u v Active Directory:ớ ệ ề ........................................................................................................................................75

1.2.Ch c năng c a Active Directory:ứ ủ .....................................................................................................................................75

I.TÌM HI U KI N TH C:Ể Ế Ứ ............................................................................................................................................................76

1.1.T ng quan v Active Directory (AD):ổ ề ...............................................................................................................................76

1.1.C u trúc Active Directory:ấ ...........................................................................................................................................76

1.2.C ch ho t đ ng Active Directory:ơ ế ạ ộ ............................................................................................................................83

1.2.Tri n khai h th ng Active Directory và Forest:ể ệ ố ..............................................................................................................87

1.1Xây d ng Forest và Domain:ự ........................................................................................................................................87

1.2Tích h p Domain Name System (DNS) vào AD:ợ ............................................................................................................90

1.3Forest và Domain Functional Level:.............................................................................................................................91

1.4T o Trust Relationships:ạ ...............................................................................................................................................92

1.3.Tri n khai c u trúc Organization Unit (OU):ể ấ ....................................................................................................................95

1.1Xây d ng và qu n lý OU:ự ả ..............................................................................................................................................95

1.2 y quy n và qu n lý OU:Ủ ề ả .............................................................................................................................................98

1.3Chi n l c xây d ng OU:ế ượ ự .............................................................................................................................................99

1.4.Tri n khai tài kho n Users, Groups, Computers:ể ả ..........................................................................................................100

1.1Gi i thi u v User Account:ớ ệ ề .......................................................................................................................................100





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.2T o và qu n lý Account:ạ ả .............................................................................................................................................102

1.3Tri n khai User principal name suffixes:ể ....................................................................................................................109

1.4K ho ch tri n khai user, group và computer account:ế ạ ể .............................................................................................110

1.5K ho ch giám sát Active Directory:ế ạ ..........................................................................................................................111

1.5.Tri n khai chính sách nhóm:ể .........................................................................................................................................112

1.1Gi i thi u v Group Policy Object (GPO):ớ ệ ề ..................................................................................................................112

1.2 ng d ng các chính sách nhóm:Ứ ụ ................................................................................................................................113

1.3C u hình các chính sách nhóm:ấ ..................................................................................................................................115

1.4GP tác đ ng đ n Startup và Logon nh th nào:ộ ế ư ế .......................................................................................................120

1.5S k th a GP:ự ế ừ ...........................................................................................................................................................121

1.6Qu n tr GP v i RSoP:ả ị ớ .................................................................................................................................................122

1.6.Tri n khai Site và qu n lý đ ng b Active Directory:ể ả ồ ộ ....................................................................................................122

1.1Gi i thi u v Active Directory Replication:ớ ệ ề ................................................................................................................122

1.2Qu n lý Site Topology:ả ...............................................................................................................................................127

1.3L p k ho ch xây d ng Site:ậ ế ạ ự ......................................................................................................................................128

1.7.B trí Domain Controller:ố ..............................................................................................................................................130

1.1Tri n khai Global Catalog trong Active Directory:ể ......................................................................................................130

1.2Phân b Domain Controller trong Active Directory:ố ...................................................................................................132

1.3L p k ho ch phân b Domain Controller:ậ ế ạ ố ................................................................................................................133

1.8.Qu n lý Operation Master:ả ...........................................................................................................................................134

1.1Gi i thi u Operation Master Role:ớ ệ .............................................................................................................................134

1.2Chuy n giao và chi m đo t Operation Master Role:ể ế ạ .................................................................................................139

1.3 K ho ch b trí Operation Master:ế ạ ố ...........................................................................................................................140

II.PHÂN TÍCH VÀ THI T K :Ế Ế .....................................................................................................................................................142





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.1.Kh o sát yêu c u th c tr ng c a t p đoàn EcoVN:ả ầ ự ạ ủ ậ ..........................................................................................................142

1.1.1.L p b ng k ho ch kh o sát yêu c u tri n khai, qu n lý môi tr ng m ng c a t p đoàn EcoVN:ậ ả ế ạ ả ầ ể ả ườ ạ ủ ậ .......................143

1.1.2.Danh m c các thi t b :ụ ế ị ...........................................................................................................................................144

WS-C3750-48PS-S...................................................................................................................................................................152

1.1.3.Phân b máy ch cho h th ng m ng vai trò và d ch v :ố ủ ệ ố ạ ị ụ ......................................................................................154

1.2.Thi t k mô hình h th ng m ng t ng th :ế ế ệ ố ạ ổ ể .....................................................................................................................155

1.1.L p b ng thi t k mô hình t ng th :ậ ả ế ế ổ ể ........................................................................................................................155

1.3.Thi t k s đ lu n lý và v t lý c a ki n trúc Active Directory:ế ế ơ ồ ậ ậ ủ ế ........................................................................................155

1.1.L p b ng thi t k s đ lu n lýậ ả ế ế ơ ồ ậ ................................................................................................................................156

1.2.L p b ng thi t k s đ v t lý:ậ ả ế ế ơ ồ ậ .................................................................................................................................157

1.3.L p b ng thi t kê s đ t ch c:ậ ả ế ơ ồ ổ ứ ..............................................................................................................................158

1.4.B ng thu ho ch IP:ả ạ ............................................................................................................................................................159

III.TRI N KHAI TH C HI N:Ể Ự Ệ ....................................................................................................................................................159





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

GIỚI THIỆU TỔNG QUAN:

1.1. Giới thiệu về Active Directory:

Có thể so sánh Active Directory với LANManager trên Windows NT 4.0. Về căn bản, Active

Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đối tượng) cũng như các

thông tin liên quan đến các đối tượng đó. Tuy vậy, Active Directory không phải là một khái niệm

mới bởi Novell đã sử dụng dịch vụ thư mục (directory service) trong nhiều năm rồi.

Mặc dù Windows NT 4.0 là một hệ điều hành mạng khá tốt, nhưng hệ điều hành này lại

không thích hợp trong các hệ thống mạng tầm cỡ xí nghiệp. Đối với các hệ thống mạng nhỏ,

công cụ Network Neighborhood khá tiện dụng, nhưng khi dùng trong hệ thống mạng lớn, việc

duyệt và tìm kiếm trên mạng sẽ là một ác mộng (và càng tệ hơn nếu bạn không biết chính xác

tên của máy in hoặc Server đó là gì). Hơn nữa, để có thể quản lý được hệ thống mạng lớn như

vậy, bạn thường phải phân chia thành nhiều domain và thiết lập các mối quan hệ uỷ quyền thích

hợp. Active Directory giải quyết được các vấn đề như vậy và cung cấp một mức độ ứng dụng

mới cho môi trường xí nghiệp. Lúc này, dịch vụ thư mục trong mỗi domain có thể lưu trữ hơn

mười triệu đối tượng, đủ để phục vụ mười triệu người dùng trong mỗi domain.

1.2. Chức năng của Active Directory:

Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các

tài khoản máy tính.

Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý

đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng).

Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng

có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights)

khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown

Server từ xa…

Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các

đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên

bộ phận quản lý từng bộ phận nhỏ.

Hình I.1: Active Directory

I. TÌM HIỂU KIẾN THỨC:

1.1. Tổng quan về Active Directory (AD):

1.1. Cấu trúc Active Directory:

Cấu trúc luận lý của AD:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Nhóm các tài nguyên luận lý giúp tìm kiếm các tài nguyên dễ dàng hơn việc tìm kiếm trong

vị trí vật lý của nó. Vì thế Active Directory cũng có cấu trúc luận lý để mô tả cấu trúc thư mục

của các tổ chức. Một điểm tiến bộ quan trọng khác của nhóm các đối tượng luận lý Active

Directory là sự cài đặt vật lý của mạng có thể được ẩn đối với người sử dụng.

Các thành phần luận lý của cấu trúc Active Directory là:

Các Domain.

Các đơn vị tổ chức (OU).

Các Domain Tree.

Các Forest.

Domains:

Đơn vị luận lý đầu tiên của mạng Windows 2003 là Domain. Nó là một tập các máy

tính được định nghĩa bởi người quản trị mạng. Tất cả các máy tính trong Domain chia sẻ

chung một cơ sở dữ liệu Active Directory.

Mục đích chính của việc tạo domain là tạo một ranh giới an toàn trong một mạng

Windows 2003, người quản trị Domain điều khiển các máy tính trong Domain, chỉ trừ khi được

gán quyền, nếu không thì người quản trị mạng trong Domain này không thể điều khiển các

Domain khác. Mỗi một Domain thì có các quyền và chính sách an toàn riêng, nó được thiết

lập bởi người quản trị.

Tất cả Domain Controller trong một Domain đều duy trì một bản sao cơ sở dữ liệu của

Domain, do đó các Domain là các đơn vị nhân bản và cơ sở dữ liệu Active Directory là được

nhân bản đến tất cả các Domain Controller trong Domain. Windows 2003 Active Directory sử

dụng mô hình nhân bản Multi-master. Trong mô hình này bất kỳ một Domain Controller nào

trong Domain đều có khả năng nhận sự thay đổi được tạo ra từ cơ sở dữ liệu Active Directory.

Thay đổi được tạo sẽ được nhân bản đến các Domain Controller khác trong Domain. Từ đó,

tất cả Domain Controller có thể trở thành tại bất kỳ thời điểm nào, mô hình này được gọi là mô

hình Multi-master.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Domain Active Directory có thể tồn tại trong 2 mô hình là: Native hoặc Mixed, hệ điều

hành ở trên các Domain Controller sẽ quyết định Domain hoạt động theo mô hình nào. Mô

hình Native là mô hình được sử dụng trong tất cả các Domain Controller chạy trong Windows

2003. Trong mô hình Mixed, các Domain Controller có thể sử dụng một trong hai hệ điều

hành là Windows 2003 và Windows NT 4.0. Tại thời điểm cài đặt và ngay sau khi cài đặt

Active Directory hoạt động ở mô hình Mixed. Đây là sự cung cấp hỗ trợ cho Domain

Controller hiện tại trong Domain mà không được cập nhật trở thành Windows 2003.

Organizationnal Unit:

Trong phạm vi Domain các đối tượng được tổ chức sử dụng các đơn vị tổ chức. OU là

đối tượng chứa. Nó chứa các đối tượng như là User, Computer, Printer, Group và các OU

khác

Về cơ bản OU giúp nhóm các đối tượng tổ chức logic phù hợp với kiểu nào đó. Các

đối tượng có thể được nhóm từ một OU.

• Hoặc dựa trên cấu trúc của tổ chức.

• Hoặc phù hợp với mô hình quản trị mạng. Mỗi Domain có thể được tổ chức dựa

vào người quản trị mạng và giới hạn người điều khiển nó. Máy của người quản trị sẽ

điều khiển Domain và các máy tính của tất cả những người dưới sự điều khiển của

người quản trị mạng sẽ nằm trong Domain.

Hệ thống phân cấp OU có thể được biến đổi từ Domain này sang Domain khác. Đó là

mỗi Domain có thể được cài đặt một hệ thống phân cấp riêng của nó. Sự điều khiển của một

OU có thể được cấp trong phạm vi của OU.

Lợi ích chính của OU là tránh sự phức tạp của hệ thống mạng với kiến trúc đa

Domain. Các công ty có thể tạo ra một Domain đơn và một trạng thái khác của các OU phù

hợp với yêu cầu bằng cách tạo ra một cấu trúc Domain. Các OU có thể được bổ sung mới

như là khi chúng cần xuất hiện trong một Domain. Các Ou cũng có thể được lồng vào theo

nhiều cách. Tuy nhiên một cấu trúc Domain đơn với nhiều OU đưa ra tất cả các thuận lợi

được đưa ra bởi mô hình đa Domain.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Domain Trees:

Một vài nguyên nhân tại sao mô hình đa Domain lại được ưa thích:

• Phân quyền quản trị mạng.

• Các tên miền Internet khác nhau.

• Yêu cầu về password khác nhau.

• Dễ điều khiển việc nhân bản.

• Một số lượng lớn các đối tượng.

• Nhiều cấp độ điều khiển với nhiều nhánh.

Mô hình đa Domain bao gồm một hoặc nhiều hơn một cấu trúc logic trong Active

Directory. Tree là một sự sắp xếp phân cấp của các Domain Windows 2003 mà nó chia sẻ

một không gian tên liền kề..

Hình II.1.1.1.1: Domain Trees





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Forests:

Forest là một thuật ngữ được đặt ra nhằm định nghĩa 1 mô hình tổ chức của AD, 1

forest gồm nhiều domain trees có quan hệ với nhau, các domain trees trong forest là độc lập

với nhau về tổ chức, nghe ra có vẻ mâu thuận trong mối quan hệ nhưng ta sẽ dễ hiểu hơn khi

mối quan hệ giữa các domain trees là quan hệ Trust 2 chiều như các partners với nhau. Một

forest phải đảm bảo thỏa các đặc tính sau:

Toàn bộ domain trong forest phải có một lược đồ (schema) chia sẻ chung

Các domain trong forest phải có 1 global catalog chia sẻ chung

Các domain trong forest phải có mối quan hệ Trust 2 chiều với nhau.

Các tree trong forest phải có cấu trúc tên (domain name) khác nhau.

Các domain forest hoạt động độc lập với nhau, tuy nhiên hoạt động của forest là hoạt

động của toàn bộ hệ thống tổ chức doanh nghiệp.

Hình II.1.1.1.2: Forest

Cấu trúc vật lý:

Cấu trúc luận lý của một Active Directory là được tách ra từ cấu trúc vật lý của nó, và hoàn

toàn tách biệt với cấu trúc vật lý. Cấu trúc vật lý được sử dụng để tổ chức việc trao đổi trên

mạng trong khi đó cấu trúc luận lý được sử dụng để tổ chức các tài nguyên có sẵn trên mạng.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cấu trúc vật lý của một Active Directory bao gồm:

Domain Controllers.

Sites.

Cấu trúc vật lý của một Active Directory mô tả nơi nào và khi nào thì sự logon và nhân bản

sẽ xuất hiện. Do đó để giải quyết vấn đề về logon và nhân bản thì trước hết phải hiểu về các

thành phần của cấu trúc vật lý của Active Directory.

Domain Controllers (DC):

Một DC là một máy tính chạy Windows 2003 Server và nó chứa 1 bản sao của Active

Directory. Cơ sở dữ liệu chứa thông tinh về Domain cục bộ.

Có thể có nhiều hơn một DC trong một Domain. Tất cả các DC trong Domain đều duy

trì một bản sao Active Directory. Các tổ chức nhỏ với một Client chỉ cần một Domain đơn với

chỉ hai DC. Controller thứ hai sẽ là server trong trường hợp Controller thứ nhất bị lỗi. Do đó cả

hai DC đều chứa cùng một bản sao khác nhau của Active Directory. Điều này xảy ra khi có

sự bất đồng bộ giữa các cơ sở dữ liệu Directory trong các DC. Tuy nhiên trong các tổ chức

lớn, mỗi vị trí địa lý đều cần phải có các DC tách biệt để cung cấp đầy đủ khả năng sẵn sàng

và khả năng chịu lỗi.

Các chức năng khác nhau của DC bao gồm:

• Duy trì một bản sao của cơ sở dữ liệu Directory.

• Duy trì các thông tin của Active Directory.

• Nhân bản các thông tin được cập nhật đến DC trong Domain.

• Quản lý và giúp đỡ người sử dụng trong việc tìm kiếm các đối tượng trong

Active Directory. Nó kiểm tra tính hợp lệ của việc logon của người dùng truy cập

tài nguyên được yêu cầu.

• Cung cấp khả năng chịu lỗi trong môi trường đa DC.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình : II.1.1.1.3: Domain Controller

Sites:

Một site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó được kết nối bởi

các đường truyền tốc độ cao. Các site được định nghĩa để tạo ra sự thuận lợi đặc biệt cho

chiến lược truy cập và nhân bản một Active Directory. Các mục đích chính của việc định

nghĩa có thể kể ra dưới đây:

• Cho phép các kết nối tin cậy và tốc độ cao giữa các DC.

• Tối ưu việc truyền tải trên mạng.

• Không cần có sự tương quan giữa cấu trúc vật lý của mạng và cấu trúc domain

của nó.

• Không gian tên của site và Domain không cần tương quan.

• Active Directory cho phép nhiều site trong một Domain cũng giống như nhiều

Domain trong một site

Không gian giữa tên logic chứa các Computer, các Domain và các OU, không có các

site. Một site chứa thông tin về các đối tượng Computer và các đối tượng connection.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.1.1.1.4: Site

1.2. Cơ chế hoạt động Active Directory:

Directory service:

Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trong NTDS.DIT và các

chương trình quản lý, khai thác tập tin này. Dịch vụ danh bạ là một dịch vụ cơ sở làm nền tảng

để hình thành một hệ thống Active Directory. Một hệ thống với những tính năng vượt trội của

Microsoft.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.1.1.2.1: Directory Service

Active Directory Schema:

Một Schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đối tượng nào đó.

Ví dụ, cho rằng tất cả các đối tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại

PDL và tốc độ. Danh sách các đối tượng này hình thành nên Schema cho lớp đối tượng “máy

in”. Schema có đặc tính là tuỳ biến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối

tượng có thể sửa đổi được. Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ

Active Directory.

Global Catalog (GC):

GC lưu trữ tất cả các object của miền chứa GC và một thành phần các object thường được

người dùng tìm kiếm của các domain khác trong forest.

Global catalog lưu trữ:

• Những thuộc tính thường dùng trong việc truy vấn như user’s first name, last name,

logon name.

• Thông tin cần thiết để xác định vị trí của bất kỳ object nào trong active directory.

• Tập hợp các thuộc tính mặc định cho mỗi loại object.


mailto:[email protected]

http://www.ispace.edu.vn/




Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Quyền truy cập đến mỗi object.

Global Catalog Server:

Một Global Catalog là bộ lưu trữ mà nó lưu trữ tập con thông tin về tất cả các đối tượng

trong Active Directory. Phần lớn Global Catalog là lưu trữ thông tin đó là các truy vấn thường

được sử dụng. Nói các khác, nó chứa các thông tin cần thiết để tìm các đối tượng.

