Qu¶n TrÞ M¹ng Víi Windows Server 2003

MỤC LỤC
Lời nói đầu Mục lục.................................................................................................................................1 Chương I – Cài đặt Windows Server 2003 ................................... ..................................7 I) Giới thiệu về hệ điều hành Windows Server 2003 ........... ..................................7 1. Các phiên bản của họ HĐH Windows Server 2003 .......................................7 2. Những điểm mới của HĐH Windows Server 2003........................................7 3. Yêu cầu phần cứng cài đặt các phiên bản của Windows 2003.......................7 4. Các hệ điều hành cho phép nâng cấp thành Windows Server 2003 Enterprise Edition ............................................................................................... ..................................8 II) Cài đặt HĐH Windows Server 2003 ................................ ..................................8 Chương II – Các dịch mạng của HĐH Windows Server 2003 ....................................16 I) ACTIVE DIRECTORY...................................................... ................................16 1. Giới thiệu về Active Directory .................................... ................................16 2. Các đối tượng trong Active Directory và quy ước đặt tên ...........................16 2.1 Distinguished Name .......................................... ................................17 2.2 Globally Unique Indentifier .............................. ................................18 2.3 Relative Distinguished Name............................ ................................18 2.4 User Principal Name ......................................... ................................18 3. Các kĩ thuật được hỗ trợ bởi Active Directory............ ................................18 4. Active Directory và DNS ............................................ ................................19 5. Cấu trúc logic của Active Directory............................ ................................20 5.1 Domain .............................................................. ................................20 5.2 Các Organizational Unit.................................... ................................21 5.3 Tree (cây) .......................................................... ................................22 5.4 Forest (Rừng) .................................................... ................................22 6. Cấu trúc vật lý của Active Directory........................... ................................22 6.1 Site..................................................................... ................................22 6.2 Domain Controller............................................. ................................23

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 1 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
7. Vai trò của Domain...................................................... ................................24 7.1Global Catalog Server ........................................ ................................24 7.2 Operation Master............................................... ................................25 8. Cài đặt Active Directory.............................................. ................................27 II) Hệ thống tên miền DNS..................................................... ................................37 1. Giới thiệu về DNS ....................................................... ................................38 2. Vùng ............................................................................ ................................38 3. Máy chủ miền .............................................................. ................................39 4. Giải pháp đổi tên.......................................................... ................................39 5. DNS động .................................................................... ................................41 6. Cài đặt và cấu hình DNS ............................................. ................................41 III) Dịch vụ DHCP .................................................................. ................................47 1. Giới thiệu về dịch vụ DHCP........................................ ................................47 2. Quá trình cấp phát động của DHCP ............................ ................................47 2.1 Yêu cầu cấp IP................................................... ................................47 2.2 Chấp nhận cấp IP............................................... ................................48 2.3 Chọn lựa cung cấp IP ........................................ ................................48 2.4 Xác nhận cấp IP................................................. ................................48 3. Tiến trình thay mới ...................................................... ................................48 3.1 Thay mới tự động ............................................. ................................48 3.2 Thay mới thủ công ........................................... ................................49 4. Phạm vi cấp phát.......................................................... ................................49 5. Cài đặt và cấu hình dịch vụ DHCP.............................. ................................50 5.1 Yêu cầu cài đặt .................................................. ................................50 5.2 Cài đặt dịch vụ DHCP....................................... ................................50 5.3 Cấu hình dịch vụ DHCP.................................... ................................51 5.4 Chứng thực DHCP ............................................ ................................56 IV – Các loại User Account trong Windows Server 2003 ....................................57 1. Giới thiệu các loại User Account ................................ ................................57

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 2 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
1.1 Local User Account........................................... ................................58 1.2 Domain User Account....................................... ................................58 1.3 Built-in User Account ....................................... ................................58 2. Các quy tắc và yêu cầu khi tạo User Account mới...... ................................58 2.1 Quy tắc đặt tên User Account ........................... ................................58 2.2 Yêu cầu mật khẩu .............................................. ................................59 2.3 Các tuỳ chọn Account ....................................... ................................59 3. Tạo các Local User Account ....................................... ................................60 4. Tạo các Domain User Account.................................... ................................61 4.1 Các tùy chọn khi khởi tạo Domain User Account .............................61 4.2 Thiết lập cho password...................................... ................................62 4.3 Thay đổi thuộc tính của User Account.............. ................................63 V – User Profile, Home Folder và Disk Quota ..................... ................................67 1. User Profile.................................................................. ................................67 1.1 User Profile mặc định........................................ ................................67 1.2 User Profile cục bộ............................................ ................................67 1.3 Roaming User Profile........................................ ................................67 1.4 Tạo Roaming Profile ......................................... ................................68 1.5 Mandatory User Profile..................................... ................................68 1.6 Tạo User Profile loại Mandatory....................... ................................69 1.7 Quản lý User Profile.......................................... ................................69 1.8 Thiết lập User Profile ........................................ ................................70 1.9 Bỏ khoá các User Account ................................ ................................70 2. Home Folder ................................................................ ................................70 2.1 Tính chất của Home Folder............................... ................................71 2.2 Tạo Home Folder và User Profile trên server ....................................71 3. Disk Quota................................................................... ................................77 3.1 Giới thiệu về Disk Quota................................... ................................77 3.2 Thiết lập Disk quota cho Home Folder ............. ................................77

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 3 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
VI – Nhóm và Chính sách nhóm........................................... ................................79 1. Giới thiệu các nhóm trong Windows Server 2003 ...... ................................79 1.1 Các nhóm trong Domain ................................... ................................80 1.2 Các nhóm trong Workgroup.............................. ................................80 2. Chính sách nhóm ......................................................... ................................82 2.1 Các Group Policy Containers............................ ................................83 2.2 Các Group Policy Templates............................. ................................83 3. Ứng dụng của chính sách nhóm .................................. ................................83 4. Cấu hình chính sách nhóm .......................................... ................................85 4.1 Computer Configuration ................................... ................................88 4.2 User Configuration............................................ ................................88 4.3 Các thiết lập Administrative Templates ............ ................................89 4.4 Các thiết lập kịch bản ........................................ ................................89 4.5 Các thiết lập an toàn .......................................... ................................90 4.6 Triển khai thiết lập chính sách nhóm ................ ................................91 5. Software Installation Services ..................................... ................................97 5.1 Mục đích............................................................ ................................97 5.2 Phương pháp triển khai ..................................... ................................98 VII – Quyền truy cập NTFS................................................................................. 101 1. Giới thiệu về NTFS ..................................................... ............................. 101 2. Các quyền của NTFS................................................... ............................. 102 2.1 Ứng dụng của NTFS Permission....................... ............................. 103 2.2 Quyền bội NTFS ............................................... ............................. 103 2.3 Sự thừa kế trong NTFS Permission.................. ............................. 104 2.4 Sao chép, di chuyển File và Folder ................... ............................. 104 2.5 Gán quyền NTFS............................................... ..............................105 2.6 Thiết lập quyền thừa kế ..................................... ..............................107 2.7 Những quyền truy xuất đặc biệt trong NTFS...................................107 3. Sự an toàn trên các hệ thống file chia sẻ ..................... ..............................108

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 4 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
3.1 Quyền cho phép đối với share folder ................ ..............................108 3.2 Ứng dụng những quyền share folder................. ..............................109 3.3 Thực hiện share các folder ................................ ..............................110 VIII – Internet Information Servives(IIS)............................ ..............................112 1. Đặc điểm của IIS 6.0 ................................................... ..............................112 1.1 Nâng cao tính bảo mật....................................... ..............................112 1.2 Hỗ trợ nhiều tính năng chứng thực.................... ..............................112 1.3 Hỗ trợ ứng dụng và các công cụ quản trị .......... ..............................113 2. Cài đặt và cấu hình IIS 6.0 .......................................... ..............................114 2.1 Cài đặt IIS 6.0.................................................... ..............................114 2.2 Cấu hình IIS 6.0 ................................................ ..............................117 3. Web Server .................................................................. ..............................117 3.1 Một số thuộc tính cơ bản................................... ..............................117 3.2 Tạo Web site mới .............................................. ..............................119 4. FTP Server................................................................... ..............................124 4.1 Giới thiệu về FTP .............................................. ..............................124 4.2 Các thuộc tính của FTP Site.............................. ..............................124 4.3 Tạo mới một FTP site........................................ ..............................124 IX – Mail Server...................................................................... ..............................128 1. Giới thiệu ..................................................................... ..............................128 2. Cài đặt Mail Mdeamon ................................................ ..............................129 3. Cấu hình Mail Mdeamon............................................. ..............................133 3.1 Menu Setup........................................................ ..............................133 3.2 Menu Security ................................................... ..............................133 3.3 Menu Account ................................................... ..............................136 3.4 Sử dụng Mail trên client.................................... ..............................139 X – Routing and Remote Access Services (RRAS) .............. ..............................141 1. Giới thiệu về Routing and Remote Access.................. ..............................141 2. Remote Access ............................................................ ..............................142

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 5 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
3. Dial-up Remote Connection ........................................ ..............................144 4. Vitual Private Network(VPN) ..................................... ..............................144 4.1 Kĩ thuật đường hầm........................................... ..............................147 4.2 Các giao thức VPN............................................ ..............................147 5. Cài đặt và cấu hình RRAS........................................... ..............................149 5.1 Cài đặt và cấu hình trên server .......................... ..............................149 5.2 Truy cập trên client ........................................... ..............................153 Kết luận ............................................................................................. ..............................157 Tài liệu tham khảo ............................................................................ .............................. 159

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 6 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

CHƯƠNG I – CÀI ĐẶT HĐH WINDOWS SERVER 2003
I - GIỚI THIỆU VỀ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003

1. Các phiên bản của họ Hệ Điều Hành (HĐH) Windows Server 2003
- Windows Server 2003 Web Edition: tối ưu dành cho các máy chủ web - Windows Server 2003 Standard Edition: bản chuẩn dành cho các doanh nghiệp, các tổ chức nhỏ đến vừa. - Windows Server 2003 Enterprise Edition: bản nâng cao dành cho các tổ chức, các doanh nghiệp vừa đến lớn. - Windows Server 2003 Datacenter Edittion: bản dành riêng cho các tổ chức lớn, các tập đoàn ví dụ như IBM, DELL….

2. Những điểm mới của họ HĐH Windows Server 2003
- Khả năng kết nối chùm và cài nóng RAM - Hỗ trợ cho HĐH Windows XP tốt hơn - Tích hợp sẵn Mail Server (POP3) - Có hai chế độ sử dụng giấy phép (license) là Per server licensing và Per device or Per User licensing. - Hỗ trợ tốt hơn cấu hình đĩa đặc biệt: Với cấu trúc đĩa động (Dynamic) có các Volume như Volume Simple, Spanned, Striped(RAID-0), Mirrored(RAID-1) và RAID-5. Các Volume này có tốc độ truy xuất và lưu dữ liệu nhanh, có khả năng chống lỗi cao. Thay cho việc quản lý đĩa bằng Partiton ở đĩa cứng dạng Basic.

3. Yêu cầu phần cứng cài đặt các phiên bản Windows Server 2003
Đặc tính Dung lượng RAM tối thiểu Dung lượng RAM khuyến cáo Dung lượng RAM hỗ trợ tối đa 2GB 4GB 32GB cho máy dòng x86 và 64GB cho dòng Itanium 64GB cho máy dòng x86 và 512GB cho máy dòng 256MB 256MB 256MB 1GB Web Edition 128MB Standard Edition 128MB Enterprise Edition 128MB Datacenter Edition 256MB

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 7 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Itanium Tốc độ tối thiểu cho CPU Tốc độ CPU khuyến cáo Số CPU hỗ trợ 2 4 8 8 đến 32 CPU cho máy dòng x86, 64 CPU cho máy dòng Itanium Dung lượng đĩa trống Số máy kết nối trong dịch vụ cluster Không hỗ trợ Không hỗ trợ 1,5GB 1,5GB 1,5GB cho máy dòng x86, 2GB cho máy dòng Itanium 8 máy 1,5GB cho máy dòng x86, 2GB cho máy dòng Itanium 8 máy 550Mhz 550Mhz 133Mhz 133Mhz 133Mhz cho máy dòng x86, 733Mhz cho máy dòng Itanium 733Mhz 400Mhz cho máy dòng x86, 733 cho máy dòng Itanium 733Mhz

4. Các hệ điều hành cho phép nâng cấp thành Windows Server 2003 Enterprise Edition - Windows NT Server 4.0 với Services Pack 5 hoặc lớn hơn. - Windows NT Server 4.0, Terminal Server Edition, với Services Pack 5 hoặc lớn hơn. - Windows NT Server 4.0, Enterprise Edition, với Services Pack 5 hoặc lớn hơn. - Windows 2000 Server - Windows 2000 Advanced Server - Windows Server 2003 Standard Edition II – CÀI ĐẶT HĐH WINDOWS SERVER 2003 Có nhiều cách cài đặt Windows Server 2003 như: - Cài đặt từ đĩa CD/DVD - Cài đặt qua một thư mục chia sẻ: cách cài đặt này không thể format được ổ đĩa cài đặt (thường là ổ C). - Cài đặt tự động thông qua Setup Manager Wizard: để cài đặt tự động chúng ta phải tạo ra file trả lời tự động từ trước. Dùng chương trình Setup Manager Wizard tạo ra

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 8 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
hai file trả lời tự động là Unattend.bat và Unattend.txt, hai file này chứa thông tin mà trong khi cài đặt HĐH sẽ hỏi, thay vì chúng ta phải gõ vào thì chúng ta tạo ra trước và HĐH sẽ lấy những thông tin được nhập vào từ hai file này. Thông thường nhất chúng ta vẫn dùng cách cài đặt từ đĩa CD/DVD. Sau đây là một số hình ảnh về việc cài đặt HĐH Windows Server 2003. Cho đĩa Windows Server 2003 vào ổ CD, cho máy boot từ ổ CD đầu tiên, sau khi ấn một phím bất kì để boot từ CD, hệ thống sẽ load tất cả những phần cứng có trên máy.

Ấn Enter để tiếp tục cài đặt.

Ấn F8 để đồng ý đăng kí license trong quá trình cài đặt

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 9 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Chọn ổ cứng và phân vùng trên ổ cứng đó để chứa bộ cài đặt, sau đó ấn Enter để tiếp tục

Chọn chế độ format cho phân vùng được cài đặt, nên dùng phân vùng định dạng NTFS cho Windows Server 2003. Sau đó ấn Enter để hệ thống format phân vùng theo định dạng đã chọn.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 10 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Sau đó hệ thống sẽ copy dữ liệu từ đĩa CD vào phân vùng cài đặt

Sau khi copy dữ liệu xong và khởi động lại máy, tiếp theo sẽ là quá trình bung dữ liêu ra từ phân vùng cài đặt.

Tiếp theo hệ thống yêu cầu thiết đặt tên, tổ chức và các tuỳ chọn khác như ngôn ngữ, giờ, múi giờ, định dạng ngày…

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 11 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Đặt tên và tổ chức cho quá trình cài đặt

Nhập Product Key khi hệ thống yêu cầu

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 12 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Chọn chế độ cấp giấy phép(license), có hai chế độ cấp giấy phép trong khi cài đặt Windows Server 2003 là: + Per Server: Đăng kí giấy phép cho máy Server được phép quản lý bao nhiêu máy trạm (cho bao nhiêu máy trạm kết nối tới). Cách này là đăng kí giấy phép cho chính máy Server. Mặc định Windows server 2003 cho phép 5 máy trạm kết nối miễn phí tới nó, nếu muốn nhiều hơn 5 máy chúng ta phải mua thêm. + Per Device or User: Đăng kí giấy phép cho các máy trạm hoặc người dùng kết nối tới. Với cách này thì những máy muốn kết nối tới máy Server phải có đăng kí giấy phép. Còn Server có thể không cần có giấy phép.

Tiếp theo là đặt tên cho máy Server và password cho tài khoản Administrator

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 13 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Tiếp theo là đặt ngày, giờ và chọn múi giờ cho hệ thống, chọn múi giờ GMT+7

Tiếp theo là thiết đặt cho kết nối mạng và tên nhóm làm việc Workgroup, chọn Typical settings và đặt tên nhóm mạng.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 14 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Sau đó ấn Next để hệ thống tiếp tục việc cài đặt. Khi hệ thống cài đặt xong và khởi động lại máy một lần nữa là chúng ta hoàn thành việc cài đặt Windows Server 2003.

Giao diện logon của Windows Server 2003

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 15 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

CHƯƠNG II – CÁC DỊCH VỤ MẠNG CỦA HĐH WINDOWS SERVER 2003
I – ACTIVE DIRECTORY

1. Giới Thiệu Về Active Directory
Active Directory (AD) là nơi lưu trữ các thông tin về tài nguyên khác nhau trên mạng. Các tài nguyên được Active Directory lưu trữ và theo dõi bao gồm File Server, Printer, Fax Service, Application, Data, User, Group và Web Server. Thông tin nó lưu trữ được sử dụng và truy cập các tài nguyên trên mạng. Sự khác nhau giữa Active Directory và Active Directory Service đó là các hình thức lưu trữ và quản lý thông tin tài nguyên. Thông qua Active Directory người dùng có thể tìm chi tiết của bất kỳ một tài nguyên nào dựa trên một hay nhiều thuộc tính của nó. Vì vậy mà không cần phải nhớ tất cả đường dẫn và địa chỉ nơi tài nguyên đang được định vị, mỗi thiết bị và tài nguyên trên mạng sẽ được ánh xạ đến một tên có khả năng nhận diện đầy đủ về nó. Tên này sẽ được lưu trữ lại trong Active Directory cùng với vị trí nguyên thuỷ của tài nguyên. Người sử dụng có thể truy cập đến tài nguyên này nếu họ được phép thông qua Active Directory . Active Directory có khả năng: Cho các thông tin về tài nguyên dựa trên các thuộc tính của nó. Duy trì dữ liệu của nó trong một môi trường an toàn, vì chắc chắn rằng dữ liệu sẽ không được cung cấp cho các người không được quyền truy cập đến nó. Tự nó phân tán đến các máy tính trên mạng Tự nhân bản. Đây là cơ chế bảo vệ Active Directory trong trường hợp bị lỗi Nó giúp người sử dụng ở xa tham chiếu đến một bản sao được nhân bản, được định vị ở một nơi không xa, thay vì phải tham chiếu đến bản sao nguyên thuỷ. Tự phân vùng thành nhiều phần lưu trữ. Active Directory có thể được phân tán trên các máy khác nhau vì thế nó tăng thêm khả năng lưu trữ một số lượng lớn các đối tượng có trên các mạng lớn

2. Các đối tượng trong Active Directory và quy ước đặt tên

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 16 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Các tài nguyên trên mạng được ghi trong Active Directory được gọi là Object - đối tượng. Một object được định nghĩa như là một tập riêng biệt của các thuộc tính để mô tả về một tài nguyên trên mạng. Các object có các Attribute - thuộc tính. Các thuộc tính là các đặc tính của các tài nguyên được ghi trong Active Directory. Classes là một nhóm logic của các đối tượng trong Active Directory. Ví dụ, một classes bao gồm : các Computer, các User, các Group và các Domain. Thuộc tính và classes cũng được tham chiếu như là các Schema Object hoặc Metadata. Các thuộc tính có thể được định nghĩa một là nhưng được sử dụng trong nhiều lớp. Mỗi đối tượng trong Active Directory được định nghĩa bởi một cái tên, Active Directory hỗ trợ các quy ước đặt tên. Các quy ước đặt tên khác nhau được sủ dụng bởi Active Directory là : Distinguished Name (DN) Globally unique Indentifier (GUID) Relative Distingished Name (RDN) User Principal Name (UPN) 2.1 Distinguished Name (DN) Mỗi object trong Active Directory sẽ có một tên duy nhất. Đây là tên được xem như là DN. Nó chứa đầy đủ các thông tin về đối tượng bao gồm tên của domain nơi lưu trữ đối tượng và đường dẫn đầy đủ mà thông qua đó đối tượng có thể được chỉ ra. Xét DN dưới đây: /DC=com/DC=haui/OU=Dev/CN=Users/CN=Pham Van Hiep Đây là tên duy nhất định danh cho đối tượng user là Pham Van Hiep, trong domain haui.com 2.2 Globally Unique Indentifier (GUID) Các GUID là các số 128 bít và là duy nhất. Đây là định dạng được gắn cho đối tượng tạo thời điểm được tạo ra nó. Chỉ được tạo 1 lần. GUID không bao giờ thay đổi ngay cả khi đối tượng được đổi tên hay di chuyển. Cũng vậy, GUID không thay đổi ngay cả khi DN của đối tượng thay đổi. Vì thế User và các ứng dụng có thể truy xuất đến một đối tượng với 1 GUID của nó ngay cả khi đối tượng thay đổi thành định danh khác. Khái niệm GUID của windows 2003 là tương tự như một SID (security Indentifiers) trong windows NT. Một SID được tạo bên trong một domain. Điều này có

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 17 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
nghĩa rằng SID có thể trở nên duy nhất chỉ dưới một domain. GUID là một tổng thể duy nhất. Điều này có nghĩa rằng nếu di chuyển một đối tượng xuyên qua các domain thì GUID của đối tượng không thay đổi. Nó là duy nhất trên tất cả các domain. 2.3 Relative Distinguished name (RDN) Relative Distinguished name (RDN) của một đối tượng là một thuộc tính của chính đối tượng đó. Active Directory hỗ trợ truy vấn bằng thuộc tính. Vì thế mỗi đối tượng có thể được xác định ngay cả khi không biết về DN của nó. Một thuộc tính quan trọng được sử dụng để truy vấn trong Active Directory là RDN. 2.4 User Principal Name (UPN) UPN là tên thân thiện của đối tượng User. Nó là kết nối của một tên ngắn và DNS của domain nơi lưu trữ đối tượng. Tên ngắn thường được sử dụng là tên logon của tên user.

3. Các kỹ thuật được hỗ trợ bởi Active Directory
Mục đích của Active Directory là cung cấp một điểm dịch vụ trên mạng. Do đó nó được thiết kế đặc biệt để làm việc chặt chẽ với các thư mục khác. Nó cũng hỗ trợ một phạm vi lớn các kỹ thuật. Active Directory tích hợp khái niệm không gian tên miền trong Internet với Windows 2003. Kết quả của điều này là nó có khả năng quản lý thống nhất các không gian tên miền khác nhau đang tồn tại trong các môi trường hỗn tạp của hệ thống mạng khác nhau. Active Directory sử dụng dịch vụ DNS cho giải pháp chuyển đổi tên của nó có thể giao tiếp với bất kỳ một thư mục nào hỗ trợ LDAP (Light Weight Directory Access Protocol) hoặc HTTP. Active Directory cung cấp API để giao tiếp với các thư mục khác. Các giao thức khác nhau được hỗ trợ bởi Active Directory là: Dynamic Host Configuration Protocol (DHCP): DHCP chịu trách nhiệm cho việc gán địa chỉ IP động đến các Host trong mạng. Điều này có nghĩa là một máy trên mạng luôn được gán địa chỉ IP nhưng địa chỉ này có thể khác nhau ở các lần logon khác. Active Directory hỗ trợ DHCP cho việc quản lý địa chỉ trên mạng. Để nhận được nhiều thông tin hơn thì sử dụng RFC (Request For Comment) 2131.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 18 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Domain Naming Service (DNS): DNS được sử dụng cho giải pháp đổi tên trong mạng. Active Directory sử dụng dich vụ DNS như là tên domain và dịch vụ định vị của nó. Kerberos: là giao thức xác thực nó chịu trách nhiệm về vấn đề an toàn trong windows 2003. Active Directory sử dụng nó để sác định thực người sử dụng của mạng khi họ yêu cầu được truy cập đến các tài nguyên . LDAP: Schema Active Directory cấu hình từ các thuộc tính và lớp. LDAP có nhiều tiện ích khác nhau nó được đưa ra để hỗ trợ cho Active Directory trong các cách khác nhau như : • LDAP v3 Directory Access (RFC 2551) • LDAP Directory Schema (RFC 2247,2252,2256) • LDAP ‘C’ Directory Synchronization (IEIF Internet Engineering Task Force Draft) LDIF là chữ viết tắt của LDAP Data Interchange Format. Simple Netword Time Protocol (SNTP): SNTP được sử dụng trong việc đồng bộ về giờ của các máy trên mạng. Active Directory sử dụng các gói dữ liệu trên mạng. Active Directory hỗ trợ TCP/IP trong việc truyền dữ liệu trên mạng. X.509 v3 Certificates: Tương tự Kerberos, X.509 Certificate cũng được sử dụng trong các mục đích xác thực. Active Directory hỗ trợ X.509 Certificates.

4. Active Directory và DNS
Dịch vụ DNS tích hợp vớiActive Directory. Có 3 dịch vụ chính thực đưa ra bởi DNS cho Active Directory là : Name Resolution : Đây là một chức năng cơ sở của DNS server. Nó thực hiện việc chuyển đổi tên host thành địa chỉ IP tương ứng. Name Space Definition: Windows 2003 sử dụng dịch vụ DNS để quy ước tên cho thành viên trong domain của nó. Active Directory cũng hỗ trợ sự quy ước tên này. Physical Compoments of Active Directory : Các thành viên của domain Windows 2003 phải hiểu về domain controller và Server Global Catalog trong

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 19 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
domain. Chỉ khi đó chúng mới có thể logon đến mạng và truy vấn Active Directory. Cơ sở dữ liệu DNS chứa trong DNS Server hoặc Global Catalog Server. Nhận thông tin này các thành viên có thể trực tiếp truy vấn đến từng Server riêng.

5. Cấu Trúc Logic của ADS
Nhóm tài nguyên logic giúp tìm kiếm các tài nguyên dễ dàng hơn việc tìm kiếm trong vị trí vật lý của nó. Vì thế Active Directory cũng có cấu trúc logic để mô tả cấu trúc thư mục của các tổ chức. Một điểm tiến bộ quan trọng khác của nhóm các đối tượng logic Active Directory là sự cài đặt vật lý của mạng có thể được ẩn đối với người sử dụng. Các thành phần Logic của cấu trúc Active Directory là : Các Domain Các đơn vị tổ chức (OU) Các cây (Tree) Các Rừng (Rorest) 5.1 Domain Đơn vị logic đầu tiên của mạng Windows 2003 là domain. Nó là một tập các máy tính được định nghĩa bởi người quản trị mạng. Tất cả các máy tính trong domain chia sẻ chung một cơ sở dữ liệu Active Directory. Mục đích chính của việc tạo domain là tạo một ranh giới an toàn trong một mạng windows 2003. người quản trị domain điều khiển các máy tính trong domain. Chỉ trừ khi được gắn quyền, nếu không thì người quản trị mạng trong domain này không thể điều khiển các domain khác. Mỗi một domain thì có các quền và các chính sách an toàn riêng, nó được thiêt lập bởi người quản trị. Tất cả domain cotroller trong một domain đều duy trì một bản sao cơ sở dữ liệu của domain, do đó các domain là các đơn vị nhân bản và cơ sở dữ liệu Active Directory là được nhân bản đến tất cả các domain controller trong domain. Windows 2003 Active Directory sử dụng mô hình nhân bản Multi - master. Trong mô hình này bất kỳ một domain controller nào trong domain đều có khả năng nhận sự thay đổi được tạo ra từ cơ sở dữ liệu Active Directory. Thay đổi được tạo sẽ được nhân bản đến các domain

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 20 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
controller khác trong domain. Từ đó, tất cả domain controller có thể trở thành tại bất kỳ thời điểm nào, mô hình này được gọi là mô hình multi – master. Domain Active Directory có thể tồn tại một trong hai mô hình là : Native hoặc Mixed, hệ điều hành ở trên các domain controller sẽ quyết định domain hoạt động theo mô hình nào. Mô hình Native là mô hình được sử dụng trong tất cả các domain controller chạy trong windows 2003. Trong mô hình Mixed, các domain controller có thể sử dụng một trong hai hệ điều hành là windows 2003 và windows NT 4.0. Tại thời điểm cài đặt và ngay sau khi cài đặt Active Directory hoạt động ở mô hình Mixed. Đây là sự cung cấp hỗ trợ cho domain controller hiện tại trong domain mà không được cập nhật trở thành windows 2003. 5.2 Các Organizational Unit (OU) Trong phạm vi domain các đối tượng được tổ chức sử dụng các đơn vị tổ chức. OU là đối tượng chứa. Nó chứa các đối tượng như là User, computer, print, group và các OU khác. Về cơ bản OU giúp nhóm các đối tượng tổ chức logic phù hợp với kiểu nào đó. Các đối tượng có thể được nhóm từ một OU. Hoặc dự trên cấu trúc của tổ chức Hoặc phù hợp với mô hình quản trị mạng. Mỗi domain có thể được tổ chức dựa vào người quản trị mạng và giới hạn người điều khiển nó. Máy của người quản trị sẽ điều khiển domain và các máy tính của tất cả những người dưới sự điều khiển của người quản trị mạng sẽ nằm trong domain. Hệ thống phân cấp OU có thể được biến đổi từ domain này sang domain khác. Đó là mỗi domain có thể được cài đặt một hệ thống phân cấp riêng của nó. Sự điều khiển của một OU có thể được cấp trong phạm vi của OU. Lợi ích chính của OU là tránh sự phúc tạp của hệ thống mạng với kiến trúc đa domain . Các công ty có thể tạo ra một domain đơn và một trạng thái khác của các OU phù hợp với yêu cầu bằng cách tạo ra một cấu trúc domain. Các OU có thể được bổ sung mới như là khi chúng cần xuất hiện trong một domain. Các OU cũng có thể được lồng vào

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 21 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
theo nhiều cách. Tuy nhiên một cấu trúc domain đơn với nhiều OU đưa ra tất cả các thuận lợi được đưa ra bởi mô hình đa domain. 5.3 Cây (Tree) một vài nguyên nhân tại sao mô hình đa domain là được ưa thích : Phân quyền quản trị mạng Các tên miền Internet khác nhau. Yêu cầu về password khác nhau Dễ điều khiển việc nhân bản Một số lượng lớn các đối tượng Nhiều cấp độ điều khiển với nhiều nhánh Mô hình đa domain bao gồm một hoặc nhiều hơn một cấu trúc logic trong Active Directory - Tree . Một cây là một sự sắp xếp phân cấp của các domain windows 2003 mà nó chia sẻ một không gian tên liền kề. 5.4 Rừng (Forest) Trong mô hình đa domain, Rừng (Forset) là một cấu trúc logic khác mà trong đó các cây không chia sẻ các không gian tên liền kề.

