[Tự học MCSA MCSE 2016]-Lab 10-Cấu hình OU Group User trong Active Directory
1. Khái niệm Active Directory .
Hello, hôm nay mình sẽ hướng dẫn các bạn cấu hình các đội tượng trong Active Directory trên con Windows Server 2016 của chúng ta . Đầu tiên chúng ta hãy cùng tìm hiểu khái niệm Active Directory ( AD) là gì ? AD là 1 dịch vụ thư mục Directory Services đã được đăng kí bản quyền với Microsoft , không thể thiếu được trong Server Windows quản trị domain . Thì AD có thể được coi là một điểm phát triển mới so với các bản windows cũ , từ 2012 và giờ là 2016 nó đã mang trong mình những tính năng vượt trội giúp cho việc quản lý tập trung được tối ưu hơn , quyền hạn truy cập tài nguyên trên hệ thống rõ ràng cụ thể . Từng nhóm người dùng trong miền sẽ có phạm vị được phép truy cập của mình , truy cập các Folder đúng quyền hạn , không thể tự ý truy cập xem sửa xóa các folder dữ liệu của các nhóm người dùng khác . Mô hình mạng doanh nghiệp thường có 2 dạng phổ biến :
- Mô hình Workgroup : là mô hình mạng ngang hàng Peer to peer , trong đó các máy tính có vai trò như nhau được kết nối thông qua mạng LAN . Các dữ liệu tài nguyên của người dùng được lưu ngay trên máy cục bộ , tự chứng thực ngay trên máy cục bộ . Trong hệ thống mạng này không có máy tính đảm nhiệm cài đặt các dịch vụ và quản lý hệ thống mạng nên phù hợp với các doanh nghiệp nhỏ , phòng NET , hệ thống mạng gia đình ,… nên bảo mật sẽ không được cao và tin cậy .
- Mô hình Domain : Hoạt động theo cơ chế Client-Server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller). Domain Controller này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng với sự giúp đỡ của dịch vụ Active Directory được xem là quan trọng nhất trong máy chủ Domain Controller. Mô hình này được áp dụng cho các công ty vừa và lớn đòi hỏi cao về bảo mật.
Vậy Directory Services là gì ?. Directory là một mô hình tổ chức thông tin, dữ liệu mà trong đó các thông tin dữ liệu có mối quan hệ chặc chẽ với nhau. Ví dụ như trong cuốn danh bạ điện thoại, với tên trên danh bạ, ta có thể dễ dàng tra ra được số điện thoại tương ứng.Trong các hệ thống máy tính phân tán hoặc trong mạng máy tính, có rất nhiều đối tượng được tổ chức, lưu trữ theo cấu trúc Directory như users, file, máy in, máy fax… Và khi người dùng cuối tức là user, muốn sử dụng những đối tượng trên thì sao, ví dụ như user muốn dùng máy in thì sao. Do đó cần có một dịch vụ hỗ trợ user có thể xác định được đối tượng và cho phép user sử dụng nó, vì thế mà ta có định nghĩa Directory Service.Directory Service là một dịch vụ thư mục được áp dụng trong việc lưu trữ các thông tin, dữ liệu theo kiến trúc tổ chức Directory và quản lí tập trung các đối tượng (ứng dụng dùng chung, user, máy in,…), đơn giản hóa quá trình xác định và quản lí tài nguyên.
Còn 1 vấn đề nữa mà hình cũng muốn đề cập thêm với các bạn một vài khái niệm này . Khi chúng ta cài đặt Windows server 2016 trên một hệ thống mới thì chúng ta có thể cấu hình nó là Member server , Domain Controller hay Standalone Server . Member server: là một thành phần của hệ thống domain nhưng nó không lưu trữ thông tin địa chỉ (directory information).Domain controller: đây là thành phần quan trọng nhất vì nó chứa thông tin địa chỉ, đồng thời cung cấp cơ chế xác thực (authentication) và các thông tin địa chỉ cho domain.Standalone server: đây không phải là thành phần của domain bởi vì nó có cơ sở dữ liệu người dùng riêng và nó cung cấp cơ chế xác thực đăng nhập một cách độc lập.
