1. Trang chủ
  2. » Luận Văn - Báo Cáo

triển khai policy cho hệ thống mạng doanh nghiệp

71 1,2K 5

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 71
Dung lượng 4,6 MB

Nội dung

Mô hình mạng khách chủ Client/Server Trong mô hình mạng khách chủ có một hệ thống máy tính cung cấp tàinguyên và dịch vụ cho cả hệ thống mạng sử dụng gọi là các máy chủ Server... - Kết h

Trang 1

TRƯỜNG CAO ĐẲNG NGHỀ CÔNG NGHIỆP HÀ NỘI

KHOA CÔNG NGHỆ THÔNG TIN

Giáo viên hướng dẫn : Dương Ngọc Việt

Lê Thanh Hoa

Hà Nội – 2013

Trang 2

LỜI MỞ ĐẦU

Trong hệ thống mạng Workgroup, thông tin không được quản lý tập trungdẫn đến rất nhiều bất cập trong vấn đề quản lý cũng như khả năng bảo toàn dữliệu Vì vậy trong một công ty nếu sử dụng mạng này để chia sẻ thông tin sẽ

vô cùng nguy hiểm, sử dụng hệ thống mạng được quản lý theo mô hìnhDomain là điều tất yếu Một công ty vốn chứa rất nhiều thông tin và trong đó

có những thong tin mang tính chiến lược cho sự phát triển của công ty, vẫn đềquản lý và bảo mật thông tin được đặt lên hang đầu Để có thể tạo dựng một

hệ thống thông tin nội bộ, dễ dàng cho nhân viên sử dụng, thuận tiên cho côngviệc quản lý cũng như việc trao đổi thông tin thì việc xây dựng hệ thống mạngDomain triển khai Policy là rất cần thiết

Dựa trên tình hình thực tế, em lựa chọn để tài ”Triển khai Policy cho hệ thốngmạng doanh nghiệp” Theo em với đề tài này, có thể giúp cho các công ty quản lý, doanh nghiệp sử dụng và bảo mật tốt thông tin Giúp công ty vân dụng tốt công nghệ và phù hợp với nguồn tài chính của một công ty vừa và nhỏ đang trên đà phát triển

Trang 3

LỜI CẢM ƠN

Lời đầu tiên chúng em xin cảm ơn sự hướng dẫn tận tình của thầy DươngNgọc Việt, cùng toàn thể thầy cô trong Khoa Công Nghệ Thông Tin trườngCao Đẳng Nghề Công Nghiệp Hà Nội

Trong suốt thời gian thực tập ngoài sự cố gắng của bản thân chúng em đãnhận được rất nhiều sự động viên, giúp đỡ, quan tâm từ phía thầy và các bạntrong quá trình thực hiện đề tài tốt nghiệp này

Cho đến hôm nay, khi bài báo cáo thực tập tốt nghiệp của chúng em đãhoàn thành cũng chính là nhờ sự nhắc nhở, đôn đốc, chỉ bảo tận tình của thầy

Mặc dù chúng em đã cố gắng hết sức để nghiên cứu và thự hiện đề tàinhưng do thời gian có hạn không thể tránh khỏi những thiếu sót.Chúng em rấtmong các thầy cô chỉ bảo thêm để chúng em có thể hiểu rõ hơn về đề tài củamình và cũng là để chúng em thêm hoàn thiện kiến thức

