BÀI TẬP THỰC HÀNH CHƯƠNG 5

I. MÔ HÌNH
Mô hình dùng 3 máy tính và 1 switch
- 01 Windows Server 2008
- 02 Windows 7
AD - DNS – PRINT SERVER

II. GIỚI THIỆU

Hệ thống mạng mô hình Workgroup (Chương 3) có ưu điểm là đơn giản, dễ triển khai nhưng
không thuận lợi cho công tác quản trị và khả năng bảo mật kém. Mô hình trên là mô hình domain
network với các ưu điểm:
- Quản lý tập chung mọi thành phần trong hệ thống
- Khả năng bảo mật cao
- Khả năng linh động cho mọi quy mô, dẽ dàng mở rộng
- Áp dụng cơ chế quản lý dựa trên chính sách (Policy-based Administration)
- Cho phép triển khai các ứng dụng (Application) tích hợp trong AD Database, do vậy tận
dụng được cơ chế Replication của AD.
III. CÁC BƯỚC TRIỂN KHAI
1. Nâng cấp domain controller trên máy Server với domain là DHXDMT.COM
2. Bổ sung thông số DNS Server và gia nhập máy trạm vào domain DHXDMT.COM
3. Xây dựng cấu trúc OU, phân bổ các user account và group account.
4. Tổ chức hệ thống và phân quyền quản trị (Delegate)
5. Tạo Home Directory cho Domain User
6. Tạo Roamming Profile cho Domain User
7. Cài đặt ứng dụng tự động, hàng loạt (Deploy Software)
8. Kiểm toán (Audit)
9. Ngăn chặn sử dụng ứng dụng (Software restriction)
10. Cài đặt máy in mạng trên hàng loạt máy trạm (Deploy Printer)
11. Sao lưu dữ liệu Domain Controller và phục hồi khi có sự cố.
IV. TRIỂN KHAI CHI TIẾT
1. Nâng cấp domain controller trên máy Server với domain là DHXDMT.COM
Cấu hình địa chỉ IP cho máy Server B2: Click phải Local Area Connection -
B1: nút Start → Control Panel → Network and Properties
Internet → Network and Sharing Center →
Change adapter settings

B3: Click đúp chuột vào dòng Internet Protocol Nâng cấp lên Domain Controller
1
Version 4 (TCP/Ipv4) – Khai báo như hình B4: nút Start → gõ dcpromo → Enter

B5: Chọn nút Next

B6: Chọn nút Next

B7: Chọn “Create a new domain in a new

forest” → nút Next

B8: gõ tên miền: DHXDMT.COM → Next

B9: Đợi hệ thống kiểm tra tên miền

2
B10: Mục Forest functional level: Chọn B11: nút Next
Windows Server 2008 R2 → Next

B12: nút Yes B13: nút Next

B14: Nhập mật khẩu và xác nhận lại

B15: Bảng tóm tắt, nút Next

B16: Chọn Reboot on completion (Khởi động

lại sau khi đã hoàn thành)

3
2. Bổ sung thông số DNS Server
2.1. Tạo Reverse lookup zone và pointer B3: Nút Next
B1: nút Start → Programs → Administrative
Tools → DNS
B2: Click phải Reverse Lookup Zones → New
Zone …

B4: Chọn Primary zone, và đảm bảo có dấu B5: nút Next
“Store the zone in Active Directory…

B6: nút Next B7: Mục Network ID: nhập 192.168.11 →

Next

B8: nút Next B9: nút Finish

4
B10: Click phải 11.168.192.in-addr.arp → New B11: Nhập giá trị host ID: 254 → Browse
Pointer (PTR)…

B12: Click đúp chuột vào mục TENSV B13: Click đúp vào Forward Lookup Zones

B14: Chọn tên miền DHXDMT.COM B15: chọn tensv (tên server) → OK

B16: Trở lại hộp thoại New Resource Record 2.2. Cấu hình Forwarder
→ OK B1: Click phải TENSV (SERVER) →
Properties
B2: Chọn thẻ Forwarders - nút Edit

5
B3: Chọn “Click here to add an IP…” → nhập B4: nút OK
192.168.11.254 → OK

Gia nhập máy trạm vào Domain B2: Click phải Local Area Connection -
Thiết lập địa chỉ IP cùng lớp với máy chủ Properties
domain.
B1: Start → Control Panel → Network and
Internet → Network and Sharing Center →
Change adapter settings
B3: Click đúp chuột vào dòng Internet Protocol B4: Nhập địa chỉ IP như hình bên dưới  OK
Version 4 (TCP/Ipv4) DNS Server: là địa chỉ của máy chủ DC

