Quản lý và duy trì hệ điều hành Microsoft Windows Server 2003

ùng, máy tính, nhóm universal, và nhóm global từ bất cứ miền nào trong rừng Bảng3.2 : các quy tắc thành viên của phạm vi nhóm Các qui tắc thành viên trong bảng trên là yếu tố đầu tiên của việc quản trị nhóm một cách hiệu quả. Nếu bạn rơi vào trường hợp bạn không thể thêm thành viên nhất định nào đó vào một nhóm hay không thể sử dụng nhóm để cung cấp việc truy cập đến một nguồn tài nguyên nào đó, quá trình xử lí sự cố nên bắt đầu bằng việc thử lại Phạm vị nhóm và Cấp chức năng, để xác định bạn có được hỗ trợ trong việc thực hiện các tác vụ nói trên không. Mặc dù kỹ thuật nhóm trong nhóm là một công cụ đáng giá, quản trị mạng nên thận trọng với các tính năng của nó. Khi bạn bố trí theo nhiều lớp sâu, có thể làm cho việc theo dõi các quan hệ thành viên và các cấp phép được thừa kế thế nào trên toàn mạng trở nên khó khăn hơn. Một quy luật chung, bố trí nhóm trong nhóm một cấp là hữu hiệu trong phần lớn các môi trường mạng và là dễ duy trì hơn. Chuyển đổi nhóm Khi tạo nhóm, bạn phải xác định kiểu và phạm vi của nó. Mặc dù vậy, trong miền sử dụng cấp chức năng Windows 2000 Native hay Windows Server 2003, bạn có thể chuyển đổi các nhóm đã tạo sang phạm vi khác bất cứ lúc nào, có lưu ý đến một số hạn chế trong quan hệ thành viên. Các chuyển đổi phạm vi nhóm được phép và các điều kiện cần thiết để chuyển đổi. Đến Domain Local Đến Global Đến Universal Từ Do main Local Không áp dụng Không được phép cho phép chỉ trong trường hợp không có thành viên là nhóm cục bộ miền Từ Global Không được phép Không áp dụng Cho phép nếu không là thành viên của nhóm Global Từ Universal Không hạn chế Cho phép nếu không có nhóm Universal khác là thành viên Không áp dụng Bảng 3.3 :các hạn chế chuyển đổi phạm vi Xây dựng nhóm Global và Domail Local Tạo ra các nhóm với kiểu và phạm vi sai sẽ dẫn đến việc gặp các lỗi khi thực thi các tác vụ đã định. Đối với phần lớn việc cài đặt mạng, phương pháp thường dùng là phát triển các nhóm sử dụng phạm vi Global và Domain Local theo các tiêu chí sau: Tạo nhóm cục bộ miền cho các tài nguyên được chia sẻ: Xác định các tài nguyên, như thư mục hay máy in mà người dùng cần truy cập, và tạo một hay hai nhóm cho các tài nguyên này Gán các cấp phép truy cập tài nguyên cho nhóm miền cục bộ: Gán các cấp phép cần thiết để truy cập tài nguyên cho nhóm miền cục bộ tương ứng. Tạo các nhóm Global cho các người dùng có cùng các yêu cầu công việc: Xác định các người dùng có cùng các yêu cầu công việc và thêm đối tượng người dùng của họ vào nhóm Global Thêm nhóm Global cần truy cập tài nguyên vào nhóm miền cục bộ tương ứng: Xác định tất cả các nhóm Global có yêu cầu truy cập đến một nguồn tài nguyên nhất định, và đưa các nhóm Global đó là thành viên của nhóm Domain local tương ứng Trong khi bạn tạo ra các nhóm theo các tiêu chí trên, bạn sẽ điều chỉnh các cấp phép cho nhóm miền cục bộ khi nguồn tài nguyên cần thay đổi và sẽ điều chỉnh thành viên của nhóm Global khi nhân sự cần thay đổi 3.4- Các nhóm mặc định của Windows server 2003 Windows server 2003 sẽ tự động tạo ra một số các nhóm trong đó chứa các tài khoản người dùng dự sẵn. Bạn có thể sử dụng các nhóm này, thay đổi chúng nếu cần, hay tạo ra các nhóm mới của riêng bạn. Có bốn loại Windows server 2003: Nhóm cục bộ dưn sẵn, chỉ tồn tại trong trường hợp máy tính không phải là máy chủ quản trị miền, và ba loại nhóm mặc định trong Active Directory, Nhóm xác đinh trước, nhóm dự sẵn, và nhóm đồng nhất đặc biệt. Nhóm cục bộ dự sẵn (Built-in Local Group) Máy chủ độc lập chạy máy chủ thành viên chạy Windows Server 2003 tất cả đều có các nhóm cục bộ dự sẵn. Máy chủ quản trị Miền không có các nhóm cục bộ do SAM của nó đã được chuyển đổi sang sử dụng Active Directory. Các nhóm cục bộ dự sẵn nằm trong thư mục Group của Snap-in “Local Users And Group”. Các nhóm cục bộ dự sẵn trong Windows server 2003 và các khả năng của nó được chỉ ra dưới đây. Ngoại trừ tại những chỗ sẽ được chỉ ra cụ thể,không một nhóm nào khác có sẵn các thành viên. Nhóm xác định trước Active Directory Tất cả các miền Active Directory đều có một tập các nhóm xác định trước. Đây là nhóm bảo mật, phần lớn thuộc phạm vi Global với mục đích là nhóm các loại tài khoản người dùng miền thông dụng lại với nhau. Mặc định, Windows Server 2003 sẽ tự động thêm các thành viên vào một vài nhóm xác định trước này để họ thừa hưởng các quyền và cấp phép đã được trao cho các nhóm này. Khi ta tạo miền Active Directory, Windows server 2003 tạo ra các nhóm toàn cục xác định trước trong đối tượng chứa User. Mặc định, các nhóm xác định trước này không được thừa hưởng bất cứ một quyền hay cấp phép nào. Bạn có thể gán quyền và cấp phép cho chúng bằng cách thêm vào các nhóm toàn cục xác định trước này vào nhóm miền cục bộ hay bằng cách gán trực tiếp các quyền hay cấp phép cho các nhóm toàn cục xác định trước này. Hình3.4: Thư mục Users cuả miền Active Directory chứa các nhóm toàn cục xác định trước. 3. Các nhóm Active Directory dựng sẵn Mọi miền Active Directory đều có các đối tượng chứa, trong đó hệ trống sẽ tạo ra hàng loạt các nhóm bảo mật, mà tất cả chúng đều là các nhóm có phạm vi domain Local. Các loại nhóm này cung cấp cho người dùng có các quyền người dùng và cấp phép khả năng thực hiện các tác vụ trên máy chủ quản trị miền và trong cây Active Directory. Các nhóm cục bộ miền dựng sẵn cung cấp các quyền và cấp phép xác định trước cho các tài khoản người dùng khi bạn thêm các đối tượng người dùng hay nhóm Global vào là thành viên của nhóm cục bộ miền dựng sẵn 4. Các nhóm đồng nhấp đặc biệt Các nhóm đồng nhất đặc biệt tồn tại trên tất cả các máy tính chạy Windows server 2003. Đó không phải là các nhóm thực sự do bạn không thể tạo ra, xóa hay trực tiếp thay đổi các thành viên của nó.Các nhóm đồng nhất đặc biệt không xuất hiện trong Snap-in “Local User And Group” hay trong bản điều khiển “Active Directory And Group”. Nhưng bạn có thể sử dụng chúng như nhóm, bằng cách thêm chúng vào ACL của hệ thống và các tài nguyên mạng. Các nhóm đồng nhất đặc biệt ban đầu chỉ là khoảng trống dành cho một hay nhiều người dùng. Khi bạn thêm nhóm đồng nhất đặc biệt vào ACL hệ thống sẽ thêm các người dùng thỏa mãn các đặc điểm nhận dạng của nhóm người dùng khác nhau tại các thời