Upload
lexuyen
View
221
Download
5
Embed Size (px)
Citation preview
TTRRƯƯỜỜNNGG TTRRUUNNGG CCẤẤPP TTÂÂYY BBẮẮCC KHOA: CÔNG NGHỆ THÔNG TIN
QUẢN TRỊ MẠNG
WINDOWS SERVER 2003
Tp.HCM, tháng 6 năm 2010
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 1
CHƢƠNG 1
GIỚI THIỆU WINDOWS SERVER 2003
I. GIỚI THIỆU TỔNG QUAN
- Vào ngày 24/4/2003, Microsoft sẽ tung ra thị trƣờng hệ điều hành (HĐH)
Windows Server 2003.
- Đây là sản phẩm thế hệ kế tiếp của Windows 2000 Server và là HĐH đặt
nền móng cho sự tiếp nhận rộng rãi các dịch vụ Web.
- Họ sản phẩm Windows Server 2003 thừa hƣởng những công nghệ tốt nhất
của Windows 2000. Nó bao hàm tất cả những tính nǎng ƣu việt mà khách
hàng chờ đợi từ một HĐH máy chủ Windows nhƣ bảo mật, độ tin cậy cao,
tính sẵn sàng và khả nǎng có thể mở rộng.
- Windows Server 2003 còn tích hợp chặt chẽ với Microsoft .NET [1], khả
nǎng hỗ trợ có sẵn cho .NET Framework [1] để phát triển và triển khai các
ứng dụng và dịch vụ Web.
- Các tính nǎng mới cũng nhƣ những cải tiến đã nâng cao khả nǎng của họ
Windows Server trong việc hỗ trợ các hệ thống mạng và những ứng dụng
cao cấp và tối quan trọng.
- Phiên bản cho sản phẩm Windows Server mới này còn đƣợc biết dƣới tên
Windows .NET Server 2003. Sản phẩm cuối cùng có tên là Windows Server
2003.
- Do sự hỗ trợ các dịch vụ Web đƣợc tích hợp vào trong toàn bộ dòng sản
phẩm, Microsoft quyết định đổi tên là nhằm đơn giản hoá việc đặt tên sản
phẩm và thực hiện chiến lƣợc thƣơng hiệu .NET mới của họ.
- Dòng sản phẩm Windows Server 2003, cũng nhƣ các sản phẩm có khả nǎng
.NET của Microsoft, khi đƣa ra thị trƣờng sẽ mang biểu tƣợng "Microsoft
.NET Connected", thay vì cụm từ ?.NET? trƣớc đó.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 2
II. VAI TRÒ CỦA SERVER
- File server (phục vụ tập tin) và Print server (phục vụ in ấn).
- Web Server (phục vụ Web) và Web Application Server (phục vụ ứng dụng
Web).
- Mail server (phục vụ thƣ tín) và Terminal server (phục vụ thiết bị đầu cuối).
- Remote access/virtual private network [VPN] server (phục vụ truy cập từ
xa/mạng riêng ảo).
- Directory services (các dịch vụ thƣ mục)
- Domain Name System [DNS] (hệ thống tên miền)
- Dynamic Host Configuration Protocol [DHCP] server (phục vụ giao thức
cấu hình địa chỉ động)
- Windows Internet Naming Service [WINS] (dịch vụ đặt tên Internet trên
Windows)
- Streaming media server (phục vụ phƣơng tiện truyền thông theo luồng).
III. MỘT SỐ CẢI TIẾN CỦA Windows Server 2003
1. Tính sẵn sàng
- Các dịch vụ clustering đã trở thành thiết yếu cho các tổ chức triển khai các
ứng dụng đánh giá kinh doanh và thƣơng mại điện tử bởi chúng có những
cải tiến quan trọng cho khả nǎng sẵn sàng, tính có thể mở rộng và khả nǎng
quản lý.
- Windows Server 2003 cũng hỗ trợ NBL (Network Load Balancing, cân bằng
tải mạng) để cân bằng lƣu lƣợng IP đến các nút trong một cluster.
2. Khả nǎng có thể mở rộng
- Windows Server 2003 hỗ trợ tới 32 đƣờng SMP (symmetric
multiprocessing, đa xử lý đối xứng) thông qua scale-up và hỗ trợ cả hai bộ
xử lý 32-bit và 64-bit.
3. Tính an toàn
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 3
- The common language runtime [1] (CLR - bộ thực thi ngôn ngữ chung):
CLR cải tiến tính tin cậy và giúp đảm bảo một môi trƣờng tính toán an toàn.
Nó làm giảm số lƣợng lỗi kỹ thuật và những lỗ hổng về bảo mật đƣợc tạo ra
bởi những lỗi lập trình phổ thông. CLR cũng xác minh rằng các ứng dụng có
thể chạy mà không có lỗi và kiểm tra những giấy phép bảo mật có thích hợp
hay không.
4. Internet Information Services (IIS) 6.0
- Để tǎng an toàn cho Web server, IIS 6.0 đƣợc cấu hình cho sự bảo mật tối
đa. IIS 6.0 và Windows Server 2003 cung cấp giải pháp Web server đáng tin
cậy, hiệu quả, kết nối thông suốt và tích hợp nhất với sự chịu đựng lỗi, yêu
cầu hàng đợi, giám sát ứng dụng, vòng lặp chu kỳ ứng dụng tự động, cất giữ
(caching).
5. Kết nối thông suốt
- Windows Server 2003 cung cấp một Web server tích hợp và streaming
media server giúp tạo ra nhanh chóng và bảo mật các Website động trên
intranet và Internet.
- Application Server tích hợp cho phép dễ dàng phát triển, triển khai và quản
lý những dịch vụ Web XML.
- Cuối cùng là việc cung cấp các công cụ cho phép bạn kết nối với các dịch vụ
Web XML tới những ứng dụng nội bộ, những nhà cung cấp và những đối
tác.
6. Các dịch vụ quản lý
- Microsoft Software Update Services (SUS) và các Server Configuration
Wizard để giúp tự động hoá công việc triển khai.
- Việc quản lý Group Policy đƣợc thực hiện dễ dàng với Group Policy
Management Console (GPMC) mới, cho phép nhiều tổ chức tận dụng tốt
hơn dịch vụ Active Directory.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 4
- Ngoài ra, những công cụ command-line (dòng lệnh) cho phép ngƣời quản trị
thực hiện nhiều tác vụ command console.
7. Quản lý lưu giữ
- Windows Server 2003 có chứa những đặc tính mới và nâng cao khả nǎng
quản lý công việc cất giữ, quản lý và bảo trì đĩa và dung lƣợng đĩa, dự trữ và
phục hồi dữ liệu và kết nối với các Storage Area Network (SAN).
- Terminal Services (các dịch vụ thiết bị đầu cuối)
IV. NHỮNG CẢI TIẾN NÂNG CAO ĐỘ TIN CẬY TRONG SERVER
- Internet Connection Firewall (ICF), tƣờng lửa kết nối Internet)
- IPSec Network Load Balancing (cân bằng tải mạng IPSec)
- Network Access Security với 802.1X (bảo mật truy cập mạng với 802.1X)
- IAS RADIUS Proxy và Load Balancing.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 5
CHƢƠNG 2
CÁC THIẾT BỊ MẠNG
I. CARD MẠNG
1. Card mạng không dây
Hình 1: Card mạng không dây
2. Card TEL9939 Lan Card 10/100Base-TX PCI Adapter
Hình 2: Card mạng
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 6
3. Card 10/100M PCI FAST ETHERNET CARD (Realtek 8139D)
Hình 3: Card mạng
II. REPEATER
- Trong một mạng LAN, giới hạn của cáp mạng là 100m (cho loại cáp mạng
CAT 5 UTP – là cáp đƣợc dùng phổ biến nhất), bởi tín hiệu bị suy hao trên
đƣờng truyền nên không thể đi xa hơn.
- Vì vậy, để có thể kết nối các thiết bị ở xa hơn, mạng cần các thiết bị để
khuếch đại và định thời lại tín hiệu, giúp tín hiệu có thể truyền dẫn đi xa hơn
giới hạn này.
- Repeater là một thiết bị ở lớp 1 (Physical Layer) trong mô hình OSI.
- Repeater có vai trò khuếch đại tín hiệu vật lý ở đầu vào và cung cấp năng
lƣợng cho tín hiệu ở đầu ra để có thể đến đƣợc những chặng đƣờng tiếp theo
trong mạng. Điện tín, điện thoại, truyền thông tin qua sợi quang… và các
nhu cầu truyền tín hiệu đi xa đều cần sử dụng Repeater.
Hình 4: Repeater
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 7
III. HUB
- Hub đƣợc coi là một Repeater có nhiều cổng(port).
- Một Hub có từ 4 đến 24 cổng và có thể còn nhiều hơn.
- Trong phần lớn các trƣờng hợp, Hub đƣợc sử dụng trong các mạng
10BASE-T hay 100BASE-T. Khi cấu hình mạng là hình sao (Star
topology), Hub đóng vai trò là trung tâm của mạng.
- Với một Hub, khi thông tin vào từ một cổng và sẽ đƣợc đƣa đến tất cả các
cổng khác.
- Hub có 2 loại là Active Hub và Smart Hub.
1. Active Hub
Đƣợc dùng phổ biến
Cần đƣợc cấp nguồn khi hoạt động
Đƣợc sử dụng để khuếch đại tín hiệu đến và cho tín hiệu ra
những cổng còn lại, đảm bảo mức tín hiệu cần thiết.
2. Smart Hub (Intelligent Hub)
Có chức năng tƣơng tự nhƣ Active Hub
Có tích hợp thêm chip có khả năng tự động dò lỗi - rất hữu ích
trong trƣờng hợp dò tìm và phát hiện lỗi trong mạng.
Hình 5: Hub
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 8
IV. BRIDGE
- Bridge là thiết bị mạng thuộc lớp 2 của mô hình OSI (Data Link Layer).
- Bridge đƣợc sử dụng để ghép nối 2 mạng để tạo thành một mạng lớn duy
nhất.
- Bridge đƣợc sử dụng phổ biến để làm cầu nối giữa hai mạng Ethernet.
- Bridge quan sát các gói tin (packet) trên mọi mạng. Khi thấy một gói tin từ
một máy tính thuộc mạng này chuyển tới một máy tính trên mạng khác,
Bridge sẽ sao chép và gửi gói tin này tới mạng đích.
1. Ưu điểm
Hoạt động trong suốt, các máy tính thuộc các mạng khác nhau vẫn
có thể gửi các thông tin với nhau mà không cần biết có sự "can
thiệp" của Bridge.
Một Bridge có thể xử lý đƣợc nhiều lƣu thông trên mạng nhƣ
Novell, Banyan... cũng nhƣ là địa chỉ IP cùng một lúc.
2. Nhược điểm
Chỉ kết nối những mạng cùng loại.
Sử dụng Bridge cho những mạng hoạt động nhanh sẽ khó khăn
nếu chúng không nằm gần nhau về mặt vật lý.
Hình 6: Bridge
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 9
V. SWITCH
- Switch đƣợc mô tả nhƣ là một Bridge có nhiều cổng.
- Trong khi Bridge chỉ có 2 cổng để liên kết đƣợc 2 segment mạng với nhau,
thì Switch lại có khả năng kết nối đƣợc nhiều segment lại với nhau tuỳ thuộc
vào số cổng (port) trên Switch.
- Cũng giống nhƣ Bridge, Switch cũng "học" thông tin của mạng thông qua
các gói tin (packet) mà nó nhận đƣợc từ các máy trong mạng.
- Switch sử dụng các thông tin này để xây dựng lên bảng Switch, bảng này
cung cấp thông tin giúp các gói thông tin đến đúng địa chỉ.
- Ngày nay, trong các giao tiếp dữ liệu, Switch thƣờng có 2 chức năng chính
là chuyển các khung dữ liệu từ nguồn đến đích, và xây dựng các bảng
Switching.
- Switch hoạt động ở tốc độ cao hơn nhiều so với Repeater và có thể cung cấp
nhiều chức năng hơn nhƣ khả năng tạo mạng LAN ảo (VLAN).
Hình 7: Switch
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 10
VI. ROUTER
- Router là thiết bị mạng lớp 3 của mô hình OSI (Network Layer).
- Router kết nối hai hay nhiều mạng IP với nhau.
- Các máy tính trên mạng phải nhận biết đƣợc sự tham gia của một router.
- Đối với các mạng IP thì một trong những quy tắc của IP là mọi máy tính kết
nối mạng đều có thể giao tiếp đƣợc với router.
1. Ưu điểm
Về mặt vật lý: Router có thể kết nối với các loại mạng khác lại với
nhau, từ những Ethernet cục bộ tốc độ cao cho đến đƣờng dây điện
thoại đƣờng dài có tốc độ chậm.
2. Nhược điểm
Router chậm hơn Bridge vì chúng đòi hỏi nhiều tính toán hơn để tìm
ra cách dẫn đƣờng cho các gói tin, đặc biệt khi các mạng kết nối với
nhau không cùng tốc độ.
Một mạng hoạt động nhanh có thể phát các gói tin nhanh hơn nhiều so
với một mạng chậm và có thể gây ra sự nghẽn mạng. Do đó, Router có
thể yêu cầu máy tính gửi các gói tin đến chậm hơn.
- Một vấn đề khác là các Router có đặc điểm chuyên biệt theo giao thức - tức
là, cách một máy tính kết nối mạng giao tiếp với một router IP thì sẽ khác
biệt với cách nó giao tiếp với một router Novell hay DECnet.
- Hiện nay vấn đề này đƣợc giải quyết bởi một mạng biết đƣờng dẫn của mọi
loại mạng đƣợc biết đến.
- Tất cả các router thƣơng mại đều có thể xử lý nhiều loại giao thức, thƣờng
với chi phí phụ thêm cho mỗi giao thức.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 11
Hình 8: Router
VII. GATEWAY
- Gateway cho phép nối ghép hai loại giao thức với nhau.
- Ví dụ: Mạng của bạn sử dụng giao thức IP và mạng của ai đó sử dụng giao
thức IPX, Novell, DECnet, SNA... hoặc một giao thức nào đó thì Gateway
sẽ chuyển đổi từ loại giao thức này sang loại khác.
- Qua Gateway, các máy tính trong các mạng sử dụng các giao thức khác nhau
có thể dễ dàng giao tiếp đƣợc với nhau.
- Gateway không chỉ phân biệt các giao thức mà còn còn có thể phân biệt ứng
dụng nhƣ cách bạn chuyển thƣ điện tử từ mạng này sang mạng khác, chuyển
đổi một phiên làm việc từ xa...
Hình 9: Gateway
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 12
CHƢƠNG 3
CÀI ĐẶT WINDOWS SERVER 2003
I. GIỚI THIỆU
- Nhƣ ta đã đƣợc biết hệ điều hành Windows 2000 Server có 3 phiên bản
chính là: Windows 2000 Server, Windows 2000 Advanced Server,
Windows 2000 Datacenter Server. Với mỗi phiên bản Microsoft bổ
sung các tính năng mở rộng cho từng loại dịch vụ.
- Đến khi họ Server 2003 ra đời thì Mircosoft cũng dựa trên tính năng của
từng phiên bản để phân loại do đó có rất nhiều phiên bản của họ Server 2003
đƣợc tung ra thị trƣờng. Nhƣng 4 phiên bản đƣợc sử dụng rộng rãi nhất là:
Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter
Edition, Web Edition.
- Windows Server 2003 hỗ trợ hệ điều hành Windows XP tốt hơn nhƣ:
hiểu đƣợc chính sách nhóm (Group policy) đƣợc thiết lập trong WinXP,
có bộ công cụ quản trị mạng đầy đủ các tính năng chạy trên WinXP.
- Tính năng cơ bản của Mail Server đƣợc tính hợp sẵn: đối với các công ty
nhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể
sử dụng dịch vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003
để làm một hệ thống mail đơn giản phục vụ cho công ty.
- NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trƣờng 2003
này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peer-
to-peer đến các máy bên ngoài Internet, đặt biệt là các thông tin đƣợc truyền
giữa các máy này có thể đƣợc mã hóa hoàn toàn.
- Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa các
gốc rừng với nhau đồng thời việc Backup dữ liệu của Active Directory cũng
dễ dàng hơn.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 13
- Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến
RDP (Remote Desktop Protocol) có thể truyền trên đƣờng truyền
40Kbps. Web Admin cũng ra đời giúp ngƣời dùng quản trị Server từ xa
thông qua một dịch vụ Web một cách trực quan và dễ dàng.
- Hỗ trợ môi trƣờng quản trị Server thông qua dòng lệnh phong phú hơn.
II. YÊU CẦU PHẦN CỨNG
1. Yêu cầu
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 14
2. Tương thích phần cứng
- Một bƣớc quan trọng trƣớc khi nâng cấp hoặc cài đặt mới Server của bạn là
kiểm tra xem phần cứng của máy tính hiện tại có tƣơng thích với sản phẩm
hệ điều hành trong họ Windows Server 2003. Bạn có thể làm việc này bằng
cách chạy chƣơng trình kiểm tra tƣơng thích có sẵn trong đĩa CD hoặc từ
trang Web Catalog. Nếu chạy chƣơng trình kiểm tra từ đĩa CD, tại dấu
nhắc lệnh bạn nhập: \i386\winnt32 /checkupgradeonly.
3. Phân chia ổ đĩa
- Lƣợng không gian cần cấp phát: Bạn phải biết đƣợc không gian chiếm dụng
bởi hệ điều hành, các chƣơng trình ứng dụng, các dữ liệu đã có và sắp phát
sinh.
- Partition system và boot: Khi cài đặt Windows 2003 Server sẽ đƣợc lƣu ở
hai vị trí là: Partition system và Partition boot.
Partition system là nơi chứa các tập tin giúp cho việc khởi
động Windows 2003 Server. Các tập tin này không chiếm nhiều
không gian đĩa. Theo mặc định, partition active của máy tính sẽ
đƣợc chọn làm partition system, vốn thƣờng là ổ đĩa C:
Partition boot là nơi chứa các tập tin của hệ điều hành. Theo mặc
định các tập tin này lƣu trong thƣ mục WINDOWS. Tuy nhiên bạn
có thể chỉ định thƣ mục khác trong quá trình cài đặt. Microsoft
đề nghị partition này nhỏ nhất là 1,5 GB.
- Tiện ích phân chia Partition: nếu bạn định chia partition trƣớc khi cài đặt,
bạn có thể sử dụng nhiều chƣơng trình tiện ích khác nhau, chẳng hạn nhƣ
FDISK hoặc PowerQuest Partition Magic.
- Có thể ban đầu bạn chỉ cần tạo một partition để cài đặt Windows 2003
Server, sau đó sử dụng công cụ Disk Management để tạo thêm các partition
khác.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 15
4. Chọn hệ thống tập tin
- FAT16 (file allocation table): là hệ thống đƣợc sử dụng phổ biến trên các hệ
điều hành DOS và Windows 3.x. Có nhƣợc điểm là partition bị giới
hạn ở kích thƣớc 2GB và không có các tính năng bảo mật nhƣ NTFS.
- FAT32: đƣa ra vào năm 1996 theo bản Windows 95 OEM Service Release 2
(OSR2). Có nhiều ƣu điểm hơn FAT16 nhƣ: hỗ trợ partition lớn đến
2TB. Tuy nhiên FAT32 lại có nhƣợc điểm là không cung cấp các tính năng
bảo mật nhƣ NTFS.
- NTFS: Windows 2003 sử dụng NTFS phiên bản 5. Có các đặc điểm sau: Chỉ
định khả năng an toàn cho từng tập tin, thƣ mục; nén dữ liệu, tăng không
gian lƣu trữ; có thể chỉ định hạn ngạch sử dụng đĩa cho từng ngƣời dùng; có
thể mã hoá các tập tin, nâng cao khả năng bảo mật.
5. Chọn phương thức kết nối mạng
Các giao thức kết nối mạng.
Windows 2003 mặc định chỉ cài một giao thức TCP/IP
Các giao thức nhƣ IPX, AppleTalk là những tùy chọn có thể cài đặt sau nếu
cần thiết.
Riêng giao thức NetBEUI, Windows 2003 không đƣa vào trong các tùy
chọn cài đặt mà chỉ cung cấp kèm theo đĩa CD-ROM cài đặt
Windows 2003 và đƣợc lƣu trong thƣ mục
\VALUEADD\MSFT\NET\NETBEUI.
Thành viên trong Workgroup hoặc Domain.
Nếu máy tính của bạn nằm trong một mạng nhỏ, phân tán hoặc các máy tính
không đƣợc nối mạng với nhau, bạn có thể chọn cho máy tính làm thành
viên của workgroup, đơn giản bạn chỉ cần cho biết tên workgroup là xong.
Nếu hệ thống mạng làm việc theo cơ chế quản lý tập trung, trên mạng đã có
một vài máy Windows Server 2003 sử dụng Active Directory thì bạn có
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 16
thể chọn cho máy tính tham gia domain này. Trong trƣờng hợp này,
bạn phải cho biết tên chính xác của domain cùng với tài khoản (gồm có
username và password) của một ngƣời dùng có quyền bổ sung thêm máy
tính vào domain.
Ví dụ nhƣ tài khoản của ngƣời quản trị mạng (Administrator).
III. CÀI ĐẶT WINDOWS SERVER 2003
1. Giai đoạn Preinstallation
- Sau khi kiểm tra và chắc chắn rằng máy của mình đã hội đủ các điều kiện
để cài đặt Windows 2003 Server, bạn phải chọn một trong các cách sau đây
để bắt đầu quá trình cài đặt.
2. Cài đặt trực tiếp từ đĩa CD Windows 2003
- Nếu máy tính của bạn hỗ trợ tính năng khởi động từ đĩa CD, bạn chỉ cần đặt
đĩa CD vào ổ đĩa và khởi động lại máy tính.
- Lưu ý là bạn phải cấu hình CMOS Setup, chỉ định thiết bị khởi động đầu tiên
là ổ đĩa CDROM. Khi máy tính khởi động lên thì quá trình cài đặt tự động
thi hành, sau đó làm theo những hƣớng dẫn trên màn hình để cài đặt
Windows 2003.
3. Các bước hướng dẫn cài đặt
Giai đoạn Text-Based Setup:
(1) Cấu hình BIOS để máy tính có thể khởi động từ ổ đĩa CD-ROM.
(2) Đƣa đĩa cài đặt Windows 2003 Server vào ổ đĩa CD-ROM và khởi động lại
máy.
(3) Khi máy khởi động từ đĩa CD-ROM sẽ xuất hiện một thông báo “Press any
key to continue…” yêu cầu nhấn một phím bất kỳ để bắt đầu quá trình cài đặt.
(4) Nếu máy có ổ đĩa SCSI thì phải nhấn phím F6 để chỉ Driver của ổ đĩa đó.
(5) Trình cài đặt tiến hành chép các tập tin và driver cần thiết cho quá trình cài
đặt.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 17
(6) Nhấn Enter để bắt đầu cài đặt.
