Dịch vụ Active Directory
Active Directory là một dịch vụ thư mục qui mô xí nghiệp, được xây dựng trên nền tảng công nghệ chuẩn Internet, được tích hợp đầy đủ trên cấp độ hệ điều hành. Active Directory làm cho việc quản trị đơn giản hơn và giúp cho người sử dụng tìm kiếm tài nguyên dễ dàng hơn. Active Directory cung cấp các khả năng và đặc điểm phong phú, bao gồm cách giải quyết theo nhóm, khả năng nâng cấp không phức tạp, hỗ trợ nhiều phương thức xác thực, và sử dụng hiệu quả các chuẩn Internet.
Ba mục đích cơ bản của Active Directory là:
- Cung cấp các dịch vụ đăng nhập và xác thực người dùng.
- Cho phép nhà quản trị tổ chức và quản lý các tài khoản người dùng, các nhóm và tài nguyên mạng.
- Cho phép những người sử dụng hợp pháp dễ dàng định vị tài nguyên mạng.
Active Directory
Giới thiệu
Nếu chúng ta nghĩ đến một mạng máy tính văn phòng cho các cơ quan, trường học ở đó mỗi nhân viên (hay mỗi phòng làm việc) có một máy tính và quyền quản trị tối cao thuộc về họ; các nhân viên tạo văn bản và sử dụng trao đổi thư điện tử trong mạng nội bộ hay qua Internet; ngoài ra họ có thể xem thông tin trên các trang Web trên Internet thì mạng máy tính Workgroup hoàn toàn đáp ứng được. Công việc thực hiện gồm cài đặt một số máy chủ Windows 2000 Advanced Server như đã trình bày ở chủ đề 2, sau đó cài thêm dịch vụ phục vụ chia sẻ đường kết nối Internet , cài thêm dịch vụ DNS, cài thêm dịch vụ Mail Server lên trên các máy đó, còn phía máy nhân viên cài đặt Windows 2000 Professional thì hoàn toàn đáp ứng được những yêu cầu đã nêu.Vậy người sử dụng còn mong muốn điều gì hơn thế nữa.
Sản phẩm hệ điều hành cho máy chủ của hãng Microsoft cung cấp dịch vụ đáp ứng cho đa dạng yêu cầu từ phía người dùng. Hãy nghĩ đến các công ty kinh doanh. Các nhà quản trị doanh nghiệp không muốn nhân viên sử dụng máy tính với quyền quản trị tối cao. Người sử dụng không có quyền cài đặt chương trình, trên máy tính chỉ có những chương trình được cài đặt sẵn là do người quản trị thực hiện và cấp quyền hạn sử dụng. Tất cả tài khoản cấp phát cho người sử dụng không ở trên các máy người dùng, tất cả phải xuất phát từ máy chủ của người quản trị. Không có tài khoản cấp phát thì không một nhân viên nào có thể đăng nhập được vào các máy tính. Sau giờ làm việc, các tài khoản tự động hết quyền đăng nhập máy và máy tính tự động đóng cửa sổ chương trình, tắt máy. Một môi trường quản lý chặt chẽ như thế cần phải được xây dựng trên mô hình Domain. Trong mô hình Domain phải có máy điều khiển vùng (Domain Controller), đó là máy cài đặt Windows 2000 Server cùng với dịch vụ Active Directory. Nếu công việc quản lý của mạng không yêu cầu bảo mật đến mức cao thì người quản trị không nhất thiết phải cài đặt dịch vụ này.
Các đối tượng của AD bao gồm dữ liệu của máy in (printers), máy chủ (servers), các máy tính (computers), cơ sở dữ liệu (databases), các tài khoản người dùng, nhóm (groups), và các chính sách bảo mật (security policies).
Ngoài ra một khái niệm mới được sử dụng là container (tạm dịch là tập đối tượng). Ví dụ Domain là một tập đối tượng chứa thông tin người dùng, thông tin các máy trên mạng và chứa các đối tượng khác
Các thành phần của AD
Cấu trúc AD logic gồm các thành phần: domains (vùng), organization units (đơn vị tổ chức), trees (hệ vùng phân cấp ) và forests (tập hợp hệ vùng phân cấp) .
- Vùng (Domain): là đơn vị cốt lõi của AD logic.
