Tài liệu Giới thiệu Hệ điều hành Mạng Windows 2000 Server môn Mạng máy tính | Trường Đại Học Thái Nguyên

lOMoAR cPSD| 45740413
KHOA C NG NGHỆ TH NG TIN
BỘ M N MẠNG & TT
LŒ KhÆnh Dương (Chủ biŒn) Nh m biŒn soạn:
- Đỗ Đnh Cường - LŒ Tuấn Anh GI`O TR NH
HỆ ĐIỀU H NH MẠNG (Hệ Cao ẳng) TH`I NGUY˚N 2007 lOMoAR cPSD| 45740413
CHƯƠNG 1: GIỚI THIỆU HỆ ĐIỀU H NH WINDOWS 2000 SERVER
1. Tổng quan về Windows 2000 server
Windows 2000 Server l một hệ iều h nh mạnh với nhiều t nh năng. Dưới y l một v i t nh năng ch nh:
Active Directory, dựa trŒn cơ sở l DS (chuẩn x.500) cung cấp những kiến trœc
mạng c thể thay ổi, sử dụng dịch vụ ơn cung cấp cho một v i ối tượng hay h ng ng n dịch
vụ với h ng triệu ối tượng.
 Giao tiếp quản l gọi l MMC cho phØp tuỳ chỉnh bởi người quản l , cung cấp những c
ng cụ quản l ược yŒu cầu trong cơ cấu logic.
 Cải tiến phần cứng, bao gồm khả năng Plug-and-play v Hardware Wizard l m cho việc
c i ặt phần cứng trở nŒn thuận tiện hơn.
 Dịch vụ quản l File bao gồm những t nh năng ph n phối file hệ thống. N ng cao t nh
bảo mật với EFS v khả nặng thiết lập những vøng ĩa ược chỉ ịnh cho số lượng lớn người døng.
 T nh an to n cao với tiện ch Security Configuration and Analysis, giao thức Kerberos
(truy nhập nguồn t i nguyŒn trong Windows 2000 domain) v IP Security Protocol
cøng cÆc cam người døng th ng minh.
 Khả năng cung cấp iều khiển hệ iều h nh, c i ặt th ng qua dịch vụ disk imaging.
 T nh năng offline tệp tin v thư mục, tự ộng c i ặt v sửa chữa những ứng dụng mạng v
khả năng iều khiển Desktop của người døng bằng cấu h nh của Desktop.
 Dịch vụ thiết bị ầu cuối cho phØp từ Desktop truy nhập mạng mÆy t nh sử dụng t nh
năng xử l mạnh mẽ của mÆy chủ.
 Kết nối Intemet với Intemet Infonnation Service (IIS).
 Sẵn c tuỳ chọn kh i phục hệ thống bằng Startup and Recovery.
Windows 2000 Server c 3 phiŒn bản khÆc nhau, v ta c thể lựa chọn phiŒn bản n o
phø hợp nhất cho c ng việc của m nh:
Windows 2000 Server: ược thiết kế ể sử dụng cho cÆc c ng ty nhỏ v vừa.
Windows 2000 Advance Server v Datacenter ược thiết kế d nh cho cÆc c ng ty cỡ
vừa v cỡ lớn, hoặc cÆc nh cung cấp dịch vụ Intemet ISPS.
Windows 2000 Server: C tất cả cÆc t nh năng ch nh của Windows 2000. Windows
2000 Server c cÆc dịch vụ như file and print cÆc dịch vụ ứng dụng, dịch vụ web v truyền th ng bao gồm:
 T nh bảo mật cao bởi khoÆ Keberos v khoÆ cơ sở c ng khai. lOMoAR cPSD| 45740413  Thiết bị ầu cuối.  4GB bộ nhớ.
 2 bộ xử l trŒn phiŒn bản c i ặt mới v 4 cÆch a xử l ối xứng (SMP) hỗ trợ cÆc dịch
vụ c thể Upgrade từ Windows NT.
Windows 2000 Advance Server: C nhiều t nh năng mạnh hơn nữa, ược thiết kế cho
cÆc iều h nh cỡ vừa v cỡ lớn. N c tất cả cÆc ưu iểm của Windows 2000 Server v hơn thế nữa:  Tải mạng ối xứng.
 Dịch vụ Cluster cho cÆc ứng dụng chấp nhận lỗi.
 Cung cấp 8GB bộ nhớ.  C 8 cÆch hỗ trợ SMP.
Windows 2000 Datacenter Server: Windows 2000 Datacenter Server l dịch vụ
mạnh nhất trong bộ Server. Hệ iều h nh n y ược thiết kế Æp ứng cho 1 số lượng lớn cÆc
c ng việc trŒn mạng. Windows 2000 Datacenter Server bao gồm tất cả cÆc t nh năng của
Windows 2000 Advance Server v c n:
 Nhiều hơn cÆc dịch vụ cung cấp Cluster cao cấp.  64GB bộ nhớ.
 16 cÆch hỗ trợ SMP (PhiŒn bản OEM c thể c ến 32 cÆch).
