Hoạch định, khởi tạo và duy trì các khoản mục người sử dụng và khoản mục nhóm để bảo đảm cho người sử dụng có thể đăng nhập cũng như truy nhập được vào các tài nguyên cần thiết cho công
Trang 1Bài 1 Quản trị người dùng và tài nguyên trong Win 2k Server
1 Những nhiệm vụ và các công cụ quản trị của Windows 2K
Quản trị Windows 2K Server bao gồm những công việc phải tiến hành sau khi cài đặt mạng và các công việc bảo trì hàng ngày Một số nhiệm vụ quản trị chính bao gồm:
Quản trị các khoản mục người sử dụng và khoản mục nhóm Hoạch định,
khởi tạo và duy trì các khoản mục người sử dụng và khoản mục nhóm để bảo đảm cho người sử dụng có thể đăng nhập cũng như truy nhập được vào
các tài nguyên cần thiết cho công việc của họ
Quản trị và bảo mật tài nguyên file, thư mục
Hoạch định, triển khai và áp đặt một số chính sách bảo mật nhằm bảo vệ dữ
liệu cũng như các tài nguyên dùng chung trên mạng bao gồm các tệp, thư
mục hay máy in
Quản trị máy in
Cài đặt các máy in cục bộ, máy in mạng để đảm bảo cho người sử dụng có thể dễ dàng và nhanh chóng truy nhập và in Giải quyết các sự cố về in ấn Các công cụ quản trị (Administrative Tools) trong Windows 2KServer sẽ
giúp cho người quản trị quản trị hệ thống của họ
2 Quản trị người dùng:
2.1 Dịch vụ Active Directory
Dịch vụ Active Directory là thành phần mấu chốt của Microsoft Windows 2000 Công nghệ Active Directory dựa trên các giao thức Internet chuẩn và có kiểu thiết
kế giúp người sử dụng định rõ cấu trúc mạng Công việc quản trị dịch vụ thư mục
Active Directory tập trung vào những nhiệm vụ chủ yếu như mở tài khoản máy tính hoặc kết nạp máy tính vào vùng
2.2.Quản lý người dùng và máy tính bằng công cụ Active Directory Users and Computer
2.2.1 Vai trò
Active Directory Users and Computer là công cụ quản trị chủ yếu để quản
lý Active Directory, cụ thể là thi hành mọi nhiệm vụ quản trị, bao gồm quản trị người sử dụng, máy tính trong vùng,
Mặc định, Active Directory sẽ làm việc với vùng đang được kết nối, có thể truy cập và quản lý các đối tượng người sử dụng, máy tính trong vùng này thông qua vùng phân cấp Nếu không tìm thấy máy điều khiển vùng hoặc vùng tham gia
1
Trang 2không khả dụng, phải kết nối tới máy điều khiển vùng hiện hành hoặc máy điều khiển vùng khác
2.2.2 Cách truy nhập
Có thể truy cập đến Active Directory Users and Computer bằng nhiều cách khác nhau như:
+ Truy nhập thông qua công cụ quản trị như sau:
Trỏ vào Start / Programs / Administrative Tools / Active Directory Users and Computer
+ Truy nhập thông qua giao diện MMC:
Trỏ tới Start / Run, gõ lệnh mmc
Sau khi kích hoạt, cửa sổ Active Directory Users and Computer sẽ xuất hiện như sau:
2.2.3 Kết nối tới máy điều khiển vùng:
Trong cửa sổ Active Directory Users and Computer, ở khung bên trái bấm chuột phải vào Active Directory Users and Computer, chọn Connect To Domain
Trang 3Cũng trong cửa sổ Active Directory Users and Computer, trong ô bên trái, bấm chuột phải vào Active Directory Users and Computer, chọn Connect To Domain
2.2.5 Tìm kiếm tài khoản và tài nguyên dùng chung
Active Directory Users and Computer có đặc tính tìm kiếm cài sẵn, cho phép người quản trị tìm ra tài khoản, tài nguyên dùng chung và các đối tượng khác trong thư mục
- Trong hộp In, chọn phạm vi tìm kiếm
- Sau khi nhập xong yêu cầu và phạm vi tìm kiếm, Bấm nút lệnh FindNow
