Windows - Để sử dụng máy tính chạy hệ điều hành Microsoft Windows, mỗi người dùng cầnphải có một tài khoản riêng, được gọi là "tài khoản người dùng".. - Tài khoản người dùng có thể chia
CHỦ ĐỀ 1: QUẢN LÝ NGƯỜI DÙNG VÀ MÁY TÍNH
Windows
Để sử dụng máy tính với hệ điều hành Microsoft Windows, mỗi người dùng cần có một tài khoản riêng, gọi là "tài khoản người dùng" Tài khoản này đóng vai trò quan trọng trong việc quản lý quyền truy cập và bảo mật thông tin cá nhân.
+ Người dùng truy cập vào mạng hoặc Internet.
+ Cho phép người dùng truy cập vào máy tính và các thư mục và tài liệu động.
- Tài khoản người dùng có thể chia thành hai loại chính:
+ Local Account: cho phép người dùng truy cập vào máy tính đơn lẻ mà không ảnh hưởng đến các máy tính khác trong mạng.
+ Domain Account: Loại tài khoản này được tạo và quản lý trên máy chủ miền và cho phép truy cập vào các tài nguyên thuộc về miền đó.
Windows tích hợp sẵn các tài khoản quan trọng như "Quản trị viên (Administrator)" và "Khách (Guest)" để giúp người dùng quản lý máy tính một cách thuận tiện hơn.
- Windows cung cấp một số nhóm với các vai trò và quyền hạn khác nhau:
+ Domain Admins: có quyền cao cấp để thực hiện các nhiệm vụ quản trị.
+ Domain Users: chứa tất cả các người dùng thuộc miền Đây là nhóm mặc định cho tất cả người dùng.
+ Account Operators: có thể tạo, xóa, sửa các nhóm và tài khoản người dùng. + Backup Operators: các tác vụ sao lưu và khôi phục máy chủ miền
+ Authenticated Users: gồm tất cả các người dùng đã đăng nhập vào hệ thống. + Everyone: gồm tất cả các đối tượng, bao gồm cả người dùng và máy tính
- Mỗi tài khoản người dùng cần cung cấp các thông tin cơ bản sau:
Tên người dùng là một định danh duy nhất cho mỗi người khi truy cập vào mạng, trong khi mật khẩu được gán cho mỗi tài khoản nhằm đảm bảo tính bảo mật cho thông tin cá nhân.
+ Các thuộc tính của tài khoản người dùng: có các thuộc tính bổ sung như họ tên, số điện thoại, địa chỉ thư điện tử (email), phòng ban,
- Các thao tác phổ biến với tài khoản người dùng bao gồm:
+ Copy: Tạo một bản sao của tài khoản người dùng.
+ Add to Group: đưa vào một nhóm người dùng hoặc nhóm quyền hạn cụ thể. + Disable Account: vô hiệu hóa tài khoản người dùng
+ Reset Password: thiết lập lại mật khẩu cho tài khoản.
+ Delete Account: Gỡ bỏ tài khoản người dùng khỏi hệ thống hoặc mạng.
Trong hệ thống quản lý tài khoản người dùng và nhóm người dùng của Windows Server, có sự phân biệt rõ ràng giữa các loại nhóm người dùng.
+ Domain Local Group: được tạo trên một miền, có giá trị trong miền đó.
+ Global Group: được tạo trên một miền cụ thể và được sử dụng để quản lý quyền truy cập vào tài nguyên trong cùng một miền đó.
+ Universal Group: nhóm có tính toàn cầu, có thể áp dụng cho nhiều miền.
Việc phân loại các nhóm người dùng giúp quản trị viên thiết lập và quản lý quyền truy cập một cách linh hoạt và hiệu quả.
- Các quyền tiêu biểu cho kiểm soát truy cập vào tài nguyên bao gồm:
Quyền kiểm soát đầy đủ cho phép người dùng đọc, ghi, sửa đổi, thực thi và thay đổi các thuộc tính của tài nguyên, đồng thời có khả năng lấy quyền sở hữu Ngoài ra, quyền sửa đổi cho phép người dùng thực hiện các thao tác đọc, ghi, sửa đổi và điều chỉnh thuộc tính của tài nguyên.
