Giáo trình Quản trị mạng Windows Server bậc Cao đẳng

Nội dung text: Giáo trình Quản trị mạng Windows Server bậc Cao đẳng

1. BM31/QT02/NCKH ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH   Trang bìa GIÁO TRÌNH QUẢN TRỊ MẠNG WINDOWS SERVER BẬC CAO ĐẲNG Tp. Hồ Chí Minh - 2017
2. BM31/QT02/NCKH ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG CAO ĐẲNG KINH TẾ - KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH   Trang phụ bìa GIÁO TRÌNH QUẢN TRỊ MẠNG WINDOWS SERVER THÔNG TIN NGƯỜI BIÊN SOẠN Chủ biên: Lý Quốc Hùng Học vị: Thạc sỹ Thành viên tham dự Học vị: TRƯỞNG KHOA TỔ TRƯỞNG CHỦ NHIỆM BỘ MÔN ĐỀ TÀI HIỆU TRƯỞNG DUYỆT
3. LỜI NÓI ĐẦU Như chúng ta đã biết khoa học máy tính ngày nay vô cùng phát triển, do yêu cầu công việc muốn trao đổi thông tin với nhau thì người ta cần đến mạng máy tính. Mạng máy tính giúp rút ngắn khoảng cách về địa lí dù bạn ở nơi đâu. Điều đó đã kéo theo sự phát triển không ngừng của các mạng máy tính như: mạng lan, mạng wan, mạng internet. Để đáp ứng yêu cầu trên trong giáo trình quản trị mạng Window server 2008 này sẽ giúp các bạn hiểu rõ hơn về cơ chế vận hành, quản trị mạng máy tính cũng như các phương thức thiết lập chính sách với nhu cầu trao đổi thông tin nhằm bảo mật thông tin đó ngày càng tốt hơn. Window server 2008 là một sự lựa chọn đúng đắn nhất. Windows Server 2008 (tên mã là “Longhorn”) được xây dựng trên những thành công và sức mạnh của Windows Server 2003 – là hệ điều hành vốn được trao tặng nhiều giải thưởng và những cách tân có trong bản Service Pack 1 và Windows Server 2003 R2. Bổ sung thêm chức năng mới, Windows Server 2008 mang đến những cải tiến mạnh mẽ cho hệ điều hành cơ sở này. Với những cải tiến đa dạng đã giúp người quản trị tiết kiệm thời gian, chi phí và tận dụng triệt để cấu trúc hạ tầng. Với những tính năng tiên tiến như Network Access Protectionvà Read-Only Domain Controller đã tăng cường tính bảo mật và an toàn dữ liệu. Ngoài ra, Windows Server 2008 cũng cung cấp các công cụ mới mạnh mẽ như IIS7, Windows Server Manager và Windows PowerShell giúp đơn giản hóa công tác quản trị và cấu hình hệ thống. Ngoài ra, Windows Server 2008 còn tích hợp thêm công cụ Web gắn trong và công nghệ ảo hóa nâng cao tính tin cậy và linh động cho hệ thống. Nói tóm lại, Windows Server 2008 là một cuộc các mạng mới về dòng sản phẩm Server của Microsoft, giúp cho những người quản trị dễ dàng và chủ động hơn trong việc quản lý, cấu hình các dịch vụ cũng như là quản trị môi trường mạng. 1
4. MỤC LỤC Chương 1. TỔNG QUAN VỀ HỆ ĐIỀU HÀNH WINDOWS SERVER 2008 1.1 Giới thiệu và cài đặt windows server 2008 11 1.1.1 Tổng quan về hệ điều hành Windows Server 2008 11 1.1.2 Các công cụ quản trị trên Windows server 2008 11 1.1.3 Chuẩn bị cài đặt Windows server 2008 15 1.1.4 Nâng cấp lên Windows server 2008 16 1.1.5 Câu hỏi và bài tập 17 1.2 Cài đặt windows server 2008 17 1.2.1 Cài đặt thủ công 17 1.2.2 Khởi tạo cấu hình 21 1.2.3 Cài đặt thêm tính năng. 23 1.2.4 Cài đặt Server Manager 24 1.2.5 Cài đặt tự động 24 1.2.6 Câu hỏi và bài tập 26 Chương 2. THIẾT LẬP VÀ QUẢN TRỊ HỆ THỐNG MẠNG 2.1 Các mô hình mạng trong môi trường microsoft 28 2.1.1 Mô hình mạng Workgroup 28 2.1.2 Giới thiệu Active Directory 31 2.1.3 Các thành phần cơ bản và chức năng của Active Directory 32 2.1.4 Cài đặt và cấu hình Active Directory 36 2.1.5 Gia nhập máy trạm vào Domain 41 2.1.6 Xây dựng Organizational Unit 42 2.1.7 Tài khoản người dùng User acount 43 2.1.8 Tài khoản người dùng nhóm (Groups) 44 2.1.9 Câu hỏi và bài tập 46 2.2 Quản lý tài khoản người dùng và nhóm 46 2.2.1 Tài khoản người dùng cục bộ 46 2
5. 2.2.2 Tài khoản người dùng miền 47 2.2.3 Chứng thực và kiểm soát truy cập 48 2.2.4 Các tài khoản tạo sẵn 50 2.2.5 Tài khoản nhóm Domain Local tạo sẵn 51 2.2.6 Tài khoản nhóm Global tạo sẵn 54 2.2.7 Các nhóm tạo sẵn đặc biệt 54 2.2.8 Chính sách tài khoản người dùng 55 2.2.9 Chính sách khóa tài khoản (Account Lockout Policy) 57 2.2.10 Chính sách cục bộ (Local Policies) 58 2.2.11 Chính sách kiểm toán 58 2.2.12 Quyền hệ thống của người dùng 60 2.2.13 Các lựa chọn bảo mật 66 2.2.14 Chính sách tài khoản người dùng nhóm (Group Policy) 67 2.2.15 Triển khai một chính sách nhóm trên miền 69 2.2.16 Xem chính sách cục bộ của một máy tính ở xa 70 2.2.17 Tạo các chính sách miền 70 2.2.18 Khai báo một logon script dùng chính sách nhóm 71 2.2.19 Hạn chế chức năng của Internet Explorer 73 2.2.20 Chỉ cho phép một số ứng dụng được thi hành 73 2.2.21 Cài đặt phần mềm ứng dụng (Deploy software) 74 2.2.22 Câu hỏi và bài tập 77 2.3 Quản lý các thư mục dung chung 78 2.3.1 Chia sẻ dữ liệu (Share Permision) 78 2.3.2 Cấu hình Share Permissions 79 2.3.3 Chia sẻ thư mục dùng lệnh net share 80 2.3.4 Quyền truy cập NTFS 81 2.3.5 Các quyền truy cập của NTFS 81 2.3.6 Các mức quyền truy cập được dùng trong NTFS 82 2.3.7 Gán quyền truy cập NTFS trên thư mục dùng chung 83 3
6. 2.3.8 Kế thừa và thay thế quyền của đối tượng con 85 2.3.9 Thay đổi quyền khi di chuyển thư mục và tập tin 86 2.3.10 Giám sát người dùng truy cập thư mục 86 2.3.11 Thay đổi người sở hữu thư mục 87 2.3.12 Câu hỏi và bài tập 88 2.4 Home directory, roaming profile & quota 89 2.4.1 Khái niệm Profile 89 2.4.2 Giới thiệu về Home Directory 91 2.4.3 Mục đích sử dụng Home Directory 91 2.4.4 Giới thiệu Roaming profile 91 2.4.5 Mục đích sử dụng của Roaming Profile 91 2.4.6 Dịch vụ tập tin (File Services) 91 2.4.7 Quản lý Quota 93 2.4.8 Quản lý các báo cáo 95 2.4.9 Câu hỏi và bài tập 95 2.5 Quản lý in ấn 96 2.5.1 Cài đặt máy in 96 2.5.2 Quản lý thuộc tính máy in 97 2.5.3 Giấy và chất lượng in 98 2.5.4 Các thông số mở rộng 99 2.5.5 Cấu hình chia sẻ máy in 99 2.5.6 Cấu hình thông số port cho máy in 100 2.5.7 Cấu hình các thông số trong Tab Port 100 2.5.8 Khả năng sẵn sàng phục vụ của máy in 102 2.5.9 Độ ưu tiên (Printer Priority) 102 2.5.10 Câu hỏi và bài tập 103 4
7. DANH MỤC HÌNH ẢNH Hình 1-1. Thiết lập ngôn ngữ 18 Hình 1-2. Nhập khóa kích hoạt sản phẩm hợp lệ 18 Hình 1-3. Lựa chọn bản Windows Server 2008 để cài đặt 19 Hình 1-4. Tùy chọn Upgrade đã bị vô hiệu khi khởi động máy từ đĩa cài đặt Hệ điều hành 19 Hình 1-5. Chọn thiết bị lưu trữ và phân chia ổ đĩa Logic 20 Hình 1-6. Initial Configuration Tasks Wizard 21 Hình 1-7. Lựa chọn tính năng bạn muốn cài đặt 23 Hình 1-8. Cài đặt Server Manager 24 Hình 1-9. Một đoạn trong file unattend.xml 26 Hình 2-1. Mô hình mạng Workgroup 28 Hình 2-2. Mô hình mạng Client/Server 30 Hình 2-3. Active Directory trên Windows Server 2008 32 Hình 2-4. Mô tả Organization Unit - đơn vị tổ chức dữ liệu 32 Hình 2-5. Mô tả việc quản lý các đối tượng trong Domain 33 Hình 2-6. Cấu trúc cơ sở dữ liệu của Domain 34 Hình 2-7. Thành phần cốt lỗi kiến trúc Active Directory 34 Hình 2-8. Sysvol trong kiến trúc Active Directory 35 Hình 2-9. Add Roles khi nâng cấp Domain 36 Hình 2-10. Trang hộp thoại Before You Begin 36 Hình 2-11. Hộp thoại cài đặt Server Roles 37 Hình 2-12. Create a new domain in a new forest 37 Hình 2-13. Hộp thoại điền tên miền khi nâng cấp Domain 38 Hình 2-14. Hộp thoại chọn Forest Function Level 38 Hình 2-15. Hộp thoại Add thêm dịch vụ DNS 39 Hình 2-16. Hộp thoại xác thực Add thêm dịch vụ DNS 39 Hình 2-17. Hộp thoại đường dẫn lưu trữ Database Active Directory 40 5
8. Hình 2-18. Hộp thoại thiết lập mật khẩu phục hồi sơ sở dữ liệu của Active Diretory 40 Hình 2-19. Hộp thoại diễn ra quá trình nâng cấp Domain 41 Hình 2-20. Đặt IP cho máy trạm 41 Hình 2-21. Hộp thoại gia nhập máy trạm vào Domain 42 Hình 2-22. Hộp thông báo gia nhập máy trạm vào Domain thành công 42 Hình 2-23. Cấu trúc cây OU 43 Hình 2-24. Hộp thoại tao User Acount 44 Hình 2-25. Hộp thoại tạo nhóm 45 Hình 2-26. Hộp thoại thêm tài khoàn người dùng vào trong nhóm 45 Hình 2-27. Tổ chức tài khoản người dùng cục bộ 47 Hình 2-28. Tổ chức tài khoản người dùng miền 48 Hình 2-29. Giao diện chính sách tài khoản người dùng 56 Hình 2-30. Giao diện chính sách mật khẩu 56 Hình 2-31. Giao diện chính sách kiểm toán 59 Hình 2-32. Giao diện truy cập quyền hệ thống của người dùng 61 Hình 2-33. Cấp quyền cho User thay đổi giờ hệ thống 61 Hình 2-34. Giao diện chính sách bảo mật 66 Hình 2-35. Giao diện tạo chính sách miền 70 Hình 2-36. Giao diện khai báo logon script dùng chính sách nhóm 72 Hình 2-37. Hộp thoại tạo kịch bản logon script 72 Hình 2-38. Hộp thoại hạn chế chức năng Explorer 73 Hình 2-39. Giao diện cho phép một số ứng dụng được thi hành 74 Hình 2-40. Hộp thoại Share Permissions 78 Hình 2-41. Các quyền Share Permissions 80 Hình 2-42. Tab Security để add người dùng và nhóm 84 Hình 2-43. Tab Security để cấp quyền cho các người dùng 84 Hình 2-44. Hộp thoại kiểm tra và phân quyền chi tiết 85 6
9. Hình 2-45. Hộp thoại phân quyền chi tiết cho người dùng 86 Hình 2-46. Hộp thoại chọn người dùng làm giám sát 87 Hình 2-47. Hộp thoại thay đổi quyền sở hữu người dùng 87 Hình 2-48. Hộp thoại cấu hình Profile path và xây dựng kịch bản 90 Hình 2-49. Hộp thoại cài đặt dịch vụ thư mục 92 Hình 2-50. Cài đặt Quota 92 Hình 2-51. Tạo một Quota Template 93 Hình 2-52. Hộp thoại lựa chọn cập nhật Quota 94 Hình 2-53. Điều chỉnh trang in 98 Hình 2-54. Chọn độ sắc nét và màu (nếu có) của máy in 98 Hình 2-55. Hộp thoại điều chỉnh thông số mở rộng của máy in 99 Hình 2-56. Hộp thoại chia sẻ máy in 100 Hình 2-57. Hộp thoại cấu hình Port của máy in 101 Hình 2-58. Hộp thoại bật chức năng Printer pool 101 Hình 2-59. Set độ ưu tiên của máy in 102 7
10. DANH MỤC BẢNG Bảng 1-1.Yêu cầu phần cứng 15 Bảng 1-2. Loại hệ điều hành nâng cấp lên Windows server 2008. 16 Bảng 2-1. Bảng mô tả các tài khoản người dùng được tạo sẵn 50 Bảng 2-2. Bảng mô tả tài khoản nhóm Domain Local tạo sẵn 51 Bảng 2-3. Bảng lựa chọn trong chính sách mật khẩu 57 Bảng 2-4. Bảng lựa chọn trong chính sách khoá mật khẩu 58 Bảng 2-5. Bảng lựa chọn trong chính sách kiểm toán 59 Bảng 2-6. Danh sách các quyền hệ thống cấp cho người dùng và nhóm . 62 Bảng 2-7. Bảng lựa chọn bảo mật thông dụng 67 Bảng 2-8. Ý nghĩa của các mục trong Tab Sharing 79 Bảng 2-9. Quyền truy cập của NTFS 81 Bảng 2-10. Bảng phân quyền truy cập được dùng trong NTFS 82 8
11. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 Chương 1. TỔNG QUAN VỀ HỆ ĐIỀU HÀNH WINDOWS SERVER 2008  Giới thiệu chương: - Trong chương này nhằm giúp cho sinh viên hiểu rõ hơn về Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắc hơn các phiên bản trước đây. - Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc bảo đảm tất cả người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từ mạng. Windows Server 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều hành và khả năng chuẩn đoán, cho phép các quản trị viên tăng được thời gian hỗ trợ cho các doanh nghiệp. Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiện mạnh mẽ cho hệ điều hành cơ bản. - Cải thiện hệ điều hành cho máy chủ Windows. Thêm vào tính năng mới, Windows Server 2008 cung cấp nhiều cải thiệm tốt hơn cho hệ điều hành cơ bản so với hệ điều hành Windows Server 2003. - Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sự triển khai và hệ thống file.  Mục tiêu chương: KHOA CÔNG NGHỆ THÔNG TIN Trang 9
12. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 - Trình bày chính xác các tính năng của hệ điều hành Windows Server 2008 - Phát biểu chính xác phương pháp tự động hóa quá trình cài đặt - Cài đặt được điều hành Windows Server 2008 R2 - Thiết lập cài đặt tự động hệ điều hành Windows XP/Server 2003 và Windows 7/Server 2008 R2. - Tự tin thiết kế, sửa chữa, khắc phục lỗi trong hệ thống mạng. - Có tính cẩn trọng khi triển khai hệ thống mạng và an toàn điện. KHOA CÔNG NGHỆ THÔNG TIN 10
13. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 1.1 Giới thiệu và cài đặt windows server 2008 1.1.1 Tổng quan về hệ điều hành Windows Server 2008 - Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắc hơn các phiên bản trước đây. Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc bảo đảm tất cả người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từ mạng. Windows Server 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều hành và khả năng chuẩn đoán, cho phép các quản trị viên tăng được thời gian hỗ trợ cho công việc của doanh nghiệp. - Windows Server 2008 xây dựng trên sự thành công và sức mạnh của hệ điều hành đã có trước đó là Windows Server 2003 và những cách tân có trong bản Service Pack 1 và Windows Server 2003 R2. Mặc dù vậy Windows Server 2008 hoàn toàn hơn hẳn các hệ điều hành tiền nhiệm. Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiện mạnh mẽ cho hệ điều hành cơ bản. 1.1.2 Các công cụ quản trị trên Windows server 2008 Server Manager là một giao diện điều khiển được thiết kế để tổ chức và quản lý một server chạy hệ điều hành Windows Server 2008. Người quản trị có thể sử dụng Server Manager với những nhiều mục đích khác nhau. - Quản lý đồng nhất trên một server - Hiển thị trạng thái hiện tại của server - Nhận ra các vấn đề gặp phải đối với các role đã đợc cài đặt một cách dễ dàng hơn - Quản lý các role trên server, bao gồm việc thêm và xóa role - Thêm và xóa bỏ các tính năng KHOA CÔNG NGHỆ THÔNG TIN 11
14. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 - Chẩn đoán các dấu hiệu bất thường - Cấu hình server: có 4 công cụ (Task Scheduler, Windows Firewall, Services và WMI Control). - Cấu hình sao lưu và lưu trữ: các công cụ giúp bạn sao lưu và quản lý ổ đĩa là Windows Server Backup và Disk Management đều nằm trên Server Manager. 1.1.2.1 Windows Server Core - Server Core là một tính năng mới trong Windows Server 2008. Nó cho phép có thể cài đặt với mục đích hỗ trợ đặc biệt và cụ thể đối với một số role. - Tất cả các tương tác với Server Core được thông qua các dòng lệnh. Server Core mang lại những lợi ích sau: + Giảm thiểu được phần mềm, vì thế việc sử dụng dung lượng ổ đĩa cũng được giảm. Chỉ tốn khoảng 1GB khi cài đặt. + Bởi vì giảm thiểu được phần mềm nên việc cập nhật cũng không nhiều. + Giảm thiểu tối đa những hành vi xâm nhập vào hệ thống thông qua các port được mở mặc định. + Dễ dàng quản lý. - Server Core không bao gồm tất cả các tính năng có sẵn trong những phiên bản cài đặt Server khác. Ví dụ như .NET Framework hoặc Internet Explorer. 1.1.2.2 PowerShell - PowerShell là một tập hợp lệnh. Nó kết nối những dòng lệnh shell với một ngôn ngữ script và thêm vào đó hơn 130 công cụ dòng lệnh(được gọi là cmdlets).Hiện tại, có thể sử dụng PowerShell trong: + Exchange Server + SQL Server + Terminal Services KHOA CÔNG NGHỆ THÔNG TIN 12
15. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 + Active Directory Domain Services. + Quản trị các dịch vụ, xử lý và registry. - Mặc định, Windows PowerShell chưa được cài đặt. Tuy nhiên bạn có thể cài đặt nó một cách dễ dàng bằng cách sử dụng công cụ quản trị Server Manager và chọn Features > Add Features 1.1.2.3 Windows Deloyment Services. - Windows Deployment Services được tích hợp trong Windows Server 2008 cho phép bạn cài đặt hệ điều hành từ xa cho các máy client mà không cần phải cài đặt trực tiếp. WDS cho phép bạn cài đặt từ xa thông qua Image lấy từ DVD cài đặt. Ngoài ra, WDS còn hỗ trợ tạo Image từ 1 máy tính đã cài đặt sẵn Windows và đầy đủ các ứng dụng khác. - Windows Deployment Serviece sử dụng định dạng Windows Image (WIM). Một cải tiến đặc biệt với WIM so với RIS là WIM có thể làm việc tốt với nhiều nền tảng phần cứng khác nhau. 1.1.2.4 Terminal Services. - Terminal Services là một thành phần chính trên Windows Server 2009 cho phép user có thể truy cập vào server để sử dụng những phần mềm. - Terminal Services giúp người quản trị triển khai và bảo trì hệ thống phần mềm trong doanh nghiệp một cách hiệu quả. Người quản trị có thể cài đặt các chương trình phần mềm lên Terminal Server mà không cần cài đặt trên hệ thống máy client, vì thế việc cập nhật và bảo trì phần mềm trở nên dễ dàng hơn. - Terminal Services cung cấp 2 sự khác biệt cho người quản trị và người dùng cuối: - Dành cho người quản trị: cho phép quản trị có thể kết nối từ xa hệ thống quản trị bằng việc sử dụng Remote Desktop Connection hoặc Remote Desktop. - Dành cho ngời dùng cuối: cho phép người dùng cuối có thể chạy các chương trình từ Terminal Services server. KHOA CÔNG NGHỆ THÔNG TIN 13
16. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 1.1.2.5 Network Access Protection - Network Access Protection (NAP) là một hệ thống chính sách thi hành (Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows Server 2008. - Cơ chế thực thi của NAP: + Kiểm tra tình trạng an toàn của client. + Giới hạn truy cập đối với các máy client không an toàn. + NAP sẽ cập nhật những thành phần cần thiết cho các máy client không an toàn, cho đến khi client đủ điều kiện an toàn.Cho phép client kết nối nếu client đã thỏa điều kiện. + NAP giúp bảo vệ hệ thống mạng từ các client. + NAP cung cấp bộ thư viên API (Application Programming Interface), cho phép các nhà quản trị lập trình nhằm tăng tính bảo mật cho mình 1.1.2.6 Read-Only Domain Controllers - Read-Only Domain Controller (RODC) là một kiểu Domain Controller mới trên Windows Server 2008.Với RODC, doanh nghiệp có thể dễ dàng triển khai các Domain Controller ở những nơi mà sự bảo mật không được đảm bảo về bảo mật. RODC là một phần dữ liệu của Active Directory Domain Services. - Vì RODC là một phần dữ liệu của ADDS nên nó lưu trữ mọi đối tượng, thuộc tính và các chính sách giống như domain controller, tuy nhiên mật khẩu thì bị ngoại trừ. 1.1.2.7 Công nghệ Failover Clustering. - Clustering là công nghệ cho phép sử dụng hai hay nhiều server kết hợp với nhau để tạo thành một cụm server để tăng cường tính ổn định trong vận hành.Nếu server này ngưng hoạt động thì server khác trong cụm sẽ đảm nhận nhiệm vụ mà server ngưng hoạt động đó đang thực hiện nhằm mục đích hoạt động của hệ thống vẫn bình thường. Quá trình chuyên giao gọi là failover. Những phiên bản sau hỗ trợ: KHOA CÔNG NGHỆ THÔNG TIN 14
17. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 - Windows Server 2008 Enterprise - Windows Server 2008 Datacenter - Windows Server 2008 Itanium 1.1.2.8 Windows Firewall with Advance Security - Windows Firewall with Advance Security cho phép người quản trị có thể cấu hình đa dạng và nâng cao để tăng cường tính bảo mật cho hệ thống. - Windows Firewall with Advance Security có những điểm mới: + Kiểm soát chặt chẽ các kết nối vào và ra trên hệ thống (inbound và outbound) + IPsec được thay thế bằng khái niệm Connection Security Rule, giúp bạn có thể kiểm soát và quản lý các chính sách, đồng thời giám sát trên firewall. Kết hợp với Active Directory. 1.1.3 Chuẩn bị cài đặt Windows server 2008 1.1.3.1 Yêu cầu phần cứng Bảng 1-1.Yêu cầu phần cứng Phần cứng Yêu cầu tối thiểu Đề nghị Bộ vi xử lý 1 Ghz (x86), 1,4 Ghz 2Ghz hoặc lớn hơn (x64) RAM 512MB RAM 2GB Dung lượng trống 15GB 40GB Windows Server 2008 hỗ trợ cả 2 cấu trúc vi xử lý 32-bit và 64-bit. Tuy nhiên, phiên bản mới nhất là Windows Server 2008 R2, Windows Midmarket Server và Windows Small Business với những tính năng đa dịch vụ, các phiên bản này chỉ hỗ trợ cấu trúc vi xử lý 64-bit. RAM hỗ trợ tối đa cho hệ thống 32-bit là 4GB khi chạy phiên bản Standard Edition và 64GB khi chạy phiên bản Enterprise và Datacenter. Nếu chạy hệ thống 64-bit, bộ nhớ RAM có thể hỗ trợ lên dến 32GB và 2 Tb RAM KHOA CÔNG NGHỆ THÔNG TIN 15
18. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 cho phiên bản Enterprise và Datacenter. Thêm vào đó, Windows Server 2008 hỗ trợ hệ thống Itanium, tuy nhiên chip xử lí Intel Itanium 2 nhân là cần thiết. 1.1.4 Nâng cấp lên Windows server 2008 Bảng 1-2. Loại hệ điều hành nâng cấp lên Windows server 2008. Nâng cấp lên Những phiên bản trước Windows Server 2008 Microsoft Windows Server 2003 R2 Hỗ trợ đầy đủ Standard, Enterprise hoặc DatacenterEdition Microsoft Windows Server 2003 Service Hỗ trợ đầy đủ Pack 1(SP1) Standard, Enterprise hoặc Datacenter Edition Microsoft Windows Server 2003 Service Hỗ trợ đầy đủ Pack 2 (SP2) Standard, Enterprise hoặc Datacenter Edition Windows NT 4.0 Không hỗ trợ Windows 2000 Server Không hỗ trợ Windows XP Không hỗ trợ Windows Vista Không hỗ trợ Windows 7 Không hỗ trợ Để nâng cấp lên phiên bản Windows Server 2008, cần phải chạy các hệ điều hành ở cấp độ server. Không thể nâng cấp các phiên bản Windows dành cho người dùng như Windows XP hoặc Windows Vista lên Windows Server 2008. Để nâng cấp lên Windows Server 2008, hệ thống của bạn phải chạy Windows Server 2003. Việc nâng cấp từ Windows NT 4.0 và Windows 2000 Server không được hỗ trợ. Việc nâng cấp từ những phiên bản Windows Server 2003 lên phiên bản Windows Server 2008 Server Core không được hỗ trợ. Việc nâng cấp chỉ thực hiện được ở những phiên bản giống nhau. Khi nâng cấp lên phiên bản Windows Server 2008, mọi cấu hình thiết lập, file và các chương trình đều được giữ lại. KHOA CÔNG NGHỆ THÔNG TIN 16
19. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 1.1.5 Câu hỏi và bài tập  Trình bày các yêu cầu phần cứng khi cài đặt Windows Server 2008?  Phân loại hệ điều hành ở các phiên bản củ có thể nâng cấp Windows Server 2008? 1.2 Cài đặt windows server 2008 1.2.1 Cài đặt thủ công Tiến trình cài đặt Windows Server 2008 được tổ chức rất hợp lý. Nếu đã từng cài đặt Windows Server 2003 hẳn bạn vẫn còn nhớ rằng trong quá trình cài đặt, bạn được yêu cầu trả lời những câu hỏi về cấu hình. Với Windows Server 2008, những yêu cầu này đã được chuyển tới phần Initial Configuration Tasks Wizard xuất hiện khi hoàn tất cài đặt. Sau đây là danh sách những thông tin bạn cần cung cấp trong quá trình cài đặt: • Ngôn ngữ, đơn vị tiền tệ và thông tin bàn phím (ngôn ngữ nhập liệu) • Khóa kích hoạt sản phẩm hợp lệ • Vị trí cài đặt • Ấn bản hệ điều hành sắp cài đặt (nếu không nhập khóa sản phẩm) • Cài đặt nâng cấp hay cài đặt mới Toàn bộ việc cài đặt Windows Server 2008 chỉ qua ba phần: • Cài đặt hệ điều hành, bao gồm cả xác nhận mã khóa hợp lệ • Khởi tạo cấu hình Initial Configuration Tasks • Cài đặt Server Manager • Cho đĩa cài đặt Windows Server 2008 vào ổ và khởi động máy chủ từ đĩa cài. • Khi được yêu cầu chọn ngôn ngữ, thời gian, đơn vị tiền tệ và thông tin bàn phím, bạn hãy đưa ra lựa chọn thích hợp rồi click Next. KHOA CÔNG NGHỆ THÔNG TIN 17
20. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 Hình 1-1. Thiết lập ngôn ngữ • Tùy chọn Install Now xuất hiện. Nếu chưa chắc chắn về yêu cầu phần cứng, bạn có thể click vào liên kết What to Know Before Installing Windows để biết thêm chi tiết. • Nhập khóa kích hoạt sản phẩm (product key) và đánh dấu kiểm vào ô Automatically Activate Windows When I’m Online. Click Next. Hình 1-2. Nhập khóa kích hoạt sản phẩm hợp lệ KHOA CÔNG NGHỆ THÔNG TIN 18
21. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 • Nếu chưa nhập khóa sản phẩm ở mục trước, bây giờ bạn sẽ phải lựa chọn ấn bản Windows Server 2008 sắp cài đặt và đánh dấu kiểm vào ô I Have Selected an Edition of Windows That I Purchased. Nếu bạn đã nhập khóa sản phẩm hợp lệ, trình cài đặt sẽ tự động nhận diện được ấn bản Windows Server 2008 bạn sắp cài đặt. Click Next. Hình 1-3. Lựa chọn bản Windows Server 2008 để cài đặt • Đọc các điều khoản quy định và chấp nhận bằng cách đánh dấu ô kiểm. Click Next. • Ở cửa sổ mới xuất hiện, do bạn khởi động máy từ đĩa cài nên tùy chọn Upgrade (nâng cấp) đã bị vô hiệu. Click Custom (Advanced). Hình 1-4. Tùy chọn Upgrade đã bị vô hiệu khi khởi động máy từ đĩa cài đặt Hệ điều hành Lưu ý: Nếu bạn muốn tiến hành cài đặt nâng cấp, bạn cần chạy trình cài đặt trong môi trường Windows. KHOA CÔNG NGHỆ THÔNG TIN 19
22. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 • Trên cửa sổ tiếp theo, bạn cần lựa chọn vị trí cài đặt Windows. Nếu có driver của các thiết bị lưu trữ bên thứ ba, cần cài đặt ngay bằng cách click liên kết Load Driver. Hình 1-5. Chọn thiết bị lưu trữ và phân chia ổ đĩa Logic Lúc này, Windows sẽ bắt đầu được cài đặt vào hệ thống. Bạn có thể thấy từng bước tiến trình hoàn tất thể hiện bằng phần trăm. Trong quá trình cài đặt, máy chủ sẽ phải khởi động lại nhiều lần. Trình cài đặt sẽ hoàn thành những tác vụ sau đây: - Sao chép tệp tin - Mở rộng tệp tin - Cài đặt chức năng - Cài đặt cập nhật - Hoàn thành • Khi quá trình cài đặt hoàn tất, hãy thay đổi mật khẩu tài khoản quản trị administrator trước khi đăng nhập. Sau khi mật khẩu được thay đổi và bạn đã đăng nhập vào hệ điều hành, như vậy là bạn đã xong phần 1 của việc cài đặt. KHOA CÔNG NGHỆ THÔNG TIN 20
23. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 1.2.2 Khởi tạo cấu hình Sau khi bạn đăng nhập vào hệ điều hành, cửa sổ Initial Configuration Tasks Wizard xuất hiện, gồm ba mục: • Provide computer information (Cung cấp thông tin hệ thống) • Update this server (Cập nhật máy chủ) • Customize this server (Tùy biến máy chủ) Hình 1-6. Initial Configuration Tasks Wizard Vậy thì trong các mục này, bạn có thể đưa ra những thay đổi nào về cấu hình? Trong mục Provide Computer Information, bạn có thể thực hiện những việc sau: • Thay đổi múi giờ • Thiết lập cấu hình mạng trên giao diện card giao tiếp mạng (NIC). Bạn cũng có thể gán địa chỉ IP tĩnh, subnet mask, default gateway (cổng mặc định) và máy chủ DNS/WINS. Trong nhiều môi trường, có lẽ bạn sẽ được nhóm hai card giao tiếp mạng cho mạng LAN dữ liệu sản xuất (sử dụng phần mềm bên thứ ba) và có một card giao tiếp mạng riêng biệt dành riêng cho việc sao lưu dữ liệu được kết nối với mạng LAN sao lưu. Ngoài ra, bạn có thể để mặc cho các thiết lập tự động được gán bởi máy chủ DHCP, tất nhiên trong trường hợp bạn có máy chủ DHCP đã được cấu hình. KHOA CÔNG NGHỆ THÔNG TIN 21
24. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 Lưu ý: Trên thực tế, bạn sẽ thường gán địa chỉ IP tĩnh cho máy chủ cơ sở hạ tầng. Trong trường hợp này, bạn sẽ cần thu thập thông tin đó cùng với địa chỉ IP hợp lệ cho default gateway và cho máy chủ DNS/WINS trước khi cài đặt. • Cung cấp tên máy tính cho máy chủ, cùng với thông tin domain hoặc workgroup. • Bạn cần khởi động lại máy chủ để các thay đổi có tác dụng. Trong mục Update This Server, bạn có thể thực hiện những việc sau: • Cho phép tự động cập nhật và phản hồi • Cấu hình việc tải về và cài đặt những cập nhật của hệ điều hành Trong mục Customize This Server, bạn có thể thực hiện những việc sau: • Thêm vai trò (role) máy chủ. Khi bạn chọn một vai trò, trình hướng dẫn sẽ giúp bạn hoàn thành việc cài đặt vai trò. Bạn có thể lựa chọn các vai trò sau: • Active Directory Certificate Services • Active Directory Domain Services • Active Directory Federation Services • Active Directory Lightweight Directory Services • Active Directory Rights Management Services • Application Server • DHCP Server • DNS Server • Fax Server • File Services • Network Policy and Access Services • Print Services • Terminal Services KHOA CÔNG NGHỆ THÔNG TIN 22
25. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 • UDDI Services • Web Server (IIS) • Windows Deployment Services 1.2.3 Cài đặt thêm tính năng. Cũng như thêm vai trò, khi bạn lựa chọn tính năng, trình hướng dẫn sẽ giúp bạn hoàn thành việc cài đặt tính năng đó. Có rất nhiều tính năng cho bạn lựa chọn. Hình 1-7. Lựa chọn tính năng bạn muốn cài đặt Lưu ý: Đối với cả hai danh sách vai trò và tính năng, khi bạn điểm sáng một vai trò hoặc tính năng nào đó, bạn sẽ thấy phần mô tả ở bên phải danh sách. Khi bạn lựa chọn các vai trò và tính năng, cần nhớ rằng nên cài đặt càng ít càng tốt, tốt nhất là chỉ nên lựa chọn những thứ bạn dự định sử dụng. Nếu bạn cài đặt các vai trò hoặc tính năng không cần thiết, bạn sẽ cài đặt luôn cả những dịch vụ vô ích và có khả năng mở toang những cổng không có giá trị trong sản xuất khiến máy chủ không còn an toàn. • Cho phép Remote Desktop kết nối tới máy chủ KHOA CÔNG NGHỆ THÔNG TIN 23
26. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 • Cấu hình thiết lập tường lửa hệ điều hành. Theo mặc định, tường lửa được kích hoạt sẵn. Tiếp theo sẽ là phần ba của quá trình cài đặt. 1.2.4 Cài đặt Server Manager Hình 1-8. Cài đặt Server Manager Server Manager cho bạn một cái nhìn toàn cục về máy chủ. Khi nhìn vào phần chi tiết mặc định, bạn có thể thấy thông tin máy tính, thông tin bảo mật và bản tóm tắt các vai trò và tính năng đã cài đặt. Nhìn xuống phía dưới, bạn sẽ thấy tài nguyên và phần hỗ trợ. Phía bên trái cửa sổ là các công cụ giúp bạn thêm/bớt và cấu hình các vai trò cũng như các tính năng. Bạn cũng sẽ thấy các tùy chọn để chẩn đoán, cấu hình và quản lý ổ đĩa. Sau khi xác lập các thay đổi trong Server Manager, công việc cài đặt thủ công của bạn đã thực sự hoàn tất. 1.2.5 Cài đặt tự động Vậy là bạn đã hoàn tất công việc cài đặt thủ công, phần tiếp theo của bài viết sẽ giới thiệu cho bạn quá trình cài đặt tự động. Với Windows Server 2008, bạn sử dụng file unattend.xml thay vì unattend.txt. Thực ra, file unattend.xml cũng thay thế cả các file Sysprep.inf, Winbom.ini, và Cmdlines.txt. Định dạng XML đã được thông qua vì nó giúp các công việc mô tả các giá trị lồng nhau, KHOA CÔNG NGHỆ THÔNG TIN 24
27. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 thêm phần tử mới và xác thực file trả lời trở nên dễ dàng hơn. Bạn có thể mở file unattend.xml trong Internet Explorer phiên bản 5.5 trở lên để phân tích cú pháp file .xml và xem liệu nó có được xây dựng hoàn chỉnh. Nếu tập tin không được xây dựng chính xác, Internet Explorer sẽ báo cho bạn biết chỗ nào bị lỗi. Để cài đặt tự động, bạn chạy file setup.exe với từ khóa unattend C:>setup.exe /unattend: \unattend.xml File unattend.xml chứa những câu trả lời cần thiết khi chạy setup.exe, cụ thể là các thông tin như tên máy tính, việc chấp nhận thỏa thuận cấp phép người dùng cuối (EULA), thông tin đĩa cài đặt v v Bạn cũng có thể cho hiển thị hoặc ẩn đi giao diện người dùng (UI) đối với mỗi giá trị được thiết lập bằng cách sử dụng ShowUI flag = Yes/No. Sau đây là cách trình cài đặt phản ứng khi bạn sử dụng ShowUI flag: • ShowUI flag = Yes và thiết lập được chỉ rõ trong file unattend.xml: Trình cài đặt sử dụng thiết lập được chỉ rõ trong file unattend.xml và hiển thị giao diện người dùng theo thiết lập đó. • ShowUI flag = No và thiết lập được chỉ rõ trong file unattend.xml: Trình cài đặt sử dụng thiết lập được chỉ rõ trong file unattend.xml và không hiển thị giao diện người dùng. • ShowUI flag = Yes và thiết lập không được chỉ rõ trong file unattend.xml: Trình cài đặt hiển thị giao diện người dùng với giá trị mặc định và người dùng có thể thay đổi thiết lập này nếu cần. • ShowUI flag = No và thiết lập không được chỉ rõ trong file unattend.xml: Trình cài đặt sử dụng giá trị mặc định và không hiển thị giao diện người dùng. Khi tiến hành cài đặt tự động qua mạng, trình cài đặt hệ thống phải có quyền truy cập vào file unattend.xml. Khi trình cài đặt khởi chạy từ ổ CD/DVD, nó sẽ tìm kiếm file unattend.xml trong các vị trí sau: • Thư mục hiện hành • Vị trí khởi chạy file setup.exe • Ổ đĩa mềm, USB hoặc ổ CD/DVD khác KHOA CÔNG NGHỆ THÔNG TIN 25
28. Chương 1: Tổng quan về hệ điều hành Windows Server 2008 Cú pháp cho file unattend.xml được chia nhỏ thành các phần tử, và mỗi phần tử cần mở và đóng theo thứ tự chính xác (khi lồng nhau). Một khi đảm bảo điều này, nó sẽ là một file .xml được xây dựng hoàn chỉnh. Chỉ có một phần tử gốc duy nhất: . Hình 1-9. Một đoạn trong file unattend.xml Quá trình vận hành file unattend.xml sẽ ngừng lại với một thông báo lỗi nếu bất cứ điều nào sau đây là đúng: • Thỏa thuận cấp phép người dùng cuối không được chấp nhận • Khóa kích hoạt sản phẩm không hợp lệ • Không thể ghi vào đĩa cài đặt Việc tạo file unattend.xml có thể hơi rắc rối một chút, tuy nhiên khi bạn đã tạo thành công, nó sẽ giúp công việc dễ dàng hơn rất nhiều. Có một số công cụ sẵn có trên web có thể giúp bạn tạo tập tin này. Bạn cũng có thể thỏa sức sáng tạo bằng cách thêm vào vài đoạn script để tự động đặt tên cho các máy tính tuân theo quy ước về cách đặt tên của bạn cũng như nhiều tùy chọn cấu hình khác. 1.2.6 Câu hỏi và bài tập  Thực hành cài đặt Windows Server 2008 trên phần mềm Vmware. KHOA CÔNG NGHỆ THÔNG TIN 26
29. Chương 2: Thiết lập và quản trị hệ thống mạng Chương 2. THIẾT LẬP VÀ QUẢN TRỊ HỆ THỐNG MẠNG  Giới thiệu chương: Trong chương này nhằm cung cấp cho sinh viên các kỹ năng cơ bản về quản trị hệ thống mạng máy tính. Qua đó sinh viên có thể tự lắp đặt, cài đặt và vận hành một hệ thống mạng cục bộ và sử dụng các kỹ thuật quản trị cần thiết để bảo vệ an toàn dữ liệu cá nhân. Ngoài ra môn học còn cung cấp cho sinh viên khái niệm mô hình quản trị mạng Client – Server, các dịch vụ mạng phổ biến ngày nay. Áp dụng công nghệ của Microsoft, sinh viên sẽ triển khai nghiên cứu các ứng dụng của các dịch vụ mạng trong các mô hình quản trị mạng dạng Client-Server để từ đó có đủ kỹ năng để vận hành cho hệ thống mạng Client- Server cho các doanh nghiệp.  Mục tiêu chương: Cung cấp cho sinh viên các kiến thức cơ bản về mô hình mạng và nguyên tắc hoạt động của các mô hình mạng. Cung cấp cho sinh viên kiến thức về nguyên tắc vận hành của các thiết bị mạng và nguyên lý triển khai hệ thống mạng cục bộ; trang bị cho sinh viên kiến thức và nguyên tắc hoạt động của mô hình Client – Server và các dịch vụ mạng căn bản. Qua môn học này sinh viên được trang bị các kỹ năng để có thể cài đặt hệ thống mạng cục bộ và thực hiện các yêu cầu quản trị trên hệ thống mạng cục bộ. Bên cạnh đó sinh viên cũng được trang bị kỹ năng khai thác và vận hành các dịch vụ mạng theo mô hình Client – Server để có thể quản trị một hệ thống mạng lớn, tập trung và đáp ứng được các yêu cầu quản trị của doanh nghiệp. Môn học này giúp sinh viên có khả năng phân tích, phán đoán và khoanh vùng các sự cố xảy ra trong hệ thống mạng cục bộ và mô hình Client – Server. Với môn học, sinh viên sẽ có khả năng tư duy, phân tích các yêu cầu nghiệp vụ để từ đó đưa ra các giải pháp kỹ thuật phù hợp, triển khai hệ thống để đáp ứng nhu cầu của khách hàng, doanh nghiệp. KHOA CÔNG NGHỆ THÔNG TIN 27
30. Chương 2: Thiết lập và quản trị hệ thống mạng 2.1 Các mô hình mạng trong môi trường microsoft 2.1.1 Mô hình mạng Workgroup Mô hình mạng Workgroup là một nhóm máy tính mạng cùng chia sẻ tài nguyên như file dữ liệu, máy in. Nó là một nhóm logic của các máy tính mà tất cả chúng có cùng tên nhóm. Có thể có nhiều nhóm làm việc (workgroups) khác nhau cùng kết nối trên một mạng cục bộ (LAN). Trong mô hình này, các máy tính có quyền hạn ngang nhau và không có các máy tính chuyên dụng làm nhiệm vụ cung cấp dịch vụ hay quản lý. Các máy tính tự bảo mật và quản lý các tài nguyên của riêng mình. Đồng thời, các máy tính cục bộ này cũng tự chứng thực cho người dùng cục bộ. Hình 2-1. Mô hình mạng Workgroup Mô hình mạng Workgroup cũng được coi là mạng peer-to-peer bởi vì tất cả các máy trong workgroup có quyền chia sẻ tài nguyên như nhau mà không cần sự chỉ định của Server. Mỗi máy tính trong nhóm tự bảo trì, bảo mật cơ sở dữ liệu cục bộ của nó. Điều này có nghĩa là, tất cả sự quản trị về tài khoản người KHOA CÔNG NGHỆ THÔNG TIN 28
