Đề cương môn Quản trị mang

Nội dung text: Đề cương môn Quản trị mang

1. Quản trị mạng
2. Đề cương môn Quản trị mang Mục lục MỤC LỤC 1 CHƯƠNG 1: GIỚI THIỆU VÀ CÀI ĐẶT WINDOWS SERVER 2003 7 1.1. Tổng quan về họ hệ điều hành windows server 2003 7 1.2. Chuẩn bị cài đặt windows server 2003 8 1.2.1. Yêu cầu phần cứng 9 1.2.3. Phân chia ổ đĩa 10 1.2.5. Chọn hệ thống tập tin. 11 1.2.6. Chọn chế độ sử dụng giấy phép. 11 1.2.7. Chọn phương án kết nối mạng 12 1.2.7.1. Các giao thức kết nối mạng 12 1.2.7.2 Thành viên trong Workgroup hoặc Domain. 12 1.3. Cài đặt windows server 2003 12 1.3.1. Giai đoạn Preinstallation. 12 1.3.1.1. Cài đặt từ hệ điều hành khác. 12 1.3.1.2. Cài đặt trực tiếp từ đĩa CD Windows 2003. 12 1.3.1.3. Cài đặt Windows 2003 Server từ mạng. 13 1.3.2. Giai đoạn Text-Based Setup 13 CHƯƠNG 2: ACTIVE DIRECTORY 19 2.1. Các mô hình mạng trong môi trƣờng microsoft. 19 2.1.1. Mô hình Workgroup 19 2.1.2. Mô hình Domain: 19 2.2. Active Directory 20 2.2.1. Giới thiệu Active Directory 20 2.2.2. Chức năng của Active Directory 20 2.2.3. Directory Services 21 2.2.3.1. Giới thiệu Directory Services 21 2.2.3.2. Các thành phần trong Directory Services 21 2.2.3.4. Kiến trúc của Active Directory 23 2.2.3.4. Domain 24 2.3. Cài đặt và cấu hình active directory 26 2.3.1. Nâng cấp Server thành Domain Controller 26 2.3.1.1. Giới thiệu 26 2.3.1.2. Các bước cài đặt 27 2.3.2. Gia nhập máy trạm vào Domain 33 2.3.2.1. Giới thiệu 33 2.3.2.2. Các bước cài đặt 33 2.3.3. Xây dựng các Domain Controller đồng hành 34 2.3.3.1. Giới thiệu 34 2.3.3.2. Các bước cài đặt 35 2.3.3. Xây dựng Subdomain 38 2.3.4. Xây dựng Organizational Unit 40 2.3.5. Công cụ quản trị các đối tượng trong Active Directory 42 CHƯƠNG 3: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM 44 3.1. Định nghĩa tài khoản ngƣời dùng và tài khoản nhóm 44 3.1.1. Tài khoản người dùng 44 3.1.1.1. Tài khoản người dùng cục bộ 44 3.1.1.2. Tài khoản người dùng miền 44 3.1.1.3. Yêu cầu về tài khoản người dùng 45 1
3. Đề cương môn Quản trị mang 3.1.2. Tài khoản nhóm 45 3.1.2.1. Nhóm bảo mật 45 3.1.2.2. Nhóm phân phối 46 3.1.2.3. Qui tắc gia nhập nhóm 46 3.2. Chứng thực và kiểm soát truy cập 47 3.2.1 Các giao thức chứng thực 47 3.2.2. Số nhận diện bảo mật SID 47 3.2.3. Kiểm soát hoạt động truy cập của đối tượng 48 3.3. Các tài khoản tạo sẵn 48 3.3.1. Tài khoản người dùng tạo sẵn 48 3.3.2 Tài khoản nhóm Domain Local tạo sẵn 49 3.3.3 Tài khoản nhóm Global tạo sẵn 51 3.3.3. Các nhóm tạo sẵn đặc biệt 52 3.3. Quản lý tài khoản ngƣời dùng và nhóm cục bộ 52 3.3.1. Công cụ quản lý tài khoản người dùng cục bộ 52 3.3.2. Các thao tác cơ bản trên tài khoản người dùng cục bộ 54 3.3.2.1. Tạo tài khoản mới 54 3.3.2.2. Xóa tài khoản 54 3.3.2.3. Khóa tài khoản 55 3.3.2.3. Đổi tên tài khoản 55 3.3.2.5. Thay đổi mật khẩu 56 3.5. Quản lý tài khoản ngƣời dùng và nhóm trên active directory 56 3.5.1. Tạo mới tài khoản người dùng 56 3.5.2. Các thuộc tính của tài khoản người dùng 57 3.5.2.1. Các thông tin mở rộng của người dùng 58 3.5.2.2. Tab Account 59 3.5.2.3. Tab Profile 62 3.5.2.3. Tab Member Of 64 3.5.2.5. Tab Dial-in 65 3.5.3. Tạo mới tài khoản nhóm 66 3.5.3. Các tiện ích dòng lệnh quản lý tài khoản người dùng 66 3.5.5. Tài khoản nhóm 67 3.5.5.1. Lệnh net user: 67 3.5.5.2. Lệnh net group 68 3.5.5.3. Lệnh net localgroup 69 3.5.5.3. Các lệnh hỗ trợ dịch vụ AD trong môi trường Windows Server 2003 69 CHƯƠNG 4. CHÍNH SÁCH NHÓM 71 4 1 Giới thiệu 71 4 1.1. So sánh giữa System Policy và Group Policy 71 4 1.2. Chức năng của Group Policy 71 4 2. Triển khai một chính sách nhóm trên miền 72 4 2.1. Xem chính sách cục bộ của một máy tính ở xa 73 4 2.2. Tạo các chính sách trên miền 73 5.3. Một số minh họa GPO trên ngƣời dùng và cấu hình máy 75 4.3.1. Khai báo một logon script dùng chính sách nhóm 75 4.3.2. Hạn chế chức năng của Internet Explorer 77 4.3.3. Chỉ cho phép một số ứng dụng được thi hành 78 CHƯƠNG 5.QUẢN LÝ ĐĨA 79 5.1. Cấu hình hệ thống tập tin 79 5.2. Cấu hình đĩa lƣu trữ 79 5.2.1. Basic storage 79 5.2.2. Dynamic storage 80 2
4. Đề cương môn Quản trị mang 5.2.2.1. Volume simple 80 5.2.2.2. Volume spanned 80 5.2.2.3. Volume striped 81 5.2.2.3. Volume mirrored 81 5.2.2.5. Volume RAID-5 82 5.3. Sử dụng chƣơng trình disk Manager 82 5.3.1. Xem thuộc tính của đĩa 82 5.3.2. Xem thuộc tính của volume hoặc đĩa cục bộ 83 5.3.2.1. Tab Sharing 83 5.3.2.2. Tab Security 84 5.3.2.3. Tab Quota 84 5.3.2.3. Shadow Copies 85 5.3.3. Bổ sung thêm một ổ đĩa mới 85 5.3.3.1. Máy tính không hỗ trợ tính năng “Hot Swap” 85 5.3.3.2. Máy tính hỗ trợ “hot swap” 85 5.3.3. Tạo Partition/Volume mới 85 5.3.5. Thay đổi ký tự ổ đĩa hoặc đường dẫn 88 5.3.6. Xoá Partition/Volume 88 5.3.7. Cấu hình Dynamic Storage 89 5.3.7.1. Chuyển chế độ lưu trữ 89 5.3.7.2. Tạo Volume Spanned 90 5.3.7.3. Tạo Volume Striped 91 5.3.7.3. Tạo Volume Mirrored 92 5.3.7.5. Tạo Volume Raid-5 92 5.3. Quản lý việc nén dữ liệu 93 5.5. Thiết lập hạn ngạch đĩa (Disk Quota) 94 5.5.1. Cấu hình hạn ngạch đĩa 94 5.5.2. Thiết lập hạn ngạch mặc định 95 5.5.3. Chỉ định hạn ngạch cho từng cá nhân 96 5.6. Mã hoá dữ liệu bằng EFS 96 CHƯƠNG 6: TẠO VÀ QUẢN LÝ THƯ MỤC DÙNG CHUNG 98 6.1. tạo các thƣ mục dùng chung 98 6.1.1. Chia sẻ thư mục dùng chung 98 6.1.2. Cấu hình Share Permissions 99 6.1.3. Chia sẻ thư mục dùng lệnh netshare 100 6.2. Quản lý các thƣ mục dùng chung 100 6.2.1. Xem các thư mục dùng chung 100 6.2.2. Xem các phiên làm việc trên thư mục dùng chung 101 6.3. Quyền truy cập NTFS 101 6.3.1. Các quyền truy cập của NTFS 102 6.3.2. Gán quyền truy cập NTFS trên thư mục dùng chung 102 6.3.3. Kế thừa và thay thế quyền của đối tượng con 104 6.3.5. Thay đổi quyền khi di chuyển thư mục và tập tin 105 6.3.6. Giám sát người dùng truy cập thư mục 105 6.3.7. Thay đổi người sở hữu thư mục 106 6.3. DFS 106 6.3.1. So sánh hai loại DFS 106 6.3.2. Cài đặt Fault-tolerant DFS 107 CHƯƠNG 7: DỊCH VỤ DHCP 110 7.1. giới thiệu dịch vụ DHCP 110 7.2. Hoạt động của giao thức DHCP 110 7.3. Cài đặt dịch vụ DHCP 111 3
5. Đề cương môn Quản trị mang 7.3. Chứng thực dịch vụ dhcp trong Active Directory 112 7.5. Cấu hình dịch vụ DHCP 112 7.6. Cấu hình các tuỳ chọn DHCP 117 7.7. Cấu hình dành riêng địa chỉ 117 CHƯƠNG 8. DỊCH VỤ ROUTING AND REMOTE ACCESS - RAS 119 8.1. Xây dựng một remote Access Server 119 8.1.1. Cấu hình RAS server 119 8.1.2. Cấu hình RAS client 125 8.2. Xây dựng một internet Connection Server 126 8.2.1. Cấu hình trên server 126 8.2.2. Cấu hình trên máy trạm 130 CHƯƠNG 9. DỊCH VỤ DNS 131 9.1. Tổng quan về DNS 131 9.1.1. Giới thiệu DNS 131 9.1.2. Đặc điểm của DNS trong Windows 2003 133 9.2. Cách phân bổ dữ liệu quản lý Domain Name 133 9.3. Cơ chế phân giải tên 133 9.3.1. Phân giải tên thành IP 133 9.3.2. Phân giải IP thành tên máy tính 135 9.3. Một số Khái niệm cơ bản 136 9.3.1. Domain name và zone 136 9.3.2. Fully Qualified Domain Name (FQDN) 137 9.3.3. Sự ủy quyền(Delegation) 137 9.3.3. Forwarders 137 9.3.5. Stub zone 138 9.3.6. Dynamic DNS 138 9.3.7. Active Directory-integrated zone 139 9.5. Phân loại Domain Name Server 140 9.5.1 Primary Name Server 140 9.5.2 Secondary Name Server 140 9.5.3 Caching Name Server 141 9.6. Resource Record (RR) 141 9.6.1. SOA(Start of Authority) 142 9.6.2. NS (Name Server) 143 9.6.3 A (Address) và CNAME (Canonical Name) 143 9.6.4 AAAA 143 9.6.5 SRV 143 9.6.6 MX (Mail Exchange) 144 9.6.7 PTR (Pointer) 145 9.7. Cài đặt và cấu hình dịch vụ DNS 145 9.7.1.Các bước cài đặt dịch vụ DNS 145 9.7.2. Cấu hình dịch vụ DNS 146 9.7.2.1. Tạo Forward Lookup Zones 147 9.7.2.2. Tạo Reverse Lookup Zone 148 9.7.2.3. Tạo Resource Record(RR) 149 9.7.2.3. Kiểm tra hoạt động dịch vụ DNS 153 9.7.2.5. Tạo miền con(Subdomain) 156 9.7.2.6. Ủy quyền cho miền con 156 4
6. Đề cương môn Quản trị mang 9.7.2.7. Tạo Secondary Zone 157 9.7.2.8. Tạo zone tích hợp với Active Directory 160 9.7.2.9. Thay đổi một số tùy chọn trên Name Server 162 9.7.2.9. Theo dõi sự kiện log trong DNS 166 CHƯƠNG 10. DỊCH VỤ WEB 167 10.1. Giao thức HTTP 167 10.2. Nguyên tắc hoạt động của Web Server 167 10.2.1. Cơ chế nhận kết nối 168 10.2.2. Web Client 168 10.2.3. Web động 169 10.3. Đặc điểm của IIS 60 169 10.3.1. Các thành phần chính trong IIS 169 10.3.2. IIS Isolation mode 170 10.3.3. Chế độ Worker process isolation 170 10.3.3.1. IIS 50 Isolation Mode 171 10.3.3.2. So sánh các chức năng trong IIS 60 mode 172 10.3.3. Nâng cao tính năng bảo mật 173 10.3.5. Hỗ trợ ứng dụng và các công cụ quản trị 174 10.3. Cài đặt và cấu hình IIS 60 174 10.3.1. Cài đặt IIS 60 Web Service 174 10.3.2. Cấu hình IIS 60 Web service 177 10.3.2.1. Một số thuộc tính cơ bản 178 10.3.2.2. Tạo mới một Web site 180 10.3.2.3. Tạo Virtual Directory 182 10.3.2.3. Cấu hình bảo mật cho Web Site 183 10.3.2.5. Cấu hình Web Service Extensions 185 10.3.2.6. Cấu hình Web Hosting 186 10.3.2.7. Cấu hình IIS qua mạng (Web Interface for Remote Administration) 188 10.3.2.8. Quản lý Web site bằng dòng lệnh 190 10.3.2.9. Sao lưu và phục hồi cấu hình Web Site 190 10.3.2.10. Cấu hình Forum cho Web Site 192 CHƯƠNG 11: TƯỜNG LỬA - FIREWALL 194 11.1. Firewall 194 11.1.1. Giới thiệu về Firewall 194 11.1.2. Kiến Trúc Của Firewall 195 11.1.2.1. Kiến trúc Dual-homed host 195 11.1.2.2. Kiến trúc Screened Host 195 11.1.2.3. Sreened Subnet 196 11.1.3. Các loại firewall và cách hoạt động 197 11.1.3.1. Packet filtering (Bộ lọc gói tin) 197 11.1.3.2. Application gateway 198 11.2. Giới Thiệu ISA 2006 200 11.3. Đặc Điểm Của ISA 2006 200 11.3. Cài Đặt ISA 2006 201 11.3.1. Yêu cầu cài đặt 201 11.3.2. Quá trình cài đặt ISA 2006 201 11.3.2.1. Cài đặt ISA trên máy chủ 1 card mạng 201 11.3.2.2. Cài đặt ISA trên máy chủ có nhiều card mạng 203 11.5. Cấu hình ISA Server 208 11.5.1. Một số thông tin cấu hình mặc định 208 11.5.2. Một số chính sách mặc định của hệ thống 209 11.5.3. Cấu hình Web proxy cho ISA 210 5
7. Đề cương môn Quản trị mang 11.5.3. Tạo Và Sử Dụng Firewall Access Policy 212 11.5.3.1. Tạo một Access Rule 213 11.5.3.2. Thay đổi thuộc tính của Access Rule 215 11.5.5. Publishing Network Services 216 11.5.5.1. Web Publishing and Server Publishing 216 11.5.5.2. Publish Web server 217 11.5.5.3. Publish Mail Server 220 11.5.5.3. Tạo luật để publish Server 222 11.5.6. Kiểm tra trạng thái và bộ lọc ứng dụng 223 11.5.6.1. Lập bộ lọc ứng dụng 223 11.5.6.2. Thiết lập bộ lọc Web 226 11.5.6.3. Phát Hiện Và Ngăn Ngừa Tấn Công 228 11.5.7. Một số công cụ bảo mật 230 11.5.7.1. Download Security 230 11.5.7.2. Surfcontrol Web Filter 232 11.5.8. Thiết lập Network Rule 232 11.5.8.1. Thay đổi thuộc tính của một Network Rule 233 11.5.8.2. Tạo Network Rule 233 11.5.9. Thiết lập Cache, quản lý và theo dõi traffic 234 11.5.9.1. Thiết lập Cache 234 11.5.9.2. Thay đổi tùy chọn về vùng Cache 235 11.5.9.3. Tạo Cache Rule 236 11.5.9.3. Quản lý và theo dõi traffic 238 6
