SlideShare a Scribd company logo
MUC LUC



1    Tổng quan về activer directory ........................................................................ 4
    1.1     Chức năng của Active Directory ............................................................... 4
    1.2     cấu truc của activer directory ................................................................... 4
    1.2.1      cấu trúc luận lý .......................................................................................... 4
    1.2.1.1       Objects. ...................................................................................................... 4
    1.2.1.2       Organizational Units ............................................................................. 5
    1.2.1.3       Domain. ...................................................................................................... 5
    1.2.1.4       Domain Tree ............................................................................................. 6
    1.2.1.5       Forest. ......................................................................................................... 7
    1.2.2      cấu trúc vật lý .............................................................................................. 8
    1.2.2.1       siter ............................................................................................................. 8
    1.2.2.2       Domain controllers ................................................................................ 8
2    Cơ chế hoạt động của Active Directory ......................................................... 9
    2.1     Directory service ............................................................................................ 9
    2.2     Active directory schema .............................................................................. 9
    2.3     Global catalog (GC) ..................................................................................... 10
    2.4     Global catalog server ................................................................................. 10
    2.5     Distinguished và relative distinguished name ................................. 11
    2.6     Cơ chế single sign-on ................................................................................. 11
3    Cơ chế quản lý Active Directory..................................................................... 12
4    Công cụ quản lý Active Directory .................................................................. 13
5    Active directory Domain & Forest ................................................................. 13
    5.1     Forest & Domain function level .............................................................. 13
    5.2     Tạo Relationships ........................................................................................ 14
6    Organization Unit ( OU )................................................................................... 15
    6.1     Tìm hiểu OU ................................................................................................... 15
    6.2     Ủy quyền quản lý OU .................................................................................. 16
7    Tài khoản Users, Group, Computer .............................................................. 17
    7.1     Giới thiệu Tài khoản .................................................................................... 17
    7.2     Giới thiệu tài khoản người dùng ............................................................ 17
7.2.1       Tài khoản người dùng cục bộ .............................................................. 17
    7.2.2       Tài khoản người dùng miền ................................................................. 17
    7.2.3       Yêu cầu về tài khoản người dùng ...................................................... 18
    7.3      Tài khoản nhóm ............................................................................................ 18
    7.3.1       Nhóm bảo mật ........................................................................................... 18
    7.3.2       Nhóm phân phối ....................................................................................... 19
    7.3.3       Tài khoản người dùng tạo sẵn............................................................. 19
    7.3.4       Các nhóm tạo sẵn đặc biệt ................................................................... 21
    7.4      Tạo & quản lý account ............................................................................... 22
8    Chính sách nhóm ................................................................................................. 24
    8.1      Group Policy là gì? ....................................................................................... 24
    8.2      Chức năng của Group Policy .................................................................... 24
    8.3      quản ly GPO ................................................................................................... 25
9    Site and Replication ........................................................................................... 26
    9.1      Giới thiệu về active directory replication ........................................... 26
    9.2      Tạo và cấu hình site .................................................................................... 27
    9.3      Quản lý site topology ................................................................................. 28
10        Bố trí Domain contronller ............................................................................. 28
    10.1        Global Catolog trong AD ........................................................................ 28
    10.2        Customize Global Catalog Server ....................................................... 29
    10.3        Phân bổ domain contronller trong AD ............................................. 29
11        Operation Master............................................................................................. 30
    11.1        Giới thiệu Operation Master Role....................................................... 30
    11.2        Chuyển giao & chiếm đoạt Master Role........................................... 34
    11.3        Di chuyển & chống phân mảnh database của AD ........................ 36
Tổng quan về activer directory
1 Tổng quan về activer directory
  Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi
  là đối tượng) cũng như các thông tin liên quan đến các đối tượng đó. Active
  Directory cung cấp một mức độ ứng dụng mới cho môi trường xí nghiệp.
  Dịch vụ thư mục trong mỗi domain có thể lưu trữ hơn mười triệu đối tượng,
  đủ để phục vụ mười triệu người dùng trong mỗi domain.
1.1 Chức năng của Active Directory
    - lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu
  tương ứng và các tài khoản máy tính.
    - Cung cấp một Server đóng vai trò chứng thực (authentication server)
  hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain
  controller (máy điều khiển vùng).
    - Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy
  tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy
  tính khác trong vùng.
    - Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ
  quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền
  backup dữ liệu hay shutdown Server từ xa…
    - Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con
  subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng
  ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ.
1.2 cấu truc của activer directory
1.2.1        cấu trúc luận lý
1.2.1.1      Objects.
   Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái
  niệm Object classes và Attributes.
       Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các
          loại đối tượng mà bạn có thể tạo ra trong Active Directory. Có ba loại
          object classes thông dụng là: User, Computer, Printer.
       Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết
          hợp với một đối tượng cụ thể. Như vậy Object là một đối tượng duy
          nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của
          object classes.
     Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị
   được gán cho các thuộc tính của object classes. Ví dụ hình sau minh họa hai
   đối tượng là: máy in ColorPrinter1 và người dùng KimYoshida.
1.2.1.2      Organizational Units
     Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó
    được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp
    các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. OU cũng
    được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều
    subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công dụng chính sau:
      Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy
         tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản
         trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị
         cho người quản trị toàn bộ hệ thống.
      Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người
         dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm
         (GPO)




1.2.1.3    Domain.
  Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó
  là phương tiện để qui định một tập hợp những người dùng, máy tính, tài
  nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc
  quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức
  năng chính sau:
   Đóng vai trò như một khu vực quản trị (administrative boundary) các
         đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng
         chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo
         mật, các quan hệ ủy quyền với các domain khác.
        Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.
        Cung cấp các Server dự phòng làm chức năng điều khiển vùng
         (domain controller), đồng thời đảm bảo các thông tin trên các Server
         này được đồng bộ với nhau.




1.2.1.4    Domain Tree
  Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc
  theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và
  nằm ở gốc của cây thư mục.Tất cả các domain tạo ra sau sẽ nằm bên dưới
  domain root và được gọi là domain con (child domain). Tên của các domain
  con phải khác biệt nhau. Khi một domain root và ít nhất một domain con
  được tạo ra thì hình thành một cây domain.
1.2.1.5     Forest.
 Forest là một thuật ngữ được đặt ra nhằm định nghĩa một mô hình tổ chức
 của AD, một forest gồm nhiều domain trees có quan hệ với nhau, các domain
 trees trong forest là độc lập với nhau về tổ chức, Một forest phải đảm bảo
 thoả các đặc tính sau:
      Toàn bộ domain trong forest phải có một schema chia sẻ chung
      Các domain trong forest phải có một global catalog chia sẻ chung
      Các domain trong forest phải có mối quan hệ trust hai chiều với nhau
      Các tree trong một forest phải có cấu trúc tên(domain name) khác
         nhau
      Các domain trong forest hoạt động độc lập với nhau, tuy nhiên hoạt
         động của forest là hoạt động của toàn bộ hệ thống tổ chức doanh
         nghiệp.
1.2.2       cấu trúc vật lý
1.2.2.1     siter
    Một site bao gồm một hay nhiều mạng con liên kết với nhau. Có thể cấu
  hình việc truy xuất và tạo bản sao cho Active Directory hiệu quả nhất và lập
  ra một lịch cập nhật để không ảnh hưởng đến thông lượng của mạng
1.2.2.2     Domain controllers
   Domain Controller là một máy tính hay server chuyên dụng được setup
  Windows Server và lưu trữ bản sao của Domain Directory (local domain
  database). Một domain có thể có một hay nhiều domain controller, mỗi
  domain controller đều có bản sao dữ liệu của Domain Directory. Domain
  Controller chịu trách nhiệm chứng thực cho users và chịu trách nhiệm đãm
  bảo các chính sách bảo mật được thực thi. Các chức năng chính của domain
  controller:
      Mỗi domain controller lưu trữ các bản sao thông tin của Active
        Directory cho chính domain đó, chịu trách nhiệm quản lí thông tin và
        tiến hành đồng bộ dữ liệu với các domain controller khác trong củng
        một domain.
      Domain Controller trong một Domain có khả năng tự động đồng bộ
        dữ liệu với các domain controller khác trong cùng một domain. Khi bạn
        thực hiện một tác vụ đối với thông tin lưu trữ trên domain controller,
        thì thông tin này sẽ tự động được đồng bộ hóa đến các domain
        controller khác. Tuy nhiên để đảm bảo sự ổn định cho hệ thống mạng,
chúng ta cần phải có một chính sách hợp lí cho các domain trong việc
        đồng bộ hóa thông tin dữ liệu với một thời điểm phù hợp.
      Domain Controller tự động đồng bộ hóa ngay lập tức các thay đổi
        quan trọng đối với cả Domain như disable một user account.
      Active Directory sử dụng việc đồng bộ hóa dữ liệu theo cơ chế
        multimaster, nghĩa là không có domain controller nào đóng vai trò là
        master cả, mà thay vào đó thì tất cả domain controller đểu ngang
        hàng với nhau, mỗi domain controller lưu trữ một bản sao của
        database hệ thống. Các domain controller lưu trữ các thông tin dữ liệu
        khác nhau trong một khỏang thời gian ngắn cho đến khi thông tin các
        domain controller trong hệ thống đều được đồng bộ với nhau, hay nói
        cách khác là thống nhất dữ liệu cho toàn domain.
      Mặc dù là Active Directory hỗ trợ hoàn toàn việc đồng bộ dữ liệu theo
        cơ chế multimaster nhưng thực tế thì không phải lúc nào cũng theo cơ
        chế này (việc thực thi không được cho phép ở nhiều nơi trong hệ
        thống mạng trong cùng một thời điểm). Operations master roles là
        các roles đặc biệt được assigned với 1 hoặc nhiều domain ontrollers
        khác để thực hiện đồng bộ theo cơ chế single-master, ta có thể dễ
        dàng nhận thấy việc thực thi operations của multimaster là sự thực thi
        của nhiều single-master đồng thời.
      Hệ thống có nhiều hơn một domain hỗ trợ trong trường hợp dự phòng
        backup domain controller, khi một domain controller có vấn đề xảy ra
        thì các domain sẽ tự động chạy dự phòng, đảm bảo hệ thống luôn
        được ổn định.
           Domain Controller quản lí các vấn đề trong việc tương tác với
        domain của users, ví dụ xác định đối tượng trong Active Directory hay
        xác thực việc logon của user.
2    Cơ chế hoạt động của Active Directory
2.1 Directory service
2.2 Active directory schema
    Trong Active Directory, database lưu trữ chính là AD Schema, Schema định
  nghĩa các đối tượng được lưu trữ trong Active Directory. Nhưng Schema lưu
  trữ các đối tượng thế nào? Thực chất, schema là một danh sách các định
  nghĩa xác định các loại đối tượng và các loại thông tin về đối tượng lưu trữ
  trong Active Directory. Về bản chất, schema cũng được lưu trữ như 1 object.
    Schema được định nghĩa gồm 2 loại đối tượng (object) là schema class
  objects và schema Attribute objects
2.3 Global catalog (GC)
    GC lưu trữ tất cả các object của miền chứa GC và một phần các object
  thường được người dùng tìm kiếm của các domain khác trong forest.
    Global catalog lưu trữ:
          Những thuộc tính thường dùng trong việc truy vấn như user’s first
          name, last name, logon name
          Thông tin cần thiết để xác định vị trí của bất kỳ object nào trong
          active directory
          Tập hợp các thuộc tính mặc định cho mỗi loại object
          Quyền truy cập đến mỗi object
2.4 Global catalog server
      Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin về
  tất cả các đối tượng trong Active Directory. Phần lớn,global catalog là lưu trữ
  thông tin đó là các truy vấn thường được sử dụng. Nói cách khác, nó chứa
  các thông tin cần thiêt để tìm các đối tượng
       Một global catolog cần được tạo trong domain controller đầu tiên của
  rừng. Domain controller này được gọi là Global Catalog Server. Một global
  catalog server duy trì một bản copy đầy đủ cơ sở dữ liệu của Active Directory
  của domain điều khiển của nó. Nó duy trì một phần copy của cơ sở dữ liệu
  Active Directory của domain khác trong rừng. Một Global Catalog Server
  cũng xử lý các truy vấn được xây dựng trở lại và cho ra kết
    quả.
2.5 Distinguished và relative distinguished name
    Distinguished name (DN): là tên để định danh đối tượng duy nhất trong
  Active Directory
   Relative distinguished name (RDN): là phần tên cũng chính là thuộc tính
  của đối tượng
   Ví dụ:DN: CN=TaiTV,OU=KhoaCNTT,OU=HCM,DC=ispace,DC=vn
RDN: CN=TaiTV




2.6 Cơ chế single sign-on
   Mỗi user chỉ dùng 1 acount cho nhiều dịch vụ
   Làm đơn giản hoá việc quản lý và sử dụng
3    Cơ chế quản lý Active Directory
Tập trung
    Cho phép admin có thể quản trị tài nguyên tập trung
    Cho phép admin có thể xác định thông tin của các object
    Cho phép dùng chính sách nhóm để quản lý user
   




Phân tán
      Uỷ quyền quản lý cho quản trị viên khác
      Quản trị hệ thống Active Directory quy mô lớn linh hoạt hơn
4    Công cụ quản lý Active Directory

   Những công cụ quản lý Active Directory thường cung cấp ở dạng Snap-in cho
   MMC (Microsoft Management Console).
     Active Directory users and Computer: quản trị người dùng, nhóm, máy
      tính, và đơn vị tổ chức.
     Active Directory and Trusts: dùng làm việc với vùng, hệ vùng phân cấp,
      tập hợp hệ vùng phân cấp.
     Active Directory Sites and Services : quản lý Site và mạng con.
5 Active directory Domain & Forest
 5.1 Forest & Domain function level



