Tìm hiểu hệ thống domain controler trên Windows Server 2003
Trang 1Buôn Ma Thuột - 2015
ĐỒ ÁN CHUYÊN ĐỀ MẠNG
Giảng viên : Nguyễn Trần Hồng Quân
Trang 2NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
Giáo viên Nguyễn Trần Hồng Quân
Trang 3I Cơ sở lí thuyết 5
Mạng máy tính 5
Lợi ích của mạng máy tính 5
Các mô hình mạng trong môi trường MICROSOFT 5
1) Mô hình Workgroup 5
2) Mô hình Domain 6
Active Directory 6 Kiến trúc của Active Directory 7 1) Objects 7
2) Organizational Units 8
3) Domain 8
4) Domain Tree 8
5) Forest 9
Domain Controller 9 DNS ………10
1) Giới thiệu DNS 10
2) Đặt điểm của DNS trong Windows 2003 13
3) Cơ chế phân giải tên 13
Tổng quát về DHCP 15 1) Giới thiệu dich vụ DHCP 15
2) Hoạt động của giao thức DHCP 15
Tài khoản người dùng 16 A Tài khoản người dùng (user account) 16
1) Tài khoản người dùng cục bộ (local user account) 16
2) Tài khoản người dùng miền (Domain user account) 16
3) Yêu cầu về tài khoản người dùng 16
B Tài khoản nhóm 17
Quản lí tài khoản người dùng và nhóm trên ACTIVE DIRECTORY 17 A Tạo mới tài khoản người dùng 17
B Các thuộc tính của tài khoản người dùng 19
Chính sách hệ thống 22 A Chính sách tài khoản người dùng 22
B Chính sách cục bộ 23
Trang 4Chính sách nhóm 26
So sánh giữa System Policy và Group Policy 26
Chức năng của Group Policy 26
Tạo và quả lí thư mục dùng chung 27 1) Chia sẻ thư mục dùng chung 27
2) Các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm 28
3) Quyền truy cập NTFS 30
Các công cụ phân quyền NTFS 30
4) Kế thừa và thay thế quyền của đối tượng con 31
II.Nội dung đồ án 32 A Đề 32 B Chuẩn bị 34 Đặt địa chỉ IP và đặt tên 34 Cài đặt DNS trên Server 35
Cài đặt dịch vụ DHCP 40
Lên Domain controler 45
Join máy client vào hệ thống Domain 49
C Thực hiện 52 Câu 1 : Tạo các object và đưa các user vào nhóm tương ứng 52
Câu 2 : Roaming Profile cho các user “Sếp” Thư mục chứa roaming profile tên là “Profiles” 53
Câu 3 : Tạo cây thư mục và phân quyền 55
Câu 4 : Deploy phần mềm Microsoft Office cho các user trong OU KeToan 65
Câu 5 : Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử dụng (Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password 68
Câu 6 : Delegate Control cho phép kt1 được quản lý user account trong OU KeToan 74
Câu 7 : Delegate Control cho phép ns1 được quản lý user account và group trong OU NhanSu 76
Câu 8: Map Network Driver Folder Data bằng Script cho các user thuộc OU Kế toan 78
Câu 9: Giám sát quá trình logon không thành công của các user 79
Câu 10: Giám sát quá trình truy cập vào Folder DataKeToan của các user trong OU KeToan 80
Trang 6I Cơ sở lí thuyết
Mạng máy tính
Mạng máy tính hay hệ thống mạng ( tiếng Anh: computer network hay network
system) là sự kết hợp các máy tính lại với nhau thông qua các thiết bị nối kết mạng và
phương tiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo một cấu trúcnào đó và các máy tính này trao đổi thông tin qua lại với nhau
Lợi ích của mạng máy tính
Nhiều người có thể dùng chung một phần mềm tiện ích.
Một nhóm người cùng thực hiện một đề án nếu nối mạng họ sẽ dùng chung
dữ liệu của đề án, dùng chung tập tin chính (master file) của đề án, họ trao đổi thông tin với nhau dễ dàng.
Dữ liệu được quản lý tập trung nên bảo mật an toàn, trao đổi giữa những người sử dụng thuận lợi, nhanh chóng, backup dữ liệu tốt hơn.
Sử dụng chung các thiết bị máy in, máy scaner, đĩa cứng và các thiết bị khác.
Người sử dụng và trao đổi thông tin với nhau dễ dàng thông qua dịch vụ thư điện tử (Email), dịch vụ Chat, dịch vụ truyền file (FTP), dịch vụ Web,
Xóa bỏ rào cản về khoảng cách địa lý giữa các máy tính trong hệ thống mạng muốn chia sẻ và trao đổi dữ liệu với nhau.
Một số người sử dụng không cần phải trang bị máy tính đắt tiền (chi phí thấp mà chức năng lại mạnh).
Cho phép người lập trình ở một trung tâm máy tính này có thể sử dụng các chương trình tiện ích, vùng nhớ của một trung tâm máy tính khác đang rỗi
để làm tăng hiệu quả kinh tế của hệ thống.
An toàn cho dữ liệu và phần mềm vì nó quản lý quyền truy cập của các tài khoản người dùng (phụ thuộc vào các chuyên gia quản trị mạng)
Các mô hình mạng trong môi trường MICROSOFT
1) Mô hình Workgroup
Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình
mà trong đó các máy tính có vai trò như nhau được nối kết với nhau Các dữ liệu
và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên cục bộ của mình Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng Mô hình này chỉ phù hợp với các mạng nhỏ, dưới mười máy tính và yêu cầu bảo mật không cao
Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ
đa người dùng lưu trữ thông tin người dùng trong một tập tin SAM (Security Accounts Manager) ngay chính trên máy tính cục bộ Thông tin này bao gồm: username (tên đăng nhập), fullname, password, description… Tất nhiên tập tin
Trang 7SAM này được mã hóa nhằm tránh người dùng khác ăn cấp mật khẩu để tấn công vào máy tính Do thông tin người dùng được lưu trữ cục bộ trên các máy trạm nên việc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tự chứng thực
2) Mô hình Domain
Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của
client-hệ thống mạng Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền Mô hình này được áp dụng cho các công ty vừa
và lớn Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT Tập tin
cơ sở dữ liệu này được xây dựng theo công nghệ tương tự như phần mềm Access của Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũ chỉ lưu trữ được khoảng 5 nghìn tài khoản người dùng Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực.
