Giáo trình Quản trị mạng nâng cao (Nghề Tin học ứng dụng - Trình độ Cao đẳng) - CĐ GTVT Trung ương I

Giáo trình Quản trị mạng nâng cao (Nghề Tin học ứng dụng - Trình độ Cao đẳng) được biên soạn với mục tiêu cung cấp các kiến thức lý thuyết và thực hành quản trị mạng và cấu hình thiết bị mạng chủ yếu cho các hệ thống thiết bị quan trọng nền tảng của mạng máy tính hiện đại. Giáo trình gồm có 5 chương, mời các bạn cùng tham khảo.

- _ BQ GIAO THONG VAN TAI

TRUONG CAO DANG GIAO THONG VAN TAI TRUNG UONGI

GIAO TRINH MON

QUAN TRI MANG NAN

TRÌNH DO CAO DANG

Ban hành theo Quyết định số 498/QĐ-CĐÐGTVTTWI-ĐT ngày 25/03/2019 của Hiệu trưởng Trường Cao đẳng GTVT Trung wong |

LỜI NÓI ĐẦU

CHƯƠNG 1 USER - GROUP GIGI THIEU VE LOCAL USER VA LOCAL GROUP

TAO CAC LOCAL USER

I TAO LOCAL GROUP

CHƯƠNG 2 CHÍNH SÁCH BẢO MAT(GROUP POLICY) ACCOUNT POLICY Password Policy Account Lockout Policy LOCAL POLICY User rights assignment Sercurity options San Neyer

CHUONG 3 QUYEN TRUY CAP NTFS

KIEM SOAT QUYEN TRUY CAP HE THONG TEP NTFS Phan quyén don gian

Phan quyén co ban

2.1 Giới thiệu cơ ché phan quyén NTFS 2.2 Các công cu phan quyén NTFS

2.3 Thực hiện các quyền cơ bản của dữ liệu doanh nghiệp trên NTES NGUYÊN TẮC KHI ÁP DỤNG QUYÈN TRUY CẬP

Nguyên tắc hoạch định thư mục chương trình

Nguyên tắc hoạch đỉnh thư mục dữ liệu

Nguyên tắc hoạch định thư mục cá nhân

Tạo thư mục cá nhân (Home Folder) trên Volume NTES SHARE PERMISSION

CHƯƠNG 4 XÂY DỰNG MƠ HÌNH SERVER - CLIENT CẤU HÌNH ĐỊA CHỈ IP,DNS,DHCP

TẠO OU,USER VÀ GROUP GROUP POLICY,DISK QUOTA CHIA SẺ DỮ LIỆU

KIÊM TOÁN QUẢN LÝ MÁY IN

CHUONG 5 CAU HÌNH VÀ QUẢN TRỊ THIẾT BỊ MẠNG

I GIGI THIEU VE WAN

II Router TRONG MANG WAN IIL Router LAN VA WAN

IV VAI TRO CUA ROUTER TRONG MANG WAN

V CAU HINH Router Cisco

LỜI NÓI ĐẦU

Giáo trình môn học “Quản trị mạng nâng cao” được biên soạn với mục tiêu cung cấp các

kiến thức lý thuyết và thực hành quản trị mạng và cấu hình thiết bị mạng chủ yếu cho các hệ

thống thiết bị quan trọng nền tảng của mạng máy tính hiện đại Giáo trình gồm 5 chương: Chương 1: User — Group

Chuong 2: Group Policy

Chuong 3: Quyén truy cap NTFS

Chương 4: Xây dựng mô hinh Server/ Client Chương 5: Cấu hình và quản trị thiết bị mạng

Do phạm vi rộng của công việc chuyên môn quản trị mạng, giáo trình này không bao gồm hết được mọi nội dung của chuyên môn quản trị mạng Sinh viên cần tham khảo thêm các tài liệu giáo trình khác như: Thiết kế và triển khai hệ thống Email Exchange Server 2016

theo quy mô tổ chức doanh nghiệp; Thiết kế và xây dựng mạng LAN và WAN; Quản trị

mạng ACNA; Thiết bị mạng CISCO và các thiết bị Non-Cisco

Tài liệu này được biên soạn lần đầu tiên nên không tránh được những thiếu sót Nhóm biên soạn rất mong nhận được các góp ý từ phía các sinh viên và các bạn đọc để có thể hoàn thiện tài liệu tốt hơn

