1. Trang chủ
  2. » Công Nghệ Thông Tin

Quá trình hình thành giáo trình hướng dẫn sử dụng các tab thuộc tính trong domain controller p3 pps

11 311 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 11
Dung lượng 428,21 KB

Nội dung

Tài liệu hướng dẫn giảng dạy Tóm lại, điều mà bạn cần nhớ triển khai IPSec: - Bạn triển khai IPSec Windows Server 2003 thông qua sách, máy tính vào thời điểm có sách IPSec hoạt động - Mỗi sách IPSec gồm nhiều qui tắc (rule) phương pháp chứng thực Mặc dù qui tắc permit block không dùng đến chứng thực Windows đòi bạn định phương pháp chứng thực - IPSec cho phép bạn chứng thực thông qua Active Directory, chứng PKI khóa chia sẻ trước - Mỗi qui tắc (rule) gồm hay nhiều lọc (filter) hay nhiều tác động bảo mật (action) - Có bốn tác động mà qui tắc dùng là: block, encrypt, sign permit III.3.1 Các sách IPSec tạo sẵn Trong khung cửa sổ cơng cụ cấu hình IPSec, bên phải thấy xuất ba sách tạo sẵn tên là: Client, Server Secure Cả ba sách trạng thái chưa áp dụng (assigned) Nhưng ý thời điểm có sách áp dụng hoạt động, có nghĩa bạn áp dụng sách sách hoạt động trở trạng thái không hoạt động Sau khảo sát chi tiết ba sách tạo sẵn - Client (Respond Only): sách qui định máy tính bạn khơng chủ động dùng IPSec trừ nhận yêu cầu dùng IPSec từ máy đối tác Chính sách cho phép bạn kết nối với máy tính dùng IPSec khơng dùng IPSec - Server (Request Security): sách qui định máy server bạn chủ động cố gắng khởi tạo IPSec thiết lập kết nối với máy tính khác, máy client khơng thể dùng IPSec Server chấp nhận kết nối khơng dùng IPSec - Secure Server (Require Security): sách qui định không cho phép trao đổi liệu với Server mà không dùng IPSec III.3.2 Ví dụ tạo sách IPSec đảm bảo kết nối mã hóa Học phần - Quản trị mạng Microsoft Windows Trang 245/555 Tài liệu hướng dẫn giảng dạy Trong phần bắt tay vào thiết lập sách IPSec nhằm đảm bảo kết nối mã hóa hai máy tính Chúng ta có hai máy tính, máy A có địa 203.162.100.1 máy B có địa 203.162.100.2 Chúng ta thiết lập sách IPSec máy thêm hai qui tắc (rule), trừ hai qui tắc hệ thống gồm: qui tắc áp dụng cho liệu truyền vào máy qui tắc áp dụng cho liệu truyền khỏi máy Ví dụ qui tắc máy A bao gồm: - Bộ lọc (filter): kích hoạt qui tắc có liệu truyền đến địa 203.162.100.1, qua cổng - Tác động bảo mật (action): mã hóa liệu - Chứng thực: chìa khóa chia sẻ trước chuỗi “quantri” Qui tắc thứ hai áp dụng cho máy A tương tự lọc có nội dung ngược lại “dữ liệu truyền từ địa 203.162.100.1” Chú ý: cách dễ để tạo qui tắc trước tiên bạn phải qui định lọc tác động bảo mật, sau tạo qui tắc từ lọc tác động bảo mật Các bước để thực sách IPSec theo yêu cầu trên: Trong công cụ Domain Controller Security Policy, bạn nhấp phải chuột mục IP Security Policies on Active Directory, chọn Manage IP filter lists and filter actions Hộp thoại xuất hiện, bạn nhấp chuột vào nút add để thêm lọc Bạn nhập tên cho lọc này, ví dụ đặt tên “Connect to 203.162.100.1” Bạn nhấp chuột tiếp vào nút Add để hệ thống hướng dẫn bạn khai báo thông tin cho lọc Học phần - Quản trị mạng Microsoft Windows Trang 246/555 Tài liệu hướng dẫn giảng dạy Bạn theo hướng dẫn hệ thống để khai báo