(NB) Giáo trình Quản trị mạng cung cấp cho người học những kiến thức như: Cài đặt và nâng cấp MS Windows 7; Cấu hình và tối ưu hệ thống Windows 7; Xây dựng và quản trị Active Directory; Quản lý tài khoản người dùng và nhóm; Quản trị môi trường mạng Group Policy;...Mời các bạn cùng tham khảo nội dung giáo trình phần 2 dưới đây.
Bài Quản trị môi trƣờng mạng Group Policy Giới thiệu: Quản trị môi trường mạng Group policy xác định cách thức để chương trình, tài nguyên mạng hệ điều hành làm việc với người dùng máy tính tổ chức Bài học cung cấp cho người học kiến thức sau: Hiểu rõ ý nghĩa Group Policy, triển khai Group Policy Domain OU, dùng Group Policy tự động hóa công tác quản trị User Computer, xử lý lỗi thông dụng triển khai Group Policy Bài trình bày thành mục xếp sau: - Giới thiệu Group Policy Object (GPO) - Triển khai Domain GPO - Quản lý triển khai GPO - Quản lý user Group với GPO - Chuẩn đoán xử lý lỗi - Câu hỏi tập - Mục tiêu: Trình bày thành phần Group Policy: User Configuration, Computer Configuration Sử dụng thành thạo công cụ quản lý Group Policy – Group Policy Management Tạo, thiết lập, liên kết GPOs đến Container Xử lý xung đột việc áp dụng Các GPOs Xử lý lỗi thông dụng triển khai Domain Group Policy - Tính xác, đắn định quản trị NỘI DUNG CHÍNH 6.1 Giới thiệu Group Policy Mục tiêu - Nắm chức thành phần Group Policy - Hiểu Domain Policy, cấp độ áp dụng Group Policy (Site, Domain, OU, Local - Nắm số vấn đề an tồn mạng thơng qua Group Policy - Nắm cách thức áp dụng Policy đặc điểm Policy 113 6.1.1 Giới thiệu Local Policy Group Policy tập thiết lập cấu hình cho computer user Xác định cách thức để chương trình, tài nguyên mạng hệ điều hành làm việc với người dùng máy tính tổ chức Group Policy áp dụng với máy Win2k/XP/WinS2k3/2k8 Các Group Policy hữu miền Active Directory (AD) Các Group Policy áp dụng lúc máy khách khởi động, lúc máy khách đăng nhập, vào thời điểm ngẫu nhiên khác Các Group Policy tự động tác dụng máy trạm chúng xóa bỏ khỏi miền AD Người quản trị mạng có nhiều mức độ kiểm soát tinh vi vấn đề không nhận Group Policy Group Policy chủ yếu áp dụng cho site, domain, OU (Organizational Unit) Gọi tắt SDOU Trên máy Win2k/XP Pro/WinS2k3 có sách nhóm chỗ (Local Group Policy), áp dụng máy khơng tham gia vào miền AD Các máy Windows XP Home khơng có Local Group Policy Các Group Policy dành cho SDOU tạo dạng đối tượng sách nhóm (Group Policy Object - GPO) Các GPO lưu trữ phần sở liệu Active Directory phần share SYSVOL GPO chỗ máy Win2k/XP Pro/WinS2k3 nằm thư mục: %Windir%\System32\GroupPolicy Chương trình để tạo và/hoặc chỉnh sửa GPO tên Group Policy Object Editor, có dạng console MMC tên GPEDIT.MSC Hoặc ta dùng dạng cơng cụ snap- in console MMC khác, ví dụ: console Active Directory Users and Computers, tức DSA.MSC, trang bị sẵn snap- in Group Policy Group Policy Windows XP Group Policy thành phần Microsoft Management Console phải thành viên nhóm Adminstrators quyền sử dụng chương trình 114 Khởi động chương trình: Start - > Run(Windows + R) - > nhập gpedit.msc - > OK Cửa sổ Group Policy Object