Giáo trình Quản trị mạng (Nghề: Quản trị mạng - Trung cấp) được biên soạn dùng cho chương trình dạy nghề Quản trị mạng đáp ứng cho hệ đào tạo Trung cấp. Giáo trình được chia thành 2 phần, phần 1 trình bày những nội dung về: tổng quan về hệ điều hành windows server; dịch vụ tên miền DNS; dịch vụ thư mục (Active Directory); quản lý tài khoản người dùng và nhóm; các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm;... Mời các bạn cùng tham khảo!
BỘ NÔNG NGHIỆP VÀ PHÁT TRIỂN NÔNG THÔN TRƢỜNG CAO ĐẲNG CƠ ĐIỆN XÂY DỰNG VIỆT XÔ KHOA CÔNG NGHỆ THƠNG TIN VÀ NGOẠI NGỮ GIÁO TRÌNH MƠ ĐUN:QUẢN TRỊ MẠNG NGHỀ: QUẢN TRỊ MẠNG TRÌNH ĐỘ TRUNG CẤP TUYÊN BỐ BẢN QUYỀN: Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin đƣợc phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm LỜI GIỚI THIỆU Trong năm qua, dạy nghề có bƣớc tiến vƣợt bậc số lƣợng chất lƣợng, nhằm thực nhiệm vụ đào tạo nguồn nhân lực kỹ thuật trực tiếp đáp ứng nhu cầu xã hội Cùng với phát triển khoa học công nghệ giới, lĩnh vực Công nghệ thơng tin nói chung ngành Quản trị mạng Việt Nam nói riêng có bƣớc phát triển đáng kể Chƣơng trình dạy nghề Quản trị mạng máy tính đƣợc xây dựng sở phân tích nghề, phần kỹ nghề đƣợc kết cấu theo môđun Để tạo điều kiện thuận lợi cho sở dạy nghề trình thực hiện, việc biên soạn giáo trình theo mơđun đào tạo nghề cấp thiết Mô đun 24: Quản trị mạng1 mô đun đào tạo chuyên môn nghề đƣợc biên soạn theo hình thức tích hợp lý thuyết thực hành Trong q trình thực hiện, nhóm biên soạn tham khảo nhiều tài liệu Quản trị mạng nƣớc, kết hợp với kinh nghiệm thực tế Mặc dầu có nhiều cố gắng, nhƣng khơng tránh khỏi khiếm khuyết, mong nhận đƣợc đóng góp ý kiến độc giả để giáo trình đƣợc hoàn thiện Xin chân thành cảm! Tham gia biên soạn Thạc sỹ: Phạm Anh Đức MỤC LỤC LỜI GIỚI THIỆU MỤC LỤC MÔ ĐUN ĐÀO TẠO QUẢN TRỊ MẠNG Bài 1: TỔNG QUAN VỀ WINDOWS SERVER 14 Tổng quan hệ điều hành windows server 14 Chuẩn bị cài đặt windows server 15 2.1 Yêu cầu phần cứng 16 2.2 Tƣơng thích phần cứng 16 2.3 Cài đặt nâng cấp 16 2.4 Phân chia ổ đĩa 17 2.5 Chọn hệ thống tập tin 17 2.6 Chọn chế độ sử dụng giấy phép 18 2.7 Chọn phƣơng án kết nối mạng 18 Các giao thức kết nối mạng 18 2.7.2 Thành viên Workgroup Domain 18 CÀI ĐẶT WINDOWS SERVER 2008 18 3.1 Giai đoạn Preinstallation 19 3.1.1 Cài đặt từ hệ điều hành khác 19 3.1.2 Cài đặt trực tiếp từ đĩa DVD Windows Server 2008 19 3.2 Giai đoạn Text-Based Setup 19 3.3 Giai đoạn Graphical-Based Setup 24 TỰ ĐỘNG HÓA QUÁ TRÌNH CÀI ĐẶT 25 4.1 Giới thiệu kịch cài đặt 25 4.2 Tự động hóa dùng tham biến dòng lệnh 26 4.3 Sử dụng Setup Manager để tạo tập tin trả lời 27 4.4 Sử dụng tập tin trả lời 28 4.4.1 Sử dụng đĩa DVD Windows 2003 Server khởi động đƣợc 28 4.4.2 Sử dụng nguồn cài đặt Windows 2003 Server 28 Bài tập thực hành học viên 29 Bài 2: DỊCH VỤ TÊN MIỀN (DNS) 30 Tổng quan DNS 30 1.1 Giới thiệu DNS 30 1.2 Đặc điểm DNS Windows Server 33 Cách phân bố liệu quản lý tên miền 33 Cơ chế phân giải tên 34 3.1 Phân giải tên thành IP 34 3.2 Phân giải IP thành tên máy tính 36 Một số khái niệm 37 4.1 Domain name zone 37 4.2 Fully Qualified Domain Name (FQDN) 37 4.3 Sự ủy quyền(Delegation) 37 4.4 Forwarders 38 4.5 Stub zone 38 4.6 Dynamic DNS 38 4.7 Active Directory-integrated zone 38 Phân loại Domain Name Server 38 5.1 Primary Name Server 38 5.2 Secondary Name Server 38 5.3 Caching Name Server 39 Resource Record (RR) 39 6.1 SOA(Start of Authority) 39 6.2 NS (Name Server) 40 6.3 A (Address) CNAME (Canonical Name) 40 6.4 AAAA 40 6.5 SRV 41 6.6 MX (Mail Exchange) 41 6.7 PTR (Pointer) 42 Cài đặt cấu hình DNS 42 7.1 Các bƣớc cài đặt dịch vụ DNS 42 7.2 Cấu hình dịch vụ DNS 43 7.2.1 Tạo Forward Lookup Zones 43 7.2.2 Tạo Reverse Lookup Zone 45 Bài tập thực hành học viên 45 Bài 3: DỊCH VỤ THƯ MỤC (ACTIVE DIRECTORY) 54 Active Directory 54 1.1 Giới thiệu 54 1.2 Chức Active Directory 54 1.3 Directory Services 54 1.3.1 Giới thiệu Directory Services 54 1.3.2 Các thành phần Directory Services 55 Các thành phần AD 56 2.1 Cấu trúc AD logic 56 2.1.1 Organizational Units 56 2.1.2 Domain 57 2.1.3 Domain Tree 58 2.1.4 Forest 58 2.2 Cấu trúc AD vật lý 59 CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY 59 3.1 Nâng cấp Server thành Domain Controller(DC) 59 3.1.1 Giới thiệu 