ĐỒ án CHUYÊN đề MẠNG

Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa ngườidùng lưu trữ thông tin người dùng trong một tập tin SAM Security Accounts Managerngay chính trên máy tín

Buôn Ma Thuột - 10/2014

SỞ GIÁO DỤC ĐÀO TẠO

TRƯỜNG TRUNG CẤP TÂY NGUYÊN

ĐỒ ÁN CHUYÊN ĐỀ MẠNG

Giảng viên : Nguyễn Trần Hồng QuânSinh viên : Trịnh Văn Long

Lớp : CNTT 7A

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

  

Đăk Lăk, ngày 23 tháng 10 năm 2014Giáo viên

Nguyễn Trần Hồng Quân

I Table of Contents

Chương 1 CƠ SỞ LÍ THUYẾT 3

II Mạng máy tính 3

1 Mô hình Workgroup 3

2 Mô hình Domain 4

3 Active Directory 4

Kiến trúc của Active Directory 6

4 DNS 9 4.1 Giới thiệu DNS 9

4.2 Đặt điểm của DNS trong Windows 2003 11

4.3 Cơ chế phân giải tên 11

5 Tổng quát về DHCP 13 5.1 Giới thiệu dich vụ DHCP 13

5.2 Hoạt động của giao thức DHCP 13

6 Tài khoản người dùng 14 6.1 Tài khoản người dùng (user account) 14

6.2 Tài khoản người dùng cục bộ (local user account) 14

6.3 Tài khoản người dùng miền (Domain user account) 14

6.4 Tài khoản nhóm 15

6.5 Quản lí tài khoản người dùng và nhóm trên ACTIVE DIRECTORY 15

7 Chính sách hệ thống 20 7.1 Chính sách tài khoản người dùng 20

7.2 Chính sách mật khẩu 21

7.3 Chính sách khóa tài khoản 21

8 Chính sách cục bộ 22 8.1 Chính sách kiểm toán (Audit Policies) 22

8.2 Các lựa chọn trong chính sách kiểm toán: 22

8.3 Quyền hệ thống của người dùng (User Rights Assignment) 23

8.4 Các lựa chọn bảo mật (Security Options) 24

9 Chính sách nhóm 25 9.1 So sánh giữa System Policy và Group Policy 25

9.2 Chức năng của Group Policy 25

9.3 Chia sẻ thư mục dùng chung 26

9.4 Các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm 27

10 Quyền truy cập NTFS 29 10.1 Các công cụ phân quyền NTFS 30

10.2 Kế thừa và thay thế quyền của đối tượng con 31

Chương 2 NỘI DUNG ĐỒ ÁN 32

B THỰC HIỆN 34

1 Đặt địa chỉ IP và đặt tên 34

2 Cài đặt DNS trên Server 35

3 Cài đặt dịch vụ DHCP45

4 Lên Domain controler 50

5 Join máy client vào hệ thống Domain 54

6 Câu 1 : Tạo các object và đưa các user vào nhóm tương ứng 57

7 Câu 2 : Roaming Profile cho các user “Sếp” Thư mục chứa roaming profile tên là

“Profiles” 58

8 Câu 3 : Tạo cây thư mục và phân quyền 60

9 Câu 4 : Deploy phần mềm Microsoft Office cho các user trong OU KeToan 70

10 Câu 5 : Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử

dụng (Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password. 73

11 Câu 6 : Delegate Control cho phép kt1 được quản lý user account trong OU KeToan 78

12 Câu 7 : Delegate Control cho phép ns1 được quản lý user account và group trong

13 Câu 8: Map Network Driver Folder Data bằng Script cho các user thuộc OU Kếtoan81

14 Câu 9: Giám sát quá trình logon không thành công của các user 83

15 Câu 10: Giám sát quá trình truy cập vào Folder DataKeToan của các user trong

TÀI LIỆU THAM KHẢO 87

Chương 1 CƠ SỞ LÍ THUYẾT

II Mạng máy tính

Mạng máy tính hay hệ thống mạng (tiếng Anh: computer network hay network system)

là sự kết hợp các máy tính lại với nhau thông qua các thiết bị nối kết mạng và phươngtiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo một cấu trúc nào đó vàcác máy tính này trao đổi thông tin qua lại với nhau

Lợi ích của mạng máy tính

 Nhiều người có thể dùng chung một phần mềm tiện ích

 Một nhóm người cùng thực hiện một đề án nếu nối mạng họ sẽ dùng chung dữliệu của đề án, dùng chung tập tin chính (master file) của đề án, họ trao đổi thôngtin với nhau dễ dàng

 Dữ liệu được quản lý tập trung nên bảo mật an toàn, trao đổi giữa những người

sử dụng thuận lợi, nhanh chóng, backup dữ liệu tốt hơn

 Sử dụng chung các thiết bị máy in, máy scaner, đĩa cứng và các thiết bị khác

 Người sử dụng và trao đổi thông tin với nhau dễ dàng thông qua dịch vụ thư điện

tử (Email), dịch vụ Chat, dịch vụ truyền file (FTP), dịch vụ Web,

 Xóa bỏ rào cản về khoảng cách địa lý giữa các máy tính trong hệ thống mạngmuốn chia sẻ và trao đổi dữ liệu với nhau

 Một số người sử dụng không cần phải trang bị máy tính đắt tiền (chi phí thấp màchức năng lại mạnh)

 Cho phép người lập trình ở một trung tâm máy tính này có thể sử dụng cácchương trình tiện ích, vùng nhớ của một trung tâm máy tính khác đang rỗi để làmtăng hiệu quả kinh tế của hệ thống

 An toàn cho dữ liệu và phần mềm vì nó quản lý quyền truy cập của các tài khoảnngười dùng (phụ thuộc vào các chuyên gia quản trị mạng)

Các mô hình mạng trong môi trường MICROSOFT

1 Mô hình Workgroup

Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình mà trong

đó các máy tính có vai trò như nhau được nối kết với nhau Các dữ liệu và tài nguyênđược lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên cục bộ củamình Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệthống mạng Mô hình này chỉ phù hợp với các mạng nhỏ, dưới mười máy tính và yêucầu bảo mật không cao

Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa ngườidùng lưu trữ thông tin người dùng trong một tập tin SAM (Security Accounts Manager)ngay chính trên máy tính cục bộ Thông tin này bao gồm: username (tên đăng nhập),fullname, password, description… Tất nhiên tập tin SAM này được mã hóa nhằm tránhngười dùng khác ăn cấp mật khẩu để tấn công vào máy tính Do thông tin người dùngđược lưu trữ cục bộ trên các máy trạm nên việc chứng thực người dùng đăng nhập máytính cũng do các máy tính này tự chứng thực