6. Cấu trúc vật lý của ADS
Cấu trúc logic của một Active Directory là được tách ra từ cấu trúc vật lý của nó, và hoàn toàn tách biệt với cấu trúc vật lý. Cấu trúc vật lý được sử dụng để tổ chức việc trao đổi trên mạng trong khi đó cấu trúc logic được sử dụng để tổ chức các tài nguyên có sẵn trên mạng. Cấu trúc vật lý của một Active Directory bao gồm : Site Domain Controllers Global Catalog Server Cấu trúc vật lý của một Active Directory mô tả nơi nào và khi nào thì sự logon và nhân bản sẽ xuất hiện. Do đó để giải quyết các vấn đề về logon và nhân bản thì trước hết phải hiểu về các thành phần của cấu trúc vật lý của Active Directory. 6.1 Sites

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 22 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Một site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó được kết nối bởi các đường truyền tốc độ cao. Các site được định nghĩa để tạo ra sự thuận lợi đặc biệt cho chiến lược truy cập và nhân bản một Active Directory. Các mục đích chính của việc định nghĩa có thể kể ra dưới đây: Cho phép các kết nối tin cậy và tốc độ cao giữa các domain controller. Tối ưu việc truyền tải trên mạng Sự khác nhau cơ bản giữa site và domain đó là domain mô tả cấu trúc logic của sự tổ chức mạng trong khi đó site mô tả cấu trúc vật lý mạng. Theo trên thì cấu trúc logic và cấu trúc vật lý của Active Directory là tách rời nhau. Vì thế, Không cần có sự tương quan giữa cấu trúc vật lý của mạng và cấu trúc domain của nó. Không gian tên của site và domain không cần tương quan Active Directory cho phép nhiều site trong một domain cũng giống như nhiều domain trong một site Không gian giữa tên logic chứa các Computer, các domain và các OU, không có các site. Một site chứa thông tin về các đối tượng computer và các đối tượng connection. 6.2 Domain Controller Thành phần vật lý thứ 2 trong Active Directory là domain controller. một domain controller là một máy tính chay windows 2003 server và nó chứa 1 bản sao của Active Directory. Cơ sở dữ liệu chứa các thông tin về domain cục bộ. Có thể có nhiều hơn một domain controller trong một domain. Tất cả các domain controller trong domain đều duy trì một bản sao active directory. Các tổ chức nhỏ với một client chỉ cần một domain đơn với chỉ hai domain controller. Controller thứ hai sẽ là server trong trường hợp controller thứ nhất bị lỗi. Do đó cả hai domain controller đều chứa cùng một bản sao khác nhau của Active Directory. Nhưng đôi khi các domain controller có thể chứa các bản sao khác nhau của Active Directory. Điều này xảy ra khi có sự bất đồng bộ giữa các cơ sở dữ liệu directory trong các domain controller. Tuy nhiên trong các tổ chức lớn, mỗi vị trí địa lý cần phải có các domain controller tách biệt để cung cấp đầy đủ khả năng sẵn sàng và khả năng chịu lỗi.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 23 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Các chức năng khác nhau domain controller bao gồm : Duy trì một bản sao của cơ sở dữ liêu directory. Duy trì các thông tin của Active Directory. Nhân bản các thông tin được cập nhật đến các domain controller trong domain: Khi tạo ra một sự thay đổi trong domain thì phải cập nhật thực tế này đến Active Directory của một domain controller. Domain controller sẽ nhân bản sự thay đổi này đến các domain controller khác trong domain. Thông lượng của việc nhân bản này có thể được điều khiển một cách đặc biệt sao cho đảm bảo tốc độ truyền và không xảy ra lỗi. Sự nhân bản này chắc chắn sẽ thay đổi ngay lập tức. Ví dụ, nếu một user account bị khoá nó được thay thế lập tức đến các domain controller khác, nó sử dụng thay thế multi – master. Điều này có nghĩa là không cố định domain controller với vai trò master. Domain controller được cập nhật sự thay đổi đầu tiên sẽ trở thành domain controller master và nó sẽ thực hiện việc nhân bản sự thay đổi này đến tất cả các domain controller khác trong domain, do đó mô hình này được gọi là multi – master. Quản lý và giúp đỡ người sử dụng trong việc tìm kiếm các đối tượng trong Active Directory. Nó kiểm tra tích hợp lệ của việc logon của người sử dụng truy cập tài nguyên được yêu cầu. Cung cấp khả năng chịu lỗi trong môi trường đa domain controller.

7. Vai trò của domain
Các vai trò được gán cho domain controller là : Global Catalog Servers Operation Masters Các vai trò này là rất quan trọng bởi vì nếu các domain controller với các vai trò đặc biệt là không sẵn sàng thì chức năng cụ thể của các vai trò này sẽ không sẵn sàng cho domain. 7.1 Global Catalog Servers Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin về tất cả các đối tượng trong Active Directory. Phần lớn,global catalog là lưu trữ thông tin đó là các

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 24 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
truy vấn thường được sử dụng. Nói cách khác, nó chứa các thông tin cần thiêt để tìm các đối tượng. Một global catolog cần được tạo trong domain controller đầu tiên của rừng. Domain controller này được gọi là Global Catalog Server. Một global catalog server duy trì một bản copy đầy đủ cơ sở dữ liệu của Active Directory của domain điều khiển của nó. Nó duy trì một phần copy của cơ sở dữ liệu Active Directory của domain khác trong rừng. Một Global Catalog Server cũng xử lý các truy vấn được xây dựng trở lại và cho ra kết quả. Hai vai trò quan trọng của một global catolog server là : Nó giúp người sử dụng định vị trí đến các đối tượng trong Active Directory được dễ dàng. Nó cho phép người sử dụng logon vào mạng. Thực hiện điều này bằng cách cung cấp thông tin về thành viên nhóm đến các domain controller khi quá trình này được khởi tạo. Trong trường hợp server global catalog là không sẵn sàng, người sử dụng có thể logon đến mạng nếu họ là thành viên của nhóm domain Administrator. Mặc khác người sử dụng chỉ có thể logon đến máy tính cục bộ. Domain controller đầu tiên trong rừng là server global catalog. Nó có thể cấu hình để thêm domain controller vào server global catalog. Điều này cân bằng thông lượng tài nguyên trên mạng và nạp vào server global catalog . 7.2 Operation Masters Operation Masters là domain controller được gán với một hoặc nhiều vai trò chủ yếu trong Active Directory của domain. Các vai trò khác nhau của Operation Masters là: Domain Naming Master: Domain Naming Master chịu trách nhiệm điều khiển để thêm hoặc xoá các domain ra khỏi rừng. Kể từ đó Domain Naming Master chăm sóc các doman trong rừng, có thể một domain controller trong rừng với vai trò này. Infrastructure Master: Domain controller với vai trò này chịu trách nhiệm cập nhật để tham chiếu đến các thành viên trong nhóm của Active Directory. Bất cứ khi nào sự thay đổi xảy ra đối với các thành viên trong một nhóm, domain

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 25 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
controller này cập nhật vào cơ sở dữ liệu của domain. Mỗi domain phải có một Infastructure Master, sự thay đổi trong thành viên của domain là sự nhân bản multi-master. Primary Domain Controller emulator(PDC): Vai trò này rất hữu ích trong mô hình mixed. Khi một client không chạy Windows XP hoặc một Server đang chạy Windows NT tồn tại trong một domain thì sau đó bất kì một sự thay đổi nào tác động đến domain thì đòi hỏi đó cũng tác động đến PDC. Domain controller với vai trò này chịu trách nhiệm trong việc cập nhật này. Trong mạng ở chế độ native, vai trò này hữu ích trong việc xác nhập đăng nhập trong trường hợp thay đổi mật khẩu được tạo ra ở trong domain. Nếu một password mới được thay đổi thì nó sẽ mất thời gian để tạo bản sao khác ở trong domain controller. Trong khi chờ đợi, nếu domain controller gặp một mật khẩu không đúng thì nó sẽ đưa ra một câu truy vấn đến PDC trước khi thông báo quá trình đăng nhập thất bại. Relative Indentifier Master – RID: Khi một đối tượng được tạo ra trong domain thì một SID cũng được tạo ra và gán cho đối tượng đó. SID, định danh bảo mật(sercurity indentifier) là duy nhất cho mỗi đối tượng. Một SID bao gồm hai phần: domain SID và RID. Phần thứ nhất là domain SID, là chung cho tất cả các đối tượng trong domain. Phần thứ hai là RID, là số ID duy nhất khác nhau cho mỗi đối tượng trong domain. Vì thế SID là một định danh duy nhất trong mạng. Vai trò này phải có trong một domain controller của một mạng. RID master gán một dãy các RID cho các domain controller trong mạng. Domain controller sau đó sẽ phân phối RID cho các đối tượng này. Schema Master: Domain controller với vai trò này sẽ chịu trách nhiệm hoàn thành việc cập nhật cho lược đồ. Để cập nhập một lược đồ của một rừng, chúng ta phải truy xuất đến một lược đồ master của domain controller. Chỉ nên có một domain controller có vai trò này trên mạng. Domain controller sở hữu những vài trò này tren mạng là duy nhất tại bất cứ thời điểm nào. Nghĩa là chức năng thao tác chính có thể chuyển đổi từ domain controller này đến domain controller khác. Nhưng chỉ có một domain controller có vai trò riêng trong mạng. Hai domain

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 26 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
controller không thể chạy cùng một chức năng tao tác chính tại bất kì thời điểm nào của mạng.

8. Cài đặt Active Directory
Việc cài đặt Active Directory được tạo đơn giản bằng cách cung cấp một wizard. Khi Active Directory được cài đặt, một trong những cái sau đây được tạo mới: - Domain đầu tiên trong một rừng và domain controller đầu tiên. - Một domain con trong một cây và domain controller của nó. - Domain khác trong domain đã tồn tại. - Một cây mới trong một rừng đã tồn tại và domain controller của nó. Yêu cầu cài đặt Active Directory Trước khi thực sự cài đặt dịch vụ Active Directory, chúng ta cần phải xem các yêu cầu trong quá trình cài đặt. Dưới đây là danh sách các yêu cầu cài đặt AD: - Một máy tính được cài đặt Windows Server 2003 Standard Edition hoặc Windows Server 2003 Enterprise Edition hoặc Windows Server 2003 Datacenter Edition. - Một partition hoặc một volume với định dạng NTFS. - Đĩa cứng trống 1GB trở lên. - Cài đặt TCP/IP và được thiết lập để sử dụng DNS. Địa chỉ IP có thể là ở lớp A, lớp B hay lớp C nhưng chú ý đặt phần Primary DNS là trùng với địa chỉ IP - DNS Server phải hỗ trợ việc cập nhật giao thức và các record tài nguyên. - Một user account gồm username và password đủ quyền được cài đặt AD. Sau đây là một số hình ảnh về các bước cài đặt Active Directory. Để cài đặt AD, ở cửa sổ run chúng ta đánh lệnh dcpromo. Xuất hiện cửa sổ cài đặt wizard

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 27 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Ấn next để tiếp tục cài đặt

Thông báo máy chủ Domain controller đang là phiên bản Windows Server 2003 và những hệ điều hành nào không thể gia nhập miền của hệ điều hành windows 2003. Ở đây có hai hệ điều hành không thể gia nhập miền của Windows server 2003 là Windows 95 và Windows NT 4.0 Sp 3 trở về trước. Ấn next để tiếp tục.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 28 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Chọn kiểu domain controller, ở đây chúng ta có hai lựa chọn: - Lựa chọn thứ nhất là máy chủ miền domain controller của chúng ta là máy chủ đầu tiên và domain chúng ta lên là domain đầu tiên. - Lựa chọn thứ hai là chúng ta add vào máy chủ miền một domain đã có sẵn.

Tiếp theo đến cửa sổ tạo mới domain, ở đây chúng ta có 3 lựa chọn: - Thứ nhất là tạo domain trong một rừng mới - Thứ hai là tạo một domain con trong domain tree hiện có - Thứ ba là tạo một cây domain trong rừng hiện tại đã có Chúng ta chọn mục đầu tiên vì ở đây máy chủ của chúng ta là máy chủ đầu tiên và domain cũng là domain đầu tiên. Ấn next để tiếp tục.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 29 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Tiếp theo đến bước đánh tên DNS đầy đủ cho domain muốn tạo, tên domain có thể là tên của tổ chức, tên công ty hoặc cá nhân và phải tuân theo quy tắc đánh tên domain tức là không dài quá 255 kí tự và phải có ít nhất một dấu chấm (.). Ở đây em đặt tên là công ty TNHH máy tính CMS. Next đến bước tiếp theo.

Tiếp theo là bước đặt tên cho NetBIOS name, tên domain theo chuẩn NetBIOS để tương thích với các hệ điều hành Windows NT. Mặc định windows server 2003 lấy tên của domain chính là tên của NetBIOS name, NetBIOS name có nhiệm vụ phân giải tên miền trên Domain controller. Chúng ta có thể thay đổi tên này nhưng chú ý khi máy trạm join vào máy chủ thì phải join theo tên của NetBIOS name chứ không join theo tên miền nữa. Ở đây em để theo mặc định. Ấn next để tiếp tục.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 30 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Tiếp theo là đến bước lưu trữ database và logfile của Active Directory trên đĩa cứng. Đây sẽ là nơi lưu trữ toàn bộ cơ sở dữ liệu của hệ thống gồm toàn bộ thông tin về tài nguyên hệ thống, user acconut…. Ở chế độ workgroup khi chưa lên domain thì mọi thông tin người dùng được lưu trong file SAM( Sercurity Account Management) nhưng khi đã lên domain thì mọi thông tin đó được lưu trong thư mục NTDS và user account được lưu trong file NTDS.dit. Chúng ta có thể chọn nơi khác để lưu trữ thư mục NTDS nhưng theo khuyến cáo thì nên để mặc định của windows 2003.

Tiếp theo đến bước chỉ định lưu thư mục SYSVOL, thư mục SYSVOL phải được lưu trên phân vùng NTFS v 5.0 trở lên.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 31 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Bước tiếp theo là kiểm tra hoặc cài đặt DNS. DNS là dịch vụ phân giải tên kết hợp với AD để phân giải các tên máy tính trong miền hoặc phân giải các miền khác từ bên ngoài. Ở đây chúng ta có 3 lựa chọn: - Thứ nhất là DNS đã có sẵn và có vấn đề hoặc bị lỗi, và lựa chọn mục này để hệ thống kiểm tra lại DNS. - Thứ hai là cài đặt và thiết lập DNS server trên máy tính, và đặt máy tính này sử dụng DNS như là một DNS server. - Thứ ba là kết nối DNS có vấn đề và muốn thiết đặt DNS bằng tay (nâng cao). Theo khuyến cáo của Microsoft chúng ta nên tích hợp việc cài đặt DNS trong khi cài đặt AD vì như thế thì mới tích hợp được hết các chức năng của DNS và DNS không bị lỗi. Ấn next để tiếp tục.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 32 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Bước tiếp theo là mục lựa chọn quyền đăng nhập vào hệ thống. Lựa chọn thứ nhất là cho phép cả những hệ điều hành trước windows 2000 đăng nhập, lựa chọn thứ hai là chỉ cho phép những hệ điều hành sau windows 2000 đăng nhập vào hệ thống. Ở đây em dùng hệ điều hành cho máy trạm là Windows XP nên em chọn phần thứ hai. Ấn next để tiếp tục.

Tiếp theo là mục đặt password cho tài khoản Administrator để phục vụ cho việc backup AD hoặc dùng để khởi động Active Directory ở chế độ Directory Services Sestore Mode. Chúng ta đặt password cho tài khoản và ấn next để tiếp tục.

Tiếp theo là quá trình tổng hợp các thông tin mà chúng ta đã cung cấp về AD. Ấn next để hệ thống bắt đầu quá trình lên domain.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 33 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Quá trình hệ thống bắt đâu lên domain

Hệ thống yêu cầu cho đĩa CD Windows 2003 vào và chọn đến thư mục \I386. Chúng ta cho đĩa vào và chọn đến thư mục I386 trên đĩa.

Ấn finish để kết thúc quá trình lên domain. Sau khi ấn finish hệ thống yêu cầu khởi động lại. Chúng ta ấn restart now khởi động lại hệ thống để hoàn thành việc lên AD.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 34 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Sau khi hệ thống khởi động lại xong nghĩa là Active Directory đã được cài đặt, Active Directory có 3 thành phần chính đó là: Active Directory Domain and Trust, Active Directory Sites and Services và Active Directory Users and Computers Active Directory Domain and Trust: Dùng để tin cậy các domain hay Domain controller trong một rừng có nhiều domain khác.

Có hai quan hệ tin cậy được hỗ trợ bởi Active Directory là: Quan hệ tin cậy một chiều One – Way và quan hệ tin cậy hai chiều Two – Way. Quan hệ tin cậy một chiều (không bắc cầu) là: Nếu domain 1 tin cậy domain 2 và domain 2 tin cậy domain 3 thì domain 1 không tự tin cậy domain 3. Quan hệ tin cậy có thể được thiết lập trực tiếp từ domain 1 với domain 3. Windows NT hỗ trợ kiểu quan hệ tin cậy không bắc cầy này. Điều này mang lại sự thuận lợi lớn cho người đứng đầu nhóm quản trị trong các hệ thống mạng lớn với đa domain. Quan hệ tin cậy hai chiều (bắc cầu): Nếu domain 1 tin cậy domain 2 và domain 2 tin cậy domain 3 thì domain 1 tự động tin cậy domain 3 và ngược lại domain 3 tự động tin cậy domain 1. Đây là quan hệ tin cậy mặc định giữa các domain trong Windows 2003. Nếu quan hệ tồn tại giữa hai domain thì

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 35 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
chúng ta có thể gán quyền đến tài nguyên trong một domain cho các user và group trong domain khác, điều ngược lại cũng đúng. Vì thế quan hệ tin cậy bắc cầu two – way làm giảm công tác quản trị của người quản trị khi phải tạo và duy trì quá nhiều quan hệ tin cậy trong một mạng lớn có rất nhiều domain. Active Directory Sites and Services: Cho phép kết nối tin cậy tốc độ cao giữa các Domain Controller để tối ưu việc nhân bản các dịch vụ được truyền tải trên mạng.

Một site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó được kết nối bởi các đường truyền tốc độ cao. Các site này được định nghĩa để tạo sự thuận lợi đặc biệt cho kế hoạch truy cập và nhân bản một Active Directory. Sự khác nhau cơ bản giữa site và domain là domain mô tả cấu trúc logic của một tổ chức mạng trong khi đó site mô tả cấu trúc vật lý mạng đó. Theo đó cấu trúc vật lý và cấu trúc logic của Active Directory là tách rời nhau. Vì thế Active Directory cho phép nhiều site trong một domain cũng giống như nhiều domain trong một site, không gian tên của site và domain không cần sự tương quan. Không gian tên logic chứa các Computer, các domain và các OU, không có các site. Một site chứa một thông tin về các đối tượng trong computer và các đối tượng kết nối. Active Directory Users and Computers: Chứa các thông tin và thành phần về Users, Groups, OU (Orgazinational Unit), các Computer và Domain Controller.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 36 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Builtin: đây là nơi lưu các account được tạo sẵn trong hệ thống gồm các account có quyền quản trị hệ thống, thay đổi toàn cấu trúc hệ thống domain, gia nhập hoặc tin cậy một domain khác trong một rừng. Những account này người dùng không thể tạo hoặc xoá được kể cả tài khoản Administrator. Computer: đây là nơi lưu trữ tất cả các computer trong mạng đã join vào domain. Domain controllers: đây là nơi lưu trữ tên những máy chủ miền, nếu hệ thống có hơn một máy chủ miền thì sẽ có các tên máy chủ đó ở mục này. Foreign Sercurity Principals: Những nhánh bảo mật bên ngoài Users: là nơi chứa toàn bộ user gồm những user của hệ thống tạo ra và những user do những người dùng tạo ra. Các user hệ thống ở đây có tác dụng thay đổi những thiết đặt của máy chủ Domain controller và domain nằm trên máy chủ miền đó. II - HỆ THỐNG TÊN MIỀN (DOMAIN NAME SYSTEM – DNS)

1. Giới thiệu về DNS
DNS là một cơ sở dữ liệu (CSDL) phân tán được dùng để dịch tên máy tính (host name) thành địa chỉ IP trong các mạng TCP/IP. Để cung cấp một cấu trúc phân cấp cho cơ sở dữ liệu DNS người ta cung cấp một lược đồ đánh tên được gọi là không gian tên

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 37 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
miền. Miền gốc (root domain) là mức định của cấu trúc tên miền được ký hiệu một dấu chấm (.). Miền mức định được đặt dưới miền gốc và chúng được đại diện cho kiểu của tổ chức, chẳng hạn com hay edu hay org hoặc nó có thể là một định danh địa lý như vn (Việt nam). Các miền mức thứ 2 được đăng ký cho tên các tổ chức khác hay các người sử dụng đơn lẻ. Chúng có thể chứa cả hai: các máy tính/tài nguyên (host) và các miền con (subdomains). Tên miền đã kiểm chứng đầy đủ (Full Qualified Domain Name – FQDN) mô tả mối quan hệ chính xác của máy tính và miền của nó. DNS sẽ sử dụng FQDN để dịch tên máy thành một địa chỉ IP. Dữ liệu tên-địa chỉ IP được đặt trong vùng. Thông tin này được lưu trữ trong một tập tin vùng trên máy chủ DNS. Để dịch tên thành một địa chỉ IP thì nó sẽ sử dụng truy vấn tìm kiếm chuyển tiếp. Khi truy vấn chuyển tiếp được gửi đến máy khách, nếu máy chủ DNS cục bộ không được cấp quyền để được truy vấn thì máy chủ DNS cục bộ sẽ chuyển nó đến máy chủ DNS giữ vùng chủ. Hướng dẫn việc đánh tên miền Trong khi tạo không gian tên miền nên thực hiện các hướng dẫn và thoả thuận đánh tên chuẩn sau đây: Số lượng các mức của miền nên được giới hạn, bởi vì nếu tăng các mức thì sẽ tăng các tác vụ quản trị. Nên sử dụng tên đơn giản và duy nhất. Tên miền con nên là duy nhất trong miền cha do đó tên đó sẽ là duy nhất trong toàn bộ không gian DNS. Các tên miền không nên dài. Chúng có thể sử dụng 63 kí tự . Độ dài của FQDN không vượt quá 255 ký tự. Các tên miền không phân biệt hoa - thường. Nên sử dụng các ký tự Unicode và DNS chuẩn. Sử dụng các ký tự unicode chỉ khi tất cả các máy chủ chạy DNS hỗ trợ unicode.

2. Vùng
Không gian tên miền có thể được chia thành nhiều phân đoạn nhỏ. Điều này giúp chúng phân tán các tác vụ quản trị không gian tên miền cho các nhóm khác nhau. Những phân đoạn này được gọi là các Vùng (zone). Các nhóm khác nhau có thể quản trị mỗi vùng riêng biệt. Vùng phải chứa không gian tên miền kề nhau.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 38 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Có ba kiểu vùng sau: Vùng chính tiêu chuẩn: Kiểu vùng này giữ một bản sao chủ của tập tin cơ sở dữ liệu vùng. Cơ sở dữ liệu vùng được lưu trong tập tin văn bản. Tập tin này được lưu trên máy tính tạo vùng đó. Vùng phụ tiêu chuẩn: Kiểu vùng này giữ một phần nhân bản của tập tin cơ sở dữ liệu vùng chủ. Cơ sở dữ liệu vùng được lưu vào một tập tin văn bản đặt ở chế độ chỉ đọc. Vùng phụ cung cấp tính chịu lỗi (fault tolerance) và cân bằng tải (load balacing). Vùng thư mục hoạt động Tích hợp: Kiểu vùng này lưu bản sao của tập tin cơ sở dữ liệu vùng trong Thư mục hoạt động (Active Directory). Những chuyển giao vùng được thực hiện suốt quá trình nhân bản thư mục hoạt động

3. Máy chủ Tên
Mọi vùng miền đều giữ một tập tin cơ sở dữ liệu của chính nó. Máy chủ tên DNS là các máy chủ lưu những tập tin cơ sở dữ liệu này. Một máy chủ tên có thể lưu một tập tin cơ sở dữ liệu của vùng một vùng đơn hoặc vùng phức. Một vùng cũng có thể có nhiều máy chủ. Trong trường hợp này, một máy chủ lưu tập tin cơ sở dữ liệu vùng chủ. Tập tin cơ sở dữ liệu này được gọi là tập tin cơ sở dữ liệu chính. Các máy chủ tên khác lưu một bản lưu của tập tin cơ sở dữ liệu vùng chính. Tập tin cơ sở dữ liệu lưu được gọi là tập tin cơ sở dữ liệu phụ. Bất kỳ có sự thay đổi nào trong vùng đều được phân ánh lên tập tin cơ sở dữ liệu vùng chính. Một thuận lợi của việc có nhiều máy chủ tên là trong trường hợp máy chủ tên chứa tập tin cơ sở dữ liệu chính bị lỗi thì các máy chủ tên khác có thể tiếp tục cung cấp truy xuất đến cơ sở dữ liệu. Nhiều máy chủ tên cũng giảm được tải trên máy chủ tên chứa tập tin cơ sở dữ liệu chính bằng cách phân tán yêu cầu dịch vụ tên đến tất cả các máy chủ đó.

4. Giải pháp đổi tên (Name Resolution)
Tiến trình dịch tên máy thành địa chỉ IP tương ứng được gọi là Dịch Tên.Ví dụ khi chúng ta truy cập vào website www.microsoft.com. Địa chỉ website này sẽ được DNS dịch và cung cấp địa chỉ IP tương ứng để định vị máy tính trên mạng. Máy chủ tên trong vùng có trách nhiệm dịch tên này bởi vì nó lưu trữ ánh xa tên - địa chỉ IP. Một máy chủ

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 39 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
tên chỉ có thể xử lý truy vấn dịch tên cho vùng mà nó được cấp quyền trên đó. Máy chủ tên lưu lại kết quả của việc dịch tên để giảm tải trên máy chủ DNS. Các máy chủ tên có thể thực hiện truy vấn tìm kiếm chuyển tiếp hoặc truy vấn tìm kiếm đảo.

