 Restricted Group: Các sách hạn chế nhóm sử dụng để quản lý thành viên nhóm tạo sẵn nhóm domain Các nhóm tạo sẵn administrators, Power Users domain admins Chúng ta bổ sung nhóm khác đến nhóm restricted, song song với thành viên chi tiết chúng Để làm thế, cho phép theo dõi quản lý nhóm phần sách an tồn Nhóm restricted quản lý thành viên nhóm tạo sẵn thành viên nhóm Cột members Of tab Properties nhóm, danh sách tất nhóm để nhóm thành viên  System Services: Chúng ta sử dụng dịch vụ nhóm hệ thống việc thiết lập đến thiết lập cấu hình an toàn khởi động dịch vụ hoạt động máy tính Các dịch vụ khác cấu hình như:  Dịch vụ mạng  Dịch vụ File Print  Dịch vụ Telephony Fax  Dịch vụ Internet / Intranet 4.6 Triển khai thiết lập sách nhóm Để hiểu rõ sách nhóm cách thiết lập sách nhóm, em xét ví dụ u cầu thiết lập sách nhóm doanh nghiệp sau: Cơng ty TNHH máy tính CMS có phòng ban Phòng Giám Đốc, Phòng Kinh Doanh, Phòng Bảo Hành Phòng Kế Tốn Trong đó, ban giám đốc cơng ty yêu cầu sau:  Phòng giám đốc: Các User Phòng giám tồn quyền domain,  Phòng Kế Tốn: Các user thuộc phòng Kế Tốn có yêu cầu sau: Mật phải kí tự, thời gian thay đổi mật 30 ngày, người dùng đăng nhập sai lần bị khoá account, thời gian khoá phút, user khơng phải ấn tổ hợp phím Ctrl+Alt+Del đăng  Phòng Kinh Doanh: Các user phòng kinh doanh có yêu cầu sau: Không cho phép user client truy cập vào ổ chứa hệ điều hành (ổ C), khơng cài đặt BÀI trình, khơng truy cập vào registry, không truy cập Control panel máy client, ẩn cửa sổ run máy client không cho thay đổi trang home page http://www.cmscomputer.com  Phòng Bảo Hành: Các user phòng bảo hành có u cầu sau: Mật ngồi việc từ kí tự trở lên phải mật khó, tức phải có thêm kí tự khác chữ số *, !, ~, @, #, %, (, ) Cho phép user nhóm tắt máy từ xa, khơng cho phép thay đổi thuộc tính LAN không cho phép Auto play tất loại ổ đĩa kể ổ đĩa USB Để thiết lập sách với yêu cầu em làm sau: Trước hết tạo OU tương ứng với phòng ban cơng ty, mở cửa sổ Active Directory User and Computer, chuột phải vào tên domain chọn New chọn Oganizational Unit, đánh tên OU tương ứng với tên phòng ban để tạo OU, phòng ban OU Sau tạo User Group OU Mỗi phòng ban có người tạo tương ứng User tạo Group có tên phòng ban Sau tạo User Group xong add User OU vào group vừa tạo để tiện cho việc gán quyền sau Các thiết đặt sách nhóm cho phòng ban sau:  Phòng Giám Đốc: Do sách nhóm có tính thừa kế thiết đặt bên có mức ưu tiên bên ngồi nên khơng thiết đặt cho OU Phòng giám đốc mà tạo user cho phòng tạo GPO cho phòng Mặc định thiết đặt domain áp xuống phòng giám đốc thừa hưởng quyền từ domain, tức có quyền Admin Và mục Member Of add nhóm quản trị vào user phòng  Phòng Kế Tốn: Chuột phải vào OU phòng kế toán chọn properties, chọn tab Group Policy, click New, đặt tên cho GPO click Edit Do yêu cầu thiết đặt sách nhóm Computer nên thiết đặt sách nhóm sau: oMật kí tự: chọn đến Computer Configuration\ Windows setting\ Sercurity Setting\ Account policies\ Password policy, cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp cho giá trị oThời gian thay đổi mật 30 ngày: Cũng với đường dẫn trên, cửa sổ bên phải chọn dòng chư: Maximum password age, click đúp cho giá trị 30 oNgười dùng đăng nhập sai lần bị khoá account: chọn đến Computer Configuration\ Windows setting\ Sercurity Setting\ Account policies\ Account lokout policy, cửa sổ bên phải chọn dòng chữ: Account lonkout threshold, click đúp cho giá trị oThời gian khoá phút: Với đường