Mcsa Tailieumcsa Activedirectory Baigiang@Nvdquang - (Cuuduongthancong - Com)

Mục Lục
Chương 1: Dịch vụ Active Directory Domain. ............................................................... 1

1.1 Khái quát về Active Directory.............................................................................. 1
1.1.1 Directory Service ............................................................................................ 1
1.1.2 Active Directory .............................................................................................. 2
1.2 Kiến trúc Active Directory .................................................................................... 4
1.2.1 Active Directory Objects ................................................................................ 4
1.2.2 Active Directory Schema ................................................................................ 5
1.2.3 Active Directory Components ........................................................................ 6
1.2.3.1 Cấu trúc Logical ....................................................................................... 6
1.2.3.2 Cấu trúc Physical ..................................................................................... 8
1.3 Cài đặt Active Directory Domain Service. ........................................................... 9
1.3.1 Cài đặt và cấu hình DNS ................................................................................. 9
1.3.2 Cài đặt Active Directory Domain. ................................................................ 14
Chương 2: Quản trị Active Directory, Users ................................................................ 21
2.1 Làm việc với Active Directory snap-ins ............................................................. 21
2.1.1 Microsoft Management Console ................................................................... 21
2.1.2 Sử dụng giao diện MMC ............................................................................... 24
2.2 User (Tài khoản Người dùng) ............................................................................. 28
2.2.1 Đặt tên cho tài khoản..................................................................................... 29
2.2.2 Lựa chọn mật khẩu ........................................................................................ 30
2.2.3 Thiết kế mô hình phân cấp Active Directory ................................................ 31
2.2.4 Làm việc với tài khoản người dùng .............................................................. 32
2.2.5 Tạo tài khoản người dùng ............................................................................. 33
2.2.6 Quản lý tài khoản người dùng ....................................................................... 36
2.2.7 Tạo đối tường người dùng sử dụng csv Directory Exchange ....................... 49
Chương 3: Làm việc với nhóm (Groups)...................................................................... 61
3.1 Tìm hiểu về nhóm ................................................................................................ 61
3.2 Sử dụng Nhóm (Group) và các Chính sách Nhóm (Group Policies - GP).......... 63
3.3 Sử dụng nhóm ...................................................................................................... 63
CuuDuongThanCong.com https://fb.com/tailieudientucntt
3.3.1 Kiểu của Nhóm Active Directory ................................................................. 64
3.3.2 Phạm vi của nhóm Active Directory. ............................................................ 65
3.3.2 Các nhóm mặc định của Windows Server .................................................... 70
3.3.3 Tạo và quản lý các đối tượng Nhóm ............................................................. 77
3.3.4 Quản lý nhóm tự động................................................................................... 82
Chương 4: Group Policy Object ................................................................................... 87
4.1. Tổng quan về Group Policy Object. ................................................................... 87
4.1.1 Sự khác nhau giữa System Policy và Group Policy. ..................................... 87
4.1.2 Chức năng và Tính năng của Group Policy. ................................................. 87
4.1.3 Những tính năng mới trong Windows Server 2008. ..................................... 88
4.1.3.1 Starter GPOs là gì? ................................................................................. 88
4.1.3.2 Group Policy Management Console. ...................................................... 89
4.1.3.3 Group Policy Preference. ........................................................................ 91
4.1.4. Triển khai Group Policy trên Windows Server 2008. .................................. 98
4.1.4.1 Cấu hình Security Policy. ....................................................................... 98
4.1.4.2 Chuẩn đoán lỗi ổ đĩa. ............................................................................ 106
4.1.4.3 Cài đặt software thông qua quản trị viên. ............................................. 109
4.1.4.4 Turn off Autoplay. ................................................................................ 112
4.1.4.5 Home page hiden Tab. .......................................................................... 114
4.1.4.6 Deploy Software. .................................................................................. 117
Chương 5: DNS và Active Directory Domain Service ............................................... 125
5.1. Tổng quát về dịch vụ DNS trên Windows Server 2008 ................................... 125
5.2 Tổng quan về dịch vụ DNS ............................................................................... 127
5.2.1. Giới thiệu về DNS. ..................................................................................... 127
5.2.2. Đặc điểm của DNS trong Windows Server 2008. ..................................... 130
5.2.3. Cách phân bố dữ liệu và quản lý Domain Name ....................................... 131
5.3 Tổng quan về dịch vụ DNS – Cơ chế phân giải tên .......................................... 133
5.3.1 Cơ chế phân giải tên thành IP ..................................................................... 133
Hình 5.5: Sơ đồ Iteractive query ................................................................................. 136
5.3.2 Cơ chế phân giải IP thành tên máy tính ...................................................... 136
5.4 Tổng quan về dịch vụ DNS - Một số khái niệm cơ bản. ................................... 136
5.4.1 Domain name và Zone. ............................................................................... 136
5.4.2 Fully qualified domain name ...................................................................... 137
5.4.3 Sự ủy quyền................................................................................................. 137
5.4.4 Forwarders................................................................................................... 138
5.4.5 Stub zone ..................................................................................................... 138
5.4.6 Dynamic DNS ............................................................................................. 139
5.4.7 Active Directory – Integrated zone ............................................................. 140
5.5 Tổng quan về dịch vụ DNS – Phân loại Domain name Server ......................... 141
5.5.1 Primary Name Server .................................................................................. 141
5.5.2 Secondary Name Server .............................................................................. 141
5.5.3 Caching Name Server. ................................................................................ 142
5.6 Tổng quan về dịch vụ DNS – Resource Record ................................................ 143
Hình 5.14: Sơ đồ Cơ Sở Dữ Liệu. .............................................................................. 144
5.6.1 SOA Record ................................................................................................ 144
5.6.2 NS Record ................................................................................................... 145
5.6.3 A Record và CNAME Record. ................................................................... 145
5.6.4 ARV Record ................................................................................................ 146
5.6.5 MX Record .................................................................................................. 146
5.6.6 PTR Record ................................................................................................. 147
5.7 Cài đặt và cấu hình dịch vụ DNS trên Windows Server 2008 .......................... 147
5.7.1 Cài đặt dịch vụ DNS ................................................................................... 147
5.7.2 Cấu hình dịch vụ DNS ................................................................................ 149
5.7.3 Tạo Zone tích hộp Active Direcroty ........................................................... 166
5.8. Quản lý dịch vụ DNS. ...................................................................................... 169
Theo dỏi sự kiện DNS .......................................................................................... 169
Chương 6: Xây dụng Read only Domain Controller - Read only DNS Zone - Active
Directory site ............................................................................................................... 171
6.1 Read only Domain Controller ........................................................................... 171
6.1.1 Tổng quan về Read Only Domain Controller ............................................. 171
6.1.2 Thực thi Active Directory Site .................................................................... 172
6.1.3. Nâng cấp DC lên thành Read only Domain Controller. ............................ 177
6.1.4 Kiểm tra kết quả .......................................................................................... 190
6.2 Triển khai Read only DNS zone ........................................................................ 191
Chương 7: Dịch vụ File Server và DFS Replication .................................................. 194
7.1 Giới thiệu về công cụ File Server Resource Manager. ...................................... 194
7.1.1Cấu hình home Directory. ............................................................................ 194
7.1.2 Cài đặt File server Resource manager......................................................... 196
7.1.3 Cấu hình Quota ........................................................................................... 201
7.1.4 Cấu hình File Screens ................................................................................. 204
7.2 Xây dựng hệ thống File Server cho mô hình mạng. .......................................... 207
7.2.1 Cài đặt Additional Domain Controller và Secondary DNS Server............. 207
7.2.2 Cài đặt Distributed File System. ................................................................. 219
7.2.3 Cấu hình DNS Namespace Server. ............................................................. 231
7.2.4 Cấu hình DFS Relication. ........................................................................... 243
Chương 8: Backup và Restore Active Directory ........................................................ 252
8.1 Backup ............................................................................................................... 252
8.1.1 Cài đặt dịch vụ Backup ............................................................................... 252
8.1.2 Lập lịch trình Backup .................................................................................. 255
8.1.3 Backup File và thư mục .............................................................................. 266
8.2 Backup Active Directory ................................................................................... 273
8.2.1 Backup Active Directory bằng Command Line .......................................... 273
8.2.2 Recover dữ liệu trong Active Dirceroty bằng Command line .................... 277
1
Chương 1: Dịch vụ Active Directory Domain.

1.1 Khái quát về Active Directory
1.1.1 Directory Service
Directory là một mô hình tổ chức thông tin, dữ liệu mà trong đó các thông tin dữ
liệu có mối quan hệ chặc chẽ với nhau, ví dụ Danh bạ điện thoại, với Tên trên danh bạ,
có thể dể dàng tra ra được số điện thoại tương ứng.
Trong các hệ thống máy tính phân tán hoặc trong mạng máy tính, có rất nhiều đối
tượng được tổ chức, lưu trữ theo cấu trúc Directory như users, máy tính, file, server,
máy in, máy fax … Và khi người dùng cuối tức là user, muốn sử dụng những đối
tượng trên, ví dụ như user muốn dùng máy in thì sao? Do đó cần có một dịch vụ hỗ trợ
user có thể xác định được đối tượng và cho phép user sử dụng nó, vì thế mà có định
nghĩa Directory Service. Directory Service được áp dụng trong việc lưu trữ các thông
tin, dữ liệu theo kiến trúc tổ chức Directory và quản lí tập trung các đối tượng, đơn
giản hóa quá trình xác định và quản lí resources.
Directory Service là một dịch vụ hoạt động như một switchboard chính trong các
hệ điều hành máy chủ, nó hỗ trợ các nguồn Resources độc lập và phân tán có thể làm
việc với nhau, có thể kết nối với nhau. Directory Service cung cấp một nền tảng cho
các chức năng của một hệ điều hành máy chủ, đảm bảo tính bảo mật, nâng cao hiệu
năng khi thiết kế và triển khai các hệ thống mạng, đồng thời giúp người quản trị có thể
dể dàng quản trị được hệ thống.
Directory Service cung cấp một phương tiện hỗ trợ việc tổ chức và đơn giản hóa
việc truy xuất Resources. Người dùng và ngay cả người quản trị không cần biết chính
xác về đối tượng mà họ đang cần. Họ chỉ cần biết 1 số yêu tố về đối tượng đó.
2
Hình 1.1: Directory service

Trong hình trên, dể dàng thấy được Directory Service truy vấn trên Directory để
lấy ra thông tin của các Object thông qua một số yếu tố của Object. Directory Service
vừa là một dịch vụ hỗ quản trị hệ thống, cũng là công cụ hỗ cho người dùng cuối
(User) trong việc quản trị hệ thống.
1.1.2 Active Directory

Active Directory là một sự ứng dụng của Directory Service, được tích hợp vào
trong họ các phiên bản Windows Server, được xem như trái tim của cả hệ thống mạng
và cũng góp phần mang đến sự thành công của Windows Server. Active Directory lưu
trữ thông tin và tài nguyên trong hệ thống mạng dưới mô hình tổ chức Directory và
họat động với cơ chế là 1 dịch vụ, đó chính là nguyên tắc hoạt động cơ bản của Active
Directory, tóm lại Active Directory hoạt động với cơ chế của Directory Service
Active Directory là dịch vụ hệ thống quan trọng bậc nhất với vai trò quản lý dữ
liệu người dùng, máy tính, groups, và các chính sách cũng như rất nhiều thông tin
khác. Để triển khai hệ thống Active Directory chuẩn, tránh các sự cố liên quan là điều
cần thiết.
Active Directory Là một dịch vụ được tích hợp sẵn trong họ các sản phẩm
Windows Server của Microsoft, Active Directory cung cấp một số tính năng quan
trọng, giúp công việc thiết kế, triển khai và quản trị hệ thống được dể dàng hơn, chặt
chẽ hơn:
 Centralized Data Store – Lưu trữ dữ liệu tập trung: Toàn bộ dữ liệu, thông
tin trong hệ thống được lưu trữ một cách tập trung, cho phép người dùng có
3
thể truy cập dữ liệu từ bất cứ nơi đâu, bất cứ lúc nào đồng thời nâng cao hiệu
năng quản trị của hệ thống, giảm thiếu độ rủi ro cho tài nguyên.
 Scalability – khả năng linh hoạt với nhu cầu: Active Directory cung ứng một
cách linh hoạt các giải pháp quản trị khác nhau cho từng nhu cầu cụ thế trên
nền tảng hạ tầng xác định của các doanh nghiệp.
 Extensibility – Cơ sở dữ liệu của Active Directory cho phép nhà quản trị có
thể customize và phát triển, ngoài ra còn có thể phát triển các ứng dụng sử
dụng cơ sở dữ liệu này, giúp tận dụng hết khả năng, hiệu năng của Active
Directory
 Manageability – khả năng quản trị linh hoạt dể dàng: Active Directory được
tổ chức theo cơ chế của Directory Service dưới mô hình tổ chức Directory
giúp các nhà quản trị có cái nhìn tổng quan nhất đối với cả hệ thống, đồng
thời giúp user có thể dể dàng truy xuất và sử dụng tài nguyên hệ thống.
 Integration with Domain Name System (DNS) DNS là một partner rất cần
thiết đối với Active Directory, trong một hệ thống mạng, các dịch vụ của
Active Directory chỉ hoạt động được khi dịch vụ DNS được cài đặt. DNS có
trách nhiệm dẫn đường, phân giải các Active Directory Domain Controller
trong hệ thống mạng, và càng quan trọng hơn trong môi trường Multi
Domain. DNS được dể dàng tích hợp vào Active Directory để nâng cao độ
bảo mật và khả năng đồng bộ hóa giữa các Domain Controller với nhau trong
môi trường nhiều Domain.
 Client Configuration Management: Active Directory cung cấp cho chúng ta
một khả năng quản trị các cấu hình phía client, giúp quản trị hệ thống dể dàng
hơn và nâng cao khả năng di động của user.
 Policy – based administration: Trong Active Directory, việc quản trị hệ
thống mạng được đảm bảo một cách chắn chắc thông qua các chính sách quản
trị tài nguyên, các quyền truy xuất trên các site, domain và các organization
unit. Đây là một trong những tính năng quan trọng nhất được tích hợp vào
Active Directory.
 Replication of information: Active Directory cung cấp khả năng đồng bộ dữ
liệu thông tin giữa các domain, trên nền tảng, môi trường nhiều domain nhằm
mục đích giảm thiếu đến mức tối đa rủi ro và nâng cao khả năng họat động
của hệ thống mạng.
 Flexible, secure authentication and authorization: Active Directory cung
cấp nhiều cơ chế authentication như Kerberos, Secure Socket Layer và
Transport Layer Security giúp cho việc bảo mật thông tin của user khi xác
thực thông tin truy xuất tài nguyên.
4
 Security integration: Active Directory được tích hợp mặc địnhtrong các
phiên bản Windows Server, do đó Active Directory làm việc rất dể dàng và
linh hoạt, truy xuất điều khiển trên hệ thống được định nghĩa trên từng đối
tượng, từng thuộc tính của đối tượng. Không những thế, các chính sách bảo
mật được áp dụng không phải đơn thuần trên local mà còn được áp dụng trên
các site, domain hay OU xác định.
 Directory – enable applications and infrastructure: Active Directory là
một môi trường tuyệt hảo cho các nhà quản trị thiết lập các cấu và quản trị
các ứng dụng trên hệ thống. Đồng thời Active Directory cung cấp một hướng
mở cho các nhà phát triển ứng dụng (developer) xây dựng các ứng dụng trên
nền tảng Active Directory thông qua Active Directory Service Interfaces
 Interoperability with other directory services: Active Directory được xây
dựng trên giao thức directory service chuẩn gồm 2 giao thức là Lightweight
Directory Access Protocol (LDAP) và Name Service Provider Interface
(NSPI), do đó Active Directory có khả năng tương thích với các dịch vụ khác
được xây dựng trên nền tảng directory service thông qua các giao thức này.
Vì LDAP là một giao thức directoy chuẩn, do đó có thể phát triển, tích hợp
các sản phẩm ứng dụng trao đổi, chia sẻ thông tin với Active Directory thông
qua giao thức LDAP. Còn giao thức NSPI được hỗ trợ bởi Active Directory
nằm mục đích đảm bảo và nâng cao khả năng tương thích với directoy của
Exchange.
 Signed and encrypted LDAP traffic: Mặc định là công cụ Active Directoy
trong windows server sẽ tự động xác thực và mã hóa thông tin, dữ liệu truyền
tải trên giao thức LDAP. Việc xác thực giao thức nhằm đảm bảo thông tin
được gửi đến từ 1 nguồn chính thức và không bị giả mạo.
1.2 Kiến trúc Active Directory

1.2.1 Active Directory Objects
Dữ liệu trong Active Directory như là thông tin users, máy in, server, database,
groups, computers và security policies được tổ chức như các objects (đối tượng). Mỗi
object có những thuộc tính riêng đặc trưng cho object đó, ví dụ như object user có các
thuộc tính liên quan như First Name, Last Name, Logon Name, … và Computer
Object có các thuộc tính như computer name cùng description. Một số object đặc biệt
bao gồm nhiều object khác bên trong được gọi là các “container”, ví dụ như domain là
một container bao gồm nhiều user và computer account.
5
Hình 1.2: Active Directory
1.2.2 Active Directory Schema

Trong Active Directory, database lưu trữ chính là AD Schema, Schema định
nghĩa các đối tượng được lưu trữ trong Active Directory. Schema là một danh sách các
định nghĩa xác định các loại đối tượng và các loại thông tin về đối tượng lưu trữ trong
Active Directory. Về bản chất, schema cũng được lưu trữ như 1 object.
Schema được định nghĩa gồm 2 loại đối tượng (object) là schema class objects và
schema Attribute objects.
Schema Class có chức năng như một template cho việc tạo mới các đối tượng
trong AD. Mỗi Schema Class là một tập hợp các thuộc tính của đối tượng(Schema
Attribute Objects). Khi tạo một đối tượng thuộc về một loại Schema Class thì Schema
Attribute sẽ lưu trữ các thuộc tính của đối tượng đó tương ứng với loại Schema Class
của đối tượng.
Schema Attribute định nghĩa các Schema Class tương ứng với nó. Mỗi thuộc tính
chỉ được định nghĩa một lần trong Active Directory và có thể thuộc nhiều Schema
Class theo quan hệ một nhiều (1-n).
Mặc định thì một tập hợp các Schema Class và Schema Attribute được đóng gói
sẵn chung với Active Directory. Tuy nhiên Schema của Active Directory mở ra một
khả năng phát triển mở rộng Schema Class trên các Attribute có sẵn hay là tạo mới các
Attribute SChema. Tuy nhiên cái nào cũng có cái lợi và cái hại, để có thể mở rộng
phát triển với schema, cần chuẩn bị kỹ lưỡng thông qua các bản thiết kế rõ ràng và
xem xét là có cần thiết hay không, vì độ rủi ro trong việc này khá cao đối với các hệ
thống đang hoạt động ổn định.
6
1.2.3 Active Directory Components

Trong mô hình mạng doanh nghiệp, các components của Active Directory được
sử dụng, áp dụng để xây dựng nên các mô hình phù hợp với nhu cầu các doanh
nghiệp. Xét về khía cạnh mô hình kiến trúc của AD thì phân làm 2 loại là Physical và
Logical.
1.2.3.1 Cấu trúc Logical

Trong AD, việc tổ chức tài nguyên theo cơ chế Logical Structure, được ánh xạ
thông qua mô hình domains, OUs, trees và forest. Nhóm các tài nguyên được tổ chức
một cách luận lí cho phép dể dàng truy xuất đến tài nguyên hơn là phải nhớ cụ thể vị
trí vật lí của nó.
 Domain:
Cốt lõi của kiến trúc tổ chức luận lí trong AD chính là Domain, nơi lưu trữ
hàng triệu đối tượng (objects). Tất cả các đối tượng trong hệ thống mạng trong
một domain thì do chính domain đó lưu trữ thông tin của các đối tượng. Active
Directory được kiến tạo bởi một hay nhiều domain và một domain có thể triển
khai trên nhiều physical structure. Việc truy cập vào domain được quản trị
thông qua Access Control Lists (ACLs), quyền truy xuất trên domain tương
ứng với từng đối tượng.
 OUs:
OU là một container được dùng để tổ chức các đối tượng trong một domain
thành các nhóm quản trị luận lí (logical). OUs cung cấp phương tiện thực hiện
các tác vụ quản trị trong hệ thống như là quản trị user và resources, đó là những
scope đối tượng nhỏ nhất mà có thể ủy quyền xác thực quản trị. OUs bao gồm
nhiều đối tượng khác như là user accounts, groups, computers và các OUs khác
tạo nên các cây OUs trong cùng một domain. Các cây OUs trong một domain
độc lập với kiến trúc các cây OUs thuộc các domain khác.
 Trees:
Trees là một nhóm các domain được tổ chức theo cấu trúc hình cây với mô hình
parent-child ánh xạ từ thực tế tổ chức của doanh nghiệp, tổ chức. Một domain
có 1 họăc nhiều child domain nhưng 1 child domain chỉ có 1 parent-domain mà
thôi.
7
Hình 1.3: Cây domain

 Forests:
Forest là một thuật ngữ được đặt ra nhằm định nghĩa 1 mô hình tổ chức của
AD, 1 forest gồm nhiều domain trees có quan hệ với nhau, các domain trees
trong forest là độc lập với nhau về tổ chức, nghe ra có vẻ mâu thuẫn trong mối
quan hệ nhưng sẽ dể hiểu hơn khi mối quan hệ giữa các domain trees là quan hệ
Trust hai chiều như các partners với nhau.
Một forest phải đảm bảo thoả các đặc tính sau:
 Toàn bộ domain trong forest phải có 1 schema chia sẻ chung
 Các domain trong forest phải có 1 global catalog chia sẻ chung
 Các domain trong forest phải có mối quan hệ trust 2 chiều với nhau
 Các tree trong 1 forest phải có cấu trúc tên(domain name) khác nhau
 Các domain trong forest hoạt động độc lập với nhau, tuy nhiên hoạt
động của forest là hoạt động của toàn bộ hệ thống tổ chức doanh nghiệp.
Hình 1.4: A forest of tree.
8
1.2.3.2 Cấu trúc Physical

Xét về khía cạnh physical component của AD thì gồm 2 phần là Sites và Domain
Controllers. Ta sẽ dùng các components này để thiết kế và triển khai các mô hình kiến
trúc phù hợp với nhu cầu doanh nghiệp tổ chức.
 Sites:
Site là một thuật ngữ được dùng đến khi nói về vị trí địa lý của các domain
trong hệ thống. Khi hệ thống các domain được phân tán ở những vị trí địa lý,
những nơi khác nhau và có quan hệ với nhau thì những nơi đặt các domain này
chính là các Site.
 Domain Controllers:
Domain Controller là 1 máy tính hay server chuyên dụng được setup Windows
Server và lưu trữ bản sao của Domain Directory (local domain database). Một
domain có thể có 1 hay nhiều domain controller, mỗi domain controller đều có
bản sao dữ liệu của Domain Directory. Domain Controller chịu trách nhiệm
chứng thực cho users và chịu trách nhiệm đãm bảo các chính sách bảo mật
được thực thi.
Các chức năng chính của domain controller:
 Mỗi domain controller lưu trữ các bản sao thông tin của Active
Directory cho chính domain đó, chịu trách nhiệm quản lí thông tin và
tiến hành đồng bộ dữ liệu với các domain controller khác trong củng một
domain.
 Domain Controller trong một Domain có khả năng tự động đồng bộ dữ
liệu với các domain controller khác trong cùng một domain. Khi thực
hiện một tác vụ đối với thông tin lưu trữ trên domain controller, thì
thông tin này sẽ tự động được đồng bộ hóa đến các domain controller
khác. Tuy nhiên để đảm bảo sự ổn định cho hệ thống mạng, chúng ta cần
phải có một chính sách hợp lí cho các domain trong việc đồng bộ hóa
thông tin dữ liệu với một thời điểm phù hợp.
 Domain Controller tự động đồng bộ hóa ngay lập tức các thay đổi quan
trọng đối với cả Domain như disable một user account.
 Active Directory sử dụng việc đồng bộ hóa dữ liệu theo cơ chế
multimaster, nghĩa là không có domain controller nào đóng vai trò là
master cả, mà thay vào đó thì tất cả domain controller đểu ngang hàng
với nhau, mỗi domain controller lưu trữ một bản sao của database hệ
thống. Các domain controller lưu trữ các thông tin dữ liệu khác nhau
trong một khỏang thời gian ngắn cho đến khi thông tin các domain
controller trong hệ thống đều được đồng bộ với nhau, hay nói cách khác
là thống nhất dữ liệu cho toàn domain.
9
 Mặc dù là Active Directory hỗ trợ hoàn toàn việc đồng bộ dữ liệu theo
cơ chế multimaster nhưng thực tế thì không phải lúc nào cũng theo cơ
chế này (việc thực thi không được cho phép ở nhiều nơi trong hệ thống
mạng trong cùng một thời điểm). Operations master roles là các roles
đặc biệt được assigned với 1 hoặc nhiều domain controllers khác để thực
hiện đồng bộ theo cơ chế single-master, có thể dể dàng nhận thấy việc
thực thi operations của multimaster là sự thực thi của nhiều single-
master đồng thời.
 Hệ thống có nhiều hơn một domain hỗ trợ trong trường hợp dự phòng
backup domain controller, khi một domain controller có vấn đề xảy ra
thì các domain sẽ tự động chạy dự phòng, đảm bảo hệ thống luôn được
ổn định.
 Domain Controller quản lí các vấn đề trong việc tương tác với domain
của users, ví dụ xác định đối tượng trong Active Directory hay xác thực
việc logon của user.
1.3 Cài đặt Active Directory Domain Service.

1.3.1 Cài đặt và cấu hình DNS
Khi cài đặt Active Directory trên Windows Server 2008 theo kinh nghiệm thì nên
cài đặt DNS trước với các thiết lập chuẩn (nếu không cài đặt DNS trước trong quá
trình cái đặt Active Directory cũng sẽ tự động cài đặt thêm DNS) gồm các bước:
 Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình.
 Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một
yêu cầu bắt buộc trong để Active Directory có khả năng tự động Update các
thiết lập của mình vào trong DNS.
Đặt địa chỉ IP cho máy chủ - Static IP và DNS.
Thiết lập địa chỉ IP cho card mạng của server hoặc có thể thiết lập địa chỉ IP của
các DNS Server trong hệ thống. Nếu server này là Domain Controller và DNS Server
đầu tiên, quá trình cài đặt AD DS sẽ bao gồm cả việc cài đặt DNS Server.
Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static như hình 1.5
10
Hình 1.5: Thiết lập IP tĩnh cho card mạng.

Cài đặt và cấu hình DNS
Vào Start chọn Administrative Tools chọn Manage Your Server
Trong cửa sổ Manage Your Server chọn phần đầu tiên Add or Remove a Role rồi
chọn cài đặt DNS nhấn Next và hệ thống sẽ yêu cầu bộ cài Windows Server 2008, cho
đĩa CD hoặc trỏ đường dẫn tới thư mục i386 của bộ cài là OK. Kết thúc cài đặt.
Tạo Zone trong DNS: Vào Start chọn Administrative Tools chọn DNS sẽ xuất
hiện cửa sổ DNS. Trong phần tạo Zone này sẽ phải tạo dạng Forward Lookup Zone
Dạng Primary Zone.
Chuột phải vào Forward Lookup zone chọn New Zone.
11
Nhấn Next hệ thống yêu cầu tên Zone
12
Sau khi gõ tên đầy đủ của Zone cần tạo chọn Next để thực hiện bước tiếp tục,
chọn Allow Dynamic Update đây là bắt buộc để khi cài đặt Active Directory sẽ tự
động ghi các Record vào DNS
13
Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS. Công việc vẫn chưa kết
thúc, vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS.
Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory,
nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên
Zone vừa tạo ra.
Chỉnh lại NS Record bằng cách tương tự.

Chuột phải vào lhu.edu Zone chọn Host A record
14
Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn:
Ping server1.lhu.edu nếu có reply là hoàn thành.
1.3.2 Cài đặt Active Directory Domain.

Có thể vào cửa sổ Manage Your Server chọn Add or Remove a Role để cài đặt
Active Directory nhưng cách đơn giản hay sử dụng là vào Run gõ dcpromo.
15
Vào Run gõ dcpromo sẽ xuất hiện cửa sổ chào nhấn Next để tiếp tục quá trình cài
đặt Active Directory.
Nhấn Next để tiếp tục, trong cửa sổ này sẽ có lựa chọn giữa hai Options:
16
 Existing forest: là lựa chọn để cài đặt thêm một máy chủ DC vào một Domain,
với thiết lập hai hay nhiều DC cho một Domain đáp ứng được khi một máy chủ
bị sự cố xảy ra thì hệ thống vẫn hoạt động bình thường.
o Add domain controller in an existing domain: Nếu tôi muốn tạo một
domain khác với cùng trong forest lhu.edu
o Create new domain in an existing forest: Nếu đã có domain lhu.edu và
muốn cài đặt các domain con bên trong của nó như: ccna.lhu.edu, hay
mcsa.lhu.edu
 Create a New domain in a new forest: thiết lập tạo ra Domain Controller đầu
tiên trong Domain
Ở đây chọn Create a New domain in a new forest để thiết lập DC mới
17
Chọn đúng mức của forest function level, mặc định là Windows 2000
18
Nhấn Next cần phải lựa chọn nơi chứa thư mục NTDS cho quá trình Replications
của hệ thống Domain Controller:
19
Nhấn Next để tiếp tục quá trình cài đặt, Hệ thống yêu cầu thiết lập Password trong
Restore Mode.
20
Khi backup Active Directory là hoàn toàn dễ dàng trong Windows Server bởi hệ
thống sử dụng cơ chế Shadow Backup, cho phép backup cả những dữ liệu, file, service
đang hoạt động. Nhưng khi Restore lại sẽ là cả vấn đề, Windows không cho can thiệp
vào File, hay dữ liệu đang được sử dụng, và khi đó phải khởi động hệ thống vào Mode
mà Active Directory không hoạt động thì mới Restore được. Password đặt trong phần
này chính là Password để đăng nhập vào hệ thống khi Restore lại Active Directory.
Sau đặt Password nhấn Next hệ thống sẽ cho hiển thị toàn bộ thông tin như:
 NetBIOS name ở đây là LHU
 Folder chứa dữ liệu của Active Directory là NTDS ở đâu
 Tương tự vậy các folder SYSVOL
Nhấn Next bắt đầu tiến hành cài đặt Active Directory
21
Đợi vài phút cho đến khi hệ thống thông báo hoàn thành và yêu cầu khởi động lại
là đã hoàn tất quá trình cài đặt Active Directory trên máy chủ Windows Server 2008.
Quá trình cài đặt hoàn tất, hệ thống server đã có thêm vai trò của Domain Controller.
Chương 2: Quản trị Active Directory, Users

2.1 Làm việc với Active Directory snap-ins
2.1.1 Microsoft Management Console
Microsoft Management Console (MMC) là một ứng dụng lớp vỏ (shell
application) mà Windows Server sử dụng để cung cấp các truy cập đến phần lớn các
công cụ quản trị mạng và hệ thống. MMC cung cấp một giao diện chuẩn thông dụng
22
cho một hoặc nhiều các module ứng dụng (được gọi là các snap-in) được sử dụng để
cấu hình môi trường hệ thống. Các snap-in này được trao các nhiệm vụ khác nhau và
cũng có thể kết hợp, sắp xếp theo thứ tự, hoặc nhóm lại với nhau trong một lớp vỏ
MMC tùy theo sở thích của người quản trị. Một MMC với một hoặc nhiều snap-in đã
cài đặt sẽ được gọi là một Console (Bảng điều khiển). Phần lớn các công cụ quản trị
chủ yếu trong Windows Server là các bảng điều khiển MMC với một danh sách các
snap-in được cài đặt phù hợp cho một ứng dụng nào đó. Ngoài trừ một số trường hợp,
còn lại hầu hết mọi shortcut (liên kết tắt) trong nhóm chương trình Administrative
Tools (Các công cụ quản trị) trên một máy tính Windows Server 2003 đều được liên
kết đến các bảng điều khiển MMC đã cấu hình sẵn. Ví dụ, khi thăng cấp một máy tính
Windows Server thành một máy chủ quản trị domain, trình hướng dẫn cài đặt “Active
Directory Installation Wizard” sẽ tạo ra các shortcut đến ba công cụ quản trị chủ yếu
cho Active Directory:
 Active Directory Domains and Trusts: Miền và Quan hệ tin cậy trong Active
Directory )
 Active Directory Sites and Services: Dịch vụ và Vị trí trong Active Directory)
 Active Directory Users and Computers (Người dùng và Nhóm trong Active
Directory)
Mỗi shortcut sẽ mở ra một Bảng điều khiển MMC chứa một snap-in đơn như trên
Hình 2.1. Ví dụ snap-in “Active Directory Users and Computers” được thiết kế sẵn
cho việc quản trị các đối tượng người dùng, nhóm và máy tính trong miền. Đó là các
snap-in nằm trong lớp vỏ MMC, chứ không phải là bản thân các MMC cung cấp các
công cụ quản trị mà đang sử dụng.
23
Hình 2.1 Bảng điều khiển “Active Directory Users and Computers
Ba bảng điều khiển Active Directory liệt kê ở trên đều chứa các snap-in đơn lẻ,
nhưng một bảng điều khiển MMC không chỉ giới hạn sử dụng một snap-in tại một thời
điểm. Khi mở bảng điều khiển “Computer Management” (Quản trị Máy tính) trong
nhóm chương trình Administrative Tools trên bất cứ một máy tính Windows Server
nào, có thể thấy một bảng điều khiển chứa rất nhiều snap-in, tất cả kết hợp trong một
giao diện đơn, thuận tiện như trong Hình 2.2
24
Hình 2.2: Bảng điều khiển “Computer Management”
2.1.2 Sử dụng giao diện MMC