Root Name Server Local Name Server Com Name Server Microsoft Name www.microsoft.com Clien The web

Truy vấn Tìm Kiếm Chuyển Tiếp (Forward Lookup Query): Một truy vấn tìm kiếm chuyển tiếp dịch một tên để có được địa chỉ IP liên quan. Hình trên minh hoạ cho tiến trình này. Máy khách gửi một yêu cầu đến địa chỉ www.microsoft.com đến máy chủ tên địa phương. Máy chủ tên địa phương đầu tiên sẽ kiểm tra trong tập tin cơ sở dữ liệu vùng mà nó đang giữ. Nếu không tìm thấy ánh xạ tên - địa chỉ IP theo yêu cầu nó sẽ chuyển truy vấn đó đến một máy chủ tên gốc. Máy chủ tên gốc kiểm tra ánh xạ đó trong tập tin cơ sở dữ liệu vùng và gửi một tham chiếu máy chủ tên Com. Sau đó máy trình tên truy vấn máy chủ tên Com để dịch tên. Máy chủ tên Com trả về một tham chiếu máy chủ tên Microsoft. Sau đó Máy chủ tên cục bộ sẽ chuyển truy vấn đến máy chủ tên Microsoft và nó trả về địa chỉ IP của www.microsoft.com

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 40 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Máy chủ tên cục bộ sau đó sẽ chuyển địa chỉ IP này cho máy khách để dùng nó truy cập đến www.microsoft.com. Truy vấn Tìm Kiếm Đảo (Reverse Lookup Query): Tiến trình này dịch một địa chỉ IP thành tên tương ứng. Điều này được thực hiện thông qua miền inaddr.arpa. Cơ sở dữ liệu phân tán của DNS được lập chỉ mục theo cột tên do đó việc tìm kiếm dựa trên tên sẽ dễ dàng hơn. Tuy nhiên việc tìm dựa trên địa chỉ IP cũng có thể được nhưng rất tốn thời gian. Lý do là tất cả các bản ghi đều được tìm kiếm hết để cho kết quả. Để cung cấp một phương thức dễ dàng, in-addr.arpa đã được ra đời. In-addr.arpa là một miền cấp hai. Miền này có cùng hệ thống phân cấp như các không gian tên miền khác. Lược đồ đánh tên cũng tương tự. Điều khác biệt duy nhất đó là cơ sở dữ liệu được lập chỉ mục theo địa chỉ IP chứ không phải tên. Một số chú ý với miền in-addr.arpa: Tên của các miền con dựa cơ sở trên địa chỉ IP Các octet địa chỉ IP được lưu theo thứ tự ngược lại. Việc quản trị của các miền con được thực hiện dựa trên cơ sở của các địa chỉ IP và địa chỉ mạng con.

5. DNS Động (Dynamic DNS)
Trước đây, việc bổ xung, xoá và thay đổi cơ sở dữ liệu vùng được thực hiện thủ công. Nhưng với sự ra đời của giao thức cập nhật DNS động nhưng việc này đều được thực hiện tự động. Giao thức này được dùng với DHCP. Dịch vụ DHCP là dịch vụ cấp địa chỉ IP cho máy khách tự động vì vậy giảm tác vụ quản trị cấp địa chỉ IP đến các máy cá nhân đơn lẻ. Ngay khi máy khách nhận được một địa chỉ IP nó sẽ cập nhật bản ghi tài nguyên (host)A. Tại thời điểm đó dịch vụ DHCP cập nhật bản ghi PTR.

6. Cài đặt và cấu hình DNS
Có hai cách cài đặt DNS, thứ nhất là chúng ta cài đặt DNS tự động cùng với quá trình lên domain, thứ hai là cài đặt bằng tay theo các bước như sau: Start\Setting\Control Panel\Add and Remove Program\Add and Remove Windows Components\Networking Services\ chọn Detail, sau đó đánh dấu chọn vào mục Domain name system(DNS). Ở đây em đã cài đặt tự động DNS trong quá trình lên domain do đó

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 41 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
DNS đã được cài sẵn. Để mở và cấu hình DNS chúng ta mở theo đường dẫn: Start\Program\Administrative tool\DNS hoặc ở cửa sổ run đánh lệnh dnsmgmt.msc. Khi đó cửa sổ chính DNS hiện ra, ở cửa sổ này có 3 mục chính như sau: Forword lookup zones, Reserve lookup zones và Event Viewer.

Forward lookup zones: Vùng tìm kiếm thuận, trong vùng này chứa miền chính của domain, trong vùng chính này chứa các bản ghi host(A) gồm tên máy và địa chỉ IP của máy chủ DC và các máy trạm đã join vào domain. Vùng này các thiệt lập mặc định đã có sẵn khi chúng ta tích hợp DNS trong quá trình lên domain.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 42 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Reverse lookup zones: Vùng tìm kiếm đảo, vùng này chứa các bản ghi Pointer(PRT) của các NetworkID do người quản trị thiết đặt. Để DNS phân giải được từ địa chỉ IP ra tên máy ta phải cấu hình Reserve lookup zones.

Chuột phải vào Reserver lookup zones chọn New zones, hiện ra của sổ wizard ấn next, next đến cửa sổ zones type có 3 lựa chọn:

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 43 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Primarty zone: Tạo một zones chính Secondary zone: Tạo zone thứ hai, tạo một zone thứ hai dự phòng cho một zone primary đã có sẵn trong DNS Sub zone: Tạo một zone con trong một zone đã sẵn. Đánh dấu tích vào mục Store the zone in Active Directory để lưu trữ những zone vào cơ sở dữ liệu của Active Directory. Ở đây em chọn primary zone vì đây là máy chủ DNS đầu tiên và cũng là vùng truy vấn đảo đầu tiên. Next đến bước tiếp theo

Ở bước này cũng có 3 mục chọn, em chọn mục thứ 3 để lưu toàn bộ dữ liệu về zone này trên Active Directory của Domain controller. Next để đến bước tiếp theo.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 44 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Bước này là đặt Network ID cho truy vấn đảo, chỉ lớp NetID nào được đặt ở đây thì mới có thể truy vấn đảo và thông thường thì NetID này trùng với NetID của truy vấn thuận và trùng với NetID Interface của máy chủ miền. Ở đây máy chủ có địa chỉ IP ở lớp A nên NetID của zone em cũng đặt là lớp A. Next để đến bước tiếp theo.

Đây là bước tuỳ chọn cập nhật tự động của DNS với các vùng, em lựa chọn mục thứ nhất để chỉ cập nhật tự động an toàn. Next rồi ấn finish để kết thúc quá trình cấu hình Reserve lookup zones. Event Viewer: Chứa các nhật kí về DNS, gồm các thông tin về DNS, các cảnh báo của hệ thống với người dùng về DNS và các lỗi của DNS.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 45 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Toàn bộ nhật kí về DNS sẽ được ghi lại ở đây. Chúng ta có thể tuỳ chọn là chỉ ghi lại những sự kiện nào. Nhưng theo khuyến cáo thì chúng ta nên để ghi lại toàn bộ các sự kiện về DNS để sau này DNS bị lỗi còn có thể xem lại. Event này có thể xoá đi bởi người quản trị hệ thống trên server (DC) và được lưu lại dưới dạng file *.evt. Sau này có thể import những file đã lưu này vào Event Viewer xem lại. Nhưng những người quản trị hệ thống từ xa thông qua các snap-in thì chỉ có thể lưu lại dưới dạng *.txt mà thôi và không thể import vào event viewer được. Để kiểm tra DNS hoạt động chưa chúng ta làm như sau: ở của sổ run đánh lệnh nslookup, hiện ra cửa sổ nslookup. Chúng ta đánh địa chỉ muốn truy vấn vào hoặc tên máy vào, nếu trả lại name và address của máy muốn truy vấn thì DNS đã hoạt động, còn nếu một trong hai cái đó không trả lại được tên và địa chỉ thì DNS chưa hoạt động đúng.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 46 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
III – DỊCH VỤ DHCP (Dynamic Host Configuration Protocol)

1. Giới thiệu về dịch vụ DHCP
Quy mô mạng, việc quản lý và gán địa chỉ IP cho máy khách sẽ tiêu tốn nhiều công sức và thời gian. DHCP tự động gán địa chỉ IP và sẽ đảm bảo việc quản lý các địa chỉ IP này. DHCP sử dụng một tiến trình tạo địa chỉ cho mướn để gán địa chỉ IP cho các máy tính khách chỉ trong một khoảng thời gian xác định. Do DHCP là một tiến trình cung cấp IP động nên các máy khách sẽ cập nhật hoặc làm mới các địa xin cấp của chúng tại các khoảng thời gian đều đặn. TCP/IP có thể được cấu hình tự động hoặc thủ công. Việc cấu hình tự động TCP/IP được thực hiện bằng cách sử dụng DHCP.

2. Quá trình cấp phát động của dịch vụ DHCP
Khi máy khách DHCP thực hiện, nó sẽ gửi yêu cầu xin cấp địa chỉ IP đến máy chủ DHCP. Máy chủ nhận yêu cầu này sẽ chọn một địa chỉ IP từ khoảng địa chỉ đã được định nghĩa trước trong cơ sở dữ liệu địa chỉ IP để cấp phát. Nếu máy khách chấp nhận địa chỉ mà máy chủ cung cấp thì máy chủ sẽ cung cấp cho máy khách địa chỉ IP đó chỉ trong một khoảng thời gian giới hạn (tối đa là 8 ngày). Thông tin này có thể bao gồm một địa chỉ, một mặt nạ mạng con (subnet mask), địa chỉ IP của các máy chủ DNS, được cổng nối (gateway) mặc định và một địa IP của máy chủ WINS. Tiến trình cấp địa chỉ IP của DHCP được thực hiện theo tiến trình 4 bước: yêu cầu xin cấp IP, chấp nhận cấp IP, chọn lựa cung cấp IP, và xác nhận việc cấp IP. 2.1 Yêu cầu cấp IP (IP Lease Request): Mỗi khi một máy khách khởi động hoặc kích hoạt TCP/IP hoặc khi DNS thay mới địa chỉ IP đã được cấp của họ thì tiến trình xin cấp TCP/IP sẽ được khởi động. Máy khách truyền đi khắp mạng (broadcast) một thông điệp DHCPDISCOVER với mục đích để thu được địa chỉ IP. Máy khách sử dụng địa chỉ IP 0.0.0.0 như là địa chỉ nguồn vì không có địa chỉ IP nào được gắn lên thông điệp. Tương tự, máy khách cũng sử dụng địa chỉ IP 255.255.255.255 làm địa chỉ đích vì chính nó cũng không biết địa chỉ của máy chủ DHCP. Điều này để đảm bảo rằng thông điệp được phát đi rộng khắp trên toàn mạng. Thông điệp này chứa địa chỉ MAC (Media Access control - điều khiển truy xuất đường truyền), địa chỉ MAC chứa địa chỉ phần cứng của card mạng của máy khách.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 47 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
2.2 Chấp nhận cấp IP (IP Lease Offer): Máy chủ DHCP trả về máy khách một thông điệp DHCPOFFER trong cùng một phân đoạn mạng. Thông điệp này chứa địa chỉ phần cứng của máy khách, địa chỉ IP cung cấp, mặt nạ mạng con, thời gian hiệu lực của IP cho cấp phát, và định danh của máy chủ. Máy chủ DHCP dành ra địa chỉ IP này và không cấp cho các yêu cầu khác với cùng địa chỉ này. Máy khách sẽ chờ cấp IP trong 1 giây, nếu không có thông tin gì trả lời trong thời gian đó thì nó lại phát đi yêu cầu trong các khoảng thời gian 2, 4, 8 và 16 giây. Nếu máy khách vẫn không nhận được thông tin chấp nhận cung cấp, nó sẽ sử dụng các địa chỉ IP được lưu giữ trong một khoảng đã được đăng ký, từ 162.254.0.1 đến 162.254.255.254. Sau đó máy khách DHCP tiếp tục tìm kiếm máy chủ DHCP trong mỗi 5 phút. Khi tìm được máy chủ DHCP sẵn sàng thì máy khách sẽ nhận được các địa chỉ IP hợp lệ. 2.3 Chọn lựa cung cấp IP (IP Lease Selection): Máy DHCP khách sẽ báo nhận lời thông điệp cấp IP bằng cách phát đi một một thông điệp DHCPREQUEST. Thông điệp này chứa thông tin xác định máy chủ đã cấp IP động. Khi tất cả các máy chủ biết các thông tin máy chủ cấp thì các máy chủ còn lại sẽ lấy lại các thông báo cấp địa chỉ IP và sẽ sử dụng chúng cho các yêu cầu xin cấp phép IP khác. 2.4 Xác nhận cấp IP (IP Lease Acknowledgement): Máy chủ DHCP đã nhận thông điệp DHCPREQUEST từ các máy khách sẽ trả lời một thông điệp DHCPACK. Thông điệp này chứa thông tin cấu hình và sự cấp phát hiệu lực cho địa chỉ IP đó. TCP/IP sẽ khởi động cấu hình đã được cung cấp từ máy chủ DHCP đó. Sau đó, máy khách sẽ buộc giao thức TCP/IP với các dịch vụ mạng và với card mạng do đó nó cho phép máy khách có thể liên lạc trên toàn mạng.

3. Tiến trình thay mới (Lease Renewal Process)
Máy khách DHCP sẽ cố để thay mới IP đã được tiếp tục do đó nó có thể được thông tin cấu hình được cập nhật. Có hai kiểu tiến trình thay mới, chúng là: Thay mới tự động và Thay mới thủ công. 3.1 Thay mới Tự động

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 48 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Khi nửa thời gian sử dụng địa chỉ IP xin cấp hết thì máy DHCP khách sẽ tự động tìm cách thay mới bằng cách gửi một thông điệp DHCPREQUEST trực tiếp đến DHCP chủ đã cấp địa chỉ IP. Nếu DHCP chủ hiện đang sẵn sàng thì thời gian sử dụng IP sẽ được thay mới lại và một thông điệp DHCPACK sẽ được gửi theo vùng với thông tin được cập nhật đến DHCP khách. Nếu DHCP chủ không hiện hữu thì máy khách sẽ sử dụng các tham số cấu hình hiện thời cho đến khi thời gian xin cấp hết. Máy DHCP khách sẽ gửi lại thông điệp DHCPDISCOVER khi thời gian sử dụng lên đến 87.5%. Nếu trong khoảng thời gian này mà DHCP chủ trả lời một thông điệp DHCPOFFER thì máy khách sẽ thay mới thời gian sử dụng IP của nó và sẽ tiếp tục các hoạt động bình thường của nó. Khi thời gian sử dụng hết thì máy khách sẽ không tiếp tục sử dụng IP hiện thời. DHCP khách sẽ bắt đầu lại tiến trình xin cấp một địa chỉ IP mới. 3.2 Thay mới thủ công Địa chỉ IP được cấp có thể được thay thế mới bằng thông tin cấu hình DHCP với tác dụng ngay tức khắc. Có thể sử dụng câu lệnh Ipconfig với tham số /renew để thay mới thời gian sử dụng một cách thủ công. Câu lệnh này sẽ gửi thông điệp DHCPREQUEST đến DHCP chủ, và máy chủ DHCP sẽ cập nhật các tuỳ chọn cho cấu hình và sẽ thay mới thời gian sở hữu địa chỉ IP đã được cấp.

4. Phạm vi cấp phát
Khoảng địa chỉ IP có thể được cấp phát hoặc được gán cho các máy tính khách trên một mạng con được gọi là phạm vi(scope). Để xác định được nhóm địa chỉ IP được dùng để gán cho các DHCP khách, chúng ta có thể cấu hình pham vi đó trên máy chủ DHCP. Phạm vi cũng có thể được cấu hình bằng cách sử dụng các tham số bổ xung để cung cấp một số tuỳ chọn thêm vào cùng với việc cấp địa chỉ IP. Kiểu thông tin thay đổi này được gọi tên là tuỳ chọn phạm vi(scope option). Những tuỳ chọn này được áp dụng theo một trật tự nhất định, do đó chúng ta có thể dùng nó để gán nhiều mức quyền khác nhau. DHCP chủ cũng cung cấp một tuỳ chọn để giữ một địa chỉ IP đặc biệt cho một máy tính nào đó mà máy này luôn mạng địa chỉ IP nói trên mọi lúc. Điều này rất hữu dụng khi gán các địa chỉ IP cho các máy chủ DNS mà ở đó một sự thay đổi địa chỉ IP có thể gây ra sự hỗn loạn trong mạng.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 49 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
5. Cài đặt và cấu hình dịch vụ DHCP
5.1 Yêu cầu cài đặt Yêu cầu cài đặt cho DHCP server Theo mặc định, hệ điều hành Windows 2003 server có chứa các dịch vụ DHCP, do đó bất kỳ máy tính nào chạy trên hệ điều hành windows 2003 server có thể hoạt động như một DHCP chủ. Các máy tính hoạt động như DHCP chủ yêu cầu có: Dịch vụ DHCP phải được cài đặt Một mặt nạ mạng con, một địa chỉ IP tĩnh, một cổng kết nối mặc định và các tham số TCP/IP khác. Các địa chỉ IP có thể được cấp hoặc gán cho các máy khách. Yêu cầu cho DHCP máy khách Các máy khách nên sử dụng các địa chỉ IP được cấp tự động từ các DHCP chủ. Các máy tính cài các hệ điều hành sau mới có thể hoạt động như DHCP khách: Windows XP Professional Windows 2000 server hoặc Professional Windows NT Server 3.5 hoặc lớn hơn Windows 95 hoặc windows 98 Windows for Workgroup phiên bản 3.11 có TCP/IP-32 Microsoft MS-DOS có Microsoft Network Client 3.0 LAN Manager phiên bản 2.2c Một số hệ điều hành khác không phải của Microsoft. 5.2 Cài đặt dịch vụ DHCP Để cài đặt dịch vụ DHCP trên máy chủ ta làm theo các bước sau: Start\ Setting\Control pannel\Add and remove program\Add and remove windows components\Networking services\ click vào nút detail và đánh dấu chọn vào mục chọn Dynamic Host Configuration Protocol (DHCP) rồi ấn OK.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 50 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Sau khi DHCP đã cài đặt xong, từ cửa sổ run chúng ta đánh lệnh dhcpmgmt.msc hoặc tìm đến đường dẫn: Start\Program\Administrator tool\DHCP để mở chương trình DHCP lên 5.3 Cấu hình dịch vụ DHCP Chúng ta sẽ tạo một phạm vi(scope) dùng để cấp phát cho các máy khách trong mạng. Chuột phải vào tên máy chủ DHCP chọn New scope, next sẽ hiện ra cửa sổ cấu hình wizard, chúng ta có các lựa chọn như sau:

Name: Tên của phạm vi(scope) Description: Mô tả tuỳ ý về phạm vi đang tạo. Next

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 51 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Start IP address: Địa chỉ IP bắt đầu của khoảng địa chỉ IP mà DHCP có thể gán End IP address: Địa chỉ IP kết thúc của khoảng địa chỉ IP mà DHCP có thể gán Length or Subnetmask: Mặt nạ mạng con dùng để gán cho các DHCP khách. Mặt nạ mạng con có thể được cho dưới dạng độ dài bit hoặc mặt nạ mạng con thực sự. Next

Exclusion address range: Chỉ định khoảng địa chỉ mà chúng ta muốn loại bỏ khỏi pham vi đã tạo. Những địa chỉ IP này sẽ không được gán cho các DHCP khách. Lease Duration: Chỉ định thời gian dành cho mỗi địa chỉ IP sẽ được cấp cho máy khách. Next

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 52 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Đến đây có hai lựa chọn, chọn Yes để chúng ta cấu hình ngay trong khi tạo scope, chọn No để chúng ta cấu hình sau. Chọn yes và ấn next để tiếp tục.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 53 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Nhập vào địa chỉ của router hiện tại, đây chính là địa chỉ defaull gateway của router.

Lựa chọn tiếp theo là đánh tên đầy đủ của domain, tên DNS server, địa chỉ DNS server và các địa chỉ DNS khác mà máy tính có thể gửi truy vấn (thường là DNS của ISP). Ấn next và ấn finish để kết thúc quá trình tạo scope và cấu hình DHCP. Sau khi tạo scope và cấu hình scope đó ta được các thông tin trong scope đó như hình dưới đây.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 54 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Sau khi tạo phạm vi DHCP, chúng ta có thể cấu hình tuỳ chọn DHCP để có thể áp dụng cho các máy khách hoặc nhóm các máy khách. Các tuỳ chọn phạm vi có thể được cấu hình tại bốn mức sau: Máy chủ, Phạm vi, Lớp và các máy khách dành riêng. - Mức máy chủ: Các tuỳ chọn này có thể áp dụng được cho mọi DHCP khách. Nếu tất cả các máy khách trong cùng một mạng con yêu cầu cùng chung một cấu hình thì chúng ta có thể thay đổi máy chủ và cấu hình sẽ được áp dụng cho các máy khách này. Ví dụ như chúng ta muốn sử dụng chung một máy chủ DNS. Để thay đổi tùy chọn này trong DHCP chúng ta chuột phải vào mục Server Option của máy chủ đó rồi chọn Configure Option. - Mức phạm vi: Các tuỳ chọn này chỉ có thể áp dụng cho các máy khách nhận địa chỉ IP từ phạm vi đã được cấu hình. Những tuỳ chọn mà chúng ta cấu hình ở mức phạm vi sẽ có độ ưu tiên cao hơn ở mức máy chủ. Để cấu hình các tuỳ chọn này với mức phạm vi trong DHCP chúng ta chuột phải vào Scope Option của máy tính được cấu hình và chọn mục Configure Option. - Mức lớp: Các máy khách xác định chính chúng với một địa chỉ IP đặc biệt được cấu hình ở mức lớp. Các tuỳ chọn ở mức lớp sẽ có độ ưu tiên hơn các hơn các tuỳ chọn ở mức phạm vi. Để thay đổi các tuỳ chọn ở mức lớp chúng ta vào hộp thoại Server Option hoặc Scope Option và chọn mục Available Option từ mục Advanced.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 55 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
- Mức máy con dành riêng: Chỉ có một số máy khách xác định mới được cấu hình sử dụng tuỳ chọn này. Các tuỳ chọn được thiết lập ở mức này có độ ưu tiên hơn bất cứ các tuỳ chon ở mức nào. Ví vụ chúng ta muốn máy của Phòng Giám Đốc mỗi khi khởi động lên chỉ nhận được một địa chỉ IP duy nhất và địa chỉ IP không thay đổi ở các lần khởi động lần sau. Để thay đổi các tuỳ chọn này thì phạm vi chứa địa chỉ máy con này nên được mở rộng. Chuột phải vào mục Reservation chọn New Reservation.

Mục Name đánh tên máy muốn cấp riêng IP Ip address: đánh địa chỉ IP chỉ cấp cho máy đó. MAC address: địa chỉ MAC của máy đó, để cấp chính xác cho máy đó một địa chỉ xác định thì DHCP phải dựa vào địa chỉ MAC để cấp. Khi nhận được một địa chỉ MAC đã khai báo trong đây thì dịch vụ DHCP sẽ cấp cho địa chỉ MAC đó một địa chỉ IP đã được đặt trước. Do đó chúng ta phải cung cấp đúng địa chỉ MAC của máy muốn cấp IP riêng. 5.4 Chứng thức DHCP Sau khi hoàn tất việc cài đạt và cấu hình dịch vụ DHCP trên máy chủ thì việc quan trọng tiếp theo là chúng ta phải cấp quyền cho máy chủ hay chứng thực cho máy chủ DHCP đó. Việc chứng thực là một tiến trình cung cấp sự an toàn chống lại các máy chủ DHCP chưa được chứng thực trong mạng. Để chứng thực DHCP chúng ta chọn miền từ DHCP snap-in và chọn mục Authorize từ trình đơn Action.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 56 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

IV – CÁC LOẠI USER ACCOUNT TRONG WINDOWS 2003

1. Giới thiệu các loại user account
Người sử dụng cần truy cập các tài nguyên khác nhau trên máy tính bất kì trong mạng. User acconut được tạo ra để xác nhận người sử dụng và cấp cho họ các thao tác với các tài nguyên trên mạng mà họ có quyền. Một user account chứa các user name và password cho phép user có thể đăng nhập vào một domain hay hay một máy tính từ xa bất kì nào. Bất cứ người sử dụng mạng thông thường nào nên có một user account. Windows 2003 server hỗ trợ ba loại user account: Local User Account, Domain User Account và Built-in User Account. 1.1 Local User Account (User Account cục bộ) Với một user account cục bộ, người dùng chỉ có thể đăng nhập vào máy xác định, nơi mà user account đó được tạo ra. User chỉ có thể truy cập được những tài nguyên có trên máy tính đó. Một local user account được tạo ra trong từng cơ sở dữ liệu bảo mật của từng máy cục bộ. 1.2 Domain User Account (User account trong domain) Với Domain user account, người sử dụng có thể đăng nhập vào một domain và có thể truy cập nhiều tài nguyên có mặt tại bất kì nơi nào trên mạng. Một thẻ truy cậo được tạo ra mà xác nhận người dùng sử dụng và các thiết lập bảo mật của user này khi người sử

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 57 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
dụng cung cấp thông tin đăng nhập(username và password). Thẻ truy cập được cung cấp bởi windows 2003 server sẽ tồn tại lần cuối cùng cho đến khi người sử dụng đăng nhập(logon) và mất đi khi người sử dụng huỷ đăng nhập(log-off). User account trong trường hợp này sẽ được lưu trong cơ sở dữ liệu của Active Directory. User account này sẽ được nhân bản đến các Domain controller khác trong domain bởi user account được tạo ra trên domain controller. Sự nhân bản này sẽ mất một chút thời gian, vì thế sẽ không thể xử lý ngay lập tức các tài nguyên trên mạng thông qua các user account mới tạo và thời gian nhân bản thông thường của một Active Directory trong một site thường là 5 phút. 1.3 Built-in User Account(User Account tạo sẵn) Built-in Account được tạo tự động bởi windows server 2003 và được sử dụng bởi những người sử dụng thực hiện những tác vụ quản trị hoặc những thao tác mạng trên một cơ sở dữ liệu tạm thời(temporary basic). Có hai loại Built-in User account là: Administrator account và Guest account. Hai loại account này không thể xoá. Administrator Account: Built-in Administrator account có thể được sử dụng để quản lý các máy tính và cấu hình trong domain. Sự quản lý bao gồm các tác vụ như tạo, sửa các group và các user account, các printer và quản lý các chính sách bảo mật. Nên tạo ra một user account mới có các nhiệm vụ không phải quản trị hệ thống( non-administrative task) nếu chúng ta có một Administrator, vì administrator account nên được giới hạn sử dụng cho các tác vụ quản trị. Để cấm các user không có quyền đăng nhập vào hệ thống của chúng ta, một giải pháp thực tế là đổi tên built-in administrator account sao cho không giống như một administrator account. Chúng ta cũng có thể đánh lừa người sử dụng bằng cách tạo ra một user account có tên là administrator account nhưng không gán cho một quyền nào với user account này. Guest Account: Thỉnh thoảng các user được chúng ta cung cấp một guest account để họ có thể đăng nhập tạm thời và các tài nguyên trên mạng. Theo mặc định thì guest account bị disable. Chúng ta có thể cho phép account này trên một mạng bảo mật thấp và gán cho nó một password.

