Bài Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Giới thiệu hệ thống Mạng Domain Network : Dùng Quản lý Doanh Nghiệp I- MÔ HÌNH Máy Domain Ip:192.168.1.2 SM:255.255.255.0 ADSL Ip:192.168.1.1 GW:192.168.1.1 Client1,Client2 Ip: DHCP SM:255.255.255.0 Printer Ip:192.168.1.254 SM:255.255.255 DNS:192.168.1.2 II- GIỚI THIỆU Với mơ hình trước sử dụng mạng Workgroup có lợi điểm đơn giản , dễ triển khai khơng thuận lợi cơng tác quản trị tính bảo mật kém, mơ hình Lab-4 giói thiệu hệ thống Domain Network với ưu điểm - Quản lý tập trung toàn thành phần hệ thống - Khả bảo mật cao thuận lợi nhờ chế Single Set of Credential - Khả co giãn linh động cho quy mô, dễ dàng mở rộng - Áp dụng chế quản lý dựa Policy (Policy-based Administration) - Cho phép triển khai Application tích hợp AD Database tận dụng chế Replication AD III- CÁC BƯƠC TRIỂN KHAI Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Mô lab gồm máy : máy dùng Windows Server 2k3 làm Domain Controller, DNS, DHCP server, máy Vista dùng cho User với bước thực để minh họa khả quản lý Domain Network với công việc: - Xây dụng hệ thống Domain bao gồm : nâng cấp Domain Controller - Triển khai DHCP Server máy Domain Controller để cấp thông số cho máy Workstation kết nối (Join) Domain cách tự động - Tổ chức hệ thống phân quyền quản trị (Delegate) - Tạo Home Directory, Roamming Profile cho Domain User - Thiết lập Group Policy Object (GPO) để : triển khai application (deploy software), Script, kiểm soát kiện (Events) xảy hệ thống Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only IV- TRIỂN KHAI CHI TIẾT Dựng domain controller máy Server với domain nhatnghe.local Cấu hình lại DNS server (tạo reserve lookup zone ) Cài cấu hình DHCP server máy Server Join tất máy client vào domain nhatnghe.local dùng ip động Cho máy client dùng Ip động truy cập internet Tổ chức OU user sau: a Trong doamin nhatnghe.local tạo OU : HCM NhaTrang b Trong OU HCM tạo OU PKthuat , PGvien user AdminHCM c Trong OU PKthuat tạo user AdminPKT user Nv1,Nv2,Nv3 d Trong OU PGvien tạo user AdminPgv user Gv1,Gv2,Gv3 e Trong OU Nhatrang tạo OU PKthuat ,PGvien user AdminNT, NV4 Trong OU HCM\PKthuat tạo group GKThuat add AdminNv1,Nv2,Nv3 vào group Trong OU HCM\PGvien tạo group Gvien add Gv1,Gv2,Gv3 vào group Trong Ou HCM tạo group Admin add AdminPKT, adminPgv vào group Cài AdminPAK.msi vào máy Client1và máy client2 Ủy quyền cho user AdminHCM có tồn quyền OU HCM user AdminNT có tồn quyền Ou NhaTrang (cho user có quyền tạo policy cho Ou mình) 10 Cho user AdminHCM, AdminNT, AdminPKT, AdminGVien phép Remote Desktop Trên máy client1 logon vào AdminHCM AdminNT Remote Desktop vào Doamin để kiểm tra 11 Dùng quyền AdminHCM ủy quyền cho user AdminPKT có tồn quyền OU PKthuat, user AdminPGV toàn quyền OU PGvien 12 Dùng quyền AdminPKT cấm tất user OU PKThuat không phép chạy Notepad.exe, ngọai trừ user AdminPKT 13 Trên Server tạo folder FileServer, share foler cho group GKThuat có quyền read, group Gvien có quyền xóa file folder user tạo ra, group Admin có full quyền 14 Cài mày in Lexmark máy Server share cho user có quyền in Dùng quyền AdmimHCM tạo logon script cho OU HCM cho user logon tự động add network từ Ser1 máy client 15 Tạo logon script cho tất user tự động map folder Fileserver ổ đĩa Y: máy client 16 Kiểm toán tất user ou HCM in máy in Lexmark 17 Kiểm toán tất user truy cập vào foleder FileServer 18 Cho user dùng Roaming Profile, 19 Làm Home folder cho tất user Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only 20 Deploy office cho tất user 21 Backup DHCP, Backup domain Copy thông tin backup sang PC khác Ghost lại máy Domain sau restore DHCP domain trở trạng thái ban đầu Thực Dựng domain controller máy Ser1với domain nhatnghe.local Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Click phải lên my network place chọn properties, click phải lên cacrd Lan chọn properties, chọn TCP/IP properties, khai báo IP hình vẽ, OK Vào Start Run DCPROMO hình welcome ấn Next Next chọn option Controller for a new domain ấn Next Chọn option domain in a new forest ấn Nhập