Professional Documents
Culture Documents
Mcsa Tailieumcsa Activedirectory Baigiang@Nvdquang - (Cuuduongthancong - Com)
Mcsa Tailieumcsa Activedirectory Baigiang@Nvdquang - (Cuuduongthancong - Com)
CuuDuongThanCong.com https://fb.com/tailieudientucntt
3.3.1 Kiểu của Nhóm Active Directory ................................................................. 64
3.3.2 Phạm vi của nhóm Active Directory. ............................................................ 65
3.3.2 Các nhóm mặc định của Windows Server .................................................... 70
3.3.3 Tạo và quản lý các đối tượng Nhóm ............................................................. 77
3.3.4 Quản lý nhóm tự động................................................................................... 82
Chương 4: Group Policy Object ................................................................................... 87
4.1. Tổng quan về Group Policy Object. ................................................................... 87
4.1.1 Sự khác nhau giữa System Policy và Group Policy. ..................................... 87
4.1.2 Chức năng và Tính năng của Group Policy. ................................................. 87
4.1.3 Những tính năng mới trong Windows Server 2008. ..................................... 88
4.1.3.1 Starter GPOs là gì? ................................................................................. 88
4.1.3.2 Group Policy Management Console. ...................................................... 89
4.1.3.3 Group Policy Preference. ........................................................................ 91
4.1.4. Triển khai Group Policy trên Windows Server 2008. .................................. 98
4.1.4.1 Cấu hình Security Policy. ....................................................................... 98
4.1.4.2 Chuẩn đoán lỗi ổ đĩa. ............................................................................ 106
4.1.4.3 Cài đặt software thông qua quản trị viên. ............................................. 109
4.1.4.4 Turn off Autoplay. ................................................................................ 112
4.1.4.5 Home page hiden Tab. .......................................................................... 114
4.1.4.6 Deploy Software. .................................................................................. 117
Chương 5: DNS và Active Directory Domain Service ............................................... 125
5.1. Tổng quát về dịch vụ DNS trên Windows Server 2008 ................................... 125
5.2 Tổng quan về dịch vụ DNS ............................................................................... 127
5.2.1. Giới thiệu về DNS. ..................................................................................... 127
5.2.2. Đặc điểm của DNS trong Windows Server 2008. ..................................... 130
5.2.3. Cách phân bố dữ liệu và quản lý Domain Name ....................................... 131
5.3 Tổng quan về dịch vụ DNS – Cơ chế phân giải tên .......................................... 133
5.3.1 Cơ chế phân giải tên thành IP ..................................................................... 133
Hình 5.5: Sơ đồ Iteractive query ................................................................................. 136
5.3.2 Cơ chế phân giải IP thành tên máy tính ...................................................... 136
CuuDuongThanCong.com https://fb.com/tailieudientucntt
5.4 Tổng quan về dịch vụ DNS - Một số khái niệm cơ bản. ................................... 136
5.4.1 Domain name và Zone. ............................................................................... 136
5.4.2 Fully qualified domain name ...................................................................... 137
5.4.3 Sự ủy quyền................................................................................................. 137
5.4.4 Forwarders................................................................................................... 138
5.4.5 Stub zone ..................................................................................................... 138
5.4.6 Dynamic DNS ............................................................................................. 139
5.4.7 Active Directory – Integrated zone ............................................................. 140
5.5 Tổng quan về dịch vụ DNS – Phân loại Domain name Server ......................... 141
5.5.1 Primary Name Server .................................................................................. 141
5.5.2 Secondary Name Server .............................................................................. 141
5.5.3 Caching Name Server. ................................................................................ 142
5.6 Tổng quan về dịch vụ DNS – Resource Record ................................................ 143
Hình 5.14: Sơ đồ Cơ Sở Dữ Liệu. .............................................................................. 144
5.6.1 SOA Record ................................................................................................ 144
5.6.2 NS Record ................................................................................................... 145
5.6.3 A Record và CNAME Record. ................................................................... 145
5.6.4 ARV Record ................................................................................................ 146
5.6.5 MX Record .................................................................................................. 146
5.6.6 PTR Record ................................................................................................. 147
5.7 Cài đặt và cấu hình dịch vụ DNS trên Windows Server 2008 .......................... 147
5.7.1 Cài đặt dịch vụ DNS ................................................................................... 147
5.7.2 Cấu hình dịch vụ DNS ................................................................................ 149
5.7.3 Tạo Zone tích hộp Active Direcroty ........................................................... 166
5.8. Quản lý dịch vụ DNS. ...................................................................................... 169
Theo dỏi sự kiện DNS .......................................................................................... 169
Chương 6: Xây dụng Read only Domain Controller - Read only DNS Zone - Active
Directory site ............................................................................................................... 171
6.1 Read only Domain Controller ........................................................................... 171
6.1.1 Tổng quan về Read Only Domain Controller ............................................. 171
6.1.2 Thực thi Active Directory Site .................................................................... 172
CuuDuongThanCong.com https://fb.com/tailieudientucntt
6.1.3. Nâng cấp DC lên thành Read only Domain Controller. ............................ 177
6.1.4 Kiểm tra kết quả .......................................................................................... 190
6.2 Triển khai Read only DNS zone ........................................................................ 191
Chương 7: Dịch vụ File Server và DFS Replication .................................................. 194
7.1 Giới thiệu về công cụ File Server Resource Manager. ...................................... 194
7.1.1Cấu hình home Directory. ............................................................................ 194
7.1.2 Cài đặt File server Resource manager......................................................... 196
7.1.3 Cấu hình Quota ........................................................................................... 201
7.1.4 Cấu hình File Screens ................................................................................. 204
7.2 Xây dựng hệ thống File Server cho mô hình mạng. .......................................... 207
7.2.1 Cài đặt Additional Domain Controller và Secondary DNS Server............. 207
7.2.2 Cài đặt Distributed File System. ................................................................. 219
7.2.3 Cấu hình DNS Namespace Server. ............................................................. 231
7.2.4 Cấu hình DFS Relication. ........................................................................... 243
Chương 8: Backup và Restore Active Directory ........................................................ 252
8.1 Backup ............................................................................................................... 252
8.1.1 Cài đặt dịch vụ Backup ............................................................................... 252
8.1.2 Lập lịch trình Backup .................................................................................. 255
8.1.3 Backup File và thư mục .............................................................................. 266
8.2 Backup Active Directory ................................................................................... 273
8.2.1 Backup Active Directory bằng Command Line .......................................... 273
8.2.2 Recover dữ liệu trong Active Dirceroty bằng Command line .................... 277
CuuDuongThanCong.com https://fb.com/tailieudientucntt
1
CuuDuongThanCong.com https://fb.com/tailieudientucntt
2
CuuDuongThanCong.com https://fb.com/tailieudientucntt
3
thể truy cập dữ liệu từ bất cứ nơi đâu, bất cứ lúc nào đồng thời nâng cao hiệu
năng quản trị của hệ thống, giảm thiếu độ rủi ro cho tài nguyên.
Scalability – khả năng linh hoạt với nhu cầu: Active Directory cung ứng một
cách linh hoạt các giải pháp quản trị khác nhau cho từng nhu cầu cụ thế trên
nền tảng hạ tầng xác định của các doanh nghiệp.
Extensibility – Cơ sở dữ liệu của Active Directory cho phép nhà quản trị có
thể customize và phát triển, ngoài ra còn có thể phát triển các ứng dụng sử
dụng cơ sở dữ liệu này, giúp tận dụng hết khả năng, hiệu năng của Active
Directory
Manageability – khả năng quản trị linh hoạt dể dàng: Active Directory được
tổ chức theo cơ chế của Directory Service dưới mô hình tổ chức Directory
giúp các nhà quản trị có cái nhìn tổng quan nhất đối với cả hệ thống, đồng
thời giúp user có thể dể dàng truy xuất và sử dụng tài nguyên hệ thống.
Integration with Domain Name System (DNS) DNS là một partner rất cần
thiết đối với Active Directory, trong một hệ thống mạng, các dịch vụ của
Active Directory chỉ hoạt động được khi dịch vụ DNS được cài đặt. DNS có
trách nhiệm dẫn đường, phân giải các Active Directory Domain Controller
trong hệ thống mạng, và càng quan trọng hơn trong môi trường Multi
Domain. DNS được dể dàng tích hợp vào Active Directory để nâng cao độ
bảo mật và khả năng đồng bộ hóa giữa các Domain Controller với nhau trong
môi trường nhiều Domain.
Client Configuration Management: Active Directory cung cấp cho chúng ta
một khả năng quản trị các cấu hình phía client, giúp quản trị hệ thống dể dàng
hơn và nâng cao khả năng di động của user.
Policy – based administration: Trong Active Directory, việc quản trị hệ
thống mạng được đảm bảo một cách chắn chắc thông qua các chính sách quản
trị tài nguyên, các quyền truy xuất trên các site, domain và các organization
unit. Đây là một trong những tính năng quan trọng nhất được tích hợp vào
Active Directory.
Replication of information: Active Directory cung cấp khả năng đồng bộ dữ
liệu thông tin giữa các domain, trên nền tảng, môi trường nhiều domain nhằm
mục đích giảm thiếu đến mức tối đa rủi ro và nâng cao khả năng họat động
của hệ thống mạng.
Flexible, secure authentication and authorization: Active Directory cung
cấp nhiều cơ chế authentication như Kerberos, Secure Socket Layer và
Transport Layer Security giúp cho việc bảo mật thông tin của user khi xác
thực thông tin truy xuất tài nguyên.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
4
Security integration: Active Directory được tích hợp mặc địnhtrong các
phiên bản Windows Server, do đó Active Directory làm việc rất dể dàng và
linh hoạt, truy xuất điều khiển trên hệ thống được định nghĩa trên từng đối
tượng, từng thuộc tính của đối tượng. Không những thế, các chính sách bảo
mật được áp dụng không phải đơn thuần trên local mà còn được áp dụng trên
các site, domain hay OU xác định.
Directory – enable applications and infrastructure: Active Directory là
một môi trường tuyệt hảo cho các nhà quản trị thiết lập các cấu và quản trị
các ứng dụng trên hệ thống. Đồng thời Active Directory cung cấp một hướng
mở cho các nhà phát triển ứng dụng (developer) xây dựng các ứng dụng trên
nền tảng Active Directory thông qua Active Directory Service Interfaces
Interoperability with other directory services: Active Directory được xây
dựng trên giao thức directory service chuẩn gồm 2 giao thức là Lightweight
Directory Access Protocol (LDAP) và Name Service Provider Interface
(NSPI), do đó Active Directory có khả năng tương thích với các dịch vụ khác
được xây dựng trên nền tảng directory service thông qua các giao thức này.
Vì LDAP là một giao thức directoy chuẩn, do đó có thể phát triển, tích hợp
các sản phẩm ứng dụng trao đổi, chia sẻ thông tin với Active Directory thông
qua giao thức LDAP. Còn giao thức NSPI được hỗ trợ bởi Active Directory
nằm mục đích đảm bảo và nâng cao khả năng tương thích với directoy của
Exchange.
Signed and encrypted LDAP traffic: Mặc định là công cụ Active Directoy
trong windows server sẽ tự động xác thực và mã hóa thông tin, dữ liệu truyền
tải trên giao thức LDAP. Việc xác thực giao thức nhằm đảm bảo thông tin
được gửi đến từ 1 nguồn chính thức và không bị giả mạo.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
5
CuuDuongThanCong.com https://fb.com/tailieudientucntt
6
CuuDuongThanCong.com https://fb.com/tailieudientucntt
7
CuuDuongThanCong.com https://fb.com/tailieudientucntt
8
CuuDuongThanCong.com https://fb.com/tailieudientucntt
9
Mặc dù là Active Directory hỗ trợ hoàn toàn việc đồng bộ dữ liệu theo
cơ chế multimaster nhưng thực tế thì không phải lúc nào cũng theo cơ
chế này (việc thực thi không được cho phép ở nhiều nơi trong hệ thống
mạng trong cùng một thời điểm). Operations master roles là các roles
đặc biệt được assigned với 1 hoặc nhiều domain controllers khác để thực
hiện đồng bộ theo cơ chế single-master, có thể dể dàng nhận thấy việc
thực thi operations của multimaster là sự thực thi của nhiều single-
master đồng thời.
Hệ thống có nhiều hơn một domain hỗ trợ trong trường hợp dự phòng
backup domain controller, khi một domain controller có vấn đề xảy ra
thì các domain sẽ tự động chạy dự phòng, đảm bảo hệ thống luôn được
ổn định.
Domain Controller quản lí các vấn đề trong việc tương tác với domain
của users, ví dụ xác định đối tượng trong Active Directory hay xác thực
việc logon của user.
Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình.
Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một
yêu cầu bắt buộc trong để Active Directory có khả năng tự động Update các
thiết lập của mình vào trong DNS.
Đặt địa chỉ IP cho máy chủ - Static IP và DNS.
Thiết lập địa chỉ IP cho card mạng của server hoặc có thể thiết lập địa chỉ IP của
các DNS Server trong hệ thống. Nếu server này là Domain Controller và DNS Server
đầu tiên, quá trình cài đặt AD DS sẽ bao gồm cả việc cài đặt DNS Server.
Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static như hình 1.5
CuuDuongThanCong.com https://fb.com/tailieudientucntt
10
CuuDuongThanCong.com https://fb.com/tailieudientucntt
11
CuuDuongThanCong.com https://fb.com/tailieudientucntt
12
Sau khi gõ tên đầy đủ của Zone cần tạo chọn Next để thực hiện bước tiếp tục,
chọn Allow Dynamic Update đây là bắt buộc để khi cài đặt Active Directory sẽ tự
động ghi các Record vào DNS
CuuDuongThanCong.com https://fb.com/tailieudientucntt
13
Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS. Công việc vẫn chưa kết
thúc, vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS.
Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory,
nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên
Zone vừa tạo ra.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
14
Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn:
Ping server1.lhu.edu nếu có reply là hoàn thành.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
15
Vào Run gõ dcpromo sẽ xuất hiện cửa sổ chào nhấn Next để tiếp tục quá trình cài
đặt Active Directory.
Nhấn Next để tiếp tục, trong cửa sổ này sẽ có lựa chọn giữa hai Options:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
16
Existing forest: là lựa chọn để cài đặt thêm một máy chủ DC vào một Domain,
với thiết lập hai hay nhiều DC cho một Domain đáp ứng được khi một máy chủ
bị sự cố xảy ra thì hệ thống vẫn hoạt động bình thường.
o Add domain controller in an existing domain: Nếu tôi muốn tạo một
domain khác với cùng trong forest lhu.edu
o Create new domain in an existing forest: Nếu đã có domain lhu.edu và
muốn cài đặt các domain con bên trong của nó như: ccna.lhu.edu, hay
mcsa.lhu.edu
Create a New domain in a new forest: thiết lập tạo ra Domain Controller đầu
tiên trong Domain
Ở đây chọn Create a New domain in a new forest để thiết lập DC mới
CuuDuongThanCong.com https://fb.com/tailieudientucntt
17
Chọn đúng mức của forest function level, mặc định là Windows 2000
CuuDuongThanCong.com https://fb.com/tailieudientucntt
18
Nhấn Next cần phải lựa chọn nơi chứa thư mục NTDS cho quá trình Replications
của hệ thống Domain Controller:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
19
Nhấn Next để tiếp tục quá trình cài đặt, Hệ thống yêu cầu thiết lập Password trong
Restore Mode.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
20
Khi backup Active Directory là hoàn toàn dễ dàng trong Windows Server bởi hệ
thống sử dụng cơ chế Shadow Backup, cho phép backup cả những dữ liệu, file, service
đang hoạt động. Nhưng khi Restore lại sẽ là cả vấn đề, Windows không cho can thiệp
vào File, hay dữ liệu đang được sử dụng, và khi đó phải khởi động hệ thống vào Mode
mà Active Directory không hoạt động thì mới Restore được. Password đặt trong phần
này chính là Password để đăng nhập vào hệ thống khi Restore lại Active Directory.
Sau đặt Password nhấn Next hệ thống sẽ cho hiển thị toàn bộ thông tin như:
NetBIOS name ở đây là LHU
Folder chứa dữ liệu của Active Directory là NTDS ở đâu
Tương tự vậy các folder SYSVOL
Nhấn Next bắt đầu tiến hành cài đặt Active Directory
CuuDuongThanCong.com https://fb.com/tailieudientucntt
21
Đợi vài phút cho đến khi hệ thống thông báo hoàn thành và yêu cầu khởi động lại
là đã hoàn tất quá trình cài đặt Active Directory trên máy chủ Windows Server 2008.
Quá trình cài đặt hoàn tất, hệ thống server đã có thêm vai trò của Domain Controller.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
22
cho một hoặc nhiều các module ứng dụng (được gọi là các snap-in) được sử dụng để
cấu hình môi trường hệ thống. Các snap-in này được trao các nhiệm vụ khác nhau và
cũng có thể kết hợp, sắp xếp theo thứ tự, hoặc nhóm lại với nhau trong một lớp vỏ
MMC tùy theo sở thích của người quản trị. Một MMC với một hoặc nhiều snap-in đã
cài đặt sẽ được gọi là một Console (Bảng điều khiển). Phần lớn các công cụ quản trị
chủ yếu trong Windows Server là các bảng điều khiển MMC với một danh sách các
snap-in được cài đặt phù hợp cho một ứng dụng nào đó. Ngoài trừ một số trường hợp,
còn lại hầu hết mọi shortcut (liên kết tắt) trong nhóm chương trình Administrative
Tools (Các công cụ quản trị) trên một máy tính Windows Server 2003 đều được liên
kết đến các bảng điều khiển MMC đã cấu hình sẵn. Ví dụ, khi thăng cấp một máy tính
Windows Server thành một máy chủ quản trị domain, trình hướng dẫn cài đặt “Active
Directory Installation Wizard” sẽ tạo ra các shortcut đến ba công cụ quản trị chủ yếu
cho Active Directory:
Active Directory Domains and Trusts: Miền và Quan hệ tin cậy trong Active
Directory )
Active Directory Sites and Services: Dịch vụ và Vị trí trong Active Directory)
Active Directory Users and Computers (Người dùng và Nhóm trong Active
Directory)
Mỗi shortcut sẽ mở ra một Bảng điều khiển MMC chứa một snap-in đơn như trên
Hình 2.1. Ví dụ snap-in “Active Directory Users and Computers” được thiết kế sẵn
cho việc quản trị các đối tượng người dùng, nhóm và máy tính trong miền. Đó là các
snap-in nằm trong lớp vỏ MMC, chứ không phải là bản thân các MMC cung cấp các
công cụ quản trị mà đang sử dụng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
23
Hình 2.1 Bảng điều khiển “Active Directory Users and Computers
Ba bảng điều khiển Active Directory liệt kê ở trên đều chứa các snap-in đơn lẻ,
nhưng một bảng điều khiển MMC không chỉ giới hạn sử dụng một snap-in tại một thời
điểm. Khi mở bảng điều khiển “Computer Management” (Quản trị Máy tính) trong
nhóm chương trình Administrative Tools trên bất cứ một máy tính Windows Server
nào, có thể thấy một bảng điều khiển chứa rất nhiều snap-in, tất cả kết hợp trong một
giao diện đơn, thuận tiện như trong Hình 2.2
CuuDuongThanCong.com https://fb.com/tailieudientucntt
24
CuuDuongThanCong.com https://fb.com/tailieudientucntt
25
Hình 2.3: Thực đơn “Action” trong một bảng điều khiển MMC
Mặc dù thực đơn Action thay đổi thường xuyên, các thực đơn khác trong MMC
có thể chứa các thành phần ngữ cảnh xác định, điển hình là thực đơn View, chứa các
lệnh điều khiển cách thức snap-in hiển thị thông tin. Ví dụ một số snap-in trong MMC
theo mặc định chỉ hiển thị một phần các thông tin có thể, tuy nhiên khi dòng lệnh
Advanced Features (Các tính năng tiên tiến) xuất hiện trên thực đơn View, việc lựa
chọn lệnh này sẽ cho phép bảng điều khiển hiển thị đầy đủ các thông tin.
Windows Server có một tập hợp rất nhiều các MMC Snap-in, không phải tất cả
đều có thể truy cập ngay thông qua các shortcut mặc định trong thực đơn Start (Bắt
đầu). Một số công cụ rất mạnh được trang bị cùng với hệ điều hành bắt bạn phải tự tìm
kiếm chúng. Các Developer (Lập trình viên phát triển) của các hãng phần mềm khác
cũng có thể tạo ra các MMC snap-in của riêng họ và thêm vào trong các sản phẩm của
họ. Điều này dẫn đến một trong những khả năng tốt nhất của MMC, đó là khả năng
tạo ra các bảng điều khiển tùy chọn chứa bất kì các snap-in nào mà bạn muốn sử dụng.
Có thể kết hợp một hoặc nhiều snap-in hoặc một phần của các snap-in vào trong một
bảng điều khiển đơn để tạo nên một giao diện đơn trong đó có thể thực hiện mọi tác vụ
quản trị hệ thống. Bằng cách tạo ra các MMC tùy chọn, không phải chuyển giữa các
chương trình hoặc các bảng điều khiển khác nhau. Các bảng điều khiển tùy chọn có
thể chứa mọi snap-in của Windows Server, cho dù chúng đã được đưa vào hay không
trong các bảng điều khiển cấu hình sẵn, hay các snap-in của các phần mềm khác.
File thực thi của MMC là mmc.exe. Khi bạn chạy file này từ hộp thoại Run hoặc
từ dấu nhắc dòng lệnh, một bảng điều khiển trống được tạo ra như thể hiện trong hình
dưới. Đây là một bảng điều khiển không có snap-in nào cả và khi đó các thực đơn và
CuuDuongThanCong.com https://fb.com/tailieudientucntt
26
thanh công cụ sẽ có các chức năng mặc định của MMC. Phần tử duy nhất trong cửa sổ
bảng điều khiển là console root object (đối tượng gốc của bảng điều khiển) nằm trong
khung phạm vi, nó là một khung chứa, thể hiện mức trên cùng của cấu trúc phân cấp
trong bảng điều khiển. Trước khi bạn có thể thực hiện bất kì một tác vụ quản trị nào
bằng bảng điều khiển này, bạn phải thêm một hoặc nhiều các snap-in vào trong đó.
Đơn lẻ (Stand Alone ): Một snap-in đơn lẻ là một công cụ đơn mà có thể cài đặt
trực tiếp vào trong một MMC trống. Các snap-in đơn lẻ xuất hiện trong lớp đầu
tiên, nằm trực tiếp dưới gốc của bảng điều khiển trong khung phạm vi.
Mở rộng (Extension): Các snap-in mở rộng cung cấp thêm tính năng cho các
snap-in đơn lẻ. Bạn không thể thêm một snap-in mở rộng vào một bảng điều
khiển mà trước đó chưa thêm snap-in đơn lẻ tương ứng. Các snap-in mở rộng có
thể xuất hiện ở dưới các snap-in đơn lẻ tương ứng trong khung phạm vi của bảng
điều khiển.
Một số snap-in sẽ cung cấp cho ta cả chức năng của một snap-in đơn lẻ và mở
rộng. Ví dụ snap-in Event Viewer (Xem sự kiện) được sử dụng để hiển thị nội dung
của các nhật kí sự kiện trong máy tính. Trong bảng điều khiển Computer Management,
snap-in Event Viewer xuất hiện như là một snap-in mở rộng, nằm dưới đối tượng
System Tools trong khung phạm vi, tuy nhiên có thể thêm snap-in Event Viewer vào
một bảng điều khiển nào đó như là một snap-in đơn lẻ và khi đó nó sẽ nằm ngay dưới
gốc của bảng điều khiển.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
27
Để thêm các snap-in vào một bảng điều khiển tùy chọn, chọn Add/Remove Snap-
in (thêm/bớt Snap-in) từ thực đơn File để hiển thị hộp thoại Add/Remove Snap-in. Có
thể lựa chọn và thêm vào bảng điều khiển bao nhiêu snap-in đơn lẻ tùy thích. Sau khi
thêm các snap-in đơn lẻ vào, có thể trỏ vào snap-in đơn lẻ đó, nhấn Edit Extensions để
hiển thị một danh sách các snap-in mở rộng gắn kèm với snap-in đơn lẻ mà ta đã chọn.
Một snap-in sẽ được hướng đến một hệ thống xác định bằng cách sử dụng lệnh
“Connect To Another Computer” trong thực đơn Action. Lựa chọn lệnh này sẽ mở ra
một hộp thoại “Select Computer”, trong đó có thể nhập vào tên của máy tính muốn
quản trị và nhấn OK, các phần tử của snap-in trong khung phạm vi sẽ thay đổi thể hiện
tên của máy tính vừa lựa chọn.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
28
Không phải tất cả các snap-in đều có khả năng kết nối đến các máy tính ở xa bởi
vì một số snap-in không cần điều này. Ví dụ bảng điều khiển quản trị Active Directory
sẽ tự động tìm đến máy chủ quản trị miền trong mạng và truy cập vào CSDL Active
Directory tại đó, do đó không cần phải nhập vào tên máy tính.
