Mục lục
Giới thiệu
Chương I : Triển khai hệ thống mạng
1. Các khái niệm cơ bản
1.1 Định nghĩa một mạng máy tính cơ bản
1.2 Các thành phần của mạng(Network Component)
1.3 Các loại mạng máy tính
1.4 Hệ thống domain quản lí mạng LAN- Local Area Network
2. Cơ sở lí thuyết
2.1 Dịch vụ DNS
2.2 Windows Internet Name Service
2.3 Dịch vụ DHCP
2.4 Active Directory
3. Hiện trạng hệ thống
4. Các công việc triển khai & kết quả
4.1 Các yêu cầu cấu trúc mạng mới
4.2 Công việc triển khai vào mạng công ty
Chương II: Quản lí và duy trì hệ thống mạng
1. Các khái niệm cơ bản
1.1 Một số khái niệm về kiến trúc Administrators
1.2 Khái niệm về backup và restore
2. Cơ sở lí thuyết
2.1 Thực hiện duy trì bảo mật Domain Controller và Active Directoryministrative Workstation
2.2 Thiết lập chiến lược sao lưu và khôi phục domain controller
2.3 Quản lý tài khoản Backup Operators
3. Hiện trạng hệ thống
4. Công việc triển khai và kết quả
4.1 Cấu hình backup cho domain
4.2 Quản trị hệ thống Active Directory
Chương III: Nâng cấp hệ thống với ISA Firewall 2004
1. Các khái niệm cơ bản
Các khái niệm cơ bản về ISA 2004
2. Cơ sở lí thuyết
2.1 Các Network Templates
2.2 Các cấu hình Network template
2.3 Cấu hình ISA Server 2004 SecureNat, FireWall và Web Proxy Clients
2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server 2004 Access Policy
3. Hiện trạng hệ thống
4. Công việc triển khai và kết quả
4.1 Lựa chọn hệ thống Firewall(Proxy)
4.2 Cài đặt ISA Server 2004 trên Windows Server 2003
4.3 Mô hình cấu hình ISA vào mạng công ty
Kết Luận
Phụ lục 1: Tài liệu tham khảo
Phụ lục 2: Một số từ chuyên ngành
38 trang |
Chia sẻ: netpro | Lượt xem: 2712 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Đề tài Triển khai, quản trị, duy trì và nâng cấp hệ thống mạng doanh nghiệp, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
h quản trị một cách thích hợp để đảm bảo cho dịch vụ DNS luôn có tính sẵn sàng cao, sao lưu phục hồi tốt.
Cũng do tính chất quan trọng của hệ thống máy chủ DNS mà trong chính sách quản trị đối với máy chủ này, chúng ta nên hạn chế đến mức tối thiểu số người được phép đăng nhập và vận hành thao tác trên các máy chủ này, bởi chỉ cần một thao tác chỉnh sửa sai hoặc tắt đột ngột máy chủ sẽ dẫn tới việc hệ thống Intranet không thể hoạt động được.
2.2 Windows Internet Name Service (WINS) Bằng việc triển khai WINS, người quản trị cung cấp việc phân giải tên NetBIOS cho các client trên hệ thống mạng Intranet. WINS thực hiện một cơ sở dữ liệu phân tán cho các tên NetBIOS và các địa chỉ tương ứng của chúng. Các WINS client đăng ký tên của chúng tại một local WINS server và WINS server đó sẽ trao đổi các mục đó với các WINS server khác. Nó đảm bảo tính duy nhất của tên NetBIOS.
Microsoft đã sử dụng giao tiếp NetBIOS để thiết kế các thành phần mạng của mình vì thế có nhiều dịch vụ mạng và ứng dụng phụ thuộc vào NetBIOS.
Hệ thống mạng cũ của VINAPAY vẫn còn đang sử dụng các hệ điều hành như Windows 98, Win NT, Microsoft® Windows® 2000 do đó cần thiết triển khai WINS trên Windows Server 2003 để phân giải tên NetBIOS tự động. Thậm chí khi hệ thống Intranet của VINAPAY đã năng cấp tất cả các máy tính lên các hệ điều hành Windows XP1 , Windows XP2 thì hệ thống vẫn yêu cầu phân giải tên NetBIOS cho các ứng dụng đang chạy trên hệ thống.
