Thiet ke mang lan o truong thpt

Trường Đại học Sư phạm Tp.Hồ Chí Minh Đồ án Tốt nghiệp

Mục lục Trang Mục lục.......................................................................................................... 1

Các kí hiệu viết tắt trong đồ án...................................................................... 3

Phần 1: Giới thiệu và tóm tắc về đề tài...................................................... 4

I. Giới thiệu đề tài .................................................................................... 4

II. Tóm tắt sơ lược về đề tài ..................................................................... 4

Phần 2: Cơ sở lý thuyết ............................................................................... 6

Chương 1: Tìm hiểu một số khái niệm liên quan.......................................... 6

1.1 DNS Server ........................................................................................ 6

1.2 Workstation (máy trạm) và Server..................................................... 8

1.3 Giới thiệu về LDAP ........................................................................... 9

1.4 Roaming and Mandatory Profiles .................................................... 10

Chương 2: Mô hình Domain, Domain Controller ....................................... 11

2.1 Mô hình Domain .............................................................................. 11

2.2 Giới thiệu về Domain Controller ..................................................... 11

2.3 Chức năng của Domain Controller .................................................. 11

2.4 Nâng cấp Server thành Domain Controller...................................... 12

2.5 Domain Controller đồng hành ........................................................ 13

Chương 3: Active Directory ........................................................................ 14

3.1 Giới thiệu về Active Directory ........................................................ 14

3.2 Chức năng của Active Directory...................................................... 14

3.3 Cấu trúc của Active Directory ......................................................... 14

3.4 Cách đặt tên trong Active Directory...............................................21

3.5 Backup và Restore. .......................................................................... 21 Chương 4: Quản lý tài khoản người dùng và nhóm .................................... 26

4.1 Định nghĩa tài khoản người dùng và tài khoản nhóm...................... 26

4.2 Chứng thực và kiểm soát truy cập ................................................... 28

4.3 Các tài khoản tạo sẵn ....................................................................... 29

4.4 Quản lý tài khoản người dùng và nhóm trên Active Directory ....... 33

Chương 5: Chính sách của hệ thống............................................................ 44

Thiết kế mạng LAN ở trường THPT Trang 1


5.1 Chính sách tài khoản người dùng .................................................... 44

5.2 Chính sách cục bộ ............................................................................ 46

Chương 6: Tạo và quản lý thư mục dùng chung ......................................... 53

6.1 Tạo các thư mục dùng chung ........................................................... 53

6.2 Quản lý các thư mục dùng chung .................................................... 55

6.3 Quyền truy cập NTFS ...................................................................... 56

Chương 7: Chính sách nhóm

7.1 Giới thiệu về chính sách nhóm ........................................................ 59

7.2 Triển khai một chính sách nhóm trên miền ..................................... 60

7.3 Một số minh họa GPO trên người dùng và cấu hình máy ............... 63

Phần 3: Thiết kế cài đặt và ứng dụng...................................................... 65

Chương 1: Thiết kế và cài đặt

I. Nâng cấp Server thành Domain Controller ...................................... 67

II. Tạo Domain User, Domain Group và OU........................................ 69

III. Cấp thư mục Home và thiết lập Quota ............................................. 71

IV. Thiết lập Roaming and Mandatory Profile....................................... 72

V. Backup và Restore AD .................................................................... 73

VI. Gia nhập các máy client vào DC...................................................... 73

VII. NTFS trên thư mục chia sẻ .............................................................. 75

Chương 2: Các ứng dụng trong trường học

I. Chia sẽ tài nguyên ............................................................................ 79

II. Tổ chức thi nộp bài qua mạng (tự luận) ........................................... 79

III. Thi qua mạng dùng phần mềm EmpTest (trắc nghiệm)................... 79

IV. Dùng các phần mềm EASYCAFE quản lý HS dùng Internet.......... 80

V. Dùng NetOp School dạy học............................................................ 80

Tài liệu tham khảo............................................................................ 81



Các kí hiệu viết tắt AD .................................. : Active Directory BDC ................................ : Backup Domain Controller DC................................... : Domain Controller DNS ................................ : Domain Name System IP..................................... : Internet Protocol OU .................................. : Oranization Unit PDC ................................ : Primary Domain Controller RL ................................... : Right Click (nhấn chuột phải) TCP................................. : Transmission Control Protocol W2K3.............................. : Windows 2003 WXP ............................... : Windows XP



Phần 1 Giới thiệu và tóm tắc về đề tài

I. Giới thiệu về đề tài.

Cùng với xu thế phát triển nhanh chóng của ngành công nghệ thông tin, tin học ngày càng đi sâu vào trong đời sống mỗi người dân Việt Nam, cụ thể từ năm học 2006 – 2007 Bộ Giáo dục và Đào tạo đã chính thức đưa môn Tin học vào chương trình giảng dạy.

Việc trao đổi thông tin chưa lúc nào trở nên quan trọng và mạnh mẽ như hiện nay, việc trao đổi thông tin qua mạng đã trở thành một kênh thông tin không thể thiếu trong thời đại ngày nay – thời đại công nghệ thông tin.

Một thực tế, trong tình hình mới việc triển khai và áp dụng công nghệ thông tin vào trường học là vấn đề khó khăn không thể giải quyết một sớm một chiều. Đòi hỏi phải có một quá trình học tập, nghiên cứu nhất định.

Theo tìm hiểu thức tế, ở các trường phổ thông hiện nay đa số các phòng máy của trường đều hoạt động độc lập, có trường đã có sự kết nối các phòng máy với nhau. Tuy nhiên, việc lắp đặt và bảo trì hệ thống lại giao hoàn toàn cho các dịch vụ vi tính, nên đã xảy ra nhiều trường hợp hư hỏng bất thường ảnh hưởng đến quá trình giảng dạy và gây ra nhiều bối rối rất bị động đối với giáo viên của trường. Là một giáo viên Tin học trong tương lai, khi nhìn nhận sự việc này, em không khỏi những trăn trở và đặt câu hỏi “Tại sao tự mình không làm chủ công cụ của mình?”. Cũng vì lẽ đó em quyết định chọn đề tài này để nghiên cứu với hi vọng. Trước tiên đề tài này sẽ tích lũy cho bản thân em một lượng kiến thức cần thiết về quản trị mạng, sau là em muốn chia sẽ tài liệu này với các đồng nghiệp những người cùng chung trọng trách hướng dẫn giảng dạy trong tương lai.

Đề tài của em là “Nghiên cứu, xây dựng và thiết kế hệ thống mạng LAN của trường phổ thông.”

Đây là đề tài tuy không còn mới mẻ nhưng ứng dụng của nó lại rất lớn, đặc biệt trong các trường phổ thông hiện nay. Nó đảm bảo được sự thống nhất về tài nguyên của hệ thống, đồng thời giúp việc đăng nhập vào hệ thống máy tính ở trường của mỗi học sinh một cách dễ dàng và thân thiện. Đảm bảo quản lí tập trung tài khoản của mỗi học sinh theo khối lớp một cách dễ dàng.

II. Tóm tắt sơ lược về đề tài.

Thiết kế hệ thống mạng máy tính của trường phổ thông gồm 4 phòng máy tính và một Server. Server này đóng vai trò là một Domain Controller (máy điều khiển tên miền) quản lý tập trung và thẩm định quyền đăng nhập vào hệ thống của các User.



Mô hình hệ thống Domain Controller

Mỗi học sinh khi tham gia vào hệ thống mạng này sẽ được cấp một tài khoản (Username và Password) để có thể đăng nhập và sử dụng tài nguyên trên bất kỳ máy tính nào của hệ thống này. Đồng thời mỗi học sinh cũng được cấp một thư mục Home trên Server với dung lượng 1Gb để lưu trữ dữ liệu và thông tin profile, khi học sinh đăng nhập vào hệ thống bằng bất kỳ máy nào trong hệ thống, thư mục Home sẽ ánh xạ thành thư mục Home trên máy trạm, giúp học sinh có thể sử dụng cùng một môi trường làm việc trên các máy tính khác nhau.

Hệ thống được thiết kế để học sinh và giáo viên có thể chia sẻ thông tin với nhau. Qua hệ thống này giáo viên có thể tổ chức thi và nộp bài quan mạng đảm bảo an toàn và bảo mật.

Roaming Profile sẽ lưu lại tất cả những gì thay đổi trên Desktop và My Documents lên Server Domain khi User kết thúc phiên làm việc trong hệ thống mạng. Mỗi khi User logon trở lại hệ thống, Roaming Profile sẽ tự động ánh xạ khôi phục hoàn toàn các thiết lập trên Desktop ở phiên làm việc trước, tạo ra một môi trường quen thuộc mà không phải mất công thiết lập lại.



Phần 2: Cơ sở lý thuyết

Chương 1: Tìm hiểu một số khái niệm liên quan

1.1 DNS Server

1.1.1 Giới thiệu về DNS Server (máy chủ phân giải tên miền)

Khi một máy tính hoặc thiết bị mạng tham gia vào hệ mạng chúng đều giao tiếp với nhau bằng địa chỉ IP. Để thuận tiện cho việc sử dụng và dễ nhớ ta dùng tên (Domain name) để xác định vị trí của thiết bị đó. Hệ thống tên miền DNS được sử dụng để ánh xạ tên miền thành địa chỉ IP. Vì vậy, khi muốn liên hệ tới các máy, chúng chỉ cần sử dụng chuỗi ký tự dễ nhớ như: www.tuoitre.com.vn, www.ibm.com..., thay vì sử dụng địa chỉ IP là một dãy số dài khó nhớ.

Máy DNS

Máy chủ phân giải tên miền là những máy chủ được cài đặt, và cung cấp dịch vụ phân giải tên miền DNS. Máy chủ DNS được phân ra thành 2 loại: Primary DNS Server(PDS) và Secondary DNS Server (SDS)

a. Primary DNS Server Primary DNS Server là nguồn xác thực thông tin chính thức cho các tên

miền mà nó được phép quản lý. Thông tin về một tên miền do PDS được phân cấp quản lý thì được lưu trữ tại đây và sau đó có thể được chuyển sang các Secondary DNS Server.

Các tên miền do PDS quản lý thì được tạo, và sửa đổi tại PDS và sau đó được cập nhật đến các SDS .

b. Secondary DNS Server DNS được khuyến nghị nên sử dụng ít nhất là hai DNS server để lưu địa chỉ

cho mỗi một vùng (zone). PDS quản lý các vùng và SDS được sử dụng để lưu trữ dự phòng cho vùng, và cho cả PDS. SDS không nhất thiết phải có nhưng khuyến khích hãy sử dụng . SDS được phép quản lý tên miền nhưng dữ liệu về tên miền không phải được tạo ra từ SDS mà được lấy về từ PDS.

SDS có thể cung cấp các hoạt động ở chế độ không tải trên mạng. Khi lượng truy vấn vùng tăng cao, PDS sẽ chuyển bớt tải sang SDS (quá trình này còn được gọi là cân bằng tải), hoặc khi PDS bị sự cố thì SDS hoạt động thay thế cho đến khi PDS hoạt động trở lại .

SDS thường được sử dụng tại nơi gần với các máy trạm (client) để có thể phục vụ cho các truy vấn một cách dễ dàng. (Tuy nhiên, cài đặt SDS trên cùng một subnet hoặc cùng một kết nối với PDS là không nên). Điều đó sẽ là một giải pháp tốt để dự phòng cho PDS, vì khi kết nối đến PDS bị hỏng thì cũng không ảnh hưởng gì tới đến SDS.

Ngoài ra, PDS luôn duy trì một lượng lớn dữ liệu và thường xuyên thay đổi hoặc thêm các địa chỉ mới vào các vùng. Do đó, DNS server sử dụng một cơ chế cho phép chuyển các thông tin từ PDS sang SDS và lưu giữ trên đĩa. Khi


http://www.vnn.vn/cntt/2005/11/507969/


cần phục hồi dữ liệu về các vùng, chúng ta có thể sử dụng giải pháp lấy toàn bộ (full) hoặc chỉ lấy phần thay đổi (incrememtal).

1.1.2 Cách thức hoạt động của DNS Server

DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trong một thể thống nhất.

Trong phạm vi lớn hơn, các máy tính kết nối với Internet sử dụng DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators). Theo phương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối mà chỉ cần sử dụng tên miền (domain name) để truy vấn đến kết nối đó. Với mô hình phân cấp như hình dưới đây :

Mô hình phân cấp tên miền

Mịnh họa hoạt động của DNS Khi một máy tính (PCA) muốn truy cập đến trang web www.yahoo.com và

server vnn chưa lưu thông tin về trang web này, các bước truy vấn sẽ diễn ra như sau:

− Đầu tiên PCA gửi một request server quản lý tên miền vnn hỏi thông tin về www.yahoo.com. − Server quản lý tên miền vnn gửi một truy vấn đến server top level domain. − Top level domain lưu trữ thông tin về mọi tên miền trên mạng. Do đó nó sẽ gửi lại cho server quản lý tên miền vnn địa chỉ IP của server quản lý miền com (gọi tắt server com). − Khi có địa chỉ IP của server quản lý tên miền com thì lập tức server vnn hỏi server com thông tin về yahoo.com. Server com quản lý toàn bộ những trang web có domain là com, chúng gửi thông tin về địa chỉ IP của server yahoo.com cho server vnn.


http://images.vietnamnet.vn/dataimages/200511/original/images809111_DNS.jpg

http://images.vietnamnet.vn/dataimages/original/images805903_dnsEX.JPG

http://www.yahoo.com/


− Lúc này server vnn đã có địa chỉ IP của yahoo.com rồi. Nhưng PCA yêu cầu dịch vụ www chứ không phải là dịch vụ ftp hay một dịch vụ nào khác. Do đó server vnn tiếp tục truy vấn tới server yahoo.com để yêu cầu thông tin về server quản lý dịch vụ www của yahoo.com. − Khi nhận được truy vấn thì server yahoo.com gửi lại cho server vnn địa chỉ IP của server quản lý www.yahoo.com.

