Bai giang quan tri mang windows Quan ly tap trung

MẠNG QUẢN TRỊ TẬP TRUNG Mô hình quản trị Doanh nghiệp trong quản trị mạng tập trung Quản trị Doanh nghiệp Quản trị mạng tập trung Công ty / Công ty con Domain / Sub-Domain Tên Công ty /

Trang 1

QUẢN TRỊ MẠNG MÁY TÍNH

Giảng Viên: ThS Vương Xuân Chí Email: vxchi@ntt.edu.vn 0903.270.567

TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH

KHOA CÔNG NGHỆ THÔNG TIN

1

 Chương 1 Quản trị hệ thống mạng workgroup.

MÔN HỌC: QUẢN TRỊ MẠNG MÁY TÍNH

2

Tổng quan về quyền truy xuất tài nguyên File

NTFS Permission

Share Folder

Kết hợp Share Permission và NTFS Permission

Hoạt động in ấn trong Window

QUẢN TRỊ HỆ THỐNG MẠNG WORKGROUP

3

TỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN

Khi người dùng truy xuất đến các tài nguyên hệ thống thìphải có một tài khoản nhất định, mỗi tài khoản có một mức

độ truy cập nhất định

Permission

4

Quyền truy xuất tài nguyên

Người dùng muốn sử dụng tài nguyên hệ thống mạng: PC, Folder, File,

Printer phải có một tài khoản nhất định

Tài khoản còn gọi là username, được tạo ra và có một ID nhất định

trên toàn hệ thống

Khi người dùng truy xuất tài nguyên sẽ có sự xác thực của hệ thống

Để xác thực quyền truy xuất tài nguyên của người dùng hệ thống dựa

vào: SID, DACL, ACL

5

Permission là gì?

Permission là quyền truy xuất tài nguyên của người dùng

Permission được dùng để gán cho các đối tượng muốn bảo mật: file, folder, printer,

Permission được áp dụng cho user, group hay computer trên Active Directory hay Local on computer

oRead oWrite oDelete

6

Trang 2

Quyền truy xuất tài nguyên

SID (Security Identifier): số nhận dạng bảo mật Thành phần nhận dạng

không trùng lặp được hệ thống tạo ra với tài khoản và dùng cho hệ thống

nhận dạng

DACL (Discretionary Access Control List ): danh sách điều khiển truy

cập của chủ sở hữu, chủ sỡ hữu đối tượng có quyền thay đổi nội dung danh

sách này Cho phép hoặc không cho phép truy cập đối tượng

ACL (Access Control List): danh sách điều khiển truy cập, chứa nhiều ACE

là các phần tử Mỗi ACE chứa một số bảo mật SID của người dùng hoặc

nhóm người dùng, danh sách quy định người dùng được phép hay không

được phép truy cập đến đối tượng (gọi là Access Mask)

7

Quyền truy xuất tài nguyênTỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN

8

Ưu điểm của NTFS

Độ tin cậy cao

Bảo mật cao

Tăng khả năng lưu trữ

Nhiều phân quyền hơn cho user

NTFS PERMISSION

NTFS hệ thống tập tin trên phân vùng định dạng NTFS của ổ cứng, cung cấp khả năng

bảo mật file và folder tốt nhất gọi là NTFS Permission

List Folder Contents

Full Control Modify Read & Execute Write Read

12

Trang 3

Standard Permission và Special Permission

Special Permission là các quyền

chi tiết của hệ thống

Liệt kê các quyền của một quyền

chuẩn

Nó cung khả năng phân quyền

một cách chi tiết cho các đối

tượng

NTFS PERMISSION

15

Tính kế thừa của Permission

Mặc định các File/Folder con thừa hưởng các thuộc tính của thư mục cha

NTFS PERMISSION

16

Tính kế thừa của Permission

Người quản trị có thể bỏ tính thừa hưởng đó để phân quyền

cho các thư mục con và file cụ thể hơn

NTFS PERMISSION

17

Chia sẻ tài nguyên ?