+ Read: xem nội dung của tài nguyên, bao gồm dữ liệu, thuộc tính, chủ sở hữu, và quyền truy cập của các đối tượng tài nguyên.
+ Write: ghi dữ liệu vào tài nguyên.
Các quyền truy cập này giúp quản lý và kiểm soát quyền truy cập vào tài nguyên hệ thống, đảm bảo rằng chỉ những người dùng hoặc nhóm người dùng cụ thể được phép thực hiện các hoạt động cần thiết mà không làm ảnh hưởng đến tính bảo mật và toàn vẹn của dữ liệu.
Linux/Unix
Linux và Unix sử dụng hệ thống số để xác định duy nhất từng người dùng Để đảm bảo an toàn, mật khẩu của người dùng được mã hóa và lưu trữ an toàn, thường trong tệp /etc/shadow.
+ Mật khẩu được mã hóa: được mã hóa bằng một thuật toán mã hóa mạnh. + Password Expiry: quy tắc về hạn sử dụng mật khẩu
+ Password Change Time: thời gian gần nhất mật khẩu được thay đổi.
Nhóm người dùng là những người cần truy cập vào các tài nguyên, được lưu trữ trong file /etc/group Mỗi dòng trong file này có cấu trúc gồm tên nhóm, mật khẩu nhóm, số định danh nhóm và các thành viên.
- Người quản trị có thể thêm, xóa, hay sửa thông tin người dùng và nhóm:
+ useradd, userdel, usermod: nhóm lệnh quản lý người dùng
+ groupadd, groupdel, groupmod: nhóm lệnh quản lý nhóm
+ passwd: thay đổi mật khẩu người dùng.
Ví dụ, để thêm người dùng sinhvien3 vào hệ thống: useradd sinhvien3
Đặt mật khẩu cho sinhvien3: sudo passwd sinhvien3
Hệ thống Linux/Unix quản lý quyền truy cập tài nguyên thông qua ba quyền cơ bản: đọc (r), ghi (w) và thực thi (x) Để nâng cao mức độ bảo mật, hệ thống này áp dụng ba loại quyền đặc quyền hoặc nhóm đặc quyền khác nhau.
+ Owner: quản lý toàn bộ quyền truy cập và thao tác trên file đó.
+ Group: nhóm sở hữu có thể chia sẻ truy cập đối với tài nguyên.
+ Other: tất cả những người dùng không thuộc vào Owner/Group.
Người dùng có thể điều chỉnh quyền truy cập thông qua các lệnh như chown để thay đổi quyền sở hữu và chmod để thay đổi quyền truy cập Trong lệnh chmod, các ký hiệu như "u" (người dùng), "g" (nhóm), "o" (người dùng khác), "r" (quyền đọc), "w" (quyền ghi) và "x" (quyền thực thi) được sử dụng để xác định quyền Thêm vào đó, số 0 và dấu "-" dùng để loại bỏ quyền, trong khi số 1 và dấu "+" được sử dụng để thêm quyền.
Trong một số tình huống, người dùng cần có đặc quyền để thực hiện các thao tác quản trị Để đạt được quyền truy cập cần thiết, họ có thể sử dụng lệnh hoặc su sudo, nhưng điều kiện tiên quyết là phải cung cấp mật khẩu hợp lệ.
Demo (Windows)
1 Kịch bản 1: Quản lý quyền truy cập
Tạo 4 đơn vị tổ chức (OU) với 3-5 nhân viên cho mỗi OU, tổng cộng từ 15 đến 20 nhân viên Trong đó, OU khách sẽ bao gồm 2 khách, bao gồm Giám Đốc (1 người dùng có quyền Administrator) và các phòng ban như Phòng Quản trị nhân lực, Phòng Kế toán, Phòng Kỹ thuật.