CHUONG 1 USER - GROUP

I GIỚI THIEU VE LOCAL USER VA LOCAL GROUP

Thông thường một máy tính không phải chỉ có một người nào đó sử dụng duy nhất mà trên thực tế ngay cả máy nhà đôi vẫn có ít nhất từ 2-3 người sử dụng Tuy nhiên nếu tất cả mọi người đều sử dụng chung một tài khoản thì những dữ liệu riêng tư của mình không cho người khác thấy Nhưng nếu máy tính là máy chung của công ty và vấn đề đặt ra là ta không

muốn tài liệu của người mình, người khác có thể xem tùy tiện được Cách tốt nhất là cấp cho mỗi nhân viên một máy nhất định và yêu cầu họ đặt password lên máy của mình, nhưng như

thế thì rất tốn kém và không được ưa chuộng Chính vì thế người quản trị mạng sẽ sử dụng công cụ Local Users and Groups để tạo các tài khoản người dùng trên cùng một máy, khi đó dữ liệu của người này người kia không thể truy cập được

Il TAO CAC LOCAL USER

- Để tạo được User local phải có quyền ngang hàng với Administrator của hệ thống

-Vào Start3Programs®Administrave Tools Active Directory Users and Computers

Fie Action View Help

ee | aim) ¢ ORO Gsibmseayae

[ep Active Drectory Users and Comput | Nam Bl seved Queres Tree * =] taehetnet I8 fđ] Buớun 1 OD Computers © Sổ] Domain Controlers (6 [| ForeignSecurityPrincpals 3 Ges Siatacecort fr gical 2 Serversin the groupcan

BRead-oniyD Members of this group are BR schema Admins Si Designated administrators Be van + Ê xuanohat a Ẹ Ƒ J

- Chuột phải User ® New User ® tai bang New Object — User dién day du cc thông tin

vao First Name, Last Name, Full Name

- Chọn Next đề tiếp tục.Xuất hiện bảng thiết lập password.Đây là mật khẩu của bạn ứng với

tên tài khoản đã tạo ở trên,dùng đề đăng nhập vào domain

- Ở đây không thiết lập password vì trong Group Policy Management Editor đã vô hiệu hóa

password

- Lưu ý 4 đòng :

e User must change password at next logon : bắt buộc user phai thay đổi password ở lần đăng nhập kế tiếp

e User cannot change password : user không có quyền thay đổi password ® Password never expires : password không có thời hạn qui định

New Object - User x

= ott rete

When you click Finish, the following object will be created:

Ful name: tal =)

User logon name: tai@taiphat net iz _e= [CB] se | - Chọn Finish đề kết thúc - - Tiệp theo,kiêm tra thử user đã được tạo Click đúp vào User và kiêm tra

Fle Acton Men Heb

oo) im) ¢ OKO SSP seuroe

TỔ Actve Drectory Users and Comput

+ Serversin ths group can Members of ths group ae

[ [ I

Để gán cho User có thể đăng nhập vào domain Vào Group Policy Management Editor Chọn Allow log on through Terminal Services

g on through Terminal Services Properties

Add User or Group > Browse > danh tén user roi Check Names > OK

Select Users, Computers, or Groups

User tai , phat đã được chọn đề logon Và nhân OK

Vào Logon as a Service Cũng gán quyền cho user như trên User tai , phat đã duoc gan quyền được logon

Xong sau đó vào Start > Run > gé lénh gpupdate /force dé cap nhat user

Sau do Log off để đăng nhập user vào Administrator.Nhập tên user đã được gán quyền và nhắn OK.(không cần password) vì khi nảy ta đã không nhập password

Để tạo một group mới.Nhấp chuột phải vao User va chon New > Group Fie Acton View Help &%|>Ím|điL]s.2HmlSịsra%

Ty Active Drectory Users and Comout [ Name Jpeupso 1

Si C] Sased Quenes u ‘Bult-n account for admin E lỗ taohat.net Members in this group can

Bultn Members of tes group are Members in this group can

Members wha have adm Members who have views DNS Administrators Group DNS cients mho are perm Designated administrators

Al workstations and serve Delegate Control

All domain controlers n th nó si |

[Create 2 new object [ [

Tai 6 Group name gõ tên group.Sau đó chọn OK

New Object - Group Create in: taiphat.net/lsers a, Group name: |phatz Group name (pre-V/ndows 2000): [phates

Group scope _ | Group type

Để đưa user vào group phattai ,nhấp chuột phải vào group và chọn Properties Tại tab Member.Chọn Add

Tại ô Enter the object name to select bạn gõ tên user muốn đưa vào group Sau khi gõ tén user,chon Check Names dé kiém tra

Va két qua 1a ton tai user nay trén domain

Select Users, Contacts, Computers, or Groups

Sau khi thêm user vào group.Chọn OK để xác nhận

CHƯƠNG 2 CHÍNH SÁCH BẢO MẬT (GROUP POLICY) Giáo trình Quản trị mạng nâng cao

I ACCOUNT POLICY 1 Password policy Vao Aministrator > Local Sercurity Policy > Account policies 0days O characters 2 ‡ Kerberos P si be aoc a Disabled Netiork List Manager Poles Le of [ I

