Thực hành windows server 2008

thuc hanh windows server 2008

BÀI T P TH C HÀNH

QU"N TR$ M&NG WINDOWS SERVER 2008

BÀI 1: LOCAL USER ACCOUNT & GROUP ACCOUNT

Gi i thi u: Thông thư ng m t máy tính không ph i lúc nào cũng ch có m t ngư i nào

ñó s d"ng duy nh$t mà trên th&c t' ngay c máy trong gia ñình chúng ta ñôi khi v*n

có ít nh$t t+ 2-3 ngư i s d"ng Tuy nhiên n'u t$t c m0i ngư i ñ1u s d"ng chung

m t tài kho n thì nh2ng d2 li3u riêng tư c4a ngư i này ngư i kia hoàn toàn có th5 xem ñư8c

Nhưng n'u máy tính là máy chung c4a công ty và v$n ñ1 ñ:t ra là ta không mu;n tài li3u c4a ngư i dùng này ngư i dùng kia có th5 xem tùy ti3n ñư8c V>y cách t;t nh$t là c$p cho m?i nhân viên m t máy nh$t ñAnh và yêu cBu h0 ñ:tpassword lên máy c4a mình, nhưng như th' thì r$t t;n kém và không ñư8c ưa chu ng Chính vì th' ngư i qu n trA mGng sH s d"ng công c"Local Users and Groupsñ5 tGo các tài kho n ngư i dùng trên cùng m t máy, khi ñó d2 li3u c4a ngư i này ngư i kia không th5 truy c>p ñư8c

Local User - ð5 tGo ñư8c User local bGn ph i có quy1n ngang hàng vLi Administrator c4a h3 th;ng

1 T6o Local user account

B1: MQ chương trình Local user and group

7 Start ch0n programs ch0n Adminitrative tools ch0n Computer Management ch0n Local user and group

- Cách 2: Vào Start ch0n run gõ l3nh lusrmgr.msc

B2: Click ph i chu t vào user ch0n New user

B3: ði1n các thông s;:

- user name: SV1

- Full name: Nguyen Van Nam

- Desciption: Lop Truong

- Password: abc@123

- Confim Password: abc@123

- B[ d$u check trưLc dòng user must chang password at next logon ch0n Create

B5: Làm các bưLc trên tGo user SV1,SV2,SV3

B6: Log on vào user SV1

B1: Vào Start ch0n run gõ l3nh lusrmgr.msc

B2: Click ph i chu t vào Group ch0n New group

B3: Group name: SINHVIEN ch0n add

B4: H p thoGi New group ch0n add gõ SV1 ch0n Check name ch0n ok

B5: Quan sát th$y user SV1 ñã ñư8c add vào Group SINHVIEN

B6: Làm các bưLc trên tGo Group GIAOVIEN và add các user GV1, GV2 vào

BÀI 2: LOCAL POLICY

Gi?i thi@u:Trong công tác qu n trA mGng vi3c eng d"ng Group Policy vào công vi3c

là ñi1u không th5 thi'u ñ;i vLi b$t ce nhà qu trA mGng nào VLi Group Policy ta có th5 tùy bi'n Windows theo ch4 ý mà vLi ngư i s d"ng thông thư ng không th5 làm ñư8c

ChuAn bC:

- Mô hình bài lab ggm 1 máy

- TGo console Group policy Object

- TGo 3 user: U1, U2, U3 VLi password abc@123

- Add user U1 vào Group administrators

ThEc hi@n:

1 MF Group policy Object Editor

B1: MQ Group policy Object Editor

Start ch0n Run gõ l3nh MMC

B2: Màn hình console 1 ch0n menu file ch0n add/remove Snap7in

B3: Màn hình add or Remove Snap7ins ch0n Group policy Object Editor ch0n add

B4: Ch0n Finish

B5: Màn hình add or Remove Snap7ins ch0n Group policy Object Editor ch0n add

B6: Ch0n Browse

B7: Qua tab users ch0n U2 ch0n Finish

B8: Làm lGi B5-B6 Qua Tab user ch0n Administrators ch0n Finish

B9: Làm lGi B5-B6 Qua Tab user ch0n Non7 Administrators ch0n Finish ch0n Ok

- Vào menu File- ch0n Save lưu lGi vào Desktop vLi tên là console1

2 ðiKu chLnh policy computer configuration

B1: Log on vào máy bnng account administrator ch0n Shutdown Xu$t hi3n b ng shutdown Enven tracker ch0n Cancel

