Đang tải... (xem toàn văn)
Giáo trình Quản trị mạng máy tính (Nghề Kỹ thuật sửa chữa, lắp ráp máy tính): Phần 1 được biên soạn sẽ giúp người học nắm được tổng quan về các dịch vụ mạng, hệ điều hành Windows server, xây dựng DHCP server, xây dựng và quản trị activedirectory và quản lý tài khoản người dùng - nhóm. Mời các bạn tham khảo!
ỦY BAN NHÂN DÂN TỈNH VĨNH LONG TRƯỜNG CAO ĐẲNG NGHỀ VĨNH LONG GIÁO TRÌNH MƠ ĐUN: QUẢN TRỊ MẠNG MÁY TÍNH TÊN NGHỀ: KỸ THUẬT SỬA CHỮA, LẮP RÁP MÁY TÍNH TRÌNH ĐỘ : CAO ĐẲNG (Ban hành theo Quyết định số 171 /QĐ - CĐNVL ngày 14 tháng năm 2017 Hiệu trưởng trường Cao đẳng nghề Vĩnh Long) (Lưu hành nội bộ) NĂM 2017 ỦY BAN NHÂN DÂN TỈNH VĨNH LONG TRƯỜNG CAO ĐẲNG NGHỀ VĨNH LONG Tác giả biên soạn: ThS Lê Văn Tân GIÁO TRÌNH MƠ ĐUN: QUẢN TRỊ MẠNG MÁY TÍNH NGHỀ: KỸ THUẬT SỬA CHỮA, LẮP RÁP MÁY TÍNH TRÌNH ĐỘ: CAO ĐẲNG NĂM 2017 LỜI MỞ ĐẦU Những năm qua sống thời kỳ phát triển nhanh chóng sơi động cơng nghệ thơng tin Chiếc máy vi tính đa năng, tiện lợi hiệu mà dùng, trở nên chật hẹp bất tiện so với máy vi tính nối mạng Từ xuất mạng máy tính, tính hiệu tiện lợi mạng làm thay đổi phương thức khai thác máy tính cổ điển Mạng cơng nghệ mạng đời cách khơng lâu triễn khai ứng dụng hầu hết khắp nơi hành tinh Chính vậy, kiến thức tin học viễn thơng nói chung mạng nói riêng trở nên kiến thức phổ thông thiếu cho người khai thác máy vi tính, nước ta việc lắp đặt khai thác mạng máy tính vòng năm trở lại đây, đến số quan, trường học, đơn vị có nhu cầu khai thác thông tin mạng ngày gia tăng Đồng thời với việc khai thác thông tin mạng, người dùng cần phải quản lý mạng nhằm khai thác mạng hiệu an toàn Quản lý mạng cơng việc phức tạp, có liên quan đến hàng loạt vấn đề như: * Quản lý lỗi * Quản lý cấu hình * Quản lý an ninh mạng * Quản lý hiệu * Quản lý tài khoản Để làm điều cách có hiệu phải theo dõi cách tồn diện tình trạng hoạt động mạng cách sử dụng nghi thức quản trị mạng Các nghi thức quản trị mạng chuẩn hoá chủ yếu tạo giao tiếp chuẩn phần mềm quản trị với nguồn tin liên quan đến hoạt động mạng từ nút mạng chuyển tới Thông tin từ thiết bị thực cung cấp thông tin liên quan đến quản trị cấu hình, quản trị lỗi, quản trị hiệu quả, chút quản trị an ninh tài khoản Vì vậy, năm khía cạnh quản trị mạng nêu trên, nghi thức quản trị mạng đáp ứng trực tiếp cho hai khía cạnh quản trị lỗi quản trị cấu hình Vì vậy, để làm rõ ý nghĩa nghi thức quản trị mạng, sau trình bày chi tiết khía cạnh nêu Mô đun Quản trị mạng mô đun chuyên môn người học ngành quản trị mạng Mô đun nhằm trang bị cho người học trường nghề kiến thức kỹ thuật truyền số liệu Với kiến thức người học áp dụng trực tiếp vào lĩnh vực sản xuất đời sống Mơ đun làm tài liệu tham khảo cho cán kỹ thuật, người học ngành khác quan tâm đến lĩnh vực Giáo trình Quản trị mạng máy tính chia làm 11 bài: Bài mở đầu: Giới thiệu tổng quan Bài 01 : Cài đặt cấu hình Windows Server Bài 02 : Xây dựng dịch vụ DNS Bài 03 : Xây dựng dịch vụ DHCP Bài 04: Xây dựng quản trị Active Directory Bài 05: Quản lý tài khoản người dùng nhóm Bài 06: Quản lý tài nguyên dùng chung Bài 07: Quản trị môi trường mạng Group Policy Bài 08: Giám sát hoạt động Server Bài 09: Quản trị lưu trữ bảo mật liệu Bài 10: Quản trị cố MS Windows Server Mục tiêu cần đạt kiến thức kỹ sau học: Kiến thức: Được đánh giá qua kiểm tra viết, trắc nghiệm đạt yêu cầu sau: + Trình bày vai trò, chức dịch vụ hệ thống mạng + Trình bày kiến thức giao thức TCP/IP, địa IP V4 + Trình bày vai trò chức định tuyến mạng hệ thống mạng cơng ty, doanh nghiệp + Trình bày vai trò dịch vụ DNS vấn đề phân giải tên miền + Trình bày vai trị dịch vụ DHCP việc cung cấp giải pháp cấp địa IP động đến tất máy tính, thiết bị mạng hệ thống + Trình bày vai trị, chức dịch vụ thơng dụng Web, Mail, FTP + Trình bày mơ hình ngun tắc hoạt động mạng riêng ảo VPN để từ ứng dụng vào nhu cầu địi hỏi kết nối thực tế cơng ty, doanh nghiệp + Trình bày nguyên tắc bảo mật ứng dụng vào dịch vụ mạng Kỹ năng: Đánh giá kỹ thực hành sinh viên thực hành mô đun quản trị mạng thiết bị mạng đạt yêu cầu sau: + Triển khai kế hoạch phân bổ địa IP hoàn chỉnh cho hệ thống mạng + Xây dựng sơ đồ định tuyến hệ thống mạng cấu hình thiết bị Router nhằm đảm bảo cho việc liên lạc hệ thống mạng thông suốt + Triển khai dịch vụ DHCP cấp địa IP động cho tất máy tính thiết bị hệ thống mạng + Xây dựng dịch vụ DNS Server, đảm bảo cho việc phân giải tên miền nội thông suốt, làm tảng hỗ trợ cho dịch khác hệ thống mạng + Xây dựng kế hoạch quản ly người dùng, thư mục dùng chung, chia sẻ, giám sát, sửa lỗi máy chủ vận hành + Triển khai giải pháp truyền thông bảo mật với IPSec Certificate đưa mơ hình kết nối liệu cho hệ thống mạng nội xa thông qua kỹ thuật kết nối mạng riêng ảo VPN Năng lực tự chủ trách nhiệm: + Có ý thức tự giác, tính kỷ luật cao, tinh thần trách nhiệm cơng việc + Có tinh thần hợp tác, giúp đỡ lẫn nhau; + Có lực dẫn dắt chuyên môn, nghiệp vụ đào tạo; + Có sáng kiến q trình thực nhiệm vụ giao + Tính kiên trì, cẩn thận, xác cơng việc Mặc dù có cố gắng biên soạn lại theo giáo trình Tổng cục dạy nghề ban hành để hoàn thành theo kế hoạch, hạn chế thời gian kinh nghiệm soạn thảo giáo trình, nên tài liệu chắn cịn khiếm khuyết Rất mong nhận đóng góp ý kiến thầy sử dụng tài liệu Tác giả biên soạn MỤC LỤC Trang Bài mở đầu: GIỚI THIỆU TỔNG QUAN Giới thiệu 1.1 Tổng quan dịch vụ mạng 1.1.1 Dịch vụ tập tin (Files Services) 1.1.2 Dịch vụ in ấn (Print Services) 10 1.1.3 Dịch vụ thông điệp (Message Services) 10 1.1.4 Dịch vụ thư mục (Directory Services) 10 1.1.5 Dịch vụ ứng dụng (Application Services) 11 1.1.6 Dịch vụ sở liệu (Database Services) 11 1.1.7 Dịch vụ Web 11 1.2 Địa TCP/IP, subnet mask 11 1.2.1 Địa TCP/IP lớp 11 1.2.2 Chia mạng (subnetting) 13 Hệ điều hành Windows server 15 2.1 Các phiên Windows 15 2.2 Đặc điểm phiên 22 2.3 Chức Windows server 22 Bài 1: CÀI ĐẶT VÀ CẤU HÌNH WINDOWS SERVER 24 Chuẩn bị để cài đặt MS Windows 24 1.1 Các phương pháp cài đặt 24 1.2 Yêu cầu phần cứng 24 Cài đặt / nâng cấp Windows 25 2.1 Các bước cài đặt 25 2.2 Cài đặt không cần theo dõi 33 2.3 Nâng cấp từ phiên Windows cũ 33 Đặt thông tin theo yêu cầu 33 3.1 Tên máy 33 3.2 Chia đĩa 33 3.3 Đặt IP, Subnet mask 33 3.4 Thông tin khác 33 Bài 2: XÂY DỰNG DHCP SERVER 34 Giới thiệu DHCP 34 1.1 Mơ hình hoạt động DHCP 34 1.2.Vai trò DHCP 34 Quá trình cấp phát động DHCP 35 2.1 Cấp phát địa IP cho Clients 35 2.2 Làm địa IP cho Clients 36 Thiết lập DHCP Server 36 3.1 Các bước cài đặt DHCP Service 36 3.2 Cấu hình Scope Options 41 Thiết lập DHCP Relay Agent 44 4.1 Mơ hình Vai trị DHCP Relay Agent 44 4.2 Quá trình hoạt động DHCP Relay Agent 45 4.3 Các bước cấu hình DHCP Relay Agent 45 Xử lý cố thông dụng DHCP 45 Bài 3: XÂY DỰNG DNS SERVER 47 Giới thiệu dịch vụ DNS 47 1.1 Giới thiệu 47 1.2 Cấu trúc thành phần DNS Name 48 2.1 Các thành phần phân giải DNS name 48 2.2.Quá trình phân giải tên: Truy vấn đệ quy Truy vấn tương tác 50 2.3 Vai trò Root Hints, Forwarders, Caches 51 2.4 Quá trình hoạt động Zone Transfers 52 Xây dựng DNS Server 52 3.1 Giới thiệu DNS Zones, Zone Types 