8. Xây Dụng Và Quản Trị Môi Trường Mạng Doanh Nghiệp

Quản trị và xây dụng môi trường mạng doanh nghiệp
XÂY DỤNG VÀ QUẢN TRỊ MÔI TRƯỜNG MẠNG DOANH NGHIỆP
BÀI 1: XÂY DỰNG WINDOWS SERVER 2003 ACTIVE DIRECTORY ........ 2

BÀI 2: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG, MÁY TÍNH VÀ NHÓM ..... 30
BÀI 3: QUẢN TRỊ TRUY XUẤT TÀI NGUYÊN FILE ............................................ 56
BÀI 4: QUẢN TRỊ TRUY XUẤT TÀI NGUYÊN PRINTER .................................. 74
BÀI 5: QUẢN TRỊ MÔI TRƯỜNG MẠNG GROUP POLICY .............................. 82
BÀI 6: GIÁM SÁT HOẠT ĐỘNG MÁY CHỦ ........................................................... 100
BÀI 7: QUẢN TRỊ LƯU TRỮ VÀ BẢO MẬT DỮ LIỆU ....................................... 120
BÀI 8: QUẢN TRỊ SỰ CỐ HỆ THỐNG MÁY CHỦ ................................................ 153
-1-
BÀI 1: XÂY DỰNG WINDOWS SERVER 2003 ACTIVE DIRECTORY
Mục tiêu:
¾ Giải thích Forest, Tree, Domain, OU

¾ Xây dựng DC
¾ Hiểu biết các lớp chứa của ADUC
¾ Giai nhập Client vào Domain
¾ Xử lý các sự cố DC, logon
1.1. Xây dựng Windows Server 2003/2008 Domain Controller (DC)

Hệ điều hành Windows thông dụng được chia làm 2 dạng: dạng sử dụng cho mục đích cá nhân và cho hệ
thống mạng. Hệ điều hành Windws sử dụng cho hệ thống mạng được gọi là hệ điều hành mạng và có
nhiều điểm khác biệt so với phiên bản sử dụng cho mục đích cá nhân nhất là khả năng phục vụ cho nhiều
người, nhiều máy tính có khi lên tới con số hàng trăm hoặc hàng ngàn đồng thời gia tăng những tính năng
bảo mật dữ liệu, cũng như bảo vệ sự riêng tư của cá nhân.
¾ Phiên bản Windows 2003 Server có những đặc điểm nổi bật so với phiên bản Windows trước
đó Windows 2000 Server đó là: khởi động nhanh hơn, hoạt động ổn định hơn, dễ quản lý hơn…… Phiên
bản Windows Server 2003 được chia làm nhiều loại phù hợp với từng đối tượng sử dụng:
• Windows 2003 Server Standard: phiên bản này có hầu hết những tính năng cần thiết cho một
Server thông thường. Ở phiên bản này, Windows 2003 hỗ trợ 4 CPU (4-way symmetric
multiprocessing (SMP) support processor) và có thể nâng RAM tối đa lên 4 GB. Phiên bản này
bao gồm: .NET Framework, IIS 6, Active Directory…..
• Windows 2003 Web Edition: phiên bản này hỗ trợ tối đa RAM 2GB và 2 CPU, đồng thời cũng
giới hạn những tính năng như chia sẻ file, không có Active Directory, và chỉ có thể là thành viên
của Domain… tuy nhiên phiên bản này được tối ưu đặc biệt để hỗ trợ những ứng dụng Web.
• Windows 2003 Enterprise: phiên bản này hỗ trợ RAM lên đến 64GB và 8 CPU, đây là phiên
bản dành cho các doanh nghiệp lớn nên có thêm những tính năng hỗ trợ đặc biệt cho việc quản
lý.
• Phiên bản Windows 2003 DataCenter: phiên bản này cũng giống như phiên bản Enterprise và
thường được sử dụng trong các phòng Server phục vụ cho việc lưu trữ dữ liệu chuyên biệt.
• Ngoài những phiên bản trên còn có những phiên bản khác như Windows 2003: Small Business
Server được tối ưu cho các doanh nghiệp vừa và nhỏ….
Trong chương trình học, chúng ta sử dụng phiên bản Windows 2003 Server Enterprise vì phiên bản
này hỗ trợ rất nhiều các tính năng của Windows 2003 và đang được sử dụng rộng rãi ở Việt Nam.
¾ Phiên bản Windows Server 2008: Microsoft đã vươn được đến một mốc lịch sử trọng đại khác
với RC0 Release Candidate đầu tiên của hệ điều hành Windows Server 2008 hiện đã đựợc cung cấp trên
mạng cho khách hàng. Giờ đây các khách hàng và đối tác có thể tải chúng và tự kiểm tra phiên bản mới
nhất của Windows Server 2008.
Được đóng gói với nhiều tính năng mới, Windows Server 2008 mang đến cho khách hàng một nền tảng
Windows có khả năng tin cậy và linh hoạt nhất từ trước tới nay. Những nâng cao về mặt kỹ thuật như
máy chủ và khả năng ảo hóa, Internet Information Services (IIS) 7.0, Server Core, PowerShell, Network
Access Protection, Server Manager, các công nghệ nối mạng và clustering nâng cao cho phép khách hàng
có được một nền tảng bảo mật nâng cao, dễ dàng trong quản lý. Tất cả những cải thiện trong các tính
năng mang đến cho khách hàng một giải pháp Windows tích hợp nhất cần có. Ví dụ, với IIS 7.0, nền tảng
của Microsoft cho việc phát triển và cấu hình các ứng dụng và dịch vụ Web, đang cho thấy một tiềm lực
khách hàng lớn, với hơn 13 công ty làm việc về hosting đã tiến cử IIS 7.0 và hơn 1.200 khách hàng đã
triển khai thông quan đăng ký GoLive.
-2-
Tất cả các tổ chức CNTT với nhiều quy mô khác nhau sẽ đánh giá khả năng mở rộng của sự ảo hóa
Windows Server, gồm có bộ đa xử lý khách, cấp phát bộ nhớ lớn (hơn 32 GB trên một máy) và sự hỗ trợ
chuyển đổi ảo được tích hợp cho phép các tổ chức CNTT có thể ảo hóa hầu hết các luồng công việc. Kiến
trúc 64-bit, và máy ảo nhân siêu nhỏ của Windows Server 2008 hỗ trợ cho một loạt các thiết bị, cả 32 và
64 bit, bộ đa xử lý khách và một loạt các giải pháp lưu trữ gồm iSCSI và fiber channel SAN. Sự ảo hóa
Windows Server đưa ra giao diện WMI dựa trên các chuẩn và API đã xuất bản cho việc quản lý – tích
hợp hoàn toàn với giao diện quản lý Windows Server với các nhu cầu cần thiết của khách hàng.
So sánh các phiên bản
Microsoft Windows Server 2008 giúp các chuyên gia CNTT tăng được khả năng linh hoạt của cơ sở hạ
tầng máy chủ, mang đến cho các chuyên gia phát triển phần mềm một nền tảng ứng dụng và Web mạnh
mẽ trong việc xây dựng ứng dụng và dịch vụ nết nối. Các công cụ quản lý mới mạnh mẽ và nâng cao về
bảo mật cho phép có nhiều kiểm soát hơn đối với các máy chủ, mạng và cung cấp sự bảo vệ nâng cao cho
các ứng dụng và dữ liệu.
• Windows Server 2008 Standard Edition: Phiên bản này cung cấp chức năng máy chủ chính
với hầu hết các vai trò và tính năng máy chủ. Nó gồm cả tùy chọn đầy đủ và tùy chọn cài đặt
Server Core.
• Windows Server 2008 Enterprise Edition: Phiên bản này xây dựng trên Windows Server 2008
Standard Edition để cung cấp khả năng mở rộng và khả năng sẵn có tốt hơn, bổ sung thêm các
công nghệ doanh nghiệp như việc tự động chuyển đổi dự phòng clustering và Active Directory
Federation Services.
• Windows Server 2008 Datacenter Edition: Phiên bản này cung cấp chức năng tương tự như
Windows Server 2008 Enterprise Edition cộng với sự hỗ trợ cho các bộ vi xử lý, bộ nhớ bổ sung
và quyền sử dụng ảnh ảo vô tận.
• Windows Web Server 2008: Phiên bản này được thiết kế đặc biệt cho sử dụng như một máy chủ
ứng dụng và Web. Các vai trò máy chủ khác không có trong phiên bản này.
• Windows Server 2008 for Itanium-based Systems: Phiên bản này được thiết kế sử dụng với bộ
vi xử lý 64 bit để cung cấp chức năng máy chủ ứng dụng và Web trên nền tảng đó. Các vai trò
máy chủ khác các tính năng có thể không có trong phiên bản này.
¾ Domain Name
Là tên miền (vùng, khu vực, lĩnh vực) của một quốc gia, lãnh thổ... Trong lãnh vực máy tính thì Domain
Name là một miền quản lý cao cấp và phân cấp của một tổ chức hay một phòng ban. Người ta dùng tên
miền để quản lý các nhóm máy tính và đưa ra các chính sách an ninh, bảo mật cho hệ thống. Ngoài ra tên
miền còn được biết đến việc phân chia logic giữa các mạng lớn thành các mạng con để dễ dàng quản lý
và phân chia tài nguyên hợp lý và tiện lợi.
Ví dụ: microsoft.com, yahoo.com, icare.com.vn, ispace.edu.vn... những tên miền này có giá trị xác thực
trên internet và được cấp bởi các đại lý cung cấp tên miền. Chúng được quản lý bởi tổ chức quản lý và
cung cấp tên miền ICANN (Internet Comporation for Assigned Names and Numbers).
Lưu ý: Trong quản trị mạng LAN như giáo trình này thì Domain được coi là tên miền quản lý các nhóm
máy, các người dùng, các tài nguyên cục bộ. Tên miền này chỉ có giá trị trong hệ thống cục bộ này mà
không hề có giá trị trên Internet (toàn cầu) vì tên miền này chưa được công nhận.
-3-
¾ Domain Controller
Trong quản lý Windows NT thì việc điều khiển, xác lập và quản lý tên miền được gọi là Domain
Controller và thường được viết tắt là DC (Bộ điều khiển tên miền). DC sẽ có nhiệm vụ trả lời những yêu
cầu về bảo mật, quyền truy cập, kiểm tra hợp pháp... của các kết nối máy con hay tính hợp pháp của
người sử dụng các dịch vụ domain.
Mỗi tên miền có một trình điều khiển PDC (Primary Doman Controler – Bộ điều khiển tên miền chính)
và có một hay nhiều BDC (Backup Domain Controller – Bộ điều khiển tên miền dự phòng), để chứa các
cơ sở dữ liệu của tài khoản và thông tin của các tài khoản đó. Việc sao chép, backup là hoàn toàn tự động
giữa các DC với nhau.
Trong hệ thống mạng lớn, người dùng của tên miền này luôn có nhu cầu truy cập thông tin của các tên
miền khác do đó người quản trị phải thết lập quan hệ ủy thác chồng chéo (trust relationship). Tuy nhiên,
trong hệ thống doanh nghiệp chỉ có một tên miền thì điều này không cần thiết.
-4-
¾ Forest Tree
Là một hay nhiều domain chia sẻ chung một cấu hình, giản đồ. Forest Tree chứa nhiều domain trong một
rừng chia sẻ chung một DNS namespace liền kề nhau.
¾ Active Directory
Là một chuỗi điều khiển tích cực là “trái tim” của Windows 2003 Server. Hầu hết tất cả hoạt động của hệ
thống như chi phối, phân quyền... đều do Active Directory điều khiển.
Active Directory (AD) dùng để lưu trữ dữ liệu của Domain như các đối tượng User, Group, OUs... theo
kiểu cung cấp dịch vụ (Directory Service) tìm kiếm, kiểm soát... cho phép user truy cập tài nguyên một
cách an toàn và nhanh chóng.
Với những dịch vụ và tiện ích của mình AD đã làm cho việc quản trị trở nên nhẹ nhàng hơn và hiệu quả
được nâng cao hơn, mà điều này không thể có thể mô hình mạng peer to peer, phân tán. Cho dù hệ thống
lớn cũng có thể quản trị tập trung một cách tốt nhất.
¾ OU (Organization Units): là một loại đối tượng đặc biệt của Active Directory được chứa trong
domain, các OU rất hữu ích bởi vì bạn có thể sử dụng chúng để tổ chức hàng trăm ngàn đối tượng trong
thư mục thành một khối có thể quản lý. Bạn sử dụng OU để nhóm, tổ chức các đối tượng cho mục đích
quản lý như là phân quyền quản trị hay gán các chính sách (policies) cho một tập hợp các đối tượng
giống như một khối.
Khi thết kế AD chúng ta phải phân rõ các tổ chức, phòng ban về phương diễn hành chánh hay địa lý để
người quản trị dễ dàng thao tác cũng như quản lý. Ví dụ: chúng ta tạo các OUs như Marketing, Sale,
Manager... để có thể quản lý hoặc cài đặt thêm các chương trình cho nhóm người trong OUs.
1.1.1. Cài đặt Windows 2003 Server.

Cài đặt Windows Server cũng tương tự như cài Windows XP. Ở đây chúng ta chuẩn bị các thiết bị cũng
như điều kiện đầy đủ để cài đặt Windows.
• CPU từ 733Mhz trở lên
• RAM tối thiểu là 256MB trở lên.
• Đĩa cứng phải trống từ 1.5 GB trở lên.
• Màn hình có độ phân giải từ 800 x 600 trở lên.
• Ổ đĩa CDROM.
-5-
• Windows 2003 Server có bootable.

Theo giáo trình này, chúng ta dùng Windows 2003 Enterprise Edition để cài đặt.
Qui ước đặt cài đặt và đặt tên:
Server name: svr1.
Domain Controller là: ispace.com.vn.
IP Server là: 192.168.1.1.
Đặt user là: An Tran Bao -> antb@ispace.com.vn.
Sau khi chuẩn bị các bước trên đầy đủ. Bây giờ chúng ta tiến hành cài đặt Windows 2003.
Bước 1: Vào BIOS chọn Controller boot đầu tiên là CDROM. (Nên tìm hiểu tài liệu của Mainboard để
biết cách thiết lập BIOS).
Bước 2: Đặt CD Windows 2003 bootable vào cho tới lúc máy hiện ra thông báo “Press any key to boot
from CD …” thì chúng ta bấm một phím bất kỳ để máy tính khởi động và cài đặt từ CDROM chứa
Windows 2003.
Hình 1.1: Thông báo Boot CD
Bước 3: lúc này màn hình cài đặt Windows sẽ hiện ra. Nếu muốn cấu hình trạng thái lưu trữ như RAID…
thì nhấn F6 (điều này sẽ nói rõ trong phần Cài đăt Windows 2003 Server với RAID phía sau).
Hình 1.2: Windows Setup
Bước 4: Windows setup tiếp tục cài đặt một số file cần thiết tới lúc hiện ra màn hình Welcome to setup.
Vì là cài đặt Windows nên tiếp tục nhấn Enter để cài đặt.
-6-
Hình 1.3: Welcome to Setup
Bước 5: sau khi kiểm tra dung lượng của HDD, Windows setup sẽ hiện ra bảng Windows Licensing để
nói về Windows 2003 cũng như tính pháp lý của Windows. Tiếp tục nhấn F8 để chấp nhận License.
Hình 1.4 Thoả thuận về bản quyền
Bước 6: Sau khi nhấn F8. Windows setup tiếp tục tới phần chọn khoảng trống của ổ cứng để copy và
install Windows.
-7-
Hình 1.5: Chọn Partition để cài đặt Windows
Bước 7: Trong hình trên, dung lượng của hệ thống cài đặt Windows chỉ có 8GB. Nếu muốn chia nhỏ
dung lượng cài đặt thì nhấn “C=Create Partition”. Trong bài này, chúng ta chọn hết dung lượng để cài đặt
nên nhấn “Enter”. Sau khi chọn cài đặt thì Windows setup sẽ hỏi là nên cài hệ thống Win trên File
System nào? Có 2 lựa chọn chính là: FAT, NTFS. Vì hệ thống NTFS có nhiều ưu điểm hơn như khả năng
chịu lỗi, quản lý nhiều HDD với dung lượng hỗ trợ lớn… nên khuyến cáo nên chọn kiểu Format này.
Hình 1.6: Các tùy chọn định dạng Partition
Bước 8: Sau khi chọn format kiểu NTFS. Windows setup tiếp tục format và copy dữ liệu cần thiết vào ổ
cứng.
-8-
Hình 1.7: Quá trình copy file
Bước 9: Việc copy file được thực hiện tới lúc kết thúc và máy sẽ tự động restart lại.
Lưu ý: khi khởi động lại. tới màn hình boot CD máy tính sẽ hiện ra thông báo “Press any key to boot
from CD …” thì chúng ta bỏ qua, không nhấn phím nào cả.
Bước 10: khi khởi động lại máy sẽ tiếp tục cài đặt thêm các thông số của người quản trị trên giao diện
graphic.
Hình 1.8: Tiến trình cài đặt Windows
-9-
Bước 11: Windows Setup sẽ Install và Preparing các file setup để hệ thống hóa các file. Tới lúc Windows
Setup sẽ cho người quản trị biết về khu vực và ngôn ngữ lựa chọn “Regional And Language Options
page”
Lưu ý: chúng ta có thể chỉnh sửa thông số này sau khi cài đặt xong Windows bằng cách lựa chọn
Regional And Language Options trong Control Panel
Hình 1.9: Lựa chọn ngôn ngữ và khu vực
Bước 12: Windows Setup tiếp tục tới phần thông tin cá nhân hoặc tổ chức (Personalize Your Software).
Chúng ta điền tên người quản trị và tổ chức hoặc công ty mà chúng ta cài đặt.
Hình 1.10: Nhập tên và tổ chức
- 10 -
Bước 13: Setup tiếp tục hiện ra bảng “Your Product Key” để chúng ta điền mã sản phẩm vào. Mã sản
phẩm này còn gọi là CDKEY thường được ghi trên bề mặt của CD.
Hình 1.11: Nhập sô CD Key
Bước 14: Setup tiếp tục hiện thị tới “Licensing Modes” (kiểu cấp phép bản quyền).
Ở đây Windows 2003 sẽ cho chúng ta sự lựa chọn kiểu licence là: bản Windows này cài đặt với kiểu
Server và có 5 kết nối một lúc, hoặc kiểu Device là có bao nhiêu Processor hay bao nhiêu Server nối với
nhau.
Chúng ta chọn Per Server, Number of Concurrent Connection là 5 để qua bước kế tiếp.
Hình 1.12: Lựa chọn bản quyền

- 11 -
Bước 15: Màn hình Setup sẽ tiếp tục hiện ra phần “computer name and administrator password” để
người quản trị điền vào thông số Server name, password bảo vệ.
Hình 1.13: Nhập tên máy tính và Password cho user Administrator
Bước 16: Kế tiếp chúng ta chọn múi giờ và giờ giấc cho đúng với khu vực.
Lưu ý: Múi giờ Việt Nam là GMT+7. Việc thay đổi giờ và ngày cũng có thể vào Control Panel sau khi
cài đặt hoàn tất Windows.
Hình 1.14: Cài đặt ngày, giờ cho hệ thông

- 12 -
Bước 17: Kế tiếp setup sẽ hiện ra trang Networking setting chọn Typical settings và nhấn Next.
Hình 1.15: Lựa chọn kết nối mạng

Bước 18: Setup sẽ hiện ra cho trang môi trường làm việc “Workroup and Computer Domain”.
Ở đây có 2 sự lựa chọn: “Workgroup” là computer này không thuộc môi trường quản lý Domain (tên
miền); và “Member of Domain” là chịu sự quản lý phân cấp từ một Domain khác.
Vì chúng ta đang tạo một máy chủ nên cần chọn Workgroup để xây dựng một máy chủ có Domain để
quản lý.
Hình 1.16: Lựa chọn Workgroup hay Domain
- 13 -
Bước 19: Phần cấu hình setup Windows đã kết thúc. Chúng ta chờ hệ thống cập nhật các file cài đặt cho
tới hết và tự động khởi động lại máy.
Lưu ý: khi máy khởi động lại thì chúng nên lấy CDROM ra khỏi khay CDROM hoặc vào BIOS để thiết
lập lại BIOS cho boot bằng HDD.
Bước 20: Sau khi cài đặt hoàn tất và reboot. Màn hình welcome to Windows sẽ xuất hiện với các tổ hợp
phím “Ctrl+Alt+Delete”. Chúng ta nhấn các tổ hợp phím trên để đăng nhập vào hệ thống với user:
administrator và password mà chúng ta tạo từ bước 15.
Hình 1.17: Màn hình logon
Bước 21: Cuối cùng chúng ta đã cài đặt hoàn tất Windows 2003. Phần còn lại là chúng ta cài đặt các
driver cho các thiết bị mà Windows chưa cập nhật Driver (xem hướng dẫn trên các tài liệu kèm theo
mainboard và thiết bị kèm theo).
Hinh 1.18: Xem thuộc tính hệ thống
- 14 -
Kết luận: qua phần trên chúng ta có thể hiểu và setup một Windows 2003 Server từng bước theo ý của
người quản trị. Nếu chúng ta mua Windows chính hãng từ nhà phân phối của Microsoft thì trong vòng 30
ngày sau khi cài đặt buộc phải kích hoạt (activation) sản phẩm, nếu không hệ thống sẽ mất quyền đăng
nhập.
1.1.2. Cài đặt RAID trên Windows 2003.

Việc cấu hình RAID ở phần cứng đã xong bây giờ cài đặt Windows có RAID. Cài đặt Windows có RAID
cũng tương tự như cài Windows không có RAID, tuy nhiên ở bước 3 ở trên chúng ta phải nhấn F6 để cài
đặt RAID (lưu ý phần này hiện thị rất nhanh trong lúc cài đặt và nhấn kịp thời).
Hình 1.25: Cài đặt Windows trên đĩa RAID
Việc cài đặt RAID sau khi nhấn F6 phải đòi hỏi có Đĩa Mềm (FDD) chứa thông số card RAID. (xem
hướng dẫn của kèm theo của Mainboard hoặc Card RAID hay tìm hiểu trên website của thiết bị RAID
đó).
Nếu Windows không tự tìm được trình điều khiển RAID thì Windows setup sẽ hiện ra thông báo sau:
Hình 1.26: Windows không tìm được driver đĩa cứng RAID
- 15 -
Lúc này chúng ta đưa FDD chứa trình điều khiển RAID vào FDD controller. Và nhấn “S”. Thì Windows
sẽ cho thấy trình điều khiển RAID có trên FDD:
Hình 1.27: Cài đặt driver cho đĩa cứng RAID
Trong ví dụ này chúng ta chọn “Intel (R) 82801GR/GH SATA RAID Controller (Desktop ICH7R/DH)”.
Sau khi chọn trình điều khiển như trên màn hình sẽ xuất hiện như sau:
Hình 1.28: Driver RAID đã được cài đặt
Lúc này Windows sẽ nhận ra được hệ thống RAID mà chúng đã cấu hình từ phần cứng. Và dung lượng
đạt được như hình sau là dung lượng Logic mà sau khi kết hợp từ phần cứng và RAID trên:
- 16 -
Hình 1.29: Lựa chọn partition để cài đặt windows
Quá trình cài đặt diễn ra bình thường như cài đặt không có RAID cho tới lúc kết thúc phần Windows
setup.
Kết luận: qua phần trên chúng ta đã hiểu rõ quá trình cài đặt Windows có hỗ trợ tính năng RAID. Tuy
nhiên vấn đề cài đặt RAID có thể khác khi chúng ta sử dụng hệ thống máy chủ của các hãng sản xuất
máy chủ lớn như IBM, HP, Dell... thì trong packet kèm theo máy chủ sẽ có CD cấu hình mà thường gọi
là smartstart CD. Quá trình cài đặt Windows bắt đầu từ CD này cho tới lúc hệ thống yêu cầu đưa CD
Windows 2003 vào, hệ thống sẽ copy file từ CD Windows 2003 và cho tới lúc hoàn tất việc cài đặt
Windows 2003.
1.1.3. Nâng cấp Server thành Domain Controller.

Trước đây khi sử dụng Windows NT4 thì khi setup Windows là chúng ta đã thiết lập Domain ngay trong
lúc cài đặt. Nhưng từ Windows 2000 Server trở về sau không còn cài đặt Domain trong lúc cài, mà chúng
ta phải nâng cấp Windows Server thành Domain Controller. Những lý do sau đây không cần nâng cấp:
• Ngân sách dành cho hệ thống thấp.
• Phù hợp với phòng Internet, games hoặc công ty nhỏ.
• Hệ thống mạng không đòi hỏi tính bảo mật cao.
• Những phần mềm có thể hoạt động được trên cơ chế của Windows Server.
• ...
Vì vậy khi sử dụng hệ thống có mục đính lớn và có tính bảo mật thì chúng ta nâng cấp Server thành
domain controller để quản lý và phân cấp.
Cài đặt Domain Controller.

Trước khi cài đặt Domain Controller chúng ta phải chuẩn bị một số dịch vụ cần thiết cho công việc cấu
hình:
DNS (Domain Name System), DHCP (Dynamic Configuration Protocols): Dịch vụ phân giải tên
miền và dịch vụ cấp phát IP động.
Start -> Control Panel -> Add/Remove Programs. Click Add/Remove Windows Component, chọn
mục Networking Services sau đó Click Details.... Chọn DNS, DHCP.
- 17 -
Sau khi đã chuẩn bị các dịch vụ trên. Chúng ta tiến hành nâng cấp Server thành Domain Controller.
Bước 1: Vào Start –> Programs -> Administrative Tools -> Manager
Bước 2: Màn hình sẽ hiện ra. Chọn Add or Remove A Role. Màn hình Configure Your Server Wizard,
click Next
- 18 -
Bước 3: Trong Server Role chọn Domain Controller (Active Directory), click Next
Bước 4: Windows sẽ tập hợp những điều kiện cần thiết để chuẩn bị cho việc Active Directory. Sau đó
màn hình Active Directory Installation Wizard hiện ra, click Next.
- 19 -
Bước 5: Màn hình Installation Wizard sẽ hiện ra bảng Domain Controller Type:
Domain Controller For a new Domain: Chọn mục này sẽ tạo mới Domain. Domain này có thể là
Domain mới hoàn toàn hoặc là Domain con mới (Child Domain)
Additional domain Controller for existing domain: mục này sẽ tạo một Backup Domain Controller,
một Domain dẽ có nhiều BDC tùy thuộc vào mục đích của người quản trị.
- 20 -
Bước 6: Để tạo new Domain, chúng ta chọn Domain Controller for a new Domain để tạo Domain:
ispace.com.vn
Bước 7: Điền tên miền: ispace.com.vn vào mục Full DNS name for new Domain:
- 21 -
Bước 8: Đợi một vài giây, Windows sẽ cho chúng ta biết NetBIOS domain name là ispace.
Bước 9: Quá trình cài đặt tiếp tục cho tới khi chúng ta gặp bảng thông báo “DNS Registration
Diagnostics” nghĩa là Domain này không tìm thấy được DNS do nhà cung cấp dịch vụ cấp hoặc từ một
máy chủ khác cấp. Vì chúng ta đang tạo tên miền mới và cung cấp DNS cho các máy khác để các máy
khác trỏ vào chính máy chủ SVR1 này. Do đó Windows sẽ hỏi chúng ta có cài đặt luôn DNS trong lúc
này hay không?.
- 22 -
Bước 10: Chọn “Install and Configure the DNS...” thì Windows sẽ hỏi về sự tương thích các permission
giữa Windows 2000 trở về sau hay là tương thích với những phiên bản trước Windows 2000.
- 23 -
Bước 11: Trong giáo trình này chúng ta chọn Permission như hình trên nghĩa là tương thích từ Windows
2000 trở về sau. Windows sẽ cho chúng ta nhập password phục hồi – password này có tác dụng là khi
chúng ta gỡ bỏ hoặc phục hồi AD thì phải sử dụng password này.
Bước 12: Quá trình khai báo những điều cần thiết cho việc nâng cấp AD như Domain, DNS, restore
password... đã kết thúc. Lúc này Windows sẽ xây dựng (build) Active Directory.
Bước 13: Sau khi Build xong hệ thống sẽ yêu cầu Restart Windows lại để việc cấu hình hoàn thành.
- 24 -
Như vậy chúng ta đã hoàn tất việc xây dựng một Domain controller với domain là: ispace.com.vn.
Lưu ý: việc xây dựng Domain controller phải có một số điều kiện cần như sau:
Máy chủ cài AD phải cài IP tĩnh.
Máy chủ phải được nối vào Hub/switch.
Tên miền không được quá dài, rõ ràng, và diễn đạt được ý nghĩa của công ty hay doanh nghiệp...
Ngoài ra chúng ta cũng có thể cài đặt Domain Controller bằng cách vào Start -> Run gõ vào dòng
“dcpromo”, click OK màn hình sẽ hiện ra như bước 4, và quá trình xây dựng Domain Controller diễn ra
bình thường cho tới lúc kết thúc.
1.2. Gia nhập Client vào Domain (Join vào Domain)

Chúng ta đã dựng lên một Server và xây dựng Server này thành Domain Controller. Bây giờ chúng ta sẽ
cho phép máy con (client) truy cập vào máy chủ.
Click chuột phải vào My Network Places trên Windows XP. Chọn Properties.
- 25 -
Chọn Properties của Local area Connection
Chọn Internet Protocol (TCP/IP), sau đó click vào Properties.
Điền vào IP trùng với lớp mạng của máy chủ:

o IP address: 192.168.1.2
o Subnet mark: 255.255.255.0
o Preferred DNS Server: 192.168.1.1
- 26 -
Những phần trên chúng ta có thể không thiết lập khi đã tìm hiểu về cấp phát IP động DHCP.
Sau khi đặt IP cho Windows XP. Bây giờ thiết lập Windows XP gia nhập (join) vào Domain.
Chọn Properties của My Computer trên Windows XP. Chọn tab Computer Name. Click Change...
- 27 -
Gõ tên domain ispace.com.vn vào mục Domain. Click OK
Điền user name và password của administrator vào mục permission.