Tất cả các đối tượng AD đều thuộc một vùng nhất định. Mỗi vùng có thể chứa đến hàng triệu đối tượng.
Vùng là đường biên an toàn cho mạng. Người quản trị vùng chỉ được quyền quản lý các đối tượng trong vùng đó mà thôi. Danh sách kiểm soát truy nhập (Access Control Lists -ACLs) được lập riêng cho mỗi vùng và không có tác dụng đối với các vùng khác.
- Đơn vị tổ chức (Organization Unit):
OU là những tập đối tượng dùng để tổ chức các đối tượng trong một vùng thành những nhóm quản trị lôgic nhỏ hơn.
Một OU có thể chứa các đối tượng khác nhau như: các tài khoản người dùng, các nhóm, các máy tính, các máy in, các trình ứng dụng, các tệp sử dụng chung và các đơn vị tổ chức khác nằm trên cùng một vùng.
- Hệ vùng phân cấp (domain tree): Một hay nhiều vùng dùng chung không gian liên tục.
- Tập hợp hệ vùng phân cấp (domain forest): Một hay nhiều hệ vùng phân cấp dùng chung không gian thư mục.
Cấu trúc AD vật lý gồm: sites và domain controllers.
- Địa bàn (site): là tập hợp của một hay nhiều mạng con kết nối bằng đường truyền tốc độ cao.
- Điều khiển vùng (domain controllers): là máy tính chạy Windows2000 Server chứa bản sao dữ liệu vùng. Một vùng có thể có một hay nhiều điều khiển vùng. Mỗi sự thay đổi dữ liệu trên một điều khiển vùng sẽ được tự động cập nhật lên các điều khiển khác của vùng.
Tên vùng AD không được phép trùng lặp. Ví dụ không thể có hai vùng cisco.com, tuy nhiên có thể đặt tên vùng cha cisco.com với hai tên vùng con là software.cisco.com và marketing.cisco.com. Nếu vùng thuộc về mạng Internet thì tên gán cho vùng mới không được trùng với bất kỳ tên vùng nào hiện có trên Internet. Bạn phải đăng ký tên vùng cha trước khi sử dụng. Đăng ký tên vùng với InterNIC (tổ chức quản lý tên vùng của Internet, http://www.internic.net) hay địa điểm được chỉ định khác. Mỗi vùng đều có chính sách bảo mật riêng và mối quan hệ ủy quyền với vùng khác. Vùng cũng có thể trải rộng qua nhiều vị trí vật lý nghĩa là một vùng có thể có nhiều site, mỗi site như thế chứa nhiều mạng con. Nếu bạn dò tìm IP của địa chỉ http://www.yahoo.com bạn có thể thấy sẽ có nhiều IP, và mỗi IP này có thể đặt tại nhiều quốc qia khác nhau sẽ giúp bạn truy cập nhanh chóng vì cơ chế router sẽ cung cấp con đường đến máy chủ nào mà bạn có thể truy cập nhanh, gần nhất, vì vậy bạn luôn cảm giác mạng hoạt động hiệu quả.
Hệ thống chạy Windows 2000 Profesional và Server có thể tận dụng triệt để AD. Hệ thống Windows 2000 Profesional truy cập mạng với tư cách máy khách AD và dùng toàn bộ đặc tính của AD.
Cài đặt máy điều khiển vùng (Domain Controller)
Chuẩn bị
- Mỗi nhóm có một máy chủ đã cài đặt Windows 2000 Advanced Server + dịch vụ DNS. Dung lượng phân vùng ổ đĩa cứng nơi cài đặt Windows 2000 Server còn tối thiểu là 400MB tự do.
- Máy chủ được đăng nhập hệ thống bằng tài khoản Administrator.
Thực hiện
Bước 1: Chọn nút Start->Run, gõ lệnh dcpromođể cài Active Directory
Bước 2: Khi Active Direcrory Installation Wizard xuất hiện chọn nút Next. Trong cửa sổ hình 78, chọn mục Domain controller for a new domain.
Nhập tên vùng (riêng biệt cho mỗi máy chủ nhóm cài AD)
Nhấn nút Next để đến cửa sổ mới. Nhập tên NetBIOS (dạng ngắn gọn được dùng với những hệ điều hành đã có trước đây như trong hình 80.
