Hưỡng dẫn các bài LAb MCSA 2003
Trang 1TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM
Câu 1:
Nâng cấp PC1 thành “dom1.local” tương tự như bài thực hành 1
Cài đặt PC2 tham gia vào domain “dom1.local” với vai trò là client
Câu 2:
Minimum password length : Cài đặt thông số là 5
Trang 2Pass yêu cầu phức tạp: Chọn disabled
Tự động khóa tài khoản sau 5 lần đăng nhập sai pass:
Và khóa trong 10 phút:
Trang 3Câu 3:
Tạo tài khoản User và Group (Global) :
Tạo 1 Group mới:
Trang 4Tương tự tạo 1 User mới:
Trang 5Bỏ chọn User must change password at next logon và nhập password
Next -> Finish
Tương tự cho các User và Group khác
Add User vào trong từng Group như yêu cầu ( ở đây ví dụ cho group Quantri) : Chọn tất cả các User cần thêm, chuột phải chọn “Add to a group”
Gõ vào tên nhóm chứa các User này
Trang 6Tương tự cho các group khác
Riêng User vt2, chọn User cannot change password ( Theo yêu cầu trong bài)
Nhóm Quantri có toàn quyền trên hệ thống: Chọn Properties của Quantri
Trang 7Chọn Tab Member of -> Add -> Add vào Administrator -> OK
Câu 4: Tìm hiểu các lệnh:
a Net user : show các user có trong mạng
b Dsadd user: Vào CMD gõ dsadd rồi tham khảo thêm nhé!
c Tương tự gõ dsmod nó ra thôi mà
Câu 5: Tạo các OU:
Trang 8Trong giao diện Active Directory User and Computer như ở câu 3
Chuột phải miền domain “dom1.local” -> New -> Organizational Unit (OU)
Đặt tên OU theo yêu cầu trong bài thực hành:
Thêm nhóm vào OU tương ứng : ví dụ Group “Giangvien” thêm vào OU
“Giangvien”
HD: Nhấp chuột kéo và thả group vào OU tương ứng nhé!
Phân quyền quản lý OU cho người đầu tiên trong nhóm: ví dụ OU “Giangvien”
Trang 9Chuột phải chọn Properties -> Chọn tab Managed By -> Change -> Nhập tên người đầu tiên trong nhóm vào -> OK
Tương tự cho các OU khác
Lưu ý quan trọng cho các câu sau: Sau khi chỉnh sửa
các chính sách vừa cấu hình
Câu 6: Phân quyền User
Vì tất cả các yêu cầu trong câu này đều áp dụng cho máy server nên ta chọn
công cụ “Domain Controller Security Policy”
Trang 10a/ Các thành viên trong group “Giangvien” có quyền shutdown máy server từ
xa
Local Policy -> User Rights Assignment -> Shut down the system -> Add user
or group -> Nhập tên group “Giangvien” theo yêu cầu -> OK
Thực hiện tắt máy server từ 1 account trong group “Giangvien”
Trang 11Gõ lệnh gpupdate /force!
Truy cập máy khác (ở đây là PC2) bằng User name là “gv1” hoặc “gv2” với password trong lúc tạo user ở câu trước (ở đây ví dụ “gv1”)
Gõ lệnh : shutdown –i
Chọn Add -> Gõ vào địa chỉ IP máy server -> OK
Cài đặt thời gian warning: ở đây là 60 giây
Điền lý do Shutdown: Hết thời gian chơi! Vui lòng thanh toán tiền net tại quầy tiếp tân! -> OK
Trang 12Trên máy sever (ở đây là PC1) sẽ xuất hiện thông báo Để không bị tắt máy, vào Run gõ lệnh shutdown –a
b/ Cho phép tất cả User được đăng nhập trên máy server (PC1) trừ User mt2
Mặc định máy server sẽ deny tất cả các user không phải của nó Test thử nhé: Thử đăng nhập bằng user : gv1, mt1, vt1
Cài đặt allow cho tất cả các user (bao gồm cả mt2, sẽ deny ở bước sau)
Trang 13User Rights Assignment -> Allow log on locally -> Add User or Group -> Nhập
“everyone” -> OK
Chặn User mt2 :
User Rights Assignment -> Deny log on locally -> Add user or group -> Nhập user name “ mt2” -> OK
Trang 14Gõ lệnh gpupdate /force!