Một lần nữa chúng em xin chân thành cảm ơn các thầy cô Chúc các thầy

cô luôn luôn mạnh khỏe và thành công trong cuộc sống

Trang 4

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

Trang 5

MỤC LỤC

Chương 1: Mô hình mạng và các dịch vụ 7

I Mô hình mạng 7

1 Mô hình mạng ngang hàng (Peer to Peer) 7

2 Mô hình mạng khách chủ (Client/Server) 7

II Các dịch vụ mạng 8

1 Dịch vụ DHCP 8

1.1 Khái niệm DHCP 8

1.2 Hoạt động của DHCP 9

2 Dịch vụ DNS 10

2.1 Lịch sử hình thành của DNS 10

2.2 Mục đích của hệ thống DNS 10

2.3 Hoạt động của DNS 11

Chương 2: Active Directory, User và Group Account, Group Policy Object 12

I Active Directory (AD) 12

1 Giới thiệu về AD 12

2 Chức năng của AD 12

II User và Group Account 13

1 User Account 13

1.1 Khái niệm User 13

1.2 Tài khoản người dùng cục bộ 13

1.3 Tài khoản người dùng miền 14

1.4 Yêu cầu về tài khoản người dùng 14

2 Group Account 14

2.1 Khái niệm Group 14

Trang 6

2.2 Nhóm phân phối (Distribution Group) 15

2.3 Nhóm bảo mật (Security Group) 15

III Group Policy Object (GPO) 16

1 Giới thiệu về GPO 16

2 Các chức năng của GPO 16

3 Các chính sách của GPO 17

3.1 Chính sách tài khoản người dùng 17

3.1.1 Chính sách mật khẩu 18

3.1.2 Chính sách khóa tài khoản 19

3.2 Chính sách cục bộ 20

3.2.1 Chính sách kiểm toán 20

3.2.2 Quyền hệ thống của người dùng 21

3.2.3 Các lựa chọn bảo mật 25

4 Các Template trong GPO 25

Chương 3: Quản lý Users/Group với GPO 31

I Thiết kế chính sách GPO cho một mạng LAN mô hình Client/Server 31

1 Giới thiệu mạng LAN mô hình Client / Server 31

2 Giới thiệu các nhu cầu quản lý cho mô hình 32

3 Một vài GPO cơ bản cho nhu cầu quản lý 32

II Các bước triển khai 32

1 Cài đặt AD – DNS 32

2 Cấu hình DNS 39

3 Cài đặt và cấu hình DHCP 43

3.1 Cài đặt DHCP 43

3.2 Cấu hình DHCP 46

4 Tổ chức các OU và User 50

5 Tạo logon script 57

6 Kiểm toán các User 63

Trang 7

7 Deploy phần mềm cho tất cả các User 66

Chương 4: Kết luận 70

Trang 8

Chương 1: Mô hình mạng và các dịch vụ mạng

I Mô hình mạng

1 Mô hình mạng ngang hàng (Peer to Peer)

Mạng ngang hàng cung cấp việc kết nối cơ bản giữa các máy tính nhưngkhông có bất kỳ một máy tính nào đóng vai trò phục vụ Một máy tính trênmạng có thể vừa là Client vừa là Server Trong môi trường này người dùngtrên từng máy tính chịu trách nhiệm điều hành và chia sẻ tài nguyên máy tínhcủa mình Mô hình này chỉ phù hợp với các tổ chức nhỏ, số người giới hạn(thông thường nhỏ hơn 10 người) và không quan tâm đến vấn đề bảo mật

Ưu điểm: Mô hình mạng ngang hàng đơn giản dễ cài đặt, tổ chức, quản trị

và chi phí thiết bị cho mô hình này thấp

Nhược điểm: Không cho phép quản lý dữ liệu tập trung nên dữ liệu bị

phân tán, khả năng bảo mật thấp rất dễ bị xâm nhập Các tài nguyên khôngđược sắp xếp nên rất khó định vị và tìm kiếm

Hình 1.1 Mô hình mạng ngang hàng

2 Mô hình mạng khách chủ (Client/Server)

Trong mô hình mạng khách chủ có một hệ thống máy tính cung cấp tàinguyên và dịch vụ cho cả hệ thống mạng sử dụng gọi là các máy chủ (Server)

Trang 9

Một hệ thống máy tình sử dụng các tài nguyên và dịch vụ này được gọi là cácmáy khách (Client) Các Server thường có cấu hình mạnh (tốc độ xử lýnhanh, kích thước lưu trữ lớn) hoặc là các máy tính chuyên dụng.

