GIÁO TRÌNH QUẢN TRỊ MẠNG

 Riêng đối với các công ty lớn, số nhân viên quản trị mạng nhiều hơn thì việc quản trị hệ thống được chia ra làm nhiều khâu nhỏ và mỗi người sẽ chuyên trách một mảng, chẳng hạn có người

 Không sử dụng: điện thoại

 Trong giờ kiểm tra, thi

 Không thảo luận

 Không copy bài

NỘI DUNG

 Ôn tập:

 Mô hình tham chiếu OSI và họ giao thức TCP/IP

 IP, chia subnet, VLAN, VPN

 Chương 1: Giới thiệu

 Chương 2: Cài đặt và cấu hình Active Directory

 Chương 3 Quản trị Active Directory

 Chương 4 Quản trị cơ sở hạ tầng mạng

1) Mai Cường Thọ, Bài giảng Quản trị mạng, 2016

2) Dan Holme, MCTS Training Kit EXAM 70-640: Configuring

Windows Server 2008 Active Directory, 2008

3) Ian MCLean, MCITP Training Kit EXAM 70-646: indows Server

2008 Administration

4) Kurose & Ross, Computer Network: A top-down approach

5) Andrew S Tanenbaum, Computer network

6) Internet

CHƯƠNG 1 GIỚI THIỆU

Bài giảng: Quản trị mạng

CHƯƠNG 1 Giới thiệu

1) Quản trị mạng

2) Các mô hình mạng trên nền HĐH Windows

3) Giới thiệu về Windows Server 2008

 Các phiên bản của Windows Server 2008

 Các dịch vụ chính của Windows Server 2008

4) Hướng dẫn cài đặt Windows Server 2008

7

I.1 QUẢN TRỊ MẠNG

Người quản trị mạng (Network Administrator) :

 Là người thiết kế hệ thống bảo mật, giữ gìn hệ thống này và ngăn

chặn những vị khách không mời muốn phá hoại, ăn cắp dữ liệu của

hệ thống

 Là người nắm giữ toàn bộ thông tin của hệ thống, quản trị viên có

nhiệm vụ đảm bảo an toàn, nâng cao tính bảo mật, nắm được các

kỹ thuật xâm nhập và các biện pháp phòng, chống tấn công của các

hacker

 Là người “Know everything about a little thing, know a little

thing about everything”, từ bảo mật cho đến việc thiết kế, thiết

lập mạng LAN-WAN, quản trị người dùng, máy chủ, kể cả lập trình …

8

1

I.1 QUẢN TRỊ MẠNG (cont )

 Có thể nói, người quản trị mạng là người phải “biết mọi thứ” Bởi

lẽ, ở các công ty có quy mô nhỏ, số lượng máy tính ít thì người

làm quản trị mạng vừa phải có kĩ năng quản lý hệ thống thông tin

của đơn vị, vừa phải sửa chữa nếu cần

 Riêng đối với các công ty lớn, số nhân viên quản trị mạng nhiều

hơn thì việc quản trị hệ thống được chia ra làm nhiều khâu nhỏ và

mỗi người sẽ chuyên trách một mảng, chẳng hạn có người chuyên

về bảo mật, chuyên về thiết kế mạng hay chuyên về bộ phận theo

dõi, giám sát, vận hành máy chủ

1

I.1 QUẢN TRỊ MẠNG (cont )

 Công việc quản trị mạng

1) Quản trị cấu hình, tài nguyên mạng: quản lý, kiểm soát cấu hình,

quản lý tài nguyên cấp phát cho các đối tượng sử dụng

2) Quản trị người dùng, dịch vụ mạng: tác quản lý người sử dụng trên

hệ thống và đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượng

đảm bảo

3) Quản trị hiệu năng, hoạt động mạng: quản lý, giám sát hoạt động

mạng lưới, đảm bảo các hoạt động của thiết bị hệ thống ổn định

4) Quản trị an ninh, an toàn mạng: quản lý, giám sát mạng lưới, các hệ

thống để đảm bảo phòng tránh các truy nhập trái phép Việc phòng

thức tấn công như DoS làm tê liệt hoạt động của mạng cũng là một

phần rất quan trọng trong công tác quản trị, an ninh, an toàn mạng

I.2 CÁC MÔ HÌNH MẠNG TRÊN NỀN HĐH WINDOWS

 Mô hình mạng ngang hàng (peer to peer)