Hình 6.1 Group Policy Object Cách sử dụng chung: tìm tới nhánh, chọn thiết lập phù hợp o Not configured: không định cấu hình cho tính o Enable: kích hoạt tính o Disable: vơ hiệu hóa tính Gồm mục chính: o Computer Configuration o User Configuration o Computer Configuration: Các thay đổi phần áp dụng cho toàn người dùng máy + Windows Settings: cấu hình việc sử dụng tài khoản, password tài khoản, quản lý việc khởi động đăng nhập hệ thống … 115 + Administrative Templates: - System: cấu hình hệ thống - Windows Components: bạn cấu hình thành phần cài đặt Windows như: Internet Explorer, NetMeeting o User Configuration: cấu hình cho tài khoản sử dụng Các thành phần có khác đơi chút việc sử dụng cấu hình tương tự mục Computer Configuration 6.1.2 Giới thiệu Domain Policy Quản lý sách miền Xem chủ đề để tìm hiểu nhiệm vụ bạn thực với sách miền Control Center Ngồi ra, bạn tìm hiểu làm để sử dụng sách tên miền để theo dõi tên miền EWLM bạn Trong Trung tâm Kiểm soát EWLM, bạn có nhiều sách miền Bạn làm việc với sách tên miền triển khai sách tên miền có sẵn để quản lý tên miền Các sách tên miền bao gồm Set sách miền xem Trung tâm kiểm soát bao gồm tất sách miền nhập tạo cách sử dụng Trung tâm Kiểm soát EWLM thuật sĩ Để tạo sách tên miền nhập sách tên miền, chọn Thiết lập sách miền> khung bên trái Trung tâm Kiểm sốt EWLM Sau đó, nhấp vào Nhập Chỉ có sách tên miền triển khai cho EWLM miền Quản lý tên miền miền EWLM quy định URL mà bạn sử dụng để truy cập vào Trung tâm Kiểm soát EWLM Để làm việc với nhiều lĩnh vực EWLM, bạn cần riêng biệt EWLM Trung tâm Kiểm sốt phiên trình duyệt Web cho lĩnh vực quản lý mà bạn muốn làm việc Trong Trung tâm Kiểm sốt EWLM, bạn thực nhiệm vụ sau từ Thiết lập sách miền>: New: Bạn tạo sách tên miền tạo sách tên miền dựa sách tên miền có Nhập khẩu: Bạn nhập sách tên miền lưu vào hệ thống tập tin địa phương bạn Khi sách nhập khẩu, EWLM xác minh cú pháp xác Nếu khơng, sách khơng mở Control Center EWLM Sử dụng điều với chức xuất để ch p sách tên miền từ tên miền EWLM khác Điều làm cho dễ dàng để chia sẻ sách tên miền từ miền khác 116 Xuất khẩu: Bạn xuất sách tên miền hệ thống tập tin địa phương bạn Sử dụng điều với chức nhập để ch p sách tên miền từ tên miền EWLM khác Điều đặc biệt hữu ích bạn có hai lĩnh vực EWLM với mục tiêu hiệu suất tương tự Sau đó, bạn sử dụng sách tên miền, sửa đổi chút miền EWLM thứ hai Ngồi ra, hữu ích để xuất sách miền cho hệ thống lưu dự phịng cho mục đích khắc phục thảm họa Đảm bảo thư mục mà bạn xuất sách để có thiết lập bảo mật thích hợp để bảo vệ liệu chứa sách miền Chỉnh sửa: Bạn chỉnh sửa sách tên miền lưu trữ quản lý tên miền EWLM Control Center giao tiếp với Ngồi ra, bạn chỉnh sửa sách tên miền triển khai vào miền EWLM Sau đó, sau bạn hồn thành việc chỉnh sửa sách tên miền triển khai, sách tên miền tự động triển khai lần Tuy nhiên, sách dịch vụ khơng kích hoạt lại Triển khai: Khi bạn muốn thực sách miền có tên miền EWLM, bạn cần phải triển khai Khi bạn triển khai sách tên miền, bạn chọn để kích hoạt sách dịch vụ hay khơng Nếu sách dịch vụ kích hoạt, EWLM