Tất cả về windows server 2003

– Windows Server 2003 là hệ điều hành mạng hòan thiện nhất hiện nay, chúng ta có thể dùngWindows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và ngườidùng

Tất cả về Windows server 2003 – phần 1

Phần này bao gồm Giới thiệu sơ lược, Active Directory, Domain Controller, Account and Group, Authentication

I GI Ớ I THI Ệ U :

– Windows Server 2003 có phiên bản chính là:

 Windows Server 2003 Standard Edition

 Windows Server 2003 Enterprise Edition

 Windows Server 2003 Datacenter Edition

 Windows Server 2003 Web edition

– Windows Server 2003 có những đặc tính sau:

 Khả năng kết nối nhiều Server để chia sẻ tải (Network Load Balancing Clusters ) vàcài đặt nóng Ram ( Hot swap )

 Tính năng cơ bản của Mail Server được tích hợp sẵn: đối với các công ty nhỏ không

đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử dụng dịch vụ POP3

và SMTP đã được tích hợp sẵn trong Windows Server 2003 để làm một hệ thống Mailđơn giản phục vụ công ty

 Cung cấp miễn phí cơ sở dữ liệu thu gọn MSDE (Microsoft Database Engine) được cắt

từ SQL Server 2000 Tuy MSDE không có công cụ quản trị nhưng nó cũng giúp ích chocác công ty nhỏ triển khai được các ứng dụng liên quan đến cơ sở dữ liệu mà khôngphải tốn nhiều chi phí để mua SQL Server

 NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003 này, nó chophép các máy bên trong mạng nội bộ thực hiện kết nối peer – to – peer đến các máybên ngoài Internet đặc biệt các thông tin được truyền giữa các máy này có thể được

mã hóa hoàn toàn

 Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and RemoteAccess) Tính năng này cho phép bạn duyệt các máy tính thông qua công cụ NetwokNeighborhood

 Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền từ các gốc rể vớinhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn

 Hổ trợ tốt hơn công cụ quản trị từ xa do Windows Server 2003 cải tiến RDP (RemoteDesktop Protocol) có thể truyền trên đường truyền 40Kbps Web Admin cũng ra đờigiúp người quản trị Server từ xa thông qua một dịch vụ web một cách trực quan và

dễ dàng Hỗ trợ môt trường quản trị Server thông qua dòng lệnh phong phú hơn

 Các Cluster NTFS có kích thước bất kỳ khác với Windows 2000 Server chỉ hổ trợ 4KB.Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một Server

II AVTIVE DIRECTORY :

– Windows Server 2003 là hệ điều hành mạng hòan thiện nhất hiện nay, chúng ta có thể dùngWindows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và ngườidùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữliệu, cung cấp các dịch vụ cho người dùng…

– Nếu như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng thì ActiveDirectory chính là trái tim của nó, hầu như tất cả mọi hoạt động diễn ra trên hệ thống đều chịu sựchi phối và điều khiển của Active Directory Từ phiên bản Windows NT4.0 trở về sau, Microsoft đãphát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của Domain như các đối tượng user,computer, group Cung cấp những dịch vụ (Directory Services) tìm kiếm, kiểm soát truy cập, ủyquyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơchế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vàoDomain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói nhữngquyền hạn hợp lệ

– Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản lý vànâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực hiện được trên một hệthống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thôngqua mô hình quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ thống nhưng đồngthời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn

– Như vậy chức năng chính của Avtive Directory là :

 Lưu trữ 1 danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng vàcác tài khoản máy tính

 Cung cấp một Server đóng vai trò chứng thực (Authentication Server) hoặc Serverquản lý đăng nhập (Logon Server), Server này còn đuợc gọi là Domain Controller(máy điều khiển vùng)

 Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (Index) giúp các máy tính trongmạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng

 Cho phép chúng ta tạo ra các tài khoản người dùng với những mức độ quyền khácnhau Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (SubDomain) hay các đơn vị tổ chức OU (Organizational Unit) Sau đó chúng ta có thể ủyquyền cho các quản trị viên bộ phận quản lý từng bộ phân nhỏ

– Hệ thống Active Dicrectory bao gồm cấu trúc logic và cấu trúc vật lý :

1 C ấ u tr ú c Logic :

1A Domain :

– Một Domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau

để quản lý một cách tập trung Và công việc quản lý là dành cho Domain Controller (bộ điều khiểnmiền) nhằm giúp việc khai thác tài nguyên trở nên dễ dàng hơn

