HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA AN TOÀN THÔNG TIN Môn HỆ ĐIỀU HÀNH WINDOWS VÀ LINUX UNIX BÁO CÀO BÀI THỰC HÀNH SỐ 2 , Quản trị Active Directory trong Windows Server quản trị một nhóm người dùng trong mạng Lan nội bộ. , 1 máy Windows Server đã nâng cấp thành Domain Controll ẻ Tạo OU:, Thiết lập chính sách user và password
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA AN TỒN THƠNG TIN Mơn : HỆ ĐIỀU HÀNH WINDOWS VÀ LINUX /UNIX BÁO CÀO BÀI THỰC HÀNH SỐ Họ tên sinh viên : Lê văn Tráng Mã sinh viên : B20DCAT190 Họ tên giảng viên : TS Đinh Trường Duy Hà Nội 10/2022 I sở lí thuyết II.1 Cài đặt Windows Máy chủ thuật ngữ mơ tả máy tính mà kết hợp thiết bị phần cứng phần mềm để xử lý công việc khác qua môi trường mạng Về máy chủ thiết kế để cung cấp dịch vụ chạy ứng dụng điều kiện tải nặng, thời gian dài có khả chịu lỗi Thông thường tên máy chủ gắn với hệ điều hành chạy phần cứng máy chủ máy chủ Windows cho hệ điều hành Microsoft Windows hay máy chủ Linux sử dụng hệ điều hành Linux Phần giới thiệu trình lựa chọn cài đặt cho máy chủ Micrsoft Windows với trọng tâm Server 2012 có liên hệ với Server 2008 II.1.1 Các dịch vụ Vai trò hay chức máy chủ công việc chủ yếu mà máy chủ thực Thực tế, máy chủ đồng thời cung cấp nhiều chức hay dịch vụ cho người dùng máy tính khác mạng Các chức phổ biến máy chủ bao gồm: dịch vụ file, dịch vụ in ấn, dịch vụ Web, truy nhập từ xa, máy chủ thư điện tử, máy chủ sở liệu Trong thời gian vừa qua, khái niệm ảo hóa ngày trở nên phổ biến quen thuộc Công nghệ cho phép nhiều hệ điều hành chạy đồng thời máy tính vật lý Như vậy, việc phân tách dịch vụ cho việc thay đổi máy ảo không ảnh hưởng tới đơn giản hóa thuận tiện Mặt khác, cơng nghệ cho phép giảm thiểu chi phí thơng qua việc chia sẻ phần cứng tận dụng tối đa lực thiết bị Các dịch vụ quan trọng máy chủ Windows bao gồm: Xác thực thư mục động (Active Directory Certificate Services): Dịch vụ tạo quản lý chứng thực khóa cơng khai cho hệ thống an ninh dùng cơng nghệ khóa cơng khai Miền thư mục động (Active Directory Domain Services): Lưu thông tin người quản trị, máy tính thiết bị khác mạng Ngồi ra, dịch vụ giúp 20 người quản trị quản lý thơng tin an tồn làm thuận tiện cho việc chia sẻ phối hợp người quản trị Liên kết thư mục động (Active Directory Federation Services): Hỗ trợ công nghệ đăng nhập lần Web cách liên kết hay chia sẻ cách an toàn định danh người dùng, quyền truy nhập tổ chức với Thư mục động rút gọn (Active Directory Lightweight Directory Services): Dùng để lưu liệu mà không cần dịch vụ miền thư mục động Quản lý quyền thư mục động ( Active Directory Rights Management Services): II.1.2 Chuẩn bị cài đặt Việc lựa chọn phiên xác định yêu cầu dịch vụ mà máy chủ cung cấp phần cứng máy chủ có vai trị quan trọng Với phiên Server 2008 việc cài đặt phức tạp có nhiều lựa chọn 32 hay 64 bit, liệu có cần giao diện đồ họa hay cần giao diện dòng lệnh (với Server Core) Việc thay đổi lựa chọn dẫn đến việc phải cài