Quản trị WINDOWS SERVER 2003 dạng đơn miền

Các tài nguyên được Active Directory lưu trữ và theo dõi bao gồmFile Server, Print, Fax Server, Application, Data, User, Group và Web Server.Thông tin nó lưu trữ được sử dụng và truy cập

LỜI CẢM ƠN

Em xin chân thành cảm ơn Ban giám hiệu trường Đại học Vinh, ban chủnhiệm khoa Công nghệ thông tin, cùng các thầy cô giáo đã tận tình giảng dạy,trang bị cho em những kiến thức cần thiết trong năm năm học tại trường

Em xin chân thành cảm ơn Thầy giáo, Tiến sỹ Lê Ngọc Xuân đã tận tìnhquan tâm, giúp đỡ và hướng dẫn cho em trong suốt quá trình từ khi em nhận đềtài thực tập cơ sở đến bây giờ là làm đồ án tốt nghiệp Nhờ vậy em đã hoànthành tốt đồ án tốt nghiệp này

Tôi xin chân thành cảm ơn các anh chị và các bạn đã có những nhận xét,

ý kiến đóng góp, động viên và quan tâm giúp đỡ tôi trong thời gian qua

Em xin chân thành cảm ơn!

Vinh, ngày 10 tháng 05 năm 2010

Sinh viên thực hiện

Phan Như Ý

LỜI NÓI ĐẦU

Ngày nay, trong quá trình phát triển khoa học công nghệ và kỹ thuật thìCông nghệ thông tin là nột ngành được ứng dụng trong tất cả các lĩnh vực đờisống, kinh tế, văn hoá và xã hội… Công nghệ thông tin đã và đang trở thànhmột ngành công nghiệp mũi nhọn Việc áp dụng Công nghệ thông tin vào tất cảcác lĩnh vực của đời sống con người, quân sự, an ninh quốc phòng đã tạo ra sựchuyển biến rõ rệt về chất lượng, năng suất và hiệu quả kinh tế

Ngày nay hầu hết các cơ quan, doanh nghiệp đã có mạng máy tính Mạngmáy tính là một cơ sở hạ tầng quan trọng của tất cả các cơ quan, tổ chức Nó làmột kênh trao đổi thông tin không thể thiếu được trong thời đại Công nghệThông tin Nhờ có mạng máy tính mà nhiều doanh nghiệp lớn có các chi nhánh

ở xa nhau, thậm chí các nước khác nhau trên thế giới đều có thể trao đổi thôngtin, cập nhật dữ liệu với nhau một cách nhanh chóng và chính xác

Trong môi trường làm việc hiện đại đòi hỏi các doanh nghiệp dù lớn haynhỏ đều sử dụng máy tính và các ứng dụng trên máy tính như một công cụ làmviệc thiết yếu Điều đó chỉ mang lại hiệu quả khi thiết lập một hệ thống mạngmáy tính và quản trị hệ thống đó

Tuy nhiên, song song với những lợi ích của hệ thống mạng máy tính manglại thì nguy cơ hệ thống bị tấn công, thông tin có thể bị đánh cắp, phá hủy, thayđổi nội dung,…vv cũng rất cao

Từ thực trạng đó, em chọn đề tài “Quản trị windows server 2003 dạng single domain” để nghiên cứu và cài đặt cấu hình một số dịch vụ cơ bản và phát

triển thêm để từ đó có thể thiết kế, cài đặt, quản trị mạng cho các cơ quan, doanh nghiệp

Đồ án “Quản trị windows server 2003 dạng single domain” gồm có 2

chương:

 Chương I: Môi trường Windows Server 2003 Trong chương này em

giới thiệu về hệ điều hành Windows Server 2003 như là: Các phiên bản của họHĐH Windows Server 2003;Những điểm mới của hệ điều hành Windows2003; Yêu cầu phần cứng cài đặt các phiên bản của Windows 2003 Và một sốdịch vụ mạng của Windows Server 2003 như là: Active Directory; Hệ thốngtên miền DNS; Dịch vụ DHCP

 Chương II: Quản trị User và Group: Chương này là nội dung chính

của đồ án bao gồm các mục như Quản trị User; Quản trị Group; Chính sáchnhóm-Policy

GIỚI THIỆU MÔI TRƯỜNG WINDOWS SERVER 2003

I Môi trường Windows Server 2003

1.Các phiên bản của họ Hệ Điều Hành (HĐH) Windows Server 2003

- Windows 2003 Web Edittion: Tối ưu dành cho các máy chủ Web.

