Bài giảng Workgroup - Domain

pdf 48 trang huongle 5680
Download
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Workgroup - Domain", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_workgroup_domain.pdf

Nội dung text: Bài giảng Workgroup - Domain

  1. Workgroup - Domain
  2. MỤC TIÊU 03/2011 Phân biệt được mô hình workgroup và domain Giải thích được các khái niệm cơ bản trong mô hình TTMTRANG domain - Xây dựng một domain controller BMMMT&VT Cách thức thay đổi từ mô hình workgroup thành domain và ngược lại - Quản trị mô hình workgroup và domain mức cơ bản KHOACNTT - ĐH TP.HCMKHTN 2
  3. NỘI DUNG 03/2011 Workgroup/domain Active directory TTMTRANG Cài đặt domain controller - User Account BMMMT&VT Group Policy - KHOACNTT - ĐH TP.HCMKHTN 3
  4. WORKGROUP 03/2011 Peer-to-peer Mỗi máy: thông tin bảo mật, tài nguyên, người dùng riêng TTMTRANG Windows 2003 - Server BMMMT&VT Local Security Database - KHOACNTT Windows XP Local Security Database - Local Security DatabaseProfessional ĐH TP.HCMKHTN Windows XP Professional Windows 2000 Local Security Database Server 4
  5. WORKGROUP – CHIA SẺ MÁY TÍNH 03/2011 Quản lý người dùng? TTMTRANG Windows 2003 - Server BMMMT&VT Local Security Database - KHOACNTT Windows XP Local Security Database - Local Security DatabaseProfessional ĐH TP.HCMKHTN Windows XP Professional Windows 2000 Local Security Database Server 5
  6. WORKGROUP – CHIA SẺ TÀI NGUYÊN 03/2011 Chính sách sử dụng tài nguyên? TTMTRANG Windows 2003 - Server BMMMT&VT Local Security Database - KHOACNTT Windows XP Local Security Database - Local Security DatabaseProfessional ĐH TP.HCMKHTN Windows XP Professional Windows 2000 Local Security Database Server 6
  7. WORKGROUP – NHẬN XÉT 03/2011 Thuận lợi  Dễ dàng chia sẻ tài nguyên TTMTRANG  Tài nguyên phân tán trên tất cả các máy -  Dễ thiết kế, cài đặt BMMMT&VT  Chi phí thấp  Thích hợp cho qui mô vừa nhỏ - KHOACNTT Bất lợi:  Khó quản trị -  Bảo mật: tùy thuộc vào từng máy trong nhóm ĐH TP.HCMKHTN 7
  8. DOMAIN 03/2011 Server - client Quản lý tập trung: TTMTRANG  Người dùng  - Chính sách BMMMT&VT  Tài nguyên Server quản lý: domain controller (DC) DomainClient Computer Controller - KHOACNTT Local Security Database Active Directory Local Security Database Client Computer - ĐH TP.HCMKHTN Local Security Database Local Security Database Client Computer Client Computer Local Security Database 8 Member Server
  9. DOMAIN – NHẬN XÉT 03/2011 Đặc điểm: quản lý tập trung  Người dùng TTMTRANG  Tài nguyên chia sẻ  Quản trị - BMMMT&VT Thuận lợi:  Quản trị: đơn giản - Bất lợi: KHOACNTT  Thiết kế và cài đặt phức tạp  Chi phí cao - ĐH TP.HCMKHTN 9
  10. NỘI DUNG 03/2011 Workgroup/domain Active directory TTMTRANG Cài đặt domain controller - User Account BMMMT&VT Group Policy - KHOACNTT - ĐH TP.HCMKHTN 10
  11. ACTIVE DIRECTORY 03/2011 Là “dịch vụ thư mục” (directory service) của Microsoft cung cấp các dịch vụ mạng TTMTRANG  Là “bộ não” của Windows Server Network  Là CSDL lưu trữ tất cả các thông tin trong mạng - BMMMT&VT User, group Tài nguyên: computer,printer, shared folder, Dịch vụ mạng: mail server, ftp server, - KHOACNTT  Quản lý tập trung - ĐH TP.HCMKHTN 11