(7) Nhấn phím F8 để chấp nhận thỏa thuận bản quyền và tiếp tục quá trình cài
đặt. Nếu nhấn ESC, thì chƣơng trình cài đặt kết thúc.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 18
(8) Chọn một vùng trống trên ổ đĩa và nhấn phím C để tạo một Partition mới
chứa hệ điều hành.
(9) Nhập vào kích thƣớc của Partition mới và nhấn Enter.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 19
(10) Chọn Partition vừa tạo và nhấn Enter để tiếp tục.
(11) Chọn kiểu hệ thống tập tin (FAT hay NTFS) để định dạng cho partition.
Thông thƣờng chọn: Format the partition using the NTFS file system (Quick).
Nhấn Enter để tiếp tục.
(12) Trình cài đặt sẽ chép các tập tin của hệ điều hành vào partition đã chọn.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 20
(13) Khởi động lại hệ thống để bắt đầu giai đoạn Graphical Based. Trongkhi
khởi động, không nhấn bất kỳ phím nào khi hệ thống yêu cầu “Press any
key to continue…”
Giai đoạn Graphical-Based Setup:
(1) Bắt đầu giai đoạn Graphical, trình cài đặt sẽ cài driver cho các thiết bị mà nó
tìm thấy trong hệ thống.
(2) Tại hộp thoại Regional and Language Options, cho phép chọn các tùy chọn
liên quan đến ngôn ngữ, số đếm, đơn vị tiền tệ, định dạng ngày tháng
năm,….Sau khi đã thay đổi các tùy chọn phù hợp, nhấn Next để tiếp tục.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 21
(3) Tại hộp thoại Personalize Your Software, điền tên ngƣời sử dụng và tên tổ
chức. Nhấn Next.
(4) Tại hộp thoại Your Product Key, điền vào 25 số CD-Key vào 5 ô trống bên
dƣới. Thƣờng đƣợc lƣu trên đĩa cài đặt Windows Server 2003 với tên
CDKEY.TXT) --> chọn Next để tiếp tục cài đặt.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 22
(5) Tại hộp thoại Licensing Mode, chọn chế độ bản quyền là Per Server hoặc
Per Seat tùy thuộc vào tình hình thực tế của mỗi hệ thống mạng.
(6) Tại hộp thoại Computer Name and Administrator Password, điền vào
tên của Server và Password của ngƣời quản trị (Administrator).
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 23
(7) Tại hộp thoại Date and Time Settings, thay đổi ngày, tháng, và múi giờ
(Time zone) cho thích hợp.
(8) Tại hộp thoại Networking Settings, chọn Custom settings để thay đổi
các thông số giao thức TCP/IP. Các thông số này có thể thay đổi lại sau
khi quá trình cài đặt hoàn tất.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 24
(9) Tại hộp thoại Workgroup or Computer Domain, tùy chọn gia nhập Server
vào một Workgroup hay một Domain có sẵn. Nếu muốn gia nhập vào
Domain thì đánh vào tên Domain vào ô bên dƣới.
(10) Sau khi chép đầy đủ các tập tin, quá trình cài đặt kết thúc.
Hệ thống sẽ khởi động lại và hoàn tất việc cài đặt.
Bạn nhấn tổ hợp phím Ctrl-Alt-Del để đăng nhập và sử dụng Windows
Server 2003.
Giao diện windows server 2003
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 25
IV. TỰ ĐỘNG HÓA QUÁ TRÌNH CÀI ĐẶT
- Nếu bạn dự định cài đặt hệ điều hành Windows 2003 Server trên nhiều máy
tính, bạn có thể đến từng máy và tự tay thực hiện quá trình cài đặt nhƣ đã
hƣớng dẫn trong chƣơng trƣớc. Tuy nhiên, chắc chắn công việc này sẽ vô
cùng nhàm chán và không hiệu quả.
- Việc tự động hoá quá trình cài đặt sẽ giúp công việc của bạn trở nên đơn
giản, hiệu quả và ít tốn kém hơn. Có nhiều phƣơng pháp hỗ trợ việc cài đặt
tự động.
- Bạn có thể sử dụng phƣơng pháp dùng ảnh đĩa (disk image)hoặc phƣơng
pháp cài đặt không cần theo dõi (unattended installation) thông qua một
kịch bản (script) hay tập tin trả lời.
1. Tự động hóa dùng tham biến dòng lệnh
- Khi tiến hành cài đặt Windows 2003 Server, ngoài cách khởi động và
cài trực tiếp từ đĩa CD-ROM, còn có thể dùng một trong hai lệnh sau:
Winnt.exe dùng với các máy đang chạy hệ điều hành DOS,
windows 3.x hoặc Windows for workgroup.
Winnt32.exe khi máy đang chạy hệ điều hành Windows9x,
Windows NT hoặc mới hơn.
- Hai lệnh trên đƣợc đặt trong thƣ mục I386 của đĩa cài đặt.
- Sau đây là cú pháp cài đặt từ 2 lệnh trên:
winnt [/s:[sourcepath]] [/t:[tempdrive]] [/u:[answer_file]]
[/udf:id [,UDB_file]].
Ý nghĩa các tham số:
/s : Chỉ rỏ vị trí đặt của bộ nguồn cài đặt (thƣ mục I386). Đƣờng dẫn
phải là dạng đầy đủ, ví dụ: e:\i386 hoặc \\server\i386. Giá trị mặc định là
thƣ mục hiện hành.
/t : Hƣớng chƣơng trình cài đặt đặt thƣ mục tạm vào một ổ đĩa và cài
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 26
Windows vào ổ đĩa đó. Nếu không chỉ định, trình cài đặt sẽ tự xác định.
/u : Cài đặt không cần theo dõi với một tập tin trả lời tự động (kịch bản).
Nếu sử dụng /u thì phải sử dụng /s.
/udf : Chỉ định tên của Server và tập tin cơ sở dữ liệu chứa tên,
các thông tin đặc trƣng cho mỗi máy (unattend.udf).
winnt32 [/checkupgradeonly] [/s:sourcepath]
[/tempdrive:drive_letter:]
[/unattend[num]:[answer_file]]
[/udf:id [,UDB_file]]
Ý nghĩa của các tham số:
/checkupgradeonly : Kiểm tra xem máy có tƣơng thích để nâng cấp và cài
đặt Windows 2003 Server hay không?
/tempdrive: Tƣơng tự nhƣ tham số /t
/unattend : Tƣơng tƣ nhƣ tham số /u
2. Sử dụng Setup Manager để tạo ra tập tin trả lời
- Setup Manager là một tiện ích giúp cho việc tạo các tập tin trả lời sử dụng
trong cài đặt không cần theo dõi. Theo mặc định, Setup Manager không
đƣợc cài đặt, mà đƣợc đặt trong tập tin Deploy.Cab. Chỉ có thể chạy tiện
ích Setup Manager trên các hệ điều hành Windows 2000, Windows
XP, Windows 2003.
- Tạo tập tin trả lời tự động bằng Setup Manager.
(1) Giải nén tập tin Deploy.cab đƣợc lƣu trong thƣ mục Support\Tools trên
đĩa cài đặt Windows 2003.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 27
(2) Thi hành tập tin Setupmgr.exe
(3) Hộp thoại Setup Manager xuất hiện, nhấn Next để tiếp tục.
(4) Xuất hiện hộp thoại New or Existing Answer File. Hộp thoại này cho phép
bạn chỉ định tạo ra một tập tin trả lời mới, một tập tin trả lời phản ánh cấu hình của
máy tính hiện hành hoặc là chỉnh sửa một tập tin sẵn có. Bạn chọn Create new và
nhấn Next.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 28
(5) Tiếp theo là hộp thoại Type of Setup. Chọn Unattended Setup và chọn Next.
(6) Trong hộp thoại Product, chọn hệ điều hành cài đặt sử dụng tập tin trả lời tự
động. Chọn Windows Server 2003, Enterprise Edition, nhấn Next.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 29
(7) Tại hộp thoại User Interaction, chọn mức độ tƣơng tác với trình cài đặt của
ngƣời sử dụng. Chọn Fully Automated, nhấn Next.
(8) Xuất hiện hộp thoại Distribution Share, chọn Setup from a CD, nhấn Next.
(9) Tại hộp thoại License Agreement, đánh dấu vào I accept the terms of …,
nhấn Next.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 30
(10) Tại cửa sổ Setup Manager, chọn mục Name and Organization. Điền tên và
tổ chức sử dụng hệ điều hành. Nhấn Next.
(11) Chọn mục Time Zone / chọn múi giờ (GMT+7:00) Bangkok, Hanoi,
Jarkata. Nhấn Next.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 31
(12) Tại mục Product Key, điền CD-Key vào trong 5 ô trống. Nhấn Next.
(13) Tại mục Licensing Mode, chọn loại bản quyền thích hợp. Nhấn Next.
(14) Tại mục Computer Names, điền tên của các máy dự định cài đặt. Nhấn Next.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 32
(15) Tại mục Administrator Password, nhập vào password của ngƣời quản trị.
Nếu muốn mã hóa password thì đánh dấu chọn vào mục “Encrypt the
Administrator password…”. Nhấn Next.
(16) Tại mục Network Component, cấu hình các thông số cho giao thức TCP/IP
và cài thêm các giao thức. Nhấn Next.
(17) Tại mục Workgroup or Domain, gia nhập máy vào Workgroup hoặc
Domain có sẳn. Nhấn Next.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 33
(18) Cuối cùng, trong thƣ mục đã chỉ định, Setup Manager sẽ tạo ra ba tập tin.
Nếu bạn không thay đổi tên thì các tập tin là:
Unattend.txt: đây là tập tin trả lời, chứa tất cả các câu trả lời mà Setup
Manager thu thập đƣợc.
Unattend.udb: đây là tập tin cơ sở dữ liệu chứa tên các máy tính sẽ đƣợc
cài đặt. Tập tin này chỉ đƣợc tạo ra khi bạn chỉ định danh sách các tập tin và
đƣợc sử dụng khi bạn thực hiện cài đặt không cần theo dõi.
Unattend.bat: chứa dòng lệnh với các tham số đƣợc thiết lập sẵn. Tập tin
này cũng thiết lập các biến môi trƣờng chỉ định vị trí các tập tin liên quan.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 34
CHƢƠNG 4
ACTIVE DIRECTORY
I. CÁC MÔ HÌNH MẠNG TRONG MÔI TRƢỜNG MICROSOFT
1. Mô hình mạng Workgroup
- Còn gọi là mô hình mạng peer-to-peer, là mô hình mà trong đó các máy tính
có vai trò nhƣ nhau đƣợc nối kết với nhau. Các dữ liệu và tài nguyên đƣợc
lƣu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên cục bộ
của mình.
- Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản
lý hệ thống mạng.
- Mô hình này chỉ phù hợp với các mạng nhỏ, dƣới 10 máy tính và yêu cầu
bảo mật không cao.
- Do thông tin ngƣời dùng đƣợc lƣu trữ cục bộ trên các máy trạm nên việc
chứng thực ngƣời dùng đăng nhập máy tính cũng do các máy tính này tự
chứng thực.
2. Mô hình Domain
- Mô hình Domain hoạt động theo cơ chế client-server
- Trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển
vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động
của hệ thống mạng.
- Việc chứng thực ngƣời dùng và quản lý tài nguyên mạng đƣợc tập
trung lại tại các Server trong miền.
- Mô hình này đƣợc áp dụng cho các công ty vừa và lớn.
- Trong mô hình Domain của Windows Server 2003 thì các thông tin ngƣời
dùng đƣợc tập trung lại do dịch vụ Active Directory quản lý và đƣợc lƣu trữ
trên máy tính điều khiển vùng (domain controller) với tên tập tin là
NTDS.DIT.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 35
- Do các thông tin ngƣời dùng đƣợc lƣu trữ tập trung nên việc chứng thực
ngƣời dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng
chứng thực
II. ACTIVE DIRECTORY
1. Giới thiệu Active Directory
- Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng
(còn gọi là đối tƣợng) cũng nhƣ các thông tin liên quan đến các đối tƣợng
đó.
- Active Directory cung cấp một mức độ ứng dụng mới cho môi trƣờng xí
nghiệp. Dịch vụ thƣ mục trong mỗi domain có thể lƣu trữ hơn mƣời triệu
đối tƣợng, đủ để phục vụ mƣời triệu ngƣời dùng trong mỗi domain.
2. Chức năng của Active Directory
- Lƣu giữ một danh sách tập trung các tên tài khoản ngƣời dùng, mật khẩu
tƣơng ứng và các tài khoản máy tính.
- Cung cấp một Server đóng vai trò chứng thực (authentication server)
hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là
domain controller (máy điều khiển vùng).
- Duy trì một bảng hƣớng dẫn hoặc một bảng chỉ mục (index) giúp các
máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các
máy tính khác trong vùng.
- Cho phép chúng ta tạo ra những tài khoản ngƣời dùng với những mức độ
quyền (rights) khác nhau nhƣ: toàn quyền trên hệ thống mạng, chỉ có
quyền backup dữ liệu hay shutdown Server từ xa…
- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con
(subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó
chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ
phận nhỏ.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 36
3. Thành phần trong Directory Services
a. Object (đối tƣợng)
- Trong hệ thống cơ sở dữ liệu, đối tƣợng bao gồm các máy in, ngƣời dùng
mạng, các server, các máy trạm, các thƣ mục dùng chung, dịch vụ mạng,
… Đối tƣợng chính là thành tố căn bản nhất của dịch vụ danh bạ.
b. Attribute (thuộc tính)
- Một thuộc tính mô tả một đối tƣợng. Ví dụ, mật khẩu và tên là thuộc tính
của đối tƣợng ngƣời dùng mạng.
- Các đối tƣợng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên,
các đối tƣợng khác nhau cũng có thể có một số thuộc tính giống nhau.
Lấy ví dụ nhƣ một máy in và một máy trạm cả hai đều có một thuộc tính
là địa chỉ IP.
c. Schema (cấu trúc tổ chức).
- Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại
đối tƣợng nào đó. Ví dụ, cho rằng tất cả các đối tƣợng máy in đều đƣợc
định nghĩa bằng các thuộc tính tên, loại PDL và tốc độ.
- Danh sách các đối tƣợng này hình thành nên schema cho lớp đối tƣợng
“máy in”. Schema có đặc tính là tuỳ biến đƣợc, nghĩa là các thuộc tính
dùng để định nghĩa một lớp đối tƣợng có thể sửa đổi đƣợc.
- Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ Active
Directory.
d. Container (vật chứa).
- Vật chứa, tƣơng tự với khái niệm thƣ mục trong Windows. Một thƣ mục
có thể chứa các tập tin và các thƣ mục khác. Trong Active Directory,
một vật chứa có thể chứa các đối tƣợng và các vật chứa khác.
- Vật chứa cũng có các thuộc tính nhƣ đối tƣợng mặc dù vật chứa không
thể hiện một thực thể thật sự nào đó nhƣ đối tƣợng. Có ba loại vật chứa.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 37
Domain: khái niệm này đƣợc trình bày chi tiết ở phần sau.
Site: Là một vị trí. Site đƣợc dùng để phân biệt giữa các vị trí cục bộ
và các vị trí xa xôi. Ví dụ, công ty Computer_A có công ty tổng đặt ở
HCM, một chi nhánh đặt ở Biên Hòa và một văn phòng đại diện đặt ở
Long Khánh kết nối về công ty tổng bằng Dialup Networking. Nhƣ
vậy hệ thống mạng chúng ta có đƣợc ba site.
OU (Organizational Unit): là một loại vật chứa mà bạn có thể đƣa
vào đó ngƣời dùng, nhóm, máy tính và những OU khác.
Bạn nên sử dụng OU để giảm thiểu số lƣợng domain cần phải thiết lập
trên hệ thống.
e. Global Catalog
- Dịch vụ Global Catalog dùng để xác định vị trí của một đối tƣợng mà
ngƣời dùng đƣợc cấp quyền truy cập. Việc tìm kiếm đƣợc thực hiện xa
hơn những gì đã có trong Windows NT và không chỉ có thể định vị
đƣợc đối tƣợng bằng tên mà có thể bằng cả những thuộc tính của đối
tƣợng.
- Ví dụ: Giả sử bạn nhận đƣợc một thƣ thoại từ một ngƣời tên Marry ở
bộ phận kế toán. Đoạn thƣ thoại của cô ta bị cắt xén và bạn không thể
biết đƣợc số điện thoại của cô ta. Bạn có thể dùng Global Catalog để
tìm thông tin về cô ta nhờ tên, và nhờ đó bạn có đƣợc số điện thoại
của cô ta.
- Khi một đối tƣợng đƣợc tạo mới trong Active Directory, đối tƣợng
đƣợc gán một con số phân biệt gọi là: GUID(Global Unique
Identifier). GUID của một đối tƣợng luôn luôn cố định cho dù bạn có
di chuyển đối tƣợng đi đến khu vực khác.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 38
4. Kiến trúc của Active Directory
a. Objects.
- Trƣớc khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trƣớc hai
khái niệm Object classes và Attributes.
Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho
các loại đối tƣợng mà bạn có thể tạo ra trong Active Directory. Có
ba loại object classes thông dụng là: User, Computer, Printer.
Attributes, nó đƣợc định nghĩa là tập các giá trị phù hợp và đƣợc
kết hợp với một đối tƣợng cụ thể.
- Nhƣ vậy Object là một đối tƣợng duy nhất đƣợc định nghĩa bởi các
giá trị đƣợc gán cho các thuộc tính của object classes. Ví dụ hình sau
minh họa hai đối tƣợng là: máy in ColorPrinter1 và ngƣời dùng
KimYoshida.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 39
b. Organizational Units.
- Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó
đƣợc xem là một vật chứa các đối tƣợng (Object) đƣợc dùng để sắp
xếp các đối tƣợng khác nhau phục vụ cho mục đích quản trị của bạn.
- OU cũng đƣợc thiết lập dựa trên subnet IP và đƣợc định nghĩa là “một
hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công
dụng chính sau:
Trao quyền kiếm soát một tập hợp các tài khoản ngƣời dùng, máy
tính hay các thiết bị mạng cho một nhóm ngƣời hay một phụ tá
quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác
quản trị cho ngƣời quản trị toàn bộ hệ thống.
Kiểm soát và khóa bớt một số chức năng trên các máy trạm của
ngƣời dùng trong OU thông qua việc sử dụng các đối tƣợng chính
sách nhóm (GPO).
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 40
c. Domain.
- Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active
Directory. Nó là phƣơng tiện để qui định một tập hợp những ngƣời dùng,
máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó
giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn.
- Domain đáp ứng ba chức năng chính sau:
Đóng vai trò nhƣ một khu vực quản trị (administrative boundary)
các đối tƣợng, là một tập hợpcác định nghĩa quản trị cho các đối
tƣợng chia sẻ nhƣ: có chung một cơ sở dữ liệu thƣ mục, các chính
sách bảo mật, các quan hệ ủy quyền với các domain khác.
Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.
Cung cấp các Server dự phòng làm chức năng điều khiển vùng
(domain controller), đồng thời đảm bảo các thông tin trên các
Server này đƣợc đƣợc đồng bộ với nhau.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 41
d. Domain Tree.
- Domain Tree là cấu trúc bao gồm nhiều domain đƣợc sắp xếp có cấp
bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên đƣợc gọi là domain
root và nằm ở gốc của cây thƣ mục.
- Tất cả các domain tạo ra sau sẽ nằm bên dƣới domain root và đƣợc
gọi là domain con (child domain). Tên của các domain con phải khác
biệt nhau.
- Khi một domain root và ít nhất một domain con đƣợc tạo ra thì hình
thành một cây domain.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 42
e. Forest.
- Forest (rừng) đƣợc xây dựng trên một hoặc nhiều Domain Tree, nói
cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ
và ủy quyền cho nhau.
- Ví dụ giả sử một công ty nào đó, chẳng hạn nhƣ Microsoft, thu mua
một công ty khác. Thông thƣờng, mỗi công ty đều có một hệ thống
Domain Tree riêng và để tiện quản lý, các cây này sẽ đƣợc hợp nhất
với nhau bằng một khái niệm là rừng.
III. CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY
1. Nâng cấp Server thành Domain Controller
- Một khái niệm không thay đổi từ Windows NT 4.0 là domain. Một domain
vẫn còn là trung tâm của mạng Windows 2000 và Windows 2003, tuy nhiên
lại đƣợc thiết lập khác đi.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 43
- Các máy điều khiển vùng (domain controller – DC) không còn phân biệt là
PDC (Primary Domain Controller) hoặc là BDC (Backup Domain
Controller).
- Bây giờ, đơn giản chỉ còn là DC. Theo mặc định, tất cả các máy
Windows Server 2003 khi mới cài đặt đều là Server độc lập.
- Chƣơng trình DCPROMO chính là Active Directory Installation Wizard và
đƣợc dùng để nâng cấp một máy không phải là DC (Server Stand-alone)
thành một máy DC và ngƣợc lại giáng cấp một máy DC thành một Server
bình thƣờng.
- Chú ý đối với Windows Server 2003 thì bạn có thể đổi tên máy tính khi đã
nâng cấp thành DC. Trƣớc khi nâng cấp Server thành Domain Controller,
bạn cần khai báo đầy đủ các thông số TCP/IP, đặc biệt là phải khai báo DNS
Server có địa chỉ chính là địa chỉ IP của Server cần nâng cấp.
- Nếu bạn có khả năng cấu hình dịch vụ DNS thì bạn nên cài đặt dịch vụ này
trƣớc khi nâng cấp Server, còn ngƣợc lại thì bạn chọn cài đặt DNS tự
động trong quá trình nâng cấp.
- Có hai cách để bạn chạychƣơng trình Active Directory Installation
Wizard: bạn dùng tiện ích Manage Your Server trong Administrative
Tools hoặc nhấp chuột vào Start/ Run, gõ lệnh DCPROMO.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 44
2. Các bước cài đặt
Chọn menu Start / Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK.
Khi đó hộp thoại Active Directory Installation Wizard xuất hiện. Bạn nhấn Next
để tiếp tục.
Chƣơng trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và WinNT SP3
trở về trƣớc sẽ bị loại ra khỏi miền Active Directory dựa trên Windows Server
2003. Bạn chọn Next để tiếp tục.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 45
Trong hộp thoại Domain Controller Type, chọn mục Domain Controller for a
New Domain và nhấn chọn Next. (Nếu bạn muốn bổ sung máy điều khiển vùng
vào một domain có sẵn, bạn sẽ chọn Additional domain cotroller for an existing
domain).
Đến đây chƣơng trình cho phép bạn chọn một trong ba lựa chọn sau:
Chọn Domain in new forest nếu bạn muốn tạo domain đầu tiên.
Chọn Child domain in an existing domain tree nếu bạn muốn tạo ra một
domain con dựa trên một cây domain có sẵn.
Chọn Domain tree in an existing forest nếu bạn muốn tạo ra một cây
domain mới trong một rừng đã có sẵn.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 46
Hộp thoại New Domain Name yêu cầu bạn tên DNS đầy đủ của domain mà bạn
cần xây dựng .