– Là đơn vị chức năng nòng cốt của cấu trúc logic Avtive Directory Nó là phương tiện để quy địnhtập hợp những người dùng, máy tính, tài nguyên, chia sẻ có những quy tắc bảo mật giống nhau từ

đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn Domain đáp ứng 3 chức năngchính như sau:

 Đóng vai trò như một khu vực quản trị ( Administrative Boundary) các đối tượng, làtập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung 1 cơ sở dữliệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền, chính sách bảo mật,các quan hệ ủy quyền với các Domain khác

 Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ

 Cung cấp các Server dự phòng làm chức năng điều khiển vùng ( Domain Controller),đồng thời đảm bảo các thông tin trên các Server này được đồng bộ với nhau

 Là trung tâm của mạng Windows Server 2000 và Windows Server 2003 Các máy điềukhiển vùng (Domain Controller) hoặc là PDC (Primary Domain Controller) hoặc là BDC(Backup Domain Controller), được gọi là DC Theo mặc định, tất cả Windows Server

2003 khi cài đặt đều là Server độc lập (Stand – Alone Server)

– Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp

1 máy không phải là DC (domain controller) thành một máy DC và ngược lại giáng vấp 1 máy DCthành 1 Server bình thường

* Organizational unit – Đ ơ n v ị t ổ ch ứ c OU :

– Là đơn vị nhỏ nhất trong hệ thống Active Directory, nó được xem là một vật chứa các đối tượng(Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị Có thểchứa các user account, group.

– Việc sử dụng OU có hai công dụng chính như sau :

 Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết

bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệthống

(sub- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong

OU thông qua việc sử dụng các đối tượng chính sách nhóm (Group Policy)

– Ví dụ, khi thiết kế một hệ thống thì chúng ta khảo sát hệ thống đó có bao nhiêu phòng ban, bộphận Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với các phòng ban

– Trong OU, ta sẽ tạo ra các group ( có thể là group quản lý và group nhân viên, đều thuộc OU).Sau đó ta sẽ tạo ra các user thuộc các group tương ứng

– Trong OU có thể chứa :

 User : là các tài khoản người dùng.

 Khi cài đặt Active Directory sẽ có một số tài khoản built-in được tạo ra nhưAdministrator là người có toàn quyền quản trị hệ thống Backup operator lànhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống màkhông cần những quyền hạn hợp lệ đôi với những dữ liệu này

 Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên vàđăng nhập (log-in) vào Domain thì người quản trị cần phải tạo những tàikhoản hợp lệ, và cấp phát cho người sử dụng Các user sẽ dùng những tàikhoản được cấp bởi Administrator để log-in và Domain Và truy cập dữ liệutrên file Server hay các dịch vụ khác

 Group: là một tập hợp những người dùng có những đặc tính chung, ví dụ như các

nhân viên của một phòng ban có quyền truy cập lên cùng một folder hoặc có quyền

– Attributes là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể

– Như vậy, Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho cácthuộc tính của Object classses

1B Domain Tree – Vùng phân c ấ p :

– Một hay nhiều vùng dùng chung không gian tên liên tục

– Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây.Domain tạo ra đầu tiên đựơc gọi là domain root và nằm ở gốc của cây thư mục Tất cả cácdomain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain) Têncủa các con phải khác biệt nhau.

– Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain Cóthể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện

1C Domain Forest – T ậ p h ợ p h ệ v ù ng ph â n c ấ p :

– Một hay nhiều hệ vùng dùng chung thông tin thư mục

– Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau

– Giả sử một công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác Thông thường,mỗi công ty đều có một hệ thống Domain Tree riêng để tiện quản lý, các cây này sẽ được hợpnhất với nhau bằng một khái niệm là rừng

2 Cấu trúc vật lý :

– Subnet (mạng con) : đoạn mạng với dãy địa chỉ IP và mặ nạ mạng cụ thể.

– Site (vùng, miền): một hoặc nhiều mạng con dùng để lập cấu hình dịch vụ sao chép và truy cập

thư mục

3 Những công cụ quản lý Active Directory :

– Những công cụ quản lý Active Directory thường cung cấp ở dạng Snap-in cho MMC

(Microsoft Management Console).

 Active Directory users and Computer: quản trị người dùng, nhóm, máy tính, và đơn

vị tổ chức

 Active Directory and Trusts: dùng làm việc với vùng, hệ vùng phân cấp, tập hợp hệvùng phân cấp

 Active Directory Sites and Services : quản lý Site và mạng con

III DOMAIN CONTRONLLER TRÊN WINDOWS SERVER 2003 :

– Hệ thống gồm 1 máy tính làm DC có địa chỉ IP là 192.168.1.1 và một máy tính khác làm DNS +DHCP có IP là 192.168.1.1

– Các Client sẽ nhận IP từ DHCP

1 DNS – Domain Name System :

1A Cài đ ặ t :

– Click Start/ Control Panel/ Add or Remove Programs/ Add/Remove Windows Components.

