Kiểm tra trên máy chủ đã cài đặt Active Directory chưa bằng cách chọn lệnh sau: Bấm nút StartAdministrtive tools, quan sát trong menu bên phải xem có dịch vụ Active Directory users and computers chưa. Nếu chưa có phải chạy lệnh StartRun, gõ lệnh dcpromo để nâng cấp server lên domain controller.
Trang 1BÀI TẬP 4 (Tiếp)
Kiểm tra trên máy chủ đã cài đặt Active Directory chưa bằng cách chọn lệnh sau:
Bấm nút Start/Administrtive tools, quan sát trong menu bên phải xem có dịch vụ Active Directory users and computers chưa
Nếu chưa có phải chạy lệnh Start/Run, gõ lệnh dcpromo để nâng cấp server lên domain controller
1 TRÊN MÁY CHỦ THỰC HIỆN CÁC YÊU CẦU SAU:
- Khai báo độ dài tối thiểu của mật khẩu là 3 ký tự
- Bỏ chính sách password phức tạp trong hệ thống
Trong Windows server ta làm như sau :
+ Bấm nút Start/Administrative Tools/Domain Security Policy, xuất hiện hộp thoại
+ Trong mục Security Settings ta mở Account Policies và chọn Password Policy (như hình trên)
a, Khai báo chiều dài tối thiểu của mật khẩu:
Trang 2+ Ta bấm đúp vào mục Minimum Password length, đánh dấu check vào mục Define this policy setting và trong mục Password must be at least ta
để độ dài tối thiểu của mật khẩu là 3 ký tự
+ Bấm Apply, bấm OK
b, Khai báo độ phức tạp của mật khẩu:
+ Bấm đúp chuột vào mục Password Must meet complexity requirements, xuất hiện hộp thoại như hình sau:
+ Trong mục Define this policy setting, ta chọn:
- Enable: bật tính năng kiểm tra độ phức tạp của mật khẩu khi tạo user account.
Trang 3- Disable: tắt tính năng kiểm tra này đi.
+ Bấm Apply, bấm OK
Chú ý: Sau khi thiết lập xong chính sách, ta phải chạy lệnh gpupdate/force
để chính sách có hiệu lực Tiến hành như sau:
o Bấm lệnh Start/Run, gõ lệnh CMD, OK.
o Tại cửa sổ CMD ta gõ lệnh: gpupdate/force, bấm Enter.
o Đóng cửa sổ CMD lại.
- Tạo 2 nhóm làm việc có tên lần lượt là KHOACNTT và TBU
Mở cửa sổ Active Directory users and Computers, bấm mở mục User Tại cửa sổ bên phải bấm chuột phải vào vùng trống rồi chọn Group
- Tạo các User:
o Cntt1, Cntt2, Cntt3 thuộc group: KHOACNTT
o User1, User2, User3 thuộc group: TBU
- Chỉ cho phép các user logon vào mạng từ 8:00am-5:00pm
- Chỉ cho phép các user của nhóm KHOACNTT logon từ một máy tính nhất định nào đó Các user của nhóm TBU có thể logon từ bất kỳ máy tính nào thuộc domain
- Tạo các thư mục trên ổ đĩa cứng: DATACNTT, DATATBU và DUNGCHUNG Tạo 1 tệp văn bản bằng Notepad trong các folder
- Chia sẻ và phân quyền truy cập thư mục cho các nhóm theo bảng dưới đây:
Permissions
Sercurity
- Logon vào máy chủ với các user trên để kiểm tra sự phân quyền (sửa đổi nội dung tệp tin rồi lưu lại, đổi tên thư mục, tạo thư mục mới trong thư mục chia sẻ )
Trang 4- Khai báo chính sách (policy) để cho các user thuộc group TBU logon
được vào Windows server từ chính máy chủ.
o Logoff khỏi Administrator, logon vào máy chủ bằng tài khoản (account) của các user thuộc group HUI xem có vào được Windows server không? Nếu vào được ta thử Shut down máy tính xem có được không?
o Logoff khỏi tài khoản của các user trên Logon vào máy chủ bằng tài khoản (account) của các user thuộc group KHOACNTT xem có vào được Windows server không?
o Logon trở lại hệ thống bằng account administrator
- Cấp quyền cho một user accout được Shutdown máy (Xem mục “d,
Cấp quyền Shutdown máy cho người dùng” ở file “Huong dan thuc hanh QT mang”) Sử dụng user account được cấp quyền và user
account không được cấp quyền này để shutdown máy xem có được không?