2. Các quy tắc và yêu cầu khi tạo User Account mới

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 58 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Trong khi tạo các user account chúng ta nên cẩn thận lập kế hoạch và tổ chức tất cả các thông in về user trước khi bắt tay vào thực hiện. Để đạt được những điều này chúng ta nên tự làm quen với các quy ước và chỉ dẫn. Theo những quy ước và chỉ dẫn này giúp chúng ta dễ dàng hơn trong việc quản lý các user account sau khi tạo chúng. Kế hoạch được thực hiện với sự trợ giúp của ba nguyên tắc cơ bản quan trọng sau: Naming Conventions (Quy tắc đặt tên), Password Guidelines (Chỉ dẫn mât khẩu) và Account Option (tuỳ chọn account). 2.1 Quy tắc đặt tên User Account. Các quy tắc đặt tên sẽ xác định cách mà user sẽ được biết đến trong một domain. Chúng ta nên đặt tên theo các quy tắc đang tồn tại. Các điểm sau đây nên được chú ý khi chỉ định quy tắc đặt tên cho tổ chức của chúng ta: Chúng ta nên gán một tên duy nhất cho các domain user account và nó nên được lưu trong Active Directory. Với người sử dụng cục bộ tên account là tên duy nhất trong một nơi mà các user account cục bộ được tạo. User account có thể nên đến 20 kí tự chữ thường hoặc chữ hoa và các kí tự sau đây không được sử dụng để đặt tên cho User account: “/ \ [ ] ; | = , + * ? < >”. Các tên này không phân biệt hoa thường. Một sự pha trộn đặt biệt của các kí tự số có thể làm đơn giản sự định danh các user names. Với một tổ chức lớn với một số lượng lớn các user, quy tắc đặt tên giữ cho tên khỏi bị trùng lặp. Một điều quan trọng là biết được các user tạm thời trong tổ chức của chúng ta để có thể dễ dàng xoá các tên đăng nhập của họ khi ra khỏi tổ chức của chúng ta. Trong trường hợp này, việc đầu tiên sẽ là định danh các nhân viên tạm thời và thêm một kí tự “T”(temporary) và một kí tự “-“ vào tên đăng nhập của user đó. 2.2 Yêu cầu mật khẩu Bất kì một user account nào cũng phải chứa một password phức tạp để bảo vệ thao tác trên một máy tính hoặc một domain và vì thế giúp chống các cuộc đăng nhập không cho phép vào máy tính hay domain của chúng ta. Các điểm sau đây nên được chú ý khi xác định quy uớc đặt tên cho một tổ chức của chúng ta:

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 59 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Luôn luôn được khuyến cáo gán mật khẩu cho Administrator account để tránh các tiếp nhận không cho phép của account. Gán password khó đoán cho tài khoản administrator. Chúng ta nên tránh đặt password liên quan rõ ràng đến ngày sinh, các thành viên trong gia đình hoặc bạn bè thân. Password nên chứa các kí tự thường, chữ hoa, các kí tự số và các kí tự đặt biệt hợp lệ khác(non-alphanumeric) Chúng ta nên xác nhận xem administrator hay user có quyền điều khiển password. Thông thường là để quyền điều khiển password cho user. Các user phải được phép gõ vào hoặc thay đổi các password trong lần đầu tiên đăng nhập. Administrator có thể cho một password duy nhất đến user account và users có thể ngăn cản sự thay đổi password. 2.3 Các tuỳ chọn account Các administrator nên theo dõi giờ đăng nhập của user và máy tính nơi họ đăng nhập vào. Giờ kết thúc (logon hours) của một account tạm thời nên được biết trước. Điều này đảm bảo sự bảo mật đúng đắn và sự duy trì của mạng. Các tuỳ chon của account bao gồm: Logon hours: Chúng ta có thể đặt logon hours cho user tuỳ thuộc vào khả năng xử lý của user. Theo cách này chúng ta có thể giới hạn thời gian đăng nhập của user từ ngày đến đêm. Xử lý mặc định của windows 2003 cho user là 24 tiếng mỗi ngày. Bằng cách đặt logon hours chúng ta có thể rút ngắn thời lượng mà các unauthorized user (user không được phép) có thể xử lý thông tin thông qua account này. Setting Computer for User Log On: Chúng ta nên xách định xem máy tính mà user sẽ đăng nhập vào. Các user có thể đăng nhập vào domain từ bất kì máy tín nào theo mặc định của domain. Vì lý do bảo mật chúng ta có thể giới hạn cho các user phải đăng nhập vào domain từ các máy tính đơn của họ sở hữu. Có thể là không giới hạn user đăng nhập vào bất kì máy tính nào trên mạng trong truờng hợp NetBIOS trên TCP/IP bị disable.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 60 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Account Expiration: Chúng ta nên xác định xem khi nào thì các user xác định phải hết hạn sử dụng. Nếu chúng ta quyết định không tiếp tục một account từ một ngày xác định thì chúng ta đặt ngày hết hạn (expiration date) cho user account đó. Đến sát ngày hết hạn chúng ta sẽ thấy account bị bisable sau ngày hết hạn đó. User account cho nhân viên tạm thời nên hết hạn cùng ngày với ngày hết hạn hợp đồng của họ với công ty.

3. Tạo các Local user Account
Một user account cục bộ là một account mà user có thể đăng nhập vào và xử lý các tài nguyên được hỗ trợ bởi máy tính đơn đó. Chúng ta có thể tạo ra một user account cục bộ bằng cách dùng console Computer Management. Một User account cục bộ chỉ được dùng trong trường hợp môi trường mạng nhỏ, ví dụ nó có thể là một workgroup đơn giản hay một máy tính stand-alone không được cấu hình trong mạng. Tránh tạo ra các user cục bộ trên các máy tính trong domain vì domain nên được thừa nhận user cục bộ. Điều này giới hạn các user nhận bất cứ tài nguyên nào trên domain, nhưng tài nguyên trên máy tính cục bộ thì truy cập được. Các user account cục bộ có ít số lượng các thuộc tính hơn các domain user account.

4. Tạo các Domain User Account
Domain User Account có thể được sử dụng để đăng nhập vào domain và vì thế nhận được các xử lý đến các tài nguyên được lưu trữ ở bất kì nơi đâu trong mạng. Một domain user account được tạo với sự trợ giúp của Domain Controller. Administration Tools lưu trữ trong domain controller, được cung cấp trong windows server 2003 giúp chúng ta tạo ra và quản trị domain user account. Quản lý từ xa của domain và user account cũng được cung cấp bằng cài đặt Windows XP Professional Administration Tools trên máy tính chạy Windows XP Professional. Chúng ta nên dùng Active Directory Users and Computers để tạo các domain user account. Chúng ta có thể dùng các thiết đặt cho password để tạo ra một home folder và vị trí trung tâm lưu trữ dữ liệu.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 61 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

4.1 Các tuỳ chọn khi khởi tạo Domain User Account Một domain user account được tạo ra trong một domain controller mà từ đó nó được tự động copy tất cả đến các domain controller khác trong mạng. Chúng ta nên tạo account trong mục user mặc định hoặc trong một số folder khác nơi mà các domain user account khác tồn tại.

First Name: Tên của User Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user. Last name: Họ của User Full name: Tên đầy đủ của user. Nó nên là duy nhất trong thư mục account. Windows server 2003 có khả năng điền thông tin này sau khi tên và họ của user đã được nhập vào.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 62 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
User logon name: Tuỳ chọn này nên là logon name duy nhất dựa theo các quy tắc đặt tên và phải là duy nhất trong thư mục. User logon name(pre-windows 2000): Logon name duy nhất của user để đăng nhập từ phiên bản trước windows 2000 của Microsoft. Cái này là duy nhất trong domain và là phần tử bắt buộc. 4.2 Các thiết lập cho password Chúng ta có thể thêm một password khi đang thêm một user account mới trong domain. Dưới đây là các tuỳ chọn cho password được gán password khi đang tạo một user mới.

Password: Đây là password được dùng trong khi xác nhận user và được hiển thị dưới dạng cac dấu hoa thị. Confirm password: Xác định lại mật khẩu đã nhập ở trên User Must Change password at next logon: Để cho phép user thay đổi password trong lần đăng nhập lần đầu tiên. User cannot change password: User không thể thay đổi password. Tuỳ chọn này được chọn đối với nơi có nhiều hơn một user sử dụng cùng user account hoặc khi administrator muốn điều khiển password. Password never expires: Chọn tuỳ chọn này nếu password không bao giờ thay đổi. Tuỳ chọn này sẽ ghi đè thiết lập User must change password at next logon.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 63 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Vì thế nếu cả hai tuỳ chọn này được chọn thì windows 2003 sẽ tự động chỉ chọn tuỳ chọn password never expires Account Dissable: Với tuỳ chọn này chúng ta có thể dừng sử dụng của user account này. 4.3 Thay đổi thuộc tính của User account Tất cả các account đều có một tập các thuộc tính. Các domain user account đương nhiên là có nhiều thuộc tính hơn các local user account. Các thuộc tính của local user account là tập con của các thuộc tính trong domain user account. Các thuộc tính được sử dụng để tìm kiếm bất kì user nào trong Active Directory. Mỗi domain nên được cấu hình với những thuộc tính bắt buộc sau đây:

Các thuộc tính các nhân sẽ có: thuộc tính chung (general), điện thoại (telephones), tổ chức (organizational). Thuộc tính giờ Logon (Logon hours) Thuộc tính Logon to

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 64 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Các thuộc tính Account. Để chỉnh sửa các thuộc tính của một domain user account, mở Active Directory Users and Computer. Nhấp đúp chuột lên đối tượng mà user mà chúng ta muốn thay đổi thuộc tính của nó. Trường hợp local user account, mở snap-in Computer management và từ đó chọn Local Users and Groups: Sau đó nhấp đúp lên đối tượng user mà chúng ta muốn thay đổi thuộc tính của nó. Hộp thoại thuộc tính chứa tập các tab cho phép user thay đổi và thiết lập các thuộc tính khách nhau. Các thuộc tính được thiết lập cho dưới đây là dùng cho domain user account và chỉ cho 4 tab thuộc tính từ domain user account bổ xung cho local user account. Các thuộc tính đó bao gồm: Dial-in, General, Member Of và Profile. Chi tiết các các tab thuộc tính này gồm: General: Tab này sẽ được cung cấp thông tin về tên của user, mô tả, điện thoại, email user name, địa chỉ văn phòng và home page(trang chủ). Address: Tab này sẽ cung cấp các địa chỉ đường, thành phố, hộp thư, bang hay mã vùng(zip code) và nước(country) của user. Account: Tab này sẽ cho phép định nghĩa logon name của user và cũng thiết đặt thêm các tuỳ chọn như Logon Hours và Log on to. Những tuỳ chọn này đã được đặt trong suốt quá trình tạo đối tượng user trong cơ sở dữ liệu Active Directory và có thể được thay đổi ở đây. Profile: Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũng duy trì toàn bộ môi trường làm việc của user. Một đường dẫn mạng cũng có thể được thiết lập để nhận các truy cập các tài nguyên mạng và bổ xung kịch bản đăng nhập và home folder có thể được gán bởi tuỳ chọn này. Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile, pager (số máy tin nhắn) và IP phone của user. Chúng ta cũng có thể thêm các ghi chú ở đây. Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty, tên công ty hay tổ chức, các thông tin về user và báo các trực tiếp của user. Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó user này thuộc về.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 65 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Dial-In: Tùy chọn này cho phép chúng ta điều khiển user tạo một kết nối dialin từ một nơi xa đến mạng. Điều này chỉ có thể thực hiện nếu user đang quay số tới một máy tính đang chạy Windows 2003 Remote access services(RAS). Có một số tuỳ để thiết lập cho bảo mật quay số như sau: Allow Access: Tự động xác định các thiết lập dial-in có được cho phép hay không. Deny Access: Sẽ xác định dial-in có bị từ chối hay không Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết nối. No Callback: Sẽ xác định RAS sẽ không gọi người user. Điều này cho phép user gọi từ bất kì số điện thoại nào. Nó được thiết kế cho môi trường bảo mật thấp. Set by caller: Sẽ xác định RAS sẽ đáp ứng đến user có được cung cấp nó với số điện thoại. Vì thông tin này sẽ có thể được ghi lại(logged) nên chúng ta có thể sử dụng có trên môi trường bảo mật trung bình. Always Callback To: Sẽ xác định rằng RAS sẽ đáp ứng lại với user tại số điện thoại đã được xác định. User nên cẩn thận để hiện diện tại cùng một thời điểm RAS kết nối đến. Tuỳ chọn này được dùng trong môi trường bảo mật cao. Environment: Để tạo môi trường client-working thì tab này phải được sử dụng. Nó xác định một hay nhiều ứng dụng khởi động và tất cả các thiết bị để kết nối khi user đăng nhập vào. Sessions: Tuỳ chọn này được sử dụng để giới hạn chiều dài của sessions (phiên), tuỳ thuộc vào session có active (kích hoạt), idle (nghỉ) hay disconnect (ngắt kết nối). Chúng ta cũng có thể quyết định những hành động nên được tiến hành trong trường hợp session đã tiến đến giới hạn thời gian. End A Disconnected Session: Chỉ định thời gian lớn nhất mà một session chưa kết nối còn cho phép được chạy. Một khi quá giới hạn thời gian thì session không thể tìm trở lại.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 66 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Active Session Limit: Xác định khoảng lớn nhất của session được kết nối. Một khi giới hạn thời gian tiến đến gần, session có thể khởi động lại hoặc ngắt kết nối rời khỏi session active trên server. Idle Session Limit: Xác định thời gian lớn nhất được cho trứoc khi session được khởi tạo lại hay ngắt kết nối. Nó sẽ bị ngắt kết nối sau khi hết thời gian của những hoạt động tại kết nối. Remote control: Sẽ xác định các thiết lập điều khiển từ xa của các dịch vụ Terminal. Bằng các thiết lập điều này chúng ta có thể tham gia giám sát session của client của bất kì máy tính nào đã đăng nhập vào Terminal Server.

V – USER PROFILE, HOME FOLDER VÀ DISK QUOTA 1. User Profile
Việc quản trị mạng user account bao hàm cả việc chỉnh sửa account, cài đặt user profile các home directory. Một user profile cho một user được tạo ra ngay khi người đó đăng nhập vào một máy tính lần đầu. Trong thư mục Documemts and Settings tất cả các thông tin có liên quan về thiết lập của người sử dụng đã xác định được lưu một cách tự động. User profile được tự động cập nhật mỗi khi user log off. Administrator có thể chỉ thay đổi các mandatory user profiles (các hồ sơ user có tính bắt buộc) User profile thực hiện theo những cách sau đây: Khi chúng ta đăng nhập vào một máy client chúng ta sẽ luôn nhận được các thiết đặt cá nhân của chúng ta mà một số user nào cũng được chia sẻ máy client đó không thích. Profile cục bộ Default User sẽ copy đến thư mục %Systemdriver%\Documents and settings mỗi khi chúng ta đăng nhập vào lần đầu. Nhiều file và thư mục được lưu trong thư mục user profile và windows 2003 tạo ra một thư mục My Documents trên desktop để dễ định vị các tài liệu cá nhân. Có thể thay đổi user profile bằng cách thay đổi các thiết lập desktop. 1.1 User Profile mặc định

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 67 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Một Default User Profile là một profile cơ bản, được sử dụng để xây dựng các profile cho user xác định. Một bản copy của Default user profile được sử dụng bởi bất cứ user nào khác khi đăng nhập vào từng máy chạy Windows server 2003 hay Windows XP. 1.2 User profile cục bộ Profile này được tạo ra lần đầu khi user đăng nhập vào máy tính và luôn được lưu trong một máy tính cục bộ. Bất cứ thay đổi nào được tạo ra với profile này đều xác định máy tính đơn đó và nó có thể có nhiều user profile cục bộ trên cùng một máy tính. 1.3 Roaming User Profile (User Profile không cố định) Các Roaming User Profile (RUP) có thể được tạo ra cho các user thao tác trên nhiều máy tính. RUP được thiết lập ở máy chủ của mạng nên user có thể kết nối từ bất cứ nơi nào trong domain. Vì vậy khi user đăng nhập vào mạng, windows 2003 sẽ copy tất cả các thông tin có liên quan về user profile từ mạng và copy các thiết lập cá nhân về desktop hay kết nối cho dù người đó kết nối từ bất cứ nơi đâu. Khi copy những file windows 2003 sẽ chỉ copy những file có thay đổi từ lần thay đổi cuối cùng, vì thế làm cho quá trình đăng nhập ngắn lại. Khi log off những thay đổi trong user profile được copy trở lại RUP của server. 1.4 Tạo Roaming Profile Một RUP được lưu trên server nên để việc truy cập có thể xảy ra khi user đăng nhập bất kỳ nơi nào trong mạng. Để thiết lập RUP được thực hiện nhưng bước sau đây: Cung cấp quyền điều khiển toàn phần (Full Control Permission) cho một thư mục được tạo trên server. Thư mục được chia sẻ nên được cung cấp đường dẫn. Trong vùng chi tiết của Active Directory Users and Computers nhấn phải chuột lên user account nơi mà chúng ta muốn tạo roaming profile. Nhấn Properties. Trong snap-in User Profile, nhấn tab Profile và gõ thông tin về đường dẫn, nơi sẽ xác định như thư mục được chia sẻ trong hộp Profile Path. Thông tin đường dẫn có thể như sau: \\server_name\share_folder_name\user_name

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 68 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Chỉ Administrator mới có thể thay đổi RUP. Phần thông tin của registry ứng dụng đến user account, được lưu trữ trong file Ntuser.dat 1.5 Mandatory User Profile Chúng ta có thể tuỳ biến RUP và đưa nó cho nhiều user để tất cả các user sẽ có cùng các thiết lập và kết nối. Nên tạo ra một mẫu User Profile chứa tất cả các thiết lập về Desktop. Sau khi tạo ra mẫu này chúng ta nên đăng nhập với tư cách Administrator và copy mẫu vào thư mục RUP ở trên server. Thư mục này phải có thể được xử lý đối với tất cả user và nên được gán cho nhóm user tạo sẵn trên domain. Sử dụng snap-in Active Directory Users and Computer chúng ta hoàn toàn có thể xử lý. Vì các thay đổi có tác dụng đối với tất cả user được gán đến thư mục đó nên Profile Manadatory này nên là read-only (chỉ đọc) bằng cách thay đổi phần mở rộng của file Ntuser từ .dat chuyển sang .man. Loại profile này được gọi là Mandatory User Profile. Administrator tạo ra các Mandatory User Profile và chỉ định các thay đổi cho User. Các thuộc tính có thể là local (cục bộ) hay Roaming (không cố định). Profile này không cho phép user lưu lại những thiết lập desktop hiện tại của họ. Vì thế khi user huỷ đăng nhập và đăng nhập vào trở lại thì những thiết lập desktop cuối cùng sẽ bị mất. Do đó có thể nói rằng madatory user profile là một RUP chỉ đọc.

1.6 Tạo User Profile loại Mandatory
Để tạo các user Profile loại manadatory, theo các bước sau: Tạo ra một thư mục được chia sẻ trên server. Tạo một thư mục profile bên trong một thư mục được chia sẻ để quản lý các profile. Các user nên được cho quyền Full control đối với thư mục Profile. Thiết lập một User Profile Roaming. Tạo một user mới trong snap-in Active Directory Users and Computers. Sau đó đặt đường dẫn cho User Profile và cấu hình Profile. Đặt lại tên file Ntuser.dat thành Ntuser.man để làm cho Profile chỉ đọc (Readonly) và vì thế Profile là Mandatory. Để đặt tên Mandatory Profile, đăng nhập với tư cách Administrator và mở Windows Explorer. Đặt lại tên Ntuser.dat trong thư mục Users Profile thành Ntuser.manager.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 69 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
1.7 Quản lý User profile Có thể thay đổi và chỉnh sửa các thuộc tính của user account. Những thay đổi sau đây là được phép đối với user account, những thay đổi này sẽ có tác dụng về mặt chức năng đối với user account: Enabling and Disabling User Account: Khi một user ra khỏi và không hiện diện trong văn phòng trong một khoảng thời gian dài thì chúng ta có thể disable user đó trong khoảng thời gian xác định và sau đó cho enable trở lại user đó khi họ quay về. Renaming the User Account: Sự thay đổi tên của một user account là có thể và cần thiết khi chúng ta muốn gán và cùng các thiết đặt quyền và cho phép cho các user khác nhau. Deleting User Account: Khi nhân viên hiện thời dời khỏi công ty thì chúng ta có thể xoá account của user đó. Điều này đảm bảo sự loại trừ của những account không sử dụng trong dịch vụ Active Directory. 1.8 Thiết lập lại password Chúng ta cần thiết lập lại password của User khi password của user bị hết hạn hoặc nếu user của chúng ta bị quên password. Chúng ta không cần biết password cũ khi chúng ta thiết lập lại password mới. Để thiết lập lại password chúng ta làm như sau: Mở snap-in Active Directory User and Computer và chọn user muốn thay đổi Chuột phải vào user chọn Reset Password từ menu ngữ cảnh Chọn tuỳ chọn User Must Change Password At Next Logon để cho phép user thay đổi password khi user đăng nhập lại

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 70 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

1.9 Bỏ khoá các User Account Khi một user vi phạm bất kì chính sách nào như vượt khỏi giới hạn group Windows 2003 sẽ khoá (lock out) user account đặc biệt đó và sẽ hiển thị thông báo lỗi. Để huỷ bỏ khoá các user account hãy theo các bước sau đây: Mở snap-in Active Directory User and Computer và chọn user muốn bỏ khoá Chuột phải vào User chọn properties Chọn tab Account và xoá tuỳ chọn The Account Is Locked Out và ấn OK

2.0 Home Folder
Windows 2003 cho phép các user có thể bỏ xung một Home Folder trong thư mục My Documents. Home Folder cho phép các user lưu trữ các tài liệu cá nhân. Home folder có thể được lưu trong máy client hoặc trong file server. Kích thước của Home folder là không ảnh hưởng đến hiệu suất mạng trong suốt quá trình đăng nhập vì Home folder không phải là một phần của RUP. Home Folder trên server có thể được coi như một ổ đĩa mạng khi người quản trị tạo một Home folder trên server cho các User. Người quản trị cũng có thể giới hạn ổ đĩa mạng này của User dùng trên server, điều này giảm được sự lãng phí dung lượng ổ đĩa so với nhu cầu chứa dữ liệu thiết thực của User. 2.1 Tính chất của Home Folder Performance of the Network: Hiệu suất mạng sẽ bị thấp đi nếu home folder được định vị trong máy cục bộ

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 71 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Ability to Restore and Backup: Trách nhiệp chính của một Administrator là chống mất mát dữ liệu. Tốt hơn là nên thực hiện sao lưu tất cả các file và tập trung lưu trên một server. Nếu home folder là trong máy cá nhân của users thì nên sao lưu thông thường trên mỗi máy tính. Adequate space on the Server: Nên tổ chức một không gian bắt buộc trên server để user có thể lưu trữ dữ liệu của họ trên đó. Windows 2003 có thể giám sát và giới hạn sự sử dụng không gian đĩa với network-base storage với sự trợ giúp của disk quota. User Computer with Sufficient Space: Nếu máy tính của user có khoảng trống đĩa nhỏ thì các home folder nên được tạo ra trên server của mạng. 2.2 Tạo User Profile và Home Foder cho các User trên server Tạo một thư mục trên một phân vùng trên máy chủ và chia sẻ thư mục đó, đặt quyền NTFS và Share Permission cho thư mục đó Full Control với Everyone. Mở snap-in Active Directory User and Computer và chọn một OU. Ở cửa sổ bên phải chọn tất cả các User có trong đó chuột phải chọn properties Tại cửa sổ properties chọn tab Profile, tích vào mục chọn Profile path, tại ô này đánh địa chỉ tương đối đến thư mục chúng ta vừa chia sẻ, đằng sau đường dẫn đó chúng ta đánh vào câu lệnh %usersname%. Câu lệnh này cho phép hệ thống tự động nhận tên logon của các User Profile đó. Tích chọn vào mục Home Folder, chọn dòng Connect, bên cạnh là mục chọn tên ổ đĩa mạng hiển thị trên các máy client của User mỗi khi user đăng nhập. Ở dòng To là địa chỉ đường dẫn tới thư mục Home folder mà chúng tạo cho user trên server, chúng ta đánh đường dẫn vào ô này và ấn Ok. Để tiện cho việc quản lý các User Profile và Home Folder thì chúng ta cần đặt User profile và Home folder vào cùng một thư mục chia sẻ trên server để dễ dàng hơn trong việc chỉnh sửa User Profile và thiết đặt hạn nghạch đĩa (disk quota) cho các user trong mạng.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 72 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Sau khi thiết đặt Home Folder và User profile xong, trên máy client đăng nhập với user mà chúng ta đã thiết đặt sẽ thấy Home folder được Map thành một ổ đĩa trong My Computer. Việc này tránh được cho User phải nhớ đường dẫn chính xác tới Server.

Và trong đó có chứa Profile của chính User này. Người dùng có thể tuỳ chỉnh thông tin và lưu dữ liệu của mình trên thư mục đó. Mọi thay đổi về profile như nền màn hình desktop, các tuỳ chọn menu start… đều được lưu lại ở đây. User có thể đăng nhập tại bất kì máy tính client nào trong mạng thì mọi thiết đặt profile của user cũng không bị thay

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 73 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
đổi vì khi log-off các thông tin này được lưu trên server và khi user logon thì nó được nạp xuống máy của User đó đăng nhập

Trong thư mục đã chia sẻ dùng để thiết đặt Home folder cho User trên Server có chứa các Profile và dữ liệu của các User. Mặc định thì mọi người dùng không ai có thể xem, sửa hoặc xoá các thông tin và dữ liệu của các user đó, chỉ có chính user đó mới có quyền được xem, sửa và xoá mọi thông tin do mình tạo ra, kể cả Administrartor cũng không thể xem được thư mục Profile đó.

Nhưng đã là Administrator thì mọi việc đều có thể, Administrator sẽ dùng quyền của mình để cướp quyền (Task Ownership) của User đó để xem hoặc chỉnh sửa thông tin trong Profile đó. Để cướp quyền của User trên thư mục đó chúng ta làm như sau: chuột phải vào thư mục chọn properties, trong cửa sổ properties chọn tab Sercurity, chọn tiếp mục Advanced. Tại cửa sổ Advanced ta chọn tab Owner, ở mục name chọn Administrator và đánh dấu tích vào dòng chữ ở dưới là Replace owner on subcontainers and objects.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 74 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Sau đó ấn Apply, một cửa sổ hiện ra thông báo là chúng ta không có quyền xem, nếu chúng ta muốn Replace quyền chọn Yes và thư mục đó chúng ta có quyền Full control và người User sở hữu thư mục đó sẽ bị mất quyền. Chúng ta chọn Yes

Khi Admin đã cướp quyền của User thì mặc nhiên User sẽ không vào thư mục đó của mình được nữa, muốn vào được thư mục đó thì cần phải có việc Admin trả lại quyền

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 75 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
cho User. Khi đó nếu User logon trên máy trạm thì sẽ không thể connect tới Profile đó nữa và một Profile khác sẽ được tự động tạo ra ở dạng default trên máy client.

Để người dùng có thể sử dụng Roaming Profile và lưu dữ vào thư mục đó thì Admin cần phải cấp lại quyền cho thư mục đó. Trên server chuột phải vào thư mục đó chọn Properties, chọn tab Sercurity và chọn tab Advanced. Tại cửa sổ Advanced đanh dấu tích vào mục chọn Replace permission entries on all child objects with entries shown here that apply to child objects rồi ấn Apply, một thông báo hiện ra cho biết chúng ta có muốn bỏ quyền truy cập trên thư mục này đi không, chúng ta ấn chọn Yes.