31. Chương 2: Thiết lập và quản trị hệ thống mạng dùng, bảo mật cho nguồn tài nguyên chia sẻ không được tập trung hóa. Bạn có thể kết nối tới một nhóm đã tồn tại hoặc khởi tạo một nhóm mới. 2.1.1.1 Ưu điểm mô hình Workgroup Ưu điểm là Workgroups không yêu cầu máy tính chạy trên hệ điều hành Windows Server để tập trung hóa thông tin bảo mật; workgroups thiết kế và hiện thực đơn giản và không yêu cầu lập kế hoạch có phạm vi rộng và quản trị như domain yêu cầu; workgroups thuận tiện đối với nhóm có số máy tính ít và gần nhau (≤ 20 máy). 2.1.1.2 Nhược điểm Workgroup Nhược điểm là mỗi người dùng phải có một tài khoản người dùng trên mỗi máy tính mà họ muốn đăng nhập; bất kỳ sự thay đổi tài khoản người dùng, như là thay đổi mật khẩu hoặc thêm tài khoản người dùng mới, phải được làm trên tất cả các máy tính trong Workgroup, nếu bạn quên bổ sung tài khoản người dùng mới tới một máy tính trong nhóm thì người dùng mới sẽ không thể đăng nhập vào máy tính đó và không thể truy xuất tới tài nguyên của máy tính đó; việc chia sẻ thiết bị và file được xử lý bởi các máy tính riêng, và chỉ cho người dùng có tài khoản trên máy tính đó được sử dụng. 2.1.1.3 Mô hình mạng Domain (Client – Server) Mô hình mạng Domain (hay mô hình Server) là một nhóm máy tính mạng cùng chia sẻ cơ sở dữ liệu thư mục tập trung (central directory database). Thư mục dữ liệu chứa tài khoản người dùng và thông tin bảo mật cho toàn bộ Domain. Thư mục dữ liệu này được biết như là thư mục hiện hành (Active Directory). Ngược lại với mô hình Workgroup, trong mô hình Domain thì việc quản lý và chứng thực người dùng mạng tập trung tại máy tính Primary Domain Controller. Các tài nguyên mạng cũng được quản lý tập trung và cấp quyền hạn cho từng người dùng. Lúc đó trong hệ thống có các máy tính chuyên dụng làm nhiệm vụ cung cấp các dịch vụ và quản lý các máy trạm. Trong một Domain, thư mục chỉ tồn tại trên các máy tính được cấu hình như máy điều khiển miền (domain controller). Một domain controller là một Server quản lý tất cả các khía cạnh bảo mật của Domain. Không giống như KHOA CÔNG NGHỆ THÔNG TIN 29
32. Chương 2: Thiết lập và quản trị hệ thống mạng mạng Workgroup, bảo mật và quản trị trong domain được tập trung hóa. Để có Domain controller, những máy chủ (server) phải chạy dịch vụ làm Domain controller (dịch vụ được tích hợp sẵn trên các phiên bản Windows Server Một domain không được xem như một vị trí đơn hoặc cấu hình mạng riêng biệt. Các máy tính trong cùng domain có thể ở trên một mạng LAN hoặc WAN. Chúng có thể giao tiếp với nhau qua bất kỳ kết nối vật lý nào, như: Dial- up, Integrated Services Digital Network (ISDN), Ethernet, Token Ring, Frame Relay, Satellite, Fibre Channel. Ưu điểm là cho phép quản trị tập trung. Nếu người dùng thay đổi mật khẩu của họ, thì sự thay sẽ được cập nhật tự động trên toàn Domain; Domain cung cấp quy trình đăng nhập đơn giản để người dùng truy xuất các tài nguyên mạng mà họ được phép truy cập; Domain cung cấp linh động để người quản trị có thể khởi tạo mạng rất rộng lớn. Hình 2-2. Mô hình mạng Client/Server Các thành phần cơ bản trong Windows Server có thể chứa các kiểu máy tính sau: - Máy điều khiển miền (Domain controllers) lưu trữ và bảo trì bản sao thư mục. Trong domain, tài khoản người dùng được tạo một lần, Windows Server ghi nó trong thư mục này. Khi người dùng đăng nhập tới máy tính trong domain, domain controller kiểm tra thư mục nhờ tên người sử dụng, mật khẩu và giới hạn đăng nhập. Khi có nhiều domain controllers, chúng định kỳ tái tạo thông tin thư mục của chúng. KHOA CÔNG NGHỆ THÔNG TIN 30
33. Chương 2: Thiết lập và quản trị hệ thống mạng - Các máy chủ thành viên (Member servers): Một máy member server là một máy chủ mà không được cấu hình như là domain controller. Máy chủ không lưu trữ thông tin thư mục và không thể xác nhận domain người dùng. Các máy chủ có thể cung cấp các tài nguyên chia sẻ như các thư mục dùng chung hay các máy in. - Các máy tính trạm (Client computers): Các máy tính trạm chạy một hệ điều hành dùng cho máy trạm của người dùng và cho phép người dùng truy cập tới nguồn tài nguyên trong domain. Không giống như Workgroup, Domain phải tồn tại trước khi người dùng tham gia vào nó. Việc tham gia vào Domain luôn yêu cầu người quản trị Domain cung cấp tài khoản cho máy tính của người dùng tới domain đó. Tuy nhiên, nếu người quản trị cho người dùng đúng đặc quyền, người dùng có thể khởi tạo tài khoản máy tính của mình trong quá trình cài đặt. 2.1.2 Giới thiệu Active Directory Active Directory là một kiến trúc độc quyền của Microsoft. Đây là một kiến trúc không thể thiếu được trên Windows Server, được hiểu nôm na là một dịch vụ thư mục. Active Directory là một hệ thống được chuẩn hóa với khả năng quản trị tập trung hoàn hảo về người dùng cũng như các nguồn tài nguyên trong một hệ thống mạng. Active Directory là một kiến trúc độc quyền của Microsoft. Đây là một kiến trúc không thể thiếu được trên Windows Server, được hiểu nôm na là một dịch vụ thư mục. Active Directory là một hệ thống được chuẩn hóa với khả năng quản trị tập trung hoàn hảo về người dùng cũng như các nguồn tài nguyên trong một hệ thống mạng. Cũng cần phải chú ý, Active Directory được sử dụng trong mô hình mạng “Server – Client”. KHOA CÔNG NGHỆ THÔNG TIN 31
34. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-3. Active Directory trên Windows Server 2008 2.1.3 Các thành phần cơ bản và chức năng của Active Directory 2.1.3.1 OU (Organization Unit) Đây được coi là một trong những khái niệm căn bản nhất trong Active Directory. Vậy OU là gì? Cần nhớ là điểm ưu việt của Active Directory là nó có thể chứa tới hàng triệu đối tượng khác nhau. Vậy làm sao để quản lý các đối tượng này một cách hiệu quả. Bạn sẽ không phải ngồi lần mò hoặc tìm kiếm trong cả đống đối tượng như vậy mà đơn giản hơn các đối tượng đó có thể được nhóm lại với nhau theo một tiêu chí hay nguyên tắc nào đó – và đó chính là OU (hay còn được gọi là đơn vị tổ chức dữ liệu). Hình 2-4. Mô tả Organization Unit - đơn vị tổ chức dữ liệu Trong thực tế, các bạn có thể sử dụng OU để lưu các tài khoản người dùng trong một phòng ban, hay các máy tính trong phòng ban đó, hoặc cũng có thể KHOA CÔNG NGHỆ THÔNG TIN 32
35. Chương 2: Thiết lập và quản trị hệ thống mạng tổ chức cả công ty thành một cây thư mục các OU chứa các máy tính, các group, hay các tài khoản người dùng như hình trên. 2.1.3.2 Domain (tên miền) Domain ở đây được hiểu là một miền, có nghĩa là khi hệ thống của bạn sử dụng Active Directory, đồng nghĩa là tất cả các máy tính trong này đều thuộc về ít nhất là cùng một miền nào đó. Trong một miền thì phải có ít nhất là một máy chủ quản lý miền (Domain Controller) trở lên. Các máy chủ trong cùng một miền thì sẽ đồng bộ với nhau về các đối tượng trong miền đó (Domain Name Context). Các máy chủ này sẽ đảm trách các vai trò về quản lý chung trên toàn miền đó. Hình 2-5. Mô tả việc quản lý các đối tượng trong Domain 2.1.3.3 Kiến trúc của Active Directory Active Directory như một cơ sở dữ liệu (Database)? Với các bạn học lập trình, hẳn cũng rõ có 2 khái niệm rất thân quen, đó là các bản ghi (record) và các trường (field). Nói Active Directory như là một database chính là ở điểm này. KHOA CÔNG NGHỆ THÔNG TIN 33
36. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-6. Cấu trúc cơ sở dữ liệu của Domain Có thể thấy rất đơn giản ở đây, kiến trúc Active Directory bao gồm nhiều đối tượng (objects) và trên mỗi một đối tượng lại có nhiều thuộc tính (attribute) khác nhau. Ở hình trên, trong AD có 2 kiểu đối tượng là máy tính và người dùng. Với mỗi máy tính lại bao gồm thuộc tính như tên máy tính, mô tả về máy tính đó. Với người dùng thì thuộc tính lại là họ, tên và tên đăng nhập hệ thống. Đó là lý do tại sao chúng ta có thể so sánh Active Directory như một database, thứ hai, cũng có thể coi Active Directory như một Datastore, vậy Datastore là gì? Hiểu rộng thì cứ xem nó là một cái khung, một cái thùng chứa, hay hiểu đơn giản đi thì cứ coi nó như một cái ổ cứng máy tính cũng được. Hình 2-7. Thành phần cốt lỗi kiến trúc Active Directory  Datastore này sẽ bao gồm 2 thành phần: - Thứ nhất: NTDS.DIT KHOA CÔNG NGHỆ THÔNG TIN 34
37. Chương 2: Thiết lập và quản trị hệ thống mạng - Domain: tại đây chứa các đối tượng mà các bạn sẽ phải tương tác hàng ngày, ví dụ như user, computer, OU . - Schema: là nơi lưu trữ các định nghĩa về từng thuộc tính trên mỗi đối tượng - Configuration: chứa toàn bộ các cấu hình của Active Directory - DNS: một hệ thống Active Directory thường là luôn tích hợp kèm với dịch vụ DNS, mọi cấu hình thuộc về DNS được lưu tại đây. - Global Catalog: đảm nhiểm chức năng chứng thực (authentication) cho các đối tượng trong một hệ thống Active Directory. Máy chủ quản trị miền nào (Domain controller) lưu trữ Global Catalog thì được gọi là Global Catalog Server. - Thứ hai: SYSVOL Đây là một thư mục chứa các chính sách dành cho các đối tượng người dùng hoặc máy tính và các đoạn script quan trọng khác. Cần chú ý là các chính sách này không giống như việc hệ thống gán quyền truy cập các tài nguyên (authorization) Hình 2-8. Sysvol trong kiến trúc Active Directory KHOA CÔNG NGHỆ THÔNG TIN 35
38. Chương 2: Thiết lập và quản trị hệ thống mạng 2.1.4 Cài đặt và cấu hình Active Directory Tương tự như Windows Server 2003 khi nâng cấp Domain Controller sẽ vẫn cần chạy dcpromo từ nhắc lệnh Run, tuy nhiên cần phải cài đặt Active Directory Domain Controller role, đầu tiên bạn cài đặt role, sau đó chạy dcpromo.Vào Server Manager Roles Add Roles Hình 2-9. Add Roles khi nâng cấp Domain Khi đó, xuất hiện trang Before You Begin, nhấn Next để tiếp tục Hình 2-10. Trang hộp thoại Before You Begin Chọn Active Directory Domain Services Add Required Features để cài đặt thêm các tính năng này với Active Directory Server Role. Sau khi chọn Active Directory DC Server Role, bạn sẽ thấy các thông tin về Server Role. KHOA CÔNG NGHỆ THÔNG TIN 36
39. Chương 2: Thiết lập và quản trị hệ thống mạng Kích Install để cài đặt các file yêu cầu Hình 2-11. Hộp thoại cài đặt Server Roles Sau khi cài đặt thành công dịch vụ Server Roles Vào Start Run DCPROMO thì hộp thoại Welcome to the Active Directory Domain Service Installation Wizard Kích Next Kích Next Trong trang Choose a Deployment Configuration Create a new domain in a new forest Hình 2-12. Create a new domain in a new forest Trong trang Name the Forest Root Domain, nhập vào tên của miền trong hộp nhập liệu FQDN of the forest room domain. Nhấn Next để tiếp tục KHOA CÔNG NGHỆ THÔNG TIN 37
40. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-13. Hộp thoại điền tên miền khi nâng cấp Domain Trong trang Set Forest Functional Level, chọn Windows Server 2008. Nhấn Next để tiếp tục. Hình 2-14. Hộp thoại chọn Forest Function Level Trong trang Additional Domain Controller Options, Chọn DNS server và kích Next KHOA CÔNG NGHỆ THÔNG TIN 38
41. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-15. Hộp thoại Add thêm dịch vụ DNS Một hộp thoại sẽ xuất hiện nói rằng không thể tạo đại diện cho máy chủ DNS này vì không thể tìm thấy vùng xác thực hoặc nó không chạy Windows DNS server. Lý do cho điều này là vì đây là DC đầu tiên trên mạng. Nhấn Next để tiếp tục. Hình 2-16. Hộp thoại xác thực Add thêm dịch vụ DNS Đường dẫn lưu trữ Database, Log Files và SYSVOL, ta có thể thay đổi đường dẫn tại vị trí khác. Tuy nhiên, nơi lưu trữ các thành phần này phải là phân vùng được định dạng NTFS, kích Next KHOA CÔNG NGHỆ THÔNG TIN 39
42. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-17. Hộp thoại đường dẫn lưu trữ Database Active Directory Trong Directory Service Restore Mode Administrator Password, nhập một mật khẩu mạnh vào các hộp nhập liệu Password và Confirm password. Hình 2-18. Hộp thoại thiết lập mật khẩu phục hồi sơ sở dữ liệu của Active Diretory Xác nhận các thông tin trên trang Summary và kích Next. Active Directory sẽ cài đặt. Đặt một dấu kiểm vào hộp chọn Reboot on completion để máy tính sẽ tự động khởi động lại khi cài đặt Domain được hoàn tất. KHOA CÔNG NGHỆ THÔNG TIN 40
43. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-19. Hộp thoại diễn ra quá trình nâng cấp Domain 2.1.5 Gia nhập máy trạm vào Domain Đặt địa chỉ IP. Click phải vào My Network places Properties. Chọn Manager Network connections Click phải vào biểu tượng card mạng chọn Properties. Chọn Internet Protocol Version 4 (TCP/IPv4) Properties Hình 2-20. Đặt IP cho máy trạm Tại máy trạm click phải My Computer Properties Change Settings. Nhấn nút Change. Chọn Domain Nhập tên domain KHOA CÔNG NGHỆ THÔNG TIN 41
44. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-21. Hộp thoại gia nhập máy trạm vào Domain Nhấn OK Nhấn Close Restart Now. Công việc gia nhập máy trạm vào Domain thành công. Hình 2-22. Hộp thông báo gia nhập máy trạm vào Domain thành công Sau khi restart, log on vào domain Administrator máy tính đã trở thành 1 client của domain taiphat.net. 2.1.6 Xây dựng Organizational Unit Organizational Units hay OU là đơn vị nhỏ nhất trong hệ thống Active Directory, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. Việc sử dụng OU có hai công dụng chính như sau: KHOA CÔNG NGHỆ THÔNG TIN 42
45. Chương 2: Thiết lập và quản trị hệ thống mạng Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một quản trị viên phụ nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống. Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (Group Policy) - Vào Administratives Tools Active Directory User and Computer hoặc vào Start Run gõ: dsa.msc. - Right click tại Server New Organizaitional Unit Gõ tên OU Ok. Hình 2-23. Cấu trúc cây OU 2.1.7 Tài khoản người dùng User acount Trong hệ thống mạng Windows Server 2008, người dùng muốn truy cập vào tài nguyên mạng cần phải có một user acount. Với user acount này, người dùng sẽ được chứng thực và cấp phát quyền truy cập. Một user acount là một đối tượng chứa tất cả các thông tin định nghĩa một người dùng trong Windows Server 2008. Windows Server 2008 có các kiểu user acount: - User acount domain: được tạo trên máy chủ DC. User này có thể logon vào bất kỳ các máy Client nào trên mạng.User được tạo trên DC thì mặc định tài khoản này sẽ là Domain user,thuy nhiên có thể gán quyền cho user vào nhóm [Member of] để có các quyền khác. KHOA CÔNG NGHỆ THÔNG TIN 43
46. Chương 2: Thiết lập và quản trị hệ thống mạng - Built in acount: là các tài khoản được tạo sẵn khi cài hệ điều hành và thăng cấp thành DC. Mục đích là để trao quyền đặc biệt cho người dùng trên hệ điều hành. Ví dụ một số Built in acount: - Administrator - Account operator - Backup operator - Print operator - Guest - Local user acount: là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ. - Tạo tài khoản người dùng: Right click tại OU cần chứa các User New User Điền đầy đủ thông tin của User Next Điền Password. - Chú ý: Password mặc định khi khởi tạo Domain phải đặt >=7 ký tự và Password phải phức tâp. Vd: P@ssword. Hình 2-24. Hộp thoại tao User Acount 2.1.8 Tài khoản người dùng nhóm (Groups) - Tạo nhóm KHOA CÔNG NGHỆ THÔNG TIN 44
47. Chương 2: Thiết lập và quản trị hệ thống mạng Right click tại OU cần chứa các Group New Group Gõ tên Group Ok. Hình 2-25. Hộp thoại tạo nhóm - Add User vào trong nhóm Chọn một hoặc nhiều User cần Add vào Group. Right click vào đối tượng User đã chọn Add to Group Gõ tên Group cần Add Ok. Hình 2-26. Hộp thoại thêm tài khoàn người dùng vào trong nhóm KHOA CÔNG NGHỆ THÔNG TIN 45
48. Chương 2: Thiết lập và quản trị hệ thống mạng 2.1.9 Câu hỏi và bài tập Cho mô hình mạng sau:  Thiết lập Ip cho hệ thống theo mô hình trên.  Xây dựng Domain với tên miền: Hotec.edu.vn  Tạo User, OU, Group, Add User vào trong Group  Cho máy Client tham gia vào Doamain  Máy Client đăng nhập vào các User vừa tạo 2.2 Quản lý tài khoản người dùng và nhóm 2.2.1 Tài khoản người dùng cục bộ Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ. Bạn tạo tài khoản người dùng cục bộ với công cụ Local Users and Group trong Computer Management (COMPMGMT.MSC). Các tài KHOA CÔNG NGHỆ THÔNG TIN 46
49. Chương 2: Thiết lập và quản trị hệ thống mạng khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager). Tập tin SAM này được đặt trong thư mục \Windows\system32\config. Hình 2-27. Tổ chức tài khoản người dùng cục bộ 2.2.2 Tài khoản người dùng miền Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. Bạn tạo tài khoản người dùng miền với công cụ Active Directory Users and Computer (Dsa.msc). Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS. KHOA CÔNG NGHỆ THÔNG TIN 47
50. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-28. Tổ chức tài khoản người dùng miền 2.2.3 Chứng thực và kiểm soát truy cập 2.2.3.1 Các giao thức chứng thực Chứng thực trong Windows Server 2008 là quy trình gồm hai giai đoạn: đăng nhập tương tác và chứng thực mạng. Khi người dùng đăng nhập vùng bằng tên và mật mã, quy trình đăng nhập tương tác sẽ phê chuẩn yêu cầu truy cập của người dùng. Với tài khoản cục bộ, thông tin đăng nhập được chứng thực cục bộ và người dùng được cấp quyền truy cập máy tính cục bộ. Với tài khoản miền, thông tin đăng nhập được chứng thực trên Active Directory và người dùng có quyền truy cập các tài nguyên trên mạng. Như vậy với tài khoản người dùng miền ta có thể chứng thực trên bất kỳ máy tính nào trong miền. Windows 2008 hỗ trợ nhiều giao thức chứng thực mạng, nổi bật nhất là: - Kerberos V5: là giao thức chuẩn Internet dùng để chứng thực người dùng và hệ thống. - NT LAN Manager (NTLM): là giao thức chứng thực chính của Windows NT. - Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơ chế chứng thực chính được dùng khi truy cập vào máy phục vụ Web an toàn. KHOA CÔNG NGHỆ THÔNG TIN 48
51. Chương 2: Thiết lập và quản trị hệ thống mạng 2.2.3.2 Số nhận diện bảo mật SID Tuy hệ thống Windows Server 2008 dựa vào tài khoản người dùng (user account) để mô tả các quyền hệ thống (rights) và quyền truy cập (permission) nhưng thực sự bên trong hệ thống mỗi tài khoản được đặc trưng bởi một con số nhận dạng bảo mật SID (Security Identifier). SID là thành phần nhận dạng không trùng lặp, được hệ thống tạo ra đồng thời với tài khoản và dùng riêng cho hệ thống xử lý, người dùng không quan tâm đến các giá trị này. SID bao gồm phần SID vùng cộng thêm với một RID của người dùng không trùng lặp. SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID”, khi đó tất cả các SID trong miền đều có cùng giá trị D1, D2, D3, nhưng giá trị RID là khác nhau. Hai mục đích chính của việc hệ thống sử dụng SID là: - Dễ dàng thay đổi tên tài khoản người dùng mà các quyền hệ thống và quyền truy cập không thay đổi. - Khi xóa một tài khoản thì SID của tài khoản đó không còn giá trị nữa, nếu chúng ta có tạo một tài khoản mới cùng tên với tài khoản vừa xóa thì các quyền cũ cũng không sử dụng được bởi vì khi tạo tài khoản mới thì giá trị SID của tài khoản này là một giá trị mới 2.2.3.3 Kiểm soát hoạt động truy cập của đối tượng Active Directory là dịch vụ hoạt động dựa trên các đối tượng, có nghĩa là người dùng, nhóm, máy tính, các tài nguyên mạng đều được định nghĩa dưới dạng đối tượng và được kiểm soát hoạt động truy cập dựa vào bộ mô tả bảo mật ACE. Chức năng của bộ mô tả bảo mật bao gồm: - Liệt kê người dùng và nhóm nào được cấp quyền truy cập đối tượng. - Định rõ quyền truy cập cho người dùng và nhóm. - Theo dõi các sự kiện xảy ra trên đối tượng. - Định rõ quyền sở hữu của đối tượng. Các thông tin của một đối tượng Active Directory trong bộ mô tả bảo mật được xem là mục kiểm soát hoạt động truy cập ACE (Access Control Entry). Một ACL (Access Control List) chứa nhiều ACE, nó là danh sách tất cả người dùng và nhóm có quyền truy cập đến đối tượng. ACL có đặc tính kế KHOA CÔNG NGHỆ THÔNG TIN 49
52. Chương 2: Thiết lập và quản trị hệ thống mạng thừa, có nghĩa là thành viên của một nhóm thì được thừa hưởng các quyền truy cập đã cấp cho nhóm này. 2.2.4 Các tài khoản tạo sẵn 2.2.4.1 Tài khoản người dùng tạo sẵn Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server 2008 thì mặc định được tạo ra. Tài khoản này là hệ thống nên chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi tên (chú ý thao tác đổi tên trên những tài khoản hệ thống phức tạp một chút so với việc đổi tên một tài khoản bình thường do nhà quản trị tạo ra). Tất cả các tài khoản người dùng tạo sẵn này đều nằm trong Container Users của công cụ Active Directory User and Computer. Sau đây là bảng mô tả các tài khoản người dùng được tạo sẵn: Bảng 2-1. Bảng mô tả các tài khoản người dùng được tạo sẵn Tên tài khoản Mô tả Administrator là một tài khoản đặc biệt, có toàn quyền trên máy tính hiện tại. Bạn có thể đặt mật khẩu cho tài khoản này trong lúc cài đặt Windows Administrator Server 2008. Tài khoản này có thể thi hành tất cả các tác vụ như tạo tài khoản người dùng, nhóm, quản lý các tập tin hệ thống và cấu hình máy in Tài khoản Guest cho phép người dùng truy cập vào các máy tính nếu họ không có một tài khoản và mật mã riêng. Mặc định là tài khoản này không Guest được sử dụng, nếu được sử dụng thì thông thường nó bị giới hạn về quyền, ví dụ như là chỉ được truy cập Internet hoặc in ấn. Là tài khoản đặc biệt được dùng cho dịch vụ ILS. ILS hỗ trợ cho các ứng dụng điện thoại có các đặc ILS_Anonymous_User tính như: caller ID, video conferencing, conference calling, và faxing. Muốn sử dụng ILS thì dịch vụ IIS phải được cài đặt. KHOA CÔNG NGHỆ THÔNG TIN 50
53. Chương 2: Thiết lập và quản trị hệ thống mạng Tên tài khoản Mô tả Là tài khoản đặc biệt được dùng trong các truy cập IUSR_computername giấu tên trong dịch vụ IIS trên máy tính có cài IIS. Là tài khoản đặc biệt được dùng cho IIS khởi IWAM_computername động các tiến trình của các ứng dụng trên máy có cài IIS. Là tài khoản đặc biệt được dùng cho dịch vụ trung Krbtgt tâm phân phối khóa (Key Distribution Center) Là tài khoản đặc biệt được dùng cho Terminal TSInternetUser Services. 2.2.5 Tài khoản nhóm Domain Local tạo sẵn Nhưng chúng ta đã thấy trong công cụ Active Directory User and Computers, container Users chứa nhóm universal, nhóm domain local và nhóm global là do hệ thống đã mặc định quy định trước. Nhưng một số nhóm domain local đặc biệt được đặt trong container Built-in, các nhóm này không được di chuyển sang các OU khác, đồng thời nó cũng được gán một số quyền cố định trước nhằm phục vụ cho công tác quản trị. Bạn cũng chú ý rằng là không có quyền xóa các nhóm đặc biệt này. Bảng 2-2. Bảng mô tả tài khoản nhóm Domain Local tạo sẵn Tên nhóm Mô tả Nhóm này mặc định được ấn định sẵn tất cả các quyền hạn cho nên thành viên của nhóm này có toàn quyền trên hệ Administrators thống mạng. Nhóm Domain Admins và Enterprise Admins là thành viên mặc định của nhóm Administrators. KHOA CÔNG NGHỆ THÔNG TIN 51
54. Chương 2: Thiết lập và quản trị hệ thống mạng Tên nhóm Mô tả Thành viên của nhóm này có thể thêm, xóa, sửa được các Account tài khoản người dùng, tài khoản máy và tài khoản nhóm. Operators Tuy nhiên họ không có quyền xóa, sửa các nhóm trong container Built-in và OU. Nhóm này chỉ có trên các Domain Controller và mặc định Domain không có thành viên nào, thành viên của nhóm có thể đăng Controllers nhập cục bộ vào các Domain Controller nhưng không có quyền quản trị các chính sách bảo mật. Thành viên của nhóm này có quyền lưu trữ dự phòng (Backup) và phục hồi (Retore) hệ thống tập tin. Trong trường hợp hệ thống tập tin là NTFS và họ không được Backup gán quyền trên hệ thống tập tin thì thành viên của nhóm Operators này chỉ có thể truy cập hệ thống tập tin thông qua công cụ Backup. Nếu muốn truy cập trực tiếp thì họ phải được gán quyền. Là nhóm bị hạn chế quyền truy cập các tài nguyên trên mạng. Các thành viên nhóm này là người dùng vãng lai Guests không phải là thành viên của mạng. Mặc định các tài khoản Guest bị khóa Thành viên của nhóm này có quyền tạo ra, quản lý và xóa Print Operator bỏ các đối tượng máy in dùng chung trong Active Directory. Thành viên của nhóm này có thể quản trị các máy server Server trong miền như: cài đặt, quản lý máy in, tạo và quản lý thư Operators mục dùng chung, backup dữ liệu, định dạng đĩa, thay đổi giờ Mặc định mọi người dùng được tạo đều thuộc nhóm này, Users nhóm này có quyền tối thiểu của một người dùng nên việc truy cập rất hạn chế. KHOA CÔNG NGHỆ THÔNG TIN 52
