Active Directory `TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN -------&&&

-------

Mạng máy tính

ĐỀ TÀI:

Giáo viên hướng dẫn: Nguyễn Mạnh Hùng Sinh viên: Nguyễn Thị Thu Huyền Lớp: A K54 Khoa: Công nghệ thông tin Trường Đại học Sư phạm Hà Nội.

Hà Nội 4/2008 MỤC LỤC Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
1

Active Directory

Mạng máy tính

Phần 1. Tổng quan Active Directory
1. Giới thiệu. 2. Những Thành Phần Chính Của Hệ Thống Active Directory 3. Schema Master
3.1 Domain Naming Master

3.2 Relative Identifier (Bộ nhận dạng quan hệ) 3.3 Primary Domain Controller Emulator 3.4 Infrastructure Master 4. Cấu trúc 5. Tên. 5.1 Các nguyên tắc đặt tên cơ bản 5.2 Các tên phân biệt 5.3 Các kí tự đặc biệt trong tên 6. Directory Users và Computers console 7. Tạo một tài khoản người dùng (User Account) 8. Chỉnh sửa và bổ sung các thuộc tính của tài khoản 9. Xác lập lại mật khẩu người dùng 10. Tạo các nhóm 11. Các nhóm bảo mật. 11.1 Local Group 11.2 Domain Local Groups 11.3 Global Groups

Nguyễn Thị Thu Huyền

K54A - Khoa Công nghệ thông tin - ĐHSPHN

2

Active Directory

Mạng máy tính

Phần 2: Cài đặt một máy chủ Domain Controller cho một Domain
1. Cài đặt Active Directory trên Windows Server 2003 1.1 Cài đặt và cấu hình DNS a. Đặt địa chỉ IP cho máy chủ - Static IP và DNS vào DNS của chính máy mình. b. Cài đặt và cấu hình DNS 1.2 Cài đặt Active Directory trên máy chủ Windows Server 2003 2. Backup & Restore 2.1 Công nghệ NTBACKUP trong Windows Server 2003. 2.2 Backup và Restore Active Directory trong máy chủ Domain Controllers. a. Lý thuyết b. Triển khai. 3. Addtional New DC 3.1 Replication dữ liệu trong Active Directory. 3.2 Triển khai Additions Domain Controller mới vào hệ thống có sẵn. a. DNS trên máy chủ Domain Controller mới. b. Cài đặt Additions Domain Controller vào một domain đã có sẵn

Nguyễn Thị Thu Huyền

K54A - Khoa Công nghệ thông tin - ĐHSPHN

3

Active Directory 4.1 View Master Role Mạng máy tính 7.3 Tình huống khi Master Role bị hỏng. Thay đổi Master khi các Domain Controllers đều đang hoạt động tốt.ĐHSPHN 4 . Rename DC 7. Nâng Forest Master Role 7. Nâng Domain Master Role b. Forest 6. Kết luận TÀI LIỆU THAM KHẢO: Nguyễn Thị Thu Huyền K54A . Child Domain 5. DC vài trò Master 7. a.2.Khoa Công nghệ thông tin .

Khi Windows 2000 được phát hành. và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on. công việc của domain controller (bộ điều khiển miền) là chạy dịch vụ Active Directory. 2. Active Directory chính là trái tim của Windows Server 2003 . kiểm soát truy cập. phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn. Giới thiệu. Từ phiên bản Windows NT4.0 trở về sau. ủy quyền. hầu như tất cả mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active Directory. group … cung cấp những dịch vụ (directory services) tìm kiếm. Windows Server 2003 hay Longhorn Server. Microsoft đã phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của domain như các đối tượng user. Microsoft tích hợp một thành phần là Active Directory. 1. những công việc mà hầu như không thể thực hiện được trên một hệ thống mạng ngang hàng. Những Thành Phần Chính Của Hệ Thống Active Directory User : là các tài khoản người dùng. khi cài đặt Active Directory sẽ có một số tài khoản built-in được tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ thống. Khi máy chủ Windows sử dụng Windows 2000 Server. Active Directory đã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động. computer. Với những dịch vụ và tiện ích của mình. và cấp phát cho người sử Nguyễn Thị Thu Huyền K54A .ĐHSPHN 5 . Tổng quan Active Directory. Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào domain thì người quản trị cần phải tạo những tài khoản hợp lệ.Khoa Công nghệ thông tin .Active Directory Mạng máy tính Phần 1. cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ. backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này.

ĐHSPHN 6 . giản đồ của Active Directory không phải giản đồ tĩnh. OU (organization unit): là những đơn vị tổ chức. Nếu cần phải tìm máy chủ nào đang cấu hình Schema Master role thì ta phải đưa đĩa CD cài Windows Server 2003 và kích đúp vào file ADMINPAK. Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng. Có một số hoạt động cần thiết mở rộng giản đồ. Tuy nhiên lại không giống như các cơ sở dữ liệu khác.MSI trong thư mục I386. Như vậy chúng ta cần phải phân biệt rõ group sales và OU Sales. khi thiết kế một domain thì chúng ta khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng ban. cũng giống như cơ sở dữ liệu khác. Khi thực hiện điều đó. Group: là một tập hợp của những ngừơi dùng có những đặc tính chung. vì vậy Microsoft để ẩn nó không cho nhìn thấy. Bất kỳ thời điểm nào diễn ra sự thay đổi giản đồ Active Directory thì những thay đổi đó cũng được áp dụng cho Schema Master. ví dụ các nhân viên của một phòng ban sale có quyền truy cập lên folder sales trên file server hoặc chúng ta muốn các nhân viên của công ty đều có quyền in đối với laser printer. Và truy cập dữ liệu trên file server hay các dịch vụ khác. vị trí như phòng ban Sales sẽ có một OU Sales và trong OU này chứa group sales. Schema Master Active Directory không thực sự là một thứ gì ngoài cơ sở dữ liệu. Các user sẽ dùng những tài khoản được cấp bởi administrator để log-in và domain. Ví dụ. việc cài đặt Exchange Server cần giản đồ Active Directory để được mở rộng. Đó là những khác biệt cơ bản nhất mà chúng ta cần phân biệt 3. giữa chúng có những khác biệt cơ bản là OU được dùng để quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phòng ban sales trong môi trường thật được cài đât tự động MS OfficeXP hay update những bản vá nào khi đăng nhập hệ thống thì chúng ta phải tương tác qua OU. Active Directory có một giản đồ. bộ phận. Schema Master là một thành phần rất quan trọng của các FSMO role. mặc định tất cả các user được tạo ra đều thuộc group này). Windows sẽ khởi Nguyễn Thị Thu Huyền K54A . group sales sẽ bao gồm tất cả những thành viên của phòng ban sale. chính vì vậy chúng ta cần phải tạo ra các group và gán quyền thông qua những group này.Khoa Công nghệ thông tin . Nhưng rõ ràng chúng ta không thể quản lý về quyền hạn truy cập của các user này bằng OU.Active Directory Mạng máy tính dụng. và những user này cũng được đặt trong OU Sales cùng với group sales. chúng ta nên tạo group printing và gán quyền in trên laser printer sau đó add tất cả các nhân viên của công ty vào group printing này thay vì gán quyền in cho từng user riêng lẽ sẽ không hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thao tác chung..

khi cửa sổ này được mở. Khi quá trình cài đặt được hoàn tất. bộ điều khiển miền mà đối tượng đang tạo sẽ lấy một trong những bộ nhận dạng quan hệ của nó ra khỏi nhóm và gán cho đối tượng. Việc kiểm tra các miền này là công việc của Domain Naming Master. Kích chuột vào nút Add để xuất hiện một danh sách có sẵn các mô đun. Chọn mô đun Active Directory Schema trong danh sách và kích vào nút Add. 3.1 Domain Naming Master Một rừng Active Directory có thể gồm nhiều miền. 3.Active Directory Mạng máy tính chạy Administration Tools Pack Setup Wizard. Nếu Domain Naming Master bị lỗi thì nó không thể tạo và gỡ bỏ các miền cho tới khi Domain Naming Master quay trở lại trực tuyến. cửa sổ sẽ hiển thị trang thuộc tính của thành phần Add/Remove.2 Relative Identifier (Bộ nhận dạng quan hệ) Active Directory cho phép quản trị viên tạo các đối tượng Active Directory trên bất kỳ bộ điều khiển miền nào. Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho một forest.Khoa Công nghệ thông tin . Khi cửa sổ được mở. Như vậy. mở Active Directory Domains and Trusts. sau đó nhấn Close và nút OK. kích chuột phải vào Active Directory Domains and Trusts và chọn Operations Masters. Một hộp thoại sẽ xuất hiện. Theo cửa sổ wizard để cài đặt gói các công cụ quản trị. ta đóng Setup wizard và mở Microsoft Management Console bằng cách nhập vào dòng lệnh MMC trong cửa số lệnh RUN. Sau khi chọn xong. Sau khi chọn xong.ĐHSPHN 7 . Relative Identifier Master chỉ định một nhóm bộ nhận dạng quan hệ cho mỗi một điều khiển miền. Nguyễn Thị Thu Huyền K54A . Windows sẽ hiển thị Domain Naming master. Bây giờ mô đun đã được tải ra. chọn Add/Remove từ menu File. Khi một nhóm được khai thác hết thì bộ điều khiển miền phải liên lạc với Relative Identifier Master để có thêm bộ nhận dạng quan hệ. Mỗi một đối tượng phải có một số hiệu nhận dạng quan hệ duy nhất để ngăn chặn các bộ nhận dạng quan hệ khỏi bị giống nhau. triệu chứng cuối cùng của Relative Identifier Master lỗi là hoàn toàn bất lực trong việc tạo các đối tượng trong Active Directory. kích chuột phải vào Active Directory Schema và chọn Operations Master từ menu chuột phải. hộp thoại này thông báo cho ta biết rằng máy chủ nào đang cấu hình với tư cách là Schema Master của forest. Khi một đối tượng mới được tạo trong một miền.

ĐHSPHN 8 . Có thể xác định bộ điều khiển miền nào đang hành động như PDC Emulator bằng cách quan sát tại tab PDC của trang thuộc tính. làm thế nào để cho phần còn lại của forest biết được có sự thay đổi. bộ điều khiển miền được nâng cấp gần đây hoạt động như một bộ điều khiển miền Active Directory và một PDC cho các bộ điều khiển miền vẫn đang chạy Windows NT. sự thay đổi sẽ được truyền một cách tự nhiên xuyên suốt miền. Trong cửa sổ này ta có thể chọn bộ điều khiển miền nào đang thực hiện như bộ nhận dạng quan hệ bằng cách quan sát ở tab RID của trang thuộc tính.4 Infrastructure Master Trong môi trường Active Directory. Windows sẽ hiển thị trang thuộc tính của Operations Masters. nếu đã đặt lại tên cho một tài khoản người dùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các miền khác trong forest. Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không thể nhìn thấy trong đường biên miền. Ví dụ.3 Primary Domain Controller Emulator Role của PDC emulator được tạo để cho phép các bộ điều khiển miền Active Directory cùng tồn tại với các bộ điều khiển miền Windows NT. Role của PDC emulator ngày nay càng không liên quan nhiều hơn bởi vì rất ít các tổ chức sử dụng Windows NT Server. Khi cửa số này được mở. Các miền Active Directory không hoàn toàn mà các thực thể độc lập mà chúng đôi khi phải truyền thông với phần còn lại của forest. Khi cửa số này được mở. hãy mở Active Directory Users and Computers. Khi tạo. Windows sẽ hiển thị trang thuột tính của Operations Masters. thay đổi hoặc xóa một đối tượng bên trong một miền. Nếu ta cần chỉ định máy chủ nào trong miền đang cấu hình role của PDC Emulator dù cho ta có thể thực hiện điều đó bằng cách mở Active Directory Users and Computers. Ở điểm này. Đây chính là công việc của Infrastructure Master. Vấn đề là phần còn lại của forest không biết đến sự thay đổi này. kích chuột phải vào miền hiện hành và chọn Operations Masters.Khoa Công nghệ thông tin . 3. Ý tưởng cơ bản ở đây là khi một tổ chức đang nâng cấp từ Windows NT lên Windows 2000 hoặc Windows Server 2003 thì PDC là bộ điều khiển miền đầu tiên được nâng cấp. Nguyễn Thị Thu Huyền K54A . kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters. Đây chính là nơi mà Infrastructure Master diễn ra.Active Directory Mạng máy tính Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một miền. một forest có thể gồm nhiều miền. 3.

Khi cửa số này được mở. Microsoft đã cung cấp một số công cụ khác nhau tương ứng với một lĩnh vực cụ thể của cơ sở dữ liệu. mở Active Directory Users and Computers. ta kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters. Giao diện của nó được thể hiện như những gì ta thấy trong hình 1.Active Directory Mạng máy tính Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master cho một miền.Khoa Công nghệ thông tin . Hình 1:Giao diện Active Directory Users and Computers là một công cụ quản trị chính cho việc quản lý các đối tượng Active Directory. Nguyễn Thị Thu Huyền K54A . Không có công cụ quản trị nào được sử dụng để quản lý Active Directory có thể cho xem được toàn bộ cơ sở dữ liệu của Active Directory. công cụ quản trị có thể sử dụng thường là Active Directory Users and Computers console.ĐHSPHN 9 . Windows sẽ hiển thị trang thuộc tính của Operations Masters. Cấu trúc. 4. Với một quản trị viên. Có thể truy cập Active Directory Users and Computers console từ bộ điều khiển miền của Windows Server 2003 bằng cách chọn Active Directory Users and Computers từ menu Start / All Programs / Administrative Tools của máy chủ. Thay vì đó. Ta có thể xác định được bộ điều khiển miền nào đang thực hiện với tư cách Operations Master bằng cách nhìn vào tab Infrastructure của trang thuộc tính.

