User profile được tự động cập nhật mỗi khi user log off.Administrator có thể chỉ thay đổi các mandatory user profiles các hồ sơ user cótính bắt buộc User profile thực hiện theo những các
Trang 1 Account: Tab này sẽ cho phép định nghĩa logon name của user và cũng
thiết đặt thêm các tuỳ chọn như Logon Hours và Log on to Những tuỳchọn này đã được đặt trong suốt quá trình tạo đối tượng user trong cơ sở
dữ liệu Active Directory và có thể được thay đổi ở đây
Profile: Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũng
duy trì toàn bộ môi trường làm việc của user Một đường dẫn mạng cũng
có thể được thiết lập để nhận các truy cập các tài nguyên mạng và bổxung kịch bản đăng nhập và home folder có thể được gán bởi tuỳ chọnnày
Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile,
pager (số máy tin nhắn) và IP phone của user Chúng ta cũng có thể thêmcác ghi chú ở đây
Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty,
tên công ty hay tổ chức, các thông tin về user và báo các trực tiếp củauser
Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó user
này thuộc về
Dial-In: Tùy chọn này cho phép chúng ta điều khiển user tạo một kết nối
dial-in từ một nơi xa đến mạng Điều này chỉ có thể thực hiện nếu userđang quay số tới một máy tính đang chạy Windows 2003 Remote accessservices(RAS) Có một số tuỳ để thiết lập cho bảo mật quay số như sau:
Allow Access: Tự động xác định các thiết lập dial-in có được cho
phép hay không
Deny Access: Sẽ xác định dial-in có bị từ chối hay không
Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết
nối
No Callback: Sẽ xác định RAS sẽ không gọi người user Điều này
cho phép user gọi từ bất kì số điện thoại nào Nó được thiết kế chomôi trường bảo mật thấp
Set by caller: Sẽ xác định RAS sẽ đáp ứng đến user có được cung
cấp nó với số điện thoại Vì thông tin này sẽ có thể được ghilại(logged) nên chúng ta có thể sử dụng có trên môi trường bảomật trung bình
Always Callback To: Sẽ xác định rằng RAS sẽ đáp ứng lại với
user tại số điện thoại đã được xác định User nên cẩn thận để hiệndiện tại cùng một thời điểm RAS kết nối đến Tuỳ chọn này đượcdùng trong môi trường bảo mật cao
Trang 2 Environment: Để tạo môi trường client-working thì tab này phải được sử
dụng Nó xác định một hay nhiều ứng dụng khởi động và tất cả các thiết
bị để kết nối khi user đăng nhập vào
Sessions: Tuỳ chọn này được sử dụng để giới hạn chiều dài của sessions
(phiên), tuỳ thuộc vào session có active (kích hoạt), idle (nghỉ) haydisconnect (ngắt kết nối) Chúng ta cũng có thể quyết định những hànhđộng nên được tiến hành trong trường hợp session đã tiến đến giới hạnthời gian
End A Disconnected Session: Chỉ định thời gian lớn nhất mà một
session chưa kết nối còn cho phép được chạy Một khi quá giớihạn thời gian thì session không thể tìm trở lại
Active Session Limit: Xác định khoảng lớn nhất của session được
kết nối Một khi giới hạn thời gian tiến đến gần, session có thểkhởi động lại hoặc ngắt kết nối rời khỏi session active trên server
Idle Session Limit: Xác định thời gian lớn nhất được cho trứoc
khi session được khởi tạo lại hay ngắt kết nối Nó sẽ bị ngắt kếtnối sau khi hết thời gian của những hoạt động tại kết nối
Remote control: Sẽ xác định các thiết lập điều khiển từ xa của các dịch
vụ Terminal Bằng các thiết lập điều này chúng ta có thể tham gia giámsát session của client của bất kì máy tính nào đã đăng nhập vào TerminalServer
V – USER PROFILE, HOME FOLDER VÀ DISK QUOTA
1 User Profile
Việc quản trị mạng user account bao hàm cả việc chỉnh sửa account, cài đặtuser profile các home directory Một user profile cho một user được tạo ra ngay khingười đó đăng nhập vào một máy tính lần đầu Trong thư mục Documemts andSettings tất cả các thông tin có liên quan về thiết lập của người sử dụng đã xác địnhđược lưu một cách tự động User profile được tự động cập nhật mỗi khi user log off.Administrator có thể chỉ thay đổi các mandatory user profiles (các hồ sơ user cótính bắt buộc)
User profile thực hiện theo những cách sau đây:
Khi chúng ta đăng nhập vào một máy client chúng ta sẽ luôn nhận được cácthiết đặt cá nhân của chúng ta mà một số user nào cũng được chia sẻ máyclient đó không thích
Profile cục bộ Default User sẽ copy đến thư mục %Systemdriver
%\Documents and settings mỗi khi chúng ta đăng nhập vào lần đầu.