dẫn trên, cửa sổ bên phải chọn đế dòng chữ: Account lockout duration, click đúp cho giá trị oKhông ấn Ctrl+Alt+Del đăng nhập: Tìm đến đường dẫn Computer configuration\ Windows Setting\ Sercurity setting\ Local policy\ Sercurity Option: Ở cửa sổ bên phải chọn đến dòng chữ: Interactive logon: Do not require Ctrl+Alt+Del, click đúp chọn Enable oThông báo Quản trị mạng hệ thống tới User: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Security setting\ Local policy\ Security Option Tại cửa sổ bên phải tìm đến dòng chữ Messenger text for users attemping to logon, click đúp đánh vào thông báo quản trị mạng nói Tiếp theo xuống dòng Messenger title đánh vào tiêu đề thông báo quản trị mạng  Phòng Kinh Doanh: Chuột phải vào OU phòng Kinh Doanh chọn properties, chọn tab Group Policy, click New đánh tên cho GPO phòng click Edit o Không cho phép User truy cập vào ổ C: Tìm đến đường dẫn User Configuration\ Administrative Templates\ Windows Components\ Windows Exploprer, cửa sổ bên phải chọn dòng chữ: Prevent access to drivers from My Computer, click đúp chọn enable chọn ổ đĩa C o Không cài đặt phần mềm: Tìm đến đường dẫn Computer Configuration\ Administrative Templates\ Windows Components\ Windows Installer, cửa sổ bên phải chọn dòng là: Disable windows installer, click đúp chọn enable o Không truy cập vào Registry editor: Tìm đến đường dẫn User Configuration\ Administrative Templates\ Windows Components\ System, cửa sổ bên phải chọn dòng chữ: Prevent access to registry editing tools, click đúp chọn enable o Không truy cập Control Panel máy client: Tìm đến đường dẫn User configuration\ Administrative templates\ Control panel, cửa sổ bên phải tìm đến dòng chữ: Prohibit access to the Control Panel, click đúp chọn enable o Ẩn cửa sổ Run client: Tìm đến đường dẫn User configuration\ Administrative templates\ Start menu and Taskbar, cửa sổ bên phải tìm đến dòng chữ: Remove Run menu from start menu, click đúp chọn enable o Không cho thay đổi trang chủ http://www.cms-conputer.com: Trước tiên ta đặt trang chủ với địa trên, tìm đến đường dẫn: User configuration\ Windows settings\ Internet Explorer Maintenance\ URLs, cửa sổ bên phải click đúp vào dòng: Important URLs, đánh dấu tích vào Customize Home page URL đánh vào ô địa URL địa http://www.cmscomputer.com ấn OK Sau tìm đến đường dẫn: User configuration\ Administrative templates\ Windows Components\ Internet Explorer, cửa sổ bên phải chọn đến dòng chữ: Disable chaning home page settings, click đúp chọn enable  Phòng Bảo Hành: Chuột phải vào OU phòng bảo hành chọn properties, chọn tab Group Policy, click New đánh tên cho GPO phòng Bảo hành click Edit o Mật kí tự phải khó: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Sercurity setting\ Password policy, cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp cho vào giá trị 8, chọn đến dòng chữ: Password must meet complexity requirements, click đúp chọ enable o Cho phép User tắt máy từ xa: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Sercutity setting\ Local Policy\ User Rights Assignment, cửa sổ bên phải tìm đến dòng chữ: Force shutdown from a remote system, click đúp đánh vào User hay Group phòng o Khơng cho phép thay đổi thuộc tính LAN: Tìm đến đường dẫn User Configuration\ Administrative templates\ Network\ Network Connections, cửa sổ bên phải tìm đến dòng chữ: Prohibit access to properties of LAN connection, click đúp chọn enable o Không cho Auto play tất ổ đĩa: Tìm đến