Tài khoản người dùng gồm có tên đăng nhập và mật khẩu, tên này là duy nhất và
được gọi là mã nhận dạng bảo mật (SID - Security Identifier). Trong khi đăng nhập,
Active Directory xác thực tên người dùng và mật khẩu đưa vào. Tiếp theo, hệ thống
bảo mật sẽ tạo thẻ truy nhập tương ứng với người dùng này. Thẻ truy nhập chứa mã
nhận dạng bảo mật của tài khoản người dùng và mã nhận dạng bảo mật các nhóm của
người dùng này. Thẻ này sau đó có thể được sử dụng để kiểm tra lại quyền đã gán cho
người dùng, bao gồm cả quyền đăng nhập cục bộ và quyền được phép truy nhập vào
tài nguyên được bảo mật bởi danh sách điều khiển truy nhập(ACLs- Access Control
Lists).
Mỗi người dùng chỉ có một tài khoản, nhờ vậy sẽ giảm nhẹ công việc của người
quản trị mạng. Chỉ một tài khoản này có thể được người dùng sử dụng để truy nhập
vào mọi tài nguyên trên mạng. CSDL Active Directory thường xuyên được đồng bộ
giữa các máy tính điều khiển nên các tài khoản người dùng gần như luôn sẵn sàng xác
thực cho người dùng truy nhập tới tài nguyên mới.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
29
Người Quản trị sử dụng snap-in Active Directory User and Computer để tạo đối
tượng người dùng. Để đăng nhập bằng tài khoản người dùng Active Directory phải
cung cấp tên tài khoản, mật khẩu và tại Log On To lựa chọn tên miền muốn đăng nhập
LƯU Ý: tên tài khoản và địa chỉ thư điện tử. Khi tạo tên tài khoản mà đồng thời
muốn sử dụng chúng cho địa chỉ E-mail, phải đảm bảo chắc chắn nó chỉ gồm các ký tự
cho phép của phần mềm E-Mail, một số hệ thống E-mail không cho phép sử dụng tên
có dấu cách hoặc dấu ngoặc đơn, cho dù nó vẫn được Microsoft Windows chấp nhận.
Dạng của tên tài khoản, tại nhiều tổ chức sử dụng một số kiểu kết hợp của Firt
Name hoặc Last Name và một hoặc thêm các chữ cái đầu. Ví dụ, tên người dùng là
Mark Lee có thể có tên tài khoản là “mlee” hoặc “markl”. Mặc dù vậy, đối với các tổ
chức có qui mô lớn, sử dụng First Name là không thực tế vì rất dể có hai người cùng
tên là Mark, thậm chí rất có thể cả hai Mark đều có Last Name bắt đầu bằng chữ “L".
Cho dù sử dụng bất cứ dạng nào cho Tên Tài khoản, Điều quan trọng nhất là phải tạo
được một tập các luật để tạo ra chúng và trung thành với chúng. Việc gán các tên tài
khoản một cách không thống nhất, sử dụng các biệt hiệu (Nickname) tối nghĩa hay
CuuDuongThanCong.com https://fb.com/tailieudientucntt
30
theo sở thích của người sử dụng sẽ dẫn đến việc nhầm lẫn của các quản trị khác khi
xác định tên tài khoản cho một người sử dụng cụ thể nào đó. Luật nên chỉ ra một sự
kết hợp chuẩn giữa First Name và Last Name hay các chữ viết tắt, cũng như các
phương pháp được chuẩn hóa để tạo ra các tên tài khoản duy nhất. Và khi nghe tên tài
khoản có thể dể dàng suy ra được tên người dùng .
Enforce Password History: Xác định số lượng mật khẩu khác nhau trước khi
người dùng được phép sử dụng lại mật khẩu cũ, giá trị mặc định là 24.
Maximun Password Age (Tuổi dài nhất của mật khẩu): Xác thời gian bao lâu
một mật khẩu có thể được dùng trước khi hệ điều hành buộc người dùng đổi lại,
giá trị mặc định là 42 ngày.
Minimun Password Age (Tuổi ngắn nhất của mật khẩu): Xác thời gian bao lâu
một mật khẩu phải sử dụng trước khi hệ điều hành cho phép người dùng đổi lại,
giá trị mặc định là 1 ngày.
Minimum Password Length (Độ dài mật khẩu tối thiểu): Độ dài tối thiểu của
mật khẩu mà hệ điều hành cho phép, giá trị mặc định là 7.
Password Must Meet Complexity Requirements (Mật khẩu phải thỏa mãn điều
kiện phức tạp): Xác định điều kiện đối với mật khẩu như độ dài ít nhất là 6 ký tự,
không trùng với toàn bộ tên hoặc một phần của tên tài khoản, bao gồm ít nhất 3
trong số 4 kiểu kí tự: Chữ hoa, chữ thường, số và ký tự đặc biệt. Mặc định, hệ
điều hành enable (cho phép) chính sách này.
Các thiết lập mặc định cho người dùng mới là thiết lập User Must Change
Password At Next Logon (Người dùng bắt buộc phải đổi mật khẩu tại lần đăng nhập
sau). Thiết lập này giả sử là các người dùng sẽ có trách nhiệm cung cấp mật khẩu của
họ và thay đổi chúng định kỳ. Người quản trị tạo tài khoản chỉ là cấp mật khẩu tạm
thời cho lần đăng nhập đầu tiên của người dùng. Việc muốn người dùng cung cấp mật
khẩu của họ là một quyết định về bảo mật mà phải thực hiện trước khi bắt tay vào tạo
tài khoản. Nói chung, việc người dùng tự cấp mật khẩu là thông dụng hơn vì hai lý do,
một là sẽ dể dàng hơn cho người dùng để nhớ được mật khẩu và hai là việc phải thay
đổi mật khẩu định kỳ 42 ngày một lần sẽ là gánh nặng lớn đối với quản trị mạng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
31
Chính sách mật khẩu mặc định bắt người dùng thay đổi định kỳ thay đổi lại mật khẩu
đồng thời cũng ngăn cản việc họ sử dụng lại cùng một mật khẩu thường xuyên.
Tùy thuộc vào yêu cầu bảo mật mạng, có thể thiết lập các chính sách mật khẩu
khác cho người dùng mà không thể thực hiện bằng phần mềm được, như:
Không tiết lộ mật khẩu cho đồng nghiệp hoặc với bất kỳ ai trong hoặc ngoài tổ
chức
Không ghi mật khẩu và để ở nơ có thể dể dàng được tìm thấy
Không tạo mật khẩu sử dụng thông tin như ngày sinh, tên, con hoặc vật nuôi.
Không nói mật khẩu qua điện thoại hoặc gửi bằng thư điện tử.
Đặt các đối tượng người dùng vào đúng vị trí trong kiến trúc giúp chúng sẽ nhận
được các thiết lập cấu hình cần thiết mà không phải thực hiện cấu hình đơn lẻ và tránh
cho không phải di chuyển các người dùng sau này.
Organizational Units
Organizational Units hay OU là đơn vị nhỏ nhất trong hệ thống Active Directory,
nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối
tượng khác nhau phục vụ cho mục đích quản trị. Việc sử dụng OU có hai công dụng
chính như sau :
CuuDuongThanCong.com https://fb.com/tailieudientucntt
32
Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay
các thiết bị mạng cho một nhóm người hay một quản trị viên phụ nào đó (sub-
administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ
thống.
Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng
trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (Group
Policy)
Trong máy chủ Domain, chạy Microsoft Windows 2008 tạo đối tượng người
dùng Active Directory bằng cách sử dụng snap-in Active Directory Users And
Computers (Start => Administrative Tools). Để tạo đối tuợng người dùng, phải là
thành viên của nhóm Enterprise Admins, Domain Admins hoặc Account Operators
hoặc phải được uỷ quyền quản trị cần thiết để tạo đối tượng người dùng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
33
Hình 2.8: Bảng điều khiển Active Directory Users and Computers.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
34
User Logon Name (Tên đăng nhập): Tên của tài khoản sử dụng để đăng nhập
(bắt buộc). Tên này sẽ được dùng trong User principal Name (UPN – tên chính
của người dùng), bao gồm tên đăng nhập và đuôi UPN, mặc định là tên hệ
thống tên miền (Domain Name System - DNS) của miền, toàn bộ tên UPN có
định dạng Tên-đăng-nhập@đuôi-UPN (logon-Name@UPN-suffix) và phải là
duy nhất trong rừng Active Directory. Ví dụ UPN là someone@lhu.edu
CuuDuongThanCong.com https://fb.com/tailieudientucntt
35
Sau khi vào các giá trị cho trang đầu chọn Next, sẽ xuất hiện trang thứ 2 bao gồm
các tham số sau:
Password: Mật khẩu để xác thực người dùng, có độ dài tối đa là 127 ký tự (tuỳ
chọn và phụ thuộc vào chính sách miền khi đó có thể bắt buộc).
Confirm Password: Vào lại mật khẩu thêm một lần nữa để chắc chắn đã gõ
vào đúng. Nếu hai lần không trùng khớp nhau hệ thống sẽ yêu cầu nhập lại
thêm một lần nữa.
User Must Change Password At Next Logon: Chọn lựa chọn này nếu muốn
người dùng thay đổi lại mật khẩu khi đăng nhập vào hệ thống lần đầu. Sẽ không
thể chọn lựa chọn này nếu đã chọn Password Nerver Expires. Lựa chọn này
cũng sẽ tự động xoá bỏ lựa chọn User Cannot Change Password
User Cannot Change Password: Chọn lựa chọn này, người dùng sẽ không
thay đổi lại được mật khẩu, thường sẽ dùng lựa chọn này khi có đồng thời từ
hai người trở lên dùng chung một tài khoản người dùng miền hoặc muốn quản
lý dịch vụ mật khẩu người dùng. Không thể chọn lựa chọn này nếu đã chọn
User Must Change Password At Next Logon.
Password Nerver Expires: Chọn lựa chọn này nếu muốn mật khẩu không bao
giờ bị hết hạn. Sẽ không chọn được lựa chọn này nếu đã chọn User Must
Change Password At Next Logon. Thường sẽ chọn lựa chọn này để quản lý
các mật khẩu của tài khoản dịch vụ
Account Is Disable: Chọn lựa chọn này để vô hiệu hoá tài khoản, ví như là cho
người mới đến, nhưng người này lại chưa cần truy nhập vào mạng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
36
Hình 2.10: Tạo mật khẩu và một số tùy chọn cho User.
Một số tuỳ chọn của tài khoản có thể mâu thuẫn với chính sách nhóm đã thiết lập
mà nó được kế thừa từ miền hoặc đối tượng chứa. Ví dụ, chính sách nhóm của miền
mặc định là mật khẩu phải đổi theo chu kỳ là 42 ngày. Trong khi đó lại chọn Password
Never Expires thì nó sẽ ghi đè lên chính sách nhóm và người dùng sẽ không nhận
được nhắc nhở phải đổi lại mật khẩu nữa.
Sau khi đã nhập vào các giá trị tại trang thứ 2 này chọn Next, khi đó sẽ xuất hiện
tramh summary. Chọn Finish để hoàn thành việc khởi tạo đối tượng người dùng mới
tại đối tượng chứa đã chọn.
Add To A Group: Đưa đối tượng người dùng vào thành thành viên của nhóm
đã có
Disable Account: Vô hiệu hoá tài khoản, không cho phép đăng nhập với tài
khoản này. Nếu muốn dùng lại chỉ cần xoá dấu chọn tại hộp kiểm tra Account
Is Disable trong danh sách Account Option trên thẻ Account của hộp thoại
Properties của đối tượng người dùng này.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
37
Reset Password: Cho phép quản trị đặt lại mật khẩu tài khoản mà không cần
biết mật khẩu cũ.
Open Home Page: Mở Microsoft Internet Explorer và kết nối tới địa chỉ trang
web (Uniform Resource Locator - URL) được xác định tại hộp Web Page
trong thẻ General tại hộp thoại Properties của đối tượng người dùng
Send Mail : Dùng ứng dụng thư điện tử mặc định, tạo thư mới với địa chỉ tại
hộp Email trong thẻ General tại hộp thoại Properties của đối tượng người
dùng.
Delete : Xoá đối tượng người dùng khỏi CSDL Active Directory.
Rename: Sủa đổi lại trường Full Name của đối tượng người dùng và mở hộp
thoại Rename User để có thể sửa đổi lại First Name, Last Name, Display
Name, User Logon Name và User Logon Name (Pre–Windows 2000).
Khi tạo tài khoản người dùng mới, chỉ cần đưa vào các thuộc tính cơ bản nhất.
Sau đó, có thế sử dụng một công cụ quản trị mạnh dành cho đối tượng người dùng là
hộp thoại Properties của chính đối tượng này. Mở hộp Properties bằng cách chọn đối
tượng người dùng sau đó tại thực đơn Action chọn tiếp Properties để sửa lại. Mặc
định hộp thoại này có 13 thẻ, với rất nhiều các thuộc tính có thể thiết lập cho User.
Các thẻ này được phân loại như theo bảng 2-1 đưới đây
Bảng 2-1: Phân loại các thuộc tính người dùng trong các thẻ của hộp thoại User
Properties
General
Organization
CuuDuongThanCong.com https://fb.com/tailieudientucntt
38
configurationmanagement)
Environment
Dịch vụ Đầu cuối
(Terminal Services) Remote Control
Sessions
Truy cập từ xa
Dial-in
(Remote Access)
CuuDuongThanCong.com https://fb.com/tailieudientucntt
39
Thẻ General
Gồm các thông tin cơ bản của người dùng như First Name và Last Names mà
bạn nhập vào khi tạo đối tượng người dùng. Bạn cũng có thểđưa vào các trường khác
nhưDisplay Name, Office Location (vị trí cơ quan) và Description, thêm vào đó là
Telephone Numbers (số điện thoại), Web page addresses (địa chỉ trang WEB) và E-
mail address (địa chỉ thư điện tử) của người dùng.
Rất nhiều trường trong các Thẻ General, Address, Telephones và Organization
là các thông tin cá nhân và các trường này là tuỳ chọn và các giá trị của nó không có
mối liên quan trực tiếp tới các hoạt động của đối tượng người dùng hay của dịch vụ
Active Directory, nó đơn giản chỉ cung cấp các thông tin về người dùng. Việc cung
cấp các thông tin này giúp cho người quản trị dể dàng tìm kiếm tài khoản người dùng
miền bằng cách sử dụng công cụ tìm kiếm (Search) với bất kể thông tin nào họ có về
CuuDuongThanCong.com https://fb.com/tailieudientucntt
40
người dùng. Các người dùng trên mạng cũng có thể tìm kiếm một người dùng cụ thể
nào đó để tìm ra các thông tin liên hệ hoặc dữ liệu khác.
Thẻ Address
Gồm các trường thông tin cho phép quản trị nhập các thông tin địa chỉ người
dùng vào Active Directory.
Thẻ Telephones
Gồm các trường cho phép quản trị lưu các sốđiện thoại của người dùng. Mặc dù
các truờng như vậy chỉ đơn thuần là thông tin trong cấu hình mặc định của Active
Directory, nhưng cũng không thể nói là nó chẳng để làm gì cả. Có rất nhiều thông tin
có ích, ví dụ như có thể tạo ứng dụng quay số điện thoại cho phép tìm kiếm tài khoản
người dùng khác trong Active Directory và tự động quay số vào số điện thoại đặt
trong thẻ này.
Thẻ Organization
Bao gồm các trường mà ở đó người quản trị có thể xác định thông tin về ví trí
của người dùng trong tổ chức, có cả trường mà ở đó có thể chọn tài khoản người quản
lý của người dùng này trong CSDL Active Directory.
Thẻ Account
Thẻ Account chứa các trường User Logon Name, UPN Suffix, and User Logon
Name (Pre–Windows 2000) có các giá trị bạn đưa vào khi tạo người dùng, tuỳ theo
bốn lựa chọn từ ttrình hướng dẫn Create Object – User. Thẻ này cũng sẽ bao gồm một
số các tuỳ chọn khác như sau.
Logon Hours (Giờ đang nhập): Hiện hộp thoại Logon Hours, tại đó quản trị
có thể đặt thời gian hàng ngày hoặc theo ngày xác định trong tuần mà người
dùng sẽ được phép đăng nhập vào miền. Mặc định, tính năng này chỉ cấm
người dùng đăng nhập vào. Nếu người dùng đã đăng nhập và hết thời gian
cho phép thì sẽ không bị ngắt. Nhưng nếu trong Network Security tại đối
tượng chính sách nhóm (GPO) chọn Network Security là Force Logoff When
Logon Hours Expire, thì quản trị sẽ ngắt kết nối của người dùng một cách tự
động. Hạn chế của Logon Hours là chỉ áp dụng cho đăng nhập miền chứ
không áp dụng cho đăng nhập cục bộ.
Log On To (Đăng nhập vào): Hiện hộp thoại Logon Workstations, tại đó
quản trị có thể xác định tên của các máy tính trên mạng mà người dùng này
có thể đăng nhập vào. Tính năng này còn được gọi là Computer Restrictions.
Phải chọn Enable NetBIOS over TCP/IP trên mạng để sử dụng tính năng này
do nó hạn chế việc đăng nhập vào máy tính dựa trên tên NetBIOS của máy.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
41
CuuDuongThanCong.com https://fb.com/tailieudientucntt
42
một tài khoản cụ thể, thường là dùng tạm thời, ví dụ như là tài khoản Guest.
Lựa chọn này ngăn cấm tài khoản được uỷ quyền bởi các tài khoản khác,
Use DES Encryption Types For This Account (Sử dụng kiểy mã hóa DES
cho tài khoản này): Active Directory sẽ sử dụng thuật toán mã hoá DES
(Data Encryption Standard) cho các đối tượng người dùng này.
Do Not Require Kerberos Preauthentication (không yêu cầu quá trình
tiền xác thực Kerberos): Active Directory bỏ qua thủ tục tiền xác thực
Kerberos (quá trình tiền xác thực kerberos là quá trình so sánh thời gian trên
máy khách đã được mã hoa bằng mật khẩu của người dùng, nếu thành công
mới thực hiện tiếp quá trình xác thực) khi thực hiện việc xác thực người dùng
này. Lựa chọn này là dành cho các tài khoản sử dụng các thực thi xác thực
khác của giao thức xác thực kerberos, mà không hỗ trợ việc xác thực trước.
Bỏ qua việc thực thi tiền xác thực giao thức Kerberos, sẽ gây giảm tính năng
an toàn được cung cấp bởi giao thức này, do vậy, không nên kích hoạt lựa
chọn này trừ khi có lý do đặc biệt.
Account Expires: Cho phép quản trị xác định ngày tài khoản tự động bị vô
hiệu hoá.
Thẻ Profile
Gồm các trường bạn có thể chỉđịnh vị trí đặt User profile (Khái lược Người
dùng), Home Folder (Thư mục chủ) và Logon Script (Kịch bản đăng nhập) sẽ thực thi
khi người dùng đăng nhập.
Thẻ Member Of
Liệt kê các nhóm mà người dùng là thành viên và cho phép quản trị sửa đổi lại
các quan hệ thành viên nhóm của người dùng. Mặc định, người dùng mới tạo là thành
viên của nhóm Domain Users.
Thẻ Environment
Cho phép quản trị chỉ định ứng dụng sẽ chạy ngay khi người dùng kết nối vào
Máy chủ Dịch vụ Đầu cuối. Tại đây còn có các lựa chọn có cho phép hay không kết
nối tới các ổ đĩa đã được gắn kết (Map) và các máy in trên máy trạm ngay sau khi
đăng nhập. Và chỉ định liệu có in vào máy in mặc đinh tại máy trạm hay không.
Remote Control
CuuDuongThanCong.com https://fb.com/tailieudientucntt
43
Cho phép cấu hình các thiết lập điều khiển từ xa Dịch vụ đầu cuối (Terminal
Services) cho đối tượng người dùng. Các lựa chọn này chỉ định liệu các phiên làm
việc của người dùng có thể được truy nhập bằng cách sử dụng tính năng kiểm soát từ
xa của Dịch vụ Đầu cuối hay không, liệu các Cấp phép cho người dùng có cần thiết
hay không khi thực hiện truy cập nói trên, và liệu người kiểm định (Auditor) chỉ đơn
thuần quan sát các phiên làm việc của người dùng hay thực sụ tham gia vào các phiên
làm việc này. Các lựa chọn này cũng còn có thể được cấu hình thông qua bảng điều
khiển Terminal Services Configuration hoặc Chính sách Nhóm (Group Policies-GP),
Trong trường hợp nếu các thiết lập cho các lựa chọn này sử dụng các công cụ khác
nhau nói trên có xung đột thì các thiết lập trong Chính sách Nhóm sẽ được ưu tiên.
Thẻ Sessions
Cho phép quản trị có thể cấu hình hành vi khi ngắt kết nối phiên làm việc Dịch
vụ Đầu cuối của người dùng, sử dụng các điều khiển sau:
End A Disconnected Session (Kết thúc phiên làm việc đã được ngắt): Đặt
thời gian cho phiên làm việc (secsion) của người dùng sử dụng Terminal
Services tiếp tục duy trì trên máy chủ sau khi người dùng đã ngắt kết nối.
Active Session Limit (Giới hạn của Phiên làm việc đang hoạt động):Đặt
khoảng thời gian tối đa cho phiên làm việc của người dùng sử dụng Dịch vụ
Đầu cuối, Phiên làm việc sẽ bị ngắt khi đạt tới giới hạn đã đặt.
Idle Session Limit (Giới hạn của phiên làm việc đang dừng ): Đặt khoảng
thời gian nghỉ tối đa cho phép của phiên làm việc trước khi máy chủ ngắt kết
nối.
When A Session Limit Is Reached Or Connection Is Broken (Khi đạt tới
giớihạn của phiên làm việc háy kết nối bị đứt): Thiết lập Máy chủ Dịch vụ
Đầu cuối ngắt hay hủy bỏ phiên làm việc khi phiên đạt đến giới hạn, người
dùng có thể lập lại phiên đã bị ngắt nhưng không thể kết nối lại đến phiên đã
bị máy chủ hủy bỏ.
Allow Reconnection (Cho phép kết nối lại): Chỉ định liệu người dùng có hay
không được phép kết nối lại tới Máy chủ Dịch vụ Đầu cuối từ một máy trạm
bất kỳ hoặc từ máy trạm đã khởi tạo phiên.
Thẻ Dial-in
Bao gồm các điều khiển cho phép quản trị thiết lập các khả năng truy nhập từ xa
của người dùng, bao gồm:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
44
nhập Từ xa (Remote Access Policy). Nếu lựa chọn “Allow Access” (cho phép
truy nhập), các dự định két nối của người dùng tới máy chủ thậm chí vẫn bị từ
chối do các thiết lập đã đặt trong Chính sách Truy nhập Từ xa, các thuộc tính
của Tài khoản Người dùng hay tại các thuộc tính của Khái lược (Profile) Dịch
vụ Đầu cuối .
Verify Caller ID (Kiểm tra Định danh Người gọi): Máy chủ kết nối từ xa kiểm
tra lại số Định danh Người gọi mà người dùng sử dụng để kết nối bằng cách so
sánh nó với Định danh Người gọi (Caller ID) đã được nhập trong thẻ này. Nếu
số Định danh Người gọi của người dùng không được xác nhận hoặc không
đúng số điện thoại đã định trước thì kết nối này sẽ bị từ chối.
Callback Options (các tùy chọn gọi lại): Cho phép người quản trị cho phép
người dùng sử dụng tính năng gọi lại khi kết nối tới máy chủ từ xa hay không.
Nếu có, sau khi người dùng kết nối tới máy chủ thì nó sẽ ngắt kết nối đồng thời
sau đó thiết lập kết nối quay lại tới người dùng theo số điện thoại đã được
người dùng chỉ định hay theo số mà quản trị đã đặt trước ngay trong thẻ này.
Tính năng gọi lại sẽ tiết kiện cho người dùng, các hóa đợn sẽ được tính cho số
điện thoại tại máy chủ, và đảm bảo tính an toàn, do chỉ những người gọi tại một
trong các số điện thoại nhất định đã được cho phép mới có thể truy nhập từ xa
vào máy chủ.
Assign A Static IP Address (Gán IP tĩnh): Cho phép quản trị đặt địa chỉ IP
tĩnh mà máy chủ từ xa sẽ luôn gán cho người dùng này.
Apply Static Routes: Cho phép quản trị chỉ định các bản ghi định tuyến tĩnh sẽ
được thêm vào bảng định tuyến của máy trạm khi kết nối Demand-Dial (Quay
theo yêu cầu) được thiết lập.