Các thuộc tính cụ thể thay đổi phụ thuộc vào kiểu đối tượng.Khoa Công nghệ thông tin . Nếu kích chuột phải vào một trong các đối tượng người dùng này và chọn Properties từ menu chuột phải thì ta sẽ thấy được trang thuộc tính của đối tượng (như trong hình 3). Ví dụ.ĐHSPHN 10 . Mỗi đối tượng trong Active Directory đều được gán một kiểu đối tượng (được biết đến như là lớp đối tượng). Hình 2: Thư mục Users chứa các tài khoản người dùng. Mỗi đối tượng cũng có một số thuộc tính liên quan. tất cả được phân loại thành các đối tượng người dùng. thư mục Users chứa các tài khoản người dùng. Nguyễn Thị Thu Huyền K54A . tất cả được phân loại thành các đối tượng người dùng như trong hình 2.Active Directory Mạng máy tính Nếu nhìn vào hình thì ta sẽ thấy được rằng ở đây có một số thư mục lớn. mỗi một thư mục này tương ứng với một loại đối tượng cụ thể.

ĐHSPHN 11 . Nếu nhìn vào hình 3 thì sẽ thấy rằng có một số trường thông tin khác nhau như tên. họ. sẽ thấy được một màn hình. số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng. Nếu nhìn vào phần kết quả của cửa sổ thì sẽ thấy Nguyễn Thị Thu Huyền K54A .Khoa Công nghệ thông tin . Microsoft Exchange Server (sản phẩn e-mail server của Microsoft) tạo một danh sách địa chỉ toàn cục dựa trên nội dung của Active Directory. trong đó đã thực hiện một tìm kiếm với tên Hershey. và Outlook đã trả toàn bộ danh sách địa chỉ toàn cục Global Address List gồm có tên Hershey. Danh sách này được sử dụng khi gửi các thông báo email đến người dùng khác trong công ty. Mặc dù phần lớn các trường ở trong hình đều không phổ biến nhưng trong một số tình huống thực thì các trường này có thể được sử dụng để tạo thư mục cộng tác. nhiều ứng dụng được thiết kế để trích thông tin trực tiếp từ Active Directory. Trong thực tế. Ví dụ. Nếu nhìn vào hình 4.Active Directory Mạng máy tính Hình 3: Khi kích chuột phải vào một đối tượng người dùng và chọn Properties thì ta sẽ thấy trang thuộc tính của người dùng.

Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính được nơi mà Outlook hiển thị tiêu đề của người dùng. Đây không phải là một màn hình quản trị. Hình 4 Nếu muốn thấy các thông tin chi tiết hơn về người dùng. số điện thoại doanh nghiệp và vị trí mà trường đó được phổ biến. hãy kích chuột phải vào tên của người dùng và chọn Properties. Tất cả thông tin này đều được lấy từ Active Directory.Khoa Công nghệ thông tin . Đơn giản đây chỉ là một màn hình mà bất kỳ người dùng nào trong công ty cũng có thể truy cập trực tiếp thông qua Outlook 2007 để tìm thông tin về các nhân viên khác.Khi đó cửa sổ như hình 5 sẽ được hiển thị.ĐHSPHN 12 .

500. Thực tế. việc truy cập thông tin thư mục liên quan đến việc sử dụng Lightweight Directory Access Protocol (LDAP).Khoa Công nghệ thông tin .Active Directory Mạng máy tính Hình 5: Xem thông tin Active Directory trực tiếp thông qua Microsoft Outlook Xét cho cùng thì Outlook là một sản phẩm của Microsoft. Chuẩn này cơ bản là một cách chung chung trong việc thực hiện dịch vụ thư mục. Nguyễn Thị Thu Huyền K54A . Tuy nhiên có rất nhiều người không nhận ra một điều. Active Directory được dựa trên một chuẩn đã biết. một phần của một sản phẩm khác của Microsoft. Một trong số chúng có khả năng lưu dữ liệu trong các phần Active Directory đặc biệt. Microsoft không chỉ là một công ty tạo dịch vụ thư mục dựa trên dịch vụ này mà Novell ban đầu cũng đã tạo dịch vụ thư mục NetWare Directory Service trên chuẩn này. đó là khá dễ dàng cho bất cứ ai có sự cho phép thích hợp để lấy thông tin từ Active Directory. vì vậy nó chỉ tạo một cảm giác rằng Outlook sẽ có thể lấy thông tin từ Active Directory. Đây cũng là một cách trong việc truy cập vào thông tin dịch vụ thư mục. Giao thức LDAP chạy trên phần đỉnh của giao thức TCP/IP.ĐHSPHN 13 . có rất nhiều sản phẩm của nhóm thứ ba được thiết kế để tương tác với Active Directory. Active Directory được dựa trên một chuẩn có tên gọi là X. Trong môi trường Active Directory.

DC=Contoso. mọi thứ trở thành rõ ràng ngay lập tức. 5. DC=com Tên được tạo thành từ 4 cặp thuộc tính/ giá trị khác nhau. Có nhiều thành phần khác nhau trong tên phân biệt nhưng một số cái chung là một tên chung (được viết tắt là CN) và một miền tên (viết tắt là DC).ĐHSPHN 14 . DC=com. ví dụ. Các thuộc tính và giá trị luôn luôn phân biệt với nhau bởi dấu bằng (=). Cặp thuộc tính/ giá trị thứ nhất là CN=USER1.2 Các tên phân biệt Khi ta xem tên CN=User1. mỗi một cặp được phân biệt với nhau bằng dấu phẩy. Trong cặp này. DC=com Các tên phân biệt không duy nhất có trong Active Directory. CN=User1. CN (viết tắt cho Common Name) là thuộc tính và User1 là giá trị. cho rằng miền Contoso. tên phân biệt của tài khoản người dùng sẽ là: CN=User1. DC=Contoso.). giao thức không được thiết kế để tận dụng ngăn xếp giao thức TCP/IP).Active Directory Mạng máy tính Giao thức LDAP là bất cứ tên nào được đặt cũng đều phải được phân biệt. Trong trường hợp như vậy. Microsoft đã xây dựng Active Directory để lợi dụng các chuẩn công nghiệp được sử dụng bởi nhiều công ty khác như Novell và IBM. CN=Users. 5. Trong trường hợp riêng này. Nếu quan sát kỹ hơn tên phân biệt này có thể nhận ra rằng nó là hệ có thứ bậc. Ví dụ. CN=Users. Tên Mỗi đối tượng trong Active Directory đều được quy vào một tên phân biệt (thường được viết tắt là DN). các thuộc tính này được gán giá trị. còn các cặp thuộc tính/ giá trị được phân biệt với nhau bằng dấu phẩy (.Khoa Công nghệ thông tin . Nguyễn Thị Thu Huyền K54A . CN=Users. DC=com thể hiện mức cao của thứ bậc.1 Các nguyên tắc đặt tên cơ bản Các tên phân biệt với nhau nhờ thuộc tính.com gồm có một tài khoản có tên là User1 và tài khoản này được định vị trong thư mục Users. Tên phân biệt được dựa trên vị trí của đối tượng bên trong thứ bậc thư mục. DC=Contoso. ta không chỉ có được sự chuẩn bị tốt hơn cho việc quản lý Active Director mà còn có được một mức thân thiện nhất định nếu như đã từng được yêu cầu làm việc với hệ điều hành mạng không phải của Microsoft. Khi nghiên cứu về chúng. 5. Mỗi một tên phân biệt thường gồm có nhiều cặp giá trị thuộc tính. bởi vì không có gì là ít quan trọng về nó (nó quan trọng hơn giao thức truy cập thư mục gốc.

nó chiếu theo RFC 2253 để thiết lập các nguyên tắc cho tên riêng biệt. DC=com.com hay không? Trong tình huống này cũng như vậy. RDN luôn luôn được phân biệt của bộ nhận dạng rõ ràng nhất. Dấu này cho phép ta đưa ra một lệnh LDAP để bỏ qua kí tự theo sau. tên cha sẽ là CN=Users. có thể biết chính xác nơi một đối tượng cụ thể được định vị bên trong thư mục. Lý do khác là hiểu được bản chất của thứ bậc thư mục vì đôi khi các đường tắt sẽ được sử dụng để thay cho tên đầy đủ.Khoa Công nghệ thông tin . Đôi khi LDAP cũng thực hiện tương tự như vậy.ĐHSPHN 15 .com thì có thực sự cần thiết để tuyên bố rõ ràng rằng các đối tượng đều được đặt trong Users của miền Contoso. Thứ bậc miền ‘nhại lại’ thứ bậc miền được sử dụng bởi các máy chủ DNS Cần phải hiểu thứ bậc tên này làm việc như thế nào vì hai lý do. Nó là cặp giá trị/ thuộc tính bên trái nhất trong tên phân biệt. Thứ nhất. Các tên của Microsoft thiên về dựa vào container và miền. Tên phân biệt này được gán cho mỗi một tài khoản người dùng (chính xác hơn là một đối tượng người dùng) có tên User1. DC=Contoso. CN=User1. Điều này hoàn toàn có thể vì nó không cần thiết phải cung cấp thông tin về vị trí của đối tượng trong thứ bậc nếu vị trí đã được biết. DC=Contoso. chúng ta hãy xem xét một tên đầy đủ được Nguyễn Thị Thu Huyền K54A . Nếu ta đang cố nói với một ai đó về vấn đề này thì có thể tình cờ đề cập đến nó như User1. thì RDN là CN=User1. Phần còn lại trong tên cho chúng ta biết vị trí của đối tượng trong thứ bậc thư mục. nếu đang thực hiện một số hoạt động trên các đối tượng người dùng được đặt trong thư mục Users trong miền Contoso. CN=Users. Để rõ hơn nó được sử dụng như thế nào. dấu lớn hơn. Có thể nói rằng COM và Contoso là các miền bởi vì cả hai sử dụng thuộc tính DC. Phần khác của tên phân biệt cũng được biết đến như tên cha.back slash (\). tên phân biệt thường được thay thế bởi Relative Display Name (viết tắt là RDN). CN=Users. nhỏ hơn.Active Directory Mạng máy tính DC=Contoso thể hiện mức thứ hai. DC=Contoso. DC=com. Trong trường hợp CN=User1. 5. Ta chỉ tập trung vào giới thiệu cho các ta dấu back slash. dấu trích dẫn và dấu xổ ngược . DC=com.3 Các kí tự đặc biệt trong tên Một số kí tự đặc biệt gồm có dấu cộng. Ví dụ. Trong trường hợp điển hình này. số. Điều này cho phép lưu các kí tự bị cấm trong thư mục. hiểu thứ bậc.

Khoa Công nghệ thông tin . John Trong lệnh ở trên. Công cụ quản lý AD này cho phép sử dụng hầu hết các nhiệm vụ quản lý hàng ngày đó là Directory Users và Computers console. Tất cả các mục khác được liệt kê bên dưới đều là đối tượng của miền AD cho từng miền. Dấu back slash có thể được sử dụng để áp đặt LDAP bỏ qua các dấu back slash khác. John trong thư mục. AD có forest. Ta có thể truy cập vào công cụ này bằng cách kích chuột vào nút Start của máy chủ và từ menu Start tìm đến All Programs / Administrative Tools. Có một quy tắc đặc biệt với việc sử dụng dấu back slash bên trong các dấu trích dẫn. Directory Users và Computers console Windows Server 2003 có một số công cụ khác được sử dụng cho việc quản lý AD.ĐHSPHN 16 .Active Directory Mạng máy tính biểu diễn với tên và họ cách nhau bằng dấu phẩy. ta có thể thực hiện bằng các tạo một dấu back slash như dưới đây: CN=Smith\. Ta phải chú ý. Mặc dù forest thể hiện toàn bộ AD nhưng bảng điều khiển Active Directory Users and Computers không cho phép làm việc với AD ở mức forest. vì vậy nếu không quan sát thấy lệnh Active Directory Users and Computers thì phải đăng nhập vào bộ điều khiển miền.com là một miền trên mạng. Production.com được đánh dấu. Giao diện này chỉ là một công cụ mức miền. forest này gồm có một hoặc nhiều miền. Chỉ có các bộ điều khiển miền mới có tùy chọn này. John vì dấu phẩy được sử dụng bởi LDAP để phân biệt các cặp thuộc tính/ giá trị. Như tên của nó. Khi mở mục Active Directory Users and Computers. Nếu muốn lưu giá trị Smith. Các trường hợp sự dụng dấu back slash giữa dấu trích dẫn được xem như không hợp lệ. Ta có thể xem lại từ các phần trước trong loạt bài này. dấu back slash làm cho LDAP phải coi dấu phẩy là dữ liệu chứ không phải là một phần của cú pháp câu lệnh. sẽ thấy xuất hiện một màn hình giống như hình 6 dưới đây. Thực tế. nếu nhìn vào hình 6 sẽ thấy production. 6. Cách khác để thực hiện điều này là dùng dấu trích dẫn. Nguyễn Thị Thu Huyền K54A . Tùy chọn Active Directory Users and Computers ở gần phía trên của menu Administrative Tools. Để đơn giản. công cụ này được sử dụng để tạo. menu Administrative Tools gồm có một cặp công cụ AD khác: Active Directory Domains and Trusts và Active Directory Sites and Services. Tuy nhiên LDAP không cho phép ta sử dụng lệnh CN=Smith. quản lý và xóa các tài khoản người dùng và máy tính. Mọi thứ bên trong dấu trích dẫn đều được coi như dữ liệu. nếu ta cần gộp một dấu back slash vào phần dữ liệu thì đơn giản ta chỉ cần sử dụng hai dấu back slash thay cho một dấu.

Tất cả những gì cần phải làm lúc này là kích chuột phải vào miền đang được hiển thị. Điều đó là vì Active Directory Users and Computers chỉ liệt kê một miền tại một thời điểm để giữ cho giao diện trông gọn gàng. Nevada thì nó sẽ không phải di chuyển một quãng đường lớn dọc toàn nước Mỹ mỗi khi ta cần quản lý miền Las Vegas. ta đã đăng nhập vào một trong các bộ điều khiển miền đó là production. sau đó chọn lệnh Nguyễn Thị Thu Huyền K54A . Nếu lúc này ta đang ở Miami.Khoa Công nghệ thông tin . Ví dụ. Miền được liệt kê trong giao diện tương ứng với bộ điều khiển miền mà ta đã đăng nhập. Ví dụ.Active Directory Mạng máy tính Hình 6: Giao diện Active Directory Users and Computers cho phép quản lý các miền riêng lẻ Ta có thể thấy rằng production.com. vì vậy Active Directory Users and Computers sẽ kết nối đến miền production. Vấn đề ở đây là các miền đó thường bị phân tán về mặt địa lý. nhưng vẫn có thể sử dụng giao diện này để hiển thị bất kỳ miền nào mà ta có quyền thao tác với chúng. trong công ty lớn phải có các miền khác nhau cho mỗi văn phòng của công ty.com.com là một trong các miền trên mạng và không có miền nào khác được liệt kê trong hình 6.ĐHSPHN 17 . Florida và miền khác của công ty hiện diện cho một văn phòng tại Las Vegas. Mặc dù Active Directory Users and Computers mặc định hiển thị miền có liên quan đến bộ điều khiển miền mà ta đã đăng nhập.

