Giáo trình quản trị mạng (nghề ứng dụng phần mềm trình độ cao đẳng)

TỔNG QUAN VỀ WINDOWS SERVER

Tổng quan về hệ điều hành windows server

- Phân biệt được về họ hệ điều hành Windows Server

Windows Server 2019 là phiên bản mới nhất của hệ điều hành máy chủ do Microsoft phát hành vào tháng 10 năm 2018 Phiên bản này được xây dựng dựa trên nền tảng của Windows Server trước đó, mang lại nhiều cải tiến và tính năng mới cho người dùng.

2016 Những chức năng của phiên bản Windows Server 2019 đem đến nhiều cơ hội mới khi nhắc đến môi trường đám mây lai, bảo mật, lưu trữ và quản trị

Windows Server 2019 có ba phiên bản: Essentials, Standard và Datacenter, mỗi phiên bản được thiết kế để phục vụ cho các tổ chức với quy mô và yêu cầu khác nhau Windows Server 2019 Essentials phù hợp cho cơ sở hạ tầng nhỏ, trong khi Windows Server 2019 Datacenter cung cấp nhiều tính năng nhất so với các hệ điều hành máy chủ khác của Microsoft, đáp ứng nhu cầu ảo hóa và trung tâm dữ liệu đa dạng.

Những tính năng mới của Windows Server 2019:

• Tính năng cơ sở h ạ t ầ ng siêu h ộ i t ụ cho c ấ p doanh nghi ệ p

Microsoft đã mất 3 năm để cập nhật nền tảng cơ sở hạ tầng siêu hội tụ trước khi phát hành Windows Server 2019 Hiện tại, công ty đang áp dụng lịch nâng cấp dần thông qua Semi-Annual Channel, cho phép nâng cấp liên tục cho đến khi sản phẩm trở nên khả dụng.

Mỗi vài năm, một bản chính được tạo ra gọi là Long-Term Servicing Channel, bao gồm các bản phát hành trước và bản nâng cấp Phiên bản mới nhất cung cấp cơ sở siêu hội tụ với các thành phần đi kèm theo giấy phép máy chủ, đóng vai trò là “xương sống” cho máy chủ, đặc biệt là máy chủ chạy Hyper-V, cho phép tăng hoặc giảm khả năng thực hiện công việc mà không gặp thời gian chết.

• Giao di ện đồ h ọa người dùng đượ c c ả i thi ệ n

Nhiều doanh nghiệp gặp khó khăn khi triển khai phiên bản Semi-Annual Channel của Windows Server 2016 do thiếu giao diện đồ họa (GUI) Việc cập nhật lên phiên bản này có thể mang lại nhiều bất ngờ cho người dùng.

2019 Với bản phát hành Windows Server 2019, những chuyên gia công nghệ thông tin sẽ có giao diện đồ họa cho Windows Server

• Công c ụ qu ả n lý máy ch ủ

Công cụ quản lý máy chủ Project Honolulu đã được phát hành chính thức cùng với Windows Server 2019, cung cấp giao diện điều khiển trực quan cho người dùng Điều này giúp các quản trị viên dễ dàng hơn trong việc quản lý hệ thống máy chủ của họ.

Trong Windows Server 2019, Microsoft đã nâng cấp các chức năng bảo mật, giúp tổ chức quản lý an ninh hiệu quả hơn Phiên bản này tích hợp tính năng ATP, cho phép đánh giá các vectơ vi phạm an ninh và tự động đăng nhập, chặn cũng như cảnh báo về các cuộc tấn công tiềm tàng Hơn nữa, Windows Server 2019 giúp chuyên gia tận dụng tối đa lợi thế từ cơ sở dữ liệu, truyền tải mạng và các thành phần bảo mật an toàn, nhằm ngăn chặn sự xâm nhập vào hệ thống máy chủ.

Giảm chi phí hoạt động công nghệ thông tin bằng cách sử dụng Container hiệu quả hơn trong Windows Server 2019, giúp giảm chi phí VPS từ 50 đến 80% Container nhỏ gọn hơn giúp cải thiện hiệu suất ứng dụng mà không cần đầu tư thêm vào hệ thống máy chủ hay mở rộng dung lượng phần cứng.

Windows Server 2019 mang đến nhiều tính năng mới với những cải tiến đáng kể Phiên bản này giúp bảo mật dữ liệu ổn định và an toàn hơn, đồng thời tối ưu hóa tốc độ và hiệu suất, phù hợp với môi trường làm việc có nhịp độ nhanh hiện nay.

Thông tin chi tiết phiên bản Windows Server 2019 Datacenter

Windows Server 2019 Datacenter là lựa chọn lý tưởng cho môi trường đám mây và các trung tâm dữ liệu ảo hóa, cung cấp tất cả các chức năng của Windows Server 2019 Standard mà không bị giới hạn Phiên bản này cho phép các chuyên gia tạo ra số lượng máy ảo không giới hạn, cùng với một máy chủ Hyper-V trên mỗi giấy phép Đặc biệt, Windows Server 2019 Datacenter hỗ trợ không giới hạn số lượng Container và Hyper-V, cùng với nhiều tính năng độc đáo mà không phiên bản Windows Server nào khác có được.

Phiên bản Windows Server 2019 Datacenter cung cấp tính năng độc quyền là bộ điều khiển mạng, cho phép quản lý cơ sở hạ tầng tập trung Tính năng này cung cấp các công cụ theo dõi, định cấu hình và khắc phục sự cố cho môi trường mạng ảo hóa một cách tự động Bộ điều khiển mạng giúp tự động hóa cấu hình mạng, thay vì phải thực hiện các dịch vụ mạng và thiết bị theo phương pháp thủ công.

Hỗ trợ Hyper-V của Host Guardian là một tính năng khác chỉ có trong phiên bản

Windows Server 2019 Datacenter cung cấp khả năng quản lý máy chủ Hyper-V trong môi trường FC, giúp doanh nghiệp hoặc nhà cung cấp dịch vụ dễ dàng hơn trong việc quản lý các khóa khởi động máy ảo được bảo vệ Chế độ offline của Host Guard cho phép máy ảo khởi động ngay cả khi dịch vụ không khả dụng, miễn là cài đặt bảo mật của Hyper-V không bị thay đổi Phiên bản này còn nổi bật với chức năng xây dựng cơ sở hạ tầng siêu hội tụ, được coi là một trong những giải pháp hiệu quả nhất hiện nay, cho phép mở rộng để tạo ra một trung tâm dữ liệu được xác định bằng phần mềm Tính năng này giúp hợp nhất tài nguyên điện toán, kết nối mạng và lưu trữ, từ đó cải thiện hiệu suất và tiết kiệm chi phí cho doanh nghiệp.

Thông tin chi tiết phiên bản Windows Server 2019 Standard

Phiên bản Windows Server 2019 Standard được thiết kế cho các môi trường ảo hóa vật lý tối thiểu, hỗ trợ tối đa số lượng người dùng thông qua giấy phép CAL Nó cung cấp các chức năng cốt lõi của Windows Server, bao gồm cả những tính năng trong phiên bản Essentials Phiên bản này cho phép hoạt động lai trong môi trường Azure, giúp người dùng dễ dàng kiểm kê, di chuyển dữ liệu và cài đặt bảo mật cũng như cấu hình từ hệ thống cũ sang Windows Server 2019 hoặc đám mây Azure.

Windows Server 2019 Standard cung cấp khả năng chia sẻ tệp hiệu quả cho doanh nghiệp thông qua việc đồng bộ hóa máy chủ file với Azure Tính linh hoạt và hiệu suất của máy chủ file cục bộ được duy trì, đồng thời các ứng dụng trên mạng cục bộ có thể tận dụng nhiều cải tiến từ đám mây, bao gồm Trí tuệ nhân tạo.

Windows Server 2019 Standard cho phép sử dụng quyền cho hai OSE hoặc VM trên mỗi giấy phép, cùng với một máy chủ Hyper-V Nếu bạn cần thêm VM trong hạ tầng của mình, bạn phải mua giấy phép bổ sung Ngược lại, phiên bản Datacenter hỗ trợ số lượng VM không giới hạn.

Chuẩn bị cài đặt windows server

- Nêu được cấu hình phần cứng tối thiểu đểcài đặt windows server 2019

- Đối với windows Server 2019 yêu cầu về phần cứng như sau:

Bộ xử lý 64-bit 1.4 GHz Tương thích với bộ lệnh x64

Hỗ trợ NX và DEP

Hỗ trợ CMPXCHG16b, LAHF/SAHF, and PrefetchW

Hỗ trợ Second Level Address Translation (EPT hoặc NPT) Ethernet: Adapter Gigabit Ethernet (10/100/1000 Base-T)

512 MB (2 GB với tùy chọn máy chủ cài đặt Desktop Experience)

ECC (Error Correcting Code – mã sửa lỗi) hoặc công nghệ tương tự

Không gian ổ đĩa còn trống

Tối thiểu: 32 GB Khuyến nghị: 50 GB hoặc lớn hơn

Windows Server 2019 không hỗ trợ khởi động từ các ổ đĩa PATA, ATA, IDE hoặc EIDE, điều này có nghĩa là các thiết bị lưu trữ như ổ cứng không thể sử dụng các chuẩn này Thay vào đó, người dùng nên sử dụng các công nghệ lưu trữ hiện đại hơn để đảm bảo hiệu suất và tính tương thích.

Màn hình Monitor Super VGA (1024 x 768) hoặc cao hơn

Thành phần khác Bàn phím, Chuột của Microsoft hoặc thiết bị trỏ tương thích

Trước khi nâng cấp hoặc cài đặt mới Server, bạn cần kiểm tra tính tương thích của phần cứng máy tính với hệ điều hành Windows Server 2019.

2.3 Cài đặt mới hoặc nâng cấp

Khi nâng cấp hệ điều hành Server lên Windows Server 2019, chúng ta cần quyết định giữa việc nâng cấp trực tiếp mà vẫn giữ lại các ứng dụng và dữ liệu hiện có, hoặc cài đặt mới hệ điều hành và sau đó cấu hình lại các ứng dụng Việc lựa chọn phương án nào là rất quan trọng và cần được xem xét kỹ lưỡng Các yếu tố cần lưu ý trong quá trình nâng cấp bao gồm tính tương thích của ứng dụng, bảo mật dữ liệu và khả năng phục hồi hệ thống.

Nâng cấp server giúp đơn giản hóa quá trình cấu hình, đồng thời giữ lại tất cả thông tin quan trọng của bạn như người dùng, cấu hình, nhóm, quyền hệ thống và quyền truy cập.

Khi nâng cấp, bạn không cần phải cài đặt lại các ứng dụng Tuy nhiên, nếu có sự thay đổi lớn về ổ cứng, bạn nên sao lưu dữ liệu trước khi thực hiện nâng cấp.

- Trước khi nâng cấp bạn cần xem hệ điều hành hiện tại có nằm trong danh sách các hệ điều hành hỗ trợ nâng cấp thành Windows Server 2019 không ?

Trong những tình huống đặc biệt, chẳng hạn như khi bạn cần nâng cấp máy tính đang hoạt động như Domain Controller hoặc máy tính có các phần mềm quan trọng, việc tham khảo thêm hướng dẫn chi tiết là rất cần thiết.

Các hệ điều hành cho phép nâng cấp thành Windows Server 2019:

2.4 Phân chia ổ đĩa Đây là việc phân chia ổ đĩa vật lý thành các partition logic Khi chia partition, bạn phải quan tâm các yếu tố sau:

Để xác định lượng không gian cần cấp phát, bạn cần hiểu rõ không gian mà hệ điều hành, các ứng dụng và dữ liệu hiện có cũng như dữ liệu dự kiến sẽ chiếm dụng.

- Cấu hình đĩa đặc biệt: Windows Server hỗ trợ nhiều cấu hình đĩa khác nhau Các lựa chọn có thể là volume simple, spanned, striped, Mirroreded hoặc là

- Tiện ích phân chia partition: nếu bạn định chia partition trước khi cài đặt, bạn có thể sử dụng nhiều chương trình tiện ích khác nhau, chẳng hạn như

FDISK or PowerQuest Partition Magic can initially be used to create a partition for installing Windows Server Afterward, additional partitions can be created using the Disk Management tool.

2.5 Chọn hệ thống tập tin

Hệ thống tập tin NTFS là lựa chọn tối ưu nhờ vào các tính năng nổi bật như khả năng chỉ định quyền an toàn cho từng tập tin và thư mục, hỗ trợ nén dữ liệu để tiết kiệm không gian lưu trữ, cho phép thiết lập hạn ngạch sử dụng đĩa cho từng người dùng, và khả năng mã hóa tập tin nhằm nâng cao bảo mật.

Bạn chọn một trong hai chế độ giấy phép sau đây:

Giấy phép theo máy chủ (per server licensing) là lựa chọn tối ưu cho mạng chỉ có một máy chủ phục vụ một số lượng khách hàng nhất định Khi lựa chọn hình thức giấy phép này, người dùng cần xác định số lượng giấy phép tại thời điểm cài đặt hệ điều hành, dựa trên số kết nối đồng thời của các khách hàng đến máy chủ Tuy nhiên, trong quá trình sử dụng, người dùng có thể điều chỉnh số lượng kết nối đồng thời để phù hợp với tình hình thực tế của mạng.

- Per Seat licensing: là lựa chọn tốt nhất trong trường hợp mạng có nhiều Server

Trong chế độ giấy phép này, mỗi Client chỉ cần một giấy phép duy nhất để truy cập tất cả các Server mà không giới hạn số lượng kết nối đồng thời đến Server.

2.7 Chọn phương án kết nối mạng

2 7 1 Các giao thức kết nối mạng

Windows Server chỉ cài đặt một giao thức TCP/IP mặc định, trong khi các giao thức khác như IPX và AppleTalk có thể được cài đặt tùy chọn sau này nếu cần Đặc biệt, giao thức NetBEUI không được cung cấp trong các tùy chọn cài đặt mà chỉ có sẵn trên đĩa DVD-ROM đi kèm.

Cài đặt windows server 2019

- Cài đặt được windows server 2019

3.1 Phương tiện cài đặt DVD

Bước 1: Cấu hình BIOS của máy tính để có thể khởi động từ ổ đĩa DVD-ROM

Để thiết lập máy tính khởi động từ CD/DVD, hãy khởi động máy tính và nhấn phím Del hoặc F2, tùy thuộc vào loại Mainboard của bạn (trong trường hợp của tôi, sử dụng phím F2).

- Sau khi vào BIOS bạn di chuyển đến thẻ boot và chọn boot từ CD/DVD như hình 1.1

Hình 1.1: Thiết lập máy tính khởi động từ ổ đĩa CD/DVD

Bước 2: Sau khi hoàn tất bạn nhấn F10 để lưu cấu hình và thoát khỏi màn hình

BIOS sau đó bạn khởi động lại máy tính

Hình 1.2: Lưu cấu hình BIOS

Bước 3: Chèn đĩa cài đặt Windows 2019 Server vào ổ đĩa DVD-ROM và thực hiện các bước cài đặt

3.3 Phương tiện cài đặt USB

Bước 1: Cấu hình BIOS của máy tính để có thể khởi động từ USB

Để thiết lập máy tính khởi động từ CD/DVD, bạn cần khởi động lại máy và nhấn phím Del hoặc F2, tùy thuộc vào loại Mainboard của máy tính Trong trường hợp của tôi, phím F2 được sử dụng để truy cập vào cài đặt khởi động.

- Sau khi vào BIOS bạn di chuyển đến thẻ boot và chọn boot từ USB như hình 1.3

Hình 1.3: Thiết lập máy tính khởi động từ USB

Bước 2: Sau khi hoàn tất bạn nhấn F10 để lưu cấu hình và thoát khỏi màn hình

BIOS sau đó bạn khởi động lại máy tính

Hình 1.4: Lưu cấu hình BIOS

Bước 3: Chèn USB cài đặt Windows 2019 Server vào ổ đĩa DVD-ROM và thực hiện các bước cài đặt

Bước 1: Nhấn phím đểcài đặt

Khi máy khởi động từ phương tiện cài đặt, một thông báo “Press any key to continue…” sẽ hiện ra, yêu cầu người dùng nhấn phím bất kỳ để bắt đầu quá trình cài đặt Cửa sổ cài đặt sẽ xuất hiện ngay sau đó.

Hình 1.5.Màn hình chờ nhấn phím bất kỳ

Bước 2: Chờ Windows server 2019 load dữ liệu

Sau khi load xong, một màn hình Setup is starting sẽ hiện ra

Hình 1.6 màn hình Setup is starting

Bước 3: Chọn ngôn ngữ, múi giờ và bàn phím cho Windows server 2019:

+ Language to Install: Ngôn ngữ cài đặt

+ Time and currency format: Định dạng ngày tháng và tiền tệ

+ Keyboard or input method: Kiểu bàn phím bạn sử dụng

- Sau khi bạn lựa chọn hoàn tất, click Next

Hình 1.7: Lựa chọn ngôn ngữ, định dạng ngày tháng và kiểu bàn phím

Bước 4: Lựa chọn hình thức cài đặt click nút Install Now để cài đặt

Bước 5: Xác định product key

Tại khung Type your product key for activation bạn nhập key vào và click nút next để tiếp tục

Hình 1.9: Chờ nhập Product Key

Bước 6: Lựa chọn phiên bản Windows Server 2019 muốn cài đặt

Tại khung các phiên bản Windows Server 2019, bạn chọn Windows Server

2019 Enterprise (Full Installation) và đánh dấu chọn chọn I have selected the edition of Windows that I purchased Click Next để tiếp tục

Hình 1.10: Lựa chọn phiên bản cài đặt

Bước 7: Chấp nhận điều khoản của Microsoft

Tại bảng các điều khoản bạn click vào I accept the license terms, sau đó click

Hình 1.11: Các điều khoản của Microsoft

Bước 8: Lựa chọn các kiểu cài đặt thích hợp

-Chọn Upgrade nếu muốn nâng cấp

-Chọn Custom(advanced) đểcài đặt một phiên bản mới

Hình 1.12: Kiểu cài đặt của Windows server 2019

Bước 9: Chọn phân vùng cài đặt

-Sau đó chọn Drive Option nếu muốn thao tác lên ổ đĩa cứng như New, Delete, Format…v.v…

-Sau đó chọn phân vùng muốn cài đặt và click nút Next

Hình 1.13: Lựa chọn các thao tác trên đĩa cứng

Bước 10: Chờ Windows Server 2019 cà đặt

Quá trình cài đặt Windows Server bắt đầu Trong khi cài đặt, máy tính sẽ tự động khởi động lại

Hình 1.14 Quá trình cài đặt Windows Server 2019

Bước 11: Xác định mật khẩu cho Administrator Đặt mật khẩu cho Administrator

Chú ý: Mật khẩu phải có chiều dài 7 ký tự và phải phứ tạp

Hình 1.5 Đặt mật khẩu Administrator

Bước 12: Màn hình chờ đăng nhập

Nhấn phím Ctrl + Alt + Del để đăng nhập.