đường dẫn Computer Configuration\ Administrative templates\ System, cửa sổ bên phải chọn dòng chữ: Turn off Autoplay, click đúp chọn enable chọn All driver Sau thiết lập sách nhóm cho OU xong, để việc thay đổi có hiệu lực phải khởi động lại máy chủ, khơng cần khởi động lại máy chủ, cửa sổ run ta đánh lệnh gpupdate /force, lệnh làm tươi lại Group Policy cập nhật thiết đặt mà vừa thiết đặt Group Policy 5.0 Software Installation Servies – Dịch vụ triển khai phần mềm 5.1 Mục đích Software Installation Service sử dụng Group Policy (chính sách nhóm) để triển khai gói phần mềm tự động từ xa theo yêu cầu mạng LAN để giảm tải cho Server Không giống cài phần mềm trực tiếp máy trạm, sử dụng software installation servies có hai chế độ Public: Phần mềm hiển thị danh mục Add New Programs thành phần Add or Remove Programs Người dùng máy client muốn cài đặt phải ấn vào nút Add program BÀI trình thực cài đặt Khi BÀI trình thực việc cài đặt phầm mềm tự động hồn thành Người dùng khơng thể remove BÀI trình phần mềm Assign: Phần mềm xuất danh mục Program Start, người dùng chạy shortcut phần mềm cài đặt Người dùng khơng cài gói phần mềm remove shortcut 5.2 Phương pháp triển khai Đa số phần mềm Microsoft hãng khác cung cấp dạng file *.exe *.msi Software installation servies triển khai gói phần mềm dạng file *.msi *.zap Đối với phần mềm có dạng *.msi q trình triển khai đơn giản hỗ trợ Nếu phần mềm khơng có dạng *.msi mà dạng *.exe phải chuyển file sang dạng *.zap, dạng file mà BÀI trình triển khai phần mềm cho phép Khi triển khai gói phần mềm cần share thư mục chứa file cho nhóm Everyone quyền read Phương pháp chuyển file *.exe sang dạng file *.zap: Mở notepad viết vào đoạn mã chuyển sau: [Application] Friendlyname = “Tên gói phần mềm” Setup command = \\\\file exe Sau save lại với tên file zap Phương pháp triển khai server Software Installation Services áp dụng triển khai cho tồn domain số OU Computer mạng Ví dụ triển khai gói phần mềm Microsoft Office 2003 dạng Public cho OU Phòng Kế Tốn để User OU cài đặt Office 2003, bước thực sau: Trên server tìm đến thư mục Office 2003 chia sẻ thư mục cho nhóm Everyone có quyền read Mở cửa sổ Active Directory User and Computer, chuột phải OU phòng Kế Tốn chọn Properties, chọn tab Group Policy, click vào Edit Tại cửa sổ Group Policy Object Editor tìm đến đường dẫn User Configuration\Software Setting\Software Installation chuột phải chọ New package Tiếp theo cửa sổ mở cho chọn đến thư mục chứa phần mềm cần triển khai Nếu phần mềm dạng *.msi cần chọn đến thư mục chọn file setup Nếu khơng phải *.msi chuyển sang dạng *.zap chọn đường dẫn tới file *.zap Tiếp theo cửa sổ Deploy software mở cho phép chọn chế độ hiển thị phần mềm máy client Ở có dạng hiển thị Public, Assign Advanced, yêu cầu chọn Public để người OU cài phần mềm Add New Program Sau click Ok phần mềm hiển thị cửa sổ bên phải mục Software Installation Như triển khai xong gói phần mềm Office 2003 Server Trên client người dùng muốn cài đặt phần mềm vào Control Panel\Add or Remove Program\Add New Program, click vào nút Add để cài đặt phần mềm VII - QUYỀN TRUY CẬP NTFS – NTFS ACCESS PERMISSION Giới thiệu NTFS Để tăng tốc độ truy xuất, tăng độ tin cậy khả tương thích windows 2003 đưa sử dụng hệ thống file NTFS (New Technology File System) mới, NTFS 5.0 Nó cho phép thuận lợi Active Directory, tính lưu trữ việc quản lý phần mềm cung cấp Windows 2003 Những file Server máy tính đời cần bổ xung thêm tính an