TRƯỜNG CAO ĐẲNG CƠ ĐIỆN HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

$D:\Work\Adobe Design\Order\HCEM\LogoHCEM\LogoHCEM\HCEM logo (Blue-VI).png$

GIÁO TRÌNH

QUẢN TRỊ MÔI TRƯỜNG MẠNG

(Lưu hành nội bộ)

Hà Nội, năm 2018

MỤC LỤC

BÀI 1: TỔNG QUAN VỀ WINDOWS SERVER 2008 3

1. Tính năng vượt trội 3

2. Các phiên bản của Windows Server 2008 6

3. Tính năng trong Windows Server 2008 6

4. Cài đặt Windows Server 2008 10

BÀI 2: DỊCH VỤ ACTIVE DIRECTORY 14

1. Tổng quan về Active Directory 14

2. Cài đặt và cấu hình dịch vụ Active Directory 16

3. Triển khai Active Directory Forest và Domain Tree 31

BÀI 3: QUẢN TRỊ CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY 34

1. Quản trị tài khoản User , Group , Computer 34

2. Quản trị OU 41

3. Quản trị Profile User 43

4. Tạo các đối tượng bằng Command Line 50

BÀI 4: QUẢN TRỊ TÀI NGUYÊN CHIA SẺ 55

1. Tổng quan về quyền truy xuất tệp tin và thư mục 55

2. Shared Folder 57

3. NTFS Permission 68

4. Triển khai DFS 75

BÀI 5: TRIỂN KHAI CHÍNH SÁCH 80

1. Giới thiệu về Group Policy Object (GPO) 80

2. Ứng dụng các chính sách nhóm 80

3. Cấu hình các chính sách nhóm 82

4. Group Policy tác động đến Startup và Logon 86

5. Sự kế thừa 86

BÀI 6: QUẢN LÝ LƯU TRỮ VÀ BẢO MẬT DỮ LIỆU 88

1. Giới thiệu về lưu trữ dữ liệu 88

2. Sao lưu và phục hồi dữ liệu 91

3. Mã hóa dữ liệu bằng EFS 92

4. Thiết lập hạn ngạch 93

BÀI 7: GIÁM SÁT VÀ DUY TRÌ HOẠT ĐỘNG CỦA SERVER 97

1. Phương thức quản trị Server 97

2. Giám sát hoạt động của Server 97

3. Phát hiện và khắc phục sự cố 107

4. Sao lưu và phục hồi hệ thống 109

BÀI 1: TỔNG QUAN VỀ WINDOWS SERVER 2008

1. Tính năng vượt trội

Lịch sử phát triển:

* Hệ điều hành mạng Windows NT

Windows NT là hệ điều hành mạng cao cấp của hãng Microsoft. Phiên bản đầu có tên là Windows NT 3.1 phát hành năm 1993, và phiên bản server là Windows NT Advanced Server (trước đó là LAN Manager for NT). Năm 1994 phiên bản Windows NT Server và Windows NT Workstation version 3.5 được phát hành. Tiếp theo đó ra đời các bản version 3.51. Năm 1995, Windows NT Workstation và Windows NT Server version 4.0 ra đời.

Là hệ điều hành mạng đáp ứng tất cả các giao thức truyền thông phổ dụng nhất. Ngoài ra nó vừa cho phép giao lưu giữa các máy trong mạng, vừa cho phép truy nhập từ xa, cho phép truyền file v.v... Windows NT là hệ điều hành vừa đáp ứng cho mạng cục bộ (LAN) vừa đáp ứng cho mạng diện rộng (WAN) như Intranet, Internet.

Windows NT server hơn hẳn các hệ điều hành khác bởi tính mềm dẻo,đa dạng trong quản lý.

Nó vừa cho phép quản lý mạng theo mô hình mạng phân biệt (Clien/Server), vừa cho phép quản lý theo mô hình mạng ngang hàng (peer to peer). Cài đặt đơn giản, nhẹ nhàng và điều quan trọng nhất là nó tương thích với hầu như tất cả các hệ mạng.

Các cơ chế quản lý của Windows NT:

- Quản lý đối tượng (Object Manager): Tất cả tài nguyên của hệ điều hành được thực thi như các đối tượng. Một đối tượng là một đại diện trừu tượng của một tài nguyên. Nó mô tả trạng thái bên trong và các tham số của tài nguyên và tập hợp các phương thức (method) có thể được sử dụng để truy cập và điều khiển

đối tượng. Bằng cách xử lý toàn bộ tài nguyên như đối tượng Windows NT có thể thực hiện các phương thức giống nhau như: tạo đối tượng, bảo vệ đối tượng, giám sát việc sử dụng đối tượng (Client object) giám sát những tài nguyên được sử dụng bởi một đối tượng.

- Cơ chế bảo mật (SRM - Security Reference Monitor): Ðược sử dụng để thực hiện vấn đề an ninh trong hệ thống Windows NT. Các yêu cầu tạo một đối tượng phải được chuyển qua SRM để quyết định việc truy cập tài nguyên được cho phép hay không. SRM làm việc với hệ thống con bảo mật trong chế độ user. Hệ thống con này được sử dụng để xác nhận user login vào hệ thống Windows NT.

- Quản lý nhập / xuất (I/O Manager): Chịu trách nhiệm cho toàn bộ các chức năng nhập / xuất trong hệ điều hành Windows NT. I/O Manager liên lạc với trình điều khiển của các thiết bị khác nhau.

- I/O Manager: Sử dụng một kiến trúc lớp cho các trình điều khiển. Mỗi bộ phận điều khiển trong lớp này thực hiện một chức năng được xác định rõ. Phương pháp tiếp cận này cho phép một thành phần điều khiển được thay thế dễ dàng mà không ảnh hưởng phần còn lại của các bộ phận điều khiển.

* Windows Server 2000:

Đây là phiên bản thay thế cho Windows NT Server 4.0, nó được thiết kế cho người dùng là những doanh nghiệp lớn, hướng phục vụ cho các “mạng lớn”. Nó thừa hưởng lại tất cả những chức năng của Windows NT Server 4.0 và thêm vào đó là giao diện đồ họa thân thiện với người sử dụng.

Họ hệ điều hành Windows 2000 Server có 3 phiên bản chính là: Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server. Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từng loại dịch vụ.

Các đặc trưng của Windows 2000:

Những thay đổi quan trọng nhất so với NT cũ gồm có:

- Active Directory

- Hạ tầng kiến trúc nối mạng TCP/IP đã được cải tiến

- Những cơ sở hạ tầng bảo mật dễ co giãn hơn

- Việc chia sẻ dùng chung các tập tin trở lên mạnh mẽ hơn so với hệ thống tập tin phân tán (Distributed File System) và dịch vụ sao chép tập tin (File Replication Service)

- Không lệ thuộc cứng nhắc vào các mẫu tự ổ đĩa nữa nhờ các điểm nối (junction point) và các ổ đĩa gắn lên được (mountable drive)

- Việc lưu trữ dữ liệu trực tuyến mềm dẻo, linh động hơn nhờ có tính năng Removable Storage Manager.

* Windows Server 2003:

Windows Server 2003 có 4 phiên bản được sử dụng rộng rãi nhất là: Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition, Web Edition.

- Windows Server 2003 Web Edition: tối ưu dành cho các máy chủ web

- Windows Server 2003 Standard Edition: bản chuẩn dành cho các doanh nghiệp, các tổ chức nhỏ đến vừa.

- Windows Server 2003 Enterprise Edition: bản nâng cao dành cho các tổ chức, các doanh nghiệp vừa đến lớn.

- Windows Server 2003 Datacenter Edittion: bản dành riêng cho các tổ chức lớn, các tập đoàn ví dụ như IBM, DELL…

Những đặc điểm mới của Windows Server 2003:

- Khả năng kết chùm các Server để san sẻ tải (Network Load Balancing Clusters) và cài đặt nóng RAM (hot swap).

- Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểu được chính sách nhóm (group policy) được thiết lập trong WinXP, có bộ công cụ quản trị mạng đầy đủ các tính năng chạy trên WinXP.

- Tính năng cơ bản của Mail Server được tính hợp sẵn: đối với các công ty nhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử dụng dịch vụ POP3 và SMTP đã tích hợp sẵn vào Windows Server 2003 để làm một hệ thống mail đơn giản phục vụ cho công ty.

- Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (Mircosoft Database Engine) được cắt xén từ SQL Server 2000.

- NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003 này, nó cho phép các máy bên trong mạng nội bộ thực hiện các kết nối peer-to-peer đến các máy bên ngoài Internet, đặc biệt là các thông tin được truyền giữa các máy này có thể được mã hóa hoàn toàn.

- Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and Remote Access).

- Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa các gốc rừng với nhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn.

- Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps

- Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn

- Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một Server.

* Windows Server 2008:

Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắc hơn các phiên bản trước đây.

Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc bảo đảm tất cả người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từ mạng. Windows Server 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều hành và khả năng chuẩn đoán, cho phép các quản trị viên tăng được thời gian hỗ trợ cho các doanh nghiệp.

Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiện mạnh mẽ cho hệ điều hành cơ bản.

Cải thiện hệ điều hành cho máy chủ Windows.Thêm vào tính năng mới, Windows Server 2008 cung cấp nhiều cải thiệm tốt hơn cho hệ điều hành cơ bản so với hệ điều hành Windows Server 2003.

Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sự triển khai và hệ thống file.

Các tính năng được cải thiện mạnh mẽ so với phiên bản 2003:

+ An toàn bảo mật.

+ Truy cập ứng dụng từ xa.

+ Quản lý server tập trung.

+ Các công cụ giám sát hiệu năng và độ tin cậy.

+ Failover clustering và hệ thống file.

Hỗ trợ trong việc kiểm soát một cách tối ưu hạ tầng máy chủ, đồng thời tạo nên một môi trường máy chủ an toàn, tin cậy và hiệu quả hơn trước rất nhiều.

2. Các phiên bản của Windows Server 2008

- Windows Server 2008 Standard Edition

- Windows Server 2008 Enterprise Edition

- Windows Server 2008 Datacenter Edition

- Windows Web Server 2008

3. Tính năng trong Windows Server 2008

3.1. Công cụ quản trị Server Manager

Server Manager là một giao diện điều khiển được thiết kế để tổ chức và quản lý một server chạy hệ điều hành Windows Server 2008. Người quản trị có thể sử dụng Server Manager với những nhiều mục đích khác nhau.

- Quản lý đồng nhất trên một server

- Hiển thị trạng thái hiện tại của server

- Nhận ra các vấn đề gặp phải đối với các role đã đợc cài đặt một cách dễ dàng hơn

- Quản lý các role trên server, bao gồm việc thêm và xóa role

- Thêm và xóa bỏ các tính năng

- Chẩn đoán các dấu hiệu bất thường

- Cấu hình server: có 4 công cụ ( Task Scheduler, Windows Firewall, Services và WMI Control).

- Cấu hình sao lưu và lưu trữ: các công cụ giúp sao lưu và quản lý ổ đĩa là Windows Server Backup và Disk Management đều nằm trên Server Manager.

3.2. Windows Server Core

Server Core là một tính năng mới trong Windows Server 2008. Nó cho phép có thể cài đặt với mục đích hỗ trợ đặc biệt và cụ thể đối với một số role.

Tất cả các tương tác với Server Core được thông qua các dòng lệnh.

Server Core mang lại những lợi ích sau:

+ Giảm thiểu được phần mềm, vì thế việc sử dụng dung lượng ổ đĩa cũng được giảm. Chỉ tốn khoảng 1GB khi cài đặt.

+ Bởi vì giảm thiểu được phần mềm nên việc cập nhật cũng không nhiều.

+ Giảm thiểu tối đa những hành vi xâm nhập vào hệ thống thông qua các port được mở mặc định.

+ Dễ dàng quản lý.

Server Core không bao gồm tất cả các tính năng có sẵn trong những phiên bản cài đặt Server khác. Ví dụ như .NET Framework hoặc Internet Explorer.

3.3. PowerShell

PowerShell là một tập hợp lệnh. Nó kết nối những dòng lệnh shell với một ngôn ngữ script và thêm vào đó hơn 130 công cụ dòng lệnh(được gọi là cmdlets).Hiện tại, có thể sử dụng PowerShell trong:

+ Exchange Server

+ SQL Server

+ Terminal Services

+ Active Directory Domain Services.

+ Quản trị các dịch vụ, xử lý và registry.

Mặc định, Windows PowerShell chưa được cài đặt. Tuy nhiên có thể cài đặt nó một cách dễ dàng bằng cách sử dụng công cụ quản trị Server Manager và chọn Features / Add Features

3.4. Windows Deloyment Services

Windows Deployment Services được tích hợp trong Windows Server 2008 cho phép cài đặt hệ điều hành từ xa cho các máy client mà không cần phải cài đặt trực tiếp. WDS cho phép cài đặt từ xa thông qua Image lấy từ DVD cài đặt. Ngoài ra, WDS còn hỗ trợ tạo Image từ 1 máy tính đã cài đặt sẵn Windows và đầy đủ các ứng dụng khác.

Windows Deployment Serviece sử dụng định dạng Windows Image (WIM). Một cải tiến đặc biệt với WIM so với RIS là WIM có thể làm việc tốt với nhiều nền tảng phần cứng khác nhau.

3.5. Terminal Services

Terminal Services là một thành phần chính trên Windows Server 2008 cho phép user có thể truy cập vào server để sử dụng những phần mềm.

Terminal Services giúp người quản trị triển khai và bảo trì hệ thống phần mềm trong doanh nghiệp một cách hiệu quả. Người quản trị có thể cài đặt các chương trình phần mềm lên Terminal Server mà không cần cài đặt trên hệ thống máy client, vì thế việc cập nhật và bảo trì phần mềm trở nên dễ dàng hơn.

Terminal Services cung cấp 2 sự khác biệt cho người quản trị và người dùng cuối:

- Dành cho người quản trị: cho phép quản trị có thể kết nối từ xa hệ thống quản trị bằng việc sử dụng Remote Desktop Connection hoặc Remote Desktop.

- Dành cho người dùng cuối: cho phép người dùng cuối có thể chạy các chương trình từ Terminal Services server.

3.6. Network Access Protection

Network Access Protection (NAP) là một hệ thống chính sách thi hành (Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows Server 2008.

Cơ chế thực thi của NAP:

+ Kiểm tra tình trạng an toàn của client.

+ Giới hạn truy cập đối với các máy client không an toàn.

+ NAP sẽ cập nhật những thành phần cần thiết cho các máy client không an toàn, cho đến khi client đủ điều kiện an toàn.Cho phép client kết nối nếu client đã thỏa điều kiện.

+ NAP giúp bảo vệ hệ thống mạng từ các client.

+ NAP cung cấp bộ thư viên API (Application Programming Interface), cho phép các nhà quản trị lập trình nhằm tăng tính bảo mật cho mình

3.7. Read-Only Domain Controllers

Read-Only Domain Controller (RODC) là một kiểu Domain Controller mới trên Windows Server 2008.Với RODC, doanh nghiệp có thể dễ dàng triển khai các Domain Controller ở những nơi mà sự bảo mật không được đảm bảo về bảo mật. RODC là một phần dữ liệu của Active Directory Domain Services.

Vì RODC là một phần dữ liệu của ADDS nên nó lưu trữ mọi đối tượng, thuộc tính và các chính sách giống như domain controller, tuy nhiên mật khẩu thì bị ngoại trừ.

3.8. Công nghệ Failover Clustering

Clustering là công nghệ cho phép sử dụng hai hay nhiều server kết hợp với nhau để tạo thành một cụm server để tăng cường tính ổn định trong vận hành.Nếu server này ngưng hoạt động thì server khác trong cụm sẽ đảm nhận nhiệm vụ mà server ngưng hoạt động đó đang thực hiện nhằm mục đích hoạt động của hệ thống vẫn bình thường. Quá trình chuyển giao gọi là failover.

Những phiên bản sau hỗ trợ:

- Windows Server 2008 Enterprise

- Windows Server 2008 Datacenter

- Windows Server 2008 Itanium

3.9. Windows Firewall with Advance Security

Windows Firewall with Advance Security cho phép người quản trị có thể cấu hình đa dạng và nâng cao để tăng cường tính bảo mật cho hệ thống.

Windows Firewall with Advance Security có những điểm mới:

+ Kiểm soát chặt chẽ các kết nối vào và ra trên hệ thống (inbound và outbound)

+ IPsec được thay thế bằng khái niệm Connection Security Rule, giúp có thể kiểm soát và quản lý các chính sách, đồng thời giám sát trên firewall. Kết hợp với Active Directory.

+ Hỗ trợ đầy đủ IPv6.