Nhấn nút Next trong các cửa sổ tiếp theo, đến khi gặp cửa sổ hình 81. Bấm chọn mục Yes đồng ý sửa chữa lại dữ liệu DNS.
Nhấn nút Next để tiếp tục cài đặt cho đến khi xuất hiện màn hình thông báo hoàn thành việc cài đặt. Bấm nút Finish và khởi động lại hệ thống.
Dịch vụ tên miền DNS
Giới thiệu DNS
DNS (Domain Name System) là giải pháp dùng tên vùng thay cho địa chỉ IP khó nhớ khi sử dụng các dịch vụ trên mạng. Ví dụ tên vùng www.cisco.com với www là tên định danh cho máy tính, cisco là tên định danh cho tổ chức, còn com là tên định danh cho vùng cấp cao nhất còn gọi là vùng gốc (root domain). Đối với Internet, vùng gốc có các tên định danh như com, edu, gov, net, ... được sử dụng trong các tên vùng cấp phát tại Mỹ. Ở các nước khác vùng gốc có tên định danh được tạo bởi hai chữ cái viết tắt của tên nước như VN (cho Việt Nam), JP (cho Nhật Bản). Trong mạng nội bộ có thể lấy ngay tên định danh vùng gốc là com, edu, gov, net,...
Cài đặt máy phục vụ DNS
Mục tiêu
- Học viên nắm được cách thức cài đặt máy chủ DNS, phục vụ việc phân giải tên vùng trong mạng nội bộ.
Chuẩn bị
- Mỗi nhóm có một máy tính đã cài đặt Windows 2000 Advanced Server như đã thực hành cài đặt trong chủ đề 2.
- Trong nội dung thực hành mỗi máy chủ của nhóm được cài đặt như một máy chủ DNS của mạng nội bộ độc lập nên tên vùng/khu vực có thể dùng chung với tên sử dụng trong hình minh họa nhưng phải lưu ý địa chỉ IP tĩnh cho mỗi máy chủ bắt buộc phải nhập theo địa chỉ IP đã được cung cấp khi cài đặt hệ điều hành.
Thực hiện
Bước 1: Chọn nút Start -> Settings -> Control Panel
Bước 2: Trong cửa sổ Control Panel, chọn mục Add/Remove Programs. Tiếp theo chọn mục Add/Remove Windows Components làm xuất hiện cửa sổ Windows Components Wizard như hình 83. Kích vào mục chọn Networking Services, sau đó bấm nút Details.
Trong cửa sổ Networking Services, đánh dấu chọn dịch vụ Domain Name System (DNS).
Nhấn nút OK và sau đó nhấn nút Next cho đến khi hoàn tất.
Cấu hình dịch vụ DNS
Bước 1: Chọn nút Start -> Programs ->Adminitrative Tools ->DNS theo hình 85
Bước 2: Trong cửa sổ hình 86, kích nút phải chuột tại mục Forward Lookup Zones, chọn New Zone... để cài đặt Khu vực dò xuôi (forward lookup zone) giúp phân giải tên vùng thành địa chỉ IP. Ví dụ thực hiện yêu cầu trả lại địa chỉ IP khi biết tên vùng là www.iti.edu.
Bấm nút Next trong cửa sổ hình 87
(Hình 87)
Bước 3: Trong cửa sổ hình 88, chọn mục Standard primary, nghĩa là tạo bản ghi thông tin gốc về khu vực trong một tập tin văn bản để có thể chuyển giao cho những máy phục vụ DNS khác (khi cần thiết).
Bước 4: Nhập tên khu vực theo khuôn dạng được minh họa trong cửa sổ hình 89.
Bước 5: Nhấn nút Next cho đến khi kết thúc việc cài đặt và trở về cửa sổ chính như hình 90.
Thông tin thêm
Thông tin thêm
- Trên máy DNS có thể tạo nhiều khu vực khác nhau. Ví dụ có thể tạo thêm khu vực khác nữa có tên là
hanoi.edu
. Thao tác như đã làm với khu vực
iti.edu.
hanoi.edu
. Thao tác như đã làm với khu vực
iti.edu.