(Bổ sung hình sau)
1.3. Xử lý sự cố
1.4. Bài tập tình huống
Tóm tắt:
¾ Các phiên bản của Windows Server 2003:

• Windows 2003 Server Standard: phiên bản này có hầu hết những tính năng cần thiết cho một
Server thông thường.
• Windows 2003 Web Edition: phiên bản này hỗ trợ chủ yếu cho những ứng dụng Web.
• Windows 2003 Enterprise: là phiên bản dành cho các doanh nghiệp lớn nên có thêm những
tính năng hỗ trợ đặc biệt cho việc quản lý.
• Windows 2003 DataCenter: phiên bản này cũng giống như phiên bản Enterprise và thường
được sử dụng trong các phòng Server phục vụ cho việc lưu trữ dữ liệu chuyên biệt.
• Windows 2003: Small Business Server được tối ưu cho các doanh nghiệp vừa và nhỏ….
- 28 -
¾ Các phiên bản của Windows Server 2008:

• Windows Server 2008 Standard Edition: Phiên bản này cung cấp chức năng máy chủ chính
với hầu hết các vai trò và tính năng máy chủ. Nó gồm cả tùy chọn đầy đủ và tùy chọn cài đặt
Server Core.
• Windows Server 2008 Enterprise Edition: Phiên bản này xây dựng trên Windows Server
2008 Standard Edition để cung cấp khả năng mở rộng và khả năng sẵn có tốt hơn, bổ sung
thêm các công nghệ doanh nghiệp như việc tự động chuyển đổi dự phòng clustering và
Active Directory Federation Services.
• Windows Server 2008 Datacenter Edition: Phiên bản này cung cấp chức năng tương tự như
Windows Server 2008 Enterprise Edition cộng với sự hỗ trợ cho các bộ vi xử lý, bộ nhớ bổ
sung và quyền sử dụng ảnh ảo vô tận.
• Windows Web Server 2008: Phiên bản này được thiết kế đặc biệt cho sử dụng như một máy
chủ ứng dụng và Web. Các vai trò máy chủ khác không có trong phiên bản này.
• Windows Server 2008 for Itanium-based Systems: Phiên bản này được thiết kế sử dụng với
bộ vi xử lý 64 bit để cung cấp chức năng máy chủ ứng dụng và Web trên nền tảng đó. Các
vai trò máy chủ khác các tính năng có thể không có trong phiên bản này.
¾ Domain Controller: lưu trữ các thư mục dữ liệu và quản lý việc giao tiếp giữa các user và các
domain, bao gồm các quá trình user log on, kiểm tra quyền và tìm kiếm tài nguyên. Khi bạn cài
đặt AD trên một máy tính chạy Windows Server 2003 , nó trở thành một Domain Controller.
¾ Active Directory (AD): dùng để lưu trữ dữ liệu của Domain như các đối tượng User, Group,
OUs... theo kiểu cung cấp dịch vụ (Directory Service) tìm kiếm, kiểm soát... cho phép user truy
cập tài nguyên một cách an toàn và nhanh chóng.
¾ OU (Organization Units): là một loại đối tượng đặc biệt của Active Directory được chứa trong
domain, các OU rất hữu ích bởi vì bạn có thể sử dụng chúng để tổ chức hàng trăm ngàn đối
tượng trong thư mục thành một khối có thể quản lý.
- 29 -
BÀI 2: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG, MÁY TÍNH VÀ NHÓM
Mục tiêu:
¾ Hiểu biết User, Group, Computer

¾ Quản trị User, Group
¾ Giải thích các loại Profile
¾ Xử lý các sự cố về User rights
2.1. Giới thiệu tài khoản

¾ User Account: là tài khoản người dùng. Khi cài đặt AD sẽ có một số user được tạo ra mặc định
(Build–in) như Administrator – là quyền quản trị cao nhất cho toàn hệ thống. User này không thể
gỡ bỏ được. Ngoài ra nhân viên sử dụng máy tính trong hệ thống để có thể sử dụng tài nguyên và
đăng nhập vào hệ thống thì người quản trị khởi tạo user và phân quyền sử dụng.
¾ Computer Account: Mỗi máy tính chạy Microsoft Windows NT, Windows 2000, Windows XP
hay Windows Server 2003 tham gia vào một domain đều có một computer account. Tương tự
như user account, các computer account cung cấp ý nghĩa thẩm định quyền và chỉnh sửa quyền
truy xuất vào mạng và các tài nguyên domain.
¾ Group: là tập hợp một số user có những đặc tính chung như truy cập chung một thư mục nào đó,
hay phân nhóm theo phòng ban...
Là người quản trị, chúng ta phải cung cấp cho các người dùng trong tổ chức khả năng tiếp cận được các
tài nguyên mạng mà họ cần. Tài khoản người dùng cho phép người dùng đăng nhập và truy cập các tài
nguyên cục bộ hoặc domain. Trong bài này, chúng ta sẽ học cách tạo các tài khoản người dùng cục bộ và
domain, đặt các thuộc tính cho chúng.
Giới thiệu tài khoản người dùng
Tài khoản người dùng là một tập hợp quyền hạn duy nhất cho một người dùng cho phép người dùng đăng
nhập vào domain để truy cập tài nguyên mạng hoặc đăng nhập vào một máy tính cụ thể để truy cập tài
nguyên trên máy đó. Những người sử dụng mạng thường xuyên nên có một tài khoản người dùng.
Bảng sau mô tả các kiểu tài khoản người dùng được Microsoft® Windows® 2003 cung cấp.
Kiểu tài
khoản Mô tả
Tài khoản Cho phép người dùng đăng nhập vào một máy tính cụ thể và truy
người dùng cập tài nguyên trên máy đó. Người dùng có thể truy cập tài
cục bộ nguyên trên máy khác nếu họ có tài khoản riêng trên máy đó. Các
tài khoản người dùng này nằm trong Security Accounts Manager
(SAM) của máy.
- 30 -
Tài khoản Cho phép người dùng đăng nhập vào domain để truy cập tài
người dùng nguyên mạng. Người dùng có thể truy cập tài nguyên mạng từ bất
domain kỳ máy tính nào trên mạng bằng một tài khoản người dùng và
một mật khẩu. Các tài khoản người dùng này nằm trong dịch vụ
danh bạ Active Directory™.
Tài khoản Cho phép người dùng thực hiện các tác vụ quản trị hay tạm thời
người dùng truy cập đến các tài nguyên mạng. Có hai tài khoản người dùng
dựng sẵn dựng sẵn không thể xóa được: Administrator và Guest. Các tài
(built-in) khoản Administrator và Guest cục bộ nằm trong SAM, các tài
khoản Administrator và Guest của domain nằm trong Active
Directory.
Các tài khoản người dùng dựng sẵn được tạo tự động trong quá
trình cài đặt Windows 2003 và Active Directory.
2.2. Quản trị User

Tạo users.
Sau khi cấu hình DC xong, chúng ta phải tạo user để các user này đăng nhập vào hệ thống mạng và sử
dụng tài nguyên trên máy chủ như lưu trữ dữ liệu, chương trình kế toán, máy in... lúc này người quản trị
cần phải biết các người dùng sử dụng vào mục đích gì? Mức độ như thế nào...Do đó việc tạo user phải có
một tính chuyên nghiệp và dễ quản lý.
Đầu tiên chúng ta vào Start Æ programs Æ administrative toos Æ Active directory Users and
Computers.
Trong phần user chúng ta có thể tạo bằng cách:
Hình : Active directory Users and Computers
Cách 1: Vào Action Æ new Æ user.
- 31 -
Hình : New User
Cách 2: Chúng ta có thể thực hiện bằng cách click chuột phải trên Users Æ new Æ user.
Màn hình Tạo user sẽ hiện ra, chúng ta nhập họ tên, user name... vào
Hình : Nhập thông tin User
Sau khi điền đầy đủ thông tin chúng ta tới phần nhập mật mã (password) cho user đó:
- 32 -
Hình : Nhập Password và các tùy chọn cho user
Trong phần Password:
Password Nhập password theo ý quản trị

Confirm password: Nhập lại password trên
User must change password at next logon User được phải thay đổi password
theo ý user trong lần truy cập đầu tiên
User cannot change passwword User không được quyền thay đổi.
Quyền thay đổi thuộc về quản trị
Password nerver expires Password không bao giờ hết hạn sử
dụng.
Account is disabled Tài khoản này sẽ bị vô hiệu hóa chức
năng
Trong ví dụ này ta không đặt password, nghĩa là password để trống và chọn mục Password nerver
expires.
- 33 -
Hình : Quá trình tạo user hoàn thành
Sau khi click nút Finish để kết thúc quá trình tạo user chúng ta sẽ gặp một vấn đề là Windows Server
sẽ không cho tạo user do password của chúng ta là để trống, và không tuân theo qui ước của AD:
Hình : Thông báo lỗi do đặt Password không hợp lệ
Để giải quyết vấn đề trên chúng ta phải vào Start Æ Program Æ Administrative Tools Æ Domain
Security policy
- 34 -
Hình : Chọn Domain Security Policy
Màn hình sẽ cho chúng ta biết những policy nào của Windows
Hình : Password Policy
Chọn khung bên trái là Password Policy, chọn Minimum Password Length, nghĩa là chiều dài tối
thiệu phải là 7 ký tự. Nếu chúng ta muốn sử dụng Password trống thì chúng ta chọn Policy setting là
0 ký tự.
- 35 -
Hình : Thay đổi Password Policy
Sau khi cho phép nhập password trống, chúng ta phải loại bỏ sự phức tạp của password mà hệ thống
Windows đã đề ra: Chọn Password must meet complexity requirements properties -> Define this
policy setting là Disable:
Hình : Cấm chế độ password phức tạp
Khi đã chọn những policy theo như trên, chúng ta phải cập nhật những thay đổi policy cho Windows.
Bằng cách là chúng ta khởi động lại máy chủ hoặc ta cũng có thể vào Start -> Run, gõ vào cú pháp
sau: gpupdate /force để thay đổi các policy của hệ thống.
Hình : Cập nhật Policy vừa thay đổi
Như vậy sau khi cập nhật Policy cho Server, lúc này chúng ta quay về vấn đề tạo user với password
trống thì chúng ta sẽ tạo user thành công mà không gặp trở ngại nào.
- 36 -
Hình 3.12: Quá trình tạo user hoàn tất
Quản lý Users.
Phần trên chúng ta đã tìm hiểu về cách tạo user, bây giờ chúng ta phải tìm hiểu và quản lý các user như
thế nào? Chúng ta thử tìm hiểu một số giải pháp thông dụng khi quản lý user.
Ví dụ 1: một số user tạo ra trong một thời gian ngắn là vô hiệu hóa chức năng do tính chất thời vụ của
user đó.
Ví dụ 2: Trong một công ty, Giám đốc yêu cầu là tất cả nhân viên làm việc từ 8 giờ sáng tới 12 giờ trưa,
sau khi qua 12 giờ trưa là tất cả các máy tính hoặc một số máy tính phải tự động ngưng làm việc để nghỉ
trưa hoặc hạn chế thất thoát thông tin...
Ví dụ 3: Trong một hệ thống mạng được triển khai cho môi trường giáo dục. Các học sinh sẽ lưu bài tập
trên thư mục share trên Server của mình, vấn đề đặt ra là sẽ có nhiều em học sinh đăng nhập (logon) vào
nhiều máy mà chỉ có một user để copy bài của nhau trên cùng một thư mục share đó. Vậy làm sao để giải
quyết các vấn đề đó.
Những vấn đề trên sẽ được tìm hiểu trong phần này.
Sau khi tạo mới user, chúng ta vào Properties của user đó:
- 37 -
Hình 3.14: Thuộc tính General của user
Account properties Discriptions

General, Address, Telephones and Đây là những thông tin bổ sung của user
Organization tabs
Account tab Thuộc tính này bao gồm nhiều thông tin về
user như khởi tạo, password, hạn sử dụng...
Profile tab Ở đây có thể cấu hình đường dẫn profile,
hay logon Script
Member Of tab Thuộc tính này bao gồm mức độ, quyền
hạn hoặc thuộc nhóm nào.
Terminal Services Profile, Những Tabs này cho phép thiết lập môi
Environment, Remote trường làm việc, truy cập từ xa hoặc các
Control, Sessions tabs phiên làm việc của việc truy cập đó.
Dial-in tab Cho phép hoặc không cho phép truy cập
từ xa hoặc quyền dăng nhập VPN
COM+ tab Gán Active Directory COM+ cho việc
quản lý dữ liệu phân tán trên Windows
2003.
Ở bảng trên có rất nhiều thuộc tính, tuy nhiên chúng ta chỉ quan tâm nhiều tới 3 thuộc tính cơ bản là
Account tab, profile tab, member of tab. Còn những thuộc tính còn lại chúng ta tìm hiểu sau hoặc các
hoạc viên tự tìm hiểu.
Account tab
Đây là thông tin rất quan trọng, cho phép thay đổi thông tin user, thời hạn của user...
- 38 -
Hình : Thuộc tính Account của user
Logon Hours...: cho phép tài khoản này truy cập vào những thời gian qui định trong ngày. Người
quản trị sẽ chọn thời gian là work time, hoặc free time:
- 39 -
Hình : Thời gian Logon của user
Logon to...: cho phép tài khoản này truy cập vào một máy tính duy nhất (computer name) hoặc nhiều
máy tính trong một phòng ban hoặc một nhóm làm việc. Mục đích này giúp cho người sử dụng tránh
được mất mát thông tin cá nhân trên máy tính của mình.
Hình : Cho phép tài khoản logon vào 1 hay nhiều máy tính.
Account Expires: chức năng này cho phép thời hạn sử dụng của Account này tới bao lâu:
- 40 -
Hình : Thời gian sử dụng Account
Member of Tab.
Khi nói đến Member of của user tức là chúng ta đang nói đến phân cấp của user hay nhóm làm việc của
user đó. Một user có thể là user thuần túy hoặc user đó có quyền ngang cấp với quyền quản trị
administrator. Điều này tùy thuộc vào sự phân quyền của người quản trị. Tất nhiên việc phân quyền của
user thì người quản trị phải đăng nhập vào hệ thống máy chủ với tài khoản Administrator.
Bây giờ chúng ta sẽ thực hiện bài lab với tài khoản Hatq với quyền administrator.
Log on SVR1 với tài khoản administrator.
Vào administrative tools -> active directory user and computers.
Chọn user Ha Trần quang.
Chọn Menu Action -> Properties (có thể click chuột phải vào Properties).
Chọn tab Mermber of.
Click vào nút Add... để thêm group vào.
Hình : Add Group
- 41 -
Hình : Select Group
Click vào Nút Advanced… để tìm group.
Hình : Chọn group cần add vào
Chọn nút Find Now -> chọn group administrators, sau đó click OK để hoàn tất việc chọn nhóm
admistrators.
Quản trị Group

Quản lý Groups.
- 42 -
Group là một nhóm làm việc do người quản trị tạo ra để cụ thể hóa các công việc hoặc dễ dàng quản trị.
Group có thể được chia làm 2 loại là Buildin và manual.
Loại build-in thì do Windows tạo ra để nói lên một chức năng đặc biệt nào đó ví dụ như Administrators,
Backup Operators... là những tài khoản nào nằm trong group này sẽ có những quyền rất cao như đăng
nhập vào máy chủ, backup, restore .... và các group này không thể xóa bỏ khỏi hệ thống.
Loại Manual là loại do người quản trị tạo ra để quản lý, ví dụ trong công ty có rất nhiều nhân viên cùng
sử dụng một tài nguyên nào đó trên máy chủ thì người quản trị chỉ tạo ra 1 group để gom nhóm các nhân
viên này lại, và chia sẻ folder cho group này thì toàn bộ các thành viên đều được share.
Để tạo một Group để quản trị, chúng ta vào Active Directory user and Computers, chọn User bên trái,
chọn Menu Action -> new -> Group. (chúng ta có thể làm nhanh bằng cách click chuột phải vào User,
chọn new).
Hình : Tạo New Group
Tạo một Group có tên là Marketing, với Group scope là Domain Local, kiểu group là Security
- 43 -
Hình : Nhập tên và các tuỳ chọn của group
Sau khi tạo xong Group Marketing, chúng ta đưa những user nào cần gom nhóm vào group. Việc đưa
user vào group có 2 cách.
Chọn Properties của group Marketing mới tạo, chọn member tab, chọn nút Add.. để chọn user nào
cần đưa vào.
Hình : Add Group
Cách khác là chọn chuột phải trên user nào muốn đưa vào Group, chọn Add to group
- 44 -
Hình : Add user vào group
Như vậy việc tạo group và đưa user vào group không quá khó khăn, do đó người quản trị có thể tạo nhiều
group khác nhau để quản trị. Các group này còn có thể đưa vào group khác như group buildin...
- 45 -
Hình : User đã được add vào Group
2.4. Quản trị User Profile
Profile tab chứa các thông tin của user và đường dẫn hệ thống như vấn đề: các user đều dùng chung một
màn hình desktop, các shortcuts trên desktop, các cookies... hoặc các đường dẫn của thư mục share trên
máy chủ mà chỉ duy nhất user đó có mà user khác không có.
Local Profiles: là profile mặc định của hệ thống trên Windows 2000, XP: c:\documents and
settings\%username%. Profile này được tạo ra lần đầu tiên khi user logon vào hệ thống, các thay đổi về
desktop, network... đều được lưu trữ ở Profile này.
Roaming User Profiles: là tất cả các user đều lấy chung một Profile để hoạt động theo một Profile đã
share trên máy chủ.
Trên Profile tab, trong mục Profile path có cú pháp như sau: \\<Server>\<share>\%username%. Trong đó
%username% là tự động lấy đúng user mà user đó đăng nhập vào hệ thống
Hình 3.19: Profile User
Trước hết chúng ta tạo một Profiles kiểu mẫu trên Server.
Tạo một thư mục trên máy chủ đặt tên là profiles.
Share thư mục này với tên Profiles.
Chọn Permissions.
chọn quyền share là Full Control.
Chọn OK.
- 46 -
Hình : Cấp quyền cho Group Everyone
Sau đó ta tạo một User kiểu mẫu trên Server:
Text Box Name Enter

First Name Profile
Last Name Account
User Logon Name: Profile
User Logon Name (Pre-Windows 2000): Profile
- 47 -
Hình : Nhập thông tin user
Sau khi tạo User hoàn tất, chúng ta cho user này với quyền Administrator để user này đăng nhập (logon)
vào máy chủ.
Logoff Windows Server 2003.
Logon Windows Server 2003 với tài khoản profile.
Sau khi logon hoàn tất, chỉnh sửa Desktop, software, internet options...
Tạo các shortcut trên desktop...
- 48 -
Hình : Logon với account Profile
logoff Windows.
Logon Windows với tài khoản administrator.
Vào System Proferties của SVR1, chọn tab Advanced, chọn User profiles, click setting...
Hình : System Properties
Trong user Profiles, chọn ISPACE\Profile. Click Copy to.
- 49 -
Hinh : User Profile
gõ đường dẫn profile muốn copy tới: “\\svr1\profiles\hatq. trong đó hatq là user của Tran Quang Ha
mà chúng ta muốn sử dụng profile này.
Thay đổi quyền sử dụng là “ISPACE\Hatq”
Hình : Nơi lưu trữ profile
Click OK để hoàn tất việc copy profile.

vào Start -> Programs -> Administrative tools -> Active Directory User and Computer.
Chọn Properties Ha Tran Quang.
Vào Tab Profile.
Gõ vào Profile path: “\\svr1\profiles\%username%
- 50 -
Hình : Profile path
Click OK để hoàn tất.

Logoff tài khoản Administrator.
Logon với tài khoản hatq (Ha Tran Quang).
- 51 -
Hình : Logon tài khoản Ha Tran Quang
Như vậy chúng ta đã hoàn tất việc Roaming Profile. Tài khoản Hatq sẽ sử dụng các desktop, shortcut...
của user profile.
Bây giờ chúng ta giải quyết một vấn đề thông dụng của Profile là Automatics Map Network Disks. Trong
phần này các user khi đăng nhập vào hệ thống sẽ có một ổ đĩa network có sẵn trên máy tính của mình và
khi thoát ra sẽ không còn ổ đĩa trên máy để tránh trường hợp thất thoát thông tin cũng như vấn đề riêng
tư.
Trong bài này chúng ta có ví dụ về tài khoản Ha Tran Quang. Tài khoản này có một thư mục trên máy
chủ là Hatq và đã share thư mục này trên máy chủ với quyền Full Control.
Tạo thư mục trên máy chủ là Hatq, share thư mục này cho Ha Tran Quang với quyền Full Control.
- 52 -
Hình : Cấp quyền cho user Ha Tran Quang
Dùng Notepad hoặc bất cứ chương trình soạn thảo văn bản nào để tạo file: “tranquangha.bat”.
Nội dung trong file tranquangha.bat như sau: “net use z: \\svr1\hatq”.
Hình 3.29: Nội dung file Tranquangha.bat
Copy file này vào thư mục:

“C:\Windows\SYSVOL\sysvol\ispace.com.vn\cripts”.
- 53 -
Hình 3.30: Nơi lưu trữ file Tranquangha.bat
Vào Profile tab của user Ha Tran Quang. Trong mục Logon cripts: gõ tên file mới tạo:
Hình : Nhập tên file Logon script
Click OK.
Khi user Hatq đăng nhập vào hệ thống mạng ispace.com.vn thì sẽ có một ổ đĩa ảo.
- 54 -
Hinh : Đĩa ảo của user khi logon vào mạng
Như vậy tài khoản hatq có thể lưu trữ tài liệu của mình trên máy chủ và chỉ có Hatq mới có thể chỉnh sửa,
xóa... tài liệu của mình.
2.5. Các nhóm mặc định

Khi một máy tính trở thành một domain controller, những group được tạo trong dịch vụ Active Directory.
Mặc định, những group này có những quyền được xác định trước để quyết định những thao tác hệ thống
mà các thành viên của group hay các group có thể thực hiện. Những group này không thể bị xoá. Danh
sách sau mô tả các nhóm domain local group và những cấp quyền được gán trước cho chúng.
• Administrators: Các thành viên của Administrators group có thể thực hiện tất cả các chức năng
mà hệ điều hành hỗ trợ. Administrators có thể gán cho chính họ bất kỳ quyền nào mà họ không
có theo mặc định. Chỉ logon là một người quản trị khi cần thiết. Cũng phải cẩn thận khi add một
user khác vào Administrator group.
• Backup Operators: Các thành viên của Backup Operators group có thể backup và phục hồi các
tập tin bằng cách sử dụng công cụ Backup.
• Account Operators: Những thành viên của Account Operators group có thể quản lý các user
account và group. Ngoại lệ là chỉ những thành viên của Administrators group có thể thay đổi một
Administrators group hoặc bất kỳ một group nào.
• Server Operators: Các thành viên của Derver Operators group có thể share các tài nguyên
mạng, logon vào một Server tương tác, tạo và xoá các tài nguyên share, khởi động và ngừng các
dịch vụ, định dạng ổ cứng của server và shutdown máy tính. Họ cũng có thể backup và phục hồi
các tập tin bằng cách sử dụng công cụ Backup.
• Print Operators: Các thành viên của Print Operators group có thể cài các máy in local và mạng
để đảm bảo rằng các user có thể dễ dàng kết nối tới và sử dụng các tài nguyên máy in.
Tóm tắt:
¾ User account: là một đối tượng chứa tất cả các thông tin khai báo một user trong Windows
Server 2003. Account có thể là local hay domain account. Một user account bao gồm user name
và password kèm theo khi logon, các nhóm mà nó là thành viên (member of) các quyền lợi (user
right) và sự cho phép (permisions) mà user có khi truy xuất vào máy tính và tài nguyên mạng.
¾ Computer Account: Mỗi máy tính chạy Microsoft Windows NT, Windows 2000, Windows XP
hay Windows Server 2003 tham gia vào một domain đều có một computer account. Tương tự
như user account, các computer account cung cấp ý nghĩa thẩm định quyền và chỉnh sửa quyền
truy xuất vào mạng và các tài nguyên domain.
¾ Group: là một tập hợp các user account. Bạn có thể sử dụng group để quản lý việc truy xuất tới
các tài nguyên domain rất hiệu quả, giúp cho bạn đơn giản hoá công việc bảo trì và quản trị
mạng. Bạn cũng có thể sử dụng các group riêng biệt hay bạn có thể đặt một group vào một group
khác để đơn giản việc quản lý hơn nữa.
¾ Local Profiles: là profile mặc định của hệ thống trên Windows 2000, XP: c:\documents and
settings\%username%. Profile này được tạo ra lần đầu tiên khi user logon vào hệ thống, các thay
đổi về desktop, network... đều được lưu trữ ở Profile này.
¾ Roaming User Profiles: là tất cả các user đều lấy chung một Profile để hoạt động theo một
Profile đã share trên máy chủ.
- 55 -
BÀI 3: QUẢN TRỊ TRUY XUẤT TÀI NGUYÊN FILE
Mục tiêu:
¾ Hiểu biết truy xuất tài nguyên mạng

¾ Quản trị quyền truy xuất Shared, NTFS
¾ Làm việc ngoại tuyến offline file
¾ Xử lý các sự cố về Permissions, offline file
¾ Hiểu biết và triển khai dịch vụ file DFS
3.1. Giới thiệu

Windows Server 2003 tổ chức các tập tin vào trong những thư mục thể hiện ở dạng đồ hoạ là các folder.
Những folder này chứa tất cả các loại tập tin và có thể chứa các folder con. Một vài folder được dành
riêng trước đó cho các tập tin hệ điều hành và những folder chương trình.
Shared các folder cho phép các user truy xuất các file và folder qua mạng. User có thể kết nối tới các
foler share qua mạng để truy xuất các folder và những tập tin mà folder chứa. Các folder shared có thể
chứa các ứng dụng, dữ liệu công cộng hay dữ liệu cá nhân. Việc sử dụng những folder share ứng dụng
làm tập trung công việc quản trị bằng cách cho phép bạn cài đặt và duy trì những ứng dụng trên server
thay vì trên các máy client. Sử dụng các folder share dữ liệu cung cấp một vị trí trung tâm cho user truy
xuất các tập tin phổ biến và làm cho nó dễ dàng backup dữ liệu chứa trong các tập tin này.
Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share Permissions. Share
Permissions chỉ có hiệu lực khi người dùng truy cập qua mạng chứ không có hiệu lực khi người dùng
truy cập cục bộ. Khác với NTFS Permissions là quản lý người dùng truy cập dưới cấp độ truy xuất đĩa.
Trong hộp thoại Share Permissions, chứa danh sách các quyền sau để cho phép người dùng truy xuất
đến thư mục chia sẻ:
• Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ.
• Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ.
• Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ.
- 56 -
3.2. Quyền chia sẻ thư mục

Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truy xuất và sử dụng thông
qua mạng. Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào hệ thống với vai trò
người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong
Explorer bạn nhầp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn
Tab Sharing.
Mục Mô tả
Do not share this folder Chỉ định thư mục này chỉ được phép truy cập cục bộ
Chỉ định thư mục này được phép truy cập cục bộ và truy cập qua
Share this folder
mạng
Share name Tên thư mục mà người dùng mạng nhìn thấy và truy cập
Cho phép người dùng mô tả thêm thông tin về thư mục dùng chung
Comment
này
Cho phép bạn khai báo số kết nối tối đa truy xuất vào thư mục tại
User Limit
một thời điểm
Cho phép bạn thiết lập danh sách quyền truy cập thông qua mạng
Permissions
của người dùng
Cho phép thư mục được lưu trữ tạm tài liệu khi làm việc dưới chế độ
Offline Settings
Offline.
- 57 -
Kết nối đến thư mục chia sẻ

Sau khi chia sẻ một thư mục, người dùng có thể truy cập thư mục đó qua mạng. Người dùng có thể truy
cập một thư mục chia sẻ trên máy khác bằng cách sử dụng My Network Places, Map Network Drive,
hay lệnh Run.
Sử dụng My Network Places
Trong nhiều trường hợp, cách dễ nhất để truy cập thư mục chia sẻ là sử dụng My Network Places.
Để kết nối đến thư mục chia sẻ dùng My Network Places, hãy thực hiện các bước sau:
1. Nhấp đúp My Network Places.

2. Nhập đường dẫn đến thư mục chia sẻ muốn kết nối hoặc nhấp Browse để tìm máy tính chứa thư
mục.
3. Nhấp đúp thư mục chia sẻ để mở xem nội dung.
Lưu ý Khi mở thư mục chia sẻ trên mạng, Windows 2003 tự động thêm nó vào My Network Places.
Sử dụng Map Network Drive (ánh xạ ổ đĩa mạng)

Hãy ánh xạ một ổ đĩa mạng khi muốn liên kết một ký tự ổ đĩa và một icon với một thư mục chia sẻ. Điều
này làm cho việc tham chiếu đến vị trí của một tập tin trong thư mục chia sẻ dễ dàng hơn. Ví dụ, thay vì
trỏ đến \\Máy chủ\Tên thư mục chia sẻ \Tập tin, chúng ta sẽ trỏ đến Ổ đĩa:\Tập tin. Chúng ta sử dụng các
ký tự ổ đĩa để truy cập các thư mục chia sẻ không thể sử dụng đường dẫn UNC (universal naming
convention), chẳng hạn như một thư mục của một ứng dụng cũ.
Để ánh xạ một ổ đĩa mạng, hãy thực hiện các bước sau:
1. Nhấp phải My Network Places, nhấp Map Network Drive.

2. Trong wizard Map Network Drive, hãy chọn ký tự ổ đĩa muốn sử dụng.
3. Nhập tên thư mục chia sẻ muốn kết nối hay nhấp Browse để tìm thư mục chia sẻ.
Để có thể tiếp cận thư mục chia sẻ sử dụng thường xuyên, hãy chọn Reconnect at logon để kết nối
tự động mỗi khi log on.
- 58 -
Sử dụng lệnh Run
Khi sử dụng lệnh Run để kết nối đến tài nguyên mạng, không cần phải có ký tự ổ đĩa; cho phép số lượng
kết nối không giới hạn, độc lập với các ký tự ổ đĩa khả dụng.
Để kết nối thư mục chia sẻ vào một ổ đĩa mạng, hãy thực hiện các bước sau:
1. Nhấp Start, nhấp Run.

