Thiết lập này không có trong bất cứ hệ điều hành nào, ngoại trừ Windows Server 2003 domain controller, thành phần được cấu hình để thẩm định sự thành công của các sự kiện.. Thiết lập này
Trang 1LỜI CẢM ƠN
Để hoàn thành chương trình học của hệ Cao Đẳng và làm đề án tốt nghiệp này, chúng em đã nhận được sự hướng dẫn, giúp đỡ và gớp ý kiến nhiệt tình của quý thầy cô Trường Cao Đẳng Nguyễn Tất Thành và Trường Trung Cấp Kinh Tế- Kỹ Thuật Tân Việt
Trước hết, em xin chân thành cảm ơn đến quí thầy cô Trường Trung Cấp Kinh Tế-
Kỹ Thuật Tân Việt, đặc biệt là những thầy cô đã tận tình dạy bảo cho chúng em suốt thời gian học tập tại trường
Em xin gửi lời biết ơn sâu sắc đến Thạc Sỉ - Nguyễn Minh Thi Thầy đã dành rất nhiều thời gian và tâm huyết hướng dẫn nghiên cứu và giúp em hoàn hành đề án tốt nghiệp
Nhân đây, tôi xin chân thành cảm ơn Ban Giám hiệu Trường Trung Cấp Kinh Tế-
Kỹ Thuật Tân Việt cùng quí thầy cô trong Khoa Công Nghệ Thông Tin đã tạo rất nhiều điều kiện để em học tập và hoàn thành tốt khóa học
Đồng thời, em cũng xin cảm ơn quí anh, chị và ban lãnh đạo Công Ty Cổ Phần SX – TM – DV Phúc Nguyên đã tạo điều kiện cho em khảo sát và thực tập qui trình làm việc của hệ thống để viết báo cáo tốt nghiệp và hoàn thành được đề án Mặc dù em
đã có nhiều cố gắng hoàn thiện đề án bằng tất cả sự nhiệt tình và năng lực của mình, tuy nhiên không thể tránh khỏi những thiếu sót Rất mong được sự đóng góp quí báo của các thầy cô và các bạn
TP.HCM, ngày tháng 3 năm 2010
Sinh viên thực hiện
Nguyễn Thênh Đặng Hữu Minh
Trang 2ĐỀ CƯƠNG CHI TIẾT
Tên Đề Tài: Tìm hiểu các tính năng và dịch vụ của windows server 2008 Giáo viên hướng dẫn: Thạc Sỉ - Nguyễn Minh Thi
Thời gian thực hiện: Từ ngày 13/01/2010 đến ngày 13/03/2010
Sinh viên thực hiện: Nguyễn Thênh ,Đặng Hữu Minh
Loại Đề Tài: Tìm hiểu các tính năng và dịch vụ của sever 2008
Nội dung đề tài: Tìm hiểu và nghiên cứu
Cài đặt và cấu hình các dich vụ trong windows như cung cấp địa chỉ ip (DHCP, DNS… )
Tìm hiểu về mạng ảo sever
Tìm hiểu về Active Directory Recycle Bin trong Windows Server 2008 R2 Tìm hiểu về Audit Policy
Hướng phát triển của windows server ngày càng bảo mật cao hơn để ngăn hacker tấn công vào hệ thống mạng
Kế hoạch thực hiện:
Từ 13/01 – 20/02 tìm hiểu về windows server 2008 với các dịch vu
Từ 20/02 - 02/03 cài đặt windows sever 2008 và các dịch vu của mới trong windows server để triển khai hệ thống mạng
Từ 02/03 – 12/03 Tiến hành viết báo cáo về đề án windows server 2008 Ngày 13/03/2010 Nộp Đề Án
Xác nhận của GVHD
Th.S Nguyễn Minh Thi
Ngày 13 tháng 03 năm 2010 Sinh viên thực hiện
Nguyễn Thênh Đặng Hữu Minh
Trang 3Mục lục
Chương 1 Mở Đầu 4
Chương 2 TỔNG QUÁT VỀ WINDOWS SERVER 2008 5
1) Windows Sever 2008 là gì ? 5
Chương 3 TÌM HIỂU VÀ NGHIÊN CỨU 8
1) Hệ Thống Windows Server 2008 Là gì ? 8
2) Audit Policy là gì 9
3) Kiểm soát thành viên nhóm Administrator nội bộ 14
4) Thiết lập lại mật khẩu Administrator nội bộ 16
5) UAC ( User Account Control) 19
6) Chính sách mật khẩu 20
7) Active Directory Recycle Bin trong Windows Server 2008 R2 LÀ GÌ? 27
Chương 4 CÀI ĐẶT WINDOWS SERVER 2008 ENTERPISE 32
1) Yêu cầu hệ thống 32
2) Quá trình cài đặt: 32
3) Xem các đối tượng đã xóa 40
4) .Xem Deleted Objects bằng tiện ích ldp.exe 41
5) Cách cài đặt Windows Virtualization Role trên Windows 2008? 48
6) Connection Manager Administration Kit 51
7) Thiết lập tường lửa và các mặc định bảo mật kết nối IPsec 70
8) Group Policy trong Windows Server 2008 84
9) Network Policy Server trong Windows Server 2008 là gì? 91
Chương 5 ĐỊNH HƯỚNG PHÁT TRIỂN 94
Chương 6 TÀI LIỆU THAM KHẢO 95
Trang 4Chương 1 Mở Đầu
Ngày nay, ngành công nghệ thông tin trên thế giới ngày càng phát triển mạnh
mẽ, và ngày càng ứng dụng vào nhiều lĩnh vực như : kinh tế, khoa học kĩ thuật, quân sự, y tế, giáo dục… và nó đã đáp ứng ngày càng nhiều yêu cầu của các lĩnh vực này, để phục vụ cho nhu cầu của con người
Với khả năng ứng dụng rộng rải của ngành công nghệ thông tin, với chính sách phát triển ngành công nghệ thông tin của nhà nước phù hợp và thiết thực Cùng với
sự phát triển của đất nước, cuốn theo đó là sự hình thành của các doanh nghiệp, với nhu cầu ngày càng mở rộng quy mô cơ sở Trong quá trình quản lý nhân sự cũng như bảo mật thông tin quan trọng là một đòi hỏi vô cùng bức thiết với các doanh nghiệp đó Sự phát tiển ngày càng cao của các hệ điều hành, cũng như các hổ trợ của nó trong việc quản lý cũng ngày càng phát triển Nổi bật của Windows Server
2008
Qua đề tài này, sẽ tìm hiểu đôi nét về các dịch vụ của nó, giúp cho người quản trị cũng như người sử dụng dễ dàng hơn trong thao tác khi làm việc trên môi trường củaWindowsServer2008
Trang 5Chương 2 TỔNG QUÁT VỀ WINDOWS SERVER 2008
1) Windows Sever 2008 là gì ?
27 tháng 2 năm 2008 Microsoft mới chính thức đưa ra bản Windows Server
2008, và bản SP1 cho Vista nhưng ngay từ lúc này những công nghệ của Windows Server 2008 đã bắt đầu được cộng đồng IT nghiên cứu Dưới đây là 10 lý do đầu tiên để cài đặt Windows Server 2008
Mạng ảo( Windows Server Virtualization.)
