Tài liệu lý thuyết Quản trị mạng phiên bản Server 2003

pdf 281 trang phuongnguyen 3800
Download
Bạn đang xem 20 trang mẫu của tài liệu "Tài liệu lý thuyết Quản trị mạng phiên bản Server 2003", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdftai_lieu_ly_thuyet_quan_tri_mang_phien_ban_server_2003.pdf

Nội dung text: Tài liệu lý thuyết Quản trị mạng phiên bản Server 2003

  1. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Lu hành n i b 1
  2. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Bài 1 GI I THI U VÀ CÀI T WINDOWS SERVER 2003 Tóm t t Lý thuy t 4 ti t – Th c hành 3 ti t Bài t p Bài t p Mc tiêu Các m c chính bt bu c làm thêm Kt thúc bài h c này I. T ng quan v h h iu hành Da vào bài t p Da vào bài t p cung cp h c viên ki n Windows Server 2003. môn Qu n tr môn Qu n tr th c v h h iu hành II. Chu n b cài t Windows Windows Server Windows Server Windows Server 2003, Server 2003. 2003. 2003. cách th c cài t Server III. Cài t Windows Server 2003 bng tay và cài t t IV. T ng hóa quá trình cài t. ng 2
  3. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 I. T NG QUAN V H H IU HÀNH WINDOWS SERVER 2003 Nh chúng ta ã bi t h h iu hành Windows 2000 Server có 3 phiên b n chính là: Windows 2000 Server , Windows 2000 Advanced Server , Windows 2000 Datacenter Server . V i m i phiên b n Microsoft b sung các tính n ng m r ng cho t ng lo i d ch v . n khi h Server 2003 ra i thì Mircosoft cng d a trên tính n ng c a t ng phiên b n phân lo i do ó có r t nhi u phiên b n c a h Server 2003 c tung ra th tr ng. Nh ng 4 phiên b n c s d ng r ng rãi nh t là: Windows Server 2003 Standard Edition , Enterprise Edition , Datacenter Edition , Web Edition . So v i các phiên b n 2000 thì h h iu hành Server phiên b n 2003 có nh ng c tính m i sau: - Kh n ng k t chùm các Server san s t i ( Network Load Balancing Clusters ) và cài t nóng RAM ( hot swap ). - Windows Server 2003 h tr h iu hành WinXP tt h ơn nh : hi u c chính sách nhóm (group policy ) c thi t l p trong WinXP , có b công c qu n tr m ng y các tính n ng ch y trên WinXP. - Tính n ng c ơ b n c a Mail Server c tính h p s n: i v i các công ty nh không chi phí mua Exchange xây d ng Mail Server thì có th s d ng d ch v POP3 và SMTP ã tích h p sn vào Windows Server 2003 làm m t h th ng mail ơn gi n ph c v cho công ty. - Cung c p mi n phí h c ơ s d li u thu g n MSDE (Mircosoft Database Engine) c c t xén t SQL Server 2000 .Tuy MSDE không có công c qu n tr nh ng nó c ng giúp ích cho các công ty nh tri n khai c các ng d ng liên quan n c ơ s d li u mà không ph i t n chi phí nhi u mua b n SQL Server . - NAT Traversal h tr IPSec ó là m t c i ti n m i trên môi tr ng 2003 này, nó cho phép các máy bên trong m ng n i b th c hi n các k t n i peer-to-peer n các máy bên ngoài Internet , t bi t là các thông tin c truy n gi a các máy này có th c mã hóa hoàn toàn. - B sung thêm tính n ng NetBIOS over TCP/IP cho d ch v RRAS (Routing and Remote Access) . Tính n ng này cho phép b n duy t các máy tính trong m ng xa thông qua công c Network Neighborhood . - Phiên b n Active Directory 1.1 ra i cho phép chúng ta y quy n gi a các g c r ng v i nhau ng th i vi c backup d li u c a Active Directory cng d dàng h ơn. - H tr t t h ơn công tác qu n tr t xa do Windows 2003 ci ti n RDP (Remote Desktop Protocol) có th truy n trên ng truy n 40Kbps. Web Admin cng ra i giúp ng i dùng qu n tr Server t xa thông qua m t d ch v Web m t cách tr c quan và d dàng. - H tr môi tr ng qu n tr Server thông qua dòng l nh phong phú h ơn - Các Cluster NTFS có kích th c b t k khác vi Windows 2000 Server ch h tr 4KB. - Cho phép t o nhi u g c DFS (Distributed File System) trên cùng m t Server. II. CHU N B CÀI T WINDOWS SERVER 2003 Ho ch nh và chu n b y là y u t quan tr ng quy t nh quá trình cài t có tr ơn tru hay không. Tr c khi cài t, b n ph i bi t c nh ng gì c n có có th cài t thành công và b n ã có c tt c nh ng thông tin c n thi t cung c p cho quá trình cài t. lên k ho ch cho vi c nâng c p 3
  4. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 ho c cài m i các Server bn nên tham kh o các h ng d n t Microsoft Windows Server 2003 Deployment Kit . Các thông tin c n bi t tr c khi nâng c p ho c cài m i h iu hành: - Ph n c ng áp ng c yêu c u c a Windows Server 2003 . - Làm sao bi t c ph n c ng c a h th ng có c Windows Server 2003 h tr hay không. - im khác bi t gi a cách cài t m i và cách nâng c p ( upgrade ). - Nh ng l a ch n cài t nào thích h p v i h th ng c a b n, ch ng h n nh chi n l c chia partition a, và b n s s d ng h th ng t p tin nào 1. Yêu c u ph n c ng Yêu c u ph n c ng t i hi u v i Windows Server 2003 phiên b n Standard * CPU speed : 133MHz (550MHz recommended) * RAM : 128MB (256MB recommended; 4GB maximum on Standard Server) * Disk space for setup : 1.5GB * CD-ROM drive : 12X * Super VGA capable of providing 800 x 600 resolution 2. T ư ng thích ph n c ng Mt b c quan tr ng tr c khi nâng c p ho c cài t m i Server c a b n là ki m tra xem ph n c ng ca máy tính hi n t i có t ơ ng thích v i s n ph m h iu hành trong h Windows Server 2003 . B n có th làm vi c này b ng cách ch y ch ơ ng trình ki m tra t ơ ng thích có s n trong a CD ho c t trang Web Catalog . N u ch y chơ ng trình ki m tra t a CD, t i d u nh c l nh b n nh p: \i386\winnt32 /checkupgradeonly . 3. Cài t m i ho c nâng c p Trong m t s tr ng h p h th ng Server chúng ta ang ho t ng t t, các ng d ng và d li u quan tr ng u l u tr trên Server này, nhng theo yêu c u chúng ta ph i nâng c p h iu hành Server hi n t i thành Windows Server 2003 . Chúng ta c n xem xét nên nâng c p h iu hành ng th i gi li các ng dùng và d li u hay cài t m i h iu hành r i sau c u hình và cài t ng d ng l i. ây là v n c n xem xét và l a ch n cho h p lý. Các im c n xem xét khi nâng c p: - V i nâng c p ( upgrade ) thì vi c c u hình Server ơ n gi n, các thông tin c a b n c gi l i nh : ng i dùng ( users ), c u hình ( settings ), nhóm ( groups ), quy n h th ng ( rights ), và quy n truy c p (permissions ) - V i nâng c p b n không c n cài l i các ng d ng, nh ng n u có s thay i l n v a c ng thì bn cn backup d li u tr c khi nâng c p. - Tr c khi nâng c p b n c n xem h iu hành hi n t i có n m trong danh sách các h iu hành h tr nâng c p thành Windows Server 2003 không ? - Trong m t s tr ng h p c bi t nh b n c n nâng c p m t máy tính ang làm ch c n ng Domain Controller ho c nâng c p m t máy tính ang có các ph n m m quan tr ng thì b n nên tham kh o thêm thông tin h ng d n c a Microsoft ch a trong th m c \Docs trên a CD Windows Server 2003 Enterprise . Các h iu hành cho phép nâng c p thành Windows Server 2003 Enterprise Edition : 4
  5. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 - Windows NT Server 4.0 vi Service Pack 5 ho c l n h ơn. - Windows NT Server 4.0 , Terminal Server Edition , v i Service Pack 5 ho c l n h ơn. - Windows NT Server 4.0 , Enterprise Edition , v i Service Pack 5 ho c l n h ơn. - Windows 2000 Server. - Windows 2000 Advanced Server. - Windows Server 2003, Standard Edition. 4. Phân chia a ây là vi c phân chia a v t lý thành các partition logic . Khi chia partition , b n ph i quan tâm các yu t sau: - Lng không gian c n c p phát: bn ph i bi t c không gian chi m d ng b i h iu hành, các ch ơ ng trình ng d ng, các d liu ã có và s p phát sinh. - Partition system và boot: khi cài t Windows 2003 Server s c l u hai v trí là partition system và partition boot . Partition system là n ơi ch a các t p tin giúp cho vi c kh i ng Windows 2003 Server . Các t p tin này không chi m nhi u không gian a. Theo m c nh, partition active ca máy tính s c ch n làm partition system , v n th ng là a C:. Partition boot là n ơi ch a các t p tin c a h iu hành. Theo m c nh các t p tin này l u trong th m c WINDOWS . Tuy nhiên b n có th ch nh th m c khác trong quá trình cài t. Microsoft ngh partition này nh nh t là 1,5 GB. - C u hình a c bi t: Windows 2003 Server h tr nhi u c u hình a khác nhau. Các l a ch n có th là volume simple , spanned , striped , mirrored ho c là RAID-5. - Ti n ích phân chia partition: nu b n nh chia partition tr c khi cài t, b n có th s d ng nhi u ch ơ ng trình ti n ích khác nhau, ch ng h n nh FDISK ho c PowerQuest Partition Magic . Có th ban u b n ch c n t o m t partition cài t Windows 2003 Server , sau ó s d ng công c Disk Management t o thêm các partition khác. 5. Ch n h th ng t p tin Bn có th ch n s d ng m t trong ba lo i h th ng t p tin sau: - FAT16 (file allocation table ): là h th ng c s d ng ph bi n trên các h iu hành DOS và Windows 3.x . Có nh c im là partition b gi i h n kích th c 2GB và không có các tính nng bo m t nh NTFS. - FAT32: c a ra n m 1996 theo b n Windows 95 OEM Service Release 2 (OSR2) . Có nhi u u im h ơn FAT16 nh : h tr partition ln n 2TB; có các tính n ng dung l i và s d ng không gian a c ng hi u qu h ơn do gi m kích th c cluster . Tuy nhiên FAT32 li có nh c im là không cung c p các tính n ng b o m t nh NTFS . - NTFS: là h th ng t p tin c s d ng trên các h iu hành Windows NT, Windows 2000 , Windows 2003 . Windows 2000, Windows 2003 s d ng NTFS phiên b n 5. Có các c im sau: ch nh kh n ng an toàn cho t ng t p tin, th m c; nén d li u, t ng không gian l u tr ; có th ch nh h n ng ch s d ng a cho t ng ng i dùng; có th mã hoá các t p tin, nâng cao kh nng b o mt. 6. Ch n ch s d ng gi y phép Bn ch n m t trong hai ch gi y phép sau ây: 5
  6. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 - Per server licensing : là l a ch n t t nh t trong tr ng h p m ng ch có m t Server và ph c cho mt s l ng Client nh t nh. Khi ch n ch gi y phép này, chúng ta ph i xác nh s l ng gi y phép t i th i im cài t h iu hành. S l ng gi y phép tùy thu c vào s k t n i ng th i c a các Client n Server. Tuy nhiên, trong quá trình s dng chúng ta có th thay i s lng k t n i ng th i cho phù h p v i tình hình hi n t i c a m ng. - Per Seat licensing : là l a ch n t t nh t trong tr ng h p m ng có nhi u Server. Trong ch gi y phép này thì m i Client ch c n m t gi y phép duy nh t truy xu t n t t c các Server và không gi i h n s l ng k t n i ng th i n Server. 7. Ch n ph ư ng án k t n i m ng 7.1 Các giao th c k t n i m ng Windows 2003 mc nh ch cài m t giao th c TCP/IP , còn nh ng giao th c còn l i nh IPX , AppleTalk là nh ng tùy ch n có th cài t sau n u c n thi t. Riêng giao th c NetBEUI , Windows 2003 không a vào trong các tùy ch n cài t mà ch cung c p kèm theo a CD-ROM cài t Windows 2003 và c l u trong th m c \VALUEADD\MSFT\NET\NETBEUI . 7.2 Thành viên trong Workgroup ho c Domain Nu máy tính c a b n n m trong m t m ng nh , phân tán ho c các máy tính không c n i m ng v i nhau, b n có th ch n cho máy tính làm thành viên c a workgroup , ơ n gi n b n ch c n cho bi t tên workgroup là xong. Nu h th ng m ng c a b n làm vi c theo c ơ ch qu n lý t p trung, trên m ng ã có m t vài máy Windows 2000 Server ho c Windows 2003 Server s d ng Active Directory thì b n có th ch n cho máy tính tham gia domain này. Trong tr ng h p này, b n ph i cho bi t tên chính xác c a domain cùng v i tài kho n (g m có username và password ) c a m t ng i dùng có quy n b sung thêm máy tính vào domain . Ví d nh tài kho n c a ng i qu n tr m ng ( Administrator ). Các thi t l p v ngôn ng và các giá tr c c b . Windows 2003 Server h tr r t nhi u ngôn ng , b n có th ch n ngôn ng c a mình n u c h tr . Các giá tr local gm có h th ng s , ơn v ti n t , cách hi n th th i gian, ngày tháng. III. CÀI T WINDOWS SERVER 2003 1. Giai on Preinstallation Sau khi ki m tra và ch c chn r ng máy c a mình ã h i các iu ki n cài t Windows 2003 Server , b n ph i ch n m t trong các cách sau ây b t u quá trình cài t. 1.1 Cài t t h iu hành khác Nu máy tính c a b n ã có m t h iu hành và b n mu n nâng c p lên Windows 2003 Server ho c là b n mu n kh i ng kép, u tiên b n cho máy tính kh i ng b ng h iu hành có s n này, sau ó ti n hành quá trình cài t Windows 2003 Server . Tu theo h iu hành ang s d ng là gì, b n có th s d ng hai l nh sau trong th m c I386 : - WINNT32.EXE nu là Windows 9x ho c Windows NT. - WINNT.EXE nu là h iu hành khác. 1.2 Cài t trc ti p t a CD Windows 2003 6