 Mô hình mạng khách/chủ (client / server)

13

1

I.3 GIỚI THIỆU WINDOW SERVER 2008

1) Các phiên bản

Các phiên bản Windows Server 2008 bao gồm:

 Windows Web Server 2008

 Windows Server 2008 Standard

 Windows Server 2008 Standard without Hyper-V

 Windows Server 2008 Enterprise

 Windows Server 2008 Enterprise without Hyper-V

 Windows Server 2008 Datacenter

 Windows Server 2008 Datacenter without Hyper-V

 Windows Server 2008 for Itanium-Based Systems

I.3 GIỚI THIỆU WINDOW SERVER 2008

 BitLocker™ Drive Encryption

 Network Load Balancing

I.3 GIỚI THIỆU WINDOW SERVER 2008 (t)

I.4 HƯỚNG DẪN CÀI ĐẶT WINDOW SERVER 2008

 Sinh viên nên

I.5 Bài tập chương 1

Bài 1-0 SV tìm hiểu về làm việc nhóm trên GitHub và GitHub Desktop

Bài 1-1 Nhóm sinh viên tự phân chia nội dung, thực hiện các yêu

cầu sau

 Quyển: “70-646- MCITP Guide to Microsoft Windows Server 2008 Server

Administration” Các nội dung nghiên cứu thuộc Chapter 1

 Các Activity 1-1 đến 1-7 (Thực hiện )

 Review Question (Đọc/biên tập lại)

 Case Project (Đọc/biên tập lại)

1

https://github.com/maicuongtho/QuanTriMang

I.5 Bài tập chương (tt)

Bài 1-2 Tạo mạng LAN ảo bằng VM Workstation, theo mô hình

mạng sau:

22

1

I.5 Bài tập chương (tt)

Bài 1-3 Cài đặt 2 bản W2008 Server (GUI, và Core)

Sinh viên tìm hiểu các tiện ích/lệnh để cài đặt LAN theo yêu cầu ở

CHƯƠNG 2 CÀI ĐẶT VÀ CẤU HÌNH AD

Bài giảng: Quản trị mạng

Chương 2 Cài đặt và Cấu hình Active Directory

 Các nội dung chính

I Giới thiệu đặc điểm của mô hình AD

II Các khái niệm trong môi trường AD

III Các bước cài đặt 1 hệ thống AD

IV Khái niệm về tài khoản người dùng và quản trị tài khoản người

 Mô hình mạng ngang hàng (peer to peer)

 Mô hình mạng khách/chủ (client / server)

26

I.1 Giới thiệu Active Directory

 Là dịch vụ nền tảng của Windows Server (Dịch vụ thư mục)

 Là một cơ sở dữ liệu của các tài nguyên trên mạng (đối tượng)

cũng như các thông tin liên quan đến các đối tượng đó

 Được tổ chức theo mô hình phân cấprừng,cây và miền

 Quản lý tập trung tất cả mọi đối tượng trong vùng bao gồm:

người dùng, máy tính, thiết bị khác, thư mục chia sẻ

2

I.1 Giới thiệu Active Directory

28

I.2 Chức năng của AD

 Lưu giữ một danh sách tập trung các tên tài khoản người dùng,

mật khẩu tương ứng và các tài khoản máy tính

 Cung cấp một Server đóng vai trò chứng thực (authentication

server) hoặc Server quản lý đăng nhập (logon Server),

 Server này còn gọi là domain controller (máy điều khiển miền).

 Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp

các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào

đó trên các máy tính khác trong vùng

29

2

I.2 Chức năng của AD (tt)

 Cho phép chúng ta tạo ra những tài khoản người dùng với

những mức độ quyền (rights) khác nhau như:

 toàn quyền trên hệ thống mạng,

 chỉ có quyền backup dữ liệu

 hay shutdown Server từ xa…

 Cho phép chúng ta chia nhỏ miền của mình ra

 thành các miền con (subdomain)

 hay các đơn vị tổ chức OU (Organizational Unit)

 Sau đó có thể ủy quyền cho các quản trị viên bộ phận quản lý từng

bộ phận nhỏ

2

 Là đơn vị chức năng nồng cốt của cấu trúc logic Active Diretory

 Là phương tiện để qui định một tập hợp những người dùng, máy

tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó

giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn

 Domain có 3 chức năng cơ bản

2

I.3 Các thành phần trong AD

Ba chức năng của domain

 Đóng vai trò như một khu vực quản trị (administrative boundary)

các đối tượng

 là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ

như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo

mật, các quan hệ ủy quyền với các domain khác

 Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ

 Cung cầp các server dự phòng làm chức năng điều khiển vùng

(domain controller) và đảm bảo thông tin trên các server này đồng

bậc theo cấu trúc hình cây

 Domain tạo ra đầu tiên được

gọi là domain root và nằm ở

gốc của cây thư mục

 Tất cả các domain tạo ra sau sẽ

nằm bên dưới domain root và

được gọi là domain con (child

để giảm thiểu số lượng

domain cần phải thiết lập

 Hai công dụng của OU

tính hay các thiết bị mạng cho một hoặc một nhóm phụ tá quản

trị viên (sub-administrator) để giảm bớt gánh năng cho

Administrator

qua chính sách nhóm (Group Policy Object)

I.3 Các thành phần trong AD

Site: Là một vị trí.

 Site được dùng để phân biệt giữa các

vị trí cục bộ và các vị trí xa xôi

 Ví dụ, công ty Computer_A có công ty

tổng đặt ở Nha Trang, một chi nhánh

diện đặt ở Sài Gòn kết nối về công ty

 Máy DC có chứa bản sao của Active Directory

 Chịu trách nhiệm phản hồi các yêu cầu trong Domain

 Xác thực người dùng đăng nhập Domain

 Tạo máy điều khiển miền (Domain Controller)

 Bằng cách: Thăng cấp Server thành Domain Controller

 Dùng tiện ích Server Manager

Thăng cấp server thành Domain Controller

 Một số chú ý trước khi thực hiện

 Đổi lại tên máy tính / Địa chỉ IP của máy chủ phải được gán tĩnh

 Đảm bảo tài khoản Administrator có mật khẩu mạnh

 Có số, ký tự hoa, thường, các tự khác như: ! @ # $ , lớn hơn 8 ký tự

I.5 Bài tập chương 2

Bài 2-1 Nhóm sinh viên tự phân chia nội dung, thực hiện

các yêu cầu sau

 Quyển: “70-646- MCITP Self Paced Training Kit: Windows Server

2008 Administration - Microsoft” Các nội dung nghiên cứu

Chapter1

 Lesson 1: Summary, Review (Đọc/biên tập lại)

 Case Scenario 1,2 : (Đọc/biên tập lại)

 Quyển: “70-646- MCITP Guide to Microsoft Windows Server 2008

Server Administration” Các nội dung nghiên cứu Chapter2

 Chapter 2 Summary ( Đọc/biên tập lại)

 Review Question (Đọc/biên tập lại)

2

I.5 Bài tập chương 2(tiếp)

Bài 2-2

 Nâng cấp lên DC Theo sơ đồ mạng đã cho ở hình vẽ dưới Thực hiện theo nhóm 5 sinh viên

 Nâng cấp máy Windows Server 2008 (NTU-DC) thành Domain Controller để quản lý miền centrasd.edu.vn (Sinh viên chú ý đổi

tên máy cho đúng yêu cầu)

 Cho phép các máy trạm gia nhập vào trong miền: centrasd.edu.vn

 Các bước cần thực hiện:

 Cấu hình tên máy tính, địa chỉ IP cho tất cả các máy.

 Sử dụng lệnh dcpromo để nâng cấp NTU-DC thành Domain Controller.

 Đăng nhập vào máy trạm, gia nhập máy trạm vào Domain Controller.