Trong một mô hình mạng thì Domain controller (DC) có thể xử lý các thay đổi của địa chỉ và sao chép lại chúng tới các DC khác một các tự động. Windows Server sẽ phân phối những thông tin địa chỉ đó và gọi nó là data store. Những data store đó chứa những bộ thông tin người dùng (user), nhóm (group), và những computer accounts được biết đến như là những tài nguyên chia sẻ (servers, files, máy in).
Domains sử dụng AD như là một AD domains. Mặc dù AD domain chỉ có thể thao tác với một DC duy nhất, nhưng chúng ta có thể có nhiều DC trong một domain. Trong trường hợp đó, nếu một DC nào đó chết thì các DC còn lại vẫn có thể hoạt động bình thường.
2. Những đơn vị cơ bản trong Active Directory ?
- Object (đối tượng): Trong hệ thống cơ sở dữ liệu, đối tượng bao gồm các máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, …
- Domain : là thành phần chính trong cấu trúc luận lý của Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn . Domain đáp ứng ba chức năng chính sau:
- Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác.
- Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.
- Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được đồng bộ với nhau.
- Domain tree : là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain.
- Forest : được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. Ví dụ giả sử một công ty nào đó, chẳng hạn như Microsoft thu mua một công ty khác. Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng và để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng.
- Attribute (thuộc tính): Một thuộc tính mô tả một đối tượng . Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng mạng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau, lấy ví dụ như một máy in và một máy trạm, cả hai đều có một thuộc tính là địa chỉ IP.
- Schema (cấu trúc tổ chức): Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đối tượng nào đó. Ví dụ, cho rằng tất cả các đối tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại và tốc độ. Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng “máy in”. Schema có đặc tính là tùy biến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi được. Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ Active Directory
- Container (vật chứa): chứa các đối tượng và các vật chứa khác. Vật chứa cũng có các thuộc tính như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó như đối tượng, có 3 loại vật chứa: Domain, Site, OU (Organizational Unit).
- OU ( Organization Unit) là 1 container sử dụng để sắp xếp các đối tượng trong 1 miền vào 1 nhóm quản trị logic. 1 OU có thể chứa các đối tượng như tài khoản người dùng , nhóm , máy tính , các ứng dụng hoặc OU khác . OU được biểu diễn bằng biểu tượng thư mục với 1 quyển sách bên trong , nó có thể được thêm vào OU khác tạo nên cấu trúc phân cấp .
Mỗi miền có 1 cấu trúc OU riêng , không phụ thuộc vào miền nào . Có 3 lý do để tạo ra Organization Unit là để ủy quyền quản trị , triển khai chính sách GPO và chứa các đối tượng theo mục đích quản trị .
- Site : Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU. Các Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet.
Thể hiện cấu trúc vật lý, kiến trúc mạng của doanh nghiệp
- AD lưu trữ thông tin về kiến trúc mạng thông qua: Site và Site link (WAN links).
- Sử dụng để xây dựng mô hình đồng bộ database của dịch vụ AD
- Công cụ quản lý: Active Directory Sites and Services
- Global catalog (GC) : GC lưu trữ tất cả các object của miền chứa GC và một phần các object thường được người dùng tìm kiếm của các domain khác trong forest. Global catalog lưu trữ: Những thuộc tính thường dùng trong việc truy vấn như user’s first name, last name, logon name , Thông tin cần thiết để xác định vị trí của bất kỳ object nào trong active directory, Tập hợp các thuộc tính mặc định cho mỗi loại object, Quyền truy cập đến mỗi object . Global catalog server: là một Domain Controller lưu trữ tất các AD object trong một forest (Nguồn : www.oktot.com)
- User Account : là tài khoản người dùng , khi cài Active Directory sẽ có 1 số user được tạo ra mặc định . Ví dụ như là Administrator là quyền quản trị cao nhất trong hệ thống , user này không thể gỡ bỏ . Khi nhân viên đăng nhập vào hệ thống và sử dụng các tài nguyên thì người quản trị sẽ tạo ra User và phân quyền , cấp phát cho người dùng
- Local User Account (Tài khoản người dùng cục bộ ) là tài khoản người dùng được định nghĩa trên máy tính cục bộ và chỉ được phép Log on trên máy tính đó còn domain user có thể log on trên bất kì máy tính nào trong miền .