thông tin, ý nên đánh dấu vào mục Mirrored để qui tắc có ý nghĩa hai chiều bạn tốn công để tạo hai qui tắc Mục Source address chọn My IP Address, mục Destination address chọn A specific IP Address nhập địa “203.162.100.1” vào, mục IP Protocol Type bạn để mặc định Cuối bạn chọn Finish để hoàn thành phần khai báo, bạn nhấp chuột tiếp vào nút OK để trở lại hộp thoại Tiếp theo bạn chuyển sang Tab Manage Filter Actions để tạo tác động bảo mật Bạn nhấp chuột vào nút Add hệ thống hướng dẫn bạn khai báo thông tin tác động Trước tiên bạn đặt tên cho tác động này, ví dụ Encrypt.Tiếp tục mục Filter Action bạn chọn Negotiate security, mục IP Traffic Security bạn chọn Integrity and encryption Đến bạn hoàn thành việc tạo tác động bảo mật Học phần - Quản trị mạng Microsoft Windows Trang 247/555 Tài liệu hướng dẫn giảng dạy Công việc bạn sách IPSec có chứa qui tắc kết hợp lọc tác động vừa tạo phía Trong cơng cụ Domain Controller Security Policy, bạn nhấp phải chuột mục IP Security Policies on Active Directory, chọn Create IP Security Policy, theo hướng dẫn bạn nhập tên vào, ví dụ First IPSec, bạn phải bỏ đánh dấu mục Active the default response rule Các giá trị cịn lại bạn để mặc định qui tắc Dynamic không dùng tạo qui tắc Học phần - Quản trị mạng Microsoft Windows Trang 248/555 Tài liệu hướng dẫn giảng dạy Trong hộp thoại sách IPSec, bạn nhấp chuột vào nút Add để tạo qui tắc Hệ thống hướng dẫn bạn bước thực hiện, đến mục chọn lọc bạn chọn lọc vừa tạo phía tên “Connect to 203.162.100.1”, mục chọn tác động bạn chọn tác động vừa tạo tên Encypt Đến mục chọn phương pháp chứng thực bạn chọn mục Use this string to protect the key exchange nhập chuỗi làm khóa để mã hóa liệu vào, ví dụ “quantri” Đến bước cơng việc thiết lập sách IPSec theo yêu cầu bạn hồn thành, khung sổ công cụ Domain Controller Security Policy, bạn nhấp phải chuột lên sách First IPSec chọn Assign để sách hoạt động hệ thống Server Học phần - Quản trị mạng Microsoft Windows Trang 249/555 Tài liệu hướng dẫn giảng dạy Bài 12 CHÍNH SÁCH NHĨM Tóm tắt Lý thuyết tiết - Thực hành tiết Mục tiêu Kết thúc học cung cấp học viên kiến thức Group Policy, sách máy trạm, sách người dùng… Các mục I Bài tập bắt buộc Giới thiệu sách Dựa vào nhóm tập mơn Quản II Triển khai sách trị Windows Server 2003 nhóm miền Bài tập làm thêm Dựa vào tập môn Quản trị Windows Server 2003 III Các ví dụ minh họa Học phần - Quản trị mạng Microsoft Windows Trang 250/555 Tài liệu hướng dẫn giảng dạy I GIỚI THIỆU I.1 So sánh System Policy Group Policy Vừa chương trước, tìm hiểu sách hệ thống (System Policy), tìm hiểu sách nhóm (Group Policy) Vậy hai sách khác - Chính sách nhóm xuất miền Active Directory , khơng tồn miền NT4 - Chính sách nhóm làm nhiều điều sách hệ thống Tất nhiên sách nhóm chứa tất chức sách hệ thống nữa, bạn dùng sách nhóm để triển khai phần mềm cho nhiều máy cách tự động - Chính sách nhóm tự động hủy bỏ tác dụng gỡ bỏ, khơng giống sách hệ thống - Chính sách nhóm áp dụng thường xun sách hệ thống Các sách hệ thống áp dụng máy tính đăng nhập vào mạng thơi Các sách nhóm áp dụng bạn bật máy lên, đăng nhập vào cách tự động vào thời điểm ngẫu nhiên suốt ngày