quản trị window 2000 server tài liệu, giáo án, bài giảng , luận văn, luận án, đồ án, bài tập lớn về tất cả các lĩnh vực...
QUẢN TRỊ WINDOWS 2000 SERVER Bài 1: Giới thiệu chung I. Giới thiệu về Active Directory: Có thể so sánh Active Directory với LanManager trong WinNT 4.0. Về căn bản Active Directory là 1 cơ sở dữ liệu của 1 tài nguyên trên mạng cũng như các hệ thống liên quan đến các đối tượng đó. Tuy vậy đây không phải là 1 khái niệm mới bởi Novell đã sử dụng dịch vụ thư mục (directory service) trong nhiều năm rồi. II. Domain: 1 khái niệm không thay đổi từ WinNT 4.0 là Domain.1 domain vẫn là trung tâm của 1 mạng trong Windows 2000, tuy nhiên lại được thiết lập khác đi. Các DC (domain Controller) không còn phân biệt PDC hay BDC. Bây giờ chỉ còn là DC. Theo mặc định tất cả các máy khi mới cài Windows 2000 server đều là server độc lập (standalone server). DCPROMO.EXE chính là Active Directory Installation Wizard và được dùng để thăng cấp 1 máy không phải là DC thành DC. III.Nâng cấp máy server bình thường thành DC: Bước 1: Chọn mneu Start/Run gõ DCPROMO rồi Enter. Bước 2: Hộp thoại Active Directory Installation Wizard xuất hiện. Nhấn Next để tiếp tục. Bước 3: Trong hộp thoại Domain Controller Type, chọn mục Domain Controller for a new Domain và nhấn chọn Next. Nếu bạn muốn bổ sung máy điều khiển vùng vào 1 domain có sẵn, bạn chọn Additional domain controller for an existing domain. Bước 4: Trong hộp thoại Create Tree or Child Domain, chọn Create a new domain tree để tạo 1 cây domain mới. Nếu trên hệ thống mạng đã có sẵn Active Directory và bạn muốn tạo domain con của cây domain sẵn có, chọn Create a new child domain in an axisting domain tree. Bước 5: Trong hộp thoại Create or Join Forest, chọn Create a new forest of domain tree, chọn next.Nếu bạn có sẵn Active Directory và bạn muốn đưa cây domain vào rừng sẵn có,bạn sẽ chọn Place this new domain tree in an existing forest. Bước 6: Trong hộp thoại New domain name,bạn có thể điền tên nào cũng được. Ví dụ như:manguon.edu.vn (trường hợp đối với mạng cục bộ LAN); và nếu máy chủ của bạn đăng kí với nhà cung câp thì bạn sẽ lấy tên do bạn đăng kí. Sau đó nhấn Next. Bước 7: Hộp thoại Database and Log Locations cho phép bạn chỉ định nới lưu trữ database Active Directory và tập tin Log.Bạn muốn thay đổi thì chọn Browse, ở đây tôi chọn Next.hehheheh Bước 8: Hộp thoại Shared System Volume chỉ định vị trí của thư mục SYSVOL.Lưu ý thư mục này phải nằm trên đĩa có định dạng NTFS nếu không sẽ báo lỗi.Chọn Next. Bước 9: Bạn sẽ thấy thông báo cho biết trên hệ thống của bạn chưa có DNS server quản trị domain bạn định tạo.Nhấn OK để tiếp tục. Bước 10: Hộp thoại Configure DNS, bạn chọn “Yes, Install and Configure DNS on this computer (recommended)” và chọn Next.Nếu bạn muốn tự cấu hình dịch vụ DNS bạn chọn mục còn lại. Bước 11: Trong hộp thoại Permission,bạn chọn giá trị Permission Compatible with pre-windows 2000 server khi hệ thống có các server phiên bản trước Windows 2000.Nếu chọn Permission compatible only with windows 2000 servers khi hệ thống máy của bạn toàn là các server của Windows 2000. Bước 12: Nhập password bảo vệ hệ thống, sau đó nhấn Next rồi OK. Bạn sẽ phải chờ khỏang 10-15 phút để quá trình hoàn thành. Trong quá trình này có thể máy sẽ yêu cầu bạn đưa đĩa nguồn của Windows 2000 server vào. Bước 13: Bước này thì quá dễ, bạn chỉ cần Restar Now. Bài 2: Quản lí tài khỏan người dùng và nhóm Tên tài khoản Mô tả Môi trường Administrator Là tài khoản đặc biệt. Bạn có toàn quyền trên máy Local và Domain Guest Là tài khoản khách, tài khoản này bị hạn chế rầt nhiều Local và Domain ILS_Anonymous_USER Là tài khoản được dùng cho dịch vụ ILS. ILS hỗ trợ cho các ứng dụng Điện thoại có các đặc tính như: ID, video