8. Đề cương môn Quản trị mang CHƢƠNG 1: GIỚI THIỆU VÀ CÀI ĐẶT WINDOWS SERVER 2003 1.1. Tổng quan về họ hệ điều hành windows server 2003 Như chúng ta đã biết họ hệ điều hành Windows 2000 Server có 3 phiên bản chính là: Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server. Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từng loại dịch vụ. Đến khi họ Server 2003 ra đời thì Mircosoft cũng dựa trên tính năng của từng phiên bản để phân loại do đó có rất nhiều phiên bản của họ Server 2003 được tung ra thị trường. Nhưng 4 phiên bản được sử dụng rộng rãi nhất là: Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition, Web Edition. So với các phiên bản 2000 thì họ hệ điều hành Server phiên bản 2003 có những đặc tính mới sau: - Khả năng kết chùm các Server để san sẻ tải (Network Load Balancing Clusters) và cài đặt nóng RAM (hot swap). - Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểu được chính sách nhóm (group policy) được thiết lập trong WinXP, có bộ công cụ quản trị mạng đầy đủ các tính năng chạy trên WinXP. - Tính năng cơ bản của Mail Server được tính hợp sẵn: đối với các công ty nhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử dụng dịch vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003 để làm một hệ thống mail đơn giản phục vụ cho công ty. - Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (Mircosoft Database Engine) được cắt xén từ SQL Server 2000.Tuy MSDE không có công cụ quản trị nhưng nó cũng giúp ích cho các công ty nhỏ triển khai được các ứng dụng liên quan đến cơ sở dữ liệu mà không phải tốn chi phí nhiều để mua bản SQL Server. - NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003 này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peer-to-peer đến các máy bên ngoài Internet, đặt biệt là các thông tin được truyền giữa các máy này có thể được mã hóa hoàn toàn. - Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and Remote Access). Tính năng này cho phép bạn duyệt các máy tính trong mạng ở xa thông qua công cụ Network Neighborhood. - Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa các gốc rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn. - Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps. Web Admin cũng ra đời giúp người dùng quản trị Server từ xa thông qua một dịch vụ Web một cách trực quan và dễ dàng. 7
9. 8 đặt Đặc tính Web Edition Standard Enterprise Datacenter trơn trình ó cài c hỉ hỉ hỗ trợ Edition Edition Edition quá thể đặt ho NETFrameWork YES YES YES YES c có cài ấp để c Act as a Domain Controller in the Active NO YES YES YES trình có Directory cung Microsoft Meta Directory Service (MMS) quá NO NO YES YES cần Support để gì định Internet Information Service (IIS) 6.0 YES YES YES YES ng thiết ữ Network Load Balancing YES YES YES YES nh cần quyết ASP.Net YES YES YES YES ợc tin ư đ EnterPrise UDDI Service NO YES YES YES trọng Server Cluster NO YES YES YES biết thông i quan Virtual Private Network (VPN) Support Hỗ trợ kết nối YES YES YES hả p tố Internet Authentication Service ( IAS) NO YES YES YES n những yếu IPV6 YES YES YES YES bạ cả à l Distributed File System (DFS) YES YES YES YES đặt, đủ EnCrypting File System (EFS) YES YES YES YES tất ợc cài ư đ đầy Shadow Copy Restore YES YES YES YES hi ó k bị c Removable Remote Storage YES YES YES YES ã ớc đ Fax Service NO YES YES YES ư huẩn c bạn Service for Macintosh NO YES YES YES và và Print Services for Unix YES YES YES YES Terminal Services NO YES YES YES không. Tr định công h Các Các Cluster NTFS có kích thước bất kỳ khác với Windows 2000 Server c Chuẩn bị cài đặt windows server 2003 IntelliMirror YES YES YES YES c Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn phú phong lệnh dòng qua thông Server trị quản trường môi trợ Hỗ hay Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một Server. một cùng trên System) File (Distributed DFS gốc nhiều tạo phép Cho Remote OS Installation (RIS) YES YES YES YES Hoạ tru thành 1.2. - Đề cương môn Quản mang trị cương Đề - - 4KB.
10. Đề cương môn Quản trị mang cài đặt. Để lên kế hoạch cho việc nâng cấp hoặc cài mới các Server bạn nên tham khảo các hướng dẫn từ Microsoft Windows Server 2003 Deployment Kit . Các thông tin cần biết trước khi nâng cấp hoặc cài mới hệ điều hành: - Phần cứng đáp ứng được yêu cầu của Windows Server 2003. - Làm sao để biết được phần cứng của hệ thống có được Windows Server 2003 hỗ trợ hay không. - Điểm khác biệt giữa cách cài đặt mới và cách nâng cấp (upgrade). - Những lựa chọn cài đặt nào thích hợp với hệ thống của bạn, chẳng hạn như chiến lược chia partition đĩa, và bạn sẽ sử dụng hệ thống tập tin nào 1.2.1. Yêu cầu phần cứng đặt quá trình cài phục vụ cho đĩa chống Dung lượng CPU Hỗ trợ nhiều gợi Ý Tốc độ CPU CPU thiểu của Tốc độ tối tối đa RAM hỗ trợ Dung lượng RAM gợ Dung lượng RAM tối thiểu Dung Lượng Đặc tính i ý i 1.5GB 2 550MH 133MH 2GB 256MB 128MB Edition Web 1.5GB 4 550MHz 133MHz 4GB 256MB 128MB Stanđar Edition Itanium máy dòng cho x86, 2GB máy dòng 1.5GB cho 8 733MHz Itanium cho máy dòng x86, 733MHz máy dòng 133MHz cho Itanium cho máy dòng x86, 64GB máy dòng 32GB cho 256MB 128MB EnterPrise Eerdition Itanium cho máy dòng 2GB dòng x86, máy 1.5GB cho Itanium cho máy dòng CPU 32 bit 64 x86 cho máy dòng CPU 8 đến 32 733MHz dòng Itaniu máy 733MHz cho dòng x86, máy 400MHz cho Itanium cho máy dòng 512 GB dòng x86, máy 64 GB cho 1GB 512MB Datacent Edition m Tương thích phần cứng: Một bước quan trọng trước khi nâng cấp hoặc cài đặt mới Server của bạn là kiểm tra xem phần cứng của máy tính hiện tại có tương thích với sản phẩm hệ điều hành trong họ Windows Server 2003. Bạn có thể làm việc này bằng cách chạy chương trình kiểm tra tương thích có sẵn trong đĩa CD hoặc từ trang Web Catalog. Nếu chạy chương trình kiểm tra từ đĩa CD, tại dấu nhắc lệnh nhập: \i386\winnt32 9
11. Đề cương môn Quản trị mang /checkupgradeonly. Cài đặt mới hoặc nâng cấp: Trong một số trường hợp hệ thống Server chúng ta đang hoạt động tốt, các ứng dụng và dữ liệu quan trọng đều lưu trữ trên Server này, nhưng theo yêu cầu chúng ta phải nâng cấp hệ điều hành Server hiện tại thành Windows Server 2003. Chúng ta cần xem xét nên nâng cấp hệ điều hành đồng thời giữ lại các ứng dùng và dữ liệu hay cài đặt mới hệ điều hành rồi sau cấu hình và cài đặt ứng dụng lại. Đây là vấn đề cần xem xét và lựa chọn cho hợp lý. * Các điểm cần xem xét khi nâng cấp: - Với nâng cấp (upgrade) thì việc cấu hình Server đơn giản, các thông tin của bạn được giữ lại như: người dùng (users), cấu hình (settings), nhóm (groups), quyền hệ thống (rights), và quyền truy cập (permissions) - Với nâng cấp bạn không cần cài lại các ứng dụng, nhưng nếu có sự thay đổi lớn về đĩa cứng thì bạn cần backup dữ liệu trước khi nâng cấp. - Trước khi nâng cấp bạn cần xem hệ điều hành hiện tại có nằm trong danh sách các hệ điều hành hỗ trợ nâng cấp thành Windows Server 2003 không ? - Trong một số trường hợp đặc biệt như bạn cần nâng cấp một máy tính đang làm chức năng Domain Controller hoặc nâng cấp một máy tính đang có các phần mềm quan trọng thì bạn nên tham khảo thêm thông tin hướng dẫn của Microsoft chứa trong thư mục \Docs trên đĩa CD Windows Server 2003 Enterprise. Các hệ điều hành cho phép nâng cấp thành Windows Server 2003 Enterprise Edition: - Windows NT Server 3.0 với Service Pack 5 hoặc lớn hơn. - Windows NT Server 3.0, Terminal Server Edition, với Service Pack 5 - Windows NT Server 3.0, Enterprise Edition, với Service Pack 5 hoặc lớn hơn. - Windows 2000 Server. - Windows 2000 Advanced Server. - Windows Server 2003, Standard Edition. 1.2.3. Phân chia ổ đĩa Đây là việc phân chia ổ đĩa vật lý thành các partition logic. Khi chia partition, bạn phải quan tâm các yếu tố sau: - Lƣợng không gian cần cấp phát: bạn phải biết được không gian chiếm dụng bởi hệ điều hành, các chương trình ứng dụng, các dữ liệu đã có và sắp phát sinh. - Partition system và boot: khi cài đặt Windows 2003 Server sẽ được lưu ở hai vị trí là partition system và partition boot. Partition system là nơi chứa các tập tin giúp cho việc khởi động Windows 2003 Server. Các tập tin này không chiếm nhiều không gian đĩa. Theo mặc định, partition active của máy tính sẽ được chọn làm partition system, vốn thường là ổ đĩa C:. Partition boot là nơi chứa các tập tin của 10
12. Đề cương môn Quản trị mang hệ điều hành. Theo mặc định các tập tin này lưu trong thư mục WINDOWS. Tuy nhiên bạn có thể chỉ định thư mục khác trong quá trình cài đặt. Microsoft đề nghị partition này nhỏ nhất là 1,5 GB. - Cấu hình đĩa đặc biệt: Windows 2003 Server hỗ trợ nhiều cấu hình đĩa khác nhau. Các lựa chọn có thể là volume simple, spanned, striped, mirrored hoặc là RAID-5. - Tiện ích phân chia partition: nếu bạn định chia partition trước khi cài đặt, bạn có thể sử dụng nhiều chương trình tiện ích khác nhau, chẳng hạn như FDISK hoặc PowerQuest Partition Magic. Có thể ban đầu bạn chỉ cần tạo một partition để cài đặt Windows 2003 Server, sau đó sử dụng công cụ Disk Management để tạo thêm các partition khác. 1.2.5. Chọn hệ thống tập tin. Bạn có thể chọn sử dụng một trong ba loại hệ thống tập tin sau: - FAT16 (file allocation table): là hệ thống được sử dụng phổ biến trên các hệ điều hành DOS và Windows 3.x. Có nhược điểm là partition bị giới hạn ở kích thước 2GB và không có các tính năng bảo mật như NTFS. - FAT32: được đưa ra năm 1996 theo bản Windows 95 OEM Service Release 2 (OSR2). Có nhiều ưu điểm hơn FAT16 như: hỗ trợ partition lớn đến 2TB; có các tính năng dung lỗi và sử dụng không gian đĩa cứng hiệu quả hơn do giảm kích thước cluster. Tuy nhiên FAT32 lại có nhược điểm là không cung cấp các tính năng bảo mật như NTFS. - NTFS: là hệ thống tập tin được sử dụng trên các hệ điều hành Windows NT, Windows 2000, Windows 2003. Windows 2000, Windows 2003 sử dụng NTFS phiên bản 5. Có các đặc điểm sau: chỉ định khả năng an toàn cho từng tập tin, thư mục; nén dữ liệu, tăng không gian lưu trữ; có thể chỉ định hạn ngạch sử dụng đĩa cho từng người dùng; có thể mã hoá các tập tin, nâng cao khả năng bảo mật. 1.2.6. Chọn chế độ sử dụng giấy phép. Bạn chọn một trong hai chế độ giấy phép sau đây: - Per server licensing: là lựa chọn tốt nhất trong trường hợp mạng chỉ có một Server và phục cho một số lượng Client nhất định. Khi chọn chế độ giấy phép này, chúng ta phải xác định số lượng giấy phép tại thời điểm cài đặt hệ điều hành. Số lượng giấy phép tùy thuộc vào số kết nối đồng thời của các Client đến Server. Tuy nhiên, trong quá trình sử dụng chúng ta có thể thay đổi số lượng kết nối đồng thời cho phù hợp với tình hình hiện tại của mạng. - Per Seat licensing: là lựa chọn tốt nhất trong trường hợp mạng có nhiều Server. Trong chế độ giấy phép này thì mỗi Client chỉ cần một giấy phép duy nhất để truy xuất đến tất cả các Server và không giới hạn số lượng kết nối đồng thời đến Server. 11
13. Đề cương môn Quản trị mang 1.2.7. Chọn phương án kết nối mạng 1.2.7.1. Các giao thức kết nối mạng Windows 2003 mặc định chỉ cài một giao thức TCP/IP, còn những giao thức còn lại như IPX, AppleTalk là những tùy chọn có thể cài đặt sau nếu cần thiết. Riêng giao thức NetBEUI, Windows 2003 không đưa vào trong các tùy chọn cài đặt mà chỉ cung cấp kèm theo đĩa CD-ROM cài đặt Windows 2003 và được lưu trong thư mục \VALUEADD\MSFT\NET\NETBEUI. 1.2.7.2 Thành viên trong Workgroup hoặc Domain. Nếu máy tính của bạn nằm trong một mạng nhỏ, phân tán hoặc các máy tính không được nối mạng với nhau, bạn có thể chọn cho máy tính làm thành viên của workgroup, đơn giản bạn chỉ cần cho biết tên workgroup là xong. Nếu hệ thống mạng của bạn làm việc theo cơ chế quản lý tập trung, trên mạng đã có một vài máy Windows 2000 Server hoặc Windows 2003 Server sử dụng Active Directory thì bạn có thể chọn cho máy tính tham gia domain này. Trong trường hợp này, bạn phải cho biết tên chính xác của domain cùng với tài khoản (gồm có username và password) của một người dùng có quyền bổ sung thêm máy tính vào domain. Ví dụ như tài khoản của người quản trị mạng (Administrator). Các thiết lập về ngôn ngữ và các giá trị cục bộ. Windows 2000 Server hỗ trợ rất nhiều ngôn ngữ, bạn có thể chọn ngôn ngữ của mình nếu được hỗ trợ. Các giá trị local gồm có hệ thống số, đơn vị tiền tệ, cách hiển thị thời gian, ngày tháng. 1.3. Cài đặt windows server 2003 1.3.1. Giai đoạn Preinstallation. Sau khi kiểm tra và chắc chắn rằng máy của mình đã hội đủ các điều kiện để cài đặt Windows 2003 Server, bạn phải chọn một trong các cách sau đây để bắt đầu quá trình cài đặt. 1.3.1.1. Cài đặt từ hệ điều hành khác. Nếu máy tính của bạn đã có một hệ điều hành và bạn muốn nâng cấp lên Windows 2003 Server hoặc là bạn muốn khởi động kép, đầu tiên bạn cho máy tính khởi động bằng hệ điều hành có sẵn này, sau đó tiến hành quá trình cài đặt Windows 2003 Server. Tuỳ theo hệ điều hành đang sử dụng là gì, bạn có thể sử dụng hai lệnh sau trong thư mục I386: - WINNT32.EXE nếu là Windows 9x hoặc Windows NT. - WINNT.EXE nếu là hệ điều hành khác. 1.3.1.2. Cài đặt trực tiếp từ đĩa CD Windows 2003. 12