Nhiều file và thư mục được lưu trong thư mục user profile và windows 2003tạo ra một thư mục My Documents trên desktop để dễ định vị các tài liệu cánhân
Có thể thay đổi user profile bằng cách thay đổi các thiết lập desktop
Trang 31.1 User Profile mặc định
Một Default User Profile là một profile cơ bản, được sử dụng để xây dựngcác profile cho user xác định Một bản copy của Default user profile được sử dụngbởi bất cứ user nào khác khi đăng nhập vào từng máy chạy Windows server 2003hay Windows XP
1.2 User profile cục bộ
Profile này được tạo ra lần đầu khi user đăng nhập vào máy tính và luônđược lưu trong một máy tính cục bộ Bất cứ thay đổi nào được tạo ra với profile nàyđều xác định máy tính đơn đó và nó có thể có nhiều user profile cục bộ trên cùngmột máy tính
1.3 Roaming User Profile (User Profile không cố định)
Các Roaming User Profile (RUP) có thể được tạo ra cho các user thao táctrên nhiều máy tính RUP được thiết lập ở máy chủ của mạng nên user có thể kếtnối từ bất cứ nơi nào trong domain Vì vậy khi user đăng nhập vào mạng, windows
2003 sẽ copy tất cả các thông tin có liên quan về user profile từ mạng và copy cácthiết lập cá nhân về desktop hay kết nối cho dù người đó kết nối từ bất cứ nơi đâu.Khi copy những file windows 2003 sẽ chỉ copy những file có thay đổi từ lần thayđổi cuối cùng, vì thế làm cho quá trình đăng nhập ngắn lại Khi log off những thayđổi trong user profile được copy trở lại RUP của server
1.4 Tạo Roaming Profile
Một RUP được lưu trên server nên để việc truy cập có thể xảy ra khi userđăng nhập bất kỳ nơi nào trong mạng Để thiết lập RUP được thực hiện nhưng bướcsau đây:
Cung cấp quyền điều khiển toàn phần (Full Control Permission) cho mộtthư mục được tạo trên server
Thư mục được chia sẻ nên được cung cấp đường dẫn Trong vùng chi tiếtcủa Active Directory Users and Computers nhấn phải chuột lên useraccount nơi mà chúng ta muốn tạo roaming profile Nhấn Properties
Trong snap-in User Profile, nhấn tab Profile và gõ thông tin về đườngdẫn, nơi sẽ xác định như thư mục được chia sẻ trong hộp Profile Path.Thông tin đường dẫn có thể như sau:
\\server_name\share_folder_name\user_nameChỉ Administrator mới có thể thay đổi RUP Phần thông tin của registry ứngdụng đến user account, được lưu trữ trong file Ntuser.dat
1.5 Mandatory User Profile
Chúng ta có thể tuỳ biến RUP và đưa nó cho nhiều user để tất cả các user sẽ
có cùng các thiết lập và kết nối Nên tạo ra một mẫu User Profile chứa tất cả cácthiết lập về Desktop Sau khi tạo ra mẫu này chúng ta nên đăng nhập với tư cáchAdministrator và copy mẫu vào thư mục RUP ở trên server Thư mục này phải cóthể được xử lý đối với tất cả user và nên được gán cho nhóm user tạo sẵn trên
Trang 4domain Sử dụng snap-in Active Directory Users and Computer chúng ta hoàn toàn
có thể xử lý Vì các thay đổi có tác dụng đối với tất cả user được gán đến thư mục
đó nên Profile Manadatory này nên là read-only (chỉ đọc) bằng cách thay đổi phần
mở rộng của file Ntuser từ dat chuyển sang man Loại profile này được gọi là
Mandatory User Profile
Administrator tạo ra các Mandatory User Profile và chỉ định các thay đổicho User Các thuộc tính có thể là local (cục bộ) hay Roaming (không cố định).Profile này không cho phép user lưu lại những thiết lập desktop hiện tại của họ Vìthế khi user huỷ đăng nhập và đăng nhập vào trở lại thì những thiết lập desktop cuốicùng sẽ bị mất Do đó có thể nói rằng madatory user profile là một RUP chỉ đọc