Trong một số trường hợp load giao diện theo cách này có thể gây ra lỗi. Nếu xuất hiện lỗi và giao diện không cho phép quản lý miền sau khi kích chuột phải trên mục Active Directory Users and Computers và chọn lệnh Connect to Domain Controller từ menu chuột phải. Trong môi trường Windows Server 2003 ta có thể kích hoạt một phiên từ xa bằng cách kích chuột phải vào My Computer và chọn lệnh Properties từ menu chuột Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Connect to Domain từ menu chuột phải. Khi thực hiện xong máy chủ sẽ mở một Microsoft Management Console trống. RDP là giao thức máy trạm từ xa (Remote Desktop Protocol). Windows lúc này sẽ mở cửa sổ thuộc tính của Add / Remove Snap-In. trong một số văn phòng. Khi thực hiện như vậy sẽ có một màn hình được hiển thị. Ta có thể truy cập giao diện này với tư cách máy chủ thành viên bằng cách nạp một cách thủ công nó vào Microsoft Management Console. ta nhập lệnh MMC vào cửa sổ lệnh RUN của máy chủ. sẽ thấy một danh sách các snap-in có sẵn. Chọn tùy chọn Active Directory Users and Computers từ danh sách snap-in đó và kích Add. Giao diện điều khiển lúc này sẽ được nạp. Lúc này ta có thể kết nối giao diện điều khiển đến một bộ điều khiển miền nào đó mà không cần đăng nhập vào bộ điều khiển miền đó. Bằng cách đó ta sẽ có thể quản lý được miền giống như trong giao diện điều khiển của bộ điều khiển miền. tiếp theo đó là Close và OK. Ví dụ. trong đó các bộ điều khiển miền được đặt trong các tòa nhà riêng biệt hoặc không có điều kiện thuận lợi cho ta đăng nhập vào bộ điều khiển miền để thực hiện công việc bảo trì hàng ngày. màn hình này cho phép đánh vào đó tên miền mà ta muốn kết nối hoặc kích vào nút Browse và duyệt miền.Khoa Công nghệ thông tin . Kỹ thuật đó làm việc sẽ rất thú vị nếu ta có một máy chủ . Giao thức này sẽ cho phép điều khiển từ xa các máy chủ trong tổ chức. Để thực hiện điều đó. Khi một miền được đặt ở xa thì ta có thể rất khó để đăng nhập trực tiếp vào bộ điều khiển miền. Tiếp theo đó ta chọn lệnh Add / Remove Snap-In từ menu File của giao diện điều khiển.ĐHSPHN 18 . Kích nút Add trên tab Standalone trong cửa sổ thuộc tính. nhưng điều gì sẽ xảy ra nếu máy trạm làm việc đang sử dụng Windows Vista. Một trong những giải pháp đơn giản nhất để giải quyết vấn đề này đó là thiết lập một phiên RDP cho một trong những máy chủ. và tất cả máy chủ đều nằm bên phía bên kia của tòa nhà. Tuy nhiên ta không cần phải đăng nhập vào bộ điều khiển miền để truy cập vào giao diện Active Directory Users and Computers mà chỉ cần đăng nhập vào bộ điều khiển miền để truy cập vào giao diện Active Directory Users and Computers từ menu Administrative Tools.

ĐHSPHN 19 . Khi đó ta sẽ thấy đươc cửa sổ thuộc tính của hệ thống.Active Directory Mạng máy tính phải. Hình 7: Cấu hình một máy chủ để hỗ trợ các kết nối máy trạm từ xa (Remote Desktop) Để kết nối đến máy chủ từ máy Windows Vista. Khi thực hiện xong. ta sẽ thấy màn hình xuất hiện như màn hình thể hiện dưới hình C. Nguyễn Thị Thu Huyền K54A .chọn lệnh Remote Desktop Connection từ menu All Programs / Accessories. Vào tab Remote và chọn hộp kiểm Enable Remote Desktop on this Computer (xem hình 7).Khoa Công nghệ thông tin . Lúc này hãy nhập vào tên máy chủ của ta và kích nút Connect để thiết lập một phiên điều khiển xa.

Active Directory Mạng máy tính Hình 8: Có thể kết nối đến một máy chủ từ xa dễ dàng hơn bằng Windows Vista 7. Tạo một tài khoản người dùng (User Account) Một trong những sử dụng thấy nhiều nhất ở Active Directory Users trong Computers console là tạo các tài khoản người dùng mới. Sau khi thực hiện như vậy. ta mở mục tương ứng với miền chứa người dùng.ĐHSPHN 20 . Để thực hiện điều đó. một panel chi tiết của giao diện sẽ hiển thị tất cả tài khoản người dùng đang tồn tại trong miền (như trong hình 9). giao diện điều khiển sẽ hiển thị tất cả các tài khoản người dùng trong miền Nguyễn Thị Thu Huyền K54A . Hình 9: Chọn mục Users.Khoa Công nghệ thông tin . chọn mục Users.

Active Directory là một cơ sở dữ liệu mà ta có thể truy vấn thông tin. Các thành phần như tên và họ là thuộc tính của đối tượng người dùng mà ta đang tạo. Khi đó sẽ thấy một hộp thoại xuất hiện như trong hình 10. Trong thực tế. Users chỉ là một mục và ta có thể đưa vào rất nhiều kiểu đối tượng. Càng nhiều thông tin về thuộc tính thì các thông tin được lưu bên trong Active Directory sẽ càng trở lên hữu dụng.Khoa Công nghệ thông tin . Xét cho cùng. từ menu con này có thể chọn nhiều kiểu đối tượng khác nhau mà ta có thể tạo. Windows ban đầu chỉ yêu cầu nhập vào một số thông tin cơ bản về người dùng. vì tài khoản người dùng không hơn gì một đối tượng sẽ cứ trú bên trong Active Directory. Mặc dù cửa sổ này hỏi nhiều thứ khác như tên và họ. ta nên điền đầy đủ thông tin vào các trường này.ĐHSPHN 21 . khi đó ta sẽ thấy màn hình tiếp theo xuất hiện như trong hình 11 dưới đây. kích nút Next. nhưng về mặt kỹ thuật thì nó không cần thiết lắm. Tuy vậy sẽ không tốt nếu ta thực hiện lưu nhiều đối tượng khác hơn là các đối tượng người dùng trong mục Users. Hình 10: Hộp thoại New Object – User cho phép tạo tài khoản người dùng mới Như những gì thấy trong hình. Khi đã điền đầy các trường này.Active Directory Mạng máy tính Bây giờ kích chuột phải vào mục Users và chọn New. ta chọn lệnh Users từ các menu con. Khi đó ta sẽ thấy được các menu con. nhiều ứng dụng làm việc bằng cách trích rút các thuộc tính khác nhau từ Active Directory. Nguyễn Thị Thu Huyền K54A . Nói về kỹ thuật. Phần thông tin cần thiết mà ta cần phải cung cấp đó là tên đăng nhập của người dùng. Với trường hợp bài này đưa ra.

Ta có thể tùy chọn để thiết lập thời hạn vô hạn cho mật khẩu hoặc vô hiệu hóa toàn bộ tài khoản. Cũng có nhiều hộp kiểm khác cho phép ngăn chặn người dùng thay đổi tất cả các mật khẩu của họ.Active Directory Mạng máy tính Hình 11: Cần phải gán mật khẩi cho tài khoản mới Việc gán một mật khẩu là hoàn toàn đơn giản. Có một điều cần phải lưu ý là màn hình để thiết lập mật khẩu ở trên không phải là tất cả. 8.Khoa Công nghệ thông tin . Nguyễn Thị Thu Huyền K54A . Chỉnh sửa và bổ sung các thuộc tính của tài khoản Active Directory gồm nhiều thuộc tính kèm theo có liên quan đến các tài khoản của người dùng. người dùng thường bị yêu cầu thay đổi mật khẩu cho lần đăng nhập kế tiếp. Kích Next ta sẽ thấy một màn hình hiển thị toàn bộ các tùy chọn mà ta đã chọn. khi đó chỉ cần kích Finish và một tài khoản người dùng mới sẽ được tạo. Tuy vậy. Xác nhận tất cả các thông tin đều đúng. Mặc định. tất cả những gì cần làm là đánh và nhập lại mật một mật khẩu. ta có thể tránh trường hợp này bằng cách xóa hộp kiểm “User Must Change Password at Next Logon”. Nếu mật khẩu sử dụng không có các yêu cầu cần thiết đã được đưa ra bởi chính sách nhóm có thể áp dụng thì tài khoản người dùng này sẽ không được tạo. Khi ta gán mật khẩu cho một tài khoản người dùng mới. mật khẩu này phải tuân theo chính sách bảo mật của công ty ta.ĐHSPHN 22 .

ĐHSPHN 23 . đơn giản ta chỉ cần kích chuột phải vào tài khoản người dùng được chọn. Sau khi thực hiện như vậy. Nếu có các thông tin liên hệ của người dùng được lưu trong Active Directory thì ta có thể tra cứu số điện thoại của người dùng một cách dễ dàng và gọi cho người dùng này yêu cầu họ đăng xuất. Các thuộc tính đang cư trú mà có liên quan đến thông tin liên hệ cơ bản. với mục đích cần khởi động lại một máy chủ. sau đó chọn Properties. nó vẫn là một ý tưởng tốt cho việc định cư thông tin tài khoản người dùng trong Active Directory.Khoa Công nghệ thông tin . Ví dụ. trong khi đó một người dùng vẫn đăng nhập vào ứng dụng cư trú trên máy chủ.Active Directory Mạng máy tính Có một số thuộc tính mà ta có thể rất dễ sử dụng và có ích. ta sẽ gặp một màn hình như trong hình 11. Nguyễn Thị Thu Huyền K54A . một số công ty thường tạo các thư mục công ty dựa trên thông tin được lưu trong thuộc tính Active Directory này. Trong thực tế. Hình 11: Trang thuộc tính của người dùng được sử dụng để lưu thuộc tính và thông tin cấu hình cho tài khoản người dùng. Để truy cập vào các thuộc tính tài khoản người dùng khác nhau.

tab General có thể cho phép thay đổi tên hoặc tên hiển thị của người dùng.Khoa Công nghệ thông tin . gán cho người dùng một địa chỉ email duy nhất. Nếu quan tâm đến việc lưu trữ thêm các thông tin chi tiết hơn về người dùng thì ta có thể duyệt qua các tab Address. Nếu cần phải thiết lập lại mật khẩu của người dùng thì ta phải đóng cửa sổ này. Điều này có nghĩa là ta hoàn toàn có thể kiểm tra hành động trực tuyến của người dùng và cũng có thể trao cho tài khoản người dùng một tập hợp cho phép. Bằng việc sử dụng các công nghệ quản lý tốt ngay từ khi bắt đầu sẽ giúp ta tránh được những cơn ác mộng sau này. Hầu hết các tab này đều liên quan đến bảo mật và cấu hình cho tài khoản người dùng. và ta cần phải đồng ý cho một người dùng truy cập (đọc) thư mục Data này. Dù ta quản lý một mạng rất nhỏ thì cũng nên xử lý mạng nhỏ này như nó là một mạng lớn. 10. 9. hãy tạo một nhóm.ĐHSPHN 24 . Các tab này có tất cả các trường dành cho việc lưu trữ thông tin chi tiết hơn về người dùng. Một thành phần mà hầu hết các quản trị viên mới dường như đều phát hiện ra khi khám khá các tab này đó là không có tùy chọn cho việc thiết lập lại mật khẩu của người dùng. sau đó tạo cho người dùng là một thành viên trong các nhóm đó. Nguyễn Thị Thu Huyền K54A . Ta cũng có thể điền vào (hoặc thay đổi) một số trường khác như phần mô tả. Giả dụ rằng một trong số các máy chủ file có một thư mục tên Data. điện thoại. Điều này có thể gây ra một chút phức tạp. Khi các thiết lập bảo mật được gán ở mức nhóm thì ta sẽ không bao giờ nên gán các cho phép trực tiếp đến tài khoản người dùng mà thay vì đó ta nên gán sự cho phép cho một nhóm. hoặc website. Sau khi thực hiện điều đó. và có được tất cả các cần thiết khác của mỗi người. Tài khoản người dùng cho phép một người dùng được phân biệt với các người dùng khác trên mạng. bởi vì ta sẽ không thể biết được mạng của ta sẽ phình ra trở thành một mạng lớn vào khi nào. và Organization. email. Một nhóm có thể gồm có nhiều tài khoản người dùng. Tạo các nhóm Trong môi trường miền. ta kích chuột phải vào tài khoản người dùng và chọn lệnh Reset Password trong menu chuột phải. Telephones.Active Directory Mạng máy tính Như có thể thấy được trên hình. Xác lập lại mật khẩu người dùng Ta có thể thấy trên hình 11 có rất nhiều tab khác nhau. văn phòng. Thay vì gán trực tiếp sự cho phép cho người dùng. các tài khoản người dùng là rất cần thiết.

biểu tượng một đầu người được sử dụng cho tài khoản người dùng. vì nhóm này sẽ được sử dụng để bảo vệ thư mục Data. sẽ thấy xuất hiện một màn hình tương tự như màn hình được hiển thị trong hình 12. Nguyễn Thị Thu Huyền K54A . Lưu ý rằng. Để dễ dàng cho quản lý. chọn lệnh New | Group. Hình 12: Nhập vào tên nhóm mà ta đang tạo Kích OK. Khi giao diện được mở. chúng ta hãy gọi nhóm này là Data. điều đó chỉ thị rằng nó là một nhóm. và nhóm Data sẽ được bổ sung vào danh sách người dùng như trong hình B. không quan tâm về phạm vi của nhóm hoặc các thiết lập kiểu của nó . kích chuột phải vào mục Users. Lúc này. biểu tượng của nhóm sử dụng hai đầu người. Bằng cách làm như vậy.ĐHSPHN 25 . bạn mở Active Directory Users and Computers console. ta cũng phải gán tên cho một nhóm.Khoa Công nghệ thông tin .Active Directory Mạng máy tính Để thực hiện điều đó. Tối thiểu.