bắt đầu thu thập liệu hiệu suất cụ thể sách dịch vụ kích hoạt Để triển khai sách tên miền, EWLM phải bắt đầu vào quản lý tên miền Để làm việc cụ thể với sách dịch vụ sách miền, bạn thực nhiệm vụ Quản lý> sách dịch vụ sau đây: Kích hoạt: Bạn kích hoạt sách dịch vụ Các sách dịch vụ liệt kê cụ thể sách tên miền triển khai Để kích hoạt sách dịch vụ, EWLM phải bắt đầu vào quản lý tên miền Để tìm hiểu thêm cách triển khai sách miền làm để tạo chỉnh sửa sách tên miền, kiểm sốt EWLM Trung tâm trợ giúp trực tuyến Để xem giúp đỡ nhiệm vụ sách miền, nhấp vào Làm để tơi> Làm việc với> sách miền từ Trung tâm Kiểm sốt EWLM giúp Tạo sách miền Q trình để tạo sách tên miền giống cho người sử dụng có tập hợp cốt lõi thành phần sách miền Tuy nhiên, làm bạn xác định thành phần phụ thuộc vào môi trường kinh doanh cụ thể bạn Các bảng sau phác thảo giúp bạn đánh giá nhu cầu môi trường kinh doanh bạn theo dõi khối lượng công việc Sử dụng câu trả lời bạn 117 để tạo sách tên miền dựa mơi trường CNTT bạn mục tiêu hiệu suất Những bảng dự định để giúp bạn tạo sách tên miền 6.1.3 Các cấp độ áp dụng Group Policy (Site, Domain, OU, Local) 6.1.3.1 Khái niệm Thí dụ: Người quản trị mạng muốn quản lý người dùng số thông tin sau: Các chương trình giành cho người sử dụng dùng Các chương trình xuất hình người dùng Hay đưa số hạn chế buộc người dùng phải tuân theo Việc cài đặt thành phần để kiểm soát việc gọi cài đặt Policy Group Policy nhóm Policy khơng phải nhóm Policy Các Group Policy chứa GPO (Group Policy Object) Thí dụ: GPO Default Domain Policy liên kết với Domain Các GPO liên kết với Site, Domain, OU để áp dụng tới người dùng Site, Domain, OU 6.1.3.2 Một số vấn đề an tồn mạng thơng qua Group Policy Phát hành (Publish), phân phát (Assign) phần mềm tới người dùng, tới máy tính Cài đặt Scripts: Logon, Logoff: Startup, Shutdown Scripts Định nghĩa mật khẩu, khóa tài khoản (LockOut) vấn đề kiểm toán tượng (Audit) Domain Chuẩn hóa vấn đề an tồn mạng cho máy (Registry) Cài đặt quy định bắt buộc Internet Explorer Định nghĩa hạn chế bắt buộc hình làm việc người dùng Định lại số thư mục vị trí mạng (Document and setting folder) Định hình chuẩn hóa số khả Offline folder, Disk quorta Quản lý Group Policy 118 6.1.3.3 Thời gian cách thức áp dụng Policy Các Policy liên quan tới người dùng áp dụng tới người dùng đăng nhập Các Policy liên quan tới máy tính áp dụng máy khởi động hệ điều hành Chỉ có người dùng, máy tính có Policy áp dụng tới Security Group khơng có Policy Người ta dùng Security Group để lọc bớt Policy áp dụng tới người dùng, máy tính Thứ tự áp dụng: Policy áp dụng tới tất người dùng máy Local Site sau tới Domain, OU OU OU 6.1.3.4 Đặc điểm Policy Các Policy áp dụng sau áp dụng đè lên áp dụng trước Thí dụ: mức độ Domain Policy buộc người dùng phải đăng nhập mạng Shutdown mức độ OU Policy cho ph p Shutdown trước đăng nhập Mang tính kế thừa tích lũy Thí dụ: mức độ Domain cài đặt Policy Password Restrition hạn chế Password Account LockOut khóa Account tới số trường hợp Chuẩn hóa an tồn mạng mức độ OU cài đặt Policy Phát hành ứng dụng Hạn chế