- Domain User Account ( Tài khoản người dùng trong miền ) là tài khoản người dùng được định nghĩa trên Active Directory , được phép Log on trên toàn mạng .Những tài khoản này được phép truy cập các tài nguyên trong hệ thống mạng dưới sự phân quyền của người quản trị
Yêu cầu về tài khoản người dùng : Mỗi user có từ 1-20 kí tự , tên user không được phép trùng nhau , user không chứa các kí tự sau ” / \ ] [ : : = + ? > < ” . TRong user có thể chứa các kí tự đặc biệt như dấu chấm , khoảng trắng , dấu gạch ngang , dấu gạch dưới .
- Group Account ( Tài khoản nhóm ) : là 1 đối tượng đại diện cho 1 nhóm người nào đó trong 1 phòng ban (OU ) để dùng cho việc quản lý chung . Ta chỉ cần áp cách chính sách miền lên user đại diện cho group này thì tất cả các user nằm trong group này cũng được áp chính sách đó .Phần bố các người dùng vào nhóm giúp người quản trị dễ dàng phân quyền cho các tài nguyên trên mạng .
Chú ý : tài khoản người dùng có thể đăng nhập vào mạng , nhưng tài khoản nhóm thì không được cho phép đăng nhập , chỉ dùng để quản lý .
Tài khoản nhóm được chia làm 2 loại : Nhóm bảo mật (Security group ) và nhóm phân phối ( distribution group ) . Security group là nhóm được dùng để cấp phát các quyền hệ thống và quyền truy cập . Trong Security group có 3 loại bảo mật chính là : Local , Global , Universal
- Local group ( Nhóm cục bộ ) là nhóm trên máy Stand-alone Server , các máy ở dạng workgroup , chỉ hoạt động trên các máy cục bộ
- Domain Local group ( Nhóm cục bộ miền ) : là nhóm đặc biệt trên Active Directory nằm trên máy Domain Controller.
- Global Group : Nhóm này nằm trên máy DC được tạo ra trong Active Directory , nhóm này được dùng để cấp phát những quyền quan trọng như quyền hệ thống và quyền truy cập vượt qua 1 quan hệ vùng miền
- Universal : Có chức năng gần giống Global nhưng nó được dùng để cấp quyền cho các đối tượng trên khắp các miền trên 1 Forest hoặc trong các miền có mối liên hệ với nhau .
- Distribution Group ( Nhóm phân phối ) : là nhóm phi bảo mật , không được dùng bởi các nhà quản trị mà chỉ được dùng bởi các nhà phát triển phần mềm dịch vụ .
Ủy quyền quản trị OU nhằm mục đích trao quyền kiểm soát 1 tập hợp các tài khoản người dùng máy tính hay các thiết bị mạng cho 1 nhóm hoặc 1 người quản trị nào đó để giảm bớt công việc quản trị của người quản trị mạng .
3. Cấu hình bài Lab
Chúng ta mở con server ITFORVN-2K16-01 quản trị domain ITFORVN.COM , vào Server Manager chọn Active Directory users and computers để tạo các OU , Group , User cho doanh nghiệp của chúng ta
Click chuột phải vào ITFORVN.COM chọn New – Organization Unit để tạo 1 OU mới trong domain là : Hanoi
Click vào OU Hanoi chọn New – Organization Unit để tạo các OU con làm các phòng ban trong OU Hanoi của chúng ta . Mình sẽ tạo thêm 4 OU con là Phong_Giam_doc , Phong_nhan_su , Phong_IT , Phong_SALE .
Sau khi tạo các OU con xong , chúng ta click vào OU Phong_Giam_doc chọn New – Group để tạo 1 Group dại diện cho toàn bộ user trong nhóm đó . Khi ta áp 1 chính sách lên OU này thì chỉ cần chọn group user này đại diện thì toàn bộ các user còn lại cũng được áp chính sách . Điều này làm giảm gánh nặng cho người quản trị khi mà phải add tay từng user chưa kể về sau nhóm này tăng thêm thành viên thì việc cập nhật chính sách cho user mới khá tốn thời gian .
