1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Quản trị mạng doanh nghiệp

92 8 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Quản Trị Mạng Doanh Nghiệp
Tác giả Phan Thị H-ơng
Người hướng dẫn Ths. Nguyễn Quang Ninh
Trường học Trường Đại Học Vinh
Chuyên ngành Công Nghệ Thông Tin
Thể loại Đồ án tốt nghiệp
Năm xuất bản 2009
Thành phố Vinh
Định dạng
Số trang 92
Dung lượng 2,93 MB

Cấu trúc

  • CHƯƠNG II acTIVE DIRECTORY và các giao thức dhcp dns trong (7)
    • 1.1. Các phiên bản của họ Hệ Điều Hành (HĐH) Windows Server 2003 (7)
    • 1.2. Những điểm mới của HĐH Windows Server 2003 (7)
    • 1.3. Yêu cầu phần cứng cài đặt các phiên bản Windows Server 2003 (7)
    • 2.1. Giới thiệu về Active Directory (8)
    • 2.2. Các đối t-ợng trong Active Directory (9)
    • 2.3. Các kỹ thuật đ-ợc hỗ trợ bởi Active Directory (9)
    • 2.4. Cấu Trúc Logic của AD (Active Directory) (10)
    • 2.5. Cấu trúc vật lý của AD (Active Directory) (11)
    • 2.6. Cài đặt Active Directory (12)
    • 3.1. Giới thiệu về DNS (29)
    • 3.2. Giải pháp đổi tên (Name Resolution) (30)
    • 3.3. DNS §éng (Dynamic DNS) (31)
    • 3.4. Cài đặt và cấu hình DNS (31)
    • 4.1. Giới thiệu về dịch vụ DHCP (38)
    • 4.2. Quá trình cấp phát động của dịch vụ DHCP (38)
    • 4.3. TiÕn tr×nh thay míi (Lease Renewal Process) (39)
    • 4.4. Phạm vi cấp phát (40)
    • 4.5. Cài đặt và cấu hình dịch vụ DHCP (0)
    • 1.1. Giới thiệu các loại user account (50)
    • 1.2. Các quy tắc và yêu cầu khi tạo User Account mới (50)
    • 1.3. Tạo các loại user account (52)
    • 1.4. Thiết lập lại password (57)
    • 1.5. Bỏ khoá các User Account (58)
    • 3.1 Giới thiệu về Disk Quota (67)
    • 3.2 Thiết đặt hạn nghạch đĩa cho các Home folder (0)
    • VI. NHóM Và CHíNH SáCH NHóM (70)
      • 4.1. Giới thiệu các Nhóm Trong windows 2003 server (70)
      • 4.2. Chính Sách Nhóm (72)
      • 4.3. ứng dụng các chính sách nhóm (73)
      • 4.4. Cấu hình các chính sách nhóm (73)
      • 4.5. Triển khai thiết lập chính sách nhóm (77)
    • V. QUYÒN TRUY CËP NTFS - NTFS ACCESS PERMISSION (81)
      • 5.1. Giới thiệu về NTFS (81)
      • 5.2. Các quyền của NTFS (0)
      • 5.3. Sao chép và di chuyển file và folder (thu mục) (82)
      • 5.4. Gán quyền ở NTFS (83)
      • 5.5. Những quyền truy xuất đặc biệt trong NTFS (84)
      • 5.6. Sự an toàn trên các hệ thống File chia sẻ (86)
  • TàI LIệU THAM KHảO (92)

Nội dung

acTIVE DIRECTORY và các giao thức dhcp dns trong

Các phiên bản của họ Hệ Điều Hành (HĐH) Windows Server 2003

- Windows Server 2003 Web Edition: tối -u dành cho các máy chủ web

- Windows Server 2003 Standard Edition: bản chuẩn dành cho các doanh nghiệp, các tổ chức nhỏ đến vừa

- Windows Server 2003 Enterprise Edition: bản nâng cao dành cho các tổ chức, các doanh nghiệp vừa đến lớn

- Windows Server 2003 Datacenter Edittion: bản dành riêng cho các tổ chức lớn, các tập đoàn ví dụ nh- IBM, DELL.

Những điểm mới của HĐH Windows Server 2003

- Khả năng kết nối chùm và cài nóng RAM

- Hỗ trợ cho HĐH Windows XP tốt hơn

- Tích hợp sẵn Mail Server (POP3)

Có hai chế độ sử dụng giấy phép: một là cho phép kết nối tối đa 5 máy vào máy chủ, và hai là nếu muốn tăng số lượng máy kết nối, người dùng cần đăng ký để mua thêm giấy phép.

- Hỗ trợ tốt hơn cấu hình đĩa đặc biệt

Yêu cầu phần cứng cài đặt các phiên bản Windows Server 2003

Dung l-ợng RAM tèi thiÓu

Dung l-ợng RAM khuyến cáo

Dung l-ợng RAM hỗ trợ tối đa

2GB 4GB 32GB cho máy dòng x86 và 64GB cho dòng Itanium

64GB cho máy dòng x86 và

Quản trị mạng Doanh Nghiệp 8

Tốc độ tối thiểu cho

133Mhz 133Mhz 133Mhz cho máy dòng x86,

733Mhz cho máy dòng Itanium

400Mhz cho máy dòng x86, 733 cho máy dòng

Itanium Tốc độ CPU khuyến cáo

Số CPU hỗ trợ 2 4 8 8 đến 32

CPU cho máy dòng x86, 64 CPU cho máy dòng Itanium Dung l-ợng đĩa trống 1,5GB 1,5GB 1,5GB cho máy dòng x86, 2GB cho máy dòng

1,5GB cho máy dòng x86, 2GB cho máy dòng

Số máy kết nối trong dịch vụ cluster

8 máy 8 máy ii dịch vụ acTIVE DIRECTORY (ad)

Giới thiệu về Active Directory

Active Directory (AD) serves as a centralized repository for various network resources, including File Servers, Printers, Fax Services, Data, Users, Groups, and Web Servers The information stored in Active Directory is essential for managing and accessing these network resources effectively.

Thông qua Active Directory, người dùng có thể truy cập chi tiết về bất kỳ tài nguyên nào dựa trên các thuộc tính của nó mà không cần nhớ đường dẫn hay địa chỉ cụ thể Mỗi thiết bị và tài nguyên trên mạng được ánh xạ đến một tên nhận diện rõ ràng, cho phép người sử dụng truy cập tài nguyên nếu họ có quyền thông qua Active Directory.

Active Directory có khả năng:

- Cho các thông tin về tài nguyên dựa trên các thuộc tính của nó

Duy trì dữ liệu trong một môi trường an toàn là rất quan trọng, đảm bảo rằng thông tin không bị cung cấp cho những người không có quyền truy cập.

- Tự nó phân tán đến các máy tính trên mạng

Nó cho phép người dùng ở xa truy cập vào một bản sao được nhân bản, được lưu trữ gần đó, thay vì phải tham khảo bản sao gốc.

Active Directory có khả năng tự phân vùng thành nhiều phần lưu trữ, cho phép phân tán trên các máy khác nhau Điều này không chỉ tăng cường khả năng lưu trữ mà còn hỗ trợ quản lý một lượng lớn các đối tượng trong các mạng quy mô lớn.

Các đối t-ợng trong Active Directory

Các tài nguyên mạng trong Active Directory được gọi là đối tượng (Object), mỗi đối tượng là một tập hợp riêng biệt của các thuộc tính mô tả tài nguyên đó Các đối tượng này có các thuộc tính (Attribute), phản ánh các đặc tính của tài nguyên được ghi lại trong Active Directory.

Lớp (Classes) là một nhóm logic của các đối t-ợng trong Active Directory

Một lớp có thể bao gồm các thành phần như máy tính, người sử dụng, nhóm và miền Các thuộc tính có thể được định nghĩa và sử dụng chung cho nhiều lớp khác nhau.

Các kỹ thuật đ-ợc hỗ trợ bởi Active Directory

Mục đích của Active Directory là cung cấp một điểm dịch vụ trên mạng

Active Directory được thiết kế đặc biệt để làm việc chặt chẽ với các thư mục khác và hỗ trợ nhiều kỹ thuật khác nhau Tích hợp khái niệm không gian tên miền trong Internet với Windows 2003, Active Directory có khả năng quản lý thống nhất các không gian tên miền khác nhau trong các môi trường mạng hỗn tạp Nó hỗ trợ nhiều giao thức khác nhau, giúp tối ưu hóa khả năng quản lý và tổ chức thông tin trong hệ thống mạng.

Dynamic Host Configuration Protocol (DHCP) là giao thức quản lý địa chỉ IP động cho các Host trong mạng, cho phép mỗi máy luôn nhận được địa chỉ IP khác nhau trong các lần đăng nhập Active Directory hỗ trợ DHCP trong việc quản lý và phân phối địa chỉ IP trên mạng.

The Domain Naming Service (DNS) plays a crucial role in network name resolution It is utilized by Active Directory as a domain and its associated locating services.

- Kerberos: là giao thức xác thực nó chịu trách nhiệm về vấn đề an toàn

Quản trị mạng Doanh Nghiệp 10

Cấu Trúc Logic của AD (Active Directory)

Nhóm tài nguyên logic trong Active Directory giúp tìm kiếm tài nguyên dễ dàng hơn so với việc tìm kiếm trong vị trí vật lý Active Directory có cấu trúc logic mô tả cấu trúc thư mục của các tổ chức, cho phép người dùng truy cập thông tin mà không cần biết đến cài đặt vật lý của mạng Điều này mang lại sự tiện lợi và hiệu quả trong quản lý tài nguyên.

Các thành phần Logic của cấu trúc Active Directory là :

- Các đơn vị tổ chức (OU)

Miền là đơn vị logic đầu tiên trong mạng Windows 2003, bao gồm một tập hợp các máy tính được quản lý bởi người quản trị mạng Tất cả các máy tính trong miền này đều chia sẻ một cơ sở dữ liệu chung trong Active Directory.

Mục đích chính của việc tạo miền trong mạng Windows 2003 là thiết lập một ranh giới an toàn, nơi người quản trị miền có thể kiểm soát các máy tính trong miền đó Người quản trị chỉ có quyền điều khiển các miền được gán quyền, và không thể can thiệp vào các miền khác Mỗi miền được thiết lập với quyền và chính sách an toàn riêng biệt, do người quản trị định nghĩa.

All domain controllers within a domain maintain a copy of the domain's database, making domains replication units The Active Directory database is replicated across all domain controllers within the domain.

 Các đơn vị tổ chức (Organizational Unit - OU)

Trong miền tổ chức, các đối tượng được quản lý thông qua các đơn vị tổ chức, bao gồm người sử dụng (User ), máy tính (computer), máy in (printer), nhóm (group) và các đơn vị tổ chức khác (OU).

Về cơ bản OU giúp nhóm các đối t-ợng tổ chức logic phù hợp với kiểu nào đó Các đối t-ợng có thể đ-ợc nhóm từ một OU

- Hoặc dựa trên cấu trúc của tổ chức

Mỗi miền trong mô hình quản trị mạng có thể được tổ chức dựa trên người quản trị mạng, người sẽ kiểm soát và giới hạn quyền truy cập Máy tính của người quản trị sẽ điều khiển miền, trong khi tất cả các máy tính khác thuộc quyền quản lý của người quản trị mạng sẽ nằm trong cùng miền đó.

Hệ thống phân cấp của tổ chức (OU) có thể được chuyển đổi giữa các miền khác nhau, với mỗi miền có khả năng cài đặt hệ thống phân cấp riêng Quyền kiểm soát trong một OU có thể được áp dụng trong phạm vi của chính OU đó.