lại máy chủ từ đầu, chí phải thay đổi phần cứng 21 Kể từ Server 2008 R2, tảng 32 bit khơng cịn hỗ trợ Điều phần phần lớn phần mềm quan trọng sử dụng tảng 64 bit phần cứng đại hỗ trợ tảng Bản Server 2012 khơng cịn hỗ trợ xử lý Itanium bỏ phiên Web Server so với Server 2008 R2 Như vậy, Server 2012 cung cấp phiên sau: Trung tâm liệu (Datacenter): thiết kế dùng cho máy chủ mạnh lớn với 64 xử lý có tính chịu lỗi thay nóng xử lý Phiên bán thông qua nhà sản xuất thiết bị cấp phép theo khối (volumelicensing) Tiêu chuẩn (Standard): chứa đựng đầy đủ chức khác phiên Datacenter số lượng máy ảo Cơ (Essential):so với tiêu chuẩn có chức lõi máy chủ ServerCore, máy ảo Hyper-V liên kết thư mục động tối đa 25 người dùng Thiết yếu (Foundation): phiên rút gọn hướng đến doanh nghiệp nhỏ cần chức máy chủ thiết yếu dịch vụ file hay in ấn hay ứng dụng Yêu cầu phần cứng tối thiểu để chạy máy chủ Server 2008 2012 bảng đây: Bảng II-1 Cấu hình tối thiểu Server 2008 Server 2012 Bộ xử lý 1GHz(x86)-1.4GHz(x64) RAM 512MB Ổ cứng 10GB Khác DVD-ROM, hình, bàn phím, kết nối mạng Sự khác biệt hai Server 2008 2012 thể qua khả quản lý phần cứng tính máy chủ bảng Bảng II-2 Khả quản lý phần cứng ảo hóa Server 2008 Server 2012 Bộ xử lý 64 320 Bộ nhớ vật lý 1TB 4TB Bộ xử lý ảo máy chủ 512 2048 Bộ xử lý máy ảo 64 Bộ nhớ máy ảo 64GB 1TB Số lượng nốt liên kết 16 64 (cluster) 22 Bảng II-3 Các tính Server 2008 2012 Server 2008 Server 2012 Dịch vụ thư mục động Có Hỗ trợ ảo hóa thư mục động Khơng Hỗ trợ ảo hóa VDI-Virtual Desktop Infrastructure Có Sao lưu Hyper-V Khơng Di chuyển lưu trữ trực tiếp (live storage migration) Không Hạn chế IP động Khơng ServerCore Có Quản lý nhiều máy chủ Khơng Windows PowerShell Có II.1.3 Các lựa chọn cài đặt Việc cài đặt ServerCore, giao diện người dùng mức tối thiểu khơng cịn giao diện đồ họa quen thuộc Windows Tuy nhiên, lựa chọn mang lại số ưu điểm sử dụng phần cứng tối thiểu, giảm không gian lưu trữ, bớt việc cập nhật mô-đun đồ họa, 1.4GHz x64 512MB 32GB Có Có Có Có Có Có Có Có Có giảm rủi ro lỗ hổng bảo mật Một số tính quản trị dịch vụ mạng khơng hỗ trợ cài đặt chế độ như: dịch vụ liên kết thư mục động, máy chủ fax, dịch vụ truy nhập sách mạng, dịch vụ làm việc từ xa (remote desktop) dịch vụ cài đặt qua mạng (Windows Deployment Services) Công nghệ bảo vệ thông tin cho phép ứng dụng bảo mật thông tin khỏi việc sử dụng trái phép Máy chủ ứng dụng (Application Server): Cung cấp giải pháp hoàn chỉnh cho việc cài đặt quản lý ứng dụng doanh nghiệp phân tán: Net, Web, Message Queuing, COM+ … Quản lý DHCP (Dynamic Host Configuration Protocol): Cho phép máy chủ tự động cấp phát địa Internet cho máy tính thiết bị dùng DHCP tự động hóa cấu hình (địa DNS, gateway) máy tính thiết bị Tên miền DNS ( Domain Name System): Phương pháp tiêu chuẩn liên kết tên địa Internet Dịch vụ file: Cung cấp công nghệ cho việc quản lý lưu trữ, lưu, tên miền, tìm kiếm nhanh truy nhập người quản trị Dịch vụ ảo hóa Hyper-V: Cho phép tạo quản lý máy