- Windows Server 2003 Standard Edittion: Bản chuẩn dành cho cácdoanh nghiệp, các tổ chức vừa và nhỏ

- Windows Server 2003 Enterprise Edittion: Bản nâng cao dành chocác tổ chức, các doanh nghiệp vừa đến lớn

Windows Server 2003 Datacenter Edittion: Bản dành riêng cho các tổchức lớn, các tập đoàn ví dụ như IBM, DELL…

2 Những điểm mới của Hệ điều hành Windows 2003.

- Khả năng kết nối chum và cài nóng RAM

- Hỗ trợ cho HĐH Windows XP tốt hơn

- Tích hợp sẵn Mail Server (POP3)

- Có hai chế độ sử dụng giấy phép (license) là Per server licensing và Perdevice or Per User licensing

- Hỗ trợ tốt hơn cấu hình đĩa đặc biệt: Với cấu trúc đĩa động (Dynamic) cócác Volume như Volume Simple, Spanned, Striped (RAID-0), Mirrored(RAID-1) và RAID-5 Các Volume này có tốc độ truy xuất và lưu dữ liệunhanh, có khả năng chống lỗi cao Thay cho việc quản lý đĩa bằng Partiton ởđĩa dạng Basic

3 Yêu cầu phần cứng cài đặt phiên bản Windows Server 2003

Việc cài đặt Hệ Điều Hành Windows Server 2003 cũng khá đơn gian.Trong đồ án này do thời gian hạn chế nên em không trình bày các bước cài đặtHĐH Windows Server 2003

II Một số dịch vụ mạng của Windows Server 2003

1 Active Directory

1.1 Giới thiệu vể Active Directory.

Active Directory (AD), là nơi lưu trữ các thông tin về tài nguyên khácnhau trên mạng (gọi là đối tượng) cũng như các thông tin liên quan đến các đốitượng đó Các tài nguyên được Active Directory lưu trữ và theo dõi bao gồmFile Server, Print, Fax Server, Application, Data, User, Group và Web Server.Thông tin nó lưu trữ được sử dụng và truy cập các tài nguyên trên mạng Sựkhác nhau giữa Active Directory và Active Directory Server đó là các hình

thức lưu trữ và quản lý thông tin tài nguyên Thông qua Active Directory ngườidùng có thể tìm hiểu chi tiết của bất ký một tài nguyên nào dựa trên một haynhiều thuộc tính của nó.

Các chức năng của Active Directory:

Cho các thông tin về tài nguyên dựa trên các thuộc tính của nó

Duy trì dữ liệu của nó trong một môi trường an toàn, vì chắc chắn rằng

dữ liệu sẽ không được cung cấp cho các người dùng không được quyền truycập đến nó

Tự nó phân tán đến các máy tính trên mạng

Tự nhân bản Đây là cơ chế bảo vệ Active Directory trong trường hợp bịlỗi

Nó giúp người sử dụng ở xa tham chiếu đến một bản sao được nhân bản,được định vị ở một nơi khôn xa, thay vì phải tham chiếu đến bản sao nguyênthuỷ

Tự phân vùng thành nhiều phần lưu trữ Active Directory có thể đượcphân tán trên các máy khác nhau vì thế nó tăng thêm khả năng lưu trữ một sốlượng lớn các đối tượng có trên các mạng lớn

1.2 Cấu trúc của Active Directory.

1.2.1 Cấu trúc Logic của Active Directory.

Nhóm tài nguyên logic giúp tìm kiếm các tai nguyên dễ dàng hơn việc tìmkiếm trong vị trí vật lý của nó Vì thế Active Directory cũng có cấu trúc logic

để mô tả cấu trúc thư mục của các tổ chức một điểm tiến bộ quan trọng kháccủa nhóm các đối tượng logic Active Directory là sự cài đặt vật lý của mạng cóthể được ẩn đối với người sử dụng

Các thành phần logic của cấu trúc Active Directory là:

- Các miền (Domain)

- Các đơn vị tổ chức (Organizational Unit - OU)

Mục đích chính của việc tạo domain là tạo một ranh giới an toàn trongmột mạng Windows 2003 Người quản trị domain điều khiển các máy tínhtrong domain Chỉ trừ khi được gắn quyền, nếu không thì người quản trị mạngtrong domain này không thể điều khiển các domain khác Mỗi một domain thì

có các quyền và các chính sách an toàn riêng, nó được thiết lập bởi người quảntrị

Tất cả domain controller trong một domain đều duy trì một bản sao cơ sở

dữ liệu của domain, do đó các domain là các đơn vị nhân bản và cơ sở dữ liệuActive Directory là được nhân bản đến tất cả các domain controller trongdomain Windows 2003 Active Directory sử dụng mô hình nhân bản Multi –Master Trong mô hình này bất kỳ một domain controller nào trong domain đều

có khả năng nhận sự thay đổi được tạo ra từ cơ sở dữ liệu Active Directory.Thay đổi được tạo ra sẽ được nhân bản đến các domain controller khác trongdomain Từ đó, tất cả domain controller có thể trở thành tại bất kỳ thời điểmnào, mô hình này được gọi là mô hình multi – master

Domain Active Directory có thể tồn tại một trong hai mô hình là: bativehoặc Mixed, hệ điều hanh ở trên các domain controller sẽ quyết định domainhoạt động theo mô hình nào Mô hình Native là mô hình được sử dụng trong tất

cả các domain controller chạy trong Windows 2003 Trong mô hình Mixed, cácdomain controller có thể sử dụng một trong hai hệ điều hành là Windows 2003

và Windows NT 4.0 Tại thời điểm cài đặt và ngay sau khi cài đặt Active

Directory hoạt động ở mô hình Mixed Đây là sự cung cấp hỗ trợ cho domaincontroller hiện tại trong domain mà không được cập nhật trở thành Windows2003.

