VIỆN ĐẠI HỌC MỞ HÀ NỘI
KHOA CƠNG NGHỆ TIN HỌC
BÀI TẬP LỚN
Mơn: Quản trị mạng
Đề tài (06):
Giới thiệu và các thao tác quản trị với Active Directory trong Windows Server 2008
Sinh viên thực hiện:
 Qng Văn Liêm
 Lớp: 08B6
Giáo viên hướng dẫn: Đinh Tuấn Long
Active Directory – Windows Server 2008
Hà Nội - 2010
Trang 2
Active Directory – Windows Server 2008
MỤC LỤC
I. Giới thiệu về Active Directory (DC)....................................................................................................................4
1.1 Active Directory là gì ?..................................................................................................................................4
1.2 Tại sao cần thực thi Active Directory?...........................................................................................................4
1.3 Những đơn vị cơ bản của Active Directory...................................................................................................5
1.3.1 Directory..................................................................................................................................................5
1.3.2 Domain.....................................................................................................................................................5
1.3.3 Domain Controller...................................................................................................................................6
1.3.4 Forest.......................................................................................................................................................6
1.3.5 Organizational unit..................................................................................................................................6
1.3.6 Object (đối tượng)...................................................................................................................................6
1.3.7 Schema.....................................................................................................................................................7
1.3.8 Site...........................................................................................................................................................7
1.3.9 Tree (cây).................................................................................................................................................7
1.3.10 Trust.......................................................................................................................................................7
1.3.11 Infrastructure Master và Global Catalog...............................................................................................7
1.3.12 LDAP.....................................................................................................................................................8

là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người
dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục
khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng
được phân bổ theo một kiểu nào đó.
Nói cách khác Active Directory là một cơ sở dữ liệu với các chức năng như:
 Lưu trữ thông tin về tài khoản người dùng và các tài nguyên mạng máy tính.
 Xác định tính hợp lệ của người truy cập tài nguyên mạng.
 Lưu trữ thông tin mạng máy tính như là các đối tượng trong một cấu trúc phân
cấp.
Ngoài ra nó còn cung cấp:
 Sự quản lý tập trung
 Các khả năng tìm kiếm nâng cao.
 Ủy quyền đại diện
Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn mang
tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng.
1.2 Tại sao cần thực thi Active Directory?
Có một số lý do để lý giải cho câu hỏi trên. Microsoft Active Directory được xem như
là một bước tiến triển đáng kể so với Windows NT Server 4.0 domain hay thậm chí các mạng
máy chủ standalone. Active Directory có một cơ chế quản trị tập trung trên toàn bộ mạng. Nó
cũng cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiều
domain controller được triển khai trong một domain.
Trang 4
Active Directory – Windows Server 2008
Active Directory sẽ tự động quản lý sự truyền thông giữa các domain controller để bảo
đảm mạng được duy trì. Người dùng có thể truy cập vào tất cả tài nguyên trên mạng thông
qua cơ chế đăng nhập một lần. Tất cả các tài nguyên trong mạng được bảo vệ bởi một cơ chế
bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn
của mỗi truy cập đối với tài nguyên.
Active Directory cho phép tăng cấp, hạ cấp các domain controller và các máy chủ
thành viên một cách dễ dàng. Các hệ thống có thể được quản lý và được bảo vệ thông qua các