2. Trong hộp thoại Run, nhập đường dẫn UNC trong hộp Open, nhấp OK.
Khi nhập tên máy chủ trong hộp Open, một danh sách tên các thư mục chia sẻ khả dụng sẽ xuất hiện.
3.3.Quyền NTFS
Windows 2003 chỉ cung cấp các quyền NTFS trên các phân vùng được định dạng NTFS. Để bảo mật cho
các tập tin và thư mục trên các phân vùng NTFS, chúng ta gán các quyền NTFS cho từng tài khoản hay
nhóm người dùng cần truy cập tài nguyên. Người dùng phải được cấp phép cụ thể để truy cập tài nguyên.
Nếu không được cấp phép, tài khoản người dùng không thể tiếp cận tập tin, thư mục. Bảo mật NTFS có
hiệu lực khi người dùng truy cập thư mục hay tập tin ngay tại máy hoặc qua mạng.
Danh sách kiểm soát truy cập (Access Control List)
NTFS lưu một danh sách kiểm soát truy cập (Access control list - ACL) trên từng tập tin và thư mục
trong phân vùng NTFS. ACL chứa danh sách các tài khoản người dùng, nhóm, và các máy tính được cấp
phép truy cập tập tin thư mục, cũng như loại truy cập mà chúng được phép. Để người dùng tiếp cận được
tập tin thư mục, ACL phải chứa một mục (entry) gọi là mục kiểm soát truy cập (Access control entry -
ACE) cho tài khoản, nhóm, hay máy tính của người dùng. Mục này phải cho phép kiểu truy cập mà
người dùng cần phải có để có thể tiếp cận được tập tin thư mục. Nếu không tồn tại ACE trong ACL,
Windows 2003 sẽ không cho phép người dùng truy cập tài nguyên.
Chúng ta có thể sử dụng các quyền NTFS để chỉ ra các người dùng, nhóm, và máy tính có thể tiếp cận
tập tin thư mục. Các quyền NTFS cũng chỉ ra các người dùng, nhóm, và máy tính nào có thể làm gì với
nội dung của tập tin, thư mục.
Các quyền thư mục NTFS
- 59 -
Chúng ta gán quyền thư mục NTFS để kiểm soát truy cập đến các thư mục cũng như các tập tin và thư
mục con chứa trong các thư mục đó.
Các quyền tập tin NTFS
Chúng ta gán quyền tập tin NTFS để kiểm soát truy cập đến các tập tin.
Lưu ý: Khi định dạng một phân vùng theo NTFS, Windows 2003 tự động gán quyền truy cập Read Only
(chỉ đọc) đến thư mục gốc cho nhóm Everyone. Mặc định, nhóm Everyone sẽ có quyền Full Control đối
với tất cả các thư mục và tập tin được tạo trong thư mục gốc. Để giới hạn truy cập chỉ cho các người
dùng được phép, chúng ta nên thay đổi quyền mặc định cho các thư mục và tập tin chúng ta đã tạo.
Cách Windows 2003 áp dụng các quyền NTFS

Mặc định, khi chúng ta cấp phép sử dụng một thư mục cho người dùng và nhóm, các người dùng và
nhóm này sẽ có thể tiếp cận được các tập tin và thư mục con chứa trong thư mục này. Điều quan trọng
chúng ta phải hiểu là các các thư mục con và các tập tin kế thừa quyền từ các thư mục cha, từ đó có thể
sử dụng sự kế thừa này để truyền quyền truy cập cho các tập tin và thư mục.
Nếu cấp phép truy cập một tập tin hay thư mục cho một tài khoản người dùng hay cho nhóm mà người
dùng là thành viên, người dùng sẽ có nhiều quyền truy cập đến cùng một tài nguyên. Có nhiều luật và độ
ưu tiên liên quan đến cách NTFS kết hợp các quyền. Ngoài ra, chúng ta cũng có thể tác động đến các
quyền truy cập khi sao chép hay di chuyển các tập tin, thư mục.
Quyền NTFS tổng hợp
Nếu chúng ta gán các quyền NTFS cho một tài khoản người dùng và cho nhóm mà người dùng thuộc về,
thì có nghĩa là chúng ta đã gán quyền tổng hợp cho người dùng. Có nhiều luật quy định cách NTFS kết
hợp các quyền này để tạo ra tập hợp quyền thật sự có hiệu lực cho người dùng.
Quyền từ chối (deny) che các quyền khác
- 60 -
Chúng ta có thể từ chối truy cập trên một tập tin, thư mục cụ thể qua việc gán quyền từ chối cho tài
khoản người dùng hay nhóm. Thậm chí khi một người dùng có quyền truy cập tập tin hay thư mục do là
thành viên của một nhóm, việc từ chối quyền đối với người dùng sẽ chặn các quyền khác người dùng
đang có. Do đó, quyền từ chối là một ngoại lệ đối với luật tích lũy. Chúng ta nên tránh việc từ chối quyền
vì việc cho phép truy cập thì dễ dàng hơn việc từ chối. Nên tổ chức các nhóm và tổ chức các tài nguyên
trong các thư mục để chỉ cần sử dụng việc cấp phép là đủ (không cần dùng Deny).
Lưu ý Trong Windows 2003, có sự khác biệt giữa một người dùng không được phép truy cập và việc từ
chối một người dùng truy cập bằng việc thêm một mục từ chối (deny entry) vào ACL trên tập tin, thư
mục. Điều này có nghĩa nếu là người quản trị, chúng ta có một cách khác để từ chối truy cập là không cho
phép người dùng truy cập tập tin thư mục.
Sự kế thừa quyền NTFS
Mặc định, các quyền được gán cho thư mục cha sẽ được kế thừa và lan truyền xuống các tập tin và thư
mục con nằm trong thư mục cha này. Tuy nhiên, chúng ta có thể ngăn chặn sự kế thừa quyền khi muốn
các tập tin và thư mục con có quyền khác với thư mục cha của chúng.
Sự kế thừa quyền
Bất cứ quyền gì được gán cho một thư mục cha cũng được áp dụng cho các thư mục con và tập tin chứa
trong nó. Khi gán quyền NTFS để cho phép truy cập đến một thư mục là chúng ta đã gán quyền cho thư
mục đó cũng như cho tất cả các tập tin và thư mục con đang tồn tại trong nó kể cả các tập tin và thư mục
con sẽ được tạo trong thư mục đó.
Ngăn chặn việc kế thừa quyền
- 61 -
Chúng ta có thể ngăn chặn việc kế thừa quyền qua việc ngăn chặn các thư mục con và tập tin kế thừa
quyền từ thư mục cha. Để ngăn chặn việc kế thừa quyền, hãy hủy các quyền được kế thừa và chỉ giữ lại
các quyền được gán có chủ đích.
Thư mục con mà chúng ta đã ngăn không cho kế thừa quyền từ thư mục cha lúc này trở thành thư mục
cha mới. Các thư mục con và tập tin chứa trong thư mục cha mới này sẽ kế thừa các quyền được gán cho
các thư mục cha của chúng.
Gán quyền NTFS
Gán quyền NTFS trong hộp thoại Properties của thư mục. Khi gán hay thay đổi quyền NTFS cho một
tập tin hay thư mục, chúng ta có thể thêm hay xóa các người dùng, nhóm hay máy tính cho tập tin hay
thư mục. Qua việc chọn một người dùng hay nhóm, chúng ta có thể hiệu chỉnh quyền cho người dùng
hay nhóm.
Trên tab Security trong hộp thoại Properties của tập tin hay thư mục, hãy cấu hình các tham số mô tả
trong bảng sau.
Tham số Mô tả
Name Chọn tài khoản người dùng hay nhóm muốn thay đổi quyền hoặc muốn xóa khỏi danh
sách.
Permissions Cho phép một quyền khi chọn check box Allow.
Từ chối một quyền khi chọn check box Deny.
Add Mở hộp thoại Select User, Groups, or Computers, dùng để chọn các tài khoản người
dùng và nhóm để thêm vào danh sách Name.
Remove Xóa các tài khoản người dùng hay nhóm được chọn và các quyền hạn liên quan đến tập
tin, thư mục.
- 62 -
Thiết lập sự kế thừa quyền

Nhìn chung, chúng ta nên cho phép Windows 2003 truyền lại các quyền từ thư mục cha cho các thư mục
con và tập tin chứa trong thư mục cha đó. Sự lan truyền các quyền làm đơn giản hóa việc gán quyền cho
các tài nguyên.
Tuy nhiên, sẽ có khi chúng ta muốn ngăn chặn việc kế thừa quyền. Ví dụ, chúng ta có thể cần phải giữ tất
cả các tập tin của phòng kinh doanh trong một thư mục sales để mọi người trong phòng kinh doanh đều
có quyền Write. Tuy nhiên, chúng ta cần phải giới hạn quyền cho một số tập tin trong thư mục là Read.
Để làm được điều này, chúng ta sẽ ngăn chặn sự kế thừa để quyền Write không truyền xuống các tập tin
chứa trong thư mục.
Mặc định, các thư mục con và các tập tin kế thừa quyền được gán cho các thư mục cha, như hiển thị trên
tab Security trong hộp thoại Properties khi check box Allow inheritable permissions from parent to
propagate to this object được chọn.
Để ngăn chặn một thư mục con hay tập tin kế thừa quyền từ thư mục cha, hãy xóa check box Allow
inheritable permissions from parent to propagate to this object, sau đó chọn một trong hay tùy chọn
đuợc mô tả trong bảng sau.
- 63 -
Tùy
chọn Mô tả
Copy Sao chép các quyền được kế thừa trước đây từ thư mục cha xuống thư mục con hay tập tin và
từ chối sự kế thừa quyền từ thư mục cha kể từ lúc đó.
Remove Xóa các quyền kế thừa được gán trên thư mục cha khỏi thư mục con hay tập tin và giữ lại
những quyền chúng ta đã gán có chủ đích cho thư mục con hay tập tin.
3.4. Tương tác quyền Shared và NTFS
3.5. Offline File

Offline Files là một tính năng quản lý tài liệu quan trọng cung cấp cho các user khả năng truy xuất online
hay offline nhất định tới tập tin. Khi máy client ngắt kết nối khỏi mạng, mọi thứ được download về máy
cục bộ. Các user vẫn có thể tiếp tục làm việc như họ đang còn kết nối tới mạng. Họ có thể chỉnh sửa,
copy, xoá …Khi client kết nối trở lại vào mạng, các tập tin client và server tự động đồng bộ lại.
Sử dụng Offline Files có những thuận lợi sau :
• Hỗ trợ cho những user lưu động
Khi một user lưu động xem share folder trong khi ngắt kết nối mạng, user vẫn có
thể trình duyệt, đọc, chỉnh sửa các tập tin, bởi vì chúng đã được lưu trữ trong bộ
nhớ của máy client. Khi user sau đó kết nối tới server, hệ thống điều chỉnh
những thay đổi với server
• Tự động đồng bộ
Bạn có thể cấu hình chính sách đồng bộ và cách hành động dựa trên thời gian
trong ngày và loại kết nối mạng bằng cách sử dụng Synchronization Manager.
Ví dụ bạn có thể cấu hình đồng bộ để nó xảy ra tự động khi user logon vào mạng
LAN.
• Quá trình thực thi thuận lợi
Offline Files cung cấp sự thực thi thuận lợi cho mạng. Trong khi kết nối tới
mạng, các client vẫn có thể đọc tập tin từ bộ nhớ cục bộ, giảm lưu lượng dữ liệu
truyền trên mạng.
• Backup thuận lợi
Offline Files giải quyết tình trạng khó xử trong các tổ chức kinh doanh ngày nay.
Nhiều tổ chức thực thi một chính sách backup yêu cầu tất cả dữ liệu của user
phải được lưu trữ trên các server được quản lý. Bộ phận IT của tổ chức thường
không backup dữ liệu được lưu trên các đĩa cục bộ. Điều này trở thành một vấn
đề nghiêm trọng cho những user lưu động với các máy tính xách tay.
Nếu bạn muốn truy xuất dữ liệu khi offline, máy tính cần sao chép dữ liệu giữa
máy xách tay và server. Một vài tổ chức sử dụng công cụ Briefcase. Với
Windows Server 2003, việc sao chép dữ liệu giữa máy client và server được
quản lý tự động. Các tập tin có thể được truy xuất trong khi đang offline và được
đồng bộ tự động với server được quản lý .
Bạn có thể cấu hình một file trên mạng làm cho nó sẳn sàng offline khi Offline Filse được enable cho
folder chứa file đó. Khi các user cấu hình làm cho các tập tin được offline, user sẽ làm việc với phiên bản
của tập tin mạng trong khi đang kết nối vào mạng ,và làm việc với phiên bản tập tin được lưu trữ trong bộ
đệm khi ngắt kết nối mạng.
- 64 -
Khi các user cấu hình các files để được sẵn có offline những sự kiện đồng bộ sau sẽ xảy ra khi user
disconnected khỏi mạng :
• Khi user log off khỏi mạng, hệ điều hành Windows client đồng bộ các tập tin mạng với bộ nhớ
đệm sẽ copy các tập tin
• Khi user disconnected khỏi mạng, user sẽ làm việc với những tập tin được lưu trữ torng bộ nhớ
cục bộ
• Khi user log on trở lại vào mạng, hệ điều hành client Windows đồng bộ bất kì tập tin offline nào
mà user đã sửa đổi trên máy mạng. Nếu file được thay đổi trên cả hai máy thì hệ điều hành client
Windows sẽ nhắc user loại file nào user muốn giữ, hay user có thể đổi tên tập tin, hoặc giữ cả hai
phiên bản.
Chú ý: Nếu có hai user làm việc với cùng tập tin offline tại cùng thời điểm thì sau khi đồng bộ, một trong
hai phiên bản sẽ bị mất.
Tùy chọn Offlin file Cache
Offline Files lưu trữ các file thường xuyên được truy xuất vào một folder share. Điều này tương tự như
trình duyệt Web giữ một danh sách các web site thường xuyên truy xuất vào trong bộ đệm(cache). Khi
bạn tạo các share folder trên mạng, bạn có thể chỉ ra tuỳ chọn lưu trữ cho tập tin và những chương trình
trong folder. Có 3 tuỳ chọn lưu trữ khác nhau.
Manual caching of documents: Chế độ này cung cấp truy xuất offline chỉ cho những file và
chương trình mà user chỉ định là có hiệu lực. Nó là ý tưởng cho một folder share mạng chứa
những tập tin mà một vài người sẽ truy cập và chỉnh sửa. Đây là tuỳ chọn mặc định khi bạn cấu
hình một share folder trở thành offline.
Automatic caching of documents: Với chế độ lưu trữ tự động, tất cả các file và chương trình
mà user mở từ folder share tự động offline. Những tập tin mà user không mở sẽ không offline.
Các bản copy cũ sẽ tự động bị ghi đè bởi những phiên bản mới hơn.
Automatic caching of programs: Khi check box Optimized for performance được chọn, nó
cung cấp tự động lưu trữ những chương trình. Việc tự động lưu trữ các chương trình làm giảm
lưu thông mạng, bởi vì các tập tin offline được mở ngay lập tức. Các phiên bản tập tin trên mạng
không thể truy xuất theo bất cứ cách nào, và những file offline nhìn chung khởi động và chạy
nhanh hơn những version mạng.
Khi bạn sử dụng chế độ này, phải bảo đảm hạn chế các quyền tới những file được chứa trong các
share folder thành truy xuất Read.
Để cấu hình các thiết lập offline bằng cách sử dụng Windows Explorer :
1. Trong Windows Explorer, right-click trên shared folder muốn cấu hình truy cập offline và sau đó
click Sharing and Security.
- 65 -
2. Trong hộp thoại Properties chọn Tab Sharing và click Offline Settings.
3. Trong hộp thoại Offline Settings chọn các option mà bạn cần và click OK.
3.6. Triển khai dịch vụ file DFS

Giới thiệu DFS:
Trong thực tế những công ty lớn đều có một hệ thống máy chủ chứa dữ liệu trên đó được chia sẻ cho
nhiều người dùng, và dữ liệu đó được chia sẻ không phải từ một máy chủ mà từ nhiều máy chủ khác
nhau.
Với người dùng mạng, họ sẽ gặp nhiều phiền phức mỗi khi muốn truy xuất một dữ liệu nào đó. Họ khó
mà nhớ được, dữ liệu nào đang được chia sẻ trên Server nào.
Vấn đề trên cũng sẽ gây khó khăn cho Người Quản trị mạng.
Trong hệ thống Windows Server 2003 có một giải pháp cho phép tập trung các tài nguyên được chia sẻ
trên mạng (bởi các máy khác nhau) để đơn giản việc quản lý và truy xuất. Đó là sử dụng “Distributed
File System” (DFS).
Hình 10.1: Mô hình DFS

Nên nhớ rằng, DFS chỉ tập trung tài nguyên chỉa sẻ về phương diện Logic. Có nghĩa là, tài nguyên thực
sự vẫn tồn tại trên máy chủ chia sẻ. DFS sẽ gom tất cả các đường dẫn của tài nguyên chia sẻ về tập trung
tại một mối (gọi là DFS root).
Giải pháp sử dụng DFS mang lại sự thuận tiện cho các người dùng mạng. Khi sử dụng DFS người dùng
chỉ cần truy cập vào DFS root. Từ đó, họ sẽ truy cập được vào các tài nguyên chia sẻ trên các máy khác,
nhờ vào các nhánh được tạo ra bởi các đường link đến các địa chỉ được chia sẻ trên máy khác..
Các kiểu của “DFS Root”:
DFS tập trung các đường liên kết đến tài nguyên chia sẻ trên mạng về một mối (gọi là “DFS root”).
Microsoft đưa ra hai mô hình quản trị mạng: WORKGROUP và DOMAIN, nên “DFS root” cũng có hai
kiểu tương ứng cho mỗi mô hình quản trị. Domain Root và Stand-Alone Root
Domain Root:
Là sự kết hợp giữa DFS với tính năng Replication trong Active Directory. Domain root có khả
năng tự dò tìm các tài nguyên chia sẻ trong mạng Domain để tạo liên kết đặt vào “Domain root”.
Với “Domain root”, các thông tin của DFS sẽ lưu trữ trên “Active Directory”.
Người dùng truy cập vào hệ tài nguyên qua hệ thống DFS dùng “Domain root” bằng đường dẫn:
\\Domain\ShareName
o Domain: tên của Domain
o ShareName: tên tài nguyên chia sẻ trên Root
Stand-Alone Root:
Là một giải pháp cho một máy chủ đơn hoạt động trong mạng WORKGROUP hoặc mạng
DOMAIN.
- 66 -
Với “Stand-Alone Root”, người Quản trị phải tự tay nhập “các đường liên kết đến tài nguyên chia sẻ
trên mạng” vào Root. “Stand-Alone Root” không hổ trợ chế độ tự động dò tìm tài nguyên chia sẻ
như “Domain root”.
Người dùng truy cập vào hệ tài nguyên qua hệ thống DFS dùng “Stand-Alone Root” bằng đường
dẫn:
\\Server_Name\ShareName
o ServerName: tên của máy chủ chứa “DFS root”
o ShareName: tên tài nguyên chia sẻ trên Root
Thực thi DFS:
Giả định, tại Trung tâm Đào tạo CNT iSpace, mỗi bộ phận đều có máy chủ chứa tài nguyên chia sẻ:
Máy chủ PDT: chia sẻ các tài nguyên GIAO_TRINH, GIAO_AN…
Máy chủ GIAO_VU:: chia sẻ các tài nguyên, THONG_BAO, TKB, …
Máy chủ KY_THUAT:: chia sẻ các tài nguyên SOFTWARE, DRIVER,…
Đối với người dùng, để truy cập tài nguyên họ phải truy cập qua Computer Browser:
Truy cập tài nguyên trên máy chủ PDT: \\PDT\Giao_Trinh ; \\PDT\Giao_An ...
Truy cập tài nguyên trên GIAO_VU: \\GIAO_VU\TKB ; \\GIAO_VU\Thong_Bao, …
Truy cập tài nguyên trên KY_THUAT: \\KY_THUAT\Driver \\KY_THUAT\SOFTWARE, …
Nếu sử dụng giải pháp DFS, nó sẽ mang lại sự thuận tiện cho người dùng trong cả Trung tâm.
Máy chủ với tên ISPACE là root của các tài nguyên chia sẻ từ nhiều máy chủ trong Trung Tâm,
Khi sử dụng DFS trên máy chủ ISPACE toàn bộ người dùng sẽ truy xuất các dữ liệu share trên mạng với
một địa chỉ duy nhất qua computer brower là: \\ISPACE\Tai_Nguyen
Thiết lập DFS trên máy chủ ISPACE
Trên máy chủ ISPACE, vào ổ đĩa bạn muốn chứa dữ liệu root (Ví dụ là ổ E:), tạo một folder có tên là
TAI_NGUYEN
Hình 10.2: Tạo thư mục root tên TAI_NGUYEN trên máy chủ ISPACE
Mở “Control Panel” Æ “Administrative Tools” Æ chạy chương trình “Distributed File System”.
- 67 -
Hình 10.3: Distributed File System
Tạo root mới trên máy chủ ISPACE bằng cách chuột phải vào Distributed File System sau đó chọn
New Root
Hình 10.4: Tạo New Root

Sau khi nhấn chọn “New root” hệ thống hiện ra một Wizard hổ trợ người Quản trị tạo Root mới,
chọn Next.
Tại cửa sổ “Root Type”, hệ thống sẽ yêu cầu lựa chọn một trong hai dạng root là: Domain Root
hoặc Stand-Alone Root. (Xem hình 4)
Nếu bạn chọn “Domain root”, Wizard sẽ yêu cầu người Quản trị xác định chính xác tên Domain
đang tồn tại trên mạng.
Nếu mạng của mạng chưa nâng cấp lên Domain, hãy chọn “Stand-Alone Root”,
- 68 -
Hình 10.5: Lựa chọn dạng root cho DFS
Sau đó bạn nhấn Next, trong cửa sổ “Host Server”, hệ thống yêu cầu bạn gõ tên máy chủ chứa Root
của DFS. Ở phần minh hoạ này, tên Server là: ISPACE (tên máy chủ chủ “DFS root”)
Hình 10.6: Nhập tên Server của DFS root
Nhấn Next hệ thống sẽ ra một cửa sổ yêu cầu bạn cần đặt tên cho thư mục Root, và miêu tả thư mục
đó (Comment)
- 69 -
Hình 10.7: Đặt tên thư mục root

Bước kế, tại cửa sổ “Root Share”, người Quản trị phải chỉ định thư mục dùng chứa thông tin của
DFS root.
Hình 10.8: Chỉ định thư mục chứa DFS root
Cuối cùng, chọn “Finish” để hoàn thành việc tạo thư mục Root trên máy chủ ISPACE.
Ghi nhớ rằng, để khởi tạo được DFS Root, phải đáp ứng 2
điều kiện:
9 Dịch vụ “Distributed File System” phải được “Start”
(Xem thêm phần hướng dẫn phía dưới dây.
9 Ổ đĩa chứa Folder dùng làm “Root Share” (hình 7) phải
sử dụng “File System” là NTFS
Hướng dẫn “Start” dịch vụ “Distributed File System”:

Chạy công cụ “Services” (đặt trong “Control panel” Æ “Administrative Tools”.
Nhấp phải mouse trên “Distributed File System” và chọn “Start”.
- 70 -
Hình 10.9: Xem trạng thái hoạt động của các services
Tạo đường liên kết mới trong “root”
Sử dụng DFS với kiều “Stand-Alone Root”, người Quản trị phải tự tay tạo ra các link chỉ đến tài nguyên
chia sẻ trên mạng trong DFS root. Cách tạo link như sau:
Chạy “Distributed File System” Æ nhấp phải mouse trên Root đã tạo Æ chọn “New Link” (Xem
hình 8)
Hình 10.10: Tạo Link mới trong DFS root
Các thông tin nhập trong “New link” (hình 9) gồm có:
o Link name: Tên của link. Tên này sẽ thể hiện trong Root như là một Folder chứa tài
nguyên chia sẻ.
o Path to Target (shared folder): Đường dẫn đến tài nguyên chia sẻ bởi máy chủ khác trên
mạng.. Người Quản trị có thể dùng nút “Browse” để duyệt tài nguyên chia sẻ trên mạng.
o Comment: Chú thích thêm về tài nguyên (nếu cần).
- 71 -
Hình 10.11: Thông tin chi tiết khi tạo Link mới trong DFS root
Tương tự, người Quản trị sẽ tạo thêm các link dẫn tới tài nguyên chia sẻ trên máu chủ PDT,
GIAO_VU…
Truy xuất tài nguyên chia sẻ qua DFS:
Một khi hệ thống DFS và các link đẽ được thiết lập, người dùng mạng có thể truy xuất tài nguyên chia sẻ
chỉ bằng một đường dẫn duy nhất
\\Domain\ShareName hoặc
\\Server_Name\ShareName
Ví dụ: truy cập tài nguyên qua DFS lập trên máy chủ ISPACE kiểu “Stand-Alone Root”
Hình 10.12: Truy xuất tài nguyên qua DFS
- 72 -
Tóm tắt:
¾ Quyền chia sẻ thư mục: Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào
hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên của nhóm Server
Operators.
¾ Share Permissions: là quyền chỉ có hiệu lực khi người dùng truy cập qua mạng chứ không có
hiệu lực khi người dùng truy cập cục bộ. Share Permissions, chứa danh sách các quyền sau để
cho phép người dùng truy xuất đến thư mục chia sẻ:
• Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ.
• Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục
chia sẻ.
• Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ.
¾ NTFS Permission: NTFS là một hệ thống file và sẵn có trên Windows Server 2003. NTFS cung
cấp quá trình thực thi và các tính năng không thể có trong FAT hay FAT32. NTFS cung cấp các
lợi ích sau:
• Độ tin cậy
• Bảo mật cao
• Cải thiện việc quản lý và gia tăng lưu trữ
• Nhiều quyền user
¾ Offline File: là một tính năng quản lý tài liệu quan trọng cung cấp cho các user khả năng truy
xuất online hay offline nhất định tới tập tin. Khi máy client ngắt kết nối khỏi mạng, mọi thứ được
download về máy cục bộ. Các user vẫn có thể tiếp tục làm việc như họ đang còn kết nối tới
mạng. Họ có thể chỉnh sửa, copy, xoá …Khi client kết nối trở lại vào mạng, các tập tin client và
server tự động đồng bộ lại. Sử dụng Offline Files có những thuận lợi sau :
• Hỗ trợ cho những user lưu động
• Tự động đồng bộ
• Quá trình thực thi thuận lợi
• Backup thuận lợi
¾ DFS (Distributed File System): Trong hệ thống Windows Server 2003 có một giải pháp cho
phép tập trung các tài nguyên được chia sẻ trên mạng (bởi các máy khác nhau) để đơn giản việc
quản lý và truy xuất.
- 73 -
BÀI 4: QUẢN TRỊ TRUY XUẤT TÀI NGUYÊN PRINTER
Mục tiêu:
¾ Triển khai Local, Network Print Device

¾ Quản trị quyền truy xuất Printer
¾ Xử lý các sự cố về in ấn
4.1. Giới thiệu Printer

Giới thiệu việc in ấn trong Windows 2003: Windows 2003 tạo điều kiện thuận lợi cho người quản trị
thiết lập in ấn mạng và cấu hình các tài nguyên in ấn từ một vị trí trung tâm. Chúng ta cũng có thể cấu
hình các máy trạm chạy Windows 95, Windows 98, hay Microsoft Windows NT phiên bản 4.0 in ấn từ
các thiết bị in ấn mạng.
Trước khi thiết lập việc in ấn trong Windows 2003, chúng ta nên để ý đến thuật ngữ được sử dụng và các
đề cử về yêu cầu hệ thống cho việc thiết lập một print server với một thiết bị in có khả năng tiếp cận
mạng. Để đạt kết quả tốt nhất, hãy ghi nhớ các nguyên tắc khi lập kế hoạch triển khai môi trường in ấn
mạng.
Các thuật ngữ in ấn trong Windows 2003
Chúng ta nên làm quen với các thuật ngữ được sử dụng để nhận diện các thành phần và cách các thành
phần làm việc với nhau. Danh sách sau liệt kê các thuật ngữ về in ấn được định nghĩa trong Windows
2003:
¾ Print device (thiết bị in): Thiết bị phần cứng tạo ra các bản tài liệu in.
Windows 2003 hỗ trợ các thiết bị in:
• Local print device (thiết bị in cục bộ): Thiết bị in kết nối đến một cổng vật lý trên print
server.
• Network-interface print device (thiết bị in giao diện mạng): Thiết bị in kết nối đến một
print server qua mạng thay cho cổng vật lý. Network-interface print device đòi hỏi card mạng
riêng của nó và có địa chỉ mạng riêng hoặc được gắn vào một card mạng gắn ngoài.
¾ Printer (máy in): Giao diện phần mềm giữa hệ điều hành và thiết bị in. Printer định nghĩa khi
nào và ở đâu một tài liệu sẽ đi đến để tìm một thiết bị in (cổng cục bộ, cổng kết nối mạng, hay
tập tin).
¾ Print server (máy chủ in ấn): Máy tính có gắn các máy in và trình điều khiển máy khách. Print
server nhận và xử lý các tài liệu từ các máy khách. Chúng ta thiết lập và chia sẻ các máy in mạng
liên quan đến các thiết bị in ấn cục bộ và giao diện mạng trên các print server.
- 74 -
¾ Printer driver (trình điều khiển máy in). Một hay nhiều tập tin chứa thông tin mà Windows
2003 đòi hỏi dùng để chuyển đổi các lệnh in thành ngôn ngữ máy in chuyên dụng. Sự chuyển đổi
này làm cho máy in có thể in được tài liệu. Một trình điều khiển máy in là chuyên dụng cho từng
thiết bị in và trình điều khiển máy in phù hợp phải hiện diện trên print server.
¾ Printer Port: Trong hộp thoại Printer Server Properties, bạn mở Tab Port. Tab này cũng
tương tự như Tab Port trong hộp thoại Properties của máy in. Sự khác nhau giữa hai Tab Port
là: Tab Port trong hộp thoại Print Server Properties được sử dụng để quản lý tất cả các port
trong Print Server. Còn Tab port trong hộp thoại Properties của máy in quản lý các port của
thiết bị máy in vật lý.
4.2. Triển khai Printer

Local Printer:
Vào Start Æ Setting Æ Printers and Faxes
Hình : Printers and Faxes minh họa (bổ sung sau)
Chọn Add printer Æ Next ÆTrang Local or Network Printer Æ chọn Local printer attached to this
computer Æ Next
Hình : Chọn Local Printer
- 75 -
Trang Select a Printer Port Æ chọn Use the following port (chọn port LPT hay USB tùy theo máy in)
Æ Next Æchọn hãng sản xuất và loại máy in (vd là HP2000C)
Hình : Lựa chọn máy in
Next Æ Next Æ Next Æ Next Æ Finish.
Chia sẻ máy in
Vào Start Æ Setting Æ Printers and Faxes Æ Right click trên máy in cần chia sẻ và chon Sharing
Network Printer:
Nguyên tắc thiết lập một máy in mạng
Trước khi thiết lập in ấn mạng, hãy đưa ra chiến lược in ấn để có thể quản lý hiệu quả các nhu cầu in ấn
trên toàn mạng. Điều này bảo đảm cho việc quản lý các tác vụ in thông suốt. Danh sách sau cung cấp các
nguyên tắc cho việc lập chiến lược in ấn mạng:
• Xác định các yêu cầu về in ấn của tổ chức. Các yêu cầu này gồm có số lượng và kiểu thiết bị in.
Ngoài ra, hãy xem xét loại tải mỗi thiết bị in sẽ xử lý. Chẳng hạn, không nên dùng thiết bị in kết
nối cục bộ cho việc in ấn mạng vì nó có thể không quản lý nổi lượng tải.
• Xem xét yêu cầu in ấn của người dùng trong từng phòng ban. Chẳng hạn, phòng Hóa đơn có thể
có nhiều tác vụ in do phải in các hóa đơn liên tục. Tải cho việc in ấn càng lớn thì càng cần có
nhiều thiết bị in hơn.
• Xác định số lượng print server cần thiết để quản lý số lượng và các loại máy in trong mạng.
• Xác định vị trí đặt các thiết bị in. Vị trí này phải thuận tiện cho các mọi dùng nhận các tài liệu in.
• Xác định các tác vụ in nào có độ ưu tiên cao. Các thành viên ban quản trị thường có nhu cầu in
ấn thật nhanh. Các quản trị viên có thể gán độ ưu tiên cao cho những người có nhu cầu.
Cấu hình máy in mạng
Sau khi cài đặt và chia sẻ một máy in để sử dụng trên mạng, nhu cầu in ấn của người dùng và tổ chức có
thể thay đổi và đòi hỏi chúng ta cấu hình các thiết đặt in ấn sao cho tài nguyên in ấn của chúng ta phù
hợp hơn với các nhu cầu này.
- 76 -
Cài đặt máy in thông qua máy in đã chia sẻ trên mạng.