59 3.1.2 Các bƣớc cài đặt 60 3.2 Gia nhập máy trạm vào Domain 61 3.2.1 Giới thiệu 61 3.2.2 Các bƣớc cài đặt 61 Bài tập thực hành học viên 62 Bài 4: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM 67 ĐỊNH NGHĨA TÀI KHOẢN NGƢỜI DÙNG VÀ TÀI KHOẢN NHÓM 67 1.1 Tài khoản ngƣời dùng 67 1.1.1 Tài khoản ngƣời dùng cục 67 1.1.2 Tài khoản ngƣời dùng miền 68 1.1.3 Yêu cầu tài khoản ngƣời dùng 68 1.2 Tài khoản nhóm 68 1.2.1 Nhóm bảo mật 68 1.2.2 Nhóm phân phối 69 1.2.3 Qui tắc gia nhập nhóm 69 CÁC TÀI KHOẢN TẠO SẴN 70 2.1 Tài khoản ngƣời dùng tạo sẵn 70 2.2 Tài khoản nhóm Domain Local tạo sẵn 71 2.3 Tài khoản nhóm Global tạo sẵn 73 2.4 Các nhóm tạo sẵn đặc biệt 73 Quản lý tài khoản ngƣời dùng nhóm cục 74 3.1 Công cụ quản lý tài khoản ngƣời dùng cục 74 3.2 Các thao tác tài khoản ngƣời dùng cục 75 3.2.1 Tạo tài khoản 75 3.2.2 Xóa tài khoản 75 3.2.3 Khóa tài khoản 75 3.2.4 Đổi tên tài khoản 75 3.2.5 Thay đổi mật 75 QUẢN LÝ TÀI KHOẢN NGƢỜI DÙNG VÀ NHÓM TRÊN ACTIVE DIRECTORY 75 4.1 Tạo tài khoản ngƣời dùng 76 4.2 Các thuộc tính tài khoản ngƣời dùng 76 4.2.1 Các thông tin mở rộng ngƣời dùng 77 4.2.2 Tab Account 77 4.2.4 Tab Member Of 81 4.2.5 Tab Dial-in 81 4.3 Tạo tài khoản nhóm 82 4.4 Các tiện ích dịng lệnh quản lý tài khoản ngƣời dùng tài khoản nhóm 82 4.4.1 Lệnh net user 83 4.4.2 Lệnh net group 84 4.4.3 Các lệnh hỗ trợ dịch vụ Active Driectory môi trƣờng Windows Server 2003 84 Bài tập thực hành học viên 85 Bài 5: QUẢN LÝ ĐĨA 89 Cấu hình hệ thống tâp tin 89 Cấu hình đĩa lƣu trữ 90 2.1 Basic storage 90 2.2 Dynamic storage 90 Sử dụng chƣơng trình Disk Manager 92 3.1 Xem thuộc tính đĩa 93 3.2 Xem thuộc tính volume đĩa cục 93 3.3 Bổ sung thêm ổ đĩa 96 3.4 Tạo partition volume 96 3.5 Thay đổi ký tự ổ đĩa đƣờng dẫn 97 3.6 Xoá partition/volume 98 3.7 Cấu hình Dynamic Storage 98 Quản lý việc nén liệu 100 THIẾT LẬP HẠN NGẠCH ĐĨA (DISK QUOTA) 102 5.1 Cấu hình hạn ngạch đĩa 102 5.2 Thiết lập hạn ngạch mặc định 103 5.3 Chỉ định hạn ngạch cho cá nhân 103 MÃ HOÁ DỮ LIỆU BẰNG EFS 104 Bài 6: TẠO VÀ QUẢN LÝ THƯ MỤC DÙNG CHUNG 106 TẠO THƢ MỤC DÙNG CHUNG 106 1.1 Chia sẻ thƣ mục dùng chung 106 1.2 Cấu hình Share Permissions 107 1.3 Chia sẻ thƣ mục dùng lệnh netshare 108 QUẢN LÝ CÁC THƢ MỤC DÙNG CHUNG 109 2.1 Xem thƣ mục dùng chung 109 2.2 Xem phiên làm việc thƣ mục dùng chung 109 2.3 Xem tập tin mở thƣ mục dùng chung 110 QUYỀN TRUY CẬP NTFS 110 3.1 Các quyền truy cập NTFS 111 3.2 Các mức quyền truy cập đƣợc dùng NTFS 112 3.3 Gán quyền truy cập NTFS thƣ mục dùng chung 112 3.4 Kế thừa thay quyền đối tƣợng 114 3.5 Thay đổi quyền di chuyển thƣ mục tập tin 115 3.6 Giám sát ngƣời dùng truy cập thƣ mục 115 3.7 Thay đổi ngƣời sở hữu thƣ mục 116 DFS 117 4.1 So sánh hai loại DFS 117 4.2 Cài đặt Fault-tolerant DFS 117 Bài tập thực hành học viên 120 Bài 7: CÀI ĐẶT VÀ QUẢN TRỊ DỊCH VỤ DHCP VÀ WINS 126 Dịch vụ cấp phát địa IP động 126 1.1 DHCP (Dynamic Host Configutation Protocol)là gì, phải dùng DHCP? 126 1.2 Các bƣớc cài đặt DHCP 126 1.3 Cấu hình dịch vụ DHCP 127 1.4 Kiểm tra dịch vụ DHCP Server 129 1.5 Cấu hình IP động cho máy Client 129 1.5.1 Cách cấu hình địa động cửa sổ Local Area Connection Properties 129 1.5.2 Cách kiểm tra địa IP đƣợc cấp phát cho máy tính 130 Dịch vụ WINS 130 2.1 Giới thiệu dịch vụ WINS 130 2.2 Cài đặt WINS 130 2.3 Cấu hình máy chủ máy khách với WINS 130 2.3.1 Cấu hình máy phục vụ WINS 131 2.3.2 Cấu hình máy khách WINS 132 2.4 Bổ sung máy chủ WINS 132 2.5 Khởi động ngừng WINS 133 2.6 Xem thống kê máy chủ: 133 2.7 Cập nhật thông tin thống kê WINS 134 2.8 Quản lý hoạt động đăng ký, gia hạn giải phóng tên 134 2.9 Ghi nhận kiện vào nhật ký kiện Windows 135 2.10 Chọn số hiệu phiên cho sở liệu WINS 135 2.11 Lƣu phục hồi cấu hình WINS 135 2.12 Quản lý sở liệu WINS 136 2.12.1 Khảo sát kết ánh xạ sở liệu WINS 136 2.12.2 Kiểm tra tính quán sở liệu WINS 137 2.13 Sao lƣu phục hồi sở liệu WINS 137 2.13.1 Lập cấu hình cho WINS tự động lƣu 137 2.13.2 Phục hồi sở liệu 138 2.13.3 Xoá trắng WINS bắt đầu với sở liệu 138 Bài tập thực hành học viên 139 Bài 8: QUẢN TRỊ MÁY IN 148 CÀI ĐẶT MÁY IN 148 QUẢN LÝ THUỘC TÍNH MÁY IN 149 2.1 Cấu hình Layout 149 2.2 Giấy chất lƣợng in 149 2.3 Các thông số mở rộng 150 CẤU HÌNH CHIA SẺ MÁY IN 150 CẤU HÌNH THƠNG SỐ PORT 151 