Ưu điểm: Do các dữ liệu được lưu trữ tập trung nên dễ dàng bảo mật,

backup và đồng bộ với nhau Tài nguyên và dịch vụ tâp trung nên dễ dàngchia sẻ quản lý và có thể phục vụ cho nhiều người dùng

Nhược điểm: Các máy Server chuyên dụng rất đắt tiền, phải có nhà quản

ra giao thức DHCP (Dynamic Host Configuration Protocol)

Trang 10

Để làm một DHCP Server, máy tính Windows Server phải đáp ứng cácđiều kiện sau:

- Đã cài dịch vụ DHCP

- Mỗi card mạng phải được cấu hình một địa chỉ IP tĩnh

- Đã chuẩn bị sẵn danh sách các địa chỉ IP cấp phát cho máy Client.Dịch vụ DHCP này cho phép chúng ta cấp động các thông số cấu hìnhmạng cho các máy trạm (Client) Cơ chế sử dụng các thông số mạng được cấpphát động có ưu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng như:

- Khắc phục được tình trạng trùng địa chỉ IP

- Giúp tiết kiệm số lượng địa chỉ IP thật

- Phù hợp với các máy thường xuyên di chuyển qua lại giữa các mạng

- Kết hợp được với hệ thống mạng không dây (wireless), hệ thốngmạng công cộng như: nhà ga, sân bay, trường học…

- Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu cònkhả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tinDHCPOFFER, đề nghị cho thuê một địa chỉ IP trong thời gian nhất định, kèmtheo là một subnet mask và một địa chỉ Server Server sẽ không cấp phát địachỉ IP vừa đề nghị cho những Client khác trong suốt quá trình thương thuyết

- Máy Client sẽ lựa chọn một trong các lời đề nghị (DHCPOFFER) vàgửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghi đó Điều nàycho phép các đề nghị không được chấp nhận sẽ được các Server rút lại và cấp

Trang 11

- Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tinDHCPPACK như một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó

và thời hạn sử dụng đó sẽ chính thức được áp dụng Ngoài ra Server còn gửithêm thông tin các cấu hình bổ sung như: địa chỉ của gateway mặc định, địachỉ DNS Server, …

2 Dịch vụ DNS

2.1 Lịch sử hình thành của DNS

Vào những năm 1970 mạng ARPanet của bộ quốc phòng Mĩ rất nhỏ và dễdàng quản lý các liên kết vài trăm máy tính với nhau Do đó mạng chỉ cầnmột file HOSTS.TXT chứa tất cả các thông tin cần thiết về máy tính trongmạng và giúp máy tính chuyển đổi được thông tin địa chỉ và tên mạng cho tất

cả các máy tinh trong mạng ARPanet một cách dễ dàng Và đó là bước khởiđầu của hệ thống tên miền gọi tắt là DNS (Domain name system) Nhưng khimạng máy tính ARPanet ngày càng phát triển thì việc quản lý thông tin dựavào một file HOSTS.TXT là rất khó khăn vì không khả thi Vì thông tin sửađổi và bổ sung vào file HOSTS.TXT ngày càng nhiều và nhất là khi ARPanetphát triển hệ thống máy tính dựa trên giao thức TCP/IP dẫn đến sự phát triểntăng vọt của mạng máy tính:

- Lưu lượng và trao đổi trên mạng tăng lên

- Tên miền trên mạng và địa chỉ ngày càng nhiều

- Mật độ máy tính ngày càng cao do đó đảm bảo phát triển ngày càngkhó khăn

2.2 Mục đích của hệ thống DNS

Máy tính khi kết nối vào mạng Internet thì được gán cho một địa chỉ IPxác định Địa chỉ IP của mỗi máy là duy nhất và có thể giúp máy tính xácđịnh được đường đi đến một máy tính khác một cách dễ dàng Nhưng đối vớingười thì sử dụng địa chỉ IP là rất khó nhớ Do vậy hệ thống DNS ra đời

Trang 12

tính sử dụng sang một tên dễ nhớ cho người sử dụng và đồng thời nó giúp cho

hệ thống Internet dễ dàng sử dụng và ngày càng phát triển

Hệ thống DNS sử dụng hệ thống cơ sở dữ liệu phân tán và phân cấp hìnhcây do đó việc quản lý sẽ dễ dàng và cũng thuận tiện cho việc chuyển đổi từtên miền sang địa chỉ IP và ngược lại

