Giáo trình Quản trị mạng (Nghề: Kỹ thuật sửa chữa, lắp ráp máy tính - Cao đẳng): Phần 2 - Trường CĐ Nghề Kỹ thuật Công nghệ

(NB) Tiếp phần 1, Giáo trình Quản trị mạng phần 2 cung cấp cho người học những kiến thức như: Quản lý tài nguyên dùng chung; quản trị môi trường mạng Group Policy; giới thiệu MS Windows Server. Mời các bạn cùng tham khảo!

Bài 5: QUẢN LÝ TÀI NGUYÊN DÙNG CHUNG

Mã bài: MĐSCMT21.05.

Giới thiệu:

Quản lý tài nguyên dùng chung là một trong những công việc tạo nên thànhcông việc chia sẻ và phân quyền truy suất tài nguyên Bài này sẽ cung cấp cho sinhviên các kiến thức cần thiết để chia sẻ thư mục, máy in, quyền NTFS và những vấn đềliên quan đến quyền Được trình bày thành các mục chính được sắp xếp như sau:

- Quyền truy xuất tài nguyên

- Triển khai dịch vụ file – DFS

- Quyền quản lý File - NTFS

- Cài đặt và quản trị máy in mạng

Mục tiêu:

- Giải thích được việc chia sẻ và phân quyền truy xuất tài nguyên

- Trình bày được các quyền chia sẻ thư mục, máy in, quyền NTFS và những vấn

đề liên quan đến quyền

- Chia sẻ thư mục, phân quyền truy xuất cho User bởi công cụ đồ họa hay dòng lệnh

- Triển khai dịch vụ chia sẻ tập tin DFS

- Triển khai máy in cục bộ, máy in mạng

- Nắm được khái niệm quyền truy xuất: File (Shared, NTFS), Print, Services.

- Nắm được quản lý tài khoản (SID, ACE, DACL).

Khi người dùng truy xuất đến các tài nguyên hệ thống thì phải có một tài khoảnnhất định, mỗi tài khoản có một mức độ truy cập nhất định, còn gọi là Premission.Permission là quyền hạn truy xuất tài nguyên của người dùng

Permission đươc dùng để gán cho các đối tượng muốn bảo mật: File, Folder,Printer

Permission được áp dụng cho user và group hay Computer trên Activer Directoryhay Local on Computer

1.1 Khái niệm quyền truy xuất: File (Shared, NTFS), Print, Services

Quyền truy xuất tài nguyên: người dùng muốn sử dụng tài nguyên hệ thống mạng:

PC, Foder, File, Printer phải có một tài khoản nhất định

Tài khoản còn gọi là username, được tạo ra và có một ID nhất định trên toàn hệthống

Khi người dùng truy xuất tài nguyên sẽ có xác thực của hệ thống

Để xác thực quyền truy xuất tài nguyên của người dùng hệ thống dựa vào: SID,DACL, ACL

1.2 Quản lý tài khoản (SID, ACE, DACL)

- SID (Security Identifier): Số nhận dạng bảo mật Thành phần nhận dạng khôngtrùng lặp được hệ thống tạo ra với tài khoản và dùng cho hệ thống nhận dạng

- DACL: (Discretionary Access Control List): Danh sách điều khiển truy cập củachủ sở hữu, chủ sở hữu đối tượng có quyền thay đổi nội dung danh sách này Cho phéphoặc không cho phép truy cập đối tượng

- ACL: Một danh sách liên kết, chứa nhiều ACE là các phần tử Mỗi ACE chứamột một số bảo mật SID của người dùng hoặc nhóm người dùng, danh sách quy địnhngười dùng được phép hay không được phép truy cập đến đối tượng gọi là AccessMask

2 Quyền chia sẻ thư mục – Shared folder.

trên mạng, bạn phải logon vào hệ thống với vai trò người quản trị

(Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong Explorer bạn nhầp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing.

2.1 Chia sẻ quản trị: Drive$, Admin$, Netlogon, Sysvol

Shared Folder được dùng để cung cấp cho người dùng mạng các truy nhập đến cáctài nguyên file Khi một folder được chia sẻ, người dùng có thể kết nối đến folder quamạng và đạt được truy nhập đến file mà nó chứa Tuy nhiên, để đạt được truy nhậpđến các files, người dùng cần phải có giấy phép (permission) để truy nhập đến Sharedfolder đó

a Shared foder permission

Một shared folder có thể chứa các ứng dụng, dữ liệu hoặc dữ liệu cá nhân củangười dùng (home folder) Mỗi kiểu dữ liệu có thể đòi hỏi các giấy phép trên sharedfolder khác nhau Shared folder permisson có đặc điểm chung sau: Shared folderpermisson áp dụng cho folder, chứ không cho file cụ thể Từ đó bạn có thể áp dụngShared folder permisson chỉ cho toàn thể shared folder và không áp dụng đến các file

cụ thể hoặc các subfolders trong cùng shared folder đó, sharedfolder permission cungcấp ít chi tiết hơn NTFS permission.Shared folder permission không hạn chế tuy nhậpđối với các người dùng màcó được truy nhập đến folder đó tại máy tính nơi folderđược lưu Chúng áp dụng chỉcho các người dùng kết nối đến folder qua mạng.Sharedfolder permission là cách thức duy nhất để bảo mật tài nguyên mạngtrên một FATvolume NTFS permission không có trên FAT volumeDefault shared folder permission

là Full Controll và nó được gán đến nhómEveryone khi bạn chia sẻ folder Để điềukhiển cách thức người dùng có được truy nhập đến một shared folder, bạn phải gánshared folder permision Mỗi shared folder permission cho phép ngườidùng thựchiệnRead: Người dùng có thể xem folder name, filenames, file data và attributes;chạycác file chương trình, và di chuyển đến các subfoder bên trong shared folder Change:Người dùng có thể tạo folders, thêm file vào foldes, thay đổi dữ liệutrong các files,thêm dữ liệu vào file, thay đổi file attributes, xoá folder và files, thự chiện các hànhđộng cho phép bởi Read permission Full Control: Người dùng có thể thay đổi filepermissions, lấy quyền sở hữu (take ownership) của các files, và thực hiện tất cả các

b Áp dụng Shared folder permission

Việc áp dụng shared permission đối với user account và group ảnh hưởng đếntruy nhập đối với một shared folder Việc huỷ bỏ permission được ưu tiên (ghi đè) quacác permission mà bạn cho phép Nhiều Permission Một người dùng có thể là thànhviên của nhiều nhóm, mỗi nhóm với các permission khác nhau mà cung cấp các mứctruy nhập khác nhau đến shared folder Khi gán một permission đến một người dùngcho một shared folder; đồng thời ngườidùng đó là thành viên của một nhóm và bạn gáicác permission khác đến nhóm này, permission tổng hợp có tác động đến người dùng