conferencing… Muốn sử dụng dịch vụ này thì phải cài đặt. Domain IUSR_computer_name Là tài khoản đặc biệt được dùng trong các truy nhập dấu tên trong dịch vụ IIS. Local và Domain IWAM_computer_name Là tài khoản dùng cho Local và Domain IIS khởi động các tiến trình của các ứng dụng trên máy có IIS. Krbtgt Là tài khoản đặc biệt được dùng cho dịch vụ trung tâm phân phối khoá (Key Distribution Center) Domain TSinternetUser Là tài khoản dùng cho Terminal services Domain Tài khoản nhóm cài sẵn: Tên nhóm Mô tả Môi trường Account Operators Thành viên của nhóm này có thể tạo tài khoản nhóm, tài khoản người dùng nhưng chỉ có thể quản lí những gì do nó tạo ra. Domain Administrators Nhóm này thì có toàn quyền trên hệ thống. Local và Domain Backup Operators Thành viên của nhóm này có quyền Backup và Restore. Nếu hệ thống sử dụng NTFS, họ phải được gán Local và Domain quyền thì mới có thể thực hiện được công việc Guests Đây là nhóm bị hạn chế nhiều nhất. Local và Domain Power Users Nhóm này có ít quyền hơn nhóm Administrators nhưng nhiều quyền hơn nhóm Users. Nhóm này cũng có thể tạo, quản lí tài khoản nhóm và người dùng do họ tạo ra. Ngoài ra còn có quyền chia sẻ thư mục và máy in mạng. Local Print Operator Thành viên nhóm này có quyền quản trị máy in Domain Replicator Nhóm này được dùng để hổ trợ tạo bản sao thư mục, nó là 1 đặc tính được dùng trong các server Local và Domain Server Operators Thành viên nhóm này có thể quản trị các server vùng Domain Users Nhóm này cũng có quyền rất hạn chế. Local và Domain Cert Publishers Thành viên nhóm này có thể quản lí các chứng thực của các công ty Global DHCP Administrators Nhóm này có quyền quản lí các dịch vụ DHCP Domain DHCP Users Nhóm này có quyền sử dụng dịch vụ DHCP Domain DNSAdmins Nhóm này có các quyền quản lí các dịch vụ DNS Domain DNSUpdateProxy Nhóm này có quyền cho phép các máy trạm dns được gửi yêu cầu dns thay cho các máy trạm khác Domain Domain Computers Nhóm này chứa tất cả các máy trạm và máy server như là 1 phần của vùng Global Domain Controllers Nhóm này chứa tất cả các máy điều khiển vùng của vùng Global Domain Guests Là nhóm có quyền truy cập giới hạn trên vùng. Global Domain Users Nhóm này có quyền tối thiểu trên vùng Global Enterprise Admins Nhóm này có quyền quản lí các thông tin của các công ty liên quan đến hệ thống Global Group Policy Creator Owners Nhóm này có quyền hiệu chỉnh chính sách bảo mật trong vùng Global RAS and ISA Server Nhóm này chứa các thông tin về dịch vụ truy cập từ xa và dịch vụ chứng thực trên Internet. Domain Schema Admins Nhóm này có quyền hiệu chỉnh các lược đồ của Active Directory Global WINS Users Thành viên nhóm này có quyền xem thông tin trên dịch vụ WINS (Windows Internet Name Services) Domain *Tổ chúc tài khoản người dùng và nhóm (Đối với máy chưa nâng cấp thành DC) Cách tạo tài khoản người dùng và nhóm: Start/Settings/Controlpanel/Administrative Tools/Computer Management. Trong mục Local Users and Groups nhấp chuột phải chọn New User hay new Group thì tuỳ bạn chọn. Khi tạo tài khoản người dùng mới,có 4 mục: -User Must change Password At Next Logon: Người dùng phải thay đổi password ngay lần đăng nhập đầu tiên. -User Cannot Change Password: Người dùng không tự thay đổi được mật khẩu. -Password Nerver Expires: Tài khoản này sẽ không hết hạn. -Account is Disabled: Tài khoản tạm thời bị khoá. Nếu ta muốn người dùng nào gia nhập 1 nhóm thì trong Local users and groups chọn Group rồi add tên người dùng vào nhóm mà mình muốn. Bài 3: Active Directory Ở bài 1 khi nâng cấp lên DC, có người sẽ hỏi nâng cấp lên làm gì? Ta nâng cấp lên DC để có thể quản lí 1 cách chi tiết hơn các tài khoản nhóm và người dùng. Chú ý: Khi ta nâng cấp lên DC thì Local Users and Groups sẽ bị đánh dấu chéo (Không sử dụng được nữa). Để có thể add User hay Group thì ta sử dụng Active Directory Users and Computers. Khi cửa sổ Active Directory Users and Computers xuất hiện, chọn Users. Sau đó nhấp chuột phải chọn new…. (tuỳ bạn ). Ở phần First name, Last name, Full name thì tuỳ. Nhưng ở phần User Logon name thì bạn phải nhớ để mà đăng nhập cục bộ. Sau đó cũng có 4 mục giống như trên. Muốn xem thuộc tính người dùng thì click chuột phải chọn Properties. Trong tab hộp thoại bạn sẽ thấy rất chi tiết thông tin về người dùng. Ở tab Account ta sẽ thấy tên Logon và cho phép ta cấu hình các phần sau: - Quy định giờ logon - Quy định máy trạm mà người dùng có thể sử dụng để vào mạng - Quy định các chính sách tài khoản người cho người dùng. - Quy định thời điểm hết hạn của tài khoản. Điều khiển giờ Logon vào mạng: Khi chọn Logon hours, hộp thoại xuất hiện và mặc định là được sử dụng 24/24 giờ và 7 ngày /tuần. Ở đây có 2 nút: Logon Permitted là cho phép, Logon Denied là từ chối. Tuỳ bạn thay đổi mà cho phép người dùng sử dụng ngày nào, giờ nào trong tuần… Chọn máy được truy cập: click logon to, bạn sẽ thấy hộp thoại Logon Workstations xuất hiện, ta có thể chỉ định cho người dùng Logon từ bất kì máy nào hay từ 1 số máy do ta chọn bằng cách nhập tên máy tính vào mục Computer Name và sau đó chọn add. *Nếu muốn kích hoạt tài khoản để chạy ngay trên máy của mình: chọn Domain Security Policy/Local Policies/User Rights Assignment tìm dòng Logon Locally rồi add tên mà muốn cho Logon ngay trên máy Server. Sau đó vào Start/run/gõ cdm. Gõ các lệnh sau: secedit /refreshpolicy user_policy secedit /refreshpolicy machine_policy Và như vậy bạn đã kích hoạt tài khoản xong. Nếu không làm như trên thì bạn sẽ phải chờ 8h thì tài khoản mới tự động kích hoạt. Thêm 1 nhóm tài khoản, tương tự như thêm User nhưng ta chọn New Group. Ta có các mục : - Domain local nếu dùng nhóm cho việc gán quyền cho các tài nguyên. - Global: nếu dùng nhóm này cho tất cả người dùng mà họ có quyền truy cập giống nhau. - Universal: nếu bạn muốn gán quyền quan hệ với những tài nguyên trong nhiều miền khác nhau - Security: nếu nhóm này là những người dùng mà họ cần truy cập đến tài nguyên cụ thể. - Distribution: nếu nhóm này là tập hợp những người dùng mà họ có đặc trưng giống nhau. Xem thuộc tính của nhóm, chọn Properties. *Tab General *Tab Members: cho phép thay đổi các thành viên *Tab Members Of: cho phép bạn xem và thêm, xoá nhóm hiện tại là thành viên của các nhóm khác. *Tab Managed by: Cho phép thay đổi người dùng quản lí nhóm này. QUẢN LÍ TÀI KHOẢN THÔNG QUA COMMAND LINE Chức năng tạo thêm, hiệu chỉnh và hiển thị thông tin của các tài khoản người dùng: Cú pháp: -net user username password /domain. Chức năng tạo thêm nhóm tài khoản: Cú pháp: -net group groupname /domain. Chức năng tạo thêm nhóm cục bộ. -net localgroup groupname /domain. [...]... mật: Các lựa chọn bảo mật (Security Options) cho phép người quản trị server định nghĩa các quyền và giao diện tương tác trên server giúp các người quản trị thao tác trên server dễ dàng và an toàn hơn Tên lựa chọn Mô tả Mặc định Allow Server Operators Cho phép nhóm Server Không định nghĩa to Schedule Operator lập lịch tác vụ Tasks(domain trên Server controller only) Allow System to Be Cho phép người dùng... cho mật mã, khoá tài khoản và chứng thực Kerberos trong vùng Nếu trên Windows 2000 thành viên thì bạn sẽ thấy 2 mục Password Policy và Account Lockout Policy, trên máy Windows 2000 Server làm DC (Domain Controller) thì bạn sẽ thấy 3 mục: Password Policy, Account Lockout Policy và Kerberos Policy Trong Windows 2000 Server cho phép bạn quản lí chính sách bảo mật tại 2 cấp đó là: cục bộ và vùng Muốn cấu... sách Mô tả Giá trị mặc định Account