2.2.6 Tạo tài khoản máy tính trong Active Directory Users and Computers
Để tạo tài khoản máy tính trong Active Directory Users and Computers, ta cần thực hiện các bước sau:
Trong cửa sổ Active Directory Users and Computers, ở khung bên phải trong Console Active Directory Users and Computers, nhấp phải chuột vào thư mục sẽ chứa tài khoản máy tính sắp tạo
3
Trang 42.2.7 Xoá, vô hiệu hoá và kích hoạt tài khoản máy tính
Khi không cần dùng đến tài khoản máy tính nào đó, người quản trị có thể xoá bỏ tài khoản đó trong Active Directory, hoặc vô hiệu hoá một tài khoản máy tính nào đó và cũng có thể sau khi vô hiệu hoá một tài khoản, người quản trị có thể kích hoạt tài khoản đã bị khoá Để thực hiện được những công việc cụ thể trên, ta thực hiện như sau:
Trong cửa sổ Active Directory Users and Computers, chuyển đến thư mục chứa tài khoản máy tính cần thao tác, chọn tài khoản máy tính cần thực hiện xoá, vô hiệu hoá, kích hoạt
Bấm chuột phải vào tài khoản máy tính đó và chọn Disable Account (Vô hiệu hoá ), Enable Account (Kích hoạt), Reset Account (Đặt lại), Delete (Xoá bỏ)
2.2.8 Tài khoản người sử dụng và tài khoản nhóm
Trang 5b, Tài khoản người dùng:
Tài khoản người dùng vùng (Domain User Account): Là tài khoản người dùng được định nghĩa trong Active Directory Tài khoản người dùng có thể truy cập tài nguyên qua vùng Tài khoản người dùng được định nghĩa thông qua Active Directory Users And Computer
Tài khoản người dùng cục bộ (Local User Account): Là tài khoản người dùng được định nghĩa trên tài khoản người dùng chủ cục bộ Tài khoản người dùng cục bộ chỉ có quyền truy cập máy tính cục bộ
và phải tự chứng thực mình trước khi có thể truy cập mạng Tài khoản người sử dung cục bộ được tao trong công cụ Local User And Group
c, Tạo tài khoản cho người sử dụng vùng:
Tài khoản người sử dụng cho phép người quản trị theo dõi và quản lý thông tin về người dùng bao gồm quyền truy nhập và đặc quyền Active Directory Users And Computer quản trị tài khoản khắp vùng Active Directory (còn Local Users And Group quản trị tài khoản trên máy tính cục bộ)
Nháy phải chuột vào nơi sẽ tiếp nhận tài khoản mới, bấm chuột phải
và chọn New User từ Menu tắt
Cửa sổ New Object - User sẽ xuất hiện, nhập tên cho người sử dụng sau đó bấm Next
5
Trang 6Sau khi Next, vẫn trong cửa sổ New Object - User, nhập mật khẩu cho người sử dụng Bấm Next và kết thúc quá trình tạo
Trang 7d, Thiết lập tài khoản nhóm
Để thiết lập tài khoản nhóm, cân thực hiện các thủ tục sau:
Bấm chuột phải vào nơi sẽ tiếp nhận tài khoản nhóm mới và chọn New | Group từ Menu tắt
Trong cửa sổ New Object - Group vừa xuất hiện, đặt tên cho nhóm, chọn phạm vi cho nhóm và loại nhóm sau đó OK
7
Trang 82.2.9 Quản lý tài khoản người sử dụng trong AD
* Các đặc tính của tài khoản người sử dụng
Muốn biêt tài khoản của người sử dụng có các đặc tính như thế nào, ta thực hiện như sau:
Chọn tài khoản người sử dụng muốn xem đặc tính
Bấm chuột phải và chọn Properties, cửa sổ Properties xuất hiện Trong cửa sổ này, ta có thể xem chi tiết về tài khoản đó
Trang 9* Các thiết lập về tài khoản người sử dụng
Các thiết lập cho tài khoản người dùng sẽ được đặt trong Tab Account
9
Trang 10Theo mặc định, người sử dụng có thể đăng nhập vào miền từ bất kỳ máy trạm nào Để chỉ định người sử dụng có thể truy nhập vào mạng từ những máy nào trên mạng ta cần thiết lập lại thuộc tính của tài khoản của người sử dụng đó:
Chọn tài khoản người sử dụng cần thay đổi thuộc tính, bấm chuột phải chọn Properties
Trang 11Chú ý: Có thê đặt thời gian truy nhập cho tài khoản người sử dụng:
Theo mặc định, người sử dụng sẽ không bị tự động đăng xuất khi hết giờ đăng nhập Để đặt thời gian người sử dụng được phép đăng nhập mạng, ta thực hiện như sau:
Trong cửa sổ User Properties chọn Tab Account
Bấm chọn nút lệnh Logon Hours
Trong cửa sổ Logon Hours chọn ngày và giờ khong cho người sử dụng đăng nhập sau đó bấm chọn Logon Denied
11
Trang 12* Vai trò của người dùng trên mạng (phụ thuộc vào nhóm mà người dùng thuộc)
Trong mạng hiển nhiên là có nhiều người sử dụng, vậy mỗi người dùng trên mạng sẽ có những vai trò như thế nào, họ có những quyền gì trên mạng
Đối với mỗi người sử dụng trên mạng, người quản trị mạng cần chỉ ra vai trò của họ bằng cách trong cửa sổ User Properties chọn Tab Member of và sau đó có thể bổ xung hoặc loại bỏ vai trò mà người dùng đó thuộc vào
Trang 132.3 Quản lý các tài khoản cục bộ bằng chức năng Local Users and Group trong Computer Management
Trong những tổ chức, cơ quan nhỏ để đơn giản trong công việc quản trị có thể không dùng AD thì việc tạo các tài khoản người sử dụng cục bộ có thể dùng Computer Management
Cửa sổ Computer Management như sau:
13
Trang 14Để có thể tạo và quản lý các tài khoản người dùng và nhóm từ xa trong một Server thành viên ở xa trong một Domain ta thực hiện như sau:
Trong cửa sổ Computer Management | menu Action chọn Connect to another Computer chọn máy cần nói tới để tạo tài khoản, nhóm rồi OK
Trang 15Nếu muốn khởi đông được cả từ các hệ điều hành khác cũng như Windows
2000 thì phần phân hoạch hệ thống phải định dạng theo FAT
NTFS : là hệ thống phân hoạch tệp tiên tiến, chỉ có Windows 2000 hỗ trợ phân hoạch tệp kiểu này Các hệ điều hành khác không truy cập được.Chọn NTFS nếu có yêu cầu bảo mật cao
3.2 Bảo mật các tài nguyên mạng thông qua chức năng chia sẻ
+ Chia sẻ các thư mục
+ Đặt quyền truy nhập trên các thư mục được chia sẻ
Quyền truy cập thư mục dùng chung( tức thư mục được chia sẻ-Sharing folder) không tác động đến những người đang truy cập cục bộ vào trạm làm việc hay máy phục vụ, hiện chứa thư mục dùng chung Bạn cấp quyền truy cập cho người dùng
ở xa ngang qua mạng, dựa vào cơ chế chia se thư mục chuẩn
3.3 Cách thực hiện trên WIN2000Server:
Microsoft Windows 2000 cung cấp hai cách chia sẻ thư mục: chia sẻ thư mục cục bộ thông qua Windows Explorer, hoặc chia sẻ thư mục cục bộ và từ xa bằng Computer Management
Do Computer Management cho phép bạn làm việc và quản lý tài nguyên dùng chung trên máy tính mạng bất kỳ, nên rõ rằng đây là công cụ rất lý tưởng Việc chia sẻ thư mục trên máy phục vụ Windows 2000 đòi hỏi bạn phải là thành viên nhóm Administrator hoặc Power Users Dùng Windows Explorer tương tự Win 9x, ta chỉ xét dùng Computer Management
Dùng Computer Management
1 Trong Computer Management, nối kết với máy tính cần làm việc
2 Từ khung bên trái, mở rộng System Tools và Shared Folders, rồi chọn Shares Các thư mục dùng chung hiện có trên hệ thống sẽ hiển thị
15
Trang 163 Các cột của thư mục Shares cung cấp thông tin sau đây:
Shared Folder: tên của thư mục dùng chung Shared Path: Đường dẫn hoàn chỉnh đẫn đến thư mục trên hệ
