BÁO CÁO THỰC TẬP-QUẢN TRỊ WINDOW SERVER

Bạn có thể cài đặt phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack trên máy tính dùng hệ điều hành sau: • Windows XP Professional Service Pack 2.. Bạn có thể cài đặt

TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MÌNH

KHOA CÔNG NGHỆ THÔNG TIN

HỒ CHÍ MINH NGÀY 20 THÁNG 5 NĂM 2012

MỤC LỤC

I. Passing the buck là gì?

Trước tiên để lập kế hoạch, chúng ta nhận thấy rằng sẽ không có nhiều thời gian để bận làm những công việc như đặt lại mật khẩu hay thay đổi quyền hạn chia sẻ thư mục và nhiều nữa Maymắn thay, đã có một số giải pháp cho tất cả công việc đó Để giảm thời gian làm những công việc đó, ta sẽ cũng cấp cho tài khoản của người dùng khác không phải là quản trị để đặt lại mật khẩu và các công việc hành chính khác

Có 3 sự lựa chọn:

a. Sử dụng Delegation of Control Wizard

b. Thêm máy con vào một hay nhiều các Built-In Groups để người dùng có thể làm các công việc như là người quản trị mà không phải là một người quản trị thực sự.

c. Cài đặt và cấu hình RSAT cho các máy Window 7, Window Vista, Window

XP để thao tác các công việc quản trị từ xa trên các máy Window Server

2003 hay Window Server 2008…

II. Tìm hiểu về đơn vị tổ chức (Organizational Unit (OU))

Một loại đối tượng đặc biệt hữu ích của thư viện được thiết lập bên trong domain là các đơn

vị tổ chức (OU) Các OU được chứa trong Active Directory, bạn có thể đặt user, groups,

computers, và các OU khác Một OU không thể chứa các đối tượng ở những domain khác.Một OU là phạm vi hoặc đơn vị nhỏ nhất mà bạn có thể chỉ định thiêt lập trong Group Policyhoặc uỷ quyền quản trị hành chính Sử dụng các OU, ta có thể tạo một không gian bên trong một domain đại diện cho các thứ bậc, cấu trúc hợp lý trong tổ chức của bạn Sau đó, bạn có thể quản

lý các cấu hình và sử dụng các tài khoản và các nguồn dựa trên mô hình tổ chức của mình.Các OU có thể chứa các OU khác Ta có thể mở rộng hệ thống phân cấp của các OU khi cần thiết để mô hình tổ chức phân cấp của bạn được đặt trong một domain Bằng cách sử dụng OU giúp bạn giảm thiểu số lượng các domain được yêu cầu cho mạng của mình

Ta có thể sử dụng các OU để tạo ra một mô hình quản trị mà bạn có thể thay đổi kích cỡ của

mô hình Một user có thể quyền như quản trị cho tất cả các OU trong một domain hay cho một

OU duy nhất Một quản trị viên của một OU không có quyền như quản trị cho nhiều OU khác trong domain mà chỉ có quyền hạn trong một OU được phẩn bổ

III. Delegation of Control Wizard:

Delegation of Control Wizard cho phép bạn uỷ quyền quản trị cho users hoặc groups trong một phạm vi quản trị cụ thể và chủ yếu được sử dụng để uỷ quyền quản lý dữ liệu Công cụ này

là một hướng đi của một tập tin văn bản tuỳ chỉnh (Delegwiz.inf) và được gửi đi với một số cơ

sở của các công việc quản trị phổ biến được thiết lập

Danh sách của các công việc có thể được uỷ quyền thông qua Delegation Wizard được duy trì trong tập tin Delegwiz.inf được tạo ra trong thư mục <Windows installation directory>\Inf Quản trị viên có thể sửa đổi tập tin này để thêm hoặc xoá các khoản mục ra khỏi danh sách công việc mà có thể được giao phó

Tập tin Delegwiz.inf có trong Windows Server 2003 có thể được sử dụng để giao phó khoảng 13 tác vụ quản trị thông thường Phụ lục này chứa một phiên bản của tập tin đó có thể được sử dụng để uỷ quyền cho hơn 70 công việc quản trị

Ở window Server 2008 cũng có một chức năng Delegation cho users và groups Chức năng này có hiệu lực khi máy Window Server 2008 đã cài đặt và cấu hình DNS Server Chức năng này trong Window Server 2008 cho phép ta sử dụng để uỷ quyền cho User hoặc groups để làm các công việc quản trị như xem, xoá, tạo, chia sẻ folder, quản lý Group policy, đặt lại

password… cho OU Chỉ có hiệu lực trong phạm vi đã thêm các user hoặc group vào OU

Để mở chức năng Delegation of Control Wizard trong Window Server 2008 đã cài đặt DNS

server ta thực hiện các bước sau:

1. Để mở Active Directory Users and Computers, click Start, click Control Panel, nhấp đúp vào Administrative Tools, và sau đó nhấp dúp vào Active Directory Users and Computers.