Là thư mục được người chia sẻ trên mạng và cấp quyền truy xuất cho ngườidùng thông qua Share Permission

Shared folder có biểu tượng hình bàn tay bên dưới

CHIA SẺ TÀI NGUYÊN QUA MẠNG

Thư mục chia sẻ cho phép người dùng truy xuất qua mạng Khi một folder được share người dùng có thể truy xuất các file và subfolder trong đó với quyền hạn tương ứng

được gán trên đó

18

Trang 4

Cơ chế chia sẻ tài nguyên

20

Quản trị Shared Folder

Người dùng có thể share một folder, không

thể share file

Khi một folder được share thì quyền Read sẽ

được gán mặc định cho nhóm Everyone,

chúng ta cần removed nhóm đó ra trước

(nếu cần thiết)

Khi một user hoặc group được thêm vào sẽ

được gán quyền Read

21

Quản trị Shared Folder

Các thư mục chia sẽ ẩn sẽ thêm vào ký hiệu $ vào cuốishare name

Thể truy cập đến tài nguyên chia sẽ như sau:

\\Server\Foldershare

\\Server\Foldershare$

Ánh xạ ổ đĩa mạng (Map Network Drive)

22

Shared Folder mặc định

Mặc định Windows share các folder và ổ đĩa để phục vụ cho công việc

quản trị

Các folder được share ẩn với ký tự $ ở cuối tên folder hoặc ổ đĩa

Người quản trị có thể kết hợp Share Permission và NTFS Permission để

bảo mật tài nguyên tốt hơn

24

Trang 5

HOẠT ĐỘNG IN ẤN TRONG WINDOWS

Các thuật ngữ trong máy in

Windows Server giúp cho người quản trị dễ dàng cài đặt máy in mạng và cấu

hình những tài nguyên in từ một vị trí trung tâm

25

Các thuật ngữ trong máy in

Printer ServerPrint ClientPrint devicePrinterPrinter Pooling: phối hợp nhiều máy in vật lý vào chung một máy inlogic

Printer Queue: hàng đợi của máy in trước khi đưa tài liệu vào in

Printer Spooler: bộ điều phối in ấn

3

Print Processor 6

AppleTalk Print Server

Print Device

Là một nhà quản trị mạng, bạn phải quản trị cả hai loại máy in: một máy in cục bộ và một máy

in mạng Bạn phải tạo cả hai loại máy in trước khi share chúng cho các user khác sử dụng

28

So sánh

LOCAL PRINTER VÀ NETWORK PRINTER

Thuận lợi - Thiết bị in ở trạng thái

gần với máy tính của user

- Plug and Play có thể phát

- Driver phải được cài đặt

trên mỗi máy Local.

- Phải hỗ trợ việc phân driver cho nhiều client.

29

TRIỂN KHAI MÁY IN LOCAL VÀ NETWORK

Để cài và share một local printer, chúng ta sử dụng Add Printer Wizard trong cửa sổ Printers and Faxes

30

Trang 6

TRIỂN KHAI MÁY IN LOCAL VÀ NETWORK

31

QUẢN LÝ TRUY CẬP MÁY IN

Print - User có thể kết nối tới máy in và gửi những tài liệu in tới máy in.

Manage Printers - User có thể thực hiện các thao tác kết hợp với quyền

thể ngừng và restart máy in, thay đổi các thiết lập các thuộc tính máy in.

Manage Documents

- User có thể ngưng, tiếp tục lại, restart, bỏ qua và sắp user khác.

Quyền truy xuất máy in

Chương 2 Quản trị hệ thống mạng Tập trung.

35

NHỮNG KHÓ KHĂN CỦA QUẢN TRỊ MẠNG NGANG HÀNG

Phức tạp khi có nhiều người dùng – nhiều máy tính, muốn truy cập dữ liệu lẫn nhau:

Trên mỗi máy tính: phải tạo n tài khoản cho n người dùng.

Hoặc: mỗi người dùng phải nhớ thông

tin m tài khoản truy cập vào m máy tính.

Khi triển khai các phần mềm, chínhsách… người quản trị phải thao tác trêntừng máy tính

Không kiểm soát được các hành độngcủa người dùng trên máy của họ

Trang 7

MẠNG QUẢN TRỊ TẬP TRUNG

Tập trung tất cả các tài nguyên mạng vào

một “miền quản trị” (Domain)

Mỗi miền quản trị có một tài khoản toàn

quyền quản lý tất cả tài nguyên mạng

(Administrator, Root, Supervisor…)

Các chính sách triển khai trên miền sẽ được

tất cá đối tương mạng trong miền tuân thủ

Các tài nguyên mạng / đối tượng mạng được

quản lý theo các danh mục (Directory)

