giáo trình quản trị hệ điều hành nghề tin học ứng dụng cao đẳng

1.1.5 Bảng các tính năng trong Windows Server 2008 Giới thiệu: - Cung cấp những kiến thức về các tính năng của Hệ điều hành Windows 2008, - Giới thiệu các tính năng mới, các phiên bảng k

TỔNG QUAN

MỞ ĐẦU

1.1.1 Giới thiệu Hệ điều hành Windows NT

Windows NT là hệ điều hành mạng của công ty Microsoft Phiên bản đầu có tên là Windows NT 3.1 phát hành năm 1993, và phiên bản server là Windows NT Advanced Server Năm 1994 phiên bản Windows NT Server và Windows NT Workstation phiên bản 3.5 được phát hành, tiếp theo đó là phiên bản 3.51 Đến năm 1995 phiên bản 4.0 của Windows NT Workstation và Windows NT Server ra đời

Hệ điều hành mạng Windows NT đáp ứng tất cả các giao thức truyền thông phổ dụng nhất Nó cho phép kết nối, trao đổi thông tin giữa các máy trong mạng, truy nhập từ xa, truyền file v.v Windows NT là hệ điều hành vừa đáp ứng cho mạng cục bộ (LAN) vừa đáp ứng cho mạng diện rộng (WAN) như Intranet, Internet

Windows NT server hơn hẳn các hệ điều hành khác bởi tính uyển chuyển và đa dạng trong quản lý Nó vừa cho phép quản lý mạng theo mô hình mạng Khách/ Chủ (Clien/Server), vừa cho phép quản lý theo mô hình mạng ngang hàng (peer to peer) Cài đặt đơn giản, nhẹ nhàng và điều quan trọng nhất là nó tương thích với hầu như tất cả các hệ mạng

1.1.2 Các cơ chế quản lý của Windows NT

1.1.2.1 Quản lý đối tượng (Object Manager)

Mọi tài nguyên trong hệ điều hành đều được thực thi dưới dạng đối tượng Đối tượng trừu tượng hóa tài nguyên, mô tả trạng thái, thông số và phương thức truy cập và điều khiển nó Windows NT áp dụng phương thức giống nhau cho tất cả các đối tượng như: tạo, bảo vệ, giám sát sử dụng và theo dõi tài nguyên mà đối tượng sử dụng, mang lại tính thống nhất và hiệu quả quản lý tài nguyên.

1.1.2.2 Cơ chế bảo mật (SRM - Security Reference Monitor)

Cơ chế bảo mật (SRM) được sử dụng để giám sát vấn đề an ninh trong hệ thống Windows

NT Các yêu cầu tạo một đối tượng phải được chuyển qua SRM để quyết định việc cấp quyền truy cập tài nguyên SRM làm việc với hệ thống con bảo mật trong chế độ user Hệ thống con này được sử dụng để xác nhận user login vào hệ thống Windows NT

1.1.2.3 Quản lý nhập / xuất (I/O Manager)

Quản lý nhập/ xuất chịu trách nhiệm cho toàn bộ các chức năng nhập / xuất trong hệ điều hành Windows NT I/O Manager liên lạc với trình điều khiển của các thiết bị khác nhau

Sử dụng kiến trúc lớp cho các trình điều khiển Mỗi bộ phận điều khiển trong lớp I.O Manager thực hiện một chức năng được xác định rõ Phương pháp tiếp cận này cho phép một thành phần điều khiển được thay thế mà không ảnh hưởng các thành phần còn lại của các bộ phận điều khiển.

WINDOWS SERVER 2008

Microsoft Windows Server 2008 là hệ điều hành máy chủ windows thế hệ tiếp theo của Công ty Microsoft

- Các tính năng được cải thiện mạnh mẽ so với phiên bản 2003:

 Truy cập ứng dụng từ xa

 Quản lý server tập trung

 Các công cụ giám sát hiệu năng và độ tin cậy

 Failover clustering và hệ thống file

Hỗ trợ trong việc kiểm soát một cách tối ưu hạ tầng máy chủ, đồng thời tạo nên một môi trường máy chủ an toàn, tin cậy và hiệu quả hơn trước rất nhiều

1.1.3 Các phiên bản cùa Windows Server 2008

1.1.4 Yêu cầu phần cứng để cài đặt Windows Server 2008

Dưới đây là bảng yêu cầu phần cứng để cài đặt windows server 2008:

1.1.5 Bảng các tính năng trong Windows Server 2008

CHƯƠNG 2: TỔNG QUAN VỀ WINDOWS SERVER 2008

- Cung cấp những kiến thức về các tính năng của Hệ điều hành Windows 2008,

- Giới thiệu các tính năng mới, các phiên bảng khác nhau của Hệ điều hành Windows Server 2008

- Có kiến thức về Hệ điều hành Windows 2008.

WINDOWS SERVER 2022

Windows Server 2022, bản phát hành chính thức phiên bản (phiên bản LTSC – the Long- Term Servicing Channel với 5 năm lưu hành và 5 năm hỗ trợ mở rộng tiếp theo) này dự kiến được tung ra vào cuối năm 2021 Đây là phiên bản được nâng cấp nhanh chóng từ Windows Server 2019 với những tính năng bảo mật mở rộng nhiều lớp, có khả năng kết hợp với Azure và cung cấp một nền tảng linh hoạt để hiện đại hóa các ứng dụng

Cung cấp khả năng bảo mật nhiều lớp nâng cao trước bối cảnh ngày càng xuất hiện các mối đe dọa an toàn thông tin và sự tác động của các sự cố leo thang một cách nhanh chóng Chính vì vậy, tăng cường bảo mật toàn diện là mối ưu tiên hàng đầu của Microsoft khi chuẩn bị tung ra phiên bản Windows Server 2022 vào cuối năm nay như tập trung vào tăng cường bảo mật phần Core của hệ điều hành và các loại kết nối

Tính năng bảo mật phần lõi (Secured-Core Server) của hệ điều hành máy chủ mang lại khả năng bảo vệ khỏi các mối đe dọa như cung cấp khả năng bảo mật đa lớp trên phần cứng, các bản firmware, cũng như là hệ điều hành máy chủ Chúng sử dụng nền tảng Trusted Platform Module 2.0 và System Guard để khởi động hệ điều hành Windows Server 2022 một cách an toàn và giảm thiểu tối đa các rủi ro từ các lỗ hổng của Firmware Secured-Core Server cũng bao gồm các tính năng bảo mật dựa trên nền tảng ảo hóa VBS (Vitualization-based Security) như Credential Guard và Hypervisor-protected code integrity (HVCI) Credential Guard cung cấp khả năng bảo vệ phòng ngừa cho các tài sản nhạy cảm như thông tin xác thực và HVCI áp dụng bảo mật phần lõi của phần cứng để ngăn phần mềm độc hại nâng cao giả mạo hệ thống

Bảng Điều Khiển Windows Admin Center

Tăng cường bảo mật cung cấp kết nối an toàn bổ sung thêm một lớp bảo mật trong quá trình vận chuyển dữ liệu để bảo vệ nâng cao Windows Server 2022 cải thiện bảo mật kết nối với giao thức truyền siêu văn bản được mã hóa nhanh hơn và an toàn hơn (HTTPS) và bảo mật lớp truyền tải (TLS) 1.3 được bật một cách mặc định Người sử dụng cũng có thể tăng cường bảo mật hơn nữa cho việc thông tin liên lạc của máy chủ với với chuẩn mã hóa AES-256, đây là chuẩn mã hóa hiện hỗ trợ giao thức chia sẻ và truyền dữ liệu (SMB) và giúp cho mọi thứ kiểm soát tốt hơn

Cung cấp khả năng kết hợp với Azure cho phép người dùng tận dụng sự đổi mới của dịch vụ đám mây với các khoản đầu tư tại hệ thống mạng cục bộ của họ Azure Arc và Storage Migration Service là hai khả năng kết hợp chính hoạt động tốt nhất với Windows Server 2022 Azure Arc cho phép người dùng quản lý, bảo mật và quản lý Windows Server tại hệ thống mạng cục bộ, ở vùng mạng giới hạn hoặc trong môi trường đa đám mây từ một mặt bảng điều khiển duy nhất trong Azure Thông qua Azure Arc, nguoi72 dùng có thể dễ dàng sử dụng các khả năng quản lý Azure như Azure Policy, Azure Monitor và Azure Defender cho các máy chủ đó Hơn nữa, chỉ với một vài cú nhấp chuột đơn giản trong Windows Admin Center có thể cho phép kết nối với Azure Arc Hơn nữa, Microsoft đã nâng cao Windows Admin Center v2103 với tính năng quản lý máy ảo được cải thiện đáng kể, trình xem sự kiện đơn giản hơn và nhiều bản cập nhật khác Windows Admin Center cũng được tích hợp sẵn trong cổng kết nối với Azure

Windows Server 2022 nâng cao khả năng kết nối liền mạch của máy chủ quản lý tập tin tại mạng cục bộ với máy chủ quản lý tập tin trên Azure Các bản cập nhật cho Dịch vụ Storage Migration Service cho phép người dùng di chuyển máy chủ quản lý tập tin từ NetApp FAS sang các máy chủ Windows Server Việc sử dụng Dịch vụ Storage Migration Service để di chuyển dữ liệu sang các máy chủ cho phép người dùng duy trì độ trễ thấp trong khi giảm dung lượng lưu trữ tại hệ thống mạng cục bộ của họ

Nền tảng ứng dụng linh hoạt

Với mục tiêu phục vụ nhu cầu chạy các ứng dụng phân tán và quy mô lớn trên Windows Server 2022, Microsoft tập trung phát triển các khả năng và công cụ hỗ trợ tối ưu hóa hiệu suất cho nhà phát triển Hệ điều hành này còn cung cấp nền tảng vững chắc cho các khối lượng công việc quan trọng của doanh nghiệp, chẳng hạn như SQL Server.

Trong bản phát hành này, Microsoft sẽ bổ sung một số cải tiến nền tảng cho Windows Containers ,bao gồm khả năng tương thích ứng dụng và trải nghiệm Windows Container với Kubernetes Một cải tiến lớn bao gồm giảm kích thước ảnh của Windows Container, dẫn đến thời gian tải xuống nhanh hơn và hiệu suất tốt hơn Ngoài ra, giờ đây bạn có thể chạy các ứng dụng phụ thuộc vào Azure Active Directory với tài khoản thuộc nhóm Managed Services Accounts (gMSA) mà không cần gia nhập hệ thống Domain Hơn nữa, có một số cải tiến khác giúp đơn giản hóa trải nghiệm Windows Container với Kubernetes Những cải tiến này bao gồm hỗ trợ cho các vùng chứa quy trình máy chủ để cấu hình các Mode, IPv6 và triển khai chính sách mạng đồng nhất với Calico

Ngoài những cải tiến về nền tảng, Microsoft còn có một công cụ Windows Admin Center được cập nhật giúp dễ dàng chứa các ứng dụng NET Sau khi ứng dụng ở trong vùng chứa, bạn có thể lưu trữ nó trên Azure Container Registry để sau đó triển khai nó cho các dịch vụ Azure khác, bao gồm cả Dịch vụ Azure Kubernetes Windows Server 2022 hỗ trợ các ứng dụng quan trọng và quy mô lớn như SQL Server yêu cầu bộ nhớ 48TB và 2.048 lõi logic chạy trên 64 Socket vật lý

1 Trình bày các cơ chế quản lý của Windows NT?

2 Trình bày các tính năng trong Windows Server 2008?

3 Trình bày tính năng nỗi bật của Windows Server 2022?

GIỚI THIỆU WINDOWS SERVER 2008

GIỚI THIỆU VỀ WINDOWS SERVER 2008

Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows Server, giúp kiểm soát tối đa cơ sở hạ tầng và cung cấp khả năng quản lý hiệu quả tối đa, là sản phẩm đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắc hơn các phiên bản trước đây

Windows Server 2008 mang đến nhiều giá trị hữu ích cho các tổ chức, đảm bảo mọi người dùng đều có thể truy cập vào các cải tiến của dịch vụ mạng.

2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều hành với khả năng chuẩn đoán, cho phép các quản trị viên tăng cường thời gian hỗ trợ cho các doanh nghiệp

Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền tảng làm việc tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiện mạnh mẽ cho hệ điều hành cơ bản

Cải thiện hệ điều hành cho máy chủ Windows Windows Server 2008 cung cấp nhiều cải thiện tốt hơn cho hệ điều hành cơ bản so với hệ điều hành Windows Server 2003

Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý vai trò máy chủ tập trung, các công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sự triển khai và hệ thống file.

CÁC TÍNH NĂNG CỦA WINDOWS SERVER 2008

2.2.1 Công cụ quản trị Server Manager

Server Manager được thiết kế để tổ chức và quản lý các máy chủ chạy hệ điều hành Windows Server 2008 Đây là công cụ mạnh mẽ hỗ trợ quản trị viên máy chủ với nhiều tác vụ khác nhau.

- Quản lý đồng nhất trên một server

- Hiển thị trạng thái hiện tại của server

- Nhận ra các vấn đề gặp phải đối với các role đã đƣợc cài đặt một cách dễ dàng hơn

- Quản lý các role trên server, bao gồm việc thêm và xóa role

- Thêm và xóa bỏ các tính năng

- Chẩn đoán các dấu hiệu bất thường

- Cấu hình server: có 4 công cụ ( Task Scheduler, Windows Firewall, Services và WMI Control)

- Cấu hình sao lưu và lưu trữ: các công cụ giúp bạn sao lưu và quản lý ổ đĩa là Windows Server Backup và Disk Management đều nằm trên Server Manager

Server Core là tính năng mới của Windows Server 2008, cho phép cài đặt hệ thống với mục đích hỗ trợ đặc biệt cho một số vai trò nhất định Bằng cách loại bỏ các thành phần không cần thiết, Server Core giúp tối ưu hóa hiệu suất, giảm diện tích bề mặt tấn công và nâng cao tính bảo mật.

