• Chia sẻ file và máy in: – Cấu hình chia sẻ file từ máy chủ và thiết lập chia sẻ máy in từ PC1 để các máy tính khác có thể sử dụng... Tạo thư mục chia sẻ và phân quyền trên thư mục: • T
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC TÔN ĐỨC THẮNG
Trang 2Mục lục
1.1 Lựa chọn thiết bị mạng 11.2 Vị trí đặt switch và thiết bị 11.3 Lắp đặt mạng LAN 11.4 Phần 4: Cài đặt phần mềm và cấu hình hệ thống 1
2 Cấu hình 1 - Quản lý theo Domain 22.1 Cài đặt và cấu hình Active Directory trên Windows
Server 2008 22.2 Thiết lập nhóm người dùng và phân quyền trên Ac-
tive Directory 52.3 Phân quyền truy cập cho các thư mục chia sẽ 6
3 Cấu hình 2 - Quản lý Bảo mật Hệ thống vớiChính sách Bảo vệ Dữ liệu Nâng cao 113.1 Thiết lập chính sách mật khẩu 113.2 Giới hạn thời gian đăng nhập 133.3 Áp dụng chính sách đăng xuất tự động ngoài giờ 143.4 Chặn truy cập từ thiết bị di động 163.5 Cấu hình Firewall để chặn truy cập từ VPN hoặc
Internet 193.6 Cấu hình Windows Server Backup để sao lưu tự
động hàng ngày 21
Trang 31 YÊU CẦU
1.1 Lựa chọn thiết bị mạng
• Switch: Chọn switch với tối thiểu 4 cổng, hỗ trợ tốc độ 1Gbps
để đảm bảo hiệu suất tốt nhất
• Router hoặc Modem (nếu cần kết nối internet)
• Dây cáp mạng (Ethernet): Sử dụng cáp Cat5e hoặc Cat6
để đảm bảo tốc độ và chất lượng kết nối
1.2 Vị trí đặt switch và thiết bị
• Switch: Đặt tại vị trí trung tâm giữa các máy tính và máy in
để tối ưu chiều dài dây cáp
• Máy in: Đặt gần PC1, vì máy in sẽ được chia sẻ từ PC1
• Dây cáp: Cố gắng sử dụng chiều dài dây cáp ngắn nhất cóthể, và tránh để dây cáp đi qua những nơi có thể gây vướnghoặc dễ hư hỏng
Trang 4• Máy tính nhân viên: Cài đặt Windows 8.1 Pro.
• Cài đặt Office 2003, Vietkey, và phần mềm diệt virus trên cácmáy tính
• Chia sẻ file và máy in:
– Cấu hình chia sẻ file từ máy chủ và thiết lập chia sẻ máy in
từ PC1 để các máy tính khác có thể sử dụng
2 Cấu hình 1 - Quản lý theo Domain
2.1 Cài đặt và cấu hình Active Directory trên
Win-dows Server 2008
Thông số Router Gateway PC1 (Máy Chủ) PC2 PC3
IP Address 192.168.1.1 192.168.1.2 192.168.1.101 192.168.1.102 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Default Gateway 192.168.1.1 192.168.1.1 192.168.1.1 Preferred DNS Server 192.168.1.2 192.168.1.2 192.168.1.2
Bảng 1: Thông số cấu hình mạng
Trang 51 Địa chỉ của máy PC1
Hình 1: IP chưa được thiết lập Hình 2: IP đã được thiết lập
2 Kiểm tra mạng nội bộ
Hình 3: Ping PC1 đến PC2 Hình 4: Ping PC2 đến PC1
Trang 63 Nâng cấp PC1 lên Domain Controller
• Server Manager → Add roles and features → Select serverroles → Active Directory Domain Services → Next
Hình 5: Active Directory Domain Services Hình 6: Installation
• Deployment Configuration → “Add a domain controller to
an existing domain” → Specify the domain information forthis operation → Enter Domain: examtwo.com → Supplythe credentials to → Click change → Enter User vàPassword của tài khoản Administrator: User: examtwo.comadministrator, password: P@ssw0rd → Next
Hình 7: Deployment Configuration Hình 8: Credentials for deployment
opera-tion
• Domain Controller Option → Directory Services Restore
Trang 7Mode (DSRM): P@ssword
• Prerequisites Check → click Install
Hình 9: Domain Controller Options Hình 10: Installation progress
2.2 Thiết lập nhóm người dùng và phân quyền trên
Active Directory
1 Tạo các nhóm trong Active Directory:
• Trên máy chủ chạy Windows Server 2008, vào Start →
Administrative Tools → Active Directory Users andComputers
• Nhấp chuột phải vào tên domain examtwo.com → chọnNew → Organizational Unit
• Đặt tên là MARKETING, HR và SALES để dễ dàng quản lýcác tài khoản người dùng
Trang 8Hình 11: Active Directory Users and Computers
2 Tạo thư mục chia sẻ và phân quyền trên thư mục:
• Tạo ba thư mục trên ổ C: với tên lần lượt là HR, KETING và SALES
MAR-Hình 12: Thư mục FileShare trong ổ C máy
Server
Hình 13: Thư mục HR, MARKETING và SALES trong FileShare
2.3 Phân quyền truy cập cho các thư mục chia sẽ
1 Phân quyền cho Thư mục HR
• Trong Thư mục FileShare:
– Nhấp chuột phải vào HR → chọn Properties → chọnSharing → chọn Advanced Sharing → chọn Permis-stions
Trang 9– Nhận Add→thêm nhóm HR-GROUP vào và Cấp quyềnRead.
Hình 14: Permisstions for HR
Hình 15: Select Users, Computers, Service Accounts, or Groups
– Sau khi hoàn tất việc chia sẻ thư mục HR Ta tiếp tục
vô phần Properties → chọn tab Security → chọn Edit.– Nhận Add→thêm nhóm HR-GROUP vào và Cấp quyềnRead
Trang 10Hình 16: Permisstions for HR
Hình 17: Select Users, Computers, Service Accounts, or Groups
2 Phân quyền cho Thư mục MARKETING
• Trong Thư mục FileShare:
– Nhấp chuột phải vào thư mục MARKETING → chọnProperties →chọn Sharing → chọn Advanced Sharing
→ chọn Permisstions
– Nhận Add → thêm nhóm MARKETING-GROUP vào
và Cấp quyền Read
Trang 11Hình 18: Permisstions for MARKETING
Hình 19: Select Users, Computers, Service Accounts, or Groups
– Sau khi hoàn tất việc chia sẻ thư mục MARKETING
Ta tiếp tục vô phần Properties → chọn tab Security →
chọn Edit
– Nhận Add → thêm nhóm MARKETING-GROUP vào
và Cấp quyền Read
Hình 20: Permisstions for MARKETING
Hình 21: Select Users, Computers, Service Accounts, or Groups
Trang 123 Phân quyền cho Thư mục SALES
• Trong Thư mục FileShare:
– Nhấp chuột phải vào thư mục SALES→chọn Properties
→ chọn Sharing → chọn Advanced Sharing → chọnPermisstions
– Nhận Add → thêm nhóm SALES-GROUP vào và Cấpquyền Change
Hình 22: Permisstions for SALES
Hình 23: Select Users, Computers, Service Accounts, or Groups
– Sau khi hoàn tất việc chia sẻ thư mục SALES Ta tiếptục vô phần Properties → chọn tab Security → chọnEdit
– Nhận Add → thêm nhóm SALES-GROUP vào và Cấpquyền Modify
Trang 13Hình 24: Permisstions for SALES
Hình 25: Select Users, Computers, Service Accounts, or Groups
3 Cấu hình 2 - Quản lý Bảo mật Hệ thống với Chính sách Bảo vệ Dữ liệu Nâng cao
3.1 Thiết lập chính sách mật khẩu
• Mở Group Policy Management:
– Trên máy chủ, vào Start → Administrative Tools →
Group Policy Management
Hình 26: Group Policy Management
Trang 14• Chọn chính sách GPO để cấu hình mật khẩu:
– Trong Group Policy Management, mở rộng domain examtwo.com.– Nhấp chuột phải vào Default Domain Policy (hoặc tạo
một GPO mới dành riêng cho mật khẩu nếu bạn muốn) →
chọn Edit
Hình 27: Default Domain Policy [P CI.EXAM T W O.COM ] Policy
• Thiết lập độ dài và độ phức tạp cho mật khẩu:
– Trong cửa sổ Group Policy Management Editor, đi đến:
Computer Configuration→Policies →Windows Settings
→Security Settings→Account Policies→PasswordPolicy
Hình 28: Password Policy
– Cấu hình các tùy chọn sau:
∗ Maximum password age: Nhấp đúp và đặt giá trị thành
90 ngày
Trang 15∗ Minimum password length: Nhấp đúp và đặt giá trịthành 8 ký tự.