vào tên domain Nhatnghe.local ấn Next Next Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only NetBios name ấn Next Database ấn Next Tiếp tục ấn Next, Next, Next đến hoàn tất, khởi động lại máy Màn hình SysVol ấn Next, chọn option Install and configure the DNS… ấn Next Cấu hình lại DNS server (tạo reserve lookup zone ) Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Vào card Lan sửa lại Prefer DNS IP máy Server Vào Start Run gõ lệnh DNSMGMT.MSC để vào DNS Click phải vào Reverse Lookup Zone, chọn Màn hình Welcome ấn Next, chọn option New Zone Primary Zone ấn Next Next Network ID nhập vào 192.168.1 Next, Vào Start Run CMD gõ lệnh IPconfig Next /registerDNS Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Vào DNS kiểm tra xem có PRT chưa, vào Click phải PC chọn Properties, chọn Tab Start Run gõ NSLookup để kiểm tra Forwarder nhập vào IP ISP ấn Add, OK Hoàn tất việc chỉnh sữa DNS Cài cấu hình DHCP server máy Server Vào Start Run gõ lệnh APPWIZ.CPL để 2.Vào Start Run gõ lệnh DHCPMGMT.MSC vào Add Remove Program, chọn Add Remove để vào DHCP, click phải lên DHCP chọn Window Component, chọn Network Services Manage authorized servers ấn Detail chọn DHCP ấn Next, source Window2K3, để cài DHCP Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Ấn Authorize, nhập vào IP máy Server, Chọn Server ấn Next, hoàn tất Authorized OK, OK Server Click phải lên Server chọn New Scope nhập Nhập vào Start IP, End IP, Next vào Scope Name ấn Next Nhập vào dãy IP loại trừ Next, Next Chọn Option Yes, I want… Next Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Nhập IP ADSL, Next 10 Nhập IP DNS Server ấn Next 11 Màn hình WinS ấn Next, chọn Option Yes, 12 Hoàn tất việc cài DHCP I want to active… Next, Finish Join tất máy client vào domain nhatnghe.local dùng ip động Tại máy client1 client2 vào start run gõ cmd cửa sổ command gõ ipconfig /renew xin ip từ máy DHCP, ipconfig /all, nslookup để test DNS Click phải vào computer chọn properties, chọn change settings, ấn change, chọn option Domain, nhập vào nhatnghe.local ok nhập user + pass administrator restart lại máy join domain xong Cho máy client dùng Ip động truy cập internet Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Double Click Security Setting\Local Policy\User Ấn nút Add chọn user AdminHCM, Rights Assigment\Allow Logon Through AdminNT, AdminPGV, AdminPKT cho Terminal user Logon Terminal services services Vào Start Run gõ lệnh GPUpdate /Force Trên máy Client1 Client2 Logon quyền AdminHCM, vào Start Run gõ lệnh MSTSC để Remote vào Doamin thử 11 Dùng quyền AdminHCM ủy quyền cho user AdminPKT có tồn quyền OU PKthuat, user AdminPGV toàn quyền OU PGvien Tại máy Client1 đăng nhập quyền AdminHCM, vào Srtart Run gõ lệnh DSA.MSC click phải lên OU PKThuat chọn Properties chọn Tab Security, add user AdminPKT, cấp full quyền cho user này, ấn Advance Bỏ checkbox Allow inheritable, chọn AdminPKT ấn Edit, Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trong phần Apply onto chọn This object Tương tự click phải vào Ou PGVien chọn and all child objects, OK, OK, OK Properties chọn Tab Security add AdminPGV cấp full quyền cho user này, ấn Advanced Trong phần Apply onto chọn This object Trên mày Client1 Logon vào and all child objects, OK, OK, OK AdminPGV AdminPKT để kiểm tra 12 Dùng quyền AdminPKT cấm tất user OU PKThuat không phép chạy Notepad.exe, ngọai trừ user AdminPKT Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Tại máy Client1 logon quyền AdminPKT, Remote Desktop lên máy Domain, vào DSA.MSC, click phải lên OU PKThuat chọn Tab Group Policy ấn nút New gõ tên PolicyPKThuat ấn Edit Chọn Enabled ấn Show Trong user Configuration\Administrative Templates\ System double click vào Don’t run specified Windows application Ấn Add nhập vào Notepad.exe, OK, OK, OK Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trở Tab Group Policy chọn Properties Chọn Tab Security, ấn Add add user AdminPKT, OK, check vào ô Deny apply group policy, OK, OK Vào Start Run gõ lệnh GPupdate /force Lần lượt logon quyền NV1, NV2,NV3 để kiểm tra có