2. Trong cây giao diện điều khiển, nhấn chuột phải vào các đơn vị tổ chức (OU) mà ta muốnphân bổ quyền kiểm soát

Đường dẫn:

Active Directory Users and Computers/domain node/organizational unit

3. Chọn Delegate Control để bắt đầu chức năng Delegation of Control Wizard, và làm theo hướng dẫn

Để thực hiện được chức năng này, người dùng phải là một tài khoản của nhóm AccountOperator, nhóm Domain Admins, hay nhóm Enterprise Admins trong Active Directory DomainServices (AD DS) hoặc phải có sự uỷ quyền thích đáng của chính sách Như là một sự bảo đảm

về an ninh tốt nhất, được xem xét sử dụng Run as để thực hiện các thủ tục này

Sử dụng Delegation of Control sẽ giúp cho công việc quản trị dễ dàng hơn, tốn ít thời

gian để thực hiện các công việc quản trị hàng loạt mà vẫn đảm bảo được chức năng quản trị server một cách an toàn Làm cho hệ thống quản lý chặc chẽ hơn khi sử dụng chức năng

Delegation of Control Wizard

IV. Sử dụng Administration Tools Pack quản trị các máy tính từ xa

Administration Tools Pack là một công cụ quản trị máy chủ từ xa của Window Server 2003

Download và cài đặt Windows Server 2003 Administration Tools Pack trên Windows XP Professional 32-bit và 64-bit, Windows Server 2003 32-bit và 64-bit

Bạn có thể cài đặt phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack trên máy tính dùng hệ điều hành sau:

• Windows XP Professional Service Pack 2

• Windows XP Professional Service Pack 1

• Các phiên bản Windows Server 2003 32-bit

Bản đầu tiên của file Windows Server 2003 Adminpak.msi được gói lại trên website củaMicrosoft dưới cái tên Adminpak.exe từ sau khi Windows Server 2003 được phát hành Bản Windows Server 2003 Administration Tools Pack mới nhất nằm trong Windows Server

2003 Service Pack 1

Bạn có thể cài đặt phiên bản Service Pack 1 của Windows Server 2003 Administration ToolsPack trên máy tính dùng các hệ điều hành sau:

• Windows XP Professional Service Pack 2

• Windows XP Professional 64-bit Edition

• Các phiên bản Windows Server 2003 32-bit

• Các phiên bản Windows Server 2003, 64-bit

Chú ý: File Adminpak trong thư mục 1386 của đĩa cài dành cho các phiên bản 64-bit của

Windows Server 2003 được gọi là Wadminpak.msi Wadminpak.msi hoàn toàn giống và có thểhoán đổi cho Adminpak.msi (Bạn có thể download tại website của Microsoft:www.microsoft.com) File này gắn trong các phiên bản 32-bit của Windows Server 2003 ServicePack 1 Để dễ dàng hơn cho quá trình cài đặt, bạn có thể cài file Windows Server 2003 SP1Adminpak.msi trên các phiên bản 32 bit hoặc 64 bit của Windows XP Professional hoặc cácphiên bản 32 bit hoặc 64 bit của Windows Server 2003 Tương tự như thế, bạn có thể cài đặtWadminpak.msi trên các phiên bản 32 bit hoặc 64 bit của Windows XP Professional hoặc trêncác phiên bản 32 bit hoặc 64 bit của Windows Server 2003

Để cài đặt Windows Server 2003 Administration Tools Pack, thực hiện theo các bước sau:

1 Tải Windows Server 2003 Service Pack 1 Administration Tools Pack tại website của

Microsoft theo đường link sau:

http://www.microsoft.com/downloads/search.asp

Tìm kiếm bằng từ khoá "adminpak" cho hệ điều hành "Windows XP" hoặc "Windows Server" Bạn cũng có thể tải trực tiếp Windows Server 2003 Service Pack 1 Adminpak tại địa chỉ:

http://download.microsoft.com/download/6/8/1/681c9ba7-380f-4756-ac85-a3323437e6c3/WindowsServer2003-KB304718-AdministrationToolsPack.exe

Phiên bản đầu tiên (RTM) của Windows Server 2003 Adminpak vẫn sử dụng được Bạn

có thể download RTM Windows Server 2003 Adminpak tại địa chỉ:

http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en2

2 Dùng các đặc quyền quản trị viên (administrator), đăng nhập vào máy cục bộ.

3 Gỡ các phiên bản trước đó của Administration Tools Pack.

Bạn phải gỡ các phiên bản trước đó của Administration Tools Pack trước khi cài đặt phiên bảnsau, kể cả phiên bản chính thức cuối cùng

Nếu bạn không thể dùng chức năng Add or Remove Programs trong Control Panel để gỡ cácphiên bản trước của Administration Tools Pack, bạn có thể dùng MSIZap của góiSupport\Tools\Suptools.msi để loại bỏ chúng

Nếu máy bạn đã cài Windows Server 2003 Beta 3 Administration Tools Pack, thực hiện theocác bước sau:

a Ghi đoạn văn bản sau thành một file có tên là Rrasreg.cmd:

rem rem RAS user snap-in extension - registry key cleanup, Beta 3 to RC1 rem upgrades only rem rem use Reg.exe to delete the old key that was created by the Beta 3 rem RAS user extension snapin rem reg delete HKEY_CLASSES_ROOT\RasDialin.UserAdminExt /f reg delete

HKLM\SOFTWARE\Microsoft\MMC\NodeTypes\{19195a5b-6da0-11d0-afd3

00c04fd930c9}\Extensions\NameSpace /f

b Gõ Rrasreg.cmd trong cửa sổ lệnh.

4 Cài đặt Administration Tools Pack

Adminpak.exe là file tự giải nén, tạo ra Adminpak-readme.txt và Adminpak.msi trongmột thư mục bạn chỉ định khi cài đặt file Để cài đặt Administration Tools Pack, kích phải chuột

lên file msi > Install hoặc kích đúp vào file msi Bạn cũng có thể dùng Group Policy, sử dụng

Active Directory để cài đặt từ xa hoặc cung cấp file cho máy tính dùng Windows XP hoặcWindows Server 2003 khi người dùng đăng nhập vào máy tính

Chú ý: Khi nâng cấp server Windows 2000 lên Windows Server 2003, bộ kiểm tra tương thích

hệ thống trong Windows Server 2003 Winnt32.exe hoặc trong Winnt32 /checkupgradeonly cóthể xác định sai rằng Administration Tools Pack đã được cài đặt trên bộ điều khiển tên miềnWindows 2000 Nguyên nhân là do chương trình Dcpromo trên Windows 2000 dùng một thànhphần trong file Windows 2000 Adminpak để tạo shortcut các phần tử menu cho công cụ quản trị

tên miền Bạn có thể lờ an toàn thông báo này và tiếp tục chương trình nâng cấp từ Windows

2000 lên Windows Server 2003

- Những điều nên biết về phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack

• Trước khi liên hệ với các cơ sở dịch vụ hỗ trợ sản phẩm của Microsoft (PSS - MicrosoftProduct Support Services), hãy xem xét kỹ các vấn đề tương thích đã được biết đến vàgiới thiệu trong bài này Chú ý ngày tháng cung cấp từng giải pháp của chúng

• Bạn phải gỡ bỏ các phiên bản trước đó của Adminpak.msi (Beta 3, RC1, RC2) trước khicài đặt Windows XP SP1 trên máy dùng Windows XP Nếu bạn đã cài Windows XPService Pack 1 trên máy dùng Windows XP có cài Administration Tools Pack beta 3, bạnkhông thể dùng thành phần Add or Remove Programs trong Control Panel để gỡ bỏ cácphiên bản trước đó của Administration Tools Pack

• Các máy dùng Microsoft Windows XP Home Edition không thể kết hợp với tên miềntrên nền Microsoft Windows NT 4.0, Windows 2000 và Windows Server 2003 Windows