52 3.2 Giới thiệu loại Record 52 3.3 Các bước cài đặt DNS Service 56 3.4 Các bước cấu hình DNS Zones 59 Cấu hình DNS Zone Delegation 72 4.1 Mơ hình hoạt động DNS Zones Delegation 72 4.2 Các bước xây dựng cấu hình DNS Zones Delegation, Sub-Domain, SubDNS Server, Forwarders 73 Xử lý cố thông dụng DNS 74 Bài 04: XÂY DỰNG VÀ QUẢN TRỊ ACTIVEDIRECTORY (AD) 75 Giới thiệu Active Directory 75 1.1 Giới thiệu AD: Vai trò MS Windows Server 2003, AD service 75 1.2 Chức Active Directory 75 Các thành phần Active Directory 76 2.1 Các khái niệm 76 2.2 Domain, Tree, Forest 77 Cài đặt cấu hình máy điều khiển vùng (Domain Controller) 79 3.1 Các bước chuẩn bị 79 3.2 Các bước cài đặt 80 3.3 Kiểm tra cài đặt thành công 88 Quản trị máy điều khiển miền Domain Controller 89 4.1 Giới thiệu lớp chứa ADUC 89 4.2 Xử lý số cố thường gặp 90 Bài 5: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM 93 Giới thiệu 93 1.1 Quá trình đăng nhập vào hệ thống 93 1.2 Tài khoản người dùng cục 93 1.3 Tài khoản người dùng miền 97 Tài khoản người dùng 97 2.1 Tạo tài khoản người dùng giao diện 97 2.2 Tạo tài khoản người dùng dòng lệnh 98 Tài khoản nhóm 100 3.1 Ý nghĩa group scope 100 3.2 Ý nghĩa group type 100 Bài 6: QUẢN LÝ TÀI NGUYÊN DÙNG CHUNG 103 Tổng quan quyền truy xuất tài nguyên 103 1.1 Khái niệm quyền truy xuất: File (Shared, NTFS), Print, Services 104 1.2 Quản lý tài khoản (SID, ACE, DACL) 104 Quyền chia sẻ thư mục – Shared folder 104 2.1 Chia sẻ quản trị: Drive$, Admin$, Netlogon, Sysvol 105 2.2 Quyền thực chia sẻ Local (Administrators, Power Users Group); Domain (Administrators, Server Operators) 108 2.3 Các bước thực chia sẻ: Computer Management, My Computer; Net Share 111 2.4 Các bước quảng bá thư mục chia sẻ cho Domain 113 2.5 Quyền chia sẻ: change, Write, Read 119 Quyền quản lý File – NTFS 119 3.1 Giới thiệu đặc trưng hệ thống file NTFS 119 3.2 Các bước thiết lập NTFS cho file Folder 120 3.3 Các ảnh hưởng hiệu ứng quyền hạn 121 Triển khai dịch vụ file – DFS 124 4.1 Giới thiệu dịch vụ DFS 124 4.2 Các bước thực triển khai hệ thống chia sẻ file Dfs: Root, Link 124 Cài đặt quản trị máy in mạng 126 5.1 Quyền truy xuất: Print, Manage Docs, Manage Printers 127 5.2 Quản trị in: Print Soopler Service, vi trí lưu trữ hàng đợi in, Priorities, Schedules, Printing Pool 128 Bài 7: QUẢN TRỊ MÔI TRƯỜNG MẠNG GROUP POLICY 130 Giới thiệu Group Policy 130 1.1 Giới thiệu Local Policy 130 Cách sử dụng chung: tìm tới nhánh, chọn thiết lập phù hợp 132 1.2 Giới thiệu Domain Policy 132 1.3 Các cấp độ áp dụng Group Policy (Site, Domain, OU, Local) 134 1.4 Các thành phần Group Policy (Users, Computers) 143 Triển khai Group Policy 147 Các công cụ triển khai GPO: Default GP Tools, Gpedit.msc, GP Management (Gpmc.msi) 148 Các bước triển khai Group Policy 151 Bài 8: GIÁM SÁT HOẠT ĐỘNG MÁY CHỦ (SERVER) 158 Giới thiệu phương thức quản trị Server 158 1.1 Giới thiệu Local, Remote: Console, MMC, Remote Desktop 158 1.2 Giới thiệu System Tools, Storage, Services and Applications 160 1.3 Sử dụng Remote Desktop 161 Giám sát hoạt động Server 162 2.1 Sử dụng công cụ giám sát (Performance, System Monitor) 163 2.2 Các giải pháp nâng cấp phần cứng tối ưu hóa Server 163 Giới thiệu lưu trữ liệu 166 1.1 So sánh đặc trưng hệ thống tập tin: FAT, FAT32 NTFS 166 1.2 Đĩa tĩnh (Static Disk): Partitions (Primary, Logical) 168 1.3 Đĩa động (Dynamic Disk) 171 Cấu hình Static Disk: 171 Cấu hình Dynamic Disk 172 Sao lưu phục hồi liệu 174 4.1 Giới thiệu Backup/Restore 174 4.2 Các kiểu lưu: Normal, Differential, Incremental, Copy 