tồn việc điều khiển truy xuất liệu, điều tích hợp NTFS 5.0 NTFS chứa tính tính khơi phục (recoverability) tính nén file (compression) Các folder file lẻ partition NTFS nén Những file nén partition NTFS truy xuất ứng dụng windows 2003 mà khơng phải giải nén Với NTFS 5.0 tốc độ truy xuất file cải tiến số lần truy xuất đĩa(để tìm file) giảm bớt Chúng ta thiết lập mức độ quyền (permission) truy cập (access) file folder cho cấp độ người sử dụng khác Các cấp quyền giống áp dụng cho tất sử dụng máy tính cục người sử dụng truy xuất vào mạng Các Quyền Của NTFS NTFS thiết lập quyền để chấp nhận (allowing) hay từ chối (denying) truy xuất cho người sử dụng hay cho nhóm người sử dụng Quyền cung cấp để đảm bảo việc bảo mật tài nguyên Người quản trị mạng người sử dụng định rõ kiểu truy xuất mà người sử dụng nhóm sử dụng file cụ thể Quyền NTFS cấp hai đối tượng Folder File  Quyền Folder NTFS: quyền Folder gán quyền truy cập đến file folder chứa Những quyền chuẩn NTFS folder sau: o Read - Đọc: Sẽ cho người sử dụng thấy file subfolder Các thuộc tính folder, người sở hữu quyền nhìn thấy o Write – Ghi: Sẽ quyền người sử dụng tạo file subfolder Các thuộc tính thay đổi quyền sở hữu quyền folder nhìn thấy o List Folder contens - Hiển thị nội dung folder: Sẽ cho phép người sử dụng thấy subfolder tên file folder o Read & Execute - Đọc thực hiện: Sẽ cho phép người duyệt qua folder Nó hỗ trợ quyền read list folder contens o Modify - Sửa đổi: Sẽ cho phép người sử dụng xoá folder hỗ trợ quyền Write, read Execute o Full Control – Toàn quyền điều khiển: Sẽ cho phép người sử dụng thay đổi quyền, quyền sở hữu, xoá file subfolder hộ trợ tất quyền folder NTFS Khi định dạng partition với hệ thống file NTFS, Windows 2003 mặc định quyền Full control đến nhóm Everyone Vì để hạn chế việc truy xuất Administrator phải chủ động thay đổi quyền  Quyền File NTFS: Những quyền chuẩn file NTFS thể sau: o Read - Đọc: Sẽ cho phép người sử dụng thấy file, đọc nội dung file Các thuộc tính file, quyền sở hữu chúng quyền nhìn thấy o Write – Ghi: Sẽ cho phép người sử dụng ghi đè file Những thuộc tính file thay đổi quyền sở hữu file quyền nhìn thấy o Read & Execute: Sẽ cho phép người sử dụng duyệt qua file Nó hỗ trợ quyền read hiển thị nội dung file o Modify - Sửa, thay đổi: Sẽ cho phép người sử dụng xoá file hỗ trợ cho phép write, read, execute o Full control – toàn quyền điều khiển: Sẽ cho phép người sử dụng thay đổi quyền, giữ quyền sở hữu, hỗ trợ tất quyền file NTFS 2.1 Ứng dụng NTFS permission Khi quyền truy cập cung cấp cho User Group folder, User hay group truy cấp đến file subfolder bên Quyền mang tính thừa kế Có thể có nhiều quyền gán cho người sử dụng NTFS có nguyên tắc độ ưu tiên riêng đa quyền 2.2 Quyền bội NTFS Những quyền bội cung cấp đến nhiều người sử dụng cho quyền đến tài khoản riêng người sử dụng quyền khác đến nhóm sử dụng, mà người sử dụng thuộc nhóm Những quyền có hiệu lực người sử dụng trường hợp kết hợp hai quyền cung cấp cho người sử dụng Một ví dụ chẳng hạn trường hợp người sử dụng có quyền đọc đến folder thuộc quyền sở hữu nhóm, có quyền ghi đến folder vậy, sau người sử dụng có quyền đọc ghi đến folder Những quyền file NTFS ln có quyền ưu tiên cao quyền folder NTFS Trong trường hợp người sử dụng cho phép thay đổi file cho phép đọc folder chứa file, người sử dụng tạo thay đổi file Đặc biệt file folder từ chối truy xuất việc cấp quyền deny đến tài khoản nhóm tài khoản người sử dụng Quyền deny khoá tất