Active Directory
Active Directory là một dịch vụ quản lý thư mục có thể chứa các thông tin về các
máy tính trong mạng, người dùng mạng, máy in, ứng dụng trên mạng, Bằng cách lưutrữ thông tin trong một thư mục trung tâm nên tất cả các tài nguyên này đều có thể được
sử dụng chung đối với tất cả mọi người ở mọi thời điểm Mô hình Domain (Miền) là một kiến trúc thư mục có phân cấp các tài nguyên – Active Directory – và được sử
dụng bởi tất cả các hệ thống là thành viên của Miền Các hệ thống này có thể sử dụngcác tài khoản người dùng, nhóm và máy tính trong trong thư mục để bảo mật các tài
nguyên của chúng Do đó Active Directory đóng vai trò như một trung tâm lưu trữ nhận thực, cung cấp một danh sách tin cậy chỉ ra “ai là ai” trong Miền Bản thân Active
Directory đóng vai trò là một cơ sở dữ liệu, nó chứa một danh sách các thành phần hỗ
trợ, bao gồm cả các nhật ký giao dịch (transaction log) và dữ liệu hệ thống (sysvol), ở đây chứa các thông tin về kịch bản đăng nhập và chính sách nhóm Active Directory sử dụng giao thức LDAP (Lightweight Directory Access Protocol), giao thức bảo mật
Kerberos, các chu trình đồng bộ dữ liệu và dịch vụ đồng bộ file FRS (File Replication Service).
Chính sách nhóm (Group Policy) Do cách thức thừa hưởng các thiết lập từ đối tượng mức cha truyền xuống mức con, người quản trị có thể sử dụng các OU để gom các đối
tượng cần cấu hình tương tự nhau Các thiết lập cấu hình mà được áp dụng đến từng
Trang 8máy tính chạy Windows cũng có thể quản trị một cách tập trung nhờ sử dụng một tính năng của Active Directory gọi là chính sách nhóm (Group Policy) Các chính sách
nhóm cho phép xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điềuhành và cách thức hoạt động của các ứng dụng trên một máy tính mà không cần thiếtphải thực hiện trực tiếp trên máy tính cần thiết lập Việc thiết lập các tùy chọn cấu hình
trên một đối tượng đặc biệt của Active Directory gọi là đối tượng chính sách nhóm
GPO (Group Policy Object) sau đó kết nối các GPO này vào các đối tượng trong Active Directory chứa các máy tính hoặc người dùng muốn áp dụng
Hệ thống xác thực tập trung là ứng dụng trung gian, hoạt động như một dịch vụ,kiểm tra tính hợp lệ và quyền truy cập của người dùng đối với các ứng dụng vàcác tài nguyên trên mạng - Cổng thông tin điện tử đóng vai trò cổng vào tậptrung, thống nhất đối với tất cả các ứng dụng, tài nguyên trên mạng b) Các chínhsách bảo mật máy trạm
Thiết lập các quyền truy cập tài nguyên mạng theo chức năng nhiệm vụ cho từngnhóm đối tượng - Các máy trạm khai thác số liệu kinh doanh chỉ được quyền sửdụng ứng dụng cho phép, không được quyền cài đặt bất kỳ phần mềm nào khác -Triển khai từ xa các phần mềm ứng dụng cho các máy trạm - Triển khai từ xacác phần mềm anti-virus cho các máy trạm, đồng thời thực hiện việc rà quét từxa
Kiểm soát tình trạng kết nối của các máy trạm - Kiểm soát tình trạng đăng nhập,
sử dụng tài nguyên của người
dùng
Kiến trúc của Active D ire ctory bao gồm
Objects, Organizational Units, Domain ,
Domain Tree,Forest
Kiến trúc của Active Directory
1) Objects
Trang 9Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm
Object classes và Attributes Object classes là một bản thiết kế mẫu hay một khuôn
mẫu cho các loại đối tượng mà bạn có thể tạo ra trong Active Directory Có ba loại
object classes thông dụng là: User, Computer, Printer Khái niệm thứ hai là Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với một đối
tượng cụ thể Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của object classes Ví dụ hình sau minh họa hai đối tượng là: máy in ColorPrinter1 và người dùng KimYoshida
2) Organizational Units
Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem
là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau” Việc sử dụng OU có
hai công dụng chính sau:
- Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các
thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó
(sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ
thống
- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng
trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO), các
chính sách nhóm này chúng ta sẽ tìm hiểu ở các chương sau
3) Domain
Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory Nó là
phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ cónhững qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các
Server dễ dàng hơn Domain đáp ứng ba chức năng chính sau: - Đóng vai trò như một
khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định
nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, cácchính sách bảo mật, các quan hệ ủy quyền với các domain khác
- Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ
- Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain
controller), đồng thời đảm bảo các thông tin trên các Server này được được
đồng bộ với nhau
4) Domain Tree
Trang 10Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu
trúc hình cây Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là
domain con (child domain) Tên của các domain con phải khác biệt nhau Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain.
Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục Bạn cóthể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện
cây này sẽ được hợp nhất
với nhau bằng một khái
niệm là rừng
Trong ví dụ trên, công ty
mcmcse.com thu mua
được techtutorials.com và
xyzabc.com và hình thành
rừng từ gốc mcmcse.com.
Trang 11Domain Controller
Domain Controller là hệ thống máy chủ được thiết lập để quản lý một Domain Một
Domain có thể có nhiều Domain Controller Một máy chủ để trở thành Domain
Controller bắt buộc phải cài đặt và khởi tạo Active Directory Domain Controller
quản lý Domain của mình thông qua Active Directory đó,tính hoặc các nhóm khác, độc lập trong cấu trúc của Active Directory Các nhóm có thể chứa các đối tượng từ các OU
và các Miền Thư mục chia sẻ: cung cấp các truy nhập dựa trên Active Directory đến một thư mục chia sẻ trong một máy tính Windows Máy in: Cung cấp các truy nhập mạng dựa trên Active Directory đến một máy in trong một máy tính Windows Mỗi đối tượng Active Directory có chứa một tập hợp các thuộc tính, chính là các thông tin
về đối tượng đó Ví dụ, đối tượng người dùng sẽ có các thuộc tính mô tả tên tài khoản,mật khẩu, địa chỉ, số điện thoại,…; Một đối tượng nhóm sẽ có các thuộc tính cho biếtdanh sách người dùng là thành viên của nhóm đó,… Bên cạnh các thuộc tính thuần túythông tin, các đối tượng còn có các thuộc tính thực hiện các chức năng quản trị, ví dụ
như một Danh sách kiểm soát truy nhập ACL (Access Control List) chỉ định những ai
được phép truy cập đến đối tượng đó
DNS
1) Giới thiệu DNS
Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin, dữ liệu cho nhau cần
phải biết rõ địa chỉ IP của nhau Nếu số lượng máy tính nhiều thì việc nhớ những địa chỉ
IP này rất là khó khăn
Mỗi máy tính ngoài địa chỉ IP ra còn có một tên (hostname) Đối với con người việc
nhớ tên máy dù sao cũng dễ dàng hơn vì chúng có tính trực quan và gợi nhớ hơn địa chỉ
IP Vì thế, người ta nghĩ ra cách làm sao ánh xạ địa chỉ IP thành tên máy tính
Ban đầu do quy mô mạng ARPA NET (tiền thân của mạng Internet) còn nhỏ chỉ vài trăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lưu thông tin về ánh xạ tên máy thành địa chỉ IP Trong đó tên máy chỉ là 1 chuỗi văn bản không phân cấp (flat name).