Chœ : Tất cả cÆc t nh năng của Windows 2000 Server ều c trong Windows 2000
Advance Server v Windows 2000 Datacenter Server.
2. Hướng dẫn c i ặt window 2000 Server
a) YŒu cầu cấu h nh phần cứng Bảng 1.1 Th nh Phần
YŒu cầu tối thiểu Khuyến cÆo Bộ xử l
Pentium 133MHZ hoặc cao hơn.
Pentium 166MHZ hoặc cao hơn. Bộ nhớ trong 128MB 256MB Đĩa trống
2GB ª cứng với 1 GB trống (cần Tøy thuộc v o cÆc ứng dụng v dữ liệu
nhiŒu hơn nŒu muốn c i ặt
m ta mu n lưu trữ trŒn mÆy.
Windows 2000 Server từ trŒn mạng xuống) . lOMoAR cPSD| 45740413 Mạng Kh ng cần
Card mạng v bất cứ thiết bị n o khÆc
ược yŒu cầu tøy theo t nh trạng mạng
(nếu ta muốn kết nối mạng to n cầu Hiển thị
Bộ iều khiển video v m n h nh ph n Bộ iều khiển video v m n h nh ph n giải giải VGA. VGA hoặc cao hơn.
b) CÆc bước c i ặt
Phần n y sẽ tr nh b y một số chœ trong quÆ tr nh c i ặt Windows 2000 server.
K ch cỡ, dung lượng ĩa:
Một iều cần quan t m l cần phải ịnh rı dung lượng cÆc ổ ĩa của ta. Ta cần lưu ến
dung lượng phần trống d nh cho hệ iều h nh, d nh cho cÆc ứng dụng khÆc m ta sẽ c i ặt,
v cuối cøng l d nh cho việc lưu trữ dữ liệu.
Đối với Windows2000 Server, Microsoft khuyến cÆo ta nŒn d nh ra t nhất 1GB
phần trống. Dung lượng phần trống n y cho phØp chứa ựng cÆc file của hệ iều h nh v
giới hạn cÆc file sẽ phÆt sinh trong tương lai khi n ng cấp v c i ặt.
Vøng hệ thống v vøng khởi ộng:
Khi c i ặt Windows 2000, cÆc file sẽ ược lưu trữ ở 2 nơi, l vøng hệ thống v vøng khởi ộng.
Vøng hệ thống chứa ựng những file cần thiết ể khởi ộng hệ iều h nh
Windows 2000 Server. Những file lưu trữ trong vøng hệ thống chiếm 1 phần kh ng
Æng kể phần trống, chœng ược mặc ịnh sử dụng vøng t ch cực của mÆy t nh, thường l ổ ĩa C:
Vøng khởi ộng chứa những file của hệ iều h nh Windows, v chœng ược mặc ịnh ặt
tại thư mục c tŒn l WindowsNT. Tuy nhiŒn ta cũng c thể thay ổi mặc ịnh n y trong quÆ
tr nh c i ặt. Microsoft khuyến cÆo vøng khởi ộng nŒn c dung lượng tối thiểu l 1GB.
Lựa chọn file hệ thống:
Một nh n tố khÆc cũng quyết ịnh kế hoạch tổ chức ph n vøng ĩa của ta l loại file hệ
thống m ta sẽ sử dụng. Windows 2000 Server hỗ trợ 3 loại file:
 FAT 16 (File Allocation Table).  FAT 32.
 NTFS (New Technology File System)
FAT 16: FAT 16 l kiểu file hệ thống 16 b t ược sử dụng rộng rªi trong DOS v
Windows 3x. Những rªnh ghi trong FAT 16 lưu trữ file trŒn ĩa sử dụng bảng ph n phối
file v bảng chỉ dẫn. Với FAT, bảng chỉ dẫn ặt ở rªnh ghi của khối ầu tiŒn của file, tŒn
file v phần mở rộng, ng y v thời gian v bất cứ giao tiếp n o khÆc với file. lOMoAR cPSD| 45740413
Sự bất lợi của FAT 16 l n chỉ hỗ trợ ph n vøng với dung lượng khoảng 2GB v n c t nh
năng bảo mật an to n như NTFS.
Sự thuận lợi của FAT l c sự tương th ch với những hệ cũ. Điều n y rất quan trọng
nếu mÆy t nh của ta chạy dual-boot với DOS hay bất kỳ hệ iều h nh n o khÆc. V dụ như
DOS, Unix, Linux, OS/2, Windows 3.1 v Windows 9x ều th ch hợp với FAT 16 .
FAT 32: FAT 32 l phiŒn bản 32 bit của FAT, n ược ưa ra giới thiệu v o năm 1996
với Windows 95, OEM Server Release 2 (OSR2). FAT 32 c nhiều t nh năng vượt trội hơn FAT 16:
 Disk Partition c thể c dung lượng lớn hơn 2TB (terabytes).
 Nhiều hơn những t nh năng bảo vệ ược thŒm v o ể dự ph ng những sai s t nếu xảy ra lỗi ổ ĩa.
