Tạo tài khoản người dùng và nhóm:
Ta tiến hành tạo 3 nhóm người dùng đại diện cho các 3 phòng: Phòng Giám đốc, Phòng kinh doanh, Phòng nhân sự. Mỗi phòng có một số tài khoản người dùng nhất định. Demo ta sẽ tạo 3 tài khỏan người dùng ở mỗi phòng.
Thực hiện như sau: ta xây dựng mỗi phòng là 1 Organizational Unit (OU). Mỗi OU là một nhóm tài khoản người dùng, máy tính và tài nguyên mạng được tạo ra nhằm mục đích dễ dàng quản lý hơn và ủy quyền cho các quản trị viên địa phương giải quyết các công việc đơn giản. Đặc biệt hơn là thông qua OU chúng ta có thể áp đặt các giới hạn phần mềm và giới hạn phần cứng thông qua các Group Policy. Muốn xây dựng một OU thực hiện các bước sau:
Chọn menu Start --> Programs --> Administrator Tools --> Active Directory User and Computer (ADUC) hoặc Start --> Run, nhập vào dsa.msc, nhấn Enter để khởi động ADUC
32 trang |
Chia sẻ: netpro | Lượt xem: 5452 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Đề tài Tìm hiểu và cài đặt ứng dụng Active Directory trên Windows Server 2003, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
BÀI TẬP LỚN
MÔN: MẠNG MÁY TÍNH
ĐỀ TÀI:
Tìm hiểu và cài đặt ứng dụng Active Directory trên
Windows Server 2003
Giáo viên hướng dẫn: Tống Văn Luyên
Sinh viên thực hiện: Đỗ Tiến Đạt
Phan Thanh Tùng
Nguyễn Đức Hạnh
Nguyễn Lệ Thu
Lời nói đầu
Máy tính cá nhân ra đời là một công cụ hỗ trợ đắc lực cho tất cả các lĩnh vực của đời sống kinh tế xã hội. Đầu tiên các máy tính độc lập với nhau, do chúng bị hạn chế về số lượng các chương trình ứng dụng, sự trao đổi thông tin, khả năng tận dụng phần cứng.
Nhu cầu sử dụng máy tính để trao đổi thông tin ngày càng cao, nhất là trong giai đoạn hiện nay khi mà ngành tin học và viễn thông là hai ngành cốt lõi của công nghệ thông tin phát triển vượt bậc, tạo điều kiện rất thuận lợi cho các tổ chức cá nhân, tập thể không thể nghĩ đến việc liên kết các máy tính với nhau để cùng trao đổi thông tin sử dụng chung các nguồn tài nguyên quý giá cả về phần cứng lẫn phần mềm. Đây chính là lý do để các cơ quan xí nghiệp, trường học... kết nối các máy tính đơn lẻ hiện có cũng như trang bị máy mới thành một mạng máy tính để phục vụ trao đổi thông tin bên ngoài. Đó chính là mạng máy tính cục bộ LAN.
Việc ứng dụng mạng máy tính cho các doanh nghiệp giúp chia sẻ tài nguyên, tiết kiệm chi phí và tiết kiệm thời gian. Để làm được điều đó thì vai trò của người quản trị mạng là hết sức quan trọng.
Với đề tài Active Directory trên Windows Server 2003, nhóm chúng em xin trình bày một số vấn đề cơ bản và ứng dụng vào mạng doanh nghiệp cụ thể.
Do kiến thức và thời gian có hạn nên không tránh khỏi sai sót, nhóm mong nhận được góp ý của thầy cô và các bạn. Chúng em xin gửi lời cảm ơn đến thầy giáo: Tống Văn Luyên, người hướng dẫn chúng em thực hiện đề tài này. Chúng em xin chân thành cảm ơn.
Hà Nội, ngày 10/10/2010
Nhóm Sinh viên thực hiện:
Đỗ Tiến Đạt
Phan Thanh Tùng
Nguyễn Đức Hạnh
Nguyễn Lệ Thu
I. ĐẶT VẤN ĐỀ:
Xây dựng mạng LAN phân quyền cho hệ thống mạng của một công ty. Trong đó gồm:
1 máy chủ cài đặt HĐH Windows Server 2003
Nhiều máy khách cài đặt HĐH Windows XP
Với chức năng như sau:
Tạo các tài khoản người dùng, các tài khoản người dùng này được add vào các nhóm người dùng và được phân quyền theo các yêu cầu đặt ra như sau:
Phòng giám đốc:
Các user của phòng giám đốc toàn quyền trên domain.