 Yêu cầu chuẩn bị:

I.5 Bài tập chương 2 (tiếp)

Mô hình mạng cho bài tập 2-2

47

2

I.5 Bài tập chương 2(tiếp)

Bài 2-3 Triển khai Read-Only Domain Controllers (RO DC)

 Mở rộng hệ thống mạng ở bài 2-2 Cấu hình hệ thống mạng dưới

đây sao cho máy NTU-SRV01 được triển khai thành Read-Only

Domain Controller

Các bước cần thực hiện:

 Nâng cấp NTU-SRV01 thành RODC thuộc miền censtrad.com.vn:

 Sử dụng lệnh DCPROMO

 Lựa chọn tùy chọn cài đặt thêm một Domain Controller mới trong miền đã tồn tại

 Chọn tùy chọn để cài đặt RODC trong Active Directory Domain Services

 Lựa chọn cài đặt theo chế độ “Advanced” nếu muốn đặt mật khẩu khi

“Replication” giữa hai Domain Controller.

2

I.5 Bài tập chương 2 (tiếp)

Mô hình mạng cho bài tập 2-3

49

2

CHƯƠNG 3 QUẢN TRỊ ACTIVE DIRECTORY

Bài giảng: Quản trị mạng

50

Chương 3 Quản trị AD

 Các nội dung chính

III Quản trị máy tính

I Quản trị OU

 Nhắc lại về OU (Organizational Units )

 Là đơn vị nhỏ nhất trong hệ thống Active Directory,

 Là một vật chứa các đối tượng (Object) được dùng để sắp xếp các

đối tượng khác nhau phục vụ cho mục đích quản trị

 Việc sử dụng OU có hai công dụng chính như sau :

 Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay

các thiết bị mạng cho một nhóm người hay một quản trị viên phụ nào đó

(sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn

bộ hệ thống.

 Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng

trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (Group

II Quản trị người dùng và nhóm

 Các nội dung

1) Tài khoản người dùng và tài khoản nhóm

2) Chứng thực và kiểm soát truy cập

3) Các tài khoản tạo sẵn

4) Quản lý tài khoản người dùng và nhóm cục bộ

5) Quản lý tài khoản người dùng vá nhóm trên Active Directory

II.1 Tài khoản người dung vs TK nhóm

a) Tài khoản người dùng

 Là một đối tượng quan trọng đại diện cho người dùng trên mạng,

chúng được phân biệt với nhau thông qua chuỗi nhận dạng

username

 Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này

và người khác trên mạng từ đó người dùng có thể đăng nhập vào

mạng và truy cập các tài nguyên mạng mà mình được phép

 Tài khoản người dùng có 2 loại

 Tài khoản người dụng cục bộ

 Tài khoản người dụng miền

3

II.1 Tài khoản người dung vs TK nhóm (tt)

a) Tài khoản người dung (tt)

 Tài khoản người dụng cục bộ

 local user account

 được định nghĩa trên máy cục bộ

và chỉ được phép logon, truy cập

các tài nguyên trên máy tính cục

bộ

 tạo ra trên máy stand-alone

server, member server hoặc

các máy trạm

58

3

II.1 Tài khoản người dung vs TK nhóm (tt)

a) Tài khoản người dùng (tt)

 Tài khoản người dụng MIỀN

 Domain user account

 là tài khoản người dùng được

định nghĩa trên AD

 và được phép đăng nhập (logon)

vào mạng trên bất kỳ máy trạm

nào thuộc vùng

59

Khác với tài khoản người dùng cục bộ, tài khoản người

dùng miền không chứa trong các tập tin cơ sở dữ liệu

SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì

tập tin này chứa trong thư mục \Windows\NTDS.

3

II.1 Tài khoản người dung vs TK nhóm (tt)

a) Tài khoản người dùng (tt)

Yêu cầu tài khoản người dùng

 Username: dài 1-20 ký tự

 Username là một chuổi duy nhất

 Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < > ”

 Username có thể chứa các ký tự đặc biệt: dấu chấm câu, khoảng trắng, dấu

gạch ngang, dấu gạch dưới.