Thẻ COM+
Cho phép quản trị gán một tập partition COM+ xác định cho người dùng. Tập
Partition COM+ là tập hợp của các các partition COM+ mà ở đó các ứng dụng
COM+ được lưu. Chọn một tập partition COM+ nào đó sẽ cho phép người dùng truy
nhập đến các ứng dụng khác nhau có trong tập này.
Khi quản lý các tài khoản người dùng miền, khi phải làm các công việc sửa đổi
giống nhau cho nhiều tài khoản người dùng và thực hiện chúng một cách riêng lẻ thì
sẽ thực sự là một công việc mất thời gian và nhàm chán. Trong những trường hợp như
vậy, hoàn toàn có thể cùng lúc thay đổi các thuộc tính của nhiều tài khoản người dùng
bằng cách sử dụng bảng điều khiển Active Directory Users And Computers. Đơn giản
là chọn đồng thời các đối tượng người dùng bằng cách giữ phím CTRL trong khi chọn
CuuDuongThanCong.com https://fb.com/tailieudientucntt
45
từng người dùng trong khung chi tiết, sau đó chọn Properties từ thực đơn Action. Hộp
thoại Properties On Multiple Objects xuất hiện như hình 2.12
Hộp thoại Propertives for Multiple Items khác một chút so với hộp thoại
Properties chuẩn của đối tượng người dùng. Nó chỉ có một số giới hạn các thuộc tính,
là các thuộc tính được áp dụng cho đồng thời nhiều đối tượng. Các thuộc tính của hộp
thoại này được tổng kết trong bảng 2-2
Bảng 2-2: Các thuộc tính có thể được hiện cho việc chỉnh sửa khi chọn đồng thời
các đối tượng người dùng
Description
General Office
Telephone Number
Fax
Web Page
CuuDuongThanCong.com https://fb.com/tailieudientucntt
46
UPN Suffix
Logon Hours
Account Computer Restrictions
Account Options
Account Expires
Street
P.O. Box
Address
City
State/Province
Zip/Postal Code Country/Region
Profile Path
Profile
Logon Script
Home Folder
Title
Organization Department
Company
Manager
Mặc dù việc có trong tay bản thiết kế về cấu trúc Active Directory cho tổ chức
của bạn khi tạo các đối tượng người dùng thật sự là một điều lý tưởng do có thể tạo
chúng trong đúng các đối tượng chứa cụ thể, nhưng việc phải di chuyển các đối tượng
này sau đó vẫn hoàn toàn có thể xẩy ra.
Khả năng này cũng còn cho phép điều chỉnh lại cho phù hợp với việc thuyên
chuyển nhân sự hoặc tái cơ cấu lại công việc.
Để di chuyển đối tượng người dùng (hay bất cứ một đối tượng nào khác) chọn
đối tượng này và sau đó từ thực đơn Action chọn Move, khi đó sẽ xuất hiện hộp thoại
CuuDuongThanCong.com https://fb.com/tailieudientucntt
47
Move (hình 2.13). Sau đó chọn đối tượng chứa muốn chuyển nó đến và nhấn OK.
Cũng nó thể di chuyển đối tượng bằng cách kéo và thả.
Để tạo đối tượng người dùng mẫu, ta tạo đối tượng người dùng mới, gán tên cho
nó ví dụ là UserTemplate và đặt cấu hình các thuộc tính của nó là các thuộc tính
chung của tất cả mọi người dùng mới muốn tạo, cách làm như là cấu hình cho từng
người dùng vậy. Các thuộc tính sẽ được sao chép tới đối tượng mới được tổng kết
trong bảng 2-3. Sau khi cấu hình các thuộc tính cho đối tượng mẫu này, phải vô hiệu
CuuDuongThanCong.com https://fb.com/tailieudientucntt
48
hoá (Disable) chúng để không ai có thể sử dụng đối tượng này này để truy nhập vào
mạng.
Bảng 2-3: Các Propertie sao chép tới đối tượng người dùng mới.
General Không
Telephones Không
Account Tất cả, ngoại trừ User Logon Name và User Logon
Name (Pre-Windows 2000), sẽ được xác định trong quá
trình thực hiện sao chép.
Profile Tất cả, gồm Profile Path và Local Path, sẽ được chỉnh
sửa tương ứng logon Name của người dùng mới
Member Of Tất cả
Environment Không
Sessions Không
Dial-in Không
COM+ Không
Một khi đối tượng mẫu đã được tạo ra, bạn có thể sử dụng nó để tạo tài khoản
người dùng mới bằng cách chọn đối tượng mẫu thích hợp, sau đó chọn thực đơn
Action, chọn Copy, khi đó sẽ xuất hiện trình Hướng dẫn Chép Đối tượng Người dùng
CuuDuongThanCong.com https://fb.com/tailieudientucntt
49
(Copy Object-User) gần giống như trình Hướng dẫn Tạo Đối tượng Người dùng Mới
(New Object-User) bạn đã sử dụng trong phần trước của chương này. Trình hướng dẫn
sẽ dẫn bạn qua các bước của quá trình cấu hình các thuộc tính của đối tượng bắt buộc
phải có các giá trị duy nhất, nhưFirst Name, Last Name, Initials, Logon Name,
Password và các tuỳ chọn của tài khoản. Khi trình Hướng dẫn kết thúc, đối tượng
người dùng mới sẽđược tạo với các giá trị thuộc tính giống như của đối tượng mẫu đối
với các thuộc tính đã được liệt kê trong bảng trên.
2.2.7 Tạo đối tường người dùng sử dụng csv Directory Exchange
CSV Directory Exchange (Csvde.exe) là tiện ích dạng dòng lệnh cho phép nhập
vào hoặc kết xuất ra các đối tượng từ Active Directory, sử dụng file văn bản có các
trường được phân cách bằng dấu phẩy “,”, Các file này, còn được gọi là file CSV
(Comma-Separated Value), là dạng liệt kê dạng văn bản tường minh (Plain-text) của
các thông tin CSDL với mối bản ghi là một dòng, và các trường được phân cách bởi
dấu phẩy “,”.
Phần khó nhất của việc sử dụng CSV Directory Exchange để tạo đối tượng
người dùng nằm ở chính bản thân định dạng của file CSV. Dòng đầu của file CSV
được gọi là tiều đề, bắt buộc phải bao gồm danh sách các thuộc tính có trong tất cả các
hàng tiếp theo. Liệt kê các thuộc tính sử dụng tên gán cho chúng trong Lightweight
Directory Access Protocol (LDAP), là giao thức giao tiếp Active Directory tiêu chuẩn.
Dòng CSV tiêu đề có dạng tiêu biểu như sau: DN, ObjectClass, sAMAccountName,
sn, givenName, UserPrincipalName Trong dòng này, tên trường đại diện cho các
thuộc tính như sau:
DN: Distinguished Name (DN), nó xác định không chỉ riêng tên của đối tượng
mà cả vị trí của nó trong cây phân cấp AD. DN gồm có tên thông dụng
(Common Name - CN) của người dùng và tiếp theo sau là tên của tất cả các đối
tượng chứa bên trên của nó, toàn bộđường đi tới gốc (Root, Top) của cây.
ObjectClass: Xác định kiểu của đối tượng.
sAMAccountName: Xác định pre–Windows 2000 logon Name của đối tượng
sn: Xác định tên họ (Surname) của người dùng
givenName: Xác định tên gọi (first Name) của người dùng
UserPrincipalName: Xác địnhUPN đầy đủ, bao gồm cả tên, của người dùng
miền (UserName@DomainName.com).
Các dòng tiếp theo sau tiêu đề (header) phải xác định giá trị cho từng thuộc tính
đã liệt kê trên tiêu đề. Ví dụ các bản ghi trong file CSV như sau:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
50
File này, khi được nhập vào, sẽ tạo đối tượng người dùng trong OU Employees
có tên là Scott Bishop. Logon Name, First Name và Last Name cũng được cấu hình
bằng file CSV này. Đây chỉ là một ví dụ đơn giản của file CSV với chỉ một vài thuộc
tính. Dòng tiêu đề có thể dài hơn nhiều và có thể bao gồm bất kỳ một thuộc tính nào
có thể tìm thấy ở đối tượng.
Cách tốt nhất để tạo file CSV là sử dụng một file có sẵn như là một ví dụ. Có thể
sử dụng CSV Directory Exchange để kết xuất ra toàn bộ CDSL Active Directory
thành tệp CSV, bằng cách gõ lệnh sau tại của sổ dòng lệnh:
csvde –f outputFileName
Trong đó: outputFileNamel à file được kết xuất ra
Có thể mở file này bằng bất cứ hệ soạn thảo văn bản nào, như Notepad chẳng
hạn và sử dụng nó để xác định các tên LDAP cho các thuộc tính muốn sử dụng và để
lấy định dạng chuẩn của mối bản ghi.
-i: Chuyển sang chế độ nhập. Nếu không có tham số này thì ngầm định là chế
độ kết xuất ra.
-f fileName: Xác định tên của file CSV sẽ được nhập vào
-k: Buộc chương trình bỏ qua các lỗi, ví dụ như “Object already exists”(Đối
tượng đã tồn tại) , “constraint violation” (vi phạm các ràng buộc) “attribute
or value already exists” (thuộc tính hay giá trị đã tồn tại), trong khi việc nhập
vào đang thực hiện và tiến trinh vẫn được thực hiện tiếp.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
51
tạo file bó (batch) gồm nhiều dòng lệnh nhằm tạo đồng thời nhiều đối tượng cùng lúc
với số lượng lớn bao nhiêu tùy thích.
Cú pháp chính tạo đối tượng người dùng bằng Dsadd.exe như sau:
Nhập từng tên DN một, phân cách nhau bới dấu cách, trong vị trí của nó tại
dòng lệnh.
Lấy danh sách các DN từ câu lệnh khác, ví dụ như từ Dsquery.exe
Bỏ trống tham số DN, nhập DN tại dấu nhắc đưa ra từ chương trình, Nấn Enter
sau mỗi DN và nhấn CTRL+Z và Enter sau DN cuối cùng.
Ngoài tham sốUserDN, có thể thêm bất cứ một trong các tham số sau trong câu
lệnh Dsadd.exe, nhằm chỉ định các giá trị cho các thuộc tính của đối tượng:
-samid SAMName (tên truy nhập với các hệ điều hành trước Windows 2000)
-upn UPN (tên chính của người dùng)
CuuDuongThanCong.com https://fb.com/tailieudientucntt
52
-email Email
-fax FaxNumber
-iptel IPPhoneNumber
-webpg WebPage
-title Title
-dept Department
-company Company
-mgr ManagerDN
-hmdir HomeDirectory (thư mục chủ)
Cũng có thể thêm các tham số–s, -u và – p chỉ định máy điều khiển miền sẽ thực
thi Dsadd.exe và tên người dùng, mật khẩu cũng sẽ được dùng để chạy lệnh này.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
53
Một biến đặc biệt, $UserName$ (không phân biệt chữ hoa hay chữ thường), có
thể sử dụng để cung cấp tên tài khoản SAM của người dùng trong giá trị của các tham
số-email, -hmdir, -profile và -webpg. Ví vụ, nếu tên SAM của tài khoản là “Denise”
tham số-hmdir sẽ được ghi là một trong các dạng sau:
-hmdir\Users\Denise\home
-hmdir\Users\$UserName$\home
Để tạo đối tượng cho người dùng Scott Bishop tại ví dụ trước đây, có thể sử dụng
dòng lệnh Dsass.exe như sau:
Trên máy tính chạy Windows Server, khái lược người dùng sẽ tự động được tạo
và duy trì thiết lập nền cho từng người dùng tại chính máy này. Hệ thống tạo khái lược
người dùng mới cho mỗi người dùng khi họ đăng nhập vào máy lần đầu.
Khái lược người dùng cung cấp một vài tính năng ưu việt cho người dùng như
sau:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
54
• Nhiều người dùng có thể làm việc trên cùng một máy, và mỗi người trong số họ
đều có thể duy trì các thiết lập nền riêng của mình mỗi khi đăng nhập vào máy
tính.
• Khi người dùng vào máy trạm của mình, họ sẽ nhận được các thiết lập nền
giống như lần thoát ra trước đó.
• Việc chỉnh sửa môi trường nền của một người dùng nào đó sẽ không làm ảnh
hưởng tới các thiết lập của bất kỳ người nào khác.
• Khái lược người dùng có thể để trên máy chủ, bởi vậy với cùng một người
dùng trên các máy khác nhau thì vẫn dùng chung được một khái lược người
dùng. Khi đó, nó được gọi là khái lược người dùng di trú (Romaing User
Profiles).
• Những ứng dụng mà được xác nhận là tương thích với Windows 2000 và các
hệ điều hành sau đó sẽ lưu các thiết lập của chúng tại Khái lược Người dùng.
• Giống như một công cụ quản trị, Khái lược Người dùng cung cấp các chọn sau:
o Có thể tạo khái lược người dùng mặc định thích hợp với các tác vụ của
người dùng.
o Có thể thiết lập Khái lược Người dùng Bắt buộc (Mandatory User
Profile), là loại Khái lược mà người dùng không thể thay đổi được, áp
đặt một cấu hình hệ thống nhất định cho mọi người dùng.
o Có thể chỉ định các thiết lập mặc định cho người dùng, sẽ được đưa vào
Khái lược Người dùng của tất cả các người dùng riêng lẻ.
Bảng 2-4: Các thiết lập tại khái lược người dùng
CuuDuongThanCong.com https://fb.com/tailieudientucntt
55
Các ổ mạng được ánh xạ mà người dùng tạo ra Mapped network drive
Liên kết tới các máy tính khác trên mạng My Network Places
Màu màn hình và các thiết lập hiện thị chữ Screen colors and fonts
Các thiết lập chương trình hướng người dùng Programs certified for use with
(Per-User) cho các ứng dụng được thiết kế để Windows 2000 and later
theo dõi các thiết lập chương trình. operating systems
CuuDuongThanCong.com https://fb.com/tailieudientucntt
56
Hình 2.14: Cấu trúc của thư mục Khái lược Người dùng
Chức năng của các Folder trong khái lược người dùng như sau:
• Application Data: Folder ẩn chứa dữ liệu xác định trong chương trình, như từ
điển tùy chỉnh. Nhà phát triển ứng dụng sẽ quyết định dữ liệu nào sẽ được lưu
trong Folder này.
• Cookies: Chứa các thông tin người sử dụng trang WEB và các sở thích của
người dùng được Internet Explorer lưu.
• Desktop: Chứa các biểu tượng trên màn hình nền, bao gồm shortcut đến các
file và Folder.
• Favorites: Chứa shortcut tới các trang được ưa thích trên Internet
• Local Settings: Là Folder ẩn, chứa Folder Application Data và Folder History,
cũng như các Folder phụ thêm khác dành cho việc chứa các file tạm thời .
• My Documents: Chứa các tài liệu được lưu trữ bởi người dùng.
• My Recent Documents: Là Folder ẩn, chứa shortcuts của các tài liệu mới vừa
được sử dụng hoặc các Folder mới được truy nhập tới.
• NetHood: Là Folder ẩn, chứa các shortcut tới các mục trong My Network
Places.
• PrintHood: Là Folder ẩn, chứa các shortcut tới các mục của Folder printer.
• SendTo: Là Folder ẩn, chứa các shortcut tới các tiện ích quản lý văn bản
(document-handling).
• Thực đơn Start: Chứa các shortcut đến các file chạy và các file khác tạo thành
thực đơn Start .
• Templates: Chứa các mục mẫu của người dùng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
57
Thêm vào đó, khái lược người dùng còn chứa một bản của file NtUser.dat, Đây
là file đăng ký của Windows Server chứa các thiết lập của người dùng. Ngoài ra, các
thiết lập này còn gồm rất nhiều các tùy chọn mà bạn có thể cấu hình tại Control Panel.
Để người dùng truy nhập vào Khái lược Người dùng Di trú thay cho Khái lược
Người dùng Cục bộ, phải mở hộp thoại Properties của người dùng và chỉ định vị trí
của Khái lược Người dùng Di trú tạo hộp Profile Path trong Profile thẻ. Lần tiếp theo
người dùng đăng nhập, Windows Server truy nhập vào Khái lược Người dùng Di trú
theo cách sau:
1. Khi người dùng đăng nhập lần đầu tiên, máy tính sao chép toàn bộ nội
dung của Khái lược Người dùng Di trú vào Folder con và file tương ứng
trong Folder Documents And Settings trên đĩa cục bộ của máy tính này.
2. Nội dung Khái lược Người dùng Di trú của người dùng chứa trên đĩa cho
phép người dùng đăng nhập và truy nhập tới Khái lược Người dùng ngay
cả khi máy chủ chứa Khái lược Người dùng Di trú không hoạt động.
3. Máy tính áp dụng các thiết lập có trong Khái lược Người dùng Di trú dành
cho nó.
4. Khi người dùng làm việc mà có bất kỳ thay đổi nào ảnh hưởng tới Khái
lược Người dùng, chúng sẽ được lưu vào bản sao trên đĩa cục bộ.
5. Khi người dùng thoát khỏi Windows (log off), máy tính sẽ đồng bộ các
thay đổi từ bản sao cục bộ lên Khái lược Người dùng Di trú trên máy chủ.
6. Lần đăng nhập tiếp theo trên cùng máy tính này, hệ thống sẽ so sánh nội
dung của Khái lược Người dùng đuợc để tại máy cục bộ với Khái lược
Người dùng Di trú để trên máy chủ
7. Máy tính chỉ sao chép những thành phần của Khái lược Người dùng Di trú
bị thay đổi vào bản sao cục bộ, việc này làm tiến trình đăng nhập vào
nhanh và hiệu quả hơn.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
58
Nên tạo Khái lược Người dùng Di trú trên Máy chủ Quản lý File (File Sever) nào
bạn thường xuyên thực hiện việc sao lưu (Backup), nhờ đó bạn sẽ có được các bản sao
của các Khái lược Người dùng mới nhất cho các người dùng của bạn. Để tăng tốc độ
đăng nhập trên các mạng có nhiều lưu thông, hãy đặt Khái lược Người dùng Di trú
trên máy chủ thành viên thay cho máy chủ điều khiển miền. Việc sao chép Khái lược
Người dùng Di trú giữa máy chủ và các máy trạm có thể tốn nhiều tài nguyên hệ thống
như băng thông mạng và các chu kỳ xử lý. Nếu để Khái lược Người dùng trên máy
chủ điều khiển miền, tiến trình xác thực của các người dùng miền sẽ bị chậm.
Việc thực thi các tính năng bảo mật cho quá trình xác thực người dùng của
Windows Server sẽ thường xuyên gay ra các rắc rối khi người dùng đang nhập, và một
phần công việc của người quản trị mạng là giải quyết các rắc rối khi chúng xảy ra.
Trong phần tiếp theo, sẽ khảo sát một số các nguyên nhân phổ biến gây ra các rắc rối
khi xác thực người dùng và các công cụ mà có thể dùng để phát hiện và khu trú chúng.
Thật là dể dàng khi sử dụng Chính sách Mật khẩu để buộc người dùng phải sử
dụng các mật khẩu có độ an toàn rất cao, nhưng việc yêu cầu người dùng mật khẩu
phức tạp có 15 ký tự và thay đổi lại hàng tuần dường như làm nảy sinh thêm các vấn
đề rắc rối nhiều hơn là các lợi ích mà nó mang lại. Nhân viên hỗ trợ mạng có lẽ sẽ
nhận được các cuộc goi “quên mật khẩu” thường xuyên của người dùng, và thậm chí
còn tệ hơn, người dùng sẽ ghi mật khẩu lại và để ở những nơi không đảm bảo an toàn.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
59
Phải thiết kế Chính sách Mật khẩu sao cho nó làm nản chí một cách có hiệu quả
các kẻ xâm nhập trong khi vẫn đảm bảo được tính thân thiện tốt cho người dùng, để họ
không bị quên mật khẩu hay phải viết chúng ra.
Có năm chính sách mật khẩu được đưa ra ở phần trên của chương này có thể áp
dụng với các đối tượng Chính sách Nhóm Active Directory. Mà có thể cấu hình bằng
cách sử dụng bảng điều khiển Group Policy Object Editor, trong đó duyệt đến
Computer Configuration\ Windows Settings \ Security Settings\ Account Policies\
Password Policy. Tuy nhiên, cũng có thể xác định cũng các chính sách như vậy cho
các Tài khoản Người dùng Cục bộ bằng cách sử dụng bảng điều khiển Local Security
Policy, có trong nhóm chương trình Administrative Tools trên bất cứ một máy chủ
thành viên chạy Windows Server nào.
Sử dụng chính sách nhóm để kiểm soát khoá tài khoản như sau:
• Account Lockout Threshold: Xác định số lần cố tình đăng nhập không thành
công gây ra việc khoá tài khoản, giá trị này trong khoảng từ 0 tới 999. Giá trị
quá thấp (ví dụ là 3) có thể gây nên khoá đối với lỗi người dùng thông thường
trong khi đăng nhập. Giá trị là 0 ngăn không cho tài khoản người dùng bị khoá.
• Account Lockout Duration: Xác định thời hạn mà tài khoản người dùng sau
khi bị khoá sẽ được Active Directory tự động mở lại. Chính sách này không
được thiết lập mặc định do nó chỉ có tác dụng khi sử dụng kết hợp với chính
sách Account Lockout Threshold. Giá trị này trong khoảng từ 0 tới 99.000
phút (khoảng 10 tuần). Việc đặt giá tri này thấp (5 tới 15 phút) là đủ để giảm
đáng kể các cuộc tấn công mà không làm ảnh hưởng các người dùng hợp lệ bị
khóa do lỗi. Giá trị 0 yêu cầu người dùng liên hệ với người quản trịđể mở khóa
tài khoản này.
• Reset Account Lockout Counter After: Xác định thời hạn sau lần cố tình
đăng nhập không thành trước khi biến đếm khóa (Lockout counter) được đặt
lại về giá trị 0. Giá trị trong khoảng từ 1 tới 99.999 phút và phải nhỏ hơn hay
bằng giá trị của Account Lockout Duration.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
60
Cũng giống như đối với Chính sách Mật khẩu, có thể cấu hình chính sách tài
khoản tại bảng điều khiển Group Policy Object Editor, chọn Computer
Configuration\ Windows Settings\ Security Settings\ Account Policies\ Account
Lockout Policy. Chính sách khoá tài khoản cũng có thể có tại bảng điều khiển Local
Security Policy.
Khi triển khai chính sách khoá tài khoản trên mạng, chắc chắn là sẽ nhận được
một số cuộc gọi hỗ trợ nhất định từ người dùng mà họ không biết là đã tự khoá chính
mình. Các cuộc gọi như vậy đôi khi lại đuợc báo cáo là họ gặp một số trục trặc khác,
như mât mật khẩu hay các chức năng khác hoạt động không đúng. Khi dó các nhân
viên hỗ trợ kỹ thuật hiểu biết cần phải biết rõ về chính sách khoá tài khoản trên mạng
và thủ tục để mở tài khoản bị khoá để có thể xác định được chính xác về trục trặc thực
tế xảy ra dựa trên báo cáo dường như không mấy chính xác của người dùng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
61
Hình 3.1: Thẻ Security trong hộp thoại Properties của thư mục
Về mặt lý thuyết, Quản trị viên có thể tạo toàn bộ các cấp phép cho mọi người
dùng bằng cách thêm các Đối tượng người dùng vào ACL, và việc thực hiện điều này
với toàn bộ các mạng máy tính (trừ trường hợp đối với các mạng rất nhỏ) là điều
không thể do việc tiêu tốn một cách lãng phí thời gian và lao động. Hãy tưởng tượng
đang tuyển thêm 250 nhân viên mới và, sau khi đã tạo các Đối tượng người dùng cho
họ, phải cấp phép cho họ truy cập khoảng một tá hoặc hơn các nguồn tài nguyên trải
dài trên toàn bộ mạng. Thậm chí với trường hợp xấu nhất, giả sử máy chủ bị hỏng và
cần cài đặt nhanh một máy chủ thay thế và sau đó tiến hành cấp phép cho 250 người
để họ có thể truy cập đến máy chủ mới.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
62
Để tránh những công việc kinh hoàng như đã nêu trên, Quản trị mạng sử dụng
Nhóm. Nhóm sẽ làm đơn giản hóa danh sách của các người dùng có chức năng như
các Đối tượng Bảo mật. Trong Active Directory Đối tượng Nhóm có thể bao gồm các
Đối tượng người dùng, Máy tính, Mối liên hệ (Contact), và trong những điều kiện
nhất định, thậm chí bao gồm các Nhóm. Khi sử dụng Đối tượng Nhóm như là Đối
tượng Bảo mật bằng cách thêm chúng vào trong danh sách ACL, tất cả các thành viên
trong nhóm đều nhận các cấp phép mà bạn đã gán cho nhóm (như đã chỉ ra trong hình
3.2). Nếu thêm thành viên mới vào nhóm tại các thời điểm sau này, họ cũng sẽ nhận
được các cấp phép giống như vậy. Nếu bạn loại bỏ thành viên nào đó, các cấp phép
cho họ cũng bị loại bỏ theo.