Phòng kinh doanh:
Các user thuộc phòng kinh doanh có chính sách mật khẩu như sau: mật khẩu dài tối thiểu 7 kí tự, thời gian tồn tại mật khẩu lớn nhất trong 30 ngày, người dùng phải thay đổi mật khẩu trong lần đầu đăng nhập, nhập sai quá 3 lần sẽ bị khóa tài khoản, mỗi lần khóa 5 phút.
Phòng nhân sự:
Các user thuộc phòng nhân sự không được sử dụng câu lệnh Run trên menu start, không được truy cập ổ C của máy tính, không được cài đặt hay gỡ bỏ các chương trình có sẵn.
II. XÂY DỰNG MÔ HÌNH MẠNG:
Hình 1: Mô hình demo mạng
Xây dựng mạng demo dựa trên phần mềm VMWare Workstation:
Tạo 1 máy ảo cài đặt Server HĐH Windows Server 2003
Tạo 1 máy ảo cài đặt Server HĐH Windows XP
Tiến hành đặt địa chỉ cho từng máy ảo, lựa chọn địa chỉ IP dùng riêng lớp B: 10.0.0.x để đánh địa chỉ cho từng máy. Để chế độ đánh địa chỉ IP tĩnh, đánh địa chỉ cho các máy như sau:
Server:
IP: 10.0.0.1
Subnet mask: 255.0.0.0
Default Gateway: 10.0.0.1
Preferred DNS: 10.0.0.1
Hình 2: Đặt IP tĩnh cho máy chủ
Máy Windows XP client:
IP: 10.0.0.2
Subnet mask: 255.0.0.0
Default Gateway: 10.0.0.1
Preferred DNS: 10.0.0.1
Hình 3: Đánh IP tĩnh cho máy client Windows XP
Sau đó ta tiến hành nối mạng máy Server với máy client thông qua Switch ảo được cung cấp sẵn trong phần mềm VMware Workstation, cách tiến hành như sau:
Tại giao diện của phần mềm, kích chọn máy ảo Server, kích chuột phải, menu hiện ra chọn Settings
Hộp thoại Virtual Machine Settings hiện ra, tại Tab Hardware, tại mục Devices, kích chọn Ethernet, phần Network Connection chọn Custom: Specific virtual network, tại mũi tên xổ xuống chọn Vmnet2 (host-only), đây chính là cách ta chọn nối card mạng ethernet của máy server nối vào switch ảo VMNet2 có sẵn của phần mềm Vmware. Sau đó nhấp OK.
Tiến hành tương tự đối với máy client XP. Như vậy là ta đã có một mạng LAN đáp ứng đầy đủ các yêu cầu về phương diện vật lý cũng như logic: IP cùng 1 mạng, có kết nối giữa 2 máy. Ta có thể kiểm tra mạng LAN này bằng câu lệnh ping, từ 1 máy ping đến địa chỉ IP của máy kia. Nếu ping được là kết nối đã được bảo đảm.
III. CẤU HÌNH ACTIVE DIRECTORY:
1.Các khái niệm mở đầu:
Để quản lý một hệ thống mạng ta có 2 mô hình: Workgroup và Domain. Đặc điểm của hệ thống Workgroup: - Quản lý không tập trung, ví dụ khi cần triển khai policy cho hệ thống ta phải cấu hình trên từng máy. - Mỗi người sử dụng phải sử dụng nhiều user account cho nhiều nhu cầu, ví dụ người sử dụng phải có hai user: một để logon và một để truy cập tài nguyên trên file server. Với 2 đặc điểm trên, ta sẽ rất khó khăn khi quản lý một hệ thống mạng lớn. Đặc điểm của hệ thống Domain: - Quản lý theo cấu trúc danh bạ: tất cả các đối tượng (group, user, computer account…) và tài nguyên đều được quản lý tập trong bằng dịch vụ Active Directory (AD) - Là một mô hình quản lý tập trung, ví dụ 1 policy khi triển khai cùng lúc có thể ảnh hưởng trên nhiều máy hoặc nhiều user account. - Hỗ trợ Single Sign On, mỗi người sử dụng trong hệ thống chỉ cần một user account cho tất cả các nhu cầu: logon, truy cập tài nguyên, sử dụng e-mail… Với sự khác nhau giữa 2 hệ thống Workgroup và Domain như trên, để quản lý một hệ thống mạng tập trung chúng ta nên chọn mô hình Domain.