Active Directory Mạng máy tính Hình 13: Nhóm Data được bổ sung vào danh sách người dùng Bây giờ kích đúp vào nhóm Data. Ta có thể thấy những gì trong tab này thông qua hình 13. Chọn tab Members của trang thuộc tính.ĐHSPHN 26 . kích nút Add. Nguyễn Thị Thu Huyền K54A . Lúc này ta hoàn toàn có thể bổ sung thêm các tài khoản người dùng vào nhóm. ta sẽ thấy trang thuộc tính của nhóm.Khoa Công nghệ thông tin . Các tài khoản bổ sung là các thành viên nhóm.

Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Hình 14: Tab Members liệt kê tất cả các thành viên của nhóm Lúc này là thời điểm đưa nhóm ra làm việc. có một số quyền được áp dụng đối với thư mục một cách mặc định. kích nút Add.Khoa Công nghệ thông tin . chọn lệnh Properties. ta kích chuột phải vào thư mục Data. Khi được nhắc nhở. Có thể thấy trong hình 14. Vào tab Security của trang này. ta hoàn toàn có thể thiết lập một tập các cho phép (điều khoản) đối với nhóm. Bất cứ điều khoản nào áp dụng cho nhóm cũng được áp dụng cho các thành viên của nhóm. Khi đó ta sẽ thấy xuất hiện trang thuộc tính của thư mục. ta nhập vào tên của nhóm đã tạo (Data) và kích OK. Tốt nhất nên xóa các quyền này (Users group) ra khỏi danh sách điều khiển truy cập để ngăn chặn các mâu thuẫn điều khoản. Để thực hiện điều này.ĐHSPHN 27 .

Các nhóm bảo mật.Khoa Công nghệ thông tin . Bất cứ thời điểm nào những người dùng khác cần truy cập vào thư mục. quá trình này trở nên đơn giản rất nhiều. Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Hình 15: Nhóm Data được bổ sung vào danh sách điều khiển truy cập của thư mục Sẽ mất rất nhiều công sức để tìm ra được người dùng nào đã truy cập vào tài nguyên? Khi các nhóm được sử dụng. hãy xem các nhóm nào đã truy cập vào thư mục đó trước như trong hình 15. việc tìm ra ai có các quyền truy cập vào thư mục cũng đơn giản như việc kiểm tra danh sách các thành viên nhóm (như trong hình 14). hãy bổ sung tên của họ vào danh sách thành viên nhóm.ĐHSPHN 28 . Khi đã xác định được nhóm có thể truy cập vào thư mực. Nếu ta cần biết người dùng nào đã truy cập vào thư mục. Ngược lại. 11. ta cũng có thể xóa các điều khoản cho thư mục bằng các xóa tên của người dùng khỏi danh sách thành viên.

Các bộ điều khiển miền không cho phép tồn tại các tài khoản người dùng cục bộ.1 Local Group Các nhóm local là các nhóm riêng cho từng máy tính. 11. Mạng máy tính Hình 16: Windows cho phép ta tạo một số kiểu nhóm khác nhau. global. Cần lưu ý những vấn đề đó thì ta sẽ không hề ngạc nhiên khi các nhóm đó chỉ đơn giản là các nhóm riêng cho từng máy chủ thành viên hay máy trạm làm việc.ĐHSPHN 29 . Một nhóm local thường được sử dụng để quản lý các tài khoản người dùng cục bộ. Nguyễn Thị Thu Huyền K54A . Ta sẽ biết về nó ngay bây giờ. Thêm nữa. nhóm local Administrators cho phép ta có thể chỉ rõ người dùng nào là quản trị viên trên máy tính cục bộ. và chúng chỉ có khả năng truy cập từ máy tính mà chúng cư trú. hay universal.Active Directory Mỗi một kiểu nhóm có một mục đích cụ thể.Khoa Công nghệ thông tin . ta sẽ thấy được vùng Group Scope cung cấp một số tùy chọn để tạo nhóm domain local. nó được gọi một cách đơn giản là nhóm local. Chúng được biết đến như các tài khoản người dùng cục bộ. các máy tính cục bộ có thể gồm có nhiều tài khoản người dùng độc lập hoàn toàn với các tài khoản thuộc về miền máy tính đó được kết nối tới. Ví dụ. Nếu nhìn vào hộp thoại hiển thị bên trên. các tài khoản người dùng cục bộ cũng chỉ có thể tồn tại trên các máy trạm và trên các máy chủ thành viên. Ngoài ra cũng có một kiểu nhóm thứ 4 không được hiển thị ở đây.

Ở đây.ĐHSPHN 30 . Chú ý. các thành viên của nhóm universal về cơ bản sẽ trở thành các thành viên của nhóm local. Ta dường như cảm thấy có thể thả một nhóm này vào trong một nhóm khác. một nhóm local không thể chứa một nhóm local khác. các nhóm local và tài khoản người dùng cục bộ được chuyển đổi vào các nhóm domain local và tài khoản người dùng domain. Khi ta chạy DCPROMO. một nhóm local có thể gồm local user. Trong cả hai trường hợp đó thì tài khoản người dùng cục bộ và nhóm cục bộ đều được tạo ra trong suốt quá trình cài đặt. Trong thực tế. Một vấn đề khác nữa là các nhóm local đó chỉ có thể gồm domain users và domain level groups nếu máy tính gồm nhóm local là một thành viên thuộc miền. nhưng không thể làm như vậy với nhóm local.Khoa Công nghệ thông tin . Một số thành viên tại Microsoft đã có lần giải thích lý do cho vấn đề này là để ngăn chặn một tình huống mà ở đó hai nhóm local trở thành các thành viên của nhau. domain user. Đây chính là nơi các nhóm domain local thực hiện vai trò của nó. Khi ta cài đặt Windows Server 2003 trên một máy tính. máy tính sẽ được bắt đầu như một máy chủ độc lập hay một máy chủ thành viên chẳng hạn. Ví dụ. ta có thể tạo cho một nhóm universal một thành viên của nhóm local. Điều này có nghĩa rằng không có các thứ khác như vậy khi người dùng cục bộ hay các nhóm local trên một bộ điều khiển miền. Thậm chí các bộ điều khiển miền có các tài nguyên cục bộ cần được quản lý. Hơn nữa các nhóm local cũng có thể gồm có cả các nhóm khác cư trú ở mức miền. domain local group. tất cả các bộ điều khiển miền bên trong một miền đều chia sẻ một cơ sở dữ liệu tài khoản người dùng chung với nhau. Trong khi đó một nhóm local có thể và thường gồm những người dùng cục bộ thì nó cũng gồm có cả các người dùng trong miền. Ngược lại.Active Directory Mạng máy tính Mặc dù nhóm local chỉ có thể được sử dụng để bảo đảm việc cư trú của tài nguyên trên máy tính cục bộ nhưng điều đó không có nghĩa rằng các thành viên trong nhóm cũng bị hạn chế đối với những người dùng cục bộ này. global group và universal group. Điều đó có nghĩa là nếu ta thêm một người dùng vào nhóm domain local trên một bộ điều khiển miền thì người dùng này sẽ Nguyễn Thị Thu Huyền K54A .2 Domain Local Groups Ý tưởng của nhóm domain local dường như hoàn toàn trái ngược với Local. Lý do tại sao các nhóm domain local tồn tại là vì các bộ điều khiển miền không có cơ sở dữ liệu tài khoản cục bộ. nhóm local chỉ có thể gồm local users. 11. Bây giờ mục đích của ta là muốn chuyển đổi một máy vào một bộ điều khiển miền.

Như chúng tôi đã đề cập tới. nhóm local được chuyển đổi thành các nhóm domain local. Hay nói cách khác ta không thể tạo cho các nhóm này là thành viên của nhóm domain local khác.ĐHSPHN 31 . Các nhóm domain local là có hai kiểu khác nhau. 11. xem hình B.Active Directory Mạng máy tính là một thành viên của nhóm domain local trên mọi bộ điều khiển miền trong tòan bộ miền.Khoa Công nghệ thông tin . Bất kỳ nhóm domain local nào được tạo ra bằng việc chạy DCPROMO đều được định vị trong thư mục Builtin trong Active Directory Users and Computers console. ta hoàn toàn thoải mái chuyển hoặc xóa chúng mặc theo ý thích của ta.3 Global Groups Nguyễn Thị Thu Huyền K54A . Hình 17: Các nhóm domain local đã tạo bởi DCPROMO cư trú trong Builtin container Vấn đề này khá quan trong là vì có một số hạn chế áp đặt trên một số nhóm domain local. Các nhóm bị hạn chế này không thể bị chuyển hoặc bị xóa. khi DCPROMO được chạy. Các nhóm domain local mà ta tại sẽ tồn tại trong mục Users. Những hạn chế này không áp dụng cho các nhóm domain local mà ta tạo. Từ đó.

Thứ mà chúng ta cần quan tâm về các nhóm này là chúng có thể được đặt bên trong nhau. Cài đặt Active Directory trên một Forest mới. Nguyễn Thị Thu Huyền K54A . Ta có thể tạo cho nhóm global một thành viên của một nhóm global khác. Chính vì vậy ta không thể định vị một tài khoản người dùng nội bộ hoặc nhóm nội bộ trong nó. Cài đặt Multiple Domain cho một hệ thống. Cài đặt Active Directory trên Windows Server 2003 2. các nhóm global này chỉ có thể có tài nguyên Active Directory. Sau đó ta có thể bổ sung nhóm Managers vào nhóm local Administrators của máy trạm. nhóm global đơn giản chỉ làm việc như một bộ sưu tập các tài khoản người dùng Active Directory. theo cách đó ta đã làm cho các nhà quản lý của ta có được quyền của quản trị viên trên các máy trạm đó. Để thực hiện điều đó. Trong thực tế làm như vậy là cách thường được sử dụng nhất đối với việc cấp các quyền cho người dùng miền để họ có thể thao tác với các tài nguyên được lưu trên máy tính cục bộ. tránh các sự cố liên quan là điều cần thiết. miễn là cả hai nhóm này tồn tại bên trong cùng một domain. Cài đặt thêm một máy chủ Active Directory vào một Domain đã có 4. Cần phải lưu ý rằng. Backup Active Directory 3. bao gồm: 1. và các chính sách cũng như rất nhiều thông tin khác. Phần 2: Cài đặt một máy chủ Domain Controller cho một Domain Active Directory là dịch vụ hệ thống quan trọng bậc nhất với vai trò quản lý dữ liệu người dùng. Trong hầu hết các trường hợp. Mặc dù vậy ta lại vẫn có thể thêm vào nhóm global này một nhóm local. Ví dụ.ĐHSPHN 32 .Active Directory Mạng máy tính Global groups là một kiểu nhóm được sử dụng phổ biến nhất. ta có thể tạo một nhóm global có tên gọi Managers và đặt mỗi một tài khoản người dùng miền của người ta muốn làm trong nó. groups. máy tính. Để triển khai hệ thống Active Directory chuẩn. với mục đích ta muốn cho các nhà quản lý trong công ty có được các quyền quản trị viên đối với các máy trạm của họ (nên nhớ rằng đây chỉ là một ví dụ chứ không phải là một lời khuyên răn ta nên làm như vậy). a.Khoa Công nghệ thông tin . Sau đây tôi sẽ trình bày từ cài đặt 1 máy chủ Domain Controller cho một Domain tới cài thêm một máy chủ DC khác cho Domain đó.

Mạng máy tính Để có thể cài đặt và cấu hình lên một hệ thống như dưới đây.1 Cài đặt và cấu hình DNS Khi cài đặt Active Directory trên Windows Server 2003 thì nên cài đặt DNS trước với các thiết lập chuẩn.Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình.Khoa Công nghệ thông tin . . Cài đặt Active Directory trên Windows Server 2003 1. Nguyễn Thị Thu Huyền K54A . .Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập của mình vào trong DNS. Cài đặt Active Directory trên một domain con 5. 1. Chuyển Master của Domain. Đổi tên Domain 6.ĐHSPHN 33 .Active Directory b.

Active Directory Mạng máy tính a.11. b.Tạo Zone trong DNS: Vào Start à Administrative Tools à DNS sẽ xuất hiện cửa sổ DNS.100. Đặt địa chỉ IP cho máy chủ . DNS cũng là 192. Kết thúc cài đặt .11.Static IP và DNS vào DNS của chính máy mình. Trong phần tạo Zone này các bạn sẽ phải tạo dạng Forward Lookup Zone Dạng Primary Zone.Khoa Công nghệ thông tin .Trong cửa sổ Manage Your Server chọn phần đầu tiên Add or Remove a Role rồi chọn cài đặt DNS nhấn Next và hệ thống sẽ yêu cầu bạn bộ cài Windows Server 2003 bạn cho đĩa CD hoặc trỏ đường dẫn tới thư mục i386 của bộ cài là OK.168.Chuột phải vào Forward Lookup zone chọn New Zone.ĐHSPHN 34 . Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là 192. Nguyễn Thị Thu Huyền K54A .168. .Vào Start à chọn Administrative Tools à Manage Your Server .100. Cài đặt và cấu hình DNS .

chọn Allow Dynamic Update đây là bắt buộc để khi cài đặt Active Directory sẽ tự động ghi các Record vào DNS Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Nhấn Next hệ thống yêu cầu tên Zone cần tạo tôi chọn là vnexperts.Khoa Công nghệ thông tin .ĐHSPHN 35 .net Sau khi gõ tên đầy đủ của Zone cần tạo ra bạn nhấn Next để thực hiện bước tiếp tục.

.Active Directory Mạng máy tính Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS.Khoa Công nghệ thông tin . ta vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS. Nguyễn Thị Thu Huyền K54A . nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên Zone vừa tạo ra. Công việc chưa kết thúc.Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory.ĐHSPHN 36 .

Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Chỉnh lại NS Record bằng cách tương tự.ĐHSPHN 37 .Khoa Công nghệ thông tin .