3

II.1 Tài khoản người dung vs TK nhóm (tt)

b) Tài khoản nhóm

 Group account

 là một đối tượng đại diện cho một nhóm người nào đó,

 dùng cho việc quản lý chung các đối tượng người dùng

 Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng

cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy

in

 Có 2 loại tài khoản nhóm

 nhóm bảo mật (security group)

 nhóm phân phối (distribution group).

61

3

II.1 Tài khoản người dung vs TK nhóm (tt)

b.1) Tài khoản nhóm bảo mật

 Nhóm bảo mật là loại nhóm được dùng để cấp phát các quyền hệ

thống (rights) và quyền truy cập (permission).

 Có 4 loại nhóm bảo mật chính là:

 Local group (Machine Local): nhóm cục bộ máy

 Domain local: nhóm cục bộ miền

 Global : nhóm toàn cục hay nhóm toàn mạng

 Universal: nhóm phổ quát

62

3

II.1 Tài khoản người dung vs TK nhóm (tt)

b.1) Tài khoản nhóm bảo mật

Domain local group (nhóm cục bộ miền)

 là loại nhóm cục bộ đặc biệt vì chúng là local group nhưng nằm trên máy Domain

II.1 Tài khoản người dung vs TK nhóm (tt)

b.1) Tài khoản nhóm bảo mật

 Global group (nhóm toàn cục hay nhóm toàn mạng)

 là loại nhóm nằm trong Active Directory và được tạo trên các Domain

Controller

 Chúng dùng để cấp phát những quyền hệ thống (rights) và quyền truy

(permission) cập vượt qua những ranh giới của một miền

Universal group (nhóm phổ quát)

 là loại nhóm có chức năng giống như global group

 nhưng nó dùng để cấp quyền cho các đối tượng trên khắp các miền trong

một rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau

64

3

II.1 Tài khoản người dung vs TK nhóm (tt)

b.2) Tài khoản nhóm PHÂN PHỐI

 Nhóm phân phối là một loại nhóm phi bảo mật,

 không có SID và

 không xuất hiện trong các ACL(Access Control List)

 Loại nhóm này không được dùng bởi các nhà quản trị

 mà được dùng bởi các phần mềm và dịch vụ Chúng được dùng

để phân phối thư (e-mail) hoặc các tin nhắn (message)

Global, Universal đều có thể đặt vào

trong nhóm Machine Local.

 Tất cả các nhóm Domain local,

Global, Universal đều có thể đặt vào

trong chính loại nhóm của mình.

 Nhóm Global và Universal có thể đặt

vào trong nhóm Domain local.

 Nhóm Global có thể đặt vào trong

nhóm Universal

3

II.3 Các tài khoản tạo sẵn

a) Các tài khoản người dùng tạo sẵn (Built-in User)

II.3 Các tài khoản tạo sẵn (tt)

II.3 Các tài khoản tạo sẵn (tt)

c) Các tài khoản nhóm toàn cục tạo sẵn

3

II.3 Các tài khoản tạo sẵn (tt)

d)

Nhóm tạo sẵn

đặc biệt

không xuất hiện trên

cửa sổ của công cụ

Active Directory User

and Computer, mà

chỉ xuất hiện trên các

ACL của các tài nguyên

và đối tượng

73

3

II.4 Công cụ quản lý TK User và Nhóm cục bộ

4.1 Công cụ quản lý tài khoản người dùng cục bộ

Dùng công cụ Local Users and Groups

Có 2 phương thức truy cập đến công cụ Local Users and Groups

Lệnh MMC.exe

74

Các tính năng trên đây chỉ được thực hiện trên máy chủ chưa nâng

cấp lên máy điều khiển vùng (chỉ thực hiện được trên các Stand Alone

server)

3

II.4 Công cụ quản lý TK User và Nhóm cục bộ(t)

4.1 Công cụ quản lý tài khoản người dùng cục bộ (t)

Start Administrative tools ManagementComputer

3

II.4 Công cụ quản lý TK User và Nhóm cục bộ(t)