4.1 Cấu hình thơng số Tab Port 151 4.2 Printer Pooling 151 4.3 Điều hƣớng tác vụ in đến máy in khác 152 CẤU HÌNH TAB ADVANCED 153 5.1 Các thông số Tab Advanced 153 5.2 Khả sẵn sàng phục vụ máy in 153 5.3 Độ ƣu tiên (Printer Priority) 154 5.4 Print Driver 154 5.5 Spooling 154 5.6 Print Options 154 5.7 Printing Defaults 155 5.8 Print Processor 155 5.9 Separator Pages 156 CẤU HÌNH TAB SECURITY 156 6.1 Giới thiệu Tab Security 156 6.2 Cấp quyền in cho ngƣời dùng/nhóm ngƣời dùng 157 QUẢN LÝ PRINT SERVER 158 7.1 Hộp thoại quản lý Print Server 158 7.2 Cấu hình thuộc tính Port Print Server 159 7.3 Cấu hình Tab Driver 159 GIÁM SÁT TRẠNG THÁI HÀNG ĐỢI MÁY IN 159 Bài tập thực hành học viên 161 Bài 9: DỊCH VỤ PROXY 172 Các khái niệm 172 1.1 Mơ hình client server số khả ứng dụng 172 1.2 Socket 173 1.3 Phƣơng thức hoạt động đặc điểm dịch vụ Proxy 173 1.3.1 Phƣơng thức hoạt động 173 1.3.2 Đặc điểm 175 1.4 Cache phƣơng thức cache 175 Triển khai dịch vụ proxy 178 2.1 Các mô hình kết nối mạng 178 2.2 Thiết lập sách truy cập qui tắc 180 2.2.1 Các qui tắc 180 2.2.2 Xử lý yêu cầu 181 2.2.3 Xử lý yêu cầu đến 182 2.3 Proxy client phƣơng thức nhận thực 182 2.3.1 Phƣơng pháp nhận thực 183 2.3.2 Phƣơng pháp nhận thực Digest 183 2.3.3 Phƣơng pháp nhận thực tích hợp 183 2.3.4 Chứng thực client chứng thực server 183 2.3.5 Nhận thực pass-though 184 Bài tập thực hành học viên 185 TÀI LIỆU THAM KHẢO 187 MƠ ĐUN: QUẢN TRỊ MẠNG Mã mơ đun: MĐ24 Vị trí tính chất mơ đun: - Vị trí: Mơ đun đƣợc bố trí sau sinh viên học xong môn học Kỹ thuật điện- điện tử, cấu trúc máy tính nguyên lý hệ điều hành - Tính chất: Là mơ đun chun ngành - Ý nghĩa vai tr : Đây mô đun đào tạo sở ngành, cung cấp cho sinh viên kỹ máy tính, biết cách lựa chọn thành phần lắp ráp máy tính nghề Quản trị mạng Mục tiêu mô đun: - Về kiến thức: + Phân biệt khác việc quản trị máy chủ (Server) máy trạm (workstation); + Cài đặt đƣợc hệ điều hành server; - Về kỹ năng: + Tạo đƣợc tài khoản ngƣời dùng, tài khoản nhóm; + Quản lý tài khoản ngƣời dùng, nhóm xếp hệ thống hoá tác vụ quản trị tài khoản ngƣời dùng tài khoản nhóm; + Chia sẻ cấp quyền truy cập tài nguyên dùng chung; + Cài đặt cấp hạn ngạch sử dụng đĩa; + Lập cấu hình quản trị in ấn máy phục vụ in mạng; + Cài đặt cấu hình dịch vụ mạng: Active Directory, DNS, DHCP, WINS, Proxy Server - Về lực tự chủ trách nhiệm: + Tự tin thao tác, tiếp cận phần mềm máy tính + Bố trí làm việc khoa học đảm bảo an toàn cho ngƣời phƣơng tiện học tập NỘI DUNG CỦA MÔ ĐUN: Số TT Tên mô đun Bài 1: Tổng quan WINDOWS SERVER Tổng quan hệ điều hành windows server Chuẩn bị cài đặt windows server 2.1 Yêu cầu phần cứng 2.2 Tƣơng thích phần cứng 2.3 Cài đặt nâng cấp Tổng số Thời gian Thực hành, thí Lý nghiệm, thuyết thảo luận, Bài tập 10 0,5 Kiểm tra 2.4 Phân chia ổ đĩa 2.5 Chọn hệ thống tập tin 2.6 Chọn chế độ sử dụng giấy phép 2.7 Chọn phƣơng án kết nối mạng Cài đặt Windows Server 2008 3.1 Giai đoạn Preinstallation 3.2 Giai đoạn Text-Based Setup 3.3 Giai đoạn Graphical-Based Setup Tự động hóa q trình cài đặt 4.1 Giới thiệu kịch cài đặt 4.2 Tự động hóa dùng tham biến d ng lệnh 4.3 Sử dụng Setup Manager để tạo tập tin trả lời 4.4 Sử dụng tập tin trả lời Bài : Dịch vụ tên miền DNS Tổng quan DNS 1.1 Giới thiệu DNS 1.2 Đặc điểm DNS Windows Server Cách phân bố liệu quản lý tên miền Cơ chế phân giải tên 3.1 Phân giải tên thành IP 3.2 Phân giải IP thành tên máy tính Một số khái niệm Phân loại Domain Name Server 5.1 Primary Name Server 5.2 Secondary Name Server 5.3 Caching Name Server Resource Record (RR) Cài đặt cấu hình DNS 7.1 Các bƣớc cài đặt dịch vụ DNS 7.2 Cấu hình dịch vụ DNS Bài 3: Dịch vụ thư mục (Active Directory) Active Directory 1.1 Giới thiệu 1.2 Chức Active Directory 1.3 Directory Services Các thành phần AD 2.1 Cấu trúc AD logic 3 10 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 0,5 6,5 0,5 0,5 15 1 2 10 - Anonymous logon: đại diện cho ngƣời dùng đăng nhập vào hệ thống cách nặc danh, chẳng hạn ngƣời sử dụng dịch vụ FTP - Service: đại diện cho tài khoản mà đăng nhập với tƣ cách nhƣ dịch vụ - Dialup: đại diện cho ngƣời truy cập hệ thống thông qua Dialup Networking Quản lý tài khoản người dùng nhóm cục Mục tiêu: - Sử dụng công cụ tạo quản trị tài khoản người dùng nhóm cục 