Giáo trình Quản trị môi trường mạng (Phần 1)
1. Tính năng vượt trội
Lịch sử phát triển:
* Hệ điều hành mạng Windows NT
Windows NT là hệ điều hành mạng cao cấp của hãng Microsoft. Phiên bản
đầu có tên là Windows NT 3.1 phát hành năm 1993, và phiên bản server là
Windows NT Advanced Server (trước đó là LAN Manager for NT). Năm 1994
phiên bản Windows NT Server và Windows NT Workstation version 3.5 được
phát hành. Tiếp theo đó ra đời các bản version 3.51. Năm 1995, Windows NT
Workstation và Windows NT Server version 4.0 ra đời.
Là hệ điều hành mạng đáp ứng tất cả các giao thức truyền thông phổ dụng
nhất. Ngoài ra nó vừa cho phép giao lưu giữa các máy trong mạng, vừa cho phép
truy nhập từ xa, cho phép truyền file v.v. Windows NT là hệ điều hành vừa đáp
ứng cho mạng cục bộ (LAN) vừa đáp ứng cho mạng diện rộng (WAN) như
Intranet, Internet.
Windows NT server hơn hẳn các hệ điều hành khác bởi tính mềm dẻo,đa
dạng trong quản lý.
Nó vừa cho phép quản lý mạng theo mô hình mạng phân biệt
(Clien/Server), vừa cho phép quản lý theo mô hình mạng ngang hàng (peer to
peer). Cài đặt đơn giản, nhẹ nhàng và điều quan trọng nhất là nó tương thích với
hầu như tất cả các hệ mạng.
Các cơ chế quản lý của Windows NT:
- Quản lý đối tượng (Object Manager): Tất cả tài nguyên của hệ điều hành
được thực thi như các đối tượng. Một đối tượng là một đại diện trừu tượng của
một tài nguyên. Nó mô tả trạng thái bên trong và các tham số của tài nguyên và
tập hợp các phương thức (method) có thể được sử dụng để truy cập và điều khiển
đối tượng. Bằng cách xử lý toàn bộ tài nguyên như đối tượng Windows NT có thể
thực hiện các phương thức giống nhau như: tạo đối tượng, bảo vệ đối tượng, giám
sát việc sử dụng đối tượng (Client object) giám sát những tài nguyên được sử dụng
bởi một đối tượng.
- Cơ chế bảo mật (SRM - Security Reference Monitor): Ðược sử dụng để
thực hiện vấn đề an ninh trong hệ thống Windows NT. Các yêu cầu tạo một đối
tượng phải được chuyển qua SRM để quyết định việc truy cập tài nguyên được
cho phép hay không. SRM làm việc với hệ thống con bảo mật trong chế độ user.- 4 -
Hệ thống con này được sử dụng để xác nhận user login vào hệ thống Windows
NT.
- Quản lý nhập / xuất (I/O Manager): Chịu trách nhiệm cho toàn bộ các
chức năng nhập / xuất trong hệ điều hành Windows NT. I/O Manager liên lạc với
trình điều khiển của các thiết bị khác nhau.
- I/O Manager: Sử dụng một kiến trúc lớp cho các trình điều khiển. Mỗi bộ
phận điều khiển trong lớp này thực hiện một chức năng được xác định rõ. Phương
pháp tiếp cận này cho phép một thành phần điều khiển được thay thế dễ dàng mà
không ảnh hưởng phần còn lại của các bộ phận điều khiển.