Cuối cùng là Server vnn gửi lại địa chỉ IP của Server quản lý www.yahoo.com cho PCA và PCA kết nối trực tiếp đến nó. Và bây giờ thì server vnn đã có thông tin về www.yahoo.com cho những lần truy vấn đến sau của các client khác.

1. 2 Workstation(máy trạm) và Server

Các thuật ngữ Workstation và Server (máy chủ) được dùng để nói tới vai trò của máy tính trong mạng. Chẳng hạn, một máy tính đang hoạt động như một Server thì nó không cần thiết phải chạy cả phần cứng của Server. Khi một máy tính được cài hệ điều hành Server, nó sẽ hoạt động thực sự như một Server mạng. Trong thực tế, hầu hết tất cả các máy chủ đếu sử dụng thiết bị phần cứng đặc biệt, giúp chúng có thể kiểm soát được khối lượng công việc nặng nề vốn có của mình.

Khái niệm máy chủ mạng (network server) thường hay bị nhầm về mặt kỹ thuật theo kiểu định nghĩa: “máy chủ là bất kỳ máy tính nào sở hữu hay lưu trữ tài nguyên chia sẻ trên mạng”. Nói như thế thì ngay cả một máy tính đang chạy windows XP cũng có thể xem là máy chủ nếu nó được cấu hình chia sẻ một số tài nguyên như file và máy in…

Trước đây các máy tính thường được nối thành mạng là peer to peer (kiểu máy ngang hàng). Máy tính ngang hàng hoạt động trên cả máy trạm và máy chủ. Các máy này thường sử dụng hệ điều hành ở máy trạm (như windows XP), nhưng có thể truy cập và sở hữu các tài nguyên mạng do ta chỉ định một máy nào đó trong mạng làm máy “server” chứa tài nguyên chia sẻ. Mạng kiểu này thường là các mạng rất nhỏ.

Ý tưởng ở đây là nếu một công ty nhỏ thiếu tài nguyên để có được các máy chủ thực sự thì các máy trạm có thể được cấu hình để thực hiện nhiệm vụ "kép". Ví dụ, mỗi người dùng có thể tạo cho các file của mình khả năng truy cập chung với nhiều người khác trên mạng. Nếu một máy nào đó có gắn máy in, họ có thể chia sẻ nó cho công việc in ấn của toàn bộ máy trong mạng, tiết kiệm được tài nguyên.

Các mạng ngang hàng thường không sử dụng được trong các công ty lớn vì thiếu khả năng bảo mật cao, không thể quản lý trung và thống nhất được nguồn tài liệu vốn rất quan trọng của công ty. Đó là lý do vì sao các mạng ngang hàng thường chỉ được tìm thấy trong các công ty cực kỳ nhỏ hoặc người dùng gia đình sử dụng nhiều máy PC.

Windows Vista (thế hệ kế tiếp của windows XP) đang cố gắng thay đổi điều này. Windows Vista cho phép người dùng mạng client/server tạo nhóm ngang hàng. Trong đó các thành viên của nhóm sẽ được chia sẻ tài nguyên với nhau trong chế độ bảo mật an toàn mà không cần ngắt kết nối với server mạng. Thành phần mới này sẽ được tung ra thị trường với vai trò như một công cụ hợp tác.


http://www.yahoo.com/


Ngày nay các mạng ngang hàng không phổ biến bằng mạng client/server vì những khuyết điểm của chúng (thiếu an toàn và khả năng quản lý tập trung). Tuy nhiên, vì mạng máy tính được hình thành từ các máy chủ và máy trạm nên bản thân mạng không cần phải đảm bảo độ bảo mật cao và khả năng quản lý tập trung. Thật ra server chỉ là một máy chuyên dùng để lưu trữ tài nguyên trên mạng. Nói như thế tức là có vô số kiểu máy chủ khác nhau và một trong số đó được thiết kế chuyên dùng để cung cấp khả năng bảo mật và quản lý.

Chẳng hạn, Windows Server có hai kiểu loại chính: Member Server (máy chủ thành viên) và Domain Controller (bộ điều khiển miền). Thực sự không có gì đặc biệt với Member Server. Member server đơn giản chỉ là máy tính được kết nối mạng và chạy hệ điều hành windows Server. Máy chủ kiểu Member Server có thể được dùng như một nơi lưu trữ file (còn gọi là file server) hoặc nơi sở hữu một hay nhiều máy in mạng (còn gọi là máy in server). Các Member Server cũng thường xuyên được dùng để lưu trữ chương trình ứng dụng mạng. Chẳng hạn, Microsoft cung cấp một sản phẩm gọi là Exchange Server 2003. Khi cài đặt lên Member Server, nó cho phép Member Server thực hiện chức năng như một mail server.

Domain Controller thì đặc biệt hơn nhiều. Công việc của một Domain Controller là cung cấp tính năng bảo mật và khả năng quản lý cho mạng. Chúng ta đã quen thuộc với việc đăng nhập bằng cách nhập Username và Password, điều này nếu trên mạng windows, đó chính là Domain Controller. Nó có trách nhiệm theo dõi và kiểm tra Username và Password.

Người chịu trách nhiệm quản lý mạng được gọi là quản trị viên (administrator). Khi người dùng muốn truy cập tài nguyên trên mạng Windows, quản trị viên sẽ dùng một tiện ích do Domain Controller cung cấp để tạo tài khoản cho người dùng mới. Khi người dùng mới (hoặc người nào đó muốn có tài khoản thứ hai) cố gắng đăng nhập vào mạng thì "giấy thông hành" của họ (Username và Password) được gửi tới Domain Controller. Domain Cotroller sẽ kiểm tra tính hợp lệ bằng cách so sánh thông tin được cung cấp với bản sao chép lưu trữ trong cơ sở dữ liệu của nó. Nếu mật khẩu người dùng cung cấp và mật khẩu lưu trữ trong Domain Controller khớp với nhau, họ sẽ được cấp quyền truy cập mạng. Quá trình này được gọi là thẩm định (authentication).

1.3. Nghi thức LDAP.

LDAP (Lightweight Directory Access Protocol) là một chuẩn mở rộng cho nghi thức truy cập thư mục, là phương tiện để LDAP client và severs sử dụng để giao tiếp với nhau. LDAP định nghĩa ra khuôn dạng để trao đổi dữ liệu LDIF (LDAP Data Interchange Format), ở dạng thức văn bản dùng để mô tả thông tin về thư mục . LDIF có thể mô tả một tập hợp các thư mục hay các cập nhật có thể được áp dụng trên thư mục.

LDAP là một nghi thức “lightweight ” có nghĩa là đây là một giao thức có tính hiệu quả, đơn giản và dể dàng để cài đặt. Trong khi chúng sử dụng các hàm ở mức cao. Điều này trái ngược với nghi thức “heavyweight” như là nghi thức truy cập thư mục X.500 (DAP). Nghi thức này sử dụng các phương thức mã hoá quá phức tạp.



LDAP sử dụng các tập các phương thức đơn giản và là một nghi thức thuộc tầng ứng dụng. LDAP đã phát triển với phiên bản LDAP v2 được định nghĩa trong chuẩn RFC 1777 và 1778, LDAP v3 là một phần trong chuẩn Internet, được định nghĩa trong RFC 2251 cho đến RFC 2256, do chúng quá mới nên không phải tất cả mọi thứ các nhà cung cấp hổ trợ hoàn toàn cho LDAP v3.

Ngoài vai trò như là một thủ tục mạng, LDAP còn định nghĩa ra bốn mô hình, các mô hình này cho phép linh động trong việc sắp đặt các thư mục:

• Mô hình LDAP information - định nghĩa ra các loại dữ liệu mà bạn cần đặt vào thư mục.

• Mô hình LDAP Naming - định nghĩa ra cách bạn sắp xếp và tham chiếu đến thư mục.

• Mô hình LDAP Functional - định nghĩa cách mà bạn truy cập và cập nhật thông tin trong thư mục của bạn.

• Mô hình LDAP Security - định nghĩa ra cách thông tin trong trong thư mục của bạn được bảo vệ tránh các truy cập không được phép.

1.4. Roaming and Mandatory Profiles

Trước tiên chúng ta hãy tìm hiểu khái niệm Profile. User Profiles là một thư mục chứa các thông tin về môi trường của Windows Server 2003 cho từng người dùng mạng. Profile chứa các qui định về màn hình Desktop, nội dung của menu Start, kiểu cách phối màu sắc, vị trí sắp xếp các icon, biểu tượng chuột…

Mặc định khi người dùng đăng nhập vào mạng, một profile sẽ được mở cho người dùng đó. Nếu là lần đăng nhập lần đầu tiên thì họ sẽ nhận được một profile chuẩn. Một thư mục có tên giống như tên của người dùng đăng nhập sẽ được tạo trong thư mục Documents and Settings. Thư mục profile người dùng được tạo chứa một tập tin ntuser.dat, tập tin này được xem như là một thư mục con chứa các liên kết thư mục đến các biểu tượng nền của người dùng. Trong Windows Server 2003 có ba loại Profile:

Local Profile: là profile của người dùng được lưu trên máy cục bộ và họ tự cấu hình trên profile đó.

Roaming Profile: là loại Profile được chứa trên mạng và người quản trị mạng thêm thông tin đường dẫn user profile vào trong thông tin tài khoản người dùng, để tự động duy trì một bản sao của tài khoản người dùng trên mạng.

Mandatory Profile: người quản trị mạng thêm thông tin đường dẫn user profile vào trong thông tin tài khoản người dùng, sau đó chép một profile đã cấu hình sẵn vào đường dẫn đó. Lúc đó các người dùng dùng chung profile này và không được quyền thay đổi profile đó.



Chương 2: Mô hình Domain và Domain Controller 2.1. Mô hình Domain.

Hoạt động theo cơ chế client/server, trong hệ thống mạng ít nhất phải có một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển mọi hoạt động của hệ thống mang. Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền. Mô hình này đáp ứng được mọi yêu cầu về quản lý tập trung và sử dụng tài nguyên của hệ thống, được áp dụng cho các công ty vừa và lớn, rất phù hợp với mô hình quản lý tập trung các phòng máy của trường phổ thông.

Trong mô hình Domain của các Windows Server 2003 thì các thông tin

người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điểu khiền vùng với tập tin là NTDS.DIT. Tập tin cơ sở dữ liệu này được xây dựng theo một công nghệ tương tự phần mềm Access của Microsoft nên nó có thể lưu trữ được hàng triệu người dùng, cải tiến nhiều so với công nghệ cũ chỉ lưu trữ được khoảng 5 ngàn tài khoản người dùng. Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung do máy điều khiển vùng chứng thực.

2.2. Giới thiệu về Domain Controller.

Domain controller là một máy chủ được cấu hình để quản lý một domain trong mô hình server/client. Thực chất nó là bộ điểu khiển miền cung cấp tính năng bảo mật và khả năng quản lý cho mạng. Máy chủ là domain controller cung cấp một tiện ích là Active Directory(AD) để quản trị domain có thể theo dõi và kiểm tra và thẩm định các tài khoản người dùng (Username và Password). DC quản lý domain của mình thông qua các công cụ đó. Các nội dung quản lý quan trọng nhất là quản lý tài khoản người dùng, quản lý DNS, quản lý địa chỉ cấp phát động (DHCP),...

2.3. Chức năng của Domain Controller.

2.3.1 Quản lý tập trung

Ta đã biết bất kỳ máy trạm nào đang sử dụng hệ điều hành Windows Xp cũng có một nhóm tài khoản người dùng được tạo sẵn, nó còn cho phép tạo thêm một số tài khoản bổ sung khi cần thiết. Nếu máy trạm có chức năng như một hệ thống độc lập hoặc là một phần của mạng ngang hàng thì tài khoản người dùng mức máy trạm (được gọi là tài khoản người dùng cục bộ) không thể điều khiển tài nguyên mạng. Chúng chỉ được dùng để điều chỉnh truy cập máy cục bộ và hoạt động với chức năng đảm bảo cho quản trị viên có thể thực



hiện công việc bảo dưỡng, duy trì máy trạm, không cho phép người dùng có khả năng can thiệp vào các thiết lập trên máy trạm. Lý do vì sao tài khoản người dùng cục bộ trên một máy trạm nhất định không được phép điều khiển truy cập tài nguyên nằm ngoài máy trạm đó là nó tăng thêm gánh nặng quản lý rất lớn.

Tài khoản người dùng cục bộ chỉ nằm trên các máy trạm riêng rẽ. Nếu một tài khoản là có chức năng bảo mật chính trong mạng, quản trị viên sẽ phải di chuyển vật lý tới máy tính có tài khoản đó bất kỳ khi nào phải thực hiện thay đổi quyền hạn cho tài khoản. Vấn đề này không gây ra tác động gì lớn trong mạng nhỏ, nhưng sẽ trở nên cực kỳ nặng nề với ở mạng lớn hay khi cần áp dụng thay đổi rộng cho tất cả mọi tài khoản.

Một lý do khác nữa là không ai muốn phải chuyển tài khoản người dùng từ máy này sang máy khác. Chẳng hạn, nếu máy tính của bạn bị phá hoại, bạn sẽ không thể đăng nhập vào máy tính khác để làm việc vì tài khoản của bạn chỉ có tác dụng trên máy cũ. Nếu muốn làm được việc bạn lại phải tạo tài khoản mới trên máy khác. Đây chỉ là một trong số rất nhiều lý do khiến việc sử dụng tài khoản người dùng cục bộ cho việc truy cập an toàn tài nguyên mạng là không thực tế. Thậm chí nếu bạn muốn triển khai kiểu bảo mật này, Windows cũng không cho phép. Tài khoản người dùng cục bộ chỉ có thể dùng tài nguyên cục bộ trên một máy trạm nhất định.

