Xây dựng hệ thống mạng - Phần 6: Tạo hàng loạt user domain
Trong phần trước chúng ta đã cùng cài đặt Mail Server cho hệ thống mạng.Trước khi bắt tay vào xây dựng thành phần cũng rất quan trọng của hệ thống là File Server,ta sẽ cùng tìm hiểu cách thức xây dựng hệ thống phân cấp OU trong AD để thuận tiện cho việc quản lý và làm cách nào để tạo ra hàng loạt user nhanh chóng bằng công cụ dòng lệnh.Chuẩn bị:-1 máy DC
-Microsoft Office (Ở đây mình dùng Office 2007,mọi người có thể sử dụng phiên bản khác cũng không sao,tuy nhiên cách thực hiện sẽ hơi khác)
-1 file excel có chứa danh sách nhân viên công ty và các thông tin liên quan
Các bước thực hiện:Sau khi xây dựng domain,1 công việc mà chắc chắn bất kỳ 1 người quản trị hệ thống nào cũng phải làm,đó là tạo ra các user cho domain đó.
Nếu công ty có khoảng vài trăm nhân viên thì việc tạo từng user trong AD rõ ràng là 1 công việc vô cùng nhàm chán và tiêu tốn rất nhiều công sức của người quản trị.
Thay vì làm 1 cách thủ công như vậy,trong bài này mình sẽ hướng dẫn mọi người cách sử dụng công cụ dòng lệnh cùng với tính năng trộn thư (Mail merge) của Microsoft Office để tạo ra hàng loạt users chỉ trong vài phút.
Về vấn đề này,trước đây anh qhoa83 cũng đã có 1 bài viết rất hay.Mọi người có thể tham khảo thêm ở đây:
Code:
http://forum.itlab.com.vn/forum/showthread.php?t=1756
Tuy nhiên trong bài viết này mình sẽ giới thiệu thêm 1 cách nữa,có phần đơn giản hơn vì không cần thiết phải dùng đến script trên từng OU.
Bây giờ ta sẽ cùng bắt đầu thực hiện:
Trước tiên cần phải có 1 file excel có chứa thông tin của nhân viên trong công ty.Mọi người có thể tham khảo mẫu sau:
Code:
http://www.mediafire.com/?aayvtmdaama
File đó sẽ có các trường thông tin đại loại thế này:
Bây giờ ta sẽ vào Word tạo ra 1 file có nội dung như sau:
Những chỗ mình bôi đỏ là những thông tin cần phải thay thế tương ứng với mỗi user.
Câu lệnh trên sẽ tạo ra user
khanhdq,thuộc OU
IT,domain
itlab.com.vn,Password
abc@123,last name là
Khanh,first name là
Do Quang,Email là
khanhdq@itlab.com.vn,tên hiển thị là
Do Quang Khanh,thư mục cá nhân trên server là
\\172.16.1.1\canhan\IT\khanhdq,user này phải đổi password trong lần log on đầu tiên.
Chú ý những chỗ mà trường thông tin có dấu cách thì ta phải bỏ trong ngoặc kép.VD như
-fn "Do Quang"Thông tin chi tiết về lệnh dsadd các bạn có thể tham khảo bằng cách vào Start/Run/cmd rồi gõ:
Tiếp đó ta chuyển sang thẻ
Mailings/Nhấn
Start Mail Merge/Letters:
Tiếp đó nhấn
Select Recipients/Use Existing List...:
Browse đến file Excel có chứa danh sách nhân viên:
Chọn Sheet có chứa thông tin cần thiết,ở đây là
Sheet 1$:
Tiếp đó ta bôi đen những chỗ chữ màu đỏ và nhấn
Insert Merge Field/Chọn trường thông tin tương ứng trong file Excel.(VD ở đây chữ
khanhdq sẽ được thay thế bằng trường
cn trong file Excel):
Sau khi thay xong thì nội dung sẽ thay đổi thành thế này:
Tiếp tục làm tương tự với các trường còn lại,ta sẽ được 1 câu lệnh như sau:
Bây giờ nhấn
Finish & Merge/Edit Individual Documents...:
Chọn
All để trộn tất cả các bản ghi có trong file Excel:
Lúc này ta sẽ được 1 file word mới tên là Letters1 hay gì đó.
Bây giờ trên máy DC,ta vào
Active Directory User and Computer,tạo ra các OU cần thiết.