Vào Start Æ Setting Æ Printers and Faxes
Chọn Add printer Æ Next ÆTrang Local or Network Printer Æ chọn A network printer, or a
printer attached to another computer Æ Next
Hình C5.4: Chọn network printer
Trang Specify a printer chọn Connect to this printer và gõ ip hoặc computer name và tên máy in đã
chia sẻ trên mạng như hình bên dưới.
Vd:\\192.168.1.102\HP2000C hay \\PCXX\HP2000C Æ Next ÆFinish.
Hinh C5.5: Chọn máy in đã share trên mạng
- 77 -
Có thể có nhiều cách khác nhau để truy xuất và sử dụng máy in chia sẻ trên mạng, các bạn có thể tìm
hiểu thêm hoặc nhờ giảng viên hướng dẫn công tác này. Tuy nhiên, chúng tôi luôn hy vọng rằng các bạn
sẻ tìm ra một cách khác để làm công việc này và chia sẻ thêm những kinh nghiêm cho các bạn cùng lớp.
4.3.Quản trị Printer

Đặt độ ưu tiên cho máy in: hãy đặt độ ưu tiên giữa các máy in để ưu tiên cho các tài liệu cùng sử dụng
một thiết bị in để in. Để thực hiện điều này, hãy tạo nhiều máy in cùng trỏ đến một thiết bị in. Điều nàu
cho phép nhiều người dùng gởi các tài liệu quan trọng đến máy in có độ ưu tiên cao và các tài liệu thông
thường đến máy in có độ ưu tiên thấp hơn. Các tài liệu được gởi đến máy in có độ ưu tiên cao sẽ được in
trước.
Hình: Độ ưu tiên giữa các máy in
Để đặt độ ưu tiên giữa các máy in, hãy thực hiện các bước sau:
1. Trỏ hai hay nhiều máy in đến cùng một thiết bị in (chung cổng). Cổng có thể là cổng vật lý trên
print server hay một cổng trỏ đến một thiết bị in giao diện mạng.
2. Đặt độ ưu tiên khác nhau cho từng máy in kết nối đến thiết bị in, sau đó cho các nhóm người
dùng khác nhau dùng các máy in khác nhau để in. Chúng ta cũng có thể cho phép người dùng
gởi các tài liệu có độ ưu tiên cao đến máy in có độ ưu tiên cao hơn và các tài liệu có độ ưu tiên
thấp đến các máy in có độ ưu tiên thấp hơn.
Lưu ý là trong minh họa trước, User1 gởi các tài liệu đến một máy có độ ưu tiên thấp nhất là 1, trong khi
User2 gởi các tài liệu đến máy in có độ ưu tiên cao nhất là 99. Trong ví dụ này, các tài liệu của User2 sẽ
được in trước các tài liệu của User1.
Đặt độ ưu tiên cho máy in
- 78 -
Để đặt độ ưu tiên cho một máy in, hãy thực hiện các bước sau:
1. Mở hộp thoại Properties của máy in.

2. Trên tab Advanced, thay đổi độ ưu tiên trong hộp Priority, nhấp OK.
Gán quyền cho máy in
Có ba cấp độ quyền hạn trên máy in: Print (in), Manage Documents (quản lý tài liệu), và Manage Printer
(quản lý máy in).
Các quyền hạn trên máy in
Bảng sau liệt kê các khả năng của các cấp độ quyền hạn khác nhau.
- 79 -
Quyền Quyền quản Quyền quản

Khả năng của các quyền hạn in ấn in lý tài liệu lý máy in
Print documents (In tài liệu) X X X
Pause, resume, restart, and cancel the user's own document X X X

(Tạm ngưng, tiếp tục, khởi động lại, hủy tài liệu của người
dùng)
Connect to a printer (Kết nối đến máy in) X X X
Control job settings for all documents (Điều khiển các thiết đặt X X
công việc cho mọi tài liệu)
Pause, restart, and delete all documents (Tạm ngưng, khởi động X X
lại, xóa tất cả tài liệu)
Share a printer (Chia sẻ máy in) X
Change printer properties (Thay đổi thuộc tính máy in) X
Delete printers (Xóa các máy in) X
Change printer permissions (Thay đổi các quyền hạn máy in) X
Mặc định, các quản trị viên của một máy chủ, các print operator (nhân viên quản lý in ấn) và các server
operator (nhân viên quản lý máy chủ) trên một máy điều khiển vùngcó quyền Manage Printer. Nhóm
Everyone có quyền Print, và chủ tài liệu có quyền Manage Documents.
Gán quyền cho máy in
Để thêm một người dùng hoặc nhóm người dùng và gán quyền print, hãy thực hiện các bước sau:
- 80 -
1. Trong thư mục Printers, nhấp phải biểu tượng máy in muốn thay đổi quyền, nhấp Properties.
2. TRên tab Security, trong hộp thoại Properties của máy in, nhấp Everyone group, nhấp
Remove.
3. Nhấp nút Add. chọn các người dùng và nhóm được phép, nhấp Add, nhấp OK.
4. Trên tab Security, kiểm tra lại các quyền cho người dùng và nhóm, nhấp OK.
Tóm tắt:
¾ Print device (thiết bị in): Thiết bị phần cứng tạo ra các bản tài liệu in.
¾ Printer (máy in): Giao diện phần mềm giữa hệ điều hành và thiết bị in. Printer định nghĩa khi
nào và ở đâu một tài liệu sẽ đi đến để tìm một thiết bị in (cổng cục bộ, cổng kết nối mạng, hay
tập tin).
¾ Print server (máy chủ in ấn): Máy tính có gắn các máy in và trình điều khiển máy khách. Print
server nhận và xử lý các tài liệu từ các máy khách. Chúng ta thiết lập và chia sẻ các máy in mạng
liên quan đến các thiết bị in ấn cục bộ và giao diện mạng trên các print server.
¾ Printer driver (trình điều khiển máy in). Một hay nhiều tập tin chứa thông tin mà Windows
2003 đòi hỏi dùng để chuyển đổi các lệnh in thành ngôn ngữ máy in chuyên dụng. Sự chuyển đổi
này làm cho máy in có thể in được tài liệu. Một trình điều khiển máy in là chuyên dụng cho từng
thiết bị in và trình điều khiển máy in phù hợp phải hiện diện trên print server.
¾ Printer Port: Port trong hộp thoại Print Server Properties được sử dụng để quản lý tất cả các
port trong Print Server. Còn Port trong hộp thoại Properties của máy in quản lý các port của thiết
bị máy in vật lý.
¾ Local print device (thiết bị in cục bộ): Thiết bị in kết nối đến một cổng vật lý trên print server.
¾ Network-interface print device (thiết bị in giao diện mạng): Thiết bị in kết nối đến một print
server qua mạng thay cho cổng vật lý. Network-interface print device đòi hỏi card mạng riêng
của nó và có địa chỉ mạng riêng hoặc được gắn vào một card mạng gắn ngoài.
- 81 -
BÀI 5: QUẢN TRỊ MÔI TRƯỜNG MẠNG GROUP POLICY
Mục tiêu:
¾ Giới thiệu Windows Group Policy
¾ Triển khai Group Policy trên Domain và Organizational Units
¾ Dùng Group Policy tự động hóa các công tác quản trị User và Computer
¾ Xử lý lỗi thông dụng khi triển khai Group Policy
5.1. Giới thiệu Group Policy.

¾ Group Policy Object (GPO) là một thành phần quan trọng trong hệ quản trị của Windows. Nó giúp
người quản trị có thể đưa ra những chính sách bảo vệ, giới hạn tầm hoạt động của người sử dụng theo
một khuôn phép nhất định. Hầu hết những thay đổi trên Windows như desktop, control panel, Internet
Explorer... đều lưu lại trên registry. Nhưng registry lại quá phức tạp và nguy hiểm do đó hệ điều hành
đưa ra một hệ thống Policy nhằm đơn giản hóa vấn đề thay đổi và bảo mật.
¾ Domain Group Policy: trong hệ thống Windows Server thì GPO hoạt động theo mô hình
client/Server. Do đó người quản trị sẽ theo tác các GPO trên máy chủ để áp đặt những thay đổi cần thiết
cho máy con khi máy con đăng nhập vào hệ thống.
Xét một số ví dụ:
• Trong một Công Ty, người quản trị muốn một số nhân viên nào đó không được thay đổi
thông số màn hình Desktop. Hoặc không muốn vào Control Panel để chỉnh sửa, phá phách...
• Một phòng ban nào đó muốn không cho họ thay đổi các thông số trên Internet Explorer hoặc
cấm họ không được phép sử dụng USB...
Tất cả những việc trên đều có thể làm trên các máy client đó. Nhưng GPO có thể làm trên máy chủ và có
hiệu lực cho một OU. Nguyên lý hoạt động của GPO là khi máy client truy cập vào Server thì Server sẽ
lấy thông tin registry trên máy client đó và chỉnh sữa lại theo đúng những gì mà GPO đã thiết lập và quá
trình này được cập nhật thường xuyên khi có tín hiệu truy cập từ máy Client. Các group policy dành cho
site, domain và OU được tạo ra dưới dạng các đối tượng chính sách nhóm (GPO), và các GPO được lưu
trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL.
¾ Local Group Policy: trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại
chỗ (local group policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả (tức khi nó
tham gia vào một workgroup hoặc khi nó được dùng độc lập). Các máy Windows XP Home thì không có
local group policy. Khi máy Win2k/XP Pro/WinS2k3 nối vào miền AD, thì ngoài các local group policy,
nó còn được áp dụng lần lượt các group policy dành cho Site, Domain, OU chứa nó (nếu thuộc nhiều OU
lồng nhau, thì policy nào dành cho OU ngoài hơn sẽ được áp dụng trước). Các policy được áp dụng sau
sẽ override các policy được áp dụng trước. GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 thì nằm
trong thư mục %Windir%\System32\GroupPolicy.
Chương trình để tạo ra và chỉnh sửa các GPO có tên là Group Policy Object Editor, có dạng một console
MMC tên là GPEDIT.MSC, hoặc cũng có thể dùng dưới dạng một công cụ snap-in trong một console
MMC khác. Ví dụ: console Active Directory Users and Computers, tức dsa.msc, cũng được trang bị sẵn
snap-in Group Policy.
- 82 -
¾ Các thành phần của Group Policy

Để tìm hiểu các thành phần GPO chúng ta cần khơi động chương trình Group Policy. Có 2 cách:
Cách 1: Vào menu Start > Run, rồi nhập lệnh mmc để khởi động Microsoft Management Console. Sau
đó vào menu File, chọn Open. Trong cửa sổ Open, tìm đến thư mục System32. Chúng ta thấy nhiều tập
tin xuất hiện có phần mở rộng là *.msc nhưng chúng ta chỉ quan tâm đến file gpedit.msc, chọn file
gpedit.msc và bấm Open:
Hình 5.1: Chọn file gpedit.msc

Cách 2: Vào menu Start Æ chọn Run và nhập vào gpedit.msc rồi nhấn OK để khởi động chương trình.
Khi chương trình đã khởi động, chúng ta sẽ thấy cửa sổ giao diện như hình bên dưới:
Hình 5.2: Giao diện Group Policy
- 83 -
Chương trình được phân theo dạng cây và rất dễ dùng và chúng ta hoàn toàn có thể sử dụng Group Policy
mà Windows cung cấp sẵn để quản trị hệ thống, không cần phải cài thêm các phần mềm khác.
¾ Trong Group Policy có 2 thành phần chính là Computer Configuration và user configuration
• Cách sử dụng chung: tìm tới các nhánh, Chọn Not configured nếu không định cấu hình cho
tính năng đó, Enable để kích hoạt tính năng, Disable để vô hiệu hóa tính năng.
• Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên
máy. Trong nhánh này chứa nhiều nhánh con như:
Windows Settings: nhánh này chức các vấn đề liên quan đến tài khoản, password tài khoản,
quản lý việc khởi động và đăng nhập hệ thống...
Administrative Templates:
Windows Components: cho phép cấu hình các thành phần cài đặt trong Windows như:
Internet Explorer, NetMeeting...
System: cấu hình về hệ thống. Cần lưu ý là trước khi cấu hình cho bất kỳ thành phần nào,
chúng ta cũng cần phải tìm hiểu thật kỹ về nó. Chúng ta có thể chọn thành phần rồi nhấp
chuột phải để chọn Help.
Hình 5.3: Tìm hiểu thành phần đang cấu hình

Còn một cách khác là không chọn Help mà chọn Properties. Khi cửa sổ Properties xuất hiện, chuyển
sang thẻ Explain để được giải thích chi tiết về thành phần này.
- 84 -
Hình 5.4: Giải thích tính năng của thành phần

Mặc định thì tình trạng ban đầu của các thành phần này là Not configured. Để thay đổi tình trạng
cho thành phần nào đó, chúng ta chọn thẻ Setting trong cửa sổ Properties, sẽ có 3 tùy chọn cho
chúng ta chọn lựa là: Enable (có hiệu lực), Disable (vô hiệu lực) và Not configure (không cấu hình).
• User Configuration: giúp chúng ta cấu hình cho tài khoản đang sử dụng. Các thành phần có
khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như trên.
Sau đây chúng ta tìm hiểu chi tiết một số thành phần chính của GP:
Computer Configuration:
¾ Windows Setting:
Tại đây chúng ta có thể hiệu chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, password tài
khoản, quản lý việc khởi động và đăng nhập hệ thống...
• Scripts (Startup/Shutdown):
Chúng ta có thể chỉ định cho windows sẽ chạy một đoạn mã nào đó khi Windows Startup hoặc
Shutdown.
• Security settings: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn
bộ hệ thống chứ không riêng người sử dụng nào.
Account Policies Thiết lập các chính sách áp dụng cho tài khoản của người dùng.
1. Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử
dụng tài khoản trên máy.
Enforce password history: Với những người sử dụng có không có thói quen ghi nhớ nhiều
mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ để thay cho
mật khẩu mới, điều này là một kẽ hở lớn lên quan trực tiếp đến việc lộ mật khẩu. Thiết lập
này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta
quyết định. Có giá trị từ 0 đến 24 mật khẩu.
Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ
thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thây đổi mật khẩu định kỳ nhằm nâng cao độ an
toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quen của chúng ta, từ đó có thể
tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày. Giá trị mặc định là 42.
Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu.
Hết thời gian này chúng ta mới có thể thay đổi mật khẩu của tài khoản, hoặc chúng ta có thể
thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày. Chúng ta cần
thiết lập “Minimum password age” lớn hơn không nếu chúng ta muốn chính sách “Enforce
password history” có hiệu quả, vì người sử dụng có thể thiết lập lại mật khẩu nhiều lần theo
chu kỳ để họ có thể sử dụng lại mật khẩu cũ.
Minimum password length: Độ dài nhỏ tối thiểu cuả mật khẩu tài khoản. (Tính bằng số ký
tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị là không nếu
chúng ta không sử dụng mật khẩu. Giá trị mặc định là 0.
Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu. Nếu
tính năng này có hiệu lực. Mật khẩu của tài khoàn ít nhất phải đạt những yêu cầu sau:
- Không chứa tất cả hoặc một phần tên tài khoản người dùng
- Độ dài nhỏ nhất là 6 ký tự
- Chứa từ 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a -> Z), các chữ cái hoa (A -> Z),
Các chữ số (0 -> 9) và các ký tự đặc biệt.
Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu. đinh :
Disable.
Store password using reversible encryption for all users in the domain: Lưu trữ mật khẩu
sử dụng mã hóa ngược cho tất cả các người sử dụng domain. Tính năngcung cấp sự hỗ trợ
- 85 -
cho các ứng dụng sử dụng giao thức,nó yêu cầu sự am hiểu về mật khẩu của người sử dụng.
Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngươc thực chất giống như việc lưu trữ
các văn bản mã hóa của thông tin bảo vệ mật khẩu. Mặc đinh : Disable.
2. Acount lockout Policy:

Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước khi việc
mở khóa đươc thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không
muốn việc tự động Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính
sách “Account lockout threshold” được thiết lập.
Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công.
Trong trường hợp này Acount sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản
trị hoặc phải đợi đến khi thời hạn khóa hêt hiệu lực. Có thể thiết lập giá trị cho số lần đăng
nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa.
Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một
khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold”
được thiết lập.
• Local Policies Kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn
cho người dùng tại chỗ.
User rights Assignment: Ấn định quyền cho người sử dụng.
Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời
gian của hệ thống…
Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục đó và nhấn
nủt Add user or group để trao quyền cho user hoặc Group nào bạn muốn.
Access this computer from the network: Với những kẻ tò mò, tọc mạch thì tại sao chúng ta
lại phải cho phép chúng truy cập vào máy tính của mình. Với thiết lập này chúng ta có thể
tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào.
Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép
hoạt động như một phần của hệ thống. Mặc định, tài khoản Aministrator có quyền cao nhất,
có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng
nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch
vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này.
Add workstations to domain: Thếm một tài khoản hoặc nhóm vào miền. Chính sách này
chỉ hoạt động trên hệ thống sử dụng Domain Controller. Khi được thêm vào miền, tài khoàn
này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập
tài nguyên mạng như một thành viên trên Domain.
Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chỉ tiêu bộ
nhớ dành cho một quá trình xử lý. Chính sách này tuy có làm tăng hiệu suất của hệ thống
nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như tấn công từ chôi dịch
vụ DoS (Dinal of Sevices).
Allow logon through Terminal Services: Terminal Services là một dịch vụ cho phép chúng
ta đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được
phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống.
Back up files and directories: Tương tự như các chính sách trên, ở đây sẽ cấp phép cho
những ai sẽ có quyền backup dữ liệu.
Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian cuả hệ
thống.
Create global objects: Cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung
- 86 -
Force shutdown from a remote system: Cho phép những ai có quyền tắt máy qua hệ thống
điều khiển từ xa.
Shut down the system: Cho phép ai có quyền Shutdown máy.
Public Key Policies Các chính sách khóa dùng chung
9 Lưu ý: ở đây chúng tôi chỉ giới thiệu một số các thành phần, các bạn có thể dựa theo cách này để tự
tìm hiểu thêm.
5.2. Triển khai Group Policy
Tạo Group Policy trên Local Computer
Để tạo một GPO local, chúng ta phải được logon như là một thành viên Administrator có thể truy xuất
Group Policy Object Editor từ Administrator Tools hay qua một snap-in MMC
¾ Để cài đặt một policy với những thiết lập local
• Start Æ Run và nhập vào mmc Æ OK
• Vào menu Files Æ Add/Remove Snap-in…Æ Add Group Policy Ọbject Editor
• Open Group Policy Object Editor.

• In the console tree, double-click the folders to view the policy settings in the details pane.
• In the details pane, double-click a policy setting to open the Properties dialog box, and then
change the policy setting.
- 87 -
Tạo Group Policy trên Domain

Việc thực thi Group Policy trên một domain cung cấp cho nhà quản trị mạng với quyền điều khiển lớn
hơn qua những cấu hình máy tính xuyên suốt cấu trúc mạng. Cũng bằng cách sử dụng Group Policy trong
Windows Server 2003, chúng ta có thể tạo một môi trường làm việc được quản lý hoàn toàn thích hợp
với trách nhiệm công việc của user và mức kinh nghiệm của mình, chúng ta có thể giảm lượng hỗ trợ
mạng cần thiết.
Để tạo một GPO mới hoặc link tới một GPO đang tồn tại bằng cách sử dụng Active Directory Users and
Computers, tạo một GPO trong một site, domain hay OU.
¾ Sử dụng Active Directory Users and Computers
• Trong Active Directory Users and Computers, click chuột phải trên Active Directory (domain or
organizational unit) mà chúng ta muốn tạo GPO, sau đó chọn Properties.
• Trong hộp thoại Properties, trên thẻ Group Policy sẽ có các lựa chọn sau:
Tạo mới một GPO, click New, nhập tên mới của GPO, sau đó bấm ENTER.
Liên kết đến một GPO sẵn có, click Add, sau đó chọn GPO từ danh sách
• GPO mà chúng ta vừa tạo hoặc liên kết sẽ được hiển thị trong danh sách GPO trong Active
Directory.
¾ Sử dụng Group Policy Management

• Start Æ Administrative Tools, sau đó click Group Policy Management.
• Trong Group Policy Management, trong phần console, mở rộng forest và tìm domain mà bạn
muốn tạo mới GPO.
• Right-click trên Group Policy Objects, và chọn New.
• Trong hộp thoại New GPO, nhập tên Group Policy Æ OK.
Edit Group Policy

Là một người quản trị hệ thống, chúng ta phải chỉnh sửa những thiết lập Group Policy. Để chỉnh sử
Group Policy chúng ta thực hiện theo các bước sau:
• Trong Group Policy Management, phần console tree, tìm Group Policy Objects cần Edit.
• Right-click trên GPO và sau đó click Edit.
• Trong Group Policy Object Editor, thông qua Group Policy setting mà bạn muốn edit Æ double-
click vào.
- 88 -
• Trong hộp thoại Properties, cấu hình Group Policy setting và click OK.
Link Group Policy đến Domain hay OU
Tất cả các GPOs được lưu trữ trong một container Active Directory được gọi là Group Policy Objects.
Khi một GPO được sử dụng cho site, domain hay một OU, GPO đó được link tới container Group Policy
Objects. Kết quả là chúng ta có thể tập trung quản lý và triển khai GPOs tới nhiều domai hay nhiều OU.
Creating a linked GPO Khi chúng ta tạo một GPO được liên kết với một site, domain hoặc OU, chúng
ta thực hiện một cách thủ công hai hoạt động riêng biệt: tạo một GPO mới và sau đó link nó tới site,
domain hay OU. Khi uỷ nhiệm quyền link GPO tới một domain, OU hay site, chúng ta phải có quyền
Modify cho domain, OU hay site mà chúng ta muốn uỷ quyền. Theo mặc định, chỉ những thành viên của
nhóm Domain Admins và Enterprise Adminsgroup là có đủ các quyền cần thiết để link một GPO tới
domain và OU. Chỉ những thành viên của Enterprise Admins group có quyền link GPOs tới các site.
Những thành viên của nhóm Group Policy Creator Owner có thể tạo GPO nhưng không thể link chúng.
Sau đây là các hướng dẫn giúp cho chúng ta có thể tạo, link… GPO tới domain:
¾ Tạo và Link một GPO

• Trong Group Policy Management, trong console tree chúng ta có thể tạo và link GPO tới domain
hay OU
Nếu tạo và link GPO tới domain thì chúng ta right-click lên domain và sau đó click Create and
Link a GPO Here.
Nếu tạo và link GPO tới OU (organizational unit) thì chúng ta right-click lên OU và sau đó click
Create and Link a GPO Here.
• Trong hộp thoại New GPO, nhập tên mới cho GPO Æ OK.
¾ Link một GPO sẵn có
Để link một GPO đang tồn tại tới một site, domain hay OU. Chúng ta thực hiện theo các bước sau:
• Trong Group Policy Management, phần console tree, mở rộng forest chứa domain mà bạn cần
link GPO sẵn có.
• Right-click trên domain, site, hoặc OU và sau đó click Link an Existing GPO.
• Trong hộp thoại Select GPO, click vào GPO mà chúng ta muốn link rồi click OK.
- 89 -
9 Chú ý: Chúng ta không thể link một GPO tới những container trong Active Directory như User và
Computer. Tuy nhiên, bất kỳ GPO nào được link tới domain cũng áp dụng cho các user và computer
trong container này.
Quyền thừa kế (inherited) trong Active Directory

Thứ tự mà Windows Server 2003 áp dụng các GPOs phụ thuộc vào Active Directory container, nơi mà
GPOs được link. GPOs trước tiên áp dụng cho site, sau đó là domain và cuối cùng tới OU trong các
domain. Một container con sẽ thừa kế GPOs từ container cha. Điều này có nghĩa là container con có
nhiều thiết lập Group Policy được áp dụng cho các user và computer của nó mà không cần có một GPO
nào được link tới nó. Tuy nhiên, không có hệ đẳng cấp các domain giống cho các OU, như là OU cha và
OU con. Nếu có nhiều GPO cùng thiết lập một giá trị giống nhau, theo mặc định GPO chiếm ưu tiên
trước được áp dụng. Chúng ta cũng có thể có nhiều GPOs được link tới cùng một container.
Nếu kiểu kề thừa mặc định không đáp ứng những yêu cầu của tổ chức của chúng ta, chúng ta có thể chỉnh
sửa quy luật thừa kế cho các GPOs cụ thể. Windows Server 2003 cung cấp 2 tuỳ chọn để thay đổi kiểu
thừa kế mặc định.
¾ No Override
Sử dụng tuỳ chọn này khi chúng ta muốn không có thiết lập cấu hình nào của nó có thể bị ghi đè bởi bất
kì GPOs nào trong quá trình xử lý của Group Policy. Tuỳ chọn này được đặt trên từng GPO riêng biệt.
Chúng ta có thể set tuỳ chọn này trên một hay nhiều GPO được yêu cầu. Khi nhiều GPO cùng được set là
No Override, GPO có vị trí cao nhất trong hệ đẳng cấp Active Directory sẽ chiếm quyền ưu tiên.
¾ Block Policy inheritance
Sử dụng tuỳ chọn này để ép buộc một container con ngăn cản thừa kế từ container cha. Sử dụng tuỳ chọn
này khi một OU yêu cầu một thiết lập Group Policy duy nhất . Block Policy inheritance được set trên
mỗi container. Trong trường hợp xung đột, tuỳ chọn No Override sẽ luôn luôn chiếm ưu tiên hơn tuỳ
chọn Block Policy inheritance.
Tại sao phải Block Policy?
Chúng ta có thể ngăn cản một container con kế thừa bất kỳ GPO nào từ các container cha bằng cách cho
phép Block Policy inheritance trên contaner con. Cách này sẽ ngăn cản container thừa kế tất cả những
thiết lập Group Policy của những Group Policy được chọn. Điều này thật hữu ích khi một container
Active Directory yêu cầu một Group Policy duy nhất, và chúng ta muốn bảo đảm rằng những thiết lập
Group Policy không bị thừa kế. Ví dụ, chúng ta có thể sử dụng Block Policy inheritance khi người quản
trị của một OU phải điều khiển tất cả các GPOs cho containter đó .
Để Block Policy inheritance chúng ta thực hiện các bước sau:
• Trong Group Policy Management, phần console tree, mở rộng forest mà bạn muốn block
inheritance, và thực hiện các lựa chọn sau:
Để block inheritance của GPO links cho domain, mở rộng Domains, và right-click the
domain.
- 90 -
Để block inheritance của GPO links cho organizational unit, expand Domains, mở rộng
domain chứa organizational unit, và right-click trên organizational unit.
• Click Block Inheritance.
Group Policy Filtering
Mặc định, tất cả những thiết lập Group Policy chứa trong GPOs mà tác động tới container được áp dụng
cho tất cả các user và computer trong container đó, điều này có thể đưa ra những kết quả mà chúng ta
không mong muốn. Bằng cách sử dụng tính năng filtering (sàng lọc), chúng ta có thể xác định những
thiết lập nào mà chúng ta muốn áp dụng cho các user và computer trong container cụ thể.
Các bước để cấu hình Group Policy Filtering
Để lọc phạm vi của một GPO bằng cách sử dụng security group :
• Trong Group Policy Management, phần console tree, mở rộng forest tìm GPO cần filter và click
vào GPO.
• Trong của sổ GPO chọn Tab Scope và click Add.
• Trong hộp thoại chọn User, Computer, hoặc Group, nhập tên đối tượng đã chọn vào và chọn OK.
9 Lưu ý: để những thiết lập Group Policy áp dụng tới user hay computer account, account phải có ít
nhất quyền Read cho một GPO.
5.3. Quản trị môi trường User và Computer

Quản lý môi trường làm việc user có nghĩa là điều khiển các user có thể làm gì khi logon vào mạng.
Chúng ta làm điều này bằng cách điều khiển môi trường làm việc của họ, kết nối mạng và giao diện
người dùng thông qua Group Policy. Chúng ta quản lý môi trường làm việc của user để đảm bảo rằng các
user có những gì mà họ cần cho công việc của họ.
Khi chúng ta cấu hình và quản lý tập trung các môi trường làm việc của user, chúng ta có thể thực hiện
những thao tác sau :
• Quản lý các user và computer
Bằng cách quản lý các thiết lập môi trường desktop của user với việc đăng kí với những policy,
chúng ta bảo đảm rằng các user có cùng môi trường làm việc, thậm chí nếu họ logon từ những
máy tính khác nhau. Chúng ta có thể điều khiển Microsoft Windows Server 2003 quản lý các
user profiles, bao gồm cả dữ liệu cá nhân của user được làm cho sẵn dùng. Bằng cách chuyển
hướng các folder của user từ ổ cứng cục bộ trên máy tính user tới một vị trí trung tâm trên một
server, chúng ta có thể bảo đảm rằng dữ liệu của user là sẵn có cho họ mà không cần biết tới máy
tính mà họ logon vào.
- 91 -
• Triển khai phần mềm

Phần mềm được triển khai tới máy tính hay user qua dịch vụ thư mục Active Directory. Với việc
triển khai phần mềm, chúng ta có thể bảo đảm rằng các user có được những chương trình mà họ
yêu cầu, các gói services pack và hotfix.
• Làm cho các thiết lập bảo mật có hiệu lực
Bằng cách sử dụng Group Policy trong Active Directory, nhà quản trị hệ thống có thể tập trung
áp dụng các thiết lập bảo mật được yêu cầu để bảo vệ môi trường làm việc của user. Trong
Windows Server 2003, chúng ta có thể sử dụng Security Settings mở rộng trong Group Policy để
xác định những thiết lập bảo mật cho security policies local hay domain.
• Làm cho một môi trường desktop nhất quán.
Những thiết lập Group Policy cung cấp một cách hiệu quả để áp dụng các têu chuẩn, như là
logon script và những thiết lập password. Ví dụ, chúng ta có thể ngăn cản các user tạo ra những
thay đổi cho desktop mà có thể làm ra những môi trường làm việc của họ phức tạp hơn cần thiết.
Ngoài ra, chúng ta cũng có thể áp đặt Group Policy trên local computer nhưng hiệu quả không cao bằng
việc triển khai Group Policy qua mạng.
Sau đây là một số trường hợp cũng như cách hướng dẫn để triển khai Group Policy cho OU, Group,
Local Computer,…
¾ Gán Script vào Group Policy
Chúng ta có thể sử dụng Group Policy để triển khai scripts tới các user và computer. Một script là tập tin
bó hay một script Microsoft Visual Basic mà có thể thực thi code và quản lý các thao tác. Chúng ta có thể
sử dụng những thiết lập Group Policy script để tự động hoá quá trình chạy scripts.
Có những thiết lập script bên dưới cả hai Computer Configuration và User Configuration trong Group
Policy. Chúng ta có thể sử dụng Group Policy để chạy các script khi một máy tính khởi động và
shutdown và khi một user log on, log off. Giống như tất cả những thiết lập Group Policy, Chúng ta cấu
hình một thiết lập Group Policy, và Windows Server 2003 tiếp tục thực thi và ép buộc nó trên mạng của
chúng ta.
Để add một script vào một GPO chúng ta thực hiện các bước sau:
• Trong Group Policy Management, chọn edit GPO.
• Màn hình Group Policy Object Editor, phần console tree, thông qua User
Configuration/Windows Settings/Scripts (Logon/Logoff).
• Double-click Logon.
• Trên hộp thoại Logon Properties và click Add.
• Trong hộp thoại Add a Script, cấu hình bất kỳ thiết lập nào mà bạn muốn sử dụng và click OK:
Script Name. nhập đường dẫn đến script hoặc click Browse tìm vị trí script file share trên
domain controller.
Script Parameters. Nhập bất kỳ thông số vào mà bạn muốn giống như các thông số mà bạn
nhập bằng command line.
• Trong hộp thoại Logon Properties, cấu hình các thiết lập sau mà bạn cần sử dụng:
Logon Scripts for. ở đây sẽ cho bạn thấy danh sách tất cả các script được gán cho và dùng
Up or Down để thay đổi thứ tự script nào được ưu tiên xử lý trước.
Add. Click Add để xác định các scripts nào mà bạn cần thêm.
Edit. Click Edit để thay đôi thông tin cũng như các thông số của script.
Remove. Click Remove để remove các scripts được chọn từ danh sách Logon Scripts.
Show Files. Click Show Files để xem các file scripts được xác định trong GPO.
9 Lưu ý: Các script logon chạy trong ngữ cảnh của user account sẽ không chạy trong ngữ cảnh
computer account.
- 92 -
¾ Một số thao tác liên quan đến Group Policy

Thao tác về Internet Explorer (IE).
• Nhánh User Configuration/Windows Settings/Internet Explorer Maintenance/Browser User
Interface
Browser Tittle: nhấp kép rồi đánh dấu kiểm vào ô "Customize Tittle Bars", gõ vào một cái
tên như ABC. Mở IE ở chế độ about:blank sẽ thấy dòng chữ "Microsoft Internet Explorer
provided by ABC"
Custom logo: chúng ta có thể thay logo của Microsoft ở phía trên góc phải trình duyệt IE
bằng logo của riêng mình (chỉ hỗ trợ các file BMP có 16-256 màu và kích cỡ là 22x22 hay
38x38). Hộp "Customize the static logo bitmaps" dành cho hình tĩnh còn hộp "Customize the
animated bitmaps" dành cho hình động.
• Nhánh User Configuration/Administrative Templates/Windows Components/Internet Explorer
Internet Control Panel: có tất cả 7 tùy chọn thiết lập không cho hiện 7 thẻ trong hộp thoại
Internet Options như General, Security... Nếu không giấu thẻ General, chúng ta có thể quay
lại folder Internet Explorer để enable phần "Disable changing home page settings" nhằm vô
hiệu hóa việc thay đổi trang chủ IE.
Toolbars: enable phần "Configure Toolbar Buttons" sẽ cho tùy chọn hiển thị các nút trên
thanh công cụ của IE.
• Nhánh Computer Configuration/Administrative Templates/Windows Components/ Internet
Explorer
Security Zone: Use only machine settings: bắt buộc tất cả các user đều phải chung một mức
độ security như nhau.
Security Zone: Do not allow users to add/delete sites: trong Security Zone có danh sách các
site nguy hiểm do người dùng thiết lập, enable tùy chọn này sẽ không cho thay đổi danh sách
đó (cách tốt nhất là giấu luôn thẻ Security).
Disable Periodic Check for Internet Explorer software updates: ngăn không cho IE tự
động tìm phiên bản mới của nó.
Thao tác về Windows Explorer.