Active Directory

Mạng máy tính

Tạo ra một Record để kiểm tra xem hệ thống DNS hoạt động đã chuẩn hay chưa. Ở đây ta tạo ra một Host A record là Server01.vnexperts.net địa chỉ IP là 192.168.100.11. - Chuột phải vào vnexperts.net Zone chọn Host A record

Nguyễn Thị Thu Huyền

K54A - Khoa Công nghệ thông tin - ĐHSPHN

38

Active Directory

Mạng máy tính

Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn: Ping server01.vnexperts.net nếu có reply là ok.

OK hoàn tất quá trình cài đặt và thiết lập DNS chuẩn bị cho việc cài đặt Active Directory. 1.2 Cài đặt Active Directory trên máy chủ Windows Server 2003 Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
39

Active Directory

Mạng máy tính

Chúng ta có thể vào cửa sổ Manage Your Server chọn Add or Remove a Role để cài đặt Active Directory nhưng cách mọi người hay sử dụng là vào Run gõ dcpromo. - Vào Run gõ dcpromo sẽ xuất hiện cửa sổ sau

Các bạn nhấn Next để tiếp tục quá trình cài đặt Active Directory. Vào cửa sổ giới thiệu tương thích với các Windows của Active Directory.

Nguyễn Thị Thu Huyền

K54A - Khoa Công nghệ thông tin - ĐHSPHN

40

Active Directory Mạng máy tính Nhấn Next để tiếp tục. với thiết lập Hai hay nhiều DC cho một Domain đáp ứng được khi một máy chủ bị sự cố xảy ra thì hệ thống vẫn hoạt động bình thường.Domain Controller for a New domain: Là thiết lập tạo ra Domain Controller đầu tiên trong Domain . Nguyễn Thị Thu Huyền K54A . trong cửa sổ này bạn phải lựa chọn giữa hai Options: . Ở đây ta chọn Option: Domain Controller for a New Domain để cài đặt Máy chủ Domain Controller đầu tiên trên Domain.ĐHSPHN 41 .Additional domain Controller …: là lựa chọn để cài đặt them một máy chủ DC vào cho một Domain.Khoa Công nghệ thông tin .

net mà ta lại muốn cài đặt các domain con bên trong của nó như: mcsa.net thì ta phải lựa chọn Options này.Domain in a new forest: Cài đặt máy chủ Domain Controller đầu tiên trên Forest sẽ phải lựa chọn thiết lập này ví dụ ở đây ta cài cho domain đầu tiên là: vnexperts. . . Nguyễn Thị Thu Huyền K54A .ĐHSPHN 42 .vnexperts.vn cùng trong forest vnexperts.Cả hai options dưới là việc cài đặt Multiple.net phải lựa chọn Options này.Trong cửa sổ tiếp theo này có ba Options vô cùng quan trọng để khi bạn cài đặt Domain Controller. .Child domain in an existing domain tree: Nếu khi ta đã có domain vnexperts. .net ta sẽ phải lựa chọn Options này .Active Directory Mạng máy tính Sau khi lựa chọn Options trên bạn nhấn Next để tiếp tục quá trình cài đặt. hay ccna.Domain tree in an existing forest: Nếu ta muốn tạo một domain khác với tên vne.Khoa Công nghệ thông tin .vnexperts.net. cài đặt máy chủ Domain Controller đầu tiên trong Domain.

net Nguyễn Thị Thu Huyền K54A .ĐHSPHN 43 .Khoa Công nghệ thông tin .Active Directory Mạng máy tính Lựa chọn Options đầu tiên rồi nhấn Next tiếp tục quá trình cài đặt. Trong bước này hệ thống yêu cầu bạn là: Máy chủ Domain Controller này quản lý Domain tên là gì ta gõ vnexperts.

Khoa Công nghệ thông tin . Bạn để mặc định Nguyễn Thị Thu Huyền K54A .ĐHSPHN 44 .Active Directory Mạng máy tính Nhấn Next để tiếp tục. NetBIOS name chính là tên của Domain xuất hiện khi client đăng nhập vào hệ thống. lựa chọn NetBIOS name cho Domain.

Khoa Công nghệ thông tin . bạn cần phải thiết lập nơi lưu trữ thư mục SYSVOL đây là thư mục bắt buộc phải để trong Partition định dạng NTFS.ĐHSPHN 45 .Active Directory Mạng máy tính Nhấn Next bạn cần phải lựa chọn nơi chứa thư mục NTDS cho quá trình Replications của hệ thống Domain Controller: Nhấn Next để tiếp tục. với tác dụng chứa các dữ liệu để Replication cho toàn bộ Domain Controller trong Domain. Nếu mặc định hệ thống sẽ để tại thư mục %systemroot%\SYSVOL Nguyễn Thị Thu Huyền K54A .

. Nếu trong bước này mà hệ thống báo lỗi bạn cần phải thực hiện lại các bước trong cài đặt và thiết lập DNS. bước này hệ thống sẽ hiển thị các thông tin về DNS đã được cấu hình chuẩn chưa và các thông tin về Domain… thể hiện ở hình dưới đây.Active Directory Mạng máy tính Nhấn Next để tiếp tục.Ở đây toàn bộ đã thiết lập chuẩn Nguyễn Thị Thu Huyền K54A .Khoa Công nghệ thông tin .ĐHSPHN 46 .

và Windows 2003 Server. và lựa chọn Mode cho Domain. .Mix Mode là Active Directory được tạo ra bởi cả Windows NT Server.Ở đây trong bước này ta chọn là mode Native Nguyễn Thị Thu Huyền K54A . .Khoa Công nghệ thông tin . .Active Directory Mạng máy tính Giờ là bước bạn nhấn Next.Native Mode: Active Directory được tạo trên nền tảng Windows Server 2000 và Windows Server 2003 nên có gần như đầy đủ hết các tính năng cao cấp của Active Directory .Domain Function Level có 4 Mode là . Trong Mode này Active Directory không có một số tính năng cao cấp của Windows Server 2000.Interim Mode: được tạo ra bởi Windows NT và Windows Server 2003 tương tự như Mix Mode .2003 Mode: Là mode cao nhất hỗ trợ đầy đủ nhất toàn bộ các tính năng của Windows Server 2003. và Windows Server 2003. nhưng bạn sẽ phải buộc cài Mode này khi bạn Joint hệ thống windows 2003 mới vào hệ thống Windows NT cũ đang hoạt động. Windows 2000 Server.ĐHSPHN 47 .

Windows không cho can thiệp vào File.ĐHSPHN 48 . và khi đó bạn phải khởi động hệ thống vào Mode mà Active Directory không hoạt động thì mới Restore được. file. Password đặt trong phần này chính là Password để đăng nhập vào hệ thống khi Restore lại Active Directory. cho phép backup cả những dữ liệu.Khoa Công nghệ thông tin . service đang hoạt động.Nhưng khi bạn Restore lại sẽ là cả vấn đề. Nguyễn Thị Thu Huyền K54A . hay dữ liệu đang được sử dụng. Hệ thống yêu cầu thiết lập Password trong Restore Mode.Active Directory Mạng máy tính Nhấn Next để tiếp tục quá trình cài đặt. . .Khi bạn backup Active Directory là hoàn toàn dễ dàng trong Windows Server 2003 bởi hệ thống sử dụng cơ chế Shadow Backup.

Khoa Công nghệ thông tin .Hệ thống sẽ thông báo là Password đăng nhập vào Domain của User Administrator sẽ tương tự như Password đăng nhập của User Administrator trước khi cài Active Directory.Tương tự vậy các folder SYSVOL .ĐHSPHN 49 .Folder chứa dữ liệu của Active Directory là NTDS ở đâu .NetBIOS name ở đây là VNEXPERTS . Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Sau đặt Password bạn nhấn Next hệ thống sẽ cho bạn hiển thị toàn bộ thông tin như: .

Active Directory Mạng máy tính Nhấn Next bắt đầu tiến hành cài đặt Active Directory Nguyễn Thị Thu Huyền K54A .Khoa Công nghệ thông tin .ĐHSPHN 50 .

Active Directory Mạng máy tính Đợi vài phút cho đến khi hệ thống thông báo hoàn thành và yêu cầu khởi động lại là bạn đã hoàn tất quá trình cài đặt Active Directory trên máy chủ Windows Server 2003.Khoa Công nghệ thông tin .1 Công nghệ NTBACKUP trong Windows Server 2003.Nhưng trong Windows có một quy định là không cho can thiệp vào các file hay dữ liệu đang có một chương trình khác đang hoạt động hay đang sử dụng. Backup & Restore 2. Trong Windows Server 2003 có sử dụng một công cụ backup dữ liệu đó là: ntbackup. nhưng bạn không thể Restore lại được bởi Service này hoạt động Nguyễn Thị Thu Huyền K54A .NTBACKUP trong Windows Server 2003 sử dụng công nghệ backup là Shadow Copy để backup cả những dữ liệu đang hoạt động như SQL. hay dịch vụ Active Directory. và tránh được những sự cố đáng tiếc xảy ra.ĐHSPHN 51 . 2. . Backup và Restore là một trong những kiến thức vô cùng quan trọng trong việc đảm bảo hệ thống hoạt động một cách hiệu quả. . các file đang chạy hay các folder bị cấm truy cập… .Và hai điều này có nghĩa là bạn hoàn toàn có thể backup được Active Directory theo một cách nào đó.

Khi backup System State sẽ chứa toàn bộ thông tin của Active Directory. .ĐHSPHN 52 .Active Directory Mạng máy tính từ lúc hệ thống bắt đầu khởi động.Step 4: Khôi phục lại dữ liệu Active Directory vừa bị xoá.Log on vào máy chủ Domain Controller bằng user administrator . Step 1 . Triển khai.Step 3: Xoá OU và User vừa tạo ra .Phần trên ta đã có một Domain với tên miền là: vnexperts. Lý thuyết .Step 1: Tạo một OU trong Active Directory với tên MCSA trong OU này tôi tạo tiếp một User Name là Hoang Tuan Dat. b. Microsoft đã tính toán đến tình huống này . a.Khoa Công nghệ thông tin .2 Backup và Restore Active Directory trong máy chủ Domain Controllers. .net.cách Backup và Restore dữ liệu của Active Directory.Vào Start à All Programs à Administrative tools à Active Directory Users and Computers.net có máy chủ Domain Controller cài dịch vụ Active Directory là dc1.Step 2: Backup Active Directory . . 2.vnexperts. Nguyễn Thị Thu Huyền K54A .

net chọn New và Organizational Unit (OU) với tên MCSA .Ở đây ta tạo User tên Hoang Tuan Dat.Active Directory Mạng máy tính Chuột phải vào Active Directory domain vnexperts.Khoa Công nghệ thông tin . logon name là tocbatdat Nguyễn Thị Thu Huyền K54A .Vào trong OU MCSA kick chuột phải chọn New User Account .để tạo một tài khoản User mới. .ĐHSPHN 53 .

ĐHSPHN 54 . Nếu bạn muốn chỉnh lại để tạo ra User một cách đơn giản hơn phải chỉnh lại Default Domain Security Policy này và Local Policy của Máy chủ Domain Controllers. Tương tự chỉnh các thông số trong Password Policy. . Lưu ý một điều nếu Nguyễn Thị Thu Huyền K54A . . Tiếp đến bạn phải chỉnh hai thông số là Minimum Password Lengh.Cách chỉnh Default Domain Security Policy: Vào Startà All Programs à Administrative tools à Domain Security Policy.Vào Run gõ Gpupdate /force để apply sự thay đổi policy trong domain sau đó bạn phải chỉnh cả trong Local Policy của máy chủ Domain Controller nữa thì mới tạo được User ở dạng Password là chống (blank). Trong Cửa sổ chỉnh Policy bạn chọn chọn Account Policies à Password Policies.Khoa Công nghệ thông tin . .Vào Run gõ gpedit.Chú ý sau khi cài đặt Active Directory sẽ có một Default Domain Security Policy yêu cầu bất kỳ một user mới tạo ra đều phải có password nhỏ nhất là 7 ký tự và phải phức tạp.Active Directory Mạng máy tính Nhấn Next hệ thống yêu cầu gõ Password của user mới tạo ra là gì ta chọn Password là: Password12! .msc để chỉnh Local Policy cho máy chủ Domain Controllers. và Password must meet complexity Requirements (độ dài tối thiểu và phải phức tạp) nhấp đúp chuột trái sẽ xuất hiện như hình dưới đây bạn bỏ dấu Check Box – Define this policy setting – thực hiện với cả hai thiết lập.

Active Directory Mạng máy tính bạn chưa bỏ dấu check box trong Domain Policy thì vào Local Policy sẽ không chỉnh được các thông số này.Vào Run gõ ntbackup hệ thống sẽ hiện cửa sổ sau đây Nguyễn Thị Thu Huyền K54A .Khoa Công nghệ thông tin . và Disable Password must meet complexity requirements Vào Run gõ Gpupdate /force là OK giờ bạn có thể tạo user với password trắng Step 2 – Backup Active Directory .ĐHSPHN 55 .Chỉnh Minimum Password Lengh về 0. .

Khoa Công nghệ thông tin . ở đây ta chọn là lưu tại ổ C: và tên file là Backup.bkf . Registry.Nhấn Start Backup để bắt đầu Backup dữ liệu.Bạn muốn backup Active Directory bạn cần phải Backup System State.ĐHSPHN 56 . SYSVOL… . . Để ý thấy khi backup System State sẽ bao gồm rất nhiều thông tin: Active Directory. cần phải thiết lập nơi chứa file Backup. Boot Files.Active Directory Mạng máy tính Bạn chọn Advanced Mode (dòng chữ màu xanh) sẽ xuất hiện cửa sổ Backup Utility à Chọn Tab Backup sẽ được cửa sổ như hình dưới đây. Nguyễn Thị Thu Huyền K54A .Sau khi chọn System State.

Cửa sổ hiển thị quá trình Backup đang được thực hiện.Active Directory Mạng máy tính Khi nhấn Start Backup hệ thống sẽ bật ra cửa sổ như hình dưới đây bạn chọn Start Backup để bắt đầu thực hiện backup.Khoa Công nghệ thông tin .ĐHSPHN 57 . bạn đợi một lát để hệ thống hoàn thành công việc Nguyễn Thị Thu Huyền K54A .

