-
Thông tin
-
Hỏi đáp
Quản trị mạng máy tính | Giáo trình môn Quản trị mạng | Trường Cao đẳng Kỹ thuật Công nghệ Nha Trang
Giáo trình môn Quản trị mạng của Trường Cao đẳng Kỹ thuật Công nghệ Nha Trang được biên soạn dưới dạng PDF gồm những kiến thức và thông tin cần thiết cho môn học giúp sinh viên có định hướng ôn tập, nắm vững kiến thức môn học từ đó làm tốt trong các bài kiểm tra, bài tiểu luận, bài tập kết thúc học phần, để đạt kết quả cao cũng như có thể vận dụng tốt những kiến thức đã học vào thực tiễn cuộc sống. Mời bạn đọc đón xem!
Quản trị mạng máy tính | Giáo trình môn Quản trị mạng | Trường Cao đẳng Kỹ thuật Công nghệ Nha Trang
Giáo trình môn Quản trị mạng của Trường Cao đẳng Kỹ thuật Công nghệ Nha Trang được biên soạn dưới dạng PDF gồm những kiến thức và thông tin cần thiết cho môn học giúp sinh viên có định hướng ôn tập, nắm vững kiến thức môn học từ đó làm tốt trong các bài kiểm tra, bài tiểu luận, bài tập kết thúc học phần, để đạt kết quả cao cũng như có thể vận dụng tốt những kiến thức đã học vào thực tiễn cuộc sống. Mời bạn đọc đón xem!
Môn: Quản trị mạng (NT)
Trường: Trường Cao đẳng Kỹ thuật Công nghệ Nha Trang
Thông tin:
Tác giả:
Preview text:
ỦY BAN NHÂN DÂN TỈNH LONG AN
TRƯỜNG CAO ĐẲNG LONG AN
GIÁO TRÌNH MÔN HỌC
QUẢN TRỊ MẠNG MÁY TÍNH
(Lưu hành nội bộ) Năm 2019 1 BÀI 1
TỔNG QUAN VỀ WINDOWS SERVER 2008 Giới thiệu:
Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành
Windows Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm
soát tối đa cơ sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa
từng có, là sản phẩm hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và
môi trường máy chủ vững chắc hơn các phiên bản trước đây. Sau đây chúng ta
cùng nhau tìm hiểu về đặc tính của Windows Server 2008 . Mục tiêu:
- Phân biệt được về họ hệ điều hành Windows Server;
- Cài đặt được hệ điều hành Windows Server.
- Thực hiện các thao tác an toàn với máy tính. Nội dung chính:
1. Giới thiệu về windows server 2008
Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows
Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa
cơ sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có,
là sản phẩm hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và môi
trường máy chủ vững chắc hơn các phiên bản trước đây.
Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc
bảo đảm tất cả người dùng đều có thể có được những thành phần bổ sung từ
các dịch vụ từ mạng. Windows Server 2008 cũng cung cấp nhiều tính năng
vượt trội bên trong hệ điều hành và khả năng chuẩn đoán, cho phép các quản
trị viên tăng được thời gian hỗ trợ cho các doanh nghiệp.
Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được
nền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm
việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và
những cải thiện mạnh mẽ cho hệ điều hành cơ bản.
Cải thiện hệ điều hành cho máy chủ Windows.Thêm vào tính năng mới,
Windows Server 2008 cung cấp nhiều cải thiệm tốt hơn cho hệ điều hành cơ
bản so với hệ điều hành Windows Server 2008 .
Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng
bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các
công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sự triển khai và hệ thống file.
2. Các tính năng của windows server 2008
2.1. Công cụ quản trị Server Manager 2
Server Manager là một giao diện điều khiển được thiết kế để tổ chức và
quản lý một server chạy hệ điều hành Windows Server 2008. Người quản trị có
thể sử dụng Server Manager với những nhiều mục đích khác nhau. -
Quản lý đồng nhất trên một server -
Hiển thị trạng thái hiện tại của server -
Nhận ra các vấn đề gặp phải đối với các role đã đƣợc cài đặt một cách dễ dàng hơn -
Quản lý các role trên server, bao gồm việc thêm và xóa role -
Thêm và xóa bỏ các tính năng -
Chẩn đoán các dấu hiệu bất thường
- Cấu hình server: có 4 công cụ ( Task Scheduler, Windows Firewall, Services và WMI Control).
- Cấu hình sao lưu và lưu trữ: các công cụ giúp bạn sao lưu và quản lý
ổ đĩa là Windows Server Backup và Disk Management đều nằm trên Server Manager. 2.2. Windows Server Core
- Server Core là một tính năng mới trong Windows Server 2008. Nó cho phép
có thể cài đặt với mục đích hỗ trợ đặc biệt và cụ thể đối với một số role.
- Tất cả các tương tác với Server Core được thông qua các dòng lệnh. Server
Core mang lại những lợi ích sau:
+Giảm thiểu được phần mềm, vì thế việc sử dụng dung lượng ổ đĩa cũng được
giảm. Chỉ tốn khoảng 1GB khi cài đặt.
+ Bởi vì giảm thiểu được phần mềm nên việc cập nhật cũng không nhiều.
+ Giảm thiểu tối đa những hành vi xâm nhập vào hệ thống thông qua các port được mở mặc định. + Dễ dàng quản lý. -
Server Core không bao gồm tất cả các tính năng có sẵn trong những phiên
bản cài đặt Server khác. Ví dụ như .NET Framework hoặc Internet Explorer. 2.3. PowerShell
- PowerShell là một tập hợp lệnh. Nó kết nối những dòng lệnh shell với một
ngôn ngữ script và thêm vào đó hơn 130 công cụ dòng lệnh(được gọi là
cmdlets).Hiện tại, có thể sử dụng PowerShell trong: + Exchange Server + SQL Server + Terminal Services
+ Active Directory Domain Services.
+ Quản trị các dịch vụ, xử lý và registry. -
Mặc định, Windows PowerShell chưa được cài đặt. Tuy nhiên bạn có thể
cài đặt nó một cách dễ dàng bằng cách sử dụng công cụ quản trị Server
Manager và chọn Features > Add Features 3
2.4. Windows Deloyment Services.
- Windows Deployment Services được tích hợp trong Windows Server 2008 cho
phép bạn cài đặt hệ điều hành từ xa cho các máy client mà không cần phải cài
đặt trực tiếp. WDS cho phép bạn cài đặt từ xa thông qua Image lấy từ DVD cài
đặt. Ngoài ra, WDS còn hỗ trợ tạo Image từ 1 máy tính đã cài đặt sẵn
Windows và đầy đủ các ứng dụng khác.
- Windows Deployment Serviece sử dụng định dạng Windows Image (WIM).
Một cải tiến đặc biệt với WIM so với RIS là WIM có thể làm việc tốt với nhiều
nền tảng phần cứng khác nhau. 2.5. Terminal Services.
- Terminal Services là một thành phần chính trên Windows Server 2009 cho
phép user có thể truy cập vào server để sử dụng những phần mềm.
- Terminal Services giúp người quản trị triển khai và bảo trì hệ thống phần mềm
trong doanh nghiệp một cách hiệu quả. Người quản trị có thể cài đặt các
chương trình phần mềm lên Terminal Server mà không cần cài đặt trên hệ
thống máy client, vì thế việc cập nhật và bảo trì phần mềm trở nên dễ dàng hơn.
- Terminal Services cung cấp 2 sự khác biệt cho người quản trị và người dùng cuối :
- Dành cho người quản trị: cho phép quản trị có thể kết nối từ xa hệ thống
quản trị bằng việc sử dụng Remote Desktop Connection hoặc Remote Desktop.
- Dành cho ngƣời dùng cuối: cho phép người dùng cuối có thể chạy các chương
trình từ Terminal Services server. 2.6.
Network Access Protection -
Network Access Protection (NAP) là một hệ thống chính sách thi hành
(Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows Server 2008.
- Cơ chế thực thi của NAP:
+ Kiểm tra tình trạng an toàn của client.
+ Giới hạn truy cập đối với các máy client không an toàn.
+ NAP sẽ cập nhật những thành phần cần thiết cho các máy client không an
toàn, cho đến khi client đủ điều kiện an toàn.Cho phép client kết nối nếu client đã thỏa điều kiện.
+ NAP giúp bảo vệ hệ thống mạng từ các client.
+ NAP cung cấp bộ thư viên API (Application Programming Interface), cho
phép các nhà quản trị lập trình nhằm tăng tính bảo mật cho mình 2.7.
Read-Only Domain Controllers -
Read-Only Domain Controller (RODC) là một kiểu Domain Controller
mới trên Windows Server 2008.Với RODC, doanh nghiệp có thể dễ dàng triển
khai các Domain Controller ở những nơi mà sự bảo mật không được đảm bảo
về bảo mật. RODC là một phần dữ liệu của Active Directory Domain Services. 4
- Vì RODC là một phần dữ liệu của ADDS nên nó lưu trữ mọi đối tượng,
thuộc tính và các chính sách giống như domain controller, tuy nhiên mật khẩu thì bị ngoại trừ.
2.8. Công nghệ Failover Clustering. -
Clustering là công nghệ cho phép sử dụng hai hay nhiều server kết hợp với
nhau để tạo thành một cụm server để tăng cường tính ổn định trong vận
hành.Nếu server này ngưng hoạt động thì server khác trong cụm sẽ đảm nhận
nhiệm vụ mà server ngưng hoạt động đó đang thực hiện nhằm mục đích hoạt
động của hệ thống vẫn bình thường. Quá trình chuyên giao gọi là fail-over.
Những phiên bản sau hỗ trợ:
. Windows Server 2008 Enterprise
. Windows Server 2008 Datacenter . Windows Server 2008 Itanium 2.9.
Windows Firewall with Advance Security
- Windows Firewall with Advance Security cho phép người quản trị có thể
cấu hình đa dạng và nâng cao để tăng cường tính bảo mật cho hệ thống. -
Windows Firewall with Advance Security có những điểm mới:
+ Kiểm soát chặt chẽ các kết nối vào và ra trên hệ thống (inbound và outbound)
+ IPsec được thay thế bằng khái niệm Connection Security Rule, giúp bạn có thể
kiểm soát và quản lý các chính sách, đồng thời giám sát trên firewall. Kết hợp với Active Directory.
+ Hỗ trợ đầy đủ IPv6.
3. Một số tính năng mới của windows server 2008 3.1.
Công nghệ ảo hóa Hyper-V
+ Hyper-V là công nghệ ảo hóa server thế hệ mới của Microsoft, sự thay đổi lớn
nhất mà Microsoft mang lại so với phiên bản Windows Server 2008 . Hyper-V
hoạt động trên nền hệ điều hành 64-bit. Với Hyper-V, người sử dụng có thể sở
hữu một nền tảng ảo hóa linh hoạt, bảo mật, tối đa hiệu suất và tiết kiệm chi phí:
+ Hyper-V có thể thích nghi với doanh nghiệp lớn với hàng nghìn máy tính
hoặc các doanh nghiệp nhỏ hay văn phòng chi nhánh. Hyper-V hỗ trợ bộ nhớ ảo
lên đến 64GB, đa bộ vi xử lý.
+ Khả năng bảo mật giống như các server vật lý. Kết hợp các cộng cụ
bảo mật Windows Firewall, Network Access Protection…do đó tính bảo
mật tốt như môi trường thật.
+ Hyper-V giúp khai thác tối đa hiệu suất sử dụng phần cứng server. Bằng
việc hợp nhất server, cho phép một server vật lý có thể đóng nhiều vai trò của
nhiều server. Từ đó, tiết kiệm được chi phí từ các khoảng mua server, điện, không gian và bảo trì.
Hyper-V chỉ có thể hỗ trợ đến 32 bộ vi xử lý. 3.2.
Processor Compatibility Mode 5 -
Cho phép di trú các máy ảo sang một máy chủ vật lý khác với một phiên
bản CPU khác (nhưng không phải là CPU của nhà sản xuất khác). Trước đây,
để chuyển một máy ảo Hyper-V sang một phần cứng khác, các CPU phải giống
nhau, điều đó yêu cầu người dùng thường phải mua lại phần cứng mới. 3.3.
File Classification Infrastructure -
FCI là một tính năng built-in cho phép các chuyên gia CNTT phân loại và
quản lý dữ liệu trong các máy chủ file. Dữ liệu có thể được phân loại với tác
động doanh nghiệp mức thấp, cao hoặc trung bình, sau đó người dùng có thể
backup các dữ liệu quan trọng nhất dễ dàng hơn và hiệu quả hơn. 3.4.
Quản lý trong ỗ đĩa và file: -
Cung cấp khả năng thay đổi kich thước phân vùng. -
Shadow Copy hỗ trợ ổ đĩa quang, ổ đĩa mạng. -
Distributed File System được cải tiến. -
Cải tiến Failover Clustering. -
Internet Storage Naming Server cho phép đăng ký, hủy đăng ký tập trung
và truy xuất tới các ổ đĩa cứng iSCS. 3.5.
Cải tiến giao thức và mã hóa -
Hỗ trợ mã hóa 128 và 256 bit cho giao thức chứng thực Keberos. -
Hàm API mã hóa mới hỗ trợ mã hóa vòng elip và cải tiến quản lý chứng chỉ. -
Giao thức VPN mới Secure Socket Tunneling Protocol. -
AuthIP được sử dụng trong mạng VPN Ipsec. -
Giao thức Server Message Block 2.0 cung cấp các cải tiến trong truyền thông.
3.6. Một số tính năng khác
- Windows Deployment Services thay thế cho Automated Deployment
Services và Remote Installation Services.
- IIS 7 thay thế IIS 6, tăng cường khả năng bảo mật, cải tiến công cụ chuẩn
đoán, hỗ trợ quản lý.
- Có thành phần "Desktop Experience" cung cấp khả năng cải tiến giao diện.
4. Các lợi ích của windows server 2008
Windows Server 2008 mang đến lợi ích trong bốn lĩnh vực:Web, Ảo
hóa, Bảo mật, Nền tảng vững chắc cho các hoạt động của tổ chức 4.1. Web
-Windows Server 2008 cung cấp một nền tảng đồng nhất để triển khai dịch vụ
Web nhờ tích hợp IIS7.0,ASP.NET,Windows Communication Foundation và
Microsoft Windows SharePoint Services. - Lợi ich của IIS 7.0: + Tinh năng phân tích + Quản trị hiệu quả. 6
+ Nâng cao tính bảo mật. + Giảm chi phí hỗ trợ.
+ Giao diện thân thiện và tiện dụng
+ Hỗ trợ việc sao chép giữa các site.
+ Copy dễ dàng các thiết lập của trang web giữa các máy chủ web khác
nhau mà không cần phải thiết lập gì thêm.
+ Chính sách phân quyền quản trị các ứng dụng và các site rõ ràng 4.2. Ảo hóa :
Phiên bản 64 bit của Windows Server 2008 được tích hợp sẵn công nghệ ảo hóa hypervisor :
+ Cho phép máy ảo tương tác trực tiếp với phần cứng máy chủ hiệu quả hơn.
+ Có khả năng ảo hóa nhiều hệ điều hành khác nhau trên cùng 1 phần cứng máy
chủ sẽ làm giảm chi phí, tăng hiệu suất sử dụng phần cứng, tối ưu hóa hạ tầng,
nâng cao tính sẵn sàng của máy chủ.
+ Tiết kiệm chi phí mua sắm bản quyền phần mềm.
+ Tich hợp và tập trung các ứng dụng phục vụ cho việc truy cập từ xa một
cách dễ dàng bằng cách sử dụng Terminal Services. 4.3. Bảo mật:
Các tính năng an ninh bao gồm: Network Access Protection, Read-Only
Domain Controller, BitLocker, Windows Firewall… cung cấp các mức bảo vệ
chưa từng có cho hệ thống mạng, dữ liệu và công việc của tổ chức.
4.4. Network Access Protection (NAP):
-NAP dùng để thiết lập chính sách mạng đối với các máy trạm khi máy trạm đó
muốn kết nối váo hệ thống mạng của tổ chức. Yêu cầu an ninh đối với máy
trạm được kết nối với hệ thống mạng: -
Đã cài đặt phầm mềm diệt virus. -
Đã cập nhật phiên bản mới. -
Đã cài đặt các bản và lỗi hệ thống hoặc đã cài đặt phần mềm firewall.
4.5. Read-Only Domain Controller (RODC):
Là một kiểu Domain Controller (DC). -
RODC chứa một bản sao các dữ liệu "chỉ đọc" của dữ liệu Active Directory (AD). -
User không thẻ ghi trực tiếp vào RODC. -
RODC không chứa thông tin về mật khẩu trong AD, mà chỉ caching các
users được phép sử dụng ở đó.
- RODC thích hợp cho việc triển khai ở các chi nhánh, nơi có điều kiện bảo mật
kém cũng như trình độ của nhân viên IT còn hạn chế. 4.6. BitLocker:
Bảo vệ an toàn cho máy chủ, máy trạm, máy tính di động. -
Mã hóa nội dung của ổ đĩa nhằm ngăn cản 7 -
Nâng cao khả năng bảo vệ dữ liệu: kết hợp chức năng mã hóa tập tin hệ
thống và kiểm tra tinh toàn vẹn của các thành phần khi boot. -
Toàn bộ tập tin hệ thống được mã hóa, gồm cả file swap và file hibernation. 4.7. Windows Firewall:
- Ngăn chặn các lưu lượng mạng theo cấu hình và các ứng dụng dạng chạy để
bảo vệ mạng khỏi các chương trình và người dùng nguy hiểm.
-Hỗ trợ ngăn chặn các thông tin vào và ra.
- Sử dụng MMC snap-in ( Windows Firewall with Adbanced Security) để đơn
giản hóa việc cấu hình, quản trị.
5. Các Phiên bản của Windows Server 2008
6.1. Windows Server 2008: ứng dụng cho các trung tâm data lớn, ứng dụng
nghiệp vụ riêng,... khả năng mở rộng cao cho tới 64 bộ xử lý.
6.2. Windows Server 2008 Standard Edition
Windows Server 2008 Standard là một trong những phiên bản ít tốn kém nhất
của các phiên bản khác nhau có sẵn. Windows Server 2008 Stardard hỗ trợ tới
4GB RAM và 4 bộ vi xử lý.
Chủ yếu nhắm mục tiêu và các doanh nghiệp vừa và nhỏ. Chỉ có thể nâng
cấp lên Windows Server 2008 Standard từ Windows 2000 Server và
Windows Server 2008 Standard Edition.
6.3. Windows Server 2008 Enterprise Edition
- Windows Server 2008 Enterprise Edition cung cấp chức năng lớn hơn và
có khả năng mở rộng hơn so với bản tiêu chuẩn. Cũng như phiên bản
Standard Edition thì phiên bản Enterprise cũng có cả hai phiên bản 32-bit và
64-bit. Hỗ trợ 8 bộ xử lý và lên tới 64GB bộ nhớ RAM trên hệ thống 32-bit và
2TB RAM trên hệ thống 64-bit.
- Các tính năng khác của ấn bản Doanh nghiệp bao gồm hỗ trợ Clustering đến 8
nút và Active Directory Federated Services (AD FS).
- Các phiên bản Windows Server 2000, Windows 2000 Advanced Server,
Windows Server 2008 Standard Edition và Windows Server 2008 Enterprise
Edition đều có thể được nâng cấp lên Windows Server 2008 Enterprise Edition.
6.4. Windows Server 2008 Datacenter Edition
- Phiên bản Datacenter đại diện cuối cùng của loạt sản phẩm máy chủ Windows
2008 và mục tiêu là nhiệm vụ quan trọng đòi hỏi các doanh nghiệp ổn định và
mức độ thời gian hoạt động cao. Windows Server 2008 phiên bản Datacenter là
liên hệ chặt chẽ với các phần cứng cơ bản thông qua việc thực hiện tùy chỉnh
Hardware Abstraction Layer (HAL).
-Windows server 2008 Datacenter cũng hỗ trợ hai phiên bản 32 bit và 64 bit.
Nó hỗ trợ 64GB bộ nhớ RAM trên nền 32 bit và lên tới 2TB RAM trên nền 64 8
bít. Ngoài ra phiên bản này còn hỗ trợ tối thiểu là 8 bộ vi xử lý và tối đa là 64.
- Để nâng cấp lên phiên bản này thì phải là các phiên bản Datacenter 2000 và 2008 .
6.5. Windows Web Server 2008
-Windows Web Server 2008 là một phiên bản của Windows Server 2008 được
thiết kế chủ yếu cho mục đích cung cấp các dịch vụ web. Nó bao gồm Internet
Information Services (IIS) 7,0 cùng với các dịch vụ liên quan như Simple Mail
Transfer Protocol (SMTP) và Telnet. Nó cũng có các phiên bản 32-bit và 64-
bit, phiên bản và hỗ trợ lên đến 4 bộ vi xử lý. RAM được giới hạn 4GB và
32GB trên 32-bit và 64-bit hệ thống tương ứng. -
Windows Web Server 2008 thiếu nhiều tính năng hiện diện trong các phiên
bản khác như phân nhóm,mã hóa ổ đĩa BitLocker, Multi I/O,Windows Internet Naming Service (WINS),Removable Storage Management và SAN Management.
6. Yêu cầu phần cứng Phần cứng
Yêu cầu tối thiểu Đề nghị Bộ vi xử lý
1 Ghz (x86), 1,4 Ghz x64) 2Ghz hoặc lớn hơn RAM 512MB RAM 2GB Dung lượng trống 15GB 40GB
Windows Server 2008 hỗ trợ cả 2 cấu trúc vi xử lý 32-bit và 64-bit. Tuy
nhiên, phiên bản mới nhất là Windows Server 2008 R2, Windows
Midmarket Server và Windows Small Business với những tính năng đa dịch vụ,
các phiên bản này chỉ hỗ trợ cấu trúc vi xử lý 64-bit.