ảo tài nguyên Trong đó, máy ảo cung cấp môi trường thực thi riêng biệt giúp chạy nhiều hệ điều hành đồng thời Truy nhập sách mạng ( Network Policy and Access Services): Cho phép người dùng kết nối cục hay từ xa, kết nối mạng, cho phép quản lý truy nhập tập trung sách cho máy khách In ấn tài liệu ( Print and Document Services):Giúp quản trị máy in cách tập trung cho phép chia sẻ máy in với người dung mạng Dịch vụ đầu cuối (Terminal Services): Cho phép người dùng truy nhập ứng dụng Windows cài máy chủ đầu cuối Người dùng kết nối tới máy chủ đầu cuối để chạy sử dụng tài nguyên mạng Web ( Internet Information Services-IIS): Cho phép chia sẻ thông tin mạng Internet Intranet Cài đặt giao tiếp máy chủ tối thiểu (Minimal Server Interface) giải pháp dung hịa làm việc với mơi trường Windows truyền thống giao tiếp dòng lệnh Các phần tử giao diện cung cấp có trình duyệt IE, thành phần Windows phần vỏ (shell), hình làm việc, duyệt file ứng dụng hình làm việc Một số chức Control Panel chuyển thành ứng dụng shell quản lý chương trình (Programs and features), quản trị giao tiếp mạng (Network and sharing center), quản trị thiết bị, hiển thị Để lựa chọn cài đặt giao diện tối thiểu cần loại bỏ chức vỏ đồ họa máy chủ “Server Graphical Shell” Hình II-1 II.1.4 Cài đặt sử dụng giao diện Phần sử dụng cách cài đặt Server 2012 Về giao diện đồ họa cung cấp đầy đủ thông tin thao tác sử dụng chuột nên việc cài đặt tương đối dễ dàng thuận tiện cho người dùng để hồn tất q trình cài đặt Để cài đặt cần chuẩn bị đĩa khởi động DVD hay thẻ nhớ USB Sau khởi động thành công, Server 2012 yêu cầu cung cấp thông tin ngôn ngữ, định dạng thời gian tiền tệ, kiểu bàn phím Bước tiếp theo, chương trình cài đặt hiển thị lựa chọn cài đặt phiên cho người quản trị hình Người quản trị lựa chọn phiên phù hợp với nhu cầu Hình II-2 Các lựa chọn phiên cài đặt Các bước tiếp theo, người quản trị lựa chọn kiểu nâng cấp từ hệ thống cũ hay cài chấp nhận điều khoản sử dụng Microsoft Khi cài người quản trị cần định ổ cứng phân vùng dùng để cài đặt Trong trường hợp đặc biệt sử dụng ổ đĩa theo chuẩn RAID, người quản trị cần cung cấp trình điều khiển cho chương trình cài đặt thơng qua chức nạp “Load driver” Đến chương trình cài đặt thực việc giải nén chép 24 chương trình đoạn mã sang thiết bị lưu trữ máy chủ Tùy thuộc vào cấu hình cụ thể máy tính, q trình khoảng 20 phút hay lâu Sau chương trình cài đặt thành cơng máy tính khởi động lại, người quản trị cần cài đặt mật quản trị máy chủ Thông thường, mật phải đủ phức tạp: có độ dài ký tự, có chữ hoa, số ký tự đặc biệt Kết thúc đăng nhập, người quản trị thấy hình khái quát cho việc quản lý máy chủ hình tiếp tục cài đặt dịch vụ cần thiết cho mục đích sử dụng Hình II-3 Màn hình khái quát cho quản trị máy chủ II.2 Trình điều khiển thiết bị Do máy tính sử dụng nhiều thiết bị phần cứng khác nên việc đảm bảo thiết bị vận hành xác quan trọng Với môi trường máy chủ, việc lựa chọn thiết bị tiêu chuẩn hỗ trợ kỹ thuật thiết yếu cho