Tập tin này được duy trì tại 1 máy chủ và các máy chủ khác lưu giữ bản sao của nó Tuy
nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOSTS.TXT có các nhược điểm
như sau:
- Lưu lượng mạng và máy chủ duy trì tập tin HOSTS.TXT bị quá tải do hiệu ứng “cổ
chai”
Trang 12- Xung đột tên: Không thể có 2 máy tính có cùng tên trong tập tin HOSTS.TXT Tuy
nhiên do tên máy không phân cấp và không có gì đảm bảo để ngăn chặn việc tạo 2 têntrùng nhau vì không có cơ chế uỷ quyền quản lý tập tin nên có nguy cơ bị xung đột tên
- Không đảm bảo sự toàn vẹn: việc duy trì 1 tập tin trên mạng lớn rất khó khăn Ví dụ
như khi tập tin HOSTS.TXT vừa cập nhật chưa kịp chuyển đến máy chủ ở xa thì đã có
sự thay đổi địa chỉ trên mạng rồi
Tóm lại việc dùng tập tin HOSTS.TXT không phù hợp cho mạng lớn vì thiếu cơ chế phân tán và mở rộng Do đó, dịch vụ DNS ra đời nhằm khắc phục các nhược điểm này Người thiết kế cấu trúc của dịch vụ DNS là Paul Mockapetris - USC's Information
Sciences Institute, và các khuyến nghị RFC của DNS là RFC 882 và 883, sau đó là RFC 1034 và 1035 cùng với 1 số RFC bổ sung như bảo mật trên hệ thống DNS, cập
nhật động các bản ghi DNS …
Lưu ý: Hiện tại trên các máy chủ vẫn sử dụng được tập tin hosts.txt để phân giải tên
máy tính thành địa chỉ IP (trong Windows tập tin này nằm trong thư mục WINDOWS\
system32\drivers\etc)
Dịch vụ DNS hoạt động theo mô hình Client-Server: phần Server gọi là máy chủ phục vụ tên hay còn gọi là Name Server, còn phần Client là trình phân giải tên -
Resolver Name Server chứa các thông tin CSDL của DNS, còn Resolver đơn giản chỉ
là các hàm thư viện dùng để tạo các truy vấn (query) và gửi chúng qua đến Name
Server DNS được thi hành như một giao thức tầng Application trong mạng TCP/IP DNS là 1 CSDL phân tán Điều này cho phép người quản trị cục bộ quản lý phần dữ
liệu nội bộ thuộc phạm vi của họ, đồng thời dữ liệu này cũng dễ dàng truy cập được trên
toàn bộ hệ thống mạng theo mô hình Client-Server Hiệu suất sử dụng dịch vụ được tăng cường thông qua cơ chế nhân bản (replication) và lưu tạm (caching) Một
hostname trong domain là sự kết hợp giữa những từ phân cách nhau bởi dấu chấm(.)
Cơ sở dữ liệu(CSDL) của DNS là một cây đảo ngược Mỗi nút trên cây cũng lại là gốc của 1 cây con Mỗi cây con là 1 phân vùng con trong toàn bộ CSDL DNS gọi là 1
miền (domain) Mỗi domain có thể phân chia thành các phân vùng con nhỏ hơn gọi là
các miền con (subdomain) Mỗi domain có 1 tên (domain name) Tên domain chỉ ra vị trí của nó trong CSDL DNS Trong DNS tên miền là chuỗi tuần tự các tên nhãn tại nút
đó đi ngược lên nút gốc của cây và phân cách nhau bởi dấu chấm Tên nhãn bên phải
trong mỗi domain name được gọi là top-level domain Trong ví dụ trước srv1.csc.hcmuns.edu.vn, vậy miền “.vn” là top-level domain Bảng sau đây liệt kê top-
level domain.
Trang 13Tên mi ền Mô tả
com Các tổ chức, công ty thương mại
.org Các tổ chức phi lợi nhuận
.net Các trung tâm hỗ trợ về mạng
.gov Các tổ chức thuộc chính phủ
.int Các tổ chức được thành lập bởi các hiệp ước quốc tế
Vì sự quá tải của những domain name đã tồn tại, do đó đã làm phát sinh những level domain mới Bảng sau đây liệt kê những top-level domain mới
arts Những tổ chức liên quan đến nghệ thuật và kiến trúc.nom Những địa chỉ cá nhân và gia đình
.rec Những tổ chức có tính chất giải trí, thể thao
.firm Những tổ chức kinh doanh, thương mại
.info Những dịch vụ liên quan đến thông tin
Bên cạnh đó, mỗi nước cũng có một top-level domain Ví dụ top-leveldomain của Việt
Nam là vn, Mỹ là us, ta có thể tham khảo thêm thông tin địa chỉ tên miền tại địa chỉ:
http://www.thrall.org/domains.htm
Ví dụ về tên miền của một số quốc gia
Trang 14.jp Nhật Bản
2) Đặt điểm của DNS trong Windows 2003.
- Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải dựa theo tên domain trong yêu cầu truy vấn - Stub zone: hỗ trợ cơ chế phân giải hiệu quả hơn - Đồng bộ các DNS zone trong Active Directory (DNS zone replication in
Active Directory) - Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống
Windows trước đây - Luân chuyển (Round robin) tất cả các loại RR - Cung cấp nhiêu
cơ chế ghi nhận và theo dõi sự cố lỗi trên DNS
- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính năng bảo mật cho việc lưu trữ và nhân bản (replicate) zone - Cung cấp tính năng EDNS0 (Extension Mechanisms for DNS) để cho phép DNS Requestor quản bá những zone
transfer packet có kích thước lớn hơn 512 byte.
3) Cơ chế phân giải tên
Phân giải tên thành IP
Root name server : Là máy chủ quản lý các name server ở mức top-level domain.