MMC sử dụng kiểu thiết kế 2 ô, giống như Windows Explorer (Trình duyệt
Windows). Ô bên trái, được gọi là scope pane (khung phạm vi), chứa một danh sách
phân cấp các snap-in cài đặt trong bảng điều khiển này và các tiêu đề mà bảng điều
khiển này cung cấp. Cấu trúc phân cấp này đôi lúc còn được gọi là console tree (Cây
điều khiển). Có thể mở rộng và thu nhỏ các phần tử thuộc khung phạm vi để hiển thị
nhiều hoặc ít các thông tin, giống như khi mở rộng và thu nhỏ các thư mục bên trong
Windows Explorer. Lựa chọn một phần tử trong khung phạm vi sẽ hiển thị nội dung
của nó trong ô bên phải của bảng điều khiển, được gọi là details pane (Khung chi tiết).
Các thành phần nhìn thấy trong khung chi tiết sẽ hoàn toàn phụ thuộc vào chức năng
của các snap-in mà đang sử dụng.
Sử dụng các Thực đơn trong MMC
Phía trên hai ô nói trên, MMC có một thực đơn và thanh công cụ chuẩn của
Windows. Các lệnh trên các thực đơn và các công cụ trên thanh công cụ sẽ thay đổi
tùy theo snap-in nào đang lựa chọn trong khung phạm vi. Ví dụ khi mở bảng điều
khiển “Computer Management” và lần lượt nhấn vào mỗi snap-in trong khung phạm
vi, sẽ thấy nội dung của thanh công cụ thay đổi theo các snap-in này, đồng thời thay
đổi cả một số nội dung của thực đơn .
Thực đơn chính cho các chức năng theo ngữ cảnh trong một bảng điều khiển
MMC là thực đơn Action (Hành động). Khi lựa chọn một phần tử của snap-in trong cả
scope pane hay details pane, thực đơn Action sẽ thay đổi các lệnh áp dụng với phần tử
đó. Phần lớn các thực đơn Action chứa một thực đơn con “All tasks” –(tất cả các tác
vụ) cho phép bạn lựa chọn các tác vụ có thể thực hiện trên phần tử mà bạn đang chọn.
Thông thường ta có thể thấy một thực đơn con New (mới) dưới thực đơn Action cho
phép bạn có thể tạo các phần tử con trong phần tử bạn đang chọn. Trong hầu hết các
trường hợp, các lệnh trong thực đơn Action đối với một phần tử lựa chọn cũng sẽ xuất
hiện trong thực đơn ngữ cảnh, sẽ hiện ra khi bạn nhấn chuột phải vào phần tử đó.
25
Hình 2.3: Thực đơn “Action” trong một bảng điều khiển MMC
Mặc dù thực đơn Action thay đổi thường xuyên, các thực đơn khác trong MMC
có thể chứa các thành phần ngữ cảnh xác định, điển hình là thực đơn View, chứa các
lệnh điều khiển cách thức snap-in hiển thị thông tin. Ví dụ một số snap-in trong MMC
theo mặc định chỉ hiển thị một phần các thông tin có thể, tuy nhiên khi dòng lệnh
Advanced Features (Các tính năng tiên tiến) xuất hiện trên thực đơn View, việc lựa
chọn lệnh này sẽ cho phép bảng điều khiển hiển thị đầy đủ các thông tin.
Tạo các bảng điều khiển MMC tùy chọn.
Windows Server có một tập hợp rất nhiều các MMC Snap-in, không phải tất cả
đều có thể truy cập ngay thông qua các shortcut mặc định trong thực đơn Start (Bắt
đầu). Một số công cụ rất mạnh được trang bị cùng với hệ điều hành bắt bạn phải tự tìm
kiếm chúng. Các Developer (Lập trình viên phát triển) của các hãng phần mềm khác
cũng có thể tạo ra các MMC snap-in của riêng họ và thêm vào trong các sản phẩm của
họ. Điều này dẫn đến một trong những khả năng tốt nhất của MMC, đó là khả năng
tạo ra các bảng điều khiển tùy chọn chứa bất kì các snap-in nào mà bạn muốn sử dụng.
Có thể kết hợp một hoặc nhiều snap-in hoặc một phần của các snap-in vào trong một
bảng điều khiển đơn để tạo nên một giao diện đơn trong đó có thể thực hiện mọi tác vụ
quản trị hệ thống. Bằng cách tạo ra các MMC tùy chọn, không phải chuyển giữa các
chương trình hoặc các bảng điều khiển khác nhau. Các bảng điều khiển tùy chọn có
thể chứa mọi snap-in của Windows Server, cho dù chúng đã được đưa vào hay không
trong các bảng điều khiển cấu hình sẵn, hay các snap-in của các phần mềm khác.
File thực thi của MMC là mmc.exe. Khi bạn chạy file này từ hộp thoại Run hoặc
từ dấu nhắc dòng lệnh, một bảng điều khiển trống được tạo ra như thể hiện trong hình
dưới. Đây là một bảng điều khiển không có snap-in nào cả và khi đó các thực đơn và
26
thanh công cụ sẽ có các chức năng mặc định của MMC. Phần tử duy nhất trong cửa sổ
bảng điều khiển là console root object (đối tượng gốc của bảng điều khiển) nằm trong
khung phạm vi, nó là một khung chứa, thể hiện mức trên cùng của cấu trúc phân cấp
trong bảng điều khiển. Trước khi bạn có thể thực hiện bất kì một tác vụ quản trị nào
bằng bảng điều khiển này, bạn phải thêm một hoặc nhiều các snap-in vào trong đó.
Hình 2.4: Một bảng điều khiển MMC trống
Thêm các snap-in
Có hai loại snap-in như sau:
 Đơn lẻ (Stand Alone ): Một snap-in đơn lẻ là một công cụ đơn mà có thể cài đặt
trực tiếp vào trong một MMC trống. Các snap-in đơn lẻ xuất hiện trong lớp đầu
tiên, nằm trực tiếp dưới gốc của bảng điều khiển trong khung phạm vi.
 Mở rộng (Extension): Các snap-in mở rộng cung cấp thêm tính năng cho các
snap-in đơn lẻ. Bạn không thể thêm một snap-in mở rộng vào một bảng điều
khiển mà trước đó chưa thêm snap-in đơn lẻ tương ứng. Các snap-in mở rộng có
thể xuất hiện ở dưới các snap-in đơn lẻ tương ứng trong khung phạm vi của bảng
điều khiển.
Một số snap-in sẽ cung cấp cho ta cả chức năng của một snap-in đơn lẻ và mở
rộng. Ví dụ snap-in Event Viewer (Xem sự kiện) được sử dụng để hiển thị nội dung
của các nhật kí sự kiện trong máy tính. Trong bảng điều khiển Computer Management,
snap-in Event Viewer xuất hiện như là một snap-in mở rộng, nằm dưới đối tượng
System Tools trong khung phạm vi, tuy nhiên có thể thêm snap-in Event Viewer vào
một bảng điều khiển nào đó như là một snap-in đơn lẻ và khi đó nó sẽ nằm ngay dưới
gốc của bảng điều khiển.
27
Để thêm các snap-in vào một bảng điều khiển tùy chọn, chọn Add/Remove Snap-
in (thêm/bớt Snap-in) từ thực đơn File để hiển thị hộp thoại Add/Remove Snap-in. Có
thể lựa chọn và thêm vào bảng điều khiển bao nhiêu snap-in đơn lẻ tùy thích. Sau khi
thêm các snap-in đơn lẻ vào, có thể trỏ vào snap-in đơn lẻ đó, nhấn Edit Extensions để
hiển thị một danh sách các snap-in mở rộng gắn kèm với snap-in đơn lẻ mà ta đã chọn.
Hình 2.5: Thêm hoặc xóa snap-in
Định hướng cho snap-in.
Một snap-in sẽ được hướng đến một hệ thống xác định bằng cách sử dụng lệnh
“Connect To Another Computer” trong thực đơn Action. Lựa chọn lệnh này sẽ mở ra
một hộp thoại “Select Computer”, trong đó có thể nhập vào tên của máy tính muốn
quản trị và nhấn OK, các phần tử của snap-in trong khung phạm vi sẽ thay đổi thể hiện
tên của máy tính vừa lựa chọn.
28
Hình 2.6: Hộp thoại Select Computer
Không phải tất cả các snap-in đều có khả năng kết nối đến các máy tính ở xa bởi
vì một số snap-in không cần điều này. Ví dụ bảng điều khiển quản trị Active Directory
sẽ tự động tìm đến máy chủ quản trị miền trong mạng và truy cập vào CSDL Active
Directory tại đó, do đó không cần phải nhập vào tên máy tính.
2.2 User (Tài khoản Người dùng)

Các Tài khoản Người dùng Active Directory nằm dưới dạng của các Đối tượng
Người dùng, và chúng được lưu, cũng giống như tất cả các thông tin của Active
Directory, trên máy tính điều khiển miền, nơi mà chúng có thể được truy nhập tới từ
mọi nơi trong miền. Khi đăng nhập bằng tài khoản người dùng miền người dùng sẽ
được xác thực bởi máy chủ điều khiển miền, chứ không phải bởi máy tính mà người
dùng đang làm việc hoặc truy nhập vào.
Tài khoản người dùng gồm có tên đăng nhập và mật khẩu, tên này là duy nhất và
được gọi là mã nhận dạng bảo mật (SID - Security Identifier). Trong khi đăng nhập,
Active Directory xác thực tên người dùng và mật khẩu đưa vào. Tiếp theo, hệ thống
bảo mật sẽ tạo thẻ truy nhập tương ứng với người dùng này. Thẻ truy nhập chứa mã
nhận dạng bảo mật của tài khoản người dùng và mã nhận dạng bảo mật các nhóm của
người dùng này. Thẻ này sau đó có thể được sử dụng để kiểm tra lại quyền đã gán cho
người dùng, bao gồm cả quyền đăng nhập cục bộ và quyền được phép truy nhập vào
tài nguyên được bảo mật bởi danh sách điều khiển truy nhập(ACLs- Access Control
Lists).
Mỗi người dùng chỉ có một tài khoản, nhờ vậy sẽ giảm nhẹ công việc của người
quản trị mạng. Chỉ một tài khoản này có thể được người dùng sử dụng để truy nhập
vào mọi tài nguyên trên mạng. CSDL Active Directory thường xuyên được đồng bộ
giữa các máy tính điều khiển nên các tài khoản người dùng gần như luôn sẵn sàng xác
thực cho người dùng truy nhập tới tài nguyên mới.
29
Người Quản trị sử dụng snap-in Active Directory User and Computer để tạo đối
tượng người dùng. Để đăng nhập bằng tài khoản người dùng Active Directory phải
cung cấp tên tài khoản, mật khẩu và tại Log On To lựa chọn tên miền muốn đăng nhập
Hình 2.7 Hộp thoại đăng nhập vào Windows
2.2.1 Đặt tên cho tài khoản

Khi tạo tài khoản người dùng, phải xác định Firt Name (Tên gọi) và Last Name
(Họ) của người dùng, nhưng thực sự được dùng khi đăng nhập và xác thực là tên tài
khoản. Tên của tài khoản có độ dài tối đa cho phép là 20 ký tự, nhưng để thuận lợi cho
người dùng nên đặt ngắn hơn. Các tên không phân biệt chữ hoa chữ thường (mặc dù
Microsoft Windows vẫn giữ nguyên kiểu chữ nhập vào) và không được chứa các ký tự
sau: “ / \ [ ] : ; | = , + * ? < > @
LƯU Ý: tên tài khoản và địa chỉ thư điện tử. Khi tạo tên tài khoản mà đồng thời
muốn sử dụng chúng cho địa chỉ E-mail, phải đảm bảo chắc chắn nó chỉ gồm các ký tự
cho phép của phần mềm E-Mail, một số hệ thống E-mail không cho phép sử dụng tên
có dấu cách hoặc dấu ngoặc đơn, cho dù nó vẫn được Microsoft Windows chấp nhận.
Dạng của tên tài khoản, tại nhiều tổ chức sử dụng một số kiểu kết hợp của Firt
Name hoặc Last Name và một hoặc thêm các chữ cái đầu. Ví dụ, tên người dùng là
Mark Lee có thể có tên tài khoản là “mlee” hoặc “markl”. Mặc dù vậy, đối với các tổ
chức có qui mô lớn, sử dụng First Name là không thực tế vì rất dể có hai người cùng
tên là Mark, thậm chí rất có thể cả hai Mark đều có Last Name bắt đầu bằng chữ “L".
Cho dù sử dụng bất cứ dạng nào cho Tên Tài khoản, Điều quan trọng nhất là phải tạo
được một tập các luật để tạo ra chúng và trung thành với chúng. Việc gán các tên tài
khoản một cách không thống nhất, sử dụng các biệt hiệu (Nickname) tối nghĩa hay
30
theo sở thích của người sử dụng sẽ dẫn đến việc nhầm lẫn của các quản trị khác khi
xác định tên tài khoản cho một người sử dụng cụ thể nào đó. Luật nên chỉ ra một sự
kết hợp chuẩn giữa First Name và Last Name hay các chữ viết tắt, cũng như các
phương pháp được chuẩn hóa để tạo ra các tên tài khoản duy nhất. Và khi nghe tên tài
khoản có thể dể dàng suy ra được tên người dùng .
2.2.2 Lựa chọn mật khẩu

Ngày nay, bảo mật ảnh hưởng mạnh mẽ đến nhiệm vụ của quản trị trên toàn
mạng và việc tạo tài khoản người dùng cũng không thuộc ngoại lệ. Khi tạo tài khoản
người dùng mới phải xác định mật khẩu và áp dụng chính sách với mật khẩu tuỳ theo
mức độ bảo mật mà tổ chức muốn. Mặc định, khi tạo tài khoản người dùng Active
Directory trong Microsoft Windows 2008, phải đặt mật khẩu dạng phức tạp, có độ dài
tối thiểu 7 ký tự. Những ràng buộc này được ấn định tại chính sách nhóm, được cấu
hình mặc định tại Default Domain Policy Group Object - GPO.
 Enforce Password History: Xác định số lượng mật khẩu khác nhau trước khi
người dùng được phép sử dụng lại mật khẩu cũ, giá trị mặc định là 24.
 Maximun Password Age (Tuổi dài nhất của mật khẩu): Xác thời gian bao lâu
một mật khẩu có thể được dùng trước khi hệ điều hành buộc người dùng đổi lại,
giá trị mặc định là 42 ngày.
 Minimun Password Age (Tuổi ngắn nhất của mật khẩu): Xác thời gian bao lâu
một mật khẩu phải sử dụng trước khi hệ điều hành cho phép người dùng đổi lại,
giá trị mặc định là 1 ngày.
 Minimum Password Length (Độ dài mật khẩu tối thiểu): Độ dài tối thiểu của
mật khẩu mà hệ điều hành cho phép, giá trị mặc định là 7.
 Password Must Meet Complexity Requirements (Mật khẩu phải thỏa mãn điều
kiện phức tạp): Xác định điều kiện đối với mật khẩu như độ dài ít nhất là 6 ký tự,
không trùng với toàn bộ tên hoặc một phần của tên tài khoản, bao gồm ít nhất 3
trong số 4 kiểu kí tự: Chữ hoa, chữ thường, số và ký tự đặc biệt. Mặc định, hệ
điều hành enable (cho phép) chính sách này.
Các thiết lập mặc định cho người dùng mới là thiết lập User Must Change
Password At Next Logon (Người dùng bắt buộc phải đổi mật khẩu tại lần đăng nhập
sau). Thiết lập này giả sử là các người dùng sẽ có trách nhiệm cung cấp mật khẩu của
họ và thay đổi chúng định kỳ. Người quản trị tạo tài khoản chỉ là cấp mật khẩu tạm
thời cho lần đăng nhập đầu tiên của người dùng. Việc muốn người dùng cung cấp mật
khẩu của họ là một quyết định về bảo mật mà phải thực hiện trước khi bắt tay vào tạo
tài khoản. Nói chung, việc người dùng tự cấp mật khẩu là thông dụng hơn vì hai lý do,
một là sẽ dể dàng hơn cho người dùng để nhớ được mật khẩu và hai là việc phải thay
đổi mật khẩu định kỳ 42 ngày một lần sẽ là gánh nặng lớn đối với quản trị mạng.
31
Chính sách mật khẩu mặc định bắt người dùng thay đổi định kỳ thay đổi lại mật khẩu
đồng thời cũng ngăn cản việc họ sử dụng lại cùng một mật khẩu thường xuyên.
Tùy thuộc vào yêu cầu bảo mật mạng, có thể thiết lập các chính sách mật khẩu
khác cho người dùng mà không thể thực hiện bằng phần mềm được, như:
 Không tiết lộ mật khẩu cho đồng nghiệp hoặc với bất kỳ ai trong hoặc ngoài tổ
chức
 Không ghi mật khẩu và để ở nơ có thể dể dàng được tìm thấy
 Không tạo mật khẩu sử dụng thông tin như ngày sinh, tên, con hoặc vật nuôi.
 Không nói mật khẩu qua điện thoại hoặc gửi bằng thư điện tử.
2.2.3 Thiết kế mô hình phân cấp Active Directory

Tài khoản người dùng là một phần của kiến trúc Active Directory, và việc thiết
kế kiến trúc này là một phần rất quan trọng của kế hoạch cơ sở hạ tầng mạng. Cấu trúc
cơ bản của miền Active Directory là theo kiểu hình cây, tương tự như cấu trúc thư
mục của hệ thống file. Trong đó, đối tượng miền là ngọn của cây (đôi khi cũng được
gọi là gốc) và với một hoặc một số phân cấp dưới nó là OU - Organization Unit(đơn vị
tổ chức). Tốt nhất là ta nên giành các tác vụ thực sự của việc thiết kế kiến trúc này cho
các nhà thiết kế mạng, nhưng người quản trị có trách nhiệm tạo các tài khoản người
dùng cần biết rõ các kiến trức này và các mô hình cơ sở đã tạo nên chúng. Để tạo
người dùng miền, đầu tiên phải quyết định đặt họ vào OU nào. Quyết định này dựa
vào chức năng của OU đã tạo. Cây Active Directory thiết kế có thể dựa vào chính sách
phân chia của tổ chức như theo phòng ban, theo nhóm hoặc vị trí địa lý như toàn nhà,
tầng, văn phònghoặc hết hợp của các yếu tố trên và nhiều các yếu tố khác nữa. Mục
đích của phân cấp giúp đơn giản hoá việc định vị các đối tượng trong cây và thực hiện
việc gán các thuộc tính cho một số lượng lớn các đối tượng bằng cách gán chúng cho
các OU và các thuộc tính này, lập tức sẽ được các dối tượng con thừa hưởng theo kiến
trúc hình cây.
Đặt các đối tượng người dùng vào đúng vị trí trong kiến trúc giúp chúng sẽ nhận
được các thiết lập cấu hình cần thiết mà không phải thực hiện cấu hình đơn lẻ và tránh
cho không phải di chuyển các người dùng sau này.
Organizational Units
Organizational Units hay OU là đơn vị nhỏ nhất trong hệ thống Active Directory,
nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối
tượng khác nhau phục vụ cho mục đích quản trị. Việc sử dụng OU có hai công dụng
chính như sau :
32
 Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay
các thiết bị mạng cho một nhóm người hay một quản trị viên phụ nào đó (sub-
administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ
thống.
 Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng
trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (Group
Policy)
2.2.4 Làm việc với tài khoản người dùng

Khi bạn tạo miền Active Directory bằng cách thăng cấp máy tính điều khiển
miền đầu tiên, Microsoft Windows Server mặc định sẽ tạo các người dùng sau:
 Administrator: Tài khoản miền Administrator là thành viên của nhóm
Administrators của miền và thực hiện cùng chức năng chính như tài khoản
người dùng cục bộ. Đó là tài khoản đầu tiên đăng nhập vào miền và có toàn
quyền truy nhập tới tất cả các chức năng và tính năng của miền. Điều quan
trọng là phải phân biệt tài khoản Active Directory Administrator và tài khoản
cục bộ Administrator là hai tài khoản tách biệt nhau. Hai tài khoản này có mật
khẩu khác nhau, các Cấp phép khác nhau và các khả năng khác nhau. Với
máy tính chạy Microsoft Windows 2008 thì máy chủ thành viên của miền
(nhưng không phải là máy chủ điều khiển miền) có thể đăng nhập sử dụng cả
hai tài khoản này tuỳ theo thiết lập tại lựa chọn Log On To tại hộp thoại Log
On To Windows.
 Guest: Tương tự như tài khoản cục bộ Guest, tài khoản miền Guest để ở trạng
thái vô hiệu hoá và dành cho người dùng tạm thời truy nhập vào miền.
Các đối tượng người dùng dựng sẵn trong miền được đặt tại đối tượng chứa
(Container) tên là Users. Thậm chí, bạn có thể tạo đối tượng người dùng mới tại đây
hoặc tại đối tượng chứa khác, thậm trí trực tiếp tại chính miền. Tốt nhất là bạn nên tạo
tại OU để tiện cho việc sử dụng chính sách nhóm sau này. Chỉ có thể liên kết một đối
tượng chính sách nhóm (Group Policies Objects- GPO) với một miền, Site hoặc OU
nhưng không thể liên kết với đôi tượng chứa Users. Do đó, nên tạo các OU phù hợp
với thiết kế Active Directory của tổ chức, trước khi bắt tay vào tạo người dùng.
Trong máy chủ Domain, chạy Microsoft Windows 2008 tạo đối tượng người
dùng Active Directory bằng cách sử dụng snap-in Active Directory Users And
Computers (Start => Administrative Tools). Để tạo đối tuợng người dùng, phải là
thành viên của nhóm Enterprise Admins, Domain Admins hoặc Account Operators
hoặc phải được uỷ quyền quản trị cần thiết để tạo đối tượng người dùng.
33
Hình 2.8: Bảng điều khiển Active Directory Users and Computers.
2.2.5 Tạo tài khoản người dùng

Để tạo đối tượng người dùng từ thực đơn Action chọn New chọn tiếp User khi đó
sẽ xuất hiện New Object – User wizard. Trình hướng dẫn New Object – User xuất
hiện như sau:
34
Hình 2.9: Trình hướng dẫn New Object - User
First Name: Tên gọi của người dùng (tuỳ chọn).

Initials: Chữ cái đầu tên đệm của người dùng (tuỳ chọn).
Last Name: Tên họ của người dùng (tuỳ chọn).
Full Name: Tên đầy đủ của người dùng (bắt buộc). Khi gõ vào First Name
hoặc Last Name thì giá trị Full Name được tự động đưa vào và sau đó có thể
sửa lại được. Giá trị đưa vào này sẽ sinh ra một số các thuộc tính của đối tượng
người dùng: Common Name (CN – tên phổ biến), Distinguished Name (DN –
tên phân biệt), Name (tên) và DisplayName (tên hiển thị) . Do thuộc tính CN
buộc phải là duy nhất trong một Container, nên tên đầy đủ nhập vào đây phải
là duy nhất một cách tương đối so với các đối tượng khác trong OU nơi mà đối
tượng người dùng được tạo ra (hoặc với các Container khác) .
User Logon Name (Tên đăng nhập): Tên của tài khoản sử dụng để đăng nhập
(bắt buộc). Tên này sẽ được dùng trong User principal Name (UPN – tên chính
của người dùng), bao gồm tên đăng nhập và đuôi UPN, mặc định là tên hệ
thống tên miền (Domain Name System - DNS) của miền, toàn bộ tên UPN có
định dạng Tên-đăng-nhập@đuôi-UPN (logon-Name@UPN-suffix) và phải là
duy nhất trong rừng Active Directory. Ví dụ UPN là someone@lhu.edu
35
Sau khi vào các giá trị cho trang đầu chọn Next, sẽ xuất hiện trang thứ 2 bao gồm
các tham số sau:
Password: Mật khẩu để xác thực người dùng, có độ dài tối đa là 127 ký tự (tuỳ
chọn và phụ thuộc vào chính sách miền khi đó có thể bắt buộc).
Confirm Password: Vào lại mật khẩu thêm một lần nữa để chắc chắn đã gõ
vào đúng. Nếu hai lần không trùng khớp nhau hệ thống sẽ yêu cầu nhập lại
thêm một lần nữa.
User Must Change Password At Next Logon: Chọn lựa chọn này nếu muốn
người dùng thay đổi lại mật khẩu khi đăng nhập vào hệ thống lần đầu. Sẽ không
thể chọn lựa chọn này nếu đã chọn Password Nerver Expires. Lựa chọn này
cũng sẽ tự động xoá bỏ lựa chọn User Cannot Change Password
User Cannot Change Password: Chọn lựa chọn này, người dùng sẽ không
thay đổi lại được mật khẩu, thường sẽ dùng lựa chọn này khi có đồng thời từ
hai người trở lên dùng chung một tài khoản người dùng miền hoặc muốn quản
lý dịch vụ mật khẩu người dùng. Không thể chọn lựa chọn này nếu đã chọn
User Must Change Password At Next Logon.
Password Nerver Expires: Chọn lựa chọn này nếu muốn mật khẩu không bao
giờ bị hết hạn. Sẽ không chọn được lựa chọn này nếu đã chọn User Must
Change Password At Next Logon. Thường sẽ chọn lựa chọn này để quản lý
các mật khẩu của tài khoản dịch vụ
Account Is Disable: Chọn lựa chọn này để vô hiệu hoá tài khoản, ví như là cho
người mới đến, nhưng người này lại chưa cần truy nhập vào mạng.
36
Hình 2.10: Tạo mật khẩu và một số tùy chọn cho User.
Một số tuỳ chọn của tài khoản có thể mâu thuẫn với chính sách nhóm đã thiết lập
mà nó được kế thừa từ miền hoặc đối tượng chứa. Ví dụ, chính sách nhóm của miền
mặc định là mật khẩu phải đổi theo chu kỳ là 42 ngày. Trong khi đó lại chọn Password
Never Expires thì nó sẽ ghi đè lên chính sách nhóm và người dùng sẽ không nhận
được nhắc nhở phải đổi lại mật khẩu nữa.
Sau khi đã nhập vào các giá trị tại trang thứ 2 này chọn Next, khi đó sẽ xuất hiện
tramh summary. Chọn Finish để hoàn thành việc khởi tạo đối tượng người dùng mới
tại đối tượng chứa đã chọn.
2.2.6 Quản lý tài khoản người dùng

Sau khi tạo đối tượng người dùng, sử dụng bảng điều khiển Active Directory
Users And Computers để quản lý các thuộc tính của nó. Bằng cách chọn đối tượng
người dùng, sau đó chọn thực đơn Action, có thể thực thi các công việc sau:
Add To A Group: Đưa đối tượng người dùng vào thành thành viên của nhóm
đã có
Disable Account: Vô hiệu hoá tài khoản, không cho phép đăng nhập với tài
khoản này. Nếu muốn dùng lại chỉ cần xoá dấu chọn tại hộp kiểm tra Account
Is Disable trong danh sách Account Option trên thẻ Account của hộp thoại
Properties của đối tượng người dùng này.
37
Reset Password: Cho phép quản trị đặt lại mật khẩu tài khoản mà không cần
biết mật khẩu cũ.
Open Home Page: Mở Microsoft Internet Explorer và kết nối tới địa chỉ trang
web (Uniform Resource Locator - URL) được xác định tại hộp Web Page
trong thẻ General tại hộp thoại Properties của đối tượng người dùng
Send Mail : Dùng ứng dụng thư điện tử mặc định, tạo thư mới với địa chỉ tại
hộp Email trong thẻ General tại hộp thoại Properties của đối tượng người
dùng.
Delete : Xoá đối tượng người dùng khỏi CSDL Active Directory.
Rename: Sủa đổi lại trường Full Name của đối tượng người dùng và mở hộp
thoại Rename User để có thể sửa đổi lại First Name, Last Name, Display
Name, User Logon Name và User Logon Name (Pre–Windows 2000).
Khi tạo tài khoản người dùng mới, chỉ cần đưa vào các thuộc tính cơ bản nhất.
Sau đó, có thế sử dụng một công cụ quản trị mạnh dành cho đối tượng người dùng là
hộp thoại Properties của chính đối tượng này. Mở hộp Properties bằng cách chọn đối
tượng người dùng sau đó tại thực đơn Action chọn tiếp Properties để sửa lại. Mặc
định hộp thoại này có 13 thẻ, với rất nhiều các thuộc tính có thể thiết lập cho User.
Các thẻ này được phân loại như theo bảng 2-1 đưới đây
Bảng 2-1: Phân loại các thuộc tính người dùng trong các thẻ của hộp thoại User
Properties
Phân loại Thẻ
General
Thông tin cá nhân Address
(Personal information) Telephones
Organization
Thuộc tính Tài khoản

Account
(Account properties)
Quản lý cấu hình người dùng

Profile
(User
38
configurationmanagement)
Quan hệ thành viên nhóm

Member Of
(Group membership)
Terminal Services Profile
Environment
Dịch vụ Đầu cuối
(Terminal Services) Remote Control
Sessions
Truy cập từ xa
Dial-in
(Remote Access)
Ứng dụng (Applications) COM+
Thiết lập của các thẻ trong hộp thoại Propertives
39
Hình 2.11: Hộp thoại User’s Propertives
Thẻ General
Gồm các thông tin cơ bản của người dùng như First Name và Last Names mà
bạn nhập vào khi tạo đối tượng người dùng. Bạn cũng có thểđưa vào các trường khác
nhưDisplay Name, Office Location (vị trí cơ quan) và Description, thêm vào đó là
Telephone Numbers (số điện thoại), Web page addresses (địa chỉ trang WEB) và E-
mail address (địa chỉ thư điện tử) của người dùng.
Rất nhiều trường trong các Thẻ General, Address, Telephones và Organization
là các thông tin cá nhân và các trường này là tuỳ chọn và các giá trị của nó không có
mối liên quan trực tiếp tới các hoạt động của đối tượng người dùng hay của dịch vụ
Active Directory, nó đơn giản chỉ cung cấp các thông tin về người dùng. Việc cung
cấp các thông tin này giúp cho người quản trị dể dàng tìm kiếm tài khoản người dùng
miền bằng cách sử dụng công cụ tìm kiếm (Search) với bất kể thông tin nào họ có về
40
người dùng. Các người dùng trên mạng cũng có thể tìm kiếm một người dùng cụ thể
nào đó để tìm ra các thông tin liên hệ hoặc dữ liệu khác.
Thẻ Address
Gồm các trường thông tin cho phép quản trị nhập các thông tin địa chỉ người
dùng vào Active Directory.
Thẻ Telephones
Gồm các trường cho phép quản trị lưu các sốđiện thoại của người dùng. Mặc dù
các truờng như vậy chỉ đơn thuần là thông tin trong cấu hình mặc định của Active
Directory, nhưng cũng không thể nói là nó chẳng để làm gì cả. Có rất nhiều thông tin
có ích, ví dụ như có thể tạo ứng dụng quay số điện thoại cho phép tìm kiếm tài khoản
người dùng khác trong Active Directory và tự động quay số vào số điện thoại đặt
trong thẻ này.
Thẻ Organization
Bao gồm các trường mà ở đó người quản trị có thể xác định thông tin về ví trí
của người dùng trong tổ chức, có cả trường mà ở đó có thể chọn tài khoản người quản
lý của người dùng này trong CSDL Active Directory.
Thẻ Account
Thẻ Account chứa các trường User Logon Name, UPN Suffix, and User Logon
Name (Pre–Windows 2000) có các giá trị bạn đưa vào khi tạo người dùng, tuỳ theo
bốn lựa chọn từ ttrình hướng dẫn Create Object – User. Thẻ này cũng sẽ bao gồm một
số các tuỳ chọn khác như sau.
 Logon Hours (Giờ đang nhập): Hiện hộp thoại Logon Hours, tại đó quản trị
có thể đặt thời gian hàng ngày hoặc theo ngày xác định trong tuần mà người
dùng sẽ được phép đăng nhập vào miền. Mặc định, tính năng này chỉ cấm
người dùng đăng nhập vào. Nếu người dùng đã đăng nhập và hết thời gian
cho phép thì sẽ không bị ngắt. Nhưng nếu trong Network Security tại đối
tượng chính sách nhóm (GPO) chọn Network Security là Force Logoff When
Logon Hours Expire, thì quản trị sẽ ngắt kết nối của người dùng một cách tự
động. Hạn chế của Logon Hours là chỉ áp dụng cho đăng nhập miền chứ
không áp dụng cho đăng nhập cục bộ.
 Log On To (Đăng nhập vào): Hiện hộp thoại Logon Workstations, tại đó
quản trị có thể xác định tên của các máy tính trên mạng mà người dùng này
có thể đăng nhập vào. Tính năng này còn được gọi là Computer Restrictions.
Phải chọn Enable NetBIOS over TCP/IP trên mạng để sử dụng tính năng này
do nó hạn chế việc đăng nhập vào máy tính dựa trên tên NetBIOS của máy.
41
 Account Is Locked Out (Tài khoản đã bị khóa): Mặc định để ở chế độ vô

hiệu hoá, nó chỉ được kích hoạt và chọn khi tài khoản người dùng bị khoá do
nhiều lần cố tình đăng nhập không thành. Có thể đặt khóa các tài khoản tuỳ
theo các giá trị Account Lockout Duration (Thời gian khóa tài khoản),
Account Lockout Threshold (ngưỡng khóa tài khoản), và Reset Account
Lockout Counter After (Đặt lại biến đếm khóa tài khoản sau) của chính sách
nhóm (GPO). Ví dụ, Account Lockout Threshold đặt là 3 thì tài khoản sẽ bị
khoá sau 3 lần đăng nhập không thành công. Khi tài khoản bị khoá thì quản
trị có thể mở lại bằng cách xóa lựa chọn này.
 Store Password Using Reversible Encryption (Lưu mật khẩu sử dụng mã
hóa đảo): Buộc Active Directory lưu mật khẩu của đối tượng với thuật toán
mã hoá đảo, thay cho việc sử dụng các thuật toán mã hóa thuận chiều, mạnh
hơn và hiện đang được sử dụng phổ biến trong việc mã hóa mật khẩu. Lựa
chọn này được thiết kế để cho các ứng dụng yêu cầu đảo mật khẩu, như phiên
bản đầu tiên của Challenge Handshake Authentication Protocol (CHAP).
Trong tất cả các trương hợp khác, lựa chọn này nên để ở dạng vô hiệu hoá.
Cũng có thể thiết lập là kích hoạt hoặc vô hiệu hoá lựa chọn này bằng cách sử
dụng Group Policies. Khi lựa chọn này được chọn thì nó sẽ đè lên giá trị
cùng loại trên các Group Policy khác nếu có xung đột.
 Account Is Disabled (Tài khoản bị vô hiệu hóa): Cho phép quản trị vô hiệu
hoá hoặc kích hoạt tài khoản người dùng
 Smart Card Is Required For Interactive Logon (Yêu cầu có Smart Card
khi đăng nhập): người dùng được yêu cầu smart card khi đăng nhập. Smart
card là thiết bị thẻ chứa thông tin định danh của người dùng, thường là dưới
dạng chứng chỉ số và khoá mã riêng. Để người dùng đăng nhập bằng smart
card thì máy tính phải có thiết bị đầu đọc và phần mềm tương ứng và người
dùng phải có chính xác số PIN (personal identification number) của Card.
Lựa chọn này dành cho các tài khoản yêu cầu tăng cường tính năng bảo mật.
Bởi vì việc dùng smart card không cần tới mật khẩu, lựa chọn này thay đổi
mật khẩu tài khoản thành giá trị phức tạp và ngẫu nhiên và kích hoạt lựa chọn
Password Never Expires.
 Account Is Trusted For Delegation (Tài khoản được tin cậy cho ủy
quyền): Lựa chọn này cho phép dịch vụ chạy dưới tên tài khoản người dùng
(gọi là service account – tài khoản dịch vụ) nhằm đóng vai trò là một người
dùng truy nhập vào tài nguyên máy tính thay mặt cho tài khoản người dùng
khác trên mạng. Trên mạng, lựa chọn này hiếm khi được chọn, nếu có, trong
đối tượng người dùng để thay mặt cho người dùng thực sự.
 Account Is Sensitive And Cannot Be Delegated (Tài khoản là nhạy cảm và
không được ủy quyền): Uỷ quyền cho phép quản trị trao quyền kiểm soát cho
42
một tài khoản cụ thể, thường là dùng tạm thời, ví dụ như là tài khoản Guest.
Lựa chọn này ngăn cấm tài khoản được uỷ quyền bởi các tài khoản khác,
 Use DES Encryption Types For This Account (Sử dụng kiểy mã hóa DES
cho tài khoản này): Active Directory sẽ sử dụng thuật toán mã hoá DES
(Data Encryption Standard) cho các đối tượng người dùng này.
 Do Not Require Kerberos Preauthentication (không yêu cầu quá trình
tiền xác thực Kerberos): Active Directory bỏ qua thủ tục tiền xác thực
Kerberos (quá trình tiền xác thực kerberos là quá trình so sánh thời gian trên
máy khách đã được mã hoa bằng mật khẩu của người dùng, nếu thành công
mới thực hiện tiếp quá trình xác thực) khi thực hiện việc xác thực người dùng
này. Lựa chọn này là dành cho các tài khoản sử dụng các thực thi xác thực
khác của giao thức xác thực kerberos, mà không hỗ trợ việc xác thực trước.
Bỏ qua việc thực thi tiền xác thực giao thức Kerberos, sẽ gây giảm tính năng
an toàn được cung cấp bởi giao thức này, do vậy, không nên kích hoạt lựa
chọn này trừ khi có lý do đặc biệt.
 Account Expires: Cho phép quản trị xác định ngày tài khoản tự động bị vô
hiệu hoá.
Thẻ Profile
Gồm các trường bạn có thể chỉđịnh vị trí đặt User profile (Khái lược Người
dùng), Home Folder (Thư mục chủ) và Logon Script (Kịch bản đăng nhập) sẽ thực thi
khi người dùng đăng nhập.
Thẻ Member Of
Liệt kê các nhóm mà người dùng là thành viên và cho phép quản trị sửa đổi lại
các quan hệ thành viên nhóm của người dùng. Mặc định, người dùng mới tạo là thành
viên của nhóm Domain Users.
Terminal Services Profile