Hộp thoại NetBIOS Domain Name, yêu cầu bạn cho biết tên domain theo chuẩn
NetBIOS để tƣơng thích với các máy Windows NT. Theo mặc định, tên Domain
NetBIOS giống phần đầu của tên Full DNS, bạn có thể đổi sang tên khác hoặc
chấp nhận giá trị mặc định. Chọn Next để tiếp tục.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 47
Hộp thoại Database and Log Locations cho phép bạn chỉ định vị trí lƣu trữ
database Active Directory và các tập tin log. Bạn có thể chỉ định vị trí khác hoặc
chấp nhận giá trị mặc định.Tuy nhiên theo khuyến cáo của các nhà quản trị mạng
thì chúng ta nên đặt tập tin chứa thông tin giao dịch (transaction log) ở một đĩa
cứng vật lý khác với đĩa cứng chứa cơ sở dữ liệu của Active Directory nhằm tăng
hiệu năng của hệ thống.
Bạn chọn Next để tiếp tục.
Hộp thoại Shared System Volume cho phép bạn chỉ định ví trí của thƣ mục
SYSVOL. Thƣ mục này phải nằm trên một NTFS5 Volume.
Tất cả dữ liệu đặt trong thƣ mục Sysvol này sẽ đƣợc tự động sao chép sang các
Domain Controller khác trong miền. Bạn có thể chấp nhận giá trị mặc định hoặc
chỉ định ví trí khác, sau đó chọn Next tiếp tục.
(Nếu partition không sử dụng định dạng NTFS5, bạn sẽ thấy một thông báo lỗi
yêu cầu phải đổi hệ thống tập tin).
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 48
DNS là dịch vụ phân giải tên kết hợp với Active Directory để phân giải tên các
máy tính trong miền. Do đó để Active Directory hoạt động đƣợc thì trong miền
phải có ít nhất một DNS Server phân giải miền mà chúng ta cần thiết lập.
Chú ý: theo đúng lý thuyết thì chúng ta phải cài đặt và cấu hình dịch vụ DNS hoàn
chỉnh trƣớc khi nâng cấp Server. Trong hộp thoại xuất hiện bạn chọn lựa chọn thứ
hai để hệ thống tự động cài đặt và cấu hình dịch vụ DNS.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 49
Trong hộp thoại Permissions,
Bạn chọn giá trị Permission Compatible with pre-Windows 2000 servers
khi hệ thống có các Server phiên bản trƣớc Windows 2000
Chọn Permissions compatible only with Windows 2000 or Windows
Server 2003 khi hệ thống của bạn chỉ toàn các Server Windows 2000 và
Windows Server 2003.
Trong hộp thoại Directory Services Restore Mode Administrator Password,
bạn sẽ chỉ định mật khẩu dùng trong trƣờng hợp Server phải khởi động vào chế độ
Directory Services Restore Mode. Nhấn chọn Next để tiếp tục.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 50
Hộp thoại Summary xuất hiện, trình bày tất cả các thông tin bạn đã chọn. Nếu tất
cả đều chính xác, bạn nhấn Next để bắt đầu thực hiện quá trình cài đặt, nếu có
thông tin không chính xác thì bạn chọn Back để quay lại các bƣớc trƣớc đó.
Hộp thoại Configuring Active Directory cho bạn biết quá trình cài đặt đang thực
hiện những gì. Quá trình này sẽ chiếm nhiều thời gian. Chƣơng trình cài đặt cũng
yêu cầu bạn cung cấp nguồn cài đặt Windows Server 2003 để tiến hành sao chép
các tập tin nếu tìm không thấy.
Sau khi quá trình cài đặt kết thúc, hộp thoại Completing the Active Directory
Installation Wizard xuất hiện. Bạn nhấn chọn Finish để kết thúc.
Cuối cùng, bạn đƣợc yêu cầu phải khởi động lại máy thì các thông tin cài đặt mới
bắt đầu có hiệu lực. Bạn nhấn chọn nút Restart Now để khởi động lại.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 51
3. Gia nhập máy trạm vào Domain
a. Giới thiệu
- Một máy trạm gia nhập vào một domain thực sự là việc tạo ra một mối quan
hệ tin cậy (trust relationship) giữa máy trạm đó với các máy Domain
Controller trong vùng.
- Sau khi đã thiết lập quan hệ tin cậy thì việc chứng thực ngƣời dùng logon
vào mạng trên máy trạm này sẽ do các máy điều khiển vùng đảm nhiệm.
- Khi bạn muốn gia nhập một máy trạm vào miền, bạn phải đăng nhập cục bộ
vào máy trạm với vai trò là Administrator, sau đó gia nhập vào miền, hệ
thống sẽ yêu cầu bạn xác thực bằng một tài khoản ngƣời dùng cấp miền có
quyền Add Workstation to Domain (bạn có thể dùng trực tiếp tài khoản
Administrator cấp miền).
b. Các bƣớc cài đặt
- Đăng nhập cục bộ vào máy trạm với vai trò ngƣời quản trị (có thể dùng trực
tiếp tài khoản Administrator)
- Nhấp phải chuột trên biểu tƣợng My Computer, chọn Properties, hộp thoại
System Properties xuất hiện, trong Tab Computer Name, bạn nhấp chuột
vào nút Change. Hộp thoại nhập liệu xuất hiện bạn nhập tên miền của mạng
cần gia nhập vào mục Member of Domain.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 52
- Máy trạm dựa trên tên miền mà bạn đã khai báo để tìm đến Domain
Controller gần nhất và xin gia nhập vào mạng, Server sẽ yêu cầu bạn xác
thực với một tài khoản ngƣời dùng cấp miền có quyền quản trị.
- Sau khi xác thực chính xác và hệ thống chấp nhận máy trạm này gia nhập
vào Domain thì hệ thống xuất hiện thông báo thành công và yêu cầu bạn
reboot máy lại để đăng nhập vào mạng.
- Đến đây, bạn thấy hộp thoại Log on to Windows mà bạn dùng mỗi ngày có
vài điều khác, đó là xuất hiện thêm mục Log on to, và cho phép bạn chọn
một trong hai phần là: NETCLASS, This Computer.
Bạn chọn mục NETCLASS khi bạn muốn đăng nhập vào miền, nhớ
rằng lúc này bạn phải dùng tài khoản ngƣời dùng cấp miền.
Bạn chọn mục This Computer khi bạn muốn logon cục bộ vào máy
trạm nào và nhớ dùng tài khoản cục bộ của máy.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 53
4. Xây dựng các Domain Controller đồng hành
a. Giới thiệu
- Domain Controller là máy tính điều khiển mọi hoạt động của mạng nếu
máy này có sự cố thì toàn bộ hệ thống mạng bị tê liệt.
- Do tính năng quan trọng này nên trong một hệ thống mạng thông thƣờng
chúng ta phải xây dựng ít nhất hai máy tính Domain Controller.
- Windows Server 2003 không còn phân biệt máy Primary Domain
Controller và Backup Domain Controller nữa, mà nó xem hai máy này có
vai trò ngang nhau, cùng nhau tham gia chứng thực ngƣời dùng.
- Nhƣ chúng ta đã biết, công việc chứng thực đăng nhập thƣờng đƣợc thực
hiện vào đầu giờ mỗi buổi làm việc,
Thực tế: Nếu mạng của bạn chỉ có một máy điều khiển và 10.000 nhân viên
thì chuyện gì sẽ xảy ra vào mỗi buổi sáng? Để giải quyết trƣờng hợp trên,
Microsoft cho phép các máy điều khiển vùng trong mạng cùng nhau hoạt
động đồng thời, chia sẻ công việc của nhau, khi có một máy bị sự cố thì các
máy còn lại đảm nhiệm luôn công việc máy này. Do đó trong tài liệu này
chúng tôi gọi các máy này là các máy điều khiển vùng đồng hành.
b. Các bƣớc cài đặt Domain Controller đồng hành
Chọn menu Start / Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK.
Khi đó hộp thoại Active Directory Installation Wizard xuất hiện. Bạn nhấn Next
để tiếp tục.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 54
Chƣơng trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và WinNT SP3
trở về trƣớc sẽ bị loại ra khỏi miền Active Directory dựa trên Windows Server
2003. Bạn chọn Next để tiếp tục.
Trong hộp thoại Domain Controller Type, chọn mục Additional domain
cotroller for an existing domain và nhấn chọn Next, vì chúng ta muốn bổ sung
thêm máy điều khiển vùng vào một domain có sẵn.
Tiếp theo hệ thống yêu cầu bạn xác thực bạn phải ngƣời quản trị cấp miền thì mới
có quyền tạo các Domain Controller. Bạn nhập tài khoản ngƣời dùng có quyền
quản trị vào hộp thoại này.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 55
Chƣơng trình yêu cầu bạn nhập Full DNS Name của miền mà bạn cần tạo thêm
Domain Controller.
Tƣơng tự nhƣ quá trình nâng cấp Server thành Domain Controller đã trình bày ở
trên, các bƣớc tiếp theo chúng ta chỉ định thƣ mục chứa cơ sở dữ liệu của Active
Directory, Transaction Log và thƣ mục Sysvol.
Hộp thoại Summary xuất hiện, trình bày tất cả các thông tin bạn đã chọn. Nếu tất
cả đều chính xác, bạn nhấn Next để bắt đầu thực hiện quá trình cài đặt, nếu có
thông tin không chính xác thì bạn chọn Back để quay lại các bƣớc trƣớc đó.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 56
Đến đây hệ thống sẽ xây dựng một Domain Controller mới và đồng bộ dữ liệu
Active Directory giữa hai Domain Controller này.
Sau khi quá trình cài đặt kết thúc, hộp thoại Completing the Active Directory
Installation Wizard xuất hiện. Bạn nhấn chọn Finish để kết thúc.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 57
Cuối cùng, bạn đƣợc yêu cầu phải khởi động lại máy thì các thông tin cài đặt mới
bắt đầu có hiệu lực. Bạn nhấn chọn nút Restart Now để khởi động lại. Quá trình
xây dựng thêm một Domain Controller đồng hành đã hoàn tất.
5. Xây dựng Subdomain
- Sau khi bạn đã xây dựng Domain Controller đầu tiên quản lý miền, lúc ấy
Domain Controller này là một gốc của rừng hoặc Domain Tree đầu tiên
- Từ đây bạn có thể tạo thêm các subdomain cho hệ thống. Để tạo thêm một
Domain Controller cho một subdomain bạn làm các bƣớc sau:
Tại member server, bạn cũng chạy chƣơng trình Active Directory
Installation Wizard, các bƣớc đầu bạn cũng chọn tƣơng tự nhƣ phần
nâng cấp phía trên.
Trong hộp thoại Domain Controller Type, chọn mục Domain
Controller for a New Domain và nhấn chọn Next. (Nếu bạn muốn
bổ sung máy điều khiển vùng vào một domain có sẵn, bạn sẽ chọn
Additional domain cotroller for an existing domain.)
- Đến đây chƣơng trình cho phép bạn chọn một trong ba lựa chọn sau.
Chọn Domain in new forest nếu bạn muốn tạo domain đầu tiên trong
một rừng mới.
Chọn Child domain in an existing domain tree nếu bạn muốn tạo ra
một domain con dựa trên một cây domain có sẵn.
Chọn Domain tree in an existing forest nếu bạn muốn tạo ra một cây
domain mới trong một rừng đã có sẵn.
- Trong trƣờng hợp này bạn cần tạo một Domain Controller cho một Child
domain, nên bạn đánh dấu vào mục lựa chọn thứ hai.
(Phần này sẽ đƣợc hƣớng dẫn cho học sinh lúc thực hành)
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 58
6. Xây dựng Organizational Unit
- OU(Organizational Unit): là một nhóm tài khoản ngƣời dùng, máy tính và
tài nguyên mạng đƣợc tạo ra nhằm mục đích dễ dàng quản lý hơn và ủy
quyền cho các quản trị viên địa phƣơng giải quyết các công việc đơn giản.
- Đặc biệt hơn là thông qua OU chúng ta có thể áp đặt các giới hạn phần mềm
và giới hạn phần cứng thông qua các Group Policy.
- Để xây dựng một OU thực hiện các bƣớc sau:
Chọn menu Start / Programs / Administrative Tools / Active
Directory User and Computer, để mở chƣơng trình Active Directory
User and Computer.
Chƣơng trình mở ra, bạn nhấp phải chuột trên tên miền và chọn New-
Organizational Unit.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 59
Hộp thoại xuất hiện, yêu cầu chúng ta nhập tên OU cần tạo, trong ví dụ này OU
cần tạo có tên là HocVien.
Đƣa các máy trạm đã gia nhập nhập mạng cần quản lý vào OU vừa tạo.
Tiếp theo bạn đƣa các tài khoản ngƣời dùng cần quản lý vào OU vừa tạo.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 60
Sau khi đã đƣa các máy tính và tài khoản ngƣời dùng vào OU, bƣớc tiếp theo là
bạn chỉ ra ngƣời nào hoặc nhóm nào sẽ quản lý OU này.
Bạn nhấp phải chuột vào OU vừa tạo, chọn Properties, hộp thoại xuất hiện, trong
Tab Managed By, bạn nhấp chuột vào nút Change để chọn ngƣời dùng quản lý
OU này, trong ví dụ này chúng ta chọn tài khoản Thanh quản lý OU.
Bạn vào Tab Group Policy, nhấp chuột vào nút New để tạo mới một GPO, sau
đó nhấp chuột vào nút Edit để hiệu chỉnh chính sách.
Phần GPO sẽ được giới thiệu chương sau.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 61
CHƢƠNG 5
QUẢN LÝ TÀI KHOẢN NGƢỜI DÙNG VÀ NHÓM
I. ĐỊNH NGHĨA TÀI KHOẢN NGƢỜI DÙNG VÀ TÀI KHOẢN NHÓM
1. Tài khoản người dùng (user Account)
Là một đối tƣợng quan trọng đại diện cho ngƣời dùng trên mạng,
chúng đƣợc phân biệt với nhau thông qua chuỗi nhận dạng username.
Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa ngƣời này và
ngƣời khác trên mạng từ đó ngƣời dùng có thể đăng nhập vào mạng và truy
cập các tài nguyên mạng mà mình đƣợc phép.
a. Tài khoản ngƣời dùng cục bộ
Tài khoản ngƣời dùng cục bộ (local user account) là tài khoản ngƣời
dùng đƣợc định nghĩa trên máy cục bộ và chỉ đƣợc phép logon, truy cập
các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên
trên mạng thì ngƣời dùng này phải chứng thực lại với máy domain
controller hoặc máy tính chứa tài nguyên chia sẻ.
b. Tài khoản ngƣời dùng miền
Tài khoản ngƣời dùng miền (domain user account) là tài khoản
ngƣời dùng đƣợc định nghĩa trên Active Directory và đƣợc phép đăng
nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời
với tài khoản này ngƣời dùng có thể truy cập đến các tài nguyên trên
mạng.
c. Yêu cầu về tài khoản ngƣời dùng
Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003
thì tên đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập
từ các máy cài hệ điều hành Windows NT 4.0 về trƣớc thì mặc
định chỉ hiểu 20 ký tự).
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 62
Mỗi username là chuỗi duy nhất của mỗi ngƣời dùng có nghĩa là
tất cả tên của ngƣời dùng và nhóm không đƣợc trùng nhau.
Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu
chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dƣới.
2. Tài khoản nhóm
Tài khoản nhóm (group account) là một đối tƣợng đại diện cho một
nhóm ngƣời nào đó, dùng cho việc quản lý chung các đối tƣợng ngƣời
dùng. Việc phân bổ các ngƣời dùng vào nhóm giúp chúng ta dễ dàng cấp
quyền trên các tài nguyên mạng nhƣ thƣ mục chia sẻ, máy in. Chú ý là tài
khoản ngƣời dùng có thể đăng nhập vào mạng nhƣng tài khoản nhóm
không đƣợc phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm
đƣợc chia làm hai loại: nhóm bảo mật (security group) và nhóm phân
phối (distribution group).
a. Nhóm bảo mật.
Nhóm bảo mật là loại nhóm đƣợc dùng để cấp phát các quyền hệ
thống (rights) và quyền truy cập (permission). Giống nhƣ các tài
khoản ngƣời dùng, các nhóm bảo mật đều đƣợc chỉ định các SID. Có
ba loại nhóm bảo mật chính là: local, global và universal. Tuy nhiên
nếu chúng ta khảo sát kỹ thì có thể phân thành bốn loại nhƣ sau:
local, domain local, global và universal.
Local group (nhóm cục bộ) là loại nhóm có trên các máy stand-
alone Server, member server, Win2K Pro hay WinXP. Các nhóm cục bộ
này chỉ có ý nghĩa và phạm vi hoạt động ngay tại trên máy chứa nó thôi.
Domain local group (nhóm cục bộ miền) là loại nhóm cục bộ đặc biệt vì
chúng là local group nhƣng nằm trên máy Domain Controller. Các máy
Domain Controller có một cơ sở dữ liệu Active Directory chung và
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 63
đƣợc sao chép đồng bộ với nhau do đó một local group trên một
Domain Controller này thì cũng sẽ có mặt trên các Domain Controller anh
em của nó, nhƣ vậy local group này có mặt trên miền nên đƣợc gọi với cái
tên nhóm cục bộ miền. Các nhóm trong mục Built-in của Active Directory là
các domain local.
Global group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong
Active Directory và đƣợc tạo trên các Domain Controller. Chúng dùng để
cấp phát những quyền hệ thống và quyền truy cập vƣợt qua những ranh giới
của một miền. Một nhóm global có thể đặt vào trong một nhóm local của các
server thành viên trong miền. Chú ý khi tạo nhiều nhóm global thì có thể
làm tăng tải trọng công việc của Global Catalog.
Universal group (nhóm phổ quát) là loại nhóm có chức năng giống nhƣ
global group nhƣng nó dùng để cấp quyền cho các đối tƣợng trên khắp các
miền trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau.
Loại nhóm này tiện lợi hơn hai nhóm global group và local group vì chúng
dễ dàng lồng các nhóm vào nhau. Nhƣng chú ý là loại nhóm này chỉ có thể
dùng đƣợc khi hệ thống của bạn phải hoạt động ở chế độ Windows
2000 native functional level hoặc Windows Server 2003 functional level
có nghĩa là tất cả các máy Domain Controller trong mạng đều phải
là Windows Server 2003 hoặc Windows 2000 Server.
b. Nhóm phân phối
Nhóm phân phối là một loại nhóm phi bảo mật, không có SID và không
xuất hiện trong các ACL(Access Control List). Loại nhóm này không đƣợc dùng
bởi các nhà quản trị mà đƣợc dùng bởi các phần mềm và dịch vụ. Chúng đƣợc
dùng để phân phối thƣ (e-mail) hoặc các tin nhắn (message).
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 64
II. CHỨNG THỰC VÀ KIỄM SOÁT TRUY CẬP
1. Các giao thức chứng thực
Chứng thực trong Windows Server 2003 là quy trình gồm hai giai đoạn:
đăng nhập và chứng thực.
Khi ngƣời dùng đăng nhập vùng bằng tên và mật mã, quy trình đăng nhập tƣơng
tác sẽ phê chuẩn yêu cầu truy cập của ngƣời dùng. Với tài khoản cục bộ, thông tin
đăng nhập đƣợc chứng thực cục bộ và ngƣời dùng đƣợc cấp quyền truy cập máy
tính cục bộ. Với tài khoản miền, thông tin đăng nhập đƣợc chứng thực trên Active
Directory và ngƣời dùng có quyền truy cập các tài nguyên trên mạng. Nhƣ vậy với
tài khoản ngƣời dùng miền ta có thể chứng thực trên bất kỳ máy tính nào trong
miền. Windows 2003 hỗ trợ nhiều giao thức chứng thực mạng, nổi bật nhất là:
- Kerberos V5: là giao thức chuẩn Internet dùng để chứng thực ngƣời dùng và hệ
thống.
- NT LAN Manager (NTLM): là giao thức chứng thực chính của Windows NT.
- Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơ chế chứng
thực chính đƣợc dùng khi truy cập vào máy phục vụ Web an toàn.
2. Số nhận diện bảo mật SID
Tuy hệ thống Windows Server 2003 dựa vào tài khoản ngƣời dùng (user
account) để mô tả các quyền hệ thống (rights) và quyền truy cập (permission)
nhƣng thực sự bên trong hệ thống mỗi tài khoản đƣợc đặc trƣng bởi một con số
nhận dạng bảo mật SID (Security Identifier). SID là thành phần nhận dạng không
trùng lặp, đƣợc hệ thống tạo ra đồng thời với tài khoản và dùng riêng cho hệ thống
xử lý, ngƣời dùng không quan tâm đến các giá trị này. SID bao gồm phần SID
vùng cộng thêm với một RID của ngƣời dùng không trùng lặp. SID có dạng chuẩn
“S-1-5-21-D1-D2-D3-RID”, khi đó tất cả các SID trong miền đều có cùng giá trị
D1, D2, D3, nhƣng giá trị RID là khác nhau. Hai mục đích chính của việc hệ thống
sử dụng SID là:
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 65
- Dễ dàng thay đổi tên tài khoản ngƣời dùng mà các quyền hệ thống và quyền
truy cập không thay đổi.
- Khi xóa một tài khoản thì SID của tài khoản đó không còn giá trị nữa, nếu
chúng ta có tạo một tài khoản mới cùng tên với tài khoản vừa xóa thì các quyền cũ
cũng không sử dụng đƣợc bởi vì khi tạo tài khoản mới thì giá trị SID của tài khoản
này là một giá trị mới.
3. Kiểm soát hoạt động truy cập của đối tượng
Active Directory là dịch vụ hoạt động dựa trên các đối tƣợng, có nghĩa là ngƣời
dùng, nhóm, máy tính, các tài nguyên mạng đều đƣợc định nghĩa dƣới dạng đối
tƣợng và đƣợc kiểm soát hoạt động truy cập dựa vào bộ mô tả bảo mật ACE. Chức
năng của bộ mô tả bảo mật bao gồm:
- Liệt kê ngƣời dùng và nhóm nào đƣợc cấp quyền truy cập đối tƣợng.
- Định rõ quyền truy cập cho ngƣời dùng và nhóm.
- Theo dõi các sự kiện xảy ra trên đối tƣợng.
- Định rõ quyền sở hữu của đối tƣợng.
Các thông tin của một đối tƣợng Active Directory trong bộ mô tả bảo mật đƣợc
xem là mục kiểm soát hoạt động truy cập ACE (Access Control Entry). Một ACL
(Access Control List) chứa nhiều ACE, nó là danh sách tất cả ngƣời dùng và nhóm
có quyền truy cập đến đối tƣợng. ACL có đặc tính kế thừa, có nghĩa là thành viên
của một nhóm thì đƣợc thừa hƣởng các quyền truy cập đã cấp cho nhóm này.
III. CÁC LOẠI TÀI KHOẢN TẠO SẴN
1. Tài khoản người dùng tạo sẵn
Tài khoản ngƣời dùng tạo sẵn (Built-in) là những tài khoản ngƣời dùng mà khi ta
cài đặt Windows Server 2003 thì mặc định đƣợc tạo ra. Tài khoản này là hệ thống
nên chúng ta không có quyền xóa đi nhƣng vẫn có quyền đổi tên. Tất cả các tài
khoản ngƣời dùng tạo sẵn này đều nằng trong Container Users của công cụ Active
Directory User and Computer.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 66
Mô tả các tài khoản ngƣời dùng đƣợc tạo sẵn.