55. Chương 2: Thiết lập và quản trị hệ thống mạng Tên nhóm Mô tả Nhóm này được dùng để hỗ trợ việc sao chép danh bạ Replicator trong Directory Services, nhóm này không có thành viên mặc định. Incoming Thành viên nhóm này có thể tạo ra các quan hệ tin cậy Forest Trust hướng đến, một chiều vào các rừng. Nhóm này không có Builders thành viên mặc định. Network Thành viên nhóm này có quyền sửa đổi các thông số Configuration TCP/IP trên các máy Domain Controller trong miền. Operators Pre-Windows Nhóm này có quyền truy cập đến tất cả các tài khoản người 2000 dùng và tài khoản nhóm trong miền, nhằm hỗ trợ cho các Compatible hệ thống WinNT cũ. Access Thành viên nhóm này có thể đăng nhập từ xa vào các Remote Domain Controller trong miền, nhóm này không có thành Desktop User viên mặc định. Thành viên nhóm này có quyền truy cập từ xa để ghi nhận Performace lại những giá trị về hiệu năng của các máy Domain Log Users Controller, nhóm này cũng không có thành viên mặc định. Performace Thành viên nhóm này có khả năng giám sát từ xa các máy Monitor Users Domain Controller. KHOA CÔNG NGHỆ THÔNG TIN 53
56. Chương 2: Thiết lập và quản trị hệ thống mạng 2.2.6 Tài khoản nhóm Global tạo sẵn Tên nhóm Mô tả Thành viên của nhóm này có thể toàn quyền quản Domain trị các máy tính trong miền vì mặc định khi gia nhập vào Admins miền các member server và các máy trạm (Win2K Pro, WinXP) đã đưa nhóm Domain Admins là thành viên của nhóm cục bộ Administrators trên các máy này. Theo mặc định mọi tài khoản người dùng trên miền đều là thành viên của nhóm này. Mặc định nhóm này là Domain Users thành viên của nhóm cục bộ Users trên các máy server thành viên và máy trạm. Group Policy Thành viên nhóm này có quyền sửa đổi chính sách Creator nhóm của miền, theo mặc định tài khoản administrator Owners miền là thành viên của nhóm này. Đây là một nhóm universal, thành viên của nhóm này có toàn quyền trên tất cả các miền trong rừng đang Enterprise xét. Nhóm này chỉ xuất hiện trong miền gốc của rừng thôi. Admins Mặc định nhóm này là thành viên của nhóm administrators trên các Domain Controller trong rừng. Nhóm universal này cũng chỉ xuất hiện trong miền Schema gốc của rừng, thành viên của nhóm này có thể chỉnh sửa Admins cấu trúc tổ chức (schema) của Active Directory. 2.2.7 Các nhóm tạo sẵn đặc biệt Ngoài các nhóm tạo sẵn đã trình bày ở trên, hệ thống Windows Server 2008 còn có một số nhóm tạo sẵn đặt biệt, chúng không xuất hiện trên cửa sổ của công cụ Active Directory User and Computer, mà chúng chỉ xuất hiện trên các ACL của các tài nguyên và đối tượng. Ý nghĩa của nhóm đặc biệt này là: - Interactive: đại diện cho những người dùng đang sử dụng máy tại chỗ. KHOA CÔNG NGHỆ THÔNG TIN 54
57. Chương 2: Thiết lập và quản trị hệ thống mạng - Network: đại diện cho tất cả những người dùng đang nối kết mạng đến một máy tính khác. - Everyone: đại diện cho tất cả mọi người dùng. - System: đại diện cho hệ điều hành. - Creator owner: đại diện cho những người tạo ra, những người sở hữu một tài nguyên nào đó như: thư mục, tập tin, tác vụ in ấn (print job) - Authenticated users: đại diện cho những người dùng đã được hệ thống xác thực, nhóm này được dùng như một giải pháp thay thế an toàn hơn cho nhóm everyone. - Anonymous logon: đại diện cho một người dùng đã đăng nhập vào hệ thống một cách nặc danh, chẳng hạn một người sử dụng dịch vụ FTP. - Service: đại diện cho một tài khoản mà đã đăng nhập với tư cách như một dịch vụ. - Dialup: đại diện cho những người đang truy cập hệ thống thông qua Dial- up Networking. 2.2.8 Chính sách tài khoản người dùng 2.2.8.1 Chính sách tài khoản người dùng (System Policy) Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì bạn sẽ thấy hai mục Password Policy và Account Lockout Policy, trên máy Windows Server 2008 làm domain controller thì bạn sẽ thấy ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2008 cho phép bạn quản lý chính sách tài khoản tại hai cấp độ là: cục bộ và miền. Muốn cấu hình các chính sách tài khoản người dùng ta vào Start \ Programs \ Administrative Tools \ Group policy Management. KHOA CÔNG NGHỆ THÔNG TIN 55
58. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-29. Giao diện chính sách tài khoản người dùng 2.2.8.2 Chính sách mật khẩu Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu Hình 2-30. Giao diện chính sách mật khẩu - Các lựa chọn trong chính sách mật khẩu: KHOA CÔNG NGHỆ THÔNG TIN 56
59. Chương 2: Thiết lập và quản trị hệ thống mạng Bảng 2-3. Bảng lựa chọn trong chính sách mật khẩu Chính sách Mô tả Mặc định Enforce Password Số lần đặt mật mã không được 24 History trùng nhau Maximum Password Quy định số ngày nhiều nhất mà 42 Age mật mã người dùng có hiệu lực Minimum Password Quy số ngày tối thiểu trước khi 1 Age người dùng có thể thay đổi mật mã. Minimum Password Chiều dài ngắn nhất của mật mã 7 Length Passwords Must Meet Mật khẩu phải có độ phức tạp như: Cho phép Complexity có ký tự hoa, thường, có ký số. Requirements Store Password Using Reversible Mật mã người dùng được lưu dưới Không cho Encryption for All dạng mã hóa phép Users in the Domain 2.2.9 Chính sách khóa tài khoản (Account Lockout Policy) Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa. - Các thông số cấu hình chính sách khóa tài khoản: KHOA CÔNG NGHỆ THÔNG TIN 57
60. Chương 2: Thiết lập và quản trị hệ thống mạng Bảng 2-4. Bảng lựa chọn trong chính sách khoá mật khẩu Chính sách Mô tả Mặc định Account Lockout Quy định số lần cố gắng 0 (tài khoản sẽ không bị Threshold đăng nhập trước khi tài khóa) khoản bị khóa Account Lockout Quy định thời gian Là 0, nhưng nếu Account Duration khóa tài khoản Lockout Threshold được thiết lập thì giá trị này là 30 phút. Reset Account Là 0, nhưng nếu Account Quy định thời gian đếm Lockout Lockout Threshold được lại số lần đăng nhập Counter After thiết lập thì giá trị này là 30 không thành công phút. 2.2.10 Chính sách cục bộ (Local Policies) Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật. 2.2.11 Chính sách kiểm toán Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng. Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer, trong mục Security. KHOA CÔNG NGHỆ THÔNG TIN 58
61. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-31. Giao diện chính sách kiểm toán - Các lựa chọn trong chính sách kiểm toán: Bảng 2-5. Bảng lựa chọn trong chính sách kiểm toán Chính sách Mô tả Kiểm toán những sự kiện khi tài khoản đăng Audit Account Logon nhập, hệ thống sẽ ghi nhận khi người dùng Events logon, logoff hoặc tạo một kết nối mạng Hệ thống sẽ ghi nhận khi tài khoản người dùng Audit Account hoặc nhóm có sự thay đổi thông tin hay các thao Management tác quản trị liên quan đến tài khoản người dùng. Audit Directory Service Ghi nhân việc truy cập các dịch vụ thư mục Access KHOA CÔNG NGHỆ THÔNG TIN 59
62. Chương 2: Thiết lập và quản trị hệ thống mạng Chính sách Mô tả Ghi nhân các sự kiện liên quan đến quá trình Audit Logon Events logon như thi hành một logon script hoặc truy cập đến một roaming profile. Ghi nhận việc truy cập các tập tin, thư mục, và Audit Object Access máy tin. Audit Policy Change Ghi nhận các thay đổi trong chính sách kiểm toán Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác Audit privilege use quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của một ai đó. Kiểm toán này theo dõi hoạt động của chương Audit process tracking trình hay hệ điều hành. Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại Audit system event máy hoặc tắt máy. 2.2.12 Quyền hệ thống của người dùng Đối với hệ thống Windows Server 2008, bạn có hai cách cấp quyền hệ thống cho người dùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho người dùng. Cách thứ nhất bạn đã biết sử dụng ở chương trước, chỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn thì bạn có thể gán quyền cho người dùng theo yêu cầu. Để cấp quyền hệ thống cho người dùng theo theo cách thứ hai thì bạn phải dùng công cụ Local Security Policy (nếu máy bạn không phải Domain Controller) hoặc Domain Controller Security Policy (nếu máy bạn là Domain Controller). Trong hai công cụ đó bạn mở mục Local Policy \ User Rights Assignment. KHOA CÔNG NGHỆ THÔNG TIN 60
63. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-32. Giao diện truy cập quyền hệ thống của người dùng Để thêm, bớt một quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyền hạn được chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách người dùng và nhóm hiện tại đang có quyền này. Bạn có thể nhấp chuột vào nút Add để thêm người dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove để xóa người dùng khỏi danh sách. Ví dụ minh họa sau là bạn cấp quyền thay đổi giờ hệ thống (change the system time) cho người dùng “ty” Hình 2-33. Cấp quyền cho User thay đổi giờ hệ thống - Danh sách các quyền hệ thống cấp cho người dùng và nhóm: KHOA CÔNG NGHỆ THÔNG TIN 61
64. Chương 2: Thiết lập và quản trị hệ thống mạng Bảng 2-6. Danh sách các quyền hệ thống cấp cho người dùng và nhóm Quyền Mô tả Cho phép người dùng truy cập máy tính Access This Computer from thông qua mạng. Mặc định mọi người đều the Network có quyền này. Act as Part of the Operating Cho phép các dịch vụ chứng thực ở mức System thấp chứng thực với bất kỳ người dùng nào. Add Workstations to the Cho phép người dùng thêm một tài khoản Domain máy tính vào vùng. Back Up Files and Cho phép người dùng sao lưu dự phòng Directories (backup) các tập tin và thư mục bất chấp các tập tin và thư mục này người đó có quyền không. Bypass Traverse Checking Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùng không có quyền xem (list) nội dung thư mục này. Cho phép người dùng thay đổi giờ hệ thống Change the System Time của máy tính. Cho phép người dùng thay đổi kích thước Create a Pagefile của Page File. Create a Token Object Cho phép một tiến trình tạo một thẻ bài nếu tiến trình này dùng NTCreate Token API. KHOA CÔNG NGHỆ THÔNG TIN 62
65. Chương 2: Thiết lập và quản trị hệ thống mạng Quyền Mô tả Create Permanent Shared Cho phép một tiến trình tạo một đối tượng Objects thư mục thông qua Windows 2000 Object Manager. Debug Programs Cho phép người dùng gắn một chương trình debug vào bất kỳ tiến trình nào. Cho phép bạn khóa người dùng hoặc nhóm Deny Access to This không được truy cập đến các máy tính trên Computer from the Network mạng. Deny Logon as a Batch File Cho phép bạn ngăn cản những người dùng và nhóm được phép logon như một batch file. Deny Logon as a Service Cho phép bạn ngăn cản những người dùng và nhóm được phép logon như một services. Deny Logon Locally Cho phép bạn ngăn cản những người dùng và nhóm truy cập đến máy tính cục bộ. Enable Computer and User Cho phép người dùng hoặc nhóm được ủy Accounts to quyền cho người dùng hoặc một đối tượng Be Trusted by Delegation máy tính. Force Shutdown from a Cho phép người dùng shut down hệ thống Remote System từ xa thông qua mạng KHOA CÔNG NGHỆ THÔNG TIN 63
66. Chương 2: Thiết lập và quản trị hệ thống mạng Quyền Mô tả Generate Security Audits Cho phép người dùng, nhóm hoặc một tiến trình tạo một entry vào Security log. Increase Quotas Cho phép người dùng điều khiển các hạn ngạch của các tiến trình. Increase Scheduling Priority Quy định một tiến trình có thể tăng hoặc giảm độ ưu tiên đã được gán cho tiến trình khác. Load and Unload Device Cho phép người dùng có thể cài đặt hoặc Drivers gỡ bỏ các driver của các thiết bị. Lock Pages in Memory Khóa trang trong vùng nhớ. Log On as a Batch Job Cho phép một tiến trình logon vào hệ thống và thi hành một tập tin chứa các lệnh hệ thống. Log On as a Service Cho phép một dịch vụ logon và thi hành một dịch vụ riêng. Cho phép người dùng logon tại máy tính Log On Locally Server. Manage Auditing and Cho phép người dùng quản lý Security log. Security Log KHOA CÔNG NGHỆ THÔNG TIN 64
67. Chương 2: Thiết lập và quản trị hệ thống mạng Quyền Mô tả Modify Firmware Environment Cho phép người dùng hoặc một tiến trình hiệu chỉnh các biến môi trường hệ thống. Variables Profile Single Process Cho phép người dùng giám sát các tiến trình bình thường thông qua công cụ Performance Logs and Alerts. Profile System Performance Cho phép người dùng giám sát các tiến trình hệ thống thông qua công cụ Performance Logs and Alerts. Remove Computer from Cho phép người dùng gỡ bỏ một Laptop Docking thông qua giao diện người dùng của Station Windows 2000. Replace a Process Level Cho phép một tiến trình thay thế một token Token mặc định mà được tạo bởi một tiến trình con. Restore Files and Directories Cho phép người dùng phục hồi tập tin và thư mục, bất chấp người dùng này có quyền trên tập tin và thư mục này hay không. Shut Down the System Cho phép người dùng shut down cục bộ máy Windows 2000. KHOA CÔNG NGHỆ THÔNG TIN 65