Cho phép quản trị cho phép người dùng kết nối vào Terminal Servers (Máy chủ
Dịch vụ Đầu cuối) và chỉ định vị trí của User Profile và Home Folder sẽ được áp
dụng khi người dùng kết nối vào Terminal Server.
Thẻ Environment
Cho phép quản trị chỉ định ứng dụng sẽ chạy ngay khi người dùng kết nối vào
Máy chủ Dịch vụ Đầu cuối. Tại đây còn có các lựa chọn có cho phép hay không kết
nối tới các ổ đĩa đã được gắn kết (Map) và các máy in trên máy trạm ngay sau khi
đăng nhập. Và chỉ định liệu có in vào máy in mặc đinh tại máy trạm hay không.
Remote Control
43
Cho phép cấu hình các thiết lập điều khiển từ xa Dịch vụ đầu cuối (Terminal
Services) cho đối tượng người dùng. Các lựa chọn này chỉ định liệu các phiên làm
việc của người dùng có thể được truy nhập bằng cách sử dụng tính năng kiểm soát từ
xa của Dịch vụ Đầu cuối hay không, liệu các Cấp phép cho người dùng có cần thiết
hay không khi thực hiện truy cập nói trên, và liệu người kiểm định (Auditor) chỉ đơn
thuần quan sát các phiên làm việc của người dùng hay thực sụ tham gia vào các phiên
làm việc này. Các lựa chọn này cũng còn có thể được cấu hình thông qua bảng điều
khiển Terminal Services Configuration hoặc Chính sách Nhóm (Group Policies-GP),
Trong trường hợp nếu các thiết lập cho các lựa chọn này sử dụng các công cụ khác
nhau nói trên có xung đột thì các thiết lập trong Chính sách Nhóm sẽ được ưu tiên.
Thẻ Sessions
Cho phép quản trị có thể cấu hình hành vi khi ngắt kết nối phiên làm việc Dịch
vụ Đầu cuối của người dùng, sử dụng các điều khiển sau:
 End A Disconnected Session (Kết thúc phiên làm việc đã được ngắt): Đặt
thời gian cho phiên làm việc (secsion) của người dùng sử dụng Terminal
Services tiếp tục duy trì trên máy chủ sau khi người dùng đã ngắt kết nối.
 Active Session Limit (Giới hạn của Phiên làm việc đang hoạt động):Đặt
khoảng thời gian tối đa cho phiên làm việc của người dùng sử dụng Dịch vụ
Đầu cuối, Phiên làm việc sẽ bị ngắt khi đạt tới giới hạn đã đặt.
 Idle Session Limit (Giới hạn của phiên làm việc đang dừng ): Đặt khoảng
thời gian nghỉ tối đa cho phép của phiên làm việc trước khi máy chủ ngắt kết
nối.
 When A Session Limit Is Reached Or Connection Is Broken (Khi đạt tới
giớihạn của phiên làm việc háy kết nối bị đứt): Thiết lập Máy chủ Dịch vụ
Đầu cuối ngắt hay hủy bỏ phiên làm việc khi phiên đạt đến giới hạn, người
dùng có thể lập lại phiên đã bị ngắt nhưng không thể kết nối lại đến phiên đã
bị máy chủ hủy bỏ.
 Allow Reconnection (Cho phép kết nối lại): Chỉ định liệu người dùng có hay
không được phép kết nối lại tới Máy chủ Dịch vụ Đầu cuối từ một máy trạm
bất kỳ hoặc từ máy trạm đã khởi tạo phiên.
Thẻ Dial-in
Bao gồm các điều khiển cho phép quản trị thiết lập các khả năng truy nhập từ xa
của người dùng, bao gồm:
 Remote Access Permission (Dial-In Or VPN) (Cấp phép Truy nhập Từ xa –

Quay số hay VPN): Có thể chọn các lựa chọn cho phép truy nhập, từ chối truy
nhập hoặc điều khiển truy nhập thông qua các thiết lập trong Chính sách Truy
44
nhập Từ xa (Remote Access Policy). Nếu lựa chọn “Allow Access” (cho phép
truy nhập), các dự định két nối của người dùng tới máy chủ thậm chí vẫn bị từ
chối do các thiết lập đã đặt trong Chính sách Truy nhập Từ xa, các thuộc tính
của Tài khoản Người dùng hay tại các thuộc tính của Khái lược (Profile) Dịch
vụ Đầu cuối .
 Verify Caller ID (Kiểm tra Định danh Người gọi): Máy chủ kết nối từ xa kiểm
tra lại số Định danh Người gọi mà người dùng sử dụng để kết nối bằng cách so
sánh nó với Định danh Người gọi (Caller ID) đã được nhập trong thẻ này. Nếu
số Định danh Người gọi của người dùng không được xác nhận hoặc không
đúng số điện thoại đã định trước thì kết nối này sẽ bị từ chối.
 Callback Options (các tùy chọn gọi lại): Cho phép người quản trị cho phép
người dùng sử dụng tính năng gọi lại khi kết nối tới máy chủ từ xa hay không.
Nếu có, sau khi người dùng kết nối tới máy chủ thì nó sẽ ngắt kết nối đồng thời
sau đó thiết lập kết nối quay lại tới người dùng theo số điện thoại đã được
người dùng chỉ định hay theo số mà quản trị đã đặt trước ngay trong thẻ này.
Tính năng gọi lại sẽ tiết kiện cho người dùng, các hóa đợn sẽ được tính cho số
điện thoại tại máy chủ, và đảm bảo tính an toàn, do chỉ những người gọi tại một
trong các số điện thoại nhất định đã được cho phép mới có thể truy nhập từ xa
vào máy chủ.
 Assign A Static IP Address (Gán IP tĩnh): Cho phép quản trị đặt địa chỉ IP
tĩnh mà máy chủ từ xa sẽ luôn gán cho người dùng này.
 Apply Static Routes: Cho phép quản trị chỉ định các bản ghi định tuyến tĩnh sẽ
được thêm vào bảng định tuyến của máy trạm khi kết nối Demand-Dial (Quay
theo yêu cầu) được thiết lập.
Thẻ COM+
Cho phép quản trị gán một tập partition COM+ xác định cho người dùng. Tập
Partition COM+ là tập hợp của các các partition COM+ mà ở đó các ứng dụng
COM+ được lưu. Chọn một tập partition COM+ nào đó sẽ cho phép người dùng truy
nhập đến các ứng dụng khác nhau có trong tập này.
Quản lý đồng thời nhiều người dùng
Khi quản lý các tài khoản người dùng miền, khi phải làm các công việc sửa đổi
giống nhau cho nhiều tài khoản người dùng và thực hiện chúng một cách riêng lẻ thì
sẽ thực sự là một công việc mất thời gian và nhàm chán. Trong những trường hợp như
vậy, hoàn toàn có thể cùng lúc thay đổi các thuộc tính của nhiều tài khoản người dùng
bằng cách sử dụng bảng điều khiển Active Directory Users And Computers. Đơn giản
là chọn đồng thời các đối tượng người dùng bằng cách giữ phím CTRL trong khi chọn
45
từng người dùng trong khung chi tiết, sau đó chọn Properties từ thực đơn Action. Hộp
thoại Properties On Multiple Objects xuất hiện như hình 2.12
Hình 2.12: Hộp thoại Propertives for Multiple Items
Hộp thoại Propertives for Multiple Items khác một chút so với hộp thoại
Properties chuẩn của đối tượng người dùng. Nó chỉ có một số giới hạn các thuộc tính,
là các thuộc tính được áp dụng cho đồng thời nhiều đối tượng. Các thuộc tính của hộp
thoại này được tổng kết trong bảng 2-2
Bảng 2-2: Các thuộc tính có thể được hiện cho việc chỉnh sửa khi chọn đồng thời
các đối tượng người dùng
Thẻ Thuộc tính
Description
General Office
Telephone Number
Fax
Web Page
46
E-mail
UPN Suffix
Logon Hours
Account Computer Restrictions
Account Options
Account Expires
Street
P.O. Box
Address
City
State/Province
Zip/Postal Code Country/Region
Profile Path
Profile
Logon Script
Home Folder
Title
Organization Department
Company
Manager
Di chuyển các đối tượng người dùng
Mặc dù việc có trong tay bản thiết kế về cấu trúc Active Directory cho tổ chức
của bạn khi tạo các đối tượng người dùng thật sự là một điều lý tưởng do có thể tạo
chúng trong đúng các đối tượng chứa cụ thể, nhưng việc phải di chuyển các đối tượng
này sau đó vẫn hoàn toàn có thể xẩy ra.
Khả năng này cũng còn cho phép điều chỉnh lại cho phù hợp với việc thuyên
chuyển nhân sự hoặc tái cơ cấu lại công việc.
Để di chuyển đối tượng người dùng (hay bất cứ một đối tượng nào khác) chọn
đối tượng này và sau đó từ thực đơn Action chọn Move, khi đó sẽ xuất hiện hộp thoại
47
Move (hình 2.13). Sau đó chọn đối tượng chứa muốn chuyển nó đến và nhấn OK.
Cũng nó thể di chuyển đối tượng bằng cách kéo và thả.
Hình 2.13: Hộp thoại Move
Khởi tạo đồng thời nhiều người dùng

Đôi khi, quản trị mạng được yêu cầu phải tạo nhiều đối tượng người dùng một
cách nhanh chóng, để đáp ứng cho một đợt tuyển dụng mới hoặc một lớp sinh viên
mới nhập học. Khi đó, sẽ có các phương pháp mà có thể sử dụng để làm đơn giản hóa
hay tự động hóa quá trình tạo đối tượng người dùng thay cho việc phải tạo riêng lẻ
từng tài khoản. Bảng điều khiển Active Directory Users And Computers là một công
cụ thiết kế chủ yếu dành cho việc tạo và quản lý các đối tượng một cách đơn lẻ. Tuy
nhiên, Windows Server 2003 có cả các công cụ khác dùng cho việc tạo các đối tượng
sử dụng các kỹ thuật như nhập (import) và các kịch bản dạng dòng lệnh (command-
line scripting).
Sử dụng các mẫu (Template) đối tượng

Thông thường thì các đối tượng của Active Directory ở trong cùng một lớp
(class) sẽ chia sẻ các thuộc tính tương tự nhau. Ví dụ, tất cả các thành viên cùng một
phòng ban sẽ ở cùng các nhóm giống nhau, được phép đăng nhập vào mạng cùng giờ
và có các Home Folders (Thư mục chủ) và Romaing Profiles (Khái lược di trú) đặt trên
cùng một máy chủ. Trong trường hợp này sẽ rất thuận tiện khi bắt đầu việc tạo tài
khoản cho các người dùng mới bằng cách tạo một đối tượng có các thuộc tính chung,
đối tượng người dùng chung, hay còn gọi là Template (Mẫu) và sau đó sử dụng việc
sao chép đối tượng này để tạo các đối tượng người dùng mới.
Để tạo đối tượng người dùng mẫu, ta tạo đối tượng người dùng mới, gán tên cho
nó ví dụ là UserTemplate và đặt cấu hình các thuộc tính của nó là các thuộc tính
chung của tất cả mọi người dùng mới muốn tạo, cách làm như là cấu hình cho từng
người dùng vậy. Các thuộc tính sẽ được sao chép tới đối tượng mới được tổng kết
trong bảng 2-3. Sau khi cấu hình các thuộc tính cho đối tượng mẫu này, phải vô hiệu
48
hoá (Disable) chúng để không ai có thể sử dụng đối tượng này này để truy nhập vào
mạng.
Bảng 2-3: Các Propertie sao chép tới đối tượng người dùng mới.
Thẻ Các thuộc tính (Properties) sẽ được chép
General Không
Address Tất cả, ngoại trừ Street Address
Telephones Không
Organization Tất cả, ngoại trừ Title
Account Tất cả, ngoại trừ User Logon Name và User Logon
Name (Pre-Windows 2000), sẽ được xác định trong quá
trình thực hiện sao chép.
Profile Tất cả, gồm Profile Path và Local Path, sẽ được chỉnh
sửa tương ứng logon Name của người dùng mới
Member Of Tất cả
Terminal Services Profile Không
Environment Không
Remote Control Không
Sessions Không
Dial-in Không
COM+ Không
Một khi đối tượng mẫu đã được tạo ra, bạn có thể sử dụng nó để tạo tài khoản
người dùng mới bằng cách chọn đối tượng mẫu thích hợp, sau đó chọn thực đơn
Action, chọn Copy, khi đó sẽ xuất hiện trình Hướng dẫn Chép Đối tượng Người dùng
49
(Copy Object-User) gần giống như trình Hướng dẫn Tạo Đối tượng Người dùng Mới
(New Object-User) bạn đã sử dụng trong phần trước của chương này. Trình hướng dẫn
sẽ dẫn bạn qua các bước của quá trình cấu hình các thuộc tính của đối tượng bắt buộc
phải có các giá trị duy nhất, nhưFirst Name, Last Name, Initials, Logon Name,
Password và các tuỳ chọn của tài khoản. Khi trình Hướng dẫn kết thúc, đối tượng
người dùng mới sẽđược tạo với các giá trị thuộc tính giống như của đối tượng mẫu đối
với các thuộc tính đã được liệt kê trong bảng trên.
2.2.7 Tạo đối tường người dùng sử dụng csv Directory Exchange
CSV Directory Exchange (Csvde.exe) là tiện ích dạng dòng lệnh cho phép nhập
vào hoặc kết xuất ra các đối tượng từ Active Directory, sử dụng file văn bản có các
trường được phân cách bằng dấu phẩy “,”, Các file này, còn được gọi là file CSV
(Comma-Separated Value), là dạng liệt kê dạng văn bản tường minh (Plain-text) của
các thông tin CSDL với mối bản ghi là một dòng, và các trường được phân cách bởi
dấu phẩy “,”.
Tạo CSV file
Phần khó nhất của việc sử dụng CSV Directory Exchange để tạo đối tượng
người dùng nằm ở chính bản thân định dạng của file CSV. Dòng đầu của file CSV
được gọi là tiều đề, bắt buộc phải bao gồm danh sách các thuộc tính có trong tất cả các
hàng tiếp theo. Liệt kê các thuộc tính sử dụng tên gán cho chúng trong Lightweight
Directory Access Protocol (LDAP), là giao thức giao tiếp Active Directory tiêu chuẩn.
Dòng CSV tiêu đề có dạng tiêu biểu như sau: DN, ObjectClass, sAMAccountName,
sn, givenName, UserPrincipalName Trong dòng này, tên trường đại diện cho các
thuộc tính như sau:
 DN: Distinguished Name (DN), nó xác định không chỉ riêng tên của đối tượng
mà cả vị trí của nó trong cây phân cấp AD. DN gồm có tên thông dụng
(Common Name - CN) của người dùng và tiếp theo sau là tên của tất cả các đối
tượng chứa bên trên của nó, toàn bộđường đi tới gốc (Root, Top) của cây.
 ObjectClass: Xác định kiểu của đối tượng.
 sAMAccountName: Xác định pre–Windows 2000 logon Name của đối tượng
 sn: Xác định tên họ (Surname) của người dùng
 givenName: Xác định tên gọi (first Name) của người dùng
 UserPrincipalName: Xác địnhUPN đầy đủ, bao gồm cả tên, của người dùng
miền (UserName@DomainName.com).
Các dòng tiếp theo sau tiêu đề (header) phải xác định giá trị cho từng thuộc tính
đã liệt kê trên tiêu đề. Ví dụ các bản ghi trong file CSV như sau:
50
"CN=Scott Bishop, OU=Employees, DC=lhu, DC=edu", User, sbishop, Bishop,

Scott, scott.bishop@lhu.edu
File này, khi được nhập vào, sẽ tạo đối tượng người dùng trong OU Employees
có tên là Scott Bishop. Logon Name, First Name và Last Name cũng được cấu hình
bằng file CSV này. Đây chỉ là một ví dụ đơn giản của file CSV với chỉ một vài thuộc
tính. Dòng tiêu đề có thể dài hơn nhiều và có thể bao gồm bất kỳ một thuộc tính nào
có thể tìm thấy ở đối tượng.
Cách tốt nhất để tạo file CSV là sử dụng một file có sẵn như là một ví dụ. Có thể
sử dụng CSV Directory Exchange để kết xuất ra toàn bộ CDSL Active Directory
thành tệp CSV, bằng cách gõ lệnh sau tại của sổ dòng lệnh:
csvde –f outputFileName
Trong đó: outputFileNamel à file được kết xuất ra
Có thể mở file này bằng bất cứ hệ soạn thảo văn bản nào, như Notepad chẳng
hạn và sử dụng nó để xác định các tên LDAP cho các thuộc tính muốn sử dụng và để
lấy định dạng chuẩn của mối bản ghi.
Nhập vào tệp CSV

Sau khi đã tạo tạo được file CSV đã được định dạng chuẩn, có chứa các thông tin
của rất nhiều các đối tượng Active Directory, có thể nhập chúng vào CSDL thư mục
của tất cả cùng lúc bằng cách chạy chương trình Csvde.exe từ cửa sổ dòng lệnh của
Windows cùng với tên của file CSV, theo cú pháp sau: csvde –i –f FileName –k
Chức năng của các tham số như sau:
 -i: Chuyển sang chế độ nhập. Nếu không có tham số này thì ngầm định là chế
độ kết xuất ra.
 -f fileName: Xác định tên của file CSV sẽ được nhập vào
 -k: Buộc chương trình bỏ qua các lỗi, ví dụ như “Object already exists”(Đối
tượng đã tồn tại) , “constraint violation” (vi phạm các ràng buộc) “attribute
or value already exists” (thuộc tính hay giá trị đã tồn tại), trong khi việc nhập
vào đang thực hiện và tiến trinh vẫn được thực hiện tiếp.
Tạo đối tượng người dùng bằng DSADD.EXE

Dsadd.exe là chương trình của Windows Server cho phép tạo mới các đối tượng
Active Directory, với đầy đủ các thuộc tính, từ của sổ dòng lệnh. Khi có một số lượng
lớn các đối tượng người dùng để tạo, sự ưu việt của việc sử dụng Dsadd.exe là có thể
51
tạo file bó (batch) gồm nhiều dòng lệnh nhằm tạo đồng thời nhiều đối tượng cùng lúc
với số lượng lớn bao nhiêu tùy thích.
Cú pháp chính tạo đối tượng người dùng bằng Dsadd.exe như sau:
dsadd User UserDN [parameters]

Tham số UserDN là một hoặc nhiều hơn các tên phân biệt (Distinguished
Names) cho một (hoặc nhiều) đối tượng người dùng mới. DN sử dụng cùng một định
dạng giống như định dạng của nó trong tệp CSV, như đã nêu ở phần trên. Trong
trường hợp DN có dấu cách, thì phải đặt nó trong dấu ngoặc kép (“”). Khi bạn sử dụng
Dsadd.exe một cách tương tác từ dấu nhắc dòng lệnh, bạn có thể cung cấp tham số
UserDN theo một trong các cách sau:
 Nhập từng tên DN một, phân cách nhau bới dấu cách, trong vị trí của nó tại
dòng lệnh.
 Lấy danh sách các DN từ câu lệnh khác, ví dụ như từ Dsquery.exe
 Bỏ trống tham số DN, nhập DN tại dấu nhắc đưa ra từ chương trình, Nấn Enter
sau mỗi DN và nhấn CTRL+Z và Enter sau DN cuối cùng.
Ngoài tham sốUserDN, có thể thêm bất cứ một trong các tham số sau trong câu
lệnh Dsadd.exe, nhằm chỉ định các giá trị cho các thuộc tính của đối tượng:
-samid SAMName (tên truy nhập với các hệ điều hành trước Windows 2000)
-upn UPN (tên chính của người dùng)
-fn FirstName (Tên gọi)
-mi Initial (Chữ cái đầu của tên đệm)
-ln LastName (Tên họ)
-display DisplayName (Tên hiển thị)

-empid EmployeeID (Mã định danh nhân viên)
-pwd {Password | *}, (mật khẩu), nếu đặt dấu “*” trong câu lệnh, màn hình sẽ
hiện dấu nhắc cho bạn gõ mật khẩu.
-desc Description(mô tả)

-Memberof GroupDN (Tên đầy đủ của nhóm)
-office Office (tên văn phòng)
-tel PhoneNumber (số điện thoại)
52
-email Email
-hometel HomePhoneNumber (điện thoại nhà riêng)

-pager PagerNumber (Số máy nhắn tin)
-mobile CellPhoneNumber (số di động)
-fax FaxNumber
-iptel IPPhoneNumber
-webpg WebPage
-title Title
-dept Department
-company Company
-mgr ManagerDN
-hmdir HomeDirectory (thư mục chủ)
-hmdrv DriveLetter (Ký tựổ đĩa)
-profile ProfilePath (đường dẫn đên khái lược người dùng)
-loscr ScriptPath (đường dẫn đến kịch bản đăng nhập)

-mustchpwd {yes | no}
-canchpwd {yes | no}
-reversiblepwd {yes | no}
-pwdneverexpires {yes | no}
-acctexpires (Số ngày sẽ hết hạn)

-Disabled {yes | no}
Cũng có thể thêm các tham số–s, -u và – p chỉ định máy điều khiển miền sẽ thực
thi Dsadd.exe và tên người dùng, mật khẩu cũng sẽ được dùng để chạy lệnh này.
{-s Server | -d Domain}

-u UserName
-p {Password | *}
53
Một biến đặc biệt, $UserName$ (không phân biệt chữ hoa hay chữ thường), có
thể sử dụng để cung cấp tên tài khoản SAM của người dùng trong giá trị của các tham
số-email, -hmdir, -profile và -webpg. Ví vụ, nếu tên SAM của tài khoản là “Denise”
tham số-hmdir sẽ được ghi là một trong các dạng sau:
-hmdir\Users\Denise\home
-hmdir\Users\$UserName$\home
Để tạo đối tượng cho người dùng Scott Bishop tại ví dụ trước đây, có thể sử dụng
dòng lệnh Dsass.exe như sau:
dsadd User "CN=Scott Bishop, OU=Employees, DC=lhu, DC=edu" – samid sbishop

–ln Bishop –fn Scott –upn scott.bishop@lhu.edu
Sửa đối tượng người dùng bằng Dsmod.exe

Dsmod.exe là một lệnh khác của Windows Server bạn có thể dùng để chỉnh sửa
các đối tượng Active Directory. Cú pháp và dòng lệnh sửa đối tượng người dùng hoàn
toàn giống như với Dsadd.exe.
dsmod User UserDN [parameters]

Ngoại trừ, không thể dử dụng tham số -samid để sửa thuộc tính User Logon
Name, cũng không thế dùng tham số -Memberof để thay đỏi nhóm chứa nó. Mặc dù
vậy, vẫn có thể sửa quan hệ nhóm bằng lệnh Dsmod Group.
Quản lý khái lược người dùng

Khái lược người dùng (User Profile) là tập hợp của các Folder và dữ liệu mà
trong đó lưu trữ các môi trường nền, các thiết lập ứng dụng và các dữ liệu cá nhân
hiện thời của người dùng. Khái lược người dùng gồm tất cả các khoản mục của thực
đơn Start của người dùng và các ổđĩa ánh xạ tới máy chủ. Khái lược người dùng duy
trì cho người dùng có cùng môi trường nền mà chúng có từ lần đăng nhập cuối vào
máy tính.
Trên máy tính chạy Windows Server, khái lược người dùng sẽ tự động được tạo
và duy trì thiết lập nền cho từng người dùng tại chính máy này. Hệ thống tạo khái lược
người dùng mới cho mỗi người dùng khi họ đăng nhập vào máy lần đầu.
Khái lược người dùng cung cấp một vài tính năng ưu việt cho người dùng như
sau:
54
• Nhiều người dùng có thể làm việc trên cùng một máy, và mỗi người trong số họ
đều có thể duy trì các thiết lập nền riêng của mình mỗi khi đăng nhập vào máy
tính.
• Khi người dùng vào máy trạm của mình, họ sẽ nhận được các thiết lập nền
giống như lần thoát ra trước đó.
• Việc chỉnh sửa môi trường nền của một người dùng nào đó sẽ không làm ảnh
hưởng tới các thiết lập của bất kỳ người nào khác.
• Khái lược người dùng có thể để trên máy chủ, bởi vậy với cùng một người
dùng trên các máy khác nhau thì vẫn dùng chung được một khái lược người
dùng. Khi đó, nó được gọi là khái lược người dùng di trú (Romaing User
Profiles).
• Những ứng dụng mà được xác nhận là tương thích với Windows 2000 và các
hệ điều hành sau đó sẽ lưu các thiết lập của chúng tại Khái lược Người dùng.
• Giống như một công cụ quản trị, Khái lược Người dùng cung cấp các chọn sau:
o Có thể tạo khái lược người dùng mặc định thích hợp với các tác vụ của
người dùng.
o Có thể thiết lập Khái lược Người dùng Bắt buộc (Mandatory User
Profile), là loại Khái lược mà người dùng không thể thay đổi được, áp
đặt một cấu hình hệ thống nhất định cho mọi người dùng.
o Có thể chỉ định các thiết lập mặc định cho người dùng, sẽ được đưa vào
Khái lược Người dùng của tất cả các người dùng riêng lẻ.
NỘI DUNG KHÁI LƯỢC NGƯỜI DÙNG

Khái lược người dùng bao gồm cấu hình các sở thích các tùy chọn cho một người
dùng cụ thể. Bảng 2-4 sẽ liệt kê các thiết lập có trong Khái lược Người dùng.
Bảng 2-4: Các thiết lập tại khái lược người dùng
Các thông số được lưu Nguồn
Tất cả các thiết lập cho Windows Explorer

Windows Explorer
người dùng có thể xác định
Các văn bản lưu trữ của người dùng My Documents
Các file ảnh lưu trữ của người dùng My Pictures
55
các Shortcut và cookie cho các web site ưa thích

Favorites/Cookies
trên Internet
Các ổ mạng được ánh xạ mà người dùng tạo ra Mapped network drive
Liên kết tới các máy tính khác trên mạng My Network Places
Biểu tượng đặt trên màn hình nền, thanh tác vụ

Desktop contents
và các yếu tố shortcut.
Màu màn hình và các thiết lập hiện thị chữ Screen colors and fonts
Dữ liệu ứng dụng và các thiết lập cấu hình do

Application data and registry
người dùng xác định
Các kết nối tới máy in mạng Printer settings
Tất cả các thiết lập người dùng có thể xác định

Control Panel
trong Control Panel
Các thiết lập chương trình hướng người dùng Programs certified for use with
(Per-User) cho các ứng dụng được thiết kế để Windows 2000 and later
theo dõi các thiết lập chương trình. operating systems
Chứng chỉ Certificate store
Cấu trúc Thư mục Khái lược Người dùng

Khái lược người dùng cục bộ đặt tại ổ đĩa hệ thống của máy tính tại Folder
Documents And Settings. Khi đăng nhập vào lần đầu, Windows Server tạo Folder con
trong Documents And Settings, với tên là tên đăng nhập. Hình 2.14 chỉ ra cấu trúc thư
mục của khái lược người dùng.
56
Hình 2.14: Cấu trúc của thư mục Khái lược Người dùng
Chức năng của các Folder trong khái lược người dùng như sau:
• Application Data: Folder ẩn chứa dữ liệu xác định trong chương trình, như từ
điển tùy chỉnh. Nhà phát triển ứng dụng sẽ quyết định dữ liệu nào sẽ được lưu
trong Folder này.
• Cookies: Chứa các thông tin người sử dụng trang WEB và các sở thích của
người dùng được Internet Explorer lưu.
• Desktop: Chứa các biểu tượng trên màn hình nền, bao gồm shortcut đến các
file và Folder.
• Favorites: Chứa shortcut tới các trang được ưa thích trên Internet
• Local Settings: Là Folder ẩn, chứa Folder Application Data và Folder History,
cũng như các Folder phụ thêm khác dành cho việc chứa các file tạm thời .
• My Documents: Chứa các tài liệu được lưu trữ bởi người dùng.
• My Recent Documents: Là Folder ẩn, chứa shortcuts của các tài liệu mới vừa
được sử dụng hoặc các Folder mới được truy nhập tới.
• NetHood: Là Folder ẩn, chứa các shortcut tới các mục trong My Network
Places.
• PrintHood: Là Folder ẩn, chứa các shortcut tới các mục của Folder printer.
• SendTo: Là Folder ẩn, chứa các shortcut tới các tiện ích quản lý văn bản
(document-handling).
• Thực đơn Start: Chứa các shortcut đến các file chạy và các file khác tạo thành
thực đơn Start .
• Templates: Chứa các mục mẫu của người dùng.
57
Thêm vào đó, khái lược người dùng còn chứa một bản của file NtUser.dat, Đây
là file đăng ký của Windows Server chứa các thiết lập của người dùng. Ngoài ra, các
thiết lập này còn gồm rất nhiều các tùy chọn mà bạn có thể cấu hình tại Control Panel.
Sử dụng Khái lược Người dùng Di trú (Romaing Profiles)

Để hỗ trợ người dùng làm việc trên nhiều máy tính, quản trị mạng có thể thiết lập
các Khái lược Người dùng Di trú cho người dùng. Khái lược Người dùng Di trú đơn
giản là bản sao chép của Khái lược Người dùng Cục bộ và được lưu trữ chia sẽ trên
mạng (tại nơi người dùng có các Cấp phép phù hợp), do đó người dùng có thể truy
nhập tới từ bất cứ máy tính nào trên mạng. Cho dù người dùng đăng nhập từ bất ký
máy tính nào, họ cũng sẽ luôn nhận được cùng một thiết lập màn hình nền và và kết
nối từ Khái lược Người dùng được để trên máy chủ, hoàn toàn ngược lại với Khái lược
Người dùng Cục bộ, chỉ nằm tại một máy trạm.
Để người dùng truy nhập vào Khái lược Người dùng Di trú thay cho Khái lược
Người dùng Cục bộ, phải mở hộp thoại Properties của người dùng và chỉ định vị trí
của Khái lược Người dùng Di trú tạo hộp Profile Path trong Profile thẻ. Lần tiếp theo
người dùng đăng nhập, Windows Server truy nhập vào Khái lược Người dùng Di trú
theo cách sau:
1. Khi người dùng đăng nhập lần đầu tiên, máy tính sao chép toàn bộ nội
dung của Khái lược Người dùng Di trú vào Folder con và file tương ứng
trong Folder Documents And Settings trên đĩa cục bộ của máy tính này.
2. Nội dung Khái lược Người dùng Di trú của người dùng chứa trên đĩa cho
phép người dùng đăng nhập và truy nhập tới Khái lược Người dùng ngay
cả khi máy chủ chứa Khái lược Người dùng Di trú không hoạt động.
3. Máy tính áp dụng các thiết lập có trong Khái lược Người dùng Di trú dành
cho nó.
4. Khi người dùng làm việc mà có bất kỳ thay đổi nào ảnh hưởng tới Khái
lược Người dùng, chúng sẽ được lưu vào bản sao trên đĩa cục bộ.
5. Khi người dùng thoát khỏi Windows (log off), máy tính sẽ đồng bộ các
thay đổi từ bản sao cục bộ lên Khái lược Người dùng Di trú trên máy chủ.
6. Lần đăng nhập tiếp theo trên cùng máy tính này, hệ thống sẽ so sánh nội
dung của Khái lược Người dùng đuợc để tại máy cục bộ với Khái lược
Người dùng Di trú để trên máy chủ
7. Máy tính chỉ sao chép những thành phần của Khái lược Người dùng Di trú
bị thay đổi vào bản sao cục bộ, việc này làm tiến trình đăng nhập vào
nhanh và hiệu quả hơn.
58
Nên tạo Khái lược Người dùng Di trú trên Máy chủ Quản lý File (File Sever) nào
bạn thường xuyên thực hiện việc sao lưu (Backup), nhờ đó bạn sẽ có được các bản sao
của các Khái lược Người dùng mới nhất cho các người dùng của bạn. Để tăng tốc độ
đăng nhập trên các mạng có nhiều lưu thông, hãy đặt Khái lược Người dùng Di trú
trên máy chủ thành viên thay cho máy chủ điều khiển miền. Việc sao chép Khái lược
Người dùng Di trú giữa máy chủ và các máy trạm có thể tốn nhiều tài nguyên hệ thống
như băng thông mạng và các chu kỳ xử lý. Nếu để Khái lược Người dùng trên máy
chủ điều khiển miền, tiến trình xác thực của các người dùng miền sẽ bị chậm.
GIÁM SÁT VÀ KHẮC PHỤC SỰ CỐ VIỆC XÁC THỰC NGƯỜI DÙNG