Mô hình quản trị Doanh nghiệp trong quản trị mạng tập trung

Quản trị Doanh nghiệp Quản trị mạng tập trung

Công ty / Công ty con Domain / Sub-Domain

Tên Công ty / Doanh nghiệp Domain Name

Mối quan hệ, liên kết giữa các Công ty Ralationship

Trụ sở Công ty / Công ty con Site

Các Phòng, Ban, Đơn vị thuộc Công ty Organization Unit (OU)

Nhân sự / Nhóm nhân sự User / Group

Mô hình quản trị Doanh nghiệp trong quản trị mạng tập trung

Quản trị Doanh nghiệp Quản trị mạng tập trung

Tài sản Computer, Printer, File, Software, Data

Các chính sách, quy định… Group Policy

Hồ sơ quản lý nhân sự, tài sản… Directory

Các sơ đồ tổ chức, tiêu chuẩn, quy cách

các thành phần trong sơ đồ tổ chức Schema

Dữ liệu lưu trữ hồ sơ quản lý, sơ đồ tổ

chức, danh sách nhân sự, tài sản… Database của Domain

Chữ ký, con dấu, xác thực… Authority services

Giới thiệu Active Directory:

Chức năng của AD:

Lưu trữ tập trung danh sách tài khoản người, tài khoản máy tính

Cung cấp một Server đóng vai trò máy chủ chứng thực gọi là Domain Controller

Lưu giữ bảng chỉ mục của các tài nguyên trên mạng

Cho phép tạo ra các tài khoản có quyền hạn nhất định trong hệ thống

Cho phép chia nhỏ hệ thống thành những miền nhỏ hơn để dễ dàng quản lí và

ủy quyền trong hệ thống

ACTIVE DIRECTORY (AD)

Active Directory là dịch vụ hệ thống quan trọng bậc nhất với vai trò lưu trữ toàn bộ thông

tin và database của hệ thống mạng

40

Active Directory Database

Active directory objects

Dữ liệu trong AD là thông tin

users, máy in, server, máy

tính, … được tổ chức như là

một object

Mỗi object có những thuộc

tính riêng đặc trưng cho

object đó

Object đặc biêt là container

chứa được các object khác

41

Active Directory DatabaseActive directory schemaDữ liệu lưu trữ chính trong

AD là Active Directory Schema

AD Schema là danh sách cácđịnh nghĩa xác định các loạiđối tượng và các loại thôngtin về đối tượng lưu trữ trongAD

42

Trang 8

Kiến trúc của dịch vụ Active Directory được chia làm hai phần chính:

cấu trúc luận lý và cấu trúc vật lý

43

Cấu trúc luận lý:

DomainDomain đóng vai trò là khu vựcquản trị

Quản lí bảo mật các đối tượngchia sẽ

Cung cấp Server dự phòngđóng vai tròn điều khiển vùng,

AD OU là vật chứa các đối

tượng khác: User, PC, Printer

OU dùng để ủy quyền kiểm

soát các tài khoản người dùng,

máy tính, tài nguyên mạng

Domain được tạo ra đầu tiên gọi là domain root

Tất cả nhưng domain con được tạo ra sau

đó gọi là sub-domain Các sub-domain phải khác nhau

Khi có một root domain và sub-domain thìhình thành một Tree domain

tree lại với nhau để

tiện cho việc quản lí

CÁC THÀNH PHẦN CỦA AD

47

Cấu trúc vật lý:

SiteDùng để phân biệt giữa các tài khoản, máy tính, tài nguyên mạng ở vị trí cục bộ và vị trí xa xôi

Dùng tập hợp những tài khoản, máy tính, tài nguyên mạng ở trong cùng một khu vực

Site Link

IP Subnet

IP SubnetSite

B 3

B

Cost

48

Trang 9

Cấu trúc vật lý:

Domain Controller Server

Lưu giữ dịch vụ bản sao

- XÂY DỰNG ADDITAIONAL DOMAIN CONTROLLER

Active Directory Users And Computers (ADUC)

Builtin: quản lí tất cả các Groups do Windows tạo ra

Computers :quản lí tất cả các máy tính khi gia nhập vào

domain

Users: chứa tất cả các tài khoản người dùng trong domain

Domain Controller : quản lí tất cả các máy chủ DC có trong

CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY

Hiểu được quy trình làm việc của Active Directory

Domain OU1 Computers Computer1 Users Users OU2 Printers

TaiTV

Attributes Values Name Building Floor

Tran Van AA 300A NTT 2

54

Trang 10

Active directory schema

Định nghĩa tất cả các object được quản lý trong Active Directory

Schema được tạo thành từ các object class và các attribute

55

Global catalog (GC)