Một Global Catalog cần được tạo trong DC đầu tiên của Forest. DC này được gọi là Global

Catalog Server. Một Global Catalog Server duy trì một bản copy đầy đủ cơ sở sữ liệu của Active

Directory của Domain điều khiển của nó. Nó duy trì một phần copy của cơ sở dữ liệu Active

Directory của Domain khác trong Forest. Nó cũng xử lý các truy vấn được xây dựng trở lại và

cho ra kết quả.

Hai vai trò quan trọng của Global Catalog Server là:

• Nó giúp người sử dụng định vị trí đến các đối tượng trong Active Directory được dễ

dàng.

• Nó cho phép người sử dụng logon vào mạng. Thực hiện điều này bằng cách cung

cấp thông tin về thành viên nhóm đến các DC khi quá trình này được khởi tạo.Trong

trường hợp Global Catalog Server là không sẵn sàng, người sử dụng có thể logon

đến mạng nếu họ là thành viên của nhóm Domain Administrator. Mặc khác người sử

dụng chỉ có thể logon đến máy tính cục bộ. DC đầu tiên trong Forest là Global

Catalog Server. Nó có thể cấu hình để thêm DC vào Global Catalog Server. Điều này

cân bằng thông lượng tài nguyên trên mạng và nạp vào Global Catalog Server.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.1.1.2.2: Global Catalog Server

Distinguished và Relative Distinguished Name:

Distinguished Name (DN):

Mỗi object trong Active Directory sẽ có một tên duy nhất. Đây là tên được xem như là

DN. Nó chứa đầy đủ các thông tin về đối tượng bao gồm tên của domain nơi lưu trữ đối tượng

và đường dẫn đầy đủ mà thông qua đó đối tượng có thể được chỉ ra.

Relative Distinguished Name (RDN):

RDN của một đối tượng là một thuộc tính của chính đối tượng đó. Active Directory hỗ

trợ truy vấn bằng thuộc tính. Vì thế mỗi đối tượng đó có thể được xác định ngay cả khi không

biết về DN vủa nó. Một thuộc tính quan trọng được sử dụng để truy vấn trong Active Directory

là RDN.

Cơ chế Single Sign-on:

Mỗi user chỉ dùng 1 account cho nhiều dịch vụ.

Làm đơn giản hóa việc quản lý và sử dụng.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.1.1.2.3: Cơ chế Single Sign-on

1.2. Triển khai hệ thống Active Directory và Forest:

1.1 Xây dựng Forest và Domain:

Các yêu cầu để cài đặt AD:

Server sử dụng Windows Server 2003:

• Windows Server 2003 Stander Edition.

• Windows Server 2003 Enterprise Edition.

• Windows Server 2003 Datatacenter Edition.

Không gian lưu trữ

• Tối thiểu 250MB:

Database AD (NTDS.DIT): 200MB







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Log files: 50MB

Cần thêm phân vùng trống nếu là máy chủ Global Catalog.

• Phân vùng trống định dạng NTFS lưu trữ thư mục SYSVOL

Logon với tài khoản có quyền quản trị hệ thống.

Cấu hình TCP/IP và cấu hình Preferred DNS

Yêu cầu cài đặt AD:

Đối với Authoritative DNS Server:

• SRV Resoure Record: Xác định máy tính đang chạy dịch vụ cụ thể trên môi trường

mạng Windows Server 2003.

• Dyanmic update (tùy chọn): cập nhật t ự động các Resource Record thay vì tự

cấu hình.

• Incremental zone transfer (tùy chọn): giúp tiết kiệm băng thông trong quá trình đồng

bộ database của dịch vụ DNS giữa các Server.

Tiến trình cài đặt AD:

Khởi động giao thức bảo mật và thiết lập chính sách bảo mât

• Kerberos v.5 Authentication Protocol.

• Local Security Authority (LSA) policy (xác định server này là DC).

Tạo các Active Directory Partition (DC đầu tiên trong Forest):

• Schema directory partition.

• Configuration directory partition.

• Domain directory partition.

• Forest DNS zone.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Domain DNS zone partition.

Tạo database và log file của AD, mặc định lưu trữ trong thư mục %systemroot%\NTDS.

Tạp forest root domain. DC đầu tiên giữ các master roles:

• Primary domain controller (PDC) emulator.

• Relative indentifier (RID) operations master.

• Domain-naming master.

• Schema master.

• Infrastructure master .

Tạo và chia sẽ thư mục system volume trên tất cả DC và lưu trữ:

• Thư mục SYSVOL, lưu trữ thông tin Group Policy.

• Thư mục Net Logon, lưu trữ các file script cho các hệ thống không phải là Windows

2003.

Cấu hình vị trí DC phù hợp với site.

• Nếu IP của DC trong quá trình nâng cấp thược subnet được định nghĩa trong AD thì

DC sẽ là thành viên trong site đó.

• Nếu không có subnet object nào được định nghĩa hoặc địa chỉ IP của DC không

thuộc subnet nào trong AD thì DC sẽ được đưa vào site “Default-First-Site-Name”.

• Server object (DC) được tạo ra trong vị trí site thích hợp và lưu trữ thông tin cần cho

quá trình đồng bộ.

Cấu hình bảo mật các đối tượng trên Directory và đồng bộ file.

Cấu hình mật khẩu cho administrator account ở chế độ Restore dịch vụ Directory.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Kiểm tra quá trình cài đặt AD:

Sau khi tiến hành cài đặt AD thành công cần phải kiểm tra những vấn đề sau:

Kiểm tra folder SYSVOL: thư mục SYSVOL đã được tạo trong %systemroot%\sysvol và

đã được share.

Kiểm tra file Database của AD và log file đã được tạo trong thư mục %systemroot%\ntds:

NTDS.dit, Edb.*, Res*.log.

Kiểm tra các đối tượng mặc định được tạo ra: Builtin, Domain Controller, Computer,

Users,…

Kiêm tra sự kiện Event logs: các lỗi xảy ra trong quá trình triển khai DC sẽ được ghi nhận

trong Event viewer

Khắc phục lỗi trong khi cài đặt AD:

Từ chối cài đặt hoặc thêm Domain Controller:

• Logon vào server với tài khoản thuộc nhóm Local Administrators của server.

• Cung cấp một User để chứng thực thuộc nhóm Domain Admins hoặc Enterprise

Admins.

Tên Domain DNS hoặc NetBIOS không duy nhất: đổi lại tên DNS hoặc NetBIOS name

Không kết nối được với Domain:

• Kiểm tra keert nối đến một Domain Controller bất kỳ, bằng lệnh ping.

• Kiểm tra dịch vụ DNS đã đăng ký máy chủ Domain Controller.

Thiếu dung lượng ổ cứng: tăng dung lượng ổ cứng để cài đặt AD.

1.2 Tích hợp Domain Name System (DNS) vào AD:

Active Directory Integrated Zone:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Là Primary DNS zone và stub DNS zone được lưu trữ như là các đối tượng trong

database của Active Directory.

Có thể lưu trữ trong Application Partition hoặc Domain Partition.

Những lợi ích của AD Integrated Zones:

• Đồng bộ với nhiều Domain chính.

• Hỗ trợ secure dynamic updates.

• Có thể transfer DNS zone với các DNS Server khác.

SVR Resource Record:

SRV resource record là DNS record dùng để ánh xạ một dịch vụ tới máy tính đang cung

cấp dịch vụ đó.

Cấu trúc của SRV record:

_Service_.Protocol.Name Ttl Class SRV Priority Weight Port Target

SRV Record đăng ký bởi Domain Controller

Domain Controller chạy Windows Server 2003 đăng ký SRV records trong _msdcs

subdomain với cấu trúc như sau:

_Service_.Protocol.DcType._msdcs.DnsDomainName

1.3 Forest và Domain Functional Level:

Cung cấp cách để mở rộng các tính năng AD trên phạm vi Domain hoặc Forest. Các cấp độ

này phụ thuộc vào môi trường mạng của bạn.

Forest và Domain Function Level:

Network environment Domain functional levels Forest functional levels







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Windows 2000 mixed-mode

domainX

Windows 2000 native-mode

domainX X

Windows Server 2003 Domain X X

Windows Server 2003 Interim X

Yêu cầu sử dụng những tính năng mới trên Windows 2003:

Yêu cầu Domain Forest

Tất cả sử dụng HĐH Windows Server 2003 Windows Server 2003

Domain functional level

Phải nâng cấp lên Windows

Server 2003

Có thể được nâng cấp lên

Windows Server 2003

Administrator

Domain administrator để nâng

cấp domain functional level

Enterprise administrator để nâng

cấp Forest functional level

1.4 Tạo Trust Relationships:

Trust Relationship là một liên kết luận lý được thiết lập giữa các hệ thống Domain, giúp cho cơ

chế chứng thực giữa các hệ thống Domain có thể được thừa hưởng lẫn nhau. Trust Relationship giải

quyết bài toán “single sign-on” – logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên

các Domain, dịch vụ triển khai trên 1 Domain có thể được truy cập từ user thuộc Domain khác.

Trong một trust relationship cần phải có 2 Domain. Domain được tin tưởng gọi là Trusted

Domain, còn Domain tin tưởng Domain kia gọi là Trusting Domain. Cơ chế Trust Relationship giúp

đảm bảo các đối tượng ( user, ứng dụng hay chương trình ) được tạo ra trên một Trusted Domain có

thể được chứng thực đăng nhập hay truy cập tài nguyen, dịch vụ trên Trusting Domain. Tuy nhiên,

trên hệ thống Windows hỗ trợ đến 6 loại trust relationship với các đặc tính và ứng dụng khác nhau.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.1.2.4.1: Mô hình Trust Relationships

Các loại Trust:

Tree/root trust: Hệ thống tự thiết lập khi ta đưa thêm một tree root domain vào trong

forest có sẵn.

Parent/child trust: Hệ thống tự thiết lập khi ta đưa thêm một child domain vào trong một

tree có sẵn.

Shortcut trust: Thiết lập giữa hai domain trong cùng một forest đẻ giảm bớt các bước

chứng thực cho đối tượng. Giám sát các bước sử dụng trong quá trình chứng thực bằng

giao thức Kerberos v5.

Realm trust: Thiết lập giữa một hệ thống không sử dụng hệ điều hành Windows và hệ

thống Domain Windows 2003. Điều kiện là hệ thống phải có giao thức chứng thực hỗ trợ

tương thích với giao thức Kerberos v5 cua Windows 2003.

External trust: Thiết lập để liên kết 2 Domain thuộc 2 Forest khác nhau để giảm bớt các

bước chứng thực.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Forest trust: Thiết lập giữa 2 forest, bắt đầu hỗ trợ từ Windows 2003, đây là phương pháp

hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc Domain của cả 2 forest.

Trusted Domain Object:

Đối tượng Domain được tin tưởng.

Đại diện một vài mối quan hệ tin cậy trong phân vùng Domain.

Lưu trữ thông tin của loại trust:

• Domain tree names.

• Service principal name (SPN) suffixes.

• Security ID (SID) namespace.

Cách Trust làm viêc trong một Forest:

Hình II.1.2.4.2: Mô hình cách làm việc của Trust trong 1 Forest

Cách Trust làm việc giữa các Forest:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.1.2.4.3: Mô hình cách làm việc của Trust giữa các Forest

1.3. Triển khai cấu trúc Organization Unit (OU):

1.1 Xây dựng và quản lý OU:

Giới thiệu OU:

Đơn vị tổ chức (OU) là một phân khu trong một Active Directory mà bạn có thể chứa đựng:

User account, Groups, Computers, và các đơn vị tổ chức khác. Bạn có thể tạo ra các đơn vị tổ chức

để nhân bản cấu trúc chức năng hoặc tổ chức kinh doanh của bạn. Mỗi miền có thể thực hiện của

hệ thống phân cấp đơn vị tổ chức. Nếu tổ chức của bạn có chứa một số lĩnh vực, bạn có thể tạo ra

những cấu trúc đơn vị tổ chức trong từng lĩnh vực là độc lập của các cấu trúc trong các lĩnh vực

khác.

Thuật ngữ "đơn vị tổ chức" thường được rút ngắn "OU" trong cuộc trò chuyện thông thường.

"Container" cũng thường được áp dụng trong vị trí của nó, ngay cả trong tài liệu riêng của Microsoft.

Tất cả các thuật ngữ được coi là chính xác và hoán đổi cho nhau.

Các phương pháp tạo và quản lý OU:

Active Directory Users and Computer:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Start > Administrative Tools > Active Directory Users and Computers (hoặc vào Start >

Run, gõ lệnh DSA.MSC) để mở cửa sổ quản lý thành viên trong hệ thống. Bạn nhấn phải

vào tên domain, chọn New > Organizational Unit > nhập tên OU vào ô Name > OK, OU

vừa tạo sẽ được liệt kê bên dưới tên domain.

Hình II.1.3.1.1: OU

Các lệnh hỗ trợ: dsadd, dsmod, dsrm, dsmove, dsget, dsquery

• dsadd : cho phép bạn thêm một computer, contact, group, ou hoặc user vào trong

dịch vụ Directory.

• dsrm : xóa một đối tượng trong dịch vụ Directory.

• dsmove : di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụ Directory.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• dsget : hiển thị các thông tin lựa chọn của một đối tượng computer, contact, group,

ou, server hoặc user trong một dịch vụ Directory.

• dsmod : chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trong

một dịch vụ Directory.

• dsquery : truy vấn các thành phần trong dịch vụ Directory.

Ldifde command-line tool:

Là một lệnh tạo user cao cấp hơn DSADD vì ta có thể add user từ một file list bằng lệnh

này. Nhưng nhược điểm của lệnh là ta ko thể tạo password cho các user để khắc phục thì

ta phải bổ sung thêm script.

Windows script host:

• Windows Script Host (WSH) là một chương trình cung cấp Môi Trường để người dùng

thực thi các Ngôn Ngữ Kịch Bản.

• Một số Script Host khác:

Microsoft Internet Explorer: Hỗ trợ VBScript, JavaScript...

C Shell: Hỗ trợ ngôn ngữ Batch file (.Bat)

Command Prompt: Hỗ trợ Batch file

• Đặc điểm:

Chạy trên nền Windows.

Can thiệp sâu về hệ thống, đặc biệt là các chức năng về quản trị.

Quản lý nhiều đối tượng một lúc.

Điều khiển từ xa.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Tốc độ nhanh.

Phức tạp, đòi hỏi người quản trị có kiến thức về lập trình.

• VD:

Tạo Organizat ion Unit (OU)

'Thu tuc: tao 1 OU

Sub CreateOU

Set objDomain = GetObject("LDAP://DC=csa,DC=hpa,DC=local")

Set objOU = objDomain.Create("OrganizationalUnit", "OU=Students")

objOU.Put "description", "OU cua Hoc vien"

objOU.SetInfo

Msgbox "Done!"

End Sub

'Goi Thu tuc

Call CreateOU

1.2 Ủy quyền và quản lý OU:

Mục đích ủy quyền quản trị OU:

Phân tán việc quản lý cho từng OU

Đơn giản hóa trong việc quản trị

Việc ủy quyền cung cấp

Việc tự quản trong mỗi OU

Cô lập quản lý dữ liệu và dịch vụ

Các tác vụ quản trị OU:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Thay đổi thuộc tính của vật chứa (container).

Tạo và xóa object.

Thay đổi thuộc tính cuat object.

1.3 Chiến lược xây dựng OU:

Tiến trình lập kế hoạch xây dựng OU:

Lập tài liệu về cấu trúc hiện tại của doanh nghiệp.

Xác định các vùng cần cải tiến quản trị.

Xác định cấp độ quản trị.

Xác định tài khoản quản trị và tài khoản người dùng trong từng OU và các tài nguyên mà

họ được phép quản lý và sử dụng.

Các nhân tố ảnh hương đến cấu trúc OU:

Các loại mô hình quản trị IT:

• Tập trung.

• Tập trung tại hội sở (Trụ sở chính) và phân tán tại chi nhánh.

• Quản trị phân tán.

• Thuê IT bên ngoài.

Cấu trúc của các mô hình quản trị IT:

• Dựa trên vị trí địa lý (Geographic - based)

• Dựa trên cấu trúc tổ chức phòng ban của doanh nghiệp (Organization - based)

• Dựa trên chức năng trong cách tổ chức của doanh nghiệp (Bussiness function -

based)







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Kết hợp (Hybrid)

Chiến lược trong việc triển khai cấu trúc OU:

Hình II.1.3.3.1: Mô hình chiến lược triển khai cấu trúc OU

1.4. Triển khai tài khoản Users, Groups, Computers:

1.1 Giới thiệu về User Account:

Người sử dụng cần truy cập các tài nguyên khác nhau trên máy tính bất kì trong mạng. User

acconut được tạo ra để xác nhận người sử dụng và cấp cho họ các thao tác với các tài nguyên trên

mạng mà họ có quyền. Một user account chứa các user name và password cho phép user có thể

đăng nhập vào một domain hay hay một máy tính từ xa bất kì nào. Bất cứ người sử dụng mạng

thông thường nào nên có một user account. Windows 2003 server hỗ trợ ba loại user account: Local

User Account, Domain User Account và Built-in User Account.

Local User Account (User Account cục bộ):







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Với một user account cục bộ, người dùng chỉ có thể đăng nhập vào máy xác định, nơi mà user

account đó được tạo ra. User chỉ có thể truy cập được những tài nguyên có trên máy tính đó. Một

local user account được tạo ra trong từng cơ sở dữ liệu bảo mật của từng máy cục bộ.

Domain User Account (User account trong Domain):

Với Domain user account, người sử dụng có thể đăng nhập vào một domain và có thể truy cập

nhiều tài nguyên có mặt tại bất kì nơi nào trên mạng. Một thẻ truy cậo được tạo ra mà xác nhận

người dùng sử dụng và các thiết lập bảo mật của user này khi người sử dụng cung cấp thông tin

đăng nhập(username và password). Thẻ truy cập được cung cấp bởi windows 2003 server sẽ tồn tại

lần cuối cùng cho đến khi người sử dụng đăng nhập(logon) và mất đi khi người sử dụng huỷ đăng

nhập(log-off). User account trong trường hợp này sẽ được lưu trong cơ sở dữ liệu của Active

Directory. User account này sẽ được nhân bản đến các Domain controller khác trong domain bởi

user account được tạo ra trên domain controller. Sự nhân bản này sẽ mất một chút thời gian, vì thế

sẽ không thể xử lý ngay lập tức các tài nguyên trên mạng thông qua các user account mới tạo và

thời gian nhân bản thông thường của một Active Directory trong một site thường là 5 phút.