RAM hỗ trợ tối đa cho hệ thống 32-bit là 4GB khi chạy phiên bản
Standard Edition và 64GB khi chạy phiên bản Enterprise và Datacenter. Nếu
chạy hệ thống 64-bit, bộ nhớ RAM có thể hỗ trợ lên dến 32GB và 2TB RAM
cho phiên bản Enterprise và Datacenter. Thêm vào đó, Windows Server 2008
hỗ trợ hệ thống Itanium, tuy nhiên chip xử lí Intel Itanium 2 nhân là cần thiết. 7. Các cách cài đặt
Có 6 cách cài đặt Windows Server 2008
Tự cài đặt các nâng cấp Cài đặt từ kịch bản Sử dụng Sconfig Visual Core Configurator 2008
Cài đặt bằng cách sử dụng Core Configurator 2.0 Cài đặt trực tiếp từ đĩa CD Windows Server 2008 9
Nâng cấp lên windows server 2008
Những phiên bản trước
Nâng cấp lên Windows Server 2008
Microsoft Windows Server 2008 R2 Hỗ trợ đầy đủ
Standard, Enterprise hoặc DatacenterEdition
Microsoft Windows Server 2008 Service Pack Hỗ trợ đầy đủ
1(SP1) Standard, Enterprise hoặc Datacenter Edition
Microsoft Windows Server 2008 Service Pack Hỗ trợ đầy đủ
2 (SP2) Standard, Enterprise hoặc Datacenter Edition Windows NT 4.0 Không hỗ trợ Windows 2000 Server Không hỗ trợ Windows XP Không hỗ trợ Windows Vista Không hỗ trợ Windows 7 Không hỗ trợ
Để nâng cấp lên phiên bản Windows Server 2008, cần phải chạy các hệ
điều hành ở cấp độ server. Không thể nâng cấp các phiên bản Windows dành
cho người dùng như Windows XP hoặc Windows Vista lên Windows Server
2008. Để nâng cấp lên Windows Server 2008, hệ thống của bạn phải chạy
Windows Server 2008 . Việc nâng cấp từ Windows NT 4.0 và Windows 2000
Server không được hỗ trợ. Việc nâng cấp từ những phiên bản Windows Server
2008 lên phiên bản Windows Server 2008 Server Core không được hỗ trợ. Việc
nâng cấp chỉ thực hiện được ở những phiên bản giống nhau. Khi nâng cấp lên
phiên bản Windows Server 2008, mọi cấu hình thiết lập, file và các chương trình đều được giữ lại
Đặt đĩa CD vào ổ đĩa, khởi động lại máy tính và bắt đầu tiến hành quá trình cài đặt.
Hình 1.1 : Lựa chọn ngôn ngữ 10
Language to instalk : ngôn ngữ bạn muốn hiển thị.
Time and currency format : định dạng thời gian và tiền tệ.
Keyboard or input method : định dạng bàn phím và phương thức nhập
chữ.Sau khi lựa chọn, click Next để tiếp tục cài đặt
Click Install now để bắt đầu cài đặt.
Hình 1.2 :Lựa chọn phiên bản Windows Server
Lựa chọn phiên bản Windows Server thích hợp, ở đây chúng ta chọn
phiên bản Windows Server Standard without Hyper-V. Click Next để tiếp tục.
Tại bảng MICROSOFT PRE-RELEASE SOFTWARE LICENSE TERMS là
những điều khoản sử dụng sản phẩm của Microsoft. Đánh dấu chọn vào I
accept the license terms để chấp nhận những điều khoản đó và click Next
để tiếp tục. Chọn Custom (advaneced) để tiến hành cài đặt tùy chọn. 11
Hình 1.2 : Chọn ổ đĩa để cài dặt Windows.
Tiếp theo Tiếp tục click Next sau khi đã chọn ổ đĩa cài đặt.
Đợi cho đến khi hoàn tất cài đặt Windows Server 2008 . Sau khi hệ thống
hoàn tất cái đặt sẽ tự động đăng nhập vời tài khoản Administrator, tuy nhiên
mật khẩu đang ở trạng thái trống (blank) vì thế cần phải thiết lập mật khẩu ở lần
đăng nhập đầu tiên. -> Click OK để tiến hành thay đổi mật khẩu.Sau đó đăng
nhập vào bằng mật khẩu vừa thay đổi. Đến đây quá trình cài đặt kết thúc. 12 BÀI 2
DỊCH VỤ TÊN MIỀN DNS Giới thiệu:
Trong hệ thống mạng máy tính muốn giao tiếp được với nhau phải biết địa chỉ
IP của nhau. Việc nhớ một địa IP rất khó khăn do vậy trong hệ thống mạng cần
có máy chủ chuyên dụng để phân giải địa chỉ IP ra tên của máy tính và ngược lại. Mục tiêu:
- Trình bày được cấu trúc cơ sở dữ liệu của hệ thống tên miền;
- Mô tả được sự hoạt động và phân cấp của hệ thống tên miền;
- Cài đặt và cấu hình hệ thống tên miền DNS.
- Thực hiện các thao tác an toàn với máy tính
1. Tổng quan về DNS
1.1. Giới thiệu về DNS
DNS (Domain Name System) Server là máy chủ được dùng để phân
giải domain thành địa chỉ IP và ngược lại. Về cách thức hoạt động, DNS Server
lưu trữ một cơ sở dữ liệu bao gồm các bản ghi DNS và dịch vụ lắng nghe các
yêu cầu.Khi máy client gửi yêu cầu phân giải đến, DNS Server tiến hành tra
cứu trong cơ sở dữ liệu và gửi kết quả tương ứng về máy client.
1.2. Đặc điểm DNS trong windows server
- Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải
dựa theo tên domain trong yêu cầu truy vấn. - Stub zone: hỗ trợ cơ chế phân
giải hiệu quả hơn. - Đồng bộ các DNS zone trong Active Directory (DNS zone
replication in Active Directory). - Cung cấp một số cơ chế bảo mật tốt hơn
trong các hệ thống Windows trước đây. -
Luân chuyển (Round robin) tất cả các loại RR.
- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính
năng bảo mật cho việc lưu trữ và nhân bản (replicate) zone.
- Cung cấp tính năng EDNS0 (Extension Mechanisms for DNS) để cho phép
DNS Requestor quản bá những zone transfer packet có kích thước lớn hơn 512 byte.
1.3. Cách phân bổ dữ liệu quản lý domain name.
Những root name server (.) quản lý những top-level domain trên
Internet. Tên máy và địa chỉ IP của những name server này được công bố cho
mọi người biết và chúng được liệt kê trong bảng sau. Những name server này
cũng có thể đặt khắp nơi trên thế giới. 13
Hình 6.1: Root name server
Thông thường một tổ chức được đăng ký một hay nhiều domain name.
Sau đó, mỗi tổ chức sẽ cài đặt một hay nhiều name server và duy trì cơ sở dữ
liệu cho tất cả những máy tính trong domain. Những name server của tổ
chức được đăng ký trên Internet. Một trong những name server này được biết như là Primary Name Server.
Nhiều Secondary Name Server được dùng để làm backup cho Primary
Name Server. Trong trường hợp Primary bị lỗi, Secondary được sử dụng để
phân giải tên. Primary Name Server có thể tạo ra những subdomain và ủy
quyền những subdomain này cho những Name Server khác
1.3. Cơ chế phân giải tên.
1.3.1. Phân giải tên thành IP.
Root name server : Là máy chủ quản lý các name server ở mức top-
level domain. Khi có truy vấn về một tên miền nào đó thì Root Name Server
phải cung cấp tên và địa chỉ IP của name server quản lý top-level domain (Thực
tế là hầu hết các root server cũng chính là máy chủ quản lý top-level domain)
và đến lượt các name server của top-level domain cung cấp danh sách các
name server có quyền trên các second- level domain mà tên miền này thuộc
vào. Cứ như thế đến khi nào tìm được máy quản lý tên miền cần truy vấn. Qua
trên cho thấy vai trò rất quan trọng của root name server trong quá trình phân
giải tên miền. Nếu mọi root name server trên mạng Internet không liên lạc
được thì mọi yêu cầu phân giải đều không thực hiện được. Hình vẽ dưới mô tả
quá trình phân giải grigiri.gbrmpa.gov.au trên mạng Internet 14
Hình 6.2: Quá trình phân giải tên
Client sẽ gửi yêu cầu cần phân giải địa chỉ IP của máy tính có tên
girigiri.gbrmpa.gov.au đến name server cục bộ. Khi nhận yêu cầu từ Resolver,
Name Server cục bộ sẽ phân tích tên này và xét xem tên miền này có do mình
quản lý hay không. Nếu như tên miền do Server cục bộ quản lý, nó sẽ trả lời địa
chỉ IP của tên máy đó ngay cho Resolver. Ngược lại, server cục bộ sẽ truy vấn
đến một Root Name Server gần nhất mà nó biết được. Root Name Server sẽ
trả lời địa chỉ IP của Name Server quản lý miền au. Máy chủ name server cục
bộ lại hỏi tiếp name server quản lý miền au và được tham chiếu đến máy chủ
quản lý miền gov.au. Máy chủ quản lý gov.au chỉ dẫn máy name server cục
bộ tham chiếu đến máy chủ quản lý miền gbrmpa.gov.au. Cuối cùng máy
name server cục bộ truy vấn máy chủ quản lý miền gbrmpa.gov.au và nhận
được câu trả lời. Các loại truy vấn :
Truy vấn có thể ở 2 dạng :
- Truy vấn đệ quy (recursive query) : khi name server nhận được truy vấn dạng
này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy
vấn này không phân giải được. Name server không thể tham chiếu truy vấn
đến một name server khác. Name server có thể gửi truy vấn dạng đệ quy hoặc
tương tác đến name server khác nhưng phải thực hiện cho đến khi nào có kết quả mới thôi. 15
Hình 6.2 : Recursive Query -
Truy vấn tương tác (Iteractive query): khi name server nhận được truy vấn
dạng này, nó trả lời cho Resolver với thông tin tốt nhất mà nó có được vào thời
điểm lúc đó. Bản thân name server không thực hiện bất cứ một truy vấn nào
thêm. Thông tin tốt nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache). Trong
trường hợp name server không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên
miền và địa chỉ IP của name server gần nhất mà nó biết.
Hình 6.3 : Interactive Query
1.3.2. Phân giải IP thành tên máy tính.
Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịch các tập tin
log cho dễ đọc hơn. Nó còn dùng trong một số trường hợp chứng thực trên hệ
thống UNIX (kiểm tra các tập tin .rhost hay host.equiv). Trong không gian tên
miền đã nói ở trên dữ liệu -bao gồm cả địa chỉ IP- được lập chỉ mục theo tên
miền. Do đó với một tên miền đã cho việc tìm ra địa chỉ IP khá dễ dàng. Để
có thể phân giải tên máy tính của một địa chỉ IP, trong không gian tên miền
người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mục theo địa chỉ IP. 16
Phần không gian này có tên miền là inaddr.arpa.
Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập phân của
địa chỉ IP. Ví dụ miền inaddr.arpa có thể có 256 subdomain, tương ứng với
256 giá trị từ 0 đến 255 của byte đầu tiên trong địa chỉ IP. Trong mỗi
subdomain lại có 256 subdomain con nữa ứng với byte thứ hai. Cứ như thế và
đến byte thứ tư có các bản ghi cho biết tên miền đầy đủ của các máy tính hoặc
các mạng có địa chỉ IP tương ứng 2. Cài đặt DNS
2.1. Cấu hình DNS Client Thực hiện DC1 B1 : Chuột phải lên Computer ->chọn
Propertives ->trong Tab
Computer Name ->chọn Change Settings ->Change B2 : Chọn More B3 : Trong phần Primary DNS Suffix of this computer ->điền khoaviet.edu.vn ->OK ->OK 17 B4 : Quan sát phần Full Computer Name trên DC1 đã được đổi thành :
DC1.khoaviet.edu.vn -> OK - >Close->Restart Now
B5 : Mở phần cấu hình TCP/IP -
>đặt giá trị Preferred DNS Server là IP của DC1 (172.168.1.10)
2.2. Cài đặt DNS server – thực hiện trên DC1
-DC1 mở File Hosts ->xóa dòng đã thêm vào trong File Hosts, Save File lại. B1 : Mở Server Manager → chuột
phải lên Roles chọn Add Roles. B2 : Chọn next 18
B3 : Chọn DNS Server ->Next B4 : Chọn Next B5 : Chọn Install B6 : Close 2.3. Cấu hình DNS Server : A. Forward Lookup Zone B1 : Mở DNS trong Administrative Tools →chuột phải lên Forward Lookup Zones
→ chọn New Zone 19 B2 : Chọn Next
B3 : Chọn Primary Zone ->Next B4 : Zone name đặt tên :
khoaviet.edu.vn -> Next B5 : Chọn Next 20 B6 : Chọn Do Not Allow Dynamic Update →Next → Finish Reverse Lookup Zone B1 : Chuột phải lên Reverse Lookup Zones
->chọn New Zone B2 : Chọn next 21
B3: Chọn Primary Zone ->Next
B4 : Chọn IPv4 ->next B5 : Network ID:172.168.1 ->next 22 B6 : Chọn Next
B7 : Chọn Do Not Allow
Dynamic Update ->Next B8 : Finish Host ->Pointer 23 B1 : Chuột phải lên
khoaviet.edu.vn ->chọn New Host ( A or AAAA ) B2 : Name : PC1 IP address : 172.168.1.11 ->Add Host->OK
B3 : Chuột phải lên vùng 1.168.172.in-addr.arp ->New Pointer 24 B4 : Host IP : 172.168.1.11 phần Host Name ->chọn browse B5 : Double click vào DC1 B6 : Double click vào Forward Lookup Zones 25 B7 : Double click vào khoaviet.edu.vn B8 : Chọn host PC1 đã
được tạo ->OK ->OK Alias B1 : Chuột phải lên khoaviet.edu.vn → chọn New Alias ( CNAME ) 26 B2 : Alias name WWW Fully qualified domain name ->chọn Browse - >chọn đến host DC1 - >OK Làm tương tự để tạo thêm 1 Alias MAIL trở về host DC1 Dùng lệnh tiếp NSLOOKUP để phân giải các host và Alias đã tạo : đánh lệnh Nslookup – đánh dấu www.khoaviet.edu.
vn – enter : phân giải ra đúng IP của DC1. Làm tương tự để phân giải host mail.khoaviet.edu. vn , www.khoaviet.edu. vn, 27 BÀI 3 DỊCH
VỤ THƯ MỤC -ACTIVE DIRECTORY Giới thiệu :
Active Directory là một kiến trúc độc quyền của Microsoft. Đây là một
kiến trúc không thể thiếu được trên Windows Server. Active Directory được
gọi là một dịch vụ thư mục. Tương tự như dịch vụ thư mục trên các hệ thống
khác, như Novell chẳng hạn, Active Directory là một hệ thống được chuẩn hóa
với khả năng quản trị tập trung hoàn hảo về người dùng cũng như các nguồn tài
nguyên trong một hệ thống mạng. Cũng cần phải chú ý, Active Directory được
sử dụng trong mô hình mạng “Server – Client”. Mục tiêu:
- Trình bày được cấu trúc của Active Directory trên windows server;
- Cài đặt và cấu hình được máy điều khiển vùng.
- Thực hiện các thao tác an toàn với máy tính
1. Các mô hình mạng trong môi trường microsoft. 1.1. Mô hình Workgroup.
Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô
hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau. Các
dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản
lý tài nguyên cục bộ của mình. Trong hệ thống mạng không có máy tính chuyên
cung cấp dịch vụ và quản lý hệ thống mạng. Mô hình này chỉ phù hợp với các
mạng nhỏ, dưới mười máy tính và yêu cầu bảo mật không cao.
Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa
người dùng lưu trữ thông tin người dùng trong một tập tin SAM (Security
Accounts Manager) ngay chính trên máy tính cục bộ. Thông tin này bao gồm:
username (tên đăng nhập), fullname, password, description… Tất nhiên tập tin
SAM này được mã hóa nhằm tránh người dùng khác ăn cấp mật khẩu để tấn
công vào máy tính. Do thông tin người dùng được lưu trữ cục bộ trên các máy
trạm nên việc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tự chứng thực. 1.2. Mô hình Domain.
Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế
client-server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng
điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt
động của hệ thống mạng. Việc chứng thực người dùng và quản lý tài nguyên
mạng được tập trung lại tại các Server trong miền. Mô hình này được áp dụng
cho các công ty vừa và lớn.
Trong mô hình Domain của Windows Server 2008 thì các thông tin người 28
dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên
máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT. Tập
tin cơ sở dữ liệu này được xây dựng theo công nghệ tương tự như phần mềm
Access của Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn
so với công nghệ cũ chỉ lưu trữ được khoảng 5 nghìn tài khoản người dùng. Do
các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng
đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực. 2. Active directory.
2.1. Giới thiệu Active Directory.
Có thể so sánh Active Directory với LANManager trên Windows
NT 4.0. Về căn bản, Active Directory là một cơ sở dữ liệu của các tài
nguyên trên mạng (còn gọi là đối tượng) cũng như các thông tin liên quan
đến các đối tượng đó. Tuy vậy, Active Directory không phải là một khái
niệm mới bởi Novell đã sử dụng dịch vụ thư mục (directory service) trong nhiều năm rồi.
Mặc dù Windows NT 4.0 là một hệ điều hành mạng khá tốt, nhưng
hệ điều hành này lại không thích hợp trong các hệ thống mạng tầm cỡ xí
nghiệp. Đối với các hệ thống mạng nhỏ, công cụ Network Neighborhood
khá tiện dụng, nhưng khi dùng trong hệ thống mạng lớn, việc duyệt và tìm
kiếm trên mạng sẽ là một ác mộng (và càng tệ hơn nếu bạn không biết chính
xác tên của máy in hoặc Server đó là gì). Hơn nữa, để có thể quản lý được hệ
thống mạng lớn như vậy, bạn thường phải phân chia thành nhiều domain và
thiết lập các mối quan hệ uỷ quyền thích hợp. Active Directory giải quyết
được các vấn đề như vậy và cung cấp một mức độ ứng dụng mới cho môi
trường xí nghiệp. Lúc này, dịch vụ thư mục trong mỗi domain có thể lưu trữ
hơn mười triệu đối tượng, đủ để phục vụ mười triệu người dùng trong mỗi domain.
2.2. Chức năng của Active Directory.
Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật
khẩu tương ứng và các tài khoản máy tính.
Cung cấp một Server đóng vai trò chứng thực (authentication server)
hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là
domain controller (máy điều khiển vùng).
Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy
tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.
Cho phép chúng ta tạo ra những tài khoản người dùng với những
mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ
có quyền backup dữ liệu hay shutdown Server từ xa… 29
Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con
(subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó
chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ. 3. Directory Services.
3.1. Giới thiệu Directory Services.
Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trong
NTDS.DIT và các chương trình quản lý, khai thác tập tin này. Dịch vụ danh
bạ là một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống Active
Directory. Một hệ thống với những tính năng vượt trội của Microsoft.
3.2. Các thành phần trong Directory Services.
Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ
danh bạ là gì? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số
điện thoại. Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng
như các thông tin và thuộc tính liên quan đến các đối tượng đó.
Object (đối tượng):Trong hệ thống cơ sở dữ liệu, đối tượng bao gồm
các máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng
chung, dịch vụ mạng, … Đối tượng chính là thành tố căn bản nhất của dịch vụ danh bạ.
Attribute (thuộc tính): Một thuộc tính mô tả một đối tượng. Ví dụ,
mật khẩu và tên là thuộc tính của đối tượng người dùng mạng. Các đối
tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên, các đối
tượng khác nhau cũng có thể có một số thuộc tính giống nhau. Lấy ví dụ
như một máy in và một máy trạm cả hai đều có một thuộc tính là địa chỉ IP.
Schema (cấu trúc tổ chức):Một schema định nghĩa danh sách các thuộc
tính dùng để mô tả một loại đối tượng nào đó. Ví dụ, cho rằng tất cả các đối
tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại PDL và tốc
độ. Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng
“máy in”. Schema có đặc tính là tuỳ biến được, nghĩa là các thuộc tính dùng
để định nghĩa một lớp đối tượng có thể sửa đổi được. Nói tóm lại Schema
có thể xem là một danh bạ của cái danh bạ Active Directory.
Container (vật chứa): Vật chứa tương tự với khái niệm thư mục trong
Windows. Một thư mục có thể chứa các tập tin và các thư mục khác. Trong
Active Directory, một vật chứa có thể chứa các đối tượng và các vật chứa
khác. Vật chứa cũng có các thuộc tính như đối tượng mặc dù vật chứa
không thể hiện một thực thể thật sự nào đó như đối tượng. Có ba loại vật chứa là:
Domain: khái niệm này được trình bày chi tiết ở phần sau.
Site: một site là một vị trí. Site được dùng để phân biệt giữa các vị trí 30
cục bộ và các vị trí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ở San
Fransisco, một chi nhánh đặt ở Denver và một văn phòng đại diện đặt ở
Portland kết nối về tổng hành dinh bằng Dialup Networking. Như vậy hệ
thống mạng này có ba site.
OU (Organizational Unit): là một loại vật chứa mà bạn có thể đưa
vào đó người dùng, nhóm, máy tính và những OU khác. Một OU không thể
chứa các đối tượng nằm trong domain khác. Nhờ việc một OU có thể chứa
các OU khác, bạn có thể xây dựng một mô hình thứ bậc của các vật chứa
để mô hình hoá cấu trúc của một tổ chức bên trong một domain. Bạn nên sử
dụng OU để giảm thiểu số lượng domain cần phải thiết lập trên hệ thống.
Global Catalog: Dịch vụ Global Catalog dùng để xác định vị trí của
một đối tượng mà người dùng được cấp quyền truy cập. Việc tìm kiếm được
thực hiện xa hơn những gì đã có trong Windows NT và không chỉ có thể định
vị được đối tượng bằng tên mà có thể bằng cả những thuộc tính của đối tượng.
Giả sử bạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn
bạn sẽ không dùng một máy in HP Laserjet 4L. Bạn sẽ phải tìm một máy in
chuyên dụng, in với tốc độ 100ppm và có khả năng đóng tài liệu thành
quyển. Nhờ Global Catalog, bạn tìm kiếm trên mạng một máy in với các
thuộc tính như vậy và tìm thấy được một máy Xerox Docutech 6135. Bạn
có thể cài đặt driver cho máy in đó và gửi print job đến máy in. Nhưng nếu
bạn ở Portland và máy in thì ở Seattle thì sao? Global Catalog sẽ cung cấp
thông tin này và bạn có thể gửi email cho chủ nhân của máy in, nhờ họ in giùm.