Active Directory là gì?
Trước hết chúng ta hãy đi tìm hiểu xem Active Directory là gì. Active Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows. Giống như các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS), Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó.
Active Directory có thể được coi là một điểm phát triển mới so với Windows 2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003, trở thành một phần quan trọng của hệ điều hành. Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission.
Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng.
Chức năng của AD:
- Lưu giữ một danh sách tập trung tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính.
- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là Domain Controller (máy điều khiển vùng).
- Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể do rà nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.
- Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như : toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa ...
- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ.
Những đơn vị cơ bản của Active Directory
1.1/- Objects: Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes.- Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho đối tượng mà bạn có thể tạo ra trong Active Directory. Có 3 loại Object classes thông dụng là: User, Computer, Printer.- Attributes là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể.
Như vậy, Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của Object classses.1.2/- Organizational Units : Organizational Units hay OU là đơn vị nhỏ nhất trong hệ thống Active Directory, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công dụng chính như sau:- Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống.- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (Group Policy).1.3/-Domain :Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn.Domain đáp ứng ba chức năng chính sau:- Đóng vai trò như một khu vực quản trị (administrator boundary) các đối tượng, là một tập hợp các đĩnh nghĩa quản trị cho các đối tượng chia sẻ như : có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ uỷ quyền với các domain khác.- Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ.- Cung cấp các server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các server này đựơc đồng bộ nhau.1.4/- Domain Tree :Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên đựơc gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các con phải khác biệt nhau.Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain. Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục. Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện.1.5/- Forest :Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. Ví dụ giả sử một công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác. Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng.
2. Cài đặt Active Directory:
Ta tiến hành cài đặt dịch vụ Active Directory trên máy chủ như sau: Thông thường theo mặc định, tất cả các máy Windows Server 2003 khi mới cài đặt đều là server độc lập (standalone server). Chương trình DCPROMO chính là Active Directory Installion Wizard và được dùng để nâng cấp một máy không phải là Domain Controller (Server Standolone) thành một máy Domain Controller:
Nhấn Start > Run, nhập dcpromo vào hộp thoại Run và bấm OK, xuất hiện hộp thoại Directory Installation Wizard, nhấn Next để tiếp tục:
Xuất hiện hộp hội thoại cảnh báo DOS, Windows 95 và WinNT SP3 trở về trước sẽ bị loại ra khỏi miền Active Directory dựa trên Windows Server 2003.
Chọn Next, hộp thoại tiếp theo hiện ra, có 2 lựa chọn:
Domain controller for a new domain: tạo domain controller cho 1 miền domain mới
Additional domain controller for an existing domain: tạo thêm domain controller cho 1 miền domain đã tồn tại.
Ta chọn lựa chọn đầu để tạo cho một miền domain mới. Nhấn Next, hộp thoại tiếp theo xuất hiện, có 3 lựa chọn:
Domain in a new forest: tạo domain trong 1 forest mới
Child domain in an existing domain tree: tên miền domain con trong 1 cây domain đã tồn tại
Domain tree in an existing forest: tạo cây domain trong 1 forest đã tồn tại
Ta chọn Domain in a new forest: tạo domain trong 1 forest mới. Rồi nhấn Next, hộp thoại tiếp theo xuất hiện:
Ta gõ tên DNS đầy đủ cho domain mới tạo ra, ở đây ta chọn tên là dientu1k3.com. Sau đó nhấn Next, chờ trong giây lát để việc khởi tạo hoàn thành.
Cửa sổ tiếp theo: Nhập tên Domain theo chuẩn NetBIOS để tương thích với các máy WinNT và các phiên bản Windows cũ.
Mặc định, tên Domain NetBIOS giống phần đầu của tên FullDNS, bạn có thể đổi sang tên khác hoặc chấp nhận giá trị mặc định. Chọn Next, xuất hiện hộp hội thoại:
Chỉ định vị trí lưu trữ database Active Directory và các tập tin log. Tuy nhiên, nên đặt tập tin chức thông tin giao dịch (transaction log) ở một đĩa cứng vật lý khác với đĩa cứng chứa cơ sở dữ liệu của Active Directory nhằm tăng hiệu năng của hệ thống --> Chọn Next, xuất hiện hộp hội thoại:
Chỉ định vị trí của thư mục SYSVOL. Thư mục này phải nằm trên một NTFS Volume. Tất cả dữ liệu đặt trong thư mục Sysvol này sẽ đựơc tự động sao chép sang các Domain Controller khác trong miền. Bạn có thể chấp nhận giá trị mặc định hoặc chỉ định vị trí khác.
