Đồ án mạng-Tìm hiểu hệ thống domain controler trên Windows Server 2003

Buôn Ma Thuột - 10/2014

SỞ GIÁO DỤC ĐÀO TẠO

TRƯỜNG TRUNG CẤP TÂY NGUYÊN

ĐỒ ÁN

CHUYÊN ĐỀ MẠNG

Giảng viên : Nguyễn Trần Hồng Quân

Sinh viên : Trịnh Văn Long

Lớp : CNTT 7A

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

1

Đăk Lăk, ngày 23 tháng 10 năm 2014

Giáo viên

Nguyễn Trần Hồng Quân

I. Table of Contents

Chương 1. CƠ SỞ LÍ THUYẾT 3

II. Mạng máy tính 3

1. Mô hình Workgroup 3

2. Mô hình Domain 4

3. Active Directory 4

Kiến trúc của Active Directory..................................................................................6

4. DNS 9

4.1. Giới thiệu DNS...................................................................................................9

4.2. Đặt điểm của DNS trong Windows 2003.........................................................11

4.3. Cơ chế phân giải tên..........................................................................................11

5. Tổng quát về DHCP 13

5.1. Giới thiệu dich vụ DHCP..................................................................................13

5.2. Hoạt động của giao thức DHCP........................................................................13

6. Tài khoản người dùng 14

6.1. Tài khoản người dùng (user account)...............................................................14

6.2. Tài khoản người dùng cục bộ (local user account)...........................................14

6.3. Tài khoản người dùng miền (Domain user account)........................................14

6.4. Tài khoản nhóm................................................................................................15

6.5. Quản lí tài khoản người dùng và nhóm trên ACTIVE DIRECTORY..............15

7. Chính sách hệ thống 20

7.1. Chính sách tài khoản người dùng.....................................................................20

7.2. Chính sách mật khẩu.........................................................................................21

7.3. Chính sách khóa tài khoản................................................................................21

8. Chính sách cục bộ 22

8.1. Chính sách kiểm toán (Audit Policies).............................................................22

8.2. Các lựa chọn trong chính sách kiểm toán:........................................................22

2

8.3. Quyền hệ thống của người dùng (User Rights Assignment)............................23

8.4. Các lựa chọn bảo mật (Security Options).........................................................24

9. Chính sách nhóm 25

9.1. So sánh giữa System Policy và Group Policy...................................................25

9.2. Chức năng của Group Policy............................................................................25

9.3. Chia sẻ thư mục dùng chung.............................................................................26

9.4. Các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm........27

10. Quyền truy cập NTFS 29

10.1. Các công cụ phân quyền NTFS......................................................................30

10.2. Kế thừa và thay thế quyền của đối tượng con.................................................31

Chương 2. NỘI DUNG ĐỒ ÁN 32

A. ĐỀ 32

B. THỰC HIỆN 34

1. Đặt địa chỉ IP và đặt tên 34

2. Cài đặt DNS trên Server 35

3. Cài đặt dịch vụ DHCP45

4. Lên Domain controler 50

5. Join máy client vào hệ thống Domain 54

6. Câu 1 : Tạo các object và đưa các user vào nhóm tương ứng 57

7. Câu 2 : Roaming Profile cho các user “Sếp”. Thư mục chứa roaming profile tên là “Profiles”. 58

8. Câu 3 : Tạo cây thư mục và phân quyền 60

9. Câu 4 : Deploy phần mềm Microsoft Office cho các user trong OU KeToan 70

10. Câu 5 : Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử dụng (Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password. 73

11. Câu 6 : Delegate Control cho phép kt1 được quản lý user account trong OU KeToan 78

12. Câu 7 : Delegate Control cho phép ns1 được quản lý user account và group trong OU NhanSu 80

3

13. Câu 8: Map Network Driver Folder Data bằng Script cho các user thuộc OU Kế toan81

14. Câu 9: Giám sát quá trình logon không thành công của các user 83

15. Câu 10: Giám sát quá trình truy cập vào Folder DataKeToan của các user trong OU KeToan 84

TÀI LIỆU THAM KHẢO 87

4

Chương 1. CƠ SỞ LÍ THUYẾT

II. Mạng máy tính

Mạng máy tính hay hệ thống mạng (tiếng Anh: computer network hay network system) là sự kết hợp các máy tính lại với nhau thông qua các thiết bị nối kết mạng và phương tiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo một cấu trúc nào đó và các máy tính này trao đổi thông tin qua lại với nhau.

Lợi ích của mạng máy tính

Nhiều người có thể dùng chung một phần mềm tiện ích. Một nhóm người cùng thực hiện một đề án nếu nối mạng họ sẽ dùng chung dữ

liệu của đề án, dùng chung tập tin chính (master file) của đề án, họ trao đổi thông tin với nhau dễ dàng.

Dữ liệu được quản lý tập trung nên bảo mật an toàn, trao đổi giữa những người sử dụng thuận lợi, nhanh chóng, backup dữ liệu tốt hơn.

Sử dụng chung các thiết bị máy in, máy scaner, đĩa cứng và các thiết bị khác. Người sử dụng và trao đổi thông tin với nhau dễ dàng thông qua dịch vụ thư điện

tử (Email), dịch vụ Chat, dịch vụ truyền file (FTP), dịch vụ Web,... Xóa bỏ rào cản về khoảng cách địa lý giữa các máy tính trong hệ thống mạng

muốn chia sẻ và trao đổi dữ liệu với nhau. Một số người sử dụng không cần phải trang bị máy tính đắt tiền (chi phí thấp mà

chức năng lại mạnh). Cho phép người lập trình ở một trung tâm máy tính này có thể sử dụng các

chương trình tiện ích, vùng nhớ của một trung tâm máy tính khác đang rỗi để làm tăng hiệu quả kinh tế của hệ thống.

An toàn cho dữ liệu và phần mềm vì nó quản lý quyền truy cập của các tài khoản người dùng (phụ thuộc vào các chuyên gia quản trị mạng)

Các mô hình mạng trong môi trường MICROSOFT

1. Mô hình WorkgroupMô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau. Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên cục bộ của mình. Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng. Mô hình này chỉ phù hợp với các mạng nhỏ, dưới mười máy tính và yêu cầu bảo mật không cao.

5

http://vi.m.wikipedia.org/wiki/Ti%E1%BA%BFng_Anh

Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng lưu trữ thông tin người dùng trong một tập tin SAM (Security Accounts Manager) ngay chính trên máy tính cục bộ. Thông tin này bao gồm: username (tên đăng nhập), fullname, password, description… Tất nhiên tập tin SAM này được mã hóa nhằm tránh người dùng khác ăn cấp mật khẩu để tấn công vào máy tính. Do thông tin người dùng được lưu trữ cục bộ trên các máy trạm nên việc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tự chứng thực.

2. Mô hình DomainKhác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế client-server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng. Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền. Mô hình này được áp dụng cho các công ty vừa và lớn. Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT. Tập tin cơ sở dữ liệu này được xây dựng theo công nghệ tương tự như phần mềm Access của Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũ chỉ lưu trữ được khoảng 5 nghìn tài khoản người dùng. Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực.

3. Active Directory Active Directory là một dịch vụ quản lý thư mục có thể chứa các thông tin về các máy tính trong mạng, người dùng mạng, máy in, ứng dụng trên mạng,.... Bằng cách lưu trữ thông tin trong một thư mục trung tâm nên tất cả các tài nguyên này đều có thể được sử dụng chung đối với tất cả mọi người ở mọi thời điểm. Mô hình Domain (Miền) là một kiến trúc thư mục có phân cấp các tài nguyên – Active Directory – và được sử dụng bởi tất cả các hệ thống là thành viên của Miền. Các hệ thống này có thể sử dụng các tài khoản người dùng, nhóm và máy tính trong trong thư mục để bảo mật các tài nguyên của chúng. Do đó Active Directory đóng vai trò như một trung tâm lưu trữ nhận thực, cung cấp một danh sách tin cậy chỉ ra “ai là ai” trong Miền. Bản thân Active Directory đóng vai trò là một cơ sở dữ liệu, nó chứa một danh sách các thành phần hỗ trợ, bao gồm cả các nhật ký giao dịch (transaction log) và dữ liệu hệ thống (sysvol), ở đây chứa các thông tin về kịch bản đăng nhập và chính sách nhóm. Active Directory sử dụng giao thức LDAP (Lightweight Directory Access Protocol), giao thức bảo mật Kerberos, các chu trình đồng bộ dữ liệu và dịch vụ đồng bộ file FRS (File Replication Service).