  7. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Nu máy tính c a b n h tr tính n ng kh i ng t a CD, b n ch c n t a CD vào a và kh i ng l i máy tính. L u ý là b n ph i c u hình CMOS Setup , ch nh thi t b kh i ng u tiên là a CDROM . Khi máy tính kh i ng lên thì quá trình cài t t ng thi hành, sau ó làm theo nh ng hng d n trên màn hình cài t Windows 2003 . 1.3 Cài t Windows 2003 Server t m ng có th cài t theo ki u này, b n ph i có m t Server phân ph i t p tin, ch a b ngu n cài t Windows 2003 Server và ã chia s th m c này. Sau ó ti n hành theo các b c sau: - Kh i ng máy tính nh cài t. - K t n i vào máy Server và truy c p vào th m c chia s ch a b ngu n cài t. - Thi hành l nh WINNT.EXE ho c WINNT32.EXE tu theo h iu hành ang s d ng trên máy. - Th c hi n theo h ng d n c a ch ơ ng trình cài t. 2. Giai on Text-Based Setup Trong quá trình cài t nên chú ý n các thông tin h ng d n thanh tr ng thái. Giai on Text-based setup di n ra m t s b c nh sau: (1) C u hình BIOS ca máy tính có th kh i ng t a CD-ROM (2) a a cài t Windows 2003 Server vào a CD-ROM và kh i ng l i máy. (3) Khi máy kh i ng t a CD-ROM s xu t hi n m t thông báo “ Press any key to continue ” yêu c u nh n m t phím b t k b t u quá trình cài t. (4) N u máy có a SCSI thì ph i nh n phím F6 ch Driver c a a ó. (5) Trình cài t ti n hành chép các t p tin và driver cn thi t cho quá trình cài t. (6) Nh n Enter b t u cài t. (7) Nh n phím F8 ch p nh n th a thu n b n quy n và ti p t c quá trình cài t. N u nh n ESC , thìch ơ ng trình cài t k t. 7
  8. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (8) Ch n m t vùng tr ng trên a và nh n phím C t o m t Partition mi ch a h iu hành. (9) Nh p vào kích th c c a Partition mi và nh n Enter . (10) Ch n Partition va t o và nh n Enter ti p t c. 8
  9. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (11) Ch n ki u h th ng t p tin ( FAT hay NTFS ) nh d ng cho partition . Nh n Enter ti p t c. (12) Trình cài t s chép các t p tin c a h iu hành vào partition ã ch n. (13) Kh i ng l i h th ng b t u giai on Graphical Based . Trong khi kh i ng, không nh n bt k phím nào khi h th ng yêu c u “ Press any key to continue ” 3. Giai on Graphical-Based Setup (1) B t u giai on Graphical , trình cài t s cài driver cho các thi t b mà nó tìm th y trong h th ng. 9
  10. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (2) T i h p tho i Regional and Language Options , cho phép ch n các tùy ch n liên quan n ngôn ng , s m, ơn v ti n t , nh d ng ngày tháng n m, .Sau khi ã thay i các tùy ch n phù hp, nh n Next ti p t c. (3) T i h p tho i Personalize Your Software , in tên ng i s d ng và tên t ch c. Nh n Next . 10
  11. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (4) T i h p tho i Your Product Key , in vào 25 s CD-Key vào 5 ô tr ng bên d i. Nh n Next . (5) T i h p tho i Licensing Mode , ch n ch b n quy n là Per Server ho c Per Seat tùy thu c vào tình hình th c t c a m i h th ng m ng. 11
  12. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (6) T i h p tho i Computer Name and Administrator Password , in vào tên c a Server và Password ca ng i qu n tr ( Administrator ). (7) T i h p tho i Date and Time Settings , thay i ngày, tháng, và múi gi ( Time zone ) cho thích hp 12
  13. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (8) T i h p tho i Networking Settings , ch n Custom settings thay i các thông s giao th c TCP/IP . Các thông s này có th thay i l i sau khi quá trình cài t hoàn t t. (9) Ti h p tho i Workgroup or Computer Domain , tùy ch n gia nh p Server vào m t Workgroup hay m t Domain có s n. N u mu n gia nh p vào Domain thì ánh vào tên Domain vào ô bên di. (10) Sau khi chép y các t p tin, quá trình cài t k t thúc IV. T NG HÓA QUÁ TRÌNH CÀI T Nu b n d nh cài t h iu hành Windows 2003 Server trên nhi u máy tính, b n có th n t ng máy và t tay th c hi n quá trình cài t nh ã h ng d n trong ch ơ ng tr c. Tuy nhiên, ch c ch n công vi c này s vô cùng nhàm chán và không hi u qu . Lúc này vi c t ng hoá quá trình cài t s giúp công vi c c a b n tr nên ơ n gi n, hi u qu và ít t n kém h ơn. Có nhi u ph ơ ng pháp h tr vi c cài t t ng. Ch ng h n, b n có th s d ng phơ ng pháp dùng nh a ( disk image ) ho c ph ơ ng pháp cài t không c n theo dõi ( unattended installation ) thông qua m t k ch b n ( script ) hay t p tin tr l i. 13
  14. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 1. Gi i thi u k ch b n cài t Kch b n cài t là m t t p tin v n b n có n i dung tr l i tr c t t c các câu h i mà trình cài t h i nh : tên máy, CD-Key , . trình cài t có th c hi u các n i dung trong k ch b n thì nó ph i c to ra theo mt c u trúc c quy nh tr c. t o ra c các k ch b n cài t, có th dùng bt k ch ơ ng trình so n th o v n b n nào, ch ng h n nh Notepad . Tuy nhiên, k ch b n là m t t p tin có cu trúc nên trong quá trình so n th o có th x y ra các sai sót d n n quá trình t ng hóa cài t không di n ra theo ý mu n. Do ó, Microsoft ã t o ra m t ti n ích có tên là Setup Manager (setupmgr.exe ) giúp cho vi c t o ra k ch b n cài t c d dàng h ơn. Sau khi có c k ch b n, có th s d ng Notepad thêm, s a l i m t s thông tin s d ng k ch b n vào quá trình cài t t ng hi u qu h ơn. 2. T ng hóa dùng tham bi n dòng l nh Khi ti n hành cài t Windows 2003 Server , ngoài cách kh i ng và cài tr c ti p t a CD-ROM , còn có th dùng m t trong hai lnh sau: winnt.exe dùng v i các máy ang ch y h iu hành DOS, windows 3.x ho c Windows for workgroup ; winnt32.exe khi máy ang ch y h iu hành Windows 9x , Windows NT ho c m i h ơn. Hai l nh trên c t trong th m c I386 ca a cài t. Sau ây là cú pháp cài t t 2 l nh trên: winnt [/s:[sourcepath]] [/t:[tempdrive]] [/u:[answer_file]] [/udf:id [,UDB_file]] Ý ngh a các tham s : /s Ch r v trí t c a b ngu n cài t (th m c I386). ng d n ph i là d ng y , ví d : e:\i386 ho c \\server\i386 . Giá tr m c nh là th m c hi n hành. /t Hng ch ơ ng trình cài t t th m c t m vào m t a và cài Windows vào a ó. N u không ch nh, trình cài t s t xác nh. /u Cài t không c n theo dõi v i m t t p tin tr l i t ng (k ch b n). N u s d ng /u thì ph i s d ng /s. /udf Ch nh tên c a Server và t p tin c ơ s d li u ch a tên, các thông tin c tr ng cho m i máy (unattend.udf). winnt32 [/checkupgradeonly ] [ /s: sourcepath ] [ /tempdrive: drive_letter :] [/unattend [num ]:[answer_file ]] [/udf: id [, UDB_file ]] Ý ngh a c a các tham s : /checkupgradeonly Ki m tra xem máy có t ơ ng thích nâng c p và cài t Windows 2003 Server hay không? /tempdrive Tơ ng t nh tham s /t /unattend Tơ ng t nh tham s /u 3. S d ng Setup Manager t o ra t p tin tr l i Setup Manager là m t ti n ích giúp cho vi c t o các t p tin tr l i s d ng trong cài t không c n theo dõi. Theo m c nh, Setup Manager không c cài t, mà c t trong t p tin Deploy.Cab . 14
  15. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Ch có th ch y ti n ích Setup Manager trên các h iu hành Windows 2000, Windows XP, Windows 2003 . To t p tin tr l i t ng b ng Setup Manager : (1) Gi i nén t p tin Deploy.cab c l u trong th m c Support\Tools trên a cài t Windows 2003 . (2) Thi hành t p tin Setupmgr.exe (3) H p tho i Setup Manager xu t hi n, nh n Next ti p t c. (4) Xu t hi n h p tho i New or Existing Answer File . H p tho i này cho phép b n ch nh t o ra mt tp tin tr l i m i, m t t p tin tr l i ph n ánh c u hình c a máy tính hi n hành ho c là ch nh s a mt t p tin s n có. B n ch n Create new và nh n Next . 15
  16. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (5) Ti p theo là h p tho i Type of Setup . Ch n Unattended Setup và ch n Next . (6) Trong h p tho i Product , ch n h iu hành cài t s d ng t p tin tr l i t ng. Ch n Windows Server 2003, Enterprise Edition , nh n Next . 16
  17. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (7) T i h p tho i User Interaction , ch n m c t ơ ng tác v i trình cài t c a ng i s d ng. Ch n Fully Automated , nh n Next . (8) Xu t hi n h p tho i Distribution Share , ch n Setup from a CD , nh n Next . 17
  18. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (9) T i h p tho i License Agreement , ánh d u vào I accept the terms of , nh n Next . (10) T i c a s Setup Manager , ch n m c Name and Organization . in tên và t ch c s d ng h iu hành. Nh n Next . 18
  19. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (11) Ch n m c Time Zone � ch n múi gi ( GMT+7:00) Bangkok, Hanoi, Jarkata . Nh n Next . (12) T i m c Product Key , in CD-Key vào trong 5 ô tr ng. Nh n Next . 19
  20. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (13) T i m c Licensing Mode , ch n lo i b n quy n thích h p. Nh n Next . (14) T i m c Computer Names , in tên c a các máy d nh cài t. Nh n Next . 20
  21. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (15) T i m c Administrator Password , nh p vào password ca ng i qu n tr . N u mu n mã hóa password thì ánh d u ch n vào m c “ Encrypt the Administrator password ”. Nh n Next . (16) T i m c Network Component , c u hình các thông s cho giao th c TCP/IP và cài thêm các giao th c. Nh n Next . 21
  22. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 (17) T i m c Workgroup or Domain , gia nh p máy vào Workgroup ho c Domain có s n. Nh n Next . (18) Cu i cùng, trong th m c ã ch nh, Setup Manager s t o ra ba t p tin. N u b n không thay i tên thì các t p tin là: Unattend.txt : ây là t p tin tr l i, ch a t t c các câu tr l i mà Setup Manager thu th p c Unattend.udb : ây là t p tin c ơ s d li u ch a tên các máy tính s c cài t. T p tin này ch c to ra khi b n ch nh danh sách các t p tin và c s d ng khi b n th c hi n cài t không cn theo dõi. Unattend.bat : ch a dòng l nh v i các tham s c thi t l p s n. T p tin này c ng thi t l p các bi n môi tr ng ch nh v trí các t p tin liên quan. 22
