Bài 4 : Giới thiệu hệ thống Mạng Domain Network

Dùng trong Quản lý Doanh Nghiệp

I- MÔ HÌNH

Máy Domain ADSL Printer Client1,Client2

 Ip:192.168.1.2  Ip:192.168.1.1  Ip:192.168.1.254  Ip: DHCP
 SM:255.255.255.0  SM:255.255.255.0  SM:255.255.255.0
 GW:192.168.1.1
 DNS:192.168.1.2

II- GIỚI THIỆU

Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản , dễ triển khai
nhưng không thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy mô hình Lab-4 giói
thiệu hệ thống Domain Network với các ưu điểm
- Quản lý tập trung toàn bộ mọi thành phần trong hệ thống
- Khả năng bảo mật cao nhưng thuận lợi nhờ cơ chế Single Set of Credential
- Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng
- Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration)
- Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được
cơ chế Replication của AD

III- CÁC BƯƠC TRIỂN KHAI

Mô lab gồm 3 máy : 1 máy dùng Windows Server 2k3 làm Domain Controller, DNS, DHCP
server, 2 máy Vista dùng cho User với các bước thực hiện để minh họa khả năng quản lý của
Domain Network với các công việc:
- Xây dụng hệ thống Domain bao gồm : nâng cấp Domain Controller
- Triển khai DHCP Server trên máy Domain Controller để cấp thông số cho các máy
Workstation kết nối (Join) Domain một cách tự động
 - Tổ chức hệ thống và phân quyền quản trị (Delegate)
- Tạo Home Directory, Roamming Profile cho Domain User
- Thiết lập Group Policy Object (GPO) để : triển khai application (deploy software),
Script, kiểm soát các sự kiện (Events) xảy ra trong hệ thống

IV- TRIỂN KHAI CHI TIẾT

1. Dựng domain controller trên máy Server với domain là nhatnghe.local.

2. Cấu hình lại DNS server (tạo reserve lookup zone..)

3. Cài và cấu hình DHCP server trên máy Server

4. Join tất cả các máy client vào domain nhatnghe.local dùng ip động

5. Cho các máy client dùng Ip động truy cập được internet.

6. Tổ chức các OU và user sau:

a. Trong doamin nhatnghe.local tạo 2 OU : HCM và NhaTrang

b. Trong OU HCM tạo 2 OU con PKthuat , PGvien và user AdminHCM

c. Trong OU PKthuat tạo user AdminPKT và user Nv1,Nv2,Nv3

d. Trong OU PGvien tạo user AdminPgv và user Gv1,Gv2,Gv3

e. Trong OU Nhatrang tạo 2 OU con PKthuat ,PGvien và 2 user AdminNT, NV4

7. Trong OU HCM\PKthuat tạo group GKThuat add AdminNv1,Nv2,Nv3 vào group này.
Trong OU HCM\PGvien tạo group Gvien add Gv1,Gv2,Gv3 vào group này. Trong Ou
HCM tạo group Admin add AdminPKT, adminPgv vào group này.

8. Cài AdminPAK.msi vào máy Client1và máy client2

9. Ủy quyền cho user AdminHCM có toàn quyền trên OU HCM và user AdminNT có toàn
quyền trên Ou NhaTrang (cho 2 user này có quyền tạo policy cho Ou của mình).

10. Cho user AdminHCM, AdminNT, AdminPKT, AdminGVien được phép Remote
Desktop. Trên máy client1 logon vào AdminHCM và AdminNT Remote Desktop vào
Doamin để kiểm tra.

11. Dùng quyền của AdminHCM ủy quyền cho user AdminPKT có toàn quyền trên OU
PKthuat, user AdminPGV toàn quyền trên OU PGvien.

12. Dùng quyền AdminPKT cấm tất cả các user trong OU PKThuat không được phép chạy
Notepad.exe, ngọai trừ user AdminPKT.
 13. Trên Server tạo folder FileServer, share foler này cho group GKThuat có quyền read,
group Gvien chỉ có quyền xóa file và folder do chính user đó tạo ra, group Admin có full
quyền

14. Cài mày in Lexmark trên máy Server và share cho mọi user có quyền in. Dùng quyền
AdmimHCM tạo logon script cho OU HCM sao cho khi user logon tự động add network
từ Ser1 về máy client.