Mỗi phòng trong công ty sẽ được tổ chức thành các nhóm, với mỗi nhóm gồm 5 nhân viên Có tổng cộng 3 nhóm tương ứng với các phòng: Phòng Quản Trị Nhân Lực, Phòng Kế Toán và Phòng Kỹ Thuật.
- OU khách gồm 2 khách bất kì:
Trên máy Windows Server DC, cần tạo bốn thư mục quan trọng: Thư mục "Phong Ke Toan" để lưu trữ tài liệu kế toán; "Phong Ky Thuat" chứa file ISO cài đặt Windows, quyền truy cập Remote Desktop Protocol (RDP) để hỗ trợ kỹ thuật, cùng với các file msi dùng để cài đặt phần mềm; "Phong Quan Tri Nhan Luc" để lưu trữ lịch làm việc, chấm công và thông tin nhân viên như tên, số điện thoại, ngày lương và địa chỉ trong file Excel; và cuối cùng là thư mục "Quang Cao" để quản lý các tài liệu quảng cáo.
- Phân quyền cho các user như sau:
+ Giám đốc: có quyền truy cập tất cả các folder.
+ NV kế toán: truy cập, sửa folder “Phong Ke Toan”
+ NV quản trị nhân lực: truy cập, sửa “Phong Quan Tri Nhan Luc”.
+ NV kĩ thuật: quyền truy cập, sửa folder “Phong Ki Thuat”.
+ Khách: chỉ truy cập được folder “Quang Cao”.
- Login máy Windows 7 bằng user Giam Doc, truy nhập vào Windows Server:
- Thấy cả 4 folder được chia sẻ là “Phong Ke Toan”, “Phong Ky Thuat”, “Phong Quan Tri Nhan Luc” va “Quang Cao”:
Giám đốc có quyền truy cập tất cả các folder nhưng không có quyền chỉnh sửa
- Login Le Trung Thanh (Trưởng phòng kế toán), truy nhập Window Server:
User Le Trung Thanh chỉ vào được “Quang Cao” và folder “Phong Ke Toan”.
- Login Le Tran Nam (Trưởng phòng kỹ thuật), truy nhập Window Server:
Các user nhân viên khác cũng chỉ có quyền truy cập folder thuộc phòng của họ.
- Login khách, chỉ quyền xem folder “Quang Cao”:
2 Kịch bản 2: Truy cập từ xa RDP
- Sử dụng “Remote Desktop Connection” kết nối đến máy người dùng.
- Click "Start Menu" -> "Run" -> gõ "gpedit.msc" -> Enter.
- "Group Policy Object Editor" chọn "Computer Configuration” -> “Windows Settings” -> “Security Settings” -> “Local Policies” -> “User Rights Assignment".
To grant users access to connect via Remote Desktop Services, navigate to the right side and double-click on "Allow Log on through Terminal Services." Then, select "Add User or Group" and choose the desired user or group to permit the connection, followed by clicking OK.
- Ở phần “Active Directory Users and Computers”, chuột phải group “Phong Ke Toan” -> “Properties” Ở tab “Member Of”, add “Remote Desktop Users”.
- Thực hiện kết nối đến máy của người cần kết nối.
- Nhấn đồng ý ở bên phía người được kết nối, kết quả:
Kết luận
Quản lý người dùng và máy tính trên hệ điều hành Windows và Linux có những khác biệt quan trọng Dưới đây là một số điểm khác biệt chính trong cách mà hai hệ điều hành này thực hiện quản lý người dùng và máy tính.
- Hệ thống quyền và phân quyền:
+ Windows: dựa trên ACL (Access Control Lists) để quản lý quyền truy cập.
+ Linux: hệ thống quyền dựa trên owner, group, others Quyền truy cập được xác định bằng các bit rwx (read, write, execute) cho owner, group và others.
+ Windows: sử dụng user accounts và groups để quản lý quyền truy cập. + Linux: Linux cũng sử dụng tài khoản người dùng và các nhóm.