điểm khác nhau, phụ thuộc vào cách thức người dùng truy nhập vào máy tính hay các nguồn tài Hình 3.5: Nhóm đồng nhất đặc biệt trong ACL Nguyên như thế nào. Ví dụ: Nhóm đồng nhất đặc biệt ”Authenticated User ” sẽ bao gồm toàn bộ các người dùng hiện tại đang đăng nhập, đã được máy tính hay máy chủ quản trị miền xác thực thành công. Tại bất cứ thời điểm nào được chỉ ra danh sách người dùng xuất hiện trong nhóm đồng nhất đặc biệt ”Authenticated User ” có thể thay đổi, do người dùng coa thể đăng nhập hay thoát ra khỏi Windows. Danh sách chính xác của người dùng nằm trong nhóm đồng nhất đặc biệt ”Authenticated User” được xác định tại thời điểm tài nguyên được truy cập vào ALC của nó được xử lý, chứ không phải tại thời điểm mà nhóm đồng nhất đặc biệt này được thêm vào ACL 3.5-TẠO VÀ QUẢN LÝ CÁC ĐỐI TƯỢNG NHÓM Một khi bạn đã xác định bạn định sử dụng nhóm như thế nào trên mạng của bạn và đã nghiên cứu các hướng dẫn cũng như các hạn chế của rất nhiều kiểu và phạm vi nhóm khác nhau, bạn đã sẵn sàng để bắt tay thực sự vào việc tạo ra các nhóm mình cần. Rất may mắn là việc tạo ra nhóm là dễ ràng hơn nhiều so với việc bạn hiểu về chúng và các khả năng của chúng. Phần sau đây mô tả về một vài trong các tác vụ thông thường nhất của việc quản trị nhóm mà các nhà quản trị mạng và hệ thống cần thực hiện một cách thường xuyên. 1.Tạo nhóm cục bộ Để tạo nhóm cục bộ trong Windows Server 2003, bạn bắt buộc phải làm việc trên máy chủ độc lập hay máy chủ thành viên do máy chủ quản trị miền không có nhóm cục bộ. Bạn cũng nhất thiết phải đăng nhập với một tài khoản người dùng là thành viên của nhóm cục bộ “Administrators” hay nhóm cục bộ “Power Users” (hoặc nhóm “Domain Admin” trong miền, mà bản thân nó là thành viên của nhóm cục bộ “Administrators”) Để tạo ra các nhóm cục bộ bạn theo các bước sau: Đăng nhập vào máy tính với tài khản “Administrators” (hoặc có thể sử dụng các tài khoản có các đặc quyền thích hợp). Nhấn chuột vào Start, trỏ đến “Administrators Tools” và chọn “computer Mangaement”. Hình 3.6: Hộp thoại computer Mangaement Mở rộng điểm “Local Users And Groups” trong ô phạm vi, sau đó chọn mục “Group”. Trong Snap-in “Local Users And Group”, người dùng và nhóm được đặt trong các thư mục riêng rẽ, không được đặt lẫn nhau trong các đối tượng chứa như trong Active Directory. Từ thực đơn “Action” chọn “New Group” (nhóm mới). Hộp thoại “New Group” xuất hiện Hình3.7: hộp thoại Group Name - Trong hộp văn bản “Group Name” (tên nhóm), gõ tên của nhóm bạn cần tạo. - Nhấn “Add” (thêm). Hộp thoại “Select Users” (chọn người dùng) xuất hiên Hình3.8: hộp thoại Select Users Gõ tên người dùng cục bộ hay của nhóm đồng nhất đặc biệt trong hộp văn bản “Enter the Object name to select” (nhập tên của đối tượng để lựa chọn). Sau đó nhấn Ok, người dùng hay nhóm đồng nhất đặc biệt đã được thêm vào danh sách thành viên. Nhấn “Create” (tạo) Snap-in sẽ tạo ra nhóm mới trong thư mục Group, và nó làm trống hộp thoại “New Group” để bạn có thể tiếp tục tạo nhóm khác. Nhấn “Close” (đóng) Hình3.9: hộp thoại computer Management Sau khi tạo nhóm cục bộ, bạn có thể chọn nó từ thực đơn “Action”, chọn “Properties” (thuộc tính) để mở hộp thoại Properties của nhóm, tại đây, bạn có thể thêm thành viên hay loại bỏ chúng khỏi nhóm bất cứ lúc nào. Hình3.10: hộp thoại Properties của nhóm cục bộ Bạn cũng có thể quản lý thành viên của nhóm cục bộ từ hộp thoại Properties của tài khoản người dùng. mỗi hộp thoại Properties của người dùng cục bộ đều chứa thẻ “Member Of” (Thành viên của) mà bạn có thể dùng để thêm các nhóm cục bộ bạn muốn người dùng đó trở thành thành viên. Hình3.11: Thẻ “member Of” trong hộp thoại Properties của người dùng cục bộ 2. Làm việc với nhóm Active Directory Mặc dù nhóm Active Directory phức tạp hơn nhóm cục bộ rất nhiều, do có rất nhiều loại kiểu và phạm vi khác nhau, nhưng quá trình tạo và quản lý chúng cũng khá đơn giản Tạo nhóm bảo mật Không giống như trong “Local User And Computer” bắt buộc bạn phải tạo nhóm trong một thư mục riêng, bảng điều khiển “Active Directory Users And Computers” cho phép bạn tạo các đối tượng nhóm tại bất cứ đâu bạn muốn. Bạn có thể tạo nhóm của mình tại đối tượng chứa “Users” với các nhóm toàn cục xác định trước, hay tạo trong đối tượng chứa “Built-in” với nhóm cục bộ miền dựng sẵn, trong bất cứ đối tượng OU nào do bạn tạo ra, và thậm chí trực tiếp ngay dưới đối tượng miền. Cũng như đối với việc tạo ra bất cứ đối tượng Active Directory nào, vị trí bạn chọn cho đối tượng cần dựa trên thiết kế cây thư mục của bạn. Nếu bạn có kế hoạch sử dụng nhóm để gán Quyền người dùng cho các người dùng của bạn, bạn cần tạo các đối tượng OU thích hợp, trong đó bạn sẽ đặt các nhóm. Như các bạn đã biết trong chương 6, các đối tượng chứa “Users” và “Built-in” không phải là các OU và bạn không thể gán các Chính sách nhóm cho chúng. Để gán các quyền người dùng cho nhóm trong các đối tượng chứa này, bạn sử dụng GPO áp dụng cho miền (Domain) hay vị trí (site), và các chính sách như vậy sẽ được tất cả các đối tượng chứa trong Miền hay trong vị trí thừa kế. Quản lý thành viên nhóm Không giống như Snap-in “Local Users And Groups”, ở đó bạn có thể xác định các thành viên của nhóm ngay khi tao ra nhóm, trong “Active Directory Users And Computers”, bạn phải tạo đối tượng nhóm trước, sau đó thêm các thành viên vào. Để thêm các thành viên nhóm, bạn chọn nó trong bảng điều khiển Hình 3.12: hộp thoại Properties của đối tượng nhóm - Lập Nhóm trong nhóm Khả năng lập nhóm trong nhóm của các đối tượng nhóm phụ thuộc vào Cấp chức năng của miền bạn đang dùng và vào Kiểu và Phạm vi của nhóm bạn đang sử dụng. Bạn không thể đặt nhóm trong bảng điều khiển “Active Directory And Computer” bằng cách tạo nhóm mới trong một nhóm đã tồn tại. Thay vào đó, bạn phải tạo hai nhóm riêng biệt, sau đó thêm nhóm này vào làm thành viên của nhóm kia. Active Directory User And Computer sẽ không cho phép bạn thực hiện nhóm trong nhóm nếu miền của bạn không hỗ trợ việc này. Thay đổi kiểu phạm vi của nhóm Khi các chức năng của nhóm thay đổi, bạn có thể cần thiết phải thay đổi đối tượng nhóm từ kiểu này sang kiểu khác. Ví dụ, bạn có thể đã tạo ra nhóm phân phối gồm 100 thành viên ở trong nhiều phòng ban khác nhau cùng làm ệc với một dự án với mục đích dùng để gửi E-mail. Trong