đó là tổ hợp user permission và group permission Ví dụ, nếu người dùng có Readpermission và là thành viên của một nhóm có Change permission, permission có hiệuquả của người dùng là change, mà bao hàm ReadDeny ghi đè các permission khácDenied permission lấy ưu tiên (take precedence) qua bất kỳ permission nào mà bạn cóthể cho phép trái lại cho các user và group account Nếu bạn huỷ bỏ bất kỳ sharedfolder permission với một người dùng, người dùng sẽ không thể có permission đó,thậm chí nếu bạn cho phép permission cho một nhóm mà người dùng đó là thànhviên NTFS permission Shared folder permission là đủ để đạt được truy nhập đến cácfile và folders trên một FAT volume nhưng không là giải pháp tốt nhất cho một NTFSpartition Trên một FAT partition, người dùng có thể đạt được truy nhập đến mộtshared folder trong đó họ có các permission, tương tự như đến tất cả nội dung củafolders Khi người dùng có được truy nhập đến một shared folder trên NTFS partition,bạn nên dùng quyền chia sẻ (share right) hoặc NTFS permission nhưng không nên cảhai NTFS permission là thích hợp khi permission có thể thiết lập trên cả hai file vàfolder Nếu quyền chia sẻ được cấu hình cho một folder và các NTFS permission đượccấu hình cho các folders hoặc file bên trong một folders, quyền hạn chế nhất sẽ trởthành quyền có tác dụng với người dùng Điều này tăng một cách đáng kể độ phức tạpcủa việc giải quyết quyền truy nhập cho các tài nguyên mạng Sao chép hoặc dichuyển các shared folder Khi bạn sao chép một shared folder, shared folder ban đầuvẫn còn được chia sẻ, nhưng bản coppy thì không Khi bạn di chuyển một sharedfolder, nó không được chia sẻ nữa

c Chia sẻ thư mục

Các đòi hỏi cho việc chia sẻ thư mụcTrong Windows 2003, thành viên củanhóm built-in Administrators, Server Operators và Power Users có khả năng phụ thuộcvào việc máy tính thuộc domain hoặc workgroup và kiểu của máy trên đó sharedfolder định vị Trong Windows 2003 domain, nhóm Adminisstrator và ServerOperators cóthể chia sẻ các folder nằm trên bất kỳ máy nào trong domain NhómPower User lànhóm cục bộ (local group) và chỉ có thể chia sẻ folders nằm trên stand -alone server

Trong một workgroup, nhóm Adminisstrator và Power Shared Objects có thểtạo ra các shared folder trên máy tính nơi quyền này được gán Chia sẻ một folder Khi bạn chia sẻ một folder, bạn có thể gán cho nó:- Share name- Lời chú thích(comments) để mô tả về folder và nội dung của nó- Hạn chế số người dùng có quyềntruy nhập đến fofders, gán các permissions- Chia sẻ một folder nhiều lần Để chia sẻmột thư mục, nhấn chuột phải folder bạn muốn và nhấn Sharing Để gán permissioncho các user hoặc group, bạn có thể nhấn nút Permission rồi gán Thay đổi các thuộctính chia sẻ Để thay đổi thuộc tính của một tài nguyên chia sẻ, bạn phải đăng nhậpvàonhư là một thành viên của các nhóm Administrators hoặc Server Operators Bạn cóthể lựa chọn một tài nguyên đã chia sẻ và tạo ra các thay đổi cho các thuộc tính của nó

Dùng hộp thoại share Properties để thay đổi đường dẫn thư mục, thêm lời chú thích,thay đổi số người dùng cho phép kết nối đến share tại một thời điểm NhấnPermissions để xem danh sách người dùng và nhóm mà được phép dùng share và thayđổi sự cho phép Dừng việc chia sẻ thư mục Khi bạn dừng việc chia sẻ thư một thưmục, nó không được tồn tại lâu hơn nữa trên mạng Để dừng việc chia sử một thư mục,bạn cần phải đăng nhập như thành viên của nhóm Administrators hoặc ServerOperators Hộp thoại Shared Directory trình bày các thư mục chia sẻ bạn tạo ra cũngnhưcác thư mục chia sẻ tạo bởi hệ thống Nhìn chung, bạn không nên dừng việc chia

sẻ tạo bởi hệ thống Các shares dành cho việc quản trị mà đã bị xoá sẽ được tạo lạimộtcách tự động lần tiếp theo sau khi dịch vụ Server được khởi động

Chú ý: Nếu quyết định dừng việc chia sẻ một thư mục trong khi người

dùngđang kết nối, người dùng có thể mất dữ liệu Dùng Window Explorer để dừngviệcchia sẻ một thư mục Kết nối đến một thư mục chia sẻ Có một vài cách để kết nốiđến thư mục chia sẻ bạn có thể dùng lện Find trên Start menu để kết nối đến bất kỳmáy tính hoặc thư mục chia sẻ nào trên mạng, hoặc nhấn đúp một máy tính trong MyNetwork Places

2.2 Quyền thực hiện chia sẻ Local

(Administrators, Power Users Group); Domain (Administrators, Server

Operators).

Quyền thực hiện chia sẻ Domain, giúp người quản trị dễ chia nhỏ việc ra nhiều phần,mỗi phần đó sẽ có 1 máy quản lý riêng, giúp hệ thống quản lý tên miền hoạt động linhhoạt hơn

Mô hình

Các bước triển khai

Thực hiện việc ủy quyền trên máy DNS có tên miền là "thuvien-it.net." Trênmáy DNS đang quản lý tên miền hcm.thuvien-it.net thực hiện việc Forwarder đến máyDNS tên miền thuvien-it.net

Thực hành:

Thông số IP như sau:

Subnet mask: 255.255.255.0 255.255.255.0

Thực hiện việc ủy quyền trên máy DNS có tên miền là "thuvien-it.net." Vào Run gõ dnsmgmt.msc để truy xuất vào hộp thoại quản lý DNS Click phải vào miền thuvien-it.net chọn New Delegation…

Hình 1 : New Delegation.

Tại hộp thoại New Delegation ta tạo tên mới để ủy quyền vídu: "hcm"

Hình 2 : Tạo tên để quản lý

Tại hộp thoại Name server : bấm vào nút Add tại ô Text Server fully qualified domain name điền chính tên của máy DNS đang quản lý tên miền hcm.thuvien-it.net

và địa chỉ Ip của máy

Ví dụ : DNS.HCM.hcm.thuvien-it.net

DNS.HCM là tên của máy DNS có tên miền hcm.thuvien-it.net

Hình 3 : Khai báo tên máy và Ip muốn ủy quyền sang.

Sau khi điền đầy đủ thông tin -> Next

Hình 4 : Hộp thoại Name server.

Trên máy DNS đang quản lý tên miền "hcm.thuvien-it.net" thực hiện việc Forwarder đến máy DNS miền thuvien-it.net Trong hộp thoại quản lý DNS click phải vào tên máy có tên DNS-HCM chọn properties.

Hình 5 : Hộp thoại quản lý tên miền.

Tại tab Forwarders tại ô điền Ip ta điền Ip của máy DNS đang quản lý tên miền

thuvien-it.net Sau đó nhấn OK

Hình 6 : Chỉ định việc truyền thông tin tới máy có IP.

Kiểm tra lại việc vừa cấu hình trên máy Client Xp

Hinh 7 : kiểm tra hoạt động giữa các máy.

2.3 Các bước thực hiện chia sẻ: Computer Management, My Computer; Net Share.

Bước 1: Mở My Computer Trên thanh Menu, chọn Tools/Folder Options…

Bước 2: Trong cửa sổ Folder Options, bạn chọnView, kéo thanh cuộn xuống dưới cùng, tick chọnUse simple file sharing (Recommended) như hình dưới và bấm OK.

Bước 3: Trên cửa sổ My Computer, bạn di chuyển tới thư mục muốn chia sẻ Bấm chuột phải lên thư mục này, chọnSharing and Security…

Bước 4: Nếu tính năng chia sẻ lần đầu tiên được sử dụng trên máy tính, cửa sổ mới xuất hiện có nội dung mục Network sharing and security như trong hình Bạn bấm vào dòng If you understand the security risks but want to share files

without running the wizard, click here Nếu tính năng chia sẻ đã từng được sử dụng, bạn có thể bỏ qua bước này và chuyển đến Bước 5.

Cửa sổ Enable File Sharing, bạn chọn Just enable file sharing và bấm OK.

Bước 5: Trong cửa sổ mới xuất hiện, bạn chọn Share this folder on the network, sau đó bấm OK để hoàn tất việc chia sẻ thư mục trên mạng nội bộ.

2.4 Các bước quảng bá thư mục chia sẻ cho Domain

Trước khi bắt đầu cấu hình Windows Share, hãy chắc chắn rằng bạn có đặc quyềnAdministrator để thay đổi các thiết lập chia sẻ mặc định, mà các máy tính mà bạnmuốn chia sẻ cùng thuộc một nhóm làm việc (workgroup) Để kiểm tra workgroup,

bạn nhấp chuột phải vào Computer, chọn Properties và kiểm tra workgroup của PC từ mục Computer name, domain, and workgroup settings.