– Trong Components và click Networking Services / Details/ Domain Name System (DNS)

1B C ấ u h ì nh DNS : terri.info

– Đặt IP cho máy cài DNS là 192.168.1.2 và DNS là 192.168.1.1

– Sau khi cài đặt, ta tiến hành tạo Forward và Reverse Lookup zones.

– Start/ Administrative Tools/ DNS Trong bảng làm việc của DNS (DNS console) :

 Tại Forward Lookup Zones Click phải chọn New Zone, chọn Primary Zone, chọnNext,

sau đó gõ tên zone là terri.info

 Tại Reverse Lookup Zones Click phải chọn New Zone, chọn Primary Zone, chọnNext,

sau đó vào 192.168.1 tại Next ID.

– Sau khi cấu hình như trên, tại Forward Lookup Zones, Click phải chọn New Host, gõ vào IP là 192.168.1.2 ( đây là host cho máy chạy DNS), check vào mục Create associated pointer (PTR) record.

– Để kiểm tra DNS, vào command promt, gõ nslookup Nếu DNS chạy tốt, ta sẽ tiến hành dựng DC.

2 Cài đ ặ t ACTIVE DICRECTORY

– Trước khi xây dựng Domain, ta cần đổi tên và đặt địa chỉ IP cho máy làm DC Sau đó convert ổđĩa C sang NTFS

– Vào Start/Run gõ DCPROMO rồi Enter Active Directory Installation Wizard xuất hiện Chọn

Next để tiếp tục

– Trong hộp thoại Domain Controller Type :

 Chọn mục Domain controller for a new Domain để tạo một DC hoàn toàn mới.

 Chọn mục Additional Domain dontroller for an exis Domain để tạo một DC dự

phòng

 Trong trường hợp này, ta chọn tùy chọn thứ nhất

– Trong hộp thoại Create a new :

để tạo một Domain hoàn toàn mới

 Child Domain in an axisting Domain tree : để tạo một child Domain từ một Domain

đã có sẵn Ví dụ ta có trên hệ thống mạng đã có sẵn Active Directory và Domain tên

là terri.com, ta sẽ chọn mục này để tạo branch.terri.info

 Domain tree in an existing forest : để tạo ra một cây Domain trong một rừng – Trong hộp thoại New Domain name, ta gõ là terri.info Sau đó nhấn Next.

– Hộp thoại Database and Log Locations cho phép chỉ định nới lưu trữ database Active Directory

và tập tin Log Ta nên để mặc định

– Hộp thoại Shared System Volume chỉ định vị trí của thư mục SYSVOL Lưu ý thư mục này phải

nằm trên đĩa có định dạng NTFS nếu không sẽ báo lỗi Chọn Next

– Trong hộp thoại Permission :

 Chọn Permission Compatible with pre-windows 2000 Server khi hệ thống có các

Server phiên bản trước Windows 2000

 Chọn Permission compatible only with windows 2000 Servers or 2003 khi hệ thống

toàn là các Server của Windows 2000 hoặc 2003

– Nhập password bảo vệ hệ thống, sau đó nhấn Next rồi OK Chờ khỏang 10-15 phút để quá trìnhhoàn thành.Trong quá trình này có thể máy sẽ yêu cầu đưa đĩa nguồn của Windows 2003 Servervào ổ CD-ROM.

IV T Ạ O USER ACCOUNT, COMPUTER ACCOUNT V À GROUP :

 Logon Hours : thiết lập giờ mà user được logon

 Log On To : chỉ định máy tính nào user có thế sử dụng

 Các tùy chọn :

 User must change password at next logon : quy định user này phải đổipassword ở lần đăng nhập tiếp theo

 User can not change password : quy định user không thể thay đổi password

 Password never expies : quy định password của tài khoản này không bao giờhết hạn

 Account is disabled : khoá tài khỏan này chính sách này dùng khi bạn muốncấm tài khoản này một thời gian nào đó mà bạn không muốn xóa tài khoảnnày

 Account experies : thời gian hết hạn của user account

– Tab General : thông tin tổng quát về người dùng.

– Tab Address : địa chỉ của người dùng.

– Tab Profile : môi trường làm việc của tài khoản.