  12. ACTIVE DIRECTORY 03/2011 Là “dịch vụ thư mục” (directory service) của Microsoft cung cấp các dịch vụ mạng TTMTRANG  Là “bộ não” của Windows Server Network  Là CSDL lưu trữ tất cả các thông tin trong mạng - BMMMT&VT User, group Tài nguyên: computer,printer, shared folder, Dịch vụ mạng: mail server, ftp server, - KHOACNTT  Quản lý tập trung - ĐH TP.HCMKHTN 12
  13. ACTIVE DIRECTORY – QUÁ TRÌNH LOGIN 03/2011 Kiểm tra CSDL TTMTRANG của AD Gởi yêu cầu login - BMMMT&VT - KHOACNTT - Client Domain Controller ĐH TP.HCMKHTN Đồng ý 13
  14. ACTIVE DIRECTORY - DOMAIN 03/2011 Domain là tập các host chia sẻ chung một CSDL thư mục (directory database) TTMTRANG  Có chung suffix domain  Đăng ký trong một AD - BMMMT&VT dc.company.com.vn cl1.company.com.vn Domain Controller - KHOACNTT Active Directory CL1 DC - ĐH TP.HCMKHTN cl3.company.com.vn cl2.company.com.vn CL3 CL2 14 mail.company.com.vn Mail
  15. ACTIVE DIRECTORY - DOMAIN 03/2011 TTMTRANG - BMMMT&VT - KHOACNTT Additional Domain Additional Domain - Primary Domain ĐH TP.HCMKHTN 15
  16. ACTIVE DIRECTORY - TREE 03/2011 Tree: tập liên kết các domain có chung domain name TTMTRANG (1 n domain) - BMMMT&VT Root domain - KHOACNTT - ĐH TP.HCMKHTN child domain 16
  17. ACTIVE DIRECTORY - FOREST 03/2011 Forest: tập liên kết các tree TTMTRANG (1 n trees) - BMMMT&VT - KHOACNTT - ĐH TP.HCMKHTN 17
  18. ACTIVE DIRECTORY - THUẬT NGỮ 03/2011 Domain  Tất cả các object thuộc cùng 1 directory database TTMTRANG  “Biên” quản lý  Phân loại Root domain (gốc) - Child domain (con) BMMMT&VT Additional domain (dự phòng) Tree  Tập các domain (1 n) có tên miền liên tục -  VD: KHOACNTT domain cntt.khtn.edu.vn Tree: khtn.edu.vn domain khtn.edu.vn - Forest ĐH TP.HCMKHTN  Tập các tree có quan hệ với nhau  Dùng để nhóm các tree khác tên miền Site  Phân chia theo địa hình vật lý (subnet)  Thông tin lưu trữ ở tất cả các DC trong vùng đó 18
  19. ACTIVE DIRECTORY – THUẬT NGỮ 03/2011 Trust  Two-way TTMTRANG  One-way incoming  One-way outgoing - BMMMT&VT - KHOACNTT - ĐH TP.HCMKHTN 19
  20. NỘI DUNG 03/2011 Workgroup/domain Active directory TTMTRANG Cài đặt domain controller - User Account BMMMT&VT Group Policy - KHOACNTT - ĐH TP.HCMKHTN 20
  21. DOMAIN CONTROLLER - CÀI ĐẶT 03/2011 AD tích hợp với một DNS server TTMTRANG - Domain Controller BMMMT&VT DC DNS - KHOACNTT CL1 - ĐH TP.HCMKHTN CL3 CL2 Mail 21
  22. DOMAIN CONTROLLER 03/2011 Nâng 1 máy lên thành domain controller  Lệnh dcpromo (Start run dcpromo) TTMTRANG Quá trình cài đặt:  Loại domain -  DNS server BMMMT&VT  Domain Function Level: Windows 2000 mixed - Windows 2000 native KHOACNTT Windows 2003 interim Windows 2003 native - Thực thi AD ĐH TP.HCMKHTN  Lệnh “dsa.msc”  Từ administrator tools AD Users and Computers Nhân bản CSDL AD giữa các DC  Lệnh repadmin /syncall 22
  23. CÀI ĐẶT CLIENT 03/2011 Điều kiện:  Client phải phân giải được domain name của domain mà TTMTRANG client muốn joint vào Thay đổi trạng thái của một máy client - BMMMT&VT - KHOACNTT - ĐH TP.HCMKHTN 23