Vào mục Properties của Computer

Kiểm tra thông tin trong Computer name, domain và workgroup settings

Bây giờ, bạn chuyển tới thư mục muốn chia sẻ qua mạng Nhấp phải chuột vào nó

và chọn Advance sharing từ menuShare with.

Chọn Advanced Sharing

Trong hộp thoại Advanced Sharing, bạn tích vào ô cho phép chia sẻ Share this folder, sau đó nhấn nút Permissions.

Cho phép chia sẻ thư mục

Hộp thoại Permission hiện ra, ở đây bạn sẽ thay đổi việc cho phép truy cập tệp

tin cho các người dùng trong nhóm và các người dùng cá nhân khác Trước hết, bạn

phải cho phép Home GroupUser object truy cập nội dung của các folder Để làm điều này, nhấn nút Add.

Thêm nhóm cho phép truy cập

Trong hộp thoại Select Users or Groups, nhấn Advanced.

Chọn Advanced trong hộp thoại Select Users or Group

Bạn có thể điền vào đối tượng Home GroupUser, hoặc chọn nó từ danh sách có sẵn Nhấn nút Find Now, kéo xuống đến khi thấy đối tượng HomeGroupUser$, nhấp

để chọn và OK.

Chọn đối tượng HomeGroupUsers

Sau khi bạn nhấn OK ở trên, đối tượng HomeGroupUser$ được thêm vào Nhấn tiếp OK để cho phép nhóm là việc này được phép truy cập vào thư mục chia sẻ.

Bây giờ, bạn chọn HomeGroupUser$ và từ các ô tick trong mục Permission, đánh dấu vào Fullcontrol, cuối cùng chọn Apply sau đó OK.

Sau bước trên, bạn sẽ quay trở lại hộp thoại Advanced Sharing, việc còn lại là tiếp tục nhấn OK để chia sẻ thư mục cho các PC kết nối trong homegroup

Hoàn tất việc chia sẻ

Bạn chú ý là phải khởi động lại máy tính, hoặc Disable và sau đó Enable lại kết

nối mạng thì khi đó thư mục mới thực sự được chia sẻ

Nếu sau khi làm các bước trên, mà bạn vẫn không truy cập được thư mục chia

sẻ, bạn chuyển đến Network anh Sharing Center/ Advanced sharing và Turn on tất cả các lựa chọn trong Home or Work.

Vậy là bạn đã có thể chia sẻ các thư mục và file hệ thống với máy tính khác.Đây là việc rất cần thiết nếu bạn là một nhà quản trị mạng và muốn truy cập hoàn toàncác máy tính từ xa hay đơn giản là bạn muốn kết nối các máy tính trong gia đình lạivới nhau một cách triệt để nhất

2.5 Quyền chia sẻ: change, Write, Read.

3 Quyền quản lý File – NTFS

Mục tiêu.

- Nắm được đặc trưng của hệ thống file NTFS.

- Các bước thiết lập quyển NTFS cho file và Folder.

- Các ảnh hưởng và hiệu ứng của quyền hạn.

So với FAT32 thì hệ thống file NTFS trên HĐH Windows 2000 trở đi hỗ trợhiệu quả hơn trong việc quản lý dữ liệu partition

3.1 Giới thiệu đặc trưng của hệ thống file NTFS

Có hai loại hệ thống tập được dùng cho partition và volume cục bộ là FAT (bao gồm FAT16 và FAT32) FAT partition không hỗ trợ bảo mật nội bộ, còn NTFS partition thì ngược lại có hỗ trợ bảo mật; có nghĩa là nếu đĩa cứng của bạn định dạng là FAT thì mọi người đều có thể thao tác trên các file chứa trên đĩa cứng này, còn ngược lại là định dạng NTFS thì tùy theo người dùng có quyền truy

Directory Một ACL có thể chứa nhiều ACE (Access Control Entry) đại điện

cho một người dùng hay một nhóm người

3.2 Các bước thiết lập quyển NTFS cho file và Folder

Bạn muốn gán quyền NTFS, thông qua Windows Explorer bạn nhấp phải chuột vào tập tin hay thư mục cần cấu hình quyền truy cập rồi chọn Properties Hộp thoại Properties xuất hiện Nếu ổ đĩa của bạn định dạng là FAT thì hộp thoại chỉ có hai Tab là General và Sharing Nhưng nếu đĩa có định dạng là NTFS thì trong hộp thoại sẽ có thêm một Tab là Security Tab này cho phép ta có thể quy

định quyền truy cập cho từng người dùng hoặc một nhóm người dùng lên các tập tin

và thư mục Bạn nhầp chuột vào Tab Security để cấp quyền cho các người dùng.

Muốn cấp quyền truy cập cho một người dùng, bạn nhấp chuột vào nút Add, hộp

thoại chọn lựa người dùng và nhóm xuất hiện, bạn chọn người dùng và nhóm cần

cấp quyền, nhấp chuột vào nút Add để thêm vào danh sách, sau đó nhấp chuột vào nút OK để trở lại hộp thoại chính.

Hộp thoại chính sẽ xuất hiện các người dùng và nhóm mà bạn mới thêm vào,sau đó chọn người dùng và nhóm để cấp quyền Trong hộp thoại đã hiện sẵn danhsách quyền, bạn muốn cho người dùng đó có quyền gì thì bạn đánh dấu vào phần

Allow, còn ngược lại muốn cấm quyền đó thì đ ánh dấu vào mục Deny.

3.3 Các ảnh hưởng và hiệu ứng của quyền hạn

Trong hộp thoại chính trên, chúng ta có thể nhấp chuột vào nút Advanced để

cấu hình chi tiết hơn cho các quyền truy cập của người dùng Khi nhấp chuột vào nút

Advanced, hộp thoại Advanced Security Settings xuất hiện, trong hộp thoại, nếu bạn đánh dấu vào mục Allow inheritable permissions from parent to propagate to this object and child objects thì thư mục hiện tại được thừa hưởng danh sáchquyền truy cập từ thư mục cha, bạn muốn xóa những quyền thừa hưởng từ thưmục cha bạn phải bỏ đánh dấu này Nếu danh sách quyền truy cập của thư mụccha thay đổi thì danh sách quyền truy cập của thư mục hiện tại cũng thay đổi

theo Ngoài ra nếu bạn đánh dấu vào mục Replace permission entries on all child objects with entries shown here that apply to child objects thì danh sách

quyền truy cập của thư mục hiện tại sẽ được áp dụng xuống các tập tin và thư mụccon có nghĩa là các tập tin và thư mục con sẽ được thay thế quyền truy cấp giốngnhư các quyền đang hiển thị trong hộp thoại

Trong hộp thoại này, Windows Server 2003 cũng cho phép chúng ta kiểm

tra và cấu hình lại chi tiết các quyền của người dùng và nhóm, để thực hiện, bạn

chọn nhóm hay người dùng cần thao tác, sau đó nhấp chuột vào nút Edit.

Thay đổi quyền khi di chuyển thư mục và tập tin.

Khi chúng ta sao chép (copy) một tập tin hay thư mục sang một vị trí mới thì quyền

truy cập trên tập tin hay thư mục này sẽ thay đổi theo quyền trên thư mục cha chứa

chúng, nhưng ngược lại nếu chúng ta di chuyển (move) một tập tin hay thư mục

sang bất kì vị trí nào thì các quyền trên chúng vẫn được giữ nguyên

Giám sát người dùng truy cập thư mục

Bạn muốn giám sát và ghi nhận lại các người dùng thao tác trên thư mục hiện tại,

trong hộp thoại Advanced Security Settings, chọn Tab Auditing, nhấp chuột vào nút Add để chọn người dùng cần giám sát, sau đó bạn muốn giám sát việc truy xuất thành công thì đánh dấu vào mục Successful, ngược lại giám sát việc truy xuất không thành công thì đánh dấu vào mục Failed.

