Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản , dễ triển khai nhưng không thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy mô hình Lab-4 giói thiệu hệ thống Domain Network với các ưu điểm - Quản lý tập trung toàn bộ mọi thành phần trong hệ thống - Khả năng bảo mật cao nhưng thuận lợi nhờ cơ chế Single Set of Credential - Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng - Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration) - Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được cơ chế Replication của AD
Trang 1Bài 4 : Giới thiệu hệ thống Mạng Domain Network
Dùng trong Quản lý Doanh Nghiệp
0
Ip: DHCP
II- GIỚI THIỆU
Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản , dễ triển khai nhưng không thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy mô hình Lab-4 giói thiệu hệ thống Domain Network với các ưu điểm
- Quản lý tập trung toàn bộ mọi thành phần trong hệ thống
- Khả năng bảo mật cao nhưng thuận lợi nhờ cơ chế Single Set of Credential
- Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng
- Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration)
- Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được cơ chế Replication của AD
III- CÁC BƯƠC TRIỂN KHAI
Mô lab gồm 3 máy : 1 máy dùng Windows Server 2k3 làm Domain Controller, DNS, DHCP server,
2 máy Vista dùng cho User với các bước thực hiện để minh họa khả năng quản lý của Domain Network với các công việc:
- Xây dụng hệ thống Domain bao gồm : nâng cấp Domain Controller
- Triển khai DHCP Server trên máy Domain Controller để cấp thông số cho các máy Workstation kết nối (Join) Domain một cách tự động
- Tổ chức hệ thống và phân quyền quản trị (Delegate)
Trang 2IV- TRIỂN KHAI CHI TIẾT
1 Dựng domain controller trên máy Server với domain là nhatnghe.local
2 Cấu hình lại DNS server (tạo reserve lookup zone )
3 Cài và cấu hình DHCP server trên máy Server
4 Join tất cả các máy client vào domain nhatnghe.local dùng ip động
5 Cho các máy client dùng Ip động truy cập được internet
6 Tổ chức các OU và user sau:
a Trong doamin nhatnghe.local tạo 2 OU : HCM và NhaTrang
b Trong OU HCM tạo 2 OU con PKthuat , PGvien và user AdminHCM
c Trong OU PKthuat tạo user AdminPKT và user Nv1,Nv2,Nv3
d Trong OU PGvien tạo user AdminPgv và user Gv1,Gv2,Gv3
e Trong OU Nhatrang tạo 2 OU con PKthuat ,PGvien và 2 user AdminNT, NV4
7 Trong OU HCM\PKthuat tạo group GKThuat add AdminNv1,Nv2,Nv3 vào group này Trong
OU HCM\PGvien tạo group Gvien add Gv1,Gv2,Gv3 vào group này Trong Ou HCM tạo group Admin add AdminPKT, adminPgv vào group này
8 Cài AdminPAK.msi vào máy Client1và máy client2
9 Ủy quyền cho user AdminHCM có toàn quyền trên OU HCM và user AdminNT có toàn quyền trên Ou NhaTrang (cho 2 user này có quyền tạo policy cho Ou của mình)
10 Cho user AdminHCM, AdminNT, AdminPKT, AdminGVien đư ợc phép Remote Desktop Trên máy client1 logon vào AdminHCM và AdminNT Remote Desktop vào Doamin để kiểm tra
11 Dùng quyền của AdminHCM ủy quyền cho user AdminPKT có toàn quyền trên OU PKthuat, user AdminPGV toàn quyền trên OU PGvien
12 Dùng quyền AdminPKT cấm tất cả các user trong OU PKThuat không được phép chạy Notepad.exe, ngọai trừ user AdminPKT
13 Trên Server tạo folder FileServer, share foler này cho group GKThuat có quyền read, group Gvien chỉ có quyền xóa file và folder do chính user đó tạo ra, group Admin có full quyền
14 Cài mày in Lexmark trên máy Server và share cho mọi user có quyền in Dùng quyền AdmimHCM tạo logon script cho OU HCM sao cho khi user logon tự động add network từ Ser1 về máy client
15 Tạo logon script cho tất cả các user tự động map folder Fileserver về ổ đĩa Y: máy client
16 Kiểm toán tất cả các user trong ou HCM in trên máy in Lexmark