chạy Notepad hay khơng NV1, NV2, NV3 không chạy được, AdminPKT chạy 13 Trên Server tạo folder FileServer, share foler cho group GKThuat có quyền read, group Gvien quyền xóa file folder user tạo ra, group Admin full quyền Trên máy Domain tạo folder C:\FileServer, click phải lên folder chọn Share, chọn option Share this folder ấn Permissions Cho Everyone allow full control, OK Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Chọn Tab Security add group Admin, Bỏ check Allow Inheritable, chọn group GKThuat, GVien, Chọn Group Admin, GVien ấn Edit GVien cấp full control, GKThuat quyền Read, ấn Advanced Bỏ check box Delete Subfolders Tại Tab Security remove Group users, OK and file Delete OK, OK Tại máy Client1 logon vào NV1, GV1 AdminPKT truy cập lên folder FileSever để kiểm tra quyền 14 Cài mày in Lexmark máy Server share cho user có quyền in Dùng quyền AdmimHCM tạo logon script cho OU HCM cho user logon tự động add network từ Server máy client Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Tại máy Domain vào Start Settings Chọn option Create a new port, phần Printer and Fax, double click vào Add Type of port chọn Standard TCP/IP port printer, chọn option Local Printer Next Nhập vào IP máy in Lexmark, Next Ấn Next, chọn option Share name, Next, Next hoàn tất cài Driver máy in Lexmark Vào DSA.MSC click phải vào OU HCM Trong phần user Configuration\Windows chọn Properties chọn Tab Group Policy, ấn Settings\Scripts(Logon/Logoff) double click New gõ HCM OK, ấn Edit vào Logon Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Ấn Show file Tạo file Print.vbs có nội dung sau: Set WshNetwork =createObject("WScript.Network") WshNetwork.AddWindowsPrinterConnection "\\PC20\Lexmark" WshNetwork.SetDefaultPrinter "\\ PC20\Lexmark " Trở cửa sổ Logon properties ấn add ấn 10 Vào Start Run GPupdate /force, máy Browser chọn file Printer.vbs, OK, OK Client1 logon vào NV1, GV1 để kiểm tra xem có máy in chưa 15 Tạo logon script cho tất user tự động map folder Fileserver ổ đĩa Y: máy client Tại máy Domain vào Start Run gõ lệnh Trong phần user Configuration\Windows DSA.MSC click phải vào Nhatnghe.local Settings\Scripts(Logon/Logoff) double chọn Properties, chọn Tab Group Policy ấn click vào Logon, ấn Show file tạo file Edit Map.bat có nội dung sau: Net use y: \\192.168.1.2\FileServer Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Trở cửa sổ logon Properties ấn Add ấn Vào Start Run GPupdate /force, máy browse chọn file Map.bat OK, OK Client1 logon vào NV1, GV1 để kiểm tra xem có ổ đĩa Y chưa 16 Kiểm toán tất user OU HCM in máy in Lexmark Tại máy Domain vào Start Program Administrative Tools Domain controller security policy, phần Audit policy chọn Audit object access, chọn success and failure Vào Run gõ Gpupdate /force Click phải vào máy in Lexmark chọn properties tab security ấn advanced chọn tab Auditing, ấn Add add user AdminHCM, group admin, group Gkthuat, Gvien vào Kiểm toán tất quyền máy in Làm lại bước tương tự cho group Successful Failed khác user AdminHCM Vào StartRun gõ lệnh GPupdate /force Hoàn tất kiểm toán máy in OU HCM 17 Kiểm toán tất user truy cập vào folder FileServer Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Tại máy Domain click phải lên folder Trên máy Client1 Client2 logon C:\FileServer chọn Properties Tab quyền user AdminPKT, AdminPGV truy security ấn Advanced Tab Auditing ấn cập lên folder FileServer Domain tạo Add add group user vào kiểm tóan tất cà thử file folder Trở máy quyền Successful and Failed Domain, click phải lên My computer chọn Manage Trong phần Event viewer\ Security thấy tất Audit Click phải lên Security chọn Properties Sẽ thấy AdminPKT làm Tab Fillter, nhập vào Event ID 560, user FileServer Printer Lexmark AdminPKT, OK Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Cho user dùng Roaming Profile Trên C: máy Domain tạo thư mục Roaming, click phải lên folder chọn Share full quyền cho Everyone, OK Tab Security ấn Advanced Tab permission bỏ checkbox Allow inheritable chọn Copy, OK Tại Tab Security cấp full quyền cho group Vào