GC lưu trữ tất cả các object của miền chứa GC và một phần các objectthường được người dùng tìm kiếm của các domain khác trong forest

Global catalog lưu trữ:

Những thuộc tính thường dùng trong việc truy vấn như user’s firstname, last name, logon name

Thông tin cần thiết để xác định vị trí của bất kỳ object nào trongactive directory

Tập hợp các thuộc tính mặc định cho mỗi loại objectQuyền truy cập đến mỗi object

56

Global catalog server

GC server là một Domain Controller xử lý tất cả các truy vấn liên quan

Relative distinguished name (RDN): là phần tên cũng chính là thuộc tính của đối tượng

Ví dụ:

DN: CN=VXCHI,OU=KhoaCNTT,OU=HCM,DC=abc,DC=com RDN: CN=VXCHI

abc.com HCM KhoaCNTT VXCHI

58

Cơ chế single sign-on

Mỗi user chỉ dùng 1 account cho nhiều dịch vụ

Làm đơn giản hoá việc quản lý và sử dụng

Domain Controller Server XYZ

Windows xp

Log On to Windows

REDMOND

59

Cơ chế quản lý Active Directory

Các công cụ quản lý Active Directory.

How to Examine Active Directory.

KHẢO SÁT ACTIVE DIRECTORY

60

Trang 11

Hiểu được cơ chế quản lý tập trung và uỷ quyền quản lý trong Active Directory

Cơ chế quản lý Active Directory

Tập trung

Cho phép admin có thể quản trị tài nguyên tập trung

Cho phép admin có thể xác định thông tin của các

object

Cho phép dùng chính sách nhóm để quản lý user

Active Directory Users and Computer (ADUC)

Active Directory Domains and Trusts (ADDT)

Active Directory Site and Services (ADSS)

Active Directory Schema (ADS)

Command-Lines Administrative Tool

Dsquery CSVDE

Dsmove LDIFDE

Windows Script Host

63

GIỚI THIỆU OPERATION MASTER ROLES

First domain controller in the forest root domain

Forest-wide roles Schema master Domain naming master

PDC emulator RID master Infrastructure master

Domain-wide roles PDC emulator RID master Infrastructure master

Domain-wide roles RID master PDC emulator Infrastructure master

64

Schema Master Role

Chức năng lưu trữ cấu trúc Schema của Forest

Cấu trúc Schema là chung cho toàn Forest

Schema Master Role mặc định được quản lý bởi P.DC của Forest Root

Domain

65

Domain Naming Master RoleQuản lý cấu trúc các Domain trong Forest (quan hệ Domain con, Domain cha, Trust Domain, …)

Nếu PC giữ Domain Naming Master Role chết thì không tạođược Domain mới, không tạo được quan hệ Trust

Domain Naming Master Role mặc định được quản lý bởi P.DC của Forest Root Domain

66

Trang 12

RID Master Role

Quản lý Security Identifiler (SID) của đối tương trong Domain (user, group, OU, …)

P.DC của mỗi Domain giữ vai trò này (trong 1 Forest có thể có nhiều PC giữ Role

này)

Infrastructure Master Role

Quản lý mối quan hệ giữa các đối tượng trong các Domain (trong mỗi domain có 1

DC giữ role này).

P.DC của mỗi Domain giữ Role này (trong 1 Forest có thể có nhiều PC giữ Role này).

PDC Emulator Role

Giả lập một DC của Windows NT, dùng để replicate với các DC sử dụng Windows NT

P.DC của mỗi Domain giữ Role này (trong 1 Forest có thể có nhiều PC giữ Role này)

67

Tổng quan về quá trình thiết kế, lập kế hoạch

và triển khai ADTheo nhu cầu của tổ chức Tiến trình thiết kế AD

Tiến trình lập kế hoạch xây dựng AD Tiến trình triển khai AD

THIẾT KẾ, LẬP KẾ HOẠCH VÀ TRIỂN KHAI AD

68

Tổng quan về quá trình thiết kế, lập kế hoạch và

triển khai AD Theo nhu cầu của tổ chức

Nắm được nguyên tắc khi thiết kế và triển khai dịch vụ Active Directory

Dựa trên yêu cầu tổ chức của DN

Thiết kế AD

Dựa trên chi tiết kỹ thuật của bản thiết kế

Xây dựng tài liệu hướng dẫn triển khai

Kế hoạch triển khai AD

Tạo cấu trúc forest và domain

Kết quả:

Thiết kế Forest và domain Thiết kế Organizational unit

Thiết kế Site

70

Tiến trình lập kế hoạch xây dựng AD

Chiến lược tài

71

Tiến trình triển khai AD

Thực thi kế hoạch triển khai Active Directory:

Triển khai cấu trúc forest, domain, và DNSTạo:

Các OU và security group

Các tài khoản User và computer

Các Group PolicyTriển khai cấu hình Site

72

Trang 13

Cơ chế hoạt động của Active Directory.

Cơ chế quản lý của Active Directory.

Kế hoạch triển khai Active Directory.

Cấu trúc luận lý của AD gồm những thành phần nào?

Cấu trúc vật lý của Active Directory gồm những thành phần nào?

Như thế nào là các server trong cùng một site?

Cơ chế làm việc của Active Directory

Các bước cần thiết khi tiến hành triển khai Active Directory

CÂU HỎI ÔN TẬP

74

75

Chương 2 Quản trị hệ thống mạng Tập trung

• Nắm được ý nghĩa của các loại tài khoản:

User, Group, Computer

• Sử dụng thành thạo các công cụ quản trịtài khoản

• Phối hợp giữa quyền Share Permission vàNTFS Permission để xây dựng hệ thốngquản lý tài nguyên dùng chung (File Server)

Domain Function Level

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER

70-294 Training Kit Planning, Implementing, and Maintaining a Microsoft Windows

Server 2003 Active Directory Infrastructure (Page 154-156/70294 )

Forest Function Level

Trang 14

Tài khoản User

Tài khoản người dùng Local (cục

Tài khoản là một đối tượng đại diện cho các user, group, computer trong

Tài khoản người dùng domain:

Được định nghĩa trênActive Directory

Tài khoản domain đượclưu trữ tại file database của DC là file NTDS.DIT thuộc thư mục

\window\ntds

Tài khoản user

Tài khoản người dùng tạo sẵn:

Được tạo sẵn khi cài đặt Window, không được xóa nhưng có thể đổi tên

Các loại tài khoản tạo sẵn như:

Administrator: tài khoản đặc biệt, toàn quyền trên hệ thống và

domain

Guest: tài khoản giới hạn, chỉ sử dụng Internet hoặc in ấn

ILS_Anonymous_User: tài khoản đặt biệt trong các ứng dụng điện

thoại

IUSR_computer_name: tài khoản dùng cho các dịch vụ dấu tên

Tài khoản nhóm (Group)

Tài khoản nhóm cục bộ (Local):

Loại nhóm trên các máy stand-alone server, member server, win2k,

window XP, chỉ có ý nghĩa và phạm vi hoạt động trên máy local

Tài khoản nhóm domain:

Được lưu trữ trên AD, có ý nghĩa thẩm định trong cả hệ thống domain

Có hai loại domain group: nhóm bảo mật (Security group), nhóm phân

phối (Distribution group)

Nhóm bảo mật là nhóm dùng để cấp quyền hệ thống và truy xuất tài

nguyên: Domain Local, Global, Universal

Nhóm phân phối là nhóm không bảo mật, không thể gán quyền, chỉ

sử dụng để phân phối mail hoặc tin nhắn

Tài khoản nhóm(Group)

Tài khoản nhóm cục bộ (Local):

Trang 15

Domain Local: là nhóm nằm trên các máy DC và có phạm vi

hoạt động trong một miền Các nhóm Builtin trong AD là

Domain Local

Global Group: là nhóm toàn cục nằm trên AD của DC

Dùng để cấp phát quyền hệ thống và truy cập tài nguyên vượt qua ranh giới của một miền

Universal Group: là nhóm phổ quát, tương tự Global Dùng để cấp

phát quyền hệ thống và truy cập tài nguyên trên khắp miền trong

Group Scope Thành viêncủa group có

thể lấy từ Domain nào? Thành viên

của group đó có thểtruycập tài nguyên của Domain nào?