Chọn Next, xuất hiện hộp hội thoại :
Nhấp chọn Install and configure the DNS server on this computer to use this DNS server as its preffered DNS server. Lựa chọn này để cài đặt và thiết lập DNS server trên chính máy chủ. DNS là dịch vụ phân giải tên kết hợp với Active Directory để phân giải tên các máy tính trong miền. Do đó để hệ thống Active Directory hoạt động được thì trong miền phải có ít nhất một DNS Server phân giải miền mà chúng ta cần thiết lập.
Chọn Next, xuất hiện hộp hội thoại:
Dòng Permissions Compartible with pre-Windows 2000 Server khi hệ thống có các server phiên bản trước Windows 2000.
Chọn dòng Permissions compartible only with Windows Servers 2000 or Windows Servers 2003 --> do mạng không có server phiên bản trước Windows 2000. Chọn Next, xuất hiện hộp hội thoại:
Nhập mật khẩu dùng trong trường hợp Server phải khởi động ở chế độ Directory Services Restore Mode. Mật khẩu phải khác mật khẩu admin. Chọn Next, xuất hiện hộp hội thoại:
Hiển thị tất cả các thông tin bạn đã chọn. Tất cả đều chính xác, chọn Next để bắt đầu thực hiện quá trình cài đặt, ngược lại bạn chọn Back để quay lại các bước trước đó, xuất hiện hộp hội thoại :
Sau khi quá trình cài đặt kết thúc, xuất hiện hộp hội thoại :
Nhấn Finish để hoàn tất việc cài đặt. Máy sẽ yêu cầu bạn khởi động lại máy tính để việc cài đặt có hiệu lực.
Nhấn Restart Now để khởi động lại máy tính.
3. Cấu hình Active Directory:
3.1 Tạo tài khoản người dùng và nhóm:
Ta tiến hành tạo 3 nhóm người dùng đại diện cho các 3 phòng: Phòng Giám đốc, Phòng kinh doanh, Phòng nhân sự. Mỗi phòng có một số tài khoản người dùng nhất định. Demo ta sẽ tạo 3 tài khỏan người dùng ở mỗi phòng.
Thực hiện như sau: ta xây dựng mỗi phòng là 1 Organizational Unit (OU). Mỗi OU là một nhóm tài khoản người dùng, máy tính và tài nguyên mạng được tạo ra nhằm mục đích dễ dàng quản lý hơn và ủy quyền cho các quản trị viên địa phương giải quyết các công việc đơn giản. Đặc biệt hơn là thông qua OU chúng ta có thể áp đặt các giới hạn phần mềm và giới hạn phần cứng thông qua các Group Policy. Muốn xây dựng một OU thực hiện các bước sau:
Chọn menu Start --> Programs --> Administrator Tools --> Active Directory User and Computer (ADUC) hoặc Start --> Run, nhập vào dsa.msc, nhấn Enter để khởi động ADUC, xuất hiện hộp hội thoại :
Click phải chuột trên tên miền dientu1k3.com và chọn New Oganizational Unit, xuất hiên hộp hội thoại:
Nhập tên OU cần tạo, ví dụ tên OU là Phòng Giám đốc, chọn OK hoàn tất thao tác tạo OU như hình bên dưới:
Bằng cách tương tự, tạo thêm 3 OU cho 2 phòng còn lại. Sau đó tiến hành add người dùng vào mỗi OU vừa tạo ra. Cách tiến hành: kích chuột phải vào tên mỗi phòng, cửa sổ hiện ra chọn New > User. Cửa sổ hiện ra nhập thông tin về người dùng: Họ tên, và quan trọng nhất là tên đăng nhập ở mục User logon name
Tên đăng nhập để đăng nhập vào hệ thống và không được trùng nhau. Sau khi nhập xong bấm Next để chuyển sang phần tiếp theo.