181 4.3 Lập lịch lưu dự phòng 184 4.4 Sử dụng Shadow Copy 185 Tối ưu hóa lưu trữ liệu 188 5.1 Giới thiệu nén liệu 188 5.2 Thực nén: Compact 189 Bảo vệ liệu với EFS 191 Hạn ngạch lưu trữ với Disk Quota 194 7.1 Giới thiệu Disk Quota 194 7.2 Thiết lập gỡ bỏ Disk Quota cho Users 194 BÀI 10: QUẢN TRỊ SỰ CỐ MS WINDOWS SERVER 197 Q trình khơi phục cố Server 197 1.1 Hoạch định cố 197 1.2 Thay cố phần cứng 197 1.3 Khôi phục hệ điều hành, liệu 199 1.4 Kiểm tra thành phần phần cứng, phần mềm 202 Sao lưu phục hồi Server 208 2.1 Sử dụng System Restore 209 2.2 Sử dụng OS Restore (Symantec Ghost, Acronic True Image) 215 Các phương thức khắc phục cố Server 215 Kiểm tra cập nhật sửa lỗi 215 TÀI LIỆU THAM KHẢO CHÍNH 216 BAI MỞ ĐẦU: GIỚI THIỆU TỔNG QUAN Mục tiêu : Trình bày dịch vụ mạng; Trình bày kiến trúc TCP/IP; Trình bày ý nghĩa, chức năng, đặc điểm Windows Sever; Thiết lập địa IP; Tính cẩn thận, tỉ mỉ cơng việc Nội dung Giới thiệu 1.1 Tổng quan dịch vụ mạng Các dịch vụ mạng phổ biến là: - Dịch vụ tập tin - Dịch vụ in ấn - Dịch vụ thông điệp - Dịch vụ thư mục - Dịch vụ ứng dụng - Dịch vụ sở liệu - Dịch vụ Web 1.1.1 Dịch vụ tập tin (Files Services) Dịch vụ tập tin cho phép máy tính chia sẻ tập tin, thao tác tập tin chia sẻ như: lưu trữ, tìm kiếm, di chuyển Truyền tập tin: khơng có mạng, khả truyền tải tập tin máy tính bị hạn chế Ví dụ muốn chép tập tin từ máy tính cục Việt Nam sang máy tính server đặt Pháp dùng dịch vụ FTP để chép Dịch vụ phổ biến đơn giản Lưu trữ tập tin: phần lớn liệu quan trọng mạng lưu trữ tập trung theo nhiều cách khác nhau: Lưu trữ trực tuyến (online storage): liệu lưu trữ đĩa cứng nên truy xuất dễ dàng, nhanh chóng, thời gian Nhưng phương pháp có khuyết điểm chúng tháo rời để trao đổi lưu trữ tách rời, đồng thời chi phí lưu trữ MB liệu tương đối cao Lưu trữ ngoại tuyến (offline storage): thường áp dụng cho liệu cần truy xuất (lưu trữ, backup) Các thiết bị phổ biến dùng cho phương pháp băng từ, đĩa quang 3.3 Kiểm tra cài đặt thành công Trong hệ thống mạng domain vai trò Domain Controller quan trọng, trung tâm quản lý điều phối toàn hệ thống, Domain controller gặp cố tồn hệ thống mạng bị ngừng trệ Vậy nên việc lưu - phục hồi dành cho domain cotroller cần thiết chưa đủ phải downtime hệ thống Việc ưu tiên xem xét hàng đầu triển khai hệ thống mạng doamin tăng khả sẳn sàng (High availability) cho Domain Controller Bằng cách cài đặt thêm Additional Domain Controller yên tâm phần cho hệ thống hoạt động liên tục ổn định Khi ta cài đặt Additional Domain Controller vào Forest có sẵn, trình cài đặt Active Directory kiểm tra điều kiện cần thiết tập hợp thông tin cấu hình từ ta cho trình nâng cấp Domain controller sẵn có đồng thơng tin domain, forest, directory partition, thêm vào ta chọn tùy chọn cài đặt DNS sau nâng cấp thành cơng tồn thông tin dịch vụ DNS cập nhật cho Additional DC 88 Quản trị máy điều khiển miền Domain Controller Máy điều khiển miền (Domain controllers) – windows 2000 Server Mỗi Domain controller cất trữ bảo trì thư mục Trong domain, tài khoản người dùng tạo lần, Windows 2000 ghi thư mục Khi người dùng đăng nhập tới máy tính domain, domain controller kiểm tra thư mục nhờ tên người sử dụng, mật giới hạn đăng nhập Khi có nhiều domain controller, kí tái tạo thông tin thư mục chúng 4.1 Giới thiệu lớp chứa ADUC Ta sử dụng Active Directory Users and Computers để quản lý người nhận Active Directory Users and Computers MMC snap-in phần tiêu chuẩn Microsoft Windows Server ™ hệ điều hành Tuy nhiên, ta cài đặt Exchange 2003, hướng dẫn cài đặt tự động mở rộng chức Active Directory Users and Computers để bao gồm nhiệm vụ cụ thể Exchange Lưu ý: Nếu Active Directory Users Computers snap-in cài đặt máy tính mà khơng có Exchange cơng cụ quản lý Exchange cài đặt, ta thực nhiệm vụ Exchange từ máy tính Ta bắt đầu Active Directory Users and Computers từ máy chủ Exchange từ máy trạm có cơng cụ Exchange Hệ thống quản lý cài đặt Để hướng dẫn chi tiết, xem Làm để mở Active Directory Users and Computers Hình cho thấy làm Directory Users and Computers xuất hình Active Directory Users hệ thống phân cấp máy tính 89 Panel bên trái Active Directory Users and Computers giao diện điều khiển cho thấy tên miền đầy đủ ta cấp độ gốc Nhấp vào dấu + (cộng) để mở mục gốc Dưới phần gốc số thùng chứa mặc định: Builtin container cho tài khoản người dùng xây dựng Máy tính Mặc định container cho đối tượng máy tính Default Domain Controllers container cho điều khiển miền ForeignSecurityPrincipals container cho nguyên tắc bảo mật từ lĩnh vực bên đáng tin cậy Quản trị viên nên không tự thay đổi nội dung container Người sử dụng mặc định container cho đối tượng người dùng Ngoài thùng chứa mặc định, ta tổ chức đối tượng thư mục đơn vị hợp lý cách tạo container đặt tên đơn vị tổ chức Ví dụ, ta tạo đơn vị tổ chức cho nhóm tiếp thị ta chứa tất đối tượng thư mục liên quan đến phận tiếp thị công ty ta Đơn vị tổ chức hữu ích cho việc áp dụng thiết lập Group Policy tổ chức đối tượng cách có ý nghĩa Để biết thêm thơng tin đơn vị tổ chức, xem tài liệu Windows Sau ta tổ chức thùng chứa Active Directory Users and Computers, sau ta sử dụng container: Tạo người nhận Thực nhiệm vụ cụ thể Exchange- Quản lý nhiều lĩnh vực trao đổi 4.2 Xử lý số cố thường gặp Trên Domain Controller sử dụng hệ điều hành Windows Server SP1 mở chức Windows Firewall thường gặp lỗi hoạt động sau: - Các chức Domain Controller thực - Một số Active Directory (AD) Object Replication Hiện tượng thường gặp Chúng ta nhận thấy lỗi sau : 1- Client Computer thiết lập Secure connection (giao dich bảo mật) với Domain controller 2- Không thể thực logon với Domain User Account 3- User truy cập tài nguyên Domain cung cấp Member Servers 4- Các Additional Domain Controller không hoạt động sau nâng cấp 90 5- Xuất thông báo lỗi File Replication Service Event Log Event ID 13508 "The File Replication Service is having trouble enabling replication from …" không kèm với thông báo lỗi như: Event ID 13509 "The File Replication Service has enabled replication from …" -Event ID 13516 "The File Replication Service is no longer preventing the computer … from becoming a domain controller." 6- Trên Additional Domain controller sau xây dựng, không thấy share folders SYSVOL NETLOGON 7- Trên Additional Domain controller sau xây dựng, folders chứa GPOs%systemroot%\SYSVOL\domain\Policies Không nhận thông tin replication tù Domain Controller khác Nguyên nhân Việc mở chức Firewall Domain Controller ngăn cản máy Client Computer truy cập Active Directory ngăn chận thực công tác AD-Replication Giải pháp xử lý Để xử lý lỗi nói trên, thực công việc bao gồm : Cấu hình Active Directory File Repication Service (AD-FRS) sử dụng TCP/IP Port xác định không bị tranh chấp cấu hình Firewall cho phép Incomming Connections chương trình ports yêu cầu 1) Cấu hình AD-FRS sử dụng TCP/IP Port xác định a- Chọn Ports cụ thể không bị sử dụng Domain controller Chúng ta chọn Ports có gía trị khoảng từ 49152 dến 65535 (Ví dụ : 53211 53212 ) b- Tạo thêm biến Registry Domain