Vẫn tại cửa sổ này tại tab Owner chúng ta Add User đó vào và chọn mục Replace Owner on subcontainer and objects, sau đó ấn Apply.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 76 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Ấn Ok để trở về cửa sổ Properties, tại cửa sổ này chúng ta Remove tài khoản Administrator đi và Add vào tài khoản của User và cho quyền là Full control, sau đó OK. Như vậy chúng ta đã trả lại quyền truy cập vào Profile và Home folder cho User. Lúc này User đăng nhập trên máy client sẽ chỉnh sửa và lưu trữ được thông tin trong Profile của mình và mọi User kể cả Administrator cũng không thể truy cập vào được nữa. 3.0 Disk Quota 3.1 Giới thiệu về Disk Quota Disk Quota – hạn nghạch đĩa, là một công cụ rất mạnh để điều khiển không gian đĩa trống. Người quản trị có thể điều khiển dung lượng đĩa trống phù hợp cho từng User được sử dụng trên Server. Disk quota được cài đặt trên định dạng NTFS. 3.2 Thiết đặt Disk quota cho các Home folder và User profile Để tránh sự lãng phí không cần thiết của đĩa cứng trên Server khi mà các User lưu trữ dữ liệu trên Home folder, chúng ta cần thiết đặt hạn nghạch đĩa cho từng User. Tuỳ theo từng nhu cầu công việc của từng User mà chúng ta thiết đặt disk quota cho hợp lý. Do Home folder và Profile của User được đặt chung một thư mục nên chúng ta chỉ cần thiết đặt disk quota một lần cho hai mục này. Để thiết đặt Disk quota ta chọn phân vùng chứa thư mục chia sẻ có chứa Home folder và Profile trên Server, chuột phải chọn

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 77 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
properties. Tại cửa sổ properties chọn tab Quota, tích chọn vào mục Enable quota management và tích luôn vào mục Deny disk space to users exceeding quota limit. Mục này có tác dụng không cho người dùng lưu thêm dữ liệu trên server khi đã quá dung lượng cho phép. Nếu không chọn mục này các user vẫn có thể lưu thêm được dữ liệu trên server mặc dù đã có cảnh báo là quota đã hết. Tiếp theo chọn mục Limit disk space to mục này cho phép điền vào dung lượng mà chúng ta muốn giới hạn, ô bên cạnh cho chúng ta chọn đơn vị tính dung lượng. Mục Set warning level to cho phép chúng ta điền vào dung lượng muốn cảnh báo người dùng đã sắp hết quota.

Tiếp theo click vào Quota Entries… tại cửa sổ này sẽ chứa danh sách các User bị giới hạn hay không bị giới hạn Disk Quota. Mặc định thì các tài khoản Administrator và các tài khoản có quyền như Administrator đều không bị giới hạn disk quota. Do đó chúng ta không thể gán disk quota cho nhóm này mà chỉ có thể gán disk quota cho User thường mà thôi. Để giới hạn disk quota một User nào đó ta chọn menu Quota rồi chọn New quota entry. Tại hộp đánh tên ta đánh tên User muốn giới hạn disk quota vào và ấn OK. Tiếp theo hiện ra một bảng lựa chọn, chúng ta chọn Limit disk space to và cho vào giá trị muốn giới hạn cho User. Mục set warning level to cho vào giá trị mà chúng ta muốn cảnh báo người dùng là sắp hết disk quota.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 78 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Sau đó ấn OK và đóng cửa sổ Quota entries lại, tại cửa sổ Quota ấn OK, chúng ta đã hoàn thành việc đặt Disk Quota cho các User. Lúc này các User đã bị giới hạn dung lượng ổ đĩa trên Server, tại máy trạm logon vào với một User ta sẽ thấy rõ điều này.

VI – NHÓM VÀ CHÍNH SÁCH NHÓM

1. Giới thiệu các Nhóm Trong windows 2003 server
Một tập tin các tài khoản của người sử dụng được gọi là Group. Một người sử dụng có thể là thành viên của nhiều hơn một nhóm. Khi bổ sung thêm thành viên cho các nhóm cần lưu ý đến các bước sau: Khi một user là một thành viên của một group thì user đó sẽ được thừa hưởng các quyền mà group đó có được. Một user account có thể là một thành viên của nhiều group.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 79 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Các nhóm trong Domain Các nhóm chỉ được tạo trong domain controller và được lưu trong dịch vụ thư mục Active Directory. Các nhóm đã được sử dụng để gán các quyền đến các tài nguyên và quyền quản trị hệ thống cho bất kỳ một máy tính nào trong một domain. Các nhóm trong domain cho phép quản trị tập trung trong domain. Các nhóm trong Workgroup Các nhóm trong một Workgroup được tạo trên các máy tính, nó không có chức năng điều khiển domain. Các máy tính có thể là các Client chạy Windows Xp hoặc các member server được chạy windows 2003 server. Chúng được chứa trong Sercurity Account Manager (SAM) và đã được sử dụng để gán quyền đến các tài nguyên và quyền quản trị hệ thống trên máy tính, nơi mà ở đó các nhóm được tạo ra. 1.1 Các nhóm trong domain Trong domain controller có các nhóm tạo sẵn, nó được tự động tạo ra trong quá trình cài đặt windows 2003. Các nhóm tạo sẵn được lưu trữ trong Active Directory User and Computer. Các nhóm tạo sẵn có phạm vi hoạt động là toàn cục. Windows 2003 hỗ trợ 3 nhóm dưới đây: Built-In Group: Các nhóm này có thể được sử dụng cho các user được xác định trước về các quyền và các quyền để thực hiện các nhiệm vụ trên một domain controller và trên Active Directory. Điều này có thể được tạo chỉ trên các domain controller. Các nhóm loại này không thể bị xoá. Special Identify Group: Các nhóm loại này tổ chức các user một cách tự động. Người quản trị không thể bổ sung các user vào nhóm này. Thay vào đó một cách mặc định các user là các thành viên của nhóm này, hoặc trở thành thành viên trong khi thực hiện các nhiệm vụ trên mạng. Predefined Groups: Các nhóm loại này cung cấp cho người quản lý một cách dễ dàng các điều khiển các user trong domain. Các nhóm này chỉ thuộc trong các domain controller. Chúng được lưu trữ trong folder user trong Active Directory Users and Computers. 1.2 Các nhóm trong workgroup

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 80 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Các nhóm cục bộ được tạo ra khi tạo các nhóm trong workgroup. Các nhóm cục bộ chỉ có thể được tạo ra trên các server thành viên hoặc trên các máy đang chạy với hệ điều hành windows XP. Có thể sử dụng các nhóm cục bộ để án định các quyền cho phép cho các nguồn tài nguyên chỉ trên các máy tính cục bộ. Các nhóm mặc định đã được tạo ra bởi windows 2003, đó là các nhóm có các quyền đặc biệt để thực hiện các nhiệm vụ hệ thống trên các máy cục bộ. Các user có thể được bổ sung đến các nhóm mặc định này một cách dễ dàng. Local Groups: Khi tạo các nhóm cục bộ phải biết người và các thành viên của chúng sẽ được thực như thế nào. Nhóm cục bộ đã được tạo trên các server thành viên đang chạy windows 2003 server hoặc windows 2003 Advanced Server hoặc trên các máy client đang chạy với windows XP. Local group được sử dụng theo các nguyên tắc dưới đây: Nhóm cục bộ không thể là một thành viên của một nhóm khác. Nhóm cục bộ chỉ có thể chứa các user account cục bộ từ máy tính mà ở đó nhóm cục bộ đã được tạo. Chúng ta sử dụng các nhóm cục bộ để điều khiển việc truy xuất đến các nguồn tài nguyên trên máy cục bộ và cho việc thực hiện các nhiệm vụ hệ thống của máy cục bộ. Các nhóm cục bộ phải được thiết lập trên các máy tính không phải là một domain. Các nhóm cục bộ chỉ có thể được sử dụng trên các máy mà ở đó các nhóm cục bộ đã được tạo ra. Bất lợi của việc tạo các nhóm cục bộ trên các domain máy tính đó là cái nó sẽ hạn chế chúng ta từ nhóm quản trị trung tâm. Nhóm cục bộ sẽ không thấy trong Active Directory và do đó các nhóm cục bộ cần phải quản trị một cách riêng biệt. Built-In Groups: Khi chúng ta cài đặt Windows xp hoặc windows 2003 advanced server trên server thành viên, các nhóm này được tạo một cách tự động. Các nhóm này đã được định nghĩa trước một tập các quyền và các quyền. Các nhóm này đã được định nghĩa trước một tập các quyền và các quyền. Các nhóm này không thể xoá được. Thành lập các nhóm là:

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 81 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Built-In local Groups: Trong nhóm này các thành viên có thể thực hiện các nhiệm vụ hệ thống như là việc thay đổi hệ thống thời gian, khôi phục các file, sao lưu các file và việc quản trị các nguồn tài nguyên hệ thống. Các nhóm này được lưu trữ trong nhóm folder ở local users and groups trong computer management. Special Identities / Groups: Trong nhóm này các user được tổ chức một cách tự động. Thường thì người quản trị không thể sửa đổi các thành viên trong nhóm. Các user là các thành viên mặc định của nhóm này hoặc trở thành các thành viên trong suôt quá trình mạng hoạt động. Theo mặc định Windows 2003 chứa các nhóm đặc biệt này.

2. Chính Sách Nhóm
Tổng chi phí cho việc sở hữu, được xem như là TCO: Total Cost of Ownership, là một chi phí mà nó bao gồm việc thực hiện phân phối máy dành riêng trên mạng. Chúng ta có thể giảm bớt TCO mạng của chúng ta bằng việc sử dụng chính sách nhóm trong Microsoft windows 2003. Chính sách nhóm là một công nghệ mà nó cho phép người quản trị để quản lý các môi trường desktop qua một mạng windows 2003. Việc quản lý desktop thông qua các chính sách nhóm được thực hiện bằng việc áp dụng các thiết lập cấu hình computer và các user account. Các thiết lập chính sách nhóm tập trung ở các đối tượng chính sách nhóm (GPO: Group Policy Object). Các chính sách nhóm cho phép người quản trị để thiết lập một yêu cầu cho một user hoặc một computer. Yêu cầu có thể sau đó sẽ được đem thực hiện liên tục. Chúng ta có thể sử dụng snap-in group policy và phần mở rộng của nó trong MMC để mặc định nghĩa thiết lập chính sách nhóm. Các chính sách nhóm mở rộng: Administrative Templates: Dựa trên Registry: Cấu hình xuất hiện desktop, thiết lập ứng dụng và chạy các dịch vụ của hệ thống. Folder Redirection: Lưu trữ các folder của user trên mạng. Scripts: Tạo các scripts mà nó có thể được sử dụng khi một user logon hoặc logoff, khi một computer khởi động hoặc tắt máy.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 82 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Security: Tuỳ chọn này cung cấp cho máy cục bộ, domain và các thiết lập an toàn mạng Software Installation: Chủ yếu quản lý việc cài đặt phần mềm, cập nhật và xoá bỏ. Trong Windows 2003, các thiết lập chính sách nhóm là hầu như được lưu trữ trong một đối tượng chính sách nhóm (GPO). Do đó, chúng ta tạo GPO và sau đó thiết lập nó để chứa các thiết lập chính sách nhóm. GPO là một bộ lưu trữ ảo định vị cho các thiết lập chính sách nhóm. Một GPO bao gồm một tập các thiết lập mà nó ảnh hưởng riêng của các user và các computer. Mỗi GPO sẽ có một cấu hình khác nhau và sẽ có các ảnh hưởng riêng khác nhau cho đối với các user và các conputer. Nội dung của một GPO được lưu trữ trong 2 vị trí khác nhau: Group Policy Containers (GPC) Group Policy Templates (GPT) 2.1 Các Group Policy Containers (GPC) Group policy Container là một đối tượng Active Directory. Nó chứa các thuộc tính của GPO và bao gồm các container con cho thông tin chính sách nhóm về các user và các computer. GPC bao gồm các thông tin dưới đây: Danh sách các component: chứa một danh sách các chính sách nhóm mở rộng được sử dụng trong GPO Thông tin các trạng thái: Cho biết một GPO có thể hay không có thể được thực hiện. Thông tin Version: Đảm bảo rằng thông tin trong GPC xảy ra đồng thời với thông tin ở trong GPT. 2.2 Các Group Policy Template (GPT) Các Group Template là các folder vật lý mà nó được tạo ra khi chúng ta tạo một đối tượng chính sách nhóm. GPT là một folder có thứ tự trong foder sysvol ở trên các domain controller. Đây là một đối tượng chưa tất cả thông tin chính sách nhóm trên các template quản trị, các script, cài đặt phần mềm, việc nhân bản folder.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 83 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Khi chúng tạo ra một GPO, windows 2003 tạo một folder GPT có thứ tự. Folder là một tên sau khi GUID (globally unique identifier) của GPO chúng ta được tạo. Một directory được tạo với tên DNS của domain, dưới directory sysvol. Một directory khác có tên là Policies được tạo dưới directory domain. Dưới directory policies này một thư mục được tạo với GUID của GPO như là tên của một thư mục

3. Ứng dụng các chính sách nhóm
Bước quan trọng trong quá trình cài đặt chính sách nhóm nhóm là phải hiểu cách thừa kế và thứ tự thực hiện của các đối tượng chính sách nhóm. Khi chúng ta ứng dụng một đối tượng chính sách nhóm đến một đối tượng chứa, nó được thừa kế trong suốt các cấp bậc của hệ thống. Đây là một cách thừa kế của Active Directory trong việc đơn giản hoá các nhiệm vụ quản trị. Chúng ta có thể kết hợp đối tượng chứa Active Directory với một GPO trong quá trình tạo nó. Đối tượng chứa có thể là một site, domain hoặc một OU. Việc thiết lập chính sách nhóm trong một GPO sẽ ảnh hưởng các đối tượng trong một đối tượng chứa. Việc thiết lập chính sách sẽ được thừa kế theo thứ tự sau: Site Domain OU Theo mặc định. Windows 2003 ước lượng các đối tượng chính sách nhóm từ đối tượng chứa xa nhất của một đối tượng. Cái mà nó được áp dụng trong việc thiết lập một site, domain và sau cùng là một OU. Việc thiết lập chính sách của một OU đến computer hoặc user thuộc về nó, sẽ thiết lập sau cùng đó là điều sẽ được áp dụng cho user hoặc computer. Do đó, một thiết lập chính sách nhóm trong đối tượng chưa Active Directory đến user hoặc computer là mâu thuẫn quan trọng của việc thiết lập chính sách nhóm trong một đối tượng chứa đó là cái ở xa nhất kể từ user hoặc computer. Thiết lập chính sách nhóm có thể được thiết lập cho các OU cha và OU con. Trong một số trường hợp, khả năng tương thích giữa các thiết lập xác định đó là thiết lập sẽ được áp dụng. Nếu cả hai thiết thiết lập là tương thích thì sau đó các thiết lập từ cả OU cha và OU con sẽ được áp dụng trên các đối tượng của OU con. Tuy nhiên, nếu chúng không tương

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 84 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
thích thì sau đó OU con sẽ không thừa kế các thiết lập của OU cha. Vì thế các thiết lập của OU con sẽ được áp dụng trên các đối tượng của OU con. Trong trường hợp này, các thiết lập chính sách nhóm đã được thiết kế trên OU cha và không ở trên OU con thì sau đó các đối tượng của OU con sẽ thừa kế các thiết lập của OU cha. Các quy tắc thừa kế mặc định trong windows 2003 có thể được sửa đổi. Chúng ta cũng có thể sửa đổi các quy tắc thừa kế cho các GPO riêng lẻ. Hai tuỳ chọn đã được cung cấp cho việc thay đổi quá trình mặc định: Block Inheritance: Chúng ta có thể sử dụng tuỳ chọn này đến khối của một đối tượng chứa con từ việc thừa kế các thiết lập của đối tượng chứa cha. Nó đã được sử dụng khi một OU cần phải thiết lập chính sách duy nhất. Khối thừa kế được áp dụng đến tất cả các đối tượng chính sách nhóm trong đối tượng chứa cha. Trong trường hợp mâu thuẫn, tuỳ chọn No Override luôn đặt quyền ưu tiên lên tùy chọn này. No Override: Chúng ta có thể sử dụng tuỳ chọn này để ngăn cản một OU con từ việc đè lên các thiết lập một GPO với mức độ cao nhất. Tuỳ chọn này là một tập lên các GPO. Đây là điều có thể trong việc thiết lập tuỳ chọn này trên một hay nhiều hơn một GPO. Trong một số trường hợp, GPO với tuỳ chọn No Override, cấp bậc cao nhất trong Active Directory sẽ đặt quyền ưu tiên lên trên các GPO khác. Một GPO là được kết hợp với một site ảnh hưởng đến tất cả các computer trong site, bất luận các domain thuộc về chúng. Tuy nhiên, GPO đã được lưu trữ chỉ trong một domain controller trong một site. Tất cả các computer phải tiếp xúc với domain controller đó là cái đã chứa GPO cho các thiết lập chính sách. Từ khi đó, site có thể chứa nhiều domain, các domain này có thể chứa nhiều domain, các domain này có thể thừa kế GPO đã được kết hợp với site.

4. Cấu hình các chính sách nhóm
Các thiết lập chính sách nhóm trong một GPO có thể được cấu hình bằng cách sử dụng snap-in Group Policy mở rộng trong MMC. Các mở rộng chính sách nhóm bao gồm các thiết lập cho:

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 85 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Administrative Templates Folder Redirection Scripts Security Remote Installation Servies Software Installation Để mở một GPO ta làm như sau: Mở Active Directory Users and Computer / Active Directory Sites and Services từ menu administrative tools. Nhấp phải vào container hay OU, Nhấp propertices, Nhấp vào tab Group Policy, Chọn GPO mà chúng ta muốn, nhấp New nếu chưa có GPO và nhấp Edit

Thiết lập chính sách nhóm GPO được phân thành: Computer Configuration và User Configuration. 4.1 Computer Configuration - Cấu hình máy tính Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật trên các máy tính. Đây là các thiết lập đã được áp dụng khi khởi tạo hệ điều hành. Các thiết lập cấu hình máy tính bao gồm tất cả các liên kết chính sách được chỉ rõ dưới đây:

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 86 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Software Setting o Software Installation Windows settings o Scripts(Startup/Shutdown) o Security Settings Account Policies Local Policy Event log Restricted Groups System Services Registry File system Administrative Templates o Windows Components o System o Network o Printer

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 87 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
4.2 User Configuration - Cấu hình người sử dụng Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật của người sử dụng. Các thiết lập người sử dụng đã được áp dụng khi người sử dụng đăng nhập vào máy tính. Các thiết lập cấu hình người sử dụng bao gồm tất cả các liên kết chính sách người sử dụng được chỉ rõ dưới đây:

Software Settings o Software Installation Windows Settings o Remote Installation Services o Scripts(logon/logoff) o Security Setting o Folder Redirection o Internet Explorer maintenance Administrative Templates o Windows Components o Start Menu and takbar o Desktop o Control panel

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 88 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
o Shared Folder o Network o System Bên trong các folder, subfolder và các chính sách không giống nhau tuỳ theo từng trường hợp chúng ta chọn cấu hình máy tính hay cấu hình người sử dụng. Điều khiển chính sách nhóm nên tập trung vào cùng một domain controller. Do đó, bằng cách mặc định. Việc điều hành chính sách tập trung trong primary domain controller. Tuy nhiên, nếu domain controller với vai trò điều hành chính sách là PDC là không có hiệu lực, khi đó một thông báo lỗi được xuất hiện. Mặc dù, chúng ta sẽ được cho phép để chọn một domain controller khác. Chúng ta có thể lấy dữ liệu khi nhiều người quản trị đang sửa đổi trên cùng một GPO. Trong trường hợp này, thay đổi cuối cùng sẽ ghi đè lên thay đổi trước đó khi hoàn thành một GPO. Thông báo lỗi sẽ nhắc nhở khi ghi đè. Chúng ta nên chọn mục này chỉ khi chúng ta đã chắc chắn điều đó. Một GPO không được thay đổi bởi bất kỳ người nào Các GPO và các file kết hợp đã được thay thế một cách hoàn toàn sau thay đổi cuối cùng. 4.3 Các thiết lập Administrative Template Administrative Template chứa các đăng ký dựa trên các thiết lập chính sách nhóm. Trong registry edit, các thiết lập chính sách nhóm giành riêng cho người sử dụng được ghi ở HKEY_CURRENT_USER\Software\Policies. Tương tự, các thiết lập chính sách nhóm giành riêng cho máy tính được ghi ở HKEY_CURRENT_MACHINE\ software\ policies. 4.4 Các thiết lập kịch bản (Script) Windows 2003 cho phép các script được ghi trong cả computer và users. Đối với computers, chúng ta có thể để ấn định script thực hiện trong suốt quá trình cả quá trình khởi động và tắt máy. Đối với users, chúng ta có thể án định các script thực hiện trong xuốt qúa trình đăng nhập và đăng xuất. Chúng ta có thể ấn định các script đăng nhập / đăng xuất thông qua trang properties của user account. Tuy nhiên việc gán script thông

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 89 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
qua chính sách nhóm là phương pháp được ưu tiên hơn. Chúng ta có thể ấn định nhiều script đến một user hoặc một computer. Trong windows 2003, các scipt được thực hiện theo các mục sau. Trong trường hợp nhiều script, các script đã là một quá trình theo thứ tự từ trên xuống dưới trong trường hợp này chúng đã là một danh sách trong hộp thoại properties. Windows 2003 thực hiện các script đăng xuất trước khi thực hiện các script tắt máy. Giá trị thời gian mặc định tối đa cho việc thực hiện các script là 10 phút. Tuy nhiên, chúng ta có thể thay đổi giá trị này bằng cách thay đổi thời gian chờ trong computer configuration \ Administrative Templates \ System\ Logon\ Maximum. 4.5 Các thiết lập an toàn (Security) Chúng ta có thể thiết lập và cho hiệu lực an toàn trong mạng của chung ta bằng cách sử dụng các thiết lập an toàn chính sách nhóm. Chúng ta sử dụng các thiết lập an toàn mở rộng trong chính sách nhóm để định rõ các thiết lập an toàn. Các khoản trong các thiết lập an toàn mở rộng đã được thảo luận ở bên dưới. Account Policies: Chính sách tài khoản cho một domain xác định. Thiết lập Password Thiết lập giao thức Kerberos version 5 Các chính sách khoá Account Event Log: Chúng ta có thể cấu hình các tham số như kích thước. Truy xuất và việc sở hữu cho các ứng dụng, hệ thống và an toàn với thiết lập event log. File System: Các thiết lập hệ thống file cho phép chúng ta cấu hình an toàn trên các đường dẫn file riêng biệt. IP Security Policies on Active Directory: Chúng ta có thể cấu hình các giao thức an toàn trên mạng interner khi sử dụng chính sách IP sercurity. Local Policies: Các thiết lập chính sách cục bộ có thể được sử dụng cấu hình các chính sách kiểm toán, việc cấp các quyền và cho phép đối với người sử

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 90 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
dụng và thiết lập các mục an toàn khác cần thiết để cấu hình cục bộ. Các thiết lập chính sách này là cục bộ đến các máy tính. Public Key Policies: Các chính sách khoá công khai có thể được cấu hình hoặc là User configuration hoặc security settings. Chúng ta có thể sử dụng các chính sách khoá công khai trong thiết lập an toàn để cấu hình các domain gốc, giao phó các quyền lực và việc khôi phục lại mã hoá dữ liệu. Registry: Chúng ta có thể sử dụng thiết lập registry để cấu hình an toàn các registry key. Restricted Group: Các chính sách hạn chế nhóm có thể được sử dụng để quản lý các thành viên của các nhóm tạo sẵn và các nhóm domain. Các nhóm tạo sẵn là administrators, Power Users và domain admins. Chúng ta có thể bổ sung các nhóm khác nhau đến nhóm restricted, song song với các thành viên chi tiết của chúng. Để làm được như thế, cho phép chúng ta theo dõi và quản lý các nhóm này như là một phần của chính sách an toàn. Nhóm restricted quản lý các thành viên của các nhóm được tạo sẵn và cũng như các thành viên của các nhóm này. Cột members Of trong tab Properties của một nhóm, danh sách tất cả các nhóm để nhóm này là một thành viên. System Services: Chúng ta có thể sử dụng các dịch vụ nhóm hệ thống của việc thiết lập đến các thiết lập cấu hình an toàn và khởi động đối với các dịch vụ đang hoạt động trên một máy tính. Các dịch vụ khác nhau này có thể được cấu hình như: Dịch vụ mạng Dịch vụ File và Print Dịch vụ Telephony và Fax Dịch vụ Internet / Intranet

4.6 Triển khai thiết lập chính sách nhóm
Để hiểu rõ về chính sách nhóm và cách thiết lập chính sách nhóm, em xét một ví dụ về yêu cầu thiết lập chính sách nhóm ở doanh nghiệp như sau: Công ty TNHH máy

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 91 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
tính CMS có 4 phòng ban là Phòng Giám Đốc, Phòng Kinh Doanh, Phòng Bảo Hành và Phòng Kế Toán. Trong đó, ban giám đốc công ty yêu cầu như sau: Phòng giám đốc: Các User của Phòng giám đó toàn quyền trên domain, Phòng Kế Toán: Các user thuộc phòng Kế Toán có các yêu cầu như sau: Mật khẩu ít nhất phải 8 kí tự, thời gian thay đổi mật khẩu là 30 ngày, người dùng đăng nhập sai 3 lần sẽ bị khoá account, thời gian khoá sẽ là 5 phút, user không phải ấn tổ hợp phím Ctrl+Alt+Del khi đăng. Phòng Kinh Doanh: Các user phòng kinh doanh có các yêu cầu như sau: Không cho phép user trên client truy cập vào ổ chứa hệ điều hành (ổ C), không được cài đặt chương trình, không được truy cập vào registry, không được truy cập Control panel trên máy client, ẩn cửa sổ run trên máy client và không cho thay đổi trang home page là http://www.cms-computer.com. Phòng Bảo Hành: Các user phòng bảo hành có các yêu cầu sau: Mật khẩu ngoài việc từ 8 kí tự trở lên thì còn phải là mật khẩu khó, tức là phải có thêm các kí tự khác chữ và số như *, !, ~, @, #, %, (, ). Cho phép các user trong nhóm này tắt máy từ xa, không cho phép thay đổi các thuộc tính của LAN và không cho phép Auto play tất cả các loại ổ đĩa kể cả ổ đĩa USB. Để thiết lập các chính sách với các yêu cầu như trên em làm như sau: Trước hết tạo các OU tương ứng với các phòng ban của công ty, mở cửa sổ Active Directory User and Computer, chuột phải vào tên domain chọn New và chọn Oganizational Unit, đánh tên OU tương ứng với tên của các phòng ban để tạo các OU, mỗi phòng ban là một OU. Sau đó tạo các User và Group trong từng OU. Mỗi một phòng ban có bao nhiêu người chúng ta tạo tương ứng từng đó User và tạo một Group cũng có tên là phòng ban đó. Sau khi tạo User và Group xong thì add các User của OU đó vào group vừa tạo để tiện cho việc gán quyền sau này. Các thiết đặt chính sách nhóm cho các phòng ban như sau: Phòng Giám Đốc: Do trong chính sách nhóm có tính thừa kế và các thiết đặt bên trong có mức ưu tiên hơn bên ngoài nên chúng ta không thiết đặt gì cho OU Phòng giám đốc mà chỉ tạo các user cho phòng đó rồi tạo một GPO cho

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 92 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
phòng này. Mặc định mọi thiết đặt trên domain sẽ được áp xuống và phòng giám đốc thừa hưởng quyền từ domain, tức là có mọi quyền như Admin. Và ở mục Member Of chúng ta add các nhóm quản trị vào user của phòng này. Phòng Kế Toán: Chuột phải vào OU phòng kế toán chọn properties, chọn tab Group Policy, click New, đặt tên cho GPO và click Edit. Do yêu cầu thiết đặt chính sách nhóm ở đây là đối với Computer nên chúng ta thiết đặt chính sách nhóm như sau: o Mật khẩu 8 kí tự: chọn đến Computer Configuration\ Windows setting\ Sercurity Setting\ Account policies\ Password policy, ở cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp và cho giá trị là 8.

o Thời gian thay đổi mật khẩu là 30 ngày: Cũng với đường dẫn như trên, ở cửa sổ bên phải chọn dòng chư: Maximum password age, click đúp và cho giá trị là 30. o Người dùng đăng nhập sai 3 lần sẽ bị khoá account: chọn đến Computer Configuration\ Windows setting\ Sercurity Setting\ Account