B5: Start  click phải chuột Computer  B6: click nút Change
Properties  click mục Change settings

6
B7: chọn mục Domain  nhập tên miền B8: Nhập tài khoản KT1 và mật khẩu  OK
(dhxdmt.com)  OK

3. Xây dựng cấu trúc Organizational Unit, phân bổ các user account và group account
B1: Start → Administrative Tools → Active B2: Click phải tên miên (DHXDMT.COM) →
Directory Users and Computers New → Organizational Unit

B3: Name: XAYDUNG → OK Tạo 2 group KETOAN, NHANSU trong OU

XAY DUNG
B4: Click phải chuột XAYDUNG → New →
Group

7
B3: đặt tên group name: KETOAN → OK B4: Tương tự, tạo thêm group NHANSU
Kết quả có 2 group KETOAN, NHANSU
trong OU XAYDUNG

Tạo các user KT1, KT2, NS1, NS2, Manager

B5: Click phải tên miên (DHXDMT.COM) → B6: Nhập thông tin như hình bên dưới cho tài
New → Users khoản KT1 → Next

B7: Password và Confirm password: 123 → Next B8: nhấn Finish

B9: Tương tự tạo các tài khoản còn lại KT1, KT2 và thêm vào group KETOAN, user
NS1, NS2 và thêm vào group NHANSU
B10: Click phải group KETOAN → Properties

8
B11: Thẻ Members → B12: nhập tài khoản KT1;
nút Add KT2 → nút Check Names
→ OK

Kết quả như hình bên phải.

B13: Tương tự, cho tài khoản NS1;NS2

4. Tổ chức hệ thống và phân quyền quản trị (Delegate)
B1: Click phải OU XAYDUNG → Delegate B2: nút Next
Control

B3: nút Add B4: nhập Manager → Check Names → OK

B5: nút Next B6: Chọn hết tất cả các quyền → Next

B7: nút Finish Các quyền

9

5. Tạo Home Directory cho Domain User (Tạo đĩa mạng ảo cho user)
B1: Trong đĩa C: tạo thư mục Home_Folder
B2: Click phải Home_Folder → Properties
 Create, delete, and mange user accounts
 Reset user passwords and force password
change at next logon.
 Read all user information
 Create, delete and manage groups
 Modify the membership of a group
 Manage Group Policy links
 Generate Resultant Set of Policy (Planning)
…
Thử đăng nhập với tài khoản Manager có tạo
được tài khoản user giống như Administrator
không?
B3: Thẻ Sharing → nút Advanced Sharing…

B4: chọn Share this folder → nút Permission B5: cột Allow chọn Full Control → OK →
OK

10
B6: Thẻ Security → nút Edit
Mở chương trình Active Directory Users and
Computers
B8: Start → Administrative Tools → Active
Directory Users and Computers
B9: Click phải vào KT1 → Properties
B11: Quan sát mục To: thành phần
%Username% đã đổi thành KT1 → OK
11
B7: Chọn Users → cột Allow chọn Modiy →
nút OK → nút Close
B10: Thẻ Profile → chọn Connect: nhập vào
To: \\192.168.11.254\Home_Folder\%Username%
nhấn nút Apply
Kiểm tra trên máy Client
B12: Đăng nhập với tài khoản KT1 (trên máy
client – Windows 7)
- Thử tạo file và nhập nội dung (theo các
quyền đã được cấp)
- Truy xuất để lấy tài liệu (chỉ phần quyền
Read)
6. Tạo Roamming Profile cho Domain User
B1: Tạo thư mục Profile trong đĩa C: B3: Mở Active Directory Users and Computers
B2: Share permission: Everyone với quyền Full B4: Mở OU DHXDMT. Click phải vào KT1 →
Control → NTFS permission: User Allow Properties
Modify
B5: Thẻ Profile → mục Profile path: nhập
\\192.168.11.254\Profile\%UserName% → Apply

B6: Quan sát thành phần %UserName% đã đổi
thành KT1 → OK
B7: Kiểm tra
- KT1 log on trên máy trạm 1 → Trên desktop
tạo thư mục HoSoKT1 → Log off
- KT1 log on trên máy trạm 2 → Trên desktop
quan sát thấy có thư mục HoSoKT1

7. Cài đặt ứng dụng tự động, hàng loạt (Deploy Software)

B1: Chép source phần mềm Office 2003 vào B3: Sang thẻ Security kiểm tra, mặc định group
trong ổ đĩa C: Users Allow Read & Execute.
B2: Share folder Office 2003

12
B4: Start → Administrative Tools → Active B6: Chọn OU XAYDUNG → OK
Directory Users and Computers
B5: Click chuột Computer → Click phải vào
PC client (TIEN-PC) → Move

