Nội dung:

Mô hình mạng doanh nghiệp phổ biến hiện nay

+ Mô hình Workgroup

Là mô hình mạng ngang hàng Peer to Peer , trong đó các máy tính có vai trò như nhau được kết nối thông qua mạng LAN . Các dữ liệu tài nguyên của người dùng được lưu ngay trên máy cục bộ , tự chứng thực ngay trên máy cục bộ . Trong hệ thống mạng này không có máy tính đảm nhiệm cài đặt các dịch vụ và quản lý hệ thống mạng nên phù hợp với các doanh nghiệp nhỏ , phòng NET , hệ thống mạng gia đình ,… nên bảo mật sẽ không được cao và tin cậy .

+ Mô hình Domain

Hoạt động theo cơ chế Client-Server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller). Domain Controller này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng với sự giúp đỡ của dịch vụ Active Directory được xem là quan trọng nhất trong máy chủ Domain Controller. Mô hình này được áp dụng cho các công ty vừa và lớn đòi hỏi cao về bảo mật.

Active Directory (AD) Windows Server 2019

Dịch vụ Active Directory (AD) là một sản phẩm của Microsoft gồm một số dịch vụ chạy trên Windows Server nhằm mục đích quản lý quyền và truy cập vào các tài nguyên mạng nội bộ trong tổ chức doanh nghiệp.

Active Directory lưu trữ data dưới dạng các đối tượng hay còn gọi là các Object. Mỗi Object sẽ là một thành phần đơn lẻ, như user, group, ứng dụng hoặc thiết bị (như PC, Laptop, Printer).

Một số thành phần trong Active Directory (AD)

User Account : là tài khoản người dùng, khi cài Active Directory sẽ có 1 số user được tạo ra mặc định . Ví dụ như là Administrator là quyền quản trị cao nhất trong hệ thống , user này không thể gỡ bỏ . Khi nhân viên đăng nhập vào hệ thống và sử dụng các tài nguyên thì người quản trị sẽ tạo ra User và phân quyền , cấp phát cho người dùng
Local User Account : là tài khoản người dùng được định nghĩa trên máy tính cục bộ và chỉ được phép Log on trên máy tính đó còn domain user có thể log on trên bất kì máy tính nào trong miền .
Domain User Account : là tài khoản người dùng được định nghĩa trên Active Directory , được phép Log on trên toàn mạng .Những tài khoản này được phép truy cập các tài nguyên trong hệ thống mạng dưới sự phân quyền của người quản trị
Yêu cầu về tài khoản người dùng : Mỗi user có từ 1-20 kí tự , tên user không được phép trùng nhau , user không chứa các kí tự sau ” / \ ] [ : : = + ? > < ” . Trong user có thể chứa các kí tự đặc biệt như dấu chấm , khoảng trắng , dấu gạch ngang , dấu gạch dưới .
Group Account : là 1 đối tượng đại diện cho 1 nhóm người nào đó trong 1 phòng ban (OU ) để dùng cho việc quản lý chung . Ta chỉ cần áp cách chính sách miền lên user đại diện cho group này thì tất cả các user nằm trong group này cũng được áp chính sách đó .Phần bố các người dùng vào nhóm giúp người quản trị dễ dàng phân quyền cho các tài nguyên trên mạng .

Chú ý : tài khoản người dùng có thể đăng nhập vào mạng , nhưng tài khoản nhóm thì không được cho phép đăng nhập , chỉ dùng để quản lý .

Tài khoản nhóm được chia làm 2 loại :

Nhóm bảo mật (Security group): nhóm được dùng để cấp phát các quyền hệ thống và quyền truy cập . Trong Security group có 3 loại bảo mật chính là : Local , Global , Universal
Nhóm phân phối (Distribution group) : nhóm phi bảo mật , không được dùng bởi các nhà quản trị mà chỉ được dùng bởi các nhà phát triển phần mềm dịch vụ .
Local group: Nhóm trên máy Stand-alone Server , các máy ở dạng workgroup , chỉ hoạt động trên các máy cục bộ
Domain Local group: Nhóm đặc biệt trên Active Directory nằm trên máy Domain Controller.
Global Group : Nhóm này nằm trên máy DC được tạo ra trong Active Directory , nhóm này được dùng để cấp phát những quyền quan trọng như quyền hệ thống và quyền truy cập vượt qua 1 quan hệ vùng miền
Universal : Có chức năng gần giống Global nhưng nó được dùng để cấp quyền cho các đối tượng trên khắp các miền trên 1 Forest hoặc trong các miền có mối liên hệ với nhau.

Domain Group and User, Organizational Unit Windows Server 2019

Mô hình nội dung bài Lab – MCSA 2019. Khởi tạo và cấu hình các đối tượng User, Group và OU trong môi trường Domain Controller (ADATUM.COM)

1- Tại SRV1 – Triển khai cài đặt dịch vụ Active Directory với Domain Name: ADATUM.COM trên nền tảng Windows Server 2019

2- Sau khi cài đặt dịch vụ AD. Vào Server Manager > Mục Tools > Chọn Active Directory Users and Computers

3- Khởi tạo Organizational Unit (OU). R_Click vào Domain Adatum.com > Chọn New > Organizational Unit

4- Đặt tên cho Organizational Unit (OU) vừa tạo : PHONG HCNS. Sau đó chọn OK

5- Thực hiện tạo OU các phong ban khác tương tự như trên.

6- Khởi tạo Group. R_Click vào OU PHONG HCNS chọn New > Chọn Group

Ngoài ra có thể tạo Group thông qua biểu tượng trên thanh điều khiển

7- Tại giao diện New Object – Group. Mục Group name đặt tên: Group.HCNS. Sau đó chọn OK
Giữa nguyên mặc định các lựa chọn Group scope và Group type

8- Thực hiện tương tự để tạo thêm các Group cho từng OU với nội dung yêu cầu bên trên.

9- Khởi tạo User. Tại các OU khởi tạo các User tương ứng như yêu cầu. Chọn OU PHONG HCNS, click vào biểu tượng tạo User trên thanh điều khiển.

10- Tại giao diện New Object – User khai báo các thông tin như hình bên dưới. Sau đó chọn Next

11- Khai báo thông tin Password cho User hcns1. Nhấn Next và Finish

12- Đưa các user vào các Group làm việc tương ứng. Chọn user hcns1 và hcns2. R_Click chọn Add Group.

Tại giao diện Select Group nhập vào thông tin Group cần Add sau đó chọn OK

13- Thực hiện tương tự với các User còn lại trong từng OU tương ứng. Và add các User vào các Group làm việc tương ứng.

Cấu hình giới hạn thời gian hoạt động các User Domain Controller – Windows Server 2019

1- R_Click vào User cần cấu hình. Chọn Properties.

2- Tại Tab Account. Chọn mục Logon Hours… Cấu hình cho phép User có hiệu lực từ 8:00 AM đến 6:00 PM (thứ 2 đến thứ 6) như hình bên dưới. Sau đó chọn OK