Windows Server 2008 sẽ bao gồm cả tính năng Windows Server Virtualization (WSV), một công cụ đầy hứa hẹn, đáp ứng yêu cầu tận dụng hiệu năng xử lý của thiết bị phần cứng, quản lý công nghệ ảo hoá dễ dàng, nhằm giảm thời gian và chi phí cho các ứng dụng Nâng cao khả năng đáp ứng của hệ thống Đặc biệt với những nhà nghiên cứu về công nghệ đây thực sự là một công cụ hữu dụng trong khi nghiên cứu, thử nghiệm Datacenters
Bảo mật và ứng dụng( A World-Class Web and Applications Platform.)
Windows Server 2008 đáp ứng yêu cầu bảo mật, dễ dàng trong quản lý, phát triển
và độ tin cậy lớn khi hosting các ứng dụng, dịch vụ trên nền Web Các tính năng ao gồm: Đơn giản trong quản lý, nâng cao bảo mật, hiệu năng xử lý và hỗ trợ Web với Internet Information Service 7.0 (IIS7), ASP.NET, Windows Communication Foundation và Microsoft Windows SharePoint Services
Cải thiện hệ thống mạng( Improved Networking Performance)
Windows Server 2008 được giới thiệu sẽ mang lại cải tiến lớn nhất về mạng từ khi
ra đời Windows NT 4.0 cho đến nay Các công nghệ như Receive Windows
Autotuning, Receive Side Scaling, và Quality of Service (QOS) cho phép tổ chức khai thác hết các tính năng từ công nghệ mạng Gigabit Network Kết hợp với IPSec
và tính năng Windows Firewall với Advanced Security đáp ứng yêu cầu bảo mật hệ thống và quá trình truyền thông tin trên mạng
Tăng cường bảo mật và tuân thủ (Enhanced Security and Compliance)
Windows Server 2008 được phát triển trong thời điểm yêu cầu bảo mật hệ thống là
Trang 6vô cùng quan trọng Luôn được bảo vệ, Windows Server 2008 chỉ cài đặt những services nào cần thiết cho máy chủ đáp ứng yêu cầu nào đó nhằm nâng cao hiệu năng và tính bảo mật Ghi lại các quá trình xảy ra trong hệ thống (System Auditing)
và mã hoá ổ cứng, Right Management Service đáp ứng yêu cầu bảo mật ngày càng cao, tính tiện lợi cho các doanh nghiệp sử dụng
Bback up các dữ liệu( Take Back Control Over Your Branch Offices)
Việc quản lý các máy chủ, các dịch vụ, và bảo mật khi truy cập từ xa là yêu cầu của các nhà quản trị chuyên nghiệp Windows Server 2008 với những tính năng cao cấp nhưng cũng cải thiện đáng kể việc quản trị, mang đến những công cụ đơn giản hiệu quả trong quản lý, bảo dưỡng hệ thống Cac dịch vụ như Active Directory, bao gồm Read-Only Domain Controllers và Administrative role
Quản lý (Server Management Made Easier)
Ngày qua ngày máy chủ của bạn dữ liệu ngày một nhiều hơn, các dịch vụ đôi khi cũng không chạy trơn tru nữa và bạn là nhà quản trị phải điều khiển từ xa để giám sát và giải quyết những sự cố liên quan
Tăng cường công tác Scripting và Tự động hóa (Enhanced Scripting and Task Automation
Một trong những công nghệ mới được cộng đồng IT đánh giá cao đó là: Công
cụ quản trị dòng lệnh mới Windows PowerShell, hỗ trợ đầy đủ ngôn ngữ Scripting, giúp các nhà quản trị thực hiện các công việc một cách tự động Với trọng tâm là ngôn ngữ scripting cho các nhà quản trị, với hơn 120 công cụ dòng lệnh, với các cấu trúc rõ dàng cho các ứng dụng cụ thể, Windows PowerShell cho phép người quản trị dễ dàng hơn trong việc quản lý, quản trị hệ thống và lên lịch cho những tác
vụ cần chạy tự động
Tập trung ứng dụng truy cập (Centralized Application Access.)
Với Window Server 2008, người dung sẽ được bảo mật trong khi truy cập vào các ứng dụng qua các port cơ bản trên firewall Với Windows Server Terminal Service RemoteApp, chỉ cho một vài ứng dụng trên Windows, không cho phép điều khiển toàn bộ màn hình, và chạy các ứng dụng từ việc remote từ một máy client
Trang 7Bảo vệ tính không lành mạnh từ Bước vào mạng (Protect Unhealthy
Computers from Entering the Network.)
Network Access Protection (NAP) được sử dụng dể đảm bảo mọi máy tính kết nối vào hệ thống mạng của công ty đều phải chịu chính sách kiểm tra "healthy - sức khoẻ", nhằm giới hạn các máy tính không đáp ứng yêu cầu bảo mật truy cập vào hệ thống gây ảnh hưởng tới các máy tính khác Khi một máy tính muốn truy cập vào
hệ thống trước tiên phải đảm bảo các yêu cầu về trạng thái hệ thống, điều này cũng ngăn chặn việc Virus phát tán qua mạng Internal gây ảnh hưởng cho hệ thống mạng Tốt hơn Cùng với Windows Vista (Better Together with Windows Vista.)
XP ra đời đồng nghĩa với dòng Server của nó là Windows Server 2003, Vista ra đời
sẽ được kết hợp với Windows Server 2008 Cả hai đều là một phần trong một dự án của Microsoft, và chia sẻ nhau khá nhiều công nghệ: Bảo mật, lưu trữ, quản lý, mạng… Và Microsoft sẽ kết hợp hai hệ điều hành này nhằm tạo ra một hệ thống an toàn từ Client cho tới Server Đây là giải pháp Client – Server của Microsoft.Ngày nay khi công việc càng ngày càng nhiều khi mà con người không còn thời gian để tập luyện thể thao thì các công ty tung ra các công cụ, máy móc giúp con người tiết kiệm thời gian mà vẫn có thể có một cơ thể khỏe mạnh một đầu óc minh mẫn để làm việc
Trang 8Chương 3 TÌM HIỂU VÀ NGHIÊN CỨU
1) Hệ Thống Windows Server 2008 Là gì ?
