Mô hình mạng khách chủ Client/Server Trong mô hình mạng khách chủ có một hệ thống máy tính cung cấp tàinguyên và dịch vụ cho cả hệ thống mạng sử dụng gọi là các máy chủ Server... - Kết h
Trang 1TRƯỜNG CAO ĐẲNG NGHỀ CÔNG NGHIỆP HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
Giáo viên hướng dẫn : Dương Ngọc Việt
Lê Thanh Hoa
Hà Nội – 2013
Trang 2LỜI MỞ ĐẦU
Trong hệ thống mạng Workgroup, thông tin không được quản lý tập trungdẫn đến rất nhiều bất cập trong vấn đề quản lý cũng như khả năng bảo toàn dữliệu Vì vậy trong một công ty nếu sử dụng mạng này để chia sẻ thông tin sẽ
vô cùng nguy hiểm, sử dụng hệ thống mạng được quản lý theo mô hìnhDomain là điều tất yếu Một công ty vốn chứa rất nhiều thông tin và trong đó
có những thong tin mang tính chiến lược cho sự phát triển của công ty, vẫn đềquản lý và bảo mật thông tin được đặt lên hang đầu Để có thể tạo dựng một
hệ thống thông tin nội bộ, dễ dàng cho nhân viên sử dụng, thuận tiên cho côngviệc quản lý cũng như việc trao đổi thông tin thì việc xây dựng hệ thống mạngDomain triển khai Policy là rất cần thiết
Dựa trên tình hình thực tế, em lựa chọn để tài ”Triển khai Policy cho hệ thốngmạng doanh nghiệp” Theo em với đề tài này, có thể giúp cho các công ty quản lý, doanh nghiệp sử dụng và bảo mật tốt thông tin Giúp công ty vân dụng tốt công nghệ và phù hợp với nguồn tài chính của một công ty vừa và nhỏ đang trên đà phát triển
Trang 3LỜI CẢM ƠN
Lời đầu tiên chúng em xin cảm ơn sự hướng dẫn tận tình của thầy DươngNgọc Việt, cùng toàn thể thầy cô trong Khoa Công Nghệ Thông Tin trườngCao Đẳng Nghề Công Nghiệp Hà Nội
Trong suốt thời gian thực tập ngoài sự cố gắng của bản thân chúng em đãnhận được rất nhiều sự động viên, giúp đỡ, quan tâm từ phía thầy và các bạntrong quá trình thực hiện đề tài tốt nghiệp này
Cho đến hôm nay, khi bài báo cáo thực tập tốt nghiệp của chúng em đãhoàn thành cũng chính là nhờ sự nhắc nhở, đôn đốc, chỉ bảo tận tình của thầy
Mặc dù chúng em đã cố gắng hết sức để nghiên cứu và thự hiện đề tàinhưng do thời gian có hạn không thể tránh khỏi những thiếu sót.Chúng em rấtmong các thầy cô chỉ bảo thêm để chúng em có thể hiểu rõ hơn về đề tài củamình và cũng là để chúng em thêm hoàn thiện kiến thức
Một lần nữa chúng em xin chân thành cảm ơn các thầy cô Chúc các thầy
cô luôn luôn mạnh khỏe và thành công trong cuộc sống
Trang 4NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
Trang 5
MỤC LỤC
Chương 1: Mô hình mạng và các dịch vụ 7
I Mô hình mạng 7
1 Mô hình mạng ngang hàng (Peer to Peer) 7
2 Mô hình mạng khách chủ (Client/Server) 7
II Các dịch vụ mạng 8
1 Dịch vụ DHCP 8
1.1 Khái niệm DHCP 8
1.2 Hoạt động của DHCP 9
2 Dịch vụ DNS 10
2.1 Lịch sử hình thành của DNS 10