Một ví dụ khác, giả sử bạn nhận được một thư thoại từ một người tên
Betty Doe ở bộ phận kế toán. Đoạn thư thoại của cô ta bị cắt xén và bạn
không thể biết được số điện thoại của cô ta. Bạn có thể dùng Global
Catalog để tìm thông tin về cô ta nhờ tên, và nhờ đó bạn có được số điện thoại của cô ta.
Khi một đối tượng được tạo mới trong Active Directory, đối tượng
được gán một con số phân biệt gọi là GUID (Global Unique Identifier).
GUID của một đối tượng luôn luôn cố định cho dù bạn có di chuyển đối
tượng đi đến khu vực khác.
4. Kiến trúc của Active Directory. 31
Hình 7.1: Hình kiến trúc của Active Directory 4.1. Objects.
Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước
hai khái niệm Object classes và Attributes. Object classes là một bản
thiết kế mẫu hay một khuôn mẫu cho các loại đối tượng mà bạn có thể tạo
ra trong Active Directory. Có ba loại object classes thông dụng là: User,
Computer, Printer. Khái niệm thứ hai là Attributes, nó được định nghĩa
là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể. Như
vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được
gán cho các thuộc tính của object classes. Ví dụ hình sau minh họa hai đối
tượng là: máy in ColorPrinter1 và người dùng KimYoshida.
4.2. Organizational Units.
Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD,
nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp
các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. OU cũng
được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều
subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công dụng chính sau:
Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính
hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào
đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống. 32
Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng
trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO),
các chính sách nhóm này chúng ta sẽ tìm hiểu ở các chương sau. 4.3. Domain:
Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active
Directory. Nó là phương tiện để qui định một tập hợp những người dùng,
máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó
giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp
ứng ba chức năng chính sau:
Đóng vai trò như một khu vực quản trị (administrative boundary) các
đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ
như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan
hệ ủy quyền với các domain khác.
Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.
Cung cấp các Server dự phòng làm chức năng điều khiển vùng
(domain controller), đồng thời đảm bảo các thông tin trên các Server này
được được đồng bộ với nhau.
Hình 7.2: Hình kiến trúc của Domain controller 4.4. Domain Tree.
Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có
cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain
root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm
bên dưới domain root và được gọi là domain con (child domain). Tên của
các domain con phải khác biệt nhau. Khi một domain root và ít nhất một
domain con được tạo ra thì hình thành một cây domain. Khái niệm này bạn
sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục. Bạn có thể thấy 33
cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện.
Hình 7.3 : Cây Domain 4.5. Forest.
Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói
cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy
quyền cho nhau. Ví dụ giả sử một công ty nào đó, chẳng hạn như Microsoft,
thu mua một công ty khác. Thông thường, mỗi công ty đều có một hệ thống
Domain Tree riêng và để tiện quản lý, các cây này sẽ được hợp nhất với
nhau bằng một khái niệm là rừng.
Hình 7.4 : Rừng Domain Trong ví dụ trên, công ty mcmcse.com thu mua được
techtutorials.com và xyzabc.com và hình thành rừng từ gốc mcmcse.com.
5. Cài đặt và cấu hình active directory.
5.1. Nâng cấp Server thành Domain Controller. Giới thiệu. 34
Một khái niệm không thay đổi từ Windows NT 4.0 là domain. Một
domain vẫn còn là trung tâm của mạng Windows 2000 và Windows 2008 ,
tuy nhiên lại được thiết lập khác đi. Các máy điều khiển vùng (domain
controller – DC) không còn phân biệt là PDC (Primary Domain
Controller) hoặc là BDC (Backup Domain Controller). Bây giờ, đơn
giản chỉ còn là DC. Theo mặc định, tất cả các máy Windows Server
2008 khi mới cài đặt đều là Server độc lập (standalone server). Chương
trình DCPROMO chính là Active Directory Installation Wizard và được
dùng để nâng cấp một máy không phải là DC (Server Stand-alone) thành
một máy DC và ngược lại giáng cấp một máy DC thành một Server bình
thường. Chú ý đối với Windows Server 2008 thì bạn có thể đổi tên máy tính
khi đã nâng cấp thành DC.
Trước khi nâng cấp Server thành Domain Controller, bạn cần khai
báo đầy đủ các thông số TCP/IP, đặc biệt là phải khai báo DNS Server có
địa chỉ chính là địa chỉ IP của Server cần nâng cấp. Nếu bạn có khả năng
cấu hình dịch vụ DNS thì bạn nên cài đặt dịch vụ này trước khi nâng cấp
Server, còn ngược lại thì bạn chọn cài đặt DNS tự động trong quá trình
nâng cấp. Có hai cách để bạn chạy chương trình Active Directory
Installation Wizard: bạn dùng tiện ích Manage Your Server trong
Administrative Tools hoặc nhấp chuột vào Start Run, gõ lệnh DCPROMO.
5.2. Các bước cài đặt.
Giống như Windows Server 2008 sẽ vẫn cần chạy dcpromo từ nhắc lệnh
Start -> Run, tuy nhiên cần phải cài đặt Active Directory Domain Controller
role, đầu tiên bạn cài đặt role, sau đó chạy dcpromo.Vào Server Manager ->
Roles -> add Roles
Bài lab bao gồm những nội dung chính như sau: -
Nâng cấp Domain Controller. -
Join máy workstation vào Domain. -
Khảo sát các Policy trên máy Domain Controller. - Tạo Domain - Tạo Domain User. -
Cài Remote Server Administrator Tools cho máy Client. Chuẩn bị Domain STT IP OS 1
172.168.1.10 Windows Server 2008 R2 V t m n e 2 35 2 172.168.1.11 Windows 7
- Chỉnh Password account Administrator cho cả 2 máy là 123
- Disable card CROSS,gỡ bỏ Protocol TCT/IP Ipv6 trên card LAN
- Kiểm tra 2 máy liên lạc với nhau bằng lệnh PING. Thực hiện :
Nâng cấp Domain Controller • Thực hiện : B1 : chỉnh IP Menu Start → Control Panel → Network and Sharing Center → Change Adapter Settings
→ chuột phải lên Card Lan chọn Properties → chọn Internet Protocol Version
4 ( TCP/ Ipv4 ) → nhấn Properties.
B2 : điều chỉnh Preferred
DNS server về IP của chính máy Domain → OK B3 : menu start → Run → đánh lệnh dcpromo B4 : màn hình Welcome to the Active Directory Domani Services Insrallation Wizard →chọn Use Advanced mode installation → Next → Next. B5 : màn hình Choose a Deployment Configuration → chọn Creata a new domain in a new forest. 36 B6 : màn hình Name the Forest Root Domain → đánh tên domain : khoaviet.edu.vn → chọn next. B7 : màn hình Domain NetBIOS Name → chọn Next. B8 : màn hình Set Forest Functional Level → chọn Windows Server 2008 R2 → Next. B10 : màn hình Location for Database, log files and SYSVOL → Next. B11 : màn hình Directory Services Restore Mode Administrator Password →
nhập password tùy chọn → Nexe. 37 B12 : màn hình Summary → Next. B13 : màn hình Active Directory Domain Services Installation. B14 : màn hình Completing Active Driectory Domain Services Installation Wizard → Finish → Restart. Tạo các Record trong DNS •
Thực hiện trên máy Domain B1 : Start → Administrative → DNS B2: click DNS → DOMAIN → Forward Lookup Zones → khoaviet.edu.vn B3: chuột phải → New Host → nhập các thông tin như sau: Name: domain IP address: 172.168.1.10 → Add Host 38 B4: chuột phải tại Reverse Lookup Zones → New Zone → Next B5: check Primary zone & Store the zone in Active Directory …. → Next B6: chọn To all DNS Servers running on domain controllers in this domain: khoaviet.edu.vn → Next 39 B7: Chọn IPv4 Reverse Lookup Zone → Next B8: Nhập Network ID là: 172.168.1 → Next B9: chọn Allow only secure dynamic updates … → Next → Finish 40 B10: Tại Reverse Lookup Zone → 1.168.172.in-addr- arpa → chuột phải → New Pointer (PTR)… B10: Browse → DOMAIN B11: Chọn Forward Lookup Zone → khoaviet.edu.vn 41 B12: chọn Record là máy Domain Controller → OK → OK Có thêm Record 172.168.1.10 trỏ về domain.khoaviet.edu. vn Mở CMD → nslookup → Enter Thấy kết quả tự trả về domain.khoaviet.edu. vn tương ứng với IP 172.168.1.10
Join các máy Workstation vào Domain 42 B1 : chỉnh IP Menu Start →Control Panel
→ Network and Internet → network and sharing
centrer → change adapter setting Chuột phải card Lan → properties. Chọn Internet Protocol
Version 4 ( TCP / IPV4) → chọn Properties Chỉnh Preferred DNS
server về IP máy Domain → chọn OK → Close B2 : Menu start → chuột
phải Computer → Properties. - Trong phần Computer name , domain, and workgroup settings → Change setting.
- Trong phần Member of →
chọn mục Domain → nhập khoaviet.edu.vn → OK - Điền Username và password administrator/123456 → Restart lại máy
Khảo sát các Policy trên máy Domain Controller
Một số thay đổi khi nâng cấp máy DC :
- Quan sát trong Server Manager không còn local Users and Group. 43
- Mở Active Directory Users and computer.
- Menu start → program → administrative tools→Active Directory users and computer → quan sát. Chỉnh Policy cho phép đặt Password đơn giảnB1: Menu Start → Program →Administrati ve Tools → Group Policy Management → forest : khoaviet.edu.vn → domains →khoaviet.edu. vn → chuột phải Default domain Policy → Edit B2 : theo đường dẫn : computer configuration →windows settings → security settings → account policy → double click vào Password must meet complexity requirements. B3 : chọn disable →OK 44 B5: Các tùy chọn còn lại chỉnh về 0 - Menu start → run → CMD → OK - Đánh gppupdate/ force → enter. Tạo Domain User B1 : Mở active directory users and Computers. Chuột phải khaoviet.edu.vn → New → user B2 : full name : u1 User logon name u1 → Next 45 B3 : password : 123 Confirm password : 123 Bỏ dấu check user must change password at next logon → Next → Finish Quan sát thấy user vừa tạo.
Cài Remote Server Administrator Tools cho máy Client Thực hiện trên máy PC1 B1 : Log on KHOAVIET\Administrator - Chạy file RSAT_for_Win7.MSU
- Nhấn Yes để tiến hành Install
- Quá trình cái đặt được thực
hiện. sau khi cài xong, nhấn finish
Có thể download tại đây: http://www.microsoft.com/en - us/download/details.aspx?id= 7887 46
B2 : mở Control Panel, chọn Programs → Programs and fertures. B3 : chọn Turn Windows Features on or off
B4 : đánh dấu chọn vào các thư mục như trong hình. B5: vào Start → Administrative Tools → Chọn Active Directory Users And Computers. - Truy cập vào Active Directory Users and computers thành công. B6 : kiểm tra : - Trên PC1, tạo user U 2, password 123456 → tạo thành công - Trên máy domain, mở AD kiểm tra thấy có User 2. 47 BÀI 4 DỊCH VỤ DHCP Giới thiệu:
Công ty với số lượng máy nhiều thì việc gán IP tĩnh, quản lý IP quả là rất
khó khăn , mất thời gian cho người quản trị mạng, không những thế còn xảy ra
tình trạng xung đột IP . Chính vì thế giải pháp tối ưu nhất là dùng một server
chuyên dụng để gán Ip động cho hệ thống mạng. dịch dụ đó là DHCp. Sau đây
chúng ta sẽ đi nghiên cứu về DHCP SERVER. Mục tiêu:
- Mô tả được sự hoạt động của dịch vụ DHCP
- Cài đặt và cấu hình được dịch vụ DHCP
- Thực hiện các thao tác an toàn với máy tính Nội dung chính: 1. Giới thiệu DHCP
1.1. Định nghĩa và chức năng DHCP
DHCP là gì ? : DHCP Viết tắt của từ Dynamic Host Configuration
Protocol - Giao thức cấu hình Host động. Giao thức cung cấp phương pháp thiết
lập các thông số cần thiết cho hoạt động của mạng TCP/IP giúp giảm khối lượng
công việc cho quản trị hệ thống mạng.
Chức năng của DHCP
Mỗi thiết bị trên mạng nếu dùng giao thức TCP/IP thì đều phải có 1 địa chỉ
IP hợp lệ, duy nhất trên mạng đó.Thay vì người quản trị có thể cấu hình IP cho
từng máy client điều này dễ gây ra trùng IP , và sẽ mất rất nhiều thời gian nếu
lượng máy tính lớn do vậy việc dùng một DHCP server để cấp tự động IP là giải pháp tối ưu nhất .
Bằng việc phát triển DHCP trên mạng, toàn bộ tiến trình này được quản lý tự
động và tập trung. DHCP server bảo quản vùng của các địa chỉ IP và giải phóng
một địa chỉ với bất cứ DHCP client có thể khi nó có thể ghi lên mạng. Bởi vì các
địa chỉ IP là động hơn tĩnh, các địa chỉ không còn được trả lại một cách tự động
trong sử dụng đối với các vùng cấp phát lại.
DHCP đựơc tạo ra bởi nhóm làm việc cấu hình host động của lực lượng kỹ
sư Internet(IETF là tổ chức tình nguyện định nghĩa các giao thức sử dụng trên
Internet). Như vậy, sự định nghĩa của nó được ghi lại trong Internet RFC và bo
mạch hoạt động Internet (the Internet Activities Board (IAB) ) đang xác nhận
trạng thái của nó đối với tiêu chuẩn hoá 48
Các tiêu chuẩn DHCP nòng cốt mà Microsoft hỗ trợ với các dịch vụ
DHCP của nó được chỉ ra bởi các RFC sau:
DHCP server là một máy chủ có cài đặt dịch vụ DHCP server. Nó có
chức năng quản lý sự cấp phát địa chỉ IP động và các dữ liệu cấu hình TCP/IP.
Ngoài ra còn có nhiệm vụ trả lời khi DHCP Client có yêu cầu về hợp đồng thuê bao.
DHCP client là dịch vụ nằm cục bộ trên máy tính (kể cả máy trạm và
server). Nó dùng để đăng ký, cập nhật thông tin về địa chỉ IP và các bản ghi
DNS cho chính bản thân nó. DHCP client sẽ gửi yêu cầu đến DHCP server khi
nó cần đến 1 địa chỉ IP và các tham số TCP/IP cần thiết để làm việc trong mạng
nội bộ và trên Internet.
1.2. Ưu điểm của DHCP
Khắc phục tình trạng đụng IP , giảm chi phí quản trị hệ thống chẳng hạn như
Thứ nhất, trước đây các nhà quản trị mạng thường phải đánh cấu hình IP
bằng tay (gọi là IP tĩnh) nhưng nay nhờ có DHCP server nó sẽ cấp IP một cách
tự động cho các máy trạm. Nhất là trong môi trường mạng lớn thì sự cần thiết và
hữu ích của dịch vụ mạng này mới thấy rõ ràng nhất.
Thứ hai, trước đây với kiểu cấu hình bằng tay thì người dùng họ có thể
thay đổi IP. Dẫn đến quên không nhớ IP của DNS server là gì để đặt lại cho
đúng lại, có thể đặt IP trùng với IP đã đặt cho người khác, hoặc trùng với IP
Defaul Gateway . Nếu dùng DHCP server để cấp phát IP động cho máy trạm thì
sự trùng lặp IP không bao giờ xảy ra. Các máy trạm luôn luôn có một cấu hình
TCP/IP chuẩn. Làm cho hệ thống hoạt động liên tục, vừa giảm gánh nặng cho
người quản trị vừa tăng hiệu quả làm việc cho user nói riêng và doanh nghiệp nói chung.
Thứ 3 Người quản trị có thể thay đổi cấu hình IP một cách dễ dàng và
đồng bộ khi cơ sở hạ tầng mạng thay đổi. Do đó làm tăng sự linh hoạt cho
người quản trị mạng. Ngoài ra DHCP phù hợp từ mạng nhỏ đến mạng lớn. Nó
có thể phục vụ 10 máy khách cho đến hàng ngàn máy khách.
- Giúp ISP tiết kiệm đượng IP public
- Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng
- Kết hợp hệ thống mạng không dây cung cấp các điểm hostpot tại sân ga, sân bay…
2. Nguyên lý động của DHCP
Giao thức DHCP làm việc theo mô hình client/server. Theo đó, quá trình
tương tác giữa DHCP client và server diễn ra theo các bước sau:
Bước 1: Khi máy client khởi động, máy sẽ gửi broadcast gói tin
DHCPDISCOVER, yêu cầu một server phục vụ mình. Gói tin này cũng chứa
địa chỉ MAC của máy client. 49
Bước 2: Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu còn
khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER,
đề nghị cho thuê một địa chỉ IP trong một khoản thời gian nhất định, kèm theo là
một subnet mask và địa chỉ của Server. Server sẽ không cấp phát địa chỉ IP vừa
đề nghị cho những Client khác trong suốt quá trình thương thuyết.
Bước 3: Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCPOFFER) và
gửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị đó. Điều này
cho phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và
dùng đề cấp phát cho Client khác.
Bước 4: Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin
Hình 8.1: Cơ chế cấp phát DHCP
DHCPACK như là một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó
và thời hạn cho sử dụng đó sẽ chính thức được áp dụng. Ngoài ra Server còn gửi
kèm theo những thông tin cấu hình bổ sung như địa chỉ của gateway mặc định, địa chỉ DNS Server
3. Cài đặt trên Windows Server 2008 3.1. Trên máy Server
- Vào Server Manger ➔ Roles ➔Add Roles. I. Chuẩn bị : 50 STT Tên IP OS Máy 1 DC1
172.168.1.10 Windows Server 2008 R2 2 PC1 172.168.1.20 Windows 7 - 2 máy turn off firewall
- 2 máy kiểm tra đường truyền bằng lệnh Ping - Máy PC1 tắt UAC - Máy DC1 cài đặt Wins Thực hiện :
1. Cài đặt Role DHPC trên DHPC server B1 : Mở Server Manager → chuột phải lên Roles → chọn Add roles B2 : Chọn Next B3 : Chọn DHPC Server →Next 51 B4 : Chọn Next B5 : Chọn 172.16.1.10 ( IPv4 ) → Next B6 : Giữ nguyên mặc định → chọn next B7 : Chọn Next 52 B8 : Chọn Add → Điền thông số về Range IP sẽ cấp phát cho DHCP Server. → OK B9 : Chọn Disable DHCPv6…→ Next B10: Chọn Use current credentials → Next → Next → Install
2. Khai báo các thông số trong Scope : 53 B1 : Chuột phải lên
Scope Options →chọn Configure Options B2 : Chọn 003 Router → khai báo IP : 172.16.1.10 → chọn Add →OK
B3 : Thực hiện tương tự
để tạo scope options : 006 DNS server trở về 172.16.1.10 54 B4: tạo scope 015 DNS Domain Name → nhập vào tại String value: khoaviet.edu.vn → OK Quan sát Scope option đã được tạo
3.2. Trên máy DHCP Client cấu hình để Client nhận IP tự động từ DHPC server Thực hiện trên PC1
B1 : Mở Properties card mạng bỏ dấu
chọn trước dòng Internet Protocol Version 6 ( TC 55 P\IPv6) B2 : Chọn
_ Obtain and IP address automatically
_ Obtain DNS server address
automatically → OK → đóng cửa sổ
properties của card mạng lại.
B3 : Mở Command Line → đánh lệnh
ipconfig/ release → Enter. Đánh tiếp lệnh Ipconfig/renew 56 B4 : kiểm tra :
Đánh lệnh ipconfig/all →quan sát thấy
PC1 đã nhận dược IP và các thông số
khác được cấp tự động từ Domain
3.3. Cấu hình DHPC Resevations B1 : trên PC1 : Mở Command Line → đánh lệnh ipconfig/ all Ghi nhận lại thông số của dòng physical Address: 00-0C-29- AE-98-F0 B2 : PC1 mở DHPC trong Administrate
tools→chuột phải lên Resevations → chọn New Resevations 57 B3 : điền thông số như trong hình Lưu ý : MAC address điền thông số đã ghi nhận trên PC1 → Ok →Close B4 : quan sát
Resevations đã được tạo. • Kiểm tra:
- Tại PC1 đánh lệnh ipconfig/release và ipconfig/ renew để xin cấp IP mới,
IP của PC1 được cấp luôn luôn là 172.16.1.100 4. Backup DHCP Server
- Vào Administrative Tools là DHCP. Nhấn chuột phải tên máy và Backup… 58
Hình 8.2: cửa sổ backup csdl dhcp
- Hộp thoại Browse For Folder hiện ra yêu cầu chọn nơi cất file backup, mặc
định là trong C:\Windows\system32\dhcp\backup.
Hình 8.3: Cửa sổ chọn nơi lưu dữ liệu backup
- Chúng ta để mặc định và OK kết thúc quá trình backup vào thư mục chứ bakup kiểm tra. 5. Remove DHCP Server
- Vào Server Manager➔ Roles ➔ Chọn Remove roles. 59
Hình 8.4: cửa sổ Remove dịch vụ DHCP
- Hộp thoại Remove Roles Wizard hiện ra và nhấn Next.
- Bỏ dấu stick dịch vụ DHCP và Next, sau đó chọn Remove để xóa dịch vụ DHCP 60
Hình 8.5: Cửa sổ chọn dịch vụ DHCP để xóa
- Sau đó Restart lại hệ thống. 61 BÀI 5
QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM Giới thiệu:
Tài khoản người dùng là một đối tượng quan trọng đại diện cho
người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username Mục tiêu:
Qua bài học này học viên sẽ đạt được kiến thức như sau :
Mô tả được tài khoản người dùng, tài khoản nhóm, các thuộc tính của người dùng
Tạo và quản trị được tài khoản người dùng, tài khoản nhóm.
Thực hiện các thao tác an toàn với máy tính. Nội dung chính:
1. Định nghĩa tài khoản người dùng và tài khoản nhóm.
1.1. Tài khoản người dùng.
Tài khoản người dùng (user account) là một đối tượng quan trọng
đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thông
qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống mạng
phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể
đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép.