XP Home Edition không phải là hệ điều hành hỗ trợ cài đặt Administration Tools Pack

- Phải làm gì khi bạn gặp phải vấn đề về quản trị từ xa

1. Hãy kiểm chứng chắc chắn rằng bạn đang dùng bản hỗ trợ mới nhất của các snap-inAdminpak và các file DLL có trên Microsoft website Bạn cũng có thể dùng script APVer.vbs

có trong phiên bản đầu tiên của gói download Adminpak Web để xác định phiên bảnAdministration Tools Pack đã cài đặt trên máy Để làm điều này, chuyển đổi tới thư mục bạn

giải nén Adminpak.exe, sau đó gõ apver /? để xem danh sách tuỳ chọn của script chẩn đoán

THÔNG TIN THÊM

Các vấn đề đã từng được biết đến trong phiên bản Adminpak.exe Windows Server 2003 đầu tiên

- Vấn đề cài đặt và nâng cấp

Chương trình Windows Server 2003 Winnt32.exe và Winnt32 /checkupgradeonly trongcác bộ điều khiển tên miền Windows 2000 thông báo rằng Adminpak.msi đã được cài đặt trongkhi nó chưa được cài hoặc đã bị gỡ bỏ

Nguyên nhân là do tiện ích Dcpromo trong Windows 2000 dùng một chức năng nội bộcủa Windows 2000 Adminpak.msi để cài đặt các shortcut menu trên các bộ điều khiển tên miền.Bạn có thể bỏ qua một cách an toàn cảnh báo này trong Winnt32.exe và tiếp tục chương trình

nâng cấp Sau khi chương trình nâng cấp thực hiện xong, cài đặt Windows Server 2003Adminpak.msi từ thư mục 1386 của đĩa cài để chắc chắn rằng bạn có phiên bản mới nhất của cáccông cụ quản trị tên miền

- Active Directory Domains và Mức độ tin cậy

• Phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack giới thiệuLightweight Directory Access Protocol (LDAP) Các bộ điều khiển tên miền Windows 2000

có thể được quản trị từ bởi các máy dùng hệ điều hành Windows 2000 Service Pack 4 (SP 4),Windows XP hoặc Windows Server 2003 đang dùng chương trình thẩm định NTLM, phải càiWindows 2000 Service Pack 3 Các máy khách (client) này cũng có thể phải thay đổi thanhghi của phần hướng dẫn các kiến thức cơ bản Microsoft (Microsoft Knowledge Base) Các bộđiều khiển tên miền Windows 2000 đòi hỏi từ SP3 trở lên nếu muốn dùng công cụ quản trịWindows Server 2003

• Nếu bạn dùng một máy tính chạy hệ điều hành Windows 2000 để quản trị tên miền trênWindows Server 2003, bạn sẽ không thấy được các thành phần giao diện người dùng (UI)nâng cao do hệ thống tên miền Windows Server 2003 hỗ trợ Chẳng hạn bạn sẽ không thấytính năng hoặc chế độ đáng tin cậy nâng cao của domain và forest

- Active Directory Schema

• Phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack giới thiệu phầntín hiệu ADAP Các bộ điều khiển tên miền Windows 2000 được quản trị từ xa bởi các máydùng Windows 2000 SP4, bởi các máy dùng Windows XP hoặc các máy dùng WindowsServer 2003 có chế độ thẩm định NTLM và cài Windows 2000 SP3 Các máy client này cũng

có thể phải thay đổi thanh ghi của Microsoft Knowledge Base Các bộ điều khiển tên miềnWindows 2000 đòi hỏi ít nhất phải cài phiên bản SP3 hoặc các Service Pack sau khi dùngcông cụ quản trị Windows Server 2003

• Thành phần Schema (lược đồ) có thể được chỉnh sửa trong hộp kiểm Domain Controller

đã được đưa ra ngoài hộp thoại Change Schema Master Mặc định các bản update lược đồ nàyđược cho phép trong bộ điều khiển tên miền trên nền Windows Server 2003 Bạn cũng có thểcho phép các bản update đó trong các bộ điều khiển tên miền cơ sở Windows 2000 bằng cáchthay đổi thanh ghi của Microsoft Knowledge Base (Các bản update Schema đòi hỏi quyềntruy cập ghi vào lược đồ trong Active Directory)