• Nhánh User Configuration/ Administrative Templates/ Windows Components/ Windows
Explorer:
Maximum number of recent document: quy định số lượng các tài liệu đã mở hiển thị trong
My Recent Documents.
Do not move deleted files to the Recycle Bin: file bị xóa sẽ không được đưa vào Recycle
Bin.
Maximum allowed Recycle Bin size: giới hạn dung lượng của Recycle Bin, tính bằng đơn
vị phần trăm dung lượng của ổ đĩa cứng.
Hide the dropdown list of recent files trong folder Common Open File Dialog: không
cho hiển thị danh sách recent file trong các hộp thoại Open (như Word, Excel...)
Thao tác về Logon.
• Nhánh Computer Configuration/Administrative Templates/Logon
Always use classic logon: làm hộp thoại Logon/Shutdown của Windows XP có dạng giống
Windows 2000.
Run these programs at user logon: tùy chọn này cho phép người dùng lập danh sách các
file cần chạy khi đăng nhập vào máy tính, chỉ nên sử dụng cho các file dữ liệu.
Thao tác về System Restore.

• Nhánh Computer Configuration/Administrative Templates/System Restore
Turn off System Restore: tắt System Restore, khi người dùng gọi System Restore thì xuất
hiện thông báo "System Restore has been turn off by group policy. To turn on System
Restore, contact your domain Administrator".
Turn off Configuration: chỉ có tác dụng khi System Restore được kích hoạt, tính năng này
vô hiệu hóa phần thiết lập cấu hình của System Restore.
- 93 -
Thao tác về Windows Media Player.

• Nhánh User Configuration/Administrative Templates/Windows Components/ Windows Media
Player
Phần "Set and Lock Skin" trong folder User Interface: thiết lập một skin duy nhất cho
Windows Media Player.
Phần "Prevent Codec Download" trong folder Playback: ngăn Windows Media Player tự
động tải các codec.
Thao tác về Windows Firewall với Group Policy
Windows Firewall là chương trình tường lửa được tích hợp vào Windows XP Service Pack 2 hay
Windows 2003 Service Pack 1, giúp người dùng an toàn hơn khi lướt web.
Microsoft cũng cung cấp tập tin quản trị system.adm đã cập nhật các thiết lập cho Group Policy cho phép
chúng ta có thể cấu hình tường lửa tốt hơn sử dụng AD (Active Directory) dựa trên GPO (Group Policy
Object).
Để truy cập vào phần thiết lập cho tường lửa của Windows trong Group Policy, vào Start – Run, gõ
gpedit.msc , Enter để hộp thoại Group Policy mở ra. Tiếp theo, vào tiếp theo các nhánh sau: Computer
Configuration, Administrative Templates, Network, Network Connections, Windows Firewall. Tại hộp
thoại này, chúng ta có thể cấu hình cho tường lửa của Windows qua 2 thư mục: Domain Profile và
Standard Profile.
Domain Profile: thiết lập cho Windows Firewall khi máy tính kết nối đến mạng AD
Standard Profile: thiết lập cho tường lửa khi máy tính không kết nối đến mạng.
Những thiết lập này cho phép chúng ta cấu hình cho những máy đã kết nối mạng hay các máy từ xa. Phần
thiết lập của 2 thư mục Domain và Standard cũng hoàn toàn giống nhau, chúng ta có thể chọn một thiết
lập và xem mô tả như sau:
Một vài tính năng của Windows Firewall hữu ích mà chúng ta nên kích hoạt:
• Protect all network connections: thiết lập này buộc tường lửa tắt hay mở cho một định danh
• Do not allow exceptions: tùy chọn chỉ thị cho tường lửa từ chối các trường hợp đặc biệt đã được
chỉ định. Kích hoạt thiết lập này tương đương với việc chọn “Don’t allow exceptions” (Không
cho phép các trường hợp đặc biệt) trên thẻ General trong Windows Firewall Control Panel.
• Define program exceptions Properties: thiết lập cho phép chúng ta tùy chọn chỉ định các
chương trình, giúp chúng ta cấp phép cho các trường hợp đặc biệt “tấm vé” để qua tường lửa.
• Prohibit notifications: thiết lập dừng các thông báo của tường lửa khi một chương trình yêu cầu
Windows Firewall bổ sung nó vào danh sách các chương trình cho phép.
• Allow logging: tùy chọn cho phép chúng ta cấu hình cấp bậc bản ghi lưu trữ thông tin cho tường
lửa, kích cỡ bản ghi, tên và vị trí.
¾ Triển khai chính sách mật khẩu miền với Active Directory Windows 2003
Trong quá trình cài đặt Windows Active Directory cho một Domain Controller, hai Group Policy Object
(GPO), tức đối tượng chính sách nhóm được tạo. Các GPO này được đặt tên là Default Domain
Controllers Policy và Default Domain Policy. Trách nhiệm chính của GPO này là thiết lập đặc quyền
người dùng cho Domain Controller, cũng như một số thiết lập bảo mật hỗn hợp khác.
Default Domain Policy liên kết tới các miền trong toàn bộ quá trình cài đặt. Trong phần này chúng ta chỉ
nói đến nhiệm vụ chính đó là thiết lập Password Policy cho tất cả tài khoản người dùng trong miền.
Password Policies chỉ là một trong ba phần khác nhau ở khu vực Account Policies. Bên cạnh đó còn có
Account Lockout Policies và Kerberos Policies.
Bên trong Default Domain Policy, các thiết lập kiểm soát mật khẩu tài khoản người dùng trong miền và
giới hạn khoá được tạo, như trong các hình bên dưới.
- 94 -
Hình Các thiết lập Password Policies.
Hình Các thiết lập Account Lockout Policies.
Nếu các giá trị mặc định không như chúng ta mong muốn thì chúng ta có thể chỉnh sửa chúng. Có hai
hướng thực hiện là update Default Domain Policy để đạt được các thiết lập Password Policy mong đợi.
Hoặc không thay đổi GPO mặc định mà tạo mới một GPO khác. Sau đó liên kết nó với miền, cấu hình
với các thiết lập Password Policy mong đợi cũng như các thiết lập khác và chuyển lên mức ưu tiên cao
hơn Default Domain Policy, như trong hình.
Hình GPO mới với mức ưu tiên cao hơn được tạo để cung cấp
Password Policy cho tất cả tài khoản người dùng trong miền.
¾ Vô hiệu hóa các ổ USB, CD-ROM, Floppy Disk... bằng Group Policy
Microsoft Group Policy cho phép tạo các file mẫu Administrative Template (.adm) tùy thích để áp dụng
cho các thiết lập registry không có sẵn trong chế độ mặc định. Mẫu ADM trong bài viết này cho phép vô
hiệu hóa bộ cài các thiết bị trên.
- 95 -
Mặc định, Group Policy không tạo diều kiện dễ dàng để vô hiệu hóa các ổ có thể di chuyển như cổng
USB, ổ CD-ROM, ổ mềm và ổ mềm công suất cáo LS-120. Tuy nhiên, Group Policy có thể được mở
rộng để sử dụng các tùy chọn bằng các mẫu ADM. Mẫu ADM trong bài này cho phép quản trị viên có
thể vô hiệu hóa các ổ trên, bảo đảm rằng chúng không thể sử dụng.
Cách thức tiến hành
• Chúng ta tạo một file có phần đuôi là .adm với nội dung code bên dưới
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
END ITEMLIST
END PART
- 96 -
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by
disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the
sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
• Chọn OU hay user cần vô hiệu hóa, chúng ta edit hay tạo mới Group Policy và áp đặt file*.adm
vào.
Trong Computer Configuration Æ chọn Administrative Templates Æ Click chuột phải và chọn
Add/Remove Template
- 97 -
• Tìm và add file*.adm vừa tạo xong Æ OK

Click chuột phải trên Custom Policy Settings Æ chọn View Æ Filtering và bỏ chọn dòng Only
show policy setting that can be fully managed Æ OK. Sau đó vào Restrict Drives trong
Custom Policy Settings để cho phép hay cấm các thiết bị.
• Hình sau minh họa việc cấm sử dụng USB
Mẫu code này sẽ tác động lên registry của các máy khách với thiết lập của nó. Nếu mẫu này bị xóa bỏ
khỏi Group Policy đã áp dụng nó, registry sẽ thay đổi nó trở lại như cũ. Nếu chúng ta muốn đảo ngược
lại các thiết lập được tạo ra bởi mẫu này, các đơn giản là đảo ngược các tùy chọn sang re-enable cho các
ổ.
Lưu ý: Code này áp dụng cho các phiên bản dưới đây của Windows
9 Microsoft Windows Server 2003, Standard Edition (32-bit x86)
9 Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
9 Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
9 Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
- 98 -
5.5. Bài tật tình huống
Tóm tắt:
¾ Group Policy Object (GPO) là một thành phần quan trọng trong hệ quản trị của Windows. Nó
giúp người quản trị có thể đưa ra những chính sách bảo vệ, giới hạn tầm hoạt động của người sử
dụng theo một khuôn phép nhất định.
¾ Domain Group Policy: trong hệ thống Windows Server thì GPO hoạt động theo mô hình
client/Server. Do đó người quản trị sẽ theo tác các GPO trên máy chủ để áp đặt những thay đổi
cần thiết cho máy con khi máy con đăng nhập vào hệ thống.
¾ Local Group Policy: trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm
tại chỗ (local group policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả
(tức khi nó tham gia vào một workgroup hoặc khi nó được dùng độc lập). Các máy Windows XP
Home thì không có local group policy.
¾ Group Policy có 2 thành phần chính là Computer Configuration và user configuration

• Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng
trên máy.
• User Configuration: giúp chúng ta cấu hình cho tài khoản đang sử dụng. Các thành phần có
khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như trên.
- 99 -
BÀI 6: GIÁM SÁT HOẠT ĐỘNG MÁY CHỦ
Mục tiêu:
¾ Hiểu biết các công cụ quản trị và giám sát Server

¾ Giám sát các thành phần và nhận biết nguyên nhân thắt cổ chai Server
¾ Đưa ra giải pháp nâng cấp, thêm và thay mới CPU, RAM, DISK, Network…
6.1. Phương thức quản trị

Trách nhiệm chính của một người quản trị hệ thống là quản lý các Server trong một tổ chức, doanh
nghiệp… mà hầu hết các nhà quản trị không phải lức nào cũng ở trong cùng phòng với các server mà họ
quản lý, nên họ phải quản lý Server từ xa. Và làm thế nào để quản lý Server được hiệu quả ngay khi họ ở
cùng phòng vơi server (Local Management) hay quản trị từ xa (Remote Management). Bài này chúng tôi
sử dụng Microsoft Windows Server 2003 để hướng dẫn các bạn những gì cần thiết cũng như sử dụng
công cụ gì, những quyền được yêu cầu để cai quản các server.
6.2. Công cụ quản trị
Để quản lý một server, chúng ta phải có các quyền phù hợp để làm công việc này. Điều quan trọng là
phải biết rõ những quyền nào được gán cho domain local group để cho phép các thành viên của chúng
thực hiện những thao tác cụ thể, bởi vì chúng ta có thể sử dụng những group này để thực hiện những thao
tác quản lý phổ biến.
Mặc định, những group này có những quyền được xác định trước để quyết định những thao tác hệ thống
mà các thành viên của group hay các group có thể thực hiện. Các group mặc định gồm: Administrators,
Backup Operators, Account Operators, Server Operators, Print Operators (chức năng của các group này
các bạn có thể xem lại trong bài 2).
¾ Computer Management: là một tập hợp công cụ quản lý mà chúng ta có thể sử dụng để quản lý một
máy local hay máy từ xa.
Chúng ta có thể sử dụng Computer Management để :
• Giám sát những sự kiện hệ thống, như là những thời gian logon và những ứng dụng bị lỗi
• Tạo và quản lý các tài nguyên share
• Xem danh sách các user, người được kết nối tới một máy local hay máy từ xa
• Khởi động và dừng các dịch vụ hệ thống, như là Task Cheduler và Indexing Service
• Cài đặt các thuộc tính cho các thiết bị lưu trữ
• Xem những cấu hình thiết bị và add thêm những driver thiết bị mới
Computer Management gồm có các thành phần chính và được quản lý theo cây như: System Tools,
Storage, Services and Applications. Mỗi thành phần này có các chức năng riêng.
System Tools: cho phép chúng ta sử dụng những công cụ trong System Tools để quản lý những sự kiện
hệ thống và quá trình thực hiện trên máy tính mà chúng ta quản lý.
• Event Viewer: Sử dụng Event Viewer để quản lý và quan sát những sự kiện được ghi trong các
log application, security, và system. Chúng ta có thể quan sát những bản ghi để theo dõi những
sự kiện bảo mật và nhận dạng những phần mềm, phần cứng và các vấn đề hệ thống có thể xảy ra.
• Shared Folders: Sử dụng Shared folders để xem những kết nối và các tài nguyên được sử dụng
trên máy tính. Chúng ta có thể tạo, xem và quản lý những tài nguyên chia sẻ (share) , xem và mở
các file và phiên làm việc…
- 100 -
• Local users and groups: Sử dụng Local Users and groups để tạo và quản lý các local user
account và group của chúng ta.
• Performance Logs and Alerts: Sử dụng Performance Logs and Alert để giám sát và tập hợp dữ
liệu về quá trình thực hiện của máy tính.
• Device Manager: Sử dụng Device Manager để xem các thiết bị phần cứng được cài trên máy,
update những driver các thiết bị, thay đổi những thiết lập phần cứng và giải quyết các vấn đề
xung đột thiết bị.
Storage: gồm các công cụ để quản lý các thuộc tính của các thiết bị lưu trữ.
• Removeabke Storage: Sử dụng Removeable Storage để theo dõi những thiết bị lưu trữ có thể di
chuyển được và để quản lý các thư viện hay các hệ thống lưu trữ dữ liệu mà chứa chúng.
• Disk Management: Sử dụng Disk Management để thực hiện những thao tác liên quan tới ổ đĩa
như là chuyển đổi , tạo hay định dạng các volume. Disk Management giúp chúng ta quản lý các ổ
đĩa và những partition hay các volume chúng chứa
Services and Applications: những công cụ trong Services and Applications giúp chúng ta quản lý các
services và những ứng dụng trên một máy tính được chỉ định.
• Services: Sử dụng Services để quản lý các dịch vụ trên một máy local hay các máy từ xa. Chúng
ta có thể khởi động, ngừng, dừng, tiếp tục lại hau disable các dịch vụ.
• WMI Control: Sử dụng WMI Control để cấu hình và quản lý Windows Management Service
• Indexing Service: Sử dụng Indexing Service để quản lý dịch vụ Indexing và để tạo, cấu hình
thêm những catalog để lưu trữ chỉ mục thông tin .
Các bước cấu hình Computer Management để quản lý Server từ xa

• Log on vào máy với quyền administrator và password ví dụ 123456?a
• Vào Start menu, right-click trên My Computer và sau đó click Manage.
• Right-click trên Computer Management (local), sau đó click Connect to another computer.
• Click Another Computer, nhập tên của máy hoặc click Browse để tìm vị trí máy tính mà chúng
ta muốn quản lý từ xa sau đó click OK.
• Trong Computer Management, chúng ta sẽ thấy được các công cụ như: System Tools, Storage và
Services and Applications.
• Muốn dùng công cụ gì để sử dụng thì chúng ta chọn công cụ đó.
- 101 -
¾ Microsoft Management Console (MMC) để quản trị trên máy Local hay quản trị từ xa
Microsoft Management Console (MMC) cung cấp một giao diện mà chúng ta có thể sử dụng để tạo, lưu
và mở các công cụ quản lý, gọi các snap-in để quản lý các phần cứng, phần mềm và các thành phần của
Windows Server 2003. Khi chúng ta mở một công cụ quản lý trong MMC, chúng ta có thể chỉ định áp
dụng công cụ trên máy cục bộ (Local) hay trên một máy từ xa.
Để thực hiện những công việc trên nhiều server, sử dụng các MMC snap-in. Hầu hết những công cụ quản
lý được cung cấp bởi họ các hệ điều hành Windows Server 2003 là những MMC snap-in mà chúng ta có
thể sử dụng để quản lý các server từ xa giống như máy local của chúng ta.
Các bước để cấu hình MMC cho quản lý một server từ xa

• Mở Microsoft Management Console (MMC) bằng cách vào Start Æ Run gõ mmc Æ OK
• Vào menu chọn File và click Add/Remove Snap-in, sau đó click Add.
• Trong danh sách snap-in, click vào Computer Management, rồi click vào nút Add.
• Một màn hình Computer Management xuất hiện cho phép chúng ta chọn local computer hoặc
remote computer, sau đó click Finish.
• Click vào Close và click OK.
¾ Dùng Remote Desktop để quản trị Server quản trị từ xa.

Bằng cách sử dụng Remote Desktop cho công việc quản trị, chúng ta có thể quản lý một hay nhiều Server
từ xa từ một vị trí. Trong một tổ chức lớn, chúng ta có thể sử dụng việc quản lý từ xa để quản lý tập trung
nhiều máy tính được định vị trong các toà nhà khác hay thậm chí những thành phố khác. Trong một tổ
chức nhỏ hơn, chúng ta có thể sử dụng việc quản lý từ xa để quản lý một Server được nằm trong một văn
phòng khác.
Remote Desktop cung cấp cho việc truy xuất tới một server từ một máy tính tại một vị trí khác bằng cách
sử dụng Remote Desktop Protocol (RDP). RDP truyền giao diện user tới phiên client và nó cũng truyền
bàn phím và những click chuột từ client tới server. Chúng ta có thể tạo tới hai kết nối từ xa đồng thời.
Mỗi phiên mà chúng ta logon vào không phụ thuộc vào phiên làm việc của user khác và phiên làm việc
của server. Khi chúng ta sử dụng Remote Desktop để logon vào một server từ xa, nó giống như chúng ta
đã logon vào server local.
Remote Desktop cung cấp hai công cụ mà chúng ta có thể sử dụng để quản lý một server từ xa. Remote
Desktop Connection và Remote Desktops snap-in. Mỗi trường hợp của công cụ Remote Desktop
Connection tạo ra một cửa sổ chính nó và cho phép chúng ta quản lý một server từ xa cho mỗi cửa sổ. Nó
luôn khởi động một phiên làm việc mới trên server. Remote Desktop snap-in rất hữu ích cho các nhà
quản trị, người quản lý từ xa nhiều Server hay cho các nhà quản trị phải kết nối tới phiên làm việc từ xa.
- 102 -
Số kết nối tối đa cho remote desktop connection tới một Server là hai. Sau khi chúng ta đạt tới giới hạn
này, Remote Desktop không cho phép những kết nối remote desktop khác tới server. Tuy nhiên muốn sử
dụng được dịch vụ này thì chúng ta phải enable truoc khi cấu hình Remote Desktop.
Remote Desktop rất hữu dụng, bởi vì nó cung cấp truy xuất từ xa tới hầu hết những thiết lập cấu hình,
bao gồm Control Panel, một công cụ không thể được cấu hình từ xa. Bằng cách sử dụng một phiên
Remote Desktop, chúng ta có thể truy xuất MMC, Active Directory, Microsoft System Management
Server, những công cụ cấu hình mạng và phần lớn những công cụ cấu hình khác.
Để cấu hình Remote Desktop chúng ta cần chuẩn bị các bước sau:
Trước khi chúng ta quản lý một server từ xa,, server remote phải được cho phép quản lý từ xa. Remote
Desktop Service phải được enable locally trên server từ xa bởi một người quản trị hệ thống. Người quản
trị hệ thống phải có nhiều quyền thích hợp để quản lý máy tính. Mặc định, một administrator có đặc
quyền kết nối tới một Server remote và có thể sử dụng Remote Desktop để thực hiện các thao tác từ xa
như là add thêm phần mềm mới và cài những gói service pack trên một server từ xa.
Để cấu hình các kết nối server cho việc quản lý server từ xa
• Log on vơi quyền như Administrator.
• Vào Start menu, right-click trên My Computer chọn Properties
• Click vào thẻ Remote.
• Check vào ô Allow users to connect remotely to this computer.
Cấu hình Remote Desktop cho client

Remote Desktop Connection là một ứng dụng phía ma client cho phép chúng ta kết nối tới một server sau
khi Remote Desktop trên được enable trên Server
Để kết nối tới một server từ xa bằng cách sử dụng Remote Desktop Connection
• Trên máy tính client, click Start Æ Programs Æ Accessories Æ Communications Æ Remote
Desktop Connection.
• Trong hộp thoại Computer, nhập tên computer name hoặc địa chỉ IP của Server và sau đó bấm
Connect để kết nôi.
• Nếu muốn ngắt kết nối chúng ta vào Start menu và chọn Log off.
6.3. Giám sát hoạt động Server

Giám sát quá trình thực hiện Server là một thành phần quan trọng của công việc bảo dưỡng và quản lý hệ
điều hành của chúng ta. Việc theo dõi hàng ngày quá trình thực thi hệ thống bảo đảm rằng chúng ta cập
nhật những thông tin về mày tính của chúng ta đang hoạt động như thế nào. Việc giám sát sự thực thi
cũng cung cấp cho chúng ta dữ liệu mà chúng ta có thể sử dụng để dự đoán sự phát triển trong tương lai
và dự tính thay đổi như thế nào tới những cấu hình hệ thống của chúng ta có thể ảnh hưởng tới hoạt động
trong tương lai. Phần này giúp cho chúng ta có thể thiết lập một ranh giới thực thi (baseline), thực hiện
việc giám sát thời gian thực và log, cấu hình và quản lý các counter log và cấu hình alert.
- 103 -
Monitoring Server Performance

Giám sát thực thi là một thành phần của việc bảo dưỡng server của chúng ta. Bằng cách giám sát đều đặn
sự thực thi server qua những thời kỳ thay đổi từ các ngày, tuần, tháng… chúng ta có thể thành lập một
baseline cho sự thực thi server. Qua việc giám sát, chúng ta nhận được dữ liệu thực thi rất có ích trong
việc chẩn đoán các vấn đề server như:
• Hiểu những đặc điểm khối lượng công việc phải làm của chúng ta và tác động tương ứng lên các
tài nguyên hệ thống của chúng ta.
• Theo dõi những thay đổi và xu hướng phát triển trong workload và việc sử dụng tài nguyên để
chúng ta có thể lập kế hoạch nâng cấp trong tương lai
• Kiểm tra những thay đổi cấu hình bởi kết quả của việc giám sát hệ thống.
• Chẩn đoán các vấn đề và nhận ra các thành phần hay những quá trình để tối ưu.
Những công cụ giám sát chính trong microsoft Windows Server 2003 là Performance console và Task
Manager
Task Manager: cung cấp một cách tổng quát về hoạt động và sự thực thi hệ thống. Nó cung cấp về
những chương trình và những quá trình đang chạy trên máy tính của bạn. Nó cũng hiển thị những
tiêu chuẩn đánh giá sự thực thi được sữ dụng phổ biến nhất cho các quá trình. Bạn có thể sử dụng
Task Manager để thực thi real-time monitoring.
Bạn có thể sử dụng Task Manager để quan sát những bộ hiển thị chính của sự thực thi máy của bạn.
• Bạn có thể xem những trạng thái của những chương trình đang chạy và kết thúc những chương
trình nào không đáp ứng.
• Bạn cũng có thể đánh giá hoạt động của quá trình đang chạy bằng cách sử dụng tới 15 tham số
khác nhau, và xem những biểu đồ, dữ liệu về cách sử dụng CPU và bộ nhớ.
• Nếu bạn đang kết nối tới mạng, bạn có thể xem trạng thái mạng
• Nếu có nhiều hơn một user được kết nối vào máy của bạn, bạn có thể xem ai đang kết nối, xem
những file nào họ đang làm việc và gửi cho họ một tin nhắn .
Task Manager có 5 tab cho phép bạn thực hiện tất cả những chức năng này.
Tab Applications:
Tab Applications hiển thị trạng thái của những chương trình đang chạy trên máy tính. Trong tab
này, bạn có thể kết thúc, chuyển hoặc khởi động một chương trình.
Tab Processes:
Tab Processes hiển thị thông tin về những quá trình đang chạy trên máy. Ví dụ, bạn có thể hiển
thị về việc sử dụng CPU, bộ nhớ, những lỗi trang nhớ và các thông số khác.
Tab Performance:
Tab Performance hiển thị một cái nhìn linh động về sự thực thi của máy tính, bao gồm :
Đồ thị về việc sử dụng CPU và bộ nhớ
Số handles, chuỗi và những quá trình đang chạy trên máy tính của bạn.
Số lượng KB của bộ nhớ vật lý, kernel và bộ nhớ chuyển giao. Bộ nhớ vật lý là tổng bộ nhớ, bộ
nhớ kernel là bộ nhớ mà hệ thống kernel và các driver thiết bị sử dụng, còn bộ nhớ chuyển giao
là bộ nhớ được cấp phát cho các chương trình và hệ điều hành.
Tab Networking:
Tab Networking hiển thị dạng đồ hoạ quá trình thực hiện mạng. Nó cung cấp một cách hiển thị
đơn giản, nhưng chất lượng để trình bày trạng thái của mạng hay các mạng đang chạy trên máy
tính của bạn. Tab này chỉ được hiển thị khi có một card mạng được tồn tại.
Trên tab này, bạn có thể xem phẩm chất và tính sẵn dùng kết nối mạng của bạn, xem bạn có được
kết nối tới nhiều mạng hay không.
Tab Users:
- 104 -
Tab Users hiển thị tên của các user, những người đang truy xuất vào máy tính cùng với trạng thái
phiên và tên. Client Name chỉ định tên của máy client đang sử dụng session, nếu có thể ứng
dụng được. Session cung cấp một cái tên cho bạn để sử dụng khi bạn thực hiện nhiều thao tác
như là gửi cho user khác một thông điệp hoặc kết nối tới một session của user khác.
Tab Users được hiển thị chỉ khi Fast User Switching được cho phép trên máy tính mà bạn đang
làm việc. Máy tính cũng phải là thành viên của một workgroup hoặc một máy standalone. Tab
này không có trên các máy tính là thành viên của domain.
Performance Console
Windows Server 2003 cung cấp những công cụ sau như là thành phần của Performance console để giám
sát việc sử dụng tài nguyên trên máy tính của bạn :
System Monitor
Performance Logs and Alert
System Monitor: tính năng này bạn có thể tập hợp và xem dữ liệu theo phạm vi rộng về việc sử
dụng những tài nguyên phần cứng và hoạt động của các dịch vụ hệ thống trên máy mà bạn quản lý.
Với System Monitor, bạn có thể tập hợp và xem dữ liệu thực thi thời gian thực của một máy local
hoặc nhiều máy remote. Để chọn dữ liệu được tập hợp, chỉ ra những đối tượng, các counter thực thi
và những trường hợp đối tượng thực thi.
Performance Logs and Alerts: cung cấp khả năng theo dõi và cảnh giác cho cả hai máy local và
remote. Bạn sử dụng logging để phân tích chi tiết và duy trì những mẩu tin. Việc giữ lại và phân tích
dữ liệu được tập hợp qua thời gian có thể hữu dụng để lập kế hoạch nâng cấp.
Với performance Logs and Alerts, bạn có thể tập hợp dữ liệu sự thực thi bằng cách sử dụng hai loại
log: counter log và trace log. Bạn cũng có thể cài một cảnh báo trên một counter để gửi một thông
điệp, chạy một chương trình hoặc khởi động một log khi giá trị của counter vượt qúa hoặc tụt xuống
dưới mức chỉ định.
Thiết lập thông số cho counter log
Khi bạn thiết lập các tham số cho một counter log, bạn phải chọn một định dạng file log. Chọn định
dạng file log phù hợp nhất cho môi trường của bạn. Ví dụ, nếu bạn chịu trách nhiệm trước một vài
server, file định dạng text hoặc binary là sự lựa chọn tốt nhất. Nếu bạn chịu trách nhiệm quản lý hành
trăm server, định dạng dữ liệu thành database SQL là lựa chọn tốt nhất.
Để thiết lập các thông số file cho một counter log
1. Vào Start Æ Programs Æ Administrative Tools Æ click Performance.
2. Double-click vào Performance Logs and Alerts.
3. Double-click Counter Logs để thiết lập thuộc tính.
4. Double-click vào log file
5. Chọn Tab Log Files và cấu hình các option sau:
Log file type, Chọn log file cần định dạng, sau đó click vào nút Configure.
Configure. Cấu hình các lựa chọn như dung lượng log file, tên file và vị trí lưu trữ.
End file names with: check vào ô End file names with là cho phép chúng ta chọn
tên file và tên file này khác với tên file do windows tự tạo.
Schedule Counter Log