Khi có truy vấn về một tên miền nào đó thì Root Name Server phải cung cấp tên và địa chỉ IP của name server quản lý top-level domain (Thực tế là hầu hết các root server cũng chính là máy chủ quản lý top-level domain) và đến lượt các name server của top-
level domain cung cấp danh sách các name server có quyền trên các second-level domain mà tên miền này thuộc vào Cứ như thế đến khi nào tìm được máy quản lý tên
miền cần truy vấn Qua trên cho thấy vai trò rất quan trọng của root name server trong quá trình phân giải tên miền Nếu mọi root name server trên mạng Internet không liên
lạc được thì mọi yêu cầu phân giải đều không thực hiện được
Client sẽ gửi yêu cầu cần phân giải địa chỉ IP của máy tính có tên
girigiri.gbrmpa.gov.au đến name server cục bộ Khi nhận yêu cầu từ Resolver, Name
Server cục bộ sẽ phân tích tên này và xét xem tên miền này có do mình quản lý hay
không Nếu như tên miền do Server cục bộ quản lý, nó sẽ trả lời địa chỉ IP của tên máy
đó ngay cho Resolver Ngược lại, server cục bộ sẽ truy vấn đến một Root Name
Server gần nhất mà nó biết được Root Name Server sẽ trả lời địa chỉ IP của Name
Trang 15Server quản lý miền au Máy chủ name server cục bộ lại hỏi tiếp name server quản lý
miền au và được tham chiếu đến máy chủ quản lý miền gov.au Máy chủ quản lý gov.au chỉ dẫn máy name server cục bộ tham chiếu đến máy chủ quản lý miền
gbrmpa.gov.au Cuối cùng máy name server cục bộ truy vấn máy chủ quản lý miền
gbrmpa.gov.au và nhận được câu trả lời
Các loại truy vấn : Truy vấn có thể ở 2 dạng :
- Truy vấn đệ quy (recursive query) : khi name server nhận được truy vấn dạng
này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy
vấn này không phân giải được Name server không thể tham chiếu truy vấn đến một name server khác Name server có thể gửi truy vấn dạng đệ quy hoặc tương tác đến name server khác nhưng phải thực hiện cho đến khi nào có kết quả mới
thôi
- Truy vấn tương tác (Iteractive query): khi name server nhận được truy vấn dạng này, nó trả lời cho Resolver với thông tin tốt nhất mà nó có được vào thời điểm lúc đó Bản thân name server không thực hiện bất cứ một truy vấn nào
thêm Thông tin tốt nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache) Trong
trường hợp name server không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của name server gần nhất mà nó biết
Phân giải IP thành tên máy tính
Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịch các tập tin log cho dễ đọc
hơn Nó còn dùng trong một số trường hợp chứng thực trên hệ thống UNIX (kiểm tra các tập tin rhost hay host.equiv) Trong không gian tên miền đã nói ở trên dữ liệu -bao gồm cả địa chỉ IP- được lập chỉ mục theo tên miền Do đó với một tên miền đã cho việc tìm ra địa chỉ IP khá dễ dàng Để có thể phân giải tên máy tính của một địa chỉ IP, trong
không gian tên miền người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mục
theo địa chỉ IP Phần không gian này có tên miền là in- addr.arpa
Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập phân của địa chỉ IP Ví
dụ miền in- addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ 0 đến
255 của byte đầu tiên trong địa chỉ IP Trong mỗi subdomain lại có 256 subdomain con
nữa ứng với byte thứ hai Cứ như thế và đến byte thứ tư có các bản ghi cho biết tên miền
đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng
Trang 16L ưu ý khi đọc tên miền địa chỉ IP sẽ xuất hiện theo thứ tự ngược Ví dụ nếu địa chỉ IP của máy winnie.corp.hp.com là 15.16.192.152, khi ánh xạ vào miền in-addr.arpa sẽ là 152.192.16.15.in- addr.arpa.
Tổng quát về DHCP
1) Giới thiệu dich vụ DHCP
- Dịch vụ DHCP cho phép chúng ta cấp động các thông số cấu hình mạng cho các máy trạm (client) Các hệ điều hành của Microsoft và các hệ điều hành khác như Unix hoặc Macintosh đều hỗ trợ cơ chế nhận các thông số động, có nghĩa là trên các hệ điều hành này phải có một DHCP Client.
- Cơ chế sử dụng các thông số mạng được cấp phát động có ưu điểm hơn so với cơ chếkhai báo tĩnh các thông số mạng như:
Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ
thống mạng
Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP thật (Public IP).
Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng
Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot
như: nhà ga, sân bay, trường học…
2) Hoạt động của giao thức DHCP
Giao thức DHCP làm việc theo mô hình client/server Theo đó, quá trình tương tác giữa DHCP client và server diễn ra theo các bước sau:
- Khi máy client khởi động, máy sẽ gửi broadcast gói tin DHCPDISCOVER, yêu cầu một server phục vụ mình Gói tin này cũng chứa địa chỉ MAC của máy client
- Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu còn khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê một địa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet mask và địa chỉ của Server Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho những Client
khác trong suốt quá trình thương thuyết
- Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCPOFFER) và gửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị đó Điều này cho phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng đề cấp phát cho Client khác.
- Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCPACK như
là một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó và thời hạn cho sử dụng
đó sẽ chính thức được áp dụng Ngoài ra Server còn gửi kèm theo những thông tin cấu hình bổ sung như địa chỉ của gateway mặc định, địa chỉ DNS Server, …
Trang 17T ài khoản người dùng
A Tài khoản người dùng (user account)
Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho
người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạngusername Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và ngườikhác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyênmạng mà mình được phép
1) Tài khoản người dùng cục bộ (local user account)
Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được
định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máytính cục bộ Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phảichứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ
Bạn tạo tài khoản người dùng cục bộ với công cụ Local Users and Group trong
Computer Management (COMPMGMT.MSC)
Các tài khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts
Manager) Tập tin SAM này được đặt trong thư m ục \Windows\system32\config
2) Tài khoản người dùng miền (Domain user account)
Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất
kỳ máy trạm nào thuộc vùng Đồng thời với tài khoản này người dùng có thể truycập đến các tài nguyên trên mạng Bạn tạo tài khoản người dùng miền với công cụActive Directory Users and Computer (DSA.MSC) Khác với tài khoản người dùngcục bộ, tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM
mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS
3) Yêu cầu về tài khoản người dùng.
- Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng
nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hànhWindows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự)
- Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của
người dùng và nhóm không được trùng nhau
- Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
Trang 18- Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu,khoảng trắng, dấu gạch ngang, dấu gạch dưới Tuy nhiên, nên tránh cáckhoảng trắng vì những tên như thế phải đặt trong dấu ngoặc khi dùng các kịchbản hay dòng lệnh.