Tóm lại mục đích của hệ thống DNS là chuyển đổi tên miền sang địa chỉ

IP và ngược lại giúp người dùng dễ dàng sử dụng hệ thống máy tính

2.3 Hoạt động của DNS

Khi DNS Client cần xác định cho một tên miền nó sẽ truy vấn DNS.Truy vấn DNS và trả lời của hệ thống DNS cho Client sử dụng thử thục UDPcổng 53, UDP hoạt động ở mức thứ 3 (network) trong mô hình OSI, UDP làthủ tục phi kết nối (connectionless), tương tự như dịch vụ gửi thư bình thườngbạn cho thư vào thùng thư và hy vọng có thể chuyển đến nơi bạn cần gửi tới.Mỗi message truy vấn gửi đi từ Client gồm 3 phần thông tin:

- Tên của miền truy vấn

- Xác định loại bản ghi Mail, web…

- Lớp tên miền

Có một số giải pháp để trả lời các truy vấn DNS Client có thể tự trả lờibằng cách sử dụng các thông tin đã được lưu trữ trong bộ nhớ cache của nó từnhững truy vấn trước đó DNS Server có thể sử dụng các thông tin được lưutrữ trong cache của nó để trả lời hoặc DNS Server có thể hỏi một DNS Serverkhác lấy thông tin đó để trả lời lại Client

Chương 2: Active Directory, User và Group Account,

Group Policy Object

Trang 13

I Active Directory (AD)

1 Giới thiệu về Active Directory

Active Directory là một dịch vụ thư mục được tạo ra bởi hãng Microsoft vàđược giới thiệu năm 1999 Nó được so sánh với LAN Manager trên Windows

2 Chức năng của Active Directorry

Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩutương ứng và các tài khoản máy tính

Cung cấp một Server đóng vai trò chứng thực(Authentication Server) hoặcServer quản lý đăng nhập(Logon Server), Server này còn được gọi là máyđiều kiển vùng(Domain Controller)

Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục giúp các máy tínhtrong mạng có thể dò tìm nhanh một tài nguyên nào đó trong các máy tínhkhác trong vùng

Cho phép chúng ta tạo ra các tài khoản người dùng với các mức độ quyềnkhác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệuhay Shutdown Server từ xa…

Cho phép chúng ta chia nhỏ miền của mình ra thành nhiều miềncon(subdomain) hay các đơn vị tổ chức OU(Organizational Unit) Sau đóchúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phậnnhỏ

II User và Group Account

Trang 14

1.1 Khái niệm User Account

Tài khoản người dùng (User Account) là một đối tượng quan trọng, đạidiện cho người dùng trên mạng, chúng được phân biệt với nhau thông quachuỗi nhân dạng username Chuỗi nhận dạng này giúp hệ thống phân biệtgiữa người này và người khác trên mạng từ đó người dùng có thể đăng nhậpvào mạng và truy cập các tài nguyên mạng mà mình được phép

1.2 Tài khoản người dùng cục bộ

Tài khoản người dùng cục bộ (Local User Account) là tài khoản ngườidùng được định nghĩa trên các máy cục bộ và chỉ được phép logon truy cậptrên các máy cục bộ, không thể dùng để truy cập bất kỳ máy nào khác trongmạng

Hình 2.3 Tài khoản người dùng cục bộ

1.3 Tài khoản người dùng miền

Tài khoản người dùng miền (Domain User Account) là tài khoản ngườidùng được tạo ra trên Active Directory và được phép đăng nhập vào bất kỳ

Trang 15

máy trạm nào trong miền Đồng thời với tài khoản này người dùng có thể truycập đến các tài nguyên trên mạng.