Trong ví dụ đã nêu ở trên, có thể tạo ra một Đối tượng Nhóm và gán cho nó các
cấp phép mà những người mới được nhận vào làm việc cần có. Khi các nhân viên mới
đến làm việc, toàn bộ các công việc phải làm chỉ là tạo ra các Đối tượng người dùng
cho họ và thêm họ vào Nhóm. Để đơn giản hóa việc tổ chức một máy chủ thay thế,
cần tạo ra một nhóm chứa toàn bộ các người dùng của máy chủ ban đầu. Nếu máy chủ
hỏng và cần chuyển sang sử dụng máy chủ thay thế, tất cả các công việc cần làm là
gán các cấp phép truy cập đến máy chủ mới cho Đối tượng Nhóm đã tạo, và tất cả các
người dùng sẽ được chuyển qua sử dụng máy chủ mới. Trên các mạng có hệ thống các
nhóm được thiết kế tốt, Quản trị mạng rất hiếm khi, nếu có, phải gán các cấp phép cho
các người dùng riêng lẻ.
Hình 3.2: Một nhóm tương đương với nhiều đối tượng người dùng.
Nhóm cũng có thể giúp chúng ta gán Quyền của người dùng cho nhiều người
dùng cùng lúc. Trong Microsoft Windows Server, khái niệm Quyền (Right) hoàn toàn
khác với khái niệm Cấp phép (Permission). Quyền của người dùng (User right) trao
cho người dùng hay nhóm khả năng thực hiện một tác vụ nhất định, như truy cập đến
một máy tính nào đó thông qua mạng, thay đổi thời gian hệ thống, hoặc giành quyền
CuuDuongThanCong.com https://fb.com/tailieudientucntt
63
sở hữu (Take ownership) đối với file hay các đối tượng khác. Thêm vào đó, cũng có
thể sử dụng Nhóm để tạo ra các danh sách phân phối thư điện tử.
3.2 Sử dụng Nhóm (Group) và các Chính sách Nhóm (Group Policies - GP).
Cấu trúc của cây Active Directory là một phần rất quan trọng của quá trình tạo
Tài khoản người dùng trong Miền do các Quyền và Cấp phép ta đã gán cho các Đối
tượng chứa sẽ được các Đối tượng con của nó thừa hưởng, bao gồm cả các Đối tượng
người dùng. Việc thừa kế giữa các nhóm cũng làm việc giống như thế, với các thành
viên sẽ nhận được các thiết lạp đã gán cho nhóm. Sự khác biệt chủ yếu giữa đối tượng
nhóm và Đối tượng Chứa là Đối tượng Nhóm không bị chi phối bởi cấu trúc hình cây
của Active Directory. Có thể tạo ra nhóm với các thành viên ở bất cứ đâu trong miền,
thậm trí tại các miền khác, và trao cho chúng các đặc quyền chỉ với một thao tác đơn
giản.
Chính sách Nhóm, mặc dù với tên như vậy, được kết hợp chặt chẽ với các Đối
tượng Chứa nhiều hơn là với các Đối tượng Nhóm. Đối tượng Chính sách Nhóm
(Group Policy Object - GPO) chỉ có thể gán với các Đối tượng Miền, Vị trí (Site), OU
có sử dụng Active Directory, và các thiết lập của chúng sẽ được truyền xuống theo cây
Active Directory. Không thể gán GPO cho nhóm, mặc dù trong nhiều trường hợp, có
thể cấu hình các thiết lập Chính sách Nhóm để cấu hính một vài tính năng của hệ điều
hành trên tất cả các thành viên của Nhóm.
Ví dụ, có thể tạo đối tượng OU trong cây Active Directory bao gồm tất cả các đối
tượng máy trạm trong miền của bạn và gán GPO cho OU này. Tất cả các máy tính
trong OU sẽ được thừa hưởng các thiết lập chính sách nhóm từ GPO này, và một trong
các thiết lập này có thể kích hoạt Quyền Quản lý Kiểm định và Nhật ký Bảo mật
(Manage Auditing And Security Log), gán quyền này cho đối tượng nhóm có các
Nhân viên Hỗ trợ Kỹ thuật Tin học. Trong trường hợp náy, các máy tính trong OU
nhận được các thiết lập chính sách nhóm từ GPO, và các chính sách như vậy sẽ trao
quyền cho các đối tượng nhóm nhất định.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
64
Nhóm Active Directory, không phụ thuộc vào kiểu hay phạm vi của nó, là các
đối tượng trong CSDL Active Directory, cũng giống như Tài khoản người dùng và đối
tượng Chứa là các đối tượng. So sánh với đối tượng người dùng, đối tượng nhóm là
hoàn toàn tương tự. Thay vào hàng tá các thuộc tính (attribute) của đối tượng người
dùng, đối tượng nhóm chỉ có một vài thuộc tính, mà quan trọng nhất trong số đó là
danh sách các thành viên. Như tên của nó đã chỉ ra, Danh sách Thành viên đơn giản
chỉ là một danh sách các đối tượng, như người dùng, các nhóm khác, máy tính, và
Liên lạc (Contact), đó là các thành viên của nhóm. Tất cả các Cấp phép và Quyền
được gán cho nhóm sẽ được mọi đối tượng có tên trong danh sách thành viên của
nhóm thừa kế.
Trong Windows Server, có thể tạo và quản trị tất cả các nhóm Active Directory
bằng cách sử dụng bảng điều khiển “Active Directory Users And Computers”, mà ta
có thể truy cập từ nhóm chương trình “Adminitrative Tools”. Như trên hình 3.3 giống
như đối với bất cứ một đối tượng Active Directory nào, để có thể tạo và quản trịđược
nhóm bạn cần có các cấp phép thích hợp tại đối tượng chứa, nơi nhóm được bố trí
Hình 3.3: Bảng điều khiển “Active Directory Users And Computers”
Nhóm bảo mật là nhóm dùng để gán các cấp phép để nó có thể truy cập tới các
tài nguyên mạng. Khi một người nào đó nói tới nhóm liên quan tới Windows Server
hay Active Directory, thông thường là họ đề cập đến nhóm Bảo mật. Các chương trình
được thiết kế để làm việc với Active Directory cũng có thể sử dụng các nhóm Bảo mật
CuuDuongThanCong.com https://fb.com/tailieudientucntt
65
cho các mục đích không liên quan tới việc bảo mật, ví dụ như gọi các thông tin người
dùng để sử dụng trong các ứng dụng Web.
Nhóm Phân phối được sử dụng cho các chương trình có các chức năng không
liên quan tới bảo mật. Sử dụng nhóm Phân phối chỉ khi chức năng của nhóm không
liên quan đến việc bảo mật, như gửi E-mail đến một nhóm các người dùng trong cùng
thời điểm. Không thể sử dụng nhóm Phân phối để gán Quyền hay Cấp phép. Chỉ các
chương trình được thiết kế làm việc với Active Directory là co sthể sử dụng nhóm
Phân phối. Thí dụ như Microsoft Exchange sử dụng nhóm Phân phối như là danh sách
gửi thư để gửi E-mail
Nhóm cục bộ miền thường được sử dụng để gán các Cấp phép truy cập đến các
tài nguyên, hoặc trực tiếp hoặc bằng cách thêm nhóm Global vào nhóm Domain
Local. Nhóm Domain Local có các đặc tính sau:
Chỉ có thể sử dụng nhóm cục bộ miền để trao các Cấp phép truy cập chỉ đến
các tài nguyên trên cùng miền tạo ra nhóm.
Thành viên của nhóm cục bộ miền có thể bao gồm các Tài khoản người dùng,
Tài khoản Máy tính và các nhóm Global từ bất cứ miền nào trong rừng. Ngoài
ra, không tồn tại bất cứ một kiểu nhóm trong nhóm nào khác.
Nhóm cục bộ miền có thể bao gồm các Tài khoản người dùng, Máy tính, các
nhóm Global và Universal từ bất cứ miền nào trong rừng, và các nhóm cục bộ
miền khác trong cùng miền. Nhóm cục bộ miền có thể được chuyển thành
nhóm Universal khi nó không có thành viên nào là nhóm cục bộ miền.
Nhóm cục bộ miền được sử dụng thông thường nhất để kiểm soát sự truy cập tới
các tài nguyên chỉ trong một miền đơn. Ví dụ như có thể tạo một nhóm cục bộ miền để
trao cấp phép cho các thành viên của nó được truy cập đến một máy in nhất định. Sau
đó có thể thêm trực tiếp các người dùng trong miền vào nhóm cục bộ miền đã tạo,
hoặc có thể tạo ra các nhóm Global gồm các người dùng cần truy cập đến máy in và
đặt nhóm Global này là thành viên của nhóm cục bộ miền đã tạo.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
66
Nhóm Global
Nhóm Global được sử dụng để cung cấp các thành viên đã được phân loại trong
nhóm cục bộ miền cho các đối tượng Bảo mật hay cho việc gán các Cấp phép một
cách trực. Thông thường, nhóm Global ược sử dụng để gom các người dùng và Máy
tính trong cùng một miền mà có cùng công việc, vai trò, hay chức năng hoặc họ có
cùng các nhu cầu tương tự trong việc truy cập mạng.
Nhóm Global được sử dụng thông dụng nhất trong việc quản lý các Cấp phép
cho các đối tượng Thư mục, như Tài khoản người dùng và Máy tính, thường yêu cầu
việc bảo trì trường xuyên. Trên một mạng bao gồm nhiều miền, lợi ích chính của việc
sử dụng nhóm global thay cho nhóm Universal trong việc quản lý các Cấp phép là ở
chỗ nhóm global không bị nhân bản ngoài phạm vi của miền. Điều này làm giảm các
lưu thông mạng được dùng cho việc nhân bản đến Global Catalog, là thư mục của
toàn bộ các tài nguyên trong rừng. Sử dụng nhóm Global để gán các Cấp phép cho các
đối tượng cần nhân bản đến Global Catalog sẽ là thích hợp hơn so với việc sử dụng
nhóm Domain Local cho mục đích này.
Nhóm Universal
Nhóm Universalđược sử dung chủ yếu để trao các Cấp phép truy cập đến các tài
nguyên trên nhiều miền
Chức năng chính của nhóm Universal là tập hợp các nhóm mở rộng qua nhiều
miền. Nói chung, nhóm Universal là không cần thiết trên mạng chỉ bao gồm một miền
đơn. Để sử dụng nhóm Universal một cách hiệu quả, tốt nhất là chúng ta tạo nhóm
Global trên mỗi miền, trong đó có chứa các Tài khoản người dùng và Máy tính, sau đó
thêm các nhóm Global này vào danh sách thành viên của nhóm Universal. Việc này
cho phép bạn có thể tạo ra một nhóm Universalđơn mà có thể sử dụng trên toàn bộ
doanh nghiệp, với mối quan hệ thành viên không bị xáo trộn một cách thường xuyên.
Phương pháp trên thường được lựa chọn hơn so với việc thêm trực tiếp người
dùng và Máy tính vào nhóm Universal một cách trực tiếp do mối thay đổi về thành
viên tại nhóm Universal sẽ dẫn tới việc toàn bộ các mối quan hệ thành viên đều phải
được nhân bản đến Global Catalog. Quản lý các người dùng và Máy tính trong nhóm
Global sẽ không ảnh hưởng đến quan hệ thành viên của nhóm Universal và do đó
không sinh ra các lưu thông phụ thêm cho việc nhân bản.
Nhóm Universal cũng là hữu dụng khi chúng ta muốn trao Cấp phép cho người
dùng được truy cập đến các tài nguyên nằm trên nhiều hơn một miền. Không giống
nhóm cục bộ miền, có thể gán các Cấp phép cho nhóm Universal được truy cập đến
các nguồn tài nguyên được bố trí tại bất cứ miền nào trên mạng. Ví dụ, nếu ban lãnh
CuuDuongThanCong.com https://fb.com/tailieudientucntt
67
đạo cần truy cập đến các máy in trên toàn bộ mạn, có thể tạo nhóm Universal cho mục
đích này và gán Cấp phép cho nó, như vậy toàn bộ các thành viên của nhóm này có thể
sử dụng tất cả các máy in hiện có trên tất cả các miền trong mạng.
Như đã biết trong phần trước, khả năng đưa một nhóm là thành viên của nhóm
khác là một trong các tính năng hữu dụng của việc thực thi đối tượng nhóm Active
Directory. Kỹ thuật này được gọi là “Nhóm trong nhóm” (Group nesting). Thực thi
nhóm trong nhóm tạo cho có khả năng quản lý việc cấp phép truy cập tài nguyên một
cách hiệu quả hơn trong doanh nghiệp mà không gây ra các lưu thông phụ thêm bất
thường cho việc nhân bản. Như đã nhắc tới ở trên, miền bắt buộc phải sử dụng Cấp
chức năng Windows Server để nhận được đầy đủ các tính năng ưu việt của khả năng
nhóm trong nhóm của Active Directory, và thậm chí như vậy, vẫn còn các hạn chế
trong việc thực thi kỹ thuật nhóm trong nhóm của các loại Phạm vi nhóm khác nhau.
Các hạn chế này, cũng với toàn bộ các hạn chế về thành viên trong ba phạm vi nhóm,
được tổng kết trong bảng 3-1
Bảng 3-1: Các quy tắc thành viên của phạm vi nhóm
Thành viên đối với cấp Thành viên đối với cấp chức
chức năng Windows 2000 năng Windows 2000 Native hay
Phạm vi Mixed hay Windows Windows Server 2003: Tài khoản
nhóm cục Server 2003: Tài khoản người người dùng, Máy tính, nhóm
bộ miền dùng, Máy tính và nhóm universal, and nhóm global từ bất
global từ bất cứ miền nào cứ miền nào; nhóm cục bộ miền
trong cùng miền
Global Tài khoản người dùng, Tài khoản người dùng, Máy
Máy tính trong cùng miền tính, nhóm global khác trong cùng
miền
Các qui tắc thành viên trong bảng trên là yếu tố đầu tiên của việc quản trị nhóm
một cách hiệu quả. Nếu rơi vào trường hợp bạn không thể thêm thành viên nhất định
nào đó vào một nhóm hay không thể sử dụng nhóm để cung cấp việc truy cập đến một
CuuDuongThanCong.com https://fb.com/tailieudientucntt
68
nguồn tài nguyên nào đó, quá trình xử lí sự cố nên bắt đầu bằng việc thử lại Phạm vị
nhóm và Cấp chức năng, để xác định có được hỗ trợ trong việc thực hiện các tác vụ
nói trên không.
Mặc dù kỹ thật nhóm trong nhóm là một công cụ đáng giá, Quản trị mạng nên
thận trọng với các tính năng của nó. Khi bố trí nhóm theo nhiều lớp sâu, có thể làm
cho việc theo dõi các quan hệ thành viên và các cấp phép được thừa kế thế nào trên
toàn mạng trở nên khó khăn hơn. Một qui luật chung, bố trí nhóm trong nhóm một cấp
là hữu hiệu trong phần lớn các môi trường mạng và là dể duy trì hơn.
Khi tạo nhóm, phải xác định kiểu và phạm vi của nó. Mặc dù vậy, trong miền sử
dụng cấp chức năng, có thể chuyển đổi các nhóm đã tạo sang phạm vi khác bất cứ lúc
nào, có lưu ý đến mọt số hạn chế trong quan hệ thành viên. Bảng 3-2 tổng kết các
chuyển đổi Phạm vi nhóm được phép và các điều kiện cần thiết để chuyển đổi.
Bảng 3-2: Các hạn chế chuyển đổi Phạm vi nhóm Active Directory
Từ Global Không được phép Không áp dụng Cho phép nếu không là
thành viên của nhóm
Global khác
Sẽ là một ý tưởng tốt nếu có một chiến lược nhóm sãn sàng trước khi tạo ra các
nhóm Active Directory. Tạo ra các nhóm với Kiểu và Phạm vi sai sẽ dẫn đến việc gặp
các lỗi khi thực thi các tác vụ đã định. Đối với phần lớn việc cài đặt mạng, phương
pháp thường thấy nhất là phát triển các nhóm sử dụng Phạm vi Global và Domain
Local theo các tiêu chí sau:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
69
Tạo nhóm cục bộ miền cho các tài nguyên được chia sẻ: Xác định các tài
nguyên, như thư mục hay máy in mà người dùng cần truy cập, và tạo một hay
hai nhóm cho các tài nguyên này. Ví dụ: nếu có một số các máy in mầu trong
công ty, tạo nhóm cục bộ miền có tên “Color Printer”.
Gán các Cấp phép truy cập tài nguyên cho nhóm cục bộ miền : gán các
Cấp phép cần thiết để truy cập tài nguyên cho nhóm cục bộ miền tương ứng.
Ví du: cần gán các Cấp phép cần thiết để có thể sử dụng các máy in mầu cho
nhóm “Color Printer”.
Tạo các nhóm Global cho các người dùng có cùng các yêu cầu công việc:
Xác định các người dùng có cùng các yêu cầu công việc và thêm đối tượng
người dùng của họ vào nhóm Global. Ví du: trong phòng Kế toán, thêm Đối
tượng người dùng của tất cả các kế toán viên vào nhóm “Accounting”.
Thêm nhóm Global cần truy cập tài nguyên vào nhóm cục bộ miền tương
ứng: Xác định tất cả các nhóm Global có yêu cầu truy cập đến một nguồn tài nguyên
nhất định, và đưa các nhóm Global đó là thành viên của nhóm domain local tương
ứng. Ví du: để các kế toán viên có thể truy cập đến các máy in mầu, thêm nhóm
Global “Accounting” vào nhóm domain local “Color Printer”. Các người dùng trong
nhóm “Accounting” sẽ nhận được các Cấp phép đã trao cho nhóm “Color Printer”.
Khi đã tạo ra các nhóm theo các tiêu chí trên, sẽ điều chỉnh các Cấp phép cho
nhóm cục bộ miền khi nguồn tài nguyên cần thay đổi và sẽ điều chỉnh thành viên của
nhóm Global khi nhân sự cần thay đổi.
Có thể sẽ nghĩ rằng việc sử dụng cả hai loại Phạm vi nhóm: Domain Local và
Global là không cần thiết. Sau hết, vẫn có thể chỉ tạo một nhóm đơn, hoặc Domain
Local hoặc Global, trao cho nó các cấp phép cần thiết để truy cập tài nguyên, và thêm
các đối tượng người dùng của các nhân viên cần truy cập tài nguyên đó vào là thành
viên của nhóm. Mặc dù vậy, sẽ có các hạn chế rõ rệt trong chiến lược này, bất kể đang
sử dụng nhóm domain local hay nhóm Global.
Đặt Đối tượng người dùng vào nhóm cục bộ miền và trao cấp phép cho
nhóm cục bộ miền: Chiến lược này không cho phép gán các Cấp phép cho các
tài nguyên ngoài miền, nó làm giảm mức độ linh hoạt của chiến lược nhóm khi
mạng của bạn phát triển.
Đặt Tài khoản người dùng vào nhóm Global và trao Cấp phép cho nhóm
Global: Chiến lược này làm phức tạp hơn công việc quản trị khi bạn sử dụng
mô hình nhiều miền. Nếu các nhóm Global trong các miền khác nhau yêu cầu
cùng một tập các cấp phép, phải gán các cấp phép này cho mỗi nhóm Global
riêng rẽ.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
70
Các nhóm cục bộ dựng sẵn trong Windows Server và các khả năng của nó được
chỉ ra dưới đây. Ngoại trừ tại những chỗ sẽ được chỉ ra cụ thể, không một nhóm nào
khác có sẵn các thành viên.
Administrators (Nhóm Quản trị): Thành viên của nhóm này có các quyền
đầy đủ và không hạn chế khi truy cập đến máy tính và miền, giúp họ có thể
thực thi tất cả các tác vụ quản trị. Mặc đinh, người dùng cục bộ dựng sẵn
“Administrator” là thành viên của nhóm này. Khi máy tính gia nhập vào miền,
Windows Server thêm nhóm xác định trước “Domain Admins” vào nhóm này.
Backup Operators (nhóm Sao lưu): Các thành viên của nhóm này có Quyền
(User Rights) cho phép họ có thể bỏ qua các hạn chế về bảo mật để có thể thực
hiện các tác vụ Sao lưu và Phục hồi file.
Guests (Nhóm Khách): Thành viên của nhóm này chỉ có thẻ thực hiện các tác
vụ mà được trao quyền cho họ, và chỉ có thể truy cập đến các tài nguyên đã
cấp phép cho họ truy cập. Họ cũng không thể tạo ra các thay đổi thường trực
trên môi trường màn hình của họ. Mặc định, Tài khoản người dùng cục bộ
dựng sẵn của máy tính “Guest” là thành viên của nhóm này. Khi máy tính gia
nhập miền, Windows Server thêm nhóm toàn cục xác định trước “Domain
Guest” vào nhóm này.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
71
Network Configuration Operators (Nhóm cấu hình mạng): Thành viên của
nhóm này có một số quyền quản trị giới hạn, giúp họ có thể thực hiện các thay
đổi thiết lập của TCP/IP, và làm mới hay giải phóng địa chỉ IP.
Performance Log Users (Nhóm ghi chép hiệu năng): Thành viên của nhóm
này được trao các quyền giúp họ có thể quản lý được các biến đếm hiệu năng
(Performance Counter), nhật ký (Logs), và Cảnh báo (Alerts) trên máy tính,
cả tại chỗ lẫn từ xa.
Performance Monitor Users (Nhóm Theo dõi Hiệu năng): Thành viên của
nhóm này được trao các quyền giúp họ có thể theo dõi các biến đếm hiệu năng
trên máy tính, cả tại chỗ lẫn từ xa.
Power Users (Nhóm Quyền lực): Thành viên của nhóm này có thể tạo ra các
Tài khoản Nhóm hay hay người dùng cục bộ trên máy tính và thay đổi các
người dùng hay nhóm họ đã tạo ra đó. Họ cũng có thể thêm hay loại bỏ người
dùng trong các nhóm cục bộPower Users, Users và Guest, tạo các nguồn tài
nguyên chia sẻ, quản trị các nguồn tài nguyên chia sẻ họ đã tạo ra. Power
Users không thể chiếm quyền sở hữu (Take Ownership) file, Sao lưu và Phục
hồi thư mục, tải và dỡ bỏ các trình điểu khiển thiết bị, hay quản trị các Bản ghi
Bảo mật (Security Log).
Print Operators (Nhóm Vận hành Máy in): Thành viên của nhóm này có thể
quản trị các máy in và hàng đợi in trên máy tính.
Remote Desktop Users (Nhóm Truy cập Màn hình Từ xa): Thành viên của
nhóm này có thể sử dụng dịch vụ đầu cuối (Terminal Service) để truy cập từ
xa vào máy tính.
Replicator (Nhóm Nhân bản): Nhóm này được tạo để hỗ trợ chức năng nhân
bản thư mục. Thành viên duy nhất của nó, thường là Tài khoản người dùng
trong miền, là tài khoản thường xuyên đăng nhập vào dịch vụ nhân bản
(Replicator) của Máy chủ Quản trị Miền. Không thêm các tài khoản của người
dùng thực sự vào nhóm này.
Users (Nhóm Người dùng): Thành viên của nhóm này có thể thực thi các tác
vụ như chạy các ứng dụng, sử dụng các máy tính cục bộ hay trên mạng, và
khóa máy chủ. Thành viên của nhóm này không thể chia sẻ thư mục hay cài
đặt các máy in cục bộ. Tất cả các tài khoản người dùng cục bộ dược tạo ra trên
máy tính sẽ được tựđộng thêm vào nhóm này. Khi máy tính gia nhập miền,
Windows Server thêm các nhóm “Domain Users”, “Authenticate Users”, và
“Interactive” vào nhóm cục bộUsers. Và do đó, toàn bộ các tài khoản người
dùng trên miền trở thành thành viên của nhóm cục bộUsers này.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
72
Trong phần lớn các trường hợp, các đặc quyền mà các nhóm cục bộ này có được
là do việc gán các quyền người dùng cho các nhóm này. Bảng 3-3 liệt kê danh sách
các Quyền người dùng được gán cho các nhóm cục bộ dững sẵn (Các nhóm không liệt
kê không có các quyền mặc định gán cho chúng)
Bảng 3-3 Các Quyền người dùng mặc định được gán cho nhóm cục bộ dựng sẵn.
Local Group Default User Rights
CuuDuongThanCong.com https://fb.com/tailieudientucntt
73
Remote Desktop
Allow Log On Through Terminal Services
Users
CuuDuongThanCong.com https://fb.com/tailieudientucntt
74
trước cho các tài khoản người dùng khi thêm các đối tượng người dùng hay nhóm
Global vào là thành viên của nhóm cục bộ miền dựng sẵn này.