Trong này bao gồm các mục:

e Password must meet complexity : khi đặt password cho wins phải có đủ độ phức tạp.(hoa, thường, sô, ký tự đặc biệt) Mặc định tính năng này sẽ bị disable, đê gia tăng chê độ bảo mật nên chọn Enable

¢ Minimum password age: mic định giá trị này là 0 nếu ta thay nó bằng con số khác 0

VD là 3 chang han thi user chi có quyền thay đổi password 3 ngày một lần mà thơi ¢ Minimum password length: D6 dài tối thiểu của password

e Enforce password history: nhớ bao nhiêu password không cho đặt trùng e Store password using reversible : ma hoa password

2 Account lockout policy

¢ Account lockout threshold: để khoá account khi đăng nhập sai

e Account lockout duration: khoa account trong 30 phút khi đang nhập sai e Reset account lockout counter after: xoa bd nho danh pass

Fie Acton View Help 9) Alm 2|

Ey Defauit Domain Posy I | Policy Setting I

©) Gl Computer Configuration ‘Account lockout duraton Not Defined

B Bi Pokies Account lockout threshold D invalid logon attempts

Software Settings 2) Reset account lockout counter after Not Defined Vindows Settings 2) Scrots (Gtartup/shutdown) & te Deployed Printers El Seanity Settings © Bj Account Poles ì đã Passaơrd Poicy

5 J3 Account Lockout Policy

BiB Kerberos Pocy 8 Local Policies 8 Event Log 8 Restricted Groups 8 ‘System Services ® CÁ Regsry 8 File System z 4

II LOCAL POLICY 1 User rights assignment:

Vao Administrator > Local Sercurity> Local policies

-Ipl xí

File Acton View Help

@ | 2[m/ Ris |B es

ñ Sanh Seo = [searty setting — Ï is

© GG Account Policies 2) Access Credental Manager as at

PassnordPoicy Biacess ths computer from the nt Everyone Auten

ua] Act as part of the operating system:

Bi Acs wortsiatons to domen

Ba Adust memory quotas for 8 process L

‘(Ge Allow lag on locally bị

Bi low log on trough Terminal Ser venta

KskovsFitoel với Adenicd Seccntyl Sl ORE sone crested

nor List Manager Poices Boyes traverse checking

Pubic Key Polices Ba Change the system me

Fiware Restriction Poles change the time zone

P secuty Poices onLocalConauter | Sicreateapecetie

Gi Create a token object

“ eny access to tis computer fo

ij Deny log on as a batch job

Deny logon as a service

Badeny log on ocaty

Bideny og on trough Terminal Se

Bienabie computer and user accoun Adrintrators

BiForce shutdown from a remote sy Adminsstrators Serv

icererate seauty acts LOCAL SERVICE

na ora or 3

I ĩ Ï

e Deny logon locally: chon user khéng cho dang nhap vao may tinh Change the system time: những người được thay đổi giờ hệ thống e Shutdown the system: những người có quyền tắt máy

e Allow log on through Terminal Services: cho phép dang nhap e Log on as a Service: dang nhập như một dịch vụ

'Và còn rất nhiều tính năng khác

2 Sercurity options

{Default Domain Policy [WIN | Policy = [Potcy Setting

B Computer Configuration Gi Accounts: Adminstrator account status Not Defined

aj Accounts: Guest account status Not Defined

@ LB) Software Settngs 2] Accounts: Limit local account use of blank p Not Defined BS JAccounts: Rename admnistretor account Not Defined

CN =| Accounts: Rename guest account NgtDefned

a Devens Gijaudt: Audt the access of bal system obj NotDefined

_ B BB accantPotces (Ge) Audit: Audt the use of Badup and Restore Not Defined

Somer Se rater me

EE Gi Account Lockout Pokcy |] =) BB Kerberos Poicy EJOCOM: Machne Access Restrictonsin 2% one) ee Sear Not Defined Bổ baPdos Ế]DCOM: Madhine Launch Resticionsin Secur NotDefned Bi gj AudtPoicy devices: Alow undock without having tolog on Not Defined Bi ij User Rights Assiqrment| |] [el Devices: Alowed to format and ejectremov Not Defined 3 Gj Seantyontens 2) Devices: Prevent users from instaling prints Not Defined B gj Eventlog “]Devices: Restrict CD-ROM access tolocally | Not Defined B (g Restricted Groups Eidevices: Restrict foppy access tolocalylog Not Defined Og System Services E}Doman controler: Alow server operators to Not Defined

E8 HÀ Regsty ©) Domain controler: LDAP server sqning requi Not Defined

Ei Flesystem 2}Domain controler: Refuse machine account Not Defined [i Weed Network (EEE 802.3 | | + \ pomain member: Digtaly encrypt or sign sec Not Defined