 Các đơn vị tổ chức - Organizational Unit (OU).

Organizational Units hay OU, là đơn vị nhỏ nhất trong hệ thống ActiveDirectory, nó được xem là một vật chứa các đối tượng (Object) được dùng đểsắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị Sử dụng OU

có tác dụng trao quyền kiểm soát một tập hợp các tài khoản người dùng, máytính hay các thiết bị mạng cho một nhóm người hay một quản trị viên phụ nào

đó, do vậy có thể giảm bớt được công tác quản trị cho người quản trị toàn bộ

hệ thống

Trong phạm vi Domain các đối tượng được tổ chức sử dụng các đơn vị tổchức OU là đối tượng chứa Nó chứa các đối tượng như là User, Computer,Print, Group và các OU khác

Về cơ bản OU giúp nhóm các đối tượng tổ chức logic phù hợp với kiểunào đó Các đối tượng có thể được nhóm từ một OU

- Hoặc dựa trên cấu trúc của tổ chức

- Hoặc phù hợp với mô hình quản trị mạng Mỗi domain có thể được

tổ chức dựa vào người quản trị mạng và giới hạn người điều khiển nó Máy củangưởi quản trị sẻ điều khiển domain và các máy tính của tất cả những ngườidưới sự điều khiển của người quản trị mạng sẽ nằm trong domain

 Cây (Tree).

Những nguyên nhân tại sao mô hình đa domain lại được ưa thích là:

- Phân quyền quản trị mạng

- Các tên miền Internet khác nhau

- Yêu cầu về password khác nhau

- Dễ điều khiển việc nhân bản.

- Một số lượng lớn các đối tượng

- Nhiều cấp độ điều khiển với nhiều nhánhDomain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậctheo cấu trúc hình cây Domain tạo ra đầu tiên đựơc gọi là Domain Root vànằm ở gốc của cây thư mục Tất cả các Domain tạo ra sau sẽ nằm bên dướiDomain Root và được gọi là Domain con (Child Domain) Tên của các con

phải khác biệt nhau

 Rừng (Forest).

Rừng (Forest) được xây dựng trên một hoặc nhiều Domain Tree, nói cáchkhác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền chonhau

1.2.2 Cấu trúc vật lý của Active Directory.

Cấu trúc logic của một Active Directory là được tách ra từ cấu trúc vật lýcủa nó, và hoàn toàn tách biệt với cấu trúc vật lý Cấu trúc vật lý được sử dụng

để tổ chức việc trao đổi trên mạng trong khi đó cấu trúc logic được sử dụng để

tổ chức các tài nguyên có sẵn trên mạng Cấu trúc vật lý của một ActiveDirectory bao gồm:

- Site

- Domain Controller

- Global Catalog Server

Cấu trúc vật lý của một Active Directory mô tả nơi nào và khi nào thì sựlogon và nhân bản sẽ xuất hiện

 Site.

Một Site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó đượckết nối bởi các đường truyền tốc độ cao Các site được định nghĩa để tạo ra sựthuận lợi đặc biệt cho chiến lược truy cập và nhân bản một Active Directory

 Domain controller.

Thành phần vật lý thứ 2 trong Active Directory là Domain controller MộtDomain controller là một máy tính chạy Windows 2003 Server và nó chứa 2bản sao của Active Directory Cơ sở dữ liệu chứa các thông tin về domain cụcbộ

Có thể có nhiều hơn một Domain controller trong một domain Tất cả cácDomain controller trong domain đều duy trì một bản sao Active Directory Các

tổ chức nhỏ với một client chỉ cần một domain đơn với chỉ hai Domaincontroller Controller thứ hai sẽ là server trong trường hợp controller thứ nhất

bị lỗi Do đó cả hai Domain controller đều chứa cùng một bản sao khác nhaucủa Active Directory Nhưng đôi khi các Domain controller có thể chứa cácbản sao khác nhau của Active Directory Điều này xảy ra khi có sự bất đồng bộgiữa các cơ sở dữ liệu directory trong các Domain controller Tuy nhiên trongcác tổ chức lớn, mỗi vị trí địa lý cần phải có các Domain controller tách biệt đểcung cấp đủ khả năng sẵn sang và khả năng chịu lỗi

Các chức năng khác nhau Domain controller bao gồm:

- Duy trì một bản sao của cơ sở dữ liệu directory

- Duy trì các thông tin của Active Directory

- Nhân bản các thông tin được cập nhật đến các Domain controller trongdomain

- Quản lý và giúp đỡ người sử dụng trong việc tìm kiếm các đối tượngtrong Active Directory Nó kiểm tra tính hợp lệ của việc logon của người sửdụng truy cập tài nguyên được yêu cầu

- Cung cấp khả năng chiu lỗi trong môi trường đa Domain controller

 Global Catalog Server.

Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin về tất

cả các đối tượng trong Active Directory Phần lớn, global catalog là lưu trữ

thông tin đó là các truy vấn thường được sử dụng Nói cách khác, nó chứa cácthông tin cần thiết để tìm các đối tượng.

1.2.3 Cài đặt Active Directory.

Việc vài đặt Active Directory được tạo đơn giản bằng cách cung cấp mộtwinzard Khi Active Directory được cài đặt, một trong những cái sau đây đượctạo mới:

- Domain đầu tiên trong một rừng và Domain controller đầu tiên

- Một domain con trong một cây và Domain controller của nó

- Domain khác trong domain đã tồn tại

- Một cây mới trong một rừng đã tồn tại và Domain controller của nó

Yêu cầu cài đặt Active Directory :

Trước khi thực sự cài đặt dịch vụ Active Directory, chúng ta cần phải xemcác yêu cầu trong quá trình cài đặt Dưới đây là danh sách các yêu cầu cài đặtActive Directory:

- Một máy tính được cài đặt Windows Server 2003 Standard Edition hoặcWindows Server 2003 Enterprise Edition hoặc Windows Server 2003Datacenter Edition Ở trong đồ án này em dùng bản Windows Server 2003Enterprise Edition

- Một partition hoặc một volume với định dạng NTFS

- Đĩa cứng trống 1GB trở lên

Để cài đặt Active Directory ta vào cửa sổ Run đánh lệnh dcpromo Xuất

hiện cửa sổ cài đặt winzard

Sau khi hệ thống khởi động lại xong nghĩa là Active Directory đã cài đặt,

Active Directory có 3 thành phần chính đó là: Active Directory Domain and Trust; Active Directory Sites and Services và Active Directory Users and Computers.

Active Directory Domain and Trust: Dùng để tin cậy các domain hay

Domain controller trong một rừng có nhiều domain khác

Active Directory Sites and Services: Cho phép kết nối tin cậy tốc độ

cao giữa các Domain controller để tối ưu việc nhân bản các dịc vụ được truyềntải trên mạng

Active Directory Users and Computers: Chứa các thông tin và thành

phần về Users, Group, OU (Orgazinational Unit), các Computer và Domaincontroller

- Builtin: Đây là nơi lưu các account được tạo sẵn trong hệ thống gồm các

account có quyền quản trị hệ thống, thay đổi toàn cấu trúc hệ thống domain,gia nhập hoặc tin cậy một domain khác trong một rừng Những account nàyngười dùng không thể tạo hoặc xoá được kể cả tài khoản Administrator

- Computer: Đây là nơi lưu trữ tất cả các computer trong mạng đã Join

vào domain

- Domain controller: Đây là nơi lưu trữ tên những máy chủ miền, nếu hệ

thống có hơn một máy chủ miền thì sẻ có các tên máy chủ đó ở mục này

- Foreign Sercurity: Những nhánh bảo mật bên ngoài.

- Users: Là nơi chứa toàn bộ user gồm những user của hệ thống tạo ra và

những user do người dùng tạo ra Các user hệ thống ở đây có tác dụng thay đổinhững thiết đặt của máy chủ Domain controller và domain nằm trên máy chủmiền đó

2 Dịch vụ DNS.

2.1 Giới thiệu dịch vụ DNS.

DNS là chữ viết tắt của Domain Naming Service (dịch vụ tên miền) Nó làmột dịch vụ đơn giản và quan trọng nhất trên Internet cũng như trong nội bộcủa các doanh nghiệp DNS là một cơ sở dữ liệu (CSDL) phân tán được sửdụng cho phép toàn bộ máy tính và các tài nguyên trên mạng được lưu dướidạng tên và khi truy cập vào hệ thống DNS sẽ chuyển từ tên sang địa chỉ IP vàngược lại

2.2 Cấu trúc của hệ thống tên miền.

Hệ thống tên miền được phân thành nhiều cấp như sau:

- Gốc (Domain root): Nó là đỉnh của nhánh cây của tên miền Nó có thể

biểu diễn đơn giản chỉ là dấu chấm “.”

- Tên miền cấp một (Top-level-domain): gồm vài kí tự xác định một

nước, khu vưc hoặc tổ chức Nó đươc thể hiện là “.com”, “.edu” …

- Tên miền cấp hai (Second-level-domain): Nó rất đa dạng rất đa dạng

có thể là tên một công ty, một tổ chức hay một cá nhân

- Tên miền cấp nhỏ hơn (Subdomain): Chia thêm ra của tên miền cấp

hai trở xuống thường được sử dụng như chi nhánh, phòng ban của một cơ quanhay chủ đề nào đó

2.3 Cách phân bố quản lý dữ liệu Domain Name

Những Root Name Server quản lý những Top- level trên Internet, tên máy

và địa chỉ IP của những Name Server này cũng có thể đặt khắp nơi trên thếgiới Thông thường mỗi tổ chức được đăng ký một hay nhiều Domain Name.Sau đó, mỗi tổ chức sẽ một hay nhiều Name Server và duy trì cơ sở dữ liệu chotất cả những máy tính trong Domain Một trong những Name Server này sẽđược biết là Primary Name Server Nhiều Secondary Name Server được dùng