4. Cài đặt Windows Server 2008

* Yêu cầu phần cứng:

Windows Server 2008 hỗ trợ cả 2 cấu trúc vi xử lý 32-bit và 64-bit. Tuy nhiên, phiên bản mới nhất là Windows Server 2008 R2, Windows Midmarket Server và Windows Small Business với những tính năng đa dịch vụ, các phiên bản này chỉ hỗ trợ cấu trúc vi xử lý 64-bit. RAM hỗ trợ tối đa cho hệ thống 32-bit là 4GB khi chạy phiên bản Standard Edition và 64GB khi chạy phiên bản Enterprise và Datacenter. Nếu chạy hệ thống 64-bit, bộ nhớ RAM có thể hỗ trợ lên dến 32GB và 2TB RAM cho phiên bản Enterprise và Datacenter. Thêm vào đó, Windows Server 2008 hỗ trợ hệ thống Itanium, tuy nhiên chip xử lí Intel Itanium 2 nhân là cần thiết.

Phần cứng	Yêu cầu tối thiểu	Đề nghị
Bộ vi xử lý	1 GHz (x86); 1,4 GHz (x64)	2 GHz hoặc lớn hơn
RAM	512 MB	2 GB
Dung lượng trống	15GB	40 GB

* Cài đặt hệ điều hành

Cho đĩa cài đặt Windows Server 2008 vào ổ và khởi động máy chủ từ đĩa cài.
Khi được yêu cầu chọn ngôn ngữ, thời gian, đơn vị tiền tệ và thông tin bàn phím, hãy đưa ra lựa chọn thích hợp rồi click Next.

$D:\Desktop\hihi.jpg$
Thiết lập ngôn ngữ, thời gian và đơn vị tiền tệ, thông tin bàn phím

Tùy chọn Install Now xuất hiện. Nếu chưa chắc chắn về yêu cầu phần cứng, có thể click vào liên kết What to Know Before Installing Windows để biết thêm chi tiết.
Nhập khóa kích hoạt sản phẩm (product key) và đánh dấu kiểm vào ô Automatically Activate Windows When I’m Online. Click Next.

$D:\Desktop\hihi.jpg$
Nhập khóa kích hoạt sản phẩm hợp lệ

Nếu chưa nhập khóa sản phẩm ở mục trước, bây giờ sẽ phải lựa chọn ấn bản Windows Server 2008 sắp cài đặt và đánh dấu kiểm vào ô I Have Selected an Edition of Windows That I Purchased. Nếu đã nhập khóa sản phẩm hợp lệ, trình cài đặt sẽ tự động nhận diện được ấn bản Windows Server 2008 sắp cài đặt. Click Next.

$D:\Desktop\hihi.jpg$
Lựa chọn bản Windows Server 2008 để cài đặt

Đọc các điều khoản quy định và chấp nhận bằng cách đánh dấu ô kiểm. Click Next.
Ở cửa sổ mới xuất hiện, do khởi động máy từ đĩa cài nên tùy chọn Upgrade (nâng cấp) đã bị vô hiệu. Click Custom (Advanced).

$D:\Desktop\hihi.jpg$
Tùy chọn Upgrade đã bị vô hiệu khi khởi động máy từ đĩa cài

Lưu ý: Nếu muốn tiến hành cài đặt nâng cấp, cần chạy trình cài đặt trong môi trường Windows.

Trên cửa sổ tiếp theo, cần lựa chọn vị trí cài đặt Windows. Nếu có driver của các thiết bị lưu trữ bên thứ ba, cần cài đặt ngay bằng cách click liên kết Load Driver.

$D:\Desktop\hihi.jpg$
Tải driver của các thiết bị lưu trữ bên thứ ba và chọn nơi cài đặt

Lúc này, Windows sẽ bắt đầu được cài đặt vào hệ thống. Có thể thấy từng bước tiến trình hoàn tất thể hiện bằng phần trăm. Trong quá trình cài đặt, máy chủ sẽ phải khởi động lại nhiều lần. Trình cài đặt sẽ hoàn thành những tác vụ sau đây:

- Sao chép tệp tin

- Mở rộng tệp tin

- Cài đặt chức năng

- Cài đặt cập nhật

- Hoàn thành

Khi quá trình cài đặt hoàn tất, hãy thay đổi mật khẩu tài khoản quản trị administrator trước khi đăng nhập. Sau khi mật khẩu được thay đổi và đã đăng nhập vào hệ điều hành, như vậy là đã xong phần 1 của việc cài đặt.

BÀI 2: DỊCH VỤ ACTIVE DIRECTORY

1. Tổng quan về Active Directory

1.1. Giới thiệu

AD (Active Directory) là dịch vụ thư mục chứa các thông tin về các tài nguyên trên mạng, có thể mở rộng và có khả năng tự điều chỉnh cho phép bạn quản lý tài nguyên mạng hiệu quả. Để có thể làm việc tốt với Active Directory, chúng ta sẽ tìm hiểu khái quát về Active Directory, sau đó khảo sát các thành phần của dịch vụ này.

Các đối tượng AD bao gồm dữ liệu của người dùng (user data), máy in(printers), máy chủ (servers), cơ sở dữ liệu (databases), các nhóm người dùng (groups), các máy tính (computers), và các chính sách bảo mật (security policies).

Ngoài ra một khái niệm mới được sử dụng là container (tạm dịch là tập đối tượng). Ví dụ Domain là một tập đối tượng chứa thông tin người dùng, thông tin các máy trên mạng, và chứa các đối tượng khác.

1.2. Chức năng của Active Directory

- Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính.

- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng).

- Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng

- Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa…

- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ.

1.3. Directory Services

1.3.1. Giới thiệu Directory Services

Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trong NTDS.DIT và các chương trình quản lý, khai thác tập tin này. Dịch vụ danh bạ là một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống Active Directory. Một hệ thống với những tính năng vượt trội của Microsoft.

1.3.2. Các thành phần trong Directory Services

Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh bạ là gì? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số điện thoại. Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc tính liên quan đến các đối tượng đó.

a. Object (đối tượng)

Trong hệ thống cơ sở dữ liệu, đối tượng bao gồm các máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, … Đối tượng chính là thành tố căn bản nhất của dịch vụ danh bạ.

b. Attribute (thuộc tính)

Một thuộc tính mô tả một đối tượng. Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng mạng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên, các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau. Lấy ví dụ như một máy in và một máy trạm cả hai đều có một thuộc tính là địa chỉ IP.

c. Schema (cấu trúc tổ chức)

Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đối tượng nào đó. Ví dụ, cho rằng tất cả các đối tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại PDL và tốc độ. Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng “máy in”. Schema có đặc tính là tuỳ biến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi được. Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ Active Directory.

d. Container (vật chứa)

Vật chứa tương tự với khái niệm thư mục trong Windows. Một thư mục có thể chứa các tập tin và các thư mục khác. Trong Active Directory, một vật chứa có thể chứa các đối tượng và các vật chứa khác. Vật chứa cũng có các thuộc tính như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó như đối tượng. Có ba loại vật chứa là:

- Domain: khái niệm này được trình bày chi tiết ở phần sau.

- Site: một site là một vị trí. Site được dùng để phân biệt giữa các vị trí cục bộ và các vị trí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco, một chi nhánh đặt ở Denver và một văn phòng đại diện đặt ở Portland kết nối về tổng hành dinh bằng Dialup Networking. Như vậy hệ thống mạng này có ba site.

- OU (Organizational Unit): là một loại vật chứa mà bạn có thể đưa vào đó người dùng, nhóm, máy tính và những OU khác. Một OU không thể chứa các đối tượng nằm trong domain khác. Nhờ việc một OU có thể chứa các OU khác, bạn có thể xây dựng một mô hình thứ bậc của các vật chứa để mô hình hoá cấu trúc của một tổ chức bên trong một domain. Bạn nên sử dụng OU để giảm thiểu số lượng domain cần phải thiết lập trên hệ thống.

e. Global Catalog

- Dịch vụ Global Catalog dùng để xác định vị trí của một đối tượng mà người dùng được cấp quyền truy cập. Việc tìm kiếm được thực hiện xa hơn những gì đã có trong Windows NT và không chỉ có thể định vị được đối tượng bằng tên mà có thể bằng cả những thuộc tính của đối tượng.

- Giả sử bạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn bạn sẽ không dùng một máy in HP Laserjet 4L. Bạn sẽ phải tìm một máy in chuyên dụng, in với tốc độ 100ppm và có khả năng đóng tài liệu thành quyển. Nhờ Global Catalog, bạn tìm kiếm trên mạng một máy in với các thuộc tính như vậy và tìm thấy được một máy Xerox Docutech 6135. Bạn có thể cài đặt driver cho máy in đó và gửi print job đến máy in. Nhưng nếu bạn ở Portland và máy in thì ở Seattle thì sao? Global Catalog sẽ cung cấp thông tin này và bạn có thể gửi email cho chủ nhân của máy in, nhờ họ in giùm.

- Một ví dụ khác, giả sử bạn nhận được một thư thoại từ một người tên Betty Doe ở bộ phận kế toán. Đoạn thư thoại của cô ta bị cắt xén và bạn không thể biết được số điện thoại của cô ta. Bạn có thể dùng Global Catalog để tìm thông tin về cô ta nhờ tên, và nhờ đó bạn có được số điện thoại của cô ta.

- Khi một đối tượng được tạo mới trong Active Directory, đối tượng được gán một con số phân biệt gọi là GUID (Global Unique Identifier). GUID của một đối tượng luôn luôn cố định cho dù bạn có di chuyển đối tượng đi đến khu vực khác.

2. Cài đặt và cấu hình dịch vụ Active Directory

2.1. Nâng cấp Server lên Domain Controller

* Giới thiệu

Một khái niệm không thay đổi từ Windows NT 4.0 là domain. Một domain vẫn còn là trung tâm của mạng Windows 2000 và Windows 2003 cùng và Windows Server 2008, tuy nhiên lại được thiết lập khác đi. Các máy điều khiển vùng (domain controller – DC) không còn phân biệt là PDC (Primary Domain Controller) hoặc là BDC (Backup Domain Controller). Bây giờ, đơn giản chỉ còn là DC. Theo mặc định, tất cả các máy Windows Server 2008 khi mới cài đặt đều là Server độc lập (standalone server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp một máy không phải là DC (Server Stand-alone) thành một máy DC và ngược lại giáng cấp một máy DC thành một Server bình thường.

* Chuẩn bị các bước cài đặt

Các bước nâng cấp lên Domain Controller như sau: Khai báo các thông số về địa chỉ IP cho máy cần nâng cấp trong trường hộp này Chúnh ta sẽ tiến hành nâng cấp máy Server1 chạy Windows Server 2008:

Tùy chỉnh lại thống số IP theo mô hình mạng ở trên đưa ra: Click chuột phải vào Icon Network trên Deskop chon Properties / Click vào Manager network

connections:

$D:\Desktop\hihi.jpg$

Click chọn Internet Potocol version 4 (TCP/IP v4) sau đó Click chọn Properties điều chỉ thông số như hình dưới đây: Chú ý là địa chỉ của máy Server mà Bạn muốn nâng cấp có Perferred DNS phải giống với địa chỉ IP của máy cần nâng cấp.

$D:\Desktop\hihi.jpg$

Từ Menu Start / Run gõ lệnh dcpromo để tiến hành nâng cấp lên Domain Controller

$D:\Desktop\hihi.jpg$

Hộp thoại Wellcome to Active Directory Domain Serviec Installation Wizard xuất hiện Bạn đánh dấu check vào ô Use advanced mode installation sau đó Click Next đễ tiếp tục chương trình dppromo

$D:\Desktop\hihi.jpg$

Hộp thoại Operting System Compatibility tiếp tục Click Next

$D:\Desktop\hihi.jpg$

Đánh dấu check vào ô Create a new domain in a new forest đễ tạo mới một domain trong một rừng mới sau đó Click Next đễ tiếp tục.

$D:\Desktop\hihi.jpg$

Hộp thoại Name the Root Domain Bạn nhập vào ô FQDN of the forest root domain nhập vào tên Domain cần tạo sau đó Click Next.

$D:\Desktop\hihi.jpg$

Hộp thoại Domain NetBIOS Name giữ nguyên mặt định Click Next.

$D:\Desktop\hihi.jpg$

Hộp thoại Set Forest Function Level chọn Windown Server 2008 để sữ dụng hết những chức năng mới trong Windows Server 2008, sau đó Click Next.

$D:\Desktop\hihi.jpg$

Hộp thoại Additioal Domain Controller Options Bạn đánh dấu check vào Ô DNS server nếu Bạn muốn chương trình DNS tự dộng được cài đặt trong quá trình nâng cấp. Ở đây mình khách chọn và dịch vụ DNS sẽ được cài đặt và cấu hình sau.

$D:\Desktop\hihi.jpg$

Hộp thoại Location for Database, Log Files, and SYSVOL chỉ định nơi lưu trữ cho Database, nơi lưu trữ cho tập tin Log /files và SYSVOL. Nếu Bạn là một IT và đây là việc Bạn đang cấu hình thì Hãy chọn nơi lưu trữ vào vị trí khác để dữ liệu được an toàn.

$D:\Desktop\hihi.jpg$

Hộp thoại Direcroty Serviecs Restore Administrator Password Bạn nhập Password vào ô bên dưới và Lưu ý là phải nhớ thật kỹ Password này. Sau đó Click Next.

$D:\Desktop\hihi.jpg$

Hộp thoại Summary tổng hộp lại quá trình Bạn vừa thiết lập nếu muốn thay đổi thì bạn Click Back, chấp nhập thì Click Next đễ tiếp tục cài đặt.

$D:\Desktop\hihi.jpg$

Quá trình nâng cấp lên Domain Controller đang được tiến hành sau khi kết thúc quá trình nâng cấp lên Domain Controller thì hệ thống tự Restart nếu Bạn click chọn vào ô Reboot on completion.

$D:\Desktop\hihi.jpg$

2.2. Các bước gia nhập một máy tram và Domain

* Giới thiệu

Một máy trạm gia nhập vào một domain thực sự là việc tạo ra một mối quan hệ tin cậy (trust relationship) giữa máy trạm đó với các máy Domain Controller trong vùng. Sau khi đã thiết lập quan hệ tin cậy thì việc chứng thực người dùng logon vào mạng trên máy trạm này sẽ do các máy điều khiển vùng đảm nhiệm.

Nhưng chú ý việc gia nhập một máy trạm vào miền phải có sự đồng ý của người quản trị mạng cấp miền và quản trị viên cục bộ trên máy trạm đó. Nói cách khác khi bạn muốn gia nhập một máy trạm vào miền, bạn phải đăng nhập cục bộ vào máy trạm với vai trò là administrator, sau đó gia nhập vào miền, hệ thống sẽ yêu cầu bạn xác thực bằng một tài khoản người dùng cấp miền có quyền Add Workstation to Domain (bạn có thể dùng trực tiếp tài khoản administrator cấp miền).

* Các bước gia nhập

Sau khi nâng cấp Server1 lên Domain Controller. Tiếp theo sau là Zone một máy trạm vào Domain trong phần này thực hiện trên Server2.

Login vào Server2 với Username là Administrator thực đội gian nhập một máy trạm vào Domain như sau:

Click chuột phải vào Icon Network trên Desktop chọn Properties sau đó Click chọn tiếp vào Manager network connections.

$D:\Desktop\hihi.jpg$

Click chọn Internet Protocol Version 4 (TCP/IPv4)

$D:\Desktop\hihi.jpg$

Bước tiếp theo trở lại màn hình Desktop Click chuột phải vào Icon Computer chọn Properties tiếp tực Click chọn Change settings.

$D:\Desktop\hihi.jpg$

Trong hộp thoại System Properties tiếp tục Click chọn Change…

$D:\Desktop\hihi.jpg$

Hộp thoại Computer name/Domain Changes, Bạn đánh cấu chọn vào ô Domain vào nhập tên Domain của máy Domain Controller vào sau đó Click chọn OK.

$D:\Desktop\hihi.jpg$

Hộp thoại Windows Security yêu cầu Bạn cần có một Username vào Password của người quản trị viên cấp miền. Bạn nhập vào Administrator là tài khoảng quản trị cho Domain qtm.vn.

$D:\Desktop\hihi.jpg$

Hộp thoại Computer Name/Domain Changes xuất hiện lời chào mừng

$D:\Desktop\hihi.jpg$

Sau khi máy Server2 đã gia nhập thành công hệ thống yêu cầu Restart lại Server2

$D:\Desktop\hihi.jpg$

3. Triển khai Active Directory Forest và Domain Tree

* Tạo Trust Relationships

Trust Relationship là một liên kết luận lý được thiết lập giữa các hệ thống Domain, giúp cho cơ chế chứng thực giữa các hệ thống Domain có thể được thừa hưởng lẫn nhau. Trust Relationship giải quyết bài toán “single sign-on” – logon chứng thực một lần duy nhất cho tất cả mọi hoạt động trên các Domain, dịch vụ triển khai trên 1 Domain có thể được truy cập từ user thuộc Domain khác.

Trong một trust relationship cần phải có 2 Domain. Domain được tin tưởng gọi là Trusted Domain, còn Domain tin tưởng Domain kia gọi là Trusting Domain. Cơ chế Trust Relationship giúp đảm bảo các đối tượng ( user, ứng dụng hay chương trình ) được tạo ra trên một Trusted Domain có thể được chứng thực đăng nhập hay truy cập tài nguyen, dịch vụ trên Trusting Domain. Tuy nhiên, trên hệ thống Windows hỗ trợ đến 6 loại trust relationship với các đặc tính và ứng dụng khác nhau.