– Tab Telephone : thông tin liên lạc điẹn thoại của tài khoản.

– Tab Organization : thông tin về công ty , người quản lý tài khoản này và bảo báo cáo của tài

khoản này

– Member Of : thông tin về nhóm cho tài khoản này , có thể Add/Remove tài khoản này vào hay ra

khỏi một nhóm làm việc tại đây

– Dial – in : cấu hình truy cập từ xa vào máy Server của tài khoản

– Environment : cấu hình cho chương trình nào đó chạy mỗi khi tài khoản đăng nhập.

– Session , Remote control ,Terminal Sevices Proflie , COM + : cấu hình kế nối từ xa (RemoteConnection)

1C User Profile :

– Profile là nơi để chỉ định đường dẫn tập tin biên dạng và một kịch bản đăng nhập Lưu các thiêtlập cho màn hình Desktop của người dùng từ nội dung của menu Start cho cho tới màu sắc, cách

định hướng chuột có thể lưu trữ ở một nơi nào đó trên mạng để người dùng có thể đăng nhập từmột máy nào đó trên mạng mà vẫn thấy được màn hình đăng nhập giông nhau.

– Local user profile : được lưu trong C:\Documents and Settings\%Username%, được tạo ra khi lần

đầu logon vào hệ thống

– Roaming user profile : được sử dụng trong trường hợp user sử dụng nhiều máy khác nhau Ta

sẽ tạo ra Roaming user profile, khi đó, user sẽ có Documents and Settings giống nhau trên tất cảcác máy

user profile : là loại profile không lưu bất cứ thay đổi nào của user Ví dụ, user thay đổi các

thông tin như hình nền, font chữ Các thông tin này sẽ trở lại như cũ khi user thoát khỏi hệ thống(log-off)

* Đ ể t ạ o ra

Roaming user profile :

– Đầu tiên, ta cần tạo ra một profile chuẩn, sau đó copy profile đến một thư mục được share trên

Server Để copy profile, ta chọn System Properties/ Advance/ tại User Profile chọnSettings.

– Chọn profile chuẩn ( ở đây là user1) Chọn mục Copy To.

– Gõ đường dẫn UNC đến thư mục share trên Server Ở đây ta có một thư mục share

tênProfile trên Server Chọn Change để gán quyền cho nhóm được phép sử dụng profile này Sau

– Logon Script là một lệnh được chạy vào lúc đăng nhập Ví dụ ta tạo một lệnh để map ổ đĩa

share cho user, ta làm như sau :

 Tạo cript : mở notepad đánh lệnh Net use \\server\share

 Sau đó lưu với tên run.bat

 Để run.bat trong C:\Windows\SYSVOL\sysvol\tên domain\scripts

 Tại mục Logon Script trong tab Profile gõ tên run.bat

– Home Folder hoặc Home Directory là một thư mục được cấp cho người sử dụng để họ sử

dụng riêng Ta có thể chỉ định một thư mục cục bộ làm Home Folder khi người sử dụng đăng nhập trên máy cục bộ Để gán Home Foleder cho user :

 Tạo một folder dùng để làm home folder, share folder với tên home

 Tại home folder gõ : \\server\home

– Chọn mục computer, click phải chọn New/ Computer Gõ vào tên của computer.

– Chọn Change để gán computer đến gruoup hoặc user

– Chọn Assign this computer account as a pre-Windows 2000 coputer

3A Group Properties

– Group Name : tên nhóm

– Group Name (Pre – Windows 2000) : tên nhóm cho windows trước phiên bản 2000

– Group Scope – phạm vi của nhóm :

Accounts, Global Groups and Universal Groups từ bất kỳ miền nào trong rừng cũngnhư các Local Groups trong cùng một miền

 Global : chứa User Accounts và Global Groups trong cùng một miền.

 Universal : chứa User Accounts, Global Groups và Universal Groups từ bất kỳ miền

nào trong rừng

– Group Type – loại nhóm :

 Security : là nhóm được phân phối bảo mật, có thể truy cập tài nguyên, gởi và nhận

mail

 Distribution : là nhóm phân phối danh sách chúng không được phân phối bảo mật.