- Cpm USB vào máy xu$t hi3n b ng Autorun

B2: MQ console1 trên desktop ch0n Local computer policy ch0n computer

B3; c t bên trái mQ theo ñư ng d*n Local computer policy ch0n computer configuration Ch0n Administrative Templates ch0n windows components ch0n AutoPlay policies

B4: C t bên ph i ch0n Turn off Autoplay

B5: Ch0n Enabled ch0n all drives ch0n Ok

B6: MQ Start ch0n Run gõ l3ng CMD Enter

TGi màn hình command line gõ l3nh GPUPDATE/FORCE Ch0n Enter

KiOm tra:

Vào Start ch0n shutdown không còn xu$t hi3n b ng shutdown Enven tracker Cpm USB vào máy không còn Autorun n2a

3 ðiKu chLnh policy user configuration

- ði1u ch nh policy ñ5 user không th5 truy c>p control Panel

B1: Log on bnng account Administrators mQ console1 trên desktop mQ theo ñư ng d*n Local computer policy ch0n user configuration Ch0n Administrative Templates ch0n control Panel

- C t bên ph i double click vào policy prohibit access to the control Panel ch0n Enable

- Gõ l@nh GPUPDATE/FORCE

B2: Ki5m tra Log of Administrator log on lBn lư8t bnng U1, U2 vào start ch0n setting không th$y control Panel

4 User configuration7Non7 admin Group

- Ch nh policy sn dektop ch áp d"ng trên nh2ng user Không thu c Group Administrators

B1: log on bnng account Administrators MQ console1 trên dektop mQ theo ñư ng d*n: Local computer\Non7Administrators policy ch0n user configuration ch0n Administrative Templates ch0n dektop

- c t bên ph i double click vào policy Hide and disable all items on the desktop ch0n Enable

-KiOm tra:

- log on vào máy bnng account U2 m0i chương trình trên desktop ñ1u bA sn

5 User configuration7Admin Group

Ch nh policy n ch c năng Chang password khi nh n Ctrl+Alt+Del ch áp d!ng cho user thu"c group administrator

B1: Log on bnng account administrator mQ console1 trên dektop mQ theo ñư ng d*n: Local computer\Administrators policy ch0n user configuration ch0n Administrative Templates ch0n system ch0n Ctrl+Alt+Del options

- c t bên ph i double click vào policy Remove chang password ch0n Enable

6 ðiKu chLnh policy cho tTng user

B1: Log on bnng account administrator mQ console1 trên dektop mQ theo ñư ng d*n: Local computer\U2 policy ch0n user configuration ch0n Administrative Templates ch0n control Panel

- C t bên ph i double click vào Policy Prohibit access to the control Panel ch0n Disable

- Gõ l3nh Gpupdate/Force

KiOm tra:

- Log on U1,U3 Không th5 truy c>p control penel

- Log on U2 truy c>p control penel thành công

BÀI 3: LOCAL SECURITY POLICY

1 Password policy

B1: Log on bnng administrator

TGo 1 user U4 và password là : 123

Báo l?i không th5 tGo ñư8c do không th[a yêu cBu v1 ñ phec tGp c4a password

B2: Vào start ch0n program ch0n Administrative Templates ch0n Local Security policy

B3: MQ Account polices ch0n password policy

Quan sát c t bên ph i

B4:

Enforce password history: S; password h3 th;ng lưu tr2 (khuyên dùng: 24)

Maximun password age: Th i gian hi3u l&c t;i ña c4a 1 password (khuyên dùng : 42) Minimun password age: Th i gian hi3u l&c t;i thi5u c4a 1 password (khuyên dùng : 1) Minimun password length: ð dài t;i thi5u c4a 1 password (khuyên dùng 7)

Password must meet complexity requirements: Yêu cBu password phec tGp (khuyên dùng: enable)