quá trình tiến iển của dự án, các thành viên có thể cần truy cấp đến CSDL chung. Bằng ệc chuyển nhóm từ Phân phối sang Bảo mật và gán các Cấp phép cho hóm, bạn có thể cung cấp khả năng truy cập CSDL chung mà không cần tạo ra nhóm mới và thêm 100 thành viên vào nhóm lại một lần nữa. Bạn chỉ có thể đổi kiểu nhóm khi miền của bạn đang sử dụng cung cấp chức năng Windows 2000 Native hay Windows Server 2003 Xóa nhóm Đối với đối tượng người dùng, mỗi đối tượng nhóm bạn tạo ra trong Active Directory là có một Định danh Bảo mật (Security Identifier -SID) duy nhất và không sử dụng lại được. Windows 2003 SID để nhận dạng nhóm và các Cấp phép được gán cho nó. Khi bạn xóa nhóm, Windows Server 2003 không sử dụng cùng SID lại cho nhóm đó một lần nữa, thậm chí nếu bạn tạo nhóm mới cùng tên với nhóm đã xóa. Do vậy, bạn không thể phục hồi các Cấp phép truy cập bạn đã gán cho tài nguyên bằng cách tạo lại nhóm đã xóa. Bạn bắt buộc phải tạo lại tất cả từ đầu một nhóm mới như là một đối tượng bảo mật trong ACL của tài nguyên. Khi bạn xóa nhóm, bạn chỉ xóa đối tượng nhóm và cấp phép cúng các Quyền chỉ ra rằng nhóm là một đối tượng bảo mật. Việc xóa nhóm sẽ không xóa các đối tượng là thành viên của chúng. Để xóa nhóm, bạn cần chọn chúng trong bảng điều khiển “Active Directory Users And Computers” và từ thực đơn “Action”, chọn “Delete”.Một hộp thông báo Active Directory xuất hiện, nhắc bạn xác định lại quyết định của mình. Nhấn “yes” nhóm sẽ bị xóa. 3.6-Quản lý nhóm tự động Mặc dù bảng điều khiển “Active Directory Users And Computers” là một công cụ thuận tiện trong việc tạo và quản lý nhóm, nó vẫn không phải là phương pháp hiệu quả nhất trong công việc tạo một số lương lớn các đối tượng bảo mật. Các công cụ dòng lệnh Active Directory do Windows Server 2003 cung cấp giúp bạn có khả năng tạo và quản lý các nhóm với số lượng lớn bằng cách sử dụng các file bó hoặc các kịch bản (script), tương tự như điều các bạn đã làm trước. Tạo đối tượng nhóm bằng Dsadd.exe Bạn đã sử dụng công cụ Dsadd.exe để tạo người dùng mới bạn cũng có thể hoàn toàn dùng công cụ này để tạo các đối tượng nhóm. Cú pháp cơ bản trong việc sử dụng Dsadd.exe để tạo nhóm như sau: Dsadd GroupDN [paramerers] Dsmod group DN [parameters] Tìm kiếm đối tượng sử dụng Dsget.exe Một khi CSDL, Active Directory bắt đầu phát triển, nó có thể rất nhanh đạt được quy mô mà khi đó ta khó có thể dùng các bảng điều khiển. Khi điều đó xảy ra rất nhiều người quản trị mạng quay xang sử dụng các công cụ dòng lệnh. Một trong các công cụ như vậy là chương trình Dsget.exe cho phép bạn có thể định vị và hiển thị các thông tin về bất cứ một đối tượng nào trong CSDL Active Directory, Dsget.exe sử dụng cú pháp đã sử dụng trong Dsad.exe, Dsmod.exe trong đó bạn sẽ chỉ định lớp đối tượng (Object Class), tên DN của một hay nhiều đối tượng, và các tham số chỉ ra các thông tin bạn cần hiển thị. Ví dụ: Dsget.exe objectclass ObjectDN [parameters] Giá trị của biến ObjectClass có thể là + computer +contact + Subnet + Group +OU + Server + User + Quote +Partition Mỗi lớp đối tượng trên lại có một tập các tham số liên quan đến lớp đó cho phép bạn có thể hiển thị giá trị của các thuộc tính của kiểu đối tượng đó. Với lệnh Dsget.exe, vai trò của các tham số là: _ -dn: Hiển thị tên DN của người dùng _ -samid: Hiển thị tên SAM của tài khoản người dùng _ -sid: Hiển thị mã số nhận dạng bảo mật của người dùng _ -upn: Hiẻn thị tên chính của người dùng _ -fn: Hiển thị tên gọi của người dùng _ -ln: Hiển thị tên gia đình của người dùng _ -display: Hiển thị tên của người dùng _ -tel: Hiển thị số điện thoại của người dùng _ -email: Hiển thị địa chỉ Email của người dùng _ -Memberof: Hiển thị các nhóm mà người dùng là thành viên trực tiếp _ -expand: Hiển thị danh sách các nhóm mà người dùng là thành viên Chương 4- Làm việc với tài khoản máy tính. Trong hai chương trước, ta tìm hiểu kỹ về các đối tượng của Active Directory như người dùng, nhóm và OU,đó là cấu trúc logic cho phép người dùng truy cập các tài nguyên trên mạng. Tuy nhiên, còn các đối tượng của Active Directory đại diện cho những tài nguyên cụ thể, vật lý là một trong những đối tượng quan trong nhất là Computer Object (đối tượng máy tính). Không có đối tượng máy tính người dùng vẫn có thể có các cấp phép để truy nhập vào các tài nguyên nhưng họ lại không có cơ chế vật lý cung cấp truy nhập nào đó. Trong chương này ta sẽ tìm hiểu làm thế nào để tạo và quản lý các đối tượng máy tính trên mạng Active Directory. 4.1: Tìm hiểu đối tượng tài khoản máy tính Trong cấu hình mặc định của Windows Server 2003 và tất cả hệ điều hành khác của Windows, một máy tính thuộc về một nhóm làm việc (Workgroup). Các máy tính thuộc nhóm làm việc xác thực người dùng bằng tài khoản được lưu trữ tại hệ thống cục bộ. Nếu người dùng muốn truy nhập vào một tài nguyên trên một máy tính thuộc nhóm làm việc thì phải có một tài khoản người dùng trên máy tính đó. Thậm chí, bạn vẫn có thể kết nối tới các máy tính thuộc nhóm làm việc thông qua mạng, nhưng mỗi hệ thống chịu trách nhiệm bảo mật và kiểm soát truy nhập riêng của mình. Do đó, ở trên nhóm làm việc không có bất cứ câu hỏi nào về máy tính nào mà bạn đang sử dụng bởi vì bạn phải được xác thực tài khoản trên chính máy tính này. Hình4.1: lưu trữ tài khoản người dùng trong nhóm làm việc Hầu hết ở các mạng chạy windows có nhiều hơn một vài máy tính người ta không sử dụng mô hình Nhóm làm việc mà họ sử dụng mô hình miền, được thực thi trong Windows Server 2003, nhờ dịch vụ thư mục Active Directory. Trong dịch vụ Active Directory, người dùng có tài khoản trong một miền thay cho tài khoản trên những máy tính riêng rẽ. Người quản trị mạng có thể sử dụng tài khoản miền để gán người dùng truy nhập vào tài nguyên trên các máy tính trên toàn mạng.Tài khoản người dùng miền được lưu trữ tại thư mục tập chung trên máy chủ được gọi là máy chủ Điều Khiển Miền. Người dùng có thể đăng nhập vào Miền từ máy tính bất kỳ trên mạng và được xác thực bởi máy chủ điều khiển miền. Do mạng miền Windows sử dụng thư mục tập chung, việc theo dõi các máy tính thực sự là một phần của Miền, sẽ có một số ý nghĩa nhất định. Để làm được việc này, Action Directory sử dụng tài khoản máy tính, trong định dạng của đối tượng máy tính trong cây Action Directory . Bạn có thể