1.1.1. Tài khoản người dùng cục bộ
Tài khoản người dùng cục bộ (local user account) là tài khoản người
dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập
các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên
trên mạng thì người dùng này phải chứng thực lại với máy domain
controller hoặc máy tính chứa tài nguyên chia sẻ. Bạn tạo tài khoản
người dùng cục bộ với công cụ Local Users and Group trong
Computer Management (COMPMGMT.MSC). Các tài khoản cục bộ
tạo ra trên máy stand-alone server, member server hoặc các máy trạm
đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts
Manager). Tập tin SAM này được đặt trong thư mục \Windows\system32\config. 62
Hình 9.1: lưu trữ thông tin tài khoản người dùng cục bộ
1.1.2. Tài khoản người dùng miền.
Tài khoản người dùng miền (domain user account) là tài khoản
người dùng được định nghĩa trên Active Directory và được phép đăng
nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời
với tài khoản này người dùng có thể truy cập đến các tài nguyên trên
mạng. Bạn tạo tài khoản người dùng miền với công cụ Active Directory
Users and Computer (DSA.MSC). Khác với tài khoản người dùng cục bộ,
tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM
mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong
thư mục \Windows\NTDS.
Hình 9.2: lưu trữ thông tin tài khoản người dùng miền.
1.1.3. Yêu cầu về tài khoản người dùng.
+ Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2008 thì
tên đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy
cài hệ điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự).
+ Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả
tên của người dùng và nhóm không được trùng nhau.
+ Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < > 63
+ Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm
câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới. Tuy nhiên, nên tránh các
khoảng trắng vì những tên như thế phải đặt trong dấu ngoặc khi dùng các
kịch bản hay dòng lệnh.
1.2. Tài khoản nhóm.
Tài khoản nhóm (group account) là một đối tượng đại diện cho một
nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người
dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp
quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. Chú ý là tài
khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm
không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được
chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution group).
1.2.1. Nhóm bảo mật.
Nhóm bảo mật là loại nhóm được dùng để cấp phát các quyền hệ
thống (rights) và quyền truy cập (permission). Giống như các tài khoản
người dùng, các nhóm bảo mật đều được chỉ định các SID. Có ba loại nhóm
bảo mật chính là: local, global và universal. Tuy nhiên nếu chúng ta khảo
sát kỹ thì có thể phân thành bốn loại như sau: local, domain local, global và universal.
Local group (nhóm cục bộ) là loại nhóm có trên các máy stand-
alone Server, member server, Win2K Pro hay WinXP. Các nhóm cục
bộ này chỉ có ý nghĩa và phạm vi hoạt động ngay tại trên máy chứa nó thôi.
Domain local group (nhóm cục bộ miền) là loại nhóm cục bộ đặc
biệt vì chúng là local group nhưng nằm trên máy Domain Controller.
Các máy Domain Controller có một cơ sở dữ liệu Active Directory
chung và được sao chép đồng bộ với nhau do đó một local group trên
một Domain Controller này thì cũng sẽ có mặt trên các Domain
Controller anh em của nó, như vậy local group này có mặt trên miền nên
được gọi với cái tên nhóm cục bộ miền. Các nhóm trong mục Built-in của
Active Directory là các domain local.
Global group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm
nằm trong Active Directory và được tạo trên các Domain Controller.
Chúng dùng để cấp phát những quyền hệ thống và quyền truy cập vượt
qua những ranh giới của một miền. Một nhóm global có thể đặt vào trong
một nhóm local của các server thành viên trong miền. Chú ý khi tạo nhiều
nhóm global thì có thể làm tăng tải trọng công việc của Global Catalog. 64
Universal group (nhóm phổ quát) là loại nhóm có chức năng giống
như global group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp
các miền trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với
nhau. Loại nhóm này tiện lợi hơn hai nhóm global group và local group
vì chúng dễ dàng lồng các nhóm vào nhau. Nhưng chú ý là loại nhóm này
chỉ có thể dùng được khi hệ thống của bạn phải hoạt động ở chế độ
Windows 2000 native functional level hoặc Windows Server 2008
functional level có nghĩa là tất cả các máy Domain Controller trong
mạng đều phải là Windows Server 2008 hoặc Windows 2000 Server.
1.2.2. Nhóm phân phối.
Nhóm phân phối là một loại nhóm phi bảo mật, không có SID và
không xuất hiện trong các ACL (Access Control List). Loại nhóm này
không được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm và
dịch vụ. Chúng được dùng để phân phố thư (e-mail) hoặc các tin nhắn
(message). Bạn sẽ gặp lại loại nhóm này khi làm việc với phần mềm MS Exchange.
1.2.3. Qui tắc gia nhập nhóm.
- Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào
trong nhóm Machine Local.
- Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào
trong chính loại nhóm của mình.
- Nhóm Global và Universal có thể đặt vào trong nhóm Domain local.
- Nhóm Global có thể đặt vào trong nhóm Universal.
Hình 9.3: khả năng gia nhập của các loại nhóm.
2. Chứng thực và kiểm soát truy cập.
2.1. Các giao thức chứng thực.
Chứng thực trong Windows Server 2008 là quy trình gồm hai giai
đoạn: đăng nhập tương tác và chứng thực mạng. Khi người dùng đăng 65
nhập vùng bằng tên và mật mã, quy trình đăng nhập tương tác sẽ phê
chuẩn yêu cầu truy cập của người dùng. Với tài khoản cục bộ, thông tin
đăng nhập được chứng thực cục bộ và người dùng được cấp quyền truy cập
máy tính cục bộ. Với tài khoản miền, thông tin đăng nhập được chứng thực
trên Active Directory và người dùng có quyền truy cập các tài nguyên trên
mạng. Như vậy với tài khoản người dùng miền ta có thể chứng thực trên bất
kỳ máy tính nào trong miền. Windows 2008 hỗ trợ nhiều giao thức chứng
thực mạng, nổi bật nhất là: -
Kerberos V5: là giao thức chuẩn Internet dùng để chứng thực người dùng và hệ thống. -
NT LAN Manager (NTLM): là giao thức chứng thực chính của Windows NT. -
Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơ
chế chứng thực chính được dùng khi truy cập vào máy phục vụ Web an toàn.
2.2. Số nhận diện bảo mật SID.
Tuy hệ thống Windows Server 2008 dựa vào tài khoản người dùng
(user account) để mô tả các quyền hệ thống (rights) và quyền truy cập
(permission) nhưng thực sự bên trong hệ thống mỗi tài khoản được đặc
trưng bởi một con số nhận dạng bảo mật SID (Security Identifier). SID là
thành phần nhận dạng không trùng lặp, được hệ thống tạo ra đồng thời với
tài khoản và dùng riêng cho hệ thống xử lý, người dùng không quan tâm
đến các giá trị này. SID bao gồm phần SID vùng cộng thêm với một RID
của người dùng không trùng lặp. SID có dạng chuẩn “S-1-5-21-D1-D2-D3-
RID”, khi đó tất cả các SID trong miền đều có cùng giá trị D1, D2, D3,
nhưng giá trị RID là khác nhau. Hai mục đích chính của việc hệ thống sử dụng SID là:
- Dễ dàng thay đổi tên tài khoản người dùng mà các quyền hệ thống và
quyền truy cập không thay đổi.
- Khi xóa một tài khoản thì SID của tài khoản đó không còn giá trị nữa,
nếu chúng ta có tạo một tài khoản mới cùng tên với tài khoản vừa xóa
thì các quyền cũ cũng không sử dụng được bởi vì khi tạo tài khoản mới
thì giá trị SID của tài khoản này là một giá trị mới.
2.3. Kiểm soát hoạt động truy cập của đối tượng.
Active Directory là dịch vụ hoạt động dựa trên các đối tượng, có
nghĩa là người dùng, nhóm, máy tính, các tài nguyên mạng đều được định 66
nghĩa dưới dạng đối tượng và được kiểm soát hoạt động truy cập dựa vào bộ
mô tả bảo mật ACE. Chức năng của bộ mô tả bảo mật bao gồm:
- Liệt kê người dùng và nhóm nào được cấp quyền truy cập đối tượng.
- Định rõ quyền truy cập cho người dùng và nhóm.
- Theo dõi các sự kiện xảy ra trên đối tượng.
- Định rõ quyền sở hữu của đối tượng.
Các thông tin của một đối tượng Active Directory trong bộ mô tả bảo mật
được xem là mục kiểm soát hoạt động truy cập ACE (Access Control
Entry). Một ACL (Access Control List) chứa nhiều ACE, nó là danh
sách tất cả người dùng và nhóm có quyền truy cập đến đối tượng. ACL có
đặc tính kế thừa, có nghĩa là thành viên của một nhóm thì được thừa hưởng
các quyền truy cập đã cấp cho nhóm này.
3. Các tài khoản tạo sẵn.
3.1. Tài khoản người dùng tạo sẵn.
Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người
dùng mà khi ta cài đặt Windows Server 2008 thì mặc định được tạo ra.
Tài khoản này là hệ thống nên chúng ta không có quyền xóa đi nhưng vẫn
có quyền đổi tên (chú ý thao tác đổi tên trên những tài khoản hệ thống
phức tạp một chút so với việc đổi tên một tài khoản bình thường do nhà
quản trị tạo ra). Tất cả các tài khoản người dùng tạo sẵn này đều nằng trong
Container Users của công cụ Active Directory User and Computer. Sau
đây là bảng mô tả các tài khoản người dùng được tạo sẵn: Tên tài khoản Mô tả Administrator
Administrator là một tài khoản đặc biệt, có
toàn quyền trên máy tính hiện tại. Bạn có thể
đặt mật khẩu cho tài khoản này trong lúc cài
đặt Windows Server 2008 . Tài khoản này có
thể thi hành tất cả các tác vụ như tạo tài khoản
người dùng, nhóm, quản lý các tập tin hệ thống và
Tài khoản Guest cho phép người dùng truy cập
vào các máy tính nếu họ không có một tài khoản Guest
và mật mã riêng. Mặc định là tài khoản này
không được sử dụng, nếu được sử dụng thì thông
thường nó bị giới hạn về quyền, ví dụ như là chỉ
được truy cập Internet hoặc in ấn. 67
Là tài khoản đặc biệt được dùng cho dịch vụ ILS.
ILS hỗ trợ cho các ứng dụng điện thoại có các ILS_Anonymous_
đặc tính như: caller ID, video conferencing, User
conference calling, và faxing. Muốn sử dụng
ILS thì dịch vụ IIS phải được cài đặt. IUSR_computer-
Là tài khoản đặc biệt được dùng trong các truy cập name giấu tên trong dịch vụ IWAM_computer-
Là tài khoản đặc biệt được dùng cho IIS khởi động name các tiến trình của các
Là tài khoản đặc biệt được dùng cho dịch vụ Krbtgt
trung tâm phân phối khóa (Key Distribution TSInternetUser
Là tài khoản đặc biệt được dùng cho Terminal
3.2. Tài khoản nhóm Domain Local tạo sẵn.
Nhưng chúng ta đã thấy trong công cụ Active Directory User and
Computers, container Users chứa nhóm universal, nhóm domain local
và nhóm global là do hệ thống đã mặc định quy định trước. Nhưng một
số nhóm domain local đặc biệt được đặt trong container Built-in, các
nhóm này không được di chuyển sang các OU khác, đồng thời nó cũng
được gán một số quyền cố định trước nhằm phục vụ cho công tác quản trị.
Bạn cũng chú ý rằng là không có quyền xóa các nhóm đặc biệt này.
Administrat Nhóm này mặc định được ấn định sẵn tất cả các quyền hạn ors
cho nên thành viên của nhóm này có toàn quyền trên hệ
thống mạng. Nhóm Domain Admins và Enterprise Account
Thành viên của nhóm này có thể thêm, xóa, sửa được các
Operators tài khoản người dùng, tài khoản máy và tài khoản nhóm.
Tuy nhiên họ không có quyền xóa, sửa các nhóm trong Domain
Nhóm này chỉ có trên các Domain Controller và mặc định
Controllers không có thành viên nào, thành viên của nhóm có thể
đăng nhập cục bộ vào các Domain Controller nhưng Backup
Thành viên của nhóm này có quyền lưu trữ dự phòng
Operators (Backup) và phục hồi (Retore) hệ thống tập tin. Trong
trường hợp hệ thống tập tin là NTFS và họ không được
gán quyền trên hệ thống tập tin thì thành viên của nhóm Guests
Là nhóm bị hạn chế quyền truy cập các tài nguyên trên
mạng. Các thành viên nhóm này là người dùng vãng lai
không phải là thành viên của mạng. Mặc định các tài 68
Print Operator Thành viên của nhóm này có quyền tạo ra, quản lý và
xóa bỏ các đối tượng máy in dùng chung trong Active Server
Thành viên của nhóm này có thể quản trị các máy server
Operators trong miền như: cài đặt, quản lý máy in, tạo và quản lý
thư mục dùng chung, backup dữ liệu, định dạng đĩa, thay
Mặc định mọi người dùng được tạo đều thuộc nhóm này, Users
nhóm này có quyền tối thiểu của một người dùng nên việc
Nhóm này được dùng để hỗ trợ việc sao chép danh bạ
Replicator trong Directory Services, nhóm này không có thành viên Incoming Forest
Thành viên nhóm này có thể tạo ra các quan hệ tin cậy
hướng đến, một chiều vào các rừng. Nhóm này không có Trust Network Configurat
Thành viên nhóm này có quyền sửa đổi các thông số TCP/IP trên các máy ion Pre- Windows 2000
Nhóm này có quyền truy cập đến tất cả các tài khoản
người dùng và tài khoản nhóm trong miền, nhằm hỗ trợ Remote
Thành viên nhóm này có thể đăng nhập từ xa vào các Desktop Domain Controller
Thành viên nhóm này có quyền truy cập từ xa để ghi nhận Performace
lại những giá trị về hiệu năng của các máy Domain Log
Controller, nhóm này cũng không có thành viên mặc
Performace Thành viên nhóm này có khả năng giám sát từ xa các Monitor
máy Domain Controller.
Ngoài ra còn một số nhóm khác như DHCP Users, DHCP
Administrators, DNS Administrators… các nhóm này phục vụ chủ yếu
cho các dịch vụ, chúng ta sẽ tìm hiểu cụ thể trong từng dịch vụ ở giáo
trình “Dịch Vụ Mạng”. Chú ý theo mặc định hai nhóm Domain
Computers và Domain Controllers được dành riêng cho tài khoản máy
tính, nhưng bạn vẫn có thể đưa tài khoản người dùng vào hai nhóm này.
3.3. Tài khoản nhóm Global tạo sẵn.
Thành viên của nhóm này có thể toàn quyền quản trị các Domain
máy tính trong miền vì mặc định khi gia nhập vào miền Admins
các member server và các máy trạm (Win2K Pro, 69 Domain
Theo mặc định mọi tài khoản người dùng trên miền Users
đều là thành viên của nhóm này. Mặc định nhóm này
là thành viên của nhóm cục bộ Users trên các máy Group
Thành viên nhóm này có quyền sửa đổi chính sách Policy nhóm
của miền, theo mặc định tài khoản Creator
administrator miền là thành viên của nhóm này.
Đây là một nhóm universal, thành viên của nhóm này Enterprise
có toàn quyền trên tất cả các miền trong rừng đang xét. Admins
Nhóm này chỉ xuất hiện trong miền gốc của rừng thôi. Schema
Nhóm universal này cũng chỉ xuất hiện trong miền gốc Admins
của rừng, thành viên của nhóm này có thể chỉnh sửa
cấu trúc tổ chức (schema) của Active Directory.
3.4. Các nhóm tạo sẵn đặc biệt.
- Ngoài các nhóm tạo sẵn đã trình bày ở trên, hệ thống Windows Server
2008 còn có một số nhóm tạo sẵn đặt biệt, chúng không xuất hiện trên
cửa sổ của công cụ Active Directory User and Computer, mà chúng
chỉ xuất hiện trên các ACL của các tài nguyên và đối tượng. Ý nghĩa của nhóm đặc biệt này là:
- Interactive: đại diện cho những người dùng đang sử dụng máy tại chỗ.
- Network: đại diện cho tất cả những người dùng đang nối kết mạng đến một máy tính khác.
- Everyone: đại diện cho tất cả mọi người dùng.
- System: đại diện cho hệ điều hành.
- Creator owner: đại diện cho những người tạo ra, những người sở hữa
một tài nguyên nào đó như: thư mục, tập tin, tác vụ in ấn (print job)…
- Authenticated users: đại diện cho những người dùng đã được hệ
thống xác thực, nhóm này được dùng như một giải pháp thay thế an toàn
hơn cho nhóm everyone.
- Anonymous logon: đại diện cho một người dùng đã đăng nhập vào hệ
thống một cách nặc danh, chẳng hạn một người sử dụng dịch vụ FTP.
- Service: đại diện cho một tài khoản mà đã đăng nhập với tư cách như một dịch vụ.
- Dialup: đại diện cho những người đang truy cập hệ thống thông qua Dial- up Networking.
4. Quản lý tài khoản người dùng và nhóm cục bộ.
4.1. Công cụ quản lý tài khoản người dùng cục bộ. 70
Muốn tổ chức và quản lý người dùng cục bộ, ta dùng công cụ Local
Users and Groups. Với công cụ này bạn có thể tạo, xóa, sửa các tài
khoản người dùng, cũng như thay đổi mật mã. Có hai phương thức truy
cập đến công cụ Local Users and Groups:
Hình 9.3: cửa sổ quản lý Local Users and Groups
Các thao tác cơ bản trên tài khoản người dùng cục bộ.
4.1.1. Tạo tài khoản mới.
Trong công cụ Local Users and Groups, ta nhấp phải chuột vào
Users và chọn New User, hộp thoại New User hiển thị bạn nhập các thông
tin cần thiết vào, nhưng quan trọng nhất và bắt buộc phải có là mục Username.
Hình 9.4: cửa sổ tạo mới user
4.1.2. Xóa tài khoản.
Bạn nên xóa tài khoản người dùng, nếu bạn chắc rằng tài khoản này 71
không bao giờ cần dùng lại nữa. Muốn xóa tài khoản người dùng bạn
mở công cụ Local Users and Groups, chọn tài khoản người dùng cần
xóa, nhấp phải chuột và chọn Delete hoặc vào thực đơn Action Delete.
Hình 9.5: cửa sổ xóa User
Chú ý: khi chọn Delete thì hệ thống xuất hiện hộp thoại hỏi bạn muốn
xóa thật sự không vì tránh trường hợp bạn xóa nhầm. Bởi vì khi đã xóa
thì tài khoản người dùng này không thể phục hồi được.
4.1.3. Khóa tài khoản.
Khi một tài khoản không sử dụng trong thời gian dài bạn nên khóa
lại vì lý do bảo mật và an toàn hệ thống. Nếu bạn xóa tài khoản này đi
thì không thể phục hồi lại được do đó ta chỉ tạm khóa. Trong công cụ
Local Users and Groups, nhấp đôi chuột vào người dùng cần khóa, hộp
thoại Properties của tài khoản xuất hiện.
Hình 9.6: cửa sổ quản lý user
Trong Tab General, đánh dấu vào mục Account is disabled. 72
Hình 9.7: cửa sổ khóa user
4.1.4. Đổi tên tài khoản.
Bạn có thể đổi tên bất kỳ một tài khoản người dùng nào, đồng thời
bạn cũng có thể điều chỉnh các thông tin của tài khoản người dùng thông
qua chức năng này. Chức năng này có ưu điểm là khi bạn thay đổi tên
người dùng nhưng SID của tài khoản vẫn không thay đổi. Muốn thay đổi
tên tài khoản người dùng bạn mở công cụ Local Users and Groups, chọn
tài khoản người dùng cần thay đổi tên, nhấp phải chuột và chọn Rename.
4.1.5. Thay đổi mật khẩu.
Muốn đổi mật mã của người dùng bạn mở công cụ Local Users and
Groups, chọn tài khoản người dùng cần thay đổi mật mã, nhấp phải chuột
và chọn Reset password.
4.2. Quản lý tài khoản người dùng và nhóm trên active directory. Tạo các local user
- Để tạo được User local
phải có quyền ngang hàng với Administrator của hệ thống.
-Vào Start➔Programs➔Administrative Tools ➔Active Directory Users and Computers. 73
Hình 9.8: cửa sổ quản lý Domain Users and Groups
- Chuột phải User ➔ New User ➔ tại bảng New Object – User điền đầy đủ các
thông tin vào First Name, Last Name, Full Name.
- Chọn Next để tiếp tục.Xuất hiện bảng thiết lập password.Đây là mật khẩu của
bạn ứng với tên tài khoản đã tạo ở trên,dùng để đăng nhập vào domain.
- Pasword phải thỏa mãn các chính sách mặc định của Windows Server
2008.Password ít nhất là 7 kí tự và phải có các thành phần sau :
• Các kí tự thường : a,b,c,d,e…..
• Các kí tự in hoa : A,B,C,D,E….
• Các chữ số : 1,2,3,4,5….
• Các kí tự đặc biệt : @,!,$,&,#....
- Ở đây không thiết lập password vì trong Group Policy Management Editor đã vô hiệu hóa password. 74
Hình 9.9: cửa sổ chỉnh sửa chính sách tài khoản - Lưu ý 4 dòng :
• User must change password at next logon : bắt buộc user phải thay đổi
password ở lần đăng nhập kế tiếp
• User cannot change password : user không có quyền thay đổi password
• Password never expires : password không có thời hạn qui định
• Account is disabled : vô hiệu hóa tài khoản.
- Ở đây sẽ không chọn mục nào hết. Nhấn Next.
- Chọn Next để tiếp tục.Ở bảng tiếp theo là thông tin về user chuẩn bị được tạo.
- Chọn Finish để kết thúc.
- Tiếp theo,kiểm tra thử user đã được tạo .Click đúp vào User và kiểm tra.
Để gán cho User có thể đăng nhập vào domain. Vào Group Policy Management
Editor. Chọn Allow log on through Terminal Services.
Add User or Group ➔ Browse ➔ đánh tên user rồi Check Names ➔ OK.
User tai , phat đã được chọn để logon. Và nhấn OK
Vào Logon as a Service. Cũng gán quyền cho user như trên. User tai , phat đã
được gán quyền được logon. 75
Hình 9.10: cửa sổ gán quyền cho user
Xong sau đó vào Start ➔ Run ➔ gõ lệnh gpupdate /force để cập nhật user.
Sau đó Log off để đăng nhập user vào Administrator.Nhập tên user đã được gán
quyền và nhấn OK.(không cần password) vì khi nảy ta đã không nhập password.