B Tài khoản nhóm
Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào
đó, dùng cho việc quản lý chung các đối tượng người dùng Việc phân bổ các ngườidùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mụcchia sẻ, máy in Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tàikhoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý Tài khoản nhóm được
chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution
group)
Quản lí tài khoản người dùng và nhóm trên ACTIVE
DIRECTORY
A Tạo mới tài khoản người dùng
Bạn có thể dùng công cụ Active Directory User and Computers trong Administrative Tools ngay trên máy Domain Controller để tạo các tài khoản người
dùng miền Công cụ này cho phép bạn quản lý tài khoản người dùng từ xa thậm chí trêncác máy trạm không phải dùng hệ điều hành Server như WinXP, Win2K Pro Muốn thếtrên các máy trạm này phải cài thêm bộ công cụ Admin Pack Bộ công cụ này nằm trênServer trong thư mục \Windows\system32\ADMINPAK.MSI Tạo một tài khoản ngườidùng trên Active Directory, ta làm các bước sau: Chọn Start > Programs >Administrative Tools > Active Directory Users and Computers Cửa sổ Active DirectoryUsers and Computers xuất hiện, bạn nhấp phải chuột vào mục Users, chọn New > Use
Hộp thoại New Object-User xuất hiện như hình sau, bạn nhập tên mô tả người dùng,tên tài khoản logon vào mạng Giá trị Full Name sẽ tự động phát sinh khi bạn nhập giátrị First Name và Last Name, nhưng bạn vẫn có thể thay đổi được Chú ý: giá trị quantrọng nhất và bắt buộc phải có là logon name (username) Chuỗi này là duy nhất chomột tài khoản người dùng theo như định nghĩa trên phần lý thuyết Trong môi trườngWindows 2000 và 2003, Microsoft đưa thêm một khái niệm hậu tố UPN (UniversalPrincipal Name), trong ví dụ này là “@netclass.edu.vn” Hậu tố UPN này gắn vào sauchuỗi username dùng để tạo thành một tên username đầy đủ dùng để chứng thực ở cấprừng hoặc chứng thực ở một miền khác có quan hệ tin cậy với miền của người dùng đó,
Trang 19trong ví dụ này thì tên username đầy đủ là “tuan@netclass.edu.vn” Ngoài ra trong hộpthoại này cũng cho phép chúng ta đặt tên username của tài khoản người dùng phục vụcho hệ thống cũ (pre-Windows 2000) Sau khi việc nhập các thông tin hoàn thành bạnnhấp chuột vào nút Next để tiếp tục.
Hộp thoại thứ hai xuất hiện, cho phép bạn nhập vào mật khẩu (password) của tài khoản
người dùng và đánh dấu vào các lựa chọn liên quan đến tài khoản như: cho phép đổi mậtkhẩu, yêu cầu phải đổi mật khẩu lần đăng nhập đầu tiên hay khóa tài khoản Các lựachọn này chúng ta sẽ tìm hiểu chi tiết ở phần tiếp theo
Hộp thoại cuối cùng xuất hiện và nó hiển thị các thông tin đã cấu hình cho người dùng
Nếu tất cả các thông tin đã chính xác thì bạn nhấp chuột vào nút Finish để hoàn thành, còn nếu cần chỉnh sửa lại thì nhấp chuột vào nút Back để trở về các hộp thoại trước.
Trang 20B Các thuộc tính của tài khoản người dùng
Muốn quản lý các thuộc tính của các tài khoản người ta dùng công cụ ActiveDirectory Users and Computers sau đó chọn thư mục Users và nhấp đôi chuột vào tàikhoản người dùng cần khảo sát Hộp thoại Properties xuất hiện, trong hộp thoại nàychứa 12 Tab chính, ta sẽ lần lượt khảo sát các Tab này
1) Tab General
Trang 21Tab General chứa các thông tin chung của người dùng trên mạng mà bạn đã nhậptrong lúc tạo người dùng mới Đồng thời bạn có thể nhập thêm một số thông tin như: sốđiện thoại, địa chỉ mail và trang địa chỉ trang Web cá nhân
Chọn lựa máy trạm được truy cập vào mạng: bạn nhấp chuột vào nút Log On To, bạn
sẽ thấy hộp thoại Logon Workstations xuất hiện Hộp thoại này cho phép bạn chỉ địnhngười dùng có thể logon từ tất cả các máy tính trong mạng hoặc giới hạn người dùng chỉđược phép logon từ một số máy tính trong mạng Ví dụ như người quản trị mạng làmviệc trong môi trường bảo mật nên tài khoản người dùng này chỉ được chỉ định logonvào mạng từ một số máy tránh tình trạng người dùng giả dạng quản trị để tấn côngmạng Muốn chỉ định máy tính mà người dùng được phép logon vào mạng, bạn nhập tênmáy tính đó vào mục Computer Name và sau đó nhấp chuột vào nút Add
Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản người dùng:
User must change password at next logon
Người dùng phải thay đổi mật khẩu lần đăng nhập kế tiếp, sau đó mục này sẽ tự động bỏ chọn
User cannot change password Nếu được chọn thì ngăn không cho người
dùng tùy ý thay đổi mật khẩu
Password never expires Nếu được chọn thì mật khẩu của tài khoản
Trang 22này không bao giờ hết hạn.
Store password using reversible
encryption
Chỉ áp dụng tùy chọn này đối với người dùng đăng nhập từ các máy Apple
Account is disabled Nếu được chọn thì tài khoản này tạm thời
bị khóa, không sử dụng được
Smart card is required for interactive
login
Tùy chọn này được dùng khi người dùng đăng nhập vào mạng thông qua một thẻ thông minh (smart card), lúc đó người dùng không nhập username và password
mà chỉ cần nhập vào một số PIN
Account is trusted for delegation
Chỉ áp dụng cho các tài khoản dịch vụ nào cần giành được quyền truy cập vào tàinguyên với vai trò những tài khoản người dùng khác
Account is sensitive and cannot be
delegated
Dùng tùy chọn này trên một tài khoản khách vãng lai hoặc tạm để đảm bảo rằng tài khoản đó sẽ không được đại diện bởi một tài khoản khác
Use DES encryption types for this
account
Nếu được chọn thì hệ thống sẽ hỗ trợ Data Encryption Standard (DES) với nhiều mức độ khác nhau
Do not require Kerberos
preauthentication
Nếu được chọn hệ thống sẽ cho phép tài khoản này dùng một kiểu thực hiện giao thức Kerberos khác với kiểu của
Windows Server 2003
6) Tab Profile
Tab Profile cho phép bạn khai báo đường dẫn đến Profile của tài khoản người dùnghiện tại, khai báo tập tin logon script được tự động thi hành khi người dùng đăng nhậphay khai báo home folder Chú ý các tùy chọn trong Tab Profile này chủ yếu phục vụcho các máy trạm trước Windows 2000, còn đối với các máy trạm từ Win2K trở về saunhư: Win2K Pro, WinXP, Windows Server 2003 thì chúng ta có thể cấu hình các lựachọn này trong Group Policy
7) Tab Member Of
Trang 23Tab Member Of cho phép bạn xem và cấu hình tài khoản người dùng hiện tại là thànhviên của những nhóm nào Một tài khoản người dùng có thể là thành viên của nhiềunhóm khác nhau và nó được thừa hưởng quyền của tất cả các nhóm này
8) Tab Dial-in
Tab Dial-in cho phép bạn cấu hình quyền truy cập từ xa của người dùng cho kết nốidial-in hoặc VPN, chúng ta sẽ khảo sát chi tiết ở chương Routing and Remote Access
Chính sách hệ thống
A Chính sách tài khoản người dùng
Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông
số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra Nó chophép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và
chứng thực Kerberos trong vùng Nếu trên Server thành viên thì bạn sẽ thấy hai mục
Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì bạn sẽ thấy ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy Trong Windows Server 2003 cho phép bạn quản lý chính
sách tài khoản tại hai cấp độ là: cục bộ và miền
Muốn cấu hình các chính sách tài khoản người dùng ta vào Start > Programs >
Administrative Tools > Domain Security Policy hoặc Local Security Policy.
