Giáo trình Quản trị môi trường mạng: Phần 2

(NB) Giáo trình Quản trị môi trường mạng: Phần 2 gồm có 4 bài với những nội dung chính sau: Bài 4 - quản trị tài nguyên chia sẻ, bài 5 - triển khai chính sách, bài 6 - quản lý lưu trữ và bảo mật dữ liệu, bài 7 - giám sát và duy trì hoạt động của server. Mời các bạn cùng tham khảo để biết thêm nội dung chi tiết.

BÀI 4: QUẢN TRỊ TÀI NGUYÊN CHIA SẺ

1 Tổng quan về quyền truy xuất tệp tin và thư mục

1.1 Chia sẻ thư mục dùng chung

Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng

có thể truy xuất và sử dụng thông qua mạng Muốn chia sẻ một thư mục dùng

chung trên mạng, bạn phải logon vào hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong Explorer bạn nhầp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing

Ý nghĩa của các mục trong Tab Sharing:

Do not share this

folder

Chỉ định thư mục này chỉ được phép truy cập cục bộ

Share this folder Chỉ định thư mục này được phép truy cập cục bộ và

truy cập qua mạng Share name Tên thư mục mà người dùng mạng nhìn thấy và truy

cập

Comment Cho phép người dùng mô tả thêm thông tin về thư

mục dùng chung này User Limit Cho phép bạn khai báo số kết nối tối đa truy xuất

vào thư mục tại một thời điểm Permissions Cho phép bạn thiết lập danh sách quyền truy cập thông

qua mạng của người dùng Offline Settings Cho phép thư mục được lưu trữ tạm tài liệu khi làm

việc dưới chế độ Offline

1.2 Cấu hình Share Permissions

Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì

dùng Share Permissions Share Permissions chỉ có hiệu lực khi người dùng

truy cập qua mạng chứ không có hiệu lực khi người dùng truy cập cục bộ

Khác với NTFS Permissions là quản lý người dùng truy cập dưới cấp độ truy xuất đĩa Trong hộp thoại Share Permissions, chứa danh sách các quyền

sau:

- Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ

- Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin

trong thư mục chia sẻ

- Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ Bạn muốn cấp quyền cho người dùng thì nhấp chuột vào nút Add

Hộp thoại chọn người dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào

các tài khoản người dùng và nhóm cần chọn, sau đó chọn OK

Trong hộp thoại xuất hiện, muốn cấp quyền cho người dùng bạn đánh

dấu vào mục Allow, ngược lại khóa quyền thì đánh dấu vào mục Deny

net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"] net share sharename [/users:number | unlimited] [/remark:"text"]

net share {sharename | drive:path} /delete

nguyên dùng chung này

- [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ

- [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào

tài nguyên dùng chung này

- [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài

nguyên dùng chung này

- [/remark:"text"]: thêm thông tin mô tả về tài nguyên này

- /delete: xóa thuộc tính chia sẻ của thư mục hiện tại

2 Shared Folder

2.1 Xem các thư mục dùng chung

Mục Shared Folders trong công cụ Computer Management cho phép

bạn tạo và quản lý các thư mục dùng chung trên máy tính Muốn xem các thư

mục dùng chung trên máy tính bạn chọn mục Shares Nếu thư mục dùng chung nào có phần cuối của tên chia sẻ (share name) là dấu $ thì tên thư

mục dùng chung này được ẩn đi và không tìm thấy khi bạn tìm kiếm thông

qua My Network Places hoặc duyệt các tài nguyên mạng

2.2 Xem các phiên làm việc trên thư mục dùng chung

Muốn xem tất cả các người dùng đang truy cập đến các thư mục dùng

chung trên máy tính bạn chọn mục Session Mục Session cung cấp các thông

tin sau:

- Tên tài khoản người dùng đang kết nối vào tài nguyên chia sẻ

- Tên máy tính có người dùng kết nối từ đó

- Hệ điều hành mà máy trạm đang sử dụng để kết nối

- Số tập tin mà người dùng đang mở

- Thời gian kết nối của người dùng

- Thời gian chờ xử lý của kết nối

- Phải là truy cập của người dùng Guest không?