1.6 Tạo User Profile loại Mandatory
Để tạo các user Profile loại manadatory, theo các bước sau:
Tạo ra một thư mục được chia sẻ trên server Tạo một thư mục profile bêntrong một thư mục được chia sẻ để quản lý các profile Các user nên đượccho quyền Full control đối với thư mục Profile
Thiết lập một User Profile Roaming Tạo một user mới trong snap-in ActiveDirectory Users and Computers Sau đó đặt đường dẫn cho User Profile vàcấu hình Profile
Đặt lại tên file Ntuser.dat thành Ntuser.man để làm cho Profile chỉ đọc
(Read-only) và vì thế Profile là Mandatory Để đặt tên Mandatory Profile,đăng nhập với tư cách Administrator và mở Windows Explorer Đặt lại tên
Ntuser.dat trong thư mục Users Profile thành Ntuser.manager.
1.7 Quản lý User profile
Có thể thay đổi và chỉnh sửa các thuộc tính của user account Những thay đổisau đây là được phép đối với user account, những thay đổi này sẽ có tác dụng vềmặt chức năng đối với user account:
Enabling and Disabling User Account: Khi một user ra khỏi và không
hiện diện trong văn phòng trong một khoảng thời gian dài thì chúng ta cóthể disable user đó trong khoảng thời gian xác định và sau đó cho enabletrở lại user đó khi họ quay về
Renaming the User Account: Sự thay đổi tên của một user account là có
thể và cần thiết khi chúng ta muốn gán và cùng các thiết đặt quyền và chophép cho các user khác nhau
Deleting User Account: Khi nhân viên hiện thời dời khỏi công ty thì
chúng ta có thể xoá account của user đó Điều này đảm bảo sự loại trừ củanhững account không sử dụng trong dịch vụ Active Directory
1.8 Thiết lập lại password
Chúng ta cần thiết lập lại password của User khi password của user bị hết hạnhoặc nếu user của chúng ta bị quên password Chúng ta không cần biết password cũ
Trang 5khi chúng ta thiết lập lại password mới Để thiết lập lại password chúng ta làm nhưsau:
Mở snap-in Active Directory User and Computer và chọn user muốnthay đổi
Chuột phải vào user chọn Reset Password từ menu ngữ cảnh
Chọn tuỳ chọn User Must Change Password At Next Logon để chophép user thay đổi password khi user đăng nhập lại
1.9 Bỏ khoá các User Account
Khi một user vi phạm bất kì chính sách nào như vượt khỏi giới hạn groupWindows 2003 sẽ khoá (lock out) user account đặc biệt đó và sẽ hiển thị thông báolỗi Để huỷ bỏ khoá các user account hãy theo các bước sau đây:
Mở snap-in Active Directory User and Computer và chọn user muốn bỏkhoá
Chuột phải vào User chọn properties
Chọn tab Account và xoá tuỳ chọn The Account Is Locked Out và ấnOK
2.0 Home Folder
Windows 2003 cho phép các user có thể bỏ xung một Home Folder trongthư mục My Documents Home Folder cho phép các user lưu trữ các tài liệu cánhân Home folder có thể được lưu trong máy client hoặc trong file server Kíchthước của Home folder là không ảnh hưởng đến hiệu suất mạng trong suốt quá trìnhđăng nhập vì Home folder không phải là một phần của RUP Home Folder trênserver có thể được coi như một ổ đĩa mạng khi người quản trị tạo một Home foldertrên server cho các User Người quản trị cũng có thể giới hạn ổ đĩa mạng này củaUser dùng trên server, điều này giảm được sự lãng phí dung lượng ổ đĩa so với nhucầu chứa dữ liệu thiết thực của User
2.1 Tính chất của Home Folder
Performance of the Network: Hiệu suất mạng sẽ bị thấp đi nếu home
folder được định vị trong máy cục bộ
Trang 6 Ability to Restore and Backup: Trách nhiệp chính của một