1) Chính sách mật khẩu
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của
người dùng để trách các trường hợp đăng nhập bất hợp pháp vào hệ thống Chính sáchnày cho phép bạn qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mậtkhẩu…
Các lựa chọn trong chính sách mật mã:
Enforce Password History Số lần đặt mật mã không được trùng nhau
Maximum Password Age Quy định số ngày nhiều nhất mà mật mã người
Trang 24Passwords Must Meet
Complexity Requirements
Mật khẩu phải có độ phức tạp như: có ký tự hoa,thường, có ký số
Store Password Using
Reversible Encryption for All
Users in the Domain
Mật mã người dùng được lưu dưới dạng mã hóa
2) Chính sách khóa tài khoản
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm
khóa tài khoản trong vùng hay trong hệ thống cục bộ Chính sách này giúp hạn chế tấncông thông qua hình thức logon từ xa
Các thông số cấu hình chính sách khóa tài khoản:
Account Lockout Threshold Quy định số l ần cố g ắng đăng nhập trước khi tài
khoản bị khóaAccount Lockout Duration Quy định thời gian khóa tài khoản
Reset Account Lockout Counter
After
Quy định thời gian đếm lại số l ần đăng nhậpkhông thành công
B Chính sách cục bộ
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát
các đối tượng trên mạng như người dùng và tài nguyên dùng chung Đồng thời dựa vàocông cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọnbảo mật
1) Chính sách kiểm toán (Audit Policies)
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự
kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng Bạn có
thể xem các ghi nhận này thông qua công cụ Event Viewer, trong mục Security
Các lựa chọn trong chính sách kiểm toán:
Trang 25Audit Account
Management
Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có
sự thay đổi thông tin hay các thao tác quản trị liên quan đến tàikhoản người dùng
Audit Directory Service
Access Ghi nhân việc truy cập các dịch vụ thư mục
Audit Logon Events Ghi nhân các sự kiện liên quan đến quá trình logon như thi hành
một logon script hoặc truy cập đến một roaming profile
Audit Object Access Ghi nhận việc truy cập các tập tin, thư mục, và máy tin
Audit privilege use
Ghi nhận các thay đổi trong chính sách kiểm toán Hệ thống sẽghi nhận lại khi bạn bạn thao tác quản trị trên các quyền hệthống như cấp hoặc xóa quyền của một ai đó
Audit process tracking Kiểm toán này theo dõi hoạt động của chương trình hay hệ điều
hành
Audit system event Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hoặc tắt
máy
2) Quyền hệ thống của người dùng (User Rights Assignment)
Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho người dùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời rạc
cho người dùng Cách thứ nhất bạn đã biết sử dụng ở chương trước, chỉ cần nhớ cácquyền hạn của từng nhóm tạo sẵn thì bạn có thể gán quyền cho người dùng theo yêucầu Để cấp quyền hệ thống cho người dùng theo theo cách thứ hai thì bạn phải dùng
công cụ Local Security Policy (nếu máy bạn không phải Domain Controller) hoặc
Domain Controller Security Policy (nếu máy bạn là Domain Controller) Trong hai
công cụ đó bạn mở mục Local Policy\ User Rights Assignment
Để thêm, bớt một quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vàoquyền hạn được chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách người dùng vànhóm hiện tại đang có quyền này Bạn có thể nhấp chuột vào nút Add để thêm người
dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove để xóa người dùng khỏi
Trang 26danh sách Ví dụ minh họa sau là bạn cấp quyền thay đổi giờ hệ thống (change the
system time) cho người dùng “Tuan”.
Danh sách một số quyền hệ thống cấp cho người dùng và nhóm:
Access This Computer
from the Network
Cho phép người dùng truy cập máy tính thông qua mạng Mặcđịnh mọi người đều có quyền này
Change the System Time Cho phép người dùng thay đổi giờ hệ thống của máy tính
Deny Access to This
Computer from the
Shut Down the System Cho phép người dùng shut down cục bộ
3) Các lựa chọn bảo mật (Security Options)
Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo
thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị
người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn (administrator,
guest) Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất nhiều lựa chọn
bảo mật, nhưng trong giáo trình này chúng ta chỉ khảo sát các lựa chọn thông dụng
Một số lựa chọn bảo mật thông dụng:
Shutdown: allow system to be shut
down without having to log on
Cho phép người dùng shutdown hệ thống màkhông cần logon
Audit : audit the access of global system
objects
Giám sát việc truy cập các đối tượng hệ thốngtoàn cục
Network security: force logoff when
logon hours expires
Tự động logoff khỏi hệ thống khi người dùng hếtthời gian sử dụng hoặc tài khoản hết hạn
Interactive logon: do not require Không yêu cầu ấn ba phím CTRL+ALT+DEL khi
Trang 27 So sánh giữa System Policy và Group Policy
- Chính sách nhóm chỉ xuất hiện trên miền Active Directory , nó không tồn tại trên
miền NT4
- Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống Tất nhiên chính sách nhóm chứa tất cả các chức năng của chính sách hệ thống và hơn thế nữa, bạn có thể dùng chính sách nhóm để triển khai một phần mềm cho một hoặc nhiều máy một cách
tự động - Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống
- Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống Các chính sách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào mạng thôi Các chính sách nhóm thì được áp dụng khi bạn bật máy lên, khi đăng nhập vào một cách tự động vào những thời điểm ngẫu nhiên trong suốt ngày làm việc
- Bạn có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc từng nhóm đối tượng
- Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy Win2K, WinXP và Windows Server 2003
Chức năng của Group Policy
- Triển khai phần mềm dụng: bạn có thể gom tất cả các tập tin cần thiết để cài đặt một phần mềm nào đó vào trong một gói (package), đặt nó lên Server, rồi dùng chính sách
nhóm hướng một hoặc nhiều máy trạm đến gói phần mềm đó Hệ thống sẽ tự động càiđặt phần mềm này đến tất cả các máy trạm mà không cần sự can thiệp nào của ngườidùng
- Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng của
chính sách hệ thống Nó có thể cấp cho một hoặc một nhóm người nào đó có quyền tắtmáy server, đổi giờ hệ thống hay backup dữ liệu…
- Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thể
kiểm soát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạyđược một vài ứng dụng nào đó thôi như: Outlook Express, Word hay Internet Explorer -
Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định hạn
Trang 28ngạch đĩa cho một người dùng nào đó Người dùng này chỉ được phép lưu trữ tối đa baonhiêu MB trên đĩa cứng theo qui định
- Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 và Windows Server 2003 thì hỗ trợ cả bốn sự kiện này được kích hoạt (trigger) một kịch bản (script) Bạn có thể dùng các GPO để kiểm soát những kịch bản nào đang chạy.
- Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng GPO để gỡ bỏ nhiều
tính năng khỏi Internet Explorer, Windows Explorer và những chương trình khác
- Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ bỏ hầu hết các
đề mục trên menu Start của một người dùng nào đó, ngăn chặn không cho người dùngcài thêm máy in, sửa đổi thông số cấu hình của máy trạm
Tạo và quả lí thư mục d ùng chung
1) Chia sẻ thư mục dùng chung
Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truyxuất và sử dụng thông qua mạng Muốn chia sẻ một thư mục dùng chung trên mạng, bạn
phải logon vào hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong Explorer bạn nhầp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing.
Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share
Permissions Share Permissions chỉ có hiệu lực khi người dùng truy cập qua mạng chứ
không có hiệu lực khi người dùng truy cập cục bộ Khác với NTFS Permissions là quản
lý người dùng truy cập dưới cấp độ truy xuất đĩa
Trong hộp thoại Share Permissions, chứa danh sách các quyền sau:
- Full Control: cho phép người dùng có toàn quyền
trên thư mục chia sẻ
- Change: cho phép người dùng thay đổi dữ liệu trên
tập tin và xóa tập tin trong thư mục chia sẻ
- Read: cho phép người dùng xem và thi hành các
tập tin trong thư mục chia sẻ
Bạn muốn cấp quyền cho người dùng thì nhấp chuột
vào nút Add
Hộp thoại chọn người dùng và nhóm xuất hiện, bạn
nhấp đôi chuột vào các tài khoản người dùng và
nhóm cần chọn, sau đó chọn OK
Trang 292) Các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm
Lệnh net user
Chức năng: tạo, xóa và hiển thị các tài nguyên chia sẻ.
Cú pháp:
net share sharename
net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"] net share sharename [/users:number | unlimited] [/remark:"text"]
net share {sharename | drive:path} /delete
- [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ
- [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tàinguyên dùng chung này
- [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tàinguyên dùng chung này
- [/remark:"text"]: thêm thông tin mô tả về tài nguyên này
- /delete: xóa thuộc tính chia sẻ của thư mục hiện tại
Lệnh net group
Chức năng: tạo mới thêm, hiển thị hoặc hiệu chỉnh nhóm
Cú pháp:
net group [groupname [/comment:"text"]] [/domain]
net group groupname {/add [/comment:"text"] | /delete} [/domain]
net group groupname username[ ] {/add | /delete} [/domain]
Ý nghĩa các tham số:
- Không tham số: dùng để hiển thị tên của Server và tên của các nhóm trên Server
đó
- [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa
- [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nộidung này có thể dài đến 48 ký tự
- [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng Tham số này chỉ
áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows
2000 Professional là thành viên của máy Windows 2000 Server domain
Trang 30- [username[ ]]: danh sách một hoặc nhiều người dùng cần thêm hoặc xóa rakhỏi nhóm, các tên này cách nhau bởi khoảng trắng
- [/add]: thêm một nhóm hoặc thêm một người dùng vào nhóm
- [/delete]: xóa một nhóm hoặc xóa một người dùng khỏi nhóm.
Lệnh net localgroup
Chức năng: thêm, hiển thị hoặc hiệu chỉnh nhóm cục bộ
Cú pháp:
net localgroup [groupname [/comment:"text"]] [/domain]
net localgroup groupname {/add [/comment:"text"] | /delete} [/domain]
net localgroup groupname name [ ] {/add | /delete} [/domain]
Ý nghĩa các tham số:
- Không tham số: dùng hiển thị tên server và tên các nhóm cục bộ trên máy tínhhiện tại
- [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa
- [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nộidung này có thể dài đến 48 ký tự
- [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng Tham số này chỉ
áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows
2000 Professional là thành viên của máy Windows 2000 Server domain
- [name [ ]]: danh sách một hoặc nhiều tên người dùng hoặc tên nhóm cần thêmvào hoặc xóa khỏi nhóm cục bộ Các tên này cách nhau bởi khoảng trắng
- [/add]: thêm tên một nhóm toàn cục hoặc tên người dùng vào nhóm cục bộ
- [/delete]: xóa tên một nhóm toàn cục hoặc tên người dùng khỏi nhóm cục bộ
Các lệnh hỗ trợ dịch vụ Active Driectory trong môi trường Windows Server 2003
Dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào trongdịch vụ Directory
Dsrm: xóa một đối tượng trong dịch vụ Directory
Dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụDirectory
Dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact,group, ou, server hoặc user trong một dịch vụ Directory
Dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trongmột dịch vụ Directory
Dsquery: truy vấn các thành phần trong dịch vụ Directory
Trang 31o Gia nhập user mới vào nhóm: dsmod group “CN=hs, CN=Users,DC=netclass, DC=edu, DC=vn” –addmbr “CN=hv10, CN=Users,DC=netclass, DC=edu, DC=vn”
3) Quyền truy cập NTFS
Có hai loại hệ thống tập được dùng cho partition và volume cục bộ là FAT (bao gồm
FAT16 và FAT32) FAT partition không hỗ trợ bảo mật nội bộ, còn NTFS partition thì
ngược lại có hỗ trợ bảo mật; có nghĩa là nếu đĩa cứng của bạn định dạng là FAT thì mọi
người đều có thể thao tác trên các file chứa trên đĩa cứng này, còn ngược lại là định
dạng NTFS thì tùy theo người dùng có quyền truy cập không, nếu người dùng không có quyền thì không thể nào truy cập được dữ liệu trên đĩa Hệ thống Windows Server 2003 dùng các ACL (Access Control List) để quản lý các quyền truy cập của đối tượng cục
bộ và các đối tượng trên Active Directory Một ACL có thể chứa nhiều ACE (Access
Control Entry) đại điện cho một người dùng hay một nhóm người.
Các công cụ phân quyền NTFS
- Tất cả quyền truy nhập cơ sở của NTFS là :
Traverse folder/execute file (đi xuyên qua folder / thi hành file).
List folder/read data (hiện thư mục, đọc dữ liệu).
Read attributes (đọc thuộc tính).
Read extended attributes (đọc thuộc tính mở rộng).
Create files/write data (tạo file, viết dữ liệu).
Create folders/append data (tạo folder, nối dữ liệu).
Write attributes (viết thuộc tính) Cho phép thay đổi các thuộc tính của file và
folder
Write extended attributes (viết thuộc tính mở rộng).
Delete subfolders and files (xóa folder con và file).
Delete (xóa).
Read permissions (đọc quyền).
Change permissions (đổi quyền).
Take ownership (đoạt chủ quyền).