controller sau: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters \ TCP/IP Port tạo biến DWORD chứa giá trị Port VD: 53211cfdb(hex) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parame ters\RPC TCP/IP Port Assignment tạo biến DWORD chứa fía trị Port VD: 53212 cfdc (hex) 2) Cấu hình Firewall Service Thiết lập GPO để cấu hình Firewall Service áp dụng lên Domain Controllers (có thể áp dụng GPO OU=Domain Controllers có sẵn Domain) sau : 91 a Windows Firewall: Protect all network connections – Enabled b Windows Firewall: Allow remote administration exception - Enabled (enables port 135 445) c Windows Firewall: Allow file and printer sharing exception: - Enabled d Windows Firewall: Define port exceptions: -Enabled (trong bảng Exception, giá trị * có ý nghĩa cho phép incoming requests từ địa nào) 123:udp:*:enabled:NTP 3268:tcp:*:enabled:Global Catalog LDAP 389:tcp:*:enabled:LDAP 389:udp:*:enabled:LDAP 53:tcp:*:enabledNS 53:udp:*:enabledNS 53211:tcp:*:enabled:AD Replication (Lưu ý: sử dụng Port chọn phần 1) 53212:tcp:*:enabled:File Replication Service (Lưu ý: sử dụng Port chọn phần1) 88:tcp:*:enabled:Kerberos 88:udp:*:enabled:Kerberos CÂU HỎI ÔN TẬP Trình bày bước xây dựng AD ? Cài đặt dịch vụ AD? cấu hình? Nêu bước triển khai? bước kiểm tra? 92 BÀI 5: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM Mục tiêu: Trình bày cách tài khoản người dùng, tài khoản nhóm; Tạo quản trị tài khoản người dùng, tài khoản nhóm; Tính xác, đắn định quản trị Nội dung: Giới thiệu 1.1 Quá trình đăng nhập vào hệ thống Nếu ta không muốn nhập tên người dùng mật truy cập vào sản phẩm Google ưa thích mình, ta chọn tuỳ chọn 'Duy trì trạng thái đăng nhập' trang đăng nhập Tài khoản Google phía nút Đăng nhập Nếu bạn chọn tuỳ chọn đăng nhập vào Tài khoản Google bạn thành công, hệ thống không yêu cầu bạn đăng nhập lại tối đa tuần, trừ ta đăng xuất 1.2 Tài khoản người dùng cục Tài khoản người dùng cục (local user account) tài khoản người dùng định nghĩa máy cục phép logon, truy cập tài nguyên máy tính cục Nếu muốn truy cập tài nguyên mạng người dùng phải chứng thực lại với máy domain controller máy tính chứa tài nguyên chia sẻ Ta tạo tài khoản người dùng cục với công cụ Local Users and Group ComputerManagement (COMPMGMT.MSC) Các tài khoản cục tạo máy stand-alone server , member server máy trạm lưu trữ tập tin sở liệu SAM (Security Accounts Manager) Tập tin SAM đặt thư mục \Windows \system32\config Để tổ chức quản lý tạo, xóa, sửa, thay đổi mật tài khoản người dùng cục bộ, ta sử dụng công cụ Local Users ang Groups Có cách truy cập Local Users and Groups : - Cách 1: Chèn Local Users and Groups snap-in vào MMC (Microsoft Management Console) cách: Chọn Start > Run, nhập vào MMC > nhấn Enter Xuất cửa sổ : 93 Chọn File > Add/Remove Snap-in, xuất hộp hội thoại : Chọn Add, xuất hộp hội thoại : 94 Chọn Local Users and Groups > chọn Add, xuất hộp hội thoại : Chọn Finish > chọn Close > chọn OK để hoàn tất việc chèn Local Users and Groups snap-in vào MMC Cửa sổ console xuất : 95 Để lưu console, ta chọn File > Save, xuất hộp hội thoại : Chọn đường dẫn đặt tên để lưu file *.msc, ví dụ console1.msc Khi cần sử dụng công cụ Local Users and Groups, ta mở file console1.msc - Cách : Sử dụng công cụ Computer Management cách : Click chuột phải biểu tượng My Computer desktop, chọn Manege, xuất cửa sổ : 96 Bên khung cửa sổ bên phải, chọn mở Local Users and Groups - Cách : Chọn Start > Programs > Administrative Tools > Computer Management, xuất cửa sổ hình 1.3 Tài khoản người dùng miền Tài khoản người dùng miền (domain user account) tài khoản người dùng định nghĩa Active Directory phép đăng nhập (logon) vào mạng máy trạm thuộc vùng Đồng thời với tài khoản người dùng truy cập đến tài nguyên mạng Ta tạo tài khoản người dùng miền với công cụ ActiveDirectory Users and Computer (DSA.MSC) Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không chứa tập tin sở liệu SAM mà chứa tập tin NTDS.DIT, theo mặc định tập tin chứa thư mục\Windows\NTDS Tài khoản người dùng Muốn tổ chức quản lý người dùng cục bộ, ta dùng công cụ Local Users and Groups Với cơng cụ ta tạo, xóa, sửa tài khoản người dùng, thay đổi mật mã Có hai phương thức truy cập đến cơng cụ Local Users and Groups: 2.1 Tạo tài khoản người dùng giao diện Trong công cụ Local Users and Groups, ta nhấp phải chuột vào Users chọn New User, hộp thoại New User hiển thị ta nhập thông tin cần thiết vào, quan trọng bắt buộc phải có mục Username 97 2.2 Tạo tài khoản người dùng dòng lệnh - Dùng MMC (Microsoft Management Console) snap-in - Dùng thông qua công cụ Computer Management Các bước dùng để chèn Local Users and Groups snap-in vào MMC: Chọn Start / Run, nhập vào hộp thoại MMC ấn phím Enter để mở cửa sổ MMC Chọn Console / Add/Remove Snap-in để mở hộp thoại Add/Remove Snap-in Nhấp chuột vào nút Add để mở hộp thoại Add Standalone Snap-in Chọn Local Users and Groups nhấp chuột vào nút Add Hộp thoại Choose Target 98 Machine xuất hiện, ta chọn Local Computer nhấp chuột vào nút Finish để trở lại hộp thoại Add Standalone Snap-in Nhấp chuột vào nút Close để trở lại hộp thoại Add/Remove Snap-in Nhấp chuột vào nút OK, ta nhìn thấy Local Users and Groups snap-in chèn vào MMC hình sau Lưu Console cách chọn Console / Save, sau ta nhập đường dẫn tên file cần lưu trữ Để tiện lợi cho việc quản trị sau ta lưu console Desktop Nếu máy tính ta khơng có cấu hình MMC cách nhanh để truy cập công cụ Local Users and Groups thông qua công cụ Computer Management Nhầp phải chuột vào My Computer chọn Manage từ pop-up menu mở cửa sổ Computer Management Trong mục System Tools, ta nhìn thấy mục Local Users and Groups 99 Cách khác để truy cập đến công cụ Local Users and Groups vào Start / Programs /Administrative Tools / Computer Management Tài khoản nhóm 3.1 Ý nghĩa group scope Phạm vi nhóm xác định hai đặc điểm: Nó xác định mức độ ứng dụng bảo mật cho nhóm xác định mà người dùng thêm vào nhóm Windows Server 2003 hỗ trợ phạm vi sau đây: Domain Local: Các nhóm domain địa phương sử dụng để gán quyền truy cập địa phương nguồn tài nguyên file máy in Các thành viên đến từ tên miền tồn cầu: Các thành viên nhóm truy cập tài nguyên phạm vi Các thành viên đến từ miền địa phương giới: Các thành viên thêm vào từ tên miền rừng Các thành viên truy cập tài nguyên từ tên miền Các nhóm Universal group sử dụng cho quản lý an ninh tên miền Các nhóm Universal group chứa tồn cầu nhóm Universal group có sẵn lĩnh vực có mức chức Windows 2000 có nguồn gốc Windows Server 2003 3.2 Ý nghĩa group type Nhóm loại Nhóm sử dụng để thu thập tài khoản người dùng, tài khoản máy tính, nhóm tài khoản khác vào đơn vị quản lý Làm việc với nhóm thay với người dùng cá nhân giúp đơn giản hóa việc bảo trì mạng quản trị Có hai loại nhóm Active Directory: nhóm phân phối nhóm bảo mật Ta sử dụng nhóm phân phối để tạo danh sách phân phối e-mail nhóm bảo mật để gán quyền truy cập tài nguyên chia sẻ Phân phối nhóm Nhóm phân phối sử dụng với ứng dụng e-mail (chẳng hạn Exchange) để gửi e-mail cho sưu tập người sử dụng Nhóm phân phối