                                                                  2003.
5.2   Tạo Relationships
  Trust Relationship cho phép người dùng trong domain này truy cập tài
  nguyên ở domain khác. Một trust relationship trên window server bao gồm 3
  đặc tính :
      Explicitly or Implicitly (tường minh hay ngầm định)
           Explicitly trust là loại liên kết tường minh, do người quản trị thiết lập
           bằng tay. Ví dụ như shortcut trust, external trust.
           Implicitly trust là loại liên kết ngầm định, do hệ thống thiết lập tự
           động. Ví dụ như parent/child trust, tree/root trust.
     Transitive or Non-transitive (có tính bắc cầu hay không có tính bắc
        cầu)
           Transitive trust là loại liên kết mà mối liên kết không chỉ giới hạn
           giữa hai domain tham gia trực tiếp mà còn mở rộng ra những
           domain liên quan. Quan sát hình 1, domain D trust trực tiếp domain
           E, còn domain E lại trust trực tiếp domain F và cả hai đều là
           transitive trust thì domain D cũng trust gián tiếp domain F và ngược
           lại. Transitive trust được hệ thống thiết lập tự động, một trong
           những ví dụ về loại trust này là parent/child trust (liên kết giữa
           domain cha và domain con).
           Non-transitive trust có tính chất ngược với transitive trust, loại liên
           kết này chỉ giới hạn trong hai domain tham gia trực tiếp vào liên kết
           chứ không mở rộng ra các domain liên quan với hai domain đó.
           Non-transitive trust không được hệ thống thiết lập tự động. Ví dụ
           điển hình về non-transitive trust là external trust, liên kết giữa 2
           domain thuộc 2 forest khác nhau.
     Trust direction (chiều của liên kết)
            Trong Windows 2003, có 3 loại trust direction: one-way incoming,
            one-way outgoing, two-way. Ví dụ như trên hình 1, ta thấy trust
            relationship giữa domain B và domain Q là một chiều (one-way).
            Đứng trên domain B, nếu ta thiết lập one-way incoming trust thì
            các đối tượng trên domain B sẽ được chứng thực trên domain Q;
            còn nếu ta thiết lập one-way outgoing trust thì các đối tượng trên
            domain Q sẽ được chứng thực trên domain B. Cuối cùng, nếu ta
            thiết lập two-way trust thì các đối tược trên cả hai domain sẽ được
            chứng thực trên domain đối phương.
            Trên Windows 2000 thì liên kết trust chỉ có one-way và non-
            transitive. Do vậy, để tạo ra liên kết cho một hệ thống lớn, người
quản trị cần thiết lập và quản lý nhiều trust relationship. Bắt đầu từ
             Windows 2003 thì trust relationship có 3 đặc tính trên đã đơn giản
             hóa công việc và giảm thiểu nhiều công sức quản lý cho người
             quản trị.
          Các loại Trust
             Shortcut: được người quản trị thiết lập giữa hai domain trong
             cùng một forest đê nhầm giảm bớt các bước chứng thực cho các
             đối tượng .sử dụng trong quá trình
             Kerberos v5 .
             Forest: được người quản trị thiết lập giữa hai forest.Đây là phương
             pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc
             domain của các forest .
             External:được người quản trị thiết lập để liên kết hai domain
             thuộc hai forest khác nhau để giảm bớt các b

                                                        .
             Realm:
             Kerberos.
6 Organization Unit ( OU )
  6.1 Tìm hiểu OU
      OUS được tạo ra để làm quản trị đại diện, để quản trị chính sách nhóm,
   và để giấu các object. Tạo các OU để quản trị đại diện là lý do quan trọng
   nhất để tạo một OU, và bạn nên cân nhắc trước khi tạo các OUS để quản trị
   chính sách nhóm hoặc để dấu object. Các tác vụ quản trị của OU như đổi
   tên, di chuyển và xóa các OU, và cài đặt các thuộc tính của OU, là các tác vụ
   cần thiết bạn phải biết để bảo trì các OU
      Organizational unit(OU) là một container sử dụng để sắp xếp các object
   trong một miền vào một nhóm quản trị logic. Một OU có thể chứa các object
   như tài khoản người sử dụng, nhóm, máy tính, máy tin, các ứng dụng, các
   thư mục chia sẻ, và các OU khác từ cùng một miền. Các OU được biểu diễn
   bằng biểu tượng thư mục với 1 quyển sách bên trong. Các OU có thể được
   thêm vào các OU khác tạo nên cấu trúc phân cấp; quá trình này được gọi là
   nesting OU. Mỗi miền có một cấu trúc OU riêng, cấu trúc của OU trong một
   miền không phụ thuộc vào cấu trúc của các OU ở các miền khác.
      Có 3 lý do để tạo ra OU
         Để ủy quyền quản trị
         Để quản trị group policy
         Để che dấu các object
6.2       Ủy quyền quản lý OU
    Organizasional Units hay OU còn gọi là đơn vị nhỏ nhất trong hệ thống
active directory , nó được xem là vật chứa các đối tượng (object) được dùng
để sắp xếp các đối tượng khác nhau phục vụ cho các mục đích quản trị của
bạn. Việc sử dụng OU có hai công dụng chính như sau :
         Trao quyền kiểm soát một tập hợp các tài khoản người dung, máy tính
          hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị
          nào đó(sub-administrator),từ đó giảm bớt công tác quản trị cho người
          quản trị toàn bộ hệ thống.
         Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người
          dung trong OU thông qua việc sử dụng các đối tượng chính sách
          nhóm(Group policy)
Mục đích uỷ quyền quản trị OU
         Phân tán việc quản lý cho từng OU
         Đơn giản hoá trong việc quản trị
         Việc uỷ quyền cung cấp
         Việc tự quản trong mỗi OU
         Cô lập quản lý dữ liệu và dịch vụ




Các tác vụ quản trị OU :
         Thay đổi thuộc tính của vật chứa (container)
         Tạo và xóa object
         Thay đổi thuộc tính của object
Chiến lược trong việc triển khai cấu trúc OU
7 Tài khoản Users, Group, Computer
 7.1 Giới thiệu Tài khoản
      User Acount: Là tài khoản người dung. Khi cài đặt AD sẽ có một số user
  được tạo ra mặc định (Build –in) như Administrato – là quyền quạn trị cao
  nhất cho toàn quyền hệ thống. User này không thể gỡ bỏ được. ngoài ra
  nhân viên sữ dụng máy tính trong hệ thống để có thể sữ dụng tài nguyên và
  đăng nhập vào hệ thống thì người dung quản trị khởi tạo user và phân
  quyền sữ sụng.
      Computer Account: Mỗi máy tính chạy Microsoft Windows NT,
  Windows 2000, Windows XP, Windows Server 2003 tham gia vào domain đề
  có một computer account . Tương tự như user account. Các computer
  account cung cấp ý nghĩa thẩm định quyền và chỉnh quyền truy xuất vào
  mạng và các tai nguyên domain .
      Group : Là tập hợp một số user có những đặc tính chung như truy cập
  chung một thư mục nào đó, hay phân nhóm theo phòng ban…
 7.2 Giới thiệu tài khoản người dùng
     Tài khoản người dùng là tập hợp quyền hạn duy nhất cho một người dung
  cho phép người dùng đăng nahaapvaof domain để truy xuất tài nguyên
  mạng hoặc đăng nhập vào một máy tính cụ thể nào đó. Những người sữ
  dùng mạng thường xuyên nên có một tài khoản người dùng
    7.2.1 Tài khoản người dùng cục bộ
     Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng
  định định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài
  nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng
  thì người dùng này phải chứng thực lại với máy domain controller hoặc máy
  tính chứa tài nguyên chia sẻ.
    7.2.2 Tài khoản người dùng miền
     Tài khoản người dùng miền (domain user account) là tài khoản người
  dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon)
vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản
   này người dùng có thể truy cập đến các tài nguyên trên mạng.
    7.2.3 Yêu cầu về tài khoản người dùng
   Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên
      đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy
      cài hệ điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký
      tự).
   Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên
      của người dùng và nhóm không được trùng nhau.
   Username không chứa các ký tự sau: “ /  [ ] : ; | = , + * ? < >
   Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm
      câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới.
7.3 Tài khoản nhóm
       Tài khoản nhóm (group account) là một đối tượng đại diện cho một
   nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người
   dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp
   quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. Chú ý là tài
   khoản người dùng có thể đăng nhập vào mạng những tài khoản nhóm
   không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm người
   chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối
   (distribution group).
    7.3.1 Nhóm bảo mật
      Nhóm bảo mật là loại nhóm được dùng để cấp phát các quyền hệthống
  (rights) và quyền truy cập (permission). Giống như các tài khoản người dùng,
  các nhóm bảo mật đều được chỉ định các SID. Cóba loại nhóm bảo mật chính
  là: local, global và universal. Tuy nhiênnếu chúng ta khảo sát kỹ thì có thể
  phân thành bốn loại như sau:local, domain local, global và universal
    Local group (nhóm cục bộ) là loại nhóm có trên các máy stand- alone
       Server, member server, Win2K Pro hay WinXP. Các nhóm cục bộ này chỉ
       có ý nghĩa và phạm vi hoạt động ngay tại trên máy chứa nó thôi.
    Domain local group (nhóm cục bộ miền) là loại nhóm cục bộ đặc biệt
       vì chúng là local group nhưng nằm trên máy Domain Controller. Các máy
       Domain Controller có một cơ sở dữ liệu Active Directory chung và được
       sao chép đồng bộ với nhau do đó một local group trên một Domain
       Controller này thì cũng sẽ có mặt trên các Domain Controller anh em của
       nó, như vậy local group này có mặt trên miền nên được gọi với cái tên
       nhóm cục bộ miền. Các nhóm trong mục Built-in của Active Directory là
       các domain local.
    lobal group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm
       trong Active Directory và được tạo trên các Domain Controller. Chúng
       dùng để cấp phát những quyền hệ thống và quyền truy cập vượt qua
       những ranh giới của một miền. Một nhóm global có thể đặt vào trong
       một nhóm local của các server thành viên trong miền. Chú ý khi tạo
nhiều nhóm global thì có thể làm tăng tải trọng công việc của Global
    Catalog.
  Global group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm
    trong Active Directory và được tạo trên các Domain Controller. Chúng
    dùng để cấp phát những quyền hệ thống và quyền truy cập vượt qua
    những ranh giới của một miền. Một nhóm global có thể đặt vào trong
    một nhóm local của các server thành viên trong miền. Chú ý khi tạo
    nhiều nhóm global thì có thể làm tăng tải trọng công việc của Global
    Catalog.
  Universal group (nhóm phổ quát) là loại nhóm có chức năng giống như
    global group như nó dùng để cấp quyền cho các đối tượng trên khắp các
    miền trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với
    nhau. Loại nhóm này tiện lợi hơn hai nhóm global group và local group vì
    chúng dễ dàng lồng các nhóm vào nhau. Nhưng chú ý là loại nhóm này
    chỉ có thể dùng được khi hệ thống của bạn phải hoạt động ở chế độ
    Windows 2000 native functional level hoặc Windows Server 2003
    functional level có nghĩa là tất cả các máy Domain Controller trong mạng
    đều phải là Windows Server 2003 hoặc Windows 2000 Server.
  7.3.2 Nhóm phân phối
   Nhóm phân phối là một loại nhóm phi bảo mật, không có SID và không
xuất hiện trong các ACL(Access Control List). Loại nhóm này không được
dùng bởi các nhà quản trị mà được dùng bởi các phần mềm và dịch vụ.
Chúng được dùng để phân phối thư (e-mail) hoặc các tin nhắn (message).
  7.3.3 Tài khoản người dùng tạo sẵn
   Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng
mà khi ta cài đặt Windows Server 2003 thì mặc định được tạo ra. Tài khoản
này là hệ thống nên chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi
tên. Tất cả các tài khoản người dùng tạo sẵn này đều nằng trong Container
Users của công cụ Active Directory User and Computer.
Mô tả các tài khoản người dùng được tạo sẵn

    Tên nhóm       Mô tả
                   Nhóm này mặc định được ấn định sẵn tất cả các quyền hạn
  Administrators   cho nên thành viên của nhóm này có toàn quyền trên hệ
                   thống mạng. Nhóm Domain Admins và Enterprise Admins
                   là thành viên mặc định của nhóm Administrators.
                   Thành viên của nhóm này có thể thêm, xóa, sửa được các
Account Operators tài khoản người dùng, tài khoản máy và tài khoản nhóm.
                   Tuy nhiên họ không có quyền xóa, sửa các nhóm trong
                   container Built-in và OU.
                   Nhóm này chỉ có trên các Domain Controller và mặc định
Domain Controllers không có thành viên nào, thành viên của nhóm có thể đăng
                   nhập cục bộ vào các Domain Controller nhưng không có
                   quyền quản trị các chính sách bảo mật.
Thành viên của nhóm này có quyền lưu trữ dự phòng
                    (Backup) và phục hồi (Retore) hệ thống tập tin.Trong
Backup Operators    trường hợp hệ thống tập tin là NTFS và họ không được gán
                    quyền trên hệ thống tập tin thì thành viên của nhóm này
                    chỉ có thể truy cập hệ thống tập tin thông qua công cụ
                    ackup. Nếu muốn truy cập trực tiếp thì họ phải được gán
                    quyền.

                    Là nhóm bị hạn chế quyền truy cập các tài nguyên trên
     Guests         mạng. Các thành viên nhóm này là người dùng vãng lai
                    không phải là thành viên của mạng. Mặc định các tài khoản
                    Guest bị khóa
  Print Operator    Thành viên của nhóm này có quyền tạo ra, quản lý và xóa
                    bỏ các đối tượng máy in dùng chung trong Active Directory.
                    Thành viên của nhóm này có thể quản trị các máy server
Server Operators    trong miền như: cài đặt, quản lý máy in, tạo và quản lý
                    thư mục dung chung, backup dữ liệu, định dạng đĩa, thay
                    đổi giờ…
                    Mặc định mọi người dùng được tạo đều thuộc nhóm này,
      Users         nhóm này có quyền tối thiểu của một người dùng nên việc
                    truy cập rất hạn chế.
                    Nhóm này được dùng để hỗ trợ việc sao chép danh bạ
    Replicator      trong Directory Services, nhóm này không có thành viên
                    mặc định.
 Incoming Forest    Thành viên nhóm này có thể tạo ra các quan hệ tin cậy
  Trust Builders    hướng đến, một chiều vào các rừng. Nhóm này không có
                    thành viên mặc định.
     Network        Thành viên nhóm này có quyền sửa đổi các thông số
   Configuration    TCP/IP trên các máy Domain Controller trong miền.
    Operators
Pre-Windows 2000    Nhóm này có quyền truy cập đến tất cả các tài khoản
Compatible Access   người dùng và tài khoản nhóm trong miền, nhằm hỗ trợ
                    cho các hệ thống WinNT cũ.
 Remote Desktop     Thành viên nhóm này có thể đăng nhập từ xa vào các
     User           Domain Controller trong miền, nhóm này không có thành
                    viên mặc định
 Performace Log     Thành viên nhóm này có quyền truy cập từ xa để ghi nhận
      Users         lại những giá trị về hiệu năng của các máy Domain
                    Controller, nhóm này cũng không có thành viên mặc định.
   Performace       Thành viên nhóm này có khả năng giám sát từ xa các máy
  Monitor Users     Domain Controller.
Ngoài ra còn một số nhóm khác như DHCP Users, DHCP Administrators, DNS
Administrators… các nhóm này phục vụ chủ yếu cho các dịch vụ, chúng ta sẽ tìm
hiểu cụ thể trong từng dịch vụ ở giáotrình “Dịch Vụ Mạng”.Chú ý theo mặc định
hai nhóm Domain Computers và Domain Controllers được dành riêng cho tài
khoản máy tính, nhưng bạn vẫn có thể đưa tài khoản người dùng vào hai nhóm
này.