  24. DOMAIN 03/2011 Domain Controller TTMTRANG Active Directory Client Computer - BMMMT&VT - Client Computer KHOACNTT Client Computer Member Server - ĐH TP.HCMKHTN Domain: thêm 1 đối tượng tham gia vào domain tạo ra 1 object mới trong domain  permission  Right (Group policy) 24
  25. DOMAIN – OU 03/2011 Organization Unit (OU)  Vật chứa, như một folder TTMTRANG  Đơn vị nhỏ nhất trong AD để “chứa” các đối tượng  Quản lý các object được và không được làm gì - BMMMT&VT 10 users 2 groups: Admin KTV - KT_User KHOACNTT KyThuat - ĐH TP.HCMKHTN KT_Comp 25 NhanVien
  26. DOMAIN – OU 03/2011 Tạo OU/User/Group  Sử dụng công cụ Active Directory Users and Computers TTMTRANG  Dùng lệnh dsadd dsadd ou “ou = , dc = , dc = ” - BMMMT&VT dsadd ou “ou = KyThuat, dc = company, dc=com.vn” dsadd user “cn = ou = , dc = , dc = ” –fn -ln - - pwd -mustchpwd yes KHOACNTT Dsadd user “cn=u1, ou=KT_User, ou=KyThuat, dc=company, dc=com.vn” –pwd 123 –mustchpwd yes - ĐH TP.HCMKHTN 26
  27. OU VS GROUP 03/2011 ORGANIZATION UNIT GROUP TTMTRANG Chứa User User Group Group - Computer computer BMMMT&VT OU Chức năng Quản lý objects có thể và Cho phép hoặc cấm truy không thể làm gì cập tới một tài nguyên - KHOACNTT User Role Khác nhau Như nhau Permission  - Group Policy  ĐH TP.HCMKHTN Delegation  27
  28. OU VS GROUP 03/2011 TTMTRANG Có thể: •Lưu tài liệu tại desktop - •Lock/Hide taskbar BMMMT&VT •Thay đổi desktop - KHOACNTT KyThuat OU Không thể: - •Mở màn hình task manager ĐH TP.HCMKHTN •Shutdown •Install phần mềm 28
  29. OU VS GROUP 03/2011 TTMTRANG - BMMMT&VT Softwares Music - KHOACNTT KTV Group - ĐH TP.HCMKHTN HP laser Jet 1200 HP Color 4100 29
  30. ACTIVE DIRECTORY - OBJECTS 03/2011 User account  cho phép người dùng truy cập tài nguyên TTMTRANG Computer account  - Giúp AD tạo liên kết an toàn và cho phép một máy tính có BMMMT&VT thể làm gì trên network Organizational Unit (OU) -  Vật chứa các objects KHOACNTT  Quản lý 1 object có thể và không thể làm gì Group - ĐH TP.HCMKHTN  Cho phép hoặc ngăn cấm truy cập tài nguyên 30
  31. NỘI DUNG 03/2011 Workgroup/domain Active directory TTMTRANG Cấu hình DC - User Account BMMMT&VT Group Policy - KHOACNTT - ĐH TP.HCMKHTN 31
  32. USER ACCOUNT 03/2011 Chứa thông tin về người dùng trên mạng và cho phép người dùng truy cập tài nguyên mạng TTMTRANG  Người dùng: phân định bằng username  Hệ thống: phân định bằng SID (Security Identifier) - BMMMT&VT Phân loại  Local user account - Người dùng cục bộ tại một máy tính KHOACNTT Phạm vi ảnh hưởng: chỉ trên máy tính mà account đó được tạo  Domain user account - Người dùng trên domain ĐH TP.HCMKHTN Được tạo trên DC Phạm vi ảnh hưởng: trên domain, tất cả các máy trong domain  Built-in user account Là các account có sẵn 32
  33. LOCAL USER ACCOUNT 03/2011 TTMTRANG User 1 User 2 User 3 - BMMMT&VT SAM User 1 User 2 User 3 SAM User 1 User 2 - User 3 KHOACNTT SAM User 1 User 2 User 3 SAM - ĐH TP.HCMKHTN SAM (Security Account Manager) Mặc định file SAM lưu tại \Windows\system32\config 33