2.3 Xem các tập tin đang mở trong các thư mục dùng chung

Muốn xem các tập đang mở trong các thư mục dùng chung bạn nhấp

chuột vào mục Open Files Mục Open Files cung cấp các thông tin sau:

- Đường dẫn và tập tin hiện đang được mở

- Tên tài khoản người dùng đang truy cập tập tin đó

- Hệ điều hành mà người dùng sử dụng để truy cập tập tin

- Trạng thái tập tin có đang bị khoá hay không

- Trạng thái mở sử dụng tập tin (Read hoặc Write)

2.4 Share Permission

Đầu tiên mở trình Windows Explorer ra chọn Organize / Folder and Search Options

Chọn Tab View sau đó click bỏ chọn mục Use Sharing Wizard (Recommended)

Trong Windows server 2008 để chia sẻ một thư mục nào đó nhấp chuột phải vào thư mục cần share chọn Share…

Nhấp chọn Advanced Sharing

Ở ô Share Name máy sẽ tự lấy tên default là tên thư mục hiện hành bạn có thể chỉnh sửa tên này tùy ý

Với các tùy chọn là Allow: User có quyền truy cập tài nguyên với quyền hạn tương ứng

Với các tùy chọn là Deny: User không có quyền truy cập tài nguyên với quyền hạn tương ứng

Để thực hiện phân quyền cho các Group thì ta cần Deny tất cả các quyền của Group User này

Sau khi Deny tất cả các quyền của Group User nhấp nút Add thể thêm Group hoặc User vào

Trong này giả sử Add thêm User tai và cũng Set quyền cho User này là Deny tất cả mọi quyền

Tương tự Add thêm User phat và Set quyền cho User này là Allow tất cả mọi quyền

Để tạo một thư mục mà không muốn cho ai thấy (chỉ có gõ lệnh mới vào được) thỉ thêm dấu $ vào ngay sau Share Name của mình

VD: Máy có IP là 192.168.1.10 và thư mục Share có tên là New Folder (2)$ Trong này giả sử ta Add thêm User tai và Set quyền cho User này là Allow tất cả mọi quyền Khi đó truy cập từ máy khác vào phải nhập là \\172.16.1.10\New Folder (2)$ thì mới vào được

Máy sẽ báo là không có lối vào lý do là đã Set cho User tai bị Deny tất cả User tai bị từ chối truy cập New Folder (2) Tuy nhiên với User phat thì có thể xem được các tài nguyên trong này

Để xem các thư mục Share ẩn trong Windows, vào Administrative Tools/Share and Storage Management

Trong này sẽ liệt kê toàn bộ các thư mục đã Share trước đó

Để tránh phải mất công nhập dòng lệnh \\[IP máy tới]\[thư mục share] chúng ta có thể ánh xạ ổ đĩa đối với các thư mục Share thường xuyên truy cập bằng cách nhấp phải vào thư mục đã Share cần ánh xạ và chọn Map Network

Trong cửa sổ Map Nerwork Drive hiện ra bạn chọn tên ổ đĩa ánh xạ và click Finish

Vào Computer sẽ thấy xuất hiện thêm ổ đĩa mới (Ổ đĩa ánh xạ) Nhấp vào đấy sẽ đi đến ngay thư mục mà bạn vừa ánh xạ

dùng có quyền truy cập không, nếu người dùng không có quyền thì không thể

nào truy cập được dữ liệu trên đĩa Hệ thống Windows Server 2008 dùng các ACL (Access Control List) để quản lý các quyền truy cập của đối tượng cục bộ và các đối tượng trên Active Directory Một ACL có thể chứa nhiều ACE (Access Control Entry) đại điện cho một người dùng hay một nhóm

người

and Files Xóa thư mục con và các tập tin

Read Permissions Đọc các quyền trên các tập tin và thư mục

Change Permissions Thay đổi quyền trên các tập tin và thư mục

Take Ownership Tước quyền sở hữu của các tập tin và thư mục

3.2 Các mức quyền truy cập được dùng trong NTFS

Tên quyền Full

Control

Modify Read&

Execute

List Folder Contents

3.3 Gán quyền truy cập NTFS trên thư mục dùng chung

Bạn muốn gán quyền NTFS, thông qua Windows Explorer bạn nhấp

phải chuột vào tập tin hay thư mục cần cấu hình quyền truy cập rồi chọn

Properties Hộp thoại Properties xuất hiện Nếu ổ đĩa của bạn định dạng là FAT thì hộp thoại chỉ có hai Tab là General và Sharing Nhưng nếu đĩa có định dạng là NTFS thì trong hộp thoại sẽ có thêm một Tab là Security Tab

