Báo cáo Active Directory

các thông tin được lưu bên trong Active Directory sẽ càng trở lên hữu dụng. Xét cho cùng, Active Directory là một cơ sở dữ liệu mà ta có thể truy vấn thông tin. Trong thực tế, nhiều ứng dụng làm việc bằng cách trích rút các thuộc tính khác nhau từ Active Directory. Khi đã điền đầy các trường này, kích nút Next, khi đó ta sẽ thấy màn hình tiếp theo xuất hiện như trong hình 11 dưới đây. Hình 11: Cần phải gán mật khẩi cho tài khoản mới Việc gán một mật khẩu là hoàn toàn đơn giản, tất cả những gì cần làm là đánh và nhập lại mật một mật khẩu. Mặc định, người dùng thường bị yêu cầu thay đổi mật khẩu cho lần đăng nhập kế tiếp. Tuy vậy, ta có thể tránh trường hợp này bằng cách xóa hộp kiểm “User Must Change Password at Next Logon”. Cũng có nhiều hộp kiểm khác cho phép ngăn chặn người dùng thay đổi tất cả các mật khẩu của họ. Ta có thể tùy chọn để thiết lập thời hạn vô hạn cho mật khẩu hoặc vô hiệu hóa toàn bộ tài khoản. Có một điều cần phải lưu ý là màn hình để thiết lập mật khẩu ở trên không phải là tất cả. Khi ta gán mật khẩu cho một tài khoản người dùng mới, mật khẩu này phải tuân theo chính sách bảo mật của công ty ta. Nếu mật khẩu sử dụng không có các yêu cầu cần thiết đã được đưa ra bởi chính sách nhóm có thể áp dụng thì tài khoản người dùng này sẽ không được tạo. Kích Next ta sẽ thấy một màn hình hiển thị toàn bộ các tùy chọn mà ta đã chọn. Xác nhận tất cả các thông tin đều đúng, khi đó chỉ cần kích Finish và một tài khoản người dùng mới sẽ được tạo. 8. Chỉnh sửa và bổ sung các thuộc tính của tài khoản Active Directory gồm nhiều thuộc tính kèm theo có liên quan đến các tài khoản của người dùng. Có một số thuộc tính mà ta có thể rất dễ sử dụng và có ích. Các thuộc tính đang cư trú mà có liên quan đến thông tin liên hệ cơ bản. Trong thực tế, một số công ty thường tạo các thư mục công ty dựa trên thông tin được lưu trong thuộc tính Active Directory này, nó vẫn là một ý tưởng tốt cho việc định cư thông tin tài khoản người dùng trong Active Directory. Ví dụ, với mục đích cần khởi động lại một máy chủ, trong khi đó một người dùng vẫn đăng nhập vào ứng dụng cư trú trên máy chủ. Nếu có các thông tin liên hệ của người dùng được lưu trong Active Directory thì ta có thể tra cứu số điện thoại của người dùng một cách dễ dàng và gọi cho người dùng này yêu cầu họ đăng xuất. Để truy cập vào các thuộc tính tài khoản người dùng khác nhau, đơn giản ta chỉ cần kích chuột phải vào tài khoản người dùng được chọn, sau đó chọn Properties. Sau khi thực hiện như vậy, ta sẽ gặp một màn hình như trong hình 11. Hình 11: Trang thuộc tính của người dùng được sử dụng để lưu thuộc tính và thông tin cấu hình cho tài khoản người dùng. Như có thể thấy được trên hình, tab General có thể cho phép thay đổi tên hoặc tên hiển thị của người dùng. Ta cũng có thể điền vào (hoặc thay đổi) một số trường khác như phần mô tả, văn phòng, điện thoại, email, hoặc website. Nếu quan tâm đến việc lưu trữ thêm các thông tin chi tiết hơn về người dùng thì ta có thể duyệt qua các tab Address, Telephones, và Organization. Các tab này có tất cả các trường dành cho việc lưu trữ thông tin chi tiết hơn về người dùng. 9. Xác lập lại mật khẩu người dùng Ta có thể thấy trên hình 11 có rất nhiều tab khác nhau. Hầu hết các tab này đều liên quan đến bảo mật và cấu hình cho tài khoản người dùng. Một thành phần mà hầu hết các quản trị viên mới dường như đều phát hiện ra khi khám khá các tab này đó là không có tùy chọn cho việc thiết lập lại mật khẩu của người dùng. Nếu cần phải thiết lập lại mật khẩu