2.2 Mục đích của hệ thống DNS 10
2.3 Hoạt động của DNS 11
Chương 2: Active Directory, User và Group Account, Group Policy Object 12
I Active Directory (AD) 12
1 Giới thiệu về AD 12
2 Chức năng của AD 12
II User và Group Account 13
1 User Account 13
1.1 Khái niệm User 13
1.2 Tài khoản người dùng cục bộ 13
1.3 Tài khoản người dùng miền 14
1.4 Yêu cầu về tài khoản người dùng 14
2 Group Account 14
2.1 Khái niệm Group 14
Trang 62.2 Nhóm phân phối (Distribution Group) 15
2.3 Nhóm bảo mật (Security Group) 15
III Group Policy Object (GPO) 16
1 Giới thiệu về GPO 16
2 Các chức năng của GPO 16
3 Các chính sách của GPO 17
3.1 Chính sách tài khoản người dùng 17
3.1.1 Chính sách mật khẩu 18
3.1.2 Chính sách khóa tài khoản 19
3.2 Chính sách cục bộ 20
3.2.1 Chính sách kiểm toán 20
3.2.2 Quyền hệ thống của người dùng 21
3.2.3 Các lựa chọn bảo mật 25
4 Các Template trong GPO 25
Chương 3: Quản lý Users/Group với GPO 31
I Thiết kế chính sách GPO cho một mạng LAN mô hình Client/Server 31
1 Giới thiệu mạng LAN mô hình Client / Server 31
2 Giới thiệu các nhu cầu quản lý cho mô hình 32
3 Một vài GPO cơ bản cho nhu cầu quản lý 32
II Các bước triển khai 32
1 Cài đặt AD – DNS 32
2 Cấu hình DNS 39
3 Cài đặt và cấu hình DHCP 43
3.1 Cài đặt DHCP 43
3.2 Cấu hình DHCP 46
4 Tổ chức các OU và User 50
5 Tạo logon script 57
6 Kiểm toán các User 63
Trang 77 Deploy phần mềm cho tất cả các User 66
Chương 4: Kết luận 70
Trang 8Chương 1: Mô hình mạng và các dịch vụ mạng
I Mô hình mạng
1 Mô hình mạng ngang hàng (Peer to Peer)
Mạng ngang hàng cung cấp việc kết nối cơ bản giữa các máy tính nhưngkhông có bất kỳ một máy tính nào đóng vai trò phục vụ Một máy tính trênmạng có thể vừa là Client vừa là Server Trong môi trường này người dùngtrên từng máy tính chịu trách nhiệm điều hành và chia sẻ tài nguyên máy tínhcủa mình Mô hình này chỉ phù hợp với các tổ chức nhỏ, số người giới hạn(thông thường nhỏ hơn 10 người) và không quan tâm đến vấn đề bảo mật
Ưu điểm: Mô hình mạng ngang hàng đơn giản dễ cài đặt, tổ chức, quản trị
và chi phí thiết bị cho mô hình này thấp
Nhược điểm: Không cho phép quản lý dữ liệu tập trung nên dữ liệu bị
phân tán, khả năng bảo mật thấp rất dễ bị xâm nhập Các tài nguyên khôngđược sắp xếp nên rất khó định vị và tìm kiếm
Hình 1.1 Mô hình mạng ngang hàng
2 Mô hình mạng khách chủ (Client/Server)
Trong mô hình mạng khách chủ có một hệ thống máy tính cung cấp tàinguyên và dịch vụ cho cả hệ thống mạng sử dụng gọi là các máy chủ (Server)
Trang 9Một hệ thống máy tình sử dụng các tài nguyên và dịch vụ này được gọi là cácmáy khách (Client) Các Server thường có cấu hình mạnh (tốc độ xử lýnhanh, kích thước lưu trữ lớn) hoặc là các máy tính chuyên dụng.