Tất cả các tương tác với Server Core được thông qua các dòng lệnh

Server Core mang lại những lợi ích sau:

 Giảm thiểu được phần mềm, vì thế việc sử dụng dung lượng ổ đĩa cũng được giảm Chỉ tốn khoảng 1GB khi cài đặt

 Bởi vì giảm thiểu được phần mềm nên việc cập nhật cũng không nhiều

 Giảm thiểu tối đa những hành vi xâm nhập vào hệ thống thông qua các port được mở mặc định

Server Core không đầy đủ các tính năng của những phiên bản cài đặt Server khác Ví dụ như NET Framework hoặc Internet Explorer

PowerShell là một tập hợp lệnh Nó kết nối những dòng lệnh shell với một ngôn ngữ script và thêm vào đó hơn 130 công cụ dòng lệnh (được gọi là cmdlets) Hiện tại, có thể sử dụng PowerShell trong:

 Quản trị các dịch vụ, xử lý và registry

Mặc định, Windows PowerShell không được cài đặt Tuy nhiên có thể cài đặt nó một cách dễ dàng bằng cách sử dụng công cụ quản trị Server Manager

Windows Deployment Services được tích hợp trong Windows Server 2008 cho phép cài đặt hệ điều hành từ xa cho các máy client mà không cần phải cài đặt trực tiếp WDS cho phép bạn cài đặt từ xa thông qua Image lấy từ DVD cài đặt Ngoài ra, WDS còn hỗ trợ tạo Image từ

1 máy tính đã cài đặt sẵn Windows và đầy đủ các ứng dụng khác

Windows Deployment Serviece sử dụng định dạng Windows Image (WIM) Một cải tiến đặc biệt với WIM so với RIS là WIM có thể làm việc tốt với nhiều nền tảng phần cứng khác nhau

Terminal Services là một thành phần chính trên Windows Server 2009 cho phép user có thể truy cập vào server để sử dụng những phần mềm

Terminal Services giúp người quản trị triển khai và bảo trì hệ thống phần mềm trong doanh nghiệp một cách hiệu quả Người quản trị có thể cài đặt các chương trình phần mềm lên Terminal Server mà không cần cài đặt trên hệ thống máy client, vì thế việc cập nhật và bảo trì phần mềm trở nên dễ dàng hơn

Terminal Services cung cấp 2 sự khác biệt cho người quản trị và người dùng cuối :

Dành cho người quản trị: cho phép quản trị có thể kết nối từ xa hệ thống quản trị bằng việc sử dụng Remote Desktop Connection hoặc Remote Desktop

Dành cho người dùng cuối: cho phép người dùng cuối có thể chạy các chương trình từ Terminal Services server

Network Access Protection (NAP) là một hệ thống chính sách thi hành (Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows Server 2008

Cơ chế thực thi của NAP:

 Kiểm tra tình trạng an toàn của client

 Giới hạn truy cập đối với các máy client không an toàn

 NAP sẽ cập nhật những thành phần cần thiết cho các máy client không an toàn, cho đến khi client đủ điều kiện an toàn.Cho phép client kết nối nếu client đã thỏa điều kiện

 NAP giúp bảo vệ hệ thống mạng từ các client

 NAP cung cấp bộ thư viên API (Application Programming Interface), cho phép các nhà quản trị lập trình nhằm tăng tính bảo mật cho mình

Read-Only Domain Controller (RODC) là một kiểu Domain Controller mới trên Windows Server 2008 Với RODC, doanh nghiệp có thể dễ dàng triển khai các Domain Controller ở những nơi mà sự bảo mật không được đảm bảo về bảo mật RODC là một phần dữ liệu của Active Directory Domain Services

Vì RODC là một thành phần dữ liệu của ADDS nên nó lưu trữ đầy đủ các đối tượng, thuộc tính và chính sách giống như một domain controller thông thường, ngoại trừ mật khẩu người dùng.

Clustering là công nghệ cho phép sử dụng hai hay nhiều server kết hợp với nhau để tạo thành một cụm server để tăng cường tính ổn định trong vận hành Nếu server này ngưng hoạt động thì server khác trong cụm sẽ đảm nhận nhiệm vụ mà server ngưng hoạt động đó đang thực hiện nhằm mục đích hoạt động của hệ thống vẫn bình thường Quá trình chuyên giao gọi là failover

Những phiên bản sau hỗ trợ:

2.2.9 Windows Firewall with Advance Security

Windows Firewall with Advance Security cho phép người quản trị có thể cấu hình đa dạng và nâng cao để tăng cường tính bảo mật cho hệ thống

Windows Firewall with Advance Security có những điểm mới:

 Kiểm soát chặt chẽ các kết nối vào và ra trên hệ thống (inbound và outbound)

 IPsec được thay thế bằng khái niệm Connection Security Rule, giúp bạn có thể kiểm soát và quản lý các chính sách, đồng thời giám sát trên firewall Kết hợp với Active Directory

 Hỗ trợ đầy đủ IPv6.

MỘT SỐ TÍNH NĂNG MỚI CỦA WINDOWS SERVER 2008-R2

2.3.1 Công nghệ ảo hóa Hyper-V

Hyper-V là công nghệ ảo hóa server thế hệ mới của Microsoft, đây là thay đổi lớn nhất so với phiên bản Windows Server 2003 Hyper-V hoạt động trên nền hệ điều hành 64-bit Hyper-V, giúp sở hữu một nền tảng ảo hóa linh hoạt, bảo mật, tối đa hiệu suất và tiết kiệm chi phí :

- Hyper-V có thể thích nghi với doanh nghiệp lớn với hàng nghìn máy tính hoặc các doanh nghiệp nhỏ hay văn phòng chi nhánh Hyper-V hỗ trợ bộ nhớ ảo lên đến 64GB, đa bộ vi xử lý

Leveraging Windows Firewall, Network Access Protection, and other security tools, virtual servers offer comparable security to physical servers As a result, virtual environments provide an equally secure platform.

Hyper-V tối ưu hiệu suất sử dụng phần cứng máy chủ nhờ tính năng hợp nhất máy chủ cho phép một máy chủ vật lý đảm nhận nhiều vai trò của nhiều máy chủ khác, giúp tiết kiệm chi phí mua sắm máy chủ, điện năng, không gian và bảo trì.

- Hyper-V chỉ có thể hỗ trợ đến 32 bộ vi xử lý

Cho phép di trú các máy ảo sang một máy chủ vật lý khác với một phiên bản CPU khác (nhưng không phải là CPU của nhà sản xuất khác) Trước đây, để chuyển một máy ảo Hyper-

V sang một phần cứng khác, các CPU phải giống nhau, điều đó yêu cầu người dùng thường phải mua lại phần cứng mới

FCI là một tính năng built-in cho phép các chuyên gia CNTT phân loại và quản lý dữ liệu trong các máy chủ file Dữ liệu có thể được phân loại với tác động doanh nghiệp mức thấp, cao hoặc trung bình, sau đó người dùng có thể backup các dữ liệu quan trọng nhất dễ dàng hơn và hiệu quả hơn

2.3.4 Quản lý trong ỗ đĩa và file

- Cung cấp khả năng thay đổi kich thước phân vùng

- Shadow Copy hỗ trợ ổ đĩa quang, ổ đĩa mạng

- Distributed File System được cải tiến

- Internet Storage Naming Server cho phép đăng ký, hủy đăng ký tập trung và truy xuất tới các ổ đĩa cứng iSCS

2.3.5 Cải tiến giao thức và mã hóa

- Hỗ trợ mã hóa 128 và 256 bit cho giao thức chứng thực Keberos

- Hàm API mã hóa mới hỗ trợ mã hóa vòng elip và cải tiến quản lý chứng chỉ

- Giao thức VPN mới Secure Socket Tunneling Protocol

- AuthIP được sử dụng trong mạng VPN Ipsec

- Giao thức Server Message Block 2.0 cung cấp các cải tiến trong truyền thông

2.3.6 Một số tính năng khác

- Windows Deployment Services thay thế cho Automated Deployment Services và Remote Installation Services

- IIS 7 thay thế IIS 6, tăng cường khả năng bảo mật, cải tiến công cụ chuẩn đoán, hỗ trợ quản lý

- Có thành phần "Desktop Experience" cung cấp khả năng cải tiến giao diện.

CÁC PHIÊN BẢN CỦA WINDOWS SERVER 2008

2.4.1 Windows Server 2008: Ứng dụng cho các trung tâm data lớn, ứng dụng nghiệp vụ riêng, khả năng mở rộng cao cho tới 64 bộ xử lý

Windows Server 2008 Standard là một trong những phiên bản ít tốn kém nhất của các phiên bản khác nhau có sẵn Windows Server 2008 Stardard hỗ trợ tới 4GB RAM và 4 bộ vi xử lý Chủ yếu nhắm mục tiêu vào các doanh nghiệp vừa và nhỏ Chỉ có thể nâng cấp lên Windows Server 2008 Standard từ Windows 2000 Server và Windows Server 2003 Standard Edition

Windows Server 2008 Enterprise Edition offers greater functionality and scalability than its Standard Edition counterpart This version comes in both 32-bit and 64-bit variants It supports up to 8 processors and up to 64GB of RAM for 32-bit systems, and a remarkable 2TB of RAM for 64-bit systems.

Các tính năng khác của ấn bản Doanh nghiệp bao gồm hỗ trợ Clustering đến 8 nút và Active Directory Federated Services (AD FS)

Các phiên bản Windows Server 2000, Windows 2000 Advanced Server, Windows Server

2003 Standard Edition và Windows Server 2003 Enterprise Edition đều có thể được nâng cấp lên Windows Server 2008 Enterprise Edition

Windows Server 2008 phiên bản Datacenter được thiết kế để đáp ứng các nhiệm vụ quan trọng, yêu cầu độ ổn định và thời gian hoạt động cao trong doanh nghiệp Cấu trúc của phiên bản Datacenter này kết nối chặt chẽ với phần cứng cơ bản thông qua việc triển khai Tầng trừu tượng hóa phần cứng (HAL) tùy chỉnh, mang đến khả năng kiểm soát và tương tác nâng cao giữa phần mềm và hệ thống máy chủ.

Windows server 2008 Datacenter cũng hỗ trợ hai phiên bản 32 bit và 64 bit Nó hỗ trợ 64GB bộ nhớ RAM trên nền 32 bit và lên tới 2TB RAM trên nền 64 bít Ngoài ra phiên bản này còn hỗ trợ tối thiểu là 8 bộ vi xử lý và tối đa là 64 Để nâng cấp lên phiên bản này thì phải là các phiên bản Datacenter 2000 và 2003

Windows Web Server 2008 là một phiên bản của Windows Server 2008 được thiết kế chủ yếu cho mục đích cung cấp các dịch vụ web Nó bao gồm Internet Information Services (IIS) 7,0 cùng với các dịch vụ liên quan như Simple Mail Transfer Protocol (SMTP) và Telnet Nó cũng có các phiên bản 32-bit và 64-bit, phiên bản và hỗ trợ lên đến 4 bộ vi xử lý RAM được giới hạn 4GB và 32GB trên 32-bit và 64-bit hệ thống tương ứng

Windows Web Server 2008 thiếu nhiều tính năng hiện diện trong các phiên bản khác như phân nhóm, mã hóa ổ đĩa BitLocker, Multi I/O, Windows Internet Naming Service (WINS), Removable Storage Management và SAN Management.

WINDOWS SERVER 2008 - R2

Nối tiếp sự thành công của Windows server 2008 là Windows server 2008-R2 Hệ điều hành này ra mắt vào 22/7/2009 và được chính thức ra mắt thị trường vào 22/10/2009 Đây là hệ đều hành máy chủ 64 bit đầu tiên Microsoft phát hành Một số cải tiến của hệ điều hành phiên bản mới nhất này là khả năng ảo hóa, tính năng quản lý các chức năng mới,… bộ vi xử lý được hỗ trợ lên đến 265 kí tự

Các phiên bản chính thức của Windows server 2008 R2 bao gồm:

- Windows Server 2008 R2 for Itanium-based Systems

Một số tính năng mới trong Windows server 2008 R2 :

- Các khả năng ảo hóa

- Giảm lượng tiêu thụ điện năng

- Mở rộng một số công cụ quản lý mới.