Bước 13: Xác định mật khẩu để đăng nhập

Nhập mật khẩu Administrator mà bạn đã đặt trong bước 11 để đăng nhập

Hình 1.17 Đăng nhập mật khẩu admin

Bước 14: Xác nhận cài đặt Networks Đối với quá trình đăng nhập lần đầu, xác nhận cài đặt Networks được hiển thị như sau Chọn Yes hoặc No

Hình 1.18 Xác nhận cài đặt mạng

Bước 15: Cửa sổ Server Manger khi đăng nhập Windows Server 2019 Đây là desktop trên Windows Server 2019 Quá trình cài đặt Windows Server đã hoàn tất

Hình 1.19 Cửa sổ Server Manger

Bài tập thực hành của học viên

1 Cài đặt hệ điều hành Windows Server 2019

Tham khảo mục 3 trong bài học trên

Những trọng tâm cần chú ý:

- Cấu hình máy phải đảm bảo yêu cầu

- Phải có thiết bị lưutrữ file cài đặt.

- Thiết lập được cách Boot hệ thống, theo phương tiện cài đặt

- Chọn đúng ngôn ngữ, múi giờ, và bàn phím nhập liệu

- Thao tác đúng các bước cài đặt Windows server 2019

Bài mở rộng và nâng cao

Hãy cài đặt nâng cấp Windows Server 2019 Standard lên Datacenter

Yêu cầu đánh giá kết quả học tập

 Trình bày được các bước cài đặt hệđiều hành Windows Server 2019

 Trình bày được các bước cài đặt nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

+ Thao tác thành thạo các phương tiện Boot để cài đặt nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

+ Thực hiện đúng các thao tác cài đặt nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

 Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc

 Về kiến thức: Đánh giá bằng hình thức kiểm tra viết, trắc nghiệm, vấn đáp

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác nâng cấp nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

 Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc.

DỊCH VỤ TÊN MIỀN (DNS)

Tổng quan về DNS

- Trình bày được cấu trúc cơ sở dữ liệu của hệ thống tên miền;

- Mô tả được sự phân cấpcủa hệ thống tên miền;

DNS, viết tắt của Domain Name System, là Hệ thống phân giải tên được phát minh vào năm 1984, cho phép thiết lập mối quan hệ giữa địa chỉ IP và tên miền Hệ thống này cung cấp cách đặt tên cho máy tính, dịch vụ và các nguồn lực trên Internet, liên kết thông tin đa dạng với tên miền Quan trọng nhất, DNS chuyển đổi tên miền dễ hiểu cho con người thành các định danh nhị phân, giúp định vị và địa chỉ hóa thiết bị trên toàn cầu.

Phép tương thường được sử dụng để giải thích hệ thống tên miền, hoạt động như một "Danh bạ điện thoại" giúp người dùng tìm kiếm trên Internet bằng cách chuyển đổi tên máy chủ thành địa chỉ IP.

Ví d ụ , www.dantri.com.vn dịch thành 208.77.188.166

Hệ thống tên miền cho phép chỉ định tên miền một cách có ý nghĩa cho các nhóm người dùng Internet, đồng thời đảm bảo tính độc lập với vị trí của người sử dụng.

World Wide Web với siêu liên kết và trao đổi thông tin trên Internet giúp duy trì sự ổn định và cố định, ngay cả khi dòng Internet thay đổi hoặc người dùng chuyển sang thiết bị di động Tên miền Internet cũng dễ nhớ hơn so với các địa chỉ IP.

Địa chỉ IP như 208.77.188.166 (IPv4) hoặc 2001:db8:1f70::999:de8:7648:6e8 (IPv6) cho phép người dùng truy cập các URL và địa chỉ email mà không cần hiểu cách mà máy tính thực sự xác định chúng.

Hệ thống tên miền phân phối trách nhiệm gán tên miền và lập bản đồ các tên miền tới địa chỉ IP thông qua việc xác định các máy chủ có thẩm quyền cho mỗi tên miền Các máy chủ thẩm quyền này quản lý tên miền riêng và có thể chỉ định các máy chủ khác cho các tên miền phụ Kỹ thuật này giúp phân phối DNS, đảm bảo tính chịu lỗi và loại bỏ sự cần thiết cho một trung tâm đăng ký duy nhất Tại Việt Nam, tổ chức VNNIC quản lý và cấp phát tất cả thông tin về IP và các bản ghi DNS Hệ thống DNS quốc gia có nhiệm vụ tiếp nhận và trả lời các truy vấn tên miền VN, hiện gồm 07 cụm máy chủ do Trung tâm Internet Việt Nam (VNNIC) quản lý.

Việt Nam hiện có 05 cụm máy chủ được đặt trong nước, bao gồm 02 cụm tại thành phố Hồ Chí Minh, 02 cụm tại Hà Nội và 01 cụm tại Đà Nẵng Ngoài ra, còn có 02 cụm máy chủ được đặt ở nước ngoài tại nhiều vị trí trên thế giới.

Mỗi Website có một tên (là tên miền hay đường dẫn URL:Universal Resource

Khi bạn mở trình duyệt web và nhập tên website, trình duyệt sẽ tự động truy cập vào trang mà không cần nhập địa chỉ IP Quá trình chuyển đổi tên miền thành địa chỉ IP để trình duyệt có thể hiểu và truy cập trang web được thực hiện bởi máy chủ DNS Các máy chủ DNS hỗ trợ lẫn nhau trong việc dịch địa chỉ IP.

DNS giúp người dùng chỉ cần nhớ "tên" thay vì địa chỉ IP khó nhớ Nó sử dụng cổng port 53 để truyền thông tin, đảm bảo việc phân giải tên miền diễn ra một cách đơn giản Nhờ đó, người dùng có thể dễ dàng nhập các địa chỉ web và địa chỉ Local mà không gặp rắc rối.

Do tốc độ biên dịch của các DNS khác nhau, người dùng có thể chọn DNS server phù hợp cho mình Có hai lựa chọn: sử dụng DNS mặc định của nhà cung cấp dịch vụ internet mà không cần nhập địa chỉ DNS vào kết nối mạng, hoặc sử dụng DNS server khác (miễn phí hoặc trả phí) và phải điền địa chỉ DNS vào kết nối mạng Địa chỉ DNS server được biểu diễn bằng 4 nhóm số cách nhau bởi dấu chấm Trong bài lab này, chúng ta sẽ sử dụng địa chỉ IP của DNS Server trong Domain thay vì DNS auto của Google hay bất kỳ DNS nào khác Ví dụ, với bản ghi cntt.cdn.edu.vn có địa chỉ 192.168.2.2, để đổi địa chỉ DNS cho server hoặc Windows 8, 10, bạn cần nhấp chuột phải vào biểu tượng card mạng dưới thanh taskbar, chọn "Open network sharing center", sau đó nhấp chuột phải vào card "Local area network", chọn "Properties", và click đúp vào "TCP/IP v4" Trong mục "General", chọn "Use the following IP address" để gán IP tĩnh, nhập IP của DNS vào mục "Preferred DNS server" và "Alternate DNS server", sau đó ấn "OK" để hoàn tất cấu hình.

DNS là một cơ sở dữ liệu phân tán, cho phép quản trị viên cục bộ quản lý dữ liệu nội bộ của họ Dữ liệu này có thể dễ dàng truy cập trên toàn bộ hệ thống mạng theo mô hình Client-Server Hiệu suất dịch vụ được cải thiện nhờ cơ chế nhân bản (replication) và lưu tạm (caching) Một hostname trong miền được tạo thành từ các từ được phân cách bằng dấu chấm (.).

Hình 2.1 Sơ đồ tổ chức DNS

Cơ sở dữ liệu của DNS được cấu trúc dưới dạng một cây đảo ngược, trong đó mỗi nút được gọi là một miền (domain) Các miền này có khả năng phân chia thành các phân vùng nhỏ hơn, được gọi là các miền con (subdomain).

Mỗi tên miền (domain name) xác định vị trí của nó trong cơ sở dữ liệu DNS Trong hệ thống DNS, tên miền là chuỗi các nhãn liên tiếp tại nút đó, đi ngược lên nút gốc của cây, và các nhãn được phân cách bởi dấu chấm.

Trong mỗi tên miền, phần nhãn bên phải được gọi là top-level domain (TLD) Ví dụ, trong tên miền srv1.csc.hcmuns.edu.vn, ".vn" chính là top-level domain.

Bảng sau đây liệt kê top-level domain

.com Các tổ chức, công ty thương mại

.org Các tổ chức phi lợi nhuận

.net Các trung tâm hỗ trợ về mạng

.edu Các tổ chức giáo dục

.gov Các tổ chức thuộc chính phủ

.mil Các tổ chức quân sự

.int Các tổ chức được thành lập bởi các hiệp ước quốc tế

Mỗi quốc gia đều có một tên miền cấp cao (top-level domain) riêng, ví dụ như tên miền của Việt Nam là vn và của Mỹ là us Để tìm hiểu thêm về các địa chỉ tên miền, bạn có thể tham khảo thông tin tại http://www.thrall.org/domains.htm.

Ví dụ về tên miền của một số quốc gia

Tên miền quốc gia Tên quốc gia

1.2 Đặc điểm của DNS trong Windows Server

- Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải dựa theo tên domain trong yêu cầu truy vấn

- Stub zone: hỗ trợ cơ chế phân giải hiệu quả hơn

- Đồng bộ các DNS zone trong Active Directory (DNS zone replication in

- Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống Windows trước đây

- Luân chuyển (Round robin) tất cả các loại RR

- Cung cấp nhiêu cơ chế ghi nhận và theo dõi sự cố lỗi trên DNS

- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính năng bảo mật cho việc lưu trữ và nhân bản (replicate) zone

- Cung cấp tính năng EDNS0 (Extension Mechanisms for DNS) để cho phép DNS

Requestor quản bá những zone transfer packet có kích thước lớn hơn 512 byte.

Cách phân bố dữ liệu quản lý trên tên miền

- Trình bày được sự phân bố dữ liệu quản lý trên tên miền

Những root name server (.) quản lý những top-level domain trên Internet

Tên máy và địa chỉ IP của các name server được công bố công khai và được trình bày trong bảng dưới đây Những name server này có thể được phân bố trên toàn cầu.

Tên máy tính Địa chỉ IP

Mỗi tổ chức thường đăng ký một hoặc nhiều tên miền và cài đặt một hoặc nhiều máy chủ tên (name server) để duy trì cơ sở dữ liệu cho tất cả các máy tính trong miền Các máy chủ tên này được đăng ký trên Internet, trong đó một máy chủ tên được gọi là Máy chủ tên chính (Primary Name Server) Để đảm bảo tính sẵn sàng, nhiều máy chủ tên phụ (Secondary Name Server) được sử dụng làm bản sao lưu cho máy chủ tên chính Nếu máy chủ tên chính gặp sự cố, máy chủ tên phụ sẽ đảm nhiệm vai trò phân giải tên.

Primary Name Server có thể tạo ra những subdomain và ủy quyền những subdomain này cho những Name Server khác.

Cơ chế phân giải tên

- Trình bày được cơ chế phân giải tên máy tính thành địa chỉ IP và ngược lại;

3.1 Phân giải tên thành IP

Máy chủ Root Name Server là thiết bị quản lý các name server ở cấp độ top-level domain Khi có yêu cầu truy vấn một tên miền, Root Name Server sẽ cung cấp tên và địa chỉ IP của name server quản lý top-level domain Thực tế, hầu hết các root server cũng là máy chủ quản lý top-level domain Tiếp theo, các name server của top-level domain sẽ cung cấp danh sách các name server có quyền quản lý các second-level domain liên quan Quá trình này tiếp tục cho đến khi tìm được máy chủ quản lý tên miền cần truy vấn.

Root name server đóng vai trò thiết yếu trong quá trình phân giải tên miền Nếu không có sự liên lạc giữa các root name server trên Internet, mọi yêu cầu phân giải tên miền sẽ không thể thực hiện.

Hình vẽ dưới mô tả quá trình phân giải cntt.edu.vn trên mạng Internet

Hình 2.2 mô tả quá trình phân giải tên miền

Khách hàng gửi yêu cầu phân giải địa chỉ IP của máy tính có tên c n t t D V D n e d u v n đến máy chủ tên cục bộ Khi nhận được yêu cầu từ Resolver, máy chủ tên cục bộ sẽ phân tích tên miền và kiểm tra xem tên miền này có thuộc quản lý của mình hay không Nếu tên miền thuộc máy chủ cục bộ, nó sẽ ngay lập tức trả về địa chỉ IP của máy đó cho Resolver Nếu không, máy chủ cục bộ sẽ tiến hành truy vấn đến một máy chủ khác.

Root Name Server gần nhất sẽ cung cấp địa chỉ IP của Name Server quản lý miền vn Sau đó, máy chủ name server cục bộ sẽ tiếp tục truy vấn Name Server quản lý miền vn và được dẫn đến máy chủ quản lý miền edu.vn Máy chủ quản lý edu.vn sẽ chỉ dẫn máy name server cục bộ đến máy chủ quản lý miền DVDn.edu.vn Cuối cùng, máy name server cục bộ truy vấn máy chủ quản lý miền DVDn.edu.vn và nhận được câu trả lời cần thiết.

Các loại truy vấn: Truy vấn có thểở 2 dạng:

Truy vấn đệ quy (recursive query) là loại truy vấn mà khi name server nhận được, nó phải cung cấp kết quả tìm kiếm hoặc thông báo lỗi nếu không giải quyết được Name server không được phép chuyển tiếp truy vấn đến một name server khác.

Name Server cdn.edu.vn

Gởi truy vấn địa chỉ cntt.cdn.edu.vn

Hỏi server quản lý tên miền vn Gởi truy vấn địa chỉ cntt.cdn.edu.vn

Hỏi server quản lý tên miền edu.vn

Hỏi server quản lý tên miền cdn.edu.vn

Trả lời địa chỉ IP của cntt.cdn.edu.vn

“ ” au cn vn com ed u cdn udn tương tác đến name server khác nhưng phải thực hiện cho đến khi nào có kết quả mới thôi

Hình 2.3 Truy vấn đệ quy

Truy vấn tương tác (Interactive query) là quá trình mà khi name server nhận được truy vấn, nó sẽ trả lời cho Resolver bằng thông tin tốt nhất có sẵn tại thời điểm đó Name server không thực hiện thêm bất kỳ truy vấn nào khác, mà chỉ cung cấp thông tin từ dữ liệu cục bộ, bao gồm cả cache Nếu name server không tìm thấy thông tin trong dữ liệu cục bộ, nó sẽ trả về tên miền và địa chỉ IP của name server gần nhất mà nó biết.

Hình 2.4 - Truy vấn tương tác

3.2 Phân giải IP thành tên máy tính Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịch các tập tin log cho dễ đọc hơn Nó còn dùng trong một số trường hợp chứng thực trên hệ thống

UNIX cho phép kiểm tra các tập tin như rhost và host.equiv Trong không gian tên miền, dữ liệu, bao gồm địa chỉ IP, được lập chỉ mục theo tên miền, giúp việc tìm ra địa chỉ IP trở nên dễ dàng hơn Để phân giải tên máy tính từ một địa chỉ IP, người ta bổ sung một nhánh tên miền được lập chỉ mục theo địa chỉ IP, có tên miền là in-addr.arpa.

Mỗi nút trong miền in-addr.arpa được xác định bằng tên nhãn là chỉ số thập phân của địa chỉ IP Ví dụ, miền in-addr.arpa có thể chứa 256 subdomain, tương ứng với 256 giá trị từ 0 đến 255 của byte đầu tiên trong địa chỉ IP Trong từng subdomain, có thể có các cấu trúc khác nhau liên quan đến địa chỉ IP.

Mỗi subdomain tương ứng với byte thứ hai, và tiếp tục như vậy cho đến byte thứ tư, nơi có các bản ghi cung cấp tên miền đầy đủ của các máy tính hoặc mạng tương ứng với địa chỉ IP.

Lưu ý khi đọc tên miền địa chỉ IP sẽ xuất hiện theo thứ tự ngược Ví dụ nếu addr.arpa sẽ là 152.192.16.15.in- addr.arpa.

Một số khái niệm cơ bản

- Trình bày được các khái niệm cơ bản

Một miền có thể chứa nhiều miền con, ví dụ như miền ca với các miền con ab.ca, on.ca, qc.ca Bạn có khả năng ủy quyền quản lý một số miền con cho các máy chủ DNS khác.

DNS Server được quyền quản lý gọi là zone Như vậy, một Zone có thể gồm một miền, một hay nhiều miền con

- Primary zone: Cho phép đọc và ghi cơ sở dữ liệu

- Secondary zone: Cho phép đọc bản sao cơ sở dữ liệu

- Stub zone: chứa bản sao cơ sở dữ liệu của zone nào đó, nó chỉ chứa chỉ một vài RR(Resource Record)

4.2 Fully Qualified Domain Name (FQDN)

Mỗi nút trên cây có tên gọi tối đa 63 ký tự, không chứa dấu chấm Tên rỗng biểu thị cho nút gốc và được đại diện bởi dấu chấm Tên miền đầy đủ của một nút là chuỗi tên gọi của nút đó đi ngược lên nút gốc, cách nhau bằng dấu chấm Tên miền có dấu chấm cuối cùng được gọi là tên tuyệt đối (absolute), khác với tên tương đối không có dấu chấm ở cuối Tên tuyệt đối cũng được xem là tên miền đầy đủ đã được chứng nhận (Fully Qualified Domain Name – FQDN).

Một trong những mục tiêu thiết kế hệ thống DNS là khả năng quản lý phân tán thông qua cơ chế ủy quyền Trong một miền, có thể tổ chức thành nhiều miền con, mỗi miền con được ủy quyền cho một tổ chức khác, chịu trách nhiệm duy trì thông tin trong miền con đó Miền cha chỉ cần một con trỏ để tham chiếu đến miền con khi có các truy vấn.

Không phải tất cả các miền đều tổ chức các miền con và ủy quyền hoàn toàn cho chúng; trên thực tế, chỉ có một số miền con nhất định được ủy quyền.

Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho các Name Server khác để phân giải các miền bên ngoài

Stub zone là một khu vực trong hệ thống DNS, chứa bảng sao cơ sở dữ liệu từ master name server Nó chỉ bao gồm các resource record cần thiết như A, SOA, NS và một hoặc vài địa chỉ của master name server, giúp hỗ trợ cơ chế cập nhật Stub zone Stub zone cũng chứng thực name server trong khu vực và cung cấp cơ chế phân giải tên miền hiệu quả hơn, từ đó đơn giản hóa công tác quản trị.

Dynamic DNS là phương thức ánh xạ tên miền đến địa chỉ IP có tần suất thay đổi cao Dịch vụ này sử dụng một chương trình gọi là Dynamic DNS Client, chạy trên máy tính của người dùng Chương trình này theo dõi sự thay đổi địa chỉ IP tại host và tự động liên hệ với hệ thống DNS mỗi khi địa chỉ IP thay đổi, cập nhật thông tin vào cơ sở dữ liệu DNS về sự thay đổi đó.

Sử dụng Active Directory-integrated zone có một số thuận lợi sau:

- DNS zone lưu trữ trong trong Active Directory, nhờ cơ chế này mà dữ liệu được bảo mật hơn

- Sử dụng cơ chế nhân bản của Active Directory để cập nhận và sao chép cơ sở dữ liệu DNS

- Sử dụng secure dynamic update

- Sử dụng nhiều master name server để quản lý tên miền thay vì sử dụng một master name server.

Phân loại Domain Name Server

- Trình bày được các loại tên Domain Server

Máy chủ DNS chính (PDS) là nguồn xác thực thông tin chính cho các tên miền mà nó quản lý Thông tin về tên miền được PDS quản lý sẽ được lưu trữ tại đây và có thể được chuyển giao cho các máy chủ DNS phụ (SDS).