a) Giới thiệu về Windows Server 2008
Hệ điều hành Windows Server 2008 là sản phẩm kế thừa những điểm mạnh của những phiên bản Windows Server trước đó Ngoài ra hệ điều hành mới này cũng bổ sung những tính năng mới và những điểm cải tiến vượt trội như công nghệ
ảo hóa, tăng cường tính năng bảo mật, công cụ hỗ trợ quản trị hệ thống…Giúp tiết kiệm thời gian, giảm chi phí, góp phần củng cố hạ tầng công nghệ thông tin tại các
tổ chức và doanh nghiệp
Các phiên bản của Windows Server 2008:
Windows Server 2008 gồm có 8 phiên bản:
Windows Server 2008 Standard là phiên bản bao gồm các tính năng sẵn có, bổ sung những cải tiến về Web và khả năng ảo hóa Phiên bản này mang nền tảng Server mềm dẻo và tin cậy, giúp tết kiệm thời gian và giảm chi phí; những công cụ quản lý mạnh mẽ giúp người quản trị dễ dàng thực hiện hầu hết các nhiệm vụ quản trị Đồng thời, phiên bản này cũng đảm bảo tốt nhiệm vụ bảo mật, bảo vệ hệ thống mạng
Windows Server 2008 Enterprise là nền tảng thích hợp với hệ thống mạng và các ứng dụng ở qui mô xí nghiệp, đặt biệt là những đơn vị có hạ tầng công nghệ thông tin yêu cầu cao về khả năng thay đổi và mở rộng
Windows Server 2008 Datacenter là phiên bản phù hợp với qui mô xí nghiệp, đặt biệt là yêu cầu về mở rộng của khả năng ảo hóa
Windows Web Server 2008 là phiên bản được thiết kế để xây dựng nên các Web Server Tích hợp với Microsoft NET Framework, phiên bản này cho phép bạn chạy nhanh chóng triển khai các ứng dụng Web và Web Services
Windows Server 2008 for Itanium-Based Systems phù hợp với những cơ sở dữ liệu lớn, những ứng dụng yêu cầu tính sẵn sàng và những khả năng mở rộng cao với
số bộ vi sử lý có thể lên tới 64
Trang 9Windows Server 2008 Standard without Hyper-V là Windows Server 2008 Standard không bao gồm Windows Server Hyper-V
Windows Server 2008 Enterpise là Windows Server 2008 Enterpise không bao gồm Windows Server Hyper-V
Windows Server 2008 Datacenter without Hyper-V là Windows Server
Datacenter không bao gồm Windows Server Hyper-V
2) Audit Policy là gì
Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy Khi mở rộng nút này, ta sẽ thấy một danh sách các hạng mục thẩm định có thể cấu hình, như thể hiện trong hình 1 bên dưới
Hình.1: Các mục chính sách thẩm định Audit Policy cho phép ta chỉ định vùng
bảo mật nào mình muốn ghi
Trang 10Hình.2: Mỗi một chính sách thẩm định cần phải được định nghĩa trước, sau đó
kiểu thẩm định được cấu hình
a) Đây là một giới thiệu vắn tắt về mỗi hạng mục điều khiển những gì:
Audit account logon events(Kiểm toán tài khoản đăng nhập các sự kiện) – Hạng mục này sẽ thẩm định mỗi khi người dùng đăng nhập hoặc đăng xuất từ một máy tính được sử dụng để hợp lệ hóa tài khoản Ví dụ dễ hiểu nhất cho tình huống này là khi một người dùng đăng nhập vào máy tính chạy hệ điều hành Windows XP Professional nhưng lại được thẩm định bởi domain controller Do domain controller
sẽ hợp lệ hóa người dùng, khi đó sự kiện sẽ được tạo trên domain controller Thiết lập này không có trong bất cứ hệ điều hành nào, ngoại trừ Windows Server 2003 domain controller, thành phần được cấu hình để thẩm định sự thành công của các sự kiện Đây cũng chính là cách tốt nhất để tất cả các máy chủ và domain controller thẩm định các sự kiện này Tuy nhiên giải pháp này cũng xuất hiện trong nhiều môi trường, nơi các máy khách cũng được cấu hình để thẩm định các sự kiện này
Audit account management(quản lý tài khoản) – Hạng mục này sẽ thẩm định mỗi sự kiện có liên quan đến người dùng đang quản lý tài khoản (user, group hoặc computer) trong cơ sở dữ liệu của người dùng trên máy tính được cấu hình thẩm định Những ví dụ cho các sự kiện này:
Tạo một tài khoản người dùng
Trang 11Bổ sung thêm một người dùng vào nhóm
Đặt lại tên một tài khoản người dùng
Thay đổi mật khẩu của tài khoản người dùng
Đối với domain controller, hạng mục này sẽ thẩm định những thay đổi đối với tài khoản miền Đối với máy chủ và máy khách, hạng mục sẽ thẩm định Security Accounts Manager nội bộ và các tài khoản cư trú ở đó Thiết lập này không được kích hoạt cho bất cứ hệ điều hành nào ngoại trừ Windows Server 2003 domain controller, được cấu hình để thẩm định thành công các sự kiện này
Audit directory service access(dịch vụ truy cập vào thư mục) – Hạng mục này
sẽ thẩm định sự kiện có liên quan đến việc truy cập của người dùng vào đối tượng Active Directory (AD), AD này đã được cấu hình để kiểm tra sự truy cập của người dùng thông qua System Access Control List (SACL) của đối tượng SACL của đối tượng AD sẽ chỉ rõ ba vấn đề sau:
Tài khoản (của người dùng hoặc nhóm) sẽ được kiểm tra
Kiểu truy cập sẽ được kiểm tra, chẳng hạn như đọc, tạo, thay đổi,…
Sự truy cập thành công hay thất bại đối với đối tượng
Do mỗi một đối tượng đều có SACL riêng nên mức điều khiển sẽ rất chính xác Thiết lập này không được kích hoạt cho bất cứ hệ điều hành nào ngoại trừ Windows Server 2003 domain controller, được cấu hình để thẩm định thành công các sự kiện này Đây cũng là cách tốt nhất để cho phép thẩm định thành công hay thất bại đối với việc truy cập dịch vụ thư mục cho tất cả domain controller
Audit logon events(Kiểm toán sự kiện đăng nhập) – Hạng mục này sẽ thẩm định mỗi sự kiện có liên quan đến người dùng đang đăng nhập, đăng xuất hay đang tạo một kết nối mạng đến một máy tính được cấu hình để thẩm định các sự kiện đăng nhập Một ví dụ điển hình về trường hợp sử dụng hạng mục này là thời điểm các sự kiện được ghi là thời điểm người dùng đăng nhập vào máy trạm của họ bằng tài khoản người dùng trong miền controller, được cấu hình để thẩm định sự truy cập thành công của các sự kiện này
Trang 12Audit object access (Kiểm toán, đối tượng truy cập)– Hạng mục này sẽ thẩm định
sự kiện khi người dùng truy cập một đối tượng nào đó Các đối tượng ở đây có thể
là các file, thư mục, máy in, Registry key hay các đối tượng Active Directory Trong thực tế, bất cứ đối tượng nào có SACL sẽ đều được nhóm vào nhóm thẩm định Giống như việc thẩm định truy cập thư mục, mỗi một đối tượng đều có SACL riêng, cho phép thẩm định mục tiêu các đối tượng riêng biệt Tuy nhiên không có đối tượng nào được cấu hình để thẩm định mặc định, điều đó có nghĩa rằng việc kích hoạt thiết lập này sẽ không tạo ra bất kỳ thông tin được ghi nào Khi thiết lập được thiết lập và một SACL cho đối tượng được cấu hình, các entry sẽ hiển thị theo những cố gắng truy cập đăng nhập đối tượng Thông thường chúng ta không cần cấu hình mức thẩm định này, nó chỉ cần thiết khi có nhu kiểm tra sự truy cập tài nguyên nào đó