68. Chương 2: Thiết lập và quản trị hệ thống mạng Quyền Mô tả Synchronize Directory Cho phép người dùng đồng bộ dữ liệu với Service Data một dịch vụ thư mục. Take Ownership of Files or Other Cho người dùng tước quyền sở hữu của một đối tượng hệ thống. Objects 2.2.13 Các lựa chọn bảo mật Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn (Administrator, Guest). Trong hệ thống Windows Server 2008 hỗ trợ cho chúng ta rất nhiều lựa chọn bảo mật, nhưng trong giáo trình này chúng ta chỉ khảo sát các lựa chọn thông dụng. Hình 2-34. Giao diện chính sách bảo mật KHOA CÔNG NGHỆ THÔNG TIN 66
69. Chương 2: Thiết lập và quản trị hệ thống mạng - Một số lựa chọn bảo mật thông dụng: Bảng 2-7. Bảng lựa chọn bảo mật thông dụng Tên lựa chọn Mô tả Shutdown: allow system to Cho phép người dùng shutdown hệ thống mà be shut down without không cần logon. having to logon Audit : audit the access of Giám sát việc truy cập các đối tượng hệ thống global system objects toàn cục. Network security: force Tự động logoff khỏi hệ thống khi người dùng logoff when logon hours hết thời gian sử dụng hoặc tài khoản hết hạn. expires. Interactive logon: do not Không yêu cầu ấn ba phím CTRL+ALT+DEL require khi logon. CTRL+ALT+DEL Interactive logon: do not Không hiển thị tên người dùng đã logon trên display last user name hộp thoại Logon. Account: rename Cho phép đổi tên tài khoản Administrator administrator account thành tên mới Account: rename guest Cho phép đổi tên tài khoản Guest thành tên mới account 2.2.14 Chính sách tài khoản người dùng nhóm (Group Policy) 2.2.14.1 Giới thiệu chức năng của Group Policy Triển khai phần mềm ứng dụng: bạn có thể gom tất cả các tập tin cần thiết để cài đặt một phần mềm nào đó vào trong một gói (package), đặt nó lên KHOA CÔNG NGHỆ THÔNG TIN 67
70. Chương 2: Thiết lập và quản trị hệ thống mạng Server, rồi dùng chính sách nhóm hướng một hoặc nhiều máy trạm đến gói phần mềm đó. Hệ thống sẽ tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cần sự can thiệp nào của người dùng. Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng của chính sách hệ thống. Nó có thể cấp cho một hoặc một nhóm người nào đó có quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thể kiểm soát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy được một vài ứng dụng nào đó thôi như: Outlook Express, Word hay Internet Explorer. Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định hạn ngạch đĩa cho một người dùng nào đó. Người dùng này chỉ được phép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định. Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 và Windows Server 2008 thì hỗ trợ cả bốn sự kiện này được kích hoạt (trigger) một kịch bản (script). Bạn có thể dùng các GPO để kiểm soát những kịch bản nào đang chạy. Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng GPO để gỡ bỏ nhiều tính năng khỏi Internet Explorer, Windows Explorer và những chương trình khác. Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ bỏ hầu hết các đề mục trên menu Start của một người dùng nào đó, ngăn chặn không cho người dùng cài thêm máy in, sửa đổi thông số cấu hình của máy trạm 2.2.14.2 So sánh giữa System Policy và Group Policy Vừa rồi ở chương trước, chúng ta đã tìm hiểu về chính sách hệ thống (System Policy), tiếp theo chúng ta sẽ tìm hiểu về chính sách nhóm (Group Policy). Vậy hai chính sách này khác nhau như thế nào. Chính sách nhóm chỉ xuất hiện trên miền Active Directory, nó không tồn tại trên miền NT4. KHOA CÔNG NGHỆ THÔNG TIN 68
71. Chương 2: Thiết lập và quản trị hệ thống mạng Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống. Tất nhiên chính sách nhóm chứa tất cả các chức năng của chính sách hệ thống và hơn thế nữa, bạn có thể dùng chính sách nhóm để triển khai một phần mềm cho một hoặc nhiều máy một cách tự động. Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống. Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống. Các chính sách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào mạng thôi. Các chính sách nhóm thì được áp dụng khi bạn bật máy lên, khi đăng nhập vào một cách tự động vào những thời điểm ngẫu nhiên trong suốt ngày làm việc. Bạn có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc từng nhóm đối tượng. Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy Win2K, WinXP và Windows Server 2003, Windows server 2008 2.2.15 Triển khai một chính sách nhóm trên miền Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đối tượng chính sách (GPO). Các GPO là một vật chứa (container) có thể chứa nhiều chính sách áp dụng cho nhiều người, nhiều máy tính hay toàn bộ hệ thống mạng. Bạn dùng chương trình Group Policy Object Editor để tạo ra các đối tượng chính sách. Trong của sổ chính của Group Policy Object Editor có hai mục chính: cấu hình máy tính (computer configuration) và cấu hình người dùng (user configuration). Điều kế tiếp bạn cũng chú ý khi triển khai Group Policy là các cấu hình chính sách của Group Policy được tích lũy và kề thừa từ các vật chứa (container) bên trên của Active Directory. Ví dụ các người dùng và máy tính vừa ở trong miền vừa ở trong OU nên sẽ nhận được các cấu hình từ cả hai chính sách cấp miền lẫn chính sách cấp OU. Các chính sách nhóm sau 90 phút sẽ được làm tươi và áp dụng một lần, nhưng các chính nhóm trên các Domain Controller được làm tươi 5 phút một lần. Các GPO hoạt động được không chỉ nhờ chỉnh sửa các thông tin trong Registry mà còn nhờ các thư viện liên kết động (DLL) làm phần mở rộng đặt tại các máy trạm. Chú ý nếu bạn dùng chính sách nhóm thì chính KHOA CÔNG NGHỆ THÔNG TIN 69
72. Chương 2: Thiết lập và quản trị hệ thống mạng sách nhóm tại chỗ trên máy cục bộ sẽ xử lý trước các chính sách dành cho site, miền hoặc OU. 2.2.16 Xem chính sách cục bộ của một máy tính ở xa Để xem một chính sách cục bộ trên các máy tính khác trong miền, bạn phải có quyền quản trị trên máy đó hoặc quản trị miền. Lúc đó bạn có thể dùng lệnh GPEDIT.MSC /gpcomputer: machinename, ví dụ bạn muốn xem chính sách trên máy PC01 bạn gõ lệnh GPEDIT.MSC /gpcomputer: PC01. Chú ý: không thể dùng cách này để thiết lập các chính sách nhóm ở máy tính ở xa, do tính chất bảo mật Microsoft không cho phép bạn ở xa thiết lập các chính sách nhóm. 2.2.17 Tạo các chính sách miền Chúng ta dùng snap-in Group Policy trong Active Directory User and Computer hoặc gọi trược tiếp tiện ích Group Policy Object Editor từ dòng lệnh trên máy Domain Controller để tạo ra các chính sách nhóm cho miền. Nếu bạn mở Group Policy từ Active Directory User and Computer thì trong khung cửa sổ chính của chương trình bạn nhấp chuột phải vào biểu tượng tên miền (trong ví dụ này là netclass.edu.vn), chọn Properties. Trong hộp thoại xuất hiện bạn chọn Tab Group Policy Hình 2-35. Giao diện tạo chính sách miền KHOA CÔNG NGHỆ THÔNG TIN 70
73. Chương 2: Thiết lập và quản trị hệ thống mạng Nếu chưa tạo ra một chính sách nào thì bạn chỉ nhìn thấy một chính sách tên Default Domain Policy. Cuối hộp thoại có một checkbox tên Block Policy inheritance, chức năng của mục này là ngăn chặn các thiết định của mọi chính sách bất kỳ ở cấp cao hơn lan truyền xuống đến cấp đang xét. Chú ý rằng chính sách được áp dụng đầu tiên ở cấp site, sau đó đến cấp miền và cuối cùng là cấp OU. Chọn chính sách Default Domain Policy và nhấp chuột vào nút Option để cấu hình các lựa chọn việc áp dụng chính sách. Trong hộp thoại Options, nếu đánh dấu vào mục No Override thì các chính sách khác được áp dụng ở dòng dưới sẽ không phủ quyết được những thiết định của chính sách này, cho dù chính sách đó không đánh dấu vào mục Block Policy inheritance. Tiếp theo nếu đánh dấu vào mục Disabled, thì chính sách này sẽ không hoạt động ở cấp này, Việc disbale chính sách ở một cấp không làm disable bản thân đối tượng chính sách. 2.2.18 Khai báo một logon script dùng chính sách nhóm Trong Windows Server 2008 hỗ trợ cho chúng ta bốn sự kiện để có thể kích hoạt các kịch bản (script) hoạt động là: startup, shutdown, logon, logoff. Trong công cụ Group Policy Object Editor, bạn có thể vào Computer Configuration \ Windows Setttings \ Scripts để khai báo các kịch bản sẽ hoạt động khi startup, shutdown. Đồng thời để khai báo các kịch bản sẽ hoạt động khi logon, logoff thì bạn vào User Configuration \ Windows Setttings \ Scripts. Trong ví dụ này chúng ta tạo một logon script, quá trình gồm các bước sau: Mở công cụ Group Policy Object Editor, vào mục User Configuration \ Windows Setttings \ Scripts. KHOA CÔNG NGHỆ THÔNG TIN 71
74. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-36. Giao diện khai báo logon script dùng chính sách nhóm Nhấp đúp chuột vào mục Logon bên của sổ bên phải, hộp thoại xuất hiện, bạn nhấp chuột tiếp vào nút Add để khai báo tên tập tin kịch bản cần thi hành khi đăng nhập. Chú ý tập tin kịch bản này phải được chứa trong thư mục c:\Windows\system32\ grouppolicy\user\script\logon. Thư mục này có thể thay đổi, tốt nhất bạn nên nhấp chuột vào nút Show Files phía dưới hộp thoại để xem thư mục cụ thể chứa các tập tin kịch bản này. Hình 2-37. Hộp thoại tạo kịch bản logon script KHOA CÔNG NGHỆ THÔNG TIN 72
75. Chương 2: Thiết lập và quản trị hệ thống mạng 2.2.19 Hạn chế chức năng của Internet Explorer Trong ví dụ này chúng ta muốn các người dùng dưới máy trạm không được phép thay đổi bất kì thông số nào trong Tab Security, Connection và Advanced trong hộp thoại Internet Options của công cụ Internet Explorer. Để làm việc này, trong công cụ Group Policy Object Editor, bạn vào User Configuration\Administrative Templates Windows Components\Internet Explorer\Internet Control Panel, chương trình sẽ hiện ra các mục chức năng của IE có thể giới hạn. Hình 2-38. Hộp thoại hạn chế chức năng Explorer 2.2.20 Chỉ cho phép một số ứng dụng được thi hành Để cấu hình Group Policy chỉ cho phép các người dùng dưới máy trạm chỉ sử dụng được một vài ứng dụng nào đó, trong công cụ Group Policy Object Editor, bạn vào User Configuration \ Administrative Templates. Sau đó nhấp đúp chuột vào mục Run only allowed Windows applications để chỉ định các phần mềm được phép thi hành. KHOA CÔNG NGHỆ THÔNG TIN 73
76. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-39. Giao diện cho phép một số ứng dụng được thi hành 2.2.21 Cài đặt phần mềm ứng dụng (Deploy software) Dùng Software Installation extension, bạn có thể quản lý tập trung việc cài đặt phần mềm trên một máy tính client bằng cách ‘assigning application’ (chỉ định ứng dụng) đến user hoặc máy tính; hoặc bằng cách ‘publishing application’ (phổ biến ứng dụng) cho user. Bạn chỉ định phần mềm có tính chất bắt buộc hoặc cần thiết đến user và computer. Và bạn phổ biến phần mềm mà có thể có ích cho công việc của user. Phần mềm đã chỉ định và phổ biến được lưu trong một software distribution point (SDP), một nơi trên mạng mà user có thể lấy được phần mềm mà họ cần. - Assigning Applications Khi bạn chỉ định một ứng dụng đến một user, ứng dụng được thông báo đến user trên menu Start vào lần tới khi anh ta hoặc cô ta đăng nhập trên một trạm làm việc, và những thiết lập registry cục bộ, bao gồm cả filename extension đã được cập nhật. Việc thông báo ứng dụng đi theo user bất chấp anh ta hoặc cô ta đăng nhập trên máy tính nào. Ứng dụng này được cài đặt lần đầu KHOA CÔNG NGHỆ THÔNG TIN 74