Hình 2.4 Tài khoản người dùng miền

1.4 Yêu cầu về tài khoản người dùng

Mỗi Username tối thiểu là 1 ký tự và tối đa là 256 ký tự

Mỗi Username là một chuỗi duy nhất của mỗi người dùng có nghĩa là tất

cả tên người dùng và nhóm không thể trùng nhau

Username không chứa các ký tự: \ / * [ ] : | < > + = ; , ? * @

2 Group Account

2.1 Khái niệm Group Account

Tài khoản nhóm (Group Account) là một đối tượng đại diện cho mộtnhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng.Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trêncác tài nguyên mạng như thư mục chia sẻ, máy in … Chú ý là tài khoản ngườidùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phépđăng nhập mà chỉ dùng để quản lý Tài khoản nhóm được chia làm hai loại:nhóm bảo mật (Security Group) và nhóm phân phối (Distribution Group)

Trang 16

2.2 Nhóm bảo mật (Security Group)

Nhóm bảo mật dùng để cấp phát các quyền hệ thống (rights) và quyềntruy cập (Permission) Giống như các tài khoản người dùng, các nhóm bảomật đều được chỉ định các SID Có ba loại nhóm bảo mật chính là: LocalGroup, Global Group và Universal Group

- Local Group (nhóm cục bộ) là loại nhóm có trên các máy alone server, member server, Win2k Pro hay Win XP Các nhóm cuc bộ nàychỉ có chỉ có ý nghĩa và phạm vi hoạt động ngay trên máy chứa nó

stand Global Group (nhóm toàn cục hay nhóm toàn mạng) là loại nhómnằm trong Active Directory và được tạo trên các Domain Controller Chúngdùng để cấp phát các quyền hệ thống và quyền truy cập vượt qua ranh giớicủa một miền Một nhóm Global có thể đặt vào trong một nhóm Local của cácServer thành viên trong miền

- Universal Group (nhóm phổ quát) là loại nhóm có chức năng giốngGlobal Group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp miền

và giữa các miền có quan hệ tin cậy với nhau Loiaj nhóm này tiện lợi hơn hainhóm Local Group và Global Group vì chúng dễ dàng lồng các nhóm vàonhau

2.3 Nhóm phân phối (Distribution Group)

Nhóm phân phối chỉ dùng để gửi mail, Distribution Group không chophép bảo mật, có nghĩa là họ không được liệt kê trong danh sách kiểm soáttruy cập để xác định quyền tài nguyên và đối tượng

III Group Policy Object (GPO)

1 Giới thiệu về GPO

GPO(Group Policy Object) là tập các thiết lập cấu hình cho computer vàuser Xác định cách thức để các chương trình, tài nguyên mạng và hệ điềuhành làm việc với người dùng và máy tính trong một tổ chức

Trang 17

GPO chỉ áp dụng được với những máy sử dụng hệ điều hành Windows

2000, Windows XP, Windows Vista, Windows 7, Windows 8, WindowsServer 2003, Windows Server 2008

GPO có hiệu lực khi máy trạm được gia nhập AD(Active Drectory), lúcmáy trạm đăng nhập và vào những thời điểm ngẫu nhiên khác

GPO tự động mất tác dụng với máy trạm khi chúng được xóa bỏ khỏi miềnAD

Người quản trị mạng có được nhiều mức độ quản lý tinh vi hơn đối với vấn

đề ai được hay không được làm gì đó

2 Các chức năng của GPO

Triển khai phần mềm ứng dụng: ta có thể gom tất cả các tập tin cần thiết

để cài đặt một phần mềm nào đó vào trong một gói, đặt nó lên Server rồi dùngchính sách nhóm hướng một hay nhiều máy trạm đến gói phần mềm đó Hệthống sẽ tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cần

sự can thiệp của người dùng

Gán các quyền hệ thống cho người dùng: chức năng này tương tự với

chức năng của chính sách của hệ thống Nó có thể cấp cho một hoặc mộtnhóm người nào đó có quyền tắt mayshay backup dữ liệu…

Giới hạn nhưng ứng dụng mà người dùng được phép thi hành: chúng

ta có thể kiểm soát máy trạm của một người dùng nào đó và cho phép ngườidùng này chỉ chạy được một vài ứng dụng nào đó như: Outlook Express,Microsoft Word hay Internet Explorer…

Kiểm soát các thiết lập hệ thống: ta có thể dùng chính sách nhóm để qui

định hạn ngạch đĩa cho một người dùng nào đó Người dùng này chỉ đượcphép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định

Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động, tắt máy: trong

hệ thống NT4 chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng từ

Trang 18

Windows 2000 trở lên thì đã hỗ trợ cả 4 kịch bản sự kiện này và có thể sửdụng GPO để kiểm soát chúng.