1.3.4 Forest
Forest là một bộ phận chứa đựng logic lớn nhất trong Active Directory Domain
Services và bao gồm tất cả các domain thộc phạm vi hoạt động của nó, tất cả đều liên kết với
nhau thông qua ủy thác bắc cầu được xây dựng tự động. Bằng cách này, tất cả các domain
trong một forest tự động ủy thác các domain khác trong forest.
Các Forest không bị hạn chế theo địa lý hoặc topo mạng. Một forest có thể gồm nhiều
miền, mỗi miền lại chia sẻ một lược đồ chung. Các thành viên miền của cùng một forest thậm
chí không cần có kết nối LAN hoặc WAN giữa chúng. Mỗi một mạng riêng cũng có thể là
một gia đình của nhiều forest độc lập. Nói chung, một forest nên được sử dụng cho mỗi một
thực thể. Mặc dù vậy, vẫn cần đến các forest bổ sung cho việc thực hiện test và nghiên cứu
các mục đích bên ngoài forest tham gia sản xuất
1.3.5 Organizational unit
Nhóm các mục trong domain nào đó. Chúng tạo nên một kiến trúc phân cấp cho
domain và tạo cấu trúc tổ chức của Active Directory theo các điều kiện tổ chức và địa lý.
1.3.6 Object (đối tượng)
Trong Active Directory Domain Services, một object có thể là một phần của direcrory,
có thể là một user, một group, một thư mục chia sẻ, một máy in, một liên hệ, và thậm chí là
cả một organizational units. Object là thực thể duy nhất trong directory của bạn mà có thể
quản lý trực tiếp.
Trang 6
Active Directory – Windows Server 2008
1.3.7 Schema
Các schema trong Active Directory Domain Services là cấu trúc thực tế của các cơ sở
dữ liệu – các trường. Các loại thông tin khác nhau được lưu trong Active Directory Domain
Services được gọi là thuộc tính. Schema của Active Directory Domain Services cũng hỗ trợ
chuẩn theo lớp, hoặc kiểu của object. Lớp mô tả một object và các tài sản liên quan được yêu
cầu để tạo ra một phiên bản của đối tượng. Ví dụ các đối tượng user là minh họa của lớp user.
1.3.8 Site
Là tập hợp các máy tính ở các vị trí địa lý khác nhau, được kết nối tối thiểu qua một
liên kết. Site thường được dùng để xác định cách điều khiển domain được cập nhật liên tục.

Infrastructure Master đôi khi bị lẫn lộn với Global Catalog (GC), đây là thành phần
duy trì một copy chỉ cho phép đọc đối với các domain nằm trong một forest, được sử dụng
cho lưu trữ nhóm phổ dụng và quá trình đăng nhập,… Do GC lưu bản copy không hoàn chỉnh
của tất cả các đối tượng bên trong forest nên chúng có thể tạo các tham chiếu chéo giữa miền
không có nhu cầu phantom.
1.3.12 LDAP
LDAP (Lightweight Directory Access Protocol) là một phần của Active Directory, nó
là một giao thức phần mềm cho phép định vị các tổ chức, cá nhân hoặc các tài nguyên khác
như file và thiết bị trong mạng, dù mạng của bạn là mạng Internet công cộng hay mạng nội
bộ trong công ty.
Trong một mạng, một thư mục sẽ cho bạn biết được nơi cất trữ dữ liệu gì đó. Trong các
mạng TCP/IP (gồm có cả Internet), domain name system (DNS) là một hệ thống thư mục
được sử dụng gắn liền tên miền với một địa chỉ mạng cụ thể (vị trí duy nhất trong mạng).
Mặc dù vậy, bạn có thể không biết tên miền nhưng LDAP cho phép bạn tìm kiếm những cụ
thể mà không cần biết chúng được định vị ở đâu.
Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm có các mức dưới
đây:
• Thư mục gốc có các nhánh con
• Country, mỗi Country lại có các nhánh con
Trang 8
Active Directory – Windows Server 2008
• Organizations, mỗi Organization lại có các nhánh con
• Organizational units (các đơn vị, phòng ban,…), OU có các nhánh
• Individuals (cá thể, gồm có người, file và tài nguyên chia sẻ, chẳng hạn như
printer)
Một thư mục LDAP có thể được phân phối giữa nhiều máy chủ. Mỗi máy chủ có thể
có một phiên bản sao của thư mục tổng thể và được đồng bộ theo chu kỳ.
Các quản trị viên cần phải hiểu LDAP khi tìm kiếm các thông tin trong Active
Directory, cần tạo các truy vấn LDAP hữu dụng khi tìm kiếm các thông tin được lưu trong cơ
sở dữ liệu Active Directory.