Thiết lập khu vực dò ngược
Khu vực dò ngược (Reverse Lookup Zones) dùng để phân giải địa chỉ IP thành tên vùng. Mỗi địa chỉ mạng phải có một khu vực dò ngược.
Thực hiện
Bước 1: Trong cửa sổ thiết lập DNS, chọn mục Reverse Lookup Zones. Kích nút chuột phải làm xuất hiện hộp chọn, chọn New Zone... như hình 91
Bước 2: Nhấn nút Next cho đến khi gặp cửa sổ yêu cầu nhập Network ID.
Bước 3: Nhấn nút Next cho đến khi kết thúc.
Công cụ MMC trong Windows 2000
Giới thiệu MMC (Microsoft Management Console)
MMC là một ứng dụng để tạo ra, ghi lại và mở các công cụ quản trị mạng được gọi là consoles (cửa sổ điều khiển). MMC không cung cấp các chức năng quản lý, nó chỉ tích hợp các thành phần gọi là snap-in (tạm dịch: Phần ghép thêm) vào trong một giao diện duy nhất để thực hiện. MMC chỉ cung cấp một giao diện người dùng mà không thay đổi gì cách làm việc của từng snap-in.
Các tiện ích của MMC:
- Người quản trị chỉ cần tìm hiểu một giao diện duy nhất.
- Có thể tích hợp các công cụ của các hãng khác vào trong MMC.
- Người quản trị có thể xây dựng một cửa sổ điều khiển riêng cho mình.
MMC cho phép thực hiện các công việc sau:
- Các công việc quản lý và khắc phục sự cố.
- Thực hiện sự quản trị tập trung từ một máy tính.
- Thực hiện các công việc quản trị và khắc phục sự cố từ xa.
Các consoles chứa một hay nhiều snap-in. Chúng được ghi như những tệp có phần tên mở rộng là .MSC
Chức năng của MMC
Có hai loại MMC: Preconfigured và Custom.
Preconfigured MMC
Preconfigured MMC chứa snap-ins mà bạn dùng để thi hành nhiều chức năng quản trị. Trong quá trình cài đặt Windows 2000, Preconfigured MMC được nạp vào máy. Chúng được đặt theo User mode nên không cho phép người dùng chỉnh sửa. Bộ Preconfigured MMC của hệ điều hành Windows 2000 Server và Windows 2000 Professional không hoàn toàn giống nhau.
Dưới đây là một số Preconfigured MMC và chức năng của nó:
| Preconfigured MMC | Chức năng |
| AD Domains and Trust | Quản lý sự liên hệ giữa các domain |
| AD Directory Sites and Services | Chọn vùng liên hệ về thông tin của AD |
| AD Users and Computers | Quản trị người dùng máy tính, nhóm bảo mật và nhiều chức năng khác trong AD |
| Component Sevices | Cấu hình và quản lý trình ứng dụng COM+ |
| Computer Management | Quản lý ổ đĩa và cung cấp nhiều chức năng khác để quản lý máy tính cục bộ và máy tính ở xa. |
| Configure Your Server | Tuỳ chọn và cấu hình cho mạng Windows |
| Data Sourses (ODBC) | Thêm vào, loại bỏ và cấu hình kết nối cơ sở dữ liệu(ODBC) và ổ đĩa. |
| DHCP | Chọn và quản lý DFSs chứa từ một máy tính khác |
| DNS | Quản trị dịch vụ DNS |
| Domain Controller Security Policy | Dùng để giám sát chính sách bảo mật cho Domain Controller OU |
| Domain Security Policy | Dùng để giám sát và thi hành chính sách bảo mật cho Domain, quyền right và chính sách giám sát(audit) |
| Event Viewer | Hiển thị trạng thái của Windows và các chương trình khác |
| Internet Sevices Manager | Quản trị Internet Information sevices (IIS) |
| Licensing | Quản trị việc truy cập từ client do server cung cấp. |
| Local Security Policy | Dùng để theo dõi và giám sát chính sách bảo mật local, chính sách right và audit |
| Performance | Hiển thị biểu đồ cho biết hiệu suất |
Custom MMC
Người quản trị có thể chọn lựa các snap-in cho việc quản trị và sao lưu tạo thành Custom MMC.