WINDOWS SERVER 2022

Windows Server 2022 được xây dựng dựa trên nền tảng vững chắc của Windows Server

2019 và mang lại nhiều đổi mới trên ba chủ đề chính: bảo mật, tích hợp và quản lý lai Azure và nền tảng ứng dụng

Trung tâm dữ liệu Windows Server 2022: Azure Edition giúp sử dụng các lợi ích của đám mây để giữ cho máy ảo của luôn được cập nhật trong khi giảm thiểu thời gian chết Phần này mô tả một số tính năng mới trong Trung tâm dữ liệu Windows Server 2022: Azure Edition Tìm hiểu thêm về cách Azure Automanage dành cho Windows Server mang lại những khả năng mới này cho Windows Server Azure Edition trong bài viết Dịch vụ Azure Automanage dành cho Windows Server

Trung tâm dữ liệu Windows Server 2022: Phiên bản Azure được xây dựng trên Phiên bản trung tâm dữ liệu để cung cấp hệ điều hành chỉ dành cho máy ảo giúp sử dụng các lợi ích của đám mây, với các tính năng nâng cao như SMB qua QUIC, Hotpatch và Azure Extended Networking Phần này mô tả một số tính năng mới này

So sánh sự khác biệt giữa các phiên bản trong Windows Server 2022 Bạn cũng có thể tìm hiểu thêm về cách Azure Automanage dành cho Windows Server mang lại những khả năng mới này cho Windows Server Azure Edition trong bài viết dịch vụ Azure Automanage dành cho Windows Server

2.6.2 Storage Replica compression for data transfer

Bản cập nhật này bao gồm nén Bản sao lưu trữ cho dữ liệu được truyền giữa máy chủ nguồn và máy chủ đích Chức năng mới này nén dữ liệu sao chép tại hệ thống nguồn, được gửi qua mạng và được giải nén và lưu trên đích Việc nén dẫn đến ít gói mạng hơn để truyền cùng một lượng dữ liệu, cho phép nhiều thông lượng hơn và ít sử dụng mạng hơn Thông lượng dữ liệu cao hơn cũng sẽ dẫn đến giảm thời gian đồng bộ hóa khi bạn cần nhất, ví dụ như trong trường hợp khôi phục thảm họa

Tham số Storage Replica PowerShell mới có sẵn cho các lệnh hiện có, hãy xem lại tài liệu tham khảo Windows PowerShell StorageReplica để tìm hiểu thêm Để biết thêm thông tin về Bản sao lưu trữ, hãy xem tổng quan về Bản sao lưu trữ

2.6.3 Support for Azure Stack HCI

Với bản phát hành này, bạn có thể chạy Trung tâm dữ liệu Windows Server 2022: Azure Edition như một máy ảo khách được hỗ trợ trên Azure Stack HCI phiên bản 22H2 Với Azure Edition chạy trên Azure Stack HCI, bạn sẽ có thể sử dụng tất cả các tính năng hiện có bao gồm Hotpatch cho Server Core và SMB qua QUIC tại trung tâm dữ liệu và các vị trí cạnh của bạn

Deploy Azure Stack HCI with Windows Server 2022 Datacenter: Azure Edition using Azure Marketplace on Azure Stack HCI enabled with Arc or use the ISO You can download the ISO here:

- Trung tâm dữ liệu Windows Server 2022: Azure Edition (EN-US) ISO

- Trung tâm dữ liệu Windows Server 2022: Azure Edition (ZH-CN) ISO Đăng ký Azure của bạn cho phép bạn sử dụng Trung tâm dữ liệu Windows Server: Azure Edition trên bất kỳ phiên bản máy ảo nào chạy trên Azure Stack HCI, để biết thêm thông tin, hãy tham khảo điều khoản sản phẩm của bạn Điều khoản sản phẩm

Tìm hiểu thêm về các tính năng Azure Stack HCI mới nhất trong bài viết Có gì mới trong Azure Stack HCI, phiên bản 22H2 của chúng tôi

Các ứng cử viên cho chứng chỉ Liên kết quản trị viên kết hợp Windows Server phải có chuyên môn về vấn đề cấu hình và quản lý khối lượng công việc tại chỗ, kết hợp và cơ sở hạ tầng Windows Server dưới dạng dịch vụ (IaaS)

Trách nhiệm cho vai trò này bao gồm tích hợp môi trường Windows Server với các dịch vụ Azure và quản lý Windows Server trong các mạng tại chỗ Vai trò này quản lý và duy trì khối lượng công việc Windows Server IaaS trong Azure, ngoài việc di chuyển và triển khai khối lượng công việc sang Azure

Vai trò này thường cộng tác với quản trị viên Azure, kiến trúc sư doanh nghiệp, quản trị viên Microsoft 365 và kỹ sư mạng

Các ứng cử viên cho chứng chỉ này quản lý khối lượng công việc và dịch vụ Windows Server cốt lõi và nâng cao bằng cách sử dụng các công nghệ tại chỗ, kết hợp và đám mây Các chuyên gia này phải có chuyên môn trong việc triển khai và quản lý các giải pháp tại chỗ và kết hợp, chẳng hạn như nhận dạng, quản lý, máy tính, mạng và lưu trữ Họ cũng là những chuyên gia thực hiện các nhiệm vụ liên quan đến bảo mật, di chuyển, giám sát, tính sẵn sàng cao, khắc phục sự cố và khắc phục thảm họa Các chuyên gia này sử dụng các công cụ và công nghệ quản trị, bao gồm Trung tâm quản trị Windows, PowerShell, Azure Arc và quản trị máy ảo IaaS Họ cũng làm việc với Azure Automation Update Management, Microsoft Defender for Identity, Azure Security Center, Azure Migrate và Azure Monitor Ứng viên cho chứng chỉ này phải có nhiều kinh nghiệm làm việc với hệ điều hành Windows Server

Trình bày một số tính năng mới của windows server 2008-r2?

2 Trình bày các phiên bản windows server 2008-r2?

3 Trình bày bảo mật, tích hợp và quản lý lai Azure và nền tảng ứng dụng của windows server 2022?

CÀI ĐẶT WINDOWS SERVER 2008-R2

YÊU CÀU PHẦN CỨNG

Phần cứng Yêu cầu tối thiểu Đề nghị

Bộ vi xử lý 1 Ghz (x86), 1,4 Ghz (x64) 2Ghz hoặc lớn hơn

Dung lượng trống 15GB 40GB

Windows Server 2008 hỗ trợ cả 2 cấu trúc vi xử lý 32-bit và 64-bit Tuy nhiên, phiên bản mới nhất là Windows Server 2008 R2, Windows Midmarket Server và Windows Small Business với những tính năng đa dịch vụ, các phiên bản này chỉ hỗ trợ cấu trúc vi xử lý 64-bit

RAM hỗ trợ tối đa cho hệ thống 32-bit là 4GB khi chạy phiên bản Standard Edition và 64GB khi chạy phiên bản Enterprise và Datacenter Nếu chạy hệ thống 64-bit, bộ nhớ RAM có thể hỗ trợ lên dến 32GB và 2TB RAM cho phiên bản Enterprise và Datacenter Thêm vào đó, Windows Server 2008 hỗ trợ hệ thống Itanium, tuy nhiên chip xử lí Intel Itanium 2 nhân là cần thiết.

CÁC CÁCH CÀI ĐẶT

Có 6 cách cài đặt Windows Server 2008-r2

- Tự cài đặt các nâng cấp

- Cài đặt từ kịch bản

- Cài đặt bằng cách sử dụng Core Configurator 2.0

- Cài đặt trực tiếp từ đĩa CD Windows Server 2008-r2.

NÂNG CẤP LÊN WINDOWS SERVER 2008-r2

Những phiên bản trước Nâng cấp lên Windows Server

Microsoft Windows Server 2003 Service Pack

1(SP1) Standard, Enterprise hoặc Datacenter

Microsoft Windows Server 2003 Service Pack 2

(SP2) Standard, Enterprise hoặc Datacenter Edition

Windows NT 4.0 Không hỗ trợ

Windows 2000 Server Không hỗ trợ

Windows XP Không hỗ trợ

Windows Vista Không hỗ trợ

Khi nâng cấp lên phiên bản Windows Server 2008, máy Server phải chạy các hệ điều hành ở cấp độ server Không thể nâng cấp từ các phiên bản Windows như Windows XP hoặc Windows Vista lên Windows Server 2008 Để nâng cấp lên Windows Server 2008-R2, hệ thống của bạn phải chạy Windows Server 2003 Việc nâng cấp từ Windows NT 4.0 và Windows 2000 Server không được hỗ trợ Việc nâng cấp từ những phiên bản Windows Server

2003 lên phiên bản Windows Server 2008-R2 Server Core không được hỗ trợ Việc nâng cấp chỉ thực hiện được ở những phiên bản giống nhau Khi nâng cấp lên phiên bản Windows Server 2008-R2, mọi cấu hình thiết lập, file và các chương trình đều được giữ lại

CÀI ĐẶT WINDOWS SERVER 2008-R2

Trong phần tài liệu nầy sẽ hướng dẫn cài đặt HĐH Windows Server 2008-r2 từ đĩa CD, ở đây chúng ta cài đặt mới hoàn toàn Chúng ta cần phải có bản quyền chính thức bằng cách mua từ các cửa hàng có bản quyền của Microsoft Khi đó chúng ta sẽ có CD Key kèm theo khi cài đặt

Các bước cài đặt như sau :

Bước 1 : Chuẩn bị Đây là bước thiết lập đầu tiên khi chuẩn bị cài đặt từ CD hay USB Để khởi động được chương trình cài đặt từ CD hay USB ta cần thiết lập thông số trong BIOS Tuỳ theo loại Mainboard khác nhau mà thông số thiết lập sẽ thay đổi Thông thường ta tìm thông số có nội dung là : First boot device , Boot prioprity và chọn là CD hay USB để khởi động cài đặt và đưa CD hay USB vào thiết bị tương ứng

Khởi động máy tính từ đĩa source cài đặt Windows Server 2008

Giai đoạn cài đặt diễn ra một số bước như sau:

- Trong hộp thoại Install Windows đầu tiên, ta nhập vào các thông tin như sau:

 Language to install: Chọn ngôn ngữ cho quá trình cài đặt, mặc định là tiếng Anh

 Time and currency format: Chọn thời gian, múi giờ Chúng ta chọn là Vietnam

 Keyboard or input method: Chọn kiểu gõ bàn phím mặc định là US

 Chọn Next để tiếp tục quá trình cài đặt

Trong hộp thoại kế tiếp, ta chọn Install now để tiến hành quá trình cài đặt

Trong hộp thoại Type your product key for activation, chúng ta nhập key được ghi trên đĩa cài đặt và check vào mục Automatically active Windows when I’m online Trong trường hợp chúng ta cài bản thử nghiệm thì không cần nhập vào Product key, bỏ dấu check ở mục Antomatically active…và chọn Next để tiếp tục Trong trường hợp này chúng ta sẽ được sử dụng phiên bản thử nghiệm trong 60 ngày

Trong hộp thoại Select the edition of Windows that you purchased, ta lựa chọn phiên bản hệ điều hành cần cài đặt Đối với trường hợp có Product key, ta lưu ý chọn đúng phiên bản tương ứng với Product key mà bạn đã mua Còn trong trường hợp sử dụng phiên bản thử nghiệm 60 ngày thì chúng ta có thể chọn bất cứ phiên bản hệ điều hành nào mà chúng ta muốn thử nghiệm

Sau khi lựa chọn xong, ta check vào mục I have selected the edition of Windows that I purchased rồi chọn Next để tiếp tục quá trình cài đặt

Trong trường hợp này chúng ta sẽ cài đặt phiên bản Windows Server 2008 Enterprise (Full

Trong hộp thoại Please read the license terms, cho chúng ta xem qua các điều lệ về bản quyền của Microsoft Ta check vào mục I accept the license terms rồi chọn Next để tiếp tục

Trong hộp thoại Which type of installation do you want, ta chọn mục Custom (advanced) để tiến hành cài mới Windows Server 2008

Trong hộp thoại Where do you want to install Windows, cho phép ta chia các phân vùng của ổ cứng trước khi cài đặt Trong trường hợp cài mới này, ổ cứng vẫn chưa được định dạng nên chúng ta chọn vào mục Drive options (Advanced) để chia và định dạng các phân vùng của ổ cứng Để tạo mới các phân vùng ta chọn vào mục New

Trong mục Size cho phép ta định dung lượng của một phân vùng (tính theo MB), sau đó chọn Apply để tạo mới phân vùng đó

Sau khi tạo xong, ta chọn Next để tiếp tục

Quá trình cài đặt Windows diễn ra

Chờ đến khi cài đặt hoàn tất

Sau khi hoàn tất cài đặt Windows Server 2008-r2 màn hình được thể hiện như bên dưới

1 Trình bày các bước cài đặt?

Thực hành cài đặt mới Hệ điều hành Windows Server 2008-R2 trên máy ảo chạy trên phần mềm VMware

Thiết lập IP như sau :

QUẢN TRỊ HỆ ĐIỀU HÀNH WINDOWS SERVER

TÀI KHOẢN VÀ NHÓM CỤC BỘ

Để bảo mật thông tin cá nhân trên hệ thống máy tính, Hệ điều hành Windows xây dựng các nhận dạng (profile) khác nhau cho mỗi tài khoản Điều nầy có nghĩa là mỗi tài khoản khi đăng nhập vào hệ thống sẽ có giao diện và dữ liệu cá nhân riêng biệt, chỉ có tài khoản đăng nhập mới sử dụng được dữ liệu cá nhân của tài khoản đó Để thực hiện điều nầy Hệ điều hành Windows cung cấp công cụ Local Users and Groups quản lý tài khoản trên máy tính Người quản trị mạng sẽ sử dụng công cụ nầy để tạo các tài khoản người dùng trên cùng một máy, khi đó dữ liệu của người này người kia không thể truy cập được

Tài khoản người dùng cục bộ (Local User) gồm tên tài khoản và mật khẩu đăng nhập Tên tài khoản dùng để phân biệt các tài khoản nên phải unique Loại tài khoản này chỉ có hiệu lực trên máy tính tạo ra nó, tức là chỉ có thể sử dụng để đăng nhập vào máy tính đã tạo.