Các tên miền do PDS quản lý thì được tạo, và sửa đổi tại PDS và sau đó được cập nhật đến các SDS

Để đảm bảo hiệu suất và độ tin cậy, việc sử dụng ít nhất hai máy chủ DNS cho mỗi vùng (zone) là điều cần thiết PDS chịu trách nhiệm quản lý các vùng, trong khi SDS được khuyến nghị sử dụng như một giải pháp lưu trữ dự phòng cho cả vùng và PDS Mặc dù SDS không bắt buộc, nhưng việc sử dụng nó là rất hữu ích SDS có thể quản lý tên miền, tuy nhiên, dữ liệu tên miền phải được lấy từ PDS chứ không phải được tạo ra từ SDS.

SDS hỗ trợ các hoạt động không tải trên mạng, giúp cân bằng tải khi lượng truy vấn vùng tăng cao bằng cách chuyển bớt tải từ PDS sang SDS Ngoài ra, trong trường hợp PDS gặp sự cố, SDS sẽ hoạt động như một giải pháp thay thế cho đến khi PDS khôi phục hoạt động.

SDS thường được triển khai gần các máy trạm để phục vụ truy vấn hiệu quả Tuy nhiên, không nên cài đặt SDS trên cùng một subnet hoặc kết nối với PDS, vì điều này có thể ảnh hưởng đến tính khả dụng của SDS khi PDS gặp sự cố Việc tách biệt SDS và PDS là giải pháp dự phòng tốt, đảm bảo SDS vẫn hoạt động bình thường ngay cả khi PDS bị hỏng.

DNS server sử dụng cơ chế chuyển thông tin từ PDS sang SDS và lưu trữ trên đĩa để hỗ trợ các địa chỉ mới vào các vùng Khi cần phục hồi dữ liệu về các vùng, chúng ta có thể lựa chọn giải pháp lấy toàn bộ (full) hoặc chỉ lấy phần thay đổi (incremental).

Caching Name Server không lưu trữ tập tin cơ sở dữ liệu, mà có nhiệm vụ phân giải tên máy trên các mạng xa thông qua các Name Server khác Nó ghi nhớ những tên máy đã được phân giải trước đó và tái sử dụng thông tin này với mục đích tối ưu hóa quá trình truy cập.

- Làm tăng tốc độ phân giải bằng cách sử dụng cache

- Giảm bớt gánh nặng phân giải tên máy cho các Name Server

- Giảm việc lưu thông trên những mạng lớn.

Các khái niệm trong Zone

– primary zone: cho phép đọc và ghi cơ sở dữ liệu và có toàn quyền trong việc update dữ liệu của DNS

– secondary zone: cho phép đọc và ghi bản sao của sơ sở dữ liệu và muốn được cập nhật zone thì phải đồng bộ với Primary zone

– forwarder: là kỹ thuật cho phép name server nội bộ gửi yêu cầu truy vấn đến server khác để phân giải những tên miền bên ngoài hệ thống

Trong quản lý miền, sự ủy quyền cho phép một miền tổ chức thành các miền con, mỗi miền con có thể ủy quyền cho một tổ chức khác Tổ chức được ủy quyền này có trách nhiệm duy trì thông tin trong miền của mình.

DNS hỗ trợ quản trị phân tán, cho phép chia nhỏ việc quản lý thành nhiều phần khác nhau Mỗi miền (domain) có thể bao gồm nhiều tên miền con (subdomains).

Mỗi subdomain có thể đại diện cho một tổ chức, cho phép tổ chức đó toàn quyền kiểm soát DNS của mình Sự phân quyền này giúp giảm tải cho hệ thống DNS, tránh quản lý tập trung và xử lý hiệu quả khối lượng dữ liệu lớn.

FQDN: (Fully Qualified Domain Name)

The Start of Authority (SOA) resource record defines global parameters for a zone or domain A zone file is permitted to contain only one SOA record, which must be placed at the beginning, preceding all other records.

• Name server (NS) resource record: chỉ ra Máy chủ tên miền (Name server) của zone đó

• A Resource Records (mẩu tin địa chỉ): mẩu tin cho biết địa chỉIP tương ứng của một tên miền, có dạng như “example IN A 172.16.48.1”

PTR Records, hay còn gọi là mẩu tin con trỏ, là một loại bản ghi DNS ngược lại với A record, dùng để chỉ ra tên miền tương ứng với một địa chỉ IP Cấu trúc của PTR Records thường có dạng như “1.48.16.172.in-addr.arpa IN PTR example.com.”

CNAME Resource Records are a type of DNS record that create an alias for a domain name For instance, the CNAME record "ftp.example.com IN CNAME ftp1.example.com." allows the domain ftp.example.com to point to ftp1.example.com, facilitating easier domain management and redirection.

• MX Resource Records (mẩu tin Mail exchange): chỉ ra máy chủ mail của tên miền

Các bản ghi TXT (mẫu tin text) chứa thông tin văn bản không định dạng, thường được sử dụng để lưu trữ thông tin bổ sung Nameserver là các chương trình lưu trữ toàn bộ thông tin về không gian tên miền (domain namespace), trong khi đó, zone là một phần của không gian tên miền, chứa thông tin chi tiết và được tải từ file hoặc từ nameserver khác.

Hình 2.5 Domain được chia ra thành nhiều zone

Domain.edu được chia thành nhiều zone, mỗi zone có quyền quản lý riêng Có hai loại nameserver là primary master và secondary master.

- Primary: chứa tất cả các thông tin cho domain

- Secondary: hoạt động dự phòng, đề phòng trường hợp Primary fail

Qúa trình Primary gửi bản sao của nó đến Secondary gọi là zone transfer – Resolvers

Là các clients truy cập vào nameservers Các chương trình chạy host nếu cần thông tin từ domain namespace sẽ sử dụng resolver

- Quản lý các trả lời từ nameserver

- Trả thông tin về cho chương trình yêu cầu

– Querying the database: Các truy vấn dns có thể được gửi từ một DNS client (resolver) đến một DNS server hoặc giữa 2 DNS server

Một yêu cầu DNS thực chất là một truy vấn nhằm lấy các kiểu dữ liệu (RRs) Các kiểu dữ liệu trong truy vấn này có thể bao gồm thông tin ánh xạ hostname.

Cài đặt và cấu hình DNS

- Thực hiện được quá trình cài đặt và cấu hình DNS

8.1 Các bước cài đặt dịch vụ DNS

Bước 1: Mở Server Manager tiến hành cài DNS

Vào Server Manager -> chọn Add role and Feature

Hình 2.6 Cửa sổ Server Manager

Bước 2: Chọn DNS Server đểcài đặt

Tích vào ô DNS Server -> click Next

Hình 2.7 Cửa sổ chọn DNS Server

Bước 3: Tiến hành cài đặt DNS Server chọn Install để tiến hành quá trình cài đặt

Hình 2.8 Cửa sổ cài đặt DNS Server

Bước 4: Xác định DNS Server cài xong

Chọn Close để kết thúc quá trình cài đặt

Hình 2.9 Cửa sổcài đặt DNS Server hoàn thành

8.2 Cấu hình dịch vụ DNS

Forward Lookup Zone để phân giải địa chỉ Tên máy (hostname) thành địa chỉ

IP Để tạo zone này ta thực hiện các bước sau:

Vào Server Manager chọn Tools, Click vào DNS Management

Hình 2.10 Cửa sổ DNS Server

Click chuột phải vào Forward Lookup zone chọn New zone để tạo 1 zone mới vd: itforvn2.com

Hình 2.11 Cửa sổ tạo 1 zone mới

Bước 3: Chọn lựa kiểu zone mới

Chọn Primary zone để tạo 1 zone chính, sau đó click Next tiếp tục

Hình 2.12 Cửa sổ zone type

Bước 4: Nhập tên Domain mà zone sẽ quản lý

Nhập tên DNS server vào Zone name

Hình 2.13 Cửa sổ Zone name

Bước 5: Chọn hình thức tạo DNS server

Chọn Create a new file with thí file name, nhập tên zone cần tạo

Hình 2.14 Cửa sổ Zone file

Bước 6: Chọn hình thức cập nhật cho DNS

 Vì không có AD nên option đầu không hiện lên

Bạn có thể cho phép tự động cập nhật Resource Record từ bất kỳ client nào, nhưng không được khuyến nghị do tiềm ẩn nguy cơ bảo mật Việc cho phép cập nhật từ các nguồn không tin cậy có thể dẫn đến lỗ hổng bảo mật nghiêm trọng.

 Do not allow dynamic updates: Việc update Resource Records phải được làm bằng tay

Hình 2.15 Cửa sổ Dynamic Update

Bước 7: Hoàn thành cấu hình DNS Server

Click vào Finish để hoàn thành việc cấu hinh DNS Server

Hình 2.16 Cửa sổ hoàn thành cấu hình DNS

After creating a Forward Lookup Zone, navigate to the Reverse Lookup Zone, right-click, and select New Zone In the Zone Type options, choose Primary Zone, and in the Reverse Lookup Zone Name window, select IPv4.

Bước 1: Mở cửa sổ DNS Server

Vào Server Manager chọn Tools, Click vào DNS Management

Hình 2.17 Cửa sổ DNS Server

Bước 2: Tạo zone phân giải nghịch

Right-click trên “reverse Lookup Zone” chọn new zone

Hình 2.18 Cửa sổ tạo zone phân giải nghịch

Bước 3: Chọn lựa kiểu zone mới

Chọn Primary zone để tạo 1 zone chính, sau đó click Next tiếp tục

Hình 2.19 Cửa sổ Zone type

Bước4: Nhập Subnet cho DNS sẽ phân giải Điền Subnet mà DNS sẽ phân giải

Hình 2.20 Cửa sổ Reverse lookup zone name

Bước 5: Chọn hình thức tạo NDS server phân giải nghịch

Tạo mới hoặc sử dụng lại 1 zone file có sẵn phân giải nghịch

Hình 2.21 Cửa sổ zone file phân giải nghịch

Bước 6: Chọn hình thức cập nhật

Chọn chế update tự động

Hình 2.22 Cửa sổ Dynamic Update

Bước 7: Tạo 1 PTR phân giải nghịch

Right-click vào chỗ trống trên zone phân giải nghịch(Reverse Lookup Zones) và chọn tạo mới 1 PTR mà muốn phân giải nghịch

Hình 2.23 Cửa sổ Tạo record A phân giải nghịch

Bước 8: Cập nhập PTR cho tên server DNS click vào Browser để trỏ đến record A mà bạn cần phân giải nghịch

Hình 2.24 Cửa sổ New resoure record

Bước 9: Chọn record A của Web server

Hình 2.25 Cửa sổ Chọn host phân giải nghịch

Bước 10: Xác nhận hoàn thành phân giải nghịch

Hình 2.25 Cửa sổ hoàn thành phân giải nghịch

Bước 11: Kiểm tra kết quả trong zone phân giải nghich

Trong zone phân giải nghich đã có 2 PTR của DNS và web server

Hình 2.26 Cửa sổ tạo zone phân giải nghich

Bước 12: Kiểm tra kết quả phân giải nghịch trên máy client

Qua máy client và tiến hành nslookup xem DNS đã thực hiện phân giải nghich

Hình 2.27 Cửa sổ kiểm tra trên client

1 Cài đặt dịch vụ DNS

2 Cấu hình dịch vụ DNS

Bài tập 1 xem chi tiết tại mục 8.1

Bài tập 2 xem chi tiết tại mục 8.2

-Thiết lập địa chỉ IP cho đúng với hệ thống yêu cầu

-Mạng trong hệ thống phải thông nhau

-Địa chỉ Preferred DNS của các máy trên hệ thống là địa chỉ của máy DNS server

-Phải có tên miền để thiết lập DNS Server

-Thiết lập được SOA phù hợp hệ thống

-Tạo Host phải dúng theo yêu cầu (A: dùng cho IPv4 và AAA: dùng cho IPv6)

-Thao tác phải đúng các bước cài đặt và cấu hình DNS Server trên Windows server 2019

Hãy cài đặt cấu hình DNS server trên Windows Server 2019 theo mô hình sau:

 Trình bày được Cơ chế phân giải tên của DNS trong Windows Server

 Trình bày được các bước cài đặt và cấu hình DNS trong Windows Server 2019

 Thao tác thành thạo việc cài đặt và cấu hình DNS trên Windows Server 2019

 Thực hiện đúng phân giải thuận: Tạo zone, tạo các Records sao cho client truy cập vào cdnct.com và www.cdnct.com trên Windows Server 2019

 Thực hiện phân giải nghịch: Sao cho client sử dụng nslookup các IP của web server, DNS thì biết tên của các server này

 Về kỹ năng: Đánh giá kỹ năng thực hành về các thao tác cài đặt và cấu hình NDS theo yêu cầu trên Windows Server 2019

DỊCH VỤ THƯ MỤC (ACTIVE DIRECTORY)

Active Directory

- Trình bày được cấu trúc của Active Directory trên windows server

Active Directory (AD) là dịch vụ thư mục quản lý thông tin về tài nguyên mạng, giúp quản lý hiệu quả nhờ khả năng mở rộng và tự điều chỉnh Bài viết này sẽ cung cấp cái nhìn tổng quan về Active Directory và khảo sát các thành phần của dịch vụ này.

Active Directory (AD) encompasses various components, including user data, printers, servers, databases, user groups, computers, and security policies.

Ngoài ra một khái niệm mới được sử dụng là container (tạm dịch là tập đối tượng)

Ví dụ Domain là một tập đối tượng chứa thông tin người dùng, thông tin các máy trên mạng, và chứa các đối tượng khác

1.2 Chức năng của Active Directory

- Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính

- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc

Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng)

Duy trì một bảng hướng dẫn hoặc bảng chỉ mục là cần thiết để giúp các máy tính trong mạng tìm kiếm nhanh chóng các tài nguyên trên các máy tính khác trong khu vực.

Chúng ta có khả năng tạo ra các tài khoản người dùng với các mức độ quyền khác nhau, bao gồm quyền toàn quyền trên hệ thống mạng, quyền sao lưu dữ liệu, và quyền tắt máy chủ từ xa.

Chúng ta có thể chia nhỏ miền thành các miền con (subdomain) hoặc các đơn vị tổ chức (OU), từ đó ủy quyền cho các quản trị viên bộ phận để quản lý từng phần riêng biệt.

Dịch vụ danh bạ (Directory Services) là hệ thống thông tin được lưu trữ trong NTDS.DIT, cùng với các chương trình quản lý và khai thác dữ liệu Đây là dịch vụ cơ sở thiết yếu cho việc xây dựng hệ thống Active Directory, mang lại nhiều tính năng vượt trội từ Microsoft.

1.3.2 Các thành phần trong Directory Services Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh bạ là gì? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số điện thoại Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc a Object (đối tượng)

Trong hệ thống cơ sở dữ liệu, các đối tượng như máy in, người dùng mạng, server, máy trạm, thư mục dùng chung và dịch vụ mạng là những thành phần quan trọng Các đối tượng này đóng vai trò là yếu tố cơ bản nhất trong dịch vụ danh bạ.

Một thuộc tính là yếu tố mô tả một đối tượng, ví dụ như mật khẩu và tên là thuộc tính của người dùng mạng Mỗi đối tượng có danh sách thuộc tính riêng, nhưng cũng có thể chia sẻ một số thuộc tính giống nhau, như máy in và máy trạm đều có thuộc tính địa chỉ IP Cấu trúc tổ chức của các thuộc tính này được gọi là schema.

Schema là một cấu trúc định nghĩa danh sách các thuộc tính để mô tả một loại đối tượng cụ thể, chẳng hạn như máy in, với các thuộc tính như tên, loại PDL và tốc độ Danh sách này tạo thành schema cho lớp đối tượng "máy in" Một đặc điểm quan trọng của schema là tính tuỳ biến, cho phép sửa đổi các thuộc tính định nghĩa lớp đối tượng Tóm lại, schema có thể được xem như một danh bạ của các danh bạ khác.

Active Directory d Container (vật chứa)

Vật chứa trong Active Directory tương tự như thư mục trong Windows, cho phép lưu trữ các đối tượng và vật chứa khác Mặc dù vật chứa không đại diện cho một thực thể cụ thể như đối tượng, nhưng nó vẫn có các thuộc tính riêng.

Có ba loại vật chứa là:

- Domain: khái niệm này được trình bày chi tiết ở phần sau

Một site là một vị trí cụ thể, được sử dụng để phân biệt giữa các vị trí cục bộ và xa xôi Ví dụ, công ty XYZ có tổng hành dinh tại San Francisco, một chi nhánh ở Denver và một văn phòng đại diện tại Portland, tất cả đều kết nối với tổng hành dinh qua mạng Dialup Như vậy, hệ thống mạng này bao gồm ba site khác nhau.

OU (Organizational Unit) là một loại vật chứa cho phép bạn tổ chức người dùng, nhóm, máy tính và các OU khác trong cùng một domain Một OU không thể chứa các đối tượng từ domain khác, giúp bạn xây dựng mô hình thứ bậc để phản ánh cấu trúc tổ chức Việc sử dụng OU giúp giảm thiểu số lượng domain cần thiết trong hệ thống, từ đó tối ưu hóa quản lý và bảo mật.

Dịch vụ Global Catalog cho phép xác định vị trí của các đối tượng mà người dùng có quyền truy cập Khả năng tìm kiếm của dịch vụ này vượt xa những gì có trong Windows NT, cho phép người dùng không chỉ định vị đối tượng qua tên mà còn qua các thuộc tính của chúng.

Khi cần in 1000 bản tài liệu dày 50 trang, việc sử dụng máy in HP Laserjet 4L là không hợp lý Thay vào đó, bạn nên tìm một máy in chuyên dụng có tốc độ in 100 trang/phút và khả năng đóng tài liệu thành quyển để đảm bảo hiệu quả và tiết kiệm thời gian.

Các thành phần của AD

- Trình bày được các thành phần của Active Directory

Gồm các thành phần: domains (vùng), organization units (đơn vị tổ chức), trees (hệ vùng phân cấp) và forests (tập hợp hệ vùng phân cấp)

Hình 3.1 Cấu trúc AD logic 2.1.1 Organizational Units

Đơn vị Tổ chức (OU) là thành phần nhỏ nhất trong hệ thống Active Directory (AD), đóng vai trò như một vật chứa các đối tượng (Object) nhằm sắp xếp và quản lý các đối tượng khác nhau OU được thiết lập dựa trên subnet, giúp tối ưu hóa quy trình quản trị.

IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau” Việc sử dụng

OU có hai công dụng chính sau:

Trao quyền kiểm soát cho một nhóm người hoặc phụ tá quản trị viên đối với một tập hợp tài khoản người dùng, máy tính, hoặc thiết bị mạng giúp giảm bớt gánh nặng quản trị cho người quản trị chính của hệ thống.

Kiểm soát và hạn chế một số chức năng trên máy trạm của người dùng trong OU có thể thực hiện thông qua việc sử dụng các đối tượng chính sách nhóm (GPO) Chúng ta sẽ khám phá chi tiết về các chính sách nhóm này trong các chương tiếp theo.

Domain là đơn vị chức năng chính trong cấu trúc logic Active Directory, giúp quản lý một tập hợp người dùng, máy tính và tài nguyên chia sẻ với các quy tắc bảo mật giống nhau Điều này tạo điều kiện thuận lợi cho việc quản lý truy cập vào các Server Domain thực hiện ba chức năng chính: định nghĩa quản trị cho các đối tượng chia sẻ, cung cấp một cơ sở dữ liệu thư mục chung và thiết lập các chính sách bảo mật cũng như quan hệ ủy quyền với các domain khác.

- Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ

Chúng tôi cung cấp các máy chủ dự phòng hoạt động như bộ điều khiển miền (domain controller), đảm bảo rằng thông tin trên các máy chủ này được đồng bộ hóa một cách hiệu quả.

Cấu trúc Domain Tree bao gồm nhiều domain được sắp xếp theo hình cây, với domain root nằm ở gốc và các domain con (child domain) nằm bên dưới Mỗi domain con phải có tên khác biệt, và khi có một domain root cùng ít nhất một domain con, một cây domain sẽ được hình thành Khái niệm này thường xuất hiện trong các dịch vụ thư mục, với cấu trúc giống như một cây khi có nhiều nhánh.

Rừng (Forest) là tập hợp các Domain Tree có mối quan hệ và ủy quyền lẫn nhau, thường được xây dựng khi một công ty mua lại công ty khác Ví dụ, khi Microsoft thu mua một công ty, cả hai hệ thống Domain Tree riêng biệt sẽ được hợp nhất để dễ dàng quản lý thông qua khái niệm rừng.

Trong ví dụ trên, công ty mcmcse.com thu mua được techtutorials.com và xyzabc.com và hình thành rừng từ gốc mcmcse.com

2.2 Cấu trúc AD vật lý

Gồm: sites và domain controllers

Địa bàn (site) là tập hợp các mạng con được kết nối, tạo điều kiện thuận lợi cho việc truyền thông qua mạng và xác định ranh giới vật lý xung quanh các tài nguyên mạng.

Điều khiển vùng (domain controllers) là máy tính chạy Windows Server, lưu trữ bản sao dữ liệu của vùng Một vùng có thể có nhiều điều khiển vùng, và mọi thay đổi dữ liệu trên một điều khiển vùng sẽ tự động được cập nhật lên các điều khiển vùng khác trong cùng một vùng.

Cài đặ t và c ấ u hình active directory

- Cài đặt và cấu hình được máy điều khiển vùng

- Gia nhập máy trạm vào máy điều khiển vùng (join domain)

3.1 Nâng cấp Server thành Domain Controller(DC)

Bước 1: Đăng nhập vào server bạn muốn cài đặt Active Directory

Hình 3.4 Đăng nhập Server manager

Bước 2: Mở Add roles and Features

Nhấp vào Manage và chọn Add roles and Features

Hình 3.5 Mở Add roles and Features

Bước 3: Thực hiện theo wizard next

Chọn Role-based or feature-based installation Sau đó nhấp vào Next

Hình 3.6 Cửa sổ Before you begin

Bước 4: Chọn loại hình cài đặt

Chọn Role-based or feature-based installation Sau đó nhấp vào Next

Hình 3 7 Cửa sổ Select installation type

Bước 5: Chọn Server mặc định

Chọn Select a Server from pool để mặc định đang chọn server ví dụ NVPSRVDC02

Hình 3.8 Cửa sổ Select a Server from pool

Bước 6: Chọn cách thức cài đặt

Chọn Active Directory Domain Services, Next để tiếp

Hình 3.9 Cửa sổ Select server roles

Bước 7: Chọn cách thức cài đặt cho AD

Tại Select Features-> để mặc định chọn next

Hình 3.10 Cửa sổ Select Features

Bước 8: Chấp nhận thông tin về AD DS Đọc thông tin được cung cấp về AD DS Sau đó nhấp vào Next

Hình 3.11 Cửa sổ về AD DS

Bước 9: Chọn Install đểcài đặt

Hình 3.12 Cửa sổ cài đặt bắt đầu

Bước 10: Chờ server tự động cài đặt ADDS

Hình 3.13 Cửa sổ Installtion progress

Bước 11: Tiến hành cài Domain Controler o Cách 1: Chọn -> Promote This Server to a Domain Controller theo hình 3.14

Hình 3.14 Cửa sổ chọn Promote This Server to a Domain Controller

- Cách 2: Chọn -> Promote This Server to a Domain Controller từ Server

Hình 3.15 Cửa sổcài đặt từ Server Manager

- Cách 3 Chọn start-> run->dcpromo.exe

- Ở mục Deployment configuration chọn add a new forest

- Nhập tên Domain Controller vào Root domain name

Hình 3.16 Cửa sổ Deployment configuation

Bước 13: Chọn dòng Windows server và đặt Password nâng cấp Domain Ở mục domain controller option nhập password để khi AD lỗi có thể truy cập chế độ restore DSRM

Bước 14: Ở mục DNS Option, Additional option chúng ta ấn next và chọn install để tiến hành nâng cấp lên Domain controller

Bước 15: Chờ validate NetBios domain name

Hình 3.19 Cửa sổ Additional option

Bước 16: Để mặc định lưu trữ file

Bước 17: Click vào Install để nâng cấp lên Domain

Hình 3.21 Cửa sổ Prerequisites check

Bước 18: Sau khi cài đặt xong máy sẽ tự động restart, khi đó lúc đăng nhập vào nó sẽ hiển thị là MAITANLOC\administrator thay vì chỉ administrator

Hình 3.22 Cửa sổ hoàn thành nâng cấp Domani

Hình 3.23 Cửa sổ đăng nhập có Domain

3.2 Gia nhập máy trạm vào Domain Đầu tiên cấu hình lại địa chỉ IP Ở phần DNS, nhập địa chỉ IP của domain controller ví dụ: 172.16.70.223

Hình 3.24 Cửa sổđặt IP cho Client

Bước 2: Ping kiểm tra Client và DC có thông nhau không

Hình 3.25 Cửa sổ kiểm tra thông nhau 2 máy

Bước 3: Chuột phải vào This PC -> Properties

Bước 4: Click Change settings -> Change

Hình 3.27 Cửa sổ System Properties

Bước 5: Nhập tên domain vào Domain của mục Member of và click OK

Hình 3.28 Cửa sổ gia nhâp Domain

Bước 6: Nhập mật khẩu user Administrator quản lý domain controller và click OK

Hình 3.29 Cửa sổ xác nhận Password cho Administrator

Bước 7: Thông báo sau khi thực hiện thành công

Hình 3.30 Cửa sổ gia nhập Domain thành công

Bước 8: Sau khi reboot, máy client đã nhận domain thành công

Hình 3.30 Cửa sổ đăng nhập Domain thành công Lưu ý:

 Khi đăng nhập vào máy client Nếu ta nhập thông tin mật khẩu cũ thì ta chỉ đăng nhập vào máy tính đó

 Để đăng nhập vào domain Ta cần có thông tin tài khoản do người quản trị domain controller cung cấp Ví dụ đăng nhập bằng user tech1@cdnct.com

Chỉ có tài khoản của người quản trị domain controller mới có quyền thay đổi cấu hình hệ thống, trong khi các người dùng khác không có khả năng này trừ khi được phân quyền quản trị viên.

 Nếu muốn join một server chạy Windows Server vào domain, ta thực hiện các bước tương tự như trên

1 Cài đặt và cấu hình Active Directory (AD) trên Windows server 2019

2 Gia nhập máy trạm vào Domain controller

-Bài tập 1 làm theo mục 3.1 của giáo trình

-Bài tập 2 làm từng bước theo mục 3.2 của giáo trình

- Thiết lập địa chỉ IP cho đúng với hệ thống yêu cầu

- Mạng trong hệ thống phải thông nhau

- Đổi tên máy chủ cho phù hợp trước khi lên Domain controller

- Địa chỉ Preferred DNS của các máy trên hệ thống là địa chỉ của máy chủ

- Phải đăng nhập đúng user Administrator trước khi cài đặt Domain controller

- Tên miền phải đúng qui cách và thể hiện được tổ chức lên DC

- Thiết lập password phù hợp hệ thống và lưu lại để sau này còn sao lưu và phục hồi hệ thống khi cần thiết

- Chọn cho đúng phiên bản hệ điều hành đang sử dụng.

- Đổi tên máy Client trước khi gia nhập DC

- Tắt tường lửa cho máy DC và Client trên hệ thống

- Thao tác phải đúng các bước cài đặt, cấu hình và gia nhập DC trên Windows server 2019

Bài tập 1: Hãy cài đặt và cấu hình Domain controller + DNS server trên

Windows Server 2019 theo mô hình sau:

Bài tập 2: Hãy Cấu hình Additional Domain Controller trên Windows Server

 Trình bày được Chức năng của Active Directory trong Windows Server

 Trình bày được các bước cài đặt và gia nhập vào Domain controller trên Windows Server 2019

 Thao tác thành thạo việc cài đặt và cấu hình Active Directory trên Windows Server 2019

 Thao tác thành thạo việc Nâng cấp Server thành Domain Controller trên Windows Server 2019

 Thực hiện đúng Gia nhập máy trạm vào Domain

 Thực hiện đúng Additional Domain Controller trên hệ thống

 Đánh giá kỹ năng thực hành về các thao tác cài đặt Domain controller theo yêu cầu trên Windows Server 2019

 Đánh giá kỹ năng thực hành về các thao tác cài đặt Additional Domain controller theo yêu cầu trên Windows Server 2019

QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM

Định nghĩa tài khoản người dùng và tài khoản nhóm

- Nêu được định nghĩa tài khoản người dùng, tài khoản nhóm

Tài khoản người dùng là yếu tố quan trọng đại diện cho người dùng trên mạng, được phân biệt qua chuỗi nhận dạng username Chuỗi này cho phép hệ thống mạng phân biệt các người dùng khác nhau, giúp họ đăng nhập và truy cập các tài nguyên mạng mà mình được phép.

1.1.1 Tài khoản người dùng cục bộ

Tài khoản người dùng cục bộ là tài khoản được định nghĩa trên máy tính cục bộ, cho phép người dùng chỉ có thể đăng nhập và truy cập tài nguyên trên máy tính đó Để truy cập tài nguyên trên mạng, người dùng cần xác thực lại với máy chủ domain controller hoặc máy tính chứa tài nguyên chia sẻ Bạn có thể tạo tài khoản người dùng cục bộ thông qua công cụ Local Users and Group trong Computer Management (COMPMGMT.MSC) Các tài khoản cục bộ được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager) trên máy chủ độc lập, máy chủ thành viên hoặc máy trạm, và tập tin SAM này nằm trong thư mục \Windows\system32\config.

Hình 4.1 Người dùng cục bộ 1.1.2 Tài khoản người dùng miền

Tài khoản người dùng miền là một loại tài khoản được thiết lập trong Active Directory, cho phép người dùng đăng nhập vào mạng và truy cập các tài nguyên mạng Để tạo tài khoản người dùng miền, bạn sử dụng công cụ Active Directory Users and Computers (DSA.MSC) Khác với tài khoản người dùng cục bộ, tài khoản miền không được lưu trữ trong các tập tin cơ sở dữ liệu cục bộ.

SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS

1.1.3 Yêu cầu về tài khoản người dùng

Mỗi username cần có độ dài từ 1 đến 20 ký tự Trên Windows Server, tên đăng nhập có thể dài tới 104 ký tự, nhưng khi đăng nhập từ các máy sử dụng hệ điều hành Windows NT 4.0 trở về trước, hệ thống chỉ nhận diện tối đa 20 ký tự.

- Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau

- Username không chứa các ký tự sau: “ / \ [ ]: ; | =, + * ? < >

Trong một username, có thể sử dụng các ký tự đặc biệt như dấu chấm câu, khoảng trắng, dấu gạch ngang và dấu gạch dưới Tuy nhiên, nên hạn chế sử dụng khoảng trắng vì các tên chứa khoảng trắng cần được đặt trong dấu ngoặc khi sử dụng trong các kịch bản hoặc dòng lệnh.

Tài khoản nhóm là công cụ quản lý chung cho một nhóm người, giúp phân bổ người dùng và cấp quyền truy cập vào các tài nguyên mạng như thư mục chia sẻ và máy in Trong khi tài khoản người dùng có thể đăng nhập vào mạng, tài khoản nhóm chỉ được sử dụng để quản lý và không có quyền đăng nhập Có hai loại tài khoản nhóm: nhóm bảo mật và nhóm phân phối.

Nhóm bảo mật là công cụ quan trọng trong việc cấp phát quyền hệ thống và quyền truy cập Mỗi nhóm bảo mật, tương tự như tài khoản người dùng, đều được chỉ định một SID duy nhất Có bốn loại nhóm bảo mật chính: local, domain local, global và universal, mỗi loại phục vụ các mục đích khác nhau trong quản lý quyền truy cập.

Nhóm cục bộ là loại nhóm tồn tại trên các máy chủ độc lập (stand-alone server) và máy chủ thành viên (member server) Các nhóm này chỉ có ý nghĩa và phạm vi hoạt động giới hạn trong chính máy chủ mà chúng được tạo ra.

A domain local group is a special type of local group that exists on a Domain Controller These Domain Controllers share a common Active Directory database that is synchronized among them, meaning a local group created on one Domain Controller will also be present on its sibling Domain Controllers Since these local groups are available across the domain, they are referred to as domain local groups Additionally, the groups found in the Built-in section of Active Directory are classified as domain local groups.

Nhóm toàn cục (global group) trong Active Directory được tạo ra trên các Domain Controller, cho phép cấp phát quyền hệ thống và quyền truy cập vượt qua ranh giới miền Các nhóm toàn cục có thể được đưa vào nhóm local của các server thành viên trong miền Tuy nhiên, việc tạo nhiều nhóm toàn cục có thể làm tăng tải trọng công việc của Global Catalog.

Nhóm phổ quát (Universal group) hoạt động tương tự như nhóm toàn cầu (global group) nhưng có khả năng cấp quyền cho các đối tượng trên toàn bộ các miền trong một rừng, đồng thời duy trì quan hệ tin cậy giữa các miền Loại nhóm này mang lại sự tiện lợi hơn so với nhóm toàn cầu và nhóm cục bộ (local group) nhờ khả năng dễ dàng lồng ghép các nhóm với nhau.

Nhóm phân phối là loại nhóm phi bảo mật, không có SID và không xuất hiện trong danh sách kiểm soát truy cập (ACL) Nhóm này không được các quản trị viên sử dụng mà chủ yếu phục vụ cho phần mềm và dịch vụ, đặc biệt trong việc phân phối thư điện tử (e-mail) và tin nhắn Bạn sẽ thường gặp nhóm phân phối khi làm việc với phần mềm MS Exchange.

1.2.3 Qui tắc gia nhập nhóm

- Tất cả các nhóm Domain local, Global, Universal đều có thểđặt vào trong nhóm Machine Local

- Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong chính loại nhóm của mình

- Nhóm Global và Universal có thể đặt vào trong nhóm Domain local.

Các tài khoản tạo sẵn

- Trình bày được các tài khoản tạo sẵn

2.1 Tài khoản người dùng tạo sẵn

Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản được tự động tạo ra khi cài đặt Windows Server và không thể bị xóa, nhưng có thể đổi tên Việc đổi tên các tài khoản hệ thống này phức tạp hơn so với tài khoản thông thường do nhà quản trị tạo Tất cả các tài khoản này nằm trong Container Users của công cụ Active Directory User and Computer Dưới đây là bảng mô tả chi tiết các tài khoản người dùng tạo sẵn.

Tên tài khoản Mô tả

Tài khoản Administrator là một tài khoản đặc biệt với quyền truy cập toàn diện trên máy tính Trong quá trình cài đặt Windows Server, bạn có thể thiết lập mật khẩu cho tài khoản này Tài khoản Administrator có khả năng thực hiện nhiều tác vụ quan trọng, bao gồm việc tạo tài khoản người dùng, quản lý nhóm, điều chỉnh các tập tin hệ thống và cấu hình máy in.

Tài khoản Guest cho phép người dùng truy cập máy tính mà không cần tài khoản và mật khẩu riêng Mặc định, tài khoản này không được kích hoạt, và khi được sử dụng, quyền truy cập thường bị hạn chế, chẳng hạn như chỉ cho phép truy cập Internet hoặc in ấn.

Tài khoản ILS là một loại tài khoản đặc biệt dành cho dịch vụ hỗ trợ các ứng dụng điện thoại với nhiều tính năng như caller ID, video conferencing, conference calling và faxing Để sử dụng ILS, người dùng cần cài đặt dịch vụ IIS.

Là tài khoản đặc biệt được dùng trong các truy cập giấu tên trong dịch vụ IIS trên máy tính có cài IIS

Là tài khoản đặc biệt được dùng cho IIS khởi động các tiến trình của các ứng dụng trên máy có cài IIS

Là tài khoản đặc biệt được dùng cho dịch vụ trung tâm phân phối khóa (Key Distribution Center)

TSInternetUser Là tài khoản đặc biệt được dùng cho Terminal Services

2.2 Tài khoản nhóm Domain Local tạo sẵn

Trong công cụ Active Directory Users and Computers, container Users chứa các nhóm universal, domain local và global theo quy định mặc định của hệ thống Đặc biệt, một số nhóm domain local được đặt trong container Built-in, không thể di chuyển sang các OU khác và được gán quyền cố định để hỗ trợ công tác quản trị Lưu ý rằng không có quyền xóa các nhóm đặc biệt này.

Nhóm này được mặc định cấp toàn quyền cho các thành viên, cho phép họ có quyền kiểm soát hoàn toàn trên hệ thống mạng Trong số đó, nhóm Domain Admins và Enterprise Admins là những thành viên mặc định của nhóm Administrators.

Thành viên trong nhóm này có quyền thêm, xóa và sửa đổi tài khoản người dùng, tài khoản máy và tài khoản nhóm Tuy nhiên, họ không được phép xóa hoặc sửa các nhóm trong container Built-in và Organizational Unit (OU).

Nhóm này tồn tại độc quyền trên các Domain Controller và mặc định không có thành viên nào Các thành viên trong nhóm có quyền đăng nhập cục bộ vào các Domain Controller, nhưng không được phép quản trị các chính sách bảo mật.

Thành viên của nhóm này có quyền lưu trữ dự phòng và phục hồi hệ thống tập tin Nếu hệ thống tập tin là NTFS và họ không được gán quyền, họ chỉ có thể truy cập thông qua công cụ Backup Để truy cập trực tiếp, họ cần được cấp quyền tương ứng.

Nhóm người dùng vãng lai, được gọi là Guest, bị hạn chế quyền truy cập vào các tài nguyên mạng Mặc định, các tài khoản Guest sẽ bị khóa, và họ không phải là thành viên chính thức của mạng.

Thành viên của nhóm này có quyền tạo ra, quản lý và xóa bỏ các đối tượng máy in dùng chung trong Active Directory

Các thành viên trong nhóm có khả năng quản lý các máy chủ trong miền, bao gồm các nhiệm vụ như cài đặt, quản lý máy in, tạo và quản lý thư mục dùng chung, sao lưu dữ liệu, định dạng đĩa và thay đổi giờ.

Mặc định mọi người dùng được tạo đều thuộc nhóm này, nhóm này có quyền tối thiểu của một người dùng nên việc truy cập rất hạn chế

Nhóm này được dùng để hỗ trợ việc sao chép danh bạ trong

Directory Services, nhóm này không có thành viên mặc định

Thành viên nhóm này có thể tạo ra các quan hệ tin cậy hướng đến, một chiều vào các rừng Nhóm này không có thành viên mặc định

Thành viên nhóm này có quyền sửa đổi các thông số TCP/IP trên các máy Domain Controller trong miền

Thành viên nhóm này có thể đăng nhập từ xa vào các Domain

Controller trong miền, nhóm này không có thành viên mặc định

Các thành viên trong nhóm này có quyền truy cập từ xa để ghi nhận hiệu suất của các máy Domain Controller, và nhóm này không có thành viên mặc định.