15. Tạo logon script cho tất cả các user tự động map folder Fileserver về ổ đĩa Y: máy client.

16. Kiểm toán tất cả các user trong ou HCM in trên máy in Lexmark.

17. Kiểm toán tất cả user truy cập vào foleder FileServer.

18. Cho các user dùng Roaming Profile,

19. Làm Home folder cho tất cả các user

20. Deploy office cho tất cả các user.

21. Backup DHCP, Backup domain. Copy các thông tin backup sang PC khác. Ghost lại máy
Domain sau đó restore DHCP và domain trở về trạng thái ban đầu.

Thực hiện

1. Dựng domain controller trên máy Ser1với domain là nhatnghe.local

1. Click phải lên my network place chọn 2. Vào Start Run  DCPROMO màn
properties, click phải lên cacrd Lan chọn hình welcome ấn Next Next chọn
properties, chọn TCP/IP properties, khai option Controller for a new domain ấn Next
báo IP như hình vẽ, OK.

3. Chọn option domain in a new forest ấn 4. Nhập vào tên domain Nhatnghe.local ấn
Next Next
 5. NetBios name ấn Next 6. Database ấn Next

7. 8. Tiếp tục ấn Next, Next, Next đến khi hoàn

Màn hình SysVol ấn Next, chọn option tất, khởi động lại máy
Install and configure the DNS… ấn Next

2. Cấu hình lại DNS server (tạo reserve lookup zone..)

1. Vào card Lan sửa lại Prefer DNS là IP của 2. Vào Start Run gõ lệnh DNSMGMT.MSC
máy Server để vào DNS

3. Click phải vào Reverse Lookup Zone, chọn 4. Màn hình Welcome ấn Next, chọn option
New Zone Primary Zone ấn Next Next

5. Network ID nhập vào 192.168.1 Next, 6. Vào Start Run CMD gõ lệnh IPconfig
Next /registerDNS
 7. Vào DNS kiểm tra xem có PRT chưa, vào 8. Click phải PC chọn Properties, chọn Tab
Start Run gõ NSLookup để kiểm tra. Forwarder nhập vào IP của ISP ấn Add, OK.
Hoàn tất việc chỉnh sữa DNS.

3. Cài và cấu hình DHCP server trên máy Server

1. Vào Start Run gõ lệnh APPWIZ.CPL để 2.Vào Start Run gõ lệnh DHCPMGMT.MSC
vào Add Remove Program, chọn Add Remove để vào DHCP, click phải lên DHCP chọn
Window Component, chọn Network Services Manage authorized servers
ấn Detail chọn DHCP ấn Next, chỉ source
Window2K3, để cài DHCP
3. Ấn Authorize, nhập vào IP của máy Server, 4. Chọn Server ấn Next, hoàn tất Authorized
OK, OK. Server

5. Click phải lên Server chọn New Scope nhập 6. Nhập vào Start IP, End IP, Next
vào Scope Name ấn Next

7. Nhập vào dãy IP loại trừ Next, Next 8. Chọn Option Yes, I want… Next.
9. Nhập IP của ADSL, Next 10. Nhập IP của DNS Server ấn Next

11. Màn hình WinS ấn Next, chọn Option Yes, 12. Hoàn tất việc cài DHCP
I want to active… Next, Finish

4. Join tất cả các máy client vào domain nhatnghe.local dùng ip động

1. Tại máy client1 và client2 vào start run gõ
cmd ra cửa sổ command gõ ipconfig /renew
xin ip từ máy DHCP, ipconfig /all, nslookup để
test DNS.
2. Click phải vào computer chọn properties,
chọn change settings, ấn change, chọn option
Domain, nhập vào nhatnghe.local ok nhập
user + pass administrator restart lại máy
join domain xong
5. Cho các máy client dùng Ip động truy cập được internet.