Nhóm cục bộ miền dựng sẵn và các khả năng được gán cho các thành viên của
nó như sau:
Accounts Operators (Nhóm Vận hành Tài khoản) Thành viên của nhóm có
thể tạo, xóa và thay đổi các đối tượng người dùng, Máy tính và Nhóm trong
đối tượng chứa “Users and Computers” và trong toàn bộ các OU ngoại trừ đối
tượng chứa “Domain Controlers”. Họ không được cấp phép để thay đổi nhóm
“Administrators” và nhóm “Domain Admins”, cũng như không được thay đổi
các tài khoản là thành viên của các nhóm này. Thành viên của nhóm này có thể
đăng nhập cục bộ vào Máy chủ Quản tri Miền và tắt Windows của chúng.
Administrators (Quản trị) Thành viên của nhóm có toàn quyền truy cập đến
tất cả các Máy chủ Quản tri Miền và tới toàn bộ miền. Mặc định, nhóm
“Domain Admins”, nhóm “Enterprise Admins” và tài khoản “Administrator”
là thành viên của nhóm này.
Backup Operators (Vận hành Sao lưu) Thành viên của nhóm có các Quyền
người dùng cho phép họ tiến hành Sao lưu và phục hồi file trên toàn bộ các
Máy chủ Quản tri Miền trong miền, thậm chí khi họ không có các Cấp phép
nhất định đối với file. Thành viên của nhóm này cũng có thể đăng nhập cục bộ
vào Máy chủ Quản tri Miền và tắt windows của chúng.
Guests (Khách) Thành viên của nhóm không có các Quyền mặc định. Một
cách mặc định, nhóm Global “Domain Guest” và đối tượng người dùng trong
miền “Guest” là thành viên của nhóm này.
Incoming Forest Trust Builders (Người Xây dựng mối Quan hệ Tin cậy
Trong rừng) Thành viên của nhóm có thể tạo các mối quan hệ tin cậy một
chiều trong rừng đến miền gốc của rừng.
Network Configuration Operators (Vận hành Cấu hình Mạng) Thành viên
có thể thay đổi các thiết lập TCP/IP, làm mới hay dỡ bỏ các địa chỉ TCP/IP
trên các Máy chủ Quản tri Miền trong miền.
Perfomance Log Users (Người quản lý nhật ký hiệu năng) Thành viên của
nhóm được trao các đặc quyền đẻ họ có khả năng quản lý các biến đếm hiệu
năng, các nhật ký, và các cảnh báo trên Máy chủ Quản tri Miền trong miền, cả
ngay trên máy cục bộ hay từ xa.
Perfomance Monitor Users (Người Giám sát hiệu năng) Thành viên của
nhóm được tra các đặc quyền để có thể theo dõi các bộ đếm hiệu năng trên
Máy chủ Quản tri Miền, ngay trên máy cục bộ hay từ xa.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
75
Print Operators (Vận hành in ấn) Thành viên của nhóm này có thể quản lý,
tạo, chia sẻ và xóa các máy in được nối tới Máy chủ Quản tri Miền trong miền
và họ cũng có thể quản lý các đối tượng máy in trong Active Directory. Các
thành viên này cũng có thể đăng nhập cục bộ vào Máy chủ Quản tri Miền và
tắt Windows của chúng.
Remote Desktop Users (người dùng Màn hình Từ xa) Thành viên của nhóm
có thể đăng nhập vào Máy chủ Quản tri Miền trong miền thông qua Dịch vụ
Đầu cuối.
Replicators (nhóm Nhân bản) Nhóm này được dùng để hỗ trợ các chức năng
nhân bản thư mục. Thành viên duy nhất của nó, thường là Tài khoản người
dùng trong miền, là tài khoản thường xuyên đăng nhập vào dịch vụ nhân bản
(Replicator) của Máy chủ Quản tri Miền.
Không thêm các tài khoản của người dùng thực sự vào nhóm này.
Server Operators (nhóm Vận hành Máy chủ) Trên Máy chủ Quản tri Miền,
thành viên của nhóm này có thể đăng nhập, tạo và xóa các nguồn tài nguyên
chia sẻ, khởi động hay dừng một vài dịch vụ, Sao lưu và phục hồi file, định
dạng ổ cứng và tắt Windows của máy.
Terminal Server Licence Servers (nhóm các máy chủ quản lý giấy phép
của máy chủ chạy dịch vụ đầu cuối) Thành viên của nhóm này có thể truy
cấp các máy chủ quản lý giấy phép của máy chủ chạy dịch vụ đầu cuối, được
sử dụng để cung cấp các giấy phép (License) cho các máy khách chạy Dịch vụ
Đầu cuối trên mạng.
Users (nhóm người dùng) Thành viên của nhóm này có thể thực thi các tác
vụ thông thường nhất như chạy các ứng dụng, sử dụng các máy tính cục bộ
hay trên mạng, và khóa máy chủ. Mặc định, nhóm “Domain Users”, và các
nhóm Đồng nhất Đặc biệt “Authenticated Users” (người dùng được xác thực),
“Interactive” là thành viên của nhóm này. Do vậy, bất cứ tài khoản người
dùng nào được tạo ra trong miền đều là thành viên của nhóm này.
Windows Authorization Access Group (Nhóm Truy cập Xác thực của
Windows) Thành viên của nhóm này được phép truy cập đến thuộc tính
TokenGroupsGlobalAndUniverrsal của các đối tượng người dùng miền.
Các Quyền người dùng mặc định được trao cho các nhóm cục bộ miền dựng sẵn
được liệt kê trong bảng 3-4
Bảng 3-4: Quyền người dùng Mặc định được gán cho các nhóm dựng sẵn Active
Directory .
CuuDuongThanCong.com https://fb.com/tailieudientucntt
76
Create A Pagefile
Debug Programs
Enable Computer And User Accounts To Be
Trusted For Delegation
CuuDuongThanCong.com https://fb.com/tailieudientucntt
77
CuuDuongThanCong.com https://fb.com/tailieudientucntt
78
Không giống như trong “Local Users And Computers”, bắt buộc phải tạo nhóm
trong một thư mục riêng, Bảng điều khiển “Active Directory Users And Computers”
cho phép tạo các đối tượng nhóm tại bất cứ đâu. Có thể tạo nhóm của mình tại đối
tượng chứa “Users” với các nhóm toàn cục xác định trước, hay tạo trong đối tượng
chứa “Built-in” với nhóm cục bộ miền dựng sẵn, trong bất cứ đối tượng OU nào được
tạo ra, và thậm chí trực tiếp ngay dưới đối tượng miền. Cũng như đối với việc tạo ra
bất cứ đối tượng Active Directory nào, vị trí chọn cho đối tượng cần dựa trên thiết kế
cây thư mục của tổ chức.
Nếu có kế hoạch sử dụng nhóm để gán Quyền người dùng cho các người dùng,
cần tạo các đối tượng OU thích hợp, trong đó sẽ đặt các nhóm. Như đã biết trong, các
đối tượng chứa “Users” và “Built-in” không phải là các OU và không thể gán các
Chính sách Nhóm cho chúng. Để gán các Quyền người dùng cho nhóm trong các đối
tượng chứa này, phải sử dụng GPO áp dụng cho Miền (Domain) hay Vị trí (Site), và
các Chính sách như vậy sẽ được tất cả các đối tượng trong Miền hay trong Vị trí (Site)
thừa kế.
Để tạo đối tượng nhóm, chọn đối tượng chứa trong ô Phạm vi của bảng điều
khiển “Active Directory Users And Computers” và từ thực đơn “Action”, chọn “New”
và chọn “Group”. Hộp thoại “New Object - Group” sẽ xuất hiện như trong hình 3.4
Trong hộp thoại này, cần xác định các thông tin sau:
Group Name (tên nhóm): Tên muốn đặt cho đối tượng nhóm. Tên này có thể
dài tới 64 kí tự và nhất thiết phải là duy nhất trong miền.
Group Name (Pre-Windows 2000) (tên tương thích với các phiên bản
trước Windows 2000): ngay khi nhập tên nhóm, tên tương thích với các phiên
bản trước Windows 2000 sẽ xuất hiện trong ô này.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
79
Group Scope (Phạm vi nhóm): Chọn tùy chọn nào đáp ứng được mong muốn
khi chọn Phạm vi nhóm: Domain Local, Global hay Universal. Các Phạm vi có thể
chọn lựa phụ thuộc vào Cấp chức năng của miền đang làm việc, như đã mô tả tại phần
trên của chương này. Bảng điều khiển “Active Directory Users And Computers”
không cho phép chọn các loại Phạm vi không được phép trong Cấp chức năng hiện tại
đang dùng.
Group Type (Kiểu nhóm): chọn tùy chọn nào đáp ứng được mong muốn của
bạn: Security (Bảo mật), hay Distribution (Phân phối). Trong phần lớn các
trường hợp, sẽ tạo các nhóm Bảo mật.
Khi nhấn “OK”, bảng điều khiển sẽ tạo ra đối tượng nhóm mới trong đối tượng
chứa đã chọn.
Hộp thoại Properties của mọi đối tượng nhóm đều có thẻ “Member” (thành viên)
và thẻ “Member Of” (thành viên của), cho phép thêm thành viên vào nhóm và đưa
nhóm trở thành thành viên của một nhóm khác. Để thêm thành viên vào nhóm, chọn
thẻ “Member” sau đó nhấn “Add”, hộp thoại tiêu chuẩn “Select Users, Contacts,
CuuDuongThanCong.com https://fb.com/tailieudientucntt
80
Computers, Or Groups” (chọn người dùng, Liên lạc, Máy tính hay Nhóm) xuất hiện,
như chỉ ra trong hình 3.6.
Trong hộp thoại này, có thể gõ tên của đối tượng muốn thêm vào danh sách thành
viên của nhóm, hoặc có thể nhấn “Advanced” để xuất hiện hộp thoại như hình 3.7,
trong đó có thể tìm các đối tượng muốn thêm.
Hình 3.7: Hộp thoại Advanced của “Select Users, Contacts, Computers, Or Groups”
Một khi nhập hay tìm các đối tượng muốn thêm, nhấn “OK” trong hộp thoại
“Select Users, Contacts, Computers, Or Groups” sẽ thêm các đối tượng này vào danh
sách thành viên của nó. Khi đã thêm tất cả các thành viên cần thiết vào nhóm, nhấn
“OK” để đóng hộp thoại Properties. Lúc này, nên mở hộp thoại Properties của đối
tượng vừa thêm vào nhóm và xem đối tượng nhóm trong thẻ “Member Of”, như hình
3.8 dưới đây.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
81
Hình 3.8: Thẻ “Member Of” của hộp thoại đối tượng người dùng.
Để thay đổi Kiểu nhóm, mở hộp thoại Properties của nhóm trong bảng điều
khiển “Active Directory Users And Computers”, như hình 3.9. Trên thẻ “General” có
thể nhìn thấy “Group Type option” (các lựa chọn Kiểu nhóm), nhấn chuột vào lựa
chọn chưa được chọn và nhấn “OK”.
Quá trình thay đổi Phạm vi nhóm cũng giống hệt như vậy, ngoại trừ việc chọn
một trong các “Group Scope Option” trong thẻ “General”. Bảng điều khiển chỉ cho
phép chọn các phạm vi có thể. Trong hình đưới dây, ví dụ, có thể thấy lựa chọn
CuuDuongThanCong.com https://fb.com/tailieudientucntt
82
“Domain Local” không có hiệu lực do không thể chuyển đổi nhóm Global thành
nhóm domain local.
Hình 3.9: Thẻ “General” trong hộp thoại Properties của đối tượng nhóm.
Xóa nhóm
Cũng như đối với đối tượng người dùng, mỗi đối tượng nhóm tạo ra trong Active
Directory là có một Định danh Bảo mật (Security Identifier - SID) duy nhất và không
sử dụng lại được. Windows Server sử dụng SID để nhận dạng nhóm và các Cấp phép
được gán cho nó. Khi xóa nhóm, Windows Server không sử dụng cùng SID lại cho
nhóm đó một lần nữa, thậm chí nếu tạo nhóm mới cùng tên với nhóm đã xóa. Do vậy,
không thể phục hồi các Cấp phép truy cập đã gán cho tài nguyên bằng cách tạo lại
nhóm đã. Bắt buộc phải tạo lại tất cả từ đầu một nhóm mới như là một Đối tượng Bảo
mật trong ACL của tài nguyên.
Khi xóa nhóm, chỉ xóa đối tượng nhóm và các Cấp phép cùng các Quyền chỉ ra
rằng nhóm là một đối tượng bảo mật. Việc xóa nhóm sẽ không xóa các đối tượng là
thành viên của chúng.
Để xóa nhóm, cần chọn chúng trong bảng điều khiển “Active Directory Users
And Computers” và từ thực đơn “Action”, chọn “Delete”. Một hộp thông báo Active
Directory xuất hiện, nhắc xác nhận lại quyết định của mình. Nhấn “Yes”, nhóm sẽ bị
xóa.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
83
quả nhất trong việc tạo một số lượng lớn các đối tượng bảo mật. Các công cụ dòng
lệnh Active Directory do Windows Server cung cấp giúp có khả năng tạo và quản lý
các nhóm với số lượng lớn bằng cách sử dụng các file bó hoặc các kịch bản (script),
tương tự như đã làm trong chương 2 đối với người dùng
Cú pháp cơ bản trong việc sử dụng Dsadd.exe để tạo nhóm như sau:
Bằng cách gõ tên DN của các nhóm ngay trong dòng lệnh, giữa các tên DN
cách nhau bằng khoảng trống.
Bằng cách dẫn ra danh sách của DN từ một lệnh khác, như Dsquery.exe
Bằng cách để trống tham số tên DN, và bạn có thể gõ từng tên một sau dấu
nhắc của chương trình, nhấn “Enter” sau mối tên DN, nhấn “Ctrl + Z” và
“Enter” sau tên DN cuối cùng.
Mặc định, Dsadd.exe tạo ra nhóm bảo mật Global, nhưng vẫn có thể sử dụng các
tham số dạng dòng lệnh để tạo các nhóm với Kiểu và Phạm vi khác, chỉ định các thành
viên của nó hay các nhóm chứa nó, cũng như các thuộc tính khác của nhóm. Các tham
số (parameters) dòng lệnh thông thường nhất được trình bầy dưới đây:
-secgrp [yes|no] Chỉ định chương trình hoặc tạo ra nhóm Bảo mật (yes) hay
nhóm Phân phối (no). Giá trị mặc định là “yes”.
-scope [l|g|u] Ch ỉđịnh chương trình sẽ tạo ra nhóm có phạm vi Domain Local
(l), Global (g), hay Universal (u). Giá trị mặc định là “g”.
-samid SAMname Chỉ định tên của SAM (Security Accounts Manager –
Trình Quản lý các Tài khoản Bảo mật) cho đối tượng nhóm, được sử dụng đối
với các hệ thống chạy các phiên bản trước Windows 2000.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
84
-desc description Chỉ định các “mô tả” cho đối tượng nhóm.
-memberof GroupDN chỉ định tên DN của một hay nhiều nhóm mà nhóm mới
tạo ra sẽ là thành viên của chúng.
-member GroupDN Chỉ định tên DN của một hay nhiều nhóm sẽ trở thành
thành viên của nhóm mới tạo.
Cũng có thể thêm các tham số -s, -u, -p để chỉ định Máy chủ Quản trị Miền mà
lệnh Dsadd.exe sẽ chạy, và tên người dùng và mật khẩu được sử dụng để chạy lệnh.
-u UserName
-p {Password | *}
LƯU Ý Chỉ định mật khẩu khi sử dụng Dsadd.exe sử dụng ký tự thay thế “*”
cùng với khóa –p thay cho việc nhập mật khẩu sẽ làm cho chương trình nhắc bạn nhập
mật khẩu trước khi thực hiện lệnh.
Ví dụ, để tạo ra nhóm có tên “Sales” trong đối tượng chứa “Users” và đưa người
dùng “Administrator” là thành viên của nhóm này, sẽ sử dụng câu lệnh sau:
-secgrp {yes|no} đặt kiểu nhóm là Bảo mật (yes) hay Phân phối (no).
-scope {l|g|u} Đặt phạm vi nhóm là Domain Local (l), global (g), hay
Universal (u).
-addmbr members Thêm thành viên vào nhóm. Thay tham số phụ members
bằng tên DN của một hay nhiều đối tượng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
85
-rmmbr members Loại bỏ các thành viên ra khỏi nhóm. Thay tham số phụ
members bằng tên DN của một hay nhiều đối tượng.
-chmbr members Thay toàn bộ danh sách của các thành viên nhóm. Thay
tham số phụ members bằng tên DN của một hay nhiều đối tượng.
Ví dụ, để thêm người dùng “Administrator” vào nhóm “Guests”, dùng lệnh sau:
Computer
Contact
Subnet
Group
OU
Server
User
Quote
CuuDuongThanCong.com https://fb.com/tailieudientucntt
86
Partition
Mỗi lớp đối tượng trên lại có một tập hợp các tham số liên quan dến lớp đó, cho
phép có thể hiển thị giá trị của các thuộc tính của kiểu đối tượng đó. Với lệnh Dsget
user, vài trong các tham số của nó là:
–samid Hiển thị tên SAM của tài khoản người dùng
–sid Hiển thị Mã số Nhận dạng Bảo mật (SID) của người dùng
–fn Hiển thị tên gọi (first name) của người dùng
–ln Hiển thị tên gia đình (last name) của người dùng
–display Hiển thị tên hiển thị (display name) của người dùng
–memberof Hiển thị các nhóm mà người dùng là thành viên trực tiếp
–expand Hiển thị danh sách các nhóm đề qui mà người dùng là thành viên
Ví dụ, để hiển thị danh sách các nhóm mà người dùng là thành viên, sử dụng câu
lệnh sau:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
87
Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống. Tất nhiên chính
sách nhóm chứa tất cả các chức năng của chính sách hệ thống và hơn thế nữa, có thể
dùng chính sách nhóm để triển khai một phần mềm cho một hoặc nhiều máy một cách
tự động.
Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các
chính sách hệ thống.
Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống. Các
chính sách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào mạng thôi. Các
chính sách nhóm thì được áp dụng khi bật máy lên, khi đăng nhập vào một cách tự
động vào những thời điểm ngẫu nhiên trong suốt ngày làm việc.
Có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc
từng nhóm đối tượng.
Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy
Win2K, WinXP và Windows Server 2003 và Windows Server 2008.
Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng
của chính sách hệ thống. Nó có thể cấp cho một hoặc một nhóm người nào đó có
quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu…
Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thể
kiểm soát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy
được một vài ứng dụng nào đó thôi như: Outlook Express, Word hay Internet
Explorer.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
88
Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định
hạn ngạch đĩa cho một người dùng nào đó. Người dùng này chỉ được phép lưu trữ tối
đa bao nhiêu MB trên đĩa cứng theo qui định.
Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ
thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 và
Windows
Server 2003 thì hỗ trợ cả bốn sựkiện này được kích hoạt (trigger) một kịch bản
(script). Bạn có thể dùng các GPO để kiểm soát những kịch bản nào đang chạy.
Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng GPO để gỡ bỏ nhiều
tính năng khỏi Internet Explorer, Windows Explorer và những chương trình khác.
Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ bỏ hầu hết
các đề mục trên menu Start của một người dùng nào đó, ngăn chặn không cho người
dùng cài thêm máy in, sửa đổi thông số cấu hình của máy trạm…
Một GPO mới sẽ gồm có tất cả các thiết lập chính sách “Administrative
Templates” từ Starter GPO, chúng sẽ được sử dụng như một mẫu trong suốt quá trình
tạo và các tính năng bổ sung mà thông thường chúng ta có bên trong các GPO (như
các thiết lập bảo mật “Security Settings”,… ). Mọi thứ ngoài các thiết lập chính sách
“Administrative Templates” sau đó phải được tạo từ nhiều bước phức hợp khác như
phiên bản hiện nay vẫn đang phải làm. Đây điểm giá trị của các mẫu Advanced Group
Policy Management (AGPM).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
89
Báo cáo các thiết lập được tạo ra và bao gồm như
một dưới dang file HTML cho mọi “export”. Được
Report.html thực hiện nhằm tạo tham chiếu dể dàng và tài liệu
xem xét.
File này luôn luôn nằm trong file CAB
Thế nhưng cũng rất ngạc nhiên khi thấy việc quản lý Group Policy lại ít được tự
động hoá trong nhiều tổ chức IT. Khi Group Policy Management Console (GPMC)
được đưa vào, Microsoft đã thực hiện một nhóm API và một số script mẫu có sẵn cho
CuuDuongThanCong.com https://fb.com/tailieudientucntt
90
các công việc tự động thực hiện với console này. Có nhiều việc để làm với những API
này, cũng như những cơ hội để tự động những mặt khác của quản lý Group Policy,
như các công việc giải quyết và chuẩn đoán. Cùng với sự ra đời của Windows
GPMC được tập trung vào việc điều hành dựa vào toàn bộ Group Policy Object
(GPO), và những cho phép tương ứng, các liên kết và nhiều thứ nữa. Nó không cung
cấp tự động hay quản lý của những cài đặt hiện tại trong GPO. Tuy nhiên, nó có thể có
ích khi thực hiện tự động hoá cho toàn bộ GPO như là một cách để quản lý quá trình
thay đổi trong môi trường Group Policy của bạn.
Có thể dùng GPMC APIs để thay đổi những đường dẫn đến GPO. Nếu có một
GPO mới mà muốn triển khai, có thể script tạo ra GPO và sau đó có thể script quá
trình liên kết sau khi các cài đặt đã cư trú. Cũng có thể script thay đổi của một cho
phép của GPO, trong trường hợp bạn muốn thay đổi các nhóm bảo mật được GPO
nhắm đến hay ai có thể edit GPO.
Administrative có thể áp dụng chúng cho một GPO mới, di trú lại một số cài đặt
của nó. Phần sau sẽ hướng dẫn cách tự động quá trình tạo ra, cho phép và nối một
GPO và sau đó hướng dẫn các cách tăng cường một số những chức năng mới của
GPMC trong quá trình tự động hoá này.
Bước tiếp thực hiện tự động là cho phép GPO. Sẽ cho phép GPO để chỉ những
người dùng trong nhóm "Marketing Users" mới xử lý được nguyên tắc, và add
một nhóm gọi là "GPO Admins" với cho phép được edit GPO. Cuối cùng, nối
GPO đến Marketing OU trong domain Active Directory.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
91
Một mặt khác của quản lý Group Policy mà có thể tự động hoá là báo cáo. Về
mặt này, có ít nhất hai dạng báo cáo mà GPO tạo ra. Đầu tiên là khả năng báo
cáo trên các cài đặt trong GPO. Nó cho phép hoặc là tạo các báo cáo HTML-
hoặc là các báo cáo dựa trên XML- của cài đặt hiện hành đang được kích hoạt
trên GPO. + Khả năng báo cáo thứ hai cho phép tạo Resultant Set of Policy
(RSoP) hay các báo cáo Policy Results. Có hai dạng báo cáo RSoP - logging
và planning. Một báo cáo logging chạy dựa trên một desktop hay server từ xa,
thể hiện các chính sách nào đang được đưa đến hệ điều hành từ xa và liệu
chúng có thành công không. Báo cáo planning RSoP cho bạn thực hiện những
việc nếu phân tích một OU xác định, máy tính hay người dùng để xác định
xem đang áp dụng chính sách nào. Trong cả hai trường hợp, logging và
planning đều có thể tạo các output HTML hoặc XML dùng GPMC APIs và
Windows PowerShell.
Bảng 4-1 miêu tả Group Policy Preferences có thể cung cấp liên quan đến
Windows Settings ở mức Computer Configuration.
Environment Cho phép có thể thiết lập biến môi trường (Environment) cho User
hoặc System. Có thể tạo/thay thế/nâng cấp hoặc xóa các biến này -
hoặc thậm chí cả những biến quan trọng như PATH.
Files Tạo/thay thế/nâng cấp hoặc xóa các file trên client. Bằng cách định
nghĩa các file nguồn và đích bạn có bản copy giống như một chức
năng.
Thêm vào đó có thể thiết lập các thuộc tính (Read-Only, Hidden &
Archive) trên các file.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
92
Folders Cho phép có thể tạo/thay thế/nâng cấp hoặc xóa các thư mục trên
các client. Khi thay thế hoặc xóa các thư mục bạn có thể có nhiều tùy
chọn để bảo đảm mọi thứ xảy ra theo cách mong muốn.
Thêm vào đó cũng có thể thiết lập các thuộc tính (Read-Only,
Hidden & Archive) đối với các thư mục.
INI Files Tạo/thay thế/nâng cấp hoặc xóa các file INI. Có thể chỉ định các tên
thuộc tính và vùng của file cũng như các giá trị thuộc tính.
Registry Cấu hình này cho phép có thể thay đổi các thiết lập registry trên
máy khách - chọn từ Registry Items, Collection Items, và Registry
Wizard để hướng dẫn thông qua toàn bộ quá trình. Wizard sẽ cho
phép duyệt registry trên các máy tính từ xa để chọn đường dẫn chính
mà mong muốn tạo/thay thế/nâng cấp hoặc xóa.