Thành viên nhóm này có khả năng giám sát từ xa các máy

Ngoài nhóm Domain Computers và Domain Controllers, còn có các nhóm khác như DHCP Users, DHCP Administrators và DNS Administrators, phục vụ cho các dịch vụ mạng Trong giáo trình "Dịch Vụ Mạng", chúng ta sẽ tìm hiểu chi tiết về từng dịch vụ này Lưu ý rằng mặc định, hai nhóm Domain Computers và Domain Controllers được dành riêng cho tài khoản máy tính, nhưng vẫn cho phép thêm tài khoản người dùng vào các nhóm này.

2.3 Tài khoản nhóm Global tạo sẵn

Các thành viên trong nhóm Domain Admins có quyền quản trị đầy đủ các máy tính trong miền Khi gia nhập miền, các máy chủ thành viên và máy trạm (Win2K Pro, WinXP) tự động thêm nhóm Domain Admins vào nhóm cục bộ Administrators, cho phép quản lý và kiểm soát hiệu quả.

Mọi tài khoản người dùng trên miền đều tự động trở thành thành viên của nhóm mặc định này Nhóm này cũng là thành viên của nhóm cục bộ Users trên các máy chủ thành viên và máy trạm.

Thành viên nhóm này có quyền sửa đổi chính sách nhóm của miền, theo mặc định tài khoản administrator miền là thành viên của nhóm này

Quản lý tài khoản người dùng và nhóm cục bộ

- Sử dụng được các công cụ tạo và quản trị tài khoản người dùng và nhóm cục bộ

Khi người dùng được tạo ra, họ sẽ tự động trở thành thành viên của một nhóm Nhóm này là một đối tượng trong hệ thống, được sử dụng để lưu trữ thông tin quản lý tài khoản người dùng hoặc tài khoản nhóm khác.

Chức năng của Group trong Windows giúp quản lý và phân quyền cho một nhóm người dùng có cùng mục đích, thay vì phân quyền cho từng người dùng riêng lẻ, giúp tiết kiệm thời gian Windows cung cấp các Group mặc định dựa trên các chức năng khác nhau, với hai nhóm mặc định chính.

 Nhóm 1: có chức năng quản lý hệ thống, vd: group Administrators

(tạo user, chỉnh giờ, tắt máy v.v)

 Nhóm 2: nhóm được phép truy cập, sử dụng tài nguyên, vd: group

Bướ c 1: Mở cửa sổ tạo user

Cách 1: Start > Run: lusrmgr.msc

Hình 4.3 Cửa sổ lusrmgr.msc Cách 2: Vào Server manager

Chọn Group khung bên trái, sau đó Right click -> “Group” để tiến hành tạo

Hình 4.4 Cửa sổ New Group

Bước 3: Nhập thông tin cho Group ử ổ ạ

3.2 Các thao tác cơ bản trên tài khoản người dùng cục bộ

Cách 1: Start > Run: lusrmgr.msc

Hình 4.7 Cửa sổ lusrmgr.msc Cách 2: Vào Server manager

Chọn User, sau đó Right click -> “New User” để tiến hành tạo User mới

Hình 4.9 Cửa sổ New user

Bước 3: Nhập thông tin cho User

 Username: tên định danh cho tài khoản User, không phân biệt chữ hoa chữ thường

 Password: thông tin mật khẩu sử dụng để đăng nhập tài khoản User

Password của các tài khoản sẽ được lưu trong file SAM với đường dẫn:

Người dùng cần thay đổi mật khẩu khi đăng nhập lần tiếp theo Sau khi đổi mật khẩu, thuộc tính này sẽ không còn được đánh dấu Điều này giúp người dùng tự đặt mật khẩu khi mới tạo tài khoản Nếu phát hiện tài khoản có dấu hiệu bị dò mật khẩu, người dùng sẽ được yêu cầu đổi mật khẩu, hoặc có thể tự thực hiện bằng cách nhấn Ctrl + Alt + Del.

 User cannot change password: người dùng không thểđổi password Dùng tính năng này khi có các tài khoản dùng chung cho nhiều người

Mật khẩu không bao giờ hết hạn là một tính năng quan trọng giúp người dùng duy trì quyền truy cập liên tục vào hệ thống mà không cần phải thay đổi mật khẩu sau mỗi 42 ngày Nếu không được kiểm tra, mật khẩu người dùng sẽ tự động hết hạn sau 42 ngày, yêu cầu người dùng phải đổi mật khẩu mới Điều này đặc biệt quan trọng đối với các tài khoản được tạo ra để thực hiện các tác vụ như sao lưu dữ liệu; nếu tài khoản không còn hiệu lực, chương trình sao lưu sẽ không thể hoạt động, dẫn đến nguy cơ mất dữ liệu.

Tài khoản bị vô hiệu hóa không thể đăng nhập hoặc truy cập các tài nguyên trên hệ thống Khi có những tài khoản không còn sử dụng, thay vì xóa bỏ, chúng ta nên chọn cách vô hiệu hóa để bảo tồn thông tin.

Hình 4.10 Cửa sổ tạo user

Bước 4: Xác nhận User vừa tạo

Hình 4.11 Cửa sổ quản lý user 3.2.2 Xóa tài kho ả n

Bước 1: Mở cửa sổ quản lý User

Hình 4.12 Cửa sổ quản lý User

Bước 2: Chọn User cần xóa, nhấn phím Delete hoặc Right click lên User cần xóa, Chọn Yes để xóa

Hình 4.13 Cửa sổ xóa User

Khi bạn chọn xóa, hệ thống sẽ hiển thị hộp thoại xác nhận để đảm bảo bạn không xóa nhầm Lưu ý rằng sau khi xóa, tài khoản người dùng sẽ không thể phục hồi.

Khi một tài khoản không sử dụng lâu dài, bạn nên tạm khóa để đảm bảo bảo mật và an toàn cho hệ thống Việc xóa tài khoản sẽ không thể khôi phục, vì vậy khóa tài khoản là giải pháp an toàn hơn Để thực hiện, trong công cụ Local Users and Groups, hãy nhấp đúp vào người dùng cần khóa để mở hộp thoại Properties của tài khoản.

Trong Tab General, đánh dấu vào mục Account is disabled

Hình 4.14 Cửa sổ khóa User

Bạn có thể dễ dàng đổi tên tài khoản người dùng và điều chỉnh thông tin tài khoản thông qua công cụ Local Users and Groups Ưu điểm của chức năng này là khi thay đổi tên người dùng, SID của tài khoản vẫn giữ nguyên Để thực hiện, hãy chọn tài khoản cần đổi tên, nhấp chuột phải và chọn Rename.

Hình 4.15 Cửa sổ khóa User

To change a user's password, open the Local Users and Groups tool, select the user account that requires a password update, right-click on it, and choose "Reset Password." Then, click "Proceed" and enter the new password.

Hình 4.16 Cửa sổ Set pasword cho User

Quản lý tài khoản người dùng và nhóm trên active directory

- Sử dụng được các công cụ tạo và quản trị tài khoản người dùng và nhóm cục bộ

4.1 Tạo mới tài khoản người dùng

Cách 1: Start > Administrative Tools-> Active Directory User and Computers

Hình 4.17 Cửa sổ Administrative Tools Cách 2: Vào Server manager

Chọn nơi chứa User, sau đó Right click -> “New User” để tiến hành tạo User mới

Hình 4.19 Cửa sổ New user

Bước 3: Nhập thông tin cho User

Hình 4.20 Cửa sổ tạo user

Bước 4: Xác nhận mật khẩu cho User vừa tạo

Hình 4.21 Cửa sổ nhập mật khẩu

Bước 5: Click vào Finish để hoàn thành tạo User miền

Hình 4.22 Cửa sổ hoàn thành tạo user miền

4.2 Các thuộc tính của tài khoản người dùng

4.2.1 Các thông tin mở r ộ ng của ng ười dùng

Tab General chứa thông tin chung của người dùng mà bạn đã nhập khi tạo tài khoản mới Bạn cũng có thể bổ sung thêm thông tin như số điện thoại, địa chỉ email và liên kết đến trang web cá nhân.

Tab Address cho phép người dùng khai báo thông tin chi tiết về địa chỉ tài khoản, bao gồm đường, thành phố, mã vùng và quốc gia Trong khi đó, Tab Telephones cho phép người dùng nhập các số điện thoại liên quan đến tài khoản của mình.

Tab Organization cho phép bạn khai báo các thông tin người dùng về: chức năng của công ty, tên phòng ban trực thuộc, tên công ty …

Tab Account cho phép người dùng khai báo lại tên đăng nhập, quy định thời gian đăng nhập vào mạng, xác định máy trạm được phép sử dụng để truy cập mạng, thiết lập chính sách tài khoản và quy định thời điểm hết hạn của tài khoản.

Cửa sổ Tab Account cho phép bạn điều chỉnh giờ logon vào mạng Mặc định, tất cả người dùng có quyền truy cập 24/7 Nếu thời gian truy cập không phù hợp, hệ thống sẽ thông báo lỗi "Unable to log you on because of an account restriction" Để thay đổi quy định giờ logon, bạn chọn vùng thời gian cần thay đổi và nhấp vào nút "Logon Permitted" hoặc "Logon Denied" Ví dụ, bạn có thể chỉ cho phép người dùng làm việc từ 7h sáng đến 5h chiều, từ thứ 2 đến thứ 6.

By default, users are not automatically logged off when their login hours expire; however, this setting can be adjusted in the Group Policy under Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options Additionally, users can modify logoff information using either the Domain Security Policy or Local Security Policy, depending on the context.

Khi chọn lựa máy trạm để truy cập vào mạng, bạn nhấp vào nút Log On To để mở hộp thoại Logon Workstations Hộp thoại này cho phép bạn chỉ định người dùng có thể logon từ tất cả các máy tính trong mạng hoặc giới hạn quyền truy cập chỉ từ một số máy tính nhất định Ví dụ, trong môi trường bảo mật, tài khoản quản trị mạng chỉ nên được phép logon từ một số máy để ngăn chặn tình trạng giả mạo Để chỉ định máy tính mà người dùng được phép logon, bạn nhập tên máy tính vào mục Computer Name và nhấp vào nút Add.

Mục cuối cùng trong Tab này quy định thời gian hết hạn của tài khoản người dùng Nếu chọn "Never" trong mục "Account Expires", tài khoản sẽ không bị hết hạn Ngược lại, nếu chọn "End of: ngày tháng hết hạn", tài khoản sẽ bị tạm khóa vào ngày đã chỉ định.

Tab Profile cho phép người dùng thiết lập đường dẫn đến hồ sơ tài khoản hiện tại, chỉ định tệp logon script tự động thực thi khi đăng nhập, và khai báo thư mục chính cho tài khoản.

Hình 4.24 Cửa sổ Tab Profile

User Profiles là thư mục lưu trữ thông tin cá nhân hóa cho từng người dùng trên Windows Server, bao gồm các thiết lập về màn hình Desktop, nội dung menu Start, phối màu sắc, và vị trí các biểu tượng.

Khi người dùng đăng nhập vào mạng, một profile sẽ được tự động tạo ra Nếu đây là lần đầu tiên đăng nhập, người dùng sẽ nhận được một profile chuẩn Một thư mục mang tên người dùng sẽ được tạo trong thư mục Documents and Settings, chứa tập tin ntuser.dat, đóng vai trò như một thư mục con với các liên kết đến biểu tượng nền của người dùng Trong Windows Server, có ba loại profile khác nhau.

Local Profile: là profile của người dùng được lưu trên máy cục bộ và họ tự cấu hình trên profile đó

Roaming Profile là một loại hồ sơ được lưu trữ trên mạng, cho phép quản trị mạng thêm thông tin đường dẫn hồ sơ người dùng vào tài khoản của họ Điều này giúp tự động duy trì một bản sao của tài khoản người dùng trên mạng, đảm bảo tính nhất quán và dễ dàng truy cập thông tin cá nhân từ bất kỳ thiết bị nào.

Profile bắt buộc: Quản trị mạng cần thêm thông tin đường dẫn user profile vào tài khoản người dùng, sau đó sao chép một profile đã được cấu hình sẵn vào đường dẫn này Khi đó, tất cả người dùng sẽ sử dụng chung profile này và không có quyền thay đổi nó.

Kịch bản đăng nhập (logon script) là các tập tin chương trình tự động thực thi khi người dùng đăng nhập vào hệ thống, nhằm cấu hình môi trường làm việc và cung cấp tài nguyên mạng như ổ đĩa và máy in từ Server Bạn có thể sử dụng nhiều ngôn ngữ kịch bản khác nhau để tạo logon script, bao gồm lệnh shell của DOS/NT/Windows, Windows Scripting Host (WSH), VBScript, và Jscript.

Thư mục cá nhân (home folder hay home directory) là không gian lưu trữ riêng cho từng tài khoản người dùng, cho phép họ quản lý tài liệu và tập tin cá nhân Đây cũng là thư mục mặc định khi mở dấu nhắc lệnh Để tạo thư mục cá nhân cho người dùng, trong mục Connect, bạn cần chọn ổ đĩa hiển thị trên máy trạm và xác định đường dẫn mà ổ đĩa này sẽ ánh xạ tới, lưu ý rằng các thư mục dùng chung phải được chia sẻ Ví dụ, thư mục cá nhân cho tài khoản Tuan sẽ được thiết lập theo cách này.

“\\server\tuan”, nhưng bạn có thể thay thế tên tài khoản bằng biến môi trường người dùng như: “\\server\%username%”

Tab Member Of cho phép bạn kiểm tra và cấu hình tài khoản người dùng hiện tại, cho biết tài khoản đó là thành viên của những nhóm nào Một tài khoản có thể tham gia nhiều nhóm khác nhau và sẽ được thừa hưởng quyền hạn từ tất cả các nhóm này Để gia nhập một nhóm mới, bạn chỉ cần nhấp vào nút Add, sau đó hộp thoại chọn nhóm sẽ xuất hiện.

QUẢN LÝ ĐĨA VÀ DỮ LIỆU

Cấu hình hệ thống tâp tin

- Phân biệt được các loại định dạng hệ thống tập tin trên đĩa cứng

Hệ thống tập tin quản lý việc lưu trữ và định vị các tập tin trên đĩa cứng

Windows Server hỗ trợ ba hệ thống tập tin: FAT, FAT32 và NTFS Để tận dụng các tính năng như bảo mật cục bộ, nén và mã hóa tập tin, NTFS là lựa chọn tối ưu Dưới đây là bảng so sánh khả năng của từng hệ thống tập tin.

Khả năng FAT FAT32 NTFS

Hệ điều hành hỗ trợ Hầu hết các hệ điều hành

Hỗ trợ tên tập tin dài 256 ký tự trên

Windows 256 ký tự 256 ký tự

Sửdụng hiệuquả đĩa Không Có Có

Hỗ trợ nén đĩa Không Không Có

Hỗ trợ hạn ngạch Không Không Có

Hỗ trợ mã hoá Không Không Có

Hỗ trợ bảo mật cục bộ Không Không Có

Hỗ trợ bảo mật trên mạng Có Có Có

Kích thước Volume tối đa được hỗ trợ 4GB 32GB 1024GB

Trên Windows Server và Windows NT, bạn có thể sử dụng lệnh CONVERT để chuyển đổi hệ thống tập tin từ FAT hoặc FAT32 sang NTFS Cú pháp lệnh là một phần quan trọng để thực hiện quá trình này một cách hiệu quả.

Cấu hình đĩa lưu trữ

- Phân biệt được các loại đĩa lưu trữ trên windows server.

Trên mỗi ổ đĩa vật lý, có tối đa bốn partition, bao gồm partition primary và partition extended Partition đầu tiên được tạo ra trên đĩa gọi là partition primary, và toàn bộ không gian của partition này được sử dụng hoàn toàn Bạn có thể tạo ba partition primary và một partition extended, trong khi partition extended cho phép bạn tạo ra nhiều partition logical.

2.2 Dynamic storage Đây là một tính năng mới của Windows Server Đĩa lưu trữ dynamic chia thành các volume dynamic Volume dynamic không chứa partition hoặc ổ đĩa logic, và chỉ có thể truy cập bằng Windows Server và Windows Windows Server/ Windows hỗ trợ năm loại volume dynamic: simple, spanned, striped, Mirroreded và RAID-5 Ưu điểm của công nghệ Dynamic storage so với công nghệ Basic storage:

- Cho phép ghép nhiều ổ đĩa vật lý để tạo thành các ổ đĩa logic (Volume)

- Cho phép ghép nhiều vùng trống không liên tục trên nhiều đĩa cứng vật lý để tạo ổ đĩa logic

- Có thể tạo ra các ổ đĩa logic có khả năng dung lỗi cao và tăng tốc độ truy xuất…

Không gian lưu trữ được lấy từ một đĩa động duy nhất, có thể là liên tục hoặc không liên tục Hình ảnh dưới đây minh họa một đĩa vật lý được chia thành hai phân vùng đơn giản.

Volume spanned bao gồm từ một đến 32 đĩa dynamic, cho phép tăng kích thước của volume khi cần thiết Dữ liệu được ghi theo thứ tự từ đĩa này sang đĩa khác, giúp quản trị viên mở rộng dung lượng khi ổ đĩa hiện tại gần đầy Việc bổ sung thêm đĩa giúp duy trì hiệu suất và không gian lưu trữ cho hệ thống.

Hình 5.2 Volume spanned dụng Nhược điểm chính của volume spanned là nếu một đĩa bị hỏng thì toàn bộ dữ liệu trên volume không thể truy xuất được

Lưu trữ dữ liệu lên các dãy bằng nhau trên một hoặc nhiều đĩa vật lý (tối đa 32) cho phép thực hiện nhiều tác vụ I/O đồng thời, từ đó tăng tốc độ truy xuất dữ liệu Người quản trị mạng thường sử dụng volume striped để kết hợp dung lượng của nhiều ổ đĩa vật lý thành một đĩa logic, đồng thời cải thiện hiệu suất truy xuất.

Nhược điểm chính của volume striped là nếu một ổ đĩa bị hỏng thì dữ liệu trên toàn bộ volume mất giá trị

Hai bản sao của một volume đơn giản được tạo ra bằng cách sử dụng một ổ đĩa chính và một ổ đĩa phụ Khi dữ liệu được ghi lên ổ đĩa chính, nó cũng sẽ được ghi đồng thời lên ổ đĩa phụ.

Volume dạng này mang lại khả năng dung lỗi hiệu quả, cho phép ổ đĩa còn lại tiếp tục hoạt động ngay cả khi một đĩa bị hỏng, giúp duy trì quá trình truy xuất dữ liệu mà không bị gián đoạn Tuy nhiên, nhược điểm của phương pháp này là bộ điều khiển đĩa phải ghi dữ liệu lần lượt lên cả hai đĩa, điều này có thể làm giảm hiệu suất tổng thể.

Để cải thiện tốc độ ghi và nâng cao khả năng dung lỗi, bạn có thể áp dụng biến thể của volume Mirroreded gọi là duplexing, yêu cầu sử dụng một bộ điều khiển đĩa riêng cho ổ đĩa thứ hai.

Nhược điểm chính của phương pháp này là chi phí cao Để có một volume 4GB bạn phải tốn đến 8GB cho hai ổ đĩa

RAID-5 tương tự như volume striped nhưng bổ sung thêm thông tin kiểm lỗi parity Khi một ổ đĩa trong volume gặp sự cố, thông tin parity trên các đĩa khác sẽ hỗ trợ phục hồi dữ liệu Volume RAID-5 yêu cầu tối thiểu ba ổ đĩa và có thể mở rộng lên tới 32 ổ đĩa.