DC có nhiệm vụ giải quyết các vấn đề vừa nêu và một số vấn đề khác nữa. Chúng sẽ tập trung hoá tài khoản người dùng (hay cấu hình khác, các đối tượng liên quan đến bảo mật; chúng ta sẽ đề cập đến trong các phần tiếp theo). Điều này giúp việc quản trị dễ dàng hơn và cho phép người dùng đăng nhập từ bất kỳ máy tính nào có trên mạng (trừ khi bạn giới hạn quyền truy cập người dùng).

2.3.2 Thẩm định.

Khi một người muốn đăng nhập vào hệ thống DC họ phải có Username và Password như một loại giấy thông hành để gửi đến DC, DC sẽ kiểm tra tính hợp lệ bằng cách so sánh thông tin được cung cấp với bản sao chép lưu trữ trong cơ sở dữ liệu của nó. Nếu mật khẩu người dùng cung cấp và mật khẩu lưu trữ trong Domain Controller khớp với nhau, họ sẽ được cấp quyền truy cập mạng. Quá trình này được gọi là thẩm định (authentication).

2.4. Nâng cấp Server thành Domain Controller.

Theo mặc định, tất cả các máy Windows Server 2003 đều là Server độc lập (stand-alone server), chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp một máy không phải là DC thành một máy DC và ngược lại giáng cấp một máy DC thành một Server bình thường.

Trước khi nâng cấp một server thành DC, cần phải khai báo đầy đủ thông số TCP/IP. Đặc biệt là phải khai báo DNS server có địa chỉ chính là địa chỉ IP của Server cần nâng cấp.

Máy tính Server sau khi đã nâng cấp thành Domain Controller gọi là máy Domain Controller hay máy có chức năng điều khiển miền.



2.5. Domain Controller đồng hành.

Domain Controller là một máy tính điều khiển mọi hoạt động của mạng nếu máy này có sự cố thì toàn bộ hệ thống mạng sẽ bị tê liệt. Do tính năng quan trọng này nên trong một hệ thống mạng thông thường chúng ta phải xây dựng ít nhất hai máy DC. Ở Windows Server 2003 thì hai máy này có vai trò ngang nhau, cùng tham gia vào việc chứng thực tài khoản người dùng. Còn ở Windows 2000 trở xuống có sự phân biệt rõ ràng một là Primary Domain Controller máy còn lại là Backup Domain Controller.

Như chúng ta đã biết, công việc chứng thực đăng nhập thường được thực hiện vào đầu giờ mỗi buổi làm việc, nếu mạng của bạn chỉ có một máy DC và có 10.000 nhân viên thì chuyện gì sẽ xảy ra vào mỗi buổi sáng? Để giải quyết trường hợp trên, Microsoft cho phép các máy DC trong mạng cùng nhau hoạt động đồng thời, chia sẻ công việc của nhau, khi có một máy bị sự cố thì các máy còn lại đảm bảo luôn công việc của máy này. Do đó ta có thể gọi các DC này là các DC đồng hành, nhưng khi khảo sát sâu hơn về AD thì DC được tạo ra đầu tiên vẫn có một vai trò đặc biệt. Sâu hơn về vấn đề này tôi xin hẹn gặp lại trong một dịp khác khi nghiên cứu về MSMO(Flexible Single Master Operation).



Chương 3: Active Directory

3.1. Giới thiệu về Active Directory.

Active Directory là một cơ sở dữ liệu chạy trên nền Win2K3, là một dịch vụ quản lý thư mục mang tính thứ bậc. Cơ sở dữ liệu này gồm nhiều đối tượng khác nhau như tài khoản người dùng và tài khoản máy tính. Active Directory sử dụng nghi thức (Lightweight Directory Access Protocol) chạy trên tầng application của mô hình OSI và được xây dựng trên cơ sở hệ thống xác định domain theo tên (DNS). Một trong những điểm ưu việt của Active Directory là nó quản lý hệ thống mạng bằng cách tạo ra tên domain cho workgroup, trên cơ sở đó cho phép các hệ thống mạng khác (Unix, Mac) có thể truy cập vào được.

Active Directory là một cơ sở dữ liệu, tuy nhiên Microsoft lại không đưa ra một công cụ quản trị nào sử dụng để quản lý Active Directory cho bạn có thể xem được toàn bộ cơ sở dữ liệu của Active Directory. Khác hẳn việc bạn sử dụng Microsoft Access hoặc SQL Server thì bạn hoàn toàn có thể mở cơ sở dữ liệu và quan sát các thực thể bên trong nó. Microsoft chỉ cung cấp một số công cụ giúp các quản trị viên có thể quản lý các đối tượng trong AD đó là Active Directory Users and Computers console.

3.2 . Chức năng của Active Directory.

Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính.

Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon server), Server này chính là Domain Controller.

Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong hệ thống.

Cho phép tạo ra các tài khoản người dùng với những mức độ quyền (right) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown server từ xa…

Cho phép chia nhỏ miền thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit) sau đó có thể uỷ quyền cho các quản trị viên ở từng bộ phận nhỏ.

3.3 . Cấu trúc của Active Directory.

Tương tự windows explore, nhưng bên trong nó gồm các đối tượng: Objects, Organizational Units, domain, forest, forest tree…ta sẽ tìm hiểu về các thành phần trong cấu trúc AD ngay sau đây:



3.3.1 Objects

Trước khi tìm hiểu về Object, chúng ta phải tìm hiểu trước hai khái niệm object classes và attributes. Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các loại đối tượng mà bạn có thể tạo ra trong AD. Có ba loại object classes thông dụng: User, Computer và Printer. Khái niệm thứ hai là Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể. Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của object classes.

3.3.2 Organizational Units (OU)

Là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. Sử dụng OU vào hai công dụng chính như sau:

- Trao quyền kiểm soát tập hợp các tài khoản người dùng, máy tính hay các thiết bị cho một nhóm người hay một phụ tá quản trị viên nào đó, từ đó giảm bớt công tác của quản trị cho người quản trị toàn bộ hệ thống. - Kiểm soát và khoá bớt một số chức năng trên các máy trạm của một số người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm, các chính sách này chúng ta sẽ tìm hiểu ở các phần sau.





3.3.3 Domain

Domain là đơn vị có chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để quy định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những quy tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các server dễ dàng hơn. Domain đáp ứng ba chức năng chình đó là:

- Đóng vai trò như một khu vực quản trị (Administrative boundary)các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẽ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ uỷ quyền với các domain khác.

- Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ.

- Cung cấp các server dự phòng làm chức năng điều khiển vùng, đồng thời đảm bảo các thông tin trên các server này được đồng bộ với nhau.

3.3.4 Domain tree

Là cấu trúc bao gồm nhiều domain được sắp xếp có thứ bậc theo cấu trúc hình cây. Domain được tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain. Khái niệm này bạn thường sẽ được nghe thấy khi làm



việc với một dịch vụ thư mục. Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện.

3.3.5 Forest

Forest được xây dựng trên một hoặc nhiều domain tree, nó cách khác Forest chính là tập hợp các Domain Tree có thiết lập quan hệ và uỷ quyền cho nhau. Giả sử một công ty nào đó thu mua một công ty khác, thông thường mỗi công ty có một Domain Tree riêng để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm rừng.

Trong sơ đồ trên công ty mcmcsi.com thu mua công ty techtutorials.com và

xyzabc.com hình thành rừng từ gốc là mcmcsi.com.

Bạn có thể truy cập Active Directory Users and Computers console từ bộ điều khiển miền của Windows Server 2003 bằng cách chọn Active Directory Users and Computers từ menu Start / All Programs / Administrative Tools của máy chủ. Giao diện của nó được thể hiện cơ bản giống với Window Explore mà đã rất quen thuộc với bạn.



Hình A: Giao diện Active Directory Users and Computers là một công cụ

quản trị chính cho việc quản lý các đối tượng Active Directory.

Chúng ta sẽ thảo luận quá trình tạo hoặc soạn thảo các đối tượng Active Directory sau, bây giờ tôi sẽ giới thiệu kỹ hơn về giao diện Active Directory Users and Computers console bởi vì nó giúp chúng ta khám phá một chút về cấu trúc của Active Directory. Nếu nhìn vào hình A thì bạn sẽ thấy được rằng ở đây có một số thư mục lớn, mỗi một thư mục này tương ứng với một loại đối tượng cụ thể. Mỗi đối tượng trong Active Directory đều được gán một kiểu đối tượng (được biết đến như là lớp đối tượng).

Mỗi đối tượng trong AD cũng có một số thuộc tính liên quan. Các thuộc tính cụ thể thay đổi phụ thuộc vào kiểu đối tượng. Chẳng hạn, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành các đối tượng người dùng như trong hình B. Nếu kích chuột phải vào một trong các đối tượng người dùng này và chọn Properties từ menu chuột phải thì bạn sẽ thấy được trang thuộc tính của đối tượng như trong hình C.

Hình B: Thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành các đối tượng người dùng.



Hình C: Khi kích chuột phải vào một đối tượng người dùng và chọn

Properties thì bạn sẽ thấy trang thuộc tính của người dùng. Nếu nhìn vào hình C thì bạn sẽ thấy rằng có một số trường thông tin khác

nhau như tên, họ, số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng. Mặc dù phần lớn các trường ở trong hình đều không phổ biến nhưng trong một số tình huống thực thì các trường này có thể được sử dụng để tạo thư mục cộng tác. Trong thực tế, nhiều ứng dụng được thiết kế để trích thông tin trực tiếp từ Active Directory. Chẳng hạn, Microsoft Exchange Server (sản phẩn e-mail server của Microsoft) sẽ tạo một danh sách địa chỉ toàn cục dựa trên nội dung của Active Directory. Danh sách này được sử dụng khi gửi các thông báo email đến người dùng khác trong hệ thống. Điều này có ý nghĩa quan trọng trong việc tương tác của AD. Thực tế, có rất nhiều sản phẩm của các hãng khác (nhóm thứ ba)được thiết kế để tương tác với Active Directory. Một trong số chúng có khả năng lưu dữ liệu trong các phần Active Directory đặc biệt.

Lý do nó hợp lý với các hãng phần mềm nhóm thứ ba khi tương tác với Active Directory là vì Active Directory được dựa trên một chuẩn đã biết. Active Directory được dựa trên một chuẩn có tên gọi là X.500. Chuẩn này cơ bản là một cách chung chung trong việc thực hiện dịch vụ thư mục. Microsoft không chỉ là một công ty tạo dịch vụ thư mục dựa trên dịch vụ này mà Novell ban đầu cũng đã tạo dịch vụ thư mục NetWare Directory Service trên chuẩn này.

Đây cũng là một cách trong việc truy cập vào thông tin dịch vụ thư mục. Trong môi trường Active Directory, việc truy cập thông tin thư mục liên quan đến việc sử dụng một giao thức mà tôi đã đề cập ở phần 1 đó là giao thức



Lightweight Directory Access Protocol (LDAP). Việc đi sâu để tìm hiểu về giao thức này tôi xin hẹn vào dịp khác, trong phạm vi này ta chỉ cần biết về LDAP là giao thức được sử dụng để giúp các máy trong Domain có thể trao đổi thông tin với nhau.

3.4. Cách đặt tên trong Active Directory.

Mỗi đối tượng trong Active Directory đều được quy vào một tên phân biệt (thường được viết tắt là DN). Tên phân biệt được dựa trên vị trí của đối tượng bên trong thứ bậc thư mục. Có nhiều thành phần khác nhau trong tên phân biệt nhưng một số cái chung là một tên chung (được viết tắt là CN – Common Name) và một miền tên (viết tắt là DC). Chẳng hạn, cho rằng miền Ngonaldo.com gồm có một tài khoản có tên là User1 và tài khoản này được định vị trong thư mục Users. Trong trường hợp như vậy, tên phân biệt của tài khoản người dùng sẽ là: CN=User1, CN=Users, DC=Ngonaldo, DC=com.

Trong ví dụ này, tên được tạo thành từ 4 cặp thuộc tính/ giá trị khác nhau, mỗi một cặp được phân biệt với nhau bằng dấu phẩy. Cặp thuộc tính/ giá trị thứ nhất là CN=USER1. Trong cặp này, CN (viết tắt cho Common Name) là thuộc tính và User1 là giá trị. Các thuộc tính và giá trị luôn luôn phân biệt với nhau bởi dấu bằng (=), còn các cặp thuộc tính/ giá trị được phân biệt với nhau bằng dấu phẩy (,).

3.5. Backup và Restore.

Backup và Restore là một trong những kiến thức vô cùng quan trọng trong việc đảm bảo hệ thống hoạt động một cách hiệu quả, và tránh được những sự cố đáng tiếc xảy ra. Trong Windows Server 2003 có sử dụng một công cụ Backup dữ liệu đó là: ntbackup.

NTBACKUP trong Windows Server 2003 sử dụng công nghệ Backup là Shadow Copy để backup cả những dữ liệu đang hoạt động như SQL, hay dịch vụ Active Directory, các file đang chạy hay các folder bị cấm truy cập…

Nhưng trong Windows có một quy định là không cho can thiệp vào các file hay dữ liệu khi đang có một chương trình khác đang hoạt động hay đang sử dụng. Và hai điều này có nghĩa là bạn hoàn toàn có thể Backup được Active Directory theo một cách nào đó, nhưng bạn không thể Restore lại được bởi Service này hoạt động từ lúc hệ thống bắt đầu khởi động. Vậy không có cách nào Restore sao.Tuy nhiên, Microsoft đã tính toán đến tình huống này và ngay bây giờ chúng ta sẽ tìm hiểu về Backup và Restore dữ liệu của Active Directory.