4.1.1 Tài khoản người dùng cục bộ – Local User Để tạo User từ công cụ Local Users and Groups cần phải đăng nhập bằng tài khoản Administrator (đây là tài khoản có quyền cao nhất trong hệ thống)

Các bước tạo User như sau :

1 Đăng nhập hệ thống với tài khoản Administrator

2 Vào Start – Administrative Tools – Computer Management

3 Màn hình Computer Management xuất hiện, trong khung cửa sổ bên trái mở rộng mục Computer Management, chọn mục Local Users and Group và mở rộng nó ra

4 Chọn mục Users, chuột phải chọn New User

5 Cửa sổ New User xuất hiện, ta điền thông tin cho User name, Full name, Description, Password và Confirm password giống nhau

Password phải thoả mảng các điều kiện như sau :

 Các kí tự in hoa : A,B,C,D,E…

 Các kí tự đặc biệt : @,!,$,&,#

6 Thiết lập các lựa chọn sau :

 User must change password at next logon : người dùng phải thay đổi mật mã trong lần đăng nhập sau

 User can not change password : người dùng không có quyền đổi mật mã

 Password never expires : mật mã không bao giờ hết hạn

 Account is disabled : vô hiệu hoá tài khoản

7 Nhấn nút Create để tạo tài khoản Nếu gặp thông báo “ The password was not correctly confirmed Please ensure that the password and confirmation match exaxtly ” là do Password và Confirm password chưa giống nhau :

Phần sau đây minh hoạ các bước tạo User :

Chọn mục Users, chuột phải chọn New User

Cửa sổ New User xuất hiện, ta điền thông tin cho User name, Full name, Description, Password và Confirm password giống nhau

Password và Confirm password không giống nhau Chú ý : một số lỗi khi tạo User

- Dưới đây là lỗi mật mã không phù hợp với chính sách tài khoản, lỗi nầy có thể là : chiều dài mật mã chưa phù hợp với chính sách hoặc mật mã chưa đủ độ phức tạp theo yêu cầu của chính sách

- Độ phức tạp của mật mã phải đáp ứng tất cả các điều kiện ở bước 5 Nghĩa là mật mã phải bao gồm chữ in hoa, chữ thường, số, ký tự đặc biệt biệt và độ dài đúng yêu cầu

4.1.2 Nhóm – Local Group Để tạo Group từ công cụ Local Users and Groups cần phải đăng nhập bằng tài khoản Administrator (đây là tài khoản có quyền cao nhất trong hệ thống)

Các bước tạo Group như sau :

2 Vào Start – Administrative Tools – Computer Management

3 Màn hình Computer Management xuất hiện, trong khung cửa sổ bên trái mở rộng mục Computer Management, chọn mục Local Users and Group và mở rộng nó ra

4 Chọn mục Group, chuột phải chọn New Group

5 Điền thông tin Group name, Description

6 Nhấn nút Create để tạo

Phần sau đây minh hoạ các bước tạo Group :

Chọn mục Users, chuột phải chọn New Group Điền thông tin Group name, Description

Nhấn nút Create để tạo

Chú ý : một số lỗi khi tạo Group

- Dưới đây là lỗi trùng tên Group (vì Group Users đã có trên hệ thống)

Sau khi tạo User, bước tiếp theo là quản lý được các User đã tạo ra Thao tác nầy chỉ các tài khoản được cấp quyền mới thực hiện được Trong giáo trình nầy sẽ dùng tài khoản Administrator để quản lý các User

Quản lý User bao gồm những thao tác như tạo mới, đổi tên, đưa vào nhóm, vô hiệu hóa, xóa bỏ hoặc thay đổi thuộc tính Để đổi tên User, mở cửa sổ "Quản lý Máy tính", mở rộng "Quản lý Máy tính" trong khung bên trái, chọn "Người dùng và Nhóm cục bộ", chọn mục "Người dùng", tìm tên người dùng cần đổi trong danh sách bên phải và thực hiện thao tác đổi tên.

Các bước thực hiện đổi tên User :

1 Chuột phải lên User cần đổi tên

2 Chọn Rename, đặt lại tên cho User

3 Enter để hoàn tất đổi tên

Phần sau đây minh hoạ các bước đổi tên User :

Chuột phải lên User – chọn mục Rename

Nhập levantam và nhấn Enter

Thay đổi mật mã cho User Để đổi mật mã User ta mở của sổ Computer Management, trong khung cửa sổ bên trái mở rộng mục Computer Management, chọn mục Local Users and Group và mở rộng nó ra, chọn mục User Trong danh sách User được liệt kê khung bên phải cửa sổ ta thực hiện thao tác như sau :

Các bước thực hiện đổi mật mã User :

1 Chuột phải lên User cần đổi mật mã

3 Hộp thoại Set password xuất hiện, nhấn chọn nút Proceed

4 Hộp thoại nhập mật mã xuất hiện, nhập mật mã mới vào mục New password và xác nhận lại mật mã mới trong mục Confirm password, nhấn Enter để hoàn tất đổi mật mã

Chuột phải lên User – chọn mục Set password

Nhấn chọn nút Proceed ở hộp thoại

Nhập mật mã mới trong cửa sổ nầy

Chú ý : một số lỗi khi thay đổi mật mã

- Dưới đây là lỗi New password và Confirm password không giống nhau

- Độ phức tạp của mật mã phải đáp ứng tất cả các điều kiện chính sách Nghĩa là mật mã phải bao gồm chữ in hoa, chữ thường, số, ký tự đặc biệt và độ dài đúng yêu cầu

Vô hiệu hoá User Để vô hiệu hoá User ta mở của sổ Computer Management, trong khung cửa sổ bên trái mở rộng mục Computer Management, chọn mục Local Users and Group và mở rộng nó ra, chọn mục User Trong danh sách User được liệt kê khung bên phải cửa sổ ta thực hiện thao tác như sau :

Các bước thực hiện đổi mật mã User :

1 Chuột phải lên User cần vô hiệu hoá

3 Trong cửa sổ Properties chọn Tab General

4 Đánh dấu mục Account is disabled

5 Chọn nút OK để kết thúc thao tác

Chuột phải lên User– chọn mục Properties sổ Properties chọn Tab General Đánh dấu mục Account is disabled

Gán User vào Group Để gán User vào Group hay loại bỏ Group ta mở của sổ Computer Management, trong khung cửa sổ bên trái mở rộng mục Computer Management, chọn mục Local Users and Group và mở rộng nó ra, chọn mục User Trong danh sách User được liệt kê khung bên phải cửa sổ ta thực hiện thao tác như sau :

Các bước thực hiện gán Group cho User :

3 Trong cửa sổ Properties chọn Tab Member of

4 Ở Tab Member of nhấn nút Add

5 Cửa sổ Select Group xuất hiện, nhấn chọn nút Advance, nhấn chọn nút Find now trên cửa sổ tiếp theo

6 Chọn Group trong danh sách Search results, nhấn nút OK để đưa vào danh sách group, nhấn nút OK để đóng hộp thoại

7 Trở lại cửa sổ Properties nhấn nút Apply để tác vụ có hiệu lúc tức thời, nhấn chọn

Phần sau đây minh hoạ gán Group cho User :

Chuột phải lên User – chọn mục Properties Ở Tab Member of nhấn nút Add

Cửa sổ Select Group xuất hiện, nhấn chọn nút Advandce

Nhấn chọn nút Find now trên cửa sổ tiếp theo

Chọn Group trong danh sách Search results

Nhấn nút OK để đóng hộp thoại

Trở lại cửa sổ Properties nhấn nút Apply để tác vụ có hiệu lúc tức thời, nhấn chọn Ok để kết thúc

Các bước thực hiện loại bỏ Group cho User :

3 Trong cửa sổ Properties chọn Tab Member of

4 Ở Tab Member chọn Group cần loại bỏ, nhấn nút Remove

5 Nhấn nút Apply để tác vụ có hiệu lúc tức thời, nhấn chọn Ok để kết thúc

Phần sau đây minh hoạ gở bỏ Group cho User :

Chọn Group và nhấn nút Remove

Xoá User Để xoá User ta mở của sổ Computer Management, trong khung cửa sổ bên trái mở rộng mục Computer Management, chọn mục Local Users and Group và mở rộng nó ra, chọn mục User Trong danh sách User được liệt kê khung bên phải cửa sổ ta thực hiện thao tác như sau : Các bước thực hiện đổi mật mã User :

1 Chuột phải lên User cần xoá

3 Nhấn chọn OK để xác nhận xoá từ hộp thoại xác nhận

Chuột phải lên User – chọn Delete

Nhấn chọn Yes để xác nhận xoá từ hộp thoại xác nhận

CHÌNH SÁCH CỤC BỘ

Hầu hết mọi máy chủ đang được sử dụng đều chạy một số loại dịch vụ nhất định nào đó, những dịch vụ này cấp quyền truy cập vào dữ liệu, tài nguyên, ứng dụng và thực hiện một số chức năng khác của mạng và máy chủ

Các dịch vụ để ngỏ sẽ dễ bị tin tặc tấn công Khi một dịch vụ bị khai thác, quyền truy cập vào máy chủ và thậm chí cả mạng lưới có thể bị đe dọa, dẫn đến hậu quả nghiêm trọng và thiệt hại nặng nề.

Do đó khi tung ra phiên bản Windows Server 2008, Microsoft đã bổ sung một số chức năng quản lý dịch vụ Khi sử dụng kết hợp những công cụ quản lý dịch vụ trong một Group Policy Object, bạn có thể an tâm vì những dịch vụ của bạn đã được bảo vệ khá an toàn

4.2.1 Chính sách tài khoản – Account Policy

Trong công tác quản trị mạng việc ứng dụng Group Policy vào công việc là điều không thể thiếu đối với bất cứ nhà quả trị mạng nào Với Group Policy ta có thể tùy biến Windows theo chủ ý mà với người sử dụng thông thường không thể làm được Local

Security Policy (chính sách bảo mật cục bộ) Để thiết lập chính sách ta cần phải đăng nhập bằng tài khoản Administrator (đây là tài khoản có quyền cao nhất trong hệ thống)

Các bước thực hiện thiết lập chính sách tài khoản:

1 Chọn Administrative Tools – Local Sercurity Policy

2 Trong cứ sổ Local Sercurity Policy mở rộng theo danh sách Sercuriry Setting – Account Policies

Chính sách mật mã – Password Policy

Trong Account Policy ta chọn Password Policy :

Trong này bao gồm các mục:

 Enforce password history: nhớ bao nhiêu password không cho đặt trùng

 Minimum password age: số ngày tối thiểu phải sử dụng để User được thay đổi password kể từ lần thay đổi trước

 Maximum password age: số ngày tối đa sử dụng để User được thay đổi password kể từ lần thay đổi trước

 Minimum password length: qui định độ dài tối thiểu Password Để gia tăng chế độ bảo mật bạn nên Enable tính năng này lên với giá trị >8 để cho độ dài của password user luôn ở mức an toàn cao

 Password must meet complexity … : khi đặt password cho wins phải có đủ độ phức tạp.(hoa, thường, số, ký tự đặc biệt) Mặc định tính năng này sẽ bị disable, để gia tăng chế độ bảo mật bạn nên Enable nó lên

 Store password using reversible … : mã hoá password

Chính sách khoá tài khoản - Account lockout policy

 Account lockout duration: thời gian tài khoản bị khoá khi đăng nhập sai Nếu ta nhập 30 thì tài khoản sẽ bị khoá trong 30 phút khi đang nhập sai

 Account lockout threshold: qui định số lần đăng nhập sai sẽ bị khoá tài khoản

Nếu qui định là 3 chẳn hạn thì sau 3 lần đăng nhập không được tài khoản sẽ bị khoá

 Reset account lockout counter after: định thời gian xoá bộ đếm đếm số lần đăng nhập sai

Trong chính sách giao quyền Hệ điều hành cỏn cho phép thiết lập quyền tác dộng vào hệ thống cho từng User Để thiết lập chính sách ta cần phải đăng nhập bằng tài khoản Administrator (đây là tài khoản có quyền cao nhất trong hệ thống)

Các bước thực hiện thiết lập quyền truy cập cho tài khoản:

1 Chọn Administrative Tools – Local Sercurity Policy

2 Trong cứ sổ Local Sercurity Policy mở rộng theo danh sách Sercuriry Setting – Local Policies

3 Chọn mục User Rights Assignment

 Deny logon locally: chọn user không cho đăng nhập vào máy tính

 Change the system time: những người được thay đổi giờ hệ thống

 Shutdown the system: những người có quyền tắt máy

 Allow log on through Terminal Services: cho phép đăng nhập thống qua Terminal Services

Trên Windows Server 2008-r2 thiết lập chính sách tài khoản theo yêu cầu sau:

- Chiều dài mật mã tối thiểu 8 kí tự

- Mật mã chế dộ phức tạp

- Không qui định kiểm tra đặt trùng mật mã các lần trước đó

- Qui định ít nhất phải sử dụng 1 ngày mới có thể thay đổi mật mã

- Qui định tối đa 15 ngày phải thay đổi mật mã

Trên Windows Server 2008-r2 thiết lập chính sách theo yêu cầu sau:

- Khoá tài khoản sau 4 lần đăng nhập không được

- Thời gian khoá là 15 phút

- Giữ bộ đếm số lần đăng nhập là 24 giờ.

QUYỀN TRUY CẬP NTFS

Trên các volume NTFS bạn có thể ấn định quyền truy cập NTFS trên tập tin và thư mục Quyền truy cập NTFS giúp bạn bảo vệ tài nguyên trên máy tính cục bộ khi người dùng nối kết với tài nguyên qua mạng

Quyền Truy Cập NTFS là gì ?