làm việc - Bạn có nhiều mức độ để gán sách nhóm cho người nhóm người nhóm đối tượng - Chính sách nhóm có nhiều ưu điểm áp dụng máy Win2K, WinXP Windows Server 2003 I.2 Chức Group Policy - Triển khai phần mềm ứng dụng: bạn gom tất tập tin cần thiết để cài đặt phần mềm vào gói (package), đặt lên Server, dùng sách nhóm hướng nhiều máy trạm đến gói phần mềm Hệ thống tự động cài đặt phần mềm đến tất máy trạm mà không cần can thiệp người dùng - Gán quyền hệ thống cho người dùng: chức tương tự với chức sách hệ thống Nó cấp cho một nhóm người có quyền tắt máy server, đổi hệ thống hay backup liệu… - Giới hạn ứng dụng mà người dùng phép thi hành: kiểm sốt máy trạm người dùng cho phép người dùng chạy vài ứng dụng thơi như: Outlook Express, Word hay Internet Explorer - Kiểm soát thiết lập hệ thống: bạn dùng sách nhóm để qui định hạn ngạch đĩa cho người dùng Người dùng phép lưu trữ tối đa MB đĩa cứng theo qui định - Thiết lập kịch đăng nhập, đăng xuất, khởi động tắt máy: hệ thống NT4 hỗ trợ kịch đăng nhập (logon script), Windows 2000 Windows Server 2003 hỗ trợ bốn kiện kích hoạt (trigger) kịch (script) Bạn dùng GPO để kiểm soát kịch chạy - Đơn giản hóa hạn chế chương trình: bạn dùng GPO để gỡ bỏ nhiều tính khỏi Internet Explorer, Windows Explorer chương trình khác Học phần - Quản trị mạng Microsoft Windows Trang 251/555 Tài liệu hướng dẫn giảng dạy - II Hạn chế tổng quát hình Desktop người dùng: bạn gỡ bỏ hầu hết đề mục menu Start người dùng đó, ngăn chặn không cho người dùng cài thêm máy in, sửa đổi thơng số cấu hình máy trạm… TRIỂN KHAI MỘT CHÍNH SÁCH NHĨM TRÊN MIỀN Chúng ta cấu hình triển khai Group Policy cách xây dựng đối tượng sách (GPO) Các GPO vật chứa (container) chứa nhiều sách áp dụng cho nhiều người, nhiều máy tính hay tồn hệ thống mạng Bạn dùng chương trình Group Policy Object Editor để tạo đối tượng sách Trong sổ Group Policy Object Editor có hai mục chính: cấu hình máy tính (computer configuration) cấu hình người dùng (user configuration) Điều bạn ý triển khai Group Policy cấu hình sách Group Policy tích lũy kề thừa từ vật chứa (container) bên Active Directory Ví dụ người dùng máy tính vừa miền vừa OU nên nhận cấu hình từ hai sách cấp miền lẫn sách cấp OU Các sách nhóm sau 90 phút làm tươi áp dụng lần, nhóm Domain Controller làm tươi phút lần Các GPO hoạt động không nhờ chỉnh sửa thông tin Registry mà nhờ thư viện liên kết động (DLL) làm phần mở rộng đặt máy trạm Chú ý bạn dùng sách nhóm sách nhóm chỗ máy cục xử lý trước sách dành cho site, miền OU II.1 Xem sách cục máy tính xa Để xem sách cục máy tính khác miền, bạn phải có quyền quản trị máy quản trị miền Lúc bạn dùng lệnh GPEDIT.MSC /gpcomputer:machinename, ví dụ bạn muốn xem sách máy PCO1 bạn gõ lệnh GPEDIT.MSC /gpcomputer: PCO1 Chú ý bạn khơng thể dùng cách để thiết lập sách nhóm máy tính xa, tính chất bảo mật Microsoft không cho phép bạn xa thiết lập sách nhóm Học phần - Quản trị mạng Microsoft Windows Trang 252/555 Tài liệu hướng dẫn giảng dạy II.2 Tạo sách miền Chúng ta dùng snap-in Group Policy Active Directory User and Computer gọi trược tiếp tiện ích Group Policy Object Editor từ dòng lệnh máy Domain