3.1 Công cụ quản lý tài khoản người dùng cục Muốn tổ chức quản lý ngƣời dùng cục bộ, ta dùng công cụ Local Users and Groups Với cơng cụ bạn tạo, xóa, sửa tài khoản ngƣời dùng, nhƣ thay đổi mật mã Có hai phƣơng thức truy cập đến cơng cụ Local Users and Groups: - Dùng nhƣ MMC (Microsoft Management Console) snap-in - Dùng thông qua công cụ Computer Management Các bƣớc dùng để chèn Local Users and Groups snap-in vào MMC: - Chọn Start \ Run, nhập vào hộp thoại MMC ấn phím Enter để mở cửa sổ MMC - - - - Chọn Console \ Add/Remove Snap-in để mở hộp thoại Add/Remove Snap-in Nhấp chuột vào nút Add để mở hộp thoại Add Standalone Snap-in Chọn Local Users and Groups nhấp chuột vào nút Add Hộp thoại Choose Target Machine xuất hiện, ta chọn Local Computer nhấp chuột vào nút Finish để trở lại hộp thoại Add Standalone Snap-in Nhấp chuột vào nút Close để trở lại hộp thoại Add/Remove Snap-in Nhấp chuột vào nút OK, ta nhìn thấy Local Users and Groups snapin chèn vào MMC nhƣ hình sau Lƣu Console cách chọn Console \ Save, sau ta nhập đƣờng dẫn tên file cần lƣu trữ Để tiện lợi cho việc quản trị sau ta lƣu console Desktop Nếu máy tính bạn khơng có cấu hình MMC cách nhanh để truy cập công cụ Local Users and Groups thông qua công cụ Computer Management Nhầp phải chuột vào My Computer chọn Manage từ pop-up menu mở cửa sổ Computer Management Trong mục System Tools, ta nhìn thấy mục Local Users and Groups Cách khác để truy cập đến công cụ Local Users and Groups vào Start \ Programs\Administrative Tools \ Computer Management 3.2 Các thao tác tài khoản người dùng cục 3.2.1 Tạo tài khoản Trong công cụ Local Users and Groups, ta nhấp phải chuột vào Users chọn New User, hộp thoại New User hiển thị bạn nhập thông tin cần thiết vào, nhƣng quan trọng bắt buộc phải có mục Username 3.2.2 Xóa tài khoản Bạn nên xóa tài khoản ngƣời dùng, bạn tài khoản không cần dùng lại Muốn xóa tài khoản ngƣời dùng bạn mở công cụ Local Users and Groups, chọn tài khoản ngƣời dùng cần xóa, nhấp phải chuột chọn Delete vào thực đơn Action \ Delete Chú ý: chọn Delete hệ thống xuất hộp thoại hỏi bạn muốn xóa thật khơng tránh trƣờng hợp bạn xóa nhầm Bởi xóa tài khoản ngƣời dùng phục hồi đƣợc 3.2.3 Khóa tài khoản Khi tài khoản khơng sử dụng thời gian dài bạn nên khóa lại lý bảo mật an toàn hệ thống Nếu bạn xóa tài khoản khơng thể phục hồi lại đƣợc ta tạm khóa Trong công cụ Local Users and Groups, nhấp đôi chuột vào ngƣời dùng cần khóa, hộp thoại Properties tài khoản xuất Trong Tab General, đánh dấu vào mục Account is disabled 3.2.4 Đổi tên tài khoản Bạn đổi tên tài khoản ngƣời dùng nào, đồng thời bạn điều chỉnh thơng tin tài khoản ngƣời dùng thông qua chức Chức có ƣu điểm bạn thay đổi tên ngƣời dùng nhƣng SID tài khoản không thay đổi Muốn thay đổi tên tài khoản ngƣời dùng bạn mở công cụ Local Users and Groups, chọn tài khoản ngƣời dùng cần thay đổi tên, nhấp phải chuột chọn Rename 3.2.5 Thay đổi mật Muốn đổi mật mã ngƣời dùng bạn mở công cụ Local Users and Groups, chọn tài khoản ngƣời dùng cần thay đổi mật mã, nhấp phải chuột chọn Reset password QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM TRÊN ACTIVE DIRECTORY Mục tiêu: - Sử dụng công cụ tạo quản trị tài khoản người dùng nhóm cục 4.1 Tạo tài khoản người dùng Bạn dùng cơng cụ Active Directory User and Computers Administrative Tools máy Domain Controller để tạo tài khoản ngƣời dùng miền Công cụ cho phép bạn quản lý tài khoản ngƣời dùng từ xa chí máy trạm dùng hệ điều hành Server nhƣ WinXP, Win2K Pro Muốn máy trạm phải cài thêm công cụ Admin Pack Bộ công cụ nằm Server thƣ mục \Windows\system32\ADMINPAK.MSI Tạo tài khoản ngƣời dùng Active Directory, ta làm bƣớc sau: Chọn Start\ Programs\ Administrative Tools\ Active Directory Users and Computers Cửa sổ Active Directory Users and Computers xuất hiện, bạn nhấp phải chuột vào mục Users, chọn New \ User Hộp thoại New Object-User xuất nhƣ hình sau, bạn nhập tên mô tả ngƣời dùng, tên tài khoản logon vào mạng Giá trị Full Name tự động phát sinh bạn nhập giá trị First Name Last Name, nhƣng bạn thay đổi đƣợc Chú ý: giá trị quan trọng bắt buộc phải có logon name (username) Chuỗi cho tài khoản ngƣời dùng theo nhƣ định nghĩa phần lý thuyết Trong môi trƣờng Windows 2000 2003, Microsoft đƣa thêm