Lợi ích chính của OU là giảm thiểu sự phức tạp của hệ thống mạng trong kiến trúc đa miền Các công ty có thể tạo ra một miền đơn và các OU phù hợp với yêu cầu bằng cách thiết lập cấu trúc domain Các OU có thể được bổ sung khi cần thiết và có thể lồng ghép theo nhiều cách khác nhau Tuy nhiên, một cấu trúc domain đơn với nhiều OU vẫn mang lại tất cả các lợi ích của mô hình đa miền.

Một vài nguyên nhân tại sao mô hình đa miền (đa domain) là đ-ợc -a thích:

- Phân quyền quản trị mạng

- Các tên miền Internet khác nhau

- Yêu cầu về password khác nhau

- Dễ điều khiển việc nhân bản

- Chứa một số l-ợng lớn các đối t-ợng

- Nhiều cấp độ điều khiển với nhiều nhánh

Trong mô hình đa miền (đa domain), Rừng (Forset) là một cấu trúc logic khác mà trong đó các cây không chia sẻ các không gian tên liền kề.

Cấu trúc vật lý của AD (Active Directory)

Cấu trúc logic của Active Directory tách biệt hoàn toàn với cấu trúc vật lý của nó Trong khi cấu trúc vật lý tổ chức việc trao đổi dữ liệu trên mạng, cấu trúc logic lại dùng để quản lý các tài nguyên có sẵn Cấu trúc vật lý của Active Directory bao gồm nhiều yếu tố quan trọng.

- MiÒn ®iÒu khiÓn (Domain Controllers)

Cấu trúc vật lý của Active Directory xác định vị trí và thời điểm diễn ra quá trình đăng nhập và nhân bản Để khắc phục các vấn đề liên quan đến đăng nhập và nhân bản, trước tiên cần nắm rõ các thành phần trong cấu trúc vật lý của Active Directory.

 Vị trí, quyền hạn (Site)

Một site là sự kết hợp của một hoặc nhiều subnet IP, được kết nối bởi các đường truyền tốc độ cao Việc định nghĩa các site nhằm tạo thuận lợi cho chiến lược truy cập và nhân bản Active Directory Các mục đích chính của việc định nghĩa site bao gồm tối ưu hóa hiệu suất mạng và quản lý tài nguyên hiệu quả hơn.

- Cho phép các kết nối tin cậy và tốc độ cao giữa các miền điều khiển

- Tối -u việc truyền tải trên mạng

Sự khác biệt chính giữa vị trí và miền là vị trí mô tả cấu trúc vật lý của mạng, trong khi miền thể hiện cấu trúc logic của sự tổ chức mạng Do đó, cấu trúc logic và cấu trúc vật lý của Active Directory là hai khái niệm tách biệt.

Quản trị mạng Doanh Nghiệp 12

Active Directory cung cấp nhiều quyền trong một miền, với không gian tên logic bao gồm các máy tính, miền và các tổ chức con (OU), nhưng không có các site Mỗi quyền chứa thông tin liên quan đến các đối tượng máy tính và các đối tượng liên quan khác.

 MiÒn ®iÒu khiÓn (Domain Controller)

Thành phần vật lý thứ 2 trong Active Directory là miền điều khiển

A domain controller is a computer running Windows Server 2003 that holds a copy of the Active Directory This database contains essential information about the local domain.

Trong một miền có thể tồn tại nhiều miền điều khiển, tất cả đều duy trì bản sao Active Directory Đối với các tổ chức nhỏ với một máy khách, chỉ cần một miền đơn với hai miền điều khiển, trong đó máy điều khiển thứ hai hoạt động như một máy chủ dự phòng khi máy điều khiển đầu tiên gặp sự cố Cả hai miền điều khiển này chứa bản sao Active Directory giống nhau, nhưng đôi khi cũng có thể có các bản sao khác nhau do sự bất đồng bộ giữa các cơ sở dữ liệu thư mục Đối với các tổ chức lớn, việc thiết lập các miền điều khiển tách biệt tại mỗi vị trí địa lý là cần thiết để đảm bảo khả năng sẵn sàng và khả năng chịu lỗi.

Các chức năng khác nhau miền điều khiển bao gồm :

- Duy trì một bản sao của cơ sở dữ liệu Active Directory

- Duy trì các thông tin của Active Directory

Khi có sự thay đổi trong miền, thông tin cần được cập nhật đến Active Directory của miền điều khiển Sau đó, miền điều khiển sẽ tiến hành nhân bản những thay đổi này đến các miền điều khiển khác trong cùng miền.

Quản lý Active Directory hỗ trợ người dùng trong việc tìm kiếm các đối tượng và kiểm tra tính hợp lệ của việc đăng nhập để truy cập các tài nguyên cần thiết.

- Cung cấp khả năng chịu lỗi trong môi tr-ờng nhiều miền điều khiển.

Cài đặt Active Directory

Việc cài đặt Active Directory trở nên dễ dàng nhờ vào một wizard hướng dẫn Sau khi hoàn tất cài đặt, hệ thống sẽ tạo ra một trong những thành phần cần thiết.

- Miền đầu tiên trong một rừng và miền điều khiển đầu tiên

- Một miền con trong một cây và domain controller của nó

- Domain khác trong domain đã tồn tại

- Một cây mới trong một rừng đã tồn tại và domain controller của nó

* Yêu cầu cài đặt Active Directory

Trước khi cài đặt dịch vụ Active Directory, cần xem xét các yêu cầu cần thiết trong quá trình cài đặt Dưới đây là danh sách các yêu cầu cài đặt Active Directory.

- Một máy tính đ-ợc cài đặt Windows Server 2003 Standard Edition hoặc Windows Server 2003 Enterprise Edition hoặc Windows Server 2003 Datacenter Edition

- Một phần (partition) hoặc một khối (volume) với định dạng NTFS

- Đĩa cứng trống 1GB trở lên

Để cài đặt TCP/IP và thiết lập sử dụng DNS, bạn cần đảm bảo rằng địa chỉ IP thuộc lớp A, B hoặc C Quan trọng là phần Primary DNS phải trùng với địa chỉ IP đã được chỉ định.

- DNS Server phải hỗ trợ việc cập nhật giao thức và các bộ tài nguyên

To set up Active Directory, a user account with a username and password that has sufficient permissions is required The installation process begins by entering the command "dcpromo" in the Run window, which will launch the installation wizard Below are some images illustrating the steps involved in the Active Directory installation.

Quản trị mạng Doanh Nghiệp 14 ấn next để tiếp tục cài đặt :

Thông báo máy chủ miền điều khiển đang là phiên bản Windows Server

Năm 2003, có hai hệ điều hành không thể gia nhập miền của Windows Server 2003, đó là Windows 95 và Windows NT 4.0 SP3 trở về trước.

Chọn kiểu domain controller, ở đây chúng ta có hai lựa chọn:

- Lựa chọn thứ nhất là máy chủ miền điều khiển của chúng ta là máy chủ đầu tiên và miền chúng ta lên là miền đầu tiên

- Lựa chọn thứ hai là chúng ta add vào máy chủ miền một miền đã có sẵn

Quản trị mạng Doanh Nghiệp 16

Tiếp theo đến cửa sổ tạo mới miền, ở đây chúng ta có 3 lựa chọn:

- Thứ nhất là tạo miền trong một rừng mới

- Thứ hai là tạo một miền con trong miền cây hiện có

Thứ ba, chúng ta sẽ tạo một cây miền trong rừng hiện tại đã có Chúng ta chọn mục đầu tiên vì máy chủ của chúng ta là máy chủ đầu tiên và miền cũng là miền đầu tiên Hãy nhấn "Next" để tiếp tục.

Để tạo một miền, bước tiếp theo là đánh tên DNS đầy đủ cho miền đó Tên miền có thể là tên tổ chức, công ty hoặc cá nhân, nhưng cần tuân thủ quy tắc không dài quá 255 ký tự và phải có ít nhất một dấu chấm (.) Ví dụ, tên miền được đặt là PH-DHV.COM.

Quản trị mạng Doanh Nghiệp 18

Next đến b-ớc tiếp theo:

Bước tiếp theo là đặt tên cho NetBIOS name và tên miền theo chuẩn NetBIOS để tương thích với hệ điều hành Windows NT Mặc định, Windows Server 2003 sử dụng tên miền làm tên NetBIOS name, có chức năng phân giải tên miền trên miền điều khiển Chúng ta có thể thay đổi tên này, nhưng cần lưu ý rằng khi máy trạm tham gia vào máy chủ, kết nối phải được thực hiện theo tên NetBIOS name thay vì tên miền Ở đây, tôi giữ theo mặc định và nhấn "Next" để tiếp tục.

Bước tiếp theo là lưu trữ cơ sở dữ liệu của Active Directory trên đĩa cứng, nơi chứa toàn bộ thông tin về tài nguyên hệ thống và tài khoản người dùng Trong chế độ làm việc nhóm (workgroup), thông tin người dùng được lưu trong file SAM (Security Account Management), nhưng khi đã chuyển lên miền, mọi thông tin sẽ được lưu trong thư mục NTDS và tài khoản sử dụng sẽ nằm trong file NTDS.dit Mặc dù có thể chọn vị trí khác để lưu trữ thư mục NTDS, nhưng theo khuyến cáo, nên giữ mặc định của Windows 2003.

Quản trị mạng Doanh Nghiệp 20 ấn next để tiếp tục:

Tiếp theo đến b-ớc chỉ định l-u th- mục SYSVOL, th- mục SYSVOL phải đ-ợc l-u trên phân vùng NTFS v 5.0 trở lên:

B-ớc tiếp theo là kiểm tra hoặc cài đặt DNS DNS là dịch vụ phân giải tên kết hợp với AD để phân giải các tên máy tính trong miền hoặc phân giải các miền khác từ bên ngoài ở đây chúng ta có 3 lựa chọn:

- Thứ nhất là DNS đã có sẵn và có vấn đề hoặc bị lỗi, và lựa chọn mục này để hệ thống kiểm tra lại DNS

- Thứ hai là cài đặt và thiết lập DNS server trên máy tính, và đặt máy tính này sử dụng DNS nh- là một DNS server

Kết nối DNS có thể gặp vấn đề, và để khắc phục, người dùng có thể thiết lập DNS thủ công Microsoft khuyến nghị tích hợp cài đặt DNS trong quá trình cài đặt Active Directory (AD) để đảm bảo đầy đủ chức năng của DNS và tránh lỗi xảy ra.

Quản trị mạng Doanh Nghiệp 22 ấn next để tiếp tục:

B-ớc tiếp theo là mục lựa chọn quyền đăng nhập vào hệ thống

+ Lựa chọn thứ nhất là cho phép cả những hệ điều hành tr-ớc windows

+ lựa chọn thứ hai là chỉ cho phép những hệ điều hành sau windows

2000 đăng nhập vào hệ thống ở đây em dùng hệ điều hành cho máy trạm là Windows XP nên em chọn phần thứ hai ấn next để tiếp tục:

Next, we need to set a password for the Administrator account to facilitate the Active Directory (AD) replication or to start AD in Directory Services Restore Mode We will create a password for the account.

Quản trị mạng Doanh Nghiệp 24 ấn next để tiếp tục:

Tiếp theo là quá trình tổng hợp các thông tin mà chúng ta đã cung cấp về

AD ấn next để hệ thống bắt đầu quá trình lên miền:

Quản trị mạng Doanh Nghiệp 26

Quá trình hệ thống bắt đâu lên miền:

Hệ thống yêu cầu cho đĩa CD Windows 2003 vào và chọn đến th- mục

Chúng ta đưa đĩa vào và chọn thư mục I386 trên đĩa, sau đó nhấn "finish" để kết thúc quá trình thiết lập miền Hệ thống sẽ yêu cầu khởi động lại, và chúng ta chỉ cần nhấn "restart now" để hoàn tất việc thiết lập Active Directory.