17 Kiểm toán tất cả user truy cập vào foleder FileServer
18 Cho các user dùng Roaming Profile,
19 Làm Home folder cho tất cả các user
20 Deploy office cho tất cả các user
21 Backup DHCP, Backup domain Copy các thông tin backup sang PC khác Ghost lại máy Domain sau đó restore DHCP và domain trở về trạng thái ban đầu
Thực hiện
1 Dựng domain controller trên máy Ser1với domain là nhatnghe.local
Trang 31 Click phải lên my network place chọn
properties, click phải lên cacrd Lan chọn
properties, chọn TCP/IP properties, khai báo
IP như hình vẽ, OK
2 Vào Start Run DCPROMO màn hình welcome ấn Next Next chọn option Controller for a new domain ấn Next
3 Chọn option domain in a new forest ấn
Next
4 Nhập vào tên domain Nhatnghe.local ấn Next
Trang 45 NetBios name ấn Next 6 Database ấn Next
7
Màn hình SysVol ấn Next, chọn option
Install and configure the DNS… ấn Next
8 Tiếp tục ấn Next, Next, Next đến khi hoàn tất, khởi động lại máy
2 Cấu hình lại DNS server (tạo reserve lookup zone )
Trang 51 Vào card Lan sửa lại Prefer DNS là IP của
4 Màn hình Welcome ấn Next, chọn option
Primary Zone ấn Next Next
5 Network ID nhập vào 192.168.1 Next,
Next
6 Vào Start Run CMD gõ lệnh IPconfig
/registerDNS
Trang 67 Vào DNS kiểm tra xem có PRT chưa, vào
Start Run gõ NSLookup để kiểm tra
8 Click phải PC chọn Properties, chọn Tab
Forwarder nhập vào IP của ISP ấn Add, OK Hoàn tất việc chỉnh sữa DNS
3 Cài và cấu hình DHCP server trên máy Server
1 Vào Start Run gõ lệnh APPWIZ.CPL để
vào Add Remove Program, chọn Add Remove
Window Component, chọn Network Services
ấn Detail chọn DHCP ấn Next, chỉ source
Window2K3, để cài DHCP
2.Vào Start Run gõ lệnh DHCPMGMT.MSC
để vào DHCP, click phải lên DHCP chọn Manage authorized servers
Trang 73 Ấn Authorize, nhập vào IP của máy Server,
OK, OK
4 Chọn Server ấn Next, hoàn tất Authorized
Server
5 Click phải lên Server chọn New Scope nhập
vào Scope Name ấn Next
6 Nhập vào Start IP, End IP, Next
7 Nhập vào dãy IP loại trừ Next, Next 8 Chọn Option Yes, I want… Next
Trang 89 Nhập IP của ADSL, Next 10 Nhập IP của DNS Server ấn Next
11 Màn hình WinS ấn Next, chọn Option Yes,
I want to active… Next, Finish
12 Hoàn tất việc cài DHCP
4 Join tất cả các máy client vào domain nhatnghe.local dùng ip động
1 Tại máy client1 và client2 vào start run gõ
cmd ra cửa sổ command gõ ipconfig /renew
xin ip từ máy DHCP, ipconfig /all, nslookup để
test DNS
2 Click phải vào computer chọn properties,
chọn change settings, ấn change, chọn option Domain, nhập vào nhatnghe.local ok nhập user + pass administrator restart lại máy join domain xong
5 Cho các máy client dùng Ip động truy cập được internet
Trang 91 Sau khi join domain xong, logon vào máy
client1 và client2 dùng lệnh nslookup test lại
DNS, kiểm tra xem có truy vấn được các trang
trang web ngoài internet không Vì DNS server
đã forwarder ra ISP ở bước 8 phần 2 nên việc
truy vấn DNS những trang web ngòai Internet
sẽ thành công
2 vào IE test thử một số trang web, hoàn tất
phần 5
6 Tổ chức các OU và user sau:
a Trong doamin nhatnghe.local tạo 2 OU : HCM và NhaTrang
b Trong OU HCM tạo 2 OU con PKthuat , PGvien và user AdminHCM
c Trong OU PKthuat tạo user AdminPKT và user Nv1,Nv2,Nv3
d Trong OU PGvien tạo user AdminPgv và user Gv1,Gv2,Gv3
e Trong OU Nhatrang tạo 2 OU con PKthuat ,PGvien và 2 user AdminNT, NV4
1 Trở về máy domain, vào Run gõ lệnh
DSA.MSC, click phải vào nhatnghe.local chọn
New Organizational Unit nhập vào tên Ou là
HCM, Ok
2 Tương tự tạo OU NhaTrang
3 Click phải vào OU HCM tạo OU PKthuat,
OU PGvien và user AdminHCM
4 Click phải vào OU PKthuat tạo user
AdminPKT, NV1,NV2,NV3
Trang 105 Click phải vào OU PGvien tạo user
adminPgv,Gv1,Gv2,Gv3