Thay đổi người sở hữu thư mục.

Bạn muốn xem tài khoản người và nhóm người dùng sở hữa thư mục

hiện tại, trong hộp thoại Advanced Security Settings, chọn Tab Owner Đồng

thời bạn cũng có thể thay đổi người và nhóm người sở hữu thư mục này bằng cách

nhấp chuột vào nút Other Users or Groups.

4 Triển khai dịch vụ file – DFS

Mục tiêu.

- Nắm được khái niệm dịch vụ DFS, so sánh được 2 loại DFS.

- Các bước thực hiện triển khai hệ thống chia sẻ file Dfs: Root, Link

4.1 Giới thiệu dịch vụ DFS

DFS (Distributed File System) là hệ thống tổ chức sắp xếp các thư mục, tập tin dùng chung trên mạng mà Server quản lý, ở đó bạn có thể tập hợp các thư mục dùng chung nằm trên nhiều Server khác nhau trên mạng với một tên chia sẻ

duy nhất Nhờ hệ thống này mà người dùng dễ dàng tìm kiếm một tài nguyên

dùng chung nào đó trên mạng… DFS có hai loại root: domain root là hệ thống

root gắn kết vào Active Directory được chứa trên tất cả Domain Controller, Stand-alone root chỉ chứa thông tin ngay tại máy được cấu hình Chú ý DFS không phải là một File Server mà nó là chỉ là một “bảng mục lục” chỉ đến các thư mục đã được tạo và chia sẻ sẵn trên các Server Để triển khai một hệ thống DFS

trước tiên bạn phải hiểu các khái niệm sau:

So sánh hai loại DFS.

- Là hệ thống DFS trên một

máy Server Stand-alone, không có khả

năng dung lỗi

- Người dùng truy xuất hệ thống

\\servername\dfsname

- Là hệ thống DFS dựa trên

nền Active Directory nên có chính

dung lỗi cao

- Hệ thống DFS sẽ tự động đồng

bộ giữa các Domain Controller và người

dùng có thểtruy xuất đến DFS thông

qua đường dẫn

\\domainname\dfsname.

4.2 Các bước thực hiện triển khai hệ thống chia sẻ file Dfs: Root, Link

Để tạo một hệ thống Fault-tolerant DFS bạn làm theo các bước sau:

Bạn nhấp chuột vào Start / Programs / Administrative Tools / Distributed File System Hộp thoại Welcome xuất hiện, bạn nhấn Next để tiếp tục Hộp thoại Root Type xuất hiện, bạn chọn mục Domain Root, nhấn Next để tiếp tục.

Hệ thống yêu cầu bạn chọn tên miền (domain name) kết hợp với hệ thống DFS cần

tạo

Tiếp theo bạn khai báo tên của Domain Controller chưa root DFS cần tạo.

Đến đây bạn khai báo tên chia sẻ gốc (Root Name) của hệ thống DFS, đây

chính là tên chia sẻ đại diện cho các tài nguyên khác trên mạng Bạn nhập đầy đủ

các thông tin chọn Next để tiếp tục.

Trong hộp thoại xuất hiện, bạn khai báo tên thư mục chia sẻ gốc của hệ thốngDFS.

Sau khi cấu hình hệ thống DFS hoàn tất, tiếp theo bạn tạo các liên kết đến các tài nguyên dùng chung trên các Server khác trong mạng.

Để sử dụng hệ thống DFS này, tại máy trạm bạn ánh xạ (map) thư mục

chia sẻ gốc thành một ổ đĩa mạng Trong ổ đĩa mạng này bạn có thể nhìn thấy tất

cả các thư mục chia sẻ trên các Server khác nhau trên hệ thống mạng.

Tương tự như Fault-tolerant DFS, bạn có thể tạo ra một Stand-alone DFS trên một máy Server Stand-alone, tất nhiên là hệ thống đó không có khả năng dung lỗi có nghĩa là khi Server chứa DFS Root hỏng thì các máy trạm sẽ không tìm thấy các tài nguyên chia sẻ trên các Server khác Nhưng hệ thống Stand- alone DFS được sử dụng rộng rải vì nó đơn giản, tiện dụng.

5 Cài đặt và quản trị máy in mạng

Mục tiêu.

- Nắm quyền truy xuất: Print, Manage Docs, Manage Printers, quản trị in

Nếu trong mạng nội bộ của bạn chỉ có các máy tính hệ điều hành WindowsServer 2003, Windows XP, chúng ta sẽ kết nối và cài đặt từng máy in một lên các máytính này và tiến hành chia sẻ cho các máy tính chạy hệ điều hành phiên bản cũ hơn.Tuy nhiên, nếu trong mạng còn có: Windows 7 32-bit/64-bit, Windows Server 200832-bit/64-bit, và cả Ubuntu, thì bạn phải cài đặt driver máy in như thế nào để đảm bảotất cả các máy tính đều có thể in được

5.1 Quyền truy xuất: Print, Manage Docs, Manage Printers

Trước khi bạn có thể truy xuất vào thiết bị máy in vật lý thông qua hệ điều hành

Windows Server 2003 thì bạn phải tạo ra một máy in logic Nếu máy in của bạn có tính năng Plug and Play thì máy in đó sẽ được nhận diện ra ngay khi nó được gắn vào máy tính dùng hệ điều hành Windows Server 2003.

Tiện ích Found New Hardware Wizard sẽ tự động bật lên Tiện ích này sẽ

hướng dẫn cho bạn từng bước để cài đặt máy in Nếu hệ điều hành nhận diện không

chính xác thì bạn dùng đĩa CD được hãng sản xuất cung cấp kèm theo máy để cài đặt Ngoài ra, bạn cũng có thể tự mình thực hiện tạo ra một máy in logic bằng cách sử dụng tiện ích Add Printer Wizard Để có thể tạo ra một máy in logic trong Windows Server 2003 thì trước hết bạn phải đăng nhập vào hệ thống với vai trò là một thành viên của nhóm Administrators hay nhóm Power Users (trong trường hợp đây là một Server thành viên) hay nhóm Server Operators (trong trường hợp đây là một domain controller).

Bạn có thể tạo ra một máy in logic cục bộ tương ứng với một máy in vật lýđược gắn trực tiếp vào máy tính cục bộ của mình hoặc tương ứng với một máy inmạng (máy in mạng được gắn vào một máy tính thác trong mạng hay một thiết bị

Print Server) Muốn thao tác bằng tay để tạo ra một máy in cục bộ hay một máy in

mạng, chúng ta lần lượt thực hiện các thao tác sau đây:

Nhấp chuột chọn Start, rồi chọn Printers And Faxes.

Nhấp chuột vào biểu tượng Add Printer, tiện ích Add Printer Wizard sẽ được khởi động Nhấp chuột vào nút Next để tiếp tục.

Hộp thoại Local Or Network Printer xuất hiện Bạn nhấp vào tùy chọn Local Printer Attached To This Computer trong trường hợp bạn có một máy in vật lý gắn trực tiếp vào máy tính của mình Nếu trường hợp ta đang tạo ra một máy in logic ứng với một máy in mạng thì ta nhấp vào tùy chọn A

Printer Attached To Another Computer Nếu máy in được gắn trực tiếp vào máy tính, bạn có thể chọn thêm tính năng Automatically Detect And Install My Plug And Play Printer Tùy chọn này cho phép hệ thống tự động quét máy tính của bạn để phát hiện ra các máy in Plug and Play, và tự động cài đặt các máy in đó cho bạn Khi

đã hoàn tất việc chọn lựa, nhấp chuột vào nút Next để sang bước kế tiếp Nếu máy in vật lý đã được tự động nhận diện bằng tiện ích Found New Hardware Wizard Tiện ích này sẽ hướng dẫn bạn tiếp tục cài đặt driver máy in qua từng bước.