Ưu điểm: Do các dữ liệu được lưu trữ tập trung nên dễ dàng bảo mật,
backup và đồng bộ với nhau Tài nguyên và dịch vụ tâp trung nên dễ dàngchia sẻ quản lý và có thể phục vụ cho nhiều người dùng
Nhược điểm: Các máy Server chuyên dụng rất đắt tiền, phải có nhà quản
ra giao thức DHCP (Dynamic Host Configuration Protocol)
Trang 10Để làm một DHCP Server, máy tính Windows Server phải đáp ứng cácđiều kiện sau:
- Đã cài dịch vụ DHCP
- Mỗi card mạng phải được cấu hình một địa chỉ IP tĩnh
- Đã chuẩn bị sẵn danh sách các địa chỉ IP cấp phát cho máy Client.Dịch vụ DHCP này cho phép chúng ta cấp động các thông số cấu hìnhmạng cho các máy trạm (Client) Cơ chế sử dụng các thông số mạng được cấpphát động có ưu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng như:
- Khắc phục được tình trạng trùng địa chỉ IP
- Giúp tiết kiệm số lượng địa chỉ IP thật
- Phù hợp với các máy thường xuyên di chuyển qua lại giữa các mạng
- Kết hợp được với hệ thống mạng không dây (wireless), hệ thốngmạng công cộng như: nhà ga, sân bay, trường học…
- Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu cònkhả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tinDHCPOFFER, đề nghị cho thuê một địa chỉ IP trong thời gian nhất định, kèmtheo là một subnet mask và một địa chỉ Server Server sẽ không cấp phát địachỉ IP vừa đề nghị cho những Client khác trong suốt quá trình thương thuyết
- Máy Client sẽ lựa chọn một trong các lời đề nghị (DHCPOFFER) vàgửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghi đó Điều nàycho phép các đề nghị không được chấp nhận sẽ được các Server rút lại và cấp
Trang 11- Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tinDHCPPACK như một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó
và thời hạn sử dụng đó sẽ chính thức được áp dụng Ngoài ra Server còn gửithêm thông tin các cấu hình bổ sung như: địa chỉ của gateway mặc định, địachỉ DNS Server, …
2 Dịch vụ DNS
2.1 Lịch sử hình thành của DNS
Vào những năm 1970 mạng ARPanet của bộ quốc phòng Mĩ rất nhỏ và dễdàng quản lý các liên kết vài trăm máy tính với nhau Do đó mạng chỉ cầnmột file HOSTS.TXT chứa tất cả các thông tin cần thiết về máy tính trongmạng và giúp máy tính chuyển đổi được thông tin địa chỉ và tên mạng cho tất
cả các máy tinh trong mạng ARPanet một cách dễ dàng Và đó là bước khởiđầu của hệ thống tên miền gọi tắt là DNS (Domain name system) Nhưng khimạng máy tính ARPanet ngày càng phát triển thì việc quản lý thông tin dựavào một file HOSTS.TXT là rất khó khăn vì không khả thi Vì thông tin sửađổi và bổ sung vào file HOSTS.TXT ngày càng nhiều và nhất là khi ARPanetphát triển hệ thống máy tính dựa trên giao thức TCP/IP dẫn đến sự phát triểntăng vọt của mạng máy tính:
- Lưu lượng và trao đổi trên mạng tăng lên
- Tên miền trên mạng và địa chỉ ngày càng nhiều
- Mật độ máy tính ngày càng cao do đó đảm bảo phát triển ngày càngkhó khăn
2.2 Mục đích của hệ thống DNS
Máy tính khi kết nối vào mạng Internet thì được gán cho một địa chỉ IPxác định Địa chỉ IP của mỗi máy là duy nhất và có thể giúp máy tính xácđịnh được đường đi đến một máy tính khác một cách dễ dàng Nhưng đối vớingười thì sử dụng địa chỉ IP là rất khó nhớ Do vậy hệ thống DNS ra đời
Trang 12tính sử dụng sang một tên dễ nhớ cho người sử dụng và đồng thời nó giúp cho