6 Click phải vào OU NhaTrang tạo 2 OU con
là PKThuat và PGvien Tiếp tục click phải vào
ou Nhatrang tạo 2 user AdminNT và Nv4
7 Trong OU HCM\PKthuat tạo group GKThuat add AdminNv1,Nv2,Nv3 vào group này Trong
OU HCM\PGvien tạo group Gvien add Gv1,Gv2,Gv3 vào group này Trong Ou HCM tạo group Admin add AdminPKT, adminPgv vào group này
1 Click phải vào OU Pkthuat con Ou HCM
chọn New Group nhập vào GPKthuat Ok
2 Click phải vào GPKthuat vừa tạo chọn
Properties chọn Tab Member, Add NV1, NV2, NV3 vào Group
Trang 113 Click phải vào OU HCM\PGvien tạo Group
GVien
4 Click phải vào Group GVien mới vừa tạo
chọn Properties chọn Tab Member Add GV1, GV2, GV3 vào Group
5 Click phải vào OU HCM tạo Group Admin,
click phải vào Group Admin chọn Properties
AdminPKT vào Group
6 Hoàn tất phần 7
8 Cài AdminPAK.msi vào máy Client1và máy client2
1 Trên máy Domain click phải vào ổ đĩa C
chọn Search tìm file AdminPAK.MSI, copy file
này vào folder share cho máy Client
2 Tại máy Client1 và C lient2 logon vào
Administrator của Domain truy cập vào folder share của máy Domain cài AdminPAk.MSI
9 Ủy quyền cho user AdminHCM có toàn quyền trên OU HCM và user AdminNT có toàn quyền
Trang 121 Tại máy Domain vào Start Run gõ lệnh
DSA.MSC click phải vào OU HCM chọn
Delegate Control
2 Màn hình Welcome ấn Next, add AdminHCM, OK Next
3 Cấp quyền cho user AdminHCM
AdminHCM
4 Vào Menu View chọn Advanced Features
5 Click phải vào OU Nhatrang chọn
Properties
6 Chọn Tab Security add AdminNT vào, cấp Full quyền cho User này OK
Trang 137 Click phải vào Group Policy Creator
1 Tại máy Domain click phải vào My
computer chọn Properties, chọ tab Remote,
chọn check box enable remote desktop…
2 Ấn Select Remote User ấn Add chọn user
AdminPKT, cho phép các user này Remote Desktop, OK
3 Start Programs Administrative Tools
Domain Controller Security Policy
Double Click Security Setting\Local Policy
\UserRightsAssigment\AllowLogon Locally
4 Ấn nút Add chọn user AdminHCM, AdminNT, AdminPGV, AdminPKT cho các user này Logon locally, OK
Trang 145 Double Click Security Setting\Local
Policy\User Rights Assigment\Allow Logon
services
6 Ấn nút Add chọn user AdminHCM, AdminNT, AdminPGV, AdminPKT cho các user này Logon bằng Terminal services
7 Vào Start Run gõ lệnh GPUpdate /Force 8 Trên máy Client1 và Client2 Logon bằng
quyền AdminHCM, vào Start Run gõ lệnh MSTSC để Remote vào Doamin thử
11 Dùng quyền của AdminHCM ủy quyền cho user AdminPKT có toàn quyền trên OU PKthuat, user AdminPGV toàn quyền trên OU PGvien
1 Tại máy Client1 đăng nhập bằng quyền
AdminHCM, vào Srtart Run gõ lệnh
DSA.MSC click phải lên OU PKThuat chọn
Properties chọn Tab Security, add user
AdminPKT, cấp full quyền cho user này, ấn
Advance
2 Bỏ checkbox Allow inheritable, chọn AdminPKT ấn Edit,
Trang 153 Trong phần Apply onto chọn This object
and all child objects, OK, OK, OK
4 Tương tự click phải vào Ou PGVien chọn
AdminPGV cấp full quyền cho user này, ấn Advanced
5 Trong phần Apply onto chọn This object
and all child objects, OK, OK, OK
6 Trên mày Client1 lần lượt Logon vào AdminPGV và AdminPKT để kiểm tra
12 Dùng quyền AdminPKT cấm tất cả các user trong OU PKThuat không được phép chạy
Trang 161 Tại máy Client1 logon bằng quyền
AdminPKT, Remote Desktop lên máy
Domain, vào DSA.MSC, click phải lên OU
PKThuat chọn Tab Group Policy ấn nút
New gõ tên PolicyPKThuat ấn Edit
2 Trong user Configuration\Administrative Templates\ System double click vào Don’t run specified Windows application
OK
Trang 175 Trở về Tab Group Policy chọn Properties 6 Chọn Tab Security, ấn Add add user
AdminPKT, OK, check vào ô Deny apply group policy, OK, OK
7 Vào Start Run gõ lệnh GPupdate /force 8 Lần lượt logon bằng quyền NV1, NV2,NV3