Tên tài khoản Mô tả
Administrator
Administrator là một tài khoản đặc biệt, có toàn quyền trên
máy tính. Bạn có thể đặt mật khẩu cho tài khoản này trong
lúc cài đặt Windows Server 2003.
Tài khoản này có thể thi hành tất cả các tác vụ nhƣ tạo tài khoản
ngƣời dùng, nhóm, quản lý các tập tin hệ thống và cấu hình máy
in…
Guest
Tài khoản Guest cho phép ngƣời dùng truy cập vào các máy tính
nếu họ không có một tài khoản và mật mã riêng.
Tài khoản này nó bị giới hạn về quyền, ví dụ nhƣ là chỉ đƣợc
truy cập Internet hoặc in ấn.
ILS_Anonymous
_User
Là tài khoản đặc biệt đƣợc dùng cho dịch vụ ILS. ILS hỗ trợ cho
các ứng dụng điện thoại có các đặc tính nhƣ: caller ID,
video conferencing, conference calling, và faxing. Muốn sử
dụng ILS thì dịch vụ IIS phải đƣợc cài đặt.(Internet
information service)
IUSR_computer-
name
Là tài khoản đặc biệt đƣợc dùng trong các truy cập giấu tên trong
dịch vụ IIS trên máy tính có cài IIS.
IWAM_computer
- name
Là tài khoản đặc biệt đƣợc dùng cho IIS khởi động các tiến trình
của các ứng dụng trên máy có cài IIS.
Krbtgt Là tài khoản đặc biệt đƣợc dùng cho dịch vụ trung tâm phân phối
khóa (Key Distribution Center)
TSInternetUser Là tài khoản đặc biệt đƣợc dùng cho Terminal Services.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 67
2. Tài khoản nhóm Domain Local tạo sẵn
Nhƣng chúng ta đã thấy trong công cụ Active Directory User and Computers,
container Users chứa nhóm universal, nhóm domain local và nhóm global là
do hệ thống đã mặc định quy định trƣớc. Nhƣng một số nhóm domain local
đặc biệt đƣợc đặt trong container Built-in, các nhóm này không đƣợc di chuyển
sang các OU khác, đồng thời nó cũng đƣợc gán một số quyền cố định trƣớc nhằm
phục vụ cho công tác quản trị. Bạn cũng chú ý rằng là không có quyền xóa các
nhóm đặc biệt này.
Administrator
Nhóm này mặc định đƣợc ấn định sẵn tất cả các quyền hạn cho
nên thành viên của nhóm này có toàn quyền trên hệ thống
mạng. Nhóm Domain Admins và Enterprise Admins là
thành viên mặc định của nhóm Administrators.
Account
Operators
Thành viên của nhóm này có thể thêm, xóa, sửa đƣợc các tài
khoản ngƣời dùng, tài khoản máy và tài khoản nhóm.
Tuy nhiên không có quyền xóa, sửa các nhóm trong container
Built-in và OU.
Domain
Controllers
Nhóm này chỉ có trên các Domain Controller và mặc định
không có thành viên nào. Thành viên của nhóm có thể đăng
nhập cục bộ vào các Domain Controller nhƣng không có quyền
quản trị các chính sách bảo mật.
Guest
Là nhóm bị hạn chế quyền truy cập các tài nguyên trên mạng.
Các thành viên nhóm này là ngƣời dùng vãng lai không phải là
thành viên của mạng. Mặc định các tài khoản Guest bị khóa.
Backup
Operators
Thành viên của nhóm này có quyền lƣu trữ dự phòng (Backup)
và phục hồi (Retore) hệ thống tập tin.
Operator
Thành viên của nhóm này có quyền tạo ra, quản lý và
xóa bỏ các đối tƣợng máy in dùng chung trong Active
Directory.
Server
Operators
Thành viên của nhóm này có thể quản trị các máy server trong
miền nhƣ: cài đặt, quản lý máy in, tạo và quản lý thƣ mục
dùng chung, backup dữ liệu, định dạng đĩa, thay đổi giờ…
Users
Mặc định mọi ngƣời dùng đƣợc tạo đều thuộc nhóm này,
nhóm này có quyền tối thiểu của một ngƣời dùng nên việc truy
cập rất hạn chế.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 68
3. Tài khoản nhóm Global tạo sẵn
Domain Admins Thành viên của nhóm này có thể toàn quyền quản trị các
máy tính trong miền.
Domain Users
Theo mặc định mọi tài khoản ngƣời dùng trên miền
đều là thành viên của nhóm này.
Mặc định nhóm này là thành viên của nhóm cục bộ
Users trên các máy server thành viên và máy trạm.
Group Policy
Creator Owners
Thành viên nhóm này có quyền sửa đổi chính sách
nhóm của miền.
4. Các nhóm tạo sẵn đặc biệt
Ý nghĩa của nhóm đặc biệt này là:
1. Interactive: đại diện cho những ngƣời dùng đang sử dụng máy tại chỗ.
2. Network: đại diện cho tất cả những ngƣời dùng đang nối kết mạng đến một
máy tính khác.
3. Everyone: đại diện cho tất cả mọi ngƣời dùng.
4. System: đại diện cho hệ điều hành.
5. Creator owner: đại diện cho những ngƣời tạo ra, những ngƣời sở hữa
một tài nguyên nào đó nhƣ: thƣ mục, tập tin, tác vụ in ấn (print job)…
6. Authenticated users: đại diện cho những ngƣời dùng đã đƣợc hệ
thống xác thực, nhóm này đƣợc dùng nhƣ một giải pháp thay thế an toàn
hơn cho nhóm everyone.
7. Anonymous logon: đại diện cho một ngƣời dùng đã đăng nhập vào hệ thống
một cách nặc danh, chẳng hạn một ngƣời sử dụng dịch vụ FTP.
8. Service: đại diện cho một tài khoản mà đã đăng nhập với tƣ cách nhƣ một
dịch vụ.
9. Dialup: đại diện cho những ngƣời đang truy cập hệ thống thông qua Dial-up
Networking.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 69
IV. QUẢN LÝ TÀI KHOẢN NGƢỜI DÙNG VÀ NHÓM CỤC BỘ
1. Công cụ quản lý tài khoản người dùng cục bộ
Muốn tổ chức và quản lý ngƣời dùng cục bộ, ta dùng công cụ Local Users and
Groups. Với công cụ này bạn có thể tạo, xóa, sửa các tài khoản ngƣời dùng,
cũng nhƣ thay đổi mật mã. Có hai phƣơng thức truy cập đến công cụ Local
Users and Groups:
Cách 1: Dùng nhƣ một MMC (Microsoft Management Console) snap-in.
Các bƣớc dùng để chèn Local Users and Groups snap-in vào trong MMC:
Chọn Start / Run, nhập vào hộp thoại MMC và ấn phím Enter để mở cửa sổ
MMC.
Chọn Console / Add/Remove Snap-in để mở hộp thoại Add/Remove Snap-in
Nhấp chuột vào nút Add để mở hộp thoại Add Standalone Snap-in.
Chọn Local Users and Groups và nhấp chuột vào nút Add.
Hộp thoại Choose Target Machine xuất hiện, ta chọn Local Computer và
nhấp chuột vào nút Finish để trở lại hộp thoại Add Standalone Snap-in.
Nhấp chuột vào nút Close để trở lại hộp thoại Add/Remove Snap-in.
Nhấp chuột vào nút OK, ta sẽ nhìn thấy Local Users and Groups snap-in đã
chèn vào MMC nhƣ hình sau.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 70
Lƣu Console bằng cách chọn Console / Save, sau đó ta nhập đƣờng dẫn và tên
file cần lƣu trữ. Để tiện lợi cho việc quản trị sau này ta có thể lƣu console ngay
trên Desktop. Nếu máy tính của bạn không có cấu hình MMC thì cách nhanh
nhất để truy cập công cụ Local Users and Groups thông qua công cụ
Computer Management. Nhấp phải chuột vào My Computer và chọn
Manage từ pop-up menu và mở cửa sổ Computer Management. Trong mục
System Tools, ta sẽ nhìn thấy mục Local Users and Groups.
Cách 2: Dùng thông qua công cụ Computer Management.
Truy cập đến công cụ Local Users and Groups:
Start / Programs / Administrative Tools / Computer Management.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 71
2. Các thao tác cơ bản trên tài khoản người dùng cục bộ
2.1 Tạo tài khoản mới
Trong công cụ Local Users and Groups, ta nhấp phải chuột vào Users và
chọn New User, hộp thoại New User hiển thị bạn nhập các thông tin cần
thiết vào, nhƣng quan trọng nhất và bắt buộc phải có là mục Username.
2.2 Xóa tài khoản
Bạn nên xóa tài khoản ngƣời dùng, nếu bạn chắc rằng tài khoản này không
bao giờ cần dùng lại nữa. Muốn xóa tài khoản ngƣời dùng bạn mở công cụ
Local Users and Groups, chọn tài khoản ngƣời dùng cần xóa, nhấp phải
chuột và chọn Delete hoặc vào thực đơn Action / Delete.
Chú ý: Khi chọn Delete thì hệ thống xuất hiện hộp thoại hỏi bạn muốn xóa thật sự
không vì tránh trƣờng hợp bạn xóa nhầm. Bởi vì khi đã xóa thì tài khoản ngƣời
dùng này không thể phục hồi đƣợc.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 72
2.3 Khóa tài khoản.
Khi một tài khoản không sử dụng trong thời gian dài bạn nên khóa lại vì lý do bảo
mật và an toàn hệ thống. Nếu bạn xóa tài khoản này đi thì không thể phục hồi lại
đƣợc do đó ta chỉ tạm khóa. Trong công cụ Local Users and Groups, nhấp đôi
chuột vào ngƣời dùng cần khóa, hộp thoại Properties của tài khoản xuất hiện.
Trong Tab General, đánh dấu vào mục Account is disabled.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 73
2.4 Đổi tên tài khoản.
Bạn có thể đổi tên bất kỳ một tài khoản ngƣời dùng nào, đồng thời bạn cũng có thể
điều chỉnh các thông tin của tài khoản ngƣời dùng thông qua chức năng này. Chức
năng này có ƣu điểm là khi bạn thay đổi tên ngƣời dùng nhƣng SID của tài khoản
vẫn không thay đổi.
Muốn thay đổi tên tài khoản ngƣời dùng bạn mở công cụ Local Users and
Groups, chọn tài khoản ngƣời dùng cần thay đổi tên, nhấp phải chuột và chọn
Rename.
2.5 Thay đổi mật khẩu.
Muốn đổi mật mã của ngƣời dùng bạn mở công cụ Local Users and Groups, chọn
tài khoản ngƣời dùng cần thay đổi mật mã, nhấp phải chuột và chọn Reset
password.
V. QUẢN LÝ TÀI KHOẢN NGƢỜI DÙNG VÀ NHÓM TRÊN ACTIVE
DIRECTORY
1. Tạo mới tài khoản người dùng
Bạn có thể dùng công cụ Active Directory User and Computers trong
Administrative Tools ngay trên máy Domain Controller để tạo các tài khoản
ngƣời dùng miền. Công cụ này cho phép bạn quản lý tài khoản ngƣời dùng từ xa
thậm chí trên các máy trạm không phải dùng hệ điều hành Server nhƣ WinXP,
Win2K Pro. Muốn thế trên các máy trạm này phải cài thêm bộ công cụ Admin
Pack. Bộ công cụ này nằm trên Server trong thƣ mục
\Windows\system32\ADMINPAK.MSI.
Tạo một tài khoản ngƣời dùng trên Active Directory, ta làm các bƣớc sau:
Chọn Start / Programs / Administrative Tools / Active Directory Users and
Computers.
Cửa sổ Active Directory Users and Computers xuất hiện, bạn nhấp phải chuột
vào mục Users, chọnNew / User.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 74
Hộp thoại New Object-User xuất hiện nhƣ hình sau, bạn nhập tên mô tả ngƣời
dùng, tên tài khoản logon vào mạng. Giá trị Full Name sẽ tự động phát sinh khi
bạn nhập giá trị First Name và Last Name, nhƣng bạn vẫn có thể thay đổi đƣợc.
Chú ý: Giá trị quan trọng nhất và bắt buộc phải có là logon name (username).
Chuỗi này là duy nhất cho một tài khoản ngƣời dùng theo nhƣ định nghĩa trên phần
lý thuyết. Trong môi trƣờng Windows 2000 và 2003, Microsoft đƣa thêm một khái
niệm hậu tố UPN (Universal Principal Name), trong ví dụ này là
“@netclass.edu.vn”. Hậu tố UPN này gắn vào sau chuỗi username dùng để tạo
thành một tên username đầy đủ dùng để chứng thực ở cấp rừng hoặc chứng thực ở
một miền khác có quan hệ tin cậy với miền của ngƣời dùng đó, trong ví dụ này thì
tên username đầy đủ là “[email protected]”. Ngoài ra trong hộp thoại này
cũng cho phép chúng ta đặt tên username của tài khoản ngƣời dùng phục vụ cho
hệ thống cũ (pre-Windows 2000). Sau khi việc nhập các thông tin hoàn thành bạn
nhấp chuột vào nút Next để tiếp tục.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 75
Hộp thoại thứ hai xuất hiện, cho phép bạn nhập vào mật khẩu (password) của tài
khoản ngƣời dùng và đánh dấu vào các lựa chọn liên quan đến tài khoản nhƣ: Cho
phép đổi mật khẩu, yêu cầu phải đổi mật khẩu lần đăng nhập đầu tiên hay khóa tài
khoản. Các lựa chọn này chúng ta sẽ tìm hiểu chi tiết ở phần tiếp theo.
Hộp thoại cuối cùng xuất hiện và nó hiển thị các thông tin đã cấu hình cho ngƣời
dùng. Nếu tất cả các thông tin đã chính xác thì bạn nhấp chuột vào nút Finish để
hoàn thành, còn nếu cần chỉnh sửa lại thì nhấp chuột vào nút Back để trở về các
hộp thoại trƣớc.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 76
2. Các thuộc tính của tài khoản người dùng
Muốn quản lý các thuộc tính của các tài khoản ngƣời ta dùng công cụ Active
Directory Users and Computers (bằng cách chọn Start / Programs /
Administrative Tools / Active Directory Users and Computers), sau đó chọn
thƣ mục Users và nhấp đôi chuột vào tài khoản ngƣời dùng cần khảo sát. Hộp
thoại Properties xuất hiện, trong hộp thoại này chứa 12 Tab chính, ta sẽ lần lƣợt
khảo sát các Tab này. Ngoài ra bạn có thể gom nhóm (dùng hai phím Shift, Ctrl)
và hiệu chỉnh thông tin của nhiều tài khoản ngƣời dùng cùng một lúc.
a. Các thông tin mở rộng của ngƣời dùng
Tab General chứa các thông tin chung của ngƣời dùng trên mạng mà bạn đã
nhập trong lúc tạo ngƣời dùng mới. Đồng thời bạn có thể nhập thêm một số
thông tin nhƣ: số điện thoại, địa chỉ mail và trang địa chỉ trang Web cá
nhân…
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 77
Tab Address cho phép bạn có thể khai báo chi tiết các thông tin liên quan
đến địa chỉ của tài khoản ngƣời dùng nhƣ: địa chỉ đƣờng, thành phố, mã
vùng, quốc gia…
Tab Telephones cho phép bạn khai báo chi tiết các số điện thoại của tài
khoản ngƣời dùng.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 78
Tab Organization cho phép bạn khai báo các thông tin ngƣời dùng về: chức
năng của công ty, tên phòng ban trực thuộc, tên công ty …
b. Tab Account.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 79
Tab Account cho phép bạn khai báo lại username, quy định giờ logon vào mạng
cho ngƣời dùng, quy định máy trạm mà ngƣời dùng có thể sử dụng để vào mạng,
quy định các chính sách tài khoản cho ngƣời dùng, quy định thời điểm hết hạn của
tài khoản…
Điều khiển giờ logon vào mạng: bạn nhấp chuột vào nút Logon Hours, hộp thoại
Logon Hours xuất hiện. Mặc định tất cả mọi ngƣời dùng đều đƣợc phép truy cập
vào mạng 24 giờ mỗi ngày, trong tất cả 7 ngày của tuần. Khi một ngƣời dùng
logon vào mạng thì hệ thống sẽ kiểm tra xem thời điểm này có nằm trong khoảng
thời gian cho phép truy cập không, nếu không phù hợp thì hệ thống sẽ không cho
vào mạng và thông báo lỗi Unable to log you on because of an account
restriction. Bạn có thể thay đổi quy định giờ logon bằng cách chọn vùng thời gian
cần thay đổi và nhấp chuột vào nút lựa chọn Logon Permitted, nếu ngƣợc lại
không cho phép thì nhấp chuột vào nút lựa chọn Logon Denied. Sau đây là hình ví
dụ chỉ cho phép ngƣời dùng làm việc từ 7h sáng đến 5h chiều, từ thứ 2 đến thứ 6.
Chú ý: Mặc định ngƣời dùng không bị logoff tự động khi hết giờ đăng nhập nhƣng
bạn có thể điều chỉnh điều này tại mục Automatically Log Off Users When
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 80
Logon Hours Expire trong Group Policy phần Computer Configuration\
Windows Settings\Security Settings\ Local Policies\ Security Option.
Ngoài ra bạn cũng có cách khác để điều chỉnh thông tin logoff này bằng cách dùng
công cụ Domain Security Policy hoặc Local Security Policy tùy theo bối cảnh.
Chọn lựa máy trạm đƣợc truy cập vào mạng: bạn nhấp chuột vào nút Log On To,
bạn sẽ thấy hộpthoại Logon Workstations xuất hiện. Hộp thoại này cho phép bạn
chỉ định ngƣời dùng có thể logon từ tất cả các máy tính trong mạng hoặc giới hạn
ngƣời dùng chỉ đƣợc phép logon từ một số máy tính trong mạng.
Ví dụ nhƣ ngƣời quản trị mạng làm việc trong môi trƣờng bảo mật nên tài khoản
ngƣời dùng này chỉ đƣợc chỉ định logon vào mạng từ một số máy tránh tình trạng
ngƣời dùng giả dạng quản trị để tấn công mạng. Muốn chỉ định máy tính mà ngƣời
dùng đƣợc phép logon vào mạng, bạn nhập tên máy tính đó vào mục Computer
Name và sau đó nhấp chuột vào nút Add.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 81
Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản ngƣời dùng:
Tùy chọn Ý nghĩa
User must change
password at next logon
Ngƣời dùng phải thay đổi mật khẩu lần đăng nhập
kế tiếp, sau đó mục này sẽ tự động bỏ chọn.
User cannot change
password
Nếu đƣợc chọn thì ngăn không cho ngƣời dùng tùy
ý thay đổi mật khẩu.
Password never expires Nếu đƣợc chọn thì mật khẩu của tài khoản này
không bao giờ hết hạn.
Store password using
reversible encryption
Chỉ áp dụng tùy chọn này đối với ngƣời dùng đăng nhập
từ các máy Apple.
Account is disabled Nếu đƣợc chọn thì tài khoản này tạm thời bị khóa,
không sử dụng đƣợc.
Smart card is required
for interactive login
Tùy chọn này đƣợc dùng khi ngƣời dùng đăng nhập vào
mạng thông qua một thẻ thông minh (smart card), lúc đó
ngƣời dùng không nhập username và password mà chỉ
cần nhập vào một số PIN.
Account is trusted for
delegation
Chỉ áp dụng cho các tài khoản dịch vụ nào cần
giành đƣợc quyền truy cập vào tài nguyên với vai trò
những tài khoản ngƣời dùng khác.
Account is sensitive
and cannot be delegated
Dùng tùy chọn này trên một tài khoản khách vãng
lai hoặc tạm để đảm bảo rằng tài khoản đó sẽ không
đƣợc đại diện bởi một tài khoản khác.
Use DES encryption
types for this account
Nếu đƣợc chọn thì hệ thống sẽ hỗ trợ Data
Encryption Standard (DES) với nhiều mức độ khác
nhau.
Do not require
Kerberos
preauthentication
Nếu đƣợc chọn hệ thống sẽ cho phép tài khoản này dùng
một kiểu thực hiện giao thức Kerberos khác với kiểu
của Windows Server 2003.
Tab cuối cùng trong mục Account Expires: Nếu ta chọn Never thì tài khoản này
không bị hết hạn, nếu chọn End of: ngày tháng hết hạn thì đến ngày này tài
khoản này bị tạm khóa.
c. Tab Profile
Tab Profile cho phép bạn khai báo đƣờng dẫn đến Profile của tài khoản ngƣời
dùng hiện tại, khai báo tập tin logon script đƣợc tự động thi hành khi ngƣời dùng
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 82
đăng nhập hay khai báo home folder. Chú ý các tùy chọn trong Tab Profile này
chủ yếu phục vụ cho các máy trạm trƣớc Windows 2000, còn đối với các máy
trạm từ Win2K trở về sau nhƣ: Win2K Pro, WinXP, Windows Server 2003 thì
chúng ta có thể cấu hình các lựa chọn này trong Group Policy.
Trƣớc tiên chúng ta hãy tìm hiểu khái niệm Profile. Profile là cái gì?
- User Profiles là một thƣ mục chứa các thông tin về môi trƣờng của
Windows Server 2003 cho từng ngƣời dùng mạng. Profile chứa các qui định
về màn hình Desktop, nội dung của menu Start, kiểu cách phối màu sắc, vị trí
sắp xếp các icon, biểu tƣợng chuột… Mặc định khi ngƣời dùng đăng nhập vào
mạng, một profile sẽ đƣợc mở cho ngƣời dùng đó. Nếu là lần đăng nhập lần
đầu tiên thì họ sẽ nhận đƣợc một profile chuẩn. Một thƣ mục có tên giống nhƣ
tên của ngƣời dùng đăng nhập sẽ đƣợc tạo trong thƣ mục Documents and
Settings. Thƣ mục profile ngƣời dùng đƣợc tạo chứa một tập tin ntuser.dat,
tập tin này đƣợc xem nhƣ là một thƣ mục con chứa các liên kết thƣ mục đến các
biểu tƣợng nền của ngƣời dùng.
Trong Windows Server 2003 có ba loại Profile:
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 83
1. Local Profile: Là profile của ngƣời dùng đƣợc lƣu trên máy cục bộ
và họ tự cấu hình trên profile đó.
2. Roaming Profile: Là loại Profile đƣợc chứa trên mạng và ngƣời quản
trị mạng thêm thông tin đƣờng dẫn user profile vào trong thông tin tài
khoản ngƣời dùng, để tự động duy trì một bản sao của tài khoản
ngƣời dùng trên mạng.
3. Mandatory Profile: ngƣời quản trị mạng thêm thông tin đƣờng dẫn
user profile vào trong thông tin tài khoản ngƣời dùng, sau đó chép một
profile đã cấu hình sẵn vào đƣờng dẫn đó. Lúc đó các ngƣời dùng dùng
chung profile này và không đƣợc quyền thay đổi profile đó.