∗ Password must meet complexity requirements: Nhấpđúp và chọn Enabled Tùy chọn này yêu cầu mật khẩuphải chứa ít nhất 3 trong 4 loại ký tự: chữ hoa, chữthường, chữ số, và ký tự đặc biệt
Hình 29: Maximum password
age
Hình 30: Minimum password length
Hình 31: Password must meet complexity requirements
• Lưu cấu hình:
– Sau khi cấu hình xong, nhấn OK và đóng Group PolicyManagement Editor Chính sách sẽ tự động áp dụng chotoàn bộ domain
3.2 Giới hạn thời gian đăng nhập
• Mở Active Directory Users and Computers:
– Quay lại Active Directory Users and Computers (trongAdministrative Tools)
• Cấu hình thời gian đăng nhập cho từng tài khoản người dùng:
Trang 16– Trong OU SALES, nhấp đúp vào tài khoản (Binh Ngo Xuan)
→ chọn tab Account
– Trong phần Logon Hours, chọn Logon Hours để mở
cửa sổ cấu hình
– Chọn các khoảng thời gian cho phép đăng nhập:
∗ Chỉ chọn từ 08:00 đến 18:00 vào các ngày trong tuần
– Nhấn OK để lưu thiết lập cho từng tài khoản
Hình 32: Properties of binhnx-sa
Hình 33: Logon Hours for binhnx-sa
• Làm tương tự đối với các users của 2 OU còn lại
(MARKET-ING và HR)
3.3 Áp dụng chính sách đăng xuất tự động ngoài giờ
• Trong Group Policy Management, mở rộng domain examtwo.com
• Nhấp chuột phải vào Default Domain Policy (hoặc tạo một
GPO mới dành riêng cho mật khẩu nếu bạn muốn) → chọn
Trang 17• Thiết lập độ dài và độ phức tạp cho mật khẩu:
– Trong cửa sổ Group Policy Management Editor, đi đến:
Computer Configuration→Policies →Windows Settings
→Security Settings→Local Policies→Security
Options
– Cấu hình chính sách: Network security: Force logoff
when logon hours expire → Enabled
Hình 34: Security Options
Hình 35: Force logoff when logon hours pire
ex-– Lưu các thay đổi và áp dụng chính sách:
– Sau khi thiết lập xong, đợi một khoảng thời gian hoặc dùng
lệnh gpupdate /force trong Command Prompt để buộc
cập nhật chính sách ngay lập tức
Trang 183.4 Chặn truy cập từ thiết bị di động
• Cài đặt Network Policy Server (NPS):
– Sử dụng Network Policy Server (NPS) để giới hạn thiết bịtruy cập theo loại thiết bị
– Đầu tiên mở Server Manager trên Server Sau đó chọn AddRoles and Feature Tiếp theo click Next
Hình 36: Server Manager
Hình 37: Add Roles and Feature
– Cửa sổ Installation Type tiếp theo các bạn chọn Role-based
or feature-based installation và Next Tiếp theo chọn Select
a server from the server pool, và chọn server ở danh sáchServer Pool bên dưới
Hình 38: Installation Type Hình 39: Server Pool
– Bước tiếp theo tick chọn vào mục Network Policy and
Trang 19Ac-cess Service và bấm Next Cửa sổ vẫn bấm Next.