6

Chính sách nhóm (Group Policy) Do cách thức thừa hưởng các thiết lập từ đối tượng mức cha truyền xuống mức con, người quản trị có thể sử dụng các OU để gom các đối tượng cần cấu hình tương tự nhau. Các thiết lập cấu hình mà được áp dụng đến từng máy tính chạy Windows cũng có thể quản trị một cách tập trung nhờ sử dụng một tính năng của Active Directory gọi là chính sách nhóm (Group Policy). Các chính sách nhóm cho phép xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành và cách thức hoạt động của các ứng dụng trên một máy tính mà không cần thiết phải thực hiện trực tiếp trên máy tính cần thiết lập. Việc thiết lập các tùy chọn cấu hình trên một đối tượng đặc biệt của Active Directory gọi là đối tượng chính sách nhóm GPO (Group Policy Object) sau đó kết nối các GPO này vào các đối tượng trong Active Directory chứa các máy tính hoặc người dùng muốn áp dụng.

Hệ thống xác thực tập trung là ứng dụng trung gian, hoạt động như một dịch vụ, kiểm tra tính hợp lệ và quyền truy cập của người dùng đối với các ứng dụng và các tài nguyên trên mạng. - Cổng thông tin điện tử đóng vai trò cổng vào tập trung, thống nhất đối với tất cả các ứng dụng, tài nguyên trên mạng. b) Các chính sách bảo mật máy trạm

Thiết lập các quyền truy cập tài nguyên mạng theo chức năng nhiệm vụ cho từng nhóm đối tượng. - Các máy trạm khai thác số liệu kinh doanh chỉ được quyền sử dụng ứng dụng cho phép, không được quyền cài đặt bất kỳ phần mềm nào khác. - Triển khai từ xa các phần mềm ứng dụng cho các máy trạm. - Triển khai từ xa các phần mềm anti-virus cho các máy trạm, đồng thời thực hiện việc rà quét từ xa.

Kiểm soát tình trạng kết nối của các máy trạm. - Kiểm soát tình trạng đăng nhập, sử dụng tài nguyên của người dùng.

Kiến trúc của Active Directory bao gồm Objects, Organizational Units, Domain , Domain Tree, Forest

7

Kiến trúc của Active Directory

1) Objects

Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes. Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các loại đối tượng mà bạn có thể tạo ra trong Active Directory. Có ba loại object classes thông dụng là: User, Computer, Printer. Khái niệm thứ hai là Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể. Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của object classes. Ví dụ hình sau minh họa hai đối tượng là: máy in ColorPrinter1 và người dùng KimYoshida.

2) Organizational Units

Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công dụng chính sau:

8

- Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống.

- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO), các chính sách nhóm này chúng ta sẽ tìm hiểu ở các chương sau.

3) Domain

Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau: - Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác.

- Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.

- Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau.

4) Domain Tree

Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain. Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục. Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện.

9

5) Forest

Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. Ví dụ giả sử một công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác. Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng và để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng.

Trong ví dụ trên, công ty mcmcse.com thu mua được techtutorials.com và xyzabc.com và hình thành rừng từ gốc mcmcse.c

6) Domain Controller

10

Domain Controller là hệ thống máy chủ được thiết lập để quản lý một Domain. Một Domain có thể có nhiều Domain Controller. Một máy chủ để trở thành Domain Controller bắt buộc phải cài đặt và khởi tạo Active Directory. Domain Controller quản lý Domain của mình thông qua Active Directory đó,tính hoặc các nhóm khác, độc lập trong cấu trúc của Active Directory. Các nhóm có thể chứa các đối tượng từ các OU và các Miền. Thư mục chia sẻ: cung cấp các truy nhập dựa trên Active Directory đến một thư mục chia sẻ trong một máy tính Windows. Máy in: Cung cấp các truy nhập mạng dựa trên Active Directory đến một máy in trong một máy tính Windows. Mỗi đối tượng Active Directory có chứa một tập hợp các thuộc tính, chính là các thông tin về đối tượng đó. Ví dụ, đối tượng người dùng sẽ có các thuộc tính mô tả tên tài khoản, mật khẩu, địa chỉ, số điện thoại,…; Một đối tượng nhóm sẽ có các thuộc tính cho biết danh sách người dùng là thành viên của nhóm đó,… Bên cạnh các thuộc tính thuần túy thông tin, các đối tượng còn có các thuộc tính thực hiện các chức năng quản trị, ví dụ như một Danh sách kiểm soát truy nhập ACL (Access Control List) chỉ định những ai được phép truy cập đến đối tượng đó.

4. DNS

4.1. Giới thiệu DNS

Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin, dữ liệu cho nhau cần phải biết rõ địa chỉ IP của nhau. Nếu số lượng máy tính nhiều thì việc nhớ những địa chỉ IP này rất là khó khăn.

Mỗi máy tính ngoài địa chỉ IP ra còn có một tên (hostname). Đối với con người việc nhớ tên máy dù sao cũng dễ dàng hơn vì chúng có tính trực quan và gợi nhớ hơn địa chỉ IP. Vì thế, người ta nghĩ ra cách làm sao ánh xạ địa chỉ IP thành tên máy tính.

Ban đầu do quy mô mạng ARPA NET (tiền thân của mạng Internet) còn nhỏ chỉ vài trăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lưu thông tin về ánh xạ tên máy thành địa chỉ IP. Trong đó tên máy chỉ là 1 chuỗi văn bản không phân cấp (flat name). Tập tin này được duy trì tại 1 máy chủ và các máy chủ khác lưu giữ bản sao của nó. Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOSTS.TXT có các nhược điểm như sau:

- Lưu lượng mạng và máy chủ duy trì tập tin HOSTS.TXT bị quá tải do hiệu ứng “cổ chai”.

- Xung đột tên: Không thể có 2 máy tính có cùng tên trong tập tin HOSTS.TXT . Tuy nhiên do tên máy không phân cấp và không có gì đảm bảo để ngăn chặn việc tạo 2 tên trùng nhau vì không có cơ chế uỷ quyền quản lý tập tin nên có nguy cơ bị xung đột tên.

11

- Không đảm bảo sự toàn vẹn: việc duy trì 1 tập tin trên mạng lớn rất khó khăn. Ví dụ như khi tập tin HOSTS.TXT vừa cập nhật chưa kịp chuyển đến máy chủ ở xa thì đã có sự thay đổi địa chỉ trên mạng rồi.

Tóm lại việc dùng tập tin HOSTS.TXT không phù hợp cho mạng lớn vì thiếu cơ chế phân tán và mở rộng. Do đó, dịch vụ DNS ra đời nhằm khắc phục các nhược điểm này. Người thiết kế cấu trúc của dịch vụ DNS là Paul Mockapetris - USC's Information Sciences Institute, và các khuyến nghị RFC của DNS là RFC 882 và 883, sau đó là RFC 1034 và 1035 cùng với 1 số RFC bổ sung như bảo mật trên hệ thống DNS, cập nhật động các bản ghi DNS …

Lưu ý: Hiện tại trên các máy chủ vẫn sử dụng được tập tin hosts.txt để phân giải tên máy tính thành địa chỉ IP (trong Windows tập tin này nằm trong thư mục WINDOWS\system32\drivers\etc)

Dịch vụ DNS hoạt động theo mô hình Client-Server: phần Server gọi là máy chủ phục vụ tên hay còn gọi là Name Server, còn phần Client là trình phân giải tên - Resolver. Name Server chứa các thông tin CSDL của DNS, còn Resolver đơn giản chỉ là các hàm thư viện dùng để tạo các truy vấn (query) và gửi chúng qua đến Name Server. DNS được thi hành như một giao thức tầng Application trong mạng TCP/IP. DNS là 1 CSDL phân tán. Điều này cho phép người quản trị cục bộ quản lý phần dữ liệu nội bộ thuộc phạm vi của họ, đồng thời dữ liệu này cũng dễ dàng truy cập được trên toàn bộ hệ thống mạng theo mô hình Client-Server. Hiệu suất sử dụng dịch vụ được tăng cường thông qua cơ chế nhân bản (replication) và lưu tạm (caching). Một hostname trong domain là sự kết hợp giữa những từ phân cách nhau bởi dấu chấm(.).

Cơ sở dữ liệu(CSDL) của DNS là một cây đảo ngược. Mỗi nút trên cây cũng lại là gốc của 1 cây con. Mỗi cây con là 1 phân vùng con trong toàn bộ CSDL DNS gọi là 1 miền (domain). Mỗi domain có thể phân chia thành các phân vùng con nhỏ hơn gọi là các miền con (subdomain). Mỗi domain có 1 tên (domain name). Tên domain chỉ ra vị trí của nó trong CSDL DNS. Trong DNS tên miền là chuỗi tuần tự các tên nhãn tại nút đó đi ngược lên nút gốc của cây và phân cách nhau bởi dấu chấm. Tên nhãn bên phải trong mỗi domain name được gọi là top-level domain. Trong ví dụ trước srv1.csc.hcmuns.edu.vn, vậy miền “.vn” là top-level domain. Bảng sau đây liệt kê top-level domain.