NTFS permissions là các cấp độ truy cập chỉ khả dụng trên một Volume đã được định dạng với hệ thống tập tin Windowns NT 2000, 2003 Quyền truy cập NTFS cung cấp khả năng bảo mật cao hơn so với FAT và FAT32 vì chúng áp dụng cho thư mục và cho từng tập tin cá thể Quyền truy cập tập tin NTFS áp dụng cho cả những người làm việc tại máy tính lưu trữ dự liệu, lẫn người dùng truy cập thư mục hoặc tập tin qua mạng bằng cách kết nối thư mục dùng chung

Quyền Truy Cập NTFS Cá Thể

Các phiên bản Windowns NT về sau cung cấp 6 cấp độ truy cập NTFS cá thể (individual NTFS permissions) Mỗi cấp độ định rõ mức độ truy cập thư mục hoặc tập tin của người dùng hoặc group

Dưới đây là cấp độ và chi tiết quyền try cập của cấp độ đó đối với 1 forder hoặc 1 file

6 Take Ownership (O): Đối với thư mục, người dùng có thể:

1 Hiển thị tên,thuộc tính, tên chủ sở hữu và cấp độ truy cập

2 Bổ sung tập tin và thư mục, thay đổi thuộc tính của thư mục, hiển thị thông tin về chủ sở hữu và cấp độ truy cập

3 Hiển thị thuộc tính thưc mục, thục hiện thay đổi cho các thư mục con, hiển thị thông tin và cấp độ truy cập

5 Thay đổi cấp độ truy cập của thư mục

6 Dành quyền sở hữu thư mục

4.3.1 Quyền truy cập chuẩn – Standard Permission

Quyền truy cập NTFS chuẩn (Standard NTFS permissions) là kết hợp các cấp độ truy cập NTFS cá thể và cho phép ta cùng lúc chỉ định nhiều cấp độ truy cập NTFS để đơn giản hóa công tác quản trị

Một số cấp độ chuẩn áp dụng cho forlder:

Ví dụ về phân quyền bằng Standard Permission

Cho cây thư mục trong hình :

- Tạo 2 user : KT1 , KT2 Add 2 user này vào Group KeToan

- Tạo 2 user : NS1 , NS2 Add 2 user này vào Group NhanSu

Yêu cầu : Phân quyền cho các group như sau:

 Group Ketoan và Nhansu có quyền Read

 Group Ketoan và Nhansu có quyền Full

 Group Ketoan có quyền Full

 Group Nhansu không có quyền

 Group Nhansu có quyền Full

 Group Ketoan không có quyền

A Ta thực hiện phân quyền trên thư mục DATA :

Từng bước thực hiện như sau :

B1 : Chuột phải lên thư mục DATA  Chọn Properties  Qua tab Security  Chọn

B2 : Trong tab Permissions  Chọn Change Permission

B3 : Bỏ dấu chọn trước dòng Include inheritable permissions from this object’s parent

B4 : Màn hình Windows Security  Chọn Add  OK  OK

B5 : Tại màn hình DATA Properties  Chọn Edit

B6 : Màn hình Permissions for DATA  Chọn Add

B7 : Trong khung Enter the object names to select  Gõ ketoan;nhansu  Chọn Check Names

B8 : Quan sát thấy KETOAN và NHANSU đã được gạch chân  xác định group

KETOAN và NHANSU có tồn tại  OK

B9 : Quan sát 2 group KETOAN và NHANSU  có 3 quyền Allow : Read & excute ,

B10 : Chọn Group Users  Remove  OK  OK

Sau khi hoàn tất 10 bước phân quyền ta thực hiện kiểm tra như sau :

- Lần lượt log on vào máy bằng quyền KT1 , NS1 Mở thư mục C:\DATA  truy cập thành công

- Tạo folder bất kì  xuất hiện báo lỗi không có quyền

B Phân quyền cho thư mục Chung:

B1 : Log on Administrator  Chuột phải lên thư mục Chung chọn Properties  Tab Security  Chọn Edit  Lần lượt chọn từng group KeToan và NhanSu  Cho quyền Allow Full Control  OK  OK

Kiểm tra phân quyền cho thư mục chung:

- Lần lượt log on vào bằng KT1 , NS1  truy cập vào thư mục Chung  truy cập thành công

- Tạo , xóa folder bất kì trong thư mục Chung  thành công

C Phân quyền cho thư mục KETOAN

B1 : Chuột phải lên thư mục KETOAN  Chọn Properties  Qua tab Security  Chọn

B4 : Màn hình Windows Security  Chọn Add  OK  OK

B5: Tại màn hình KETOAN Properties  Chọn Edit

B7: Chọn Group KETOAN chọn Allow Full Control chọn OK, OK

Kiểm tra phân quyền cho thư mục Ketoan:

Từng bước thực hiện như sau

- Lần lượt log on vào bằng KT1 , NS1  truy cập vào thư mục KETOAN chỉ có KT1 truy cập thành công, còn NS1 không truy cập được

- User KT1 tạo , xóa file, folder bất kì trong thư mục KETOAN  thành công

D Phân quyền cho thư mục NHANSU

B1 : Chuột phải lên thư mục NHANSU  Chọn Properties  Qua tab Security  Chọn

B4 : Màn hình Windows Security  Chọn Add OK  OK

B5: Tại màn hình NHANSU Properties  Chọn Edit

B7: Chọn Group NHANSU  Chọn Allow Full Control  OK  OK

Kiểm tra phân quyền cho thư mục Ketoan:

Từng bước thực hiện như sau

- Lần lượt log on vào bằng KT1, NS1  truy cập vào thư mục NHANSU chỉ có NS1 truy cập thành công, còn KT1 không truy cập được

- User NS1 tạo , xóa file, folder bất kì trong thư mục NHANSU  thành công

4.3.2 Quyền truy cập đặc biệt - Special Permission

Quyền truy cập đặc biệt là sự chi tiết hóa các quyền của Quyền chuẩn Để cấp quyền theo yêu cầu, phải sử dụng Quyền truy cập đặc biệt Ví dụ, Group Ketoan có quyền kiểm soát toàn bộ thư mục Ketoan, nhưng User KT1 cần bị hạn chế quyền chỉnh sửa, xóa tài nguyên của người dùng khác trong nhóm.

Special Permission gồm có 14 quyền :

2 Traverse folder / execute file : quyền đi vào folder (với lệnh cd) và thực thi file

3 List folder / Read data : đi vào thư mục và đọc dữ liệu thư mục

4 Read Attributes : đọc thuộc tính folder và file (Read only, hidden)

5 Read Attributes : đọc thuộc tính mở rộng (Archive, Encrypt)

6 Create file / write data : tạo file, ghi, chỉnh sửa dữ liệu

7 Create folder / Append data : tạo folder, ghi thêm dữ liệu vào cuối file, không xoá, không chỉnh sửa

8 Write Attributes : chỉnh sửa thuộc tính folder, file

9 Write Extended Attributes : chỉnh sửa thuộc tính mở rộng folder, file (thuộc tính mở rộng được xã định từ các chương trình)

10 Delete Sub folder anđ files : xoá các folder con và file

11 Delete : cho phép xoá tài nguyên (folder, subfolder, file)

12 Change permission : cho phép thay đổi quyền hạn đối với file, folder

13 Read permission : cho phép thấy quyền hạn đã cấu hình

14 Take Ownership : lấy quyền sở hữu Folder, file của User khác

Ngoài ra còn có 7 thành phần có thể liên kết với 14 quyền của Special Permission

1 This folder only : chỉ áp dụng vào folder này (các subfolder, file không bị áp dụng)

2 This folder, subfolder, files : áp dụng lên folder, subfolder, các file

3 This folder anđ subfolders : áp dụng lên folder, các subfolder

4 This folder anđ files : áp dụng lên folder các file (các subfolder không bị)

5 Subfolder and files only : chỉ Subfolder và các file bên trong moái bị áp quyền

6 Subfolder only : chỉ Subfolder bị áp quyền

7 Files only : chỉ áp đặt lên các file

Minh hoạ ví dụ phân quyền với Special permission :

Phân quyền theo yêu cầu: File do User nào tạo ra User đó mới xóa được:

B1 : Chuột phải lên thư mục KETOAN chọn Properties, Qua tab Security, chọn Advanced

B2 : Trong tab Permissions, chọn Group KETOAN, chọn Change Permission

B3: Tại màn hình Advanced Security Settings for KETOAN, chọn Group KETOAN, chọn

B4: Ở mục Allow, tắt dấu check ở Delete subfolders and files và Delete chọn OK 4 lần

Kiểm tra phân quyền Special permission:

Từng bước thực hiện như sau:

- Lần lượt log on bằng KT1 và KT2 truy cập vào thư mục KeToan

- KT1 tạo file KT1.txt , KT2 tạo file KT2.txt

- Log on bằng KT1 xóa file KT2.txt có báo lỗi không có quyền xóa Xóa file KT1.txt thành công

- Log on bằng KT2 xóa file KT1.txt báo lỗi không có quyền xóa Xóa file KT2.txt thành công

Chia sẻ các tài nguyên trên mạng là yêu cầu không thể thiếu khi sử dụng bất kỳ hệ thống mạng nào Vì vậy Hệ điều hành Server 2008 cung cấp tính năng chia sẻ tài nguyên để đáp ứng yêu cầu cho người quản lý và người dùng hệ thống mạng máy tính

Trước khi thực hiện Share Folder ta cần phải tùy chỉnh lại Windows để trở lại giao diện Sharing Classic Đầu tiên bạn mở trình Windows Explorer ra chọn Organize -> Folder and Search Options

Chọn Tab View sau đó click bỏ chọn mục Use Sharing Wizard (Recommended)

Ví dụ chia sẻ thư mục C:\TaiLieu :

1 Chuột phải lên folder TaiLieu chọn Share with  Advanced sharing

2 Tại Tab sharing, click vào Advanced Sharing, đánh dấu check vào Share this folder, Click vào Permissions

3 Check vào Full Control : Toàn quyền (tạo, thay đổi, xoá file trong thư mục) Change : Quyền thay đổi (cập nhật thay đổi file)

Minh hoạ chia sẻ thư mục:

B1: Chuột phải lên folder TaiLieu chọn Share with  Advanced sharing

B2: Tại Tab sharing  Click vào Advanced Sharing Đánh dấu check vào Share this folder, Click vào Permissions

B3 : Check vào Full Control : Toàn quyền

Chia sẻ ẩn một Folder

Ví dụ chia sẻ thư mục C:\TaiLieu dạng ẩn

1 Chuột phải lên folder TaiLieu chọn Share with, Advanced sharing

2 Tại Tab sharing  Click vào Advanced Sharing, đánh dấu check vào Share this folder, nhấn nút Add

3 Trên hộp thoại New share, khung Share name, thêm vào TaiLieu$ , Chọn OK

4 Trở lại của sổ Advanced sharing, nhấn nút Permissions, check vào Full Control : Toàn quyền (tạo, thay đổi, xoá file trong thư mục) Change : Quyền thay đổi (cập nhật thay đổi file)

Minh hoạ chia sẻ thư mục dạng ẩn:

B2 : Tại Tab sharing  Click vào Advanced Sharing, đánh dấu check vào Share this folder, nhấn nút Add

B3: Trên hộp thoại New share, khung Share name, thêm vào TaiLieu$ , Chọn OK

B4: Trở lại của sổ Advanced sharing, nhấn nút Permissions, check vào Full Control

Cho cây thư mục trong hình :

- Tạo 2 user : dhthanh , dhtung Add 2 user này vào Group N_DOHOA

- Tạo 2 user : qthung , qtvinh Add 2 user này vào Group N_QTM

Yêu cầu phân quyền như sau:

 Group N_DOHOA , N_QTM quyển Read

Sử dụng cây thự mục bài số 1

Phân quyền cho 2 thư mục DO HOA và QTM sau cho :

File của User nào tạo ra thì User đó mới được chỉnh sửa và xoá

Tạo thư mục C:\HUONG DAN

- Chia sẻ thư mục HUONG DAN cho Group N_DOHOA với tên tailieu_hd_dh

- Chia sẻ thư mục HUONG DAN cho Group N_QTM với tên tailieu_hd_qtm

- Chia sẻ thư mục HUONG DAN cho Group GIAOVIEN dưới dạng ẩn.

ACTIVE DIRECTORY SERVICE AND DOMAIN NAME SYSTEM

Active Directory Domain Service

Active Directory (AD) hay còn gọi là dịch vụ thư mục directory service, nơi lưu trữ thông tin về các đối tượng (objects) như user, group, computers… trong một hệ thống mạng máy tính Active Directory giúp người quản trị dễ dàng quản lý và tìm kiếm các đối tượng này

Trong windows Server 2008 Active Directory kế thừa những ưu điểm đã được khẳng định trên Windows Server 2003, đồng thời nó bổ sung thêm những tính năng mới Các đối tượng này được tổ chức theo một cấu trúc phân cấp, trong đó bao gồm như sau:

Active Directory Structure and Storage Technologies

Quản trị viên sử dụng Active Directory để lưu trữ và tổ chức các đối tượng trên mạng (chẳng hạn như người dùng, máy tính, thiết bị, v.v.) thành một cấu trúc chứa phân cấp an toàn được gọi là cấu trúc logic Mặc dù cấu trúc logic của Active Directory là một tổ chức phân cấp của tất cả người dùng, máy tính và các tài nguyên vật lý khác, forest và domain là cơ sở của cấu trúc logic Forest, là ranh giới bảo mật của cấu trúc logic, có thể được cấu trúc để cung cấp quyền tự chủ và cách ly dữ liệu và dịch vụ trong một tổ chức theo những cách có thể phản ánh danh tính địa điểm và nhóm cũng như loại bỏ sự phụ thuộc vào cấu trúc liên kết vật lý

Các domain có thể được cấu trúc trong một forest để cung cấp quyền tự chủ về dữ liệu và dịch vụ (nhưng không bị cô lập) và để tối ưu hóa việc nhân rộng với một khu vực nhất định Sự tách biệt giữa cấu trúc logic và vật lý này giúp cải thiện khả năng quản lý và giảm chi phí quản lý vì cấu trúc logic không bị ảnh hưởng bởi những thay đổi trong cấu trúc vật lý Cấu trúc logic cũng giúp kiểm soát quyền truy cập vào dữ liệu Điều này có nghĩa là có thể sử dụng cấu trúc logic để phân chia dữ liệu để bạn có thể kiểm soát quyền truy cập vào nó bằng cách kiểm soát quyền truy cập vào các ngăn khác nhau

Dữ liệu được lưu trữ trong Active Directory có thể đến từ nhiều nguồn khác nhau Với rất nhiều nguồn dữ liệu khác nhau và nhiều loại dữ liệu khác nhau, Active Directory phải sử dụng một số loại cơ chế lưu trữ chuẩn hóa để có thể duy trì tính toàn vẹn của dữ liệu mà nó lưu trữ Trong Active Directory, các đối tượng được sử dụng để lưu trữ thông tin trong thư mục và tất cả các đối tượng được định nghĩa trong lược đồ Định nghĩa đối tượng chứa thông tin, chẳng hạn như kiểu dữ liệu và cú pháp, mà thư mục sử dụng để đảm bảo rằng dữ liệu được lưu trữ là hợp lệ Không có dữ liệu nào có thể được lưu trữ trong thư mục trừ khi các đối tượng được sử dụng để lưu trữ dữ liệu được xác định trước trong lược đồ Lược đồ mặc định chứa tất cả các định nghĩa đối tượng mà Active Directory cần để hoạt động; tuy nhiên, cũng có thể thêm các định nghĩa đối tượng vào lược đồ

Mặc dù thư mục được hiển thị thông qua một cấu trúc logic bao gồm các phần tử như domain và forest, bản thân thư mục được triển khai thông qua cấu trúc vật lý bao gồm cơ sở dữ liệu được lưu trữ trên tất cả các bộ điều khiển miền trong một khu rừng Kho dữ liệu Active Directory xử lý tất cả các quyền truy cập vào cơ sở dữ liệu Kho dữ liệu bao gồm cả dịch vụ và tập tin vật lý Các dịch vụ và tập tin vật lý này làm cho thư mục khả dụng và chúng quản lý các quá trình đọc và ghi dữ liệu bên trong cơ sở dữ liệu tồn tại trên đĩa cứng của mỗi bộ điều khiển miền

Cấu trúc Active Directory và kiến trúc lưu trữ bao gồm bốn phần:

- Active Directory Domain và Forest Forest, Domain và organizational units (OU) tạo nên các yếu tố cốt lõi của cấu trúc logic Active Directory Một forest xác định một thư mục duy nhất và đại diện cho một ranh giới bảo mật Forest chứa domain

- Hệ thống tên miền (DNS) hỗ trợ cho Active Directory DNS cung cấp dịch vụ phân giải tên cho vị trí bộ điều khiển miền và thiết kế phân cấp mà Active Directory có thể sử dụng để cung cấp quy ước đặt tên có thể phản ánh cấu trúc tổ chức

- Lược đồ Lược đồ cung cấp các định nghĩa đối tượng được sử dụng để tạo các đối tượng được lưu trữ trong thư mục

- Kho dữ liệu Kho lưu trữ dữ liệu là một phần của thư mục quản lý việc lưu trữ và truy xuất dữ liệu trên mỗi bộ điều khiển miền

Hình sau minh họa cấu trúc dữ liệu Active Directory và kiến trúc lưu trữ

Active Directory Domains and Forests

Domain phân chia thư mục thành các phần nhỏ hơn trong forest Việc phân vùng này dẫn đến việc kiểm soát nhiều hơn cách dữ liệu được sao chép để có thể thiết lập cấu trúc liên kết sao chép hiệu quả và băng thông mạng không bị lãng phí khi sao chép dữ liệu khi nó không được yêu cầu OU có thể nhóm các tài nguyên trong một domain cho các mục đích quản lý, chẳng hạn như áp dụng Chính sách Nhóm hoặc ủy quyền kiểm soát cho quản trị viên

Hình dưới đây minh họa mối quan hệ của các đơn vị tổ chức, miền và rừng trong kiến trúc cấu trúc lôgic

DNS Support for Active Directory

Active Directory sử dụng DNS làm cơ chế định vị bộ điều khiển miền của nó Khi bất kỳ hoạt động Active Directory chính nào, chẳng hạn như xác thực, cập nhật hoặc tìm kiếm, được thực hiện, các máy tính tham gia miền sử dụng DNS để định vị bộ điều khiển miền Active Directory và các bộ điều khiển miền này sử dụng DNS để định vị lẫn nhau Ví dụ: khi người dùng mạng có tài khoản người dùng Active Directory đăng nhập vào miền Active Directory, máy tính của người dùng sử dụng DNS để định vị bộ điều khiển miền cho miền Active Directory mà người dùng muốn đăng nhập Để đăng nhập vào mạng bao gồm khu rừng Active Directory, trước tiên một máy trạm khách phải có khả năng định vị bộ điều khiển miền gần đó Bộ điều khiển miền là cần thiết để xác thực ban đầu của cả máy trạm và người dùng và để cấp quyền tiếp theo của người dùng đối với các tập tin và tài nguyên mà người dùng cần truy cập Sự hỗ trợ được cung cấp cho Active Directory bởi DNS cho phép máy trạm khách định vị bộ điều khiển miền

Lược đồ Active Directory chứa các định nghĩa cho tất cả các đối tượng được sử dụng để lưu trữ thông tin trong thư mục Có một lược đồ cho mỗi forest Tuy nhiên, một bản sao của lược đồ tồn tại trên mọi bộ điều khiển miền trong rừng Bằng cách này, mọi bộ điều khiển miền đều có quyền truy cập nhanh vào bất kỳ định nghĩa đối tượng nào mà nó có thể cần và mọi bộ điều khiển miền sử dụng cùng một định nghĩa khi nó tạo một đối tượng nhất định Kho lưu trữ dữ liệu dựa vào lược đồ để cung cấp các định nghĩa đối tượng và kho lưu trữ dữ liệu sử dụng các định nghĩa đó để thực thi tính toàn vẹn của dữ liệu Kết quả là tất cả các đối tượng được tạo đồng nhất và không quan trọng bộ điều khiển miền nào tạo hoặc sửa đổi một đối tượng vì tất cả bộ điều khiển miền sử dụng cùng một định nghĩa đối tượng

Hình sau minh họa mối quan hệ của lược đồ với kho dữ liệu trong kiến trúc lược đồ

Kho dữ liệu Active Directory được tạo thành từ một số thành phần cùng cung cấp các dịch vụ thư mục cho các máy khách thư mục Các thành phần này bao gồm:

 Giao thức truy cập thư mục nhẹ (LDAP)

 Nhân rộng (REPL) và giao diện quản lý bộ điều khiển miền

 Trình quản lý tài khoản bảo mật (SAM)

- Ba thành phần dịch vụ:

 Tác nhân hệ thống thư mục (DSA)

 Lớp cơ sở dữ liệu

 Công cụ lưu trữ mở rộng (ESE)

- Cơ sở dữ liệu thư mục nơi dữ liệu thực sự được lưu trữ

Hình dưới đây minh họa mối quan hệ của các thành phần này trong kiến trúc lưu trữ dữ liệu

Là tập họp của một nhóm các tài khoản người dùng và tài khoản máy tính

Là một đơn vị trực thuộc Domain Trong một Domain có thể có nhiều OU

Là tập hợp nhiều Domain có mối qua hệ tin cậy

Domain Controller là hệ thống máy chủ được thiết lập để quản lý một Domain

Một domain controller là một server chịu trách nhiệm quản lý vấn đề an ninh mạng Domain controller hoạt động như một người gác cổng với vai trò xác thực và ủy quyền user Một Domain có thể có nhiều Domain Controller Một máy chủ để trở thành Domain Controller bắt buộc phải cài đặt và khởi tạo Active Directory Domain Controller quản lý Domain của mình thông qua Active Directory đó

5.1.6 Cài đặt Active Directory Để cài đặt Active Directory ta phải đăng nhập vào máy bằng tài khoản Administrator Các bước cài đặt Active Directory :

1 Mở cửa sổ Server Manager, mở rộng mục Roles, chuột phải lên Roles, chọn Add Roles, nhấn chọn nút Next ở cửa sổ tiếp theo

2 Tại cửa sổ Select Server Roles nhấn chọn mục Active Directory Domain Services và tiếp tục nhấn nút Add Required Features trên cửa sổ Add Roles Wizard

3 Trở về cửa sổ Select Server Roles nhấn chọn nút Next để đi tiếp

4 Tiếp tục chọn Next ở cửa sổ kế tiếp, sau đó nhấn nút Install để cài đặt

5 Hoàn tất cài đặt khi có thông báo Install Successded, nhấn nút Close để kết thúc cài đặt

Minh hoạ phần cài đặt Active Directory :

B1 : Mở cửa sổ Server Manager, mở rộng mục Roles, chuột phải lên Roles, chọn Add Roles

B2 : Nhấn chọn mục Active Directory Domain Services và tiếp tục nhấn nút Add Required Features trên cửa sổ Add Roles Wizard

B3 : Trở về cửa sổ Select Server Roles nhấn chọn nút Next để đi tiếp

B4 : Tiếp tục chọn Next ở cửa sổ kế tiếp, sau đó nhấn nút Install để cài đặt

B5 : Hoàn tất cài đặt khi có thông báo Install Successded, nhấn nút Close để kết thúc cài đặt.

Cài đặt máy Domain Controller

Để nâng cấp máy Domain controller ta phải đăng nhập vào máy bằng tài khoản Administrator

5.2.1 Chuẩn bị cài đặt máy Domain Controller

Các bước chuẩn bị cài đặt máy Domain Controller :

2 Đặt IP tĩnh cho máy Server

3 Thiết lập password cho tài khoản Administrator theo chính sách có độ phức tạp

4 Mở cửa sổ Command Prompt thực thi câu lệnh sau :

>net user Administrator /passwordreq:yes

5 Cài đặt Active Directory Domain Services

Minh hoạ các bước chuẩn bị cài đặt máy Domain Controller : Đổi tên máy :

B1 : Mở cửa sổ Explorer , chuột phải lên Computer chọn mục Properties

B2 : Chon Change Setting ở cửa sổ System properties

B4 : Nhập tên máy tính vào khung Computer name, nhấn OK

B6 : Chọn Restart now để khởi động lại máy Đặt IP cho máy Đặt IP cho máy :

B1 : Mở Control Panel , Network and Sharing Center, nhấn chọn mục Local Area Connection

B2 : Trên cửa sổ Status nhấn chọn nút Properties

B3 : Chọn mục TCP/IPv4 tiếp tục nhấn chọn Properties

B4 : Trên cửa sổ Internet Protocol chọn mục Use the following IP address, nhập địa chỉ

IP vào mục (IP address, Subnet mask)

B5 : Nhấn chọn OK để kết thúc đặt IP

Thiết lập Password cho tài khoản Administrator

Các bước thiết lập password :

B1 : Mở cửa sổ Computer Management, chọn mục Users như hình dưới

B2 : Chuột phải lên tài khoản Administrator chọn Set Password…

B3 : Nhấn nút Proceed để tiếp tục

B4 : Nhập password vào 2 ô (New password và Confirm password) giống nhau, nhấn nút

B5 : Nhấn nút OK trên hộp thoại thông báo để hoàn tất

Các bước thực hiện lệnh :

B1 : Nhấn Start gỏ lệnh cmd để mở cửa sổ lệnh Command prompt

B2 : Nhập lệnh : >net user Administrator / passwordreq:yes

5.2.2 Cài đặt may Domain Controller

Các bước cài đặt máy Domain Controller :

Sau khi đã cài đặt Active Directory Domain Services, ta tiến hành cài đặt nâng cấp máy Domain controller theo các bước như sau :

1 Vào cửa sổ Server manager mục Roles, Actrive Directory Domain Services

2 Nhấn chọn mục Run The Actrive Directory Domain Services installation wizard (dcpromo.exe) để cài đặt

3 Nhấn chọn nút Next 2 lần trên cửa sổ Install wizard để đi tiếp

4 Tại cửa sổ Choose a deployment configuration chọn mục Create a new Domain in a new forest, nhấn nút Next để tiếp tục

5 Nhập tên Domain vào mục FQDN of the forest root domain (ví dụ : congtyabc.com) Nhấn nút Next để chương trình thực hiện kiểm tra tên domain

6 Nếu kiểm tra hoàn tất của sổ Set forest function level hiện ra ta chọn level Windows Server 2008-R2 , nhất nút Next để đi tiếp

7 Trên cửa sổ Additional Domain Controller, chọn mục DNS Server và nhấn nút Next đi tiếp rồi chọn Yes từ cửa sổ Install wizard

8 Tại cửa sổ Location Database để mặc định Database folder và nhấn chọn nút Next để đi tiếp

9 Cửa sổ ….mode Administrator password xuất hiện Nhập password bảo vệ nâng cấp Domain 2 lần giống nhau cho (password và confirm password) Nhấn Next 2 lần để thực hiện quá trình nâng cấp

10 Cửa sổ thông báo nâng cấp hoàn tất nhấn nút Close để kết thúc

Minh hoạ quá trình nâng cấp máy Domain Controller:

B1 : Vào cửa sổ Server manager mục Roles, Actrive Directory Domain Services

B2 : Nhấn chọn mục Run The Actrive Directory Domain Services installation wizard (dcpromo.exe) để cài đặt

B3 : Nhấn chọn nút Next 2 lần trên cửa sổ Install wizard để đi tiếp

B4 : Tại cửa sổ Choose a deployment configuration chọn mục Create a new domain in a new forest, nhấn nút Next để tiếp tục

Nếu tài khoản Administrator chưa đặt password hay password chưa đủ độ phức tạp ta sẽ nhận được thông báo (ta phải tiến hành đặt password theo chế độ phức tạp)

B5 : Nhập tên Domain vào mục FQDN of the forest root domain (ví dụ : congtyabc.com) Nhấn nút Next để chương trình thực hiện kiểm tra tên domain

B6 : Nếu kiểm tra hoàn tất của sổ Set forest function level hiện ra ta chọn level Windows Server 2008-R2 , nhất nút Next để đi tiếp

B7 : chọn mục DNS Server và nhấn nút Next đi tiếp rồi chọn Yes từ cửa sổ Install wizard

Nếu máy Server chưa đặt IP sẽ thấy thông báo Ta chọn mục No để thiết lập IP

Chọn Yes từ cửa sổ Install wizard

B8 : Tại cửa sổ Location Database để mặc định Database folder và nhấn chọn nút Next để đi tiếp

B9 : Cửa sổ ….Restore Mode Administrator password xuất hiện Nhập password bảo vệ nâng cấp Domain 2 lần giống nhau cho (password và confirm password) Nhấn Next 2 lần để thực hiện quá trình nâng cấp

B10 : Cửa sổ thông báo nâng cấp hoàn tất nhấn nút Close để kết thúc

5.2.3 Workstation gia nhập Domain Để thực hiện mô hình Mạng Client/Server (Khách /chủ) ta có mô hình đơn giản là một máy chủ Controller và một máy Workstation

- Máy Server (SERVER2008) : Windows Server 2008-R2 DC

Default Gateway Bỏ Trắng Bỏ Trắng

DNS Bỏ Trắng Bỏ Trắng

Các bước thực hiện gia nhập Domain như sau:

Thực hiện trên máy workstation :

2 Đặt IP cùng lớp với máy chủ, DNS trỏ IP của máy chủ

3 Thực hiện gia nhập Domain

Mô tả các bước thực hiện Workstation gia nhập Domain như sau:

B1 : Đổi tên máy Workstation là PC02, khới động lại máy

B2 : Đặt IP cùng lớp với máy chủ, DNS trỏ IP của máy chủ

Ping kiểm tra kết nối với Server, nếu thấy Sent = 4, Received = 4, Lost = 0 là hoàn tất

B3 : Thực hiện gia nhập Domain

Trong My Computer, chuột phải lên Computer chọn Properties, chọn Change Setting Trong cửa sổ System Properties, nhấn chọn nút Change

Nhập tên Domain là congtyabc.com vào mục Domain, nhấn chọn OK

Bài 1 : Chuẩn bị : Máy PC đã cài đặt Windows Server 2008-R2

- Cài đặt Active Directory domain service

- Nâng cấp lên máy PC Domain Controller

- Domain name : congtyquangcao.com Bài 2 : Thiết lập máy Workstation Windows_7 gia nhập Domain (bài 1)

Domain Users and Group

Domain users là users được tạo trên Active Directory của máy tính đóng vai trò là máy

Domain Controller, domain users có thể đăng nhập vào bất kì máy tính nào trong hệ thống mạng trong cùng domain

To create a Domain User in Active Directory, you need to log in to the Domain Controller computer with an Administrator account or an account with the right to create Users.

2 Vào Start – Administrative Tools – Active Directory Users and Computers

3 Mở rộng Domain (congtyabc.com), chọn mục Users

4 Chuột phải lên Users chọn New – Users

5 Nhập thông tin User và chọn Next để tiếp tục

6 Nhập Password và Confirm password giống nhau

7 Nếu hợp lệ sẽ xuất hiện cửa sổ thông báo User đã được tạo, nhấn Finish để kết thúc Minh hoạ các bước tạo User nguyenle :

B4 : Chuột phải lên Users chọn New – Users

B5 : Nhập thông tin User và chọn Next để tiếp tục

B6 : Nhập Password và Confirm password giống nhau, nhấn Next

B7 : Nếu hợp lệ sẽ xuất hiện cửa sổ thông báo User đã được tạo, nhấn Finish để kết thúc

User nguyenle đã xuất hiện trong danh sách

Khảo sát thuộc tính của Domain User

Thuộc tính này qui định thời điểm tài khoản được quyền đăng nhập hệ thống

Các bước thiết lập tài khoản nguyenle được quyền đăng nhập hệ thống từ thứ 2 đến thứ 7 từ 6g AM đến 6g PM

1 Chuột phải tên tài khoản nguyenle, chọn Properties

2 Chọn Tab Account, nhấn chọn nút Logon Hour

3 Thiết lập thời điểm được quyền logon hệ thống

Minh hoạ thiết lập thời điểm đăng nhập hệ thống :

B2 : họn Tab Account, nhấn chọn nút Logon Hour

B3 : Thiết lập thời điểm được quyền logon hệ thống Quyền đăng nhập hệ thống từ thứ 2 đến thứ 7 từ 6g AM đến 6g PM

Thuộc tính này qui định thời điểm tài khoản hết hiệu lực đăng nhập trên thống mạng máy tính

 Never : tài khoản không có giới hạn hết hiệu lực

 End of : qui định ngày hết hiệu lực

Các bước thiết lập qui định ngày 26-3-2020 tài khoản sẽ không còn hiệu lực đăng nhập hệ thống

2 Chọn Tab Account, chọn mục End of của Account Expires

3 Chọn ngày hết hiệu lực, nhấn chọn Apply, OK

Minh hoạ thiết lập thời điểm tài khoản hết hiệu lực :

Thuộc tính này qui định tài khoản được quyền logon hệ thống trên máy tính nào Các bước thiết lập quyền logon trên máy tính

2 Chọn Tab Account, nhấn chọn nút Log On to

3 Chọn mục The following computers

4 Nhập tên máy vào khung Computer name, nhấn nút Add để dưa vào danh sách Minh hoạ thiết lập quyền Log On trên máy tính :

B3 : Chọn mục The following computers

B4 : Nhập tên máy vào khung Computer name, nhấn nút Add để dưa vào danh sách

Thuộc tính này qui định tài khoản thuộc Group chỉ định

Các bước thiết lập đưa tài khoản vào Group

3 Nhấn chọn nút Add , chọn Group để đưa tài khoản vào Group

Minh hoạ thiết lập Group cho tài khoản :

Chọn Group Ke toan, nhấn OK để đưa tài khoản vào Group

Tài khoản được đưa vào Group Ke toan

Mục này giới thiệu cách thức cấp quyền cho phép User Domain được quyền đăng nhập vào máy chủ Domain Controller Thông thường khi một Domain User được tạo ra sẽ được gán vào nhóm User vì thế User chưa có quyền đăng nhập vào máy chủ Để User được quyền đăng nhập vào máy chủ ta phải thực hiện cấp quyền như sau

Các bước thực hiện cấp quyền Logon locally như sau :

2 Mở cửa sổ Group Policy Management, tiếp tục mở rộng trên khung cửa sổ bên trái các mục Forest – Domains

3 Mở cửa sổ Group Policy Management, mở rộng Group Policy Objects chuột phải mục Default Domain Controller Policy, chọn Edit

4 Cửa sổ Group Policy Management Editor xuất hiện, mở rộng các mục Computer Configuration, Policies, Windows setting, Sercurity settings, User Rights Assignment

5 Trong cửa sổ Policy bên phải tìm mục Allow log on locally, chuột phải chọn Properties

6 Trên cửa sổ Properties, nhấn chọn mục Define these perlicy setting rồi nhấn nút Add Users and Group Chọn User muốn cấp quyền đưa vào

7 Chọn Apply, OK để kết thúc cấp quyền

Minh hoạ các bước phân quyền Logon locally :

B2 : Mở cửa sổ Group Policy Management, tiếp tục mở rộng trên khung cửa sổ bên trái các mục Forest – Domains

B3 : Mở cửa sổ Group Policy Management, mở rộng Group Policy Objects chuột phải mục Default Domain Controller Policy, chọn Edit

B4 : Cửa sổ Group Policy Management Editor xuất hiện, mở rộng các mục Computer Configuration, Policies, Windows setting, Sercurity settings, User Rights Assignment B5 : Trong cửa sổ Policy bên phải tìm mục Allow log on locally, chuột phải chọn Properties

B6 : Trên cửa sổ Properties, nhấn chọn mục Define these perlicy setting rồi nhấn nút Add Users and Group Chọn User muốn cấp quyền đưa vào

User nguyenle được đưa vào

B7 : Chọn Apply, OK để kết thúc cấp quyền

Kiểm tra Log on locally :

Khởi động lại máy chọn mục Reconfiguration như hình bên dưới :

Log on lại với User nguyenle vừa cấp quyền Nếu đăng nhập được là hoàn tất cấp quyền

Cũng tương tự như Domain users, Domain Groups tồn tại trên Active Directory máy

Domain Controller và chứa các domain users tương ứng để giúp cho người quản trị hệ thống dễ quản lý

Tạo Global Group Để tạo Global Group trên Active Directory cần phải đăng nhập máy tính Domain Controller bằng tài khoản Administrator hay một tài khoản có quyền tạo Group

3 Chuột phải lên Domain (congtyabc.com), chọn new Group

4 Nhập tên Group vào mục Group name, OK để kết thúc

Minh hoạ tạo Global Group Tai chinh:

B3 : Chuột phải lên Domain (congtyabc.com), chọn new Group

B4 : Nhập tên Group vào mục Group name, OK để kết thúc

Group tai chinh được tạo

Uỷ quyền quản lý Group Để Uỷ quyền cho một tài khoản quản lý Group cần phải đăng nhập máy tính Domain Controller bằng tài khoản Administrator hay một tài khoản có quyền uỷ quyền Tài khoản được uỷ quyền có thể tạo, thay đổi thuộc tính tài khoản của Group

Các bước thực hiện uỷ quyền như sau :

3 Mở rộng Domain (congtyabc.com), chọn Group để uỷ quyền

4 Chuột phải lên Group, chọn Properties

5 Chọn Tab Managed by, nhấn chọn nút Change

6 Chọn User để uỷ quyền, nhấn chọn Apply, Ok để kết thúc

Minh hoạ uỷ quyền quản lý Group Tai chinh:

B4 : Chuột phải lên Group Tai chinh chọn Properties

B5 : Chọn Tab Managed by, nhấn chọn nút Change

B6 : Chọn User Nguyen Le để uỷ quyền

1 Đăng nhập với tài khoản nguyenle

2 Chọn Group taichinh, chọn tài khoản đưa vào Group, nếu được là uỷ quyền thành công Đưa thành viên vào nhóm

Đơn vị tổ chức (OU) thể hiện một tổ chức riêng lẻ bao gồm nhiều đơn vị trong tổ chức đó hoặc được dùng để phân biệt giữa những thành phần cùng tên nhưng khác đơn vị tổ chức Ví dụ: người dùng vietcuong trong OU IT và người dùng vietcuong trong OU Instructor nhằm phân biệt giữa hai vị trí công việc khác nhau của cùng một cá nhân.

– Một OU có thể chứa 01 hay nhiều OU khác, có thể chứa các domain groups và domain users

– Mục đích tạo một hay nhiều OU để sau này giúp cho người quản trị dễ dàng hơn trong việc quản lý, dễ triển khai công việc đến các domain user Ví dụ : Deploy softwares (cài đặt từ xa và thực thi 01 cách tự động), tạo network drive, áp các chính sách của hệ thống (policies) cho các domain user(s)…

Các bước tạo OU như sau :

3 Mở rộng Domain (congtyabc.com), chuột phải chọn mục New , Organizational Unit

4 Nhập tên OU (đánh dấu ô Protect container from Accidental Deletion), nhấn nút OK kết thúc

Minh hoạ các bước tạo OU :

B3 : Mở rộng Domain (congtyabc.com), chuột phải chọn mục New , Organizational Unit

B4 : Nhập tên OU (đánh dấu ô Protect container from Accidental Deletion), nhấn nút OK kết thúc

OU Ban Giam Doc đã được tạo trong danh sách

Uỷ quyền quản lý OU

Tạo User lethanh thuộc OU Ban Gam Doc, thực hiện uỷ quyền cho lethanh được quyền tạo, xoá user trong OU và quản lý user thuộc OU

Các bước uỷ quyền quản lý OU như sau :

1 Tạo User nguyenhoang thuộc OU

2 Chuột phải lên OU Ban Gam Doc chọn Delegate control, chọn Next từ cửa sổ Delegate Control Wizard

3 Xuất hiện cửa sổ Select Users and Groups, nhấn chọn nút Add

4 Chọn user (nguyenhoang), nhấn Next đi tiếp

5 Trong khung cứa sổ Task to delegate chọn mục Create, delete and manage groups, nhấn Next

6 Nhấn Finish để kết thúc

Minh hoạ uỷ quyền OU cho user :

B2 : Chuột phải lên OU Ban Gam Doc chọn Delegate control,

Chọn Next từ cửa sổ Delegate Control Wizard

B3 : Xuất hiện cửa sổ Select Users and Groups, nhấn chọn nut Add

B4 : Chọn user (nguyenhoang), nhấn Next đi tiếp

B5 : Trong khung cứa sổ Task to delegate chọn mục Create, delete and manage groups và Create, delete and manage user account, nhấn Next

B6 : Nhấn Finish để kết thúc

1 Cấp quyền Log on locally cho user nguyenhoang

2 Đăng nhập với user nguyenhoang

3 Chọn OU Ban GiamDoc, tạo user u1, nếu tạo, xoá được là uỷ quyền thành công.

Audit

Windows Server 2008 và 2008 R2 là một trong những máy chủ được triển khai rộng rãi nhất trong các thiết lập dự án để hỗ trợ các môi trường làm việc hợp tác Tuy nhiên, do bản chất của các loại thiết lập này tạo ra một đối tượng có thể truy cập vào nhiều tài nguyên, việc giao trách nhiệm cho các hành động của người dùng trở nên vô cùng quan trọng Điều này có thể được đảm bảo bằng cách kiểm tra tất cả các hành động của Người dùng liên quan đến quyền truy cập tệp và thư mục Trong hướng dẫn này, chúng ta sẽ xem làm thế nào chúng ta có thể kích hoạt kiểm toán trên Windows Server 2008-R2

Trên Windows Server 2008-R2 kiểm toán truy cập tập tin và thư mục và kiểm toán đăng nhập trái phép

Thực hiện ghi nhận việc log on trái phép vào máy tính

Các bước thực hiện thiết lập ghi nhận Audit Log on :

2 Mở cửa sổ Group Policy Management, tiếp tục mở rộng trên khung cửa sổ bên trái các mục Forest – Domains

3 Mở cửa sổ Group Policy Management, mở rộng Group Policy Objects chuột phải mục Default Domain Controller Policy, chọn Edit

4 Cửa sổ Group Policy Management Editor xuất hiện, mở rộng các mục Computer Configuration, Policies, Windows setting, Sercurity settings, Local Policies

5 Chọn Audit Policy, Double click vào policy Audit account logon eventes

6 Nhấp chọn Define these policy setting, chọn Failure hoặc Success, Apply, OK Đóng cứ sổ Audit Account

7 Mở cứ sổ lệnh Command Prompt đánh lệnh Gpupdate /Force

8 Nhấn Start, Administrative Tools, Event Viewer

9 Mở Windows Logs, Chuột phải lên Security, chọn Clear Log, chọn Clear

Minh hoạ thiết lập ghi nhận Audit Log on :

B3 : Mở cửa sổ Group Policy Management, mở rộng Group Policy Objects chuột phải mục Default Domain Controller Policy, chọn Edit

B4 : Group Policy Management Editor xuất hiện, mở rộng các mục Computer Configuration, Policies, Windows setting, Sercurity settings, Local Policies

B5 : Chọn Audit Policy, Double click vào policy Audit account logon eventes

B6 : Nhấp chọn Define these policy setting, chọn Failure hoặc Success, Apply, OK Đóng cứ sổ Audit Account

B7 : Mở cứ sổ lệnh Command Prompt đánh lệnh Gpupdate /Force

B8 : Nhấn Start, Administrative Tools, Event Viewer

B9 : Mở Windows Logs, Chuột phải lên Security, chọn Clear Log, chọn Clear

1 Log off Administrator đăng nhập lại với tài khoản levantam với password 456 Log on thất bại

2 Log on Administrator, Mở Even Viewer, Windows logs, Security, Mở Audit Failure, Quan sát bên dưới thấy account dùng để đăng nhập là levantam, đăng nhập vào máy tính tên PC01 sai password

- Trong ổ C tạo thư mục DATA, phân quyền NTFS trên thư mục DATA: chỉ có

- Trong thư mục DATA, Tạo tập tin text File1.txt

- Cấp quyền Everyone List folder / read data (Failure) Create files / write data

- Thực hiện ghi nhận việc truy cập và thay đổi dữ liệu tại C:\DATA\File1.txt

Các bước thực hiện phân quyền thư mục Data cho tài khoản Everyone :

1 Chuột phải lên thư mục DATA trong ổ C chọn Properties  Qua tab Security  Chọn

2 Qua Tab Auditing, Edit, Add

4 Màn hình Auditing Entry for DATA  Chọn : List folder / read data (Failure)

Create files / write data (Successful)  OK các cửa sổ còn lại

Các bước thực hiện thiết lập Audit Object Access :

Các bước 1, 2, 3, 4 tương tự phần Audit Log on

5 Chọn Audit Policy, Double click vào policy Audit Object Access

6 Nhấp chọn Define these policy setting, chọn Failure hoặc Success, Apply, OK Đóng cứ sổ Audit Account

7 Mở cứ sổ lệnh Command Prompt đánh lệnh Gpupdate /Force

8 Nhấn Start, Administrative Tools, Event Viewer

9 Mở Windows Logs, Chuột phải lên Security, chọn Clear Log, chọn Clear Minh hoạ thiết lập ghi nhận Audit Object Access :

B5 : Chọn Audit Policy, Double click vào policy Audit Object Access

Nhấp chọn Define these policy setting, chọn Failure hoặc Success, Apply, OK Đóng cứ sổ Audit Account

Kiểm tra : Đăng nhập bằng tài khoản nguyenhoang, truy cập thư mục Data báo lỗi không thể truy cập

Máy PC cài đặt Windows Server 2008-R2

- Thiết lập chế độ ghi nhận User log on và log out vào máy tính cho 2 trường hợp đăng nhập thành công và thất bại

- Thiết lập chế độ ghi nhận user Account tạo, thay đổi, xoá Group,

- Thiết lập chế độ ghi nhận user Account thay đổi mật mã, tên account, khoá account

- Thiết lập chế độ ghi nhận user Account truy cập Active Directory Bài tập 2:

- Trong ổ C tạo thư mục thuchanh, phân quyền NTFS trên thư mục thuchanh: chỉ có

- Trong thư mục thuchanh, Tạo tập tin textdocument tên baitho

- Thực hiện thiết lập ghi nhận việc truy cập và thay đổi dữ liệu tại C:\thuchanh\ baitho của tài khoản Administrator và ghi nhận các tài khoản khác cố gắng truy cập thư mục thực hành.

Home Folder and User Profile

5.5.1 Tạo Home Folder cho user

Phần này ta sử dụng 02 máy:

- Chỉnh password policy đơn giản

- Cấp quyền log on locally Domain Controller cho group USERS

- Tạo user U1 password 123 Các bước thực hiện :

1 Tạo Home Folder trên PC02

2 Tạo User Profile trên máy Server

Mô tả các bước thực hiện :

Thực hiện trên máy SERVER2008 :

B1 : Mở Window Explorer, click phải vào C: chọn New, Folder, đặt tên Folder là Home B2 : Share folder C:\Homes

B3 : Click phải Folder Home, chọn properties, Tại tab Sharing, chọn Advanced sharing

B4 : Chọn Share This Folder, chọn Permissions

B5 : Mục Full Control check chọn Allow, OK, OK, Close

B6 : Mở Administrative Tools, Active Directory Users And Computers, Users

B7: Chuột phải User U1 chọn Properties

B8 : Chọn Tab Profile, mục Connect, điền địa chỉ thư mục Homes share trên server như sau : \\PC01\Home\%username%, nhấn Apply, OK

Quan sát thấy đã đổi thành u1

- Tại PC02 : Log on U1, Tạo folder HoSoU1 trong ổ đĩa Z

- Tại máy SERVER2008 : Log on U1, Mở My Computer thấy có ổ đĩa Z , Truy cập vào đĩa Z thấy file HoSoU1

- Tại SERVER2008 : Log on Administrator, mở C:\Home thấy có 1 thư mục tên U1, mở thư mục thấy có folder HoSoU1

5.5.2 Tạo Roaming Profile cho use

Thực hiện trên máy Server :

B2 : Share folder C:\Profiles với shared permission: Everyone allow full control

B3 : Chuột phải folder Profile, Properties, Tab Sharing, Advanced Sharing, Share this folder, Permissions

B4 : Chọn Everyone, Full Control chọn Allow

B5 : Mở Administrative Tools, Active Directory Users And Computers, Users B6: Chuột phải User U1 chọn Properties

B7 : Chọn Tab Profile, mục Profile Path, điền địa chỉ thư mục Profiles share trên server như sau : \\SERVER2008\ Profiles\%username%, nhấn Apply, OK

B8 : Quan sát kết quả : %username% đã đổi thành U1, chọn OK

- Tại PC02 : Log on U1 Trên Desktop tạo folder Dulieu

- Tại máy Server : Log on U1 Quan sát: Desktop có folder Dulieu

Deploy Software

Windows Deployment Services (WDS) là dịch vụ tích hợp trong Windows Server 2008 cho phép cài đặt hệ điều hành từ xa cho các máy Client thông qua môi trường mạng Trong giáo trình này sẽ hướng dẫn cách cài đặt và cấu hình Windows Deployment Services

Phần chuẩn bị sẽ gồm :

- SERVER2008 : máy Server cài Windows Server 2008-R2 DC

- PC02: máy client chưa cài hệ điều hành

5.6.1 Cài đặt Windows Deployment Services

B1 : Mở Server Manager từ Administrative Tools, chuột phải Roles chọn Add Roles

B2 : Cửa sổ Seclect Roles Services, đánh dấu chọn vào cả 2 ô Deployment Server và Transport Server, chọn Next

B3 : Cửa sổ Confirm Installation Selections, chọn Install

B4 : Cửa sổ Installation Results, chọn Close

B5 : Kiểm tra đã cài đặt thành công Windows Deployment Services

5.6.2 Cấu hình Windows Deployment Server

B1 : Mở Windows Deployment Services từ Administrative Tools Mở Server, chuột phải WDS server (SERRVER2008.congtyabc.com) chọn Configure Server

B2 : Chọn Next ở cửa sổ này

B3 : Ở Remote Installation Folder Location, giữ nguyên cấu hình mặc định, chọn Next

B4 : Trong hộp thoại System Volume Warning, chọn Yes

Cửa sổ PXE Server Initial Setting chọn “Do not respond to any client computer”

B5 : Cửa sổ Operation Complete, bỏ trắng ô chọn Add images to the Server now, chọn Finish

B6 : Kiểm tra cấu hình thành công Windows Deployments Server

5.6.3 Cấu hình Boot Image và Install Image

Phần này hướng dẫn cấu hình cài đặt Windows_7 cho máy client

B1 : Tạo Folder C:\Win7x64 chép source cài đặt windows 7 vào

B 2 : Mở Windows Deployment Services từ Administrative Tools, mở rộng Server, WDS server (SERVER2008.congtyabc.com), chuột phải Boot Image, chọn Add Boot Image

B3 : Trong cửa sổ Image File, chọn Browse, trỏ đường dẫn đến

C:\Win7x64\source\boot.wim chọn Next

B3 : Cửa sổ Image Metadata, sửa tên như hình, chọn Next

B4 : Cửa sổ Summary, chọn Next

B5 : Sau khi hoàn tất quá trình add boot image, cửa sổ Task Progress chọn Finish

B5 : Kiểm tra đã add thành công Boot Image

B6 : Trong cửa sổ Windows Deployment Services, chuột phải Install Image, chọn Add Install Image

B7 : Cửa sổ Image Group, giữ nguyên cấu hình mặc định, chọn Next

B8 : Cửa sổ Image File, chọn Browse, trõ đường dẫn đến

C:\Win7x64\source\install.wim, chọn Next

B9 : Cửa sổ Lists of Available Images, chọn phiên bản windows, Next

B10 : Sau khi tiến trình add image hoàn tất, cửa sổ Task Progress, chọn Finish

B11 : Kiểm tra đã add thành công Install Image

5.6.4 Cài đặt và cấu hình DHCP

B1 : Trên máy Server 2008 mở Server Manager, chọn Roles, new Roles, đánh dấu chọn vào ô DHCP Server, chọn Next

B2 : Để mặc định, chọn Next

B3 : Cửa sổ Specify IPv4 DNS Server Settings, để nguyên cấu hình mặc định, chọn Next

B4 : Cửa sổ Specify IPv4 WINS Server Settings, chọn WINS is not required for applications on this network, chọn Next

B5 : Cửa sổ Add or Edit DHCP Scopes , chọn Add

B6 : cấu hình thông số TCP/IP như trong hình, chọn OK, Next

B7: Cửa sổ Configure DHCPv6 Stateless Mode, chọn Disable DHCP stateless mode for this server, chọn Nex

B8 : Cửa sổ Authorize DHC Server, giữ mặc định, chọn Nex

 B9 : Cửa sổ Confirm Installation Selections, chọn Install, hoàn tất chọn Close

 B10 : Mở DHCP từ Administrative Tools, kiểm tra đã cài đặt và cấu hình thành công DHCP Server

5.6.5 Cấu hình Client và kiểm tra kết quả

B1 : Mở Microsoft Virtual PC, khởi động máy ảo Trong quá trình khởi động, nhấn phím F2, chỉnh BIOS chuyển qua chế độ boot từ card mạng

B2 : Khi nhận được yêu cầu “Press F12 for network service boot”, nhấn phím F12

B3 : Máy client kết nối tới WDS server và bắt đầu quá trình cài đặt Windows

B4 : Giao diện cài đặt Windows , chọn Next

- SERVER2008 : máy Server cài Windows Server 2008-R2 DC

- PC02: máy client chưa cài Windows 7 join domain

- Tạo 2 OU là: quansinh, hocsinh

- Trong OU quansinh tạo user là qs1

- Trong OU hocsinh tạo user là hs1

Hướng dẫn cài đặt phần mềm FoxitReader cho User hs1 trên PC02:

Tạo Folder C:\UltraISO, lưu trữ file CreateISO.msi

Thực hiện Share Full control folder C:\ UltraISO

B1: Start, Programs, Administrative tools, Group Policy Management

- Chuột phải lên OU hocsinh chọn Create a GPO in this domain and Link…

B2 : Chuột phải Deploy UltraISO , chọn Edit

-Bung mục User Configuration chọn Policies, Software Settings, Chuột phải lên:

Chọn file: CreateISO.MSI nhấn chọn Open

B3: Chuột phải lên: CreateISO chọn Properties

- Trong mục Deployment options check 2 ô:

+ Uninstall this application when it…

+ Install this application at logon

- Đóng tất cả các cửa sổ.

B4: Ra command line thực thi lệnh: Gpupdate /force

- Logon với User hs1 kiểm tra có phần mềm UltraISO

- Logon với User qs1 kiểm tra không có phần mềm UltraISO

Bài tập : thực hiện Deploy Software cho máy tính PC02 o Tạo OU Deploy Computer, di chuyển PC02 vào OU này o Thực hiện Deploy Software cho Computer (tự động cài đặt trên PC02 phần mềm Adobe Reader hoặc phần mềm bất kỳ)

Tiêu đề	Quản trị Hệ Điều Hành Window Server Cơ Bản
Tác giả	Trần Văn Ngân
Trường học	Trường Cao Đẳng Bách Khoa Nam Sài Gòn
Chuyên ngành	Tin học ứng dụng
Thể loại	Giáo trình
Năm xuất bản	2022
Thành phố	Thành phố Hồ Chí Minh

Định dạng
Số trang	175
Dung lượng	5,72 MB