Audit policy change (Kiểm soát chính sách thay đổi)– Hạng mục này sẽ thẩm định mỗi sự kiện có liên quan đến thay đổi của một trong ba lĩnh vực “policy” trên máy tính Các lĩnh vực “policy” này gồm:
User Rights Assignment - Chỉ định quyền người dùng
Audit Policies – Các chính sách thẩm định
Trust relationships – Các mối quan hệ tin cậy
Thiết lập này không có trong bất cứ hệ điều hành nào ngoại trừ Windows Server
2003 domain controller, được cấu hình để thẩm định sự truy cập các sự kiện này Thứ tốt nhất để thực hiện là cấu hình mức thẩm định cho tất cả các máy tính trong mạng
Audit privilege use (Kiểm soát đặc quyền sử dụng)– Hạng mục này sẽ thẩm định sự kiện có liên quan đến việc thực hiện một nhiệm vụ nào đó được điều khiển bởi một người dùng có thẩm quyền Danh sách các quyền người dùng khá rộng, ta có thể quan sát trong hình 3 bên dưới
Trang 13Hình 2.3: Danh sách quyền người dùng cho một máy tính Windows
Mặc định mức thẩm định này không được cấu hình để kiểm tra các sự kiện cho các
hệ điều hành nào Thứ tốt nhất để thực hiện là cấu hình mức thẩm định này cho tất
cả các máy tính trong mạng
Audit process tracking (Kiểm toán quá trình theo dõi)– Hạng mục này sẽ thẩm định
sự kiện có liên quan đến các quá trình trên máy tính Ví vụ như các chương trình kích hoạt, quá trình exit, gián tiếp truy cập đối tượng, nhân bản Mức thẩm định này
sẽ tạo một số các sự kiện và thường không được cấu hình trừ khi một ứng dụng nào
đó đang được kiểm tra với mục đích khắc phục sự cố
Audit system events (Kiểm toán, hệ thống các sự kiện)– Hạng mục này sẽ thẩm định sự kiện có liên quan đến việc khởi động lại máy tính hoặc “shut down” Các sự kiện có liên quan với bản ghi bảo mật và bảo mật hệ thống cũng sẽ được kiểm tra khi cách thức thẩm định này được kích hoạt Đây là một cấu hình thẩm định được yêu cầu cho máy tính cần kiểm tra không chỉ khi các sự kiện xuất hiện mà cả khi bản thân bản ghi được xóa Thiết lập này không có trong các hệ điều hành ngoại trừ Windows Server 2003 domain controllers, được cấu hình để thẩm định sự truy cập các sự kiện này Đây là cách thức tốt nhất để cấu hình mức thẩm định này cho tất cả các máy tính trong mạng
Event ID trên hạng mục thẩm định(Sự kiện ID Trên hạng mục thẩm định)
Trang 14Nếu là một quản trị viên có nhiều năm kinh nghiệm chắc hẳn ta sẽ thấy một số sự kiện có tầm khá quan trọng khi nói đến việc kiểm tra và phân tích bảo mật Điều đó nói lên rằng trong số hàng nghìn các sự kiện được tạo ra trong bản ghi bảo mật, ta cần tìm ra những sự kiện quan trọng trong số đông đó Đây là một trích dẫn các sự kiện quan trọng nhất theo hạng mục để ta có thể dựa vào đó nhằm kiểm tra từ các bản ghi bảo mật
Top 5 thiết lập bảo mật trong Group của Windows Server 2008
Làm thế nào để giảm bớt bề mặt tấn công trên các máy tính desktop bằng cách sử dụng 5 thiết lập bảo mật trong Group Policy
Với trên 5000 thiết lập trong Group Policy mới của Windows Server 2008, có thể ta
sẽ bị ngập giữa việc chọn xem thiết lập nào quan trọng nhất đối với bản thân và mạng của mình Việc thi hành các thiết lập bảo mật cho desktop để tăng bảo mật một cách toàn diện chính là bằng cách giảm bề mặt tấn công sẵn có Trong các thiết lập bảo mật thì có một số chỉ hỗ trợ cho Windows Vista, còn một số khác có thể tương thích với Windows XP SP2
3) Kiểm soát thành viên nhóm Administrator nội bộ
Một trong những thiết lập không an toàn nhất có thể được ta cho người dùng là truy cập quản trị nội bộ Bằng cách add thêm một tài khoản người dùng vào nhóm Administrators nội bộ, người dùng sẽ được cho hầu như các kiểm soát tối thượng trên desktop của họ Họ có thể thực hiện hầu hết các hành động, thậm chí nếu mạng được cấu hình để từ chối tuy cập này Các hành động mà người dùng có thể thực hiện, nhờ có quyền quản trị nội bộ, gồm có:
Remove máy tính của họ ra khỏi miền
Thay đổi thiết lập Registry
Thay đổi các điều khoản trên thư mục và file
Thay đổi thiết lập hệ thống, như các thiết lập trong file nằm trong thư mục hệ thống Cài đặt ứng dụng
Hủy bỏ cài đặt các ứng dụng, các bản vá bảo mật và các gói dịch vụ
Truy cập vào Website được tường lửa cho phép
Trang 15Download và cài đặt ActiveX controls, các ứng dụng Web hoặc các ứng dụng mã độc khác được download từ Internet
Mặc dù yêu cầu người dùng cần phải có quyền quản trị viên để cho phép các ứng dụng nào đó hoạt động, tuy nhiên kiểu truy cập này thường rất nguy hiểm và dễ đặt desktop và toàn bộ mạng vào các tấn công bảo mật Với Group Policy của Windows Server 2008, người dùng hiện có thể được remove từ nhóm Administrators nội bộ bằng cách chỉ dùng một chính sách đơn giản Thiết lập này điều khiển Windows XP SP2 và các hệ điều hành cao hơn Chúng là các thiết lập Preferences mới của Group Policy Để truy cập vào thiết lập này, ta cần mở Group Policy Object và vào phần: User Configuration\Preferences\Control Panel
Sau đó kích chuột phải vào Local Users and Groups Từ menu, kích New - Local Group Khi đó hộp thoại dưới đây sẽ xuất hiện
Hình 2.4: Group Policy Preference cho Local Group
Để cấu hình chính sách, ta hãy đánh Administrators vào hộp văn bản Group, sau đó tích vào hộp kiểm “Remove the current User” Trong lúc background kế tiếp của Group Policy refresh tất cả các tài khoản người dùng nằm trong phạm vi quản lý của GPO, nơi thiết lập này được cấu hình, thì các tài khoản sẽ được remove ra khỏi nhóm Administrators trên máy tính họ đăng nhập
Trang 164) Thiết lập lại mật khẩu Administrator nội bộ
Kết hợp với thiết lập Group Policy đầu tiên, mật khẩu Administrator nội bộ cũng cần phải thiết lập lại Điều này là do người dùng có các đặc quyền quản trị viên trước khi remove họ ra khỏi nhóm quản trị nội bộ
Sau khi tài khoản người dùng đã được remove ra khỏi nhóm quản trị nội bộ, mật khẩu tài khoản nhóm này cần phải được thiết lập lại Nếu thiết lập này có thể được thực hiện đồng thời với việc remove tài khoản người dùng thì họ sẽ không thể biết hoặc thay đổi mật khẩu Administrator nội bộ mới