Thật là không thực tế nếu để cho một người giám sát một server mạng 24 h mỗi ngày. Bạn phải
tự động quá trình này để bạn có thời gian thực hiện những công việc khác của bạn. Bạn có thể
sắp xếp các counter log để tạo ra một ranh giới thực thi, tìm những bottleneck, giám sát các sự
kiện hệ thống và tập hợp thông tin về những sự kiện hệ thống tác động tới server như thế nào .
Bạn có thể sắp xếp các counter log để:
Tạo một ranh giới thực thi
Xác định tác động trên toàn hệ thống khi việc sao lưu xảy ra giữa các domain controller
Xác định một bottleneck có xảy ra hay không khi các user logon vào buổi sáng
Xác định một bottleneck có xảy ra hay không khi các user kết nối từ xa vào buổi tối
Xác định xem Backup có gây ra một bottleneck hay không khi nó chạy vào buổi tối .
Xác định xem một bottleneck có xảy ra hay không trong một khoảng thời gian nào đó trong
ngày khi các user phàn nàn rằng mạng chậm đi.
- 105 -
Thông thường bạn lập kế hoạch giám sát bắt đầu trong thời gian làm việc. Với hầu hết các tổ
chức, thời gian này bắt đầu từ 8 h sáng tới 5 h chiều. Với những tổ chức hoạt động 24 h mỗi ngày
và 7 ngày mỗi tuần, logging nên đựơc mở liên tục. Nếu logging được mở liên tục, bạn có thể tạo
một log file cho mỗi ca (thông thường 8 h) hoặc toàn bộ 24 h. Một log file bị giới hạn bởi kích
thước tiếp tục phát triển tới kích thước mà bạn chỉ định và sau đó một log mới được khởi động.
Để lập biểu một counter log, bạn phải xác định các thông số khởi động và ngừng nó.
Các bước để xác định các tham số khởi động và ngừng cho một counter log
1. Vào Start Æ Programs Æ Administrative Tools và chọn Performance.
2. Double-click Performance Logs and Alerts và click Counter Logs.
3. Double-click lên tên của counter log.
4. Trên Tab Schedule, cho phép thiết lập thời gian bắt đầu (Start log) và thời gian kết thúc
(Stop log) của một counter log
Chú ý : Thiết lập giới hạn trong hộp thoại Configure Log Files trước khi click When the log
file is full. Nếu không tuỳ chọn này bị làm không hoạt động.
Cấu hình Alert

Sử dụng các alert để thông báo cho một user hay nhà quản trị khi một giá trị counter được xác
định trước bị vượt quá hoặc tụt xuống dưới một thiết lập đã chỉ ra. Ngoài ra, bạn có thể sử dụng
Performance Logs and Alerts để tập hợp dữ liệu về tài nguyên phần cứng, các dịch vụ hệ thống
và sự thực thi.
Alert là một tính năng mà phát hiện khi một giá trị counter đã khai báo trước bị vượt qua hoặc tụt
xuống dưới một thiết lập được chỉ định. Thiết lập được chỉ định trên một counter được gọi là
alert threshold (ngưỡng cảnh báo)
Bạn có thể cài một alert trên một counter để thực hiện những chức năng sau :
Tạo ra một mục dữ liệu trong log sự kiện ứng dụng. Ví dụ, enable tuỳ chọn này nếu bạn
muốn ghi lại tất cả những sự kiện gây ra một alert
Khởi động một log khi giá trị của counter đã chọn vượt ngưỡng hoặc tụt xuống ngưỡng
cảnh báo . Ví dụ, bạn có thể sử dụng tùy chọn này để thông báo cho bạn nếu CPU sử
dụng quá 85 %
Gửi một thông điệp
Chạy một chương trình: Enable tuỳ chọn này nếu bạn muốn một chương trình chạy khi
một sự kiện xảy ra. Ví dụ, bạn có thể muốn shutdown server khi đĩa cứng đầy.
Sử dụng procedure sau để tạo một alert Để tạo một alert
2. Double-click Performance Logs and Alerts và click Alerts.
3. Right-click trên vùng trống và chọn New Alert Settings.
4. Nhập tên Alert và sau đó bấm OK.
Trên Tab General, bạn cần chú thích alert, khoảng thời gian thực hiện và ngưỡng cảnh
báo.
Trên Tab Action, bạn có thể chỉ định cảnh báo bằng cách gửi e-mail hay chạy một
chương trình nào đó khi có một Alert xuất hiện.
Trên Tab Schedule, bạn có thể lập lịch thời gian bắt đầu và thời gian kết thức scan alerts.
Chú ý : Để lưu những thiết lập cho một alert, right click lên alert trong cửa sổ bên phải
của Performance console, và sau đó click Save Settings As. Bạn có thể chỉ ra một file
.html để lưu những thiết lập này. Để sử dụng lại những thiết lập đã lưu cho một alert
mới, right click trong cửa sổ bên phải, và sau đó click New Alert Settings From. Đây là
cách dễ dàng để tạo những thiết lập mới từ một cấu hình alert. Bạn cũng có thể mở file
HTML trong Internet Explorer để hiển thị một đồ thị System Monitor
Sử dụng Performance console và Task Manager trong Microsoft Windows Server 2003 để giám sát
hoạt động Server.
Môi trường doanh nghiệp ngày nay yêu cầu các kỹ sư hệ thống bảo đảm rằng những server của họ hoạt
động hiệu quả và đáng tin cậy. Để tối ưu sự thực thi của server, bạn phải tập hợp dữ liệu về quá trình thực
thi, giúp bạn nhận ra những chỗ hệ thống tắc nghẽn (bottleneck). Phần này trình bày làm thế nào để tập
hợp dữ liệu quá trình thực thi bằng cách sử dụng hệ thống server subsytem.
- 106 -
Bốn subsystem chính là :

• Bộ nhớ: Bộ nhớ server là hệ thống con quan trọng nhất đối với sự thực thi chung của server. Nếu
server không có đủ bộ nhớ RAM để giữ dữ liệu mà nó cần, nó phải lưu tạm thời dữ liệu lên ổ
cứng. Truy xuất đĩa chậm hơn nhiều so với RAM, vì thế việc lưu dữ liệu trên đĩa có thể làm giảm
đáng kể sự thực thi server.
• Bộ xử lý: Khía cạnh quan trọng nhất trong việc thực thi bộ xử lý là mức độ sử dụng của nó. Khi
một ứng dụng hay phần mềm khác sử dụng nhiều hơn chu kì chia sẻ của nó, tất cả các phần mềm
khác đang chạy sẽ hoạt động chậm đi nhiều hơn.
• Đĩa: Tốc độ truy xuất của các đĩa vật lý có thể ảnh hưởng lớn tới tốc độ ứng dụng hoạt động và
dữ liệu được tải lên. Vì thế, dung lượng trống đĩa phải đủ để bạn cài những ứng dụng, lưu trữ dữ
liệu và có đủ dung lượng trống cho bộ nhớ ảo.
• Mạng: Sự thực thi mạng của bạn bị tác động bởi cả hai phần cứng trong cấu trúc mạng của bạn
và phần mềm đang chạy trên server và cclient.
Bộ nhớ RAM:
Thiếu bộ nhớ là nguyên nhân phổ biến nhất của các vấn đề thực thi nghiêm trọng trong các hệ
thống máy tính. Thậm chí nếu bạn có nghi ngờ tới các vấn đề khác, nhưng trước tiên hãy kiểm
tra các counter bộ nhớ để loại trừ khả năng thiếu bộ nhớ.
Giám sát bộ nhớ server để đánh giá lượng bộ nhớ sẵn có, mức độ bộ nhớ ảo, và để theo dõi
những tác động của việc thiếu bộ nhớ. Giám sát bộ nhớ server có thể giúp bạn xác định bất kì
một trong những trường hợp tồn tại sau :
Tắc nghẽn bộ nhớ: Trường hợp bộ nhớ thấp có thể làm chậm hoạt động của các ứng dụng, các
services trên server và có thể ảnh hưởng tới sự thực thi của các tài nguyên khác trên server của
bạn. Ví dụ, khi server của bạn bị thấp bộ nhớ, trang nhớ có thể bị kéo dài, dẫn tới làm việc trên
đĩa của bạn nhiều hơn. Bởi vì nó đòi hỏi đọc và ghi lên đĩa, nên trang nhớ này hoạt động có thể
cạnh tranh với các yêu cầu thực thi đĩa khác, do đó làm dẫn tới một vấn đề tắc nghẽn đĩa. Tất cả
những công việc với đĩa có thể muốn nói rằng bộ xử lý đã được sử dụng thấp hay nó đang làm
việc không như mong muốn, như là xử lý nhiều ngắt để thay thế những trang nhớ lỗi. Page faults
xảy ra khi server không thể định vị code được yêu cầu hoặc dữ liệu trong bộ nhớ. Như là một kết
quả, các ứng dụng và những services trở nên ít phản ứng hơn. Vì thế, điều quan trọng là phải
giám sát bộ nhớ một cách đều đặn để phát hiện những tắc nghẽn bộ nhớ.
Không đủ bộ nhớ: Không đủ bộ nhớ là lý do của những triệu chứng chúng ta bắt gặp với dung
lượng bộ nhớ thấp. Bằng cách giám sát bộ nhớ server, bạn có thể sử dụng baseline được thiết lập
để dự báo trước khi nào bạn cần add thêm bộ nhớ và để tránh các vấn đề này.
Vượt quá trang nhớ: Dấu hiệu của việc thiếu bộ nhớ thường là paging. Paging là quá trình di
chuyển những khối code kích thước cố định và dữ liệu từ RAM tới đĩa bằng cách sử dụng các
khối được gọi là pages để giải phóng bộ nhớ cho những mục đích khác. Mặc dù một vài paging
có thể chấp nhận được, bởi vì nó cho phép bạn sử dụng bộ nhớ nhiều hơn là kích thước tồn tại
thật sự, nhưng hằng số paging làm chậm sự thực thi server. Giảm paging cải thiện đáng kể tình
trạng của server
Thất thoát bộ nhớ: Việc thất thoát bộ nhớ xảy ra khi các ứng dụng đã định vị bộ nhớ để sử
dụng, nhưng không giải phóng bộ nhớ được định vị khi ứng dụng kết thúc. Và kết quả là bộ nhớ
bị sử dụng một cách lãng phí, thường làm cho server ngừng hoạt động đúng.
- 107 -
Sử dụng các counter Performance để xác định xem bộ nhớ có gây ra một nghẽn cổ chai trong hệ thống
hay không. Danh sách sau bao gồm hai loại counter. Loại counter thứ nhất là counter tốc độ, như là
Pages/sec, Page Faults/sec. Một counter tốc độ lấy mẫu việc gia tăng đếm các sự kiện theo thời gian. Để
hiển thị tốc độ hoạt động, counter tốc độ chia bộ đệm thành những giá trị thay đổi theo thời gian. Vì thế,
để nhận được một kết quả chính xác, bạn phải giám sát các counter tốc độ lâu một chút, thông thường từ
30 tới 60 giây.
Loại counter thứ hai là counter tức thời , như là Avaiable Bytes và Committed Bytes. Những counter này
hiển thị các phép đo gần nhất.
• Pages/sec: Số yêu cầu các trang nhớ không có sẵn ngay lập tức trong RAM, và vì thế phải được
truy xuất từ ổ cứng hoặc được ghi đè lên đĩa để tạo ra một phạm vi trong RAM dành cho những
trang nhớ khác. Thông thường, nếu giá trị của counter vượt qua 5 chu kỳ mở rộng, bộ nhớ có thể
bị tắc nghẽn trong hệ thống.
• Avaialble Bytes: Dung lượng bộ nhớ vật lý sẵn có. Nó thường thấp, bởi vì Windows Disk Cache
Manager sử dụng nhiều bộ nhớ hơn thường lệ để lưu và sau đó trả nó về khi những yêu cầu bộ
nhớ xảy ra. Tuy nhiên, nếu giá trị này thường thấp dưới 5 % của tổng dung lượng bộ nhớ, nó chỉ
ra rằng thừa quá mức trang nhớ đang xảy ra
• Committed Bytes: Dung lượng bộ nhớ ảo được trao chuyển cho RAM vật lý để lưu trữ hoặc cho
các trang nhớ. Nếu dung lượng được chuyển lớn hơn dung lượng bộ nhớ vật lý, nhiều RAM hơn
được yêu cầu.
• Pool Nonpages Bytes: Dung lượng RAM trong vùng nhớ hệ thống Nonpaged pool, nơi mà dung
lượng được yêu cầu bởi các thành phần của hệ điều hành khi chúng hoàn thành nhiệm vụ của
chúng. Nếu giá trị Pool Nonpaged Bytes thể hiện một sự gia tăng đều đặn và không tương thích
với hoạt động trên server, nó có thể chỉ ra rằng một quá trình thất thoát bộ nhớ đang chạy, và bạn
nên giám sát nó cẩn thận.
• Pages Faultd/sec: Số lần một trang nhớ ảo không tìm thấy trong bộ nhớ. Nếu con số này là vượt
quá 5, quá nhiều bộ nhớ được đinh vị cho một ứng dụng và không đủ để cho server mà bạn đang
chạy.
Giám sát bộ nhớ RAM bằng cách sử dụng Performance console:

2. Right-click trên System Monitor và click Add Counters.
- 108 -
Dưới Performance object, click vào Memory, chọn các counter cần giám sát và Add vào
• Pages/sec
• Available Bytes
• Committed Bytes
• Pool Nonpaged Bytes
• Page Faults/sec
Chú ý : Mỗi khi bạn click Add để add một counter, counter đó được add vào danh sách những counter
trong cửa sổ bên phải của System Monitor.
3. Trong cửa sổ bên phải của System Monitor, view counters, và chọn cách giải quyết cho các vấn đề của
memory.
Mẹo nhỏ: Hành động phù hợp để giải quyết một vấn để bộ nhớ có thể bao gồm việc tìm kiếm quá trình
gây ra paging hoặc việc sử dụng RAM, kiểm tra độ thất thoát bộ nhớ trong một ứng dụng và add thêm
RAM.
Giám sát bộ nhớ RAM bằng cách sử dụng Task Manager:
Bạn cũng có thể giám sát bô nhớ bằng cách sử dụng Task Manager :
1. Bấm tổ hợp phím CTRL+ALT+DEL, và chọn Tab Task Manager.
2. Trên Tab Performance, giám sát data trong Page File, Physical Memory, Kernel Memory và
Commit Charge.
Giám sát bộ xử lý:

Cách sử dụng bộ xử lý, còn gọi là cách sử dụng CPU là tỉ lệ phần trăm lượng thời gian mà CPU đang làm
việc. Bạn phải giám sát cách sử dụng CPU để phát hiện các vấn đề tắc nghẽn CPU. Trong Windows
Server 2003, bạn có thể sử dụng Tak Manager giống như Performnace để giám sát hoạt động và cách sử
dụng CPU. Couner để xác định cách sử dụng trong những công cụ này được gọi là :
CPU Usage trong Task Manager
% Processor Time trong Perfromance
Trong Task Manager, CPU Usage hiển thị một đồ thị chỉ ra phần trăm thời gian bộ xử lý đang làm việc.
Counter này là bộ hiển thị chính hoạt động của CPU. Xem đồ thị này để thấy bao nhiêu phần trăm bộ xử
lý đang xử dụng. Nếu hệ thống của bạn có vẻ như chạy chậm đi, đồ thị này có thể hiển thị phần trăm cao.
Trong Performance, % Propcessor Time là phần trăm thời gian trôi qua mà bộ xử lý sử dụng để thực thi
một xâu chuỗi không ngừng. Mỗi bộ xử lý có một tuyến đoạn rảnh rỗi để sử dụng trong các chu kỳ khi
không có những xâu lệnh nào sẵn sàng chạy. Counter này là bộ hiển thị chính hoạt động của CPU. Nó
hiển thị phần trăm trung bình của thời gian bận được theo dõi trong khoảng thời gian giữa hai sự kiện
mẫu. Nó tính toán giá trị này bằng cách giám sát thời gian mà CPU hoạt động nhàn rỗi và lấy 100% trừ
cho giá trị đó.
Điều quan trọng là để quan sát counter trên những hệ thống SMP cũng như trên các hệ thống chỉ có một
CPU. SMP cho phép bất kì một trong nhiều bộ xử lý trên máy tính chạy hệ điều hành hoặc chuỗi ứng
dụng đồng thời với các bộ xử lý khác trong hệ thống. Theo dõi cách sử dụng từng bộ xử lý riêng biệt và
cho tất cả các bộ xử lý khác trên hệ thống qua một thời gian rộng.Ngoài ra xét số chuỗi hàng đợi trong bộ
xử lý của hệ thống để xác định xem việc sử dụng bộ xử lý cao có làm cho khả năng hoàn thành công việc
của hệ thống bị giới hạn hay không.
- 109 -
Hầu như mọi hoạt động xảy ra trên một server đều liên quan tới bộ xử lý. Bộ xử lý cho một server ứng
dụng thường thì bận hơn CPU trên file và printer server. Và kết quả là, cấp độ bộ xử lý hoạt động là sự
khác nhau giữa hai loại server. Hai nguyên nhân phổ biến nhất gây ra những thắt cổ chai CPU là giới hạn
CPU ứng dụng và driver, và quá nhiều ngắt được tạo ra bởi thiếu đĩa hoặc bởi các thành phần hệ thống
mạng phụ.
Giám sát các counter bộ xử lý để xác định xem bộ xử lý có gây ra một botleneck (nghẽn) hay không.
• % Processor Time: Những giới hạn lượng thời gian mà bộ xử lý bận. Khi bộ xử lý chạy quá
85%, bộ xử lý là một hệ thống botleneck. Phân tích cách sử dụng bộ xử lý bằng cách giám sát
từng bộ xử lý riêng biệt để xác định xem nguyên nhân bộ xử lý hoạt động là gì.
• System. Processor Queue Length: Số yêu cầu trong hàng đợi cho bộ xử lý. Nó chỉ ra số chuỗi
lệnh sẵn sàng được thực thi và đang đợi để xử lý. Thông thường, độ dài một hàng đợi xử lý dài
hơn hai có thể cho thấy tắc nghẽn. Để xác định nguyên nhân gây ra tắc nghẽn, bạn phải phân tích
sâu hơn từng quá trình riêng biệt đã tạo ra các yêu cầu tới bộ xử lý.
• Server Work Queues: Queue Length. Số yêu cầu trong hàng đợi để được chọn xử lý.
• Interrupts/sec: Số ngắt mà bộ xử lý đang bảo quản từ các ứng dụng hay từ các thiết bị phần
cứng. Windows Server 2003 có thể giữ hàng ngàn ngắt mỗi giây. Một sự gia tăng đột ngột giá trị
của counter này mà không tương thích với sự gia tăng hoạt động hệ thống, chỉ ra rằng một phần
cứng có vấn đề. Vấn đề có thể là một thiết bị không thể duy trì với sự ngừng lại của hệ thống,
giống như bộ điều khiển đĩa hay card mạng (NIC).
Một số biện pháp để cải thiện bộ xử lý khi botleneck
- Add một bộ xử lý nhanh hơn nếu hệ thống là một file và print server
- Add thêm nhiều bộ xử lý cho các appplication server
- Offload quá trình xử lý tới một hệ thống khác trên mạng, như là các user, ứng dụng
hoặc các services.
- Nâng cấp card mạng của bạn, card đĩa, bộ điều khiển đĩa. Nhìn chung, các card thông
minh 32 bit được đề nghị. Những card thông minh cung cấp cho hệ thống sự thực thi
toàn diện tốt hơn bởi vì chúng cho phép các ngắt được xử lý trên chính card đó.
Giám sát hoạt động của bộ xử lý bằng Performance

2.Trong cửa sổ Performance, System Monitor được chọn theo mặc định. Trong cửa sổ bên phải
của System Monitor, counter % Processor Time được hiển thị
- 110 -
Giám sát hoạt động của bộ xử lý bằng Task Manager

1. Bấm tổ hợp phím CTRL+ALT+DEL và sau đó click Task Manager.
Bạn cũng có thể mở Task Manager bằng cách right-click trên taskbar và chọn Task Manager
hoặc cũng có thể dùng tổ hợp phím Ctrl+Shift+Esc.
2. Trên Tab Performance, xem counter trong CPU Usage và CPU Usage History.
Giám sát đĩa (Disk)

Hệ thống đĩa phụ nắm giữ việc lưu trữ, hoạt động của các chương trình và dữ liệu trên server của bạn.
Công cụ Performance cung cấp các counter đĩa cụ thể cho phép bạn giới hạn hoạt động và thông lượng
đĩa
Trạng thái bottleneck đĩa được biểu thị bởi sử hiện diện của tất cả những điều kiện sau:
• Tốc độ duy trì hoạt động của đĩa liên tục vượt trên ranh giới của bạn
• Số hàng đợi liên tục nhiều hơn hai cho mỗi đĩa
• Thiếu một số lượng đáng kể trang nhớ
Xem xét tới dung lượng lưu trữ và thông lượng đĩa khi bạn bắt đầu đánh giá cấu hình. Sử dụng bus, bộ
điều khiển, cab và những công nghệ đĩa mà nó đưa ra thông lượng tốt nhất. Phần lớn các máy tính thực
hiện tương xứng ở một mức vừa phải với giá cả các thành phần đĩa. Tuy nhiên, nếu bạn muốn thu được
sự thực thi tốt nhất, bạn có thể muốn đánh giá những thành phần đĩa muộn nhất.
Nếu cấu hình của bạn chứa nhiều loại đĩa, bo mạch điều khiển và bus, những khác nhau trong các thiết kế
của chúng có thể tác động tới tốc độ thông lượng. Bạn có thể muốn kiểm tra thông lượng bằng cách sử
dụng nhiều hệ thống đĩa khác nhau, để xác định xem một vài thành phần có đưa ra ít kết quả có ích nói
chung hay không, hay chỉ một loại nào đó và sau đó thay thế những thành phần này khi cần. Ngoài ra,
một vài loại cấu hình volume –set có thể cung cấp những lợi ích cho sự thực thi. Ví dụ các volume
striped có thể cung cấp sự thực thi tốt hơn, bởi vì chúng gia tăng thông lượng bằng cách cho phép nhiều
đĩa bảo dưỡng tuần tự hay những yêu cầu I/O được nhóm lại. Một volume striped là một volume mà dữ
liệu được chèn vào kéo dài từ hai hay nhiều đĩa. Dữ liệu trên một loại loại này được định vị luân phiên
nhau và đều nhau trên mỗi đĩa vật lý.
Các counter dùng để xác định khi nào đĩa bottleneck

Khi phân tích sự thực thi và dung lượng lưu trữ hệ thống đĩa con, giám sát những counter sau cho các
bottleneck:
- 111 -
• % Disk Time. Chỉ ra lượng thời gian mà bận đọc và ghi các yêu cầu. Nếu điều này thường gần
100%, đĩa đang được sử dụng rất nặng nề. Việc giám sát từng quá trình riêng biệt giúp xác định
quá trình nào tạo ra phần lớn các yêu cầu đĩa.
• Current Disk Queue Length. Chỉ ra số yêu cầu I/O đĩa chưa giải quyết cho ổ đĩa. Nếu giá trị này
thường hơn 2, nó chỉ ra sự tắc nghẽn.
• Avg.Disk Bytes/Tranfer. Số byte trung bình được chuyển giao tới hay từ đĩa trong quá trình các
hoạt động ghi hoặc đọc. Kích thước chuyển giao lớn hơn, hệ thống chạy hiệu quả hơn.
• Disk Bytes/sec. Đây là tốc độ mà các bytes được chuyển giao từ hay khỏi đĩa trong các hoạt động
ghi đọc.
• LogicalDisk\%Free Soace. Đây là dung lượng đĩa trống sẵn có.
Nếu bạn xác định rằng hệ thống đĩa con là một hệ thống bottleneck, một số giải pháp là có thể, bao gồm :
• Phân mảnh đĩa bằng cách sử dụng Disk Defragmenter
• Loại trừ bộ nhớ thấp. Khi bộ nhớ là khan hiếm, Vitual Memory Manager ghi nhiều trang nhớ tới
đĩa hơn, dẫn tới gia tăng hoạt động đĩa. Trước khi bạn add thêm phần cứng, chắc chắn rằng bộ
nhớ thấp không phải là nguyên nhân của vấn đề, bởi vì bộ nhớ thấp là nguyên nhân phổ biến của
các bottleneck
• Add thêm một bộ điều khiển nhanh hơn, như là Fast SCSI-2
• Add thêm các ổ đĩa trong một môi trường RAID. Giải pháp này dàn trải dữ liệu ra nhiều đĩa vật
lý và cải thiện sự thực thi, đặc biệt là trong các hoạt động ghi.
• Chuyển gánh nặng đang xử lý cho một hệ thống khác trên mạng, như là các user, ứng dụng hay
các services.
Để giám sát đĩa chúng ta thực hiện theo các bước sau:
2. Right-click cử sổ bên phải của System Monitor và click Add Counters.
3. Trên hộp thoại Add Counters, bên dưới Performance object, chọn PhysicalDisk, chọn các
counter cần và Add vào như:
• % Disk Time
• Avg. Disk Bytes/Transfer
• Current Disk Queue Length
• Disk Bytes/Sec
4. Xem các counter bên phải của System Monitor và đưa ra các giải pháp để khắc phục cho các
vấn đề phát sinh của đĩa.
Mẹo nhỏ : Để giải quyết một đĩa bootleneck, bạn có thể cần xác định xem paging có đang xảy ra hay
không, nếu có, nâng cấp đĩa.
Sử dụng Performance để giám sát mạng:

Các giao tiếp qua mạng làm gia tăng tính quan trọng trong bất kì môi trường làm việc nào. Tương tự như
bộ xử lý hay các đĩa trên hệ thống của bạn, hoạt động của mạng tác động tới hoạt động hệ thống của bạn.
Tối ưu sự thực thi hệ thống của bạn bằng cách giám sát việc sử dụng mạng một cách đều đặn, như là lưu
thông mạng và việc sử dụng tài nguyên.
Cách sử dụng mạng là phần trăm băng thông mạng được sử dụng trên đoạn mạng đang được theo dõi.
Băng thông mạng được đo theo nhiều cách khác nhau :
• Tốc độ truyền các bytes giữa các server
• Tốc độ mà gói dữ liệu được gửi bởi server. Các gói dữ liệu bao gồm frames, packet, segment và
datagrams.
• Tốc độ các file được gửi và nhận bởi server.
Hiệu quả băng thông mạng thay đổi rất lớn, phụ thuộc vào khả năng truyền tải của đường link, cấu
hình server và khối lượng công việc server.
- 112 -
Bạn giám sát cách sử dụng mạng để phát hiện những bottleneck mạng. Những bottleneck mạng ảnh
hưởng ngay lập tức kinh nghịêm của user tại các trạm làm việc client và toàn mạng. Một bottleneck mạng
giới hạn số client có thể truy xuất đồng thời vào server. Những nguyên nhân phổ biến cho những
bottleneck mạng là :
Quá tải server
Quá tải mạng
Mất đi tính toàn vẹn mạng
Các counter sử dụng để xác định bottleneck trên mạng:

Sử dụng những counter được giám sát phổ biến sau để hình thành một bức tranh tổng quát về giám sát
mạng như thế nào và giúp khám phá và giải quyết các bottleneck mạng.
• Task Manager: % Network Utilization. Phần trăm băng thông mạng được sử dụng trong đoạn
mạng cục bộ. Bạn có thể sử dụng counter này để giám sát tác động của nhiều hoạt động mạng
khác nhau trên mạng, như là user logon vào mạng có hiệu lực và đồng bộ domain account .
• Network Interface : Bytes Sent/sec. Số bytes được gửi bằng cách sử dụng card mạng
• Network Interface: Bytes Total/sec. Số bytes được gửi và nhận bằng cách sử dụng card mạng
này. Sử dụng counter này để xác định card mạng đang làm việc như thế nào. Counter Bytes
Total/sec báo cáo các giá trị cao, để chỉ ra rằng một số lớn hơn sự truyền phát thành công.
• Server. Bytes Received /sec. So sánh các bytes nhận được mỗi giây với tổng băng thông của card
mạng của bạn để xác định xem kết nối mạng của bạn có đang tạo ra các bottleneck hay không.
Để giám sát cách sử dụng mạng bằng Performance :

2. Right-click cử sổ bên phải của System Monitor và click Add Counters.
a. Trong Performance object, chọn Network Interface, và chọn các counter cần giám sát và
Add vào như:
• • Network Interface\Bytes Sent/sec
• • Network Interface\Bytes Total/sec
b. Performance object, chọn Server, chọn các counter để add và sau đó click Close.
• • Server\Bytes Received/sec
- 113 -
3. Xem các counter của sổ bên phải của System Monitor và đưa ra các giải pháp khắc phục nếu
Network có vấn đề phát sinh.
Mẹo nhỏ : hành động thích hợp để giải quyết một vấn đề là có thể cần phải nâng cấp hay add
thêm card mạng khác. Bạn cũng có thể chia mạng thành từng đoạn nhỏ hoặc giới hạn các giao
thức đang sử dụng.
Hay bạn cũng có thể sử dụng Task Manager để giám sát Network.
Sử dụng Event viewer để giám sát hệ thống.