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Trang 8
Trang 9
Trang 10
Tải về để xem bản đầy đủ
Tóm tắt nội dung tài liệu: Giáo trình Quản trị môi trường mạng (Phần 1)
Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũng duy trì toàn bộ môi trường làm việc của user. Một đường dẫn mạng cũng có thể được thiết lập để nhận các truy cập các tài nguyên mạng và bổ xung kịch bản đăng nhập và home folder có thể được gán bởi tuỳ chọn này. + Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile, pager (số máy tin nhắn) và IP phone của user. Chúng ta cũng có thể thêm các ghi chú ở đây. + Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty, tên công ty hay tổ chức, các thông tin về user và báo các trực tiếp của user. - 39 - + Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó user này thuộc về. + Dial-In: Tùy chọn này cho phép chúng ta điều khiển user tạo một kết nối dial-in từ một nơi xa đến mạng. Điều này chỉ có thể thực hiện nếu user đang quay số tới một máy tính đang chạy Windows 2003 Remote access services(RAS). Có một số tuỳ để thiết lập cho bảo mật quay số như sau: Allow Access: Tự động xác định các thiết lập dial-in có được cho phép hay không. Deny Access: Sẽ xác định dial-in có bị từ chối hay không Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết nối. No Callback: Sẽ xác định RAS sẽ không gọi người user. Điều này cho phép user gọi từ bất kì số điện thoại nào. Nó được thiết kế cho môi trường bảo mật thấp. Set by caller: Sẽ xác định RAS sẽ đáp ứng đến user có được cung cấp nó với số điện thoại. Vì thông tin này sẽ có thể được ghi lại(logged) nên chúng ta có thể sử dụng có trên môi trường bảo mật trung bình. Always Callback To: Sẽ xác định rằng RAS sẽ đáp ứng lại với user tại số điện thoại đã được xác định. User nên cẩn thận để hiện diện tại cùng một thời điểm RAS kết nối đến. Tuỳ chọn này được dùng trong môi trường bảo mật cao. Environment: Để tạo môi trường client-working thì tab này phải được sử dụng. Nó xác định một hay nhiều ứng dụng khởi động và tất cả các thiết bị để kết nối khi user đăng nhập vào. Sessions: Tuỳ chọn này được sử dụng để giới hạn chiều dài của sessions (phiên), tuỳ thuộc vào session có active (kích hoạt), idle (nghỉ) hay disconnect (ngắt kết nối). Chúng ta cũng có thể quyết định những hành động nên được tiến hành trong trường hợp session đã tiến đến giới hạn thời gian. + End A Disconnected Session: Chỉ định thời gian lớn nhất mà một session chưa kết nối còn cho phép được chạy. Một khi quá giới hạn thời gian thì session không thể tìm trở lại. + Active Session Limit: Xác định khoảng lớn nhất của session được kết nối. Một khi giới hạn thời gian tiến đến gần, session có thể khởi động lại hoặc ngắt kết nối rời khỏi session active trên server. + Idle Session Limit: Xác định thời gian lớn nhất được cho trứoc khi session được khởi tạo lại hay ngắt kết nối. Nó sẽ bị ngắt kết nối sau khi hết thời gian của những hoạt động tại kết nối. - 40 - + Remote control: Sẽ xác định các thiết lập điều khiển từ xa của các dịch vụ Terminal. Bằng các thiết lập điều này chúng ta có thể tham gia giám sát session của client của bất kì máy tính nào đã đăng nhập vào Terminal Server. 