khái niệm hậu tố UPN (Universal Principal Name), ví dụ “@netclass.edu.vn” Hậu tố UPN gắn vào sau chuỗi username dùng để tạo thành tên username đầy đủ dùng để chứng thực cấp rừng chứng thực miền khác có quan hệ tin cậy với miền ngƣời dùng đó, ví dụ tên username đầy đủ tuan@netclass.edu.vn” Ngoài hộp thoại cho phép đặt tên username tài khoản ngƣời dùng phục vụ cho hệ thống cũ (pre-Windows 2000) Sau việc nhập thơng tin hồn thành bạn nhấp chuột vào nút Next để tiếp tục Hộp thoại thứ hai xuất hiện, cho phép bạn nhập vào mật (password) tài khoản ngƣời dùng đánh dấu vào lựa chọn liên quan đến tài khoản nhƣ: cho phép đổi mật khẩu, yêu cầu phải đổi mật lần đăng nhập hay khóa tài khoản Các lựa chọn tìm hiểu chi tiết phần Hộp thoại cuối xuất hiển thị thơng tin cấu hình cho ngƣời dùng Nếu tất thơng tin xác bạn nhấp chuột vào nút Finish để hoàn thành, c n cần chỉnh sửa lại nhấp chuột vào nút Back để trở hộp thoại trƣớc 4.2 Các thuộc tính tài khoản người dùng Muốn quản lý thuộc tính tài khoản ngƣời ta dùng công cụ Active Directory Users and Computers (bằng cách chọn Start\ Programs\ Administrative Tools\ Active Directory Users and Computers), sau chọn thƣ mục Users nhấp đôi chuột vào tài khoản ngƣời dùng cần khảo sát Hộp thoại Properties xuất hiện, hộp thoại chứa 12 Tab chính, ta lần lƣợt khảo sát Tab Ngồi bạn gom nhóm (dùng hai phím Shift, Ctrl) hiệu chỉnh thông tin nhiều tài khoản ngƣời dùng lúc 4.2.1 Các thông tin mở rộng người dùng Tab General chứa thông tin chung ngƣời dùng mạng mà bạn nhập lúc tạo ngƣời dùng Đồng thời bạn nhập thêm số thông tin nhƣ: số điện thoại, địa mail trang địa trang Web cá nhân… Tab Address cho phép bạn khai báo chi tiết thông tin liên quan đến địa tài khoản ngƣời dùng nhƣ: địa đƣờng, thành phố, mã vùng, quốc gia… Tab Telephones cho phép bạn khai báo chi tiết số điện thoại tài khoản ngƣời dùng Tab Organization cho phép bạn khai báo thông tin ngƣời dùng về: chức cơng ty, tên phịng ban trực thuộc, tên công ty … 4.2.2 Tab Account Tab Account cho phép bạn khai báo lại username, quy định logon vào mạng cho ngƣời dùng, quy định máy trạm mà ngƣời dùng sử dụng để vào mạng, quy định sách tài khoản cho ngƣời dùng, quy định thời điểm hết hạn tài khoản Điều khiển logon vào mạng: bạn nhấp chuột vào nút Logon Hours, hộp thoại Logon Hours xuất Mặc định tất ngƣời dùng đƣợc phép truy cập vào mạng 24 ngày, tất ngày tuần Khi ngƣời dùng logon vào mạng hệ thống kiểm tra xem thời điểm có nằm khoảng thời gian cho phép truy cập khơng, khơng phù hợp hệ thống không cho vào mạng thông báo lỗi Unable to log you on because of an account restriction Bạn thay đổi quy định logon cách chọn vùng thời gian cần thay đổi nhấp chuột vào nút lựa chọn Logon Permitted, ngƣợc lại khơng cho phép nhấp chuột vào nút lựa chọn Logon Denied Sau hình ví dụ cho phép ngƣời dùng làm việc từ 7h sáng đến 5h chiều, từ thứ đến thứ Chú ý: mặc định ngƣời dùng không bị logoff tự động hết đăng nhập nhƣng bạn điều chỉnh điều mục Automatically Log Off Users When Logon Hours Expire Group Policy phần Computer Configuration\ Windows Settings\Security Settings\ Local Policies\ Security Option Ngồi bạn có cách khác để điều chỉnh thông tin logoff cách dùng công cụ Domain Security Policy Local Security Policy tùy theo bối cảnh Chọn lựa máy trạm đƣợc truy cập vào mạng: bạn nhấp chuột vào nút Log On To, bạn thấy hộp thoại Logon Workstations xuất Hộp thoại cho phép bạn định ngƣời dùng logon từ tất máy tính mạng giới hạn ngƣời dùng đƣợc phép logon từ số máy tính mạng Ví dụ nhƣ ngƣời quản trị mạng làm việc môi trƣờng bảo mật nên tài khoản ngƣời dùng đƣợc định logon vào mạng từ số máy tránh tình trạng ngƣời dùng giả dạng quản trị để công mạng Muốn định máy tính mà ngƣời dùng đƣợc phép logon vào mạng, bạn nhập tên máy tính vào mục Computer Name sau nhấp chuột vào nút Add Bảng mô tả chi tiết tùy chọn liên quan đến tài khoản người dùng: Tùy chọn Ý nghĩa User must change password at next logon Ngƣời dùng phải thay đổi mật lần đăng nhập kế tiếp, sau mục tự động bỏ chọn User cannot change Nếu đƣợc chọn ngăn khơng cho ngƣời dùng tùy password ý thay đổi mật Password never expires Store password using reversible encryption Account is disabled Nếu đƣợc chọn mật tài khoản khơng hết hạn Chỉ áp