file group Do đó, quyền deny nên áp dụng cách cẩn thận Windows 2003 phân biệt người sử dụng khơng có quyền truy xuất khơng cho phép truy xuất người sử dụng Người quản trị chọn cách dễ dàng khơng cho phép người sử dụng truy xuất đến file folder 2.3 Sự kế thừa NTFS permission Việc gán quyền đến folder kế thừa truyền đến file subfolder bên Chúng ta ngăn cản tính kế thừa điều cần thiết cho quyền khác tạo cho file nằm bên folder Để kết thúc tính kế thừa này, huỷ bỏ quyền kế thừa giữ lại quyền rõ ràng gán 2.4 Sao chép di chuyển file folder Khi di chuyển hay chép file folder quyền thay đổi phụ thuộc vào việc file folder di chuyển chép đến đâu Do đó, trở nên quan trọng để hiểu thay đổi quyền file folder di chuyển hay chép Sự thay đổi quyền việc chép di chuyển File hay Folder:  Khi file hay folder chép di chuyển phạm vi partition NTFS, file folder giữ lại quyền  Khi file folder chép di chuyển nhiều partition NTFS, file folder thừa hưởng quyền cho phép folder đích  Khi file folder chép di chuyển đến volume FAT16 FAT32 tất quyền cho phép NFTS bị mất, volume FAT16 FAT32 không hỗ trợ cho quyền NTFS Quyền modify yêu cầu việc di chuyển file folder Windows 2003 xố file folder từ nguồn chép sang đích 2.5 Gán quyền NTFS Chúng ta gán quyền NTFS từ hộp thoại properties, hộp xuất nhấp chuột phải đến file folder thay đổi quyền người sử dụng nhóm cách chọn người sử dụng nhóm Nhấp chuột phải vào file folder chọn properties Trong cửa sổ properties chọn tab Security mục có thành phần sau:  User and Group Name: Nó cho phép chọn tài khoản người sử dụng nhóm mà chúng muốn thay đổi quyền  Permission: o Nó chấp nhận cho phép hộp thoại allow chọn o Nó khơng cho phép hộp thoại deny chọn  Add: Nó mở hộp thoại Select User, Computer Group trình bày trên, mà sử dụng để add tài khoản người sử dụng nhóm vào danh sách name  Remove: Nó xố nhóm tài khoản người sử dụng theo với quyền nhóm tài khoản người sử dụng  Advanced: Các thiết lập quyền nâng cao bỏ thừa kế, thêm quyền, bớt quyền thẩm định quyền cướp quyền 2.6 Thiết lập quyền thừa kế Tính kế thừa giúp đơn giản hố việc gán quyền đến tài nguyên mạng Có quyền thừa kế không mong muốn Sự kế thừa có hiệu lực mục Allow inheritable permission from parent to propagate to this object chọn Mục có sẵn mục Advanced tab Sercury cửa sổ properties file folder Khi gán quyền cho folder hay file, để thư mục thừa kế quyền từ thư mục trước chọn tích vào mục Allow trên, muốn bỏ quyền thừa kế bỏ chọn mục Allow 2.7 Những quyền truy xuất đặc biệt NTFS Trong số trường hợp cần đến số quyền truy xuất đặc biêt, mà điều khơng thể có quyền chuẩn NTFS Vì thế, cung cấp mục NTFS special access permission Những quyền truy xuất đặc biệt cung cấp cho với mức độ cao điều khiển truy xuất đến nguồn tài nguyên Khi kết hợp 13 quyền truy xuất đặc biệt có quyền cho phép chuẩn Hai quyền cho phép đặc biệt quyền quản lý truy xuất file folder sử dụng là: Change permission Take Ownership  Change Permission: Chúng ta gán cho người quản trị người sử dụng khác để họ thay đổi quyền cách thuận lợi file folder Người quản trị người sử dụng gán quyền cấp quyền khơng thể xoá ghi lên file folder  Take Ownership: Việc chuyển quyền sở hữu folder file từ nhóm đến nhóm khác Trong thời gian cho quyền Nếu người quản trị quyền sở hữu file folder Có số nguyên tắc, mà phải theo gán quyền Ownership đến file folder:  Người chủ sử dụng có quyền Full Control cung cấp Full control Take Ownership đến nhóm người sử dụng khác  