Cấu trúc Active Directory Phần 3

Ở phần trước chúng ta đã đề cập đến các đối tượng của Active Directory Users and Computer trong Domain Controller.
Tiếp tục  phần này chúng ta sẽ tiếp tục sang phần triển khai bảo mật với chính sách nhóm Group policy.

1.Group policy là gì??

• Group Policy là tập các thiết lập cấu hình cho computer và user. Xác định cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với người dùng và máy tính trong 1 tổ chức.

• Group Policy chỉ áp dụng được với các máy Win2k/XP/WinS2k3/2k8.

• Các Group Policy chỉ có thể hiện hữu trên miền Active Directory (AD).

• Các Group Policy thì được áp dụng lúc máy khách được khởi động, lúc máy khách đăng nhập, và vào những thời điểm ngẫu nhiên khác.

• Các Group Policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bỏ khỏi miền AD.

• Người quản trị mạng có được nhiều mức độ kiểm soát tinh vi hơn đối với vấn đề ai được hoặc không được nhận một Group Policy nào đó.

• Group Policy chủ yếu chỉ được áp dụng cho các site, domain, và OU (Organizational Unit). Gọi tắt là SDOU.

• Trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại chỗ (Local Group Policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả. Các máy Windows XP Home thì không có Local Group Policy.

• Các Group Policy dành cho SDOU được tạo ra dưới dạng các đối tượng chính sách nhóm (Group Policy Object - GPO)‏

• Các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL.

• GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 nằm trong thư mục: %Windir%\System32\GroupPolicy.

• Chương trình để tạo ra và/hoặc chỉnh sửa các GPO tên là Group Policy Object Editor, có dạng một console MMC tên là GPEDIT.MSC. Hoặc ta cũng có thể dùng nó dưới dạng một công cụ snap-in trong một console MMC khác, ví dụ: console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group Policy.

2. Cửa sổ Group policy

Cửa sổ Group Policy Object

Cách sử dụng chung: tìm tới các nhánh, chọn thiết lập phù hợp.

• Not configured: không định cấu hình cho tính năng.

• Enable: kích hoạt tính năng.

• Disable: vô hiệu hóa tính năng.

Gồm 2 mục chính:

• Computer Configuration

• User Configuration.

• Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy.

+ Windows Settings: cấu hình về việc sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống …
+ Administrative Templates:

- System: cấu hình về hệ thống

- Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong Windows như: Internet Explorer, NetMeeting...

  * User Configuration: cấu hình cho tài khoản đang sử dụng. Các thành phần có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như mục Computer Configuration

Lưu ý: trước khi cấu hình cho bất kỳ thành phần nào, phải tìm hiểu thật kỹ về nó


Windows Setting:
Tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống...

• Scripts (Startup/Shutdown): chỉ định cho windows sẽ chạy một đoạn mã nào đó(như .vbs) khi Windows Startup hoặc Shutdown.

• Security settings: các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người sử dụng nào.

Windows Setting/Security Settings

• Account Policies: các chính sách áp dụng cho tài khoản của người dùng.

• Local Policies: kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng tại chỗ.

• Public Key Policies: các chính sách khóa dùng chung.

Windows Setting/Security Settings/Account Policies

Password Policies

các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy.

• Enforce password history: bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định.

• Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu thay đổi mật khẩu.

• Minimum password age: xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu.

• Minimum password length: độ dài tối thiểu cuả mật khẩu tài khoản.

• Password must meet complexity requirements: quyết định độ phức tạp của mật khẩu.

• Store password using reversible encryption for all users in the domain: lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain.

Acount lockout Policy

• Account lockout duration: xác định số phút còn sau khi tài khoản được khóa trước khi việc mở khóa đươc thực hiện.

• Account lockout threshold: xác định số lần cố gắng đăng nhập nhưng không thành công.

• Reset account lockout counter after: thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định.

Windows Setting/Security Settings/Local Policies

User rights Assignment: ấn định quyền cho người sử dụng.

Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian của hệ thống…
Trong phần này, để cấu hình cho một mục nào đó thì nháy đúp chuột lên mục đó và nhấn nút Add user or group để trao quyền cho User hoặcGroup đó.

• Access this computer from the network: tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào.

• Act as part of the operating system: chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống.

• Add workstations to domain: thêm một tài khoản hoặc nhóm vào miền.

• Adjust memory quotas for a process: chỉ định những ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý.

• Allow logon through Terminal Services: cấp phép cho những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống.

• Back up files and directories: cấp phép cho những ai sẽ có quyền backup dữ liệu.

• Change the system time: cho phép người sử dụng nào có quyền thay đổi thời gian của hệ thống.

• Create global objects: cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung.

• Shut down the system: cho phép ai có quyền Shutdown máy.