Administrator là chống mất mát dữ liệu Tốt hơn là nên thực hiện saolưu tất cả các file và tập trung lưu trên một server Nếu home folder làtrong máy cá nhân của users thì nên sao lưu thông thường trên mỗimáy tính
Adequate space on the Server: Nên tổ chức một không gian bắt buộc
trên server để user có thể lưu trữ dữ liệu của họ trên đó Windows 2003
có thể giám sát và giới hạn sự sử dụng không gian đĩa với network-basestorage với sự trợ giúp của disk quota
User Computer with Sufficient Space: Nếu máy tính của user có
khoảng trống đĩa nhỏ thì các home folder nên được tạo ra trên servercủa mạng
2.2 Tạo User Profile và Home Foder cho các User trên server
Tạo một thư mục trên một phân vùng trên máy chủ và chia sẻ thư mục
đó, đặt quyền NTFS và Share Permission cho thư mục đó Full Controlvới Everyone
Mở snap-in Active Directory User and Computer và chọn một OU
Ở cửa sổ bên phải chọn tất cả các User có trong đó chuột phải chọnproperties
Tại cửa sổ properties chọn tab Profile, tích vào mục chọn Profile path,tại ô này đánh địa chỉ tương đối đến thư mục chúng ta vừa chia sẻ, đằng
sau đường dẫn đó chúng ta đánh vào câu lệnh %usersname% Câu
lệnh này cho phép hệ thống tự động nhận tên logon của các User Profileđó
Tích chọn vào mục Home Folder, chọn dòng Connect, bên cạnh là mục
chọn tên ổ đĩa mạng hiển thị trên các máy client của User mỗi khi user
đăng nhập Ở dòng To là địa chỉ đường dẫn tới thư mục Home folder mà
chúng tạo cho user trên server, chúng ta đánh đường dẫn vào ô này và ấn
Ok Để tiện cho việc quản lý các User Profile và Home Folder thì chúng
ta cần đặt User profile và Home folder vào cùng một thư mục chia sẻtrên server để dễ dàng hơn trong việc chỉnh sửa User Profile và thiết đặthạn nghạch đĩa (disk quota) cho các user trong mạng
Trang 7Sau khi thiết đặt Home Folder và User profile xong, trên máy client đăngnhập với user mà chúng ta đã thiết đặt sẽ thấy Home folder được Map thành một ổđĩa trong My Computer Việc này tránh được cho User phải nhớ đường dẫn chínhxác tới Server.
Và trong đó có chứa Profile của chính User này Người dùng có thể tuỳ chỉnhthông tin và lưu dữ liệu của mình trên thư mục đó Mọi thay đổi về profile như nềnmàn hình desktop, các tuỳ chọn menu start… đều được lưu lại ở đây User có thểđăng nhập tại bất kì máy tính client nào trong mạng thì mọi thiết đặt profile của usercũng không bị thay đổi vì khi log-off các thông tin này được lưu trên server và khiuser logon thì nó được nạp xuống máy của User đó đăng nhập
Trang 8Trong thư mục đã chia sẻ dùng để thiết đặt Home folder cho User trên Server
có chứa các Profile và dữ liệu của các User Mặc định thì mọi người dùng không ai
có thể xem, sửa hoặc xoá các thông tin và dữ liệu của các user đó, chỉ có chính user
đó mới có quyền được xem, sửa và xoá mọi thông tin do mình tạo ra, kể cảAdministrartor cũng không thể xem được thư mục Profile đó
Nhưng đã là Administrator thì mọi việc đều có thể, Administrator sẽ dùngquyền của mình để cướp quyền (Task Ownership) của User đó để xem hoặc chỉnhsửa thông tin trong Profile đó Để cướp quyền của User trên thư mục đó chúng talàm như sau: chuột phải vào thư mục chọn properties, trong cửa sổ properties chọntab Sercurity, chọn tiếp mục Advanced Tại cửa sổ Advanced ta chọn tab Owner, ở
mục name chọn Administrator và đánh dấu tích vào dòng chữ ở dưới là Replace owner on subcontainers and objects.