1 Domain local Tất cả các domain trong

forest

Domain nội bộ

2 Global Domain nội bộ Tất cả các domain trong forest

3 Universal Tất cả các domain Tất cả các domain

Trang 16

Tài khoản nhóm Domain Local tạo sẵn:

Administrators: nhóm toàn quyền trên hệ thống Nhóm

Domain Admins và Enterprise Admins là thành viên của

Administrators

Account Operations: có quyền thao tác với các loại tài

khoản: thêm, xóa, sữa…

Domain Controllers: cho phép đăng nhập tại DC

Server Operators: được phép quản lí các DC trong miền:

cấu hình, backup, share, cài đặt…

Backup Operators: nhóm có quyền backup hệ thống

Users: đại diện cho tất cả các tài khoản người dùng

Các thao tác quản trị User và Group Local

Thêm mới userXóa user Khóa user Cập nhật thuộc tính userThay đổi mật khẩu của userThêm mới goupXóa groupĐưa user vào group

Quản trị tài khoản người dùng để phân quyền cho người dùng và giúp hệ

thống được hoạt động đúng

Tạo OU

Đưa các tài khoản User,

Group, Computer vào OU

Ủy quyền quản lý OU cho

user

QUẢN TRỊ ORGANIZATIONAL UNIT - OU

OU là đơn vị nhỏ nhất trong Domain dùng để tập hợp các tài khoản người

dùng, nhóm và máy tính để dễ quản lí và ủy quyền quản lý Đồng thời áp

Dsadd OU “OU=Saigon, OU=Maketing,DC=abc,DC=com”

Ta có thể sử dụng command line trên M-Dos để xây dựng các đối tượng: OU, User, Groups, Computers Có thể viết thành file bat để thực hiện tự động

Tạo User bằng lệnh dsadd user

dsadd user UserDomainName [-samid SAMName] [-upn UPN] [-fn

FirstName] [-ln LastName] [-display DisplayName] [-pwd

{Password|*}]

Tạo User u1 trong OU Saigon thuộc OU Maketing, trong domain

abc.com với tên đăng nhập User 1 password 123:

Dsadd user “CN=u1,OU=Saigon,OU=Maketing,DC=abc,DC=com,”

-upn u1@abc.com -fn “User” -ln “1” -pwd 123 -disabled no

Tạo Group bằng lệnh dsadd group

Dùng dsadd group để tạo một group Nhanvien thuộc OU Saigon trong OU Maketing thuộc domain abc.com, loại group Security và scope GlobalDsadd group “ CN=Nhanvien, OU=Saigon, OU=Maketing,DC=abc,DC=com” -secgrp yes -scope g

Trang 17

Add user vào group bằng lệnh dsmod group

Dùng dsmod group add user u1 thuộc OU=Saigon,OU=Maketing trong domain

Ưu điểm của việc sử dụng Offline Files

Hỗ trợ cho những user lưu động

Tự động đồng bộ

Quá trìnhthực thi thuận lợi

Backup thuận lợi

OFFLINE FILES

Offline Files là một tính năng quản lý tài liệu quan trọng cung cấp cho

các user khả năng truy xuất online hay offline nhất định tới tập tin

Profile của user:

Local Profile: loại Profile nằm trực tiếp tại máy Local, khi

user Logon vào sẽ được PC tạo một profile tại máy đó

Roaming Profile: loại Profile được lưu trử trên mạng,

người quản trị phải thêm thông tin đường dẫn của Profile

Mandatary Profile: loại Profile được lưu trử trên mạng và

người dùng chỉ được sử dụng không được thay đổi cấu hìnhProfile

Cách thức làm việc của Offline files

Khi user log off khỏi mạng: hệ điều hành Windows client đồng

bộ các tập tin mạng với bộ nhớ đệm sẽ copy các files

Khi user disconnected khỏi mạng: user sẽ làm việc với những

files được lưu trữ trong bộ nhớ cục bộ

Khi user log on trở lại vào mạng: hệ điều hành client Windows

đồng bộ bất kỳ tập tin offline nào mà user đã sửa đổi trên máy

mạng

OFFLINE FILES

Chế độ lưu trữ Offline files

Offline files lưu trữ danh sách các file thường được truy xuất vàomột folder share