 N cải tiến cÆch sử dụng phần trống ª bởi việc thay ổi lại cỡ của cluster
Nhược iểm của FAT 32 l n thiếu 1 v i t nh năng cho Windows 2000 so với NTFS, v
dụ như: bảo mật cục bộ, mª hoÆ file, tr ch dẫn ĩa (disk quotas) v nØn.
Nếu ta quyết ịnh sử dụng FAT, Windows 2000 sẽ tự ộng ịnh dạng cÆc partition với
FAT 16 nếu dung lượng partition dưới 2GB v FAT 32 nếu dung lượng trŒn 2 GB .
Chœ : Windows NT 4 v cÆc phiŒn bản sớm hơn của NT kh ng hỗ trợ FAT 32.
NTFS: NTFS l những file hệ thống ược thiết kế ể cung cấp những t nh năng thŒm
v o cho Window NT v Windows 2000. NTFS phiŒn bản 5 gắn với Window 2000. Dưới
y l cÆc t nh năng của NTF S :
 Khả năng thiết lập bảo mật cục bộ cho file v cÆc thư mục.
 CÆc tuỳ chọn nØn dữ liệu. T nh năng n y c thể biến ổi, l m giảm bớt phần ĩa lưu trữ t hơn yŒu cầu.
 Uyển chuyển trong việc quy ịnh ưa tr ch dẫn disk quotas. Đĩa tr ch dẫn ược døng ể
giới hạn số lượng phần trống m 1 user c thể sử dụng.
 Tuỳ chọn mª hoÆ file. Việc mª hoÆ tăng thŒm t nh an to n cho dữ liệu.
Trừ trường hợp ta muốn dual-boot mÆy của ta với hệ iều h nh kh ng khÆc Windows NT,
nếu kh ng, Microsoft khuyŒn ta nŒn døng NTFS. Kiểu giấy phØp:
C 2 cÆch ch nh ể ược cấp phØp. Ta trả tiền cho hệ iều h nh ịa phương, v ta trả cho
khÆch truy nhập. CÆch n y nŒn døng nếu ta chạy Windows 2000 Server như một dịch
vụ của ta v Windows 2000 Professional v Windows 98 cho khÆch h ng của ta. Ta phải
lấy giấy phØp cho hệ iều h nh v với mỗi mÆy t nh cÆ nh n. Ta cũng phải c giấy phØp
truy nhập dịch vụ mạng.
Khi c i ặt Windows 2000 Server, ta phải chọn giữa giấy phØp Per Server v Per
Seat. Per Server sẽ chỉ ra số lượng kết nối mạng hiện tại c thể ược l m bởi một mÆy chủ. lOMoAR cPSD| 45740413
Per Seat chỉ ra mỗi mÆy khÆch ược cấp phØp v mỗi mÆy khÆch c thể truy nhập nhiều mÆy chủ m n cần.
Ta nŒn chọn loại Per Server nếu những người døng của ta chỉ truy nhập một mÆy
chủ tại một thời iểm. V dụ: ta c 10 người døng v một mÆy chủ, sẽ rẻ hơn nếu ta lựa chọn
Per Server thay v Per Seat. Nếu những người døng của ta truy nhập nhiều hơn một mÆy
chủ tại cøng một thời iểm, ta nŒn chọn Per Seat. V dụ ta c 10 người døng v 2 mÆy chủ,
với kiểu Per Seat, ta chỉ cần mua 10 giấy phØp gọi l Client Access Licenses (CALS). Nếu
ta døng Per Server, ta cần 10 giấy phØp cho mỗi Server.
Th nh viŒn của Domain hoặc của Workgroup:
Một lựa chọn c i ặt Windows 2000 Server ể mÆy t nh của ta sẽ trở th nh một th nh
phần của một miền hay một th nh phần của một nh m l m việc.
Ta nŒn c i ặt như một phần của Workgroup nếu ta l một th nh phần của một nh m
nhỏ, ph n quyền hoÆ mạng mÆy t nh hay ta chạy Windows 2000 Server m kh ng kết nối
mạng. Để ra nhập một Workgroup, ơn giản ta chỉ việc chọn Workgroup .
Domains l một phần rộng hơn với quyền quản l mạng trung t m. Ta nŒn c i mÆy t
nh của m nh như một th nh phần của một Domain nếu bất cứ một mÆy chủ Windows
2000 Server n o trŒn mạng của ta cũng ều ược cấu h nh theo Domain Controller với
Active Directory ª ược c i ặt. Để ra nhập một Domain, ta phải chỉ ra tŒn ch nh xÆc của
Domain v cung cấp 1 tŒn người døng (username) v mật khẩu người døng ể kết nối thŒm
mÆy t nh của ta v o Domain. Một bộ iều khiển miền của Domain v mÆy chủ Domain
Name System (DNS) phải c sẵn ể xÆc nhận khi gia nhập Domain.