$D:\Desktop\hihi.jpg$

Mô hình Trust Relationships

Các loại Trust:

- Tree/root trust: Hệ thống tự thiết lập khi ta đưa thêm một tree root domain vào trong forest có sẵn.

- Parent/child trust: Hệ thống tự thiết lập khi ta đưa thêm một child domain vào trong một tree có sẵn.

- Shortcut trust: Thiết lập giữa hai domain trong cùng một forest đẻ giảm bớt các bước chứng thực cho đối tượng. Giám sát các bước sử dụng trong quá trình chứng thực bằng giao thức Kerberos.

- Realm trust: Thiết lập giữa một hệ thống không sử dụng hệ điều hành Windows và hệ thống Domain Windows 2008. Điều kiện là hệ thống phải có giao thức chứng thực hỗ trợ tương thích với giao thức Kerberos cua Windows 2008.

- External trust: Thiết lập để liên kết 2 Domain thuộc 2 Forest khác nhau để giảm bớt các bước chứng thực.

- Forest trust: Thiết lập giữa 2 forest, bắt đầu hỗ trợ từ Windows 2008, đây là phương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc Domain của cả 2 forest.

Trusted Domain Object:

- Đối tượng Domain được tin tưởng.

- Đại diện một vài mối quan hệ tin cậy trong phân vùng Domain.

- Lưu trữ thông tin của loại trust:

+ Domain tree names.

+ Service principal name (SPN) suffixes.

+ Security ID (SID) namespace.

Cách Trust làm viêc trong một Forest:

$D:\Desktop\hihi.jpg$

Mô hình cách làm việc của Trust trong 1 Forest

Cách Trust làm việc giữa các Forest:

$D:\Desktop\hihi.jpg$

Mô hình cách làm việc của Trust giữa các Forest

BÀI 3: QUẢN TRỊ CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY

1. Quản trị tài khoản User , Group , Computer

1.1. Giới thiệu về User Account:

Người sử dụng cần truy cập các tài nguyên khác nhau trên máy tính bất kì trong mạng. User acconut được tạo ra để xác nhận người sử dụng và cấp cho họ các thao tác với các tài nguyên trên mạng mà họ có quyền. Một user account chứa các user name và password cho phép user có thể đăng nhập vào một domain hay hay một máy tính từ xa bất kì nào. Bất cứ người sử dụng mạng thông thường nào nên có một user account. Windows 2008 server hỗ trợ ba loại user account: Local User Account, Domain User Account và Built-in User Account.

* Local User Account (User Account cục bộ):

Với một user account cục bộ, người dùng chỉ có thể đăng nhập vào máy xác định, nơi mà user account đó được tạo ra. User chỉ có thể truy cập được những tài nguyên có trên máy tính đó. Một local user account được tạo ra trong từng cơ sở dữ liệu bảo mật của từng máy cục bộ.

* Domain User Account (User account trong Domain):

Với Domain user account, người sử dụng có thể đăng nhập vào một domain và có thể truy cập nhiều tài nguyên có mặt tại bất kì nơi nào trên mạng. Một thẻ truy cậo được tạo ra mà xác nhận người dùng sử dụng và các thiết lập bảo mật của user này khi người sử dụng cung cấp thông tin đăng nhập(username và password). Thẻ truy cập được cung cấp bởi windows 2008 server sẽ tồn tại lần cuối cùng cho đến khi người sử dụng đăng nhập(logon) và mất đi khi người sử dụng huỷ đăng nhập(log-off). User account trong trường hợp này sẽ được lưu trong cơ sở dữ liệu của Active Directory. User account này sẽ được nhân bản đến các Domain controller khác trong domain bởi user account được tạo ra trên domain controller. Sự nhân bản này sẽ mất một chút thời gian, vì thế sẽ không thể xử lý ngay lập tức các tài nguyên trên mạng thông qua các user account mới tạo và thời gian nhân bản thông thường của một Active Directory trong một site thường là 5 phút.

* Built-in User Account (User Account tạo sẵn):

Built-in Account được tạo tự động bởi windows server 2008 và được sử dụng bởi những người sử dụng thực hiện những tác vụ quản trị hoặc những thao tác mạng trên một cơ sở dữ liệu tạm thời(temporary basic). Có hai loại Built-in User account là: Administrator account và Guest account. Hai loại account này không thể xoá.

- Administrator Account: Built-in Administrator account có thể được sử dụng để quản lý các máy tính và cấu hình trong domain. Sự quản lý bao gồm các tác vụ như tạo, sửa các group và các user account, các printer và quản lý các chính sách bảo mật. Nên tạo ra một user account mới có các nhiệm vụ không phải quản trị hệ thống( non-administrative task) nếu chúng ta có một Administrator, vì administrator account nên được giới hạn sử dụng cho các tác vụ quản trị. Để cấm các user không có quyền đăng nhập vào hệ thống của chúng ta, một giải pháp thực tế là đổi tên built-in administrator account sao cho không giống như một administrator account. Chúng ta cũng có thể đánh lừa người sử dụng bằng cách tạo ra một user account có tên là administrator account nhưng không gán cho một quyền nào với user account này.

- Guest Account: Thỉnh thoảng các user được chúng ta cung cấp một guest account để họ có thể đăng nhập tạm thời và các tài nguyên trên mạng. Theo mặc định thì guest account bị disable. Chúng ta có thể cho phép account này trên một mạng bảo mật thấp và gán cho nó một password.

1.2. Tạo và quản lý Account

Trong khi tạo các user account chúng ta nên cẩn thận lập kế hoạch và tổ chức tất cả các thông in về user trước khi bắt tay vào thực hiện. Để đạt được những điều này chúng ta nên tự làm quen với các quy ước và chỉ dẫn. Theo những quy ước và chỉ dẫn này giúp chúng ta dễ dàng hơn trong việc quản lý các user account sau khi tạo chúng. Kế hoạch được thực hiện với sự trợ giúp của ba nguyên tắc cơ bản quan trọng sau: Naming Conventions (Quy tắc đặt tên), Password Guidelines (Chỉ dẫn mât khẩu) và Account Option (tuỳ chọn account).

* Quy tắc đặt tên User Account:

Các quy tắc đặt tên sẽ xác định cách mà user sẽ được biết đến trong một domain. Chúng ta nên đặt tên theo các quy tắc đang tồn tại. Các điểm sau đây nên được chú ý khi chỉ định quy tắc đặt tên cho tổ chức của chúng ta:

- Chúng ta nên gán một tên duy nhất cho các domain user account và nó nên được lưu trong Active Directory. Với người sử dụng cục bộ tên account là tên duy nhất trong một nơi mà các user account cục bộ được tạo.

- User account có thể nên đến 20 kí tự chữ thường hoặc chữ hoa và các kí tự sau đây không được sử dụng để đặt tên cho User account: “/ \ [ ] ; | = , + * ? < >”. Các tên này không phân biệt hoa thường. Một sự pha trộn đặt biệt của các kí tự số có thể làm đơn giản sự định danh các user names.

- Với một tổ chức lớn với một số lượng lớn các user, quy tắc đặt tên giữ cho tên khỏi bị trùng lặp. Một điều quan trọng là biết được các user tạm thời trong tổ chức của chúng ta để có thể dễ dàng xoá các tên đăng nhập của họ khi ra khỏi tổ chức của chúng ta. Trong trường hợp này, việc đầu tiên sẽ là định danh các nhân viên tạm thời và thêm một kí tự “T”(temporary) và một kí tự “-“ vào tên đăng nhập của user đó.

* Yêu cầu mật khẩu :

Bất kì một user account nào cũng phải chứa một password phức tạp để bảo vệ thao tác trên một máy tính hoặc một domain và vì thế giúp chống các cuộc đăng nhập không cho phép vào máy tính hay domain của chúng ta. Các điểm sau đây nên được chú ý khi xác định quy uớc đặt tên cho một tổ chức của chúng ta:

- Luôn luôn được khuyến cáo gán mật khẩu cho Administrator account để tránh các tiếp nhận không cho phép của account.

- Gán password khó đoán cho tài khoản administrator. Chúng ta nên tránh đặt password liên quan rõ ràng đến ngày sinh, các thành viên trong gia đình hoặc bạn bè thân.

- Password nên chứa các kí tự thường, chữ hoa, các kí tự số và các kí tự đặt biệt hợp lệ khác(non-alphanumeric)

- Chúng ta nên xác nhận xem administrator hay user có quyền điều khiển password. Thông thường là để quyền điều khiển password cho user. Các user phải được phép gõ vào hoặc thay đổi các password trong lần đầu tiên đăng nhập. Administrator có thể cho một password duy nhất đến user account và users có thể ngăn cản sự thay đổi password.

* Các tuỳ chọn account:

Các administrator nên theo dõi giờ đăng nhập của user và máy tính nơi họ đăng nhập vào. Giờ kết thúc (logon hours) của một account tạm thời nên được biết trước. Điều này đảm bảo sự bảo mật đúng đắn và sự duy trì của mạng. Các tuỳ chọn của account bao gồm:

- Logon hours: Chúng ta có thể đặt logon hours cho user tuỳ thuộc vào khả năng xử lý của user. Theo cách này chúng ta có thể giới hạn thời gian đăng nhập của user từ ngày đến đêm. Xử lý mặc định của windows 2003 cho user là 24 tiếng mỗi ngày. Bằng cách đặt logon hours chúng ta có thể rút ngắn thời lượng mà các unauthorized user (user không được phép) có thể xử lý thông tin thông qua account này.

- Setting Computer for User Log On: Chúng ta nên xách định xem máy tính mà user sẽ đăng nhập vào. Các user có thể đăng nhập vào domain từ bất kì máy tín nào theo mặc định của domain. Vì lý do bảo mật chúng ta có thể giới hạn cho các user phải đăng nhập vào domain từ các máy tính đơn của họ sở hữu. Có thể là không giới hạn user đăng nhập vào bất kì máy tính nào trên mạng trong truờng hợp NetBIOS trên TCP/IP bị disable.

- Account Expiration: Chúng ta nên xác định xem khi nào thì các user xác định phải hết hạn sử dụng. Nếu chúng ta quyết định không tiếp tục một account từ một ngày xác định thì chúng ta đặt ngày hết hạn (expiration date) cho user account đó. Đến sát ngày hết hạn chúng ta sẽ thấy account bị bisable sau ngày hết hạn đó. User account cho nhân viên tạm thời nên hết hạn cùng ngày với ngày hết hạn hợp đồng của họ với công ty.

* Tạo các Local user Account:

Một user account cục bộ là một account mà user có thể đăng nhập vào và xử lý các tài nguyên được hỗ trợ bởi máy tính đơn đó. Chúng ta có thể tạo ra một user account cục bộ bằng cách dùng console Computer Management. Một User account cục bộ chỉ được dùng trong trường hợp môi trường mạng nhỏ, ví dụ nó có thể là một workgroup đơn giản hay một máy tính stand-alone không được cấu hình trong mạng. Tránh tạo ra các user cục bộ trên các máy tính trong domain vì domain nên được thừa nhận user cục bộ. Điều này giới hạn các user nhận bất cứ tài nguyên nào trên domain, nhưng tài nguyên trên máy tính cục bộ thì truy cập được. Các user account cục bộ có ít số lượng các thuộc tính hơn các domain user account.

* Tạo các Domain User Account:

Domain User Account có thể được sử dụng để đăng nhập vào domain và vì thế nhận được các xử lý đến các tài nguyên được lưu trữ ở bất kì nơi đâu trong mạng. Một domain user account được tạo với sự trợ giúp của Domain Controller. Administration Tools lưu trữ trong domain controller, được cung cấp trong windows server 2008 giúp chúng ta tạo ra và quản trị domain user account. Chúng ta có thể dùng các thiết đặt cho password để tạo ra một home folder và vị trí trung tâm lưu trữ dữ liệu.

- Các tuỳ chọn khi khởi tạo Domain User Account: Một domain user account được tạo ra trong một domain controller mà từ đó nó được tự động copy tất cả đến các domain controller khác trong mạng. Chúng ta nên tạo account trong mục user mặc định hoặc trong một số folder khác nơi mà các domain user account khác tồn tại.

+ First Name: Tên của User

+ Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user.

+ Last name: Họ của User

+ Full name: Tên đầy đủ của user. Nó nên là duy nhất trong thư mục account. Windows server 2008 có khả năng điền thông tin này sau khi tên và họ của user đã được nhập vào.

+ User logon name: Tuỳ chọn này nên là logon name duy nhất dựa theo các quy tắc đặt tên và phải là duy nhất trong thư mục.

+ User logon name(pre-windows 2000): Logon name duy nhất của user để đăng nhập từ phiên bản trước windows 2000 của Microsoft. Cái này là duy nhất trong domain và là phần tử bắt buộc.

- Các thiết lập cho password: Chúng ta có thể thêm một password khi đang thêm một user account mới trong domain. Dưới đây là các tuỳ chọn cho password được gán password khi đang tạo một user mới.

+ Password: Đây là password được dùng trong khi xác nhận user và được hiển thị dưới dạng cac dấu hoa thị.

+ Confirm password: Xác định lại mật khẩu đã nhập ở trên

+ User Must Change password at next logon: Để cho phép user thay đổi password trong lần đăng nhập lần đầu tiên.

+ User cannot change password: User không thể thay đổi password. Tuỳ chọn này được chọn đối với nơi có nhiều hơn một user sử dụng cùng user account hoặc khi administrator muốn điều khiển password.

+ Password never expires: Chọn tuỳ chọn này nếu password không bao giờ thay đổi. Tuỳ chọn này sẽ ghi đè thiết lập User must change password at next logon. Vì thế nếu cả hai tuỳ chọn này được chọn thì windows 2003 sẽ tự động chỉ chọn tuỳ chọn password never expires

+ Account Dissable: Với tuỳ chọn này chúng ta có thể dừng sử dụng của user account này.

- Thay đổi thuộc tính của User account: Tất cả các account đều có một tập các thuộc tính. Các domain user account đương nhiên là có nhiều thuộc tính hơn các local user account. Các thuộc tính của local user account là tập con của các thuộc tính trong domain user account. Các thuộc tính được sử dụng để tìm kiếm bất kì user nào trong Active Directory. Mỗi domain nên được cấu hình với những thuộc tính bắt buộc sau đây:

+ Các thuộc tính các nhân sẽ có: thuộc tính chung (general), điện thoại (telephones), tổ chức (organizational).

+ Thuộc tính giờ Logon (Logon hours)

+ Thuộc tính Logon to

+ Các thuộc tính Account.

Để chỉnh sửa các thuộc tính của một domain user account, mở Active Directory Users and Computer. Nhấp đúp chuột lên đối tượng mà user mà chúng ta muốn thay đổi thuộc tính của nó. Trường hợp local user account, mở snap-in Computer management và từ đó chọn Local Users and Groups: Sau đó nhấp đúp lên đối tượng user mà chúng ta muốn thay đổi thuộc tính của nó. Hộp thoại thuộc tính chứa tập các tab cho phép user thay đổi và thiết lập các thuộc tính khách nhau. Các thuộc tính được thiết lập cho dưới đây là dùng cho domain user account và chỉ cho 4 tab thuộc tính từ domain user account bổ xung cho local user account. Các thuộc tính đó bao gồm: Dial-in, General, Member Of và Profile. Chi tiết các các tab thuộc tính này gồm:

+ General: Tab này sẽ được cung cấp thông tin về tên của user, mô tả, điện thoại, email user name, địa chỉ văn phòng và home page(trang chủ).

+ Address: Tab này sẽ cung cấp các địa chỉ đường, thành phố, hộp thư, bang hay mã vùng(zip code) và nước(country) của user.

+ Account: Tab này sẽ cho phép định nghĩa logon name của user và cũng thiết đặt thêm các tuỳ chọn như Logon Hours và Log on to. Những tuỳ chọn này đã được đặt trong suốt quá trình tạo đối tượng user trong cơ sở dữ liệu Active Directory và có thể được thay đổi ở đây.

+ Profile: Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũng duy trì toàn bộ môi trường làm việc của user. Một đường dẫn mạng cũng có thể được thiết lập để nhận các truy cập các tài nguyên mạng và bổ xung kịch bản đăng nhập và home folder có thể được gán bởi tuỳ chọn này.

+ Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile, pager (số máy tin nhắn) và IP phone của user. Chúng ta cũng có thể thêm các ghi chú ở đây.

+ Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty, tên công ty hay tổ chức, các thông tin về user và báo các trực tiếp của user.

+ Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó user này thuộc về.

+ Dial-In: Tùy chọn này cho phép chúng ta điều khiển user tạo một kết nối dial-in từ một nơi xa đến mạng. Điều này chỉ có thể thực hiện nếu user đang quay số tới một máy tính đang chạy Windows 2003 Remote access services(RAS). Có một số tuỳ để thiết lập cho bảo mật quay số như sau:

Allow Access: Tự động xác định các thiết lập dial-in có được cho phép hay không.

Deny Access: Sẽ xác định dial-in có bị từ chối hay không

Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết nối.