Tên miền Mô tả

com Các tổ chức, công ty thương mại

.org Các tổ chức phi lợi nhuận

12

.net Các trung tâm hỗ trợ về mạng

.edu Các tổ chức giáo dục

.gov Các tổ chức thuộc chính phủ

.mil Các tổ chức quân sự

.int Các tổ chức được thành lập bởi các hiệp ước quốc tế

Vì sự quá tải của những domain name đã tồn tại, do đó đã làm phát sinh những top-level domain mới. Bảng sau đây liệt kê những top-level domain mới.

Tên miền Mô tả

. arts Những tổ chức liên quan đến nghệ thuật và kiến trúc

.nom Những địa chỉ cá nhân và gia đình

.rec Những tổ chức có tính chất giải trí, thể thao

.firm Những tổ chức kinh doanh, thương mại.

.info Những dịch vụ liên quan đến thông tin.

Bên cạnh đó, mỗi nước cũng có một top-level domain. Ví dụ top-leveldomain của Việt Nam là .vn, Mỹ là .us, ta có thể tham khảo thêm thông tin địa chỉ tên miền tại địa chỉ: http://www.thrall.org/domains.htm

Ví dụ về tên miền của một số quốc gia.

Tên miền quốc gia Tên quốc gia

.vn Việt Nam

.us Mỹ

.uk Anh

.jp Nhật Bản

.cn Trung Quốc

… …

4.2. Đặt điểm của DNS trong Windows 2003.

13

- Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải dựa theo tên domain trong yêu cầu truy vấn. - Stub zone: hỗ trợ cơ chế phân giải hiệu quả hơn. - Đồng bộ các DNS zone trong Active Directory (DNS zone replication in Active Directory). - Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống Windows trước đây. - Luân chuyển (Round robin) tất cả các loại RR. - Cung cấp nhiêu cơ chế ghi nhận và theo dõi sự cố lỗi trên DNS.

- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính năng bảo mật cho việc lưu trữ và nhân bản (replicate) zone. - Cung cấp tính năng EDNS0 (Extension Mechanisms for DNS) để cho phép DNS Requestor quản bá những zone transfer packet có kích thước lớn hơn 512 byte.

4.3. Cơ chế phân giải tên.

Phân giải tên thành IP

Root name server : Là máy chủ quản lý các name server ở mức top-level domain. Khi có truy vấn về một tên miền nào đó thì Root Name Server phải cung cấp tên và địa chỉ IP của name server quản lý top-level domain (Thực tế là hầu hết các root server cũng chính là máy chủ quản lý top-level domain) và đến lượt các name server của top-level domain cung cấp danh sách các name server có quyền trên các second-level domain mà tên miền này thuộc vào. Cứ như thế đến khi nào tìm được máy quản lý tên miền cần truy vấn. Qua trên cho thấy vai trò rất quan trọng của root name server trong quá trình phân giải tên miền. Nếu mọi root name server trên mạng Internet không liên lạc được thì mọi yêu cầu phân giải đều không thực hiện được.

Client sẽ gửi yêu cầu cần phân giải địa chỉ IP của máy tính có tên girigiri.gbrmpa.gov.au đến name server cục bộ. Khi nhận yêu cầu từ Resolver, Name Server cục bộ sẽ phân tích tên này và xét xem tên miền này có do mình quản lý hay không. Nếu như tên miền do Server cục bộ quản lý, nó sẽ trả lời địa chỉ IP của tên máy đó ngay cho Resolver. Ngược lại, server cục bộ sẽ truy vấn đến một Root Name Server gần nhất mà nó biết được. Root Name Server sẽ trả lời địa chỉ IP của Name Server quản lý miền au. Máy chủ name server cục bộ lại hỏi tiếp name server quản lý miền au và được tham chiếu đến máy chủ quản lý miền gov.au. Máy chủ quản lý gov.au chỉ dẫn máy name server cục bộ tham chiếu đến máy chủ quản lý miền gbrmpa.gov.au. Cuối cùng máy name server cục bộ truy vấn máy chủ quản lý miền gbrmpa.gov.au và nhận được câu trả lời.

Các loại truy vấn : Truy vấn có thể ở 2 dạng :

- Truy vấn đệ quy (recursive query) : khi name server nhận được truy vấn dạng này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này không phân giải được. Name server không thể tham chiếu truy vấn đến một name server khác.

14

Name server có thể gửi truy vấn dạng đệ quy hoặc tương tác đến name server khác nhưng phải thực hiện cho đến khi nào có kết quả mới thôi.

- Truy vấn tương tác (Iteractive query): khi name server nhận được truy vấn dạng này, nó trả lời cho Resolver với thông tin tốt nhất mà nó có được vào thời điểm lúc đó. Bản thân name server không thực hiện bất cứ một truy vấn nào thêm. Thông tin tốt nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache). Trong trường hợp name server không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của name server gần nhất mà nó biết.

Phân giải IP thành tên máy tính

Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịch các tập tin log cho dễ đọc hơn. Nó còn dùng trong một số trường hợp chứng thực trên hệ thống UNIX (kiểm tra các tập tin .rhost hay host.equiv). Trong không gian tên miền đã nói ở trên dữ liệu -bao gồm cả địa chỉ IP- được lập chỉ mục theo tên miền. Do đó với một tên miền đã cho việc tìm ra địa chỉ IP khá dễ dàng. Để có thể phân giải tên máy tính của một địa chỉ IP, trong không gian tên miền người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mục theo địa chỉ IP. Phần không gian này có tên miền là in- addr.arpa.

Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập phân của địa chỉ IP. Ví dụ miền in- addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ 0 đến 255 của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256 subdomain con nữa ứng với byte thứ hai. Cứ như thế và đến byte thứ tư có các bản ghi cho biết tên miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng.

L ưu ý khi đọc tên miền địa chỉ IP sẽ xuất hiện theo thứ tự ngược. Ví dụ nếu địa chỉ IP của máy winnie.corp.hp.com là 15.16.192.152, khi ánh xạ vào miền in-addr.arpa sẽ là 152.192.16.15.in- addr.arpa.

5. Tổng quát về DHCP

5.1. Giới thiệu dich vụ DHCP

- Dịch vụ DHCP cho phép chúng ta cấp động các thông số cấu hình mạng cho các máy trạm (client). Các hệ điều hành của Microsoft và các hệ điều hành khác như Unix hoặc Macintosh đều hỗ trợ cơ chế nhận các thông số động, có nghĩa là trên các hệ điều hành này phải có một DHCP Client.

- Cơ chế sử dụng các thông số mạng được cấp phát động có ưu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng như:

Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ thống mạng.

15

Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP thật (Public IP).

Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng.

Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot như: nhà ga, sân bay, trường học…

5.2. Hoạt động của giao thức DHCP

Giao thức DHCP làm việc theo mô hình client/server. Theo đó, quá trình tương tác giữa DHCP client và server diễn ra theo các bước sau:

- Khi máy client khởi động, máy sẽ gửi broadcast gói tin DHCPDISCOVER, yêu cầu một server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của máy client.

- Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu còn khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê một địa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet mask và địa chỉ của Server. Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho những Client khác trong suốt quá trình thương thuyết.

- Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCPOFFER) và gửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị đó. Điều này cho phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng đề cấp phát cho Client khác.

- Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCPACK như là một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó và thời hạn cho sử dụng đó sẽ chính thức được áp dụng. Ngoài ra Server còn gửi kèm theo những thông tin cấu hình bổ sung như địa chỉ của gateway mặc định, địa chỉ DNS Server, …

6. Tài khoản người dùng6.1. Tài khoản người dùng (user account)

Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép.

6.2. Tài khoản người dùng cục bộ (local user account)

16

Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ. Bạn tạo tài khoản người dùng cục bộ với công cụ Local Users and Group trong Computer Management (COMPMGMT.MSC).

Các tài khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager). Tập tin SAM này được đặt trong thư m ục \Windows\system32\config.

6.3. Tài khoản người dùng miền (Domain user account)

Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. Bạn tạo tài khoản người dùng miền với công cụ Active Directory Users and Computer (DSA.MSC). Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS.

Yêu cầu về tài khoản người dùng.

- Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự).

- Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau.

- Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >

- Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới. Tuy nhiên, nên tránh các khoảng trắng vì những tên như thế phải đặt trong dấu ngoặc khi dùng các kịch bản hay dòng lệnh.