Quyền sở hữu file folder thực thành viên nhóm quản trị Những quyền cung cấp đến thành viên nhóm quản trị, người quản trị thực quyền sở hữu Do người quản trị thay đổi số quyền file folder cấp quyền Take Ownership đến nhóm người sử dụng khác Để cung cấp quyền sở hữu đặc biệt, làm theo bước đây:  Nhấn nút Advanced từ tab sercurity hộp thoại properties  Từ trang Access control setting for program files nhấp chọn tab permission  Để áp dụng quyền sở hữu đặc biệt NTFS chọn nhóm tài khoản người sử dụng nhấp chọn nút View/Edit Những thiết lập hộp thoại Permission entry thể đây:  Name: Mục xác định tên nhóm tài khoản người sử dụng Chúng ta chọn nhóm khác tài khoản người sử dụng cách nhấp vào mục change  Apply onto: Nó xác định cấp bậc folder xác định cấp bậc quyền NTFS  Permission: Nó cung cấp quyền truy xuất đặc biệt Chọn mục allow để cung cấp quyền change take ownership  Apply these permission to objects and/ or containers within this container only: Nó xác định file subfolder nằm folder cha thừa kế quyền truy xuất đặc biệt Để ngăn cản quyền thừa kế ta xoá hộp thoại chọn Sự an toàn hệ thống File chia sẻ Để truy xuất file folder mạng phải sử dụng share folder NTFS cung cấp việc hỗ trợ để share folder hạn chế người sử dụng nhóm, người truy xuất file folder Tính khơng hỗ trợ partition Fat16 Fat32 FAT định dạng volume khơng thể sử dụng quyền có NTFS 3.1 Quyền cho phép share folder Việc share folder truy xuất ngưởi sử dụng mạng cung cấp cho người sử dụng có quyền để làm điều Folder chứa nhiều ứng dụng, liệu cá nhân, loại liệu Vì có nhiều loại liệu khác u cầu loại quyền khác Ở có số tính chung mà chúng áp dụng chung cho share folder  Share folder cung cấp việc bảo mật thấp quyền NTFS share folder ứng dụng quyền đến toàn folder không áp dụng cho file subfolder riêng lẻ folder  Những quyền share folder không áp dụng cho người sử dụng truy xuất đến file từ máy tính nơi file lưu trữ  Full control quyền mặc định, gán cho nhóm Everyone Những quyền khác gán cho người sử dụng việc share folder:  Read: Quyền cho phép người sử dụng xem thuộc tính, liệu file, tên file tên folder Nó cho phép người sử dụng thay đổi folder nằm folder share  Change: Quyền cấp cho người sử dụng để tạo folder, bổ xung file vào folder, bổ xung thay đổi liệu file Nó cung cấp việc thay đổi thuộc tính file, xố file folder thực tất hành động cho phép quyền read  Full control: Quyền cung cấp cho người sử dụng để thay đổi quyền file, cung cấp tất quyền sở hữu file thực tất hành động hỗ trợ quyền change Nhóm everyone gán quyền 3.2 Ứng dụng quyền share folder Chúng ta nhìn số loại quyền khác nhau, điều mà ứng dụng cho share folder Những loại quyền khác Multiple permission, Deny Other permission, NTFS Permission Moving and Copying share folder  Mutiple permission: Một User thành viên nhiều group khác nhau, group có nhiều user, group có cấp độ truy cập đến folder share khác Trong vài trường hợp người sử dụng cho quyền change họ thành viên nhóm có quyền Full Control, họ có Full Control có bao gồm quyền change  Deny Other Permission: Quyền làm hết tất quyền cho phép gán cho người sử dụng tài khoản User Group  NTFS Permission: Những người sử dụng partition NTFS sử dụng quyền share sử dụng quyền NTFS chúng sử dụng hai khoảng thời gian Việc sử dụng quyền NTFS điều nên làm cung cấp quyền tốt cho folder file  Moving and copying folder: Một folder share copy không chia sẻ folder chia sẻ gốc lại chia sẻ Chúng ta theo nguyên tắc share folder