2 Mô hình Domain

Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế client-server,trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng(Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng.Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại cácServer trong miền Mô hình này được áp dụng cho các công ty vừa và lớn Trong môhình Domain của Windows Server 2003 thì các thông tin người dùng được tập trung lại

do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng(domain controller) với tên tập tin là NTDS.DIT Tập tin cơ sở dữ liệu này được xâydựng theo công nghệ tương tự như phần mềm Access của Microsoft nên nó có thể lưutrữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũ chỉ lưu trữ được khoảng 5nghìn tài khoản người dùng Do các thông tin người dùng được lưu trữ tập trung nênviệc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiểnvùng chứng thực

3 Active Directory

Active Directory là một dịch vụ quản lý thư mục có thể chứa các thông tin về các máytính trong mạng, người dùng mạng, máy in, ứng dụng trên mạng, Bằng cách lưu trữthông tin trong một thư mục trung tâm nên tất cả các tài nguyên này đều có thể được sửdụng chung đối với tất cả mọi người ở mọi thời điểm Mô hình Domain (Miền) là mộtkiến trúc thư mục có phân cấp các tài nguyên – Active Directory – và được sử dụng bởitất cả các hệ thống là thành viên của Miền Các hệ thống này có thể sử dụng các tàikhoản người dùng, nhóm và máy tính trong trong thư mục để bảo mật các tài nguyêncủa chúng Do đó Active Directory đóng vai trò như một trung tâm lưu trữ nhận thực,cung cấp một danh sách tin cậy chỉ ra “ai là ai” trong Miền Bản thân Active Directoryđóng vai trò là một cơ sở dữ liệu, nó chứa một danh sách các thành phần hỗ trợ, baogồm cả các nhật ký giao dịch (transaction log) và dữ liệu hệ thống (sysvol), ở đây chứacác thông tin về kịch bản đăng nhập và chính sách nhóm Active Directory sử dụng giaothức LDAP (Lightweight Directory Access Protocol), giao thức bảo mật Kerberos, cácchu trình đồng bộ dữ liệu và dịch vụ đồng bộ file FRS (File Replication Service)

Chính sách nhóm (Group Policy) Do cách thức thừa hưởng các thiết lập từ đối tượngmức cha truyền xuống mức con, người quản trị có thể sử dụng các OU để gom các đốitượng cần cấu hình tương tự nhau Các thiết lập cấu hình mà được áp dụng đến từngmáy tính chạy Windows cũng có thể quản trị một cách tập trung nhờ sử dụng một tínhnăng của Active Directory gọi là chính sách nhóm (Group Policy) Các chính sách nhómcho phép xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành vàcách thức hoạt động của các ứng dụng trên một máy tính mà không cần thiết phải thựchiện trực tiếp trên máy tính cần thiết lập Việc thiết lập các tùy chọn cấu hình trên mộtđối tượng đặc biệt của Active Directory gọi là đối tượng chính sách nhóm GPO (GroupPolicy Object) sau đó kết nối các GPO này vào các đối tượng trong Active Directorychứa các máy tính hoặc người dùng muốn áp dụng

 Hệ thống xác thực tập trung là ứng dụng trung gian, hoạt động như một dịch vụ,kiểm tra tính hợp lệ và quyền truy cập của người dùng đối với các ứng dụng vàcác tài nguyên trên mạng - Cổng thông tin điện tử đóng vai trò cổng vào tậptrung, thống nhất đối với tất cả các ứng dụng, tài nguyên trên mạng b) Các chínhsách bảo mật máy trạm

 Thiết lập các quyền truy cập tài nguyên mạng theo chức năng nhiệm vụ cho từngnhóm đối tượng - Các máy trạm khai thác số liệu kinh doanh chỉ được quyền sửdụng ứng dụng cho phép, không được quyền cài đặt bất kỳ phần mềm nào khác -Triển khai từ xa các phần mềm ứng dụng cho các máy trạm - Triển khai từ xacác phần mềm anti-virus cho các máy trạm, đồng thời thực hiện việc rà quét từxa

 Kiểm soát tình trạng kết nối của các máy trạm - Kiểm soát tình trạng đăng nhập,

sử dụng tài nguyên của người dùng

Kiến trúc của Active Directory bao gồm Objects, Organizational Units, Domain ,Domain Tree, Forest

Kiến trúc của Active Directory

1) Objects

Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Objectclasses và Attributes Object classes là một bản thiết kế mẫu hay một khuôn mẫu chocác loại đối tượng mà bạn có thể tạo ra trong Active Directory Có ba loại object classesthông dụng là: User, Computer, Printer Khái niệm thứ hai là Attributes, nó được địnhnghĩa là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể Như vậyObject là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộctính của object classes Ví dụ hình sau minh họa hai đối tượng là: máy in ColorPrinter1

và người dùng KimYoshida

2) Organizational Units

Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là một

vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụcho mục đích quản trị của bạn OU cũng được thiết lập dựa trên subnet IP và được địnhnghĩa là “một hoặc nhiều subnet kết nối tốt với nhau” Việc sử dụng OU có hai côngdụng chính sau:

- Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bịmạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ

đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống

- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OUthông qua việc sử dụng các đối tượng chính sách nhóm (GPO), các chính sách nhóm nàychúng ta sẽ tìm hiểu ở các chương sau

3) Domain

Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory Nó làphương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ cónhững qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào cácServer dễ dàng hơn Domain đáp ứng ba chức năng chính sau: - Đóng vai trò như mộtkhu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩaquản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chínhsách bảo mật, các quan hệ ủy quyền với các domain khác

- Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ

- Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller),đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau

4) Domain Tree

Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúchình cây Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thưmục Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domaincon (child domain) Tên của các domain con phải khác biệt nhau Khi một domain root

và ít nhất một domain con được tạo ra thì hình thành một cây domain Khái niệm nàybạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục Bạn có thể thấy cấu trúc

sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện

5) Forest

Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest làtập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau Ví dụ giả sử mộtcông ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác Thông thường,mỗi công ty đều có một hệ thống Domain Tree riêng và để tiện quản lý, các cây này sẽđược hợp nhất với nhau bằng một khái niệm là rừng