của người dùng thì ta phải đóng cửa sổ này. Sau khi thực hiện điều đó, ta kích chuột phải vào tài khoản người dùng và chọn lệnh Reset Password trong menu chuột phải. 10. Tạo các nhóm Trong môi trường miền, các tài khoản người dùng là rất cần thiết. Tài khoản người dùng cho phép một người dùng được phân biệt với các người dùng khác trên mạng. Điều này có nghĩa là ta hoàn toàn có thể kiểm tra hành động trực tuyến của người dùng và cũng có thể trao cho tài khoản người dùng một tập hợp cho phép, gán cho người dùng một địa chỉ email duy nhất, và có được tất cả các cần thiết khác của mỗi người. Dù ta quản lý một mạng rất nhỏ thì cũng nên xử lý mạng nhỏ này như nó là một mạng lớn, bởi vì ta sẽ không thể biết được mạng của ta sẽ phình ra trở thành một mạng lớn vào khi nào. Bằng việc sử dụng các công nghệ quản lý tốt ngay từ khi bắt đầu sẽ giúp ta tránh được những cơn ác mộng sau này. Một nhóm có thể gồm có nhiều tài khoản người dùng. Khi các thiết lập bảo mật được gán ở mức nhóm thì ta sẽ không bao giờ nên gán các cho phép trực tiếp đến tài khoản người dùng mà thay vì đó ta nên gán sự cho phép cho một nhóm, sau đó tạo cho người dùng là một thành viên trong các nhóm đó. Điều này có thể gây ra một chút phức tạp. Giả dụ rằng một trong số các máy chủ file có một thư mục tên Data, và ta cần phải đồng ý cho một người dùng truy cập (đọc) thư mục Data này. Thay vì gán trực tiếp sự cho phép cho người dùng, hãy tạo một nhóm. Để thực hiện điều đó, bạn mở Active Directory Users and Computers console. Khi giao diện được mở, kích chuột phải vào mục Users, chọn lệnh New | Group. Bằng cách làm như vậy, sẽ thấy xuất hiện một màn hình tương tự như màn hình được hiển thị trong hình 12. Tối thiểu, ta cũng phải gán tên cho một nhóm. Để dễ dàng cho quản lý, chúng ta hãy gọi nhóm này là Data, vì nhóm này sẽ được sử dụng để bảo vệ thư mục Data. Lúc này, không quan tâm về phạm vi của nhóm hoặc các thiết lập kiểu của nó . Hình 12: Nhập vào tên nhóm mà ta đang tạo Kích OK, và nhóm Data sẽ được bổ sung vào danh sách người dùng như trong hình B. Lưu ý rằng, biểu tượng của nhóm sử dụng hai đầu người, điều đó chỉ thị rằng nó là một nhóm, biểu tượng một đầu người được sử dụng cho tài khoản người dùng. Hình 13: Nhóm Data được bổ sung vào danh sách người dùng Bây giờ kích đúp vào nhóm Data, ta sẽ thấy trang thuộc tính của nhóm. Chọn tab Members của trang thuộc tính, kích nút Add. Lúc này ta hoàn toàn có thể bổ sung thêm các tài khoản người dùng vào nhóm. Các tài khoản bổ sung là các thành viên nhóm. Ta có thể thấy những gì trong tab này thông qua hình 13. Hình 14: Tab Members liệt kê tất cả các thành viên của nhóm Lúc này là thời điểm đưa nhóm ra làm việc. Để thực hiện điều này, ta kích chuột phải vào thư mục Data, chọn lệnh Properties. Khi đó ta sẽ thấy xuất hiện trang thuộc tính của thư mục. Vào tab Security của trang này, kích nút Add. Khi được nhắc nhở, ta nhập vào tên của nhóm đã tạo (Data) và kích OK. ta hoàn toàn có thể thiết lập một tập các cho phép (điều khoản) đối với nhóm. Bất cứ điều khoản nào áp dụng cho nhóm cũng được áp dụng cho các thành viên của nhóm. Có thể thấy trong hình 14, có một số quyền được áp dụng đối với thư mục một cách mặc định. Tốt nhất nên xóa các quyền này (Users group) ra khỏi danh sách điều khiển truy cập để ngăn chặn các mâu thuẫn điều khoản. Hình 15: Nhóm Data được bổ sung vào danh sách điều khiển truy cập của thư mục Sẽ mất rất nhiều công sức để tìm ra được người dùng nào đã truy cập vào tài nguyên? Khi các nhóm được sử dụng, quá trình này trở nên đơn giản rất