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 93 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
policies\ Account lokout policy, cửa sổ bên phải chọn dòng chữ: Account lonkout threshold, click đúp và cho giá trị là 3. o Thời gian khoá là 5 phút: Với đường dẫn vẫn như trên, ở cửa sổ bên phải chọn đế dòng chữ: Account lockout duration, click đúp và cho giá trị là 5. o Không ấn Ctrl+Alt+Del khi đăng nhập: Tìm đến đường dẫn Computer configuration\ Windows Setting\ Sercurity setting\ Local policy\ Sercurity Option: Ở cửa sổ bên phải chọn đến dòng chữ: Interactive logon: Do not require Ctrl+Alt+Del, click đúp và chọn Enable. o Thông báo của Quản trị mạng hệ thống tới các User: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Security setting\ Local policy\ Security Option. Tại cửa sổ bên phải tìm đến dòng chữ Messenger text for users attemping to logon, click đúp và đánh vào thông báo của quản trị mạng như trên đã nói. Tiếp theo xuống dòng dưới là Messenger title đánh vào tiêu đề thông báo của quản trị mạng như trên. Phòng Kinh Doanh: Chuột phải vào OU phòng Kinh Doanh chọn properties, chọn tab Group Policy, click New đánh tên cho GPO của phòng này và click Edit. o Không cho phép User truy cập vào ổ C: Tìm đến đường dẫn User Configuration\ Administrative Templates\ Windows Components\ Windows Exploprer, ở cửa sổ bên phải chọn dòng chữ: Prevent access to drivers from My Computer, click đúp chọn enable và chọn ổ đĩa C.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 94 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

o Không được cài đặt phần mềm: Tìm đến đường dẫn Computer Configuration\ Administrative Templates\ Windows Components\ Windows Installer, ở cửa sổ bên phải chọn dòng đầu tiên là: Disable windows installer, click đúp và chọn enable. o Không được truy cập vào Registry editor: Tìm đến đường dẫn User Configuration\ Administrative Templates\ Windows Components\ System, ở cửa sổ bên phải chọn dòng chữ: Prevent access to registry editing tools, click đúp và chọn enable. o Không truy cập Control Panel trên máy client: Tìm đến đường dẫn User configuration\ Administrative templates\ Control panel, ở cửa sổ bên phải tìm đến dòng chữ: Prohibit access to the Control Panel, click đúp và chọn enable. o Ẩn cửa sổ Run trên client: Tìm đến đường dẫn User configuration\ Administrative templates\ Start menu and Taskbar, ở cửa sổ bên phải tìm đến dòng chữ: Remove Run menu from start menu, click đúp và chọn enable.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 95 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
o Không cho thay đổi trang chủ http://www.cms-conputer.com: Trước tiên ta đặt trang chủ với địa chỉ như trên, tìm đến đường dẫn: User configuration\ Windows settings\ Internet Explorer Maintenance\ URLs, ở cửa sổ bên phải click đúp vào dòng: Important URLs, đánh dấu tích vào Customize Home page URL và đánh vào ô địa chỉ URL là địa chỉ http://www.cms-computer.com và ấn OK. Sau đó tìm đến đường dẫn: User configuration\ Administrative templates\ Windows Components\ Internet Explorer, ở cửa sổ bên phải chọn đến dòng chữ: Disable chaning home page settings, click đúp và chọn enable. Phòng Bảo Hành: Chuột phải vào OU phòng bảo hành chọn properties, chọn tab Group Policy, click New đánh tên cho GPO của phòng Bảo hành và click Edit. o Mật khẩu 8 kí tự và phải khó: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Sercurity setting\ Password policy, cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp và cho vào giá trị 8, tiếp theo chọn đến dòng chữ: Password must meet complexity requirements, click đúp và chọ enable. o Cho phép User tắt máy từ xa: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Sercutity setting\ Local Policy\ User Rights Assignment, ở cửa sổ bên phải tìm đến dòng chữ: Force shutdown from a remote system, click đúp và đánh vào User hay Group của phòng này.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 96 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

o Không cho phép thay đổi các thuộc tính của LAN: Tìm đến đường dẫn User Configuration\ Administrative templates\ Network\ Network Connections, ở cửa sổ bên phải tìm đến dòng chữ: Prohibit access to properties of LAN connection, click đúp và chọn enable. o Không cho Auto play tất cả các ổ đĩa: Tìm đến đường dẫn Computer Configuration\ Administrative templates\ System, ở cửa sổ bên phải chọn dòng chữ: Turn off Autoplay, click đúp chọn enable và chọn All driver. Sau khi thiết lập các chính sách nhóm cho các OU xong, để việc thay đổi có hiệu lực thì chúng ta phải khởi động lại máy chủ, nhưng chúng ta cũng có thể không cần khởi động lại máy chủ, tại cửa sổ run ta đánh lệnh gpupdate /force, lệnh này sẽ làm tươi lại Group Policy và cập nhật các thiết đặt mới mà chúng ta vừa thiết đặt trong Group Policy.

5.0 Software Installation Servies – Dịch vụ triển khai phần mềm
5.1 Mục đích Software Installation Service sử dụng Group Policy (chính sách nhóm) để triển khai gói phần mềm tự động từ xa theo yêu cầu trong mạng LAN để giảm tải cho Server.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 97 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Không giống như cài phần mềm trực tiếp trên máy trạm, sử dụng software installation servies có hai chế độ. Public: Phần mềm sẽ được hiển thị trong danh mục Add New Programs của thành phần Add or Remove Programs. Người dùng trên máy client muốn cài đặt phải ấn vào nút Add program thì chương trình thực sự mới được cài đặt. Khi đó chương trình sẽ thực hiện việc cài đặt phầm mềm tự động cho đến khi hoàn thành. Người dùng không thể remove chương trình phần mềm. Assign: Phần mềm sẽ xuất hiện trong danh mục Program trên thanh Start, khi người dùng chạy shortcut thì phần mềm mới được cài đặt. Người dùng có thể không cài gói phần mềm này và remove shortcut đi. 5.2 Phương pháp triển khai Đa số các phần mềm của Microsoft hoặc các hãng khác đều được cung cấp dưới dạng file *.exe và *.msi. Software installation servies chỉ triển khai được các gói phần mềm dạng file *.msi và *.zap. Đối với các phần mềm có dạng *.msi thì quá trình triển khai đơn giản vì nó được hỗ trợ. Nếu phần mềm không có dạng *.msi mà ở dạng *.exe thì chúng ta phải chuyển file sang dạng *.zap, dạng file mà chương trình triển khai phần mềm cho phép. Khi triển khai gói phần mềm thì chúng ta cần share thư mục chứa file đó và cho nhóm Everyone được quyền read. Phương pháp chuyển file *.exe sang dạng file *.zap: Mở notepad và viết vào đoạn mã chuyển như sau: [Application] Friendlyname = “Tên gói phần mềm” Setup command = \\<Ip hoặc host của server>\<thư mục chia sẻ>\file .exe Sau đó save lại với tên file là .zap Phương pháp triển khai trên server Software Installation Services có thể được áp dụng triển khai cho toàn domain hoặc một số OU hoặc Computer nào đó trong mạng. Ví dụ triển khai gói phần mềm Microsoft Office 2003 dưới dạng Public cho OU Phòng Kế Toán để mọi User trong OU này có thể cài đặt được Office 2003, các bước thực hiện như sau:

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 98 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Trên server tìm đến thư mục Office 2003 và chia sẻ thư mục này cho nhóm Everyone có quyền read. Mở cửa sổ Active Directory User and Computer, chuột phải OU phòng Kế Toán chọn Properties, chọn tab Group Policy, click vào Edit. Tại cửa sổ Group Policy Object Editor tìm đến đường dẫn User Configuration\Software Setting\Software Installation chuột phải chọ New package

Tiếp theo một cửa sổ mở ra cho chúng ta chọn đến thư mục chứa phần mềm cần triển khai. Nếu phần mềm ở dạng *.msi thì chúng ta chỉ cần chọn đến thư mục và chọn file setup trong đó. Nếu không phải *.msi thì chúng ta chuyển sang dạng *.zap rồi chọn đường dẫn tới file *.zap tại đây. Tiếp theo một cửa sổ Deploy software mở ra cho phép chúng ta chọn chế độ hiển thị của phần mềm trên máy client. Ở đây có 3 dạng hiển thị là Public, Assign và Advanced, do yêu cầu chúng ta chọn Public để mọi người trong OU đều có thể cài phần mềm trong Add New Program.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 99 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Sau khi click Ok phần mềm sẽ được hiển thị trong cửa sổ bên phải của mục Software Installation

Như vậy chúng ta đã triển khai xong gói phần mềm Office 2003 trên Server. Trên client người dùng muốn cài đặt phần mềm thì vào Control Panel\Add or Remove Program\Add New Program, click vào nút Add để cài đặt phần mềm.

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 100

Qu¶n TrÞ M¹ng Víi Windows Server 2003

VII - QUYỀN TRUY CẬP NTFS – NTFS ACCESS PERMISSION

1. Giới thiệu về NTFS
Để tăng tốc độ truy xuất, tăng độ tin cậy và khả năng tương thích windows 2003 đưa ra sử dụng hệ thống file NTFS (New Technology File System) mới, đó là NTFS 5.0. Nó cho phép chúng ta những thuận lợi về Active Directory, các tính năng lưu trữ và việc quản lý các phần mềm được cung cấp bởi Windows 2003. Những file Server và những máy tính đời mới cần bổ xung thêm những tính năng an toàn trong việc điều khiển truy xuất dữ liệu, điều này đã được tích hợp trong NTFS 5.0. NTFS cũng chứa những tính năng như tính khôi phục (recoverability) và tính năng nén file (compression). Các folder hoặc các file lẻ trên partition NTFS có thể được nén. Những file đã nén trên partition NTFS có thể được truy xuất bởi một ứng dụng bất kì trên windows 2003 mà không phải giải nén. Với NTFS 5.0 tốc độ truy xuất file đã được cải tiến và số lần truy xuất đĩa(để tìm file) cũng được giảm bớt. Chúng ta có thể thiết lập các mức độ quyền (permission) và truy cập (access) trên các file và folder cho các cấp độ người sử dụng khác nhau. Các cấp

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 101

Qu¶n TrÞ M¹ng Víi Windows Server 2003
quyền giống nhau có thể áp dụng cho tất cả những sử dụng trên máy tính cục bộ cũng như người sử dụng truy xuất vào mạng.

2. Các Quyền Của NTFS
NTFS có thể thiết lập quyền để chấp nhận (allowing) hay từ chối (denying) về truy xuất cho người sử dụng hay cho nhóm người sử dụng. Quyền được cung cấp để đảm bảo việc bảo mật những tài nguyên. Người quản trị mạng và người sử dụng có thể định rõ những kiểu truy xuất mà người sử dụng hoặc nhóm sử dụng có thể trên những file cụ thể. Quyền NTFS được cấp trên hai đối tượng chính là Folder và File. Quyền trên Folder NTFS: quyền Folder được gán quyền truy cập đến các file và folder chứa trong nó. Những quyền chuẩn của NTFS đối với folder như sau: o Read - Đọc: Sẽ cho người sử dụng thấy các file và các subfolder. Các thuộc tính folder, người sở hữu và quyền cũng có thể được nhìn thấy o Write – Ghi: Sẽ quyền người sử dụng tạo mới các file và các subfolder. Các thuộc tính có thể được thay đổi và những quyền sở hữu và quyền trên folder cũng có thể được nhìn thấy. o List Folder contens - Hiển thị nội dung folder: Sẽ cho phép người sử dụng thấy các subfolder và các tên file ở trong folder. o Read & Execute - Đọc và thực hiện: Sẽ cho phép người duyệt qua folder. Nó cũng hỗ trợ quyền read và list folder contens. o Modify - Sửa đổi: Sẽ cho phép người sử dụng xoá folder và cũng hỗ trợ quyền Write, read và Execute. o Full Control – Toàn quyền điều khiển: Sẽ cho phép người sử dụng thay đổi các quyền, quyền sở hữu, xoá file và subfolder và sẽ hộ trợ tất cả những quyền của folder NTFS. Khi định dạng partition với hệ thống file NTFS, Windows 2003 mặc định là quyền Full control đến nhóm Everyone. Vì thế để hạn chế việc truy xuất Administrator phải chủ động thay đổi quyền này.

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 102

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Quyền trên File NTFS: Những quyền chuẩn trên các file NTFS được thể hiện như sau: o Read - Đọc: Sẽ cho phép người sử dụng thấy các file, đọc nội dung các file. Các thuộc tính file, quyền sở hữu chúng và những quyền cũng có thể được nhìn thấy. o Write – Ghi: Sẽ cho phép người sử dụng ghi đè những file. Những thuộc tính file có thể được thay đổi và quyền sở hữu file và những quyền có thể được nhìn thấy. o Read & Execute: Sẽ cho phép người sử dụng duyệt qua file. Nó cũng hỗ trợ quyền read và hiển thị nội dung file. o Modify - Sửa, thay đổi: Sẽ cho phép người sử dụng xoá file và cũng hỗ trợ cho phép write, read, execute. o Full control – toàn quyền điều khiển: Sẽ cho phép người sử dụng thay đổi những quyền, giữ quyền sở hữu, và sẽ hỗ trợ tất cả những quyền file NTFS. 2.1 Ứng dụng của NTFS permission Khi những quyền truy cập được cung cấp cho các User và Group trên một folder, User hay group cũng có thể truy cấp đến những file và subfolder bên trong nó. Quyền mang tính thừa kế. Có thể có nhiều quyền được gán cho một người sử dụng. NTFS có những nguyên tắc và những độ ưu tiên riêng đối với những đa quyền này. 2.2 Quyền bội NTFS Những quyền bội có thể được cung cấp đến nhiều người sử dụng cho một quyền đến tài khoản riêng của người sử dụng và một quyền khác đến nhóm sử dụng, mà người sử dụng thuộc nhóm đó. Những quyền có hiệu lực của người sử dụng trong trường hợp này sẽ là kết hợp cả hai quyền đã được cung cấp cho người sử dụng. Một ví dụ chẳng hạn trong trường hợp này là người sử dụng có quyền đọc đến folder và thuộc quyền sở hữu của một nhóm, và có quyền ghi đến folder như vậy, sau đó người sử dụng sẽ có cả quyền đọc và ghi đến folder như vậy. Những quyền về file NTFS sẽ luôn có quyền ưu tiên cao nhất trên cả những quyền của folder NTFS. Trong trường hợp này người sử dụng có thể

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 103

Qu¶n TrÞ M¹ng Víi Windows Server 2003
cho phép thay đổi đối với file và cho phép đọc đối với folder chứa file, người sử dụng có thể tạo ra những thay đổi trên file. Đặc biệt file hoặc folder có thể từ chối truy xuất bởi việc cấp quyền deny đến tài khoản nhóm hoặc tài khoản người sử dụng. Quyền deny sẽ khoá tất cả trên file cũng như trong group. Do đó, quyền deny nên áp dụng một cách cẩn thận. Windows 2003 phân biệt giữa người sử dụng không có quyền truy xuất và không cho phép truy xuất đối với người sử dụng. Người quản trị có thể chọn một cách dễ dàng không cho phép người sử dụng truy xuất đến file hoặc folder. 2.3 Sự kế thừa trong NTFS permission. Việc gán quyền đến các folder là được kế thừa và truyền đến các file và subfolder bên trong nó. Chúng ta có thể ngăn cản tính kế thừa này nếu điều đó là cần thiết cho những quyền khác nhau đã tạo cho những file nằm bên trong một folder. Để kết thúc các tính kế thừa này, huỷ bỏ quyền kế thừa và chỉ giữ lại những quyền rõ ràng đã được gán. 2.4 Sao chép và di chuyển file và folder Khi chúng ta di chuyển hay sao chép các file hoặc các folder thì quyền có thể thay đổi phụ thuộc vào việc các file hoặc các folder được di chuyển và được sao chép đến đâu. Do đó, nó trở nên quan trọng để hiểu về sự thay đổi những quyền khi các file hoặc các folder được di chuyển hay sao chép. Sự thay đổi quyền trong việc sao chép hoặc di chuyển File hay Folder: Khi một file hay folder được sao chép hoặc di chuyển trong phạm vi của partition NTFS, file hoặc folder sẽ giữ lại những quyền đó. Khi một file hoặc folder được sao chép hoặc di chuyển giữa nhiều partition NTFS, file hoặc folder sẽ thừa hưởng những quyền cho phép của folder đích. Khi các file hoặc các folder được sao chép hoặc di chuyển đến những volume FAT16 hoặc FAT32 thì tất cả những quyền cho phép của NFTS sẽ bị mất, những volume FAT16 và FAT32 không hỗ trợ cho quyền của NTFS. Quyền modify được yêu cầu đối với việc di chuyển file hoặc folder bởi vì Windows 2003 sẽ xoá file hoặc folder từ nguồn và sao chép nó sang đích.

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 104

Qu¶n TrÞ M¹ng Víi Windows Server 2003
2.5 Gán quyền ở NTFS Chúng ta có thể gán quyền NTFS từ hộp thoại properties, hộp sẽ xuất hiện khi chúng ta nhấp chuột phải đến file hoặc folder chúng ta có thể thay đổi những quyền đối với người sử dụng hoặc nhóm bằng cách chọn người sử dụng hoặc nhóm đó. Nhấp chuột phải vào file hoặc folder và chọn properties. Trong cửa sổ properties chọn tab Security mục này có các thành phần như sau:

User and Group Name: Nó cho phép chúng ta chọn tài khoản của người sử dụng hoặc nhóm mà chúng muốn thay đổi những quyền. Permission: o Nó sẽ chấp nhận cho phép khi hộp thoại allow đã được chọn. o Nó sẽ không cho phép khi hộp thoại deny đã được chọn Add: Nó sẽ mở hộp thoại Select User, Computer hoặc Group được trình bày ở trên, cái mà được sử dụng để add tài khoản người sử dụng hoặc nhóm vào danh sách name.

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 105

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Remove: Nó sẽ xoá nhóm hoặc tài khoản người sử dụng theo cùng với những quyền đối với nhóm hoặc tài khoản người sử dụng. Advanced: Các thiết lập quyền nâng cao như bỏ thừa kế, thêm quyền, bớt quyền thẩm định quyền và cướp quyền. 2.6 Thiết lập quyền thừa kế Tính kế thừa sẽ giúp đơn giản hoá việc gán quyền đến tài nguyên mạng. Có khi quyền thừa kế này là không mong muốn. Sự kế thừa là có hiệu lực khi mục Allow inheritable permission from parent to propagate to this object đã được chọn. Mục này đã có sẵn trong mục Advanced của tab Sercury trên cửa sổ properties của file hoặc folder. Khi gán quyền cho một folder hay file, để một thư mục được thừa kế quyền từ thư mục trước thì chúng ta chọn tích vào mục Allow trên, muốn bỏ quyền thừa kế thì bỏ chọn mục Allow trên. 2.7 Những quyền truy xuất đặc biệt trong NTFS Trong một số trường hợp chúng ta có thể cần đến một số quyền truy xuất đặc biêt, mà điều đó không thể có đối với quyền chuẩn của NTFS. Vì thế, chúng ta được cung cấp bởi mục NTFS special access permission. Những quyền truy xuất đặc biệt này sẽ cung cấp cho chúng ta với mức độ cao nhất trong điều khiển khi truy xuất đến những nguồn tài nguyên. Khi chúng ta kết hợp 13 quyền truy xuất đặc biệt thì chúng ta sẽ có những quyền cho phép chuẩn. Hai quyền cho phép đặc biệt trong quyền quản lý truy xuất file hoặc folder đã được sử dụng là: Change permission và Take Ownership. Change Permission: Chúng ta có thể được gán cho những người quản trị và người sử dụng khác để họ có thể thay đổi những quyền một cách thuận lợi trên những file hoặc folder. Người quản trị hoặc người sử dụng được gán quyền này chỉ có thể được cấp những quyền nhưng không thể xoá hoặc ghi lên file hoặc folder. Take Ownership: Việc chuyển quyền sở hữu của những folder hoặc file từ một nhóm đến một nhóm khác là có thể. Trong cùng thời gian đó chúng ta có thể

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 106

Qu¶n TrÞ M¹ng Víi Windows Server 2003
cho một ai đó được quyền này. Nếu chúng ta là một người quản trị thì chúng ta cũng có thể được quyền sở hữu đối với những file hoặc folder. Có một số nguyên tắc, mà chúng ta phải theo trong khi được gán quyền Ownership đến file hoặc folder: Người chủ hiện tại hoặc ngươi sử dụng có quyền Full Control có thể cung cấp Full control hoặc Take Ownership đến nhóm hoặc người sử dụng khác. Quyền sở hữu của một file hoặc folder có thể được thực hiện bởi một thành viên của nhóm quản trị. Những quyền đã được cung cấp đến thành viên của nhóm quản trị, một người quản trị thực hiện trên những quyền sở hữu. Do đó người quản trị có thể thay đổi một số quyền của file hoặc folder và cũng có thể cấp quyền Take Ownership đến nhóm hoặc người sử dụng khác. Để cung cấp những quyền sở hữu đặc biệt, chúng ta làm theo các bước dưới đây: Nhấn nút Advanced và từ tab sercurity trong hộp thoại properties. Từ trang Access control setting for program files nhấp chọn tab permission Để áp dụng những quyền sở hữu đặc biệt của NTFS chúng ta chọn nhóm hoặc tài khoản người sử dụng và nhấp chọn nút View/Edit. Những thiết lập của chúng ta trong hộp thoại Permission entry được thể hiện dưới đây:

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 107

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Name: Mục này xác định tên nhóm hoặc tài khoản người sử dụng. Chúng ta có thể chọn những nhóm khác nhau hoặc tài khoản người sử dụng bằng cách nhấp vào mục change Apply onto: Nó sẽ xác định cấp bậc của folder và xác định cấp bậc quyền trong NTFS. Permission: Nó cung cấp những quyền truy xuất đặc biệt. Chọn mục allow để cung cấp quyền change hoặc take ownership. Apply these permission to objects and/ or containers within this container only: Nó sẽ xác định nếu những file và subfolder nằm trong folder cha nó sẽ thừa kế những quyền truy xuất đặc biệt. Để ngăn cản quyền thừa kế ta xoá hộp thoại đã chọn ở trên.

3. Sự an toàn trên các hệ thống File chia sẻ.
Để truy xuất những file hoặc folder trên mạng chúng ta phải sử dụng share folder. NTFS cung cấp việc hỗ trợ để share folder và cũng hạn chế những người sử dụng và nhóm, đó là những người có thể truy xuất file hoặc folder. Tính năng này không được hỗ

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 108

Qu¶n TrÞ M¹ng Víi Windows Server 2003
trợ bởi partition Fat16 hoặc Fat32. FAT đã định dạng những volume không thể sử dụng những quyền có trong NTFS. 3.1 Quyền cho phép đối với share folder. Việc share folder có thể được truy xuất bởi những ngưởi sử dụng trên mạng đã được cung cấp cho người sử dụng có những quyền để làm được điều như vậy. Folder có thể chứa nhiều ứng dụng, dữ liệu cá nhân, hoặc một loại dữ liệu nào đó. Vì thế có nhiều loại dữ liệu khác nhau yêu cầu những loại quyền khác nhau. Ở đây có một số tính năng chung mà chúng có thể áp dụng chung cho share folder. Share folder cung cấp việc bảo mật thấp hơn những quyền của NTFS như share folder được ứng dụng những quyền đến toàn bộ folder và không áp dụng cho những file hoặc subfolder riêng lẻ trong folder đó. Những quyền của share folder không áp dụng cho người sử dụng truy xuất đến file từ máy tính nơi file đó được lưu trữ. Full control là quyền mặc định, nó được gán cho nhóm Everyone. Những quyền khác nhau được gán cho người sử dụng trong việc share folder:

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 109

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Read: Quyền này cho phép người sử dụng xem những thuộc tính, dữ liệu file, tên file và tên folder. Nó cũng cho phép người sử dụng thay đổi những folder nằm trong folder đã share. Change: Quyền này cấp cho người sử dụng để tạo những folder, bổ xung những file vào những folder, bổ xung hoặc thay đổi dữ liệu trong file. Nó cũng cung cấp việc thay đổi những thuộc tính file, xoá file hoặc folder và thực hiện tất cả những hành động cho phép bởi quyền read. Full control: Quyền này cung cấp cho người sử dụng để thay đổi những quyền của file, cung cấp tất cả quyền sở hữu về file và thực hiện tất cả những hành động đã được hỗ trợ bởi quyền change. Nhóm everyone được gán quyền này. 3.2 Ứng dụng những quyền share folder Chúng ta hãy nhìn một số loại quyền khác nhau, đó là điều mà có thể ứng dụng cho share folder. Những loại quyền khác nhau như Multiple permission, Deny Other permission, NTFS Permission và Moving and Copying share folder. Mutiple permission: Một User có thể là thành viên của nhiều group khác nhau, trong mỗi group có thể có nhiều user, các group có thể có các cấp độ truy cập đến các folder được share khác nhau. Trong một vài trường hợp ở đó người sử dụng cho quyền change và họ cũng là thành viên của nhóm có quyền Full Control, như vậy họ sẽ có Full Control vì trong đó có bao gồm cả quyền change. Deny Other Permission: Quyền này sẽ làm mất hết tất cả những quyền cho phép đã gán cho người sử dụng đối với tài khoản User và Group. NTFS Permission: Những người sử dụng trên những partition NTFS hoặc là được sử dụng quyền share hoặc là được sử dụng quyền của NTFS nhưng chúng không thể sử dụng cả hai trong cùng một khoảng thời gian. Việc sử dụng quyền của NTFS là điều nên làm vì nó sẽ cung cấp những quyền tốt cho cả folder và file.

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 110

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Moving and copying folder: Một folder được share được copy là không được chia sẻ những folder chia sẻ gốc sẽ được dữ lại như đã chia sẻ. Chúng ta có thể theo các nguyên tắc dưới đây khi share folder và gán quyền: Nên lập kế hoặch cho việc phần quyền sử dụng tài nguyên trên mạng cho từ User, group trước khi thực hiện việc này. Không nên gán quyền cho từng người sử dụng riêng lẻ mà nên gán cho các nhóm mà người sử dụng là thành viên. Việc gán quyền sử dụng tài nguyên phải là giới hạn nhất, điều này cung cấp cho người sử dụng môt cấp độ sử dụng tài nguyên hợp lý nhất. 3.3 Thực hiện Share các Folder Một tài nguyên được chia sẻ bởi sự share folder chứa trong tài nguyên. Đây là điều chỉ có thể xảy ra khi người sử dụng là một thành viên thuộc nhóm được đặc quyền và có những quyền thực sự. Người sử dụng sở hữu folder có quyền điều khiển truy cập và hạn chế hoặc cho phép những người sử dụng khác nhau trong việc truy xuất các folder. Sau khi chia sẻ các folder chúng ta có thể sửa đổi nó hoặc dừng chia sẻ nó, thay đổi tên chia sẻ hoặc thay đổi các quyền cho phép của người sử dụng và nhóm người sử dụng. Trong windows 2003 chúng ta có thể chia sẻ với các nhóm Administrator, Server Operators và Power User. Trong trường hợp domain của Windows 2003, Administrator và thành viên của nhóm Server Operrators có thể chia sẻ bất kì một folder nào trong domain. Nhóm Power User là nhóm cục bộ, do đó không thể chia sẻ các file hoặc các folder trong domain và là cơ sở trên các Server độc lập hoặc thuộc về nhóm Windows XP. Trong trường hợp windows 2003 Workgroup chúng ta có thể chia sẻ các folder với Administrator và nhóm Power User. Trong trường hợp các folder được share là được share bởi Administrator thì có một dấu $ được thêm vào trước tên share của folder, gọi là share ẩn. Điều này sẽ ẩn tính share của folder được share đối với các người sử dụng trong quá trình truy xuất đến máy tính. Khi chúng ta có C$ nó có nghĩa là đã cung cấp đầy đủ trong việc truy xuất volume C:\ và chúng ta có thể thực hiện nhiệm vụ quản trị trên nó. Nếu chúng ta có Admin$ thì chỉ có những thành viên thuộc nhóm Administrator mới có thể truy xuất đến các folder

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 111 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
được share đó. Nếu chúng ta có Print$ thì nó sẽ cung cấp các client với việc truy xuất đến các thiết bị máy in và tất cả các group chỉ có quyền read. Trong Windows Server 2003 với định dạng là NTFS thì mặc định các phân vùng được share ẩn, nghĩa là đằng sau mỗi một phần vùng share đều có dấu $. Riêng đối với share Admin$ thì được áp dụng cho phần vùng chứa hệ điều hành. Đối với kiểu share này thì người dùng mạng muốn truy cập từ xa vào các tài nguyên được share ẩn thì chỉ việc thêm kí tự $ vào sau thư mục muốn truy cập. Ví dụ một máy tính muốn truy cập đến ổ D của Máy 5 trong mạng có địa chỉ Ip là 10.0.0.5 thì ta đánh lệnh ở ô địa chỉ như sau: \\10.0.0.5\D$. Sau khi ấn Enter hệ thống yêu cầu nhập username và password hợp lệ mới có thể truy cập được. Để biết được các tài nguyên đang share và kiểu share của các tài nguyên trong máy ta vào Computer Management và chọn đến mục Shares. Trong cửa sổ bên phải sẽ hiển thị toàn bộ những tài nguyên và trạng thái đã share trên hệ thống.

