o Không cho phép User truy cập vào ổ C: Tìm đến đường dẫn User Configuration\ Administrative Templates\ WindowsComponents\ Windows Exploprer, ở cửa sổ bên phải chọn dòng chữ: Prevent acc
Trang 1 Restricted Group: Các chính sách hạn chế nhóm có thể được sử dụng
để quản lý các thành viên của các nhóm tạo sẵn và các nhóm domain.Các nhóm tạo sẵn là administrators, Power Users và domain admins.Chúng ta có thể bổ sung các nhóm khác nhau đến nhóm restricted, songsong với các thành viên chi tiết của chúng Để làm được như thế, chophép chúng ta theo dõi và quản lý các nhóm này như là một phần củachính sách an toàn Nhóm restricted quản lý các thành viên của cácnhóm được tạo sẵn và cũng như các thành viên của các nhóm này Cộtmembers Of trong tab Properties của một nhóm, danh sách tất cả cácnhóm để nhóm này là một thành viên
System Services: Chúng ta có thể sử dụng các dịch vụ nhóm hệ thống
của việc thiết lập đến các thiết lập cấu hình an toàn và khởi động đối vớicác dịch vụ đang hoạt động trên một máy tính Các dịch vụ khác nhaunày có thể được cấu hình như:
Phòng giám đốc: Các User của Phòng giám đó toàn quyền trên domain,
Phòng Kế Toán: Các user thuộc phòng Kế Toán có các yêu cầu như
sau: Mật khẩu ít nhất phải 8 kí tự, thời gian thay đổi mật khẩu là 30ngày, người dùng đăng nhập sai 3 lần sẽ bị khoá account, thời gian khoá
sẽ là 5 phút, user không phải ấn tổ hợp phím Ctrl+Alt+Del khi đăng
Phòng Kinh Doanh: Các user phòng kinh doanh có các yêu cầu như
sau: Không cho phép user trên client truy cập vào ổ chứa hệ điều hành(ổ C), không được cài đặt BÀI trình, không được truy cập vào registry,không được truy cập Control panel trên máy client, ẩn cửa sổ run trênmáy client và không cho thay đổi trang home page là http://www.cms-computer.com
Phòng Bảo Hành: Các user phòng bảo hành có các yêu cầu sau: Mật
khẩu ngoài việc từ 8 kí tự trở lên thì còn phải là mật khẩu khó, tức là
phải có thêm các kí tự khác chữ và số như *, !, ~, @, #, %, (, ) Cho
phép các user trong nhóm này tắt máy từ xa, không cho phép thay đổi
Trang 2các thuộc tính của LAN và không cho phép Auto play tất cả các loại ổđĩa kể cả ổ đĩa USB.
Để thiết lập các chính sách với các yêu cầu như trên em làm như sau:
Trước hết tạo các OU tương ứng với các phòng ban của công ty, mở cửa sổ
Active Directory User and Computer, chuột phải vào tên domain chọn New và
chọn Oganizational Unit, đánh tên OU tương ứng với tên của các phòng ban để tạocác OU, mỗi phòng ban là một OU Sau đó tạo các User và Group trong từng OU.Mỗi một phòng ban có bao nhiêu người chúng ta tạo tương ứng từng đó User và tạomột Group cũng có tên là phòng ban đó Sau khi tạo User và Group xong thì addcác User của OU đó vào group vừa tạo để tiện cho việc gán quyền sau này Các thiếtđặt chính sách nhóm cho các phòng ban như sau:
Phòng Giám Đốc: Do trong chính sách nhóm có tính thừa kế và các
thiết đặt bên trong có mức ưu tiên hơn bên ngoài nên chúng ta khôngthiết đặt gì cho OU Phòng giám đốc mà chỉ tạo các user cho phòng đórồi tạo một GPO cho phòng này Mặc định mọi thiết đặt trên domain sẽđược áp xuống và phòng giám đốc thừa hưởng quyền từ domain, tức là
có mọi quyền như Admin Và ở mục Member Of chúng ta add các nhómquản trị vào user của phòng này
Phòng Kế Toán: Chuột phải vào OU phòng kế toán chọn properties,
chọn tab Group Policy, click New, đặt tên cho GPO và click Edit Doyêu cầu thiết đặt chính sách nhóm ở đây là đối với Computer nên chúng
ta thiết đặt chính sách nhóm như sau:
oMật khẩu 8 kí tự: chọn đến Computer Configuration\ Windows
setting\ Sercurity Setting\ Account policies\ Password policy, ở cửa
sổ bên phải chọn dòng chữ: Minimum password length, click đúp
và cho giá trị là 8
Trang 3oThời gian thay đổi mật khẩu là 30 ngày: Cũng với đường dẫn như
trên, ở cửa sổ bên phải chọn dòng chư: Maximum password age,
click đúp và cho giá trị là 30
oNgười dùng đăng nhập sai 3 lần sẽ bị khoá account: chọn đến
Computer Configuration\ Windows setting\ Sercurity Setting\Account policies\ Account lokout policy, cửa sổ bên phải chọn dòng
chữ: Account lonkout threshold, click đúp và cho giá trị là 3.