nhiều. Nếu ta cần biết người dùng nào đã truy cập vào thư mục, hãy xem các nhóm nào đã truy cập vào thư mục đó trước như trong hình 15. Khi đã xác định được nhóm có thể truy cập vào thư mực, việc tìm ra ai có các quyền truy cập vào thư mục cũng đơn giản như việc kiểm tra danh sách các thành viên nhóm (như trong hình 14). Bất cứ thời điểm nào những người dùng khác cần truy cập vào thư mục, hãy bổ sung tên của họ vào danh sách thành viên nhóm. Ngược lại, ta cũng có thể xóa các điều khoản cho thư mục bằng các xóa tên của người dùng khỏi danh sách thành viên. 11. Các nhóm bảo mật. Mỗi một kiểu nhóm có một mục đích cụ thể. Hình 16: Windows cho phép ta tạo một số kiểu nhóm khác nhau. Nếu nhìn vào hộp thoại hiển thị bên trên, ta sẽ thấy được vùng Group Scope cung cấp một số tùy chọn để tạo nhóm domain local, global, hay universal. Ngoài ra cũng có một kiểu nhóm thứ 4 không được hiển thị ở đây, nó được gọi một cách đơn giản là nhóm local. 11.1 Local Group Các nhóm local là các nhóm riêng cho từng máy tính. Ta sẽ biết về nó ngay bây giờ, các máy tính cục bộ có thể gồm có nhiều tài khoản người dùng độc lập hoàn toàn với các tài khoản thuộc về miền máy tính đó được kết nối tới. Chúng được biết đến như các tài khoản người dùng cục bộ, và chúng chỉ có khả năng truy cập từ máy tính mà chúng cư trú. Thêm nữa, các tài khoản người dùng cục bộ cũng chỉ có thể tồn tại trên các máy trạm và trên các máy chủ thành viên. Các bộ điều khiển miền không cho phép tồn tại các tài khoản người dùng cục bộ. Cần lưu ý những vấn đề đó thì ta sẽ không hề ngạc nhiên khi các nhóm đó chỉ đơn giản là các nhóm riêng cho từng máy chủ thành viên hay máy trạm làm việc. Một nhóm local thường được sử dụng để quản lý các tài khoản người dùng cục bộ. Ví dụ, nhóm local Administrators cho phép ta có thể chỉ rõ người dùng nào là quản trị viên trên máy tính cục bộ. Mặc dù nhóm local chỉ có thể được sử dụng để bảo đảm việc cư trú của tài nguyên trên máy tính cục bộ nhưng điều đó không có nghĩa rằng các thành viên trong nhóm cũng bị hạn chế đối với những người dùng cục bộ này. Trong khi đó một nhóm local có thể và thường gồm những người dùng cục bộ thì nó cũng gồm có cả các người dùng trong miền. Hơn nữa các nhóm local cũng có thể gồm có cả các nhóm khác cư trú ở mức miền. Ví dụ, ta có thể tạo cho một nhóm universal một thành viên của nhóm local, các thành viên của nhóm universal về cơ bản sẽ trở thành các thành viên của nhóm local. Trong thực tế, một nhóm local có thể gồm local user, domain user, domain local group, global group và universal group. Chú ý, một nhóm local không thể chứa một nhóm local khác. Ta dường như cảm thấy có thể thả một nhóm này vào trong một nhóm khác, nhưng không thể làm như vậy với nhóm local. Một số thành viên tại Microsoft đã có lần giải thích lý do cho vấn đề này là để ngăn chặn một tình huống mà ở đó hai nhóm local trở thành các thành viên của nhau. Một vấn đề khác nữa là các nhóm local đó chỉ có thể gồm domain users và domain level groups nếu máy tính gồm nhóm local là một thành viên thuộc miền. Ngược lại, nhóm local chỉ có thể gồm local users. 