Sau khi hệ thống khởi động lại xong nghĩa là Active Directory đã đ-ợc cài đặt, Active Directory có 3 thành phần chính đó là:

Quản trị mạng Doanh Nghiệp 28

- Active Directory Domain and Trust: Dùng để tin cậy các miền hay miền điều khiển trong một rừng có nhiều miền khác

Active Directory Sites and Services cho phép thiết lập kết nối tin cậy và tốc độ cao giữa các miền điều khiển, từ đó tối ưu hóa quá trình nhân bản các dịch vụ được truyền tải trên mạng.

- Active Directory Users and Computers: Chứa các thông tin và thành phần về ng-ời dùng, nhóm, các máy tính và miền điều khiển:

Builtin là khu vực lưu trữ các tài khoản được tạo sẵn trong hệ thống, bao gồm những tài khoản có quyền quản trị hệ thống, cho phép thay đổi toàn bộ cấu trúc miền, gia nhập hoặc tin cậy một miền khác Người dùng không thể tạo hoặc xóa bất kỳ tài khoản nào, kể cả tài khoản Administrator.

+ Computer: đây là nơi l-u trữ tất cả các máy tính trong mạng đã kết nối vào miền

Giới thiệu về DNS

DNS là cơ sở dữ liệu phân tán dùng để chuyển đổi tên máy tính thành địa chỉ IP trong mạng Nó có cấu trúc phân cấp thông qua không gian tên miền, với miền gốc được ký hiệu bằng dấu chấm (.) Dưới miền gốc là các miền cấp dưới, đại diện cho kiểu tổ chức như com, edu, org, hoặc các định danh địa lý như vn (Việt Nam) Các miền cấp thứ hai được đăng ký cho tên tổ chức hoặc người dùng cá nhân, bao gồm cả máy tính, tài nguyên và các miền con.

Tên miền đã kiểm chứng đầy đủ (FQDN) mô tả mối quan hệ chính xác giữa máy tính và miền của nó, và DNS sử dụng FQDN để chuyển đổi tên máy thành địa chỉ IP Dữ liệu tên và địa chỉ IP được lưu trữ trong một tập tin vùng trên máy chủ DNS Để thực hiện việc chuyển đổi này, DNS sử dụng truy vấn tìm kiếm chuyển tiếp Khi truy vấn được gửi đến máy khách, nếu máy chủ DNS cục bộ không có quyền truy vấn, nó sẽ chuyển tiếp yêu cầu đến máy chủ DNS giữ vùng chủ.

 H-ớng dẫn việc đánh tên miền

Trong khi tạo không gian tên miền nên thực hiện các h-ớng dẫn và thoả thuận đánh tên chuẩn sau đây:

- Số l-ợng các mức của miền nên đ-ợc giới hạn, bởi vì nếu tăng các mức thì sẽ tăng các tác vụ quản trị

Nên chọn tên miền đơn giản và duy nhất để đảm bảo tính độc đáo trong không gian DNS Tên miền con cần phải khác biệt trong miền cha, giúp tạo sự nhận diện rõ ràng và dễ nhớ cho người dùng.

Các tên miền nên ngắn gọn, không vượt quá 63 ký tự cho mỗi phần và tổng độ dài của FQDN không được quá 255 ký tự Ngoài ra, tên miền không phân biệt chữ hoa và chữ thường.

- Nên sử dụng các ký tự Unicode và DNS chuẩn Sử dụng các ký tự unicode chỉ khi tất cả các máy chủ chạy DNS hỗ trợ unicode

Không gian tên miền được chia thành các phân đoạn nhỏ gọi là Vùng, giúp phân tán quản trị cho các nhóm khác nhau.

Quản trị mạng Doanh Nghiệp 30

Vùng chính tiêu chuẩn là kiểu vùng lưu trữ một bản sao chủ của cơ sở dữ liệu vùng, được lưu trữ trong tập tin văn bản trên máy tính tạo vùng đó.

Vùng phụ tiêu chuẩn là kiểu vùng lưu trữ một phần bản sao của cơ sở dữ liệu vùng chủ, với dữ liệu được lưu trữ trong một tập tin văn bản ở chế độ chỉ đọc Vùng phụ không chỉ cung cấp khả năng chịu lỗi mà còn hỗ trợ cân bằng tải hiệu quả.

Vùng tích hợp trong Thư mục hoạt động là bản sao của tập tin cơ sở dữ liệu vùng trong Active Directory Quá trình chuyển giao vùng diễn ra liên tục trong suốt quá trình nhân bản Thư mục hoạt động.

Mỗi vùng miền đều có một cơ sở dữ liệu riêng, và máy chủ tên DNS lưu trữ những cơ sở dữ liệu này Một máy chủ tên có khả năng lưu trữ cơ sở dữ liệu cho một vùng đơn lẻ hoặc cho một vùng phức tạp hơn.

Một vùng có thể chứa nhiều máy chủ, trong đó một máy chủ giữ vai trò là máy chủ lưu trữ tập tin cơ sở dữ liệu chính Tập tin này được gọi là tập tin cơ sở dữ liệu vùng chính, trong khi các máy chủ khác lưu trữ bản sao của nó, được gọi là tập tin cơ sở dữ liệu phụ Mọi thay đổi diễn ra trong vùng sẽ được cập nhật trên tập tin cơ sở dữ liệu vùng chính.

Việc sử dụng nhiều máy chủ tên mang lại lợi ích lớn, đặc biệt khi máy chủ tên chính chứa tập tin cơ sở dữ liệu gặp sự cố Trong trường hợp này, các máy chủ tên khác vẫn có thể đảm bảo truy xuất dữ liệu liên tục Hơn nữa, việc phân tán yêu cầu dịch vụ tên giữa các máy chủ giúp giảm tải cho máy chủ chính, nâng cao hiệu suất và độ tin cậy của hệ thống.

Giải pháp đổi tên (Name Resolution)

Tiến trình chuyển đổi tên miền thành địa chỉ IP được gọi là Dịch Tên Khi truy cập vào website như www.microsoft.com, DNS sẽ dịch tên miền này và cung cấp địa chỉ IP tương ứng để xác định vị trí máy tính trên mạng Máy chủ tên trong vùng có nhiệm vụ thực hiện việc dịch tên này, vì nó lưu trữ ánh xạ giữa tên miền và địa chỉ IP Mỗi máy chủ tên chỉ có thể xử lý các truy vấn dịch tên trong vùng mà nó được cấp quyền Để giảm tải cho máy chủ DNS, máy chủ tên lưu lại kết quả của quá trình dịch tên Ngoài ra, các máy chủ tên cũng có khả năng thực hiện truy vấn tìm kiếm chuyển tiếp hoặc tìm kiếm đảo.

Truy vết tìm kiếm chuyển tiếp (Forward Lookup Query) là quá trình dịch một tên miền thành địa chỉ IP tương ứng Hình ảnh minh họa cho quy trình này giúp người dùng hiểu rõ hơn về cách thức hoạt động của truy vấn.

+ Máy khách gửi một yêu cầu đến địa chỉ www.microsoft.com đến máy chủ tên địa ph-ơng

+ Máy chủ tên địa ph-ơng đầu tiên sẽ kiểm tra trong tập tin cơ sở dữ liệu vùng mà nó đang giữ

+ Nếu không tìm thấy ánh xạ tên - địa chỉ IP theo yêu cầu nó sẽ chuyển truy vấn đó đến một máy chủ tên gốc

+ Máy chủ tên gốc kiểm tra ánh xạ đó trong tập tin cơ sở dữ liệu vùng và gửi một tham chiếu máy chủ tên Com

+ Sau đó máy trình tên truy vấn máy chủ tên Com để dịch tên

+ Máy chủ tên Con trả về một tham chiếu máy chủ tên Microsoft

+ Sau đó Máy chủ tên cục bộ sẽ chuyển truy vấn đến máy chủ tên Microsoft và nó trả về địa chỉ IP của www.microsoft.com

Truy vấn Tìm Kiếm Đảo (Reverse Lookup Query) là quá trình chuyển đổi địa chỉ IP thành tên tương ứng thông qua miền in-addr.arpa Miền này thuộc cấp hai và có cấu trúc phân cấp tương tự như các không gian tên miền khác, với cơ sở dữ liệu được lập chỉ mục theo địa chỉ IP, giúp việc tìm kiếm trở nên dễ dàng hơn Mặc dù tìm kiếm dựa trên địa chỉ IP có thể tốn thời gian do phải kiểm tra tất cả các bản ghi, in-addr.arpa cung cấp một phương thức hiệu quả hơn để thực hiện điều này.

+ Tên của các miền con dựa cơ sở trên địa chỉ IP

+ Các octet địa chỉ IP đ-ợc l-u theo thứ tự ng-ợc lại

+ Việc quản trị của các miền con đ-ợc thực hiện dựa trên cơ sở của các địa chỉ IP và địa chỉ mạng con.

DNS §éng (Dynamic DNS)

Trước đây, việc bổ sung, xóa và thay đổi cơ sở dữ liệu vùng được thực hiện thủ công, nhưng với sự ra đời của giao thức cập nhật DNS động, mọi quy trình này đã được tự động hóa Giao thức này hoạt động kết hợp với dịch vụ DHCP, cho phép cấp địa chỉ IP cho máy khách một cách tự động, từ đó giảm bớt công việc quản trị liên quan đến việc cấp địa chỉ IP cho từng máy cá nhân Khi máy khách nhận được địa chỉ IP, nó sẽ tự động cập nhật bản ghi tài nguyên, và tại thời điểm đó, dịch vụ DHCP cũng sẽ thực hiện việc cập nhật bản ghi tương ứng.

Cài đặt và cấu hình DNS

Có hai cách cài đặt DNS:

Thứ nhất là chúng ta cài đặt DNS tự động cùng với quá trình lên miền Thứ hai là cài đặt bằng tay theo các b-ớc nh- sau:

Start\Setting\Control Panel\Add and Remove Program\Add and Remove Windows Components\Networking Services\ chọn Detail,

Sau đó đánh dấu chọn vào mục Domain name system(DNS)

Quản trị mạng Doanh Nghiệp 32

Hoặc ở cửa sổ run đánh lệnh dnsmgmt.msc Khi đó cửa sổ chính DNS hiện ra, ở cửa sổ này có 3 mục chính nh- sau:

Vùng tìm kiếm thuận (forward lookup zone) chứa miền chính và các bản ghi host (A), bao gồm tên máy và địa chỉ IP của máy chủ DC cùng các máy trạm kết nối vào miền Các thiết lập mặc định cho vùng này đã sẵn có khi tích hợp DNS trong quá trình thiết lập miền.

Reverse lookup zones are essential for DNS functionality, containing pointer records (PTR) that map IP addresses back to hostnames as configured by the administrator To enable DNS to resolve an IP address to a hostname, it is necessary to configure reverse lookup zones properly.

Quản trị mạng Doanh Nghiệp 34

Chuột phải vào Reserver lookup zones chọn New zones, hiện ra của sổ wizard Ên next:

Next đến cửa sổ zones type có 3 lựa chọn:

+ Primarty zone: Tạo một vùng chính

+ Secondary zone: Tạo vùng thứ hai, tức là tạo một vùng thứ hai dự phòng cho một vùng chính đã có sẵn trong DNS

+ Sub zone: Tạo một vùng con trong một vùng đã sẵn

Check the box for "Store the zone in Active Directory" to save the zones in the Active Directory database Here, I select the primary zone because this is the first DNS server and also the initial reverse lookup zone.