dụng tùy chọn ngƣời dùng đăng nhập từ máy Apple Nếu đƣợc chọn tài khoản tạm thời bị khóa, khơng sử dụng đƣợc Smart card is required for interactive login Account is trustedfor elegation Tùy chọn đƣợc dùng ngƣời dùng đăng nhập vào mạng thông qua thẻ thơng minh (smart card), lúc ngƣời dùng không nhập username password mà cần nhập vào số PIN Chỉ áp dụng cho tài khoản dịch vụ cần giành đƣợc quyền truy cập vào tài nguyên với vai trò tài khoản ngƣời dùng khác Account is sensitive Dùng tùy chọn tài khoản khách vãng and cannot be lai tạm để đảm bảo tài khoản khơng delegated đƣợc đại diện tài khoản khác Use DES encryption Nếu đƣợc chọn hệ thống hỗ trợ Data types for this account Encryption Standard (DES) với nhiều mức độ khác Do not require Kerberos preauthentication Nếu đƣợc chọn hệ thống cho phép tài khoản dùng kiểu thực giao thức Kerberos khác với kiểu Windows Server 2003 Mục cuối Tab quy định thời gian hết hạn tài khoản ngƣời dùng Trong mục Account Expires, ta chọn Never tài khoản khơng bị hết hạn, chọn End of: ngày tháng hết hạn đến ngày tài khoản bị tạm khóa 4.2.3 Tab Profile Tab Profile cho phép bạn khai báo đƣờng dẫn đến Profile tài khoản ngƣời dùng tại, khai báo tập tin logon script đƣợc tự động thi hành ngƣời dùng đăng nhập hay khai báo home folder Chú ý tùy chọn Tab Profile chủ yếu phục vụ cho máy trạm trƣớc Windows 2000, máy trạm từ Win2K trở sau nhƣ: Win2K Pro, WinXP, Windows Server 2003 cấu hình lựa chọn Group Policy Trƣớc tiên tìm hiểu khái niệm Profile User Profiles thƣ mục chứa thông tin môi trƣờng Windows Server 2003 cho ngƣời dùng mạng Profile chứa qui định hình Desktop, nội dung menu Start, kiểu cách phối màu sắc, vị trí xếp icon, biểu tƣợng chuột… Mặc định ngƣời dùng đăng nhập vào mạng, profile đƣợc mở cho ngƣời dùng Nếu lần đăng nhập lần họ nhận đƣợc profile chuẩn Một thƣ mục có tên giống nhƣ tên ngƣời dùng đăng nhập đƣợc tạo thƣ mục Documents and Settings Thƣ mục profile ngƣời dùng đƣợc tạo chứa tập tin ntuser.dat, tập tin đƣợc xem nhƣ thƣ mục chứa liên kết thƣ mục đến biểu tƣợng ngƣời dùng Trong Windows Server 2003 có ba loại Profile: Local Profile: profile ngƣời dùng đƣợc lƣu máy cục họ tự cấu hình profile Roaming Profile: loại Profile đƣợc chứa mạng ngƣời quản trị mạng thêm thông tin đƣờng dẫn user profile vào thông tin tài khoản ngƣời dùng, để tự động trì tài khoản ngƣời dùng mạng Mandatory Profile: ngƣời quản trị mạng thêm thông tin đƣờng dẫn user profile vào thông tin tài khoản ngƣời dùng, sau chép profile cấu hình sẵn vào đƣờng dẫn Lúc ngƣời dùng dùng chung profile không đƣợc quyền thay đổi profile Kịch đăng nhập (logon script hay login script) tập tin chƣơng trình đƣợc thi hành ngƣời dùng đăng nhập vào hệ thống, với chức cấu hình mơi trƣờng làm việc ngƣời dùng phân phát cho họ tài nguyên mạng nhƣ ổ đĩa, máy in (đƣợc ánh xa từ Server) Bạn dùng nhiều ngơn ngữ kịch để tạo logon script nhƣ: lệnh shell DOS/NT/Windows, Windows Scripting Host (WSH), VBScript, Jscript… Đối với Windows Server 2003 có hai cách để khai báo logon script là: khai báo thuộc tính tài khoản ngƣời dùng thông qua công cụ Active Directory User and Computers, khai báo thông qua Group Policy Nhƣng ý hai cách, tập tin script tập tin cần thiết khác phải đƣợc đặt thƣ mục chia sẻ SYSVOL, nằm \Windows\SYSVOL\sysvol, tập tin script phục vụ cho máy tiền Win2K phải đặt thƣ mục \Windows\Sysvol\sysvol\domainname\scripts Để tập tin script thi hành đƣợc bạn nhớ cấp quyền cho ngƣời dùng mạng có quyền Read Excute tập tin Thƣ mục cá nhân (home folder hay home directory) thƣ mục dành riêng cho tài khoản ngƣời dùng, giúp ngƣời dùng lƣu trữ tài liệu tập tin riêng, đồng thời thƣ mục mặc định dấu nhắc lệnh Muốn tạo thƣ mục nhân cho ngƣời dùng mục Connect bạn chọn ổ đĩa hiển thị máy trạm đƣờng dẫn mà đĩa cần ánh xạ đến (chú ý thƣ mục dùng chung đảm bảo chia sẻ) Trong ví dụ bạn thƣ mục cá nhân cho tài khoản Tuan “\\server\tuan”, nhƣng bạn thay tên tài khoản biến môi trƣờng ngƣời dùng nhƣ: “\\server\%username%” 4.2.4 Tab Member Of Tab Member Of cho phép bạn xem cấu hình tài khoản ngƣời dùng thành viên nhóm Một tài khoản ngƣời dùng thành viên nhiều nhóm khác đƣợc thừa hƣởng quyền tất nhóm Muốn gia nhập vào nhóm bạn nhấp chuột vào nút Add, hộp thoại chọn nhóm Trong