11.2 Domain Local Groups Ý tưởng của nhóm domain local dường như hoàn toàn trái ngược với Local. Lý do tại sao các nhóm domain local tồn tại là vì các bộ điều khiển miền không có cơ sở dữ liệu tài khoản cục bộ. Điều này có nghĩa rằng không có các thứ khác như vậy khi người dùng cục bộ hay các nhóm local trên một bộ điều khiển miền. Thậm chí các bộ điều khiển miền có các tài nguyên cục bộ cần được quản lý. Đây chính là nơi các nhóm domain local thực hiện vai trò của nó. Khi ta cài đặt Windows Server 2003 trên một máy tính, máy tính sẽ được bắt đầu như một máy chủ độc lập hay một máy chủ thành viên chẳng hạn. Trong cả hai trường hợp đó thì tài khoản người dùng cục bộ và nhóm cục bộ đều được tạo ra trong suốt quá trình cài đặt. Bây giờ mục đích của ta là muốn chuyển đổi một máy vào một bộ điều khiển miền. Khi ta chạy DCPROMO, các nhóm local và tài khoản người dùng cục bộ được chuyển đổi vào các nhóm domain local và tài khoản người dùng domain. Ở đây, tất cả các bộ điều khiển miền bên trong một miền đều chia sẻ một cơ sở dữ liệu tài khoản người dùng chung với nhau. Điều đó có nghĩa là nếu ta thêm một người dùng vào nhóm domain local trên một bộ điều khiển miền thì người dùng này sẽ là một thành viên của nhóm domain local trên mọi bộ điều khiển miền trong tòan bộ miền. Các nhóm domain local là có hai kiểu khác nhau. Như chúng tôi đã đề cập tới, khi DCPROMO được chạy, nhóm local được chuyển đổi thành các nhóm domain local. Bất kỳ nhóm domain local nào được tạo ra bằng việc chạy DCPROMO đều được định vị trong thư mục Builtin trong Active Directory Users and Computers console, xem hình B. Hình 17: Các nhóm domain local đã tạo bởi DCPROMO cư trú trong Builtin container Vấn đề này khá quan trong là vì có một số hạn chế áp đặt trên một số nhóm domain local. Các nhóm bị hạn chế này không thể bị chuyển hoặc bị xóa. Hay nói cách khác ta không thể tạo cho các nhóm này là thành viên của nhóm domain local khác. Những hạn chế này không áp dụng cho các nhóm domain local mà ta tạo. Các nhóm domain local mà ta tại sẽ tồn tại trong mục Users. Từ đó, ta hoàn toàn thoải mái chuyển hoặc xóa chúng mặc theo ý thích của ta. 11.3 Global Groups Global groups là một kiểu nhóm được sử dụng phổ biến nhất. Trong hầu hết các trường hợp, nhóm global đơn giản chỉ làm việc như một bộ sưu tập các tài khoản người dùng Active Directory. Thứ mà chúng ta cần quan tâm về các nhóm này là chúng có thể được đặt bên trong nhau. Ta có thể tạo cho nhóm global một thành viên của một nhóm global khác, miễn là cả hai nhóm này tồn tại bên trong cùng một domain. Cần phải lưu ý rằng, các nhóm global này chỉ có thể có tài nguyên Active Directory. Chính vì vậy ta không thể định vị một tài khoản người dùng nội bộ hoặc nhóm nội bộ trong nó. Mặc dù vậy ta lại vẫn có thể thêm vào nhóm global này một nhóm local. Trong thực tế làm như vậy là cách thường được sử dụng nhất đối với việc cấp các quyền cho người dùng miền để họ có thể thao tác với các tài nguyên được lưu trên máy tính cục bộ. Ví dụ, với mục đích ta muốn cho các nhà quản lý trong công ty có được các quyền quản trị viên đối với các máy trạm của họ (nên nhớ rằng đây chỉ là một ví dụ chứ không phải là một lời khuyên răn ta nên làm như vậy). Để thực hiện điều đó, ta có thể tạo một nhóm global có tên gọi Managers và đặt mỗi một tài khoản người dùng miền của người ta muốn làm trong nó. Sau đó ta có thể bổ sung nhóm Managers vào nhóm local Administrators của máy trạm, theo cách đó ta đã làm cho các nhà quản lý của ta có được quyền của quản trị viên trên các máy trạm đó. Phần 2: Cài đặt một máy chủ Domain Controller cho một Domain Active Directory là dịch vụ hệ thống quan trọng bậc nhất với vai trò quản lý dữ liệu người dùng, máy tính, groups, và các chính sách cũng như rất nhiều thông tin khác. Để triển khai hệ thống Active Directory chuẩn, tránh các sự cố liên quan là điều cần thiết. Sau đây tôi sẽ trình bày từ cài đặt 1 máy chủ Domain Controller cho một Domain tới cài thêm một máy chủ DC khác cho