Khi đã cấu hình đối tượng người dùng và và các người dùng sẽ được xác thực
thông qua các tài khoản. Như vậy, sẽ gặp phải hai thách thức đó là các điểm yếu bảo
mật, trong trường hợp nếu không được xác định rõ sẽ làm ảnh hưởng đến tính toàn vẹn
của mạng, và các thách thức về kỹ năng xã hội, khi làm cho quá trình xác thực trở nên
thân thiện và đáng tin cậy đối với người dùng. Không may là hai điểm này lại bất đồng
với nhau, nếu tính bảo mật càng cao bao nhiêu thì tính thân thiện với người dùng càng
kém bấy nhiêu.
Việc thực thi các tính năng bảo mật cho quá trình xác thực người dùng của
Windows Server sẽ thường xuyên gay ra các rắc rối khi người dùng đang nhập, và một
phần công việc của người quản trị mạng là giải quyết các rắc rối khi chúng xảy ra.
Trong phần tiếp theo, sẽ khảo sát một số các nguyên nhân phổ biến gây ra các rắc rối
khi xác thực người dùng và các công cụ mà có thể dùng để phát hiện và khu trú chúng.
Sử dụng các Chính sách Mật khẩu

Trong phần trước của chương này, tại phần “Lựa chọn Mật khẩu”, đã tìm hiểu về
Chính sách Mật khẩu mà Windows Server cung cấp, cho phép xác định chiều dài, độ
phức tạp và thời hạn của mật khẩu được người dùng cấp cho tài khoản của họ. Mục
đích chính của các chính sách này là buộc người dùng đặt mật khẩu một cách hiệu quả
và họ phải định kỳ thay đổi mật khẩu.
Thật là dể dàng khi sử dụng Chính sách Mật khẩu để buộc người dùng phải sử
dụng các mật khẩu có độ an toàn rất cao, nhưng việc yêu cầu người dùng mật khẩu
phức tạp có 15 ký tự và thay đổi lại hàng tuần dường như làm nảy sinh thêm các vấn
đề rắc rối nhiều hơn là các lợi ích mà nó mang lại. Nhân viên hỗ trợ mạng có lẽ sẽ
nhận được các cuộc goi “quên mật khẩu” thường xuyên của người dùng, và thậm chí
còn tệ hơn, người dùng sẽ ghi mật khẩu lại và để ở những nơi không đảm bảo an toàn.
59
Phải thiết kế Chính sách Mật khẩu sao cho nó làm nản chí một cách có hiệu quả
các kẻ xâm nhập trong khi vẫn đảm bảo được tính thân thiện tốt cho người dùng, để họ
không bị quên mật khẩu hay phải viết chúng ra.
Có năm chính sách mật khẩu được đưa ra ở phần trên của chương này có thể áp
dụng với các đối tượng Chính sách Nhóm Active Directory. Mà có thể cấu hình bằng
cách sử dụng bảng điều khiển Group Policy Object Editor, trong đó duyệt đến
Computer Configuration\ Windows Settings \ Security Settings\ Account Policies\
Password Policy. Tuy nhiên, cũng có thể xác định cũng các chính sách như vậy cho
các Tài khoản Người dùng Cục bộ bằng cách sử dụng bảng điều khiển Local Security
Policy, có trong nhóm chương trình Administrative Tools trên bất cứ một máy chủ
thành viên chạy Windows Server nào.
SỬ DỤNG CHÍNH SÁCH KHOÁ TÀI KHOẢN

Việc khoá tài khoản xảy ra sau một số lần cố tình đăng nhập không thành công
của người dùng, hệ thống giả thiết là có tấn công có hại tới tài khoản bằng cách dò tìm
mật khẩu, bởi vậy sẽ khoá tài khoản để không được đăng nhập tiếp nữa. Chính sách
khoá tài khoản miền xác định số lần đăng nhập không hợp lệ được phép thực hiện
trong một khoảng thời gian đã định trước trước thì tài khoản bị khoá. Các chính sách
này thậm chí còn được xác định có phải liên hệ với quản trịđể bỏ khoá tài khoản này
hay không hay chỉ đơn giản là bỏ khóa sau khi hết một thời hạn xác định.
Sử dụng chính sách nhóm để kiểm soát khoá tài khoản như sau:
• Account Lockout Threshold: Xác định số lần cố tình đăng nhập không thành
công gây ra việc khoá tài khoản, giá trị này trong khoảng từ 0 tới 999. Giá trị
quá thấp (ví dụ là 3) có thể gây nên khoá đối với lỗi người dùng thông thường
trong khi đăng nhập. Giá trị là 0 ngăn không cho tài khoản người dùng bị khoá.
• Account Lockout Duration: Xác định thời hạn mà tài khoản người dùng sau
khi bị khoá sẽ được Active Directory tự động mở lại. Chính sách này không
được thiết lập mặc định do nó chỉ có tác dụng khi sử dụng kết hợp với chính
sách Account Lockout Threshold. Giá trị này trong khoảng từ 0 tới 99.000
phút (khoảng 10 tuần). Việc đặt giá tri này thấp (5 tới 15 phút) là đủ để giảm
đáng kể các cuộc tấn công mà không làm ảnh hưởng các người dùng hợp lệ bị
khóa do lỗi. Giá trị 0 yêu cầu người dùng liên hệ với người quản trịđể mở khóa
tài khoản này.
• Reset Account Lockout Counter After: Xác định thời hạn sau lần cố tình
đăng nhập không thành trước khi biến đếm khóa (Lockout counter) được đặt
lại về giá trị 0. Giá trị trong khoảng từ 1 tới 99.999 phút và phải nhỏ hơn hay
bằng giá trị của Account Lockout Duration.
60
Cũng giống như đối với Chính sách Mật khẩu, có thể cấu hình chính sách tài
khoản tại bảng điều khiển Group Policy Object Editor, chọn Computer
Configuration\ Windows Settings\ Security Settings\ Account Policies\ Account
Lockout Policy. Chính sách khoá tài khoản cũng có thể có tại bảng điều khiển Local
Security Policy.
Khi triển khai chính sách khoá tài khoản trên mạng, chắc chắn là sẽ nhận được
một số cuộc gọi hỗ trợ nhất định từ người dùng mà họ không biết là đã tự khoá chính
mình. Các cuộc gọi như vậy đôi khi lại đuợc báo cáo là họ gặp một số trục trặc khác,
như mât mật khẩu hay các chức năng khác hoạt động không đúng. Khi dó các nhân
viên hỗ trợ kỹ thuật hiểu biết cần phải biết rõ về chính sách khoá tài khoản trên mạng
và thủ tục để mở tài khoản bị khoá để có thể xác định được chính xác về trục trặc thực
tế xảy ra dựa trên báo cáo dường như không mấy chính xác của người dùng.
61
Chương 3: Làm việc với nhóm (Groups).

3.1 Tìm hiểu về nhóm
Để người dùng có khả năng truy cập các tài nguyên trên mạng Active Directory,
họ nhất thiết phải có các cấp phép thích hợp. Các thư mục, ổ đĩa, máy in được chia sẻ,
và nói rộng hơn là tất cả các loại tài nguyên khác trên mạng đều có một Danh sách
Kiểm soát Truy cập (Access Control List - ACL). ACL chính là danh sách của các đối
tượng được cho phép truy cấp đến tài nguyên, theo các mức độ truy cập khác nhau mà
mỗi đối tượng được cấp. Trong Microsoft Windows Serve, ACL được hiển thị tại thẻ
Sercurity (Bảo mật) của phần lớn trong bất cứ hộp thoại Properties nào, như được thể
hiện trong hình 3.1. Các đối tượng trong ACL được gọi là Sercurity Principals (Đối
tượng bảo mật). Có thể sử dụng Đối tượng người dùng như là các Đối tượng Bảo mật
để trao cho người dùng quyền truy cập đến các tài nguyên họ cần, do Đối lượng người
dùng xác định tính duy nhất của người dùng thông qua quá trình xác thực
Hình 3.1: Thẻ Security trong hộp thoại Properties của thư mục
Về mặt lý thuyết, Quản trị viên có thể tạo toàn bộ các cấp phép cho mọi người
dùng bằng cách thêm các Đối tượng người dùng vào ACL, và việc thực hiện điều này
với toàn bộ các mạng máy tính (trừ trường hợp đối với các mạng rất nhỏ) là điều
không thể do việc tiêu tốn một cách lãng phí thời gian và lao động. Hãy tưởng tượng
đang tuyển thêm 250 nhân viên mới và, sau khi đã tạo các Đối tượng người dùng cho
họ, phải cấp phép cho họ truy cập khoảng một tá hoặc hơn các nguồn tài nguyên trải
dài trên toàn bộ mạng. Thậm chí với trường hợp xấu nhất, giả sử máy chủ bị hỏng và
cần cài đặt nhanh một máy chủ thay thế và sau đó tiến hành cấp phép cho 250 người
để họ có thể truy cập đến máy chủ mới.
62
Để tránh những công việc kinh hoàng như đã nêu trên, Quản trị mạng sử dụng
Nhóm. Nhóm sẽ làm đơn giản hóa danh sách của các người dùng có chức năng như
các Đối tượng Bảo mật. Trong Active Directory Đối tượng Nhóm có thể bao gồm các
Đối tượng người dùng, Máy tính, Mối liên hệ (Contact), và trong những điều kiện
nhất định, thậm chí bao gồm các Nhóm. Khi sử dụng Đối tượng Nhóm như là Đối
tượng Bảo mật bằng cách thêm chúng vào trong danh sách ACL, tất cả các thành viên
trong nhóm đều nhận các cấp phép mà bạn đã gán cho nhóm (như đã chỉ ra trong hình
3.2). Nếu thêm thành viên mới vào nhóm tại các thời điểm sau này, họ cũng sẽ nhận
được các cấp phép giống như vậy. Nếu bạn loại bỏ thành viên nào đó, các cấp phép
cho họ cũng bị loại bỏ theo.
Trong ví dụ đã nêu ở trên, có thể tạo ra một Đối tượng Nhóm và gán cho nó các
cấp phép mà những người mới được nhận vào làm việc cần có. Khi các nhân viên mới
đến làm việc, toàn bộ các công việc phải làm chỉ là tạo ra các Đối tượng người dùng
cho họ và thêm họ vào Nhóm. Để đơn giản hóa việc tổ chức một máy chủ thay thế,
cần tạo ra một nhóm chứa toàn bộ các người dùng của máy chủ ban đầu. Nếu máy chủ
hỏng và cần chuyển sang sử dụng máy chủ thay thế, tất cả các công việc cần làm là
gán các cấp phép truy cập đến máy chủ mới cho Đối tượng Nhóm đã tạo, và tất cả các
người dùng sẽ được chuyển qua sử dụng máy chủ mới. Trên các mạng có hệ thống các
nhóm được thiết kế tốt, Quản trị mạng rất hiếm khi, nếu có, phải gán các cấp phép cho
các người dùng riêng lẻ.
Hình 3.2: Một nhóm tương đương với nhiều đối tượng người dùng.
Nhóm cũng có thể giúp chúng ta gán Quyền của người dùng cho nhiều người
dùng cùng lúc. Trong Microsoft Windows Server, khái niệm Quyền (Right) hoàn toàn
khác với khái niệm Cấp phép (Permission). Quyền của người dùng (User right) trao
cho người dùng hay nhóm khả năng thực hiện một tác vụ nhất định, như truy cập đến
một máy tính nào đó thông qua mạng, thay đổi thời gian hệ thống, hoặc giành quyền
63
sở hữu (Take ownership) đối với file hay các đối tượng khác. Thêm vào đó, cũng có
thể sử dụng Nhóm để tạo ra các danh sách phân phối thư điện tử.
3.2 Sử dụng Nhóm (Group) và các Chính sách Nhóm (Group Policies - GP).
Cấu trúc của cây Active Directory là một phần rất quan trọng của quá trình tạo
Tài khoản người dùng trong Miền do các Quyền và Cấp phép ta đã gán cho các Đối
tượng chứa sẽ được các Đối tượng con của nó thừa hưởng, bao gồm cả các Đối tượng
người dùng. Việc thừa kế giữa các nhóm cũng làm việc giống như thế, với các thành
viên sẽ nhận được các thiết lạp đã gán cho nhóm. Sự khác biệt chủ yếu giữa đối tượng
nhóm và Đối tượng Chứa là Đối tượng Nhóm không bị chi phối bởi cấu trúc hình cây
của Active Directory. Có thể tạo ra nhóm với các thành viên ở bất cứ đâu trong miền,
thậm trí tại các miền khác, và trao cho chúng các đặc quyền chỉ với một thao tác đơn
giản.
Chính sách Nhóm, mặc dù với tên như vậy, được kết hợp chặt chẽ với các Đối
tượng Chứa nhiều hơn là với các Đối tượng Nhóm. Đối tượng Chính sách Nhóm
(Group Policy Object - GPO) chỉ có thể gán với các Đối tượng Miền, Vị trí (Site), OU
có sử dụng Active Directory, và các thiết lập của chúng sẽ được truyền xuống theo cây
Active Directory. Không thể gán GPO cho nhóm, mặc dù trong nhiều trường hợp, có
thể cấu hình các thiết lập Chính sách Nhóm để cấu hính một vài tính năng của hệ điều
hành trên tất cả các thành viên của Nhóm.
Ví dụ, có thể tạo đối tượng OU trong cây Active Directory bao gồm tất cả các đối
tượng máy trạm trong miền của bạn và gán GPO cho OU này. Tất cả các máy tính
trong OU sẽ được thừa hưởng các thiết lập chính sách nhóm từ GPO này, và một trong
các thiết lập này có thể kích hoạt Quyền Quản lý Kiểm định và Nhật ký Bảo mật
(Manage Auditing And Security Log), gán quyền này cho đối tượng nhóm có các
Nhân viên Hỗ trợ Kỹ thuật Tin học. Trong trường hợp náy, các máy tính trong OU
nhận được các thiết lập chính sách nhóm từ GPO, và các chính sách như vậy sẽ trao
quyền cho các đối tượng nhóm nhất định.
3.3 Sử dụng nhóm

Các nhóm Active Directory được phân biệt bởi Kiểu (Type) và Phạm vi (Scope)
của chúng. Nhóm Active Directory có hai kiểu, mà mối kiểu đều có ba Phạm vị khác
nhau. Việc xây dụng các nhóm này đúng phạm vi của nó sẽ giúp chúng ta sử dụng tốt
nhất nguồn lực quản trị khi tạo, gán, và quản lý việc truy cập đến các nguồn tài
nguyên. Khả năng của việc xây dựng các nhóm cũng phụ thuộc vào Cấp chức năng
của miền mà tại đó các nhóm được tạo ra. Windows Server có hàng loạt các nhóm
được tạo sẵn, và cũng có thể tạo ra thêm bao nhiêu nhóm là tùy vào yêu cầu.
64
Nhóm Active Directory, không phụ thuộc vào kiểu hay phạm vi của nó, là các
đối tượng trong CSDL Active Directory, cũng giống như Tài khoản người dùng và đối
tượng Chứa là các đối tượng. So sánh với đối tượng người dùng, đối tượng nhóm là
hoàn toàn tương tự. Thay vào hàng tá các thuộc tính (attribute) của đối tượng người
dùng, đối tượng nhóm chỉ có một vài thuộc tính, mà quan trọng nhất trong số đó là
danh sách các thành viên. Như tên của nó đã chỉ ra, Danh sách Thành viên đơn giản
chỉ là một danh sách các đối tượng, như người dùng, các nhóm khác, máy tính, và
Liên lạc (Contact), đó là các thành viên của nhóm. Tất cả các Cấp phép và Quyền
được gán cho nhóm sẽ được mọi đối tượng có tên trong danh sách thành viên của
nhóm thừa kế.
Trong Windows Server, có thể tạo và quản trị tất cả các nhóm Active Directory
bằng cách sử dụng bảng điều khiển “Active Directory Users And Computers”, mà ta
có thể truy cập từ nhóm chương trình “Adminitrative Tools”. Như trên hình 3.3 giống
như đối với bất cứ một đối tượng Active Directory nào, để có thể tạo và quản trịđược
nhóm bạn cần có các cấp phép thích hợp tại đối tượng chứa, nơi nhóm được bố trí
Hình 3.3: Bảng điều khiển “Active Directory Users And Computers”
3.3.1 Kiểu của Nhóm Active Directory

Nhóm Active Directory có hai kiểu: nhóm Bảo mật (Security) và nhóm Phân
phối (Distribution).
Nhóm Bảo mật
Nhóm bảo mật là nhóm dùng để gán các cấp phép để nó có thể truy cập tới các
tài nguyên mạng. Khi một người nào đó nói tới nhóm liên quan tới Windows Server
hay Active Directory, thông thường là họ đề cập đến nhóm Bảo mật. Các chương trình
được thiết kế để làm việc với Active Directory cũng có thể sử dụng các nhóm Bảo mật
65
cho các mục đích không liên quan tới việc bảo mật, ví dụ như gọi các thông tin người
dùng để sử dụng trong các ứng dụng Web.
Nhóm Phân phối
Nhóm Phân phối được sử dụng cho các chương trình có các chức năng không
liên quan tới bảo mật. Sử dụng nhóm Phân phối chỉ khi chức năng của nhóm không
liên quan đến việc bảo mật, như gửi E-mail đến một nhóm các người dùng trong cùng
thời điểm. Không thể sử dụng nhóm Phân phối để gán Quyền hay Cấp phép. Chỉ các
chương trình được thiết kế làm việc với Active Directory là co sthể sử dụng nhóm
Phân phối. Thí dụ như Microsoft Exchange sử dụng nhóm Phân phối như là danh sách
gửi thư để gửi E-mail
3.3.2 Phạm vi của nhóm Active Directory.

Phạm vi của nhóm xác định việc các Cấp phép được gán cho các thành viên của
nhóm như thế nào. Tất cả các nhóm Active Directory, cả nhóm Phân phối và nhóm
Bảo mật, đều có thể xếp vào một trong ba Phạm vi: Domain Local (cục bộ Miền),
Global (Toàn thể), và Universal (Tổng hợp).
Nhóm Domain Local (cục bộ miền)
Nhóm cục bộ miền thường được sử dụng để gán các Cấp phép truy cập đến các
tài nguyên, hoặc trực tiếp hoặc bằng cách thêm nhóm Global vào nhóm Domain
Local. Nhóm Domain Local có các đặc tính sau:
 Chỉ có thể sử dụng nhóm cục bộ miền để trao các Cấp phép truy cập chỉ đến
các tài nguyên trên cùng miền tạo ra nhóm.
 Thành viên của nhóm cục bộ miền có thể bao gồm các Tài khoản người dùng,
Tài khoản Máy tính và các nhóm Global từ bất cứ miền nào trong rừng. Ngoài
ra, không tồn tại bất cứ một kiểu nhóm trong nhóm nào khác.
 Nhóm cục bộ miền có thể bao gồm các Tài khoản người dùng, Máy tính, các
nhóm Global và Universal từ bất cứ miền nào trong rừng, và các nhóm cục bộ
miền khác trong cùng miền. Nhóm cục bộ miền có thể được chuyển thành
nhóm Universal khi nó không có thành viên nào là nhóm cục bộ miền.
Nhóm cục bộ miền được sử dụng thông thường nhất để kiểm soát sự truy cập tới
các tài nguyên chỉ trong một miền đơn. Ví dụ như có thể tạo một nhóm cục bộ miền để
trao cấp phép cho các thành viên của nó được truy cập đến một máy in nhất định. Sau
đó có thể thêm trực tiếp các người dùng trong miền vào nhóm cục bộ miền đã tạo,
hoặc có thể tạo ra các nhóm Global gồm các người dùng cần truy cập đến máy in và
đặt nhóm Global này là thành viên của nhóm cục bộ miền đã tạo.
66
Nhóm Global
Nhóm Global được sử dụng để cung cấp các thành viên đã được phân loại trong
nhóm cục bộ miền cho các đối tượng Bảo mật hay cho việc gán các Cấp phép một
cách trực. Thông thường, nhóm Global ược sử dụng để gom các người dùng và Máy
tính trong cùng một miền mà có cùng công việc, vai trò, hay chức năng hoặc họ có
cùng các nhu cầu tương tự trong việc truy cập mạng.
Nhóm Global được sử dụng thông dụng nhất trong việc quản lý các Cấp phép
cho các đối tượng Thư mục, như Tài khoản người dùng và Máy tính, thường yêu cầu
việc bảo trì trường xuyên. Trên một mạng bao gồm nhiều miền, lợi ích chính của việc
sử dụng nhóm global thay cho nhóm Universal trong việc quản lý các Cấp phép là ở
chỗ nhóm global không bị nhân bản ngoài phạm vi của miền. Điều này làm giảm các
lưu thông mạng được dùng cho việc nhân bản đến Global Catalog, là thư mục của
toàn bộ các tài nguyên trong rừng. Sử dụng nhóm Global để gán các Cấp phép cho các
đối tượng cần nhân bản đến Global Catalog sẽ là thích hợp hơn so với việc sử dụng
nhóm Domain Local cho mục đích này.
Nhóm Universal
Nhóm Universalđược sử dung chủ yếu để trao các Cấp phép truy cập đến các tài
nguyên trên nhiều miền
Chức năng chính của nhóm Universal là tập hợp các nhóm mở rộng qua nhiều
miền. Nói chung, nhóm Universal là không cần thiết trên mạng chỉ bao gồm một miền
đơn. Để sử dụng nhóm Universal một cách hiệu quả, tốt nhất là chúng ta tạo nhóm
Global trên mỗi miền, trong đó có chứa các Tài khoản người dùng và Máy tính, sau đó
thêm các nhóm Global này vào danh sách thành viên của nhóm Universal. Việc này
cho phép bạn có thể tạo ra một nhóm Universalđơn mà có thể sử dụng trên toàn bộ
doanh nghiệp, với mối quan hệ thành viên không bị xáo trộn một cách thường xuyên.
Phương pháp trên thường được lựa chọn hơn so với việc thêm trực tiếp người
dùng và Máy tính vào nhóm Universal một cách trực tiếp do mối thay đổi về thành
viên tại nhóm Universal sẽ dẫn tới việc toàn bộ các mối quan hệ thành viên đều phải
được nhân bản đến Global Catalog. Quản lý các người dùng và Máy tính trong nhóm
Global sẽ không ảnh hưởng đến quan hệ thành viên của nhóm Universal và do đó
không sinh ra các lưu thông phụ thêm cho việc nhân bản.
Nhóm Universal cũng là hữu dụng khi chúng ta muốn trao Cấp phép cho người
dùng được truy cập đến các tài nguyên nằm trên nhiều hơn một miền. Không giống
nhóm cục bộ miền, có thể gán các Cấp phép cho nhóm Universal được truy cập đến
các nguồn tài nguyên được bố trí tại bất cứ miền nào trên mạng. Ví dụ, nếu ban lãnh
67
đạo cần truy cập đến các máy in trên toàn bộ mạn, có thể tạo nhóm Universal cho mục
đích này và gán Cấp phép cho nó, như vậy toàn bộ các thành viên của nhóm này có thể
sử dụng tất cả các máy in hiện có trên tất cả các miền trong mạng.
Nhóm trong nhóm (Group nesting).
Như đã biết trong phần trước, khả năng đưa một nhóm là thành viên của nhóm
khác là một trong các tính năng hữu dụng của việc thực thi đối tượng nhóm Active
Directory. Kỹ thuật này được gọi là “Nhóm trong nhóm” (Group nesting). Thực thi
nhóm trong nhóm tạo cho có khả năng quản lý việc cấp phép truy cập tài nguyên một
cách hiệu quả hơn trong doanh nghiệp mà không gây ra các lưu thông phụ thêm bất
thường cho việc nhân bản. Như đã nhắc tới ở trên, miền bắt buộc phải sử dụng Cấp
chức năng Windows Server để nhận được đầy đủ các tính năng ưu việt của khả năng
nhóm trong nhóm của Active Directory, và thậm chí như vậy, vẫn còn các hạn chế
trong việc thực thi kỹ thuật nhóm trong nhóm của các loại Phạm vi nhóm khác nhau.
Các hạn chế này, cũng với toàn bộ các hạn chế về thành viên trong ba phạm vi nhóm,
được tổng kết trong bảng 3-1
Bảng 3-1: Các quy tắc thành viên của phạm vi nhóm
Thành viên đối với cấp Thành viên đối với cấp chức
chức năng Windows 2000 năng Windows 2000 Native hay
Phạm vi Mixed hay Windows Windows Server 2003: Tài khoản
nhóm cục Server 2003: Tài khoản người người dùng, Máy tính, nhóm
bộ miền dùng, Máy tính và nhóm universal, and nhóm global từ bất
global từ bất cứ miền nào cứ miền nào; nhóm cục bộ miền
trong cùng miền
Global Tài khoản người dùng, Tài khoản người dùng, Máy
Máy tính trong cùng miền tính, nhóm global khác trong cùng
miền
Universal Không áp dụng Tài khoản người dùng, Máy

tính, nhóm universal, và nhóm
global từ bất cứ miền nào trong
rừng
Các qui tắc thành viên trong bảng trên là yếu tố đầu tiên của việc quản trị nhóm
một cách hiệu quả. Nếu rơi vào trường hợp bạn không thể thêm thành viên nhất định
nào đó vào một nhóm hay không thể sử dụng nhóm để cung cấp việc truy cập đến một
68
nguồn tài nguyên nào đó, quá trình xử lí sự cố nên bắt đầu bằng việc thử lại Phạm vị
nhóm và Cấp chức năng, để xác định có được hỗ trợ trong việc thực hiện các tác vụ
nói trên không.
Mặc dù kỹ thật nhóm trong nhóm là một công cụ đáng giá, Quản trị mạng nên
thận trọng với các tính năng của nó. Khi bố trí nhóm theo nhiều lớp sâu, có thể làm
cho việc theo dõi các quan hệ thành viên và các cấp phép được thừa kế thế nào trên
toàn mạng trở nên khó khăn hơn. Một qui luật chung, bố trí nhóm trong nhóm một cấp
là hữu hiệu trong phần lớn các môi trường mạng và là dể duy trì hơn.
Chuyển đổi nhóm
Khi tạo nhóm, phải xác định kiểu và phạm vi của nó. Mặc dù vậy, trong miền sử
dụng cấp chức năng, có thể chuyển đổi các nhóm đã tạo sang phạm vi khác bất cứ lúc
nào, có lưu ý đến mọt số hạn chế trong quan hệ thành viên. Bảng 3-2 tổng kết các
chuyển đổi Phạm vi nhóm được phép và các điều kiện cần thiết để chuyển đổi.
Bảng 3-2: Các hạn chế chuyển đổi Phạm vi nhóm Active Directory
Đến Domain Local Đến Global Đến Universal
Từ Domain Không áp dụng Không được Cho phép chỉ trong

Local phép trường hợp không có
thành viên là nhóm cục
bộ miền
Từ Global Không được phép Không áp dụng Cho phép nếu không là
thành viên của nhóm
Global khác
Từ Universal Không hạn chế Cho phép nếu Không áp dụng

không có nhóm
Universal khác là
thành viên
Xây dựng Nhóm Global và Domain Local
Sẽ là một ý tưởng tốt nếu có một chiến lược nhóm sãn sàng trước khi tạo ra các
nhóm Active Directory. Tạo ra các nhóm với Kiểu và Phạm vi sai sẽ dẫn đến việc gặp
các lỗi khi thực thi các tác vụ đã định. Đối với phần lớn việc cài đặt mạng, phương
pháp thường thấy nhất là phát triển các nhóm sử dụng Phạm vi Global và Domain
Local theo các tiêu chí sau:
69
 Tạo nhóm cục bộ miền cho các tài nguyên được chia sẻ: Xác định các tài
nguyên, như thư mục hay máy in mà người dùng cần truy cập, và tạo một hay
hai nhóm cho các tài nguyên này. Ví dụ: nếu có một số các máy in mầu trong
công ty, tạo nhóm cục bộ miền có tên “Color Printer”.
 Gán các Cấp phép truy cập tài nguyên cho nhóm cục bộ miền : gán các
Cấp phép cần thiết để truy cập tài nguyên cho nhóm cục bộ miền tương ứng.
Ví du: cần gán các Cấp phép cần thiết để có thể sử dụng các máy in mầu cho
nhóm “Color Printer”.
 Tạo các nhóm Global cho các người dùng có cùng các yêu cầu công việc:
Xác định các người dùng có cùng các yêu cầu công việc và thêm đối tượng
người dùng của họ vào nhóm Global. Ví du: trong phòng Kế toán, thêm Đối
tượng người dùng của tất cả các kế toán viên vào nhóm “Accounting”.
Thêm nhóm Global cần truy cập tài nguyên vào nhóm cục bộ miền tương
ứng: Xác định tất cả các nhóm Global có yêu cầu truy cập đến một nguồn tài nguyên
nhất định, và đưa các nhóm Global đó là thành viên của nhóm domain local tương
ứng. Ví du: để các kế toán viên có thể truy cập đến các máy in mầu, thêm nhóm
Global “Accounting” vào nhóm domain local “Color Printer”. Các người dùng trong
nhóm “Accounting” sẽ nhận được các Cấp phép đã trao cho nhóm “Color Printer”.
Khi đã tạo ra các nhóm theo các tiêu chí trên, sẽ điều chỉnh các Cấp phép cho
nhóm cục bộ miền khi nguồn tài nguyên cần thay đổi và sẽ điều chỉnh thành viên của
nhóm Global khi nhân sự cần thay đổi.
Có thể sẽ nghĩ rằng việc sử dụng cả hai loại Phạm vi nhóm: Domain Local và
Global là không cần thiết. Sau hết, vẫn có thể chỉ tạo một nhóm đơn, hoặc Domain
Local hoặc Global, trao cho nó các cấp phép cần thiết để truy cập tài nguyên, và thêm
các đối tượng người dùng của các nhân viên cần truy cập tài nguyên đó vào là thành
viên của nhóm. Mặc dù vậy, sẽ có các hạn chế rõ rệt trong chiến lược này, bất kể đang
sử dụng nhóm domain local hay nhóm Global.
 Đặt Đối tượng người dùng vào nhóm cục bộ miền và trao cấp phép cho
nhóm cục bộ miền: Chiến lược này không cho phép gán các Cấp phép cho các
tài nguyên ngoài miền, nó làm giảm mức độ linh hoạt của chiến lược nhóm khi
mạng của bạn phát triển.
 Đặt Tài khoản người dùng vào nhóm Global và trao Cấp phép cho nhóm
Global: Chiến lược này làm phức tạp hơn công việc quản trị khi bạn sử dụng
mô hình nhiều miền. Nếu các nhóm Global trong các miền khác nhau yêu cầu
cùng một tập các cấp phép, phải gán các cấp phép này cho mỗi nhóm Global
riêng rẽ.
70
3.3.2 Các nhóm mặc định của Windows Server

Windows Server sẽ tự động tạo ra một số lớn các nhóm trong đó chứa các Tài
khoản người dùng dựng sẵn. Có thể sử dụng các nhóm này, thay đổi chúng nếu cần
(trong một vài trường hợp), hay tạo ra các nhóm mới. Có bốn loại nhóm mặc định
trong Windows Serve: Nhóm Cục bộ dựng sẵn, chỉ tồn tại trong trường hợp máy tính
không phải là Máy chủ Quản tri Miền, và ba loại nhóm mặc định trong Active
Directory - nhóm xác định trước (Predefined Group), nhóm dựng sẵn (Built-in
Group), và nhóm đồng nhất đặc biệt (Special Identities Group).
Nhóm Cục bộ Dựng sẵn (Built-in Local Group)

Máy chủ độc lập chạy Máy chủ thành viên chạy Windows Server tất cả đều có
các nhóm cục bộ dựng sẵn. Máy chủ Quản trị Miền không có các nhóm cục bộ (hay
người dùng cục bộ) do SAM của nó đã được chuyển đổi sang sử dụng Active
Directory. Các nhóm cục bộ dựng sẵn trao cho người dùng quyền để thực thi các tác
vụ hệ thống trên một máy tính đơn lẻ, như là việc sao lưu và phục hồi file, thay đổi
thời gian hệ thống, và quản trị các nguồn tài nguyên hệ thống. Các nhóm cục bộ dựng
sẵn nằm trong thư mục Group của Snap-in “Local Users And Groups”.
Các nhóm cục bộ dựng sẵn trong Windows Server và các khả năng của nó được
chỉ ra dưới đây. Ngoại trừ tại những chỗ sẽ được chỉ ra cụ thể, không một nhóm nào
khác có sẵn các thành viên.
 Administrators (Nhóm Quản trị): Thành viên của nhóm này có các quyền
đầy đủ và không hạn chế khi truy cập đến máy tính và miền, giúp họ có thể
thực thi tất cả các tác vụ quản trị. Mặc đinh, người dùng cục bộ dựng sẵn
“Administrator” là thành viên của nhóm này. Khi máy tính gia nhập vào miền,
Windows Server thêm nhóm xác định trước “Domain Admins” vào nhóm này.
 Backup Operators (nhóm Sao lưu): Các thành viên của nhóm này có Quyền
(User Rights) cho phép họ có thể bỏ qua các hạn chế về bảo mật để có thể thực
hiện các tác vụ Sao lưu và Phục hồi file.
 Guests (Nhóm Khách): Thành viên của nhóm này chỉ có thẻ thực hiện các tác
vụ mà được trao quyền cho họ, và chỉ có thể truy cập đến các tài nguyên đã
cấp phép cho họ truy cập. Họ cũng không thể tạo ra các thay đổi thường trực
trên môi trường màn hình của họ. Mặc định, Tài khoản người dùng cục bộ
dựng sẵn của máy tính “Guest” là thành viên của nhóm này. Khi máy tính gia
nhập miền, Windows Server thêm nhóm toàn cục xác định trước “Domain
Guest” vào nhóm này.
71
 Network Configuration Operators (Nhóm cấu hình mạng): Thành viên của
nhóm này có một số quyền quản trị giới hạn, giúp họ có thể thực hiện các thay
đổi thiết lập của TCP/IP, và làm mới hay giải phóng địa chỉ IP.
 Performance Log Users (Nhóm ghi chép hiệu năng): Thành viên của nhóm
này được trao các quyền giúp họ có thể quản lý được các biến đếm hiệu năng
(Performance Counter), nhật ký (Logs), và Cảnh báo (Alerts) trên máy tính,
cả tại chỗ lẫn từ xa.
 Performance Monitor Users (Nhóm Theo dõi Hiệu năng): Thành viên của
nhóm này được trao các quyền giúp họ có thể theo dõi các biến đếm hiệu năng
trên máy tính, cả tại chỗ lẫn từ xa.
 Power Users (Nhóm Quyền lực): Thành viên của nhóm này có thể tạo ra các
Tài khoản Nhóm hay hay người dùng cục bộ trên máy tính và thay đổi các
người dùng hay nhóm họ đã tạo ra đó. Họ cũng có thể thêm hay loại bỏ người
dùng trong các nhóm cục bộPower Users, Users và Guest, tạo các nguồn tài
nguyên chia sẻ, quản trị các nguồn tài nguyên chia sẻ họ đã tạo ra. Power
Users không thể chiếm quyền sở hữu (Take Ownership) file, Sao lưu và Phục
hồi thư mục, tải và dỡ bỏ các trình điểu khiển thiết bị, hay quản trị các Bản ghi
Bảo mật (Security Log).
 Print Operators (Nhóm Vận hành Máy in): Thành viên của nhóm này có thể
quản trị các máy in và hàng đợi in trên máy tính.
 Remote Desktop Users (Nhóm Truy cập Màn hình Từ xa): Thành viên của
nhóm này có thể sử dụng dịch vụ đầu cuối (Terminal Service) để truy cập từ
xa vào máy tính.
 Replicator (Nhóm Nhân bản): Nhóm này được tạo để hỗ trợ chức năng nhân
bản thư mục. Thành viên duy nhất của nó, thường là Tài khoản người dùng
trong miền, là tài khoản thường xuyên đăng nhập vào dịch vụ nhân bản
(Replicator) của Máy chủ Quản trị Miền. Không thêm các tài khoản của người
dùng thực sự vào nhóm này.
 Users (Nhóm Người dùng): Thành viên của nhóm này có thể thực thi các tác
vụ như chạy các ứng dụng, sử dụng các máy tính cục bộ hay trên mạng, và
khóa máy chủ. Thành viên của nhóm này không thể chia sẻ thư mục hay cài
đặt các máy in cục bộ. Tất cả các tài khoản người dùng cục bộ dược tạo ra trên
máy tính sẽ được tựđộng thêm vào nhóm này. Khi máy tính gia nhập miền,
Windows Server thêm các nhóm “Domain Users”, “Authenticate Users”, và
“Interactive” vào nhóm cục bộUsers. Và do đó, toàn bộ các tài khoản người
dùng trên miền trở thành thành viên của nhóm cục bộUsers này.
72
Trong phần lớn các trường hợp, các đặc quyền mà các nhóm cục bộ này có được
là do việc gán các quyền người dùng cho các nhóm này. Bảng 3-3 liệt kê danh sách
các Quyền người dùng được gán cho các nhóm cục bộ dững sẵn (Các nhóm không liệt
kê không có các quyền mặc định gán cho chúng)
Bảng 3-3 Các Quyền người dùng mặc định được gán cho nhóm cục bộ dựng sẵn.
Local Group Default User Rights
Administrators Access This Computer From The Network