  23. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 4. S d ng t p tin tr l i Có nhi u cách s d ng các t p tin c t o ra trong b c trên. B n có th th c hi n theo m t trong hai cách d i ây: 4.1 S d ng a CD Windows 2003 Server có th kh i ng ưc Sa t p tin Unattend.txt thành WINNT.SIF và l u lên a m m. a a CD Windows 2000 Server và a m m trên vào a, kh i ng l i máy tính, m b o a CD là thi t b kh i ng u tiên. Ch ơ ng trình cài t trên a CD s t ng tìm c t p tin WINNT.SIF trên a m m và ti n hành cài t không c n theo dõi. 4.2 S d ng m t b ngu n cài t Windows 2003 Server Chép các t p tin ã t o trong b c trên vào th m c I386 ca ngu n cài t Windows 2003 Server . Chuy n vào th m c I386 . Tu theo h iu hành ang s d ng mà s d ng l nh WINNT.EXE ho c WINNT32.EXE theo cú pháp sau: WINNT /s:e:\i386 /u:unattend.txt ho c WINNT32 /s:e:\i386 /unattend:unattend.txt Nu ch ơ ng trình Setup Manager to ra t p tin Unatend.UDB do b n ã nh p vào danh sách tên các máy tính, và gi nh b n nh t tên máy tính này là server01 thì cú pháp l nh s nh sau: WINNT /s:e:\i386 /u:unattend.txt /udf:server01,unattend.udf 23
  24. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 BÀI 2 DOMAIN VÀ CÁC V N XÂY D NG DOMAIN Tóm t t Lý thuy t 4 ti t – Th c hành 8 ti t Bài t p Bài t p Mc tiêu Các m c chính bt bu c làm thêm Kt thúc bài h c này I. Các mô hình m ng trong môi Da vào bài t p Da vào bài t p cung cp h c viên ki n tr ng Microsoft. môn Qu n tr môn Qu n tr th c v h th ng Active II. Active Directory. Windows Server Windows Server Directory trên Windows III. Cài t và c u hình Active 2003. 2003. Server 2003, cách t Directory. ch c, nâng cp t o thành Domain Controller 24
  25. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 I. CÁC MÔ HÌNH MNG TRONG MÔI TR ƯNG MICROSOFT 1. Mô hình Workgroup Mô hình m ng workgroup còn g i là mô hình m ng peer-to-peer , là mô hình mà trong ó các máy tính có vai trò nh nhau c n i k t v i nhau. Các d li u và tài nguyên c l u tr phân tán t i các máy c c b , các máy t qu n lý tài nguyên c c b c a mình. Trong h th ng m ng không có máy tính chuyên cung c p d ch v và qu n lý h th ng m ng. Mô hình này ch phù h p v i các m ng nh , d i 10 máy tính và yêu c u b o m t không cao. ng th i trong mô hình m ng này các máy tính s d ng h iu hành h tr a ng i dùng l u tr thông tin ng i dùng trong m t t p tin SAM (Security Accounts Manager) ngay chính trên máy tính cc b . Thông tin này bao g m: username (tên ng nh p), fullname , password , description T t nhiên t p tin SAM này c mã hóa nh m tránh ng i dùng khác n c p m t kh u t n công vào máy tính. Do thông tin ng i dùng c l u tr c c b trên các máy tr m nên vi c ch ng th c ng i dùng ng nh p máy tính c ng do các máy tính này t ch ng th c. 2. Mô hình Domain Khác v i mô hình Workgroup , mô hình Domain ho t ng theo c ơ ch client-server , trong h th ng mng ph i có ít nh t m t máy tính làm ch c n ng iu khi n vùng ( Domain Controller ), máy tính này s iu khi n toàn b ho t ng c a h th ng m ng. Vi c ch ng th c ng i dùng và qu n lý tài nguyên m ng c t p trung l i t i các Server trong mi n. Mô hình này c áp d ng cho các công ty va và l n. Trong mô hình Domain ca Windows Server 2003 thì các thông tin ng i dùng c t p trung l i do dch v Active Directory qu n lý và c l u tr trên máy tính iu khi n vùng ( domain controller ) vi tên t p tin là NTDS.DIT . T p tin c ơ s d li u này c xây d ng theo công ngh t ơ ng t nh ph n m m Access ca Microsoft nên nó có th l u tr hàng tri u ng i dùng, c i ti n h ơn so v i công ngh c ch l u tr c kho ng 5 nghìn tài kho n ng i dùng. Do các thông tin ng i dùng c l u tr t p trung nên vi c ch ng th c ng i dùng ng nh p vào m ng c ng t p trung và do máy iu khi n vùng ch ng th c. Hình 2.1 : Các b c ch ng th c khi ng i dùng ng nh p 25
  26. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 II. ACTIVE DIRECTORY 1. Gi i thi u Active Directory Có th so sánh Active Directory vi LANManager trên Windows NT 4.0 . V c n b n, Active Directory là m t c ơ s d li u c a các tài nguyên trên m ng (còn g i là i t ng) c ng nh các thông tin liên quan n các i t ng ó. Tuy v y, Active Directory không ph i là m t khái ni m m i bi Novell ã s d ng d ch v th m c ( directory service ) trong nhi u n m r i. Mc dù Windows NT 4.0 là m t h iu hành m ng khá t t, nh ng h iu hành này l i không thích hp trong các h th ng m ng t m c xí nghi p. i v i các h th ng m ng nh , công c Network Neighboorhood khá ti n d ng, nh ng khi dùng trong h th ng m ng l n, vi c duy t và tìm ki m trên mng s là m t ác m ng (và càng t h ơn n u b n không bi t chính xác tên c a máy in ho c Server ó là gì). H ơn n a, có th qu n lý c h th ng m ng l n nh v y, b n th ng ph i phân chia thành nhi u domain và thi t l p các m i quan h u quy n thích h p. Active Directory gi i quy t c các vn nh v y và cung c p m t m c ng d ng m i cho môi tr ng xí nghi p. Lúc này, d ch v th mc trong m i domain có th l u tr h ơn m i tri u i t ng, ph c v m i tri u ng i dùng trong m i domain . 2. Ch c n ng c a Active Directory - L u gi m t danh sách t p trung các tên tài kho n ng i dùng, m t kh u t ơ ng ng và các tài kho n máy tính. - Cung c p m t Server óng vai trò ch ng th c ( authentication server ) ho c Server qu n lý ng nh p ( logon Server ), Server này còn g i là domain controller (máy iu khi n vùng). - Duy trì m t b ng h ng d n ho c m t b ng ch m c ( index ) giúp các máy tính trong m ng có th dò tìm nhanh m t tài nguyên nào ó trên các máy tính khác trong vùng. - Cho phép chúng ta t o ra nh ng tài kho n ng i dùng v i nh ng m c quy n ( rights ) khác nhau nh : toàn quy n trên h th ng m ng, ch có quy n backup d li u hay shutdown Server t xa - Cho phép chúng ta chia nh mi n c a mình ra thành các mi n con ( subdomain ) hay các ơ n v t ch c OU (Organizational Unit ). Sau ó chúng ta có th y quy n cho các qu n tr viên b ph n qu n lý t ng b ph n nh . 3. Directory Services 3.1 Gi i thi u Directory Services Directory Services (d ch v danh b ) là h th ng thông tin ch a trong NTDS.DIT và các ch ơ ng trình qu n lý, khai thác t p tin này. D ch v danh b là m t d ch v c ơ s làm n n t ng hình thành mt h th ng Active Directory . M t h th ng v i nh ng tính n ng v t tr i c a Microsoft . 3.2 Các thành ph n trong Directory Services u tiên, b n ph i bi t c nh ng thành ph n c u t o nên d ch v danh b là gì? B n có th so sánh dch v danh b v i m t quy n s l u s in tho i. C hai u ch a danh sách c a nhi u i t ng khác nhau c ng nh các thông tin và thu c tính liên quan n các i t ng ó. a. Object (i t ng) 26
  27. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Trong h th ng c ơ s d li u, i t ng bao g m các máy in, ng i dùng m ng, các server, các máy tr m, các th m c dùng chung, d ch v m ng, i t ng chính là thành t c n b n nh t c a d ch v danh b . b. Attribute (thu c tính) Mt thu c tính mô t m t i t ng. Ví d , m t kh u và tên là thu c tính c a i t ng ng i dùng mng. Các i t ng khác nhau có danh sách thu c tính khác nhau, tuy nhiên, các i t ng khác nhau c ng có th có m t s thu c tính gi ng nhau. L y ví d nh m t máy in và m t máy tr m c hai u có m t thu c tính là a ch IP . c. Schema (c u trúc t ch c) Mt schema nh ngh a danh sách các thu c tính dùng mô t m t lo i i t ng nào ó. Ví d , cho rng t t c các i t ng máy in u c nh ngh a b ng các thu c tính tên, lo i PDL và t c . Danh sách các i t ng này hình thành nên schema cho l p i t ng “máy in”. Schema có c tính là tu bin c, ngh a là các thu c tính dùng nh ngh a m t l p i t ng có th s a i c. Nói tóm l i Schema có th xem là m t danh b c a cái danh b Active Directory . d. Container (v t ch a) Vt ch a t ơ ng t v i khái ni m th m c trong Windows . M t th m c có th ch a các t p tin và các th m c khác. Trong Active Directory , m t v t ch a có th ch a các i t ng và các v t ch a khác. Vt ch a c ng có các thu c tính nh i t ng m c dù v t ch a không th hi n m t th c th th t s nào ó nh i t ng. Có ba lo i v t ch a là: - Domain : khái ni m này c trình bày chi ti t ph n sau. - Site : m t site là m t v trí. Site c dùng phân bi t gi a các v trí c c b và các v trí xa xôi. Ví d, công ty XYZ có t ng hành dinh t San Fransisco , m t chi nhánh t Denver và m t v n phòng i di n t Portland kt n i v t ng hành dinh b ng Dialup Networking . Nh v y h th ng m ng này có ba site . - OU (Organizational Unit): là m t lo i v t ch a mà b n có th a vào ó ng i dùng, nhóm, máy tính và nh ng OU khác. M t OU không th ch a các i t ng n m trong domain khác. Nh vi c mt OU có th ch a các OU khác, b n có th xây d ng m t mô hình th b c c a các v t ch a mô hình hoá c u trúc c a m t t ch c bên trong m t domain. B n nên s d ng OU gi m thi u s lng domain c n ph i thi t l p trên h th ng. e. Global Catalog - D ch v Global Catalog dùng xác nh v trí c a m t i t ng mà ng i dùng c c p quy n truy c p. Vi c tìm ki m c th c hi n xa h ơn nh ng gì ã có trong Windows NT và không ch có th nh v c i t ng b ng tên mà có th b ng c nh ng thu c tính c a i t ng. - Gi s b n ph i in m t tài li u dày 50 trang thành 1000 b n, ch c ch n b n s không dùng m t máy in HP Laserjet 4L . B n s ph i tìm m t máy in chuyên d ng, in v i t c 100ppm và có kh nng óng tài li u thành quy n. Nh Global Catalog , b n tìm ki m trên m ng m t máy in v i các thu c tính nh v y và tìm th y c m t máy Xerox Docutech 6135 . B n có th cài t driver cho máy in ó và g i print job n máy in. Nhng n u b n Portland và máy in thì Seattle thì sao? Global Catalog s cung c p thông tin này và b n có th g i email cho ch nhân c a máy in, nh h in giùm. 27
  28. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 - M t ví d khác, gi s b n nh n c m t th tho i t m t ng i tên Betty Doe b ph n k toán. on th tho i c a cô ta b c t xén và b n không th bi t c s in tho i c a cô ta. B n có th dùng Global Catalog tìm thông tin v cô ta nh tên, và nh ó b n có c s in tho i c a cô ta. - Khi m t i t ng c t o m i trong Active Directory , i t ng c gán m t con s phân bi t gi là GUID (Global Unique Identifier ). GUID ca m t i t ng luôn luôn c nh cho dù b n có di chuy n i t ng i n khu v c khác. 4. Ki n trúc c a Active Directory Hình 2.2 : Ki n trúc Active Directory 4.1 Objects Tr c khi tìm hi u khái ni m Object , chúng ta ph i tìm hi u tr c hai khái ni m Object classes và Attributes . Object classes là m t b n thi t k m u hay m t khuôn m u cho các lo i i t ng mà bn có th t o ra trong Active Directory . Có ba lo i object classes thông d ng là: User, Computer, Printer . Khái ni m th hai là Attributes , nó c nh ngh a là t p các giá tr phù h p và c k t hp v i m t i t ng c th . Nh v y Object là m t i t ng duy nh t c nh ngh a b i các giá tr c gán cho các thu c tính c a object classes . Ví d hình sau minh h a hai i t ng là: máy in ColorPrinter1 và ng i dùng KimYoshida . 28