Domain đó, bao gồm: 1. Cài đặt Active Directory trên Windows Server 2003 2. Backup Active Directory 3. Cài đặt thêm một máy chủ Active Directory vào một Domain đã có 4. Cài đặt Multiple Domain cho một hệ thống. a. Cài đặt Active Directory trên một Forest mới. b. Cài đặt Active Directory trên một domain con 5. Đổi tên Domain 6. Chuyển Master của Domain. Để có thể cài đặt và cấu hình lên một hệ thống như dưới đây. 1. Cài đặt Active Directory trên Windows Server 2003 1.1 Cài đặt và cấu hình DNS Khi cài đặt Active Directory trên Windows Server 2003 thì nên cài đặt DNS trước với các thiết lập chuẩn. - Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình. - Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập của mình vào trong DNS. a. Đặt địa chỉ IP cho máy chủ - Static IP và DNS vào DNS của chính máy mình. Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là 192.168.100.11, DNS cũng là 192.168.100.11. b. Cài đặt và cấu hình DNS - Vào Start à chọn Administrative Tools à Manage Your Server - Trong cửa sổ Manage Your Server chọn phần đầu tiên Add or Remove a Role rồi chọn cài đặt DNS nhấn Next và hệ thống sẽ yêu cầu bạn bộ cài Windows Server 2003 bạn cho đĩa CD hoặc trỏ đường dẫn tới thư mục i386 của bộ cài là OK. Kết thúc cài đặt - Tạo Zone trong DNS: Vào Start à Administrative Tools à DNS sẽ xuất hiện cửa sổ DNS. Trong phần tạo Zone này các bạn sẽ phải tạo dạng Forward Lookup Zone Dạng Primary Zone. - Chuột phải vào Forward Lookup zone chọn New Zone. Nhấn Next hệ thống yêu cầu tên Zone cần tạo tôi chọn là vnexperts.net Sau khi gõ tên đầy đủ của Zone cần tạo ra bạn nhấn Next để thực hiện bước tiếp tục, chọn Allow Dynamic Update đây là bắt buộc để khi cài đặt Active Directory sẽ tự động ghi các Record vào DNS Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS. Công việc chưa kết thúc, ta vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS. - Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory, nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên Zone vừa tạo ra. Chỉnh lại NS Record bằng cách tương tự. Tạo ra một Record để kiểm tra xem hệ thống DNS hoạt động đã chuẩn hay chưa. Ở đây ta tạo ra một Host A record là Server01.vnexperts.net địa chỉ IP là 192.168.100.11. - Chuột phải vào vnexperts.net Zone chọn Host A record Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn: Ping server01.vnexperts.net nếu có reply là ok. OK hoàn tất quá trình cài đặt và thiết lập DNS chuẩn bị cho việc cài đặt Active Directory. 1.2 Cài đặt Active Directory trên máy chủ Windows Server 2003 Chúng ta có thể vào cửa sổ Manage Your Server chọn Add or Remove a Role để cài đặt Active Directory nhưng cách mọi người hay sử dụng là vào Run gõ dcpromo. - Vào Run gõ dcpromo sẽ xuất hiện cửa sổ sau Các bạn nhấn Next để tiếp tục quá trình cài đặt Active Directory. Vào cửa sổ giới thiệu tương thích với các Windows của Active Directory. Nhấn Next để tiếp tục, trong cửa sổ này bạn phải lựa chọn giữa hai Options: - Domain Controller for a New domain: Là thiết lập tạo ra Domain Controller đầu tiên trong Domain - Additional domain Controller …: là lựa chọn để cài đặt them một máy chủ DC vào cho một Domain, với thiết lập Hai hay nhiều DC cho một Domain đáp ứng được khi một máy chủ bị sự cố xảy ra thì hệ thống vẫn hoạt động bình thường. Ở đây ta chọn Option: Domain Controller for a New Domain để cài đặt Máy chủ Domain Controller đầu tiên trên Domain. Sau khi lựa chọn Options trên bạn nhấn Next để tiếp tục quá trình cài đặt. - Trong cửa sổ tiếp theo này có ba Options vô cùng quan trọng