Các thành phần của MMC
Hình dưới đây minh họa MMC này chứa các snap-in là Device Manager on local computer và Disk Defragmenter
Các snap-in được tổ chức phân cấp, có thể dễ dàng chọn một snap-in, bổ sung thêm snap-in bên dưới Console root .
Mỗi MMC chứa mục Action và View menu cho phép dễ dàng thao tác quản trị.
Snap-Ins
Snap-in là các công cụ quản trị được đưa vào trong một console. Bạn sẽ dùng các snap-in để thực hiện các công việc quản trị mạng. Ví dụ như công cụ DHCP là một snap-in, và Disk Management cũng vậy.
Extension
Extention cơ bản cũng là một snap-ins nhưng không thể đứng độc lập một mình trong console, nó phải lệ thuộc vào một snap-ins nào đó và bổ sung thêm các chức năng cho snap-in đó.
Hình kèm theo minh họa khái niệm về snap-in và extension. Một hộp dụng cụ đựng một máy khoan với một mũi khoan chuẩn là snap-in. Nếu bạn thêm các mũi khoan khác vào hộp, đó chính là các extension.
Các tuỳ chọn của Console
Có hai tùy chọn cho Console được lưu giữ: Author mode và User mode.
Author Mode
- Khi lưu một console với Author mode, người sử dụng sẽ có toàn quyền đối với MMC đã tạo.
User Mode
- Sử dụng tùy chọn này khi muốn chia sẻ các MMC. Với tùy chọn User mode, người sử dụng không thể thêm các snap-in, xóa snap-in, hay ghi thêm vào console. Có ba dạng user mode được mô tả như sau:
| Tùy chọn | Mô tả |
| Full Access | Có toàn quyền. |
| Delegated Access, Multiple Windows | Không cho phép người dùng nhìn được cấu trúc cây thư mục hoặc mở cửa sổ console mới hoặc không cho phép mở nhiều cửa sổ. |
| Delegated Access, Single Window | Không cho phép mở của sổ mới, chỉ cho phép sử dụng một cửa sổ làm việc. |
Thao tác với các thành phần MMC
Sử dụng Preconfigured MMC
Trong cửa sổ Control Panel chọn Administrative Tools. Chọn Computer Management.
Tạo Custom MMC
Bước 1: Nhấp chọn Start->Run. Gõ lệnh mmc
Bước 2: Trong cửa sổ Console1 hình 97, thực hiện thêm các snap-in quản trị thích hợp. Trên thực đơn Console chọn mục Add/Remove Snap-in.
Bảng mô tả các tuỳ chọn của thực đơn Console.
| Tham số | Cách dùng |
| NewOpenSave or Save asAdd/Remove Snap-inOption | Tạo Custom MMC mớiMở một MMC Console đã lưu trước đóLưu Console sau khi đã cấu hìnhDùng để thêm vào hay bớt đi một hay nhiều snap-in trong MMC ConsoleCác tùy chọn. |
Bước 3: Theo hình 99, bấm chọn nút Add trên trang Standalone của cửa sổ Add/Remove Snap-in để mở cửa sổ như hình 100 .
Chọn Active Directory Users and Computers và nhấp chọn Add. Tiếp theo chọn Event Viewer, nhấp chọn Add. Bấm nút Close để kết thúc.
Bước 4: Bấm chọn thực đơn Console mục Option để thiết lập tùy chọn Console mode.
Trong ô Console mode chọn Author mode, bấm nút OK để đóng các cửa sổ con trở về cửa sổ Console Root.
Bước 5: Trên thực đơn Console (hình 103) chọn mục Save as
Trong phần File Name, nhập tên MyTool, và nhấn nút Save.
Bước 6:
Nhấn nút Start --> Program, chọn Administrative Tools. Trong thực đơn con, chọn Console đã tạo có tên là Mytool.
Quản lý tài khoản máy tính
Bước 1: Nhấn nút Start->Programs->Administrative Tools->AD Users and Computer.
Bước 2: Trong cửa sổ AD Users and Computers, nhấp chuột phải vào tên vùng muốn kết nạp máy tính. Chọn New->Computer.
Bước 3: Trong cửa sổ hình 105, nhập tên máy tính muốn tạo tài khoản. Bấm nút OK để kết thúc.
Mặc định chỉ có thành viên của nhóm Admin mới có quyền kết nạp máy tính vào vùng.