  29. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 4.2 Organizational Units Organizational Unit hay OU là ơ n v nh nh t trong h th ng AD , nó c xem là m t v t ch a các i t ng ( Object ) c dùng s p x p các i t ng khác nhau ph c v cho m c ích qu n tr c a bn. OU cng c thi t l p d a trên subnet IP và c nh ngh a là “m t ho c nhi u subnet kt n i tt v i nhau”. Vi c s d ng OU có hai công d ng chính sau: - Trao quy n ki m soát m t t p h p các tài kho n ng i dùng, máy tính hay các thi t b m ng cho mt nhóm ng i hay m t ph tá qu n tr viên nào ó (sub-administrator), t ó gi m b t công tác qu n tr cho ng i qu n tr toàn b h th ng. - Ki m soát và khóa b t m t s ch c n ng trên các máy tr m c a ng i dùng trong OU thông qua vi c s d ng các i t ng chính sách nhóm ( GPO ), các chính sách nhóm này chúng ta s tìm hi u các ch ơ ng sau. 4.3 Domain Domain là ơ n v ch c n ng nòng c t c a c u trúc logic Active Directory . Nó là ph ơ ng ti n qui nh m t t p h p nh ng ng i dùng, máy tính, tài nguyên chia s có nh ng qui t c b o m t gi ng nhau t ó giúp cho vi c qu n lý các truy c p vào các Server d dàng h ơn. Domain áp ng ba ch c nng chính sau: - óng vai trò nh m t khu v c qu n tr ( administrative boundary ) các i t ng, là m t t p h p các nh ngh a qu n tr cho các i t ng chia s nh : có chung m t c ơ s d li u th m c, các chính sách b o m t, các quan h y quy n v i các domain khác. 29
  30. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 - Giúp chúng ta qu n lý b o m t các các tài nguyên chia s . - Cung c p các Server d phòng làm ch c n ng iu khi n vùng ( domain controller ), ng th i m bo các thông tin trên các Server này c c ng b v i nhau. 30
  31. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 4.4 Domain Tree Domain Tree là c u trúc bao g m nhi u domain c s p x p có c p b c theo c u trúc hình cây. Domain to ra u tiên c g i là domain root và n m g c c a cây th m c. T t c các domain to ra sau s n m bên d i domain root và c g i là domain con ( child domain ). Tên c a các domain con ph i khác bi t nhau. Khi m t domain root và ít nh t m t domain con c t o ra thì hình thành m t cây domain . Khái ni m này b n s th ng nghe th y khi làm vi c v i m t d ch v th mc. Bn có th th y c u trúc s có hình dáng c a mt cây khi có nhi u nhánh xu t hi n. 4.5 Forest Forest (r ng) c xây d ng trên m t ho c nhi u Domain Tree , nói cách khác Forest là t p h p các Domain Tree có thi t l p quan h và y quy n cho nhau. Ví d gi s m t công ty nào ó, ch ng h n nh Microsoft , thu mua m t công ty khác. Thông th ng, m i công ty u có m t h th ng Domain Tree riêng và ti n qu n lý, các cây này s c h p nh t v i nhau b ng m t khái ni m là r ng. Trong ví d trên, công ty mcmcse .com thu mua c techtutorials .com và xyzabc .com và hình thành rng t g c mcmcse .com . 31
  32. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 III. CÀI T VÀ C U HÌNH ACTIVE DIRECTORY 1. Nâng c p Server thành Domain Controller 1.1 Gi i thi u Mt khái ni m không thay i t Windows NT 4.0 là domain . M t domain vn còn là trung tâm c a mng Windows 2000 và Windows 2003 , tuy nhiên l i c thi t l p khác i. Các máy iu khi n vùng (domain controller – DC ) không còn phân bi t là PDC (Primary Domain Controller) ho c là BDC (Backup Domain Controller) . Bây gi , ơn gi n ch còn là DC . Theo m c nh, tt c các máy Windows Server 2003 khi m i cài t u là Server c l p ( standalone server ). Ch ơ ng trình DCPROMO chính là Active Directory Installation Wizard và c dùng nâng c p m t máy không ph i là DC (Server Stand-alone ) thành m t máy DC và ng c l i giáng c p m t máy DC thành m t Server bình th ng. Chú ý i v i Windows Server 2003 thì b n có th i tên máy tính khi ã nâng cp thành DC . Tr c khi nâng c p Server thành Domain Controller , b n c n khai báo y các thông s TCP/IP , c bi t là ph i khai báo DNS Server có a ch chính là a ch IP c a Server cn nâng c p. N u b n có kh n ng c u hình d ch v DNS thì b n nên cài t d ch v này tr c khi nâng c p Server , còn ng c l i thì b n ch n cài t DNS t ng trong quá trình nâng c p. Có hai cách b n ch y ch ơ ng trình Active Directory Installation Wizard : b n dùng ti n ích Manage Your Server trong Administrative Tools ho c nh p chu t vào Start \ Run , gõ l nh DCPROMO . 1.2 Các b ưc cài t Ch n menu Start \ Run , nh p DCPROMO trong h p tho i Run , và nh n nút OK . Khi ó h p tho i Active Directory Installation Wizard xu t hi n. B n nh n Next ti p t c. 32
  33. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Ch ơ ng trình xu t hi n h p tho i c nh báo: DOS, Windows 95 và WinNT SP3 tr v tr c s b lo i ra kh i mi n Active Directory da trên Windows Server 2003 . B n ch n Next ti p t c. Trong h p tho i Domain Controller Type , ch n m c Domain Controller for a New Domain và nh n ch n Next . (N u b n mu n b sung máy iu khi n vùng vào m t domain có s n, b n s ch n Additional domain cotroller for an existing domain .) 33
  34. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 n ây ch ơ ng trình cho phép b n ch n m t trong ba l a ch n sau: ch n Domain in new forest nu bn mu n t o domain u tiên trong m t r ng m i, ch n Child domain in an existing domain tree nu b n mu n t o ra m t domain con d a trên m t cây domain có s n, ch n Domain tree in an existing forest nu b n mu n t o ra m t cây domain mi trong m t r ng ã có s n. 34
  35. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Hp tho i New Domain Name yêu c u b n tên DNS y c a domain mà b n c n xây d ng. Hp tho i NetBIOS Domain Name , yêu c u b n cho bi t tên domain theo chu n NetBIOS t ơ ng thích v i các máy Windows NT . Theo m c nh, tên Domain NetBIOS gi ng ph n u c a tên Full DNS , b n có th i sang tên khác ho c ch p nh n giá tr m c nh. Ch n Next ti p t c. Hp tho i Database and Log Locations cho phép b n ch nh v trí l u tr database Active Directory và các t p tin log . B n có th ch nh v trí khác ho c ch p nh n giá tr m c nh. Tuy 35
  36. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 nhiên theo khuy n cáo c a các nhà qu n tr m ng thì chúng ta nên t t p tin ch a thông tin giao d ch (transaction log ) m t a c ng v t lý khác v i a c ng ch a c ơ s d li u c a Active Directory nh m t ng hi u n ng c a h th ng. B n ch n Next ti p t c. Hp tho i Shared System Volume cho phép b n ch nh ví trí c a th m c SYSVOL . Th m c này ph i n m trên m t NTFS Volume . T t c d li u t trong th m c Sysvol này s c t ng sao chép sang các Domain Controller khác trong mi n. B n có th ch p nh n giá tr m c nh ho c ch nh ví trí khác, sau ó ch n Next tip t c. (N u partition không s d ng nh d ng NTFS , b n s th y m t thông báo l i yêu c u ph i i h th ng t p tin). 36
  37. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 DNS là d ch v phân gi i tên k t h p v i Active Directory phân gi i tên các máy tính trong mi n. Do ó h th ng Active Directory ho t ng c thì trong mi n ph i có ít nh t m t DNS Server phân gi i mi n mà chúng ta c n thi t l p. Theo úng lý thuy t thì chúng ta ph i cài t và c u hình dch v DNS hoàn ch nh tr c khi nâng c p Server , nh ng do hi n t i các b n ch a h c v d ch v này nên chúng ta ch p nh n cho h th ng t ng cài t d ch v này. Chúng ta s tìm hi u chi ti t dch v DNS bài sau. Trong h p tho i xu t hi n b n ch n l a ch n th hai h th ng t ng cài t và c u hình d ch v DNS . Trong h p tho i Permissions , b n ch n giá tr Permission Compatible with pre-Windows 2000 servers khi h th ng có các Server phiên b n tr c Windows 2000 , ho c ch n Permissions compatible only with Windows 2000 servers or Windows Server 2003 khi h th ng c a b n ch toàn các Server Windows 2000 và Windows Server 2003 . 37
  38. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Trong h p tho i Directory Services Restore Mode Administrator Password , b n s ch nh m t kh u dùng trong tr ng h p Server ph i kh i ng vào ch Directory Services Restore Mode . Nh n ch n Next ti p t c. Hp tho i Summary xu t hi n, trình bày t t c các thông tin b n ã ch n. N u t t c u chính xác, bn nh n Next b t u th c hi n quá trình cài t, n u có thông tin không chính xác thì b n ch n Back quay l i các b c tr c ó. 38
  39. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Hp tho i Configuring Active Directory cho b n bi t quá trình cài t ang th c hi n nh ng gì. Quá trình này s chi m nhi u th i gian. Ch ơ ng trình cài t c ng yêu c u b n cung c p ngu n cài t Windows Server 2003 ti n hành sao chép các t p tin n u tìm không th y. Sau khi quá trình cài t k t thúc, h p tho i Completing the Active Directory Installation Wizard xu t hi n. B n nh n ch n Finish k t thúc. Cu i cùng, b n c yêu c u ph i kh i ng l i máy thì các thông tin cài t m i b t u có hi u l c. Bn nhn ch n nút Restart Now kh i ng l i. Quá trình th ng c p k t thúc. 2. Gia nh p máy tr m vào Domain 2.1 Gi i thi u 39
  40. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Mt máy tr m gia nh p vào m t domain th c s là vi c t o ra m t m i quan h tin c y ( trust relationship ) gi a máy tr m ó v i các máy Domain Controller trong vùng. Sau khi ã thi t l p quan h tin c y thì vi c ch ng th c ng i dùng logon vào m ng trên máy tr m này s do các máy iu khi n vùng m nhi m. Nh ng chú ý vi c gia nh p m t máy tr m vào mi n ph i có s ng ý c a ng i qu n tr m ng c p mi n và qu n tr viên c c b trên máy tr m ó. Nói cách khác khi b n mu n gia nh p m t máy tr m vào mi n, b n ph i ng nh p c c b vào máy tr m v i vai trò là administrator , sau ó gia nh p vào mi n, h th ng s yêu c u b n xác th c b ng m t tài kho n ng i dùng c p mi n có quy n Add Workstation to Domain (b n có th dùng tr c ti p tài kho n administrator cp mi n). 2.2 Các b ưc cài t ng nh p c c b vào máy tr m v i vai trò ng i qu n tr (có th dùng tr c ti p tài kho n administrator ). Nh p ph i chu t trên bi u t ng My Computer, ch n Properties , h p tho i System Properties xu t hi n, trong Tab Computer Name , b n nh p chu t vào nút Change . H p tho i nh p li u xu t hi n b n nh p tên mi n c a m ng c n gia nh p vào m c Member of Domain . Máy tr m d a trên tên mi n mà b n ã khai báo tìm n Domain Controller gn nh t và xin gia nh p vào m ng, Server s yêu c u b n xác th c v i m t tài kho n ng i dùng c p mi n có quy n qu n tr . 40
  41. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Sau khi xác th c chính xác và h th ng ch p nh n máy tr m này gia nh p vào mi n thì h th ng xu t hi n thông báo thành công và yêu c u b n reboot máy l i ng nh p vào m ng. n ây, b n th y hp tho i Log on to Windows mà b n dùng m i ngày có vài iu khác, ó là xu t hi n thêm m c Log on to , và cho phép b n ch n m t trong hai ph n là: NETCLASS , This Computer . Bn ch n m c NETCLASS khi b n mu n ng nh p vào mi n, nh r ng lúc này b n ph i dùng tài kho n ng i dùng c p mi n. B n ch n m c This Computer khi b n mu n logon cc b vào máy tr m nào và nh dùng tài kho n c c b c a máy. 3. Xây d ng các Domain Controller ng hành 3.1 Gi i thi u Domain Controller là máy tính iu khi n m i ho t ng c a m ng n u máy này có s c thì toàn b h th ng m ng b tê li t. Do tính n ng quan tr ng này nên trong m t h th ng m ng thông th ng chúng ta ph i xây d ng ít nh t hai máy tính Domain Controller . Nh ã trình bày trên thì Windows Server 2003 không còn phân bi t máy Primary Domain Controller và Backup Domain Controller na, mà nó xem hai máy này có vai trò ngang nhau, cùng nhau tham gia ch ng th c ng i dùng. Nh chúng ta ã bi t, công vi c ch ng th c ng nh p th ng c th c hi n vào u gi m i bu i làm vi c, n u m ng c a b n ch có m t máy iu khi n dùng và 10.000 nhân viên thì chuy n gì s x y ra vào m i bu i sáng? gi i quy t tr ng h p trên, Microsoft cho phép các máy iu khi n vùng trong mng cùng nhau ho t ng ông th i, chia s công vi c c a nhau, khi có m t máy b s c thì các máy còn l i m nhi m luôn công vi c máy này. Do ó trong tài li u này chúng tôi g i các máy này là các máy iu khi n vùng ng hành. Nh ng khi kh o sát sâu v Active Directory thì máy iu khi n vùng c t o u tiên v n có vai trò c bi t h ơn ó là FSMO (flexible single master of operations) . Chú ý m b o các máy iu khi n vùng này ho t ng chính xác thì chúng ph i liên l c và trao i thông tin v i nhau khi có các thay i v thông tin ng i dùng nh : t o m i tài kho n, i m t kh u, xóa tài kho n. Vi c trao i thông tin này g i là Active Directory Replication . c bi t các server Active Directory cho phép nén d li u tr c khi g i n các server khác, t l nén n 10:1 , o ó chúng có th truy n trên các ng truy n WAN ch m ch p. 41