hình người dùng Vậy người dùng OU hưởng Policy hai mức Cho ph p ngăn chận thừa kế thực thi Policy từ phía (Block Inheritance) Bắt buộc cấp chấp hành Policy (No Override) Các chu kỳ áp dụng Policy: chu kỳ áp dụng Policy tới người dùng 90 giây, chu kỳ làm tươi Domain Controll giây 6.1.3.5 Điểm trọng tâm Group Policy SNAP- IN Có hai điểm (Node) Group Policy SNAP- IN: User Configuration Computer Configuration Trong điểm có ba điểm phụ giống Software Setting Windows Setting Administrative Template 119 Tuy nhiên có khác hai điểm Các Policy User Configuration áp dụng cho cài đặt cho User Và Policy Computer Configuration áp dụng tới máy tính 6.1.3.6 Khởi tạo Policy a Kiểu đặt Policy Software Setting Trong Software Setting có điểm phụ Software Installation cho ph p cài đặt Software tới User hai điểm: Publishing Assigning Publishing: phát hành phần mềm tạo sẵn cho người dùng tùy chọn có cài đặt máy hay khơng, cơng cụ Add/Remove Program Control Panel Assigning: cấp phát phần mềm tới người dùng Khi người dùng đăng nhập mạng, mạng tự động cài đặt số thông tin vừa đủ phần mềm tạo lối tắt trình đơn bắt đầu Khi người dùng mở ứng dụng chương trình tiếp tục cài đặt đầy đủ b Cài đặt Policy Software Setting * Dịch vụ Windows Installer Windows Installer Windows Installer thành phần Windows 2000 Server giúp đơn giản hóa quản lý việc cài đặt ứng dụng vào máy Những khả Microsoft Windows Installer: - Trả lại trạng thái lúc khởi động cài đặt trình cài đặt ứng dụng bị thất bại - Ngăn chận tranh chấp tài nguyên ứng dụng cài đặt Thí dụ ứng dụng cài đặt cập nhật tệp tin *.dll tới phần *.dll ứng dụng khác sử dụng, hay gỡ bỏ ứng dụng có sử dụng chung *.dll với ứng dụng khác - Là dịch vụ đáng tin cậy việc gỡ bỏ ứng dụng khỏi hệ thống Nó gỡ bỏ tất tệp tin liên quan tới ứng dụng, ngoại trừ tệp tin dùng chung với ứng dụng khác - Chẩn đoán, sửa chữa ứng dụng bị hư hỏng - Khả cài đặt theo yêu cầu (On- Demand Installation) 120 - Khi cài đặt ứng dụng, Windows Installer cài đặt số chức thường dùng vào máy Các chức khác có tên khơng chứa nội dung Khi người dùng cần đến chức đó, Windows Installer cài đặt thêm - Khả tự động cài đặt không cần thao tác người dùng Windows Installer bao gồm phần: - Install Service: dịch vụ kiểm sốt q trình cài đặt - Trình Installer msiexec.exe sử dụng msi.dll để đọc tệp tin gói *.msi, *.mst lệnh liên quan đến việc cài đặt - Tệp tin gói *.msi chứa sở liệu tương đối kưu lệnh liệu cần thiết cho việc cài đặt - Một ứng dụng đáp ứng yêu cầu Windows Installer ứng dụng có tạo tệp tin *.msi Thí dụ: Microsoft Office 2000 Đối với số phần mềm khơng có tệp tin *.msi dùng trình sau để tạo tệp tin *.msi cho phần mềm đó: - VERITAS Software Console - WININSTALL Discovery Các bước cài đặt Policy Software Setting Thí dụ cài đặt Microsoft Offiice 2000 tới trạm - Cài đặt Microsoft Office 2000/Node Adimin tới phần Share mạng: C:\Setup/A D:\data1.msi - Tạo GPO để thực cài đặt phần mềm - Gán tệp tin *.msi phần mềm vào GPO c Phát hành ứng dụng b ng cách khởi tạo tệp tin *.zap Tệp tin mẫu [application]FriendlyName = "WinZip Version 8.0"