2.3 Dịch vụ DHCP: Việc quản lý và cấp địa chỉ IP cho các máy trạm yêu cầu khối lượng thời gian và mất rất nhiều công sức nếu không có dịch vụ DHCP. Với mạng Microsoft Windows 2003, bạn có thể đánh địa chỉ IP động sử dụng Giao thức cấu hình máy chủ động Dynamic Host Configuration Protocol (DHCP) để tự động cấp và quản lý các địa chỉ IP mạng. Ngoài ra thì dịch vụ DHCP còn cung cấp cho các máy trạm các thông tin về hệ thống như subnet mask, Gateway. Nhờ đó các máy trạm có thể tránh được việc xung đột địa chỉ IP; tránh được các lỗi có thể xảy ra khi thiết lập thủ công các thông số liên quan TCP/IP như đánh địa chỉ Subnet mask sai.
Lợi ích lớn nhất đối với hệ thống Intranet VINAPAY khi triển khai dịch vụ DHCP chính là việc giảm chi phí cho việc quản trị IP và đảm bảo các máy trạm luôn nhận được địa chỉ IP đúng.
Để quản trị dịch vụ DHCP trên hệ thống mạng Intranet VINAPAY cần áp dụng các chính sách quản lý trên cả máy chủ DHCP và máy trạm DHCP. Các chính sách này được thực hiện thông qua việc phân quyền quản trị và giám sát các tài khoản thuộc nhóm quản trị DHCP.
Theo chính sách quản trị chung cho các dịch vụ hệ thống, cần hạn chế số lượng các thành viên của nhóm DHCP Administrator. Bởi vì các thành viên của nhóm này được phân quyền để cấu hình một DHCP Server, xác định các lựa chọn cấu hình DHCP, và tạo ra các DHCP reservation. Bất kỳ sự thay đổi nào của dịch vụ DHCP có thể khiến các máy trạm không thể nhận được địa chỉ IP từ các máy chủ DHCP. Đồng thời nó có thể tạo ra lỗ hổng bảo mật với hệ thống Intranet.
Việc giám sát các thành viên trong nhóm DHCP Administrator như là thành viên trong nhóm local administrator, các nhóm Domain Admin và các nhóm Enterprise Admin – để xác định những người cần có quyền quản lý các dịch vụ DHCP. Các thành viên trong các nhóm này cho phép quản lý tất cả các DHCP Server trong domain.
Chú ý: Thành viên của nhóm DHCP Administrator không thể cấp phép cho một DHCP Server trong một Active Directory. Chỉ các thành viên của nhóm Enterprice Admin có thể thực hiện nhiệm vụ này.
Tuy nhiên đối với các máy chủ trong hệ thống Intranet, cần được gán địa chỉ IP tĩnh để đảm bảo chúng không nhận các thông tin cấu hình TCP/IP không chính xác từ một DHCP server trái phép. Ngoài ra, một số máy trạm có vai trò quan trọng cùng nên được sử dụng địa chỉ IP tĩnh. Việc đánh địa chỉ tĩnh cho các máy chủ và một số máy trạm sẽ giúp cho hệ thống Intranet VINAPAY vẫn hoạt động khi dịch vụ DHCP có lỗi.
2.4 Dịch vụ Domain controller(Active Directory )
Môi trường forest cho VINAPAY sẽ chứa một forest đơn. Tên domain gốc của forest là VINAPAY.COM.VN.
Một forest đơn có thể chứa tới hàng triệu các đối tượng khác nhau (tài khoản người sử dụng, các nhóm, tài khoản máy tính,…..) và được thiết kế đảm bảo việc quản trị dễ dàng nhất.