6.4. Tài khoản nhóm

Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được

17

chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution group).

6.5. Quản lí tài khoản người dùng và nhóm trên ACTIVE DIRECTORY

a) Tạo mới tài khoản người dùng

Bạn có thể dùng công cụ Active Directory User and Computers trong Administrative Tools ngay trên máy Domain Controller để tạo các tài khoản người dùng miền. Công cụ này cho phép bạn quản lý tài khoản người dùng từ xa thậm chí trên các máy trạm không phải dùng hệ điều hành Server như WinXP, Win2K Pro. Muốn thế trên các máy trạm này phải cài thêm bộ công cụ Admin Pack. Bộ công cụ này nằm trên Server trong thư mục \Windows\system32\ADMINPAK.MSI. Tạo một tài khoản người dùng trên Active Directory, ta làm các bước sau: Chọn Start > Programs > Administrative Tools > Active Directory Users and Computers. Cửa sổ Active Directory Users and Computers xuất hiện, bạn nhấp phải chuột vào mục Users, chọn New > Use

Hộp thoại New Object-User xuất hiện như hình sau, bạn nhập tên mô tả người dùng, tên tài khoản logon vào mạng. Giá trị Full Name sẽ tự động phát sinh khi bạn nhập giá trị First Name và Last Name, nhưng bạn vẫn có thể thay đổi được. Chú ý: giá trị quan trọng nhất và bắt buộc phải có là logon name (username). Chuỗi này là duy nhất cho một tài khoản người dùng theo như định nghĩa trên phần lý thuyết. Trong môi trường Windows 2000 và 2003, Microsoft đưa thêm một khái niệm hậu tố UPN (Universal Principal Name), trong ví dụ này là “@netclass.edu.vn”. Hậu tố UPN này gắn vào sau chuỗi username dùng để tạo thành một tên username đầy đủ dùng để chứng thực ở cấp rừng hoặc chứng thực ở một miền khác có quan hệ tin cậy với miền của người dùng đó, trong ví dụ này thì tên username đầy đủ là “[email protected]”. Ngoài ra trong hộp thoại này cũng cho phép chúng ta đặt tên username của tài khoản người dùng phục vụ cho hệ thống cũ (pre-Windows 2000). Sau khi việc nhập các thông tin hoàn thành bạn nhấp chuột vào nút Next để tiếp tục.

18

Hộp thoại thứ hai xuất hiện, cho phép bạn nhập vào mật khẩu (password) của tài khoản người dùng và đánh dấu vào các lựa chọn liên quan đến tài khoản như: cho phép đổi mật khẩu, yêu cầu phải đổi mật khẩu lần đăng nhập đầu tiên hay khóa tài khoản. Các lựa chọn này chúng ta sẽ tìm hiểu chi tiết ở phần tiếp theo.

Hộp thoại cuối cùng xuất hiện và nó hiển thị các thông tin đã cấu hình cho người dùng. Nếu tất cả các thông tin đã chính xác thì bạn nhấp chuột vào nút Finish để hoàn thành, còn nếu cần chỉnh sửa lại thì nhấp chuột vào nút Back để trở về các hộp thoại trước.

19

b) Các thuộc tính của tài khoản người dùng

Muốn quản lý các thuộc tính của các tài khoản người ta dùng công cụ Active Directory Users and Computers sau đó chọn thư mục Users và nhấp đôi chuột vào tài khoản người dùng cần khảo sát. Hộp thoại Properties xuất hiện, trong hộp thoại này chứa 12 Tab chính, ta sẽ lần lượt khảo sát các Tab này.

20

Tab General

Tab General chứa các thông tin chung của người dùng trên mạng mà bạn đã nhập trong lúc tạo người dùng mới. Đồng thời bạn có thể nhập thêm một số thông tin như: số điện thoại, địa chỉ mail và trang địa chỉ trang Web cá nhân

Tab Address

Tab Address cho phép bạn có thể khai báo chi tiết các thông tin liên quan đến địa chỉ của tài khoản người dùng như: địa chỉ đường, thành phố, mã vùng, quốc gia…

Tab Telephones

Tab Telephones cho phép bạn khai báo chi tiết các số điện thoại của tài khoản người dùng.

Tab Organization

Tab Organization cho phép bạn khai báo các thông tin người dùng về: chức năng của công ty, tên phòng ban trực thuộc, tên công ty …

Tab Account

Tab Account cho phép bạn khai báo lại username, quy định giờ logon vào mạng cho người dùng, quy định máy trạm mà người dùng có thể sử dụng để vào mạng, quy định các chính sách tài khoản cho người dùng, quy định thời điểm hết hạn của tài khoản…

Chọn lựa máy trạm được truy cập vào mạng: bạn nhấp chuột vào nút Log On To, bạn sẽ thấy hộp thoại Logon Workstations xuất hiện. Hộp thoại này cho phép bạn chỉ định người dùng có thể logon từ tất cả các máy tính trong mạng hoặc giới hạn người dùng chỉ được phép logon từ một số máy tính trong mạng. Ví dụ như người quản trị mạng làm việc trong môi trường bảo mật nên tài khoản người dùng này chỉ được chỉ định logon vào mạng từ một số máy tránh tình trạng người dùng giả dạng quản trị để tấn công mạng. Muốn chỉ định máy tính mà người dùng được phép logon vào mạng, bạn nhập tên máy tính đó vào mục Computer Name và sau đó nhấp chuột vào nút Add.

Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản người dùng:

Tùy Chọn Ý Nghĩa

User must change password at next logon

Người dùng phải thay đổi mật khẩu lần đăng nhập kế tiếp, sau đó mục này sẽ tự động bỏ chọn.

User cannot change password Nếu được chọn thì ngăn không cho người

21

dùng tùy ý thay đổi mật khẩu.

Password never expiresNếu được chọn thì mật khẩu của tài khoản này không bao giờ hết hạn.

Store password using reversible encryption

Chỉ áp dụng tùy chọn này đối với người dùng đăng nhập từ các máy Apple.

Account is disabledNếu được chọn thì tài khoản này tạm thời bị khóa, không sử dụng được.

Smart card is required for interactive login

Tùy chọn này được dùng khi người dùng đăng nhập vào mạng thông qua một thẻ thông minh (smart card), lúc đó người dùng không nhập username và password mà chỉ cần nhập vào một số PIN.

Account is trusted for delegation

Chỉ áp dụng cho các tài khoản dịch vụ nào cần giành được quyền truy cập vào tài nguyên với vai trò những tài khoản người dùng khác

Account is sensitive and cannot be delegated

Dùng tùy chọn này trên một tài khoản khách vãng lai hoặc tạm để đảm bảo rằng tài khoản đó sẽ không được đại diện bởi một tài khoản khác

Use DES encryption types for this account

Nếu được chọn thì hệ thống sẽ hỗ trợ Data Encryption Standard (DES) với nhiều mức độ khác nhau.

Do not require Kerberos preauthentication

Nếu được chọn hệ thống sẽ cho phép tài khoản này dùng một kiểu thực hiện giao thức Kerberos khác với kiểu của Windows Server 2003

Tab Profile

Tab Profile cho phép bạn khai báo đường dẫn đến Profile của tài khoản người dùng hiện tại, khai báo tập tin logon script được tự động thi hành khi người dùng đăng nhập hay khai báo home folder. Chú ý các tùy chọn trong Tab Profile này chủ yếu phục vụ cho

22

các máy trạm trước Windows 2000, còn đối với các máy trạm từ Win2K trở về sau như: Win2K Pro, WinXP, Windows Server 2003 thì chúng ta có thể cấu hình các lựa chọn này trong Group Policy.

Tab Member Of.

Tab Member Of cho phép bạn xem và cấu hình tài khoản người dùng hiện tại là thành viên của những nhóm nào. Một tài khoản người dùng có thể là thành viên của nhiều nhóm khác nhau và nó được thừa hưởng quyền của tất cả các nhóm này

Tab Dial-in

Tab Dial-in cho phép bạn cấu hình quyền truy cập từ xa của người dùng cho kết nối dial-in hoặc VPN, chúng ta sẽ khảo sát chi tiết ở chương Routing and Remote Access.

7. Chính sách hệ thống7.1. Chính sách tài khoản người dùng

Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì bạn sẽ thấy hai mục Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì bạn sẽ thấy ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003 cho phép bạn quản lý chính sách tài khoản tại hai cấp độ là: cục bộ và miền.

Muốn cấu hình các chính sách tài khoản người dùng ta vào Start > Programs > Administrative Tools > Domain Security Policy hoặc Local Security Policy.