1. Sau khi join domain xong, logon vào máy 2. vào IE test thử một số trang web, hoàn tất
client1 và client2 dùng lệnh nslookup test lại phần 5
DNS, kiểm tra xem có truy vấn được các trang
trang web ngoài internet không. Vì DNS server
đã forwarder ra ISP ở bước 8 phần 2 nên việc
truy vấn DNS những trang web ngòai Internet
sẽ thành công

6. Tổ chức các OU và user sau:

a. Trong doamin nhatnghe.local tạo 2 OU : HCM và NhaTrang

b. Trong OU HCM tạo 2 OU con PKthuat , PGvien và user AdminHCM

c. Trong OU PKthuat tạo user AdminPKT và user Nv1,Nv2,Nv3

d. Trong OU PGvien tạo user AdminPgv và user Gv1,Gv2,Gv3

e. Trong OU Nhatrang tạo 2 OU con PKthuat ,PGvien và 2 user AdminNT, NV4

1. Trở về máy domain, vào Run gõ lệnh 2. Tương tự tạo OU NhaTrang.

DSA.MSC, click phải vào nhatnghe.local chọn
New Organizational Unit nhập vào tên Ou là
HCM, Ok
3. Click phải vào OU HCM tạo OU PKthuat, 4. Click phải vào OU PKthuat tạo user
OU PGvien và user AdminHCM. AdminPKT, NV1,NV2,NV3.

5. Click phải vào OU PGvien tạo user 6. Click phải vào OU NhaTrang tạo 2 OU con
adminPgv,Gv1,Gv2,Gv3. là PKThuat và PGvien. Tiếp tục click phải vào
ou Nhatrang tạo 2 user AdminNT và Nv4.
7. Trong OU HCM\PKthuat tạo group GKThuat add AdminNv1,Nv2,Nv3 vào group này.
Trong OU HCM\PGvien tạo group Gvien add Gv1,Gv2,Gv3 vào group này. Trong Ou HCM
tạo group Admin add AdminPKT, adminPgv vào group này.

1. Click phải vào OU Pkthuat con Ou HCM 2. Click phải vào GPKthuat vừa tạo chọn
chọn New  Group nhập vào GPKthuat Ok. Properties chọn Tab Member, Add NV1, NV2,
NV3 vào Group

3. Click phải vào OU HCM\PGvien tạo Group 4. Click phải vào Group GVien mới vừa tạo
GVien. chọn Properties chọn Tab Member Add GV1,
GV2, GV3 vào Group.
 5. Click phải vào OU HCM tạo Group Admin, 6. Hoàn tất phần 7
click phải vào Group Admin chọn Properties
chọn Tab Member, add AdminPGV,
AdminPKT vào Group

8. Cài AdminPAK.msi vào máy Client1và máy client2

1. Trên máy Domain click phải vào ổ đĩa C 2. Tại máy Client1 và Client2 logon vào
chọn Search tìm file AdminPAK.MSI, copy file Administrator của Domain truy cập vào folder
này vào folder share cho máy Client. share của máy Domain cài AdminPAk.MSI
9. Ủy quyền cho user AdminHCM có toàn quyền trên OU HCM và user AdminNT có toàn
quyền trên Ou NhaTrang (cho 2 user này có quyền tạo policy cho Ou của mình).

1. Tại máy Domain vào Start Run gõ 2. Màn hình Welcome ấn Next, add
lệnh DSA.MSC click phải vào OU AdminHCM, OK Next
HCM chọn Delegate Control.

3. Cấp quyền cho user AdminHCM 4. Vào Menu View chọn Advanced Features
Next hoàn tất cấp quyền cho
AdminHCM

5. Click phải vào OU Nhatrang chọn 6. Chọn Tab Security add AdminNT vào, cấp
Properties Full quyền cho User này OK
 7. Click phải vào Group Policy Creator 8. Add AdminHCM và AdminNT vào Group
Owner chọn Properties này cho phép 2 User này tạo Policy

10. Cho user AdminHCM, AdminNT, AdminPKT, AdminGVien được phép Remote Desktop.
Trên máy client1 logon vào AdminHCM và AdminNT Remote Desktop vào Doamin để kiểm
tra.