- Tạo một thư mục chia sẻ trên máy server Trong thư mục này tạo một file Wordpad hoặc Notepad Cấp quyền cho các user account của nhóm KHOACNTT được toàn quyền sử dụng tài nguyên chia sẻ này, các user account của nhóm HUI chỉ được quyền đọc (read)
- Logoff máy Server, lần lượt logon lại với tài khoản của hai nhóm trên
để kiểm tra các quyền được cấp cho mỗi tài khoản sử dụng tài nguyên chia sẻ
2 CÀI ĐẶT VÀ QUẢN TRỊ MÁY IN
Yêu cầu: Cài đặt hai máy in trên Windows server
- Cài đặt máy in Canon LBP-1000PS, và chia sẻ máy in này với tên gọi là Printer1
- Cài đặt máy in HP LaserJet IIIP, và chia sẻ máy in này với tên gọi là Printer2
- Cấu hình chỉ cho phép các User thuộc nhóm KHOACNTT được in trên máy in Printer1
- Cấu hình cho phép các User thuộc nhóm TBU được in trên cả 2 máy
in Printer1 và Printer2 và được phép thay đổi cấu hình các máy in
Trang 5BÀI TẬP 5 Tạo và quản lý thư mục dùng chung
Thiết lập quyền người dùng trên thư mục dùng chung
+ Tạo và quản lý người dùng trên Domain
B1: Ta tạo tài khoản người dùng và nhóm cho Công ty theo yêu cầu sau:
• Nhóm BanGiamDoc gồm: Hung, Trong
• Nhóm NhanVien gồm: Diep, Tuan, Tung
B2: Tạo cấu trúc thư mục như hình sau
Sau đó, ta cấp quyền truy cập cho người dùng theo yêu cầu sau:
• Mỗi người dùng có toàn quyền trên thư mục dành riêng của mình
• Trưởng phòng của mỗi phòng ban sẽ đọc được dữ liệu của các thành viên khác trong phòng Trưởng phòng là tài khoản đầu tiên trong danh sách của mỗi nhóm
• Thư mục Public là thư mục dùng chung, mọi người có thể ghi dữ liệu lên
đó nhưng chỉ xóa được những dữ liệu cho mình tạo ra
• Mọi người có thể truy cập thư mục Public từ máy cục bộ hoặc từ một máy khác trong hệ thống mạng
Mục tiêu
Trang 6Giúp học viên biết cách cấp quyền bảo mật trên tập tin/thư mục cho người dùng cục bộ hoặc người dùng truy cập từ một máy khác.
Hướng dẫn
Đối với thư mục của các tài khoản người dùng, ta cần quan tâm:
• Muốn người có thể truy cập vào thư mục Data, Ta cần cho phép tài khoản everyone có quyền Read trên thư mục Data
• Thư mục của mỗi nhóm thì chỉ có thành viên của nhóm là có thể truy cập vào được Như vậy, tại thư mục BanGiamDoc thì chỉ có nhóm BanGiamDoc là có quyền Read Tương tự, trong thư mục NhanVien thì chỉ có nhóm NhanVien là có quyền Read
• Tại thư mục của mỗi người, chỉ có tài khoản tương ứng là có toàn quyền,
và cũng chỉ có tài khoản trưởng nhóm là có quyền đọc
Đối với thư mục Public:
• Người dùng có quyền tạo tập tin và thư mục nhưng chỉ xóa những gì do mình tạo ra thì Ta chỉ cần cho phép người dùng có quyền tạo tập tin/thư mục, còn quyền xóa sẽ được cấp phát cho tài khoản Creator Owner
Người dùng có thể ngồi làm việc tại máy cục bộ hoặc ngồi làm việc từ xa thì Ta cần thực hiện việc chia sẻ tài nguyên đó Ta cần chỉnh sửa quyền Sharing là tài khoản everyone có toàn quyền – Full