Ta copy toàn bộ nội dung của file word Letter1.Tiếp theo ta vào
Start/Run/cmd,chuột phải chọn
Paste.Như các bạn thấy,hàng trăm users được tạo ra chỉ trong 1 thời gian rất ngắn:
Ta có thể vào
Active Directory User and Computer để kiểm tra lại:
Okie,vậy là ta đã hoàn thành việc tạo hàng loạt users chỉ trong chốc lát.Khi viết bài này mình thử tạo ra 400 users,toàn bộ quá trình làm mất khoảng 3 phút.(Với điều kiện file Excel đã được tạo sẵn)
Nếu các bạn sử dụng Office 2003 để thực hiện Mail Merge thì cách làm có hơi khác,đây là video hướng dẫn,các bạn có thể down về để tham khảo:
Code:
http://www.mediafire.com/?iogt1ose5xt
Trong bài tiếp theo chúng ta sẽ cùng tìm hiểu từng bước để xây dựng nên 1 file server để lưu trữ và chia sẻ thông tin giữa các user trong hệ thống mạng,cách thức phân quyền cũng như quản lý đối với từng thư mục trên file server đó. Xem thêm tại đây:
http://forum.vndownload.org/showthread.php?t=13473#ixzz0qgvr3JXqXây dựng hệ thống mạng - Phần 7: Thiết kế và cấu hình File Server
1.Nhóm User của phòng ban vào các Group để phục vụ cho việc phân quyền
Tạo các thư mục chia sẻ trên File Server và phân quyền cho từng thư mục chia sẻTrong phần trước chúng ta đã tạo ra được 1 hệ thống OU-User hoàn chỉnh trong Active Directory:
Bây giờ với mỗi OU ta
tạo 1 Group tương ứng và
add các User của phòng ban vào nhằm phục vụ cho việc phân quyền:
Giả sử ta đã hoàn thành các bước cấu hình phần cứng với File server (Cài đặt RAID,tạo phân vùng...).Trước tiên ta tạo ra các thư mục chia sẻ
Public,Phongban.Ngoài ra nếu yêu cầu có các thư mục dành riêng cho cá nhân thì tạo thêm thư mục Canhan nữa:
Đối với thư mục
Public:
Ta phân quyền như sau:
Trước tiên thẻ
Sharing ta cho
Everyone quyền
Full Control.Đối với tất cả các thư mục khác sau này ta cũng đều phân quyền trên thẻ Sharing như vậy để tránh nhầm lẫn:
Tiếp theo trên thẻ
Security.Theo yêu cầu các Lãnh đạo phải có quyền sửa xóa file trên thư mục Public,vì vậy ta add thêm Group
Lanh Dao và cho quyền
Modify:
Tiếp theo vì User chỉ có quyền đọc nên ta cần thay đổi quyền mặc định.Để làm được điều này trước tiên ta cần bỏ tính năng thừa kế quyền từ thư mục cha (Inheritance).Nhấn vào
Advanced:
Bỏ tick mục
Allow Inheritance ... rồi nhấn
Copy:
Tiếp theo chọn vào dòng cuối cùng (Allow user Special Permisssion) rồi remove nó đi:
Bây giờ User chỉ có những quyền sau:
Okie,vậy là ta đã phân quyền cho thư mục
Public thỏa mãn yêu cầu bài toán.Tiếp theo ta sẽ thực hiện với thư mục
Phongban:
Trước tiên ta phân quyền trên thư mục
Phongban để
User chỉ có quyền Read.Sau đó ta tạo ra các thư mục chia sẻ tương ứng với từng phòng ban trong thư mục
Phongban:
Bây giờ ta sẽ tiến hành phân quyền cho thư mục
Tong Hop của phòng Tổng hợp.Các thư mục khác phân quyền tương tự:
Thẻ
Sharing ta vẫn cho
Everyone Full ControlTiếp theo thẻ
Security ta remove nhóm
User Domain đi:
Add nhóm
Tong Hop vào và cho quyền
Write:
Vậy là ta đã thực hiên được yêu cầu cho thư mục
Tong Hop: Chỉ có
User thuộc phòng Tổng Hợp mới có quyền xem và Up file,các User khác trong Domain không có quyền trên thư mục này.
Đối với các phòng ban khác ta cũng thực hiện tương tự.
(To be continued ... )[=> Bổ sung bài viết <=]
2.Tạo Script tự động map ổ từ File Server về mỗi máy trạm.Dùng GPO để áp đặt chính sách tới mọi user trong domainTrước tiên ta tạo ra 1 file script có nội dung như sau:
Trong đó
X,Y là ký tự ổ đĩa mạng trên máy trạm
172.16.1.1 là IP của File Server
Public và
phongban là tên các thư mục chia sẻ trên File Server
Save file này thành
logon.bat và lưu vào 1 thư mục chia sẻ trên File Server.