- Kịch bản đăng nhập (logon script hay login script) là những tập tin chƣơng
trình đƣợc thi hành mỗi khi ngƣời dùng đăng nhập vào hệ thống, với chức năng là
cấu hình môi trƣờng làm việc của ngƣời dùng và phân phát cho họ những tài
nguyên mạng nhƣ ổ đĩa, máy in (đƣợc ánh xa từ Server). Bạn có thể dùng nhiều
ngôn ngữ kịch bản để tạo ra logon script nhƣ: lệnh shell của
DOS/NT/Windows, Windows Scripting Host (WSH), VBScript, Jscript…Đối
với Windows Server 2003 thì có hai cách để khai báo logon script là: Khai báo
trong thuộc tính của tài khoản ngƣời dùng thông qua công cụ Active Directory
User and Computers và Khai báo thông qua Group Policy. Nhƣng chú ý trong cả
hai cách, các tập tin script và mọi tập tin cần thiết khác phải đƣợc đặt trong thƣ
mục chia sẻ SYSVOL, nằm trong \Windows\SYSVOL\sysvol, nếu các tập tin
script này phục vụ cho các máy tiền Win2K thì phải đặt trong thƣ mục
\Windows\Sysvol\sysvol\domainname\scripts. Để các tập tin script thi hành
đƣợc bạn nhớ cấp quyền cho các ngƣời dùng mạng có quyền Read và Excute trên
các tập tin này. Sau đây là một ví dụ về một tập tin logon script.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 84
- Thƣ mục cá nhân (Home folder hay Home directory) là thƣ mục dành
riêng cho mỗi tài khoản ngƣời dùng, giúp ngƣời dùng có thể lƣu trữ các tài
liệu và tập tin riêng, đồng thời đây cũng là thƣ mục mặc định tại dấu nhắc
lệnh. Muốn tạo một thƣ mục nhân cho ngƣời dùng thì trong mục Connect
bạn chọn ổ đĩa hiển thị trên máy trạm và đƣờng dẫn mà đĩa này cần ánh xạ
đến (Chú ý là các thƣ mục dùng chung đảm bảo đã chia sẻ).
Ví dụ Bạn chỉ thƣ mục cá nhân cho tài khoản Tuan là “\\server\tuan”, nhƣng bạn
có thể thay thế tên tài khoản bằng biến môi trƣờng ngƣời dùng nhƣ:
“\\server\%username%”.
d. Tab Member Of
Tab Member Of cho phép bạn xem và cấu hình tài khoản ngƣời dùng hiện tại là
thành viên của những nhóm nào. Một tài khoản ngƣời dùng có thể là thành viên
của nhiều nhóm khác nhau và nó đƣợc thừa hƣởng quyền của tất cả các nhóm này.
Muốn gia nhập vào nhóm nào bạn nhấp chuột vào nút Add, hộp thoại chọn nhóm
sẽ hiện ra.
Trong hộp thoại chọn nhóm, nếu bạn nhớ tên nhóm thì có thể nhập trực tiếp tên
nhóm vào và sau đó nhấp chuột vào nút Check Names để kiểm tra có chính xác
không, bạn có thể nhập gần đúng để hệ thống tìm các tên nhóm có liên quan. Đây
là tính năng mới của Windows Server 2003 tránh tình trạng tìm kiếm và hiển thị
hết tất cả các nhóm hiện có trong hệ thống. Nếu bạn không nhớ tên nhóm thì chấp
nhận nhấp chuột vào nút Advanced và Find Now để tìm hết tất cả các nhóm.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 85
Nếu bạn muốn tài khoản ngƣời dùng hiện tại thoát ra khỏi một nhóm nào đó thì
bạn chọn nhóm sau đó nhấp chuột vào nút Remove.
e. Tab Dial-in
Tab Dial-in cho phép bạn cấu hình quyền truy cập từ xa của ngƣời dùng cho kết
nối dial-in hoặc VPN, chúng ta sẽ khảo sát chi tiết ở chƣơng Routing and
Remote Access.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 86
3. Tạo mới tài khoản nhóm
Bạn tạo và quản lý tài khoản nhóm trên Active Directory thông qua công cụ
Active Directory Users and Computers. Trƣớc khi tạo nhóm bạn phải xác định
loại nhóm cần tạo, phạm vi hoạt động của nhóm nhƣ thế nào. Sau khi chuẩn bị đầy
đủ các thông tin bạn thực hiện các bƣớc sau:
Chọn Start / Programs / Administrative Tools / Active Directory Users and
Computers để mở công cụ Active Directory Users and Computers lên.
Nhấp phải chuột vào mục Users, chọn New trên pop-up menu và chọn Group.
Hộp thoại New Object – Group xuất hiện, bạn nhập tên nhóm vào mục Group
name, trƣờng tên nhóm cho các hệ điều hành trƣớc Windows 2000 (pre-Windows
2000) tự động phát sinh, bạn có thể hiệu chỉnh lại cho phù hợp.
Nhấp chuột vào nút OK để hoàn tất và đóng hộp thoại.
Phần các tiện ích dòng lệnh quản lý tài khoản ngƣời dùng và tài khoản
nhóm, (sinh viên vào www.quantrimang.com và www.newstar.vn nghiên cứu).
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 87
CHƢƠNG 6
CHÍNH SÁCH HỆ THỐNG
I. CHÍNH SÁCH TÀI KHOẢN NGƢỜI DÙNG
Chính sách tài khoản ngƣời dùng (Account Policy) đƣợc dùng để chỉ định các
thông số về tài khoản ngƣời dùng mà nó đƣợc sử dụng khi tiến trình logon xảy ra.
Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài
khoản và chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì bạn sẽ
thấy hai mục Password Policy và Account Lockout Policy, trên máy Windows
Server 2003 làm domain controller thì bạn sẽ thấy ba thƣ mục Password Policy,
Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003 cho
phép bạn quản lý chính sách tài khoản tại hai cấp độ là: Cục bộ và Miền. Muốn cấu
hình các chính sách tài khoản ngƣời dùng ta vào:
Start / Programs / Administrative Tools / Domain Security Policy hoặc Local
Security Policy.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 88
1. Chính sách mật khẩu
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu
của ngƣời dùng để trách các trƣờng hợp đăng nhập bất hợp pháp vào hệ thống.
Chính sách này cho phép bạn qui định chiều dài ngắn nhất của mật khẩu, độ phức
tạp của mật khẩu…
Chính sách Mô tả Mặc định
Enforce Password History Số lần đặt mật mã không đƣợc trùng
nhau
24
Maximum Password Age Quy định số ngày nhiều nhất mà mật
mã ngƣời dùng có hiệu lực
42
Minimum Password Age Quy số ngày tối thiểu trƣớc khi
ngƣời dùng có thể thay đổi mật mã.
1
Minimum Password Length Chiều dài ngắn nhất của mật mã. 7
Passwords Must Meet
Complexity Requirements
Mật khẩu phải có độ phức tạp nhƣ: có
ký tự hoa, thƣờng, có ký số
Cho phép
Store Password Using
Reversible Encryption for
All Users in the Domain
Mật mã ngƣời dùng đƣợc lƣu dƣới
dạng mã hóa
Không
cho phép
2. Chính sách nhóm
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời
điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp
hạn chế tấn công thông qua hình thức logon từ xa.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 89
Các thông số cấu hình chính sách khóa tài khoản:
Chính sách Mô tả Giá trị mặc định
Account Lockout
Threshold
Quy định số lần cố gắng
đăng nhập trƣớc khi tài
khoản bị khóa
0 (tài khoản sẽ không bị khóa)
Account Lockout
Duration
Quy định thời gian khóa
tài khoản
Là 0, nhƣng nếu Account
Lockout Threshold đƣợc thiết
lập thì giá trị này là 30 phút.
Reset Account
Lockout Counter
After
Quy định thời gian đếm
lại số lần đăng nhập
không thành công
Là 0, nhƣng nếu Account
Lockout Threshold đƣợc thiết
lập thì giá trị nàylà 30 phút.
II. CHÍNH SÁCH CỤC BỘ
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát
các đối tƣợng trên mạng nhƣ ngƣời dùng và tài nguyên dùng chung. Đồng thời dựa
vào công cụ này bạn có thể cấp quyền hệ thống cho các ngƣời dùng và thiết lập
các lựa chọn bảo mật.
1. Chính sách kiễm toán
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự
kiện xảy ra trong hệ thống, trên các đối tƣợng cũng nhƣ đối với các ngƣời dùng.
Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer, trong mục
Security.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 90
Chính sách Mô tả
Audit Account Logon
Events
Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ
thống sẽ ghi nhận khi ngƣời dùng logon, logoff hoặc
tạo một kết nối mạng.
Audit Account
Management
Hệ thống sẽ ghi nhận khi tài khoản ngƣời dùng
hoặc nhóm có sự thay đổi thông tin hay các thao tác
quản trị liên quan đến tài khoản ngƣời dùng
Audit Directory Service
Access
Ghi nhân việc truy cập các dịch vụ thƣ mục
Audit Logon Events Ghi nhận các sự kiện liên quan đến quá trình logon nhƣ
thi hành một logon script hoặc truy cập đến một
roaming profile.
Audit Object Access Ghi nhận việc truy cập các tập tin, thƣ mục, và máy tin.
Audit Policy Change Ghi nhận các thay đổi trong chính sách kiểm toán
Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị
trên các quyền hệ thống nhƣ cấp hoặc xóa quyền của
một ai đó.
Audit process tracking Kiểm toán này theo dõi hoạt động của chƣơng
trình hay hệ điều hành.
Audit system event Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy
hoặc tắt máy.
2. Quyền hệ thống của người dùng
Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho
ngƣời dùng là: gia nhập tài khoản ngƣời dùng vào các nhóm tạo sẵn (built-in) để
kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền
rời rạc cho ngƣời dùng. Cách thứ nhất bạn đã biết sử dụng ở chƣơng trƣớc, chỉ cần
nhớ các quyền hạn của từng nhóm tạo sẵn thì bạn có thể gán quyền cho ngƣời
dùng theo yêu cầu. Để cấp quyền hệ thống cho ngƣời dùng theo theo cách thứ hai
thì bạn phải dùng công cụ Local Security Policy (nếu máy bạn không phải
Domain Controller) hoặc Domain Controller Security Policy (nếu máy bạn là
Domain Controller).
Trong hai công cụ đó bạn mở mục Local Policy\ User Rights Assignment.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 91
Để thêm, bớt một quyền hạn cho ngƣời dùng hoặc nhóm, bạn nhấp đôi chuột vào
quyền hạn đƣợc chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách ngƣời dùng và
nhóm hiện tại đang có quyền này. Bạn có thể nhấp chuột vào nút Add để thêm
ngƣời dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove để xóa ngƣời
dùng khỏi danh sách. Ví dụ minh họa sau là bạn cấp quyền thay đổi giờ hệ thống
(change the system time) cho ngƣời dùng “Tuan”.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 92
Danh sách các quyền hệ thống cấp cho ngƣời dùng và nhóm.
Quyền Mô tả
Access This Computer from the Network
Cho phép ngƣời dùng truy cập máy tính thông
qua mạng. Mặc định mọi ngƣời đều có quyền này.
Act as Part of the Operating
System
Cho phép các dịch vụ chứng thực ở mức thấpchứng
thực với bất kỳ ngƣời dùng nào.
Add Workstations to the
Domain
Cho phép ngƣời dùng thêm một tài khoản máy tính
vào vùng.
Back Up Files and
Directories
Cho phép ngƣời dùng sao lƣu dự phòng (backup)
các tập tin và thƣ mục bất chấp các tập tin và thƣ
mục này ngƣời đó có quyền không.
Bypass Traverse Checking
Cho phép ngƣời dùng duyệt qua cấu trúc thƣ
mục nếu ngƣời dùng không có quyền xem (list)
nội dung thƣ mục này.
Change the System Time Cho phép ngƣời dùng thay đổi giờ hệ thống của
máy tính.
Create a Pagefile Cho phép ngƣời dùng thay đổi kích thƣớc của Page
File.
Create a Token Object Cho phép một tiến trình tạo một thẻ bài nếu tiến
trình này dùng NTCreate Token API.
Create Permanent Shared
Objects
Cho phép một tiến trình tạo một đối tƣợng thƣ
mục thông qua Windows 2000 Object Manager
Debug Programs Cho phép ngƣời dùng gắn một chƣơng trình
debug vào bất kỳ tiến trình nào.
Deny Access to This
Computer from the Network
Cho phép bạn khóa ngƣời dùng hoặc nhóm không
đƣợc truy cập đến các máy tính trên mạng.
Deny Logon as a Batch File Cho phép bạn ngăn cản những ngƣời dùng và nhóm
đƣợc phép logon nhƣ một batch file.
Deny Logon as a Service Cho phép bạn ngăn cản những ngƣời dùng và nhóm
đƣợc phép logon nhƣ một services.
Deny Logon Locally Cho phép bạn ngăn cản những ngƣời dùng và nhóm
truy cập đến máy tính cục bộ.
Enable Computer and User
Accounts to Be Trusted by
Delegation
Cho phép ngƣời dùng hoặc nhóm đƣợc ủy
quyền cho ngƣời dùng hoặc một đối tƣợng máy
tính.
Force Shutdown from a
Remote System
Cho phép ngƣời dùng shut down hệ thống từ xa
thông qua mạng.
Generate Security Audits Cho phép ngƣời dùng, nhóm hoặc một tiến
trình tạo một entry vào Security log.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 93
Increase Quotas Cho phép ngƣời dùng điều khiển các hạn
ngạch của các tiến trình.
Increase Scheduling Priority Quy định một tiến trình có thể tăng hoặc giảm độ
ƣu tiên đã đƣợc gán cho tiến trình khác.
Load and Unload Device
Drivers
Cho phép ngƣời dùng có thể cài đặt hoặc gỡ bỏ các
driver của các thiết bị.
Lock Pages in Memory Khóa trang trong vùng nhớ.
Log On as a Batch Job Cho phép một tiến trình logon vào hệ thống và thi
hành một tập tin chứa các lệnh hệ thống.
Log On as a Service Cho phép một dịch vụ logon và thi hành một dịch
vụ riêng.
Log On Locally Cho phép ngƣời dùng logon tại máy tính Server.
Manage Auditing and
Security Log
Cho phép ngƣời dùng quản lý Security log.
Modify Firmware
Environment Variables
Cho phép ngƣời dùng hoặc một tiến trình hiệu
chỉnh các biến môi trƣờng hệ thống.
Profile Single Process
Cho phép ngƣời dùng giám sát các tiến trình bình
thƣờng thông qua công cụ Performance Logs and
Alerts.
Profile System Performance
Cho phép ngƣời dùng giám sát các tiến trình hệ
thống thông qua công cụ Performance Logs and
Alerts.
Remove Computer from
Docking Station
Cho phép ngƣời dùng gỡ bỏ một Laptop thông
qua giao diện ngƣời dùng của Windows 2000.
Replace a Process Level
Token.
Cho phép một tiến trình thay thế một token
mặc định mà đƣợc tạo bởi một tiến trình con.
Restore Files and Directories
Cho phép ngƣời dùng phục hồi tập tin và thƣ
mục, bất chấp ngƣời dùng này có quyền trên tập
tin và thƣ mục này hay không.
Shut Down the System Cho phép ngƣời dùng shut down cục bộ máy
Windows 2000.
Synchronize Directory
Service Data
Cho phép ngƣời dùng đồng bộ dữ liệu với một dịch
vụ thƣ mục.
Take Ownership of Files
or Other Objects
Cho ngƣời dùng tƣớc quyền sở hữu của một đối
tƣợng hệ thống.
3. Các lựa chọn bảo mật
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 94
Các lựa chọn bảo mật (Security Options) cho phép ngƣời quản trị Server khai
báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống nhƣ: không cho
phép hiển thị ngƣời dùng đã logon trƣớc đó hay đổi tên tài khoản ngƣời dùng
tạo sẵn (administrator, guest). Trong hệ thống Windows Server 2003 hỗ trợ
cho chúng ta rất nhiều lựa chọn bảo mật, nhƣng trong giáo trình này chúng ta
chỉ khảo sát các lựa chọn thông dụng.
Một số lựa chọn bảo mật thông dụng.
Tên lựa chọn Mô tả
Shutdown: Allow system to be
shut down without having to log
on
Cho phép ngƣời dùng shutdown hệ thống
mà không cần logon.
Audit : audit the access of global
system objects
Giám sát việc truy cập các đối tƣợng hệ thống
toàn cục.
Network security: force logoff
when logon hours expires.
Tự động logoff khỏi hệ thống khi ngƣời dùng
hết thời gian sử dụng hoặc tài khoản hết hạn.
Interactive logon: do not require
CTRL+ALT+DEL
Không yêu cầu ấn ba phím CTRL+ALT+DEL
khi logon.
Interactive logon: do not display
last user name
Không hiển thị tên ngƣời dùng đã logon trên
hộp thoại Logon.
Account: rename administrator
account
Cho phép đổi tên tài khoản Administrator
thành tên mới
Account: rename guest account Cho phép đổi tên tài khoản Guest thành tên
mới
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 95
III. IPSEC
IP Security (IPSec) là một giao thức hỗ trợ thiết lập các kết nối an toàn dựa trên
IP. Giao thức này hoạt động ở tầng ba (Network) trong mô hình OSI do đó nó an
toàn và tiện lợi hơn các giao thức an toàn khác ở tầng Application nhƣ SSL. IPSec
cũng là một thành phần quan trọng hỗ trợ giao thức L2TP trong công nghệ mạng
riêng ảo VPN (Virtual Private Network). Để sử dụng IPSec bạn phải tạo ra các
qui tắc (rule), một qui tắc IPSec là sự kết hợp giữa hai thành phần là các bộ lọc
IPSec (filter) và các tác động IPSec (action).
Ví dụ nội dung của một qui tắc IPSec là “Hãy mã hóa tất cả những dữ liệu truyền
Telnet từ máy có địa chỉ 192.168.0.10”, nó gồm hai phần, phần bộ lọc là “qui tắc
này chỉ hoạt động khi có dữ liệu đƣợc truyền từ máy có địa chỉ 192.168.0.10 thông
qua cổng 23”, phần hành động là “mã hóa dữ liệu”.
1. Các tác động bảo mật
IPSec của Microsoft hỗ trợ bốn loại tác động (action) bảo mật, các tác động bảo
mật này giúp hệ thống có thể thiết lập những cuộc trao đổi thông tin giữa các máy
đƣợc an toàn. Danh sách các tác động bảo mật trong hệ thống Windows Server
2003 nhƣ sau:
- Block transmissons: có chức năng ngăn chận những gói dữ liệu đƣợc
truyền, ví dụ bạn muốn IPSec ngăn chận dữ liệu truyền từ máy A đến máy
B, thì đơn giản là chƣơng trình IPSec trên máy B loại bỏ mọi dữ liệu truyền
đến từ máy A.
- Encrypt transmissions: có chức năng mã hóa những gói dữ liệu đƣợc
truyền, ví dụ chúng ta muốn dữ liệu đƣợc truyền từ máy A đến máy B,
nhƣng chúng ta sợ rằng có ngƣời sẽ nghe trộm trên đƣờng truyền nối kết
mạng giữa hai máy A và B. Cho nên chúng ta cần cấu hình cho IPSec sử
dụng giao thức ESP (encapsulating security payload) để mã hóa dữ liệu
cần truyền trƣớc khi đƣa lên mạng. Lúc này những ngƣời xem trộm sẽ thấy
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 96
những dòng byte ngẫu nhiên và không hiểu đƣợc dữ liệu thật. Do IPSec
hoạt động ở tầng Network nên hầu nhƣ việc mã hóa đƣợc trong suốt đối với
ngƣời dùng, ngƣời dùng có thể gởi mail, truyền file hay telnet nhƣ bình
thƣờng.
- Sign transmissions: có chức năng ký tên vào các gói dữ liệu truyền, nhằm
tránh những kẻ tấn công trên mạng giả dạng những gói dữ liệu đƣợc truyền
từ những máy mà bạn đã thiết lập quan hệ tin cậy, kiểu tấn công này còn có
cái tên là main-in-the-middle. IPSec cho phép bạn chống lại điều này bằng
một giao thức authentication header. Giao thức này là phƣơng pháp ký tên
số hóa (digitally signing) vào các gói dữ liệu trƣớc khi truyền, nó chỉ ngăn
ngừa đƣợc giả mạo và sai lệnh thông tin chứ không ngăn đƣợc sự nghe trộm
thông tin. Nguyên lý hoạt động của phƣơng pháp này là hệ thống sẽ thêm
một bit vào cuối mỗi gói dữ liệu truyền qua mạng, từ đó chúng ta có thể
kiểm tra xem dữ liệu có bị thay đổi khi truyền hay không.
- Permit transmissions: có chức năng là cho phép dữ liệu đƣợc truyền qua,
chúng dùng để tạo ra các qui tắc (rule) hạn chế một số điều và không hạn
chế một số điều khác. Ví dụ một qui tắc dạng này “Hãy ngăn chặn tất cả
những dữ liệu truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 443”.
Chú ý: đối với hai tác động bảo mật theo phƣơng pháp ký tên và mã hóa thì hệ
thống còn yêu cầu bạn chỉ ra IPSec dùng phƣơng pháp chứng thực nào.
Microsoft hỗ trợ ba phƣơng pháp chứng thực: Kerberos, chứng chỉ
(certificate) hoặc một khóa dựa trên sự thỏa thuận (agreed-upon key). Phƣơng
pháp Kerberos chỉ áp dụng đƣợc giữa các máy trong cùng một miền Active
Directory hoặc trong những miền Active Directory có ủy quyền cho nhau.
Phƣơng pháp dùng các chứng chỉ cho phép bạn sử dụng các chứng chỉ PKI
(public key infrastructure) để nhận diện một máy. Phƣơng pháp dùng chìa
khóa chia sẻ trƣớc thì cho phép bạn dùng một chuỗi ký tự văn bản thông thƣờng
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 97
làm chìa khóa(key).
2. Các bộ lọc IPSEC
Để IPSec hoạt động linh hoạt hơn, Microsoft đƣa thêm khái niệm bộ lọc
(filter) IPSec, bộ lọc có tác dụng thống kê các điều kiện để qui tắc hoạt động.
Đồng thời chúng cũng giới hạn tầm tác dụng của các tác động bảo mật trên một
phạm vị máy tính nào đó hay một số dịch vụ nào đó. Bộ lọc IPSec chủ yếu dự
trên các yếu tố sau:
- Địa chỉ IP, subnet hoặc tên DNS của máy nguồn.
- Địa chỉ IP, subnet hoặc tên DNS của máy đích.
- Theo số hiệu cổng (port) và kiển cổng (TCP, UDP, ICMP…)
3. Triển khai IPSEC trên Windows Server 2003
Trong hệ thống Windows Server 2003 không hỗ trợ một công cụ riêng cấu
hình IPSec, do đó để triển khai IPSec chúng ta dùng các công cụ thiết lập chính
sách dành cho máy cục bộ hoặc dùng cho miền.