oThời gian khoá là 5 phút: Với đường dẫn vẫn như trên, ở cửa sổ bên
phải chọn đế dòng chữ: Account lockout duration, click đúp và chogiá trị là 5
oKhông ấn Ctrl+Alt+Del khi đăng nhập: Tìm đến đường dẫn
Computer configuration\ Windows Setting\ Sercurity setting\ Localpolicy\ Sercurity Option: Ở cửa sổ bên phải chọn đến dòng chữ:
Interactive logon: Do not require Ctrl+Alt+Del, click đúp và chọn
Enable
oThông báo của Quản trị mạng hệ thống tới các User: Tìm đến
đường dẫn Computer Configuration\ Windows setting\ Securitysetting\ Local policy\ Security Option Tại cửa sổ bên phải tìm đến
dòng chữ Messenger text for users attemping to logon, click đúp và
đánh vào thông báo của quản trị mạng như trên đã nói Tiếp theo
xuống dòng dưới là Messenger title đánh vào tiêu đề thông báo của
quản trị mạng như trên
Trang 4 Phòng Kinh Doanh: Chuột phải vào OU phòng Kinh Doanh chọn
properties, chọn tab Group Policy, click New đánh tên cho GPO củaphòng này và click Edit
o Không cho phép User truy cập vào ổ C: Tìm đến đường dẫn
User Configuration\ Administrative Templates\ WindowsComponents\ Windows Exploprer, ở cửa sổ bên phải chọn dòng
chữ: Prevent access to drivers from My Computer, click đúp
chọn enable và chọn ổ đĩa C
o Không được cài đặt phần mềm: Tìm đến đường dẫn Computer
Configuration\ Administrative Templates\ Windows Components\Windows Installer, ở cửa sổ bên phải chọn dòng đầu tiên là:
Disable windows installer, click đúp và chọn enable.
o Không được truy cập vào Registry editor: Tìm đến đường dẫn
User Configuration\ Administrative Templates\ Windows
Components\ System, ở cửa sổ bên phải chọn dòng chữ: Prevent access to registry editing tools, click đúp và chọn enable.
o Không truy cập Control Panel trên máy client: Tìm đến
đường dẫn User configuration\ Administrative templates\ Control
panel, ở cửa sổ bên phải tìm đến dòng chữ: Prohibit access to the Control Panel, click đúp và chọn enable.
o Ẩn cửa sổ Run trên client: Tìm đến đường dẫn User
configuration\ Administrative templates\ Start menu and Taskbar,
ở cửa sổ bên phải tìm đến dòng chữ: Remove Run menu from start menu, click đúp và chọn enable.
Trang 5o Không cho thay đổi trang chủ http:// www.cms-conputer.com:Trước tiên ta đặt trang chủ với địa chỉ như trên, tìm đến đườngdẫn: User configuration\ Windows settings\ Internet ExplorerMaintenance\ URLs, ở cửa sổ bên phải click đúp vào dòng:Important URLs, đánh dấu tích vào Customize Home page URL
và đánh vào ô địa chỉ URL là địa chỉ computer.com và ấn OK Sau đó tìm đến đường dẫn: Userconfiguration\ Administrative templates\ Windows Components\
http://www.cms-Internet Explorer, ở cửa sổ bên phải chọn đến dòng chữ: Disable chaning home page settings, click đúp và chọn enable.