Ta đặt tên cho group này , chọn Group Scope là Global và chọn kiểu Security vì nhóm này là nhóm bảo mật . Sau này tài nguyên của những nhóm này chứa tài liệu nhạy cảm nên ta cần cấu hình security cho group
Sau đó ta chọn New – User để tạo user cho nhóm này
Chúng ta khai báo các thông tin sau cho User nhưng quan trọng nhất là User Log on name
Nhập Password mặc định cho user đó . Có 4 sự lựa chọn là Người dùng phải đổi pass trong lần đăng nhập đầu tiên , Người dùng không thể thay đổi password , Password không bao giờ hết hạn và Tài khoản bị khóa . Tùy người quản trị chọn nhưng theo mình nên chọn dòng đầu tiên Người dùng phải đổi pass trong lần đăng nhập đầu tiên để người dùng có thể đặt pass theo ý họ và chọn thêm dòng Password không bao giờ hết hạn .
Ta tạo thêm 1 vài user nữa trong nhóm Phòng Giám Đốc này . Click đúp vào group đại diện trong OU Phong_giam_doc . Chuyển sang tab member chọn Add . Ở đây ta chỉ cần nhập vài chữ cái đầu tên user giamdoc và phogiamdoc sau đó ấn Check name thì nó sẽ ra tên đầy đủ trong miền . Ví dụ ” giamdoc@itforvn.com”
Hoặc cách khác là ấn vào Advanced , chọn Find now chọn xuống dưới user mình cần add vào member rồi ấn OK
Vậy là ta đã tạo các OU , group và users trong Phòng ban Giám đốc , tương tự với các OU còn lại các bạn cũng làm y hệt . Thì mặc định ở trên miền của chúng ta đã có những đối tượng được tạo sẵn . Ví dụ như group Domain Admin là nhóm các tài khoản admin quản trị trong miền và cao nhất là user Administrator . Trong OU Builtin có group Account Operator được phép tạo sửa xóa các user computer trong domain hay Backup Operator là nhóm thành viên có thể backup và Restore các file trong domain
Tiếp theo mình sẽ hướng dẫn các bạ tạo Organization Unit , Group , User thông qua Powershell bằng dòng lệnh . Có thể dùng cách này trên Server Core và cả GUI
Tạo các đối tượng Active Directory thông qua Powershell theo sơ đồ sau:
+ Di chuyển con trỏ vào ổ C:
cd C:\
+ Tạo OU HANOI (OU lớn nhất):
New-ADOrganizationUnit HANOI
+ Tạo OU Phong_IT trong OU HANOI:
Dsadd ou “ou=Phong_IT,ou=HANOI,dc=itforvn,dc=com”
+ Tạo tài khoản “Nguyen Quoc Hung” với tên logon name là hungnq
New-ADUser -Name hungnq -DisplayName “Nguyen Quoc Hung” -GivenName “Nguyen Quoc” -Surname “Hung” -Path “ou=Phong_IT,ou=HANOI,dc=itforvn,dc=com”
+ Tạo mật khẩu cho tài khoản hungnq:
Set-ADAcountPassword hungnq
+ Enable tài khoản hungnq:
Enable-ADAccount hungnq
+ Tạo Group tên là “Group_Phong_IT” trong OU IT:
New-ADgroup Group_phong_IT -Path “ou=IT,ou=HANOI,dc=itforvn,dc=com” Global -GroupCategory Security
+ Add tài khoản hungnq vào group Group_phong_IT:
Add-ADGroupMember Group_phong_IT -Members hungnq
Như vậy chúng ta đã tìm hiểu sơ qua và nắm được các khái niệm cơ bản trong Active Directory trong Domain . Cảm ơn các bạn đã theo dõi và hẹn gặp lại các bạn ở các bài lab tiếp theo !
Video hướng dẫn chi tiết bài lab :
Thanks and best regards,
Tác giả : Trần Tuấn Anh ( Diễn đàn ITFORVN.COM )
+ Skype: tuananhtran396@outlook.com
+ Telegram: @tuananhtran396
+ Facebook : https://www.facebook.com/welano96
+ Microsoft Team: Anh.Tran@itforvn.com
Subcribe ITFORVN Youtube Channel at there
Hi there,
I’m a reader of your blog post and I found it very informative. I’m currently studying for the Microsoft Certified Systems Administrator (MCSA) and Microsoft Certified Server Administrator (MCSE) exams and I found
Hi there,
I’m a reader of your blog post and I found it very informative. I’m currently studying for the Microsoft Certified Systems Administrator (MCSA) and Microsoft Certified Server Administrator (MCSE) exams and I found