gán quyền:  Nên lập kế hoặch cho việc phần quyền sử dụng tài nguyên mạng cho từ User, group trước thực việc  Không nên gán quyền cho người sử dụng riêng lẻ mà nên gán cho nhóm mà người sử dụng thành viên  Việc gán quyền sử dụng tài nguyên phải giới hạn nhất, điều cung cấp cho người sử dụng môt cấp độ sử dụng tài nguyên hợp lý 3.3 Thực Share Folder Một tài nguyên chia sẻ share folder chứa tài nguyên Đây điều xảy người sử dụng thành viên thuộc nhóm đặc quyền có quyền thực Người sử dụng sở hữu folder có quyền điều khiển truy cập hạn chế cho phép người sử dụng khác việc truy xuất folder Sau chia sẻ folder sửa đổi dừng chia sẻ nó, thay đổi tên chia sẻ thay đổi quyền cho phép người sử dụng nhóm người sử dụng Trong windows 2003 chia sẻ với nhóm Administrator, Server Operators Power User Trong trường hợp domain Windows 2003, Administrator thành viên nhóm Server Operrators chia sẻ folder domain Nhóm Power User nhóm cục bộ, khơng thể chia sẻ file folder domain sở Server độc lập thuộc nhóm Windows XP Trong trường hợp windows 2003 Workgroup chia sẻ folder với Administrator nhóm Power User Trong trường hợp folder share share Administrator có dấu $ thêm vào trước tên share folder, gọi share ẩn Điều ẩn tính share folder share người sử dụng trình truy xuất đến máy tính Khi có C$ có nghĩa cung cấp đầy đủ việc truy xuất volume C:\ thực nhiệm vụ quản trị Nếu có Admin$ có thành viên thuộc nhóm Administrator truy xuất đến folder share Nếu có Print$ cung cấp client với việc truy xuất đến thiết bị máy in tất group có quyền read Trong Windows Server 2003 với định dạng NTFS mặc định phân vùng share ẩn, nghĩa đằng sau phần vùng share có dấu $ Riêng share Admin$ áp dụng cho phần vùng chứa hệ điều hành Đối với kiểu share người dùng mạng muốn truy cập từ xa vào tài nguyên share ẩn việc thêm kí tự $ vào sau thư mục muốn truy cập Ví dụ máy tính muốn truy cập đến ổ D Máy mạng có địa Ip 10.0.0.5 ta đánh lệnh ô địa sau: \\10.0.0.5\D$ Sau ấn Enter hệ thống yêu cầu nhập username password hợp lệ truy cập Để biết tài nguyên share kiểu share tài nguyên máy ta vào Computer Management chọn đến mục Shares Trong cửa sổ bên phải hiển thị toàn tài nguyên trạng thái share hệ thống VIII – INTERNET INFORMATION SERVICES (IIS) Đặc điểm IIS 6.0 IIS ứng dụng Windows, cho phép chạy ứng dụng Web sites, FPT sites, Application Pools IIS 6.0 có sẵn tất phiên Windows Server 2003, IIS 6.0 Windows 2003 nâng cấp từ IIS 5.0 Windows 2000 IIS 6.0 cung cấp số đặc điểm giúp tăng tính tin cậy, tính quản lý, tính bảo mật, tính mở rộng tương thích với hệ thống 1.1 Nâng cao tính bảo mật  IIS 6.0 không cài đặt mặc định Windows 2003, người quản trị phải cài đặt IIS dịch vụ liên quan tới IIS  IIS 6.0 cài secure mode mặc định ban đầu cài đặt xong IIS cung cấp số tính nhất, tính khác Active Server Pages (ASP), ASP.NET, WebDAV publishing, FrontPage Server Extensions người quản trị phải kích hoạt cần thiết 1.2 Hỗ trợ nhiều tính chứng thực:  Anonymous authentication: cho phép người truy xuất mà khơng cần yêu cầu username password  Basic authentication: Yêu cầu người dùng truy xuất tài nguyên phải cung cấp username mật thông tin Client cung cấp gởi đến Server Client truy xuất tài ngun Username password khơng mã hóa qua mạng  Digest authentication: Hoạt động giống phương thức Basic authentication, username mật trước gởi đến Server phải mã hóa sau Client gởi thơng tin giá trị băm (hash value) Digest authentication sử dụng Windows domain controller  