Phòng Bảo Hành: Chuột phải vào OU phòng bảo hành chọn properties,
chọn tab Group Policy, click New đánh tên cho GPO của phòng Bảohành và click Edit
o Mật khẩu 8 kí tự và phải khó: Tìm đến đường dẫn Computer
Configuration\ Windows setting\ Sercurity setting\ Password
policy, cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp và cho vào giá trị 8, tiếp theo chọn đến dòng chữ: Password must meet complexity requirements, click đúp và
chọ enable
o Cho phép User tắt máy từ xa: Tìm đến đường dẫn Computer
Configuration\ Windows setting\ Sercutity setting\ Local Policy\User Rights Assignment, ở cửa sổ bên phải tìm đến dòng chữ:
Force shutdown from a remote system, click đúp và đánh vào
User hay Group của phòng này
Trang 6o Không cho phép thay đổi các thuộc tính của LAN: Tìm đến
đường dẫn User Configuration\ Administrative templates\Network\ Network Connections, ở cửa sổ bên phải tìm đến dòng
chữ: Prohibit access to properties of LAN connection, click đúp
và chọn enable
o Không cho Auto play tất cả các ổ đĩa: Tìm đến đường dẫn
Computer Configuration\ Administrative templates\ System, ở
cửa sổ bên phải chọn dòng chữ: Turn off Autoplay, click đúp
chọn enable và chọn All driver
Sau khi thiết lập các chính sách nhóm cho các OU xong, để việc thay đổi cóhiệu lực thì chúng ta phải khởi động lại máy chủ, nhưng chúng ta cũng có thể không
cần khởi động lại máy chủ, tại cửa sổ run ta đánh lệnh gpupdate /force, lệnh này sẽ
làm tươi lại Group Policy và cập nhật các thiết đặt mới mà chúng ta vừa thiết đặttrong Group Policy
5.0 Software Installation Servies – Dịch vụ triển khai phần mềm
5.1 Mục đích
Software Installation Service sử dụng Group Policy (chính sách nhóm) để
triển khai gói phần mềm tự động từ xa theo yêu cầu trong mạng LAN để giảm tảicho Server Không giống như cài phần mềm trực tiếp trên máy trạm, sử dụngsoftware installation servies có hai chế độ
Public: Phần mềm sẽ được hiển thị trong danh mục Add New Programs
của thành phần Add or Remove Programs Người dùng trên máy client muốn cài đặtphải ấn vào nút Add program thì BÀI trình thực sự mới được cài đặt Khi đó BÀItrình sẽ thực hiện việc cài đặt phầm mềm tự động cho đến khi hoàn thành Ngườidùng không thể remove BÀI trình phần mềm
Assign: Phần mềm sẽ xuất hiện trong danh mục Program trên thanh Start,
khi người dùng chạy shortcut thì phần mềm mới được cài đặt Người dùng có thểkhông cài gói phần mềm này và remove shortcut đi
5.2 Phương pháp triển khai
Đa số các phần mềm của Microsoft hoặc các hãng khác đều được cung cấpdưới dạng file *.exe và *.msi Software installation servies chỉ triển khai được cácgói phần mềm dạng file *.msi và *.zap Đối với các phần mềm có dạng *.msi thìquá trình triển khai đơn giản vì nó được hỗ trợ Nếu phần mềm không có dạng *.msi
mà ở dạng *.exe thì chúng ta phải chuyển file sang dạng *.zap, dạng file mà BÀItrình triển khai phần mềm cho phép Khi triển khai gói phần mềm thì chúng ta cầnshare thư mục chứa file đó và cho nhóm Everyone được quyền read
Phương pháp chuyển file *.exe sang dạng file *.zap:
Mở notepad và viết vào đoạn mã chuyển như sau:
[Application]
Trang 7Friendlyname = “Tên gói phần mềm”
Setup command = \\<Ip hoặc host của server>\<thư mục chia sẻ>\file exe
Sau đó save lại với tên file là zap
Phương pháp triển khai trên server
Software Installation Services có thể được áp dụng triển khai cho toàndomain hoặc một số OU hoặc Computer nào đó trong mạng Ví dụ triển khai góiphần mềm Microsoft Office 2003 dưới dạng Public cho OU Phòng Kế Toán để mọiUser trong OU này có thể cài đặt được Office 2003, các bước thực hiện như sau:
Trên server tìm đến thư mục Office 2003 và chia sẻ thư mục này cho nhómEveryone có quyền read Mở cửa sổ Active Directory User and Computer, chuộtphải OU phòng Kế Toán chọn Properties, chọn tab Group Policy, click vào Edit Tạicửa sổ Group Policy Object Editor tìm đến đường dẫn User Configuration\SoftwareSetting\Software Installation chuột phải chọ New package
Tiếp theo một cửa sổ mở ra cho chúng ta chọn đến thư mục chứa phần mềmcần triển khai Nếu phần mềm ở dạng *.msi thì chúng ta chỉ cần chọn đến thư mục
và chọn file setup trong đó Nếu không phải *.msi thì chúng ta chuyển sang dạng
*.zap rồi chọn đường dẫn tới file *.zap tại đây Tiếp theo một cửa sổ Deploysoftware mở ra cho phép chúng ta chọn chế độ hiển thị của phần mềm trên máyclient Ở đây có 3 dạng hiển thị là Public, Assign và Advanced, do yêu cầu chúng ta
Trang 8chọn Public để mọi người trong OU đều có thể cài phần mềm trong Add NewProgram
Sau khi click Ok phần mềm sẽ được hiển thị trong cửa sổ bên phải của mụcSoftware Installation
Như vậy chúng ta đã triển khai xong gói phần mềm Office 2003 trênServer Trên client người dùng muốn cài đặt phần mềm thì vào Control Panel\Add
or Remove Program\Add New Program, click vào nút Add để cài đặt phần mềm
Trang 9VII - QUYỀN TRUY CẬP NTFS – NTFS ACCESS PERMISSION
1 Giới thiệu về NTFS
Để tăng tốc độ truy xuất, tăng độ tin cậy và khả năng tương thích windows
2003 đưa ra sử dụng hệ thống file NTFS (New Technology File System) mới, đó làNTFS 5.0 Nó cho phép chúng ta những thuận lợi về Active Directory, các tính nănglưu trữ và việc quản lý các phần mềm được cung cấp bởi Windows 2003 Nhữngfile Server và những máy tính đời mới cần bổ xung thêm những tính năng an toàntrong việc điều khiển truy xuất dữ liệu, điều này đã được tích hợp trong NTFS 5.0.NTFS cũng chứa những tính năng như tính khôi phục (recoverability) và tính năngnén file (compression) Các folder hoặc các file lẻ trên partition NTFS có thể đượcnén Những file đã nén trên partition NTFS có thể được truy xuất bởi một ứng dụngbất kì trên windows 2003 mà không phải giải nén Với NTFS 5.0 tốc độ truy xuấtfile đã được cải tiến và số lần truy xuất đĩa(để tìm file) cũng được giảm bớt Chúng
ta có thể thiết lập các mức độ quyền (permission) và truy cập (access) trên các file
và folder cho các cấp độ người sử dụng khác nhau Các cấp quyền giống nhau cóthể áp dụng cho tất cả những sử dụng trên máy tính cục bộ cũng như người sử dụngtruy xuất vào mạng
2 Các Quyền Của NTFS
NTFS có thể thiết lập quyền để chấp nhận (allowing) hay từ chối (denying)
về truy xuất cho người sử dụng hay cho nhóm người sử dụng Quyền được cung cấp
để đảm bảo việc bảo mật những tài nguyên Người quản trị mạng và người sử dụng
có thể định rõ những kiểu truy xuất mà người sử dụng hoặc nhóm sử dụng có thểtrên những file cụ thể Quyền NTFS được cấp trên hai đối tượng chính là Folder vàFile
Trang 10 Quyền trên Folder NTFS: quyền Folder được gán quyền truy cập đến các
file và folder chứa trong nó Những quyền chuẩn của NTFS đối với foldernhư sau:
o Read - Đọc: Sẽ cho người sử dụng thấy các file và các subfolder Các
thuộc tính folder, người sở hữu và quyền cũng có thể được nhìn thấy
o Write – Ghi: Sẽ quyền người sử dụng tạo mới các file và các
subfolder Các thuộc tính có thể được thay đổi và những quyền sở hữu
và quyền trên folder cũng có thể được nhìn thấy
o List Folder contens - Hiển thị nội dung folder: Sẽ cho phép người sử
dụng thấy các subfolder và các tên file ở trong folder
o Read & Execute - Đọc và thực hiện: Sẽ cho phép người duyệt qua
folder Nó cũng hỗ trợ quyền read và list folder contens
o Modify - Sửa đổi: Sẽ cho phép người sử dụng xoá folder và cũng hỗ
trợ quyền Write, read và Execute