có một tài khoản người dùng Active Directory và mật khẩu hợp lệ, nhưng nếu máy tính của bạn không được biểu diễn bằng một đối tượng máy tính thì bạn sẽ không thể đăng nhập vào Miền. Các đối tượng máy tính lưu trữ tại phân cấp Active Directory giống như việc lưu các đối tượng người dùng hay đối tượng nhóm. Chúng có khả năng như sau: * chúng chứa các thuộc tính xác định tên của máy tính nơi mà nó định vịvà ai là người được phép quản lý nó.. * Chúng kế thừa các thiết lập Chính sách Nhóm từ các đối tượng chứa miền, Site,OU. * Chúng có thể là thành viên của nhóm bảo mật và nhóm phân phối và kế thừa các cấp phép của các đối tượng nhóm. Hình4.2: Lưu trữ tài khoản máy tính Miền Active Directory Một khi người dùng thực hiện đăng nhập vào miền Action Directory, máy trạm kết hợp một kết nối tới máy chủ điều khiển Miền để xác thực định danh của người dùng. Nhưng trước khi xảy ra việc xác thực người dùng, hai máy tính được thực hiện chuẩn bị xác thực sử dụng các đối tượng máy tính tương ứng để đảm bảo cả hai hệ thống đều là các phần của miền này. Dịch vụ truy nhập mạng (NetLogon Servic) đang chạy trên máy chạm kết nối với từng dịch vụ này trên máy chủ điều khiển miền và sau đó từng máy kiểm tra lại hệ thống kia đã có tài khoản máy tính hợp lệ chưa. Khi sự kiểm tra được hoàn tất hai hệ thống thiết lập một kênh kết nối bảo mật mà sau đó chúng có thể sử dụng để bắt đầu quá trình xác thực người dùng. Sự kiểm tra tài khoản máy tính giữa máy trạm và máy chủ điều khiển miền là quá trình xác thực thực sự dùng tên tài khoản và mật khẩu đúng như khi xác thực người dùng miền. Sự khác nhau là ở chỗ mật khẩu được sử dụng bởi tài khoản máy tính được sinh ra một cách tự động và được giữ dưới dạng ẩn. Người quản trị mạng có thể khởi tạo tài khoản máy tính nhưng họ không phải cung cấp mật khẩu cho chúng. 4.2: Bổ xung tài khoản máy tính vào miền Người quản trị mạng, ngoài việc tạo tài khoản người dùng và tài khoản nhóm trong miền, cũng phải chắc chắn rằng các máy tính mạng là một phần của miền. Việc bổ xung thêm máy tính vào Miền Active Directory bao gồm các bước sau: + tạo tài khoản máy tính: Bạn tạo tài khoản máy tính bằng cách tạomột đối tượng máy tính mới trong Action Directory và gán tên của nó cho một máy tính thực sự trên mạng. Khi kết nối máy tính vào miền hệ thống liên lạc với máy chủ điều khiển miền, thiết lập một quan hệ tin cậy với miền, định vị hoặc tạo các đối tượng máy tính tương ứng với tên của máy tính, sửa nhận dạng bảo mật SID của nó phù hợp đối tượng máy tính và chỉnh sử quan hệ thành viên nhóm của nó. Thực hiện các bước này như thế nào và ai thực hiện chúng phụ thuộc vào việc các máy tính được triển khai trên mạng như thế nào. Có nhiều cách để tạo đối tượng máy tính mới và làm thế nào để người quản trị mạng lựa chọn làm việc này phụ thuộc vào một số các yếu tố, gồm số lượng các đối tượng cần tạo, vị trí của các đối tượng này khi tạo và công cụ gì họ thích dùng. Nói chung, bạn sẽ tạo đối tượng máy tính khi bạn triển khai các máy tính mới trong miền. Khi đó một máy tính được đại diện bởi một đối tượng máy tính và kết nối vào miền, bất cứ người dùng nào trong miền có thể đăng nhập vào từ máy tính đó. Ví dụ: Bạn không thể tạo đối tượng máy tính hoặc kết nối lại các máy tính vào miền khi có nhân viên dời khỏi công ty và nhân viên mới sử dụng các máy tính của họ. Tuy nhiên, nếu bạn cài đặt hệ điều hành trên máy tính thì bạn phải tạo đối tượng máy tính mới cho nó (hoặc khởi tạo lại tài khoản máy tính đã có) bởi vì máy tính này sẽ có mã nhận dạng bảo mật SID khác nhau khi cài đặt lại. Việc kết nối một máy tính mới vào Miền luôn được thực thi tại chính máy đó bởi người quản trị mạng hoặc người dùng. Tuy nhiên, việc tạo đối tượng máy tính có thể xảy ra trước hoặc trong khi xảy ra quá trình kết nối. Người quản trị mạng thường chịu trách nhiệm tạo đối tượng máy tính nhưng người dùng cuối cùng có thể tạo các đối tượng của họ với những điều kiện nhất định. 4.3- Tạo đối tượng tài khoản máy tính Việc tạo đối tượng máy tính luôn luôn phải xảy ra trước khi máy tính tương ứng thực sự có thể kết nối vào miền, mạc dù nó đôi khi không xuất hiện theo cách đó. Có hai chiến lược cơ bản cho việc tạo đối tượng máy tính trong Active Directory là: Tạo các đối tượng máy tính trước khi sử dụng công cụ Active Directory sao cho các máy tính có thể định vị các đối tượng sẵn có khi chúng ra nhập miền Bắt đầu quá trình gia nhập miền trước và cho phép máy tính này tự tạo các đối tượng máy tính của mình. Trong mỗi trường hợp, đối tượng máy tính luôm xuất hiện trước khi sự kiện máy tính gia nhập miền xẩy ra. Tại chiến lược thứ hai, quá trình gia nhập xuất hiện trước nhưng máy tính sẽ tạo ra đối tượng máy tính trước khi thực sự bắt đầu quá trình gia nhập miền. Khi có một số máy tính cần triển khai, đặc biệt ở nhiều vị trí khác nhau, hầu hết các quản trị thích tạo đối tượng máy tính trước hơn. Đối với số lượng máy tính lớn thậm chí có thêm thực hiện quá trình tạo các đối tượng máy tính tự động bằng cách sử dụng các công cụ dạng dòng lệnh và các file bó. Tạo các đối tượng máy tính sử dụng Active Directory And Computer Cũng như đối với các đối tượng người dùng và đối tượng nhóm bạn mà ta đã nghiên cứu tại các phần trước, tiện ích của Windows Server 2003 để tạo đối tượng máy tính là bảng fđiều khiển Active Directory User And Computer. Hình 4.3: Bảng điều khiển Active Directory User And Computer Để tạo đối tượng máy tính tại miền Action Directory bằng cách sử dụng bảng điều khiênt Active Directory User And Computer hay bất cứ tiện ích nào khác bạn phải có các cấp phép thích hợp cho đối tượng chứa sẽ bố trí các đối tượng này. Mặc định nhóm Administrators có Cấp phép tạo các đối tượng tại bất kỳ nơi nào trên Miền và nhóm Account Operators có Cấp phép đặc biệt Create Computer Objects và Delete Computer Objects để tạo và xoá Đối tượng Máy tính ra khỏi Đối tượng Chứa Computers, cũng như là ra khỏi bất cứ OU mới nào mà bạn tạo. Nhóm Domain Admins và Enterprise Admins là thành viên của nhóm Administrators, bởi vậy thành viên của các nhóm này cũng có thể tạo các đối tượng máy tính tại bất cứ nơi nào. Người quản trị cũng có thể ủy quyền điều khiển đối tượng chứa kho các người dùng hay các nhóm nhất định cho phép họ tạo các đối tượng máy tính tại bất cứ nơi