Có thể chọn các kiểu giá trị dưới đây: REG_SZ, REG_DWORD,
REG_BINARY, REG_MULTI_SZ, và REG_EXPAND_SZ – đây là
một cải thiện lớn khi so sánh với quá trình tạo các file ADM tùy
chỉnh (thường không hỗ trợ tất cả các kiểu giá trị registry).
Network Cho phép có thể tạo/thay thế/nâng cấp hoặc xóa các chia sẻ trên
client. Có thể chọn tên Share, đường dẫn Folder, Comment, hạn chế
Shares người dùng và thậm chí cả trạng thái bảng liệt kê truy cập.
Cũng có thể chọn nâng cấp tất cả các chia sẻ thông thường, tất cả
các chia sẻ không quản lý đã được ẩn và tất cả các chia sẻ ký tự ổ
đĩa.
Shortcuts Tạo/thay thế/nâng cấp hoặc xóa các shortcut trên các client. Có thể
định nghĩa Target Type (File System Object, URL hoặc Shell
Object), Location, Path, Arguments, “Start in”, Shortcut Keys,
Icon,…
Bảng 4-2 Ý tưởng về những gì Group Policy Preferences cung cấp liên quan đến
Control Panel Settings ở mức Computer Configuration.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
93
Data Tạo/thay thế/nâng cấp hoặc xóa nguồn dữ liệu hệ thống hoặc người
dùng (User or System Data Sources). Chọn từ DNS (Data Source
Sources Names) có sẵn, chọn Data Source Driver (ví dụ như Excel, Access,
SQL Server), đặt Username/Password, và các thuộc tính,…
Vì vậy, đây là cách đơn giản để tạo một kết nối cơ sở dữ liệu (ODBC)
trên các client.
Devices Điều khiển các thiết bị trên client bằng cách kích hoạt hoặc vô hiệu
hóa việc sử dụng Device Class (GUID) hoặc Device Type (GUID) đã
có. Thiết lập này gần giống như chức năng mà chúng ta có trong
Windows Vista.
Folder Định nghĩa kiểu file và các lớp có liên quan (ví dụ như Text
Options Document, VBScript Script File, Windows Installer Package,…).
Thêm vào đó có thể cấu hình các thiết lập Class như Icon, Actions…
Local Quản lý Local Users và Groups bằng việc tạo/thay thế/nâng cấp hoặc
Users and xóa các Users hoặc Groups.
Groups Cũng có thể thay đổi mật khẩu, vô hiệu hóa những người dùng cục bộ
và kiểm soát thành viên nhóm nội bộ, thiết lập các tùy chọn mật khẩu,
thiết lập ngày hết hạn, xóa tất cả các thành viên của một nhóm (người
dùng hay các nhóm), bổ sung/xóa người dùng hiện hành vào/ra một
nhóm, đổi tên người dùng hoặc một nhóm,…
Network Tạo/thay thế/nâng cấp hoặc xóa một mạng riêng ảo - Virtual Private
Options Network (VPN) hoặc kết nối mạng quay số - Dial-Up Network (DUN)
– như một kết nối “user” hoặc “all users”. Cũng có thể định nghĩa các
tùy chọn quay số hay các chức năng bảo mật (mã hóa, chứng thực,…),
các tùy chọn cho việc kết nối mạng,…
Power Cấu hình Power Options and Schemes cho Windows XP.
Options
Power Options có các thiết lập như: “Prompt for password when
computer resumes from standby” (Nhắc nhở mật khẩu khi máy tính thức
bật sau chế độ standby), “Enable hibernation” (Cho phép chức năng
ngủ đông) và các thiết lập nút Power.
Power Schemes có thể tạo, thay thế, nâng cấp hoặc xóa. Vì vậy có thể
tạo một kế hoạch hoàn hảo, triển khai nó đến các máy khách và làm cho
nó hoạt động hiệu quả.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
94
Printers Tạo/thay thế/nâng cấp hoặc xóa các máy in - thậm chí các máy in
TCP/IP.
Có thể định nghĩa những thứ như Name, Port (LPT/COM/USB), IP
address, Port Settings (RAW/LPR/SNMP), Printer Path, Location,
Comment.
Services Thiết lập các thuộc tính trên Services như tùy chọn Startup (No
change,
Automatic, Manual hoặc Disabled), chọn Action (No change,
Start/Stop/Restart service), thiết lập thời gian timeout trong trường
hợp dịch vụ bị khóa, thiết lập các thuộc tính đăng nhập và khôi phục, …
Bảng 4-3 Group Policy Preferences cung cấp liên quan đến các thiết lập
Windows ở mức User Configuration.
Applications Phần này sẽ được trình bày trong phần sau của chương
Drive Maps Tạo/thay thế/nâng cấp hoặc xóa các ổ đĩa mạng đã được ánh xạ
(giống như NET USE). Có thể chọn để ánh xạ một ký tựổ đĩa nào đó
hoặc ký tự ổ đĩa có sẵn tiếp theo.
Một tùy chọn cũng được cung cấp ở đây là “Connect As” – cung cấp
các thông tin cần thiết như tên người dùng và mật khẩu. Ngoài ra còn
có thể chọn để ẩn một ổ đĩa đã ánh xạ hoặc tất cả các ổ.
Environment Cho phép có thể thiết lập các biến môi trường cho User hoặc hệ
thống. Có thể tạo/thay thế/nâng cấp hoặc xóa các biến này - thậm chí
CuuDuongThanCong.com https://fb.com/tailieudientucntt
95
Files Tạo/thay thế/nâng cấp hoặc xóa các file trên các client. Bằng cách
định nghĩa các file nguồn và đích sẽ có bản copy như một chức năng.
Thêm vào đó có thể thiết lập các thuộc tính (Read-Only, Hidden &
Archive) trên các file.
Folders Cho phép có thể tạo/thay thế/nâng cấp hoặc xóa các thư mục trên các
client. Khi thay thế hoặc xóa các thư mục có thể có nhiều tùy chọn để
bảo đảm mọi thứ xảy ra theo mong muốn.
Thêm vào đó có thể thiết lập các thuộc tính (Read-Only, Hidden &
Archive) trên các thư mục này.
INI Files Tạo/thay thế/nâng cấp hoặc xóa các file INI. Bạn có thể chỉ định các
tên thuộc tính và vùng của file cũng như giá trị thuộc tính.
Registry Cấu hình này cho phép có thể thay đổi các thiết lập registry trên
máy khách - chọn từ Registry Items, Collection Items, và Registry
Wizard để hướng dẫn thông qua toàn bộ quá trình. Wizard sẽ cho
phép duyệt registry trên các máy tính từ xa để chọn đường dẫn chính
mà muốn tạo/thay thế/nâng cấp hoặc xóa.
Có thể chọn các kiểu giá trị dưới đây: REG_SZ, REG_DWORD,
REG_BINARY, REG_MULTI_SZ, và REG_EXPAND_SZ – đây là
một cải thiện lớn khi so sánh với quá trình tạo các file ADM tùy
chỉnh (thường không hỗ trợ tất cả các kiểu giá trị registry).
Shortcuts Tạo/thay thế/nâng cấp hoặc xóa các shortcut trên các client. Có thể
định nghĩa Target Type (File System Object, URL hoặc Shell Object),
Location, Path, Arguments, “Start in”, Shortcut Keys, Icon, …
Bảng 4-4 Group Policy Preferences cung cấp liên quan đến Control Panel
Settings ở mức User Configuration.
Data Tạo/thay thế/nâng cấp hoặc xóa nguồn dữ liệu hệ thống hay người
dùng. Chọn từ DNS (Data Source Names) có sẵn, chọn Data Source
Sources Driver (ví dụ như Excel, Access, SQL Server), đặt Username/Password,
và các thuộc tính,…
Vì vậy, đây là cách đơn giản để tạo một kết nối cơ sở dữ liệu (ODBC)
CuuDuongThanCong.com https://fb.com/tailieudientucntt
96
Devices Điều khiển các thiết bị trên client bằng cách kích hoạt hoặc vô hiệu hóa
việc sử dụng Device Class (GUID) hoặc Device Type (GUID) đã có.
Thiết lập này gần giống như chức năng mà chúng ta có trong Windows
Vista.
Folder Cho phép thiết lập Folder Options cho Windows XP hoặc Windows
Options Vista - hoặc có thể thiết lập các liên kết “Open With” với các mở rộng
của file đã cho (ví dụ như Notepad cho các file .txt,…).
Thiết lập Folder Options cho Windows XP/Vista có khả năng kích hoạt
hoặc vô hiệu hóa các thiết lập như: “Show hidden files and folders” (Hiện
các file và thư mục ẩn), “Hide extensions for known file types” (Ẩn phần
mở rộng cho các kiểu file đã biết), “Hide protected operating system
files” (Ẩn các file hệ thống được bảo vệ), “Show encrypted or
compressed NTFS files in color” (Hiện các file NTFS đã được nén hoặc
mã hóa theo màu), “Use simple file sharing” (Sử dụng việc chia sẻ file
đơn giản), và nhiều hơn nữa trong chủng loại tương tự.
Internet Cho phép thiết lập Internet Settings cho Internet Explorer 5, 6 hoặc
Settings Internet Explorer 7. Một số thiết lập này có chồng lấp với các thiết lập
Group Policy thông thường.
Internet Settings bao gồm việc thiết lập Home Page(s), History trình
duyệt, việc duyệt tab, Accessibility, mức độ Security theo từng vùng,
ngăn chặn Pop-up, các chương trình, thiết lập Dial-up/LAN…
Local Quản lý Local Users và Groups bằng việc tạo/thay thế/nâng cấp hoặc
Users and xóa các Users hoặc Groups.
Groups Cũng có thể thay đổi mật khẩu, vô hiệu hóa những người dùng cục bộ
và kiểm soát thành viên nhóm nội bộ, thiết lập các tùy chọn mật khẩu,
thiết lập ngày hết hạn, xóa tất cả các thành viên của một nhóm (người
dùng hay các nhóm), bổ sung/xóa người dùng hiện hành vào/ra một
nhóm, đổi tên người dùng hoặc một nhóm,…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
97
Network Tạo/thay thế/nâng cấp hoặc xóa một mạng riêng ảo - Virtual Private
Options Network (VPN) hoặc kết nối mạng quay số - Dial-Up Network (DUN) –
như một kết nối “user” hoặc “all users”. Cũng có thể định nghĩa các tùy
chọn quay số hay các chức năng bảo mật (mã hóa, chứng thực,…), các
tùy chọn cho việc kết nối mạng,…
Printers Tạo/thay thế/nâng cấp hoặc xóa các máy in - thậm chí các máy in
TCP/IP.
Có thể định nghĩa những thứ như Name, Port (LPT/COM/USB), IP
address, Port Settings (RAW/LPR/SNMP), Printer Path, Location,
Comment. Thậm chí còn có thể chọn máy in mặc định cho người dùng.
Regional Cho phép thiết lập thuộc tính Regional Option Properties - như xác
Options định vị trí của người dùng, định dạng số, tiền tệ, thời gian và ngày.
Start Điều chỉnh được Start Menu của Windows XP hoặc Windows Vista.
Menu Tính năng này có tất cả các thiết lập đã biết như biểu tượng to/nhỏ, số
chương trình trên menu Start, Display Run, Display Log off,…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
98
Windows Server 2008 và GPMC version 2 mang đến một số tính năng mới rất
hữu dụng có liên quan đến Group Policy. Một số là những cải thiện nhỏ, một số khác
là những cải thiện lớn. Nhưng phần lớn nó đều rất hữu dụng cho các quản trị viên
trong hầu hết các môi trường… Group Policy Preferences cũng mang đến cho chúng
ta những tính năng mới và rất hữu dụng mà có lẽ chúng ta chưa bao giờ có nó trước đó
– và một điều đáng nói ở đây là bạn thậm chí không cần phải tốn quá nhiều tiền để có
được nó!
Login vào Domain Controller với quyền hạng là Administrative. Từ Menu Start
=> Administrative Tools => Group Policy Management.
Mở rộng nhánh Domain lhu.edu Click chuột phải vào Default Domain Policy chọn
Edit.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
99
Tại hộp thoại Group Policy Management Editor mở rong các nhánh như sau:
Computer Congiuration => Windows Settings => Security Settings => Account Policy
=> Password Policy. Cửa sổ bên phải hiện thị các thông tin chính sách về Password.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
100
Click Double chuột vào chỉnh các giá trị trở về 0 (0 ở đây có nghĩa là chế độ
Password phức tạp sẽ không được sữ dụng đến) hoặc bỏ check “Define this policy
setting”. Sau đó chọn OK.
Kết quả sau khi chỉnh sửa chế độ Password đơn giản cho các Users trong Miền .
CuuDuongThanCong.com https://fb.com/tailieudientucntt
101
Trong hộp thoại Group Policy Management mở rộng nhánh Domain Controllers
=> Default Domain Controller Policy => click chuột phải chọn Edit.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
102
Hộp thoại Group Policy Management Editor mở rộng các nhánh như dưới đây:
Compuer Configuration => Windows Settings => Security Settings => Local Policies
=> User Rights Asignment. Bên của sổ phải của chương trình click double vào dòng
Allow log on locally hoặc click phải chuột vào chọn Properties.
Hộp thoại Alloe log on locally Properties click chọn Add User ot Group…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
103
Hộp thoại Add User or Group tiến hành Add nhóm Users vào và click chọn OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
104
Kết quả Nhóm Users đã được thêm vào. Click chọn Apply và OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
105
Cập nhật Policy. Từ menu Start => Run gõ lệnh gpupdate /force sau đó chọn ok.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
106
Click chuột phải vào OU cần triển khai GP chọn Greate a GPO Policy Nhập tên
cần tạo vào hộp thoại Name và chọn OK
Tại của sổ Group Policy Manegement click chuột phải vào Policy mới vừa được
tạo chọn Edit.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
107
Hộp thoại Group Policy Manegement Editor tìm theo cấu trúc như sau: Computer
Configuration => Administrative Template => System => Troubelshooting and
Diagnostics => Disk Diagnostics. Bên của sổ phải Disk Diagnostic:
Congiguraexecution level click chọn vào chọn Properties.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
108
Hộp thoại Disk Diagnostic Configure execution level Properties click chọn vào ô
Enabled => Apply => OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
109
4.1.4.3 Group Policy cài đặt software thông qua quản trị viên.
Hộp thoại Group Policy Manegement click chuột phải vào OU CNTT chọn Create
a GPO in this domain, and Link it here…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
110
Hộp thoại New GPO nhập tên cần tạo vào mục Name sau đó chọn OK.
Trong hộp thoại Group Policy click chuột phải vào GPO mới vừa tạo chọn Edit.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
111
Sau khi click chọn vào Edit. Trong hộp thoại Group Policy Management Editor
tìm theo đường dẫn sau: Computer Configuration => AdministrativeTemplates =>
System => Troubleshooting and Diagnostics => Application Compatibility Diagnostics.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
112
Nhập tên cần tạo vào hộp thoại Name sau đó click chọn OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
113
Thực hiện tắt chức năng theo cấu trúc đường dẫn như sau: User Congiguration
=>Administrative Templates: Policeis => Windows Components => AutoPlay Policies.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
114
Bên của sổ phải click Double chuột vào Turn off Autoplay chọn Enabled, click
chọn OK.
Thực hiện tạo mới một chính sách như hình dưới đây.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
115
Tiến hành sửa chửa thiết lập, click chuột phải vào chính sách vừa tạo chọn Edit.
Tìm đến mục Important URLs theo cấu trúc như sau: User Comgiuration =>
Windows Settings => Internet Explorer Maintenance bên cửa sổ phải click double chuột
CuuDuongThanCong.com https://fb.com/tailieudientucntt
116
Hộp thoại Important URLs đánh dấu chọn vào ô Customize Home page URL và
nhập tên trang web vào ô Home page URL:
Tiếp theo thực hiện tương tự nhừ cấu trúc trên: User Comgiuration => Windows
Settings => Internet Explorer Maintenance =>Windows Componts => Internet Control
CuuDuongThanCong.com https://fb.com/tailieudientucntt
117
Panel . Bên của sổ tay phải click double chuột vào dòng Disable the General page.
Hộp thoại Disable the General page Properties chọn Enabled sua đó click chọn OK
để thiết lập này được thực hiên.
Trước khi thực hiện phần này ta cần một software có phần mở rộng là *.msi Copy
software này vào thư mục DUDIEU và tiến hành Sharing thư mục này lên.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
118
Hộp thoại Advanced Sharing đánh dấu check vào ô Share this folder sau đó chọn
Apply và chọn OK
CuuDuongThanCong.com https://fb.com/tailieudientucntt
119
Copy software vào thư mục DULIEU như hình dưới đây.
Từ menu Start => Administrative Tools => Group Policy Manegement click chuột
vào OU CNTT chọn Create a GPO in this domain, and Link it here…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
120
Trong hộp thoại New GPO nhập tên DeploySoftware vào mục Name chọn OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
121
Sau khi thực hiện thành công việc tạo mới một chính sách click chuột vào chính
sách mới vừa tạo chọn Edit…
Hộp thoại Group Policy Managenment Editor thực hiện cài đặt Software cho User
khi Login vào Domain. Tìm theo cấu trúc như sau: User Configuration => Software
insttalltion =>Click chuột phải vào chọn New => Package…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
122
Trong hộp thoại Open chỉ định đường dẫn đến gới Package cấn install cho User
theo cú pháp như sau:
\\TênMáyTính\ThưMụcChiaSẻ\software
\\TênMáyTính\TênDomain\ThưMụcChiaSẻ\software
CuuDuongThanCong.com https://fb.com/tailieudientucntt
123
Hộp thoại Deploy Software xuất hiện chọn vào Assigned sau đó chọn OK
Tạo hộp thoại Group Policy Management Editor một gói Packek đã được cài đặt
thiết lập.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
124
Kiểm tra kết quả cntt được Install software một cách tự động.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
125
Windows Server 2008 R2 là HĐH máy chủ mới nhất của Microsoft, được thiết
kế với mục đích tăng hiệu năng sử dụng, giảm chi phí vận hành với những tính năng
nổi bật như cải tiến quản lý năng lượng, truy cập, quản lý máy chủ từ xa, ảo hóa …
Windows Server 2008 R2 là phiên bản hệ điều hành máy chủ đầu tiên loại bỏ
hoàn toàn cấu trúc 32 bit, hỗ trợ lên tới 256 bộ vi xử lý logic và có khả năng quản lý
bộ nhớ tốt hơn các phiên bản trước.
Nhằm tiết kiệm chi phí qua việc giảm thiểu chi phí điện năng tiêu thụ, Windows
Server 2008 R2 cung cấp một số cài đặt Group Policy mới cho phép quản lý điện năng
đối với các thiết bị trong máy tính sử dụng Windows 7 hay Windows Server 2008 R2.
Đặc biệt, Windows Server 2008 R2 có thể quản lý khả năng tiêu thụ điện của máy tính
tại lõi của CPU. Khi các lõi chip không được sử dụng có thể được chuyển sang trạng
thái ngủ đông cho đến khi chúng được sử dụng, do đó giảm sức tiêu thụ điện năng của
toàn bộ máy chủ.
Ảo hóa là một phần chính của trung tâm dữ liệu ngày nay. Hiệu quả điều hành
được cung cấp bởi ảo hóa cho phép các tổ chức giảm đáng kể nỗ lực hoạt động và điện
năng tiêu thụ. Windows Server 2008 R2 cung cấp các loại ảo hóa sau:
Hyper-V
Windows Server 2008 R2 giới thiệu một phiên bản mới của Hyper-V có thể sử
dụng tối đa 32 chip logic, với một số cải tiến lõi để tạo ra trung tâm dữ liệu ảo động
bao gồm các khả năng tăng hiệu suất, cải thiện quản lý và cho phép người dùng di
chuyển các máy ảo mà không phải tạm dừng hoạt động. Phiên bản đầu tiên của
HyperV chỉ có thể sử dụng tối đa 16 chip logic.
Remote Desktop Services, trước đây được gọi là Terminal Services, là một trong
những thành phần của Microsoft Windows (cả máy chủ và máy trạm) cho phép người
CuuDuongThanCong.com https://fb.com/tailieudientucntt
126
dùng truy cập vào các ứng dụng và dữ liệu trên một máy tính từ xa qua mạng. Remote
Desktop là dịch vụ cung cấp cho người sử dụng và quản trị viên với cả các tính năng
và tính linh hoạt cần xây dựng những kinh nghiệm truy cập mạnh mẽ nhất trong bất kỳ
kịch bản triển khai.
Để mở rộng việc thiết lập điều khiển máy tính từ xa, Microsoft đã đầu tư vào cơ
sở hạ tầng Desktop ảo, cũng gọi là VDI (Virtual Desktop Infrastructure).
Tính năng này cho phép những ứng dụng được cài đặt trên máy chủ giờ đây đã
xuất hiện trên menu Start cùng với các ứng dụng được cài đặt cục bộ. Người dùng có
thể sử dụng ứng dụng được cài đặt trên máy chủ như ứng dụng được cài đặt cục bộ, và
khó có thể nhận ra sự khác biệt giữa chúng.
Bênh cạnh đó là chức năng đồ họa (và một số chức năng I/O khác, như bàn phím
và chuột) giờ đây được xử lý bởi desktop của của người dùng. Điều này có nghĩa là
mỗi phiên làm việc sẽ sử dụng ít tài nguyên trên máy chủ hơn, do đó nguồn tài nguyên
này sẽ được sử dụng hiệu quả hơn.
VDI là một kiến trúc phân phối desktop tập trung, cho phép Windows và máy
tính để bàn khác môi trường có thể chạy và được quản lý trong các máy chủảo tập
trung.
Windows Server 2008 R2 có khả năng thực thi một khối lượng công việc rất lớn,
dể mở rộng với độ tin cậy cao. Một loạt các tính năng mới và cập nhật sẽ có sẵn, bao
gồm thúc kiến trúc CPU đòn bẩy tinh vi, tăng gia tăng các khung điều hành hệ thống,
và cải thiện hiệu suất và khả năng mở rộng cho ứng dụng và dịch vụ.
Windows Server 2008 R2 có nhiều tính năng được thiết kế đặc biệt để làm việc
với máy tính khách đang chạy Windows 7.
Người dùng có thể tìm hiểu về các tính năng chỉ có trên máy khách Windows 7
với máy chủ chạy HĐH Windows Server 2008 R2 ở đây. Những tính năng nổi bật
trong Windows Server 2008.
Có rất nhiều tính năng và chức năng mới được bổ sung vào Active
Directorytrong Windows Server 2008, Active Directory Domain Services (AD DS)
trong Windows Server 2008, dịch vụ này có một số tính năng và nâng cao mới so
vớiWindows Server 2003.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
127
Đây là toàn bộ tóm tắt ngắn gọn về những thay đổi chính và các chức năng dịch
vụ miền mới mà chúng tôi sẽ đề cập đến trong bài này:
Ban đầu do quy mô mạng ARPA NET (tiền thân của mạng Internet) còn nhỏ chỉ
vài trăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lưu thông tin về ánh xạ tên máy
thành địa chỉ IP. Trong đó tên máy chỉ là 1 chuỗi văn bản không phân cấp (flat name).
Tập tin này được duy trì tại 1 máy chủ và các máy chủ khác lưu giữ bản sao của nó.
Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOSTS.TXT có các nhược
điểm như sau:
Lưu lượng mạng và máy chủ duy trì tập tin HOSTS.TXT bị quá tải do hiệu
ứng “cổ chai”.
Xung đột tên: Không thể có 2 máy tính có cùng tên trong tập tin HOSTS.TXT
. Tuy nhiên do tên máy không phân cấp và không có gì đảm bảo để ngăn chặn
việc tạo 2 tên trùng nhau vì không có cơ chế uỷ quyền quản lý tập tin nên có
nguy cơ bị xung đột tên.
Không đảm bảo sự toàn vẹn: việc duy trì 1 tập tin trên mạng lớn rất khó khăn.
Ví dụ như khi tập tin HOSTS.TXT vừa cập nhật chưa kịp chuyển đến máy chủ
ở xa thì đã có sự thay đổi địa chỉ trên mạng rồi.
Tóm lại việc dùng tập tin HOSTS.TXT không phù hợp cho mạng lớn vì thiếu cơ
chế phân tán và mở rộng. Do đó, dịch vụ DNS ra đời nhằm khắc phục các nhược điểm
này. Người thiết kế cấu trúc của dịch vụ DNS là Paul Mockapetris - USC's
Information Sciences Institute, và các khuyến nghị RFC của DNS là RFC 882 và 883,
CuuDuongThanCong.com https://fb.com/tailieudientucntt
128
sau đó là RFC 1034 và 1035 cùng với 1 số RFC bổ sung như bảo mật trên hệ thống
DNS, cập nhật động các bản ghi DNS …
Hiện tại trên các máy chủ vẫn sử dụng được tập tin hosts.txt để phân giải tên máy
tính thành địa chỉ IP (trong Windows tập tin này nằm trong thư mục
WINDOWS\system32\drivers\etc).