Nguyễn Thị Thu Huyền K54A .ĐHSPHN 58 . để xoá dữ liệu trong Active Directory Step 4 – Restore Acitve Directory. Sau khi hệ thống kết thúc việc Backup System State bạn vào Active Directory (như cách vào bên trên) chuột phải vào OU MCSA chọn Delete. giờ ta phải khởi động lại máy chủ Domain Controller. Bạn không thể thực hiện Restore để thao tác lên các dữ liệu đang hoạt động.Active Directory Mạng máy tính Step 3 – Xoá dữ liệu trong Active Directory.Khoa Công nghệ thông tin .

Bạn bắt buộc phải chọn mode này bởi khi bạn lựa chọn Mode này mặc định Service Active Directory sẽ bị tắt và bạn có thể thao tác bằng các tác vụ khác vào dữ liệu của Active Directory được.Run à ntbackup trong cửa sổ ntbackup chọn tab Restore Nguyễn Thị Thu Huyền K54A .Ở trên.Khoa Công nghệ thông tin . đó chính là password để bạn đăng nhập trong khi Restore lại Active Directory. Khi chọn khởi động từ "Directory Service Restore Mode" hệ thống sẽ yêu cầu gõ User name và Password. . "cài đặt Active Directory" ta có nói tới một Password lúc cài đặt.Trong lúc máy tính đang khởi động nhấn F8 để chọn các Mode của hệ thống như cách vào Safe Mode .Trong Menu các Mode ta phải chọn "Directory Service Restore Mode" .ĐHSPHN 59 .Active Directory Mạng máy tính . Vào được trong môi trường Windows .

Active Directory .Dưới đây là cửa sổ hệ thống đang Restore lại System State Sau khi hệ thống Restore hoàn tất sẽ yêu cầu khởi động lại máy tính. Nguyễn Thị Thu Huyền K54A .Khoa Công nghệ thông tin . .ĐHSPHN 60 .Chọn System State để restore Mạng máy tính Nhấn Start Restore để hệ thống bắt đầu lấy lại dữ liệu như lúc Backup.

.ĐHSPHN 61 . Addtional New DC Trong một tình huống hệ thống có rất nhiều máy tính join vào domain vnexperts. khi máy chủ Domain Controller bị gián đoạn điều đó có nghĩa toàn bộ các dịch vụ về tên miền.Active Directory trên máy chủ Windows Server 2003 có cơ chế Replications giữa các máy chủ Domain Controller với nhau. Đồng thời cho phép nhiều máy chủ Domain Controllers hoạt động với quyền ngang hàng nhau trong Active Directory.net.Active Directory Mạng máy tính .Các máy chủ hoàn toàn có khả năng thêm dữ liệu vào trong Active Directory (như việc tạo User mới. 3. Sau đây là cách phòng tránh sự cố xảy ra và đảm bảo hệ thống luôn luôn hoạt động.Khoa Công nghệ thông tin .Thật may mắn là mọi thứ lại như cũ 3. với dữ liệu và thiết lập giống nhau. hay thay đổi thông tin trong Active Directory).1 Replication dữ liệu trong Active Directory.Lần này bạn để máy tính khởi động vào bình thường và công việc cuối cùng của chúng ta là xem lại xem OU MCSA và User Hoang Tuan Dat xem có còn hay không . . về xác thực người dùng. và nhiều dịch vụ khác sẽ bị gián đoạn. Cho phép nhiều máy chủ Domain Controller cùng quản lý chung một dữ liệu Active Directory. Khi bạn thay đổi dữ liệu Active Directory trên một máy chủ Domain Controller thì chúng sẽ tự động đồng bộ hoá với toàn bộ máy chủ Domain Controller trong hệ thống mạng. Nguyễn Thị Thu Huyền K54A .

Yêu cầu lúc này là tạo ra một máy chủ với dữ liệu DNS giống hệt dc1.net cho phép các máy chủ lấy được dữ liệu Zone vnexperts.Máy chủ đầu tiên chứa toàn bộ dữ liệu DNS và các thiết lập khác trên DNS.vnexperts.ĐHSPHN 62 . Khắc phục vấn đề này bạn cài đặt thêm một hay nhiều máy chủ Domain Controller nữa cùng quản lý dữ liệu Active Directory và DNS của hệ thống. .Như vậy nếu một hệ thống Domain nếu bạn có một máy chủ Domain Controller chẳng may máy chủ này bị gián đoạn trong một thời gian nhất định thì cả hệ thống sẽ bị tê liệt.2 Triển khai Additions Domain Controller mới vào hệ thống có sẵn.Trên Windows Server 2003 dịch vụ DNS cho phép tạo Secondary Zone như một bản sao dữ liệu DNS từ một Primary Zone đã được tạo sẵn.Trên dữ liệu DNS của dc1.Khoa Công nghệ thông tin .net. DNS trên máy chủ Domain Controller mới.Domain của ta đã được cài đặt với một máy chủ DNS và Domain Controller là: dc1.vnexperts.vnexperts. Khi một trong các máy chủ Domain Controller trong hệ thống phải bảo trì hay gián đoạn một thời gian thì hệ thống vẫn hoạt động bình thường. .Active Directory Mạng máy tính . Để máy chủ thứ hai này cũng có khả năng đáp ứng các yêu cầu DNS của Client chúng ta cần phải tạo một bản sao bao gồm dữ liệu DNS giống hệt máy chủ đầu tiên. a.net chứa toàn bộ các record về tên của domain vnexperts. Step 1: Trên máy chủ dc1.net. . .net Nguyễn Thị Thu Huyền K54A . Sau đây là cách tạo cài đặt thêm một máy chủ Domain Controller vào Domain có sẵn là vnexperts. 3.net với dữ liệu DNS và Active Directory giống Domain Controller đầu tiên và hoạt động với chức năng tương đương nhau trong hệ thống. .Để máy chủ Domain Controller mới hoạt động với chức năng tương đương với máy chủ Domain Controller đầu tiên phải đáp ứng: + Cung cấp giải pháp tên miền DNS cho các máy Client + Cung cấp xác thực và các dữ liệu liên quan khác tới dữ liệu Active Directory.vnexperts. .net có một Primary Zone tên vnexperts.net.

net đã tạo ra trong phần 1+2 của bài viết.100.12 Step 1: Cấu hình trên máy chủ dc1.net – IP 192.net từ máy chủ dc1. Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Step 2: Trên máy chủ mới tạo Secondary Zone tên Vnexperts.vnexperts.vnexperts.100.Ở đây: dc1.net .ĐHSPHN 63 . Chuột phải vào tab Zone Tranfers.11 .net – IP 192.Khoa Công nghệ thông tin .net cho phép máy khác tạo Secondary Zone vnexperts từ máy chủ này.vnexperts.Cài đặt dc2.vnexperts.168. Start à All Programs à Administrative tools à DNS Trong cửa sổ DNS chọn forward lookup zone trong đó có Zone vnexperts.168.

ĐHSPHN 64 .Khoa Công nghệ thông tin .Chọn Allow Zone Transfers có 3 options cho bạn lựa chọn: + to any server: cho tất cả các máy tính đều lấy được dữ liệu DNS + Chỉ cho phép máy chủ nào trong NS record (mặc định khi nâng cấp lên Domain Controller) + Chỉ cho phép các máy chủ dưới đây .Active Directory Mạng máy tính .Ta chọn to any server cho dễ Step 2: tạo Secondary Zone từ máy chủ khác chuẩn bị cài đặt làm Domain Controller Nguyễn Thị Thu Huyền K54A .

net vì tôi đã có Zone này trên máy dc1.100. Nguyễn Thị Thu Huyền K54A .net – 192.Khoa Công nghệ thông tin .ĐHSPHN 65 .vnexperts.Hệ thống sẽ yêu cầu bạn tên Primary Zone mà bạn cần tạo Secondary Zone tôi chọn vnexperts.Cài đặt dịch vụ DNS như trên Mạng máy tính .Vào giao diện quản trị DNS chuột phải vào Forward Lookup Zone chọn New Zone nhấn Next hệ thống sẽ bắt bạn lựa chọn Type Zone bạn chọn Secondary Zone Nhấn Next tiếp tục quá trình thiết lập .168.11 rồi.Active Directory .

net .vnexperts.ĐHSPHN 66 .điạ chỉ của máy chủ dc1.Khoa Công nghệ thông tin .Ta gõ địa chỉ IP là 192.100.Active Directory Mạng máy tính Hệ thống sẽ yêu cầu bạn gõ địa chỉ của máy chủ chứa Primary Zone của Vnexperts.168.net Nguyễn Thị Thu Huyền K54A .11 .

Step 2 đặt địa chỉ DNS là địa chỉ DNS của máy chủ dc1.net – 192.168. Cài đặt Additions Domain Controller vào một domain đã có sẵn .Vào kiểm tra và kết quả tôi đã được một bản copy của dữ liệu DNS trên máy chủ mới. .net mới được tạo ra trên máy chủ dc2 chọn "Transfers from master".11 và địa chỉ IP của chính nó là 192.Khoa Công nghệ thông tin . .168.vnexperts.100.net trên máy chủ dc2. b.Active Directory Mạng máy tính Nhấn Next để hoàn thành quá trình tạo Secondary Zone vnexperts.Để lấy toàn bộ dữ liệu DNS từ máy chủ dc1 về máy chủ dc2 bạn chuột phải vào Zone vnexperts.ĐHSPHN 67 .12 Nguyễn Thị Thu Huyền K54A .Step 1 đặt địa chỉ IP tĩnh .100. điều này có nghĩa máy chủ Secondary này hoàn toàn có khả năng giải quyết vấn đề về tên miền trong hệ thống.Việc cài đặt Addtions một Domain Controller mới vào một domain đã có sẵn vô cùng đơn giản .

. Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Khi bạn đã hoàn tất quá trình cài đặt DNS và tạo Secondary Zone trên máy chủ mới. bạn cần thiết phải đặt địa chỉ của DNS như trên bởi khi DC1 bị hỏng thì hệ thống vẫn hoạt động bình thường.ĐHSPHN 68 .Tiếp tục quá trình cài đặt vào Run gõ dcpromo.Khoa Công nghệ thông tin .

Active Directory Mạng máy tính Nhấn Next để tiếp tục quá trình cài đặt Addtions Domain Controller Nhấn Next để tiếp tục quá trình cài đặt.Khoa Công nghệ thông tin . Nguyễn Thị Thu Huyền K54A .ĐHSPHN 69 .

Active Directory

Mạng máy tính

- Đến bước chọn hai Options: Bạn bắt buộc phải chọn Additional domain controller for an existing domain. Đây chính là sự khác nhau cơ bản giữa cài mới và add vào một domain có sẵn

Nhấn Next để tiếp tục quá trình, hệ thống sẽ yêu cầu bạn gõ Username, Password và domain mà bạn cần add vào:

Nguyễn Thị Thu Huyền

K54A - Khoa Công nghệ thông tin - ĐHSPHN

70

Active Directory

Mạng máy tính

Sau khi điền đủ các dữ kiện từ domain, username password. - Nhấn Next hệ thống tự động tìm kiếm Domain đã chọn, nếu bạn đặt địa chỉ DNS cho card mạng sai đến bước này sẽ không tìm thấy domain mà bạn cần add vào, khi đó bạn chỉ cần kiểm tra lại DNS khi đặt địa chỉ IP là ok. - Nhấn Next để tiếp tục

Nguyễn Thị Thu Huyền

K54A - Khoa Công nghệ thông tin - ĐHSPHN

71

Active Directory

Mạng máy tính

Gõ lại tên miền bạn muốn add vào : gõ vnexperts.net (bởi tacần add them một domain controller vào domain này). - Nhấn Next tiếp tục quá trình cài đặt. Hệ thống yêu cầu nơi chứa folder NTDS để cho quá trình Replications trong Domain.

Nguyễn Thị Thu Huyền

K54A - Khoa Công nghệ thông tin - ĐHSPHN

72

Hệ thống yêu cầu gõ password dành cho quá trình Restore Mode như đã đề cập ở trên.Khoa Công nghệ thông tin . Nguyễn Thị Thu Huyền K54A .ĐHSPHN 73 .Active Directory Mạng máy tính Ta để mặc định nhấn Next. Hệ thống yêu cầu vị trí folder SYSVOL Để mặc định tôi nhấn Next.

Nguyễn Thị Thu Huyền K54A .Khoa Công nghệ thông tin .ĐHSPHN 74 .Active Directory Mạng máy tính Nhấn Next để tiếp tục quá trình cài đặt: hệ thống hiển thị toàn bộ thông tin về quá trình thiết lập: Nhấn Next hệ thống sẽ bắt đầu cài đặt cho dc2 này.

vnexperts.Khoa Công nghệ thông tin .100.vnexperts.Active Directory Mạng máy tính Đợi vài phút và khởi động lại máy sau đó vào Active Directory Users and Computers để xem và ta thấy đã có hai máy chủ Domain Controller.100.net + Thiết lập địa chỉ DNS trên máy dc3 như dưới đây.12 .vnexperts.Chuẩn bị một máy tính cài Windows Server 2003 mới với tên dc3 có địa chỉ 192.13. Vậy là hoàn tất quá trình tạo ra một Domain Controller mới trong domain vnexperts.net có hai máy chủ Domain Controller: dc1.net với địa chỉ IP là 192.Đặt địa chỉ IP sao cho máy tính dc3 nhận biết được domain vnexperts.168.net .net với IP là 192. Nguyễn Thị Thu Huyền K54A .Domain vnexperts. 4.11 và dc2. và ta định cài máy chủ dc3 sẽ là domain controller của domain: mcsa.100.ĐHSPHN 75 .168.168. Child Domain .

Khoa Công nghệ thông tin .ĐHSPHN 76 .Active Directory Mạng máy tính Tạo ra một Secondary Zone của DNS trên máy chủ dc3 mới và đặt địa chỉ IP và DNS như trên trước khi cài đặt Active Directory.Sau khi hoàn thành quá trình tạo Secondary Zone vnexperts. Nhấn Next những bước bắt đầu quá trình cài đặt đến khi cửa sổ sau xuất hiện Nguyễn Thị Thu Huyền K54A . .net của DNS trên máy chủ dc3 và đặt địa chỉ IP như trên ta vào run gõ dcpromo để bắt đầu quá trình cài đặt.