Hình 5.6 Volume Volume RAID-5 Ưu điểm chính của kỹ thuật này là khả năng dung lỗi cao và tốc độ truy xuất cao bởi sử dụng nhiều kênh I/O.

Sử dụng chương trình Disk Manager

Mục tiêu: Sử dụng được công cụ Disk Manager để quản lý đĩa cứng

Disk Manager is a graphical interface utility designed for managing disks and volumes in Windows and Windows Server environments To access all the program's features, you must log in with an Administrator account Navigate to Start > Programs > Administrative Tools > Computer Management, then expand the Storage section and select Disk Management The Disk Management window will then appear.

Nhấp phải chuột lên ổ đĩa vật lý muốn biết thông tin và chọn Properties Hộp thoại Disk Properties xuất hiện như sau:

Hộp thoại cung cấp các thông tin:

- Loại đĩa (basic, dynamic, DVD-ROM, DVD, đĩa chuyển dời được, hoặc unknown)

- Trạng thái của đĩa (online hoặc offline)

- Lượng không gian chưa cấp phát

- Loại thiết bị phần cứng

- Nhà sản xuất thiết bị

- Danh sách các volume đã tạo trên đĩa

3.2 Xem thuộc tính của volume hoặcđĩa cục bộ

Trên ổ đĩa dynamic, bạn sử dụng volume, trong khi ổ đĩa basic sử dụng đĩa cục bộ Cả volume và đĩa cục bộ đều có chức năng tương tự nhau Để xem thuộc tính của đĩa cục bộ, bạn chỉ cần nhấp chuột phải vào đĩa đó và chọn Properties, hộp thoại Local Disk Properties sẽ xuất hiện.

Hình 5.9 Local Disk Properties 3.2.1 Tab General

Cung cấp thông tin chi tiết về nhãn đĩa, loại, hệ thống tập tin, dung lượng đã sử dụng, dung lượng còn trống và tổng dung lượng Sử dụng nút Disk Cleanup để mở chương trình dọn dẹp ổ đĩa.

Disk Cleanup dùng để xoá các tập tin không cần thiết, giải phóng không gian đĩa

Nhấn nút "Check Now" để kích hoạt chương trình Check Disk, giúp kiểm tra lỗi khi không thể truy cập đĩa hoặc khi máy khởi động không đúng cách Sử dụng nút "Backup Now" để mở chương trình Backup Wizard, hướng dẫn bạn thực hiện các bước trong chương trình Disk Defragment, giúp dồn các tập tin trên đĩa thành một khối liên tục, từ đó cải thiện hiệu suất truy xuất đĩa.

Liệt kê các ổ đĩa vật lý Windows Server nhận diện được Bên dưới danh sách liệt kê các thuộc tính của ổ đĩađược chọn

Bạn có thể chọn chia sẻ hoặc không chia sẻ ổ đĩa cục bộ Mặc định, tất cả các ổ đĩa cục bộ được chia sẻ dưới dạng ẩn, với dấu $ sau tên chia sẻ.

Hệ thống tập tin NTFS cho phép thiết lập quyền truy cập lên đĩa cục bộ Theo mặc định, nhóm Everyone có toàn quyền truy cập vào thư mục gốc của đĩa.

Chỉ xuất hiện khi sử dụng NTFS Dùng để quy định lượng không gian đĩa cấp phát cho người dùng

Shadow Copies là dịch vụ giúp người dùng truy cập và khôi phục các phiên bản trước của tập tin đã lưu thông qua tính năng Previous Versions trên máy trạm.

Nếu bạn có không gian chưa sử dụng trên đĩa basic, bạn có thể tạo thêm partition mới, trong khi trên đĩa dynamic, bạn có thể tạo volume mới Bài viết này sẽ hướng dẫn bạn cách sử dụng Create Partition Wizard để tạo partition mới.

Nhấp phải chuột lên vùng trống chưa cấp phát của đĩa chọn New simple volume

Xuất hiện hộp thoại Create Partition Wizard Nhấn nút Next trong hộp thoại

Trong hộp thoại "Chọn loại phân vùng", hãy lựa chọn loại phân vùng mà bạn muốn tạo Chỉ những loại phân vùng có khả năng tạo mới, tùy thuộc vào ổ đĩa vật lý của bạn, mới được phép chọn Sau khi đã chọn xong loại phân vùng, nhấn "Tiếp theo" để tiếp tục.

Tiếp theo, hộp thoại Specify Partition Size yêu cầu bạn cho biết dung lượng định cấp phát Sau khi chỉ định xong, nhấn Next

Hình 5.11 Nhập dung lượng đĩa

Trong hộp thoại "Gán Ký Tự Ổ Đĩa hoặc Đường Dẫn", bạn có thể chọn gán ký tự ổ đĩa cho phân vùng, gắn nó vào một thư mục rỗng, hoặc không thực hiện gán gì cả Việc gắn vào một thư mục rỗng cho phép bạn tạo ra nhiều phân vùng mới Sau khi hoàn tất quyết định, hãy nhấn "Tiếp theo" để tiếp tục.

Hộp thoại Format Partition yêu cầu bạn quyết định có định dạng phân vùng hay không Nếu có, bạn cần chọn hệ thống tập tin, kích thước đơn vị cấp phát, và nhãn cho phân vùng Bạn cũng cần xác định liệu có thực hiện định dạng nhanh, cũng như có nén tập tin và thư mục hay không Sau khi hoàn tất các lựa chọn, nhấn Next để tiếp tục.

Hình 5.13 Định dạng phân vùng

The Completing the Create Partition Wizard dialog summarizes the actions to be taken; you should verify their accuracy before clicking Finish to initiate the process.

3.5 Thay đổi ký tựổ đĩa hoặc đường dẫn.

To change the drive letter of a specific partition or volume, right-click on the desired volume and select "Change Drive Letter and Path." This will open the "Change Drive Letter and Path" dialog box.

Hình 5.13 Thay đổi ký tự ổ đĩa

In this dialog, click the Edit button to open the Edit Drive Letter and Path dialog From the Assign a drive letter list, select a new drive letter to assign to this partition/volume Finally, confirm the changes you have made.

3.6 Xoá partition/volume Để tổ chức lại một ổ đĩa hoặc huỷ các dữ liệu có trên một partition/volume, bạn có thể xoá nó đi Để thực hiện, trong cửa sổ Disk Manager, bạn nhấp phải chuột lên partition/volume muốn xoá và chọn Delete Partition (hoặc Delete Volume)

Quản lý việc nén dữ liệu

- Sử dụng được công cụ nén dữ liệu.

Nén dữ liệu là quá trình giảm kích thước lưu trữ của dữ liệu, giúp tiết kiệm không gian Windows Server cung cấp tính năng nén tự động và trong suốt cho các tập tin và thư mục, cho phép các ứng dụng truy xuất các tập tin nén mà không gặp trở ngại, vì hệ điều hành tự động giải nén khi mở và nén lại khi lưu Tính năng này chỉ khả dụng trên các phân vùng NTFS Khi bạn sao chép tập tin hoặc thư mục từ một phân vùng nén sang một phân vùng khác, dữ liệu sẽ không được nén.

Để nén một tập tin hoặc thư mục trên hệ điều hành FAT, trước tiên, hệ điều hành sẽ giải nén tập tin/thư mục đó trước khi thực hiện việc sao chép Bạn có thể sử dụng chương trình Windows Explorer và làm theo các bước hướng dẫn để nén tập tin hoặc thư mục một cách hiệu quả.

- Trong cửa sổ Windows Explorer, duyệt đến tập tin/thư mục định nén và chọn tập tin/thư mục đó

- Nhấp phải chuột lên đối tượng đó và chọn Properties

- Trong hộp thoại Properties, nhấn nút Advanced trong tab General

- Trong hộp thoại Advanced Properties, chọn mục “Compress contents to save disk space” và nhấn chọn OK

Click OK in the Properties dialog to confirm your action If you are compressing a folder, the Confirm Attribute Changes dialog will appear, prompting you to choose whether to compress only the selected folder (Apply changes to this folder only) or to include all subfolders and files within it (Apply changes to this folder, subfolders, and files) Make your selection and click OK.

To extract a folder or file, follow the same steps as outlined previously, but ensure to uncheck the option "Compress contents to save disk space" in the Advanced Properties dialog box.

Thiết lập hạn ngạch đĩa (disk quota)

Hạn ngạch đĩa cứng cho phép chỉ định lượng không gian tối đa mà người dùng có thể sử dụng trên một volume NTFS Việc áp dụng hạn ngạch đĩa giúp quản lý hiệu quả dung lượng lưu trữ và đảm bảo rằng mỗi người dùng chỉ sử dụng một phần không gian hợp lý.

Một số vấn đề bạn phải lưu ý khi thiết lập hạn ngạch đĩa:

- Chỉ có thể áp dụng trên các volume NTFS

- Lượng không gian chiếm dụng được tính theo các tập tin và thư mục do người dùng sở hữu

Khi người dùng cài đặt một chương trình, không gian đĩa còn trống mà chương trình nhận thấy được xác định dựa trên hạn ngạch đĩa của người dùng, chứ không phải là tổng lượng không gian trống trên volume.

- Được tính toán trên kích thước thật sự của tập tin trong trường hợp tập tin/thư mục được nén

5.1 Cấu hình hạn ngạch đĩa.

Để cấu hình hạn ngạch đĩa, bạn cần mở hộp thoại Volume Properties bằng cách nhấp chuột phải vào ký tự ổ đĩa trong Windows Explorer và chọn Properties Trong hộp thoại này, hãy chọn tab Quota Lưu ý rằng tính năng hạn ngạch đĩa không được kích hoạt mặc định.

Các mục trong hộp thoại có ý nghĩa như sau:

- Enable quota management: thực hiện hoặc không thực hiện quản lý hạn ngạch đĩa

Người dùng sẽ không thể tiếp tục sử dụng đĩa khi vượt quá hạn ngạch đã được quy định, và họ sẽ nhận được thông báo rằng không còn không gian lưu trữ.

When setting up a new user on this volume, you can choose the default quota limit, which defines usage restrictions The options include "Do not limit disk space," which allows unrestricted access, "Limit disk space to," which sets a specific usage cap, and "Set warning limit," which triggers alerts as users approach their allocated space.

Chọn các tùy chọn ghi nhận hạn ngạch cho volume này: sẽ ghi lại các sự kiện liên quan đến việc sử dụng hạn ngạch đĩa Hệ thống có thể ghi nhận khi người dùng vượt quá giới hạn cho phép hoặc khi vượt quá giới hạn cảnh báo.

Biểu tượng đèn giao thông trong hộp thoại có các trạng thái sau:

- Đèn đỏ cho biết tính năng quản lý hạn ngạch không được kích hoạt

- Đèn vàng cho biết Windows Server đang xây dựng lại thông tin hạn ngạch

- Đèn xanh cho biết tính năng quản lý đang có tác dụng

5.2 Thiếtlập hạn ngạch mặc định.

Khi thiết lập hạn ngạch mặc định cho người dùng mới trên volume, chỉ những người chưa tạo tập tin trên volume đó mới bị ảnh hưởng, trong khi những người đã có tập tin/thư mục sẽ không bị tác động bởi chính sách này Do đó, để áp đặt hạn ngạch cho tất cả người dùng, bạn cần chỉ định hạn ngạch ngay từ khi tạo volume Để thực hiện điều này, hãy mở hộp thoại Volume Properties, chọn tab Quota, đánh dấu chọn mục Enable quota management và nhập các giá trị giới hạn sử dụng cùng giới hạn cảnh báo.

5.3 Chỉđịnh hạn ngạch cho từng cá nhân

Trong một vài trường hợp, bạn cần phải chỉ định hạn ngạch cho riêng một người nào đó, chẳng hạn có thể là các lý do sau:

- Người dùng này sẽ giữ nhiệm vụ cài đặt các phần mềm mới, và như vậy họ phải có được lượng không gian đĩa trống lớn

Người dùng có thể đã tạo nhiều tập tin trên volume trước khi thiết lập hạn ngạch, do đó họ sẽ không bị ảnh hưởng bởi giới hạn này Để áp dụng một giới hạn mới cho người dùng đó, bạn cần tạo riêng một giới hạn mới Để thực hiện điều này, hãy nhấn vào nút "Quota Entries" trong tab "Quota" của hộp thoại Volume.

Properties Cửa sổ Quota Entries xuất hiện

Hình 5.26 Cửa sổ Quota Entries

Để chỉnh sửa thông tin hạn ngạch của người dùng, bạn chỉ cần nhấn đúp vào mục tương ứng của người dùng đó Hộp thoại Cài đặt Hạn ngạch sẽ xuất hiện, cho phép bạn thay đổi các giá trị hạn ngạch một cách dễ dàng.

Hình 5.27 Cửa sổ Quota Setting

Để bổ sung một mục quy định hạn ngạch, trong cửa sổ Quota Entries, bạn vào menu Quota và chọn New Quota Entry Sau đó, hộp thoại Select Users sẽ xuất hiện, bạn chọn người dùng cần thiết và nhấn OK Tiếp theo, hộp thoại Add New Quota Entry sẽ hiện ra, bạn nhập các giá trị hạn ngạch phù hợp và nhấn OK để hoàn tất.

Mã hoá dữ liệu bằng efs

- Sử dụng được công cụ mã hóa dữ liệu

EFS (Hệ thống Mã hóa Tập tin) là một công nghệ trong Windows Server cho phép mã hóa các tập tin trên các phân vùng NTFS, tạo thêm một lớp bảo vệ an toàn cho hệ thống tập tin Chỉ những người dùng sở hữu đúng khóa mới có quyền truy cập vào các tập tin mã hóa, trong khi những người khác sẽ bị từ chối Ngoài ra, quản trị mạng có thể sử dụng tác nhân phục hồi để truy cập vào bất kỳ tập tin nào bị mã hóa Để thực hiện mã hóa tập tin, người dùng cần tuân theo các bước hướng dẫn cụ thể.

Mở cửa sổ Windows Explorer

Trong cửa sổ Windows Explorer, chọn các tập tin và thưc mục cần mã hoá Nhấp phải chuột lên các tập tin và thư mục, chọn Properties

Trong hộp thoại Properties, nhấn nút Advanced

Hộp thoại Advanced Properties xuất hiện, đánh dấu mục Encrypt contents to secure data và nhấn OK

Hình 5.28 Cửa sổ mã hoá dữ liệu

In the Properties dialog, click OK, and a Confirm Attribute Changes dialog will appear, prompting you to choose whether to encrypt only the selected folder (Apply changes to this folder only) or to encrypt the entire folder along with its subfolders and files (Apply changes to this folder, subfolders and files) After making your selection, click OK.

Để ngừng mã hóa các tập tin, bạn cần thực hiện các bước tương tự như trên, nhưng hãy bỏ chọn mục "Mã hóa nội dung để bảo vệ dữ liệu".

Hình 5.30 Cửa sổ không mã hoá

1 Quản lý đĩa theo Basic Disk: Ổ thứ 1 (Disk 0): chia làm 2 phần phân vùng 1 phân vùng chứa hệ thống trên Windows server 2019 và 1 phân vùng chứa dữ liệu có tên DATA

2 Quản lý đĩa theo Dynamic Disk: Disk 1, Disk 2, Disk 3 a Tạo đĩa Spanned Volume từ với Disk 1 là 10GB, Disk 2 là 15GB và đặt tên là DATA-SPANNED b Tạo đĩa Striped Volume từ với Disk 1, Disk 3 có từ với dung lượng là 10GB và và đặt tên là DATA-STRIPED c Tạo đĩa Mirrored Volume từ với Disk 2, Disk 3 có từ với dung lượng là 20GB và và đặt tên là DATA- MIRRORED d Tạo đĩa RAID-5 Volume từ với Disk 1, Disk 2, Disk 3 có từ với dung lượng là 30GB và và đặt tên là DATA- RAID

3 Thiết lập hạn ngạch đĩa (disk quota) cho đĩa DATA của Disk 0, các user được cấp 2GB.

-Bài tập 1 làm theo các bước trong mục 3.3 của giáo trình

-Bài tập 2 làm các bước trong mục 3.7 của giáo trình

-Bài tập 3 làm theo mục 5 của giáo trình

-Chọn ổ đĩa cho đúng để không bị lỗi hệ thống

-Khi nâng cấp từ Basic lên Dynamic dữ liệu trên các phân vùng được bảo toàn

-Trong khi đó nếu hạ từ Dynamic xuống Basic thì dữ liệu hoàn toàn bị xoá sạch

-Convert đĩa phải thích hợp, đúng yêu cầu

-Khi chúng ta cho phép user lưu trữ dữ liệu trên file server phải đúng dung lượng

Để tránh việc tăng dung lượng không cần thiết trên file server, cần thiết lập hạn ngạch lưu trữ cho người dùng Trước khi cài đặt Domain Controller, hãy đảm bảo đăng nhập bằng tài khoản Administrator.

-Thiết lập password phù hợp hệ thống và lưu lại để sau này còn sao lưu và phục hồi hệ thống khi cần thiết

-Chọn cho đúng phiên bản hệ điều hành đang sử dụng.

-Disk Quota – thiết lập hạn ngạch đĩa cho user lưu trữ cho đúng phân vùng

-Tắt tườnglửa cho máy DC và Client trên hệ thống.

-Thao tác phải đúng các bước Quản lý đĩa và giới hạn đĩa trên Windows server

Tình huống : Khi chúng ta cho phép user lưu trữ dữ liệu trên file server (dùng

Việc sử dụng tính năng Map Network Drive cho phép người dùng lưu trữ phim, video và các tệp tin khác, dẫn đến việc tăng đáng kể dung lượng không cần thiết trên máy chủ tệp Do đó, cần thiết phải áp đặt hạn ngạch lưu trữ cho người dùng (Disk Quota) để quản lý dung lượng lưu trữ hiệu quả hơn.

 Sử dụng Disk Quota - File Server Resource Manager (FSRM) Hạn chế lưu trữ file theo định dạng (vd: cấm file exe, cấm flv, mp4, …) theo mô hình như trên

 Cân bằng tải file Server Nhầm đáp ứng nhu cầu cho người dùng khi có sự truy cập nhiều hoặc có sự cố mất kết nối ở server File Server

Yêu cầuđánh giá kết quả học tập

 Trình bày được Chức năng Quản lý đĩa và giới hạn đĩa trên Windows Server

 Trình bày được các bước Quản lý đĩa và giới hạn đĩa trên Windows Server

 Thao tác thành thạo việc giới hạn đĩa trên Windows Server 2019

 Thực hiện đúng Cân bằng tải file Server trên Windows Server 2019

 Đánh giá kỹ năng thực hành về các thao tác Quản lý đĩa và giới hạn đĩa trên Windows Server 2019

 Đánh giá kỹ năng thực hành về File server resource manager trên Windows Server 2019

TẠO VÀ QUẢN LÝ THƯ MỤC DÙNG CHUNG

Tạo thư mục dùng chung

- Chia sẻ được thư mục dùng chung

- Trình bày được quyền truy thư mục dùng chung

1.1 Chia sẻ thưmục dùng chung

Tài nguyên chia sẻ là những tài nguyên trực tuyến mà người dùng có thể truy cập và sử dụng qua mạng Để chia sẻ một thư mục chung, bạn cần đăng nhập vào hệ thống với quyền quản trị hoặc là thành viên nhóm Server Operators Sau đó, trong Explorer, bạn nhấn chuột phải vào thư mục và chọn Properties Hộp thoại Properties sẽ xuất hiện, và bạn cần chọn Tab Sharing để thiết lập các tùy chọn chia sẻ.