Trên hệ thống Intranet VINAPAY, nhóm người quản trị mức forest sẽ khác nhóm người quản trị tất cả các hoạt động khác thông thường trên dịch vụ thư mục Active Directory. Chính vì thế, phương pháp tốt nhất là tạo ra một domain gốc của forest và các chính sách quản trị phải tuân theo yêu cầu này. Domain này sẽ nắm giữ hai vai trò FSMO mức forest đó là: Schema Master và Domain Naming Master. Đây là hai vai trò rất quan trọng trong hoạt động chung tổng thể của dịch vụ Active Directory trên toàn hệ thống. Các tài khoản quản trị domain này sẽ rất hạn chế nhằm đảm bảo tính bảo mật cũng như tính ổn định của hệ thống. Vì vậy, domain này sẽ nắm giữ các tài khoản mức toàn hệ thống như Enterprise Admins và Schema Admins chẳng hạn.
Các nhóm người quản trị các hoạt động trên Active Directory được gán cho một hoặc nhiều các domain con. Điều đó cho phép các nhóm quản trị IT này có thể quản lý các dịch vụ trên domain của họ một cách độc lập nhưng không thể điều khiển được các thành viên của các nhóm Enterprise Admins và Schema Admins trong domain gốc của forest.
Như vậy domain gốc sẽ nắm giữ tất cả các tài khoản có quyền trên toàn forest với quyền hạn có thể thực hiện thay đổi dữ liệu mức forest như: thay đổi schema, cấu hình site, xác thực dịch vụ hệ thống,… nhóm quản trị hệ thống VINAPAY hoàn toàn có thể kiểm soát được vấn đề này. Ví dụ: để có thể cài đặt được phần mềm Exchange Server 2003 cần phải có sự chấp thuận của nhóm quản trị cấp cao nhất do phần mềm này phải mở rộng schema của forest trước khi cài đặt.
Trong các domain con, nhóm quản trị domain admin sẽ chịu trách nhiệm quản trị toàn bộ các máy chủ Active Directory trong phạm vi domain đó. Đồng thời những người quản trị cấp trung ương ( những người thuộc nhóm Enterprise Admins) cũng có quyền quản trị và giám sát các hoạt động và chính sách trên các máy chủ này.
3. Hiện trạng hệ thống mạng
Cấu trúc
Router/modem:192.168.2.1 có vai trò là gateway của hệ thống
Máy chủ DCserverIP:192.168.2.2 có vai trò:
DHCP server:
Cấp dải địa chỉ từ :192.168.2.5à192.168.2.100 cho client trong công ty
Đóng vai trò là DNS server : LangHa.Vinapay.com.vn
FTP server: IP 222.252.28.10
Các máy client chưa cùng một domain, địa chỉ IP do modem cung cấp
Chưa có máy chủ in ấn, máy DHCP, DNS riêng biệt.
4. Các công việc triển khai & kết quả
4.1 Các yêu cầu cấu trúc mạng mới
Router/modem:192.168.2.1 có vai trò là gateway của hệ thống
Máy chủ DCserverIP: 192.168.2.2
DHCP server :
Cấp dải :192.168.2.100-192.168.2.150 cấp động cho client trong công ty.
Dành dải 192.168.2.5-192.168.2.49 để cấp tính cho một số máy cố định.
Modem cấp tĩnh địa chỉ 10.0.0.3 cho mạng Lan có dây trong công ty. Cấp động dải 10.0.0.5-10.0.0.25 cho các máy Laptop truy cập vào nhờ access point của công ty.
FPT Server có địa chỉ: 222.252.28.10
Thiết lập tĩnh địa chỉ của máy chủ DHCP, DNS, Printting server, máy chủ backup. Tiến hành cài đặt các máy chủ này.
Thiết lập hệ thống Active Directory, đưa các máy client vào domain.
4.2 Công việc cần triển khai
Triển khai các công việc theo cấu trúc mạng mới. Được bắt đầu từ việc cài đặt server và nâng cấp các thành phần của server theo yêu cầu được đề ra:
Cài đặt Windows Server 2003
Cách thức cài đặt một server tương tự với cách cài đặt các phiên bản Windows thường dùng(XP1, XP2, Windows 2000). Nhưng có một số điểm cần lưu ý sau:
Khi cài đặt cần lưu ý các CD key dành cho các phiên bản. Bởi vì một số phần cứng máy cao cấp thuộc dòng Intel Itanium hỗ trợ việc đánh địa chỉ 64 bit, trong khi hầu hết các dòng còn lại chỉ hỗ trợ việc đánh địa chỉ 32 bit. (Đối với một doanh nghiệp vừa thì thường gặp các máy chủ hỗ trợ 32 bit)
Cần chú ý đến các thông số, ở mục listensing modes trong quá trình cài đặt, số lương kết nối được khai báo chính là số lượng giấy phép bản quyền mà ta có khi sử dụng server.