7.2. Chính sách mật khẩu

Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của người dùng để trách các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu…

Các lựa chọn trong chính sách mật mã:

Chính sách Mô tả

Enforce Password History Số lần đặt mật mã không được trùng nhau

Maximum Password Age Quy định số ngày nhiều nhất mà mật mã người

23

dùng có hiệu lực

Minimum Password AgeQuy số ngày tối thiểu trước khi người dùng có thể thay đổi mật mã.

Minimum Password Length Chiều dài ngắn nhất của mật mã

Passwords Must Meet Complexity Requirements

Mật khẩu phải có độ phức tạp như: có ký tự hoa, thường, có ký số.

Store Password Using Reversible Encryption for All Users in the Domain

Mật mã người dùng được lưu dưới dạng mã hóa

7.3. Chính sách khóa tài khoản

Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa.

Các thông số cấu hình chính sách khóa tài khoản:


Account Lockout ThresholdQuy định số l ần cố g ắng đăng nhập trước khi tài khoản bị khóa

Account Lockout Duration Quy định thời gian khóa tài khoản

Reset Account Lockout Counter After

Quy định thời gian đếm lại số l ần đăng nhập không thành công

8. Chính sách cục bộChính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật.

8.1. Chính sách kiểm toán (Audit Policies)

24

Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng. Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer, trong mục Security.

8.2. Các lựa chọn trong chính sách kiểm toán:


Audit Account Logon Events

Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ thống sẽ ghi nhận khi người dùng logon, logoff hoặc tạo một kết nối mạng

Audit Account Management

Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có sự thay đổi thông tin hay các thao tác quản trị liên quan đến tài khoản người dùng.

Audit Directory Service Access

Ghi nhân việc truy cập các dịch vụ thư mục

Audit Logon EventsGhi nhân các sự kiện liên quan đến quá trình logon như thi hành một logon script hoặc truy cập đến một roaming profile.

Audit Object AccessGhi nhận việc truy cập các tập tin, thư mục, và máy tin

Audit privilege use

Ghi nhận các thay đổi trong chính sách kiểm toán Hệ thống sẽ ghi nhận lại khi bạn bạn thao tác quản trị trên các quyền hệ thống như cấp hoặc xóa quyền của một ai đó.

Audit process trackingKiểm toán này theo dõi hoạt động của chương trình hay hệ điều hành.

Audit system eventHệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hoặc tắt máy.

8.3. Quyền hệ thống của người dùng (User Rights Assignment)

25

Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho người dùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho người dùng. Cách thứ nhất bạn đã biết sử dụng ở chương trước, chỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn thì bạn có thể gán quyền cho người dùng theo yêu cầu. Để cấp quyền hệ thống cho người dùng theo theo cách thứ hai thì bạn phải dùng công cụ Local Security Policy (nếu máy bạn không phải Domain Controller) hoặc Domain Controller Security Policy (nếu máy bạn là Domain Controller). Trong hai công cụ đó bạn mở mục Local Policy\ User Rights Assignment.

Để thêm, bớt một quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào quyền hạn được chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách người dùng và nhóm hiện tại đang có quyền này. Bạn có thể nhấp chuột vào nút Add để thêm người dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove để xóa người dùng khỏi danh sách. Ví dụ minh họa sau là bạn cấp quyền thay đổi giờ hệ thống (change the system time) cho người dùng “Tuan”.

Danh sách một số quyền hệ thống cấp cho người dùng và nhóm:


Access This Computer from the Network

Cho phép người dùng truy cập máy tính thông qua mạng. Mặc định mọi người đều có quyền này

Change the System Time

Cho phép người dùng thay đổi giờ hệ thống của máy tính.

Deny Access to This Computer from the Network

Cho phép bạn khóa người dùng hoặc nhóm không được truy cập đến các máy tính trên mạn

Force Shutdown from a Remote System

Cho phép người dùng shut down hệ thống từ xa thông qua mạngForce Shutdown from a Remote System

Shut Down the System Cho phép người dùng shut down cục bộ

8.4. Các lựa chọn bảo mật (Security Options)

Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người

26

dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest). Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất nhiều lựa chọn bảo mật, nhưng trong giáo trình này chúng ta chỉ khảo sát các lựa chọn thông dụng.

Một số lựa chọn bảo mật thông dụng:


Shutdown: allow system to be shut down without having to log on

Cho phép người dùng shutdown hệ thống mà không cần logon.

Audit : audit the access of global system objects

Giám sát việc truy cập các đối tượng hệ thống toàn cục

Network security: force logoff when logon hours expires.

Tự động logoff khỏi hệ thống khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn.

Interactive logon: do not require CTRL+ALT+DEL

Không yêu cầu ấn ba phím CTRL+ALT+DEL khi logon.

Interactive logon: do not display last user name

Không hiển thị tên người dùng đã logon trên hộp thoại Logon

Account: rename administrator account

Cho phép đổi tên tài khoản Administrator thành tên mới

9. Chính sách nhóm

9.1. So sánh giữa System Policy và Group Policy.

- Chính sách nhóm chỉ xuất hiện trên miền Active Directory , nó không tồn tại trên miền NT4.

- Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống. Tất nhiên chính sách nhóm chứa tất cả các chức năng của chính sách hệ thống và hơn thế nữa, bạn có thể dùng chính sách nhóm để triển khai một phần mềm cho một hoặc nhiều máy một cách tự động. - Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống.

- Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống. Các chính sách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào mạng thôi. Các chính sách

27

nhóm thì được áp dụng khi bạn bật máy lên, khi đăng nhập vào một cách tự động vào những thời điểm ngẫu nhiên trong suốt ngày làm việc.

- Bạn có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc từng nhóm đối tượng.

- Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy Win2K, WinXP và Windows Server 2003.

9.2. Chức năng của Group Policy

- Triển khai phần mềm dụng: bạn có thể gom tất cả các tập tin cần thiết để cài đặt một phần mềm nào đó vào trong một gói (package), đặt nó lên Server, rồi dùng chính sách nhóm hướng một hoặc nhiều máy trạm đến gói phần mềm đó. Hệ thống sẽ tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cần sự can thiệp nào của người dùng.

- Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng của chính sách hệ thống. Nó có thể cấp cho một hoặc một nhóm người nào đó có quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu…

- Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thể kiểm soát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy được một vài ứng dụng nào đó thôi như: Outlook Express, Word hay Internet Explorer. - Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định hạn ngạch đĩa cho một người dùng nào đó. Người dùng này chỉ được phép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định.

- Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 và Windows Server 2003 thì hỗ trợ cả bốn sự kiện này được kích hoạt (trigger) một kịch bản (script). Bạn có thể dùng các GPO để kiểm soát những kịch bản nào đang chạy.

- Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng GPO để gỡ bỏ nhiều tính năng khỏi Internet Explorer, Windows Explorer và những chương trình khác.

- Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ bỏ hầu hết các đề mục trên menu Start của một người dùng nào đó, ngăn chặn không cho người dùng cài thêm máy in, sửa đổi thông số cấu hình của máy trạm

Tạo và quả lí thư mục dùng chung

9.3. Chia sẻ thư mục dùng chung

28

Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truy xuất và sử dụng thông qua mạng. Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong Explorer bạn nhầp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing.

Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share Permissions. Share Permissions chỉ có hiệu lực khi người dùng truy cập qua mạng chứ không có hiệu lực khi người dùng truy cập cục bộ. Khác với NTFS Permissions là quản lý người dùng truy cập dưới cấp độ truy xuất đĩa.

Trong hộp thoại Share Permissions, chứa danh sách các quyền sau:

- Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ.

- Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ.

- Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ.

Bạn muốn cấp quyền cho người dùng thì nhấp chuột vào nút Add

Hộp thoại chọn người dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào các tài khoản người dùng và nhóm cần chọn, sau đó chọn OK

9.4. Các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm

Lệnh net user

Chức năng: tạo, xóa và hiển thị các tài nguyên chia sẻ.

29

Cú pháp:

net share sharename

net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"]

net share sharename [/users:number | unlimited] [/remark:"text"]

net share {sharename | drive:path} /delete

Ý nghĩa các tham số:

- [Không tham số]: hiển thị thông tin về tất cả các tài nguyên chia sẻ trên máy tính cục bộ

- [Sharename]: tên trên mạng của tài nguyên chia sẻ, nếu dùng lệnh net share với một tham số sharename thì hệ thống sẽ hiển thị thông tin về tài nguyên dùng chung này.

- [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ.

- [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tài nguyên dùng chung này.

- [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài nguyên dùng chung này.

- [/remark:"text"]: thêm thông tin mô tả về tài nguyên này.

- /delete: xóa thuộc tính chia sẻ của thư mục hiện tại.