để khi bạn cài đặt Domain Controller. - Domain in a new forest: Cài đặt máy chủ Domain Controller đầu tiên trên Forest sẽ phải lựa chọn thiết lập này ví dụ ở đây ta cài cho domain đầu tiên là: vnexperts.net phải lựa chọn Options này. - Child domain in an existing domain tree: Nếu khi ta đã có domain vnexperts.net mà ta lại muốn cài đặt các domain con bên trong của nó như: mcsa.vnexperts.net, hay ccna.vnexperts.net thì ta phải lựa chọn Options này. - Domain tree in an existing forest: Nếu ta muốn tạo một domain khác với tên vne.vn cùng trong forest vnexperts.net ta sẽ phải lựa chọn Options này - Cả hai options dưới là việc cài đặt Multiple, cài đặt máy chủ Domain Controller đầu tiên trong Domain. Lựa chọn Options đầu tiên rồi nhấn Next tiếp tục quá trình cài đặt, Trong bước này hệ thống yêu cầu bạn là: Máy chủ Domain Controller này quản lý Domain tên là gì ta gõ vnexperts.net Nhấn Next để tiếp tục, lựa chọn NetBIOS name cho Domain. NetBIOS name chính là tên của Domain xuất hiện khi client đăng nhập vào hệ thống. Bạn để mặc định Nhấn Next bạn cần phải lựa chọn nơi chứa thư mục NTDS cho quá trình Replications của hệ thống Domain Controller: Nhấn Next để tiếp tục, bạn cần phải thiết lập nơi lưu trữ thư mục SYSVOL đây là thư mục bắt buộc phải để trong Partition định dạng NTFS, với tác dụng chứa các dữ liệu để Replication cho toàn bộ Domain Controller trong Domain. Nếu mặc định hệ thống sẽ để tại thư mục %systemroot%\SYSVOL Nhấn Next để tiếp tục, bước này hệ thống sẽ hiển thị các thông tin về DNS đã được cấu hình chuẩn chưa và các thông tin về Domain… thể hiện ở hình dưới đây. Nếu trong bước này mà hệ thống báo lỗi bạn cần phải thực hiện lại các bước trong cài đặt và thiết lập DNS. - Ở đây toàn bộ đã thiết lập chuẩn Giờ là bước bạn nhấn Next, và lựa chọn Mode cho Domain. - Domain Function Level có 4 Mode là - Mix Mode là Active Directory được tạo ra bởi cả Windows NT Server, Windows 2000 Server, và Windows 2003 Server. Trong Mode này Active Directory không có một số tính năng cao cấp của Windows Server 2000, và Windows Server 2003, nhưng bạn sẽ phải buộc cài Mode này khi bạn Joint hệ thống windows 2003 mới vào hệ thống Windows NT cũ đang hoạt động. - Native Mode: Active Directory được tạo trên nền tảng Windows Server 2000 và Windows Server 2003 nên có gần như đầy đủ hết các tính năng cao cấp của Active Directory - Interim Mode: được tạo ra bởi Windows NT và Windows Server 2003 tương tự như Mix Mode - 2003 Mode: Là mode cao nhất hỗ trợ đầy đủ nhất toàn bộ các tính năng của Windows Server 2003. - Ở đây trong bước này ta chọn là mode Native Nhấn Next để tiếp tục quá trình cài đặt, Hệ thống yêu cầu thiết lập Password trong Restore Mode. - Khi bạn backup Active Directory là hoàn toàn dễ dàng trong Windows Server 2003 bởi hệ thống sử dụng cơ chế Shadow Backup, cho phép backup cả những dữ liệu, file, service đang hoạt động. - Nhưng khi bạn Restore lại sẽ là cả vấn đề, Windows không cho can thiệp vào File, hay dữ liệu đang được sử dụng, và khi đó bạn phải khởi động hệ thống vào Mode mà Active Directory không hoạt động thì mới Restore được. Password đặt trong phần này chính là Password để đăng nhập vào hệ thống khi Restore lại Active Directory. Sau đặt Password bạn nhấn Next hệ thống sẽ cho bạn hiển thị toàn bộ thông tin như: - NetBIOS name ở đây là VNEXPERTS - Folder chứa dữ liệu của Active Directory là NTDS ở đâu - Tương tự vậy các folder SYSVOL - Hệ thống sẽ thông báo là Password đăng nhập vào Domain của User Administrator sẽ tương tự như Password đăng nhập của User Administrator trước khi cài Active Directory. Nhấn Next bắt đầu tiến hành cài đặt Active Directory Đợi vài phút cho đến khi hệ thống thông báo hoàn thành và yêu cầu khởi động lại là bạn đã hoàn tất quá trình cài đặt Active Directory trên máy chủ Windows Server 2003. 