Tên Nhóm             Mô ta
                     Thành viên của nhóm này có thể toàn quyền quản trị các
Domain Admins        máy tính trong miền vì mặc định khi gia nhập vào miền
                     các member server và các máytrạm (Win2K Pro, WinXP)
                     đã đưa nhóm Domain Admins là thành viên của nhóm
                     cục bộ Administrators trên các máy này.
                     Theo mặc định mọi tài khoản người dùng trên miền đều
Domain Users         là thành viên của nhóm này. Mặc định nhóm này là
                     thành viên của nhóm cục bộ Users trên các máy server
                     thành viên và máy trạm.
Group Policy Creator Thành viên nhóm này có quyền sửa đổi chính sách nhóm
Owners               của miền, theo mặc định tài khoản administrator miền là
                     thành viên của nhóm này.
                     Đây là một nhóm universal, thành viên của nhóm này có
Enterprise Admins    toàn quyền trên tất cả các miền trong rừng đang xét.
                     Nhóm này chỉ xuất hiện trong miền gốc của rừng thôi.
                     Mặc định nhóm này là thành viên của nhóm
                     administrators trên các Domain Controller trong rừng.
                     Nhóm universal này cũng chỉ xuất hiện trong miền gốc
Schema Admins        của rừng, thành viên của nhóm này có thể chỉnh sửa cấu
                     trúc tổ chức (schema) của Active Directory.

    7.3.4 Các nhóm tạo sẵn đặc biệt
     Interactive: đại diện cho những người dùng đang sử dụng máy tại chỗ.
     Network: đại diện cho tất cả những người dùng đang nối kết mạng đến
       một máy tính khác.
     Everyone: đại diện cho tất cả mọi người dùng.
     System: đại diện cho hệ điều hành.
     Creator owner: đại diện cho những người tạo ra, những người sở hữa
       một tài nguyên nào đó như: thư mục, tập tin, tác vụ in ấn (print
       job)…
     Authenticated users: đại diện cho những người dùng đã được hệ
       thống xác thực, nhóm này được dùng như một giải pháp thay thế an
       toàn hơn cho nhóm everyone.
     Anonymous logon: đại diện cho một người dùng đã đăng nhập vào hệ
       thống một cách nặc danh, chẳng hạn một người sử dụng dịch vụ FTP.
7.4     Tạo & quản lý account
Có nhiều cách để tạo và quản lý tài khoản người dùng
       Sử dụng Active Directory Users and Computers




         Sử dụng Directory Service Tools
   Sử dụng Cvsde and Ldifde Tools




 Sử dụng Windows Scipt Host
8 Chính sách nhóm
  8.1 Group Policy là gì?
       Chính sách Nhóm là một tính năng cực kỳ quan trọng trong tất cả các hệ
   điều hành Windows NT dựa trên máy chủ, bao gồm 2000, 2003, và 2008
   Group Policy cung cấp cho quản lý tập trung cùng với cấu hình cho người
   dùng từ xa và các máy tính bên trong một môi trường máy chủ Active
   Directory. Group Policy là tập hợp các quy tắc và tiêu chuẩn mà dictates
   những gì người dùng có thể và không thể làm trên một mạng lưới máy tính
   Active Directory, cũng như những gì máy tính mà họ có thể làm điều đó. Lý
   do chính cho việc thực hiện chính sách nhóm an ninh liên quan, hạn chế
   quyền truy cập vào các tập tin cá nhân, hệ thống máy tính, ổ đĩa máy chủ, và
   vv. Nó thường được sử dụng trong môi trường mạng nhỏ hơn, chẳng hạn
   như trường học, để đảm bảo các chức năng mạng bằng cách chặn các chức
   năng có khả năng gây hại. Ví dụ về các điều Group Policy có thể giới hạn như
   rộng như toàn bộ trình điều khiển ảo, hoặc một cái gì đó như là đơn giản như
   ngăn chặn Windows Task Manager chạy, cấm sử dụng Regedit, hạn chế
   quyền truy cập vào các thư mục, không cho phép việc sử dụng thực thi, và
   nhiều, nhiều hơn.
  8.2 Chức năng của Group Policy
     Group policy có thể được coi là một thứ system policy phiên bản thứ
       2.các chính sách này được Microsoft phát minh ra kể từ Win2k và chỉ có ý
       nghĩa đối với các máy Win2k/Xp/Win2k3
     Triển khai phần mềm ứng dụng : ta có thể gom tất cả các tập tin cần
       thiết để cài đặt một phần mềm nào nó vào trong gói(package),đặt nó lên
       server rùi dung chính sách nhóm hướng một hoặc nhiều máy trạm đến
       gói phần mềm đó.hệ thống sẽ tự động cài đặt phần mềm này tất cả các
       máy trạm mà không cần sự can thiệp nảo của người dung.
     Gán quyền hệ thống cho người dùng : chức năng này tương tự với chức
       năng của chính sách hệ thống. Nó có thể cấp cho một hoặc nhiều nhóm
       người nào đó có quyền tắt máy server,đổi giờ hệ thống hay backup dữ
       liệu.
     Giới hạn những ứng dụng mà người dùng được phép thi hành :chúng có
       thể kiểm soát máy trạm của một người dùng nào đó và cho phép người
       dùng này chỉ chạy được một vài nào đó thôi như :outlook express ,word
       hay excel .
     Kiểm soát các thiết lập hệ thống : ta có thể dùng chính sách nhóm để
       quy định hạn ngạch đĩa cho một người dung nào đó.người dung này chỉ
       được phép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo quy đinh.
8.3 quản ly GPO
  Copy GPO


       GPO mới có các thiết lập của GPO được copy
       GPO mới được tạo chưa được áp dụng




    Backup GPO : Thao tác backup GPO, GPM sẽ export tất cả dữ liệu trong
     GPO tới vị trí xác định và lưu các GPT file.




    Restore GPO : Phục hồi GPO trả lại trạng thái tại thời điểm backup




    Copy GPO : Thao tác Import GPO sẽ copy toàn bộ các thiết lập từ GPO
     nguồn vào GPO hiện tại.
9 Site and Replication
9.1 Giới thiệu về active directory replication
     Sự đồng bộ của dịch vụ AD (Active Directory Replication) là tiến trình cập
  nhật khi có sự thay đổi một đối tượng trên Domain Controller này với các
  Domain Controller khác trong miền.
     Quá trình đồng bộ dịch vụ Active Directory diễn ra khi
          Tạo mới đối tượng trong AD ví dụ: tạo mới user hay computer
          account
          Thay đổi thuộc tính một đối tượng.
          Thay đổi tên của vật chứ (Container) ví dụ: đổi tên OU.
          Xóa một đối tượng ví dụ: xóa user hay computer account
    
          Change notification: sự thông báo khi có thay đổi đối tượng trong
          AD cho các Domain Controller trong cùng một site.
          Replication latency: độ trể từ khi một có sự thay đổi trong AD đến
          khi được cấp nhật trên tất cả các DC trong cùng 1 site.
          Urgent replication: Ngay lập tức gửi cập nhật sự thay đổi thay vì đợi
          thời gian mặc định là 15 giây.
          Convergence: Khi dịch vụ AD được đồng bộ trên tất cả các DC trong
          miền thì hệ thống gọi là “hội tụ” (Convergence)
          Propagation dampening: cơ chế sử dụng USN (Update Sequence
          Number) để ngăn chặn gửi trùng lặp dữ liệu trong quá trình đồng
          bộ của dịch vụ AD.
                                                                  .
          Globally unique stamp: Dùng để giải quyết xung đột thông tin gồm:
          Version number, timestamp và Globally Unique Identifier (GUID)
     Directory Partition


           tính của đối tượng và được đồng bộ trên tất cả các Domain
           Controller trong forest.
.


                                                                           .

                                              ts và được đồng bộ với tất cả các
         Domain Controller trong cùng miền.

         Directory. Thông tin trong Application partition không được lưu trữ
         trong Global Catalog.Cho phép chỉ định đồng bộ với DC nào trong
         forest
        Global Catalog và Sự đồng bộ Partition

            configuration. Ngoài ra còn lưu trữ domain partition của nó và một
            phần domain partition của domain khác trong forest.


                                                                               .
                                                                           .
9.2       Tạo và cấu hình site
  


                                                                 i.

                                                         .
                    -   -   -
                                                             .




       Site Link
.
                Tượng trưng cho kết nối vật lý giữa 2 site.
                Công cụ tạo site link: Active Directory Sites and Services.
                Default site link
         Site link attributes
               Site link cost: Xác định tốc độ, mối tin cậy và độ ưu tiên của liên
               kết. Link cost thấp thì có độ ưu tiên cao.
               Site link replication schedule: Xác định thời gian liên kết được dùng
               để đồng bộ dữ liệu.
               Site link replication frequency: Xác định thời gian AD phải chờ trước
               khi sử dụng liên kết để cập nhật database của dịch vụ AD. Mặc định
               180 phút (có thể thay đổi trong khoảng 15 phút tới 1 tuần).
               Site link transport protocols: Giao thức dùng đồng bộ trong site:
               RPC over IP hoặc SMTP.
  9.3     Quản lý site topology
         Bridgehead Server

                                          .
                                                                     .
                                                                                   .

                                                                .

                                                          .
         Intersite Topology Generator

                                                    .
              Bridgehead server.

              controlle                            .
              Chạy tiến trình KCC để xác định mô hình đồng bộ (Replication
              Topology) và các connection object dự phòng mà các bridgehead
              server có thể sử dụng để truyền thông với các bridgehead server ở
              các site

10    Bố trí Domain contronller
10.1 Global Catolog trong AD
      Global catalog server là máy chủ lưu trữ tất cả thông tin của các đối
        tượng trong Active Directory
      Global catalog server là máy chủ domain controller đầu tiên.
      Hỗ trợ tìm kiếm dữ liệu và thông tin trên Active Directory.
   Nếu không có global catalog server thì quá trình logon của user sẽ thất
       bại.
      Global Catalog Server cung cấp thông tin các thành viên trong Universal
       group trên môi trường multidomain. Thông tin các thành viên (member)
       trong Universal Group được lưu trữ trên GC Server thay vì được lưu trữ
       trên DC như Global Group.




10.2 Customize Global Catalog Server
    Đôi khi cần phải chỉnh sữa lại các thuộc tính của global catalog server,
     để thêm một số thuộc tính của đối tượng.
    Những cân nhắc khi thêm thuộc tính vào global catalog server:
    Thêm một số thuộc tính cho user và ứng dụng thường xuyên sử dụng
     và truy vấn.
    Tất cả các thuộc tính thay đổi trong global catalog server sẽ được
     update cho tất cả các global catalog. Nên các thay đổi của các thuộc
     tính cũng ảnh hưởng đến quá trình sao chép.
10.3 Phân bổ domain contronller trong AD
        Nên bố trí domain controller trong Site nếu:
         Có nhiều user trong site
         Các ứng dụng liên quan AD trong site
        Site có nhiều resource server mà user có thể truy cập khi kết nối
        WAN bị lỗi.
         Không nên bố trí Domain controller trong site nếu:
       Không có tính bảo mật vật lý
         Khó khăn trong việc duy trì hoạt động
         Xác định số lượng domain controller dựa trên:
         Số user trong site
         Yêu cầu về hiệu suất
   Bố trí Global Catalog Server
             Global catalog server phải có đủ dung lượng ổ đĩa trống.
             Global catalog server phải trả lời nhanh các yêu cầu truy vấn và
             chứng thực của client.
             Cung cấp đủ băng thông WAN cho global catalog server
             Sử dụng nhiều global catalog server
             Cấu hình tất cả thành global catalog server nếu forest chỉ có một
             domain.

11 Operation Master
11.1 Giới thiệu Operation Master Role
  Schema Master
        Active Directory schema định nghĩa các loại đối tượng và các loại thông
        tin của đối tượng được lưu trữ trong Active Directory.
        Active Directory schema thực hiện các roles
        Điều khiển tất cả update trong schema
        Chứa danh sách chính các object class và atrribute của object dùng để
        tạo các object trong AD.
         Sao chép update đến tất cả AD Schema đến các domain controller
        trong forest.
         Chỉ cho phép các user thuộc nhóm Schema Admins mới được thay đổi
        schema.




     Domain Naming Master
           Điều khiển việc thêm hoặc xóa bỏ domain trong forest
           Một rừng Active Directory có thể gồm nhiều miền.Việc kiểm tra các
           miền này là công việc của Domain Naming Master.Nếu Domain
Naming Master bị lỗi thì nó không thể tạo và gỡ bỏ các miền cho tới
         khi Domain Naming Master quay trở lại trực tuyến.
         Để xác định máy chủ nào đang hoạt động như Domain Naming
         Master cho một forest ta mở Active Directory Domains and Trust,khi
         cửa sổ này được mở,kích chuột phải vào Active Directory Domains
         and trusts và chọn Operations Masters.Sau khi chọn xong window
         sẽ hiện thị Domain Naming Master.