Để tiến hành chúng ta sẽ làm theo các bước dưới đây: Bước 1: Backup Active Directory.

Vào Run gõ ntbackup hệ thống sẽ hiện cửa sổ sau đây



Bạn chọn Advanced Mode (dòng chữ màu xanh) sẽ xuất hiện cửa sổ

Backup Utility, chọn Tab Backup sẽ được cửa sổ như hình dưới đây. Bạn muốn backup Active Directory bạn cần phải Backup System State. Để

ý thấy khi backup System State sẽ bao gồm rất nhiều thông tin: Active Directory, Boot Files, Registry, SYSVOL…

Sau khi chọn System State, cần phải thiết lập nơi chứa file Backup, ở đây tôi chọn là lưu tại ổ C: và tên file là Backup.bkf

Nhấn Start Backup để bắt đầu Backup dữ liệu.

Khi nhấn Start Backup hệ thống sẽ bật ra cửa sổ như hình dưới đây bạn chọn Start Backup để bắt đầu thực hiện backup.



Cửa sổ hiển thị quá trình Backup đang được thực hiện, bạn đợi một lát để

hệ thống hoàn thành công việc.

Step 2 – Xoá dữ liệu trong Active Directory.

Sau khi hệ thống kết thúc việc Backup System State bạn vào Active Directory (như cách vào bên trên) chuột phải vào OU học sinh chọn Delete, để xoá dữ liệu trong Active Directory.



Step 3 – Restore Acitve Directory.

Như tôi trình bày ở trên, bạn không thể thực hiện Restore để thao tác lên các dữ liệu đang hoạt động, giờ tôi phải khởi động lại máy chủ Domain Controller. Trong lúc máy tính đang khởi động nhấn F8 để chọn các Mode của hệ thống như cách vào Safe Mode. Trong Menu các Mode tôi phải chọn "Directory Service Restore Mode" - Bạn bắt buộc phải chọn mode này bởi khi bạn lựa chọn Mode này mặc định Service Active Directory sẽ bị tắt và bạn có thể thao tác bằng các tác vụ khác vào dữ liệu của Active Directory được.

Khi chọn khởi động từ "Directory Service Restore Mode" hệ thống sẽ yêu

cầu gõ User name và Password. Ta nhập bình thường như hang ngày để vào môi trường Windows.

Vào Run nhập ntbackup, trong cửa sổ ntbackup chọn tab Restore. Chọn System State để restore. Nhấn Start Restore để hệ thống bắt đầu lấy lại dữ liệu như lúc Backup.



Dưới đây là cửa sổ hệ thống đang Restore lại System State

Sau khi hệ thống Restore hoàn tất sẽ yêu cầu khởi động lại máy tính.Lần này bạn để máy tính khởi động vào bình thường và công việc cuối cùng của chúng ta là xem lại xem OU hocsinh và các User trong OU xem có còn hay không. Thật may mắn là mọi thứ lại như cũ.



Chương 4: Quản lí tài khoản người dùng và nhóm

4.1. Định nghĩa tài khoản người dùng và tài khoản nhóm.

1. Tài khoản người dùng.

Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép.

1.1 Tài khoản người dùng cục bộ.

Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy Domain Controller hoặc máy tính chứa tài nguyên chia sẻ. Bạn tạo tài khoản người dùng cục bộ với công cụ Local Users and Group trong Computer Management (compmgmt.msc). Các tài khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager). Tập tin SAM này được đặt trong thư mục \Windows\system32\config.

Hình 3.1: lưu trữ thông tin tài khoản người dùng cục bộ

1.2 Tài khoản người dùng miền.

Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc domain. Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. Bạn tạo tài khoản người dùng miền với công cụ Active Directory Users and Computer (dsa.msc). Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS.



Hình 3.2: lưu trữ thông tin tài khoản người dùng miền.

1.3. Yêu cầu về tài khoản người dùng.

Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự).

Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau.

Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < > Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm

câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới. Tuy nhiên, nên tránh các khoảng trắng vì những tên như thế phải đặt trong dấu ngoặc khi dùng các kịch bản hay dòng lệnh.

2. Tài khoản nhóm.

Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution group).

2.1 Nhóm bảo mật.

Nhóm bảo mật là loại nhóm được dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập (permission). Giống như các tài khoản người dùng, các nhóm bảo mật đều được chỉ định các SID (Security Identifier – số nhận diện bảo mật).

. Có ba loại nhóm bảo mật chính là: local, global và universal. Tuy nhiên nếu chúng ta khảo sát kỹ thì có thể phân thành bốn loại như sau: local, domain local, global và universal.



Local group (nhóm cục bộ) là loại nhóm có trên các máy stand-alone Server, member server, Win2K Pro hay WinXP. Các nhóm cục bộ này chỉ có ý nghĩa và phạm vi hoạt động ngay tại trên máy chứa nó thôi.

Domain local group (nhóm cục bộ miền) là loại nhóm cục bộ đặc biệt vì chúng là local group nhưng nằm trên máy Domain Controller. Các máy Domain Controller có một cơ sở dữ liệu Active Directory chung và được sao chép đồng bộ với nhau do đó một local group trên một Domain Controller này thì cũng sẽ có mặt trên các Domain Controller anh em của nó, như vậy local group này có mặt trên miền nên được gọi với cái tên nhóm cục bộ miền. Các nhóm trong mục Built-in của Active Directory là các domain local.

Global group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong Active Directory và được tạo trên các Domain Controller. Chúng dùng để cấp phát những quyền hệ thống và quyền truy cập vượt qua những ranh giới của một miền. Một nhóm global có thể đặt vào trong một nhóm local của các server thành viên trong miền. Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng công việc của Global Catalog.

Universal group (nhóm phổ quát) là loại nhóm có chức năng giống như global group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp các miền trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau. Loại nhóm này tiện lợi hơn hai nhóm global group và local group vì chúng dễ dàng lồng các nhóm vào nhau. Nhưng chú ý là loại nhóm này chỉ có thể dùng được khi hệ thống của bạn phải hoạt động ở chế độ Windows 2000 native functional level hoặc Windows Server 2003 functional level có nghĩa là tất cả các máy Domain Controller trong mạng đều phải là Windows Server 2003 hoặc Windows 2000 Server.

2.2 Nhóm phân phối.

Nhóm phân phối là một loại nhóm phi bảo mật, không có SID và không xuất hiện trong các ACL (Access Control List). Loại nhóm này không được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm và dịch vụ. Chúng được dùng để phân phố thư (e-mail) hoặc các tin nhắn (message). Bạn sẽ gặp lại loại nhóm này khi làm việc với phần mềm MS Exchange.

2.3 Qui tắc gia nhập nhóm.

Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong nhóm Machine Local.

Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong chính loại nhóm của mình.

Nhóm Global và Universal có thể đặt vào trong nhóm Domain local. Nhóm Global có thể đặt vào trong nhóm Universal.



Quy tắc gia nhập nhóm

4.2. Chứng thực và kiểm soát truy cập.

1. Các giao thức chứng thực.

Chứng thực trong Windows Server 2003 là quy trình gồm hai giai đoạn: đăng nhập tương tác và chứng thực mạng. Khi người dùng đăng nhập vùng bằng tên và mật mã, quy trình đăng nhập tương tác sẽ phê chuẩn yêu cầu truy cập của người dùng. Với tài khoản cục bộ, thông tin đăng nhập được chứng thực cục bộ và người dùng được cấp quyền truy cập máy tính cục bộ. Với tài khoản miền, thông tin đăng nhập được chứng thực trên Active Directory và người dùng có quyền truy cập các tài nguyên trên mạng. Như vậy với tài khoản người dùng miền ta có thể chứng thực trên bất kỳ máy tính nào trong miền. Windows 2003 hỗ trợ nhiều giao thức chứng thực mạng, nổi bật nhất là:

- Kerberos V5: là giao thức chuẩn Internet dùng để chứng thực người dùng và hệ thống.

- NT LAN Manager (NTLM): là giao thức chứng thực chính của Windows NT.

- Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơ chế chứng thực chính được dùng khi truy cập vào máy phục vụ Web an toàn.

2. Số nhận diện bảo mật SID.

Tuy hệ thống Windows Server 2003 dựa vào tài khoản người dùng để mô tả các quyền hệ thống và quyền truy cập nhưng thực sự bên trong hệ thống mỗi tài khoản được đặc trưng bởi một con số nhận dạng bảo mật SID. SID là thành phần nhận dạng không trùng lặp, được hệ thống tạo ra đồng thời với tài khoản và dùng riêng cho hệ thống xử lý, người dùng không quan tâm đến các giá trị này. SID bao gồm phần SID vùng cộng thêm với một RID của người dùng không trùng lặp. SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID”, khi đó tất cả các SID trong miền đều có cùng giá trị D1, D2, D3, nhưng giá trị RID là khác nhau. Hai mục đích chính của việc hệ thống sử dụng SID là:

- Dễ dàng thay đổi tên tài khoản người dùng mà các quyền hệ thống và quyền truy cập không thay đổi.

- Khi xóa một tài khoản thì SID của tài khoản đó không còn giá trị nữa, nếu chúng ta có tạo một tài khoản mới cùng tên với tài khoản vừa xóa thì các quyền



cũ cũng không sử dụng được bởi vì khi tạo tài khoản mới thì giá trị SID của tài khoản này là một giá trị mới.

3. Kiểm soát hoạt động truy cập của đối tượng.

Active Directory là dịch vụ hoạt động dựa trên các đối tượng, có nghĩa là người dùng, nhóm, máy tính, các tài nguyên mạng đều được định nghĩa dưới dạng đối tượng và được kiểm soát hoạt động truy cập dựa vào bộ mô tả bảo mật ACE (Access Control Entry). Chức năng của bộ mô tả bảo mật bao gồm:

- Liệt kê người dùng và nhóm nào được cấp quyền truy cập đối tượng. - Định rõ quyền truy cập cho người dùng và nhóm. - Theo dõi các sự kiện xảy ra trên đối tượng. - Định rõ quyền sở hữu của đối tượng. Các thông tin của một đối tượng Active Directory trong bộ mô tả bảo mật

được xem là mục kiểm soát hoạt động truy cập ACE. Một ACL (Access Control List) chứa nhiều ACE, nó là danh sách tất cả người dùng và nhóm có quyền truy cập đến đối tượng. ACL có đặc tính kế thừa, có nghĩa là thành viên của một nhóm thì được thừa hưởng các quyền truy cập đã cấp cho nhóm này.

4.3. Các tài khoản tạo sẵn.

1. Tài khoản người dùng tạo sẵn.

Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server 2003 thì mặc định được tạo ra. Tài khoản này là tài khoản hệ thống nên chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi tên (chú ý thao tác đổi tên trên những tài khoản hệ thống phức tạp một chút so với việc đổi tên một tài khoản bình thường do nhà quản trị tạo ra). Tất cả các tài khoản người dùng tạo sẵn này đều nằng trong Container Users của công cụ Active Directory User and Computer. Sau đây là bảng mô tả các tài khoản người dùng được tạo sẵn:

Tên tài khoản Mô tả

Administrator

Administrator là một tài khoản đặc biệt, có toàn quyền trên máy tính hiện tại. Bạn có thể đặt mật khẩu cho tài khoản này trong lúc cài đặt Windows Server 2003. Tài khoản này có thể thi hành tất cả các tác vụ như tạo tài khoản người dùng, nhóm, quản lý các tập tin hệ thống và cấu hình máy in…

Guest

Tài khoản Guest cho phép người dùng truy cập vào các máy tính nếu họ không có một tài khoản và mật mã riêng. Mặc định là tài khoản này không được sử dụng, nếu được sử dụng thì thông thường nó bị giới hạn về quyền, ví dụ như là chỉ được truy cập Internet hoặc in ấn.

ILS_Anonymous_ User

Là tài khoản đặc biệt được dùng cho dịch vụ ILS. ILS hỗ trợ cho các ứng dụng điện thoại có các đặc tính như: caller ID, video conferencing, conference



calling, và faxing. Muốn sử dụng ILS thì dịch vụ IIS phải được cài đặt.

IUSR_computername

Là tài khoản đặc biệt được dùng trong các truy cập giấu tên trong dịch vụ IIS trên máy tính có cài IIS.

IWAM_computername

Là tài khoản đặc biệt được dùng cho IIS khởi động các tiến trình của các ứng dụng trên máy có cài IIS.

Krbtgt Là tài khoản đặc biệt được dùng cho dịch vụ trung tâm phân phối khóa (Key Distribution Center)

TSInternetUser Là tài khoản đặc biệt được dùng cho Terminal Services.

2. Tài khoản nhóm Domain Local tạo sẵn.

Nhưng chúng ta đã thấy trong công cụ Active Directory User and Computers, container Users chứa nhóm universal, nhóm domain local và nhóm global là do hệ thống đã mặc định quy định trước. Nhưng một số nhóm domain local đặc biệt được đặt trong container Built-in, các nhóm này không được di chuyển sang các OU khác, đồng thời nó cũng được gán một số quyền cố định trước nhằm phục vụ cho công tác quản trị. Bạn cũng chú ý rằng là không có quyền xóa các nhóm đặc biệt này.

Tên nhóm Mô tả

Administrators

Nhóm này mặc định được ấn định sẵn tất cả các quyền hạn cho nên thành viên của nhóm này có toàn quyền trên hệ thống mạng. Nhóm Domain Admins và Enterprise Admins là thành viên mặc định của nhóm Administrators.

Account operators

Thành viên của nhóm này có thể thêm, xóa, sửa được các tài khoản người dùng, tài khoản máy và tài khoản nhóm. Tuy nhiên họ không có quyền xóa, sửa các nhóm trong container Built-in và OU.

Domain controllers

Nhóm này chỉ có trên các Domain Controller và mặc định không có thành viên nào, thành viên của nhóm có thể đăng nhập cục bộ vào các Domain Controller nhưng không có quyền quản trị các chính sách bảo mật.