Trong ví dụ trên, công ty mcmcse.com thu mua được techtutorials.com và xyzabc.com

và hình thành rừng từ gốc mcmcse.c

6) Domain Controller

Domain Controller là hệ thống máy chủ được thiết lập để quản lý một Domain MộtDomain có thể có nhiều Domain Controller Một máy chủ để trở thành DomainController bắt buộc phải cài đặt và khởi tạo Active Directory Domain Controller quản

lý Domain của mình thông qua Active Directory đó,tính hoặc các nhóm khác, độc lậptrong cấu trúc của Active Directory Các nhóm có thể chứa các đối tượng từ các OU vàcác Miền Thư mục chia sẻ: cung cấp các truy nhập dựa trên Active Directory đến mộtthư mục chia sẻ trong một máy tính Windows Máy in: Cung cấp các truy nhập mạngdựa trên Active Directory đến một máy in trong một máy tính Windows Mỗi đối tượngActive Directory có chứa một tập hợp các thuộc tính, chính là các thông tin về đối tượng

đó Ví dụ, đối tượng người dùng sẽ có các thuộc tính mô tả tên tài khoản, mật khẩu, địachỉ, số điện thoại,…; Một đối tượng nhóm sẽ có các thuộc tính cho biết danh sách ngườidùng là thành viên của nhóm đó,… Bên cạnh các thuộc tính thuần túy thông tin, các đốitượng còn có các thuộc tính thực hiện các chức năng quản trị, ví dụ như một Danh sáchkiểm soát truy nhập ACL (Access Control List) chỉ định những ai được phép truy cậpđến đối tượng đó

IP Vì thế, người ta nghĩ ra cách làm sao ánh xạ địa chỉ IP thành tên máy tính

Ban đầu do quy mô mạng ARPA NET (tiền thân của mạng Internet) còn nhỏ chỉ vàitrăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lưu thông tin về ánh xạ tên máythành địa chỉ IP Trong đó tên máy chỉ là 1 chuỗi văn bản không phân cấp (flat name).Tập tin này được duy trì tại 1 máy chủ và các máy chủ khác lưu giữ bản sao của nó Tuynhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOSTS.TXT có các nhược điểmnhư sau:

- Lưu lượng mạng và máy chủ duy trì tập tin HOSTS.TXT bị quá tải do hiệu ứng “cổchai”

- Xung đột tên: Không thể có 2 máy tính có cùng tên trong tập tin HOSTS.TXT Tuynhiên do tên máy không phân cấp và không có gì đảm bảo để ngăn chặn việc tạo 2 têntrùng nhau vì không có cơ chế uỷ quyền quản lý tập tin nên có nguy cơ bị xung đột tên

- Không đảm bảo sự toàn vẹn: việc duy trì 1 tập tin trên mạng lớn rất khó khăn Ví dụnhư khi tập tin HOSTS.TXT vừa cập nhật chưa kịp chuyển đến máy chủ ở xa thì đã có

sự thay đổi địa chỉ trên mạng rồi

Tóm lại việc dùng tập tin HOSTS.TXT không phù hợp cho mạng lớn vì thiếu cơ chếphân tán và mở rộng Do đó, dịch vụ DNS ra đời nhằm khắc phục các nhược điểm này.Người thiết kế cấu trúc của dịch vụ DNS là Paul Mockapetris - USC's InformationSciences Institute, và các khuyến nghị RFC của DNS là RFC 882 và 883, sau đó là RFC

1034 và 1035 cùng với 1 số RFC bổ sung như bảo mật trên hệ thống DNS, cập nhậtđộng các bản ghi DNS …

Lưu ý: Hiện tại trên các máy chủ vẫn sử dụng được tập tin hosts.txt để phân giải tên máytính thành địa chỉ IP (trong Windows tập tin này nằm trong thư mục WINDOWS\system32\drivers\etc)

Dịch vụ DNS hoạt động theo mô hình Client-Server: phần Server gọi là máy chủ phục

vụ tên hay còn gọi là Name Server, còn phần Client là trình phân giải tên - Resolver.Name Server chứa các thông tin CSDL của DNS, còn Resolver đơn giản chỉ là các hàmthư viện dùng để tạo các truy vấn (query) và gửi chúng qua đến Name Server DNSđược thi hành như một giao thức tầng Application trong mạng TCP/IP DNS là 1 CSDLphân tán Điều này cho phép người quản trị cục bộ quản lý phần dữ liệu nội bộ thuộcphạm vi của họ, đồng thời dữ liệu này cũng dễ dàng truy cập được trên toàn bộ hệ thốngmạng theo mô hình Client-Server Hiệu suất sử dụng dịch vụ được tăng cường thôngqua cơ chế nhân bản (replication) và lưu tạm (caching) Một hostname trong domain là

sự kết hợp giữa những từ phân cách nhau bởi dấu chấm(.)

Cơ sở dữ liệu(CSDL) của DNS là một cây đảo ngược Mỗi nút trên cây cũng lại là gốccủa 1 cây con Mỗi cây con là 1 phân vùng con trong toàn bộ CSDL DNS gọi là 1 miền(domain) Mỗi domain có thể phân chia thành các phân vùng con nhỏ hơn gọi là cácmiền con (subdomain) Mỗi domain có 1 tên (domain name) Tên domain chỉ ra vị trícủa nó trong CSDL DNS Trong DNS tên miền là chuỗi tuần tự các tên nhãn tại nút đó

đi ngược lên nút gốc của cây và phân cách nhau bởi dấu chấm Tên nhãn bên phải trongmỗi domain name được gọi là top-level domain Trong ví dụ trướcsrv1.csc.hcmuns.edu.vn, vậy miền “.vn” là top-level domain Bảng sau đây liệt kê top-level domain

.net Các trung tâm hỗ trợ về mạng

.int Các tổ chức được thành lập bởi các hiệp ước quốc tế

Vì sự quá tải của những domain name đã tồn tại, do đó đã làm phát sinh những top-leveldomain mới Bảng sau đây liệt kê những top-level domain mới

arts Những tổ chức liên quan đến nghệ thuật và kiến trúc

.rec Những tổ chức có tính chất giải trí, thể thao

.info Những dịch vụ liên quan đến thông tin

Bên cạnh đó, mỗi nước cũng có một top-level domain Ví dụ top-leveldomain của ViệtNam là vn, Mỹ là us, ta có thể tham khảo thêm thông tin địa chỉ tên miền tại địa chỉ:http://www.thrall.org/domains.htm

Ví dụ về tên miền của một số quốc gia

Tên miền quốc gia Tên quốc gia

- Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải dựa theotên domain trong yêu cầu truy vấn - Stub zone: hỗ trợ cơ chế phân giải hiệu quả hơn -Đồng bộ các DNS zone trong Active Directory (DNS zone replication in ActiveDirectory) - Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống Windows trướcđây - Luân chuyển (Round robin) tất cả các loại RR - Cung cấp nhiêu cơ chế ghi nhận

và theo dõi sự cố lỗi trên DNS

- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính năng bảomật cho việc lưu trữ và nhân bản (replicate) zone - Cung cấp tính năng EDNS0(Extension Mechanisms for DNS) để cho phép DNS Requestor quản bá những zonetransfer packet có kích thước lớn hơn 512 byte