Event viewer là một công cụ quan trọng trong việc giám sát hệ thống dựa vào công cụ này người quản trị
sẽ phát hiện ra những kẻ truy cập bất hợp pháp vào những thời điểm cụ thể, với tính năng lọc trong
Event viewer giúp chúng ta giới hạn những sự kiện cần thiết giám sát. Event viewer là một công cụ tích
hợp trong Windows cho phép xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều
tham số cụ thể như: user, time, computer, services… Các sự kiện rời rạc được lọc lại thành những sự kiện
giống nhau giúp chúng ta lấy được những thông tin cần thiết một cách nhanh nhất.
Event viewer phân vùng các sự kiện riêng biệt cho từng ứng dụng, một máy chủ cài đặt mặc định sẽ có
ba phân vùng trong event viewer là:
• Application
• Security
• System
Application log
Application log ghi lại sự kiện của các ứng dụng từ các nhà sản xuất hay các ứng dụng mail…thông
thường các thiết lập trong Application là mặc định của các ứng dụng nên chúng ta chỉ có thể đọc nó mà
không thiết lập được.
- 114 -
Security log
Đây là một trong những log quan trọng nhất trong hệ thống, nó ghi lại toàn bộ các thiết lập audit trong
group policy, các thiết lập group policy quan trọng nhất là thiết lập giám sát quá trình login vào hệ thống,
truy cập dữ liệu.
Trong thiết lập này chúng ta thiết lập giám sát quá trình truy cập log-on, log-off hệ thống. khi thiết lập
giám sát này thì toàn bộ người dùng logon hay logoff vào hệ thống đều được ghi lại trong security log
Để biết tài khoản nào đã log-on, log-off vào lúc mấy giờ chúng ta mở Event viewer và tìm đến dòng
Security log, tại cửa sổ bên phải double click vào tài khoản cần xem, xuất hiện hộp thoại thông báo cho
chúng ta thông tin ngày giờ của tài khoản vừa log-on, log-off
- 115 -
Các bước thiết lập giám sát một Folder

Bước 1: Thiết lập audit object access trong group policy ở chế độ Success và Failure
Vào start Æ Run Æ gõ gpedit.msc, xuất hiện cửa sổ group policy object editor
Tại màn hình group policy object editor chọn nhánh computer configurationt Æ bấm vào dấu cộng của
thư mục Windows settings Æ security settings Æ local policy Æ audit policy Æ tại cửa sổ bên phải
double click vào dòng audit object access Æ xuất hiện hộp thoại audit object access properties Æ đánh
dấu vào ô Success và Failure
Chọn Apply Æ OK
Với thiết lập trong group policy chúng ta chỉ enable tính năng cho phép hệ thống ghi lại mà thôi, mặc
định hệ thống sau khi thiết lập này sẽ ghi lại event với các đối tượng hệ thống như registry… Còn muốn
một quá trình truy cập vào folder mà được lưu lại thì phải thiết lập trên chính folder đó.
Bước 2: Thiết lập audit trên foder.
Click chuột phải vào folder Æ chọn properties Æ Tab Security Æ chọn Advanced, chuyển sang Tab
Audit chọn trong cửa sổ Add chúng ta Add group với tên là everyone Æ xuất hiện cửa sổ cho phép lựa
chọn những đối tượng cần ghi lại Æ chọn full control để ghi lại tất cả các hoạt động cần giám sát Æ OK
Æ Restart lại máy
- 116 -
Sau đó vào Event Viewer để kiểm tra xem tài khoản nào đã thao tác những gì trên thư mục đã được thiết
lập
System Log
System log được thiết lập mặc định của hệ thống giúp chúng ta xem lại các sự kiện:
Bật, tắt, pause, disable, enable các services của hệ thống.
Ví dụ như một service chạy bị lỗi trong thời điểm nào nó sẽ ghi lại trong system log của event viewer.
- 117 -
11.4. Log Properties

Log properties giúp chúng ta cấu hình dung lượng file log, cách xoá các event cũ đi như thế nào, và
những tính năng lọc các sự kiện.
Để sử dụng tính năng log properties cho ứng dụng nào chúng ta click chuột phải trên ứng dụng đó chọn
properties
Tại Tab General chúng ta có thể xem tên và đường dẫn của file log, ngoài ra chúng ta có thể qui định
dung lượng cho file log và qui định thời gian xóa các file log cũ.
Tại Tab Filter chúng ta có thể thiết lập để Evnet Viewer chỉ lọc theo kiểu nào đó tại dòng event types
như: information, warning, error, success audit, hay failure audit bằng cách chọn hay bỏ chọn trước hộp
kiểm của các tính năng đó. Hoặc chúng ta có thể thiết lập lọc các sự kiện theo thời gian và ID của các sự
kiện.
6.4. Xử lý lỗi giám sát
- 118 -
Tóm tắt:
¾ Computer Management: là một tập hợp công cụ quản lý mà chúng ta có thể sử dụng để quản lý
một máy local hay máy từ xa. Computer Management gồm có các thành phần chính: System
Tools, Storage, Services and Applications
¾ System Tools: cho phép chúng ta sử dụng những công cụ trong System Tools để quản lý những
sự kiện hệ thống và quá trình thực hiện trên máy tính mà chúng ta quản lý.
¾ Storage: gồm các công cụ để quản lý các thuộc tính của các thiết bị lưu trữ.
¾ Services and Applications: những công cụ trong Services and Applications giúp chúng ta quản
lý các services và những ứng dụng trên một máy tính được chỉ định.
¾ Microsoft Management Console (MMC): cung cấp một giao diện mà chúng ta có thể sử dụng
để tạo, lưu và mở các công cụ quản lý, gọi các snap-in để quản lý các phần cứng, phần mềm và
các thành phần của Windows Server 2003. Khi chúng ta mở một công cụ quản lý trong MMC,
chúng ta có thể chỉ định áp dụng công cụ trên máy cục bộ (Local) hay trên một máy từ xa.
¾ Remote Desktop: Bằng cách sử dụng Remote Desktop cho công việc quản trị, chúng ta có thể
quản lý một hay nhiều Server từ xa từ một vị trí. Trong một tổ chức lớn, chúng ta có thể sử dụng
việc quản lý từ xa để quản lý tập trung nhiều máy tính được định vị trong các toà nhà khác hay
thậm chí những thành phố khác. Trong một tổ chức nhỏ hơn, chúng ta có thể sử dụng việc quản
lý từ xa để quản lý một Server được nằm trong một văn phòng khác.
¾ Task Manager: cung cấp một cách tổng quát về hoạt động và sự thực thi hệ thống. Nó cung cấp
về những chương trình và những quá trình đang chạy trên máy tính của bạn. Nó cũng hiển thị
những tiêu chuẩn đánh giá sự thực thi được sữ dụng phổ biến nhất cho các quá trình. Bạn có thể
sử dụng Task Manager để thực thi real-time monitoring.
¾ Performance Console: Windows Server 2003 cung cấp những công cụ sau như là thành phần
của Performance console để giám sát việc sử dụng tài nguyên trên máy tính của bạn là: System
Monitor, System Monitor
- 119 -
BÀI 7: QUẢN TRỊ LƯU TRỮ VÀ BẢO MẬT DỮ LIỆU
Mục tiêu:
¾ Phân biệt đĩa tĩnh và đĩa động
¾ Cấu hình đĩa động và tạo RAID cho máy chủ chuyên dụng
¾ Hiểu biết các kiểu sao lưu và phục hồi dữ liệu tối ưu
¾ Mã hóa dữ liệu với NTFS
¾ Quản lý lưu trữ với đĩa Quota
¾ Xử lý các sự cố liên quan
7.1: Giới thiệu đĩa

Khi bạn cài một đĩa mới, Windows Serer 2003 ghi nhận và cấu hình nó là một basic disk. Một basic disk
mặc định có tính lưu trữ trung bình và cung cấp khả năng cấu hình bị giới hạn. Bài học này mô tả làm thế
nào để định dạng một basic disk bằng cách sử dụng Disk Management và công cụ dòng lệnh DiskPart.
Nó cũng giải thích các thuộc tính hệ thống tập tin tác động như thế nào tới đĩa và sử dụng những hệ thống
tập tin như thế nào khi cấu hình đĩa.
Basic disk là loại đĩa mặc định cho Windows Server 2003. Một basic disk cung cấp cho bạn những khả
năng giới hạn để cài đặt các đĩa cứng của bạn. Trong khi đó, các dynamic disk cung cấp cho bạn nhiều
linh hoạt hơn trong việc cài đặt đĩa cứng. Ví dụ, bạn có thể thực thi khả năng chịu lỗi trên một dynamic
disk nhưng không thể thực hiện trên một basic disk.
¾ Các ưu điểm của Static Disk (Basic Disk)
Lợi ích của một Static Disk là nó cung cấp cho bạn khoảng trống độc lập, để bạn có thể sử dụng cho việc
tổ chức dữ liệu. Bạn có thể chia một basic disk thành 4 primary partition hoặc 3 primary partition và một
partition mở rộng, trong partition mở rộng có thể chia thành một hay nhiều các ổ đĩa logical
¾ Các ưu điểm của Dynamic Disk
Những lợi ích của các dynamic disk là :
• Một dynamic disk có thể được sử dụng để tạo các volume trải rộng ra nhiều đĩa cứng
• Không có giới hạn về số volume có thể được cấu hình trên một dynamic disk
• Các dynamic disk được sử dụng để tạo ra những đĩa chịu lỗi để bảo toàn dữ liệu khi có lỗi phần
cứng xảy ra.
7.1.1. Static Disk

Partirion là gi?
- 120 -
Định dạng đĩa là một cách để phân chia đĩa cứng vật lý thành các phần, để mỗi phần hay partition hoạt
động như là một khối riêng biệt. Bạn có thể sử dụng cách định dạng để phân chia một ổ cứng thành nhiều
kí tự ổ đĩa giúp dễ dàng tổ chức các file dữ liệu. Mỗi partition được gán một kí tự khác nhau, như là C
hay D. Sau khi bạn tạo một partition, bạn phải format nó với một hệ thống file trước khi bạn có thể lưu
dữ liệu trên partition.
Khi bạn gắn một đĩa cứng mới vào trong máy tính, bạn phải khởi chạy đĩa trước khi bạn có thể tạo các
partition. Khi bạn khởi động Disk Management trước tiên sau khi cài xong một ổ cứng mới. Wizard sẽ
xuất hiện để cung cấp một danh sách các đĩa mới đã được phát hiện bởi hệ điều hành. Khi bạn hoàn thành
wizard, hệ điều hành khởi chạy đĩa bằng cách ghi một kí hiệu chứng nhận đĩa, đánh dấu sector kết thúc
và một MBR. Nếu bạn bỏ qua wizard trước khi kí hiệu chứng nhận đĩa được ghi, trạng thái đĩa không
được khởi chạy sẽ duy trì.
Primary partitions:
Bạn tạo các primary partition trên một basic disk. Một basic disk có thể có tới 4 primary partition
hoặc 3 primary partition và một partition mở rộng. Một primary partition không thể bị chia nhỏ. Một
partition mở rộng có thể được chia thành nhiều ổ đĩa logic.
Logical drives:
Các ổ đĩa logic tương tự như primary partition, ngoại trừ một điều rằng bạn có thể tạo tới 24 ổ đĩa
logic cho mỗi đĩa cứng nhưng bị giới hạn chỉ có 4 primar partition cho mỗi đĩa cứng. Bạn có thể
format một ổ đĩa logic và gán một kí tự cho nó.
Extended partitions:
Bạn chỉ có thể tạo một partition mở rộng trên một basic disk. Không giống như primary partition, bạn
không thể format một partition mở rộng với một hệ thống tập tin. Thay vì thế, bạn tạo ra một hoặc
nhiều ổ đĩa logic trong partition mở rộng và sau đó format chúng với một hệ thống tập tin.
Format a disk:
Bạn phải format một ổ đĩa trước khi có thể sử dụng nó. Quá trình format đĩa sẽ cấu hình partition với
một bảng cáp phát tập tin. Quá trình này chuẩn bị đĩa để đọc và ghi. Khi bạn format một ổ đĩa, hệ
điều hành xoá tất cả bảng cấp phát tập tin trên đĩa, kiểm tra đĩa để xác nhận rằng các sector là đáng
tin cậy, đánh dấu những sector xấu, và tạo các bảng địa chỉ nội mà nó sử dụng sau này để định vị
thông tin.
Deleting a partition:
Việc xoá một partition sẽ phá huỷ tất cả dữ liệu trên partiion. Sau đó partition sẽ phục hồi lại dung
lượng trống cấp phát. Nếu bạn đang xoá một partition mở rộng, bạn phải xoá tất cả các ổ đĩa logic
của nó trứơc khi xoá partition.
- 121 -
Assign drive letters:

Windows Server 2003 cho phép gán tĩnh các kí tự ổ đĩa cho một partition, volume hay ổ CD-ROM
cụ thể .
Manage drive letters:
Bạn có thể sử dụng tới 24 kí tự ổ đĩa từ C tới Z. Các kí tự A và B được dành trước cho các ổ mềm.
Tuy nhiên, nếu bạn chỉ có một ổ mềm, bạn có thể sử dụng kí tự B cho một ổ đĩa mạng. Khi bạn add
thêm một ổ cứng mới vào hệ thống máy tính đang tồn tại, nó không tác động tới những kí tự được
gán trước đó.
Lưu ý: Trước khi bạn xoá hoặc tạo các partition trên một đĩa cứng, bảo đảm backup tất cả những thành
phần trên đĩa, bởi vì quá trình xoá hay tạo các partition sẽ phá huỷ bất kì dữ liệu nào đang tồn tại.
Phân chia Partition:
Bạn có thể sử dụng Disk Management hoặc là DiskPart để phân chia đĩa. Bạn có thể sử dụng Disk
Management không chỉ để chia đĩa, nhưng cũng có thể để format và gán các kí tự đĩa tại cùng thời điểm.
Khi bạn chia một đĩa đang tồn tại, trước tiên bạn phải xoá các partition trước. Bạn có thể sử dụng Disk
Management hoặc DiskPart để hoàn thành những thao tác này.
Để chia một đĩa cứng bằng bằng công cụ Disk Management

1. Vào Start Æ Programs Æ Administrative ToolsÆ Computer Management và mở Disk
Management.
2. Right-click vào vùng unallocated của đĩa basic và chọn New Partition, hoặc right-click trên
vùng đĩa trống extended partition và chọn New Logical Drive.
3. Tại màn hình New Partition Wizard, click Next.
4. Trên trang Select Partition Type, click chọn Primary Partition và click Next.
5. Trên trang Specify Partition Size, chọn dung lượng Partition và click Next.
6. Trên trang Assign Drive Letter or Path chọn ký tự ổ đĩa và click Next.
7. Trên trang Format Partition: cho chúng ta các tùy chọn về định dạng file system, nhãn đĩa…
8. Click Next và click Finish.
Chúng ta cũng có thể dùng DiskPart để phân chia đĩa cứng. Phần này thì các bạn có thể tự tìm hiểu thêm.
Drive Letter là gi?

Chúng ta có thể sử dụng Disk Management hoặc DiskPart để gán, thay đổi hoặc remove các kí tự ổ đĩa
trên partition. Là một nhà quản trị, bạn sẽ quản lý những kí tự ổ đĩa bằng cách sử dụng hai công cụ này
nhung chúng tôi chỉ giới thiệu công cụ là Disk Management.
Để gán, thay đổi hoặc remove các kí tự ổ đĩa bằng cách sử dụng Disk Management
1. Trong Computer Management chúng ta chọn Disk Management.
2. Right-click trên partition chọn logical drive hoặc volume và sau đó click Change Drive
Letter and Paths.
3. Sẽ xuất hiện các tùy chọn cho phép chúng ta có thể:
• Gán ký tự ổ đĩa (drive letter), bằng cách click Add và sau đó chọn ký tự cần gắn.
• Thay đổi ký tự ổ đĩa (drive letter), bằng cách click Change và sau đó chọn ký tự cần gắn.
• Remove ký tự ổ đĩa (drive letter) chọn nó và chọn Remove.
Mounted Drive là gi?

Việc sử dụng các đĩa mount có thể giúp bạn quản lý và tổ chức dữ liệu trên server của bạn. Sử dụng một
ổ đĩa được mount khi bạn có hai ổ đĩa có dữ liệu liên quan mà về phương diện logic chỉ thuộc về một ổ
đĩa. Ngoài ra, các ổ đĩa mount cũng giúp bạn quản lý số kí tự ổ đĩa bị giới hạn mà bạn phải làm việc trên
một đĩa cứng.
Một ổ đĩa mount là đơn vị lưu trữ độc lập được quản lý bởi hệ thống tập tin NTFS. Bạn có thể sử dụng
Disk Management để mount một ổ đĩa local tới bất kì folder trống nào trên một volume NTFS. Phương
pháp này tương tự như tạo một shorcut chỉ tới một partition disk hoặc volume. Mount một ổ đĩa tới một
folder cho phép bạn sử dụng một tên trực quan cho folder, như là Program Data. Sau đó các user có thể
lưu dữ liệu của họ trong folder Program Data, đúng hơn là lưu vào một kí tự ổ đĩa.
- 122 -
Khi bạn mount một ổ đĩa local tới một folder trống trên volume NTFS, Disk Management sẽ gán một
đường dẫn, đúng hơn là một kí tự cho ổ đĩa. Các ổ đĩa được mount không tuỳ thuộc vào giới hạn 26 ổ đĩa
được áp đặt bởi các kí tự ổ đĩa, vì thế bạn có thể sử dụng những ổ đĩa được mount để truy xuất nhiều hơn
26 ổ đĩa trên máy tính. Windows Server 2003 đảm bảo rằng các đường dẫn được duy trì liên kết tới các ổ
đĩa, vì thế bạn có thể add hay sắp xếp lại những thiết bị lưu trữ mà không làm cho đường dẫn ổ đĩa bị fail.
Tại một mounted drive bằng công cụ Disk Management

Để tạo một ổ đĩa mount bằng cách sử dụng Disk Management
1. Trong màn hình Computer Management, mở Disk Management.
2. Right-click trên volume mà bạn muốn mount và click Change Drive Letter and Paths.
3. Click Add, browse đến Mount in the following empty NTFS folder và click Browse đến vị
trí chứa nó.
Xóa một mounted drive bằng công cụ Disk Management
Để xoá một ổ đĩa mount bằng cách sử dụng Disk Management
1. Trong Computer Management, mở Disk Management.
2. Right-click trên volume mà bạn muốn xóa sau đó click Change Drive Letter and Paths.
3. Để xóa một volume, click vào nó và click Remove.
7.1.1. Dynamic Disk

Khi một đĩa cứng mới được cài đặt, nó được ghi nhận và cấu hình là một basic disk. Để tạo một dynamic
disk, bạn phải chuyển một basic disk thành một dynamic disk. Sau khi quá trình chuyển đổi hoàn thành,
bạn có thể tạo một phạm vi rộng lớn các volume động. Bạn cũng có thể mở rộng các volume qua nhiều
đĩa. Những khả năng này cung cấp cho bạn với mức điều khiển lớn hơn và giúp bạn ngăn cản thất thoát
dữ liệu khi phần cứng bị failure.
Mục đích chuyển một basic disk thành dynamic để :
• Tạo, xoá các volume simple, spanned, striped, mirrored và RAID-5.
• Mở rộng một volume đơn hay spanned
• Sửa chữa các volume mirrored hay RAID-5
• Kích hoạt lại những volume trải rộng nhiều hơn một đĩa.
Bạn có thể chuyển một đĩa cứng từ basic thành dynamic bất cứ lúc nào mà không bị mất dữ liệu. Khi bạn
convert một đĩa từ basic thành dynamic, các partition đang tồn tại trên đĩa trở thành các volume.
Lưu ý : Đề nghị bạn rằng trước khi thực hiện bất kì vấn đề cấu hình phần cứng các thiết bị lưu trữ, bạn
luôn backup dữ liệu sang một đĩa khác.
Chuyển đổi Basic Disk sang Dynamic Disk

Hầu hết các tổ chức sử dụng những dynamic disk trong các server của họ bởi vì chúng cung cấp khả năng
chịu lỗi và bởi vì dung lượng trống có thể được mở rộng nếu cần. Loại đĩa mặc định là basic, vì thế bạn
phải chuyển nó thành dynamic nếu bạn dự tính sử dụng một dynamic disk.
Để chuyển một basic disk thành dynamic disk bằng cách sử dụng công cụ Disk Management
1. Trong màn hình Computer Management, mở Disk Management.
2. Right-click trên basic disk mà bạn muốn convert, click Convert to Dynamic Disk, và làm
theo các hướng dẫn của chường trình.
Tạo Volume:
Các dynamic disk cung cấp những tính năng mà basic disk không thể có, như là khả năng tạo các
volume, được gọi là các volume spanned và striped để có thể trải rộng ra nhiều đĩa. Tất cả những volume
trên các dynamic disk được biết tới là các dynamic volume.
Simple volume:
- 123 -
Một simple volume là một volume lưu trữ trên dynamic disk. Bạn có thể tạo simple volume từ
khoảng trống chưa cấp phát trên một dynamic disk. Một simple volume tương đương với một
partition, ngoại trừ nó không có kích thước giới hạn như một partition, và cũng không bị hạn chế số
volume mà bạn có thể tạo trên một disk đơn.
Một simple volume sử dụng các định dạng hệ thống file NTFS, FAT32 và FAT. Tuy nhiên, bạn chỉ
có thể mở rộng một simple volume nếu nó được định dạng với phiên bản NTFS được sử dụng trong
hệ điều hành Windows 2000 hoặc Windows Server 2003. Ngoài ra, bạn có thể add thêm hay mở rộng
một simple volume sau khi tạo nó.
Bạn có thể sử dụng một simple volume để lưu tất cả dữ liệu cho tới khi bạn cần nhiều khoảng trống
hơn trên các đĩa của bạn. Để có được nhiều khoảng trống hơn, bạn có thể tạo một volume extended,
spanned hay striped.
Để tạo một simple volume bằng cách sử dụng công cụ Disk Management
2. Right-click ở vị trí trống của đĩa dynamic mà bạn muốn tạo simple volume và chọn New
Volume.
3. Trong màn hình New Volume Wizard, click Simple và làm theo các hướng dẫn của hệ thống.
Spanned Volume
Một spanned volume là simple volume mà cho phép bạn tạo một volume logical dựa trên khoảng
trống chưa cấp phát sẵn có trên các dynamic disk khác trên máy tính. Bằng cách sử dụng các spanned
volume, bạn có thể sử dụng khoảng trống lưu trữ hiệu quả hơn. Sau khi một volume được mở rộng,
để xoá một thành phần của nó, bạn phải xoá toàn bộ spanned volume.
Spanned volume file format:
Bạn chỉ có thể tạo một spanned volume bằng cách sử dụng hệ thống file NTFS. Các volume
spanned không cung cấp khả năng chịu lỗi. Nếu một trong các đĩa chứa một spanned volume bị
lỗi, toàn bộ volume sẽ sẽ lỗi và tất cả dữ liệu sẽ mất.
Increase storage size:
Bạn có thể sử dụng những spanned volume để gia tăng kích thước lưu trữ khi bạn phải tạo một
volume, nhưng lại không có đủ khoảng trống chưa cấp phát cho volume trên một đĩa đơn. Bằng
- 124 -
cách kết hợp các phần khoảng trống chưa cấp phát trên nhiều đĩa, bạn có thể tạo một spanned
volume.
Để tạo một spanned volume bằng cách sử dụng Disk Management :
2. Right-click trên spanned volume bạn muốn tạo, click Extend Volume, và làm theo các hướng
dẫn trên màn hình.
Striped Volume
Một striped volume lưu trữ dữ liệu trên hai hay nhiều đĩa bằng cách kết hợp những vùng trống thành một
logical volume trên dynamic disk. Các stripe volume cũng được biết tới như là RAID 0, chứa dữ liệu
được trải ra nhiều dynamic disk trên các ổ riêng biệt riêng biệt. Những spanned volume không thể là
striped
Dữ liệu được ghi vào volume được chia thành các khối gọi là stripes. Các stripes này được ghi đồng thời
tới tất cả các ổ đĩa trong stripe set. Vấn đề thuận lợi chính của đĩa giăng rộng kiểu này là tốc độ. Dữ liệu
có thể được truy xuất trên nhiều đĩa bằng cách sử dụng nhiều đầu đĩa , điều này cải thiện đáng kể quá
trình thực thi.
Các volume striped cung cấp sự thực thi tốt nhất cho tất cả những chiến lược đĩa bởi vì dữ liệu ghi vào
một striped volume được ghi đồng thời tới tất cả các đĩa tại cùng thời điểm đúng hơn là tuần tự. Vì vậy,
quá trình thực thi đĩa trên một striped volume nhanh hơn bất kì loại cấu hình đĩa nào khác.
Để tạo một striped volume bằng cách sử dụng công cụ Disk Management
2. Right-click trên vùng đĩa trống của đĩa dynamic mà bạn muốn tạo striped volume và click New
Volume.
3. Tại trang New Volume Wizard, chọn Striped, và làm theo hướng dẫn trên màn hình.
7.2: Sao lưu dữ liệu

8.3. Backup and Restore.
Như chúng ta đã biết vấn đề dữ liệu của hệ thống là vấn đề sống còn của doanh nghiệp. Người quản trị
phải tìm và dùng nhiều cách để phòng hờ (backup) dữ liệu của hệ thống nhằm tránh những tình huống
xấu nhất khi mất dữ liệu. Như chúng ta đã tìm hiểu về một kiểu backup bằng RAID nhằm tránh tình trạng
bị hư hỏng vật lý của ổ cứng. Còn trên Windows có đưa cho chúng ta một chương trình backup để tránh
trường hợp xóa nhầm, virus, hư hỏng phần mềm để chúng ta phục hồi lại dữ liệu cần thiết. Trong học
phần Networking, ta đã tìm hiểu về Tape, SAN... thì Windows cho chúng ta công cụ backup để sử dụng
các thiết bị đó. Hoặc backup qua một máy tính khác nhằm tránh những rủi ro về dữ liệu cũng như về hệ
thống.
- 125 -
8.3.1 Backup.
Backup là người quản trị thiết lập các dữ liệu để phòng hờ qua một nơi khác, máy tính khác hoặc qua
thiết bị backup chuyên dùng để khi cần thiết thì restore lại để sử dụng.
Vào Start -> Programs –> Accessories -> System Toos -> Backup.
Hình : Mở Backup
Hộp thoại Backup hiện ra. Chọn vào Alway start in wizard mode để dễ dàng hơn trong vấn đề
backup. Click Next.
Hình : Backup or Restore Wizard

Trong hộp thoại Backup or Restore. Vì phần này là nói về Backup nên chúng ta chọn Back up files
and sttings. Click Next.
- 126 -
Hình : Backup files and settings
Hộp thoại What to Back Up. Chọn Let me choose what to back up để có nhiều sự lựa chọn hơn
trong những gì cần Backup. Click Next.
Hình : Lựa chọn backup

Hộp thoại Item to Backup. Chúng ta click vào các dấu (+) trong khung bên trái để có thể chọn những
Folder nào cần backup bằng cách đánh vào dấu check trên Folder đó.
- 127 -
Hình : Item to Backup
Trong Ví dụ này chúng ta chọn Backup Folder My Documents. Click Next.
Hình : Tùy chọn backup
Hộp Thoại Backup Type, Destination, and Name cho biết là Chúng ta backup kiểu gì? Lưu file ở
đâu? Và đặt tên là gì? Chọn Browse... để tìm nơi lưu File backup.
- 128 -
Hình : Nơi lưu trữ file backup

Giả sử chúng ta lưu file ở thư mục C:\public với tên là Backup_mydocument.bkf. Click Save.
Hình : Đặt tên file
- 129 -
Hình : Nơi lưu trữ file backup và tên file

Chọn Finish để hoàn tất việc Backup.
Lúc này hệ thống backup bắt đầu hoạt động Backup.
Hình : Hoạt động backup
8.3.2. Backup Nâng Cao.

Phần trên chúng ta đã thiết lập một tác vụ backup. Nhưng việc backup trên chỉ là thủ công nghĩa là chỉ
hoạt động một lần khi thiết lập xong. Bây giờ chúng ta tìm hiểu tác vụ backup nâng cao với việc hẹn giờ
và backup liên tục.
Xét ví dụ trên chúng ta thiết lập backup tới phần Finish. Chọn phần Advanced....
Hình : Advanced backup
Hộp thoại Backup Type hiện ra. Chọn Type là Daily. Click Next
- 130 -
Hình : Các tùy chọn backup

Chọn Verify Data after backup – kiểm tra lại dữ liệu sau khi backup. Click Next.
Hình : Kiểm tra dữ liệu sau khi backup
Backup options chọn Append this backup... click Next.
Hình : Backup Options
- 131 -
Trong hộp thoại When to Back up. Chọn Later. Mục job name: gõ vào tên Job:
backup_documents. Chọn vào Set Shedule... để thiết lập lịch backup cho tác vụ trên.
Hình : Nhập tên lập lịch
Chọn Schedue Task: Daily. Click vào Advanced...
Hình : Cài đặt lập lịch
Trong hộp thoại Schedule Advanced Options:

o Start Date: chọn thời gian bắt đầu backup.
o End Date: Ngày kết thúc backup.
- 132 -
o Repeat task: thời gian lặp lại của quá trình backup. (ví dụ: chọn 10 phút thì backup 1
lần).
Hình : Định thời gian lập lịch
Click OK đóng lại, trở về hộp thoại Schedule Job, chọn OK. Một hộp thoại Password xuất hiện.
Nhập user và password của user nào có thẩm quyền thực hiện backup ví dụ là Administrator.
Hình : Nhập user name và password
Nhập User và password xong. Chọn OK màn hình trở lại hộp thoại When to back up. Click Next.
Click Finish để hoàn tất.
Shadow Copy.
Dữ liệu (Data) là vấn đề sống còn của một doanh nghiệp. Một khi doanh nghiệp nào đó trang bị một hệ
thống máy chủ cùng hệ quản trị bằng Windows Server thì doanh nghiệp đó mong muốn bảo toàn và bảo
mật các dữ liệu của công ty đó. Vấn đề đặt ra là một khi đã bảo mật dữ liệu rồi, nhưng làm thế nào mà
bảo toàn được nội dung bên trong của tài liệu đó.
Xét ví dụ 1: một công ty có share dữ liệu cho người dùng để sử dụng chung các tài nguyên. Nhưng vì lý
do bị virus tấn công làm thay đổi nội dung trong tài liệu đó hoặc vô tình thay đổi nội dung thì làm cách
nào lấy lại nội dung trước đây của tài liệu đó?.
Xét ví dụ 2: Người dùng (user) thường có thói quen lưu tài liệu tạo ra trên My Documents. Vậy khi máy
tính đó bị Virus tấn công, hoặc máy tính đó bị hư hỏng hoàn toàn hoặc muốn lấy lại nội dung trước đây
của một file mà người đó thường sử dụng.
- 133 -
Để giải quyết vấn đề trên. Từ Windows 2003 Server trở về sau có một tính năng khá hay là Shadow
Copy. Tính năng này chỉ có trên Windows Server 2003 trở về sau nghĩa là chỉ có Windows Server 2003,
Windows Vista. Còn Windows XP hoàn toàn không hỗ trợ tính năng này.
Shadow copy là hệ thống sẽ tự động copy một bản sao nội dung của một tài liệu vào một vùng nhớ đệm.
Vùng nhớ đệm này được tạo ra bởi người quản trị và hệ thống phải được định dạng bởi NTFS. Khi có sự
thay đổi về nội dung thì hệ thống sẽ lưu lại một phiên bản khác của file đó theo một thời gian nhất định,
và khi có nhu cầu khôi phục lại nội dung thì người quản trị sẽ căn cứ vào thời gian trước đây của nội
dung để phục hồi.
Cách làm một shadow copy như sau:
logon vào Server với quyền tài khoản administrator. Chọn Properties của ổ đĩa, ví dụ là ổ C:.
Chọn tab Shadows Copies.
Chọn Settings...
- 134 -
Trong phần Maximum size: nhập vào dung lượng của bộ nhớ đệm. Chọn Schedule... để định thời
gian cho việc thực hiện shadow copy.
o Schedule Task: là tác vụ được thực hiện bởi khoảng thời gian nào: Daily, Weekly,
monthly...
o Start time: là bắt đầu có hiệu lực từ khoảng thời gian nào trong ngày.
Chọn Schedule task là Daily. Bấm nút Advanced... để mở rộng hơn về tác vụ vừa chọn.
o Start Date: ngày giờ nào bắt đầu có hiệu lực Shadows Copy.
o End Date: Ngày giờ nào kết thúc.
o Repeat task: khoảng bao nhiêu lâu sẽ lặp lại một lần shadows copy.
Chọn Reapeat Task là 5 phút. Bấm OK rở về hộp thoại ban đầu là Properties của ổ C:
- 135 -
Chọn Create Now để bắt đầu thiết lập shadows copy. Sau đó chọn OK để thoát ra.
Tạo một Folder là TranBaoAn, Share Folder này cho user An Tran Bao (antb) với quyền là Full
Control.
- 136 -
Trên Windows XP. Logon với tài khoản antb.
Chọn Properties của My Documents.
- 137 -
Trong mục Target folder location thay thế bằng dòng lệnh sau: \\svr1\TranBaoAn.
Click OK để thay thế đường dẫn. Một hộp thoại xuất hiện để chắc hẳn là thay thế đường dẫn trên.
Chọn OK để xác nhận việc thay thế.
Tạo một file có tên là: kiem_tra_shadow_copy.txt
Mở file trên, thêm nội dung vào:
- 138 -
Lưu lại nội dung trên. Sau đó mở file trên để xóa vài dòng:
Đợi một khoảng thời gian sau 5 phút như việc đặt Schedule Task ở phần trên. Chọn Properties của
File trên. Vào tab Previous Versions. Cho thấy thời gian được ghi vào bộ đệm.
- 139 -
Chọn Restore để phục hồi nội dung ban đầu. Một hộp thoại xuất hiện cho biết user này có thực sự
muốn khôi phục lại hay không?.
Chọn Yes để khôi phục lại nội dung ban đầu. Một hộp thoại xuất hiện cho biết là phục hồi thành
công.
Chọn OK để trở về Properties của file trên. Click OK để hoàn tất.