nào. Người quản trị cũng có thể ủy quyền điều khiển đối tượng chứa cho các người dùng hay các nhóm nhất định cho phép họ tạo các đối tượng máy tính tại các đối tượng chứa này. Quá trình tạo một đối tượng máy tính tại Active Directory Users And Computers tương tự như quá trình tạo người dùng hoặc nhóm. Bạn chọn đối tượng chứa mà bạn muốn đặt đối tượng và chọn thực đơn Active, trỏ tới New và chọn Computer. Xuất hiện trình hướng dẫn New Object Computer Tại trang đầu của trình hướng dẫn, bạn có thể cấu hính các thuộc tính sau của đối tượng máy tính: Computer Name Chỉ ra tên của máy tính có độ dài tới 63 ký tự, được gán cho đối tượng máy tính. Tên này phải đúng với tên của máy tính được kết nối với đối tượng này. Computer Name (Pre–Windows 2000) Khi bạn nhập vào tên máy tính, 15 ký tự đầu xuất hiện trong trường này. Đây là tên của máy tính mà các máy tính trước Windows 2000 trên mạng sẽ dùng. User Or Group Chỉ ra người dùng và nhóm được phép nhập máy tính vào Miền. Giá trị mặc định là nhóm Domain Admins. Để thay đổi bấm Change để mở hộp thoại chuẩn Select User or Group. Assign This Computer Account As A Pre–Windows 2000 Computer chọn hộp chọn này nếu máy tính gia nhập vào miền sử dụng đối tượng này chạy Windows NT 4.0. Assign This Computer Account As A Backup Domain Controller chọn hộp chọn này nếu máy tính gia nhập vào miền sử dụng đối tượng này có chức năng như Máy chủ điều khiển Miền dự phòng chạy Windows NT 4.0 Hình 4.4: trình hướng dẫn New Object Computer Sau khi hoàn thành trang này, bấm Next để hiện thị trang Managed. Trên trang này, bạn có thể chỉ ra liệu máy tính được ánh xạ tới Đối tượng Máy tính trên miền là có thể quản lý được mà bạn sẽ cài đặt sử dụng Dịch vụ Cài đặt Từ xa (Remote Installation Services - RIS) hay không. Nếu bạn chọn hộp chọn này, bạn phải cung cấp Mã nhận dạng Duy nhất Toàn cục (Globally Unique Identifier - GUID) hoặc Mã nhận dạng Duy nhất Tổng hợp cho máy tính. Hình 4.5 :Trang Managed của trình hướng dẫn New Object – Computer Bấm next hiển thị trang Summary và bấm phím Finish, trình hướng dẫn sẽ tạo đối tượng máy tính trong đối tượng chứa đã chọn. - Tạo đối tượng Máy tính sử dụng Dsadd.exe Cũng như đối với người dùng và nhóm, bảng điều khiển Active Directory Users And Computer rất tiện lợi cho việc tạo và quản lý các đối tượng thực đơn lẻ, nhưng rất nhiều người quản trị dùng các công cụ dạng dòng lệnh của Active Directory trong windows server 2003 khi họ phải tạo đồng thời nhiều đối tượng. Tiện ích Dsadd.exe cho phép bạn tạo các đối tượng máy tính từ dòng lệnh tương tự như việc tạo đối tượng người dùng và đối tượng nhóm trong các trương trình trước. Bạn có thể tạo file bó (*.BAT) của lệnh Dsadd.exe để sinh ra đồng thời các đối tượng.Cú pháp cơ bản để tạo một đối tượng máy tính bằng Dsadd.exe như sau: Tham số ComputerDN là Tên phân biệt của đối tượng máy tính mới bạn muốn tạo. DN sử dụng cùng định dạng như tại file CSV (Comma-Separated Value) Nếu DN chứa dấu cách thì bạn phải để trong dấu ngoặc kép (“”). Khi sử dụng Dsadd.exe một cách tương tác từ dấu nhắc lệnh bạn sẽ cung cấp tham số ComputerDN theo một trong cách sau: + Bằng cách gõ DN ngay trên dòng lệnh, phân tách nhau bởi dấu cách + Bằng cách dẫn nhập danh sách DN từ dòng lệnh khác, như Dsquery.exe +Bằng cách bỏ trống tham số DN, tại dấu nhắc của chương trình bạn có thể gõ DN vào, ấn phím Enter sau mỗi DN, ẩn Ctrl+Z và Enter sau DN cuối cùng Tạo đối tượng máy tính sử dụng Netdom.exe Netdom.exe là công cụ dòng lệnh khác nữa mà bạn có thể dùng để tạo đối tượng máy tính cũng như thực hiện nhiều các công việc về tài khoản miền và các tác vụ bảo mật khác. Lợi ích của việc sử dụng Netdom.exe thay cho Dsadd.exe là bạn không phải chỉ ra tên của đối tượng máy tính bạn muốn tạo như DN. Lệnh đơn giản sau tạo ra một đối tượng máy tính trong đối tượng chứa computer: Chức năng của tham số dòng lệnh như sau: • computername Chỉ ra Tên Phổ biến (Common Name) của Đối tượng máy tính được tạo •/ Domail: Domail name Chỉ ra tên Miền mà tại đó bạn tạo đối tượng Máy tính. Khi bỏ qua, chương trình tạo đối tượng này trong Miền mà người dùng hiện thời đang đăng nhập. • /UserD:User Chỉ ra tên của tài khoản người dùng mà chương trình sẽ sử dụng để tạo Đối tượng Máy tính. Khi bỏ trống, chương trình sử dụng tài khoản của người dùng hiện đang đăng nhập. • /PasswordD:UserPassword Chỉ ra mật khẩu tương ứng với tài khoản người dùng chỉ ta bởi tham số /UserD. Tham số này phải có khi dòng lệnh chứa tham số /UserD. Ký tự đại diện (*) có thể được sử dụng để nhắc bạn nhập mật khẩu. • /OU:OUDN Chỉ ra DN của OU tại nơi mà Đối tượng Máy tính sẽ được tạo. Khi bỏ trống, chương trình tạo đối tượng trong Đối tượng chứa computer. Nhập máy tính vào Miền Quá trình nhập một máy tính vào Miền phải thực sự xảy ra tại chính máy tính này và được thực thi bởi thành viên của nhóm Administrators của máy tính cục bộ. Sau khi đăng nhập, bạn nhập máy tính chạy Windows Server 2003 vào Miền từ thẻ Computer Name tại hộp thoại System Properties. Hình 4.6: Thẻ Computer Name trong hộp thoại System Properties Trên máy tính không gia nhập vào Miền, Thẻ Computer Name hiển thị tên gán cho máy tính trong khi cài đặt hệ điều hành và tên của Nhóm làm việc mà hệ thống hiện đang thuộc về (đó là WORKGROUP theo mặc định). Để nhập máy tính vào Miền bấm Change để hiển thị hộp thoại Computer Name Changes Hình 4.7: Hộp thoại Computer Name Changes Tại hộp thoại Computer Name cho phép bạn thay đổi tên đã gán cho máy tính trong khi cài đặt. Phụ thuộc vào việc bạn đã tạo Đối tượng Máy tính hay chưa, cân nhắc kỹ các khả năng đề phòng sau: • Nếu bạn muốn nhập máy tính vào Miền đã có Đối tượng Máy tính trong Active Directory, tên nhập vào tại hộp này phải phù hợp chính xác với tên của đối tượng đã tồn tại. • Nếu bạn dự định tạo Đối tượng Máy tính trong khi thực hiện tiến trình nhập máy tính vào Miền, tên tại hộp này phải chưa tồn tại trong Miền - Nhập máy tính vào Miền sử dụng Netdom.exe Bạn cũng có thể sử dụng tiện ích dòng lệnh Netdom.exe để kết nối máy tính tới Miền. Cú pháp của dòng lệnh như sau: Chức năng của các tham số dòng lệnh như sau: + Computername chỉ ra tên máy tính được kết nối. + UserO:Users + /Domain: DomainName Chỉ ra tên Miền máy tính sẽ kết nối tới. +/PasswordD: UserPssword: chỉ ra mật khẩu