Thiết lập này kiểm soát Windows XP SP2 và các hệ điều hành mới hơn Nó là thiết lập Group Policy Preferences mới Để truy cập vào thiết lập này, ta mở Group Policy Object và vào:
Computer Configuration\Preferences\Control Panel
Sau đó kích chuột phải vào Local Users and Groups Từ menu, kích New - Local User Hộp thoại dưới đây sẽ xuất hiện
Hình 2.5: Group Policy Preference cho Local User
Trang 17Để cấu hình chính sách, đánh Administrator vào hộp văn bản User name, sau đó đánh mật khẩu mới vào hộp văn bản Password, xác nhận mật khẩu trong hộp Confirm Password Trong khi background của Group Policy mới refresh tất cả các tài khoản máy tính nằm trong phạm vi quản lý của GPO thì mật khẩu Administrator nội bộ sẽ được thiết lập lại
Windows Firewall với độ bảo mật nâng cao
Trước đây, người dùng và các quản trị viên đều mơ màng về Windows Firewall, do những khả năng hạn chế về các sản phẩm của họ Giờ đây, Windows Firewall có một số thiết lập bảo mật tiên tiến cho phép họ có những hiểu biết rõ ràng hơn về tường lửa
Windows Firewall với Advanced Security Tường lửa mới này trong Windows có nhiều cải thiện và cũng rất giống với tường lửa được giới thiệu trong Windows
gồm có:
Nhiều điều khiển truy cập đi vào
Nhiều điều khiển truy cập gửi đi
Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự
Cấu hình và việc quản lý chính sách IPsec được cải thiện mạnh mẽ, bên cạnh đó là
Kiểm tra chính sách tường lửa được cải thiện
kết nối)
thiện
Trang 18Các tính năng bảo mật tiên tiến mới của Windows Firewall không chỉ kết hợp chặt chẽ trong việc lọc inbound và outbound mà còn gồm có cả IPSec
Các thiết lập này chỉ có thể kiểm soát với Windows Vista và nằm trong vùng bảo mật của Group Policy Để truy cập vào thiết lập này, ta hãy mở Group Policy Object
và vào:
Khi mở chính sách, ta sẽ thấy ba nút sau:
Inbound rules
Outbound rules
Connection Security Rules
Nếu kích chuột phải vào các tùy chọn này, ta có thể chọn tùy chọn New Rule, xem inbound rule được thể hiện như trong (hình 1.6 tao một firewall rule)
Hình 2.6: Tạo một firewall rule
Trang 19Hình 2.7: Một trong những màn hình trong Inbound rule wizard
5) UAC ( User Account Control)
User Account Control (UAC) cung cấp cho ta một tùy chọn giúp bảo vệ máy tính nơi người dùng và quản trị viên đăng nhập UAC hiện là một ý tưởng tuyệt vời cho tất cả các quản trị viên và có thể là một giải pháp tốt cho người dùng chuẩn Do UAC bắt buộc tất cả người dùng phải đều là người dùng chuẩn cho tất cả các nhiệm
vụ, nó trợ giúp bảo vệ chống lại bất cứ ứng dụng hoặc virus nào muốn ghi vào các vùng được bảo vệ trên máy tính bằng cách nhắc nhở người dùng bằng một hộp thoại mỗi khi vùng được bảo vệ của máy tính bị truy cập Có thể là truy cập một ứng dụng, cài đặt một ứng dụng, thay đổi registry, ghi vào file hệ thống,…
Các thiết lập kiểm soát UAC có thể được tìm thấy tại Computer
Configuration\Policies\Windows Settings\Security Settings\Local
Policies\Security Options, xem trong hình 4 bên dưới
Trang 20Hình 2.8: Các tùy chọn Group Policy để kiểm soát UAC
6) Chính sách mật khẩu
Mặc dù các mật khẩu không thật sự hấp dẫn như một thiết lập bảo mật, nhưng khả năng kiểm soát các mật khẩu bằng Group Policy cũng không nên bỏ qua trong danh sách top 5 này Windows Server 2008 vẫn sử dụng Group Policy để xác định các thiết lập chính sách tài khoản ban đầu, thứ không thay đổi từ Windows 2000 Các thiết lập được cấu hình ban đầu trong Default Domain Policy, nhưng chúng có thể được tạo trong bất kỳ GPO nào được liên kết với miền Các thiết lập mà chúng
ta có thể cấu hình được thể hiện trong hình 1.8 và các thiết lập thể hiện trong
Hình 2.9: Các thiết lập chính sách mật khẩu trong Default Domain Policy
a) Group Policy Preferences
Trang 21Group policy Preferences là một sự mở rộng của GP trên Windows Server
2008 Preferences bao gồm hơn 20 chức năng bổ sung liên quan đến GP, cho phép chúng ta mở rộng phạm vi câu hình các GPO Với Preferences, chúng ta có thề thao tác với ổ đĩa mạng, thiết lập registry, quản lý tài khoản cục bộ, quản lý dịch vụ, file
và thư mục…
Hình 2.10 : Thực hiện các thao tác trên Perferences với GPMC
Với công cụ GPMC, chúng ta có thể thực hiện tất cả các thao tác trên
Preferences để cấu hình cho các GPO
Preferences được chia thành hai phần Trong đó, thành phần thứ nhất là
Windows Settings, bao gồm:
Applications: cho phép cấu hình cho các ứng dụng
Driver Maps: cho phép tạo, thay thế, cập nhật và xóa các ổ đĩa mạng Chúng ta cũng có thể cấu hình để hiển thị hoặc ẩn tất cả các ở đĩa
Environment: cho phép tạo, thay thế, cập nhật và xóa các biến môi trường trên
hệ thống
Files: cho phép tạo, thay thế, cập nhật và xóa file trên máy trạm
Folders: cho phép tạo, thay thế, cập nhật và xóa thư mục trên máy trạm
Trang 22INI Files: cho phép tạo, thay thế, cập nhật và xóa file INI
Network Shares: cho phép tạo, thay thế, cập nhật và xóa các tài nguyên đã chia
sẻ trên máy trạm
Registry: tùy chọn này cho phép chúng ta sao chép các thiết lập registry trên máy này và áp dụng cho máy khác Chúng ta cũng có thể thực hiện các thao tác tạo, thay thế, cập nhật hoặc xóa trong registry trên máy trạm
Shortcuts: tương tác với phím nóng
b) Thành phần thứ hai là Control Panel Settings, bao gồm:
Data Sources: tương tác với Open Database Connectivity (ODBC) Data
Hình 2.11: Cấu hình folder options cho các máy trạm
Trang 23Inrernet Settings: cho phép chúng ta thiết lập cấu hình cho các trình duyệt Internet Explorer phiên bản 5, 6 và 7 trên các máy trạm
Local users and Groups: tạo, hiệu chỉnh và xóa tài khoản cục bộ
Network Options: tương tác với các kết nối VPN (virtual private networking) hoặc dial-up
Power Options: tương tác với Power của máy trạm chạy hệ diều hành
Windows XP
Hình 2.12 : Tương các với power của máy trạm chạy Windows XP
Printers: quản lý máy in cục bộ và máy in mạng
Regional Options: hiệu chỉnh các thông số như: định dạng ngày giờ, tiền tệ… Scheduled Tasks: tạo, hiệu chỉnh hoặc xóa các tác vụ (task0 đã được lập lịch hoặc thực thi tức thì
Services: tương tác với các dịch vụ trên hệ thống
Start Menu: hiệu chỉnh menu Start của các máy trạm chạy hệ đều hành
Windows XP hoặc Vista
c) Tìm Hiểu Về Windows 2008 Hyper-V là gì?