(Truy cập máy tính từ mạng)
Adjust Memory Quotas For A Process
(Điều chỉnh hạn ngạch bộ nhớ dành cho các tiến trình )
Allow Log On Locally (Cho phép đăng nhập cục bộ)
Allow Log On Through Terminal Services (Cho
phép đăng nhập qua dịch vụ đầu cuối)
Back Up Files And Directories (Sao lưu file và thư mục)
Bypass Traverse Checking (Không kiểm tra Cấp phép khi
người dùng duyệt thư mục)
Change The System Time (thay đổi thời gian hệ thống)
Create A Pagefile (tạo bộ nhớảo)
Debug Programs (gỡ rối chương trình)
Force Shutdown From A Remote System
(Tắt Windows từ xa)
Increase Scheduling Priority (tăng cấp ưu tiên của
chương trình đã lập lịch)
Load And Unload Device Drivers (cài đặt và dỡ bỏ Trình
điều khiển thiết bị)
Manage Auditing And Security Log (Quản lý việc
kiểm định và nhật ký bảo mật)
Modify Firmware Environment Variables (thay
đổi các biến môi trường phần sụn)
Perform Volume Maintenance Tasks (thực thi việc bảo
trì ổ cứng)
Profile Single Process (lập hồ sơ các tiến trình đơn)
Profile System Performance (lập hồ sơ hiệu năng của hệ
thống)
73
Remove Computer From Docking Station (dỡ bỏ máy

tính khỏi trạm nối)
Restore Files And Directories (Phục hồi file và thư mục)
Shut Down The System (Tắt windows)
Take Ownership Of Files Or Other Objects
(Chiếm quyền sở hữu của file hay các đỗi tượng khác)
Backup Operators Access This Computer From The Network

Allow Log On Locally
Back Up Files And Directories
Bypass Traverse Checking
Restore Files And Directories
Shut Down The System
Power Users Access This Computer From The Network

Change The System Time
Profile Single Process
Remove Computer From Docking Station
Remote Desktop
Allow Log On Through Terminal Services
Users
Users Access This Computer From The Network

Allow Log On Locally Bypass Traverse Checking
Các nhóm Active Directory dựng sẵn

Mọi miền Active Directory đều có các đối tượng chứa, trong đó hệ thống sẽ tạo
ra hàng loạt các nhóm Bảo mật, mà tất cả chúng đều là các nhóm có phạm vi Domain
Local. Các nhóm này cung cấp cho người dùng có các Quyền người dùng và Cấp phép
khả năng thực hiện các tác vụ trên Máy chủ Quản tri Miền và trong cây Active
Directory. Các nhóm cục bộ miền dựng sẵn cung cấp các Quyền và Cấp phép xác định
74
trước cho các tài khoản người dùng khi thêm các đối tượng người dùng hay nhóm
Global vào là thành viên của nhóm cục bộ miền dựng sẵn này.
Nhóm cục bộ miền dựng sẵn và các khả năng được gán cho các thành viên của
nó như sau:
 Accounts Operators (Nhóm Vận hành Tài khoản) Thành viên của nhóm có
thể tạo, xóa và thay đổi các đối tượng người dùng, Máy tính và Nhóm trong
đối tượng chứa “Users and Computers” và trong toàn bộ các OU ngoại trừ đối
tượng chứa “Domain Controlers”. Họ không được cấp phép để thay đổi nhóm
“Administrators” và nhóm “Domain Admins”, cũng như không được thay đổi
các tài khoản là thành viên của các nhóm này. Thành viên của nhóm này có thể
đăng nhập cục bộ vào Máy chủ Quản tri Miền và tắt Windows của chúng.
 Administrators (Quản trị) Thành viên của nhóm có toàn quyền truy cập đến
tất cả các Máy chủ Quản tri Miền và tới toàn bộ miền. Mặc định, nhóm
“Domain Admins”, nhóm “Enterprise Admins” và tài khoản “Administrator”
là thành viên của nhóm này.
 Backup Operators (Vận hành Sao lưu) Thành viên của nhóm có các Quyền
người dùng cho phép họ tiến hành Sao lưu và phục hồi file trên toàn bộ các
Máy chủ Quản tri Miền trong miền, thậm chí khi họ không có các Cấp phép
nhất định đối với file. Thành viên của nhóm này cũng có thể đăng nhập cục bộ
vào Máy chủ Quản tri Miền và tắt windows của chúng.
 Guests (Khách) Thành viên của nhóm không có các Quyền mặc định. Một
cách mặc định, nhóm Global “Domain Guest” và đối tượng người dùng trong
miền “Guest” là thành viên của nhóm này.
 Incoming Forest Trust Builders (Người Xây dựng mối Quan hệ Tin cậy
Trong rừng) Thành viên của nhóm có thể tạo các mối quan hệ tin cậy một
chiều trong rừng đến miền gốc của rừng.
 Network Configuration Operators (Vận hành Cấu hình Mạng) Thành viên
có thể thay đổi các thiết lập TCP/IP, làm mới hay dỡ bỏ các địa chỉ TCP/IP
trên các Máy chủ Quản tri Miền trong miền.
 Perfomance Log Users (Người quản lý nhật ký hiệu năng) Thành viên của
nhóm được trao các đặc quyền đẻ họ có khả năng quản lý các biến đếm hiệu
năng, các nhật ký, và các cảnh báo trên Máy chủ Quản tri Miền trong miền, cả
ngay trên máy cục bộ hay từ xa.
 Perfomance Monitor Users (Người Giám sát hiệu năng) Thành viên của
nhóm được tra các đặc quyền để có thể theo dõi các bộ đếm hiệu năng trên
Máy chủ Quản tri Miền, ngay trên máy cục bộ hay từ xa.
75
 Print Operators (Vận hành in ấn) Thành viên của nhóm này có thể quản lý,
tạo, chia sẻ và xóa các máy in được nối tới Máy chủ Quản tri Miền trong miền
và họ cũng có thể quản lý các đối tượng máy in trong Active Directory. Các
thành viên này cũng có thể đăng nhập cục bộ vào Máy chủ Quản tri Miền và
tắt Windows của chúng.
 Remote Desktop Users (người dùng Màn hình Từ xa) Thành viên của nhóm
có thể đăng nhập vào Máy chủ Quản tri Miền trong miền thông qua Dịch vụ
Đầu cuối.
 Replicators (nhóm Nhân bản) Nhóm này được dùng để hỗ trợ các chức năng
nhân bản thư mục. Thành viên duy nhất của nó, thường là Tài khoản người
dùng trong miền, là tài khoản thường xuyên đăng nhập vào dịch vụ nhân bản
(Replicator) của Máy chủ Quản tri Miền.
Không thêm các tài khoản của người dùng thực sự vào nhóm này.
 Server Operators (nhóm Vận hành Máy chủ) Trên Máy chủ Quản tri Miền,
thành viên của nhóm này có thể đăng nhập, tạo và xóa các nguồn tài nguyên
chia sẻ, khởi động hay dừng một vài dịch vụ, Sao lưu và phục hồi file, định
dạng ổ cứng và tắt Windows của máy.
 Terminal Server Licence Servers (nhóm các máy chủ quản lý giấy phép
của máy chủ chạy dịch vụ đầu cuối) Thành viên của nhóm này có thể truy
cấp các máy chủ quản lý giấy phép của máy chủ chạy dịch vụ đầu cuối, được
sử dụng để cung cấp các giấy phép (License) cho các máy khách chạy Dịch vụ
Đầu cuối trên mạng.
 Users (nhóm người dùng) Thành viên của nhóm này có thể thực thi các tác
vụ thông thường nhất như chạy các ứng dụng, sử dụng các máy tính cục bộ
hay trên mạng, và khóa máy chủ. Mặc định, nhóm “Domain Users”, và các
nhóm Đồng nhất Đặc biệt “Authenticated Users” (người dùng được xác thực),
“Interactive” là thành viên của nhóm này. Do vậy, bất cứ tài khoản người
dùng nào được tạo ra trong miền đều là thành viên của nhóm này.
 Windows Authorization Access Group (Nhóm Truy cập Xác thực của
Windows) Thành viên của nhóm này được phép truy cập đến thuộc tính
TokenGroupsGlobalAndUniverrsal của các đối tượng người dùng miền.
Các Quyền người dùng mặc định được trao cho các nhóm cục bộ miền dựng sẵn
được liệt kê trong bảng 3-4
Bảng 3-4: Quyền người dùng Mặc định được gán cho các nhóm dựng sẵn Active
Directory .
76
Local Group Default User Rights
Account Operators ■ Allow Log On Locally

■ Shut Down The System
Administrators, domain Access This Computer From The Network

local
Adjust Memory Quotas For A Process
Back Up Files And Directories

Create A Pagefile
Debug Programs
Enable Computer And User Accounts To Be
Trusted For Delegation

Increase Scheduling Priority
Load And Unload Device Drivers

Manage Auditing And Security Log
Modify Firmware Environment Values
Profile Single Process
Profile System Performance
Remove Computer From Docking Station

Take Ownership Of Files Or Other Objects
77
Backup Operators, Back Up Files And Directories

domain local
Pre–Windows 2000 Access This Computer From The Network

Compatible Access
Bypass Traverse Checking Default User Rights
Local Group
Print Operators Allow Log On Locally
Server Operators Back Up Files And Directories

3.3.3 Tạo và quản lý các đối tượng Nhóm

Một khi đã xác định bạn định sử dụng nhóm như thế nào trên mạng và đã nghiên
cứu các hướng dẫn cũng như các hạn chế của rất nhiều kiểu và phạm vi nhóm khác
nhau, đã sẵn sàng để bắt tay thực sự vào việc tạo ra các nhóm. Rất may mắn là việc tạo
ra nhóm là dể ràng hơn nhiều so với việc hiểu về chúng và các khả năng của chúng.
Phần sau đây mô tả về một vài trong các tác vụ thông thường nhất của việc quản trị
nhóm mà các nhà quản trị mạng và hệ thống cần thực hiện một cách thường xuyên.
Làm việc với nhóm

Mặc dù nhóm Active Directory phức tạp hơn nhóm cục bộ rất nhiều, do có rất
nhiều loại Kiểu và Phạm vi khác nhau, nhưng quá trình tạo và quản lý chúng cũng khá
là đơn giản. Trong phần tiếp, sẽ học cách tạo, quản lý các thành viên của nó và thay
đổi các thuộc tính (Properties) của chúng như thế nào bằng cách sử dụng bảng điều
khiển “Active Directory Users And Computers”
Tạo nhóm Bảo mật
78
Không giống như trong “Local Users And Computers”, bắt buộc phải tạo nhóm
trong một thư mục riêng, Bảng điều khiển “Active Directory Users And Computers”
cho phép tạo các đối tượng nhóm tại bất cứ đâu. Có thể tạo nhóm của mình tại đối
tượng chứa “Users” với các nhóm toàn cục xác định trước, hay tạo trong đối tượng
chứa “Built-in” với nhóm cục bộ miền dựng sẵn, trong bất cứ đối tượng OU nào được
tạo ra, và thậm chí trực tiếp ngay dưới đối tượng miền. Cũng như đối với việc tạo ra
bất cứ đối tượng Active Directory nào, vị trí chọn cho đối tượng cần dựa trên thiết kế
cây thư mục của tổ chức.
Nếu có kế hoạch sử dụng nhóm để gán Quyền người dùng cho các người dùng,
cần tạo các đối tượng OU thích hợp, trong đó sẽ đặt các nhóm. Như đã biết trong, các
đối tượng chứa “Users” và “Built-in” không phải là các OU và không thể gán các
Chính sách Nhóm cho chúng. Để gán các Quyền người dùng cho nhóm trong các đối
tượng chứa này, phải sử dụng GPO áp dụng cho Miền (Domain) hay Vị trí (Site), và
các Chính sách như vậy sẽ được tất cả các đối tượng trong Miền hay trong Vị trí (Site)
thừa kế.
Để tạo đối tượng nhóm, chọn đối tượng chứa trong ô Phạm vi của bảng điều
khiển “Active Directory Users And Computers” và từ thực đơn “Action”, chọn “New”
và chọn “Group”. Hộp thoại “New Object - Group” sẽ xuất hiện như trong hình 3.4
Hình 3.4: Hộp thoại “New Object - Group”
Trong hộp thoại này, cần xác định các thông tin sau:
 Group Name (tên nhóm): Tên muốn đặt cho đối tượng nhóm. Tên này có thể
dài tới 64 kí tự và nhất thiết phải là duy nhất trong miền.
 Group Name (Pre-Windows 2000) (tên tương thích với các phiên bản
trước Windows 2000): ngay khi nhập tên nhóm, tên tương thích với các phiên
bản trước Windows 2000 sẽ xuất hiện trong ô này.
79
Group Scope (Phạm vi nhóm): Chọn tùy chọn nào đáp ứng được mong muốn
khi chọn Phạm vi nhóm: Domain Local, Global hay Universal. Các Phạm vi có thể
chọn lựa phụ thuộc vào Cấp chức năng của miền đang làm việc, như đã mô tả tại phần
trên của chương này. Bảng điều khiển “Active Directory Users And Computers”
không cho phép chọn các loại Phạm vi không được phép trong Cấp chức năng hiện tại
đang dùng.
 Group Type (Kiểu nhóm): chọn tùy chọn nào đáp ứng được mong muốn của
bạn: Security (Bảo mật), hay Distribution (Phân phối). Trong phần lớn các
trường hợp, sẽ tạo các nhóm Bảo mật.
Khi nhấn “OK”, bảng điều khiển sẽ tạo ra đối tượng nhóm mới trong đối tượng
chứa đã chọn.
Quản lý thành viên nhóm

Không giống như Snap-in “Local Users And Groups”, ở đó có thể xác định các
thành viên của nhóm ngay khi tao ra nhóm, trong “Active Directory Users And
Computers”, phải tạo đối tượng nhóm trước, sau đó thêm các thành viên vào. Để thêm
thành viên vào nhóm, chọn nó trong bảng điều khiển và từ thực đơn “Action”, chọn
“Properties” để mở hộp thoại Properties của nhóm, như chỉ ra trong hình 3.5.
Hình 3.5: Hộp thoại Properties của đối tượng nhóm.
Hộp thoại Properties của mọi đối tượng nhóm đều có thẻ “Member” (thành viên)
và thẻ “Member Of” (thành viên của), cho phép thêm thành viên vào nhóm và đưa
nhóm trở thành thành viên của một nhóm khác. Để thêm thành viên vào nhóm, chọn
thẻ “Member” sau đó nhấn “Add”, hộp thoại tiêu chuẩn “Select Users, Contacts,
80
Computers, Or Groups” (chọn người dùng, Liên lạc, Máy tính hay Nhóm) xuất hiện,
như chỉ ra trong hình 3.6.
Hình 3.6: Hộp thoại “Select Users, Contacts, Computers, Or Groups”
Trong hộp thoại này, có thể gõ tên của đối tượng muốn thêm vào danh sách thành
viên của nhóm, hoặc có thể nhấn “Advanced” để xuất hiện hộp thoại như hình 3.7,
trong đó có thể tìm các đối tượng muốn thêm.
Hình 3.7: Hộp thoại Advanced của “Select Users, Contacts, Computers, Or Groups”
Một khi nhập hay tìm các đối tượng muốn thêm, nhấn “OK” trong hộp thoại
“Select Users, Contacts, Computers, Or Groups” sẽ thêm các đối tượng này vào danh
sách thành viên của nó. Khi đã thêm tất cả các thành viên cần thiết vào nhóm, nhấn
“OK” để đóng hộp thoại Properties. Lúc này, nên mở hộp thoại Properties của đối
tượng vừa thêm vào nhóm và xem đối tượng nhóm trong thẻ “Member Of”, như hình
3.8 dưới đây.
81
Hình 3.8: Thẻ “Member Of” của hộp thoại đối tượng người dùng.
Lập Nhóm trong nhóm

Như đã biết trong phần trước của chương này, khả năng lập nhóm trong nhóm
của các đối tượng nhóm phụ thuộc vào Cấp chức năng của miền đang dùng và vào
Kiểu và Phạm vi của nhóm đang sử dụng. Không thể đặt nhóm trong nhóm trong bảng
điều khiển “Active Directory Users And Computers” bằng cách tạo nhóm mới trong
một nhóm dã tồn tại. Thay vào đó, phải tạo hai nhóm riêng biệt, sau đó thêm nhóm
này vào là thành viên của nhóm kia. “Active Directory Users And Computers” sẽ
không cho phép thực hiện nhóm trong nhóm nếu miền của bạn không hỗ trợ việc này.
Thay đổi Kiểu và Phạm vi của nhóm.

Khi các chức năng của nhóm thay đổi, có thể cần thiết phải đổi đối tượng nhóm
từ Kiểu này sang Kiểu khác. Ví dụ, có thể đã tạo ra nhóm Phân phối gồm 100 thành
viên ở trong nhiều phòng ban khác nhau cùng làm việc với một dự án với mục đích
dùng để gửi E-mail. Trong quá trình tiến triển của dự án, các thành viên có thể cần
truy cấp đến CSDL chung. Bằng việc chuyển nhóm từ Phân phối sang Bảo mật và gán
các Cấp phép cho nhóm, có thể cung cấp khả năng truy cập CSDL chung mà không
cần tạo ra nhóm mới và thêm 100 thành viên vào nhóm lại một lần nữa.
Để thay đổi Kiểu nhóm, mở hộp thoại Properties của nhóm trong bảng điều
khiển “Active Directory Users And Computers”, như hình 3.9. Trên thẻ “General” có
thể nhìn thấy “Group Type option” (các lựa chọn Kiểu nhóm), nhấn chuột vào lựa
chọn chưa được chọn và nhấn “OK”.
Quá trình thay đổi Phạm vi nhóm cũng giống hệt như vậy, ngoại trừ việc chọn
một trong các “Group Scope Option” trong thẻ “General”. Bảng điều khiển chỉ cho
phép chọn các phạm vi có thể. Trong hình đưới dây, ví dụ, có thể thấy lựa chọn
82
“Domain Local” không có hiệu lực do không thể chuyển đổi nhóm Global thành
nhóm domain local.
Hình 3.9: Thẻ “General” trong hộp thoại Properties của đối tượng nhóm.
Xóa nhóm
Cũng như đối với đối tượng người dùng, mỗi đối tượng nhóm tạo ra trong Active
Directory là có một Định danh Bảo mật (Security Identifier - SID) duy nhất và không
sử dụng lại được. Windows Server sử dụng SID để nhận dạng nhóm và các Cấp phép
được gán cho nó. Khi xóa nhóm, Windows Server không sử dụng cùng SID lại cho
nhóm đó một lần nữa, thậm chí nếu tạo nhóm mới cùng tên với nhóm đã xóa. Do vậy,
không thể phục hồi các Cấp phép truy cập đã gán cho tài nguyên bằng cách tạo lại
nhóm đã. Bắt buộc phải tạo lại tất cả từ đầu một nhóm mới như là một Đối tượng Bảo
mật trong ACL của tài nguyên.
Khi xóa nhóm, chỉ xóa đối tượng nhóm và các Cấp phép cùng các Quyền chỉ ra
rằng nhóm là một đối tượng bảo mật. Việc xóa nhóm sẽ không xóa các đối tượng là
thành viên của chúng.
Để xóa nhóm, cần chọn chúng trong bảng điều khiển “Active Directory Users
And Computers” và từ thực đơn “Action”, chọn “Delete”. Một hộp thông báo Active
Directory xuất hiện, nhắc xác nhận lại quyết định của mình. Nhấn “Yes”, nhóm sẽ bị
xóa.
3.3.4 Quản lý nhóm tự động

Mặc dù bảng điều khiển “Active Directory Users And Computers” là một công
cụ thuận tiện trong việc tạo và quản lý nhóm, nó vẫn không phải là phương pháp hiệu
83
quả nhất trong việc tạo một số lượng lớn các đối tượng bảo mật. Các công cụ dòng
lệnh Active Directory do Windows Server cung cấp giúp có khả năng tạo và quản lý
các nhóm với số lượng lớn bằng cách sử dụng các file bó hoặc các kịch bản (script),
tương tự như đã làm trong chương 2 đối với người dùng
Tạo Đối tượng Nhóm bằng Dsadd.exe

Sử dụng công cụ Dsadd.exe trong chương 2 để tạo người dùng mới, cũng có thể
dùng cùng công cụ này để tạo các đối tượng nhóm.
Cú pháp cơ bản trong việc sử dụng Dsadd.exe để tạo nhóm như sau:
Dsadd GroupDN [parameters]

Trong đó, GroupDN là tên phân biệt (Distinguished Name - DN) của đối tượng
nhóm muốn tạo. Tên DN sử dụng cùng định dạng của nó trong file CSV, như đã thảo
luận trong “Importing User Objects Using CSV Directory Exchange” (Nhập đối
tượng người dùng sử dụng Exchange Directory CSV) trong chương 2. Nếu tên DN có
khoảng trống, phải đặt chúng trong dấu ngoặc. Khi sử dụng Dsadd.exe một cách tương
tác từ dấu nhắc lệnh, có thể cung cấp tham sốGroupDN băng một trong các cách sau:
 Bằng cách gõ tên DN của các nhóm ngay trong dòng lệnh, giữa các tên DN
cách nhau bằng khoảng trống.
 Bằng cách dẫn ra danh sách của DN từ một lệnh khác, như Dsquery.exe
 Bằng cách để trống tham số tên DN, và bạn có thể gõ từng tên một sau dấu
nhắc của chương trình, nhấn “Enter” sau mối tên DN, nhấn “Ctrl + Z” và
“Enter” sau tên DN cuối cùng.
Mặc định, Dsadd.exe tạo ra nhóm bảo mật Global, nhưng vẫn có thể sử dụng các
tham số dạng dòng lệnh để tạo các nhóm với Kiểu và Phạm vi khác, chỉ định các thành
viên của nó hay các nhóm chứa nó, cũng như các thuộc tính khác của nhóm. Các tham
số (parameters) dòng lệnh thông thường nhất được trình bầy dưới đây:
 -secgrp [yes|no] Chỉ định chương trình hoặc tạo ra nhóm Bảo mật (yes) hay
nhóm Phân phối (no). Giá trị mặc định là “yes”.
 -scope [l|g|u] Ch ỉđịnh chương trình sẽ tạo ra nhóm có phạm vi Domain Local
(l), Global (g), hay Universal (u). Giá trị mặc định là “g”.
 -samid SAMname Chỉ định tên của SAM (Security Accounts Manager –
Trình Quản lý các Tài khoản Bảo mật) cho đối tượng nhóm, được sử dụng đối
với các hệ thống chạy các phiên bản trước Windows 2000.
84
 -desc description Chỉ định các “mô tả” cho đối tượng nhóm.
 -memberof GroupDN chỉ định tên DN của một hay nhiều nhóm mà nhóm mới
tạo ra sẽ là thành viên của chúng.
 -member GroupDN Chỉ định tên DN của một hay nhiều nhóm sẽ trở thành
thành viên của nhóm mới tạo.
Cũng có thể thêm các tham số -s, -u, -p để chỉ định Máy chủ Quản trị Miền mà
lệnh Dsadd.exe sẽ chạy, và tên người dùng và mật khẩu được sử dụng để chạy lệnh.
 {-s Server | -d Domain}
 -u UserName
 -p {Password | *}
LƯU Ý Chỉ định mật khẩu khi sử dụng Dsadd.exe sử dụng ký tự thay thế “*”
cùng với khóa –p thay cho việc nhập mật khẩu sẽ làm cho chương trình nhắc bạn nhập
mật khẩu trước khi thực hiện lệnh.
Ví dụ, để tạo ra nhóm có tên “Sales” trong đối tượng chứa “Users” và đưa người
dùng “Administrator” là thành viên của nhóm này, sẽ sử dụng câu lệnh sau:
Dsadd group “CN=Sales, CN=Users, DC=ACNA, DC=com” –member

“CN=Administrator, CN=Users, DC=ACNA, DC=com”
Quản lý đối tượng nhóm bằng Dsmod.exe

Dsmod.exe cho phép có thể thay đổi các thuộc tính của các đối tượng nhóm đang
tồn tại từ dấu nhắc lệnh của Windows Server. Sử dụng lệnh này, có thể thực hiện các
tác vụ như thêm thành viên cho nhóm, loại bỏ chúng ra khỏi nhóm, và thay đổi Kiểu
và Phạm vi của nhóm. Cú pháp cơ bản của lệnh Dsmod.exe như sau:
dsmod groupGroupDN [parameters]

Các tham số (parrameters) thông dụng nhất của lệnh này như sau:
 -secgrp {yes|no} đặt kiểu nhóm là Bảo mật (yes) hay Phân phối (no).
 -scope {l|g|u} Đặt phạm vi nhóm là Domain Local (l), global (g), hay
Universal (u).
 -addmbr members Thêm thành viên vào nhóm. Thay tham số phụ members
bằng tên DN của một hay nhiều đối tượng.
85
 -rmmbr members Loại bỏ các thành viên ra khỏi nhóm. Thay tham số phụ
members bằng tên DN của một hay nhiều đối tượng.
 -chmbr members Thay toàn bộ danh sách của các thành viên nhóm. Thay
tham số phụ members bằng tên DN của một hay nhiều đối tượng.
Ví dụ, để thêm người dùng “Administrator” vào nhóm “Guests”, dùng lệnh sau:
dsmod group "CN=Guests,CN=Builtin,DC=ACNA,DC=com" –addmbr

"CN=Administrator,CN=Users,DC=ACNA,DC=com"
Tìm kiếm Đối tượng sử dụng Dsget.exe

Một khi CSDL Active Directory bắt đầu phát triển, nó có thể rất nhanh đạt tới qui
mô mà khi đó, ta khó có thể dùng các bảng điều khiển, ví dụ như “Active Directory
Users And Computers”, khi cần làm việc với một đối tượng cụ thể nào đó, do vấn đề
thời gian và sự phức tạp. Khi chuyện đó xẩy ra, rất nhiều quản trị mạng sẽ quay sang
sử dụng các công cụ dạng dòng lệnh. Một trong các công cụ như vậy, là chương trình
Dsget.exe, cho phép có thể định vị và hiển thị các thông tin về bất kể một đối tượng
nào trong CSDL Active Directory.
Dsget.exe sử dụng cú pháp tương tự như các cú pháp đã sử dụng trong

Dsadd.exe, Dsmod.exe. trong đó sẽ chỉ định lớp đối tượng (Object class), tên DN của
một hay nhiều đối tượng, và các tham số chỉ ra các thông tin cần hiển thị, ví dụ:
dsget objectclass ObjectDN [parameters]
Giá trị của biến ObjectClass có thể là
 Computer
 Contact
 Subnet
 Group
 OU
 Server
 User
 Quote
86
 Partition
Mỗi lớp đối tượng trên lại có một tập hợp các tham số liên quan dến lớp đó, cho
phép có thể hiển thị giá trị của các thuộc tính của kiểu đối tượng đó. Với lệnh Dsget
user, vài trong các tham số của nó là:
 –dn Hiển thị tên DN của người dùng.
 –samid Hiển thị tên SAM của tài khoản người dùng
 –sid Hiển thị Mã số Nhận dạng Bảo mật (SID) của người dùng
 –upn Hiển thị tên chính (principal) của người dùng.
 –fn Hiển thị tên gọi (first name) của người dùng
 –ln Hiển thị tên gia đình (last name) của người dùng
 –display Hiển thị tên hiển thị (display name) của người dùng
 –tel Hiển thị số diện thoại của người dùng
 –email Hiển thịđịa chỉ E-mail của người dùng
 –memberof Hiển thị các nhóm mà người dùng là thành viên trực tiếp
 –expand Hiển thị danh sách các nhóm đề qui mà người dùng là thành viên
Ví dụ, để hiển thị danh sách các nhóm mà người dùng là thành viên, sử dụng câu
lệnh sau:
dsget user "CN=Administrator,CN=Users,DC=ACNA,DC=com” -Memberof
87
Chương 4: Group Policy Object

4.1. Tổng quan về Group Policy Object.
4.1.1 Sự khác nhau giữa System Policy và Group Policy.
Chính sách nhóm chỉ xuất hiện trên miền Active Directory, nó không tồn tại trên
miền NT4.
Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống. Tất nhiên chính
sách nhóm chứa tất cả các chức năng của chính sách hệ thống và hơn thế nữa, có thể
dùng chính sách nhóm để triển khai một phần mềm cho một hoặc nhiều máy một cách
tự động.
Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các
chính sách hệ thống.
Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống. Các
chính sách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào mạng thôi. Các
chính sách nhóm thì được áp dụng khi bật máy lên, khi đăng nhập vào một cách tự
động vào những thời điểm ngẫu nhiên trong suốt ngày làm việc.
Có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc
từng nhóm đối tượng.
Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy
Win2K, WinXP và Windows Server 2003 và Windows Server 2008.
4.1.2 Chức năng và Tính năng của Group Policy.

Triển khai phần mềm ứng dụng: bạn có thể gom tất cả các tập tin cần thiết để cài
đặt một phần mềm nào đó vào trong một gói (package), đặt nó lên Server, rồi dùng
chính sách nhóm hướng một hoặc nhiều máy trạm đến gói phần mềm đó. Hệ thống sẽ
tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cần sự can thiệp nào
của người dùng.
Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng
của chính sách hệ thống. Nó có thể cấp cho một hoặc một nhóm người nào đó có
quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu…
Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thể
kiểm soát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy
được một vài ứng dụng nào đó thôi như: Outlook Express, Word hay Internet
Explorer.
88
Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định
hạn ngạch đĩa cho một người dùng nào đó. Người dùng này chỉ được phép lưu trữ tối
đa bao nhiêu MB trên đĩa cứng theo qui định.
Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ
thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 và
Windows
Server 2003 thì hỗ trợ cả bốn sựkiện này được kích hoạt (trigger) một kịch bản
(script). Bạn có thể dùng các GPO để kiểm soát những kịch bản nào đang chạy.
Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng GPO để gỡ bỏ nhiều
tính năng khỏi Internet Explorer, Windows Explorer và những chương trình khác.
Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ bỏ hầu hết
các đề mục trên menu Start của một người dùng nào đó, ngăn chặn không cho người
dùng cài thêm máy in, sửa đổi thông số cấu hình của máy trạm…
4.1.3 Những tính năng mới trong Windows Server 2008.

4.1.3.1 Starter GPOs là gì?
Starter GPOs có thể giữ những gì mà gọi là các “mẫu” nhằm mục đích tạo các
GPO mới - với hạn chế rằng chỉ có các thiết lập “Administrative Templates” được
cung cấp - từ “Computer Configuration” và “User Configuration”. Các thiết lập như
“Software Settings” (cài đặt phần mềm) và “Windows Settings” (các kịch bản, chính
sách tài khoản, quyền người dùng, các chính sách hạn chế phần mềm,...). không có
trong Starter GPOs.
Một GPO mới sẽ gồm có tất cả các thiết lập chính sách “Administrative
Templates” từ Starter GPO, chúng sẽ được sử dụng như một mẫu trong suốt quá trình
tạo và các tính năng bổ sung mà thông thường chúng ta có bên trong các GPO (như
các thiết lập bảo mật “Security Settings”,… ). Mọi thứ ngoài các thiết lập chính sách
“Administrative Templates” sau đó phải được tạo từ nhiều bước phức hợp khác như
phiên bản hiện nay vẫn đang phải làm. Đây điểm giá trị của các mẫu Advanced Group
Policy Management (AGPM).
Thuộc tính thiết lập GPO:
Tên File Nội dung
89
Gồm có GUID, thông tin phiên bản, tên, mô

StarterGPO.tmplx tả…(định dạng XML)
File này luôn luôn nằm trong file CAB
Báo cáo các thiết lập được tạo ra và bao gồm như
một dưới dang file HTML cho mọi “export”. Được
Report.html thực hiện nhằm tạo tham chiếu dể dàng và tài liệu
xem xét.
File này luôn luôn nằm trong file CAB
Một phần “Computer Configuration” (CC) của

GPO File này chỉ được hiện diện nếu có bất kỳ
Machine_Registry.pol
thiết lập nào của CC được hiện diện trong Starter
GPO.
Một phần “User Configuration” (UC) của GPO

User_Registry.pol File này chủ được hiện diện nếu bất kỳ thiết lập
nào của UC được hiện diện trong Starter GPO.
Gồm có các comment (chú thích) được tạo trên các

thiết lập bên trong phần CC của Starter GPO (định
Machine_Comment.cmtx dạng XML).
File này chỉ được hiện diện nếu có tổi thiểu một
thiết lập CC có chú thích được liên kết với nó.
Gồm có các comment (chú thích) được tạo trên các

thiết lập bên trong phần UC của Starter GPO (định
User_Comment.cmtx dạng XML).
File này chỉ được hiện diện nếu có tổi thiểu một
thiết lập UC có chú thích được liên kết với nó.
4.1.3.2 Group Policy Management Console.