hệ thống Internet dễ dàng sử dụng và ngày càng phát triển
Hệ thống DNS sử dụng hệ thống cơ sở dữ liệu phân tán và phân cấp hìnhcây do đó việc quản lý sẽ dễ dàng và cũng thuận tiện cho việc chuyển đổi từtên miền sang địa chỉ IP và ngược lại
Tóm lại mục đích của hệ thống DNS là chuyển đổi tên miền sang địa chỉ
IP và ngược lại giúp người dùng dễ dàng sử dụng hệ thống máy tính
2.3 Hoạt động của DNS
Khi DNS Client cần xác định cho một tên miền nó sẽ truy vấn DNS.Truy vấn DNS và trả lời của hệ thống DNS cho Client sử dụng thử thục UDPcổng 53, UDP hoạt động ở mức thứ 3 (network) trong mô hình OSI, UDP làthủ tục phi kết nối (connectionless), tương tự như dịch vụ gửi thư bình thườngbạn cho thư vào thùng thư và hy vọng có thể chuyển đến nơi bạn cần gửi tới.Mỗi message truy vấn gửi đi từ Client gồm 3 phần thông tin:
- Tên của miền truy vấn
- Xác định loại bản ghi Mail, web…
- Lớp tên miền
Có một số giải pháp để trả lời các truy vấn DNS Client có thể tự trả lờibằng cách sử dụng các thông tin đã được lưu trữ trong bộ nhớ cache của nó từnhững truy vấn trước đó DNS Server có thể sử dụng các thông tin được lưutrữ trong cache của nó để trả lời hoặc DNS Server có thể hỏi một DNS Serverkhác lấy thông tin đó để trả lời lại Client
Chương 2: Active Directory, User và Group Account,
Group Policy Object
Trang 13I Active Directory (AD)
1 Giới thiệu về Active Directory
Active Directory là một dịch vụ thư mục được tạo ra bởi hãng Microsoft vàđược giới thiệu năm 1999 Nó được so sánh với LAN Manager trên Windows
2 Chức năng của Active Directorry
Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩutương ứng và các tài khoản máy tính
Cung cấp một Server đóng vai trò chứng thực(Authentication Server) hoặcServer quản lý đăng nhập(Logon Server), Server này còn được gọi là máyđiều kiển vùng(Domain Controller)
Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục giúp các máy tínhtrong mạng có thể dò tìm nhanh một tài nguyên nào đó trong các máy tínhkhác trong vùng
Cho phép chúng ta tạo ra các tài khoản người dùng với các mức độ quyềnkhác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệuhay Shutdown Server từ xa…
Cho phép chúng ta chia nhỏ miền của mình ra thành nhiều miềncon(subdomain) hay các đơn vị tổ chức OU(Organizational Unit) Sau đóchúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phậnnhỏ
II User và Group Account
Trang 141.1 Khái niệm User Account
Tài khoản người dùng (User Account) là một đối tượng quan trọng, đạidiện cho người dùng trên mạng, chúng được phân biệt với nhau thông quachuỗi nhân dạng username Chuỗi nhận dạng này giúp hệ thống phân biệtgiữa người này và người khác trên mạng từ đó người dùng có thể đăng nhậpvào mạng và truy cập các tài nguyên mạng mà mình được phép
1.2 Tài khoản người dùng cục bộ
Tài khoản người dùng cục bộ (Local User Account) là tài khoản ngườidùng được định nghĩa trên các máy cục bộ và chỉ được phép logon truy cậptrên các máy cục bộ, không thể dùng để truy cập bất kỳ máy nào khác trongmạng
Hình 2.3 Tài khoản người dùng cục bộ
1.3 Tài khoản người dùng miền
Tài khoản người dùng miền (Domain User Account) là tài khoản ngườidùng được tạo ra trên Active Directory và được phép đăng nhập vào bất kỳ
Trang 15máy trạm nào trong miền Đồng thời với tài khoản này người dùng có thể truycập đến các tài nguyên trên mạng.