Để mở công cụ cấu hình IPSec, ta có 2 cách sau:
Bạn nhấp chuột vào Start / Run rồi gõ secpol.msc
Nhấp chuột vào Start / Programs / Administrative Tools / Local Security
Policy,trong công cụ đó bạn chọn IP Security Policies on Active Directory
Tóm lại, các điều mà bạn cần nhớ khi triển khai IPSec:
- Bạn triển khai IPSec trên Windows Server 2003 thông qua các chính sách,
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 98
trên một máy tính bất kỳ nào đó vào tại một thời điểm thì chỉ có một chính
sách IPSec đƣợc hoạt động.
- Mỗi chính sách IPSec gồm một hoặc nhiều qui tắc (rule) và một phƣơng
pháp chứng thực nào đó. Mặc dù các qui tắc permit và block không dùng
đến chứng thực nhƣng Windows vẫn đòi bạn chỉ định phƣơng pháp chứng
thực.
- IPSec cho phép bạn chứng thực thông qua Active Directory, các chứng chỉ
PKI hoặc một khóa đƣợc chia sẻ trƣớc.
- Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter) và một hay nhiều tác
động bảo mật (action).
- Có bốn tác động mà qui tắc có thể dùng là: block, encrypt, sign và permit.
3.1 Các chính sách IPSEC tạo sẵn
Trong khung cửa sổ chính của công cụ cấu hình IPSec, bên phải chúng ta thấy
xuất hiện ba chính sách đƣợc tạo sẵn tên là: Client, Server và Secure. Cả ba chính
sách này đều ở trạng thái chƣa áp dụng (assigned). Nhƣng chú ý ngay cùng một
thời điểm thì chỉ có thể có một chính sách đƣợc áp dụng và hoạt động, có nghĩa là
khi bạn áp dụng một chính sách mới thì chính sách đang hoạt động hiện tại sẽ trở
về trạng thái không hoạt động. Sau đây chúng ta sẽ khảo sát chi tiết ba chính sách
tạo sẵn này.
- Client (Respond Only): chính sách qui định máy tính của bạn không chủ
động dùng IPSec trừ khi nhận đƣợc yêu cầu dùng IPSec từ máy đối tác.
Chính sách này cho phép bạn có thể kết nối đƣợc cả với các máy tính
dùng IPSec hoặc không dùng IPSec.
- Server (Request Security): chính sách này qui định máy server của bạn
chủ động cố gắng khởi tạo IPSec mỗi khi thiết lập kết nối với các máy
tính khác, nhƣng nếu máy client không thể dùng IPSec thì Server vẫn
chấp nhận kết nối không dùng IPSec.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 99
- Secure Server (Require Security): chính sách này qui định không cho
phép bất kỳ cuộc trao đổi dữ liệu nào với Server hiện tại mà không dùng
IPSec.
3.2 Ví dụ tạo chính sách IPSec đảm bảo một kết nối đƣợc mã hóa
Trong phần này chúng ta bắt tay vào thiết lập một chính sách IPSec nhằm đảm
bảo một kết nối đƣợc mã hóa giữa hai máy tính. Chúng ta có hai máy tính, máy
A có địa chỉ 203.162.100.1 và máy B có địa chỉ 203.162.100.2. Chúng ta sẽ
thiết lập chính sách IPSec trên mỗi máy thêm hai qui tắc (rule), trừ hai qui tắc
của hệ thống gồm: Một qui tắc áp dụng cho dữ liệu truyền vào máy và Một qui
tắc áp dụng cho dữ liệu truyền ra khỏi máy. Ví dụ qui tắc đầu tiên trên máy A
bao gồm:
- Bộ lọc (filter): kích hoạt qui tắc này khi có dữ liệu truyền đến địa chỉ
203.162.100.1, qua bất kỳ cổng nào.
- Tác động bảo mật (action): mã hóa dữ liệu đó.
- Chứng thực: chìa khóa chia sẻ trƣớc là chuỗi “quantri”.
Qui tắc thứ hai áp dụng cho máy A cũng tƣơng tự nhƣng bộ lọc có nội
dung ngƣợc lại là “dữ liệu truyền đi từ địa chỉ 203.162.100.1”. Chú ý: cách dễ
nhất để tạo ra một qui tắc là trƣớc tiên bạn phải qui định các bộ lọc và tác động bảo
mật, rồi sau đó mới tạo ra qui tắc từ các bộ lọc và tác động bảo mật này. Các bƣớc
để thực hiện một chính sách IPSec theo yêu cầu nhƣ trên:
Trong công cụ Domain Controller Security Policy, bạn nhấp phải chuột
trên mục IP Security Policies on Active Directory, rồi chọn Manage IP filter
lists and filter actions.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 100
Hộp thoại xuất hiện, bạn nhấp chuột vào nút add để thêm một bộ lọc mới. Bạn
nhập tên cho bộ lọc này, trong ví dụ này chúng ta đặt tên là “Connect to
203.162.100.1”. Bạn nhấp chuột tiếp vào nút Add để hệ thống hƣớng dẫn bạn khai
báo các thông tin cho bộ lọc.
Bạn theo hƣớng dẫn của hệ thống để khai báo các thông tin, chú ý nên đánh dấu
vào mục Mirrored để qui tắc này có ý nghĩa hai chiều bạn không phải tốn công để
tạo ra hai qui tắc. Mục Source address chọn My IP Address, mục Destination
address chọn A specific IP Address và nhập địa chỉ “203.162.100.1” vào, mục IP
Protocol Type bạn để mặc định. Cuối cùng bạn chọn Finish để hoàn thành phần
khai báo, bạn nhấp chuột tiếp vào nút OK để trở lại hộp thoại đầu tiên.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 101
Tiếp theo bạn chuyển sang Tab Manage Filter Actions để tạo ra các tác động bảo
mật. Bạn nhấp chuột vào nút Add hệ thống sẽ hƣớng dẫn bạn khai báo các thông
tin về tác động. Trƣớc tiên bạn đặt tên cho tác động này, ví dụ nhƣ làEncrypt.
Tiếp tục trong mục Filter Action bạn chọn Negotiate security, trong mục IP
Traffic Security bạn chọn Integrity and encryption. Đến đây bạn đã hoàn
thành việc tạo một tác động bảo mật.
Công việc tiếp theo là bạn một chính sách IPSec trong đó có chứa một qui tắc kết
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 102
hợp giữa bộ lọc và tác động vừa tạo ở phía trên. Trong công cụ DomainController
Security Policy, bạn nhấp phải chuột trên mục IP Security Policies on Active
Directory, rồi chọn Create IP Security Policy, theo hƣớng dẫn bạn nhập tên của
chính vào, ví dụ là First IPSec, tiếp theo bạn phải bỏ đánh dấu trong mục Active
the default response rule. Các giá trị còn lại bạn để mặc định vì qui tắc Dynamic
này chúng ta không dùng và sẽ tạo ra một qui tắc mới.
Trong hộp thoại chính sách IPSec, bạn nhấp chuột vào nút Add để tạo ra qui tắc
mới. Hệ thống sẽ hƣớng dẫn bạn từng bƣớc thực hiện, đến mục chọn bộ lọc bạn
chọn bộ lọc vừa tạo phía trên tên “Connect to 203.162.100.1”, mục chọn tác động
bạn chọn tác động vừa tạo tên Encypt. Đến mục chọn phƣơng pháp chứng thực
bạn chọn mục Use this string to protect the key exchange và nhập chuỗi làm
khóa để mã hóa dữ liệu vào, trong ví dụ này là “quantri”.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 103
Đến bƣớc này thì công việc thiết lập chính sách IPSec theo yêu cầu trên của bạn đã
hoàn thành, trong khung của sổ chính của công cụ Domain Controller Security
Policy, bạn nhấp phải chuột lên chính sách First IPSec và chọn Assign để chính
sách này đƣợc hoạt động trên hệ thống Server.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 104
CHƢƠNG 7
CHÍNH SÁCH NHÓM
I. GIỚI THIỆU
1. So sánh giữa System Policy và Group Policy
Chƣơng trƣớc, chúng ta đã tìm hiểu về chính sách hệ thống (System Policy),
tiếp theo chúng ta sẽ tìm hiểu về chính sách nhóm (Group Policy). Vậy hai chính
sách này khác nhau nhƣ thế nào.
- Chính sách nhóm chỉ xuất hiện trên miền Active Directory , nó không tồn
tại trên miền NT4.
- Chính sách nhóm làm đƣợc nhiều điều hơn chính sách hệ thống. Tất nhiên
chính sách nhóm chứa tất cả các chức năng của chính sách hệ thống và hơn
thế nữa, bạn có thể dùng chính sách nhóm để triển khai một phần mềm cho
một hoặc nhiều máy một cách tự động.
- Chính sách nhóm tự động hủy bỏ tác dụng khi đƣợc gỡ bỏ, không giống nhƣ
các chính sách hệ thống.
- Chính sách nhóm đƣợc áp dụng thƣờng xuyên hơn chính sách hệ thống. Các
chính sách hệ thống chỉ đƣợc áp dụng khi máy tính đăng nhập vào mạng
thôi. Các chính sách nhóm thì đƣợc áp dụng khi bạn bật máy lên, khi đăng
nhập vào một cách tự động vào những thời điểm ngẫu nhiên trong suốt ngày
làm việc.
- Bạn có nhiều mức độ để gán chính sách nhóm này cho ngƣời từng nhóm
ngƣời hoặc từng nhóm đối tƣợng.
- Chính sách nhóm tuy có nhiều ƣu điểm nhƣng chỉ áp dụng đƣợc trên
máy Win2K, WinXP và Windows Server 2003.
2. Chức năng của Group Policy
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 105
- Triển khai phần mềm ứng dụng: bạn có thể gom tất cả các tập tin cần thiết
để cài đặt một phần mềm nào đó vào trong một gói (package), đặt nó lên
Server, rồi dùng chính sách nhóm hƣớng một hoặc nhiều máy trạm đến gói
phần mềm đó. Hệ thống sẽ tự động cài đặt phần mềm này đến tất cả các máy
trạm mà không cần sự can thiệp nào của ngƣời dùng.
- Gán các quyền hệ thống cho ngƣời dùng: chức năng này tƣơng tự với
chức năng của chính sách hệ thống. Nó có thể cấp cho một hoặc một nhóm
ngƣời nào đó có quyền tắt máy server,đổi giờ hệ thống hay backup dữ liệu…
- Giới hạn những ứng dụng mà ngƣời dùng đƣợc phép thi hành:chúng ta
có thể kiểm soát máy trạm của một ngƣời dùng nào đó và cho phép ngƣời
dùng này chỉ chạy đƣợc một vài ứng dụng nào đó thôi nhƣ: OutlookExpress,
Word hay Internet Explorer.
- Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui
định hạn ngạch đĩa cho một ngƣời dùng nào đó. Ngƣời dùng này chỉ đƣợc
phép lƣu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định.
- Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy:
trong hệ thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhƣng
Windows 2000 và Windows Server 2003 thì hỗ trợ cả bốn sự kiện này đƣợc
kích hoạt (trigger) một kịch bản (script). Bạn có thể dùng các GPO để kiểm
soát những kịch bản nào đang chạy.
- Đơn giản hóa và hạn chế các chƣơng trình: bạn có thể dùng GPO để gỡ
bỏ nhiều tính năng khỏi Internet Explorer, Windows Explorer và những
chƣơng trình khác.
- Hạn chế tổng quát màn hình Desktop của ngƣời dùng: bạn có thể gỡ bỏ
hầu hết các đề mục trên menu Start của một ngƣời dùng nào đó, ngăn chặn
không cho ngƣời dùng cài thêm máy in, sửa đổi thông số cấu hình của máy
trạm…
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 106
II. TRIỂN KHAI MỘT CHÍNH SÁCH NHÓM TRÊN MIỀN
Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đối tƣợng
chính sách (GPO). Các GPO là một vật chứa (container) có thể chứa nhiều chính
sách áp dụng cho nhiều ngƣời, nhiều máy tính hay toàn bộ hệ thống mạng. Bạn
dùng chƣơng trình Group Policy Object Editor để tạo ra các đối tƣợng chính sách.
Trong của sổ chính của Group Policy Object Editor có hai mục chính: cấu hình
máy tính (computer configuration) và cấu hình ngƣời dùng (user configuration).
Điều kế tiếp bạn cũng chú ý khi triển khai Group Policy là các cấu hình chính sách
của Group Policy đƣợc tích lũy và kề thừa từ các vật chứa (container) bên trên của
Active Directory.
Ví dụ Các ngƣời dùng và máy tính vừa ở trong miền vừa ở trong OU nên sẽ nhận
đƣợc các cấu hình từ cả hai chính sách cấp miền lẫn chính sách cấp OU. Các chính
sách nhóm sau 90 phút sẽ đƣợc làm tƣơi và áp dụng một lần, nhƣng các chính
nhóm trên các Domain Controller đƣợc làm tƣơi 5 phút một lần. Các GPO hoạt
động đƣợc không chỉ nhờ chỉnh sửa các thông tin trong Registry mà còn nhờ các
thƣ viện liên kết động (DLL) làm phần mở rộng đặt tại các máy trạm. Chú ý
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 107
nếu bạn dùng chính sách nhóm thì chính sách nhóm tại chỗ trên máy cục bộ sẽ
xử lý trƣớc các chính sách dành cho site, miền hoặc OU.
1. Xem chính sách cục bộ của một máy tính ở xa
Để xem một chính sách cục bộ trên các máy tính khác trong miền, bạn phải có
quyền quản trị trên máy đó hoặc quản trị miền. Lúc đó bạn có thể dùng lệnh
GPEDIT.MSC /gpcomputer:machinename.
Ví dụ: Bạn muốn xem chính sách trên máy PCO1 bạn gõ lệnh GPEDIT.MSC
/gpcomputer: PCO1. Chú ý là bạn không thể dùng cách này để thiết lập các chính
sách nhóm ở máy tính ở xa, do tính chất bảo mật Microsoft không cho phép bạn ở
xa thiết lập các chính sách nhóm.
2. Tạo các chính sách trên miền
Dùng Snap-in Group Policy trong Active Directory User and Computer hoặc
gọi trƣợc tiếp tiện ích Group Policy Object Editor từ dòng lệnh trên máy Domain
Controller để tạo ra các chính sách nhóm cho miền. Nếu bạn mở Group Policy từ
Active Directory User and Computer thì trong khung cửa sổ chính của chƣơng
trình bạn nhấp chuột phải vào biểu tƣợng tên miền (trong ví dụ này là
netclass.edu.vn), chọn Properties. Trong hộp thoại xuất hiện bạn chọn Tab Group
Policy.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 108
Nếu bạn chƣa tạo ra một chính sách nào thì bạn chỉ nhìn thấy một chính sách tên
Default Domain Policy. Cuối hộp thoại có một checkbox tên Block Policy
inheritance, chức năng của mục này là ngăn chặn các thiết định của mọi chính
sách bất kỳ ở cấp cao hơn lan truyền xuống đến cấp đang xét.
Chú ý rằng: Chính sách đƣợc áp dụng đầu tiên ở cấp site, sau đó đến cấp miền và
cuối cùng là cấp OU. Bạn chọn chính sách Default Domain Policy và nhấp chuột
vào nút Option để cấu hình các lựa chọn việc áp dụng chính sách. Trong hộp thoại
Options, nếu bạn đánh dấu vào mục No Override thì các chính sách khác đƣợc áp
dụng ở dòng dƣới sẽ không phủ quyết đƣợc những thiết định của chính sách này,
cho dù chính sách đó không đánh dấu vào mục Block Policy inheritance. Tiếp
theo nếu bạn đánh dấu vào mục Disabled, thì chính sách này sẽ không hoạt
động ở cấp này, Việc Disable chính sách ở một cấp không làm disable bản thân
đối tƣợng chính sách.
Để tạo ra một chính sách mới bạn nhấp chuột vào nút New, sau đó nhập tên của
chính sách mới. Để khai báo thêm thông tin cho chính sách này bạn có thể nhấp
chuột vào nút Properties, hộp thoại xuất hiện có nhiều Tab, bạn có thể vào
TaLinks để chỉ ra các site, domain hoặc OU nào liên kết với chính sách. Trong
Tab Security cho phép bạn cấp quyền cho ngƣời dùng hoặc nhóm ngƣời dùng có
quyền gì trên chính sách này.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 109
Trong hộp thoại chính của Group Policy thì các chính sách đƣợc áp dụng từ dƣới
lên trên, cho nên chính sách nằm trên cùng sẽ đƣợc áp dụng cuối cùng. Do đó, các
GPO càng nằm trên cao trong danh sách thì càng có độ ƣu tiên cao hơn, nếu chúng
có những thiết định mâu thuẫn nhau thì chính sách nào nằm trên sẽ thắng. Vì lý do
đó nên Microsoft thiết kế hai nút Up và Down giúp chúng ta có thể di chuyển các
chính sách này lên hay xuống.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 110
Trong các nút mà chúng ta chƣa khảo sát thì có một nút quan trọng nhất trong hộp
thoại này đó là nút Edit. Bạn nhấp chuột vào nút Edit để thiết lập các thiết định
cho chính sách này, dựa trên các khả năng của Group Policy bạn có thể thiết lập
bất cứ thứ gì mà bạn muốn. Chúng ta sẽ khảo sát một số ví dụ minh họa ở phía sau.
III. MỘT SỐ MINH HỌA GPO TRÊN NGƢỜI DÙNG VÀ CẤU HÌNH MÁY
1. Khai báo một logon script dùng chính sách nhóm
Trong Windows Server 2003 hỗ trợ cho chúng ta bốn sự kiện để có thể
kích hoạt các kịch bản (script) hoạt động là: startup, shutdown, logon, logoff.
- Để khai báo các kịch bản sẽ hoạt động khi startup, shutdown, bạn có thể
vào Computer Configuration / Windows Setttings / Scripts.
- Để khai báo các kịch bản sẽ hoạt động khi logon, logoff thì bạn vào
User Configuration / Windows Setttings / Scripts.
Trong ví dụ này chúng ta tạo một logon script, quá trình gồm các bƣớc sau:
Mở công cụ Group Policy Object Editor, vào mục User Configuration /
Windows Setttings / Scripts.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 111
Nhấp đúp chuột vào mục Logon bên của sổ bên phải, hộp thoại xuất hiện, bạn
nhấp chuột tiếp vào nút Add để khai báo tên tập tin kịch bản cần thi hành khi đăng
nhập. Chú ý tập tin kịch bản này phải đƣợc chứa trong thƣ mục
c:\windows\system32\ grouppolicy\user\script\logon. Thƣ mục này có thể thay
đổi, tốt nhất bạn nên nhấp chuột vào nút Show Files phía dƣới hộp thoại để xem
thƣ mục cụ thể chứa các tập tin kịch bản này. Nội dung script có thể thay đổi tùy
theo yêu cầu của bạn.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 112
Tiếp theo để kiểm soát quá trình thi hành của tập tin script, bạn cần hiệu chỉnh
chính sách Run logon scripts visible ở trạng thái Enable. Trạng thái này giúp bạn
có thể phát hiện ra các lỗi phát sinh khi tập tin script thi hành từ đó chúng ta có thể
sửa chữa. Để thay đổi chính sách này bạn nhấp chuột vào mục:
User Configuration / Administrative Templates / System /Scripts, sau đó nhấp
đúp chuột vào mục Run logon scripts visible để thay đổi trạng thái.
2. Hạn chế chức năng của Internet Explorer
Trong ví dụ này chúng ta muốn các ngƣời dùng dƣới máy trạm không đƣợc phép
thay đổi bất kì thông số nào trong Tab Security, Connection và Advanced trong
hộp thoại Internet Options của công cụ Internet Explorer.
Trong công cụ Group Policy Object Editor:
User Configuration /Administrative Templates / Windows Components
/InternetExplorer / Internet Control Panel, chƣơng trình sẽ hiện ra các mục
chức năng của IE có thể giới hạn, bạn chọn khóa các chức năng cần thiết.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 113
3. Chỉ cho phép một số ứng dụng được thi hành
Để cấu hình Group Policy chỉ cho phép các ngƣời dùng dƣới máy trạm chỉ sử
dụng đƣợc một vài ứng dụng nào đó, trong công cụ Group Policy Object
Editor, bạn vào User Configuration / Administrative Templates. Sau đó
nhấp đúp chuột vào mục Run only allowed windows applications để chỉ
định các phần mềm đƣợc phép thi hành.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 114
CHƢƠNG 8
QUẢN LÝ ĐĨA
I. CẤU HÌNH HỆ THỐNG TẬP TIN
Hệ thống tập tin quản lý việc lƣu trữ và định vị các tập tin trên đĩa cứng. Windows
Server 2003 hỗ trợ ba hệ thống tập tin khác nhau: FAT16, FAT32 và NTFS. Bạn
nên chọn FAT16 hoặc FAT32 khi máy tính sử dụng nhiều hệ điều hành khác nhau.
Nếu bạn định sử dụng các tính năng nhƣ: bảo mật cục bộ, nén và mã hoá các tập
tin thì bạn nên dùng NTFS.
Trên Windows Server 2003/Windows 2000/NT, bạn có thể sử dụng lệnh
CONVERT để chuyển đổi hệ thống tập tin từ FAT16, FAT32 thành NTFS. Cú
pháp của lệnh nhƣ sau: CONVERT [ổ đĩa:] /fs:ntfs
II. CẤU HÌNH ĐĨA LƢU TRỮ
Windows Server 2003 hỗ trợ hai loại đĩa lưu trữ: Basic và Dynamic
1. Basic storage
Bao gồm các Partition primary và extended. Partition tạo ra đầu tiên trên đĩa
đƣợc gọi là Partition primary và toàn bộ không gian cấp cho partition đƣợc sử
dụng trọn vẹn. Mỗi ổ đĩa vật lý có tối đa 4 partition. Bạn có thể tạo 3 partition
primary và 1 partition extended. Với partition extended, bạn có thể tạo ra nhiều
partition logical.
2. Dynamic storage
Đây là một tính năng mới của Windows Server 2003. Đĩa lƣu trữ dynamic chia
thành các volume dynamic. Volume dynamic không chứa partition hoặc ổ đĩa
logic, và chỉ có thể truy cập bằng Windows Server 2003 và Windows 2000.
Windows Server 2003/ Windows 2000 hỗ trợ năm loại volume dynamic:
simple, spanned, striped, mirrored và RAID-5.
Ƣu điểm của công nghệ Dynamic storage so với công nghệ Basic storage:
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 115
- Cho phép ghép nhiều ổ đĩa vật lý để tạo thành các ổ đĩa logic (Volume).
- Cho phép ghép nhiều vùng trống không liên tục trên nhiều đĩa cứng vật lý để tạo
ổ đĩa logic.
- Có thể tạo ra các ổ đĩa logic có khả năng dung lỗi cao và tăng tốc độ truy xuất…
1. Volume simple
Chứa không gian lấy từ một đĩa dynamic duy nhất. Không gian đĩa này có thể liên
tục hoặc không liên tục. Hình sau minh hoạ một đĩa vật lý đƣợc chia thành hai
volume đơn giản.