Group Policy là một công nghệ mạnh mẽ nhưng vẫn chưa hoàn thiện. Nó hữu
ích, trong một số khu vực, và hầu như trong mọi môi trường. Và với những người lệ
thuộc nhiều vào nó để bảo mật và khoá môi trường Windows của mình thì Group
Policy là chìa khóa cho cơ sở hạ tầng của họ.
Thế nhưng cũng rất ngạc nhiên khi thấy việc quản lý Group Policy lại ít được tự
động hoá trong nhiều tổ chức IT. Khi Group Policy Management Console (GPMC)
được đưa vào, Microsoft đã thực hiện một nhóm API và một số script mẫu có sẵn cho
90
các công việc tự động thực hiện với console này. Có nhiều việc để làm với những API
này, cũng như những cơ hội để tự động những mặt khác của quản lý Group Policy,
như các công việc giải quyết và chuẩn đoán. Cùng với sự ra đời của Windows
PowerShell, một số công việc này đã trở nên dể dàng hơn.
Một vài chức năng của Group Policy Management Console:
GPMC được tập trung vào việc điều hành dựa vào toàn bộ Group Policy Object
(GPO), và những cho phép tương ứng, các liên kết và nhiều thứ nữa. Nó không cung
cấp tự động hay quản lý của những cài đặt hiện tại trong GPO. Tuy nhiên, nó có thể có
ích khi thực hiện tự động hoá cho toàn bộ GPO như là một cách để quản lý quá trình
thay đổi trong môi trường Group Policy của bạn.
Có thể dùng GPMC APIs để thay đổi những đường dẫn đến GPO. Nếu có một
GPO mới mà muốn triển khai, có thể script tạo ra GPO và sau đó có thể script quá
trình liên kết sau khi các cài đặt đã cư trú. Cũng có thể script thay đổi của một cho
phép của GPO, trong trường hợp bạn muốn thay đổi các nhóm bảo mật được GPO
nhắm đến hay ai có thể edit GPO.
Administrative có thể áp dụng chúng cho một GPO mới, di trú lại một số cài đặt
của nó. Phần sau sẽ hướng dẫn cách tự động quá trình tạo ra, cho phép và nối một
GPO và sau đó hướng dẫn các cách tăng cường một số những chức năng mới của
GPMC trong quá trình tự động hoá này.
Tự động chu kì vòng đời của GPO:
 Cách tự động tạo và quản lý GPO, sẽ dùng Windows PowerShell và GPMC

APIs. Trong ví dụ, tạo một GPO gọi là"TechNet Marketing Policy." Khi tạo
một GP, dùng một Starter GPO gọi là "User Lockdown Template" làm điểm
bắt đầu và thêm một comment cho biết tạo GPO đó. Cũng có thể tạo Starter
GPO dùng GPMC APIs, nhưng trong ví dụ này, giả sử là nó đã có.
 Bước tiếp thực hiện tự động là cho phép GPO. Sẽ cho phép GPO để chỉ những
người dùng trong nhóm "Marketing Users" mới xử lý được nguyên tắc, và add
một nhóm gọi là "GPO Admins" với cho phép được edit GPO. Cuối cùng, nối
GPO đến Marketing OU trong domain Active Directory.
Báo cáo Group Policy tự động:
 Another aspect of Group Policy management you can automate is the

reporting. In this respect, there are at least two types of reports that GPMC
delivers. The first is the ability to report on the settings within a GPO. This
91
allows you to generate either an HTML- or XML-based report of the settings

that are currently enabled in the GPO, as shown in Figure.
 Một mặt khác của quản lý Group Policy mà có thể tự động hoá là báo cáo. Về
mặt này, có ít nhất hai dạng báo cáo mà GPO tạo ra. Đầu tiên là khả năng báo
cáo trên các cài đặt trong GPO. Nó cho phép hoặc là tạo các báo cáo HTML-
hoặc là các báo cáo dựa trên XML- của cài đặt hiện hành đang được kích hoạt
trên GPO. + Khả năng báo cáo thứ hai cho phép tạo Resultant Set of Policy
(RSoP) hay các báo cáo Policy Results. Có hai dạng báo cáo RSoP - logging
và planning. Một báo cáo logging chạy dựa trên một desktop hay server từ xa,
thể hiện các chính sách nào đang được đưa đến hệ điều hành từ xa và liệu
chúng có thành công không. Báo cáo planning RSoP cho bạn thực hiện những
việc nếu phân tích một OU xác định, máy tính hay người dùng để xác định
xem đang áp dụng chính sách nào. Trong cả hai trường hợp, logging và
planning đều có thể tạo các output HTML hoặc XML dùng GPMC APIs và
Windows PowerShell.
4.1.3.3 Group Policy Preference.

Group Policy Preferences cung cấp rất nhiều tính năng ưu điểm cho các quản trị
viên. Đó là những thứ mà lẽ ra nên có ngay từ những ngày đầu có Active Directory,
nhưng: muộn còn hơn không! Nhiều tính năng Group Policy Preferences mang đến là
các thiết lập làm cho mọi người có thể tạo nhiều hoặc các kịch bản ít phức tạp hơn -
hoặc các mẫu quản trị tùy thích (các file ADM/ADMX/ADML) - đối với vấn đề đó,
như drive và ánh xạ hóa máy in, các nhiệm vụ copy file, desktop shortcuts, sự sáng tạo
của nguồn dữ liệu ODBC và có lẽ quan trọng nhất đó là các điều chỉnh registry có khả
năng tùy chỉnh cho cả các ứng dụng phần mềm non-Group Policy! Tuy nhiên, Group
Policy Preferences cung cấp còn nhiều hơn những gì chúng tôi vừa liệt kê trên 4 bảng
dưới đây sẽ cho thấy được những gì công nghệ này có thể mang đến.
Bảng 4-1 miêu tả Group Policy Preferences có thể cung cấp liên quan đến
Windows Settings ở mức Computer Configuration.
Environment Cho phép có thể thiết lập biến môi trường (Environment) cho User
hoặc System. Có thể tạo/thay thế/nâng cấp hoặc xóa các biến này -
hoặc thậm chí cả những biến quan trọng như PATH.
Files Tạo/thay thế/nâng cấp hoặc xóa các file trên client. Bằng cách định
nghĩa các file nguồn và đích bạn có bản copy giống như một chức
năng.
Thêm vào đó có thể thiết lập các thuộc tính (Read-Only, Hidden &
Archive) trên các file.
92
Folders Cho phép có thể tạo/thay thế/nâng cấp hoặc xóa các thư mục trên
các client. Khi thay thế hoặc xóa các thư mục bạn có thể có nhiều tùy
chọn để bảo đảm mọi thứ xảy ra theo cách mong muốn.
Thêm vào đó cũng có thể thiết lập các thuộc tính (Read-Only,
Hidden & Archive) đối với các thư mục.
INI Files Tạo/thay thế/nâng cấp hoặc xóa các file INI. Có thể chỉ định các tên
thuộc tính và vùng của file cũng như các giá trị thuộc tính.
Registry Cấu hình này cho phép có thể thay đổi các thiết lập registry trên
máy khách - chọn từ Registry Items, Collection Items, và Registry
Wizard để hướng dẫn thông qua toàn bộ quá trình. Wizard sẽ cho
phép duyệt registry trên các máy tính từ xa để chọn đường dẫn chính
mà mong muốn tạo/thay thế/nâng cấp hoặc xóa.
Có thể chọn các kiểu giá trị dưới đây: REG_SZ, REG_DWORD,
REG_BINARY, REG_MULTI_SZ, và REG_EXPAND_SZ – đây là
một cải thiện lớn khi so sánh với quá trình tạo các file ADM tùy
chỉnh (thường không hỗ trợ tất cả các kiểu giá trị registry).
Network Cho phép có thể tạo/thay thế/nâng cấp hoặc xóa các chia sẻ trên
client. Có thể chọn tên Share, đường dẫn Folder, Comment, hạn chế
Shares người dùng và thậm chí cả trạng thái bảng liệt kê truy cập.
Cũng có thể chọn nâng cấp tất cả các chia sẻ thông thường, tất cả
các chia sẻ không quản lý đã được ẩn và tất cả các chia sẻ ký tự ổ
đĩa.
Shortcuts Tạo/thay thế/nâng cấp hoặc xóa các shortcut trên các client. Có thể
định nghĩa Target Type (File System Object, URL hoặc Shell
Object), Location, Path, Arguments, “Start in”, Shortcut Keys,
Icon,…
Bảng 4-2 Ý tưởng về những gì Group Policy Preferences cung cấp liên quan đến
Control Panel Settings ở mức Computer Configuration.
93
Data Tạo/thay thế/nâng cấp hoặc xóa nguồn dữ liệu hệ thống hoặc người
dùng (User or System Data Sources). Chọn từ DNS (Data Source
Sources Names) có sẵn, chọn Data Source Driver (ví dụ như Excel, Access,
SQL Server), đặt Username/Password, và các thuộc tính,…
Vì vậy, đây là cách đơn giản để tạo một kết nối cơ sở dữ liệu (ODBC)
trên các client.
Devices Điều khiển các thiết bị trên client bằng cách kích hoạt hoặc vô hiệu
hóa việc sử dụng Device Class (GUID) hoặc Device Type (GUID) đã
có. Thiết lập này gần giống như chức năng mà chúng ta có trong
Windows Vista.
Folder Định nghĩa kiểu file và các lớp có liên quan (ví dụ như Text
Options Document, VBScript Script File, Windows Installer Package,…).
Thêm vào đó có thể cấu hình các thiết lập Class như Icon, Actions…
Local Quản lý Local Users và Groups bằng việc tạo/thay thế/nâng cấp hoặc
Users and xóa các Users hoặc Groups.
Groups Cũng có thể thay đổi mật khẩu, vô hiệu hóa những người dùng cục bộ
và kiểm soát thành viên nhóm nội bộ, thiết lập các tùy chọn mật khẩu,
thiết lập ngày hết hạn, xóa tất cả các thành viên của một nhóm (người
dùng hay các nhóm), bổ sung/xóa người dùng hiện hành vào/ra một
nhóm, đổi tên người dùng hoặc một nhóm,…
Network Tạo/thay thế/nâng cấp hoặc xóa một mạng riêng ảo - Virtual Private
Options Network (VPN) hoặc kết nối mạng quay số - Dial-Up Network (DUN)
– như một kết nối “user” hoặc “all users”. Cũng có thể định nghĩa các
tùy chọn quay số hay các chức năng bảo mật (mã hóa, chứng thực,…),
các tùy chọn cho việc kết nối mạng,…
Power Cấu hình Power Options and Schemes cho Windows XP.
Options
Power Options có các thiết lập như: “Prompt for password when
computer resumes from standby” (Nhắc nhở mật khẩu khi máy tính thức
bật sau chế độ standby), “Enable hibernation” (Cho phép chức năng
ngủ đông) và các thiết lập nút Power.
Power Schemes có thể tạo, thay thế, nâng cấp hoặc xóa. Vì vậy có thể
tạo một kế hoạch hoàn hảo, triển khai nó đến các máy khách và làm cho
nó hoạt động hiệu quả.
94
Printers Tạo/thay thế/nâng cấp hoặc xóa các máy in - thậm chí các máy in
TCP/IP.
Có thể định nghĩa những thứ như Name, Port (LPT/COM/USB), IP
address, Port Settings (RAW/LPR/SNMP), Printer Path, Location,
Comment.
Scheduled Tạo/thay thế/nâng cấp hoặc xóa Scheduled or Immediate Tasks.

Tasks
Với Scheduled Tasks bạn có thể chọn Name, File (điển hình một kịch
bản hoặc khả năng thực thi) để khởi chạy, bất kỳ các thuộc tính
Arguments, “Start in”, Comments, “Run as” (chỉ định tài khoản và
mật khẩu của người dùng trong miền hoặc cục bộ) cho dù nhiệm vụ có
được kích hoạt hay không, bên cạnh lịch trình (thậm chí là đa lịch trình)
còn có một số các thiêt lập nâng cao hơn.
Immediate Task cung cấp hầu hết các chức năng như các thiết lập khi
đề cập ở trên, ngoại trừ Schedule – Immediate Tasks chạy ngay khi
chúng được nạp với một chính sách.
Services Thiết lập các thuộc tính trên Services như tùy chọn Startup (No
change,
Automatic, Manual hoặc Disabled), chọn Action (No change,
Start/Stop/Restart service), thiết lập thời gian timeout trong trường
hợp dịch vụ bị khóa, thiết lập các thuộc tính đăng nhập và khôi phục, …
Bảng 4-3 Group Policy Preferences cung cấp liên quan đến các thiết lập
Windows ở mức User Configuration.
Applications Phần này sẽ được trình bày trong phần sau của chương
Drive Maps Tạo/thay thế/nâng cấp hoặc xóa các ổ đĩa mạng đã được ánh xạ
(giống như NET USE). Có thể chọn để ánh xạ một ký tựổ đĩa nào đó
hoặc ký tự ổ đĩa có sẵn tiếp theo.
Một tùy chọn cũng được cung cấp ở đây là “Connect As” – cung cấp
các thông tin cần thiết như tên người dùng và mật khẩu. Ngoài ra còn
có thể chọn để ẩn một ổ đĩa đã ánh xạ hoặc tất cả các ổ.
Environment Cho phép có thể thiết lập các biến môi trường cho User hoặc hệ
thống. Có thể tạo/thay thế/nâng cấp hoặc xóa các biến này - thậm chí
95
cả biến quan trọng như PATH.
Files Tạo/thay thế/nâng cấp hoặc xóa các file trên các client. Bằng cách
định nghĩa các file nguồn và đích sẽ có bản copy như một chức năng.
Archive) trên các file.
Folders Cho phép có thể tạo/thay thế/nâng cấp hoặc xóa các thư mục trên các
client. Khi thay thế hoặc xóa các thư mục có thể có nhiều tùy chọn để
bảo đảm mọi thứ xảy ra theo mong muốn.
Archive) trên các thư mục này.
INI Files Tạo/thay thế/nâng cấp hoặc xóa các file INI. Bạn có thể chỉ định các
tên thuộc tính và vùng của file cũng như giá trị thuộc tính.
Registry Cấu hình này cho phép có thể thay đổi các thiết lập registry trên
máy khách - chọn từ Registry Items, Collection Items, và Registry
Wizard để hướng dẫn thông qua toàn bộ quá trình. Wizard sẽ cho
phép duyệt registry trên các máy tính từ xa để chọn đường dẫn chính
mà muốn tạo/thay thế/nâng cấp hoặc xóa.
Có thể chọn các kiểu giá trị dưới đây: REG_SZ, REG_DWORD,
REG_BINARY, REG_MULTI_SZ, và REG_EXPAND_SZ – đây là
một cải thiện lớn khi so sánh với quá trình tạo các file ADM tùy
chỉnh (thường không hỗ trợ tất cả các kiểu giá trị registry).
Shortcuts Tạo/thay thế/nâng cấp hoặc xóa các shortcut trên các client. Có thể
định nghĩa Target Type (File System Object, URL hoặc Shell Object),
Location, Path, Arguments, “Start in”, Shortcut Keys, Icon, …
Bảng 4-4 Group Policy Preferences cung cấp liên quan đến Control Panel
Settings ở mức User Configuration.
Data Tạo/thay thế/nâng cấp hoặc xóa nguồn dữ liệu hệ thống hay người
dùng. Chọn từ DNS (Data Source Names) có sẵn, chọn Data Source
Sources Driver (ví dụ như Excel, Access, SQL Server), đặt Username/Password,
và các thuộc tính,…
Vì vậy, đây là cách đơn giản để tạo một kết nối cơ sở dữ liệu (ODBC)
96
trên các client.
Devices Điều khiển các thiết bị trên client bằng cách kích hoạt hoặc vô hiệu hóa
việc sử dụng Device Class (GUID) hoặc Device Type (GUID) đã có.
Thiết lập này gần giống như chức năng mà chúng ta có trong Windows
Vista.
Folder Cho phép thiết lập Folder Options cho Windows XP hoặc Windows
Options Vista - hoặc có thể thiết lập các liên kết “Open With” với các mở rộng
của file đã cho (ví dụ như Notepad cho các file .txt,…).
Thiết lập Folder Options cho Windows XP/Vista có khả năng kích hoạt
hoặc vô hiệu hóa các thiết lập như: “Show hidden files and folders” (Hiện
các file và thư mục ẩn), “Hide extensions for known file types” (Ẩn phần
mở rộng cho các kiểu file đã biết), “Hide protected operating system
files” (Ẩn các file hệ thống được bảo vệ), “Show encrypted or
compressed NTFS files in color” (Hiện các file NTFS đã được nén hoặc
mã hóa theo màu), “Use simple file sharing” (Sử dụng việc chia sẻ file
đơn giản), và nhiều hơn nữa trong chủng loại tương tự.
Internet Cho phép thiết lập Internet Settings cho Internet Explorer 5, 6 hoặc
Settings Internet Explorer 7. Một số thiết lập này có chồng lấp với các thiết lập
Group Policy thông thường.
Internet Settings bao gồm việc thiết lập Home Page(s), History trình
duyệt, việc duyệt tab, Accessibility, mức độ Security theo từng vùng,
ngăn chặn Pop-up, các chương trình, thiết lập Dial-up/LAN…
Local Quản lý Local Users và Groups bằng việc tạo/thay thế/nâng cấp hoặc
Users and xóa các Users hoặc Groups.
Groups Cũng có thể thay đổi mật khẩu, vô hiệu hóa những người dùng cục bộ
và kiểm soát thành viên nhóm nội bộ, thiết lập các tùy chọn mật khẩu,
thiết lập ngày hết hạn, xóa tất cả các thành viên của một nhóm (người
dùng hay các nhóm), bổ sung/xóa người dùng hiện hành vào/ra một
nhóm, đổi tên người dùng hoặc một nhóm,…
97
Network Tạo/thay thế/nâng cấp hoặc xóa một mạng riêng ảo - Virtual Private
Options Network (VPN) hoặc kết nối mạng quay số - Dial-Up Network (DUN) –
như một kết nối “user” hoặc “all users”. Cũng có thể định nghĩa các tùy
chọn quay số hay các chức năng bảo mật (mã hóa, chứng thực,…), các
tùy chọn cho việc kết nối mạng,…
Power Cấu hình Power Options và Schemes cho Windows XP.

Options
Power Schemes có các thiết lập như: “Prompt for password when
computer resumes from standby”, “Enable hibernation” và các thiết lập
nút Power.
Power Schemes có thể tạo, thay thế, nâng cấp hoặc xóa. Vì vậy có thể
tạo một kế hoạch hoàn hả, triển khai nó đến các máy khách và làm cho nó
trở hoạt động hiệu quả.
Printers Tạo/thay thế/nâng cấp hoặc xóa các máy in - thậm chí các máy in
TCP/IP.
Có thể định nghĩa những thứ như Name, Port (LPT/COM/USB), IP
address, Port Settings (RAW/LPR/SNMP), Printer Path, Location,
Comment. Thậm chí còn có thể chọn máy in mặc định cho người dùng.
Regional Cho phép thiết lập thuộc tính Regional Option Properties - như xác
Options định vị trí của người dùng, định dạng số, tiền tệ, thời gian và ngày.
Scheduled Tạo/thay thế/nâng cấp hoặc xóa Scheduled or Immediate Tasks.

Tasks
Với Scheduled Tasks có thể chọn Name, File (điển hình một kịch bản
hoặc khả năng thực thi) để khởi chạy, bất kỳ các thuộc tính Arguments,
“Start in”, Comments, “Run as” (chỉ định tài khoản và mật khẩu của
người dùng trong miền hoặc cục bộ) cho dù nhiệm vụ có được kích hoạt
hay không, bên cạnh lịch trình (thậm chí là đa lịch trình) còn có một số
các thiêt lập nâng cao hơn.
Immediate Task cung cấp hầu hết các chức năng như các thiết lập khi
đề cập ở trên, ngoại trừ Schedule – Immediate Tasks chạy ngay khi chúng
được nạp với một chính sách.
Start Điều chỉnh được Start Menu của Windows XP hoặc Windows Vista.
Menu Tính năng này có tất cả các thiết lập đã biết như biểu tượng to/nhỏ, số
chương trình trên menu Start, Display Run, Display Log off,…
98
Windows Server 2008 và GPMC version 2 mang đến một số tính năng mới rất
hữu dụng có liên quan đến Group Policy. Một số là những cải thiện nhỏ, một số khác
là những cải thiện lớn. Nhưng phần lớn nó đều rất hữu dụng cho các quản trị viên
trong hầu hết các môi trường… Group Policy Preferences cũng mang đến cho chúng
ta những tính năng mới và rất hữu dụng mà có lẽ chúng ta chưa bao giờ có nó trước đó
– và một điều đáng nói ở đây là bạn thậm chí không cần phải tốn quá nhiều tiền để có
được nó!
4.1.4. Triển khai Group Policy trên Windows Server 2008.

4.1.4.1 Cấu hình Security Policy.
Login vào Domain Controller với quyền hạng là Administrative. Từ Menu Start
=> Administrative Tools => Group Policy Management.
Mở rộng nhánh Domain lhu.edu Click chuột phải vào Default Domain Policy chọn
Edit.
99
Tại hộp thoại Group Policy Management Editor mở rong các nhánh như sau:
Computer Congiuration => Windows Settings => Security Settings => Account Policy
=> Password Policy. Cửa sổ bên phải hiện thị các thông tin chính sách về Password.
100
Click Double chuột vào chỉnh các giá trị trở về 0 (0 ở đây có nghĩa là chế độ
Password phức tạp sẽ không được sữ dụng đến) hoặc bỏ check “Define this policy
setting”. Sau đó chọn OK.
Kết quả sau khi chỉnh sửa chế độ Password đơn giản cho các Users trong Miền .
101
Trong hộp thoại Group Policy Management mở rộng nhánh Domain Controllers
=> Default Domain Controller Policy => click chuột phải chọn Edit.
102
Hộp thoại Group Policy Management Editor mở rộng các nhánh như dưới đây:
Compuer Configuration => Windows Settings => Security Settings => Local Policies
=> User Rights Asignment. Bên của sổ phải của chương trình click double vào dòng
Allow log on locally hoặc click phải chuột vào chọn Properties.
Hộp thoại Alloe log on locally Properties click chọn Add User ot Group…
103
Hộp thoại Add User or Group tiến hành Add nhóm Users vào và click chọn OK.
104
Kết quả Nhóm Users đã được thêm vào. Click chọn Apply và OK.
105
Cập nhật Policy. Từ menu Start => Run gõ lệnh gpupdate /force sau đó chọn ok.
Quá trình cập nhập Policy thành công.
106
4.1.4.2 Group Policy chuẩn đoán lỗi ổ đĩa.
Click chuột phải vào OU cần triển khai GP chọn Greate a GPO Policy Nhập tên
cần tạo vào hộp thoại Name và chọn OK
Tại của sổ Group Policy Manegement click chuột phải vào Policy mới vừa được
tạo chọn Edit.
107
Hộp thoại Group Policy Manegement Editor tìm theo cấu trúc như sau: Computer
Configuration => Administrative Template => System => Troubelshooting and
Diagnostics => Disk Diagnostics. Bên của sổ phải Disk Diagnostic:
Congiguraexecution level click chọn vào chọn Properties.
108
Hộp thoại Disk Diagnostic Configure execution level Properties click chọn vào ô
Enabled => Apply => OK.
109
4.1.4.3 Group Policy cài đặt software thông qua quản trị viên.
Hộp thoại Group Policy Manegement click chuột phải vào OU CNTT chọn Create
a GPO in this domain, and Link it here…
110
Hộp thoại New GPO nhập tên cần tạo vào mục Name sau đó chọn OK.
Trong hộp thoại Group Policy click chuột phải vào GPO mới vừa tạo chọn Edit.
111
Sau khi click chọn vào Edit. Trong hộp thoại Group Policy Management Editor
tìm theo đường dẫn sau: Computer Configuration => AdministrativeTemplates =>
System => Troubleshooting and Diagnostics => Application Compatibility Diagnostics.
112
4.1.4.4 Group Policy Turn off Autoplay.
Tạo mới một chính sách như hình dưới đây
Nhập tên cần tạo vào hộp thoại Name sau đó click chọn OK.
113
Click chuột vào chính sách vừa tạo chọn Edit
Thực hiện tắt chức năng theo cấu trúc đường dẫn như sau: User Congiguration
=>Administrative Templates: Policeis => Windows Components => AutoPlay Policies.
114
Bên của sổ phải click Double chuột vào Turn off Autoplay chọn Enabled, click
chọn OK.
4.1.4.5 Group Policy home page hiden Tab.
Thực hiện tạo mới một chính sách như hình dưới đây.
115
Tiến hành sửa chửa thiết lập, click chuột phải vào chính sách vừa tạo chọn Edit.
Tìm đến mục Important URLs theo cấu trúc như sau: User Comgiuration =>
Windows Settings => Internet Explorer Maintenance bên cửa sổ phải click double chuột
116
vào Important Url.
Hộp thoại Important URLs đánh dấu chọn vào ô Customize Home page URL và
nhập tên trang web vào ô Home page URL:
Tiếp theo thực hiện tương tự nhừ cấu trúc trên: User Comgiuration => Windows
Settings => Internet Explorer Maintenance =>Windows Componts => Internet Control
117
Panel . Bên của sổ tay phải click double chuột vào dòng Disable the General page.
Hộp thoại Disable the General page Properties chọn Enabled sua đó click chọn OK
để thiết lập này được thực hiên.
4.1.4.6 Group Policy Deploy Software.
Trước khi thực hiện phần này ta cần một software có phần mở rộng là *.msi Copy
software này vào thư mục DUDIEU và tiến hành Sharing thư mục này lên.
118
Hộp thoại Advanced Sharing đánh dấu check vào ô Share this folder sau đó chọn
Apply và chọn OK
119
Copy software vào thư mục DULIEU như hình dưới đây.
Từ menu Start => Administrative Tools => Group Policy Manegement click chuột
vào OU CNTT chọn Create a GPO in this domain, and Link it here…
120
Trong hộp thoại New GPO nhập tên DeploySoftware vào mục Name chọn OK.
121
Sau khi thực hiện thành công việc tạo mới một chính sách click chuột vào chính
sách mới vừa tạo chọn Edit…
Hộp thoại Group Policy Managenment Editor thực hiện cài đặt Software cho User
khi Login vào Domain. Tìm theo cấu trúc như sau: User Configuration => Software
insttalltion =>Click chuột phải vào chọn New => Package…
122
Trong hộp thoại Open chỉ định đường dẫn đến gới Package cấn install cho User
theo cú pháp như sau:
 \\TênMáyTính\ThưMụcChiaSẻ\software
 \\TênMáyTính\TênDomain\ThưMụcChiaSẻ\software
123
Hộp thoại Deploy Software xuất hiện chọn vào Assigned sau đó chọn OK
Tạo hộp thoại Group Policy Management Editor một gói Packek đã được cài đặt
thiết lập.
124
Log off và Log on với User là cntt và password 12345678.
Kiểm tra kết quả cntt được Install software một cách tự động.
125
Chương 5: DNS và Active Directory Domain Service

5.1. Tổng quát về dịch vụ DNS trên Windows Server 2008
Những ưu điểm nổi bật của Windows Server 2008
Windows Server 2008 R2 là HĐH máy chủ mới nhất của Microsoft, được thiết
kế với mục đích tăng hiệu năng sử dụng, giảm chi phí vận hành với những tính năng
nổi bật như cải tiến quản lý năng lượng, truy cập, quản lý máy chủ từ xa, ảo hóa …
Hỗ trợ mạnh các hệ thống phần cứng mới
Windows Server 2008 R2 là phiên bản hệ điều hành máy chủ đầu tiên loại bỏ
hoàn toàn cấu trúc 32 bit, hỗ trợ lên tới 256 bộ vi xử lý logic và có khả năng quản lý
bộ nhớ tốt hơn các phiên bản trước.
Cải tiến quản lý năng lượng
Nhằm tiết kiệm chi phí qua việc giảm thiểu chi phí điện năng tiêu thụ, Windows
Server 2008 R2 cung cấp một số cài đặt Group Policy mới cho phép quản lý điện năng
đối với các thiết bị trong máy tính sử dụng Windows 7 hay Windows Server 2008 R2.
Đặc biệt, Windows Server 2008 R2 có thể quản lý khả năng tiêu thụ điện của máy tính
tại lõi của CPU. Khi các lõi chip không được sử dụng có thể được chuyển sang trạng
thái ngủ đông cho đến khi chúng được sử dụng, do đó giảm sức tiêu thụ điện năng của
toàn bộ máy chủ.
Ảo hóa máy chủ và máy trạm
Ảo hóa là một phần chính của trung tâm dữ liệu ngày nay. Hiệu quả điều hành
được cung cấp bởi ảo hóa cho phép các tổ chức giảm đáng kể nỗ lực hoạt động và điện
năng tiêu thụ. Windows Server 2008 R2 cung cấp các loại ảo hóa sau:
Hyper-V
Windows Server 2008 R2 giới thiệu một phiên bản mới của Hyper-V có thể sử
dụng tối đa 32 chip logic, với một số cải tiến lõi để tạo ra trung tâm dữ liệu ảo động
bao gồm các khả năng tăng hiệu suất, cải thiện quản lý và cho phép người dùng di
chuyển các máy ảo mà không phải tạm dừng hoạt động. Phiên bản đầu tiên của
HyperV chỉ có thể sử dụng tối đa 16 chip logic.
Remote Desktop Services (trước đây gọi là Terminal Services)
Remote Desktop Services, trước đây được gọi là Terminal Services, là một trong
những thành phần của Microsoft Windows (cả máy chủ và máy trạm) cho phép người
126
dùng truy cập vào các ứng dụng và dữ liệu trên một máy tính từ xa qua mạng. Remote
Desktop là dịch vụ cung cấp cho người sử dụng và quản trị viên với cả các tính năng
và tính linh hoạt cần xây dựng những kinh nghiệm truy cập mạnh mẽ nhất trong bất kỳ
kịch bản triển khai.
Để mở rộng việc thiết lập điều khiển máy tính từ xa, Microsoft đã đầu tư vào cơ
sở hạ tầng Desktop ảo, cũng gọi là VDI (Virtual Desktop Infrastructure).
Tính năng này cho phép những ứng dụng được cài đặt trên máy chủ giờ đây đã
xuất hiện trên menu Start cùng với các ứng dụng được cài đặt cục bộ. Người dùng có
thể sử dụng ứng dụng được cài đặt trên máy chủ như ứng dụng được cài đặt cục bộ, và
khó có thể nhận ra sự khác biệt giữa chúng.
Bênh cạnh đó là chức năng đồ họa (và một số chức năng I/O khác, như bàn phím
và chuột) giờ đây được xử lý bởi desktop của của người dùng. Điều này có nghĩa là
mỗi phiên làm việc sẽ sử dụng ít tài nguyên trên máy chủ hơn, do đó nguồn tài nguyên
này sẽ được sử dụng hiệu quả hơn.
VDI là một kiến trúc phân phối desktop tập trung, cho phép Windows và máy
tính để bàn khác môi trường có thể chạy và được quản lý trong các máy chủảo tập
trung.
Khả năng mở rộng và đáng tin cậy
Windows Server 2008 R2 có khả năng thực thi một khối lượng công việc rất lớn,
dể mở rộng với độ tin cậy cao. Một loạt các tính năng mới và cập nhật sẽ có sẵn, bao
gồm thúc kiến trúc CPU đòn bẩy tinh vi, tăng gia tăng các khung điều hành hệ thống,
và cải thiện hiệu suất và khả năng mở rộng cho ứng dụng và dịch vụ.
Kinh nghiệm làm việc tốt hơn cùng với Windows 7
Windows Server 2008 R2 có nhiều tính năng được thiết kế đặc biệt để làm việc
với máy tính khách đang chạy Windows 7.
Người dùng có thể tìm hiểu về các tính năng chỉ có trên máy khách Windows 7
với máy chủ chạy HĐH Windows Server 2008 R2 ở đây. Những tính năng nổi bật
trong Windows Server 2008.
Có rất nhiều tính năng và chức năng mới được bổ sung vào Active
Directorytrong Windows Server 2008, Active Directory Domain Services (AD DS)
trong Windows Server 2008, dịch vụ này có một số tính năng và nâng cao mới so
vớiWindows Server 2003.
127
Đây là toàn bộ tóm tắt ngắn gọn về những thay đổi chính và các chức năng dịch
vụ miền mới mà chúng tôi sẽ đề cập đến trong bài này:
 Active Directory Domain Services - Read-Only Domain Controllers
 Active Directory Domain Services - Restartable Active Directory Domain

Services.
 Active Directory Domain Services - Fine-Grained Password Policies.