Hình I.4.1 Bước thêm thông số khi cài đặt Windows Server 2003
Đối với môi trường kinh doanh, ví dụ mạng doanh nghiệp vừa và lớn(có thể áp dụng vào Vinapay), người quản trị mạng ngoài việc cài đặt hệ điều hành cho server đồng thời còn thực hiện cài đặt rất nhiều máy client khác. Để giải quyết vấn đề này có thể thực hiện theo nhiều phương án, Windows Server 2003 cung cấp cho ta một số giải pháp sau:
File trả lời: Một file trả lời là một kịch bản (script), nó chứa tất cả thông tin các tùy chọn trong khi cài đặt Windows.
Nhân ảnh đĩa: khi triển khai một số lượng lớn các máy giống nhau ta có thể sử dụng phương pháp này. Một ảnh đĩa là một bản sao của một đĩa cứng đã được cài đặt hệ điều hành. Việc chuyển ảnh đĩa từ một máy tính này sang một máy tính khác có cấu hình phần cứng tương đương cho phép có thể sử dụng ngay hệ điều hành đã được chuyển mà không cần cài lại.
Khi áp dụng cần chú ý các thông số không thể trùng nhau là tên máy và địa chỉ IP của các máy trong cùng một mạng LAN.
Cấu hình Windows Server 2003
Để khởi tạo các cấu hình máy chủ mà Windows Server 2003 cung cấp ta có thể thực hiện theo các thao tác:
Vào Start > Manage Your Server >Add and Remove a role > Configure Your Server Winzard
Hoặc có thể dùng câu lệnh Run > dcpromo để trực tiếp vào cửa sổ Configure Your Server Winzard
Hình I.4.2 Cửa sổ Manage Your Server
Tạo máy chủ quản trị miền Active Directory
Từ cửa sổ Configure Your Server Winzard chọn Domain controller và tiếp tục điền các thông số tên domain.
Nếu là máy chủ gốc của domain ta chọn Domain Controller for a New Domain, sau đó theo tiến trình càu đặt tên domain (Vinapay.com.vn).
Tiếp theo là các yêu cầu đường dẫn và các yêu cầu cài thêm dịch vụ(DNS).
Hình I.4.1.3 Cài đặt Active Directory
Các tiến trình cài đặt được tiếp tục cho đến khi nhận được thông báo máy chủ đã trở thành Domain Controller.
Hình I.4.4 Thăng cấp Active Directory thành công
Chú ý: các trường trong địa chỉ IP của máy càn phải được điền đầy đủ
Tạo máy chủ DNS
Khi cài Active Directory sẽ nhận được thông báo cài cùng dịch vụ
DNS, nếu ta chưa tiến hành cài khi nâng cấp Active Directory hay muốn thêm chức năng này có thể tiến hành
Từ cửa sổ Configure Your Server Winzard chọn DNS Server và tiếp tục điền các thông số của máy chủ DNS như các Zone, các dải IP của máy chủ DNS…
Hình I.4.5 Cấu hình DNS khi cài domain
Máy chủ DNS được cấu hình :
Để bảo đảm an toàn dữ liệu của máy chủ DNS, ta cần phải đưa ra một chính sách sao lưu phục hồi thích hợp và xuyên suốt. Việc sao lưu dữ liệu quan trọng trên các máy chủ DNS có thể được thực hiện bằng cách sử dụng tính năng sao lưu của Windows Server 2003. Có nhiều phương án sao lưu phục hồi mà ta có thể chọn lựa như full backup, incremental backup, differential backup hay copy backup.
Không cho phép các máy trạm sử dụng máy chủ DNS ngoài phạm vi site của chúng. Phương pháp này sẽ làm giảm thiểu một lượng lớn lưu lượng truy vấn DNS có thể xảy ra trên đường truyền kết nối WAN. Cấu hình này sẽ được duy trì thông qua các tùy chọn trong các scope của dịch vụ DHCP.