Widows Freel with Adve} 2 Domain member: Digtaly encrypt secure ch Not Defined

sẽ No ca ke xi | Domain menber: igtaly sgn secure chann, Not Defined aL n ÌDonan menber: Disable machne account p Not Defined

e Interactive logon: Do not display last user name: Khi user logout may cửa số đăng

nhập sẽ không ghi lại account user vừa logon

¢ Interactive logon: Message text for users attempting to log on: Ban cé thể nhắn gởi một nội dung nào đó tới các user trước khi ho logon vào máy với nội dung nhắn gởi ở đây

e Interactive logon: Message title for users attempting to log on: Ban nhap tiéu dé của hộp nội dung nhắn gởi vào đây

CHƯƠNG 3 QUYÈN TRUY CẬP NTES

I KIEM SOAT QUYEN TRUY CAP HE THONG TEP NTFS 1 Phân quyền đơn giản

- Windows có một cơ chế kiểm soát truy nhập rất đơn giản là share đồng thời phân quyên Muốn share, chọn lệnh Share , lần lượt Add một folder, hãy click nút phụ của con chuột vào folder ây, sẽ hiện context menu từng nhóm người dùng (hay từng người dùng), cứ môi nhóm chọn Permission Level để phân quyên cho nhóm ây Xong ân nút Share

- Theo cach này, mỗi nhóm có thể có một trong ba quyền truy nhập

e Reader (ngudi xem) Xem tồn bộ nội dung folder

¢ Contributor (người đóng góp) Xem toàn bộ nội dung folder, có thể tạo thêm file và folder và sửa file / folder mà bản thân đã thêm

© Co-owner (đồng chủ sở hữu) Xem và sửa toàn bộ nội dung của folder, kể cả các

file/folder mà người khác tạo ra

pm ơ

â 2 Fe shoring

Choose people on your network to share with

Type the name of the person you went to share with and then click Add, or click the arrow to find people

or share with everyone

Name [Permission Level |

& Administrator Owner ¥ 4 v Reader Ậ tại Reader ' Remove Kips) | esa - Ba quyén này không độc lập với nhau Co-owner bao ham Contributor, va Contributor lai bao hàm Viewer

- Co chế này rt dé ding và tiện dùng, nhưng không dùng được trong nhiều trường hợp Hơn

nữa, cơ chế này không có trên Windows Server 2003 mà chỉ có ở Windows Server 2008 2 Phân quyền cơ bản

2.1 Giới thiệu cơ chế phân quyềnNTES

- Cơ chế kiểm soát truy nhập cơ bản trên Windows Server là kết hợp giữa hai cơ chế phân quyền: phân quyền trên hệ thống tệp NTFS và phân quyền trên giao thức chia xẻ tệp CIFS (hay còn gọi là phân quyền share)

Permissions for PerfLogs xl

Share Permissions |

Group or user names: ‘BB, Everyone

& phat (phat@taiphat net) & tai taiG@taiphat net) L+z- ]: nm= | Permissions for phat Allow Deny Full Control oO n Change n n Read m n Leam about access control and permissions OK | Cancel | | - Ba quyền này không độc lập với nhau Full Control bao ham Change, va Change bao ham Read

- Phân quyền NTFS có 6 quyền: Full Control (toàn quyền), Modify (stra), Read & Execute (đọc tệp và chạy chương trình),List folder contents (hiện nội dung thư mục), Read (đọc), và

Write (viét)

BB Permissions for New Folder x

Group or user names: ‘S82, CREATOR OWNER ^ 8# sysTE Ä phat GiarGrapot net) — & Administrator = Pemnissions for tại Full contro! Modify Read & execute List folder contents Read cet | own |

e Trên mọi share quản chế, Everyone có quyền Change

- Sự phân biệt quyên truy nhập giữa các nhóm khác nhau và trên các share khác nhau khi đó sẽ chỉ thể hiện ở phân quyền NTES

2.2 Các công cụ phân quyén NTFS - Tât cả quyên truy nhập cơ sở của NTES là :

e Traverse folder/execute file (di xuyên qua folder / thi hành file)

e List folder/read data (hiện thư mục, đọc dữ liệu)

e Read attributes (đọc thuộc tính)

e Read extended at(ributes (đọc thuộc tính mở rộng)

e Create files/write data (tạo file, viết dữ liệu) se Create folders/append data (tao folder, nối dữ liệu)

¢ Write attributes (viét thudc tinh) Cho phép thay đổi các thuộc tính của file và folder e Write extended attributes (viết thuộc tính mở rộng)

e Delete subfolders and files (xóa folder con và file)

e Delete (xóa)

e Read permissions (đọc quyền) Change permissions (đổi quyền) ¢ Take ownership (doat chủ quyên)

[EE ea eh

Object |

Name: [tai (tei@taiphat.net) Change |

Apply to: [This folder, subfolders and files xi

Permissions: j

Full control

Traverse folder / execute file List folder / read data Read attributes Read extended attributes Create files / write data Create folders / append data

Write attributes

Write extended attributes Delete subfolders and files

IññññHññññnññ

Delete

[C `99)y these permissions to objects and/or All

containers within this container only

Managing permissions

ae) a

- Khi phân quyền cho một folder, quyền đã phân sẽ có thể sẽ áp dụng lên cả các folder con và

file bên trong, việc này gọi là thừa kế Việc thừa kế thực hiện theo một trong sáu kiểu sau

đây

e This folder only (chỉ folder này thôi) Quyền chi áp dụng cho folder này, khơng thừa kế ¢ This folder, subfolders and files (folder này, các folder con và các file) Quyền áp dụng cho folder này, các folder con và các file Thừa kê toàn phân

e This folder and subfolders (folder này và các folder con) Quyền áp dụng cho folder nay và các folder con Các folder con thừa kế

e This folder and files (folder này và các file) Quyền áp dụng cho folder này và các file

Các file thừa kế

e Subfolders and files only (các folder con và các file thôi) Quyền áp dụng chỉ cho các folder con và các file Thừa kế toàn phần ngoại trừ bản thân

e Subfolders only (chỉ các folder con thôi) Quyền áp dụng chỉ cho các folder con Các

folder thừa kế ngoại trừ bản thân

[tren «x

Name: [tai (tai@taiphat.net) Change | Apply to: [This folder, subfolders and files >]

[This folder onl

lGGHiS22Ä2| Trịc folder, subfolders and files

pans ate ae wear

Read extdSubfolders and files only Create fd Subfolders only Create foes ae

Write attributes Write extended attributes

Delete subfolders and files Delete Read permissions Change permissions Take ownership ig RIIRIRRRR HHHHHHDHE

Apply these permissions to objects and/or Clear All T containers within this container only : Ề ees

Lx_] == |

2.3 Thực hiện các quyền cơ bản của dữ liệu doanh nghiệp trên NTFS

- Trong hệ thông tệp NTEFS, năm quyền cơ bản trên folder dữ liệu doanh nghiệp được thực hiện theo những công thức sau đây:

e Quyền sử dụng = Read & Execute, List Folder Contents và Read this folder, subfolders

and files

e Quyền đóng góp = quyền sử dụng + Create files / Write data và Create folders/Append

data this folder and subfolders

e Quyền biên tập = quyén str dung + Modify va Write this folder, subfolders and files e Quyền xem thư mục = List folder / Read data this folder and subfolders

e Quyền xem quyền = Read Permissions this folder and subfolders e Quyền xem quyền = Read Permissions this folder, subfolders and files

§B Auditing Entry for New Folder x! Object |

Name: [tai (tai@taiphat.net) ‘Chance Apply onto: [This folder, subfolders and files =] Access: Successful Failed

Full control oOo o &2 Traverse folder / execute file oOo oO

List folder / read date n n

Read attributes im | o Read extended attributes r1 o Create files / write data Oo oO

Create folders / append data n n

Write attributes | an} o Write extended attributes oO oOo

Delete subfolders and files n oO Delete n oO -

Apply these auditing entries to objects

I~ and/or containers within this container os

only

Managing auditing

OK | Cancel |

II NGUYÊN TÁC KHI ÁP DỤNG QUYEN TRUY CẬP 1 Nguyên tắc hoạch định thư mục chương trình

Dưới đây là 1 số nguyên tắc chung cần áp dụng khi chỉ định các cấp độ truy cập NTFS cho

thư mục:

- Bỏ quyền truy cập NTFS mic dinh ở cấp độ Full Control từ nhóm Everyone và đem cấp cho nhóm Administrators

- Chỉ định cấp độ truy cập Full Control hoặc Change đối với thư mục thích hợp cho những

nhóm chịu trách nhiệm nâng cấp và xử lí lỗi phần mềm

- Nếu các chương trình mạng thường trú dung chung, cấp quyền truy cập ở cấp độ Read cho nhom Users

2 Nguyén tac hoạch đỉnh thư mục dữ liệu

e Bỏ quyền truy cập NTES ở cấp độ mặc định Full Control từ nhóm Everyone và đem cấp cho nhóm AdministratOrs

e Chỉ định cấp độ Add&Read cho nhóm Users và cấp độ PC cho nhóm CreatorOwner Việc này sẽ cung cấp cho người dùng đăng nhập cục bộ khả năng hủy bỏ và sữa chữa chỉ những thư mục và tập tin họ đã sao chép hoặc tạo ra trên máy tính mà họ đăng nhập

3 Nguyên tắc hoạch định thư mục cá nhân

e Tập trung mọi thư mục cá nhân trên I Volume NTES riêng biệt với Volume chứa hệ

điều hành và các chương trình, nhằm hợp lí hóa công tác quản trị và sao lưu đữ liệu

e Dùng biến %UserName% để tự động gán tên tài khoản của người dung cho thư mục và tự động chỉ định quyền truy cap NTFS 6 cap độ PC cho người tương ứng

4 Tạo thư mục cá nhân (Home Folder) trén Volume NTFS

- Lưu trữ thư mục cá nhân trên một Volume NTES có thuận lợi rất lớn, có thẻ tổ chức chúng

thành hệ thống phân tầng và giới hạn khả năng truy cập ở những người dùng tương ứng mà

không cần chia sẽ từng thư mục

Ill SHARE PERMISSION

- Đầu tiên mở trình Windows Explorer ra chọn Organize > Folder and Search Options

6/26/2011 12:52 3/19/2008 2:40 AM 119/208 4:59 AM 6/25/2011 6:16 PM: 6/25/20116:41 PM, 6/25/2011 7:04PM, - Chon Tab View sau đó click bỏ chọn mục Use Sharing Wizard (Recommended) I Folder Options

L Show encrypted or compressed NTFS files in color

‘Show pop-up description for folder and desktop items

lim —l:Í BB) Documents IE nước IB muse More» me Folders v Mi Desktop r_— J Pubic 1M Computer

eld Fonpy Disk Drive

Advanced Sharing

Với các tùy chọn là Allow: User có quyền truy cập tài nguyên với quyền hạn tương ứng Với các tùy chọn là Deny: User không có quyên truy cập tài nguyên với quyên hạn tương

ứng

Ä Permuissions for New Folder (2)

Để thực hiện phân quyền cho các Group thì ta cần Deny tất cả các quyền của Group User này Sau khi Deny tắt cả các quyền của Group User nhấp nút Add thể thêm Group hoặc User vào

Select Users, Computers, or Groups ?|x

Select this object type:

|Users Groups, or Buin security principals Object Types

From this location: Check Names OK | Cancel Trong nay gia sir Add thém User tai và cũng Set quyền cho User này là Deny tất cả mọi 4 quyền eee an TỔ x Share Permissions | (Group or user names: ‘§2, Everyone

tai {ai@taiphat net)

i Permissions for New Folder (2) x

Share Permissions |

Group or user names:

SB, Everyone

B tai tai@taiphat net)

Ä phat (phat @taiphat net) Full Control Change Read a i

Để tạo một thư mục mà không muốn cho ai thấy (chỉ có gõ lệnh mới vào được) thỉ thêm dấu $ vào ngay sau Share Name của mình

VD: Máy có IP là 192.168.1.10 và thư mục Share có tên là New Folder (2)$ Trong này giả sử ta Add thêm User tai và Set quyền cho User này là Allow tất cả mọi quyền Khi đó truy cập từ

Windows cannot access \\192.168.1.10\New Folder (2)

You do not have permission to access \\192.168.1.10\New Folder (2) Contact your network _ administrator to request access

Máy sẽ báo là không có lối vao ly do 1a da Set cho User tai bi Deny tatca

User tai bị từ chôi truy cập New Folder (2) Tuy nhiên với User phat thì có thê xem được các

tài nguyên trong này

Gor ~ Network + 192.188 1.10 ~ New Folder (2) > BiÍ -

_ Termnal Sevices »

ip Active Directory Domains and Trusts

ag) voto Administrator id Active Directory Sites and Services

La Active Directory Users and Computers q

@=e=sx —=— ' Component Services

(Be Computer Management

Network [Be Date Sources (008C)

————œ%

Control Pane (@ Event viewer

Em

Help end Support ME S2 e6 ong

ma Memory Diagnostics Too!

Run @ Reladlity end Performance Monitor B Security Configuraton wizard Sp Server Manager oy Services ch) CN 5 System Confguraton (® Tesk Scheduler

@ Windows Frewall with Advanced Seazity [Tsar | Sam | WG Windows Server Backup Trong này sẽ liệt kê toàn bộ các thư mục đã Share trước đó wi Fle Acton View Window dẹp q | =l#| x| ®% [| HÍm xEPEmainvvEm ESZr5:z===rrz ĐEN ==——— Shares a 7 7 on sel eons aS Connect to ano | Share fia | Protoco! | Local Path Qơa IS | fi] Provision Shave Protocol: SMB (9 items) a a CrWindos eee we cs Su € THANH, a Pes SMB es >

8ì wenoow sẽ ew Window fro BD NewFoder sve @ Retesh @ Neurod Heo Bl NenFode s6 Perfo: S9 @ sv se 2s vị [ Ï

Để tránh phải mat công nhập dòng lệnh \\[IP máy tới]N{thư mục share] chúng ta có thể ánh xạ

6 dia đối với các thư mục Share thường xuyên truy cập bằng cách nhấp phải vào thư mục đã

Share cần ánh xạ và chọn Map Network Drive

OO Seah 192168110 2

Organize + Search active rectory Network and Sharing Center View remote printers =- fe “We Favorites 'nelogon New Folder

BE Desktop Share Share

| Downloads

‘Ui Recent Places Oe cefLog có Open in new window

Gy Libraries sywo!| Restore previous versions 1B Documents od) Music © Pictures Bi Videos 1 Computer Bh Local Disk (C2) Gi Network J New Folder (2) (\\192.168.1.10) Offline availability: Not available ‘Share

Trong cửa số Map Nerwork Drive hiện ra bạn chọn tên 6 dia ánh xạ và click Finish

What network folder would you like to map?

Specify the drive letter for the connection and the folder that you want to connect to:

te eds

Folder \\192.168.1.10\New Folder (2) =] [ Browse |

Example: \\server\share

(7) Reconnect at logon là BH Connect using different credentials

Organize * System properties Uninstall or change a program Mapnetwork dive» s- @ @|

We Favorites + Hard Disk Drives (1)

BH Desktop Local Disk (C:) 1 Downloads 7

Si Pecere Pics 985 MB free of 69 G8

+ Devices with Removable Storage (2) GS Ubraries BD) Decinents: <3 Floppy Disk Drive (A:) s DVD RW Drive (0) ad) Music © Pictures 4 Network Location (1) Videos 5 4 Nex FollỀ 0) (192168110) (E) 1® Computer

& Local Disk (C3)

& New Folder (2) (19

i Network

MRTAL-PC Domair taphat.net Memory: 388 MB Processor: Intel(R) Core(TM)2 Duo

CHƯƠNG 4 XÂY DỰNG MÔ HÌNH MẠNG MỘT CƠNG TY I CẤU HÌNH DỊA CHỈ IP, DHCP,DNS

1 Cấu hình địa chỉ IP Server Client IP address 192.168.1.10 192.168.1.11 30 Subnet mask 255.255.255.0 255.255.255.0 Default gateway 192.168.1.10 192.168.1.10 Preferred DNS 192.168.1.10 192.168.1.10 2 Cấu hình DHCP

Ascopeis arange of possible IP addresses for a network The DHCP server cannot distribute IP addresses to clients until ascopeis created

Scope Name: PHN nagfneặă ae

Starting IP Address: na In Ending IP Address: [szisianpn 7 7 7 7 7 7 Đ ˆ

Default Gateway (optional): fisz 168 1 10|

Subnet Type: Wired (lease duration will be 6 days) x

1 Activate this scope Lox] coreces_| 3.Cấu hình DNS Ae 215) xi Action View Help «%|2jrm|lXE12|lHEläE1ä aos Nene [re [pete [imestamo E Forward Lc Zones © Gl _msdes iphat.net E EÃ taphat © (5) tiphatnet

& [BD Reverse Lookup Zones

1 BD Conditonal Forwarders StwtofAuthoriy (SOA) —_ [39,winsovSeppto.tap

[Ei] Global Logs Name Server (NS) : tppbo taiphat.net,

PC Host (A) 168.1.11 6/25/2011 7:

lsinsosxsepoto Host (A) 192, 168.1.10 7/4/2011.10:

Il TẠO OU,USER VÀ GROUP

Công ty taiphat gôm 4 phòng : Phòng Giám Đôc , Phòng Kê Toán , Phong Ky Thuat , Phong Kinh Doanh

Active Directory Users and Computers

Il GROUP POLICY,DICK QUOTA

1 Phòng Giám Đốc : các user của phòng giám đốc có toàn quyền trên domain và dung lượng ỗ đĩa không giới hạn, không qui định thời gian vào mạng

Tá x1

(UY 7|

‘General Members | Member Of | Managed By |

Members:

Name | Active Directory Domain Services Folder |

Logon Hours

2 Phong Kế Toán : các user thuộc phòng kế toán có các yêu cầu là mật khẩu ít nhất phải 8 kí

tự, thời gian thay đổi mật khẩu là 30 ngày, người dùng đăng nhập sai 3 lần sẽ bị khóa account,

thời gian khóa sẽ là 5 phút, user không phải ấn tổ hợp phím Ctrl+AlttDel khi đăng nhập,

E8 E1 E3 E3 El E3 HE

[@)DCOM: Machine Access Restrictions in Securi

[E}DCOM: Machine Launch Restrictions in Secur

iDevices: Alow undock without having to log on

[Ddevices: Restrict floppy access to locally log Epona controler: Alow server operators to

user không phải à an to hop phim CtrH-Alt+Del khi đăng nhập

KT" -¬x Quota Edit View Help DX#-Đ Status | Name | li ta Limit, Waring Level Percent Used | 100 MB 95 MB 100 MB 95 MB Wok kdi kdi€taph: 0 bytes kd2 kd2@tapha O bytes kd3 kd3@tapha , 0 bytes 0bytes 0 bytes 0bytes ie oH 0bytes @ox Obytes 100 MB 95 MB @ox kth2@taiph Obytes 100 MB 95MB @Q% khi kh3@tph 0bytes ^^ te 100 MB 95 MB dung lượng ỗ đĩa tối đa là 100 MB " TT 4 ©2+4-6-8-10<12+2 +4 =6 +8 +10512 z= 9 2 IiiIiilIillliillilllil —==1 BP © ==:.- | © Logon Denied In ii Saturday from 6:00 AM to 3:00 PM

thời gian vào mạng từ 8h sang -> 14h các ngày thứ hai, tư , sáu

3 Phòng Kinh Doanh : Không cho phép user trên Client truy cập vào ỗ chứa hệ điều hành (6 C), không được cài đặt chương trình, không được truy cập vào registry, không được truy cập Control Panel trén may Client, dung lugng 6 dia téi da 1a 100 MB, thdi gian đăng nhập từ 8h -

> 15h thir ba, nam , bay

Prevent access to drives from My Computer Properties 2\ x!

Setting | Explain | Comment |

EE Prevent access to dives from My Computer Not Configured ® Enabled Disabled Pick one of the following combinations Supported on: At least Microsoft Windows 2000 Fie Action View Help 1 Appication Compatbity 15) Attachment Manager [] AutoPlay Poicies Bacup Desktop Window Manager Digital Locker BD import Video GB) Instant Search EE Internet Explorer Microsoft Management Console 1) NetMeeting E 8 Bee

không được cài đặt chương trình

Giáo trình Quản trị mạng nâng cao

®œ@#|?Íml2|m|T

E = [state |

TẾ Anays instal with elevated privieges Enabled

Prevent removable media source for any install Not configured

Prohibit rolbeck Not configured

E| Search order Not configured

Prevent access to registry editing tools Properties 2) xi Seting | Explain | Comment |

(CE Prevent access to registry editing tools © Not Configured @ Enabled © Disabled Disable regedit from running silently? Yes Supported on: At least Microsoft Windows 2000 Lx_] Cancel | Apply | không được truy cập vào registry không được truy cập Control Panel trén may Client ROO anon gs cd ww {0} x Fle Acton View Hela &#|?|m|13||T i Preferences 4 “ [sate | E | te Configuration {15 Add or Remove Programs 8 Ey Pokies Bospay

& Ej Software Setings rns

E By Windows Settings Bi rrogans

5 [Bj Adminsvatve Tenltes: Policy cefriton| | os Ti Options

ri -:: Quota Edit View Help nX#-â kd1@tapha k2@tapha kd3@taipha ktl KI@taphat Obytes 1008 95MB 0 2 K2@taphat Obytes 100MB 95MB 0 k3 K3@tapht Obytes 1008 95MB 0 k4 - K48taphat Obytes 1008 95MB 0 khi khi@taph Obytes 100 MB 95MB 0

dung lượng ỗ đĩa tối đa là 100 MB mm - đe can so a a EEE) emt ears Monday 7 II Bl renee Wednesday | © Logon Denied Thursday II) Ji) Friday from 6:00 AM to 8:00 PM

thời gian đăng nhập từ 8h -> 15h thứ ba, năm , bay

4 Phòng Kỹ Thuật : mật khẩu ngoài viêc có 8 ký tự trở lên thì còn phải có mật khẩu khó, tức

là phải có thêm các ký tự (- _ ?/ ) Không cho phép Auto play tất cả các loại ỗ đĩa kể cả

USB Dung lượng ỗ đĩa tối đa là 100MB Thời gian vào mạng từ 5h -> 10h và từ 13h -> 18h các ngày thứ hai, năm, bảy , chủ nhật

{BI Group Policy Management Editor nị xí

Fle Action View Help ®@s®| 2|r|X 1s |H lạnh doanh [\/TN-\0P4XSPPT a] | Poley = | Boàcy Setting I

Computer Configuration ] Enforce password history Not Defined

Polces 42) Maximum password age Not Defined IB Software Settings 1] Minimum password age Not Defined Windows Settings | |[- Sorots (Stara | py Bm Deployed Prnte © jh Seanity Setting E i Account Pol & Gi Passio HH ga Accoun’ id Kerberc: & qj Local Police Bg Audtrc a 3 User Ric € B gj Seant, @ Event Log a Restricted ¢ Og System Ser og Regsty ® ( Fle System mật khẩu có 8 ký tự trở lên, phải có mật khẩu khó um password length S characters ‘Store passwords using reversible encryption NotDefned Baas e

Turn off Autoplay Properties ?|x