Hệ điều hành Windows cho phép người dùng thực hiện hầu hết các tác vụ quản lý thông qua giao diện đồ họa (GUI), trong khi đó, Linux chủ yếu sử dụng giao diện dòng lệnh để quản lý người dùng và máy tính.
- Quản lý người dùng cơ bản:
+ Windows: thực hiện qua Server Manager.
+ Linux: thực hiện qua lệnh dòng lệnh như useradd userdel, , và usermod.
+ Linux: Linux thường được coi là linh hoạt và có thể tùy chỉnh mạnh mẽ hơn
+ Windows: Windows cung cấp một mô hình quản lý tương đối cứng nhắc hơn.
CHỦ ĐỀ 2: CHIA SẺ FILE VÀ MÁY IN
Chia sẻ file
- FTP là giao thức cho phép tải giữa các máy tính nối mạng Internet.
FPT hoạt động theo cơ chế chủ/khách, sử dụng hai cổng: cổng 21 để điều khiển lệnh và cổng 20 cho việc trao đổi dữ liệu Hai chế độ hoạt động này đảm bảo hiệu quả trong việc quản lý và truyền tải thông tin.
+ Anonymous: không cần mật khẩu.
+ Authenticated: phải có tài khoản và mật khẩu để truy nhập. a Windows:
- Cài đặt dịch vụ FTP:
+ Mở "Server Manager" trên Windows Server.
+ Chọn "Add Roles and Features".
+ Điền thông tin cơ bản và chọn "Web Server (IIS)".
To enhance your IIS setup, select "Add Features" to include the FTP Server functionality Next, choose "Add Required Role Services" to install the necessary FTP-related services Finally, click "Next" and then "Install" to initiate the installation process.
- Cấu hình dịch vụ FTP:
+ "Server Manager" và chọn "Tools" -> " IIS Manager".
+ Trong “IIS Manager”, mở nút gốc máy chủ (Server Node) ở phần trái. + Bên phải, sẽ thấy các biểu tượng và chức năng của IIS.
+ Nhấn chuột phải "FTP Sites" và chọn "Add FTP Site" để tạo trang FTP mới.
Để quản lý trang FTP, bạn cần cung cấp thông tin bao gồm trang, thư mục gốc và cấu hình bảo mật Sau khi hoàn tất, trang FTP sẽ xuất hiện trong danh sách "FTP Sites", cho phép bạn dễ dàng quản lý và truy cập.
- Quản lý người dùng và phân quyền:
+ Cần quản lý người dùng và phân quyền thông qua “IIS Manager”.
+ Tạo tài khoản FTP và sau đó gán quyền truy cập vào thư mục FTP tương ứng.
+ Cấu hình bảo mật FTP, sử dụng SSL/TLS để bảo vệ dữ liệu truyền qua mạng. b Linux:
- Việc cài đặt trên ubuntu được thực hiện qua câu lệnh sudo apt-get install vsftpd:
Các thư mục chia sẻ file mặc định được đặt tại /svr/ftp, và thông tin cấu hình chi tiết cho dịch vụ này được lưu trong file /etc/vsftpd.conf Cấu hình cơ bản bao gồm việc cho phép truy cập nặc danh với tham số anonymous_enable được thiết lập là YES.
+ Cho phép người dùng tải file lên máy chủ: write_enable = YES.
+ Cho phép nặc danh tải file lên máy chủ: anon_upload_enable = YES.
Để sử dụng dịch vụ FTP, người dùng cần một chương trình khách FTP hoặc phần mềm có giao diện đồ họa Để kết nối, người dùng nhập lệnh "ftp tên_máy_chủ_dịch_vụ" trong chế độ dòng lệnh.
+ Mở đóng kết nối: open/close
+ Tải file về: get, mget
+ Nạp file lên máy chủ: put, mput
NFS là giao thức được thiết kế để chia sẻ tập tin và thư mục giữa các hệ thống UNIX và Linux Mặc dù Windows không hỗ trợ NFS một cách trực tiếp, nhưng vẫn có nhiều phương pháp để truy cập dịch vụ NFS từ máy tính chạy Windows.