Quy định 0 Lockout số lần đăng nhập Giá trị min 0 Giá trị max Thử lần Gợi ý 999 5 lần Threshold trước khi tài khoản bị khoá Account Lockout Duration Quy định Là 0, Như giá trị 99999 thời gian nhưng nếu mặc định phút khoá tài Account khoản 5 phút Lockout Threshold được thiết lập thì giá trị này là 30 phút Reset Account Lockout Quy định Là 0,nhưng Như giá trị 99999 thời... thông qua giao diện người dùng của Windows 2000 Replace a Process Level Token Cho phép 1 tiến trình thay thế 1 token mặc định mà được tạo bởi 1 tiến trình con Restore Files and Directories Cho phép người dùng phục hồi tập tin và thư mục, bất chấp người dùng này có quyền trên file và thư mục này hay không Shut Down the System Cho phép người dùng shutdown máy cục bộ windows 2000 Synchronize Directory Service... liệu bằng EFS: - EFS (Encrypting File System) là 1 kỹ thuật dùng trong Windows 2000 dùng để mã hoá các tập tin lưu trên Partition NTFS Việc mã hoá sẽ bổ sung thêm 1 lớp bảo vệ an toàn cho hệ thống tập tin Chỉ người dùng có đúng khoá mới có thể truy xuất các tập tin này còn những người khác thì bị từ chối truy cập Ngoài ra người quản trị mạng còn có thể dùng tác nhân phục hồi (recovery agent) để truy xuất... hành 1 tập tin chứa các lệnh hệ thống Log on as a Service Cho phép 1 dịch vụ logon và thi hành 1 dịch vụ riêng Logon Locally Cho phép người dùng Logon tại máy server Manage Auditingand Security Log Modify Firmware Variables Cho phép người dùng quản lí security log Environment Cho phép người dùng hay 1 tiến trình hiệu chỉnh các biến môi trường hệ thống Profiles Single Process Cho phép người dùng giám... người dùng ta vào: Administrative Tools/Domain Security Policy hay Local Security Policy II Cấu hình chính sách mật mã:(Password Policy) Chính sách Mô tả Số Password History mật không đặt 0 lần Giá trị nhỏ Giá trị lớn nhất Enforce Mặc định nhất 0 24 mã được trùng nhau Maximum Quy định số Giữ mật mã Giữ mật mã Giữ mật mã Password Age ngày nhiều trong nhất mà mật ngày mã người dùng có hiệu lực 42 trong 1... tập tin ,thư mục,máy in Audit Policy Change Ghi nhận các thay đoi63 trong chính sách kiểm toán 2 Gán quyền người dùng: Quyền người dùng (User Right) là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng hệ thống Quyền Mô tả Access This Computer form the Cho phép người dùng truy cập máy Network tính trên mạng Mặc định mọi người đều có quyền này Act as Part of the Operating System Cho... thống máy Create a Token Object Cho phép 1 tiến trình tạo 1 thẻ bài nếu tiến trình này dùng NTCreate Token API Create Permanent Shared Objects Cho phép 1 tiến trình tạo 1 đối tượng thư mục thông qua Windows 2000 Object Manager Debug Programs Cho phép người dùng gắn 1 chương trình debug vào bất kì tiến trình nào Deny Access to This Computer from Cho phép bạn khoá người dùng hay the Network nhóm không được... phút Reset Account Lockout Quy định Là 0,nhưng Như giá trị 99999 thời gian nếuAccount mặc định Phút đếm lại số Lockout Counter After lần đăng Threshold nhập được thiết 5 phút không lập thì giá thành công trị này là 5 phút IV.Cấu hình chính sách cục bộ Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung Đồng thời . Permission,bạn chọn giá trị Permission Compatible with pre-windows 2000 server khi hệ thống có các server phiên bản trước Windows 2000. Nếu chọn Permission compatible only with windows 2000 servers khi. người quản trị server định nghĩa các quyền và giao diện tương tác trên server giúp các người quản trị thao tác trên server dễ dàng và an toàn hơn. Tên lựa chọn Mô tả Mặc định Allow Server. sao thư mục, nó là 1 đặc tính được dùng trong các server Local và Domain Server Operators Thành viên nhóm này có thể quản trị các server vùng Domain Users Nhóm này cũng có quyền rất