Advanced Digest authentication: Phương thức giống Digest authentication tính bảo mật cao Advanced Digest dùng MD5 hash thông tin nhận diện cho Client lưu trữ Windows Server 2003 domain controller  Integrated Windows authentication: Phương thức sử dụng kỹ thuật băm để xác nhận thông tin users mà không cần phải yêu cầu gởi mật qua mạng  Certificates: Sử dụng thẻ chứng thực điện tử để thiết lập kết nối Secure Sockets Layer (SSL)  NET Passport Authentication: dịch vụ chứng thực người dùng cho phép người dùng tạo sign-in name password để người dùng truy xuất vào dịch vụ ứng dụng Web NET IIS sử dụng Account (network service) có quyền ưu tiên thấp để tăng tính bảo mật cho hệ thống Nhận dạng phần mở rộng file qua IIS chấp nhận số định dạng mở rộng số tập tin, người quản trị phải định cho IIS định dạng cần thiết 1.3 Hỗ trợ ứng dụng công cụ quản trị IIS 6.0 có hỗ trợ nhiều ứng dụng Application Pool, ASP.NET  Application Pool: nhóm ứng dụng chia sẻ worker process (W3wp.exe)  Worker process (W3wp.exe) cho pool phân cách với worker process pool khác  Một ứng dụng pool bị lỗi (fail) khơng ảnh hưởng tới ứng dụng chạy pool khác  Thơng qua Application Pool giúp ta hiệu chỉnh chế tái sử dụng vùng nhớ ảo, tái sử dụng worker process, hiệu chỉnh performance (về request queue, CPU), health, Identity cho application pool  ASP.NET: Web Application platform cung cấp dịch vụ cần thiết để xây dựng phân phối ứng dụng Web dịch vụ XML Web IIS 6.0 cung cấp số công cụ cần thiết để hỗ trợ quản lý Web như:  IIS Manager: Hỗ trợ quản lý cấu hình IIS 6.0  Remote Administration (HTML) Tool: Cho phép người quản trị sử dụng Web Browser để quản trị Web từ xa  Command–line administration scipts: Cung cấp Scipts hỗ trợ cho công tác quản trị Web, tập tin lưu trữ thư mục %systemroot%\System32 Cài đặt cấu hình IIS 6.0 2.1 Cài đặt IIS 6.0 IIS 6.0 không cài đặt mặc định Windows 2003 server, để cài đặt IIS 6.0 ta thực bước sau: Chọn Start | Programs | Administrative Tools | Manage Your Server Chọn Application server (IIS, ASP.NET) hộp thoại server role, sau chọn Next Chọn hai mục cài đặt FrontPage Server Extentions Enable ASP.NET, sau chọn Next Chọn next hộp thoại Sau hệ thống yêu cầu cho đĩa Windows 2003 vào chọn đến thư mục I386 đĩa click OK Chọn Finish để hoàn tất q trình Tuy nhiên ta cài đặt IIS 6.0 Add or Remove Programs Control Panel cách thực số bước điển hình sau: Mở cửa sổ Control Panel | Add or Remove Programs | Add/Remove Windows Components Chọn Application Server, sau chọn nút Details Tiếp theo tích lựa chọn hai mục Application Server Console ASP.NET, tiếp chọn đến Internet Information Services sau chọn nút Details Ở cửa sổ chọn tích vào mục Common files, File Transfer Protocol(FTP) Services, Internet Information Services Manager Sau chọn mục World Wide Web service chọn nút Details… Sau ta chọn tất Subcomponents Web Service Sau click Ok lần click Next cho hệ thống cài đặt IIS Cho đĩa Windows 2003 tìm đến thư mục I386 hệ thống yêu cầu Click Finish để hồn tất q trình cài đặt IIS 2.2 Cấu hình IIS 6.0 Sau ta cài đặt hoàn tất, ta chọn Administrative Tools | Information Service (IIS) Manager, sau chọn tên Server (local computer) Trong hộp thoại IIS Manager có xuất thư mục: - Application Pools: Chứa ứng dụng sử dụng worker process xử lý yêu cầu HTTP request - Web Sites: Chứa danh sách Web Site tạo IIS Web Service Extensions: Chứa danh sách Web Services phép hay không cho phép FTP sites: Giao thức truyền file