  42. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Trong h th ng m ng máy tính c a chúng ta n u t t c các máy iu khi n vùng u là Windows Server 2003 thì chúng ta nên chuy n mi n trong m ng này sang c p ho t ng Windows Server 2003 (Windows Server 2003 functional level ) khai thác h t các tính n ng m i c a Active Directory . 3.2 Các b ưc cài t Ch n menu Start \ Run , nh p DCPROMO trong h p tho i Run , và nh n nút OK. Khi ó h p tho i Active Directory Installation Wizard xu t hi n. B n nh n Next ti p t c. Ch ơ ng trình xu t hi n h p tho i c nh báo: DOS, Windows 95 và WinNT SP3 tr v tr c s b lo i ra kh i mi n Active Directory da trên Windows Server 2003 . B n ch n Next ti p t c. 42
  43. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Trong h p tho i Domain Controller Type , ch n m c Additional domain cotroller for an existing domain và nh n ch n Next , vì chúng ta mu n b sung thêm máy iu khi n vùng vào m t domain có sn. Tip theo h th ng yêu c u b n xác th c b n ph i ng i qu n tr c p mi n thì m i có quy n t o các Domain Controller . B n nh p tài kho n ng i dùng có quy n qu n tr vào h p tho i này. 43
  44. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Ch ơ ng trình yêu c u b n nh p Full DNS Name ca mi n mà b n c n t o thêm Domain Controller . Tơ ng t nh quá trình nâng c p Server thành Domain Controller ã trình bày trên, các b c ti p theo chúng ta ch nh th m c ch a c ơ s d li u c a Active Directory , Transaction Log và th mc Sysvol . Hp tho i Summary xu t hi n, trình bày t t c các thông tin b n ã ch n. N u t t c u chính xác, bn nh n Next b t u th c hi n quá trình cài t, n u có thông tin không chính xác thì b n ch n Back quay l i các b c tr c ó. 44
  45. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 n ây h th ng s xây d ng m t Domain Controller mi và ng b d li u Active Directory gi a hai Domain Controller này. Sau khi quá trình cài t k t thúc, h p tho i Completing the Active Directory Installation Wizard xu t hi n. B n nh n ch n Finish k t thúc. Cu i cùng, b n c yêu c u ph i kh i ng l i máy thì các thông tin cài t m i b t u có hi u l c. Bn nh n ch n nút Restart Now kh i ng l i. Quá trình xây d ng thêm m t Domain Controller ng hành ã hoàn t t. 4. Xây d ng Subdomain Sau khi b n ã xây d ng Domain Controller u tiên qu n lý mi n, lúc y Domain Controller này là mt g c c a r ng ho c Domain Tree u tiên, t ây b n có th t o thêm các subdomain cho h th ng. t o thêm m t Domain Controller cho m t subdomain bn làm các b c sau: 45
  46. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Ti member server , b n c ng ch y ch ơ ng trình Active Directory Installation Wizard , các b c u bn c ng ch n t ơ ng t nh ph n nâng c p phía trên. Trong h p tho i Domain Controller Type , ch n m c Domain Controller for a New Domain và nh n ch n Next . (N u b n mu n b sung máy iu khi n vùng vào m t domain có s n, b n s ch n Additional domain cotroller for an existing domain .) n ây ch ơ ng trình cho phép b n ch n m t trong ba l a ch n sau: ch n Domain in new forest nu bn mu n t o domain u tiên trong m t r ng m i, ch n Child domain in an existing domain tree nu b n mu n t o ra m t domain con d a trên m t cây domain có s n, ch n Domain tree in an existing forest nu b n mu n t o ra m t cây domain mi trong m t r ng ã có s n. Trong tr ng hp này b n c n t o m t Domain Controller cho m t Child domain, nên b n ánh d u vào m c l a ch n th hai. 46
  47. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 t o m t child domain trong m t domain tree có s n, h th ng yêu c u b n ph i xác nh n b n là ng i qu n tr c p domain tree . Trong h p tho i này b n nh p tài kho n và m t kh u c a ng i qu n tr c p r ng và tên c a domain tree hi n t i. Ti p theo b n nh p tên c a domain tree hi n ang có và tên c a child domain cn t o. Các quá trình ti p theo t ơ ng t nh quá trình t o Domain Controller ca ph n trên. Cu i cùng b n có th ki m tra cây DNS ca h th ng trên Server qu n lý g c r ng có t o thêm m t child domain không, ng th i b n có th c u hình thêm d ch v DNS nh m ph c v t t h ơn cho h th ng. 47
  48. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 5. Xây d ng Organizational Unit Nh ã trình bày ph n lý thuy t thì OU là m t nhóm tài kho n ng i dùng, máy tính và tài nguyên mng c t o ra nh m m c ích d dàng qu n lý h ơn và y quy n cho các qu n tr viên a ph ơ ng gi i quy t các công vi c ơn gi n. c bi t h ơn là thông qua OU chúng ta có th áp t các gi i h n ph n m m và gi i h n ph n c ng thông qua các Group Policy . Mu n xây d ng m t OU bn làm theo các b c sau: Ch n menu Start \ Programs \ Administrative Tools \ Active Directory User and Computer , m ch ơ ng trình Active Directory User and Computer . Ch ơ ng trình m ra, b n nh p ph i chu t trên tên mi n và ch n New-Organizational Unit . 48
  49. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Hp tho i xu t hi n, yêu c u chúng ta nh p tên OU cn t o, trong ví d này OU cn t o có tên là HocVien . a các máy tr m ã gia nh p nh p m ng c n qu n lý vào OU va t o. Ti p theo b n a các tài kho n ng i dùng c n qu n lý vào OU va t o. 49
  50. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Sau khi ã a các máy tính và tài kho n ng i dùng vào OU , b c ti p theo là b n ch ra ng i nào ho c nhóm nào s qu n lý OU này. B n nh p ph i chu t vào OU va t o, ch n Properties , h p tho i xu t hi n, trong Tab Managed By , b n nh p chu t vào nút Change ch n ng i dùng qu n lý OU này, trong ví d này chúng ta ch n tài kho n Thanh qu n lý OU . 50
  51. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Bc cu i cùng này r t quan tr ng, chúng ta s tìm hi u chi ti t ch ơ ng Group Policy , ó là thi t lp các Group Policy áp d ng cho OU này. B n vào Tab Group Policy , nh p chu t vào nút New to m i m t GPO , sau ó nh p chu t vào nút Edit hi u ch nh chính sách. Trong ví d này chúng ta to m t chính sách c m không cho phép dùng a CD-ROM áp d ng cho t t c các ng i dùng trong OU . 6. Công c qu n tr các i t ưng trong Active Directory Mt trong b n công c qu n tr h th ng Active Directory thì công c Active Directory User and Computer là công c quan tr ng nh t và chúng ta s gp l i nhi u trong trong giáo trình này, t ng bc ta s kh o sát h t các tính n ng trong công c này. Công c này có ch c n ng t o và qu n lý các i t ng c ơ b n c a h th ng Active Directory . Theo hình trên chúng ta th y trong mi n netclass.edu.vn có các m c sau: - Builtin : ch a các nhóm ng i dùng ã c t o và nh ngh a quy n s n. 51
  52. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 - Computers : ch a các máy tr m m c nh ang là thành viên c a mi n. B n c ng có th dùng tính nng này ki m tra m t máy tr m gia nh p vào mi n có thành công không. - Domain Controllers : ch a các iu khi n vùng ( Domain Controller ) hi n ang ho t ng trong mi n. B n c ng có th dùng tính n ng này ki m tra vi c t o thêm Domain Controller ng hành có thành công không. - ForeignSecurityPrincipals : là m t v t ch a m c nh dành cho các i t ng bên ngoài mi n ang xem xét, t các mi n ã thi t l p quan h tin c y ( trusted domain ). - Users : ch a các tài kho n ng i dùng m c nh trên mi n. 52
  53. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 BÀI 3 QU N LÝ TÀI KHO N NG ƯI DÙNG VÀ NHÓM Tóm t t Lý thuy t 4 ti t – Th c hành 10 ti t Bài t p Bài t p Mc tiêu Các m c chính bt bu c làm thêm Kt thúc bài h c này cung I. nh ngh a tài kho n ng i dùng và Da vào bài t p Da vào bài cp h c viên ki n th c v tài kho n nhóm. môn Qu n tr tp môn tài kho n ng i dùng, II. Ch ng th c và ki m soát truy c p. Windows Qu n tr nhóm, các thu c tính c a III. Các tài kho n t o s n. Server 2003. Windows tài kho n ng i dùng, các IV. Qu n lý tài kho n ng i dùng và Server 2003. nhóm t o s n nhóm c c b . V. Qu n lý tài kho n ng i dùng và nhóm trên Active Directory. Mc tiêu Các m c chính Bài t p b t Bài t p làm bu c thêm 53
  54. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 I. NH NGH A TÀI KHO N NG ƯI DÙNG VÀ TÀI KHO N NHÓM 1. Tài kho n ng ưi dùng Tài kho n ng i dùng ( user account ) là m t i t ng quan tr ng i di n cho ng i dùng trên mng, chúng c phân bi t v i nhau thông qua chu i nh n d ng username . Chu i nh n d ng này giúp h th ng m ng phân bi t gi a ng i này và ng i khác trên m ng t ó ng i dùng có th ng nh p vào mng và truy c p các tài nguyên m ng mà mình c phép. 1.1 Tài kho n ng ưi dùng c c b Tài kho n ng i dùng c c b ( local user account ) là tài kho n ng i dùng c nh ngh a trên máy cc b và ch c phép logon , truy c p các tài nguyên trên máy tính c c b . N u mu n truy c p các tài nguyên trên m ng thì ng i dùng này ph i ch ng th c l i v i máy domain controller ho c máy tính ch a tài nguyên chia s . B n t o tài kho n ng i dùng c c b v i công c Local Users and Group trong Computer Management (COMPMGMT.MSC) . Các tài kho n c c b t o ra trên máy stand-alone server , member server ho c các máy tr m u c l u tr trong t p tin c ơ s d li u SAM (Security Accounts Manager ). T p tin SAM này c t trong th m c \Windows\system32\config . 1.2 Tài kho n ng ưi dùng mi n Tài khon ng i dùng mi n ( domain user account ) là tài kho n ng i dùng c nh ngh a trên Active Directory và c phép ng nh p ( logon ) vào m ng trên b t k máy tr m nào thu c vùng. ng th i v i tài kho n này ng i dùng có th truy c p n các tài nguyên trên m ng. B n t o tài kho n ng i dùng mi n v i công c Active Directory Users and Computer (DSA.MSC) . Khác v i tài kho n ng i dùng c c b , tài kho n ng i dùng mi n không ch a trong các t p tin c ơ s d li u SAM mà ch a trong t p tin NTDS.DIT , theo m c nh thì t p tin này ch a trong th m c \Windows\NTDS . 54