4.1 Công cụ quản lý tài khoản người dùng cục bộ (t)

Các bước chèn Local Users and Groups snap-in vào trong MMC

76

Start Run MMC.exe

3

II.4 Công cụ quản lý TK User và Nhóm cục bộ(t)

4.1 Công cụ quản lý tài khoản người dùng cục bộ (t)

Các thao tác

Tạo tài khoản mới (New User)

Xoá tài khoản (Delete)

Khoá tài khoản (Account is disabled)

Đổi tên tài khoản (Rename)

Thay đổi mật khẩu (Set Password)

Làm thành viên của nhóm (Member Of)

II.5 Công cụ quản lý TK User và Nhóm trên AD

Snap-II.5 Công cụ quản lý TK User và Nhóm trên AD

5.1 Công cụ quản lý tài khoản người dùng trên AD

Các thao tác

Tạo tài khoản mới

New  User)

 Xoá tài khoản (Delete)

 Đổi tên tài khoản (Rename)

 Khoá tài khoản (Disable Account)

 Đặt lại mật khẩu (Reset Password)

 Gán vào nhóm (Add to Group)

Thay đổi thuộc tính của tài khoản (Properties)

II.5 Công cụ quản lý TK User và Nhóm trên AD

Thuộc tính của tài khoản (Properties)

 Tab General: chứa các thông tin chung của người dùng trên mạng

 Tab Account: cho phép ta

 khai báo lại username

 quy định giờ logon vào mạng cho người dùng (Logon hours)

 quy định máy trạm mà người dùng có thể sử dụng để vào mạng (LogonTo)

 quy định các chính sách tài khoản cho người dùng (Account Option)

 quy định thời điểm hết hạn của tài khoản… (Account expires)

82

3

83

3

II.5 Công cụ quản lý TK User và Nhóm trên AD

Thuộc tính của tài khoản (tt)

 Tab Profile: : cho phép quản trị

 khai báo đường dẫn đến Profile của tài khoản người dùng hiện tại,

 khai báo tập tin logon script được tự động thi hành khi người dùng

đăng nhập

 khai báo home folder.

chủ yếu phục vụ cho các máy trạm trước Windows 2000,

Các phiên bản sau, thì chúng ta có thể cấu hình các lựa chọn này

trong Group Policy.

3

II.5 Công cụ quản lý TK User và Nhóm trên AD

5.1 Công cụ quản lý tài khoản người dùng trên AD

Thuộc tính của tài khoản (tt)

 Tab Profile: :

 Tạo home folder.

85

3

II.6 Quản lý TK User và Group bằng dòng lệnh

Để có thể được dùng trong các tập tin xử lý theo lô (batch) hoặc các

tập tin kịch bản (script)

a) Lệnh net user: tạo thêm, hiệu chỉnh và hiển thị thông tin

của các tài khoản người dùng

net user [username [password | *] [options]] [/domain]

net user username {password | *} /add [options] [/domain]

net user username [/delete] [/domain]

86

3

3

II.6 Quản lý TK User và Group bằng dòng lệnh (tt)

b) Lệnh net group: tạo mới thêm, hiển thị hoặc hiệu chỉnh nhóm

toàn cục trên Windows Server domains,

Cú pháp

 net group [groupname [/comment:"text"]] [/domain]

 net group groupname {/add [/comment:"text"] | /delete} [/domain]

 net group groupname username[ ] {/add | /delete} [/domain]

88

3

II.6 Quản lý TK User và Group bằng dòng lệnh (tt)

c) Lệnh net localgroup : tạo mới thêm, hiển thị hoặc hiệu chỉnh nhóm

cục bộ,

Cú pháp

89

3

II.6 Quản lý TK User và Group bằng dòng lệnh (tt)

c) Lệnh dsadd user, dsmod user: tạo mới, chỉnh sửa tài khoản người

dùng

 Các ví dụ:

dsmod user "CN=Don Funk,CN=Users,DC=Microsoft, DC=Com" -pwd A1b2C3d4

-mustchpwd yes

 dsmod user "CN=Don Funk,CN=Users,DC=Microsoft, DC=Com" "CN=Denise

Smith,CN=Users,DC=Microsoft, DC=Com" -pwd A1b2C3d4 -mustchpwd yes

 dsmod user "CN=Don Funk,CN=Users,DC=Microsoft, DC=Com" "CN=Denise

Smith,CN=Users,DC=Microsoft, DC=Com" -disabled yes

 dsmod user "CN=Don Funk,CN=Users,DC=Microsoft, DC=Com" pwd A1b2C3d4

-mustchpwd yes

3

Sử dụng cú pháp

Tên lệnh /?