Vào Start để xem user đã đăng nhập vào. Tạo local group
Để tạo một group mới.Nhấp chuột phải vào User và chọn New ➔ Group.
Hình 9.11: cửa sổ tạo group 76
Tại ô Group name gõ tên group.Sau đó chọn OK
Hình 9.12: cửa sổ nhập chọn thông số khi tạo group mới
Kiểm tra lại group đã được tạo bằng cách click vào User
Hình 9.13: cửa sổ xem group đã tạo
Để đưa user vào group phattai ,nhấp chuột phải vào group và chọn
Properties. Tại tab Member.Chọn Add.. 77
Tại ô Enter the object name to select bạn gõ tên user muốn đưa vào
group.Sau khi gõ tên user,chọn Check Names để kiểm tra.
Và kết quả là tồn tại user này trên domain. Sau khi thêm user vào
group.Chọn OK để xác nhận 78 BÀI 6 QUẢN LÝ ĐĨA Giới thiệu:
Trên một server vật lý chứa rất nhiều ổ đĩa vật lý. Tuy nhiên người
quản trị mạng phải biết cấu hình đĩa sao cho đạt được mục tiêu khả năng
chịu lỗi và truy xuất nhanh dữ liệu . Windows Server 2008 hỗ trợ hai loại
đĩa lưu trữ: basic và dynamic. Mục tiêu:
- Phân biệt được các loại định dạng đĩa cứng;
- Công nghệ lưu trữ mới Dynamic storage;
- Mô tả được kỹ thuật nén và mã hoá dữ liệu.
- Thực hiện các thao tác an toàn với máy tính. Nội dung chính:
1. Cấu hình hệ thống tập tin.
Hệ thống tập tin quản lý việc lưu trữ và định vị các tập tin trên đĩa
cứng. Windows Server 2008 hỗ trợ ba hệ thống tập tin khác nhau:
FAT16, FAT32 và NTFS5. Bạn nên chọn FAT16 hoặc FAT32 khi máy
tính sử dụng nhiều hệ điều hành khác nhau. Nếu bạn định sử dụng các tính
năng như bảo mật cục bộ, nén và mã hoá các tập tin thì bạn nên dùng
NTFS5. Bảng sau trình bày khả năng của từng hệ thống tập tin trên Windows Server 2008 :
Hệ điều hành Hầu hết các hệ Windows 95 OSR2, Windo 2000 hỗ trợ điều hành Windows 98, Windows ws , 256 ký tự trên
Hỗ trợ tên tập Windows, 8.3 tin dài trên Dos 256 ký tự 256 ký tự Sử dụng hiệu quả đĩa Không Có Có Hỗ trợ nén đĩa Không Không Có Hỗ trợ hạn Không Không Có Hỗ trợ mã hoá Không Không Có Hỗ trợ bảo mật cục bộ Không Không Có 79 Hỗ trợ bảo mật trên mạng Có Có Có Kích thước Volume tối đa 4GB 32GB 1024GB
Trên Windows Server 2008/Windows 2008 /2000/NT, bạn có thể sử
dụng lệnh CONVERT để chuyển đổi hệ thống tập tin từ FAT16, FAT32
thành NTFS. Cú pháp của lệnh như sau: CONVERT [ổ đĩa:] /fs:ntfs
2. Cấu hình đĩa lưu trữ.
Windows Server 2008 hỗ trợ hai loại đĩa lưu trữ: basic và dynamic. 2.1. Basic storage.
Bao gồm các partition primary và extended. Partition tạo ra đầu
tiên trên đĩa được gọi là partition primary và toàn bộ không gian cấp cho
partition được sử dụng trọn vẹn. Mỗi ổ đĩa vật lý có tối đa bốn partition.
Bạn có thể tạo ba partition primary và một partition extended. Với
partition extended, bạn có thể tạo ra nhiều partition logical. 2.2. Dynamic storage
Đây là một tính năng mới của Windows Server 2008 . Đĩa lưu trữ
dynamic chia thành các volume dynamic. Volume dynamic không chứa
partition hoặc ổ đĩa logic, và chỉ có thể truy cập bằng Windows
Server 2008 và Windows 2000. Windows Server 2008 / Windows 2000
hỗ trợ năm loại volume dynamic: simple, spanned, striped, mirrored và
RAID-5. Ưu điểm của công nghệ Dynamic storage so với công nghệ Basic storage:
- Cho phép ghép nhiều ổ đĩa vật lý để tạo thành các ổ đĩa logic (Volume).
- Cho phép ghép nhiều vùng trống không liên tục trên nhiều đĩa cứng vật lý để tạo ổ đĩa logic.
- Có thể tạo ra các ổ đĩa logic có khả năng dung lỗi cao và tăng tốc độ truy xuất… 2.2.1. Volume simple.
Chứa không gian lấy từ một đĩa dynamic duy nhất. Không gian đĩa
này có thể liên tục hoặc không liên tục. Hình sau minh hoạ một đĩa vật lý
được chia thành hai volume đơn giản. 80
Hình 10.1: Volume simple 2.2.2. Volume spanned.
Bao gồm một hoặc nhiều đĩa dynamic (tối đa là 32 đĩa). Sử dụng
khi bạn muốn tăng kích cỡ của volume. Dữ liệu ghi lên volume theo
thứ tự, hết đĩa này đến đĩa khác. Thông thường người quản trị sử dụng
volume spanned khi ổ đĩa đang sử dụng trong volume sắp bị đầy và
muốn tăng kích thước của volume bằng cách bổ sung thêm một đĩa khác.
Hình 10.2: Volume spanned
Do dữ liệu được ghi tuần tự nên volume loại này không tăng hiệu
năng sử dụng. Nhược điểm chính của volume spanned là nếu một đĩa bị
hỏng thì toàn bộ dữ liệu trên volume không thể truy xuất được. 2.2.3. Volume striped.
Lưu trữ dữ liệu lên các dãy (strip) bằng nhau trên một hoặc nhiều
đĩa vật lý (tối đa là 32). Do dữ liệu được ghi tuần tự lên từng dãy, nên
bạn có thể thi hành nhiều tác vụ I/O đồng thời, làm tăng tốc độ truy xuất
dữ liệu. Thông thường, người quản trị mạng sử dụng volume striped để
kết hợp dung lượng của nhiều ổ đĩa vật lý thành một đĩa logic đồng thời
tăng tốc độ truy xuất. 81
Hình 10.3: Volume striped
Nhược điểm chính của volume striped là nếu một ổ đĩa bị hỏng thì
dữ liệu trên toàn bộ volume mất giá trị.
2.2.4. Volume mirrored.
Là hai bản sao của một volume đơn giản. Bạn dùng một ổ đĩa chính
và một ổ đĩa phụ. Dữ liệu khi ghi lên đĩa chính đồng thời cũng sẽ được ghi
lên đĩa phụ. Volume dạng này cung cấp khả năng dung lỗi tốt. Nếu một
đĩa bị hỏng thì ổ đĩa kia vẫn làm việc và không làm gián đoạn quá trình
truy xuất dữ liệu. Nhược điểm của phương pháp này là bộ điều khiển đĩa
phải ghi lần lượt lên hai đĩa, làm giảm hiệu năng.
Hình 10.4: Volume mirrored
Để tăng tốc độ ghi đồng thời cũng tăng khả năng dung lỗi, bạn có thể sử
dụng một biến thể của volume mirrored là duplexing. Theo cách này bạn
phải sử dụng một bộ điều khiển đĩa khác cho ổ đĩa thứ hai.
Hình 10.5:Volume mirrored là duplexing
Nhược điểm chính của phương pháp này là chi phí cao. Để có một
volume 4GB bạn phải tốn đến 8GB cho hai ổ đĩa. 82 2.2.5. Volume RAID-5.
Tương tự như volume striped nhưng RAID-5 lại dùng thêm một
dãy (strip) ghi thông tin kiểm lỗi parity. Nếu một đĩa của volume bị
hỏng thì thông tin parity ghi trên đĩa khác sẽ giúp phục hồi lại dữ liệu trên
đĩa hỏng. Volume RAID-5 sử dụng ít nhất ba ổ đĩa (tối đa là 32). Hình 10.5:Volume Raid
Ưu điểm chính của kỹ thuật này là khả năng dung lỗi cao và tốc độ
truy xuất cao bởi sử dụng nhiều kênh I/O.
3. Sử dụng chương trình disk manager.
Disk Manager là một tiện ích giao diện đồ hoạ phục vụ việc quản
lý đĩa và volume trên môi trường Windows 2008 và Windows Server
2008 . Để có thể sử dụng được hết các chức năng của chương trình, bạn
phải đăng nhập vào máy bằng tài khoản Administrator. Vào menu Start
->Programs -> Administrative Tools -> Computer Management. Sau
đó mở rộng mục Storage và chọn Disk Management. Cửa sổ Disk
Management xuất hiện như sau: 83
Phần sau sẽ hướng dẫn bạn thực hiện các thao tác căn bản bằng Disk Manager Thực hành disk management
Giới thiệu : bài lab bao gồm những nội dung chính như sau : Basic Disk 1. Primary Partition
2. Extended – Logical Partition Dynamic Disk
1. Chuyển disk sang dynamic 2. Mirror 3. Spanned 4. Stripped 5. Raid 5 Chuẩn bị : Wi nd
HDD 0 (15 Gb): Partition Windows ow s Se
HDD 1 (15 Gb) : trống rv er 20
HDD 1 (15 Gb) : trống 00 8 R2 Thực hiện
A. Basic disk: gắn disk 0 và disk 1 vào máy ảo : 1. Primary partition 84 B1 : Start → Run → gõ diskmgmt.msc → OK B2 : Chuột phải lên disk1 → chọn Online B3 : Chuột phải lên Disk1 chọn Initialze Disk B4 : OK B5 : Chuột phải lên vùng Unalocated của disk 1 → chọn New Simple Volume B6 : Màn hình Welcome → chọn Next B7 : Màn hình Sepcify Volume Wizard → chọn dung lượng Partition trong Simple Volume size in MB : 100 → Next 85 B8 : Màn hình Assign Drive Letter or path → chọn lí tự đại diện cho partition → Next B9 : Màn hình Format partition
→chọn tên nhãn đĩa trong phần volume label : Par1 → chọn Perform a quick format → Next B10 : Finish B11 : Quan sát tạo partition thành công :
loại Partition được chọn tự động là Primary 86 B12 : Mở My Computer quan sát thấy có thêm ổ đĩa Par1( E:) B13 : Thực hiện lại các bước trên tạo thêm 2 Partition dung lượng 100 MB với tên lần lượt Par2, Par3 Lưu ý : đối với Windows Server 2008 : mỗi ổ đĩa vật
lý chỉ có thể tạo tối đa 3 partition Primary khác với Windows Server 2008 ( có thể tạo 4 ổ Primary )
2. Extended – Logical Partition
Thực hiện lại các bước
giống phần 1 để tạo ra Partition dung lượng 100MB , tên là Par4 - Quan sát thấy partition Par4 chọn tự động là Logical - Logical Partition được bao bọc bởi 87 Extended Partition B. Dynamic Disk :
1. Chuyển disk sang dynamic: B1 : Mở Disk Management →chuột phải lên disk 1 → chọn Convert To Dynamic Disk B2 : Chọn disk 0 và disk 1 → OK B3 : Chọn Convert B4 : Màn hình cảnh báo → chọn Yes 2. Mirror 88 B1 : Chuột phải lên Partition chứa hệ điều hành → chọn Add Mirror B2 : Chọn Disk 1 → Add Mirror Quá trình đồng bộ dữ liệu thành công - Gở disk 0 ra khòi máy ảo- khởi động lại máy ảo - Chọn Microsoft Windows server 2008 – secondary plex → khởi động vào windows thành công
3. Spanned : gắn Disk 0 vào máy ảo. Vào disk management → chuột phải lên disk 1 chọn remove 89 B1 : chuột phải lên vùng Unallocated tên Disk 1 → chọn new Spanned Volume B2 : Màn hình Welcome → chọn next B3 : màn hình Select Disks → khung bên trái chọn Disk 1 → chọn Add B4 : chọn Disk 0 → Select the amount of Space in MB :100 B5 : Chọn disk 1 → select the amount of space in MB : 200 → Next B6 : chọn Next 90 B7 : Đặt tên partition là Spanned Partition →chọn perform a quick format → Next B8 : chọn Finish Kiểm tra : mở Computer thấy xuất hiện partition Spanned Partition có dung lượng là 300 MB. 4. Stripped B1 : chuột phải lên vùng Unallocated của disk 1 → chọn New Stripped Volume B2 : màn hình Welcome → chọn next B3 : màn hình Select Disk →khung bên trái chọn disk 1→ add B4 : chọn dung lượng 91
sẽ thấy để tạo partition trên 2 ổ đĩa vật lí : Select the amount of space in MB : 500 → next B5 : chọn next B6 : chọn Quick Format → next B7 : chọn finish Quan sát thấy partition thành công ( phân vùng màu xanh ) - Mở computer quan sát thấy có thêm 1 partition mới - Dung lượng partitiom là 1000MB
5. Raid 5 : xóa hết các partition đã tạo ( trừ partition chứa hệ điều hành ) 92 B1 : gắn đĩa số 3 vào máy ảo
B2 : khởi động lại máy ảo → vào Disk Management → chuột phải lên vùng Unallocated trên Disk 1 → chọn New RAID - 5 volume B3 : màn hình Welcome →Next B4 : màn hình Select disk → khung bên trái chọn disk 0 và disk 2 → Add B5 : Chọn dung lượng partition trên cả 3 disk : 500 → next B6 : chọn Next 93 B7 : Chọn Quick Format →next B8 : màn hình Complete → Finish B9 : quan sát tạo partition thành công
- Mở My Computer → mở Partition vừa tạo → tạo file Test.txt với nội dung tùy ý
- Tắt máy ảo , gỡ Disk 1 ra khỏi máy ảo
- Khởi động lại máy ảo → vào truy xuất được file
Lưu ý : sau khi gắn trả Disk 1 về máy ảo : mở Disk Management – chuột phải
lên Partition của RAID – 5 chọn Reactive để đồng bộ dữ liệu lại.
4. Quản lý việc nén dữ liệu.
Nén dữ liệu là quá trình lưu trữ dữ liệu dưới một dạng thức chiếm ít
không gian hơn dữ liệu ban đầu. Windows Server 2008 hỗ trợ tính năng
nén các tập tin và thư mục một cách tự động và trong suốt. Các chương
trình ứng dụng truy xuất các tập tin nén một cách bình thường do hệ điều
hành tự động giải nén khi mở tập tin và nén lại khi lưu tập tin lên đĩa. Khả
năng này chỉ có trên các partition NTFS. Nếu bạn chép một tập tin/thư
mục trên một partition có tính năng nén sang một partition FAT bình
thường thì hệ điều hành sẽ giải nén tập tin/thư mục đó trước khi chép đi.
Để thi hành việc nén một tập tin/thư mục, bạn sử dụng chương trình
Windows Explorer và thực hiện theo các bước sau:
- Trong cửa sổ Windows Explorer, duyệt đến tập tin/thư mục định nén và
chọn tập tin/thư mục đó.
- Nhấp phải chuột lên đối tượng đó và chọn Properties.
- Trong hộp thoại Properties, nhấn nút Advanced trong tab General.
- Trong hộp thoại Advanced Properties, chọn mục “Compress
contents to save disk space” và nhấn chọn OK. 94
Hình 10.6:cửa sổ thuộc tính
Nhấn chọn OK trong hộp thoại Properties để xác nhận thao tác. Nếu
bạn định nén một thư mục, hộp thoại Confirm Attribute Changes xuất
hiện, yêu cầu bạn lựa chọn hoặc là chỉ nén thư mục này thôi (Apply
changes to this folder only) hoặc nén cả các thư mục con và tập tin có
trong thư mục (Apply changes to this folder, subfolders and files). Thực
hiện lựa chọn của bạn và nhấn OK.
Để thực hiện việc giải nén một thư mục/tập tin, bạn thực hiện tương
tự theo các bước ở trên và bỏ chọn mục Compress contents to save disk
space trong hộp thoại Advanced Properties.
5. Thiết lập hạn ngạch đĩa (disk quota).
Hạn ngạch đĩa được dùng để chỉ định lượng không gian đĩa tối đa mà
một người dùng có thể sử dụng trên một volume NTFS. Bạn có thể áp
dụng hạn ngạch đĩa cho tất cả người dùng hoặc chỉ đối với từng người dùng riêng biệt.
Một số vấn đề bạn phải lưu ý khi thiết lập hạn ngạch đĩa:
- Chỉ có thể áp dụng trên các volume NTFS.
- Lượng không gian chiếm dụng được tính theo các tập tin và thư mục do người dùng sở hữu.
- Khi người dùng cài đặt một chương trình, lượng không gian đĩa còn
trống mà chương trình thấy được tính toán dựa vào hạn ngạch đĩa của
người dùng, không phải là lượng không gian còn trống trên volume.
- Được tính toán trên kích thước thật sự của tập tin trong trường hợp tập tin/thư mục được nén.
Cấu hình hạn ngạch đĩa.
Bạn cấu hình hạn ngạch đĩa bằng hộp thoại Volume Propertise đã
giới thiệu trong phần trên. Bạn cũng có thể mở hộp thoại này bằng cách 95
nhấp phải chuột lên ký tự ổ đĩa trong Windows Explorer và chọn
Propertise. Trong hộp thoại này nhấp chọn tab Quota. Theo mặc định tính
năng hạn ngạch đĩa không được kích hoạt.
6. Mã hoá dữ liệu bằng efs.
EFS (Encrypting File System) là một kỹ thuật dùng trong Windows
Server 2008 dùng để mã hoá các tập tin lưu trên các partition NTFS.
Việc mã hoá sẽ bổ sung thêm một lớp bảo vệ an toàn cho hệ thống tập
tin. Chỉ người dùng có đúng khoá mới có thể truy xuất được các tập tin này
còn những người khác thì bị từ chối truy cập. Ngoài ra, người quản trị
mạng còn có thể dùng tác nhân phục hồi (recovery agent) để truy xuất
đến bất kỳ tập tin nào bị mã hoá. Để mã hoá các tập tin, tiến hành theo các bước sau:
Mở cửa sổ Windows Explorer.
Trong cửa sổ Windows Explorer, chọn các tập tin và thưc mục cần mã
hoá. Nhấp phải chuột lên các tập tin và thư mục, chọn Properties.
Trong hộp thoại Properties, nhấn nút Advanced.
Hộp thoại Advanced Properties xuất hiện, đánh dấu mục Encrypt
contents to secure data và nhấn OK.
Hình 10.7:cửa sổ mã hóa
Trở lại hộp thoại Properties, nhấn OK, xuất hiện hộp thoại Confirm
Attribute Changes yêu cần bạn cho biết sẽ mã hoá chỉ riêng thư mục
được chọn (Apply changes to this folder only) hoặc mã hoá toàn bộ thư
mục kể các các thư mục con (Apply changes to this folder, subfolders
and files). Sau đó nhấn OK.
Để thôi không mã hoá các tập tin, bạn thực hiện tương tự theo các
bước trên nhưng bỏ chọn mục Encrypt contents to secure data. 96 BÀI 7
TẠO VÀ QUẢN LÝ THƯ MỤC DUNG CHUNG Mã bài: 13.11
1. Kiểm soát quyền truy cập hệ thống tệp ntfs
1.1. Phân quyền đơn giản
- Windows có một cơ chế kiểm soát truy nhập rất đơn giản là share đồng thời
phân quyền. Muốn share, chọn lệnh Share..., lần lượt Add một folder, hãy click
nút phụ của con chuột vào folder ấy, sẽ hiện context menu từng nhóm người dùng
(hay từng người dùng), cứ mỗi nhóm chọn Permission Level để phân quyền cho
nhóm ấy. Xong ấn nút Share.
- Theo cách này, mỗi nhóm có thể có một trong ba quyền truy nhập.
• Reader (người xem). Xem toàn bộ nội dung folder.
• Contributor (người đóng góp). Xem toàn bộ nội dung folder, có thể tạo
thêm file và folder và sửa file / folder mà bản thân đã thêm.
• Co-owner (đồng chủ sở hữu). Xem và sửa toàn bộ nội dung của folder, kể
cả các file/folder mà người khác tạo ra.
Hình 11.1: màn hình gán quyền sharing
- Ba quyền này không độc lập với nhau. Co-owner bao hàm Contributor, và
Contributor lại bao hàm Viewer.
- Cơ chế này rất dễ dùng và tiện dùng, nhưng không dùng được trong nhiều
trường hợp. Hơn nữa, cơ chế này không có trên Windows Server 2008 mà chỉ có ở Windows Server 2008.
1.2. Phân quyền cơ bản 97
4.3.1. Giới thiệu cơ chế phân quyềnNTFS
- Cơ chế kiểm soát truy nhập cơ bản trên Windows Server là kết hợp giữa hai cơ
chế phân quyền: phân quyền trên hệ thống tệp NTFS và phân quyền trên giao thức
chia xẻ tệp CIFS (hay còn gọi là phân quyền share).
Phân quyền CIFS có ba quyền: • Read (đọc) • Change (sửa)
• Full Control (toàn quyền).
Hình 11.2: màn hình gán quyền NTFS
- Ba quyền này không độc lập với nhau. Full Control bao hàm Change, và Change bao hàm Read.
- Phân quyền NTFS có 6 quyền: Full Control (toàn quyền), Modify (sửa), Read &
Execute (đọc tệp và chạy chương trình),List folder contents (hiện nội dung thư
mục), Read (đọc), và Write (viết).
- Khi truy nhập server từ máy trạm, quyền truy nhập là giao giữa hai quyền CIFS
và NTFS. Do đó, trong thực tiễn làm việc, để giảm bớt sự phức tạp, khi tạo nhiều
share trên một server, có thể và nên tạo các share ấy theo cùng một quyền (CIFS)
thống nhất cho mọi share và mọi người dùng, cụ thể:
• Trên mọi share tự quản, Everyone có quyền Full Control.
• Trên mọi share quản chế, Everyone có quyền Change.
- Sự phân biệt quyền truy nhập giữa các nhóm khác nhau và trên các share khác
nhau khi đó sẽ chỉ thể hiện ở phân quyền NTFS. 98
4.3.2. Các công cụ phân quyền NTFS
- Tất cả quyền truy nhập cơ sở của NTFS là :
• Traverse folder/execute file (đi xuyên qua folder / thi hành file).