N ng cấp một Member Server lŒn Domain Controller:
Một Server ª ược c i ặt th nh c ng với hệ iều h nh Windows 2000, ta c thể n ng cấp
từ Server lŒn Domains Controller bằng cÆch sử dụng tiện ch DCPROMO. Ta c thể chỉ
ra Server n o l Domain Controller ầu tiŒn trong domains mới hoặc thŒm n từ một domain
sẵn c . Nếu ta sẵn c Active Directory c i ặt trŒn mạng của ta, ta c thể tạo mới một
domains.con với một c y domains c sẵn hay c i ặt một c y domains như một phần của 1 rừng ª c sẵn.
CÆc bước trong phần n y xem như ta ª tạo một domains contrroller ầu tiŒn trong
domains mới, v ta ang c i Active Directory lần ầu tiŒn. Những bước n y cũng xem như
DNS vẫn chưa ược ịnh cấu h nh cho mạng của ta.
Để n ng cấp từ Server lŒn DomÆin Controller, ta hªy l m theo cÆc bước sau: 1.
Chọn Start > Run, gı DCPROMO trong hộp thoại Run, v nhấn OK. 2.
Chương tr nh Active Directory Installation Wizard bắt ầu. Ta nhấn v o nœt
Next như trong h nh 1.1 . H nh 1.1 lOMoAR cPSD| 45740413 3.
Hộp thoại Domain Controller Type xuất hiện, xem h nh 1.2. Chọn Domain
Controller ở tuỳ chọn New Domain v nhấn Next. Nếu ta muốn thŒm domain controller
tới một domain c sẵn, ta chọn tuỳ chọn Additional Domain Controller for an Existing Domain. H nh 1.2
4. Hộp thoại Create Tree or Child Domain xuất hiện. Để tạo một domain tiếc mới,
chọn tuỳ chọn Create a New Domain Tree v nhấn nœt Next như trong h nh 1.3 (Nếu ta ª
c i ặt sẵn Active Directory trŒn mạng của m nh v ta muốn tạo mới một c y domain con
trong một c y domain ª c sẵn, ta chọn tuỳ chọn "Create a New Child Domain in an Existing Domain Tree"). H nh 1.3
5. H nh 1.4 l hộp thoại Create or Join Forest. Chọn tuỳ chọn "Create a New Fores
of Domain Trees" v nhấn v o nœt Next. (Nếu ta ª c sẵn Active Directory trŒn mạng của
m nh v muốn c y domain sẽ ược c i ặt như l một phần của một rừng ª c sẵn, ta chọn "Place
This New Domain Tree" trong tuỳ chọn Existing Forest). lOMoAR cPSD| 45740413 H nh 1.4
6 . Hộp thoại New Domain Na me xuất hiện như trong h nh 1.5 , chỉ ra tŒn DNS
ầy ủ cho domain mới. V dụ như sampledomain.com v nhấn nœt Next ể tiếp tục. Th ng
thường DNS ược ịnh cấu h nh cho mạng trước khi ta tạo một domain controller. H nh 1.5
7. Tiếp ến l hộp thoại NetBIOS Domain Name như trong h nh 1.6 TŒn NetBIOS
Domain ược sử dụng ể thuận tiện với mÆy trạm døng WinNT. Mặc ịnh l tŒn domain
NetBIOS ược ặt giống như tŒn DNS. Ta c thể thay ổi bằng một tŒn khÆc hoặc l chấp
nhận cÆi tŒn mặc ịnh n y. Nhấn Next ể tiếp tục. H nh 1.6
8. Sau l ến hộp thoại Database ang Log Locations như trong h nh 1.7 Hộp thoại n y
cho phØp ta xÆc ịnh vị tr của cơ sở dữ liệu Active Directory v cÆc file sổ ghi cơ sở dữ lOMoAR cPSD| 45740413
liệu. Ta c thể chấp nhận vị tr mặc ịnh cho những file n y hoặc lựa chọn một vị tr khÆc. Sau ta nhấn nœt Next. H nh 1.7
9. Hộp thoại Shared System Volume sẽ xuất hiện như trong h nh 1.8. Volume n y
phải l NTFS 5 volume. Ta c thể chấp nhận vị tr thư mục mặc ịnh hoặc l lựa chọn một thư
mục khÆc. Sau nhấn Next (Nếu partition kh ng phải l NTFS 5, ta sẽ thấy th ng bÆo lỗi
chỉ ra rằng file hệ thống phải ược chuyển ổi). H nh 1.8 10.
Nếu DNS vẫn chưa ược ịnh cấu h nh, ta sẽ thấy th ng bÆo bắt ầu rằng dịch
vụ DNS kh ng thể ịnh vị ược như trong h nh 1 .9 Nhấn nœt OK ể tiếp tục. H nh 1.9 11.
Hộp thoại Configure DNS xuất hiện như trong h nh 1.10. Để ịnh cấu h nh
DNS, chọn tuỳ chọn Yes, Install and Configure DNS on This Computer (Recommend).