No Callback: Sẽ xác định RAS sẽ không gọi người user. Điều này cho phép user gọi từ bất kì số điện thoại nào. Nó được thiết kế cho môi trường bảo mật thấp.

Set by caller: Sẽ xác định RAS sẽ đáp ứng đến user có được cung cấp nó với số điện thoại. Vì thông tin này sẽ có thể được ghi lại(logged) nên chúng ta có thể sử dụng có trên môi trường bảo mật trung bình.

Always Callback To: Sẽ xác định rằng RAS sẽ đáp ứng lại với user tại số điện thoại đã được xác định. User nên cẩn thận để hiện diện tại cùng một thời điểm RAS kết nối đến. Tuỳ chọn này được dùng trong môi trường bảo mật cao.

Environment: Để tạo môi trường client-working thì tab này phải được sử dụng. Nó xác định một hay nhiều ứng dụng khởi động và tất cả các thiết bị để kết nối khi user đăng nhập vào.

Sessions: Tuỳ chọn này được sử dụng để giới hạn chiều dài của sessions (phiên), tuỳ thuộc vào session có active (kích hoạt), idle (nghỉ) hay disconnect (ngắt kết nối). Chúng ta cũng có thể quyết định những hành động nên được tiến hành trong trường hợp session đã tiến đến giới hạn thời gian.

+ End A Disconnected Session: Chỉ định thời gian lớn nhất mà một session chưa kết nối còn cho phép được chạy. Một khi quá giới hạn thời gian thì session không thể tìm trở lại.

+ Active Session Limit: Xác định khoảng lớn nhất của session được kết nối. Một khi giới hạn thời gian tiến đến gần, session có thể khởi động lại hoặc ngắt kết nối rời khỏi session active trên server.

+ Idle Session Limit: Xác định thời gian lớn nhất được cho trứoc khi session được khởi tạo lại hay ngắt kết nối. Nó sẽ bị ngắt kết nối sau khi hết thời gian của những hoạt động tại kết nối.

+ Remote control: Sẽ xác định các thiết lập điều khiển từ xa của các dịch vụ Terminal. Bằng các thiết lập điều này chúng ta có thể tham gia giám sát session của client của bất kì máy tính nào đã đăng nhập vào Terminal Server.

1.3. Triển khai User principal name suffixes:

User principal name (UPN): Là một tên dùng để logon trong hệ thống mạng windows server 2008.

Được chia ra hai phần:

+ Upn prefix.

+ Upn suffix.

Lợi ích của việc dùng upn:

+ Duy nhất trong Active Directory forest.

+ Dùng như 1 địa chỉ email.

Name suffix routing: Là cơ chế phân giải tên miền thông qua những forest trust. Name suffix sử dụng để định tuyến các yêu cầu chứng thực giữa các forest được thiết lập trust với nhau. Name suffix không tồn tại trong forest thứ nhất có thể được định tuyến tới forest thứ 2.

Thông tin cấu hình định tuyến được thừa kế cho domain con.

Name suffix bị xung đột khi:

+ Một DNS name đã được sử dụng.

+ Một NETBIOS name đã được sử dụng.

+ Một domain SID trùng với một name suffix SID.

Name suffix conflict trong domain là nguyên nhân khiến bị cấm truy cập tài nguyên từ bên ngoài forest.

2. Quản trị OU

2.1. Xây dựng và quản lý OU

Đơn vị tổ chức (OU) là một phân khu trong một Active Directory mà bạn có thể chứa đựng: User account, Groups, Computers, và các đơn vị tổ chức khác. Bạn có thể tạo ra các đơn vị tổ chức để nhân bản cấu trúc chức năng hoặc tổ chức kinh doanh của bạn. Mỗi miền có thể thực hiện của hệ thống phân cấp đơn vị tổ chức. Nếu tổ chức của bạn có chứa một số lĩnh vực, bạn có thể tạo ra những cấu trúc đơn vị tổ chức trong từng lĩnh vực là độc lập của các cấu trúc trong các lĩnh vực khác.

Thuật ngữ "đơn vị tổ chức" thường được rút ngắn "OU" trong cuộc trò chuyện thông thường. "Container" cũng thường được áp dụng trong vị trí của nó, ngay cả trong tài liệu riêng của Microsoft. Tất cả các thuật ngữ được coi là chính xác và hoán đổi cho nhau.

Các phương pháp tạo và quản lý OU:

* Active Directory Users and Computer:

Start / Administrative Tools /Active Directory Users and Computers (hoặc vào Start / Run, gõ lệnh DSA.MSC) để mở cửa sổ quản lý thành viên trong hệ thống. Bạn nhấn phải vào tên domain, chọn New / Organizational Unit / nhập tên OU vào ô Name / OK, OU vừa tạo sẽ được liệt kê bên dưới tên domain.

* Các lệnh hỗ trợ: dsadd, dsmod, dsrm, dsmove, dsget, dsquery

- dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào trong dịch vụ Directory.

- dsrm: xóa một đối tượng trong dịch vụ Directory.

- dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụ Directory.

- dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact, group, ou, server hoặc user trong một dịch vụ Directory.

- dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trong một dịch vụ Directory.

- dsquery: truy vấn các thành phần trong dịch vụ Directory.

2.2. Ủy quyền và quản lý OU

* Mục đích ủy quyền quản trị OU:

- Phân tán việc quản lý cho từng OU

- Đơn giản hóa trong việc quản trị

- Việc ủy quyền cung cấp

- Việc tự quản trong mỗi OU

- Cô lập quản lý dữ liệu và dịch vụ

* Các tác vụ quản trị OU:

- Thay đổi thuộc tính của vật chứa (container).

- Tạo và xóa object.

- Thay đổi thuộc tính cuat object.

2.3. Chiến lược xây dựng OU

* Tiến trình lập kế hoạch xây dựng OU:

- Lập tài liệu về cấu trúc hiện tại của doanh nghiệp.

- Xác định các vùng cần cải tiến quản trị.

- Xác định cấp độ quản trị.

- Xác định tài khoản quản trị và tài khoản người dùng trong từng OU và các tài nguyên mà họ được phép quản lý và sử dụng.

* Các nhân tố ảnh hương đến cấu trúc OU:

- Các loại mô hình quản trị IT:

+ Tập trung.

+ Tập trung tại hội sở (Trụ sở chính) và phân tán tại chi nhánh.

+ Quản trị phân tán.

+ Thuê IT bên ngoài.

- Cấu trúc của các mô hình quản trị IT:

+ Dựa trên vị trí địa lý (Geographic - based)

+ Dựa trên cấu trúc tổ chức phòng ban của doanh nghiệp (Organization - based)

+ Dựa trên chức năng trong cách tổ chức của doanh nghiệp (Bussiness function - based)

+ Kết hợp (Hybrid)

* Chiến lược trong việc triển khai cấu trúc OU:

Mô hình chiến lược triển khai cấu trúc OU

3. Quản trị Profile User

3.1. Cấu hình Home Directory - Pro/files

Home Folder là một share folder tự động map về máy trạm thành ổ đĩa mạng khi User đăng nhập bất kỳ client nào.

Home directory là thư mục cất giữ dữ liệu, chương trình, ứng dụng của một User ngoài thư mục My Documents.

Home directory có thể cất giữ local trên mỗi máy user log on locally hay có thể cất giữ trên server.

Chúng ta chỉ định Home Directory trong "User acc properties" \ Tab Profile.

Để cấu hình Home Diretory ta tiến hành làm như sau: Login vào Domain Controller với quyền Administratro. Vào ô đĩa C: tạo thư mục có tên là DULIEU / Click chuột phải vào thư mục vừa tạo chọn Propertiese sau đó chọn tiếp Tab Sharing như hình dưới đây:

$D:\Desktop\hihi.jpg$

Sau khi Click chọn vào Tab Sharing tiếp tục Click chọn vào Advanced Sharing …/ đánh dấu chọn vào Share this folder

$D:\Desktop\hihi.jpg$

Đánh dấu chọn vào Permisssions và cấp quyền cho nhóm Everyone là Full Control / Click chọn Apply / OK

$D:\Desktop\hihi.jpg$

Hộp thoại DULIEU Properties đã được Sharing / Click chọn Close đễ đống cửa sổ này lại.

$D:\Desktop\hihi.jpg$

Bước tiếp theo mở công cụ Active Driectory Users and Computers từ Menu chọn Start / Administrative Tools. Sau đó tạo User với tên Là U1 / Click chọn Properties của User U1 chọn Tab Profile tạo mục Home folder đánh dấu chọn vào Connect: mục To: nhập đường nơi chứa các Profile được tạo ra cho U1 khi Login vào Doamin: \\DC01\DULIEU\%usernamee% .Click chọn Apply / OK

$D:\Desktop\hihi.jpg$

3.2. Cấu hình Roaming Pro/files

Profile là tổng hợp những dữ liệu đặc thù của một user. Nó bao gồm các dữ liệu như Favorites của IE, bookmark của Firefox, Outlook settings, và nhiều thứ khác. Windows được thiết kế để lưu dữ liệu của người dùng tại một địa điểm, giống như trên ổ cứng hoặc trên một server. Khi bạn logon và máy tính, nó sẽ tải dữ liệu trong profile của bạn kể cả những phần mềm được thiết lập để khởi động cùng windows.

Roaming Pro/files là dạng pro/files của người dùng được lưu trữ trên một server, nó sẽ được tải về máy tính bất cứ khi nào người dùng login. Theo cách này, người dùng có thể truy nhập đến thông tin và những thiết lập của họ mà không phụ thuộc vào máy tính mà họ đăng nhập. Local Pro/files là dạng pro/files được lưu trữ trực tiếp trên một máy tính, và rất ít dữ liệu được chuyển giữa PC và server khi họ logon vào.

Ưu điểm của Roaming Profile là nó sẽ tự động backup dữ liệu của người dùng đến server mỗi khi log out. Người dùng có thể đăng nhập trên nhiều máy tính mà vẫn dữ được những thiết lập của mình, điều này rất tốt trong môi trường mà mọi người làm việc không trên một máy tính cố định, chẳng hạn như một phòng lab.

Nhược điểm của Roaming Profile: khi người dùng đã logon , một bản sao của pro/files của họ sẽ được lưu lại trên máy tính mà học đăng nhập, điều này tạo ra vấn đề về bảo mật. Thời gian đăng nhập cũng là một vấn đề, nếu người dùng đặt quá nhiều dữ liệu trong pro/files của họ, có thể sẽ phải chờ đợi rất lâu khi đăng nhập hoặc tắt một máy tính. Kèm theo đó với pro/files lớn còn chiếm nhiều băng thông để truyền dữ liệu qua lại, phần lowin trong số này là lượng băng thông bị lãng phí bởi nhiều tập tin và dữ liệu được tải đồng bộ tuy nhiên người dùng lại không dùng đến.

Tạo Folder C:\Pro/files

Share Folder C:\Pro/files với Shared permision: Everyone allow full control

Click chuột phải vào Folder Pro/files chọn properties tại tab Sharing chọn advanced sharing chọn share this folder chọn permision

$D:\Desktop\hihi.jpg$

Chọn Allow full control chọn ok / ok

$D:\Desktop\hihi.jpg$

Mở Active directory user and computer chọn server manager vào Role chọn Active directory services chọn Active directory user and computer chọn users

$D:\Desktop\hihi.jpg$

Click chuột phải vào User U1 chọn properties qua Tab Profile điền địa chỉ thư mục Profile đã share trên PC1 gõ vào \\PC1\%username% chọn Apply

4. Tạo các đối tượng bằng Command Line

4.1. Câu lệnh tạo OU (Organizational Unit) – Command line creat OU

Cấu trúc câu lệnh tạo OU:

dsadd ou <OrganizationalUnitDN> [-desc <Description>] [{-s <Server> | -d <Domain>}][-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]

Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau:

dsadd ou ou=it,dc=qtm,dc=com

Ý nghĩa câu lệnh tạo OU:

+ dsadd ou: khởi tạo một ou

+ ou=it:tạo OU có tên IT.

+ dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó.

Chú ý: Nếu domain có dạng tên miền con ví dụ như: qtm.com.vn thì khai báo thêm như sau: dc=qtm, dc=com,dc=vn

Khi câu lệnh báo secceeded có nghĩa là đã tạo thành công. Vào Active Directory Users and Computers ta thấy OU tên IT đã được tạo.

$D:\Desktop\hihi.jpg$

2. Câu lệnh tạo group – command creat group

Cấu trúc câu lệnh tạo group:

dsadd group <GroupDN> [-secgrp {yes | no}] [-scope {l | g | u}] [-samid <SAMName>] [-desc <Description>] [-memberof <Group> …] [-members <Member> …] [{-s Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]

Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau:

dsadd group cn=it_group,ou=it,dc=qtm,dc=com -secgrp yes -scope g

Ý nghĩa câu lệnh tạo group:

+ dsadd group: câu lệnh sẽ khởi tạo một group.

+ cn=it_group: Group được tạo có tên là it_group.

+ ou=it: Group được tạo sẽ nằm trong ou có tên là it.

+ dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó.

+ -secgrp yes: Kiểu group là Security, nếu chọn no sẽ là kiểu Distribution

+ -scope g: scope của group là Global, nếu chọn tham số là l sẽ là kiểu Domain local, tham số U là kiểu Universal

Vào Active Directory Users and Computers sẽ thấy group it_group được tạo thành công.

$D:\Desktop\hihi.jpg$

3. Câu lệnh tạo user – Command line create User

Cú pháp câu lệnh tạo User:

dsadd user <UserDN> [-samid <SAMName>] [-upn <UPN>] [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-empid <EmployeeID>] [-pwd {<Password> | *}] [-desc <Description>] [-memberof <Group> …] [-office <Office>] [-tel <PhoneNumber>] [-email <Email>] [-hometel <HomePhoneNumber>] [-pager <PagerNumber>] [-mobile <CellPhoneNumber>] [-fax <FaxNumber>] [-iptel <IPPhoneNumber>] [-webpg <WebPage>] [-title <Title>] [-dept <Department>] [-company <Company>] [-mgr <Manager>] [-hmdir <HomeDirectory>] [-hmdrv <DriveLetter>:][-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumberOfDays>] [-disabled {yes | no}] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]

Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau:

dsadd user cn=wp,ou=it,dc=qtm,dc=com -fn Vu -ln Anh –display “Vu Anh” -office QTM -tel 0912345678 –email [email protected] -webpg http://vuanh.com -dept IT –company QTM -mustchpwd no -canchpwd no -disabled no -acctexpires never –pwd abc@123

Ý nghĩa cú pháp câu lệnh tạo user:

+ dsadd user: Câu lệnh báo sẽ tạo user

+ cn=wp: tên tài khoản login của user.

+ ou=it: user này nằm trong OU có tên là IT.

+ dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó.

+ -fn Vu: First Name của user có tên là Hoang

+ -ln Anh: LastName của user là Thông

+ -display “Vu Anh”: Tên hiển thị của tài khoản là Vu Anh.

Chú ý: Kiểu tên dài có dấu cánh sẽ phải đặt trong dấu nháy kép. ví dụ: “Vu Anh”

+ -office QTM: thuộc văn phòng QTM

+ -tel 0912345678: số điện thoại của user

+ -email [email protected]: email của user

+ -webpg http://vuanh.com: website của user

+ -dept IT: User thuộc phòng ban IT.

+ -company QTM: Công ty của user là QTM

+ -mustchpwd no: Tài khoản không yêu cầu phải đổi mật khẩu ngay lần đăng nhập đầu tiên. Nếu chọn yes có nghĩa là phải đổi

+ -canchpwd no: Tài khoản không thể đổi được mật khẩu.

+ -acctexpires never: Tài khoản không bao giờ hết hạn.

+ -pwd abc@123: Thiết lập mật khẩu cho tài khoản là abc@123

Vào Active Directory Users and Computers sẽ thấy tài khoản wp được tạo thành công.

$D:\Desktop\hihi.jpg$

Một số cú pháp các đối tượng trong Active Directory

DSAdd – Add object

DSMod – Modify object

DSGet – Display object

DSMove – Move object

DSQuery – Search for objects

DSRM – Delete object

BÀI 4: QUẢN TRỊ TÀI NGUYÊN CHIA SẺ

1. Tổng quan về quyền truy xuất tệp tin và thư mục

1.1. Chia sẻ thư mục dùng chung

Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truy xuất và sử dụng thông qua mạng. Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong Explorer bạn nhầp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing.

$D:\Desktop\hihi.jpg$

Ý nghĩa của các mục trong Tab Sharing:

Mục	Ý nghĩa
Do not share this folder	Chỉ định thư mục này chỉ được phép truy cập cục bộ
Share this folder	Chỉ định thư mục này được phép truy cập cục bộ và truy cập qua mạng
Share name	Tên thư mục mà người dùng mạng nhìn thấy và truy cập
Comment	Cho phép người dùng mô tả thêm thông tin về thư mục dùng chung này
User Limit	Cho phép bạn khai báo số kết nối tối đa truy xuất vào thư mục tại một thời điểm
Permissions	Cho phép bạn thiết lập danh sách quyền truy cập thông qua mạng của người dùng
Offline Settings	Cho phép thư mục được lưu trữ tạm tài liệu khi làm việc dưới chế độ Offline.