Nhấn Next để đến một bước quan trọng nhất trong quá trinh cài đặt.vnexperts. Nguyễn Thị Thu Huyền K54A . .net chưa có nên khi cài đặt domain đó trên máy chủ dc3 ta phải chọn là Domain Controller for a new domain.Do domain mcsa.ĐHSPHN 77 .Active Directory Mạng máy tính .Khoa Công nghệ thông tin .

Option thứ hai là cài đặt domain child trên một domain có sẵn .Khoa Công nghệ thông tin . .ĐHSPHN 78 .Active Directory Mạng máy tính Bước này bạn phải buộc phải chọn Option "Child domain in an existing domain tree" . Nguyễn Thị Thu Huyền K54A .Option đầu tiên là cài đặt domain controller trên một domain mới hoàn toàn .Option thứ 3 là cài đặt một domain mới trên một domain có sẵn ta sẽ trình bày trong phần 6 của bài viết.Sau khi lựa chọn đúng Option 2 nhấn Next để tiếp tục quá trình.

ĐHSPHN 79 .Active Directory Mạng máy tính Hệ thống sẽ yêu cầu bạn gõ domain cha: gõ vnexperts.Khoa Công nghệ thông tin .net và user name nào mà bạn sử dụng để cài đặt một domain mới. .Sau khi điền đầy đủ thông tin cần thiết nhấn Next để tiếp tục quá trình. Nguyễn Thị Thu Huyền K54A .

Active Directory Mạng máy tính Hệ thống yêu cầu domain cha ta gõ: vnexperts.vnexperts.Khoa Công nghệ thông tin .net .ĐHSPHN 80 . Trong phần tên đầy đủ của domain mới ta sẽ thấy đó là: mcsa.Trong phần Child domain đây là tên domain con mới ta gõ mcsa.Nhấn Next để tiếp tục quá trình cài đặt Nguyễn Thị Thu Huyền K54A .net .

Active Directory Mạng máy tính . tên MCSA này chính là tên khi client join vào domain sẽ lựa chọn trong danh sách những domain trong khi logon.Khoa Công nghệ thông tin . .Hệ thống sẽ hiển thị NetBIOS Name của domain mới tạo ra là MCSA ta để mặc định.Để mặc định nhấn Next Nguyễn Thị Thu Huyền K54A .ĐHSPHN 81 .

Vị chí thư mục NTDS (dùng để thực hiện Replication).Để mặc định nhấn Next để tiếp tục quá trình cài đặt Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính .ĐHSPHN 82 . .Khoa Công nghệ thông tin .

Khoa Công nghệ thông tin .Active Directory Mạng máy tính . Nguyễn Thị Thu Huyền K54A .Hệ thống hỏi vị trí của thư mục SYSVOL tôi để mặc định và nhấn Next tiếp tục quá trình.ĐHSPHN 83 .

ĐHSPHN 84 . Để mặc định nhấn Next tiếp tục quá trình cài đặt. Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Tổng hợp toàn bộ thông tin ta thiết lập sẽ được hiển thị trong bảng trên Nhấn Next tiếp tục quá trình cài đặt.Khoa Công nghệ thông tin .

Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Hệ thống yêu cầu gõ Password dành cho quá trình backup và Restore Active Directory trên máy này ta nhập password.Khoa Công nghệ thông tin .ĐHSPHN 85 . .Nhấn Next để tiếp tục quá trình cài đặt.

net và các thư mục sử dụng trong Active Directory.Khoa Công nghệ thông tin .vnexperts. . Nguyễn Thị Thu Huyền K54A .ĐHSPHN 86 .Active Directory Mạng máy tính Hệ thống đưa cho ta kết quả toàn bộ thiết lập về domain mới của ta là mcsa.Thấy tất cả đều đúng như yêu cầu ta nhấn Next để bắt đầu quá trình cài đặt.

ĐHSPHN 87 .vnexperts.net trên domain có sẵn là vnexperts. Đợi vài phút để hoàn thành quá trình cài đặt. Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Hệ thống đang cài đặt Child domain mới là mcsa.net.Khoa Công nghệ thông tin .

Active Directory Mạng máy tính Nhấn Finish và khởi động lại máy tính .ĐHSPHN 88 .Khoa Công nghệ thông tin .net sẽ suất hiện danh sách hai domain Vào Active Directory Site and Service kiểm tra lại quá trình cài đặt Domain mới với kết quả thật đúng như yêu cầu: Nguyễn Thị Thu Huyền K54A .Bạn để ý khi logon lại vào máy tính dc3.vnexperts.mcsa.

vnexperts.net .vnexperts.ĐHSPHN 89 .vnexperts. . Nguyễn Thị Thu Huyền K54A .Dc3 là máy chủ domain controller của domain mcsa.Active Directory Mạng máy tính .Khoa Công nghệ thông tin .net nữa đó là domain ccna.net ta tiếp tục cài đặt thêm một domain con của domain vnexperts.Start và administrative tools và Active Directory Site and Services để xem toàn bộ các site và các máy chủ Domain Controller.net Tương tự như cài đặt domain mcsa.net trên máy chủ dc4.Kết quả hai máy chủ dc1 và dc2 là domain controller của domain vnexperts.

vnexperts. Forest Mạng máy tính Khi trong cùng một Domain với nhiều doman con thì rất nhiều thông tin trên Domain đó được Replication.168.vnexperts. Nguyễn Thị Thu Huyền K54A .ĐHSPHN 90 .vn và khi bạn đã có domain forest mới này bạn hoàn toàn có khả năng cài đặt domain con trên domain forest mới này.net – 192.net Vào Run gõ dcpromo để bắt đầu quá trình cài đặt. Đầu tiên như các phần kia bạn phải đặt địa chỉ IP cho card mạng và DNS phải là DNS của máy chủ dc1. nhưng vẫn đảm bảo dữ liệu được thống nhất.net với hai domain con là mcsa. Ởcác phần trước chúng ta cài đặt và thiết lập hoàn chỉnh domain: Vnexperts. Sau khi thiết lập địa chỉ IP cho máy chủ xong ta tiến hành cài đặt Domain Controller. chúng ta thiết lập nhiều Domain Forest để đơn giản hoá quá trình quản lý nhiều site khác nhau cho một doanh nghiệp.15 với tên là dc5. Và ta cần phải cài đặt Domain Forest với tên: vne.net và ccna.168.vnexperts. Máy chủ mới có địa chỉ IP là: 192.100. Bây giờ ta tạo một Domain forest mới là vne.100.Active Directory 5.11.net.vn vào trong forest có sẵn là vnexperts.Khoa Công nghệ thông tin .

Active Directory Mạng máy tính Nhấn Next để bắt đầu cài đặt.ĐHSPHN 91 .Khoa Công nghệ thông tin . Nguyễn Thị Thu Huyền K54A . Nhấn Next để bắt đầu cài đặt.

Đến bước quan trọng nhất với 3 Option .vn bạn cần cài đặt chưa có máy chủ Domain Controller nào cả.Bạn buộc phải chọn Domain Tree in an existing forest (add một domain tree mới vào trong một forest có sẵn). Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Trong cửa sổ dưới đây bạn chọn "Domain Controller for a New domain" bắt buộc bạn phải chọn Options này bởi domain vne. Sau khi lựa chọn chuẩn nhấn Next để tiếp tục quá trình cài đặt.ĐHSPHN 92 .Khoa Công nghệ thông tin .

Active Directory Mạng máy tính .Hệ thống sẽ hỏi ta là ai mà có quyền add domain tree mới vào forest vnexperts.Cài đặt một domain mới hoàn toàn bạn phải chọn Options đầu tiên.Khoa Công nghệ thông tin . nếu chọn Option thứ 2 là cài đặt Domain Con trong domain tree có sẵn Sau khi chọn đúng lựa chọn Domain Tree in an Existing forest nhấn Next để tiếp tục quá trình cài đặt. "administrator".ĐHSPHN 93 . Nguyễn Thị Thu Huyền K54A . Ta buộc phải khai báo là người có đủ quyền làm điều đó. .

Hệ thống sẽ yêu cầu tên Domain Tree mới mà ta thiết lập là gì:cần cài đặt domain mới là vne.vn Nguyễn Thị Thu Huyền K54A . .ĐHSPHN 94 .Active Directory Mạng máy tính Điền đầy đủ các thông tin về username. password và domain nhấn Next để tiếp tục quá trình cài đặt.Khoa Công nghệ thông tin .

hệ thống yêu cầu vị trí chứa folder SYSVOL Nguyễn Thị Thu Huyền K54A .net nhấn Next để tiếp tục quá trình cài đặt.Nhấn Next để tiếp tục.Lựa chọn tên mới cho domain: vne.vn trong domain forest vnexperts. ở đây tôi để mặc định .Yêu cầu vị trí đặt folder NTDS chứa các thong tin cần Replications.Active Directory Mạng máy tính . .ĐHSPHN 95 .Khoa Công nghệ thông tin .

Nguyễn Thị Thu Huyền K54A . Hệ thống sẽ kiểm tra DNS cho chúng ta thấy mọi thứ OK Nhấn Next tiếp tục quá trình cài đặt.Active Directory Mạng máy tính Nhấn Next tiếp tục quá trình cài đặt.ĐHSPHN 96 .Khoa Công nghệ thông tin .

Đợi một nát để hệ thống hoàn thành quá trình cài đặt.ĐHSPHN 97 .Active Directory Mạng máy tính Để mặc định đó là Domain Function Level là Native Mode. Sau khi khởi động lại máy Logon hệ thống sẽ hiện ra danh sách domain mà ta có thể logon vào.Khoa Công nghệ thông tin . khởi động lại máy để mọi thứ OK. Nhấn next bắt đầu quá trình cài đặt. Nguyễn Thị Thu Huyền K54A .

net với máy chủ domain controller là: dc1. Netdom là một tool không được tích hợp sẵn ngay khi cài đặt hệ điều hành nên bạn muốn sử dụng nó phải add thêm vào.ĐHSPHN 98 . Rename DC Sau khi cài đặt và thiết lập hoàn chỉnh một domain tên: vnexperts. Vào Active Directory Sites and Services để kiểm tra xem mọi thứ kết quả thật là đều chạy tốt.net thành máy chủ vne.vnexperts.Khoa Công nghệ thông tin .net. Sau một thời gian hoạt động giờ talại muốn đổi tên máy chủ dc1. 6.net. Sau đây là chi tiết cách đổi tên máy chủ domain controller (DC) sử dụng tool "netdom computername". Step 1: sử dụng Netdom tool Step 2: Add một tên khác cho máy chủ DC Step 3: Nâng cấp tên mới thành tên chính Step 4: reboot Step 5: Tên mới thực hiện đầy đủ chức năng Step 6: Remove tên cũ.vnexperts. Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Chọn VNE rồi gõ username password vào ta đăng nhập vào domain mới .vnexperts.

Mạng máy tính Netdom tool có đi kèm trong đĩa cài đặt Windows Server 2003.cab chuột phải vào file netdom.exe chọn extract vào thư mục Windows là OK Thử tool netdom vào run gõ cmd để vào môi trường dòng lệnh gõ netdom /? sẽ được kết quả như hình dưới đây: Nguyễn Thị Thu Huyền K54A . tại: CDROM\SUPPORT\TOOLS\SUPPORT.Khoa Công nghệ thông tin .ĐHSPHN 99 .CAB. Để sử dụng netdom tool bạn mở file support.Active Directory Step 1 .Sử dụng Netdom tool.

ĐHSPHN 100 .vnexperts.vnexperts.Khoa Công nghệ thông tin .Active Directory Mạng máy tính Step 2: Add một thêm một tên mới cho máy chủ DC Máy chủ DC có tên dc1.net ta chọn tên vne.vnexperts.net.net Giờ việc đầu tiên sẽ phải add một tên nữa vào cho máy chủ dc1. Nguyễn Thị Thu Huyền K54A .

2003 Native Move: Active Directory được quản lý bởi: 2000. Vào administrative tools -> Active Directory Users and Computers . 2000.net Tại sao lại fails. Domain Function Level có 4 mức độ: Mix Mode: Active Directory được quản lý bởi: Windows NT. Ta buộc phải nâng cấp domain (mặc định là Mix Mode) lên 2003 Mode.chuột phải vào domain vnexperts chọn Raise Domain Function Level.Active Directory Mạng máy tính Sử dụng câu lệnh: Netdom Computername dc1. chỉ khi Domain Function Level là 2003 hoặc cao hơn thì mới được. 2003 Interim Mode: Active Directory được quản lý bởi: NT.Khoa Công nghệ thông tin . Nguyễn Thị Thu Huyền K54A .vnexperts.vnexperts.ĐHSPHN 101 . 2003 2003 Mode: AD được quản lý bởi máy chủ 2003 – và chỉ khi AD ở dạng này mới hỗ trợ đầy đủ các tính năng của Active Directory trên Windows Server 2003.net /add: vne.

net và vne.net Nguyễn Thị Thu Huyền K54A . Và ta đã add được thêm một tên mới là vne.vnexperts.net là tên chính giờ ta phải chuyển tên chính thành vne.net /add: vne.Active Directory Mạng máy tính Sau đó thực hiện lại câu lệnh: Netdom Computername dc1.net /makeprimary: vne. Sử dụng câu lệnh: Netdom Computername dc1.vnexperts.vnexperts.vnexperts. Như vậy máy chủ Domain Controller có hai tên: dc1.net Step 3: nâng cấp tên mới thành tên chính.vnexperts.vnexperts.net.vnexperts.vnexperts.vnexperts.net nhưng hiện tại máy chủ vẫn lấy tên dc1.Khoa Công nghệ thông tin .net.vnexperts.net cho máy chủ dc1.ĐHSPHN 102 .