14. Đề cương môn Quản trị mang Nếu máy tính của bạn hỗ trợ tính năng khởi động từ đĩa CD, bạn chỉ cần đặt đĩa CD vào ổ đĩa và khởi động lại máy tính. Lưu ý là bạn phải cấu hình CMOS Setup, chỉ định thiết bị khởi động đầu tiên là ổ đĩa CDROM. Khi máy tính khởi động lên thì quá trình cài đặt tự động thi hành, sau đó làm theo những hướng dẫn trên màn hình để cài đặt Windows 2003. 1.3.1.3. Cài đặt Windows 2003 Server từ mạng. Để có thể cài đặt theo kiểu này, bạn phải có một Server phân phối tập tin, chứa bộ nguồn cài đặt Windows 2003 Server và đã chia sẻ thư mục này. Sau đó tiến hành theo các bước sau: - Khởi động máy tính định cài đặt. - Kết nối vào máy Server và truy cập vào thư mục chia sẻ chứa bộ nguồn cài đặt. - Thi hành lệnh WINNT.EXE hoặc WINNT32.EXE tuỳ theo hệ điều hành đang sử dụng trên máy. - Thực hiện theo hướng dẫn của chương trình cài đặt. 1.3.2. Giai đoạn Text-Based Setup Trong qúa trình cài đặt nên chú ý đến các thông tin hướng dẫn ở thanh trạng thái. Giai đoạn Text-based setup diễn ra một số bước như sau: (1) Cấu hình BIOS của máy tính để có thể khởi động từ ổ đĩa CD-ROM. (2) Đưa đĩa cài đặt Windows 2003 Server vào ổ đĩa CD-ROM khởi động lại máy. (3) Khi máy khởi động từ đĩa CD-ROM sẽ xuất hiện một thông báo “Press any key to continue ” * Yêu cầu nhấn một phím bất kỳ để bắt đầu quá trình cài đặt. (4) Nếu máy có ổ đĩa SCSI thì phải nhấn phím F6 để chỉ Driver của ổ đĩa đó. (5) Trình cài đặt tiến hành chép các tập tin và driver cần thiết cho quá trình cài đặt. (6) Nhấn Enter để bắt đầu cài đặt. (7) Nhấn phím F8 để chấp nhận thỏa thuận bản quyền và tiếp tục quá trình cài đặt. Nếu nhấn ESC, thì chương trình cài đặt kết. 13
15. Đề cương môn Quản trị mang (8) Chọn một vùng trống trên ổ đĩa và nhấn phím C để tạo một Partition mới chứa hệ điều hành. (9) Nhập vào kích thước của Partition mới và nhấn Enter. (10) Chọn Partition vừa tạo và nhấn Enter để tiếp tục. 14
16. Đề cương môn Quản trị mang (11) Chọn kiểu hệ thống tập tin (FAT hay NTFS) để định dạng cho partition. Nhấn Enter để tiếp tục. (12) Trình cài đặt sẽ chép các tập tin của hệ điều hành vào partition đã chọn. (13) Khởi động lại hệ thống để bắt đầu giai đoạn Graphical Based. Trong khi khởi động, không nhấn bất kỳ phím nào khi hệ thống yêu cầu “Press any key to continue ” 1.3.3. Giai đoạn Graphical-Based Setup. (1) Bắt đầu giai đoạn Graphical, trình cài đặt sẽ cài driver cho các thiết bị mà nó tìm thấy trong hệ thống. (2) Tại hộp thoại Regional and Language Options, cho phép chọn các tùy chọn liên quan đến ngôn ngữ, số đếm, đơn vị tiền tệ, định dạng ngày tháng năm, .Sau khi đã thay đổi các tùy chọn phù hợp, nhấn Next để tiếp tục. (3) Tại hộp thoại Personalize Your Software, điền tên người sử dụng và tên tổ chức. Nhấn Next. 15
17. Đề cương môn Quản trị mang (4) Tại hộp thoại Your Product Key, điền vào 25 số CD-Key vào 5 ô trống bên dưới. Nhấn Next. (5) Tại hộp thoại Licensing Mode, chọn chế độ bản quyền là Per Server hoặc Per Seat tùy thuộc vào tình hình thực tế của mỗi hệ thống mạng. (6) Tại hộp thoại Computer Name and Administrator Password, điền vào tên của Server và Password của người quản trị (Administrator). 16
18. Đề cương môn Quản trị mang (7) Tại hộp thoại Date and Time Settings, thay đổi ngày, tháng, và múi giờ (Time zone) cho thích hợp. (8) Tại hộp thoại Networking Settings, chọn Custom settings để thay đổi các thông số giao thức TCP/IP. Các thông số này có thể thay đổi lại sau khi quá trình cài đặt hoàn tất. (9) Tại hộp thoại Workgroup or Computer Domain, tùy chọn gia nhập Server vào một Workgroup hay một Domain có sẵn. Nếu muốn gia nhập vào Domain thì đánh vào tên Domain vào ô bên dưới. 17
19. Đề cương môn Quản trị mang (10) Sau khi chép đầy đủ các tập tin, quá trình cài đặt kết thúc. 18
20. Đề cương môn Quản trị mang CHƢƠNG 2: ACTIVE DIRECTORY 2.1. Các mô hình mạng trong môi trƣờng microsoft. 2.1.1. Mô hình Workgroup Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau. Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên cục bộ của mình. Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng. Mô hình này chỉ phù hợp với các mạng nhỏ, dưới mười máy tính và yêu cầu bảo mật không cao. Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng lưu trữ thông tin người dùng trong một tập tin SAM (Security Accounts Manager) ngay chính trên máy tính cục bộ. Thông tin này bao gồm: username (tên đăng nhập), fullname, password, description Tất nhiên tập tin SAM này được mã hóa nhằm tránh người dùng khác ăn cấp mật khẩu để tấn công vào máy tính. Do thông tin người dùng được lưu trữ cục bộ trên các máy trạm nên việc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tự chứng thực. 2.1.2. Mô hình Domain: Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế client-server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng. Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền. Mô hình này được áp dụng cho các công ty vừa và lớn. Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT. Tập tin cơ sở dữ liệu này được xây dựng theo công nghệ tương tự như phần mềm Access của Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũ chỉ lưu trữ được khoảng 5 nghìn tài khoản người dùng. Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực. 19
21. Đề cương môn Quản trị mang Hình 2.1: các bước chứng thực khi người dùng đăng nhập. 2.2. Active Directory 2.2.1. Giới thiệu Active Directory Có thể so sánh Active Directory với LANManager trên Windows NT 3.0. Về căn bản, Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đối tượng) cũng như các thông tin liên quan đến các đối tượng đó. Tuy vậy, Active Directory không phải là một khái niệm mới bởi Novell đã sử dụng dịch vụ thư mục (directory service) trong nhiều năm rồi. Mặc dù Windows NT 3.0 là một hệ điều hành mạng khá tốt, nhưng hệ điều hành này lại không thích hợp trong các hệ thống mạng tầm cỡ xí nghiệp. Đối với các hệ thống mạng nhỏ, công cụ Network Neighborhood khá tiện dụng, nhưng khi dùng trong hệ thống mạng lớn, việc duyệt và tìm kiếm trên mạng sẽ là một ác mộng (và càng tệ hơn nếu bạn không biết chính xác tên của máy in hoặc Server đó là gì). Hơn nữa, để có thể quản lý được hệ thống mạng lớn như vậy, bạn thường phải phân chia thành nhiều domain và thiết lập các mối quan hệ uỷ quyền thích hợp. Active Directory giải quyết được các vấn đề như vậy và cung cấp một mức độ ứng dụng mới cho môi trường xí nghiệp. Lúc này, dịch vụ thư mục trong mỗi domain có thể lưu trữ hơn mười triệu đối tượng, đủ để phục vụ mười triệu người dùng trong mỗi domain. 2.2.2. Chức năng của Active Directory - Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. - Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). 20
22. Đề cương môn Quản trị mang - Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng. - Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa - Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ. 2.2.3. Directory Services 2.2.3.1. Giới thiệu Directory Services Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trong NTDS.DIT và các chương trình quản lý, khai thác tập tin này. Dịch vụ danh bạ là một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống Active Directory. Một hệ thống với những tính năng vượt trội của Microsoft. 2.2.3.2. Các thành phần trong Directory Services Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh bạ là gì? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số điện thoại. Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc tính liên quan đến các đối tượng đó. a. Object (đối tượng). Trong hệ thống cơ sở dữ liệu, đối tượng bao gồm các máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, Đối tượng chính là thành tố căn bản nhất của dịch vụ danh bạ. b. Attribute (thuộc tính). Một thuộc tính mô tả một đối tượng. Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng mạng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên, các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau. Lấy ví dụ như một máy in và một máy trạm cả hai đều có một thuộc tính là địa chỉ IP. c. Schema (cấu trúc tổ chức). Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đối tượng nào đó. Ví dụ, cho rằng tất cả các đối tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại PDL và tốc độ. Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng “máy in”. Schema có đặc tính là tuỳ biến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi được. Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ Active Directory. 21
23. Đề cương môn Quản trị mang d. Container (vật chứa). Vật chứa tương tự với khái niệm thư mục trong Windows. Một thư mục có thể chứa các tập tin và các thư mục khác. Trong Active Directory, một vật chứa có thể chứa các đối tượng và các vật chứa khác. Vật chứa cũng có các thuộc tính như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó như đối tượng. Có ba loại vật chứa là: - Domain: khái niệm này được trình bày chi tiết ở phần sau. - Site: một site là một vị trí. Site được dùng để phân biệt giữa các vị trí cục bộ và các vị trí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco, một chi nhánh đặt ở Denver và một văn phòng đại diện đặt ở Portland kết nối về tổng hành dinh bằng Dialup Networking. Như vậy hệ thống mạng này có ba site. - OU (Organizational Unit): là một loại vật chứa mà bạn có thể đưa vào đó người dùng, nhóm, máy tính và những OU khác. Một OU không thể chứa các đối tượng nằm trong domain khác. Nhờ việc một OU có thể chứa các OU khác, bạn có thể xây dựng một mô hình thứ bậc của các vật chứa để mô hình hoá cấu trúc của một tổ chức bên trong một domain. Bạn nên sử dụng OU để giảm thiểu số lượng domain cần phải thiết lập trên hệ thống. e. Global Catalog. - Dịch vụ Global Catalog dùng để xác định vị trí của một đối tượng mà người dùng được cấp quyền truy cập. Việc tìm kiếm được thực hiện xa hơn những gì đã có trong Windows NT và không chỉ có thể định vị được đối tượng bằng tên mà có thể bằng cả những thuộc tính của đối tượng. - Giả sử bạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn bạn sẽ không dùng một máy in HP Laserjet 4L. Bạn sẽ phải tìm một máy in chuyên dụng, in với tốc độ 100ppm và có khả năng đóng tài liệu thành quyển. Nhờ Global Catalog, bạn tìm kiếm trên mạng một máy in với các thuộc tính như vậy và tìm thấy được một máy Xerox Docutech 6135. Bạn có thể cài đặt driver cho máy in đó và gửi print job đến máy in. Nhưng nếu bạn ở Portland và máy in thì ở Seattle thì sao? Global Catalog sẽ cung cấp thông tin này và bạn có thể gửi email cho chủ nhân của máy in, nhờ họ in giùm. - Một ví dụ khác, giả sử bạn nhận được một thư thoại từ một người tên Betty Doe ở bộ phận kế toán. Đoạn thư thoại của cô ta bị cắt xén và bạn không thể biết được số điện thoại của cô ta. Bạn có thể dùng Global Catalog để tìm thông tin về cô ta nhờ tên, và nhờ đó bạn có được số điện thoại của cô ta. - Khi một đối tượng được tạo mới trong Active Directory, đối tượng được gán một con số phân biệt gọi là GUID (Global Unique Identifier). GUID của một đối tượng luôn luôn cố định cho dù bạn có di chuyển đối tượng đi đến khu vực khác. 22
24. Đề cương môn Quản trị mang 2.2.3.4. Kiến trúc của Active Directory Hình 2.2: kiến trúc của Active Directory. Objects: Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes. Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các loại đối tượng mà bạn có thể tạo ra trong Active Directory. Có ba loại object classes thông dụng là: User, Computer, Printer. Khái niệm thứ hai là Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể. Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của object classes. Ví dụ hình sau minh họa hai đối tượng là: máy in ColorPrinter1 và người dùng KimYoshida. Organizational Units: Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công dụng chính sau: 23
25. Đề cương môn Quản trị mang - Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống. - Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO), các chính sách nhóm này chúng ta sẽ tìm hiểu ở các chương sau. 2.2.3.4. Domain Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau: - Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác. - Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ. 24