Backup operators

Thành viên của nhóm này có quyền lưu trữ dự phòng (Backup) và phục hồi (Retore) hệ thống tập tin. Trong trường hợp hệ thống tập tin là NTFS và họ không được gán quyền trên hệ thống tập tin thì thành viên của nhóm này chỉ có thể truy cập hệ thống tập tin thông qua công cụ Backup. Nếu muốn truy cập trực tiếp thì họ phải được gán quyền.

Guests

Là nhóm bị hạn chế quyền truy cập các tài nguyên trên mạng. Các thành viên nhóm này là người dùng vãng lai không phải là thành viên của mạng. Mặc định các tài khoản Guest bị khóa.

Print operator Thành viên của nhóm này có quyền tạo ra, quản lý và xóa bỏ



các đối tượng máy in dùng chung trong Active Directory.

Server operators

Thành viên của nhóm này có thể quản trị các máy server trong miền như: cài đặt, quản lý máy in, tạo và quản lý thư mục dùng chung, backup dữ liệu, định dạng đĩa, thay đổi giờ…

Users Mặc định mọi người dùng được tạo đều thuộc nhóm này, nhóm này có quyền tối thiểu của một người dùng nên việc truy cập rất hạn chế.

Replicator Nhóm này được dùng để hỗ trợ việc sao chép danh bạ trong Directory Services, nhóm này không có thành viên mặc định.

Incoming Forest Trust

Builders

Thành viên nhóm này có thể tạo ra các quan hệ tin cậy hướng đến, một chiều vào các rừng. Nhóm này không có thành viên mặc định.

Network Configuration

Operators

Thành viên nhóm này có quyền sửa đổi các thông số TCP/IP trên các máy Domain Controller trong miền.

Pre-Windows 2000

Compatible Access

Nhóm này có quyền truy cập đến tất cả các tài khoản người dùng và tài khoản nhóm trong miền, nhằm hỗ trợ cho các hệ thống WinNT cũ.

Remote Desktop User

Thành viên nhóm này có thể đăng nhập từ xa vào các Domain Controller trong miền, nhóm này không có thành viên mặc định.

Performace Log

Users

Thành viên nhóm này có quyền truy cập từ xa để ghi nhận lại những giá trị về hiệu năng của các máy Domain Controller, nhóm này cũng không có thành viên mặc định.

Performace Monitor Users

Thành viên nhóm này có khả năng giám sát từ xa các máy Domain Controller.

Ngoài ra còn một số nhóm khác như DHCP Users, DHCP

Administrators, DNS Administrators… các nhóm này phục vụ chủ yếu cho các dịch vụ, chúng ta sẽ tìm hiểu cụ thể trong từng dịch vụ ở giáo trình “Dịch Vụ Mạng”. Chú ý theo mặc định hai nhóm Domain Computers và Domain Controllers được dành riêng cho tài khoản máy tính, nhưng bạn vẫn có thể đưa tài khoản người dùng vào hai nhóm này.

3. Tài khoản nhóm Global tạo sẵn.

Tên nhóm Mô tả

Domain Admins

Thành viên của nhóm này có thể toàn quyền quản trị các máy tính trong miền vì mặc định khi gia nhập vào miền các member server và các máy trạm (Win2K Pro, WinXP) đã đưa nhóm Domain Admins là thành viên của nhóm cục bộ Administrators trên các máy này.

Domain Users Theo mặc định mọi tài khoản người dùng trên miền đều là thành viên của nhóm này. Mặc định nhóm này là thành viên



của nhóm cục bộ Users trên các máy server thành viên và máy trạm.

Group Policy Creator Owners

Thành viên nhóm này có quyền sửa đổi chính sách nhóm của miền, theo mặc định tài khoản administrator miền là thành viên của nhóm này.

Enterprise Admins

Đây là một nhóm universal, thành viên của nhóm này có toàn quyền trên tất cả các miền trong rừng đang xét. Nhóm này chỉ xuất hiện trong miền gốc của rừng thôi. Mặc định nhóm này là thành viên của nhóm administrators trên các Domain Controller trong rừng.

Schema Admins

Nhóm universal này cũng chỉ xuất hiện trong miền gốc của rừng, thành viên của nhóm này có thể chỉnh sửa cấu trúc tổ chức (schema) của Active Directory.

4. Các nhóm tạo sẵn đặc biệt.

Ngoài các nhóm tạo sẵn đã trình bày ở trên, hệ thống Windows Server 2003 còn có một số nhóm tạo sẵn đặt biệt, chúng không xuất hiện trên cửa sổ của công cụ Active Directory User and Computer, mà chúng chỉ xuất hiện trên các ACL của các tài nguyên và đối tượng. Ý nghĩa của nhóm đặc biệt này là:

- Interactive: đại diện cho những người dùng đang sử dụng máy tại chỗ. - Network: đại diện cho tất cả những người dùng đang nối kết mạng đến

một máy tính khác. - Everyone: đại diện cho tất cả mọi người dùng. - System: đại diện cho hệ điều hành. - Creator owner: đại diện cho những người tạo ra, những người sở hữa một

tài nguyên nào đó như: thư mục, tập tin, tác vụ in ấn (print job)… - Authenticated users: đại diện cho những người dùng đã được hệ thống

xác thực, nhóm này được dùng như một giải pháp thay thế an toàn hơn cho nhóm everyone.

- Anonymous logon: đại diện cho một người dùng đã đăng nhập vào hệ thống một cách nặc danh, chẳng hạn một người sử dụng dịch vụ FTP.

- Service: đại diện cho một tài khoản mà đã đăng nhập với tư cách như một dịch vụ.

- Dialup: đại diện cho những người đang truy cập hệ thống thông qua Dial-up Networking.

4.4. Quản lý tài khoản người dùng và nhóm trên AD.

1. Tạo mới tài khoản người dùng.

Bạn có thể dùng công cụ Active Directory User and Computers trong Administrative Tools ngay trên máy Domain Controller để tạo các tài khoản người dùng miền. Công cụ này cho phép bạn quản lý tài khoản người dùng từ xa thậm chí trên các máy trạm không phải dùng hệ điều hành Server như WinXP, Win2K Pro. Muốn thế trên các máy trạm này phải cài thêm bộ công



cụ Adminpak. Bộ công cụ này nằm trên Server trong thư mục \Windows\system32\ADMINPAK.MSI.

Tạo một tài khoản người dùng trên Active Directory, ta làm các bước sau: Chọn Start Programs Administrative Tools Active Directory Users and Computers. Cửa sổ Active Directory Users and Computers xuất hiện, bạn nhấp phải chuột vào mục Users, chọn New User.

Hộp thoại New Object-User xuất hiện như hình sau, bạn nhập tên mô tả

người dùng, tên tài khoản logon vào mạng. Giá trị Full Name sẽ tự động phát sinh khi bạn nhập giá trị First Name và Last Name, nhưng bạn vẫn có thể thay đổi được. Chú ý: giá trị quan trọng nhất và bắt buộc phải có là logon name (username). Chuỗi này là duy nhất cho một tài khoản người dùng theo như định nghĩa trên phần lý thuyết. Trong môi trường Windows 2000 và 2003, Microsoft đưa thêm một khái niệm hậu tố UPN (Universal Principal Name), trong ví dụ này là “@netclass.edu.vn”. Hậu tố UPN này gắn vào sau chuỗi username dùng để tạo thành một tên username đầy đủ dùng để chứng thực ở cấp rừng hoặc chứng thực ở một miền khác có quan hệ tin cậy với miền của người dùng đó, trong ví dụ này thì tên username đầy đủ là “[email protected]”. Ngoài ra trong hộp thoại này cũng cho phép chúng ta đặt tên username của tài khoản người dùng phục vụ cho hệ thống cũ (pre-Windows 2000). Sau khi việc nhập các thông tin hoàn thành bạn nhấp chuột vào nút Next để tiếp tục.



Hộp thoại thứ hai xuất hiện, cho phép bạn nhập vào mật khẩu (password)

của tài khoản người dùng và đánh dấu vào các lựa chọn liên quan đến tài khoản như: cho phép đổi mật khẩu, yêu cầu phải đổi mật khẩu lần đăng nhập đầu tiên hay khóa tài khoản. Các lựa chọn này chúng ta sẽ tìm hiểu chi tiết ở phần tiếp theo.

Hộp thoại cuối cùng xuất hiện và nó hiển thị các thông tin đã cấu hình cho

người dùng. Nếu tất cả các thông tin đã chính xác thì bạn nhấp chuột vào nút Finish để hoàn thành, còn nếu cần chỉnh sửa lại thì nhấp chuột vào nút Back để trở về các hộp thoại trước.



2. Các thuộc tính của tài khoản người dùng

Muốn quản lý các thuộc tính của các tài khoản người ta dùng công cụ Active Directory Users and Computers, sau đó chọn thư mục Users và nhấp đôi chuột vào tài khoản người dùng cần khảo sát. Hộp thoại Properties xuất hiện, trong hộp thoại này chứa 12 Tab chính, ta sẽ lần lượt khảo sát các Tab này. Ngoài ra bạn có thể gom nhóm (dùng hai phím Shift, Ctrl) và hiệu chỉnh thông tin của nhiều tài khoản người dùng cùng một lúc.

2.1 Các thông tin mở rộng của người dùng

Tab General chứa các thông tin chung của người dùng trên mạng mà bạn đã nhập trong lúc tạo người dùng mới. Đồng thời bạn có thể nhập thêm một số thông tin như: số điện thoại, địa chỉ mail và trang địa chỉ trang Web cá nhân…



Tab Address cho phép bạn có thể khai báo chi tiết các thông tin liên quan

đến địa chỉ của tài khoản người dùng như: địa chỉ đường, thành phố, mã vùng, quốc gia…

Tab Telephones cho phép bạn khai báo chi tiết các số điện thoại của tài khoản người dùng.



Tab Organization cho phép bạn khai báo các thông tin người dùng về:

chức năng của công ty, tên phòng ban trực thuộc, tên công ty …



2.2. Tab Account.

Tab Account cho phép bạn khai báo lại username, quy định giờ logon vào mạng cho người dùng, quy định máy trạm mà người dùng có thể sử dụng để vào mạng, quy định các chính sách tài khoản cho người dùng, quy định thời điểm hết hạn của tài khoản…

Điều khiển giờ logon vào mạng: bạn nhấp chuột vào nút Logon Hours, hộp

thoại Logon Hours xuất hiện. Mặc định tất cả mọi người dùng đều được phép truy cập vào mạng 24 giờ mỗi ngày, trong tất cả 7 ngày của tuần. Khi một người dùng logon vào mạng thì hệ thống sẽ kiểm tra xem thời điểm này có nằm trong khoảng thời gian cho phép truy cập không, nếu không phù hợp thì hệ thống sẽ không cho vào mạng và thông báo lỗi Unable to log you on because of an account restriction. Bạn có thể thay đổi quy định giờ logon bằng cách chọn vùng thời gian cần thay đổi và nhấp chuột vào nút lựa chọn Logon Permitted, nếu ngược lại không cho phép thì nhấp chuột vào nút lựa chọn Logon Denied. Sau đây là hình ví dụ chỉ cho phép người dùng làm việc từ 7h sáng đến 5h chiều, từ thứ 2 đến thứ 6. Chú ý: mặc định người dùng không bị logoff tự động khi hết giờ đăng nhập nhưng bạn có thể điều chỉnh điều này tại mục Automatically Log Off Users When Logon Hours Expire trong Group Policy phần Computer Configuration\ Windows Settings\Security Settings\ Local Policies\ Security Option. Ngoài ra bạn cũng có cách khác để điều



chỉnh thông tin logoff này bằng cách dùng công cụ Domain Security Policy hoặc Local Security Policy tùy theo bối cảnh.

Chọn lựa máy trạm được truy cập vào mạng: bạn nhấp chuột vào nút Log

On To, bạn sẽ thấy hộp thoại Logon Workstations xuất hiện. Hộp thoại này cho phép bạn chỉ định người dùng có thể logon từ tất cả các máy tính trong mạng hoặc giới hạn người dùng chỉ được phép logon từ một số máy tính trong mạng. Ví dụ như người quản trị mạng làm việc trong môi trường bảo mật nên tài khoản người dùng này chỉ được chỉ định logon vào mạng từ một số máy tránh tình trạng người dùng giả dạng quản trị để tấn công mạng. Muốn chỉ định máy tính mà người dùng được phép logon vào mạng, bạn nhập tên máy tính đó vào mục Computer Name và sau đó nhấp chuột vào nút Add.

Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản người dùng:

Tùy chọn Ý nghĩa



User must change password at next logon

Người dùng phải thay đổi mật khẩu lần đăng nhập kế tiếp, sau đó mục này sẽ tự động bỏ chọn.

User cannot change password

Nếu được chọn thì ngăn không cho người dùng tùy ý thay đổi mật khẩu.

Password never expires Nếu được chọn thì mật khẩu của tài khoản này không bao giờ hết hạn.

Store password using reversible encryption

Chỉ áp dụng tùy chọn này đối với người dùng đăng nhập từ các máy Apple.

Account is disabled Nếu được chọn thì tài khoản này tạm thời bị khóa, không sử dụng được.

Smart card is required for interactive login

Tùy chọn này được dùng khi người dùng đăng nhập vào mạng thông qua một thẻ thông minh (smart card), lúc đó người dùng không nhập username và password mà chỉ cần nhập vào một số PIN.

Account is trusted for delegation

Chỉ áp dụng cho các tài khoản dịch vụ nào cần giành được quyền truy cập vào tài nguyên với vai trò những tài khoản người dùng khác

Account is sensitive and cannot be delegated

Dùng tùy chọn này trên một tài khoản khách vãng lai hoặc tạm để đảm bảo rằng tài khoản đó sẽ không được đại diện bởi một tài khoản khác.