việc vận hành Về bản, trình điều khiển thiết bị chương trình kiểm sốt thiết bị giúp máy tính/người dùng sử dụng thiết bị Để khai thác tối đa thiết bị, định kỳ cần cập nhật trình điều khiển từ nhà sản xuất thiết bị hệ điều hành Để hoạt động được, thiết bị cần đặt cấu hình để sử dụng phần tất tham số sau: Số ngắt (Interrupt Request - IRQ) Kênh truy nhập nhớ trực tiếp (Direct Memory Access -DMA) Địa cổng vào/ra Dải địa ô nhớ Để đơn giản hóa thuận tiện cho việc sử dụng máy tính Intel Microsoft đề xuất thiết bị cắm-chạy (Plug and Play - PnP) Các thiết bị máy tính hệ điều hành nhận biết, cấu hình cách tự động cài đặt trình điều khiển phù hợp Hệ điều hành tự động yêu cầu 25 cài đặt phần mềm điều khiển phần mềm khơng có sẵn Các trình điều khiển kiểm tra tính tương thích tồn vẹn kỹ lưỡng gọi trình điều khiển xác nhận (signed driver) Để quản lý thiết bị tình trạng cài đặt, trạng thái phần mềm điều khiển, người quản trị sử dụng chương trình “Device Manager” hình Hình II-4 Trình quản lý thiết bị Device Manage hộp thoại thuộc tính thiết bị Với thiết bị người quản trị cung cấp chức Thông tin chi tiết: thơng tin file chương trình điều khiển, vị trí ổ đĩa, nhà cung cấp… Cập nhật: giúp tải phần mềm điều khiển Quay lui trình điều khiển: Sử dụng lại trình điều khiển cũ cập nhật gây lỗi Cấm/cho phép: sử dụng hay không cho phép sử dụng thiết bị Gỡ bỏ: loại bỏ phần mềm điều khiển II.3 Hệ thống lưu trữ “Disk Management” cung cấp giao diện đồ họa cho việc quản trị thiết bị lưu trữ Các ổ đĩa phân chia thành vùng lưu trữ theo kiểu truyền thống MBR (Master Boot Record) với tối đa vùng hay theo kiểu GPT (GUID partition table) với tối đa 128 vùng Mặt khác, phân vùng truyền thống MBR hỗ trợ kích thước tối đa cho vùng 2TB Điều cần ý để máy tính khởi động từ phân vùng GPT cần máy tính hỗ trợ chế khởi động Mỗi ổ đĩa có hai dạng: động.Ổ đĩa kiểu ổ đĩa truyền thống kiểu mặc định khởi tạo hay định dạng ổ đĩa.Kiểu ổ đĩa động cung cấp chức tiên tiến có khả mở rộng hay thu hẹp khơng gian lưu trữ cách linh hoạt , hỗ trợ chức RAID† mềm Việc thay đổi kiểu ổ đĩa thực dễ dàng thông qua giao diện đồ họa hình II-5 Giao tiếp chuyển đổi kiểu dạng ổ Với phân vùng (volume) lựa chọn dạng sau: Ổ đơn (Simple Volume): tương ứng với phân vùng đơn dùng đĩa cứng Ổ mở rộng (Spanned Volume): Từ hệ điều hành, ngư ời dùng thấy có ổ Ổ phân đoạn (Striped Volume Cung cấp RAID mềm mức Ổ đúp (Mirrored Volume) : Cung cấp RAID mềm mức Ổ RAID (RAID Volume): Cung cấp RAID mềm mức II.4 Người dùng quyền truy nhập Để sử dụng máy tính sử dụng hệ điều hành Microsoft Windows,mỗi người dùng cần phải có tài khoản riêng gọi tài khoản người dùng.Tài khoản sử dụng khi: -Người dùng truy nhập vào mạng -Cho phedp người dùng đăng nhập vào máy hay miền thu mục động Tài khoản cho phép người dùng truy nhập vào máy tính cụ thể gọi tài khoản cục bộ(local account).Tài khoản có giá trị máy tinh nhất.Khi người dùng muốn sử dụng tài nguyên mạng miền (domain) người dùng cần tài khoản miền (domain account) Tài khoản tạo máy chủ miền phép truy nhập vào tài nguyên miền Các thông tin người dùng lưu sở liệu miền chép tới máy chủ miền Để thuận tiện cho việc quản trị, Windows tạo sẵn số tài khoản quản trị (Administrator) khách (Guest) Ngồi ra, người dùng có vai trị yêu cầu truy tương tự xếp vào nhóm người dùng (User group) Điều giúp cho việc quản trị dễ dàng thuận tiện Tương tự tài khoản người dùng, nhóm người dùng phân biệt nhóm cục nhóm miền Cụ thể sau: Nhóm miền cục (Domain local group) tương ứng với nhóm tài khoản miền có giá trị cục Nhóm tồn thể (Global group) chứa tài khoản người dùng nhóm tồn thể khác áp dụng cho miền cụ thể Nhóm vạn (Universal group) áp dụng cho nhiều miền, chứa nhóm tồn thể miền khác Để đơn giản cho công việc quản trị Windows Server cung cấp nhóm tạo sẵn: Domain Admins: dùng cho thành viên làm nhiệm vụ quản trị Domain Users: nhóm người dùng miền Account Operators: thành viên nhóm tạo, xóa sửa nhóm tài khoản người dùng Backup Operators: Sao lưu khôi phục máy chủ miền Authenticated Users: người dùng hợp lệ Everyone: bao gồm tất người dùng Để quản trị người dùng cục bộ, người dùng quản trị truy nhập “Local User and Group” “Server manager” Hình II-6 “Active Directory Users and Computers” cung cấp chức quản lý máy tính người dùng miền Mỗi tài khoản người dùng cần cung cấp thông tin sau: Tên người dùng: dùng để định danh người sử dụng truy nhập vào mạng Mật khẩu: gán cho tài khoản người dùng đảm bảo người dùng phép truy nhập vào mạng Các thuộc tính tài khoản người dùng họ tên, số điện thoại, thư điện tử Chính sách nhóm xây dựng dựa đối tượng sách nhóm GPO (Group policy objects) Đây tập hợp hướng dẫn cấu hình mà máy tính áp dụng cho miền, vị trí (site) hay cấp độ thấp Mặc dầu, việc áp dụng sách nhóm làm thay đổi danh mục đăng ký (Registry) song việc dễ dàng nhiều so với việc sửa đổi tay Các đối tượng sách nhóm bao gồm cài đặt người dùng máy tính Các cài đặt liên quan đến hệ thống (System settings) bao gồm cài đặt ứng dụng, hình làm việc dịch vụ hệ thống Ngồi cịn cài đặt như: Cài đặt an ninh (Security settings): cài đặt an ninh mạng, miền máy tính cục Cài đặt phần mềm (Software installation settings): Quản lý việc cài đặt phần mềm, cập nhật gỡ bỏ Cài đặt mã (Scripts settings): Các đoạn mã dùng máy tính bật đóng, người dùng đăng nhập hay thoát Cái đặt chuyển hướng thư mục (Folder redirection settings): Thư mục người dùng mạng Chính sách nhóm sử dụng máy tính cụ thể có giá trị cục dùng để xây dựng sách giám sát việc hoạt động máy tính xác định việc lưu kiện an ninh “Event viewer” Mặt khác, việc xác định người dùng hay nhóm người dùng có đặc quyền với máy tính thiết lập thơng qua sách nhóm Tương tự, quản trị hệ thống áp dụng biện pháp an ninh cấm hay cho phép cài đặt an ninh máy tính, cụ thể thay đổi tên tài khoản hay truy nhập vào ổ đĩa định II.6 Các dịch vụ Windows Dịch vụ chương trình chạy (cịn gọi tiến trình) nhằm thực chức hệ thống cụ thể phục vụ việc truy nhập file, in