Hình 6.1 Cửa sổ chọn user và phân quyền

Do not share this folder Chỉ định thư mục này chỉ được phép truy cập cục bộ

Chỉ định thư mục này được phép truy cập cục bộ và truy cập

Share name Tên thư mục mà người dùng mạng nhìn thấy và truy cập

Comment Cho phép người dùng mô tả thêm thông tin về thư mục dùng chung này

Giới hạn người dùng cho phép bạn xác định số lượng kết nối tối đa truy cập vào thư mục tại một thời điểm, trong khi quyền truy cập cho phép bạn thiết lập danh sách quyền truy cập qua mạng cho người dùng.

Offline Settings Cho phép thư mục được lưu trữ tạm tài liệu khi làm việc dưới chế độ Offline

Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share

Permissions chia sẻ chỉ có hiệu lực khi người dùng truy cập qua mạng, không áp dụng cho truy cập cục bộ Khác với NTFS, Permissions quản lý quyền truy cập người dùng ở cấp độ thấp hơn, cụ thể là dưới cấp độ truy xuất đĩa Trong hộp thoại Permissions chia sẻ, có danh sách các quyền cụ thể được liệt kê.

- Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ

- Modify: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ

- Read & execute: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ

- Read: cho phép người dùng xem các tập tin trong thư mục chia sẻ

- Write: cho phép người dùng xem tao các tập tin trong thư mục chia sẻ

Hình 6.3 Cửa sổ chọn user

Hộp thoại chọn người dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào các tài khoản người dùng và nhóm cần chọn, sau đó chọn OK

Hình 6.4 Cửa sổ xác nhận User và group

Trong hộp thoại xuất hiện, muốn cấp quyền cho người dùng bạn đánh dấu vào mục Allow, ngược lại khóa quyền thì đánh dấu vào mục Deny

Hình 6.5 Cửa sổ phân quyền

1.3 Chia sẻ thưmục dùng lệnh netshare

The function allows for the creation, deletion, and display of shared resources The syntax for using this function is as follows: `net share sharename`, `net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"]`, and `net share {sharename | drive:path} /delete` The parameters include options for specifying the number of users, unlimited access, and adding remarks to the shared resource.

- [Không tham số]: hiển thị thông tin về tất cả các tài nguyên chia sẻ trên máy tính cục bộ

Sharename là tên đại diện cho tài nguyên chia sẻ trên mạng Khi sử dụng lệnh net share kèm theo tham số sharename, hệ thống sẽ hiển thị thông tin chi tiết về tài nguyên chung này.

- [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ

- [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tài nguyên dùng chung này

- [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài nguyên dùng chung này

- [/remark:"text"]: thêm thông tin mô tả về tài nguyên này

- /delete: xóa thuộc tính chia sẻ của thư mục hiện tại.

Qu ả n lý các th ư mụ c dùng chung

- Trình bày được quyền truy thư mục dùng chung

2.1 Xem các thư mục dùng chung

Mục Shared Folders trong công cụ Computer Management cho phép người dùng tạo và quản lý các thư mục dùng chung trên máy tính Để xem các thư mục dùng chung, bạn cần chọn mục Shares Nếu tên chia sẻ (share name) của thư mục dùng chung kết thúc bằng dấu $, thư mục đó sẽ được ẩn và không thể tìm thấy khi bạn tìm kiếm qua My Network Places hoặc duyệt các tài nguyên mạng.

Bước 1:Mở công cụ Computer Management

Hình 6.6 Cửa sổ xem thư mục share

Bước 2: chọn mục Shared trong Mục Shared Folders

Hình 6.7 Cửa sổ hiển thị các thư mục share máy tính bạn chọn mục Session Mục Session cung cấp các thông tin sau:

- Tên tài khoản người dùng đang kết nối vào tài nguyên chia sẻ

- Tên máy tính có người dùng kết nối từ đó

- Hệ điều hành mà máy trạm đang sử dụng để kết nối

- Số tập tin mà người dùng đang mở

- Thời gian kết nối của người dùng

- Thời gian chờ xử lý của kết nối

- Phải là truy cập của người dùng Guest không?

Hình 6.8 Cửa sổ xem User truy cập thư mục

2.3 Xem các tập tin đangmở trong các thư mục dùng chung

Muốn xem các tập đang mở trong các thư mục dùng chung bạn nhấp chuột vào mục Open Files Mục Open Files cung cấp các thông tin sau:

- Đường dẫn và tập tin hiện đang được mở

- Tên tài khoản người dùng đang truy cập tập tin đó.

- Hệ điều hành mà người dùng sử dụng để truy cập tập tin

- Trạng thái tập tin có đang bị khoá hay không

- Trạng thái mở sử dụng tập tin (Read hoặc Write)

Hình 6.9 Cửa sổ Xem các tập tin đang mở

Quyền truy cập ntfs

- Phân được quyền truy cập dữ liệu dùng trong hệ thống mạng

Có hai loại hệ thống tập được sử dụng cho partition và volume cục bộ là FAT (bao gồm FAT và FAT32) và NTFS Trong khi FAT partition không hỗ trợ bảo mật nội bộ, NTFS partition lại cung cấp tính năng bảo mật Điều này có nghĩa là nếu đĩa cứng của bạn được định dạng là FAT, mọi người có thể thao tác trên các file chứa trong đĩa, trong khi với định dạng NTFS, quyền truy cập vào dữ liệu phụ thuộc vào quyền của người dùng; nếu không có quyền, người dùng sẽ không thể truy cập vào dữ liệu trên đĩa.

The Windows Server system utilizes Access Control Lists (ACLs) to manage access permissions for local objects and objects within Active Directory.

ACL có thể chứa nhiều ACE (Access Control Entry) đại điện cho một người dùng hay một nhóm người

3.1 Các quyền truy cậpcủa NTFS

Explore directories and execute program files within them Enumerate the contents of a folder and read the data from its files Access and read the attributes of both files and folders.

Explore extended attributes of files and folders, create new files and write data to them, establish new folders while appending data to existing files, and modify the attributes of files and directories.

Write Extendd Attributes Thay đổi thuộc tính mở rộng của các tập tin và thư mục Delete Subfolders and Files Xóa thư mục con và các tập tin

Delete Xóa các tập tin Read Permissions Đọc các quyền trên các tập tin và thư mục

Thay đổi quyền trên các tập tin và thư mục

3.2 Các mức quyền truy cập được dùng trong NTFS

3.3 Gán quyền truy cập NTFS trên thư mục dùng chung

Bạn muốn gán quyền NTFS, thông qua Windows Explorer bạn nhấp phải chuột vào tập tin hay thư mục cần cấu hình quyền truy cập rồi chọn Properties

Hộp thoại Properties sẽ hiển thị khác nhau tùy thuộc vào định dạng ổ đĩa của bạn Nếu ổ đĩa được định dạng FAT, hộp thoại chỉ có hai tab là General và Sharing Ngược lại, với ổ đĩa NTFS, sẽ có thêm tab Security, cho phép bạn quy định quyền truy cập cho từng người dùng hoặc nhóm người dùng đối với các tập tin và thư mục Để cấp quyền cho người dùng, bạn chỉ cần nhấp vào tab Security.

Hình 6.11 Gán quyền truy cập NTFS

Để cấp quyền truy cập cho người dùng, bạn cần nhấn nút "Add" để mở hộp thoại chọn người dùng và nhóm Tại đây, hãy chọn người dùng và nhóm cần cấp quyền, sau đó nhấn nút "Add" để thêm vào danh sách Cuối cùng, nhấn nút "OK" để quay lại hộp thoại chính.

Hình 6.12 Cửa sổ xác nhận User và group

Hộp thoại chính sẽ hiển thị những người dùng và nhóm mới được thêm vào Để cấp quyền cho người dùng, bạn chỉ cần đánh dấu vào mục "Allow", trong khi để từ chối quyền, hãy chọn mục "Deny".

Hình 6.13 Cửa sổ cấp quyền User và group

3.4 Kếthừa và thay thế quyền củađối tượng con

Trong hộp thoại chính, nhấn nút Advanced để cấu hình chi tiết quyền truy cập cho người dùng.

Trong hộp thoại Advanced Security Settings, nếu bạn chọn mục "Allow inheritable permissions from parent to propagate to this object and child objects", thư mục hiện tại sẽ thừa hưởng quyền truy cập từ thư mục cha Để xóa quyền thừa hưởng này, bạn cần bỏ chọn mục đó Khi danh sách quyền truy cập của thư mục cha thay đổi, danh sách quyền truy cập của thư mục hiện tại cũng sẽ thay đổi theo Ngoài ra, nếu bạn chọn mục "Replace permission entries on all child objects with entries shown here that apply to child objects", quyền truy cập của thư mục hiện tại sẽ được áp dụng cho tất cả các tập tin và thư mục con, thay thế quyền truy cập hiện có bằng các quyền hiển thị trong hộp thoại.

Hình 6.14 Cửa sổ Kế thừa và thay thế quyền

Trong hộp thoại của Windows Server, bạn có thể kiểm tra và cấu hình chi tiết quyền của người dùng và nhóm Để thực hiện điều này, hãy chọn nhóm hoặc người dùng cần thao tác và nhấp vào nút Chỉnh sửa.

3.5 Thay đổi quyền khi di chuyển thưmục và tập tin

Khi sao chép một tập tin hoặc thư mục, quyền truy cập sẽ thay đổi theo quyền của thư mục cha mới, trong khi khi di chuyển, quyền truy cập của tập tin hoặc thư mục vẫn được giữ nguyên.

3.6 Giám sát người dùng truy cập thư mục

Để giám sát và ghi nhận hoạt động của người dùng trên thư mục hiện tại, hãy mở hộp thoại Cài đặt Bảo mật Nâng cao, chọn Tab Kiểm tra Nhấn nút Thêm để chọn người dùng cần theo dõi Nếu bạn muốn giám sát các lần truy cập thành công, hãy đánh dấu vào mục Thành công; nếu muốn theo dõi các lần truy cập không thành công, hãy đánh dấu vào mục Thất bại.

3.7 Thay đổi người sởhữu thư mục

Để xem tài khoản người dùng và nhóm sở hữu thư mục hiện tại, bạn hãy mở hộp thoại Advanced Security Settings và chọn tab Owner Ngoài ra, bạn có thể thay đổi người hoặc nhóm sở hữu thư mục bằng cách nhấp vào nút Other Users or Groups.

DFS

- Phân biệt được các loại hệ thống DFS.

- Triển khai thực hiện được hệ thống DFS

Hệ thống DFS (Distributed File System) tổ chức và quản lý các thư mục, tập tin dùng chung trên mạng thông qua Server, cho phép người dùng dễ dàng tìm kiếm tài nguyên chung DFS cho phép tập hợp các thư mục trên nhiều Server khác nhau dưới một tên chia sẻ duy nhất Hệ thống này có hai loại root: domain root, được gắn kết với Active Directory trên tất cả Domain Controller, và Stand-alone root, chỉ chứa thông tin tại máy được cấu hình.

File Server chỉ là một "bảng mục lục" dẫn đến các thư mục đã được tạo và chia sẻ trên các Server Để triển khai hệ thống DFS, trước tiên bạn cần hiểu các khái niệm cơ bản liên quan đến nó.

- Gốc DFS (DFS root) là một thư mục chia sẻ đại diện cho chung cho các thư mục chia sẻ khác trên các Server

- Liên kết DFS (DFS link) là một thư mục nằm trong DFS root, nó ánh xạ đến một tài nguyên chia sẻ các Server khác

Bảng So sánh hai loại DFS

Stand-alone DFS Fault-tolerant DFs

- Là hệ thống DFS trên một máy

Server Stand-alone, không có khả năng dung lỗi

- Người dùng truy xuất hệ thống

DFS thông qua đường dẫn

- Là hệ thống DFS dựa trên nền

Active Directory nên có chính dung lỗi cao

- Hệ thống DFS sẽ tự động đồng bộ giữa các Domain Controller và người dùng có thể truy xuất đến DFS thông qua đường dẫn

2 Chia sẻ và phân quyền truy cập thư mục này

1 Tạo thư mục có tên Personal trên ổđĩa bất kỳ

To create a shared folder, open the desired drive, such as drive C, or choose any other drive of your preference Right-click, select "New," then click on "Folder," and name this folder "Personal."

Hình 6.18 Cửa sổ tạo folder

2 Chia sẻ và phân quyền truy cập thư mục này

Ta sẽ cấu hình một số thuộc tính của folder này, right click vào folder này, chọn properties, hộp thọai personal properties xuất hiện:

Hình 6.19 Cửa sổ personal properties

Click vào tab Securiy để cấu hình NTFS permission trên folder này Trên tab

In the Advanced Security Settings for personal accounts, you can disable inherited permissions by unchecking the option "Allow inheritable permissions from the parent to propagate to this object and all child objects." This action ensures that only the permissions explicitly defined for this object are included.

Trên hộp thọai Security, click nút Remove để loại bỏ tất cả các quyền thừa hưởng

Hình 6.22 Cửa sổ bỏ quyền thừa hưởng

Xong nhấn apply, nhấn OK để quay về hội hộp thọai personal properties

Hình 6.23 Cửa sổ cấp quyền

Trong hộp này các bạn nhấn add, sẽ xuất hiện hộp thọai Select user, computer, or groups

Hình 6.23 Cửa sổ chọn đối tượng

Nhập vào hộp text Enter the object names to select (examples): group Domain

Admins rồi click vào nút check names Group Domain Admins sẽ được gạch dưới, click ok

Hình 6.24 Cửa sổ chọn User và group

Trong hộp thọai Personal Properties, cấp quyền Full Control cho group Domain Admins bạn mới thêm vào Click apply

Hình 6.25 Cửa sổ Full quyền cho Domain Admins

To share a folder, navigate to the sharing tab and check the option to "share this folder." Then, click on the Permission button to grant sharing rights for the folder.

Hình 6.26 Cửa sổ chia sẻ personal

Trong hộp thọai permission for personal, đánh dấu chọn vào mục Full Control trong cột Allow để cấp quyền full control cho everyone group Click apply rồi click ok

Hình 6.27 Cửa sổ Full control cho Everyone

Click apply và rồi click ok để đóng hộp thọai Personal Properties

- Chọn ổ đĩa dữ liệu để chia sẻ cho đúng để không bị lỗi hệ thống

- Cấp quyền cho đúng theo nhóm user và group cho từng folder

- Gán quyền truy cập cho các folder đúng với user và group

- Truy cập hệ thống kiểm tra xem phiên làm việc, xem user nào đang mở thư mục chia sẻ

- Khi chúng ta cho phép user lưu trữ dữ liệu trên file server phải đúng dung lượng

- Thực hiện đúng việc Kế thừa và thay thế quyền của đối tượng con

- Tắt tường lửa cho máy DC và Client trên hệ thống.

- Thao tác phải đúng các bước tạo và quản lý thư mục dùng chung trên Windows server 2019

Tình huống : Chia sẻ và phân quyền các folder cho các user trong hệ thống với những chức năng mở rộng của NTFS

- Tạo cây thư mục như sau

- Tạo 2 tài khoản NS1 và NS2 thuộc group NS và 2 tài khoản KT1, KT2 thuộc group

Để quản lý quyền truy cập trong hệ thống, cần thực hiện các bước sau: Gán quyền truy cập như hình minh họa, đảm bảo tài khoản KT1 không có quyền truy xuất vào Folder DataKeToan Tiếp theo, sử dụng tài khoản NS1 để tạo hai Folder con trong DataNhanSu, sau đó đăng nhập bằng tài khoản NS2 Tiến hành xóa một Folder vừa tạo bởi NS1, và tạo lại hai Folder cùng cấp với Folder đã xóa Thiết lập nguyên tắc "Không xóa dữ liệu của người khác" để bảo vệ thông tin Sử dụng tài khoản NS2 để loại bỏ hoàn toàn các tài khoản khác trên Folder vừa tạo, bao gồm cả Administrators và System Cuối cùng, đăng nhập bằng tài khoản Administrator để khôi phục quyền sở hữu trên Folder mà NS2 đã thiết lập.

 Trình bày được Chức năng Chia sẻ, cấu hình, quản lý thư mục dùng chung trên Windows Server 2019

 Trình bày được Chức năng DFS và Quyền truy cập NTFS trên Windows Server 2019

 Thao tác thành thạo việc Chia sẻ, cấu hình, quản lý thư mục dùng chung trên hệ thống

 Thao tác thành thạo việc cấp phát, thu hồi Quyền truy cập NTFS trong cục bộ hoặc Domain trên Windows Server 2019

 Thực hiện đúng yêu cầu Tài khoản NS1 không xóa folder mà NS2 tạo và Lấy quyền lại cho admin khi bị NS2 xóa bỏ

 Đánh giá kỹ năng thực hành về việc Chia sẻ, cấu hình, quản lý thư mục dùng chung trên hệ thống

 Đánh giá kỹ năng thực hành về cấp phát, thu hồi Quyền truy cập NTFS trong cục bộ hoặc Domain trên Windows Server 2019

 Đánh giá kỹ năng thực hành về yêu cầu Tài khoản NS1 không xóa folder mà NS2 tạo và Lấy quyền lại cho admin khi bị NS2 xóa bỏ

CHÍNH SÁCH BẢO MẬT

Giới thiệu chung về GPO

Chính sách nhóm (Group Policy) là tập hợp các thiết lập cấu hình cho máy tính và người dùng, xác định cách thức mà các chương trình, tài nguyên mạng và hệ điều hành tương tác với người dùng và máy tính trong một tổ chức Mục đích chính của việc sử dụng Group Policy là triển khai các chính sách từ miền máy chủ Domain Controller xuống người dùng Với Group Policy, bạn có thể tự động triển khai phần mềm cho một hoặc nhiều máy trạm, ấn định quyền hạn cho người dùng mạng, giới hạn các ứng dụng được phép chạy, kiểm soát hạn ngạch sử dụng đĩa trên máy trạm và thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy.

Group Policy chỉ áp dụng trên các máy Windows Server NT/ 2000 / 2003 / 2008 /

Group Policy Objects (GPO) are policies applied primarily to Sites, Domains, and Organizational Units (OUs) in the years 2012, 2016, and 2019 These group policies are essential for managing and configuring various settings within these entities.

Trên máy Windows Server 2019, có một bộ công cụ Group Policy được gọi là Local Group Policy, áp dụng riêng cho máy này khi không tham gia vào miền.

Các Group Policy Objects (GPO) được lưu trữ trong cơ sở dữ liệu của Active Directory Để tạo và chỉnh sửa GPO, người dùng sử dụng chương trình có tên là Group Policy Object Editor.

1 dạng console tên là gpedit.msc, console của Active Directory Users and Computers là dsa.msc)

Chức năng của Group Policy

Group Policy cho phép triển khai cài đặt phần mềm tự động trên các máy trạm trong miền, đồng thời xác định quyền hạn cho người dùng trong mạng.

Giới hạn phần mềm và ứng dụng trên máy Client, kiểm soát hạn ngạch sử dụng ổ đĩa cứng, và thiết lập kịch bản cho đăng nhập, đăng xuất, khởi động và tắt máy giúp đơn giản hóa quản lý GPO cũng định hướng lại các thư mục quan trọng trên máy Client, cùng nhiều chức năng khác tùy theo nhu cầu của người quản trị.