SetupCommand = \\sunlight\softwares\winzip8\winzip8.exe
DisplayVersion = 8.0
[ext]
Zip = d Windows Setting Scripts Có bốn loại Scripts Policy 121 Đối với máy tính: có Startup Shutdown Scripts Đối với người dùng: có Logon Logoff Scripts Ngồi tạo riêng Login Scripts trang đặc tính tài khoản người dùng Scripts gọi Legacy Logon Scripts Đối với Client Windows 2000 nên sử dụng Scripts Froup Policy Đối với Windows 95/98 sử dụng Group Policy nên dùng Legacy Logon Scripts So sánh Group Policy Scripts với Legacy Logon Scripts Group Policy Scripts chạy theo kiểu Asynchnous Hidden Hệ thống không cần đợi chấm dứt chương trình Scripts thực chương trình khác Group Policy có thêm chức Synchronous Visible để tương hợp với Legacy Logon Scripts Ngôn ngữ Scripting: o DOS/NT/Win2K shell commands o Windows script host (WSH) Web: msdn.microsoft.com/scripting/winodwshost o Kixtart o XLNT o Perl Web (http://www.demobuilder.com http://www.activestate.com/activeperl ) o VB Script o J Script o Even python Cấp phát tệp tin Scripts Các tệp tin Scripts tệp tin khác liên quan đến Scripts đặt thư mục C:\WinNT\SYSVOL\Sysvol\domain name\script Client Pre Windows 2000 xuất tệp tin Scripts qua thư mục Share có tên Net Logon Client Windows 2000 qua phần Share SYSVOL Folder Redirection Folder Redirection định vị trí lưu thông tin số thư mục thông dụng Windows Thay phải tổ chức lại máy tính cục bộ, thư mục định lại thư mục mạng 122 - Cửa sổ Select Server Roles, chọn Next - Cửa sổ Active Directory Rights Management Services, chọn Next 213 - Cửa sổ Select Role Services, kiểm tra có đánh dấu chọn Active Directory Rights Management Server, chọn Next - Cửa sổ Create or Join an AD RMS Cluster, chọn Next 214 - Cửa sổ Select Configuration Database, chọn Next - Cửa sổ Specify Service Account, chọn Specify… 215 - Cửa sổ Add Roles Wizard, nhập user RMSAdmin password P@ssword, chọn OK - Cửa sổ Specify Service Account, chọn Next 216 - Cửa sổ Configure AD RMS Cluster Key Storage, chọn Use AD RMS centrally managed key storage, chọn Next - Cửa sổ Specify AD RMS Cluster Key Password, nhập P@ssword vào ô Password Confirm Password, chọn Next 217 - Cửa sổ Select AD RMS Cluster Web Site, chọn Default Web Site, chọn Next - Cửa sổ Specify Cluster Address, chọn Use an SSL- encrypted connection (https://), chọn Next 218 - Cửa sổ Choose a Server Authentication Certificate for SSL Encryption, chọn Create a self- signed certificate for SSL encryption, chọn Next - Cửa sổ Name the Server Licensor Certificate, nhập tên máy Server (vd: PCxx)vào ô Name, chọn Next 219 - Cửa sổ Register AD RMS Service Connection Point, chọn Register the AD RMS service connection point now, chọn Next - Cửa sổ Web Server (IIS), chọn Next 220 - Cửa sổ Select Role Servics, chọn Next - Cửa sổ Confirm Installation Selections, chọn Install - Sau cài đặt thành công, cửa sổ Installation Results, chọn Close - Lưu ý: Sau cài đặt thành cơng phải restart máy 221 Cấu hình RMS - Mở Active Directory Rights Management Services từ Administrative Tools - Trong hộp thoại Seciurity Alert, chọn View Certificate - Cửa sổ Certificate, chọn Install Certificate 222 - Cửa sổ Welcome to the Certificate Import Wizard, chọn Next - Cửa sổ Certificate Store, chọn Place all certificate in the following store, Certificate store, trỏ đường dẫn đến Trusted Root Certification Authorities, chọn Next 223 - Cửa sổ Completing the Certificate Import Wizard, chọn Finish - Trong hộp thoại Security Warning, chọn Yes 224 - Hộp thoại Certificate Import Wizard, chọn OK - Trong cửa sổ Active Directory Rights Management Services, bung RMS server (vd: PC01.msopenlab.com), kiểm tra cấu hình RMS thành cơng Hình 10.2 Active Directory Rights Management 10.2.3 Nâng cấp t Windows Server 2003 lên Windows Server 2008 Trong phần thực bước liên quan tới việc thực nâng cấp lên Windows Server 2008 từ phiên Windows Server 2003 Nâng cấp Windows Server 2008 Trước thực nâng cấp lên Windows Server 2008 điều kiện việc xem x t hệ thống cài đặt để lựa chọn phiên Windows Server 2008 phù hợp với phiên hoạt động Ngoài ra, điều quan trọng phần cứng có tương thích cho việc cài đặt Windows Server 2008 hay không Để biết chi tiết yêu cầu hệ thống bạn xem thêm viết: phiên Windows Server 2008 yêu cầu phần cứng 225 Cách nâng cấp lên phiên Windows Server 2008 Trong trình nâng cấp Windows Server 2008 tập tin, thư mục ứng dụng liên kết với phiên Windows cài đặt trước chuyển tới thư mục Windows.old tất thiết lập người dùng Một cơng việc hồn tất, cài đặt hệ điều hành thực thiết lập người dùng lưu chuyển sang mơi trường Sau hồn thành nâng cấp hệ thống Windows Server 2008 bao gồm tất ứng dụng, thiết lập tập tin người dùng từ cài đặt hệ điều hành trước Thực nâng cấp Nâng cấp lên Windows Server 2008 thực cách bắt đầu thực trình cài đặt từ bên hệ điều hành cài đặt trước Chúng ta khơng thể thực nâng cấp cách khởi động từ ổ đĩa Do để bắt đầu q trình nâng cấp, khởi động trình cài đặt Windows (nếu không chạy) đăng nhập vào tài khoản với quyền quản trị chèn đĩa DVD Nếu hệ thống cấu hình để làm vậy, trình cài đặt đĩa DVD tự động chạy hiển thị hình cài đặt Windows Server 2008: 226 TÀI LIỆU THAM KHẢO Th.s Ngô Bá Hùng Giáo trình thiết kế cài đặt mạng Khoa CNTT Đại học Cần Thơ 2005 Hoàn Vũ (Biên soạn), Ks Nguyễn Công Sơn (Chỉ biên) Hướng dẫn Quản trị mạng Microsoft Server 2003 NXB Tổng hợp TP Hồ Chí Minh 08/2005 Nguyễn Thanh Quang, Hoàng Anh Quang Bảo mật Quản trị mạng NXB Văn Hóa Thơng tin Ks Ngọc Tuấn Quản Trị Mạng Và Ứng Dụng Của Active Directory Trên Môi Trường Window Server NXB Thống kê 227 ... hoạt động máy chủ Giám sát thành phần nhận biết nguyên nhân thắt cổ chai Server, công cụ quản trị MMC, Computer Management, Remote Desktop quản trị Server bảo mật với RunAS Bài trình bày thành mục... bày thành mục xếp sau: - Phương thức quản trị server - Giám sát hoạt động Server - Câu hỏi tập Mục tiêu: - Nhận biết sử dụng công cụ quản trị phù hợp - Giám sát thành phần nhận biết nguyên nhân... Server Giám sát q trình thực Server thành phần quan trọng công việc bảo dưỡ ng quản lý hệ điều hành Việc theo dõi hàng ngày trình thực thi hệ thống bảo đảm r ằng cập nhật thơng tin máy tính hoạt động