Ch nh password policy:

- Password must meet complexity requirements ch0n disable

- Các password policy còn lGi ch nh giá trA v1 0 ch0n OK

- Gõ l3nh Gpupdate/Force

Ki&m tra: tGo user U4 vLi password 123 thành công

2 Account Lockout policy

B1: MQ local security policy

B2: theo ñư ng d*n Account policies ch0n Account lockout policy

- Quan sát các policy bên ph i Account lockout threahold s; lBn nh>p sai password trưLc khi account bA khóa

- Account lockout duration: Th i gian account bA khóa

- Reset Account lockout counter after: th i gian khQi ñ ng lGi b ñ'm

B3: Ch nh policy:

- Account lockout threahold : 3

- Account lockout duration: 30

- Reset Account lockout counter after: 30

KiOm tra:

- ðăng nh>p th sai password 4 lBn không th5 ñăng nh>p ñư8c ti'p

- Ch i sau 30 phút có th5 ñăng nh>p lGi

3 user rights assignment

B1: - Log on bnng quy1n U4 shut down Máy tính không ñư8c

- Thay ñxi ngày gi+o h3 th;ng không ñư8c

B2: Log on bnng administrator mQ local security pilicy ch0n local policies ch0n user rights assignment c t bên ph i quan sát th$y có 2 policy

- Chang the system time : cho phép 1 user có quy1n thay ñxi ngày gi h3 th;ng

- Shutdown the system: cho phép 1 user co quy1n tpt máy

B3: Ch nh policy:

- Chang the system time: ðưa group users vào

- Log on U4 Shut down th thành công

- Thay ựxi ngày gi h3 th;ng thành công

BÀI 4: SHARE PERMISSION

Vi3c chia sy các tài nguyên trên mGng là ựi1u không th5 thi'u trong b$t kỳ h3 th;ng mGng nào, tuy nhiên vi3c chia sy này còn tùy thu c vào nhu cBu ngư i s d"ng

& ý ựg c4a nhà qu n trA mGng, vắ d" trong công ty chúng ta có nhi1u phòng ban và các phòng ban trong công ty có nhu cBu chia sy tài nguyên cho nhau tuy nhiên nhà qu n trA mGng mu;n không ph i phòng ban nào cũng có th5 truy c>p vô tư các d2 li3u c4a phòng ban khác.

Ch|ng hGn các nhân viên trong phòng kinh doanh thì có th5 truy c>p d2 li3u c4a phòng mình và phòng k} thu>t tho i mái, nhưng vLi các nhân viên trong phòng k} thu>t ch ựư8c phép truy c>p tài nguyên trong phòng mình mà thôi và không ựư8c phép truy c>p các tài li3u t+ phòng kinh doanh Tắnh năng Sharing and Sercurity sH giúp

ta gi i quy't các yêu cBu trên

ChuAn bC:

- Mô hình bài Lab ggm 2 máy

+ PC01 Windows Server 2008

+ PC02 Windows Server 2008

- PC01 TGo 2 account U1 và U2 vLi password là :123

- TGo Folder THUCHANH trong x ựĩa C, trong thư m"c THUCHANH tGo 2 Folder là DULIEU và BIMAT

- Trong các thư m"c tGo file thuchanh.txt n i dung tùy ý

- MQ windows explore ch0n Tool ch0n folder options ch0n View b[ d$u ch0n trưLc dòng User Sharing Wizard

- Trên 2 máy tpt Firewall, UAC và chương trình Virus Ki5m tra ựư ng truy1n bnng l3nh Ping

ThEc hi@n:

1 Share mZt Folder

B1: Vào thư m"c g;c x ựĩa C ch0n Foder DULIEU Click chu t ph i lên folder DULIEU ch0n Share