Tạo máy chủ DHCP
Từ cửa sổ Configure Your Server Winzard chọn DHCP Server
Hình I.4.8 Chọn cài DHCP
Máy chủ DHCP được cấu hình :
Địa chỉ 192.168.2.1 được dành cho router, địa chỉ 192.168.2.2 được dành riêng cho máy chủ DNS như hình dưới.
Hình I.4.9 Máy chủ DHCP với phân giải 192.168.2.0(100-150)
Để chính sách quản trị cho dịch vụ DHCP hoàn thiện, người quản trị cần đưa ra một chính sách sao lưu dữ liệu DHCP phù hợp. Window server 2003 đưa ra giải pháp để thực hiện sao lưu và phục hồi dữ liệu ( Ntbackup).
PHẦN II QUẢN TRỊ VÀ DUY TRÌ HỆ THỐNG
Khi một tổ chức triển khai các Windows 2000 domain controller của họ phù hợp với những thiết lập bảo mật được nói đến trong phần một của tài liệu này , điều cần thiết là mức bảo mật domain controller được duy trì hoặc thậm chí được nâng cấp. Việc môi trường có duy trì được sự an toàn hay không được quyết định phần lớn bởi các thủ tục thao tác IT của tổ chức.
Phần I của đề án này giới thiệu về việc triển khai Administratorsan toàn cũng như xây dựng và cấu hình các domain controller. Phần II cung cấp những đề xuất để duy trì Administratorsan toàn với các thao tác như thực hiện kiểm định một cách định kỳ các cấu hình domain controller để đảm bảo rằng việc thay đổi trái phép không xuất hiện.
Khái niệm cơ bản
1.1 Một số khái niệm về kiến trúc Administrators
Các thành phần logic trong kiến trúc Administrators gồm có:
Các đối tượng
Các domain
Các tree
Các forest ((không xét trong đề án))
Các OU
1.1.1 Các đối tượng
Đối tượng thực ra là các tài nguyên được lưu trữ trên Active Directory. Đây được coi là thành phần cơ bản nhất trong dịch vụ thư mục Active Directory. Các đối tượng được lưu trữ trên Administratorstheo một kiến trúc phân cấp bao gồm các khoang chứa cha và các khoang chứa con với mục đích dễ dàng hơn trong việc tìm kiếm, truy cập và quản lý chúng. Kiến trúc này tương tự như việc tổ chức file và thư mục.
Các lớp đối tượng Một đối tượng là tập hợp của các đặc tính. Các đặc tính tạo nên một đối tượng được định nghĩa là một lớp đối tượng. Khi tạo một đối tượng mới, nó sẽ tự động thừa hưởng các đặc tính từ lớp mà nó trực thuộc. Và tất nhiên chúng ta có thể thay đổi các lớp đối tượng cũng như các đặc tính của chúng sao cho phù hợp với các yêu cầu của tổ chức.
AdministratorsSchema Các lớp và các đặc tính sẽ tạo nên một khái niệm AdministratorsSchema. Về mặt cơ sở dữ liệu, schema là một cấu trúc bao gồm các bảng, các trường và mối liên quan giữa chúng với nhau. Vì vậy Administrators Schema rất quan trọng đối với hoạt động của dịch vụ thư mục. Nó được bảo vệ bởi danh sách điều khiển truy cập ACL chỉ cho phép các user và các ứng dụng với quyền thích hợp được thực hiện các thao tác nhất định trên đó. Việc thay đổi schema cần rất cẩn trọng.
1.1.2 Các domain
Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là domain. Một domain đại diện cho một đường biên quản trị. Các máy tính, người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ liệu bảo mật chung.
1.1.3 Các tree
Các domain khác nhau được tổ chức theo cấu trúc có phân cấp gọi là cây. Thậm chí nếu bạn chỉ có một domain trong tổ chức của bạn, bạn vẫn có một cây. Domain đầu tiên tạo ra trong một cây được gọi là root domain. Domain được tạo tiếp theo sẽ là domain con của root domain đó. Domain có khả năng mở rộng thành nhiều domain trong một cây. Tất cả các domain trong một cây chia sẻ một schema chung và một không gian tên kề nhau.