1.2. Cấu hình Share Permissions

Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share Permissions. Share Permissions chỉ có hiệu lực khi người dùng truy cập qua mạng chứ không có hiệu lực khi người dùng truy cập cục bộ. Khác với NTFS Permissions là quản lý người dùng truy cập dưới cấp độ truy xuất đĩa. Trong hộp thoại Share Permissions, chứa danh sách các quyền sau:

- Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ.

- Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ.

- Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ. Bạn muốn cấp quyền cho người dùng thì nhấp chuột vào nút Add.

Hộp thoại chọn người dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào các tài khoản người dùng và nhóm cần chọn, sau đó chọn OK.

$D:\Desktop\hihi.jpg$

Trong hộp thoại xuất hiện, muốn cấp quyền cho người dùng bạn đánh dấu vào mục Allow, ngược lại khóa quyền thì đánh dấu vào mục Deny.

1.3. Chia sẻ thư mục dùng lệnh netshare

Chức năng: tạo, xóa và hiển thị các tài nguyên chia sẻ. Cú pháp:

net share sharename

net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"]

net share sharename [/users:number | unlimited] [/remark:"text"]

net share {sharename | drive:path} /delete

Ý nghĩa các tham số:

- [Không tham số]: hiển thị thông tin về tất cả các tài nguyên chia sẻ trên máy tính cục bộ

- [Sharename]: tên trên mạng của tài nguyên chia sẻ, nếu dùng lệnh net share với một tham số sharename thì hệ thống sẽ hiển thị thông tin về tài nguyên dùng chung này.

- [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ.

- [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tài nguyên dùng chung này.

- [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài nguyên dùng chung này.

- [/remark:"text"]: thêm thông tin mô tả về tài nguyên này.

- /delete: xóa thuộc tính chia sẻ của thư mục hiện tại.

2. Shared Folder

2.1. Xem các thư mục dùng chung

Mục Shared Folders trong công cụ Computer Management cho phép bạn tạo và quản lý các thư mục dùng chung trên máy tính. Muốn xem các thư mục dùng chung trên máy tính bạn chọn mục Shares. Nếu thư mục dùng chung nào có phần cuối của tên chia sẻ (share name) là dấu $ thì tên thư mục dùng chung này được ẩn đi và không tìm thấy khi bạn tìm kiếm thông qua My Network Places hoặc duyệt các tài nguyên mạng.

$D:\Desktop\Untitled-1.jpg$

2.2. Xem các phiên làm việc trên thư mục dùng chung

Muốn xem tất cả các người dùng đang truy cập đến các thư mục dùng chung trên máy tính bạn chọn mục Session. Mục Session cung cấp các thông tin sau:

- Tên tài khoản người dùng đang kết nối vào tài nguyên chia sẻ.

- Tên máy tính có người dùng kết nối từ đó.

- Hệ điều hành mà máy trạm đang sử dụng để kết nối.

- Số tập tin mà người dùng đang mở.

- Thời gian kết nối của người dùng.

- Thời gian chờ xử lý của kết nối.

- Phải là truy cập của người dùng Guest không?

$D:\Desktop\Untitled-1 copy.jpg$

2.3. Xem các tập tin đang mở trong các thư mục dùng chung

Muốn xem các tập đang mở trong các thư mục dùng chung bạn nhấp chuột vào mục Open Files. Mục Open Files cung cấp các thông tin sau:

- Đường dẫn và tập tin hiện đang được mở.

- Tên tài khoản người dùng đang truy cập tập tin đó.

- Hệ điều hành mà người dùng sử dụng để truy cập tập tin.

- Trạng thái tập tin có đang bị khoá hay không.

- Trạng thái mở sử dụng tập tin (Read hoặc Write).

$D:\Desktop\Untitled-1 copy.jpg$

2.4. Share Permission

Đầu tiên mở trình Windows Explorer ra chọn Organize / Folder and Search Options.

$D:\Desktop\hihi.jpg$

Chọn Tab View sau đó click bỏ chọn mục Use Sharing Wizard (Recommended).

$D:\Desktop\hihi.jpg$

Trong Windows server 2008 để chia sẻ một thư mục nào đó nhấp chuột phải vào thư mục cần share chọn Share…

$D:\Desktop\hihi.jpg$

Nhấp chọn Advanced Sharing...

$D:\Desktop\hihi.jpg$

Ở ô Share Name máy sẽ tự lấy tên default là tên thư mục hiện hành bạn có thể chỉnh sửa tên này tùy ý

$D:\Desktop\hihi.jpg$

Với các tùy chọn là Allow: User có quyền truy cập tài nguyên với quyền hạn tương ứng.

Với các tùy chọn là Deny: User không có quyền truy cập tài nguyên với quyền hạn tương ứng.

$D:\Desktop\hihi.jpg$

Để thực hiện phân quyền cho các Group thì ta cần Deny tất cả các quyền của Group User này.

Sau khi Deny tất cả các quyền của Group User nhấp nút Add thể thêm Group hoặc User vào.

$D:\Desktop\hihi.jpg$

Trong này giả sử Add thêm User tai và cũng Set quyền cho User này là Deny tất cả mọi quyền.

$D:\Desktop\hihi.jpg$

Tương tự Add thêm User phat và Set quyền cho User này là Allow tất cả mọi quyền.

$D:\Desktop\hihi.jpg$

Để tạo một thư mục mà không muốn cho ai thấy (chỉ có gõ lệnh mới vào được) thỉ thêm dấu $ vào ngay sau Share Name của mình.

VD: Máy có IP là 192.168.1.10 và thư mục Share có tên là New Folder (2)$. Trong này giả sử ta Add thêm User tai và Set quyền cho User này là Allow tất cả mọi quyền. Khi đó truy cập từ máy khác vào phải nhập là \\172.16.1.10\New Folder (2)$ thì mới vào được.

$D:\Desktop\hihi.jpg$

Bây giờ từ một máy Client khác, truy cập thư mục New Folder (2) với User là tai

$D:\Desktop\hihi.jpg$

Máy sẽ báo là không có lối vào lý do là đã Set cho User tai bị Deny tất cả. User tai bị từ chối truy cập New Folder (2) . Tuy nhiên với User phat thì có thể xem được các tài nguyên trong này.

$D:\Desktop\hihi.jpg$

Để xem các thư mục Share ẩn trong Windows, vào Administrative Tools/Share and Storage Management.

$D:\Desktop\hihi.jpg$

Trong này sẽ liệt kê toàn bộ các thư mục đã Share trước đó

$D:\Desktop\hihi.jpg$

Để tránh phải mất công nhập dòng lệnh \\[IP máy tới]\[thư mục share] chúng ta có thể ánh xạ ổ đĩa đối với các thư mục Share thường xuyên truy cập bằng cách nhấp phải vào thư mục đã Share cần ánh xạ và chọn Map Network Drive…

$D:\Desktop\hihi.jpg$

Trong cửa sổ Map Nerwork Drive hiện ra bạn chọn tên ổ đĩa ánh xạ và click Finish.

$D:\Desktop\hihi.jpg$

Vào Computer sẽ thấy xuất hiện thêm ổ đĩa mới (Ổ đĩa ánh xạ). Nhấp vào đấy sẽ đi đến ngay thư mục mà bạn vừa ánh xạ.

$D:\Desktop\hihi.jpg$

3. NTFS Permission

Có hai loại hệ thống tập được dùng cho partition và volume cục bộ là FAT (bao gồm FAT16 và FAT32). FAT partition không hỗ trợ bảo mật nội bộ, còn NTFS partition thì ngược lại có hỗ trợ bảo mật; có nghĩa là nếu đĩa cứng của bạn định dạng là FAT thì mọi người đều có thể thao tác trên các file chứa trên đĩa cứng này, còn ngược lại là định dạng NTFS thì tùy theo người dùng có quyền truy cập không, nếu người dùng không có quyền thì không thể nào truy cập được dữ liệu trên đĩa. Hệ thống Windows Server 2008 dùng các ACL (Access Control List) để quản lý các quyền truy cập của đối tượng cục bộ và các đối tượng trên Active Directory. Một ACL có thể chứa nhiều ACE (Access Control Entry) đại điện cho một người dùng hay một nhóm người.

3.1. Các quyền truy cập của NTFS

Tên quyền	Chức năng
Traverse Folder/Execute File	Duyệt các thư mục và thi hành các tập tin chương trình trong thư mục
List Folder/Read Data	Liệt kê nội dung của thư mục và đọc dữ liệu của các tập tin trong thư mục
Read Attributes	Đọc các thuộc tính của các tập tin và thư mục
Read Extended Attributes	Đọc các thuộc tính mở rộng của các tập tin và thư mục
Create File/Write Data	Tạo các tập tin mới và ghi dữ liệu lên các tập tin này
Create Folder/Append Data	Tạo thư mục mới và chèn thêm dữ liệu vào các tập tin
Write Attributes	Thay đổi thuộc tính của các tập tin và thư mục
Write Extendd Attributes	Thay đổi thuộc tính mở rộng của các tập tin và thư mục
Delete Subfolders and Files	Xóa thư mục con và các tập tin
Delete	Xóa các tập tin
Read Permissions	Đọc các quyền trên các tập tin và thư mục
Change Permissions	Thay đổi quyền trên các tập tin và thư mục
Take Ownership	Tước quyền sở hữu của các tập tin và thư mục

3.2. Các mức quyền truy cập được dùng trong NTFS

Tên quyền	Full Control	Modify	Read& Execute	List Folder Contents	Read	Write
Traverse Folder /Execute File	x	x	x	x
List Folder /Read Data	x	x	x	x	x
Read Attributes	x	x	x	x	x
Read Extended Attributes	x	x	x	x	x
Create File /Write Data	x	x
Create Folder /Append Data	x	x				x
Write Attributes	x	x				x
Write Extended Attributes	x	x				x
Delete Subfolders and Files	x
Delete	x	x
Read Permissions	x	x	x	x	x	x
Change Permissions	x
Take Ownership	x

3.3. Gán quyền truy cập NTFS trên thư mục dùng chung

Bạn muốn gán quyền NTFS, thông qua Windows Explorer bạn nhấp phải chuột vào tập tin hay thư mục cần cấu hình quyền truy cập rồi chọn Properties. Hộp thoại Properties xuất hiện. Nếu ổ đĩa của bạn định dạng là FAT thì hộp thoại chỉ có hai Tab là General và Sharing. Nhưng nếu đĩa có định dạng là NTFS thì trong hộp thoại sẽ có thêm một Tab là Security. Tab này cho phép ta có thể quy định quyền truy cập cho từng người dùng hoặc một nhóm người dùng lên các tập tin và thư mục. Bạn nhầp chuột vào Tab Security để cấp quyền cho các người dùng.

$D:\Desktop\Untitled-1 copy.jpg$

Muốn cấp quyền truy cập cho một người dùng, bạn nhấp chuột vào nút Add, hộp thoại chọn lựa người dùng và nhóm xuất hiện, bạn chọn người dùng và nhóm cần cấp quyền, nhấp chuột vào nút Add để thêm vào danh sách, sau đó nhấp chuột vào nút OK để trở lại hộp thoại chính.

$D:\Desktop\Untitled-1 copy.jpg$

Hộp thoại chính sẽ xuất hiện các người dùng và nhóm mà bạn mới thêm vào, sau đó chọn người dùng và nhóm để cấp quyền. Trong hộp thoại đã hiện sẵn danh sách quyền, bạn muốn cho người dùng đó có quyền gì thì bạn đánh dấu vào phần Allow, còn ngược lại muốn cấm quyền đó thì đánh dấu vào mục Deny.

$D:\Desktop\Untitled-2 copy.jpg$

3.4. Kế thừa và thay thế quyền của đối tượng con

Trong hộp thoại chính trên, chúng ta có thể nhấp chuột vào nút Advanced để cấu hình chi tiết hơn cho các quyền truy cập của người dùng. Khi nhấp chuột vào nút Advanced, hộp thoại Advanced Security Settings xuất hiện, trong hộp thoại, nếu bạn đánh dấu vào mục Allow inheritable permissions from parent to propagate to this object and child objects thì thư mục hiện tại được thừa hưởng danh sách quyền truy cập từ thư mục cha, bạn muốn xóa những quyền thừa hưởng từ thư mục cha bạn phải bỏ đánh dấu này. Nếu danh sách quyền truy cập của thư mục cha thay đổi thì danh sách quyền truy cập của thư mục hiện tại cũng thay đổi theo. Ngoài ra nếu bạn đánh dấu vào mục Replace permission entries on all child objects with entries shown here that apply to child objects thì danh sách quyền truy cập của thư mục hiện tại sẽ được áp dụng xuống các tập tin và thư mục con có nghĩa là các tập tin và thư mục con sẽ được thay thế quyền truy cấp giống như các quyền đang hiển thị trong hộp thoại.

$D:\Desktop\Untitled-3 copy.jpg$

Trong hộp thoại này, Windows Server 2008 cũng cho phép chúng ta kiểm tra và cấu hình lại chi tiết các quyền của người dùng và nhóm, để thực hiện, bạn chọn nhóm hay người dùng cần thao tác, sau đó nhấp chuột vào nút Edit.

$D:\Desktop\Untitled-4 copy.jpg$

3.5. Thay đổi quyền khi di chuyển thư mục và tập tin

Khi chúng ta sao chép (copy) một tập tin hay thư mục sang một vị trí mới thì quyền truy cập trên tập tin hay thư mục này sẽ thay đổi theo quyền trên thư mục cha chứa chúng, nhưng ngược lại nếu chúng ta di chuyển (move) một tập tin hay thư mục sang bất kì vị trí nào thì các quyền trên chúng vẫn được giữ nguyên.

3.6. Giám sát người dùng truy cập thư mục

Bạn muốn giám sát và ghi nhận lại các người dùng thao tác trên thư mục hiện tại, trong hộp thoại Advanced Security Settings, chọn Tab Auditing, nhấp chuột vào nút Add để chọn người dùng cần giám sát, sau đó bạn muốn giám sát việc truy xuất thành công thì đánh dấu vào mục Successful, ngược lại giám sát việc truy xuất không thành công thì đánh dấu vào mục Failed.

$D:\Desktop\Untitled-5 copy.jpg$

3.7. Thay đổi người sở hữu thư mục

Bạn muốn xem tài khoản người và nhóm người dùng sở hữa thư mục hiện tại, trong hộp thoại Advanced Security Settings, chọn Tab Owner. Đồng thời bạn cũng có thể thay đổi người và nhóm người sở hữu thư mục này bằng cách nhấp chuột vào nút Other Users or Groups.

$D:\Desktop\Untitled-6 copy.jpg$

4. Triển khai DFS

DFS (Distributed File System) là hệ thống tổ chức sắp xếp các thư mục, tập tin dùng chung trên mạng mà Server quản lý, ở đó bạn có thể tập hợp các thư mục dùng chung nằm trên nhiều Server khác nhau trên mạng với một tên chia sẻ duy nhất. Nhờ hệ thống này mà người dùng dễ dàng tìm kiếm một tài nguyên dùng chung nào đó trên mạng… DFS có hai loại root: domain root là hệ thống root gắn kết vào Active Directory được chứa trên tất cả Domain Controller, Stand-alone root chỉ chứa thông tin ngay tại máy được cấu hình. Chú ý DFS không phải là một File Server mà nó là chỉ là một “bảng mục lục” chỉ đến các thư mục đã được tạo và chia sẻ sẵn trên các Server. Để triển khai một hệ thống DFS trước tiên bạn phải hiểu các khái niệm sau:

- Gốc DFS (DFS root) là một thư mục chia sẻ đại diện cho chung cho các thư mục chia sẻ khác trên các Server.

- Liên kết DFS (DFS link) là một thư mục nằm trong DFS root, nó ánh xạ đến một tài nguyên chia sẻ các Server khác.

6.1. So sánh hai loại DFS

Stand-alone DFS	Fault-tolerant DFs
- Là hệ thống DFS trên một máy Server Stand-alone, không có khả năng dung lỗi. - Người dùng truy xuất hệ thống DFS thông qua đường dẫn \\servername\dfsname.	- Là hệ thống DFS dựa trên nền Active Directory nên có chính dung lỗi cao. - Hệ thống DFS sẽ tự động đồng bộ giữa các Domain Controller và người dùng có thể truy xuất đến DFS thông qua đường dẫn \\domainname\dfsname.

6.2. Cài đặt Fault-tolerant DFS

Để tạo một hệ thống Fault-tolerant DFS bạn làm theo các bước sau:

Bạn nhấp chuột vào Start / Programs / Administrative Tools / Distributed File System. Hộp thoại Welcome xuất hiện, bạn nhấn Next để tiếp tục. Hộp thoại Root Type xuất hiện, bạn chọn mục Domain Root, nhấn Next để tiếp tục.

$D:\Desktop\Untitled-7 copy.jpg$

Hệ thống yêu cầu bạn chọn tên miền (domain name) kết hợp với hệ thống DFS cần tạo.

$D:\Desktop\Untitled-8 copy.jpg$

Tiếp theo bạn khai báo tên của Domain Controller chưa root DFS cần tạo.