VIII – INTERNET INFORMATION SERVICES (IIS)

1. Đặc điểm của IIS 6.0.
IIS là một ứng dụng trên Windows, nó cho phép chạy các ứng dụng như Web sites, FPT sites, và Application Pools trên nó. IIS 6.0 có sẵn trên tất cả các phiên của Windows Server 2003, IIS 6.0 trên Windows 2003 được nâng cấp từ IIS 5.0 của

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 112 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Windows 2000. IIS 6.0 cung cấp một số đặc điểm mới giúp tăng tính năng tin cậy, tính năng quản lý, tính năng bảo mật, tính năng mở rộng và tương thích với hệ thống mới. 1.1. Nâng cao tính năng bảo mật. IIS 6.0 không được cài đặt mặc định trên Windows 2003, người quản trị phải cài đặt IIS và các dịch vụ liên quan tới IIS. IIS 6.0 được cài trong secure mode do đó mặc định ban đầu khi cài đặt xong IIS chỉ cung cấp một số tính năng cơ bản nhất, các tính năng khác như Active Server Pages (ASP), ASP.NET, WebDAV publishing, FrontPage Server Extensions người quản trị phải kích hoạt khi cần thiết. 1.2 Hỗ trợ nhiều tính năng chứng thực: Anonymous authentication: cho phép mọi người có thể truy xuất mà không cần yêu cầu username và password. Basic authentication: Yêu cầu người dùng khi truy xuất tài nguyên phải cung cấp username và mật khẩu thông tin này được Client cung cấp và gởi đến Server khi Client truy xuất tài nguyên. Username và password không được mã hóa khi qua mạng. Digest authentication: Hoạt động giống như phương thức Basic authentication, nhưng username và mật khẩu trước khi gởi đến Server thì nó phải được mã hóa và sau đó Client gởi thông tin này dưới một giá trị của băm (hash value). Digest authentication chỉ sử dụng trên Windows domain controller. Advanced Digest authentication: Phương thức này giống như Digest authentication nhưng tính năng bảo mật cao hơn. Advanced Digest dùng MD5 hash thông tin nhận diện cho mỗi Client và lưu trữ trong Windows Server 2003 domain controller. Integrated Windows authentication: Phương thức này sử dụng kỹ thuật băm để xác nhận thông tin của users mà không cần phải yêu cầu gởi mật

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 113 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
khẩu qua mạng. Certificates: Sử dụng thẻ chứng thực điện tử để thiết lập kết nối Secure Sockets Layer (SSL). .NET Passport Authentication: là một dịch vụ chứng thực người dùng cho phép người dùng tạo sign-in name và password để người dùng có thể truy xuất vào các dịch vụ và ứng dụng Web trên nền .NET. IIS sử dụng Account (network service) có quyền ưu tiên thấp để tăng tính năng bảo mật cho hệ thống. Nhận dạng các phần mở rộng của file qua đó IIS chỉ chấp nhận một số định dạng mở rộng của một số tập tin, người quản trị phải chỉ định cho IIS các định dạng mới khi cần thiết. 1.3 Hỗ trợ ứng dụng và các công cụ quản trị. IIS 6.0 có hỗ trợ nhiều ứng dụng mới như Application Pool, ASP.NET. Application Pool: là một nhóm các ứng dụng cùng chia sẻ một worker process (W3wp.exe). Worker process (W3wp.exe) cho mỗi pool được phân cách với worker process trong pool khác. Một ứng dụng nào đó trong một pool bị lỗi (fail) thì nó không ảnh hưởng tới ứng dụng đang chạy trong pool khác. Thông qua Application Pool giúp ta có thể hiệu chỉnh cơ chế tái sử dụng vùng nhớ ảo, tái sử dụng worker process, hiệu chỉnh performance (về request queue, CPU), health, Identity cho application pool. ASP.NET: là một Web Application platform cung cấp các dịch vụ cần thiết để xây dựng và phân phối ứng dụng Web và dịch vụ XML Web. IIS 6.0 cung cấp một số công cụ cần thiết để hỗ trợ và quản lý Web như: IIS Manager: Hỗ trợ quản lý và cấu hình IIS 6.0 Remote Administration (HTML) Tool: Cho phép người quản trị sử dụng Web Browser để quản trị Web từ xa.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 114 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Command–line administration scipts: Cung cấp các Scipts hỗ trợ cho công tác quản trị Web, các tập tin này lưu trữ trong thư mục %systemroot%\System32.

2. Cài đặt và cấu hình IIS 6.0.
2.1 Cài đặt IIS 6.0 IIS 6.0 không được cài đặt mặc định trong Windows 2003 server, để cài đặt IIS 6.0 ta thực hiện các bước như sau: Chọn Start | Programs | Administrative Tools | Manage Your Server.

Chọn Application server (IIS, ASP.NET) trong hộp thoại server role, sau đó chọn Next.

Chọn hai mục cài đặt FrontPage Server Extentions và Enable ASP.NET, sau đó chọn Next. Chọn next trong hộp thoại tiếp theo

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 115 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Sau đó hệ thống yêu cầu cho đĩa Windows 2003 vào và chọn đến thư mục I386 trong đĩa và click OK.

Chọn Finish để hoàn tất quá trình. Tuy nhiên ta cũng có thể cài đặt IIS 6.0 trong Add or Remove Programs trong Control Panel bằng cách thực hiện một số bước điển hình sau: Mở cửa sổ Control Panel | Add or Remove Programs | Add/Remove Windows Components. Chọn Application Server, sau đó chọn nút Details. Tiếp theo tích lựa chọn hai mục Application Server Console và ASP.NET, tiếp chọn đến Internet Information Services sau đó chọn nút Details. Ở cửa sổ tiếp theo chọn tích vào các mục Common files, File Transfer Protocol(FTP) Services, Internet Information Services Manager. Sau đó chọn mục World Wide Web service và đó chọn nút Details… Sau đó ta chọn tất cả các Subcomponents trong Web Service.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 116 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Sau đó click Ok 3 lần và click Next cho hệ thống cài đặt IIS. Cho đĩa Windows 2003 và tìm đến thư mục I386 khi hệ thống yêu cầu. Click Finish để hoàn tất quá trình cài đặt IIS. 2.2 Cấu hình IIS 6.0 Sau khi ta cài đặt hoàn tất, ta chọn Administrative Tools | Information Service (IIS) Manager, sau đó chọn tên Server (local computer). Trong hộp thoại IIS Manager có xuất hiện 3 thư mục: Application Pools: Chứa các ứng dụng sử dụng worker process xử lý các yêu cầu của HTTP request. Web Sites: Chứa danh sách các Web Site đã được tạo trên IIS. Web Service Extensions: Chứa danh sách các Web Services để cho phép hay không cho phép. FTP sites: Giao thức truyền file

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 117 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Trong thư mục Web Sites ta có ba Web Site thành viên bao gồm: Default Web Site: Web Site mặc định được hệ thống tạo sẳn. Microsoft SharePoint Administration: Đây là Web Site được tạo cho FrontPage Server Extensions 2002 Server Administration Administration: Web Site hỗ trợ một số thao tác quản trị hệ thống qua web.

3.0 Web Server
Khi ta cấu hình Web Site thì ta không nên sử dụng Default Web Site để tổ chức mà chỉ dựa Web Site này để tham khảo một số thuộc tính cần thiết do hệ thống cung cấp để cấu hình Web Site mới của mình 3.1 Một số thuộc tính cơ bản. Trước khi cấu hình Web Site mới trên Web Server ta cần tham khảo một số thông tin cấu hình do hệ thống gán sẳn cho Default Web Site. Để tham khảo thông tin cấu hình này ta nhấp chuột phải vào Default Web Site chọn Properties.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 118 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Tab Web Site: mô tả một số thông tin chung về dịch vụ Web như: - TCP port: chỉ định cổng hoạt động cho dịch vụ Web, mặc định giá trị này là 80. - SSL Port: Chỉ định port cho https, mặc định https hoạt động trên port 443. https cung cấp một số tính năng bảo mật cho ứng dụng Web cao hơn http. - Connection timeout : Chỉ định thời gian duy trì một http session. - Cho phép sử dụng HTTP Keep-Alives.(Enable HTTP Keep-Alives) - Cho phép ghi nhận nhật ký (Enable logging) Performance Tab: cho phép đặt giới hạn băng thông, giới hạn connection cho Web site. Home Directory Tab: Cho phép ta thay đổi Home Directory cho Web Site, giới hạn quyền truy xuất, đặt một số quyền hạn thực thi script cho ứng dụng Web (như ta đặt các thông số: Application name, Execute permission, Application pool). Đường dẫn mặc định của web server là C:\intpub\

wwwroot

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 119 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Documents Tab: Để thêm hoặc thay đổi trang Web mặc định cho Web Site Directory Security Tab: Đặt một số phương thức bảo mật cho IIS như: chứng thực và truy cập từ xa, chặn hay không chặn những địa chỉ IP, máy hoặc domain truy cập vào website và mã hoá việc chứng thực trên server và client. 3.2 Tạo mới Website Các Web server phân biệt nhau dựa vào ba thành phần chính là: IP, tiên miền( hot header) và Port. Để tạo ra nhiều Web server chạy trên cùng một máy thì mỗi web server phải khác nhau một trong 3 thành phần trên. Dựa vào IP có thể tạo ra được nhiều web server khác nhau vì một máy có thể có nhiều IP do có nhiều Interface (card mạng), cách này không thể có quá nhiều website được vì một máy tính chỉ có thể có đến 4 hoặc 5 Interface. Do đó ta không thể tạo hơn được chừng đó web server. Port (cổng) thì mặc định là port 80 cho giao thức web http, mà đa số web browse truy cập web bằng giao thức này. Vì vậy không thể thay đổi cổng này cho web server. Do đó để tạo nhiều website trên một máy tính thì chỉ còn cách là dựa vào tên miền (hot header) để phân biệt. Để tạo ra nhiều miền trên cùng một máy phục vụ cho việc tạo web server thì chúng ta phải dùng đến DNS để tạo. Ở DNS chúng ta có thể tạo tuỳ ý tên miền và mỗi tên miền gắn với một website, và vì thế chúng ta có nhiều web server cùng chạy trên một máy.

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 120

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Ví dụ Tạo một trang web có tên là www.hoangthuy.com ta làm như sau: Trước hết tạo tên miền là hoangthuy.com. Vào DNS chuột phải vào Forword lookup zone chọn New zone, next hai lần sau đó đánh tên domain vào mục zone name, ấn next và ấn finish.

Sau khi tạo xong tên miền đưa con trỏ tới tên miền vừa tạo, tại cửa sổ bên phải chuột phải chọn New Host(A), sau đó đánh tên máy chủ và địa chỉ IP dành cho web server (nếu máy có hơn một card mạng) của máy chủ rồi ấn Add host

Tiếp theo cũng tại của sổ này tạo một Alias(CNAME) mới, cái này dùng để phần biệt các tên miền với nhau trong khi tạo web server. Chuột phải vào vùng trắng chọn New Alias, tại mục name đánh www, mục tên miền đầy đủ (FQDN) đánh địa chỉ đầy đủ của máy chủ và domain nghĩa là : CMS-Server.CMS-Computer.com, sau đó ấn OK.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 121 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Như vậy ta đã tạo xong tên miền hoangthuy.com, để biết tên miền hoạt động hay không ta ping tên miền đó, nếu tên miền reply nghĩa là tên miền đã hoạt động đúng còn ngược lại là tên miền chưa hoạt động đúng và chúng ta phải tạo lại. Tiếp theo chúng ta kết hợp tên miền vừa được tạo ra từ DNS với IIS để được web server. Mở của sổ Internet Information Service Manager, chuột phải vào web site chọn new web site. Next, tại mục Description đánh vào mô tả web site. Next đến mục thiết đặt địa chỉ IP, Port và host header cho website. Mục IP để tất cả các card mạng đều được truy cập đến website, mục port để mặc định là 80, mục host header đánh tên miền đã tạo trong DNS vào đây, ấn Next

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 122 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Tiếp đến mục Home Directory ấn nút Browse chọn đến thư mục chứa Web site trên server rồi ấn Next.

Tiếp theo đến mục Access Permission, để website được bảo mật và an toàn khi hoạt động thì chúng ta chỉ lựa chọn quyền read. Không nên cho quyền Run scrips và các quyền khác vì như thế web site rất dễ bị tấn công bằng nhiều cách.

Next và finish để kết thúc việc tạo website. Chúng ta đã tạo xong website, để cho website chạy đầu tiên trong mạng chúng ta chuột phải vào tên website đã tạo chọn properties. Trong tab Ducuments chọn Remove hết những trang web default và add vào đó tên trang chủ index của trang web chúng ta sau đó ấn OK hai lần.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 123 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Như vậy chúng ta đã tạo xong website www.hoangthuy.com. Để biết xem trang web hoạt động chưa ở cửa sổ IIS manager chuột phải vào tên website vừa tạo chọn Browse, ở cửa sổ bên phải sẽ mở ra giao diện trang web chúng ta đã đưa vào.

Như vậy Web server đã hoạt động, mọi người dùng trong mạng chỉ cần mở trình duyệt lên và gõ vào ô địa chỉ website muốn truy cập www.hoangthuy.com là sẽ

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 124 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
vào được website. Đó là cách tạo một web server, để tạo các trang web tiếp theo chúng ta làm tương tự từ việc tạo tên miền ở DNS và kết hợp với IIS để tạo ra các trang web khác nhau cùng hoạt động trên một máy. 4.0 FTP Server– File Transfer Protocol Server 4.1 Giới thiệu về FTP File Transfer Protocol là một phương pháp truyền file từ hệ thống mạng máy tính này đến hệ thống mạng máy tính khác giống như ta ngồi trên mạng LAN. 4.2 Các thuộc tính của FTP sites Mở cửa sổ IIS Manager lên ta thấy FTP sites, mặc định khi cài FTP thì có một Defaull FTP site hoạt động. Chuột phải vào Defaull FTP sites chọn properties ta có các tab thuộc tính của FTP như sau: Tab FTP sites: o Description: mô tả về FTP sites o IP Address: Địa chỉ IP Interface dùng cho FTP sites o Port: Cổng dành cho FTP, mặc định cổng này là cổng 21. o FTp sites connection: Không giới hạn hoặc giới hạn số lượng user truy cập vào FTP site cùng một lúc. o Enable logging: chứa các logfile của FTP sites. Tab Sercurity account: cho phép mọi người dùng hoặc chỉ những account nào được phép truy cập vào tài nguyên thông qua FTP sites Tab Messenger: Các thông báo từ FTP site khi người dùng logon, log-off khỏi ứng dụng FTP. Tab Home Directory: là nơi chọn đường dẫn tới thư mục chứa tài nguyên của FTP site, và các mục thiết đặt quyền cho các user được wite hay chỉ read. Tab Directory Sercurity: Cho phép thiết lập các từ chối hay không từ chối các máy tính hoặc nhóm máy tính được phép truy cập vào FTP. 4.3 Tạo mới FTP site Khác với Web sites, FTP sites chỉ cho phép trên một máy cùng một lúc chỉ đựoc một FTP sites được hoạt động. Do đó muốn tạo một FTP site mới chúng ta phải

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 125 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Stop Defaull FTP sites. Chuột phải vào Defaull FTP site chọn Stop. Tạo một FTP mới, chuột phải vào FTP site chọn New FTP site. Next, mục Description đánh vào mô tả về FTP site. Next đến mục lựa chọn địa chỉ IP và port cho FTP site, mục này để mặc định. Next đến mục FTP User Isolate, ở đây có 3 lựa chọn

Do not isolate user: Cho phép tài khoản vô danh, mọi user đều được truy cập vào thư mục của FTP site, nghĩa là user dùng tài khoản Anonymous để đăng nhập Isolate Users: Cho phép sử dụng tài khoản cục bộ truy cập vào FTP Isolate Users Using Active Directory: Cho phép sử dụng tài khoản trên domain truy cập vào thư mục của FTP site. Next đến mục FTP site Home Directory, ấn nút browse và chọn đến thư mục cần truyền file của FTP.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 126 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Next đến mục FTP site Access permission, mục này cho phép read và write, nếu chỉ cho người dùng FTP lấy file xuống thì chúng ta chọn quyền read, còn nếu muốn cho người dùng Up file lên thư mục của FTP thì ta chọn thêm quyền wite. Next và ấn finish để kết thúc việc tạo một FTP site. Để xem FTP site hoạt động chưa ta chuột phải vào tên FTP site chọn Browse, cửa sổ bên phải sẽ mở ra thư mục gốc mà chúng ta đã chọn cho FTP site.

Có hai cách lấy file từ FTP site đó là dùng trình ứng dụng Explorer trong Windows hoặc dùng lệnh trong DOS. Nếu dùng trình Explorer trong Windows thì người dùng chỉ cần mở Windows Explorer lên, đánh vào ô địa chỉ theo cú pháp sau: ftp://<IP hoặc host>,

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 127 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
chương trình sẽ đưa đến thư mục gốc của FTP. Người có thể lấy về hoặc up lên những dữ liệu người dùng cần theo quyền mà user người dùng được cấp Nếu dùng lệnh trong DOS thì tại cửa sổ DOS chúng ta đánh lệnh như sau: o ftp Enter o Open <IP hoặc host> Enter o User name: đánh vào username được cấp o Password: đánh vào password o Dir: dùng để xem file như trong dos o Lệnh lấy về: get tên file o Up file: Cho con trỏ về nơi chứa file cần up, sau đó đánh: put tên file

IX – MAIL SERVER
1. Giới thiệu
Mail Server là một chương trình phần mềm dùng để quản lý các Mail client. Có hai dạng Mail Server đó là Mail Online và Mail Offline. Mail Online: do nhà cung cấp tự quản lý và người sử dụng chỉ cần cấu hình Mail client. Mail Offline: người quản trị phải quản lý và tạo ra các account cho người dùng, loại mail này sử dụng phổ biến có hai loại là Mdeamon và Exchange

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 128 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Windows Server 2003 mặc định được tích hợp sẵn một ứng dụng quản lý Mail Server đó là dịch vụ POP3. Loại dịch vụ này sử dụng giao thức POP3 và SMTP để gửi và nhận Mail. POP3 có cổng mặc định là 110 và SMTP có cổng mặc định là 25. Người dùng mail client sẽ quản lý và sử dụng Mail client bằng chương trình Outlook Express, cái này cũng được tích hợp sẵn trong các phiên bản Windows của Microsoft. Nhưng hiện nay do nhu cầu công việc và các ứng dụng khác trong việc truyền và nhận mail nên việc dùng các dịch vụ tích hợp sẵn trong Windows của Microsoft không còn được dùng nhiều nữa. Các doanh nghiệp có xu hướng dùng các chương trình quản lý Mail của hãng phần mềm thứ 3 hoặc một phần mềm khác cũng của Microsoft nhưng không phải là tích hợp sẵn trong các phiên bản Windows. Hai chương trình quản lý Mail được dùng phổ biến hiện nay nhất là Mdeamon và Exchange. Các doanh nghiệp vừa và nhỏ, có quy mô mạng nhỏ và số lượng account không quá lớn thì thường dùng chương trình Mdeamon để quản lý Mail. Còn các doanh nghiệp lớn, qua mô mạng rộng khắp và có số lượng account khổng lồ thì dùng chương trình Exchange để quản lý Mail. Mdeamon là một phần mềm quản lý Mail của hãng Mdeamon (trang chủ www.mdeamon.com). Còn Exchange là một phần mềm của Microsoft dùng cho việc quản lý mail ở các công ty lớn, các tập đoàn. Với đề tài quản trị các mạng doanh nghiệp nhỏ nên em sẽ sử dụng Mdeamon làm chương trình quản lý mail. Mdeamon đã ra nhiều phiên bản từ khi ra đời tới nay, từ 1.x đến 9.x, ở đây em sẽ dùng chương trình Mdeamon phiên bản 9.6.1, phiên bản gần như mới nhất hiện nay.

2.0 Cài đặt Mail Mdeamon
Để cài đặt chương trình Mdeamon, cũng giống như cài đặt bất kì một chương trình nào khác, tìm đến thư mục và click đúp và file chương trình để cài đặt.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 129 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Chương trình sẽ load lên để cài đặt, một cửa sổ nữa hiện ra ấn Next để tiếp tục, tiếp theo là mục đăng kí Lisence Agreement, click mục I Agree. Tiếp theo, chọn thư mục gốc chứa chương trình để cài đặt, Next. Tiếp theo đến thư mục thông tin đăng kí.

Chúng ta điền đầy đủ thông tin đăng kí vào các ô Lisence name, Company name và Registration key rồi ấn Next, tiếp theo ấn Next để chương trình bắt đầu cài đặt.

Tiếp theo đến mục thiết đặt yêu cầu đặt tên miền cho Mail, chúng ta nên dùng luôn tên miền AD làm tên miền mail cho dễ quản lý mail sau này.

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 130

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Tiếp theo đến mục thiết đặt account đầu tiên cho miền Mail. Next

Chúng ta đánh tên đầy đủ vào Full name, hộp mailbox là địa chỉ mail của account, và dưới là password của địa chỉ mail đó. Next Tiếp theo đến mục thiết đặt địa chỉ IP DNS và địa chỉ IP Backup của DNS. Chúng ta đánh vào ô thứ nhất địa chỉ DNS chính và ô thứ hai là địa chỉ DNS backup nếu máy chúng ta có địa chỉ backup cho DNS. Next

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 131 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Tiếp theo là chọn chế độ chạy Mdeamon. Có hai chế độ chạy Mdeamon là chạy ở chế độ đơn giản “Easy” và chế độ nâng cao “Advanced”. Chúng ta chọn chạy ở chế độ Advanced. Next.

Ấn Next và ấn Finish để kết thúc quá trình cài đặt. Khi ấn Finish click mục chọn Start Mdeamon và chương trình Mdeamon được mở lên có giao diện chính như sau.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 132 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

3.0 Cấu hình Mail Mdeamon
Do thời gian và quy mô đồ án có hạn nên em chỉ giới thiệu về một số tính năng cơ bản của Mdeamon để chúng ta có thể cấu hình được Mail Server và sử dụng Mail client trong việc truyền và nhận Mail. Trước hết nói về các tính năng thông qua các Menu. Mdeamon có rất nhiều menu điều khiển nhưng chúng ta chỉ quan tâm tới một số menu chính sau: 3.1 Menu Setup: Menu này chứa các menu pop-up dùng để thiết đặt các chức năng của Mdeamon như:

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 133 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Domain-miền mail: Có hai loại miền mail là miền chính (primary) và miền phụ (secondary), có thể dùng miền của AD làm miền mai hoặc dùng miền mail riêng. World Client: Thiết đặt các thuộc tính về Mail client như cổng kết nối tới Mail server của Mail client, mặc định Mdeamon đặt cổng này là cổng 3000 chúng ta có thể đổi cổng này tuỳ ý miễn là không trùng với cổng hệ thống và các cổng đã dùng rồi, ví dụ ở đây em cho cổng mail client là cổng 2000. Số user tối đa kết nối tới của một phiên. Cho phép kết nối qua giao thức HTTP hay HTTPs. Thiết đặt kiểu ngày giờ, theme, ngôn ngữ cho Mail client…. RAS dial-up/dialdown: Các thiết đặt cho phép hay không cho phép truy cập và gửi mail từ xa thông qua dial-up. Bandwith throltling: Cho phép thiết đặt băng thông gửi và nhận mail. Miscellaeous Option: Các tuỳ chọn về thiết đặt mail như độ phức tạp mật khẩu chọn dòng require strong password, các giao thức truyền mail, hạn nghạch mail….v.v.. Và còn một số menu pop-up khác.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 134 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
3.2 Menu Security: Chứa các menu pop-up dùng để thiết đặt các thuộc tính về sercurity cho Mail server.

Antivirus: cho phép thiết đặt an toàn về chống virut trong mail. Content filter: Cho phép các thiết đặt về lọc mail, cho phép các file được attach kèm theo mail…. Để lọc và chặn mail ta chọn nút edit hoặc New, sẽ hiện ra một bảng danh sách những tuỳ chọn cho phép chúng ta chọn để lọc mail.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 135 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

DNS Black lists: Cho phép thiết đặt các máy, địa chỉ IP và địa chỉ DNS gửi lại. Spam Filter: Cho phép các thiết đặt chống lại các spam mail (thư rác). SSL & Certificates: Cho phép thiết đặt các giao thức kết nối trong Mdeamon, World Client và Web Admin. Relay, trusts, tarpit…: cho phép thiết đặt độ trễ trong khi gửi mail, các quan hệ tin cậy giữa các máy chủ mail…. Ipshielding, AUTH, POP before SMTP: Cho phép thiết đặt các chứng thực trong việc đăng nhập và Mail server, cho phép hay không cho phép truyền nhận maik bằng giao thức POP trước SMTP…. 3.3 Menu Account: Chứa các menu pop-up dùng cho việc thiết đặt và quản trị account trong Mail server.

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 136

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Account Manager: cho phép quản lý và chỉnh sửa các thông tin về account trong mail như sửa tên, thay đổi mật khẩu, nơi lưu trữ account và hộp thư, cho phép chuyển tiếp mail hay không, thiết đặt hạn nghạch mail: cho phép thiết đặt hạn nghạch mail của account và thiết đặt lịch xoá account, xoá mail trong một khoảng thời gian xác định được nhập vào, chia sẻ mail, lọc mail chỉ nhận những mail được phép và các tuỳ chọn khác.

Trong thẻ tab Restrictions có hai mục chọn quan trọng là Inbound mail restrictions và Outbound mail restrictions:

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 137 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Inbound mail restrictions: tích vào lựa chọn “this account can’t receive messenger from the outsite world”: Sẽ cho phép Account không nhận bất kì mail nào trừ những mail được chỉ ra dưới đây. Ví dụ chúng ta muốn account chỉ nhận địa chỉ mail của công ty và địa chỉ hotmail ngoài ra không nhận bất kì một mail nào khác thì chúng ta add vào mục đó là @cms-computer.com và @hotmail.com. Outbound mail restrictions: tương tự trên nhưng đây là mục lựa chọn cho phần gửi mail đi của account. Nếu chúng ta muốn người dùng chỉ gửi mail đi vào địa chỉ mail của công ty và các địa chỉ mail khác như yahoo hay google thì chúng ta add các địa chỉ mail đó vào mục này. Account Database, Active Directory, minger: Cho phép thiết đặt nơi chứa cơ sở dữ liệu của account, cho phép sử dụng account trong AD…. New account default, group: cho phép thiết đặt các thuộc tính của account được tạo mặc định, hạn nghạch mail của account và các nhóm account. New, Edit, Delete account: Cho phép tạo mới, chỉnh sửa mọi thông tin về account và xoá account khỏi danh sách.

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 138

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Importing: Cho phép Import account từ một file text hay Import account từ SAM hoặc Active Directory. Để tiện cho việc quản lý các User thì chúng ta nên dùng các account trong AD làm account cho mail. Do đó khi tạo mới một account trong mail thì nên Import account trong AD vào miền của account mail. Để Import toàn bộ account trong AD và miền mail thì chúng ta chọn Import account from SAM/Active Directory. Ở cửa sổ bên trái là các account trong AD, chúng ta lựa chọn các account rồi chuyển sang cửa sổ bên cạnh. Sau khi đã lựa chọn các account cần Import thì chúng ta ấn nút Import Selected Accounts để nhập account từ miền vào miền Mail.