4.3 Cơ chế phân giải tên

 Phân giải tên thành IP

Root name server : Là máy chủ quản lý các name server ở mức top-level domain Khi cótruy vấn về một tên miền nào đó thì Root Name Server phải cung cấp tên và địa chỉ IPcủa name server quản lý top-level domain (Thực tế là hầu hết các root server cũng chính

là máy chủ quản lý top-level domain) và đến lượt các name server của top-level domaincung cấp danh sách các name server có quyền trên các second-level domain mà tên miềnnày thuộc vào Cứ như thế đến khi nào tìm được máy quản lý tên miền cần truy vấn.Qua trên cho thấy vai trò rất quan trọng của root name server trong quá trình phân giảitên miền Nếu mọi root name server trên mạng Internet không liên lạc được thì mọi yêucầu phân giải đều không thực hiện được

Client sẽ gửi yêu cầu cần phân giải địa chỉ IP của máy tính có tên girigiri.gbrmpa.gov.auđến name server cục bộ Khi nhận yêu cầu từ Resolver, Name Server cục bộ sẽ phân tíchtên này và xét xem tên miền này có do mình quản lý hay không Nếu như tên miền doServer cục bộ quản lý, nó sẽ trả lời địa chỉ IP của tên máy đó ngay cho Resolver Ngượclại, server cục bộ sẽ truy vấn đến một Root Name Server gần nhất mà nó biết được RootName Server sẽ trả lời địa chỉ IP của Name Server quản lý miền au Máy chủ nameserver cục bộ lại hỏi tiếp name server quản lý miền au và được tham chiếu đến máy chủquản lý miền gov.au Máy chủ quản lý gov.au chỉ dẫn máy name server cục bộ thamchiếu đến máy chủ quản lý miền gbrmpa.gov.au Cuối cùng máy name server cục bộtruy vấn máy chủ quản lý miền gbrmpa.gov.au và nhận được câu trả lời

Các loại truy vấn : Truy vấn có thể ở 2 dạng :

- Truy vấn đệ quy (recursive query) : khi name server nhận được truy vấn dạng này, nóbắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này khôngphân giải được Name server không thể tham chiếu truy vấn đến một name server khác

Name server có thể gửi truy vấn dạng đệ quy hoặc tương tác đến name server khácnhưng phải thực hiện cho đến khi nào có kết quả mới thôi

- Truy vấn tương tác (Iteractive query): khi name server nhận được truy vấn dạng này,

nó trả lời cho Resolver với thông tin tốt nhất mà nó có được vào thời điểm lúc đó Bảnthân name server không thực hiện bất cứ một truy vấn nào thêm Thông tin tốt nhất trả

về có thể lấy từ dữ liệu cục bộ (kể cả cache) Trong trường hợp name server không tìmthấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của name server gần nhất

mà nó biết

 Phân giải IP thành tên máy tính

Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịch các tập tin log cho dễ đọchơn Nó còn dùng trong một số trường hợp chứng thực trên hệ thống UNIX (kiểm tracác tập tin rhost hay host.equiv) Trong không gian tên miền đã nói ở trên dữ liệu -baogồm cả địa chỉ IP- được lập chỉ mục theo tên miền Do đó với một tên miền đã cho việctìm ra địa chỉ IP khá dễ dàng Để có thể phân giải tên máy tính của một địa chỉ IP, trongkhông gian tên miền người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mụctheo địa chỉ IP Phần không gian này có tên miền là in- addr.arpa

Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập phân của địa chỉ IP Ví

dụ miền in- addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ 0 đến 255của byte đầu tiên trong địa chỉ IP Trong mỗi subdomain lại có 256 subdomain con nữaứng với byte thứ hai Cứ như thế và đến byte thứ tư có các bản ghi cho biết tên miền đầy

đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng

L ưu ý khi đọc tên miền địa chỉ IP sẽ xuất hiện theo thứ tự ngược Ví dụ nếu địa chỉ IP của máy winnie.corp.hp.com là 15.16.192.152, khi ánh xạ vào miền in-addr.arpa sẽ là 152.192.16.15.in- addr.arpa.

5 Tổng quát về DHCP

5.1 Giới thiệu dich vụ DHCP

- Dịch vụ DHCP cho phép chúng ta cấp động các thông số cấu hình mạng cho các máytrạm (client) Các hệ điều hành của Microsoft và các hệ điều hành khác như Unix hoặcMacintosh đều hỗ trợ cơ chế nhận các thông số động, có nghĩa là trên các hệ điều hànhnày phải có một DHCP Client

- Cơ chế sử dụng các thông số mạng được cấp phát động có ưu điểm hơn so với cơ chếkhai báo tĩnh các thông số mạng như:

Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ thống mạng

Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP thật (PublicIP).

Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng

Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot như: nhà

ga, sân bay, trường học…

5.2 Hoạt động của giao thức DHCP

Giao thức DHCP làm việc theo mô hình client/server Theo đó, quá trình tương tác giữaDHCP client và server diễn ra theo các bước sau:

- Khi máy client khởi động, máy sẽ gửi broadcast gói tin DHCPDISCOVER, yêu cầumột server phục vụ mình Gói tin này cũng chứa địa chỉ MAC của máy client

- Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu còn khả năng cungcấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê mộtđịa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet mask và địa chỉcủa Server Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho những Client khác trongsuốt quá trình thương thuyết

- Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCPOFFER) và gửi broadcastlại gói tin DHCPREQUEST chấp nhận lời đề nghị đó Điều này cho phép các lời đềnghị không được chấp nhận sẽ được các Server rút lại và dùng đề cấp phát cho Clientkhác

- Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCPACK như làmột lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó và thời hạn cho sử dụng đó

sẽ chính thức được áp dụng Ngoài ra Server còn gửi kèm theo những thông tin cấu hình

bổ sung như địa chỉ của gateway mặc định, địa chỉ DNS Server, …

6 Tài khoản người dùng

6.1 Tài khoản người dùng (user account)

Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho ngườidùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username.Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trênmạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng màmình được phép

6.2 Tài khoản người dùng cục bộ (local user account)

Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được địnhnghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục

bộ Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lạivới máy domain controller hoặc máy tính chứa tài nguyên chia sẻ Bạn tạo tài khoảnngười dùng cục bộ với công cụ Local Users and Group trong Computer Management(COMPMGMT.MSC)

Các tài khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc các máytrạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager).Tập tin SAM này được đặt trong thư m ục \Windows\system32\config

6.3 Tài khoản người dùng miền (Domain user account)

Tài khoản người dùng miền (domain user account) là tài khoản người dùng được địnhnghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máytrạm nào thuộc vùng Đồng thời với tài khoản này người dùng có thể truy cập đến các tàinguyên trên mạng Bạn tạo tài khoản người dùng miền với công cụ Active DirectoryUsers and Computer (DSA.MSC) Khác với tài khoản người dùng cục bộ, tài khoảnngười dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tinNTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS

Yêu cầu về tài khoản người dùng.

- Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng nhập cóthể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows

NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự)

- Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của ngườidùng và nhóm không được trùng nhau

- Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >

- Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu, khoảngtrắng, dấu gạch ngang, dấu gạch dưới Tuy nhiên, nên tránh các khoảng trắng vì nhữngtên như thế phải đặt trong dấu ngoặc khi dùng các kịch bản hay dòng lệnh

6.4 Tài khoản nhóm

Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào

đó, dùng cho việc quản lý chung các đối tượng người dùng Việc phân bổ các ngườidùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mụcchia sẻ, máy in Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tàikhoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý Tài khoản nhóm được

chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distributiongroup)

6.5 Quản lí tài khoản người dùng và nhóm trên ACTIVE DIRECTORY

a) Tạo mới tài khoản người dùng

Bạn có thể dùng công cụ Active Directory User and Computers trong AdministrativeTools ngay trên máy Domain Controller để tạo các tài khoản người dùng miền Công cụnày cho phép bạn quản lý tài khoản người dùng từ xa thậm chí trên các máy trạm khôngphải dùng hệ điều hành Server như WinXP, Win2K Pro Muốn thế trên các máy trạmnày phải cài thêm bộ công cụ Admin Pack Bộ công cụ này nằm trên Server trong thưmục \Windows\system32\ADMINPAK.MSI Tạo một tài khoản người dùng trên ActiveDirectory, ta làm các bước sau: Chọn Start > Programs > Administrative Tools > ActiveDirectory Users and Computers Cửa sổ Active Directory Users and Computers xuấthiện, bạn nhấp phải chuột vào mục Users, chọn New > Use

Hộp thoại New Object-User xuất hiện như hình sau, bạn nhập tên mô tả người dùng, têntài khoản logon vào mạng Giá trị Full Name sẽ tự động phát sinh khi bạn nhập giá trịFirst Name và Last Name, nhưng bạn vẫn có thể thay đổi được Chú ý: giá trị quan trọngnhất và bắt buộc phải có là logon name (username) Chuỗi này là duy nhất cho một tàikhoản người dùng theo như định nghĩa trên phần lý thuyết Trong môi trường Windows

2000 và 2003, Microsoft đưa thêm một khái niệm hậu tố UPN (Universal PrincipalName), trong ví dụ này là “@netclass.edu.vn” Hậu tố UPN này gắn vào sau chuỗiusername dùng để tạo thành một tên username đầy đủ dùng để chứng thực ở cấp rừnghoặc chứng thực ở một miền khác có quan hệ tin cậy với miền của người dùng đó, trong

ví dụ này thì tên username đầy đủ là “tuan@netclass.edu.vn” Ngoài ra trong hộp thoạinày cũng cho phép chúng ta đặt tên username của tài khoản người dùng phục vụ cho hệthống cũ (pre-Windows 2000) Sau khi việc nhập các thông tin hoàn thành bạn nhấpchuột vào nút Next để tiếp tục

Hộp thoại thứ hai xuất hiện, cho phép bạn nhập vào mật khẩu (password) của tài khoảnngười dùng và đánh dấu vào các lựa chọn liên quan đến tài khoản như: cho phép đổi mậtkhẩu, yêu cầu phải đổi mật khẩu lần đăng nhập đầu tiên hay khóa tài khoản Các lựachọn này chúng ta sẽ tìm hiểu chi tiết ở phần tiếp theo.

Hộp thoại cuối cùng xuất hiện và nó hiển thị các thông tin đã cấu hình cho người dùng.Nếu tất cả các thông tin đã chính xác thì bạn nhấp chuột vào nút Finish để hoàn thành,còn nếu cần chỉnh sửa lại thì nhấp chuột vào nút Back để trở về các hộp thoại trước

b) Các thuộc tính của tài khoản người dùng

Muốn quản lý các thuộc tính của các tài khoản người ta dùng công cụ Active DirectoryUsers and Computers sau đó chọn thư mục Users và nhấp đôi chuột vào tài khoản ngườidùng cần khảo sát Hộp thoại Properties xuất hiện, trong hộp thoại này chứa 12 Tabchính, ta sẽ lần lượt khảo sát các Tab này

Tab General

Tab General chứa các thông tin chung của người dùng trên mạng mà bạn đã nhập tronglúc tạo người dùng mới Đồng thời bạn có thể nhập thêm một số thông tin như: số điệnthoại, địa chỉ mail và trang địa chỉ trang Web cá nhân

Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản người dùng:

User cannot change password Nếu được chọn thì ngăn không cho người

dùng tùy ý thay đổi mật khẩu.

Password never expires Nếu được chọn thì mật khẩu của tài khoản

này không bao giờ hết hạn

Store password using reversible

encryption

Chỉ áp dụng tùy chọn này đối với ngườidùng đăng nhập từ các máy Apple

Account is disabled Nếu được chọn thì tài khoản này tạm thời

bị khóa, không sử dụng được

Smart card is required for interactive

login

Tùy chọn này được dùng khi người dùngđăng nhập vào mạng thông qua một thẻthông minh (smart card), lúc đó ngườidùng không nhập username và password

mà chỉ cần nhập vào một số PIN

Account is trusted for delegation

Chỉ áp dụng cho các tài khoản dịch vụnào cần giành được quyền truy cập vào tàinguyên với vai trò những tài khoản ngườidùng khác

Account is sensitive and cannot be

delegated

Dùng tùy chọn này trên một tài khoảnkhách vãng lai hoặc tạm để đảm bảo rằngtài khoản đó sẽ không được đại diện bởimột tài khoản khác

Use DES encryption types for this

account

Nếu được chọn thì hệ thống sẽ hỗ trợData Encryption Standard (DES) vớinhiều mức độ khác nhau

preauthentication

Nếu được chọn hệ thống sẽ cho phép tàikhoản này dùng một kiểu thực hiện giaothức Kerberos khác với kiểu củaWindows Server 2003

Tab Profile

Tab Profile cho phép bạn khai báo đường dẫn đến Profile của tài khoản người dùng hiệntại, khai báo tập tin logon script được tự động thi hành khi người dùng đăng nhập haykhai báo home folder Chú ý các tùy chọn trong Tab Profile này chủ yếu phục vụ chocác máy trạm trước Windows 2000, còn đối với các máy trạm từ Win2K trở về sau như:

Win2K Pro, WinXP, Windows Server 2003 thì chúng ta có thể cấu hình các lựa chọnnày trong Group Policy.