o Full Control – Toàn quyền điều khiển: Sẽ cho phép người sử dụng
thay đổi các quyền, quyền sở hữu, xoá file và subfolder và sẽ hộ trợtất cả những quyền của folder NTFS
Khi định dạng partition với hệ thống file NTFS, Windows 2003 mặc định làquyền Full control đến nhóm Everyone Vì thế để hạn chế việc truy xuấtAdministrator phải chủ động thay đổi quyền này
Quyền trên File NTFS: Những quyền chuẩn trên các file NTFS được thể
hiện như sau:
o Read - Đọc: Sẽ cho phép người sử dụng thấy các file, đọc nội dung
các file Các thuộc tính file, quyền sở hữu chúng và những quyềncũng có thể được nhìn thấy
o Write – Ghi: Sẽ cho phép người sử dụng ghi đè những file Những
thuộc tính file có thể được thay đổi và quyền sở hữu file và nhữngquyền có thể được nhìn thấy
o Read & Execute: Sẽ cho phép người sử dụng duyệt qua file Nó cũng
hỗ trợ quyền read và hiển thị nội dung file
o Modify - Sửa, thay đổi: Sẽ cho phép người sử dụng xoá file và cũng
hỗ trợ cho phép write, read, execute
o Full control – toàn quyền điều khiển: Sẽ cho phép người sử dụng
thay đổi những quyền, giữ quyền sở hữu, và sẽ hỗ trợ tất cả nhữngquyền file NTFS
Trang 11dụng NTFS có những nguyên tắc và những độ ưu tiên riêng đối với những đaquyền này.
2.2 Quyền bội NTFS
Những quyền bội có thể được cung cấp đến nhiều người sử dụng cho mộtquyền đến tài khoản riêng của người sử dụng và một quyền khác đến nhóm sửdụng, mà người sử dụng thuộc nhóm đó Những quyền có hiệu lực của người sửdụng trong trường hợp này sẽ là kết hợp cả hai quyền đã được cung cấp cho người
sử dụng Một ví dụ chẳng hạn trong trường hợp này là người sử dụng có quyền đọcđến folder và thuộc quyền sở hữu của một nhóm, và có quyền ghi đến folder nhưvậy, sau đó người sử dụng sẽ có cả quyền đọc và ghi đến folder như vậy Nhữngquyền về file NTFS sẽ luôn có quyền ưu tiên cao nhất trên cả những quyền củafolder NTFS Trong trường hợp này người sử dụng có thể cho phép thay đổi đối vớifile và cho phép đọc đối với folder chứa file, người sử dụng có thể tạo ra nhữngthay đổi trên file
Đặc biệt file hoặc folder có thể từ chối truy xuất bởi việc cấp quyền deny đếntài khoản nhóm hoặc tài khoản người sử dụng Quyền deny sẽ khoá tất cả trên filecũng như trong group Do đó, quyền deny nên áp dụng một cách cẩn thận Windows
2003 phân biệt giữa người sử dụng không có quyền truy xuất và không cho phéptruy xuất đối với người sử dụng Người quản trị có thể chọn một cách dễ dàngkhông cho phép người sử dụng truy xuất đến file hoặc folder
2.3 Sự kế thừa trong NTFS permission.
Việc gán quyền đến các folder là được kế thừa và truyền đến các file vàsubfolder bên trong nó Chúng ta có thể ngăn cản tính kế thừa này nếu điều đó làcần thiết cho những quyền khác nhau đã tạo cho những file nằm bên trong mộtfolder Để kết thúc các tính kế thừa này, huỷ bỏ quyền kế thừa và chỉ giữ lại nhữngquyền rõ ràng đã được gán
2.4 Sao chép và di chuyển file và folder
Khi chúng ta di chuyển hay sao chép các file hoặc các folder thì quyền cóthể thay đổi phụ thuộc vào việc các file hoặc các folder được di chuyển và được saochép đến đâu Do đó, nó trở nên quan trọng để hiểu về sự thay đổi những quyền khicác file hoặc các folder được di chuyển hay sao chép
Sự thay đổi quyền trong việc sao chép hoặc di chuyển File hay Folder:
Khi một file hay folder được sao chép hoặc di chuyển trong phạm vi củapartition NTFS, file hoặc folder sẽ giữ lại những quyền đó
Khi một file hoặc folder được sao chép hoặc di chuyển giữa nhiềupartition NTFS, file hoặc folder sẽ thừa hưởng những quyền cho phépcủa folder đích
Khi các file hoặc các folder được sao chép hoặc di chuyển đến nhữngvolume FAT16 hoặc FAT32 thì tất cả những quyền cho phép của NFTS