Dịch vụ DNS hoạt động theo mô hình Client-Server: phần Server gọi là máy chủ
phục vụ tên hay còn gọi là Name Server, còn phần Client là trình phân giải tên -
Resolver. Name Server chứa các thông tin CSDL của DNS, còn Resolver đơn giản chỉ
là các hàm thư viện dùng để tạo các truy vấn (query) và gửi chúng qua đến Name
Server. DNS được thi hành như một giao thức tầng Application trong mạng TCP/IP.
DNS là 1 CSDL phân tán. Điều này cho phép người quản trị cục bộ quản lý phần
dữ liệu nội bộ thuộc phạm vi của họ, đồng thời dữ liệu này cũng dể dàng truy cập
được trên toàn bộ hệ thống mạng theo mô hình Client-Server. Hiệu suất sử dụng dịch
vụ được tăng cường thông qua cơ chế nhân bản (replication) và lưu tạm (caching).
Một hostname trong domain là sự kết hợp giữa những từ phân cách nhau bởi dấu chấm
CuuDuongThanCong.com https://fb.com/tailieudientucntt
129
Cơ sở dữ liệu (CSDL) của DNS là một cây đảo ngược. Mỗi nút trên cây cũng lại
là gốc của 1 cây con.
Mỗi cây con là 1 phân vùng con trong toàn bộ CSDL DNS gọi là 1 miền
(domain). Mỗi domain có thể phân chia thành các phân vùng con nhỏ hơn gọi là các
miền con (subdomain). Mỗi domain có 1 tên (domain name). Tên domain chỉ ra vị trí
của nó trong CSDL DNS. Trong DNS tên miền là chuỗi tuần tự các tên nhãn tại nút đó
đi ngược lên nút gốc của cây và phân cách nhau bởi dấu chấm.
Tên nhãn bên phải trong mỗi domain name được gọi là top-level domain. Trong
ví dụ trước srv1.csc.hcmuns.edu.vn, vậy miền “.vn” là top-level domain. Bảng sau đây
liệt kê top-level domain.
.int Các tổ chức được thành lập bởi các hiệp ước quốc tê.
Vì sự quá tải của những domain name đã tồn tại, do đó đã làm phát sinh những
top-level domain mới. Bảng sau đây liệt kê những top-level domain mới.
.arts Những tổ chức liên quan đến nghệ thuật và kiến trúc.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
130
Bên cạnh đó, mỗi nước cũng có một top-level domain. Ví dụ top-leveldomain
của Việt Nam là .vn, Mỹ là us. Xem thêm thông tin về domain tại địa chỉ: http://
www.thrall.org/domains.htm. Dưới đây là tên miền của các quốc gia.
.us Mỹ
.uk Anh
.ru Nga
… ….
Windows Server 2008 cung cấp một cải tiến mới với dịch vụ DNS Server nhầm
cải thiện một số tính năng được thực hiện trong DNS và diển hình là tính năng nổi bật
đã có trong DNS Server 2008 là DNS Server Role.
Background zone loading: Máy chủ DNS mà máy chủ lưu trữ lớn về DNS
được lưu trong Active Directory Domain Services (AD DS) có thể đáp ứng
cho người dùng một cách nhanh hơn khi họ khởi động lại, vì dữ liệu khu vực
hiện đang được nạp trong nền.
IP phiên bản 6 (IPv6): Các dịch vụ DNS Server bây giờ hỗ trợ đầy đủ các địa
chỉ dài hơn của các đặc điểm kỹ thuật IPv6.
Read Only Domain Controller: DNS Server role trong Windows Server 2008
cung cấp các khu tiểu học chỉ đọc trên RODCs.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
131
Global single names: GlobalNames Khu cung cấp phân giải tên đơn nhãn cho
các mạng doanh nghiệp lớn mà không triển khai Windows Internet Name
Service (WINS). Khu GlobalNames rất hữu ích khi sử dụng tên DNS hậu tố để
cung cấp phân giải tên đơn nhãn là không thực tế.
Global query block list: Người dùng của các giao thức như các giao thức Web
Proxy
Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải
dựa theo tên domain trong yêu cầu truy vấn.
Đồng bộ các DNS zone trong Active Directory (DNS zone replication in
Active Directory).
Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống Windows trước
đây. - Luân chuyển (Round robin) tất cả các loại RR.
Cung cấp nhiêu cơ chế ghi nhận và theo dõi sự cố lỗi trên DNS.
Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính
năng bảo mật cho việc lưu trữ và nhân bản (replicate) zone.
Cung cấp tính năng EDNS0 (Extension Mechanisms for DNS) để cho phép
DNS Requestor quản bá những zone transfer packet có kích thước lớn hơn 512
byte.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
132
A.ROOT.SERVERS.NET 127.10.10.1
B.ROOT.SERVERS.NET 172.89.1.100
C.ROOT.SERVERS.NET 198.100.100.10
D.ROOT.SERVERS.NET 10.10.01.10
E.ROOT.SERVERS,NET 100.10.10.100
F.ROOT.SERVERS.NET 90.100.10.90
G.ROOT.SERVERS.NET 192.10.90.127
Thông thường một tổ chức được đăng ký một hay nhiều domain name. Sau đó,
mỗi tổ chức sẽ cài đặt một hay nhiều name server và duy trì cơ sở dữ liệu cho tất cả
những máy tính trong domain. Những name server của tổ chức được đăng ký trên
Internet. Một trong những name server này được biết như là Primary Name Server.
Nhiều Secondary Name Server được dùng để làm backup cho Primary Name Server.
Trong trường hợp Primary bị lỗi, Secondary được sử dụng để phân giải tên. Primary
Name Server có thể tạo ra những subdomain và ủy quyền những subdomain này cho
những Name Server khác.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
133
Root name server: Là máy chủ quản lý các name server ở mức top-level domain.
Khi có truy vấn về một tên miền nào đó thì Root Name Server phải cung cấp tên và
địa chỉ IP của name server quản lý top-level domain (Thực tế là hầu hết các root server
cũng chính là máy chủ quản lý top-level domain) và đến lượt các name server của top-
level domain cung cấp danh sách các name server có quyền trên các second-level
domain mà tên miền này thuộc vào. Cứ như thế đến khi nào tìm được máy quản lý tên
miền cần truy vấn.
Qua trên cho thấy vai trò rất quan trọng của root name server trong quá trình
phân giải tên miền. Nếu mọi root name server trên mạng Internet không liên lạc được
thì mọi yêu cầu phân giải đều không thực hiện được.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
134
Client sẽ gửi yêu cầu cần phân giải địa chỉ IP của máy tính có tên
girigiri.gbrmpa.gov.au đến name server cục bộ. Khi nhận yêu cầu từ Resolver, Name
Server cục bộ sẽ phân tích tên này và xét xem tên miền này có do mình quản lý hay
không. Nếu như tên miền do Server cục bộ quản lý, nó sẽ trả lời địa chỉ IP của tên máy
đó ngay cho Resolver. Ngược lại, server cục bộ sẽ truy vấn đến một Root Name
Server gần nhất mà nó biết được. Root Name Server sẽ trả lời địa chỉ IP của Name
Server quản lý miền au. Máy chủ name server cục bộ lại hỏi tiếp name server quản lý
miền au và được tham chiếu đến máy chủ quản lý miền gov.au. Máy chủ quản lý
gov.au chỉ dẫn máy name server cục bộ tham chiếu đến máy chủ quản lý miền
gbrmpa.gov.au. Cuối cùng máy name server cục bộ truy vấn máy chủ quản lý miền
gbrmpa.gov.au và nhận được câu trả lời.
Truy vấn đệ quy (recursive query) : khi name server nhận được truy vấn
dạng này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như
truy vấn này không phân giải được. Name server không thể tham chiếu truy vấn
đến một name server khác. Name server có thể gửi truy vấn dạng đệ quy hoặc
tương tác đến name server khác nhưng phải thực hiện cho đến khi nào có kết quả
mới thôi.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
135
CuuDuongThanCong.com https://fb.com/tailieudientucntt
136
Ánh xạ địa chỉ IP thành tên máy tính được dùng để diển dịch các tập tin log cho
dể đọc hơn. Nó còn dùng trong một số trường hợp chứng thực trên hệ thống UNIX
(kiểm tra các tập tin .rhost hay host.equiv). Trong không gian tên miền đã nói ở trên
dữ liệu -bao gồm cả địa chỉ IP- được lập chỉ mục theo tên miền. Do đó với một tên
miền đã cho việc tìm ra địa chỉ IP khá dể dàng.
Để có thể phân giải tên máy tính của một địa chỉ IP, trong không gian tên miền
người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mục theo địa chỉ IP. Phần
không gian này có tên miền là in-addr.arpa.
Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập phân của địa chỉ
IP. Ví dụ miền in-addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ 0
đến 255 của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256
subdomain con nữaứng với byte thứ hai. Cứ như thế và đến byte thứ tư có các bản ghi
cho biết tên miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng.
Lưu ý là khi người dùng gõ vào trình duyệt web một địa chỉ domain name bất kì
thì quá trình này sẽ dọc tên miền có địa chỉ IP theo thứ tự ngược.
Một miền gồm nhiều thực thể nhỏ hơn gọi là miền con (subdomain). Ví dụ, miền
ca bao gồm nhiều miền con như ab.ca, on.ca, qc.ca, ... Có thể ủy quyền một số miền
con cho những DNS Server khác quản lý. Những miền và miền con mà DNS Server
được quyền quản lý gọi là zone. Như vậy, một Zone có thể gồm một miền, một hay
nhiều miền con. Hình sau mô tả sự khác nhau giữa zone và domain.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
137
Stub zone : chứa bản sao cơ sở dữ liệu của zone nào đó, nó chỉ chứa chỉ
một vài RR.
5.4.3 Sự ủy quyền
Một trong các mục tiêu khi thiết kế hệ thống DNS là khả năng quản lý phân tán
thông qua cơ chế uỷ quyền (delegation). Trong một miền có thể tổ chức thành nhiều
miền con, mỗi miền con có thể được uỷ quyền cho một tổ chức khác và tổ chức đó
chịu trách nhiệm duy trì thông tin trong miền con này. Khi đó, miền cha chỉ cần một
con trỏ trỏ đến miền con này để tham chiếu khi có các truy vấn. Không phải một miền
CuuDuongThanCong.com https://fb.com/tailieudientucntt
138
luôn luôn tổ chức miền con và uỷ quyền toàn bộ cho các miền con này, có thể chỉ có
vài miền con được ủy quyền.
5.4.4 Forwarders
Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho các Name
Server khác đề phân giải các miền bên ngoài.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
139
Các bước DHCP Server đăng ký và cập nhật resource record cho Client.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
140
DNS zone lưu trữ trong trong Active Directory, nhờ cơ chế này mà dữ liệu
được bảo mật hơn.
Sử dụng cơ chế nhân bản của Active Directory để cập nhận và sao chép cơ
sở dữ liệu DNS.
Sử dụng nhiều master name server để quản lý tên miền thay vì sử dụng một
master name server.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
141
5.5 Tổng quan về dịch vụ DNS – Phân loại Domain name Server
Có nhiều loại Domain Name Server được tổ chức trên Internet. Sự phân loại này
tùy thuộc vào nhiệm vụ mà chúng sẽ đảm nhận. Tiếp theo sau đây mô tả những loại
Domain Name Server.
Mỗi miền phải có một Primary Name Server. Server này được đăng kí trên
Internet để quản lý miền. Mọi người trên Internet đều biết tên máy tình và địa chỉ IP
của Server này. Người quản trị DNS sẽ tổ chức những tập tin CSDL trên Primary
Name Server. Server này có nhiệm vụ phân giải tất cả các máy trong miền hay zone.
Mỗi miền có một Primary Name Server để quản lý CSDL của miền. Nếu như
Server này tạm ngưng hoạt động vì một lý do nào đó thì việc phân giải tên máy tính
thành địa chỉ IP và ngược lại xem như bị gián đoạn. Việc gián đoạn này làm ảnh
hưởng rất lớn đến những tổ chức có nhu cầu trao đổi thông tin ra ngoài Internet cao.
Nhằm khắc phục nhược điểm này, những nhà thiết kế đã đưa ra một Server dự phòng
gọi là Secondary (hay Slave) Name Server. Server này có nhiệm vụ sao lưu tất cả
những dữ liệu trên Primary Name Server và khi Primary Name Server bị gián đoạn thì
nó sẽ đảm nhận việc phân giải tên máy tính thành địa chỉ IP và ngược lại. Trong một
CuuDuongThanCong.com https://fb.com/tailieudientucntt
142
miền có thể có một hay nhiều Secondary Name Server. Theo một chu kỳ, Secondary
sẽ sao chép và cập nhật CSDL từ Primary Name Server. Tên và địa chỉ IP của
Secondary Name Server cũng được mọi người trên Internet biết đến.
Caching Name Server không có bất kỳ tập tin CSDL nào. Nó có chức năng phân
giải tên máy trên những mạng ở xa thông qua những Name Server khác. Nó lưu giữ lại
những tên máy đã được phân giải trước đó và được sử dụng lại những thông tin này
nhằm mục đích:
Làm tăng tốc độ phân giải bằng cách sử dụng cache.
Giảm bớt gánh nặng phân giải tên máy cho các Name Server.
Giảm việc lưu thông trên những mạng lớn.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
143
CuuDuongThanCong.com https://fb.com/tailieudientucntt
144
Trong mỗi tập tin CSDL phải có một và chỉ một record SOA (start of authority).
Record SOA chỉ ra rằng máy chủ Name Server là nơi cung cấp thông tin tin cậy từ dữ
liệu có trong zone. Cú pháp của record SOA.
Refresh: Chỉ ra khoảng thời gian máy chủ Secondary kiểm tra dữ liệu
zone trên máy Primary để cập nhật nếu cần. Trong ví dụ trên thì cứ mỗi 3 giờ
máy chủ Secondary sẽ liên lạc với máy chủ Primary để cập nhật dữ liệu nếu
có. Giá trị này thay đổi tuỳ theo tần suất thay đổi dữ liệu trong zone.
Retry: nếu máy chủ Secondary không kết nối được với máy chủ Primary
theo thời hạn mô tả trong refresh (ví dụ máy chủ Primary bị shutdown vào lúc
đó thì máy chủ Secondary phải tìm cách kết nối lại với máy chủ Primary theo
một chu kỳ thời gian mô tả trong retry. Thông thường giá trị này nhỏ hơn giá
trị refresh.
Expire: Nếu sau khoảng thời gian này mà máy chủ Secondary không kết
nối được với máy chủ Primary thì dữ liệu zone trên máy Secondary sẽ bị quá
CuuDuongThanCong.com https://fb.com/tailieudientucntt
145
hạn. Một khi dữ liệu trên Secondary bị quá hạn thì máy chủ này sẽ không trả
lời mọi truy vấn về zone này nữa. Giá trị expire này phải lớn hơn giá trị refresh
và giá trị retry.
TTL: Viết tắt của time to live. Giá trị này áp dụng cho mọi record trong
zone và được đính kèm trong thông tin trả lời một truy vấn. Mục đích của nó là
chỉ ra thời gian mà các máy chủ Name Server khác cache lại thông tin trả lời.
Việc cache thông tin trả lời giúp giảm lưu lượng truy vấn DNS trên mạng.
5.6.2 NS Record
Record tiếp theo cần có trong zone là NS (name server) record. Mỗi Name Server
cho zone sẽ có một NS record.
Cú pháp:
[domain_name] IN NS [DNS-Server_name]
Ví dụ:
Lhu.edu IN NS NS27.IT-4VN.COM
Lhu.edu IN NS NS28.IT-4VN.COM
Record A (Address) ánh xạ tên máy (hostname) vào địa chỉ IP. Record CNAME
(canonical name) tạo tên bí danh alias trỏ vào một tên canonical. Tên canonical là tên
host trong record A hoặc lại trỏ vào 1 tên canonical khác.
Cú pháp record A:
[Tên-máy-tính] IN A [địa-chỉ-IP]
Sv.lhu.edu. IN A 112.78.8.85
Sv1.lhu.edu. IN A 112.78.8.85
Ánh xạ tên máy (hostname) vào địa chỉ IP version 6. Riêng đối với IPv6 chỉ có
thể có trong các hệ điều hành sau: Windows Vista, Windows Server 2008, Windown7.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
146
Cung cấp cơ chế định vị dịch vụ, Active Directory sử dụng Resource Record này
để xác định Domain controllers, global catalog servers, Lightweight Directory Access
Protocol (LDAP) servers.
Để tránh việc gửi mail bị lặp lại, record MX có thêm 1 giá trị bổ sung ngoài tên
miền của mail exchanger là 1 số thứ tự tham chiếu. Đây là giá trị nguyên không dấu
16-bit (0-65535) chỉ ra thứ tự ưu tiên của các mail exchanger.
[domain-name] IN MX [priority][mail-host]
CuuDuongThanCong.com https://fb.com/tailieudientucntt
147
Chỉ ra máy chủ mail.lhu.edu là một mail exchanger cho miền lhu.edu với số thứ
tự tham chiếu 10. Trình chuyển thư mailer sẽ thử phân phát thư đến mail exchanger có
số thứ tự tham chiếu nhỏ nhất trước. Nếu không chuyển thư được thì mail exchanger
với giá trị kế sau sẽ được chọn. Trong trường hợp có nhiều mail exchanger có cùng số
tham chiếu thì mailer sẽ chọn ngẫu nhiên giữa chúng.
Cú pháp:
5.7 Cài đặt và cấu hình dịch vụ DNS trên Windows Server 2008
5.7.1 Cài đặt dịch vụ DNS
Có thể cài đặt dịch vụ DNS một cách tự động trong quá trình nâng cấp máy tính
lên Domain Controller. Nếu không muốn cài đặt dịch vụ DNS trong quá trình nâng
cấp. Cũng có thể cài đặt và cấu hình dịch vụ DNS sau. Các bước tiến hành cài đặt và
cấu hình dịch vụ DNS.
Cộng cụ quản lý trong Windows Server 2008 Click chọn vào Roles sau đó chọn
tiếp Add Roles để cài chương trình DNS.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
148
Hộp Select Server Roles đánh dấu chọn vào DNS Server sau đó Click chọn Next
để cài đặt dịch vụ này vào máy tính.
Hộp thoại DNS Server giữ nguyên mặc định Click chọn Next và chọn Install.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
149
Sau khi cài đặt thành côn dịch vụ DNS Server ta tiến hành tạo các Resourec và Records
như sau:
Bước 1: Tạo Forword Lookup Zone: Click chuột phải vào Forword Lookup Zone chọn
New Zone…
Hộp thoại Welcome to the New Zone Wizard xuất hiện Bạn Click chọn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
150
Hộp thoại Zone Type (Kiểu Zone cần tạo) Chọn Primary zone sau đó Click chọn Next .
CuuDuongThanCong.com https://fb.com/tailieudientucntt
151
Hộp thoại Zone Name nhập vào tên Domain vào ô Zone name tiếp tục Click Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
152
Hộp thoại Dynmic Update Clikc chọn vào Allow both nonseure and secure dynmic
updates lựa chọn này thì viêc thiết lập DNS sẽ được cả 2 là vừa chế đệ bảo mật vào chế độ
dynmisc updates đến Server, tiếp tục Click chọn Next để cấu hình.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
153
Hộp thoại Completing the New Zone Wizard Click chọn Finish.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
154
Tại cửa sỗ DNS Manager Click chuột phải vào Reverse Lookup Zone chọn new
Zone
Hộp thoại Welcome to the New Zone Wizard như thừơng lệ là Click Next.
Hộp thoại Zone Type đánh dấu check vào ô Primary Zone sau đó Click chọn Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
155
Hộp thoại Active Directory Replication Scpoe Chọn To all DNS Servers in this
doamain lhu.edu Click chọn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
156
Hộp thoại Reverse Lookup Zone Name Nhập vào Network ID Click chọn
Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
157
Hộp thoại Dynmic Update chọn Allow bith nonsecure and secure dynmisc
updates
CuuDuongThanCong.com https://fb.com/tailieudientucntt
158
Click chọn Finish để kết thúc quá trình tạo Revers Lookup Zone.
Tạo Cname Records: Click chuột phải Hộp thoại Alias name gõ tẹn Alias
vào Domain cần tạo chọn New Alias cần tạo sau đó Click chọn vào Browse…
(CNAME)… để trõ đến A Records
CuuDuongThanCong.com https://fb.com/tailieudientucntt
159
Chọn Borwse... trỏ đến Host A Click Tạo Alisa Name cho Mail thực hiện
chọn OK. tương tự như Alias cntt
Tạo MX Record
CuuDuongThanCong.com https://fb.com/tailieudientucntt
160
CuuDuongThanCong.com https://fb.com/tailieudientucntt
161
Tạo Record PTR Click chuột phải Hộp thoại New Resource Record
vào Reverse Lookup Zone vừa mới được nhập vài địa chỉ IP của máy chủ tại ô
tạo chọn new Poniter (PTR).. Host IP Address, đánh dấu check vào Ô
Allow any authenticated …
Sau đó Click chọn Browse... để trỏ Kết quả sau Click chọn Browse…
tới Host A (Record A) Click chọn OK
CuuDuongThanCong.com https://fb.com/tailieudientucntt
162
Các bước tạo miền con: Start => Hộp thoại New DNS Domain gõ tên
Administrator Tools => DNS sau khi mở Domain cần tạo vào ô Type the new DNS
dịch vụ DNS Click chọn vào Domain chọn domain name sau đó click chọn OK.
New Domain…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
163
Sự ủy quyền
Thực hiện ủy quyền miền Server3 cho miền lhu.edu được thực hiện như sau:
Click chuột phải vào Domain muốn ủy Hộp thoại Welcome to the New
quyền chọn New Delegation… Delegation Wizard Click chọn Next
Hộp thoại Delegated Domain name nhập Hộp Thoại Nase Server Click chọn
CuuDuongThanCong.com https://fb.com/tailieudientucntt
164
Hộp thoại New Name Server Record nhập tên domain cần chuyển và địa chỉ IP
vào sau đó Click chọn OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
165
Thông thường trong một domain ta có thể tổ chức một Primary Name
Server(PNS) và một Secondary Name Server(SNS), SNS đóng vai trò là máy dự
phòng, nó lưu trữ bảng sao dữ liệu từ máy PNS, một khi PNS bị sự cố thì ta có thể sử
dụng SNS thay cho máy PNS.
Click chuột vào Forward Lookup Zone chọn New Zone. Xuất hiện hộp thoại
Welcome to the new Zone => chọn Next
Hộp thoại Zone Name nhập tên Secondary Domain name vào sau đó Click chọn
Next và chọn Finish để kết thúc quá trình tạo Secondary zone.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
166
Trong công cụ quản trị DNS Click chuột phải vào Forward Lookup Zone chọn
New Zone. Torn hộp thoại Welcome to the New Zone Wizard chọn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
167
Trong hộp thoại Zone Type đánh dấu chọn vào ô Primary zone sau đó click chọn
Next
Hộp thoại Active Dircetory Zone Replication Scope đánh dấu chọn vào ô To all
domain controller in this domain (for Windows 2000 compatibility) => Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
168
Hộp thoại Dynamic Update đánh dấu chọn vào Allow bith nonsecure and secure
dynamic updates.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
169
Kết quả khi tạo mớ zone tích hộp với Active Directory
CuuDuongThanCong.com https://fb.com/tailieudientucntt
170
: Chỉ thị lỗi nghiêm trọng, đối với lỗi này ta cần theo xử lý nhanh chóng.
: Thông tin ghi nhận các sự kiện bình thường như shutdown, start,
stop, DNS
CuuDuongThanCong.com https://fb.com/tailieudientucntt
171
Windows NT là hệ điều hành máy chủ Windows Server đầu tiên của Microsoft.
Cũng giống như các hệ điều hành máy chủ Windows Server hiện đại, Windows NT
cũng hỗ trợ sử dụng miền. Tuy nhiên có những khác biệt đó là domain controller bên
trong mỗi miền mới có khả năng ghi. Domain controller này được biết đến với tên
Primary Domain Controller hay PDC, là một domain controller mà quản trị viên có thể
ghi thông tin lên đó. Sau đó Primary domain controller sẽ cập nhật cho các domain
controller khác bên trong miền. Các domain controller khác này được coi như một
backup domain controller và ở trạng thái chỉ đọc những gì mà chúng được nâng cấp
bởi primary domain controller.
Mặc dù mô hình miền này làm việc khá tốt nhưng nó cũng có nhược điểm của
nó. Đáng kể nhất trong số các nhược điểm đó là vấn đề với primary domain controller
có thể là tê liệt toàn bộ miền. Như đã biết, Microsoft đã giới thiệu một số thay đổi lớn
đối với mô hình miền khi họ phát hành Windows 2000 Server. Windows 2000 Server
có giới thiệu hai công nghệ mới cho các domain controller, cả hai đều vẫn được sử
dụng cho tới ngày nay đó là Active Directory và multi master domain hay còn được
gọi là mô hình đa miền chủ.