Built-in User Account (User Account tạo sẵn):

Built-in Account được tạo tự động bởi windows server 2003 và được sử dụng bởi những người

sử dụng thực hiện những tác vụ quản trị hoặc những thao tác mạng trên một cơ sở dữ liệu tạm

thời(temporary basic). Có hai loại Built-in User account là: Administrator account và Guest account.

Hai loại account này không thể xoá.

Administrator Account: Built-in Administrator account có thể được sử dụng để quản lý

các máy tính và cấu hình trong domain. Sự quản lý bao gồm các tác vụ như tạo, sửa các

group và các user account, các printer và quản lý các chính sách bảo mật. Nên tạo ra

một user account mới có các nhiệm vụ không phải quản trị hệ thống( non-administrative

task) nếu chúng ta có một Administrator, vì administrator account nên được giới hạn sử

dụng cho các tác vụ quản trị. Để cấm các user không có quyền đăng nhập vào hệ thống

của chúng ta, một giải pháp thực tế là đổi tên built-in administrator account sao cho







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

không giống như một administrator account. Chúng ta cũng có thể đánh lừa người sử

dụng bằng cách tạo ra một user account có tên là administrator account nhưng không

gán cho một quyền nào với user account này.

Guest Account: Thỉnh thoảng các user được chúng ta cung cấp một guest account để họ

có thể đăng nhập tạm thời và các tài nguyên trên mạng. Theo mặc định thì guest account

bị disable. Chúng ta có thể cho phép account này trên một mạng bảo mật thấp và gán

cho nó một password.

1.2 Tạo và quản lý Account:

Trong khi tạo các user account chúng ta nên cẩn thận lập kế hoạch và tổ chức tất cả các

thông in về user trước khi bắt tay vào thực hiện. Để đạt được những điều này chúng ta nên tự làm

quen với các quy ước và chỉ dẫn. Theo những quy ước và chỉ dẫn này giúp chúng ta dễ dàng hơn

trong việc quản lý các user account sau khi tạo chúng. Kế hoạch được thực hiện với sự trợ giúp của

ba nguyên tắc cơ bản quan trọng sau: Naming Conventions (Quy tắc đặt tên), Password Guidelines

(Chỉ dẫn mât khẩu) và Account Option (tuỳ chọn account).

Quy tắc đặt tên User Account:

Các quy tắc đặt tên sẽ xác định cách mà user sẽ được biết đến trong một domain. Chúng ta

nên đặt tên theo các quy tắc đang tồn tại. Các điểm sau đây nên được chú ý khi chỉ định quy tắc đặt

tên cho tổ chức của chúng ta:

Chúng ta nên gán một tên duy nhất cho các domain user account và nó nên được lưu

trong Active Directory. Với người sử dụng cục bộ tên account là tên duy nhất trong một

nơi mà các user account cục bộ được tạo.

User account có thể nên đến 20 kí tự chữ thường hoặc chữ hoa và các kí tự sau đây

không được sử dụng để đặt tên cho User account: “/ \ [ ] ; | = , + * ? < >”. Các tên này

không phân biệt hoa thường. Một sự pha trộn đặt biệt của các kí tự số có thể làm đơn

giản sự định danh các user names.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Với một tổ chức lớn với một số lượng lớn các user, quy tắc đặt tên giữ cho tên khỏi bị

trùng lặp. Một điều quan trọng là biết được các user tạm thời trong tổ chức của chúng ta

để có thể dễ dàng xoá các tên đăng nhập của họ khi ra khỏi tổ chức của chúng ta. Trong

trường hợp này, việc đầu tiên sẽ là định danh các nhân viên tạm thời và thêm một kí tự

“T”(temporary) và một kí tự “-“ vào tên đăng nhập của user đó.

Yêu cầu mật khẩu :

Bất kì một user account nào cũng phải chứa một password phức tạp để bảo vệ thao tác trên

một máy tính hoặc một domain và vì thế giúp chống các cuộc đăng nhập không cho phép vào máy

tính hay domain của chúng ta. Các điểm sau đây nên được chú ý khi xác định quy uớc đặt tên cho

một tổ chức của chúng ta:

Luôn luôn được khuyến cáo gán mật khẩu cho Administrator account để tránh các tiếp

nhận không cho phép của account.

Gán password khó đoán cho tài khoản administrator. Chúng ta nên tránh đặt password

liên quan rõ ràng đến ngày sinh, các thành viên trong gia đình hoặc bạn bè thân.

Password nên chứa các kí tự thường, chữ hoa, các kí tự số và các kí tự đặt biệt hợp lệ

khác(non-alphanumeric)

Chúng ta nên xác nhận xem administrator hay user có quyền điều khiển password.

Thông thường là để quyền điều khiển password cho user. Các user phải được phép gõ

vào hoặc thay đổi các password trong lần đầu tiên đăng nhập. Administrator có thể cho

một password duy nhất đến user account và users có thể ngăn cản sự thay đổi

password.

Các tuỳ chọn account:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Các administrator nên theo dõi giờ đăng nhập của user và máy tính nơi họ đăng nhập vào. Giờ

kết thúc (logon hours) của một account tạm thời nên được biết trước. Điều này đảm bảo sự bảo mật

đúng đắn và sự duy trì của mạng. Các tuỳ chọn của account bao gồm:

Logon hours: Chúng ta có thể đặt logon hours cho user tuỳ thuộc vào khả năng xử lý của

user. Theo cách này chúng ta có thể giới hạn thời gian đăng nhập của user từ ngày đến

đêm. Xử lý mặc định của windows 2003 cho user là 24 tiếng mỗi ngày. Bằng cách đặt

logon hours chúng ta có thể rút ngắn thời lượng mà các unauthorized user (user không

được phép) có thể xử lý thông tin thông qua account này.

Setting Computer for User Log On: Chúng ta nên xách định xem máy tính mà user sẽ

đăng nhập vào. Các user có thể đăng nhập vào domain từ bất kì máy tín nào theo mặc

định của domain. Vì lý do bảo mật chúng ta có thể giới hạn cho các user phải đăng nhập

vào domain từ các máy tính đơn của họ sở hữu. Có thể là không giới hạn user đăng nhập

vào bất kì máy tính nào trên mạng trong truờng hợp NetBIOS trên TCP/IP bị disable.

Account Expiration: Chúng ta nên xác định xem khi nào thì các user xác định phải hết

hạn sử dụng. Nếu chúng ta quyết định không tiếp tục một account từ một ngày xác định

thì chúng ta đặt ngày hết hạn (expiration date) cho user account đó. Đến sát ngày hết

hạn chúng ta sẽ thấy account bị bisable sau ngày hết hạn đó. User account cho nhân

viên tạm thời nên hết hạn cùng ngày với ngày hết hạn hợp đồng của họ với công ty.

Tạo các Local user Account:

Một user account cục bộ là một account mà user có thể đăng nhập vào và xử lý các tài nguyên

được hỗ trợ bởi máy tính đơn đó. Chúng ta có thể tạo ra một user account cục bộ bằng cách dùng

console Computer Management. Một User account cục bộ chỉ được dùng trong trường hợp môi

trường mạng nhỏ, ví dụ nó có thể là một workgroup đơn giản hay một máy tính stand-alone không

được cấu hình trong mạng. Tránh tạo ra các user cục bộ trên các máy tính trong domain vì domain

nên được thừa nhận user cục bộ. Điều này giới hạn các user nhận bất cứ tài nguyên nào trên

domain, nhưng tài nguyên trên máy tính cục bộ thì truy cập được. Các user account cục bộ có ít số

lượng các thuộc tính hơn các domain user account.

Tạo các Domain User Account:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Domain User Account có thể được sử dụng để đăng nhập vào domain và vì thế nhận được các

xử lý đến các tài nguyên được lưu trữ ở bất kì nơi đâu trong mạng. Một domain user account được

tạo với sự trợ giúp của Domain Controller. Administration Tools lưu trữ trong domain controller, được

cung cấp trong windows server 2003 giúp chúng ta tạo ra và quản trị domain user account. Quản lý

từ xa của domain và user account cũng được cung cấp bằng cài đặt Windows XP Professional

Administration Tools trên máy tính chạy Windows XP Professional. Chúng ta nên dùng Active

Directory Users and Computers để tạo các domain user account. Chúng ta có thể dùng các thiết đặt

cho password để tạo ra một home folder và vị trí trung tâm lưu trữ dữ liệu.

Các tuỳ chọn khi khởi tạo Domain User Account:

Một domain user account được tạo ra trong một domain controller mà từ đó nó được

tự động copy tất cả đến các domain controller khác trong mạng. Chúng ta nên tạo account

trong mục user mặc định hoặc trong một số folder khác nơi mà các domain user account

khác tồn tại.

• First Name: Tên của User

• Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user.

• Last name: Họ của User

• Full name: Tên đầy đủ của user. Nó nên là duy nhất trong thư mục account.

Windows server 2003 có khả năng điền thông tin này sau khi tên và họ của user đã

được nhập vào.

• User logon name: Tuỳ chọn này nên là logon name duy nhất dựa theo các quy tắc

đặt tên và phải là duy nhất trong thư mục.

• User logon name(pre-windows 2000): Logon name duy nhất của user để đăng nhập

từ phiên bản trước windows 2000 của Microsoft. Cái này là duy nhất trong domain và

là phần tử bắt buộc.

Các thiết lập cho password:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Chúng ta có thể thêm một password khi đang thêm một user account mới trong

domain. Dưới đây là các tuỳ chọn cho password được gán password khi đang tạo một user

mới.

• Password: Đây là password được dùng trong khi xác nhận user và được hiển thị dưới

dạng cac dấu hoa thị.

• Confirm password: Xác định lại mật khẩu đã nhập ở trên

• User Must Change password at next logon: Để cho phép user thay đổi password

trong lần đăng nhập lần đầu tiên.

• User cannot change password: User không thể thay đổi password. Tuỳ chọn này

được chọn đối với nơi có nhiều hơn một user sử dụng cùng user account hoặc khi

administrator muốn điều khiển password.

• Password never expires: Chọn tuỳ chọn này nếu password không bao giờ thay đổi.

Tuỳ chọn này sẽ ghi đè thiết lập User must change password at next logon. Vì thế

nếu cả hai tuỳ chọn này được chọn thì windows 2003 sẽ tự động chỉ chọn tuỳ chọn

password never expires

• Account Dissable: Với tuỳ chọn này chúng ta có thể dừng sử dụng của user account

này.

Thay đổi thuộc tính của User account:

Tất cả các account đều có một tập các thuộc tính. Các domain user account đương

nhiên là có nhiều thuộc tính hơn các local user account. Các thuộc tính của local user

account là tập con của các thuộc tính trong domain user account. Các thuộc tính được sử

dụng để tìm kiếm bất kì user nào trong Active Directory. Mỗi domain nên được cấu hình với

những thuộc tính bắt buộc sau đây:

• Các thuộc tính các nhân sẽ có: thuộc tính chung (general), điện thoại (telephones), tổ

chức (organizational).

• Thuộc tính giờ Logon (Logon hours)







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Thuộc tính Logon to

• Các thuộc tính Account.

Để chỉnh sửa các thuộc tính của một domain user account, mở Active Directory Users

and Computer. Nhấp đúp chuột lên đối tượng mà user mà chúng ta muốn thay đổi thuộc

tính của nó. Trường hợp local user account, mở snap-in Computer management và từ đó

chọn Local Users and Groups: Sau đó nhấp đúp lên đối tượng user mà chúng ta muốn thay

đổi thuộc tính của nó. Hộp thoại thuộc tính chứa tập các tab cho phép user thay đổi và thiết

lập các thuộc tính khách nhau. Các thuộc tính được thiết lập cho dưới đây là dùng cho

domain user account và chỉ cho 4 tab thuộc tính từ domain user account bổ xung cho local

user account. Các thuộc tính đó bao gồm: Dial-in, General, Member Of và Profile. Chi tiết

các các tab thuộc tính này gồm:

• General: Tab này sẽ được cung cấp thông tin về tên của user, mô tả, điện thoại,

email user name, địa chỉ văn phòng và home page(trang chủ).

• Address: Tab này sẽ cung cấp các địa chỉ đường, thành phố, hộp thư, bang hay mã

vùng(zip code) và nước(country) của user.

• Account: Tab này sẽ cho phép định nghĩa logon name của user và cũng thiết đặt

thêm các tuỳ chọn như Logon Hours và Log on to. Những tuỳ chọn này đã được đặt

trong suốt quá trình tạo đối tượng user trong cơ sở dữ liệu Active Directory và có thể

được thay đổi ở đây.

• Profile: Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũng duy trì toàn

bộ môi trường làm việc của user. Một đường dẫn mạng cũng có thể được thiết lập để

nhận các truy cập các tài nguyên mạng và bổ xung kịch bản đăng nhập và home

folder có thể được gán bởi tuỳ chọn này.

• Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile, pager (số

máy tin nhắn) và IP phone của user. Chúng ta cũng có thể thêm các ghi chú ở đây.

• Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty, tên công ty

hay tổ chức, các thông tin về user và báo các trực tiếp của user.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó user này thuộc về.

• Dial-In: Tùy chọn này cho phép chúng ta điều khiển user tạo một kết nối dial-in từ

một nơi xa đến mạng. Điều này chỉ có thể thực hiện nếu user đang quay số tới một

máy tính đang chạy Windows 2003 Remote access services(RAS). Có một số tuỳ để

thiết lập cho bảo mật quay số như sau:

Allow Access: Tự động xác định các thiết lập dial-in có được cho phép hay

không.

Deny Access: Sẽ xác định dial-in có bị từ chối hay không

Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết nối.

No Callback: Sẽ xác định RAS sẽ không gọi người user. Điều này cho phép

user gọi từ bất kì số điện thoại nào. Nó được thiết kế cho môi trường bảo mật

thấp.

Set by caller: Sẽ xác định RAS sẽ đáp ứng đến user có được cung cấp nó với

số điện thoại. Vì thông tin này sẽ có thể được ghi lại(logged) nên chúng ta có

thể sử dụng có trên môi trường bảo mật trung bình.

Always Callback To: Sẽ xác định rằng RAS sẽ đáp ứng lại với user tại số điện

thoại đã được xác định. User nên cẩn thận để hiện diện tại cùng một thời điểm

RAS kết nối đến. Tuỳ chọn này được dùng trong môi trường bảo mật cao.

• Environment: Để tạo môi trường client-working thì tab này phải được sử dụng. Nó xác

định một hay nhiều ứng dụng khởi động và tất cả các thiết bị để kết nối khi user đăng

nhập vào.

• Sessions: Tuỳ chọn này được sử dụng để giới hạn chiều dài của sessions (phiên), tuỳ

thuộc vào session có active (kích hoạt), idle (nghỉ) hay disconnect (ngắt kết nối).

Chúng ta cũng có thể quyết định những hành động nên được tiến hành trong trường

hợp session đã tiến đến giới hạn thời gian.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

End A Disconnected Session: Chỉ định thời gian lớn nhất mà một session chưa

kết nối còn cho phép được chạy. Một khi quá giới hạn thời gian thì session

không thể tìm trở lại.

Active Session Limit: Xác định khoảng lớn nhất của session được kết nối. Một

khi giới hạn thời gian tiến đến gần, session có thể khởi động lại hoặc ngắt kết

nối rời khỏi session active trên server.

Idle Session Limit: Xác định thời gian lớn nhất được cho trứoc khi session được

khởi tạo lại hay ngắt kết nối. Nó sẽ bị ngắt kết nối sau khi hết thời gian của

những hoạt động tại kết nối.

• Remote control: Sẽ xác định các thiết lập điều khiển từ xa của các dịch vụ Terminal.

Bằng các thiết lập điều này chúng ta có thể tham gia giám sát session của client của

bất kì máy tính nào đã đăng nhập vào Terminal Server.

1.3 Triển khai User principal name suffixes:

User principal name (UPN):

Là một tên dùng để logon trong hệ thống mạng windows server 2003.

Được chia ra hai phần:

• Upn prefix.

• Upn suffix.

Lợi ích của việc dùng upn:

• Duy nhất trong Active Directory forest.

• Dùng như 1 địa chỉ email.

Name suffix routing:

Là cơ chế phân giải tên miền thông qua những forest trust







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Name suffix sử dụng để định tuyến các yêu cầu chứng thực giữa các forest được thiết

lập trust với nhau.

Name suffix không tồn tại trong forest thứ nhất có thể được định tuyến tới forest thứ 2.

Thông tin cấu hình định tuyến được thừa kế cho domain con.

Name suffix conflict:

Name suffix bị xung đột khi:

• Một DNS name đã được sử dụng.

• Một NETBIOS name đã được sử dụng.

• Một domain SID trùng với một name suffix SID.

Name suffix conflict trong domain là nguyên nhân khiến bị cấm truy cập tài nguyên từ

bên ngoài forest.

1.4 Kế hoạch triển khai user, group và computer account:

Hướng dẫn đặt tên tài khoản:

Tên user account phải xác định được người dùng

Computer phải xác định chủ sở hữu, vị trí, loại

Group phải xác định được kiểu, vị trí và mục đích của group

Hướng dẫn thiết lập chính sách password:

Ghi nhớ tối thiểu 24 password

Sau 42 ngày phải đổi password

Thời gian tối thiểu để đổi password là 2 ngày

Password được đặt ít nhất là 8 ký tự

Password đòi hỏi phải phức tạp







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hướng dẫn về vấn đề chứng thực, uỷ quyền và quản trị account:

Thiết lập ngưỡng thời gian để khoá account

Bảo vệ những account có quyền admin

Dùng nhiều phương pháp xác thực

Sử dụng mô hình bảo mật dựa trên vài trò để cấp quyền hạn

Disable Administrator account và sử dụng chính sách “least privilege policy”

Hướng dẫn lập kế hoạch xây dựng tài khoản nhóm:

Cho những user có cùng công việc vào global group

Tạo domain local group cho việc chia sẻ tài nguyên

Đưa global group vào làm thành viêndomain local group để cho phép truy cập tài nguyên

Dùng universal group để gán quyền truy cập tài nguyên trên hệ thống nhiều domain

Sử dụng universal group khi các thành viên là “tĩnh” (ít thay đổi các thành viên của

nhóm).