- Active Directory Sites and Services

• Phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack giới thiệu phầntín hiệu ADAP Các bộ điều khiển tên miền Windows 2000 được quản trị từ xa bởi các máydùng Windows 2000 SP4, bởi các máy dùng Windows XP hoặc các máy dùng WindowsServer 2003 có chế độ thẩm định NTLM và cài Windows 2000 SP3 Các máy client này cũng

có thể phải thay đổi thanh ghi của Microsoft Knowledge Base Các bộ điều khiển tên miềnWindows 2000 đòi hỏi ít nhất phải cài phiên bản SP3 hoặc các Service Pack sau khi dùngcông cụ quản trị Windows Server 2003

• Không có phần hỗ trợ chỉnh sửa khuôn mẫu chứng chỉ

• Khi bạn kích vào thành phần Show Services Node trên menu View, lệnh cho phépServices Node được loại bỏ trên các client (máy khách) dùng Windows XP

• Khi phiên bản Service Pack 1 của Active Directory Sites and Services được khởi độngtrên hệ thống 64 bit, việc chỉnh sửa group policy có thể sẽ thất bại Thêm vào đó bạn còn nhậnđược thông báo lỗi sau:

Windows cannot find ‘gpedit.msc’ Make sure you typed the name correctly, and then try again To search for a file, click the Start button, and then click Search.

(Windows không thể tìm thấy file 'gpedit.msc' Hãy đảm bảo chắc chắn rằng bạn đã gõ đúng tên

và thử lại Để tìm kiếm một file, kích Start và chọn Search).

Sửa lại cú pháp dòng lệnh hoặc shortcut theo mẫu sau:

%windir%\syswow64\mmc.exe %systemroot%\system32\dssite.msc -32

• Không có vấn đề gì từng xảy ra khi các forest trên nền Windows 2000 được quản trị từcác máy client (máy khách) dùng Windows Server 2003 hoặc Windows XP Professional

- Active Directory Users và Computers

• Phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack giới thiệu phầntín hiệu ADAP Các bộ điều khiển tên miền Windows 2000 được quản trị từ xa bởi cácmáy dùng Windows 2000 SP4, bởi các máy dùng Windows XP hoặc các máy dùngWindows Server 2003 có chế độ thẩm định NTLM và cài Windows 2000 SP3 Các máyclient này cũng có thể phải thay đổi thanh ghi của Microsoft Knowledge Base Các bộđiều khiển tên miền Windows 2000 đòi hỏi ít nhất phải cài phiên bản SP3 hoặc cácService Pack sau khi dùng công cụ quản trị Windows Server 2003

• Tab Dial-in cấu hình thành phần dial-in (quay số vào) Routing and Remote Access (địnhhướng và truy cập từ xa) hoặc quyền truy cập VPN và các thiết lập callback (gọi lại)được loại bỏ khi phiên bản đầu tiên của Administration Tools Pack được cài đặt trênclient cơ sở Windows XP

Sửa chữa hoặc giải pháp cho các vấn đề này như sau:

• Cài đặt Q837490 trên client cơ sở Windows XP Service Pack trước 2 Chương trình sửachữa nóng (hotfix) bổ sung thẻ dial-in RAS vào client sử dụng Windows XP ServicePack trước 2 đang chạy bản snap-in đầu tiên của Windows Server 2003 Active DirectoryUsers and Computers (Dsa.msc) được cài đặt bởi bản đầu tiên của Windows Server 2003Adminpak,msi Thẻ Dial-in không xuất hiện khi bạn dùng snap-in Active Directory Usersand Computers để xem đặc điểm của người dùng domain trên máy dùng Windows XP

• Cài đặt bản Windows Server 2003 Service Pack 1 của Adminpak trên các máy dùngWindows XP đã cài Windows XP Service Pack 2 hoặc mới hơn

• Dùng Remote Access Policy (chương trình Chính sách truy cập từ xa)

• Khởi động Active Directory Users and Computers từ một máy dùng Windows Server

2003 hoặc Windows 2000 truy cập qua Terminal Services (các dịch vụ đích) hoặcRemote Desktop Access (truy cập desktop từ xa)

• Khởi động Active Directory Users and Computers từ console của một máy dùngWindows Server 2003 hoặc Windows 2000