+ Sử dụng ứng dụng bên thứ ba: Một số ứng dụng bên thứ ba như "NFS Client" hoặc "WinNFSd".
+ Sử dụng Windows Services for UNIX.
+ Sử dụng WSL (Windows Subsystem for Linux)
+ Cài đặt máy tính Linux ảo hóa
+ Máy chủ chia sẻ thư mục /shared
Máy khách có thể truy cập thư mục chia sẻ trên máy chủ server tại đường dẫn /shared thông qua lệnh mount Dịch vụ NFS mang lại lợi ích lớn trong việc tiết kiệm không gian lưu trữ cho các máy trạm, nhờ vào khả năng lưu trữ dữ liệu dùng chung trên máy chủ và truy cập qua mạng Để cài đặt dịch vụ NFS, hãy sử dụng câu lệnh dưới đây.
sudo apt-get install nfs-kernel-server
- Để khởi động, dừng hay kiểm tra trạng thái dịch vụ người quản trị có thể dùng câu lệnh:
sudo service nfs-kernel-server start/restart/stop/status
- Cấu hình thư mục/file chia sẻ được thực hiện thông qua việc thay dổi trong file
Tập tin /etc/export chứa thông tin về các thư mục và file được chia sẻ, với mỗi dòng mô tả theo định dạng Thư_mục_chia_sẻ client/ip (quyền) Ví dụ, để chia sẻ thư mục home cho tất cả các máy trong mạng, bạn cần cấu hình đúng quyền truy cập.
/home *(rw,sync,no_root_squash)
- Các quyền truy nhập gồm có:
+ noaccess: Không cho truy nhập thư mục chia sẻ
+ root_squash: Từ chối đặc quyền (root) của người dùng từ xa
+ no_root_squash: Cho phép đặc quyền
- Cần khởi động lại dịch vụ NFS mỗi khi thay đổi cấu hình qua câu lệnh:
sudo nfs-kernel-server restart
Để kết nối thư mục chia sẻ của NFS với thư mục trên máy người dùng, cần sử dụng câu lệnh mount từ phía máy khách.
sudo mount Máy_chủ:/thư-mục-chia-sẻ/local/thư_mục_chia_sẻ
Máy in
Windows cung cấp nhiều dịch vụ hỗ trợ quản lý và chia sẻ máy in trong mạng, trong đó nổi bật là dịch vụ Print Spooler, giúp xếp hàng các tác vụ in và thực hiện chúng theo thứ tự.
+ Add a Printer: có thể kết nối máy in cục bộ hoặc máy in mạng.
+ Chia sẻ máy in: các máy tính trong mạng truy cập và sử dụng máy in này. + Windows Print Server: quản lý một mạng lớn hoặc doanh nghiệp.
Để tối ưu hóa việc sử dụng máy in, cần cài đặt nhiều driver máy in hỗ trợ cho các loại máy in thông dụng Quản lý máy in có thể thực hiện dễ dàng từ Control Panel, cho phép người dùng theo dõi trạng thái in ấn một cách hiệu quả Ngoài ra, việc xác thực và phân quyền cho máy in cũng rất quan trọng để đảm bảo an toàn và kiểm soát quyền truy cập.
+ Gỡ bỏ máy in: gỡ bỏ máy in khỏi hệ thống
+ Windows 10 và Windows 11 Mobile Printing: in từ thiết bị di động.
- Dịch vụ CUPS (Common UNIX Printing System) cung cấp dịch vụ in, cung cấp các công cụ quản trị và đặt cấu hình đơn giản qua Web.
CUPS có thể được cài đặt bằng lệnh sudo apt-get install cups, và các thông tin cấu hình được lưu trữ trong file /etc/cups/cupsd.conf Các cấu hình cơ bản của CUPS bao gồm nhiều tùy chọn quan trọng cho việc quản lý và cấu hình máy in.
+ Địa chỉ quản trị: ServerAdmin địa_chỉ_email_quản_trị
+ Cho phép sử dụng dịch vụ: Allow from 192.168.0.*
+ Từ chối dịch vụ: Deny from all.