Hộp thoại Print Test Page xuất hiện Nếu thiết bị máy in được gắn trực tiếp

vào máy tính của bạn, bạn nên in thử một trang kiểm tra để xác nhận rằng mọi thứ đềuđược cấu hình chính xác Ngược lại, nếu máy in là máy in mạng thì bạn nên bỏ qua

bước này Nhấp chuột vào nút Next để sang bước kế tiếp.

Hộp thoại Completing The Add Printer Wizard hiện ra Hộp thoại này đem

đến cho chúng ta một cơ hội để xác nhận rằng tất cả các thuộc tính máy in đã được xáclập chính xác Nếu bạn phát hiện có thông tin nào không chính xác, hãy nhấp chuột

vào nút Back để quay lại sửa chữa thông tin cho đúng.

Còn nếu nhận thấy mọi thứ đều ổn cả thì bạn nhấp chuột vào nút Finish.

Một biểu tượng máy in mới sẽ hiện ra trong cửa sổ Printer And Faxes Theo

mặc định, máy in sẽ được chia sẻ

5.2 Quản trị in: Print Soopler Service, vi trí lưu trữ hàng đợi in, Priorities,

Schedules, Printing Pool

* Print Soopler Service

- Khắc phục lỗi Print spooler service not runing của máy in

Mô tả lỗi

Thực chất của lỗi Print Spooler là do dịch vụ Print Spooler không chạy hoặc tự động Stop ngoài ý muốn cho dù bạn đã cố gắng Start lại dịch vụ này.

Lỗi này thường xuất hiện trong các trường hợp sau:

- Sau khi khởi động máy, xuất hiện thông báo lỗi: "spoolsv.exe – Application Error".

- Khi cố gắng chạy hoặc tắt dịch vụ Print Spooler, khi vào Start -> Printer and

Faxes: xuất hiện thông báo lỗi: "Spooler subsystem app has encountered a problem and needs to close".

- Khi vào Start -> Printer and Faxes : bạn không thấy bất cứ máy in nào cho dù bạn

đã cài đặt trước đó, hoặc có lúc thấy có lúc không

- Khi Add a printer, xuất hiện thông báo lỗi: "Operation could not be completed The print spooler service is not running.”

Và nhiều lỗi khác liên quan đến dịch vụ Print Spooler.

Nguyên nhân

Nguyên nhân chủ yếu là do file Driver của máy in cài đặt đã bị lỗi hoặc do virus

phá hoại gây lỗi file spoolsv.exe

Cách khắc phục

Cách 1 : Vào Start -> Run -> gõ services.msc

Double Click rồi bật chế độ Automatic và Start các dịch vụ sau : Print Spooler,Computer Browser, Background Intelligent Transfer Service

Cách 2 : Tải và chạy file vá lỗi của Microsoft:

Cách 3: Copy file spoolsv.exe (theo đường dẫn “C:\Windows \system32\ spoolsv.exe” từ một máy không bị lỗi hoặc có thể extract từ đĩa win XP cũng được) để vào ổ D của máy bị lỗi Sau đó vào SAFE MODE copy đè file Spoolsv.exe ở ổ D vào

thư mục System32 Tiếp theo vào

Nhớ backup registry trước khi thực hiện các bước sau.

Trong mục Drivers xóa tất cả đi (Cả các subkey)

Sau đó restart lại máy

Vào Start -> Printer and Faxes và add lại máy in là xong

CÂU HỎI VÀ BÀI TẬP

1 Trình bày quyền thực hiện chia sẻ Domain?

2 Các bước thực hiện chia sẻ Computer Management, My Computer?

3 Các bước quảng bá thư mục chia sẻ cho Domain?

4 Nêu đặc trưng của hệ thống file NTFS? Các bước thiết lập quyền NTFS chofile và Folder

5 DFS là gì? Trình bày các bước thực hiện triển khai hệ thống chia sẻ file DFS

Bài 6: QUẢN TRỊ MÔI TRƯỜNG MẠNG GROUP POLICY

Mã bài: MĐSCMT21.06.

Giới thiệu:

Quản trị môi trường mạng Group policy là xác định cách thức để các chươngtrình, tài nguyên mạng và hệ điều hành làm việc với người dùng và máy tính trong 1 tổchức Bài học này cung cấp cho người học kiến thức sau: Hiểu rõ được ý nghĩa củaGroup Policy, triển khai Group Policy trên Domain và OU, dùng Group Policy tự độnghóa các công tác quản trị User và Computer, xử lý lỗi thông dụng khi triển khai GroupPolicy

Bài này được trình bày thành các mục chính được sắp xếp như sau:

- Giới thiệu Group Policy Object (GPO)

- Triển khai Domain GPO

- Quản lý và triển khai GPO

- Quản lý user và Group với GPO

- Chuẩn đoán và xử lý lỗi

- Câu hỏi và bài tập

- Tạo, thiết lập, liên kết các GPOs đến các Container

- Xử lý xung đột trong việc áp dụng Các GPOs

- Xử lý các lỗi thông dụng khi triển khai Domain Group Policy

- Tính chính xác, đúng đắn khi ra những quyết định quản trị

NỘI DUNG CHÍNH

1 Giới thiệu Group Policy.

Mục tiêu

- Nắm được các chức năng và thành phần của Group Policy.

- Hiểu được Domain Policy, các cấp độ áp dụng Group Policy (Site, Domain,

OU, Local.

- Nắm được khái niệm, một số vấn đề an toàn mạng thông qua Group Policy

- Nắm được cách thức áp dụng Policy và đặc điểm của các Policy

1.1 Giới thiệu Local Policy

· Group Policy là tập các thiết lập cấu hình cho computer và user Xác định cáchthức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với ngườidùng và máy tính trong 1 tổ chức

· Group Policy chỉ áp dụng được với các máy Win2k/XP/WinS2k3/2k8

· Các Group Policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bỏkhỏi miền AD.

· Người quản trị mạng có được nhiều mức độ kiểm soát tinh vi hơn đối với vấn đề aiđược hoặc không được nhận một Group Policy nào đó

· Group Policy chủ yếu chỉ được áp dụng cho các site, domain, và OU

(Organizational Unit) Gọi tắt là SDOU.

· Trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại chỗ(Local Group Policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD

nào cả Các máy Windows XP Home thì không có Local Group Policy.

· Các Group Policy dành cho SDOU được tạo ra dưới dạng các đối tượng chính sách

nhóm (Group Policy Object - GPO)

· Các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phầntrong share SYSVOL

· GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 nằm trong thư mục:

%Windir%\System32\GroupPolicy.

· Chương trình để tạo ra và/hoặc chỉnh sửa các GPO tên là Group Policy Object

Editor, có dạng một console MMC tên là GPEDIT.MSC Hoặc ta cũng có thể dùng nó dưới dạng một công cụ snap-in trong một console MMC khác, ví dụ: console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị

sẵn snap-in Group Policy

Group Policy trong Windows XP

· Group Policy là một trong các thành phần của Microsoft Management Console

và phải là thành viên của nhóm Adminstrators mới được quyền sử dụng chươngtrình này

· Khởi động chương trình: Start -> Run(Windows + R) -> nhập gpedit.msc -> OK.

Cửa sổ Group Policy Object

Cách sử dụng chung: tìm tới các nhánh, chọn thiết lập phù hợp.

o Not configured: không định cấu hình cho tính năng.

o Enable: kích hoạt tính năng.

o Disable: vô hiệu hóa tính năng.