OFFLINE FILES

Trang 18

Thiết lập Offline files

Computer Manager

Window Explore

Net share

OFFLINE FILES

Nêu sự giống và khác nhau của các loại tài khoản người dùng

Thông tin định dang mỗi loại tài khoản là duy nhất trong hệ thống

Nêu các loại tài khoản người dùng và tài khoản nhóm có quyền quản lí

hệ thống

Nêu các đặc tính đặc trưng của tài khoản người dùng domain

Các thao tác quản lý tài khoản người dùng và tài khoản nhóm

Ý nghĩa của việc sử dụng các dòng lệnh tạo các đối tượng trong AD

Phạm vi của các loại tài khoản nhóm: Domain Local, Global, Universal

CÂU HỎI ÔN TẬP

Hạn chế của File Server

DISTRIBUTE FILE SYSTEM – DFS

Muốn tập trung các File Server để truy cập bằng một

tên chung  User chỉ cần nhớ 1 tên chung.

Cân bằng tải (Load Balancing) cho các File Server.

Đảm bảo đồng bộ dữ liệu giữa các File Server.

Tăng khả năng sẳng sàng (Fault Tolerant) cho các File

Server  không làm ngưng trệ công việc

Các khái niệm cơ bản Root: là bảng chỉ mục (giống như mục lục của một quyển

sách) để liên kết đến dữ liệu

Ví dụ: PC1 chứa Root  PC1 không hoạt động?

PC2 cũng chứa Root dự phòng,Root trên PC2 gọi là Root Target

Trang 19

Các khái niệm cơ bản

Domain Root:

Chỉ hỗ trợ trên Domain

Có khả năng cung cấp chịu lổi(Fault-Tolerant)

User truy cập dữ liệu bằng tên Domain(\\abc.com)

Stand-alone Root:

Có thể dùng Workgroup và Domain

Không có khả năng chịu lổi(Fault-Tolerant),

Chỉ tạo được Root(không tạo được Target Root),

User truy cập dữ liệu bằng tên máy chứa Root(\\PC1)

Link: là một dòng(record) trong bảng chỉ mục

Link Target: là dữ liệu được đồng bộ giữa các File Server(Ví dụ:

Thư mục DataChung)

Triển Khai DFS DISTRIBUTE FILE SYSTEM – DFS

Chương 2 Quản trị hệ thống mạng Tập trung

(tt) Giới thiệu chính sách tài khoản người dùngGiới thiệu Group Policy Object(GPO)

Triển khai Domain GPOQuản lý và triển khai GPOQuản lý User và Group với GPOChẩn đoán và xử lý lỗiCâu hỏi ôn tập

QUẢN TRỊ CÁC CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM

Chính sách hệ thống & chính sách nhóm Group Policy là chính sách mạng Nó giúp người quản trị quản trị hệ thống mạng tối ưu nhất và mọi

chính sách được đảm bảo thực thi

Hiểu rõ được ý nghĩa của System Policy và

Group Policy

Triển khai các chính sách bảo mật tài khoản

người dùng

Triển khai Group Policy trên Domain và OU

Dùng Group Policy tự động hóa các công tác

quản trị User và Computer

Xử lý lỗi thông dụng khi triển khai Group Policy

MỤC TIÊU BÀI HỌC

Faculty of Information Technology

GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG

Chính sách tài khoản người dùng (Account Policy) dùng để chỉ địnhcác chính sách liên quan tới các thông số cấu hình của tài khoảnngười dùng

Để cấu hình chính sách tài khoản người dùng ta dùng một trong 2

bộ công cụ sau:

Workgroup: Local Security Policy

Domain: Domain Security Policy

Trang 20

Local Security Policy

Maximum password age Số ngày tối đa mật khẩu có hiệu lực 42

Minimum password age Số ngày tối thiểu trước khi người

dùng có thể thay đổi mật khẩu

1

Minimum password length Độ dài tối thiểu của một mật khẩu 7

Password must meet

complexity requirements

Độ phức tạp của mật khẩu (ký tự số,

ký tự thường, hoa, đặc biệt…)

Có

Store password using reversible

encryption for all users in the

domain

Mật khẩu được lưu dưới dạng mã

hóa

Không có

Account Lockout Threshold

Quy định số lần cố gắng đăng nhập hệ thống trước khi tài khoản bị khóa 0

Account Lockout Duration Quy định thời gian khóa tài khoản người

định Reset Account Lockout

Counter After

Quy định thời gian khởi động lại bộ đếm

số lần đăng nhập không thành công Không chỉ định

Chính sách kiểm toán quy định việc giám sát, ghi nhận các sự

kiện diễn ra trong hệ thống

Audit account logon events Ghi nhận những sự kiện như tài khoản đăng nhập,

logon, logoff…

Audit account management Ghi nhận sự thay đổi của các thông tin, thao tác

quản trị liên quan tới tài khoản người dùng Audit directory service access Ghi nhận việc truy cập tới các dịnh vụ thư mục