cần kiểm tra một vấn đề nào đó có liên quan đến GP.
1.4 Các dịch vụ của Active Directory
1.4.1 Active Directory Domain Services (AD DS)
Active Directory Domain Services (AD DS), trước đây được biết tới với tên gọi Active
Directory Directory Services, là một khu vực để tập trung thông tin cấu hình, các yêu cầu xác
thực và thông tin về tất cả những đối tượng được lưu trữ trong phạm vi hệ thống của bạn.
Dùng Active Directory, bạn có thể quản lý một cách hiệu quả các người dùng, máy tính,
nhóm làm việc, máy in, ứng dụng và các đối tượng khác theo thư mục từ một khu vực tập
trung và bảo mật. Những tính năng nâng cao đối với AD DS trong Windows Server 2008 bao
gồm:
 Auditing: Những thay đổi được thực hiện đối với các đối tượng trong Active
Directory có thể được lưu lại để bạn biết được những thay đổi diễn ra đối với đối
tượng đó, cũng như các giá trị mới và giá trị cũ của những thuộc tính đã thay đổi.
 Fine-Grained Passwords: Có thể cấu hình các chính sách về mật khẩu cho các
nhóm phân biệt nằm trong domain. Mỗi tài khoản trong phạm vi domain sẽ không
còn phải sử dụng cùng một chính sách về mật khẩu nữa.
 Read-Only Domain Controller: Là một Domain Controller với cơ sở dữ liệu
Active Directory ở dạng chỉ đọc. Dịch vụ này giúp bạn tạm bảo mật được đối với
Trang 10
Active Directory – Windows Server 2008
những nơi mà bảo mật chưa được đảm bảo cao độ, chẳng hạn như các văn phòng.
Read-Only Domain Controller không cho phép các domain controller ở cấp thấp
hơn thực hiện những thay đổi lên Active Directory. Sử dụng Read-Only Domain
Controllers (RODCs) không cho những thay đổi diễn ra tại khu vực chi nhánh có
thể gây hại hoặc đánh sập AD forest của bạn thông qua quá trình sao chép. Nhờ có
RODC, cũng không cần thiết phải sử dụng một site trung gian cho các domain
controller tại văn phòng chi nhánh, hoặc không cần gửi đĩa cài đặt và người quản trị
domain tới khu vực văn phòng chi nhánh.
 Restartable Active Directory Domain Services: đặc điểm này giúp bạn khởi động
lại AD DS trong khi vẫn giữ nguyên trạng thái hoạt động của Domain Controller,

bạn có thể sử dụng AD LDS để lưu trữ dữ liệu. AD LDS có thể sử dụng kết hợp với AD DS
để mang tới cho bạn một khu vực tập trung dành cho các tài khoản bảo mật (AD DS) và một
khu vực khác để hỗ trợ cấu hình ứng dụng và dữ liệu thư mục (AD LDS). Sử dụng AD LDS,
bạn có thể: giảm bớt các chi phí liên quan tới việc sao chép Active Directory; không cần mở
rộng lược đồ Active Directory để hỗ trợ ứng dụng; và có thể phân vùng cấu trúc thư mục sao
cho dịch vụ AD LDS chỉ được triển khai tới những máy chủ cần hỗ trợ các ứng dụng theo thư
mục. Những đặc tính nâng cao đối với AD LDS trong Windows Server 2008 bao gồm:
 Cài đặt từ Media Generation: Khả năng tạo các phương tiện cài đặt cho AD
LDS bằng Ntdsutil.exe hoặc Dsdbutil.exe.
 Kiểm toán: Kiểm tra những giá trị đã thay đổi trong phạm vị dịch vụ thư mục.
 Database Mounting Tool: Cho phép bạn xem dữ liệu trong phạm vi các
snapshot của file cơ sở dữ liệu.
 Active Directory Sites and Services Support: Cho phép bạn sử dụng các
Active Directory Sites and Services để quản lý việc sao lại những thay đổi dữ liệu của
AD LDS.
Trang 12
Active Directory – Windows Server 2008
 Dynamic List of LDIF files: Với đặc tính này, bạn có thể liên kết các file LDIF
tùy biến với các file LDIF mặc định hiện có được dùng để thiết lập AD LDS trên một
máy chủ.
 Recursive Linked-Attribute Queries: Các truy vấn LDAP có thể theo những
đường dẫn có cấu trúc mạng lưới của thuộc tính để xác định các tính chất bổ xung của
thuộc tính, như là thành viên nhóm.
1.4.4 Active Directory Rights Management Services (AD RMS)
Là dịch vụ được dùng để kết hợp với các ứng dụng hỗ trợ AD RMS (AD RMS –
enable application), nhằm bảo vệ dữ liệu quan trọng ( báo cáo tài chính,thông tin khách
hàng,đơn hàng,sổ sách kê khai kế toán .v..v.) trước những đối tượng người dùng không được
phép (unauthorized users).Với AD RMS, bạn có thể xác định những ai có thể thực hiện các
thao tác như xem, chỉnh sửa, in ấn…, trên dữ liệu của mình.
1.4.5 Active Directory Certificate Services (AD CS)

 Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu
cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập
của mình vào trong DNS.
1.5.1.1 Đặt địa chỉ IP cho máy chủ
Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là 192.168.1.1, DNS
cũng là 192.168.1.1
Trang 14
Active Directory – Windows Server 2008
Hình 1.1
1.5.1.2 Cài đặt và cấu hình DNS
Chọn Start  Server Manager  Roles  DNS Server
Chuột phải tại mục Forward Lookup Zone  chọn New zone
Chọn Next tại cửa sổ kế tiếp và Chọn Primary Zone tại cửa sổ kế
Trang 15
Active Directory – Windows Server 2008
Trong cửa sổ kế bạn có thể chọn một trong 3 tùy chọn sau:
1. To all DNS server in this forest: Áp dụng với tất cả DNS server trong foresr này
2. To all DNS server in this domain: Áp dụng với tất cả DNS server trong domain
3. To all domain controllers in this domain: Áp dụng tới tất cả các domain
controller trong domain này
Sau đó chọn Next để tiếp tục
Trang 16
Active Directory – Windows Server 2008
Trình cài đặt yêu cầu bạn nhập tên cho zone mới. Nhập tên và chọn Next
Trong cửa sổ kế bạn chọn Allow both nonsecure and secure dynamic update đây là bắt
buộc để khi cài đặt Active Directory sẽ tự động ghi các Record vào DNS
Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS. Công việc của bạn chưa kết
thúc, bạn vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS.
Trang 17
Active Directory – Windows Server 2008

Trang 20
Active Directory – Windows Server 2008
Nhấn Next.Tại bảng Active Directory Domain Services giới thiệu cho bạn về dịch vụ
này và một số lưu ý khi cài đặt trong phần Things to Note
Trang 21
Active Directory – Windows Server 2008
Chọn Next để tiếp tục.Tại bảng Confirm Installation Selections sẽ yêu cầu bạn xác
nhận lần cuối trước khi cài đặt.Chọn Install
Trang 22
Active Directory – Windows Server 2008
Đợi cho đến khi hoàn tất quá trình cài đặt dịch vụ Active Directory Domain Services
Trang 23
Active Directory – Windows Server 2008
Chọn Close để hoàn tất
Trang 24
Active Directory – Windows Server 2008
1.5.3 Cài đặt domain đầu tiên (Domain chính)
Các domain đầu tiên trong việc cài đặt Active Directory Domain Services là đặc biệt vì
một vài lý do: Nó sẽ trở thành domain controller đầu tiên cho domain mới và domain này sẽ
trở thành gốc của toàn bộ forest.
Các bước cài đặt cụ thể được thể hiện chi tiết dưới đây:
 Vào Run gõ dcpromo và chọn OK
Trang 25