  34. LOCAL USER ACCOUNT 03/2011 TTMTRANG Credentials sent - SAM BMMMT&VT 1 Users log on locally - 2 KHOACNTT Logon information compared Access token - ĐH TP.HCMKHTN 3 Access token created 34
  35. DOMAIN USER ACCOUNT 03/2011 Domain User TTMTRANG Account - BMMMT&VT Domain - User KHOACNTT Domain Active Controller Directory - ĐH TP.HCMKHTN Mặc định ,file chứa thông tin domain account lưu tại \Windows\NTDS\ntds.dit 35
  36. DOMAIN USER ACCOUNT 03/2011 1 Logon TTMTRANG The user must press CTRL+ALT+DEL - BMMMT&VT 2 Authenticate - Credentials are checked against KHOACNTT the Active Directory database - Active Directory ĐH TP.HCMKHTN 3 Cached Credentials A copy of cached credentials is stored in the local computer registry 36
  37. USER PROFILE 03/2011 Chứa các thông tin về môi trường làm việc của người dùng: TTMTRANG  Màn hình desktop  Các kết nối mạng -  Thiết lập ứng dụng BMMMT&VT  Thông tin cá nhân  - Được lưu: KHOACNTT  My Document and Settings\ Phân loại - ĐH TP.HCMKHTN  Default profile  Local profile  Roaming profile  Mandatory profile 37
  38. QUẢN TRỊ NGƯỜI DÙNG 03/2011 Local  Dùng công cụ Local Users and Group Management TTMTRANG Thông qua giao diện của Computer Management Dùng mmc (dùng add một add-in) - BMMMT&VT Domain  Bằng công cụ Active Directory Users and Computers Trên máy DC - KHOACNTT  Thông qua lệnh: dsadd Cập nhật (thêm, xóa, sửa) - Phân quyền ĐH TP.HCMKHTN Thiết lập các chính sách 38
  39. NỘI DUNG 03/2011 Workgroup/domain Active directory TTMTRANG User Account - Group Policy BMMMT&VT - KHOACNTT - ĐH TP.HCMKHTN 39
  40. GROUP POLICY 03/2011 Group policy:  Quản lý các chính sách về quyền hạn của người dùng TTMTRANG  Giới hạn những ứng dụng mà người dùng đươc phép thi hành. - BMMMT&VT  Kiểm soát các thiết lập hệ thống.  Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy - KHOACNTT Group Policy Object (GPO)  Chứa các thiết lập điều khiển những gì đang xảy ra với - người dùng và máy tính ĐH TP.HCMKHTN  Ấn định cho các vật chứa (OU, Domain, Sites ), nhưng không ấn định cho Group 40
  41. GROUP POLICY 03/2011 Phân loại:  Local group policy TTMTRANG Thiết lập các chính sách trên máy cục bộ Mỗi máy tính có 1 Local group policy riêng - BMMMT&VT Cấu hình: Gpedit.msc  Domain group policy Thiết lập các chính sách trên domain/OU - Áp dụng cho tất cả các object trong vật chứa tương ứng KHOACNTT Cấu hình Từ tab Policy của AD - Từ administrative Tools Domain security Policy ĐH TP.HCMKHTN 41
  42. GROUP POLICY 03/2011 Chính sách về account  Chính sách về password TTMTRANG  Chính sách khóa tài khoản người dùng - Chính sách cục bộ (local policy) BMMMT&VT  Giám sát các đối tượng  Thiết lập quyền hệ thống -  Gồm: KHOACNTT Chính sách kiểm toán (Audit policys): Quyền hệ thống của người dùng (user rights Assignment): - Các lựa chọn bảo mật (Security Option) ĐH TP.HCMKHTN Chính sách liên quan đến hệ thống  Log on/log off  Share  desktop 42