   PDC Emulator ( Primary Domain Controller Emulator )
      PDC Emualator dùng để hỗ trợ cho các Backup Domain Controller là
      Windows NT khi Domain Functional Level là mixed-mode.
      Phù hợp cho các hệ thống đang nâng cấp từ Windows NT lên Server
      2003.
      PDC emulator thực hiện các roles:
      Thực hiện đồng bộ giữa PDC và BDC là Windows NT.
      Quản lý việc thay đổi mật khẩu từ các phiên bản Windows trước
      Windows 2000.
      Giảm thiểu sao chép của việc thay đổi mật khẩu.
      Đồng bộ thời gian giữa các domain controller trong toàn domain.
      Ngăn cản khả năng ghi đè của Group Policy objects.
    RID Master ( Relative Identifier Master )
     RID Master cấp phát các Block RID cho mỗi Domain Controller trong
       miền. Khi Domain Controller tạo mới một đối tượng như: user,
       computer, group thì nó sẽ gán cho đối tượng đó một SID (Domain
       SID + RID).
     Các đối tượng trong cùng domain thì có Domain SID giống nhau.
     RID Master thực hiện các tác vụ sau:
     Hỗ trợ tạo các đối tượng trong AD, khi một đối tượng mới được tạo
       ra sẽ gán một RID riêng biệt.
     Hỗ trợ di chuyển các đối tượng trong AD.
     Nếu không thể liên lạc được với RID Master roles Server trong miền
       thì quá trình tạo mới một đối tượng (user/group/computer) sẽ thất
       bại
     Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan
       hệ cho một miền, ta mở Active Directory Users and Computers. Khi
       cửa số này được mở, kích chuột phải vào danh sách miền hiện hành
       và chọn Operations Masters. Windows sẽ hiển thị trang thuộc tính
       của Operations Masters. Trong cửa sổ này ta có thể chọn bộ điều
       khiển miền nào đang thực hiện như bộ nhận dạng quan hệ bằng
       cách quan sát ở tab RID của trang thuộc tính.
   Infrastructure Master
       Infrastructure master là Domain Controller phụ trách cập nhật thay đổi
       của các đối tượng trong domain có tham chiếu tới các đối tượng trong
       domain khác.
       Infrastructure master thực hiện cập nhật thông tin định danh của đối
       tượng theo các luật sau:
       Khi đối tượng di chuyển thì DN name cũng được thay đổi
       Nếu đối tượng di chuyển trong cùng một miền thì SID không đổi.
       Nếu đối tượng di chuyển đến một domain khác, thì SID được thay đổi
       tương ứng với domain đó.
       GUID không thay đổi bất, vì nó là duy nhất trên tất cả domain.
       Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ
       không thể nhìn thấy trong đường biên miền.
       Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure
       Master cho một miền, mởActive Directory Users and Computers. Khi
       cửa số này được mở, bạn kích chuột phải vào danh sách miền hiện
       hành và chọn Operations Masters, Windows sẽ hiển thị trang thuộc
       tính của Operations Masters. Bạn có thể xác định được bộ điều khiển
       miền nào đang thực hiện với tư cách Operations Master bằng cách
       nhìn vào tab Infrastructure của trang thuộc tính.
11.2 Chuyển giao & chiếm đoạt Master Role
  Chuyển giao Master Role
     Khi cơ sở hạ tầng mạng có sự thay đổi lớn thì cần phải chuyển giao các
     server roles




      Quyền hạn để thực hiện tác vụ chuyển giao Master Role
       o Schema master: Schema Adminis
       o Domain naming master: Enterprise Admins
       o PDC emulator: Domain Admin
       o RID master: Domain Admins
       o Infrastructure master: Domain Admins.
      Điều cần phải lưu ý ở đây là Schema Master Role: Muốn xem được
      Schema Master Role bạn phải vào Active Directory Schema Snap-in,
      thật không may là mặc định Active Directory Schema Snap-in lại không
      được tự động cài đặt cùng với Active Directory. Nhưng ta có thể cài
      đặt Snap-In này bằng cách vào cmd gõ: regsvr32 schmmgmt.dll để cài
      đặt Snap-in này. Sau hệ thống báo Success:
Vào run gõ mmc trong cửa sổ này chọn file à add/remove Snap-in
       chọn Add rồi chỉ đến: Active Directory Schema Snap-in sau đó chuột
       phải chọn Operations Master sẽ xem được máy chủ nào là máy chủ
       Schema Master.
   Chiếm đoạt Master Role
       Thực hiện chiếm đoạt Master role khi không thể thực hiện tác vụ
       chuyển giao master role.
       Dữ liệu có thể mất khi chiếm một master role
       Một điều cần lưu ý ở đây là : chỉ khi nào máy chủ Master Role thực sự
       hỏng thì ta mới làm theo phương pháp này, bởi khi ta tự ý nâng cấp
       Master Role cho một máy chủ Domain Controller, khi đó máy chủ
       Master trước được bật lên sẽ bị sung nhau bởi hệ thống không thể có
       hai Master Role.




   Để chiếm đoạt Master roles thì ta dung một tool đó là: ntdsutil
          Step 1: vào run gõ cmd để vào command line
          Step 2: trong giao diện này gõ ntdsutil trong tools này chúng ta gõ:
          roles
          Step 3: connect vào máy chủ vne.vnexperts.net (phải sử dụng
          FQDN như thế này)
           o connections để vào giao diện kết nối
o connect to server (đến server mà ta cần chiếm đoạt các roles)
            để kết nối tới máy chủ cần thiết.
         Step 4: gõ Quit để vào giao diện: fsmo maintenance
          o Seize Schema Master rồi enter
          o Seize Domain Naming Master rồi enter
          o Seize RID Master rồi Enter
          o Seize PDC rồi Enter
          o Seize Infrastructure Master rồi Enter
     Sau khi nhập seize schema master hệ thống sẽ hỏi ta có chắc chắn
      làm việc này không thi ta chọn YES để hệ thống bắt đầu Seize đợi một
      lát sẽ hoàn tất quá trình.
11.3 Di chuyển & chống phân mảnh database của AD
  Ta cần di chuyển và chống phân mảnh cho database của Active Directory
   khi
        Khi dữ liệu trong Active Directory được ghi và xóa nhiều lần dẫn đến
        dữ liệu không được ghi liên tục.
        Dữ liệu bị phân mãnh làm cho quá trình tìm kiếm trên AD sẽ chậm.
        Defragmenting sẽ giúp các record trong AD được ghi vào các sector
        liên tiếp. Giúp tiết kiệm được dung lượng cho Active Directory
        database.
        Khi đĩa cứng hết dung lượng bạn có thể thêm đĩa cứng mới và di
        chuyển database AD vào vị trí mới.
        Khi update phần cứng để phục vụ cho quá trình quản lý có thể lưu
        tạm database AD ở vị trí mới.

More Related Content

What's hot

Bài 3: Triển khai dịch vụ Active Directory - Giáo trình FPT
Bài 3: Triển khai dịch vụ Active Directory - Giáo trình FPTBài 3: Triển khai dịch vụ Active Directory - Giáo trình FPT
Bài 3: Triển khai dịch vụ Active Directory - Giáo trình FPT
MasterCode.vn
 
Đề tài: Thiết kế hệ thống mạng máy tính, HAY, 9đ - tải qua zalo=> 0909232620
Đề tài: Thiết kế hệ thống mạng máy tính, HAY, 9đ - tải qua zalo=> 0909232620Đề tài: Thiết kế hệ thống mạng máy tính, HAY, 9đ - tải qua zalo=> 0909232620
Đề tài: Thiết kế hệ thống mạng máy tính, HAY, 9đ - tải qua zalo=> 0909232620
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...
MasterCode.vn
 
Báo cáo quản lý cửa hàng máy tính
Báo cáo quản lý cửa hàng máy tínhBáo cáo quản lý cửa hàng máy tính
Báo cáo quản lý cửa hàng máy tính
thuvienso
 
Quản lý người dùng
Quản lý người dùngQuản lý người dùng
Quản lý người dùng
Getfly CRM
 
PHÂN TÍCH THIẾT KẾ HỆ THỐNG BÁN HÀNG QUA MẠNG
PHÂN TÍCH THIẾT KẾ HỆ THỐNG BÁN HÀNG QUA MẠNGPHÂN TÍCH THIẾT KẾ HỆ THỐNG BÁN HÀNG QUA MẠNG
PHÂN TÍCH THIẾT KẾ HỆ THỐNG BÁN HÀNG QUA MẠNG
Thùy Linh
 
Phân tích và thiết kế hệ thống quản lý bán hàng
Phân tích và thiết kế hệ thống quản lý bán hàngPhân tích và thiết kế hệ thống quản lý bán hàng
Phân tích và thiết kế hệ thống quản lý bán hàng
leemindinh
 
Đè tài: Phân tích thiết kế hệ thống quản lí phòng trọ, HAY
Đè tài: Phân tích thiết kế hệ thống quản lí phòng trọ, HAYĐè tài: Phân tích thiết kế hệ thống quản lí phòng trọ, HAY
Đè tài: Phân tích thiết kế hệ thống quản lí phòng trọ, HAY
Dịch vụ viết thuê Khóa Luận - ZALO 0932091562
 
Giáo trình phân tích thiết kế hệ thống thông tin
Giáo trình phân tích thiết kế hệ thống thông tinGiáo trình phân tích thiết kế hệ thống thông tin
Giáo trình phân tích thiết kế hệ thống thông tin
Võ Phúc
 
3.1. thiết kế mạng cục bộ
3.1. thiết kế mạng cục bộ3.1. thiết kế mạng cục bộ
3.1. thiết kế mạng cục bộ
Kun Din
 
BÀI TẬP LỚN PHÂN TÍCH THIẾT KẾ HỆ THỐNG: Hệ thống quản lý phòng máy thực hành...
BÀI TẬP LỚN PHÂN TÍCH THIẾT KẾ HỆ THỐNG: Hệ thống quản lý phòng máy thực hành...BÀI TẬP LỚN PHÂN TÍCH THIẾT KẾ HỆ THỐNG: Hệ thống quản lý phòng máy thực hành...
BÀI TẬP LỚN PHÂN TÍCH THIẾT KẾ HỆ THỐNG: Hệ thống quản lý phòng máy thực hành...
nataliej4
 
Báo cáo dự án quản lí thư viện
Báo cáo dự án quản lí thư việnBáo cáo dự án quản lí thư viện
Báo cáo dự án quản lí thư viện
Quân Không Quần
 
Báo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngBáo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạng
jackjohn45
 
Đồ án mạng-Tìm hiểu hệ thống domain controler trên Windows Server 2003
Đồ án mạng-Tìm hiểu hệ thống domain controler trên Windows Server 2003Đồ án mạng-Tìm hiểu hệ thống domain controler trên Windows Server 2003
Đồ án mạng-Tìm hiểu hệ thống domain controler trên Windows Server 2003
Long Kingnam
 
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAY
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAYĐề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAY
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAY
Dịch vụ viết bài trọn gói ZALO 0917193864
 
Đề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đ
Đề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đĐề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đ
Đề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đ
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
Phan tich thiet ke he thong thong tin
Phan tich thiet ke he thong thong tinPhan tich thiet ke he thong thong tin
Phan tich thiet ke he thong thong tin
Nguyễn Duy Hưng
 
Giới thiệu về Rational Rose và Các diagram
Giới thiệu về Rational Rose và Các diagramGiới thiệu về Rational Rose và Các diagram
Giới thiệu về Rational Rose và Các diagram
Huy Vũ
 
Slide báo cáo đồ án tốt nghiệp "Website cửa hàng điện thoại trực tuyến"
Slide báo cáo đồ án tốt nghiệp "Website cửa hàng điện thoại trực tuyến"Slide báo cáo đồ án tốt nghiệp "Website cửa hàng điện thoại trực tuyến"
Slide báo cáo đồ án tốt nghiệp "Website cửa hàng điện thoại trực tuyến"
Tú Cao
 
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đĐề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
Dịch vụ viết bài trọn gói ZALO 0917193864
 

What's hot (20)

Bài 3: Triển khai dịch vụ Active Directory - Giáo trình FPT
Bài 3: Triển khai dịch vụ Active Directory - Giáo trình FPTBài 3: Triển khai dịch vụ Active Directory - Giáo trình FPT
Bài 3: Triển khai dịch vụ Active Directory - Giáo trình FPT
 
Đề tài: Thiết kế hệ thống mạng máy tính, HAY, 9đ - tải qua zalo=> 0909232620
Đề tài: Thiết kế hệ thống mạng máy tính, HAY, 9đ - tải qua zalo=> 0909232620Đề tài: Thiết kế hệ thống mạng máy tính, HAY, 9đ - tải qua zalo=> 0909232620
Đề tài: Thiết kế hệ thống mạng máy tính, HAY, 9đ - tải qua zalo=> 0909232620
 
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...
 
Báo cáo quản lý cửa hàng máy tính
Báo cáo quản lý cửa hàng máy tínhBáo cáo quản lý cửa hàng máy tính
Báo cáo quản lý cửa hàng máy tính
 
Quản lý người dùng
Quản lý người dùngQuản lý người dùng
Quản lý người dùng
 
PHÂN TÍCH THIẾT KẾ HỆ THỐNG BÁN HÀNG QUA MẠNG
PHÂN TÍCH THIẾT KẾ HỆ THỐNG BÁN HÀNG QUA MẠNGPHÂN TÍCH THIẾT KẾ HỆ THỐNG BÁN HÀNG QUA MẠNG
PHÂN TÍCH THIẾT KẾ HỆ THỐNG BÁN HÀNG QUA MẠNG
 
Phân tích và thiết kế hệ thống quản lý bán hàng
Phân tích và thiết kế hệ thống quản lý bán hàngPhân tích và thiết kế hệ thống quản lý bán hàng
Phân tích và thiết kế hệ thống quản lý bán hàng
 
Đè tài: Phân tích thiết kế hệ thống quản lí phòng trọ, HAY
Đè tài: Phân tích thiết kế hệ thống quản lí phòng trọ, HAYĐè tài: Phân tích thiết kế hệ thống quản lí phòng trọ, HAY
Đè tài: Phân tích thiết kế hệ thống quản lí phòng trọ, HAY
 
Giáo trình phân tích thiết kế hệ thống thông tin
Giáo trình phân tích thiết kế hệ thống thông tinGiáo trình phân tích thiết kế hệ thống thông tin
Giáo trình phân tích thiết kế hệ thống thông tin
 
3.1. thiết kế mạng cục bộ
3.1. thiết kế mạng cục bộ3.1. thiết kế mạng cục bộ
3.1. thiết kế mạng cục bộ
 
BÀI TẬP LỚN PHÂN TÍCH THIẾT KẾ HỆ THỐNG: Hệ thống quản lý phòng máy thực hành...
BÀI TẬP LỚN PHÂN TÍCH THIẾT KẾ HỆ THỐNG: Hệ thống quản lý phòng máy thực hành...BÀI TẬP LỚN PHÂN TÍCH THIẾT KẾ HỆ THỐNG: Hệ thống quản lý phòng máy thực hành...
BÀI TẬP LỚN PHÂN TÍCH THIẾT KẾ HỆ THỐNG: Hệ thống quản lý phòng máy thực hành...
 