Để quản lý các đặc trưng dial-in (quay số vào) trên tài khoản người dùng, sử dụng môhình quản trị chính sách truy cập từ xa Mô hình này được giới thiệu trong Windows 2000 để xácđịnh các giới hạn của mô hình đặc quyền tài khoản dial-in trước đó Mô hình quản trị chính sáchtruy cập từ xa dùng các nhóm Windows để quản lý quyền truy cập từ xa

Khách hàng dùng mô hình quản trị khuyến khích "remote access policy administrationmodel" (mô hình quản trị chính sách truy cập từ xa) có thể dùng gói quản trị của Windows XP để

quản lý quyền truy cập từ xa của người dùng trong Active Directory Các thiết lập trên thẻ

Dial-in không được dùng đúng cho VPN hay các triển khai không dây Có một vài ngoại lệ như các

quản trị viên triển khai mạng dial-up (quay số) có thể dùng số callback (gọi lại) Các trường hợpnày thường dùng Terminal Services (dịch vụ cuối) hoặc Remote Desktop để truy cập máy dùngWindows Server 2003 hoặc Windows 2000, hay đăng nhập vào console của máy dùng Windows

Server 2003 hoặc Windows 2000 để quản lý thẻ Dial-in

Mô hình quản trị chính sách truy cập từ xa có các ưu điểm sau:

• Quản trị chi tiết

Các quản trị viên quản lý truy cập dial-in có quyền truy cập mọi tài khoản người dùng.Tài khoản người dùng có nhiều thuộc tính bảo mật hơn Trong mô hình quản trị chính sách,một nhóm phân tách có thể được tạo ra để cấp phát các quyền dial-in Các quyền quản lý truycập cho nhóm đó có thể được cấp phát cho một quản trị viên khá

• Nhóm điều khiển truy cập

Hầu hết các chướng trình Microsoft Windows đều sử dụng nhóm các điều khiển truycập Việc lập nhóm giúp giảm các cố gắng thừa trong quản lý quyền truy cập mạng phân tán.Bạn có thể dùng các nhóm giống nhau để điều khiển truy cập dial-up, VPN, mạng không dâyhoặc chia sẻ file

• Điều khiển Access Policy (chính sách truy cập) cho từng kết nối cụ thể chính xác.

Có nhiều thách thức được đưa ra khi bạn triển khai nhiều hơn một kỹ thuật truy cập cùng mộtlúc Các đặc quyền và thiết lập cho dial-up, mạng riêng ảo VPN và kỹ thuật không dây có thểkhác nhau Ví dụ những người thầu khoán có thể được quyền truy cập các mạng không dâynhưng không được quyền kết nối từ nhà vào mạng riêng ảo VPN Mạng không dây có thể đòihỏi nhiều thiết lập bảo mật khác nhau đánh giá cao ở mạng riêng ảo VPN và các bộ kết nối sốdial-up.Các thiết lập callback (gọi lại) có thể hữu ích khi bạn kết nối từ mã nguồn khu vực địaphương, nhưng có thể bạn muốn ngắt các cuộc gọi lại khi người dùng kết nối từ một số điệnthoại nội bộ

• Bạn có thể cấu hình mô hình quản trị chính sách truy cập từ xa trong nút Remote Access Policies của snap-in Routing and Remote Access khi domain (tên miền) được cấu hình trong

mô hình tự nhiền của Windows 2000 hoặc các mô hình mới hơn Để quản lý từ xa thẻ dial-in(quay số vào) RAS trong Active Directory Users and Computers hoặc Internet AuthenticationServer (IAS - Dịch vụ thẩm định Internet) bằng một máy chạy Windows XP, dùng các dịch

vụ cuối Terminal Services hoặc Remote Desktop để truy cập máy Windows Server 2003 hoặcWindows 2000 Bạn cũng có thể đăng nhập vào console của máy dùng Windows Server 2003hoặc của máy dùng Windows 2000 để cấu hình các thiết lập này một cách trực tiếp

• Các máy dùng Windows XP được kết nối với các bộ điều khiển tên miền cơ sở Windows

2000 Tên miền không hỗ trợ tính năng nâng cao để chọn đa người dùng và chỉnh sửa hàngloạt các thuộc tính như thư mục chủ (home folder) và đường dẫn profile Tính năng đa chọnlựa được hỗ trợ trong các forest (rừng mạng) có phiên bản lược đồ (schema) là 15 hoặc mớihơn Ví dụ, thực thi Windows Server 2003 ADDPREP /ForestPrep và /DomainPrep trongforest và domain trên nền Windows 2000 cho phép hỗ trợ chức năng đa lựa chọn trên hệthống cài đặt snap-in Windows Server 2003 Active Directory Users and Computers