Lệnh net group

Chức năng: tạo mới thêm, hiển thị hoặc hiệu chỉnh nhóm Cú pháp:

net group [groupname [/comment:"text"]] [/domain] net group groupname {/add [/comment:"text"] | /delete} [/domain] net group groupname username[ ...] {/add | /delete} [/domain]

Ý nghĩa các tham số: - Không tham số: dùng để hiển thị tên của Server và tên của các nhóm trên Server đó. - [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa. - [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài đến 48 ký tự. - [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng. Tham số này chỉ áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành viên của máy Windows 2000 Server domain.

30

- [username[ ...]]: danh sách một hoặc nhiều người dùng cần thêm hoặc xóa ra khỏi nhóm, các tên này cách nhau bởi khoảng trắng. - [/add]: thêm một nhóm hoặc thêm một người dùng vào nhóm. - [/delete]: xóa một nhóm hoặc xóa một người dùng khỏi nhóm.

Lệnh net localgroup

Chức năng: thêm, hiển thị hoặc hiệu chỉnh nhóm cục bộ Cú pháp:

net localgroup [groupname [/comment:"text"]] [/domain] net localgroup groupname {/add [/comment:"text"] | /delete} [/domain] net localgroup groupname name [ ...] {/add | /delete} [/domain]

Ý nghĩa các tham số: - Không tham số: dùng hiển thị tên server và tên các nhóm cục bộ trên máy tính hiện tại. - [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa. - [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài đến 48 ký tự. - [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng. Tham số này chỉ áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành viên của máy Windows 2000 Server domain. - [name [ ...]]: danh sách một hoặc nhiều tên người dùng hoặc tên nhóm cần thêm vào hoặc xóa khỏi nhóm cục bộ. Các tên này cách nhau bởi khoảng trắng. - [/add]: thêm tên một nhóm toàn cục hoặc tên người dùng vào nhóm cục bộ. - [/delete]: xóa tên một nhóm toàn cục hoặc tên người dùng khỏi nhóm cục bộ.

Các lệnh hỗ trợ dịch vụ Active Driectory trong môi trường Windows Server 2003

Dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào trong dịch vụ Directory.

Dsrm: xóa một đối tượng trong dịch vụ Directory. Dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụ

Directory. Dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact,

group, ou, server hoặc user trong một dịch vụ Directory. Dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trong

một dịch vụ Directory. Dsquery: truy vấn các thành phần trong dịch vụ Directory.

Ví dụ:

31

o Tạo một user mới: dsadd user “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” –samid hv10 –pwd 123

o Xóa một user: dsrm “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn”

o Xem các user trong hệ thống: dsquery user o Gia nhập user mới vào nhóm: dsmod group “CN=hs, CN=Users,

DC=netclass, DC=edu, DC=vn” –addmbr “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn”

10. Quyền truy cập NTFS Có hai loại hệ thống tập được dùng cho partition và volume cục bộ là FAT (bao gồm FAT16 và FAT32). FAT partition không hỗ trợ bảo mật nội bộ, còn NTFS partition thì ngược lại có hỗ trợ bảo mật; có nghĩa là nếu đĩa cứng của bạn định dạng là FAT thì mọi người đều có thể thao tác trên các file chứa trên đĩa cứng này, còn ngược lại là định dạng NTFS thì tùy theo người dùng có quyền truy cập không, nếu người dùng không có quyền thì không thể nào truy cập được dữ liệu trên đĩa. Hệ thống Windows Server 2003 dùng các ACL (Access Control List) để quản lý các quyền truy cập của đối tượng cục bộ và các đối tượng trên Active Directory. Một ACL có thể chứa nhiều ACE (Access Control Entry) đại điện cho một người dùng hay một nhóm người.

10.1. Các công cụ phân quyền NTFS

- Tất cả quyền truy nhập cơ sở của NTFS là :

Traverse folder/execute file (đi xuyên qua folder / thi hành file). List folder/read data (hiện thư mục, đọc dữ liệu). Read attributes (đọc thuộc tính). Read extended attributes (đọc thuộc tính mở rộng). Create files/write data (tạo file, viết dữ liệu). Create folders/append data (tạo folder, nối dữ liệu). Write attributes (viết thuộc tính). Cho phép thay đổi các thuộc tính của file và folder. Write extended attributes (viết thuộc tính mở rộng). Delete subfolders and files (xóa folder con và file). Delete (xóa). Read permissions (đọc quyền). Change permissions (đổi quyền). Take ownership (đoạt chủ quyền).

32

- Khi phân quyền cho một folder, quyền đã phân sẽ có thể sẽ áp dụng lên cả các folder con và file bên trong, việc này gọi là thừa kế. Việc thừa kế thực hiện theo một trong sáu kiểu sau đây.

This folder only (chỉ folder này thôi). Quyền chỉ áp dụng cho folder này, không thừa kế.

This folder, subfolders and files (folder này, các folder con và các file). Quyền áp dụng cho folder này, các folder con và các file. Thừa kế toàn phần.

This folder and subfolders (folder này và các folder con). Quyền áp dụng cho folder này và các folder con. Các folder con thừa kế.

This folder and files (folder này và các file). Quyền áp dụng cho folder này và các file. Các file thừa kế.

Subfolders and files only (các folder con và các file thôi). Quyền áp dụng chỉ cho các folder con và các file. Thừa kế toàn phần ngoại trừ bản thân.

Subfolders only (chỉ các folder con thôi). Quyền áp dụng chỉ cho các folder con. Các folder thừa kế ngoại trừ bản thân.

10.2. Kế thừa và thay thế quyền của đối tượng con.

Trong hộp thoại chính trên, chúng ta có thể nhấp chuột vào nút Advanced để cấu hình chi tiết hơn cho các quyền truy cập của người dùng. Khi nhấp chuột vào nút Advanced, hộp thoại Advanced Security Settings xuất hiện, trong hộp thoại, nếu bạn đánh dấu vào mục Allow inheritable permissions from parent to propagate to this object

33

and child objects thì thư mục hiện tại được thừa hưởng danh sách quyền truy cập từ thư mục cha, bạn muốn xóa những quyền thừa hưởng từ thư mục cha bạn phải bỏ đánh dấu này. Nếu danh sách quyền truy cập của thư mục cha thay đổi thì danh sách quyền truy cập của thư mục hiện tại cũng thay đổi theo.

Ngoài ra nếu bạn đánh dấu vào mục Replace permission entries on all child objects with entries shown here that apply to child objects thì danh sách quyền truy cập của thư mục hiện tại sẽ được áp dụng xuống các tập tin và thư mục con có nghĩa là các tập tin và thư mục con sẽ được thay thế quyền truy cấp giống như các quyền đang hiển thị trong hộp thoại.

34

Chương 2. NỘI DUNG ĐỒ ÁN

A. ĐỀHọ tên sinh viên :

Lớp :

A. Chuẩn bị:

- Sử dụng phần mềm tạo máy ảo VirtualBox. Cài đặt hệ điều hành Windows Server2k3 cho máy Server. Máy Client cài đặt hệ điểu hành Windows Server2k3 (hoặc Windows XP)

- Đặt địa chỉ IP cho máy SERVER ở mạng 192.168.1.X/24 (X: là số đề); đặt tên máy Server và tên Domain theo qui tắc sau: Ví dụ tên thí sinh dự thi tốt nghiệp là Lê Văn Khoa thì đặt tên máy là LVKSERVER và tên Domain là LVK.NET

- Nâng cấp máy Server lên Domain Controller

- Cài đặt và cấu hình dịch vụ DHCP trên máy Server

- Máy Client nhận IP được cấp từ DHCP Server.

- Máy Client Join domain vào máy Server

B. THỰC HIỆN

1. Tạo các object và đưa các user vào nhóm tương ứng (Lưu ý: Các đối tượng OU, Group, User được tạo bằng lệnh Dsadd và lưu và file *.bat)

35

Đề 3

2. Roaming Profile cho các user “Sếp”. Thư mục chứa roaming profile tên là “Profiles”.

3. Tạo hệ thống thư mục trên máy DC và phân quyền, share.

- Share cây thư mục sao cho các quyền đã cấp vẫn duy trì khi user truy cập qua mạng.

- Điều chỉnh quyền sao cho các user chỉ có thể xóa dữ liệu của nhau

4. Deploy phần mềm Microsoft Office cho các user trong OU KeToan

5. Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử dụng (Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password.

Cấm các user thuộc OU NhanSu sử dụng chương trình Notepad

Lưu ý: cấu hình sao cho GPO này không tác động lên các user “Sếp”.