Chỉ có quyền gởi và nhận mail, không có quyền truy cập tài nguyên

3B Nguyên tắc chọn group :

– Global Groups có các truy cập vào các tài khoản trong Domain Local Khi công ty có nhiều hơnmột Domain, Local Groups cho phép sử dụng các tài khoản trên tất cả các Domain Khi công tyliên kết nhiều Domain thành một rừng, Universal Groups cho phép truy cập đến bất kỳ tài khoảnnào trong rừng

 Đặt người dùng vào trong Global Group

 Kế đến đặt Global Groups vào trong Domain Local Group

 Gán quyền cho Domain Local Group

– Chứng thực trong Windows Server 2003 là quy trình gồm hai giai đoạn: đăng nhập tương tác và

– Với tài khoản miền, thong tin đăng nhập được chứng thực trên Active Directory và người dùng

có quyền truy cập các tài nguyên trên mạng

– Windows Server 2003 hỗ trợ nhiều giao thức chứng thực mạng, nổi bật nhất là :

 Kerberos V5 : Là giao thức chuẩn Internet dùng để chứng thực người dùng và hệthống

 NT LAN Manager (NTLM) : Là giao thức chứng thực chính của Windows NT

 Secure Socket Layer/Transport Layer Security (SSL/TLS) : Là cơ chế chứng thựcchính được dùng khi truy cập vào máy phục vụ Web an toàn

2.

S ố nh ậ n di ệ n b ả o m ậ t SID :

– Tuy hệ thống Windows Server 2003 dựa vào tài khoản người dùng (user account) để mô tả các quyền hệ thống (Rights) và quyền truy cập (Permission) nhưng thực sự bên trong hệ thống mỗi tài khoản được đặc trưng bởi một con số nhận dạng bảo mật SID (Security Identifier).

– SID là thành phần nhận dạng không trùng lặp, được hệ thống tạo ra đồng thời với tài khoản và

dùng riêng cho hệ thống xử lý, người dùng không quan tâm đến các giá trị này

– SID bao gồm phần SID vùng cộng thêm với một RID của người dùng không trùng lặp.

– SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID“, khi đó tất cả các SID trong miền đều có cùng giá trị D1, D2, D3, nhưng giá trị RID là khác nhau.

– Hai mục đích chính của việc hệ thống sử dụng SID là :

 Dễ dàng thay đổi tên tài khoản người dùng mà các quyền hệ thống và quyền truy cậpkhông thay đổi

 Khi xóa một tài khoản thì SID của tài khoản đó không còn giá trị nữa, nếu chúng ta

có tạo một tài khoản mới cùng tên với tài khoản vừa xóa thì các quyền cũ cũngkhông sử dụng được bởi vì khitạo tài khoản mới thì giá trị SID của tài khoản này làmột giá trị mới

VI CÁC TÀI KHO Ả N T Ạ O S Ẵ N :

1 Tài kho ả n ng ườ i d ù ng t ạ o s ẵ n :

2 Tài kho ả n nh ó m đ ượ c t ạ o s ẵ n :

3 Tài kho ả n nh ó m Global đ ượ c t ạ o s ẵ n :

4 Các nhóm t ạ o s ẵ n đ ặ c bi ệ t :

– Ngoài các nhóm tạo sẵn đã trình bày ở trên, hệ thống Windows Server 2003 còn có một số nhóm tạo sẵn đặt biệt, chúng không xuất hiện trên cửa sổ của công cụ Active Directory Userand Computer , à chúng chỉ xuất hiện trên các ACL của các tài nguyên và đối tượng.

– Ý nghĩa của nhóm đặc biệt này là:

 Interactive : Đại diện cho những người dùng đang sử dụng máy tại chỗ

 Network : Đại diện cho tất cả những người dùng đang nối kết mạng đến một máytính khác.

 Everyone : Đại diện cho tất cả mọi người dùng

 System : Đại diện cho hệ điều hành

 Creator owner : Đại diện cho những người tạo ra, những người sở hữa một tàinguyên nào đó như: thư mục, tập tin, tác vụ in ấn (print job)…

 Authenticated users : đại diện cho những người dùng đã được hệ thống xác thực,nhóm này

 được dùng như một giải pháp thay thế an toàn hơn cho nhóm everyone

 – Anonymous logon: đại diện cho một người dùng đã đăng nhập vào hệ thống mộtcách nặc danh, chẳng hạn một người sử dụng dịch vụ FTP

 Service : Đại diện cho một tài khoản mà đã đăng nhập với tư cách như một dịch vụ

 Dialup : Đại diện cho những người đang truy cập hệ thống thông qua Dial-upNetworking

Tất cả về Windows server 2003 – phần 2

Phần này bao gồm Group policy, Security policy, Permission, Encrypt File System, Printing

VII GROUP POLICY – CHÍNH SÁCH NHÓM :

– Việc đưa ra một chuẩn mực dành cho mạng là công việc phức tạp, đồng thời việc triển khai các ứng dụng mới ra toàn bộ mạng là công việc rất khó.