1.1.4 Các OU
OU cung cấp một phương pháp để tạo ra một biên quản trị trong một domain. Chủ yếu, nó cho phép bạn ủy nhiệm các nhiệm vụ quản trị trong một domain.
OU hoạt động giống như một container chứa các tài nguyên trong domain. Bạn có thể áp đặt các quyền quản trị trong một OU. Một đặc thù chính là cấu trúc OU theo một cấu trúc chức năng hoặc công việc trong một tổ chức. Ví dụ, trong một tổ chức nhỏ với một domain có thể tạo ra các OU riêng biệt tương ứng với các phòng ban trong tổ chức đó.
Có thể lồng các OU (tạo các OU bên trong một OU). Tuy nhiên, cấu trúc OU phức tạp trong một domain có thể là một trở ngại. Khi cấu trúc của bạn càng đơn giản, thì thực thi và quản lý nó càng dễ dàng. Khi thực hiện lồng OU lên quá 12 mức OU, bạn sẽ gặp vấn đề đáng kể về hiệu năng
1.2 Khái niệm về backup và restore
Backup và Retore hệ thông là môt chức năng không thể thiếu trong bất kì hệ thống nào. Tài liệu này nhằm mô tả sơ bộ công việc backup hệ thống cài đặt trên hệ điều hành Windows 2003 Server. Nó cho phép các System Engineer đưa ra giải pháp và chính sách backup hệ thống một cách có hiệu quả lớn nhât.
Có 5 kiểu backup mà có thể sử dụng, nó phụ thuộc vào sự quan trọng của dữ liệu cần backup và chính sách mà bạn muốn khôi phục dữ liệu đó như thế nào.
Daily:Backup những file thay đổi từ daily backup cuối cùng. Nếu một file sửa đổi trên cùng ngày với backup , thì nó sẽ được backup. Thuộc tính lưu trữ của file là không đổi.
Incremental: Backup những file thay đổi từ normal hoặc incremental backup. Nếu thuộc tính lưu trữ được hiển thị thì nó có nghĩa là file vừa sửa đổi – chỉ những files với thuộc tính này được backup. Một file vừa được backup, thì thuộc tính lưu trữ được xoá và chỉ thiết đặt lại khi dữ liệu được thay đổi lần nữa.
Full(Normal): backup những file được lựa chọn, không quan tâm đến thiết định của thuộc tính lưu trữ như thế nào. Một file vừa được backup, thì thuộc tính lưu trữ được xoá cho đến khi file đó được thay đổi. Khi thuộc tính lưu trữ được thiết định lại, thì nó biểu thị rằng file đó cần được backup.
Differential: Backup những file mà thay đổi từ Full backup cuối cùng. Nếu thuộc tính lưu trữ được hiển thị, nó có nghĩa là dữ liệu vừa được thay đổi và file có thuộc tính tính này được thiết đặt sẽ được back up. Tuy nhiên, với trường hợp backup này thuộc tính lưu trữ không bị xoá vì vậy cho phép các loai backup khác sử dụng cùng dữ liệu đó ở giai đoạn sau.
Copy: Backup tất cả những file mà được chọn, không quan tâm thuộc tính lưu trữ. Thuộc tính lưu trữ không thay đổi, vì vậy những loại backup khác có thể thực hiện trên dữ liệu tương tự.
Cơ sở lí thuyết.
Mặc dù bảo mật là một việc quan trọng cần được cân nhắc đối với tất cả các thành phần của hệ thống mạng trong tổ chức, đối với các máy chủ có mức bảo mật cao thì bảo mật là một phần đặc biệt quan trọng. Mức “ high security” ( bảo mật cao) xuất phát từ yêu cầu bảo mật cao của các tiến trình đang chạy trên các server. Xác định máy chủ trong tổ chức của bạn là một high-security server khi nó:
Chạy một dịch vụ trong ngữ cảnh của một tài khoản service Active Directoryministrator-level
Được tin tưởng để uỷ quyền (trusted for delegation)
Khi một máy chủ được coi là tin tưởng để ủy ủy quyền, thì khi phục vụ một yêu cầu của client máy chủ sẽ có khả năng đưa ra yêu cầu tới các dịch vụ chạy trên máy chủ khác dưới ngữ cảnh bảo mật của client. Vì client đưa ra yêu cầu có các đặc quyền bảo mật cao , nên máy chủ cũng có thể chiếm lấy được các đặc quyền bảo mật cao. Vì thế, tất cả các máy chủ là “trusted for delegation” bên trong rừng có thể được thiết kế là các máy chủ bảo mật cao (high-security).