Báo cáo dự án quản lí thư viện
Báo cáo dự án quản lí thư việnBáo cáo dự án quản lí thư viện
Báo cáo dự án quản lí thư viện
 
Báo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngBáo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạng
 
Đồ án mạng-Tìm hiểu hệ thống domain controler trên Windows Server 2003
Đồ án mạng-Tìm hiểu hệ thống domain controler trên Windows Server 2003Đồ án mạng-Tìm hiểu hệ thống domain controler trên Windows Server 2003
Đồ án mạng-Tìm hiểu hệ thống domain controler trên Windows Server 2003
 
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAY
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAYĐề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAY
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm nguồn mở, HAY
 
Đề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đ
Đề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đĐề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đ
Đề tài: Thiết kế hệ thống mạng cho một công ty, HOT, 9đ
 
Phan tich thiet ke he thong thong tin
Phan tich thiet ke he thong thong tinPhan tich thiet ke he thong thong tin
Phan tich thiet ke he thong thong tin
 
Giới thiệu về Rational Rose và Các diagram
Giới thiệu về Rational Rose và Các diagramGiới thiệu về Rational Rose và Các diagram
Giới thiệu về Rational Rose và Các diagram
 
Slide báo cáo đồ án tốt nghiệp "Website cửa hàng điện thoại trực tuyến"
Slide báo cáo đồ án tốt nghiệp "Website cửa hàng điện thoại trực tuyến"Slide báo cáo đồ án tốt nghiệp "Website cửa hàng điện thoại trực tuyến"
Slide báo cáo đồ án tốt nghiệp "Website cửa hàng điện thoại trực tuyến"
 
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đĐề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
Đề tài: Hệ thống giám sát mạng dựa trên phần mềm Zabbix, 9đ
 

Viewers also liked

Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPT
Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPTBài 2 Cài đặt Windows Server 2008 - Giáo trình FPT
Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPT
MasterCode.vn
 
Os 5 - memory management
Os   5 - memory managementOs   5 - memory management
Os 5 - memory management
Dat Ngo
 
xây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directory
xây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directoryxây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directory
xây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directory
Tran Minh Tuan
 
Corporate Brochure Korn Ferry International
Corporate Brochure Korn Ferry InternationalCorporate Brochure Korn Ferry International
Corporate Brochure Korn Ferry International
Andrew J. Warneck
 
Hướng dẫn cài đặt windows server 2008 cơ bản cho người mới bắt đầu.
Hướng dẫn cài đặt windows server 2008 cơ bản cho người mới bắt đầu.Hướng dẫn cài đặt windows server 2008 cơ bản cho người mới bắt đầu.
Hướng dẫn cài đặt windows server 2008 cơ bản cho người mới bắt đầu.
Brand Xanh
 
đề Cương chi tiết
đề Cương chi tiếtđề Cương chi tiết
đề Cương chi tiết
Nguyễn Long
 
Bài 4: Triển khai Active Directory: Quản trị nhóm - Giáo trình FPT
Bài 4: Triển khai Active Directory: Quản trị nhóm - Giáo trình FPTBài 4: Triển khai Active Directory: Quản trị nhóm - Giáo trình FPT
Bài 4: Triển khai Active Directory: Quản trị nhóm - Giáo trình FPT
MasterCode.vn
 
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPT
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPTBài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPT
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPT
MasterCode.vn
 
K TO 12 GRADE 7 LEARNING MODULE IN MUSIC (Q1-Q2)
K TO 12 GRADE 7 LEARNING MODULE IN MUSIC (Q1-Q2)K TO 12 GRADE 7 LEARNING MODULE IN MUSIC (Q1-Q2)
K TO 12 GRADE 7 LEARNING MODULE IN MUSIC (Q1-Q2)
LiGhT ArOhL
 
Facebook Ranking Factors - Toàn bộ mọi bí mật về Facebook
Facebook Ranking Factors - Toàn bộ mọi bí mật về FacebookFacebook Ranking Factors - Toàn bộ mọi bí mật về Facebook
Facebook Ranking Factors - Toàn bộ mọi bí mật về Facebook
Vinalink Media JSC
 

Viewers also liked (10)

Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPT
Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPTBài 2 Cài đặt Windows Server 2008 - Giáo trình FPT
Bài 2 Cài đặt Windows Server 2008 - Giáo trình FPT
 
Os 5 - memory management
Os   5 - memory managementOs   5 - memory management
Os 5 - memory management
 
xây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directory
xây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directoryxây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directory
xây dựng và quản trị hệ thống mạng doanh nghiệp với microsoft active directory
 
Corporate Brochure Korn Ferry International
Corporate Brochure Korn Ferry InternationalCorporate Brochure Korn Ferry International
Corporate Brochure Korn Ferry International
 
Hướng dẫn cài đặt windows server 2008 cơ bản cho người mới bắt đầu.
Hướng dẫn cài đặt windows server 2008 cơ bản cho người mới bắt đầu.Hướng dẫn cài đặt windows server 2008 cơ bản cho người mới bắt đầu.
Hướng dẫn cài đặt windows server 2008 cơ bản cho người mới bắt đầu.
 
đề Cương chi tiết
đề Cương chi tiếtđề Cương chi tiết
đề Cương chi tiết
 
Bài 4: Triển khai Active Directory: Quản trị nhóm - Giáo trình FPT
Bài 4: Triển khai Active Directory: Quản trị nhóm - Giáo trình FPTBài 4: Triển khai Active Directory: Quản trị nhóm - Giáo trình FPT
Bài 4: Triển khai Active Directory: Quản trị nhóm - Giáo trình FPT
 
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPT
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPTBài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPT
Bài 6: Triển khai hạ tầng chính sách nhóm (GP) - Giáo trình FPT
 
K TO 12 GRADE 7 LEARNING MODULE IN MUSIC (Q1-Q2)
K TO 12 GRADE 7 LEARNING MODULE IN MUSIC (Q1-Q2)K TO 12 GRADE 7 LEARNING MODULE IN MUSIC (Q1-Q2)
K TO 12 GRADE 7 LEARNING MODULE IN MUSIC (Q1-Q2)
 
Facebook Ranking Factors - Toàn bộ mọi bí mật về Facebook
Facebook Ranking Factors - Toàn bộ mọi bí mật về FacebookFacebook Ranking Factors - Toàn bộ mọi bí mật về Facebook
Facebook Ranking Factors - Toàn bộ mọi bí mật về Facebook
 

Similar to Tổng quan về activer directory

Giáo trình sql server đại học công nghiệp[bookbooming.com]
Giáo trình sql server   đại học công nghiệp[bookbooming.com]Giáo trình sql server   đại học công nghiệp[bookbooming.com]
Giáo trình sql server đại học công nghiệp[bookbooming.com]
bookbooming1
 
85365852 do-an-tot-nghiep (1)
85365852 do-an-tot-nghiep (1)85365852 do-an-tot-nghiep (1)
85365852 do-an-tot-nghiep (1)
huynhkhang1
 
Data_Warehouse
Data_WarehouseData_Warehouse
Data_Warehouse
Thang Luu
 
OpenERP 7.0 Release Notes Tiếng Việt
OpenERP 7.0 Release Notes Tiếng ViệtOpenERP 7.0 Release Notes Tiếng Việt
OpenERP 7.0 Release Notes Tiếng Việt
Openerp Việt Nam
 
Xây dựng cơ sở dữ liệu trong quản lý nhân sự
Xây dựng cơ sở dữ liệu trong quản lý nhân sựXây dựng cơ sở dữ liệu trong quản lý nhân sự
Xây dựng cơ sở dữ liệu trong quản lý nhân sự
AskSock Ngô Quang Đạo
 
Xây dựng hệ thống thông tin quản lý khách hàng bằng PHP và MySQL
Xây dựng hệ thống thông tin quản lý khách hàng bằng PHP và MySQLXây dựng hệ thống thông tin quản lý khách hàng bằng PHP và MySQL
Xây dựng hệ thống thông tin quản lý khách hàng bằng PHP và MySQL
AskSock Ngô Quang Đạo
 
đề Tài xây dựng website tin tức cho trường thpt 2662447
đề Tài xây dựng website tin tức cho trường thpt 2662447đề Tài xây dựng website tin tức cho trường thpt 2662447
đề Tài xây dựng website tin tức cho trường thpt 2662447
jackjohn45
 
2009help
2009help2009help
2009help
Vo Tuan
 
Căn bản về xml
Căn bản về xmlCăn bản về xml
Căn bản về xml
Hieu Meteor
 
Đề tài: Tìm hiểu và triển khai quản trị mạng trên Ubuntu Server, 9đ - Gửi miễ...
Đề tài: Tìm hiểu và triển khai quản trị mạng trên Ubuntu Server, 9đ - Gửi miễ...Đề tài: Tìm hiểu và triển khai quản trị mạng trên Ubuntu Server, 9đ - Gửi miễ...
Đề tài: Tìm hiểu và triển khai quản trị mạng trên Ubuntu Server, 9đ - Gửi miễ...
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
Cafedev_tai_liu_sql_toan_tp_bai_tp_fu.pdf
Cafedev_tai_liu_sql_toan_tp_bai_tp_fu.pdfCafedev_tai_liu_sql_toan_tp_bai_tp_fu.pdf
Cafedev_tai_liu_sql_toan_tp_bai_tp_fu.pdf
ThiNguyen827048
 
Drupal 7 cho người mới học
Drupal 7 cho người mới họcDrupal 7 cho người mới học
Drupal 7 cho người mới học
Ngo Trung
 
Drupal7chonguoimoihoc 120716051824-phpapp01
Drupal7chonguoimoihoc 120716051824-phpapp01Drupal7chonguoimoihoc 120716051824-phpapp01
Drupal7chonguoimoihoc 120716051824-phpapp01
Bản Bv
 
Tìm hiểu Google Docs
Tìm hiểu Google DocsTìm hiểu Google Docs
Tìm hiểu Google Docs
buianhtai
 
Tìm hiểu và triển khai MySQL Server trên Linux server
Tìm hiểu và triển khai MySQL Server trên Linux serverTìm hiểu và triển khai MySQL Server trên Linux server
Tìm hiểu và triển khai MySQL Server trên Linux server
Dung Duong
 
Báo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳBáo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳ
Thân Hoàng
 
luan van thac si xay dung he thong quan ly van ban
luan van thac si xay dung he thong quan ly van banluan van thac si xay dung he thong quan ly van ban
luan van thac si xay dung he thong quan ly van ban
Dịch vụ viết thuê Luận Văn - ZALO 0932091562
 
Sql dai hoc hue
Sql  dai hoc hueSql  dai hoc hue
Sql dai hoc hue
vietha822
 

Similar to Tổng quan về activer directory (20)

Giáo trình sql server đại học công nghiệp[bookbooming.com]
Giáo trình sql server   đại học công nghiệp[bookbooming.com]Giáo trình sql server   đại học công nghiệp[bookbooming.com]
Giáo trình sql server đại học công nghiệp[bookbooming.com]
 
85365852 do-an-tot-nghiep (1)
85365852 do-an-tot-nghiep (1)85365852 do-an-tot-nghiep (1)
85365852 do-an-tot-nghiep (1)
 
Data_Warehouse
Data_WarehouseData_Warehouse
Data_Warehouse
 
OpenERP 7.0 Release Notes Tiếng Việt
OpenERP 7.0 Release Notes Tiếng ViệtOpenERP 7.0 Release Notes Tiếng Việt
OpenERP 7.0 Release Notes Tiếng Việt
 
Xây dựng cơ sở dữ liệu trong quản lý nhân sự
Xây dựng cơ sở dữ liệu trong quản lý nhân sựXây dựng cơ sở dữ liệu trong quản lý nhân sự
Xây dựng cơ sở dữ liệu trong quản lý nhân sự
 
Xây dựng hệ thống thông tin quản lý khách hàng bằng PHP và MySQL
Xây dựng hệ thống thông tin quản lý khách hàng bằng PHP và MySQLXây dựng hệ thống thông tin quản lý khách hàng bằng PHP và MySQL
Xây dựng hệ thống thông tin quản lý khách hàng bằng PHP và MySQL
 
đề Tài xây dựng website tin tức cho trường thpt 2662447
đề Tài xây dựng website tin tức cho trường thpt 2662447đề Tài xây dựng website tin tức cho trường thpt 2662447
đề Tài xây dựng website tin tức cho trường thpt 2662447
 
2009help
2009help2009help
2009help
 
Căn bản về xml
Căn bản về xmlCăn bản về xml
Căn bản về xml
 
Đề tài: Tìm hiểu và triển khai quản trị mạng trên Ubuntu Server, 9đ - Gửi miễ...
Đề tài: Tìm hiểu và triển khai quản trị mạng trên Ubuntu Server, 9đ - Gửi miễ...Đề tài: Tìm hiểu và triển khai quản trị mạng trên Ubuntu Server, 9đ - Gửi miễ...
Đề tài: Tìm hiểu và triển khai quản trị mạng trên Ubuntu Server, 9đ - Gửi miễ...
 