Đơn giản hóa và hạn chế các chương trình: ta có thể dùng GPO để gỡ bỏ

nhiều tính năng Internet Explorer, Windows Explorer và những chương trình

khác

Hạn chế tổng quát màn hình Desktop của người dùng: Ta có thể gỡi bỏ

hầu hết các đề mục trong menu Start của một người dùng nào đó, ngăn chặn

không cho người dùng cài thêm máy in hay sủa đổi thống số cấu hình máytrạm…

3 Các chính sách của GPO

3.1 Chính sách tài khoản người dùng

Chính sách tài khoản người dung (Account Policies) được dùng để chỉđịnh các thông số về tài khoản người dùng Nó cho phép cấu hình các thông

số bảo mật máy tính cho mật khẩu, khóa tài khản và chứng thực (KerberosPolicy) trong vùng Nếu trên Server thành viên thi sẽ chỉ thấy hai mục

Password Policy và Account Lockout Policy, trên máy Window Server làm

Domain Controller thì sẽ thấy ba mục đó là Password Policy, AccountLockout Policy, Kerberos Policy Muốn cấu hình chính sách tài khoản ngườidùng ta vào Start / Programs / Administrative Tools / Local Security Policy

Trang 20

Hình 2.6 Các lựa chon trong Password Policy

3.1.2 Chính sách khóa tài khoản

Chính sách khóa tài khoản (Account Lockout Policy) quy định cáchthức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ.Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa

Các thông số cấu hình trong chính sách khóa tài khoản:

Hình 2.7 Các lựa chon trong Account Lockout Polic

Trang 21

3.2 Chính sách cục bộ

Chính sách cục bộ (Local Policies) cho phép thiết lập các chính sáchgiám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung.Đồng thời dựa vào công cụ này ta có thể cấp quyền hệ thống các người dùng

và thiết lập các lựa chọn bảo mật

Hình 2.8 Local Policies

3.2.1 Chính sách kiểm toán

Chính sách kiểm toán (Adit Policy) giúp ta có thể giám sát và ghinhận các sự kiện xảy ra trong hệ thống, trên đối tượng cũng như các ngườidùng Bạn có thể xem các ghi nhận này thông qua mục Event View trong mụcSecurity

Các lựa chọn trong chính sách kiểm toán:

Trang 22

Hình 2.9 Các lựa chọn trong Audit Policy

3.2.2 Quyền hệ thống của người dùng

Có hai cách để cấp quyền hệ thống cho người dùng là gia nhập tàikhoản người dùng vào các nhóm tạo sẵn để kế thừa quyền hoặc sử dụng công

cụ User Rights Assignment để gán từng quyền cho người dùng Cách thứ nhấtchỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn thì có thể gán quyền chongười dùng theo yêu cầu Để cấp quyền hệ thống theo cách thứ hai thì bạnphải dùng công cụ Local Security Policy chọn mục User Rights Assignment Một vài quyền hệ thống thông dụng cấp cho người dùng và nhóm:

Trang 23

Hình 2.10 User Rights Assignment(1)

Trang 24

Hình 2.11 User Rights Assignment(2)

Trang 25

Hình 2.12 User Rights Assignment(3)

Trang 26

3.2.3 Các lựa chon bảo mật

Các lựa chọn bảo mật (Security Options) cho phép người quản trịServer khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như:không cho phép hiển thị người dùng đã logon trước đó hay đổi tên ngườidùng tạo sẵn Một số lựa chọn bảo mật thông dụng:

Hình 2.15 Security Options

4 Các Templates trong GPO

Microsoft Windows Server 2008 cung cấp cho chúng ta một số mẫu bảomật giúp tăng cường mức độ an toàn trong mạng máy tính lên Những mẫubảo mật này có thể giúp chúng ta chỉnh sửa để phù hợp với nhu cầu sử dụng

Cũng như phiên bản Windows Server trước Administrative Templates cũng

có các mục như: Control Panel, Network … cùng cách tùy chọn bảo mật sẵn

có trong cả Computer Configuration và User Configuration

Trang 27

Phiên bản Windows Server 2008 được trang bị chức năng Filtering màphiên bản Windows Server 2003 trước đó không có trong mục AdministrativeTemplates Chức năng này giúp người quản trị dễ dàng hơn trong việc tìmkiếm và lựa chọn các chính sách phù hợp trong quản lý.