* Softwave Setting:
   Deploy phần mềm

Cấu trúc Active Directory Phần 2

Thao tác với Active Directory Users and Computer.

Tại mục này chúng ta sẽ đề cập đến các đối tượng của AD users and Computer
và cách tạo các OU,Group,Users bằng giao diện và dòng lệnh

1.Làm việc với các đối tượng OU,Group,Users

-Tạo OU

Tại của sổ Active Directory Users and Computers

RightClick lên Domain --> New --> OU --> Điền tên cho OU.

Tạo bằng dòng lệnh

Cấu trúc câu lệnh tạo OU:

dsadd ou <OrganizationalUnitDN> [-desc <Description>] [{-s <Server> | -d <Domain>}][-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]

Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau:

dsadd ou ou=it,dc=vnnp,dc=com

Ý nghĩa câu lệnh tạo OU: 

+  dsadd ou => sẽ khởi tạo một ou

+ ou=it => tạo OU có tên IT.

+ dc=vnnp, dc = com ==> khai báo domain sẽ tạo OU lên đó.

Chú ý: Nếu domain có dạng tên miền con ví dụ như: vnnp.com.vn thì khai báo thêm như sau: dc=vnnp, dc=com,dc=vn

-Tạo Group

 

RightClick lên OU vừa tạo --> New --> Group --> Điền tên GP muốn tạo

Cấu trúc câu lệnh tạo group:

dsadd group <GroupDN> [-secgrp {yes | no}] [-scope {l | g | u}] [-samid <SAMName>] [-desc <Description>] [-memberof <Group> …] [-members <Member> …] [{-s Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]

Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau:

dsadd group cn=GP_doingoai,ou=doingoai,dc=vnnp,dc=com -secgrp yes -scope g

Ý nghĩa câu lệnh tạo group:

+ dsadd group ===> câu lệnh sẽ khởi tạo một group.

+ cn=GP_doingoai ===> Group được tạo có tên là it_group.

+ou=doingoai ===> Group được tạo sẽ nằm trong ou có tên là it.

+ dc=vnnp, dc = com ==> khai báo domain sẽ tạo OU lên đó.

+ -secgrp yes ===>Kiểu group là Security, nếu chọn no sẽ là kiểu Distribution

+ -scope g ===>scope của group là Global, nếu chọn tham số là l sẽ là kiểu Domain local, tham số U là kiểu Universal

-Tạo User

RightClick lên OU cần tạo User --> New --> Uesr --> Điền thông tin --> nhập Password

Cú pháp câu lệnh tạo User:

dsadd user <UserDN> [-samid <SAMName>] [-upn <UPN>] [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-empid <EmployeeID>] [-pwd {<Password> | *}] [-desc <Description>] [-memberof <Group> …] [-office <Office>] [-tel <PhoneNumber>] [-email <Email>] [-hometel <HomePhoneNumber>] [-pager <PagerNumber>] [-mobile <CellPhoneNumber>] [-fax <FaxNumber>] [-iptel <IPPhoneNumber>] [-webpg <WebPage>] [-title <Title>] [-dept <Department>] [-company <Company>] [-mgr <Manager>] [-hmdir <HomeDirectory>] [-hmdrv <DriveLetter>:][-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumberOfDays>] [-disabled {yes | no}] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]

Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau:

dsadd user cn=khanh,ou=maketing,dc=vnnp,dc=com -fn tran -ln khanh –display “Tran Khanh”  -mustchpwd no -canchpwd no -disabled no -acctexpires never –pwd 123456A@

Ý nghĩa cú pháp câu lệnh tạo user:

+ dsadd user => Câu lệnh báo sẽ tạo user

+ cn=khanh => tên tài khoản login của user.

+ ou=maketing => user này nằm trong OU có tên là maketing

+ dc=vnnp, dc = com ==> khai báo domain sẽ tạo OU lên đó.

+ -fn Tran => First Name của user có tên là Tran

+ -ln Khanh => LastName của user là Khanh

+ –display “Tran Khanh”  ==> Tên hiển thị của tài khoản là Tran Khanh.

+ -mustchpwd no ==> Tài khoản không yêu cầu phải đổi mật khẩu ngay lần đăng nhập đầu tiên. Nếu chọn yes có nghĩa là phải đổi

+ -canchpwd no ==> Tài khoản không thể đổi được mật khẩu.

+ -acctexpires never ==> Tài khoản không bao giờ hết hạn.

+ –pwd 123456A@ ==> Thiết lập mật khẩu cho tài khoản là 123456A@

-Thêm user vào Group

RightClick những users cần thêm vào Group --> Add to a Group --> Nhập tên Group --> OK

Để kiểm tra thành viên của Group chuột phải vào Gourp cần xem --> Properties --> chọn mục Members