1.5 Kế hoạch giám sát Active Directory:

Mục đích của việc giám sát truy cập Active Directory:

Ghi lại tất cả những thay đổi trong Active Directory

Ghi lại việc truy cập tài nguyên của user

Xác định và ghi lại những sự truy cập không thành công

Hướng dẫn giám sát sự thay đổi trong Active Directory:

Giám sát sự kiện quản lý user account

Giám sát sự kiện về việc thay đổi chính sách







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Giám sát những sự kiện không hợp lệ trong hệ thống

Giám sát việc thay đổi chính sách thất bại và những sự kiện về quản lý user khi cần thiết.

1.5. Triển khai chính sách nhóm:

1.1 Giới thiệu về Group Policy Object (GPO):

Chính sách nhóm là một công nghệ cho phép người quản trị quản lý các môi trường desktop qua

một mạng Windows Server 2003. Việc quản lý desktop thông qua các chính sách nhóm được thực

hiện bằng việc áp dụng các thiết lập cấu hình computer và các user account. Các thiết lập chính

sách nhóm tập trung ở các đối tượng chính sách nhóm (GPO: Group Policy Object). Các chính sách

nhóm cho phép người quản trị để thiết lập một yêu cầu cho một user hoặc một computer. Yêu cầu có

thể sau đó sẽ được đem thực hiện liên tục. Chúng ta có thể sử dụng snap-in group policy và phần

mở rộng của nó trong MMC để mặc định nghĩa thiết lập chính sách nhóm. Các chính sách nhóm mở

rộng:

Administrative Templates: Dựa trên Registry: Cấu hình xuất hiện desktop, thiết lập ứng

dụng và chạy các dịch vụ của hệ thống.

Folder Redirection: Lưu trữ các folder của user trên mạng.

Scripts: Tạo các scripts mà nó có thể được sử dụng khi một user logon hoặc logoff, khi

một computer khởi động hoặc tắt máy.

Security: Tuỳ chọn này cung cấp cho máy cục bộ, domain và các thiết lập an toàn mạng.

Software Installation: Chủ yếu quản lý việc cài đặt phần mềm, cập nhật và xoá bỏ.

Trong Windows 2003, các thiết lập chính sách nhóm là hầu như được lưu trữ trong một đối

tượng chính sách nhóm (GPO). Do đó, chúng ta tạo GPO và sau đó thiết lập nó để chứa các thiết lập

chính sách nhóm. GPO là một bộ lưu trữ ảo định vị cho các thiết lập chính sách nhóm. Một GPO bao

gồm một tập các thiết lập mà nó ảnh hưởng riêng của các user và các computer. Mỗi GPO sẽ có một

cấu hình khác nhau và sẽ có các ảnh hưởng riêng khác nhau cho đối với các user và các conputer.

Nội dung của một GPO được lưu trữ trong 2 vị trí khác nhau:

Group Policy Containers (GPC)







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Group Policy Templates (GPT)

Các Group Policy Containers (GPC):

Group policy Container là một đối tượng Active Directory. Nó chứa các thuộc tính của GPO

và bao gồm các container con cho thông tin chính sách nhóm về các user và các computer.

GPC bao gồm các thông tin dưới đây:

Danh sách các component: chứa một danh sách các chính sách nhóm mở rộng được sử

dụng trong GPO.

Thông tin các trạng thái: Cho biết một GPO có thể hay không có thể được thực hiện.

Thông tin Version: Đảm bảo rằng thông tin trong GPC xảy ra đồng thời với thông tin ở

trong GPT.

Các Group Policy Template (GPT):

Các Group Template là các folder vật lý mà nó được tạo ra khi chúng ta tạo một đối tượng

chính sách nhóm. GPT là một folder có thứ tự trong folder sysvol ở trên các domain controller.

Đây là một đối tượng chứa tất cả thông tin chính sách nhóm trên các template quản trị, các

script, cài đặt phần mềm, việc nhân bản folder.

Khi chúng tạo ra một GPO, windows 2003 tạo một folder GPT có thứ tự. Folder là một tên

sau khi GUID (globally unique identifier) của GPO chúng ta được tạo. Một directory được tạo

với tên DNS của domain, dưới directory sysvol. Một directory khác có tên là Policies được tạo

dưới directory domain. Dưới directory policies này một thư mục được tạo với GUID của GPO

như là tên của một thư mục

1.2 Ứng dụng các chính sách nhóm:

Bước quan trọng trong quá trình cài đặt chính sách nhóm nhóm là phải hiểu cách thừa kế và thứ

tự thực hiện của các đối tượng chính sách nhóm. Khi chúng ta ứng dụng một đối tượng chính sách

nhóm đến một đối tượng chứa, nó được thừa kế trong suốt các cấp bậc của hệ thống. Đây là một

cách thừa kế của Active Directory trong việc đơn giản hoá các nhiệm vụ quản trị. Chúng ta có thể kết

hợp đối tượng chứa Active Directory với một GPO trong quá trình tạo nó. Đối tượng chứa có thể là







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

một site, domain hoặc một OU. Việc thiết lập chính sách nhóm trong một GPO sẽ ảnh hưởng các đối

tượng trong một đối tượng chứa.

Việc thiết lập chính sách sẽ được thừa kế theo thứ tự sau:

Site

Domain

OU

Theo mặc định. Windows 2003 ước lượng các đối tượng chính sách nhóm từ đối tượng chứa xa

nhất của một đối tượng. Cái mà nó được áp dụng trong việc thiết lập một site, domain và sau cùng là

một OU. Việc thiết lập chính sách của một OU đến computer hoặc user thuộc về nó, sẽ thiết lập sau

cùng đó là điều sẽ được áp dụng cho user hoặc computer. Do đó, một thiết lập chính sách nhóm

trong đối tượng chứa Active Directory đến user hoặc computer là mâu thuẫn quan trọng của việc

thiết lập chính sách nhóm trong một đối tượng chứa đó là cái ở xa nhất kể từ user hoặc computer.

Thiết lập chính sách nhóm có thể được thiết lập cho các OU cha và OU con. Trong một số

trường hợp, khả năng tương thích giữa các thiết lập xác định đó là thiết lập sẽ được áp dụng. Nếu cả

hai thiết thiết lập là tương thích thì sau đó các thiết lập từ cả OU cha và OU con sẽ được áp dụng

trên các đối tượng của OU con. Tuy nhiên, nếu chúng không tương thích thì sau đó OU con sẽ không

thừa kế các thiết lập của OU cha. Vì thế các thiết lập của OU con sẽ được áp dụng trên các đối

tượng của OU con. Trong trường hợp này, các thiết lập chính sách nhóm đã được thiết kế trên OU

cha và không ở trên OU con thì sau đó các đối tượng của OU con sẽ thừa kế các thiết lập của OU

cha.

Các quy tắc thừa kế mặc định trong windows 2003 có thể được sửa đổi. Chúng ta cũng có thể

sửa đổi các quy tắc thừa kế cho các GPO riêng lẻ. Hai tuỳ chọn đã được cung cấp cho việc thay đổi

quá trình mặc định:

Block Inheritance: Chúng ta có thể sử dụng tuỳ chọn này đến khối của một đối tượng chứa

con từ việc thừa kế các thiết lập của đối tượng chứa cha. Nó đã được sử dụng khi một OU

cần phải thiết lập chính sách duy nhất. Khối thừa kế được áp dụng đến tất cả các đối tượng







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

chính sách nhóm trong đối tượng chứa cha. Trong trường hợp mâu thuẫn, tuỳ chọn No

Override luôn đặt quyền ưu tiên lên tùy chọn này.

No Override: Chúng ta có thể sử dụng tuỳ chọn này để ngăn cản một OU con từ việc đè

lên các thiết lập một GPO với mức độ cao nhất. Tuỳ chọn này là một tập lên các GPO.

Đây là điều có thể trong việc thiết lập tuỳ chọn này trên một hay nhiều hơn một GPO.

Trong một số trường hợp, GPO với tuỳ chọn No Override, cấp bậc cao nhất trong Active

Directory sẽ đặt quyền ưu tiên lên trên các GPO khác.

Một GPO là được kết hợp với một site ảnh hưởng đến tất cả các computer trong site, bất luận

các domain thuộc về chúng. Tuy nhiên, GPO đã được lưu trữ chỉ trong một domain controller trong

một site. Tất cả các computer phải tiếp xúc với domain controller đó là cái đã chứa GPO cho các

thiết lập chính sách. Từ khi đó, site có thể chứa nhiều domain, các domain này có thể chứa nhiều

domain, các domain này có thể thừa kế GPO đã được kết hợp với site.

1.3 Cấu hình các chính sách nhóm:

Các thiết lập chính sách nhóm trong một GPO có thể được cấu hình bằng cách sử dụng snap-in

Group Policy mở rộng trong MMC. Các mở rộng chính sách nhóm bao gồm các thiết lập cho:

Administrative Templates

Folder Redirection

Scripts

Security

Remote Installation Servies

Software Installation

Để mở một GPO ta làm như sau: Mở Active Directory Users and Computer / Active Directory

Sites and Services từ menu administrative tools. Nhấp phải vào container hay OU, Nhấp propertices,

Nhấp vào tab Group Policy, Chọn GPO mà chúng ta muốn, nhấp New nếu chưa có GPO và nhấp

Edit







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Thiết lập chính sách nhóm GPO được phân thành: Computer Configuration và User

Configuration.

Computer Configuration - Cấu hình máy tính:

Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt

tuân theo các chính sách bảo mật trên các máy tính. Đây là các thiết lập đã được áp dụng khi khởi

tạo hệ điều hành. Các thiết lập cấu hình máy tính bao gồm tất cả các liên kết chính sách được chỉ rõ

dưới đây:

Software Setting

o Software Installation

Windows settings

o Scripts(Startup/Shutdown)

o Security Settings

Account Policies

Local Policy

Event log

Restricted Groups

System Services

Registry

File system


o Windows Components

o System







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

o Network

o Printer

User Configuration - Cấu hình người sử dụng:

Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt

tuân theo các chính sách bảo mật của người sử dụng. Các thiết lập người sử dụng đã được áp dụng

khi người sử dụng đăng nhập vào máy tính. Các thiết lập cấu hình người sử dụng bao gồm tất cả các

liên kết chính sách người sử dụng được chỉ rõ dưới đây:

Software Settings

o Software Installation

Windows Settings

o Remote Installation Services

o Scripts(logon/logoff)

o Security Setting

o Folder Redirection

o Internet Explorer maintenance


o Windows Components

o Start Menu and takbar

o Desktop

o Control panel

o Shared Folder

o Network







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

o System

Bên trong các folder, subfolder và các chính sách không giống nhau tuỳ theo từng trường hợp

chúng ta chọn cấu hình máy tính hay cấu hình người sử dụng. Điều khiển chính sách nhóm nên tập

chung vào cùng một domain controller. Do đó, bằng cách mặc định. Việc điều hành chính sách tập

chung trong primary domain controller. Tuy nhiên, nếu domain controller với vai trò điều hành chính

sách là PDC là không có hiệu lực, khi đó một thông báo lỗi được xuất hiện. Mặc dù, chúng ta sẽ

được cho phép để chọn một domain controller khác. Chúng ta có thể lấy dữ liệu khi nhiều người quản

trị đang sửa đổi trên cùng một GPO. Trong trường hợp này, thay đổi cuối cùng sẽ ghi đè lên thay đổi

trước đó khi hoàn thành một GPO. Thông báo lỗi sẽ nhắc nhở khi ghi đè. Chúng ta nên chọn mục

này chỉ khi chúng ta đã chắc chắn điều đó.

Một GPO không được thay đổi bởi bất kỳ người nào

Các GPO và các file kết hợp đã được thay thế một cách hoàn toàn sau thay đổi cuối

cùng.

Các thiết lập Administrative Template:

Administrative Template chứa các đăng ký dựa trên các thiết lập chính sách nhóm. Trong

registry edit, các thiết lập chính sách nhóm giành riêng cho người sử dụng được ghi ở

HKEY_CURRENT_USER\Software\Policies. Tương tự, các thiết lập chính sách nhóm giành riêng

cho máy tính được ghi ở HKEY_CURRENT_MACHINE\ software\ policies.

Các thiết lập kịch bản (Script):

Windows 2003 cho phép các script được ghi trong cả computer và users. Đối với computers,

chúng ta có thể để ấn định script thực hiện trong suốt quá trình cả quá trình khởi động và tắt máy.

Đối với users, chúng ta có thể án định các script thực hiện trong xuốt qúa trình đăng nhập và đăng

xuất. Chúng ta có thể ấn định các script đăng nhập / đăng xuất thông qua trang properties của user

account. Tuy nhiên việc gán script thông qua chính sách nhóm là phương pháp được ưu tiên hơn.

Chúng ta có thể ấn định nhiều script đến một user hoặc một computer.

Trong windows 2003, các scipt được thực hiện theo các mục sau.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Trong trường hợp nhiều script, các script đã là một quá trình theo thứ tự từ trên xuống

dưới trong trường hợp này chúng đã là một danh sách trong hộp thoại properties.

Windows 2003 thực hiện các script đăng xuất trước khi thực hiện các script tắt máy.

Giá trị thời gian mặc định tối đa cho việc thực hiện các script là 10 phút. Tuy nhiên,

chúng ta có thể thay đổi giá trị này bằng cách thay đổi thời gian chờ trong computer

configuration \ Administrative Templates \ System\ Logon\ Maximum.

Các thiết lập an toàn (Security):

Chúng ta có thể thiết lập và cho hiệu lực an toàn trong mạng của chung ta bằng cách sử dụng

các thiết lập an toàn chính sách nhóm. Chúng ta sử dụng các thiết lập an toàn mở rộng trong chính

sách nhóm để định rõ các thiết lập an toàn. Các khoản trong các thiết lập an toàn mở rộng đã được

thảo luận ở bên dưới.

Account Policies: Chính sách tài khoản cho một domain xác định.

Thiết lập Password

Thiết lập giao thức Kerberos version 5

Các chính sách khoá Account

Event Log: Chúng ta có thể cấu hình các tham số như kích thước. Truy xuất và việc sở

hữu cho các ứng dụng, hệ thống và an toàn với thiết lập event log.

File System: Các thiết lập hệ thống file cho phép chúng ta cấu hình an toàn trên các

đường dẫn file riêng biệt.

IP Security Policies on Active Directory: Chúng ta có thể cấu hình các giao thức an toàn

trên mạng interner khi sử dụng chính sách IP sercurity.

Local Policies: Các thiết lập chính sách cục bộ có thể được sử dụng cấu hình các chính

sách kiểm toán, việc cấp các quyền và cho phép đối với người sử dụng và thiết lập các

mục an toàn khác cần thiết để cấu hình cục bộ. Các thiết lập chính sách này là cục bộ

đến các máy tính.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Public Key Policies: Các chính sách khoá công khai có thể được cấu hình hoặc là User

configuration hoặc security settings. Chúng ta có thể sử dụng các chính sách khoá công

khai trong thiết lập an toàn để cấu hình các domain gốc, giao phó các quyền lực và việc

khôi phục lại mã hoá dữ liệu.

Registry: Chúng ta có thể sử dụng thiết lập registry để cấu hình an toàn các registry key.

Restricted Group: Các chính sách hạn chế nhóm có thể được sử dụng để quản lý các

thành viên của các nhóm tạo sẵn và các nhóm domain. Các nhóm tạo sẵn là

administrators, Power Users và domain admins. Chúng ta có thể bổ sung các nhóm khác

nhau đến nhóm restricted, song song với các thành viên chi tiết của chúng. Để làm được

như thế, cho phép chúng ta theo dõi và quản lý các nhóm này như là một phần của

chính sách an toàn. Nhóm restricted quản lý các thành viên của các nhóm được tạo sẵn

và cũng như các thành viên của các nhóm này. Cột members Of trong tab Properties của

một nhóm, danh sách tất cả các nhóm để nhóm này là một thành viên.

System Services: Chúng ta có thể sử dụng các dịch vụ nhóm hệ thống của việc thiết lập

đến các thiết lập cấu hình an toàn và khởi động đối với các dịch vụ đang hoạt động trên

một máy tính. Các dịch vụ khác nhau này có thể được cấu hình như:

Dịch vụ mạng

Dịch vụ File và Print

Dịch vụ Telephony và Fax

Dịch vụ Internet / Intranet

1.4 GP tác động đến Startup và Logon như thế nào:

Mạng được khởi động. Remote Procedure Call System Service và Multiple Universal Naming

Convention Provider được khởi động.

Lấy danh sách các GPO áp dụng cho máy tính. Danh sách này phụ thuộc vào các nhân tố sau:

Máy tính có là một phần của win2k hoặc wins2k3 domain hay không?







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Vị trí của máy tính trong Active Directory.

Nếu danh sách GPO không thay đổi thì không cần xử lý.

Các thiết lập cấu hình máy tính được xử lý theo trình tự sau: local GPO, các Site GPO, các

Domain GPO và các OU GPO.

Các script Startup được thực thi.

Người dùng nhấn Ctrl+Alt+Del để logon.

Sau khi chứng thực người dùng hợp lệ thì user profile được load và các thiết lập của GP có hiệu

quả.

Lấy danh sách GPO cần áp dụng cho user. Danh sách này phụ thuộc vào:

User này có là thành viên trong win2k hoặc win2k3 domain không.

Chính sách loopback có được thiết lập hay không.

Vị trí của user trong Active Directory

Nếu danh sách GPO được áp dụng không thay đổi thì không cần xử lý

Các thiết lập cấu hình của user được xử lý.( thứ tự local GPO, Site GPOs, Domain GPOs, OU

GPOs).

Các script Logon được chạy.

Giao diện người dùng hệ điều hành được qui định bởi GP.

1.5 Sự kế thừa GP:

Group Policy được áp dụng xuống từ container cha đến tất cả container con bên trong một

Domain.

Domain con không kế thừa Group Policy từ Domain cha.

Group Policy được kế thừa theo các cách sau:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Các thiết lập chính sách ở OU cha không được cấu hình thì OU con không kế thừa.

Các thiết lập chính sách ở OU cha được cấu hình thì:

Nếu ở OU con có cấu hình chính sách đó thì ghi đè thiết lập ở OU cha.