Bước 4: Trong cửa sổ AD Users and Computers như hình PIV.4.1.3, nhấp chuột phải vào tên tài khoản máy tính. Thực hiện các việc sau:
- Cchọn mục Disable Account: để tạm thời khóa tài khỏan, sau đó thực hiện Enable Account để đặt lại trạng thái họat động.
- Chọn mục Delete: để xóa tài khỏan.
Tạo và quản lý tài khoản người dùng và nhóm
Giới thiệu chung
Công cụ Active Directory Users And Computer dùng để tạo tài khoản người dùng cho vùng. Các máy tính sử dụng tài khoản vùng để đăng nhập gồm hai thành phần:
- User name: tên tài khoản
- Password: mật khẩu
Ngoài tài khoản người dùng, Windows 2000 còn cung cấp nhóm (group) để làm đơn giản việc cấp quyền truy cập cho nhiều người dùng.
Các kiểu nhóm
Có hai kiểu nhóm trong Windows 2000 Server:
- Nhóm bảo mật (security group): là nhóm có bộ mô tả bảo mật phối hợp. Có thể định nghĩa nhóm bảo mật trong vùng, dựa vào Active Directory Users and Computers
- Nhóm phân phối (distribution group): là nhóm được dùng làm danh sách phân phối e-mail. Có thể thiết lập nhóm phân phối trong vùng thông qua Active Directory User and Computers.
Phạm vi nhóm
Nhóm có nhiều phạm vi khác nhau (tức những khu vực nơi mà chúng hợp lệ), bao gồm:
- Nhóm cục bộ vùng (domain local group): Dùng để cấp quyền truy cập trong phạm vi nội bộ của vùng.
- Nhóm toàn cục (global group): Dùng để cấp quyền truy cập cho đối tượng thuộc vùng bất kỳ trong hệ vùng (domain tree).
- Nhóm tổng thể (universal group): Dùng để cấp quyền truy cập trên hệ vùng hay tập hợp hệ vùng phân cấp (domain forest).
Tạo tài khoản người dùng và nhóm
Tạo tài khoản người dùng
Bước 1: Mở cửa sổ Active Directory Users and Computers
Bước 2: Nhấp chuột phải vào thư mục Users (bên trái), chọn New -> User
Bước 3: Trong cửa sổ New Object – User, nhập thông tin tài khoản.
Trong cửa sổ hình 109, nhập mật khẩu (password), và các tuỳ chọn khác, sau đó nhấn nút Next.
Nhấn nút Finish kết thúc việc tạo tài khoản người dùng vùng, trở về cửa sổ Active Directory Users and Computers.
Thiết lập tài khoản nhóm
Bước 1: Mở cửa sổ Active Directory Users and Computers
Bước 2: Nhấp chuột phải vào thư mục Users (bên trái), chọn New -> Group. Nhập thông tin vào cửa sổ hình 110. Cuối cùng nhấn nút OK để kết thúc việc tạo nhóm.
Quản lý tài khoản người dùng và nhóm
Quản lý tài khoản người dùng:
Bước 1: Mở cửa sổ Active Directory Users and Computers
Bước 2: Nhấp chuột phải vào tài khoản người dùng, xuất hiện tùy chọn cho phép thao tác với tài khoản như: Copy, Add members to a group,...Chọn mục Properties làm xuất hiện cửa sổ Properties như hình 112.
Giải thích thêm
Giải thích thêm
Trang General
- First Name, Initials, Last Name: xác định họ tên đầy đủ của người dùng.
- Display Name: tên hiển thị của người dùng hiện diện ở phiên đăng nhập hay trong Active Directory.
- Description: nơi nhập thông tin mô tả về người dùng.
- Office: nơi nhập địa chỉ văn phòng làm việc.
- Telephone Number: nơi nhập số điện thoại.
- E-mail: nơi nhập địa chỉ Email.
- Web Page: nơi nhập địa chỉ trang web có liên quan.
Trang Account
- Trong tùy chọn Account options:
+ User must change password at next logon: thiết lập cho phép người sử dụng tạo mật khẩu riêng của mình ngay lần đầu tiên đăng nhập vùng.
+ User cannot change password: thiết lập không cho người dùng thay đổi mật khẩu.