Trên cơ sở những tiêu chuẩn này, thêm các domain controller có thể là các server có mức bảo mật cao trong mạng của bạn mà nó sẽ cần hoạt động đặc biệt ngày này qua ngày khác để duy trì bảo vệ. Bảo vệ tất cả các máy chủ có mức bảo mật cao bằng các nguyên tắc chung cho việc vận hành máy chủ an toàn.
2.1 Thực hiện duy trì bảo mật Domain Controller và Active Directoryministrative Workstation
Khi tổ chức của bạn thực hiện cấu hình domain controller và Active Directoryministrative workstation an toàn theo những đề xuất trong phần I của tài liệu này thì bạn bắt đầu các hoạt động. Trong một môi trường thực tế, những người quản trị thực hiện ngày này qua ngày khác và thỉnh thoảng bảo dưỡng các domain controller và Active Directoryministrative workstation. Cách các nhiệm vụ này được thực hiện ảnh hưởng trực tiếp tới mức bảo mật của domain controller và Active Directoryministrative workstation mà tổ chức của bạn có thể duy trì.
Các chính sách được viết ra và các thủ tục sẽ tồn tại cho tất cả các hoạt động duy trì domain controller, bao gồm:
Sao lưu và khôi phục cho domain controller
Thay thế phần cứng cho domain controller và Active Directoryministrative workstation
Quét virut trên Domain controller và Active Directoryministrative workstation
2.2 Thiết lập chiến lược sao lưu và khôi phục domain controller
Những người quản trị lập kế hoạch sao lưu system state trên các domain controller để khôi phục khi dữ liệu Administratorsbị mất và một domain controller bị hỏng. Domain controller bị lỗi có thể do một lỗi nghiêm trong trong dịch vụ. Như một phần của việc quản lý an toàn và các hoạt động khôi phục, domain controller backups phải được thực hiện an toàn và tin cậy. Sao lưu trạng thái hệ thống ( System state) trên domain controller không giống các dạng sao lưu và khôi phục trên các máy chủ ở một số điểm:
Không thể thực hiện Incremental backup
Không phải tất cả domain controller sẽ được sao lưu
Sao lưu từ một domain controller không thể được sử dụng để khôi phục trên một domain controller khác
Khôi phục ở cả hai dạng authoritative hoặc non-authoritative
Các domain controller ở mức bảo mật cao, cần đến các thao tác đặc biệt
Do yêu cầu bảo mật ở mức cao, một chính sách sao lưu và khôi phục an toàn bao gồm các thao tác bảo mật mà không được cần đến cho việc sao lưu máy chủ cụ thể. Chiến lược sao lưu và khôi phục domain controller an toàn sẽ bao gồm các thao tác chính sau:
Tránh sử dụng một tài khoản chung cho toàn công ty để thực hiện sao lưu
Hạn chế phần cứng sao lưu domain controller để các chúng được bảo mật
Kế hoạch sao lưu domain controller thông thường và huỷ các phương tiện sao lưu khi chúng không còn sử dụng
Bảo vệ các tài khoản Backup Operators
Thao tác khôi phục định kỳ các domain controller từ phương tiện sao lưu.
Thực thi một chính sách sao lưu và khôi phục đã đưa ra để xác định domain controller nào sẽ được sao lưu, ai có quyền thực hiện chức năng này, cách các domain controller sẽ được sao lưu và cách phương tiện sao lưu sẽ được sử dụng.
2.3 Quản lý tài khoản Backup Operators
Administratorschứa một nhóm có sẵn tên là Backup Operators. Các thành viên của nhóm này được coi như những người quản trị dịch vụ, bởi vì các thành viên của nhóm này có quyền khôi phục các file, bao gồm các file hệ thống trên các domain controller. Thành viên của nhóm Backup Operators trong Administratorssẽ được giới hạn bao gồm những cá nhân thực hiện sao lưu và khôi phục các domain controller.