26. Đề cương môn Quản trị mang - Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau. Domain Tree: Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain. Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục. Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện. Forest: Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. Ví dụ giả sử một công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác. Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng và để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng. 25
27. Đề cương môn Quản trị mang Trong ví dụ trên, công ty mcmcse.com thu mua được techtutorials.com và xyzabc.com và hình thành rừng từ gốc mcmcse.com. 2.3. Cài đặt và cấu hình active directory 2.3.1. Nâng cấp Server thành Domain Controller 2.3.1.1. Giới thiệu Một khái niệm không thay đổi từ Windows NT 3.0 là domain. Một domain vẫn còn là trung tâm của mạng Windows 2000 và Windows 2003, tuy nhiên lại được thiết lập khác đi. Các máy điều khiển vùng (domain controller – DC) không còn phân biệt là PDC (Primary Domain Controller) hoặc là BDC (Backup Domain Controller). Bây giờ, đơn giản chỉ còn là DC. Theo mặc định, tất cả các máy Windows Server 2003 khi mới cài đặt đều là Server độc lập (standalone server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp một máy không phải là DC (Server Stand-alone) thành một máy DC và ngược lại giáng cấp một máy DC thành một Server bình thường. Chú ý đối với Windows Server 2003 thì bạn có thể đổi tên máy tính khi đã nâng cấp thành DC. Trước khi nâng cấp Server thành Domain Controller, bạn cần khai báo đầy đủ các thông số TCP/IP, đặc biệt là phải khai báo DNS Server có địa chỉ chính là địa chỉ IP của Server cần nâng cấp. Nếu bạn có khả năng cấu hình dịch vụ DNS thì bạn nên cài đặt dịch vụ này trước khi nâng cấp Server, còn ngược lại thì bạn chọn cài đặt DNS tự động trong quá trình nâng cấp. Có hai cách để bạn chạy chương trình Active 26
28. Đề cương môn Quản trị mang Directory Installation Wizard: bạn dùng tiện ích Manage Your Server trong Administrative Tools hoặc nhấp chuột vào Start → Run, gõ lệnh DCPROMO. 2.3.1.2. Các bước cài đặt Chọn menu Start -> Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK. Khi đó hộp thoại Active Directory Installation Wizard xuất hiện. Bạn nhấn Next để tiếp tục. Chương trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và WinNT SP3 trở về trước sẽ bị loại ra khỏi miền Active Directory dựa trên Windows Server 2003. Bạn chọn Next để tiếp tục. 27
29. Đề cương môn Quản trị mang Trong hộp thoại Domain Controller Type, chọn mục Domain Controller for a New Domain và nhấn chọn Next. (Nếu bạn muốn bổ sung máy điều khiển vùng vào một domain có sẵn, bạn sẽ chọn Additional domain cotroller for an existing domain.) Đến đây chương trình cho phép bạn chọn một trong ba lựa chọn sau: chọn Domain in new forest nếu bạn muốn tạo domain đầu tiên trong một rừng mới, chọn Child domain in an existing domain tree nếu bạn muốn tạo ra một domain con dựa trên một cây domain có sẵn, chọn Domain tree in an existing forest nếu bạn muốn tạo ra một cây domain mới trong một rừng đã có sẵn. Hộp thoại New Domain Name yêu cầu bạn tên DNS đầy đủ của domain mà bạn cần xây dựng 28
30. Đề cương môn Quản trị mang Hộp thoại NetBIOS Domain Name, yêu cầu bạn cho biết tên domain theo chuẩn NetBIOS để tương thích với các máy Windows NT. Theo mặc định, tên Domain NetBIOS giống phần đầu của tên Full DNS, bạn có thể đổi sang tên khác hoặc chấp nhận giá trị mặc định. Chọn Next để tiếp tục Hộp thoại Database and Log Locations cho phép bạn chỉ định vị trí lưu trữ database Active Directory và các tập tin log. Bạn có thể chỉ định vị trí khác hoặc chấp nhận giá trị mặc định. Tuy nhiên theo khuyến cáo của các nhà quản trị mạng thì chúng ta nên đặt tập tin chứa thông tin giao dịch (transaction log) ở một đĩa cứng vật lý khác với đĩa cứng chứa cơ sở dữ liệu của Active Directory nhằm tăng hiệu năng của hệ thống. Bạn chọn Next để tiếp tục. 29
31. Đề cương môn Quản trị mang Hộp thoại Shared System Volume cho phép bạn chỉ định ví trí của thư mục SYSVOL. Thư mục này phải nằm trên một NTFS5 Volume. Tất cả dữ liệu đặt trong thư mục Sysvol này sẽ được tự động sao chép sang các Domain Controller khác trong miền. Bạn có thể chấp nhận giá trị mặc định hoặc chỉ định ví trí khác, sau đó chọn Next tiếp tục. (Nếu partition không sử dụng định dạng NTFS5, bạn sẽ thấy một thông báo lỗi yêu cầu phải đổi hệ thống tập tin). DNS là dịch vụ phân giải tên kết hợp với Active Directory để phân giải tên các máy tính trong miền. Do đó để hệ thống Active Directory hoạt động được thì trong miền phải có ít nhất một DNS Server phân giải miền mà chúng ta cần thiết lập. Theo đúng lý thuyết thì chúng ta phải cài đặt và cấu hình dịch vụ DNS hoàn chỉnh trước khi nâng cấp Server, nhưng do hiện tại các bạn chưa học về dịch vụ này nên chúng ta chấp nhận cho hệ thống tự động cài đặt dịch vụ này. Chúng ta sẽ tìm hiểu chi tiết dịch vụ DNS ở giáo trình “Dịch Vụ Mạng”. Trong hộp thoại xuất hiện bạn chọn lựa chọn thứ hai để hệ thống tự động cài đặt và cấu hình dịch vụ DNS. 30
32. Đề cương môn Quản trị mang Trong hộp thoại Permissions, bạn chọn giá trị Permission Compatible with pre- Windows 2000 servers khi hệ thống có các Server phiên bản trước Windows 2000, hoặc chọn Permissions compatible only with Windows 2000 servers or Windows Server 2003 khi hệ thống của bạn chỉ toàn các Server Windows 2000 và Windows Server 2003. Trong hộp thoại Directory Services Restore Mode Administrator Password, bạn sẽ chỉ định mật khẩu dùng trong trường hợp Server phải khởi động vào chế độ Directory Services Restore Mode. Nhấn chọn Next để tiếp tục. 31
33. Đề cương môn Quản trị mang Hộp thoại Summary xuất hiện, trình bày tất cả các thông tin bạn đã chọn. Nếu tất cả đều chính xác, bạn nhấn Next để bắt đầu thực hiện quá trình cài đặt, nếu có thông tin không chính xác thì bạn chọn Back để quay lại các bước trước đó. Hộp thoại Configuring Active Directory cho bạn biết quá trình cài đặt đang thực hiện những gì. Quá trình này sẽ chiếm nhiều thời gian. Chương trình cài đặt cũng yêu cầu bạn cung cấp nguồn cài đặt Windows Server 2003 để tiến hành sao chép các tập tin nếu tìm không thấy. Sau khi quá trình cài đặt kết thúc, hộp thoại Completing the Active Directory Installation Wizard xuất hiện. Bạn nhấn chọn Finish để kết thúc. Cuối cùng, bạn được yêu cầu phải khởi động lại máy thì các thông tin cài đặt mới bắt đầu 32
34. Đề cương môn Quản trị mang có hiệu lực. Bạn nhấn chọn nút Restart Now để khởi động lại. Quá trình thăng cấp kết thúc. 2.3.2. Gia nhập máy trạm vào Domain 2.3.2.1. Giới thiệu Một máy trạm gia nhập vào một domain thực sự là việc tạo ra một mối quan hệ tin cậy (trust relationship) giữa máy trạm đó với các máy Domain Controller trong vùng. Sau khi đã thiết lập quan hệ tin cậy thì việc chứng thực người dùng logon vào mạng trên máy trạm này sẽ do các máy điều khiển vùng đảm nhiệm. Nhưng chú ý việc gia nhập một máy trạm vào miền phải có sự đồng ý của người quản trị mạng cấp miền và quản trị viên cục bộ trên máy trạm đó. Nói cách khác khi bạn muốn gia nhập một máy trạm vào miền, bạn phải đăng nhập cục bộ vào máy trạm với vai trò là administrator, sau đó gia nhập vào miền, hệ thống sẽ yêu cầu bạn xác thực bằng một tài khoản người dùng cấp miền có quyền Add Workstation to Domain (bạn có thể dùng trực tiếp tài khoản administrator cấp miền). 2.3.2.2. Các bước cài đặt Đăng nhập cục bộ vào máy trạm với vai trò người quản trị (có thể dùng trực tiếp tài khoản dministrator). Nhấp phải chuột trên biểu tượng My Computer, chọn Properties, hộp thoại System Properties xuất hiện, trong Tab Computer Name, bạn nhấp chuột vào nút Change. Hộp thoại nhập liệu xuất hiện bạn nhập tên miền của mạng cần gia nhập vào mục Member of Domain. Máy trạm dựa trên tên miền mà bạn đã khai báo để tìm đến Domain Controller gần nhất và xin gia nhập vào mạng, Server sẽ yêu cầu bạn xác thực với một tài khoản người dùng cấp miền có quyền quản trị. 33
35. Đề cương môn Quản trị mang Sau khi xác thực chính xác và hệ thống chấp nhận máy trạm này gia nhập vào miền thì hệ thống xuất hiện thông báo thành công và yêu cầu bạn reboot máy lại để đăng nhập vào mạng. Đến đây, bạn thấy hộp thoại Log on to Windows mà bạn dùng mỗi ngày có vài điều khác, đó là xuất hiện thêm mục Log on to, và cho phép bạn chọn một trong hai phần là: NETCLASS, This Computer. Bạn chọn mục NETCLASS khi bạn muốn đăng nhập vào miền, nhớ rằng lúc này bạn phải dùng tài khoản người dùng cấp miền. Bạn chọn mục This Computer khi bạn muốn logon cục bộ vào máy trạm nào và nhớ dùng tài khoản cục bộ của máy. 2.3.3. Xây dựng các Domain Controller đồng hành 2.3.3.1. Giới thiệu Domain Controller là máy tính điều khiển mọi hoạt động của mạng nếu máy này có sự cố thì toàn bộ hệ thống mạng bị tê liệt. Do tính năng quan trọng này nên trong một hệ thống mạng thông thường chúng ta phải xây dựng ít nhất hai máy tính Domain Controller. Như đã trình bày ở trên thì Windows Server 2003 không còn phân biệt máy Primary Domain Controller và Backup Domain Controller nữa, mà nó xem hai máy này có vai trò ngang nhau, cùng nhau tham gia chứng thực người dùng. Như chúng ta đã biết, công việc chứng thực đăng nhập thường được thực hiện vào đầu giờ 34
36. Đề cương môn Quản trị mang mỗi buổi làm việc, nếu mạng của bạn chỉ có một máy điều khiển dùng và 10.000 nhân viên thì chuyện gì sẽ xẩy ra vào mỗi buổi sáng? Để giải quyết trường hợp trên, Microsoft cho phép các máy điều khiển vùng trong mạng cùng nhau hoạt động đông thời, chia sẻ công việc của nhau, khi có một máy bị sự cố thì các máy còn lại đảm nhiệm luôn công việc máy này. Do đó trong tài liệu này chúng tôi gọi các máy này là các máy điều khiển vùng đồng hành. Nhưng khi khảo sát sâu về Active Directory thì máy điều khiển vùng được tạo đầu tiên vẫn có vai trò đặc biệt hơn đó là FSMO (flexible single master of operations). * Chú ý: để đảm bảo các máy điều khiển vùng này hoạt động chính xác thì chúng phải liên lạc và trao đổi thông tin với nhau khi có các thay đổi về thông tin người dùng như: tạo mới tài khoản, đổi mật khẩu, xóa tài khoản. Việc trao đổi thông tin này gọi là Active Directory Replication. Đặc biệt các server Active Directory cho phép nén dữ liệu trước khi gởi đến các server khác, tỉ lệ nén đến 10:1, đo đó chúng có thể truyền trên các đường truyền WAN chậm chạp. Trong hệ thống mạng máy tính của chúng ta nếu tất cả các máy điều khiển vùng đều là Windows Server 2003 thì chúng ta nên chuyển miền trong mạng này sang cấp độ hoạt động Windows Server 2003 (Windows Server 2003 functional level) để khai thác hết các tính năng mới của Active Directory. 2.3.3.2. Các bước cài đặt Chọn menu Start Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK. Khi đó hộp thoại Active Directory Installation Wizard xuất hiện. Bạn nhấn Next để tiếp tục. Chương trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và WinNT SP3 trở về trước sẽ bị loại ra khỏi miền Active Directory dựa trên Windows Server 2003. Bạn chọn Next để tiếp tục. 35
37. Đề cương môn Quản trị mang Trong hộp thoại Domain Controller Type, chọn mục Additional domain cotroller for an existing domain và nhấn chọn Next, vì chúng ta muốn bổ sung thêm máy điều khiển vùng vào một domain có sẵn. Tiếp theo hệ thống yêu cầu bạn xác thực bạn phải người quản trị cấp miền thì mới có quyền tạo các Domain Controller. Bạn nhập tài khoản người dùng có quyền quản trị vào hộp thoại này. Chương trình yêu cầu bạn nhập Full DNS Name của miền mà bạn cần tạo thêm Domain Controller 36