• Khi phiên bản Service Pack 1 của Active Directory Users and Computers được khởi độngtrên các hệ thống 64-bit, nó có thể thất bại trong chỉnh sửa chính sách nhóm Ngoài ra bạn cònnhận được thông báo lỗi sau:

Windows cannot find ‘gpedit.msc’ Make sure you typed the name correctly, and then try again To search for a file, click the Start button, and then click Search

(Windows không thể tìm thấy file 'gpedit.msc' Hãy đảm bảo chắc chắn rằng bạn đã gõ đúng tên và thử lại Để tìm kiếm một file, kích Start và chọn Search)

Sửa lại cú pháp dòng lệnh hoặc shortcut theo mẫu sau:

%windir%\syswow64\mmc.exe %systemroot%\system32\dssite.msc -32 back

- Quản lý cấp phép (Authorization Manager)

Chức năng này đã được bổ sung vào Administration Tools Pack trong phiên bản WindowsServer 2003 RC1 và các phiên bản sau

- Cấp phát chứng chỉ

Do có những thay đổi lớn trong khung lược đồ (schema) mở rộng, bạn không thể dùng các clienttrên nền Windows XP Professional để quản trị máy tính chạy hệ điều hành Windows 2000 Bạncũng không thể dùng client Windows 2000 để quản trị máy chạy Windows Server 2003 Để quảntrị máy dùng Windows Server 2003, thực hiện quản trị từ xa trên các console hoặc từ phiênTerminal Services (dịch vụ cuối) trên máy đích, hoặc dùng client chạy nền Windows 2000 đểquản lý máy Windows 2000 Server và client Windows XP, Windows Server 2003

- Quản trị Cluster

Nếu bạn đang dùng Windows XP Professional Service Pack 2 và Windows Server 2003Administration Tools Pack, bạn không thể quản trị các server Cluster Nhưng nếu bạn dùng

Windows XP Professional Service Pack 1 và Windows Server 2003 Administration Tools Pack,bạn lại có thể làm được việc này.

- Kết nối quản lý bộ quản trị

Microsoft không khuyền khích hoạt động quản trị "chéo phiên bản" từ Windows 2000đến Windows Server 2003 vì điều này không tạo ra các profile Windows XP

• Không có vấn đề mới xuất hiện trong Windows Server 2003 Service Pack 1

- Hệ thống file phân tán - Distributed File System (DFS)

• Bổ sung thêm ring, hub spoke và topology (liên mạng) tuỳ chọn hỗ trợ cho dịch vụ thaythế file (FRS - File Replication Service), thay thế cho các root (gốc) và link (liên kết)DFS

• Cấu hình ưu tiên kết nối trong Q321557 và bản SP3 của Windows 2000 Ntfrs.exe

• Nếu bạn đang dùng một client nền Windows XP, bạn phải dùng bản update của Windows

XP SP1 để quản trị Windows Server 2003 DFS

• Adminpak trong hệ thống này chứa file hỗ trợ dịch vụ Windows Server 2003 DFS ServerHelp

Khi bạn truy cập hệ thống tên miền (DNS - Domain Name System) bằng địa chỉ IP, một số thôngtin trả lại như thông tin về Forwarder (lần sau) không chính xác Để khắc phục tình trạng này, lờikhuyên cho bạn là nên truy cập hệ thống DNS bằng host name hơn là địa chỉ IP Điều này cũngđược áp dụng cho phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack

- Các tiện ích dòng lệnh của Directory Service (dịch vụ thư mục)

Phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack gồm có thành phần tínhiệu LDAP Các bộ điều khiển tên miền Windows 2000 đang được quản trị từ xa bởi máy dùngWindows 2000 Service Pack 4 (SP4), bởi máy dùng Windows XP hay Windows Server 2003 cóchế độ thẩm định NTLM có cài Windows 2000 SP3 Các client này cũng có thể phải thay đổithông tin thanh ghi (Các bộ điều khiển tên miền Windows 2000 đòi hỏi phải có SP3 hoặc góidịch vụ mới hơn khi dùng các công cụ quản trị Windows Server 2003)