- Khi phân quyền cho một folder, quyền đã phân sẽ có thể sẽ áp dụng lên cả các folder con và file bên trong, việc này gọi là thừa kế Việc thừa kế thực hiện theo một trong sáu kiểu sau đây
This folder only (chỉ folder này thôi) Quyền chỉ áp dụng cho folder này, không
thừa kế
This folder, subfolders and files (folder này, các folder con và các file) Quyền áp
dụng cho folder này, các folder con và các file Thừa kế toàn phần
This folder and subfolders (folder này và các folder con) Quyền áp dụng cho
folder này và các folder con Các folder con thừa kế
This folder and files (folder này và các file) Quyền áp dụng cho folder này và các
file Các file thừa kế
Trang 32 Subfolders and files only (các folder con và các file thôi) Quyền áp dụng chỉ cho
các folder con và các file Thừa kế toàn phần ngoại trừ bản thân
Subfolders only (chỉ các folder con thôi) Quyền áp dụng chỉ cho các folder con
Các folder thừa kế ngoại trừ bản thân
4) Kế thừa và thay thế quyền của đối tượng con.
Trong hộp thoại chính trên, chúng ta có thể nhấp chuột vào nút Advanced để cấu
hình chi tiết hơn cho các quyền truy cập của người dùng Khi nhấp chuột vào nút
Advanced, hộp thoại Advanced Security Settings xuất hiện, trong hộp thoại, nếu bạn
đánh dấu vào mục Allow inheritable permissions from parent to propagate to this
object and child objects thì thư mục hiện tại được thừa hưởng danh sách quyền truy
cập từ thư mục cha, bạn muốn xóa những quyền thừa hưởng từ thư mục cha bạn phải bỏ đánh dấu này Nếu danh sách quyền truy cập của thư mục cha thay đổi thì danh sách quyền truy cập của thư mục hiện tại cũng thay đổi theo
Ngoài ra nếu bạn đánh dấu vào mục Replace permission entries on all child
objects with entries shown here that apply to child objects thì danh sách quyền truy
cập của thư mục hiện tại sẽ được áp dụng xuống các tập tin và thư mục con có nghĩa là các tập tin và thư mục con sẽ được thay thế quyền truy cấp giống như các quyền đang hiển thị trong hộp thoại
Trang 33II Nội dung đồ án
Join Domain
Domain Controller DHCP Server DNS Server
- Sử dụng phần mềm tạo máy ảo VirtualBox Cài đặt hệ điều hành WindowsServer2k3 cho máy Server Máy Client cài đặt hệ điểu hành Windows Server2k3(hoặc Windows XP)
- Đặt địa chỉ IP cho máy SERVER ở mạng 192.168.1.X/24 (X: là số đề); đặt tênmáy Server và tên Domain theo qui tắc sau: Ví dụ tên thí sinh dự thi tốt nghiệp là
Lê Văn Khoa thì đặt tên máy là LVKSERVER và tên Domain là LVK.NET
- Nâng cấp máy Server lên Domain Controller
- Cài đặt và cấu hình dịch vụ DHCP trên máy Server
- Máy Client nhận IP được cấp từ DHCP Server
- Máy Client Join domain vào máy Server
B THỰC HIỆN
1 Tạo các object và đưa các user vào nhóm tương ứng (Lưu ý: Các đối tượng OU,
Group, User được tạo bằng lệnh Dsadd và lưu và file *.bat)
Đề 3
Trang 342 Roaming Profile cho các user “Sếp” Thư mục chứa roaming profile tên là
“Profiles”
3 Tạo hệ thống thư mục trên máy DC và phân quyền, share.
- Share cây thư mục sao cho các quyền đã cấp vẫn duy trì khi user truy cập qua mạng
- Điều chỉnh quyền sao cho các user chỉ có thể xóa dữ liệu của nhau
4 Deploy phần mềm Microsoft Office cho các user trong OU KeToan
5 Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử dụng
(Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password.
Cấm các user thuộc OU NhanSu sử dụng chương trình Notepad
Lưu ý: cấu hình sao cho GPO này không tác động lên các user “Sếp”.
6 Delegate Control cho phép kt1 được quản lý user account trong OU KeToan
7 Delegate Control cho phép ns1 được quản lý user account và group trong OU
NhanSu
8 Map Network Driver Folder Data bằng Script cho các user thuộc OU Kế toán
9 Giám sát quá trình logon không thành công của các user
10 Giám sát quá trình truy cập vào Folder DataKeToan của các user trong OU KeToan
HẾT
Trang 36 Vào Start > Control Panel > Add or Romove Programs
Chọn Add/Remove Windows Components > Networking Services > Click
Details…
Click chọn Domain Name System
(DNS) > OK > Next > Chọn nút
Finish để hoàn tất quá trình cài đặt
Lưu ý: bạn phải đảm bảo có đĩa CD
Windows 2003 trên máy
Cấu hình dịch vụ DNS
Cài Forward Lookup Zone : Forward Lookup Zone để phân giải địa chỉ Tên máy
(hostname) thành địa chỉ IP Để tạo zone này ta thực hiện các bước sau:
Vào Start > Administrative Tools > DNS
Cick chuột phải chọn Forward Lookup Zones >New Zone > Next
Trang 37Tại bảng Zone Type chọn Primary zone để cấu hình DNS Server chính > click next
Nhập tên Domain vào ô Zone name >Click Next
Từ hộp thoại Zone File, ta có thể tạo file lưu trữ cơ sở dữ liệu cho Zone(zonename.dns) hay ta có thể chỉ định Zone File đã tồn tại sẳn (tất cả các file này được lưu trữ tại
%systemroot%\system32\dns),Để mặc định chọn Next
Trang 38Chọn dòng 2 để cho phép cập nhật chỉnh sửa > Next
Xác nhận lại thông tin , nhấn Finish
Click chuột phải lên Zone vừa tạo chọn New Host
Trang 39Gõ tên host vào mục Name, gõ địa chỉ IP vào mục IP address Nếu muốn tạo ra một bản
ghi DNS phân giải ngược tương ứng thì đánh dấu chọn Create associated pointer
(PTR) record
Tạo Reverse Lookup Zone
Sau khi ta hoàn tất quá trình tạo Zone thuận ta sẽ tạo Zone nghịch (Reverse Lookup Zone) để hỗ trợ cơ chế phân giải địa chỉ IP thành tên máy(hostname) Để tạo Reverse
Lookup Zone ta thực hiện trình tự các bước sau:
Click chuột phải lên Reverse Lockup Zone > New Zone > Click Next
Trong hộp thoại Zone Type Chọn
Primary zone > Next
Trang 40Nhập Network ID > Next Click Next
Chọn Allow both nonsecure dynamic updates > Next >Xác nhận lại thông tin click
Finish
Click chuột phải chọn New Pointer (PTR)
Nhập phần Host IP và Brower Host name > OK