Hình 2.16 Chức năng Filter OptionsHộp thoại Filter Options được chia làm ba phần: Select the type of policysetting to display, Keyword Filter, Requirements Filters

Trang 28

Hình 2.17 Hộp thoại Filter Options

Phần thứ nhất gồm ba mục: Managed, Configured, Comment

-Mục thứ nhất có ba lựa chọn trong chính sách Managed Mặc định chọn

“Yes” xem các chính sách của Managed, “No” không xem bất kỳ chính sáchnào của Managed hoặc “Any” cả các chính sách Managed và un-Managed

Hình 2.18 Lọc bằng Managed

Trang 29

- Mục thứ hai có thể chọn để hiển thị các chính sách đã được cấu hìnhConfigured Mặc định chọn “Any” xem các chính sách cả cấu hình và chưacấu hình, “Yes” xem các chính sách đã được cấu hình, “No” xem các chinhsách chưa được cấu hình.

Hình 2.19 Lọc bằng Configured

- Mục thứ ba cho phép hiển thị các chính sách đã được ghi chúCommented Mặc định chọn “Any” tất cả các chính sách có comment vàkhông được comment, “Yes” chỉ những chính sách được comment, “No”những chính sách không được comment

Trang 30

Hình 2.21 Keyword Filter

Cuối cùng chọn các thiết lập ở hộp bên phải với các lựa chọn:

- “All” Hiển thị tất cả các từ trong trường tìm kiếm ở tiêu đề thiết lậpchính sách, văn bản giải thich và ghi chú

- “Any” Bất kỳ từ nào đã gõ trong trường Filter for word(s)

- “Exact” Hiển thị chính xác các từ đã gõ vào

Phần thứ ba Requirements Filters, kích vào Enable Requirements Filters đểthiết lập các bộ lọc Chọn một trong hai lựa chọn:

- “Include settings that math all of the selected platforms” gồm các thiếtlập tương ứng với tất cả các nền tảng đã chọn

- “Include settings that math any of the selected platforms” gồm các thiếtlập tương ứng với bất kỳ nền tảng nào đã chọn

Hình 2.22 Requirments Filters

Trang 31

Chương 3: Quản lý User / Group với GPO

I Thiết kế chính sách GPO cho một mạng LAN mô hình Client / Server

1 Giới thiệu mạng LAN mô hình Client / Server

Mô hình trong một công ty vừa và nhỏ gồm có:

- Một máy chủ Server chạy Windows Server 2008

- Một máy in

- Một đường ADSL

Trang 32

- Các phòng ban trong một công ty như: Phòng Giám đốc, Phòng Kếtoán, Phòng IT…

Mô hình:

Hình 3.23 Mô hình công ty vừa và nhỏ

2 Giới thiệu các nhu cầu quản lý cho mô hình

Quản lý các tài khoản User

Tự động cấp phát địa chỉ IP cho máy trạm

3 Một vài GPO cơ bản cho nhu cầu quản lý

Tự động ánh xạ ổ đĩa và máy in cho Client

Ẩn Control Panel

Kiểm toán Users

Triển khai phần mềm cho Users

Trang 33

II Các bước triển khai

1 Cài đặt AD - DNS

Chọn Start / Run

Hộp thoại Run hiện lên: Gõ lệnh DCPROMO / OK

Hình 3.24 Hộp thoại Run

Chờ hệ thống thực hiện các bước khởi tạo

Hộp thoại Welcome to the Active Directory Domain Services InstallationWizard xuất hiện chọn Next

Trang 34

Hình 3.25 Active Directory Domain Services Installtion Wizard

Hộp thoại Choose a Deployment Configuration xuất hiện đánh dấu vào tùychọn Create anew domain in a new forest / Next

Trang 35

Hình 3.26 Choose a Deployment ConfigurationNhập tên Domain trong hộp thoại Name the Forest Root Domain / Next.