Test hàng:
Trên máy server PC1, đăng nhập với các account khác Administrator như: gv1, mt1, vt1 và mt2
c/ Phân quyền thay đổi giờ hệ thống:
Tương tự các bước trên, -> change the system time-> Add user or group -> Nhập “ Maytinh” -> OK
Trang 15Gõ lệnh gpupdate /force!
Test hàng: Đăng nhập bằng account không thuộc group “Maytinh” (trừ account của group “Quantri” vì group này toàn quyền như đã cài đặt ở câu trước) và account của group “Maytinh” rồi thay đổi thời gian hệ thống
d/ Phân quyền Backup dữ liệu:
User vt1:
Tương tự -> Back up files and directories -> Add user or group -> Nhập “vt1” ->OK
Gõ lệnh gpupdate /force!
Trang 16Câu 7: Cấu hình các thông số bảo mật hệ thống Vì áp dụng cho toàn hệ thống nên chọn công cụ Domain Security Policy
a/ Đổi tên Administrator thành Quantrimang
Security Options -> Accounts : Rename administrator account -> Define this policy setting -> Nhập tên mới “Quantrimang” -> OK
Gõ lệnh gpupdate /force nhé!
Test hàng: Trên PC1 thử đăng nhập account “Administrator” và “Quantrimang”
Trang 17b/ User shutdown máy mà không cần đăng nhập hệ thống:
Security Options -> Shutdown: Allow system to be shut down without having to log on -> Define this policy setting -> OK
Đừng quên gpupdate /force nhé!
Test hàng: Khỏi nói cũng biết làm gì!
c/ Không hiển thị user của người đã đăng nhập trước đó:
Security Options -> Interactive logon: Do not display last user name -> Define this policy setting -> Enable -> OK
Trang 18Nhớ gpupdate /force nhé!
Test hàng: Log of cái thấy liền!
Câu 8: Chức năng kiểm toán:
Dùng công cụ Event Viewer
Vào coi thì biết nhé!
Trang 19Câu 9: Phân quyền cho group:
Cụ thể là group “Maytinh”
Mở công cụ Active Directory User and Computer
Chuột phải OU “Maytinh” chọn Properties -> Chọn tab Group Policy -> New (tạo ra 1 policy mới, nếu muốn có thể rename) -> Edit ( thiết lập các thông số theo bài yêu cầu)
Trang 20Cụ thể như sau :
Computer Configuration : Áp dụng cấu hình trên máy tính Những máy tính khác nhau trong hệ thống có những policy khác nhau Bất kỳ user (kể cả admin) logon vào máy nào đều chịu policy của máy đó
User Configuration : Áp dụng cho user Một user có thể đăng nhập trên nhiều máy khác nhau, policy của user là không thay đổi ở bất cứ máy nào
Ở đây là policy cho group nên ta chọn User Configuration nhé!
a/ Không cho thành viên trong nhóm chạy Command Prompt:
Administrator Templates -> System -> Prevent access to the command prompt
Trang 21b/ Chỉ có thể chạy Notepad và IE :
Chọn Run only allowed Windows applications -> Enable -> Show -> Add -> Nhập tên chương trình “notepad.exe” -> OK Tương tự cho IEXPLORE.EXE nhé!
c/ Gỡ nút « Change Password » :
Ctrl + Alt + Del Options -> Remove Change Password -> Enable -> OK
Trang 22d/ Ẩn « My network places » :
Administrator Templates -> Desktop -> Hide My Network Places icon on desktop -> Enable -> OK
e/ Không cho truy cập “ Control Panel”:
Administrator Templates -> Control Panel -> Prohibit access to the Control Panel -> Enable -> OK
f/ Cấu hình user “ mt1” không chịu các ảnh hưởng trên:
Trong “Maytinh Properties” -> Chọn tab Group Policy -> Properties ( của New Policy) -> Chọn tab Security -> Add -> Nhập “mt1” -> OK
Trang 23Deny tất cả các ảnh hưởng từ New Policy vừa tạo đối với user “mt1” OK