38. Đề cương môn Quản trị mang Tương tự như quá trình nâng cấp Server thành Domain Controller đã trình bày ở trên, các bước tiếp theo chúng ta chỉ định thư mục chứa cơ sở dữ liệu của Active Directory, Transaction Log và thư mục Sysvol. Hộp thoại Summary xuất hiện, trình bày tất cả các thông tin bạn đã chọn. Nếu tất cả đều chính xác, bạn nhấn Next để bắt đầu thực hiện quá trình cài đặt, nếu có thông tin không chính xác thì bạn chọn Back để quay lại các bước trước đó. Đến đây hệ thống sẽ xây dựng một Domain Controller mới và đồng bộ dữ liệu Active Directory giữa hai Domain Controller này. Sau khi quá trình cài đặt kết thúc, hộp thoại Completing the Active Directory Installation Wizard xuất hiện. Bạn nhấn chọn Finish để kết thúc. 37
39. Đề cương môn Quản trị mang Cuối cùng, bạn được yêu cầu phải khởi động lại máy thì các thông tin cài đặt mới bắt đầu có hiệu lực. Bạn nhấn chọn nút Restart Now để khởi động lại. Quá trình xây dựng thêm một Domain Controller đồng hành đã hoàn tất 2.3.3. Xây dựng Subdomain Sau khi bạn đã xây dựng Domain Controller đầu tiên quản lý miền, lúc ấy Domain Controller này là một gốc của rừng hoặc Domain Tree đầu tiên, từ đây bạn có thể tạo thêm các subdomain cho hệ thống. Để tạo thêm một Domain Controller cho một subdomain bạn làm các bước sau: Tại member server, bạn cũng chạy chương trình Active Directory Installation Wizard, các bước đầu bạn cũng chọn tương tự như phần nâng cấp phía trên. Trong hộp thoại Domain Controller Type, chọn mục Domain Controller for a New Domain và nhấn chọn Next. (Nếu bạn muốn bổ sung máy điều khiển vùng vào một domain có sẵn, bạn sẽ chọn Additional domain cotroller for an existing domain.) Đến đây chương trình cho phép bạn chọn một trong ba lựa chọn sau: chọn Domain in new forest nếu bạn muốn tạo domain đầu tiên trong một rừng mới, chọn Child domain in an existing domain tree nếu bạn muốn tạo ra một domain con dựa trên một cây domain có sẵn, chọn Domain tree in an existing forest nếu bạn muốn tạo ra một cây domain mới trong một rừng đã có sẵn. Trong trường hợp này bạn cần tạo 38
40. Đề cương môn Quản trị mang một Domain Controller cho một Child domain, nên bạn đánh dấu vào mục lựa chọn thứ hai. Để tạo một child domain trong một domain tree có sẵn, hệ thống yêu cầu bạn phải xác nhận bạn là người quản trị cấp domain tree. Trong hộp thoại này bạn nhập tài khoản và mật khẩu của người quản trị cấp rừng và tên của domain tree hiện tại. Tiếp theo bạn nhập tên của domain tree hiện đang có và tên của child domain cần tạo. Các quá trình tiếp theo tương tự như quá trình tạo Domain Controller của phần trên. 39
41. Đề cương môn Quản trị mang Cuối cùng bạn có thể kiểm tra cây DNS của hệ thống trên Server quản lý gốc rừng có tạo thêm một child domain không, đồng thời bạn có thể cấu hinh thêm chi dịch vụ DNS nhằm phục vụ tốt hơn cho hệ thống. 2.3.4. Xây dựng Organizational Unit Như đã trình bày ở phần lý thuyết thì OU là một nhóm tài khoản người dùng, máy tính và tài nguyên mạng được tạo ra nhằm mục đích dễ dàng quản lý hơn và ủy quyền cho các quản trị viên địa phương giải quyết các công việc đơn giản. Đặc biệt hơn là thông qua OU chúng ta có thể áp đặt các giới hạn phần mềm và giới hạn phần cứng thông qua các Group Policy. Muốn xây dựng một OU bạn làm theo các bước sau: Chọn menu Start Programs Administrative Tools Active Directory User and Computer, để mở chương trình Active Directory User and Computer. Chương trình mở ra, bạn nhấp phải chuột trên tên miền và chọn New-Organizational Unit. Hộp thoại xuất hiện, yêu cầu chúng ta nhập tên OU cần tạo, trong ví dụ này OU cần 40
42. Đề cương môn Quản trị mang tạo có tên là HocVien. Đưa các máy trạm đã gia nhập nhập mạng cần quản lý vào OU vừa tạo. Tiếp theo bạn đưa các tài khoản người dùng cần quản lý vào OU vừa tạo. Sau khi đã đưa các máy tính và tài khoản người dùng vào OU, bước tiếp theo là bạn chỉ 41
43. Đề cương môn Quản trị mang ra người nào hoặc nhóm nào sẽ quản lý OU này. Bạn nhấp phải chuột vào OU vừa tạo, chọn Properties, hộp thoại xuất hiện, trong Tab Managed By, bạn nhấp chuột vào nút Change để chọn người dùng quản lý OU này, trong ví dụ này chúng ta chọn tài khoản Thanh quản lý OU. Bước cuối cùng này rất quan trọng, chúng ta sẽ tìm hiểu chi tiết ở chương Group Policy, đó là thiết lập các Group Policy áp dụng cho OU này. Bạn vào Tab Group Policy, nhấp chuột vào nút New để tạo mới một GPO, sau đó nhấp chuột vào nút Edit để hiệu chỉnh chính sách. Trong ví dụ này chúng ta tạo một chính sách cấm không cho phép dùng ổ đĩa CD-ROM áp dụng cho tất cả các người dùng trong OU. 2.3.5. Công cụ quản trị các đối tượng trong Active Directory Một trong bốn công cụ quản trị hệ thống Active Directory thì công cụ Active 42
44. Đề cương môn Quản trị mang Directory User and Computer là công cụ quan trọng nhất và chúng ta sẽ gặp lại nhiều trong trong giáo trình này, từng bước ta sẽ khảo sát hết các tính năng trong công cụ này. Công cụ này có chức năng tạo và quản lý các đối tượng cơ bản của hệ thống Active Directory. Theo hình trên chúng ta thấy trong miền netclass.edu.vn có các mục sau: - Builtin: chứa các nhóm người dùng đã được tạo và định nghĩa quyền sẵn. - Computers: chứa các máy trạm mặc định đang là thành viên của miền. Bạn cũng có thể dùng tính năng này để kiểm tra một máy trạm gia nhập vào miền có thành công không. - Domain Controllers: chứa các điều khiển vùng (Domain Controller) hiện đang hoạt động trong miền. Bạn cũng có thể dùng tính năng này để kiểm tra việc tạo thêm Domain Controller đồng hành có thành công không. - ForeignSecurityPrincipals: là một vật chứa mặc định dành cho các đối tượng bên ngoài miền đang xem xét, từ các miền đã thiết lập quan hệ tin cậy (trusted domain). - Users: chứa các tài khoản người dùng mặc định trên miền. 43
45. Đề cương môn Quản trị mang CHƢƠNG 3: QUẢN LÝ TÀI KHOẢN NGƢỜI DÙNG VÀ NHÓM 3.1. Định nghĩa tài khoản ngƣời dùng và tài khoản nhóm 3.1.1. Tài khoản người dùng Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép. 3.1.1.1. Tài khoản người dùng cục bộ Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ. Bạn tạo tài khoản người dùng cục bộ với công cụ Local Users and Group trong Computer Management (COMPMGMT.MSC). Các tài khoản cục bộ tạo ra trên máy stand- alone server, member server hoặc các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager). Tập tin SAM này được đặt trong thư mục \Windows\system32\config. Hình 3.1: lưu trữ thông tin tài khoản người dùng cục bộ 3.1.1.2. Tài khoản ngƣời dùng miền Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. Bạn tạo tài khoản người dùng miền với công cụ Active Directory Users and Computer (DSA.MSC). Khác với tài khoản người dùng 44
46. Đề cương môn Quản trị mang cục bộ, tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS. Hình 3.2: lưu trữ thông tin tài khoản người dùng miền. 3.1.1.3. Yêu cầu về tài khoản ngƣời dùng - Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows NT 3.0 về trước thì mặc định chỉ hiểu 20 ký tự). - Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau. - Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? - Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới. Tuy nhiên, nên tránh các khoảng trắng vì những tên như thế phải đặt trong dấu ngoặc khi dùng các kịch bản hay dòng lệnh. 3.1.2. Tài khoản nhóm Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phố (distribution group). 3.1.2.1. Nhóm bảo mật Nhóm bảo mật là loại nhóm được dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập: (permission): Giống như các tài khoản người dùng, các nhóm bảo mật đều được chỉ định các SID. Có ba loại nhóm bảo mật chính là: local, global và universal. Tuy nhiên 45
47. Đề cương môn Quản trị mang nếu chúng ta khảo sát kỹ thì có thể phân thành bốn loại như sau: local, domain local, global và universal. Local group: (nhóm cục bộ) là loại nhóm có trên các máy stand-alone Server, member server, Win2K Pro hay WinXP. Các nhóm cục bộ này chỉ có ý nghĩa và phạm vi hoạt động ngay tại trên máy chứa nó thôi. Domain local group: (nhóm cục bộ miền) là loại nhóm cục bộ đặc biệt vì chúng là local group nhưng nằm trên máy Domain Controller. Các máy Domain Controller có một cơ sở dữ liệu Active Directory chung và được sao chép đồng bộ với nhau do đó một local group trên một Domain Controller này thì cũng sẽ có mặt trên các Domain Controller anh em của nó, như vậy local group này có mặt trên miền nên được gọi với cái tên nhóm cục bộ miền. Các nhóm trong mục Built-in của Active Directory là các domain local. Global group: (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong Active Directory và được tạo trên các Domain Controller. Chúng dùng để cấp phát những quyền hệ thống và quyền truy cập vượt qua những ranh giới của một miền. Một nhóm global có thể đặt vào trong một nhóm local của các server thành viên trong miền. Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng công việc của Global Catalog. Universal group: (nhóm phổ quát) là loại nhóm có chức năng giống như global group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp các miền trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau. Loại nhóm này tiện lợi hơn hai nhóm global group và local group vì chúng dễ dàng lồng các nhóm vào nhau. Nhưng chú ý là loại nhóm này chỉ có thể dùng được khi hệ thống của bạn phải hoạt động ở chế độ Windows 2000 native functional level hoặc Windows Server 2003 functional level có nghĩa là tất cả các máy Domain Controller trong mạng đều phải là Windows Server 2003 hoặc Windows 2000 Server. 3.1.2.2. Nhóm phân phối Nhóm phân phối là một loại nhóm phi bảo mật, không có SID và không xuất hiện trong các ACL (Access Control List). Loại nhóm này không được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm và dịch vụ. Chúng được dùng để phân phố thư (e-mail) hoặc các tin nhắn (message). Bạn sẽ gặp lại loại nhóm này khi làm việc với phần mềm MS Exchange. 3.1.2.3. Qui tắc gia nhập nhóm - Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong nhóm Machine Local. - Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong chính 46
48. Đề cương môn Quản trị mang loại nhóm của mình. - Nhóm Global và Universal có thể đặt vào trong nhóm Domain local. - Nhóm Global có thể đặt vào trong nhóm Universal. Hình 3.3: khả năng gia nhập của các loại nhóm. 3.2. Chứng thực và kiểm soát truy cập 3.2.1 Các giao thức chứng thực Chứng thực trong Windows Server 2003 là quy trình gồm hai giai đoạn: đăng nhập tương tác và chứng thực mạng. Khi người dùng đăng nhập vùng bằng tên và mật mã, quy trình đăng nhập tương tác sẽ phê chuẩn yêu cầu truy cập của người dùng. Với tài khoản cục bộ, thông tin đăng nhập được chứng thực cục bộ và người dùng được cấp quyền truy cập máy tính cục bộ. Với tài khoản miền, thông tin đăng nhập được chứng thực trên Active Directory và người dùng có quyền truy cập các tài nguyên trên mạng. Như vậy với tài khoản người dùng miền ta có thể chứng thực trên bất kỳ máy tính nào trong miền. Windows 2003 hỗ trợ nhiều giao thức chứng thực mạng, nổi bật nhất là: - Kerberos V5: là giao thức chuẩn Internet dùng để chứng thực người dùng và hệ thống. - NT LAN Manager (NTLM): là giao thức chứng thực chính của Windows NT. - Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơ chế chứng thực chính được dùng khi truy cập vào máy phục vụ Web an toàn. 3.2.2. Số nhận diện bảo mật SID Tuy hệ thống Windows Server 2003 dựa vào tài khoản người dùng (user account) để mô tả các quyền hệ thống (rights) và quyền truy cập (permission) nhưng thực sự bên trong hệ thống mỗi tài khoản được đặc trưng bởi một con số nhận dạng bảo mật SID (Security Identifier). SID là thành phần nhận dạng không trùng lặp, được hệ thống tạo ra đồng thời với tài khoản và dùng riêng cho hệ thống xử lý, người dùng không quan tâm đến các giá trị này. SID bao gồm phần SID vùng cộng thêm với một RID của người dùng không trùng lặp. SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID”, 47