  43. PASSWORD POLICY 03/2011 Chính sách Ý nghĩa TTMTRANG Số lần đặt mật mã không được trùng Enforce Password History nhau - Quy định số ngày nhiều nhất mà mật mã BMMMT&VT Maximum Password Age người dùng có hiệu lực Quy số ngày tối thiểu trước khi người Minimum Password Age dùng có thể thay đổi mật mã. - KHOACNTT Minimum Password Length Chiều dài ngắn nhất của mật mã Passwords Must Meet Complexity Mật khẩu phải có độ phức tạp như: có - Requirements ký tự hoa, thường, có ký số. ĐH TP.HCMKHTN Store Password Using Reversible Mật mã người dùng được lưu dưới dạng Encryption for All Users in the mã hóa Domain 43
  44. ACCOUNT LOCKOUT POLICY 03/2011 TTMTRANG Chính sách Ý nghĩa Quy định số lần cố gắng đăng nhập Account Lockout Threshold trước khi tài khoản bị khóa - BMMMT&VT Account Lockout Duration Quy định thời gian khóa tài khoản Reset Account Lockout Counter Quy định thời gian đếm lại số lần After đăng nhập không thành công - KHOACNTT - ĐH TP.HCMKHTN 44
  45. AUDIT POLICY 03/2011 TTMTRANG Chính sách Ý nghĩa Audit Account Logon Events Sự kiện đăng nhập - - Sự kiện thay đổi thông tin người dùng BMMMT&VT Audit Account Management - thao tác quản trị liên quan đến tài khoản người dùng. Ghi nhân việc truy cập các dịch vụ thư - Audit Directory Service Access KHOACNTT mục Ghi nhân các sự kiện liên quan đến quá Audit Logon Events trình logon như thi hành một logon script - ĐH TP.HCMKHTN hoặc truy cập đến một roaming profile. 45
  46. AUDIT POLICY 03/2011 TTMTRANG Chính sách Ý nghĩa Ghi nhận việc truy cập các tập tin, thư Audit Object Access mục, và máy in. - BMMMT&VT Ghi nhận các thay đổi trong chính sách Audit Policy Change kiểm toán Hệ thống sẽ ghi nhận lại khi bạn bạn thao - KHOACNTT Audit privilege use tác quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của một ai đó. Kiểm toán này theo dõi hoạt động của - Audit process tracking ĐH TP.HCMKHTN chương trình hay hệ điều hành. Hệ thống sẽ ghi nhận mỗi khi bạn khởi Audit system event động lại máy hoặc tắt máy. 46
  47. USER RIGHTS ASSIGNMENT 03/2011 Chính sách Ý nghĩa TTMTRANG Cho phép người dùng truy cập máy tính Access This Computer from thông qua mạng. Mặc định mọi người đều the Network - có quyền này. BMMMT&VT Shut down the system Cho phép ai có quyền Shutdown máy. Cho phép người dùng thay đổi giờ hệ Change the System Time - thống của máy tính. KHOACNTT Cho phép bạn khóa người dùng hoặc Deny Access to This Computer nhóm không được truy cập đến các máy from the Network - tính trên mạng. ĐH TP.HCMKHTN Cho phép bạn ngăn cản những người Deny Logon Locally dùng và nhóm truy cập đến máy tính cục bộ. 47
  48. SECURITY OPTION 03/2011 Chính sách Ý nghĩa TTMTRANG Shutdown: allow system to be shut Cho phép người dùng shutdown hệ down without having to log on thống mà không cần logon. - Tự động logoff khỏi hệ thống khi BMMMT&VT Network security: force logoff when người dùng hết thời gian sử dụng logon hours expires. hoặc tài khoản hết hạn. - Interactive logon: do not require Không yêu cầu ấn ba phím KHOACNTT CTRL+ALT+DEL CTRL+ALT+DEL khi logon. Interactive logon: do not display Không hiển thị tên người dùng đã - last user name logon trên hộp thoại Logon. ĐH TP.HCMKHTN Account: rename administrator Cho phép đổi tên tài khoản account Administrator thành tên mới 48