Nếu ta muốn tự c i ặt DNS (bằng tay) chọn tuỳ chọn No, I Will Install and Configure DNS
Myself. Sau khi ta ª tạo ra lựa chọn của m nh, nhấn Next ể tiếp tục. H nh 1.10 lOMoAR cPSD| 45740413
12 . Hộp thoại Permissions xuất hiện như trong h nh 1.11 Nếu ta muốn c thể sử dụng
cÆc chương tr nh mÆy chủ trŒn mÆy chủ ể chạy cÆc phiŒn bản trước của Windows
hoặc trong một domain iều h nh cÆc phiŒn bản trước y của Windows chọn tuỳ chọn
Permissions Compatible with pre-windows 2000 Server. CÆc trường hợp khÆc, lựa chọn
tuỳ chọn Permissions Compatible giấy with Windows 2000 Server. sau , nhấn Next ể tiếp tục. H nh 1.11
13. Tiếp ến l hộp thoại Directory Services Restore Mode Administrator Password
như trong h nh 1.12 Hộp thoại n y cho phØp ta xÆc ịnh password c thể sử dụng khi mÆy
chủ cần khởi ộng lại ở chế ộ Directory Senvices Restore Mode. Nhập lại password một
lần nữa ể xÆc nhận v nhấn nœt Next. H nh 1.12 lOMoAR cPSD| 45740413
Chœ : Directory Services Restore Mode l một tuỳ chọn trŒn tr nh ơn Advanced
Options, c sẵn khi Windows 2000 khởi ộng. Xem chương 15 ể biết thŒm chi tiết về những
tøy chọn khÆc của Advanced Options n y.
14. Sau l ến hộp thoại Summary như trong h nh 1.13 Hộp thoại n y cho phØp ta
xÆc nhận lại tất cả cÆc lựa chọn ta ª l m. Nếu tất cả cÆc th ng tin ều ch nh xÆc, nhấn Next. H nh 1.13 15.
Ta sẽ nh n thấy hộp thoại Configuring Active Directory ể ta biết rằng Wizard
ang ịnh cấu h nh Active Directory v quÆ tr nh n y c thể mất v i phœt. Sau ta sẽ ược nhắc
ưa ĩa CD Windows 2000 Server của ta v o ể copy thŒm cÆc file
cần thiết. Cho ĩa CD v o Ổ CD-ROM v nhấn OK. 16.
Hộp thoại Configuring Active Directory xuất hiện. Khi quÆ tr nh n y ho n
th nh, hộp thoại Completing the Active Directory Installation Wizard xuất hiện như trong h nh 1.14 Nhấn Finish. H nh 1.14 lOMoAR cPSD| 45740413
17.Ta sẽ ược nhắc khởi ộng tại Windows 2000 ể thay ổi cÆc ảnh hưởng. Nhấn Restart Now.
CHƯƠNG 2 : QUẢN TRỊ NGƯỜI D NG (8 tiết l thuyết)
1. Giới thiệu về t i khoản người døng
Một trong những nhiệm vụ cơ bản nhất trong việc quản trị mạng l tạo ra những t i
khoản người døng v nh m người døng. Khi kh ng c t i khoản th người døng kh ng thể ăng
nhập v o hệ thống mÆy t nh, khi kh ng c t i khoản nh m sẽ khiến quản trị nŒn kh c thể
ph n quyền người døng trong việc truy cập v khai thÆc t i nguyŒn của hệ thống một
cÆch chặt chẽ v linh hoạt.
1.1. Tổng quan về t i khoản người døng
Trong Windows 2000 server hỗ trợ hai kiểu người døng: người døng cục bộ v người
døng Active Directory. Một mÆy t nh ang sử dụng hệ iều h nh Windows 2000 server (ược
cấu h nh l một mÆy chủ) c khả năng tự lưu trữ cơ sở dữ liệu t i khoản người døng. Những
người døng ược lưu trữ trong những mÆy cục bộ ược gọi l người døng ịa phương.
Active Directory l một dịch vụ thư mục ược t ch hợp sẵn trong Windows 2000
Server. N chứa th ng tin trong một cơ sở dữ liệu trung t m cho phØp người døng c thể c
một t i khoản ơn lẻ trŒn mạng. Những người døng hay nh m người døng ược lưu trong
Acitve Directory ược gọi l người døng Active Directory hay người døng miền.
1.2. CÆc t i khoản người døng c sẵn
Khi c i ặt Windows 2000 Server, c một số t i khoản mặc ịnh ược tạo ra sẵn.
Bảng 2.1 CÆc t i khoản mặc ịnh
Người døng ịnh sẵn M tả Phạm vi Administrator
T i khoản Administrator l một t i khoản ặc biệt Cục bộ hay miền (local
c quyền ẩy ủ ối với mÆy t nh Domain) lOMoAR cPSD| 45740413 Guests
Cho phØp người døng truy cập v o Local v Domain
mÆy t nh ngay cả khi kh ng c username v
password. T i khoản n y mặc ịnh bị v hiệu h
a, khi t i khoản n y ược phØp sử dụng th cũng
chỉ ược cung cấp một số quyền hạn chế.