- Password never expries: thiết lập không tạo hạn định cho mật khẩu.
+ Store password using reversible encryption: thiết lập cho phép người dùng hệ thống Macintosh đăng nhập vùng theo tài khoản này.
+ Mục Logon Hours: thiết lập thời gian tài khoản có hiệu lực đăng nhập.
+ Mục Logon on To: cho phép thiết lập danh sách các máy tính có thể sử dụng tài khoản này đăng nhập vào vùng. Mặc định là trên tất cả các máy.
Trang Member Of
- Nút Add: cho phép nhập tài nhập vào các nhóm đã tạo
- Nút Remove: cho phép xóa bỏ tài khoản ra khỏi các nhóm.
Quản lý tài khoản nhóm
Bước 1: Mở cửa sổ Active Directory Users and Computers
Bước 2: Nhấp chuột phải vào tài khoản nhóm, xuất hiện tùy chọn cho phép thao tác với tài khoản nhóm.
Bước 3: Chọn mục Properties và thao tác trên trang Members việc thêm/bớt các thanh viên của nhóm.
Đơn vị tổ chức (Organization Unit)
Giới thiệu
Đơn vị tổ chức (organization unit) được tạo ra để phân cấp việc quản lý tài nguyên vùng. Sau khi cài đặt AD, Windows 2000 đã tạo sẵn những đơn vị tổ chức cơ bản như Builtin, Computers, Domain Controllers, Users, ... ngoài ra người quản trị có thể tự tạo ra các đơn vị tổ chức khác.
Mục đích của việc xây dựng các đơn vị tổ chức là giúp cho người quản trị tối cao có thể phân nhỏ quyền quản trị của mình cho thành viên quản trị khác. Ví dụ muốn trao quyền tạo tài khoản người dùng của nhóm nghiên cứu Multimedia cho trưởng nhóm, người quản trị tối cao của vùng chỉ cần tạo ra một đơn vị tổ chức OU mới và gán quyền quản trị OU cho tài khoản của trưởng nhóm.
Một số đặc điểm để so sánh giữa tài khoản, nhóm và đơn vị tổ chức:
- Chỉ có khái niệm cấp quyền quản trị tài nguyên của mạng như thư mục, máy in,... cho nhóm hay tài khoản người dùng, không có khái niệm cấp quyền quản trị cho đơn vị tổ chức.
- Một tài khoản người dùng của vùng (domain) chỉ ở trong một đơn vị tổ chức (OU) duy nhất nhưng có thể là thành viên của nhiều nhóm (group) khác nhau.
Vùng chứa các đơn vị tổ chức tạo sẵn như Builtin và đơn vị tổ chức tự tạo như P.Marketing
Tạo đơn vị tổ chức
Bước 1: Trong cửa sổ Active Directory Users and Computer, nhấp chuột phải vào tên vùng chọn New -> Organizational Unit (hình 119)
Trong cửa sổ New Objects – Organizational Unit, nhập tên đơn vị tổ chức là Daotao.
Bước 2: Trong cửa sổ hình 120, nhắp phải chuột vào tên đơn vị tổ chức Daotao, chọn mục New. Thực hiện công việc sau:
- Tạo một tài khoản mới
- Tạo một nhóm mới
Bước 3: Trong cửa sổ hình 121, thực hiện trao quyền quản trị đơn vị tổ chức cho tài khoản taivu01.
Thực hiện chọn tài khoản taivu01 trong danh sách để trao quyền quản trị.
Nhấn nút Next cho đến khi xuất hiện cửa sổ thông báo kết thúc "Completing the Delegation of Control Wizard".
Thông tin bổ sung
Thông tin bổ sung
Có thể thực hiện thêm các công việc sau:
- New-> Group
- New -> Computer
- New -> Organizational Unit
Bước 4: Thực hiện Logoff và đăng nhập vào máy chủ với tài khoản taivu01. Mở cửa sổ AD Users and Computers và kiểm tra quyền quản trị đã cấp cho tài khoản taivu01 trên đơn vị tổ chức Daotao.
Chia sẻ tài nguyên trên máy chủ
Thao tác chia sẻ thư mục trên máy chủ hoàn toàn giống như đã thao tác trên các máy khách Windows 2000 Professional.