này cho phép ta có thể quy định quyền truy cập cho từng người dùng hoặc một

nhóm người dùng lên các tập tin và thư mục Bạn nhầp chuột vào Tab Security

để cấp quyền cho các người dùng

Muốn cấp quyền truy cập cho một người dùng, bạn nhấp chuột vào nút

Add, hộp thoại chọn lựa người dùng và nhóm xuất hiện, bạn chọn người dùng

và nhóm cần cấp quyền, nhấp chuột vào nút Add để thêm vào danh sách, sau

đó nhấp chuột vào nút OK để trở lại hộp thoại chính

Hộp thoại chính sẽ xuất hiện các người dùng và nhóm mà bạn mới thêm vào, sau đó chọn người dùng và nhóm để cấp quyền Trong hộp thoại đã hiện sẵn danh sách quyền, bạn muốn cho người dùng đó có quyền gì thì bạn đánh

dấu vào phần Allow, còn ngược lại muốn cấm quyền đó thì đánh dấu vào mục Deny

3.4 Kế thừa và thay thế quyền của đối tượng con

Trong hộp thoại chính trên, chúng ta có thể nhấp chuột vào nút

Advanced để cấu hình chi tiết hơn cho các quyền truy cập của người dùng Khi nhấp chuột vào nút Advanced, hộp thoại Advanced Security Settings xuất hiện, trong hộp thoại, nếu bạn đánh dấu vào mục Allow inheritable permissions from parent to propagate to this object and child objects thì

thư mục hiện tại được thừa hưởng danh sách quyền truy cập từ thư mục cha, bạn muốn xóa những quyền thừa hưởng từ thư mục cha bạn phải bỏ đánh dấu này Nếu danh sách quyền truy cập của thư mục cha thay đổi thì danh sách quyền truy cập của thư mục hiện tại cũng thay đổi theo Ngoài ra nếu bạn

đánh dấu vào mục Replace permission entries on all child objects with entries shown here that apply to child objects thì danh sách quyền truy cập

của thư mục hiện tại sẽ được áp dụng xuống các tập tin và thư mục con có nghĩa là các tập tin và thư mục con sẽ được thay thế quyền truy cấp giống như các quyền đang hiển thị trong hộp thoại

Trong hộp thoại này, Windows Server 2008 cũng cho phép chúng ta

kiểm tra và cấu hình lại chi tiết các quyền của người dùng và nhóm, để thực hiện, bạn chọn nhóm hay người dùng cần thao tác, sau đó nhấp chuột vào nút

Edit

3.5 Thay đổi quyền khi di chuyển thư mục và tập tin

Khi chúng ta sao chép (copy) một tập tin hay thư mục sang một vị trí mới

thì quyền truy cập trên tập tin hay thư mục này sẽ thay đổi theo quyền trên thư

mục cha chứa chúng, nhưng ngược lại nếu chúng ta di chuyển (move) một tập

tin hay thư mục sang bất kì vị trí nào thì các quyền trên chúng vẫn được giữ nguyên

3.6 Giám sát người dùng truy cập thư mục

Bạn muốn giám sát và ghi nhận lại các người dùng thao tác trên thư mục

hiện tại, trong hộp thoại Advanced Security Settings, chọn Tab Auditing, nhấp chuột vào nút Add để chọn người dùng cần giám sát, sau đó bạn muốn giám sát việc truy xuất thành công thì đánh dấu vào mục Successful, ngược lại giám sát việc truy xuất không thành công thì đánh dấu vào mục Failed