để làm backup cho Primary Name Server trong trường hợp Primary bị lỗi,Secondary được dùng để phân giải tên Primary Name Server có thể tạo ranhững subDomain và ủy quyền cho những subDomain này cho những NameServer khác

2.4 Sự uỷ quyền giữa các miền con.

Một trong các mục tiêu khi thiết kế hệ thống DNS là khả năng quản líphân tán thông qua cơ chế ủy quyền Trong một miền có thể tổ chức thànhnhiều miền con, mỗi miền con có thể được ủy quyền qua một tổ chức khác và

tổ chức đó chịu trách nhiệm duy trì thông tin trong miền con này để tham chiếukhi có các truy vấn

Không phải một miền luôn luôn tổ chức một miền con và ủy quyền toàn

bộ các miền con này, có thể chỉ có vài miền con được ủy quyền

Setting\Control Panel\Add and Remove Program\Add and Remove Windows Components\Networking Services\ Chọn Detail, sau đó đánh dấu

chọn vào mục Domain name system(DNS) Từ cửa sổ Run đánh lệnh

dnsmgmt.msc xuất hiện cửa số DNS, ở cửa sổ này có 3 mục chính như sau: Forword lookup zines, Reserver lookup zones và Event Viewer.

 Forword lookup zines: Vùng tìm kiếm thuận, trong vùng này chứamiền chính của domain, trong vùng chính này chứa bản ghi host(A) gồm tênmáy và địa chỉ IP của máy chủ DC và các máy trạm đã join vào domain Vùngnày các thiết lập mặc định đã có sẵn khi chúng ta tích hợp DNS trong quá trìnhlên domain

 Reserver lookup zones: Vùng tìm kiếm đảo, vùng này chứa các bảnghi Pointer(PRT) của các NetworkID do ngưởi quản trị thiết đặt Để DNS phângiải được từ địa chỉ IP ra tên máy ta phải cấu hình Reserver lookup zones

Chuột phải vào Reserver lookup zones chọn New zones, hiện ra cửa sổ

winzard ấn next, next đến cửa sổ

Ta đặt Network ID cho truy vấn đảo, chỉ lớp NetID nào được đặt ở đây thìmới có thể truy vấn đảo và thông thường thì NetID này trùng với NetID củatruy vấn thuận và trùng với NetID Interface của máy chủ miền Ở đây máy chủđặt ở lớp A nên NetID của zone em cũng đặt lớp A Next rồi ấn finish để kếtthúc quá trình cấu hình Reserver lookup zones

 Event Viewer: Chứa các nhật kí về DNS, gồm các thông tin vê DNS, các cảnh báo của hệ thống với người dùng về DNS và các lỗ của DNS

Để kiểm tra DNS hoạt động hay chưa chúng ta làm như sau: Ở cửa sổ Run

đánh lệnh nslookup, hiện ra cửa sổ nslookup Chúng ta đánh địa chỉ muốn truy

vấn vào hoặc tên máy vào, nếu trả lại name và address của máy muốn truy vấnthì DNS đã hoạt động, còn nếu một trong hai cái đó không trả lại được tên vàđịa chỉ thì DNS chưa hoạt động đúng

3.Dịch vụ DHCP.

3.1 Giới thiệu về dịch vụ DHCP.

DHCP là chữ viết tắt của Dynamic Host Configuration Protocol, dịch theotiếng Việt là Giao thức cấu hình Host động Nó được thiết kế để tập trung hóa

và quản lí thông tin cấu hình giao thức TCP/IP Bằng cách gán tự động địa chỉ

IP cho các máy được cấu hình sử dụng DHCP Server và DHCP Client

3.2 Cài đặt dịch vụ DHCP.

 Yêu cầu cài đặt:

* Yêu cầu cài đặt cho DHCP Server.

Theo mặc định, hệ điều hành Windows 2003 Server có chứa các dịch vụDHCP, do đó bất kỳ máy tính nào chạy trên hệ điều hành Windows 2003Server có thể hoạt động như một DHCP chủ Các máy tính hoạt động nhưDHCP yêu cầu cần có:

- Dịch vụ DHCP phải được cài đặt

- Một mặt nạ mạng con, một địa chỉ IP tĩnh, một cổng kết nối mặc định

và các tham số TCP/IP khác

- Các địa chỉ IP có thể được cấp hoặc gán cho các máy khách

* Yêu cầu cho DHCP máy khách.