Nếu ở OU con không cấu hình thì kế thừa ở OU cha.

1.6 Quản trị GP với RSoP:

RSoP là kết quả của GP được áp dụng cho một user hoặc máy tính.

Trong Windows Server 2003, bạn có thể phát sinh một truy vấn RSoP để xác định các chính

sách được áp dụng cho một user hoặc máy tính xác định.

Windows Server 2003 cung cấp 3 công cụ để phát sinh truy vấn RSoP:

Resultant Set of Policy Wizard.

Dùng lệnh Gpresult.

Công cụ Advanced System Information.

1.6. Triển khai Site và quản lý đồng bộ Active Directory:

1.1 Giới thiệu về Active Directory Replication:

Giới thiệu về Active Directory Replication:

Sự đồng bộ củ dịch vụ AD (Active Directory Replication) là tiến trình cập nhật khi có thay

đổi một đối tượng trên Domain Controller này với các Domain Controller khác trong miền.

Quá trình đông bộ dich vụ AD diễn ra khi:

o Tao mới đối tương trong AD ví dụ: tao mới user hay computer account

o Thay đổi thuộc tính một đối tương

o Thay đổi tên của vật chứ (Container) ví dụ: đổi tên OU







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

o Xóa một đối tương ví dụ: xóa user hay computer account

Đồng bộ một Site:

Change Notification: sự thông báo khi có thay đổi đối tượng trong AD cho các Domain

Controller trong cùng một site.

Replication Latency: độ trễ từ khi có một sự thay đổi trong AD đến khi được cập nhật trên

tất cả các DC trong cùng 1 site.

Urgent Replication: ngay lập tức gửi cập nhật sự thay đổi, thay vì đợi thời gian mặc định là

15 giây.

Convergence: khi dịch vụ D được đồng bộ trên tất cả các DC trong miền thì hệ thống gọi là

“hội tụ” (Convergence).

Propagation Dampening: cơ chế sử dụng USN (Update Sequence Number) để ngăn chặn

gửi trùng lập dữ liệu trong quá trình đồng bộ dịch vụ của AD.

Conflicts: xung đột thông tin giữa các Domain Controller.

Globally Unique Stamp: dùng để giải quyết xung đột thông tin gồm: Version number,

Timestamp và Globally Unique Identifier (GUID).

Directory Partition:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.1.6.1.1: Mô tả Diretory Partition

Schema Partition:

o Mỗi forest có một Schema Partition.

o Lưu các thông tin định nghĩa các đối tượng và các thuộc tính của đối tượng.

o Được đồng bộ trên tất cả các DC trong Forest.

Configuration Partition:

o Mỗi Forest có một Configuration Partition.

o Lưu thông tin về cấu trúc Active Diirectory trên phạm vi Forest: các Domain và các

Site, các Domain Controller, các dịch vụ.

o Được đồng bộ trên tất cả các DC trong Forest.

Domain Partition:

o Lưu trữ thông tin đối tượng trong 1 Domain: User, Groups, Computer và OU.

o Được đồng bộ với tất cả các DC trong cùng miền.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Application partition:

o Lưu thông tin các ứng dụng trong Active Directory.

o Thông tin trong Application Partition không được lưu trữ trong Global Catalog.

o Cho phép chỉ định đồng bộ với DC nào trong Forest.

o Ví dụ nếu sử dụng DNS tích hơp với AD có 2 partition cho DNS zone

ForestDNSZones: Tât ca DC & DNS server trong forest se đông bộ partition này

DomainDNSZones: Tât ca các DC là DNS server se đông bộ partition này

Replication Topology:

Hình II.1.6.1.2: Cơ chế Replicate Topology

Replication Topology: là mô hình định tuyến các dữ liệu đồng bộ được truyền đi trên mạng.

Đồng bộ Partition: Replication Topology của các Directory Partition: Schema, Configuration,

Domain, Application Partition có thể khác nhau.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Connection Object: dùng tạo liên kết đồng bộ giữa các DC (gọi là Replication Partner).

Global Catalog và sự đồng bộ Partition:

Hình II.1.6.1.3: Global Catalog Server và sự đồng bộ Partition

Global Catalog: la domain controller chứa 2 phân vùng: schema va configuration.Ngoai ra

còn lưu trư domain partition của no va một phần domain partition của domain khac trong

forest.

Khi tao mới một domain vao forest, configuration partition chứa thông tin của về domain đo.

Active Directory sao chép configuration partition đến tât ca cac domain controller, cac

Global Catalog Server.

Global Catalog Server đăng ky cac record đặc biệt vao DNS Zones.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.2 Quản lý Site Topology:

Quản lý kiến trúc các Site trong Forest, giúp cho quá trình Replicate hiệu quả và giảm băng

thông thông qua Bridgehedd Server.

Bridgehedd Server:

Hình II.1.6.2.1: Bridgehead Server

Bridgehead Server la Domain Controller đươc chỉ đinh gửi va nhận dư liệu sao chép từ cac

Site.

Admin cần phai tao ra một Bridgehead Server cho Site.

Bridgehead Server đươc chọn tự động, hoặc admin co thê chỉ đinh. Bridgehead Server phai

co câu hinh tốt, băng thông cao va thực hiện cac nhiệm vu Replicate data Active Directory.

Nếu hệ thống co Proxy hoặc Firewall thi cần phai câu hinh cho Bridgehead Server đươc

thực hiện Replicate.

Intersite Topology Generator:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.1.6.2.1: Intersite Topology Generator

Intersiet Topology Generator la tiến trinh mô ta qua trinh đông bộ giưa cac Site trong hệ

thống mang. Tính năng nay co săn trên Bridgehead Server.

Intersite Topology Generator tự động chọn 1 hoặc một số Domain Controller lam vai trò

Bridgehead Server.

Chay tiến trinh KCC đê xac đinh mô hinh đông bộ (Replication Topology) va cac

Connection Object dự phòng ma cac Bridgehead Server co thê sử dung đê truyền thông với

cac Bridgehead Server ơ cac site khac.

1.3 Lập kế hoạch xây dựng Site:

Quá trình lập kế hoạch xây dựng Site:

Số và vị trí các Site của tổ chức.

Tạo các Site Link.

Các yêu cầu cho Site.

Số User trong Site.

Các chính sách bảo mật trên Site.

Lập lịch cho Site Link và thời gian Replicate.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Site link bridge.

Preferred Bridgehead Server.

Các Subnet.

Domain Controllers trong Sites.

Hướng dẫn xác định Schedule, Interval và Protocol của Site link:

Lập lịch sao chép giữa các Site cho Site Link.

Xác định thời gian sao chép cho Site Link.

Xác định các giao thức cho các Site Link.

Hướng dẫn xác định sự cần thiết của Site linl bridge:

Domain Controller không liên kết trực tiếp được tất cả các Domain Controller khác Forest.

Có nhiều Site, và các chức năng của các Domain Controller không phải là Server 2003.

Hệ thống mạng của công ty không được định tuyến đầy đủ.

Hướng dẫn xác định yêu cầu cho Bridgehead Server:

Cấu hình các Bridgehead Server để loại trừ các Bridgehead Server không đủ mạnh.

Tạo danh sách các Preferred Bridgehead Server cho các Site.

Tạo nhiều Bridgehead Servers cho nhiều Directory Partitions.

Hướng dẫn bảo mật cho quá trình đồng bộ:

Sử dụng Port hoặc giao thức cho các dịch vụ cụ thể.

Giới hạn các Port RPC.

Thiêt lập mối quan hệ tin cây tường minh (explicit trust ) giữa các Domain.

Mối quan hệ tin cậy ( Trust ) giữa các Domain hợp lệ và được chứng thực.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.7. Bố trí Domain Controller:

1.1 Triển khai Global Catalog trong Active Directory:

Global Catalog Server:

Hình II.1.7.1.1: Global Catalog Server

Global catalog server là máy chủ lưu trữ tất cả thông tin của các đối tượng trong Active

Directory.

Global Catalog Server là máy chủ Domain Controller đầu tiên.

Hỗ trợ tìm kiếm dữ liệu và thông tin trên Active Directory.

Nếu không có Global Catalog Server thì quá trình logon của user sẽ thất bại.

Global Catalog Server cung cấp thông tin các thành viên trong Universal group trên môi

trường multidomain. Thông tin các thành viên (member) trong Universal Group được lưu trữ

trên GC Server thay vì được lưu trữ trên DC như Global Group.

Customize Global Catalog Server:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.1.7.1.2: Customize Global Catalog Server

Đôi khi cần phải chỉnh sữa lại các thuộc tính của global catalog server, để thêm một số

thuộc tính của đối tượng.

Những cân nhắc khi thêm thuộc tính vào global catalog server:

o Thêm một số thuộc tính cho user và ứng dụng thường xuyên sử dụng và truy vấn.

o Tất cả các thuộc tính thay đổi trong global catalog server sẽ được update cho tất cả

các global catalog. Nên các thay đổi của các thuộc tính cũng ảnh hưởng đến quá trình

sao chép.

Universal Group Membership Caching:

Tính năng cho phép DC ở 1 site lưu trữ cục bộ thông tin định danh của user thành viên

Universal Group. Giúp tiết kiệm băng thông & tăng tốc cho quá trình đăng nhập.

Khi hệ thống có các trụ sở nhỏ, Universal Groups Membershipt giúp cho quá trình chứng

thực nhanh hơn.

Domain controller trong site sử dụng tính năng Universal Group Membership Caching sẽ

lưu trữ thông tin định danhcủa user thuộc Universal Group.

Mặc định thông tin cache của thành viên Universal Group sẽ được lưu trữ trên Domain

Controller và được làm tươi sau 8h. Windows server 2003 hỗ trợ làm tươi thông tin của 500

thành viên Universal Group một lần.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.2 Phân bố Domain Controller trong Active Directory:

Active Directory Sizer:

Active Directory Sizer cung cấp khả năng ước lượng các thàn phần sau:

o Số lượng Domain Controller.

o Số lượng Global Catalog Server.

o Yêu cầu về CPU.

o Yêu cầu về Hard Disk.

o Yêu cầu về dung lượng Memory.

o Yêu cầu về kết nối mạng.

o Kích thước Domain Database.

o Kích thước Global Catalog Database.

o Băng thông đồng bộ giữa các site.

Các tham số của Active Directory Sizer:

Số User hoạt động cao nhất trong giờ cao điểm.

Một User là thành viên của bao nhiêu nhóm.

Số yêu cầu logon/sec trong giờ cao điểm.

Giới hạn hiệu suất CPU.

Yêu cầu quản trị.

Yêu cầu DNS.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.3 Lập kế hoạch phân bố Domain Controller:

Hướng dẫn bố trí Domain Controller:

Nên bố trí Domain Controller trong Site nếu:

o Có nhiều User trong Site.

o Các ứng dụng liên quan AD trong Site.

o Site có nhiều Resource Server mà User có thể truy cập khi kết nối WAN bị lỗi.

Không nên bố trí Domain Controller trong Site nếu:

o Không có tính bảo mật vật lý.

o Khó khăn trong việc duy trì hoạt động.

Xác định số lượng Domain Controller dựa trên:

o Số user trong Site.

o Yêu cầu về hiệu suất.

Hướng dẫn bố trí Global Catalog Server:

Global Catalog Server phải có đủ dung lượng ổ đĩa trống.

Global Catalog Server phải trả lời nhanh các yêu cầu truy vấn và chứng thực của Client.

Cung cấp đủ băng thông WAN cho Global Catalog Server.

Cấu hình tất cả thành Global Catalog Server nếu Forest chỉ có một Domain.

Sử dụng nhiều Global Catalog Server.

Hướng dẫn Enable Universal Group Membership Caching:

Enable Universal Group Membership Caching nếu:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

o Phần cứng hoặc băng thông không cho phép bố trí DC trong Site..

o Có 1 hoặc nhiều Local DC trong Site

o Truy cập tài nguyên mạng không được gián đoạn.

Không Enable Universal Group Membership Caching nếu như bị mất kết nối thì User cũng

không thể truy cập tài nguyên.

Xem xét sử dụng Local GC Server hoặc WAN Link dự phòng hoặc cấu hình GC Server trên

tất cả các DC trong 1 Domain thay cho tính năng Universal Group Membership Caching.

Hướng dẫn bố trí DNS Server tích hợp AD:

Bố trí ít nhất một DNS Server trên mỗi Site.

Sử dụng DNS tích hợp Active Directory, lưu trữ thông tin trong một Application Partition.

Sử dụng Local DNS nếu có tích hợp dịch vụ DNS vào AD.

Cấu hình địa chỉ DNS phụ cho Domain Controller.

1.8. Quản lý Operation Master:

1.1 Giới thiệu Operation Master Role:

Schema Master:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình II.1.8.1.1: Schema Master

Domain Controller với vai trò này sẽ chịu trách nhiệm hoàn thành việc cập nhật cho lược

đồ. Để cập nhập một lược đồ của một Forest, chúng ta phải truy xuất đến một lược đồ Master

của Domain Controller. Chỉ nên có một Domain Controller có vai trò này trên mạng. Domain

Controller sở hữu những vài trò này trên mạng là duy nhất tại bất cứ thời điểm nào. Nghĩa là

chức năng thao tác chính có thể chuyển đổi từ Domain Controller này đến Domain Controller

khác. Nhưng chỉ có một Domain Controller có vai trò riêng trong mạng. Hai Domain Controller

không thể chạy cùng một chức năng tao tác chính tại bất kì thời điểm nào của mạng.

Active Directory Schema định nghĩa các loại đối tượng và các loại thông tin của đối tượng

được lưu trữ trong Active Directory

Active Directory Schema thực hiện các roles:

o Điều khiển tất cả Update trong Schema

o Chứa danh sách chính các Object Class và Atrribute của Object dùng để tạo các

Object trong AD.

o Sao chép Update đến tất cả AD Schema đến các Oomain Controller trong Forest.

o Chỉ cho phép các user thuộc nhóm Schema Admins mới được thay đổi Schema.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Domain Naming Master:

Domain Naming Master chịu trách nhiệm điều khiển để thêm hoặc xoá các Domain ra

khỏi rừng. Kể từ đó Domain Naming Master chăm sóc các Doman trong Forest, có thể một

Domain Controller trong Forest với vai trò này.

Primary Domain Controller Emulator(PDC):

Hình II.1.8.1.2: Primary Domain Controller Emulator

Vai trò này rất hữu ích trong mô hình mixed. Khi một client không chạy Windows XP hoặc

một Server đang chạy Windows NT tồn tại trong một Domain thì sau đó bất kì một sự thay đổi

nào tác động đến Domain thì đòi hỏi đó cũng tác động đến PDC. Domain Controller với vai trò

này chịu trách nhiệm trong việc cập nhật này. Trong mạng ở chế độ native, vai trò này hữu ích

trong việc xác nhập đăng nhập trong trường hợp thay đổi mật khẩu được tạo ra ở trong domain.

Nếu một password mới được thay đổi thì nó sẽ mất thời gian để tạo bản sao khác ở trong

domain controller. Trong khi chờ đợi, nếu Domain Controller gặp một mật khẩu không đúng thì

nó sẽ đưa ra một câu truy vấn đến PDC trước khi thông báo quá trình đăng nhập thất bại.

PDC Emualator dùng để hỗ trợ cho các Backup Domain Controllerlà Windows NTkhi

Domain Functional Level là mixed-mode.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Phù hợp cho các hệ thống đang nâng cấp từ Windows NT lên Server 2003.

PDC emulator thực hiện các roles:

o Thực hiện đồng bộ giữa PDC và BDC là Windows NT.

o Quản lý việc thay đổi mật khẩu từ các phiên bản Windows trước Windows 2000.

o Giảm thiểu sao chép của việc thay đổi mật khẩu.

o Đồng bộ thời gian giữa các domain controller trong toàn domain.

o Ngăn cản khả năng ghi đè của Group Policy objects.

RID Master (Relative ID Master):

Hình II.1.8.1.3 : RID Master

Khi một đối tượng được tạo ra trong domain thì một SID cũng được tạo ra và gán cho đối

tượng đó. SID, định danh bảo mật (sercurity indentifier) là duy nhất cho mỗi đối tượng. Một SID

bao gồm hai phần: domain SID và RID. Phần thứ nhất là Domain SID, là chung cho tất cả các

đối tượng trong Domain. Phần thứ hai là RID, là số ID duy nhất khác nhau cho mỗi đối tượng

trong Domain. Vì thế SID là một định danh duy nhất trong mạng. Vai trò này phải có trong một







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Domain Controller của một mạng. RID Master gán một dãy các RID cho các Domain Controller

trong mạng. Domain Controller sau đó sẽ phân phối RID cho các đối tượng này.

RID Master cấp phát các Block RID cho mỗi Domain Controller trong miền. Khi Domain

Controller tạo mới một đối tượng như: user, computer, group thì nó sẽ gán cho đối tượng đó

một SID (Domain SID + RID).

Các đối tượng trong cùng domain thì có Domain SID giống nhau.

RID Master thực hiện các tác vụ sau:

o Hỗ trợ tạo các đối tượng trong AD, khi một đối tượng mới được tạo ra sẽ gán một RID

riêng biệt.

o Hỗ trợ di chuyển các đối tượng trong AD.

Nếu không thể liên lạc được với RID Master roles Server trong miền thì quá trình tạo mới

một đối tượng (user/group/computer) sẽ thất bại.

Infrastructure Master :

Hình II.1.8.1.4: Infrastructure Master







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Domain Controller với vai trò này chịu trách nhiệm cập nhật để tham chiếu đến các thành

viên trong nhóm của Active Directory. Bất cứ khi nào sự thay đổi xảy ra đối với các thành viên

trong một nhóm, Domain Controller này cập nhật vào cơ sở dữ liệu của Domain. Mỗi domain

phải có một Infastructure Master, sự thay đổi trong thành viên của Domain là sự nhân bản

Multi-master.

Infrastructure master là Domain Controller phụ trách cập nhật thay đổi của các đối tượng

trong domain có tham chiếu tới các đối tượng trong domain khác.