Start Run gõ DSA.MSC users, OK click phải lên user chọn Properties Tab Profile profile path gõ \\192.168.1.2\roaming\%username%, OK Tại máy Client1 logon vào user GV1 thay Tại máy Client2 logon vào GV1 thấy đổi hình desktop, logoff hình máy Client1 Hồn tất làm Roaming profile Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Làm Home folder cho tất user Tại máy Domain tạo folder C:\Common Vào DSA.MSC click phải lên click phải folder chọn share cho Everyone user chọn Properties chọn tab Profile chọn full quyền, bỏ quyền thừa hưởng, cấp cho option Connect chọn ổ đĩa Z: phần To users full quyền tương tự câu 18 gõ \\192.168.1.2\common\%username% Tại máy Client1 logon quyền GV1 Tại máy Client2 logon quyền GV1 xem có ổ đĩa Z chưa, tạo vài folder xem folder tạo Client1 có đó Logoff ổ Z khơng Hồn tất việc tạo Home folder cho tất user 18 Deploy office cho tất user Tại máy Domain copy source Office 2003 Vào Start Program Microsoft Office vào C:\Office share folder cho user có Microsoft Office Tools Microsoft Office quyền Read Chạy file ORK.MSI để cài 2003 Resource Kit Custom Installation Microsoft Office Resource Kit Wizard, Next Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Ấn Browse chọn C:\Office\Pro11.MSI, Chọn Create a new MST file, Next Next Tạo file C:\Office\Auto.MST, Next Đường dẫn mặc định, Next Tiếp tục ấn Next Chọn ứng dụng cần cài, Next Nhập vào Product key Office, check 10 Hoàn tất file Auto.MST vào I accept…., Finish 11 Trong folder C:\Office tạo file Setup.ZAP 12 Vào DSA.MSC click phải lên có nội dung sau: nhatnghe.local chọn properties Tab group [Application] policy ấn Edit FriendlyName=”Microsoft office 2003” SetupComand=”\\192.168.1.2\office\setup.exe Transforms=\\192.168.1.2\office\auto.mst /qb-“ Displayversion=11.0 [ext] Doc= Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only 13 Trong user Configuration\software setting 14 Click phải lên Software installation chọn click phải Software installation chọn New Package chọn file Setup.zap properties gõ \\PC20\office, OK 15 Vào Start Run gõ lệnh Gpupdate /force 16 Tại máy Client1, Client2 logon quyền AdminPKT, vào control panel chọn program and feature, chọn Install a program from network thấy Office ấn Add để cài 19 Backup DHCP, Backup domain Copy thông tin backup sang PC khác Ghost lại máy Domain sau restore DHCP domain trở trạng thái ban đầu Tại máy Domain vào DHCP click phải vào Ấn Make new folder tạo C:\backup OK, Scope chọn Backup backup xong DHCP Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only Vào Start Run gõ lệnh NTbackup, Chọn option Let me choose…, Next Welcome ấn Next Check vào System State, Next Ấn browse chọn C:\backup, lưu file với tên system.bkf, Next Ấn Finish Hoàn tất trình backup System state data Lưu folder backup sang máy khác, giả sử 10 Restore DHCP Vào Run gõ lệnh máy Domain hư ghost laị máy Domain DHCPMRMT.MSC, click phải lên PC chọn (ghost P1-2K3) Khai báo lại IP máy Restore Domain, cài DHCP Generated by Foxit PDF Creator © Foxit Software http://www.foxitsoftware.com For evaluation only 11 Chọn thư mục C:\backup, OK 12 Hoàn tất Restore DHCP 13 Vào Start Run gõ Ntbackup, Welcome 14 Ấn Browse chọn C:\backup\system.bkf, ấn Next, chọn Restore file… Next OK, check vào System state, Next 15 Ấn Advanced 16 Chọn Original location, Next 17 Tiếp tục Next Finish hoàn tất việc 18 Cài Adminpak.msi máy Domain restore domain controller, khởi động lại restore, kiểm tra lại DNS user máy Domain ... bước thực để minh họa khả quản lý Domain Network với công việc: - Xây dụng hệ thống Domain bao gồm : nâng cấp Domain Controller - Triển khai DHCP Server máy Domain Controller để cấp thông số... http://www.foxitsoftware.com For evaluation only Mô lab gồm máy : máy dùng Windows Server 2k3 làm Domain Controller, DNS, DHCP server, máy Vista dùng cho User với bước thực để minh họa khả quản lý. .. tất máy client vào domain nhatnghe.local dùng ip động Cho máy client dùng Ip động truy cập internet Tổ chức OU user sau: a Trong doamin nhatnghe.local tạo OU : HCM NhaTrang b Trong OU HCM tạo OU