1.3. Triển khai User principal name suffixes: User principal name (UPN): Là một tên dùng để logon trong hệ thống mạng windows server 2008. Được chia ra hai phần: + Upn prefix. + Upn suffix. Lợi ích của việc dùng upn: + Duy nhất trong Active Directory forest. + Dùng như 1 địa chỉ email. Name suffix routing: Là cơ chế phân giải tên miền thông qua những forest trust. Name suffix sử dụng để định tuyến các yêu cầu chứng thực giữa các forest được thiết lập trust với nhau. Name suffix không tồn tại trong forest thứ nhất có thể được định tuyến tới forest thứ 2. Thông tin cấu hình định tuyến được thừa kế cho domain con. Name suffix bị xung đột khi: + Một DNS name đã được sử dụng. + Một NETBIOS name đã được sử dụng. + Một domain SID trùng với một name suffix SID. Name suffix conflict trong domain là nguyên nhân khiến bị cấm truy cập tài nguyên từ bên ngoài forest. 2. Quản trị OU 2.1. Xây dựng và quản lý OU Đơn vị tổ chức (OU) là một phân khu trong một Active Directory mà bạn có thể chứa đựng: User account, Groups, Computers, và các đơn vị tổ chức khác. Bạn có thể tạo ra các đơn vị tổ chức để nhân bản cấu trúc chức năng hoặc tổ chức kinh doanh của bạn. Mỗi miền có thể thực hiện của hệ thống phân cấp đơn vị tổ chức. Nếu tổ chức của bạn có chứa một số lĩnh vực, bạn có thể tạo ra những cấu trúc đơn vị tổ chức trong từng lĩnh vực là độc lập của các cấu trúc trong các lĩnh vực khác. Thuật ngữ "đơn vị tổ chức" thường được rút ngắn "OU" trong cuộc trò chuyện thông thường. "Container" cũng thường được áp dụng trong vị trí của nó, - 41 - ngay cả trong tài liệu riêng của Microsoft. Tất cả các thuật ngữ được coi là chính xác và hoán đổi cho nhau. Các phương pháp tạo và quản lý OU: * Active Directory Users and Computer: Start / Administrative Tools /Active Directory Users and Computers (hoặc vào Start / Run, gõ lệnh DSA.MSC) để mở cửa sổ quản lý thành viên trong hệ thống. Bạn nhấn phải vào tên domain, chọn New / Organizational Unit / nhập tên OU vào ô Name / OK, OU vừa tạo sẽ được liệt kê bên dưới tên domain. * Các lệnh hỗ trợ: dsadd, dsmod, dsrm, dsmove, dsget, dsquery - dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào trong dịch vụ Directory. - dsrm: xóa một đối tượng trong dịch vụ Directory. - dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụ Directory. - dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact, group, ou, server hoặc user trong một dịch vụ Directory. - dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trong một dịch vụ Directory. - dsquery: truy vấn các thành phần trong dịch vụ Directory. 2.2. Ủy quyền và quản lý OU * Mục đích ủy quyền quản trị OU: - Phân tán việc quản lý cho từng OU - Đơn giản hóa trong việc quản trị - Việc ủy quyền cung cấp - Việc tự quản trong mỗi OU - Cô lập quản lý dữ liệu và dịch vụ * Các tác vụ quản trị OU: - Thay đổi thuộc tính của vật chứa (container). - Tạo và xóa object. - Thay đổi thuộc tính cuat object. 2.3. Chiến lược xây dựng OU * Tiến trình lập kế hoạch xây dựng OU: - Lập tài liệu về cấu trúc hiện tại của doanh nghiệp. - Xác định các vùng cần cải tiến quản trị. - Xác định cấp độ quản trị. - 42 - - Xác định tài khoản quản trị và tài khoản người dùng trong từng OU và các tài nguyên mà họ được phép quản lý và sử dụng. * Các nhân tố ảnh hương đến cấu trúc OU: - Các loại mô hình quản trị IT: + Tập trung. + Tập trung tại hội sở (Trụ sở chính) và phân tán tại chi nhánh. + Quản trị phân tán. + Thuê IT bên ngoài. - Cấu trúc của các mô hình quản trị IT: + Dựa trên vị trí địa lý (Geographic - based) + Dựa trên cấu trúc tổ chức phòng ban của doanh nghiệp (Organization - based) + Dựa trên chức năng trong cách tổ chức của doanh nghiệp (Bussiness function - based) + Kết hợp (Hybrid) * Chiến lược trong việc triển khai cấu trúc OU: Mô hình chiến lược triển khai cấu trúc OU 3. Quản trị Profile User 3.1. Cấu hình Home Directory - Profiles Home Folder là một share folder tự động map về máy trạm thành ổ đĩa mạng khi User đăng nhập bất kỳ client nào. Home directory là thư mục cất giữ dữ liệu, chương trình, ứng dụng của một User ngoài thư mục My Documents. Home directory có thể cất giữ local trên mỗi máy user log on locally hay có thể cất giữ trên server. - 43 - Chúng ta chỉ định Home Directory trong "User acc properties" \ Tab Profile. Để cấu hình Home Diretory ta tiến hành làm như sau: Login vào Domain Controller với quyền Administratro. Vào ô đĩa C: tạo thư mục có tên là DULIEU / Click chuột phải vào thư mục vừa tạo chọn Propertiese sau đó chọn tiếp Tab Sharing như hình dưới đây: Sau khi Click chọn vào Tab Sharing tiếp tục Click chọn vào Advanced Sharing / đánh dấu chọn vào Share this folder - 44 - Đánh dấu chọn vào Permisssions và cấp quyền cho nhóm Everyone là Full Control / Click chọn Apply / OK - 45 - Hộp thoại DULIEU Properties đã được Sharing / Click chọn Close đễ đống cửa sổ này lại. Bước tiếp theo mở công cụ Active Driectory Users and Computers từ Menu chọn Start / Administrative Tools. Sau đó tạo User với tên Là U1 / Click chọn Properties của User U1 chọn Tab Profile tạo mục Home folder đánh dấu chọn vào Connect: mục To: nhập đường nơi chứa các Profile được tạo ra cho U1 khi Login vào Doamin: \\DC01\DULIEU\%usernamee% .Click chọn Apply / OK - 46 - 3.2. Cấu hình Roaming Profiles Profile là tổng hợp những dữ liệu đặc thù của một user. Nó bao gồm các dữ liệu như Favorites của IE, bookmark của Firefox, Outlook settings, và nhiều thứ - 47 - khác. Windows được thiết kế để lưu dữ liệu của người dùng tại một địa điểm, giống như trên ổ cứng hoặc trên một server. Khi bạn logon và máy tính, nó sẽ tải dữ liệu trong profile của bạn kể cả những phần mềm được thiết lập để khởi động cùng windows. Roaming Profiles là dạng profiles của người dùng được lưu trữ trên một server, nó sẽ được tải về máy tính bất cứ khi nào người dùng login. Theo cách này, người dùng có thể truy nhập đến thông tin và những thiết lập của họ mà không phụ thuộc vào máy tính mà họ đăng nhập. Local Profiles là dạng profiles được lưu trữ trực tiếp trên một máy tính, và rất ít dữ liệu được chuyển giữa PC và server khi họ logon vào. Ưu điểm của Roaming Profile là nó sẽ tự động backup dữ liệu của người dùng đến server mỗi khi log out. Người dùng có thể đăng nhập trên nhiều máy tính mà vẫn dữ được những thiết lập của mình, điều này rất tốt trong môi trường mà mọi người làm việc không trên một máy tính cố định, chẳng hạn như một phòng lab. Nhược điểm của Roaming Profile: khi người dùng đã logon , một bản sao của profiles của họ sẽ được lưu lại trên máy tính mà học đăng nhập, điều này tạo ra vấn đề về bảo mật. Thời gian đăng nhập cũng là một vấn đề, nếu người dùng đặt quá nhiều dữ liệu trong profiles của họ, có thể sẽ phải chờ đợi rất lâu khi đăng nhập hoặc tắt một máy tính. Kèm theo đó với profiles lớn còn chiếm nhiều băng thông để truyền dữ liệu qua lại, phần lowin trong số này là lượng băng thông bị lãng phí bởi nhiều tập tin và dữ liệu được tải đồng bộ tuy nhiên người dùng lại không dùng đến. ➢ Tạo Folder C:\Profiles Share Folder C:\Profiles với Shared permision: Everyone allow full control Click chuột phải vào Folder Profiles chọn properties tại tab Sharing chọn advanced sharing chọn share this folder chọn permision - 48 - ➢ Chọn Allow full control chọn ok / ok ➢ Mở Active directory user and computer chọn server manager vào Role chọn Active directory services chọn Active directory user and computer chọn users - 49 - ➢ Click chuột phải vào User U1 chọn properties qua Tab Profile điền địa chỉ thư mục Profile đã share trên PC1 gõ vào \\PC1\%username% chọn Apply 4. Tạo các đối tượng bằng Command Line 4.1. Câu lệnh tạo OU (Organizational Unit) – Command line creat OU Cấu trúc câu lệnh tạo OU: dsadd ou [-desc ] [{-s | -d }][-u ] [-p { | *}] [-q] [{-uc | -uco | -uci}] Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau: dsadd ou ou=it,dc=qtm,dc=com Ý nghĩa câu lệnh tạo OU: + dsadd ou: khởi tạo một ou + ou=it:tạo OU có tên IT. + dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó. Chú ý: Nếu domain có dạng tên miền con ví dụ như: qtm.com.vn thì khai báo thêm như sau: dc=qtm, dc=com,dc=vn Khi câu lệnh báo secceeded có nghĩa là đã tạo thành công. Vào Active Directory Users and Computers ta thấy OU tên IT đã được tạo. - 50 - 2. Câu lệnh tạo group – command creat group Cấu trúc câu lệnh tạo group: dsadd group [-secgrp {yes | no}] [-scope {l | g | u}] [-samid ] [-desc ] [-memberof ] [-members ] [{-s Server> | -d }] [-u ] [-p { | *}] [-q] [{-uc | -uco | -uci}] Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau: dsadd group cn=it_group,ou=it,dc=qtm,dc=com -secgrp yes -scope g Ý nghĩa câu lệnh tạo group: + dsadd group: câu lệnh sẽ khởi tạo một group. + cn=it_group: Group được tạo có tên là it_group. + ou=it: Group được tạo sẽ nằm trong ou có tên là it. + dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó. + -secgrp yes: Kiểu group là Security, nếu chọn no sẽ là kiểu Distribution + -scope g: scope của group là Global, nếu chọn tham số là l sẽ là kiểu Domain local, tham số U là kiểu Universal Vào Active Directory Users and Computers sẽ thấy group it_group được tạo thành công. - 51 - 3. Câu lệnh tạo user – Command line create User Cú pháp câu lệnh tạo User: dsadd user [-samid ] [-upn ] [-fn ] [-mi ] [-ln ] [-display ] [- empid ] [-pwd { | *}] [-desc ] [- memberof ] [-office ] [-tel ] [-email ] [-hometel ] [-pager ] [- mobile ] [-fax ] [-iptel ] [-webpg ] [-title ] [-dept ] [-company ] [-mgr ] [-hmdir ] [-hmdrv :][-profile ] [-loscr ] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires ] [-disabled {yes | no}] [{-s | -d }] [-u ] [-p { | *}] [-q] [{-uc | -uco | - uci}] Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau: dsadd user cn=wp,ou=it,dc=qtm,dc=com -fn Vu -ln Anh –display “Vu Anh” - office QTM -tel 0912345678 –email vuanh@gmail.com -webpg -dept IT –company QTM -mustchpwd no -canchpwd no -disabled no -acctexpires never –pwd abc@123 Ý nghĩa cú pháp câu lệnh tạo user: - 52 - + dsadd user: Câu lệnh báo sẽ tạo user + cn=wp: tên tài khoản login của user. + ou=it: user này nằm trong OU có tên là IT. + dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó. + -fn Vu: First Name của user có tên là Hoang + -ln Anh: LastName của user là Thông + -display “Vu Anh”: Tên hiển thị của tài khoản là Vu Anh. Chú ý: Kiểu tên dài có dấu cánh sẽ phải đặt trong dấu nháy kép. ví dụ: “Vu Anh” + -office QTM: thuộc văn phòng QTM + -tel 0912345678: số điện thoại của user + -email vuanh@gmail.com: email của user + -webpg website của user + -dept IT: User thuộc phòng ban IT. + -company QTM: Công ty của user là QTM + -mustchpwd no: Tài khoản không yêu cầu phải đổi mật khẩu ngay lần đăng nhập đầu tiên. Nếu chọn yes có nghĩa là phải đổi + -canchpwd no: Tài khoản không thể đổi được mật khẩu. + -acctexpires never: Tài khoản không bao giờ hết hạn. + -pwd abc@123: Thiết lập mật khẩu cho tài khoản là abc@123 Vào Active Directory Users and Computers sẽ thấy tài khoản wp được tạo thành công. - 53 - Một số cú pháp các đối tượng trong Active Directory DSAdd – Add object DSMod – Modify object DSGet – Display object DSMove – Move object DSQuery – Search for objects DSRM – Delete object - 54 -
File đính kèm:
- giao_trinh_quan_tri_moi_truong_mang_phan_1.pdf