User Domain cần có quyền
Read & Execute trên thư mục này.Ở đây mình lưu luôn vào thư mục Public:
Tiếp theo ta vào
Active Directory Users & Computers/Chuột phải trên tên Server chọn
Properties/Chuyển sang thẻ
Group Policy chọn
New/Đặt tên cho GPO mới:
Tìm tới
User Configuration/Windows Settings/Scripts(Logon/Logoff)/Nháy đúp vào
Logon:
Nhấn
Add rồi Browse đến file
logon.bat ta đã tạo ra ở bước trước:
Đổi lại đường dẫn của file này
từ tên máy (DC) thành IP (172.16.1.1) rồi
OK:
Tiếp theo vào
Start/Run gõ
gpupdate /force để áp đặt chính sách của GPO này xuống các máy trạm:
Bây giờ logon vào 1 máy trạm để kiểm tra thử.Như các bạn thấy,các ổ đĩa mạng của File Server đã được map tự động về máy người dùng mỗi khi Logon:
Post tiếp 1 phần nữa thôi,sợ nhiều quá mọi người không tiêu hóa kịp :p
Xem thêm tại đây:
http://forum.vndownload.org/showthread.php?t=13473#ixzz0qgwEVxNk Xây dựng hệ thống mạng - Phần 8: Dựng ISA Server
Sau khi thiết lập xong hạ tầng mạng nội bộ,công việc hết sức quan trọng tiếp theo mà ta cần phải làm,đó là dựng tường lửa để bảo vệ hệ thống.Bên cạnh giải pháp phần cứng,ta có 1 lựa chọn nữa,đó là xây dựng tường lửa mềm.1 trong những sản phẩm được rất nhiều doanh nghiệp lựa chọn sử dụng là ISA của Microsoft.Trong phần này ta sẽ cùng tìm hiểu cách thức cài đặt ISA Server với vai trò Edge Firewall trong hệ thống.Chuẩn bị:-1 máy cài đặt hệ điều hành Windows Server,có ít nhất 2 card mạng,1 card thông với mạng nội bộ (Card Internal),1 card thông với Internet (Card External)
Card Internal:IP: 192.168.1.254
SM: 255.255.255.0
DG: Không có
DNS: Không có
Card External: Cấp động hoặc thiết lập bằng tay theo thông số của nhà cũng cấp dịch vụ
-CD ISA Standard Edition 2004 hoặc 2006 (Ở đây mình dùng bản 2006)
Các bước thực hiện:Trước khi bắt đầu cài đặt,ta sẽ tinh chỉnh 1 vài thông số để tăng tính bảo mật cho ISA Server.
Với vai trò là tường lửa ở cửa ngõ của hệ thống mạng,1 vài dịch vụ trên máy cài đặt ISA là ko cần thiết,vì vậy ta nên tắt đi để tăng tính bảo mật.
Trên card
Extenal ta vào
Properties/ Internet Protocols(TCP/IP)/ Properties:
Nhấn
Advanced...:
Vào thẻ
DNS,bỏ tick mục
Register this connection's Addresses in DNS:
Vào tiếp thẻ
WINS,bỏ tick mục
Enable LMHOSTS lookup,chọn mục
Disable NETBIOS over TCP/IP:
Bây giờ ta đưa đĩa cài đặt ISA vào,chọn
Install ISA Server 2006:
Chú ý: Máy cài ISA không cần và cũng không nên join vào domain!
Next:
Đồng ý
License:
Điền tên User và tổ chức:
Chọn kiểu cài
Custom:
Với ISA 2006 thì ta để nguyên:
Trường hợp cài ISA 2004 thì ở bước này ta chọn thêm thành phần
Firewall Client Installation Share để phục vụ cho việc cài Firewall Client sau này:
Tiếp theo ta nhấn
Add:
Điền
dải IP của mạng nội bộ.Chú ý
bước này phải điền tuyệt đối chính xác.Nếu sai thì ISA sẽ không phân biệt được đâu là dải nội bộ,đâu là dải External dẫn đến hoạt động ko chính xác:
Với ISA 2004:
Với ISA 2006:
Chú ý: Trong các phần trước thì dải IP nội bộ mình sử dụng là 192.168.1.0/24
Sau khi add xong nhấn
Next:
Nhấn
Next:
Next:
Nhấn
Install:
Sau khi cài đặt xong nhấn
Finish:
Để khởi động ISA ta vào
Start/ All Programs/ Microsoft ISA Server/ ISA Server Management:
Giao diện của chương trình hiện ra như sau:
Tới đây ta đã hoàn thành xong việc cài đặt cho ISA Server.Mặc định sau khi vừa cài đặt,ISA sẽ chặn mọi kết nối đi qua nó.Vì vậy ở bài tiếp theo,chúng ta sẽ cùng tìm hiểu cách thức cấu hình các rules trên ISA để cho phép các dịch vụ cơ bản lưu thông, cấu hình chặn các ứng dụng không cần thiết,chặn các trang web không lành mạnh .... 