tương ứng với người dùng cục bộ chỉ ra bởi tham số/ UserO + /OU:OUND: Chỉ ra DN của OU mà tại đó đối tượng máy tính sẽ được tạo ra. Nếu để trống chương trình tạo đối tượng tại đối tượng chứa Computer. +REBoot: seconds: Chỉ ra máy tính sẽ tự động tắt và khởi động lại sau khi gia nhập Miền. Bạn cũng có thể chỉ thời gian tính theo giây trước khi máy tính khởi động lại. Giá trị mặc định là 20 giây. - Tạo đối tượng máy tính trong khi đăng nhập máy tính vào miền Bạn có thể đăng nhập máy tính vào miền cho dù bạn đã tạo đối tượng máy tính cho nó hay chưa. Khi máy tính xác thực với máy chủ Điều Khiển Miền, Máy chủ Điều Khiển Miền phải có quyền khởi tạo đối tượng tại đối tượng chứa Computer. Tuy nhiên không phải lúc nào cũng đứng như vậy người dùng miền cũng có thể tự tạo đối tượng máy tính của họ một cách gián tiếp Chính sách nhóm của máy chủ Điều Khiển Miền mặc định gán quyền người dùng cho nhóm đồng nhất đặc biệt. Điều này có nghĩa là bất cứ người dùng nào cũng xác thực thành công với Active Directory sẽ được quyền nhập tới 10 máy trạm vào Miền và tao 10 Đối Tượng máy tính tương ứng, thậm chí cả khi họ không có quyền Create Object Hình 4.8:Phân quyền người dùng Default Domain Controllers Policy Điều quan trọng cần phải lưu ý về quyền người dùng Add Worktation To Domain, mặc dù vậy là Workstation là từ có ý nghĩa nhất. Người dùng đã xác thực có thể thêm tới 10 máy trạm vào miền còn máy chủ thì không. Điều này có nghĩa máy tính phải chạy Windows XP Professional, Windows 2000 Professional hoặc một trong những bản Action Directory máy khách thấp hơn. Người dùng đã xác thực không thể nhập máy tính chạy Windows Server 2003 hoặc Windows 2000 Server vào Miền. Nhập vào miền trong khi cài đặt hệ điều hành Mặc dù bạn có thể nhập một máy tính Windows Server 2003 đã tồn tại vào miền bất kì lúc nào, bạn cũng có thể thực hiện nhập chúng trong khi cài đặt hệ điều hành. Khi trình hướng dẫn cài đặt Windows hiện trang Workgroup Or Computer Domain, bạn có thể chỉ ra tên của Miền mà máy tính sẽ ra nhập. Bạn được nhắc vào tài khoản người dùng miền và mật khẩu để xác thực với máy chủ Điều Khiển Miền và quá trình gia nhập đã được diễn tả ở trên. Định vị đối tượng máy tính Mặc định mỗi Miền Active Directory mới có hai đối tượng chứa là computers và Domain Controllers. Khi bạn tạo miền bằng cách thăng cấp Máy chủ Điều Khiển Miền đầu tiên. Trình hướng dẫn cài đặt Active Directory tạo ra hai đối tượng chứa này và tiếp đó là tạo đối tượng máy tính cho máy chủ Điều Khiển Miền mới tại đối tượng chứa Domain Controllers. Hình 4.9: Đối tượng Chứa Computer và Domain Controllers trong Miền Active Directory Định vị đối tượng máy tính của Máy chủ Điều Khiển Miền đối tượng chứa Domain Controllers là một đối tượng OU. Bạn không bao giờ phải tạo đối tượng máy tính cho máy chủ điều khiển miền bởi vì trình hướng dẫn cài đặt Active Directory đã tạo và đặt vào OU Domain Controllers. Đối tượng chứa này phải là OU bởi vì có GPU áp dụng cho nó được gọi là Default Domain Controllers Policy GPO. GPO này chứa các thiết lập của chính sách chủ yếu cho việc bảo mật của máy chủ Điều Khiển Miền. Trong hầu hết các bản cài đặt Active Directory thì đối tượng máy tính của máy chủ điều khiển miền vẫn ở đúng chỗ cũ của nó. Nếu bạn muốn di chuyển chúng, bạn phải đảm bảo áp dụng chính sách Default Domain Policy GPO cho OU mới có chứa máy chủ Điều Khiển Miền hoặc tạo ra một GPO tương đương có chứa cá thiết lập dành riêng cho vai trò máy chủ Điều Khiển Miền. Định vị các đối tượng máy tính khác Đối tượng chứa Computers là vị trí mạc định cho tất cả các đối tượng máy tính khác mà đã được tạo bằng phương pháp tự động, như là khi một máy tính ra nhập miền và chưa tồn tại đối tượng máy tính tương ứng với nó. Sử dụng bảng điều khiển Active Directory User And Computers, bạn có thể tạo đối tượng máy tính tại một đối tượng chứa bất kì, quản lí và di chuyển chúng. Có thể thấy là đối tượng chứa Computer không phải là một OU, nó là một trong các đối tượng đặc biệt, là loại đối tượng mà lớp đối tượng này theo nghĩa đen thì chúng là một đối tượng chứa, cũng như các Đối tượng Chứa Users, Builtin và Foreign- SecurityPrincipals. Như đã tìm hiểu, bạn không thể tạo hoặc xoá những Đối tượng Chứa này và bạn không thể áp dụng GOP cho chúng. Do vậy ta không thể triển khai các thiết lập chính sách nhóm các đối tượng máy tínhcất giữ ở đó một cách đơn giản. Vì đó nên tạo ít nhất một OU và di chuyển các đối tượng máy tính từ đối tượng chứa Computer tới đó. Nhiều mạng Active Directory tạo đồng thời các OU cho các Đối tượng Máy tính theo tổ chức hoặc theo phân cấp địa lý trong cây Active Directory hoặc tạo đối tượng chứa riêng rẽ theo các vai trò khác nhau mà các máy tính thực hiện. Điều này cho phép bạn triển khai một GPO chứa các thiết lập chính sách cho từng OU, từ đó tạo một cấu hình hệ thống khác theo mỗi vai trò của từng máy tính. Chuyển hướng đối tượng máy tính Mặc dù bạn có thể tạo các đối tượng máy tính trong đối tượng chứa Computer và di chuyển chúng tới bất kì vị trí nào mà bạn muốn và bạn cũng có thể cấu hình Windows Server 2003 tự động cài đặt các đối tượng máy tính nó tạo ra vào một đối tượng chứa khác.Cách này thường được sử dụng hơn vì nó cho phép bạn đặt đối tượng máy tính chứa mới vào OU thích hợp trước khi máy tính thực sự gia nhập Miền. Việc này đảm bảo là máy tính được kiểm soát bởi các chính sách áp dụng cho OU ngay sau khi máy tính gia nhập miền. Để chuyển hướng đối tượng máy tính mới, Miền của bạn phải sử dụng Domain functionnal Level (cấp chức năng của miền) Windows Server 2003. Mở cửa sổ dấu nhắc lệnh và từ dòng lệnh chạy tiện ích Redircmp.exe, được cung cấp cùng với Windows Server 2003, chỉ ra DN của OU hoặc đối tượng chứa khác bạn muốn đặt đối tượng mới vào. 4.4- Quản lý các đối tượng tài khoản máy tính Khi bạn tạo các Đối tượng Máy tính và nhập chúng vào Miền, bạn có thể quản lý các đối tượng và các máy tính từ bảng điều khiển Active Directory Users and Computers. Một số các chức năng quản lý bạn có thể thực hiện được là: Chỉnh sửa các thuộc tính của một đối tượng máy tính Như tất cả các đối tượng trong Active Directory, đối tượng máy tính cũng bao gồm các thuộc tính chứa rất nhiều các thông tin về hệ thống mà đối tượng đại diện cho nó. Để chỉnh sửa các thuộc tính của