1. Tại máy Domain click phải vào My 2. Ấn Select Remote User ấn Add chọn user
computer chọn Properties, chọ tab Remote, AdminHCM, AdminNT, AdminPGV,
chọn check box enable remote desktop… AdminPKT, cho phép các user này Remote
Desktop, OK

3. Start Programs Administrative Tools 4. Ấn nút Add chọn user AdminHCM,

 Domain Controller Security Policy  AdminNT, AdminPGV, AdminPKT cho các
Double Click Security Setting\Local Policy user này Logon locally, OK
\UserRightsAssigment\AllowLogon Locally
 5. Double Click Security Setting\Local 6. Ấn nút Add chọn user AdminHCM,
Policy\User Rights Assigment\Allow Logon AdminNT, AdminPGV, AdminPKT cho
Through Terminal services các user này Logon bằng Terminal services

7. Vào Start Run gõ lệnh GPUpdate /Force 8. Trên máy Client1 và Client2 Logon bằng
quyền AdminHCM, vào Start Run gõ
lệnh MSTSC để Remote vào Doamin thử

11. Dùng quyền của AdminHCM ủy quyền cho user AdminPKT có toàn quyền trên OU
PKthuat, user AdminPGV toàn quyền trên OU PGvien.
1. Tại máy Client1 đăng nhập bằng quyền 2. Bỏ checkbox Allow inheritable, chọn
AdminHCM, vào Srtart Run gõ lệnh AdminPKT ấn Edit,
DSA.MSC click phải lên OU PKThuat
chọn Properties chọn Tab Security, add
user AdminPKT, cấp full quyền cho user
này, ấn Advance

3. Trong phần Apply onto chọn This object 4. Tương tự click phải vào Ou PGVien chọn
and all child objects, OK, OK, OK Properties chọn Tab Security add
AdminPGV cấp full quyền cho user này,
ấn Advanced
 5. Trong phần Apply onto chọn This object 6. Trên mày Client1 lần lượt Logon vào
and all child objects, OK, OK, OK AdminPGV và AdminPKT để kiểm tra

12. Dùng quyền AdminPKT cấm tất cả các user trong OU PKThuat không được phép chạy
Notepad.exe, ngọai trừ user AdminPKT.
1. Tại máy Client1 logon bằng quyền
AdminPKT, Remote Desktop lên máy
Domain, vào DSA.MSC, click phải lên
OU PKThuat chọn Tab Group Policy ấn
nút New gõ tên PolicyPKThuat ấn Edit
3. Chọn Enabled ấn Show
2. Trong user Configuration\Administrative
Templates\ System double click vào
Don’t run specified Windows application.
4. Ấn Add nhập vào Notepad.exe, OK, OK,
OK
 5. Trở về Tab Group Policy chọn 6. Chọn Tab Security, ấn Add add user
Properties. AdminPKT, OK, check vào ô Deny apply
group policy, OK, OK

7. Vào Start Run gõ lệnh GPupdate /force 8. Lần lượt logon bằng quyền NV1,
NV2,NV3 để kiểm tra có chạy Notepad
được hay không. NV1, NV2, NV3 không
chạy được, AdminPKT chạy được.

13. Trên Server tạo folder FileServer, share foler này cho group GKThuat có quyền read, group
Gvien quyền xóa file và folder do chính user đó tạo ra, group Admin full quyền
1. Trên máy Domain tạo folder 2. Cho Everyone allow full control, OK
C:\FileServer, click phải lên folder này
chọn Share, chọn option Share this folder
ấn Permissions

3. Chọn Tab Security add group Admin, 4. Bỏ check Allow Inheritable, chọn group
GKThuat, GVien, Chọn Group Admin, GVien ấn Edit
GVien cấp full control, GKThuat quyền
Read, ấn Advanced.

5. Bỏ 2 check box của Delete Subfolders 6. Tại Tab Security remove Group users, OK.
and file và Delete OK, OK Tại máy Client1 logon vào NV1, GV1 và
 AdminPKT truy cập lên folder FileSever để
kiểm tra quyền.

14. Cài mày in Lexmark trên máy Server và share cho mọi user có quyền in. Dùng quyền
AdmimHCM tạo logon script cho OU HCM sao cho khi user logon tự động add network từ
Server về máy client.