Use DES encryption types for this account

Nếu được chọn thì hệ thống sẽ hỗ trợ Data Encryption Standard (DES) với nhiều mức độ khác nhau.

Do not require Kerberos preauthentication

Nếu được chọn hệ thống sẽ cho phép tài khoản này dùng một kiểu thực hiện giao thức Kerberos khác với kiểu của Windows Server 2003.

Mục cuối cùng trong Tab này là quy định thời gian hết hạn của một tài khoản người dùng. Trong mục Account Expires, nếu ta chọn Never thì tài khoản này không bị hết hạn, nếu chọn End of: ngày tháng hết hạn thì đến ngày này tài khoản này bị tạm khóa.

2.3. Tab Profile.

Các khái niệm liên quan đến Profile chúng ta đã được tìm hiểu ở chương 1, bây giờ ta tìm hiểu về các thành phần trong tab.

Tab Profile cho phép bạn khai báo đường dẫn đến Profile của tài khoản người dùng hiện tại, khai báo tập tin logon script được tự động thi hành khi người dùng đăng nhập hay khai báo home folder. Chú ý các tùy chọn trong Tab Profile này chủ yếu phục vụ cho các máy trạm trước Windows 2000, còn đối với các máy trạm từ Win2K trở về sau như: Win2K Pro, WinXP, Windows Server 2003 thì chúng ta có thể cấu hình các lựa chọn này trong Group Policy.



Kịch bản đăng nhập (logon script hay login script) là những tập tin chương

trình được thi hành mỗi khi người dùng đăng nhập vào hệ thống, với chức năng là cấu hình môi trường làm việc của người dùng và phân phát cho họ những tài nguyên mạng như ổ đĩa, máy in (được ánh xa từ Server). Bạn có thể dùng nhiều ngôn ngữ kịch bản để tạo ra logon script như: lệnh shell của DOS/NT/Windows, Windows Scripting Host (WSH), VBScript, Jscript…

Đối với Windows Server 2003 thì có hai cách để khai báo logon script là: khai báo trong thuộc tính của tài khoản người dùng thông qua công cụ Active Directory User and Computers, khai báo thông qua Group Policy. Nhưng chú ý trong cả hai cách, các tập tin script và mọi tập tin cần thiết khác phải được đặt trong thư mục chia sẻ SYSVOL, nằm trong \Windows\SYSVOL\sysvol, nếu các tập tin script này phục vụ cho các máy tiền Win2K thì phải đặt trong thư mục \Windows\Sysvol\sysvol\domainname\scripts. Để các tập tin script thi hành được bạn nhớ cấp quyền cho các người dùng mạng có quyền Read và Excute trên các tập tin này. Sau đây là một ví dụ về một tập tin logon script.

@echo off rem Taodia.bat Version 1.0 rem neu nguoi dung logon ngay tai server thi khong lam gi ca. ff %computername%.== tvthanh. goto END rem xoa cac o dia anh xa dang ton tai net use h: /delete >nul



net use j: /delete >nul rem anh xa o dia h va j net use h: \\tvthanh\users /yes >nul net use j: \\tvthanh\apps /yes >nul rem dong bo thoi gian voi Server net time \\tvthanh /set /yes :END

Thư mục cá nhân (home folder hay home directory) là thư mục dành riêng cho mỗi tài khoản người dùng, giúp người dùng có thể lưu trữ các tài liệu và tập tin riêng, đồng thời đây cũng là thư mục mặc định tại dấu nhắc lệnh. Muốn tạo một thư mục nhân cho người dùng thì trong mục Connect bạn chọn ổ đĩa hiển thị trên máy trạm và đường dẫn mà đĩa này cần ánh xạ đến (chú ý là các thư mục dùng chung đảm bảo đã chia sẻ). Trong ví dụ này bạn chỉ thư mục cá nhân cho tài khoản Tuan là “\\server\tuan”, nhưng bạn có thể thay thế tên tài khoản bằng biến môi trường người dùng như: “\\server\%username%”.



Chương 5: Chính sách hệ thống.

5.1. Chính sách tài khoản người dùng.

Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì bạn sẽ thấy hai mục Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì bạn sẽ thấy ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai cấp độ là: cục bộ và miền. Muốn cấu hình các chính sách tài khoản người dùng ta vào Start/Programs/Administrative Tools/Domain Security Policy hoặc Local Security Policy.

5.1.1 Chính sách mật khẩu.

Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của người dùng để trách các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu…



Các lựa chọn trong chính sách mật mã:

Chính sách Mô tả Mặc định

Enforce Password History Số lần đặt mật mã không được trùng nhau 24

Maximum Password Age Quy định số ngày nhiều nhất mà mật mã người

dùng có hiệu lực 42

Minimum Password Age Quy số ngày tối thiểu

trước khi người dùng có thể thay đổi mật mã.

1

Minimum Password Length Chiều dài ngắn nhất của mật mã 7

Passwords Must Meet Complexity Requirements

Mật khẩu phải có độ phức tạp như: có ký tự hoa, thường, có ký số.

Cho phép

Store Password Using Reversible Encryption for All Users in the Domain

Mật mã người dùng được lưu dưới dạng mã hóa Không cho phép

5.1.2 Chính sách khóa tài khoản.

Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa.

Các thông số cấu hình chính sách khóa tài khoản: Chính sách Mô tả Giá trị mặc định

Account Lockout Threshold

Quy định số lần cố gắng đăng nhập trước khi tài

khoản bị khóa

0 (tài khoản sẽ không bị khóa)

Account Lockout Duration Quy định thời gian khóa tài khoản

Là 0, nhưng nếu Account Lockout Threshold được thiết lập thì giá trị này là

30 phút.

Reset Account Lockout Counter After

Quy định thời gian đếm lại số lần đăng nhập không

thành công

Là 0, nhưng nếu Account Lockout Threshold được

thiết lập thì giá trị này



là 30 phút.

5.2. Chính sách cục bộ.

Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật.

5.2.1 Chính sách kiểm toán.

Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng. Bạn có thể xem các ghi nhận này thong qua công cụ Event Viewer, trong mục Security.

Các lựa chọn trong chính sách kiểm toán:



5.2.2. Quyền hệ thống của người dùng.

Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho người dùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho người dùng. Cách thứ nhất bạn đã biết sử dụng ở chương trước, chỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn thì bạn có thể gán quyền cho người dùng theo yêu cầu. Để cấp quyền hệ thống cho người dùng theo theo cách thứ hai thì bạn phải dùng công cụ Local Security Policy (nếu máy bạn không phải Domain Controller) hoặc Domain Controller Security Policy (nếu máy bạn là Domain Controller). Trong hai công cụ đó bạn mở mục Local Policy\ User Rights Assignment.



Để thêm, bớt một quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi

chuột vào quyền hạn được chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách người dùng và nhóm hiện tại đang có quyền này. Bạn có thể nhấp chuột vào nút Add để thêm người dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove để xóa người dùng khỏi danh sách. Ví dụ minh họa sau là bạn cấp quyền thay đổi giờ hệ thống (change the system time) cho người dùng “Tuan”.



Danh sách các quyền hệ thống cấp cho người dùng và nhóm:

Debug Programs Cho phép người dùng gắn một chương trình debug

vào bất kỳ tiến trình nào.



Modify Firmware Environment Variables

Cho phép người dùng hoặc một tiến trình hiệu chỉnh các biến môi trường hệ thống.

Profile Single Process Cho phép người dùng giám sát các tiến trình bình thường thông qua công cụ Performance Logs and Alerts.



5.2.3 Các lựa chọn bảo mật.

Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest). Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất nhiều lựa chọn bảo mật, nhưng trong giáo trình này chúng ta chỉ khảo sát các lựa chọn thông dụng.

Một số lựa chọn bảo mật thông dụng:





Chương 6: Tạo và quản lý thư mục dùng chung

6.1. Tạo các thư mục dùng chung.

6.1.1 Chia sẻ thư mục dùng chung.

Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truy xuất và sử dụng thông qua mạng. Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong Explorer bạn nhấp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing.

Ý nghĩa của các mục trong Tab Sharing:

Mục Mô tả Do not share this

folder Chỉ định thư mục này chỉ được phép truy cập cục bộ.

Share this folder Chỉ định thư mục này được phép truy cập cục bộ và truy cập qua mạng.

Share name Tên thư mục mà người dùng mạng nhìn thấy và truy cập

Description Cho phép người dùng mô tả thêm thông tin về thư mục dùng chung này.

User Limit Cho phép bạn khai báo số kết nối tối đa truy xuất vào thư mục tại một thời điểm.

Permissions Cho phép bạn thiết lập danh sách quyền truy cập thông qua mạng của người dùng.

Offline Settings Cho phép thư mục được lưu trữ tạm tài liệu khi làm việc dưới chế độ Offline.



6.1.2 Cấu hình Share Permissions.

Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share Permissions. Share Permissions chỉ có hiệu lực khi người dùng truy cập qua mạng chứ không có hiệu lực khi người dùng truy cập cục bộ. Khác với NTFS Permissions là quản lý người dùng truy cập dưới cấp độ truy xuất đĩa (ta sẽ xem xét vấn đề này ở các phần sau). Trong hộp thoại Share Permissions, chứa danh sách các quyền sau:

• Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ. • Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ. • Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ. Bạn muốn cấp quyền cho người dùng thì nhấp chuột vào nút Add.

Hộp thoại chọn người dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào các

tài khoản người dùng và nhóm cần chọn, sau đó chọn OK.

Trong hộp thoại xuất hiện, muốn cấp quyền cho người dùng bạn đánh dấu

vào mục Allow, ngược lại khóa quyền thì đánh dấu vào mục Deny.



6.2. QUẢN LÝ CÁC THƯ MỤC DÙNG CHUNG.

6.2.1 Xem các thư mục dùng chung.

Mục Shared Folders trong công cụ Computer Management cho phép bạn tạo và quản lý các thư mục dùng chung trên máy tính. Muốn xem các thư mục dùng chung trên máy tính bạn chọn mục Shares. Nếu thư mục dùng chung nào có phần cuối của tên chia sẻ (share name) là dấu $ thì tên thư mục dùng chung này được ẩn đi và không tìm thấy khi bạn tìm kiếm thông qua My Network Places hoặc duyệt các tài nguyên mạng.

6.2.2 Xem các phiên làm việc trên thư mục dùng chung.

Muốn xem tất cả các người dùng đang truy cập đến các thư mục dùng chung trên máy tính bạn chọn mục Session. Mục Session cung cấp các thông tin sau:

• Tên tài khoản người dùng đang kết nối vào tài nguyên chia sẻ. • Tên máy tính có người dùng kết nối từ đó. • Hệ điều hành mà máy trạm đang sử dụng để kết nối. • Số tập tin mà người dùng đang mở. • Thời gian kết nối của người dùng. • Thời gian chờ xử lý của kết nối.



• Phải là truy cập của người dùng Guest không?

•

6.2.3 Xem các tập tin đang mở trong các thư mục dùng chung.

Muốn xem các tập đang mở trong các thư mục dùng chung bạn nhấp chuột vào mục Open Files. Mục Open Files cung cấp các thông tin sau:

• Đường dẫn và tập tin hiện đang được mở. • Tên tài khoản người dùng đang truy cập tập tin đó. • Hệ điều hành mà người dùng sử dụng để truy cập tập tin. • Trạng thái tập tin có đang bị khoá hay không. • Trạng thái mở sử dụng tập tin (Read hoặc Write).

6.3. QUYỀN TRUY CẬP NTFS.

Có hai loại hệ thống tập được dùng cho partition và volume cục bộ là FAT (bao gồm FAT16 và FAT32). FAT partition không hỗ trợ bảo mật nội bộ, còn NTFS partition thì ngược lại có hỗ trợ bảo mật; có nghĩa là nếu đĩa cứng của bạn định dạng là FAT thì mọi người đều có thể thao tác trên các file chứa trên đĩa cứng này, còn ngược lại là định dạng NTFS thì tùy theo người dùng có quyền truy cập không, nếu người dùng không có quyền thì không thể nào truy cập được dữ liệu trên đĩa. Hệ thống Windows Server 2003 dùng các ACL (Access Control List) để quản lý các quyền truy cập của đối tượng cục bộ và các đối tượng trên Active Directory. Một ACL có thể chứa nhiều ACE



(Access Control Entry) đại điện cho một người dùng hay một nhóm người.

6.3.1 Các quyền truy cập của NTFS. Q

Ở folder cần cấp quyền NTFS, click phải chuột và chọn Sharing and Security, chon tab Security, chọn nút Advance sau đó chọn nút Edit ta được hình sau:

uy Tên quyền Chức năng

Traverse Folder/Execute File Duyệt các thư mục và thi hành các tập tin chương trình trong thư mục

List Folder/Read Data Liệt kê nội dung của thư mục và đọc dữ liệu của các tập tin trong thư mục

Read Attributes Đọc các thuộc tính của các tập tin và thư mục Read Extended Attributes Đọc các thuộc tính mở rộng của các tập tin và



thư mục

Create File/Write Data Tạo các tập tin mới và ghi dữ liệu lên các tập tin này

Create Folder/Append Data Tạo thư mục mới và chèn thêm dữ liệu vào các tập tin

Write Attributes Thay đổi thuộc tính của các tập tin và thư mục

Write Extendd Attributes Thay đổi thuộc tính mở rộng của các tập tin và thư mục

Delete Subfolders and Files Xóa thư mục con và các tập tin Delete Xóa các tập tin

Read Permissions Đọc các quyền trên các tập tin và thư mục Change Permissions Thay đổi quyền trên các tập tin và thư mục

Dựa vào các quyền trong bảng trên, người quản trị sẽ tạo ra một hệ thống các folder đảm bảo các user với các vai trò khác nhau khi tham gia vào hệ thống mạng sẽ có các quyền hạn khác nhau tùy mức độ mà người quản trị đã thiết lập.