Tiếp theo, ở bước này có ba mục lựa chọn; em chọn mục thứ ba để lưu toàn bộ dữ liệu về vùng này trên Active Directory của miền điều khiển.

Quản trị mạng Doanh Nghiệp 36

B-ớc này là đặt Network ID cho truy vấn đảo, chỉ lớp NetID nào đ-ợc đặt ở đây thì mới có thể truy vấn đảo và thông th-ờng thì NetID này trùng với NetID của truy vấn thuận và trùng với NetID Interface của máy chủ miền ở đây máy chủ có địa chỉ IP ở lớp A nên NetID của vùng em cũng đặt là lớp A:

To proceed to the next step, select the first option for secure automatic DNS updates for the zones Click "Next" and then "Finish" to complete the configuration process for the Reverse Lookup Zones.

Event Viewer là công cụ quan trọng chứa các nhật ký liên quan đến DNS, bao gồm thông tin chi tiết về hoạt động của DNS, các cảnh báo hệ thống dành cho người dùng về DNS và các lỗi phát sinh từ DNS.

Tất cả nhật ký liên quan đến DNS sẽ được lưu trữ tại đây Người dùng có thể tùy chọn ghi lại các sự kiện cụ thể; tuy nhiên, khuyến cáo là nên ghi lại toàn bộ sự kiện về DNS để có thể tra cứu khi gặp lỗi trong tương lai.

Sự kiện này có thể bị xóa bởi người quản trị hệ thống trên máy chủ (DC) và được lưu lại dưới dạng file *.evt, cho phép nhập lại vào Event Viewer để xem Tuy nhiên, những người quản trị hệ thống từ xa chỉ có thể lưu dưới dạng *.txt và không thể nhập vào Event Viewer Để kiểm tra xem DNS có hoạt động hay không, chúng ta sử dụng lệnh nslookup trong cửa sổ Run Nếu nhập địa chỉ hoặc tên máy và nhận lại tên và địa chỉ của máy, thì DNS đã hoạt động Ngược lại, nếu không nhận được thông tin, DNS chưa hoạt động đúng.

Quản trị mạng Doanh Nghiệp 38

IV - DịCH Vụ DHCP (Dynamic Host Configuration Protocol)

Giới thiệu về dịch vụ DHCP

Quy mô mạng lớn đòi hỏi việc quản lý và gán địa chỉ IP cho máy khách tốn nhiều công sức và thời gian DHCP (Dynamic Host Configuration Protocol) tự động gán địa chỉ IP, giúp quản lý hiệu quả các địa chỉ này Bằng cách sử dụng một quy trình cấp phát địa chỉ, DHCP có khả năng cung cấp địa chỉ IP cho các máy tính khách trong một khoảng thời gian xác định.

DHCP là một quy trình cung cấp địa chỉ IP động, cho phép các máy khách tự động cập nhật hoặc làm mới địa chỉ IP của mình theo các khoảng thời gian nhất định Hệ thống TCP/IP có thể được cấu hình một cách tự động hoặc thủ công, và việc cấu hình tự động TCP/IP thường được thực hiện thông qua DHCP.

Quá trình cấp phát động của dịch vụ DHCP

Khi máy khách DHCP gửi yêu cầu cấp địa chỉ IP đến máy chủ DHCP, máy chủ sẽ chọn một địa chỉ IP từ cơ sở dữ liệu đã định nghĩa Nếu máy khách chấp nhận địa chỉ này, máy chủ sẽ cung cấp địa chỉ IP đó trong một khoảng thời gian giới hạn, tối đa là 8 ngày Thông tin cấp phát có thể bao gồm địa chỉ IP, mặt nạ mạng con, địa chỉ IP của các máy chủ DNS, và cổng nối mặc định.

IP của máy chủ WINS Tiến trình cấp địa chỉ IP của DHCP đ-ợc thực hiện theo tiÕn tr×nh 4 b-íc:

- Yêu cầu xin cấp IP

- Chọn lựa cung cấp IP

- Xác nhận việc cấp IP

 Yêu cầu cấp IP (IP Lease Request):

Khi một máy khách khởi động hoặc kích hoạt mô hình tham chiếu TCP/IP, hoặc khi DNS cập nhật địa chỉ IP, tiến trình xin cấp TCP/IP sẽ bắt đầu Máy khách phát đi một thông điệp DHCPDISCOVER qua mạng để yêu cầu địa chỉ IP, sử dụng địa chỉ IP 0.0.0.0 làm địa chỉ nguồn do chưa có địa chỉ IP nào được gán Đồng thời, máy khách cũng sử dụng địa chỉ IP 255.255.255.255 làm địa chỉ đích, vì nó không biết địa chỉ của máy chủ DHCP Điều này giúp thông điệp được phát rộng rãi trên toàn mạng và thông điệp chứa địa chỉ MAC của card mạng của máy khách.

 ChÊp nhËn cÊp IP (IP Lease Offer):

Máy chủ DHCP gửi thông điệp DHCPOFFER cho máy khách trong cùng một phân đoạn mạng, bao gồm địa chỉ phần cứng của máy khách, địa chỉ IP được cung cấp, mặt nạ mạng con, thời gian hiệu lực của IP và định danh của máy chủ Địa chỉ IP này sẽ được máy chủ DHCP giữ lại và không cấp cho yêu cầu khác Máy khách sẽ chờ trong 1 giây để nhận thông tin cấp IP; nếu không nhận được, nó sẽ phát đi yêu cầu lại sau các khoảng thời gian 2, 4, 8 và 16 giây Nếu vẫn không nhận được thông tin chấp nhận, máy khách sẽ sử dụng các địa chỉ IP đã được lưu giữ Sau đó, máy khách sẽ tiếp tục tìm kiếm máy chủ DHCP mỗi 5 phút và khi tìm thấy, nó sẽ nhận được các địa chỉ IP hợp lệ.

 Chọn lựa cung cấp IP (IP Lease Selection):

Máy DHCP khách gửi thông điệp DHCPREQUEST để xác nhận việc nhận IP từ máy chủ Thông điệp này bao gồm thông tin nhận dạng máy chủ đã cấp IP động Khi các máy chủ khác nhận được thông tin này, chúng sẽ thu hồi các thông báo cấp địa chỉ IP và sử dụng cho các yêu cầu cấp phép IP tiếp theo.

 Xác nhận cấp IP (IP Lease Acknowledgement):

Máy chủ DHCP phản hồi thông điệp DHCPREQUEST từ máy khách bằng cách gửi thông điệp DHCPACK, trong đó chứa thông tin cấu hình và xác nhận cấp phát địa chỉ IP TCP/IP sẽ khởi động cấu hình này, cho phép máy khách kết nối với các dịch vụ mạng qua card mạng, từ đó đảm bảo khả năng liên lạc trên toàn mạng.

TiÕn tr×nh thay míi (Lease Renewal Process)

Máy khách DHCP sẽ cố để thay mới IP đã đ-ợc tiếp tục do đó nó có thể

Quản trị mạng Doanh Nghiệp 40

Khi thời gian sử dụng địa chỉ IP sắp hết, máy DHCP khách sẽ tự động gửi thông điệp DHCPREQUEST đến DHCP chủ để xin cấp lại địa chỉ Nếu DHCP chủ còn hoạt động, thời gian sử dụng IP sẽ được gia hạn và thông điệp DHCPACK sẽ được gửi đến máy khách Ngược lại, nếu DHCP chủ không còn, máy khách sẽ tiếp tục sử dụng các tham số hiện tại cho đến khi hết thời gian Khi thời gian sử dụng đạt 87.5%, máy khách sẽ gửi thông điệp DHCPDISCOVER để tìm DHCP chủ mới Nếu nhận được thông điệp DHCPOFFER, máy khách sẽ gia hạn thời gian sử dụng IP và tiếp tục hoạt động bình thường Khi thời gian sử dụng hết, máy khách sẽ ngừng sử dụng địa chỉ IP hiện tại và bắt đầu quy trình xin cấp địa chỉ IP mới.

Thay đổi địa chỉ IP thủ công có thể thực hiện ngay lập tức thông qua thông tin cấu hình DHCP Để thực hiện điều này, bạn có thể sử dụng câu lệnh Ipconfig với các tham số phù hợp.

Sử dụng lệnh /renew để gia hạn thời gian sử dụng địa chỉ IP một cách thủ công Lệnh này gửi thông điệp DHCPREQUEST đến máy chủ DHCP, từ đó máy chủ sẽ cập nhật các tùy chọn cấu hình và gia hạn thời gian sở hữu địa chỉ IP đã được cấp.

Phạm vi cấp phát

Khoảng địa chỉ IP được cấp phát cho các máy tính khách trên một mạng con gọi là phạm vi (scope), và có thể được cấu hình trên máy chủ DHCP Phạm vi này có thể bao gồm các tham số bổ sung, được gọi là tuỳ chọn phạm vi (scope option), nhằm cung cấp thêm thông tin khi cấp địa chỉ IP Những tuỳ chọn này được áp dụng theo một trật tự nhất định, cho phép gán nhiều mức quyền khác nhau Ngoài ra, DHCP cũng cho phép giữ một địa chỉ IP đặc biệt cho một máy tính, giúp duy trì địa chỉ IP cố định, điều này rất quan trọng cho các máy chủ DNS để tránh gây ra sự hỗn loạn trong mạng.

4.5 Cài đặt và cấu hình dịch vụ DHCP

 Yêu cầu cài đặt cho DHCP server

Hệ điều hành Windows 2003 Server mặc định đi kèm với dịch vụ DHCP, cho phép bất kỳ máy tính nào chạy trên nền tảng này hoạt động như một DHCP chủ Để trở thành DHCP chủ, các máy tính cần đáp ứng một số yêu cầu nhất định.

- Dịch vụ DHCP phải đ-ợc cài đặt

- Một mặt nạ mạng con, một địa chỉ IP tĩnh, một cổng kết nối mặc định và các tham số TCP/IP khác

- Các địa chỉ IP có thể đ-ợc cấp hoặc gán cho các máy khách

Máy khách DHCP cần yêu cầu địa chỉ IP tự động từ các máy chủ DHCP Chỉ các máy tính cài đặt hệ điều hành tương thích mới có khả năng hoạt động như DHCP khách.

+ Windows NT Server 3.5 hoặc lớn hơn

+Windows for Workgroup phiên bản 3.11 có TCP/IP-32

+Microsoft MS-DOS cã Microsoft Network Client 3.0

+ Một số hệ điều hành khác không phải của Microsoft

To install the DHCP service on a server, follow these steps: Navigate to Start, then Settings, and open the Control Panel Select "Add and Remove Programs," followed by "Add and Remove Windows Components." In the Networking Services section, click on "Details," check the box for Dynamic Host Configuration Protocol (DHCP), and then click OK.

Quản trị mạng Doanh Nghiệp 42

Chúng ta sẽ thiết lập một phạm vi (scope) để cấp phát địa chỉ IP cho các máy khách trong mạng Để bắt đầu, hãy nhấp chuột phải vào tên máy chủ DHCP và chọn "New scope" Tiếp theo, một cửa sổ cấu hình wizard sẽ xuất hiện với các lựa chọn cho chúng ta.