When working with Group Policy Objects (GPO), it's important to note that they can only exist within the Active Directory domain GPOs become ineffective for client machines that are removed from the domain, and local computers can only utilize Local Group Policy settings.

Chính sách cục bộ 1 Account Policy

 Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy.

Để bảo mật thông tin, việc áp dụng quy định về lịch sử mật khẩu là rất quan trọng Nhiều người dùng không ghi nhớ được nhiều mật khẩu, dẫn đến việc họ thường sử dụng lại mật khẩu cũ khi được yêu cầu thay đổi Điều này tạo ra một lỗ hổng lớn trong bảo mật Thiết lập này yêu cầu người dùng phải tạo mật khẩu mới không giống bất kỳ mật khẩu nào trong số mà họ đã sử dụng trước đó, với số lượng tối đa từ 0 đến 24 mật khẩu.

Thời gian tối đa cho mật khẩu là khoảng thời gian mà mật khẩu vẫn còn hiệu lực trước khi hệ thống yêu cầu bạn thay đổi Việc thay đổi mật khẩu định kỳ rất quan trọng để nâng cao bảo mật tài khoản, vì kẻ xấu có thể theo dõi thói quen của bạn và dễ dàng đoán ra mật khẩu Giá trị cho thời gian tối đa này có thể từ 1 đến 999 ngày, với giá trị mặc định là 42 ngày.

Thời gian tối thiểu để thay đổi mật khẩu được xác định bởi tham số "Minimum password age" Bạn chỉ có thể thay đổi mật khẩu sau khi hết thời gian này; nếu muốn thay đổi ngay lập tức, bạn có thể thiết lập giá trị là 0 Giá trị có thể từ 0 trở lên.

Độ dài tối thiểu của mật khẩu tài khoản được xác định từ 1 đến 14 ký tự, với giá trị mặc định là 0, có nghĩa là không yêu cầu mật khẩu Nếu không muốn sử dụng mật khẩu, bạn có thể thiết lập giá trị này thành 0.

Mật khẩu phải đáp ứng các yêu cầu về độ phức tạp: nếu tính năng này được kích hoạt, mật khẩu của tài khoản ít nhất phải không chứa toàn bộ hoặc một phần tên tài khoản, có độ dài tối thiểu 6 ký tự và bao gồm 3 hoặc 4 loại ký tự: chữ cái thường (a->z), chữ cái hoa (A->Z), chữ số (0->9) và ký tự đặc biệt Độ phức tạp của mật khẩu là bắt buộc khi tạo mới hoặc thay đổi mật khẩu, với thiết lập mặc định là tắt.

Lưu trữ mật khẩu bằng cách sử dụng mã hóa ngược cho tất cả người dùng trong miền giúp hỗ trợ các ứng dụng giao thức, yêu cầu hiểu biết về mật khẩu của người sử dụng Phương pháp này thực chất tương tự như việc lưu trữ các văn bản mã hóa thông tin bảo vệ mật khẩu Tùy chọn này mặc định là tắt.

Vào Aministrator  Local Sercurity Policy  Account policies

Hình 7.1 Cửa sổ chính sách mật khẩu

Trong này bao gồm các mục:

Để đảm bảo an toàn cho tài khoản Windows, mật khẩu cần đáp ứng yêu cầu về độ phức tạp, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt Tính năng này mặc định bị tắt, vì vậy để tăng cường bảo mật, người dùng nên chọn kích hoạt (Enable) tính năng này.

Thời gian tối thiểu để thay đổi mật khẩu: Mặc định, giá trị này là 0 Nếu thay đổi thành một số khác, ví dụ như 3, người dùng chỉ có thể thay đổi mật khẩu sau mỗi 3 ngày.

 Minimum password length: Độ dài tối thiểu của password

 Enforce password history: nhớ bao nhiêu password không cho đặt trùng

 Store password using reversible …: mã hoá password

Vào Aministrator  Local Sercurity Policy  Account policies

Hình 7.2 Cửa sổ cấp quyền đăng nhập

 Account lockout threshold: để khoá account khi đăng nhập sai

 Account lockout duration: khoá account trong 30 phút khi đang nhập sai

 Reset account lockout counter after: xoá bộ nhớ đánh pass

Quyền của người dùng rất quan trọng trong việc quản lý hệ thống, bao gồm quyền truy cập, quyền sao lưu dữ liệu và khả năng thay đổi thời gian hệ thống Để cấu hình quyền cho một mục cụ thể, bạn chỉ cần nhấp đúp chuột vào mục đó và chọn "Add user or group" để cấp quyền mặc định cho người dùng hoặc nhóm theo yêu cầu.

Để bảo vệ máy tính khỏi những kẻ tò mò, chúng ta không nên cho phép truy cập từ mạng Thiết lập này cho phép chúng ta linh hoạt thêm hoặc bớt quyền truy cập vào máy tính cho từng tài khoản hoặc nhóm cụ thể.

Chính sách xác định tài khoản nào được phép hoạt động như một phần của hệ thống, với Administrator có quyền cao nhất để thay đổi mọi thiết lập Administrator có thể được xác nhận như bất kỳ người dùng nào và sử dụng tài nguyên hệ thống tương tự Chỉ các dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này.

Để thêm một workstation vào miền, bạn cần thêm một tài khoản hoặc nhóm vào miền thông qua hệ thống sử dụng Domain Controller Khi tài khoản được thêm vào miền, nó sẽ nhận được các quyền truy cập bổ sung trên dịch vụ thư mục (Active Directory) và có khả năng truy cập tài nguyên mạng như một thành viên trong miền.

Điều chỉnh hạn ngạch bộ nhớ cho một quy trình cho phép xác định ai có quyền điều chỉnh suất hệ thống Tuy nhiên, tính năng này có thể bị lạm dụng cho các mục đích xấu, chẳng hạn như tấn công từ chối dịch vụ (DoS).

Cho phép đăng nhập qua Dịch vụ Terminal: Dịch vụ Terminal là một dịch vụ cho phép người dùng đăng nhập từ xa vào máy tính Chính sách này xác định ai được phép sử dụng Dịch vụ Terminal để truy cập hệ thống.

 Backup files add directories: Tương tự như các chính sách trên, ở đây cấp phép ai đó có quyền backup dữ liệu

 Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian của hệ thống

 Create global objects: Cấp quyền cho ai có thể tạo ra các đối tượng dùng chung

 Force shutdown from a remote system: Cho phép ai có quyền tắt máy qua hệ thống điều khiển từ xa

 Shutdown the system: Cho phép ai có quyền shutdown máy.

 Deny access to this computer from the net…: Cấm user không được phép truy xuất đến máy.

 Deny logon localy: Cấm User Logon cục bộ

 Deny logon through Terminal Services: Cấm User Remote Desktop

 Logon localy: Thiết lập người dùng Logon cục bộ.

Vào Administrator  Local SercurityLocal policies

Hình 7.3 Cửa sổ User rights assignment

Deny logon locally: chọn user không cho đăng nhập vào máy tính

Change the system time: những người được thay đổi giờ hệ thống

Shutdown the system: những người có quyền tắt máy

Allow log on through Terminal Services: cho phép đăng nhập

Và còn rất nhiều tính năng khác

Hình 7.4 Cửa sổ xem User truy cập thư mục

 Account: Administrator account status: Trạng thái hoạt động của

 Account: Guest account status: Trạng thái hoạt động của User Guest

 Account: Limit local account use of blank password to console: Đăng nhập không cần password.

 Account: Rename administrator account: Đổi tên Administrator

 Account: Rename guest account: Đổi tên Guest.

 Devices: Prevent users from installing printer drivers: Không cho phép cài

 Devices: Restrict CD-ROM access to localy logged-on user only: Cấm truy nhập xa từ CD-ROM

 Interactive: Do not require CTRL + ALT + DEL: Bỏ Ctrl + alt + Del

 Interactive: Message text for users attempting to logon: Đặt tiêu đề khi logon

 Interactive: Message title for users attempting to log on: Đặt tiêu đề khi logon

 Interactive: Number of previous logons to cache in cache: Cache kho logon

 Shutdown: Allow system to be shut down

 Shutdown: Allow system to be shut down without having to log on: Shutdown không cần logon

 Shutdown: Clear virtual memory pagefile Xóa bộ nhớ ảo khi Shutdown

 Interactive logon: Do not display last user name: Khi user logout máy cửa sổ đăng nhập sẽ không ghi lại account user vừa logon

Interactive logon allows you to display a message to users before they access the system This feature enables you to communicate important information or guidelines to users attempting to log on.

 Interactive logon: Message title for users attempting to log on: Bạn nhập tiêu đề của hộp nội dung nhắn gởi vào đây

Chú ý: để triển khai các GPO xuống Client ta dùng lệnh “gpupdate /force” trong CMD

Cấu hình Group Policy Object

Vào Server Manager chọn Tools / Group Policy Management

Hình 7.5 Cửa sổ mở GPO

Hình 7.6 Cửa sổ Computer Configuration DC

Tại đây có thể tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, quản lý việc khởi động và đăng nhập hệ thống…

- Scripts: (startup/Shutdown): Có thể chỉ định cho Windows sẽ chạy một mã nào đó khi Windows Startup hoặc Shutdown

- Security setting: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người dùng nào.

Account Policies: Các chính sách áp dụng cho tài khoản người dùng

Local Policy: Kiểm định chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng cục bộ

Public Key Policies Các chính sách khóa dùng chung

Hình 7.6 Cửa sổ pasword DC

Hình 7.6 Cửa sổ Acount lockout Policy DC

4.2 Local Policy DC a User rights Assignments

Hình 7.6 Cửa sổ Acount lockout Policy DC

Để bảo vệ máy tính khỏi những kẻ tò mò, chúng ta không nên cho phép họ truy cập vào thiết bị của mình Với thiết lập này, người dùng có thể dễ dàng quản lý quyền truy cập, thêm hoặc bớt quyền cho bất kỳ tài khoản hoặc nhóm nào theo nhu cầu.

Chính sách xác định tài khoản nào có quyền hoạt động như một phần của hệ thống, với Administrator giữ quyền cao nhất để thay đổi mọi thiết lập Administrator được xác nhận như một người dùng, cho phép sử dụng tài nguyên hệ thống tương tự như bất kỳ người dùng nào khác Chỉ các dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này.

Để thêm một tài khoản hoặc nhóm vào miền, bạn cần sử dụng hệ thống có Domain Controller Khi tài khoản được thêm vào miền, nó sẽ nhận được quyền truy cập nâng cao vào dịch vụ thư mục (Active Directory) và có khả năng truy cập tài nguyên mạng như một thành viên trong miền.

Điều chỉnh hạn mức bộ nhớ cho một quá trình cho phép xác định ai có quyền điều chỉnh chi tiêu bộ nhớ Chính sách này có thể cải thiện hiệu suất hệ thống, nhưng cũng tiềm ẩn nguy cơ bị lạm dụng cho các mục đích xấu, chẳng hạn như tấn công từ chối dịch vụ (DoS).

Cho phép đăng nhập qua Dịch vụ Terminal: Dịch vụ Terminal cho phép truy cập từ xa vào máy tính Chính sách này xác định ai có quyền sử dụng dịch vụ Terminal để đăng nhập vào hệ thống.

+ backup files add directories: Tương tự như các chính sách trên, ở đây cấp phép ai đó có quyền backup dữ liệu

+ Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian của hệ thống

+ Create global objects: Cấp quyền cho ai có thể tạo ra các đối tượng dùng chung

+ Force shutdown from a remote system: Cho phép ai có quyền tắt máy qua hệ thống điều khiển từ xa.

+ Shutdown the system: Cho phép ai có quyền shutdown máy

+ Deny access to this computer from the net…:Cấm user không được phép truy xuất đến máy

+ Deny logon localy: Cấm User Logon cục bộ

+ Deny logon through Terminal Services: Cấm User Remote Desktop

+ Logon localy: Thiết lập người dùng Logon cục bộ

Hình 7.7 Cửa sổ Security Optins

+ Account: Administrator account status: Trạng thái hoạt động của

+ Account: Guest account status: Trạng thái hoạt động của User Guest

+ Account: Limit local account use of blank password to consolo: Đăng nhập không cần password

+ Account: Rename administrator account: Đổi tên Administrator

+ Account: Rename guest account: Đổi tên Guest

+ Devices: Prevent users from installing printer drivers: Không cho phép cài

+ Devices: Restrict CD-ROM access to localy logged-on user only: Cấm truy nhập xa từ CD-ROM

+ Interactive: Do not require CTRL + ALT + DEL: Bỏ Ctrl + alt + Del

+ Interactive: Message text for users attempting to logon: Đặt tiêu đề khi logon

+ Interactive: Message title for users attempting to log on: Đặt tiêu đề khi logon

+ Interactive: Number of previous logons to cache in cache: Cache kho logon + Shutdown: Allow system to be shut down

+ Shutdown: Allow system to be shut down without having to log on: Shutdown không cần logon.

+ Shutdown: Clear virtual memory pagefile Xóa bộ nhớ ảo khi Shutdown

- Administrator Templates -> Windows Components -> Intenet Explorer (IE)

+ Security Zones: Use only machine settings: Bắt buộc tất cả các User đều chung một mức độ Security như nhau.

In Security Zones, users are restricted from altering policies, ensuring that the list of dangerous sites established by users remains unchanged It is advisable to hide the Security tab to enhance security measures.

+ Disable Periodic Check for Internet Explorer software updates: Ngăn không cho IE tự động Update

+ Don’t display the Getting Started welcome screen at logon: Ẩn màn hình

Welcome khi User đăng nhập vào hệ thống

- Computer Configuration -> Policies – > Administrative Templates – > System -> Systemstore

To disable System Restore, users may encounter a message stating, "System Restore has been turned off by group policy To enable System Restore, please contact your domain administrator."

+ Turn off Configuration: Chỉ có tác dụng khi System Restore được kích hoạt, tính năng này vô hiệu hóa phần thiết lập cấu hình của System Restore

- User configuration – > Administrator Templates – > Windows Components – >

Hình 7.11 Cửa sổ Windows Expolorer

+ Maximum number of recent documents: Quy định số lượng tài liệu đã mở hiển thị trong My Recent Documents

+ Do not move deleted files to the Recycle Bin: File bị xóa sẽ không được đưa vào Recycle Bin

+ Maximum allowed Recycle Bin size: Giới hạn dung lượng Recycle Bin, tính bằng đơn vị phần trăm dung lượn của ổ đĩa cứng

+ Removes the Folder Options menu item from the Tools menu Ẩn Folder

+ Remove Search button from Windows Expolorer Ẩn Search trong

+ Remove Windows Explorer’s default context menu Ẩn context khi click chuột phải

+ Hides the manage item the Windows Expolorer context Ẩn manage khi click chuột phải vào My Computer

+ Hide these specfied drivers in My Computer Ẩn ổ đĩa (access qua

+ Prevent access to drivers from My Computer Ngăn truy cập các ổ đĩa + Remove Hardware tab Ẩn tab Hardware.

+ Remove DFS tab Ẩn tab DFS

+ Remove Security tab Ẩn tab Security

- User configuration – > Administrator Templates – > Windows Components – > Windows Update

Hình 7.11 Cửa sổ Windows Update

User configuration – > Administrator Templates – > Start Menu and Taskbar

Hình 7.11 Cửa sổ Start Menu and Taskbar

+ Remove Logff on the Start Menu Ẩn Logff ở Start Menu.

+ Remove and prevent access to the Shut Down command Ẩn Shut Down + Remove Drag-and-drop context menus on the Start Menu Cấm Drag Drop

+ Prevent changes to Taskbar and Start Menu Settings Không thay đổi các thuộc tính đã thiết lập

+ Clear history of recently opened documents on exit Không lưu tập tin trong

+ Lock the Taskbar Khóa Taskbar

+ Remove user name from Start Menu Không hiển thị tên trên Start Menu + Do not display any custom toolbars in the taskbar Ẩn toolbars

User configuration – > Administrator Templates – > Desktop

+ Hide and disbale all items on the desktop Ẩn biểu tượng trên Desktop

+ Remove My Documents icon on the desktop Ẩn icon My Documents trên desktop

+ Remove My Computer icon on the desktop Ẩn icon My Computer trên desktop

+ Remove Recycle Bin icon on the desktop Ẩn icon Recycle Bin trên desktop + Don’t save settings at exit Không thay đổi thiết lập sau khi tắt máy

1 Khóa Registry trên nhóm KETOAN (không cho người dùng có thể truy cập và can thiệp sửa xóa vào hệ thống gây lỗi Win)

3 Khóa command Prompt trên phòng KINHDOANH

1 Khóa Registry trên nhóm KETOAN

To configure Group Policy Management, open the tool and select the OU Phong_Ke_toan Right-click and choose "Create a GPO on this domain, and link it here," then create a GPO named Block Registry.

Hình 7.12 Tạo GPO cho Ketoan

Click vào GPO ta vừa tạo click chuột phải chọn Edit

Chọn User Configuration / Policies / Administrative Template: … / System / Prevent access to registry editing tools

Click đúp vào Prevent access to registry editing tools chọn Enabled và Apply, OK

Hình 7.15 Bật Enabled cho registry

Mở CMD lên và gõ câu lệnh gpupdate /force để cập nhật chính sách cho Clients

Để chuyển sang máy Win 10 Client, bạn cần đăng xuất người dùng hiện tại và đăng nhập lại Sử dụng tổ hợp phím Windows + R, gõ "regedit" để truy cập nhanh vào Registry Tuy nhiên, nếu bạn thấy Registry bị khóa, điều này có nghĩa là bạn đã thành công trong việc cấm người dùng truy cập để chỉnh sửa Registry.

Hình 7.18 Cửa sổ gõ lệnh

Hình 7.18 Cửa sổ báo lỗi truy cập Registry

Mở GPO, Right click vào phòng NHANSU, User Cofiguration, Administrative temp, System, Ctrl+Alt+Del

Hình 7.19 cấu hình Task Manager

Chuyển sang máy Win 10 Client ta thấy máy đã bị khóa Task Manager

Hình 7.20 Task Manager bị khóa

3 Khóa command Prompt trên phòng KINHDOANH

Tạo 1 Group Policy cho Phong_ke_toan là block cmd, chọn Edit, chọn User Configuration / Policies / Administrative Templates: … / Systems / Prevent Access to

Click chuột phải vào Prevent access to the command prompt chọn Enabled, Apply OK

Hình 7.21 Cửa sổ mở Command prompt

Hình 7.22 Command prompt bị khóa

- Tạo các phòng ban để thiết lập chính sách đúng yêu cầu

- Tạo các OU, Group và User theo phòng ban

- Thiết lập chính sách bảo mật cho đúng các bước

- Máy Client đảm bảo truy cập vào hệ thống để test

- Khi chúng ta cho phép user lưu trữ dữ liệu trên file server phải đúng dung lượng

- Thao tác phải đúng các bước cấp phép chính sách cho hệ thống

Tình huống : Chia sẻ và phân quyền các folder cho các user trong hệ thống với những chức năng mở rộng của NTFS

Ẩn icon trên màn hình Desktop

 Ẩn item trong control panel

 Không cho sửa địa chỉ IP

 Khóa start menu and taskbar

 Không cho sử dụng ứng dụng

 Hiển thị câu chào khi đăng nhập

Map ổ đĩa bằng Group Policy Object cho các phòng ban: KETOAN-> K (dung lượng 30GB); NHANSU -> N (dung lượng 10GB); KINHDOANH -> H (dung lượng