Nhập mật khẩu và xác nhận mật khẩu cho tài khoản này. Chú ý rằng nếu ta chưa thay đổi chính sách an toàn của mật khẩu thì theo mặc định, mật khẩu phải dài tối thiểu 8 ký tự, có các ký tự chữ cái, số, và ký tự đặc biệt:@, $, &… Có thể đặt mật khẩu đơn giản hơn bằng cách thay đổi chính sách này trước khi đặt (vào Start > Administrative Tools > Domain Security Policy > Account Policies > Password Policy và chỉnh lại thông số). Ta sẽ thấy bên dưới có các lựa chọn:
User must change password at next logon: người dùng phải đổi mật khẩu ở lần đăng nhập sau
User cannot change password: người dùng không thể thay đổi mật khẩu
Password never expires: mật khẩu không bao giờ hết hạn
Tùy theo yêu cầu mà ta có lựa chọn thích hợp, sau đó bấm Next. Cửa sổ hiện ra thông báo hoàn tất:
Nhấn chọn Finish để chấp nhận thông tin trên và hoàn tất. Làm tương tự với các tài khoản khác của phòng này và 2 phòng còn lại. Sau khi tạo các tài khỏan người dùng của các phòng ta được như sau:
Phòng Giám đốc: 3 tài khoản người dùng:
giamdoc@dientu1k3.com
phogiamdoc@dientu1k3.com
lethu@dientu1k3.com
Phòng Kinh doanh: 3 tài khoản người dùng:
thanhtung@dientu1k3.com
kd1@dientu1k3.com
kd2@dientu1k3.com
Phòng nhân sự: 3 tài khoản người dùng:
ns1@dientu1k3.com
ns2@dientu1k3.com
ns3@dientu1k3.com
3.2 Thiết lập chính sách nhóm:
Cách tiến hành:
Chính sách nhóm cho Phòng Giám đốc:
Vẫn trong phần Active Directory User and Computer ta nhấp chuột phải vào Phòng Giám đốc
Cửa sổ hiện ra chọn: New > Group ở hộp thoại tiếp theo, nhập tên group này vào ô Group name rồi nhấn OK.
Sau khi tạo xong, nhấp chuột phải vào group vừa tạo, chọn Properties từ menu hiện ra, cửa sổ xuất hiện, chọn Tab Members:
Kích chọn nút Add để thêm tài khoản người dùng vào nhóm. Cửa sổ Select Users, Contacts, or Computers xuất hiện:
Đánh tên đăng nhập của những dùng cần tạo vào nhóm như trên hình vẽ. Các tên này cách nhau bởi dấu chấm phẩy (;). Sau đó nhấn OK 2 lần. Ta thiết lập chính sách nhóm như sau: Tại tên miền dientu1k3.com nhấp chuột phải vào OU Phòng Giám đốc, menu hiện ra chọn Properties, xuất hiện hộp thoại Phòng Giám đốc Properties, chọn Tab Group Policy:
Nhấp chuột vào nút New để tạo mới một Group Policy, và đặt tên cho chính sách nhóm mới xây dựng này. Chính sách nhóm cho phòng giám đốc toàn quyền trên domain nên theo mặc định nếu không chỉnh sửa gì thì chính sách mới tạo sẽ có toàn quyền trên domain. Do đó ta không cần chỉnh sửa gì. Nhấp Close để hoàn tất.
Chính sách nhóm cho Phòng Kinh doanh
Tương tự ta đi thiết lập chính sách nhóm cho Phòng Kinh doanh, kích chuột phải vào OU Phòng Kinh doanh, tạo Group Kinh doanh và tạo ra chính sách nhóm cho phòng này:
Nhấn Edit để chỉnh sửa chính sách nhóm vừa tạo ra này. Khi đó cửa sổ Group Policy Object Editor xuất hiện, ta thấy khá giống với chỉnh sửa Registry trong Windows Xp. Để chỉnh sửa thông số nào ta vào các mục tương ứng.
Thiết lập các yêu cầu cho mật khẩu: Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Đặt thời gian tối đa của mật khẩu, hay thời gian thay đổi mật khẩu: Nhấn đúp vào Maximum password age, hộp thoại hiện ra, chọn Define this policy setting, và nhập 30 vào ô bên dưới như hình vẽ. Sau đó nhấp OK.
Đặt độ dài tối thiểu của mật khẩu: mục Minimum password length: và thiết lập như hình vẽ dưới đây:
Đặt số lần đăng nhập người dùng nhập sai mật khẩu tối đa, trước khi bị khóa tài khoản:
Và đặt thời gian khóa tại mục Account lockout duration là 5 phút bằng cách tương tự.
Chính sách nhóm cho Phòng Nhân sự:
Tạo group Group Nhân sự ở OU Phòng Nhân sự và add các thành viên ns1, ns2, ns3 vào nhóm này. Sau đó, thiết lập chính sách nhóm với cách làm tương tự ở phòng trên.
-Không cho cài đặt phần mềm: : Computer Configuration > > Windows Settings > Administrative Templates > Windows Components > Windows Installer, chọn mục Disable Windows Installer, cửa sổ hiện lên, tại Tab Setting chọn Enable.