– Sau khi tạo ra nhóm, người quản trị sẽ dùng công cụ Group Policy để quản lý Nhưng rất chú ý

là Group Policy không quản lý được nhóm mà chỉ có khả năng quản lý OU, Site.

– Với Group Policy, người quản trị có thể thực hiện được những công việc sau:

 Phân phối các gói phần mềm tới các máy tính trạm hoặc người sử dụng

 Quy định các chính sách mật khẩu, khoá chặn tài khoản và kiểm soát cho miền

 Nhân bản một loạt các thiết định bảo mật cho các máy tính ở xa Áp đặt các tư cáchthành viên nhóm và định cấu hình các dịch vụ

 Quy định, thiết đặt những thông số dành cho Internet Explorer

 Quy định và thiết đặt những hạn chế trên Desktop của máy người sử dụng

 Qui định thư mục người sử dụng

– Thông thường các quản trị viên định cấu hình và triển khai các chính sách nhóm bằng cách xây dựng các đối tượng chính sách nhóm GPO – Group Policy Object.

– Các GPO là nơi chứa các thiết định (các chính sách) có thể áp dụng cho các tài khoản người dùng và tài khoản máy trên toàn mạng.

– Chỉ cần một GPO là có thể chỉ định cài đặt một mớ ứng dụng trên máy trạm của tất cả người sử dụng như các thiết lập bảo mật, các chính sách tài khoản… trên toàn miền.

– Có thể tạo ra một GPO chứa tất cả mọi thiết định hoặc nhiều GPO mỗi cái dành cho một chức năng nào đó.

VIII SECURITY POLICY – CHÍNH SÁCH BẢO MẬT :

– Domain Controller Security Policy : là policy ảnh hưởng lên những máy làm chức năng Domain Controller (ảnh hưởng lên Computer Account).

– Domain Security Policy : Policy ảnh hưởng lên Domain user, các computer join vào Domain Ví dụ

ta muốn 1 user có quyền logon interactive trên máy DC thì bạn phải định trong Domain ControllerSecurity Policy, ví quá trình logon này ảnh hưởng trực tiếp trên DC Còn nếu muốn tất cả cácDomain User, Local user … có password là 7 ký tự thì phải chỉnh trong Domain Policy

Enforce Password History

Số lần đặt mật mã không

Maximum Password Age

Quy định số ngày nhiều nhất

mà mật mã người dùng có

Minimum Password Age

Quy định số ngày ìt nhất màngười dùng có thể thay đổi

999ngày

Minimum Password Length

Chiều dài ngắn nhất của mật

14 kítựPasswords Must Meet Complexity

Khôngcho phép

Khôngcho phép

Chophép

Encryption for All Users In the

Account Lockout Threshold

Quy định số lần đăng nhập trước khi tài

99999phútReset Account Lockout

99999Phút

2 Chính sách b ả o m ậ t c ụ c b ộ – Local Policies :

– Local Policies cho phép thiết lập các chính sách giám sát các đối tượng trên mạng như người

dùng và tài nguyên dùng chung

– Đồng thời dựa vào tính năng trên ta có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật

2A Audit Policies :

– Giúp ta có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống,trên các đối tương cũngnhư đối với các người dùng

– Sau khi bật chức năng này, ta có thể sử dụng chương trình Event View để quản lý

Audit Account Logon

Events Ghi nhận khi người dùng logon, logoff hay tạo 1 kết nối mạng

Audit Account

Management

Ghi nhận khi tài khoản người dùng hay nhóm được tạo xoá hay các thao tác quản lí người dùng

Audit Directory Service

Access Ghi nhận việc truy cập các dịch vụ thư mục

Audit Logon Events Ghi nhận các sự kiện liên quan đến quá trình logon như thi hành 1 logon script hay truy cập đến 1 roaming profileAudit Object Access Ghi nhận việc truy cập các tập tin, thư mục, máy in

Audit Policy Change Ghi nhận các thay đổi trong chính sách audit

2B User Rights Assignment :

– Quyền người dùng( User Right) là quyền hệ thống cung cấp cho người dùng các quyền quản trị và

sử dụng hệ thống

– Để thiết lập, chọn Start/ Programs/ Administrative Tools Chọn Domain Security Policy hoặcDomain Controller Security Policy

Access This Computer form the Network Cho phép người dùng truy cập máy tính trên mạng