Chương 7: Chính sách nhóm

7.1. Giới thiệu về chính sách nhóm.

7.1.1 So sánh giữa System Policy và Group Policy.

Ở chương trước, chúng ta đã tìm hiểu về chính sách hệ thống (System Policy), tiếp theo chúng ta sẽ tìm hiểu về chính sách nhóm (Group Policy). Vậy hai chính sách này khác nhau như thế nào. Chính sách nhóm chỉ xuất hiện trên miền Active Directory , nó không tồn tại trên miền NT4. Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống. Tất nhiên chính sách nhóm chứa tất cả các chức năng của chính sách hệ thống và hơn thế nữa, bạn có thể dùng chính sách nhóm để triển khai một phần mềm cho một hoặc nhiều máy một cách tự động.

Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống. Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống. Các chính sách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào mạng thôi. Các chính sách nhóm thì được áp dụng khi bạn bật máy lên, khi đăng nhập vào một cách tự động vào những thời điểm ngẫu nhiên trong suốt ngày làm việc.

Có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc từng nhóm đối tượng. Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy Win2K, WinXP và Windows Server 2003.

7.1.2 Chức năng của Group Policy.

Triển khai phần mềm ứng dụng: bạn có thể gom tất cả các tập tin cần thiết để cài đặt một phần mềm nào đó vào trong một gói (package), đặt nó lên Server, rồi dùng chính sách nhóm hướng một hoặc nhiều máy trạm đến gói phần mềm đó. Hệ thống sẽ tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cần sự can thiệp nào của người dùng.

Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng của chính sách hệ thống. Nó có thể cấp cho một hoặc một nhóm người nào đó có quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu…

Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thể kiểm soát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy được một vài ứng dụng nào đó thôi như: Outlook Express, Word hay Internet Explorer.

Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định hạn ngạch đĩa cho một người dùng nào đó. Người dùng này chỉ được phép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định.

Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 và Windows Server 2003 thì hỗ trợ cả bốn sự kiện này được kích hoạt (trigger) một kịch bản (script). Bạn có thể dùng các GPO để kiểm soát những kịch bản nào đang chạy.



Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng GPO để gỡ bỏ nhiều tính năng khỏi Internet Explorer, Windows Explorer và những chương trình khác.

Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ bỏ hầu hết các đề mục trên menu Start của một người dùng nào đó, ngăn chặn không cho người dùng cài thêm máy in, sửa đổi thông số cấu hình của máy trạm…

7.2. Triển khai một chính sách nhóm trên miền. Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đối

tượng chính sách (GPO). Các GPO là một vật chứa (container) có thể chứa nhiều chính sách áp dụng cho nhiều người, nhiều máy tính hay toàn bộ hệ thống mạng. Bạn dùng chương trình Group Policy Object Editor để tạo ra các đối tượng chính sách. Trong của sổ chính của Group Policy Object Editor có hai mục chính: cấu hình máy tính (computer configuration) và cấu hình người dùng (userconfiguration).

Điều kế tiếp bạn cũng chú ý khi triển khai Group Policy là các cấu hình

chính sách của Group Policy được tích lũy và kề thừa từ các vật chứa (container) bên trên của Active Directory. Ví dụ các người dùng và máy tính vừa ở trong miền vừa ở trong OU nên sẽ nhận được các cấu hình từ cả hai chính sách cấp miền lẫn chính sách cấp OU. Các chính sách nhóm sau 90 phút sẽ được làm tươi và áp dụng một lần, nhưng các chính nhóm trên các Domain Controller được làm tươi 5 phút một lần. Các GPO hoạt động được không chỉ nhờ chỉnh sửa các thông tin trong Registry mà còn nhờ các thư viện lien kết động (DLL) làm phần mở rộng đặt tại các máy trạm. Chú ý nếu bạn dùng chính sách nhóm thì chính sách nhóm tại chỗ trên máy cục bộ sẽ xử lý trước các chính sách dành cho site, miền hoặc OU.



7.2.1 Xem chính sách cục bộ của một máy tính ở xa.

Để xem một chính sách cục bộ trên các máy tính khác trong miền, bạn phải có quyền quản trị trên máy đó hoặc quản trị miền. Lúc đó bạn có thể dùng lệnh GPEDIT.MSC /gpcomputer:machinename, ví dụ bạn muốn xem chính sách trên máy PC01 bạn gõ lệnh GPEDIT.MSC /gpcomputer: PC01. Chú ý là bạn không thể dùng cách này để thiết lập các chính sách nhóm ở máy tính ở xa, do tính chất bảo mật Microsoft không cho phép bạn ở xa thiết lập các chính sách nhóm.

7.2.2 Tạo các chính sách trên miền.

Chúng ta dùng snap-in Group Policy trong Active Directory User and Computer hoặc gọi trược tiếp tiện ích Group Policy Object Editor từ dòng lệnh trên máy Domain Controller để tạo ra các chính sách nhóm cho miền. Nếu bạn mở Group Policy từ Active Directory User and Computer thì trong khung cửa sổ chính của chương trình bạn nhấp chuột phải vào biểu tượng tên miền (trong ví dụ này là netclass.edu.vn), chọn Properties. Trong hộp thoại xuất hiện bạn chọn Tab Group Policy.

Nếu bạn chưa tạo ra một chính sách nào thì bạn chỉ nhìn thấy một chính

sách tên Default Domain Policy. Cuối hộp thoại có một checkbox tên Block Policy inheritance, chức năng của mục này là ngăn chặn các thiết định của mọi chính sách bất kỳ ở cấp cao hơn lan truyền xuống đến cấp đang xét.

Chú ý rằng chính sách được áp dụng đầu tiên ở cấp site, sau đó đến cấp miền và cuối cùng là cấp OU. Bạn chọn chính sách Default Domain Policy và nhấp chuột vào nút Option để cấu hình các lựa chọn việc áp dụng chính sách. Trong hộp thoại Options, nếu bạn đánh dấu vào mục No Override thì các chính sách khác được áp dụng ở dòng dưới sẽ không phủ quyết được những thiết định của chính sách này, cho dù chính sách đó không đánh dấu vào mục Block Policy inheritance. Tiếp theo nếu bạn đánh dấu vào mục Disabled, thì



chính sách này sẽ không hoạt động ở cấp này, Việc disable chính sách ở một cấp không làm disable bản thân đối tượng chính sách.

Để tạo ra một chính sách mới bạn nhấp chuột vào nút New, sau đó nhập tên

của chính sách mới. Để khai báo thêm thông tin cho chính sách này bạn có thể nhấp chuột vào nút Properties, hộp thoại xuất hiện có nhiều Tab, bạn có thể vào Tab Links để chỉ ra các site, domain hoặc OU nào liên kết với chinh sách. Trong Tab Security cho phép bạn cấp quyền cho người dùng hoặc nhóm người dùng có quyền gì trên chính sách này.

Trong hộp thoại chính của Group Policy thì các chính sách được áp dụng

từ dưới lên trên, cho nên chính sách nằm trên cùng sẽ được áp dụng cuối cùng. Do đó, các GPO càng nằm trên cao trong danh sách thì càng có độ ưu tiên cao hơn, nếu chúng có những thiết định mâu thuẫn nhau thì chính sách nào nằm trên sẽ thắng. Vì lý do đó nên Microsoft thiết kế hai nút Up và Down giúp chúng ta có thể di chuyển các chính sách này lên hay xuống.



Trong các nút mà chúng ta chưa khảo sát thì có một nút quan trọng nhất

trong hộp thoại này đó là nút Edit. Bạn nhấp chuột vào nút Edit để thiết lập các thiết định cho chính sách này, dựa trên các khả năng của Group Policy bạn có thể thiết lập bất cứ thứ gì mà bạn muốn. Chúng ta sẽ khảo sát một số ví dụ minh họa ở phía sau.

7.3. Một số minh họa GPO trên người dùng và cấu hình máy.

7.3.1 Khai báo một logon script dùng chính sách nhóm.

Trong Windows Server 2003 hỗ trợ cho chúng ta bốn sự kiện để có thể kích hoạt các kịch bản (script) hoạt động là: startup, shutdown, logon, logoff. Trong công cụ Group Policy Object Editor, bạn có thể vào Computer Configuration → Windows Setttings → Scripts để khai báo các kịch bản sẽ hoạt động khi startup, shutdown. Đồng thời để khai báo các kịch bản sẽ hoạt



động khi logon, logoff thì bạn vào User Configuration → Windows Setttings → Scripts. Trong ví dụ này chúng ta tạo một logon script, quá trình gồm các bước sau:

Mở công cụ Group Policy Object Editor, vào mục User Configuration → Windows Setttings → Scripts.

Nhấp đúp chuột vào mục Logon bên của sổ bên phải, hộp thoại xuất hiện,

bạn nhấp chuột tiếp vào nút Add để khai báo tên tập tin kịch bản cần thi hành khi đăng nhập. Chú ý tập tin kịch bản này phải được chứa trong thư mục c:\windows\system32\grouppolicy\user\script\logon. Thư mục này có thể thay đổi, tốt nhất bạn nên nhấp chuột vào nút Show Files phía dưới hộp thoại để xem thư mục cụ thể chứa các tập tin kịch bản này. Nội dung tập tin kịch bản có thể thay đổi tùy theo yêu cầu của bạn, bạn có thể tham khảo tập tin kịch bản ở chương trước.

Tiếp theo để kiểm soát quá trình thi hành của tập tin kịch bản, bạn cần hiệu

chỉnh chính sách Run logon scripts visible ở trạng thái Enable. Trạng thái này giúp bạn có thể phát hiện ra các lỗi phát sinh khi tập tin kịch bản thi hành từ đó chúng ta có thể sửa chữa. Để thay đổi chính sách này bạn nhấp chuột vào mục User Configuration/Administrative Templates/System/Scripts, sau đó nhấp đúp chuột vào mục Run logon scripts visible để thay đổi trạng thái.





Phần 3 Thiết kế cài đặt và ứng dụng Chương 1: Thiết kế và cài đặt

I. Nâng cấp Server thành Domain Controller

Ta chọn máy làm Domain Controller là máy đã cài Win2K3. Để nâng cấp Server thành DC ta tuân thủ các bước thực hiện như sau: B1: Khởi động máy Win2K3 → Logon Administrator B2: Nhấn phải chuột (RL) trên My Network Places → Properties → Internet Protocol → Properties → Nhập giá trị Preferred DNS server cho giống với IP address → OK

B3: Đặt tên cho Domain Controller (ta cũng có thể để tên mặc định là tên lúc cài đặt hệ điều hành) RL trên My Computer → chọn thẻ Computer Name → Change… → sửa Computer name thành Server → OK → Reset→ chọn Yes để khởi động lại máy.



B4: sau khi khởi động lại máy. Vào Run gõ DCPROMO → OK.

Tại cửa sổ Wellcome chọn Next→ tại cửa sổ Operating System Compatibility chọn Next→ tại cửa sổ Create New Domain đánh dấu vào ô Domain in a new forest → Next → tại cửa sổ New Domain Name gõ tên miền (giả sử)là : ngonaldo.com → Next

Tại cửa sổ NetBIOS Domain Name chọn Next → tại cửa sổ Database and Log Folders chọn Next → tại cửa sổ Shared System Volume chon Next → tại cửa sổ DNS Registration Diagnostics đánh dấu vào ô Install and configure the DNS server as its preferred DNS server → Next

→ tại cửa sổ Permissions đánh dấu vào ô Permissions compatible only with Windows Server 2000 or Windows Server 2003 operating system → Next → tại cửa sổ Directory Services Restore Mode Adminstrator Password chọn Next → tại cửa sổ Summary chọn Next → quá trình nâng cấp Domain Controrller bắt đầu diễn ra.

→ khi hệ thống yêu cầu đĩa CD Windows Server 2003 → OK → Browse… → chỉ đường dẫn tới thư mục I386 trong đĩa CD Windows Server 2003.

→ khi chỉ xong đường dẫn chọn OK để quá trình cài đặt tiếp tục → khi quá trình cài đặt hoàn tất chọ Finish → hệ thống sẽ yêu cầu restart máy → chọn Restart Now.



B5: Sau khi restart lại máy → tại cửa sổ Log on chọn Options → tại đây ta thấy có thêm ô Log on to (NGONALDO) → Log on Administrator

B6: Start → Program → Administrative Tools → thấy xuất hiện danh mục Active Directory Users and Computers → RL → send to → Desktop (để tiện sử dụng)

II. Tạo Domain Users, Domain Group và OU

1. Tạo OU ( lý thuyết OU xem mục 3.3 – chương 3 – phần 2 – trang 13 ) Thực hiện các bước như dưới đây:

B1: Log on Administrator của máy đã nâng cấp thành Domain Controller → Start → Programs → Active Directory Users and Computers → RL vào ngonaldo.com → New → Organizational Unit.

B2: Trong cửa số New Object -Organizational Unit → trong ô Name: gõ HOCSINH → OK



OU HOCSINH đã được tạo trong domain ngonaldo.com như trong hình. Tương tự làm như vậy để được các OU GIAOVIEN, và các OU khác nữa tùy theo nhu cầu.

2. Tạo Group và User trong OU HOCSINH Ta tiến hành các bước sau:

B1: RL vào OU HOCSINH → New → Group

B2: Nhập tên Group vào ô Group name: Khoi10 (tên group) → OK

B3: RL vào OU HOCSINH → New → User

B4: nhập user K10hs01 tên user vào ô First name và ô User logon name → Next.