Controller để tạo sách nhóm cho miền Nếu bạn mở Group Policy từ Active Directory User and Computer khung cửa sổ chương trình bạn nhấp chuột phải vào biểu tượng tên miền (trong ví dụ netclass.edu.vn), chọn Properties Trong hộp thoại xuất bạn chọn Tab Group Policy Nếu bạn chưa tạo sách bạn nhìn thấy sách tên Default Domain Policy Cuối hộp thoại có checkbox tên Block Policy inheritance, chức mục ngăn chặn thiết định sách cấp cao lan truyền xuống đến cấp xét Chú ý sách áp dụng cấp site, sau đến cấp miền cuối cấp OU Bạn chọn sách Default Domain Policy nhấp chuột vào nút Option để cấu hình lựa chọn việc áp dụng sách Trong hộp thoại Options, bạn đánh dấu vào mục No Override sách khác áp dụng dịng khơng phủ thiết định sách này, cho dù sách khơng đánh dấu vào mục Block Policy inheritance Tiếp theo bạn đánh dấu vào mục Disabled, sách không hoạt động cấp này, Việc disbale sách cấp khơng làm disable thân đối tượng sách Học phần - Quản trị mạng Microsoft Windows Trang 253/555 Tài liệu hướng dẫn giảng dạy Để tạo sách bạn nhấp chuột vào nút New, sau nhập tên sách Để khai báo thêm thơng tin cho sách bạn nhấp chuột vào nút Properties, hộp thoại xuất có nhiều Tab, bạn vào Tab Links để site, domain OU liên kết với chinh sách Trong Tab Security cho phép bạn cấp quyền cho người dùng nhóm người dùng có quyền sách Trong hộp thoại Group Policy sách áp dụng từ lên trên, sách nằm áp dụng cuối Do đó, GPO nằm cao danh sách có độ ưu tiên cao hơn, chúng có thiết định mâu thuẫn sách nằm thắng Vì lý nên Microsoft thiết kế hai nút Up Down giúp di chuyển sách lên hay xuống Học phần - Quản trị mạng Microsoft Windows Trang 254/555 Tài liệu hướng dẫn giảng dạy Trong nút mà chưa khảo sát có nút quan trọng hộp thoại nút Edit Bạn nhấp chuột vào nút Edit để thiết lập thiết định cho sách này, dựa khả Group Policy bạn thiết lập thứ mà bạn muốn Chúng ta khảo sát số ví dụ minh họa phía sau III MỘT SỐ MINH HỌA GPO TRÊN NGƯỜI DÙNG VÀ CẤU HÌNH MÁY III.1 Khai báo logon script dùng sách nhóm Trong Windows Server 2003 hỗ trợ cho bốn kiện để kích hoạt kịch (script) hoạt động là: startup, shutdown, logon, logoff Trong công cụ Group Policy Object Editor, bạn vào Computer Configuration Windows Setttings Scripts để khai báo kịch hoạt động startup, shutdown Đồng thời để khai báo kịch hoạt động logon, logoff bạn vào User Configuration Windows Setttings Scripts Trong ví dụ tạo logon script, trình gồm bước sau: Học phần - Quản trị mạng Microsoft Windows Trang 255/555 ... người dùng máy tính vừa miền vừa OU nên nhận cấu hình từ hai sách cấp miền lẫn sách cấp OU Các sách nhóm sau 90 phút làm tươi áp dụng lần, nhóm Domain Controller làm tươi phút lần Các GPO hoạt... nhiều máy cách tự động - Chính sách nhóm tự động hủy bỏ tác dụng gỡ bỏ, khơng giống sách hệ thống - Chính sách nhóm áp dụng thường xuyên sách hệ thống Các sách hệ thống áp dụng máy tính đăng... cấu hình triển khai Group Policy cách xây dựng đối tượng sách (GPO) Các GPO vật chứa (container) chứa nhiều sách áp dụng cho nhiều người, nhiều máy tính hay tồn hệ thống mạng Bạn dùng chương trình

Ngày đăng: 28/07/2014, 15:21

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN