Bài giảng Hệ điều hành mạng Windows NT và hệ thống quản lý của Windows NT giúp người học nắm được kiến thức về hệ điều hành mạng Windows NT; hệ thống quản lý của Windows NT
Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT g PHỤ LỤC B: HỆ ĐIỀU HÀNH MẠNG WINDOWS NT VÀ HỆ THỐNG QUẢN LÝ CỦA WINDOWS NT Nội dung Hướng dẫn học Đọc tài liệu, nắm bắt nội dung Làm tập luyện thi trắc nghiệm theo yêu cầu IT102_Phụ lục B_v1.0013103214 Hệ điều hành mạng Windows NT Hệ thống quản lý Windows NT Mục tiêu Sau học này, bạn có thể: Trình bày khái niệm hệ điều hành Windows NT hệ thống quản lý 169 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT TÌNH HUỐNG DẪN NHẬP Tình Các máy tính cơng ty Hồng Nam ghép nối với thành mạng máy tính Để quản lý tài nguyên mạng, xử lý truy cập cách thống tồn mạng máy tính cơng ty cần có hệ thống phần mềm quản lý Cơng ty Hồng Nam lựa chọn hệ điều hành mạng Windows NT để quản lý tác vụ Câu hỏi Cấu trúc hệ điều hành mạng Windows NT nào? Hệ điều hành Windows NT hỗ trợ cách để tổ chức tài nguyên mạng? B.1 Hệ điều hành mạng Windows NT B.1.1 Thế hệ điều hành mạng Với việc ghép nối máy tính thành mạng cần thiết phải có hệ thống phần mềm có chức quản lý tài ngun, tính tốn xử lý truy cập cách thống mạng, hệ gọi hệ điều hành mạng Mỗi tài nguyên mạng tệp, đĩa, thiết bị ngoại vi quản lý tiến trình định hệ điều hành mạng điều khiển tương tác tiến trình truy cập tới tiến trình Căn vào việc truy cập tài nguyên mạng người ta chia thực thể mạng thành hai loại chủ khách, máy khách (Client) truy cập vào tài nguyên mạng không chia sẻ tài nguyên với mạng, cịn máy chủ (Server) máy tính nằm mạng chia sẻ tài nguyên với người dùng mạng Hiện hệ điều hành mạng thường chia làm hai loại hệ điều hành mạng ngang hàng (Peer-to-peer) hệ điều hành mạng khách/chủ (client/server) Với hệ điều hành mạng ngang hàng máy tính mạng vừa đóng vai trị chủ lẫn khách tức chúng vừa sử dụng tài nguyên mạng lẫn chia sẻ tài ngun cho mạng, ví dụ: LANtastic Artisoft, NetWare lite Novell, Windows (for WorkGroup, 95, NT Client) Microsoft Với hệ điều hành mạng khách/chủ máy tính phân biệt chủ khách, máy chủ mạng (Server) giữ vai trò chủ máy cho người sử dụng giữ vai trò khách (các trạm) Khi có nhu cầu truy cập tài nguyên mạng trạm tạo yêu cầu gửi chúng tới máy chủ sau máy chủ thực gửi trả lời Ví dụ hệ điều hành mạng phân biệt: Novell Netware, LAN Manager Microsoft, Windows NT Server Microsoft, LAN Server IBM, Vines Banyan System với server dùng hệ điều hành Unix B.1.2 Hệ điều hành mạng Windows NT Windows NT hệ điều hành mạng cao cấp hãng Microsoft Phiên đầu có tên Windows NT 3.1 phát hành năm 1993, phiên server Windows NT Advanced Server (trước LAN Manager for NT) Năm 1994 phiên Windows 170 IT102_Phụ lục B_v1.0013103214 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT NT Server Windows NT Workstation version 3.5 phát hành Tiếp theo đời version 3.51 Các phiên Workstation có sử dụng để thành lập mạng ngang hàng; server dành cho quản lý file tập trung, in ấn chia sẻ ứng dụng Năm 1995, Windows NT Workstation Windows NT Server version 4.0 đời kết hợp shell người anh em Windows 95 tiếng phát hành trước khơng lâu (trước shell Windows NT giống shell Windows 3.1) kết hợp giao diện quen thuộc, dễ sử dụng Windows 95 mạnh mẽ, an toàn, bảo mật cao Windows NT Windows NT có hai mà đôi với hai cách tiếp cận mạng khác Hai gọi Windows NT Workstation Windows NT server Với hệ điều hành chuẩn NT ta xây dựng mạng ngang hàng, máy chủ mạng công cụ quản trị cần thiết cho máy chủ mạng ngồi cịn có nhiều giải pháp xây dựng mạng diện rộng Cả hai Windows NT station Windows NT server xây dựng sở nhân NT chung giao diện hai có đặc trưng an toàn theo tiêu chuẩn C2 Windows NT Wordstation sử dụng để kết nối nhóm người sử dụng nhỏ, thường làm việc văn phòng Tuy nhiên với Windows NT server ta có khả chống hỏng hóc cao, khả cung cấp dịch vụ mạng lớn lựa chon kết nối khác nhau, Windows NT Server không hạn chế số người thâm nhập vào mạng Với Windows NT ta có cơng cụ quản trị từ xa vào mạng mà thực việc quản trị từ máy tính xa Nó thích hợp với tất sơ đồ mạng BUS, STAR, RING hỗn hợp Windows NT hệ điều hành có sức mạnh công nghiệp cho số lượng khổng lồ máy tính IBM compatible Windows NT hệ điều hành thực dành cho người sử dụng, quan, cơng ty xí nghiệp Windows NT hệ điều hành đa nhiệm, đa xử lý với địa 32 bit nhớ Nó yểm trợ ứng dụng DOS, Windows, Win32 GUI ứng dụng dựa ký tự Windows NT server hệ điều hành mạng hồn chỉnh, nhanh chóng thừa nhận hệ điều hành tốt vì: Là hệ điều hành mạng đáp ứng tất giao thức truyền thông phổ dụng Ngồi vừa cho phép giao lưu máy mạng, vừa cho phép truy cập từ xa, cho phép truyền file v.v Windows NT hệ điều hành vừa đáp ứng cho mạng cục (LAN) vừa đáp ứng cho mạng diện rộng (WAN) Intranet, Internet Windows NT server hẳn hệ điều hành khác tính mềm dẻo, đa dạng quản lý Nó vừa cho phép quản lý mạng theo mơ hình mạng phân biệt (Clien/Server), vừa cho phép quản lý theo mơ hình mạng ngang hàng (peer to peer) Windows NT server đáp ứng tốt dịch vụ viễn thông, dịch vụ sử dụng rộng rãi tương lai Windows NT server cài đặt đơn giản, nhẹ nhàng điều quan trọng tương thích với tất hệ mạng, khơng địi hỏi người ta phải thay đổi có IT102_Phụ lục B_v1.0013103214 171 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Cho phép dùng dịch vụ truy cập từ xa (Remote access service - RAS), có khả phụp vụ đến 64 cổng truy cập từ xa (trong Lan manager 16 cổng) Đáp ứng cho máy trạm Macintosh nối với Windows NT server Windows NT yểm trợ nghi thức mạng chuẩn NetBUEI, IPX/SPX, TCP/IP nghi thức khác Windows NT tương thích với mạng thông dụng hiên Novell NetWare, Banyan VINES, Microsoft LAN Manager Đối với mạng lớn khả thâm nhập từ xa sản phẩm Windows NT Server cũng cấp chức bổ sung nhu khả kết nối với máy tính lớn máy MAC B.1.3 Cấu trúc điều hành mạng Windows NT Windows NT thiết kế sử dụng cách tiếp cận theo đơn thể (modular) Các đơn thể khác (còn gọi phận, thành phần) Windows NT trình bày hình B1 Các phận Windows NT chạy hai chế độ: User (người sử dụng) Kernel (cốt lõi hệ điều hành) Khi thành phần hệ điều hành chạy cốt lõi hệ điều hành (Kernel), truy cập đầy đủ thị máy cho xử lý truy cập tổng qt tồn tài nguyên hệ thống máy tính Trong Windows NT: Executive Services, Kernel HAL chạy chế độ cốt lõi hệ điều hành Hệ thống (Sub system) Win 32 hệ thống môi trường, chẳng hạn DOS/Win 16.0S/2 hệ thống POSIX chạy chế độ User Bằng cách đặt hệ thống chế độ User, nhà thiết kế Windows NT hiệu chỉnh chúng dễ dàng mà không cần thay đổi thành phần thiết kế để chạy chế độ Kernel Hình B.1: Cấu trúc Windows NT 172 IT102_Phụ lục B_v1.0013103214 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Các lớp hệ điều hành WINDOWS NT SERVER gồm: Lớp phần cứng trừu tượng (Hardware Astraction Layer - HAL): Là phần cứng máy tính mà cốt lõi hệ điều hành (Kernel) đươc ghi vào giao diện phần cứng ảo, thay vào phần cứng máy tính thực Phần lớn cốt lõi hệ điều hành sử dụng HAL để truy cập tài nguyên máy tính Điều có nghĩa cốt lõi hệ điều hành tất thành phần khác phụ thuộc vào cốt lõi dễ dàng xuất (Ported) thơng qua Microsoft đến (Platform) phần cứng khác Một thành phần nhỏ cốt lõi hệ điều hành, quản lý Nhập / Xuất truy cập phần cứng máy tính trực tiếp mà khơng cần bao gồm HAL Lớp Kernel (cốt lõi hệ điều hành): Cung cấp chức hệ điều hành sử dụng thành phần thực thi khác Thành phần Kernel tương đối nhỏ cung cấp thành phần cốt yếu cho chức hệ điều hành Kernel chủ yếu chịu trách nhiệm quản lý luồng, quản lý phần cứng đồng đa xử lý Các thành phần Executive: Là thành phần hệ điều hành chế độ Kernel thi hành dịch vụ như: o Quản lý đối tượng (Object Manager) o Bảo mật (Security Reference Monitor) o Quản lý tiến trình (Process Manager) o Quản lý nhớ ảo (Virtual Memory Manager) o Thủ tục cục gọi tiện ích, quản trị nhập/xuất (I/O Manager) B.1.4 Cơ chế quản lý hệ điều hành Windows NT B.1.4.1 Quản lý đối tượng (Object Manager) Tất tài nguyên hệ điều hành thực thi đối tượng Một đối tượng đại diện trừu tượng tài ngun Nó mơ tả trạng thái bên tham số tài nguyên tập hợp phương thức (method) sử dụng để truy cập điều khiển đối tượng Ví dụ đối tượng tập tin có tên tập tin, thơng tin trạng thái file danh sách phương thức, tạo, mở, đóng xóa, đối tượng mơ tả thao tác thực đối tượng file Bằng cách xử lý toàn tài nguyên đối tượng Windows NT thực phương thức giống như: tạo đối tượng, bảo vệ đối tượng, giám sát việc sử dụng đối tượng (Client object) giám sát tài nguyên sử dụng đối tượng Việc quản lý đối tượng (Object Manager) cung cấp hệ thống đặt tên phân cấp cho tất đối tượng hệ thống Do đó, tên đối tượng tồn phần khơng gian tên tồn cục sử dụng để theo dõi việc tạo sử dụng đối tượng Sau số ví dụ loại đối tượng Windows NT: Đối tượng thư mục (Directory) Đối tượng tập tin (File) Đối tượng kiểu object Đối tượng tiến trình (Process) IT102_Phụ lục B_v1.0013103214 173 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Đối tượng luồng (Thread) Đối tượng mô tả nhớ (Section and segment) Đối tượng cổng (Port) Đối tượng Semaphore biến cố