5.2 Tổng quan về dịch vụ DNS
5.2.1. Giới thiệu về DNS.
Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin, dữ liệu cho nhau
cần phải biết rõ địa chỉ IP của nhau. Nếu số lượng máy tính nhiều thì việc nhớ những
địa chỉ IP này rất là khó khăn. Mỗi máy tính ngoài địa chỉ IP ra còn có một tên
(hostname). Đối với con người việc nhớ tên máy dù sao cũng dể dàng hơn vì chúng có
tính trực quan và gợi nhớ hơn địa chỉ IP. Vì thế, người ta nghĩ ra cách làm sao ánh xạ
địa chỉ IP thành tên máy tính.
Ban đầu do quy mô mạng ARPA NET (tiền thân của mạng Internet) còn nhỏ chỉ
vài trăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lưu thông tin về ánh xạ tên máy
thành địa chỉ IP. Trong đó tên máy chỉ là 1 chuỗi văn bản không phân cấp (flat name).
Tập tin này được duy trì tại 1 máy chủ và các máy chủ khác lưu giữ bản sao của nó.
Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOSTS.TXT có các nhược
điểm như sau:
 Lưu lượng mạng và máy chủ duy trì tập tin HOSTS.TXT bị quá tải do hiệu
ứng “cổ chai”.
 Xung đột tên: Không thể có 2 máy tính có cùng tên trong tập tin HOSTS.TXT
. Tuy nhiên do tên máy không phân cấp và không có gì đảm bảo để ngăn chặn
việc tạo 2 tên trùng nhau vì không có cơ chế uỷ quyền quản lý tập tin nên có
nguy cơ bị xung đột tên.
 Không đảm bảo sự toàn vẹn: việc duy trì 1 tập tin trên mạng lớn rất khó khăn.
Ví dụ như khi tập tin HOSTS.TXT vừa cập nhật chưa kịp chuyển đến máy chủ
ở xa thì đã có sự thay đổi địa chỉ trên mạng rồi.
Tóm lại việc dùng tập tin HOSTS.TXT không phù hợp cho mạng lớn vì thiếu cơ
chế phân tán và mở rộng. Do đó, dịch vụ DNS ra đời nhằm khắc phục các nhược điểm
này. Người thiết kế cấu trúc của dịch vụ DNS là Paul Mockapetris - USC's
Information Sciences Institute, và các khuyến nghị RFC của DNS là RFC 882 và 883,
128
sau đó là RFC 1034 và 1035 cùng với 1 số RFC bổ sung như bảo mật trên hệ thống
DNS, cập nhật động các bản ghi DNS …
Hiện tại trên các máy chủ vẫn sử dụng được tập tin hosts.txt để phân giải tên máy
tính thành địa chỉ IP (trong Windows tập tin này nằm trong thư mục
WINDOWS\system32\drivers\etc).
Dịch vụ DNS hoạt động theo mô hình Client-Server: phần Server gọi là máy chủ
phục vụ tên hay còn gọi là Name Server, còn phần Client là trình phân giải tên -
Resolver. Name Server chứa các thông tin CSDL của DNS, còn Resolver đơn giản chỉ
là các hàm thư viện dùng để tạo các truy vấn (query) và gửi chúng qua đến Name
Server. DNS được thi hành như một giao thức tầng Application trong mạng TCP/IP.
DNS là 1 CSDL phân tán. Điều này cho phép người quản trị cục bộ quản lý phần
dữ liệu nội bộ thuộc phạm vi của họ, đồng thời dữ liệu này cũng dể dàng truy cập
được trên toàn bộ hệ thống mạng theo mô hình Client-Server. Hiệu suất sử dụng dịch
vụ được tăng cường thông qua cơ chế nhân bản (replication) và lưu tạm (caching).
Một hostname trong domain là sự kết hợp giữa những từ phân cách nhau bởi dấu chấm
Hình 5.1: Sơ đồ tổ chức DNS
129
Cơ sở dữ liệu (CSDL) của DNS là một cây đảo ngược. Mỗi nút trên cây cũng lại
là gốc của 1 cây con.
Mỗi cây con là 1 phân vùng con trong toàn bộ CSDL DNS gọi là 1 miền
(domain). Mỗi domain có thể phân chia thành các phân vùng con nhỏ hơn gọi là các
miền con (subdomain). Mỗi domain có 1 tên (domain name). Tên domain chỉ ra vị trí
của nó trong CSDL DNS. Trong DNS tên miền là chuỗi tuần tự các tên nhãn tại nút đó
đi ngược lên nút gốc của cây và phân cách nhau bởi dấu chấm.
Tên nhãn bên phải trong mỗi domain name được gọi là top-level domain. Trong
ví dụ trước srv1.csc.hcmuns.edu.vn, vậy miền “.vn” là top-level domain. Bảng sau đây
liệt kê top-level domain.
Tên Miền Miêu tả
.com Các tổ chức công ty thương mại.
.org Các tổ chức phi lợi nhuận.
.net Các trung trâm hỗ trợ khách hàng.
.edu Các tổ chức giáo dục.
.gov Các tổ chức chính phủ.
.mil Các tổ chức quân sự.
.int Các tổ chức được thành lập bởi các hiệp ước quốc tê.
Vì sự quá tải của những domain name đã tồn tại, do đó đã làm phát sinh những
top-level domain mới. Bảng sau đây liệt kê những top-level domain mới.
.arts Những tổ chức liên quan đến nghệ thuật và kiến trúc.
.nom Những địa chỉ cá nhân và gia đình.
.rec Những tổ chức có tính chất và thể thao.
.firm Những tổ chức kinh doanh thương mại.
.info Những dịch vụ liên quan đến thông tin.
130
Bên cạnh đó, mỗi nước cũng có một top-level domain. Ví dụ top-leveldomain
của Việt Nam là .vn, Mỹ là us. Xem thêm thông tin về domain tại địa chỉ: http://
www.thrall.org/domains.htm. Dưới đây là tên miền của các quốc gia.
.vn Việt Nam
.us Mỹ
.uk Anh
.jp Nhật Bản
.ru Nga
.cn Trung Quốc
… ….
5.2.2. Đặc điểm của DNS trong Windows Server 2008.

DNS là chử viết tắt của Domain Name System là một hệ thống được sử dụng
trong mạng ICP/IP để đặt tên cho các máy tính và các dich vụ mạng được tổ chức
thành một hệ thống. DNS diển dịch địa chỉ IP thành tên điều này tạo điều kiện thuận
lợi cho người dùng và cũng mang về một cái nhìn thân thiên thay vì họ phải nhớ đến
các con số. Dịch vụ DNS giải giúp được các thông tin người dùng nhập vào tên hay
một địa chỉ IP. dịch vụ DNS có thể giải quyết tên cho các thông tin khác có liên quan
đến tên, chẳng hạn như một địa chỉ IP.
Windows Server 2008 cung cấp một cải tiến mới với dịch vụ DNS Server nhầm
cải thiện một số tính năng được thực hiện trong DNS và diển hình là tính năng nổi bật
đã có trong DNS Server 2008 là DNS Server Role.
Chức năng của DNS Server Role:
 Background zone loading: Máy chủ DNS mà máy chủ lưu trữ lớn về DNS
được lưu trong Active Directory Domain Services (AD DS) có thể đáp ứng
cho người dùng một cách nhanh hơn khi họ khởi động lại, vì dữ liệu khu vực
hiện đang được nạp trong nền.
 IP phiên bản 6 (IPv6): Các dịch vụ DNS Server bây giờ hỗ trợ đầy đủ các địa
chỉ dài hơn của các đặc điểm kỹ thuật IPv6.
 Read Only Domain Controller: DNS Server role trong Windows Server 2008
cung cấp các khu tiểu học chỉ đọc trên RODCs.
131
 Global single names: GlobalNames Khu cung cấp phân giải tên đơn nhãn cho
các mạng doanh nghiệp lớn mà không triển khai Windows Internet Name
Service (WINS). Khu GlobalNames rất hữu ích khi sử dụng tên DNS hậu tố để
cung cấp phân giải tên đơn nhãn là không thực tế.
 Global query block list: Người dùng của các giao thức như các giao thức Web
Proxy
 Auto-Discovery Protocol (wpad) và Intra-site Automatic Tunnel Addressing

Protocol (ISATAP) phụ thuộc vào độ phân giải tên DNS để giải quyết tên máy
chủ nổi tiếng là dể bị nguy hiểm người dùng sử dụng cập nhật đến để đăng ký
máy chủ mà đặt ra như là máy chủ hợp pháp. DNS Server role trong Windows
Server 2008 cung cấp một danh sách truy vấn chặn toàn cầu có thể giúp làm
giảm tổn thương.
Đặc điểm của DNS:
 Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải
dựa theo tên domain trong yêu cầu truy vấn.
 Stub zone: hỗ trợ cơ chế phân giải hiệu quả hơn.
 Đồng bộ các DNS zone trong Active Directory (DNS zone replication in
Active Directory).
 Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống Windows trước
đây. - Luân chuyển (Round robin) tất cả các loại RR.
 Cung cấp nhiêu cơ chế ghi nhận và theo dõi sự cố lỗi trên DNS.
 Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính
năng bảo mật cho việc lưu trữ và nhân bản (replicate) zone.
 Cung cấp tính năng EDNS0 (Extension Mechanisms for DNS) để cho phép
DNS Requestor quản bá những zone transfer packet có kích thước lớn hơn 512
byte.
5.2.3. Cách phân bố dữ liệu và quản lý Domain Name

Những root name server (.) quản lý những top-level domain trên Internet. Tên
máy và địa chỉ IP của những name server này được công bố cho mọi người biết và
chúng được liệt kê trong bảng sau. Những name server này cũng có thể đặt khắp nơi
trên thế giới.
Tên Máy Tinh Địa Chỉ IP
132
A.ROOT.SERVERS.NET 127.10.10.1
B.ROOT.SERVERS.NET 172.89.1.100
C.ROOT.SERVERS.NET 198.100.100.10
D.ROOT.SERVERS.NET 10.10.01.10
E.ROOT.SERVERS,NET 100.10.10.100
F.ROOT.SERVERS.NET 90.100.10.90
G.ROOT.SERVERS.NET 192.10.90.127
Thông thường một tổ chức được đăng ký một hay nhiều domain name. Sau đó,
mỗi tổ chức sẽ cài đặt một hay nhiều name server và duy trì cơ sở dữ liệu cho tất cả
những máy tính trong domain. Những name server của tổ chức được đăng ký trên
Internet. Một trong những name server này được biết như là Primary Name Server.
Nhiều Secondary Name Server được dùng để làm backup cho Primary Name Server.
Trong trường hợp Primary bị lỗi, Secondary được sử dụng để phân giải tên. Primary
Name Server có thể tạo ra những subdomain và ủy quyền những subdomain này cho
những Name Server khác.
133
5.3 Tổng quan về dịch vụ DNS – Cơ chế phân giải tên

5.3.1 Cơ chế phân giải tên thành IP
Root name server: Là máy chủ quản lý các name server ở mức top-level domain.
Khi có truy vấn về một tên miền nào đó thì Root Name Server phải cung cấp tên và
địa chỉ IP của name server quản lý top-level domain (Thực tế là hầu hết các root server
cũng chính là máy chủ quản lý top-level domain) và đến lượt các name server của top-
level domain cung cấp danh sách các name server có quyền trên các second-level
domain mà tên miền này thuộc vào. Cứ như thế đến khi nào tìm được máy quản lý tên
miền cần truy vấn.
Qua trên cho thấy vai trò rất quan trọng của root name server trong quá trình
phân giải tên miền. Nếu mọi root name server trên mạng Internet không liên lạc được
thì mọi yêu cầu phân giải đều không thực hiện được.
134
Hình 5.3: Sơ đồ phân giải Hostname thành IP.
Client sẽ gửi yêu cầu cần phân giải địa chỉ IP của máy tính có tên
girigiri.gbrmpa.gov.au đến name server cục bộ. Khi nhận yêu cầu từ Resolver, Name
Server cục bộ sẽ phân tích tên này và xét xem tên miền này có do mình quản lý hay
không. Nếu như tên miền do Server cục bộ quản lý, nó sẽ trả lời địa chỉ IP của tên máy
đó ngay cho Resolver. Ngược lại, server cục bộ sẽ truy vấn đến một Root Name
Server gần nhất mà nó biết được. Root Name Server sẽ trả lời địa chỉ IP của Name
Server quản lý miền au. Máy chủ name server cục bộ lại hỏi tiếp name server quản lý
miền au và được tham chiếu đến máy chủ quản lý miền gov.au. Máy chủ quản lý
gov.au chỉ dẫn máy name server cục bộ tham chiếu đến máy chủ quản lý miền
gbrmpa.gov.au. Cuối cùng máy name server cục bộ truy vấn máy chủ quản lý miền
gbrmpa.gov.au và nhận được câu trả lời.
Các loại truy vấn: Truy vấn có thể ở 2 dạng :
 Truy vấn đệ quy (recursive query) : khi name server nhận được truy vấn
dạng này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như
truy vấn này không phân giải được. Name server không thể tham chiếu truy vấn
đến một name server khác. Name server có thể gửi truy vấn dạng đệ quy hoặc
tương tác đến name server khác nhưng phải thực hiện cho đến khi nào có kết quả
mới thôi.
135
Hình 5.4: Sơ đồ Recursise query.

 Truy vấn tương tác (Iteractive query): khi name server nhận được truy
vấn dạng này, nó trả lời cho Resolver với thông tin tốt nhất mà nó có được vào
thời điểm lúc đó. Bản thân name server không thực hiện bất cứ một truy vấn nào
thêm. Thông tin tốt nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache). Trong
trường hợp name server không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên miền
và địa chỉ IP của name server gần nhất mà nó biết
136
Hình 5.5: Sơ đồ Iteractive query
5.3.2 Cơ chế phân giải IP thành tên máy tính
Ánh xạ địa chỉ IP thành tên máy tính được dùng để diển dịch các tập tin log cho
dể đọc hơn. Nó còn dùng trong một số trường hợp chứng thực trên hệ thống UNIX
(kiểm tra các tập tin .rhost hay host.equiv). Trong không gian tên miền đã nói ở trên
dữ liệu -bao gồm cả địa chỉ IP- được lập chỉ mục theo tên miền. Do đó với một tên
miền đã cho việc tìm ra địa chỉ IP khá dể dàng.
Để có thể phân giải tên máy tính của một địa chỉ IP, trong không gian tên miền
người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mục theo địa chỉ IP. Phần
không gian này có tên miền là in-addr.arpa.
Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập phân của địa chỉ
IP. Ví dụ miền in-addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ 0
đến 255 của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256
subdomain con nữaứng với byte thứ hai. Cứ như thế và đến byte thứ tư có các bản ghi
cho biết tên miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng.
Lưu ý là khi người dùng gõ vào trình duyệt web một địa chỉ domain name bất kì
thì quá trình này sẽ dọc tên miền có địa chỉ IP theo thứ tự ngược.
5.4 Tổng quan về dịch vụ DNS - Một số khái niệm cơ bản.

5.4.1 Domain name và Zone.
Một miền gồm nhiều thực thể nhỏ hơn gọi là miền con (subdomain). Ví dụ, miền
ca bao gồm nhiều miền con như ab.ca, on.ca, qc.ca, ... Có thể ủy quyền một số miền
con cho những DNS Server khác quản lý. Những miền và miền con mà DNS Server
được quyền quản lý gọi là zone. Như vậy, một Zone có thể gồm một miền, một hay
nhiều miền con. Hình sau mô tả sự khác nhau giữa zone và domain.
137
Hình 5.6: Sơ đồ Zone và Domain.
 Primary zone : Cho phép đọc và ghi cơ sở dữ liệu.
 Secondary zone : Cho phép đọc bản sao cơ sở dữ liệu.
 Stub zone : chứa bản sao cơ sở dữ liệu của zone nào đó, nó chỉ chứa chỉ
một vài RR.
5.4.2 Fully qualified domain name

Mỗi nút trên cây có một tên gọi(không chứa dấu chấm) dài tối đa 63 ký tự. Tên
rỗng dành riêng cho gốc (root) cao nhất và biểu diển bởi dấu chấm. Một tên miền đầy
đủ của một nút chính là chuỗi tuần tự các tên gọi của nút hiện tại đi ngược lên nút gốc,
mỗi tên gọi cách nhau bởi dấu chấm. Tên miền có xuất hiện dấu chấm sau cùng được
gọi là tên tuyệt đối (absolute) khác với tên tương đối là tên không kết thúc bằng dấu
chấm. Tên tuyệt đối cũng được xem là tên miền đầy đủ đã được chứng nhận (Fully
Qualified Domain Name – FQDN).
5.4.3 Sự ủy quyền
Một trong các mục tiêu khi thiết kế hệ thống DNS là khả năng quản lý phân tán
thông qua cơ chế uỷ quyền (delegation). Trong một miền có thể tổ chức thành nhiều
miền con, mỗi miền con có thể được uỷ quyền cho một tổ chức khác và tổ chức đó
chịu trách nhiệm duy trì thông tin trong miền con này. Khi đó, miền cha chỉ cần một
con trỏ trỏ đến miền con này để tham chiếu khi có các truy vấn. Không phải một miền
138
luôn luôn tổ chức miền con và uỷ quyền toàn bộ cho các miền con này, có thể chỉ có
vài miền con được ủy quyền.
5.4.4 Forwarders
Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho các Name
Server khác đề phân giải các miền bên ngoài.
Hình 5.7: Sơ đồ Forward DNS queries.

5.4.5 Stub zone
Là zone chứa bảng sao cơ sở dữ liệu DNS từ master name server, Stub zone chỉ
chứa các resource record cần thiết như: A, SOA, NS, một hoặc vài địa chỉ của master
name server hỗ trợ cơ chế cập nhật Stub zone, chế chứng thực name server trong zone
và cung cấp cơ chế phân giải tên miền được hiệu quả hơn, đơn giản hóa công tác quản
trị.
139
Hình 5.8: Sơ đồ Stub zone.

5.4.6 Dynamic DNS
Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần xuất thay đổi
cao. Dịch vụ DNS động (Dynamic DNS) cung cấp một chương trình đặc biệt chạy trên
máy tính của người sử dụng dịch vụ dynamic DNS gọi là Dynamic Dns Client.
Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS
mỗi khi địa chỉ IP của host thay đổi và sau đó update thông tin vào cơ sở dữ liệu DNS
về sự thay đổi địa chỉ đó. DNS Client đăng ký và cập nhật resource record của nó bằng
cách gởi dynamic update
Hình 5.9: Sơ đồ Dunamic update.
Các bước DHCP Server đăng ký và cập nhật resource record cho Client.
140
Hình 5.10: Sơ đồ DHCP server cập nhật dynamic update.
5.4.7 Active Directory – Integrated zone
Sử dụng Active Directory-integrated zone có một số thuận lợi sau:
 DNS zone lưu trữ trong trong Active Directory, nhờ cơ chế này mà dữ liệu
được bảo mật hơn.
 Sử dụng cơ chế nhân bản của Active Directory để cập nhận và sao chép cơ
sở dữ liệu DNS.
 Sử dụng secure dynamic update.
 Sử dụng nhiều master name server để quản lý tên miền thay vì sử dụng một
master name server.
141
Hình 5.11: Sơ đồ sercure dynamisc update
5.5 Tổng quan về dịch vụ DNS – Phân loại Domain name Server
Có nhiều loại Domain Name Server được tổ chức trên Internet. Sự phân loại này
tùy thuộc vào nhiệm vụ mà chúng sẽ đảm nhận. Tiếp theo sau đây mô tả những loại
Domain Name Server.
5.5.1 Primary Name Server
Mỗi miền phải có một Primary Name Server. Server này được đăng kí trên
Internet để quản lý miền. Mọi người trên Internet đều biết tên máy tình và địa chỉ IP
của Server này. Người quản trị DNS sẽ tổ chức những tập tin CSDL trên Primary
Name Server. Server này có nhiệm vụ phân giải tất cả các máy trong miền hay zone.
5.5.2 Secondary Name Server
Mỗi miền có một Primary Name Server để quản lý CSDL của miền. Nếu như
Server này tạm ngưng hoạt động vì một lý do nào đó thì việc phân giải tên máy tính
thành địa chỉ IP và ngược lại xem như bị gián đoạn. Việc gián đoạn này làm ảnh
hưởng rất lớn đến những tổ chức có nhu cầu trao đổi thông tin ra ngoài Internet cao.
Nhằm khắc phục nhược điểm này, những nhà thiết kế đã đưa ra một Server dự phòng
gọi là Secondary (hay Slave) Name Server. Server này có nhiệm vụ sao lưu tất cả
những dữ liệu trên Primary Name Server và khi Primary Name Server bị gián đoạn thì
nó sẽ đảm nhận việc phân giải tên máy tính thành địa chỉ IP và ngược lại. Trong một
142
miền có thể có một hay nhiều Secondary Name Server. Theo một chu kỳ, Secondary
sẽ sao chép và cập nhật CSDL từ Primary Name Server. Tên và địa chỉ IP của
Secondary Name Server cũng được mọi người trên Internet biết đến.
Hình 5.12: Sơ đồ zone transfer.
5.5.3 Caching Name Server.
Caching Name Server không có bất kỳ tập tin CSDL nào. Nó có chức năng phân
giải tên máy trên những mạng ở xa thông qua những Name Server khác. Nó lưu giữ lại
những tên máy đã được phân giải trước đó và được sử dụng lại những thông tin này
nhằm mục đích:
 Làm tăng tốc độ phân giải bằng cách sử dụng cache.
 Giảm bớt gánh nặng phân giải tên máy cho các Name Server.
 Giảm việc lưu thông trên những mạng lớn.
143
Hình 5.13: Sơ đồ Bảng cache
5.6 Tổng quan về dịch vụ DNS – Resource Record

RR là mẫu thông tin dùng để mô tả các thông tin về cơ sở dữ liệu DNS, các mẫu
tin này được lưu trong các file cơ sở dữ liệu DNS (\systemroot\system32\dns).
144
Hình 5.14: Sơ đồ Cơ Sở Dữ Liệu.
5.6.1 SOA Record
Trong mỗi tập tin CSDL phải có một và chỉ một record SOA (start of authority).
Record SOA chỉ ra rằng máy chủ Name Server là nơi cung cấp thông tin tin cậy từ dữ
liệu có trong zone. Cú pháp của record SOA.
[tên-miền] IN SOA [tên-server-dns] [địa-chỉ-email] ( serial number; refresh

number; retry number; experi number; Time-to-live number)
 Serial : Áp dụng cho mọi dữ liệu trong zone và là 1 số nguyên. Trong ví

dụ, giá trị này bắt đầu từ 1 nhưng thông thường người ta sử dụng theo định
dạng thời gian như 1997102301. Định dạng này theo kiều YYYYMMDDNN,
trong đó YYYY là năm, MM là tháng, DD là ngày và NN số lần sửa đổi dữ
liệu zone trong ngày. Bất kể là theo định dạng nào, luôn luôn phải tăng số này
lên mỗi lần sửa đổi dữ liệu zone. Khi máy máy chủ Secondary liên lạc với máy
chủ Primary, trước tiên nó sẽ hỏi số serial. Nếu số serial của máy Secondary
nhỏ hơn số serial của máy Primary tức là dữ liệu zone trên Secondary đã cũ và
sau đó máy Secondary sẽ sao chép dữ liệu mới từ máy Primary thay cho dữ
liệu đang có hiện hành.
 Refresh: Chỉ ra khoảng thời gian máy chủ Secondary kiểm tra dữ liệu
zone trên máy Primary để cập nhật nếu cần. Trong ví dụ trên thì cứ mỗi 3 giờ
máy chủ Secondary sẽ liên lạc với máy chủ Primary để cập nhật dữ liệu nếu
có. Giá trị này thay đổi tuỳ theo tần suất thay đổi dữ liệu trong zone.
 Retry: nếu máy chủ Secondary không kết nối được với máy chủ Primary
theo thời hạn mô tả trong refresh (ví dụ máy chủ Primary bị shutdown vào lúc
đó thì máy chủ Secondary phải tìm cách kết nối lại với máy chủ Primary theo
một chu kỳ thời gian mô tả trong retry. Thông thường giá trị này nhỏ hơn giá
trị refresh.
 Expire: Nếu sau khoảng thời gian này mà máy chủ Secondary không kết
nối được với máy chủ Primary thì dữ liệu zone trên máy Secondary sẽ bị quá
145
hạn. Một khi dữ liệu trên Secondary bị quá hạn thì máy chủ này sẽ không trả
lời mọi truy vấn về zone này nữa. Giá trị expire này phải lớn hơn giá trị refresh
và giá trị retry.
 TTL: Viết tắt của time to live. Giá trị này áp dụng cho mọi record trong
zone và được đính kèm trong thông tin trả lời một truy vấn. Mục đích của nó là
chỉ ra thời gian mà các máy chủ Name Server khác cache lại thông tin trả lời.
Việc cache thông tin trả lời giúp giảm lưu lượng truy vấn DNS trên mạng.
5.6.2 NS Record
Record tiếp theo cần có trong zone là NS (name server) record. Mỗi Name Server
cho zone sẽ có một NS record.
Cú pháp:
[domain_name] IN NS [DNS-Server_name]
Ví dụ:
Lhu.edu IN NS NS27.IT-4VN.COM
Lhu.edu IN NS NS28.IT-4VN.COM
5.6.3 A Record và CNAME Record.
Record A (Address) ánh xạ tên máy (hostname) vào địa chỉ IP. Record CNAME
(canonical name) tạo tên bí danh alias trỏ vào một tên canonical. Tên canonical là tên
host trong record A hoặc lại trỏ vào 1 tên canonical khác.
Cú pháp record A:
[Tên-máy-tính] IN A [địa-chỉ-IP]
Ví dụ: thông tin về Record A trong tập tin db.lhu.edu
Sv.lhu.edu. IN A 112.78.8.85
Sv1.lhu.edu. IN A 112.78.8.85
Ánh xạ tên máy (hostname) vào địa chỉ IP version 6. Riêng đối với IPv6 chỉ có
thể có trong các hệ điều hành sau: Windows Vista, Windows Server 2008, Windown7.
146
5.6.4 ARV Record
Cung cấp cơ chế định vị dịch vụ, Active Directory sử dụng Resource Record này
để xác định Domain controllers, global catalog servers, Lightweight Directory Access
Protocol (LDAP) servers.
Các field trong SVR:
 Tên dịch vụ service.

 Giao thức sử dụng.
 Tên miền (domain name).
 TTL và class.
 Priority.
 Weight (hỗ trợ load balancing).
 Port của dịch vụ.
 Target chỉ định FQDN cho host hỗ trợ dịch vụ.
5.6.5 MX Record
DNS dùng record MX trong việc chuyển mail trên mạng Internet. Ban đầu chức
năng chuyển mail dựa trên 2 record: record MD (mail destination) và record MF (mail
forwarder) records. MD chỉ ra đích cuối cùng của một thông điệp mail có tên miền cụ
thể. MF chỉ ra máy chủ trung gian sẽ chuyển tiếp mail đến được máy chủ đích cuối
cùng. Tuy nhiên, việc tổ chức này hoạt động không tốt. Do đó, chúng được tích hợp
lại thành một record là MX. Khi nhận được mail, trình chuyển mail (mailer) sẽ dựa
vào record MX để quyết định đường đi của mail. Record MX chỉ ra một mail
exchanger cho một miền - mail exchanger là một máy chủ xử lý (chuyển mail đến
mailbox cục bộ hay làm gateway chuyền sang một giao thức chuyển mail khác như
UUCP) hoặc chuyển tiếp mail đến một mail exchanger khác (trung gian) gần với mình
nhất để đến tới máy chủ đích cuối cùng hơn dùng giao thức SMTP (Simple Mail
Transfer Protocol).
Để tránh việc gửi mail bị lặp lại, record MX có thêm 1 giá trị bổ sung ngoài tên
miền của mail exchanger là 1 số thứ tự tham chiếu. Đây là giá trị nguyên không dấu
16-bit (0-65535) chỉ ra thứ tự ưu tiên của các mail exchanger.
Cú pháp record MX:
[domain-name] IN MX [priority][mail-host]
147
Ví dụ: lhu.edu. IN MX 10 mail.lhu.edu.
Chỉ ra máy chủ mail.lhu.edu là một mail exchanger cho miền lhu.edu với số thứ
tự tham chiếu 10. Trình chuyển thư mailer sẽ thử phân phát thư đến mail exchanger có
số thứ tự tham chiếu nhỏ nhất trước. Nếu không chuyển thư được thì mail exchanger
với giá trị kế sau sẽ được chọn. Trong trường hợp có nhiều mail exchanger có cùng số
tham chiếu thì mailer sẽ chọn ngẫu nhiên giữa chúng.
5.6.6 PTR Record
Record PTR (pointer) dùng để ánh xạ địa chỉ IP thành Hostname.
Cú pháp:
[Host-ID].{Reverse_Lookup_Zone} IN PTR [tên-máy-tính]
5.7 Cài đặt và cấu hình dịch vụ DNS trên Windows Server 2008
5.7.1 Cài đặt dịch vụ DNS
Có thể cài đặt dịch vụ DNS một cách tự động trong quá trình nâng cấp máy tính
lên Domain Controller. Nếu không muốn cài đặt dịch vụ DNS trong quá trình nâng
cấp. Cũng có thể cài đặt và cấu hình dịch vụ DNS sau. Các bước tiến hành cài đặt và
cấu hình dịch vụ DNS.
Từ menu Start => Administrative Tools => Server Manager.
Cộng cụ quản lý trong Windows Server 2008 Click chọn vào Roles sau đó chọn
tiếp Add Roles để cài chương trình DNS.
148
Hộp Select Server Roles đánh dấu chọn vào DNS Server sau đó Click chọn Next
để cài đặt dịch vụ này vào máy tính.
Hộp thoại DNS Server giữ nguyên mặc định Click chọn Next và chọn Install.
149
5.7.2 Cấu hình dịch vụ DNS
Tạo Forward lookup zone
Sau khi cài đặt thành côn dịch vụ DNS Server ta tiến hành tạo các Resourec và Records
như sau:
Bước 1: Tạo Forword Lookup Zone: Click chuột phải vào Forword Lookup Zone chọn
New Zone…
Hộp thoại Welcome to the New Zone Wizard xuất hiện Bạn Click chọn Next.
150
Hộp thoại Zone Type (Kiểu Zone cần tạo) Chọn Primary zone sau đó Click chọn Next .
151
Hộp thoại Zone Name nhập vào tên Domain vào ô Zone name tiếp tục Click Next.
152
Hộp thoại Dynmic Update Clikc chọn vào Allow both nonseure and secure dynmic
updates lựa chọn này thì viêc thiết lập DNS sẽ được cả 2 là vừa chế đệ bảo mật vào chế độ
dynmisc updates đến Server, tiếp tục Click chọn Next để cấu hình.
153
Hộp thoại Completing the New Zone Wizard Click chọn Finish.
Tạo Reverse lookup zone
154
Tại cửa sỗ DNS Manager Click chuột phải vào Reverse Lookup Zone chọn new
Zone
Hộp thoại Welcome to the New Zone Wizard như thừơng lệ là Click Next.
Hộp thoại Zone Type đánh dấu check vào ô Primary Zone sau đó Click chọn Next
155
Hộp thoại Active Directory Replication Scpoe Chọn To all DNS Servers in this
doamain lhu.edu Click chọn Next.
156
Click chọn Ipv4 Reverse Lookup Zone
Hộp thoại Reverse Lookup Zone Name Nhập vào Network ID Click chọn
Next.
157
Hộp thoại Dynmic Update chọn Allow bith nonsecure and secure dynmisc
updates
158
Click chọn Finish để kết thúc quá trình tạo Revers Lookup Zone.
Tạo Record CNAME
Tạo Cname Records: Click chuột phải Hộp thoại Alias name gõ tẹn Alias
vào Domain cần tạo chọn New Alias cần tạo sau đó Click chọn vào Browse…
(CNAME)… để trõ đến A Records
159
Chọn Borwse... trỏ đến Host A Click Tạo Alisa Name cho Mail thực hiện
chọn OK. tương tự như Alias cntt
Tạo MX Record
160
Tạo Records MX Hộp thoại New Resource Record

Click chọn Borwse… trỏ tới host A,
Records MX: Giữ nhiệm vụ gởi và thiết lập Priorrity là 10 => Click OK
nhận Mail
161
Tạo Record PTR Click chuột phải Hộp thoại New Resource Record
vào Reverse Lookup Zone vừa mới được nhập vài địa chỉ IP của máy chủ tại ô
tạo chọn new Poniter (PTR).. Host IP Address, đánh dấu check vào Ô
Allow any authenticated …
Sau đó Click chọn Browse... để trỏ Kết quả sau Click chọn Browse…
tới Host A (Record A) Click chọn OK
162
Kết quả sau khi tạo các Records
Tạo miền con

Trong miền có thể có nhiều miền con, việc tạo miền con giúp cho người quản trị
cung cấp tên miền cho các tổ chức, các bộ phận con trong miền của mình thông qua đó
nó cho phép người quản trị có thể phân loại và tổ chức hệ thống dể dàng hơn. Để tạo
miền con ta chọn Forward Lookup Zone, sau đó ta click chuột phải vào tên Zone chọn
New Domain
Các bước tạo miền con: Start => Hộp thoại New DNS Domain gõ tên
Administrator Tools => DNS sau khi mở Domain cần tạo vào ô Type the new DNS
dịch vụ DNS Click chọn vào Domain chọn domain name sau đó click chọn OK.
New Domain…
163
Sự ủy quyền
Thực hiện ủy quyền miền Server3 cho miền lhu.edu được thực hiện như sau:
Click chuột phải vào Domain muốn ủy Hộp thoại Welcome to the New
quyền chọn New Delegation… Delegation Wizard Click chọn Next
Hộp thoại Delegated Domain name nhập Hộp Thoại Nase Server Click chọn
164
tên Server muốn được ủy quyền. Add
Hộp thoại New Name Server Record nhập tên domain cần chuyển và địa chỉ IP
vào sau đó Click chọn OK.
Tạo Secondary zone
165
Thông thường trong một domain ta có thể tổ chức một Primary Name
Server(PNS) và một Secondary Name Server(SNS), SNS đóng vai trò là máy dự
phòng, nó lưu trữ bảng sao dữ liệu từ máy PNS, một khi PNS bị sự cố thì ta có thể sử
dụng SNS thay cho máy PNS.
Cách tạo Secondary zone như sau:
Click chuột vào Forward Lookup Zone chọn New Zone. Xuất hiện hộp thoại
Welcome to the new Zone => chọn Next
Hộp thoại Zone Name nhập tên Secondary Domain name vào sau đó Click chọn
Next và chọn Finish để kết thúc quá trình tạo Secondary zone.
166
5.7.3 Tạo Zone tích hộp Active Direcroty

Trong quá trình nâng cấp máy Stand-Alone Server thành Domain Controller
bằng cách cài Active Directory ta có thể chọn cơ chế cho phép hệ thống tự động cài
đặt và cấu hình dịch vụ DNS tích hợp chung với Active Directory, nếu ta chọn theo
cách này thì sau khi quá trình nâng cấp hoàn tất, ta có thể tham khảo cơ sở dữ liệu của
DNS tích hợp chung với Active Directory thông qua trình quản lý dịch vụ DNS.
Trong công cụ quản trị DNS Click chuột phải vào Forward Lookup Zone chọn
New Zone. Torn hộp thoại Welcome to the New Zone Wizard chọn Next.
167
Trong hộp thoại Zone Type đánh dấu chọn vào ô Primary zone sau đó click chọn
Next
Hộp thoại Active Dircetory Zone Replication Scope đánh dấu chọn vào ô To all
domain controller in this domain (for Windows 2000 compatibility) => Next
168
Hộp thoại Dynamic Update đánh dấu chọn vào Allow bith nonsecure and secure
dynamic updates.
169
Kết quả khi tạo mớ zone tích hộp với Active Directory
5.8. Quản lý dịch vụ DNS.