3.7 Thay đổi người sở hữu thư mục

Bạn muốn xem tài khoản người và nhóm người dùng sở hữa thư mục hiện

tại, trong hộp thoại Advanced Security Settings, chọn Tab Owner Đồng thời

bạn cũng có thể thay đổi người và nhóm người sở hữu thư mục này bằng cách

nhấp chuột vào nút Other Users or Groups

4 Triển khai DFS

DFS (Distributed File System) là hệ thống tổ chức sắp xếp các thư mục, tập tin dùng chung trên mạng mà Server quản lý, ở đó bạn có thể tập hợp các thư mục dùng chung nằm trên nhiều Server khác nhau trên mạng với một tên

chia sẻ duy nhất Nhờ hệ thống này mà người dùng dễ dàng tìm kiếm một tài

nguyên dùng chung nào đó trên mạng… DFS có hai loại root: domain root

là hệ thống root gắn kết vào Active Directory được chứa trên tất cả Domain Controller, Stand-alone root chỉ chứa thông tin ngay tại máy được cấu hình Chú ý DFS không phải là một File Server mà nó là chỉ là một “bảng mục lục” chỉ đến các thư mục đã được tạo và chia sẻ sẵn trên các Server Để triển khai một hệ thống DFS trước tiên bạn phải hiểu các khái niệm sau:

- Gốc DFS (DFS root) là một thư mục chia sẻ đại diện cho chung cho các thư mục chia sẻ khác trên các Server

- Liên kết DFS (DFS link) là một thư mục nằm trong DFS root, nó ánh

xạ đến một tài nguyên chia sẻ các Server khác

6.1 So sánh hai loại DFS

Stand-alone DFS Fault-tolerant DFs

- Là hệ thống DFS trên một máy

Server Stand-alone, không có

khả năng dung lỗi

- Người dùng truy xuất hệ thống

DFS thông qua đường dẫn

\\servername\dfsname

- Là hệ thống DFS dựa trên nền Active Directory nên có chính dung

lỗi cao

- Hệ thống DFS sẽ tự động đồng bộ giữa các Domain Controller và

người dùng có thể truy xuất đến

DFS thông qua đường

dẫn \\domainname\dfsname

6.2 Cài đặt Fault-tolerant DFS

Để tạo một hệ thống Fault-tolerant DFS bạn làm theo các bước sau: Bạn nhấp chuột vào Start / Programs / Administrative Tools / Distributed File System Hộp thoại Welcome xuất hiện, bạn nhấn Next để tiếp tục Hộp thoại Root Type xuất hiện, bạn chọn mục Domain Root, nhấn Next để tiếp tục

Hệ thống yêu cầu bạn chọn tên miền (domain name) kết hợp với hệ thống DFS cần tạo

Tiếp theo bạn khai báo tên của Domain Controller chưa root DFS cần

tạo

Đến đây bạn khai báo tên chia sẻ gốc (Root Name) của hệ thống DFS,

đây chính là tên chia sẻ đại diện cho các tài nguyên khác trên mạng Bạn nhập

đầy đủ các thông tin chọn Next để tiếp tục

Trong hộp thoại xuất hiện, bạn khai báo tên thư mục chia sẻ gốc của hệ

thống DFS

Sau khi cấu hình hệ thống DFS hoàn tất, tiếp theo bạn tạo các liên kết đến các tài nguyên dùng chung trên các Server khác trong mạng

Để sử dụng hệ thống DFS này, tại máy trạm bạn ánh xạ (map) thư mục

chia sẻ gốc thành một ổ đĩa mạng Trong ổ đĩa mạng này bạn có thể nhìn thấy

tất cả các thư mục chia sẻ trên các Server khác nhau trên hệ thống mạng

Tương tự như Fault-tolerant DFS, bạn có thể tạo ra một Stand-alone DFS trên một máy Server Stand-alone, tất nhiên là hệ thống đó không có khả năng dung lỗi có nghĩa là khi Server chứa DFS Root hỏng thì các máy trạm

sẽ không tìm thấy các tài nguyên chia sẻ trên các Server khác Nhưng hệ thống Stand-alone DFS được sử dụng rộng rải vì nó đơn giản, tiện dụng

BÀI 5: TRIỂN KHAI CHÍNH SÁCH

1 Giới thiệu về Group Policy Object (GPO)

Chính sách nhóm là một công nghệ cho phép người quản trị quản lý các môi trường desktop qua một mạng Windows Server 2008 Việc quản lý desktop thông qua các chính sách nhóm được thực hiện bằng việc áp dụng các thiết lập cấu hình computer và các user account Các thiết lập chính sách nhóm tập trung