thống cục bộ
Type: Loại máy tính có thể sử dụng thư mục dùng chung
4 Nhấp nút phải mouse vào chữ Computer Management (local), chọn Connect To Another Computer Chọn máy
Trang 175 Từ khung trái mở rộng System Tools và Shared Folder Sau đó chọn
Shares Các thư mục dùng chung hiện có trên hệ thống hiển thị
6 Nhấp nút phải mouse vào Shares, chọn New File Share khởi động Creat
Shared Folder Wizard
7 Tại trường Folder To Share, gõ đường dẫn tập tin cục bộ đén thư mục
cần chia sẻ đường dẫn phải thật chính xác, như C:\Data\CorpDocuments Nếu không nhớ rõ đường dẫn, hãy nhấp chuột
Browse, duyệt tìm thư mục với hộp thoại Browse For Folder
8 Gõ tên cho thư mục dùng chung Đây là tên thư mục mà người dùng sẻ
kết nối Tên thư mục dùng chung không được phép trùng lặp đối với
từng hệ thống
9 Nhấp Next, ấn định cấp độ truy cập cơbản cho thư mục dùng chung Những tuỳ chọn gồm:
o All Users Have Full Control: Cho phép người dùng toàn
quyền chi phối như thư mục dùng chung Trên NTFS, tuỳ chọn này còn cho nfười dùng quyền thay đổi cấp độ truy cập
và giành quyền sở hữu tạp tin, thư mục
o Administrators Have Full Control:Other users Have Read-Only Access: Cho phép nhà quản trị có toàn quyền chi
phối thư mục dùng chung Người dùng khác chỉ được phép xem tập tin và đọc dữ liệu, chứ không thể tạo, sửa đổi, hay xoá bỏ tập tin, thư mục
o Adminstrators Have Full Control: Other Users Have no
Access Cho phép nhà quản trị có toàn quyền chi phối thư mục dùng chung, nhưngười dùng từ chối cấp quyền truy cập cho người dùng khác
17
Trang 18o Customize Share And Folder Permissions: Cho phép ấn
định quyền truy cập cho Người dùng và nhóm cụ thể Xem thông tin chi tiết ở mục Management Share Permissions
10 Nhấp Finish, và kết thúc công việc
Chú ý: Có thể tạo thêm các thành phần dùng chung với tên gọi khác nhau trên thư
mục dùng chung hiện có Để tạo thêm thành phần dùng chung trên thư mục dùng chung hiện có, chỉ việc thực hiẹn theo thủ tục tạo thư mục dùng chung đã trình bày nay trước đó với thay đổi khi đặt tên thành phần dùng chung (chọn tên hoàn toàn khác)
Bài 2 Các dịch vụ mạng
1 Dịch vụ DHCP ( Dynamic Host Configuration Protocol) cung cấp địa chỉ động
*, Địa chỉ IP tĩnh và IP động
Trên cơ sở yêu cầu về địa chỉ IP, người ta cũng phân biệt 2 loại địa chỉ IP như sau :
- Địa chỉ IP tĩnh : là địa chỉ IP cài đặt sẵn Với những máy trạm có địa chỉ tĩnh tất nhiên sẽ không có nhu cầu về một máy chủ DHCP trong mạng nữa
- Địa chỉ IP động : là địa chỉ IP được cấp phát từ máy chủ DHCP cho máy trạm Địa chỉ IP cụ thể như thế nào sẽ do thoả thuận giữa máy trạm và máy chủ DHCP
* Cơ chế hoạt động của dịch vụ DHCP
Hoạt động của dịch vụ DHCP như sau:
Máy trạm cài giao thức TCP/IP không có một địa chỉ IP tĩnh khi khởi động sẽ gửi một gói tin broadcast lên mạng Máy chủ DHCP sẽ nhận được gói tin yêu cầu địa chỉ động này và bắt đầu liên lạc với máy yêu cầu cho đến khi thoả thuận được về một địa chỉ IP cần sẽ cấp phát - và nó sẽ đảm bảo việc địa chỉ IP này chỉ cấp duy nhất cho máy trạm đó Máy trạm sẽ dùng địa chỉ IP này để sử dụng Thời gian sử dụng địa chỉ này cũng được thoả thuận trong quá trình trao đổi giữa máy chủ và máy trạm Nếu hết thời gian quy ước, máy trạm vẫn muốn sử dụng địa chỉ tiếp thì sẽ phải làm lại quá trình yêu cầu địa chỉ như trên Sau khi sử dụng xong, máy trạm sẽ thông báo về việc giải phóng địa chỉ IP của nó Máy chủ lúc đó sẽ thu hồi địa chỉ IP và cấp cho các máy trạm khác có nhu cầu