  55. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 1.3 Yêu c u v tài kho n ng ưi dùng - M i username ph i t 1 n 20 ký t (trên Windows Server 2003 thì tên ng nh p có th dài n 104 ký t , tuy nhiên khi ng nh p t các máy cài h iu hành Windows NT 4.0 v tr c thì mc nh ch hi u 20 ký t ). - M i username là chu i duy nh t c a m i ng i dùng có ngh a là t t c tên c a ng i dùng và nhóm không c trùng nhau. - Username không ch a các ký t sau: “ / \ [ ] : ; | = , + * ? - Trong m t username có th ch a các ký t c bi t bao g m: d u ch m câu, kho ng tr ng, d u gch ngang, d u g ch d i. Tuy nhiên, nên tránh các kho ng tr ng vì nh ng tên nh th ph i t trong du ngo c khi dùng các k ch b n hay dòng l nh. 2. Tài kho n nhóm Tài kho n nhóm ( group account ) là m t i t ng i di n cho m t nhóm ng i nào ó, dùng cho vi c qu n lý chung các i t ng ng i dùng. Vi c phân b các ng i dùng vào nhóm giúp chúng ta d dàng c p quy n trên các tài nguyên m ng nh th m c chia s , máy in. Chú ý là tài kho n ng i dùng có th ng nh p vào m ng nh ng tài kho n nhóm không c phép ng nh p mà ch dùng qu n lý. Tài kho n nhóm c chia làm hai lo i: nhóm b o m t ( security group ) và nhóm phân ph i (distribution group ). 2.1 Nhóm b o m t Nhóm b o mt là lo i nhóm c dùng c p phát các quy n h th ng ( rights ) và quy n truy c p (permission ). Gi ng nh các tài kho n ng i dùng, các nhóm b o m t u c ch nh các SID . Có ba lo i nhóm b o m t chính là: local , global và universal . Tuy nhiên n u chúng ta kh o sát k thì có th phân thành b n lo i nh sau: local, domain local, global và universal . Local group (nhóm c c b ) là lo i nhóm có trên các máy stand-alone Server, member server, Win2K Pro hay WinXP . Các nhóm c c b này ch có ý ngh a và ph m vi ho t ng ngay t i trên máy ch a nó thôi. 55
  56. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Domain local group (nhóm c c b mi n) là lo i nhóm c c b c bi t vì chúng là local group nh ng nm trên máy Domain Controller . Các máy Domain Controller có m t c ơ s d li u Active Directory chung và c sao chép ng b v i nhau do ó m t local group trên m t Domain Controller này thì c ng s có m t trên các Domain Controller anh em c a nó, nh v y local group này có m t trên mi n nên c g i v i cái tên nhóm c c b mi n. Các nhóm trong m c Built-in ca Active Directory là các domain local . Global group (nhóm toàn c c hay nhóm toàn m ng) là lo i nhóm n m trong Active Directory và c to trên các Domain Controller . Chúng dùng c p phát nh ng quy n h th ng và quy n truy cp vt qua nh ng ranh gi i c a m t mi n. M t nhóm global có th t vào trong m t nhóm local ca các server thành viên trong mi n. Chú ý khi t o nhi u nhóm global thì có th làm t ng t i tr ng công vi c c a Global Catalog . Universal group (nhóm ph quát) là lo i nhóm có ch c n ng gi ng nh global group nh ng nó dùng c p quy n cho các i t ng trên kh p các mi n trong m t r ng và gi a các mi n có thi t l p quan h tin c y v i nhau. Lo i nhóm này ti n l i h ơn hai nhóm global group và local group vì chúng d dàng l ng các nhóm vào nhau. Nh ng chú ý là lo i nhóm này ch có th dùng c khi h th ng c a bn ph i ho t ng ch Windows 2000 native functional level ho c Windows Server 2003 functional level có ngh a là t t c các máy Domain Controller trong m ng u ph i là WindowsServer 2003 ho c Windows 2000 Server . 2.2 Nhóm phân ph i Nhóm phân ph i là m t lo i nhóm phi b o m t, không có SID và không xu t hi n trong các ACL (Access Control List) . Lo i nhóm này không c dùng b i các nhà qu n tr mà c dùng b i các ph n m m và d ch v . Chúng c dùng phân ph i th ( e-mail ) ho c các tin nh n ( message ). B n s g p l i lo i nhóm này khi làm vi c v i ph n m m MS Exchange . 2.3 Qui t c gia nh p nhóm - T t c các nhóm Domain local , Global , Universal u có th t vào trong nhóm Machine Local. - T t c các nhóm Domain local , Global , Universal u có th t vào trong chính lo i nhóm c a mình. - Nhóm Global và Universal có th t vào trong nhóm Domain local . - Nhóm Global có th t vào trong nhóm Universal . 56
  57. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 II. CHNG TH C VÀ KI M SOÁT TRUY C P 1. Các giao th c ch ng th c Ch ng th c trong Windows Server 2003 là quy trình g m hai giai on: ng nh p t ơ ng tác và ch ng th c m ng. Khi ng i dùng ng nh p vùng b ng tên và m t mã, quy trình ng nh p t ơ ng tác s phê chu n yêu c u truy c p ca ng i dùng. V i tài kho n c c b , thông tin ng nh p c ch ng th c c c b và ng i dùng c c p quy n truy c p máy tính c c b . V i tài kho n mi n, thông tin ng nh p c ch ng th c trên Active Directory và ng i dùng có quy n truy c p các tài nguyên trên m ng. Nh v y v i tài kho n ng i dùng mi n ta có th ch ng th c trên b t k máy tính nào trong mi n. Windows 2003 h tr nhi u giao th c ch ng th c m ng, n i b t nh t là: - Kerberos V5 : là giao th c chu n Internet dùng ch ng th c ng i dùng và h th ng. - NT LAN Manager (NTLM ): là giao th c ch ng th c chính c a Windows NT . - Secure Socket Layer/Transport Layer Security (SSL/TLS ): là c ơ ch ch ng th c chính c dùng khi truy c p vào máy ph c v Web an toàn. 2. S nh n di n b o m t SID Tuy h thng Windows Server 2003 da vào tài kho n ng i dùng ( user account ) mô t các quy n h th ng ( rights ) và quy n truy c p ( permission ) nh ng th c s bên trong h th ng m i tài kho n c c tr ng b i m t con s nh n d ng b o m t SID (Security Identifier). SID là thành ph n nh n d ng không trùng l p, c h th ng t o ra ng th i v i tài kho n và dùng riêng cho h th ng x lý, ng i dùng không quan tâm n các giá tr này. SID bao g m ph n SID vùng c ng thêm vi m t RID ca ng i dùng không trùng l p. SID có d ng chu n “ S-1-5-21-D1-D2-D3-RID ”, khi ó tt c các SID trong mi n u có cùng giá tr D1, D2, D3 , nh ng giá tr RID là khác nhau. Hai m c ích chính c a vi c h th ng s d ng SID là: - D dàng thay i tên tài kho n ng i dùng mà các quy n h th ng và quy n truy c p không thay i. - Khi xóa m t tài kho n thì SID ca tài kho n ó không còn giá tr n a, n u chúng ta có t o m t tài kho n m i cùng tên v i tài kho n v a xóa thì các quy n c c ng không s d ng c b i vì khi t o tài kho n m i thì giá tr SID ca tài kho n này là m t giá tr m i 3. Ki m soát hot ng truy c p c a i t ưng Active Directory là d ch v ho t ng d a trên các i t ng, có ngh a là ng i dùng, nhóm, máy tính, các tài nguyên m ng u c nh ngh a d i d ng i t ng và c ki m soát ho t ng truy cp d a vào b mô t b o m t ACE . Ch c n ng c a b mô t b o m t bao g m: - Li t kê ng i dùng và nhóm nào c c p quy n truy c p i t ng. - nh rõ quy n truy c p cho ng i dùng và nhóm. - Theo dõi các s ki n x y ra trên i t ng. - nh rõ quy n s h u c a i t ng. Các thông tin c a m t i t ng Active Directory trong b mô t b o m t c xem là m c ki m soát ho t ng truy c p ACE (Access Control Entry ). M t ACL (Access Control List) ch a nhi u ACE , nó là danh sách t t c ng i dùng và nhóm có quy n truy c p n i t ng. ACL có c tính k th a, có ngh a là thành viên c a m t nhóm thì c th a h ng các quy n truy c p ã c p cho nhóm này. 57
  58. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 III. CÁC TÀI KHO N T O S N 1. Tài kho n ng ưi dùng t o s n Tài kho n ng i dùng t o s n ( Built-in ) là nh ng tài kho n ng i dùng mà khi ta cài t Windows Server 2003 thì m c nh c t o ra. Tài kho n này là h th ng nên chúng ta không có quy n xóa i nh ng v n có quy n i tên (chú ý thao tác i tên trên nh ng tài kho n h th ng ph c t p m t chút so vi vi c i tên m t tài kho n bình th ng do nhà qu n tr t o ra). T t c các tài kho n ng i dùng to sn này u n m trong Container Users ca công c Active Directory User and Computer . Sau ây là b ng mô t các tài kho n ng i dùng c t o s n: Tên tài kho n Mô t Administrator là m t tài kho n c bi t, có toàn quy n trên máy tính hi n t i. B n có th t m t kh u cho tài kho n này trong lúc cài t Administrator Windows Server 2003 . Tài kho n này có th thi hành t t c các tác v nh t o tài kho n ng i dùng, nhóm, qu n lý các t p tin h th ng và c u hình máy in Tài kho n Guest cho phép ng i dùng truy c p vào các máy tính n u h không có m t tài kho n và m t mã riêng. M c nh là tài kho n này Guest không c s d ng, n u c s d ng thì thông th ng nó b gi i h n v quy n, ví d nh là ch c truy c p Internet ho c in n. Là tài kho n c bi t c dùng cho d ch v ILS . ILS h tr cho các ng dng in tho i có các c tính nh : caller ID , video conferencing , ILS_Anonymous_User conference calling , và faxing . Mu n s d ng ILS thì d ch v IIS ph i c cài t. Là tài kho n c bi t c dùng trong các truy c p gi u tên trong d ch IUSR_computername v IIS trên máy tính có cài IIS . Là tài kho n c bi t c dùng cho IIS kh i ng các ti n trình c a các IWAM_computername ng d ng trên máy có cài IIS . Là tài kho n c bi t c dùng cho d ch v trung tâm phân ph i khóa Krbtgt (Key Distribution Center ) TSInternetUser Là tài kho n c bi t c dùng cho Terminal Services . 2. Tài kho n nhóm Domain Local t o s n Nh ng chúng ta ã th y trong công c Active Directory User and Computers , container Users ch a nhóm universal , nhóm domain local và nhóm global là do h th ng ã m c nh quy nh tr c. Nh ng m t s nhóm domain local c bi t c t trong container Built-in , các nhóm này không c di chuy n sang các OU khác, ng th i nó c ng c gán m t s quy n c nh tr c nh m ph c v cho công tác qu n tr . B n c ng chú ý r ng là không có quy n xóa các nhóm c bi t này. 58
  59. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Tên nhóm Mô t Nhóm này m c nh c n nh s n t t c các quy n h n cho nên thành viên c a nhóm này có toàn quy n trên h th ng m ng. Nhóm Domain Administrators Admins và Enterprise Admins là thành viên m c nh c a nhóm Administrators . Thành viên c a nhóm này có th thêm, xóa, s a c các tài kho n ng i Account Operators dùng, tài kho n máy và tài kho n nhóm. Tuy nhiên h không có quy n xóa, sa các nhóm trong container Built-in và OU . Nhóm này ch có trên các Domain Controller và m c nh không có thành Domain Controllers viên nào, thành viên c a nhóm có th ng nh p c c b vào các Domain Controller nh ng không có quy n qu n tr các chính sách b o m t. Thành viên c a nhóm này có quy n l u tr d phòng ( Backup ) và ph c h i (Retore ) h th ng t p tin. Trong tr ng h p h th ng t p tin là NTFS và h Backup Operators không c gán quy n trên h th ng t p tin thì thành viên c a nhóm này ch có th truy c p h th ng t p tin thông qua công c Backup . N u mu n truy cp tr c ti p thì h ph i c gán quy n. Là nhóm b h n ch quy n truy c p các tài nguyên trên m ng. Các thành Guests viên nhóm này là ng i dùng vãng lai không ph i là thành viên c a m ng. Mc nh các tài kho n Guest b khóa Thành viên c a nhóm này có quy n t o ra, qu n lý và xóa b các i t ng Print Operator máy in dùng chung trong Active Directory. Thành viên c a nhóm này có th qu n tr các máy server trong mi n nh : cài Server Operators t, qu n lý máy in, t o và qu n lý th m c dùng chung, backup d li u, nh d ng a, thay i gi Mc nh m i ng i dùng c t o u thu c nhóm này, nhóm này có Users quy n t i thi u c a m t ng i dùng nên vi c truy c p r t h n ch . Nhóm này c dùng h tr vi c sao chép danh b trong Directory Replicator Services , nhóm này không có thành viên m c nh. Incoming Forest Thành viên nhóm này có th t o ra các quan h tin c y h ng n, m t chi u Trust Builders vào các r ng. Nhóm này không có thành viên m c nh. Network Thành viên nhóm này có quy n s a i các thông s TCP/IP trên các máy Configuration Domain Controller trong mi n. Operators Pre-Windows 2000 Nhóm này có quy n truy c p n t t c các tài kho n ng i dùng và tài Compatible Access kho n nhóm trong mi n, nh m h tr cho các h th ng WinNT c. 59