ở các đối tượng chính sách nhóm (GPO: Group Policy Object) Các chính sách nhóm cho phép người quản trị để thiết lập một yêu cầu cho một user hoặc một computer Yêu cầu có thể sau đó sẽ được đem thực hiện liên tục Chúng ta có thể

sử dụng snap-in group policy và phần mở rộng của nó trong MMC để mặc định nghĩa thiết lập chính sách nhóm Các chính sách nhóm mở rộng:

- Administrative Templates: Dựa trên Registry: Cấu hình xuất hiện desktop, thiết lập ứng dụng và chạy các dịch vụ của hệ thống

- Folder Redirection: Lưu trữ các folder của user trên mạng

- Scripts: Tạo các scripts mà nó có thể được sử dụng khi một user logon hoặc logoff, khi một computer khởi động hoặc tắt máy

- Security: Tuỳ chọn này cung cấp cho máy cục bộ, domain và các thiết lập

Việc thiết lập chính sách sẽ được thừa kế theo thứ tự sau:

- Site

- Domain

thiết lập một site, domain và sau cùng là một OU Việc thiết lập chính sách của một OU đến computer hoặc user thuộc về nó, sẽ thiết lập sau cùng đó là điều sẽ được áp dụng cho user hoặc computer Do đó, một thiết lập chính sách nhóm trong đối tượng chứa Active Directory đến user hoặc computer là mâu thuẫn quan trọng của việc thiết lập chính sách nhóm trong một đối tượng chứa đó là cái ở xa nhất

kể từ user hoặc computer

Thiết lập chính sách nhóm có thể được thiết lập cho các OU cha và OU con Trong một số trường hợp, khả năng tương thích giữa các thiết lập xác định đó là thiết lập sẽ được áp dụng Nếu cả hai thiết thiết lập là tương thích thì sau đó các thiết lập từ cả OU cha và OU con sẽ được áp dụng trên các đối tượng của OU con Tuy nhiên, nếu chúng không tương thích thì sau đó OU con sẽ không thừa kế các thiết lập của OU cha Vì thế các thiết lập của OU con sẽ được áp dụng trên các đối tượng của OU con Trong trường hợp này, các thiết lập chính sách nhóm đã được thiết kế trên OU cha và không ở trên OU con thì sau đó các đối tượng của

OU con sẽ thừa kế các thiết lập của OU cha

Các quy tắc thừa kế mặc định trong windows 2008 có thể được sửa đổi Chúng ta cũng có thể sửa đổi các quy tắc thừa kế cho các GPO riêng lẻ Hai tuỳ chọn đã được cung cấp cho việc thay đổi quá trình mặc định:

- Block Inheritance: Chúng ta có thể sử dụng tuỳ chọn này đến khối của một đối tượng chứa con từ việc thừa kế các thiết lập của đối tượng chứa cha Nó

đã được sử dụng khi một OU cần phải thiết lập chính sách duy nhất Khối thừa kế được áp dụng đến tất cả các đối tượng chính sách nhóm trong đối tượng chứa cha Trong trường hợp mâu thuẫn, tuỳ chọn No Override luôn đặt quyền ưu tiên lên tùy chọn này

- No Override: Chúng ta có thể sử dụng tuỳ chọn này để ngăn cản một OU con từ việc đè lên các thiết lập một GPO với mức độ cao nhất Tuỳ chọn này là một tập lên các GPO Đây là điều có thể trong việc thiết lập tuỳ chọn này trên một hay nhiều hơn một GPO Trong một số trường hợp, GPO với tuỳ chọn No Override, cấp bậc cao nhất trong Active Directory sẽ đặt quyền ưu tiên lên trên các GPO khác

Một GPO là được kết hợp với một site ảnh hưởng đến tất cả các computer trong site, bất luận các domain thuộc về chúng Tuy nhiên, GPO đã được lưu trữ chỉ trong một domain controller trong một site Tất cả các computer phải tiếp xúc với domain controller đó là cái đã chứa GPO cho các thiết lập chính sách Từ khi

đó, site có thể chứa nhiều domain, các domain này có thể chứa nhiều domain, các domain này có thể thừa kế GPO đã được kết hợp với site