Để xem cách viết lệnh

III.1 Group Policy

Group Policy cho phép người quản trị để tự động hóa quản

lý một tới nhiều người dùng và máy tính khác nhau.

 Sử dụng Group Policy để:

 Áp đặt các cấu hình chuẩn

 Triển khai cài đặt phần mềm

 Thực thi các thiết lập bảo mật

 Thực thi 1 môi trường máy tính để bàn phù hợp

 Local Group Policy luôn luôn có hiệu lực cho các thiệt lập

tới người dùng, máy tính là domain nội bộ.

3

III.1 Group Policy

III.1 Group Policy

Group Policy được áp dụng như thế nào?

 Khi Máy tính khởi động

Áp đặt các thiết lập ban đầu cho máy tính

Chạy các kịch bản khởi động

 Chu kỳ refresh: mỗi 90 phút

 Khi Người dùng đăng nhập

Áp đặt các thiết lập cho người dùng

Start Administrative Tools

Domain Security Policy Hoặc Local Security Policy

3

III.2 Chính sách hệ thống

a) Chính sách tài khoản người dùng

1 Chính sách mật khẩu (Password Policies)

 nhằm đảm bảo an toàn cho tài khoản của người dùng

97

3

III.2 Chính sách hệ thống

a) Chính sách tài khoản người dùng

1 Chính sách mật khẩu (Password Policies) (t)

 nhằm đảm bảo an toàn cho tài khoản của người dùng

98

Chính sách Mô tả Mặc định

Enforce Password History Số lần đặt mật khẩu không được trùng nhau 24

Maximum Password Age Quy định số ngày nhiều nhất mà mật mã người

Minimum Password Age Quy số này tối thiểu trước khi người dùng có thể

Minimum Password Length Chiều dài ngắn nhất của mật mã 7

Passwords Must Meet

Complexity Requirements

Mật khẩu phải có độ phức tạp như: có ký tự hoa,

thường, có ký số.

Cho phép Store Password Using Mật mã người dùng được lưu dưới dạng mã hóa Không cho phép

3

III.2 Chính sách hệ thống

a) Chính sách tài khoản người dùng (t)

2 Chính sách khóa tài khoản (Account Lockout Policy)

 Quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống

cục bộ

 Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa.

3

III.2 Chính sách hệ thống

a) Chính sách tài khoản người dùng (t)

2 Chính sách khóa tài khoản (Account Lockout Policy) (t)

 Quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống

nhập trước khi tài khoản bị khóa

0 (tài khoản sẽ không bị khóa) Account Lockout

Duration

Quy định thời gian khóa tài khoản 0, nhưng nếu Account Lockout Threshold

được thiết lập thì giá trị này là 30 phút Reset Account Lockout

Counter After

Quy định thời gian đếm lại số lần

đăng nhập không thành công

0, nhưng nếu Account Lockout Threshold được thiết lập thì giá trị này là 30 phút

3

III.2 Chính sách hệ thống

b) Chính sách cục bộ

Cho phép quản trị viên thiết lập các chính sách giám sát các đối

tượng trên mạng như người dùng và tài nguyên dùng chung.

 Đồng thời dựa vào công cụ này để cấp quyền hệ thống (User Rights

Assignment) cho các người dùng và thiết lập các tùy chọn bảo mật

1) Chính sách kiểm toán (Audit Policy)

 cho phép giám sát và ghi nhận các sự kiện xảy ra trong hệ thống,

trên các đối tượng cũng như đối với các người dùng

 Quản trị có thể xem các ghi nhận này thông qua công cụ Event Viewer

trong mục Security

3