Các máy khách nên sử dụng các địa chỉ IP được cấp tự động từ các DHCPchủ Các máy tính cài các hệ điều hành sau mới có thể hoạt động như DHCPkhách:

- Windows XP Professional

- Windows 2000 server hoặc Professional

- Windows NT Server 3.5 hoặc lớn hơn

- Windows 95 hoặc Windows 98

- Windows for Workgroup phiên bản 3.11 có TCP/IP-32

- Microsoft MS-DOS có Microsoft Network Client3.0

- LAN Manager phiên bản 2.2c

- Một số hệ điều hành khác không phải của Microsoft

Cài đặt dịch vụ DHCP

Start\Setting\Control Panel\Add and Remove Program\Add and Remove Windows Components\Networking Services\ Chọn Detail, sau đó đánh dấu chọn vào mục Dynamic Host Configuration Protocol (DHCP) rồi

ấn OK

CHƯƠNG II

QUẢN TRỊ USER VÀ GROUP

I Quản trị người dùng (User)

1 Giới thiệu các loại User Account

Người sử dụng cần truy cập các tài nguyên khác nhau trên máy tính bất kỳtrong mạng Tài khoản người dùng (User account) được tạo ra để xác nhậnngười sử dụng và cấp cho họ các thao tác với các tài nguyên trên mạng mà họ

có quyền Một User account chứa các user name và password cho phép user cóthể đăng nhập vào một domain hay một máy tính từ xa bất kỳ khi nào Bất cứngười sử dụng mạng thông thường nào nên có một user account Windows

Server 2003 hỗ trợ ba loại user account: Local User Account, Domain User Account và Built-in User Account.

1.1 Local User Account (User Account cục bộ).

Với một User Account cục bộ, người dùng chỉ có thể đăng nhập vào máytính xác định, nơi mà user account đó được tạo ra User chỉ có thể truy cậpđược những tài nguyên có trên máy tính đó Một local user account được tạo ratrong từng cơ sở dữ liệu bảo mật của từng máy cục bộ

1.2 Domain User Account (User account trong domain)

Với Domain user account, người sử dụng có thể đăng nhập vào mộtdomain và có thể truy cập nhiều tài nguyên có mặt tại bất kỳ nơi nào trênmạng Một thẻ truy cập được tạo ra mà xác nhận người dùng sử dụng và cácthiết lập bảo mật của user này khi sử dụng cung cấp thông tin đăng nhập(username và password) Thẻ truy cập được cung cấp bởi Windows Server

2003 sẽ tồn tại lần cuối cùng cho đến khi người sử dụng đăng nhập (logon) vàmất khi người sử dụng huỷ đăng nhập (log-off) User account trong trường hợp

này sẽ được lưu trong cơ sở dữ liệu của Active Directory User account này sẽđược nhân bản đến các Domain controller khác trong domain bởi user accountđược tạo ra trên Domain controller Sự nhân bản này sẽ mất chút thời gian, vìthế sẽ không thể xử lý ngay lập tức các tài nguyên trên mạng thông qua cácuser account mới tạo và thời gian nhân bản thông thường của nột ActiveDirectory trong một site là 5 phút.

1.3 Built-in User Account (User Account tạo sẵn)

Built-in User Account được tạo tự động bởi Windows Server 2003 vàđược sử dụng bởi những người sử dụng thực hiện những tác vụ quản trị hoặcnhững thao tác trên một cơ sở dữ liệu tạm thời (temporary basic) Có hai loại

Built-in User Account là: Administrator account và Guest account Hai loại

account này không thể xoá

 Administrator Account: Built-in Administrator account có thể được

sử dụng để quản lý các máy tính và cấu hình trong domain Sự quản lý baogồm các tác vụ như tạo, sửa các group và các user account, các printer và quản

lý các chính sách bảo mật Nên tạo ra một user account mới có các nhiệm vụkhông phải quản trị hệ thống (non-administrative task) nếu chúng ta có mộtAdministrator, vì administrator account nên được giới han sử dụng cho các tác

vụ quản trị Để cấm các user không có quyền đăng nhập vào hệ thống củachúng ta, một giải pháp thực tế là đổi tên Built-in administrator account saocho không giống như một administrator account Chúng ta cũng có thể đánhlừa người sử dụng bằng các tạo ra một user account có tên là administratoraccount nhưng không gán cho một quyền nào với user caccount này

Guest Account: Thỉnh thoảng các user được chúng ta cung cấp một

guest account để họ có thể đăng nhập tạm thời vào các tài nguyên trên mạng.Theo mặc định thì guest account bị disable Chúng ta có thể cho phép account

này trên một mạng nào bảo mật thấp và gán cho nó một password.

2 Các quy tắc và yêu cầu khi tạo User Account mới.

2.1 Quy tắc đặt tên User Account.

Các quy tắc đặt tên sẽ xác định cách mà user sẽ được biết trong mộtdomain Chúng ta nên đặt tên theo các quy tắc đang tồn tại Các điểm sau đâynên được chú ý chỉ định quy tắc đặt tên cho tổ chức của chúng ta:

 Chúng ta nên gán một tên duy nhất cho các domain user account và nónên được lưu trong Active Directory Với người sử dụng cục bộ tên account làtên duy nhất trong một nơi mà các user account cục bộ được tạo ra

 User account có thể nên đến 20 kí tự chữ thường hoặc chữ hoa và các kí

tự sau đây không được sử dụng để đặt tên cho User account: “ / \ [ ] = , + * ? <

>” Các tên này không phân biệt hoa thường Một sự pha trộn đặc biệt của các

kí tự số có thể làm đơn giản sự định danh các user names

 Với một tổ chức lớn với một số lượng lơn các user, quy tắc đặt tên giữcho tên khỏi bị trùng lặp Một điều quan trọng là biết được các user tạm thờitrong tổ chức của chúng ta để có thể dễ dàng xoá các tên đăng nhập của họ khi

ra khỏi tổ chức của chúng ta Trong trường hợp này, việc đầu tiên sẽ là địnhdanh các nhân viên tạm thời và thêm một kí tự “T” (temporary) và một kí tự