Hình 40: Server Roles
Hình 41: Network Policy and Access Services
– Sau đó click Install để thực hiện quá trình cài đặt NPS Đợi
hệ thống cài đặt phần NPS và sau đó mở của sổ NetworkPolicy Server lên
Hình 42: Confirmation Hình 43: Network Policy Server
Trang 20Hình 44: Confirmation
Hình 45: Network Policy Server
NAS Identifier → nhập vào text box: Mobile Devices →
Trang 21Hình 48: Specify Conditions Hình 49: Completing New Network Policy
(Router/-• Mở Windows Defender Firewall: Vào Control Panel → dows Defender Firewall → Advanced Security
Win-• Tạo quy tắc mới (Inbound Rule):
Trang 22– Chọn Inbound Rules → New Rule → Chọn Custom Rule.
Hình 51: New Rule
Hình 52: New Inbound Rule Wizard
– Chọn Step Scope Chọn Which remote IP addresses doesthis rule apply to? → These IP addresses → Add Sau đó
sẽ có một cửa sổ IP Address pop-up lên → Thêm dải IPthuộc mạng nội bộ: 192.168.1.0/24 → OK
Hình 53: remote IP addresses
Hình 54: IP Address
– Nhấn Next → chọn Allow the connection→ đặt tên: Allow
Trang 23Internal Access Only.
Hình 55: Allow the connection
Hình 56: Allow Internal Access Only
3.6 Cấu hình Windows Server Backup để sao lưu tự
động hàng ngày
• Cài Đặt WSB:
– Truy cập Server Manager → Manage → Add Roles andFeatures → Next → Chọn Role-based installation hoặcFeature-based installation → Sau đó chọn Select a serverfrom the server pool, rồi nhấp vào Next
– Một khi tất cả những điều này được thực hiện, hãy chọnWindows Backup Server và sau đó nhấp vào Next → NhấnInstall và chờ quá trình cài đặt kết thúc
Hình 57: Select features
Hình 58: Confirm installation selections
Trang 24• Cấu hình WSB:
– Đi đến Server Manager→Tools→Windows Server Backup.– Kích vào Backup Schedule trong bảng điều khiển bêntrái hoặc kích vào Action ở phía trên màn hình
Hình 59: Windows Server Backup
Hình 60: Backup Schedule
– Kích Next → chọn Full server (recommended) và sau đónhấp vào Next
Hình 61: Getting Started Hình 62: Select Backup Configuration
– Để sao lưu mỗi ngày một lần → chọn tùy chọn đầu tiên
và thời gian thích hợp, thường được khuyến nghị vào banđêm, rồi chọn Next
– Không nên kích vào tùy chọn Back Up to shared networkfolder, vì bản sao lưu nên được lưu ở đâu đó bên ngoài máy
Trang 25chủ đang được backup và sau đó kích Next.
Hình 63: Specify Backup Time: Once a day Hình 64: Back up to a shared network folder
– Tại vị trí này, đặt đường dẫn thư mục chia sẻ và sau đóchọn Next Sau đó máy tính sẽ hiện lên một bảng thôngtin, yêu cầu nhập tên người dùng và mật khẩu của thư mụcđược chia sẻ và sau đó nhấp vào OK
Hình 65: Specify Remote Shared Folder Hình 66: Register Backup Schedule
– Nhấp vào nút Finish Sau đó sẽ nhận được một cửa sổ hiểnthị trạng thái, để xem bản sao lưu đã được tạo thành cônghay không
Trang 26Hình 67: Confirmation Hình 68: Summary
![Hình 27: Default Domain Policy [P CI.EXAM T W O.COM] Policy - Môn học quản trị hệ thống mạng ngành mạng máy tính và truyền thông dữ liệu cấu hình 1 quản lý theo domain cấu hình 2 quản lý bảo mật hệ thống với chính sách bảo vệ dữ liệu nâng cao](https://media.store123doc.com/figures/008/125/hinh-default-domain-policy-ci-exam-com-policy-8125704.webp)