2. Backup & Restore 2.1 Công nghệ NTBACKUP trong Windows Server 2003. Backup và Restore là một trong những kiến thức vô cùng quan trọng trong việc đảm bảo hệ thống hoạt động một cách hiệu quả, và tránh được những sự cố đáng tiếc xảy ra. Trong Windows Server 2003 có sử dụng một công cụ backup dữ liệu đó là: ntbackup. - NTBACKUP trong Windows Server 2003 sử dụng công nghệ backup là Shadow Copy để backup cả những dữ liệu đang hoạt động như SQL, hay dịch vụ Active Directory, các file đang chạy hay các folder bị cấm truy cập… - Nhưng trong Windows có một quy định là không cho can thiệp vào các file hay dữ liệu đang có một chương trình khác đang hoạt động hay đang sử dụng. - Và hai điều này có nghĩa là bạn hoàn toàn có thể backup được Active Directory theo một cách nào đó, nhưng bạn không thể Restore lại được bởi Service này hoạt động từ lúc hệ thống bắt đầu khởi động. Microsoft đã tính toán đến tình huống này - cách Backup và Restore dữ liệu của Active Directory. - Khi backup System State sẽ chứa toàn bộ thông tin của Active Directory. 2.2 Backup và Restore Active Directory trong máy chủ Domain Controllers. a. Lý thuyết - Phần trên ta đã có một Domain với tên miền là: vnexperts.net có máy chủ Domain Controller cài dịch vụ Active Directory là dc1.vnexperts.net. - Step 1: Tạo một OU trong Active Directory với tên MCSA trong OU này tôi tạo tiếp một User Name là Hoang Tuan Dat. - Step 2: Backup Active Directory - Step 3: Xoá OU và User vừa tạo ra - Step 4: Khôi phục lại dữ liệu Active Directory vừa bị xoá. b. Triển khai. Step 1 - Log on vào máy chủ Domain Controller bằng user administrator - Vào Start à All Programs à Administrative tools à Active Directory Users and Computers. Chuột phải vào Active Directory domain vnexperts.net chọn New và Organizational Unit (OU) với tên MCSA - Vào trong OU MCSA kick chuột phải chọn New User Account - để tạo một tài khoản User mới. - Ở đây ta tạo User tên Hoang Tuan Dat, logon name là tocbatdat Nhấn Next hệ thống yêu cầu gõ Password của user mới tạo ra là gì ta chọn Password là: Password12! - Chú ý sau khi cài đặt Active Directory sẽ có một Default Domain Security Policy yêu cầu bất kỳ một user mới tạo ra đều phải có password nhỏ nhất là 7 ký tự và phải phức tạp. Nếu bạn muốn chỉnh lại để tạo ra User một cách đơn giản hơn phải chỉnh lại Default Domain Security Policy này và Local Policy của Máy chủ Domain Controllers. - Cách chỉnh Default Domain Security Policy: Vào Startà All Programs à Administrative tools à Domain Security Policy. Trong Cửa sổ chỉnh Policy bạn chọn chọn Account Policies à Password Policies. Tiếp đến bạn phải chỉnh hai thông số là Minimum Password Lengh, và Password must meet complexity Requirements (độ dài tối thiểu và phải phức tạp) nhấp đúp chuột trái sẽ xuất hiện như hình dưới đây bạn bỏ dấu Check Box – Define this policy setting – thực hiện với cả hai thiết lập. - Vào Run gõ Gpupdate /force để apply sự thay đổi policy trong domain sau đó bạn phải chỉnh cả trong Local Policy của máy chủ Domain Controller nữa thì mới tạo được User ở dạng Password là chống (blank). - Vào Run gõ gpedit.msc để chỉnh Local Policy cho máy chủ Domain Controllers. Tương tự chỉnh các thông số trong Password Policy. Lưu ý một điều nếu bạn chưa bỏ dấu check box trong Doma