“-” vào tên đăng nhập của user đó

2.2 Yêu cầu mật khẩu.

Bất kỳ một user account nào cũng phải chứa một password phức tạp đểbảo vệ thao tác trên máy tính hoặc một domain và vì thế giúp chống các cuộcđăng nhập không cho phép vào máy tính hay domain của chúng ta Các điểmsau đây nên được chú ý khi xác định quy ước đặt tên cho một tổ chức củachúng ta:

 Luôn luôn được khuyến cáo gán mật ẩu cho Administrator Chúng tanên tránh đặt các tiếp nhân không cho phép của account

 Gán password khó đoán cho các tài khoản, nhất là với tài khoảnAdministrator

 Password nên chứa cá kí tự thượng, chữ hoa, các kí tự số và các kí tựđặc biệt hợp lệ khác

 Chúng ta nên xác nhận xem administrator hay user đó có quyền điềukhiền password Thông thường là để quyền điều khiển password cho user Cácuser phải được phép gõ vào hoặc thay đổi các Password trong lần đầu tiên đăngnhập Administrator có thể cho một Password duy nhất đến user account vàusers có thể ngăn cản sự thay đổi Password

2.3 Các tuỳ chọn account.

Các administrator nên theo dõi giờ đăng nhập của user và máy tính nơi họđăng nhập vào Giờ kết thúc (logon hours) của một account tạm thời nên đượcbiết trước Điều này đảm bảo sự bảo mật đúng đắn và sự duy trì của mạng Cáctuỳ chọn của account bao gồm:

 Logon hours: Chúng ta có thể đặt logon hours cho user tuỳ thuộc vàokhả năng xử lý của user Theo cách này chúng ta có thể giới hạn thời gian đăngnhập của user từ ngàu đến đêm Xử lý mặc định của Windows 2003 cho user là

24 tiếng mỗi ngày Bằng cách đặt logon hours chúng ta có thể rút ngắn thờilượng mà các unauthorized (user không được phép) có thể xử lý thông tinthông qua account này

 Setting Computer for User Log On: Chúng ta nên xác định xem máytính mà user sẽ đăng nhập vào Các user có thể đăng nhập vào domain từ bất kỳmáy tính nào theo mặc định của doamin Vì lý do bảo mật chúng ta có thể giới

hạn cho các user phải đăng nhập vào domain từ các máy tính đơn của họ sởhữu Có thể là giới hạn user đăng nhập vào bất kỳ máy tính nào trên mạngtrong trường hợp NetBIOS trên TCP/IP bị disable.

 Account Expiration: Chúng ta nên xác định xem khi nào thì các userxác định phải hết hạn sử dụng Nếu chúng ta quyết định không tiếp tục môtaccount từ một ngày xác định thì chúng ta đặt ngày hết hạn (expiration date)cho user account đó Đến sát ngày hết hạn chúng ta sẽ thấy account bị disablesau ngày hết hạn đó User account cho nhân viên tạm thời nên hết hạn cùngngày với ngày hết hạn hợp đồng của họ với công ty

3 Tạo các Local User Account

Một user account cục bộ là một account mà user có thể đăng nhập vào và

xử lý các tài nguyên được hỗ trợ bởi máy tính đơn đó Chúng ta có thể tạo ramột user account cục bộ bằng cách dùng console Computer Management MộtUser account cục bộ chỉ được dùng trong trường hợp môi trường mạng nhỏ.Tránh tạo ra các user cục bộ trên các máy tính trong domain vì domain nênđược thừa nhân user cục bộ Điều này giới hạn các user nhận bất cứ tài nguyênnào trên domain,nhưng tài nguyên trên máy tính cục bộ thì truy cập được Cácuser account cục bộ có ít số lượng các thuộc tính hơn các domain user account

4.Tạo các Domain User Account.

Domain User Account có thể được sử dụng để đăng nhập vào domain và

vì thế nhận được các xử lý đến các tài nguyên được lưu trữ ở bât kỳ nơi đâutrong mạng Một domain user account được tạo với sự trợ giúp của Domaincontroller Administration Tools lưu trữ trong Domain controller,được cungcấp trong Windows Server 2003 giúp chúng ta tạo ra và quản trị domain useraccount Quản lý từ xa của domain và user account cũng được cung cấp bằngcài đặt Windows XP Professional Administration Tools trên máy tính chạy

Windows XP Professional Chúng ta nên dùng Active Directory Users andComputers để tạo các domain user account Để tạo mới một user account ta vào

Start/Programs/Administrative Tools/Active Directory Users and Computers Chuột phải lên mục Users New User

Chúng ta có thể dùng các thiết đặt cho Password để tạo ra một homefolder và vị trí trung tâm lưu trữ dữ liệu