2. Volume spanned.
Bao gồm một hoặc nhiều đĩa dynamic (tối đa là 32 đĩa). Sử dụng khi bạn
muốn tăng kích cỡ của volume. Dữ liệu ghi lên volume theo thứ tự, hết đĩa này
đến đĩa khác.
Chú ý: Thông thƣờng ngƣời quản trị sử dụng volume spanned khi ổ đĩa đang sử
dụng trong volume sắp bị đầy và muốn tăng kích thƣớc của volume bằng cách bổ
sung thêm một đĩa khác.Do dữ liệu đƣợc ghi tuần tự nên volume loại này không
tăng hiệu năng sử dụng.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 116
Nhược điểm chính của volume spanned: Là nếu một đĩa bị hỏng thì toàn bộ dữ
liệu trên volume không thể truy xuất đƣợc.
3. Volume striped.
Lƣu trữ dữ liệu lên các dãy (strip) bằng nhau trên một hoặc nhiều đĩa vật lý (tối đa
là 32). Do dữ liệu đƣợc ghi tuần tự lên từng dãy, nên bạn có thể thi hành nhiều tác
vụ I/O đồng thời, làm tăng tốc độ truy xuất dữ liệu.
Chú ý: Thông thƣờng, Admin sử dụng volume striped để kết hợp dung lƣợng của
nhiều ổ đĩa vật lý thành một đĩa logic đồng thời tăng tốc độ truy xuất.
Nhƣợc điểm chính của volume striped: Là nếu một ổ đĩa bị hỏng thì dữ liệu trên
toàn bộ volume mất giá trị.
4. Volume mirrored
Là hai bản sao của một volume đơn giản. Bạn dùng một ổ đĩa chính và một ổ đĩa
phụ. Dữ liệu khi ghi lên đĩa chính đồng thời cũng sẽ đƣợc ghi lên đĩa phụ. Volume
dạng này cung cấp khả năng dung lỗi tốt. Nếu một đĩa bị hỏng thì ổ đĩa kia vẫn làm
việc và không làm gián đoạn quá trình truy xuất dữ liệu.
Nhƣợc điểm của phƣơng pháp này: Là bộ điều khiển đĩa phải ghi lần lƣợt lên hai
đĩa, làm giảm hiệu năng.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 117
Để tăng tốc độ ghi đồng thời cũng tăng khả năng dung lỗi, bạn có thể sử
dụng một biến thể của volume mirrored là duplexing. Theo cách này bạn phải
sử dụng một bộ điều khiển đĩa khác cho ổ đĩa thứ hai.
Nhƣợc điểm chính của phƣơng pháp này là chi phí cao. Để có một volume 4GB
bạn phải tốn đến 8GB cho hai ổ đĩa.
5. Volume RAID-5.
Tƣơng tự nhƣ volume striped nhƣng RAID-5 lại dùng thêm một dãy (strip)
ghi thông tin kiểm lỗi parity. Nếu một đĩa của volume bị hỏng thì thông tin
parity ghi trên đĩa khác sẽ giúp phục hồi lại dữ liệu trên đĩa hỏng. Volume RAID-5
sử dụng ít nhất ba ổ đĩa (tối đa là 32).
Ƣu điểm chính của kỹ thuật này là khả năng dung lỗi cao và tốc độ truy xuất cao
bởi sử dụng nhiều kênh I/O.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 118
III. SỬ DỤNG CHƢƠNG TRÌNH DISK MANAGER
Disk Manager là một tiện ích giao diện đồ hoạ phục vụ việc quản lý đĩa và
volume trên môi trƣờng Windows 2000 và Windows Server 2003.
Để có thể sử dụng đƣợc hết các chức năng của chƣơng trình, bạn phải đăng nhập
vào máy bằng tài khoản Administrator nhƣ sau:
- Vào Start / Programs / Administrative Tools / Computer Management.
Sau đó mở rộng mục Storage và chọn Disk Management. Cửa sổ Disk
Management xuất hiện nhƣ sau:
Phần Disk Management đƣợc ứng dụng trên windows Xp, các chức năng tƣơng tự
nhau: Ngƣời dùng giúp cho ổ đĩa tránh đi sự phân mãnh.
1. Xem thuộc tính của đĩa
Nhấp phải chuột lên ổ đĩa vật lý muốn biết thông tin và chọn Properties. Hộp
thoại Disk Properties xuất hiện nhƣ sau:
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 119
- Số thứ tự của ổ đĩa vật lý
- Loại đĩa (basic, dynamic, CD-ROM, DVD, đĩa chuyển dời đƣợc, hoặc
unknown)
- Trạng thái của đĩa (online hoặc offline)
- Dung lƣợng đĩa.
- Lƣợng không gian chƣa cấp phát
- Loại thiết bị phần cứng.
- Nhà sản xuất thiết bị
- Tên của adapter
- Danh sách các volume đã tạo trên đĩa
2. Xem thuộc tính của volume hoặc đĩa cục bộ
Trên một ổ đĩa dynamic, bạn sử dụng các volume. Ngƣợc lại trên một ổ đĩa basic,
bạn sử dụng các đĩa cục bộ (local disk). Volume và đĩa cục bộ đều có chức năng
nhƣ nhau, do vậy các phần sau dựa vào đĩa cục bộ để minh hoạ.
Để xem thuộc tính của một đĩa cục bộ, bạn nhấp phải chuột lên đĩa cục bộ đó và
chọn Properties và hộp thoại Local Disk Properties xuất hiện.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 120
- Tab General:
Cung cấp các thông tin nhƣ nhãn đĩa, loại, hệ thống tập tin, dung lƣợng đã sử dụng,
còn trống và tổng dung lƣợng. Nút Disk Cleanup dùng để mở chƣơng trình
Disk Cleanup dùng để xoá các tập tin không cần thiết, giải phóng không gian
đĩa cứng, giúp ích cho việc truy xuất đĩa
- Tab Tools.
Bấm nút Check Now để kích hoạt chƣơng trình Check Disk dùng để kiểm tra lỗi
nhƣ khi không thể truy xuất đĩa hoặc khởi động lại máy không đúng cách.
Bấm nút Backup Now sẽ mở chƣơng trình Backup Wizard. Hƣớng dẫn bạn các
bƣớc thực hiện việc sao lƣu các tập tin và thƣ mục trên đĩa.
Bấm nút Defragment Now mở chƣơng trình Disk Defragment, dùng để dồn các
tập tin trên đĩa thành một khối liên tục, giúp ích cho việc truy xuất đĩa.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 121
- Tab Hardware.: Liệt kê các ổ đĩa vật lý Windows nhận diện đƣợc.
- Tab Sharing:
Cho phép chia sẻ hoặc không chia sẻ ổ đĩa cục bộ này. Theo mặc định, tất cả các ổ
đĩa cục bộ đều đƣợc chia sẻ dƣới dạng ẩn (có dấu $ sau tên chia sẻ).
- Tab Security.
Chỉ xuất hiện khi đĩa cục bộ này sử dụng hệ thống tập tin NTFS. Dùng để thiết lập
quyền truy cập lên đĩa. Theo mặc định, nhóm Everyone đƣợc toàn quyền trên thƣ
mục gốc của đĩa.
IV. THIẾT LẬP HẠN NGẠCH ĐĨA (DISK QUOTA)
Hạn ngạch đĩa đƣợc dùng để chỉ định lƣợng không gian đĩa tối đa mà một ngƣời
dùng có thể sử dụng trên một volume NTFS. Bạn có thể áp dụng hạn ngạch đĩa cho
tất cả ngƣời dùng hoặc chỉ đối với từng ngƣời dùng riêng biệt.
Một số vấn đề bạn phải lưu ý khi thiết lập hạn ngạch đĩa:
- Chỉ có thể áp dụng trên các volume NTFS.
- Lƣợng không gian chiếm dụng đƣợc tính theo các tập tin và thƣ mục do
ngƣời dùng sở hữu.
- Khi ngƣời dùng cài đặt một chƣơng trình, lƣợng không gian đĩa còn trống
mà chƣơng trình thấy đƣợc tính toán dựa vào hạn ngạch đĩa của ngƣời dùng,
không phải là lƣợng không gian còn trống trên volume.
- Đƣợc tính toán trên kích thƣớc thật sự của tập tin trong trƣờng hợp tập
tin/thƣ mục đƣợc nén.
1. Cấu hình hạn ngạch đĩa
Bạn cấu hình hạn ngạch đĩa bằng hộp thoại Volume Propertise đã giới thiệu
trong phần trên. Bạn cũng có thể mở hộp thoại này bằng cách nhấp phải chuột
lên ký tự ổ đĩa trong Windows Explorer và chọn Propertise. Trong hộp thoại này
nhấp chọn tab Quota. Theo mặc định tính năng hạn ngạch đĩa không đƣợc kích
hoạt.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 122
Các mục trong hộp thoại có ý nghĩa nhƣ sau:
- Enable quota management: Thực hiện hoặc không thực hiện quản lý hạn
ngạch đĩa.
- Deny disk space to users exceeding quota limit: Ngƣời dùng sẽ không thể
tiếp tục sử dụng đĩa khi vƣợt quá hạn ngạch và nhận đƣợc thông báo out of
disk space.
- Select the default quota limit for new users on this volume: Định nghĩa các
giới hạn sử dụng. Các lựa chọn bao gồm “không định nghĩa giới hạn” (Do not
limit disk space), “giới hạn cho phép” (Limit disk space to) và “giới hạn cảnh
báo” (Set warning level to).
- Select the quota logging options for this volume: Có ghi nhận lại các sự kiện
liên quan đến sử dụng hạn ngạch đĩa. Có thể ghi nhận khi ngƣời dùng vƣợt quá
giới hạn cho phép hoặc vƣợt quá giới hạn cảnh báo.
- Biểu tƣợng đèn giao thông trong hộp thoại có các trạng thái sau:
- Đèn đỏ cho biết tính năng quản lý hạn ngạch không đƣợc kích hoạt.
- Đèn vàng cho biết Windows Server 2003 đang xây dựng lại thông tin hạn
ngạch.
- Đèn xanh cho biết tính năng quản lý đang có tác dụng.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 123
CHƢƠNG 9
TẠO VÀ QUẢN LÝ THƢ MỤC DÙNG CHUNG
I. TẠO VÀ QUẢN LÝ THƢ MỤC DÙNG CHUNG
1. Chia sẽ thư mục dùng chung
- Các tài nguyên chia sẻ: Là các tài nguyên trên mạng mà các ngƣời dùng có
thể truy xuất và sử dụng thông qua mạng. Muốn chia sẻ một thƣ mục dùng chung
trên mạng, bạn phải logon vào hệ thống với vai trò ngƣời quản trị(Administrators)
hoặc là thành viên của nhóm Server Operators
- Việc chia sẻ các tài nguyên trên mạng là điều không thể thiếu trong bất kỳ
hệ thống mạng nào, tuy nhiên việc chia sẻ này còn tùy thuộc vào nhu cầu ngƣời sử
dụng & ý đồ của nhà quản trị mạng, ví dụ trong công ty chúng ta có nhiều phòng
ban và các phòng ban trong công ty có nhu cầu chia sẻ tài nguyên cho nhau tuy
nhiên nhà quản trị mạng muốn không phải phòng ban nào cũng có thể truy cập vô
tƣ các dữ liệu của phòng ban khác.
- Chẳng hạn các nhân viên trong phòng kinh doanh thì có thể truy cập dữ liệu
của phòng mình và phòng kỹ thuật thoải mái, nhƣng với các nhân viên trong phòng
kỹ thuật chỉ đƣợc phép truy cập tài nguyên trong phòng mình mà thôi và không
đƣợc phép truy cập các tài liệu từ phòng kinh doanh.
Tính năng Sharing and Sercurity…sẽ giúp ta giải quyết các yêu cầu trên.
- Trong windows server 2003: Để chia sẻ một tài nguyên nào đó bạn nhấp
chuột phải vào thƣ mục cần share chọn Tab Sharing and Sercurity…
Chú ý: Việc quản lý thông tin và chia sẽ dữ liệu và rất quan trọng với ngƣời quản
trị mạng, vì dữ liệu đƣợc xem là phần quan trọng nhất cần phải đƣợc cất dữ và che
dấu thông tin. Trƣớc khi Share dữ liệu thì ngƣời quản trị phải hiểu đƣợc cần làm
gì, và xử lý ra sao…
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 124
Nhấp chọn mục check Share this folder. Ở ô Share Name máy sẽ tự lấy tên
default là tên thƣ mục hiện hành bạn có thể chỉnh sửa tên này tùy ý theo yêu cầu.
Sau đây là ý nghĩa của các mục trong Tab Sharing
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 125
Mục Mô tả
Do not share this folder Chỉ định thƣ mục này chỉ đƣợc phép truy cập cục bộ.
Share this folder Chỉ định thƣ mục này đƣợc phép truy cập cục bộ và truy
cập qua mạng.
Share name Tên thƣ mục mà ngƣời dùng mạng nhìn thấy và truy cập.
Comment Cho phép ngƣời dùng mô tả thêm thông tin về thƣ
mục dùng chung này
User Limit Cho phép bạn khai báo số kết nối tối đa truy xuất vào
thƣ mục tại một thời điểm.
Permissions Cho phép bạn thiết lập danh sách quyền truy cập thông
qua mạng của ngƣời dùng
Offline Settings Cho phép thƣ mục đƣợc lƣu trữ tạm tài liệu khi làm việc
dƣới chế độ Offline.
2. Cấu hình Share Permissions
Bạn muốn cấp quyền cho các ngƣời dùng truy cập qua mạng thì dùng
Share Permissions. Share Permissions chỉ có hiệu lực khi ngƣời dùng truy cập
qua mạng chứ không có hiệu lực khi ngƣời dùng truy cập cục bộ. Khác với NTFS
Permissions là quản lý ngƣời dùng truy cập dƣới cấp độ truy xuất đĩa.
Trong hộp thoại Share Permissions, chứa danh sách các quyền sau:
- Full Control: Cho phép ngƣời dùng có toàn quyền trên thƣ mục chia sẻ.
- Change: Cho phép ngƣời dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong
thƣ mục chia sẻ.
- Read: Cho phép ngƣời dùng chỉ xem và thi hành các tập tin trong thƣ mục đƣợc
chia sẻ.
Bạn muốn cấp quyền cho ngƣời dùng thì nhấp chuột vào nút Add.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 126
Hộp thoại chọn ngƣời dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào các tài
khoản ngƣời dùng và nhóm cần chọn, sau đó chọn OK.
Trong hộp thoại xuất hiện, muốn cấp quyền cho ngƣời dùng bạn đánh dấu vào mục
Allow, ngƣợc lại khóa quyền thì đánh dấu vào mục Deny
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 127
Để phân quyền cho User truy cập bạn click chọn mục Permission
Trong này bạn có thể giới hạn quyền cho từng group hoặc user với các quyền đƣợc
giới hạn bời các mục Allow & Deny.
Allow: User có quyền truy cập tài nguyên với quyền hạn tƣơng ứng
Deny: User không có quyền truy cập tài nguyên với quyền hạn tƣơng ứng
II. QUẢN LÝ CÁC THƢ MỤC DÙNG CHUNG
1. Xem các thư mục dùng chung
Mục Shared Folders trong công cụ Computer Management cho phép bạn tạo và
quản lý các thƣ mục dùng chung trên máy tính. Muốn xem các thƣ mục dùng
chung trên máy tính bạn chọn mục Shares. Nếu thƣ mục dùng chung nào có phần
cuối của tên chia sẻ (share name) là dấu $ thì tên thƣ mục dùng chung này đƣợc ẩn
đi và không tìm thấy khi bạn tìm kiếm thông qua My Network Places hoặc duyệt
các tài nguyên mạng.
2. Xem các phiên làm việc trên thư mục dùng chung
Muốn xem tất cả các ngƣời dùng đang truy cập đến các thƣ mục dùng chung trên
máy tính bạn chọn mục Session. Mục Session cung cấp các thông tin sau:
- Tên tài khoản ngƣời dùng đang kết nối vào tài nguyên chia sẻ.
- Tên máy tính có ngƣời dùng kết nối từ đó.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 128
- Hệ điều hành mà máy trạm đang sử dụng để kết nối.
- Số tập tin mà ngƣời dùng đang mở.
- Thời gian kết nối của ngƣời dùng.
- Thời gian chờ xử lý của kết nối.
- Phải là truy cập của ngƣời dùng Guest không?
3. Xem các tập tin đang mở trong các thư mục dùng chung.
Muốn xem các tập đang mở trong các thƣ mục dùng chung bạn nhấp chuột vào
mục Open Files. Mục Open Files cung cấp các thông tin sau:
- Đƣờng dẫn và tập tin hiện đang đƣợc mở.
- Tên tài khoản ngƣời dùng đang truy cập tập tin đó.
- Hệ điều hành mà ngƣời dùng sử dụng để truy cập tập tin.
- Trạng thái tập tin có đang bị khoá hay không.
- Trạng thái mở sử dụng tập tin (Read hoặc Write).
III. QUYỀN TRUY CẬP NTFS
Có hai loại hệ thống tập đƣợc dùng cho partition và volume cục bộ là
FAT (bao gồm FAT16 và FAT32). FAT partition không hỗ trợ bảo mật nội
bộ, còn NTFS partition thì ngƣợc lại có hỗ trợ bảo mật; có nghĩa là nếu đĩa cứng
của bạn định dạng là FAT thì mọi ngƣời đều có thể thao tác trên các file chứa trên
đĩa cứng này, còn ngƣợc lại là định dạng NTFS thì tùy theo ngƣời dùng có quyền
truy cập không, nếu ngƣời dùng không có quyền thì không thể nào truy cập đƣợc
dữ liệu trên đĩa. Hệ thống Windows Server 2003 dùng các ACL (Access Control
List) để quản lý các quyền truy cập của đối tƣợng cục bộ và các đối tƣợng trên
Active Directory. Một ACL có thể chứa nhiều ACE (Access Control Entry)
đại điện cho một ngƣời dùng hay một nhóm ngƣời.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 129
1. Các quyền truy cập của NTFS
Tên quyền Chức năng
Traverse Folder/Execute File Duyệt các thƣ mục và thi hành các tập tin chƣơng
trình trong thƣ mục.
List Folder/Read Data Liệt kê nội dung của thƣ mục và đọc dữ liệu của
các tập tin trong thƣ mục.
Read Attributes Đọc các thuộc tính của các tập tin và thƣ mục
Read Extended Attributes Đọc các thuộc tính mở rộng của các tập tin.
Create File/Write Data Tạo các tập tin mới và ghi dữ liệu lên các tập tin.
Create Folder/Append Data Tạo thƣ mục mới và chèn thêm dữ liệu vào tập tin.
Write Attributes Thay đổi thuộc tính của các tập tin và thƣ mục
Write Extendd Attributes Thay đổi thuộc tính mở rộng của các tập tin
Delete Subfolders and Files Xóa thƣ mục con và các tập tin
Delete Xóa các tập tin
Read Permissions Đọc các quyền trên các tập tin và thƣ mục
Change Permissions Thay đổi quyền trên các tập tin và thƣ mục
Take Ownership Tƣớc quyền sở hữu của các tập tin và thƣ mục
2. Gán quyền truy cập NTFS trên thư mục dùng chung
Bạn muốn gán quyền NTFS, thông qua Windows Explorer bạn nhấp phải chuột
vào tập tin hay thƣ mục cần cấu hình quyền truy cập rồi chọn Properties. Hộp thoại
Properties xuất hiện. Nếu ổ đĩa của bạn định dạng là FAT thì hộp thoại chỉ có hai
Tab là General và Sharing. Nhƣng nếu đĩa có định dạng là NTFS thì trong hộp
thoại sẽ có thêm một Tab là Security. Tab này cho phép ta có thể quy định
quyền truy cập cho từng ngƣời dùng hoặc một nhóm ngƣời dùng lên các tập tin và
thƣ mục. Bạn nhấp chuột vào Tab Security để cấp quyền cho các ngƣời dùng.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 130
Muốn cấp quyền truy cập cho một ngƣời dùng, bạn nhấp chuột vào nút Add, hộp
thoại chọn lựa ngƣời dùng và nhóm xuất hiện, bạn chọn ngƣời dùng và nhóm cần
cấp quyền, nhấp chuột vào nút Add để thêm vào danh sách, sau đó nhấp chuột vào
nút OK để trở lại hộp thoại chính.
Hộp thoại chính sẽ xuất hiện các ngƣời dùng và nhóm mà bạn mới thêm vào, sau
đó chọn ngƣời dùng và nhóm để cấp quyền. Trong hộp thoại đã hiện sẵn danh sách
quyền, bạn muốn cho ngƣời dùng đó có quyền gì thì bạn đánh dấu vào phần Allow,
còn ngƣợc lại muốn cấm quyền đó thì đánh dấu vào mục Deny.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 131
3. Kế thừa và thay thế quyền của đối tượng con
Trong hộp thoại chính trên, chúng ta có thể nhấp chuột vào nút Advanced để cấu
hình chi tiết hơn cho các quyền truy cập của ngƣời dùng. Khi nhấp chuột vào nút
Advanced, hộp thoại Advanced Security Settings xuất hiện, trong hộp thoại, nếu
bạn đánh dấu vào mục Allow inheritable permissions from parent to propagate
to this object and child objects: Thì thƣ mục hiện tại đƣợc thừa hƣởng danh sách
quyền truy cập từ thƣ mục cha, bạn muốn xóa những quyền thừa hƣởng từ thƣ mục
cha bạn phải bỏ đánh dấu này. Nếu danh sách quyền truy cập của thƣ mục cha thay
đổi thì danh sách quyền truy cập của thƣ mục hiện tại cũng thay đổi theo.
Ngoài ra nếu bạn đánh dấu vào mục Replace permission entries on all child
objects with entries shown here that apply to child objects: thì danh sách
quyền truy cập của thƣ mục hiện tại sẽ đƣợc áp dụng xuống các tập tin và thƣ mục
con có nghĩa là các tập tin và thƣ mục con sẽ đƣợc thay thế quyền truy cập giống
nhƣ các quyền đang hiển thị trong hộp thoại.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 132
Trong hộp thoại này, Windows Server 2003 cũng cho phép chúng ta kiểm tra và
cấu hình lại chi tiết các quyền của ngƣời dùng và nhóm, để thực hiện, bạn chọn
nhóm hay ngƣời dùng cần thao tác, sau đó nhấp chuột vào nút Edit
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 133
CHƢƠNG 10
QUẢN LÝ IN ẤN
I. CÀI ĐẶT MÁY IN
- Trƣớc khi bạn có thể truy xuất vào thiết bị máy in vật lý thông qua hệ điều
hành Windows Server 2003 thì bạn phải tạo ra một máy in logic. Nếu máy in
của bạn có tính năng Plug and Play thì máy in đó sẽ đƣợc nhận diện ra ngay
khi nó đƣợc gắn vào máy tính dùng hệ điều hành Windows Server 2003.
- Tiện ích Found New Hardware Wizard sẽ tự động bật lên. Tiện ích này sẽ
hƣớng dẫn cho bạn từng bƣớc để cài đặt máy in. Nếu hệ điều hành nhận diện
không chính xác thì bạn dùng đĩa CD đƣợc hãng sản xuất cung cấp kèm theo
máy để cài đặt.