ấn, thông báo lỗi… Thông thường, dịch vụ hoạt động chế độ mà không cần giao diện người dùng Việc quản trị dịch vụ sử dụng giao diện thơng qua trình Services hình Dịch vụ chạy theo cách sau: Tự động (Automatic): Tự động chạy hệ thống khởi động Tự động khởi động trễ (Automatic Delayed Start): Tự động khởi động sau dịch vụ dán nhãn tự động khởi động xong (khoảng phút) Thủ công (Manual): Người dùng hay dịch vụ phụ thuộc khởi động dịch vụ Dịch vụ kiểu không chạy hệ thống khởi động Cấm (Disable): Ngăn chặn dịch vụ chạy người dùng hay hệ thống dịch vụ phụ thuộc Các tài khoản mà dịch vụ dùng để chạy gồm có: Hệ thống (Local System): Tài khoản có nhiều đặc quyền truy nhập toàn tài nguyên máy cục Dịch vụ cục (NT Authority\LocalService): Có đặc quyền giống người dùng cục Khi truy nhập mạng không cần mật phiên làm việc Dịch vụ mạng (NT Authority\NetworkService): có mức truy nhập người dùng cục Khi sử dụng mạng giống tài khoản cục Để đảm bảo an toàn hạn chế rủi ro, nên sử dụng tài khoản với quyền tối thiểu để chạy Chính sách password : Group Policy Management -> Forest -> Domains –> levantrang.it ->Group Policy Objects -> Default Domain Policy -> chuột phải chọn edit Tại Group Policy Management Editor : Computer Configuaration -> Polices -> Windows Setting -> Security Setting -> Account Polices -> Password Policy Trong đó: Enforce password history: số password hệ thống lưu trữ Maximum password age: thời gian có hiệu lực tối đa password Minimum password age: thời gian có hiệu lực tối thiểu password Minimum password leghth: độ dài tối thiểu password Password must meet complexity requirements: yêu cầu password phức tạp Store passwords using reversible encryption: độ mạnh password - Lưu sách cmd gpupdate / force Tương tự tạo user : LVT2 , nhập password ok - Phân quyền người dùng Dùng máy Windows làm máy client Cấu hình join domain để máy Windows trở thành client Tại computer chuột phải chọn Advanced system setting Tại Computer Name change domain nhập levantrang.it nhập user passs Windows server 2019 ok Đăng nhập máy Client user u1 u2 đề Tại windows server tạo folder lvt1 ,lvt2 , all Chia sẻ folder lvt1 phân quyền cho lvt1 try cập chuột phải chọn properties sharing share done Tương tự tạo lvt2 all Đăng nhập win7 LVT1 Truy nhập vào Windows server , thấy folder chia sẻ Khi đăng nhập máy máy vào folder hai user vào dược folder all ... tất người dùng Để quản trị người dùng cục bộ, người dùng quản trị truy nhập “Local User and Group” ? ?Server manager” Hình II-6 ? ?Active Directory Users and Computers” cung cấp chức quản lý máy tính... người quản trị cần cài đặt mật quản trị máy chủ Thông thường, mật phải đủ phức tạp: có độ dài ký tự, có chữ hoa, số ký tự đặc biệt Kết thúc đăng nhập, người quản trị thấy hình khái quát cho việc quản. .. việc quản trị, Windows tạo sẵn số tài khoản quản trị (Administrator) khách (Guest) Ngoài ra, người dùng có vai trị u cầu truy tương tự xếp vào nhóm người dùng (User group) Điều giúp cho việc quản