Cafedev_tai_liu_sql_toan_tp_bai_tp_fu.pdf
Cafedev_tai_liu_sql_toan_tp_bai_tp_fu.pdfCafedev_tai_liu_sql_toan_tp_bai_tp_fu.pdf
Cafedev_tai_liu_sql_toan_tp_bai_tp_fu.pdf
 
Drupal 7 cho người mới học
Drupal 7 cho người mới họcDrupal 7 cho người mới học
Drupal 7 cho người mới học
 
Drupal7chonguoimoihoc 120716051824-phpapp01
Drupal7chonguoimoihoc 120716051824-phpapp01Drupal7chonguoimoihoc 120716051824-phpapp01
Drupal7chonguoimoihoc 120716051824-phpapp01
 
Huong dan sd_spss
Huong dan sd_spssHuong dan sd_spss
Huong dan sd_spss
 
Tìm hiểu Google Docs
Tìm hiểu Google DocsTìm hiểu Google Docs
Tìm hiểu Google Docs
 
Tìm hiểu và triển khai MySQL Server trên Linux server
Tìm hiểu và triển khai MySQL Server trên Linux serverTìm hiểu và triển khai MySQL Server trên Linux server
Tìm hiểu và triển khai MySQL Server trên Linux server
 
Lập trình java
Lập trình javaLập trình java
Lập trình java
 
Báo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳBáo cáo thực tập cuối kỳ
Báo cáo thực tập cuối kỳ
 
luan van thac si xay dung he thong quan ly van ban
luan van thac si xay dung he thong quan ly van banluan van thac si xay dung he thong quan ly van ban
luan van thac si xay dung he thong quan ly van ban
 