6. Delegate Control cho phép kt1 được quản lý user account trong OU KeToan

7. Delegate Control cho phép ns1 được quản lý user account và group trong OU NhanSu

8. Map Network Driver Folder Data bằng Script cho các user thuộc OU Kế toán

9. Giám sát quá trình logon không thành công của các user

10. Giám sát quá trình truy cập vào Folder DataKeToan của các user trong OU KeToan

HẾT

36

B. THỰC HIỆN 1. Đặt địa chỉ IP và đặt tênMáy Server

Máy Client

2. Cài đặt DNS trên ServerThêm dịch vụ DNS

Vào Start > Control Panel > Add or Romove Programs

37

Chọn Add/Remove Windows Components > Networking Services > Click Details…

Click chọn Domain Name System (DNS) > OK > Next > Chọn nút Finish để hoàn tất quá trình cài đặt.

Lưu ý: bạn phải đảm bảo có đĩa CD Windows 2003 trên máy

Cấu hình dịch vụ DNS

Cài Forward Lookup Zone : Forward Lookup Zone để phân giải địa chỉ Tên máy (hostname) thành địa chỉ IP. Để tạo zone này ta thực hiện các bước sau:

38

Vào Start > Administrative Tools > DNS Cick chuột phải chọn Forward Lookup Zones >New Zone > Next

Tại bảng Zone Type chọn Primary zone để cấu hình DNS Server chính > click next

Nhập tên Domain vào ô Zone name >Click Next

39

Từ hộp thoại Zone File, ta có thể tạo file lưu trữ cơ sở dữ liệu cho Zone(zonename.dns) hay ta có thể chỉ định Zone File đã tồn tại sẳn (tất cả các file này được lưu trữ tại %systemroot%\system32\dns),Để mặc định chọn Next

Chọn dòng 2 để cho phép cập nhật chỉnh sửa > Next

40

Xác nhận lại thông tin , nhấn Finish

Click chuột phải lên Zone vừa tạo chọn New Host

41

Gõ tên host vào mục Name, gõ địa chỉ IP vào mục IP address. Nếu muốn tạo ra một bản ghi DNS phân giải ngược tương ứng thì đánh dấu chọn Create associated pointer (PTR) record

Tạo Reverse Lookup Zone

42

Sau khi ta hoàn tất quá trình tạo Zone thuận ta sẽ tạo Zone nghịch (Reverse Lookup Zone) để hỗ trợ cơ chế phân giải địa chỉ IP thành tên máy(hostname). Để tạo Reverse Lookup Zone ta thực hiện trình tự các bước sau:

Click chuột phải lên Reverse Lockup Zone > New Zone > Click Next

Trong hộp thoại Zone Type Chọn Primary zone > Next

43

Nhập Network ID > Next

Click Next

45

Chọn Allow both nonsecure and secure dynamic updates

Chọn Allow both nonsecure dynamic updates > Next >Xác nhận lại thông tin click Finish

Click chuột phải chọn New Pointer (PTR)

46

Nhập phần Host IP và Brower Host name > OK

Để kiểm tra cài đặt DNS vào cmd nhập “nsloockup”

Một vài tập lệnh của công cụ nslookup.

>set type=<RR_Type>

Trong đó <RR_Type> là loại RR mà ta muốn kiểm tra, sau đó gõ tên của RR hoặc tên miền cần kiểm tra

>set type=any: Để xem mọi thông tin về RR trong miền, sau đó ta gõ <domain name> để xem thông tin về các RR như A, NS, SOA, MX của miền này.

47

3. Cài đặt dịch vụ DHCPVào Manager Your Server > Chọn Add or remove a role

Chọn dịch vụ DHCP Server > Next

48

Hộp thoại Scope Name, điền tên của scope vào mục Name và nhấn Next

Nhập vùng IP muốn cấp phát > Next

49

Nhập vùng IP không muốn cấp phát > Next

Lựa chọn thời hạn sử dụng IP của máy Client > Next

Chọn dòng đầu để cấu hình ngay dịch vụ DHCP > Next

50

Trong hộp thoại Router (Default Gateway), bạn cho biết địa chỉ IP của default gatewaymà các máy DHCP Client sẽ sử dụng và nhấn Add. Sau đó nhấn Next.

Trong hộp thoại bạn sẽ cho biết tên domain mà các máy DHCP client sẽ sử dụng, đồng Domain Name and DNS Server, thời cũng cho biết địa chỉ IP của DNS Server dùng phân giải tên. Sau khi đã cấu hình xong, nhấn Next để tiếp tục.

51

Cài đặt dịch vụ WINS Server > Next

Clik next để khởi động ngay dịch vụ DHCP > Next > Finish để kết thúc

Kiểm tra

Trên máy Client, sau khi reset lại mạng, IP sẽ được cấp mới tự động

52

4. Lên Domain controler Chọn menu Start > Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK. Khi đó

hộp thoại Active Directory Installation Wizard xuất hiện. Bạn nhấn Next để tiếp tục.

Trong hộp thoại Domain Controller Type, chọn mục Domain Controller for a New Domain và nhấn chọn Next. (Nếu bạn muốn bổ sung máy điều khiển vùng vào một domain có sẵn, bạn sẽ chọn Additional domain cotroller for an existing domain )

Chọn dòng 1 > Next

Đến đây chương trình cho phép bạn chọn một trong ba lựa chọn sau: chọn Domain in new forest nếu bạn muốn tạo domain đầu tiên trong một rừng mới, chọn Child domain in an existing domain tree nếu bạn muốn tạo ra một domain con dựa trên một cây domain có sẵn, chọn Domain tree in an existing forest nếu bạn muốn tạo ra một cây domain mới trong một rừng đã có sẵn.

53

Chọn dòng 1 > Next > Next

Hộp thoại New Domain Name nhập tên DNS đầy đủ của domain

Để mặc định nhấn Next

54

Tuỳ chọn nơi lưu database Active Directory và các tập tin log> Next

Hộp thoại Shared System Volume cho phép bạn chỉ định ví trí của thư mục SYSVOL. Tất cả dữ liệu đặt trong thư mục Sysvol này sẽ được tự động sao chép sang các Domain Controller khác trong miền

Hai bước tiếp theo nên để mặc định nhấn Next

55

Trong hộp thoại Directory Services Restore Mode Administrator Password, bạn sẽ chỉ định mật khẩu dùng trong trường hợp Server phải khởi động vào chế độ Directory Services Restore Mode. Nhấn chọn Next để tiếp tục.

Xác nhận các thông tin trên trang Summary và kích Next

56

Click Finish để kết thúc

Sau khi khởi động lại máy quá trình lên Domain sẽ hoàn tất

5. Join máy client vào hệ thống DomainMột máy trạm gia nhập vào một domain thực sự là việc tạo ra một mối quan hệ tin cậy (trust relationship) giữa máy trạm đó với các máy Domain Controller trong vùng. Sau khi đã thiết lập quan hệ tin cậy thì việc chứng thực người dùng logon vào mạng trên máy trạm này sẽ do các máy điều khiển vùng đảm nhiệm. Nhưng chú ý việc gia nhập một máy trạm vào miền phải có sự đồng ý của người quản trị mạng cấp miền và quản trị viên cục bộ trên máy trạm đó. Nói cách khác khi bạn muốn gia nhập một máy trạm vào miền, bạn phải đăng nhập cục bộ vào máy trạm với vai trò là administrator, sau đó gia nhập vào miền, hệ thống sẽ yêu cầu bạn xác thực bằng một tài khoản người dùng cấp miền có quyền Add Workstation to Domain (bạn có thể dùng trực tiếp tài khoản administrator cấp miền).

Các bước cài đặt.