ILS_Anonymous User L một t i khoản ặc biệt của dịch vụ ILS, ILS Domain
hỗ trợ m i trường telephony với cÆc t nh
năng như hội nghị qua vi deo, fax. . . ể sử
dụng dịch vụ n y cần c i ặt IIS.
IUSRcomputername L t i khoản ặc biệt ể truy cập nặc danh v o IIS Local v Domain ở những mÆy c c i IIS IWAM-
T i khoản n y l t i khoản ặc biệt ược døng Local v Domain computername
cho IIS ể bắt ầu một ứng dụng trŒn một mÆy c c i ặt IIS Krbtgt
T i khoản n y døng cho dịch vụ Key Domain Distribution Center. TSInternetUser
L t i khoản d nh Terminal Service. Domain
Theo mặc ịnh th tŒn t i khoản Administrator ược trao cho t i khoản c quyền ầy ủ
với hệ thống. C thể tăng cường an ninh của hệ thống bằng cÆch ổi tŒn t i khoản
Administrator sau tạo ra một t i khoản c tŒn l Administrator nhưng kh ng c quyền g .
Bằng cÆch n y th ngay cả khi một hacker c thể truy cập v o hệ thống với tŒn
Administrator th cũng kh ng thể truy cập tới bất cứ t i nguyŒn n o của hệ thống.
1.3. Tổng quan về t i khoản nh m
TrŒn một mÆy chủ Windows 2000, chỉ c thể sử dụng những nh m cục bộ. Một nh m
cục bộ sẽ lưu trong csdl của mÆy chủ Windows 2000.
TrŒn Windows 2000 Domain controller trong Active Directory, c thể c những nh
m "an to n" (security) v những nh m "chia" sẽ (ditribution). Một nh m an to n l một nh m
những người døng m chỉ truy cập ến một số t i nguyŒn xÆc ịnh. Sử dụng nh m người
døng an to n gÆn quyền truy cập cho những t i nguyŒn. Một nh m chia sẻ l một nh m
những người døng c những ặc iểm iểm chung. Nh m chia sẻ c thể ược døng bởi những
chương tr nh ứng dựng v thư iện tử. Windows 2000 domain controller cho phØp lựa chọn
phạm vi của nh m c thể l domain, global hoặc universal. Mỗi kiểu phạm vi ược sử dụng như sau:
 Những nh m vøng cục bộ ược døng ể xÆc lập quyền truy xuất ối với cÆc t i nguyŒn.
Những nh m cục bộ c thể chứa những t i khoản người døng, những nh m døng chung
v những nh m to n cục từ bất cứ vøng n o. Một nh m vøng cục bộ cũng c thể chứa
những nh m vøng cục bộ khÆc trong vøng của m nh. lOMoAR cPSD| 45740413
 Nh m to n cục ược døng ể tổ chức những người døng c những yŒu cầu truy cập
tương tự nhau. Nh m to n cục c thể chứa những người døng v nh m to n cục từ vøng ịa phương.
 Nh m a năng ược sử dụng ể tổ chức người døng v xuất hiện trong danh mục to n cầu
(một danh sÆch ặc biệt chứa những th ng tin về tất cả cÆc ối tượng trong Active Directory).
TrŒn cÆc mÆy t nh c i Windows 2000 Professional v Windows 2000 server, tạo
ra v quản l những nh m cục bộ th ng qua tiện ch Local User and Groups - TrŒn Windows
2000 Server domain controller việc quản l những nh m người døng th ng qua tiện ch
Microsoft Active Directory Users and Computers.
1.4 T i khoản nh m c sẵn
Khi c i ặt Windows 2000 Server, c một số t i khoản nh m ược tạo sẵn theo mặc ịnh. Bảng 2.2 Nh m ịnh sẵn M tả Phạm vi
Account Operators Những th nh viŒn của nh m Account Operator Domain c thể
tạo ra những người døng v những t i khoản của người døng
v nh m nhưng họ chỉ c thể quản l những t i khoản người døng v nh m m họ tạo ra
Adiministrators Nh m Administrators c ầy ủ những ặc Local quyền ặc lợi. Những v
th nh viŒn của nh m c Domain thể cấp cho m nh tất cả những
quyền m theo mặc ịnh họ chưa c ể c thể quản l to n bộ cÆc
ối tượng trŒn hệ thống (CÆc ối tượng trŒn hệ thống bao
gồm hệ thống file, mÆy in, quản l t i khoản )
Backup Operators CÆc th nh viŒn của nh m Backup Operator c Local v
quyền sao lưu v phục hồi hệ thống file ngay cả Domain khi
hệ thống file l NTFS v họ kh ng ược cấp quyền về hệ thống
file. Tuy nhiŒn th nh viŒn của nh m n y chỉ c quyền truy
cập v o hệ thống file th ng qua tiện ch Backup. Để c thể truy
cập trực tiếp v o hệ thống file họ phải ược cấp quyền truy
nhập. Theo mặc ịnh th kh ng c th nh viŒn n o trong nh m Backup Operator. lOMoAR cPSD| 45740413 Guests
Nh m Guests c quyền rất hạn chế ối với hệ Local v thống.