49. Đề cương môn Quản trị mang khi đó tất cả các SID trong miền đều có cùng giá trị D1, D2, D3, nhưng giá trị RID là khác nhau. Hai mục đích chính của việc hệ thống sử dụng SID là: - Dễ dàng thay đổi tên tài khoản người dùng mà các quyền hệ thống và quyền truy cập không thay đổi. - Khi xóa một tài khoản thì SID của tài khoản đó không còn giá trị nữa, nếu chúng ta có tạo một tài khoản mới cùng tên với tài khoản vừa xóa thì các quyền cũ cũng không sử dụng được bởi vì khi tạo tài khoản mới thì giá trị SID của tài khoản này là một giá trị mới. 3.2.3. Kiểm soát hoạt động truy cập của đối tượng Active Directory là dịch vụ hoạt động dựa trên các đối tượng, có nghĩa là người dùng, nhóm, máy tính, các tài nguyên mạng đều được định nghĩa dưới dạng đối tượng và được kiểm soát hoạt động truy cập dựa vào bộ mô tả bảo mật ACE. Chức năng của bộ mô tả bảo mật bao gồm: - Liệt kê người dùng và nhóm nào được cấp quyền truy cập đối tượng. - Định rõ quyền truy cập cho người dùng và nhóm. - Theo dõi các sự kiện xảy ra trên đối tượng. - Định rõ quyền sở hữu của đối tượng. Các thông tin của một đối tượng Active Directory trong bộ mô tả bảo mật được xem là mục kiểm soát hoạt động truy cập ACE (Access Control Entry). Một ACL (Access Control List) chứa nhiều ACE, nó là danh sách tất cả người dùng và nhóm có quyền truy cập đến đối tượng. ACL có đặc tính kế thừa, có nghĩa là thành viên của một nhóm thì được thừa hưởng các quyền truy cập đã cấp cho nhóm này. 3.3. Các tài khoản tạo sẵn 3.3.1. Tài khoản người dùng tạo sẵn Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server 2003 thì mặc định được tạo ra. Tài khoản này là hệ thống nên chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi tên (chú ý thao tác đổi tên trên những tài khoản hệ thống phức tạp một chút so với việc đổi tên một tài khoản bình thường do nhà quản trị tạo ra). Tất cả các tài khoản người dùng tạo sẵn này đều nằng trong Container Users của công cụ Active Directory User and Computer. Sau đây là bảng mô tả các tài khoản người dùng được tạo sẵn: 48
50. Đề cương môn Quản trị mang TÊN TÀI KHOẢN MÔ TẢ ADMINISTRATOR Administrator là một tài khoản đặc biệt, có toàn quyền trên máy tính hiện tại. bạn có thể đặt mật khẩu cho tài khoản này trong lúc cài đặt windows server 2003. tài khoản này có thể thi hành tất cả các tác vụ như tạo tài khoản người dùng, nhóm, quản lý các tập tin hệ thống và cấu hình máy in GUEST Tài khoản Guest cho phép người dùng truy cập vào các máy tính nếu họ không sử dụng, nếu được sử dụng thì thông thường nó bị giới hạn về quyền, ví dụ như là chỉ được truy cập Internet hoặc in ấn. ILS_Anonymous_ User Là tài khoản đặc biệt được dùng cho dịch vụ ILS. ILS hỗ trợ cho các ứng dụng điện thoại có các đặc tính như: caller ID, video conferencing, conference calling, và faxing. Muốn sử dụng ILS thì dịch vụ IIS phải được cài đặt. IUSR_computer- name Là tài khoản đặc biệt được dùng trong các truy cập giấu tên trong dịch vụ IIS trên máy tính có cài IIS Là tài khoản đặc biệt được dùng cho IIS khởi động các tiến trình của các ứng dụng trên máy có cài IIS. Krbtgt Là tài khoản đặc biệt được dùng cho dịch vụ trung tâm phân phối khóa (Key Distribution Center ) TSInternetUser Là tài khoản đặc biệt được dùng cho Terminal Services. 3.3.2 Tài khoản nhóm Domain Local tạo sẵn Nhưng chúng ta đã thấy trong công cụ Active Directory User and Computers, container Users chứa nhóm universal, nhóm domain local và nhóm global là do hệ thống đã mặc định quy định trước. Nhưng một số nhóm domain local đặc biệt được đặt trong container Built-in, các nhóm này không được di chuyển sang các OU khác, đồng thời nó cũng được gán một số quyền cố định trước nhằm phục vụ cho công tác quản trị. Bạn cũng chú ý rằng là không có quyền xóa các nhóm đặc biệt này. Tên nhóm Mô Tả Administrators Nhóm này mặc định được ấn định sẵn tất cả các quyền hạn cho nên thành viên của nhóm này có toàn quyền trên hệ thống mạng. Nhóm Domain Admins và Enterprise Admins là thành viên mặc định của nhóm Administrators 49
51. Đề cương môn Quản trị mang Account Operators Thành viên của nhóm này có thể thêm, xóa, sửa được các tài khoản người dùng, tài khoản máy và tài khoản nhóm. Tuy nhiên họ không có quyền xóa, sửa các nhóm trong container Built-in và OU Domain Controllers Nhóm này chỉ có trên các Domain Controller và mặc định không có thành viên nào, thành viên của nhóm có thể đăng nhập cục bộ vào các Domain Controller nhưng không có quyền quản trị các chính sách bảo mật Backup Operators Thành viên của nhóm này có quyền lưu trữ dự phòng (Backup) và phục hồi (Retore) hệ thống tập tin. Trong trường hợp hệ thống tập tin là NTFS và họ không được gán quyền trên hệ thống tập tin thì thành viên của nhóm này chỉ có thể truy cập hệ thống tập tin thông qua công cụ Backup. Nếu muốn truy cập trực tiếp thì họ phải được gán quyền Guests Là nhóm bị hạn chế quyền truy cập các tài nguyên trên mạng. Các thành viên nhóm này là người dùng vãng lai không phải là thành viên của mạng. Mặc định các tài khoản Guest bị khóa Print Operator Thành viên của nhóm này có quyền tạo ra, quản lý và xóa bỏ các đối tượng máy in dùng chung trong Active Directory Server Operators Thành viên của nhóm này có thể quản trị các máy server trong miền như: cài đặt, quản lý máy in, tạo và quản lý thư mục dùng chung, backup dữ liệu, định dạng đĩa, thay đổi giờ ueser Mặc định mọi người dùng được tạo đều thuộc nhóm này, nhóm này có quyền tối thiểu của một người dùng nên việc truy cập rất hạn chế Replicator Nhóm này được dùng để hỗ trợ việc sao chép danh bạ trong Directory Services, nhóm này không có thành viên mặc định Incoming Forest Trust Thành viên nhóm này có thể tạo ra các quan hệ tin cậy Builders hướng đến, một chiều vào các rừng. Nhóm này không có thành viên mặc định. Network Configuration Thành viên nhóm này có quyền sửa đổi các thông số Operators TCP/IP trên các máy Domain Controller trong miền Pre-Windows 2000 Nhóm này có quyền truy cập đến tất cả các tài khoản 50
52. Đề cương môn Quản trị mang Compatible Access người dùng và tài khoản nhóm trong miền, nhằm hỗ trợ cho các hệ thống WinNT cũ. Remote Desktop User Thành viên nhóm này có thể đăng nhập từ xa vào các Domain Controller trong miền, nhóm này không có thành viên mặc định. Performace Log Users Thành viên nhóm này có quyền truy cập từ xa để ghi nhận lại những giá trị về hiệu năng của các máy Domain Controller, nhóm này cũng không có thành viên mặc định Performace Monitor Thành viên nhóm này có khả năng giám sát Users từ xa các máy Domain Controller Ngoài ra còn một số nhóm khác như DHCP Users, DHCP Administrators, DNS Administrators các nhóm này phục vụ chủ yếu cho các dịch vụ, chúng ta sẽ tìm hiểu cụ thể trong từng dịch vụ ở giáo trình “Dịch Vụ Mạng”. Chú ý theo mặc định hai nhóm Domain Computers và Domain Controllers được dành riêng cho tài khoản máy tính, nhưng bạn vẫn có thể đưa tài khoản người dùng vào hai nhóm này. 3.3.3 Tài khoản nhóm Global tạo sẵn Tên Nhóm Mô Tả Domain Admins Thành viên của nhóm này có thể toàn quyền quản trị các máy tính trong miền vì mặc định khi gia nhập vào miền các member server và các máy trạm (Win2K Pro, WinXP) đã đưa nhóm Domain Admins là thành viên của nhóm cục bộ Administrators trên các máy này. Domain Users Theo mặc định mọi tài khoản người dùng trên miền đều là thành viên của nhóm này. Mặc định nhóm này là thành viên của nhóm cục bộ Users trên các máy server thành viên và máy trạm. Group Policy Creator Thành viên nhóm này có quyền sửa đổi chính sách nhóm Owners của miền, theo mặc định tài khoản administrator miền là thành viên của nhóm này Enterprise Admins Đây là một nhóm universal, thành viên của nhóm này có toàn quyền trên tất cả các miền trong rừng đang xét. Nhóm này chỉ xuất hiện trong miền gốc của rừng thôi. Mặc định nhóm này là thành viên của nhóm administrators trên các Domain Controller trong rừng. 51
53. Đề cương môn Quản trị mang Schema Admins Nhóm universal này cũng chỉ xuất hiện trong miền gốc của rừng, thành viên của nhóm này có thể chỉnh sửa cấu trúc tổ chức (schema) của Active Directory 3.3.3. Các nhóm tạo sẵn đặc biệt Ngoài các nhóm tạo sẵn đã trình bày ở trên, hệ thống Windows Server 2003 còn có một số nhóm tạo sẵn đặt biệt, chúng không xuất hiện trên cửa sổ của công cụ Active Directory User and Computer, mà chúng chỉ xuất hiện trên các ACL của các tài nguyên và đối tượng. Ý nghĩa của nhóm đặc biệt này là: - Interactive: đại diện cho những người dùng đang sử dụng máy tại chỗ. - Network: đại diện cho tất cả những người dùng đang nối kết mạng đến một máy tính khác. - Everyone: đại diện cho tất cả mọi người dùng. - System: đại diện cho hệ điều hành. - Creator owner: đại diện cho những người tạo ra, những người sở hữa một tài nguyên nào đó như: thư mục, tập tin, tác vụ in ấn (print job) - Authenticated users: đại diện cho những người dùng đã được hệ thống xác thực, nhóm này được dùng như một giải pháp thay thế an toàn hơn cho nhóm everyone. - Anonymous logon: đại diện cho một người dùng đã đăng nhập vào hệ thống một cách nặc danh, chẳng hạn một người sử dụng dịch vụ FTP. - Service: đại diện cho một tài khoản mà đã đăng nhập với tư cách như một dịch vụ. - Dialup: đại diện cho những người đang truy cập hệ thống thông qua Dial-up Networking. 3.3. Quản lý tài khoản ngƣời dùng và nhóm cục bộ 3.3.1. Công cụ quản lý tài khoản người dùng cục bộ Muốn tổ chức và quản lý người dùng cục bộ, ta dùng công cụ Local Users and Groups. Với công cụ này bạn có thể tạo, xóa, sửa các tài khoản người dùng, cũng như thay đổi mật mã. Có hai phương thức truy cập đến công cụ Local Users and Groups: - Dùng như một MMC (Microsoft Management Console) snap-in. - Dùng thông qua công cụ Computer Management. Các bước dùng để chèn Local Users and Groups snap-in vào trong MMC: Chọn Start → Run, nhập vào hộp thoại MMC và ấn phím Enter để mở cửa sổ MMC. 52
54. Đề cương môn Quản trị mang Chọn Console → Add/Remove Snap-in để mở hộp thoại Add/Remove Snap-in. Nhấp chuột vào nút Add để mở hộp thoại Add Standalone Snap-in. Chọn Local Users and Groups và nhấp chuột vào nút Add. Hộp thoại Choose Target Machine xuất hiện, ta chọn Local Computer và nhấp chuột vào nút Finish để trở lại hộp thoại Add Standalone Snap-in. Nhấp chuột vào nút Close để trở lại hộp thoại Add/Remove Snap-in. Nhấp chuột vào nút OK, ta sẽ nhìn thấy Local Users and Groups snap-in đã chèn vào MMC như hình sau. Lưu Console bằng cách chọn Console → Save, sau đó ta nhập đường dẫn và tên file cần lưu trữ. Để tiện lợi cho việc quản trị sau này ta có thể lưu console ngay trên Desktop. Nếu máy tính của bạn không có cấu hình MMC thì cách nhanh nhất để truy cập công cụ Local Users and Groups thông qua công cụ Computer Management. Nhầp phải chuột vào My Computer và chọn Manage từ pop-up menu và mở cửa sổ Computer Management. Trong mục System Tools, ta sẽ nhìn thấy mục Local Users and Groups 53
55. Đề cương môn Quản trị mang Cách khác để truy cập đến công cụ Local Users and Groups là vào Start → Programs → Administrative Tools → Computer Management 3.3.2. Các thao tác cơ bản trên tài khoản người dùng cục bộ 3.3.2.1. Tạo tài khoản mới Trong công cụ Local Users and Groups, ta nhấp phải chuột vào Users và chọn New User, hộp thoại New User hiển thị bạn nhập các thông tin cần thiết vào, nhưng quan trọng nhất và bắt buộc phải có là mục Username. 3.3.2.2. Xóa tài khoản Bạn nên xóa tài khoản người dùng, nếu bạn chắc rằng tài khoản này không bao giờ cần dùng lại nữa. Muốn xóa tài khoản người dùng bạn mở công cụ Local Users and Groups, chọn tài khoản người dùng cần xóa, nhấp phải chuột và chọn Delete hoặc vào thực đơn Action → Delete. 54