đối tượng máy tính, bạn chọn các thuộc tính đó tại bảng điều khiển Active Directory User And Computer và từ thực đơn Activon, chọn Properties để hiển thị hộp thoại Propreties của đối tượng. Hình 4.10: Hộp thoại Properties của Đối tượng Máy tính Hộp thoại Properties của đối tượng máy tính là: - General: Tại đây bạn có thể diễn giải cho máy tính đại diện bởi đối tượng này. Các hộp khác chứa các thông tin có thể được cung cấp tự động khi máy tính gia nhập miền. - Operating System Gồm có tên, phiên bản và mức của gói dịch vụ (service pack level) của hệ điều hành chạy đang chạy trên máy tính được đại diện bởi đối tượng này. Thông tin này được cấp tự động khi máy tính nhập vào Miền. Không có thược tính nào do người dùng định nghĩa tại thẻ này. - Member Of Cho phép bạn chỉ ra nhóm mà Đối tượng Máy tính này là thành viên. Mặc định, tất cả các Đối tượng Máy tính mới không phải là Máy chủ Điều khiển Miền được đưa vào nhóm toàn cục Domain Computers. - Delegation Cho phép bạn gán các dịch vụ chạy dưới Cấp phép của tài khoản máy tính để gửi các yêu cầu dịch vụ tới máy tính khác trên mạng với tư cách một người dùng. Bạn có thể cho phép đối tượng này yêu cầu dịch vụ bất kỳ hoặc tạo thành danh sách các dịch vụ đặc biệt nó có thể yêu cầu, sử dụng tài khoản ủy quyền khác . - Location Có chứa hộp mà bạn có thể sử dụng để xác định ví trí của máy tính tương ứng với đối tượng này. - Managed By Cho phép bạn chỉ ra đối tượng người dùng chịu trách nhiệm quản lý của máy tính đại diện bởi đối tượng này. Khi bạn làm như vậy, các thuộc tính thích hợp từ của đối tượng người dùng đã chọn sẽ hiển thị trong thẻ này. Các thông tin này được lấy một cách động từ đối tượng người dùng; chỉ có tên của người dùng là được lưu trữ như là một phần của Đối tượng Máy tính. - Dial-In Cho phép bạn chỉ ra giá trị cho các thuộc tính kiểm soát truy nhập quay số từ xa tới máy tính đại diện bởi Đối tượng này, như là sẽ được phép truy nhập hay bị từ chối và sẽ sử dụng hay không các tính năng như là định danh người gọi (caller) và gọi lại (callback). Hình4.11: Thẻ Managed By trong hộp thoại Properties của Đối tượng máy tính Xóa, vô hiệu hóa và khởi tạo lại đối tượng máy tính Dưới các điều kiện bình thường, các đối tượng máy tính không đòi hỏi người quản trị mạng bảo trì và chăm sóc. Tuy nhiên, trong một số hoàn cảnh người quản trị nên thao tác với các đối tượng máy tính như là chánh cho chúng bị sử dụng sai hoặc tiến hành các thay đổi cho phù hợp với máy tính vật lý. Xóa đối tượng máy tính Xóa một đối tượng máy tính trong bảng điều khiển Active Directory User And Computer rất đơn giản, bạn chọn đối tượng này và từ thực đơn Action chọn Delete. Sau khi xác nhận lại thao tác này thì đối tượng bị xóa vĩnh viễn. Tuy nhiên, trước khi bắt đầu xóa đối tượng máy tính cần đảm bảo là bạn đã hiểu rõ hành động này của bạn cũng như đối với các đối tượng người dùng và nhóm SID của đối tượng máy tính mà có giá trị duy nhất cũng bị mất khi đối tượng bị xóa. Việc tạo một đối tượng mới có cùng tên và cùng giá trị thuộc tính sẽ không tạo lại cùng SID như cũ và bất cứ quyền và nhóm nào gán cho nó ban đầu khi đối tượng bị xóa cũng đều bị mất không thể cứu lại được. Bởi thế bạn không nên xoá các đối tượng Máy tính (hoặc bất kỳ đối tượng nào, chính vì lý do này) trừ khi hoàn toàn chắc chắn là bạn không cần lại đến chúng. Bạn có thể tránh cho đối tượng bị sử dụng thay bằng cách khác là vô hiệu hóa nó. Vô hiệu hoá Đối tượng Máy tính Nếu bạn dự kiến sẽ đặt máy tính rời khỏi mạng (offline) trong một thời gian dài, cách tốt nhất là đừng xoá nó, hãy vô hiệu hóa (Disable) nó. Một những nguyên tắc cơ bản nhất của bảo mật là lưu giữ các định danh nhận dạng càng ít càng tốt, cho phép việc xác thực xẩy ra chỉ với một số lượng tối thiểu các tài khoản cần thiết để phục vụ cho cơ quan của bạn. Khi bạn vô hiệu hoá một Đối tượng Máy tính, SID và tất tất cả các giá trị thuộc tính của nó vẫn còn nguyên vẹn, bởi vậy khi bạn kích hoạt lại đối tượng này có thể dùng ngay mà không cần chỉnh sửa. Để vô hiệu hoá một Đối tượng Máy tính, tại bảng điều khiển Active Directory Users And Computers, chọn đối tượng này và từ thực đơn Action chọn Disable Account. Xuất hiện dấu X màu đỏ tại biểu tượng của đối tượng báo là nó đã bị vô hiệu hoá. Khi Đối tượng bị vô hiệu hoá, máy tính này không thể thiết lập kênh bảo mật tới Miền. Người dùng trước đó chưa từng đăng nhập vào máy tính, do đó sẽ không có các thông tin đăng nhập được lưu tạm trên máy tính sẽ không thể đăng nhập được cho tới khi bạn thiết lập lại kênh thông tin bảo mật bằng cách kích hoạt lại tài khoản này. Hình4.12: Vô hiệu hoá tài khoản máy tính Để kích hoạt lại đối tượng, sử dụng cùng qui trình như trên và chọn Enable Account từ thực đơn Action. Khởi tạo lại đối tượng máy tính Khi người quản trị muốn thay thế một máy tính trên mạng để nâng cấp phần cứng hoặc vì các lý do khác, nhưng vẫn muốn sử dụng máy tính ban đầu cùng với nhóm và các quyền được gán cho nó. Khi một máy tính ra nhập vào một miền và tương ứng với một đối tượng cụ thể, bạn không thể nhập máy tính khác vào cùng đối tượng đó và bạn cũng không thể tách rời máy tính ra khỏi miền và nhập lại một máy tính khác có cùng tên mà không cần tạo lại đối tượng này và không bi mất SID cũng như nhóm và các quyền tương ứng. Mặc dù vậy, bạn vẫn có thể sử dụng lại cùng đối tượng máy tính cho hai máy tính khác nhau bằng cách khởi tạo lại đối tượng này. Việc khởi tạo lại một đối tượng máy tính phải đặt lại mật khẩu của nó nhưng vẫn duy trì được tất cả các thuộc tính của nó. Bằng cách đặt lại mật khẩu, đối tượng này được phép dùng lại. Bất cứ một máy tính nào được đặt tên thích hợp là có thể gia nhập vào miền và sử dụng lại được đối tượng đó. Để khởi tạo lại một đối tượng máy tính ta sưt dụng bảng điều khiển Active Directory Users And Computers, chọn đối tượng và từ thực đơn Action chọn tiếp Reset Account. Saukhi xác nhận lại sẽ xuất hiện hộp thông báo tình trạng tài khoản được khởi tạo lại thành công. Bạn cũng có thể khởi tạo lại tài khoản máy tính bằng cách sử dụng tiện ích dòng lệnh Netdom.exe. 1.quản lý máy tính từ xa Ngoài ra các thao tác với các đối tượng máy tính, bảng điều khiển Active Directory Users And Computer cũng cho phép bạn truy cập vào máy tính của nó. Khi bạn chọn đối tượng máy tính và