77. Chương 2: Thiết lập và quản trị hệ thống mạng tiên khi user kích hoạt dứng dụng trên máy tính, bằng một trong những cách: chọn ứng dụng trên menu Start, mở một tài liệu đã được liên kiết với dựng dụng. - Publishing Applications Khi bạn phổ biến một ứng dụng đến user, ứng dụng không hiện ra như là đã được cài đặt trên máy tính của user. Không có shotcut trên desktop hoặc menu Start, và không có những sự cập nhật được tạo ra trong registry cục bộ trên máy tính của user. Thay vào đó, những ứng dụng đã được phổ biến lưu những thuộc tính về sự thông báo của chúng trong Active Directory. Những thông tin như tên của ứng dụng và những file liên quan được phô ra cho user trong Active Directory container. Ứng dụng sẳn sàng cho user cài đặt bằng cách dụng Add Or Remove Programs trong Control Panel hoặc bằng cách click một file đã được liên kết với ứng dụng (như file .xls được liên kết với Microsoft Excel). - Dịch vụ Windows Installer Software Instalation extension dùng dịch vụ Windows Installer để bảo trì phần mềm một cách có hệ thống. Dịch vụ Windows Installer chạy nền (background) và cho phép hệ điều hành quản lý tiến trình cài đặt phù hợp với thông tin trong gói (package) Windows Installer. Gói Windows Installer là một file chứa thông tin mô tả tình trạng cài đặt của ứng dụng. Bởi vì dịch vụ Windows Installer quản lý tình trạng cài đặt, nên nó luôn biết tình trạng của phần mềm. Nếu có vấn đề trong lúc cài đặt, Windows Installer có thể trả máy tính về được biết là tốt nhất trước đó. Nếu bạn cần chỉnh sửa các chức năng sao khi cài đặt, Windows Installer cho phép bạn làm điều đó. Bởi vì Software Installation extension dùng Windows Installer, user được lợi trong việc ứng dụng tự sửa chữa chính nó. Windows Installer lưu ý khi một file chương trình thiếu xót và ngay lập tức cài đặt lại những file thiếu hoặc bị hư hại, bằng cách sửa chữa ứng dụng. Cuối cùng, Windows Installer cho phép bạn gỡ bỏ phần mềm khi bạn không cần nữa. Dịch vụ Windows Installer, chính nó cũng bị ảnh hưởng bởi những thiết lập trong Group Policy. Bạn có thể tìm thấy những thiết lập này trong nút Windows Installer, nút này bên trong nút Windows Components > KHOA CÔNG NGHỆ THÔNG TIN 75
78. Chương 2: Thiết lập và quản trị hệ thống mạng Adminitrative Templates, cả trong Computer Configuration và User Configuration. Gói Windows Installer Một Windows Installer package (gói) là một file chứa những chỉ dẫn rõ ràng quá trình cài đặt và gỡ bỏ những ứng dụng riêng biệt. Bạn có thể triển khai phần mềm dùng Software Installation extension bằng cách dùng một Windows Installer package. Có 2 loại Windows Installer package: Native Windows Installer package (.msi): Những file này đã được phát triển như một phần của ứng dụng và tận hưởng đầy đủ sự thuận tiện của dịch vụ Windows Installer. Tác giả hoặc nhà phân phối của phần mềm có khả năng cung cấp một Windows Installer package dạng “bẩm sinh”. Repackaged application (.msi): Những file này thường là những ứng dụng được đóng gói lại, vì chúng không có một Windows Installer package dạng “bẩm sinh”. Tuy đã được đóng gọi lại thành Native Windows Installer package và làm việc như một Native Windows Installer package, nhưng một repackaged Windows Installer package chứa một sản phẩm đơn với tất cả thành thành phần và ứng dụng liên quan tới sản phẩn được cài đặt như một chức năng duy nhất. Còn một Native Windows Installer package chứa một sản phẩm đơn với nhiều chức năng có thể được cài đặt riêng lẽ từng chức năng một như những chức năng riêng biệt. - Application (.zap) File Bạn cũng có thể triển khai phần mềm dùng Software Installation extension bằng cách sử dụng một application file. Application file là một file text chứa các chỉ dẫn về cách phổ biến một ứng dụng, lấy từ một chương trình cài đặt đã tồn tại (Setup.exe hoặc Install.exe). Application file dùng mở rộng .zap. Hãy dùng file .zap khi bạn không thể phát triển một Windows Installation package “bẩm sinh” hoặc repackage ứng dụng để tạo ra một repackaged Windows Installation package. Một file .zap không hổ trợ các chức năng của Windows Installer. Khi bạn triển khai một ứng dụng bằng cách dùng file .zap, ứng dụng được cài đặt bằng chính chương trình Setup.exe hoặc Install.exe nguyên bản của nó. Phần mềm này chỉ có thể được phổ biến và user chỉ có thể chọn nó bằng cách dùng Add Or Remove Programs trong Control Panel. Vì thế KHOA CÔNG NGHỆ THÔNG TIN 76
79. Chương 2: Thiết lập và quản trị hệ thống mạng bạn hãy dùng file .msi để triển khai phần mềm với Group Policy bất cứ khi nào có thể. - Add Or Remove Programs trong Control Panel Add Or Remove Programs trong Control Panel cho phép user cài đặt, chỉnh sửa hoặc gỡ bỏ một ứng dụng đã được phổ biến hoặc sửa chữa một ứng dụng bị hư hại. Bạn có thể kiểm soát phần mềm nào user dùng được bên trong Add Or Remove Programs bằng cách dùng các thiết lập của Group Policy. User không cần phải tìm một network share, dùng CD-ROM, hoặc là cài đặt, sửa chữa và nâng cấp phần mềm của chính họ. 2.2.22 Câu hỏi và bài tập Cho mô hình mạng sau Cho mô hình mạng sau:  Thiết lập Ip cho hệ thống theo mô hình trên.  Xây dựng Domain với tên miền: Hotec.edu.vn  Tạo User, OU, Group, Add User vào trong Group KHOA CÔNG NGHỆ THÔNG TIN 77
80. Chương 2: Thiết lập và quản trị hệ thống mạng  Cho máy Client tham gia vào Doamain  Máy Client đăng nhập vào các User vừa tạo  Cấm nhân viên phòng Ke toan sử dụng Keyboard trong Control Panel.  Cấu hình chính sách Password Policy, Account lockout policy  Cấm nhân viên phòng Thiet bi sử dụng Mouse, Keyboard trong Control Panel.  Cấu hình cho user phòng Thiết bị được phép đổi password, thử đổi password tb2 trên máy client 2.3 Quản lý các thư mục dung chung 2.3.1 Chia sẻ dữ liệu (Share Permision) Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truy xuất và sử dụng thông qua mạng. Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong Explorer bạn nhầp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing. Hình 2-40. Hộp thoại Share Permissions KHOA CÔNG NGHỆ THÔNG TIN 78
81. Chương 2: Thiết lập và quản trị hệ thống mạng Bảng 2-8. Ý nghĩa của các mục trong Tab Sharing Mục Mô tả Do not share this Chỉ định thư mục này chỉ được phép truy cập cục bộ folder Chỉ định thư mục này được phép truy cập cục bộ và Share this folder truy cập qua mạng Tên thư mục mà người dùng mạng nhìn thấy và truy Share name cập Cho phép người dùng mô tả thêm thông tin về thư mục Comment dùng chung này Cho phép bạn khai báo số kết nối tối đa truy xuất vào User Limit thư mục tại một thời điểm Cho phép bạn thiết lập danh sách quyền truy cập thông Permissions qua mạng của người dùng 2.3.2 Cấu hình Share Permissions Muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share Permissions. Share Permissions chỉ có hiệu lực khi người dùng truy cập qua mạng chứ không có hiệu lực khi người dùng truy cập cục bộ. Khác với NTFS Permissions là quản lý người dùng truy cập dưới cấp độ truy xuất đĩa. Trong hộp thoại Share Permissions, chứa danh sách các quyền sau: - Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ. - Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ. - Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ. KHOA CÔNG NGHỆ THÔNG TIN 79
82. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-41. Các quyền Share Permissions 2.3.3 Chia sẻ thư mục dùng lệnh net share Chức năng: tạo, xóa và hiển thị các tài nguyên chia sẻ. Cú pháp: net share sharename net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"] net share sharename [/users:number | unlimited] [/remark:"text"] net share {sharename | drive:path} /delete Ý nghĩa các tham số: - [Không tham số]: hiển thị thông tin về tất cả các tài nguyên chia sẻ trên máy tính cục bộ - [Sharename]: tên trên mạng của tài nguyên chia sẻ, nếu dùng lệnh net share với một tham số sharename thì hệ thống sẽ hiển thị thông tin về tài nguyên dùng chung này. - [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ. - [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tài nguyên dùng chung này. - [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài nguyên dùng chung này. - [/remark:"text"]: thêm thông tin mô tả về tài nguyên này. - /delete: xóa thuộc tính chia sẻ của thư mục hiện tại. KHOA CÔNG NGHỆ THÔNG TIN 80
83. Chương 2: Thiết lập và quản trị hệ thống mạng 2.3.4 Quyền truy cập NTFS Có hai loại hệ thống tập được dùng cho partition và volume cục bộ là FAT (bao gồm FAT16 và FAT32). FAT partition không hỗ trợ bảo mật nội bộ, còn NTFS partition thì ngược lại có hỗ trợ bảo mật; có nghĩa là nếu đĩa cứng của bạn định dạng là FAT thì mọi người đều có thể thao tác trên các file chứa trên đĩa cứng này, còn ngược lại là định dạng NTFS thì tùy theo người dùng có quyền truy cập không, nếu người dùng không có quyền thì không thể nào truy cập được dữ liệu trên đĩa. Hệ thống Windows Server 2008 dùng các ACL (Access Control List) để quản lý các quyền truy cập của đối tượng cục bộ và các đối tượng trên Active Directory. Một ACL có thể chứa nhiều ACE (Access Control Entry) đại điện cho một người dùng hay một nhóm người. 2.3.5 Các quyền truy cập của NTFS Bảng 2-9. Quyền truy cập của NTFS Mục Mô tả Traverse Duyệt các thư mục và thi hành các tập tin chương Folder/Execute File trình trong thư mục List Folder/Read Liệt kê nội dung của thư mục và đọc dữ liệu của các Data tập tin trong thư mục Read Attributes Đọc các thuộc tính của các tập tin và thư mục KHOA CÔNG NGHỆ THÔNG TIN 81
84. Chương 2: Thiết lập và quản trị hệ thống mạng Mục Mô tả Read Extended Đọc các thuộc tính mở rộng của các tập tin và thư Attributes mục Create File/Write Tạo các tập tin mới và ghi dữ liệu lên các tập tin này Data Create Tạo thư mục mới và chèn thêm dữ liệu vào các tập Folder/Append Data tin Write Attributes Thay đổi thuộc tính của các tập tin và thư mục Write Extendd Thay đổi thuộc tính mở rộng của các tập tin và thư Attributes mục Delete Subfolders Xóa thư mục con và các tập tin and Files Delete Xóa các tập tin Read Permissions Đọc các quyền trên các tập tin và thư mục Change Permissions Thay đổi quyền trên các tập tin và thư mục Take Ownership Tước quyền sở hữu của các tập tin và thư mục 2.3.6 Các mức quyền truy cập được dùng trong NTFS Bảng 2-10. Bảng phân quyền truy cập được dùng trong NTFS List Folder Full Read & Special Permissions Modify Contents Read Write Control Execute (folders only) Traverse x x x x Folder/Execute File KHOA CÔNG NGHỆ THÔNG TIN 82
85. Chương 2: Thiết lập và quản trị hệ thống mạng List Folder Full Read & Special Permissions Modify Contents Read Write Control Execute (folders only) List Folder/Read x x x x x Data Read Attributes x x x x x Read Extended x x x x x Attributes Create Files/Write x x x Data Create x x x Folders/Append Data Write Attributes x x x Write Extended x x x Attributes Delete Subfolders x and Files Delete x x Read Permissions x x x x x x Change Permissions x Take Ownership x Synchronize x x x x x x 2.3.7 Gán quyền truy cập NTFS trên thư mục dùng chung Bạn muốn gán quyền NTFS, thông qua Windows Explorer bạn nhấp phải chuột vào tập tin hay thư mục cần cấu hình quyền truy cập rồi chọn Properties. Hộp thoại Properties xuất hiện. Nếu ổ đĩa của bạn định dạng là FAT thì hộp thoại chỉ có hai Tab là General và Sharing. Nhưng nếu đĩa có định dạng là NTFS thì trong hộp thoại sẽ có thêm một Tab là Security. Tab này cho phép ta có thể quy định quyền truy cập cho từng người dùng hoặc một nhóm người dùng lên các tập tin và thư mục. Bạn nhấp chuột vào Tab Security để cấp quyền cho các người dùng. KHOA CÔNG NGHỆ THÔNG TIN 83
86. Chương 2: Thiết lập và quản trị hệ thống mạng Hình 2-42. Tab Security để add người dùng và nhóm Muốn cấp quyền truy cập cho một người dùng, bạn nhấp chuột vào nút Add, hộp thoại chọn lựa người dùng và nhóm xuất hiện, bạn chọn người dùng và nhóm cần cấp quyền, nhấp chuột vào nút Add để thêm vào danh sách, sau đó nhấp chuột vào nút OK để trở lại hộp thoại chính. Hộp thoại chính sẽ xuất hiện các người dùng và nhóm mà bạn mới thêm vào, sau đó chọn người dùng và nhóm để cấp quyền. Trong hộp thoại đã hiện sẵn danh sách quyền, bạn muốn cho người dùng đó có quyền gì thì bạn đánh dấu vào phần Allow, còn ngược lại muốn cấm quyền đó thì đánh dấu vào mục Deny. Hình 2-43. Tab Security để cấp quyền cho các người dùng KHOA CÔNG NGHỆ THÔNG TIN 84