Sau khi nhập các account xong, quay về cửa sổ Account manager sẽ có toàn bộ account của miền mail. Chúng ta cần thiết lập lại các thông tin của account, nhất là password vì yêu cầu client truy cập mail phải có password. Password này sẽ khác với password của account trong AD. Exporting: Cho phép trích xuất account ra các dạng file lưu trữ khác nhau mà Mdeamon hỗ trợ. 3.4 Sử dụng Mail trên client

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 139

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Sau khi thiết lập các thuộc tính cho Mail Server xong, trên client truy cập vào mail client như sau: mở trình duyệt lên, đánh vào ô địa chỉ là địa chỉ của miền Mail và thêm :port mail đằng sau, ở đây miền mail chính là miền của Active Directory.

Tại ô địa chỉ mail đánh tên account của user trong mail và dòng dưới đánh mật khẩu của account sau đó ấn sign in. Sau khi đăng nhập thành công, chương trình sẽ mở ra cửa sổ mail client

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 140

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Tại đây người dùng mail có thể cấu hình một số thông tin mail client theo ý mình. Giao diện chính của Mail client gồm 3 phần. Bên trái là các mục như: Folder, Inbox, Calendar, Contacts, Tasks, Notes, Option và Sign Out. Ở giữa là ô chứa địa chỉ mail và bên phải chứa nội dung của một mail khi được lựa chọn. Người dùng có thể dùng mail client để gửi và nhận mail như những chương trình mail client khác.

X – ROUTING AND REMOTE ACCESS SERVICE 1. Giới thiệu về Routing and Remote Access
Service Pack 2 của Windows NT 3.51 bao gồm các thành phần định tuyến đa giao thức như là Routing Information Protocol (RIP) và Service Advertising Protocol (SAP). Windows NT 4.0 đã thay thế dịch vụ này với một dịch vụ đã được tích hợp – RRAS, mà nó thực hiện cả việc Remote Access và định tuyến đa giao thức. RRAS trong Windows server 2003 được xây dựng trên RRAS của Windows NT 4.0. Nó cung cấp các tính năng sau đây:

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 141 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Internet Group Management Protocol (IGMP) và ranh giới Multicast Định tuyến Apple Talk được tích hợp Giao thức L2TP (Layer 2 Tunneling Protocol) trên IPSec (IP Security) cho các kết nối VPN Cung cấp các thành phần địa chỉ và giải pháp chuyển đổi tên, làm cho dễ dàng để thực hiện các kết nối từ mạng Small Office / Home Office (SOHO) vào Internet. Sự mở rộng trong IAS (Internet Authentication Service), công cụ quản trị và quản lý. Các chuyên viên thiết kế có thể sử dụng RRAS để mở rộng các giao diện chương trình ứng dụng để tạo ra các tùy biến để giải quyết vấn đề mở rộng liên mạng (Internetworking). Với việc trợ giúp của tính năng RRAS, một máy tính đang chạy Windows 2003 server có thể được hiểu theo bất kì điều nào dưới đây: Multiprotocol router: RRAS cung cấp Windows 2003 Server các khả năng để các giao thức định tuyến IP, IPX, và Apple Talk có thể đồng thời hoạt động trên mạng. Remote Access Server: RRAS làm cho Windows 2003 có khả năng trong việc cung cấp các user để truy cập từ xa. Một kết nối từ xa có thể được thiết lập hoặc là thông qua một kết nối quay số hoặc thông qua một VPN. Nó hỗ trợ các client sử dụng các giao thức IP, IPX. Apple Talk và NetBEUI. Demand-dial Router: RRAS cung cấp cho Windows 2003 khả năng định tuyến trên các liên kết IP, IPX hoặc WAN. Các liên kết WAN có thể là một loại theo yêu cầu (on-demand) hoặc loại liên tục (persitent) Nói chung Windows 2003 sử dụng Point-to-Point Protocol (PPP) cho việc thành lập một kết nối truy cập từ xa cho các client. Nó giữ gìn các tham số liên kết, dàn xếp giao thức tầng mạng và thay đổi các giấy phép xác thực. Các loại truy cập dưới đây được hỗ trợ bởi hạ tầng PPP của Windows 2003: Dial-up remote access như một client hoặc một server VPN remote access như một client hoặc một server

2. Remote Access

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 142 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Windows 2003 server cho phép các client từ xa để kết nối tới server truy cập từ xa bằng cách sử dụng một số các thiết bị phần cứng modem, Integrated Services Digital Network (ISDN) adapter và Digital Subscriber Line (DSL) modem. Truy cập từ xa chạy Routing and Remote Access có khả năng hỗ trợ các giao thức khác nhau cho truyền tải dữ liệu và giao thức VPN. Một giao thức truy cập từ xa như PPP được sử dụng cho việc kết nối đến các server truy cập từ xa. Server truy cập từ xa là một máy tính, nó đang chạy Windows 2003 và hỗ trợ RRAS. Nó xác thực các user và các phiên truy cập từ xa cho đến khi user hoàn thành phiên của người quản trị mạng. Vai trò của server truy cập từ xa là một gateway cho việc gửi dữ liệu giữa các clietn và LAN. Client gửi dữ liệu đến và nhận dữ liệu từ server truy cập từ xa. Sử dụng giao thức như TCP/IP dữ liệu được mã hoá và sau đó nó được gói trọn trong giao thức truy cập từ xa. Hai loại kết nối truy cập từ xa được cung cấp bởi Windows 2003 truy cập từ xa: Dial-up Remote Access: Để kết nối đến một mạng dial-up truy cập từ xa, client truy cập từ xa tạo ra để sử dụng các mạng viễn thông, nó có thể là Public Switch Telephone Network (PSTN). PSTN đã tạo ra một kết nối vật lý đến cổng trên một server truy cập từ xa, mà nó có thể được thực hiện bằng cách sử dụng một modem hoặc sử dụng ISDN adapter cho việc quay số đến server truy cập từ xa. Dial-up truy cập từ xa cho phép các user kết nối đến từ một vị trí từ xa đến mạng. Nhưng vấn đề với kiểu truy cập này là ở chỗ, nếu đa client được định vị tại các vị trí khác nhau thì phí tổn điện thoại sẽ trở lên rất cao. Do đó một phương pháp thay đổi cho điều này sẽ được xem như việc giải quyết một VPN cho kết nối từ xa. Vitual Private Network (VPN): Một VPN cung cấp truy cập từ xa rất an toàn thông qua Internet và không tạo ra để sử dụng các kết nối dial-up. VPN client sử dụng địa chỉ liên mạng IP cho việc tạo mã hoá, Point-to-Point kết nối ảo cho gateway VPN trên mạng riêng. Người sử dụng thiết lập một kết nối VPN với một cổng gateway VPN bằng cách kết nối đến Internet ISP. Nhân viên công ty đang ở xa có thể quay số đến ISP địa phương và thiết lập một kết nối VPN đến mạng của công ty.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 143 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
3.0 Dial-up Remote Connection
Các kết nối quay số từ xa (Dial-up Remote Connection) có một client truy cập từ xa, server truy cập từ xa và một hạ tầng mạng WAN. Giao thức truy cập từ xa điều khiển việc truyền dữ liệu trên WAN và các giao thức LAN điều khiển việc truyền dữ liệu trên các mạng cục bộ. Sau đây là các lựa chọn khi sử dụng Dial-up remote connection: Remote Access Client: Client truy cập từ xa có thể là một máy tính bất kì nào chạy hệ điều hành Microsoft. Bất kỳ một máy tính sử dụng hệ điều hành của Microsoft hay Unix hay Apple Mac có sử dụng giao thức PPP điều có thể kết nối đến Windows 2003 Remote Access Server. Client cũng có thể quay số đến một giao thức SLIP(Serial Line Interface Protocol), đây là giao thức quay số kết thừa không có bất kì một sự an toàn, độ tin cậy hoặc hiệu xuất so với giao thức PPP. Windows Server 2003 không hỗ trợ kết nối quay số SLIP. Remote Access Service Server: Server này chấp nhận các kết nối quay số và trả lại các gói giữa các Remote Access Client và Remote Access Server. Hạ tầng WAN và thiết bị Dial-up: Các thiết bị dial-up tại các máy tính client có thể có nhiều loại khác nhau cho các kết nối logic hoặc vật lý đến các server truy cập từ xa. Các loại khác nhau của các thiết bị Dial-up có thể được sử dụng cho việc kết nối đến server: Public Switched Telephone network(PSTN): Loại mạng này hữu ích trong việc truyền âm thanh những nó sử dụng nhỏ trong việc truyền dữ liệu. Các thiết bị dial-up bao gồm các modem tương tự cho cả client và server từ xa. Trong trường hợp tổ chức lớn thì có bank modem, chứa đựng hàng trăm modem để thực hiện tối đa 33.600 bit/s Digital Links and V. 90: Bằng cách sử dụng modem V.90 chúng ta có thể gửi dữ liệu 33.6 Kbps và có thể nhận dữ liệu với 56 Kbps. Tốc độ V.90 chỉ có thể được thực hiện khi client truy cập là sử dụng một modem V.90, RAS server sử dụng một chuyển mạch số V.90 và một liên kết số cho việc kết nối đến một PSTN và chuyển đổi analog-to-digital không được thực hiện giữa RAS server và client truy cập từ xa.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 144 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Intergated Services Digital Network: Một tập các đặc điểm kĩ thuật quốc tế được hiểu là ISDN, nó được tạo ra để thay thế PSTN. ISDN có thể sử dụng fax, voice, data và các dịch vụ khác trong một mạng kĩ thuật số đơn. Thời gian kết nối và tỉ lệ truyền tải dữ liệu cao khi được so sánh với PSTN. Một kênh PSTN có thể được thực hiện 64 Kbps và cũng không có việc chuyển đổi analog-todigital xảy ra. Đa kênh được đưa ra bởi ISDN. ADSL: Dựa trên các khách hàng và các giao dịch nhỏ một kĩ thuật lặp địa phương mới được gọi là Asymmetric Digital Subscriber Line (ADSL) được sử dụng. Tốc độ bit cao hơn PSTN và ISDN có thể nhưng tốc độ bit khác trong quá trình thu thập và xuất dữ liệu. Chúng ta có thể thực hiện tốc độ là 64 Kbps từ khách hàng và 1.544 Mbps đến khách hàng. X.25: Một chuẩn quốc tế cho việc truyền tải dữ liệu trên mạng chuyển mạch gói công côngk được gọi là X.25. Windows 2003 hỗ trợ X.25 bằng cách tạo ra để sử dụng card smart X.25, nó kết nối trực tiếp đến mạng dữ liệu X.25 bằng cách sử dụng giao thức X.25 cho việc thiết lập các kết nối và truyền tải dữ liệu. Windows 2003 cũng có thể hỗ trợ X.25 bằng kết nối trực tiếp đến mạng X.25 bằng cách sử dụng card smart X.25. Remote Access Protocols: Các giao thức điều khiển truy cập từ xa như thế nào đó để các kết nối được thiết lập và bằng cách nào đó truyền tải dữ liệu trên các liên kết WAN. Server cùng với hệ điều hành của client và giao thức LAN quyết định các giao thức mạng mà các client có thể sử dụng. Các giao thức truy cập từ xa được hỗ trợ bởi Windows 2003 là: PPP: PPP là giao thức truy cập từ xa thường xuyên được sử dụng nhất, nó cho phép các client (multivendor). Microsoft Remote Access Protocol: Các máy client đang chạy trên Windows NT 3.1, MS-DOS hoặc LAN manager thì cần sử dụng giao thức NetBEUI và server cần sử dụng giao thức RAS như một gateway cho các client này. Trong trường hợp các máy client đang chạy Windows 2000 thì giao thức RAS có thể và các server chạy trong các mạng đa nhà cung cấp

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 145 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
sử dụng cho việc kết nối đên Windows NT 3.1, MS-DOS, LAN manager, Windows for Workgroup server. Serial Line Internet Protocol(SLIP): Các server truy cập từ xa trước kia sử dụng SLIP, Windows 2003 không hỗ trợ SLIP. AppleTalk Remote Access Protocol(ARAP): Giao thức ARAP có thể được sử dụng cho kết nối đến các client Apple Macintosh đến server truy cập từ xa. LAN Protocol: Để truy cập các tài nguyên trên RAS server, các máy tính client tạo ra để sử dụng các giao thức LAN. Các giao thức TCP/IP, NetBEUI, Nwlink và AppleTalk là các giao thức LAN được hỗ trợ bởi Windows 2003.

4.0 Vitual Private Network Connection
Các User luôn di chuyển hoặc làm việc từ nhà có thể sử dụng mạng riêng ảo(VPN) cho kết nối đến server từ xa. Nó tạo ra để sử dụng hạ tầng của routing được cung cấp bởi internet. Kĩ thuật cũng cho phép các tổ chức kết nối với các văn phòng địa phương trong việc bảo vệ an toàn các kết nối. Kết nối VPN hoạt động như môt liên kết dành cho WAN. User từ xa gọi đến ISP địa phương, sau đó một VPN tạo ra liên kết dialup user và VPN server. Chúng ta có thể hoặc là sử dụng các đường danh riêng hoặc là các đường quay số cho các kết nối đến mạng trên Internet. Dedicated Lines: Văn phòng chi nhánh và văn phòng công ty mẹ có thể kết nối vơi nhau bằng cách sử dụng internet. Router văn phòng chi nhánh và router công ty mẹ có thể kết nối đến Internet bằng cách sử dụng một đường cục bộ dành riêng và ISP địa phương. Kết nối ISP là được sử dụng để tạo ra một kết nối VPN giữa hau router. Dial-up Lines: Router tại văn phòng chi nhánh sẽ gọi lên ISP địa phương còn hơn là tạo ra một cuộc gọi đuờng dài đến router của công ty mẹ hoặc NAS(Netửok Access Server). Sử dụng kết nối đến ISP địa phương, kết nối VPN được tạo ra giữa các hub Router của công ty mẹ và router của văn phòng chi nhánh. Chỉ có vấn đề với các đường quay số là router tại công ty mẹ phải được kết nố đến ISP địa phương 24 giờ/ngày. Một số dữ liệu có thể hỏng và không thể được truy cập bằng các kết nối mạng cục bộ LAN. Vì vậy để khắc phục vấn đề này VPN cho phép công ty trở thành kết nối vật lý để

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 146 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
nối đến tập đoàn Internetwork nhưng tại cùng một điểm thời gian được tách rời bởi các VPN Server. Trong tương lai dữ liệu truyền qua VPN có thể được mã hoá an toàn hơn. 4.1 Kĩ thuật đường hầm (Tunnel) Để truyền tải các đơn vị dữ liệu như các frame hoặc các packet một phương pháp được gọi là Tunnel được sử dụng, mà nó sử dụng hạ tầng liên mạng để thực hiện điều này. Một tunnel là đường dẫn logic thông qua đó các gói tin được chuyển qua liên mạng. Trong phương pháp này frame được đóng gói với việc bổ xung thêm header chứa thông tin định tuyến. Điều này giúp cho các frame đi qua được các liên mạng trung gian. Các gói tin được đóng gói thì được gửi đi giữa các điểm cuối tunnel. Các frame được mở gói khi đi đến đích trên liên mạng và được chuyển đến đích cuối cùng. Cả tunnel client và tunnel server phải sử dụng các giao thức tunnel tương tự để thiết lập một tunnel. Một số giao thức tunnel là PPTP và L2TP. Sự phân phối dự liệu tin cậy là không được bảo đảm khi sử dụng một tunnel. Datagram được dựa trên giao thức như các giao thức UDP hoặc GRE được sử dụng cho truyền tải dữ liệu. Tunnel client khởi tạo thành tunnel từ một đầu cuối. Tunnel server tại một điểm cuối khác nhận yêu cầu. Tunnel phải được tạo ra đầu tiên sau đó dữ liệu được bắt đầu truyền đi. Quá trình kết nối tương tự quá trình kết nối đến PPP. Tunnel server trả lời cho việc xác thực User trước khi truyển tải dữ liệu. Kể từ đó client xác thực chính nó, quá trình truyền tải dữ liệu bắt đầu qua tunnel. Các tunnel được thiết lập phải được duy trì cho PPTP và L2TP. Hai đầu cuối của tunnel phải biết mỗi trạng thái khác trong trường hợp một kết nối thất bại. Kết thúc của các tunnel thu được một cách định kì khi dữ liệu không được truyền tải để kiểm tra nếu kết nối không còn hoạt động. Quá trình này được gọi là quá trình keep-alive. Một kết nối mĩ mãn của tunnel có thể được thực hiện từ mỗi đầu cuối của tunnel. Điều này được thực hiện bằng cách thay đổi các thông điệp kết thúc tunnel giữa hai đầu cuối. 4.2 Các giao thức VPN Các giao thức được sử dụng cho VPN bởi Windows 2003 là PPTP, L2TP, IPSec và IP-IP. Các giao thức này có thể làm việc độc lập hoặc cùng nhau. - Point-to-Point Tunneling Protocol (PPTP): Giao thức PPTP là một sự mở rộng của giao thức PPP, nó đóng gói các frame PPP trong các IP datagram. Sau đó các IP

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 147 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Datagram được chuyển trên liên mạng IP như là Internet. PPP được tạo để sử dụng cho các kết nối TCP để bảo vệ đường hầm(tunnel). Sự thay đổi GRE được tóm lược các frame PPP được sử dụng cho đường hầm dữ liệu. Các frame PPP này có thể được nén hoặc mã hoá để đảm bảo an toàn. Các phương pháp xác thực tương tự được sử dụng bởi các kết nối PPP mà nó được sử dụng cho quá trình xác thực các tunnel PPP. Nó thừa kế quá trình nén và mã hoá các PPP các đơn vị dữ liệu từ PPP. Nó cũng có thể được sử dụng cho các mạng riêng LAN-to-LAN. - Layer 2 Tunneling Protocol: Giao thức L2TP cung cấp một tunnel giữa các domain không có tin cậy trong một mạng tương tự giao thức PPTP. Cả hai giao thức này cung cấp việc bắt đầu đóng gói dữ liệu sử dụng PPP. Giao thức L2TP cấu thành từ PPTP và L2F(Layer 2 Forwarding). Nó đóng gói các frame PPP, nó có thể được gửi trên IP, frame relay, X.25 hoặc mạng ATM. L2TP có thể được sử dụng như giao thức tunnel trên Internet nếu nó sử dụng IP như là truyền tải của nó. Sự bảo vệ Tunnel L2TP sử dụng UDP và một dãy các thông điệp điều khiển L2TP. Xa hơn nữa sử dụng UDP để gửi các frame PPP như tunnel data. Chúng ta có thể nén hoặc mã hoá các frame PPP đã được đóng gói. L2TP sử dụng IPSec trong việc mã hoá để mã hoá các frame PPP. Đó là một cách cụ thể để tạo ra các client để kết nối đến mạng truy cập các server và cũng cho kết nối gatewayto-gateway. L2TP có thể cung cấp đa giao thức hỗ trợ cho các giao thức mạng khác nhau như IPX và AppleTalk sử dụng PPP. PPP cũng cung cấp việc xác thực user như CHAP, MS-CHAP phiên bản 2 và EAP. Do đó, L2TP trên IPSec cung cấp thao tác việc xác định tunnel rõ ràng mà nó cung cấp sự an toàn chắc chắn. - IPSec: IPSec cung cấp việc xác thực toàn bộ và riêng lẻ về IP. IPSec cung cấp hai loại tunnel: Encapsulating Security PayLoad(ESP) cho việc xác thực, sự tách biệt và tính toàn vẹn và Authentication Header (AH) định dạng nó cho việc xác thực và tính toàn vẹn nhưng không cách biệt. IPSec có thể không được sử dụng trong hai chế độ là: Transport Mode và Tunnel Mode. Chế độ Transport bảo đảm tồn tại một gói IP từ nguồn tới đích. Trong trường hợp chế độ tunnel tồn tại một gói IP đưa vào trong một gói IP mới và được gửi đến điểm cuối tunnel. Các chế độ này có thể được đóng gói hoặc là ESP

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 148

Qu¶n TrÞ M¹ng Víi Windows Server 2003
header là AH header. Chế độ Transport IPSec được thiết kế để cung cấp an toàn cho IP truyền thông giữa các hệ thống truyền thông and-to-and. Chế độ Tunnel IPSec được thiết kế cho các router mạng hoặc các gateway để an toàn truyền thông IP khác bên trong IPSec tunnel. IPSec tunnel kết nối giữa một IP riêng các mạng và IP mạng khác trên mạng IP ảo hoặc mạng công cộng. Internet Key Exchange (IKE) được sử dụng để thực hiện việc điều hành truyền thông an toàn phức tạp giữa 2 máy tính. - IP-IP: IP-IP hoặc IP trong IP là một phương thức tunnel đơn. Sử dụng phương thức này đến truyền thông tunnel multicast trên các khu vực mạng, nó không hỗ trợ định tuyến multicast. Việc bổ xung IP header được tạo ra trong việc đóng gói các gói IP do đó phải tạo một mạng ảo. Cấu trúc IP-IP cấu trúc thành bên ngoài IP header, bên trong IP header, tunnel và IP payload. Payload này bao gồm UDP, TCP và dữ liệu.

5.0 Cài đặt và cấu hình RRAS 5.1 Cài đặt và cấu hình trên Server
Trong Windows 2003 dịch vụ RRAS được cài đặt một cách tự động trong quá trình cài đặt Windows 2003 nhưng ở dạng disable. Sử dụng snap-in Routing and Remote Access chúng ta có thể cho phép thiết lập cấu hình RRAS. Theo mặc định thì Windows Server 2003 cục bộ được liệt kê như một RRAS Server. Việc thêm máy tính có thể được thêm tại mục gốc Routing and Remote Access hoặc mục Server Status. Để cài đặt RRAS chúng ta làm như sau: Start\ Program\ Administrative Tools\ Routing and Remote Access. Cửa sổ Routing and Remote Access mở ra, chúng ta chọn tên server cần thiết lập, chuột phải chọn Configure and Enable Routing and Remote Access.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 149 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
Tiếp theo một cửa sổ wizard hiện ra. Dịch vụ RRAS được cho phép và được cấu hình tuỳ theo việc chọn lựa của chúng ta trong wizard. Các máy tính sử dụng dịch vụ wizard phải có các địa chỉ IP của lớp A, B hoặc C riêng của chúng. Các địa chỉ này đựoc dành riêng một cách cụ thể cho các mạng riêng sử dụng. Sau khi config chúng ta cũng có thể cho phép Disable dịch vụ này, sau khi disable dịch vụ thông tin đăng kí được gỡ bỏ và các client kết nối cũng được huỷ kết nối. Next Một cửa sổ gồm các lựa chọn cho việc thiết lập truy cập từ xa hiện ra: Remote Access(Dial-up or VPN): Cho phép thiết lập các kết nối Dial-up hoặc VPN server Nework Address Translation (NAT): Thiết đặt cho phép các IP bên trong mạng có thể ra ngoài Internet bằng việc sử dụng Public địa chỉ IP Vitual Private Network (VPN) and NAT: thiết lập sử dụng VPN cùng với NAT Secure connection between to private network: Kết nối mạng với các mạng ở xa. Custom configuration: cho phép thiết đặt các tuỳ chọn khác có trong Routing and Remote Access.

Do thời gian và điều kiện không có đủ cơ sở hạ tầng mạng như Router, switch và đường ADSL và các máy tính nên em chỉ cấu hình dịch vụ này ở dạng VPN ở mức đơn giản nhất. Chọn Remote Access và Next.

Writened by: Hoμng V¨n Thuû. All Right Reserver
-

Trang - 150

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Tiếp theo cửa sổ hiện ra cho phép chúng ta chọn kiểu kết nối VPN hay Dial-up hay cả hai, chọn cả hai kiểu kết nối và Next.

Tiếp theo mục VPN connection cho phép lựa chọn card mạng nào sẽ là card mạng dùng để kết nối với Internet bên ngoài. Vì cấu hình RRAS nên tối thiểu máy chủ RRAS phải có hai card mạng, một card mạng nối với modem ra ngoài Internet và một card nối với mạng LAN bên trong Internet (phân biệt bằng cách đặt IP theo lớp mạng). Chọn card mạng mà chúng ta nối ra ngoài Internet, lựa chọn dòng dưới là Enable security cho card mạng được lựa chọn để thiết đặt bảo, ấn Next.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 151 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Tiếp theo là lựa chọn card mạng bên trong mạng LAN, card mạng mà VPN client truy cập tới VPN server. Lựa chọn card mạng và ấn Next.

Lựa chọn tiếp theo cho phép tự động lấy địa chỉ của DHCP Server hay lấy từ một giải địa chỉ đặc biệt cho trước. Chọn Automatically và ấn Next.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 152 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Tiếp theo là lựa chọn phương thức chứng thực RADIUS, nếu không dùng phương pháp chứng thực RADIUS thì sử dụng phương thức chứng thực authenticate của windows. Ấn Next và finish kết thúc quá trình tạo VPN server. Lúc này hệ thống sẽ bắt đầu thực hiện khởi động dịch vụ.

5.2 Truy cập trên Client Trên client muốn truy cập tới VPN Server thì cần tạo một kết nối client đến server. Chuột phải vào My Network Places chọn properties, chọn mục Create a new connection, tiếp theo chọn connection to the network at my work place.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 153 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Next tiếp theo chọn Vitual Private Network connection, Next

Tiếp theo đánh tên công ty (tên miền muốn truy cập nếu công ty đó có tên miền) vào ô Company name

Tiếp theo đánh địa chỉ IP của nơi muốn truy cập tới. Nếu là truy cập trong mạng nội bộ thì chúng ta đánh địa chỉ chỉ của server ở đây. Nếu truy cập qua hạ tầng mạng Internet thì chúng ta phải đánh địa chỉ ISP của modem nơi truy cập đến. Nếu chúng ta đăng kí với ISP mà có được địa chỉ IP tĩnh thì chúng ta đánh vào đây, còn nếu sử dụng địa

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 154 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
chỉ IP động thì cần dùng đến một số chương trình update IP như dyndns hoặc noIP để biết địa chỉ IP modem hiện tại đang là gì.

Next đến mục hỏi kết nối cho mọi người hay chỉ một mình user, nếu chúng ta kết nối một mình thì chọn My user only và ấn Next.

Tiếp theo một cửa sổ kết nối mở ra cho chúng ta đánh username và password để kết nối đến server. User này nằm trong domain thì phải được cho phép kết nối (Allow Access) trong tab Dial-in trong mục thuộc tính của user này. Khi ấn vào connect nếu kết nối thành công sẽ có thông báo như sau

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 155 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003

Click Accept để đồng ý kết nối đến server VPN. Lúc này chúng ta đã kết nối thành công tới server VPN và mọi thao tác có thể như ngồi trên LAN. Để biết chúng ta kết nối chưa và nhận được IP từ máy chủ VPN là bao nhiêu thì chúng ta kiểm tra IP bằng cách run cmd và đánh lệnh ipconfig/all. Cửa sổ cmd sẽ cho chúng ta biết chúng ta nhận được IP bao nhiêu từ server và các thông số DHCP của server VPN.

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 156 -

Qu¶n TrÞ M¹ng Víi Windows Server 2003
TÀI LIỆU THAM KHẢO I) Sách tham khảo 1. Windows 2000 Server, Trung tâm đào tạo Lập Trình Viên Quốc tế Bách Khoa – Aptech. NXB Tập Đoàn Aptech WorldWide tháng 04 năm 2004. 2. Windows XP Professional, NXB Trung tâm Bách khoa – Aptech tháng 4/2004. 3. Quản trị mạng và Ứng dụng của Active Directory, tác giả K.S Ngọc Tuấn, NXB Thống Kê, Năm XB 2004, số trang 378 4. Mạng truyền thông Công Nghiệp, tác giả Hoàng Minh Sơn, NXB Khoa học kĩ thuật, năm XB 2004, số trang 256 5. 100 Thủ thuật bảo mật mạng, tác giả K.S Nguyễn Ngọc Tuấn, Hồng Phúc, NXB Giao thông vận tải, năm XB 2005, số trang 335. II) Website 1. www.quantrimang.com 2. www.manguon.com 3. www.nhatnghe.com 4. www.adminvietnam.com.vn

Writened by: Hoμng V¨n Thuû. All Right Reserver

Trang - 157 -

Sign up to vote on this title
UsefulNot useful