hộp thoại chọn nhóm, bạn nhớ tên nhóm nhập trực tiếp tên nhóm vào sau nhấp chuột vào nút Check Names để kiểm tra có xác khơng, bạn nhập gần để hệ thống tìm tên nhóm có liên quan Đây tính Windows Server 2003 tránh tình trạng tìm kiếm hiển thị hết tất nhóm có hệ thống Nếu bạn khơng nhớ tên nhóm chấp nhận nhấp chuột vào nút Advanced Find Now để tìm hết tất nhóm Nếu bạn muốn tài khoản ngƣời dùng khỏi nhóm bạn chọn nhóm sau nhấp chuột vào nút Remove 4.2.5 Tab Dial-in Tab Dial-in cho phép bạn cấu hình quyền truy cập từ xa ngƣời dùng cho kết nối dial-in VPN, khảo sát chi tiết chƣơng Routing and Remote Access 4.3 Tạo tài khoản nhóm Bạn tạo quản lý tài khoản nhóm Active Directory thông qua công cụ Active Directory Users and Computers Trƣớc tạo nhóm bạn phải xác định loại nhóm cần tạo, phạm vi hoạt động nhóm nhƣ Sau chuẩn bị đầy đủ thông tin bạn thực bƣớc sau: Chọn Start \ Programs \ Administrative Tools \ Active Directory Users and Computers để mở công cụ Active Directory Users and Computers lên Nhấp phải chuột vào mục Users, chọn New pop-up menu chọn Group Hộp thoại New Object – Group xuất hiện, bạn nhập tên nhóm vào mục Group name, trƣờng tên nhóm cho hệ điều hành trƣớc Windows 2000 (pre-Windows 2000) tự động phát sinh, bạn hiệu chỉnh lại cho phù hợp 4.4 Các tiện ích dòng lệnh quản lý tài khoản người dùng tài khoản nhóm Windows Server 2003 cung cấp nhiều cơng cụ dịng lệnh mạnh mẽ, đƣợc dùng tập tin xử lý theo lô (batch) tập tin kịch (script) để quản lý tài khoản ngƣời dùng nhƣ thêm, xóa, sửa Windows 2003 cịn hỗ trợ việc nhập xuất đối tƣợng từ Active Directory Hai tiện ích dsadd.exe admod.exe với đối số user cho phép thêm chỉnh sửa tài khoản ngƣời dùng Active Directory Tiện ích csvde.exe đƣợc dùng để nhập xuất liệu đối tƣợng thông qua tập tin kiểu CSV (comma-separated values) Đồng thời hệ thống sử dụng hai lệnh net user net group Windows 2000 4.4.1 Lệnh net user Chức năng: tạo thêm, hiệu chỉnh hiển thị thông tin tài khoản ngƣời dùng Cú pháp: net user [username [password | *] [options]] [/domain] net user username {password | *} /add [options] [/domain] net user username [/delete] [/domain] Ý nghĩa tham số: - Không tham số: dùng để hiển thị danh sách tất tài khoản ngƣời dùng máy tính - [Username]: tên tài khoản ngƣời dùng cần thêm, xóa, hiệu chỉnh hiển thị Tên tài khoản ngƣời dùng dài đến 20 ký tự - [Password]: ấn định thay đổi mật mã tài khồn ngƣời dùng Một mật mã phải có chiều dài tối thiểu với chiều dài quy định sách tài khoản ngƣời dùng Trong Windows 2000 chiều dài mật mã dài đến 127 ký tự, nhƣng hệ thống Win9X hiểu đƣợc 14 ký tự, bạn đặt mật mã dài 14 ký tự tài khoản logon vào mạng từ máy trạm dùng Win9X - [/domain]: tác vụ thực máy điều khiển vùng Tham số áp dụng cho Windows 2000 Server primary domain controller Windows 2000 Professional thành viên máy Windows 2000 Server domain - [/add]: thêm tài khoản ngƣời dùng vào sở liệu tài khoản ngƣời dùng - [/delete]: xóa tài khoản ngƣời dùng khỏi sở liệu tài khoản ngƣời dùng - [/active:{no | yes}]: cho phép tạm khóa tài khoản ngƣời dùng Nếu tài khoản bị khóa ngƣời dùng khơng thể truy cập tài nguyên máy tính Mặc định cho phép (active) - [/comment:"text"]: cung cấp mô tả tài khoản ngƣời dùng, mơ tả dài đến 48 ký tự - [/countrycode:nnn]: định mã quốc gia mã vùng - [/expires:{date | never}]: quy định ngày hết hiệu lực tài khoản ngƣời dùng - [/fullname:"name"]: khai báo tên đầy đủ ngƣời dùng - [/homedir:path]: khai báo đƣờng dẫn thƣ mục cá nhân tài khoản, ý đƣờng dẫn tồn - [/passwordchg:{yes | no}]: định ngƣời dùng thay đổi mật mã khơng, mặc định - [/passwordreq:{yes | no}]: định tài khoản ngƣời dùng phải có mật mã, mặc định có mật mã - [/profilepath:[path]]: khai báo đƣờng dẫn Profile ngƣời dùng, không hệ thống tự tạo profile chuẩn cho ngƣời dùng lần logon - [/scriptpath:path]: khai báo đƣờng dẫn tập tin logon script Đƣờng dẫn đƣờng dẫn tuyệt đối đƣờng dẫn tƣơng đối (ví dụ: %systemroot%\System32\Repl\Import\Scripts) - [/times:{times | all}]: quy định cho phép ngƣời dùng logon vào mạng hay máy tính cục Các thứ tuần đƣợc đại diện ký tự : M, T, W, Th, F, Sa, Su Giờ ta dùng AM, PM để phân biệt buổi sáng chiều Ví dụ sau cho phép ngƣời dùng làm việc hành từ thứ đến thứ 6: “M,7AM-5PM; T,7AM-5PM; W,7AM5PM; Th,7AM-5PM; F,7AM-5PM;” - [/workstations:{computername[, ] | *}]: định máy tính mà ngƣời dùng sử dụng để logon vào mạng Nếu /workstations khơng có danh sách danh sách ký tự „*‟ ngƣời dùng sử dụng máy để vào mạng 4.4.2 Lệnh net group Chức năng: tạo thêm, hiển thị hiệu chỉnh nhóm toàn cục Windows 2000 Server Cú pháp: net group [groupname [/comment:"text"]] [/domain] net group groupname {/add [/comment:"text"] | /delete} [/domain] net group groupname username[ ] {/add | /delete} [/domain] Ý nghĩa tham số: - Không tham số: dùng để hiển thị tên Server tên nhóm Server - [Groupname]: định tên nhón cần thêm, mở rộng xóa - [/comment:"text"]: thêm thơng tin mơ tả cho nhóm có sẵn, nội dung dài đến 48 ký tự - [/domain]: tác vụ thực máy điều khiển vùng Tham số áp dụng cho Windows 2000 Server primary domain controller Windows 2000 Professional thành viên máy Windows 2000 Server domain - [username[ ]]: danh sách nhiều ngƣời dùng cần thêm xóa khỏi nhóm, tên cách khoảng trắng - [/add]: thêm nhóm thêm ngƣời dùng vào nhóm - [/delete]: xóa nhóm xóa ngƣời dùng khỏi nhóm 4.4.3 Các lệnh hỗ trợ dịch vụ Active Driectory môi trường Windows Server 2003 Trên hệ thống Windows Server 2003, Microsoft phát triển thêm số lệnh nhằm hỗ trợ tốt cho dịch vụ Directory nhƣ: dsadd, dsrm, dsmove, dsget, dsmod, dsquery Các lệnh thao tác chủ yếu đối tƣợng computer, contact, group, ou, user, quota - Dsadd: cho phép bạn thêm computer, contact, group, ou user vào dịch vụ Directory - Dsrm: xóa đối tƣợng dịch vụ Directory - Dsmove: di chuyển đối tƣợng từ vị trí đến vị trí khác dịch vụ Directory - Dsget: hiển thị thông tin lựa chọn đối tƣợng computer, contact, group, ou, server user dịch vụ Directory - Dsmod: chỉnh sửa thông tin computer, contact, group, ou user dịch vụ Directory - Dsquery: truy vấn thành phần dịch vụ Directory Ví dụ: - Tạo user mới: dsadd user “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” –samid hv10 –pwd 123 - Xóa user: dsrm “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” - Xem user hệ thống: dsquery user - Gia nhập user vào nhóm: dsmod group “CN=hs, CN=Users, DC=netclass, DC=edu, DC=vn” –addmbr “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” Bài tập thực hành học viên Trên máy Domain Controller tạo OU có tên HCM Trong OU HCM tạo nhóm có tên Ke Toan Nhan Su Trong nhóm tạo user Tìm kiếm, di chuyển khóa vài tài khoản ngƣời dùng Chỉ cho phép user logon vào mạng từ 7:00am-6:00pm Tạo Home Folder cho user Cho phép user lƣu trữ 500MB Home Folder Thực Account Lock-Out(cho phép user nhập sai lần) Cài đặt Adminpak.msi xuống máy client Hướng dẫn thực hiện: Tạo OU có tên HCM: Tại server: Start / Programs / Administrative Tools / Active Directory Users and Computers/ click nút phải chuột biểu tƣợng server / New / Organizational Unit Đặt tên cho OU Trong OU HCM tạo nhóm có tên Ke Toan Nhan Su: Click nút phải chuột OU HCM / New / Group Group Name: Ke Toan /Group scope: Global /Group type: Security Tương tự tạo Group “Nhan Su” Trong nhóm tạo user: a) Tạo Users (Chú ý: Sau tạo xong User nhập thông tin User như: Số điện thoại, địa chỉ, email, địa Web, nhập tên người quản lý ) Click nút phải chuột OU HCM / New / User / điền thông tin cho user kt1 Đặt password cho user, đánh dấu mục Password never expires Lặp lại tương tự cho user KT2, KT3, NS1, NS2, NS3 b) Thiết lập Users thuộc Group: Chọn user KT1, KT2 KT3 / click nút phải chuột user / Add to a group Gõ tên nhóm “Ke Toan” / Check Names / xuất hiên gạch chân group “Ke Toan” Thông báo kết Làm tương tự với user NS1, NS2 NS3 để đưa vào nhóm “Nhan Su” ... H.ROOT-SERVERS.NET 12 8.63.2.53 B.ROOT-SERVERS.NET 12 8.9.0 .10 7 C.ROOT-SERVERS.NET 19 2.33.4 .12 D.ROOT-SERVERS.NET 12 8.8 .10 .90 E.ROOT-SERVERS.NET 19 2.203.230 .10 I.ROOT-SERVERS.NET 19 2.36 .14 8 .17 F.ROOT-SERVERS.NET... I.ROOT-SERVERS.NET 19 2.36 .14 8 .17 F.ROOT-SERVERS.NET 19 2.5.5.2 41 F.ROOT-SERVERS.NET 39 .13 .229.2 41 G.ROOT-SERVERS.NET 19 2 .11 2.88.4 A.ROOT-SERVERS.NET 19 8. 41. 0.4 Thông thƣờng tổ chức đƣợc đăng ký... A: [tên-máy-tính] IN A [địa-chỉ-IP] Ví dụ: record A tập tin db.qtm server.qtm.com IN A 17 2.29 .14 .1 diehard.qtm.com IN A 17 2.29 .14 .4 // Multi-homed hosts server.qtm.com IN A 17 2.29 .14 .1 server.qtm.com