Mở file kiem_tra_shadow_copy.txt lên kiểm tra. Nội dung ban đầu đã phục hồi lại:
Kết luận: Người quản trị sẽ có giải pháp thích hợp trên tính năng shadow copy để tránh trường hợp mất
nội dung cũng như sự phá hoại của người dùng. Tuy nhiên khi sử dụng tính năng này sẽ có hạn chế về
dung lượng của ổ đĩa trên máy chủ.
8.4. Restore.
Sau khi backup những gì cần thiết. Một lúc nào đó người quản trị cần khôi phục (restore) lại những dữ
liệu đã backup. Việc restore cũng thực hiện bởi phần Backup trên Windows.
- 140 -
Hình : Backup or Restore Wizard
Chọn Restore file and settings trong hộp thoại Backup and Restore.
Hình : Restore files and setting

Click vào Browse... để tìm file backup. Chọn file backup theo ngày tháng để restore. Click Next.
- 141 -
Hình : Tìm source file backup
Hộp thoại Completing ... cho thấy kiểu Restore. Bấm Finish để hoàn tất.
Hình : Hoàn tất quá trình restore
Hộp thoại Restore bắt đầu hoạt động.
- 142 -
Hình : Quá trình restore hoạt động
Kết Luận: Như vậy người quản trị phải có nhiều phương án Backup dữ liệu của mình và có thể dùng
nhiều phần mềm Backup khác thuộc những hãng viết phần mềm khác. Đồng thời sử dụng nhiều thiết bị
Backup chuyên dụng như Tape, NAS... nhằm tăng mức độ an toàn của dữ liệu.
7.3: Mã hóa dữ liệu bằng EFS

Hệ thống tập tin mã hóa (Encrypting File System - EFS) cung cấp mã hóa cấp độ tập tin cho các tập tin
NTFS. Kỹ thuật mã hóa EFS dựa trên public key, hoạt động như một dịch vụ tích hợp vào hệ thống, và
phục hồi tập tin bằng tác nhân phục hồi EFS được chỉ định.
EFS rất dễ quản lý do khi cần tiếp cận dữ liệu quan trọng đã được người dùng mã hóa, và khi đó không
có người dùng hay khóa của họ, tác nhân phục hồi EFS (thường là người quản trị) có thể giải mã tập tin.
Hiểu các lợi ích của EFS sẽ giúp chúng ta sử dụng kỹ thuật này một cách hiệu quả trên mạng.
Giới thiệu EFS
EFS cho phép người dùng lưu dữ liệu trên đĩa cứng theo khuôn dạng được mã hóa. Sau khi người dùng
mã hóa tập tin, tập tin sẽ vẫn còn được mã hóa khi nào nó còn nằm trên đĩa. Các người dùng đơn lẻ có
thể sử dụng EFS để mã hóa các tập tin bí mật.
EFS có một số đặc điểm chính:
- 143 -
• Hoạt động ngầm (background), trong suốt với người dùng và ứng dụng.
• Chỉ cho phép người dùng hợp lệ (authorized) truy cập tập tin mã hóa. EFS tự động giải mã
tập tin khi sử dụng và mã hóa lại khi lưu. Các quản trị viên có thể phục hồi dữ liệu được bất
kỳ người dùng nào mã hóa. Điều này bảo đảm cho dữ liệu vẫn có thể truy cập được nếu
người dùng đã mã hóa dữ liệu không có mặt hoặc họ làm mất private key.
• Cung cấp hỗ trợ phục hồi dữ liệu dựng sẵn. Kiến trúc bảo mật trong Windows 2003 Server
buộc chúng ta phải cấu hình các khóa phục hồi dữ liệu. Chúng ta có thể sử dụng tính năng
mã hóa tập tin chỉ khi máy tính cục bộ được cấu hình với một hoặc nhiều khóa phục hồi. EFS
tự động tạo các khóa phục hồi và lưu chúng trong registry khi không thể truy cập domain.
- 144 -
• Yêu cầu phải có ít nhất một tác nhân phục hồi (recovery agent) để khôi phục các tập tin mã
hóa. Chúng ta có thể chỉ định nhiều tác nhân phục hồi dữ liệu để quản lý chương trình phục
hồi EFS. Mỗi tác nhân phục hồi đòi hỏi một chứng nhận (certificate) EFS Recovery Agent.
Lưu ý: Chức năng mã hóa và nén không thể hoạt động cùng nhau. Do đó, chúng ta chỉ được sử dụng
hoặc mã hóa hoặc nén, không thể sử dụng cả hai.
Mã hóa một thư mục, tập tin
Để mã hóa các tập tin hoặc thư mục, hãy tạo một thư mục NTFS, sau đó mã hóa nó trong hộp thoại
Properties của thư mục. Trên tab General, nhấp Advanced, rồi nhấp Encrypt contents to secure data.
Sau khi mã hóa thư mục, các tập tin được lưu trong thư mục đó tự động được mã hóa bằng các khóa mã
hóa tập tin. Các khóa mã hóa tập tin là các khóa nhanh, đối xứng được thiết kế cho việc mã hóa khối
lượng lớn. Windows 2003 mã hóa tập tin trong các khối, với một khóa mã hóa tập tin khác nhau cho từng
khối. Tất cả các khóa mã hóa tập tin được lưu trong Data Decryption Field (DDF) và Data Recovery
Field (DRF) trong phần đầu của tập tin (file header).
Tất cả các tập tin và thư mục con được tạo trong một thư mục mã hóa cũng tự động được mã hóa. Mỗi
tập tin có một khóa mã hóa duy nhất, làm cho việc đổi tên tập tin trở nên an toàn. Khi di chuyển một tập
tin từ một thư mục mã hóa sang một thư mục không mã hóa trên cùng phân vùng, tập tin sẽ vẫn được mã
hóa.
Giải mã một thư mục, tập tin
- 145 -
Khi mở một tập tin mã hóa, EFS tự động phát hiện một tập tin mã hóa và định vị chứng nhận người dùng
cũng như private key liên quan trong phần đầu tập tin. EFS áp dụng private key của chúng ta vào DDF để
mở khóa danh sách các khóa mã hóa tập tin, cho phép hiển thị nội dung tập tin.
Không ai có thể truy cập tập tin mã hóa trừ người có private key. Chỉ người chủ tập tin hay tác nhân phục
hồi mới có thể giải mã tập tin. Điều này vẫn đúng khi các quản trị viên thay đổi quyền hay thuộc tính tập
tin, hoặc chiếm quyền sở hữu tập tin. Thậm chí khi chúng ta sở hữu một tập tin mã hóa, chúng ta không
thể đọc nó trừ khi có private key hoặc chúng ta chính là tác nhân phục hồi.
Lưu ý Không thể chia sẻ một tập tin mã hóa với các người dùng khác.
Phục hồi một tập tin, thư mục mã hóa
Nếu không có private key của chủ nhân, nhân viên đóng vai trò tác nhân phục hồi có thể mở tập tin bằng
private key của anh ta, được áp lên DRF để mở khóa danh sách các khóa mã hóa tập tin. Nếu tác nhân
phục hồi đang sử dụng một máy tính khác trên mạng, chúng ta phải gởi tập tin mã hóa đến cho anh ta.
Tác nhân phục hồi có thể mang private key của anh ta đến máy tính của người sở hữu, nhưng việc sao
chép một private key trên máy khác là không bảo mật.
Thói quen bảo mật tốt là thay đổi các tác nhân phục hồi. Tuy nhiên, khi chỉ định tác nhân thay đổi, truy
cập đến tập tin bị từ chối. Vì lý do này, chúng ta nên giữ các chứng nhận phục hồi (recovery certificate)
và các private key cho đến khi tất cả các tập tin mã hóa bằng chúng được cập nhật.
Để phục hồi một tập tin hay thư mục mã hóa khi đóng vai trò một tác nhân phục hồi, hãy thực hiện các
bước sau:
- 146 -
1. Sử dụng Backup hay công cụ sao lưu khác để phục hồi một phiên bản sao lưu tập tin hay thư mục
mã hóa của người dùng vào máy nơi có chứa chứng nhận phục hồi tập tin.
2. Trong Windows Explorer, mở hộp thoại Properties của tập tin hay thư mục. Trên tab General,
nhấp Advanced.
3. Xóa check box Encrypt contents to secure data.
4. Tạo một bản lưu (backup version) tập tin hay thư mục đã giải mã, rồi trả lại bản sao lưu cho
người dùng.
7.4. Disk Quota

Ngày nay với sự phát triển nhanh chóng của công nghệ thì công nghệ sản xuất ổ cứng (hard Disk) đã đạt
tới một dung lượng rất lớn. Theo như nhà sản xuất ổ cứng hàng đầu trên thế giới như Seagate giới thiệu
vào quí 2 năm 2007 thì dung lượng của ổ cứng đã đạt tới 750 GB. Như vậy máy chủ ngày nay có thể có
một số lượng ổ cứng lớn và dung lượng lớn. Nhưng dung lượng đó không phải là không có giới hạn và
khả năng nâng cấp rất phức tạp như an toàn dữ liệu, ngân sách...Do vậy chúng ta phải khống chế dung
lượng của mỗi user trên máy chủ một cách hợp lý nhằm hạn chế ổ cứng đầy do những user đưa lên máy
chủ những dữ liệu không cần thiết.
Để làm điều đó thì Windows Server cung cấp cho chúng ta một chức năng là Disk Quota để người quản
trị có khả năng kiểm soát được tài nguyên của ổ cứng cũng như kiểm soát được luồng dữ liệu của hệ
thống.
Lưu ý: Disk Quota chỉ sử dụng được trên toàn ổ cứng, tuy nhiên có thể mở rộng thực hiện Quota trên
Folder bằng cách dùng Windows Server 2003 R2.
Xét ví dụ: dùng Disk Quota để khống chế tài khoản An Tran Bao (antb) sử dụng tài nguyên trên máy chủ
với dung lượng tối đa là 100 MB. Nếu sử dụng hết dung lượng này thì sẽ không thể đưa thêm bất cứ data
nào vào máy chủ.
Logon vào máy chủ với tài khoản administrator. Chọn Properties của ổ cứng (ổ C:), vào tab
Quota.
Chọn Enable Quota management:
- 147 -
o Deny disk space to user exceeding quota limit: khóa phần dung lượng còn lại khi user
vượt quá giớn hạn cho phép.
o Limit disk space to: sét mặc định dung lượng cho toàn bộ user.
o Set warning level to: cảnh báo cho người quản tri biết dung lượng sử dụng gần tới hạn
cho phép.
Chọn Quota Entries... để thiết lập Quota cho từng user hay group.
- 148 -
Chọn menu Quota -> New Quota Entry ... để thiết lập quota cho từng user.
Hộp thoại Select users xuất hiện. Chọn user An Tran Bao (antb).
Click OK để chọn user trên. Một hộp thoại Add New Quota Entry xuất hiện. Thiết lập Limit disk
space to: 100MB, set warning level to: 98MB.
- 149 -
Chọn OK. Hộp thoại Quota Entry for Local Disk (C:) xuất hiện thêm tài khoản antb mới thiết lập.
Đóng hộp thoại trên lại. Hộp thoại Properties của ổ cứng trở lại. Check vào mục Deny disk space to
users Exceeding quota limit để vô hiệu hóa user khi quoat đã bị tới hạn cho phép.
Chọn Apply để cập nhật việc chọn quota cho user trên. Một hộp thoại xác nhận việc cho phép dùng
Quota cho user trên. Chọn OK.
Đóng Properties của ổ cứng lại để hoàn tất.

- 150 -
Kiểm tra trên máy Client. Logon Windows XP với tài khoản An Tran Bao (antb). Connect vào máy
chủ bằng lệnh \\192.168.1.1.
Mở thư mục Sharing TranBaoAn. Copy thư mục i386 trên CDROM Windows 2003 vào thư mục
share này.
Một hộp thoại thông báo là không đủ khoảng trống trên Server khi đã sử dụng hết quota.
Kết Luận: Người quản trị phải biết phân bổ dung lượng tài nguyên sử dụng trên mạng một cách hợp lý
nhằm tránh được những user đưa lên Server những tài liệu không cần thiết và tránh tình trạng nghẽn
mạng. (phiên bản Windows 2003 R2 có thể hạn chế Filetype, sử dụng Quotas trên từng Folder)
- 151 -
Tóm tắt:
¾ Static Disk (basic disk): là đĩa có tính lưu trữ trung bình và cung cấp khả năng cấu hình bị giới
hạn. Basic disk là loại đĩa mặc định cho Windows Server 2003. Một basic disk cung cấp cho bạn
những khả năng giới hạn để cài đặt các đĩa cứng của bạn.
¾ Dynamic Disk: là đĩa cung cấp cho bạn nhiều tính năng linh hoạt hơn trong việc cài đặt đĩa
cứng. Dynamic Disk có các ưu điểm sau:
• Một dynamic disk có thể được sử dụng để tạo các volume trải rộng ra nhiều đĩa cứng
• Không có giới hạn về số volume có thể được cấu hình trên một dynamic disk
• Các dynamic disk được sử dụng để tạo ra những đĩa chịu lỗi để bảo toàn dữ liệu khi có lỗi
phần cứng xảy ra.
¾ Simple Volume: Một simple volume là một volume lưu trữ trên dynamic disk. Bạn có thể tạo
simple volume từ khoảng trống chưa cấp phát trên một dynamic disk. Một simple volume tương
đương với một partition, ngoại trừ nó không có kích thước giới hạn như một partition, và cũng
không bị hạn chế số volume mà bạn có thể tạo trên một disk đơn.
¾ Spanned Volume: Một spanned volume là simple volume mà cho phép bạn tạo một volume
logical dựa trên khoảng trống chưa cấp phát sẵn có trên các dynamic disk khác trên máy tính.
Bằng cách sử dụng các spanned volume, bạn có thể sử dụng khoảng trống lưu trữ hiệu quả hơn.
Sau khi một volume được mở rộng, để xoá một thành phần của nó, bạn phải xoá toàn bộ spanned
volume.
¾ Striped Volume: Một striped volume lưu trữ dữ liệu trên hai hay nhiều đĩa bằng cách kết hợp
những vùng trống thành một logical volume trên dynamic disk. Các stripe volume cũng được biết
tới như là RAID 0, chứa dữ liệu được trải ra nhiều dynamic disk trên các ổ riêng biệt riêng biệt.
Những spanned volume không thể là striped. Các volume striped cung cấp sự thực thi tốt nhất
cho tất cả những chiến lược đĩa bởi vì dữ liệu ghi vào một striped volume được ghi đồng thời tới
tất cả các đĩa tại cùng thời điểm đúng hơn là tuần tự. Vì vậy, quá trình thực thi đĩa trên một
striped volume nhanh hơn bất kì loại cấu hình đĩa nào khác.
¾ Backup: Backup là người quản trị thiết lập các dữ liệu để phòng hờ qua một nơi khác, máy tính
khác hoặc qua thiết bị backup chuyên dùng để khi cần thiết thì restore lại để sử dụng.
¾ Restore: Sau khi backup những gì cần thiết. Một lúc nào đó người quản trị cần khôi phục
(restore) lại những dữ liệu đã backup. Việc restore cũng thực hiện bởi phần Backup trên
Windows.
¾ EFS: Hệ thống tập tin mã hóa (Encrypting File System - EFS) cung cấp mã hóa cấp độ
tập tin cho các tập tin NTFS. Kỹ thuật mã hóa EFS dựa trên public key, hoạt động như
một dịch vụ tích hợp vào hệ thống, và phục hồi tập tin bằng tác nhân phục hồi EFS được
chỉ định. EFS cho phép người dùng lưu dữ liệu trên đĩa cứng theo khuôn dạng được mã
hóa. Sau khi người dùng mã hóa tập tin, tập tin sẽ vẫn còn được mã hóa khi nào nó còn
nằm trên đĩa. Các người dùng đơn lẻ có thể sử dụng EFS để mã hóa các tập tin bí mật.
¾ Disk Quota (hạn ngạch đĩa): dùng để quản lý độ tăng dung lượng lưu trữ trong các môi
trường phân tán. Hạn ngạch đĩa cho phép chúng ta cấp phát không gian đĩa khả dụng cho
người dùng dựa trên các tập tin và thư mục họ sở hữu. Hạn ngạch đĩa cho phép chúng ta
kiểm soát lượng không gian đĩa người dùng được cấp để lưu trữ tập tin.
- 152 -
BÀI 8: QUẢN TRỊ SỰ CỐ HỆ THỐNG MÁY CHỦ
Mục tiêu:
¾ Hiểu biết và xử lý sự cố máy chủ
¾ Dùng các phương pháp xử lý lỗi Hệ Điều Hành
¾ Quản trị Windows Update
8.1: Backup và Restore

Chúng ta đã biết một hệ thống có nhiều Server phân cấp trong một domain. Khi máy chủ Second bị hư
hỏng thì vấn đề cài lại máy second là bình thường. Tuy nhiên khi máy chủ bị lỗi thì vấn đề giải quyết
máy chủ PDC như thế nào khi đã cài đặt lại và đưa vào hệ thống đang hoạt động. Bởi lẽ khi cài đặt lại
máy chủ thì máy chủ này sẽ có một ID hoàn toàn khác với máy chủ trước khi bị lỗi và do đó khi đưa máy
chủ vào hệ thống đang hoạt động thì máy chủ Second và các Client sẽ không thể kết nối tới máy chủ
PDC. Vậy hướng giải quyết sẽ ra làm sao?
Backup System State.
Để backup Domain hệ thống người quản trị phải backup trang thái hoạt động của máy chủ (system state).
System state bao gồm các dịch vụ:
• Active Directory.
• Bootfile.
• Registry.
• Sysvol.
• Com+
Logon vào máy chủ SVR1 với quyền administrator. Chọn mục backup là system state.
Hình : Items to Back up

Giả sử Backup vào folder là: “c:\public”. Với tên: backupsystemstate
- 153 -
Hình : Nơi lưu trữ file backup và đặt tên file
Các thao tác trên tương tự như phần Backup.
Hình : Quá trình backup đang hoạt động
Kết luận: Chúng ta đã backup system của Server. Việc backup này nên thực hiện hằng ngày sẽ có nhiều
sự lựa chọn về trạng thái của hệ thống khi restore. Và việc backup nên lưu ở một nơi khác ngoài máy chủ
đang backup.
- 154 -
Restore System State.

Khi máy chủ bị down thì người quản trị phải tách ly máy đó ra khỏi hệ thống mạng. Cài đặt những gì cần
thiết như nâng lên DC, DNS...và quá trình này được thực hiện một cách độc lập, không được gắn dây
mạng vào hệ thống đang hoạt động. Những việc trên đã hoàn tất, bây giờ chúng ta tiến hành restore.
Khởi động máy khi đã qua phần POST của CMOS. Nhấn F8 để xuất hiện phần Boot menu của
Windows.
Hình : Màn hình Safe Mode
Chọn Directory Services Restore Mode (Windows domain Controllers Only). Nhấn Enter. Server sẽ
khởi động vào Windows với chế độ là Safe Mode.
Hình : Windows hoạt động ở chế độ Safe Mode
Vào dịch vụ backup. Chọn restore.
- 155 -
Hình : Restore files and setting
Hộp Thoại What to Restore. Chọn Browser... để tìm file đã backup ở trên. Chọn System state.
Hình : Backup System State
Sau khi chọn Finish. Windows sẽ cảnh báo cho chúng ta biết là có nên ghi đè lên system State hiện
tại hay không?.
- 156 -
Hình : Hoàn tất việc backup system state
Chọn OK để restore lại. Hệ thống bắt đầu restore.
Hình : Quá trình backup đang hoạt động
Sau khi restore hoàn tất. Windows sẽ yêu cầu khởi động lại máy chủ.
Hinh: Thông báo khởi động lại máy
Sau khi khởi động. Chúng ta đưa máy chủ trở lại hệ thống mạng đang hoạt động vì lúc này Server đã trở
lại giống như trước khi máy bị lỗi. Tất cả các DNS, DHCP, User... đều được bảo toàn.
- 157 -
8.2: Triển khai Windows Update

Chú ý: Hiện nay Software Update Services (SUS 1.0), chỉ được Microsoft hỗ trợ đến hết 6.2006. Và sau
thời hạn này chúng ta không còn download được tool này, Microsoft đã đưa ra version mới của SUS gọi
là WSUS, những tổ chức đang sử dụng Microsoft SUS nên tiến hành nâng cấp lên WSUS trước thời hạn
trên.
Có thể tham khảo chi tiết về WSUS và Download tại link sau:
http://www.microsoft.com/windowsserversystem/updateservices/downloads/WSUS.mspx
Cài đặt Microsoft SUS server
Bởi vì Microsoft SUS server không thực sự là một ứng dụng quét trên desktop, mà hơi thiên về một
server tự động làm việc dưới dạng dịch vụ nền (background), như vậy hơi khó khăn cho các Admin một
chút trong việc setup so với các công cụ quản lý vá lỗi khác than other. Tuy nhiên một khi đã set-up hoàn
thành, thì quy trình quản lý vá lỗi sẽ được tự động, và các Admin sẽ được đến bù xứng đáng với công sức
bỏ ra ban đầu.
Để cài đặt Microsoft SUS server (yêu cầu IIS), và cấu hình để kiểm tra các cập nhật. Cũng phải đảm bảo
rằng các máy trạm workstations và servers phải có Windows 2000 SP3, Windows XP SP1 hoặc Windows
.NET, hoặc phải cài Microsoft SUS client. Cần lưu ý rằng Windows NT không được hỗ trợ.
Có thể tiến hành cài từ xa các SUS client software thông qua việc dùng Group Policy dung lượng file cài
đặt chỉ 1 MB. Sau khi cài SUS client trên các máy sẽ làm việc với SUS Server, lại tiếp tục dùng Group
Policy cấu hình cho các SUS client tự động cập nhật các bản vá từ SUS server. Xin nhắc lại các Admin có
thể tham khảo về cách cấu hình này như link đã cung cấp ở trên.
Quản lý Microsoft SUS server
Việc quản lý Microsoft SUS server tất cả thông qua giao diện Web, và cho phép quản lý từ xa. Microsoft
SUS server tiến hành download tất cả updates hoàn toàn tự động và có thể thông báo cho bạn các new
updates qua e-mail. Các New updates có thể được chấp thuận cho triển khai hoặc loại bỏ, đảm bảo rằng
bạn có đầy đủ quyền đối với những gì sẽ được cài đặt trên network. Giao diện quản lý của SUS cũng khá
đơn giản.
- 158 -
Microsoft SUS Client
Một khi đã tiến hành cài đặt cả 2 Microsoft SUS server và Microsoft SUS client, thì tất cả các updates sẽ
được cập nhật tự động. Với quyền administrator cấu hình vấn đề này sẽ xảy ra như thế nào cho thuận tiện
với hiện trạng Network của bạn. Có thể xác lập một lịch biểu cho cập nhật, thậm chí có thể cho phép User
tương tác , hoặc điều khiển trong tiến trình này nếu Admin muốn. Hãy xem hình mô tả, và dĩ nhiên
những lựa chọn này có thể bị Group Policy khóa (locked).
- 159 -
Sau khi đã cấu hình cho Microsoft SUS client, các patches sẽ được triển khai tự động. User sẽ được
thông báo qua message như trên hình.
Những hạn chế của Microsoft SUS Server
Mặc dù có nhiều ưu điểm, nhưng , Microsoft’ SUS vẫn bộc lộ những hạn chế nhất định:
• Không tiến hành cập nhật được các service packs cho Clients; Admin cần tìm giải pháp
khác?
• Chỉ quản lý được các patches ở cấp độ hệ điều hành (và bao gồm các ứng dụng Internet
Explorer và IIS), nhưng để patch các ứng dụng khác như : Microsoft Office, Microsoft
Exchange Server, Microsoft SQL Server, etc, thì không thể
• Yêu cầu dùng Windows 2000 trở lên, không thể patch các hệ thống Windows NT 4 systems.
• Không thể triển khai các bản vá cho 3rd party software.
• Không cho phép quét toàn bộ Network, tìm kiếm những lỗ hỗng chưa vá, Và vì vậy Admin
khó có thể kiểm tra được các bản vá đã cài đặt đúng cách hay chưa. Hệ thống báo cáo vấn
đề này lại không dễ sử dụng.
- 160 -
Và điều này có nghĩa là các Admin sẽ trông đợi vào một giải pháp khác có thể khắc phục được những
nhược điểm trên của SUS. Microsoft không có ý định thêm các tính năng trên, và nếu các Admin muốn
dùng những tính năng trên phải trả phí để dùng một giải páp toàn diện của họ là: Microsoft SMS server .
Và như vậy tính năng chính thích hợp nhất của Microsoft SUS server được sử dụng để vá cho Hệ điều
hành và nên sử dụng thêm các công cụ vá khác nhằm hoàn chỉnh hơn.
8.3: Phương thức xử lý sự cố Server
8.4: Bài tập tình huống
Tóm tắt:
¾ Backup System State: Để backup Domain hệ thống người quản trị phải backup trang
thái hoạt động của máy chủ (system state). System state bao gồm các dịch vụ:
• Active Directory.
• Bootfile.
• Registry.
• Sysvol.
• Com+
¾ Restore System State: Khi máy chủ bị down thì người quản trị phải tách ly máy đó ra
khỏi hệ thống mạng. Cài đặt những gì cần thiết như nâng lên DC, DNS...và quá trình này
được thực hiện một cách độc lập, không được gắn dây mạng vào hệ thống đang hoạt
động. Những việc trên đã hoàn tất, bây giờ chúng ta tiến hành restore.
¾ SUS: là một công cụ để quản lý và phân phối các phần mềm update để giải quyết những lỗ hổng
bảo mật và những vấn đề ổn định trong các hệ điều hành Microsoft Windows 2000, Windows
XP, và Windows Server 2003.
- 161 -

8. Xây Dụng Và Quản Trị Môi Trường Mạng Doanh Nghiệp

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

8. Xây Dụng Và Quản Trị Môi Trường Mạng Doanh Nghiệp

Uploaded by

Copyright:

Available Formats

Quản trị và xây dụng môi trường mạng doanh nghiệp

XÂY DỤNG VÀ QUẢN TRỊ MÔI TRƯỜNG MẠNG DOANH NGHIỆP

BÀI 1: XÂY DỰNG WINDOWS SERVER 2003 ACTIVE DIRECTORY ........ 2

BÀI 1: XÂY DỰNG WINDOWS SERVER 2003 ACTIVE DIRECTORY

¾ Giải thích Forest, Tree, Domain, OU

1.1. Xây dựng Windows Server 2003/2008 Domain Controller (DC)

1.1.1. Cài đặt Windows 2003 Server.

• Windows 2003 Server có bootable.

Hình 1.1: Thông báo Boot CD

Hình 1.2: Windows Setup

Hình 1.3: Welcome to Setup

Hình 1.4 Thoả thuận về bản quyền

Hình 1.5: Chọn Partition để cài đặt Windows

Hình 1.6: Các tùy chọn định dạng Partition

Hình 1.7: Quá trình copy file

Hình 1.8: Tiến trình cài đặt Windows

Hình 1.9: Lựa chọn ngôn ngữ và khu vực

Hình 1.10: Nhập tên và tổ chức

Hình 1.11: Nhập sô CD Key

Hình 1.12: Lựa chọn bản quyền

Hình 1.14: Cài đặt ngày, giờ cho hệ thông

Hình 1.15: Lựa chọn kết nối mạng

Hình 1.16: Lựa chọn Workgroup hay Domain

Hình 1.17: Màn hình logon

Hinh 1.18: Xem thuộc tính hệ thống

1.1.2. Cài đặt RAID trên Windows 2003.

Hình 1.25: Cài đặt Windows trên đĩa RAID

Hình 1.27: Cài đặt driver cho đĩa cứng RAID

Hình 1.28: Driver RAID đã được cài đặt

Hình 1.29: Lựa chọn partition để cài đặt windows

1.1.3. Nâng cấp Server thành Domain Controller.

Cài đặt Domain Controller.

1.2. Gia nhập Client vào Domain (Join vào Domain)

Chọn Properties của Local area Connection

Chọn Internet Protocol (TCP/IP), sau đó click vào Properties.

Điền vào IP trùng với lớp mạng của máy chủ:

Gõ tên domain ispace.com.vn vào mục Domain. Click OK

Điền user name và password của administrator vào mục permission.

1.4. Bài tập tình huống

¾ Các phiên bản của Windows Server 2003:

¾ Các phiên bản của Windows Server 2008:

¾ Hiểu biết User, Group, Computer

2.1. Giới thiệu tài khoản

2.2. Quản trị User

Hình : Active directory Users and Computers

Cách 1: Vào Action Æ new Æ user.

Hình : New User

Hình : Nhập thông tin User

Hình : Nhập Password và các tùy chọn cho user

Trong phần Password:

Password Nhập password theo ý quản trị

Hình : Quá trình tạo user hoàn thành

Hình : Thông báo lỗi do đặt Password không hợp lệ

Hình : Chọn Domain Security Policy

Hình : Password Policy

Hình : Thay đổi Password Policy

Hình : Cấm chế độ password phức tạp

Hình : Cập nhật Policy vừa thay đổi

Hình 3.12: Quá trình tạo user hoàn tất

Hình 3.14: Thuộc tính General của user

Account properties Discriptions

Hình : Thuộc tính Account của user

Hình : Thời gian Logon của user

Hình : Thời gian sử dụng Account