Kiểm tra kết nối đến máy chủ vào cmd gõ Ping 192.168.1.3 nếu kết nối thành công sẽ có thông báo “Reply”

57

Click chuột phải lên My Computer chọn Properties > chọn Tab Computer name > Change được như hình bên dưới > chọn More

Trong hộp thoại DNS Suffix nhập tên domain > OK

58

Trong Member of chọn Domain và nhập tên domain trừ phần đuôi > OK

Nhập tài khoản người dùng cấp miền có quyền quản trị > OK

Nếu join vào domain thành công sẽ có thông báo như bên dưới

59

Sau khi xác thực chính xác và hệ thống chấp nhận máy trạm này gia nhập vào miền thì hệ thống xuất hiện thông báo thành công và yêu cầu bạn reboot máy lại để đăng nhập vào mạng

Trong hộp thoại Log on to Windows chọn TVL để đăng nhập vào miền ,còn nếu bạn logon cục bộ chọn mục This Computer

6. Câu 1 : Tạo các object và đưa các user vào nhóm tương ứngTrước tiên cần cài đặt lại chính sách Passwork để có thể nhập được mật khẩu 123

-Vào Administrator tool > Domain Security policy >Tìm đến mục Password policy Chọn Minium passwork length là 0 ,và Password must meet complety requiment là Disable, Store Password Using Reversible Encryption for All Users in the Domain l à Enable

-Vào Run gõ gpupdate /force để cập nhật lại các chính sách

60

Tạo mới 1 file text có nội dung như bên dưới , sau đó đổi đuôi .txt thành .bat

Và đây là kết quả sau khi chạy file .bat,các user đã được tạo thành công

7. Câu 2 : Roaming Profile cho các user “Sếp”. Thư mục chứa roaming profile tên là “Profiles”.

Tạo thư mục tên là Profile và Share với quyền full control

61

Trong mục Active diretory users and Computers ,Click chuột phải lên kt1 (sếp kế toán) > chọn Properties

Tìm đến Tab Profile ,trong mục Profile path nhập như hình bên dưới >Apply> OK

Làm tương tự đối với ns1 (sếp nhân sự)

Vào thư mục profile kiểm tra có hai thư mục KT1 va NS1 được tạo sau khi kt1 và ns1 đăng nhập như vậy quá trình tạo profile đã thành công

62

8. Câu 3 : Tạo cây thư mục và phân quyềnTạo thư mục Data và share với quyền full control

Điều chỉnh quyền read cho tất cả user và full control cho administrator

Vào Tab Security chọn Advanced

63

Bỏ chọn dòng đầu (bỏ chọn thuộc tính kế thừa) > click Copy > OK

Chọn Users và chọn Remove để không làm ảnh hưởng tới qua trình phân quyền

Click chọn add và thêm Nvienkt,Nvienns,sepkt,sepns với quyền Read

64

Vào trong thư mục data thêm thư mục DataChung > click Advanced

Bỏ chọn Allow inkeritable permissions from the parent to propagete to this oject and child ojcect where with enties explecety define here >Copy

Phân quyền full control cho tất cả user click vào Nvienkt

65

Điều chỉnh cho các user không thể xoá dữ liệu của nhau ta bỏ chọn Delete Subfolder and Files và Delete

Làm tương tự cho NvienNS,sepKT,sepNS

Tạo thư mục DataKeToan ,phân quyền cho user kế toán full control , user nhân sự không có quyền nào

Tạo Thư mục DataKeToan trong Data Vào Tab Security > Andvanced

66


Chọn user NvienKT Cấp quyền full control

để các user không thể xoá dữ liệu của nhau bỏ chọn delete Subfolder and files và Delete > OK

Làm tương tự đối với SepKT

67

Không cấp quyền cho user trong NvienNS > Nvienns

Deny full control

Làm tương tự cho SepNS

68

Phân quyền cho user nhân sự full control và user kế toán không có quyền

Vào thư mục Data tạo thư mục DataNhanSu Chọn tab security > Advanced


69

Chọn group NvienNS > full control

Để các user không thể xoá dữ liệu của nhau bỏ chọn delete Subfolder and files và Delete > OK

Làm tương tự với SepNS

70

Không phân quyền cho user kế toán

chọn NvienKT > deny full control > OK Làm tương tự cho SepKT

71

Kiểm tra

Đăng nhập bằng tài khoản KT1 Vào thư mục DataNhanSu hệ thống từ chối truy cập

Thử xoá dữ liệu do nhân sự tạo ra

Làm tương tự với user trong NvienNS

Đăng nhập NS1

72

Truy cập DataKeToan

Thử xoá dữ liệu do kế toan tạo ra

9. Câu 4 : Deploy phần mềm Microsoft Office cho các user trong OU KeToanVào Active diretory users and Computers > Click lên OU KeToan > tab Group Policy > new policy > edit

73

Tìm đến mục user configuration > sofware installion > new > Package

Trong file name nhập đường dẫn như hình

74

Trong Select deployment method ,Chọn advanced > OK

Chọn Assigned và Install this application at logon (cài đặt phần mềm khi logon) Run gõ gpupdate /force

75

Kiểm tra : Đăng nhập với tài khoản KT1 > Vào Add or Remote Programs

Phần mềm office đã được cài đặt

10. Câu 5 : Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử dụng (Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password.


Lưu ý: cấu hình sao cho GPO này không tác động lên các user “Sếp”.

Cấm các user thuộc OU KeToan truy cập Control Panel

Vào Active Directory users and computers

Click chuột phải lên OU KeToan ,chọn properties

Chọn Tab Group Policy >New GP Click edit

76

User Configurations > Control panel > Prohibit Access to the Control Panel > Enable

Run gõ gpupdate /force

Không được sử dụng (Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password.

User Configurations > System > Ctrl + Alt +Del option

Remove Task manager >Enable Remove Lock Computer >Enable Remove Change Passwork > Enable Run gõ gpupdate /force

77

Kiểm tra control panel , Task manager, Lock conputer, Change Password.

Điều chỉnh các chính sách không tác động lên KT1 (sếp)

Click lên chính sách > Properties

Tab Security > add KT1 (sếp) Denny quyền read , allow quyền

Apply Group Policy

78


Click chuột phải lên OU NhanSu ,chọn properties

tab Group Policy > new GP> edit

Chọn User Configurations > System >Dont run spectified Windows applications >Enable

Chọn Show > Add > nhập tên chương trình cầm cấm sử dụng

79

Điều chỉnh để chính sách không tác động lên NS1 (sếp)

Click chuột phải lên chính sách chọn Properties

Tab security > add ns1 > Deny read và allow Applly Group Policy

80

11. Câu 6 : Delegate Control cho phép kt1 được quản lý user account trong OU KeToan

Click lên OU KeToan >Chọn Delegate Control > Next

81

Chọn add KT1 > Next

Click chọn

+Cread,delete and manager users account

82

12. Câu 7 : Delegate Control cho phép ns1 được quản lý user account và group trong OU NhanSu

Chọn Nhansu properties > Delegate Control > Next

Add NS1 > Next

83

Click chọn

+Cread,delete and manager users account

+ Cread,delete and manager group

13. Câu 8: Map Network Driver Folder Data bằng Script cho các user thuộc OU Kế toan

Chọn ketoan > properties > new >edit

84

Chọn User configrations > Script > logon

Chọn Show Files

Tạo file .bat với nội dung như hình

Click Add > chọn file .bat > Ok Run gõ gpupdate /force

85

Kiểm tra: đăng nhập với tài khoản kt1 ,vào My Computer ổ điã map được tạo tự động

14. Câu 9: Giám sát quá trình logon không thành công của các userChọn vào Administrator > Domain Controller security policy

86

Local policy > Audit Policy > Audit account logon events > Failure Làm tương tự cho Domain Security Local > Local policy > Audit Policy > Audit

account logon events > Failure Run gõ gpupdate /force

Kiểm tra :

KT1 đăng nhập trên máy Client sai password Trên máy server Administrator tool > events view > security > click vào dòng sự

kiện muốn xem

87

15. Câu 10: Giám sát quá trình truy cập vào Folder DataKeToan của các user trong OU KeToan

Chọn vào Administrator > Domain Controller security policy

88

Chọn Local policy > Audit Policy > Audit oject access > Chọn success and failure Làm tương tự cho Domain Security Local > Local policy > Audit Policy > Audit

oject access > Chọn success and failure Run gõ gpupdate /force (cập nhạt lại chính sách)

89

Tiếp theo vào thư mục DataKeToan ,click chuột phải chọn Security> advanced Chọn Tab Auditing > Add > Thêm NvienKT và chọn thể loại cần giám sát > OK

Kiểm tra : Sau khi KT1 truy cập vào DataKeToan trên máy Client> Trên máy server vào Administrator tool > Event Viewer

Kết quả

90

TÀI LIỆU THAM KHẢO

1. Robbie Allen - Active Directory Cookbook, 2003.2. Tài liệu “Phương án triển khai domain cho mạng VNPT” của nhóm bảo mật

CDiT. 3. http://www.quantrimang.com.vn4. http://vi.m.wikipedia.org/wiki/DHCP5. http://vi.m.wikipedia.org/wiki/DNS6. http://vi.m.wikipedia.org/wiki/Mạng_máy_tính7. Giáo Trình Windows Server 2003 của Sybex. 8. Các giáo trình MCSE của Microsoft. 9. Các tài liệu trên website http://support.microsoft.com/winsrv200310. Quản trị Windows Server 2003 của tác giả Trần Văn Thành, tái bản lần thứ 2,

nhà xuất bản Đại Học Quốc Gia Tp.HCM.

91

http://support.microsoft.com/winsrv2003

Đồ án mạng-Tìm hiểu hệ thống domain controler trên Windows Server 2003

Documents

Transcript of Đồ án mạng-Tìm hiểu hệ thống domain controler trên Windows Server 2003