Hình 2.4 Tài khoản người dùng miền
1.4 Yêu cầu về tài khoản người dùng
Mỗi Username tối thiểu là 1 ký tự và tối đa là 256 ký tự
Mỗi Username là một chuỗi duy nhất của mỗi người dùng có nghĩa là tất
cả tên người dùng và nhóm không thể trùng nhau
Username không chứa các ký tự: \ / * [ ] : | < > + = ; , ? * @
2 Group Account
2.1 Khái niệm Group Account
Tài khoản nhóm (Group Account) là một đối tượng đại diện cho mộtnhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng.Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trêncác tài nguyên mạng như thư mục chia sẻ, máy in … Chú ý là tài khoản ngườidùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phépđăng nhập mà chỉ dùng để quản lý Tài khoản nhóm được chia làm hai loại:nhóm bảo mật (Security Group) và nhóm phân phối (Distribution Group)
Trang 162.2 Nhóm bảo mật (Security Group)
Nhóm bảo mật dùng để cấp phát các quyền hệ thống (rights) và quyềntruy cập (Permission) Giống như các tài khoản người dùng, các nhóm bảomật đều được chỉ định các SID Có ba loại nhóm bảo mật chính là: LocalGroup, Global Group và Universal Group
- Local Group (nhóm cục bộ) là loại nhóm có trên các máy alone server, member server, Win2k Pro hay Win XP Các nhóm cuc bộ nàychỉ có chỉ có ý nghĩa và phạm vi hoạt động ngay trên máy chứa nó
stand Global Group (nhóm toàn cục hay nhóm toàn mạng) là loại nhómnằm trong Active Directory và được tạo trên các Domain Controller Chúngdùng để cấp phát các quyền hệ thống và quyền truy cập vượt qua ranh giớicủa một miền Một nhóm Global có thể đặt vào trong một nhóm Local của cácServer thành viên trong miền
- Universal Group (nhóm phổ quát) là loại nhóm có chức năng giốngGlobal Group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp miền
và giữa các miền có quan hệ tin cậy với nhau Loiaj nhóm này tiện lợi hơn hainhóm Local Group và Global Group vì chúng dễ dàng lồng các nhóm vàonhau
2.3 Nhóm phân phối (Distribution Group)
Nhóm phân phối chỉ dùng để gửi mail, Distribution Group không chophép bảo mật, có nghĩa là họ không được liệt kê trong danh sách kiểm soáttruy cập để xác định quyền tài nguyên và đối tượng
III Group Policy Object (GPO)
1 Giới thiệu về GPO
GPO(Group Policy Object) là tập các thiết lập cấu hình cho computer vàuser Xác định cách thức để các chương trình, tài nguyên mạng và hệ điềuhành làm việc với người dùng và máy tính trong một tổ chức
Trang 17GPO chỉ áp dụng được với những máy sử dụng hệ điều hành Windows
2000, Windows XP, Windows Vista, Windows 7, Windows 8, WindowsServer 2003, Windows Server 2008
GPO có hiệu lực khi máy trạm được gia nhập AD(Active Drectory), lúcmáy trạm đăng nhập và vào những thời điểm ngẫu nhiên khác
GPO tự động mất tác dụng với máy trạm khi chúng được xóa bỏ khỏi miềnAD
Người quản trị mạng có được nhiều mức độ quản lý tinh vi hơn đối với vấn
đề ai được hay không được làm gì đó
2 Các chức năng của GPO
Triển khai phần mềm ứng dụng: ta có thể gom tất cả các tập tin cần thiết
để cài đặt một phần mềm nào đó vào trong một gói, đặt nó lên Server rồi dùngchính sách nhóm hướng một hay nhiều máy trạm đến gói phần mềm đó Hệthống sẽ tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cần
sự can thiệp của người dùng
Gán các quyền hệ thống cho người dùng: chức năng này tương tự với
chức năng của chính sách của hệ thống Nó có thể cấp cho một hoặc mộtnhóm người nào đó có quyền tắt mayshay backup dữ liệu…
Giới hạn nhưng ứng dụng mà người dùng được phép thi hành: chúng
ta có thể kiểm soát máy trạm của một người dùng nào đó và cho phép ngườidùng này chỉ chạy được một vài ứng dụng nào đó như: Outlook Express,Microsoft Word hay Internet Explorer…
Kiểm soát các thiết lập hệ thống: ta có thể dùng chính sách nhóm để qui
định hạn ngạch đĩa cho một người dùng nào đó Người dùng này chỉ đượcphép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định
Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động, tắt máy: trong
hệ thống NT4 chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng từ
Trang 18Windows 2000 trở lên thì đã hỗ trợ cả 4 kịch bản sự kiện này và có thể sửdụng GPO để kiểm soát chúng.