Name: Tên của phạm vi (scope), hay còn gọi là tên miền

Description: Mô tả tuỳ ý về phạm vi đang tạo ấn next:

Start IP address: Địa chỉ IP bắt đầu của khoảng địa chỉ IP mà DHCP có thể gán

End IP address: Địa chỉ IP kết thúc của khoảng địa chỉ IP mà DHCP có thể gán

Mặt nạ mạng con (subnet mask) là thông số quan trọng được gán cho các khách hàng DHCP Nó có thể được biểu diễn dưới dạng độ dài bit hoặc mặt nạ mạng con thực sự.

Quản trị mạng Doanh Nghiệp 44

Khoảng địa chỉ loại trừ: Đây là những địa chỉ IP mà chúng ta muốn loại bỏ khỏi phạm vi đã tạo Các địa chỉ này sẽ không được gán cho các khách hàng DHCP.

Lease Duration: Chỉ định thời gian dành cho mỗi địa chỉ IP sẽ đ-ợc cấp cho máy khách ấn Next:

Quản trị mạng Doanh Nghiệp 46

Chọn yes và ấn next để tiếp tục:

Nhập vào địa chỉ của router hiện tại, đây chính là địa chỉ defaull gateway của router:

Lựa chọn tiếp theo bao gồm việc nhập tên đầy đủ của miền, tên máy chủ DNS, địa chỉ máy chủ DNS và các địa chỉ DNS khác mà máy tính có thể gửi truy vấn, thường là DNS của nhà cung cấp dịch vụ Internet (ISP).

Để hoàn tất quá trình tạo phạm vi và cấu hình DHCP trong quản trị mạng doanh nghiệp, bạn cần nhấn nút "Next" và sau đó nhấn "Finish" Sau khi hoàn thành, thông tin trong phạm vi đã cấu hình sẽ được hiển thị như hình dưới đây.

Sau khi thiết lập phạm vi DHCP, bạn có thể cấu hình các tùy chọn DHCP cho máy khách hoặc nhóm máy khách Các tùy chọn này có thể được thiết lập ở bốn mức khác nhau: Máy chủ, Phạm vi, Lớp, và dành riêng cho từng máy khách.

Mức máy chủ trong DHCP cho phép áp dụng các tùy chọn cho tất cả các máy khách trong cùng một mạng con Nếu tất cả máy khách yêu cầu cấu hình giống nhau, chúng ta có thể thay đổi máy chủ để áp dụng cấu hình chung, chẳng hạn như sử dụng chung một máy chủ DNS Để thực hiện thay đổi này, chúng ta chỉ cần nhấp chuột phải vào mục Server trong DHCP.

Option của máy chủ đó rồi chọn Configure

Các tùy chọn DHCP chỉ có thể áp dụng cho các máy khách nhận địa chỉ IP từ phạm vi đã được cấu hình, với độ ưu tiên cao hơn so với mức máy chủ Để cấu hình các tùy chọn này ở mức phạm vi, người dùng cần nhấp chuột phải vào Scope Option của máy tính được cấu hình và chọn mục Configure Option.

Các máy khách xác định chính mình qua địa chỉ IP đặc biệt được cấu hình ở mức lớp, với các tùy chọn ở mức lớp có độ ưu tiên cao hơn các tùy chọn ở mức phạm vi Để thay đổi các tùy chọn này, người dùng cần truy cập hộp thoại Server Option hoặc Scope Option và chọn mục Available Option từ môc Advanced.

Mức máy con dành riêng chỉ áp dụng cho một số máy khách nhất định, cho phép cấu hình sử dụng các tùy chọn ưu tiên cao hơn so với các tùy chọn ở các mức khác.

Sau khi cài đặt và cấu hình dịch vụ DHCP trên máy chủ, bước quan trọng tiếp theo là cấp quyền cho máy chủ hoặc chứng thực máy chủ DHCP Chứng thực giúp bảo vệ mạng khỏi các máy chủ DHCP chưa được xác thực Để thực hiện chứng thực DHCP, chúng ta cần chọn miền từ DHCP snap-in và chọn mục "Authorize" từ trình đơn.

Quản trị mạng Doanh Nghiệp 50

Ch-ơng iii - USER ACCOUNT, HOME FOLDER, Group và quyền truy cËp ntfs i- USER ACCOUNT (tài khoản sử dụng)

1.1 Giới thiệu các loại user account

Giới thiệu các loại user account

Người sử dụng cần truy cập các tài nguyên trên máy tính trong mạng, và tài khoản người dùng được tạo ra để xác thực và cấp quyền truy cập cho họ Tài khoản này bao gồm tên người dùng và mật khẩu, cho phép người sử dụng đăng nhập vào một miền hoặc máy tính từ xa Mọi người sử dụng mạng thông thường đều nên có một tài khoản sử dụng Windows 2003 Server hỗ trợ ba loại tài khoản người dùng.

 Local User Account (tài khoản sử dụng cục bộ)

Với tài khoản cục bộ, người dùng chỉ có thể đăng nhập vào máy tính nơi tài khoản được tạo ra và truy cập các tài nguyên có sẵn trên máy đó.

 Domain User Account (tài khoản sử dụng trong miền)

Tài khoản sử dụng trong miền cho phép người dùng đăng nhập và truy cập nhiều tài nguyên trên mạng Khi người dùng cung cấp thông tin đăng nhập (tên người dùng và mật khẩu), một thẻ truy cập được tạo ra để xác nhận danh tính và thiết lập bảo mật của họ Thẻ truy cập này, do Windows Server 2003 cung cấp, sẽ tồn tại cho đến khi người dùng đăng nhập và sẽ bị xóa khi họ đăng xuất Thông tin tài khoản sử dụng được lưu trữ trong cơ sở dữ liệu của Active Directory.

 Built-in User Account(tài khoản sử dụng đ-ợc tạo sẵn)

Tài khoản sử dụng được tạo sẵn trên Windows Server 2003 bao gồm hai loại chính: tài khoản Administrator và tài khoản Guest Những tài khoản này được tạo tự động và phục vụ cho người dùng thực hiện các tác vụ quản trị hoặc thao tác mạng trên cơ sở dữ liệu tạm thời Lưu ý rằng hai loại tài khoản này không thể bị xóa.

Các quy tắc và yêu cầu khi tạo User Account mới

Khi tạo tài khoản, việc lập kế hoạch và tổ chức thông tin người dùng là rất quan trọng Chúng ta cần làm quen với các quy tắc và hướng dẫn để dễ dàng quản lý tài khoản sau này Để thực hiện kế hoạch hiệu quả, cần tuân theo ba nguyên tắc cơ bản.

Naming Conventions (Quy tắc đặt tên)

Password Guidelines (Chỉ dẫn mât khẩu)

Account Option (tuỳ chọn account)

 Quy tắc đặt tên User Account

Các quy tắc đặt tên sẽ xác định cách mà người dùng được nhận diện trong một miền Việc tuân thủ các quy tắc hiện có là rất quan trọng Dưới đây là những điểm cần lưu ý khi xác định quy tắc đặt tên cho tổ chức của chúng ta.

Chúng ta cần gán tên duy nhất cho các miền tài khoản, và tên này nên được lưu trữ trong Active Directory Đối với người sử dụng cục bộ, tên tài khoản là duy nhất trong môi trường mà các tài khoản cục bộ được tạo ra.

Tài khoản sử dụng có thể có tối đa 20 ký tự, bao gồm cả chữ thường và chữ hoa Tuy nhiên, các ký tự như “/ \ [ ] ; |” không được phép sử dụng trong tên tài khoản.

= , + * ? < >” Các tên này không phân biệt hoa th-ờng

- Với một tổ chức lớn với một số l-ợng lớn các ng-ời dùng, quy tắc đặt tên giữ cho tên khỏi bị trùng lặp

Mọi tài khoản đều cần có một mật khẩu phức tạp để bảo vệ các thao tác trên máy tính hoặc miền, nhằm ngăn chặn các cuộc đăng nhập trái phép Do đó, khi xác định quy tắc đặt tên cho tổ chức, cần chú ý đến những điểm quan trọng để đảm bảo an toàn thông tin.

- Luôn luôn đ-ợc khuyến cáo gán mật khẩu cho tài khoản Administrator để tránh các tiếp nhận không cho phép của tài khoản

Để bảo vệ tài khoản administrator, hãy tạo mật khẩu khó đoán và tránh sử dụng thông tin dễ nhận biết như ngày sinh, tên thành viên gia đình hoặc bạn bè thân thiết.

- Password nên chứa các kí tự th-ờng, chữ hoa, các kí tự số và các kí tự đặt biệt hợp lệ khác (non-alphanumeric)

Chúng ta cần xác nhận quyền kiểm soát mật khẩu của người dùng và quản trị viên Thông thường, quyền này được cấp cho người dùng, cho phép họ nhập hoặc thay đổi mật khẩu trong lần đăng nhập đầu tiên Quản trị viên có thể cung cấp một mật khẩu duy nhất cho tài khoản, nhưng người dùng có quyền ngăn chặn việc thay đổi mật khẩu.

Các quản trị viên cần theo dõi thời gian đăng nhập của người dùng và thiết bị mà họ sử dụng để đăng nhập Thời gian kết thúc của tài khoản tạm thời cũng nên được kiểm soát chặt chẽ.

Quản trị mạng Doanh Nghiệp 52 hạn thời gian đăng nhập của user từ ngày đến đêm Xử lý mặc định của windows

2003 cho user là 24 tiếng mỗi ngày

Khi thiết lập máy tính cho người dùng đăng nhập, cần xác định máy tính mà họ sẽ sử dụng Mặc định, người dùng có thể đăng nhập vào miền từ bất kỳ máy tính nào, nhưng để tăng cường bảo mật, chúng ta nên giới hạn quyền đăng nhập cho người dùng chỉ từ những máy tính mà họ sở hữu.

Để quản lý tài khoản hiệu quả, chúng ta cần xác định thời điểm hết hạn sử dụng cho từng người dùng Nếu quyết định không gia hạn tài khoản, hãy đặt một ngày hết hạn cụ thể Đặc biệt, tài khoản của nhân viên tạm thời hoặc thực tập sinh nên hết hạn cùng ngày với hợp đồng của họ để đảm bảo tính nhất quán và quản lý dễ dàng hơn.

Tạo các loại user account

 Tạo tài khoản sử dụng cục bộ

Tài khoản sử dụng cục bộ cho phép người dùng đăng nhập và quản lý tài nguyên trên một máy tính duy nhất Loại tài khoản này thường chỉ phù hợp cho các môi trường mạng nhỏ.

 Tạo tài khoản sử dụng trong miền

Tài khoản sử dụng trong miền cho phép đăng nhập và truy cập các tài nguyên lưu trữ trên mạng Được tạo ra với sự hỗ trợ của miền điều khiển, tài khoản này có thể được cấu hình với các thiết đặt mật khẩu để thiết lập thư mục chính và vị trí lưu trữ dữ liệu trung tâm.

Khi khởi tạo tài khoản sử dụng trong miền, tài khoản này sẽ được tạo ra trong một miền điều khiển và tự động sao chép đến các miền điều khiển khác trong mạng Để tối ưu hóa quản lý, nên tạo tài khoản trong mục người dùng mặc định hoặc trong các thư mục khác nơi có các tài khoản sử dụng miền khác.

Quản trị mạng Doanh Nghiệp 54

- First Name: Tên của User

- Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user

- Last name: Họ của User

- Full name: Tên đầy đủ của user Nó nên là duy nhất trong th- mục account

Windows server 2003 có khả năng điền thông tin này sau khi tên và họ của ng-ời dùng đã đ-ợc nhập vào

- User logon name: Tuỳ chọn này nên là tên đăng nhập duy nhất dựa theo các quy tắc đặt tên và phải là duy nhất trong th- mục

Tên đăng nhập của người dùng (trước Windows 2000) là một định danh duy nhất được sử dụng để đăng nhập vào hệ thống Microsoft trước phiên bản Windows 2000 Định danh này là duy nhất trong miền và là một yếu tố bắt buộc.