• List folder/read data (hiện thư mục, đọc dữ liệu).
• Read attributes (đọc thuộc tính).
• Read extended attributes (đọc thuộc tính mở rộng).
• Create files/write data (tạo file, viết dữ liệu).
• Create folders/append data (tạo folder, nối dữ liệu).
• Write attributes (viết thuộc tính). Cho phép thay đổi các thuộc tính của file và folder.
• Write extended attributes (viết thuộc tính mở rộng).
• Delete subfolders and files (xóa folder con và file). • Delete (xóa).
• Read permissions (đọc quyền).
• Change permissions (đổi quyền).
• Take ownership (đoạt chủ quyền).
Hình 11.3:màn hình gán quyền nâng cao NTFS
- Khi phân quyền cho một folder, quyền đã phân sẽ có thể sẽ áp dụng lên cả các
folder con và file bên trong, việc này gọi là thừa kế. Việc thừa kế thực hiện theo
msột trong sáu kiểu sau đây. 99
• This folder only (chỉ folder này thôi). Quyền chỉ áp dụng cho folder này, không thừa kế.
• This folder, subfolders and files (folder này, các folder con và các file).
Quyền áp dụng cho folder này, các folder con và các file. Thừa kế toàn phần.
• This folder and subfolders (folder này và các folder con). Quyền áp dụng cho
folder này và các folder con. Các folder con thừa kế.
• This folder and files (folder này và các file). Quyền áp dụng cho folder này và
các file. Các file thừa kế.
• Subfolders and files only (các folder con và các file thôi). Quyền áp dụng chỉ
cho các folder con và các file. Thừa kế toàn phần ngoại trừ bản thân.
• Subfolders only (chỉ các folder con thôi). Quyền áp dụng chỉ cho các folder
con. Các folder thừa kế ngoại trừ bản thân.
1.2.3. Thực hiện các quyền cơ bản của dữ liệu doanh nghiệp trên NTFS
Trong hệ thống tệp NTFS, năm quyền cơ bản trên folder dữ liệu doanh
nghiệp được thực hiện theo những công thức sau đây:
- Quyền sử dụng = Read & Execute, List Folder Contents và Read this folder, subfolders and files.
- Quyền đóng góp = quyền sử dụng + Create files / Write data và Create
folders/Append data this folder and subfolders.
- Quyền biên tập = quyền sử dụng + Modify và Write this folder, subfolders and files.
- Quyền xem thư mục = List folder / Read data this folder and subfolders.
- Quyền xem quyền = Read Permissions this folder and subfolders.
- Quyền xem quyền = Read Permissions this folder, subfolders and file 100
Downloaded by Huy?n Hoàng (huyenhtt.unix1@gmail.com)
Hình 11.4:màn hình chỉnh sửa quyền nâng cao NTFS
2. Nguyên tắc khi áp dụng quyền truy cập
2.1. Nguyên tắc hoạch định thư mục chương trình
Dưới đây là 1 số nguyên tắc chung cần áp dụng khi chỉ định các cấp độ
truy cập NTFS cho thư mục:
- Bỏ quyền truy cập NTFS mặc định ở cấp độ Full Control từ nhóm Everyone và
đem cấp cho nhóm Administrators.
- Chỉ định cấp độ truy cập Full Control hoặc Change đối với thư mục thích hợp
cho những nhóm chịu trách nhiệm nâng cấp và xử lí lỗi phần mềm.
- Nếu các chương trình mạng thường trú dung chung, cấp quyền truy cập ở cấp độ Read cho nhóm Users.
1.1. Nguyên tắc hoạch đinh thư mục dữ liệu
• Bỏ quyền truy cập NTFS ở cấp độ mặc định Full Control từ nhóm Everyone
và đem cấp cho nhóm Administrators.
• Chỉ định cấp độ Add&Read cho nhóm Users và cấp độ PC cho nhóm
CreatorOwner. Việc này sẽ cung cấp cho người dùng đăng nhập cục bộ khả năng
hủy bỏ và sữa chữa chỉ những thư mục và tập tin họ đã sao chép hoặc tạo ra trên
máy tính mà họ đăng nhập.
2.3. Nguyên tắc hoạch định thư mục cá nhân
• Tập trung mọi thư mục cá nhân trên 1 Volume NTFS riêng biệt với Volume
chứa hệ điều hành và các chương trình, nhằm hợp lí hóa công tác quản trị và sao lưu dữ liệu
• Dùng biến %UserName% để tự động gán tên tài khoản của người dung cho
thư mục và tự động chỉ định quyền truy cập NTFS ở cấp độ PC cho người tương ứng.
3. Tạo thư mục cá nhân (Home Folder) trên Volume NTFS
- Lưu trữ thư mục cá nhân trên một Volume NTFS có thuận lợi rất lớn, có thể tổ
chức chúng thành hệ thống phân tầng và giới hạn khả năng truy cập ở những
người dùng tương ứng mà không cần chia sẽ từng thư mục. 4. Share permission
- Đầu tiên mở trình Windows Explorer ra chọn Organize ➔ Folder and Search Options. 101
Hình 11.5: mở cửa sổ quản lý thư mục
- Chọn Tab View sau đó click bỏ chọn mục Use Sharing Wizard (Recommended).
Hình 11.6: bỏ chọn sharing Winzard
Trong Windows server 2008 để chia sẻ một thư mục nào đó nhấp chuột phải vào
thư mục cần share chọn Share… 102
Hình 11.7: mở cửa chọn thư mục cần chia sẻ
- Nhấp chọn Advanced Sharing...
Hình 11.8: thao tác chia sẻ thư mục
- Ở ô Share Name máy sẽ tự lấy tên default là tên thư mục hiện hành bạn có thể
chỉnh sửa tên này tùy ý. 103
Hình 11.9: thao tác chia sẻ thư mục
Với các tùy chọn là Allow: User có quyền truy cập tài nguyên với quyền hạn tương ứng.
Với các tùy chọn là Deny: User không có quyền truy cập tài nguyên với quyền hạn tương ứng.
Hình 11.10 : gán quyền chia sẻ cho người dùng 104
Để thực hiện phân quyền cho các Group thì ta cần Deny tất cả các quyền của Group User này.
Sau khi Deny tất cả các quyền của Group User nhấp nút Add thể thêm Group hoặc User vào.
Trong này giả sử Add thêm User tai và cũng Set quyền cho User này là
Deny tất cả mọi quyền.
Tương tự Add thêm User phat và Set quyền cho User này là Allow tất cả mọi quyền.
Để tạo một thư mục mà không muốn cho ai thấy (chỉ có gõ lệnh mới vào
được) thỉ thêm dấu $ vào ngay sau Share Name của mình.
VD: Máy có IP là 192.168.1.10 và thư mục Share có tên là New Folder (2)$.
Trong này giả sử ta Add thêm User tai và Set quyền cho User này là Allow tất cả
mọi quyền. Khi đó truy cập từ máy khác vào phải nhập là \\172.16.1.10\New
Folder (2)$ thì mới vào được.
Hình 11.11: thao tác truy suất tài nguyên đã chia sẻ
Bây giờ từ một máy Client khác, truy cập thư mục New Folder (2) với User là tai 105
Máy sẽ báo là không có lối vào lý do là đã Set cho User tai bị Deny tất cả.
User tai bị từ chối truy cập New Folder (2) . Tuy nhiên với User phat thì có thể
xem được các tài nguyên trong này.
Để xem các thư mục Share ẩn trong Windows, vào Administrative
Tools➔Share and Storage Management.
Hình 11.12: Quản lý thư mục đã chia sẻ
Trong này sẽ liệt kê toàn bộ các thư mục đã Share trước đó. 106
Hình 11.13: màn hình hiển thị thư mục đã chia sẻ
Để tránh phải mất công nhập dòng lệnh \\[IP máy tới]\[thư mục share]
chúng ta có thể ánh xạ ổ đĩa đối với các thư mục Share thường xuyên truy cập
bằng cách nhấp phải vào thư mục đã Share cần ánh xạ và chọn Map Network Drive… 107
Hình 11.14: Truy suất tài nguyên chia sẻ bằng Map Network Driver
Trong cửa sổ Map Nerwork Drive hiện ra bạn chọn tên ổ đĩa ánh xạ và click Finish.
Hình 11.15: Ánh xạ tài nguyên chia sẻ bằng ổ đĩa mạng
Vào Computer sẽ thấy xuất hiện thêm ổ đĩa mới (Ổ đĩa ánh xạ). Nhấp vào
đấy sẽ đi đến ngay thư mục mà bạn vừa ánh xạ.
5. Dịch vụ tập tin (file services)
5.1. Triển khai File Sevices
File Server Resource Manager là một tập hợp các công cụ cho phép
người quản trị có thể điều khiển và quản lý dữ liệu trên các server chạy hệ điều
hành Windows Server 2008 một cách hiệu quả.Với công cụ này, có thể cấu hình
quota trên cả ổ đĩa và thư mục,ngăn cấm sao chép những định dạng mà bạn chỉ
định,đồng thời xuất ra các báo cáo giám sát hoạt động của người dùng trên không gian lưu trữ.
- Để cài đặt dịch vụ File Services vào Server Manager ➔Roles ➔Add Roles
- Tại bảng Select Server Roles,chọn File Services. 108
Hình 11.16: cài đặt dịch vụ file Server
- Chọn Next. Tại bảng File Services ,xem giới thiệu thông tin về dịch vụ File Services
- Chọn Next. Tại bảng Select Role Services chọn File Server Resource Manager.
Hình 11.17: Lựa chọn dịch vụ 109
- Chọn Next. Tại bảng Configure Storage Usage Monitoring ,chọn ổ đĩa cần theo dõi.
Hình 11.18: Chọn ổ đĩa cần theo dõi
- Chọn Next. Tại bảng Set Report Options, thay đổi các tùy chọn liên quan đến
báo cáo sẽ xuất ra như vị trí lưu trữ báo cáo,gửi báo cáo qua email.
Hình 11.19: thiết lập xuất ra báo cáo 110
- Chọn Next. Tại bảng Confirm Installation Selections, xem lại các thiết lập, sau đó chọn Install.
- Sau khi cài đặt hoàn tất.Chọn Close.
- Để mở File Server Reource Manager vào Start → Administrative Tools →
File Server Resource Manager.
Hình 11.20: màn hình quản lý File server
- Tại đây có 3 thành phần chính là Quota,File Screening,Storage Report .Để cấu
hình các tùy chọn trên File Server Resource Manager nhấp chuột phải vào File
Server Resource Manager (Local) và chọn Configure Options.
Tại tab Email Notification, nhập thông tin về Mail Server và địa chỉ email
của người nhận để hệ thống gửi thông tin cảnh bảo và các báo cáo.
Ở tab Notification Limits, bạn có thể giới hạn số lượng thông tin cảnh báo gửi về.
Tại tab Storage Reports có thể thiết lập những thông số mặc định trong
các báo cáo sẽ xuất ra.Ở mỗi report có thể chỉnh lại bằng cách chọn Edit Parameters.
Tại tab Report Locations cho phép thiết lập vị trí lưu trữ các báo cáo.
Tại tab File Screen Audit cho phép thiết lập bản ghi về file screen trên
audit. Chọn OK để hoàn tất các thiết lập.
5.2. Quản lý File Screen
File Screen là công cụ dùng để ngăn chặn người sử dụng lưu trữ một số file
không được phép lên ổ đĩa hoặc thư mục được cấp.
Khi tạo một file screen,có thể chọn một trong 2 hình thức: 111
- Active Screening : không cho phép người sử dụng lưu trữ các loại file không được phép lên server
- Passive Screening : cho phép người sử dụng lưu trữ các loại file không được
phép lên server,đồng thời đưa ra các cảnh báo cần thiết để phục vụ cho mục đích kiểm soát.
Chú ý : với các file đã tồn tại trong ổ đĩa hoặc thư mục trước khi file screen được
tạo ra,người sử dụng hoàn toàn có thể truy cập được,cho dù các file đó thuộc vào
danh sách các loại file bị cấm.
❖ Các bước cài đặt File Screen
- Để tạo một file group,vào Start➔Administrative Tools➔File Server
Resource Manager Click vào File Screening Management .Nhấp chuột phải
vào File Groups chọn Create File Group. Hình 11.5:
- Tại bảng Create File Group Properties,nhập tên file của file group vào mục File group name.
- Nhập định dạng file vào và chọn Add,hoặc bỏ thì chọn Remove. File to include :
bao gồm các loại file thuộc groupFile to exclude : bao gồm các loại file không thuộc group. 112 Hình 11.5:
Chọn OK để hoàn tất.Lúc này group đã xuất hiện tại bảng Hình 11.5:
- Để tạo một file screen,tại File Server Resource Manager.Nhấp chuột phải vào
File Screens và chọn Create File Screen 113
- Tại bảng Create File Screen,tại mục File screen path,chọn đường dẫn thư mục
sẽ áp dụng file screen.Ở mục How do you want to configure file screen
properties,chọn Derive properties from this file screen template để sử dụng
các template sẵn có trên hệ thống. Hình 11.5:
- Nếu muốn thiết lập các thuộc tính riêng biệt do mình tự định nghĩa,chọn Define
custom file screen properties,sau đó click chọn Custom Properties.
- Tại bảng File Screen Properties ,nếu muốn copy các thuộc tính từ một template
trên hệ thống, chọn một template từ danh sách Copy properties from template và chọn Copy
- Ở mục Screening type,chọn Active screening hoặc Passive screening.
- Ở mục File group,chọn các file group tương ứng với file screen. 114 Hình 11.5:
- Sau khi thiết lập xong chọn OK .
- Sau đó chọn Create .Tại bảng Save Custom Properties as a Template,đánh
dấu chọn Save the custom properties as a template và nhập tên template vào
mục Template name➔OK.
- Để tạo một file screen exception ,nhấp chuột phải vào Files Screen và chọn
Create File Screen Exception. 115 Hình 11.5:
- Tại bảng Create File Screen Exception,ở mục Exception path ,chọn đường
dẫn đến thư mục sẽ áp dụng file screen exception. Trong mục File groups chọn
các file group tương ứng để đưa vào file screen exception Hình 11.5:
- Chọn OK để hoàn tất. 5.3. Quản lý Quota
- Để tạo một Quota vào Start➔Administrative Tools➔File Server Resource Manager.
- Click vào Quota Management➔Quota Templates
- Ở khung giữa,nhấp chuột phải vào một template và chọn Create Quota from Template 116 Hình 11.5:
- Tại bảng Create Quota,ở mục Quota path chọn đường dẫn đến ổ đĩa hoặc thư
mục cần thiết bằng cách click vào Browse.
- Đánh dấu chọn vào Create quota on path
- Ở mục Derive properties from this quota template,chọn một template phù hợp
- Ở mục Summary of quota properties,xem lại những thuộc tính của template vừa chọn. 117 Hình 11.5:
- Chọn Create để tạo một quota mới.Để thay đổi template ,nhấp chuột phải vào
một template và chọn Edit Template Properties...Tại đây có thể thay đổi các tùy
chọn cho phù hợp với yêu cầu của mình như dung lượng đĩa sẽ cấp quota,hình
thức quota là hard quota hay soft quota
❖ Tạo một Quota Template
.- Để tạo một quota template,nhấp chuột phải vào Quota Templates và chọn Create Quota Template 118 Hình 11.5:
- Trên bảng Create Quota Template,nếu muốn áp dụng thuộc tính của template đã
có vào template của mình chọn một template trong danh sách ở mục Copy
properties from quota template (optional) và click chọn Copy.Nhập tên
template vào mục Template Name.Nhập thông tin miêu tả vào mục
Label(optional).Ở mục Space Limit,bạn nhập dung lượng cần cấp quota và chọn
kiểu hard quota hoặc soft quota.Có thể bổ sung các ngưỡng cảnh báo mới cho
template của mình bằng cách sử dụng chức năng Add ở mục Notification
thresholds.Nếu muốn tùy chỉnh,chọn Edit.Sau đó chọn OK để hoàn tất tạo template. Hình 11.5:
Để tùy chỉnh cho quota template vừa tạo, nhấp chuột phải vào quota
template và chọn Edit Template Properties..Sau đó thực hiện các thay đổi cần thiết và chọn OK.
Tại bảng Update Quotas Derived from Template có 3 sự lựa chọn :
Apply template only to derived quotas that match the original template : cập
nhật cho các quota chưa từng được hiệu chỉnh kể từ khi được tạo ra.
Apply template to all derived quotas : cập nhật cho tất cả các quota sử dụng template này
Do not apply template to derived quotas : không muốn thực hiện tao tác cập
nhật quota .Nhấn OK để hoàn tất.
5.4. Quản lý các báo cáo
- Vào Start → Administrative Tools → File Server Resoucre Manager..Righ-
click vào File Server Resource Manager và chọn Configure Options.Ở tab 119
Storage Reports, mục Configure default parameters, click chọn loại báo cáo
muốn tùy chỉnh và click vào Edit Parameters.Sau đó tiến hành thay đổi và chọn OK.
- Để xem lại các thiết lập vừa rồi,click vào Review Reports Hình 11.5: 120
- Sau đó chọn Close và chọn OK để hoàn tất thiết lập.Để lập lịch xuất ra các báo
cáo,trong File Server Resource Manager,right-click vào Storage Reports
Management và chọn Schedule a New Report Task. Hình 11.5:
- Tại tab Settings,ở mục Scope,click vào Add để chọn các ổ đĩa hay thư mục cần
xuất thông tin báo cáo.Ở mục Report data,chọn các loại báo cáo tương ứng.Với
mỗi loại ,bạn có thể sử dụng chức năng Edit Parameters để tùy chỉnh các tham số
khi cần.Ở mục Report formats,chọn các định dạng lưu trữ báo cáo,mặc định là Dynamic HTML (DHTML). 121
- Để gửi báo cáo qua email,mở tab Delivery,đánh dấu chọn vào Send reports to
the following administrators và nhập địa chỉ email của người nhận. Hình 11.5:
- Ở tab Schedule,click vào Create Schedule để lập lịch.Tại bảng Schedule ,click
vào New.Sau đó chọn thời gian,nếu muốn thiết lập mở rộng thì click chọn Advance. 122 Hình 11.5:
- Chọn OK để hoàn tất .
- Sau khi đã thiết lập báo cáo,giờ chúng ta sẽ xuất ra các báo cáo theo nhu
cầu.Chuột phải vào Storage Reports Management và chọn Generate Reports Now
.Ở tab Settings,tại mục Scope,click vào Add và chọn các ổ đĩa hay thư mục cần
xuất thông tin báo cáo.Ở mục Report data,chọn loại báo cáo tương ứng.Với mỗi
loại, có thể sử dụng chức năng Edit Parameters để tùy chỉnh các tham số khi
cần.Ở mục Report formats,chọn các định dạng lưu trữ báo cáo.
- Tại tab Delivery,đánh dấu chọn mục Send reports to the following
administrator và nhập địa chỉ email của người nhận 123
Sau đó chọn OK.Tại bảng Generate Storage Reports,chọn Generate reports
in the background để lưu các báo cáo và xem tại thư mục lưu trữ chúng.
Chọn OK để hoàn tất BÀI 12
DỊCH VỤ IN ẤN (PRINT SERVICES) Mã bài: 13.12 Giới thiệu:
Trong bài này chúng ta sẽ được học về cách quản lý máy in và chia sẻ máy in. Mục tiêu:
- Mô tả về mô hình và thuật ngữ được sử dụng cho tác vụ in ấn trong Windows; 124
- Cài đặt một máy in logic trên một máy chủ in ấn;
- Chuẩn bị một máy chủ in ấn cho các máy trạm;
- Kết nối một máy trạm in ấn đến một máy in logic trên máy chủ in ấn;
- Quản trị hàng đợi in ấn và các đặc tính máy in;
- Xử lý sự cố các lỗi về máy in.
- Thực hiện các thao tác an toàn với máy tính. 1. Cài đặt
Print Services Tools không được cài đặt mặc định, vì vậy để sử dụng nó cần
phải cài đặt thành phần này trước.
- Chuột phải My Computer ➔Server Manager ➔Chọn Features - Chọn Add Features. 125
- Trong mục Add Features Wizard ➔ Chọn Print Services Tools➔Click Next.
- Tiếp tục nhấn Install để cài đặt.Và sau có nhấn Close để hoàn tất việc cài đặt.