$D:\Desktop\Untitled-9 copy.jpg$

Đến đây bạn khai báo tên chia sẻ gốc (Root Name) của hệ thống DFS, đây chính là tên chia sẻ đại diện cho các tài nguyên khác trên mạng. Bạn nhập đầy đủ các thông tin chọn Next để tiếp tục.

$D:\Desktop\Untitled-10 copy.jpg$

Trong hộp thoại xuất hiện, bạn khai báo tên thư mục chia sẻ gốc của hệ thống DFS.

$D:\Desktop\Untitled-11 copy.jpg$

Sau khi cấu hình hệ thống DFS hoàn tất, tiếp theo bạn tạo các liên kết đến các tài nguyên dùng chung trên các Server khác trong mạng.

$D:\Desktop\Untitled-12 copy.jpg$

Để sử dụng hệ thống DFS này, tại máy trạm bạn ánh xạ (map) thư mục chia sẻ gốc thành một ổ đĩa mạng. Trong ổ đĩa mạng này bạn có thể nhìn thấy tất cả các thư mục chia sẻ trên các Server khác nhau trên hệ thống mạng.

$D:\Desktop\Untitled-13 copy.jpg$

Tương tự như Fault-tolerant DFS, bạn có thể tạo ra một Stand-alone DFS trên một máy Server Stand-alone, tất nhiên là hệ thống đó không có khả năng dung lỗi có nghĩa là khi Server chứa DFS Root hỏng thì các máy trạm sẽ không tìm thấy các tài nguyên chia sẻ trên các Server khác. Nhưng hệ thống Stand-alone DFS được sử dụng rộng rải vì nó đơn giản, tiện dụng.

BÀI 5: TRIỂN KHAI CHÍNH SÁCH

1. Giới thiệu về Group Policy Object (GPO)

Chính sách nhóm là một công nghệ cho phép người quản trị quản lý các môi trường desktop qua một mạng Windows Server 2008. Việc quản lý desktop thông qua các chính sách nhóm được thực hiện bằng việc áp dụng các thiết lập cấu hình computer và các user account. Các thiết lập chính sách nhóm tập trung ở các đối tượng chính sách nhóm (GPO: Group Policy Object). Các chính sách nhóm cho phép người quản trị để thiết lập một yêu cầu cho một user hoặc một computer. Yêu cầu có thể sau đó sẽ được đem thực hiện liên tục. Chúng ta có thể sử dụng snap-in group policy và phần mở rộng của nó trong MMC để mặc định nghĩa thiết lập chính sách nhóm. Các chính sách nhóm mở rộng:

- Administrative Templates: Dựa trên Registry: Cấu hình xuất hiện desktop, thiết lập ứng dụng và chạy các dịch vụ của hệ thống.

- Folder Redirection: Lưu trữ các folder của user trên mạng.

- Scripts: Tạo các scripts mà nó có thể được sử dụng khi một user logon hoặc logoff, khi một computer khởi động hoặc tắt máy.

- Security: Tuỳ chọn này cung cấp cho máy cục bộ, domain và các thiết lập an toàn mạng.

- Software Installation: Chủ yếu quản lý việc cài đặt phần mềm, cập nhật và xoá bỏ.

2. Ứng dụng các chính sách nhóm

Bước quan trọng trong quá trình cài đặt chính sách nhóm nhóm là phải hiểu cách thừa kế và thứ tự thực hiện của các đối tượng chính sách nhóm. Khi chúng ta ứng dụng một đối tượng chính sách nhóm đến một đối tượng chứa, nó được thừa kế trong suốt các cấp bậc của hệ thống. Đây là một cách thừa kế của Active Directory trong việc đơn giản hoá các nhiệm vụ quản trị. Chúng ta có thể kết hợp đối tượng chứa Active Directory với một GPO trong quá trình tạo nó. Đối tượng chứa có thể là một site, domain hoặc một OU. Việc thiết lập chính sách nhóm trong một GPO sẽ ảnh hưởng các đối tượng trong một đối tượng chứa.

Việc thiết lập chính sách sẽ được thừa kế theo thứ tự sau:

- Site

- Domain

- OU

Theo mặc định. Windows 2008 ước lượng các đối tượng chính sách nhóm từ đối tượng chứa xa nhất của một đối tượng. Cái mà nó được áp dụng trong việc thiết lập một site, domain và sau cùng là một OU. Việc thiết lập chính sách của một OU đến computer hoặc user thuộc về nó, sẽ thiết lập sau cùng đó là điều sẽ được áp dụng cho user hoặc computer. Do đó, một thiết lập chính sách nhóm trong đối tượng chứa Active Directory đến user hoặc computer là mâu thuẫn quan trọng của việc thiết lập chính sách nhóm trong một đối tượng chứa đó là cái ở xa nhất kể từ user hoặc computer.

Thiết lập chính sách nhóm có thể được thiết lập cho các OU cha và OU con. Trong một số trường hợp, khả năng tương thích giữa các thiết lập xác định đó là thiết lập sẽ được áp dụng. Nếu cả hai thiết thiết lập là tương thích thì sau đó các thiết lập từ cả OU cha và OU con sẽ được áp dụng trên các đối tượng của OU con. Tuy nhiên, nếu chúng không tương thích thì sau đó OU con sẽ không thừa kế các thiết lập của OU cha. Vì thế các thiết lập của OU con sẽ được áp dụng trên các đối tượng của OU con. Trong trường hợp này, các thiết lập chính sách nhóm đã được thiết kế trên OU cha và không ở trên OU con thì sau đó các đối tượng của OU con sẽ thừa kế các thiết lập của OU cha.

Các quy tắc thừa kế mặc định trong windows 2008 có thể được sửa đổi. Chúng ta cũng có thể sửa đổi các quy tắc thừa kế cho các GPO riêng lẻ. Hai tuỳ chọn đã được cung cấp cho việc thay đổi quá trình mặc định:

- Block Inheritance: Chúng ta có thể sử dụng tuỳ chọn này đến khối của một đối tượng chứa con từ việc thừa kế các thiết lập của đối tượng chứa cha. Nó đã được sử dụng khi một OU cần phải thiết lập chính sách duy nhất. Khối thừa kế được áp dụng đến tất cả các đối tượng chính sách nhóm trong đối tượng chứa cha. Trong trường hợp mâu thuẫn, tuỳ chọn No Override luôn đặt quyền ưu tiên lên tùy chọn này.

- No Override: Chúng ta có thể sử dụng tuỳ chọn này để ngăn cản một OU con từ việc đè lên các thiết lập một GPO với mức độ cao nhất. Tuỳ chọn này là một tập lên các GPO. Đây là điều có thể trong việc thiết lập tuỳ chọn này trên một hay nhiều hơn một GPO. Trong một số trường hợp, GPO với tuỳ chọn No Override, cấp bậc cao nhất trong Active Directory sẽ đặt quyền ưu tiên lên trên các GPO khác.

Một GPO là được kết hợp với một site ảnh hưởng đến tất cả các computer trong site, bất luận các domain thuộc về chúng. Tuy nhiên, GPO đã được lưu trữ chỉ trong một domain controller trong một site. Tất cả các computer phải tiếp xúc với domain controller đó là cái đã chứa GPO cho các thiết lập chính sách. Từ khi đó, site có thể chứa nhiều domain, các domain này có thể chứa nhiều domain, các domain này có thể thừa kế GPO đã được kết hợp với site.

3. Cấu hình các chính sách nhóm

Các thiết lập chính sách nhóm trong một GPO có thể được cấu hình bằng cách sử dụng snap-in Group Policy mở rộng trong MMC. Các mở rộng chính sách nhóm bao gồm các thiết lập cho:

- Administrative Templates

- Folder Redirection

- Scripts

- Security

- Remote Installation Servies

- Software Installation

Để mở một GPO ta làm như sau: Mở Active Directory Users and Computer / Active Directory Sites and Services từ menu administrative tools. Nhấp phải vào container hay OU, Nhấp propertices, Nhấp vào tab Group Policy, Chọn GPO mà chúng ta muốn, nhấp New nếu chưa có GPO và nhấp Edit

Thiết lập chính sách nhóm GPO được phân thành: Computer Configuration và User Configuration.

* Computer Configuration - Cấu hình máy tính:

Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật trên các máy tính. Đây là các thiết lập đã được áp dụng khi khởi tạo hệ điều hành. Các thiết lập cấu hình máy tính bao gồm tất cả các liên kết chính sách được chỉ rõ dưới đây:

- Software Setting

+ Software Installation

- Windows settings

+ Scripts(Startup/Shutdown)

+ Security Settings

Account Policies
Local Policy
Event log
Restricted Groups
System Services
Registry
File system

- Administrative Templates

+ Windows Components

+ System

+ Network

+ Printer

* User Configuration - Cấu hình người sử dụng:

Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật của người sử dụng. Các thiết lập người sử dụng đã được áp dụng khi người sử dụng đăng nhập vào máy tính. Các thiết lập cấu hình người sử dụng bao gồm tất cả các liên kết chính sách người sử dụng được chỉ rõ dưới đây:

- Software Settings

+ Software Installation

- Windows Settings

+ Remote Installation Services

+ Scripts(logon/logoff)

+ Security Setting

+ Folder Redirection

+ Internet Explorer maintenance

- Administrative Templates

+ Windows Components

+ Start Menu and takbar

+ Desktop

+ Control panel

+ Shared Folder

+ Network

+ System

Bên trong các folder, subfolder và các chính sách không giống nhau tuỳ theo từng trường hợp chúng ta chọn cấu hình máy tính hay cấu hình người sử dụng. Điều khiển chính sách nhóm nên tập chung vào cùng một domain controller. Do đó, bằng cách mặc định. Việc điều hành chính sách tập chung trong primary domain controller. Tuy nhiên, nếu domain controller với vai trò điều hành chính sách là PDC là không có hiệu lực, khi đó một thông báo lỗi được xuất hiện. Mặc dù, chúng ta sẽ được cho phép để chọn một domain controller khác. Chúng ta có thể lấy dữ liệu khi nhiều người quản trị đang sửa đổi trên cùng một GPO. Trong trường hợp này, thay đổi cuối cùng sẽ ghi đè lên thay đổi trước đó khi hoàn thành một GPO. Thông báo lỗi sẽ nhắc nhở khi ghi đè. Chúng ta nên chọn mục này chỉ khi chúng ta đã chắc chắn điều đó.

- Một GPO không được thay đổi bởi bất kỳ người nào

- Các GPO và các file kết hợp đã được thay thế một cách hoàn toàn sau thay đổi cuối cùng

* Các thiết lập Administrative Template:

Administrative Template chứa các đăng ký dựa trên các thiết lập chính sách nhóm. Trong registry edit, các thiết lập chính sách nhóm giành riêng cho người sử dụng được ghi ở HKEY_CURRENT_USER\Software\Policies. Tương tự, các thiết lập chính sách nhóm giành riêng cho máy tính được ghi ở HKEY_CURRENT_MACHINE\ software\ policies.

* Các thiết lập kịch bản (Script):

Windows 2008 cho phép các script được ghi trong cả computer và users. Đối với computers, chúng ta có thể để ấn định script thực hiện trong suốt quá trình cả quá trình khởi động và tắt máy.

Đối với users, chúng ta có thể án định các script thực hiện trong xuốt qúa trình đăng nhập và đăng xuất. Chúng ta có thể ấn định các script đăng nhập / đăng xuất thông qua trang properties của user account. Tuy nhiên việc gán script thông qua chính sách nhóm là phương pháp được ưu tiên hơn. Chúng ta có thể ấn định nhiều script đến một user hoặc một computer.

Trong windows 2008, các scipt được thực hiện theo các mục sau:

- Trong trường hợp nhiều script, các script đã là một quá trình theo thứ tự từ trên xuống dưới trong trường hợp này chúng đã là một danh sách trong hộp thoại properties.

- Windows 2008 thực hiện các script đăng xuất trước khi thực hiện các script tắt máy.

- Giá trị thời gian mặc định tối đa cho việc thực hiện các script là 10 phút. Tuy nhiên, chúng ta có thể thay đổi giá trị này bằng cách thay đổi thời gian chờ trong computer configuration \ Administrative Templates \ System\ Logon\ Maximum

* Các thiết lập an toàn (Security):

Chúng ta có thể thiết lập và cho hiệu lực an toàn trong mạng của chung ta bằng cách sử dụng các thiết lập an toàn chính sách nhóm. Chúng ta sử dụng các thiết lập an toàn mở rộng trong chính sách nhóm để định rõ các thiết lập an toàn. Các khoản trong các thiết lập an toàn mở rộng đã được thảo luận ở bên dưới

- Account Policies: Chính sách tài khoản cho một domain xác định.

+ Thiết lập Password

+ Thiết lập giao thức Kerberos

+ Các chính sách khoá Account

- Event Log: Chúng ta có thể cấu hình các tham số như kích thước. Truy xuất và việc sở hữu cho các ứng dụng, hệ thống và an toàn với thiết lập event log.

- File System: Các thiết lập hệ thống file cho phép chúng ta cấu hình an toàn trên các đường dẫn file riêng biệt.

- IP Security Policies on Active Directory: Chúng ta có thể cấu hình các giao thức an toàn trên mạng interner khi sử dụng chính sách IP sercurity.

- Local Policies: Các thiết lập chính sách cục bộ có thể được sử dụng cấu hình các chính sách kiểm toán, việc cấp các quyền và cho phép đối với người sử dụng và thiết lập các mục an toàn khác cần thiết để cấu hình cục bộ. Các thiết lập chính sách này là cục bộ đến các máy tính.

- Public Key Policies: Các chính sách khoá công khai có thể được cấu hình hoặc là User configuration hoặc security settings. Chúng ta có thể sử dụng các chính sách khoá công khai trong thiết lập an toàn để cấu hình các domain gốc, giao phó các quyền lực và việc khôi phục lại mã hoá dữ liệu.

- Registry: Chúng ta có thể sử dụng thiết lập registry để cấu hình an toàn các registry key.

- Restricted Group: Các chính sách hạn chế nhóm có thể được sử dụng để quản lý các thành viên của các nhóm tạo sẵn và các nhóm domain. Các nhóm tạo sẵn là administrators, Power Users và domain admins. Chúng ta có thể bổ sung các nhóm khác nhau đến nhóm restricted, song song với các thành viên chi tiết của chúng. Để làm được như thế, cho phép chúng ta theo dõi và quản lý các nhóm này như là một phần của chính sách an toàn. Nhóm restricted quản lý các thành viên của các nhóm được tạo sẵn và cũng như các thành viên của các nhóm này. Cột members Of trong tab Properties của một nhóm, danh sách tất cả các nhóm để nhóm này là một thành viên.

- System Services: Chúng ta có thể sử dụng các dịch vụ nhóm hệ thống của việc thiết lập đến các thiết lập cấu hình an toàn và khởi động đối với các dịch vụ đang hoạt động trên một máy tính. Các dịch vụ khác nhau này có thể được cấu hình như:

+ Dịch vụ mạng

+ Dịch vụ File và Print

+ Dịch vụ Telephony và Fax

+ Dịch vụ Internet / Intranet

4. Group Policy tác động đến Startup và Logon

- Mạng được khởi động. Remote Procedure Call System Service và Multiple Universal Naming Convention Provider được khởi động.

- Lấy danh sách các GPO áp dụng cho máy tính. Danh sách này phụ thuộc vào các nhân tố sau:

+ Máy tính có là một phần của windows 2008 domain hay không?

+ Vị trí của máy tính trong Active Directory.

+ Nếu danh sách GPO không thay đổi thì không cần xử lý

- Các thiết lập cấu hình máy tính được xử lý theo trình tự sau: local GPO, các Site GPO, các Domain GPO và các OU GPO.

- Các script Startup được thực thi.

- Người dùng nhấn Ctrl+Alt+Del để logon.

- Sau khi chứng thực người dùng hợp lệ thì user profile được load và các thiết lập của GP có hiệu quả.

- Lấy danh sách GPO cần áp dụng cho user. Danh sách này phụ thuộc vào:

+ User này có là thành viên trong windows 2008 domain không.

+ Chính sách loopback có được thiết lập hay không.

+ Vị trí của user trong Active Directory

+ Nếu danh sách GPO được áp dụng không thay đổi thì không cần xử lý

- Các thiết lập cấu hình của user được xử lý.( thứ tự local GPO, Site GPOs, Domain GPOs, OU, GPOs).

- Các script Logon được chạy.

- Giao diện người dùng hệ điều hành được qui định bởi GP

5. Sự kế thừa

- Group Policy được áp dụng xuống từ container cha đến tất cả container con bên trong một Domain.

- Domain con không kế thừa Group Policy từ Domain cha.

- Group Policy được kế thừa theo các cách sau:

+ Các thiết lập chính sách ở OU cha không được cấu hình thì OU con không kế thừa.

+ Các thiết lập chính sách ở OU cha được cấu hình thì:

+ Nếu ở OU con có cấu hình chính sách đó thì ghi đè thiết lập ở OU cha.

+ Nếu ở OU con không cấu hình thì kế thừa ở OU cha.