Khi thêm tài khoản mới trong miền, bạn có thể thiết lập mật khẩu cho tài khoản đó Dưới đây là các tùy chọn để gán mật khẩu khi tạo người dùng mới.

- Password: Đây là password đ-ợc dùng trong khi xác nhận ng-ời dùng

- Confirm password: Xác định lại mật khẩu đã nhập ở trên

- User Must Change password at next logon: Để cho phép ng-ời dùng thay đổi password trong lần đăng nhập lần đầu tiên

Người dùng không thể thay đổi mật khẩu nếu tài khoản được sử dụng bởi nhiều người hoặc khi quản trị viên muốn kiểm soát mật khẩu Tùy chọn này giúp đảm bảo an ninh và quản lý tốt hơn trong môi trường có nhiều người dùng.

- Password never expires: Chọn tuỳ chọn này nếu password không bao giờ thay đổi

- Account Dissable: Với tuỳ chọn này chúng ta có thể dừng sử dụng của tài khoản sử dụng này

Tất cả các tài khoản đều có một tập hợp các thuộc tính cần thiết Mỗi miền cần được cấu hình với những thuộc tính bắt buộc sau đây.

Quản trị mạng Doanh Nghiệp 56

- Các thuộc tính các nhân sẽ có: thuộc tính chung (general), điện thoại (telephones), tổ chức (organizational)

- Thuéc tÝnh giê Logon (Logon hours)

Chi tiết các các tab thuộc tính này gồm:

- General: Tab này sẽ đ-ợc cung cấp thông tin về tên của ng-ời dùng, mô tả, điện thoại, tên mail sử dụng, địa chỉ văn phòng

- Address: Tab này sẽ cung cấp các địa chỉ đ-ờng, thành phố, hộp th-, bảng hay mã vùng(zip code) và n-ớc(country) của ng-ời dùng

- Account: Tab này sẽ cho phép định nghĩa tên đăng nhập của ng-ời dùng

Hồ sơ người dùng sẽ được tự động tạo ra các thiết lập ngoài màn hình và duy trì toàn bộ môi trường làm việc của người dùng.

Tùy chọn điện thoại cho phép người dùng lưu trữ thông tin về điện thoại gia đình, số fax, và điện thoại di động Ngoài ra, người dùng cũng có thể thêm các ghi chú liên quan tại đây.

Tùy chọn này cho phép lưu trữ các thông tin quan trọng như tiêu đề, giám đốc công ty, tên công ty hoặc tổ chức, cùng với thông tin người dùng và báo cáo trực tiếp từ người dùng.

- Member Of: Tuỳ chọn này sẽ cho phép l-u các nhóm mà trong đó ng-ời dùng này thuộc về

Tùy chọn Dial-In cho phép người dùng kết nối từ xa vào mạng thông qua việc quay số Để đảm bảo an toàn, có nhiều tùy chọn bảo mật có thể được thiết lập trong quá trình kết nối này.

+ Allow Access: Tự động xác định các thiết lập quay số vào có đ-ợc cho phép hay không

+ Deny Access: Sẽ xác định quay số vào có bị từ chối hay không

Để thiết lập môi trường làm việc cho khách hàng, tab này cần được sử dụng để xác định một hoặc nhiều ứng dụng khởi động cùng với tất cả các thiết bị kết nối khi người dùng đăng nhập.

- Sessions: Tuỳ chọn này đ-ợc sử dụng để giới hạn chiều dài của phiên(sessions)

Remote control sẽ xác định các thiết lập điều khiển từ xa cho các dịch vụ đầu cuối Những thiết lập này cho phép chúng ta giám sát phiên làm việc của máy khách trên bất kỳ máy tính nào đã đăng nhập vào máy chủ cuối.

Thiết lập lại password

Để thiết lập lại mật khẩu khi mật khẩu cũ đã hết hạn hoặc người dùng quên, chúng ta không cần biết mật khẩu cũ Các bước để thiết lập lại mật khẩu mới rất đơn giản và dễ thực hiện.

- Mở Active Directory User and Computer và chọn ng-ời dùng muốn thay đổi

- Chuột phải vào ng-ời dùng chọn Reset Password từ menu ngữ cảnh

- Chọn tuỳ chọn User Must Change Password At Next Logon để cho phép ng-ời dùng thay đổi password khi ng-ời dùng đăng nhập lại:

Quản trị mạng Doanh Nghiệp 58

Bỏ khoá các User Account

Khi người dùng vi phạm chính sách nhóm, Windows 2003 sẽ khóa tài khoản và hiển thị thông báo lỗi Để hủy bỏ khóa tài khoản người dùng, hãy làm theo các bước hướng dẫn sau đây.

- Mở Active Directory User and Computer và chọn ng-ời dùng muốn bỏ khoá

- Chuột phải vào ng-ời dùng chọn properties

- Chọn tab Account và xoá tuỳ chọn The Account Is Locked Out và ấn OK ii HOME FOLDER (th- mục dùng chung)

2.1 Giới thiệu về th- mục dùng chung (home folder)

Windows 2003 enables users to create a shared Home Folder within the My Documents directory, allowing them to store personal documents This Home Folder can be saved either on the client machine or on a file server.

Kích thước của thư mục dùng chung không ảnh hưởng đến hiệu suất mạng trong quá trình đăng nhập Thư mục này trên máy chủ có thể được xem như một ổ đĩa mạng, cho phép người quản trị tạo thư mục cho người dùng Ngoài ra, người quản trị có thể giới hạn dung lượng ổ đĩa mạng của người dùng, giúp giảm lãng phí dung lượng so với nhu cầu lưu trữ dữ liệu thực tế.

2.2 Tính chất của Home Folder

- Hiệu suất mạng (Performance of the Network): sẽ bị thấp đi nếu th- mục dùng chung đ-ợc định vị trong máy cục bộ

Trách nhiệm chính của một Administrator là đảm bảo khả năng khôi phục và sao lưu dữ liệu để chống mất mát thông tin Nên thực hiện sao lưu tất cả các file và tập trung lưu trữ trên một máy chủ Nếu thư mục dùng chung nằm trên máy cá nhân của người dùng, việc sao lưu thường xuyên trên mỗi máy tính là rất cần thiết.

Nên thiết lập một không gian lưu trữ bắt buộc trên máy chủ để người dùng có thể lưu trữ dữ liệu của họ Windows 2003 hỗ trợ giám sát và giới hạn việc sử dụng không gian đĩa thông qua tính năng hạn ngạch đĩa (disk quota).

- Nếu máy tính của ng-ời dùng có khoảng trống đĩa nhỏ thì các th- mục dùng chung nên đ-ợc tạo ra trên máy chủ của mạng

2.3 Tạo th- mục dùng chung cho các ng-ời dùng trên máy chủ

To create a directory on a server partition and share it, set the NTFS and Share Permissions for that directory to Full Control for Everyone.

- Mở Active Directory User and Computer và chọn một OU

- ở cửa sổ bên phải chọn tất cả các ng-ời dùng có trong đó chuột phải lên đó và chọn properties

Tại tab Profile trong cửa sổ properties, hãy chọn mục Profile path và nhập địa chỉ tương đối đến thư mục đã chia sẻ, kèm theo câu lệnh %username% Câu lệnh này giúp hệ thống tự động nhận diện tên đăng nhập của người dùng.

Để cấu hình thư mục Home Folder cho người dùng, trước tiên tích chọn vào mục Home Folder và chọn dòng Connect, sau đó chọn tên ổ đĩa mạng mà người dùng sẽ thấy khi đăng nhập Tiếp theo, nhập địa chỉ đường dẫn đến thư mục Home Folder đã tạo trên máy chủ vào ô To và nhấn Ok Để quản lý hiệu quả các Home Folder, nên đặt chúng vào cùng một thư mục chia sẻ trên server, giúp dễ dàng thiết lập hạn nghạch đĩa (disk quota) cho người dùng trong mạng.

Quản trị mạng Doanh Nghiệp 60

Sau khi hoàn tất việc thiết lập Home Folder, người dùng sẽ thấy thư mục này hiển thị như một ổ đĩa trong My Computer khi đăng nhập vào máy khách Điều này giúp người dùng không cần phải nhớ đường dẫn chính xác đến máy chủ.

Người dùng có thể tùy chỉnh và lưu trữ sơ lược thông tin cá nhân của mình trên một thư mục riêng Tất cả các thay đổi về sơ lược thông tin, bao gồm nền màn hình desktop và các tùy chọn menu start, sẽ được lưu lại tại đây Khi người dùng đăng nhập vào bất kỳ máy tính khách nào trong mạng, các thiết lập thông tin cá nhân sẽ không bị thay đổi, vì chúng được lưu trữ trên máy chủ và sẽ được nạp xuống máy tính của người dùng khi họ truy cập.

Thư mục Home được thiết lập cho người dùng trên máy chủ, chứa thông tin cơ sở (Profile) và dữ liệu cá nhân Theo mặc định, chỉ người dùng đó mới có quyền xem, sửa và xóa thông tin của mình, trong khi các người dùng khác, bao gồm cả quản trị viên, không thể truy cập vào thư mục Profile của họ.

Quản trị mạng Doanh Nghiệp 62

As an Administrator, you have the ability to take ownership of tasks and access or modify user information To transfer ownership from a user, right-click on the folder and select Properties In the Properties window, navigate to the Security tab and then click on Advanced In the Advanced settings, select the Owner tab, choose Administrator from the Name list, and check the box for "Replace owner on subcontainers and objects."

Sau khi nhấn Apply, một thông báo sẽ xuất hiện cho biết bạn không có quyền truy cập Nếu bạn muốn thay thế quyền, hãy chọn Yes để có quyền điều khiển toàn bộ (Full control) đối với thư mục đó, trong khi người sở hữu sẽ mất quyền truy cập.

Quản trị mạng Doanh Nghiệp 64

Khi quản trị viên thu hồi quyền truy cập của người dùng, người đó sẽ không còn khả năng vào thư mục của mình Để có thể truy cập lại thư mục này, người dùng cần yêu cầu quản trị viên khôi phục quyền truy cập.

Khi người dùng đăng nhập trên máy trạm, họ sẽ không thể kết nối tới cơ sở dữ liệu nữa, và một thông tin sơ lược sẽ tự động được tạo ra dưới dạng mặc định trên máy khách Để người dùng có thể sử dụng dữ liệu trong thư mục đó, Admin cần cấp lại quyền cho thư mục Trên máy server, nhấp chuột phải vào thư mục và chọn.

Giới thiệu về Disk Quota

Hạn nghạch đĩa (Disk Quota) là một công cụ mạnh mẽ giúp quản lý không gian đĩa trống trên máy chủ Người quản trị có khả năng kiểm soát dung lượng đĩa mà từng người dùng được phép sử dụng, từ đó tối ưu hóa hiệu suất và bảo mật hệ thống Việc cài đặt hạn nghạch đĩa giúp ngăn chặn tình trạng đầy ổ đĩa và đảm bảo tài nguyên được phân bổ hợp lý cho mọi người dùng.