B5: trên hộp thoại New Object – User. Ta nhập password và check vào ô mong muốn → Next → Finish. - User must…(User sẽ phải đổi password

trong lần đầu tiên logon) - User cannot…(không cho phép User tự

ý đổi password của minh) - Password…(Password không có giới

hạn thời gian) - Account…(tài khoản bị vô hiệu lực) Chú ý: mặc định khi đặt password phải ở dạng phức tạp(password phải có chữ hoa, số, kí tự đặc biệt, số kí tự nhiều hơn 6) ví dụ: M@nhhung, P@ss123... B6: Đưa các User vào Group (trong trường hợp này ta đưa user K10hs01 vào group Khoi10). RL vào group Khoi10 → Properties → tab Members → Add → chọn ô Enter the object name to select: → gõ K10hs01 → Check Name → OK → OK. Chú ý: khi nhấn Check Name hệ thống phải tự động thêm vào tên miền có gạch chân mới được.

III. Cấp thư mục Home và thiết lập Quota

B1: vào ổ đĩa C tạo thư mục mới và đặt tên là Home. RL trên Home → Sharing and Securitys…→ chọn Share this folder → Permission.

B2: chọn Everyone, ở cột Allow chọn Full Control.



B3: Vào lại Active Directory Users and Computers (giống B1 trong tạo OU) → RL trên user K10hs01 → properties → chọn tab profile.

B4: Ta chọn Connect → ở ô To: gõ \\pc1\HOME\%username% → Apply thấy %username% tự động đổi thành K10hs01. → OK

B5: RL trên ổ đĩa C properties → chọn tab Quota → check vào Enable quota management, Deny disk…và chọn Limit disk…→ chọn thông số theo yêu cầu → Apply → OK.

B6: nhấn vào Quota Entries nếu muốn thiết lập quota cho từng user riêng biêt. Chú ý: sau khi nhấn Apply thì đèn đỏ bật thành xanh, tức là hạn ngạch đã có hiệu lực.



IV. Thiết lập Roaming and Mandatory Profile

B1: vào ổ đĩa C tạo thư mục mới và đặt tên là Profiles. RL trên Profiles → Sharing and Securitys…→ chọn Share this folder → Permission.

B2: chọn Everyone, ở cột Allow chọn Full Control.

B3: Vào lại Active Directory Users and Computers (giống B1 trong tạo OU) → RL trên user K10hs01 → properties → chọn tab profile.

B4: Ta chọn Connect → ở ô To: gõ \\pc1\profiles\%username% → Apply thấy %username% tự động đổi thành K10hs01. → OK



V. Backup và Restore AD

Trong phần lý thuyết về Backup và Restore, tôi đã trình bày cách thực hiện khá chi tiết. Bạn có thể tham khảo lại mục 3.5 - chương 3 - phần 2 – trang 19

VI. Gia nhập máy trạm vào Domain

Ta chọn máy trạm là máy đã cài đặt WinXP, các bước tiến hành như sau: B1: Định địa chỉ IP và Preferred DNS server. RL trên My Network Places → Properties → Internet Protocol → Properties → chỉnh giá trị Preferred DNS server giống với giá trị IP address của máy Domain Controller → OK → Close.

B2: gia nhập workstation vào domain ngonaldo.com → RL trên My computer → Properties → chọn thẻ Computer Name → Change…→ Trong ô Member of đánh dấu vào ô Domain → nhập vào ô Domain: ngonaldo.com → OK.

→ Trong hộp thoại Computer Name Changes nhập manhhung vào ô User name → M@nhhung vào ô Password.

→ khi xuất hiện màn hình Wellcome… chọn OK → OK → Máy yêu cầu restart → chọn Yes để khởi động lại máy.



B3: sau khi restart lại máy → nhấn tổ hợp Ctrl+Alt+Delete → tại màn hình Log on chọn Option…→ chú ý tại đậy có thêm ô Log on to → nhập manhhung vào ô User name, M@nhhung vào ô Password → chú ý trong ô Log on to chọn NGONALDO → OK.

B4: RL trên MyComputer→ Properties → tab Computer Name → ta thấy Full computer name: pcXp.ngonaldo.com, ở Domain: là ngonaldo.com. Như vậy máy tính này đã gia nhập thành công vào Domain Controller.

VII. Quyền truy cập NTFS trên thư mục chia sẻ.

Trong mục 6.3 chương 6 phần 2 trang 63. Ta đã biết về NTFS, ở phần này tôi sẽ hướng dẫn bạn cài đạt và sử dụng. B1: Khởi động máy Domain Controller → vào ổ đĩa C tạo cây thư mục có dạng như sau dưới đây:

B2: Vào AD tạo 2 group GIAOVIEN và HOCSINH. Phân quyền cho các group như sau:

Trên thư mục DỮ LIỆU: • Group HOCSINH và GIAOVIEN

có quyền Read. Trên thư mục PUBLIC: • Group HOCSINH và GIAOVIEN



có quyền Full Control. Trên thư mục GIAOVIEN: • Group GIAOVIEN có quyền Full. • Group HOCSINH không có

quyền. Trên thư mục HOCSINH: • Group HOCSINH có quyền Full. • Group GIAOVIEN không có

quyền.

B3: phân quyền trên thư mục DỮ LIỆURL trên DỮ LIỆU → properties → tab Security → chọn Advance.

→ Nhấp bỏ dấu tại mục Allow Inheritable permission…→ nhấp Copy trong hộp thoại Security → OK.

B3:trong hộp thoại Dữ_Liệu Properties chọn Users(NGONALDO\Users) → chọn Remove → Advanced. Trong hộp thoại Advanced Security Settings for Dữ_Liệu → đánh dấu chọn tại ô Replace…→ OK→ trong hộp thoại Security chọn Yes.

B4: trong tab Security chọn Add → tại ô enter the object names to select (example) gõ HOCSINH;GIAOVIEN → chọn Check Names → hệ thống tự động gạch chân 2 group đó → OK.



Quan sát trong ô Group or user names thấy có 2 group HOCSINH và GIAOVIEN. (Quan sát hình). Ở cột Allow chọn vào mục Read&Exrecute → Apply → OK.

Phân quyền trên thư mục PUBLIC

B1: RL trên thư mục PUBLIC→ Properties→tab Security→chọn group HOCSINH→đánh dấu chọn vào ô Full Control ở cột Allow→ Apply.

B2: Vẫn ở hộp thoại PUBLIC → chọn group GIAOVIEN → đánh dấu chọn vào Full Control ở cột Allow → Apply → OK.



Phân quyền trên thư mục HOCSINH

B1: tương tự như trên vào hộp thoại HOCSINH properties → Advanced.

B2: nhấp bỏ dấu tại mục Allow Inheritable permission…→ nhấp Copy trong hộp thoại Security → OK.



B3: trong ô group or user names: chọn group GIAOVIEN → Remove. Cũng trong ô đó. Chọn group HOCSINH → đánh dấu vào ô Full Control của cột Allow → Apply → OK.

Tương tự khi phân quyền trên thư mục GIAOVIEN, ta sẽ Remove group HOCSINH, rồi Full Control cho group GIAOVIEN.

B4: trở lại ổ đĩa C, RL trên thư mục DU_LIEU → Sharing and Security → chọn Share this folder → Permission chọn Everyone → ở cột Allow chọn Full Control. Chú ý: với cách phân quyền như trên. Tất cả các user thuộc group HOCSINH sẽ không thể “vào được” thư mục GIAOVIEN và ngược lại. Thư mục PUBLIC là thư mục công cộng tất cả các user thuộc cả 2 group GIAOVIEN và HOCSINH đều có thể vào được để lấy tài liệu và có đầy đủ quyền trên nó.



Chương 2: Các ứng dụng trong trường học

I. Chia sẽ tài nguyên

Như ta đã biết một trong những mục đích của việc nối mạng là để chia sẽ tài nguyên. Vì vậy, trong phần này tôi sẽ hướng dẫn để chia sẽ các tài nguyên của hệ thống một cách an toàn và bảo mật.

II.1. Tài nguyên công cộng (Public) Là tài nguyên mà ai cũng có thể sử dụng như: tài liệu học tập, hình ảnh, âm

thanh… Tuy nhiên, không một user nào có thể làm thay đổi (update, delete, insert) các tài nguyên này.

Các tài nguyên này thường được lưu trữ trong thư mục PUBLIC (xem mục VII phần 3 trang 74). Được share cho Everyone với quyền Full Control, còn quyền NTFS thì chỉ có quyền Read. Ở trường học tài nguyên loại này thường là: giáo án điện tử, các thông báo, ebook…

II.2. Tài nguyên riêng tư Là tài nguyên mà chỉ có một số user hoặc group nào đó mới có quyền truy

cập. Các user này sẽ toàn quyền trên tài nguyên này. Chẳng hạn, như mục VII phần 3 trang 74 thì tất cả các user thuộc group HOCSINH có quyền trên tài nguyên trong thư mục HOCSINH.

Ví dụ: các bài tập của học sinh mới làm nhưng chưa hoàn chỉnh, các giáo án của giáo viên, kết quả điểm thi, đề thì và đáp án…

II.3. Tài nguyên bán riêng tư Là tài nguyên mà user chỉ có thể có quyền update mà không được quyền

xóa, sửa, copy… Những user này thường là những user mà bản thân họ đã được người quản trị trao cho một số các quyền hạn nhất định.

Ví dụ: các ý kiến đóng góp, bài thi mà học sinh nộp trong khi làm bài và gửi qua hệ thống…

II. Tổ chức thi nộp bài qua mạng (tự luận)

Lấy ví dụ cho hình thức thi này là thi thực hành Word. Học sinh tham gia thi sẽ logon vào hệ thống với user của mình. Học sinh sẽ vào thư mục PUBLIC để lấy đề về máy mình (file đề mẫu dạng PDF). Dựa vào mẫu học sinh sẽ làm và lưu trữ tạm trên máy trong quá trình làm. Khi nộp bài học sinh sẽ paste bài làm vào thư mục thuộc tài nguyên bán riêng tư. Học sinh khác sẽ không thể vào thư mục này để quay cóp kết quả của bạn mình vì không thuộc user được ủy quyền.

III. Thi qua mạng dùng phần mềm EmpTest (trắc nghiệm)

Qua hệ thống mạng này chúng ta sẽ tổ chức được các kỳ thi đảm bảo tính công bằng, khách quan và chính xác. Việc thu và chấm bài hoàn toàn tự động, file điểm có thể được in ấn hoặc export sang danh sách điểm của học sinh.

Phần mềm này rất phổ thông chúng ta có thể dawnload trên mạng hoặc liên hệ với tôi để được share miễn phí. Nói chung phần mềm này dễ sử dụng (hướng dẫn tiếng việt) và cũng có thể áp dụng trên mạng ngang hàng.



IV. Dùng các phần mềm EASYCAFE quản lý HS dùng Internet

Trong việc triển khai cho học sinh thực tập trình duyệt web chẳng han. Sẽ có nhiều học sinh với tính hiếu kỳ của mình sẽ vào các trang web có thể không lành mạnh làm ảnh hưởng đến các bạn khác và ảnh hướng đến chính học sinh đó. Để ngăn chặn từ xa những tình huống xấu nhất có thể xảy ra, tôi xin giới thiệu phầm mềm EASYCAFE. Phần mềm này rất hữu dụng để quản lý mạng về thời gian vào mạng, ngăn chặn những những tác động nghịch phá của học sinh, theo dõi quá trình vào mạng của học sinh, tắt máy trạm từ xa cũng như các điều khiển từ xa khác…

Khi cài đặt sẽ có 2 lựa chọn, cài vào server hoặc client ta chú ý để cài cho đúng. Phần mền cũng hỗ trợ tiếng viết nên dễ dàng sử dụng.

V. Dùng NetOp School dạy học

Hiện nay nhu cầu sử dụng máy chiếu Projector để dạy học rất cấp thiết. Việc trang bị máy chiếu cho các phòng máy không phải lúc nào cũng được đáp ứng bởi giá thành của nó rất cao. Để việc dạy và học trong các phòng máy không phụ thuộc vào các máy chiếu mà vẫn có thể dạy và học tốt. Tôi giới thiệu phần mềm NetOp School.

Các máy tính sau khi được cài đặt phần mền này (client) sẽ tự động gia nhập vào máy chủ, máy chủ sẽ tác động lên client như: giao tiếp trực tuyến (chat) với máy client, gửi các message đến các client và đặc biệt có thể mượn màn hình của các máy client để truyền tài các thao tác trên máy server một các dễ dàng (đặc tình này sẽ thay thể tích cực việc sử dụng một máy chiếu).

Việc cài đặt cùng gồm 2 lựa chọn cho máy server và client. Đối với hệ thống domain việc cài đặt phần mềm này còn đơn giản hơn nhiều so với mô hình khách chủ vì ta có thể cài đặt từ xa thay vì phải đến từng máy để cài thủ công như trước đây.

Chúng ta sẽ bàn bạc xâu hơn về các ứng dụng của NetOp School trong một dịp khác. Mọi chia sẽ, thắc mắc và góp ý xin liên hệ về địa chỉ email: [email protected]. tôi luôn mong đóng góp và được chia sẽ những gì mình tìm hiểu được trong hệ thống này – hệ thống Domain Controller.


mailto:[email protected]


Tài liệu tham khảo

[1] Tham khảo toàn diện Windows Server 2003 tập 1, 2, 3 – Lữ Đức

Hào – NXB Thống Kê.

[2] Thiết kế và Quản trị mạng (lưu hành nội bộ) – Trịnh Huy Hoàng –

Đại học Sư phạm Tp. Hồ Chí Minh.

[3] Managing and maintaining a Microsoft Windows Server 2003 – Dan

Holme and Orin Thomas.

[4] Quản trị mạng Microsoft MCSA 70 – 290.

[5] Website: www.quantrimang.com,www.3c.com, www.vnexperts.com

và www.vnexpress.com.

[5] Một số tài liệu tiếng anh MCSA – Microsoft.


http://www.3c.com/

http://www.vnexperts.com/