Tab Member Of

Tab Member Of cho phép bạn xem và cấu hình tài khoản người dùng hiện tại là thànhviên của những nhóm nào Một tài khoản người dùng có thể là thành viên của nhiềunhóm khác nhau và nó được thừa hưởng quyền của tất cả các nhóm này

Tab Dial-in

Tab Dial-in cho phép bạn cấu hình quyền truy cập từ xa của người dùng cho kết nốidial-in hoặc VPN, chúng ta sẽ khảo sát chi tiết ở chương Routing and Remote Access

7 Chính sách hệ thống

7.1 Chính sách tài khoản người dùng

Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số

về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra Nó cho phépbạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thựcKerberos trong vùng Nếu trên Server thành viên thì bạn sẽ thấy hai mục PasswordPolicy và Account Lockout Policy, trên máy Windows Server 2003 làm domaincontroller thì bạn sẽ thấy ba thư mục Password Policy, Account Lockout Policy vàKerberos Policy Trong Windows Server 2003 cho phép bạn quản lý chính sách tàikhoản tại hai cấp độ là: cục bộ và miền

Muốn cấu hình các chính sách tài khoản người dùng ta vào Start > Programs >Administrative Tools > Domain Security Policy hoặc Local Security Policy

7.2 Chính sách mật khẩu

Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu củangười dùng để trách các trường hợp đăng nhập bất hợp pháp vào hệ thống Chính sáchnày cho phép bạn qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mậtkhẩu…

Các lựa chọn trong chính sách mật mã:

Enforce Password History Số lần đặt mật mã không được trùng nhau

Maximum Password Age Quy định số ngày nhiều nhất mà mật mã người

dùng có hiệu lực

Minimum Password Age Quy số ngày tối thiểu trước khi người dùng có thể

thay đổi mật mã

Minimum Password Length Chiều dài ngắn nhất của mật mã

Passwords Must Meet

Complexity Requirements

Mật khẩu phải có độ phức tạp như: có ký tự hoa, thường, có ký số

Store Password Using

Reversible Encryption for All

Users in the Domain

Mật mã người dùng được lưu dưới dạng mã hóa

7.3 Chính sách khóa tài khoản

Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểmkhóa tài khoản trong vùng hay trong hệ thống cục bộ Chính sách này giúp hạn chế tấncông thông qua hình thức logon từ xa

Các thông số cấu hình chính sách khóa tài khoản:

Account Lockout Threshold Quy định số l ần cố g ắng đăng nhập trước khi tài

khoản bị khóaAccount Lockout Duration Quy định thời gian khóa tài khoản

Reset Account Lockout

8.1 Chính sách kiểm toán (Audit Policies)

Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiệnxảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng Bạn có thểxem các ghi nhận này thông qua công cụ Event Viewer, trong mục Security

8.2 Các lựa chọn trong chính sách kiểm toán:

Chính sách Mô tả

Audit Account Logon

Events

Kiểm toán những sự kiện khi tài khoản đăng nhập,

hệ thống sẽ ghi nhận khi người dùng logon, logoffhoặc tạo một kết nối mạng

Management

Hệ thống sẽ ghi nhận khi tài khoản người dùnghoặc nhóm có sự thay đổi thông tin hay các thao tácquản trị liên quan đến tài khoản người dùng

Audit Directory

Service Access Ghi nhân việc truy cập các dịch vụ thư mục

Audit Logon Events

Ghi nhân các sự kiện liên quan đến quá trình logonnhư thi hành một logon script hoặc truy cập đến mộtroaming profile

Audit Object Access Ghi nhận việc truy cập các tập tin, thư mục, và máy

tin

Audit privilege use

Ghi nhận các thay đổi trong chính sách kiểm toán

Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quảntrị trên các quyền hệ thống như cấp hoặc xóa quyềncủa một ai đó

Audit process tracking Kiểm toán này theo dõi hoạt động của chương trình

hay hệ điều hành

Audit system event Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy

hoặc tắt máy

8.3 Quyền hệ thống của người dùng (User Rights Assignment)

Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho ngườidùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyềnhoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho ngườidùng Cách thứ nhất bạn đã biết sử dụng ở chương trước, chỉ cần nhớ các quyền hạn củatừng nhóm tạo sẵn thì bạn có thể gán quyền cho người dùng theo yêu cầu Để cấp quyền

hệ thống cho người dùng theo theo cách thứ hai thì bạn phải dùng công cụ LocalSecurity Policy (nếu máy bạn không phải Domain Controller) hoặc Domain Controller

Security Policy (nếu máy bạn là Domain Controller) Trong hai công cụ đó bạn mở mụcLocal Policy\ User Rights Assignment

Để thêm, bớt một quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyềnhạn được chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách người dùng và nhóm hiệntại đang có quyền này Bạn có thể nhấp chuột vào nút Add để thêm người dùng, nhómvào danh sách hoặc nhấp chuột vào nút Remove để xóa người dùng khỏi danh sách Ví

dụ minh họa sau là bạn cấp quyền thay đổi giờ hệ thống (change the system time) chongười dùng “Tuan”

Danh sách một số quyền hệ thống cấp cho người dùng và nhóm:

Access This Computer

from the Network

Cho phép người dùng truy cập máy tính thông quamạng Mặc định mọi người đều có quyền này

Change the System

Time

Cho phép người dùng thay đổi giờ hệ thống củamáy tính

Deny Access to This

Computer from the

Shut Down the System Cho phép người dùng shut down cục bộ

8.4 Các lựa chọn bảo mật (Security Options)

Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêmcác thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị ngườidùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest).Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất nhiều lựa chọn bảo mật,nhưng trong giáo trình này chúng ta chỉ khảo sát các lựa chọn thông dụng

Một số lựa chọn bảo mật thông dụng:

Shutdown: allow system to be shut

down without having to log on

Cho phép người dùng shutdown hệthống mà không cần logon

Audit : audit the access of global

system objects

Giám sát việc truy cập các đối tượng hệthống toàn cục

Network security: force logoff when

logon hours expires

Tự động logoff khỏi hệ thống khi ngườidùng hết thời gian sử dụng hoặc tàikhoản hết hạn

Interactive logon: do not require

9.1 So sánh giữa System Policy và Group Policy

- Chính sách nhóm chỉ xuất hiện trên miền Active Directory , nó không tồn tại trên miềnNT4

- Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống Tất nhiên chính sáchnhóm chứa tất cả các chức năng của chính sách hệ thống và hơn thế nữa, bạn có thểdùng chính sách nhóm để triển khai một phần mềm cho một hoặc nhiều máy một cách

tự động - Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống nhưcác chính sách hệ thống

- Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống Các chínhsách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào mạng thôi Các chính sáchnhóm thì được áp dụng khi bạn bật máy lên, khi đăng nhập vào một cách tự động vàonhững thời điểm ngẫu nhiên trong suốt ngày làm việc

- Bạn có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặctừng nhóm đối tượng

- Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy Win2K,WinXP và Windows Server 2003

9.2 Chức năng của Group Policy

- Triển khai phần mềm dụng: bạn có thể gom tất cả các tập tin cần thiết để cài đặt mộtphần mềm nào đó vào trong một gói (package), đặt nó lên Server, rồi dùng chính sáchnhóm hướng một hoặc nhiều máy trạm đến gói phần mềm đó Hệ thống sẽ tự động càiđặt phần mềm này đến tất cả các máy trạm mà không cần sự can thiệp nào của ngườidùng

- Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng củachính sách hệ thống Nó có thể cấp cho một hoặc một nhóm người nào đó có quyền tắtmáy server, đổi giờ hệ thống hay backup dữ liệu…

- Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thể kiểmsoát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy đượcmột vài ứng dụng nào đó thôi như: Outlook Express, Word hay Internet Explorer -Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định hạnngạch đĩa cho một người dùng nào đó Người dùng này chỉ được phép lưu trữ tối đa baonhiêu MB trên đĩa cứng theo qui định

- Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ thốngNT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 vàWindows Server 2003 thì hỗ trợ cả bốn sự kiện này được kích hoạt (trigger) một kịchbản (script) Bạn có thể dùng các GPO để kiểm soát những kịch bản nào đang chạy

- Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng GPO để gỡ bỏ nhiều tínhnăng khỏi Internet Explorer, Windows Explorer và những chương trình khác

- Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ bỏ hầu hết các đềmục trên menu Start của một người dùng nào đó, ngăn chặn không cho người dùng càithêm máy in, sửa đổi thông số cấu hình của máy trạm

Tạo và quả lí thư mục dùng chung

9.3 Chia sẻ thư mục dùng chung

Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truy xuất

và sử dụng thông qua mạng Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phảilogon vào hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên củanhóm Server Operators, tiếp theo trong Explorer bạn nhầp phải chuột trên thư mục đó vàchọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing

Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng SharePermissions Share Permissions chỉ có hiệu lực khi người dùng truy cập qua mạng chứkhông có hiệu lực khi người dùng truy cập cục bộ Khác với NTFS Permissions là quản

lý người dùng truy cập dưới cấp độ truy xuất đĩa

Trong hộp thoại Share Permissions, chứa danh sách các quyền sau:

- Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ

- Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mụcchia sẻ

- Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ

Bạn muốn cấp quyền cho người dùng thì nhấp chuột vào nút Add

Hộp thoại chọn người dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào các tài khoản người dùng và nhóm cần chọn, sau đó chọn OK

9.4 Các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm

Lệnh net user

 Chức năng: tạo, xóa và hiển thị các tài nguyên chia sẻ

 Cú pháp:

net share sharename

net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"]

net share sharename [/users:number | unlimited] [/remark:"text"]

net share {sharename | drive:path} /delete

 Ý nghĩa các tham số:

- [Không tham số]: hiển thị thông tin về tất cả các tài nguyên chia sẻ trên máy tính cục

bộ

- [Sharename]: tên trên mạng của tài nguyên chia sẻ, nếu dùng lệnh net share với một tham số sharename thì hệ thống sẽ hiển thị thông tin về tài nguyên dùng chung này.

- [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ

- [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tài nguyên dùngchung này

- [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài nguyên dùng chung này

- [/remark:"text"]: thêm thông tin mô tả về tài nguyên này

- /delete: xóa thuộc tính chia sẻ của thư mục hiện tại

Lệnh net group

 Chức năng: tạo mới thêm, hiển thị hoặc hiệu chỉnh nhóm

 Cú pháp:

net group [groupname [/comment:"text"]] [/domain]

net group groupname {/add [/comment:"text"] | /delete} [/domain]

net group groupname username[ ] {/add | /delete} [/domain]

 Ý nghĩa các tham số:

- Không tham số: dùng để hiển thị tên của Server và tên của các nhóm trên Server

đó

- [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa

- [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài đến 48 ký tự

- [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng Tham số này chỉ

áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows

2000 Professional là thành viên của máy Windows 2000 Server domain

- [username[ ]]: danh sách một hoặc nhiều người dùng cần thêm hoặc xóa ra khỏi nhóm, các tên này cách nhau bởi khoảng trắng

- [/add]: thêm một nhóm hoặc thêm một người dùng vào nhóm

- [/delete]: xóa một nhóm hoặc xóa một người dùng khỏi nhóm

Lệnh net localgroup

 Chức năng: thêm, hiển thị hoặc hiệu chỉnh nhóm cục bộ

 Cú pháp:

net localgroup [groupname [/comment:"text"]] [/domain]

net localgroup groupname {/add [/comment:"text"] | /delete} [/domain]

net localgroup groupname name [ ] {/add | /delete} [/domain]

 Ý nghĩa các tham số:

- Không tham số: dùng hiển thị tên server và tên các nhóm cục bộ trên máy tính hiện tại

- [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa

- [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài đến 48 ký tự

- [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng Tham số này chỉ

áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows

2000 Professional là thành viên của máy Windows 2000 Server domain

- [name [ ]]: danh sách một hoặc nhiều tên người dùng hoặc tên nhóm cần thêmvào hoặc xóa khỏi nhóm cục bộ Các tên này cách nhau bởi khoảng trắng

- [/add]: thêm tên một nhóm toàn cục hoặc tên người dùng vào nhóm cục bộ

- [/delete]: xóa tên một nhóm toàn cục hoặc tên người dùng khỏi nhóm cục bộ.Các lệnh hỗ trợ dịch vụ Active Driectory trong môi trường Windows Server 2003

 Dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào trong dịch vụ Directory

 Dsrm: xóa một đối tượng trong dịch vụ Directory

 Dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụ Directory

 Dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact, group, ou, server hoặc user trong một dịch vụ Directory

 Dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trong một dịch vụ Directory

 Dsquery: truy vấn các thành phần trong dịch vụ Directory

o Xem các user trong hệ thống: dsquery user

o Gia nhập user mới vào nhóm: dsmod group “CN=hs, CN=Users,

DC=netclass, DC=edu, DC=vn” –addmbr “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn”