Đơn giản hóa và hạn chế các chương trình: ta có thể dùng GPO để gỡ bỏ
nhiều tính năng Internet Explorer, Windows Explorer và những chương trình
khác
Hạn chế tổng quát màn hình Desktop của người dùng: Ta có thể gỡi bỏ
hầu hết các đề mục trong menu Start của một người dùng nào đó, ngăn chặn
không cho người dùng cài thêm máy in hay sủa đổi thống số cấu hình máytrạm…
3 Các chính sách của GPO
3.1 Chính sách tài khoản người dùng
Chính sách tài khoản người dung (Account Policies) được dùng để chỉđịnh các thông số về tài khoản người dùng Nó cho phép cấu hình các thông
số bảo mật máy tính cho mật khẩu, khóa tài khản và chứng thực (KerberosPolicy) trong vùng Nếu trên Server thành viên thi sẽ chỉ thấy hai mục
Password Policy và Account Lockout Policy, trên máy Window Server làm
Domain Controller thì sẽ thấy ba mục đó là Password Policy, AccountLockout Policy, Kerberos Policy Muốn cấu hình chính sách tài khoản ngườidùng ta vào Start / Programs / Administrative Tools / Local Security Policy
Trang 20Hình 2.6 Các lựa chon trong Password Policy
3.1.2 Chính sách khóa tài khoản
Chính sách khóa tài khoản (Account Lockout Policy) quy định cáchthức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ.Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa
Các thông số cấu hình trong chính sách khóa tài khoản:
Hình 2.7 Các lựa chon trong Account Lockout Polic
Trang 213.2 Chính sách cục bộ
Chính sách cục bộ (Local Policies) cho phép thiết lập các chính sáchgiám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung.Đồng thời dựa vào công cụ này ta có thể cấp quyền hệ thống các người dùng
và thiết lập các lựa chọn bảo mật
Hình 2.8 Local Policies
3.2.1 Chính sách kiểm toán
Chính sách kiểm toán (Adit Policy) giúp ta có thể giám sát và ghinhận các sự kiện xảy ra trong hệ thống, trên đối tượng cũng như các ngườidùng Bạn có thể xem các ghi nhận này thông qua mục Event View trong mụcSecurity
Các lựa chọn trong chính sách kiểm toán:
Trang 22Hình 2.9 Các lựa chọn trong Audit Policy
3.2.2 Quyền hệ thống của người dùng
Có hai cách để cấp quyền hệ thống cho người dùng là gia nhập tàikhoản người dùng vào các nhóm tạo sẵn để kế thừa quyền hoặc sử dụng công
cụ User Rights Assignment để gán từng quyền cho người dùng Cách thứ nhấtchỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn thì có thể gán quyền chongười dùng theo yêu cầu Để cấp quyền hệ thống theo cách thứ hai thì bạnphải dùng công cụ Local Security Policy chọn mục User Rights Assignment Một vài quyền hệ thống thông dụng cấp cho người dùng và nhóm:
Trang 23Hình 2.10 User Rights Assignment(1)
Trang 24Hình 2.11 User Rights Assignment(2)
Trang 25Hình 2.12 User Rights Assignment(3)
Trang 263.2.3 Các lựa chon bảo mật
Các lựa chọn bảo mật (Security Options) cho phép người quản trịServer khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như:không cho phép hiển thị người dùng đã logon trước đó hay đổi tên ngườidùng tạo sẵn Một số lựa chọn bảo mật thông dụng:
Hình 2.15 Security Options
4 Các Templates trong GPO
Microsoft Windows Server 2008 cung cấp cho chúng ta một số mẫu bảomật giúp tăng cường mức độ an toàn trong mạng máy tính lên Những mẫubảo mật này có thể giúp chúng ta chỉnh sửa để phù hợp với nhu cầu sử dụng
Cũng như phiên bản Windows Server trước Administrative Templates cũng
có các mục như: Control Panel, Network … cùng cách tùy chọn bảo mật sẵn
có trong cả Computer Configuration và User Configuration
Trang 27Phiên bản Windows Server 2008 được trang bị chức năng Filtering màphiên bản Windows Server 2003 trước đó không có trong mục AdministrativeTemplates Chức năng này giúp người quản trị dễ dàng hơn trong việc tìmkiếm và lựa chọn các chính sách phù hợp trong quản lý.