Act as Part of the Operating System

Cho phép các dịch vụ chứng thực ở mức thấp chứng thực với bất kìngười dùng nào

Add Workstations to the Domain Cho phép người dùng thêm 1 tài khoản máy tính vào Domain

Back Up Files and Directories Cho phép người dùng sao lưu dự phòng các tập tin và thư mục

Bypass Traverse Checking

Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùngkhông có quyền xem (list) nội dung thư mục này

Change the System Time Cho phép người dùng thay đổi giờ hệ thống

Create a Token Object

Cho phép 1 tiến trình tạo 1 thẻ bài nếu tiến trình này dùng NTCreateToken API

Create Permanent Shared Objects

Cho phép 1 tiến trình tạo 1 đối tượng thư mục thông qua WindowsObject Manager

Debug Programs

Cho phép người dùng gắn 1 chương trình debug vào bất kì tiến trìnhnào

Deny Access to This Computer from the

Deny Logon as a Batch File

Cho phép bạn ngăn cản những người dùng và nhóm được phép logonnhư 1 batch file

Deny Logon as a Service

Cho phép bạn ngăn cản những nguời dùng và nhóm truy cập đến máytính cục bộ

Enable Computer and User Accounts to Be

Trusted by Deletgation

Cho phép người dùng hay nhóm được uỷ quyền cho người dùng hay 1đối tượng máy tính

Force Shutdown from a Remote System Cho phép người dùng Shutdown hệ thống từ xa thông qua mạng

Generate Security Audits

Cho phép người dùng,nhóm hay 1 tiến trình tạo 1 entry vào Securitylog

Increase Quotas Cho phép người dùng điều khiển các quota của các tiến trình.

Increase Scheduling Priority

Quy định 1 tiến trình có thể tăng hay giảm độ ưu tiên đã được gán chotiến trình khác

Load and Unload Device Drivers

Cho phép người dùng có thể cài đặt hay gỡ bỏ các driver của các thiếtbị

Lock Pages in Memory Khoá trang trong vùng nhớ

Log On as a Batch Job

Cho phép 1 tiến trình logon vào hệ thống và thi hành 1 tập tin chứacác lệnh hệ thống

Log on as a Service Cho phép 1 dịch vụ logon và thi hành 1 dịch vụ riêng

Logon Locally Cho phép người dùng Logon tại máy Server

Manage Auditingand Security Log Cho phép người dùng quản lí security log

Modify Firmware Environment Variables

Cho phép người dùng hay 1 tiến trình hiệu chỉnh các biến môi trường

hệ thống

Profiles Single Process

Cho phép người dùng giám sát các tiến trình bình thường thông quacông cụ Performancẻ Logs and Alerts

Profile System Performance

Cho phép người dùng giám sát các tiến trình hệ thống thông qua công

cụ Performancẻ Logs and Alerts

Remove Computer from Docking Station

Cho phép người dùng gỡ bỏ 1 Laptop thông qua giao diện người dùngcủa Windows

Replace a Process Level Token

Cho phép 1 tiến trình thay thế 1 token mặc định mà được tạo bởi 1tiến trình con

Restore Files and Directories Cho phép người dùng phục hồi tập tin và thư mục

Shut Down the System Cho phép người dùng shutdown hệ thống

Synchronize Directory Service data Cho phép người dùng đồng bộ dữ liệu với 1 dịch vụ thư mục

Take Ownership of Files or Others Objects Cho phép người dùng tước quyền sỡ hữu của 1 đối tượng hệ thống

Allow Server Operators to Schedule Tasks.

(Domain controller only)

Cho phép nhóm Server Operator lập lịch tác vụ trênServer

Không địnhnghĩa

Allow System to Be Shut Down Without

Having to Log On

Cho phép người dùng Shutdown hệ thống mà khôngcần Logon

Không chophép

Audit the Access of Global System Objects

Giám sát việc truy cập các đối tượng hệ thống toàncục

Không chophép

Automatically Log Off users When Logon

Time Expires

Tự động logoff khỏi hệ thống khi người dùng hết

Disable CTRL+ALT+DEL Requirement for

Không chophép

Do Not Display Last user Name in Logon

Screen Không hiển thị tên người dùng đã logon

Không chophép

Rename Administrator Account Cho phép đổi tên tài khoản Administratror

Không chophép

Rename Guest Account Cho phép đổi tên tài khoản

Không chophép

IX PHÂN QUY Ề N V À KI Ể M SO Á T TRUY C Ậ P T À I NGUY Ê N :