Sql dai hoc hue
Sql  dai hoc hueSql  dai hoc hue
Sql dai hoc hue
 

Tổng quan về activer directory

  • 1. MUC LUC 1 Tổng quan về activer directory ........................................................................ 4 1.1 Chức năng của Active Directory ............................................................... 4 1.2 cấu truc của activer directory ................................................................... 4 1.2.1 cấu trúc luận lý .......................................................................................... 4 1.2.1.1 Objects. ...................................................................................................... 4 1.2.1.2 Organizational Units ............................................................................. 5 1.2.1.3 Domain. ...................................................................................................... 5 1.2.1.4 Domain Tree ............................................................................................. 6 1.2.1.5 Forest. ......................................................................................................... 7 1.2.2 cấu trúc vật lý .............................................................................................. 8 1.2.2.1 siter ............................................................................................................. 8 1.2.2.2 Domain controllers ................................................................................ 8 2 Cơ chế hoạt động của Active Directory ......................................................... 9 2.1 Directory service ............................................................................................ 9 2.2 Active directory schema .............................................................................. 9 2.3 Global catalog (GC) ..................................................................................... 10 2.4 Global catalog server ................................................................................. 10 2.5 Distinguished và relative distinguished name ................................. 11 2.6 Cơ chế single sign-on ................................................................................. 11 3 Cơ chế quản lý Active Directory..................................................................... 12 4 Công cụ quản lý Active Directory .................................................................. 13 5 Active directory Domain & Forest ................................................................. 13 5.1 Forest & Domain function level .............................................................. 13 5.2 Tạo Relationships ........................................................................................ 14 6 Organization Unit ( OU )................................................................................... 15 6.1 Tìm hiểu OU ................................................................................................... 15 6.2 Ủy quyền quản lý OU .................................................................................. 16 7 Tài khoản Users, Group, Computer .............................................................. 17 7.1 Giới thiệu Tài khoản .................................................................................... 17 7.2 Giới thiệu tài khoản người dùng ............................................................ 17
  • 2. 7.2.1 Tài khoản người dùng cục bộ .............................................................. 17 7.2.2 Tài khoản người dùng miền ................................................................. 17 7.2.3 Yêu cầu về tài khoản người dùng ...................................................... 18 7.3 Tài khoản nhóm ............................................................................................ 18 7.3.1 Nhóm bảo mật ........................................................................................... 18 7.3.2 Nhóm phân phối ....................................................................................... 19 7.3.3 Tài khoản người dùng tạo sẵn............................................................. 19 7.3.4 Các nhóm tạo sẵn đặc biệt ................................................................... 21 7.4 Tạo & quản lý account ............................................................................... 22 8 Chính sách nhóm ................................................................................................. 24 8.1 Group Policy là gì? ....................................................................................... 24 8.2 Chức năng của Group Policy .................................................................... 24 8.3 quản ly GPO ................................................................................................... 25 9 Site and Replication ........................................................................................... 26 9.1 Giới thiệu về active directory replication ........................................... 26 9.2 Tạo và cấu hình site .................................................................................... 27 9.3 Quản lý site topology ................................................................................. 28 10 Bố trí Domain contronller ............................................................................. 28 10.1 Global Catolog trong AD ........................................................................ 28 10.2 Customize Global Catalog Server ....................................................... 29 10.3 Phân bổ domain contronller trong AD ............................................. 29 11 Operation Master............................................................................................. 30 11.1 Giới thiệu Operation Master Role....................................................... 30 11.2 Chuyển giao & chiếm đoạt Master Role........................................... 34 11.3 Di chuyển & chống phân mảnh database của AD ........................ 36
  • 4. 1 Tổng quan về activer directory Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đối tượng) cũng như các thông tin liên quan đến các đối tượng đó. Active Directory cung cấp một mức độ ứng dụng mới cho môi trường xí nghiệp. Dịch vụ thư mục trong mỗi domain có thể lưu trữ hơn mười triệu đối tượng, đủ để phục vụ mười triệu người dùng trong mỗi domain. 1.1 Chức năng của Active Directory - lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. - Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). - Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng. - Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa… - Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ. 1.2 cấu truc của activer directory 1.2.1 cấu trúc luận lý 1.2.1.1 Objects. Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes.  Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các loại đối tượng mà bạn có thể tạo ra trong Active Directory. Có ba loại object classes thông dụng là: User, Computer, Printer.  Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể. Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của object classes. Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của object classes. Ví dụ hình sau minh họa hai đối tượng là: máy in ColorPrinter1 và người dùng KimYoshida.
  • 5. 1.2.1.2 Organizational Units Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công dụng chính sau:  Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống.  Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO) 1.2.1.3 Domain. Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau:
  • 6. Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác.  Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.  Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được đồng bộ với nhau. 1.2.1.4 Domain Tree Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục.Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain.
  • 7. 1.2.1.5 Forest. Forest là một thuật ngữ được đặt ra nhằm định nghĩa một mô hình tổ chức của AD, một forest gồm nhiều domain trees có quan hệ với nhau, các domain trees trong forest là độc lập với nhau về tổ chức, Một forest phải đảm bảo thoả các đặc tính sau:  Toàn bộ domain trong forest phải có một schema chia sẻ chung  Các domain trong forest phải có một global catalog chia sẻ chung  Các domain trong forest phải có mối quan hệ trust hai chiều với nhau  Các tree trong một forest phải có cấu trúc tên(domain name) khác nhau  Các domain trong forest hoạt động độc lập với nhau, tuy nhiên hoạt động của forest là hoạt động của toàn bộ hệ thống tổ chức doanh nghiệp.
  • 8. 1.2.2 cấu trúc vật lý 1.2.2.1 siter Một site bao gồm một hay nhiều mạng con liên kết với nhau. Có thể cấu hình việc truy xuất và tạo bản sao cho Active Directory hiệu quả nhất và lập ra một lịch cập nhật để không ảnh hưởng đến thông lượng của mạng 1.2.2.2 Domain controllers Domain Controller là một máy tính hay server chuyên dụng được setup Windows Server và lưu trữ bản sao của Domain Directory (local domain database). Một domain có thể có một hay nhiều domain controller, mỗi domain controller đều có bản sao dữ liệu của Domain Directory. Domain Controller chịu trách nhiệm chứng thực cho users và chịu trách nhiệm đãm bảo các chính sách bảo mật được thực thi. Các chức năng chính của domain controller:  Mỗi domain controller lưu trữ các bản sao thông tin của Active Directory cho chính domain đó, chịu trách nhiệm quản lí thông tin và tiến hành đồng bộ dữ liệu với các domain controller khác trong củng một domain.  Domain Controller trong một Domain có khả năng tự động đồng bộ dữ liệu với các domain controller khác trong cùng một domain. Khi bạn thực hiện một tác vụ đối với thông tin lưu trữ trên domain controller, thì thông tin này sẽ tự động được đồng bộ hóa đến các domain controller khác. Tuy nhiên để đảm bảo sự ổn định cho hệ thống mạng,
  • 9. chúng ta cần phải có một chính sách hợp lí cho các domain trong việc đồng bộ hóa thông tin dữ liệu với một thời điểm phù hợp.  Domain Controller tự động đồng bộ hóa ngay lập tức các thay đổi quan trọng đối với cả Domain như disable một user account.  Active Directory sử dụng việc đồng bộ hóa dữ liệu theo cơ chế multimaster, nghĩa là không có domain controller nào đóng vai trò là master cả, mà thay vào đó thì tất cả domain controller đểu ngang hàng với nhau, mỗi domain controller lưu trữ một bản sao của database hệ thống. Các domain controller lưu trữ các thông tin dữ liệu khác nhau trong một khỏang thời gian ngắn cho đến khi thông tin các domain controller trong hệ thống đều được đồng bộ với nhau, hay nói cách khác là thống nhất dữ liệu cho toàn domain.  Mặc dù là Active Directory hỗ trợ hoàn toàn việc đồng bộ dữ liệu theo cơ chế multimaster nhưng thực tế thì không phải lúc nào cũng theo cơ chế này (việc thực thi không được cho phép ở nhiều nơi trong hệ thống mạng trong cùng một thời điểm). Operations master roles là các roles đặc biệt được assigned với 1 hoặc nhiều domain ontrollers khác để thực hiện đồng bộ theo cơ chế single-master, ta có thể dễ dàng nhận thấy việc thực thi operations của multimaster là sự thực thi của nhiều single-master đồng thời.  Hệ thống có nhiều hơn một domain hỗ trợ trong trường hợp dự phòng backup domain controller, khi một domain controller có vấn đề xảy ra thì các domain sẽ tự động chạy dự phòng, đảm bảo hệ thống luôn được ổn định.  Domain Controller quản lí các vấn đề trong việc tương tác với domain của users, ví dụ xác định đối tượng trong Active Directory hay xác thực việc logon của user. 2 Cơ chế hoạt động của Active Directory 2.1 Directory service 2.2 Active directory schema Trong Active Directory, database lưu trữ chính là AD Schema, Schema định nghĩa các đối tượng được lưu trữ trong Active Directory. Nhưng Schema lưu trữ các đối tượng thế nào? Thực chất, schema là một danh sách các định nghĩa xác định các loại đối tượng và các loại thông tin về đối tượng lưu trữ trong Active Directory. Về bản chất, schema cũng được lưu trữ như 1 object. Schema được định nghĩa gồm 2 loại đối tượng (object) là schema class objects và schema Attribute objects
  • 10. 2.3 Global catalog (GC) GC lưu trữ tất cả các object của miền chứa GC và một phần các object thường được người dùng tìm kiếm của các domain khác trong forest.  Global catalog lưu trữ: Những thuộc tính thường dùng trong việc truy vấn như user’s first name, last name, logon name Thông tin cần thiết để xác định vị trí của bất kỳ object nào trong active directory Tập hợp các thuộc tính mặc định cho mỗi loại object Quyền truy cập đến mỗi object 2.4 Global catalog server Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin về tất cả các đối tượng trong Active Directory. Phần lớn,global catalog là lưu trữ thông tin đó là các truy vấn thường được sử dụng. Nói cách khác, nó chứa các thông tin cần thiêt để tìm các đối tượng Một global catolog cần được tạo trong domain controller đầu tiên của rừng. Domain controller này được gọi là Global Catalog Server. Một global catalog server duy trì một bản copy đầy đủ cơ sở dữ liệu của Active Directory của domain điều khiển của nó. Nó duy trì một phần copy của cơ sở dữ liệu Active Directory của domain khác trong rừng. Một Global Catalog Server cũng xử lý các truy vấn được xây dựng trở lại và cho ra kết quả.
  • 11. 2.5 Distinguished và relative distinguished name Distinguished name (DN): là tên để định danh đối tượng duy nhất trong Active Directory Relative distinguished name (RDN): là phần tên cũng chính là thuộc tính của đối tượng Ví dụ:DN: CN=TaiTV,OU=KhoaCNTT,OU=HCM,DC=ispace,DC=vn RDN: CN=TaiTV 2.6 Cơ chế single sign-on Mỗi user chỉ dùng 1 acount cho nhiều dịch vụ Làm đơn giản hoá việc quản lý và sử dụng
  • 12. 3 Cơ chế quản lý Active Directory Tập trung  Cho phép admin có thể quản trị tài nguyên tập trung  Cho phép admin có thể xác định thông tin của các object  Cho phép dùng chính sách nhóm để quản lý user  Phân tán  Uỷ quyền quản lý cho quản trị viên khác  Quản trị hệ thống Active Directory quy mô lớn linh hoạt hơn
  • 13. 4 Công cụ quản lý Active Directory Những công cụ quản lý Active Directory thường cung cấp ở dạng Snap-in cho MMC (Microsoft Management Console).  Active Directory users and Computer: quản trị người dùng, nhóm, máy tính, và đơn vị tổ chức.  Active Directory and Trusts: dùng làm việc với vùng, hệ vùng phân cấp, tập hợp hệ vùng phân cấp.  Active Directory Sites and Services : quản lý Site và mạng con. 5 Active directory Domain & Forest 5.1 Forest & Domain function level 2003.
  • 14. 5.2 Tạo Relationships Trust Relationship cho phép người dùng trong domain này truy cập tài nguyên ở domain khác. Một trust relationship trên window server bao gồm 3 đặc tính :  Explicitly or Implicitly (tường minh hay ngầm định) Explicitly trust là loại liên kết tường minh, do người quản trị thiết lập bằng tay. Ví dụ như shortcut trust, external trust. Implicitly trust là loại liên kết ngầm định, do hệ thống thiết lập tự động. Ví dụ như parent/child trust, tree/root trust.  Transitive or Non-transitive (có tính bắc cầu hay không có tính bắc cầu) Transitive trust là loại liên kết mà mối liên kết không chỉ giới hạn giữa hai domain tham gia trực tiếp mà còn mở rộng ra những domain liên quan. Quan sát hình 1, domain D trust trực tiếp domain E, còn domain E lại trust trực tiếp domain F và cả hai đều là transitive trust thì domain D cũng trust gián tiếp domain F và ngược lại. Transitive trust được hệ thống thiết lập tự động, một trong những ví dụ về loại trust này là parent/child trust (liên kết giữa domain cha và domain con). Non-transitive trust có tính chất ngược với transitive trust, loại liên kết này chỉ giới hạn trong hai domain tham gia trực tiếp vào liên kết chứ không mở rộng ra các domain liên quan với hai domain đó. Non-transitive trust không được hệ thống thiết lập tự động. Ví dụ điển hình về non-transitive trust là external trust, liên kết giữa 2 domain thuộc 2 forest khác nhau.  Trust direction (chiều của liên kết) Trong Windows 2003, có 3 loại trust direction: one-way incoming, one-way outgoing, two-way. Ví dụ như trên hình 1, ta thấy trust relationship giữa domain B và domain Q là một chiều (one-way). Đứng trên domain B, nếu ta thiết lập one-way incoming trust thì các đối tượng trên domain B sẽ được chứng thực trên domain Q; còn nếu ta thiết lập one-way outgoing trust thì các đối tượng trên domain Q sẽ được chứng thực trên domain B. Cuối cùng, nếu ta thiết lập two-way trust thì các đối tược trên cả hai domain sẽ được chứng thực trên domain đối phương. Trên Windows 2000 thì liên kết trust chỉ có one-way và non- transitive. Do vậy, để tạo ra liên kết cho một hệ thống lớn, người
  • 15. quản trị cần thiết lập và quản lý nhiều trust relationship. Bắt đầu từ Windows 2003 thì trust relationship có 3 đặc tính trên đã đơn giản hóa công việc và giảm thiểu nhiều công sức quản lý cho người quản trị. Các loại Trust Shortcut: được người quản trị thiết lập giữa hai domain trong cùng một forest đê nhầm giảm bớt các bước chứng thực cho các đối tượng .sử dụng trong quá trình Kerberos v5 . Forest: được người quản trị thiết lập giữa hai forest.Đây là phương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc domain của các forest . External:được người quản trị thiết lập để liên kết hai domain thuộc hai forest khác nhau để giảm bớt các b . Realm: Kerberos. 6 Organization Unit ( OU ) 6.1 Tìm hiểu OU OUS được tạo ra để làm quản trị đại diện, để quản trị chính sách nhóm, và để giấu các object. Tạo các OU để quản trị đại diện là lý do quan trọng nhất để tạo một OU, và bạn nên cân nhắc trước khi tạo các OUS để quản trị chính sách nhóm hoặc để dấu object. Các tác vụ quản trị của OU như đổi tên, di chuyển và xóa các OU, và cài đặt các thuộc tính của OU, là các tác vụ cần thiết bạn phải biết để bảo trì các OU Organizational unit(OU) là một container sử dụng để sắp xếp các object trong một miền vào một nhóm quản trị logic. Một OU có thể chứa các object như tài khoản người sử dụng, nhóm, máy tính, máy tin, các ứng dụng, các thư mục chia sẻ, và các OU khác từ cùng một miền. Các OU được biểu diễn bằng biểu tượng thư mục với 1 quyển sách bên trong. Các OU có thể được thêm vào các OU khác tạo nên cấu trúc phân cấp; quá trình này được gọi là nesting OU. Mỗi miền có một cấu trúc OU riêng, cấu trúc của OU trong một miền không phụ thuộc vào cấu trúc của các OU ở các miền khác. Có 3 lý do để tạo ra OU Để ủy quyền quản trị Để quản trị group policy Để che dấu các object
  • 16. 6.2 Ủy quyền quản lý OU Organizasional Units hay OU còn gọi là đơn vị nhỏ nhất trong hệ thống active directory , nó được xem là vật chứa các đối tượng (object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho các mục đích quản trị của bạn. Việc sử dụng OU có hai công dụng chính như sau :  Trao quyền kiểm soát một tập hợp các tài khoản người dung, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị nào đó(sub-administrator),từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống.  Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dung trong OU thông qua việc sử dụng các đối tượng chính sách nhóm(Group policy) Mục đích uỷ quyền quản trị OU  Phân tán việc quản lý cho từng OU  Đơn giản hoá trong việc quản trị  Việc uỷ quyền cung cấp  Việc tự quản trong mỗi OU  Cô lập quản lý dữ liệu và dịch vụ Các tác vụ quản trị OU :  Thay đổi thuộc tính của vật chứa (container)  Tạo và xóa object  Thay đổi thuộc tính của object Chiến lược trong việc triển khai cấu trúc OU
  • 17. 7 Tài khoản Users, Group, Computer 7.1 Giới thiệu Tài khoản User Acount: Là tài khoản người dung. Khi cài đặt AD sẽ có một số user được tạo ra mặc định (Build –in) như Administrato – là quyền quạn trị cao nhất cho toàn quyền hệ thống. User này không thể gỡ bỏ được. ngoài ra nhân viên sữ dụng máy tính trong hệ thống để có thể sữ dụng tài nguyên và đăng nhập vào hệ thống thì người dung quản trị khởi tạo user và phân quyền sữ sụng. Computer Account: Mỗi máy tính chạy Microsoft Windows NT, Windows 2000, Windows XP, Windows Server 2003 tham gia vào domain đề có một computer account . Tương tự như user account. Các computer account cung cấp ý nghĩa thẩm định quyền và chỉnh quyền truy xuất vào mạng và các tai nguyên domain . Group : Là tập hợp một số user có những đặc tính chung như truy cập chung một thư mục nào đó, hay phân nhóm theo phòng ban… 7.2 Giới thiệu tài khoản người dùng Tài khoản người dùng là tập hợp quyền hạn duy nhất cho một người dung cho phép người dùng đăng nahaapvaof domain để truy xuất tài nguyên mạng hoặc đăng nhập vào một máy tính cụ thể nào đó. Những người sữ dùng mạng thường xuyên nên có một tài khoản người dùng 7.2.1 Tài khoản người dùng cục bộ Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng định định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ. 7.2.2 Tài khoản người dùng miền Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon)