Gồm 2 mục chính:

o Computer Configuration

o User Configuration

o Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ

người dùng trên máy

+ Windows Settings: cấu hình về việc sử dụng tài khoản, password tài khoản, quản lý

việc khởi động và đăng nhập hệ thống …

+ Administrative Templates:

- System: cấu hình về hệ thống

- Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong Windows như:

Internet Explorer, NetMeeting

o User Configuration: cấu hình cho tài khoản đang sử dụng Các thành phần có

khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như mục Computer Configuration

1.2 Giới thiệu Domain Policy

Quản lý một chính sách miền

Xem chủ đề này để tìm hiểu về các nhiệm vụ bạn có thể thực hiện với một chínhsách miền trong Control Center Ngoài ra, bạn sẽ tìm hiểu làm thế nào để sử dụng mộtchính sách tên miền để theo dõi tên miền EWLM của bạn

Trong Trung tâm Kiểm soát EWLM, bạn có thể có nhiều chính sách miền Bạn cóthể làm việc với các chính sách tên miền được triển khai hoặc bất kỳ chính sách tênmiền hiện có sẵn để quản lý tên miền Các chính sách tên miền được bao gồm trongSet các chính sách miền xem của Trung tâm kiểm soát bao gồm tất cả các chính sáchmiền đã được nhập khẩu hoặc được tạo ra bằng cách sử dụng Trung tâm Kiểm soátEWLM thuật sĩ

Để tạo ra một chính sách tên miền mới hoặc nhập khẩu một chính sách tên miền,chọn Thiết lập chính sách miền> trong khung bên trái của Trung tâm Kiểm soátEWLM Sau đó, nhấp vào Nhập khẩu hoặc mới

Chỉ có một chính sách tên miền có thể được triển khai cho mỗi EWLM miền Quản

lý tên miền của miền EWLM được quy định tại các URL mà bạn sử dụng để truy cậpvào Trung tâm Kiểm soát EWLM Để làm việc với nhiều lĩnh vực EWLM, bạn cầnriêng biệt EWLM Trung tâm Kiểm soát các phiên trình duyệt Web cho từng lĩnh vựcquản lý mà bạn muốn làm việc

Trong Trung tâm Kiểm soát EWLM, bạn có thể thực hiện các nhiệm vụ sau đây từThiết lập các chính sách miền>:

· New: Bạn có thể tạo ra một chính sách tên miền mới hoặc tạo ra một chính sáchtên miền mới dựa trên một chính sách tên miền hiện có

· Nhập khẩu: Bạn có thể nhập khẩu một chính sách tên miền được lưu vào hệthống tập tin địa phương của bạn Khi chính sách này được nhập khẩu, EWLM

sẽ xác minh rằng cú pháp là chính xác Nếu không, chính sách sẽ không mở

chép các chính sách tên miền từ một tên miền EWLM khác Điều này làm cho

nó dễ dàng hơn để chia sẻ chính sách tên miền từ một miền khác

· Xuất khẩu: Bạn có thể xuất khẩu một chính sách tên miền hệ thống tập tin địaphương của bạn Sử dụng điều này với chức năng nhập khẩu để sao chép cácchính sách tên miền từ một tên miền EWLM khác Điều này đặc biệt hữu íchnếu bạn có hai lĩnh vực EWLM với các mục tiêu hiệu suất tương tự Sau đó,bạn có thể sử dụng cùng một chính sách tên miền, nhưng sửa đổi nó một chút

về miền EWLM thứ hai Ngoài ra, nó là hữu ích để xuất khẩu một bản sao củachính sách miền cho một hệ thống sao lưu dự phòng cho mục đích khắc phụcthảm họa Đảm bảo rằng các thư mục mà bạn xuất khẩu các chính sách để cócác thiết lập bảo mật thích hợp để bảo vệ các dữ liệu được chứa trong các chínhsách miền

· Chỉnh sửa: Bạn có thể chỉnh sửa các chính sách tên miền được lưu trữ trên quản

lý tên miền EWLM Control Center là giao tiếp với Ngoài ra, bạn có thể chỉnhsửa các chính sách tên miền được triển khai vào miền EWLM Sau đó, sau khibạn hoàn thành việc chỉnh sửa chính sách tên miền được triển khai, các chínhsách tên miền sẽ tự động triển khai một lần nữa Tuy nhiên, các chính sách dịch

vụ sẽ không được kích hoạt lại

· Triển khai: Khi bạn muốn thực hiện một chính sách miền hiện có tên miềnEWLM, bạn cần phải triển khai nó Khi bạn triển khai một chính sách tên miền,bạn có thể chọn để kích hoạt một chính sách dịch vụ ngay lập tức hay không.Nếu một chính sách dịch vụ được kích hoạt, EWLM sẽ bắt đầu thu thập dữ liệuhiệu suất đó là cụ thể các chính sách dịch vụ được kích hoạt Để triển khai mộtchính sách tên miền, EWLM phải được bắt đầu vào quản lý tên miền Để làmviệc cụ thể với chính sách dịch vụ chính sách miền, bạn có thể thực hiện cácnhiệm vụ Quản lý> chính sách dịch vụ sau đây:

· Kích hoạt: Bạn có thể kích hoạt một chính sách dịch vụ Các chính sách dịch vụđược liệt kê cụ thể các chính sách tên miền được triển khai Để kích hoạt mộtchính sách dịch vụ, EWLM phải được bắt đầu vào quản lý tên miền Để tìmhiểu thêm về cách triển khai một chính sách miền hoặc làm thế nào để tạo rahoặc chỉnh sửa một chính sách tên miền, kiểm soát EWLM Trung tâm trợ giúptrực tuyến Để xem sự giúp đỡ nhiệm vụ chính sách miền, nhấp vào Làm thếnào để tôi> Làm việc với> chính sách miền từ Trung tâm Kiểm soát EWLMgiúp

Tạo một chính sách miền

Quá trình để tạo ra một chính sách tên miền là giống nhau cho mỗi người sử dụng

có một tập hợp cốt lõi của các thành phần của một chính sách miền Tuy nhiên, làmthế nào bạn xác định mỗi thành phần phụ thuộc vào môi trường kinh doanh cụ thể củabạn

Các bảng sau đây phác thảo giúp bạn đánh giá nhu cầu của môi trường kinh doanhcủa bạn theo dõi khối lượng công việc Sử dụng câu trả lời của bạn để tạo ra một chínhsách tên miền đó là dựa trên môi trường CNTT của bạn và đó là mục tiêu hiệu suất.Những bảng này được dự định để giúp bạn tạo ra một chính sách tên miền

1.3 Các cấp độ áp dụng Group Policy (Site, Domain, OU, Local)

1.3.1 Khái niệm

Thí dụ: Người quản trị mạng muốn quản lý người dùng một số thông tin sau:

· Các chương trình giành cho người sử dụng dùng.

· Các chương trình xuất hiện trên màn hình nền của người dùng

· Hay đưa ra một số hạn chế buộc người dùng phải tuân theo

Việc cài đặt các thành phần để kiểm soát các việc trên gọi là cài đặt các Policy

Group Policy là một nhóm các Policy chứ không phải là nhóm Policy Các GroupPolicy được chứa trong GPO (Group Policy Object)

Thí dụ: GPO Default Domain Policy liên kết với Domain

Các GPO này liên kết với Site, Domain, OU để áp dụng tới các người dùng trên Site,Domain, OU đó

1.3.2 Một số vấn đề an toàn mạng thông qua Group Policy

· Phát hành (Publish), phân phát (Assign) các phần mềm tới người dùng, tới máytính

· Cài đặt các Scripts: Logon, Logoff: Startup, Shutdown Scripts

· Định nghĩa mật khẩu, khóa tài khoản (LockOut) và các vấn đề kiểm toán các hiệntượng (Audit) trên Domain

· Chuẩn hóa vấn đề an toàn mạng cho các máy (Registry)

· Cài đặt các quy định bắt buộc đối với Internet Explorer

· Định nghĩa những hạn chế bắt buộc đối với màn hình làm việc của người dùng

· Định lại một số thư mục về vị trí trên mạng (Document and setting folder)