Hình 2.16 Chức năng Filter OptionsHộp thoại Filter Options được chia làm ba phần: Select the type of policysetting to display, Keyword Filter, Requirements Filters
Trang 28Hình 2.17 Hộp thoại Filter Options
Phần thứ nhất gồm ba mục: Managed, Configured, Comment
-Mục thứ nhất có ba lựa chọn trong chính sách Managed Mặc định chọn
“Yes” xem các chính sách của Managed, “No” không xem bất kỳ chính sáchnào của Managed hoặc “Any” cả các chính sách Managed và un-Managed
Hình 2.18 Lọc bằng Managed
Trang 29- Mục thứ hai có thể chọn để hiển thị các chính sách đã được cấu hìnhConfigured Mặc định chọn “Any” xem các chính sách cả cấu hình và chưacấu hình, “Yes” xem các chính sách đã được cấu hình, “No” xem các chinhsách chưa được cấu hình.
Hình 2.19 Lọc bằng Configured
- Mục thứ ba cho phép hiển thị các chính sách đã được ghi chúCommented Mặc định chọn “Any” tất cả các chính sách có comment vàkhông được comment, “Yes” chỉ những chính sách được comment, “No”những chính sách không được comment
Trang 30Hình 2.21 Keyword Filter
Cuối cùng chọn các thiết lập ở hộp bên phải với các lựa chọn:
- “All” Hiển thị tất cả các từ trong trường tìm kiếm ở tiêu đề thiết lậpchính sách, văn bản giải thich và ghi chú
- “Any” Bất kỳ từ nào đã gõ trong trường Filter for word(s)
- “Exact” Hiển thị chính xác các từ đã gõ vào
Phần thứ ba Requirements Filters, kích vào Enable Requirements Filters đểthiết lập các bộ lọc Chọn một trong hai lựa chọn:
- “Include settings that math all of the selected platforms” gồm các thiếtlập tương ứng với tất cả các nền tảng đã chọn
- “Include settings that math any of the selected platforms” gồm các thiếtlập tương ứng với bất kỳ nền tảng nào đã chọn
Hình 2.22 Requirments Filters
Trang 31Chương 3: Quản lý User / Group với GPO
I Thiết kế chính sách GPO cho một mạng LAN mô hình Client / Server
1 Giới thiệu mạng LAN mô hình Client / Server
Mô hình trong một công ty vừa và nhỏ gồm có:
- Một máy chủ Server chạy Windows Server 2008
- Một máy in
- Một đường ADSL
Trang 32- Các phòng ban trong một công ty như: Phòng Giám đốc, Phòng Kếtoán, Phòng IT…
Mô hình:
Hình 3.23 Mô hình công ty vừa và nhỏ
2 Giới thiệu các nhu cầu quản lý cho mô hình
Quản lý các tài khoản User
Tự động cấp phát địa chỉ IP cho máy trạm
3 Một vài GPO cơ bản cho nhu cầu quản lý
Tự động ánh xạ ổ đĩa và máy in cho Client
Ẩn Control Panel
Kiểm toán Users
Triển khai phần mềm cho Users
Trang 33II Các bước triển khai
1 Cài đặt AD - DNS
Chọn Start / Run
Hộp thoại Run hiện lên: Gõ lệnh DCPROMO / OK
Hình 3.24 Hộp thoại Run
Chờ hệ thống thực hiện các bước khởi tạo
Hộp thoại Welcome to the Active Directory Domain Services InstallationWizard xuất hiện chọn Next
Trang 34Hình 3.25 Active Directory Domain Services Installtion Wizard
Hộp thoại Choose a Deployment Configuration xuất hiện đánh dấu vào tùychọn Create anew domain in a new forest / Next
Trang 35Hình 3.26 Choose a Deployment ConfigurationNhập tên Domain trong hộp thoại Name the Forest Root Domain / Next.