B7: Kết quả máy Client đã vào OU Triển khai chính sách nhóm
XAYDUNG B8: Start → Administrative Tools → Group
Policy Management
B9: Click phải vào XAYDUNG → chọn “Create
a GPO in this domain, and …”

B10: Đặt tên Name: Deploy Office 2003

B11: Click phải lên Deploy Office 2003 →

Edit…

B12: Click phải vào Software installation →

New → Package…

13
B13: Nhập địa chỉ đến máy chủ B14: Chọn tập tin PRO11.MSI → Open
\\192.168.12.10 → mở Office 2003

B15: Chọn Assigned → OK B17: Start → gõ lệnh Gpupdate /force (cập nhật
chính sách mới)

B18: Restart client → log on bằng account KT

B16: Kết quả như hình bên phải
8. Kiểm toán (Audit)
B1: Tạo thư mục DHXDMT trong đĩa C: và tạo
2 thư mục NHANSU và KETOAN con của
DHXDMT.
→ Mở menu Start → quan sát thấy Office 2003
đã được cài.
B2: Sharing thư mục DHXDMT và quyền
(permissions) Allow Full Control

B3: Mở thư mục DHXDMT → Click phải

NHANSU → Properties

14
B4: Thẻ Security → chọn Advanced B5: Thẻ Auditing → chọn Edit

B6: nút Add… B7: Nhập everyone → Check Names → OK

B8: Cột Succssful chọn Full control để chọn tất B9: nút OK → OK → OK
cả → OK

15
B10: Start → Administrative Tools → Group B12: Click phải vào Audit object access →
Policy Management Properties
B11: Click phải vào Default Domain Policy →
Edit …

B14: Chọn Define these policy settings → chọn
Success và Failure → OK
B15: Trên máy Client → log on KT1 → truy
cập vào thư mục NHANSU → báo lỗi không
có quyền truy cập.
B16: Trên máy Server → Start →
Administrative Tools → Event Viewer
B17: Mở Windows Logs → Security → mở
các event Audit Failure (& event id 4656).
Nhận xét mô tả thông tin về tài khoản KT1 đã
truy cập vào thư mục NHANSU

9. Ngăn chặn sử dụng ứng dụng (Software restriction): Cấm mọi user thuộc OU
XAYDUNG không được dùng Internet Explorer, ngoại trừ user Manager
B1: Mở Group Policy Management B3: Đặt tên Name: Deny_IE → OK
B2: Click phải lên OU XAYDUNG → chọn “
Create a GPO in this domain, and Link it here”

B4: Click phải Deny_IE → Edit

16
B5: Click phải lên Software Restrition Policy B6: Click phải Additional Rules → New Hash
→ New Software Restriction Policies Rule…

B7: Chọn nút Browse… B8: Chọn đường dẫn C:\Program Files\ Internet
Explorer\iexplorer.exe → Open

B9: OK → Group Policy Management Editor B10: Chọn Deny_IE → thẻ Delegation → Chọn
nút Advanced

17
B11: Chọn nút Add… B12: Nhập Manager → Check Names → OK

B13: Chọn cột Deny Read → OK

B14: nút Yes

B15: Start – gõ lệnh Gpupdate /force

Kiểm tra: (Thực hiện trên máy Client)
+ Lon on KT1: Mở trình duyệt web?
+ Log on Manager: Mở trình duyệt web?
10. Cài đặt máy in mạng trên hàng loạt máy trạm (Deploy Printer):
Cài đặt máy in HP trên Server trước.
B1: Start → Devices and Printers → chọn Add B2: chọn Add a local printer
a printer

18
B3: nút Next B4: Next → Next … Finish

Triển khai Group Policy để cài máy in trên các tài khoản trong OU XAYDUNG
B1: Mở Group Policy Management B3: Đặt tên Name: Deploy Printer
B2: Click phải OU XAYDUNG → chọn
“Create a GPO in this domain, and Link it …”

B3: Click phải Deploy Printer → Edit

B4: Click phải lên Printers → New → Shared B5: Khai báo như hộp thoại
Printer Action: Create (tạo mới)
Share path: đường dẫn đến máy chủ DC

B6: Kiểm tra trên máy Client

+ Lon on KT → Start → Devices and Printers → Quan sát có máy in HP (on 192.168.12.10) đã
tự động connect về máy Client.
19
11. Sao lưu dữ liệu Domain Controller và phục hồi khi có sự cố
B1:

12. Cài đặt DHCP và phân phối địa chỉ IP cho Client
13. Trên client, cài đặt công cụ quản trị server
14.

20