Infrastructure master thực hiện cập nhật thông tin định danhcủa đối tượngtheo các luật sau:

o Khi đối tượng di chuyển thì DNname cũng được thay đổi.

o Nếu đối tượng di chuyển trong cùng một miền thì SID không đổi.

o Nếu đối tượng di chuyển đến một domain khác, thì SID được thay đổi tương ứng với

Domain đó.

o GUID không thay đổi bất, vì nó là duy nhất trên tất cả domain.

1.2 Chuyển giao và chiếm đoạt Operation Master Role:

Chuyển giao Master Role:

Tình huống xảy ra khi máy chủ Master được cài đặt trước hoạt động không ổn định, cần

phải nâng cấp máy chủ Domain Controller mới và yêu cầu mọi Users và Groups… không được

thay đổi, khi đó bạn phải nâng cấp máy chủ.

Quyền hạn để thực hiện tác vụ chuyển giao Master Role

o Schema master: Schema Adminis

o Domain naming master: Enterprise Admins

o PDC emulator: Domain Admins







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

o RID master: Domain Admins

o Infrastructure master: Domain Admins.

Chiếm đoạt Master Role:

Thực hiện chiếm đoạt Master Role khi không thể thực hiện tác vụ chuyển giao Master Role,

lưu ý chỉ khi nào máy chủ Master Role thực sự hỏng mới làm theo phương pháp này, bởi vì có

thể gây sung đột hệ thống.

Dữ liệu có thể mất khi chiếm đoạt một Master Role.

1.3 Kế hoạch bố trí Operation Master:

Hướng dẫn bố trí Operation Master:

Hướng dẫn bố trí Schema Master:

Cấu hình Schema Master Roles cho một máy chủ có tính sẳn sàng cao. Vì Shema Master

định nghĩa tất cả các đối tượng trong Active Directory.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Máy chủ Schema Master không yêu cầu phải là máy chủ mạnh, nhưng có khả năng hoạt

động liên tục.

Hướng dẫn bố trí Domain Naming Master:

Bố trí Domain Naming Master trên các DC có tính sẵn sàng cao, khi thêm hoặc gỡ bỏ một

Domain trong Forest.

Domain Naming Master không yêu cầu là máy chủ DC có tính sẵn sàng cao.

Hướng dẫn bố trí PDC Emulator Master:

PDC Emulator Master là một Domain Controller có tính sẵn sàng cao hiệu suất cao.

Không yêu cầu Standby Domain Controller là một Replication Partner trực tiếp. Vì quá trình

chiếm đoạt PDC Emulator Master không làm mất mát dữ liệu

Bố trí PDC Emulator ở vị trí trung tâm của hệ thống nơi có nhiều user và giúp tiết kiệm băng

thông mạng.

Hướng dẫn bố trí RID Master:

Bố trí RID Master Roles là DC có tính sẵn sàng cao nhưng không cần hiệu suất cao.

Bố trí RID Master Roles trong Site thường xuyên tạo ra các đối tượng bảo mật.

Bố trí RID Master tại trung tâm của hệ thống mạng nếu các đối tượng bảo mật không được

tạo trong 1 Site.

Hướng dẫn bố trí Infrastructure Master:

Bố trí Infrastructure Master trên Domain Controller không yêu cầu tính sẵn sàng và hiệu

suất cao.

Không nên đặt Infrastructure Master trên DC là Global Catalog Server.

Bố trí Infrastructure Master và Global Catalog Server trong cùng Site.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

II . PHÂN TÍCH VÀ THIẾT KẾ:

1.1. Khảo sát yêu cầu thực trạng của tập đoàn EcoVN :







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.1.1. Lập bảng kế hoạch khảo sát yêu cầu triển khai, quản lý môi trường mạng của tập đoàn

EcoVN:

EcoVN là một tập đoàn chuyên cung cấp các sản phẩm về dược trên toàn quốc, có tên miền là

eco.vn. Công ty gồm hội sở và các chi nhánh như sau:

Hội sở toạ lạc tại Tp. HCM với 120 nhân viên, được chia ra làm 5 bộ phận là: Phòng Giám đốc,

Phòng Kinh doanh, Phòng Kế toán, phòng Nhân sự, Phòng CNTT. Toàn bộ nhân viên (NV) tại

hội sở đều sử dụng máy tính.

EcoVN có 2 nhà máy sản xuất: 1 đặt tại Tp. HCM và 1 đặt tại Tp. Đà Nẵng. Số lượng NV sử

dụng máy tính phục vụ cho công tác quản lý và sản xuất tại mỗi nhà máy gồm 2 bộ phận: Phòng

Kỹ thuật (20 NV) và Phòng Điều hành sản xuất (40 NV).

EcoVN có 2 Chi nhánh (CN) đảm nhận nhiệm vụ tiếp thị và phân phối sản phẩm ra thị trường: 1

văn phòng đặt tại Hà Nội có tên miền hanoi.eco.vn và 1 văn phòng đặt tại Đà Nẵng có tên

miền danang.eco.vn, tại mỗi văn phòng CN cũng có các bộ phận: Phòng Giám đốc CN,

Phòng Kinh doanh CN, Phòng Kế toán CN, Phòng CNTT CN với tổng số NV của 2 chi nhánh là

90 người (Hà nội 50 NV; Đà Nẵng 40 NV).

Công ty con kinh doanh mặt hàng trang thiết y tế, cung cấp rộng rãi cho các bệnh viện, phòng

khám trong cả nước, được đặt tên là công ty PGM có tên miền pgm.com.vn, đặt tại Tp.HCM.

PGM tự quản toàn bộ về quản lý, kinh doanh, và hệ thống mạng. Tuy nhiên, hệ thống mạng của

PGM sẽ được kết nối với hệ thống của EcoVN để truyền tải dữ liệu cũng như cho phép người

dùng của 2 hệ thống mạng này liên lạc và truy cập lẫn nhau khi cần thiết.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.1.2. Danh mục các thiết bị:

STT Tên Thiết Bị Đặc Tính Kỹ Thuật Số

Lượng

Thành Tiền







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1 HP Proliant

ML350 G6

Form factor: Tower 5U

Processor: 1 x Quad-Core Intel Xeon

Processor E5672 (3.20GHz, 12 MB L3 Cache,

95W, 1333MHz FSB)

Cache: 8MB (1 x 8MB) Level 3 cache

Chipset: Intel 5520

Advanced memory protection: Advanced

ECC; Mirroring mode; Lock-step mode

Memory capaticity: 16GB (4 x 4GB) Dual

Rank x8 PC3-10600 (DDR3-1333) Unbuffered

Khả năng nâng cấp tối đa: 144 GB (18 x 8

GB)

Raid control ler: Smart Array P411/256 2-

ports Ext PCIe x8 FIO SAS Controller (RAID 0,

1, 1+0, 5, 5+0 )

Hard Disk Drive: 6 x 146GB 6G SAS 10K

rpm SFF (2.5-inch) Dual Port Enterprise

Max storage: Hot Plug LFF SATA 8TB 8 x

1TB; Hot Plug LFF SAS 8TB 8 x 1TB; Hot Plug

SFF SATA 4.0TB 16 x 250GB; Hot Plug SFF

SAS 4.8TB 16 x 300GB

Ports: 1 x Serial; 1 x Pointing Device (Mouse);

1 x Graphics; 1 x Keyboard; 3 x Network RJ-45

(1 dedicated for ProLiant Onboard

Administrator); 6 x USB 2.0 Ports (2 front, 2

rear, 2 internal)

10 1.588.000.00

0







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Expansion slots: 6 expansion slots (1 x PCI-

Express x16 Gen2 (x8 speed); 1 x PCI-Express

x8 Gen2 (x8 speed); 4 x PCI-Express x8 Gen2

(x4 speed)

Graphics: Integrated video standard onboard

Power supply: 2 x 460W HE 12V Hotplug AC

Power Supply

Optical drive: Half-Height SATA DVD-ROM

Optical Drive

Display: HP 19" LCD

Input divice: HP Standard Keyboard, HP

optical Mouse

System managerment: Systems Insight

Manager; SmartStart; Redundant ROM;

System Firmware Update; ROMPaq; ProLiant

RBSU (ROM-Based Setup Utility); Automatic

Server Recovery-2 (ASR-2); Dynamic Sector

Repairing (with Smart Array Controller); Drive

Parameter Tracking (with Smart Array

Controller); Pre-Failure Warranty (covers

processors, memory, and SAS hard drives)

OS support: Windows, RHEL, SLES, OEL,

NetWare, VMware, and Citrix

2 Phần mềm Phần mềm Windows Server 2003

Enterprise sp2 64bit

10 216.800.000







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

3 Cisco

Router

1841SEC/K

9

Target Applications: Secure data

Form Factor: Desktop, 1-rack-unit (1RU)

Chassis: Metal

Wall-Mountable: Yes

Rack-Mountable: Yes

DRAM Capacity:

+ Default: 256 MB (DIMM) DRAM

+ Maximum: 384 MB

Flash Memory Capacity:

+ Default: 64 MB compact Flash

+ Maximum: 128 MB

Modular Slots-Total: 2

Modular Slots for WAN Access: 2

VoIP support: Voice-over-IP (VoIP) pass-

through only

Onboard Ethernet ports: 2 x 10/100

Onboard USB ports: 1 x (1.1)

Console port: 1–up to 115.2 kbps

Auxil iary port: 1–up to 115.2 kbps

Onboard AIM slots: 1 (internal)

Integrated hardware-based encryption

on motherboard: Yes

Encryption support in software and

10 751.100.000







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

hardware by default: DES, 3DES, AES 128,

AES 192, AES 256

HWIC-2SHDSL: 2-pair G.SHDSL HWIC

CAB-ADSL-RJ11: Lavender Cable for xDSL,

Straight-through, RJ-11, 1,8m







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

4 Máy tính để

bàn

Máy tính FPT-Elead

Processor: Intel Core i3-2100 (3.10GHz, 3MB

Cache, 2 core, 4 threads)

Mainboard ECS:

+ Chipset Intel H61

+ Hỗ trợ CPU: Intel Core i7, Core i5, Core

i3, Pentium, Celeron

Memory Elixir:

+ 2 GB DDR3

+ 2 x 240-pin DDR3 DIMM socket support

up to 16GB, Support DDR3 up to 1066/800

DDR3 SDRAM

Hard Disk Drive Samsung: 320 GB Serial

ATA 3.0 GB/s Hard Drive (7200 rpm)

Graphics: Integrated Intel HD graphics

Audio: RTLALC662 6-ch High Definition audio

CODEC, compliant with HD audio specification

Optical drive Samsung: Serial ATA DVD-

ROM

Communication:

+ Integrated Realtek Gigabit Ethernet

Controller

+ 56Kbps Fax modem

Slots: 4 x Serial ATA3.0, 1 x PCI Express x16

GEN 2.0 slot, 1 x PCI Express x1 slot, 2 x PCI

slots

450 3.798.000.00

0







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Ports: 1 x PS/2 Keyboard & PS/2 mouse

connector, 1 x D-sub port (VGA), 8 x USB ports

(4 internal ports, 2 x USB 2.0 headers support

additional 4 USB port), 1 x DVI port, 1 x RJ-45

port, 1 x parallel port, 1 x Audio port

Input divice: FPT Elead Standard USB

keyboard; FPT Elead USB 2-button optical

scroll mouse

Power supply: 550 watt ATX Power Supply

Monitor: FPT Elead 18.5" Wide ( Resolution:

1360x768, Dynamic Contrast: 70000:1,

Response time: 5ms, Brightness (Typical): 250

cd/m2)

Speaker: SoundMax 2.1 with SubWoofer

5 Bộ lưu điện Santak Offl ine 500VA UPS

Rated Power: 500VA/300W

Input:

+ Nominal Voltage: 220Vac

+ Voltage Window: 165-265Vac

+ Generator Compatibility: Yes

Output on battery mode:

+ Voltage: 220Vrms ± 10%

+ Frequency: 50Hz ± 1Hz

+ Wave-form: Step-wave

450 414.900.000







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Battery:

+ Type: Sealed Lead-Acid, Maintenance

free (Panasonic)

+ Capacity: 1 x 12V7.0Ah

+ Back-up time (half load) ≥ 7 min

+ Recharging time 10 hr max.

LED indicators: Status: Normal, Back up,

Battery low, Fault

6 Máy in HP LaserJet P2055dn

Printing speed: up to 33 ppm (A4)

Fist page out: Less than 8.0 seconds from

Sleep mode (letter and A4)

Resolution: Up to 1200 x 1200 dpi; HP

FastRes 1200

Processor: 600 MHz

Memory: 64 MB, expandable to 320 MB

Network kết nối qua Port RJ 45

Trays: 50-sheet multipurpose tray 1, 250-

sheet tray 2, Output 150-sheet output bin

Duplex printing: Automatic

Control panel: 2-line, 16-character front-

panel monochrome-LCD display, 5 buttons (Up

arrow, Down arrow, Select, Return, Cancel), 2

LEDs (Attention, Ready)

120 1.109.400.00

0







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Inteface: Hi-Speed USB 2.0 port

7 Switch WS-C3750-48PS-S

Số cổng kết nối 48 port

Tốc độ truyền dữ liệu 10/100Mps

Chuẩn giao t iếp IEEE 802.3

Giao thức Routing TCP, IGRP,Rip-1-2

Nguồn 120-230v AC/50-60Hz

10 948.600.000

8 Switch Cisco Catalys 2960S-24TS-S

Ports: 24 x Ethernet 10/100/1000, 2 x 1 GbE

SFP ports uplink

Forwarding Bandwidth: 50 Gbps

Flash Memory: 64 MB

Memory DRAM: 128 MB

Max VLANs: 64

VLAN IDs: 4000

Maximum Transmission Unit (MTU): up

to 9000 bytes

Jumbo Frames: 9216 bytes

Forwarding Rate: 38.7 mpps

6 194.400.000







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Resource:

+ Unicast MAC Addresses: Default: 8000

+ IPv4 IGMP Groups: Default: 256

+ IPv4 MAC QoS Access Control Entries

(ACEs): Default: 128

+ IPv4 MAC Security ACEs: Default: 384

Indicators:

+ Per-port status: Link integrity, disabled,

activity, speed, and full duplex

+ System status: System, link status, link

duplex, and link speed

9 Firewall Cisco Asa 5510

Firewall Throughput lên đến 150Mps

Maximum firewall and Ips Throughput

lên đến 75Mps với AIP SSC-5

VPN Throughtput lên đến 100Mps

Sessions 10.000/25.000

8 port Fastethernet (có 2 PoE

Ipsec VPN Peers 10;25

6 220.200.000

10 Phần mềm

Diệt Virus

Phần mềm Koss Server

340 user

1 150.000.000

11 Phần mềm

Backup

Phần mềm HP Backup 1 25.000.000







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Tổng cộng 9.416.400.00

0

1.1.3. Phân bố máy chủ cho hệ thống mạng vai trò và dịch vụ:

Khu vực Vai Trò Dịch Vụ An Ninh Mạng

Hội sở - Eco HCM

• 1 server làmRoot

• 1 Server làm Additional

Root

• Active Directory

• DNS

• FTP

• IIS

• Koss

• Hp backup Root

• Cisco Firewall Asa

5510

Nhà máy HCM

• 1 Server làm Additonal về

Hội Sở


• DNS

• FTP

• Koss Server

• Hp backup Root


5510

Chi nhánh Đà

Nẵng

• 1 Server làm Domain

Controler (child domain)



• DNS

• FTP

• Koss Server

• Hp backup Root


5510

Nhà máy Đà Nẵng


về CN Đà Nẵng


• DNS

• FTP

• Koss Server

• Hp backup Root


5510

Chi nhánh Hà Nội • 1 Server làm Domain

Controller



• DNS

• FTP


5510







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Koss Server

• Hp backup Root

Cty PGM

• 1 Server làm Domain

Controller



• DNS

• FTP

• IIS

• Koss Server

• Hp backup Root


5510

1.2. Thiết kế mô hình hệ thống mạng tổng thể:

1.1. Lập bảng thiết kế mô hình tổng thể:

Hình III.1.2.1.1: Sơ đồ mô hình mạng tổng thể

1.3. Thiết kế sơ đồ luận lý và vật lý của kiến trúc Active Directory:







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.1. Lập bảng thiết kế sơ đồ luận lý







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình III.1.3.1.1: Sơ đồ luận lý

1.2. Lập bảng thiết kế sơ đồ vật lý:

Hình III.1.3.2.1: Sơ đồ vật lý







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.3. Lập bảng thiết kê sơ đồ tổ chức:

Hình III.1.3.3.1: Sơ đồ tổ chức







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.4. Bảng thu hoạch IP:

I I I. TRIỂN KHAI THỰC HIỆN:

1.1 Triển khai quản lý môi trường mạng dựa theo bảng khảo sát yêu cầu trên nền Server 2003:

1.1. Triển khai hệ thống Domain cho ECOVN và PGM:

Cấu hình IP:

• Tại màn hình Desktop click phải vào Network Connections chọn Properties.


IP Router DC User

Hội sở HCM (160 user)

192.168.1.0/24

SM: 255.255.255.0

Outside: 172.16.1.10/29

Inside :192.168.1.1/24

192.168.1.10 192.168.1.20-192.168.1.170

SM:255.255.255.0

NM ECO HCM

(60 user)

192.168.2.0/26

SM: 255.255.255.192

Outside: 172.16.1.10/29

Inside: 192.168.2.2/26

192.168.2.10/26 192.168.2.20-192.168.2.90

SM: 255.255.255.192

NM ECO ĐàN ngẵ

(60 user)

192.168.3.0/26

SM: 255.255.255.192

Outside: 172.16.1.11/29

Inside: 192.168.3.3/26

192.168.3.10/26 192.168.3.20-192.168.3.90

SM: 255.255.255.192

CN HÀ N iộ

(90 user)

192.168.4.0/25

SM: 255.255.255.128

Outside: 172.16.1.11/29

Inside: 192.168.4.4/25

192.168.4.10/25 192.168.4.20-192.168.4.120

SM: 255.255.255.128

CN ĐÀ N ngẵ

(90 user)

192.168.5.0/24

SM: 255.255.255.0

Outside: 172.16.1.11/29

Inside: 192.168.5.5/24

192.168.5.10/24 192.168.5.20-192.168.5.120

SM: 255.255.255.128

Cty PGM

(160 user)

192.168.6.0/24

SM: 255.255.255.0

Outside: 172.16.1.11/29

Inside: 192.168.6.6/24

192.168.6.10/24 192.168.6.20-192.168.6.170

SM: 255.255.255.0






Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.1: Network Connections

• Cấu hình địa chỉ cho Wan (là PC route các lớp mạng và kết nối với các site khác).