Khoa Công nghệ thông tin . Step 5: Remove tên cũ Máy chủ Domain Controller vẫn tồn tại hai tên giờ ta cần phải remove tên cũ là dc1.vnexperts. Nguyễn Thị Thu Huyền K54A .net Sử dụng câu lệnh: Netdom Computername vne.vnexperts.vnexperts.vnexperts.Active Directory Thực hiện song câu lệnh này hệ thống sẽ bắt phải khởi động lại.vnexperts. Sử dụng câu lệnh: Netdom Computername vne.net /remove: dc1.ĐHSPHN 103 .net và dc1. Mạng máy tính Step 4: Cho tên mới của máy chủ DC thực hiện chức năng Sau khi khởi động lại máy tính.net và tên vne.vnexperts.net đã bị chuất quyền.vnexperts.net chưa hoạt động trong khi tên dc1.net để remove tên cũ đi.vnexperts. hệ thống sẽ vẫn tồn tại hai tên: vne.net /enumerate Để cho tên mới của máy chủ đi vào hoạt động.

tính năng Replication sẽ tự động đồng bộ toàn bộ dữ liệu giữa các Domain Controller.Khoa Công nghệ thông tin .Active Directory Mạng máy tính Step 6 Xem kết quả Vào Active Directory User and Computer vào OU Domain Controller xem kết quả được như hình dưới đây: 7.ĐHSPHN 104 . Tuy nhiên có những thuộc tính trong Forest và Domain chỉ có máy chủ Nguyễn Thị Thu Huyền K54A . DC vài trò Master Active Directory cho phép nhiều máy chủ Domain Controller hoạt động tương đương.

vnexperts.net.Active Directory Mạng máy tính Master thì mới có những tính năng đó. Trong Forest khi muốn thay đổi bất kỳ cấu trúc của Active Directory bạn phải là Schema Master. a.vne.com và b.giản đồ của Active Directory. Có 3 Domain Master Role: .net và vne. Tóm lại sẽ hoạt động với chức năng quản lý tên tạo và xoá domain. thường là máy chủ cài Active Directory đầu tiên trên forest.com.vne.Domain Naming Master Role Schema Master Role: Trong Forest chỉ có máy chủ đóng vai trò Schema Master mới có khả năng update schema .net là đomain con của domain tree vnexperts. Máy chủ hoạt động với vai trò Domain Master Role mặc định là máy chủ Domain Controller đầu tiên của Domain đó. Forest Master Role Cả hệ thống trên có một Forest duy nhất là: vnexperts.com 4 – Domain con: mcsa.vnexperts.net – Và chỉ có một máy chủ Domain Controller trong forest này hoạt động với vai trò Master.Khoa Công nghệ thông tin .Relative Identifier .net 2 – Domain tree đó là: vnexperts.Primary Domain Controller – PDC Master Nguyễn Thị Thu Huyền K54A . Domain Master Role Mỗi Domain Tree hay Domain con trong Domain Forest đều có một máy chủ đóng vai trò Master Domain Role.ĐHSPHN 105 .Schema Master Role .RID Master . Domain Naming Master Role: Máy chủ Domain Controller với vai trò Domain Naming Master sẽ đảm nhiệm việc tạo ra domain con mới hay remove một domain con….com là domain con của domain tree vne. Có hai Vai trò Master trong Forest đó là: .net và ccna. Sau đây là cách thay đổi vai trò Master trong Active Directory Trong hình vẽ trên thể hiện hệ thống với: 1 – Forest đó là vnexperts.

có thể một máy chủ đảm nhiệm tất cả các tác vụ trên nhưng bạn có thể gán cho mỗi máy chủ làm một nhiệm vụ trên.Xem RID.vnexperts.net. Khi tất cả các Domain Controller đều hoạt động 2. khi hệ thống bao gồm các máy chủ domain controller: NT và cả 2003.vnexperts.1 View Master Role Để xem hiện tại Domain Controller nào đóng vai trò master bạn có thể thực hiện theo cách sau: . Ở đây có hai tình huống xảy ra khi thay đổi Master của Forest hay của Domain. Infrastructure Master: Khi đổi tên hay add một user vào một group nào đó.vnexperts. PDC Master: Trong mỗi domain có một PDC master. 7. Khi Master Server bị hỏng và bạn phải nâng cấp máy thứ cấp lên Master Domain. Infrastructure của Active Directory sẽ làm nhiệm vụ quản lý user và group. Infrastructure Master role bạn chỉ cần vào Active Directory Users and Computer chuột phải lên nó chọn Operations Master Nguyễn Thị Thu Huyền K54A . một group có thể chứa nhiều user và group khác và quản lý vấn đề đó thuộc về Infrastructure Master.Khoa Công nghệ thông tin . RID Master: Mỗi domain trong Forest chỉ có một Domain Controller đóng vai trò RID Master. một computers được tạo mới trong active directory thì RID đóng vai trò kiểm tra tính duy nhất của record đó.ĐHSPHN 106 . PDC làm nhiệm vụ cho phép client đổi password.Infrastructure Master Mạng máy tính Mỗi Domain chỉ có một máy chủ đảm nhiệm vai trò Domain Master Role.net không có domain con hay domain tree.Active Directory .net – Forest Master Role và Domain Master Role đều là vne. sau đó thực hiện Replications với các Domain Controller khác trong Domain. Để đơn giản ta chỉ thực hiện trên forest vnexperts. Sau đó RID gán cho mỗi thông tin đó một Security ID. Khi một user. với hai máy chủ domain controller: vne. Một user có thể thuộc nhiều group. PDC. 1.net và dc3.

Domain Naming Master Role: vào Administrative Tools chọn Active Directory Domains and Trusts chuột phải vào nó chọn Operations Master. Nguyễn Thị Thu Huyền K54A .Khoa Công nghệ thông tin .ĐHSPHN 107 .Active Directory Mạng máy tính Để xem Forest Master role: .

Sau hệ thống báo Success: Vào run gõ mmc trong cửa sổ này chọn file à add/remove Snap-in chọn Add rồi chỉ đến: Active Directory Schema Snap-in sau đó chuột phải chọn Operations Master sẽ xem được máy chủ nào là máy chủ Schema Master. Nguyễn Thị Thu Huyền K54A . thật không may là mặc định Active Directory Schema Snap-in lại không được tự động cài đặt cùng với Active Directory.Schema Master Role: Muốn xem được Schema Master Role bạn phải vào Active Directory Schema Snap-in.ĐHSPHN 108 .Khoa Công nghệ thông tin .dll để cài đặt Snap-in này. Nhưng bạn có thể cài đặt Snap-In này bằng cách vào cmd gõ: regsvr32 schmmgmt.Active Directory Mạng máy tính .

net và dc3. Nâng Domain Master Role . Trong mô hình ta có hai máy chủ domain controller: vne.net là Master role của cả Forest Master và Domain Master.vnexperts. Với tình huống này chúng ta thực hiện tương đối đơn giản.Bao gồm: RID. Tình huống xảy ra khi máy chủ Master được cài đặt trước với cấu hình máy không cao. PDC và Infrastructure. Nguyễn Thị Thu Huyền K54A .vnexperts. Thay đổi Master khi các Domain Controllers đều đang hoạt động tốt.net a. Công ty nâng cấp máy chủ Domain Controller mới và yêu cầu mọi user và group… không được thay đổi.vnexperts. Ta sẽ chuyển đổi vị trí Master role cho máy chủ dc3.ĐHSPHN 109 .Khoa Công nghệ thông tin .Active Directory Mạng máy tính 7.vnexperts.net hiện tại máy chủ vne.2. Khi đó bạn phải chuyển Master Role cho máy chủ mới. không ổn định.

Active Directory Mạng máy tính Vào máy chủ vne.ĐHSPHN 110 .vnexperts.Khoa Công nghệ thông tin .vnexperts.net vào phần Active Directory User and Computer chuột phải chọn Connect to Domain Controller rồi lựa chọn connect vào máy chủ dc3.vnexperts.net Nhấn OK rồi tiếp tục chuột phải vào Domain vnexperts. nhấn Change để thay đổi RID master từ máy chủ vne. ngay trong tab đầu tiên là tab RID thấy: current Master và Change.vnexperts.net Nguyễn Thị Thu Huyền K54A .net sang máy chủ dc3.net chọn Operations Master.

b.vnexperts.Active Directory Mạng máy tính Cứ thế tôi tiếp tục chuyển sang tab PDC và Infrastructure chuyển master sang dc3.vnexperts. Nguyễn Thị Thu Huyền K54A .Như vừa nói ở trên Forest Master role có: Schema Master Role và Domain Naming Master role Chuyển Domain Naming master Vào máy chủ vne. Nâng Forest Master Role . Trong cửa sổ ta chọn máy chủ dc3.net.vnexperts.Khoa Công nghệ thông tin .ĐHSPHN 111 .net rồi OK.net à Administrative tools à Active Directory Domain and Trust chuột phải vào đó chọn Connect to Domain Controller.

vnexperts. trong cửa sổ thấy xuất hiện: Current Master và máy chủ cần chuyển sang là dc3.Khoa Công nghệ thông tin .net Nguyễn Thị Thu Huyền K54A .Active Directory Mạng máy tính Tiếp đến chuột phải vào Active Directory Domains and Trust chọn Operations Master.ĐHSPHN 112 .

Active Directory Mạng máy tính Nhấn vào Change.ĐHSPHN 113 . Việc chuyển đổi Domain Master Role hoàn toàn thành công. Nguyễn Thị Thu Huyền K54A .Khoa Công nghệ thông tin .

lựa chọn phần Specify Name ta chọn đến máy chủ: dc3.ĐHSPHN 114 .Khoa Công nghệ thông tin .Active Directory Mạng máy tính Chuyển Schema Master Role Vào run gõ mmc rồi add snap-in Active Directory Schema vào Trong cửa sổ Active Directory Schema chuột phải chọn Change Domain Controller.net nhấn OK Nguyễn Thị Thu Huyền K54A .vnexperts.

tôi thấy current master là vne.net máy chủ cần transfer tới là dc3. Nguyễn Thị Thu Huyền K54A .vnexperts.Active Directory Mạng máy tính Trong cửa sổ Active Directory Schema chuột phải chọn Operations Master.Khoa Công nghệ thông tin .ĐHSPHN 115 .net tôi nhấn vào Change.vnexperts.

Việc chuyển đổi Master Role khi tất cả các Domain Controller đều đang hoạt động bình thường là vô cùng đơn giản. nhưng thật không may đôi khi máy chủ Master Role của chúng ta bị hỏng không thể khắc phục lại được. Yêu cầu phải nâng cấp một máy chủ Domain Controller có sẵn trong hệ thống thành máy chủ Master Role của Forest hay của Domain tuỳ theo yêu cầu của hệ thống. Lưu ý chỉ khi nào máy chủ Master Role thực sự hỏng bạn mới làm theo phương pháp này.3 Tình huống khi Master Role bị hỏng. Seize – Còn được dịch là chiếm đoạt. bởi khi bạn tự ý nâng cấp Master Role cho một máy chủ Domain Controller.ĐHSPHN 116 . và chúng ta sử dụng công cụ này để đoạt quyền Master từ một máy chủ thứ cấp. Nguyễn Thị Thu Huyền K54A . khi đó máy chủ Master trước được bật lên sẽ bị sung nhau bởi hệ thống không thể có hai Master Role. 7. Ta nên thực hiện theo thứ tự trên nếu thực hiện bước chuyển đổi master role của Schema luôn sẽ bị lỗi.Khoa Công nghệ thông tin .Active Directory Mạng máy tính Chúng ta hoàn toàn có thể chuyển đổi Master Role của Domain và của Forest.

net và thực hiện các bứơc chiếm đoạt quyền master từ máy chủ vne.Active Directory Mạng máy tính Trong tình huống 1 ta đã nâng cấp máy chủ dc3.Gõ Seize Infrastructure Master rồi Enter Dưới đây là một hình ảnh về việc Seize (chiếm đoạt) Schema Master Role Sau khi gõ seize schema master hệ thống sẽ hỏi có chắc chắn làm việc này không tôi chọn YES để hệ thống bắt đầu Seize đợi một lát sẽ hoàn tất quá trình Cứ như vậy ta lần lượt Seize các Master role như: RID. Domain Naming Nguyễn Thị Thu Huyền K54A . coi như máy chủ dc3. PDC.net.Gõ connections để vào giao diện kết nối .net hỏng hẳn.net để kết nối tới máy chủ cần thiết.vnexperts.ĐHSPHN 117 .Gõ Seize RID Master rồi Enter .Gõ Seize Domain Naming Master rồi enter .Gõ Seize PDC rồi Enter .vnexperts.Gõ Seize Schema Master rồi enter .vnexperts.vnexperts. Infrastructure.vnexperts.Gõ connect to server vne.vnexperts. Chúng ta dùng một tool đó là: ntdsutil Step 1: vào run gõ cmd để vào command line Step 2: trong giao diện này gõ ntdsutil trong tools này chúng ta gõ: roles Step 3: connect vào máy chủ vne. Step 4: gõ Quit để vào giao diện: fsmo maintenance .Khoa Công nghệ thông tin . Tắt máy chủ dc3.net thành máy chủ Master.net (phải sử dụng FQDN như thế này) .

quit để thoát khỏi giao diện cmd. Nguyễn Thị Thu Huyền K54A . Máy chủ vne.vnexperts.ĐHSPHN 118 . Khởi động lại máy tính vào Active Directory Domain and Trust chuột phải chọn Operations Master ta xem kết quả làm việc.Active Directory Mạng máy tính Sau Seize cả 5 Master Role chọn quit.Khoa Công nghệ thông tin .net đã hoạt động như một Master Server.

phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn.ĐHSPHN 119 .Chúng ta đã làm chủ Active Directory.3c. Active Directory thực sự là trái tim của Windows Server 2003 .com. những công việc mà hầu như không thể thực hiện được trên một hệ thống mạng ngang hàng. 2. Active Directory Collection.microsoft.Khoa Công nghệ thông tin .com http://www.quantrimang.com http://www.vn http://technet.Active Directory Kết luận Mạng máy tính Với những dịch vụ và tiện ích của mình.vn Nguyễn Thị Thu Huyền K54A .Từ cài đặt 1 máy chủ Domain Controller cho một Domain tới cài thêm một máy chủ DC khác cho Domain đó.iforce. Active Directory đã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động. TÀI LIỆU THAM KHẢO Tài liệu của giáo viên hướng dẫn: 1.com.itgatevn.com.vn http://www. Integrating-ibm-msad Website: http://www. MS_Active_Directory_Design_Guide 3.

Sign up to vote on this title
UsefulNot useful