Audit logon events Ghi nhận các sự kiện đăng nhập

Audit object access Ghi nhận việc truy cập tới các đối tượng như tập

tin, thư mục, máy in…

Audit policy change Ghi nhận các thay đổi trong chính sách kiểm toán

Trang 21

Audit privilege use Ghi nhận các thao tác quản trị trên hệ thống như

cấp hoặc xóa quyền một người dùng nào đó Audit process tracking Ghi nhận hoạt động của các tiến trình hay hệ điều

hành Audit system event Ghi nhận các sự kiện khi tắt/mở máy

Giới thiệu Group Policy Object (GPO)

Domain

OU

Site GPO

Group Policy là một thành phần quan trọng, nó giúp người quản trị có

sử dụng theo một khuôn phép nhất định

Chức năng của GPO

Triển khai phần mềm ứng dụng

Gán quyền hệ thống cho người dùng

Giới hạn những ứng dụng cho người dùng được phép thi hành

Kiểm soát các thiết lập hệ thống

Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy

Đơn giản hóa và hạn chế các chương trình

Hạn chế tổng quát màn hình Desktop của người dùng

GIỚI THIỆU GROUP POLICY OBJECT (GPO)

Các thành phần của GPO

Group Policy settings for users :

TRIỂN KHAI DOMAIN GPO

Active Directory Users and Computers

Active Directory Sites and Services

Local Security Policy

Group Policy Management

Để triển khai Domain GPO người quản trị phải đăng nhập vào hệ thống với thàn viên Domain Admins group, Enterprise Admins group hay Group Policy Creator

Owners group

Trang 22

Slide 127

Active Directory Users and Computers

Slide 128

Group Policy Management

Slide 129

Group Policy Management

Organizational Unit

Site GPO Domain GPO

Site Domain

OU OU OUGPO Links

Tính thừa kế trong GPO Domain

Group Policy được áp dụng từ dưới lên trên, nên các GPO trên cùng

được áp dụng cuối cùng

GPOs được áp dụng theo thứ tự: site, domain, OU

OU OU OU

OU OU User or

Chặn đứng việc triển khai một GPO

Mô tả các thuộc tính của một GPO link Cấu hình Group Policy ép buộc Giải thích ý nghĩa để lọc việc triển khai một GPO Cấu hình bộ lọc Group Policy

QUẢN LÝ VÀ TRIỂN KHAI GPO

Trang 23

Xung đột giữa các GPO

Những kết hợp phức tạp của GPO sẽ tạo ra sự xung đột

khi đó OU con sẽ giữ lại GPO mặc định của nó

Các tùy chọn thay đổi kế thừa mặc định

No Override

Block Policy inheritance

Sales

Production Domain

GPOs

No GPO settings apply

No Override

Trang 24

Group Policy Deny

Read and Apply Group Policy Allow GPO

QUẢN LÝ USER VÀ GROUP VỚI GPO

Nội dung chính:

Cấu hình các thiết lập GPO

Gán Scripts với Group Policy

Xác định Group Policy được áp dụng

Để quản lý môi trường làm việc user khi logon vào mạng Bằng cách điều

khiển môi trường làm việc của họ, kết nối mạng và giao diện người dùng

thông qua Group Policy

Sử dụng Script GPO

Ví dụ:

Set objNetwork = Wscript.CreateObject("WScript.Network") objNetwork.MapNetworkDrive"G:",

"\\ComputerName\ComputerName Data"

msgbox “Welcome to iSPACE Center"

Xác định GPOs được áp dụng

gpupdate

gpresult

group policy reporting

group policy modeling

group policy results

Gpupdate: refresh những thiết lập Group Policy

Syntaxgpupdate [/Target:{Computer | User}] [/Force]

[/Wait:Value] [/Logoff] [/Boot] [/Sync]

Value : 0, n, -1

Định dạng
Số trang	49
Dung lượng	6,09 MB
File đính kèm	BG_QUANTRIMANG.rar (5 MB)