Quản trị mạng Doanh Nghiệp cho phép thiết lập hạn nghạch đĩa cho từng người dùng dựa trên nhu cầu công việc của họ Để thiết đặt Disk quota, người quản trị cần chọn phân vùng chứa thư mục chia sẻ và nhấp chuột phải vào properties Trong cửa sổ properties, chọn tab Quota, kích hoạt quản lý hạn nghạch và chọn mục từ chối không gian đĩa cho người dùng vượt quá giới hạn Điều này ngăn người dùng lưu thêm dữ liệu khi đã đạt giới hạn cho phép Tiếp theo, người quản trị có thể chỉ định dung lượng giới hạn và đơn vị tính, cũng như thiết lập mức cảnh báo cho người dùng khi gần hết hạn nghạch.

Để quản lý hạn nghạch đĩa, bạn cần truy cập vào mục Quota Entries, nơi liệt kê danh sách người dùng có hoặc không có giới hạn Mặc định, tài khoản Administrator và các tài khoản có quyền tương tự không bị giới hạn Để thiết lập hạn nghạch cho một người dùng cụ thể, chọn menu Quota và nhấn New quota entry Trong hộp thoại hiện ra, nhập tên người dùng và nhấn OK Tiếp theo, chọn Limit disk space to và nhập giá trị giới hạn mong muốn Cuối cùng, thiết lập mức cảnh báo cho người dùng khi sắp hết hạn nghạch.

Sau đó ấn OK và đóng cửa sổ Quota entries lại, tại cửa sổ Quota ấn

Chúng ta đã hoàn thành việc thiết lập hạn nghạch đĩa (Disk Quota) cho người dùng, giúp giới hạn dung lượng ổ đĩa trên máy chủ Khi người dùng đăng nhập vào máy trạm, họ sẽ nhận thấy rõ ràng sự hạn chế này.

Quản trị mạng Doanh Nghiệp 70

VI NHóM Và CHíNH SáCH NHóM

4.1 Giới thiệu các Nhóm Trong windows 2003 server

Một tập tin các tài khoản của ng-ời sử dụng đ-ợc gọi là nhóm (Group)

Một ng-ời sử dụng có thể là thành viên của nhiều hơn một nhóm

Khi bổ sung thêm thành viên cho các nhóm cần l-u ý đến các b-ớc sau:

 Khi một ng-ời dùng là một thành viên của một nhóm thì ng-ời dùng đó sẽ đ-ợc thừa h-ởng các quyền mà nhóm đó có đ-ợc

 Một tài khoản sử dụng có thể là một thành viên của nhiều nhóm

Các nhóm trong miền chỉ được tạo ra trong miền điều khiển và lưu trữ trong dịch vụ thư mục Active Directory Chúng được sử dụng để gán quyền truy cập vào tài nguyên và quyền quản trị hệ thống cho các máy tính trong miền Việc sử dụng các nhóm trong miền giúp quản trị tập trung hiệu quả hơn.

Các nhóm trong một nhóm cục bộ được tạo ra trên các máy tính mà không có chức năng điều khiển miền Những máy tính này có thể là các máy khách sử dụng Windows XP hoặc các máy chủ chạy Windows 2003 Server.

In the Windows 2003 operating system, pre-defined groups are automatically created during the installation process and are stored in Active Directory User and Computers These groups have a global scope and include three specific types of groups.

Các nhóm Built-In trong Active Directory được sử dụng để xác định quyền và nhiệm vụ cho người dùng trên miền điều khiển Những nhóm này chỉ có thể được tạo ra trên các miền điều khiển và không thể bị xoá.

Các nhóm đặc biệt tự động tổ chức người dùng mà không cần sự can thiệp của quản trị viên Người dùng sẽ tự động trở thành thành viên của nhóm này hoặc gia nhập khi thực hiện các nhiệm vụ trên mạng.

Predefined Groups in Active Directory simplify user management for administrators by allowing them to control users within specific domains These groups are stored in the user directory and are exclusive to domain controllers.

Các nhóm cục bộ được tạo ra khi thiết lập các nhóm trong môi trường cục bộ, chỉ có thể thành lập trên các máy chủ thành viên hoặc máy tính chạy hệ điều hành Windows XP Chúng được sử dụng để cấp quyền truy cập cho các tài nguyên chỉ trên máy tính cục bộ Windows Server 2003 đã tự động tạo ra các nhóm mặc định với quyền hạn đặc biệt để thực hiện các nhiệm vụ hệ thống trên máy cục bộ, và người dùng có thể dễ dàng bổ sung vào những nhóm này.

Khi tạo nhóm cục bộ, cần hiểu rõ cách thức hoạt động của người dùng và các thành viên trong nhóm Nhóm cục bộ có thể được thiết lập trên máy chủ sử dụng Windows 2003 Server hoặc Windows 2003 Advanced Server, cũng như trên máy khách chạy Windows XP Việc sử dụng nhóm cục bộ phải tuân theo các nguyên tắc nhất định để đảm bảo hiệu quả và bảo mật.

+ Nhóm cục bộ không thể là một thành viên của một nhóm khác

+ Nhóm cục bộ chỉ có thể chứa các tài khoản sử dụng cục bộ từ máy tính mà ở đó nhóm cục bộ đã đ-ợc tạo

Chúng ta sử dụng các nhóm cục bộ để quản lý quyền truy cập vào tài nguyên trên máy cục bộ và thực hiện các nhiệm vụ hệ thống của nó.

Các nhóm cục bộ cần được thiết lập trên các máy tính không thuộc miền, và chỉ có thể sử dụng trên những máy đã tạo ra các nhóm này Một trong những nhược điểm của việc tạo nhóm cục bộ trên các miền là hạn chế trong khả năng quản lý và chia sẻ tài nguyên giữa các máy tính khác nhau.

Quản trị mạng Doanh Nghiệp 72

Khi cài đặt Windows XP hoặc Windows 2003 Advanced Server trên máy chủ thành viên, các nhóm Built-In được tạo tự động với một tập hợp quyền đã được định nghĩa sẵn Những nhóm này không thể bị xóa và đóng vai trò quan trọng trong việc quản lý quyền truy cập.

NHóM Và CHíNH SáCH NHóM

4.1 Giới thiệu các Nhóm Trong windows 2003 server

Một tập tin các tài khoản của ng-ời sử dụng đ-ợc gọi là nhóm (Group)

Một ng-ời sử dụng có thể là thành viên của nhiều hơn một nhóm

Khi bổ sung thêm thành viên cho các nhóm cần l-u ý đến các b-ớc sau:

 Khi một ng-ời dùng là một thành viên của một nhóm thì ng-ời dùng đó sẽ đ-ợc thừa h-ởng các quyền mà nhóm đó có đ-ợc

 Một tài khoản sử dụng có thể là một thành viên của nhiều nhóm

Các nhóm trong miền được tạo ra trong miền điều khiển và lưu trữ trong dịch vụ thư mục Active Directory Chúng được sử dụng để gán quyền truy cập vào tài nguyên và quyền quản trị hệ thống cho các máy tính trong miền Việc sử dụng các nhóm này giúp quản trị tập trung và hiệu quả hơn trong miền.

Các nhóm trong một nhóm cục bộ được tạo ra trên các máy tính mà không có chức năng điều khiển miền Những máy tính này có thể là các máy khách sử dụng Windows XP hoặc các máy chủ chạy Windows Server 2003.

In Windows 2003, default groups are automatically created during the installation process and are stored in Active Directory User and Computers These default groups operate on a global scope, and Windows 2003 supports three specific groups.

Các nhóm Built-In trong Active Directory được sử dụng để xác định quyền hạn và nhiệm vụ của người dùng trong một miền điều khiển Những nhóm này chỉ có thể được tạo ra trên các miền điều khiển và không thể bị xóa.

Các nhóm đặc biệt tự động tổ chức người dùng, với việc quản trị viên không thể thêm thành viên vào nhóm Người dùng sẽ trở thành thành viên của nhóm này theo mặc định hoặc khi thực hiện các nhiệm vụ trên mạng.

Predefined Groups in Active Directory offer administrators an efficient way to manage user permissions within a domain These groups are specifically associated with domain controllers and are stored in the user directory of Active Directory Users and Computers.

Các nhóm cục bộ được tạo ra khi thiết lập các nhóm trong môi trường cục bộ, chỉ có thể được tạo trên các máy chủ thành viên hoặc máy tính chạy hệ điều hành Windows XP Chúng cho phép quản lý quyền truy cập vào các nguồn tài nguyên trên máy tính cục bộ Windows 2003 đã tạo sẵn các nhóm mặc định với quyền hạn đặc biệt để thực hiện các nhiệm vụ hệ thống, và người dùng có thể dễ dàng được thêm vào những nhóm này.

Khi tạo nhóm cục bộ, cần hiểu rõ về cách thức hoạt động của người dùng và các thành viên trong nhóm Nhóm cục bộ có thể được thiết lập trên máy chủ sử dụng Windows 2003 Server hoặc Windows 2003 Advanced Server, cũng như trên máy khách chạy Windows XP Việc sử dụng nhóm cục bộ phải tuân theo các nguyên tắc cụ thể để đảm bảo hiệu quả và bảo mật.

+ Nhóm cục bộ không thể là một thành viên của một nhóm khác

+ Nhóm cục bộ chỉ có thể chứa các tài khoản sử dụng cục bộ từ máy tính mà ở đó nhóm cục bộ đã đ-ợc tạo

Chúng ta sử dụng các nhóm cục bộ để quản lý truy cập đến nguồn tài nguyên trên máy cục bộ và thực hiện các nhiệm vụ hệ thống của máy.

Các nhóm cục bộ cần được thiết lập trên những máy tính không thuộc miền Chúng chỉ có thể hoạt động trên các máy đã tạo ra nhóm cục bộ Một trong những nhược điểm của việc tạo nhóm cục bộ trên các miền là hạn chế khả năng sử dụng và quản lý.

Quản trị mạng Doanh Nghiệp 72

Khi cài đặt Windows XP hoặc Windows 2003 Advanced Server trên máy chủ thành viên, các nhóm Built-In sẽ được tạo tự động với các quyền đã được định nghĩa sẵn Những nhóm này không thể bị xóa và được thiết lập để quản lý quyền truy cập hiệu quả.

Các nhóm địa phương được tích hợp cho phép các thành viên thực hiện các nhiệm vụ hệ thống như thay đổi thời gian hệ thống, khôi phục và sao lưu các file, cũng như quản trị nguồn tài nguyên hệ thống Những nhóm này được lưu trữ trong thư mục nhóm người dùng và nhóm trong quản lý máy tính.

Trong nhóm Identities / Groups, người dùng được tổ chức tự động và thường không thể sửa đổi thành viên bởi quản trị viên Các thành viên trong nhóm này có thể là những người dùng mặc định hoặc trở thành thành viên trong quá trình hoạt động của mạng Windows 2003 bao gồm các nhóm đặc biệt này theo mặc định.

Tổng chi phí sở hữu bao gồm chi phí phân phối máy trên mạng Để giảm tổng chi phí mạng, chúng ta có thể áp dụng chính sách nhóm trong Microsoft Windows.

Chính sách nhóm trong Windows 2003 là công nghệ cho phép quản trị viên quản lý môi trường desktop qua mạng Việc này được thực hiện bằng cách áp dụng các thiết lập cấu hình cho máy tính và tài khoản người dùng, tập trung vào các đối tượng chính sách nhóm Chính sách nhóm giúp quản trị viên thiết lập yêu cầu cho người dùng hoặc máy tính, và các yêu cầu này sẽ được thực hiện liên tục Để định nghĩa thiết lập chính sách nhóm, chúng ta có thể sử dụng snap-in group policy và phần mở rộng của nó trong MMC.