khơng phải an ninh cho phép, có nghĩa họ liệt kê danh sách kiểm soát truy cập tùy ý (DACLs) Nếu ta cần nhóm để kiểm sốt truy cập vào tài nguyên chia sẻ, tạo nhóm bảo mật An ninh nhóm Được sử dụng với việc chăm sóc, nhóm an ninh cung cấp cách hiệu để gán quyền truy cập tài nguyên mạng ta Sử dụng nhóm bảo mật, ta có thể: Chỉ định quyền người dùng để nhóm bảo mật Active mục 100 Quyền người dùng gán cho nhóm bảo mật để xác định thành viên nhóm làm phạm vi tên miền (hoặc rừng) Quyền người dùng tự động gán cho số nhóm bảo mật Active Directory cài đặt để giúp quản trị viên xác định vai trò quản lý người miền Ví dụ, người dùng thêm vào nhóm nhà khai thác lưu Active Directory có khả lưu khôi phục lại tập tin thư mục nằm điều khiển miền miền theo mặc định, quyền người dùng Back up files thư mục Khôi phục tập tin thư mục tự động gán cho nhóm Nhà điều hành lưu Vì vậy, thành viên nhóm kế thừa quyền người dùng gán cho nhóm Để biết thêm thông tin quyền người sử dụng, quyền tài Để biết thêm thông tin người sử dụng quyền giao cho nhóm bảo mật, nhìn thấy nhóm mặc định Ta gán quyền người dùng để nhóm bảo mật cách sử dụng Group Policy để giúp nhiệm vụ đại biểu cụ thể Ta nên luôn sử dụng theo ý giao nhiệm vụ giao người sử dụng chưa qua đào tạo giao quyền nhiều vào nhóm bảo mật có khả gây thiệt hại đáng kể cho mạng ta Để biết thêm thông tin, xem Delegating quản lý Để biết thêm thông tin người sử dụng quyền giao cho nhóm, xem Gán quyền người dùng cho nhóm Active Directory Gán quyền truy cập cho nhóm an ninh tài ngun Khơng nên nhầm lẫn với quyền người dùng Quyền giao cho nhóm bảo mật nguồn tài nguyên chia sẻ Quyền xác định người truy cập tài nguyên mức độ truy cập, chẳng hạn kiểm sốt tồn Một số điều khoản đối tượng miền tự động định phép mức độ khác truy cập cho nhóm bảo mật mặc định nhóm Account Operator nhóm Domain Admins Để biết thêm thông tin quyền truy cập, xem Truy cập kiểm soát Active Directory nhóm an ninh liệt kê DACLs xác định quyền truy cập vào tài nguyên đối tượng Khi phân quyền truy cập cho nguồn tài nguyên (chia sẻ file, máy in, vậy), quản trị viên nên định quyền truy cập vào nhóm bảo mật người dùng cá nhân Các điều khoản giao lần cho nhóm, thay nhiều lần để người dùng cá nhân Mỗi tài khoản thêm vào nhóm nhận quyền giao cho nhóm Active Directory điều khoản quy định cho nhóm nguồn tài nguyên 101 Giống nhóm phân phối, nhóm bảo mật sử dụng thực thể e-mail Gửi tin nhắn e-mail cho nhóm gửi tin nhắn cho tất thành viên nhóm Chuyển đổi an ninh nhóm phân phối Một nhóm chuyển đổi từ nhóm bảo mật để nhóm phân phối, ngược lại, lúc nào, mức độ miền chức thiết lập để địa Windows 2000 cao Chưa có nhóm chuyển đổi mức độ miền chức thiết lập để Windows 2000 trộn lẫn Đối với thơng tin thủ tục cụ thể, chuyển đổi nhóm đến loại nhóm Đối với thơng tin chức miền, tên miền chức rừng CÂU HỎI ÔN TẬP Thực hành tạo OU, Group, user? Thực Join PC vào Domain? 102 ... TỈNH VĨNH LONG TRƯỜNG CAO ĐẲNG NGHỀ VĨNH LONG Tác giả biên soạn: ThS Lê Văn Tân GIÁO TRÌNH MƠ ĐUN: QUẢN TRỊ MẠNG MÁY TÍNH NGHỀ: KỸ THUẬT SỬA CHỮA, LẮP RÁP MÁY TÍNH TRÌNH ĐỘ: CAO ĐẲNG NĂM 2 017 LỜI... byte lại, 24 bits) cho mạng Lớp dùng cho mạng có số trạm cực lớn Tại lại có 12 6 mạng dùng bits? Lí đầu tiên, 12 7.x ( 011 111 11) dùng cho địa loopback, thứ bit byte 0, 11 111 11( 127) Dạng địa lớp A (network... pháp thập phân cho phép đến 12 6 cho vùng đầu, đến 255 cho vùng lại - Lớp B cho phép định danh tới 16 384 mạng (10 111 111 .11 111 111 .host.host), với tối đa 65535 host mạng Dạng lớp B (network number