Trang 9Sau đó ấn Apply, một cửa sổ hiện ra thông báo là chúng ta không có quyềnxem, nếu chúng ta muốn Replace quyền chọn Yes và thư mục đó chúng ta có quyềnFull control và người User sở hữu thư mục đó sẽ bị mất quyền Chúng ta chọn Yes
Khi Admin đã cướp quyền của User thì mặc nhiên User sẽ không vào thưmục đó của mình được nữa, muốn vào được thư mục đó thì cần phải có việc Admintrả lại quyền cho User Khi đó nếu User logon trên máy trạm thì sẽ không thểconnect tới Profile đó nữa và một Profile khác sẽ được tự động tạo ra ở dạng defaulttrên máy client
Trang 10Để người dùng có thể sử dụng Roaming Profile và lưu dữ vào thư mục đó thìAdmin cần phải cấp lại quyền cho thư mục đó Trên server chuột phải vào thư mục
đó chọn Properties, chọn tab Sercurity và chọn tab Advanced Tại cửa sổ Advanced
đanh dấu tích vào mục chọn Replace permission entries on all child objects with entries shown here that apply to child objects rồi ấn Apply, một thông báo hiện ra
cho biết chúng ta có muốn bỏ quyền truy cập trên thư mục này đi không, chúng ta
ấn chọn Yes
Vẫn tại cửa sổ này tại tab Owner chúng ta Add User đó vào và chọn mục
Replace Owner on subcontainer and objects, sau đó ấn Apply
Trang 11Ấn Ok để trở về cửa sổ Properties, tại cửa sổ này chúng ta Remove tài khoảnAdministrator đi và Add vào tài khoản của User và cho quyền là Full control, sau đó
OK Như vậy chúng ta đã trả lại quyền truy cập vào Profile và Home folder choUser Lúc này User đăng nhập trên máy client sẽ chỉnh sửa và lưu trữ được thôngtin trong Profile của mình và mọi User kể cả Administrator cũng không thể truy cậpvào được nữa
3.0 Disk Quota
3.1 Giới thiệu về Disk Quota
Disk Quota – hạn nghạch đĩa, là một công cụ rất mạnh để điều khiển khônggian đĩa trống Người quản trị có thể điều khiển dung lượng đĩa trống phù hợp chotừng User được sử dụng trên Server Disk quota được cài đặt trên định dạng NTFS
3.2 Thiết đặt Disk quota cho các Home folder và User profile
Để tránh sự lãng phí không cần thiết của đĩa cứng trên Server khi mà cácUser lưu trữ dữ liệu trên Home folder, chúng ta cần thiết đặt hạn nghạch đĩa chotừng User Tuỳ theo từng nhu cầu công việc của từng User mà chúng ta thiết đặtdisk quota cho hợp lý Do Home folder và Profile của User được đặt chung một thưmục nên chúng ta chỉ cần thiết đặt disk quota một lần cho hai mục này Để thiết đặtDisk quota ta chọn phân vùng chứa thư mục chia sẻ có chứa Home folder và Profiletrên Server, chuột phải chọn properties Tại cửa sổ properties chọn tab Quota, tích
chọn vào mục Enable quota management và tích luôn vào mục Deny disk space to users exceeding quota limit Mục này có tác dụng không cho người dùng lưu thêm
dữ liệu trên server khi đã quá dung lượng cho phép Nếu không chọn mục này cácuser vẫn có thể lưu thêm được dữ liệu trên server mặc dù đã có cảnh báo là quota đã
hết Tiếp theo chọn mục Limit disk space to mục này cho phép điền vào dung lượng
mà chúng ta muốn giới hạn, ô bên cạnh cho chúng ta chọn đơn vị tính dung lượng