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.2: Cấu hình IP cho card Wan

• Cấu hình IP cho hội sở ( IP này như là Default Gate Way cho hội sở )







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.3: Cấu hình IP cho Hội sở HCM







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Tiếp theo ta cấu hình IP Gateway cho từng Site (NM-HCM, CN-Hà Nội)

• Cấu hình IP cho CN-Hà Nội:

Hình IV.1.1.1.4: Cấu hình IP cho CN-Hà Nội







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Cấu hình IP cho NM-HCM:

Hình IV.1.1.1.5: Cấu hình IP cho NM-HCM







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cấu hình Routing các lớp mạng:

• B1: Start Menu Programs Administrative tools Routing and Remote Access

Hình IV.1.1.1.6: Routing and Remote Access







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• B2: Bật tính năng trong Configure and Enable Routing and Remote Access

Hình IV.1.1.1.7: Configure and Enable Routing and Remote Access

• Routing Lan từ trong ra ngoài.

• Chọn Custom Configuration Nhấn Next để tiếp tục cấu hình.







Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.8: Chọn Custom configuration

• Check vào LAN routing Nhấn Next để tiếp tục cấu hình.

Hình IV.1.1.1.9: Chọn LAN Routing





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Nhấn Finish để hoàn tất quá trình cấu hình.

Hình IV.1.1.1.10: Cấu hình hoàn tất

• Click phải General.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.11: Cấu hình General

• Chọn New Routing Protocol…

Hình IV.1.1.1.12: Chọn New Routing Protocol…

• Chọn RIP Version 2 for Internet Protocol OK để tiếp tục.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.13: Chọn RIP Version 2 for Internet Protocol

• Click phải RIP Version 2 chọn New Interface…

Hình IV.1.1.1.14: Chon New Interface…





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chọn card mạng Wan OK.

Hình IV.1.1.1.15: Giao diện New Interface

• OK để tiếp tục





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.16: Cấu hình card mạng Wan

Hình IV.1.1.1.17: Add card Wan vào thành công

Hình IV.1.1.1.18: Kiểm tra ping thử tới các Site khác thành công





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cấu hình ROOT ( inet.vn ):

• Cấu hình IP cho máy Root

Hình IV.1.1.1.19: Giao diện Network Connections của máy Root





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.20: Cấu hình IP cho máy Root





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Cài đặt dịch vụ DNS:

• Control Panel Add or Remove Programs Add/Remove Windows Components.

Hình IV.1.1.1.21: Control Panel

• Check vào dịch vụ Networking Services Nhấn Next để tiếp tục.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.22: Chọn Networking Services

• Check vào Domain Name System (DNS) OK.

Hình IV.1.1.1.23: Chọn Domain Name System (DNS)





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Tạo DNS Root cho eco.vn

Hình IV.1.1.1.24: Giao diện DNS Hội Sở

• Cấu hình Forward Lookup Zones

Click phải Forward Lookup Zones chọn New Zone…





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.25: Forward Lookup Zones

Chọn Primary zone Nhấn Next tiếp tục cấu hình.

Hình IV.1.1.1.26: Zone Type (Forward Lookup Zones)

Nhập tên Zone name trùng với tên Domain Nhấn Next tiếp tục cấu hình.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.27: Zone Name (Forward Lookup Zones)

Mặc định hệ thống sẽ tạo Nhấn Next tiếp tục cấu hình.

Hình IV.1.1.1.28: Zone File (Forward Lookup Zones)





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Chọn Allow both … Nhấn Next tiếp tục cấu hình.

Hình IV.1.1.1.29: Dynamic Update (Forward Lookup Zones)

Nhấn Finish để hoàn tất quá trình cấu hình.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.30: Cấu hình Forward Lookup Zones hoàn tất

Hình IV.1.1.1.33: Eco.vn đã được tạo trong Forward Lookup Zones

• Cấu hình Reverse Lookup Zones:

Click phải Reverse Lookup Zone chọn New Zone…





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.34: Reverse Lookup Zones

Chọn Primary zone Nhấn Next tiếp tục cấu hình.

Hình IV.1.1.1.35: Zone Type (Reverse Lookup Zones)

Nhập vào địa chỉ IP (Netword ID) Nhấn Next để tiếp tục cấu hình.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.36: Reverse Lookup Zone Name

Mặc định hệ thống sẽ tạo Nhấn Next để tiếp tục cấu hình.

Hình IV.1.1.1.37: Zone File (Reverse Lookup Zones)

Chọn Allow both … Nhấn Next tiếp tục cấu hình.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.38: Dynamic Update (Reverse Lookup Zones)

Nhấn Finish để hoàn tất cấu hình.

Hình IV.1.1.1.39: Completing the New Zone Wizard





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Tạo New Host(A) (nơi đặt máy chủ Root )

Hình IV.1.1.1.40: Tạo New Host(A)…

Nhập tên Host và địa chỉ IP vào

Check chọn Create associated pointer (PTR) record để tạo record cho phần Reverse

Lookup Zone Nhấn Add Host để hoàn tất.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.41: Cấu hình New Host(A)

Triển khai hệ thống Domain cho ECOVN:

• Vào Start Run gõ lệnh: “dcpromo” để mở hộp thoại Wizard cài đặt Domain Nhấn Ok để

tiếp tục cài đặt.

Hình IV.1.1.1.42: Lệnh cài đặt Domain





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.43: Giao diện cài đặt Domain

• Nhấn Next để tiếp tục tiến trình cài đặt.

Hình IV.1.1.1.44: Khả năng tương thích với hệ thống





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chọn Domain controller for a new domain Nhấn Next.

Hình IV.1.1.1.45: DC cho 1 Domain mới

• Chọn Domain in a new forest Nhấn Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.46: Domain trong Forest mới

• Nhập tên Domain (ở đây ta nhập Eco.vn) Nhấn Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.47: Nhập tên Domain


Hình IV.1.1.1.48: NetBIOS Domain Name






Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.49: Database and Log Folders

• Nhấn Next tiếp tục tiến trình cài đặt

Hình IV.1.1.1.50: Shared System Volume





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chọn dòng thứ 3 vì đã cài đặt DNS trước đó rồi Nhấn Next.

Hình IV.1.1.1.51: DNS Registration Diagnostics

• Chọn dòng thứ 2 Nhấn Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.52: Permissions

• Nhập mật khẩu bảo vệ Nhấn Next.

Hình IV.1.1.1.53: Directory Services Restore Mode Administrator Password

• Quá trình tạo Domain đang được tiến hành.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.54: Quá trình tạo Domain đang tiến hành

• Nhấn Finish để hoàn tất Hệ thống sẽ tự động Restart lại máy để hoàn tất.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.55: Quá trình tạo Domain hoàn tất

Hình IV.1.1.1.56: Logon vào Domain inet.vn





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.57: Mở Active Directory Users and Computers để kiểm tra

Triển khai hệ thống Domain cho PGM:

• Cấu hình IP cho công ty PGM:

Hình IV.1.1.1.58: Network Connections PGM





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.59: Cấu hình IP cho PGM

• Join công ty PGM vào Domain Eco.vn:

• Click phải My Computer Properties Mở Tab Computer Name

• Member of Domain: Nhập tên Domain eco.vn OK





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.60: Nhập tên Domain muốn Join

• Nhập Username và Password để tiến hành Join vào Domain OK





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.61: Hộp thoại cho phép Join vào Domain

• Nhấn OK để tiến hành Join vào Domain eco.vn.

Hình IV.1.1.1.62: Wellcome to the eco.vn Domain

• Sau khi gia nhập Domain eco.vn ta tiến hành lên Domain Tree in Forest

• Start Menu Run: dcpromo OK

Hình IV.1.1.1.63: Cài đặt Domain Tree





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chọn Domain Controller for a new domain Nhấn Next.

Hình IV.1.1.1.64: Tạo DC cho Domain mới

• Chọn Domain tree in an existing forest Nhấn Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.65: Tạo Domain Tree trong Forest hiện tại

• Nhập vào User name, Password và Domain Nhấn Next.

Hình IV.1.1.1.66: Cung cấp thông tin về User name và Password





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Nhập tên Domain Tree Nhấn Next.

Hình IV.1.1.1.67: New Domain Tree

• Sau khi cài đặt thành công Logon vào Domain eco.vn

Hình IV.1.1.1.68: Logon vào Domain eco.vn





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Dựng DNS cho PGM:

Hình IV.1.1.1.69: Xây dựng DNS PGM

• Cấu hình Forward Lookup Zones

• Click phải Forward Lookup Zones chọn New Zone Hộp thoại Wizard xuất hiện Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.70: Bắt đầu cấu hình Forward Lookup Zones PGM

Hình IV.1.1.1.71: Zone Type (Forward Lookup Zones)





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Các bước cấu hình sau tương tự như của Domain ECOVN

Hình IV.1.1.1.72: pgm.com.vn đã tạo trong Forward Lookup Zones

• Cấu hình Reverse Lookup Zones

• Click phải Reverse Lookup Zones chọn New Zone…





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.73: Bắt đầu cấu hình Reverse Lookup Zones PGM

• Nhập địa chỉ IP (Netword ID) Nhấn Next.

Hình IV.1.1.1.74: Reverse Lookup Zone Name

• Chọn Allow both… Nhấn Next để tiếp tục cấu hình.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.1.75: Dynamic Update

• Các bước cấu hình còn lại tương tự như Domain ECOVN.

1.2. Triển khai phân bố các Roles trên AD sau cho phù hợp và an toàn:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.2.1: Sơ đồ vật lý triển khai Master Roles

1.3. Triển khai các Sites:

• Dùng công cụ Active Directory Sites and Services





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.3.1: Active Directory Sites and Services

• Tại mục Site ta tiến hành chia Site như hình:

• Mặc định ban đầu là Default-First-Site-Name.

Hình IV.1.1.3.2: Các Site đã được chia

• Click phải Site chọn New Site.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.3.3: Phân bố các Site

• Hộp thoại New Object – Site: Trong mục Name ta tiến hành đặt tên Site cần chia, tại mục

Linh Name ta chọn vào DEFAULTIPSITELINK, sau đó nhấn OK.

Hình IV.1.1.3.4: Đặt tên cho Site





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Sau khi tạo Site mới xong ta tiến hành Move Domain Controller tương ứng vào Site vừa tạo.

• Click phải vào DC cần Move Chọn Move

Hình IV.1.1.3.5: Move Domain Controller vào Site

• Tại hộp thoại Move Server chọn vào Site tương ứng, chọn OK.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.3.6: Chọn Site tương ứng trong Move Server

• Sau khi tiến hành Move ta đã thấy tách ra một Site mới kết hợp với một Domain Controller.

Hình IV.1.1.3.7: Một Site đã được Move qua Domain Controller

• Tương tự ta tiến hành chia các Site còn lại như hình bên dưới.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.3.8: Các Site đã được chia hoàn tất

• Tiếp theo ta tiến hành chia Subnet cho các Site vừa tạo, tại mục Subnet.

Hình IV.1.1.3.9: Chia Subnet





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Tại mục Subnet Click phải chọn New Subnet.

Hình IV.1.1.3.1: Tạo Subnet mới

• Tại hộp thoại New Object-Subnet, ta điền vào địa chỉ IP, Subnet Mask cho từng Site tương

ứng.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.3.11: Điền địa chỉ IP, Subnet Mask cho từng Site tương ứng

• Tương tự ta tiến hành chia Subnet cho các Site còn lại.

Hình IV.1.1.3.12: Các Site đã được chia Subnet

Global Catalog:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Tại công cụ quản lý Active Directory Sites and Services, tại mục NTDS Settings Properties

của máy chủ HS-HCM, trong site HOISO-HCM, chức năng Global Catalog mặc định đã được

bật.

Hinh IV.1.1.3.13: Tính năng Global Catalog

• Ở đây trong môi trường Forest ta muốn đồng bộ máy chủ từ Site NHAMAY-HCM tới máy

chủ trong Site, HOISO-HCM, click phải lên NTDS Settings Properties của máy chủ trong Site

NHAMAY-HCM, check vào mục Global Catalog, nhấn OK.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.3.14: Check vào Global Catalog

• Sau khi bật chức năng Global Catalog, kiểm tra lại ta thấy các máy chủ trong các Site đã liên

kết.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.3.15: Các máy chủ trong các Site đã được bật lên

1.4. Phân bố các đối tượng trong AD: Ous, Users, Groups, Computers, …

Tại Hội sở Eco – HCM:

Hình IV.1.1.4.1: OU tại HS-HCM

Tại chi nhánh Đà Nẵng:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.4.2: OU tại Đà Nẵng

Tại chi nhánh Hà Nội:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.4.3: OU tại Hà Nội

1.5. Triển khai các GPOs cho hệ thống theo yêu cầu chính sách nhóm mà tập đoàn đặt ra:

1.1.6.1. Lên danh sách các GPOs hợp lý cho công ty:

Triển khai Deploy Office cho các máy Client.

Cấm User thao tác trên RUN.

Giới hạn phần mềm User được phép sử dụng.

Tạo GPO Maping.

1.1.6.2. Triển khai các GPO:

Deploy Office:

• Dùng công cụ Group Policy Management để triển khai Deploy Office 2k3.

Hình IV.1.1.6.1: Chọn Group Policy Objects





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Tại hộp thoại New GPO trong mục Name ta nhập tên GPO tương ứng để dễ

dàng quản lý -> OK.

Hình IV.1.1.6.3: Nhập tên GPO tương ứng

• Click phải lên mục GPO vừa tạo chọn Edit.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.4: Edit lại GPO vừa tạo

Hình IV.1.1.6.5: Group Policy Object Editor





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Tại mục Sofware installation click phải chọn New -> Package…

Hình IV.1.1.6.6: Chọn Package…

• Chọn đường dẫn đến nơi lưu trữ gói cài đặt ta chọn ở đây là PRO11.MSI, sau

đó nhấn Open.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.7: Đường dẫn nơi lưu trữ gói cài đặt

• Sau khi nhấn Open ta thấy hộp thoại Deploy Software xuất hiện chọn Advanced

-> OK.

Hình IV.1.1.6.8: Hộp thoại Deploy Software

• Tại Tab Deployment -> chọn Assigned -> Check vào mục Uninstall this

application when it falls out of the scope of management và Install this

application at logon -> nhấn OK.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.9: Lựa chọn triển khai

• Tại Tab Modifications, chọn vào Add.

Hình IV.1.1.6.10: Tùy chỉnh gói phần mềm





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chọn đường dẩn đến nơi lưu trữ File New Custom file.MST đã tạo ban đầu rồi

chọn Open.

Hình IV.1.1.6.11: Mở File New Custom Setup File.MST

• Sau khi chọn Open ta thấy trong mục Modifications hiện lên đường dẩn file

MST vừa chọn.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.12: Đường dẫn File MST đã được add vào Modifications

• Sau khi chọn xong, lúc này trong hộp thoại Group Policy Object Editor, trong

mục Software installation, có một GPO được hình thành.

Hình IV.1.1.6.13: GPO đã tạo thành công





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Lúc này trên tại cửa sổ Group Policy Management , tại OU P.KETOAN, click

phải chọn Link Existing GPO….

Hình IV.1.1.6.14: Link an Existing GPO…

• Tại mục Select GPO ta chọn vào mục Deloy office 2k3, nhấn OK.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.15: Chọn GPO muốn áp đặt

• Kiểm tra lại ta thấy một GPO đã được gán cho P.KETOAN.

Hình IV.1.1.6.16: GPO đã được gán cho OU P.KETOAN

• Để GPO đó thực thi ngay ta vào Run gõ lệnh gpupdate /force.

Hình IV.1.1.6.17: Cập nhật lại GPO





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Kiểm tra tại máy Client vói tài khoản User đã tạo cho phòng ban đó, sau khi

máy Client đã gia nhập Domain (Eco).

Hình IV.1.1.6.18: Đăng nhập bằng tài khoản User đã tạo để kiểm tra

• Khi máy Client đăng nhập vào ta thấy chương trình Office 2k3 đang tiến hành

cài đăt lên máy Client từ máy chủ.

Hình IV.1.1.6.19: Software đang được cài đặt





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Sau khi máy client đăng nhập thanh công ta vào mục All Programs -> Microsoft

Office, đã cài xong phần Word.

Hình IV.1.1.6.20: Phần mềm đã được cài đặt

• Tương tự triển khai cho các OU khác.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cấm RUN:

Hình IV.1.1.6.21: Triển khai trên OU P.NHANSU





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.22: New GPO cấm sử dụng Run

Hình IV.1.1.6.23: Edit GPO vừa tạo





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chọn User Configuration -> chọn Start menu and Taskbar -> Chọn Remove

Run menu from Start Menu -> Click phải Properties chọn Enable.

Hình IV.1.1.6.24: Remove Run menu from Start Menu





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.25: Chọn Enable






Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.27: Logon vào kiểm tra

Hình IV.1.1.6.28: Run đã bị Remove

Giới hạn phần mềm:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Tại GPO này chúng ta chỉ cho phép các ứng dụng nào được Add vào danh

sách mới được phép chạy còn lại thì không cấp phép.

Hình IV.1.1.6.29: New GPO Giới hạn sử dụng phần mềm

• Nhấn Ok -> Click phải vào GPO chon Edit…





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.30: Chỉnh sửa Run only allowed Windows applications

Hình IV.1.1.6.31: Chọn Show





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Add Item của những ứng dụng mà bạn muốn cho phép User sử dụng -> OK.

Hình IV.1.1.6.32: Add Item chạy của 1 ứng dụng





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.33: GPO đã được tạo thành công


Hình IV.1.1.6.35: Logon User nv2 để kiểm tra





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.36: Chon ứng dụng IE

Hình IV.1.1.6.37: Chương trình chạy thành công

• Vì IE đã được add vào GPO.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.38: Chạy Calculator

Hình IV.1.1.6.39: Không thể mở ứng dụng

• Vì Calculator chưa được Add vào GPO.

Tạo GPO Maping:

• Trước tiên ta tạo 2 Folder và chọn Share Full Control.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.40: Tạo Folder và Share

• Tạo File .bat với nội dung như hình bên dưới.