Bước 1: Mở cửa sổ My Computer và chọn thư mục bất kỳ. Kích nút phải vào thư mục và chọn mục Sharing.
Bước 2: Nhập tên chia sẻ như hình PIV.6.1.1 là mtd2002$ , dấu $ cho biết thư mục này là chia sẻ ẩn.
Bước 3: Bấm mục Permissions để cấp quyền sử dụng cho tài khoản/nhóm của vùng.
Nhập vùng cho máy tính Windows 2000 Professional
Chuẩn bị
- Mỗi học viên có 01 máy tính cài Windows 2000 Professional theo mô hình Workgroup.
- Mỗi nhóm có 01 máy tính cài Windows 2000 Server đã cài đặt Active Directory.
Thực hiện
Bước 1: Đăng nhập vào máy khách Windows 2000 Professional với tài khoản thuộc nhóm quản trị
Bước 2: Kích nút phải chọn vào biểu tượng My Computer, chọn mục Properties để mở cửa sổ System Properties như hình 125
Bước 3: Trong cửa sổ hình 125, chọn mục Propeties để mở cửa sổ nhập vùng cho máy tính.
Bước 4: Trong cửa sổ xác thực nhập vùng hình 127, tài khoản được nhập vào ô phải là tài khoản mức Administrator hoặc có quyền nhập vùng cho máy tính.
Sau khi hoàn tất quá trình gia nhập vùng, hệ thống yêu cầu khởi động lại.
Sử dụng tài nguyên của vùng bằng tài khoản vùng được cấp
Mục tiêu
- Học viên nắm vững cách gia nhập vùng (đã tạo ra trên máy điều khiển vùng) đối với các máy khách Windows 2000 Professional.
- Học viên hiểu và giải thích được cơ chế xác nhận tài khoản đăng nhập vùng giữa máy chủ điều khiển vùng và các máy khách của vùng.
Chuẩn bị
- Trên mỗi máy điều khiển vùng tạo một tài khoản có tên là kiemtradn, mật khẩu là 123.
- Các máy dành cho học viên đã được nhập vùng và đang ở cửa sổ đăng nhập đầu tiên.
Thực hiện
Bước 1: Trên tất cả các máy khách thuộc vùng, cùng sử dụng chung một tài khoản vùng là kiemtradn.
- Nhập tên tài khoản ở mục User name
- Nhập mật khẩu (nếu không có thì để trống) ở ô Password
- Log on to là mục chỉ xuất hiện đối với các máy tính có nhập Vùng. Chọn tên vùng đã gia nhập.
Dự đoán và giải thích thêm
Dự đoán và giải thích thêm
- Người sử dụng trên tất cả các máy thuộc vùng có thể sử dụng chung tài khoản
kiemtradn
để đăng nhập vì mặc định của tài khoản được tạo trên máy chủ vùng cho phép đăng sử dụng đăng nhập vào tất cả máy tính của vùng.
kiemtradn
để đăng nhập vì mặc định của tài khoản được tạo trên máy chủ vùng cho phép đăng sử dụng đăng nhập vào tất cả máy tính của vùng.
- Khi sử dụng tài khoản vùng để đăng nhập vào máy khách của vùng, một quá trình kết nối và kiểm tra tài khoản từ xa được thiết lập giữa máy chủ vùng và máy khách. Cơ sở dữ liệu trên AD cung cấp nội dung để máy chủ xác nhận tài khoản đăng nhập.
Bước 2: Sử dụng chức năng My Network Places để duyệt tất cả các vùng trên mạng tìm đến thư mục được chia sẻ trên máy chủ điều khiển vùng của nhóm.
Dự đoán
Dự đoán
- Máy chủ vùng không yêu cầu nhập tài khoản sử dụng trên thư mục chia sẻ được cấp quyền.
Bước 3: Thực hiện Log off và Log on vào máy khách bằng tài khoản Administrator nội bộ của máy qua cửa sổ hình 131.
Bước 4: Thực hiện tìm kiếm và mở thư mục được chia sẻ trên máy chủ vùng.
Dự đoán
Dự đoán
- Máy chủ vùng yêu cầu nhập tài khoản kết nối để sử dụng.
Không có nhận xét nào:
Đăng nhận xét