56. Đề cương môn Quản trị mang * Chú ý: khi chọn Delete thì hệ thống xuất hiện hộp thoại hỏi bạn muốn xóa thật sự không vì tránh trường hợp bạn xóa nhầm. Bởi vì khi đã xóa thì tài khoản người dùng này không thể phục hồi được. 3.3.2.3. Khóa tài khoản Khi một tài khoản không sử dụng trong thời gian dài bạn nên khóa lại vì lý do bảo mật và an toàn hệ thống. Nếu bạn xóa tài khoản này đi thì không thể phục hồi lại được do đó ta chỉ tạm khóa. Trong công cụ Local Users and Groups, nhấp đôi chuột vào người dùng cần khóa, hộp thoại Properties của tài khoản xuất hiện. Trong Tab General, đánh dấu vào mục Account is disabled. 3.3.2.3. Đổi tên tài khoản Bạn có thể đổi tên bất kỳ một tài khoản người dùng nào, đồng thời bạn cũng có thể điều chỉnh các thông tin của tài khoản người dùng thông qua chức năng này. Chức năng này có ưu điểm là khi bạn thay đổi tên người dùng nhưng SID của tài khoản vẫn không thay đổi. Muốn thay đổi tên tài khoản người dùng bạn mở công cụ Local Users and Groups, chọn tài khoản người dùng cần thay đổi tên, nhấp phải chuột và chọn Rename. 55
57. Đề cương môn Quản trị mang 3.3.2.5. Thay đổi mật khẩu Muốn đổi mật mã của người dùng bạn mở công cụ Local Users and Groups, chọn tài khoản người dùng cần thay đổi mật mã, nhấp phải chuột và chọn Reset password. 3.5. Quản lý tài khoản ngƣời dùng và nhóm trên active directory 3.5.1. Tạo mới tài khoản người dùng Bạn có thể dùng công cụ Active Directory User and Computers trong Administrative Tools ngay trên máy Domain Controller để tạo các tài khoản người dùng miền. Công cụ này cho phép bạn quản lý tài khoản người dùng từ xa thậm chí trên các máy trạm không phải dùng hệ điều hành Server như WinXP, Win2K Pro. Muốn thế trên các máy trạm này phải cài thêm bộ công cụ Admin Pack. Bộ công cụ này nằm trên Server trong thư mục \Windows\system32\ADMINPAK.MSI. Tạo một tài khoản người dùng trên Active Directory, ta làm các bước sau: Chọn Start → Programs → Administrative Tools → Active Directory Users and Computers. Cửa sổ Active Directory Users and Computers xuất hiện, bạn nhấp phải chuột vào mục Users, chọn New → User. Hộp thoại New Object-User xuất hiện như hình sau, bạn nhập tên mô tả người dùng, tên tài khoản logon vào mạng. Giá trị Full Name sẽ tự động phát sinh khi bạn nhập giá trị First Name và Last Name, nhưng bạn vẫn có thể thay đổi được. Chú ý: giá trị quan trọng nhất và bắt buộc phải có là logon name (username). Chuỗi này là duy nhất cho một tài khoản người dùng theo như định nghĩa trên phần lý thuyết. Trong môi trường Windows 2000 và 2003, Microsoft đưa thêm một khái niệm hậu tố UPN (Universal Principal Name), trong ví dụ này là “@netclass.edu.vn”. Hậu tố UPN này gắn vào sau chuỗi username dùng để tạo thành một tên username đầy đủ dùng để chứng thực ở cấp rừng hoặc chứng thực ở một miền khác có quan hệ tin cậy với miền của người dùng đó, trong ví dụ này thì tên username đầy đủ là “tuan@netclass.edu.vn”. Ngoài ra trong hộp thoại này cũng cho phép chúng ta đặt tên username của tài khoản người dùng phục vụ cho hệ thống cũ (pre-Windows 2000). Sau khi việc nhập các thông tin hoàn thành bạn nhấp chuột vào nút Next để tiếp tục. 56
58. Đề cương môn Quản trị mang Hộp thoại thứ hai xuất hiện, cho phép bạn nhập vào mật khẩu (password) của tài khoản người dùng và đánh dấu vào các lựa chọn liên quan đến tài khoản như: cho phép đổi mật khẩu, yêu cầu phải đổi mật khẩu lần đăng nhập đầu tiên hay khóa tài khoản. Các lựa chọn này chúng ta sẽ tìm hiểu chi tiết ở phần tiếp theo. Hộp thoại cuối cùng xuất hiện và nó hiển thị các thông tin đã cấu hình cho người dùng. Nếu tất cả các thông tin đã chính xác thì bạn nhấp chuột vào nút Finish để hoàn thành, còn nếu cần chỉnh sửa lại thì nhấp chuột vào nút Back để trở về các hộp thoại trước. 3.5.2. Các thuộc tính của tài khoản người dùng Muốn quản lý các thuộc tính của các tài khoản người ta dùng công cụ Active Directory Users and Computers (bằng cách chọn Start Programs Administrative Tools Active Directory Users and Computers), sau đó chọn thư mục Users và nhấp đôi chuột vào tài khoản người dùng cần khảo sát. Hộp thoại Properties xuất hiện, trong hộp thoại này chứa 12 Tab chính, ta sẽ lần lượt khảo sát các Tab này. Ngoài ra bạn có thể gom nhóm (dùng hai phím Shift, Ctrl) và hiệu chỉnh thông tin của nhiều tài khoản người dùng cùng một lúc. 57
59. Đề cương môn Quản trị mang 3.5.2.1. Các thông tin mở rộng của ngƣời dùng Tab General chứa các thông tin chung của người dùng trên mạng mà bạn đã nhập trong lúc tạo người dùng mới. Đồng thời bạn có thể nhập thêm một số thông tin như: số điện thoại, địa chỉ mail và trang địa chỉ trang Web cá nhân Tab Address cho phép bạn có thể khai báo chi tiết các thông tin liên quan đến địa chỉ của tài khoản người dùng như: địa chỉ đường, thành phố, mã vùng, quốc gia Tab Telephones cho phép bạn khai báo chi tiết các số điện thoại của tài khoản người dùng. 58
60. Đề cương môn Quản trị mang Tab Organization cho phép bạn khai báo các thông tin người dùng về: chức năng của công ty, tên phòng ban trực thuộc, tên công ty 3.5.2.2. Tab Account Tab Account cho phép bạn khai báo lại username, quy định giờ logon vào mạng cho người dùng, quy định máy trạm mà người dùng có thể sử dụng để vào mạng, quy định các chính sách tài khoản cho người dùng, quy định thời điểm hết hạn của tài khoản 59
61. Đề cương môn Quản trị mang Điều khiển giờ logon vào mạng: bạn nhấp chuột vào nút Logon Hours, hộp thoại Logon Hours xuất hiện. Mặc định tất cả mọi người dùng đều được phép truy cập vào mạng 24 giờ mỗi ngày, trong tất cả 7 ngày của tuần. Khi một người dùng logon vào mạng thì hệ thống sẽ kiểm tra xem thời điểm này có nằm trong khoảng thời gian cho phép truy cập không, nếu không phù hợp thì hệ thống sẽ không cho vào mạng và thông báo lỗi Unable to log you on because of an account restriction. Bạn có thể thay đổi quy định giờ logon bằng cách chọn vùng thời gian cần thay đổi và nhấp chuột vào nút lựa chọn Logon Permitted, nếu ngược lại không cho phép thì nhấp chuột vào nút lựa chọn Logon Denied. Sau đây là hình ví dụ chỉ cho phép người dùng làm việc từ 7h sáng đến 5h chiều, từ thứ 2 đến thứ 6. Chú ý: mặc định người dùng không bị logoff tự động khi hết giờ đăng nhập nhưng bạn có thể điều chỉnh điều này tại mục Automatically Log Off Users When Logon Hours Expire trong Group Policy phần Computer Configuration\ Windows Settings\Security Settings\ Local Policies\ Security Option. Ngoài ra bạn cũng có cách khác để điều chỉnh thông tin logoff này bằng cách dùng công cụ Domain Security Policy hoặc Local Security Policy tùy theo bối cảnh. Chọn lựa máy trạm được truy cập vào mạng: bạn nhấp chuột vào nút Log On To, bạn sẽ thấy hộp thoại Logon Workstations xuất hiện. Hộp thoại này cho phép bạn chỉ 60
62. Đề cương môn Quản trị mang định người dùng có thể logon từ tất cả các máy tính trong mạng hoặc giới hạn người dùng chỉ được phép logon từ một số máy tính trong mạng. Ví dụ như người quản trị mạng làm việc trong môi trường bảo mật nên tài khoản người dùng này chỉ được chỉ định logon vào mạng từ một số máy tránh tình trạng người dùng giả dạng quản trị để tấn công mạng. Muốn chỉ định máy tính mà người dùng được phép logon vào mạng, bạn nhập tên máy tính đó vào mục Computer Name và sau đó nhấp chuột vào nút Add. Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản ngƣời dùng: Tùy Chọn Ý Nghĩa User must change Người dùng phải thay đổi mật khẩu lần đăng nhập password at next logon kế tiếp, sau đó mục này sẽ tự động bỏ chọn User cannot change Nếu được chọn thì ngăn không cho người dùng tùy ý password thay đổi mật khẩu Password never expires Nếu được chọn thì mật khẩu của tài khoản này không bao giờ hết hạn Store password using Chỉ áp dụng tùy chọn này đối với người dùng đăng reversible encryption nhập từ các máy Apple Account is disabled Nếu được chọn thì tài khoản này tạm thời bị khóa, không sử dụng được Smart card is required for Tùy chọn này được dùng khi người dùng đăng nhập interactive login vào mạng thông qua một thẻ thông minh (smart card), lúc đó người dùng không nhập username và password mà chỉ cần nhập vào một số PIN Account is trusted for Chỉ áp dụng cho các tài khoản dịch vụ nào cần giành 61
63. Đề cương môn Quản trị mang delegation được quyền truy cập vào tài nguyên với vai trò những tài khoản người dùng khác Account is sensitive and Dùng tùy chọn này trên một tài khoản khách vãng cannot be delegated lai hoặc tạm để đảm bảo rằng tài khoản đó sẽ không được đại diện bởi một tài khoản khác Use DES encryption types Nếu được chọn thì hệ thống sẽ hỗ trợ Data for this account Encryption Standard (DES) với nhiều mức độ khác nhau Do not require Kerberos Nếu được chọn hệ thống sẽ cho phép tài khoản này preauthentication dùng một kiểu thực hiện giao thức Kerberos khác với kiểu của Windows Server 2003 Mục cuối cùng trong Tab này là quy định thời gian hết hạn của một tài khoản người dùng. Trong mục Account Expires, nếu ta chọn Never thì tài khoản này không bị hết hạn, nếu chọn End of: ngày tháng hết hạn thì đến ngày này tài khoản này bị tạm khóa. 3.5.2.3. Tab Profile Tab Profile cho phép bạn khai báo đường dẫn đến Profile của tài khoản người dùng hiện tại, khai báo tập tin logon script được tự động thi hành khi người dùng đăng nhập hay khai báo home folder. Chú ý các tùy chọn trong Tab Profile này chủ yếu phục vụ cho các máy trạm trước Windows 2000, còn đối với các máy trạm từ Win2K trở về sau như: Win2K Pro, WinXP, Windows Server 2003 thì chúng ta có thể cấu hình các lựa chọn này trong Group Policy. Trước tiên chúng ta hãy tìm hiểu khái niệm Profile. User Profiles là một thư mục 62
64. Đề cương môn Quản trị mang chứa các thông tin về môi trường của Windows Server 2003 cho từng người dùng mạng. Profile chứa các qui định về màn hình Desktop, nội dung của menu Start, kiểu cách phối màu sắc, vị trí sắp xếp các icon, biểu tượng chuột Mặc định khi người dùng đăng nhập vào mạng, một profile sẽ được mở cho người dùng đó. Nếu là lần đăng nhập lần đầu tiên thì họ sẽ nhận được một profile chuẩn. Một thư mục có tên giống như tên của người dùng đăng nhập sẽ được tạo trong thư mục Documents and Settings. Thư mục profile người dùng được tạo chứa một tập tin ntuser.dat, tập tin này được xem như là một thư mục con chứa các liên kết thư mục đến các biểu tượng nền của người dùng. Trong Windows Server 2003 có ba loại Profile: Local Profile: là profile của người dùng được lưu trên máy cục bộ và họ tự cấu hình trên profile đó. Roaming Profile: là loại Profile được chứa trên mạng và người quản trị mạng thêm thông tin đường dẫn user profile vào trong thông tin tài khoản người dùng, để tự động duy trì một bản sao của tài khoản người dùng trên mạng. Mandatory Profile: người quản trị mạng thêm thông tin đường dẫn user profile vào trong thông tin tài khoản người dùng, sau đó chép một profile đã cấu hình sẵn vào đường dẫn đó. Lúc đó các người dùng dùng chung profile này và không được quyền thay đổi profile đó. Kịch bản đăng nhập (logon script hay login script) là những tập tin chương trình được thi hành mỗi khi người dùng đăng nhập vào hệ thống, với chức năng là cấu hình môi trường làm việc của người dùng và phân phát cho họ những tài nguyên mạng như ổ đĩa, máy in (được ánh xa từ Server). Bạn có thể dùng nhiều ngôn ngữ kịch bản để tạo ra logon script như: lệnh shell của DOS/NT/Windows, Windows Scripting Host (WSH), VBScript, Jscript Đối với Windows Server 2003 thì có hai cách để khai báo logon script là: khai báo trong thuộc tính của tài khoản người dùng thông qua công cụ Active Directory User and Computers, khai báo thông qua Group Policy. Nhưng chú ý trong cả hai cách, các tập tin script và mọi tập tin cần thiết khác phải được đặt trong thư mục chia sẻ SYSVOL, nằm trong \Windows\SYSVOL\sysvol, nếu các tập tin script này phục vụ cho các máy tiền Win2K thì phải đặt trong thư mục \Windows\Sysvol\sysvol\domainname\scripts. Để các tập tin script thi hành được bạn nhớ cấp quyền cho các người dùng mạng có quyền Read và Excute trên các tập tin này. Sau đây là một ví dụ về một tập tin logon script. @echo off rem Taodia.bat Version 1.0 rem neu nguoi dung logon ngay tai server thi khong lam gi ca. ff %computername%.== tvthanh. goto 63