Tất cả các máy chủ thành viên cũng chứa một nhóm có sẵn được gọi là Backup Operators ở trên mỗi máy chủ đó. Các cá nhân những người chịu trách nhiệm cho việc sao lưu các ứng dụng trên mỗi máy chủ thành viên sẽ là thành viên của nhóm Backup Operators trên máy chủ đó chứ không phải là thành viên nhóm Backup Operators trong Active Directory.
Trên một domain controller riêng, bạn có thể giảm số lượng thành viên của nhóm Backup Operators. Khi một domain controller được sử dụng để chạy các ứng dụng khác, các cá nhân chịu trách nhiệm cho việc sao lưu các ứng dụng trên các domain controller cũng phải được tin cậy như người quản trị dịch vụ, bởi vì họ sẽ có quyền cần thiết để khôi phục file, bao gồm các hệ thống file trên các domain controller.
Bởi mặc định, nhóm Backup Operators rỗng. Các thành viên của nó có thể được thay đổi bởi các thành viên của các nhóm administrators, Domain Administrators, and Enterprise Administrators. Các quyền được liệt kê trong bảng II.1
Bảng II.1 Kí hiệu bảo mật để bảo vệ nhóm Backup Operators trong Active Directory
Dạng
Tên
Quyền
Áp dụng tới
Allow
Administrators
List Contents
ReAdministratorsAll Properties
Write All Properties
Delete
ReAdministratorsPermissions
Modify Permissions
Modify Owner
All Validated Writes
All Extended Rights
Create All Child Objects
Delete All Child Objects
Chỉ đối tượng này
Allow
Authenticated Users
List Contents
ReAdministratorsAll Properties
ReAdministratorsPermissions
Chỉ đối tượng này
Allow
Domain Admins
List Contents
ReAdministratorsAll Properties
Write All Properties
ReAdministratorsPermissions
Modify Permissions
Modify Owner
All Validated Writes
All Extended Rights
Create All Child Objects
Delete All Child Objects
Chỉ đối tượng này
Allow
Enterprise admins
List Contents
ReAdministratorsAll Properties
Write All Properties
ReAdministratorsPermissions
Modify Permissions
Modify Owner
All Validated Writes
All Extended Rights
Create All Child Objects
Delete All Child Objects
Chỉ đối tượng này
Allow
Everyone
Change Password
Chỉ đối tượng này
Allow
Pre–Windows 2000 Compatible Access
List Contents
ReAdministratorsAll Properties
ReAdministratorsPermissions
Đặc biệt
Allow
SYSTEM
Full Control
Chỉ đối tượng này
Ghi chú: các từ chuyên ngành khó hiểu sẽ được chú thích trong phụ lục
Hiện trạng hệ thống
Các tài khoản của nhân viên chưa được sắp xếp, phân quyền cụ thể. Các user chưa đều có các quyền cơ bản và ngang nhau.
Chưa có các mẫu policy nào áp dụng hay chính sách nào sử dụng cho hệ thống Active Directory.
Hệ thống công ty mói được xây dựng do đó chưa hề có một chính sách Update và backup. Do đó để đảm bảo hệ thống hoạt động một cách bình thường và an toàn thì một cơ chế backup tốt là một đòi hỏi tối quan trọng.
Các công việc triển khai & kết quả
Quản trị hệ thống Active Directory
Cài đặt Windows Server 2003 trên máy chủ rồi cấu hình nó như một domain. Thăng cấp máy chủ đó thành Domain Controler. Thiết kế Active Directory đảm bảo tương tác tốt nhất với các dịch vụ khác trên hệ thống Intranet như: email, truy cập Internet, chat, SharePoint Portal. Một hệ thống Active Directory được đánh giá tốt khi nó thỏa mãn được các yêu cầu về các dịch vụ đồng thời phải có một chính sách tốt về người dùng.
Hình dưới cho chúng ta thấy giao diện quản trị của Active Directory.
Hình II.4.1Giao diện điề
Các file đính kèm theo tài liệu này:
- Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp.doc