1. Tại máy Domain vào Start Settings 2. Chọn option Create a new port, trong phần
Printer and Fax, double click vào Add Type of port chọn Standard TCP/IP port
printer, chọn option Local Printer Next

3. Nhập vào IP của máy in Lexmark, Next 4. Ấn Next, chọn option Share name, Next,
Next hoàn tất cài Driver máy in Lexmark
5. Vào DSA.MSC click phải vào OU HCM 6. Trong phần user Configuration\Windows
chọn Properties chọn Tab Group Policy, ấn Settings\Scripts(Logon/Logoff) double
New gõ HCM OK, ấn Edit click vào Logon

7. Ấn Show file 8. Tạo file Print.vbs có nội dung sau:

Set WshNetwork =createObject("WScript.Network")

WshNetwork.AddWindowsPrinterConnection
"\\PC20\Lexmark"

WshNetwork.SetDefaultPrinter "\\ PC20\Lexmark "

9. Trở về cửa sổ Logon properties ấn add ấn 10. Vào Start Run GPupdate /force, tại máy
Browser chọn file Printer.vbs, OK, OK Client1 logon vào NV1, GV1 để kiểm tra
 xem có máy in chưa.

15. Tạo logon script cho tất cả các user tự động map folder Fileserver về ổ đĩa Y: máy client.

1. Tại máy Domain vào Start Run gõ lệnh 2. Trong phần user Configuration\Windows
DSA.MSC click phải vào Settings\Scripts(Logon/Logoff) double
Nhatnghe.local chọn Properties, chọn Tab click vào Logon, ấn Show file rồi tạo file
Group Policy ấn Edit Map.bat có nội dung sau:

Net use y: \\192.168.1.2\FileServer

3. Trở về cửa sổ logon Properties ấn Add ấn 4. Vào Start Run GPupdate /force, tại
browse chọn file Map.bat OK, OK máy Client1 logon vào NV1, GV1 để
kiểm tra xem có ổ đĩa Y chưa

16. Kiểm toán tất cả các user trong OU HCM in trên máy in Lexmark.
 1. Tại máy Domain vào Start Program 2.
Administrative Tools Domain controller
security policy, trong phần Audit policy
chọn Audit object access, chọn success and
failure. Vào Run gõ Gpupdate /force
Click phải vào máy in Lexmark chọn
properties tab security ấn
advanced chọn tab Auditing, ấn Add
lần lượt add user AdminHCM, group
admin, group Gkthuat, Gvien vào.

3. Kiểm toán tất cả các quyền của máy in 4. Làm lại bước 3 tương tự cho các group
Successful và Failed khác và user AdminHCM. Vào
StartRun gõ lệnh GPupdate /force.
Hoàn tất kiểm toán máy in trong OU
HCM

17. Kiểm toán tất cả user truy cập vào folder FileServer.
1. Tại máy Domain click phải lên folder 2. Trên máy Client1 và Client2 logon bằng
C:\FileServer chọn Properties Tab quyền user AdminPKT, AdminPGV truy
security ấn Advanced Tab Auditing ấn cập lên folder FileServer trên Domain tạo
Add rồi add group user vào kiểm tóan tất thử file folder trong đó. Trở về máy
cà các quyền Successful and Failed Domain, click phải lên My computer chọn
Manage. Trong phần Event viewer\
Security sẽ thấy tất cả các Audit ở đây

3. Click phải lên Security chọn 4. Sẽ thấy AdminPKT đã làm gì trên

Properties Tab Fillter, nhập vào Event FileServer và Printer Lexmark
ID là 560, user AdminPKT, OK
Cho các user dùng Roaming Profile.

1. Trên C: của máy Domain tạo thư mục 2. Tab Security ấn Advanced Tab
Roaming, click phải lên folder chọn Share permission bỏ checkbox Allow inheritable
full quyền cho Everyone, OK chọn Copy, OK

3. Tại Tab Security cấp full quyền cho 4. Vào Start Run gõ DSA.MSC lần lượt
group users, OK click phải lên các user chọn Properties
Tab Profile trong profile path gõ
\\192.168.1.2\roaming\%username%, OK

5. Tại máy Client1 logon vào user GV1 6. Tại máy Client2 logon vào GV1 sẽ thấy
 thay đổi hình trên desktop, logoff hình nền của máy Client1. Hoàn tất làm
Roaming profile.

