Domain Controller là một hay nhiều server mà trên đó có cài dịch vụ Active Directory Domain Services (AD DS).
AD DS là kho lưu trữ trung tâm của tất cả các mọi đối tượng trong domain (tên miền), chẳng hạn như user accounts, computer accounts, và groups. AD DS cung cấp một hệ phân cấp, có thể tìm kiếm, xác thực danh tách, cấu hình và cài đặt bảo mật cho các đối tượng trong doanh nghiệp.
Domain (tên miền): là tên duy nhất trên toàn hệ thống ví dụ như vnseolab.com, ctl.vn, ctl.eduu.vn…
Sau khi hoàn tất bài lab các bạn có thể tự nâng cấp Windows Server 2019/2022 lên domain controller, join máy Windows 10/11 vào domain, thiết lập các policy liên quan đế password và logon locally
CÁC BƯỚC TRIỂN KHAI DOMAIN CONTROLLER:
1. Cài đặt Domain Controller
2. Join máy Workstation vào Domain
3. Cấu hình Group Policy
- a. Cấu hình cho phép đặt password đơn giản
- b. Cấu hình cho phép Group Users được log on trên DC
- c. Tạo Domain Users và kiểm tra
4. Cài Remote Server Administrator Tools cho máy Client
5. Run as Administrator
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ PC01: Windows Server 2019/2022 Data Center
+ PC02: Windows 10/11 Professional
B- THỰC HIỆN NÂNG CẤP LÊN DOMAIN CONTROLLER
1. Cài đặt Domain Controller (Thực hiện trên máy PC01)
B1 – Trên máy PC01, chuột phải biểu tượng card mạng, chọn Open Network and Sharing Center, sau đó chọn Change Adapter Settings
| B2 – Chuột phải card External, chọn Properties.Bỏ dấu chọn ô Internet Protocol Version 6 (TCP/IPv6). Chọn Internet Protocol Version 4 (TCP/IPv4), chọn Properties.  |
B3 – Trong ô Preferred DNS server, nhập IP của chính máy PC01 192.168.1.1, chọn OK 2 lần.
|
B4 – Mở Server Manager, vào menu Manage, chọn Add Roles and Features.
B5 – Cửa sổ Before You Begin, chọn Next 3 lần.
B6 – Trong cửa sổ Select server roles, đánh dấu chọn Active Directory Domain Services . Hộp thoại Add Roles and Features Wizard, chọn Add Features, chọn Next.
B7 – Cửa sổ Select features, chọn Next 2 lần.
B8 – Cửa sổ Confirm installation selections, nhấn Install để cài đặt.
B9 – Sau khi cài đặt thành công, trong cửa sổ Installation progress, chọn dòng Promote this server to a domain controller.
B10 – Cửa sổ Deployment Configuration, chọn Add a new forest. Trong ô Root domain name, nhập DOM01.LOCAL, chọn Next.
B11 – Cửa sổ Domain Controller Options, nhập P@ssword vào ô Password và Confirm Password, chọn Next 4 lần.
B12 – Cửa sổ Prerequisites Check, chọn Install.
B13 – Sau khi cài đặt thành công, PC1 sẽ tự động restart. Sign In DOM01\Administrator
2. Join máy Workstation vào Domain (Thực hiện trên PC02)
B1 – Trên máy PC01, chuột phải biểu tượng card mạng, chọn Open Network & Internet Settings, sau đó chọn Change Adapter Options
B2 – Bỏ dấu chọn ở ô Internet Protocol Version 6 (TCP/IPv6). Chọn ô Internet Protocol Version 4 (TCP/IPv4), chọn Properties.
B3 –Trong ô Preferred DNS server, nhập IP PC01: 192.168.1.1, chọn OK 2 lần.
B4 – Chuột phải biểu tượng This PC trên Desktop, chọn Properties
B5 – Cửa sổ Systems, chọn Change settings
B6 – Cửa sổ System Properties, chọn Change.
B7 – Cửa sổ Computer Name/Domain Changes, chọn Domain, nhập DOM01.LOCAL, chọn OK.
B8 – Hộp thoại Windows Security, nhập DOM01\Administrator vào ô Username và P@ssword vào ô Password, chọn OK 3 lần, chọn Close và chọn Restart Now.
B9 – Sau khi khởi động, đăng nhập bằng DOM01\Administrator với password P@ssword.
3. Cấu hình Group Policy (Thực hiện trên máy PC01)
a. Cấu hình cho phép đặt password đơn giản
B1 – Trên máy PC01, mở Server Manager, vào menu Tools, chọn Group Policy Management.
B2 – Lần lượt bung các mục Forest: DOM01.LOCAL > Domains > DOM01.LOCAL. Chuột phải Default Domain Policy, chọn Edit
B3 – Lần lượt mở theo đường dẫn Computer Configuration > Windows Settings > Security Settings > Account Policy > Password Policy.
B4 – Double click vào từng policy bên phải và sửa lại các giá trị như sau:
+ Enforce password history: 0
+ Maximum password age: 0
+ Minimum password length: 0
+ Password must meet complexity requirements: Disabled
B5 – Sau khi chỉnh policy xong, mở CMD, gõ lệnh: Gpupdate /Force
b. Cấu hình cho phép Group Users được log on trên DC
B1 – Lần lượt bung các mục Forest: DOM01.LOCAL > Domains > DOM01.LOCAL > Domain Controllers, chuột phải Default Domain Controllers Policy, chọn Edit
B2 – Mở theo đường dẫn sau Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment, double click vào mục Allow log on locally
B3 – Chọn Add User or Group, nhập vào Users, chọn Check Names, sau đó chọn OK 2 lần
B4 – Sau khi chỉnh policy xong, mở CMD, gõ lệnh: Gpupdate /Force
c. Tạo Domain Users và kiểm tra
B1 – Trên máy PC01, mở Server Manager, vào menu Tools, chọn Active Directory Users and Computers.
B2 – Chuột phải Users, chọn New > Users
B3 – Điền các thông tin cho user u1
B4 – Nhập password: 123 ở cả 2 mục Password và Confirm password. Đánh dấu chọn ô Password never expires, chọn Next, sau đó chọn Finish
B5 – Tương tự tạo thêm user u2
B6 – Sign Out Administrator. Lần lượt Sign In u1 và u2 trên máy PC01, đảm bảo thành công
4. Cài Remote Server Administrator Tools cho máy Client (Thực hiện trên máy PC02)
B1 – Sign In DOM01\Administrator. Truy cập Server, chép source WindowsTH-RSAT_WS_1803-x64 vào ổ C: và chạy file này.
B2 – Chọn Yes, sau đó chọn I accept. Quá trình cài đặt được thực hiện. Sau khi cài xong nhấn Close
B3 – Nhấn vào biểu tượng Start, vào phần Windows Administrative Tools, chọn Active Directory Users and Computers
B4 – Truy cập thành công ADUC. Tạo thử user u3. Quan sát ADUC trên PC01, cũng có user u3
5. Run As Administrator (Thực hiện trên máy PC02)
B1 – Sign in DOM01\u1, mở Active Directory Users and Computers, tạo thử user mới. Do quyền user nên không tạo được.
B2 – Sign in DOM01\u1, vào biểu tượng Start, vào phần Windows Administrative Tools, chuột phải Active Directory Users and Computers, chọn More, chọn Run as administrator
B3 – Khai báo DOM01\Administrator, password: P@ssword, chọn Yes
B4 – Tạo user u4, tạo thành công
Hoàn Thành bài Lab