Theo dỏi sự kiện DNS
Khi quản trị dịch vụ DNS, việc ghi nhận và theo dõi sự kiện xảy ra cho dịch vụ
DNS là rất quan trọng, thông qua đó ta có thể đưa ra một số giả pháp khác phục một
khi có sự cố xảy ra,…Trong DNS management console cung cấp mục Event Viewer
để cho ta có thể thực hiện điều này, trong phần này ta cần lưu ý một số biểu tượng
như:
170
: Chỉ thị lỗi nghiêm trọng, đối với lỗi này ta cần theo xử lý nhanh chóng.
: Thông tin ghi nhận các sự kiện bình thường như shutdown, start,
stop, DNS
Kiểm tra hoặt động của dịch vụ DNS

Từ menu Start chọn Run gõ lệnh cmd hiện cửa sổ command line và dùng lệnh
nslookup
171
Chương 6: Xây dụng Read only Domain Controller - Read only

DNS Zone - Active Directory site
6.1 Read only Domain Controller
6.1.1 Tổng quan về Read Only Domain Controller
Trong Windows Server 2008, Microsoft đã đưa trở lại một tính năng mà không
thấy từ Windows NT; đó chính là tính năng Read Only Domain Controllers. Read
Only Domain Controller (hay được viết tắt là RODC) đã bị bỏ rơi các đây hàng thập
kỷ. Tuy nhiên nó lại xuất hiện trở lại trong Windows Server 2008, điều này hẳn là có
lý do của nó.
Windows NT là hệ điều hành máy chủ Windows Server đầu tiên của Microsoft.
Cũng giống như các hệ điều hành máy chủ Windows Server hiện đại, Windows NT
cũng hỗ trợ sử dụng miền. Tuy nhiên có những khác biệt đó là domain controller bên
trong mỗi miền mới có khả năng ghi. Domain controller này được biết đến với tên
Primary Domain Controller hay PDC, là một domain controller mà quản trị viên có thể
ghi thông tin lên đó. Sau đó Primary domain controller sẽ cập nhật cho các domain
controller khác bên trong miền. Các domain controller khác này được coi như một
backup domain controller và ở trạng thái chỉ đọc những gì mà chúng được nâng cấp
bởi primary domain controller.
Mặc dù mô hình miền này làm việc khá tốt nhưng nó cũng có nhược điểm của
nó. Đáng kể nhất trong số các nhược điểm đó là vấn đề với primary domain controller
có thể là tê liệt toàn bộ miền. Như đã biết, Microsoft đã giới thiệu một số thay đổi lớn
đối với mô hình miền khi họ phát hành Windows 2000 Server. Windows 2000 Server
có giới thiệu hai công nghệ mới cho các domain controller, cả hai đều vẫn được sử
dụng cho tới ngày nay đó là Active Directory và multi master domain hay còn được
gọi là mô hình đa miền chủ.
Dù vẫn có những vai trò của PDC và một số vai trò đặc biệt khác, nhưng hầu hết
các domain controller trong mô hình multi master domain đều có thể ghi. Điều đó có
nghĩa rằng một quản trị viên có thể sử dụng một nâng cấp cho bất cứ domain
controller nào và nâng cấp đó sẽ được nhân rộng cho tất cả các domain controller khác
trong miền.
Mô hình multi master domain được giữ lại trong Windows Server 2003 và vẫn
được sử dụng trong Windows Server 2008. Mặc dù vậy, Windows Server 2008 cũng
cho phép có thể tạo Read Only Domain Controller. RODC là các bộ điều khiển miền
(domain controller) mà các quản trị viên không thể cập nhật trực tiếp cơ sở dữ liệu
Active Directory. Chỉ có một cách để nâng cấp các domain controller là sử dụng một
172
sự thay đổi đối với domain controllers cho phép ghi, sau đó cho phép thay đổi đó nhân
rộng đến RODC.
Như những gì có thể thấy, RODC không phải là sự thiếu sót từ thời Windows
NT. Trong trường hợp này công nghệ thực sự mang tính chất chu kỳ! Rõ ràng
Microsoft sẽ không đưa trở lại RODC nếu họ không thấy có những ưu điểm trong việc
thực hiện đó. Tính năng Read only Domain Controller đã có từ rất lâu nhưng chỉ tồn
tại trong một khoảng thời gian nhất định. Thì cho tới khi hệ điều hành mạng Windows
Server 2008 xuất hiện trở lại cùng với tính năng Read only Domain Controller đã bị
quên lãnh thật ra đây là một ngụ ý mà Microsoft đặt Read only Domain Controller
trong Windows Server 2008. việc sử dụng RODC hoàn toàn không mang tính bắt
buộc. Nếu bạn muốn mọi domain controller trong toàn bộ forest đều có thể ghi thì bạn
hoàn toàn có thể thực hiện điều đó. Một thứ khác mà chúng tôi muốn đề cập nhanh là
mặc dù RODC rất giống với Backup Domain Controllers (BDC) được sử dụng trong
Windows NT nhưng chúng có một chút tiến hóa. Tuy nhiên bên cạnh đó cũng có một
số thứ mang tính duy nhất đối với RODC và sẽ chỉ ra những vấn đề này trong phần
tiếp.
6.1.2 Thực thi Active Directory Site

Login vào máy DC01 với quyền Administrator. Từ Menu Start => Administrative
Tools => Active Directory Siates and Service click chuột vào Default First Site Name
chọn Rename
Tiến hành đổi tên thành HCM
173
Vẫn trong hộp thoại Active Directory Sites and Services click chuột phải vào Sites
chọn New Site…
Hộp thoại New Object – Site nhập tên cần tạo vào ô Nam sau đó chọn OK ở dây
dùng tên là HN (Hà Nội).
174
Hộp thoại cảnh báo xuất hiện Click chọn OK để tiếp tục.
175
Trong công cụ Active Directory Sites and Services Site HN đã được tạo thành
công.
Mở rộng nhánh Sites click chuột phải vào Subnets chọn New => Subnet
Tại hộp thoại New Object – Subnet nhập dãy IP như hình dưới đây sau đó
chọn vào Site HCM tiếp tục chọn OK.
176
Tương tự Site HCM là Site HN cũng nhập dãy IP như hình dưới sau đó click chọn
OK
177
Kiểm tra kết quả xem các Subnets của 2 Sites HCM và HN đã có đầy đủ.
6.1.3. Nâng cấp DC lên thành Read only Domain Controller.

Trước khi thực hiện nâng cấp máy chủ lên Domain Controller. Phải đảm bảo rằng
178
máy chủ DC01 (Server có thể nhìn thấy máy DC3 (Server3). Như mô hình mạng thì hai
máy DC01 và DC3 là 2 nhánh mạng khác nhau. Để mấy chủ DC01 và DC3 có thể thấy
nhau Ta có thể tiến hành cấu hình VPN Site to Site. Tuy nhiên để đơn giản hóa vấn đề
ta có thể cấu hình Router cho 2 nhánh mạng này. Đây là cách cấu hình đơn giản vào
yêu cầu phần cứng không cao.
Thực hiện nâng cấp máy chủ DC3 (Server3) lên Domain Controller như sau: Từ
Menu Start => Run. Gõ lệnh dcpromo sao đó chọn OK.
179
Hộp thoại Operating System Conpatibility chọn Next.
Hộp thoại Choose a Deployment Configuration click chọn Existing forest sau đó
chọn Next.
180
Hộp thoại Network Credentials click chọn vào Set. Hệ thống yêu cầu xác định với
quyền hạnh là người quản trị có quyền cao nhất trong mạng.
181
Hộp thoại Network Credentials click chọn Next để tiếp tục cài đặt.
182
Hộp thoại Select a Domain click chọn vào lhu.edu (foresr root domain) => sau đó
chọn Next. Hộp thoại Select a Site bỏ dấu chọn Use the site comesponds to the IP
address of this computer. Sau đó chọn HN (Hà Nội).
183
Hộp thoại Additional Domain Controller Options đánh vào các dịch vụ DNS
Server, Golbal catalog, Read-only domain controller (RODC).
184
Hộp thoại Specify the Password Replcation Policy click chọn Next.
185
Hộp thoại Select User or Group click chọn Advanced …
Trong hộp thoại Select User or Group click chọn Find Now và Click chọn vào U3
và U4 sau đó chọn OK.
Hộp thoại tiếp theo click chọn OK
Hộp thoại Deledation of RODC Installation and Administration click chọn Next.
186
Hộp thoại Install from Media đánh dấu check vào Replicate data over network
from an existing domain controller sau đó chọn next.
187
Hộp thoại Source Domain Controller click chọn vào Use this specific domain
controller click chọn vào DC01.lhu.edu sau đó chọn Next.
Hộp thoại Location for Database, Log Files, and SYSVOL click chọn Next.
188
Hộp thoại Directory Services Restore Mode Administrator Password nhập

Password vào sau đó chọn Next.
189
Hộp thoại Summary tổng hộp lại các quá trình Bạn vừa thiết lập muốn thay đổi
click Back hoặc không click chọn Next để tiếp tục.
Quá trình nâng cấp đang được tiến hành đánh dấu chọn vào Reboot on completion
hệ thống sẽ restart lại khi hoàng tất việc nâng cấp.
190
6.1.4 Kiểm tra kết quả

Thực hiện kiểm tra máy chủ DC3 (Server3) có phải là Read only Domain
Controller không. Từ Menu Start => Administrative Tools => Active Dircetory Users
and Computers. Mở rộng dấu “+” ở Domain lhu.edu => Domain Controllers kiểm tra
thấy DC3 đã là Read only Domain Contrller.
Mở công cụ DNS trên DC3 kiểm tra Server3 có phải là Golbal catalog của Site
HN (Hà nội hay không.). Từ Menu Start => Administrative Tools => DNS Bung dấu
công tại Domain lhu.edu => _Sites => HCM => _tcp và HN => _tcp.
191
Kiểm tra DC3 (Server3) bằng công cụ Active Driectory Sites and Services =>
Bung dấu “+ ” tại Servers => DC3 => kiểm tra kết quả.
6.2 Triển khai Read only DNS zone

Cấu hình và kiểm tra Password Replication Policy
Login vào Domain Controller trên Server3 Từ Menu Start => Administrative
Tools => Active Dircetory Users and Computers. Bung dấu “+” tại lhu.edu => Domain
192
Controllers click chuột phải vào DC3 chọn Properties .
Kiểm tra kết quả
Login vào Domain với User là cntt tại máy Server2
Mở công cụ Active Driectory click chọn vào DC3 chọn Properties.
193
Hộp thoại Advanced Password Replcation Policy for DC3 U3 đã Login và được
Ủy quyền vào quản Lý Read Only Domain Controller.
194
Chương 7: Dịch vụ File Server và DFS Replication

7.1 Giới thiệu về công cụ File Server Resource Manager.
Một trong những tính năng mới của Windows Server 2008, đó là File Server
Resource Manager. Công cụ này đã được Microsoft phát triển trên Windows Server
2003 R2. File Server Resource Manager giúp cho người quản trị mạng có thể dể dàng
quản lý dữ liệu trên server một cách hiệu quả. Bằng công cụ này, Admin có thể áp
quota lên ngay trên Folder hoặc ổ đĩa, ngăn cấm sao chép những định dạng file mà
Admin chỉ định, và cuối cùng còn có thể xuất ra bảng báo cáo giám sát các tiến trình
hoạt động của user trên quota mà user được cấp phát.
7.1.1Cấu hình home Directory.
Để cấu hình Home Diretory ta tiến Sau khi Click chọn vào Tab Sharing
hành làm như sau: Login vào Domain tiếp tục Click chọn vào Advanced
Controller với quyền Administratror. Vào ô Sharing… đánh dấu chọn vào Share this
đĩa C: tạo thư mục có tên là DULIEU Click folder
chuột phải vào thư mục vừa tạo chọn
Propertiese sau đó chọn tiếp Tab Sharing
như hình dưới đây:
195
- Đánh dấu chọn vào Permisssions và cấp Hộp thoại DULIEU Properties đã được
quyền cho nhóm Everyone là Ful Control Sharing Click chọn Close để đóng cửa sổ
Click chọn Apply và OK này lại.
Bước tiếp theo mở công cụ Users and Computer Active Driector trong
Administrative Tools. Sau đó tạo User U1, click phải chuột U1 chọn Propertives chọn
Tab Profile tại mục Home fodler chọn connect to (chọn tên ổ đĩa) nhập đường nơi
chứa các Profile được \\DC01\DULIEU\%username% Click chọn Apply và OK
196
7.1.2 Cài đặt File server Resource manager.

Cài đặt chương trình File Server Resource manager: Từ Menu Start =>
Administrative Tools => Server Manger. Hộp thoại Server manger xuất hiện Click
chọn vào Roles tiếp tục Click chọn vào Add Roles.
Hôp thoại Befor You Begin để nguyên mặc định click chọn Next .
197
Tại hộp thoại Select Server Roles đánh dấu chọn vào dịch vụ File Server Resource
Manager tiếp tục click chọn Next.
198
Hộp thoại Configure Storage Monitoring đánh dấu chọn vào Local Disk(C:) sau đó
click chọn Next để tiếp tục.
199
Hộp thoại Set Report Options để mặc định nơi lưu báo cáo chọn Next
Hộp thoại Confirm Installation Selections chọn Install để cài đặt công cụ này
200
Kết quả sau khi cài đạt hoàn tất công cụ File Server Resource Manager.
201
7.1.3 Cấu hình Quota

Sau khi cài đặt cụ File Server Resource. Tiến hành cấu hình quota. Từ Menu Start
=> Administrative Tools => File Server Resourec Manager, giao diện của chương trình
như hình dưới đây. Để cấu hình Quota click chuột mở rộng tại phần Quota
Managermant sau Click chuột phải vào Quotas chọn Create Quota…
Tại hộp thoại Create Quota chọn Chọn đường dẫn như sau:
202
Browse.. đến thư mục DULIEU C:\DULIEU Click chọn OK.
Vẫn trong hộp thoại này đánh dấu Tại cửa sổ Properties of C:\DULIEU
check vào ô Define custom quota tìm đến mục Space limit điền thông số để
properites… sau đó click chọn vào giới hạnh Quota cho User theo mặc định
là 100.000 MB và Click chọn OK.
Custom Properties…
203
Tại hộp thoại Create Quota Click chọn Một hộp thoại mới xuất hiện Click
Create. chọn vào Save the custom quota without
creatting a template sau đó Click chọn
OK.
Xem lại kết quả vừa cấu hình ở các bước trên.
204
7.1.4 Cấu hình File Screens

Vẫn trong dịch vụ Filer Server Resource Manager mởi rộng dấu “+” tại mục File
Screening Managerment tìm đến phần File Groups click chuột phải vào File Groups
chọn Create File Groups…
Hộp thoại Create File Group Properties nhập tên File thiết lập vào ô File group
name và ô Files to include sau đó click chọn Add những file được thiết lập dưới đây là:
*.exe,*.pdf, *.png là những file có phần mở rộng mà User khi login vào Domain không
có quyền lưu dạng file này. Sau khi thiết lập Click chọn OK
205
Kết quả cho quá trình vừa thiết lập.
Tạo File Screens Click chuột phải vào File Screens chonCreate File Screens…
206
Tại mục Fiel screens path nhập vào Sau khi click chuột chọn custom một
đường dẫn đến Server và thư chia sẽ. Sau hộp thoại mới xuất hiện, tìm đến phân
đó click chuột vào mục custom chọn check vừa thiết lập ở trên và đánh dấu chọn vào
vào ô define custom file screens ô File Cam sau đó Click chọn OK.
properties..
Sau khi đã hoàn tất việc cấu hình Click Hộp thoại Save Custom Properties as
chọn Create a Templates chọn Vase the custom file
screnn withcut creating a template.
207
Kết quả.
7.2 Xây dựng hệ thống File Server cho mô hình mạng.

7.2.1 Cài đặt Additional Domain Controller và Secondary DNS Server
Việc cài đặt Additional Domain Controller và Secondary DNS Server được thực
hiện trên DC02 tức Server2. Từ Menu Start chọn Run gõ lệnh dcpromo sau đó click
chọn OK.
208
Hộp thoại Wellcome to the Active Driectory Doamin Services Installation Wizard
đánh dấu chọn vào Use advanced mode installtion sau đó click chọn Next.
Hộp thoại Operating System Compatibitity click chọn Next
209
Trong hộp thoại Choose Deploymetn Configuration đánh dấu chọn Existing forest
và chọn Add a domain controller to an existing doamin sau đó click chọn Next
210
Để nguyên cấu hình mặc định chọn Next
211
Hộp thoại Select a Domain click chọn vào lhu.edu (forest root doamin) => Next
Hộp thoại Select a Site click chọn vào Default-First-Site-Name sau đó chọn Next
Hộp thoại Additonal Doamin Controller Options đánh dấu chọn vào DNS Server và
gobal catalog sao đó click chọn Next
212
Xuất hiện một hộp thoại cảnh báo click chọn Yes. Sau đó Click Next
213
Hộp thoại Install from Media để mặc định cấu hình click chọn Next để tiếp tục.
214
Hộp thoại Source Doamin Controller đánh dấu check vào Yse this specific domain
controller tiếp tục click chọn vào DC01.lhu.edu sau đó click chọn Next
215
Hộp thoại Localtion for Database, Log Files, and SYSVOl nếu muốn thay đổi nơi
lưu trữ cho dữ liệu thì Click chọn vào Browse… sau đó click chọn Next để tiếp tục.
216
Hộp thoại Driectory Services Restore Mode Administrator Password nhập

password vào ô Password vào Confrim Password sau đó click chọn Next
217
Hộp thoại Sumary tổng hộp lại những gì vừa thiết lập. Nếu muốn thay đổi click
chọn Back hoặc nếu đồng ý thì chọn Next. Quá trình cài đặt được tiến hành click check
vào Reboot on completion sau khi hoàn tất việc cài đạt hệ thống tự Restart lại.
Kiểm Tra:
Login vào DC02 (Server2) với quyền là Administrator. Từ menu Start =>
Administrative Tools => Active Directory Sites and Services. Mở rộng dấu “+” tại mục
Sites và Default-First-Site-Name => Servers => DC01 (Server1) Click chuột phải vào
NTDS Settings chọn Properties tại Tab General kiểm tra xem tại mục Golbal catalog
có được đánh dấu check.
218
Cũng trong hộp thoại Active Directory Kiểm tra kết quả như hình dưới đây
Sites and Services Click chuột phải vào click chọn OK
NTDS Settings tại DC02 chọn properties.
Kiểm tra DNS trên DC02 (Server2).
219
7.2.2 Cài đặt Distributed File System.

Tiến hành cài đặt Distributed File System trên DC01 (Server1) Từ menu Start =>
Administrative Tools => Server Manager
Hộp thoại Server Manager, Click chọn vào Roles chọn Add Roles.
220
Hộp thoại Before You Begin click chọn Next để tiếp tục cài đặt.
221
Hộp thoại Select Server Rolose đánh dấu chọn vào File Servers tiếp tục click Next
Hộp thoại File Services click chọn Next
222
Hộp thoại Select Role Services đánh dấu chọn vào Distribu File System và DFS
Namspaces và DFS Replication sau đó click chọn Next
223
Hộp thoại Create a DFS Namespace chọn Create a namespace.. tiếp tục chọn Next.
224
Hộp thoại Confrim Installation Selections Click chọn Install để cài đặt công cụ này.
Quá trình cài đặt được thực hiện
225
Kết thúc việc cài đặt đã thành công Click chọn Close.
226
Tiến hành cài Đặt Distributed File System trên máy DC02 (Server).
Từ menu Start => Administrator Tools => Server Manager. Công cụ Servers
Manager click chọn vào Add Roles.
227
Hộp thoại Before You Begin Click chọn Next.
Hộp thoại Select Server Roles click chọn vào File Services sau đó click chọn Next
228
Hộp thoại File Services Click chọn Next
229
Hộp thoại Select Roles Services đánh dấu chọn vào các dịch vụ: Distributed File
System, DFS Namespace, DFS Replucation và Click Next
Hộp thoại Create a DFS Namespace click chọn vào Create a namespace later using
the DFS Management … sau đó click chọn Next
230
Click chọn Install tại hộp thoại Comfirm Installation Selections
231
Quá trình cài đặt
Quá trình cài đặt công cụ DFS đã thành công Click chọn Close.
7.2.3 Cấu hình DNS Namespace Server.

Từ Menu Start => Administratice Tools => DFS Managerment.
232
Click chuột phải vào Namespace chọn New Namespace…
Hộp thoại Namespacde Server Click chọn Browse…để trỏ đến DC01 (Server1)
233
Hộp thoại Select Computer click chọn Advanced
234
Cũng trong hộp Select Computer Click chọn Finnd Now
235
Hộp thoại Namespace Server Click chọn vào DC01 sau đó click chọn OK
Tiếp tục chọn Next
236
Hôp thoại Namespace Name and Settings nhập tên thư mục cho việc cấu hình này
là DATA sau đó click chọn Edit Settings
Sau khi click chọn vào Edit Settings tại hộp thoại Edit Setings đánh dấu chọn vào ô
237
Use custom Permissions tiếp tục click chọn vào Customize…
Hộp thoại permissions for DATA cấp cho nhóm Everyone quyền Full Control
238
Hộp thoại Namespace Type click chọn vào Doamin-based namespace
239
Sau khi thiết lập hoàn tất tại hộp thoại Review Setings and Create Namespace click
chọn Create.
Hộp thoại Confirmation hiển thị kết quả thành công
240
Sau khi cài đặt hoàn tất tại cửa sổ DFS Mangement mở rộng nhánh Namespace và
Click chuột phải vào Domain vừa thiết lập ở trên chọn Add Namespace Server…
Hộp thoại Add Namespace Server Click chọn Borwse….
241
Hộp thoại Select Computer Click chọn Advanced …
Hộp thoại Select Computer click chọn Find Now sau đó Click chọn vào DC02 sau đó
click chọn OK để quay lại hộp thoại Add Namespace Server.
Trỡ lại hộp thoại Add Namespace Server Click chọn vào Edit Settings…
242
Trong hộp thoại Edit Settings đánh dấu chọn vào Ô Use custum permissions sau đó
click chọn Custumzise…
Hộp thoại Permissions for DATA cấp quyền cho nhóm Everyone Full Controll sau
đó click chọn OK.
Quá trình thiết lập được xử lý. Sau khi việc xử lý thành công click chọn OK.
243
7.2.4 Cấu hình DFS Relication.

Từ Menu Start => Administrative Tools => DFS Management trong cửa sổ DFS
Management chọn Replication chọn New Replication Group…
Hộp thoại Replication Group Type chọn Mutipurpose replication group
244
Hộp thoại Name and Domain nhập tên vào mục Name of replication group sau đó
click chọn Next
245
Hộp thoại Replication Group Members click chọn Add
246
Hộp thoại Select Computer click chọn Advanced…
247
Click chọn máy DC01 và DC02 sau đó chọn OK
Hộp thoại Replication Group Members click chọn Next
Hộp thoại Topology Selection đánh dấu chọn vào Full mesh sau đó chọn next.
Hộp thoại Replication Group Schedule and Bandwith tại mục Bandwith chọn Full
248
Hộp thoại Priamry Member chọn máy chủ là DC01 sau đó chọn Next
249
Hộp thoại Foders to Replication chỉ định thư mục bạn click chọn và Add…
Hộp thoại Add Folder to Replication Click chọn Borwse.. vào trỏ cào C:\DFSRoots sau
250
đó click chọn OK
Hộp thoại Local Path of DFSRoots on Other Members click chọn Edit
251
Hộp thoại Review Settings and Create Replication Group cho phép xem kết quả vừa
cấu hình nếu đồng ý Click chọn Create. Nhấn close sau khi hoàn thành.
252
Chương 8: Backup và Restore Active Directory

8.1 Backup
8.1.1 Cài đặt dịch vụ Backup
Từ Menu Start => Administrative Tools => Server Manger .
253
Hộp thoại Server Manager click chọn vào Features => sau đó chọn tiếp Add
Features.
Hộp thoại Select Features đánh dấu chọn vào dịch vụ Windows Server Backup
Features vàWindows Power Sell bao gồm cả 2 công cụ phía dưới luôn.
254
Hộp thoại Confirm Installation Selections click chọn install để tiến hành cài đặt.
Hộp thoại Installation Results hiển thị kết quả cài đặt thành công. Click chọn
Close để đống cửa sổ lại.
255
8.1.2 Lập lịch trình Backup
Từ Menu Start => Administrative Tools => Windows Server Backup.
256
Hộp thoại Windows Server Backup vào mục Action chọn Backup Schedule…
Tại hộp thại Backup Wizard click chọn Next để tiếp tục.
257
Hộp thoại Select backup configuration đánh dấu chọn vào mục Full Server
(recommended ) nếu muốn backup toàn bộ dữ liệu trên Server lưu ý là việc lựa chọn
backup này sẽ rất nặng nề cho hệ thống vì vậy Mình chọn vào mục custom sau đó chọn
Next
Hộp thoại Select Backup Items đánh dấu chọn vào 2 ô đầu sau đó chọn Next.
258
Hộp thoại Specify backup time quy định thời gian backup là 6:00PM có nghĩa là
cứ đến 6:00 chiều hệ thống backup sẽ tự hoạt động.
259
Hộp thoại Select destination disk click chọn vào Show All Available Disks…
Tại hộp thoại Show All Available Disks đánh dấu chọn vào ô lưu dữ liệu cần
backup sau đó chọn OK.
260
Hộp thoại Select Destination disk ổ đĩa được backup đã được chọn => click Next.
261
Sau khi click chọn Next và chọn Install quá trình thực hiện sẽ trong giây lác sau khi
thực hiện việc thiết lập xong click chọn Close.
Thực hiện backup ngay một bản dự phòng cho hệ thống. vào Menu Action, chọn
Backup Once…
262
Hộp thoại Windows Server Backup đang được khỏi động.
Tại hộp thoại Bacup options giữ cấu hình mặc định chọn next.
263
Tại hộp thoại Confirmation click chọn Backup.
264
Hộp thoại Backup Progress đang được xử lý thông thường nếu hệ thông mạng càng lớn
thì việc backup sẽ rất tôn thời gian.
265
Hộp thoại Backup Progress hiển thị kết quả thành công.
Trở lại hộp thoại Windows Server Backup xem kết quả một các chi tiếp về ngày
thành giờ thực thi backup. Việc nhớ ngày thánh giờ backup hệt thống là rất quan torng
vì nó sẽ giúp ích rất nhiều trong công tác quản trị nếu công ty thường xuyên có những
nhân viên vào thực tập.
266
8.1.3 Backup File và thư mục

Thực hiện backup File và thư mục. Giả sử một nhân viên làm trong cùng một công ty
vô tình xóa mất dữ liệu được chia sẽ chỉ dành riêng cho phòng ban. Ta sẽ tiến hành lấy
lại dữ liệu bị xóa nhầm nếu việc xóa nhầm nằm sau khoảng thời giam mà vừa thực hiện
backup. Mở công cụ Windows Server Backup vào Action => chọn Recover…
267
Tại hộp thoại Getting started đánh dấu chọn vào This server (DC01) sau đó chọn Next
Hộp thoại Select backup date tự động nhận diện ngày thàng vừa backup => click Next
268
Hộp thoại recovery type để cấu hình mặc định chọn Next
269
Hộp thoại Select item to recover click chọn đến thư mục đã bị xóa mà muốn khôi phục
lại sau đó chọn next.
270
Hộp thoại Specify recovery options để cấu hình mặc định chọn Next..
Hộp thoại Confirmation hiển thị thông tin dữ liệu trong mục đã bị xóa , click chọn vào
Recover để tiến hành lấy lại dữ liệu đã mất.
271
Hộp thoại Recovery Progress dữ liệu đã được khôi phục thành công.
272
Hộp thoại Windows Server Backup hiển thị kết quả Recovery thành công.
273
8.2 Backup Active Directory

8.2.1 Backup Active Directory bằng Command Line
Từ Menu Start => Run gõ lện cmd sau đó chọn OK.
Từ giao diện Command line tiến hành gõ lệnh sau:

wbadmin startsystemstatebackup –backuptarget :G:
Giải thích:
+ wbadmin là một lệnh có trong công cụ Windows Power Sell mà đã cài đặt.
+ -backuptarget:G: Nơi chứa và lưu dữ liệu được backup vào ỗ đĩa G.
Sau khi gõ lệnh trên hệ thống hỏi có muốn thực hiện việc Backup Active Dircetory
không ? gõ Y để đồng ý sau đó nhấn Enter.
274
Sau khi nhập Enter ta thấy hệ thống bắt đầu thực thi backup dữ liệu từ ổ đĩa C sang
ỗ đĩa G theo câu lên vừa gõ ở trên.
Quá trình thực hiện việc backup này tùy thuộc vào hệ thống Active Dircetory như
thế nào thì thời gian sẽ theo như vậy. Thông thương phải mất hơn 30 phút mới hoành
tất việc backup cho một hệ thống mạng trên Windows Server 2008. Hình dưới đây
miểu tả quá trình tìm thấy dữ liệu cửa Active Dircetory trông ổ đĩa C.
Tại cửa sổ Command line hiển thị quá trình backup File của một hệ thống AD
275
Việc backup hệ thống sẽ được thục thi đén 99% đến khi có thông báo thành công
Sau khi đã Backup thành công. Để kiểm chứng việc backup hệ thống AD có thành
công hay không ta sẽ làm một việc đơn giản như sau: Từ menu Start => Administrative
Tools => Active Dirceroty Users and Computers. Click chọn vào OU HCM tiến hành
xóa 2 OU bên trong là KeToan và HanhChanh
276
Hộp thoại tiếp theo chọn Yes để tiến hành xóa.
Kết quả sau khi tiến hàng xóa bỏ 2 OU trên.
277
8.2.2 Recover dữ liệu trong Active Dirceroty bằng Command line

Để thực hiện được việc Recover lại thông tin trong AD bắt buộc Windows phải
Boot vào chế độ Dircetory Services Restore Mode. Vậy để windows Boot vào chế đệ
này ta có thể làm một trong 2 cách sau đây:
- Tiến hành khỏi động lại máy tính trong quá trình khỏi động nhấn F8 sau đó dùng
chuột duy chuyển đến dòng Dircetory Services Restore Mode sau đó chọn Enter.
- Ta thực hiện dòng lện dưới đây: bcdedit /set safeboot dsrepair Tuy nhiên cần lưu
ý rằng việc thực thi lện này sẽ khiến cho hệ diều hành luôn Boot vào chế độ
Restore Mode. Nhưng yên tâm vì Microsoft đã hỗ trợ lệnh này chắc chắn rằng
Microsoft cũng sẽ hỗ trợ một lệnh gở bỏ nó.
Sau khi thực hiện lệnh trên thành công ta tiến hành làm thêm một lệnh để restart lại
hệ thống. Với lệnh shutdown -r –t 01 và Enter.
278
Sau khi resitart lại hệ thống tiến hành Login vào với Username là : Administrator
và Password là mật khẩu lúc nâng cấp lên AD.
Việc tiếp theo là cần xác định là thời gian backup của hệ thống mạng. Thực thi lện
sau đây: wbadmin get versions
Sau khi thực hiện lệnh hệ thống sẽ đưa ra thông tin và Verstion trong thời gian
backup. Để chắc chắn nhất nên chọn một Version Backup sau cùng và được thực hiện
trong thời gian gần đây nhất.
279
Sau khi đã xác định được Version mà cần Resotre lại ta tiến hành thực hiện câu
lệnh sau: wbadmin start systemstaterecovery –version: 07/26/2010-19:43. Giải thích:
- Lệnh wbadmin start systemstaterecovery: Gởi yêu cầu thực hiện khôi phục lại hệ
thống Active Dircetory.
- Lệnh –version: 07/26/2010-19:43 : Cậu lệnh trên sẽ lấy Version mà vừa Backup
trong thời gian mới đây. Với thông số như sau: 07: tháng 7, 26: ngày 26, 2010
năm và -19: 43 là 7 giờ 43 phút.
Sau khi gõ lệnh xong nhấn Enter để hệ thống được thực thi.
Gõ vào Y (Yes) khi hệ thống hỏi bạn có muốn thực hiện khôi phục lại hệ thống
AD.
280
Quá trình khôi phục lại hệ thống đang được bắt đầu.
Đang thực hiện khôi phục hiện thống AD.
281
Quá trình khội phục lại AD đã được thực hiện thành công.
Sau khi kết thúc quá trình Restore lại AD, Restart lại Hệ Điều Hành vì khi Restart
lại hệ thống sẽ Boot vào chế độ Restore Mode. Để hệ thống của Boot ở chế độ bình
thường thì ta tiến hành gỡ bỏ câu lệnh vừa thi hành lúc nảy.
Trong cửa sổ Command line gõ lệnh: bcdedit /deletevaluesafebooot sau đó nhấn
Enter để thực thị lệnh.
Tiến hành Restart lại hệ thống. Trong quá trình Boot và Hệ thống thông báo
Recovery đã được thực hiện thành công Nhấn Enter để chấp nhập.
282
Để kiểm chứng xem việc Recovery có thực hiện thành công. Mở công cụ Active
Dirceroty User and Computers mở rộng nhánh OU HCM xem kết quả là 2 OU KeToan
và HanhChanh đã được khôi phục thành công.

Mcsa Tailieumcsa Activedirectory Baigiang@Nvdquang - (Cuuduongthancong - Com)

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Mcsa Tailieumcsa Activedirectory Baigiang@Nvdquang - (Cuuduongthancong - Com)

Uploaded by

Copyright:

Available Formats

Mục Lục

Chương 1: Dịch vụ Active Directory Domain. ............................................................... 1

Chương 1: Dịch vụ Active Directory Domain.

Hình 1.1: Directory service

1.1.2 Active Directory

1.2 Kiến trúc Active Directory

Hình 1.2: Active Directory

1.2.2 Active Directory Schema

1.2.3 Active Directory Components

1.2.3.1 Cấu trúc Logical

Hình 1.3: Cây domain

Hình 1.4: A forest of tree.

1.2.3.2 Cấu trúc Physical

1.3 Cài đặt Active Directory Domain Service.

Hình 1.5: Thiết lập IP tĩnh cho card mạng.

Nhấn Next hệ thống yêu cầu tên Zone

Chỉnh lại NS Record bằng cách tương tự.

1.3.2 Cài đặt Active Directory Domain.

Chương 2: Quản trị Active Directory, Users

Hình 2.2: Bảng điều khiển “Computer Management”

2.1.2 Sử dụng giao diện MMC

Tạo các bảng điều khiển MMC tùy chọn.

Hình 2.4: Một bảng điều khiển MMC trống

Thêm các snap-in

Có hai loại snap-in như sau:

Hình 2.5: Thêm hoặc xóa snap-in

Định hướng cho snap-in.

Hình 2.6: Hộp thoại Select Computer

2.2 User (Tài khoản Người dùng)

Hình 2.7 Hộp thoại đăng nhập vào Windows

2.2.1 Đặt tên cho tài khoản

2.2.2 Lựa chọn mật khẩu

2.2.3 Thiết kế mô hình phân cấp Active Directory

2.2.4 Làm việc với tài khoản người dùng

2.2.5 Tạo tài khoản người dùng

Hình 2.9: Trình hướng dẫn New Object - User

First Name: Tên gọi của người dùng (tuỳ chọn).

2.2.6 Quản lý tài khoản người dùng

Phân loại Thẻ

Thông tin cá nhân Address

(Personal information) Telephones

Thuộc tính Tài khoản

Quản lý cấu hình người dùng

Quan hệ thành viên nhóm

Terminal Services Profile

Ứng dụng (Applications) COM+

Thiết lập của các thẻ trong hộp thoại Propertives

Hình 2.11: Hộp thoại User’s Propertives

 Account Is Locked Out (Tài khoản đã bị khóa): Mặc định để ở chế độ vô

Terminal Services Profile

 Remote Access Permission (Dial-In Or VPN) (Cấp phép Truy nhập Từ xa –

Quản lý đồng thời nhiều người dùng

Hình 2.12: Hộp thoại Propertives for Multiple Items

Thẻ Thuộc tính

Di chuyển các đối tượng người dùng

Hình 2.13: Hộp thoại Move

Khởi tạo đồng thời nhiều người dùng

Sử dụng các mẫu (Template) đối tượng

Thẻ Các thuộc tính (Properties) sẽ được chép

Address Tất cả, ngoại trừ Street Address

Organization Tất cả, ngoại trừ Title

Terminal Services Profile Không

Remote Control Không