+ Ngoài ra người quản trị có thể cấu hình thông qua giao diện Web tại địa chỉ ngầm định http://localhost:631/admin
- Phía máy khách sử dụng câu lệnh lpr để in các file tài liệu cần thiết theo dạng: lpr file_cần_in
- Trong quá trình hoạt đông, CUPS ghi nhật ký hoạt động vào thư mục /var/log/cups.
- Trên máy server, tạo các OU, group và các users trong group đó.
- Tạo cây thư mục: Thư mục gốc là “FTP”, bên trong là các thư mục “Ke Toan” và
Quản trị nhân lực là một lĩnh vực quan trọng, trong đó mỗi thư mục chứa nhiều tệp tin Để chia sẻ thư mục "Kế Toán" với nhóm "Phòng Kế Toán" đã được tạo, bạn có thể sử dụng dịch vụ FTP.
- Trước hết phải cài đặt được FTP Server theo như hướng dẫn ở phần lý thuyết.
- Vào “Server Manager”, chọn “Tools” -> “IIS Manager” -> chuột trái ở mục “Sites” chọn “New site”, sau đó thực hiện điền các thông tin như hình:
Đã tạo xong 1 FTP site
+ Cho phép tất cả các users trong domain có thể truy cập được folder “FTP”. + “Ke Toan”: admin, users group “Phong Ke Toan”
+ “Quan Tri Nhan Luc”: admin, users group “Phong Quan Tri Nhan Luc”.
- Thực hiện: Trên “IIS Manager”:
+ Chuột phải vào “FTP” -> “Edit Permissions” -> “Security” -> “Advanced” -> “Disable Inheritance” -> “Remove all …”.
+ Chọn “Add”, ở ô “Enter the object name” gõ “Administrators” sau đó
“Check Names” và chọn như hình -> OK.
+ Trong phần “Basic permissions”, tick ô “Full Control” -> OK.
+ Tương tự, add “Domain Users” nhưng chỉ với 3 quyền.
+ Thực hiện phân quyền theo các bước tương tự với 2 folder “Ke Toan” và
Khi thực hiện quản lý nhân lực trong "Quản Trị Nhân Lực", cần chú ý đến việc phân quyền Thay vì sử dụng "Domain Users", hãy thay thế bằng nhóm phù hợp, ví dụ như đối với thư mục "Kế Toán", nên thêm nhóm "Phòng Kế Toán" và đánh dấu vào ô "Full Control".
Hoàn thành phân quyền truy cập tới các folder
* Kiểm tra kết quả trên máy client (đã join Domain):
- Vào “Windows Explorer”, trên thanh địa chỉ gõ địa chỉ IPv4 của máy server:
Đăng nhập với tài khoản "Nhan Vien B" trong nhóm "Phong Ke Toan" Sau khi đăng nhập thành công, bạn sẽ thấy hai thư mục là "Ke Toan" và "Quan Tri Nhan Luc" Bạn có thể truy cập vào thư mục "Ke Toan", nhìn thấy các tệp bên trong và nhấp vào tệp để mở nó.
“Internet Explorer” -> B đã nhận được file cần để mang đi in:
- Ngược lại, nhân viên này sẽ không truy cập được vào folder “Quan Tri Nhan Luc” do không được phân quyền:
Như vậy, ta đã chia sẻ tài liệu qua dịch vụ FTP và phân quyền truy cập đến
Setting up a print server on Windows Server 2019 is essential for sharing printers and managing printing devices from a centralized administration point.
- Để cài đặt Printer Server, người dùng cần truy cập "Server Manager" trên Windows Server 2019.
- Chọn "Add Roles and Features" và sau đó chọn "Print and Document Services" và cài đặt "Print Server".
* Cấu hình và chia sẻ máy in tới các User trong mạng cục bộ:
Các máy in trong phòng nhân sự, phòng kế toán và phòng nhân viên được phân quyền truy cập riêng biệt, với các quyền truy cập ("Permissions") khác nhau cho từng phòng.