· Định hình và chuẩn hóa một số khả năng mới Offline folder, Disk quorta

· Quản lý các Group Policy

1.3.3 Thời gian và cách thức áp dụng Policy

Các Policy liên quan tới người dùng sẽ được áp dụng tới khi người dùng đăng nhập.Các Policy liên quan tới máy tính sẽ được áp dụng khi máy khởi động hệ điềuhành Chỉ có người dùng, máy tính là có Policy áp dụng tới Security Group không

có Policy Người ta chỉ dùng Security Group để thanh lọc bớt các Policy áp dụngtới người dùng, máy tính Thứ tự áp dụng: các Policy áp dụng tới tất cả người dùngtrên máy Local Site sau đó tới Domain, OU và OU trong OU

1.3.4 Đặc điểm của các Policy

Các Policy áp dụng sau sẽ áp dụng đè lên áp dụng trước

Thí dụ: Ở mức độ Domain một Policy buộc người dùng phải đăng nhập mạng rồi mớiShutdown Ở mức độ OU một Policy cho phép Shutdown trước khi đăng nhập.Mang tính kế thừa và tích lũy

Thí dụ: Ở mức độ Domain cài đặt các Policy

· Password Restrition hạn chế Password

· Account LockOut khóa Account tới một số trường hợp

· Chuẩn hóa an toàn mạng

Tuy nhiên có sự khác nhau giữa hai điểm chính trên

· Các Policy trong User Configuration sẽ áp dụng cho các cài đặt cho User

· Và các Policy trong Computer Configuration sẽ áp dụng tới máy tính

1.3.6 Khởi tạo các Policy

a Kiểu đặt Policy Software Setting

Trong Software Setting có điểm phụ Software Installation cho phép cài đặt Softwaretới User dưới hai điểm: Publishing và Assigning

· Publishing: phát hành phần mềm tạo sẵn cho người dùng tùy chọn có cài đặt vềmáy mình hay không, bằng công cụ Add/Remove Program trên Control Panel

· Assigning: cấp phát phần mềm tới người dùng Khi người dùng đăng nhập mạng,mạng tự động cài đặt một số thông tin vừa đủ về phần mềm và tạo lối tắt trên trìnhđơn bắt đầu Khi người dùng mở ứng dụng chương trình sẽ tiếp tục cài đặt đầy đủ

b Cài đặt Policy Software Setting

* Dịch vụ Windows Installer

Windows Installer

Windows Installer là một thành phần của Windows 2000 Server giúp đơn giản hóa vàquản lý việc cài đặt các ứng dụng vào máy Những khả năng của MicrosoftWindows Installer:

- Trả lại trạng thái lúc khởi động cài đặt khi quá trình cài đặt ứng dụng bị thất bại

- Ngăn chận sự tranh chấp tài nguyên của các ứng dụng được cài đặt Thí dụ một ứngdụng khi cài đặt cập nhật tệp tin *.dll tới phần *.dll của một ứng dụng khác đang sửdụng, hay khi gỡ bỏ một ứng dụng có sử dụng chung *.dll với các ứng dụng khác

- Là một dịch vụ đáng tin cậy trong việc gỡ bỏ các ứng dụng ra khỏi hệ thống Nó gỡ

bỏ tất cả các tệp tin liên quan tới ứng dụng, ngoại trừ các tệp tin dùng chung vớicác ứng dụng khác

- Chẩn đoán, sửa chữa những ứng dụng bị hư hỏng

- Khả năng cài đặt theo yêu cầu (On-Demand Installation)

- Khi cài đặt một ứng dụng, Windows Installer chỉ cài đặt một số chức năng thườngdùng vào máy Các chức năng khác chỉ có tên chứ không chứa nội dung Khi ngườidùng cần đến những chức năng đó, Windows Installer sẽ cài đặt thêm

- Khả năng tự động cài đặt không cần thao tác của người dùng

Windows Installer bao gồm các phần:

- Install Service: là dịch vụ kiểm soát quá trình cài đặt

- Trình Installer msiexec.exe sử dụng msi.dll để đọc tệp tin gói *.msi, *.mst và cáclệnh liên quan đến việc cài đặt

- Tệp tin gói *.msi chứa một cơ sở dữ liệu tương đối kưu các lệnh và dữ liệu cần thiếtcho việc cài đặt

- Một ứng dụng đáp ứng được yêu cầu của Windows Installer là ứng dụng có tạo tệptin *.msi Thí dụ: Microsoft Office 2000

Đối với một số phần mềm không có tệp tin *.msi thì dùng các trình sau để tạo tệp tin

*.msi cho phần mềm đó:

- VERITAS Software Console.

- WININSTALL Discovery

Các bước cài đặt Policy trong Software Setting

Thí dụ cài đặt Microsoft Offiice 2000 tới các trạm

- Cài đặt Microsoft Office 2000/Node Adimin tới phần Share của mạng: C:\Setup/AD:\data1.msi

- Tạo GPO để thực hiện cài đặt phần mềm

- Gán tệp tin *.msi của phần mềm vào GPO

c Phát hành một ứng dụng bằng cách khởi tạo tệp tin *.zap

Có bốn loại Scripts trong Policy

Đối với máy tính: có Startup và Shutdown Scripts

Đối với người dùng: có Logon và Logoff Scripts

Ngoài ra có thể tạo riêng Login Scripts trên trang đặc tính của tài khoản người dùng.Scripts này được gọi là Legacy Logon Scripts

Đối với Client Windows 2000 nên sử dụng các Scripts của Froup Policy

Đối với Windows 95/98 không thể sử dụng Group Policy nên vẫn dùng Legacy LogonScripts

So sánh Group Policy Scripts với Legacy Logon Scripts

Group Policy Scripts có thể chạy theo kiểu Asynchnous và trong Hidden Hệ thốngkhông cần đợi chấm dứt chương trình Scripts mới thực hiện chương trình khác.Group Policy cũng có thêm chức năng Synchronous và Visible để tương hợp vớiLegacy Logon Scripts

Ngôn ngữ Scripting:

o DOS/NT/Win2K shell commands

o Windows script host (WSH) Web: msdn.microsoft.com/scripting/winodwshost

Folder Redirection định vị trí lưu thông tin của một số thư mục thông dụng trênWindows Thay vì phải tổ chức lại máy tính cục bộ, các thư mục đó được định lại ởthư mục trên mạng.

Có bốn thư mục được định vị lại:

o Application Data: cách tổ chức Internet Explorer

· Security Setting

Khi cài đặt, Windows 2000 Server tạo sẵn một số cài đặt mặc định vừa đủ để bảo đảm

an toàn cho hệ mạng, giảm bớt công tác quản trị của người quản trị mạng Nếucàng tăng khả năng an toàn thì khá thuận tiện cho người dùng càng bị hạn chế

Security Templates:

o Security Setting Template được cài đặt cùng với Windows 2000 Server là những

mô hình mẫu về Security Setting

o Những mô hình mẫu này được viết dưới dạng tệp tin *.inf và được lưu ở thư mụcC:\WinNT\Security\templates

o Bạn có thể cập nhật các mô hình này vào Group Policy tùy theo cấp độ an toàn

o Thí dụ: Security setting có khả năng buộc người dùng phải

§ Nhập mật khẩu tối thiểu 8 ký tự trở lên

§ Không cho người dùng cài đặt thêm ứng dụng

§ Không thay đổi được chế độ màn hình

Các chức năng trong Security Setting

o Account Policies

Mật khẩu Policies bao gồm các option sau:

§ Enforce Password History: số mật khẩu cần thay đổi, khi muốn sử dụng lạimật khẩu

§ Maximum Password Age: thời gian tối thiểu mật khẩu được sử dụng trướckhi người dùng được phép thay đổi

§ Password Must Meet The Complexity Requiment of Install Program Filter:bắt buộc tạo độ phức tạp của mật khẩu (như kết hợp giữa số với ký tự) vàlọc các ký tự được phép

§ Store Password Using Rever Sible Enryption: Client Windows 95/98 cầnxác nhận đăng nhập với mật khẩu hóa cấp thấp

§ User Must Logon to Change Password: ngăn chận người dùng có tài khoảnhết hiệu lực thay đổi mật khẩu để sử dụng, hoặc kẻ lạ mặt thay đổi mật khẩutrên cửa sổ Windows.