- Ngoài ra, bạn cũng có thể tự mình thực hiện tạo ra một máy in logic bằng cách
sử dụng tiện ích Add Printer Wizard. Để có thể tạo ra một máy in logic trong
Windows Server 2003 thì trƣớc hết bạn phải đăng nhập vào hệ thống với
vai trò là một thành viên của nhóm Administrators hay nhóm Power
Users (trong trƣờng hợp đây là một Server thành viên) hay nhóm
Server Operators (trong trƣờng hợp đây là một domain controller).
- Bạn có thể tạo ra một máy in logic cục bộ tƣơng ứng với một máy in vật lý
đƣợc gắn trực tiếp vào máy tính cục bộ của mình hoặc tƣơng ứng với một máy
in mạng (máy in mạng đƣợc gắn vào một máy tính khác trong mạng hay một
thiết bị Print Server). Muốn thao tác bằng tay để tạo ra một máy in cục bộ hay
một máy in mạng, chúng ta lần lƣợt thực hiện các thao tác sau đây: Nhấp chuột
chọn Start, rồi chọn Printers And Faxes. Nhấp chuột vào biểu tƣợng Add
Printer, tiện ích Add Printer Wizard sẽ đƣợc khởi động. Nhấp chuột vào nút
Next để tiếp tục. Hộp thoại Local Or Network Printer xuất hiện. Bạn nhấp
vào tùy chọn Local Printer Attached To This Computer trong trƣờng hợp
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 134
bạn có một máy in vật lý gắn trực tiếp vào máy tính của mình. Nếu trƣờng hợp
ta đang tạo ra một máy in logic ứng với một máy in mạng thì ta nhấp
vào tùy chọn A Printer Attached To Another Computer. Nếu máy in
đƣợc gắn trực tiếp vào máy tính, bạn có thể chọn thêm tính năng
Automatically Detect And Install My Plug And Play Printer. Tùy chọn này
cho phép hệ thống tự động quét máy tính của bạn để phát hiện ra các máy in
Plug and Play, và tự động cài đặt các máy in đó cho bạn. Khi đã hoàn tất việc
chọn lựa, nhấp chuột vào nút Next để sang bƣớc kế tiếp. Nếu máy in vật lý đã
đƣợc tự động nhận diện bằng tiện ích Found New Hardware Wizard. Tiện
ích này sẽ hƣớng dẫn bạn tiếp tục cài đặt driver máy in qua từng bƣớc. Hộp
thoại Print Test Page xuất hiện. Nếu thiết bị máy in đƣợc gắn trực tiếp vào
máy tính của bạn, bạn nên in thử một trang kiểm tra để xác nhận rằng mọi thứ
đều đƣợc cấu hình chính xác.
- Ngƣợc lại, nếu máy in là máy in mạng thì bạn nên bỏ qua bƣớc này. Nhấp
chuột vào nút Next để sang bƣớc kế tiếp. Hộp thoại Completing The Add
Printer Wizard hiện ra. Hộp thoại này đem đến cho chúng ta một cơ hội để
xác nhận rằng tất cả các thuộc tính máy in đã đƣợc xác lập chính xác. Nếu bạn
phát hiện có thông tin nào không chính xác, hãy nhấp chuột vào nút Back để
quay lại sửa chữa thông tin cho đúng. Còn nếu nhận thấy mọi thứ đều ổn cả thì
bạn nhấp chuột vào nút Finish.
Một biểu tƣợng máy in mới sẽ hiện ra trong cửa sổ Printer And Faxes. Theo
mặc định, máy in sẽ đƣợc chia sẻ.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 135
II. QUẢN LÝ THUỘC TÍNH MÁY IN
1. Cấu hình Layout
Trong hộp thoại Printing Preferences, chọn Tab Layout.
Trong mục Orientation, chọn cách thức in trang theo chiều ngang hay chiều dọc.
Trong mục Page Order, chọn in từ trang đầu đến trang cuối của tài liệu, ngƣợc lại.
Trong mục Pages Per Sheet, bạn chọn số trang tài liệu sẽ đƣợc in trên một trang.
2. Giấy và chất lượng in
Cũng trong hộp thoại Printing Preferences, để qui định giấy và chất lƣợng
in, chúng ta chọn Tab Paper/Quality. Các tùy chọn trong Tab Paper/Quality
phụ thuộc vào đặc tính của máy in.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 136
3. Các thông số mở rộng
Nhấp chuột vào nút Advanced của hộp thoại Printing Preferences. Hộp thoại
Advanced Options xuất hiện cho phép bạn điều chỉnh các thông số mở rộng.
Chúng ta có thể có các tùy chọn của máy in nhƣ: Paper/Output, Graphic,
Document Options, và Printer Features. Các thông số mở rộng có trong hộp
thoại Advanced Options phụ thuộc vào driver máy in của bạn.
III. CẤU HÌNH CHIA SẺ MÁY IN
Nhấp phải chuột lên máy in, chọn Properties. Hộp thoại Properties xuất hiện, bạn
chọn Tab Sharing. Để chia sẻ máy in này cho nhiều ngƣời dùng, bạn nhấp chuột
chọn Share this printer. Trong mục Share name, bạn nhập vào tên chia sẻ của máy
in, tên này sẽ đƣợc nhìn thấy trên mạng. Bạn cũng có thể nhấp chọn mục List In
The Directory để cho phép ngƣời dùng có thể tìm kiếm máy in thông qua Active
Directory theo một vài thuộc tính đặc trƣng nào đó.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 137
IV. CẤU HÌNH THÔNG SỐ PORT
- Trong hộp thoại Properties, bạn chọn Tab Port để cấu hình tất cả các port
đã đƣợc định nghĩa cho máy in sử dụng. Một port đƣợc định nghĩa nhƣ một
interface sẽ cho phép máy tính giao tiếp với thiết bị máy in.
- Windows Server 2003 hỗ trợ các port vật lý (local port) và các port TCP/IP
chuẩn (port logic). Port vật lý chỉ đƣợc sử dụng khi ta gắn trực tiếp máy in
vào máy tính. Trong trƣờng hợp Windows Server 2003 đang đƣợc triển khai
trong một nhóm làm việc nhỏ, hầu nhƣ bạn phải gắn máy in vào port LPT1.
- Port TCP/IP chuẩn đƣợc sử dụng khi máy in có thể kết nối trực tiếp vào
mạng (trên máy in có hỗ trợ port RJ45) và máy in này có một địa chỉ IP
để nhận dạng. Ƣu điểm của máy in mạng là tốc độ in nhanh hơn máy
in cục bộ và máy in có thể đặt bất kì nơi nào trong hệ thống mạng. Khi đó
bạn cần chỉ định một port TCP/IP và khai báo địa chỉ IP của máy in mạng.
Cùng với việc xoá và cấu hình lại một port đã tồn tại, bạn cũng có thể thiết
lập printer pooling và điều hƣớng các công việc in ấn đến một máy in khác.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 138
V. CẤU HÌNH TAB ADVANCED
1. Các thông số của Tab Advanced
Trong hộp thoại Properties, bạn nhấp chuột vào Tab Advanced để điều khiển các
đặc tính của máy in. Bạn có thể cấu hình các thuộc tính sau:
- Khả năng của máy in
- Độ ƣu tiên của máy in
- Driver mà máy in sẽ sử dụng
- Các thuộc tính đồng tác (spooling) của máy in
- Cách thức in tài liệu theo biểu mẫu
- Chế độ in mặc định
- Sử dụng bộ xử lý in ấn nào
- Các trang độc lập
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 139
2. Khả năng sẵn sàng phục vụ của máy in
Thông thƣờng, chúng ta cần kiểm tra khả năng sẵn sàng phục vụ của máy in trong
trƣờng hợp chúng ta có nhiều máy in cùng sử dụng một thiết bị in. Mặc định thì
tùy chọn Always Available luôn đƣợc bật lên. Do đó, ngƣời dùng có thể sử dụng
máy in 24 tiếng một ngày.
Chú ý: Để giới hạn khả năng phục vụ của máy in, bạn chọn Available From và chỉ
định khoảng thời gian mà máy in sẽ phục vụ. Ngoài khoảng thời gian này, máy in
sẽ không phục vụ cho bất kì ngƣời dùng nào
3. Độ ưu tiên (Printer Priority)
- Khi bạn đặt độ ƣu tiên(Priority), bạn sẽ định ra bao nhiêu công việc sẽ đƣợc
gửi trực tiếp vào thiết bị in.
Ví dụ: Bạn có thể sử dụng tùy chọn này khi 2 nhóm ngƣời dùng cùng chia sẻ một
máy in và bạn cần điều khiển độ ƣu tiên đối với các thao tác in ấn trên thiết bị in
Trong Tab Advanced của hộp thoại Properties, bạn sẽ đặt độ ƣu tiên bằng các giá
trị từ 1 đến 99, với 1 là có độ ƣu tiên thấp nhất và 99 là có độ ƣu tiên cao nhất.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 140
Ví dụ: Giả sử có một máy in đƣợc phòng kế toán sử dụng. Những ngƣời quản lý
trong phòng kế toán luôn luôn muốn tài liệu của họ sẽ đƣợc ƣu tiên in ra trƣớc các
nhân viên khác. Để cấu hình cho việc sắp xếp thứ tự này, ta tạo ra một máy in tên
là MANAGERS gắn vào port LPT1 với độ ƣu tiên là 99.
Sau đó, cũng trên port LPT1, ta tạo thêm một máy in nữa tên là WORKERS với độ
ƣu tiên là 1. Sau đó, ta sẽ sử dụng Tab Security trong hộp thoại Properties
để giới hạn quyền sử dụng máy in MANAGERS cho những ngƣời quản lý.
Đối với các nhân viên còn lại trong phòng kế toán, ta cho phép họ sử dụng máy in
WORKERS (chúng ta sẽ tìm hiểu rõ hơn về Security trong phần sau). Khi các tác
vụ in xuất phát từ máy in MANAGERS, nó sẽ đi vào hàng đợi của của máy in vật
lý với độ ƣu tiên cao hơn là các tác vụ xuất phát từ máy in WORKERS. Do đó, tài
liệu của những ngƣời quản lý sẽ đƣợc ƣu tiên in trƣớc.
Bảng phân quyền in ấn cho ngƣời dùng:
Print Cho phép ngƣời dùng hoặc một nhóm ngƣời dùng có thể kết nối và
gửi tác vụ in ấn đến máy in.
Manage
Printers
Cho phép thực hiện thao tác điều khiển, quản lý máy in. Với quyền
này, ngƣời dùng hoặc nhóm ngƣời dùng có thể dừng hoặc khởi động
lại máy in, thay đổi cấu hình của bộ điều tác, chia sẻ hoặc không chia
sẻ máy in, thay đổi quyền in ấn, và quản trị các thuộc tính của máy in
Manage
Documents
Cho phép ngƣời dùng quản lý các tài liệu in qua các thao tác dừng
việc in, khởi động lại, phục hồi lại, hoặc là xoá tài liệu ra khỏi hàng
đợi máy in. Ngƣời dùng không thể điều khiển trạng thái của máy in
Special
Permissions
Bằng cách chọn Tab Advanced trong hộp thoại Print Permissions,
bạn có thể quản lý các quyền đặc biệt.
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 141
MỤC LỤC
CHƢƠNG 1 .......................................................................................................... 1
I. GIỚI THIỆU TỔNG QUAN...................................................................... 1
II. VAI TRÒ CỦA SERVER .......................................................................... 2
III. MỘT SỐ CẢI TIẾN CỦA Windows Server 2003 ..................................... 2
1. Tính sẵn sàng ......................................................................................... 2
2. Khả nǎng có thể mở rộng ....................................................................... 2
3. Tính an toàn ........................................................................................... 2
4. Internet Information Services (IIS) 6.0.................................................... 3
5. Kết nối thông suốt ................................................................................... 3
6. Các dịch vụ quản lý ................................................................................ 3
7. Quản lý lưu giữ ....................................................................................... 4
IV. NHỮNG CẢI TIẾN NÂNG CAO ĐỘ TIN CẬY TRONG SERVER ........ 4
CHƢƠNG 2 .......................................................................................................... 5
I. CARD MẠNG ........................................................................................... 5
1. Card mạng không dây ............................................................................. 5
Hình 1: Card mạng không dây ............................................................................... 5
2. Card TEL9939 Lan Card 10/100Base-TX PCI Adapter .......................... 5
Hình 2: Card mạng ................................................................................................. 5
3. Card 10/100M PCI FAST ETHERNET CARD (Realtek 8139D) ............. 6
Hình 3: Card mạng ................................................................................................. 6
II. REPEATER ............................................................................................... 6
Hình 4: Repeater .................................................................................................... 6
III. HUB .......................................................................................................... 7
1. Active Hub .............................................................................................. 7
2. Smart Hub (Intelligent Hub) ................................................................... 7
Hình 5: Hub ........................................................................................................... 7
IV. BRIDGE .................................................................................................... 8
1. Ưu điểm .................................................................................................. 8
2. Nhược điểm ............................................................................................ 8
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 142
Hình 6: Bridge ....................................................................................................... 8
V. SWITCH ................................................................................................... 9
Hình 7: Switch ....................................................................................................... 9
VI. ROUTER ..................................................................................................10
1. Ưu điểm .................................................................................................10
2. Nhược điểm ...........................................................................................10
Hình 8: Router ......................................................................................................11
VII. GATEWAY ...........................................................................................11
Hình 9: Gateway ...................................................................................................11
CHƢƠNG 3 ..........................................................................................................12
I. GIỚI THIỆU ............................................................................................12
II. YÊU CẦU PHẦN CỨNG ........................................................................13
1. Yêu cầu ..................................................................................................13
2. Tương thích phần cứng ..........................................................................14
3. Phân chia ổ đĩa......................................................................................14
4. Chọn hệ thống tập tin ............................................................................15
5. Chọn phương thức kết nối mạng ............................................................15
III. CÀI ĐẶT WINDOWS SERVER 2003 .....................................................16
1. Giai đoạn Preinstallation ......................................................................16
2. Cài đặt trực tiếp từ đĩa CD Windows 2003 ............................................16
3. Các bước hướng dẫn cài đặt ..................................................................16
Giai đoạn Text-Based Setup: .........................................................................16
Giai đoạn Graphical-Based Setup: ................................................................20
IV. TỰ ĐỘNG HÓA QUÁ TRÌNH CÀI ĐẶT ...............................................25
1. Tự động hóa dùng tham biến dòng lệnh .................................................25
2. Sử dụng Setup Manager để tạo ra tập tin trả lời ....................................26
CHƢƠNG 4 .........................................................................................................34
I. CÁC MÔ HÌNH MẠNG TRONG MÔI TRƢỜNG MICROSOFT ...........34
1. Mô hình mạng Workgroup .....................................................................34
2. Mô hình Domain ....................................................................................34
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 143
II. ACTIVE DIRECTORY ............................................................................35
1. Giới thiệu Active Directory ....................................................................35
2. Chức năng của Active Directory ............................................................35
3. Thành phần trong Directory Services ....................................................36
a. Object (đối tƣợng) ...............................................................................36
b. Attribute (thuộc tính) ..........................................................................36
c. Schema (cấu trúc tổ chức). ..................................................................36
d. Container (vật chứa)............................................................................36
e. Global Catalog .....................................................................................37
4. Kiến trúc của Active Directory ..............................................................38
a. Objects..................................................................................................38
b. Organizational Units. ..........................................................................39
c. Domain. ................................................................................................40
d. Domain Tree. .......................................................................................41
e. Forest. ...................................................................................................42
III. CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY .................................42
1. Nâng cấp Server thành Domain Controller ...........................................42
2. Các bước cài đặt....................................................................................44
3. Gia nhập máy trạm vào Domain ............................................................51
a. Giới thiệu..............................................................................................51
b. Các bƣớc cài đặt ..................................................................................51
4. Xây dựng các Domain Controller đồng hành.........................................53
a. Giới thiệu..............................................................................................53
b. Các bƣớc cài đặt Domain Controller đồng hành ...............................53
5. Xây dựng Subdomain .............................................................................57
6. Xây dựng Organizational Unit ...............................................................58
CHƢƠNG 5 .........................................................................................................61
I. ĐỊNH NGHĨA TÀI KHOẢN NGƢỜI DÙNG VÀ TÀI KHOẢN NHÓM 61
1. Tài khoản người dùng (user Account) ..................................................61
a. Tài khoản ngƣời dùng cục bộ ..............................................................61
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 144
b. Tài khoản ngƣời dùng miền ................................................................61
c. Yêu cầu về tài khoản ngƣời dùng .......................................................61
2. Tài khoản nhóm .....................................................................................62
a. Nhóm bảo mật. .....................................................................................62
b. Nhóm phân phối ..................................................................................63
II. CHỨNG THỰC VÀ KIỄM SOÁT TRUY CẬP .......................................64
1. Các giao thức chứng thực ......................................................................64
2. Số nhận diện bảo mật SID .....................................................................64
3. Kiểm soát hoạt động truy cập của đối tượng .........................................65
III. CÁC LOẠI TÀI KHOẢN TẠO SẴN .......................................................65
1. Tài khoản người dùng tạo sẵn ...............................................................65
2. Tài khoản nhóm Domain Local tạo sẵn .................................................67
3. Tài khoản nhóm Global tạo sẵn .............................................................68
4. Các nhóm tạo sẵn đặc biệt .....................................................................68
IV. QUẢN LÝ TÀI KHOẢN NGƢỜI DÙNG VÀ NHÓM CỤC BỘ .............69
1. Công cụ quản lý tài khoản người dùng cục bộ .......................................69
2. Các thao tác cơ bản trên tài khoản người dùng cục bộ ..........................71
2.1 Tạo tài khoản mới .........................................................................................71
2.2 Xóa tài khoản ...............................................................................................71
2.3 Khóa tài khoản. .............................................................................................72
2.4 Đổi tên tài khoản. .........................................................................................73
2.5 Thay đổi mật khẩu. .......................................................................................73
V. QUẢN LÝ TÀI KHOẢN NGƢỜI DÙNG VÀ NHÓM TRÊN ACTIVE
DIRECTORY ...................................................................................................73
1. Tạo mới tài khoản người dùng ...............................................................73
2. Các thuộc tính của tài khoản người dùng ..............................................76
a. Các thông tin mở rộng của ngƣời dùng ..............................................76
b. Tab Account. ........................................................................................78
c. Tab Profile ...........................................................................................81
d. Tab Member Of ...................................................................................84
e. Tab Dial-in ...........................................................................................85
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 145
3. Tạo mới tài khoản nhóm ........................................................................86
CHƢƠNG 6 ..........................................................................................................87
I. CHÍNH SÁCH TÀI KHOẢN NGƢỜI DÙNG .........................................87
1. Chính sách mật khẩu .............................................................................88
2. Chính sách nhóm ...................................................................................88
II. CHÍNH SÁCH CỤC BỘ ..........................................................................89
1. Chính sách kiễm toán ............................................................................89
2. Quyền hệ thống của người dùng ............................................................90
3. Các lựa chọn bảo mật ............................................................................93
III. IPSEC .......................................................................................................95
1. Các tác động bảo mật ............................................................................95
2. Các bộ lọc IPSEC ..................................................................................97
3. Triển khai IPSEC trên Windows Server 2003 ........................................97
3.1 Các chính sách IPSEC tạo sẵn .........................................................98
3.2 Ví dụ tạo chính sách IPSec đảm bảo một kết nối đƣợc mã hóa .....99
CHƢƠNG 7 ........................................................................................................ 104
I. GIỚI THIỆU .......................................................................................... 104
1. So sánh giữa System Policy và Group Policy ....................................... 104
2. Chức năng của Group Policy............................................................... 104
II. TRIỂN KHAI MỘT CHÍNH SÁCH NHÓM TRÊN MIỀN .................... 106
1. Xem chính sách cục bộ của một máy tính ở xa ..................................... 107
2. Tạo các chính sách trên miền .............................................................. 107
III. MỘT SỐ MINH HỌA GPO TRÊN NGƢỜI DÙNG VÀ CẤU HÌNH MÁY
110
1. Khai báo một logon script dùng chính sách nhóm ............................... 110
2. Hạn chế chức năng của Internet Explorer ........................................... 112
3. Chỉ cho phép một số ứng dụng được thi hành ...................................... 113
CHƢƠNG 8 ........................................................................................................ 114
I. CẤU HÌNH HỆ THỐNG TẬP TIN ........................................................ 114
II. CẤU HÌNH ĐĨA LƢU TRỮ .................................................................. 114
1. Basic storage ....................................................................................... 114
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 146
2. Dynamic storage .................................................................................. 114
1. Volume simple.................................................................................... 115
2. Volume spanned................................................................................. 115
3. Volume striped. .................................................................................. 116
4. Volume mirrored ..................................................................................... 116
5. Volume RAID-5...................................................................................... 117
III. SỬ DỤNG CHƢƠNG TRÌNH DISK MANAGER ................................. 118
1. Xem thuộc tính của đĩa ............................................................................ 118
2. Xem thuộc tính của volume hoặc đĩa cục bộ ............................................ 119
IV. THIẾT LẬP HẠN NGẠCH ĐĨA (DISK QUOTA)................................. 121
1. Cấu hình hạn ngạch đĩa .......................................................................... 121
CHƢƠNG 9 ........................................................................................................ 123
I. TẠO VÀ QUẢN LÝ THƢ MỤC DÙNG CHUNG ................................ 123
1. Chia sẽ thư mục dùng chung ................................................................ 123
2. Cấu hình Share Permissions ................................................................... 125
II. QUẢN LÝ CÁC THƢ MỤC DÙNG CHUNG ....................................... 127
1. Xem các thư mục dùng chung .............................................................. 127
2. Xem các phiên làm việc trên thư mục dùng chung ............................... 127
3. Xem các tập tin đang mở trong các thư mục dùng chung. .................... 128
III. QUYỀN TRUY CẬP NTFS ................................................................... 128
1. Các quyền truy cập của NTFS ................................................................. 129
2. Gán quyền truy cập NTFS trên thư mục dùng chung ............................... 129
3. Kế thừa và thay thế quyền của đối tượng con .......................................... 131
CHƢƠNG 10 ...................................................................................................... 133
QUẢN LÝ IN ẤN .............................................................................................. 133
I. CÀI ĐẶT MÁY IN................................................................................. 133
II. QUẢN LÝ THUỘC TÍNH MÁY IN ...................................................... 135
1. Cấu hình Layout ...................................................................................... 135
2. Giấy và chất lượng in .............................................................................. 135
3. Các thông số mở rộng ............................................................................. 136
Quản trị mạng Windows Server 2003
Trƣờng trung cấp Tây Bắc Trang 147
III. CẤU HÌNH CHIA SẺ MÁY IN ............................................................. 136
IV. CẤU HÌNH THÔNG SỐ PORT ............................................................. 137
V. CẤU HÌNH TAB ADVANCED ............................................................. 138
1. Các thông số của Tab Advanced .......................................................... 138
2. Khả năng sẵn sàng phục vụ của máy in ............................................... 139
3. Độ ưu tiên (Printer Priority) ................................................................ 139