- Administrative Templates: Cấu hình xuất hiện desktop, thiết lập ứng dụng và chạy các dịch vụ của hệ thống

- Folder Redirection: L-u trữ các th- mục của ng-ời dùng trên mạng

QUYÒN TRUY CËP NTFS - NTFS ACCESS PERMISSION

5.1 Giới thiệu về NTFS Để tăng tốc độ truy xuất, tăng độ tin cậy và khả năng t-ơng thích windows

Năm 2003, hệ thống file NTFS (New Technology File System) phiên bản 5.0 được ra mắt, mang lại nhiều lợi ích như hỗ trợ Active Directory, tính năng lưu trữ và quản lý phần mềm trên Windows 2003 NTFS 5.0 tích hợp các tính năng an toàn trong việc kiểm soát truy xuất dữ liệu, cùng với khả năng khôi phục và nén file Các folder và file trên partition NTFS có thể được nén mà không cần giải nén khi truy cập từ ứng dụng khác trên Windows 2003 Phiên bản này cũng cải thiện tốc độ truy xuất file và giảm số lần truy xuất đĩa Người dùng có thể thiết lập các mức độ quyền và truy cập cho file và folder, cho phép áp dụng quyền giống nhau cho tất cả người sử dụng trên máy tính.

Quản trị mạng Doanh Nghiệp 82 cho phép xác định các kiểu truy xuất mà người dùng hoặc nhóm người dùng có thể thực hiện trên các file cụ thể Quyền NTFS được cấp cho hai đối tượng chính là thư mục và file.

- Quyền trên Folder NTFS: quyền Folder đ-ợc gán quyền truy cập đến các file và folder chứa trong nó Những quyền chuẩn của NTFS đối với folder nh- sau:

Đọc: Người dùng có thể xem các tệp và thư mục con trong thư mục Các thuộc tính của thư mục, quyền sở hữu và quyền truy cập cũng có thể được hiển thị.

Người dùng có quyền tạo mới các tệp và thư mục con, đồng thời có thể thay đổi các thuộc tính của chúng Quyền sở hữu và quyền truy cập vào thư mục cũng sẽ được hiển thị rõ ràng.

 List Folder contens - Hiển thị nội dung folder: Sẽ cho phép ng-ời sử dụng thấy các subfolder và các tên file ở trong folder

 Read & Execute - Đọc và thực hiện: Sẽ cho phép ng-ời duyệt qua folder Nó cũng hỗ trợ quyền read và list folder contens

 Modify - Sửa đổi: Sẽ cho phép ng-ời sử dụng xoá folder và cũng hỗ trợ quyền Write, read và Execute

Quyền Toàn quyền điều khiển cho phép người sử dụng thay đổi quyền sở hữu, xóa file và subfolder, đồng thời hỗ trợ tất cả các quyền của folder NTFS Khi định dạng partition với hệ thống file NTFS, Windows 2003 mặc định cấp quyền Toàn quyền cho nhóm Everyone Để hạn chế quyền truy xuất của Administrator, người dùng cần chủ động thay đổi quyền này.

- Quyền trên File NTFS: Những quyền chuẩn trên các file NTFS đ-ợc thể hiện nh- sau:

Chức năng "Đọc" cho phép người dùng xem và đọc nội dung của các file, đồng thời hiển thị các thuộc tính của file, quyền sở hữu và các quyền liên quan.

Chức năng Ghi cho phép người dùng ghi đè lên các file hiện có Người dùng có thể thay đổi thuộc tính của file, quyền sở hữu và các quyền liên quan sẽ được hiển thị rõ ràng.

 Read & Execute: Sẽ cho phép ng-ời sử dụng duyệt qua file Nó cũng hỗ trợ quyền read và hiển thị nội dung file

 Modify - Sửa, thay đổi: Sẽ cho phép ng-ời sử dụng xoá file và cũng hỗ trợ cho phép write, read, execute

Quyền kiểm soát toàn diện cho phép người dùng thay đổi quyền sở hữu và giữ quyền sở hữu, đồng thời hỗ trợ tất cả các quyền file NTFS.

5.3 Sao chép và di chuyển file và folder (thu mục)

Khi di chuyển hoặc sao chép file và folder, quyền truy cập có thể thay đổi tùy thuộc vào vị trí đích Điều này làm nổi bật tầm quan trọng của việc hiểu rõ sự thay đổi quyền khi thực hiện các thao tác này Việc nắm bắt cách thức thay đổi quyền trong quá trình sao chép hoặc di chuyển file và folder là rất cần thiết để đảm bảo an toàn và bảo mật dữ liệu.

- Khi một file hay folder đ-ợc sao chép hoặc di chuyển trong phạm vi của partition NTFS, file hoặc folder sẽ giữ lại những quyền đó

- Khi một file hoặc folder đ-ợc sao chép hoặc di chuyển giữa nhiều partition NTFS, file hoặc folder sẽ thừa h-ởng những quyền cho phép của folder đích

Chúng ta có thể thiết lập quyền NTFS thông qua hộp thoại thuộc tính, xuất hiện khi nhấp chuột phải vào tệp hoặc thư mục Tại đây, người dùng có thể thay đổi quyền truy cập cho người dùng hoặc nhóm bằng cách chọn đối tượng tương ứng.

Nhấp chuột phải vào file hoặc folder và chọn properties Trong cửa sổ properties chọn tab Security mục này có các thành phần nh- sau:

Quản trị mạng Doanh Nghiệp 84

- User and Group Name: Nó cho phép chúng ta chọn tài khoản của ng-ời sử dụng hoặc nhóm mà chúng muốn thay đổi những quyền

Nó sẽ chấp nhận cho phép khi hộp thoại allow đã đ-ợc chọn

Nó sẽ không cho phép khi hộp thoại deny đã đ-ợc chọn

Nó sẽ hiển thị hộp thoại "Chọn Người dùng, Máy tính hoặc Nhóm", cho phép bạn thêm tài khoản người dùng hoặc nhóm vào danh sách tên.

- Remove: Nó sẽ xoá nhóm hoặc tài khoản ng-ời sử dụng theo cùng với những quyền đối với nhóm hoặc tài khoản ng-ời sử dụng

- Advanced: Các thiết lập quyền nâng cao nh- bỏ thừa kế, thêm quyền, bớt quyền thẩm định quyền và c-ớp quyền

5.5 Những quyền truy xuất đặc biệt trong NTFS

Trong một số trường hợp, chúng ta cần quyền truy cập đặc biệt mà quyền chuẩn của NTFS không thể cung cấp Để giải quyết vấn đề này, NTFS cung cấp quyền truy xuất đặc biệt, cho phép kiểm soát tối đa khi truy cập tài nguyên Bằng cách kết hợp 13 quyền truy cập đặc biệt, chúng ta có thể đạt được quyền cho phép chuẩn Hai quyền truy cập đặc biệt quan trọng trong quản lý quyền truy cập file hoặc folder là Change permission và Take Ownership.

Thay đổi giấy phép cho phép người quản trị và người dùng khác có thể dễ dàng điều chỉnh quyền truy cập trên các tệp hoặc thư mục Những người được giao quyền này chỉ có khả năng thay đổi quyền mà không thể xóa hoặc ghi đè lên tệp hoặc thư mục.

Việc chuyển quyền sở hữu các folder hoặc file từ nhóm này sang nhóm khác là hoàn toàn khả thi Trong quá trình này, chúng ta có thể cấp quyền sở hữu cho một cá nhân khác Nếu bạn là người quản trị, bạn cũng có thể nhận quyền sở hữu đối với các file hoặc folder Tuy nhiên, cần tuân thủ một số nguyên tắc khi gán quyền sở hữu, trong đó người chủ hiện tại hoặc người sử dụng có quyền Full Control có khả năng cung cấp quyền Full Control hoặc Take Ownership cho nhóm hoặc người sử dụng khác.

Quyền sở hữu file hoặc folder có thể được thực hiện bởi thành viên nhóm quản trị, với quyền đã được cấp cho họ Một người quản trị có trách nhiệm thực hiện các quyền sở hữu này Để cấp quyền sở hữu đặc biệt, cần tuân theo các bước hướng dẫn cụ thể.

B-ớc 1: Nhấn nút Advanced và từ tab sercurity trong hộp thoại properties

B-ớc 2: Từ trang Access control setting for program files nhấp chọn tab permission

B-ớc 3: Để áp dụng những quyền sở hữu đặc biệt của NTFS chúng ta chọn nhóm hoặc tài khoản ng-ời sử dụng và nhấp chọn nút View/Edit

Những thiết lập của chúng ta trong hộp thoại Permission entry đ-ợc thể hiện d-ới đây:

Ngày đăng: 14/10/2021, 23:53

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
1. Windows 2000 Server, Trung tâm đào tạo Lập Trình Viên Quốc tế Bách Khoa – Aptech. NXB Tập Đoàn Aptech WorldWide tháng 04 năm 2004 Khác
2. Windows XP Professional, NXB Trung tâm Bách khoa – Aptech tháng 4/2004 Khác
3. Quản trị mạng và ứng dụng của Active Directory, tác giả K.S Ngọc Tuấn, NXB Thống Kê, Năm XB 2004, số trang 378 Khác
4. Mạng truyền thông Công Nghiệp, tác giả Hoàng Minh Sơn, NXB Khoa học kĩ thuật, năm XB 2004, số trang 256 Khác
5. 100 Thủ thuật bảo mật mạng, tác giả K.S Nguyễn Ngọc Tuấn, Hồng Phúc, NXB Giao thông vận tải, năm XB 2005, số trang 335.II) Website Khác

HÌNH ẢNH LIÊN QUAN

- Hỗ trợ tốt hơn cấu hình đĩa đặc biệt - Quản trị mạng doanh nghiệp
tr ợ tốt hơn cấu hình đĩa đặc biệt (Trang 7)
cấu hình tự động TCP/IP đ-ợc thực hiện bằng cách sử dụng DHCP. - Quản trị mạng doanh nghiệp
c ấu hình tự động TCP/IP đ-ợc thực hiện bằng cách sử dụng DHCP (Trang 38)
Sau khi tạo phạm vi DHCP, chúng ta có thể cấu hình tuỳ chọn DHCP để có thể áp dụng cho các máy khách hoặc nhóm các máy khách - Quản trị mạng doanh nghiệp
au khi tạo phạm vi DHCP, chúng ta có thể cấu hình tuỳ chọn DHCP để có thể áp dụng cho các máy khách hoặc nhóm các máy khách (Trang 48)
Sau khi hoàn tất việc cài đạt và cấu hình dịch vụ DHCP trên máy chủ thì việc quan trọng tiếp theo là chúng ta phải cấp quyền cho máy chủ hay chứng thực cho máy chủ DHCP đó - Quản trị mạng doanh nghiệp
au khi hoàn tất việc cài đạt và cấu hình dịch vụ DHCP trên máy chủ thì việc quan trọng tiếp theo là chúng ta phải cấp quyền cho máy chủ hay chứng thực cho máy chủ DHCP đó (Trang 49)
Thiết lập chính sách nhóm GPO đ-ợc phân thành: cấu hình máy tính và cấu hình ng-ời sử dụng - Quản trị mạng doanh nghiệp
hi ết lập chính sách nhóm GPO đ-ợc phân thành: cấu hình máy tính và cấu hình ng-ời sử dụng (Trang 74)
 Computer Configuratio n- Cấu hình máy tính - Quản trị mạng doanh nghiệp
omputer Configuratio n- Cấu hình máy tính (Trang 75)
 User Configuratio n- Cấu hình ng-ời sử dụng - Quản trị mạng doanh nghiệp
ser Configuratio n- Cấu hình ng-ời sử dụng (Trang 76)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w