từ thực đơn Action chọn Manage sẽ mở ra bảng điều khiển Computer Management mới trỏ tới máy tính được chọn. Quản lý các đối tượng máy tính bằng dòng lệnh Để quản lý các đối tượng máy tính ta có thể sử dụng các công cụ dòng lệnh có trong Windows Server 2003 +Quản lý thuộc tính của đối tượng máy tính bằng Dsmod.exe Công cụ Dsmod.exe có thể chỉnh sửa các thuộc tính của đối tượng máy tính, cũng giống như đối tượng người dùng và đối tượng nhóm. Ngoài ra bạn có thể sử dụng Dsmod.exe để vô hiệu hóa, kích hoạt và khởi tạo lại các đối tượng máy tính (nhưng cũng không xóa được nó). Cú pháp để chỉnh sửa lại đối tượng máy tính của công cụ này là: Dsmod coputer DN [parameters] Chức năng của tham số dòng lệnh là: ComputerDN: Chỉ ra DN của đối tượng máy tính cần chỉnh sửa -desc Description: Chỉ ra giá trị thuộc tính Location của đối tượng máy tính -loc Location: Chỉ ra giá trị thuộc tính Location của đối tượng máy tính -disable [yes/no]: Vô hiệu hóa hoặc kích hoạt đối tượng máy tính đã định. -Reset: Đặt lại mật khẩu của đối tượng máy tính đã định. -s Server: Chỉ ra tên của máy chủ điều khiển miền mà chương trình dùng để truy cập tới đối tượng máy tính. Khi bỏ trống thì chương trình mặc định trỏ tới máy chủ điều khiển miền mà người dùng đăng nhập. d Domain: Chỉ ra tên của miền mà đối tượng máy tính đang định vị trong đó. Khi bỏ trống chương trình sẽ cài mặc định lấy Miền mà người dùng đang đăng nhập. -u User : Chỉ ra tên của tài khoản người dùng chương trình sẽ sử dụng truy nhập vào Miền. Khi bỏ trống chương trình sẽ mặc định tài khoản người dùng mà hệ thống dang đăng nhập. -p [Password/*] : chỉ ra mật khẩu ứng với tài khoản người dùng đã chỉ ra tại tham số -u. Nếu có dấu hoa thị (*), chương trình dừng lại và nhắc người dùng mật khẩu. Để vô hiệu hóa tài khoản máy tính sử dụng dòng lệnh sau: Dsmod computer CN=webserver1, CN=Computer, DC=ACNA, DC=com –disabled yes Để khởi tạo lại tài khoản máy tính, sử dụng dòng lệnh sau: Dsmod computer CN=webserver1, CN=Computer, DN=ACNA, DC=com-Reset 3. Xóa đối tượng máy tính bằng Dsrm.Exe Dsmod.exe có thể chỉnh sửa đối tượng máy tính nhưng không xóa được chúng. Để xóa đối tượng máy tính bạn phải sử dụng tiện ích DSrm.Exe. Bạn cần chỉ ra DN của đối tượng mà bạn muốn xóa tại dòng lệnh Dsrm.Exe với cú pháp của dòng lệnh là Dsrm ObjectDN Khi bạn xác nhận yêu cầu xóa chương trình sẽ xóa đối tượng này. 4.5- Khắc phục sự cố tài khoản máy tính Active Directory xem đối tượng máy tính như chủ thể bảo mật. Điều này có ý nghĩa là máy tính cũng giống như người dùng là có các thuộc tính như trên, mật khẩu và SID, cho phép nó được đưa vào danh sách kiểm soát truy nhập của các đối tượng khác. Các tài khoản máy tính và quan hệ bảo mật giữa các máy tính và miền thường rất mạnh. Tuy nhiên giống như các tài nguyên người dùng, các tài khoản máy tính đôi khi yêu cầu được bảo trì và khắc phục sự cố. Hiếm khi gặp tình huống là một tài khoản hoặc kênh bảo mật nào bị bẻ gãy các dấu hiệu của lỗi thường rất rõ ràng. Các dấu hiệu phổ biến của sự cố tài khoản máy tính như sau: Thông báo lúc đăng nhập chỉ ra là không thể liên hệ được với máy chủ điều khiển miền, tài khoản máy tính đó có thể bị mất hoặc quan hệ tin cậy (cách khác chỉ tới kênh bảo mật) giữa máy tính này và miền bị mất Thông báo lỗi hoặc ghi lại các sự kiện chỉ ra các vấn đề tương tự hoặc gợi ý là mật khẩu, sự tin cậy, kênh bảo mật, hoặc quan hệ với Miền hoặc máy chủ điều khiển miền bị lỗi. Nếu một trong các tình huống xảy ra bạn phải khắc phục sự cố tài khoản máy tính. Các quy tăc khắc phục sự cố tài khoản máy tính khi một trong các sự kiện sau: Nếu tài khoản máy tính đã có trong Active Directory thì bạn phải khởi tạo lại nó Nếu tài khoản máy tính bị mật trong Active Directory thì bạn phải tạo lại tài khoản máy tính Nếu máy tính vẫn thuộc miền thì bạn phải di chuyển nó ra khỏi miền bằng cách thay đổi quan hệ thành viên của nó sang nhóm làm việc. Tên của nhóm làm việc không quan trọng Nhập lại máy tính vào miền. Cách khác là nhập một máy tính khác vào miền này, nhưng máy tính mới phải có cùng tên như tài khoản máy tính. Để khắc phục bất kì sự cố nào của tài khoản máy tính bạn cần áp dụng tất cả các quy tắc. Chúng có thể được tiến hành theo thứ tự bất kì, trừ quy tắc 4 nhập lại máy tính vào miền phải luôn lá bước cuối cùng . Hai tình huống sau minh họa việc sử dụng các quy tắc là: Người dùng phàn nàn là khi đăng nhập hệ thống xuất hiện thông báo lỗi thông báo tài khoản máy tính có thể bị mất. Áp dụng quy tắc 1, bạn mở Active Directory User And Computer và tìm thấy tài khoản máy tính trong miền. Bạn khởi tạo lại đối tượng này, không áp dụng quy tắc 2 đối tượng đã tồn tại. Sau đó sử dụng quy tắc 3, bạn tách rời hệ thống này ra khỏi miền theo quy tắc 4 kết nối lại nó vào miền này. Tài khoản máy tính bị khởi tạo lại do nhiều nguyên nhân, vì thế quy tắc 1 là đã được áp dụng. Dù cho việc khởi tạo lại là ngẫu nhiên, bạn vẫn phải tiếp tực cứu lại bằng cách áp dụng 3 quy tắc còn lại. Quy tắc 2 không áp dụng cho đố tượng máy tính đã tồn tại trong miền. Theo quy tắc 3 và 4, tách máy tính ra khỏi miền và sau đó nhập lại. Kết luận Vậy chúng ta đã thấy được tầm quan trọng của quản lý mạng và duy trì hệ điều hành mạng nhằm nâng cao hiệu quả sử dụng mạng, quản lý tốt các tài khoản người dùng đồng thời giúp cho việc bảo mật an ninh hệ thống mạng tốt. Đây cũng là vấn đề khá mới mẻ so với kiến thức em được trang bị trong giáo trình về mạng vì nó vừa là vấn đề kĩ thuật vừa là vấn đề chuẩn nên chắc chắn đồ án của em còn nhiều khiếm khuyết. Mong các Thầy Cô thông cảm cho em. Một lần nữa em xin chân thành cảm ơn các Thầy Cô trong khoa ĐT – VT, đặc biệt là cô Vũ Minh Tú đã giúp em hoàn thành đồ án này. Phục lục : Các thuật ngữ MSDE Mircosoft Database Engine RRAS Routing and remote access RDP Remote Desktop DFS Distributed File System SAM Security Accounts Manager SID Security Identifier ACLS Access Control Lists OU Organization Unit GPO Group Policier Objects URL Uniform Resource Locator AD Active Directory GP Group Policies RAP Remote Access Policy CSV Comma – Separated Value MUP Mandatory User profile PCDE Primary Domain Controller Emulator ALC Access Control List ADUAC Active Directory User And Computer GUID Global Unique Identifier UUID Universally Unique Identifier