BÀI 6: QUẢN LÝ LƯU TRỮ VÀ BẢO MẬT DỮ LIỆU

1. Giới thiệu về lưu trữ dữ liệu

1.1. Cấu hình hệ thống tâp tin

Hệ thống tập tin quản lý việc lưu trữ và định vị các tập tin trên đĩa cứng. Windows Server 2008 hỗ trợ ba hệ thống tập tin khác nhau: FAT16, FAT32 và NTFS. Nếu bạn định sử dụng các tính năng như bảo mật cục bộ, nén và mã hoá các tập tin thì bạn nên dùng NTFS. Bảng sau trình bày khả năng của từng hệ thống tập tin trên Windows Server 2008:

Khả năng	FAT16	FAT32	NTFS
Hệ điều hành hỗ trợ	Hầu hết các hệ điều hành	Windows 7/ 2008	Windows 7 / 2008
Hỗ trợ tên tập tin dài	256 ký tự trên Windows	256 ký tự	256 ký tự
Sử dụng hiệu quả đĩa	Không	Có	Có
Hỗ trợ nén đĩa	Không	Không	Có
Hỗ trợ hạn ngạch	Không	Không	Có
Hỗ trợ mã hoá	Không	Không	Có
Hỗ trợ bảo mật cục bộ	Không	Không	Có
Hỗ trợ bảo mật trên mạng	Có	Có	Có
Kích thước Volume tối đa được hỗ trợ	4GB	32GB	1024GB

Trên Windows Server 2008, bạn có thể sử dụng lệnh CONVERT để chuyển đổi hệ thống tập tin từ FAT16, FAT32 thành NTFS. Cú pháp của lệnh như sau:

CONVERT [ổ đĩa:] /fs:ntfs

1.2. Cấu hình đĩa lưu trữ

a. Basic storage

Bao gồm các partition primary và extended. Partition tạo ra đầu tiên trên đĩa được gọi là partition primary và toàn bộ không gian cấp cho partition được sử dụng trọn vẹn. Mỗi ổ đĩa vật lý có tối đa bốn partition. Bạn có thể tạo ba partition primary và một partition extended. Với partition extended, bạn có thể tạo ra nhiều partition logical.

b. Dynamic storage

Đây là một tính năng mới của Windows Server 2008. Đĩa lưu trữ dynamic chia thành các volume dynamic. Volume dynamic không chứa partition hoặc ổ đĩa logic, và chỉ có thể truy cập bằng Windows Server 2008 và Windows 2003. Windows Server 2008/ Windows 2003 hỗ trợ năm loại volume dynamic: simple, spanned, striped, mirrored và RAID-5. Ưu điểm của công nghệ Dynamic storage so với công nghệ Basic storage:

- Cho phép ghép nhiều ổ đĩa vật lý để tạo thành các ổ đĩa logic (Volume).

- Cho phép ghép nhiều vùng trống không liên tục trên nhiều đĩa cứng vật lý để tạo ổ đĩa logic.

- Có thể tạo ra các ổ đĩa logic có khả năng dung lỗi cao và tăng tốc độ truy xuất…

* Volume simple

Chứa không gian lấy từ một đĩa dynamic duy nhất. Không gian đĩa này có thể liên tục hoặc không liên tục. Hình sau minh hoạ một đĩa vật lý được chia thành hai volume đơn giản.

* Volume spanned

Bao gồm một hoặc nhiều đĩa dynamic (tối đa là 32 đĩa). Sử dụng khi bạn muốn tăng kích cỡ của volume. Dữ liệu ghi lên volume theo thứ tự, hết đĩa này đến đĩa khác. Thông thường người quản trị sử dụng volume spanned khi ổ đĩa đang sử dụng trong volume sắp bị đầy và muốn tăng kích thước của volume bằng cách bổ sung thêm một đĩa khác.

Do dữ liệu được ghi tuần tự nên volume loại này không tăng hiệu năng sử dụng. Nhược điểm chính của volume spanned là nếu một đĩa bị hỏng thì toàn bộ dữ liệu trên volume không thể truy xuất được.

* Volume striped

Lưu trữ dữ liệu lên các dãy (strip) bằng nhau trên một hoặc nhiều đĩa vật lý (tối đa là 32). Do dữ liệu được ghi tuần tự lên từng dãy, nên bạn có thể thi hành nhiều tác vụ I/O đồng thời, làm tăng tốc độ truy xuất dữ liệu. Thông thường, người quản trị mạng sử dụng volume striped để kết hợp dung lượng của nhiều ổ đĩa vật lý thành một đĩa logic đồng thời tăng tốc độ truy xuất.

Nhược điểm chính của volume striped là nếu một ổ đĩa bị hỏng thì dữ liệu trên toàn bộ volume mất giá trị.

* Volume mirrored

Là hai bản sao của một volume đơn giản. Bạn dùng một ổ đĩa chính và một ổ đĩa phụ. Dữ liệu khi ghi lên đĩa chính đồng thời cũng sẽ được ghi lên đĩa phụ. Volume dạng này cung cấp khả năng dung lỗi tốt. Nếu một đĩa bị hỏng thì ổ đĩa kia vẫn làm việc và không làm gián đoạn quá trình truy xuất dữ liệu. Nhược điểm của phương pháp này là bộ điều khiển đĩa phải ghi lần lượt lên hai đĩa, làm giảm hiệu năng.

Để tăng tốc độ ghi đồng thời cũng tăng khả năng dung lỗi, bạn có thể sử dụng một biến thể của volume mirrored là duplexing. Theo cách này bạn phải sử dụng một bộ điều khiển đĩa khác cho ổ đĩa thứ hai.

Nhược điểm chính của phương pháp này là chi phí cao. Để có một volume 4GB bạn phải tốn đến 8GB cho hai ổ đĩa.

* Volume RAID-5

Tương tự như volume striped nhưng RAID-5 lại dùng thêm một dãy (strip) ghi thông tin kiểm lỗi parity. Nếu một đĩa của volume bị hỏng thì thông tin parity ghi trên đĩa khác sẽ giúp phục hồi lại dữ liệu trên đĩa hỏng. Volume RAID-5 sử dụng ít nhất ba ổ đĩa (tối đa là 32).

Ưu điểm chính của kỹ thuật này là khả năng dung lỗi cao và tốc độ truy xuất cao bởi sử dụng nhiều kênh I/O.

2. Sao lưu và phục hồi dữ liệu

Shadow Copies là dịch vụ cho phép người dùng truy cập hoặc khôi phục những phiên bản trước đây của những tập tin đã lưu, bằng cách dùng một tính năng ở máy trạm gọi là Previous Versions.

$D:\Desktop\Untitled-1 copy.jpg$

3. Mã hóa dữ liệu bằng EFS

EFS (Encrypting File System) là một kỹ thuật dùng trong Windows Server 2003 dùng để mã hoá các tập tin lưu trên các partition NTFS. Việc mã hoá sẽ bổ sung thêm một lớp bảo vệ an toàn cho hệ thống tập tin. Chỉ người dùng có đúng khoá mới có thể truy xuất được các tập tin này còn những người khác thì bị từ chối truy cập. Ngoài ra, người quản trị mạng còn có thể dùng tác nhân phục hồi (recovery agent) để truy xuất đến bất kỳ tập tin nào bị mã hoá. Để mã hoá các tập tin, tiến hành theo các bước sau:

Mở cửa sổ Windows Explorer.
Trong cửa sổ Windows Explorer, chọn các tập tin và thưc mục cần mã hoá. Nhấp phải chuột lên các tập tin và thư mục, chọn Properties.
Trong hộp thoại Properties, nhấn nút Advanced.
Hộp thoại Advanced Properties xuất hiện, đánh dấu mục Encrypt contents to secure data và nhấn OK.

$D:\Desktop\Untitled-1 copy.jpg$

Trở lại hộp thoại Properties, nhấn OK, xuất hiện hộp thoại Confirm Attribute Changes yêu cần bạn cho biết sẽ mã hoá chỉ riêng thư mục được chọn (Apply changes to this folder only) hoặc mã hoá toàn bộ thư mục kể các các thư mục con (Apply changes to this folder, subfolders and /files). Sau đó nhấn OK.

$D:\Desktop\Untitled-2 copy.jpg$

Để thôi không mã hoá các tập tin, bạn thực hiện tương tự theo các bước trên nhưng bỏ chọn mục Encrypt contents to secure data.

4. Thiết lập hạn ngạch

Hạn ngạch đĩa được dùng để chỉ định lượng không gian đĩa tối đa mà một người dùng có thể sử dụng trên một volume NTFS. Bạn có thể áp dụng hạn ngạch đĩa cho tất cả người dùng hoặc chỉ đối với từng người dùng riêng biệt.

Một số vấn đề bạn phải lưu ý khi thiết lập hạn ngạch đĩa:

- Chỉ có thể áp dụng trên các volume NTFS.

- Lượng không gian chiếm dụng được tính theo các tập tin và thư mục do người dùng sở hữu.

- Khi người dùng cài đặt một chương trình, lượng không gian đĩa còn trống mà chương trình thấy được tính toán dựa vào hạn ngạch đĩa của người dùng, không phải là lượng không gian còn trống trên volume.

- Được tính toán trên kích thước thật sự của tập tin trong trường hợp tập tin/thư mục được nén.

4.1. Cấu hình hạn ngạch đĩa

Bạn cấu hình hạn ngạch đĩa bằng hộp thoại Volume Propertise đã giới thiệu trong phần trên. Bạn cũng có thể mở hộp thoại này bằng cách nhấp phải chuột lên ký tự ổ đĩa trong Windows Explorer và chọn Propertise. Trong hộp thoại này nhấp chọn tab Quota. Theo mặc định tính năng hạn ngạch đĩa không được kích hoạt.

$D:\Desktop\Untitled-3 copy.jpg$

Các mục trong hộp thoại có ý nghĩa như sau:

- Enable quota management: thực hiện hoặc không thực hiện quản lý hạn ngạch đĩa.

- Deny disk space to users exceeding quota limit: người dùng sẽ không thể tiếp tục sử dụng đĩa khi vượt quá hạn ngạch và nhận được thông báo out of disk space.

- Select the default quota limit for new users on this volume: định nghĩa các giới hạn sử dụng. Các lựa chọn bao gồm “không định nghĩa giới hạn” (Do not limit disk space), “giới hạn cho phép” (Limit disk space to) và “giới hạn cảnh báo” (Set warning level to).

- Select the quota logging options for this volume: có ghi nhận lại các sự kiện liên quan đến sử dụng hạn ngạch đĩa. Có thể ghi nhận khi người dùng vượt quá giới hạn cho phép hoặc vượt quá giới hạn cảnh báo.

Biểu tượng đèn giao thông trong hộp thoại có các trạng thái sau:

- Đèn đỏ cho biết tính năng quản lý hạn ngạch không được kích hoạt.

- Đèn vàng cho biết Windows Server 2003 đang xây dựng lại thông tin hạn ngạch.

- Đèn xanh cho biết tính năng quản lý đang có tác dụng.

4.2. Thiết lập hạn ngạch mặc định

Khi bạn thiết lập hạn ngạch mặc định áp dụng cho các người dùng mới trên volume, chỉ những người dùng chưa bao giờ tạo tập tin trên volume đó mới chịu ảnh hưởng. Có nghĩa là những người dùng đã sở hữu các tập tin/thư mục trên volume này đều không bị chính sách hạn ngạch quy định. Như vậy, nếu bạn dự định áp đặt hạn ngạch cho tất cả các người dùng, bạn phải chỉ định hạn ngạch ngay từ khi tạo lập volume.

Để thực hiện, bạn mở hộp thoại Volume Properties và chọn tab Quota. Đánh dấu chọn mục Enable quota management và điền vào các giá trị giới hạn sử dụng và giới hạn cảnh báo.

4.3. Chỉ định hạn ngạch cho từng cá nhân

Trong một vài trường hợp, bạn cần phải chỉ định hạn ngạch cho riêng một người nào đó, chẳng hạn có thể là các lý do sau:

- Người dùng này sẽ giữ nhiệm vụ cài đặt các phần mềm mới, và như vậy họ phải có được lượng không gian đĩa trống lớn.

- Hoặc là người dùng đã tạo nhiều tập tin trên volume trước khi thiết lập hạn ngạch, do vậy họ sẽ không chịu tác dụng. Bạn phải tạo riêng một giới hạn mới áp dụng cho người đó.

Để thiết lập, nhấn nút Quota Entries trong tab Quota của hộp thoại Volume Properties. Cửa sổ Quota Entries xuất hiện.

$D:\Desktop\Untitled-4 copy.jpg$

Chỉnh sửa thông tin hạn ngạch của một người dùng: nhấn đúp vào mục của người dùng tương ứng, hộp thoại Quota Setting xuất hiện cho phép bạn thay đổi các giá trị hạn ngạch.

$D:\Desktop\Untitled-5 copy.jpg$

Bổ sung thêm một mục quy định hạn ngạch: trong cửa sổ Quota Entries, vào menu Quota chọn mục New Quota Entry / xuất hiện hộp thoại Select Users, bạn chọn người dùng rồi nhấn OK / xuất hiện hộp thoại Add New Quota Entry, bạn nhập các giá trị hạn ngạch thích hợp và nhấn OK.

BÀI 7: GIÁM SÁT VÀ DUY TRÌ HOẠT ĐỘNG CỦA SERVER

1. Phương thức quản trị Server

2. Giám sát hoạt động của Server

Là một nhà quản trị mạng với hệ thống mạng bao gồm một máy chủ chứa dữ liệu rất quan trọng. Máy chủ có thể chạy liên tục, nhưng khi người quản trị truy cập vào máy chủ thì báo lỗi từ chối dịch vụ do không thể kết nối. Khi xem xét tình hình thì thấy một số dữ liệu đã bị mất, lúc này cần xem ai đã gây ra vấn đề trên, việc ghi lại log của hệ thống ngoài việc cho phép người quản trị phát hiện ra các lỗi trong quá trình hoạt động của hệ thống còn cho phép phát hiện ra những truy cập bất hợp pháp.

Toàn bộ các vấn đề liên quan tới log hệ thống được tích hợp trên Windows với hai công cụ chính đó là Event Viewer và Reliability and Performance Monitor.

* Quan sát các đường biểu diễn hiệu năng bằng Reliability and Performance Monitor (perfmon.msc)

Khi nói đến giám sát hệ thống người ta sẽ nghĩ ngay tới công cụ chủ yếu là Performance Monitor và Reliability Monitor của Monitoring Tools trong Reliability and Performance Monitor.

Để sử dụng công cụ Reliability and Performance Monitor, từ menu Start, chọn Run; khi hộp thoại Run xuất hiện, gõ perfmon.msc

Performance Monitor

Performance Monitor là một công cụ rất mạnh để giám sát các counter chi tiết của những đối tượng khác nhau, với tính năng thêm bớt rất linh hoạt cho phép người dùng có thể chỉ cần nhấn vào dấu + để add thêm các counter khác, hoặc có thể nhấn X để không giám sát những counter không cần thiết. Mặc định hệ thống sẽ giám sát ba đối tượng là: Memory, PhysicalDisk, và Processor. Các thuộc tính đặc trưng của mỗi đỗi tượng là: Memory với thuộc tính Pages/sec, PhysicalDisk với thuộc tính AVG Disk Queue Length, với Processor có thuộc tính % Preccessor Time

$D:\Desktop\hihi.jpg$

Giao diện Performance Monitor

Khi muốn thêm các counter của một object cụ thể, nhấn vào nút + sẽ suất hiện cửa cửa sổ. Hình dưới minh họa việc add thêm thuộc tính %user time của Processor.

$D:\Desktop\hihi.jpg$

Thêm các counter vào theo dõi

Sau đó loại bỏ toàn bộ các counter khác của các đối tượng khác và chỉ giám sát mỗi counter % User Time của processor mà thôi

$D:\Desktop\hihi.jpg$

Giám sát counter % User Time của đối tượng Processor

Khi cần xem lại, nhắp chuột phải vào cửa sổ, chọn Save Settings As… để lưu với định dạng . Với định dạng này có thể view trực tiếp hoặc có thể xem các quá trình đã được ghi lại trong hệ thống

$D:\Desktop\hihi.jpg$

Xem lại các thiết lập đã được ghi lại bởi định dạng file

Reliability Monitor

Độ tin cậy của một hệ thống là thước đo mức độ thường xuyên hệ thống hoạt động như là cấu hình và dự kiến sẽ thực hiện. Độ tin cậy có thể giảm khi ứng dụng ngừng đáp ứng, dừng và khởi động lại các dịch vụ, khởi tạo các trình điều khiển bị lỗi, hoặc trong trường hợp xấu nhất, khi hệ điều hành bị lỗi.

Reliability Monitor cung cấp thông tin tổng quát một cách nhanh chóng. Ngoài ra, nó theo dõi sự kiện sẽ giúp xác định những gì gây ra lỗi. Bằng cách ghi lại các lỗi (bao gồm cả lỗi bộ nhớ, đĩa cứng, ứng dụng và hệ điều hành), nhưng cũng có các sự kiện quan trọng về cấu hình của hệ thống (bao gồm cả việc cài đặt ứng dụng mới, cập nhật hệ điều hành.