  60. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Tên nhóm Mô t Remote Thành viên nhóm này có th ng nh p t xa vào các Domain Controller Desktop User trong mi n, nhóm này không có thành viên m c nh. Thành viên nhóm này có quy n truy c p t xa ghi nh n l i nh ng giá tr Performace Log Users v hi u n ng c a các máy Domain Controller , nhóm này c ng không có thành viên m c nh. Performace Monitor Users Thành viên nhóm này có kh n ng giám sát t xa các máy Domain Controller . Ngoài ra còn m t s nhóm khác nh DHCP Users, DHCP Administrators, DNS Administrators các nhóm này ph c v ch y u cho các d ch v , chúng ta s tìm hi u c th trong t ng d ch v các bài sau. Chú ý theo m c nh hai nhóm Domain Computers và Domain Controllers c dành riêng cho tài kho n máy tính, nh ng b n v n có th a tài kho n ng i dùng vào hai nhóm này. 3. Tài kho n nhóm Global t o s n Tên nhóm Mô t Thành viên c a nhóm này có th toàn quy n qu n tr các máy tính trong Domain Admins mi n vì m c nh khi gia nh p vào mi n các member server và các máy tr m ( Win2K Pro, WinXP ) ã a nhóm Domain Admins là thành viên ca nhóm c c b Administrators trên các máy này. Theo m c nh m i tài kho n ng i dùng trên mi n u là thành viên c a Domain Users nhóm này. M c nh nhóm này là thành viên c a nhóm c c b Users trên các máy server thành viên và máy tr m. Group Policy Thành viên nhóm này có quy n s a i chính sách nhóm c a mi n, theo m c Creator Owners nh tài kho n administrator mi n là thành viên c a nhóm này. ây là m t nhóm universal , thành viên c a nhóm này có toàn quy n trên t t c các mi n trong r ng ang xét. Nhóm này ch xu t hi n trong mi n g c c a Enterprise Admins rng thôi. M c nh nhóm này là thành viên c a nhóm administrators trên các Domain Controller trong r ng. Nhóm universal này c ng ch xu t hi n trong mi n g c c a r ng, thành viên Schema Admins ca nhóm này có th ch nh s a c u trúc t ch c ( schema ) c a Active Directory . 4. Các nhóm t o s n c bi t Ngoài các nhóm t o s n ã trình bày trên, h th ng Windows Server 2003 còn có m t s nhóm t o sn t bi t, chúng không xu t hi n trên c a s c a công c Active Directory User and Computer , mà chúng ch xu t hi n trên các ACL ca các tài nguyên và i t ng. Ý ngh a c a nhóm c bi t này là: 60
  61. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 - Interactive : i di n cho nh ng ng i dùng ang s d ng máy t i ch . - Network : i di n cho t t c nh ng ng i dùng ang n i k t m ng n m t máy tính khác. - Everyone : i di n cho t t c m i ng i dùng. - System : i di n cho h iu hành. - Creator owner : i di n cho nh ng ng i t o ra, nh ng ng i s h u m t tài nguyên nào ó nh : th m c, t p tin, tác v in n ( print job ) - Authenticated users : i di n cho nh ng ng i dùng ã c h th ng xác th c, nhóm này c dùng nh m t gi i pháp thay th an toàn h ơn cho nhóm everyone . - Anonymous logon : i di n cho m t ng i dùng ã ng nh p vào h th ng m t cách n c danh, ch ng h n m t ng i s d ng d ch v FTP . - Service : i di n cho m t tài kho n mà ã ng nh p v i t cách nh m t d ch v . - Dialup : i di n cho nh ng ng i ang truy c p h th ng thông qua Dial-up Networking . IV. QU N LÝ TÀI KHO N NG ƯI DÙNG VÀ NHÓM C C B 1. Công c qu n lý tài kho n ng ưi dùng c c b Mu n t ch c và qu n lý ng i dùng c c b , ta dùng công c Local Users and Groups . V i công c này b n có th t o, xóa, s a các tài kho n ng i dùng, c ng nh thay i m t mã. Có hai ph ơ ng th c truy c p n công c Local Users and Groups : - Dùng nh m t MMC (Microsoft Management Console ) snap-in. - Dùng thông qua công c Computer Management. Các b c dùng chèn Local Users and Groups snap-in vào trong MMC : - Ch n Start \ Run , nh p vào h p thoi MMC và n phím Enter m c a s MMC . - Ch n Console \ Add/Remove Snap-in m h p tho i Add/Remove Snap-in . - Nh p chu t vào nút Add m h p tho i Add Standalone Snap-in . - Ch n Local Users and Groups và nh p chu t vào nút Add . - Hp tho i Choose Targe t Machine xu t hi n, ta ch n Local Computer và nh p chu t vào nút Finish tr l i h p tho i Add Standalone Snap-in . - Nh p chu t vào nút Close tr l i h p tho i Add/Remove Snap-in . 61
  62. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 - Nh p chu t vào nút OK , ta s nhìn th y Local Users and Groups snap-in ã chèn vào MMC nh hình sau. Lu Console bng cách ch n Console \ Save , sau ó ta nh p ng d n và tên file c n l u tr . ti n li cho vi c qu n tr sau này ta có th l u console ngay trên Desktop . Nu máy tính c a b n không có c u hình MMC thì cách nhanh nh t truy c p công c Local Users and Groups thông qua công c Computer Management . Nh p ph i chu t vào My Computer và ch n Manage t pop-up menu và m c a s Computer Management . Trong m c System Tools , ta s nhìn th y m c Local Users and Groups Cách khác truy c p n công c Local Users and Groups là vào Start \ Programs \ Administrative Tools \ Computer Management . 2. Các thao tác c b n trên tài kho n ng ưi dùng c c b 2.1 T o tài kho n m i Trong công c Local Users and Groups , ta nh p ph i chu t vào Users và ch n New User , h p tho i New User hi n th b n nh p các thông tin c n thi t vào, nh ng quan tr ng nh t và b t bu c ph i có là mc Username . 62
  63. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 2.2 Xóa tài kho n Bn nên xóa tài kho n ng i dùng, n u b n ch c r ng tài kho n này không bao gi c n dùng l i n a. Mu n xóa tài kho n ng i dùng b n m công c Local Users and Groups , ch n tài kho n ng i dùng c n xóa, nh p ph i chu t và ch n Delete ho c vào th c ơn Action \ Delete . Chú ý : khi ch n Delete thì h th ng xu t hi n hp tho i h i b n mu n xóa th t s không vì tránh tr ng h p b n xóa nh m. B i vì khi ã xóa thì tài kho n ng i dùng này không th ph c h i c. 63
  64. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 2.3 Khóa tài kho n Khi m t tài kho n không s d ng trong th i gian dài b n nên khóa l i vì lý do b o m t và an toàn h th ng. N u b n xóa tài kho n này i thì không th ph c h i l i c do ó ta ch t m khóa. Trong công c Local Users and Groups , nh p ôi chu t vào ng i dùng c n khóa, h p tho i Properties ca tài kho n xu t hi n. Trong Tab General , ánh d u vào m c Account is disabled . 2.4 i tên tài kho n 64
  65. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Bn có th i tên b t k m t tài kho n ng i dùng nào, ng th i b n c ng có th iu ch nh các thông tin c a tài kho n ng i dùng thông qua ch c n ng này. Ch c n ng này có u im là khi b n thay i tên ng i dùng nh ng SID ca tài kho n v n không thay i. Mu n thay i tên tài kho n ng i dùng b n m công c Local Users and Groups , ch n tài kho n ng i dùng c n thay i tên, nh p ph i chu t và ch n Rename . 2.5 Thay i m t kh u Mu n i m t mã c a ng i dùng b n m công c Local Users and Groups , ch n tài kho n ng i dùng c n thay i m t mã, nh p ph i chu t và ch n Reset password . V. QU N LÝ TÀI KHO N NG ƯI DÙNG VÀ NHÓM TRÊN ACTIVE DIRECTORY 1. T o m i tài kho n ng ưi dùng Bn có th dùng công c Active Directory User and Computers trong Administrative Tools ngay trên máy Domain Controller t o các tài kho n ng i dùng mi n. Công c này cho phép b n qu n lý tài kho n ng i dùng t xa th m chí trên các máy tr m không ph i dùng h iu hành Server nh WinXP, Win2K Pro . Mu n th trên các máy tr m này ph i cài thêm b công c Admin Pack . B công c này n m trên Server trong th m c \Windows\system32\ADMINPAK.MSI . T o m t tài kho n ng i dùng trên Active Directory , ta làm các b c sau: - Ch n Start \ Programs \ Administrative Tools \ Active Directory Users and Computers . - Ca s Active Directory Users and Computers xu t hi n, b n nh p ph i chu t vào m c Users , ch n New \ User Hp tho i New Object-User xu t hi n nh hình sau, b n nh p tên mô t ng i dùng, tên tài kho n logon vào m ng. Giá tr Full Name s t ng phát sinh khi b n nh p giá tr First Name và Last Name , nh ng b n v n có th thay i c. Chú ý: giá tr quan tr ng nh t và b t bu c ph i có là logon name (username ). Chu i này là duy nh t cho m t tài kho n ng i dùng theo nh nh ngh a trên ph n lý thuy t. Trong môi tr ng Windows 2000 và 2003 , Microsoft a thêm m t khái ni m hu t UPN (Universal Principal Name ), trong ví d này là “@netclass.edu.vn” . H u t UPN này gn vào sau chu i username dùng t o thành m t tên username y dùng ch ng th c c p 65
  66. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 rng ho c ch ng th c m t mi n khác có quan h tin c y v i mi n c a ng i dùng ó, trong ví d này thì tên username y là “ tuan@netclass.edu.vn ”. Ngoài ra trong h p tho i này cng cho phép chúng ta t tên username ca tài kho n ng i dùng ph c v cho h th ng c ( pre-Windows 2000 ). Sau khi vi c nh p các thông tin hoàn thành b n nh p chu t vào nút Next ti p t c. Hp tho i th hai xu t hi n, cho phép b n nh p vào m t kh u (password ) c a tài kho n ng i dùng và ánh d u vào các l a ch n liên quan n tài kho n nh : cho phép i m t kh u, yêu c u ph i i mt kh u l n ng nh p u tiên hay khóa tài kho n. Các l a ch n này chúng ta s tìm hi u chi ti t ph n ti p theo. 66
  67. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Hp tho i cu i cùng xu t hi n và nó hi n th các thông tin ã c u hình cho ng i dùng. N u t t c các thông tin ã chính xác thì b n nh p chu t vào nút Finish hoàn thành, còn n u c n ch nh s a l i thì nh p chu t vào nút Back tr v các h p tho i tr c. 2. Các thu c tính c a tài kho n ng ưi dùng Mu n qu n lý các thu c tính c a các tài kho n ng i ta dùng công c Active Directory Users and Computers (b ng cách ch n Start \ Programs \ Administrative Tools \ Active Directory Users and Computers ), sau ó ch n th m c Users và nh p ôi chu t vào tài kho n ng i dùng c n kh o sát. Hp tho i Properties xu t hi n, trong h p tho i này ch a 12 Tab chính, ta s l n l t kh o sát các Tab này. Ngoài ra b n có th gom nhóm (dùng hai phím Shift, Ctrl ) và hi u ch nh thông tin c a nhi u tài kho n ng i dùng cùng m t lúc. 2.1 Các thông tin m r ng c a ng ưi dùng 67
  68. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Tab General ch a các thông tin chung c a ng i dùng trên m ng mà b n ã nh p trong lúc t o ng i dùng m i. ng th i b n có th nh p thêm m t s thông tin nh : s in tho i, a ch mail và trang a ch trang Web cá nhân Tab Address cho phép b n có th khai báo chi ti t các thông tin liên quan n a ch c a tài kho n ng i dùng nh : a ch ng, thành ph , mã vùng, qu c gia 68
  69. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Tab Telephones cho phép b n khai báo chi ti t các s in tho i c a tài kho n ng i dùng. Tab Organization cho phép b n khai báo các thông tin ng i dùng v : ch c n ng c a công ty, tên phòng ban tr c thu c, tên công ty 69