Dù vẫn có những vai trò của PDC và một số vai trò đặc biệt khác, nhưng hầu hết
các domain controller trong mô hình multi master domain đều có thể ghi. Điều đó có
nghĩa rằng một quản trị viên có thể sử dụng một nâng cấp cho bất cứ domain
controller nào và nâng cấp đó sẽ được nhân rộng cho tất cả các domain controller khác
trong miền.
Mô hình multi master domain được giữ lại trong Windows Server 2003 và vẫn
được sử dụng trong Windows Server 2008. Mặc dù vậy, Windows Server 2008 cũng
cho phép có thể tạo Read Only Domain Controller. RODC là các bộ điều khiển miền
(domain controller) mà các quản trị viên không thể cập nhật trực tiếp cơ sở dữ liệu
Active Directory. Chỉ có một cách để nâng cấp các domain controller là sử dụng một
CuuDuongThanCong.com https://fb.com/tailieudientucntt
172
sự thay đổi đối với domain controllers cho phép ghi, sau đó cho phép thay đổi đó nhân
rộng đến RODC.
Như những gì có thể thấy, RODC không phải là sự thiếu sót từ thời Windows
NT. Trong trường hợp này công nghệ thực sự mang tính chất chu kỳ! Rõ ràng
Microsoft sẽ không đưa trở lại RODC nếu họ không thấy có những ưu điểm trong việc
thực hiện đó. Tính năng Read only Domain Controller đã có từ rất lâu nhưng chỉ tồn
tại trong một khoảng thời gian nhất định. Thì cho tới khi hệ điều hành mạng Windows
Server 2008 xuất hiện trở lại cùng với tính năng Read only Domain Controller đã bị
quên lãnh thật ra đây là một ngụ ý mà Microsoft đặt Read only Domain Controller
trong Windows Server 2008. việc sử dụng RODC hoàn toàn không mang tính bắt
buộc. Nếu bạn muốn mọi domain controller trong toàn bộ forest đều có thể ghi thì bạn
hoàn toàn có thể thực hiện điều đó. Một thứ khác mà chúng tôi muốn đề cập nhanh là
mặc dù RODC rất giống với Backup Domain Controllers (BDC) được sử dụng trong
Windows NT nhưng chúng có một chút tiến hóa. Tuy nhiên bên cạnh đó cũng có một
số thứ mang tính duy nhất đối với RODC và sẽ chỉ ra những vấn đề này trong phần
tiếp.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
173
Vẫn trong hộp thoại Active Directory Sites and Services click chuột phải vào Sites
chọn New Site…
Hộp thoại New Object – Site nhập tên cần tạo vào ô Nam sau đó chọn OK ở dây
dùng tên là HN (Hà Nội).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
174
Hộp thoại cảnh báo xuất hiện Click chọn OK để tiếp tục.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
175
Trong công cụ Active Directory Sites and Services Site HN đã được tạo thành
công.
Mở rộng nhánh Sites click chuột phải vào Subnets chọn New => Subnet
Tại hộp thoại New Object – Subnet nhập dãy IP như hình dưới đây sau đó
chọn vào Site HCM tiếp tục chọn OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
176
Tương tự Site HCM là Site HN cũng nhập dãy IP như hình dưới sau đó click chọn
OK
CuuDuongThanCong.com https://fb.com/tailieudientucntt
177
Kiểm tra kết quả xem các Subnets của 2 Sites HCM và HN đã có đầy đủ.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
178
máy chủ DC01 (Server có thể nhìn thấy máy DC3 (Server3). Như mô hình mạng thì hai
máy DC01 và DC3 là 2 nhánh mạng khác nhau. Để mấy chủ DC01 và DC3 có thể thấy
nhau Ta có thể tiến hành cấu hình VPN Site to Site. Tuy nhiên để đơn giản hóa vấn đề
ta có thể cấu hình Router cho 2 nhánh mạng này. Đây là cách cấu hình đơn giản vào
yêu cầu phần cứng không cao.
Thực hiện nâng cấp máy chủ DC3 (Server3) lên Domain Controller như sau: Từ
Menu Start => Run. Gõ lệnh dcpromo sao đó chọn OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
179
Hộp thoại Choose a Deployment Configuration click chọn Existing forest sau đó
chọn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
180
Hộp thoại Network Credentials click chọn vào Set. Hệ thống yêu cầu xác định với
quyền hạnh là người quản trị có quyền cao nhất trong mạng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
181
Hộp thoại Network Credentials click chọn Next để tiếp tục cài đặt.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
182
Hộp thoại Select a Domain click chọn vào lhu.edu (foresr root domain) => sau đó
chọn Next. Hộp thoại Select a Site bỏ dấu chọn Use the site comesponds to the IP
address of this computer. Sau đó chọn HN (Hà Nội).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
183
Hộp thoại Additional Domain Controller Options đánh vào các dịch vụ DNS
Server, Golbal catalog, Read-only domain controller (RODC).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
184
Hộp thoại Specify the Password Replcation Policy click chọn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
185
Trong hộp thoại Select User or Group click chọn Find Now và Click chọn vào U3
và U4 sau đó chọn OK.
Hộp thoại Deledation of RODC Installation and Administration click chọn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
186
Hộp thoại Install from Media đánh dấu check vào Replicate data over network
from an existing domain controller sau đó chọn next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
187
Hộp thoại Source Domain Controller click chọn vào Use this specific domain
controller click chọn vào DC01.lhu.edu sau đó chọn Next.
Hộp thoại Location for Database, Log Files, and SYSVOL click chọn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
188
CuuDuongThanCong.com https://fb.com/tailieudientucntt
189
Hộp thoại Summary tổng hộp lại các quá trình Bạn vừa thiết lập muốn thay đổi
click Back hoặc không click chọn Next để tiếp tục.
Quá trình nâng cấp đang được tiến hành đánh dấu chọn vào Reboot on completion
hệ thống sẽ restart lại khi hoàng tất việc nâng cấp.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
190
Mở công cụ DNS trên DC3 kiểm tra Server3 có phải là Golbal catalog của Site
HN (Hà nội hay không.). Từ Menu Start => Administrative Tools => DNS Bung dấu
công tại Domain lhu.edu => _Sites => HCM => _tcp và HN => _tcp.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
191
Kiểm tra DC3 (Server3) bằng công cụ Active Driectory Sites and Services =>
Bung dấu “+ ” tại Servers => DC3 => kiểm tra kết quả.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
192
CuuDuongThanCong.com https://fb.com/tailieudientucntt
193
Hộp thoại Advanced Password Replcation Policy for DC3 U3 đã Login và được
Ủy quyền vào quản Lý Read Only Domain Controller.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
194
CuuDuongThanCong.com https://fb.com/tailieudientucntt
195
- Đánh dấu chọn vào Permisssions và cấp Hộp thoại DULIEU Properties đã được
quyền cho nhóm Everyone là Ful Control Sharing Click chọn Close để đóng cửa sổ
Click chọn Apply và OK này lại.
Bước tiếp theo mở công cụ Users and Computer Active Driector trong
Administrative Tools. Sau đó tạo User U1, click phải chuột U1 chọn Propertives chọn
Tab Profile tại mục Home fodler chọn connect to (chọn tên ổ đĩa) nhập đường nơi
chứa các Profile được \\DC01\DULIEU\%username% Click chọn Apply và OK
CuuDuongThanCong.com https://fb.com/tailieudientucntt
196
Hôp thoại Befor You Begin để nguyên mặc định click chọn Next .
CuuDuongThanCong.com https://fb.com/tailieudientucntt
197
Tại hộp thoại Select Server Roles đánh dấu chọn vào dịch vụ File Server Resource
Manager tiếp tục click chọn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
198
Hộp thoại Configure Storage Monitoring đánh dấu chọn vào Local Disk(C:) sau đó
click chọn Next để tiếp tục.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
199
Hộp thoại Set Report Options để mặc định nơi lưu báo cáo chọn Next
Hộp thoại Confirm Installation Selections chọn Install để cài đặt công cụ này
CuuDuongThanCong.com https://fb.com/tailieudientucntt
200
Kết quả sau khi cài đạt hoàn tất công cụ File Server Resource Manager.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
201
Tại hộp thoại Create Quota chọn Chọn đường dẫn như sau:
CuuDuongThanCong.com https://fb.com/tailieudientucntt
202
Vẫn trong hộp thoại này đánh dấu Tại cửa sổ Properties of C:\DULIEU
check vào ô Define custom quota tìm đến mục Space limit điền thông số để
properites… sau đó click chọn vào giới hạnh Quota cho User theo mặc định
là 100.000 MB và Click chọn OK.
Custom Properties…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
203
Tại hộp thoại Create Quota Click chọn Một hộp thoại mới xuất hiện Click
Create. chọn vào Save the custom quota without
creatting a template sau đó Click chọn
OK.
Xem lại kết quả vừa cấu hình ở các bước trên.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
204
Hộp thoại Create File Group Properties nhập tên File thiết lập vào ô File group
name và ô Files to include sau đó click chọn Add những file được thiết lập dưới đây là:
*.exe,*.pdf, *.png là những file có phần mở rộng mà User khi login vào Domain không
có quyền lưu dạng file này. Sau khi thiết lập Click chọn OK
CuuDuongThanCong.com https://fb.com/tailieudientucntt
205
Tạo File Screens Click chuột phải vào File Screens chonCreate File Screens…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
206
Tại mục Fiel screens path nhập vào Sau khi click chuột chọn custom một
đường dẫn đến Server và thư chia sẽ. Sau hộp thoại mới xuất hiện, tìm đến phân
đó click chuột vào mục custom chọn check vừa thiết lập ở trên và đánh dấu chọn vào
vào ô define custom file screens ô File Cam sau đó Click chọn OK.
properties..
Sau khi đã hoàn tất việc cấu hình Click Hộp thoại Save Custom Properties as
chọn Create a Templates chọn Vase the custom file
screnn withcut creating a template.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
207
Kết quả.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
208
Hộp thoại Wellcome to the Active Driectory Doamin Services Installation Wizard
đánh dấu chọn vào Use advanced mode installtion sau đó click chọn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
209
Trong hộp thoại Choose Deploymetn Configuration đánh dấu chọn Existing forest
và chọn Add a domain controller to an existing doamin sau đó click chọn Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
210
CuuDuongThanCong.com https://fb.com/tailieudientucntt
211
Hộp thoại Select a Domain click chọn vào lhu.edu (forest root doamin) => Next
Hộp thoại Select a Site click chọn vào Default-First-Site-Name sau đó chọn Next
Hộp thoại Additonal Doamin Controller Options đánh dấu chọn vào DNS Server và
gobal catalog sao đó click chọn Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
212
Xuất hiện một hộp thoại cảnh báo click chọn Yes. Sau đó Click Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
213
Hộp thoại Install from Media để mặc định cấu hình click chọn Next để tiếp tục.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
214
Hộp thoại Source Doamin Controller đánh dấu check vào Yse this specific domain
controller tiếp tục click chọn vào DC01.lhu.edu sau đó click chọn Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
215
Hộp thoại Localtion for Database, Log Files, and SYSVOl nếu muốn thay đổi nơi
lưu trữ cho dữ liệu thì Click chọn vào Browse… sau đó click chọn Next để tiếp tục.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
216
CuuDuongThanCong.com https://fb.com/tailieudientucntt
217
Hộp thoại Sumary tổng hộp lại những gì vừa thiết lập. Nếu muốn thay đổi click
chọn Back hoặc nếu đồng ý thì chọn Next. Quá trình cài đặt được tiến hành click check
vào Reboot on completion sau khi hoàn tất việc cài đạt hệ thống tự Restart lại.
Kiểm Tra:
Login vào DC02 (Server2) với quyền là Administrator. Từ menu Start =>
Administrative Tools => Active Directory Sites and Services. Mở rộng dấu “+” tại mục
Sites và Default-First-Site-Name => Servers => DC01 (Server1) Click chuột phải vào
NTDS Settings chọn Properties tại Tab General kiểm tra xem tại mục Golbal catalog
có được đánh dấu check.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
218
Cũng trong hộp thoại Active Directory Kiểm tra kết quả như hình dưới đây
Sites and Services Click chuột phải vào click chọn OK
NTDS Settings tại DC02 chọn properties.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
219
Hộp thoại Server Manager, Click chọn vào Roles chọn Add Roles.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
220
Hộp thoại Before You Begin click chọn Next để tiếp tục cài đặt.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
221
Hộp thoại Select Server Rolose đánh dấu chọn vào File Servers tiếp tục click Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
222
Hộp thoại Select Role Services đánh dấu chọn vào Distribu File System và DFS
Namspaces và DFS Replication sau đó click chọn Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
223
Hộp thoại Create a DFS Namespace chọn Create a namespace.. tiếp tục chọn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
224
Hộp thoại Confrim Installation Selections Click chọn Install để cài đặt công cụ này.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
225
Kết thúc việc cài đặt đã thành công Click chọn Close.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
226
Tiến hành cài Đặt Distributed File System trên máy DC02 (Server).
Từ menu Start => Administrator Tools => Server Manager. Công cụ Servers
Manager click chọn vào Add Roles.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
227
Hộp thoại Select Server Roles click chọn vào File Services sau đó click chọn Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
228
CuuDuongThanCong.com https://fb.com/tailieudientucntt
229
Hộp thoại Select Roles Services đánh dấu chọn vào các dịch vụ: Distributed File
System, DFS Namespace, DFS Replucation và Click Next
Hộp thoại Create a DFS Namespace click chọn vào Create a namespace later using
the DFS Management … sau đó click chọn Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
230
CuuDuongThanCong.com https://fb.com/tailieudientucntt
231
Quá trình cài đặt công cụ DFS đã thành công Click chọn Close.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
232
Hộp thoại Namespacde Server Click chọn Browse…để trỏ đến DC01 (Server1)
CuuDuongThanCong.com https://fb.com/tailieudientucntt
233
CuuDuongThanCong.com https://fb.com/tailieudientucntt
234
CuuDuongThanCong.com https://fb.com/tailieudientucntt
235
Hộp thoại Namespace Server Click chọn vào DC01 sau đó click chọn OK
CuuDuongThanCong.com https://fb.com/tailieudientucntt
236
Hôp thoại Namespace Name and Settings nhập tên thư mục cho việc cấu hình này
là DATA sau đó click chọn Edit Settings
Sau khi click chọn vào Edit Settings tại hộp thoại Edit Setings đánh dấu chọn vào ô
CuuDuongThanCong.com https://fb.com/tailieudientucntt
237
Hộp thoại permissions for DATA cấp cho nhóm Everyone quyền Full Control
CuuDuongThanCong.com https://fb.com/tailieudientucntt
238
CuuDuongThanCong.com https://fb.com/tailieudientucntt
239
Sau khi thiết lập hoàn tất tại hộp thoại Review Setings and Create Namespace click
chọn Create.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
240
Sau khi cài đặt hoàn tất tại cửa sổ DFS Mangement mở rộng nhánh Namespace và
Click chuột phải vào Domain vừa thiết lập ở trên chọn Add Namespace Server…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
241
Hộp thoại Select Computer click chọn Find Now sau đó Click chọn vào DC02 sau đó
click chọn OK để quay lại hộp thoại Add Namespace Server.
Trỡ lại hộp thoại Add Namespace Server Click chọn vào Edit Settings…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
242
Trong hộp thoại Edit Settings đánh dấu chọn vào Ô Use custum permissions sau đó
click chọn Custumzise…
Hộp thoại Permissions for DATA cấp quyền cho nhóm Everyone Full Controll sau
đó click chọn OK.
Quá trình thiết lập được xử lý. Sau khi việc xử lý thành công click chọn OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
243
CuuDuongThanCong.com https://fb.com/tailieudientucntt
244
Hộp thoại Name and Domain nhập tên vào mục Name of replication group sau đó
click chọn Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
245
CuuDuongThanCong.com https://fb.com/tailieudientucntt
246
CuuDuongThanCong.com https://fb.com/tailieudientucntt
247
Hộp thoại Topology Selection đánh dấu chọn vào Full mesh sau đó chọn next.
Hộp thoại Replication Group Schedule and Bandwith tại mục Bandwith chọn Full
CuuDuongThanCong.com https://fb.com/tailieudientucntt
248
Hộp thoại Priamry Member chọn máy chủ là DC01 sau đó chọn Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
249
Hộp thoại Foders to Replication chỉ định thư mục bạn click chọn và Add…
Hộp thoại Add Folder to Replication Click chọn Borwse.. vào trỏ cào C:\DFSRoots sau
CuuDuongThanCong.com https://fb.com/tailieudientucntt
250
đó click chọn OK
Hộp thoại Local Path of DFSRoots on Other Members click chọn Edit
CuuDuongThanCong.com https://fb.com/tailieudientucntt
251
Hộp thoại Review Settings and Create Replication Group cho phép xem kết quả vừa
cấu hình nếu đồng ý Click chọn Create. Nhấn close sau khi hoàn thành.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
252
CuuDuongThanCong.com https://fb.com/tailieudientucntt
253
Hộp thoại Server Manager click chọn vào Features => sau đó chọn tiếp Add
Features.
Hộp thoại Select Features đánh dấu chọn vào dịch vụ Windows Server Backup
Features vàWindows Power Sell bao gồm cả 2 công cụ phía dưới luôn.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
254
Hộp thoại Confirm Installation Selections click chọn install để tiến hành cài đặt.
Hộp thoại Installation Results hiển thị kết quả cài đặt thành công. Click chọn
Close để đống cửa sổ lại.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
255
CuuDuongThanCong.com https://fb.com/tailieudientucntt
256
Hộp thoại Windows Server Backup vào mục Action chọn Backup Schedule…
Tại hộp thại Backup Wizard click chọn Next để tiếp tục.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
257
Hộp thoại Select backup configuration đánh dấu chọn vào mục Full Server
(recommended ) nếu muốn backup toàn bộ dữ liệu trên Server lưu ý là việc lựa chọn
backup này sẽ rất nặng nề cho hệ thống vì vậy Mình chọn vào mục custom sau đó chọn
Next
Hộp thoại Select Backup Items đánh dấu chọn vào 2 ô đầu sau đó chọn Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
258
Hộp thoại Specify backup time quy định thời gian backup là 6:00PM có nghĩa là
cứ đến 6:00 chiều hệ thống backup sẽ tự hoạt động.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
259
Hộp thoại Select destination disk click chọn vào Show All Available Disks…
Tại hộp thoại Show All Available Disks đánh dấu chọn vào ô lưu dữ liệu cần
backup sau đó chọn OK.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
260
Hộp thoại Select Destination disk ổ đĩa được backup đã được chọn => click Next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
261
Sau khi click chọn Next và chọn Install quá trình thực hiện sẽ trong giây lác sau khi
thực hiện việc thiết lập xong click chọn Close.
Thực hiện backup ngay một bản dự phòng cho hệ thống. vào Menu Action, chọn
Backup Once…
CuuDuongThanCong.com https://fb.com/tailieudientucntt
262
Tại hộp thoại Bacup options giữ cấu hình mặc định chọn next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
263
CuuDuongThanCong.com https://fb.com/tailieudientucntt
264
Hộp thoại Backup Progress đang được xử lý thông thường nếu hệ thông mạng càng lớn
thì việc backup sẽ rất tôn thời gian.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
265
Hộp thoại Backup Progress hiển thị kết quả thành công.
Trở lại hộp thoại Windows Server Backup xem kết quả một các chi tiếp về ngày
thành giờ thực thi backup. Việc nhớ ngày thánh giờ backup hệt thống là rất quan torng
vì nó sẽ giúp ích rất nhiều trong công tác quản trị nếu công ty thường xuyên có những
nhân viên vào thực tập.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
266
CuuDuongThanCong.com https://fb.com/tailieudientucntt
267
Tại hộp thoại Getting started đánh dấu chọn vào This server (DC01) sau đó chọn Next
Hộp thoại Select backup date tự động nhận diện ngày thàng vừa backup => click Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
268
Hộp thoại recovery type để cấu hình mặc định chọn Next
CuuDuongThanCong.com https://fb.com/tailieudientucntt
269
Hộp thoại Select item to recover click chọn đến thư mục đã bị xóa mà muốn khôi phục
lại sau đó chọn next.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
270
Hộp thoại Specify recovery options để cấu hình mặc định chọn Next..
Hộp thoại Confirmation hiển thị thông tin dữ liệu trong mục đã bị xóa , click chọn vào
Recover để tiến hành lấy lại dữ liệu đã mất.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
271
Hộp thoại Recovery Progress dữ liệu đã được khôi phục thành công.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
272
Hộp thoại Windows Server Backup hiển thị kết quả Recovery thành công.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
273
Sau khi gõ lệnh trên hệ thống hỏi có muốn thực hiện việc Backup Active Dircetory
không ? gõ Y để đồng ý sau đó nhấn Enter.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
274
Sau khi nhập Enter ta thấy hệ thống bắt đầu thực thi backup dữ liệu từ ổ đĩa C sang
ỗ đĩa G theo câu lên vừa gõ ở trên.
Quá trình thực hiện việc backup này tùy thuộc vào hệ thống Active Dircetory như
thế nào thì thời gian sẽ theo như vậy. Thông thương phải mất hơn 30 phút mới hoành
tất việc backup cho một hệ thống mạng trên Windows Server 2008. Hình dưới đây
miểu tả quá trình tìm thấy dữ liệu cửa Active Dircetory trông ổ đĩa C.
Tại cửa sổ Command line hiển thị quá trình backup File của một hệ thống AD
CuuDuongThanCong.com https://fb.com/tailieudientucntt
275
Việc backup hệ thống sẽ được thục thi đén 99% đến khi có thông báo thành công
Sau khi đã Backup thành công. Để kiểm chứng việc backup hệ thống AD có thành
công hay không ta sẽ làm một việc đơn giản như sau: Từ menu Start => Administrative
Tools => Active Dirceroty Users and Computers. Click chọn vào OU HCM tiến hành
xóa 2 OU bên trong là KeToan và HanhChanh
CuuDuongThanCong.com https://fb.com/tailieudientucntt
276
CuuDuongThanCong.com https://fb.com/tailieudientucntt
277
Sau khi thực hiện lệnh trên thành công ta tiến hành làm thêm một lệnh để restart lại
hệ thống. Với lệnh shutdown -r –t 01 và Enter.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
278
Sau khi resitart lại hệ thống tiến hành Login vào với Username là : Administrator
và Password là mật khẩu lúc nâng cấp lên AD.
Việc tiếp theo là cần xác định là thời gian backup của hệ thống mạng. Thực thi lện
sau đây: wbadmin get versions
Sau khi thực hiện lệnh hệ thống sẽ đưa ra thông tin và Verstion trong thời gian
backup. Để chắc chắn nhất nên chọn một Version Backup sau cùng và được thực hiện
trong thời gian gần đây nhất.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
279
Sau khi đã xác định được Version mà cần Resotre lại ta tiến hành thực hiện câu
lệnh sau: wbadmin start systemstaterecovery –version: 07/26/2010-19:43. Giải thích:
- Lệnh wbadmin start systemstaterecovery: Gởi yêu cầu thực hiện khôi phục lại hệ
thống Active Dircetory.
- Lệnh –version: 07/26/2010-19:43 : Cậu lệnh trên sẽ lấy Version mà vừa Backup
trong thời gian mới đây. Với thông số như sau: 07: tháng 7, 26: ngày 26, 2010
năm và -19: 43 là 7 giờ 43 phút.
Sau khi gõ lệnh xong nhấn Enter để hệ thống được thực thi.
Gõ vào Y (Yes) khi hệ thống hỏi bạn có muốn thực hiện khôi phục lại hệ thống
AD.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
280
Quá trình khôi phục lại hệ thống đang được bắt đầu.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
281
Quá trình khội phục lại AD đã được thực hiện thành công.
Sau khi kết thúc quá trình Restore lại AD, Restart lại Hệ Điều Hành vì khi Restart
lại hệ thống sẽ Boot vào chế độ Restore Mode. Để hệ thống của Boot ở chế độ bình
thường thì ta tiến hành gỡ bỏ câu lệnh vừa thi hành lúc nảy.
Trong cửa sổ Command line gõ lệnh: bcdedit /deletevaluesafebooot sau đó nhấn
Enter để thực thị lệnh.
Tiến hành Restart lại hệ thống. Trong quá trình Boot và Hệ thống thông báo
Recovery đã được thực hiện thành công Nhấn Enter để chấp nhập.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
282
Để kiểm chứng xem việc Recovery có thực hiện thành công. Mở công cụ Active
Dirceroty User and Computers mở rộng nhánh OU HCM xem kết quả là 2 OU KeToan
và HanhChanh đã được khôi phục thành công.
CuuDuongThanCong.com https://fb.com/tailieudientucntt