  • 18. vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. 7.2.3 Yêu cầu về tài khoản người dùng  Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự).  Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau.  Username không chứa các ký tự sau: “ / [ ] : ; | = , + * ? < >  Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới. 7.3 Tài khoản nhóm Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. Chú ý là tài khoản người dùng có thể đăng nhập vào mạng những tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm người chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution group). 7.3.1 Nhóm bảo mật Nhóm bảo mật là loại nhóm được dùng để cấp phát các quyền hệthống (rights) và quyền truy cập (permission). Giống như các tài khoản người dùng, các nhóm bảo mật đều được chỉ định các SID. Cóba loại nhóm bảo mật chính là: local, global và universal. Tuy nhiênnếu chúng ta khảo sát kỹ thì có thể phân thành bốn loại như sau:local, domain local, global và universal  Local group (nhóm cục bộ) là loại nhóm có trên các máy stand- alone Server, member server, Win2K Pro hay WinXP. Các nhóm cục bộ này chỉ có ý nghĩa và phạm vi hoạt động ngay tại trên máy chứa nó thôi.  Domain local group (nhóm cục bộ miền) là loại nhóm cục bộ đặc biệt vì chúng là local group nhưng nằm trên máy Domain Controller. Các máy Domain Controller có một cơ sở dữ liệu Active Directory chung và được sao chép đồng bộ với nhau do đó một local group trên một Domain Controller này thì cũng sẽ có mặt trên các Domain Controller anh em của nó, như vậy local group này có mặt trên miền nên được gọi với cái tên nhóm cục bộ miền. Các nhóm trong mục Built-in của Active Directory là các domain local.  lobal group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong Active Directory và được tạo trên các Domain Controller. Chúng dùng để cấp phát những quyền hệ thống và quyền truy cập vượt qua những ranh giới của một miền. Một nhóm global có thể đặt vào trong một nhóm local của các server thành viên trong miền. Chú ý khi tạo
  • 19. nhiều nhóm global thì có thể làm tăng tải trọng công việc của Global Catalog.  Global group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong Active Directory và được tạo trên các Domain Controller. Chúng dùng để cấp phát những quyền hệ thống và quyền truy cập vượt qua những ranh giới của một miền. Một nhóm global có thể đặt vào trong một nhóm local của các server thành viên trong miền. Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng công việc của Global Catalog.  Universal group (nhóm phổ quát) là loại nhóm có chức năng giống như global group như nó dùng để cấp quyền cho các đối tượng trên khắp các miền trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau. Loại nhóm này tiện lợi hơn hai nhóm global group và local group vì chúng dễ dàng lồng các nhóm vào nhau. Nhưng chú ý là loại nhóm này chỉ có thể dùng được khi hệ thống của bạn phải hoạt động ở chế độ Windows 2000 native functional level hoặc Windows Server 2003 functional level có nghĩa là tất cả các máy Domain Controller trong mạng đều phải là Windows Server 2003 hoặc Windows 2000 Server. 7.3.2 Nhóm phân phối Nhóm phân phối là một loại nhóm phi bảo mật, không có SID và không xuất hiện trong các ACL(Access Control List). Loại nhóm này không được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm và dịch vụ. Chúng được dùng để phân phối thư (e-mail) hoặc các tin nhắn (message). 7.3.3 Tài khoản người dùng tạo sẵn Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server 2003 thì mặc định được tạo ra. Tài khoản này là hệ thống nên chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi tên. Tất cả các tài khoản người dùng tạo sẵn này đều nằng trong Container Users của công cụ Active Directory User and Computer. Mô tả các tài khoản người dùng được tạo sẵn Tên nhóm Mô tả Nhóm này mặc định được ấn định sẵn tất cả các quyền hạn Administrators cho nên thành viên của nhóm này có toàn quyền trên hệ thống mạng. Nhóm Domain Admins và Enterprise Admins là thành viên mặc định của nhóm Administrators. Thành viên của nhóm này có thể thêm, xóa, sửa được các Account Operators tài khoản người dùng, tài khoản máy và tài khoản nhóm. Tuy nhiên họ không có quyền xóa, sửa các nhóm trong container Built-in và OU. Nhóm này chỉ có trên các Domain Controller và mặc định Domain Controllers không có thành viên nào, thành viên của nhóm có thể đăng nhập cục bộ vào các Domain Controller nhưng không có quyền quản trị các chính sách bảo mật.
  • 20. Thành viên của nhóm này có quyền lưu trữ dự phòng (Backup) và phục hồi (Retore) hệ thống tập tin.Trong Backup Operators trường hợp hệ thống tập tin là NTFS và họ không được gán quyền trên hệ thống tập tin thì thành viên của nhóm này chỉ có thể truy cập hệ thống tập tin thông qua công cụ ackup. Nếu muốn truy cập trực tiếp thì họ phải được gán quyền. Là nhóm bị hạn chế quyền truy cập các tài nguyên trên Guests mạng. Các thành viên nhóm này là người dùng vãng lai không phải là thành viên của mạng. Mặc định các tài khoản Guest bị khóa Print Operator Thành viên của nhóm này có quyền tạo ra, quản lý và xóa bỏ các đối tượng máy in dùng chung trong Active Directory. Thành viên của nhóm này có thể quản trị các máy server Server Operators trong miền như: cài đặt, quản lý máy in, tạo và quản lý thư mục dung chung, backup dữ liệu, định dạng đĩa, thay đổi giờ… Mặc định mọi người dùng được tạo đều thuộc nhóm này, Users nhóm này có quyền tối thiểu của một người dùng nên việc truy cập rất hạn chế. Nhóm này được dùng để hỗ trợ việc sao chép danh bạ Replicator trong Directory Services, nhóm này không có thành viên mặc định. Incoming Forest Thành viên nhóm này có thể tạo ra các quan hệ tin cậy Trust Builders hướng đến, một chiều vào các rừng. Nhóm này không có thành viên mặc định. Network Thành viên nhóm này có quyền sửa đổi các thông số Configuration TCP/IP trên các máy Domain Controller trong miền. Operators Pre-Windows 2000 Nhóm này có quyền truy cập đến tất cả các tài khoản Compatible Access người dùng và tài khoản nhóm trong miền, nhằm hỗ trợ cho các hệ thống WinNT cũ. Remote Desktop Thành viên nhóm này có thể đăng nhập từ xa vào các User Domain Controller trong miền, nhóm này không có thành viên mặc định Performace Log Thành viên nhóm này có quyền truy cập từ xa để ghi nhận Users lại những giá trị về hiệu năng của các máy Domain Controller, nhóm này cũng không có thành viên mặc định. Performace Thành viên nhóm này có khả năng giám sát từ xa các máy Monitor Users Domain Controller.
  • 21. Ngoài ra còn một số nhóm khác như DHCP Users, DHCP Administrators, DNS Administrators… các nhóm này phục vụ chủ yếu cho các dịch vụ, chúng ta sẽ tìm hiểu cụ thể trong từng dịch vụ ở giáotrình “Dịch Vụ Mạng”.Chú ý theo mặc định hai nhóm Domain Computers và Domain Controllers được dành riêng cho tài khoản máy tính, nhưng bạn vẫn có thể đưa tài khoản người dùng vào hai nhóm này. Tên Nhóm Mô ta Thành viên của nhóm này có thể toàn quyền quản trị các Domain Admins máy tính trong miền vì mặc định khi gia nhập vào miền các member server và các máytrạm (Win2K Pro, WinXP) đã đưa nhóm Domain Admins là thành viên của nhóm cục bộ Administrators trên các máy này. Theo mặc định mọi tài khoản người dùng trên miền đều Domain Users là thành viên của nhóm này. Mặc định nhóm này là thành viên của nhóm cục bộ Users trên các máy server thành viên và máy trạm. Group Policy Creator Thành viên nhóm này có quyền sửa đổi chính sách nhóm Owners của miền, theo mặc định tài khoản administrator miền là thành viên của nhóm này. Đây là một nhóm universal, thành viên của nhóm này có Enterprise Admins toàn quyền trên tất cả các miền trong rừng đang xét. Nhóm này chỉ xuất hiện trong miền gốc của rừng thôi. Mặc định nhóm này là thành viên của nhóm administrators trên các Domain Controller trong rừng. Nhóm universal này cũng chỉ xuất hiện trong miền gốc Schema Admins của rừng, thành viên của nhóm này có thể chỉnh sửa cấu trúc tổ chức (schema) của Active Directory. 7.3.4 Các nhóm tạo sẵn đặc biệt  Interactive: đại diện cho những người dùng đang sử dụng máy tại chỗ.  Network: đại diện cho tất cả những người dùng đang nối kết mạng đến một máy tính khác.  Everyone: đại diện cho tất cả mọi người dùng.  System: đại diện cho hệ điều hành.  Creator owner: đại diện cho những người tạo ra, những người sở hữa một tài nguyên nào đó như: thư mục, tập tin, tác vụ in ấn (print job)…  Authenticated users: đại diện cho những người dùng đã được hệ thống xác thực, nhóm này được dùng như một giải pháp thay thế an toàn hơn cho nhóm everyone.  Anonymous logon: đại diện cho một người dùng đã đăng nhập vào hệ thống một cách nặc danh, chẳng hạn một người sử dụng dịch vụ FTP.
  • 22. 7.4 Tạo & quản lý account Có nhiều cách để tạo và quản lý tài khoản người dùng  Sử dụng Active Directory Users and Computers  Sử dụng Directory Service Tools
  • 23. Sử dụng Cvsde and Ldifde Tools  Sử dụng Windows Scipt Host
  • 24. 8 Chính sách nhóm 8.1 Group Policy là gì? Chính sách Nhóm là một tính năng cực kỳ quan trọng trong tất cả các hệ điều hành Windows NT dựa trên máy chủ, bao gồm 2000, 2003, và 2008 Group Policy cung cấp cho quản lý tập trung cùng với cấu hình cho người dùng từ xa và các máy tính bên trong một môi trường máy chủ Active Directory. Group Policy là tập hợp các quy tắc và tiêu chuẩn mà dictates những gì người dùng có thể và không thể làm trên một mạng lưới máy tính Active Directory, cũng như những gì máy tính mà họ có thể làm điều đó. Lý do chính cho việc thực hiện chính sách nhóm an ninh liên quan, hạn chế quyền truy cập vào các tập tin cá nhân, hệ thống máy tính, ổ đĩa máy chủ, và vv. Nó thường được sử dụng trong môi trường mạng nhỏ hơn, chẳng hạn như trường học, để đảm bảo các chức năng mạng bằng cách chặn các chức năng có khả năng gây hại. Ví dụ về các điều Group Policy có thể giới hạn như rộng như toàn bộ trình điều khiển ảo, hoặc một cái gì đó như là đơn giản như ngăn chặn Windows Task Manager chạy, cấm sử dụng Regedit, hạn chế quyền truy cập vào các thư mục, không cho phép việc sử dụng thực thi, và nhiều, nhiều hơn. 8.2 Chức năng của Group Policy  Group policy có thể được coi là một thứ system policy phiên bản thứ 2.các chính sách này được Microsoft phát minh ra kể từ Win2k và chỉ có ý nghĩa đối với các máy Win2k/Xp/Win2k3  Triển khai phần mềm ứng dụng : ta có thể gom tất cả các tập tin cần thiết để cài đặt một phần mềm nào nó vào trong gói(package),đặt nó lên server rùi dung chính sách nhóm hướng một hoặc nhiều máy trạm đến gói phần mềm đó.hệ thống sẽ tự động cài đặt phần mềm này tất cả các máy trạm mà không cần sự can thiệp nảo của người dung.  Gán quyền hệ thống cho người dùng : chức năng này tương tự với chức năng của chính sách hệ thống. Nó có thể cấp cho một hoặc nhiều nhóm người nào đó có quyền tắt máy server,đổi giờ hệ thống hay backup dữ liệu.  Giới hạn những ứng dụng mà người dùng được phép thi hành :chúng có thể kiểm soát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy được một vài nào đó thôi như :outlook express ,word hay excel .  Kiểm soát các thiết lập hệ thống : ta có thể dùng chính sách nhóm để quy định hạn ngạch đĩa cho một người dung nào đó.người dung này chỉ được phép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo quy đinh.
  • 25. 8.3 quản ly GPO  Copy GPO GPO mới có các thiết lập của GPO được copy GPO mới được tạo chưa được áp dụng  Backup GPO : Thao tác backup GPO, GPM sẽ export tất cả dữ liệu trong GPO tới vị trí xác định và lưu các GPT file.  Restore GPO : Phục hồi GPO trả lại trạng thái tại thời điểm backup  Copy GPO : Thao tác Import GPO sẽ copy toàn bộ các thiết lập từ GPO nguồn vào GPO hiện tại.
  • 26. 9 Site and Replication 9.1 Giới thiệu về active directory replication Sự đồng bộ của dịch vụ AD (Active Directory Replication) là tiến trình cập nhật khi có sự thay đổi một đối tượng trên Domain Controller này với các Domain Controller khác trong miền.  Quá trình đồng bộ dịch vụ Active Directory diễn ra khi Tạo mới đối tượng trong AD ví dụ: tạo mới user hay computer account Thay đổi thuộc tính một đối tượng. Thay đổi tên của vật chứ (Container) ví dụ: đổi tên OU. Xóa một đối tượng ví dụ: xóa user hay computer account  Change notification: sự thông báo khi có thay đổi đối tượng trong AD cho các Domain Controller trong cùng một site. Replication latency: độ trể từ khi một có sự thay đổi trong AD đến khi được cấp nhật trên tất cả các DC trong cùng 1 site. Urgent replication: Ngay lập tức gửi cập nhật sự thay đổi thay vì đợi thời gian mặc định là 15 giây. Convergence: Khi dịch vụ AD được đồng bộ trên tất cả các DC trong miền thì hệ thống gọi là “hội tụ” (Convergence) Propagation dampening: cơ chế sử dụng USN (Update Sequence Number) để ngăn chặn gửi trùng lặp dữ liệu trong quá trình đồng bộ của dịch vụ AD. . Globally unique stamp: Dùng để giải quyết xung đột thông tin gồm: Version number, timestamp và Globally Unique Identifier (GUID)  Directory Partition tính của đối tượng và được đồng bộ trên tất cả các Domain Controller trong forest.
  • 27. . . ts và được đồng bộ với tất cả các Domain Controller trong cùng miền. Directory. Thông tin trong Application partition không được lưu trữ trong Global Catalog.Cho phép chỉ định đồng bộ với DC nào trong forest  Global Catalog và Sự đồng bộ Partition configuration. Ngoài ra còn lưu trữ domain partition của nó và một phần domain partition của domain khác trong forest. . . 9.2 Tạo và cấu hình site  i. . - - - .  Site Link
  • 28. . Tượng trưng cho kết nối vật lý giữa 2 site. Công cụ tạo site link: Active Directory Sites and Services. Default site link  Site link attributes Site link cost: Xác định tốc độ, mối tin cậy và độ ưu tiên của liên kết. Link cost thấp thì có độ ưu tiên cao. Site link replication schedule: Xác định thời gian liên kết được dùng để đồng bộ dữ liệu. Site link replication frequency: Xác định thời gian AD phải chờ trước khi sử dụng liên kết để cập nhật database của dịch vụ AD. Mặc định 180 phút (có thể thay đổi trong khoảng 15 phút tới 1 tuần). Site link transport protocols: Giao thức dùng đồng bộ trong site: RPC over IP hoặc SMTP. 9.3 Quản lý site topology  Bridgehead Server . . . . .  Intersite Topology Generator . Bridgehead server. controlle . Chạy tiến trình KCC để xác định mô hình đồng bộ (Replication Topology) và các connection object dự phòng mà các bridgehead server có thể sử dụng để truyền thông với các bridgehead server ở các site 10 Bố trí Domain contronller 10.1 Global Catolog trong AD  Global catalog server là máy chủ lưu trữ tất cả thông tin của các đối tượng trong Active Directory  Global catalog server là máy chủ domain controller đầu tiên.  Hỗ trợ tìm kiếm dữ liệu và thông tin trên Active Directory.
  • 29. Nếu không có global catalog server thì quá trình logon của user sẽ thất bại.  Global Catalog Server cung cấp thông tin các thành viên trong Universal group trên môi trường multidomain. Thông tin các thành viên (member) trong Universal Group được lưu trữ trên GC Server thay vì được lưu trữ trên DC như Global Group. 10.2 Customize Global Catalog Server  Đôi khi cần phải chỉnh sữa lại các thuộc tính của global catalog server, để thêm một số thuộc tính của đối tượng.  Những cân nhắc khi thêm thuộc tính vào global catalog server:  Thêm một số thuộc tính cho user và ứng dụng thường xuyên sử dụng và truy vấn.  Tất cả các thuộc tính thay đổi trong global catalog server sẽ được update cho tất cả các global catalog. Nên các thay đổi của các thuộc tính cũng ảnh hưởng đến quá trình sao chép. 10.3 Phân bổ domain contronller trong AD  Nên bố trí domain controller trong Site nếu: Có nhiều user trong site Các ứng dụng liên quan AD trong site Site có nhiều resource server mà user có thể truy cập khi kết nối WAN bị lỗi. Không nên bố trí Domain controller trong site nếu:  Không có tính bảo mật vật lý Khó khăn trong việc duy trì hoạt động Xác định số lượng domain controller dựa trên: Số user trong site Yêu cầu về hiệu suất
  • 30. Bố trí Global Catalog Server Global catalog server phải có đủ dung lượng ổ đĩa trống. Global catalog server phải trả lời nhanh các yêu cầu truy vấn và chứng thực của client. Cung cấp đủ băng thông WAN cho global catalog server Sử dụng nhiều global catalog server Cấu hình tất cả thành global catalog server nếu forest chỉ có một domain. 11 Operation Master 11.1 Giới thiệu Operation Master Role  Schema Master Active Directory schema định nghĩa các loại đối tượng và các loại thông tin của đối tượng được lưu trữ trong Active Directory. Active Directory schema thực hiện các roles Điều khiển tất cả update trong schema Chứa danh sách chính các object class và atrribute của object dùng để tạo các object trong AD. Sao chép update đến tất cả AD Schema đến các domain controller trong forest. Chỉ cho phép các user thuộc nhóm Schema Admins mới được thay đổi schema.  Domain Naming Master Điều khiển việc thêm hoặc xóa bỏ domain trong forest Một rừng Active Directory có thể gồm nhiều miền.Việc kiểm tra các miền này là công việc của Domain Naming Master.Nếu Domain
  • 31. Naming Master bị lỗi thì nó không thể tạo và gỡ bỏ các miền cho tới khi Domain Naming Master quay trở lại trực tuyến. Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho một forest ta mở Active Directory Domains and Trust,khi cửa sổ này được mở,kích chuột phải vào Active Directory Domains and trusts và chọn Operations Masters.Sau khi chọn xong window sẽ hiện thị Domain Naming Master.  PDC Emulator ( Primary Domain Controller Emulator ) PDC Emualator dùng để hỗ trợ cho các Backup Domain Controller là Windows NT khi Domain Functional Level là mixed-mode. Phù hợp cho các hệ thống đang nâng cấp từ Windows NT lên Server 2003. PDC emulator thực hiện các roles: Thực hiện đồng bộ giữa PDC và BDC là Windows NT. Quản lý việc thay đổi mật khẩu từ các phiên bản Windows trước Windows 2000. Giảm thiểu sao chép của việc thay đổi mật khẩu. Đồng bộ thời gian giữa các domain controller trong toàn domain. Ngăn cản khả năng ghi đè của Group Policy objects.
  • 32. RID Master ( Relative Identifier Master )  RID Master cấp phát các Block RID cho mỗi Domain Controller trong miền. Khi Domain Controller tạo mới một đối tượng như: user, computer, group thì nó sẽ gán cho đối tượng đó một SID (Domain SID + RID).  Các đối tượng trong cùng domain thì có Domain SID giống nhau.  RID Master thực hiện các tác vụ sau:  Hỗ trợ tạo các đối tượng trong AD, khi một đối tượng mới được tạo ra sẽ gán một RID riêng biệt.  Hỗ trợ di chuyển các đối tượng trong AD.  Nếu không thể liên lạc được với RID Master roles Server trong miền thì quá trình tạo mới một đối tượng (user/group/computer) sẽ thất bại  Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một miền, ta mở Active Directory Users and Computers. Khi cửa số này được mở, kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuộc tính của Operations Masters. Trong cửa sổ này ta có thể chọn bộ điều khiển miền nào đang thực hiện như bộ nhận dạng quan hệ bằng cách quan sát ở tab RID của trang thuộc tính.
  • 33. Infrastructure Master Infrastructure master là Domain Controller phụ trách cập nhật thay đổi của các đối tượng trong domain có tham chiếu tới các đối tượng trong domain khác. Infrastructure master thực hiện cập nhật thông tin định danh của đối tượng theo các luật sau: Khi đối tượng di chuyển thì DN name cũng được thay đổi Nếu đối tượng di chuyển trong cùng một miền thì SID không đổi. Nếu đối tượng di chuyển đến một domain khác, thì SID được thay đổi tương ứng với domain đó. GUID không thay đổi bất, vì nó là duy nhất trên tất cả domain. Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không thể nhìn thấy trong đường biên miền. Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master cho một miền, mởActive Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters, Windows sẽ hiển thị trang thuộc tính của Operations Masters. Bạn có thể xác định được bộ điều khiển miền nào đang thực hiện với tư cách Operations Master bằng cách nhìn vào tab Infrastructure của trang thuộc tính.
  • 34. 11.2 Chuyển giao & chiếm đoạt Master Role  Chuyển giao Master Role Khi cơ sở hạ tầng mạng có sự thay đổi lớn thì cần phải chuyển giao các server roles Quyền hạn để thực hiện tác vụ chuyển giao Master Role o Schema master: Schema Adminis o Domain naming master: Enterprise Admins o PDC emulator: Domain Admin o RID master: Domain Admins o Infrastructure master: Domain Admins. Điều cần phải lưu ý ở đây là Schema Master Role: Muốn xem được Schema Master Role bạn phải vào Active Directory Schema Snap-in, thật không may là mặc định Active Directory Schema Snap-in lại không được tự động cài đặt cùng với Active Directory. Nhưng ta có thể cài đặt Snap-In này bằng cách vào cmd gõ: regsvr32 schmmgmt.dll để cài đặt Snap-in này. Sau hệ thống báo Success:
  • 35. Vào run gõ mmc trong cửa sổ này chọn file à add/remove Snap-in chọn Add rồi chỉ đến: Active Directory Schema Snap-in sau đó chuột phải chọn Operations Master sẽ xem được máy chủ nào là máy chủ Schema Master.  Chiếm đoạt Master Role Thực hiện chiếm đoạt Master role khi không thể thực hiện tác vụ chuyển giao master role. Dữ liệu có thể mất khi chiếm một master role Một điều cần lưu ý ở đây là : chỉ khi nào máy chủ Master Role thực sự hỏng thì ta mới làm theo phương pháp này, bởi khi ta tự ý nâng cấp Master Role cho một máy chủ Domain Controller, khi đó máy chủ Master trước được bật lên sẽ bị sung nhau bởi hệ thống không thể có hai Master Role.  Để chiếm đoạt Master roles thì ta dung một tool đó là: ntdsutil Step 1: vào run gõ cmd để vào command line Step 2: trong giao diện này gõ ntdsutil trong tools này chúng ta gõ: roles Step 3: connect vào máy chủ vne.vnexperts.net (phải sử dụng FQDN như thế này) o connections để vào giao diện kết nối
  • 36. o connect to server (đến server mà ta cần chiếm đoạt các roles) để kết nối tới máy chủ cần thiết. Step 4: gõ Quit để vào giao diện: fsmo maintenance o Seize Schema Master rồi enter o Seize Domain Naming Master rồi enter o Seize RID Master rồi Enter o Seize PDC rồi Enter o Seize Infrastructure Master rồi Enter  Sau khi nhập seize schema master hệ thống sẽ hỏi ta có chắc chắn làm việc này không thi ta chọn YES để hệ thống bắt đầu Seize đợi một lát sẽ hoàn tất quá trình. 11.3 Di chuyển & chống phân mảnh database của AD  Ta cần di chuyển và chống phân mảnh cho database của Active Directory khi Khi dữ liệu trong Active Directory được ghi và xóa nhiều lần dẫn đến dữ liệu không được ghi liên tục. Dữ liệu bị phân mãnh làm cho quá trình tìm kiếm trên AD sẽ chậm. Defragmenting sẽ giúp các record trong AD được ghi vào các sector liên tiếp. Giúp tiết kiệm được dung lượng cho Active Directory database. Khi đĩa cứng hết dung lượng bạn có thể thêm đĩa cứng mới và di chuyển database AD vào vị trí mới. Khi update phần cứng để phục vụ cho quá trình quản lý có thể lưu tạm database AD ở vị trí mới.