Trang 24Windows Server 2008 Hyper-V là một role mới trong Windows 2008, nó cho phép bạn có thể tạo và quản lý một môi trường máy chủ ảo Bạn có thể chạy được nhiều máy chủ bên trong một máy Tính năng này sẽ cho phép bạn có thể hợp nhất nhiều máy chủ để thành ít máy hơn Giống như các sản phẩm ảo hóa khác, Hyper-V cũng có thể cung cấp hiệu quả sử dụng cao hơn đối với phần cứng và các tài nguyên Hãy nên nhớ rằng Windows 2008 Hyper-V khác rất nhiều so với Microsoft Virtual Server 2005 Virtual Server là một ứng dụng được cài đặt và chạy – cung cấp các dịch vụ ảo hóa Trong khi đó Hyper-V là một tính năng được xây dựng trong hệ điều hành, nó hiệu quả hơn và cung cấp nhiều tính năng hơn so với Virtual Server
d) Những tính năng chính của Windows 2008 Hyper-V là gì?
1 Hỗ trợ cho các mạng LAN ảo
2 Số lượng lớn bộ nhớ cho các máy ảo
3 Khả năng có thể chạy các máy tính 32 bit và 64 bit cùng một thời điểm
4 Hỗ trợ đến 32GB RAM và 4CPU trong mỗi hệ điều hành khách
5 Hỗ trợ cho cả chế độ một hoặc đa bộ vi xử lý đối với các máy ảo,
6 Hỗ trợ cho các màn hình quan sát, sử dụng để capture trạng thái của máy ảo tại các thời điểm Bạn có thể quay trở về màn hình đó bất cứ thời điểm nào
7 Hỗ trợ cho việc chuyển đổi nhanh – cho phép chuyển một máy ảo từ một máy chủ này sang một máy chủ khác mà không cần tắt máy ảo đó
8 Hỗ trợ cho việc cân bằng tải mạng giữa các máy ảo
9 Tích hợp với Microsoft Virtual Machine Manager (VMM) sau này như một nền tảng quản lý tập trung
e) Các dịch vụ mạng
Nếu bạn đã có một thời gian dài dùng Windows Server có thể đã quen với một
số tính năng hoặc giao thức mạng, tuy nhiên trong phiên bản mới Windows Server
2008 lại không thấy có Vậy những dịch vụ và giao thức nào của Windows Server
đã bị remove và những gì sẽ được sử dụng để thay thế Chúng ta hãy đi tìm hiểu trong bài này
Các dịch vụ và giao thức mạng nào bị remove trong Windows Server 2008?
Trang 25Dưới đây là các dịch vụ mạng và các giao thức mạng truyền thống vẫn được sử dụng trong các phiên bản hệ điều hành máy chủ khác nhưng không có trong
Windows Server 2008:
• Bandwidth Allocation Protocol (BAP) – BAP được sử dụng cho các kết nối multi-link PPP, đặc biệt với việc ràng buộc các liên kết ISDN Ngày nay, không thực sự có nhiều nhu cầu để Windows Server kết nối trực tiếp với các kết nối PPP
• X.25 – giao thức mạng diện rộng, X.25 được thay thế bởi frame-relay và ngày nay còn có nhiều giao thức khác nữa bởi MPLS
• Serial Line Interface Protocol (SLIP) – giao thức SLIP được sử dụng cho kết nối mạng quay số nhưng nó có ít tính năng hơn PPP Chính vì vậy PPP trở thành phương pháp chính cho kết nối quay số và PPTP, người anh em họ của PPP, thường được sử dụng cho các kết nối VPN với hệ thống Windows
• Asynchronous Transfer Mode (ATM) – tuy ATM vẫn có thể được sử dụng trong các mạng không dây nhưng nó kém được phát triển Điều này thực sự đúng khi Windows Server kết nối trực tiếp với một mạng ATM
• NWLink IPX/SPX/NetBIOS Compatible Transport Protocol – thậm chí Novell Netware đã thay đổi sang IP chính vì vậy không có lý do gì để Windows vẫn
sử dụng nó
• Services for Macintosh (SFM) – với các hệ thống Apple Mac mới hiện đang chạy IP thì vẫn có một số nhu cầu cho dịch vụ kết nối mạng của Windows
• Open Shortest Path First (OSPF) trong định tuyến và truy cập từ xa
• Basic Firewall trong Routing and Remote Access - Basic Windows Server Firewall sẽ được thay thế bởi Advanced Windows Firewall mới
• SPAP, EAP-MD5-CHAP, và CHAP (cũng được biết đến với tên CHAP v1) cho các kết nối PPP – các kết nối này đã được sử dụng với kết nối PPP
MS-và chúng đã được thay thế bằng một giao thức mới có nhiều tùy chọn hơn
f) Các dịch vụ mạng mới hiện có trong Windows Server 2008
Chúng ta hãy xem trong Windows Server 2008 có các dịch vụ mạng mới gì để thay thế cho các dịch vụ mạng trên
Trang 26• SMB 2.0 – không phải rằng bạn có thể “thấy” SMB rất tốt trong action và không phải rằng bạn tốn nhiều thời gian nghĩ về dữ liệu Windows được gửi đi như thế nào mà SMB 2.0 là một cải thiện đáng kể so với phiên bản 1.0 trong phiên bản Windows Server trước đó SMB 2.0 hiện cho thấy sự hiệu quả hơn và giảm hiện tượng rớt mạng khi tạo các yêu cầu dữ liệu, nó hỗ trợ tốt các bộ đệm dữ liệu và chống lại các hiện tượng mạng không đều tốt hơn, ngoài ra còn hỗ trợ các liên kết biểu tượng
Bạn cần lưu ý rằng client và server đang truyền thông phải sử dụng SMB 2.0 Điều đó có nghĩa rằng bạn chỉ sử dụng một SMB 2.0 giữa một hệ thống Windows Server 2008, hệ thống Windows Vista hoặc kết hợp cả hai
• Ngăn xếp TCP/IP Network - Ngăn xếp mạng “thế hệ kế tiếp” được cải thiện trong Windows Server 2008 có một số nâng cao dưới đây:
Tự động điều chỉnh nhận Windows
Những nâng cao cho các môi trường có khả năng mất tín hiệu cao
Phát hiện các kết nối xung quang không thể kết nối đối với IPv4
Hỗ trợ Fail-back cho các thay đổi gateway mặc định
Các thay đổi trong PMTU cho sự phát hiện “lỗ đen”
Hỗ trợ Framework chuẩn đoán mạng
Hỗ trợ ESTATS
Mô hình lọc gói mới với nền tảng Filtering của Windows
Nâng cao nhiều cho IPv6
Những cải thiện về máy chủ DNS
• Đáp ứng nhanh hơn cho tải máy chủ DNS
Hỗ trợ IPv6
Hỗ trợ cho Read Only DCs (RODC)
Hỗ trợ tên toàn cầu
• Các nâng cao về chất lượng dịch vụ QoS
Trang 27• Khả năng về mạng – trước đây, các ứng dụng mạng có thể treo nếu kết nối mạng bị mất Với Windows Server 2008, các ứng dụng có thể có khả năng biết được xem mạng có kết nối hoặc bị hỏng kết nối và cần phải tác động lại hay không
• Windows Advanced Firewall – Advanced Firewall mới rất hữu hiệu và làm việc đối với cả lưu lượng mạng vào và ra
• Một số cải thiện về IPSec
g) Có thể bổ sung các tính năng và role dịch vụ mạng
Điểm mới trong Windows Server 2008 là bạn có thể bổ sung thêm một số dịch
vụ mạng, tuy nhiên bạn vẫn cần add chúng với tư cách một role hoặc một tính năng (feature) Cho ví dụ, DNS và DHCP là các role, bạn có thể xem thêm trong hình 1 bên dưới Mặt khác, các tính năng như Network Load Balancing, SMTP Server, Telnet Server, TFTP client, WINS Server và Wireless Networking đều là các
feature (xem trong hình 2 bên dưới)
7) Active Directory Recycle Bin trong Windows Server 2008 R2 LÀ GÌ?