1 Share permission – quy ề n truy c ậ p t à i nguy ê n qua m ạ ng :

– Click chuột phải lên thư mục ,chọn Properties,chọn Tab Sharing

Do not share this

folder Chỉ định thư mục này chỉ được phép truy cập cục bộ

Share this folder Chỉ định thư mục này được phép truy cập cục bộ và qua mạng

Share name Tên thư mục người dùng nhìn thấy trên mạng

Comment Mô tả thêm thông tin về thư mục này

User Limit Số người truy xuất tối đa vào 1 thời điểm

Permissions Cho phép bạn thiết lập danh sách quyền truy cập đối với tưng người

Caching Cho phép thư mục được lưu trữ tạm tài liệu khi làm việc dưới chế độ Offline

– Chọn Permission để phân quyền truy cập :

 Full Control : có toàn quyền trên thư mục chia sẻ.

 Change : có quyền thay đổi và xoá dữ liệu.

 Read : chỉ được phép đọc và thi hành.

2 NTFS permission – quy ề n truy c ậ p t à i nguy ê n tr n ph â n v ù ng NTFS :

– Nhấp chuột phải vào tập tin, thư mục hay ổ đĩa chọn Tab Security.

– Chọn Add để cấp quyền cho người dùng hoặc group Chọn Remove để bỏ quyền người dùng hoặc

group Chọn Advanced để gán các quyền đặc biệt

– Để phân quyền, ta cho user hay nhóm muốn phân quyền , chọn Allow để cho phép, chọn Deny đểkhông cho phép :

 Full Control : có toàn quyền trên thư mục

 Modify : có quyền thay đổi, xoá và sửa dữ liệu.

 Read & Execute: được phép đọc file và thi hành tập tin.

 List Folder Contents : được quyền xem các file có trong thư mục.

 Read : chỉ có quyền đọc file.

 Write : được quyền thêm file vào trong thư mục.

– Để gán các quyền đặc biệt, ta chọn Advance/ Permission Để thêm user hoặc nhóm mới, chọn Add Để gán quyền cho user có sẵn trong danh sách chọn Edit.

– Ngoài ra, các tab trong Advace như :

 Auditing : giám sát việc truy cập đến thư mục hoặc file của user hay group.

 Owner : lấy lại quyền truy cập ( Full Control cho tài khoản Administrator).

– Chú ý khi gán các quyền đặt biệt :

 Nếu ta đánh dấu mục: Allow Inheritable permissions from parent to propagate to this object, thì thư mục hiện tại được thừa hưởng danh sách quyền truy cập từ thư

mục cha

 Nếu bỏ đánh dấu, thì thư mục hiện tại không được thừa hưởng danh sách quyềntruy cập từ thư mục cha

3 V ấ n đ ề c ộ ng quy ề n truy c ậ p :

– Nếu user có Share permission và NTFS permission, thì khi user truy cập tài nguyền qua mạng sẽ

được hưởng quyền nào hạn chế nhất

– Nếu user thuộc group 1 và group 2, mà 2 group này có NTFS Permission khác nhau, thì khi usertruy cập tài nguyền sẽ được hưởng thừa hưởng quyền từ 2 group này Tức là user sẽ được hưởngquyền cao nhất (gợp từ 2 group)

X MÃ HÓA DỮ LIỆU BẰNG EFS – Encrypt File System:

1 Mã hóa trong Windows :

–EFS (Encrypting File System) là 1 kỹ thuật dùng để mã hoá các tập tin lưu trên Partition NTFS.

Việc mã hoá sẽ bổ sung thêm 1 lớp bảo vệ an toàn cho hệ thống tập tin Chỉ người dùng có đúngkhoá mới có thể truy xuất các tập tin này còn những người khác thì bị từ chối truy cập

– Ngoài ra người quản trị mạng còn có thể dùng tác nhân phục hồi (Recovery Agent) để truy xuấtđến bất kì tập tin nào bị mã hoá

– Để mã hoá các tập tin :

 Chọn các tập tin và thư mục cần mã hoá

 Nhấn chuột phải lên các tập tin và thư mục, chọn Properties, trọng General/ Advanced.

 Hộp thoại Advanced Properties xuất hiện, đánh dấu mục Encrypting contents to secure data và nhấn OK.

 Hộp thoại Confirm Attribute Changes yêu cầu bạn chỉ mã hoá riêng thư mục được chọn (Apply changes to this folder only) hay mã hoá toàn bộ thư mục, kể cả các thư mục con (Apply changes to this folder,subfolders and files).

-Để gỡ bỏ mã hoá, ta thực hiện tương tự

2 Mã hóa b ằ ng l ệ nh :

2A Đ ể m ã h ó a – encrypts :