Reliability Monitor ước tính chỉ số ổn định hệ thống (System Stability Index) với một biểu đồ chỉ số ổn định để xác định một cách nhanh chóng các vấn đề có thể xảy ra. Các báo cáo kèm theo cung cấp một cách chi tiết giúp xác định và khắc phục sự cố các nguyên nhân xảy ra lỗi. Khi xem các thay đổi trên hệ thống từ báo cáo (cài đặt / loại bỏ các ứng dụng, cập nhật hệ điều hành hay lỗi phần cứng) người quản trị có thể có chiến lược để giải quyết các vấn đề một cách nhanh chóng.

$D:\Desktop\hihi.jpg$

* Ghi lại sự kiện hệ thống bằng công cụ Event Viewer

Event Viewer là một công cụ tích hợp trong Windows cho phép xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều tham số cụ thể như: user, time, computer, services… Các sự kiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng ta lấy được những thông tin cần thiết một cách nhanh nhất.

Trong Event Viewer đã phân vùng các sự kiện riêng biệt cho từng ứng dụng, một máy chủ cài đặt mặc định sẽ có các phân vùng trong Event Viewer: Application, Security, System

Để mở Event Viewer, mở công cụ Server Manager bằng cách nhắp phải chuột vào biểu tượng Computer chọn Manage rồi truy cập vào Event Viewer.

$D:\Desktop\hihi.jpg$

Event viewer chia các vùng log riêng biệt cho các ứng dụng

Application log

Application log ghi lại sự kiện của các ứng dụng khác từ các nhà sản xuất khác như symantec hay các ứng dụng mail… Thường thiết lập trong application là mặc định của các ứng dụng nên chúng ta chỉ có thể đọc nó mà không thiết lập được.

$D:\Desktop\hihi.jpg$

Các sự kiện được lưu lại trong application log

Trong ví dụ trên application log chỉ được phần mềm symantec sử dụng.

Security log

Đây là một trong những log quan trọng nhất trong hệ thống, nó ghi lại toàn bộ các thiết lập audit trong group policy. Nhưng trong các thiết lập group policy quan trọng nhất là thiết lập giám sát quá trình login vào hệ thống, truy cập dữ liệu.

$D:\Desktop\hihi.jpg$

Thiết lập audit trong group policy

Trong thiết lập này chỉ thiết lập giám sát quá trình truy cập login - logoff hệ thống. Nếu với thiết lập như trên toàn bộ người dùng logon hay logoff vào hệ thống đều được ghi lại sau khi thiết lập trong group policy, chúng ta nên logoff hoặc restart lại máy bởi các thông tin chỉnh trong group policy bản chất là tùy chỉnh các thông số trong registry.

Sau khi logoff ra và login vào sẽ thấy ghi lại trong security log.

$D:\Desktop\hihi.jpg$

Xem lại event logon vào hệ thống của các user

Sau khi logon vào máy tính mở event viewer ra xem, chúng ta có thể phát hiện ra hệ thống đã lưu lại username: vangtrang computer: vnexperts, event: success audit, time: 8:10:06 PM

System Log

System log được thiết lập mặc định của hệ thống giúp chúng ta xem lại các sự kiện: Bật, tắt, pause, disable, enable các services của hệ thống.

Chẳng hạn, một service bật bị lỗi trong thời điểm nào nó sẽ ghi lại trong system log của event viewer.

$D:\Desktop\hihi.jpg$

Xem một event trong system log (với thông tin là Server đã bị lỗi do trong mạng LAN có máy tính trùng tên hoặc trùng địa chỉ IP)

Log Properties

Log properties giúp chúng ta cấu hình dung lượng file log, cách xoá các event cũ đi như thế nào, và những tính năng lọc các sự kiện.

$D:\Desktop\hihi.jpg$

Tab General của Security Properties

Đây là thiết lập cho security properties: Với file log tên là gì và ở đâu: %SystemRoot%\System32\Winevt\Logs\Security.evtx

Dung lượng tối đa cho file log này là 20480 KB; tuy nhiên,chúng ta có thể cấu hình lại lớn hơn hoặc nhỏ hơn, nếu dung lượng file log lớn hơn 20480 KB hệ thống sẽ tự xoá các sự kiện cũ theo thuật toán First in First out (vào trước - ra trước).

3. Phát hiện và khắc phục sự cố

Để giữ cho server an toàn, cần thực hiện các yêu cầu sau:

- Duy trì nhiều bản sao đối với dữ liệu quan trọng, các server có vai trò quan trọng (chẳng hạn Domain Controller).

- Bảo vệ mạng về mặt vật lý.

- Bảo vệ dữ liệu hệ thống và dữ liệu người dùng bằng chiến lược lưu dự phòng hợp lý.

- Chuẩn bị kế hoạch khôi phục từng thời điểm.

- Tìm hiểu cách server hoạt động để có thể giải quyết trục trặc và có thể ngăn ngừa phát sinh về sau.

- Cài đặt các hotfix, patch, và service pack do nhà cung cấp phát hành.

* Có dự phòng

Trên server, bảo vệ dữ liệu quan trọng bằng các volume đĩa có tính chịu lỗi, bằng phần mềm, hoặc bằng phần cứng. Để bảo vệ dữ liệu khỏi tổn hại do các hỏng hóc của server – không chỉ hỏng hóc về đĩa – có thể sao chép ra nhiều nơi trên mạng.

Nguyên tắc dự phòng cũng có thể áp dụng cho mạng; cụ thể, khi có nhiều Domain Controller có thể sẽ đơn giản quá trình khôi phục mà người quản trị sẽ tiến hành nếu một máy bị hỏng. Thay vì khôi phục cấu trúc miền từ các bản dự phòng hoặc xây dựng lại hoàn toàn, có thể để quy trình sao chép đảm trách việc khôi phục.

* Bảo vệ điện năng cho server

Sử dụng UPS bất kỳ khi nào để bảo vệ điện năng cho các server và các thiết bị phần cứng của mạng. Đây là cách bảo vệ mạng khỏi các tổn hại do sự thay đổi điện áp một cách đột ngột. Bảo vệ điện năng cũng là cách bảo vệ dữ liệu khỏi sự mất mát.

* Quan tâm về môi trường

Làm giảm các hỏng hóc do môi trường sinh ra bằng cách tránh xa môi trường “có vấn đề”. Đảm bảo rằng, phòng chứa server phải được điều hòa không khí, tránh ánh nắng trực tiếp. Tránh xa mọi thứ có thể gây ô nhiễm, có thể gây hại cho server.

* Hạn chế tiếp cận server

Những người đang sử dụng mạng, hoặc không có phận sự thì không được phép tiếp cận server. Điều đó nghĩa là, một người dùng thông thường thì không được thực hiện các thao tác sau tại server:

- Reboot hoặc tắt các server.

- Lấy đĩa cứng có chứa dữ liệu ra khỏi server khi chưa được phép.

- Cài đặt lại hệ điều hành máy.

- Hạn chế quyền truy cập vào server.

* Sử dụng hiệu quả password

- Không cho mạo danh lẫn nhau để sử dụng tài khoản và mật khẩu trên tài khoản.

- Sử dụng mật khẩu có độ phức tạp cao - nếu phải crack thì cần phải có nhiều thời gian để thực hiện.

- Ngăn ngừa việc tiếp cận tài khoản của người khác.

4. Sao lưu và phục hồi hệ thống

Windows Server Backup cho phép tạo bản sao lưu để khôi phục lại ứng dụng và dữ liệu nhằm khôi phục lại hệ thống khi có sự cố đối với server.

Để thực hiện sao lưu, cần phải:

- Xác định vị trí để lưu trữ bản sao; bản sao phải được lưu trữ trên đĩa đính kèm hoặc thư mục được chia sẻ từ xa. Đảm bảo rằng bất kỳ đĩa cứng để lưu trữ bản sao lưu của bạn có kèm theo và trực tuyến. Đĩa nên có dung lượng lớn hơn ít nhất là 2,5 lần dung lượng cần lưu trữ. Mặc định, nếu lưu trữ bản sao trong một thư mục được chia sẻ từ xa, sao lưu sẽ được ghi đè mỗi khi tạo bản sao lưu mới. Nếu muốn lưu trữ nhiều bản sao lưu, không nên chọn tuỳ chọn này.

- Cài đặt công cụ Backup, bằng cách:

+ Mở Server Manager, nhắp phải vào Features, chọn Add Features;

+ Trong cửa sổ Add Features Wizard, đánh dấu chọn mục Windows Server Backup Features; chọn Next; chọn Install.

4.1. Cách lưu dự phòng

1. Mở công cụ Backup: Start -> Administrative Tools -> Windows Server Backup; hoặc từ cửa sổ Server Manager, chọn Storage, chọn Windows Server Backup

2. Tại khung Actions, chọn Backup Schedule…

3. Khi hộp thoại Backup Schedule Wizard – Getting started xuất hiện, chọn Next;

4. Trong trang Select backup configuration, chọn kiểu backup, chọn Next

$D:\Desktop\hihi.jpg$

Trong đó:

+ Full server: sao lưu tất cả các volume trên server. Đây là tùy chọn được khuyến cáo nên chọn.

+ Custom: sao lưu volume được chỉ định. Khi chọn tùy chọn này, cần chỉ định: Trên trang Select Items for Backup, chọn Add Items. Trong Select Items chọn volume cần sao lưu; chọn OK.

5. Trong hộp thoại Specify Backup Time, chọn tần suất và thời điểm thực hiện backup rồi chọn Next;

$D:\Desktop\hihi.jpg$

6. Trên trang Specify Destination Type, chỉ định vị trí lưu trữ bản sao:

- Back up to a hard disk that is dedicated for backups: Chỉ định lưu bản sao trên một đĩa cứng dành riêng;

- Back up to a shared network folder: Chỉ định lưu bản sao trên một thư mục được chia xẻ.

7. Trên trang Confirmation, xem các thông tin chi tiết rồi chọn nút Finish để hoàn tất.

4.2. Khôi phục dữ liệu

a. Khôi phục file và Folder

Có thể sử dụng Recovery Wizard trong Windows Server Backupđể khôi phục các file và Folder từ bản sao lưu. Trước khi bạn bắt đầu, cần phải:

- Đảm bảo tồn tại ít nhất một sao lưu trên một đĩa ngoài hoặc trong Folder được chia xẻ từ xa.

- Hãy chắc chắn rằng đĩa ngoài hoặc Folder được chia xẻ từ xa đang lưu trữ bản sao lưu là trực tuyến và có sẵn cho máy chủ.

Xác định các file hoặc Folder muốn khôi phục.

Để khôi phục file hoặc Folder, sử dụng giao diện Windows Server Backup:

1. Từ Start menu, chọn Administrative Tools, chọn Windows Server Backup.

2. Trong khung Actions chọn Recover để mở Recovery Wizard. Trên trang Getting Started chọn một trong các tùy chọn This server hoặc Another server để chỉ định vị trí nguồn, sau đó chọn Next.

3. Trên trang Select Backup Date , chọn thời điểm khôi phục, rồi chọn Next.

4. Trên trang Select Recovery Type , chọn Files and folders, chọn Next.

5. Chọn thư mục với các nội dung cần khôi phục trong trang Select Items to Recover, chọn Next.

6. Trên trang Specify Recovery Options, chọn vị trí để chứa các đối tượng khôi phục.

7. Chọn phương thức khôi phục (tạo bản sao / Ghi đè …) rồi chọn Next:

8. Lựa chọn các thiết lập liên quan đến file hay Folder được khôi phục, chọn Next.

9. Chọn Recover trên trang Confirmation để khôi phục các đối tượng được chỉ định.

b. Khôi phục ứng dụng và dữ liệu

Có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục ứng dụng và dữ liệu liên quan đến từ bản sao lưu.

Trước khi bắt đầu, cần chắc chắn rằng, có ít nhất một bản sao lưu của các ứng dụng tồn tại trên máy cục bộ hoặc trong một thư mục được chia sẻ từ xa, và đĩa chứa file backup là trực tuyến hoặc thư mục được chia xẻ từ xa là có sẵn.

Cách thực hiện:

1. Từ Start menu, chọn Administrative Tools, chọn Windows Server Backup.

2. Trong khung Actions chọn Recover để mở Recovery Wizard. Trên trang Getting Started chọn một trong các tùy chọn This server hoặc Another server để chỉ định vị trí nguồn, sau đó chọn Next.

3. Trên trang Select Backup Date , chọn thời điểm khôi phục, rồi chọn Next.

4. Trên trang Select Recovery Type , chọn Applications, chọn Next.

5. Lựa chọn các thiết lập liên quan đến ứng dụng cần khôi phục, chọn Next.

6. Trên trang Specify Recovery Options, chọn vị trí để chứa các đối tượng khôi phục.

7. Chọn phương thức khôi phục (tạo bản sao / Ghi đè …) rồi chọn Next:

8. Lựa chọn các thiết lập liên quan đến file hay Folder được khôi phục, chọn Next.

9. Chọn Recover trên trang Confirmation để khôi phục các đối tượng được chỉ định.

c. Khôi phục đĩa

Có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục lại đĩa. Khi bạn khôi phục đầy đủ một đĩa, tất cả nội dung của đĩa sẽ được khôi phục

Cách thực hiện:

1. Từ Start menu, chọn Administrative Tools, chọn Windows Server Backup.

2. Trong khung Actions chọn Recover để mở Recovery Wizard. Trên trang Getting Started chọn một trong các tùy chọn This server hoặc Another server để chỉ định vị trí nguồn, sau đó chọn Next.

3. Trên trang Select Backup Date , chọn thời điểm khôi phục, rồi chọn Next.

4. Trên trang Select Recovery Type , chọn Volumes, chọn Next.

5. Lựa chọn các thiết lập liên quan đến đĩa cần khôi phục, chọn Next.

6. Chọn Recover trên trang Confirmation để khôi phục các đối tượng được chỉ định.

d. Khôi phục hệ điều hành và server

Có thể khôi phục Hệ thống điều hành máy chủ hoặc máy chủ bằng cách sử dụng Windows Recovery Environment và một bản sao lưu đã tạo ra trước đó với Windows Server Backup.

Có thể truy cập công cụ phục hồi và xử lý sự cố trong Windows Recovery Environment thông qua hộp thoại System Recovery Options trong Install Windows Wizard. Trong Windows Server 2008 R2, để khởi động công cụ này, sử dụng đĩa cài đặt Windows hoặc khởi động lại máy tính, nhấn F8, và sau đó chọn Repair Your Computer từ danh sách các tùy chọn khởi động.

Cách thực hiện:

1. Đặt đĩa cài đặt Windows vào khay đĩa, khởi động lại máy, chờ xuất hiện cửa sổ Install Windows Wizard

2. Trong Install Windows, chọn ngôn ngữ cài đặt rồi chọn Next.

3. Chọn Repair your computer.

4. Trên trang System Recovery Options , chọn System Image Recovery sẽ mở trang Re-image your computer.

5. Lựa chọn phương thức khôi phục rồi chọn Next.

6. Chọn nút Finish để hoàn tất.

Quản trị môi trường mạng

Nội dung tài liệu

Các tài liệu liên quan

Có thể bạn quan tâm

Thông tin tài liệu

BÀI 1: TỔNG QUAN VỀ WINDOWS SERVER 2008

1. Tính năng vượt trội

2. Các phiên bản của Windows Server 2008

3. Tính năng trong Windows Server 2008

4. Cài đặt Windows Server 2008

BÀI 2: DỊCH VỤ ACTIVE DIRECTORY

1. Tổng quan về Active Directory

2. Cài đặt và cấu hình dịch vụ Active Directory

3. Triển khai Active Directory Forest và Domain Tree

BÀI 3: QUẢN TRỊ CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY

1. Quản trị tài khoản User , Group , Computer

2. Quản trị OU

3. Quản trị Profile User

4. Tạo các đối tượng bằng Command Line

BÀI 4: QUẢN TRỊ TÀI NGUYÊN CHIA SẺ

1. Tổng quan về quyền truy xuất tệp tin và thư mục

2. Shared Folder

3. NTFS Permission

4. Triển khai DFS

BÀI 5: TRIỂN KHAI CHÍNH SÁCH

1. Giới thiệu về Group Policy Object (GPO)

2. Ứng dụng các chính sách nhóm

3. Cấu hình các chính sách nhóm

4. Group Policy tác động đến Startup và Logon

5. Sự kế thừa

BÀI 6: QUẢN LÝ LƯU TRỮ VÀ BẢO MẬT DỮ LIỆU

1. Giới thiệu về lưu trữ dữ liệu

2. Sao lưu và phục hồi dữ liệu

3. Mã hóa dữ liệu bằng EFS

4. Thiết lập hạn ngạch

BÀI 7: GIÁM SÁT VÀ DUY TRÌ HOẠT ĐỘNG CỦA SERVER

1. Phương thức quản trị Server

2. Giám sát hoạt động của Server

3. Phát hiện và khắc phục sự cố

4. Sao lưu và phục hồi hệ thống