Trong Windows Server 2008 R2 có một tính năng khá mạnh trong việc khôi phục các đối tượng từ Active Directory đó là Active Directory Recycle Bin Trong
Trang 28bài viết chúng tôi sẽ cùng các bạn đi tìm hiểu về tính năng này và cách sử dụng nó như thế nào
Windows Server 2008 R2 có một tính năng Active Directory Recycle Bin mới, đây là tính năng mà bạn có thể sử dụng để “undo” những gì bị xóa do vô tình cho cả Active Directory Domain Services (AD DS) và Active Directory Lightweight Directory Services (AD LDS) Active Directory Recycle Bin cho phép bạn khôi phục các đối tượng đã bị xóa do vô tình cách nhanh chóng và giảm thời gian chết trong việc mất dữ liệu
Để sử dụng Active Directory Recycle Bin, môi trường của bạn cần phải có đủ các điều kiện tiên quyết Khi có đủ các tiêu chuẩn này bạn cũng vẫn cần phải thực hiện một số kế hoạch vì việc sử dụng Active Directory Recycle Bin sẽ hạn chế việc
sử dụng một số tính năng khác
Bài viết này sẽ giới thiệu cho các bạn về cách thức làm việc của Active
Directory Recycle Bin như thế nào, khi nào bạn có thể sử dụng và không thể sử dụng nó, cách thực hiện các nhiệm vụ có liên quan đến Active Directory Recycle Bin như thế nào Bạn sẽ rất cần đến các thông tin này vì Active Directory Recycle Bin thực sự không có giao diện đồ họa thân thiện người dùng
a) Các điều kiện tiên quyết
Active Directory Recycle Bin yêu cầu mức chức năng forest của Windows Server 2008 R2, nghĩa rằng tất cả các bộ điều khiển miền (domain controller) trong forest đều đã được cài đặt Windows Server 2008 R2 và tất cả các miền trong forest đều có mức chức năng domain của Windows Server 2008 R2
Active Directory Recycle Bin là một tính năng forest rộng mạng tính tùy chọn,
có thể sử dụng cho tất cả các miền trong forest khi được kích hoạt Tính năng này bị
vô hiệu hóa mặc định cho dù mức chức năng forest được thiết lập là Windows Server 2008 R2 Bạn có thể kích hoạt Active Directory Recycle Bin bằng cách sử dụng lệnh Enable-ADOptionalFeature có trong Active Directory Module for
Windows PowerShell trong Windows Server 2008 R2
Trang 29Trước khi kích hoạt Active Directory Recycle Bin, bạn hãy chú ý rằng: Khi đã bật Active Directory Recycle Bin, tính năng này sẽ không thể vô hiệu hóa Bạn có thể không thấy những vấn đề gặp phải đối với hạn chế này, tuy nhiên nó sẽ ngăn không cho bạn sử dụng các tính năng mới khác trong Windows Server 2008 R2, ví
dụ như khả năng “roll back” (hành động nhằm đưa trở về trạng thái trước đó) hoặc
hạ thấp các mức chức năng domain và forest Hai tính năng này thường loại trừ lẫn nhau: Để “roll back” hoặc hạ thấp các mức chức năng, tất cả các tính năng tùy chọn của Active Directory phải được vô hiệu hóa Sự trớ trêu ở đây là Active Directory Recycle Bin chỉ là một tính năng mang tính tùy chọn và không thể vô hiệu hóa khi
đã được kích hoạt Chính vì vậy, bạn sẽ không thể “roll back” hoặc hạ thấp các mức chức năng nếu đã kích hoạt Active Directory Recycle Bin
b) Cách làm việc của Active Directory Recycle Bin
Bằng cách kích hoạt Active Directory Recycle Bin, bạn sẽ thay đổi một cách
có hiệu quả chu trình (lifecycle) cho các đối tượng AD DS Để tìm hiểu rõ về cách làm việc của Active Directory Recycle Bin, chúng ta hãy xem xét đến chu trình của các đối tượng AD DS sau khi Active Directory Recycle Bin được kích hoạt (xem trong hình 1)
Hình 1: Chu trình của đối tượng AD DS khi Active Directory Recycle Bin được
kích hoạt
Như những gì thể hiện trong hình 1, có bốn trạng thái trong một chu trình của đối tượng AD DS sau khi Active Directory Recycle Bin được kích hoạt:
Live
Trang 30Sự xóa bỏ logic được định nghĩa dưới đây:
Các thuộc tính được bảo tồn
Tên riêng của đối tượng bị đọc sai
Đối tượng được chuyển vào mục các đối tượng đã xóa Deleted Objects
Đối tượng AD DS được duy trì ở trạng thái Deleted này trong suốt quãng thời gian tồn tại của đối tượng đã xóa (Số lượng có thể được cấu hình; mặc định trong Windows Server 2008 R2 là 180 ngày) Khi một đối tượng ở trạng thái Deleted, bạn
có thể đưa chúng trở về trạng thái Live trước đó bằng cách sử dụng Active
Directory Recycle Bin và thực hiện một hành động khôi phục xác thực
e) Trạng thái Recycled
Khi thời gian tồn tại của một đối tượng bị xóa vượt quá thời hạn cho phép, đối tượng AD DS sẽ bị chuyển sang trạng thái Recycled Bước chuyển từ trạng thái Deleted sang trạng thái Recycled được thực hiện hoàn toàn tự động bởi hệ thống, hủy bỏ hầu hết các thuộc tính của đối tượng
Số lượng thời gian sống của đối tượng trong trạng thái này cũng có thể cấu hình; mặc định là 180 ngày Khi một đối tượng nằm trong trạng thái Recycled, đối tượng sẽ không thể được khôi phục bằng Active Directory Recycle Bin
f) Trạng thái Physically Deleted
Trang 31Khi thời gian sống của đối tượng trong trạng thái Recycled hết hạn, quá trình thu thập rác sẽ xóa đối tượng này ra khỏi cơ sở dữ liệu
g) Sử dụng Active Directory Recycle Bin
Việc xóa một đối tượng nào đó do vô tình rất có thể xay ra Bằng vài kích chuột bạn có thể vô tình xóa đến hàng trăm hay thậm chí hàng ngày đối tượng Viễn cảnh đó thật là tồi tệ, tuy nhiên Active Directory Recycle Bin có thể cho phép bạn chuộc lại lỗi lầm của mình