Làm Home folder cho tất cả các user

1. Tại máy Domain tạo folder C:\Common 2. Vào DSA.MSC lần lượt click phải lên các
click phải folder chọn share cho Everyone user chọn Properties chọn tab Profile chọn
full quyền, bỏ quyền thừa hưởng, cấp cho option Connect chọn ổ đĩa Z: trong phần
users full quyền tương tự như câu 18 To gõ
\\192.168.1.2\common\%username%

3. Tại máy Client1 logon bằng quyền GV1 4. Tại máy Client2 logon bằng quyền GV1
xem đã có ổ đĩa Z chưa, tạo vài folder xem các folder đã tạo trên Client1 có trong
trên đó Logoff ổ Z không. Hoàn tất việc tạo Home folder
cho tất cả các user

18. Deploy office cho tất cả các user.

1. Tại máy Domain copy source Office 2. Vào Start Program Microsoft Office
2003. vào C:\Office share folder này cho Microsoft Office Tools Microsoft Office
user có quyền Read. Chạy file ORK.MSI 2003 Resource Kit Custom Installation
để cài Microsoft Office Resource Kit Wizard, Next

3. Ấn Browse chọn C:\Office\Pro11.MSI, 4. Chọn Create a new MST file, Next

Next

5. Tạo file C:\Office\Auto.MST, Next 6. Đường dẫn mặc định, Next

7. Tiếp tục ấn Next 8. Chọn những ứng dụng cần cài, Next

9. Nhập vào Product key của Office, check 10. Hoàn tất file Auto.MST
vào I accept…., Finish
 11. Trong folder C:\Office tạo file Setup.ZAP 12. Vào DSA.MSC click phải lên
có nội dung sau: nhatnghe.local chọn properties Tab
[Application] group policy ấn Edit
FriendlyName=”Microsoft office 2003”
SetupComand=”\\192.168.1.2\office\setup.exe
Transforms=\\192.168.1.2\office\auto.mst /qb-
“
Displayversion=11.0
[ext]
Doc=

13. Trong user Configuration\software 14. Click phải lên Software installation chọn
setting click phải Software installation New Package chọn file Setup.zap
chọn properties gõ \\PC20\office, OK

15. Vào Start Run gõ lệnh Gpupdate 16. Tại máy Client1, Client2 logon bằng
/force quyền AdminPKT, vào control panel chọn
program and feature, chọn Install a
program from network sẽ thấy Office ấn
Add để cài
19. Backup DHCP, Backup domain. Copy các thông tin backup sang PC khác. Ghost lại máy
Domain sau đó restore DHCP và domain trở về trạng thái ban đầu.

1. Tại máy Domain vào DHCP click phải vào 2. Ấn Make new folder tạo C:\backup OK,
Scope chọn Backup backup xong DHCP.
3. Vào Start Run gõ lệnh NTbackup, 4. Chọn option Let me choose…, Next
Welcome ấn Next

5. Check vào System State, Next 6. Ấn browse chọn ồ C:\backup, lưu file với
tên system.bkf, Next

7. Ấn Finish 8. Hoàn tất quá trình backup System state data

9. Lưu folder backup sang máy khác, giả sử 10. Restore DHCP. Vào Run gõ lệnh
máy Domain hư ghost laị máy Domain DHCPMRMT.MSC, click phải lên PC chọn
(ghost P1-2K3). Khai báo lại IP của máy Restore
Domain, cài DHCP
11. Chọn thư mục C:\backup, OK 12. Hoàn tất Restore DHCP

13. Vào Start Run gõ Ntbackup, Welcome 14. Ấn Browse chọn C:\backup\system.bkf,
ấn Next, chọn Restore file… Next OK, check vào System state, Next

15. Ấn Advanced 16. Chọn Original location, Next

17. Tiếp tục Next và Finish hoàn tất việc 18. Cài Adminpak.msi trên máy Domain mới
restore domain controller, khởi động lại restore, kiểm tra lại DNS và các user trên
máy Domain.