Trang 1919
Trang 20- Adress Pool: Danh sách các IP address trong scope
Trang 21* Cấu hình DHCP từ máy trạm:
Trường hợp muốn một máy trạm sử dụng dịch vụ DHCP trong mạng, ta thực hiện các bước sau :
1 Mở phần cấu hình Network của Windows 9x trong Control Panel
2 Kích đúp chuột vào giao thức TCP/IP để sửa đổi các tham số
3 Chuyển chọn lựa về địa chỉ IP từ Specify an IP address sang Obtain an IP
address automatically Sau đó chọn OK
4 Windows sẽ yêu cầu khởi động lại máy Chọn Yes để đồng ý Sau khi máy khởi động lại, địa chỉ IP của máy sẽ là địa chỉ gán bởi DHCP server
3 Dịch vụ phân giảI tên DNS (Domain Name Service)
- Để tạo một DNS Server Administrative Tools / DNS/ Connect to computer Nhập tên máy chủ sẽ làm DNS Server
- Tạo một vùng mới
Có 2 loại zone: Forward Lookup zone: chuyển Name 2 IP address, reverse lookup zone IP address to Name, nhập tên cho Domain
21
Trang 22Cấu hình cho Windows 95
Chọn biểu tượng Network từ Control Panel, kích đúp chuột để mở hộp thoại cấu hình mạng của Windows 9x
Trang 23Chọn trang DNS Configuration, thực hiện các bước cấu hình như sau
Disable DNS : Không sử dụng DNS trong cấu hình mạng
23
Trang 24Enable DNS : Sử dụng DNS trong cấu hình mạng
Host : Tên máy tính, có hiệu lực với dịch vụ DNS
Domain : Tên domain DNS mà hệ thống chịu sự kiểm soát
DNS Server Search Order : Danh sách các máy chủ DNS sẽ tham
chiếu tới khi cần thông tin Nhập lần lượt địa chỉ IP của các máy chủ
DNS, sau đó chọn Add để lần thêm nó vào hộp danh sách bên dưới
Chọn OK để kết thúc phần cấu hình mạng Hệ thống sẽ yêu cầu khởi
động lại để các thay đổi có hiệu lực
Sau khi cấu hình cho các máy trạm sử dụng DNS, bất cứ yêu cầu chuyển đổi tên máy thành địa chỉ IP cũng sẽ được gửi đến máy DNS server và máy DNS server sẽ trả lại kết quả địa chỉ tương ứng dựa vào CSDL về địa chỉ đã khai báo trong phần cấu hình Từ đây trở đi, người dùng chỉ cần thao tác truy cập mạng qua tên máy mà không cần phải nhớ địa chỉ IP cụ thể nữa
Để kiểm tra hiệu lực của dịch vụ DNS trên máy trạm, có thể sử dụng lệnh ping với tham
số là tên máy để xem dịch vụ DNS có chạy đúng hay không
Cú pháp của lệnh ping như sau :
ping <tên máy >
Nếu thông báo trả về sau khi thực hiện lệnh là Reply from thì máy tương ứng với tên
hoặc địa chỉ IP cung cấp đang chạy
4 Dịch vụ quản trị từ xa (terminal services)
Terminal service là dịch vụ cho phép quản trị từ xa thông qua địa chỉ IP, để hoạt động được tại server cần phảI càI dịch vụ này bằng cách chọn Configure your server/ Application Server/ Terminal Services/ Start Wizard
WIN 2K sẽ hiện thị hộp thoại cho phép chúng ta thêm dịch vụ này, Chọn Terminal Services/ thực hiện thao các hướng dẫn của chương trình
Tại Client (Win 9x, XP) copy file mstsc.exe (là file Terminal Client) và chạy file này Chọn tên của server cần kết nối, nhập tên, mật khẩu, toàn bộ desktop của Server sẽ hiện ra cho người ding thao tác
5 Dịch vụ truy cập từ xa - Remote Access Service
Giới thiệu
Remote Access Service hay RAS là dịch vụ cung cấp khả năng truy cập từ xa của một máy tính Windows đến một máy tính Windows 2K (incoming) qua đường quay số ra ngoài Người sử dụng có thể thực hiện kết nối qua đường điện thoại, sau đó truy cập các