để kiểm tra có chạy Notepad được hay không NV1, NV2, NV3 không chạy được, AdminPKT chạy được
13 Trên Server tạo folder FileServer, share foler này cho group GKThuat có quyền read, group Gvien quyền xóa file và folder do chính user đó tạo ra, group Admin full quyền
1 Trên máy Domain tạo folder C:\FileServer,
click phải lên folder này chọn Share, chọn
option Share this folder ấn Permissions
2 Cho Everyone allow full control, OK
Trang 183 Chọn Tab Security add group Admin,
GKThuat, GVien, Chọn Group Admin,
GVien cấp full control, GKThuat quyền
Read, ấn Advanced
4 Bỏ check Allow Inheritable, chọn group GVien ấn Edit
5 Bỏ 2 check box của Delete Subfolders and
file và Delete OK, OK
6 Tại Tab Security remove Group users, OK Tại máy Client1 logon vào NV1, GV1 và AdminPKT truy cập lên folder FileSever để kiểm tra quyền
14 Cài mày in Lexmark trên máy Server và s hare cho mọi user có quyền in Dùng quyền
Trang 191 Tại máy Domain vào Start Settings
Printer and Fax, double click vào Add
printer, chọn option Local Printer
2 Chọn option Create a new port, trong phần Type of port chọn Standard TCP/IP port Next
3 Nhập vào IP của máy in Lexmark, Next 4 Ấn Next, chọn option Share name, Next, Next
hoàn tất cài Driver máy in Lexmark
5 Vào DSA.MSC click phải vào OU HCM
chọn Properties chọn Tab Group Policy, ấn
New gõ HCM OK, ấn Edit
6 Trong phần user Configuration\Windows Settings\Scripts(Logon/Logoff) double click vào Logon
Trang 207 Ấn Show file 8 Tạo file Print.vbs có nội dung sau:
Set WshNetwork =c reateObject("WScript.Network") WshNetwork.AddWindowsPrinterConnection
"\\PC20\Le xma rk"
WshNetwork.SetDe faultPrinter "\\ PC20\ Le xmark "
9 Trở về cửa sổ Logon properties ấn add ấn
Browser chọn file Printer.vbs, OK, OK
10 Vào Start Run GPupdate /force, tại máy Client1 logon vào NV1, GV1 để kiểm tra xem có máy in chưa
15 Tạo logon script cho tất cả các user tự động map folder Fileserver về ổ đĩa Y: máy client
1 Tại máy Domain vào Start Run gõ lệnh
DSA.MSC click phải vào Nhatnghe.local
chọn Properties, chọn Tab Group Policy ấn
Edit
2 Trong phần user Configuration\Windows Settings\Scripts(Logon/Logoff) double click vào Logon, ấn Show file rồi tạo file Map.bat
có nội dung sau:
Net use y: \\192.168.1.2\FileServer
Trang 213 Trở về cửa sổ logon Properties ấn Add ấn
browse chọn file Map.bat OK, OK
4 Vào Start Run GPupdate /force, tại máy Client1 logon vào NV1, GV1 để kiểm tra xem có ổ đĩa Y chưa
16 Kiểm toán tất cả các user trong OU HCM in trên máy in Lexmark
1 Tại máy Domain vào Start Program
Administrative Tools Domain controller
security policy, trong phần Audit policy
chọn Audit object access, chọn success and
failure Vào Run gõ Gpupdate /force
2 Click phải vào máy in Lexmark chọn properties tab security ấn advanced chọn tab Auditing, ấn Add lần lượt add user AdminHCM, group admin, group Gkthuat, Gvien vào
3 Kiểm toán tất cả các quyền của máy in
Successful và Failed
4 Làm lại bước 3 tương tự cho các group khác
và user AdminHCM Vào StartRun gõ lệnh GPupdate /force Hoàn tất kiểm toán máy in trong OU HCM
Trang 221 Tại máy Domain click phải lên folder
C:\FileServer chọn Properties Tab
security ấn Advanced Tab Auditing ấn
Add rồi add group user vào kiểm tóan tất cà
các quyền Successful and Failed
2 Trên máy Client1 và Client2 logon bằng quyền user AdminPKT, AdminPGV truy cập lên folder FileServer trên Domain tạo thử file folder trong đó Trở về máy Domain, click phải lên My computer chọn Manage Trong phần Event viewer\ Security
sẽ thấy tất cả các Audit ở đây
3 Click phải lên Security chọn Properties
Tab Fillter, nhập vào Event ID là 560, user
AdminPKT, OK
4 Sẽ thấy AdminPKT đã làm gì trên FileServer và Printer Lexmark