Các phần dưới đây sẽ cung cấp các thông tin chi tiết về cách kích hoạt Active Directory Recycle Bin, cách xem các đối tượng trong trạng thái Deleted và cách khôi phục các đối tượng bị xóa do vô tình
Trang 32Chương 4 CÀI ĐẶT WINDOWS SERVER 2008
Dung lượng
ổ đĩa còn trống
Tối thiểu: 10 Gb Khuyên dùng: >=40 Gb
2) Quá trình cài đặt:
a) Trong lần đầu tiên chạy cài đặt Windows Server 2008, bạn có 2 tùy chọn cài đặt là:
Windows Server 2008 Enterprise (Full Installation)
Windows Server 2008 Enterprise (Server Core Installation)
Quá trình cài đặt Windows Server 2008 Enterpise như sau:
Khởi động máy tính từ đĩa DVD Windows Server 2008 Enterpise Lựa chọn ngôn ngữ dùng để cài đặt cùng những thông tin liên quan và bấm Next
Trang 33Hình 1
Lựa chọn ngôn ngữ cài đặt và thông tin liên quan Bấm Install now để bắt đầu
quá trình cài đặt bạn kích chọn Repair your computer
Hình 2 Cài đặt hoặc phục hồi hệ thống
Nhập product key của phiên bản Windows Server 2008 Enterpise này Nếu
chưa muốn kích hoạt (activate) Windows vì mục đích kiểm tra hoặc dùng thử, bạn
co thể bỏ dấu chọn ở mục Automatically activate Windows when I’m online và bấm Next
Trang 34Hình 3
Nhập product key.Chọn kiểu cài đặt Windows Server 2008 Enterpise (Full Installation), đánh dấu chọn mục I have selected the edition Windows that I
purchased và bấm Next
Hình 4: Chọn kiểu cài đặt Enterpise
Trong màn hình License, bạn đọc kỹ các điều khoản của Microsoft Nếu đồng
ý, bạn đánh chọn vào I accept the liense terms và bấm Next
Trang 35Hình 5: Đồng ý với điều khoản của Microsoft
Trong màn hình Type of installation, bạn lựa chọn kiểu cài đặt thích hợp Nếu muốn cài mới bạn chọn Custom (advanced) Nếu cần nâng cấp chương trình trên hệ điều hành Windows hiện thời bạn chọn Upgrade
Hình 6: Lựa chọn kiểu cài đặt thích hợp
Trang 36Trong màn hình When install Windows, cho phép bạn chọn ổ đĩa cứng cài đặt hoặc tạo một phân vùng mới và bấm Next để tiếp tục
Hình 7: Tạo các phân vùng
Windows Server 2008 đã được cài đủ thông tin quá trình cài đặt bắt đầu
Hình 8: Tiến trình cài đặt của Windows Server 2008
Trang 37Trong quá trình cài đặt, hệ thống sẽ tự động khởi động lại nhiều lần để thực hiện các thao tác cấu hình cần thiết Sau khi cài đặt, cửa sổ màn hình chính xuất hiện và bạn đã sẵn sàng để đăng nhập
Hình 9: Màn hình chính đăng nhập hệ thống
Tên đăng nhập duy nhất là Administrator và mật khẩu để trống (Hình 1-10) Bạn được yêu cầu thây đổi mật khẩu và thiết lập một mật khẩu mới trong lần đăng nhập đầu tiên
Trang 38Hình 10: Hệ thống yêu cầu thây đổi mật khẩu Administrtor
Sau khi đăng nhập, hệ điều hành yêu cầu bạn cần thây đổi mật khẩu ngay
Hình 11: Thây đổi mật khẩu mới
b) Kích hoạt Active Directory Recycle Bin
Active Directory Recycle Bin là một tính năng không mang tính bắt buộc, tuy nhiên bạn cần phải kích hoạt nếu muốn sử dụng nó Bạn có thể kích hoạt tính năng
Trang 39này bằng cách sử dụng Active Directory Module for Windows PowerShell Như đã
đề cập từ trước, phải cần đến mức chức năng forest của Windows Server 2008 R2
c) Các bước dưới đây sẽ mô tả chi tiết quá trình kích hoạt Active Directory Recycle Bin:
Đăng nhập vào domain controller cho phép bạn thay đổi
Kích Start > All Programs > Administrative Tools > Active Directory Module for Windows PowerShell
Trong cửa sổ Active Directory Module for Windows PowerShell, đánh vào lệnh dưới đây, thay thế phần domain.local trong lệnh này bằng tên thích hợp:
Nhấn Enter
Hình 2: Kích hoạt tính năng Active Directory Recycle Bin
Như thể hiện trong hình 2, bạn sẽ được nhắc nhở bằng một thông báo xác nhận, thông báo này cảnh báo bạn rằng sự thay đổi này chỉ mang tính một chiều (không thể thay đổi ngược lại) Nếu bạn chắc chắn rằng mình muốn tiếp tục, hãy đánh Y và nhấn Enter
Active Directory Module for Windows PowerShell sẽ không báo cáo sự thay đổi thành công, không có sự kiện nào được ghi lại trong bản ghi sự kiện để mách bảo bạn rằng tính năng Active Directory Recycle Bin đã được kích hoạt Tuy nhiên bạn có thể sử dụng lệnh Get-ADOptionalFeature để thẩm định rằng tính năng này
đã được kích hoạt thành công
Trang 40d) Để thẩm định trạng thái của tính năng Active Directory Recycle Bin, hãy thực hiện theo các bước dưới đây:
Đăng nhập vào domain controller
Kích Start > All Programs > Administrative Tools > Active Directory Module for Windows PowerShell
Trong cửa sổ Active Directory Module for Windows PowerShell, hãy đánh vào lệnh dưới đây:
Nhấn Enter Như những gì thể hiện trong hình 3, cửa sổ sẽ hiển thị trạng thái của tính năng Active Directory Recycle Bin Những thông tin quan trọng được chứa trong phần EnabledScopes, đây là phần liệt kê danh sách các partition mà Active Directory Recycle Bin đã được kích hoạt
Hình 3: Thẩm định trạng thái của Active Directory Recycle Bin
3) Xem các đối tượng đã xóa
Khi Active Directory Recycle Bin được kích hoạt, bạn có thể sử dụng một trong hai công cụ dưới để xem các đối tượng đã bị xóa và được đặt vào mục
Deleted Objects:
Active Directory Module for Windows PowerShell