Ta c thể cung cấp t i khoản n y cho Domain những người
dung kh ng thường xuyŒn c thể truy cập tới một số t i
nguyŒn xÆc ịnh trŒn mạng. N i chung th hầu hết cÆc quản
trị viŒn ều kh ng cho phØp quyền truy cập Guest bởi v t nh
nguy hiểm của n . Mặc ịnh th t i khoản người døng Guest l th nh viŒn của nh m Guest. Power Users
Nh m Power User c t quyền hơn nh m Local
Administrators nhưng nhiều quyền hơn nh m User. Power
User c thể tạo ra người døng v nh m nhưng cũng chỉ c
quản l những người døng v nh m người døng do n tạo ra.
N cũng c thể tạo ra sự chia sẻ mạng v mÆy in. Print Operator
Th nh viŒn của nh m n y c quyền quản trị Domain mÆy in. Replicator
Nh m n y ược tạo ra nhằm hỗ trợ việc tÆi tạo Local v thư
mục l một t nh năng của mÆy chủ. Chỉ c Domain những
người døng vøng mới c thể ược cấp
quyền v o nh m n y. Mặc ịnh l kh ng c th nh viŒn n o trong nh m n y cả Server Operators
Th nh viŒn nh m n y c thể quản trị cÆc mÆy Domain chủ vøng. Users
Nh m Users ược døng cho những người døng Local v cuối l
những người c quyền truy cập rất hạn Domain chế ối với hệ
thống. Nếu ta c i ặt mới Server th những thiết lập mặc ịnh
cho nh m n y sẽ ngăn cản kh ng cho những người døng trong
nh m c thể phÆ hỏng hệ iều h nh cũng như những file trŒn
mÆy. Theo mặc ịnh th to n bộ người døng trŒn hệ thống ,
trừ Guest, l th nh viŒn của nh m User. Cert Publishers
Th nh viŒn của nh m Cert Publisher c thể Global quản l
những chứng chỉ, chứng nhận của c ng ty hay cÆc ại l . lOMoAR cPSD| 45740413 DHCP
Nh m DHCP Administrator c quyền quản trị Domain ể quản Administrators l mÆy chủ. DHCP Users
Nh m n y c những quyền cần thiết ể c thể Domain
sử dụng cÆc dịch vụ DHCP DnsAdmins
Nh m n y c quyền quản l những mÆy chủ Domain Domain Name System (DNS). Dnsupdateproxy
Nh m n y c quyền cho phØp những mÆy Global
khÆch DNS c thể thực hiện những cập nhật ộng
thay mặt những mÆy khÆch khÆc cũng như l những mÆy chủ DHCP. Domain Admins
Nh m Domain Admins c quyền iều h nh Global to n bộ trŒn domain. Domain
Nh m n y chứa to n bộ những mÆy trạm v Global mÆy chủ Computers thuộc về Domain. Domain
Nh m n y chứa to n bộ những iều khiển miền Global trŒn Controllers miền. Domain Guests
Nh m n y c những quyền truy cập rất hạn chế Global ến
miền. Nh m n y ược tạo ra nhằm giœp ta c thể cho phØp
những người døng kh ng thường xuyŒn truy cập ến những
t i nguyŒn xÆc ịnh trŒn hệ thống. . . Domain Users
Nh m n y chứa to n bộ những người døng Global miền. Ta
nŒn cấp những quyền rất hạn chế cho nh m n y. lOMoAR cPSD| 45740413
Enterprise Admins Nh m n y c quyền iều h nh to n bộ trŒn hệ Global thống. N l
nh m c quyền cao nhất trong tất cả cÆc nh m
Group Policy Nh m n y c quyền thay ổi ch nh sÆch của Global Creator Owners nh m ối với miền RAS and IAS
Chứa những dịch vụ truy cập từ xa (RAS- Domain
Server Remote Access Service) v cÆc mÆy chủ
Intemet Authentication Service (IAS) trong miền.
Những mÆy chủ trong nh m n y c thể truy cập từ
xa ến những thuộc t nh của người døng Schema Admins
Nh m c quyền ặc biệt c thể thay ổi lược ồ Global của Active Directory
WINS Users Nh m WIN User c quyền ặc biệt c thể xem Domain những th ng tin trŒn cÆc mÆy chủ Windows Intemet Name Service (wins)
Chœ : TrŒn một iều khiển miền Windows 2000 Server, cÆc nh m ược ặt trong cÆc thư mục Users v Builtin.
2. L m việc với cÆc t i khoản người døng cục bộ
Để c i ặt v quản l những người døng cục bộ sử dụng tiện ch Local Users and Groups.
Với tiện ch n y c x a bỏ, ặt lại thŒm mới người døng. V thay ổi mật khẩu của người døng.