B2: TGi tab Share Click vào Advanced SharingẦ

- đánh d$u check vào share this folder click vào Permissions

Phía trên ch0n Everyone phía dưLi check vào Allow full control ch0n OK

B3: TGi máy PC02 ch0n Menu Start ch0n Run gõ: \\PC01 ch0n OK

H p thoGi yêu cBu cheng th&c khi ñăng nh>p ñi1n vào user name: U1 và

B2: TGi tab Sharing Click ch0n vào Advanced SharingẦ

- đánh d$u check vào share this folder

- Khung Share name Thêm vào BIMAT$ Ch0n vào Permissions

Phắa trên ch0n Everyone phắa dưLi check vào Allow full control ch0n OK

B3: TGi máy PC02 ch0n menu Start ch0n Run nh>p vào \\PC01 truy c>p vào không th$y folder BIMAT

- Tpt c a sx explorer truy c>p lGi PC01 Start ch0n Run nh>p vào \\PC01\BIMAT$

Gõ user name: U1 và Password 123 Truy c>p vào Folder BIMAT thành công

3 Share mZt folder v?i nhiKu tên

B1: Click chu t ph i lên folder DULIEU ch0n Share ch0n Advanced Sharing… Click vào Add

B2: Khung share name nh>p vào DULIEU_KETOAN Ch0n Ok

B3: Ki5m tra trong h p thoGi Advanced Sharing, phBn Share name có 2 tên DULIEU Và DULIEU_KETOAN

4 Gán tên ` ñĩa m6ng ñO truy ccp các shared folder

B1: Share thư m"c TAILIEU trên ñĩa C

B2: Click chu t vào folder TAILIEU ch0n vào Tool Ch0n vào Map network drive

- Driver: Ch0n tên x ñĩa

- Folder: gõ vào \\tên PC\tên thư mdc Share sau ñó ch0n Finish

B3: MQ Windows explore ki5m tra ñã có x ñĩa mGng DULIEU(W)

5 Qugn lý các Share Resources

Click chu t ph i lên bi5u tư8ng Conputer ngoài Desktop Ch0n Manage ch0n vào Role ch0n vào file services ch0n vào share and storage management Quan sát bên tay ph i các d2 li3u hi3n ñang ñư8c chia sy trên máy tính

Như chúng ta ñã bi't khi chia sy tài nguyên qua mGng (Share) User sH chAu tác

ñ ng c4a Permission có quy1n hay bA giLi hGn quy1n do Administrator phân quy1n Nhưng nó ch có tác d"ng n'u User ñó t+ máy Client truy c>p vào còn n'u User ñó nggi trên Server thì m0i tác ñ ng c4a Share Permission hoàn toàn vô nghĩa, vì th' ñ5 giLi hGn quy1n c4a User tGi local ngư i ta s d"ng NTFS Permission Khi ñó khi User truy c>p vào m t tài nguyên nào ñó ñó mGng sH chAu tác ñ ng c4a 2 Permission là Share Permission & NTFS Permission Trong khi ñó n'u truy c>p tGi local sH ch chAu tác ñ ng c4a NTFS Permission

ði1u ki3n ñ5 s d"ng NTFS Permission là Partition c4a bGn ph i ñư8c format ñAnh dGng file system là NTFS

ChuAn bC: TGo cây thư m"c như hình dưLi

- TGo 2 Group: KETOAN, NHANSU

Phân quyKn thư mdc bjng Standard Permission

Phân quy1n cho các Group như sau

- Trên thư m"c Data:

+ Group Ketoan và Nhansu có quy1n Read

- Trên thư m"c Chung:

+ Group Ketoan và Nhansu có quy1n Full

- Trên thư m"c Ketoan:

+ Group Ketoan có quy1n Full

+ Group Nhansu không có quy1n

- Trên thư m"c Nhansu:

+ Group Nhansu có quy1n Full + Group Nhansu không có quy1n

1 Phân quyKn trên thư mdc DATA

B1: Click chu t ph i lên thư m"c DATA ch0n Properties qua tab Security ch0n Advanced

B2: Trang tab Permissions ch0n Edit

B3: B[ d$u check trưLc dòng Include inheritable permissions from this object’s parent

B4: Màn hình Windows security ch0n copy ch0n OK-OK

B5: TGi màn hình DATA properties ch0n Edit

B6: Màn hình Permissions for DATA ch0n Add

B7: Trong khung Enter the object names to select gõ KETOAN ; NHANSU Ch0n check names

B8: Quan sát th$y KETOAN Và NHANSU ñã ñư8c gGch chân xác ñAnh group KETOAN Và NHANSU có tgn tGi ch0n OK