  70. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 2.2 Tab Account Tab Account cho phép b n khai báo l i username , quy nh gi logon vào m ng cho ng i dùng, quy nh máy tr m mà ng i dùng có th s d ng vào m ng, quy nh các chính sách tài kho n cho ng i dùng, quy nh th i im h t h n c a tài kho n iu khi n gi logon vào m ng: b n nh p chu t vào nút Logon Hours , h p tho i Logon Hours xu t hi n. M c nh t t c m i ng i dùng u c phép truy c p vào m ng 24 gi m i ngày, trong t t c 7 ngày c a tu n. Khi m t ng i dùng logon vào m ng thì h th ng s ki m tra xem th i im này có nm trong kho ng th i gian cho phép truy c p không, n u không phù h p thì h th ng s không cho vào m ng và thông báo l i Unable to log you on because of an account restriction . B n có th thay i quy nh gi logon bng cách ch n vùng th i gian c n thay i và nh p chu t vào nút l a ch n Logon Permitted , n u ng c l i không cho phép thì nh p chu t vào nút l a ch n Logon Denied . Sau ây là hình ví d ch cho phép ng i dùng làm vi c t 7h sáng n 5h chi u, t th 2 n th 6. Chú ý: mc nh ng i dùng không b logoff t ng khi h t gi ng nh p nh ng b n có th iu ch nh iu này t i m c Automatically Log Off Users When Logon Hours Expire trong Group Policy ph n Computer Configuration\ Windows Settings\Security Settings\ Local Policies\ Security Option . Ngoài ra bn c ng có cách khác iu ch nh thông tin logoff này b ng cách dùng công c Domain Security Policy ho c Local Security Policy tùy theo b i c nh. 70
  71. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Ch n l a máy tr m c truy c p vào m ng: b n nh p chu t vào nút Log On To , b n s th y h p tho i Logon Workstations xu t hi n. H p tho i này cho phép b n ch nh ng i dùng có th logon t t t c các máy tính trong m ng ho c gi i h n ng i dùng ch c phép logon t m t s máy tính trong m ng. Ví d nh ng i qu n tr m ng làm vi c trong môi tr ng b o m t nên tài kho n ng i dùng này ch c ch nh logon vào m ng t m t s máy tránh tình tr ng ng i dùng gi d ng qu n tr t n công m ng. Mu n ch nh máy tính mà ng i dùng c phép logon vào m ng, b n nh p tên máy tính ó vào m c Computer Name và sau ó nh p chu t vào nút Add . 71
  72. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Tu ch n Ý ngh a Ng i dùng ph i thay i m t kh u l n ng nh p User must change password at next logon k ti p, sau ó m c này s t ng b ch n. Nu c ch n thì ng n không cho ng i dùng tùy User cannot change password ý thay i m t kh u. Nu c ch n thì m t kh u c a tài kho n này Password never expires không bao gi h t h n. Ch áp d ng tùy ch n này i v i ng i dùng ng Store password using reversible encryption nh p t các máy Apple . Nu c ch n thì tài kho n này t m th i b khóa, Account is disabled không s d ng c. Tùy ch n này c dùng khi ng i dùng ng nh p vào m ng thông qua m t th thông minh ( smart Smart card is required for interactive login card ), lúc ó ng i dùng không nh p username và password mà ch c n nh p vào m t s PIN . Ch áp d ng cho các tài kho n d ch v nào c n Account is trusted for delegation giành c quy n truy c p vào tài nguyên v i vai trò nh ng tài kho n ng i dùng khác Dùng tùy ch n này trên m t tài kho n khách vãng Account is sensitive and cannot be delegated lai ho c t m m b o r ng tài kho n ó s không c i di n b i m t tài kho n khác. Nu c ch n thì h th ng s h tr Data Use DES encryption types for this account Encryption Standard (DES ) v i nhiu m c khác nhau. Nu c ch n h th ng s cho phép tài kho n này Do not require Kerberos preauthentication dùng m t ki u th c hi n giao th c Kerberos khác vi ki u c a Windows Server 2003 . Mc cu i cùng trong Tab này là quy nh th i gian h t h n c a m t tài kho n ng i dùng. Trong m c Account Expires , n u ta ch n Never thì tài kho n này không b h t h n, n u ch n End of: ngày tháng h t h n thì n ngày này tài kho n này b t m khóa. 2.3 Tab Profile Tab Profile cho phép b n khai báo ng d n n Profile ca tài kho n ng i dùng hi n t i, khai báo tp tin logon script c t ng thi hành khi ng i dùng ng nh p hay khai báo home folder . Chú 72
  73. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 ý các tùy ch n trong Tab Profile này ch y u ph c v cho các máy tr m tr c Windows 2000 , còn i vi các máy tr m t Win2K tr v sau nh : Win2K Pro, WinXP, Windows Server 2003 thì chúng ta có th c u hình các l a ch n này trong Group Policy . Tr c tiên chúng ta hãy tìm hi u khái ni m Profile . User Profiles là m t th m c ch a các thông tin v môi tr ng c a Windows Server 2003 cho t ng ng i dùng m ng. Profile ch a các qui nh v màn hình Desktop , n i dung c a menu Start, ki u cách ph i màu s c, v trí s p x p các icon , bi u tng chu t Mc nh khi ng i dùng ng nh p vào m ng, m t profile s c m cho ng i dùng ó. N u là ln ng nh p l n u tiên thì h s nh n c m t profile chu n. M t th m c có tên gi ng nh tên ca ng i dùng ng nh p s c t o trong th m c Documents and Settings . Th m c profile ng i dùng c t o ch a m t t p tin ntuser.dat , t p tin này c xem nh là m t th m c con ch a các liên k t th m c n các bi u t ng n n c a ng i dùng. Trong Windows Server 2003 có ba lo i Profile : Local Profile : là profile ca ng i dùng c l u trên máy c c b và h t c u hình trên profile ó. Roaming Profile : là lo i Profile c ch a trên m ng và ng i qu n tr m ng thêm thông tin ng dn user profile vào trong thông tin tài kho n ng i dùng, t ng duy trì m t b n sao c a tài kho n ng i dùng trên m ng. 73
  74. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Mandatory Profile : ng i qu n tr m ng thêm thông tin ng d n user profile vào trong thông tin tài kho n ng i dùng, sau ó chép m t profile ã c u hình s n vào ng d n ó. Lúc ó các ng i dùng dùng chung profile này và không c quy n thay i profile ó. Kch b n ng nh p ( logon script hay login script ) là nh ng t p tin ch ơ ng trình c thi hành m i khi ng i dùng ng nh p vào h th ng, v i ch c n ng là c u hình môi tr ng làm vi c c a ng i dùng và phân phát cho h nh ng tài nguyên m ng nh a, máy in ( c ánh xa t Server ). B n có th dùng nhi u ngôn ng k ch b n t o ra logon script nh : l nh shell ca DOS/NT/Windows , Windows Scripting Host (WSH), VBScript, Jscript i v i Windows Server 2003 thì có hai cách khai báo logon script là: khai báo trong thu c tính ca tài kho n ng i dùng thông qua công c Active Directory User and Computers , khai báo thông qua Group Policy . Nh ng chú ý trong c hai cách, các t p tin script và m i t p tin c n thi t khác ph i c t trong th m c chia s SYSVOL , n m trong \Windows\SYSVOL\sysvol , n u các t p tin script này ph c v cho các máy ti n Win2K thì ph i t trong th m c \Windows\Sysvol\sysvol\domainname\scripts . các t p tin script thi hành c b n nh c p quy n cho các ng i dùng m ng có quy n Read và Excute trên các t p tin này. Sau ây là m t ví d v m t t p tin logon script . @echo off rem Taodia.bat Version 1.0 rem neu nguoi dung logon ngay tai server thi khong lam gi ca. if %computername%.== tvthanh. goto END rem xoa cac o dia anh xa dang ton tai net use h: /delete >nul net use j: /delete >nul rem anh xa o dia h va j net use h: \\tvthanh\users /yes >nul net use j: \\tvthanh\apps /yes >nul rem dong bo thoi gian voi Server net time \\tvthanh /set /yes :END Th m c cá nhân ( home folder hay home directory ) là th m c dành riêng cho m i tài kho n ng i dùng, giúp ng i dùng có th l u tr các tài li u và t p tin riêng, ng th i ây c ng là th m c m c nh t i d u nh c l nh. Mu n t o m t th m c cá nhân cho ng i dùng thì trong m c Connect bn ch n a hi n th trên máy tr m và ng d n mà a này c n ánh x n (chú ý là các th m c dùng chung m b o ã chia s ). Trong ví d này b n ch th m c cá nhân cho tài kho n Tuan là “\\server\tuan”, nh ng b n có th thay th tên tài kho n b ng bi n môi tr ng ng i dùng nh : “\\server\%username%”. 2.4 Tab Member Of Tab Member Of cho phép b n xem và c u hình tài kho n ng i dùng hi n t i là thành viên c a nh ng nhóm nào. M t tài kho n ng i dùng có th là thành viên c a nhi u nhóm khác nhau và nó c th a hng quy n c a t t c các nhóm này. Mu n gia nh p vào nhóm nào b n nh p chu t vào nút Add , hp tho i ch n nhóm s hi n ra. 74
  75. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Trong h p tho i ch n nhóm, n u b n nh tên nhóm thì có th nh p tr c ti p tên nhóm vào và sau ó nh p chu t vào nút Check Names ki m tra có chính xác không, b n có th nh p g n úng h th ng tìm các tên nhóm có liên quan. ây là tính n ng m i c a Windows Server 2003 tránh tình tr ng tìm ki m và hi n th h t t t c các nhóm hi n có trong h th ng. N u b n không nh tên nhóm thì ch p nh n nh p chu t vào nút Advanced và Find Now tìm h t t t c các nhóm Nu b n mu n tài kho n ng i dùng hi n t i thoát ra kh i m t nhóm nào ó thì b n ch n nhóm sau ó nh p chu t vào nút Remove . 2.5 Tab Dial-in 75
  76. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Tab Dial-in cho phép b n c u hình quy n truy c p t xa c a ng i dùng cho k t n i dial-in ho c VPN , chúng ta s kh o sát chi ti t ch ơ ng Routing and Remote Access . 3. T o m i tài kho n nhóm Bn t o và qu n lý tài kho n nhóm trên Active Directory thông qua công c Active Directory Users and Computers . Tr c khi t o nhóm b n ph i xác nh lo i nhóm c n t o, ph m vi ho t ng c a nhóm nh th nào. Sau khi chu n b y các thông tin b n th c hi n các b c sau: Ch n Start \ Programs \ Administrative Tools \ Active Directory Users and Computers m công c Active Directory Users and Computers lên. Nh p ph i chu t vào m c Users , ch n New trên pop-up menu và ch n Group . Hp tho i New Object – Group xu t hi n, b n nh p tên nhóm vào m c Group name , tr ng tên nhóm cho các h iu hành tr c Windows 2000 (pre-Windows 2000 ) t ng phát sinh, b n có th hi u ch nh l i cho phù h p. 76
  77. Tài li u Lý thuy t Qu n tr m ng phiên b n server 2003 Nh p chu t vào nút OK hoàn t t và óng h p tho i. 4. Các ti n ích dòng l nh qu n lý tài kho n ng ưi dùng và tài kho n nhóm So v i Windows 2000 Server thì Windows Server 2003 cung c p thêm nhi u công c dòng l nh mnh m , có th c dùng trong các t p tin x lý theo lô ( batch ) ho c các t p tin k ch b n ( script ) qu n lý tài kho n ng i dùng nh thêm, xóa, s a. Windows 2003 còn h tr vi c nh p và xu t các i tng t Active Directory. Hai ti n ích dsadd.exe và admod.exe vi i s user cho phép chúng ta thêm và ch nh s a tài kho n ng i dùng trong Active Directory . Ti n ích csvde.exe c dùng nh p ho c xu t d li u i t ng thông qua các t p tin ki u CSV (comma-separated values ). ng th i h th ng m i này v n còn s d ng hai l nh net user và net group ca Windows 2000 . 4.1 L nh net user Ch c n ng: t o thêm, hi u ch nh và hi n th thông tin c a các tài kho n ng i dùng. Cú pháp: net user [username [password | *] [options]] [/domain] net user username {password | *} /add [options] [/domain ] net user username [/delete] [/domain] Ý ngh a các tham s : - Không tham s : dùng hi n th danh sách c a t t c các tài kho n ng i dùng trên máy tính - [ Username ]: ch ra tên tài kho n ng i dùng c n thêm, xóa, hi u ch nh ho c hi n th . Tên c a tài kho n ng i dùng có th dài n 20 ký t . - [ Password ]: n nh ho c thay i m t mã c a tài khoàn ng i dùng. M t m t mã ph i có chi u dài ti thi u b ng v i chi u dài quy nh trong chính sách tài kho n ng i dùng. Trong Windows 2000 thì chi u dài c a m t mã có th dài n 127 ký t , nh ng trên h th ng Win9X thì ch hi u c 14 77