10 Quyền truy cập NTFS

Có hai loại hệ thống tập được dùng cho partition và volume cục bộ là FAT (bao gồmFAT16 và FAT32) FAT partition không hỗ trợ bảo mật nội bộ, còn NTFS partition thìngược lại có hỗ trợ bảo mật; có nghĩa là nếu đĩa cứng của bạn định dạng là FAT thì mọingười đều có thể thao tác trên các file chứa trên đĩa cứng này, còn ngược lại là địnhdạng NTFS thì tùy theo người dùng có quyền truy cập không, nếu người dùng không cóquyền thì không thể nào truy cập được dữ liệu trên đĩa Hệ thống Windows Server 2003dùng các ACL (Access Control List) để quản lý các quyền truy cập của đối tượng cục bộ

và các đối tượng trên Active Directory Một ACL có thể chứa nhiều ACE (AccessControl Entry) đại điện cho một người dùng hay một nhóm người

10.1 Các công cụ phân quyền NTFS

- Tất cả quyền truy nhập cơ sở của NTFS là :

 Traverse folder/execute file (đi xuyên qua folder / thi hành file)

 List folder/read data (hiện thư mục, đọc dữ liệu)

 Read attributes (đọc thuộc tính)

 Read extended attributes (đọc thuộc tính mở rộng)

 Create files/write data (tạo file, viết dữ liệu)

 Create folders/append data (tạo folder, nối dữ liệu)

 Write attributes (viết thuộc tính) Cho phép thay đổi các thuộc tính của file và folder

 Write extended attributes (viết thuộc tính mở rộng)

 Delete subfolders and files (xóa folder con và file)

 Delete (xóa)

 Read permissions (đọc quyền)

 Change permissions (đổi quyền)

 Take ownership (đoạt chủ quyền)

 - Khi phân quyền cho một folder, quyền đã phân sẽ có thể sẽ áp dụng lên cả cácfolder con và file bên trong, việc này gọi là thừa kế Việc thừa kế thực hiện theo mộttrong sáu kiểu sau đây

 This folder only (chỉ folder này thôi) Quyền chỉ áp dụng cho folder này, không thừa

 Subfolders and files only (các folder con và các file thôi) Quyền áp dụng chỉ cho cácfolder con và các file Thừa kế toàn phần ngoại trừ bản thân

 Subfolders only (chỉ các folder con thôi) Quyền áp dụng chỉ cho các folder con Cácfolder thừa kế ngoại trừ bản thân

10.2 Kế thừa và thay thế quyền của đối tượng con.

Trong hộp thoại chính trên, chúng ta có thể nhấp chuột vào nút Advanced để cấuhình chi tiết hơn cho các quyền truy cập của người dùng Khi nhấp chuột vào nútAdvanced, hộp thoại Advanced Security Settings xuất hiện, trong hộp thoại, nếu bạnđánh dấu vào mục Allow inheritable permissions from parent to propagate to this objectand child objects thì thư mục hiện tại được thừa hưởng danh sách quyền truy cập từ thưmục cha, bạn muốn xóa những quyền thừa hưởng từ thư mục cha bạn phải bỏ đánh dấunày Nếu danh sách quyền truy cập của thư mục cha thay đổi thì danh sách quyền truycập của thư mục hiện tại cũng thay đổi theo

Ngoài ra nếu bạn đánh dấu vào mục Replace permission entries on all child objectswith entries shown here that apply to child objects thì danh sách quyền truy cập của thưmục hiện tại sẽ được áp dụng xuống các tập tin và thư mục con có nghĩa là các tập tin vàthư mục con sẽ được thay thế quyền truy cấp giống như các quyền đang hiển thị tronghộp thoại

Chương 2 NỘI DUNG ĐỒ ÁN

- Đặt địa chỉ IP cho máy SERVER ở mạng 192.168.1.X/24 (X: là số đề); đặt tên máyServer và tên Domain theo qui tắc sau: Ví dụ tên thí sinh dự thi tốt nghiệp là Lê VănKhoa thì đặt tên máy là LVKSERVER và tên Domain là LVK.NET

- Nâng cấp máy Server lên Domain Controller

- Cài đặt và cấu hình dịch vụ DHCP trên máy Server

- Máy Client nhận IP được cấp từ DHCP Server

- Máy Client Join domain vào máy Server

B THỰC HIỆN

1 Tạo các object và đưa các user vào nhóm tương ứng (Lưu ý: Các đối tượng OU,

Group, User được tạo bằng lệnh Dsadd và lưu và file *.bat)

Đề 3

2 Roaming Profile cho các user “Sếp” Thư mục chứa roaming profile tên là

“Profiles”

3 Tạo hệ thống thư mục trên máy DC và phân quyền, share.

- Share cây thư mục sao cho các quyền đã cấp vẫn duy trì khi user truy cập qua mạng

- Điều chỉnh quyền sao cho các user chỉ có thể xóa dữ liệu của nhau

4 Deploy phần mềm Microsoft Office cho các user trong OU KeToan

5 Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử dụng

(Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password.

Cấm các user thuộc OU NhanSu sử dụng chương trình Notepad

Lưu ý: cấu hình sao cho GPO này không tác động lên các user “Sếp”

6 Delegate Control cho phép kt1 được quản lý user account trong OU KeToan

7 Delegate Control cho phép ns1 được quản lý user account và group trong OU

NhanSu

8 Map Network Driver Folder Data bằng Script cho các user thuộc OU Kế toán

9 Giám sát quá trình logon không thành công của các user

10 Giám sát quá trình truy cập vào Folder DataKeToan của các user trong OU KeToan

HẾT

 Chọn Add/Remove Windows Components > Networking Services > ClickDetails…

Click chọn Domain Name System (DNS) > OK > Next > Chọn nút Finish để hoàn tấtquá trình cài đặt

Lưu ý: bạn phải đảm bảo có đĩa CD Windows 2003 trên máy

Cấu hình dịch vụ DNS

Cài Forward Lookup Zone : Forward Lookup Zone để phân giải địa chỉ Tên máy(hostname) thành địa chỉ IP Để tạo zone này ta thực hiện các bước sau:

 Vào Start > Administrative Tools > DNS

 Cick chuột phải chọn Forward Lookup Zones >New Zone > Next

Tại bảng Zone Type chọn Primary zone để cấu hình DNS Server chính > click next

Nhập tên Domain vào ô Zone name >Click Next

Từ hộp thoại Zone File, ta có thể tạo file lưu trữ cơ sở dữ liệu cho Zone(zonename.dns)hay ta có thể chỉ định Zone File đã tồn tại sẳn (tất cả các file này được lưu trữ tại

%systemroot%\system32\dns),Để mặc định chọn Next

Chọn dòng 2 để cho phép cập nhật chỉnh sửa > Next