2.1. Sử dụng tiện ch Local Users and Groups
C hai cÆch ể truy cập ến t i khoản n y:
 Sử dụng Microsoft Management Console (MMC).
 Sử dụng th ng qua Computer Management. a) Sử dụng MMC
Chọn Start → Run, nhập v o MMC, sau nhấn Enter ể mở cửa sổ MMC. H nh 2.1 lOMoAR cPSD| 45740413
Chọn file → Add/Remove Snap-in ể mở hộp thoại. Chọn Add ể mở hộp thoại
Add Standard Snap-in. Chọn Local Users and Group v cÆch v o nœt Add. Hộp thoại
Choose Target Machine xuất hiện với Local Computer ược chọn. Click v o nœt Finish.
Sau quay lại hộp hoại Add Standard Snap-in cÆch v o nœt Close. Sau click v o nœt OK.
Khi Local Users and Group ược thŒm v o MMC . H nh 2.2
Lưu lại bằng cÆch chọn Save v ặt ường dẫn (nŒn ể ở Desktop ể dễ truy cập).
b) Sử dụng Computer Management
Click chuột phải v o My Computer chọn Manager. Sau chọn Local Users and Groups. H nh 2.3 lOMoAR cPSD| 45740413
2.2 Tạo t i khoản người døng
Để tạo ra người døng mới trŒn Windows 2000 Server ta phải ăng nhập v o hệ thống
với tư cÆch l một người døng c quyền tạo ra người døng mới v phải l th nh viŒn của nh
m Administrators hoặc l nh m Power Users.
a) Những quy tắc ặt tŒn người døng:
YŒu cầu duy nhất khi tạo ra người døng mới l ta phải cung cấp tŒn người døng
hợp lệ. Hợp lệ tức l phải tu n theo những quy tắc của Windows 2000 về tŒn người døng.
Độ d i tŒn phải từ 1 ến 20 k tự.
 TŒn của người døng phải duy nhất, tức l phải khÆc với tất cả cÆc tŒn v nh m c trong hệ thống.
 TŒn người døng phải kh ng ược chứa cÆc k tự sau: / \ [ 1 : ; 1 = ’ + * ? < > " 
TŒn của người døng kh ng chứa dấu cÆch.
b) CÆc tøy chọn ối với t i khoản người døng mới:
Mở Local User and Group tạo một t i khoản mới. H nh 2.4
Bảng 2.3 m tả cÆc tøy chọn trŒn: Tøy chọn M tả User Name
XÆc ịnh tŒn của người døng.
Full Name Cung cấp thŒm th ng tin chi tiết về người døng Description Bổ xung
thŒm những th ng tin phụ.
Password Mật khẩu của người døng c thể d i tới 14 k tự, ph n biệt chữ hoa chữ thường Confirm Password
XÆc nhận lại mật khẩu.
User Must Change Nếu mục n y ược chọn th hệ thống sẽ bắt người døng phải thay ổi mật
khẩu trong lần ầu tiŒn ăng nhập. Password at Next Login
Nhằm tăng t nh bảo mật. theo mặc ịnh th mục n y ược chọn. User
Cannot Nếu mục n y ược chọn th người døng kh ng thể thay ổi lOMoAR cPSD| 45740413
Changepassword mật khẩu, n hữu ch với cÆc t i khoản Guest. Mặc ịnh mục n y kh ng ược chọn
Password Never Expires Nếu chọn mục n y th mật khẩu sẽ kh ng bao giờ hết hiệu lực ngay
cả khi ch nh sÆch về mật khẩu ược thiết lập
Account is Disabled Nếu chọn th t i khoản n y kh ng thể ược døng ể ăng nhập v o hệ thống,
chọn mục n y cho những t i khoản mẫu hoặc cÆc t i khoản hiện tại kh ng ược sử dụng, n l
m tăng t nh bảo mật của hệ thống.
c) Quản l cÆc ặc t nh của người døng cục bộ:
Để c nhiều iều khiển hơn ối với t i khoản người døng, c thể thiết lập cấu h nh cÆc
ặc inh người sử dụng. Th ng qua hộp thoại Properties ta c thể thay ổi cÆc tøy chọn mật
khẩu ban ầu, thŒm một người sử dụng v o nh m, v chỉ ịnh những th ng tin v hiện trạng
người sử tụng. Để mở hộp thoại Properties v o tiện ch Local Users and Groups, mở thư
mục Users v th n œp chọn t i khoản. H nh 2.5
Thẻ General: chứa những th ng tin m ta cung cấp khi tạo t i khoản mới, bao gồm:
Full Name (tŒn ầy ủ), Description, tøy chọn mật khẩu v t i khoản c bị v hiệu h a hay kh ng.
Thẻ Member Of: døng ể quản l tư cÆch th nh viŒn của cÆc nh m của người sử dụng
(người sử dụng l th nh viŒn của nh m n o).
Thẻ Profile: cho phØp thiết lập cÆc ặc t nh ể tøy chỉnh m i trường người døng. Ta c
thể chỉ ịnh cÆc mục sau y cho người sử dụng. H nh 2.6