4.1 Các tuỳ chọn khi khởi tạo Domain User Account.

Một domain user account được tạo ra trong một Domain controller mà từ

đó nó được tự động copy tất cả đên các Domain controller khác trong mạng.Chúng ta nên tạo account trong mục user mặc định hoặc trong một số folderkhác nơi mà các dmain user account khác tồn tại

● First Name: Tên của User

● Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user

● Last name: Họ của User

● Full name: Tên đầy đủ của user Nó nên là duy nhất trong thư mụcaccount

Windows server 2003 có khả năng điền thông tin này sau khi tên họ củauser đã được nhập vào

● User logon name: Tuỳ chọn này nên là longon name duy nhất dữaj theocác quy tắc đặt tên và phải là duy nhất trong thư mục

● User logon name (pre-windows 2000): Logon name duy nhất của user

để đăng nhập từ phiên bản trước windows 2000 của Microsoft Cái này là duy

nhất trong domain và là phần tử bắt buộc.

4.2 Các thiết lập cho password

Chúng ta có thể thêm một password khi đang thêm một user account mớitrong domain Dưới đây là các tuỳ chọn cho password được gán password khiđang tạo user mới

● Password: Đây là Password được dùng trong khi xác nhận user và đượchển thị dưới dạng các dấu hoa thị

● Confirm Password: Xác định lại mật khẩu đã nhập ở trên

● User Must Change Password at next logon: Để cho phép user thay đổiPassword trong lần đăng nhập lần đầu tiên

● User canot change Password: User không thể thay đổi Password Tuỳchọn này được chọn đối với nơi có nhiều hơn một user sử dụng cùng useraccount hoặc khi administrator muốn điều khiển Password

● Password never expires: Chọn tuỳ chọn này nếu Password không baogiờ thay đổi Tuỳ chọn này sẽ ghi đè thiết lập User must change Password atnext logon.

Vì thế nếu cả hai tuỳ chọn này được chọn thì Windows 2003 sẽ tự độngchỉ chọn tuỳ chọn Password never expires

● Account Disable: Với tuỳ chọn này chúng ta có thể dừng sử dụng củauser account này

4.3 Thay đổi thuộc tính của User Account

Tất cả các account đều có một tập các thuộc tính Các domain useraccount đương nhiên là có nhiều thuộc tính hơn các local user account Cácthuộc tính của local user là tập con của các thuộc tính trong domain useraccount Các thuộc tính được sử dụng để tìm kiếm bất kỳ user nào trong ActiveDirectory Mỗi domain nên được cấu hình với những thuộc tính bắt buộc sauđây:

● Các thuộc tính cá nhân sẽ có: Thuộc tính chung (general), điện thoại(telephones), tổ chức (organizational)

● Thuộc tính giờ Logon (Logon hours)

● Thuộc tính Logon to

● Các thuộc tính Account

Để chỉnh sữa các thuộc tính của một domain user account, mỡ ActiveDirectory Users and Computer Nhấp đúp chuột lên đối tượng user mà chúng tamuốn thay đổi thuộc tính của nó Trường hợp local user account, mỡ snap-inComputer management và từ đó chọn Local User and Group: Sau đó nhấn đúplên đối tượng user mà chúng ta muốn thay đổi thuộc tính của nó Hộp thoại

thuộc tính chứa tập các tab cho phép user thay đổi và thiết lập các thuộc tínhkhác nhau Các thuộc tính được thiết lập cho dưới đây là dùng cho domain useraccount và chỉ cho 4 tab thuộc tính từ domain user account bổ xung cho localuser account.

 Address: Tab này sẽ cung cấp các địa chỉ đường, thành phố, hộp thư,bang hay mã vùng (zip code) và nước (country) của user.

 Account: Tab này sẽ cho phép định nghĩa logon name của user và cũng

thiết lập đặt thêm các tuỳ chọn như Logon Hours và Logon to Những tuỳ chọnnày đã được đặt trong suốt quá trình tạo đối tượng user trong cở sở dữ liệuActive Directory và có thể được thay đổi ở đây

 Profile: Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũng

duy trì toàn bộ môi trường làm việc của user Một đường dẫn mạng cũng có thểthiết lập để nhân các truy cập các tài nguyên mạng và bổ xung kịch bản đăngnhập và home folder có thể được gán bởi tuỳ chọn này

 Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax,mobile, pager (số máy tin nhắn) và IP phone của user Chúng ta cũng có thểthêm các ghi chú ở đây

 Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty,tên công ty hay tổ chức, các thông tin về user và báo cáo trực tiếp của user

 Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó usernày thuộc về

 Dial-In: Tuỳ chọn này cho phép chúng ta điều khiển user tạo một kếtnối dial-in từ một nơi xa đến mạng Điều này chỉ có thể thực hiện nếu userđang quay số tới một máy tính đang chạy Windows 2003 Remote accessservices (RAS) Có một số tuỳ để thiết lập cho bẩo mật quay số như sau:

● Allow Access: Tự động xác định các thiết lập dial-in có được

cho phép hay không

● Deny Access: Sẽ xác định các thiết lập dial-in có bị từ chối hay

không