2. Truy cập Print Sevices Tools
Chọn Start ➔Administrative Tools ➔Print Management 126
3. Quản lý các máy in trong mạng
Đầu tiên Windows đã đặt các mục All Printers và All Drivers một cách tự
động trong trường hợp này. Bên cạnh đó máy chủ mà chúng ta đã cài đặt giao
diện Print Management là thành viên của miền Active Directory. Một điểm nữa là
tên máy chủ tương ứng với mỗi máy in. Mặc dù các máy in mạng nằm ở một điểm
nào đó trong mạng nhưng Windows sẽ tự động tạo một hàng đợi cho mỗi máy in
trên máy chủ. Một trong các chức năng chính của giao diện quản lý Print
Management là cho phép quản lý in ấn mạng tập trung. 127
BÀI THỰC HÀNH PRINTER
Giới thiệu : bài lab bao gồm những nội dung chính như sau : 1. Local Device 2. Network Device 3. Map Printer 4. Phân quyền 5. Printer pooling 6.Available time 7.Spool folder 8.Priority 9.Additional Driver 10.Deploy Printer Chuẩn bị : STT Tên IP OS Domain DC1 Máy 1 Domain 172.168.1.10 Windows Server 2008 R2 2 DC1 172.168.1.20 Windows V m n e t 2 Server 2008 R2 - Máy Domain :
Tạo user: KT1 , NS1 , U1. Tạo 2 group : Ketoan, Nhan Su
Add user KT1 vào Group Ke Toan, add user NS1 vào Group NhanSu
- Chỉnh Policy log on locally : cho phép group users có quyền log on vào PC01 . Thực hiện :
1. Local Device : thực hiện Domain 128 B1 : Log on Administrator : mở Start →Devices And Printers → Add a printer B2 : chọn Add A Local Printer B3 : để mặc định B4 : Chọn Have Disk B5 : Chọn Browse → chỉ đến thư mục Driver của máy in Canon LBP 2900 → OK → Next 129 B6 : để mặc định →Next B7 : Để mặc định Share this Printer → Next B8 : Chọn Finish → quan sát thấy trong phần Printers and Faxes đã có máy in Canon LBP2900
2. Network Device : thực hiện trên Domain 130 B1 : Mở Devices And Primters → chọn add a Printers → Add a Local Printer B2 : Chọn Create a new Port → chọn Standard TCP/IP Port → Next B3 : • Device type : TCP/IP Device • Hostname or IP address : 172.168.1.100 • Port name : 172.168.1.100 Bỏ dấu chọn trước dòng : Query the Printer and automaticcaly select the driver to use → Next 131 B4 : Chọn Custom → chọn next B5 : Chọn Have Disk B6 : Chỉ đường dẫn đến thư mục chứa driver của máy in Canon LBP 2900 → OK B7 : Thấy xuất hiện đúng máy in Canon LBP2900 → Next B8 : Chọn Use the driver that the currently installed (recommened) → Next B9 : Trong mục Printer name → điền vào : Network Printer → Next 132 B10 : Chọn Do not Share the Printer → Next → Finish Kiểm tra : thấy trong Printers có thêm máy in tên Nework Printer 3. Map Printer
Thực hiện Domain : xóa máy in NetworkPT Thực hiện DC1 : B1: Log on administrator → truy cập vào Domain B2 : Chuột phải lên máy in Canon LBP2900 → Connect B3 : chọn Install Driver 133 B4 : quan sát thấy có máy in : Canon LBP2900 on domain
4. Phân quyền – thực hiện Domain : - U1 không có quyền in
- Group KeToan có quyền in và quản lý document
- Group NhanSU có quyền in và chỉ xóa được document do mình tạo ra B1 : Chuột phải lên printer Canon LBP2900→chọn See What’s Printing Hộp thoại Canon LBP2900 →Menu Printer → chọn Pause Printing
Đóng hộp thoại Canon LBP2900 B2 : Chuột phải lên Printer Canon LBP2900 → chọn Printer Properties Tạo tab Security → remote các group ngoại trừ 2 group Administrators và creator owner, Add thêm 2 group KeToan và NhanSu vào : 134 - Phân quyền Group NhanSu : Print ( Allow ) - Phân quyền group KeToan : Print ( Allow ), Manage this printer ( Allow ) Kiểm Tra: B1 : log on KT1 : mở notepad soạn nội dung
bất kì và gửi lệnh in 3 lần 135 B2 : Mở Start → Devices And Printers → double click vào máy in Canon LBP2900 → double click See What’s Printing → chuột phải lên các document đang có chọn
Cancal để hủy lệnh → hộp thoại cảnh báo Yes → Cancel thành công
Cancel hết chỉ chừa lại 1 document B3 : Log On NS1 : Mở Notepad soạn nội dung
bất kì và gửi lệnh in 3 lần B4 : Mở Start → Devices And Printers → double click vào máy in Canon LBP2900 → double click See What’s Printing → chuột phải lên các document đang có của user NS1 chọn Cancel
để hủy lệnh in → hộp thoại cảnh báo Yes → Cancel thành công Chọn Cancel document của uer KT1 → không thể thực hiện. 5. Printer Pooling
Thực hiện trên Domain : Mục đích : tạo ra 1 printer sử dụng chung 2 máy in vật lí 136 B1 : Thực hiện các thao tác giống phần 1 để Add thêm printer HP Color LaserJet 2800 trên port LPT2 B2 : trong phần Printers → chuột phải lên printer Canon LBP2900 → chọn Printer Properties B3 : Trong tab Ports → dánh dấu chọn vào mục Enabled Printer Pooling
Đánh dấu chọn vào 2 mục : LPT1 và LPT2 → OK
6. Available time : thực hiện Domain 137 B1 : Mở phần Devices and printers → chuột phải lên Canon LBP2900 → chọn printer Properties Trong tab Advanced → chọn Available from Chọn từ 8:00AM to 12 :00 AM → OK
DC1 : log on administrator điều chỉnh giờ hệ thống là 16:00PM
Log on KT1 : mở notepad → in thử → không thể in được 7.
Spool folder : thực hiện Domain : thay đổi nơi lưu các Print job B1 : Trong phần Devices and Printers → chọn máy in bất kì → chọn Printer server properties B2 : Tab Advanced
→ đổi đường dẫn “ Spool folder ” → “ C:\PRINTERS” → OK → YES Kiểm tra : trong ổ C có thư mục Printers 138 → quan sát nơi chứa Print job
8. Priority : thực hiện Domain B1 : thực hiện các thao
tác giống phần 1 để tạo
1 printer mới đặt tên là KeToan B2 : tại mục Printers → chuột phải lên KeToan → chọn Printer Properties B3 : Trong Tab Security phân quyền chỉ cho group KeToan co quyền in B4 : Qua Tab Advanced → trong
phần Priority → điền số 2 → OK
9. Additional Driver : Domain: Add thêm driver dành cho windows 7 x86 139 B1 : Mở mục Printers → chuột phải lên máy in Canon LBP2900 chọn printer Properties B2 : tại tab Sharing → chọn Additional Drivers B3 : chọn thêm vào mục x86 để add thêm phần driver cho windows 7 x86
10. Deploy Printer : thực hiện tại Domain B1 : Mở Server Manager →chuột phải lên Roles → chọn Add Roles B2 : Chọn Roles Print and Document Services → Next 140 B3 : chọn Next B4 : chọn Print Server → Next → Install B5 : Mở Administrative Tools → Print Management → mở Print Servers → Domain (local) → Printers → khung bên phải chuột phải vào máy in Canon LBP2900 chọn Deploy with Group Policy B6 : Trong phần GPO Name → chọn Browse B7 : Chọn Default Domain Policy → OK 141 B8 : đánh dấu chọn The computers that this GPO applies to (per machine) → chọn add → OK B9 : màn hình cảnh báo OK DC1: Log on administrator → xóa các máy in đã cài đặt → restart lại máy. Vào lại phần printers → quan sát thấy có máy in Canon LBP2900 đã được cài đặt lại. 142 BÀI 13
CHÍNH SÁCH BẢO MẬT (GROUP POLICY) Giới thiệu:
Group Policy là tập các thiết lập cấu hình cho computer và user. Xác định
cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với
người dùng và máy tính trong 1 tổ chức. Mục tiêu:
- Phân biệt được chính sách người dùng và chính sách hệ thống
- Thiết lập một số chính sách hệ thống bảo mật về tài khoản người dùng
- Triển khai một số chính sách nhóm thông thường trên môi trường người dùng Nội dung chính:
1. Chính sách tài khoản (account Policy) 1.1. Password policy
Vào Aministrator ➔ Local Sercurity Policy ➔ Account policies(.
Hình 13.1: cửa sổ chính sách Password policy
Trong này bao gồm các mục:
- Password must meet complexity … : khi đặt password cho wins phải có đủ
độ phức tạp.(hoa, thường, số, ký tự đặc biệt). Mặc định tính năng này sẽ bị
disable, để gia tăng chế độ bảo mật nên chọn Enable 143
- Minimum password age: mặc định giá trị này là 0 nếu ta thay nó bằng con số
khác 0 VD là 3 chẳng hạn thì user chỉ có quyền thay đổi password 3 ngày một lần mà thôi.
- Minimum password length: Độ dài tối thiểu của password
- Enforce password history: nhớ bao nhiêu password không cho đặt trùng.
- Store password using reversible … : mã hoá password.
- Account lockout policy
- Account lockout threshold: để khoá account khi đăng nhập sai.
- Account lockout duration: khoá account trong 30 phút khi đang nhập sai.
- Reset account lockout counter after: xoá bộ nhớ đánh pass.
Hình 13.2: cửa sổ chính sách Acount lockout policy
2. Chính sách cục bộ (Local Policy)
2.1. Chính sách kiểm toán.
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và
ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối
với các người dùng. Bạn có thể xem các ghi nhận này thông qua công cụ
Event Viewer, trong mục Security. 144
Hình 13.3: cửa sổ chính sách Audit policy
Các lựa chọn trong chính sách kiểm toán:
Kiểm toán những sự kiện khi tài khoản đăng nhập, Audit Account Logon
hệ thống sẽ ghi nhận khi người dùng logon, logoff
Hệ thống sẽ ghi nhận khi tài khoản người dùng Audit Account
hoặc nhóm có sự thay đổi thông tin hay các thao Management
tác quản trị liên quan đến tài khoản người dùng. Audit Directory Service Access
Ghi nhân việc truy cập các dịch vụ thư mục Audit Logon Events
Ghi nhân các sự kiện liên quan đến quá trình logon như thi hành một Audit Object Access
Ghi nhận việc truy cập các tập tin, thư mục, và máy Audit Policy Change
Ghi nhận các thay đổi trong chính sách kiểm toán Audit privilege use
Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản
trị trên các quyền hệ thống như cấp hoặc xóa quyền Audit process tracking
Kiểm toán này theo dõi hoạt động của chương
trình hay hệ điều hành. Audit system event
Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại
1.2. Quyền hệ thống của người dùng.
Đối với hệ thống Windows Server 2008, bạn có hai cách cấp quyền
hệ thống cho người dùng là: gia nhập tài khoản người dùng vào các nhóm
tạo sẵn (built-in) để kế thừa quyền hoặc bạn dùng công cụ User Rights
Assignment để gán từng quyền rời rạc cho người dùng. Cách thứ nhất bạn
đã biết sử dụng ở chương trước, chỉ cần nhớ các quyền hạn của từng nhóm 145
tạo sẵn thì bạn có thể gán quyền cho người dùng theo yêu cầu. Để cấp
quyền hệ thống cho người dùng theo theo cách thứ hai thì bạn phải dùng
công cụ Local Security Policy (nếu máy bạn không phải Domain
Controller) hoặc Domain Controller Security Policy (nếu máy bạn là
Domain Controller). Trong hai công cụ đó bạn mở mục Local Policy\ User Rights Assignment.
Hình 13.4: cửa sổ chính sách quyền cho user
Để thêm, bớt một quyền hạn cho người dùng hoặc nhóm, bạn nhấp
đôi chuột vào quyền hạn được chọn, nó sẽ xuất hiện một hộp thoại chứa
danh sách người dùng và nhóm hiện tại đang có quyền này. Bạn có thể
nhấp chuột vào nút Add để thêm người dùng, nhóm vào danh sách hoặc
nhấp chuột vào nút Remove để xóa người dùng khỏi danh sách. Ví dụ
minh họa sau là bạn cấp quyền thay đổi giờ hệ thống (change the system
time) cho người dùng “Tuan”.
Danh sách các quyền hệ thống cấp cho người dùng và nhóm:
Access This Computer Cho phép người dùng truy cập máy tính thông qua from the Network mạng. Mặc
Act as Part of the Cho phép các dịch vụ chứng thực ở mức thấp chứng Operating System
thực với bất kỳ người dùng nào. Add Workstations to the Domain
Cho phép người dùng thêm một tài khoản máy tính 146
Cho phép người dùng sao lưu dự phòng (backup) Back Up Files
các tập tin và thư mục bất chấp các tập tin và thư and
mục này người đó có quyền không.
Cho phép người dùng duyệt qua cấu trúc thư mục Bypass
Traverse nếu người dùng không có quyền xem (list) nội dung
Change the System Cho phép người dùng thay đổi giờ hệ thống của máy Create a Pagefile
Cho phép người dùng thay đổi kích thước của Page
Cho phép một tiến trình tạo một thẻ bài nếu tiến
Create a Token Object trình này dùng Create
Permanent Cho phép một tiến trình tạo một đối tượng thư Shared Objects mục thông qua Debug Programs
Cho phép người dùng gắn một chương trình debug
vào bất kỳ tiến trình nào. Deny Access to
Cho phép bạn khóa người dùng hoặc nhóm không
This Computer được truy cập
Cho phép bạn ngăn cản những người dùng và nhóm Deny Logon
as a được phép logon như một batch file.
Cho phép bạn ngăn cản những người dùng và nhóm Deny Logon as a được phép
Cho phép bạn ngăn cản những người dùng và nhóm Deny Logon Locally
truy cập đến máy tính cục bộ. Enable Computer and
User Accounts to Be Cho phép người dùng hoặc nhóm được ủy quyền Trusted
by cho người dùng hoặc một đối tượng máy tính. Force Shutdown from a
Cho phép người dùng shut down hệ thống từ xa
Cho phép người dùng, nhóm hoặc một tiến trình Generate
Security tạo một entry
Cho phép người dùng điều khiển các hạn ngạch Increase Quotas của các tiến trình.
Quy định một tiến trình có thể tăng hoặc giảm độ ưu Increase
Scheduling tiên đã được gán cho tiến trình khác. Load and
Unload Cho phép người dùng có thể cài đặt hoặc gỡ bỏ Device Drivers
các driver của các thiết bị.
Lock Pages in Memory Khóa trang trong vùng nhớ. 147
Cho phép một tiến trình logon vào hệ thống và thi
Log On as a Batch Job hành một tập tin chứa các lệnh hệ thống. Log On as a Service
Cho phép một dịch vụ logon và thi hành một dịch vụ Log On Locally
Cho phép người dùng logon tại máy tính Server. Manage Auditing
and Security Cho phép người dùng quản lý Security log. Modify
Cho phép người dùng hoặc một tiến trình hiệu chỉnh Firmw
các biến môi trường hệ thống.
Cho phép người dùng giám sát các tiến trình bình Profile Single Process
thường thông qua công cụ Performance Logs and
Cho phép người dùng giám sát các tiến trình hệ Profile
System thống thông qua công cụ Performance Logs and Remove Computer
Cho phép người dùng gỡ bỏ một Laptop thông from
qua giao diện người dùng của Windows 2000. Replace a
Process Cho phép một tiến trình thay thế một token mặc Level Token
định mà được tạo bởi một tiến trình con. Restore Files
Cho phép người dùng phục hồi tập tin và thư and
mục, bất chấp người dùng này có quyền trên tập tin
Shut Down the System Cho phép người dùng shut down cục bộ máy Synchronize Direct
Cho phép người dùng đồng bộ dữ liệu với một dịch Take Ownership of
Files or Other Objects Cho người dùng tước quyền sở hữu của một đối
1.3. Các lựa chọn bảo mật.
Các lựa chọn bảo mật (Security Options) cho phép người quản trị
Server khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống
như: không cho phép hiển thị người dùng đã logon trước đó hay đổi tên tài
khoản người dùng tạo sẵn (administrator, guest). Trong hệ thống
Windows Server 2008 hỗ trợ cho chúng ta rất nhiều lựa chọn bảo mật,
nhưng trong giáo trình này chúng ta chỉ khảo sát các lựa chọn thông dụng. 148
Hình 13.5: Chính sách bảo mật hệ thống
Một số lựa chọn bảo mật thông dụng: Shutdown: allow system
to be shut down without Cho phép người dùng shutdown hệ thống mà having to log on không cần logon. Audit : audit the access of global system objects
Giám sát việc truy cập các đối tượng hệ thống toàn cục.
Network security: force Tự động logoff khỏi hệ thống khi người dùng hết
logoff when logon hours thời gian sử dụng hoặc tài khoản hết hạn. expires. Interactive logon: do not require
Không yêu cầu ấn ba phím CTRL+ALT+DEL Interactive logon: do not
Không hiển thị tên người dùng đã logon trên hộp display last user name thoại Logon. Account: rename administrator account
Cho phép đổi tên tài khoản Administrator thành Account: rename guest
Cho phép đổi tên tài khoản Guest thành tên mới 149 3. Chính Sách Nhóm
3.1. So sánh giữa System Policy và Group Policy.
Chúng ta đã tìm hiểu về chính sách hệ thống (System Policy), tiếp
theo chúng ta sẽ tìm hiểu về chính sách nhóm (Group Policy). Vậy hai
chính sách này khác nhau như thế nào.
- Chính sách nhóm chỉ xuất hiện trên miền Active Directory , nó không tồn
tại trên miền NT4.
- Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống. Tất
nhiên chính sách nhóm chứa tất cả các chức năng của chính sách hệ
thống và hơn thế nữa, bạn có thể dùng chính sách nhóm để triển khai
một phần mềm cho một hoặc nhiều máy một cách tự động.
- Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không
giống như các chính sách hệ thống.
- Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống.
Các chính sách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào
mạng thôi. Các chính sách nhóm thì được áp dụng khi bạn bật máy lên,
khi đăng nhập vào một cách tự động vào những thời điểm ngẫu nhiên
trong suốt ngày làm việc.
- Bạn có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc từng nhóm đối tượng.
- Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên
máy Win2K, WinXP và Windows Server 2008 trở lên
3.2. Chức năng của Group Policy.
- Triển khai phần mềm ứng dụng: bạn có thể gom tất cả các tập tin cần
thiết để cài đặt một phần mềm nào đó vào trong một gói (package), đặt
nó lên Server, rồi dùng chính sách nhóm hướng một hoặc nhiều máy
trạm đến gói phần mềm đó. Hệ thống sẽ tự động cài đặt phần mềm này
đến tất cả các máy trạm mà không cần sự can thiệp nào của người dùng.
- Gán các quyền hệ thống cho người dùng: chức năng này tương tự
với chức năng của chính sách hệ thống. Nó có thể cấp cho một hoặc một
nhóm người nào đó có quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu…
- Giới hạn những ứng dụng mà người dùng được phép thi hành:
chúng ta có thể kiểm soát máy trạm của một người dùng nào đó và cho
phép người dùng này chỉ chạy được một vài ứng dụng nào đó thôi như:
Outlook Express, Word hay Internet Explorer. 150
- Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm
để qui định hạn ngạch đĩa cho một người dùng nào đó. Người dùng này
chỉ được phép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định.
- Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy:
trong hệ thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script),
nhưng Windows 2008 và Windows Server 2008 thì hỗ trợ cả bốn sự
kiện này được kích hoạt (trigger) một kịch bản (script). Bạn có thể
dùng các GPO để kiểm soát những kịch bản nào đang chạy.
- Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng GPO
để gỡ bỏ nhiều tính năng khỏi Internet Explorer, Windows Explorer và
những chương trình khác.
- Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ
bỏ hầu hết các đề mục trên menu Start của một người dùng nào đó,
ngăn chặn không cho người dùng cài thêm máy in, sửa đổi thông số cấu hình của máy trạm…
3.4. Triển khai một chính sách nhóm trên miền.
Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng
các đối tượng chính sách (GPO). Các GPO là một vật chứa (container) có
thể chứa nhiều chính sách áp dụng cho nhiều người, nhiều máy tính hay
toàn bộ hệ thống mạng. Bạn dùng chương trình Group Policy Object
Editor để tạo ra các đối tượng chính sách. Trong của sổ chính của Group
Policy Object Editor có hai mục chính: cấu hình máy tính (computer
configuration) và cấu hình người dùng (user configuration).
Hình 13.6: Cửa sổ group policy 151
Điều kế tiếp bạn cũng chú ý khi triển khai Group Policy là các cấu hình
chính sách của Group Policy được tích lũy và kề thừa từ các vật chứa
(container) bên trên của Active Directory. Ví dụ các người dùng và
máy tính vừa ở trong miền vừa ở trong OU nên sẽ nhận được các cấu
hình từ cả hai chính sách cấp miền lẫn chính sách cấp OU. Các chính
sách nhóm sau 90 phút sẽ được làm tươi và áp dụng một lần, nhưng các
chính nhóm trên các Domain Controller được làm tươi 5 phút một lần.
Các GPO hoạt động được không chỉ nhờ chỉnh sửa các thông tin trong
Registry mà còn nhờ các thư viện liên kết động (DLL) làm phần mở
rộng đặt tại các máy trạm. Chú ý nếu bạn dùng chính sách nhóm thì
chính sách nhóm tại chỗ trên máy cục bộ sẽ xử lý trước các chính sách
dành cho site, miền hoặc OU.
3.5. Xem chính sách cục bộ của một máy tính ở xa.
Để xem một chính sách cục bộ trên các máy tính khác trong miền, bạn
phải có quyền quản trị trên máy đó hoặc quản trị miền. Lúc đó bạn có thể
dùng lệnh GPEDIT.MSC /gpcomputer:machinename, ví dụ bạn muốn
xem chính sách trên máy PCO1 bạn gõ lệnh GPEDIT.MSC
/gpcomputer: PCO1. Chú ý là bạn không thể dùng cách này để thiết lập
các chính sách nhóm ở máy tính ở xa, do tính chất bảo mật Microsoft
không cho phép bạn ở xa thiết lập các chính sách nhóm.
3.6. Thực thi và quản lý GPOs trên miền.
Chúng ta dùng snap-in Group Policy trong Active Directory User
and Computer hoặc gọi trược tiếp tiện ích Group Policy Object Editor
từ dòng lệnh trên máy Domain Controller để tạo ra các chính sách
nhóm cho miền. Nếu bạn mở Group Policy từ Active Directory User
and Computer thì trong khung cửa sổ chính của chương trình bạn nhấp
chuột phải vào biểu tượng tên miền (trong ví dụ này là netclass.edu.vn),
chọn Properties. Trong hộp thoại xuất hiện bạn chọn Tab Group Policy. 152
Hình 13.7: Cửa sổ chọn thuộc tích group policy
Nếu bạn chưa tạo ra một chính sách nào thì bạn chỉ nhìn thấy một
chính sách tên Default Domain Policy. Cuối hộp thoại có một
checkbox tên Block Policy inheritance, chức năng của mục này là
ngăn chặn các thiết định của mọi chính sách bất kỳ ở cấp cao hơn lan
truyền xuống đến cấp đang xét. Chú ý rằng chính sách được áp dụng
đầu tiên ở cấp site, sau đó đến cấp miền và cuối cùng là cấp OU. Bạn
chọn chính sách Default Domain Policy và nhấp chuột vào nút Option
để cấu hình các lựa chọn việc áp dụng chính sách. Trong hộp thoại
Options, nếu bạn đánh dấu vào mục No Override thì các chính sách
khác được áp dụng ở dòng dưới sẽ không phủ quyết được những thiết
định của chính sách này, cho dù chính sách đó không đánh dấu vào
mục Block Policy inheritance. Tiếp theo nếu bạn đánh dấu vào mục
Disabled, thì chính sách này sẽ không hoạt động ở cấp này, Việc
disbale chính sách ở một cấp không làm disable bản thân đối tượng chính sách.