Quan sát th$y KETOAN và NHANSU có 3 quy1n Allow: Read & excute, List folder contents, read ch0n Ok-Ok

KiOm tra:

- LBn lư8t log on vòa máy bnng quy1n KT1,NS1 mQ thư m"c c:\DATA truy c>p thành công

- TGo Folder b$t kỳ xu$t hi3n thôngbáo l?i không có quy1n

2 Phân quyKn cho thư mdc Chung

B1: Log on Administrator click chu t ph i lên thư m"c chung ch0n Properties qua tab security ch0n Edit LBn lư8t ch0n t+ng Group Ketoan và Nhansu cho quy1n Allow full control ch0n Ok-OK

B2: KiOm tra:

-LBn lư8t log on vào bnng KT1, NS1 truy c>p vào thư m"c Chung truy c>p thành công -TGo xóa, folder b$t kỳ trong thư m"c chung thành công

3 Phân quyKn cho mdc KETOAN

B1: Click chu t ph i lên thư m"c KETOAN ch0n Properties qua tab security ch0n advanced

B2: Trong tab Permissions ch0n Edit

B3: B[ d$u check trưLc dòng Include inheritable permissions from this object’s parent

B4: Màn hình Windows security ch0n copy ch0n OK-OK

B5: TGi màn hình KETOAN Properries ch0n Edit

B6: Ch0n Group NHANSU ch0n Remove

B7: Ch0n Group KETOAN ch0n allow full control ch0n ok7ok

KiOm tra:

-LBn lư8t log on vào bnng KT1, NS1 truy c>p vào thư m"c KETOAN ch có KT1 truy c>p thành công, còn NS1 không truy c>p ñư8c

-User KT1 TGo, xóa file, folder b$t kỳ trong thư m"c KETOAN thành công

4 Phân quyKn trên thư mdc NHANSU

B1: Click chu t ph i lên thư m"c NHANSU ch0n Properties qua tab security ch0n advanced

B2: Trong tab Permissions ch0n Edit

B3: B[ d$u check trưLc dòng Include inheritable permissions from this object’s parent

B4: Màn hình Windows security ch0n copy ch0n OK-OK

B5: TGi màn hình NHANSU Properries ch0n Edit

B6: Ch0n Group KETOAN ch0n Remove

B7: Ch0n Group NHANSUch0n allow full control ch0n ok7ok

Phân quyKn thư mdc bjng Special Permission

Phân theo yêu c*u: File do user nào t-o ra User ñó m i xóa ñư3c

B1: Click chu t ph i lên thư m"c KETOAN ch0n Properties qua tab security ch0n advanced

B2: Trong tab Permissions ch0n Group KETOAN Ch0n edit

B3: TGi màn hình advanced security Setting for KETOAN, Ch0n group KETOAN ch0n edit

B4: ƒ m"c Allow, tpt d$u check Q Delete subfolders and file và delete ch0n ok 3 lBn

Do ñó Windows ñã có tính năng là Domain Controller (DC) giúp ta gi i quy't rpc r;i trên ði1u ki3n ñ5 có m t DC là bGn ph i trang bA m t máy Server riêng ñư8c g0i là máy DC các máy còn lGi ñư8c g0i là máy Client, c h3 th;ng ñư8c g0i là Domain Khi ñó Administrator ch vi3c tGo User Account ngay trên máy DC mà thôi nhân viên công ty dù nggi vào b$t ce máy nào trên Domain ñ1u có th5 truy c>p vào Account c4a mình mà các tài nguyên anh ta tGo trưLc ñó ñ1u có th5 d… dàng tìm th$y

1 Nâng cmp Domain Controller

B1: Ch nh IP

- Menu start ch0n setting ch0n network Connections click chu t ph i vào card mGng Lan ch0n Properties b[ d$u check internet Protocol Version 6 (TCP/TPv6) ch0n internet Protocol Version 4 (TCP/TPv4) nh$n Properties