Nhấn OK để đồng ý.
-Không cho truy cập ổ C trên máy client: vào User Configuration > Administrative Templates > Windows Components > Windows Explorer, chọn mục Prevent access to drives from My Computer cửa sổ hiện ra:
Chọn tab Setting, chọn Enable, kéo mũi tên xổ xuống và chọn ổ C rồi nhấn OK.
-Ẩn Run trên Start Menu: vào User Configuration > Administrative Templates > Windows Components > Start Menu and Taskbar, chọn Remove Run from Start Menu, cửa sổ hiện ra:
Chọn tab Setting, chọn Enable và nhấp OK.
Để đăng nhập các tài khoản từ máy client, thì máy client phải thuộc domain dientu1k3.com. Do đó, trên máy Windows XP ta cấu hình như sau:
Kích chuột phải vào My Computer, menu hiện ra chọn Properties, hộp thoại System Properties xuất hiện chọn tab Computer Name, nhấn nút Change:
Cửa sổ tiếp theo, ta có thể thay dổi tên máy tính và thiết lập cho nó thuộc vào domain ta vừa tạo ra:
Mục Member of, nhấp chọn Domain và nhập tên domain dientu1k3.com vào bên dưới. Nhấp OK để xác nhận, máy sẽ yêu cầu nhập mật khẩu và password:
Nhập tài khoản Admin và mật khẩu rồi nhấn OK. Đợi trong giây lát cho việc cài đặt được hoàn tất, khi thấy hộp thoại thông báo sau là đã hoàn tất. Khởi động lại máy tính để thiết lập có hiệu lực.
Sau khi khởi động lại xong ta thấy khi đăng nhập vào máy client Windows XP sẽ có cửa sổ xuất hiện để người dùng nhập tên đăng nhập và mật khẩu. Ta tiến hành đăng nhập với các tài khoản
Các User Phòng giám đốc:
Đăng nhập với tên tài khoản giamdoc:
Nhập User name: giamdoc và mật khẩu đã tạo, tại mục log on to: chọn DIENTU1K3 để đăng nhập vào doamain này. Nhấn OK, ta thấy khi đăng nhập thành công thì user này có toàn quyền trên domain.
Các user Phòng kinh doanh:
Đăng nhập với tên kd1 và mật khẩu đã tạo vào domain:
Nhấn OK ta sẽ thấy hệ thống yêu cầu bạn đổi mật khẩu trong lần đầu đăng nhập, do ta tạo chính sách mật khẩu là phải đổi mật khẩu trong lần đầu đăng nhập:
Nhập và xác nhận mật khẩu mới rồi nhấn OK.
Ngoài ra nếu đánh sai mật khẩu 3 lần liên tiếp sẽ thấy bị khóa tài khoản trong vòng 5 phút giống như chính sách nhóm ta đã thiết lập.
Các user phòng nhân sự:
Đăng nhập với tên kd1 và mật khẩu đã tạo vào domain trên máy client. Và kiểm tra chính sách nhóm mà ta đã thiết lập:
Ta thấy cửa sổ Run không xuất hiện trên menu Start, và cũng không xuất hiện khi ta bấm phím tắt Windows + R.
Khi truy cập ổ C, ta thấy thông báo sau xuất hiện và không cho truy cập:
-Ta tiến hành cài đặt thử một chương trình, ví dụ cài đặt một phần mềm, ta sẽ thấy cửa sổ sau hiện ra khi ta bắt đầu nhấn vào file exe:
Cửa sổ cảnh báo rằng chương trình có thể không cài đặt đúng nếu không có đặc quyền của tài khoản admin. Sau khi nhấn OK, và cài đặt theo quyền của tài khoản ns1, ta sẽ thấy chương trình sẽ tiếp tục nhưng không hoàn thành được việc cài đặt và hiện thông báo sau:
4. Kết luận:
Như vậy, ta cài đặt Active Directory và thiết lập demo một vài ví dụ cơ bản trong Windows Server 2003. Các việc cài đặt này cũng đã có kết quả và việc kiểm tra đúng như ý muốn của người quản trị mạng. Ngoài ra, Windows Server 2003 còn có các ứng dụng và dịch vụ cài đặt khác mà trong khuôn khổ bài tập lớn chưa thể đề cập đến.
Các file đính kèm theo tài liệu này:
- Cài đặt Active Directory trên Windows Server 2003.doc