Ngày đăng: 29/10/2016, 18:51

HÌNH ẢNH LIÊN QUAN

Hình 2.3 Tài khoản người dùng cục bộ - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 2.3 Tài khoản người dùng cục bộ (Trang 14)
Hình 2.17 Hộp thoại Filter Options - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 2.17 Hộp thoại Filter Options (Trang 28)
Hình 2.22 Requirments Filters - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 2.22 Requirments Filters (Trang 30)
Hình 3.26 Choose a Deployment Configuration - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.26 Choose a Deployment Configuration (Trang 35)
Hình 3.27 Name the Forest Root Domain - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.27 Name the Forest Root Domain (Trang 36)
Hình 3.28 Set Forest Functional Level - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.28 Set Forest Functional Level (Trang 37)
Hình 3.29 Additional Domain Controller Options - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.29 Additional Domain Controller Options (Trang 38)
Hình 3.30 Directory Services Restore Mode Administrator Password - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.30 Directory Services Restore Mode Administrator Password (Trang 39)
Hình 3.32 Cấu hình DNS - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.32 Cấu hình DNS (Trang 40)
Hình 3.34 Zone Type - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.34 Zone Type (Trang 41)
Hình 3.33 Welcome to the New Zone Wizard Giữ nguyên các lựa chọn trong hộp thoại Zone Type / Next. - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.33 Welcome to the New Zone Wizard Giữ nguyên các lựa chọn trong hộp thoại Zone Type / Next (Trang 41)
Hình 3.35 Active Directory Zone Replication Scope - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.35 Active Directory Zone Replication Scope (Trang 42)
Hình 3.39 Cài đặt DHCP - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.39 Cài đặt DHCP (Trang 45)
Hình 3.41 Select Server Roles - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.41 Select Server Roles (Trang 46)
Hình 3.42 Confirm Installtion Selection - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.42 Confirm Installtion Selection (Trang 47)
Hình 3.43 Scope Name - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.43 Scope Name (Trang 48)
Hình 3.44 IP Address Range - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.44 IP Address Range (Trang 49)
Hình 3.46 Router (Default Gateway) - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.46 Router (Default Gateway) (Trang 50)
Hình 3.47 Domain Name and DNS Servers - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.47 Domain Name and DNS Servers (Trang 51)
Hình 3.48 WINS Servers - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.48 WINS Servers (Trang 52)
Hình 3.50 New Object - Organizational Unit - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.50 New Object - Organizational Unit (Trang 53)
Hình 3.51 User - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.51 User (Trang 54)
Hình 3.58 Tạo Script cho Users (1) - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.58 Tạo Script cho Users (1) (Trang 58)
Hình 3.60 Tạo Script cho Users (3) - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.60 Tạo Script cho Users (3) (Trang 59)
Hình 3.63 Tạo Script cho Users (6) - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.63 Tạo Script cho Users (6) (Trang 61)
Hình 3.64 Tạo Script cho Users (7) - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.64 Tạo Script cho Users (7) (Trang 62)
Hình 3.65 Tạo Script cho Users (8) - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.65 Tạo Script cho Users (8) (Trang 63)
Hình 3.69 Kiểm toán Users (3) - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.69 Kiểm toán Users (3) (Trang 66)
Hình 3.71 Deploy phần mềm cho tất cả các User (1) - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.71 Deploy phần mềm cho tất cả các User (1) (Trang 67)
Hình 3.71 Deploy phần mềm cho tất cả các User (1) - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.71 Deploy phần mềm cho tất cả các User (1) (Trang 67)
Hình 3.72 Deploy phần mềm cho tất cả các User (2) - triển khai policy cho hệ thống mạng doanh nghiệp
Hình 3.72 Deploy phần mềm cho tất cả các User (2) (Trang 68)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w