65. Đề cương môn Quản trị mang END rem xoa cac o dia ánh xạ đang tồn tai net use h: /delete >nul net use j: /delete >nul rem anh xa o dia h va j net use h: \\tvthanh\users /yes >nul net use j: \\tvthanh\apps /yes >nul rem dong bo thoi gian voi Server net time \\tvthanh /set /yes :END Thư mục cá nhân (home folder hay home directory) là thư mục dành riêng cho mỗi tài khoản người dùng, giúp người dùng có thể lưu trữ các tài liệu và tập tin riêng, đồng thời đây cũng là thư mục mặc định tại dấu nhắc lệnh. Muốn tạo một thư mục nhân cho người dùng thì trong mục Connect bạn chọn ổ đĩa hiển thị trên máy trạm và đường dẫn mà đĩa này cần ánh xạ đến (chú ý là các thư mục dùng chung đảm bảo đã chia sẻ). Trong ví dụ này bạn chỉ thư mục cá nhân cho tài khoản Tuan là “\\server\tuan”, nhưng bạn có thể thay thế tên tài khoản bằng biến môi trường người dùng như: “\\server\%username%”. 3.5.2.3. Tab Member Of Tab Member Of cho phép bạn xem và cấu hình tài khoản người dùng hiện tại là thành viên của những nhóm nào. Một tài khoản người dùng có thể là thành viên của nhiều 64
66. Đề cương môn Quản trị mang nhóm khác nhau và nó được thừa hưởng quyền của tất cả các nhóm này. Muốn gia nhập vào nhóm nào bạn nhấp chuột vào nút Add, hộp thoại chọn nhóm sẽ hiện ra. Trong hộp thoại chọn nhóm, nếu bạn nhớ tên nhóm thì có thể nhập trực tiếp tên nhóm vào và sau đó nhấp chuột vào nút Check Names để kiểm tra có chính xác không, bạn có thể nhập gần đúng để hệ thống tìm các tên nhóm có liên quan. Đây là tính năng mới của Windows Server 2003 tránh tình trạng tìm kiếm và hiển thị hết tất cả các nhóm hiện có trong hệ thống. Nếu bạn không nhớ tên nhóm thì chấp nhận nhấp chuột vào nút Advanced và Find Now để tìm hết tất cả các nhóm. Nếu bạn muốn tài khoản người dùng hiện tại thoát ra khỏi một nhóm nào đó thì bạn chọn nhóm sau đó nhấp chuột vào nút Remove. 3.5.2.5. Tab Dial-in Tab Dial-in cho phép bạn cấu hình quyền truy cập từ xa của người dùng cho kết nối 65
67. Đề cương môn Quản trị mang dial-in hoặc VPN, chúng ta sẽ khảo sát chi tiết ở chương Routing and Remote Access. 3.5.3. Tạo mới tài khoản nhóm Bạn tạo và quản lý tài khoản nhóm trên Active Directory thông qua công cụ Active Directory Users and Computers. Trước khi tạo nhóm bạn phải xác định loại nhóm cần tạo, phạm vi hoạt động của nhóm như thế nào. Sau khi chuẩn bị đầy đủ các thông tin bạn thực hiện các bước sau: Chọn Start Programs Administrative Tools Active Directory Users and Computers để mở công cụ Active Directory Users and Computers lên. Nhấp phải chuột vào mục Users, chọn New trên pop-up menu và chọn Group. Hộp thoại New Object – Group xuất hiện, bạn nhập tên nhóm vào mục Group name, trường tên nhóm cho các hệ điều hành trước Windows 2000 (pre-Windows 2000) tự động phát sinh, bạn có thể hiệu chỉnh lại cho phù hợp. Nhấp chuột vào nút OK để hoàn tất và đóng hộp thoại. 3.5.4. Các tiện ích dòng lệnh quản lý tài khoản người dùng So với Windows 2000 Server thì Windows Server 2003 cung cấp thêm nhiều công 66
68. Đề cương môn Quản trị mang cụ dòng lệnh mạnh mẽ, có thể được dùng trong các tập tin xử lý theo lô (batch) hoặc các tập tin kịch bản (script) để quản lý tài khoản người dùng như thêm, xóa, sửa. Windows 2003 còn hỗ trợ việc nhập và xuất các đối tượng từ Active Directory. Hai tiện ích dsadd.exe và admod.exe với đối số user cho phép chúng ta thêm và chỉnh sửa tài khoản người dùng trong Active Directory. Tiện ích csvde.exe được dùng để nhập hoặc xuất dữ liệu đối tượng thông qua các tập tin kiểu CSV (comma-separated values). Đồng thời hệ thống mới này vẫn còn sử dụng hai lệnh net user và net group của Windows 2000. 3.5.5. Tài khoản nhóm 3.5.5.1. Lệnh net user: Chức năng: Tạo thêm, hiệu chỉnh và hiển thị thông tin của các tài khoản người dùng . Cú pháp: net user [username [password | *] [options]] [/domain] net user username {password | *} /add [options] [/domain] net user username [/delete] [/domain] Ý nghĩa các tham số: - Không tham số: dùng để hiển thị danh sách của tất cả các tài khoản người dùng trên máy tính - [Username]: chỉ ra tên tài khoản người dùng cần thêm, xóa, hiệu chỉnh hoặc hiển thị. Tên của tài khoản người dùng có thể dài đến 20 ký tự. - [Password]: ấn định hoặc thay đổi mật mã của tài khoàn người dùng. Một mật mã phải có chiều dài tối thiểu bằng với chiều dài quy định trong chính sách tài khoản người dùng. Trong Windows 2000 thì chiều dài của mật mã có thể dài đến 127 ký tự, nhưng trên hệ thống Win9X thì chỉ hiểu được 14 ký tự, do đó nếu bạn đặt mật mã dài hơn 14 ký tự thì có thể tài khoản này không thể logon vào mạng từ máy trạm dùng Win9X. - [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng. Tham số này chỉ áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành viên của máy Windows 2000 Server domain. - [/add]: thêm một tài khoản người dùng vào trong cơ sở dữ liệu tài khoản người dùng. - [/delete]: xóa một tài khoản người dùng khỏi cơ sở dữ liệu tài khoản người dùng. - [/active:{no | yes}]: cho phép hoặc tạm khóa tài khoản người dùng. Nếu tài khoản bị khóa thì người dùng không thể truy cập các tài nguyên trên máy tính. Mặc định là cho phép (active). - [/comment:"text"]: cung cấp mô tả về tài khoản người dùng, mô tả này có thể dài đến 48 ký tự. - [/countrycode:nnn]: chỉ định mã quốc gia và mã vùng. 67
69. Đề cương môn Quản trị mang - [/expires:{date | never}]: quy định ngày hết hiệu lực của tài khoản người dùng. - [/fullname:"name"]: khai báo tên đầy đủ của người dùng. - [/homedir:path]: khai báo đường dẫn thư mục cá nhân của tài khoản, chú ý đường dẫn này đã tồn tại. - [/passwordchg:{yes | no}]: chỉ định người dùng có thể thay đổi mật mã của mình không, mặc định là có thể. - [/passwordreq:{yes | no}]: chỉ định một tài khoản người dùng phải có một mật mã, mặc định là có mật mã. - [/profilepath:[path]]: khai báo đường dẫn Profile của người dùng, nếu không hệ thống sẽ tự tạo một profile chuẩn cho người dùng lần logon đầu tiên. - [/scriptpath:path]: khai báo đường dẫn và tập tin logon script. Đường dẫn này có thể là đường dẫn tuyệt đối hoặc đường dẫn tương đối (ví dụ: %systemroot%\System32\Repl\Import\Scripts). - [/times:{times | all}]: quy định giờ cho phép người dùng logon vào mạng hay máy tính cục bộ. Các thứ trong tuần được đại diện bởi ký tự : M, T, W, Th, F, Sa, Su. Giờ ta dùng AM, PM để phân biệt buổi sáng hoặc chiều. Ví dụ sau chỉ cho phép người dùng làm việc trong giờ hành chính từ thứ 2 đến thứ 6: “M,7AM-5PM; T,7AM-5PM; W,7AM-5PM; Th,7AM-5PM; F,7AM-5PM;” - [/workstations:{computername[, ] | *}]: chỉ định các máy tính mà người dùng này có thể sử dụng để logon vào mạng. Nếu /workstations không có danh sách hoặc danh sách là ký tự „*‟ thì người dùng có thể sử dụng bất kỳ máy nào để vào mạng. 3.5.5.2. Lệnh net group Chức năng: tạo mới thêm, hiển thị hoặc hiệu chỉnh nhóm toàn cục trên Windows 2000 Server domains, lệnh này chỉ có hiệu lực khi dùng trên máy Windows 2000 Server Domain Controllers. Cú pháp: net group [groupname [/comment:"text"]] [/domain] net group groupname {/add [/comment:"text"] | /delete} [/domain] net group groupname username[ ] {/add | /delete} [/domain] Ý nghĩa các tham số: - Không tham số: dùng để hiển thị tên của Server và tên của các nhóm trên Server đó. - [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa. - [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài đến 48 ký tự. - [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng. Tham số này chỉ áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành viên của máy Windows 2000 Server domain. 68
70. Đề cương môn Quản trị mang - [username[ ]]: danh sách một hoặc nhiều người dùng cần thêm hoặc xóa ra khỏi nhóm, các tên này cách nhau bởi khoảng trắng. - [/add]: thêm một nhóm hoặc thêm một người dùng vào nhóm. - [/delete]: xóa một nhóm hoặc xóa một người dùng khỏi nhóm. 3.5.5.3. Lệnh net localgroup Chức năng: thêm, hiển thị hoặc hiệu chỉnh nhóm cục bộ. Cú pháp: net localgroup [groupname [/comment:"text"]] [/domain] net localgroup groupname {/add [/comment:"text"] | /delete} [/domain] net localgroup groupname name [ ] {/add | /delete} [/domain] Ý nghĩa các tham số: - Không tham số: dùng hiển thị tên server và tên các nhóm cục bộ trên máy tính hiện tại. - [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa. - [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài đến 48 ký tự. - [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng. Tham số này chỉ áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành viên của máy Windows 2000 Server domain. - [name [ ]]: danh sách một hoặc nhiều tên người dùng hoặc tên nhóm cần thêm vào hoặc xóa khỏi nhóm cục bộ. Các tên này cách nhau bởi khoảng trắng. - [/add]: thêm tên một nhóm toàn cục hoặc tên người dùng vào nhóm cục bộ. - [/delete]: xóa tên một nhóm toàn cục hoặc tên người dùng khỏi nhóm cục bộ. 3.5.5.3. Các lệnh hỗ trợ dịch vụ AD trong môi trƣờng Windows Server 2003 Trên hệ thống Windows Server 2003, Microsoft phát triển thêm một số lệnh nhằm hỗ trợ tốt hơn cho dịch vụ Directory như: dsadd, dsrm, dsmove, dsget, dsmod, dsquery. Các lệnh này thao tác chủ yếu trên các đối tượng computer, contact, group, ou, user, quota. - Dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào trong dịch vụ Directory. - Dsrm: xóa một đối tượng trong dịch vụ Directory. - Dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụ Directory. - Dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact, group, ou, server hoặc user trong một dịch vụ Directory. 69
71. Đề cương môn Quản trị mang - Dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trong một dịch vụ Directory. - Dsquery: truy vấn các thành phần trong dịch vụ Directory. Ví dụ: - Tạo một user mới: dsadd user “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” –samid hv10 –pwd 123 - Xóa một user: dsrm “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” - Xem các user trong hệ thống: dsquery user - Gia nhập user mới vào nhóm: dsmod group “CN=hs, CN=Users, DC=netclass, DC=edu, DC=vn” –addmbr “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” 70
72. Đề cương môn Quản trị mang CHƢƠNG 4. CHÍNH SÁCH NHÓM 4 1 Giới thiệu 4 1.1. So sánh giữa System Policy và Group Policy Chương trước, chúng ta đã tìm hiểu về chính sách hệ thống (System Policy), tiếp theo chúng ta sẽ tìm hiểu về chính sách nhóm (Group Policy). Vậy hai chính sách này khác nhau như thế nào. - Chính sách nhóm chỉ xuất hiện trên miền Active Directory , nó không tồn tại trên miền NT3. - Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống. Tất nhiên chính sách nhóm chứa tất cả các chức năng của chính sách hệ thống và hơn thế nữa, bạn có thể dùng chính sách nhóm để triển khai một phần mềm cho một hoặc nhiều máy một cách tự động. - Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống. - Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống. Các chính sách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào mạng thôi. Các chính sách nhóm thì được áp dụng khi bạn bật máy lên, khi đăng nhập vào một cách tự động vào những thời điểm ngẫu nhiên trong suốt ngày làm việc. - Bạn có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc từng nhóm đối tượng. - Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy Win2K, WinXP và Windows Server 2003. 4 1.2. Chức năng của Group Policy - Triển khai phần mềm ứng dụng: bạn có thể gom tất cả các tập tin cần thiết để cài đặt một phần mềm nào đó vào trong một gói (package), đặt nó lên Server, rồi dùng chính sách nhóm hướng một hoặc nhiều máy trạm đến gói phần mềm đó. Hệ thống sẽ tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cần sự can thiệp nào của người dùng. - Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng của chính sách hệ thống. Nó có thể cấp cho một hoặc một nhóm người nào đó có quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu - Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thể kiểm soát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy được một vài ứng dụng nào đó thôi như: Outlook Express, Word hay Internet Explorer. - Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định 71