Hình IV.1.1.6.41: Tạo File .bat





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Mở GPO Management chọn OU P.Ke toan, chọn New GPO

Hình IV.1.1.6.42: New GPO Map Driver

• Click phải vào GPO mới tạo, chọn Edit…





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.43: Edit GPO vừa tạo

• Chọn Scripts -> Chọn Logon Properties.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.44: Logon Properties

Hình IV.1.1.6.45: Chọn Show Files…





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.46: Copy file Mapdirver.bat vào thư mục vừa Show

• Tiếp theo nhấn Add để thêm file Mapdriver.bat vào Scripts, sau đó Open.

Hình IV.1.1.6.47: Chọn file Mapdriver.bat





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• File Mapdriver.bat đã được Add vào, nhấn Apply OK.

Hình IV.1.1.6.48: file Mapdriver.bat đã được Add





Tel: (848) 6267 8999 - Fax: (848) 6283 7867


• Vào thư mục bên Root Eco tạo file bất kì

Hình IV.1.1.6.50: Tạo file bên Eco





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.6.51: Logon Client vào Eco.vn

Hình IV.1.1.6.52: File test.txt đã được tạo bên





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.6. Xây dựng hệ thống Antivirus và WSUS (hệ thống cập nhật của MS)

1.1.7.1. Tổng quan mô hình quản trị Kaspersky Enterprise Server:

Hình IV.1.1.7.1.1: Mô hình quản trị Kaspersky Enterprise

Kaspersky là một phần mềm diệt virus nổi tiếng của Nga. Nếu bạn muốn dùng phần mềm

này cho doanh nghiệp của bạn với số lượng máy lớn mà mua bản quyền cho từng máy trạm thì

lượng kinh phí sẽ rất cao và không quản lý tập trung được. Để đáp ứng nhu cầu doanh nghiệp

như vậy, kaspersky có đưa ra một bộ Anti-virus : Kaspersky OpenSpace Security (KOSS) cho

doanh nghiệp, qua đó giảm thiểu chi phí mua bản quyền và có thể quản lý tập trung. Có 4 loại

KOSS sau:

KOSS 1: chỉ dành cho máy tính của doanh nghiệp sử dụng hệ điều hành không phải là

Server:

• Workstations

• Administration Kit





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

KOSS 2: dành cho máy tính làm workstation & file server (có hệ điều hành là Server).

• Workstations

• Administration Kit

• File Server

KOSS 3: giống như KOSS 2 nhưng thêm tính năng bảo vệ cho mail server. Kaspersky®

KOSS 4: giống như KOSS 3 nhưng thêm tính năng bảo vệ cho Internet Gateway.

Nếu công ty bạn có nhiều chi nhánh. Đường truyền giữa các chi nhánh đã được thông.

Bạn có thể cấu hình cho Admin Kit hoạt động theo mô hình Master – Slave:

Tại mỗi chi nhánh sẽ có một Server dùng cài đặt Admin Kit. Các Server này sẽ quản lý

Kaspersky tại các máy tính trong chi nhánh đó. Bạn sẽ cấu hình Admin Kit tại các chi

nhánh hoạt động ở chế độ Slave.

Trụ sở chính sẽ có một Server dùng cài Admin Kit. Admin Kit này sẽ quản lý Kaspersky

tại các máy tính ở trụ sở chính. Bạn sẽ cấu hình Admin Kit này hoạt động ở chế độ

Master.

Khi bạn cấu hình thành công mô hình Master-Slave, lúc dó Admin Kit Master sẽ

quản lý được Admin Kit Slave.

Từ trụ sỡ chính bạn sẽ quản lý được Kaspersky tại tất cả các văn phòng, chi nhánh.

1.1.7.2. Cài đặt các Kaspersky Admin Kit Server tại trụ sở chính và các chi nhánh:

Các bước cài đặt Kaspersky Admin Kit Server:

Chuẩn bị phần mềm:

• Msde2ksp3en.exe (Phần mềm hổ trợ SQL)

• Kasp8.0.2134_adminkiten.exe (Source cài đặt Kaspersky)

Tiến trình cài đặt:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chạy File Msde2ksp3en.exe cài hổ trợ SQL:

Hình IV.1.1.7.2.1: Setup file msde2ksp3en.exe

• Double Click vào file msde2ksp3en.exe màn hình cài đặt xuất hiện

Hình IV.1.1.7.2.2: Giao diện cài đặt msde2ksp3en

• Nhấn Next để tiếp tục tiến trình cài đặt





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.3: Nhập thông tin

• Khai báo User name và Company Name Nhấn Next để tiếp tục cài đặt.

Hình IV.1.1.7.2.4: Chọn vùng lưu trữ





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chọn đường dẫn lưu trữ SQL Nhấn Next để tiếp tục tiến trình cài đặt.

Hình IV.1.1.7.2.5: MSDE 2000 Instance Name

• Check vào Default để cài đặt mặc định Nhấn Next để tiếp tục cài đặt.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.6: Start Copying Files

• Review lại những tính năng đã chọn Nhấn Next để tiếp tục tiến trình cài đặt.

Hình IV.1.1.7.2.7: Setup Status

• Tiến trình cài đặt bắt đầu.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.8: InstallShield Wizard Complete

• Tiến trình cài đặt hoàn tất -> Nhấn Finish để hoàn tất.

Tiếp tục cài đặt file Kasp8.0.2134_adminkiten.exe:

Hình IV.1.1.7.2.9: Setup file Kasp8.0.2134_adminkiten

• Double Click vào flie Kasp8.0.2134_adminkiten màn hình cài đặt xuất hiện.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.10: Giao diện Setup của Kasp8.0.2134_adminkiten


Hình IV.1.1.7.2.11: Location to Save Files





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chọn đường dẫn để lưu file giải nén (để mặc định) Next

Hình IV.1.1.7.2.12: Extracting Files

• Tiến trình giải nén bắt đầu.

Cài đặt .Net Framework 2.0 có sẵn trong quá trình cài đặt

Hình IV.1.1.7.2.13: Thông báo cài đặt .Net Framework 2.0

• Nhấn Yes để bắt đầu tiến trình cài đặt.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.14: Setup .Net Framework 2.0

• Chọn I have read and ACCEPT… Nhấn Install để bắt đầu cài đặt.

Hình IV.1.1.7.2.15: Setup Complete

• Tiến trình cài đặt hoàn tất nhấn Exit để thoát.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Vào đường dẫn giải nén File Adminkit 8.0 chạy File Setup:

Hình IV.1.1.7.2.16: Cài đặt Adminkit 8.0

Hình IV.1.1.7.2.17: Giao diện cài đặt Adminkit 8.0





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Nhấn Next để tiếp tục cài đặt.

Hình IV.1.1.7.2.18: License Agreement

• Nhấn Yes để đồng ý và tiếp tục tiến trình cài đặt





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.19: Select Installation Type

• Chọn Standard (recommended) -> Next

Hình IV.1.1.7.2.20: Network Size

• Chọn From 100 to 1000 computers in the network (vì số lượng User tại các Site

của Cty lớn hơn 100) Next





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.21: Start Copying Files

• Review lại những tính năng đã lựa chọn Next

Hinh IV.1.1.7.2.22: Tiến trình cài đặt SQL





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Tiến trình cài đặt SQL bắt đầu

Hình IV.1.1.7.2.23: Kiểm tra các phần mềm cần thiết trước khi cài đặt





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.24: Cài đặt chương trình





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.25: Tình trạng cài đặt

Hình IV.1.1.7.2.26: Cài đặt hoàn tất

• Cài đặt SQL và Source Kaspersky Server hoàn tất Finish.

• Tiếp theo ta cài đặt Admin Kaspersky theo Wizard.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.27: Setup Admin Kaspersky theo Wizard

Hình IV.1.1.7.2.28: Nhập bản quyền

• Chọn Add Licsen Later vì chưa có Bản Quyền Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.29: Network Discovery

• Nhấn Next để tiếp tục.

Hình IV.1.1.7.2.30: Notifications (Email)





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Khai báo các thông số Email khi có sự cố sẽ gửi Mail tới cho Admin Next.

Hình IV.1.1.7.2.31: Thiết lập cấu hình ban đầu

• Quá trình cài đặt bắt đầu Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.2.32: Update

• Nhấn Next để tiếp tục cài đặt

Hình IV.1.1.7.2.33: Initial setup is complete

• Hoàn thành việc cài đặt -> Finish.

1.1.7.3. Triển khai Network Agent cho các máy trạm:

Cài Server cho các máy trạm ( tại đây cài cho NM-HCM )





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.3.1: Giao diện Deployment Wizard


Hình IV.1.1.7.3.2: Chọn ứng dụng cài đặt

• Chọn Kaspersky Anti-Virus 6.0 for Windown Server MP4 Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.3.4: Chọn máy tính để triển khai

• Chọn Computer để Deployment vì NM-HCM nằm trong Site của Root nên ta

chọn cài đặt trước Next

Hình IV.1.1.7.3.5: Chọn máy mục tiêu





Tel: (848) 6267 8999 - Fax: (848) 6283 7867


Hình IV.1.1.7.3.6: Cài đặt triển khai công việc


Hình IV.1.1.7.3.7: Bản quyền





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Ta chưa có License nên nhấn Next.

Hình IV.1.1.7.3.8: Cảnh báo về License

• License không xác định hoặc hết hạn. Bạn có muốn tiếp tục cài đặt? Chọn

Yes để tiếp tục.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.3.9: Restart Computer

• Cài xong sẽ tự động 30 phút Restart Next.

Hình IV.1.1.7.3.10: Loại bỏ các ứng dụng không tương thích






Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.3.11: Di chuyển máy tính

• Chọn Move unassigned computers to the group Next

Hình IV.1.1.7.3.12: Chọn tài khoản truy cập

• Tới bước này ta chọn Add tên miền và Password của Admin vào.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.3.13: Add Account Domain và Password

• Vì trong môi trường Domain ta phải khai báo thông tin như hình trên OK

Next

Hình IV.1.1.7.3.14: Sẵn sàng để triển khai





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.3.15: Bắt đầu việc triển khai

• Quá trình Deployment bắt đầu Next





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.3.16: Tiến trình Deployment qua Network





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.3.17: Bảng View Detailed Result

Hình IV.1.1.7.3.18: Triển khai xuống NM-HCM thành công

• Tại NM-HCM ta đã thấy Source được chép từ máy HS-HCM





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.3.19: Quá trình cài đặt thành công

Hình IV.1.1.7.3.20: Giao diện Kaspersky bên NH-HCM

1.1.7.4. Triển khai phần mềm Anti-virus Workstaion 6.0 cho các máy trạm:

Ta triển khai tương tự như phần Network Agent bên trên, nhưng tại hộp thoại

Installat ion package ta chọn Kaspersky Anti-Virus 6.0 for Windown Work

stations MP4.

1.1.7.5. Triển khai WSUS:

Yêu cầu cài đặt:

• MMC 3.0

• .NET FRAMEWORK 2.0

• PowerShell





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• IIS 6.0

• ASP.NET

• WSUSSETUP SP1.EXE

Cài đặt và triển khai:

Cài đặt MMC 3.0 Sp2 (theo phiên bản Server 2k3 sp2):

Hình IV.1.1.7.5.1: Thư mục cài đặt MMC 3.0





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.2: Setup phần mềm MMC 3.0

Hình IV.1.1.7.5.3: Giao diện Setup MMC 3.0





Tel: (848) 6267 8999 - Fax: (848) 6283 7867


Hình IV.1.1.7.5.4: Chấp nhận cài đặt

• Chọn I Agree Next





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.5: Updating Your System


Cài đặt PowerShell:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.7: Thư mục chứa phần mềm Powershell

Hình IV.1.1.7.5.8: Setup phần mềm Powershell

Hình IV.1.1.7.5.9: Giao diện cài đặt Powershell





Tel: (848) 6267 8999 - Fax: (848) 6283 7867



• Chọn I Agree Next





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.11: Updating Your System


Cài đặt ASP.NET và IIS6.0:

• Start Menu Control Panel Add or Remove Programs Add/Remove

Windows Components Wizard.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.13: Chọn Application Server

• Check vào Application Server.

Hình IV.1.1.7.5.14: Chọn cài đặt ASP.NET





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.15: Cài đặt ASP.NET và IIS 6.0

Hình IV.1.1.7.5.16: Lựa chọn cài đặt hoàn tất






Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.17: Tiến trình cài đặt đang được thực hiện

Hình IV.1.1.7.5.18: Cài đặt ASP.NET và IIS 6.0 hoàn tất





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Cài đặt Source WSUSSETUP SP1.EXE:

Hình IV.1.1.7.5.19: Cài đặt phần mềm WSUSSETUP SP1.EXE

Hình IV.1.1.7.5.20: Giao diện cài đặt WSUS





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.21: Lựa chọn chế độ cài đặt

• Chọn Full server installation … vì cài mới Next.






Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chọn I accept the terms… Next.

Hình IV.1.1.7.5.23: Thành phần cần thiết để sử dụng giao diện quản trị






Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.24: Nơi lưu trữ WSUS

• Có phân vùng trống ít nhất là 6GB Next.

Hình IV.1.1.7.5.25: Tùy chọn lưu trữ Database

• Tạo Database mới Next.





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.26: Kết nối với máy chủ SQL

• Đồng bộ với máy chủ SQL của Hội Sở Next

Hình IV.1.1.7.5.27: Chọn Web Site





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chọn Create a Windows Server Update Services 3.0 SP1 Web Site Next.

Hình IV.1.1.7.5.28: Sẵn sàng cài đặt WSUS






Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.29: Quá trình cài đặt đang tiến hành

Hình IV.1.1.7.5.30: Kết thúc quá trình cài đặt

Giao diện tùy chỉnh của WSUS:





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.31: Giao diện trước khi bắt đầu

Hình IV.1.1.7.5.32: Kết nối với Microsoft Update cải thiện chương trình

Hình IV.1.1.7.5.33: Đồng bộ với MS-Update





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.34: Chỉ định máy chủ Proxy

Hình IV.1.1.7.5.35: Tiền trình kết nối đến Server MS





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.36: Kết nối Server MS thành công

Hình IV.1.1.7.5.37: Lựa chọn ngôn ngữ





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.38: Lựa chọn phần mềm cập nhật

Hình IV.1.1.7.5.39: Lựa chọn phân loại muốn download





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.40: Lập lịch đồng bộ





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.41: Hoàn tất quá trình tùy chỉnh

Hình IV.1.1.7.5.42: Tích hợp WSUS vào môi trường Domain

Giao diện Console của WSUS





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.43: Giao diện Console

Hình IV.1.1.7.5.44: Tiến trình đồng bộ đang bắt đầu





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.5.45: Trạng thái Update

• Cập nhật bảo mật, cập nhật các Service Pack quan trọng

1.1.7.6. Triển khai WSUS cho Client:

Yêu cầu chung:

• Dựng 1 máy Server làm WSUS Server (có Domain Controller như là inet.vn)

• Máy Client Join vào Domain inet.vn

Cấu hình trên máy Domain Controller:

• Tạo User U1

• Tạo 1 OU Client

• Move máy PC vừa Join vào OU

• Cài Tool GPO Management





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Triển khai WSUS Client:

• Máy Client Join vào Domain Eco.vn

Hình IV.1.1.7.6.1: Tạo OU client

• Tạo OU client và User U1, vào Computer move PC vào OU client





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.6.2: Tạo GPO deploy wsus client

• Vào GPManagement tạo GPO mới tên là deploy wsus client trong OU client

Hình IV.1.1.7.6.3: Edit GPO: deploy wsus client





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.6.4: Windows Update

• Click Computer Configuration Administrative Templates Windows

Components Windows Update





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.6.5: Configure Automatic Update

• Double Click chọn Configure Automatic Update Enable

Hình IV.1.1.7.6.6: Chọn Enable Configure Automatic Update





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.6.7: Specify intranet Microsoft update service location

Hình IV.1.1.7.6.8: Enable Specify intranet Microsoft update service location





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

• Chỉnh IP về máy chủ DC WSUS Server

Hình IV.1.1.7.6.9: Enable client-side targeting





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.6.10: Chọn Enable, Enable client-side targeting

• Nhập tên máy PC của client.

Hình IV.1.1.7.6.11: Cập nhật lại hệ thống

Hình IV.1.1.7.6.12: Máy Client đã nhận Service





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.6.13: All Update -> Chọn gói packet update cho client

Hình IV.1.1.7.6.14: Approve Updates

• Chọn máy client





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.6.15: Quà trình Approval thành công





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.7.6.16: Bảng tóm tắt hệ thống

1.1.8..Phục hồi va sao lưu:

.

Hình IV.1.1.8.1.1: Dữ Liệu có trong Domain Eco





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.8.1.2: Triển khai backup





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.8.1.3: Chọn Vào Tab backup

Hình IV.1.1.8.1.4: Check vào những dữ liệu cần backup





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.8.1.5: Browse đến nơi lưu dữ liệu





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.8.1.6: tao thu mục chứ file bakup

Hình IV.1.1.8.1.6: Tiếp theo chọn startbackup





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.8.1.7: Chọn kiểu backup Nomal

Hình IV.1.1.8.1.8: Nhấn yes để bắt đầu backup





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.8.1.9: Quá trình backup đang thực hiện

Hình IV.1.1.8.10: Quá trình backup đã xong nhấn close để kết thúc





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

1.1.9.Phục Hồi dữ liệu

Hình IV.1.1.9.1: trước tiên ta vào thư mục chứa những dữ liệu đã được

backup xóa đi một vài dữ liệu





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.9.2: Vào run gõ ntbackup để tiến hành restore

Hình IV.1.1.9.3: Chọn Vào Tab restore





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.9.4: chọn đến thư mục chứa file backup và đánh vào file cần

phục hồi

Hình IV.1.1.9.5: Nhấn vào start restore





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.9.6: quá trình phục hồi đang diễn ra

Hình IV.1.1.9.7: quá trình phục hồi đã xong nhấn close để kết thúc





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

Hình IV.1.1.9.8: Những thư mục xóa đã được phục hồi





Tel: (848) 6267 8999 - Fax: (848) 6283 7867





Tel: (848) 6267 8999 - Fax: (848) 6283 7867

The end


xây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directory

Technology