Để tạo ra một chính sách mới bạn nhấp chuột vào nút New, sau đó
nhập tên của chính sách mới. Để khai báo thêm thông tin cho chính sách
này bạn có thể nhấp chuột vào nút Properties, hộp thoại xuất hiện có
nhiều Tab, bạn có thể vào Tab Links để chỉ ra các site, domain hoặc
OU nào liên kết với chinh sách. Trong Tab Security cho phép bạn cấp
quyền cho người dùng hoặc nhóm người dùng có quyền gì trên chính sách này. 153
Hình 13.8: Cửa sổ gán quyền cho user trên group policy
Trong hộp thoại chính của Group Policy thì các chính sách được áp
dụng từ dưới lên trên, cho nên chính sách nằm trên cùng sẽ được áp
dụng cuối cùng. Do đó, các GPO càng nằm trên cao trong danh sách thì
càng có độ ưu tiên cao hơn, nếu chúng có những thiết định mâu thuẫn
nhau thì chính sách nào nằm trên sẽ thắng. Vì lý do đó nên Microsoft
thiết kế hai nút Up và Down giúp chúng ta có thể di chuyển các chính sách này lên hay xuống.
Trong các nút mà chúng ta chưa khảo sát thì có một nút quan trọng
nhất trong hộp thoại này đó là nút Edit. Bạn nhấp chuột vào nút Edit
để thiết lập các thiết định cho chính sách này, dựa trên các khả năng
của Group Policy bạn có thể thiết lập bất cứ thứ gì mà bạn muốn. Chúng
ta sẽ khảo sát một số ví dụ minh họa ở phía sau.
4. Một số minh họa gpo trên người dùng và cấu hình máy. Giới thiệu :
Bài Lab bao gồm nội dung chính như sau: 1. Tạo và link Policy vào OU 2. Block Inheritance cho OU 3. Enforce Policy 4. Chỉnh Order cho Policy 5. Security Fitering 6. Xem các setting của Policy 7. Modeling Wizard 154 8. Item Level Targetting 9.
Disable một phần của Policy 10.
Khảo sát nơi chứa Policy templates Domain PC1 I. Chuẩn bị : STT IP OS 1
172.168.1.10 Windows Server 2008 R2 2 172.168.1.11 Windows 7 Máy Domain: V m n e t 2
- Chỉnh Policy Password đơn giản
- Chỉnh Policy cho phép group Users có quyền log on locally
- Tạo OU NhanSu. Trong OU NhanSu tạo OU KinhDoanh
- Trong OU NhanSu tạo user ns1, ns2. Trong OU KinhDoanh tạo user kd1, kd2.
- Trong Domain khoaviet.edu.vn tạo group KhoaViet, and 2 user ns1, kd1 vào Group. Thực hiện : 1.
Tạo và link Policy vào OU: B1 : vào Start → Administrative Tools → Group Policy Management. Bung Forest → Domain → khoaviet.edu.vn → chuột phải vào Group Policy Objects , chọn New 155 B2 : đặt tên cho GPO ở khung name “ Hide Control Panel ” → OK B3 : chuột phải vào GPO “ Hide Control Panel ” vừa tạo → Edit B4 : Bung mục User Configuration Policies→ administrative Templates → Control Panel → chuột phải vào Prohibit Access to the control Panel → chọn Edit B6 : Quay trở lại màn hình Group Policy Management → chuột phải vào OU NhanSu → chọn link an Existing GPO… 156 B7 : chọn GPO “ Hide Control Panel ” → OK B8 : quan sát thấy GPO “ Hide Control Panel ” đã được link vào OU NhanSu
B9 : kiểm tra : trên PC1 → log on lần lượt vào các user ns1,ns2,ns3 → bị mất Control Panel 2. lock Inheritance cho OU: • Máy Domain : B1 : mở Group Policy Management → chuột phải vào OU KinhDoanh → chọn Block Inheritance. Quan sát thấy OU KinhDoanh → thấy có biểu tượng dấu chấm than. 157 B2 : Kiểm tra : PC1 : lần lượt log on user kd1, kd2 → sẽ thấy có control Panel. 3. Enforce Policy: • Máy Domain : B1 : mở group Policy Management → chuột phải vào GPO “ Hide Control Panel ” → chọn Enforced B2 : trên máy PC1→ Log on user kd1, kd2 → sẽ thấy bị mất control panel. 158 4. Chỉnh Order cho Policy • Máy Domain : B1 : - Mở group Policy Management, tắt Enforced Policy và Block Inheritance trên OU NhanSu và OU KinhDoanh - Tạo thêm GPO “ Show Control Panel ”, link GPO này vào OU NhanSu có 2 GPO “ Hide Control Panel ” và “ Show Control Panel ” B2 : Nhấn OU NhanSu, ở Tab Linked Group Policy Object dùng 2 biểu tượng mũi tên Move up và Move Down , di chuyển GPO “ Show Control Panel ” lên đầu. 159 B3 : qua tab Group Policy Inheritance, chú ý mục Precedent, Precedent càng nhỏ thì độ ưu tiên của GPO càng cao. B4 : Kiểm tra : - Trên máy PC1, log on user kd1, kd2 → sẽ thấy Control Panel. Nhận xét : • Trong cùng 1 OU nếu áp dụng chung 2 Policy ( không Enforce ) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn. • Trong cùng 1 OU nếu áp dụng chung 2 Policy ( cả 2 Policy và Enforce ) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn. • Trong cùng 1 160 OU nếu áp dụng chung 2 Policy ( 1 policy Enforce và 1 policy không Enforce ) thì policy Enforce sẽ có độ ưu tiên cao hơn. 5. Security Fitering • Máy Domain : B1 : mở group Policy Management - Chuyển Policy “ Hide Control Panel ” lên link order bằng 1 - Chọn GPO “Hide Control Panel ” bên dưới mục Security Filtering , chọn Group Authenticated User → Remove → OK 161 B2 : Quay trở về màn hình Security Filtering → chọn Add → Add group KhoaViet vào → OK B3 : kiểm tra :
- Log on user ns1, kd1→ mất Control Panel
- Log on user ns2, kd2 → hiện control panel 162 6. Modeling Wizard • Máy Doamin : B1 : mở Group Policy Management → chuột phải vào group Policy modeling → chọn group Policy Modeling wizard… B2 : màn hình Welcome → next B3 : giữ mặc định → next B4 : để xem OU NhanSu bị áp policy gì, trong 2 phần User Information và computer, chọn browse đến OU NhanSu → Next. B5 : màn hình Advance Simulation options chọn Default – first – site – name → next. B6 : Màn hình computer security group chọn authenticated user →next B7 : các bước còn 163 lại cài đặt theo mặc định màn hình. Completing … → Finish B8 : quan sát thấy bảng báo cáo chi tiết về các Policy được áp lên 6. Item Level Targetting B1 : mở Group Policy Management, chuột phải Default domain policy → chọn Edit… B2 : bung mục User Configuration → Preferences → Control Panel Setting → chuột phải vào Folder Options → chọn New → Folder Options ( Windows Vista And Later ) 164 B3 : mục Hidden Files and folders → chọn show hidden files and folders. Tắt dấu check ở 2 thư mục : + Hide Extersions For Known File Typers + Hide Protected Operating System Files ( Recommended) → Ok B4 : bên phải → chuột phải vào Folder Options → Properties B5 : qua tab Common → đánh dấu check vào mục Item -Level Targeting → chọn targeting… 165 B6 : tại màn hình Targeting Editor → chọn New Item → User B7 : trong mục user → Browse →Add user kd2 → Ok → OK → OK B8 : kiểm tra : trên máy PC1 - Log on User kd2 → vào windows Explorer, kiểm tra thấy các file ẩn xuất
hiện và hiển thị phần mở rộng. - Log on user kd1 → không thấy các file ẩn.
7. Disable mộ phần của Policy: 166 Đôi khi ta sử dụng một phần trong của GPO ( Ví dụ : User Configuration ), để tăng tốc quá trình xử lý GPO, ta nên tắt những phần không dùng đến - Mở Group Policy Management, chọn GPO “ Hide Control Panel ”. → Details → ở mục GPO Status → chọn Computer configuration setting disabled → OK.
8. Khảo sát nơi chứa Policy Templates B1 : mở Group Policy Management, chọn GPO “ Hide Control Panel ”. Qua tab Details chú ý dòng Unique ID 167 B2 : truy cập vào ổ : C:Windows\SYSVO L\SYSVOL\khoaviet .edu.vn\Policies → sẽ thấy có thư mục
giống Unique ID của Policy “ Hide Control Panel 168 BÀI 14
QUẢN LÝ BACKUP VÀ RESTORE Mã bài: 13.14 Giới thiệu:
Dữ liệu là tài nguyên sống còn đối với cá nhân, tổ chức. Vậy vấn đề đặt ra
là, chúng ta đã làm gì để bảo vệ được dữ liệu đó trước khi có một sự cố ngoài ý
muốn xảy ra làm ngưng trệ hoạt động cả một hệ thống là vấn đề rất quan trọng và
cấp bách. Việc backup và restore dữ liệu là không thể thiếu đối người quản trị hệ thống. Mục tiêu:
- Trình bày được các chiến lược, cơ chế thực hiện backup dữ liệu
- Thực hiện các thao tác backup và restore dữ liệu người dùng và hệ thống
- Lập lịch biểu backup dữ liệu định kỳ 1. Các loại backup
Đối với người quản trị hệ thống thì việc sao lưu và phục hồi dữ liệu là một
công việc quyết định sự tồn tại của họ nói riêng và của cả công ty họ nói chung.
Dữ liệu là tài sản vô cùng quí giá đối với bất kì tổ chức nào. - Normal:
+ Back up toàn bộ dữ liệu mà ta cấu hình “job” cho dữ liệu đó.
+ Xóa marker, nghĩa là sau khi backup xong windows sẽ ghi nhận là dữ liệu đã được back up. - Differential:
+ Chỉ back up những phần dữ liệu có sự thay đổi mà ta cấu hình “job” cho dữ liệu đó.
+ Không xóa marker, nghĩa là sau khi backup xong windows sẽ ghi nhận là
dữ liệu chưa được back up. - Incremental:
+ Chỉ back up những phần dữ liệu có sự thay đổi mà ta cấu hình “job” cho dữ liệu đó.
+ Xóa marker, nghĩa là sau khi backup xong windows sẽ ghi nhận là dữ liệu đã được back up. - Copy:
+ Back up toàn bộ dữ liệu mà ta cấu hình “job” cho dữ liệu đó.
+ Xóa marker, nghĩa là sau khi backup xong windows sẽ ghi nhận là dữ liệu chưa được back up. - Daily:
+ Chỉ back up những dữ liệu bị thay đổi trong ngày hiện tại mà ta cấu hình
“job” cho dữ liệu đó. 169
+ Không xóa marker, nghĩa là sau khi backup xong windows sẽ ghi nhận là
dữ liệu chưa được back up.
2. Sự kết hợp của các kiểu back up
Chúng ta có các kiểu kết hợp thông dụng sau: ✓ Normal + Incremetal. ✓ Normal + Differential.
✓ Normal + Differential + Copy.
Ví dụ: ta có dữ liêu sau cần back up.
Khi đó, mỗi sự kết hợp khác nhau sẽ có cách hoạt động khác nhau, sau đây
chúng ta sẽ tìm hiểu từng kiểu back up đã nêu trên. - Normal + Incremetal:
Ta cấu hình chúng thực hiện back up theo bảng sau: Thứ Hai Ba Tư Năm Sáu Bảy Kiểu
Normal Incremetal Incremetal Incremetal Incremetal Incremetal Back up File lưu N2.bkf I3.bkf I4.bkf I5.bkf I6.bkf I7.bkf trữ Diển giải:
File N2.bkf sẽ chứa tất cả các dữ liệu mà ta cấu hình “job” thực hiện back up cho dữ liệu đó.
Các file: I3.bkf, I4.bkf, I5.bkf, I6.bkf và I7.bkf chỉ chứa những dữ liệu mà có
thay đổi trong các ngày tương ứng lần lược từ thứ Ba, Tư, Năm, Sáu và Bảy.
Nếu chúng ta cần phục hồi dữ liệu của ngày thứ năm thì ta se restore lần lược các file sau đây:
N2.bkf -> I3.bkf -> I4.bkf -> I5.bkf. (Restore 4 file)
Tóm lại, ưu khuyết điểm của kiểu này như sau: Ưu: back up nhanh. Khuyết: resotre chậm.
- Normal + Differential:
Ta cấu hình chúng thực hiện back up theo bảng sau: Thứ Hai Ba Tư Năm Sáu Bảy 170
Kiểu Norma Differentia Differentia Differentia Differentia Differentia Bac l l l l l l k up File lưu N2.bkf D3.bkf D4.bkf ID5.bkf D6.bkf D7.bkf trữ
Tóm lại, ưu khuyết điểm của kiểu này như sau: Ưu: back up chậm. Khuyết: resotre nhanh.
- Normal + Differential + Copy:
Ta cấu hình chúng thực hiện back up theo bảng sau: Thứ Hai Ba Tư Năm Sáu Bảy Kiểu Differentia Norma Differentia Differentia Differentia Differentia Bac l l l l l l k up Copy File D5.bkf lưu N2.bkf D3.bkf D4.bkf D6.bkf D7.bkf trữ C5.bkf Diển giải:
Kiểu kết hợp này tương tự như kiểu 2, nhưng vấn đề đặt ra là, khi chúng ta đã
cấu hình sẵn sàng cho hệ thống thực hiện back up tự động các ngày trong tuần
bất thình lình ngày thứ năm chúng ta được yêu cầu back up lại toàn bộ dữ liệu
Như vậy chúng ta sẽ thêm 1 “job” vào ngày thứ Năm và job này chỉ có thể là
Copy vì nấu chúng ta chọn Normal thì sau khi back up xong windows sẽ xóa
marker đi dẫn đến tiến trình back up “Normal + Differential” đã cấu hình sẵn sẽ
chạy sai với mong muốn ban đầu.
3. Thực hành backup – recovery
I. Giới thiệu : bài lab bao gồm những nội dung chính như sau: 1. Cài đặt 2. Backup – recovery file
3. Backup – recovery system state 4. Lập lịch backup II. Chuẩn bị : STT Tên IP OS DC1 DC2 171 Máy 1
DC1 172.168.1.10 Windows Server 2008 R2 2
DC2 172.168.1.20 Windows Server 2008 R2
- DC1 : tạo thư mục C:\DATA . trong DATA tạo 2 file DATA1.TXT và DATA2.TXT
- DC1 : tạo user U1/ Password : 123
- DC2 : tạo 2 thư mục Backup và BackupSytem trong ổ C, Share Full cà 2 thư mục III. Thực hiện : 1. Cài đặt : B1 : Mở Server Manager → chuột phải lên Features → Add Features B2 : chọn Windows server Backup → Instal → close 2. Backup – Recovery file A. Backup 172 B1 : Mở Winodws Server Backup trong Administrative Tools → menu Action → Backup Once B2 : chọn Different options → Next B3 : chọn custom → Next 173 B4 : chọn Add Items B5 : chọn vào thư mục DATA → OK B6 : next B7 : chọn Remote Shared Folder B8 : location : khai báo : \\DC2\Backup → chọn Do not inherit → Next 174 B9 : khai báo Account Administrator của DC2 → OK B10 : Backup Backup thành công B.
Recovery : DC1 : xóa thư mục DATA B1 : Menu Action → Recover B2: chọn A Backup Store On Another Location → Next 175 B3 : Chọn Remote Shared Folder → Next B4 : Nhập \\DC2\Backup → Next B5 : Khai báo Account administrator của DC2 →OK B6 : chọn Next B7 : Chọn File and folders B8 : Chọn thư mục DATA → next 176 B9 : Chọn Browse → chọn ổ C: B10 : next B11 : chọn Recover B12 : Quá trình Recovery thành công → chọn Close
3. Backup – recovery SystemState A. Backup B1 : Mở Windows Server Backup trong Administrative Tools → menu Action → Backup Once 177 B2 : Chọn Different options → Next B3 : Chọn custom → next B4 : Chọn Add Items B5 : Chọn System State → OK 178 B6 : chọn next B7 : Chọn Remote Shared Folder → Next B8 : Phần Location: nhập : \\DC2\BackupSystem → chọn Do Not Inherit → Next B9 : khai báo account administrator của DC2 → OK B10 : Chọn Backup Backup thành công Recovery - DC1 : xóa user U1
- Khởi động lại máy, nhấn F8 liên tục → tại màn hình Boot Option → chọn
Directory Restore Mode → log on bằng account Administrator ( lưu ý
không log on bằng tài khoản domain\ administrator ) → chạy chương trình Windows Server Backup 179 B1 : Menu Action → Recover B2 : chọn A Backup Store on another location → Next B3 : Chọn Remote Shared Folder → Next B4 : nhập : \\DC2\BackupSystem → Next B5: Chọn Next 180 B6 : Chọn System State → Next B7 : Giữ mặc định → Next B8 : OK B9 : OK B10: Chọn Recover → Yes → sau khi recover hoàn tất khởi động lại máy. Logon tại DC1 thấy đã có user u1 4. Lập lịch backup : 181 B1 : Menu Action → Backup Schedule B2 : Next B3 : Custom B4 : chọn Add Item → chọn đối tượng cần backup → OK → Next 182 B5 : Chọn More Than On Day → chọn thời gian muốn chạy backup → Add → Next B6 : chọn nơi lưu bản Backup là Back up to shared network folder →Next B7 : OK B8 : location : nhập \\DC2\Backup → Next B9 : khai báo account administrator của DC2 → OK 183 B10 : Finish 184
BÀI THỰC HÀNH TỔNG QUÁT
XÂY DỰNG HỆ THỐNG MẠNG DOMAIN CHO DOANH NGHIỆP Chuẩn Bi
Chuẩn bị máy : dùng Windows Server 2008 làm Domain Controller,
DNS, DHCP server, máy client join domain cài XP hoặc win7 , 2008 dùng cho
User với các bước thực hiện như sau:
Tự hoạch định hệ thống IP , máy DC bắt buộc gán ip tĩnh , các máy client
sử dụng IP động được cấp phát bởi DHCP server (DC) Nội dung chi tiết 1. Dựng domain,
Cấu hình lại DNS server (ca reserve lookup zone..) ,
2. Cài và cấu hình DHCP server trên máy Server, Join tất cả các máy client vào domain dùng ip động
3. Tổ chức các OU và user sau:
- Trong doamin các OU : KETOAN, KINHDOANH, QUANTRI
- Trong OU QUANTRI tạo user admin
- Trong OU KETOAN tạo user AdminKETOAN và user
KETOAN1,KETOAN2, tạo groupKETOAN thêm các user phòng Kế toán vào group này
- Trong OU KINHDOANH tạo user AdminKINHDOANH và user
KINHDOANH1, KINHDOANH2 , groupKINHDOANH thêm các user
phòng Kinh doanh vào group này
4. Ủy quyền cho user Admin toàn quyền trên Domain, AdminKETOAN toàn
quyền trên Ou KETOAN , AdminKINHDOANH có toàn quyền trên OU
KINHDOANH (có cả quyền tạo policy cho Ou của mình).
5. Tạo template group policy gán các user adminKetoan, AdminKinhdoanh có
quyền administrator trên tất cả máy client thuộc OU mà nó được ủy quyền quản lý
6. Từ clientXp, win7 log on user adminKETOAN, cài AdminPAK.msi vào máy
Clientxp(để quản trị AD), tạo group policy trên OU KETOAN cấm tất cả
user thuộc phòng KETOAN không được chát bằng yahoo, skype.., không
chạy chương trình windows player … ngoại trừ user adminKETOAN
7. Từ máy client2(cài version 2008) , logon user adminKINHDOANH tạo group
policy cài đặt phần office mềm tự động cho all máy client thuộc OU mình
8. Trên Server tạo thu muc PHONGBAN chua 2 thu muc con sau : sharing
phongban quyen Full cho everyone
+ PhongKETOAN: chỉ gán quyền NTFS full cho groupKETOAN nhung
chỉ có quyền xóa file và folder do chính user đó tạo ra, group Admin có quyền read only 185
+ PhongKINHDOANH: chỉ gán quyền NTFS full GroupKINHDOANH
nhưng chỉ duoc xóa file và folder do chính user đó tạo ra, group Admin
có quyền read only tren thư mục này.
+ Tạo thư mục DUNGCHUNG : sharing everyone quyền Full, gán quyền
NTFS full cho tất cả các group nhưng chỉ xóa file, thư mục do chính mình tạo ra .
9. Tạo thư mục profiles trên server và sharing voi quyền full cho everyone . tạo
Roaming profiles cho tất cả các user và lưu trên thư mục này.
10. Cho user Admin được phép Remote Desktop vào domain từ máy clientxp để
kiểm tra domain., tạo group policy sao cho tất cả các nhân viên khi log on
vào sẽ tự động ánh xạ đĩa mạng : chạy scrip log on map.bat ánh xạ như sau : net use r :\\server\phongban net use p :\\server\dungchung net use s : \\server\soft net use u : \\server\profiles
11. Cài máy in hp2000C trên máy Server và share cho mọi user có quyền in.
Dùng quyền Admim tạo logon script cho toàn domain sao cho khi user logon
tự động chạy scrip cài đặt máy in mạng
12. Giám sát (audit) tất cả các user trong OU KETOAN in trên máy in HP2000C.
13. Giám sát (audit) tất cả các user truy cập vào cây thư mục DULIEU trên máy server
14. Cho các user dùng Roaming Profile,
15. Làm Home folder cho tất cả các user, và tạo ổ đĩa mạng H ánh xạ Homefolder cho từng user
16. Backup DHCP, Backup domain. Copy các thông tin backup sang PC khác.
Làm hỏng máy Domain (hỏng do phần cứng, phần mềm sau đó cài lại
window, dựng lại domain ) sau đó restore DHCP và domain trở về trạng thái ban đầu.
TÀI LIỆU CẦN THAM KHẢO
[1]. Hướng Dẫn Quản Trị Mạng Microsoft Windows Server 2008-2010
[2]. VN-GUIDE(Tổng hợp và biên dịch); Quản Trị Mạng Microsoft Windows 2008
[3]. Nguyễn Thanh Quang(Sưu tầm và biên soạn), Hoàng Anh Quang(Sưu tầm
và biên soạn); Bảo Mật Và Quản Trị Mạng; Văn Hóa Thông Tin, Năm 2006. 186