§ Account Lockout Policy

§ Account Lockout threshold: số lần thử Login trước khi tài khoản bị khóa

§ Reset Account Lockout Counter After: thời gian đợi để xóa bỏ các lần thửsai

§ Account Lockout Duration: thời gian tài khoản bị khóa, sau thời gian này,người dùng có thể thử Login trở lại

§ Security Option: cho phép tạo độ an toàn cho máy tính

§ Cho phép truy xuất đĩa mềm, CD

§ Install Drive

o Event log: định các lựa chọn đề nghị nhận sự cố trên máy

o Restricted group: bắt buộc kiểm soát thành viên của một số nhóm, chẳng hạnnhóm Administrator

o System Service: cho phép chuẩn hóa các dịch vụ trên mạng , bảo vệ không chothay đổi các dịch vụ

o Registry: khởi tạo các Permission về Registry key để kiểm soát việc thay đổi cáckey và truy xuất các phần của Registry

o File System: khởi tạo Security cho sự cấp phép truy nhập tệp tin và thư mục

o Public Key Policies: quản lý việc cài đặt và tổ chức Public Key Infrastructure

e Administrative Template

Chứa các thông tin về key của bảng Registry

Tương tự System Policy ở Windows 95/98/NT dùng để thay đổi dáng vẻ môi trườnglàm việc của người dùng vào cấu hình máy User Configuration được lưu vàoHKEY_CURRENT_USER Computer Configuration được lưu vàoHKEY_LOCAL_MACHINE

Tuy nhiên, với Administrative Template dễ thao tác hơn so với trình regedit.exe

· Windows Components

o Tháo gỡ tùy chỉnh thư mục trên thực đơn công cụ trên bảng điều khiển (ControlPanel), không cho phép người dùng có thể thay đổi thông số để xem tệp tin ẩnhay một số thông số của Active Desktop, Webview offline file,

o Ngăn cản không cho người dùng nối, truy nhập tới máy khác cũng như đóng sựkết nối mà người quản trị cài đặt

o Hạn chế không cho đọc nội dung ổ đĩa đã chọn từ My Computer

o Chuyển tất cả các các Profile của người dùng ra khỏi thực đơn chương trình

o Vô hiệu hóa các chương trình trên thực đơn xác lập, chẳng hạn như ControlPanel, Printer, Network Dial-Up Connection

o Bỏ thực đơn chạy từ thực đơn bắt đầu

Ngăn cản không cho người dùng mở hộp thoại Taskbar & Start menu

o Ngăn cản người dùng cài đặt thêm chương trình.

o Thay đổi chế độ màn hình

o Đặt mật khẩu chế độ bảo vệ màn hình

o Một số lệnh liên quan đến máy in: không cho thêm/gỡ bỏ máy in,

· System

o Quản lý các Group Policy

o Chỉ cho phép sử dụng một số chương trình được chỉ định

o Không cho phép sử dụng một số chương trình không được chỉ định

f Sàng lọc đối tượng áp dụng Policy

Cho phép chọn người dùng, nhóm áp dụng hay không áp dụng Policy Các bước thựchiện áp dụng Policy liên kết với Domain hoặc OU:

· Khởi động Active Directory User and Computers

· Nháy phải chuột lên tên Domain hay tên OU

Bao gồm các Option sau:

· Group Policy Refresh Intervals for User/Computer/Domain Controller Địnhthời gian để các Policy được làm tươi ở nền trong khi người dùng hay máy tínhđang làm việc

· Disable background Refresh: chỉ cho phép làm tươi các Policy khi máy khởiđộng hay người dùng Login, để tránh quá tải trên mạng

· Apply Group Policy for User/Computer Synchronously During Startup: chophép cập nhật các Group Policy trong khi người dùng đang Login và các Policyđang sửa chữa

· Allows Processing Across a Slow Network Connection: Cập nhật Group Policyqua mạng điện thoại

· Do not Apply During Periodie Background Peocessing: không cho cập nhậtGroup Policy dưới nền trong khi máy đang dùng để tránh xung đột làm treomáy

· Process Event if The Group Policy Object Haver Not Change: vẫn làm tươi cácGroup Policy ngay cả những lúc chúng không có thay đổi

· User Group Policy Loopback Processing Mode: Bình thường Computer Policyđược áp dụng trước khi máy khởi động, sau đó là User Policy Nếu gặp tranhchấp thì ưu tiên cho User Policy và người dùng nhận được User Policy mà bấtchấp máy tính đang sử dụng cũng có những trường hợp cần ưu tiên để thựchiện Computer Policy hơn là User Policy Các kiểu ưu tiên:

o Merge Mode: xử lý User Policy trước rồi tới Computer Policy

o Replace Mode: chỉ xử lý Computer Policy, bỏ qua User Policy

h Vai trò của System Policy Editor

Trên hệ thống Windows 2000 Server, Group Policy đã thay thế phần lớn các công việccủa System Policy Tuy nhiên, System Policy Editor vẫn được sử dụng trong một

số trường hợp sau:

·Quản lý các máy chạy Windows 95/98/NT4

· Quản lý các máy chạy Windows 2000 Server ở chế độ Stand-Alone (thông quaLocal Group Policy).

Thông qua System Policy Editor, bạn có thể chỉ định cấu hình cho:

· Default User: đặt thông số mặc định cho người dùng đăng nhập mạng WindowsNT

· User: đặt thông số có một người dùng định trước

· Group: đặt thông số cho một nhóm

· Default Computer: đặt thông số cho máy chạy Windows NT4/2000

Computer: cho phép tạo System Policy cho máy

Group Policy Objects and Active Directory

GPOs are stored within Active Directory on all domain controllers in the \systemroot

\Sysvol

folder by default Within each root folder, there is a policy file called Gpt.ini thatcontains

information about the group policy

When GPOs are created within Active Directory there is a specific order of inheritance(meaning how the polices are applied within the hierarchical structure of ActiveDirectory) When a user logs on to an Active Directory domain, depending onwhere GPOs have been applied within the hierarchical structure of ActiveDirectory, the order of application is as follows:

1 Local computer policy

2 Site (group of domains)

dung sau khi đăng nhập

Các điều khoản của GPO:

Local Computer policy: Tồn tại trên các máy tính trong môi trường Domain cũng

như môi trường Workgroup, những thiết lập trên Local Computer Policy chỉ có hiệu

lực trên 1 máy tính Để cấu hình Local Computer Policy bạn vào Run gõ GPEDIT.MSC

Group Policy Object: Chứa thiết lập của các chính sách ở cấp độ domain và mặc định

được thừa hưởng bởi các máy tính là thành viên của Domain, trong môi trườngDomain bạn có thể tạo GPO trên Site, trên Domain, trên OU và trên các OU con bằngcách:

Vào Run gõ DSSITE.MSC để cấu hình và tạo GPO trên Site

Run gõ DSA.MSC để cấu hình và tạo GPO trên Domain GPO được sử lý theo thứ tự Local ==> Site ==>Domain ==> OU ==> OU con, đây cũng chính là cấu trúc thừa kế

trong môi trường Domain, điều này có nghĩa là mặc định Domain sẽ thừa kế chínhsách từ Site, OU thừa kế chính sách từ Domain và OU con sẽ thừa kế chính sách của

OU chứa nó

Để ngăn chặn sự thừa kế này các bạn click chuột phải vào nơi không muốn thừa kế

chọn Block Inheritance