B2: ði1u ch nh Preferred DNS server v1 IP c4a chính s; máy mình nggi ch0n OK

B3: Vào menu Start ch0n Run ñánh l3nh DCPROMO

B4: Màn hình Welcome to th Active Derectory Domain Services Installtion wizard ch0n user advanced mode Installtion ch0n next

B5: Màn hình Choose a Deployment configuration ch0n Create a new domainin a new forest

B6: Màn hình Name the forest root Domain gõ tên domain cse.edu ch0n next

B7: Màn hình Domain NetBIOS name ch0n next

B8: Màn hình Set Forest Functional Level Ch0n windows server 2008 ch0n next

B9: Màn hình additional Domain Controller Options ch0n next

B10: Màn hình Location for database, log files, and SYSVOL ch0n next

B11: Màn hình Diretory Services Restore mode Administrator password gõ abc@123 Ch0n next

B12: Màn hình summary ch0n next

B13: Màn hình Active Directory Doamin services Installation

B14: Màn hình Completing Active Directory Domain Services Installation Wizard Finish ch0n Restart

2 Join các máy Workstation vào Domain

Sau khi nâng c$p máy Server lên DC bây gi ta ti'n hành Join t$t c các máy Client vào Domain L8i ích c4a vi3c Join vào Domain này là r$t nhi1u trong bài này không th5 nói h't ñư8c nhưng ce hi5u m t cách nôm na rnng join vào Domain rgi m0i máy Client không cBn tGo User gì c mà ch cBn dùng các User Account mà ta ñã tGo trên

DC mà v*n có th5 truy c>p vào máy m t cách ngon lành Cách Join như sau: Vào TCP/IP ch nh DNS là IP c4a máy DC

Th5c hi n trên PC2 : Windows server 2008

B1: ChLnh IP

- Menu start ch0n setting ch0n network Connections click chu t ph i vào card mGng Lan ch0n Properties b[ d$u check internet Protocol Version 6 (TCP/TPv6) ch0n internet Protocol Version 4 (TCP/TPv4) nh$n Properties

ði1u ch nh Preferred DNS server v1 IP c4a chính s; máy mình nggi ch0n OK

B2: Click chu t ph i vào Computer ch0n Properties Trong phBn Computer name, domain, and workgroup setting ch0n Change setting

- Trong phBn Member of ch0n domain ñi1n tên domain cse.edu ch0n ok

- ði1n Usernsme và Password: administrator và Password: 123

3 Khgo sát các policy trên máy Doamin Controller

MZt sp thay ñ`i khi nâng cmp lên máy DC

- Quan sát trong Server Manager không còn Local Users and Group

- MQ Active Directory users and computer Vào Start ch0n Program ch0n Administrative tools ch0n Active Directory users and computer Quan sát

- ChLnh policy cho phép ñrt password ñơn gign

B1: Vào Start ch0n Program ch0n Administrative tools ch0n Group plicy Management ch0n Forest ch0n cse.edu ch0n Domain ch0n cse.edu click chu t

ph i Default domain policy ch0n Edit

B2: Theo ñư ng d*n Computer Configuration ch0n policies ch0n Windows setting ch0n security setting ch0n Account policy ch0n Password policy Double click vào Password must meet complexity requirements

B3: Ch0n Disable ch0n OK

B4: Màn hình Group policy management Editor Double click vào Maximum password age ch0n Properties

B5: Gõ 0 vào dòng

Màn hình Group policy management Editor Double click vào Enforce password history ch0n properties

Gõ 0 vào dòng Do not keep passwords remember

Vào Start ch0n Run gõ CMD ch0n Ok Gõ GPUPDATE/FORCE Enter

B1: Vào Start ch0n Program ch0n Administrative tools ch0n Group plicy Management ch0n Forest ch0n cse.edu ch0n Domain ch0n cse.edu click chu t

ph i Default domain Controller policy ch0n Edit

B2: Theo ñư ng d*n Computer Configuration ch0n policies ch0n Windows setting ch0n security setting ch0n Local policy ch0n user right assgnment

B3: H p thoGi Allow log on locally ch0n Properties ch0n Add user or Group

B4: Gõ vào Users ch0n Ok7 Ok

Vào Start ch0n Run gõ CMD ch0n Ok Gõ GPUPDATE/FORCE Enter