3 Cấu hình các chính sách nhóm

Các thiết lập chính sách nhóm trong một GPO có thể được cấu hình bằng cách sử dụng snap-in Group Policy mở rộng trong MMC Các mở rộng chính sách nhóm bao gồm các thiết lập cho:

Thiết lập chính sách nhóm GPO được phân thành: Computer Configuration

và User Configuration

* Computer Configuration - Cấu hình máy tính:

Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật trên các máy tính Đây

là các thiết lập đã được áp dụng khi khởi tạo hệ điều hành Các thiết lập cấu hình máy tính bao gồm tất cả các liên kết chính sách được chỉ rõ dưới đây:

- Software Setting

+ Software Installation

- Windows settings

+ Scripts(Startup/Shutdown) + Security Settings

o Account Policies

o Local Policy

o Event log

o Restricted Groups

- Administrative Templates

+ Windows Components + System

+ Network + Printer

* User Configuration - Cấu hình người sử dụng:

Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật của người sử dụng Các thiết lập người sử dụng đã được áp dụng khi người sử dụng đăng nhập vào máy tính Các thiết lập cấu hình người sử dụng bao gồm tất cả các liên kết chính sách người sử dụng được chỉ rõ dưới đây:

- Administrative Templates

+ Windows Components + Start Menu and takbar + Desktop

+ Control panel + Shared Folder + Network + System Bên trong các folder, subfolder và các chính sách không giống nhau tuỳ theo từng trường hợp chúng ta chọn cấu hình máy tính hay cấu hình người sử dụng Điều khiển chính sách nhóm nên tập chung vào cùng một domain controller

Do đó, bằng cách mặc định Việc điều hành chính sách tập chung trong primary domain controller Tuy nhiên, nếu domain controller với vai trò điều hành chính sách là PDC là không có hiệu lực, khi đó một thông báo lỗi được xuất hiện Mặc

dù, chúng ta sẽ được cho phép để chọn một domain controller khác Chúng ta có thể lấy dữ liệu khi nhiều người quản trị đang sửa đổi trên cùng một GPO Trong

trường hợp này, thay đổi cuối cùng sẽ ghi đè lên thay đổi trước đó khi hoàn thành một GPO Thông báo lỗi sẽ nhắc nhở khi ghi đè Chúng ta nên chọn mục này chỉ khi chúng ta đã chắc chắn điều đó

- Một GPO không được thay đổi bởi bất kỳ người nào

- Các GPO và các file kết hợp đã được thay thế một cách hoàn toàn sau thay đổi cuối cùng

* Các thiết lập Administrative Template:

Administrative Template chứa các đăng ký dựa trên các thiết lập chính sách nhóm Trong registry edit, các thiết lập chính sách nhóm giành riêng cho người

sử dụng được ghi ở HKEY_CURRENT_USER\Software\Policies Tương tự, các thiết lập chính sách nhóm giành riêng cho máy tính được ghi ở HKEY_CURRENT_MACHINE\ software\ policies

* Các thiết lập kịch bản (Script):

Windows 2008 cho phép các script được ghi trong cả computer và users Đối với computers, chúng ta có thể để ấn định script thực hiện trong suốt quá trình

cả quá trình khởi động và tắt máy

Đối với users, chúng ta có thể án định các script thực hiện trong xuốt qúa trình đăng nhập và đăng xuất Chúng ta có thể ấn định các script đăng nhập / đăng xuất thông qua trang properties của user account Tuy nhiên việc gán script thông qua chính sách nhóm là phương pháp được ưu tiên hơn Chúng ta có thể ấn định nhiều script đến một user hoặc một computer

Trong windows 2008, các scipt được thực hiện theo các mục sau:

- Trong trường hợp nhiều script, các script đã là một quá trình theo thứ tự

từ trên xuống dưới trong trường hợp này chúng đã là một danh sách trong hộp thoại properties

- Windows 2008 thực hiện các script đăng xuất trước khi thực hiện các script tắt máy

- Giá trị thời gian mặc định tối đa cho việc thực hiện các script là 10 phút Tuy nhiên, chúng ta có thể thay đổi giá trị này bằng cách thay đổi thời gian chờ trong computer configuration \ Administrative Templates \ System\ Logon\ Maximum

* Các thiết lập an toàn (Security):