Đối tượng liên kết ký hiệu (Symbolic) B.1.4.2 Cơ chế bảo mật (SRM – Security Reference Monitor) Ðược sử dụng để thực vấn đề an ninh hệ thống Windows NT Các yêu cầu tạo đối tượng phải chuyển qua SRM để định việc truy cập tài nguyên cho phép hay không SRM làm việc với hệ thống bảo mật chế độ User Hệ thống sử dụng để xác nhận User login vào hệ thống Windows NT Để kiểm soát việc truy cập, đối tượng Windows NT có danh sách an tồn (Access Control List - ACL) Danh sách an toàn đối tượng gồm phần tử riêng biệt gọi Access Control Entry (ACE) Mỗi ACE chứa SecurityID (SID: số hiệu an tồn) người sử dụng nhóm Một SID số bên sử dụng với máy tính Windows NT mơ tả người sử dụng nhóm máy tính Windows NT Ngoài SID, ACE chứa danh sách hành động (action) cho phép bị từ chối User nhóm Khi người sử dụng đăng nhập vào mạng Windows NT, sau việc nhận dạng thành công, Security Access Token (SAT) tạo cho người dùng SAT chứa SID người dùng SID tất nhóm người dùng thuộc mạng Windows NT Sau SAT hoạt động "thẻ chuyển" (passcard) cho phiên làm việc người dùng sử dụng để kiểm tra tất hoạt động người dùng Khi người dùng tham gia mạng truy cập đối tượng, Security Reference Monitor kiểm tra mô tả bảo mật đối tượng xem SID liệt kê SAT có phù hợp với giá trị ACE không Nếu phù hợp, quyền an ninh liệt ACE áp dụng cho người dùng Hình B.2: Ví dụ danh sách an tồn (Access Control List) B.1.4.3 Quản lý nhập/xuất (I/O Manager) Chịu trách nhiệm cho toàn chức nhập / xuất hệ điều hành Windows NT I/O Manager liên lạc với trình điều khiển thiết bị khác 174 IT102_Phụ lục B_v1.0013103214 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT B.1.4.4 I/O Manager Sử dụng kiến trúc lớp cho trình điều khiển Mỗi phận điều khiển lớp thực chức xác định rõ Phương pháp tiếp cận cho phép thành phần điều khiển thay dễ dàng mà khơng ảnh hưởng phần cịn lại phận điều khiển Hình B.3: Các trình điều khiển thiết bị theo lớp I / O Manager B.1.5 Các chế bảo vệ liệu Windows NT Cơ chế bảo vệ liệu Windows NT gọi fault tolerance, cho phép hệ thống khả tiếp tục làm việc bảo toàn liệu hệ thống trường hợp phần hệ thống có cố hỏng hóc sai lệch Trong Windows NT chế fault tolerance bao gồm biện pháp sau: Chống cúp điện bất thường Cung cấp khả bảo vệ hệ thống đĩa (Fault Tolerance Disk Subsystem) Cung cấp khả chép dự phòng (backup) từ băng từ Khả bảo vệ hệ thống đĩa Windows NT RAID (viết tắt Redundant Array of Inexpensiredisk) Thực chất RAID loạt biện pháp để bảo vệ hệ thống đĩa Các biện pháp RIAD chia thành mức sau: Mức 0: Đây mức ứng với biện pháp chia nhỏ đĩa (Disk Striping) Thực chất nội dung biện pháp phân chia liệu thành khối sau xếp khối liệu theo thứ tự tất đĩa thành mảng Mức 1: Mức ứng với biện pháp disk Mirroring, biện pháp cho phép tạo đĩa giống Nếu q trình vận hành mạng đĩa có cố hệ thống sử dụng liệu đĩa Mức 2: Mức ứng với biện pháp phân chia nhỏ đĩa cách phân chia file thành byte xếp byte sang nhiều đĩa Mức sử dụng mã sửa sai (Error Correcting Code) q trình phân chia đĩa Nói chung biện pháp dùng mức tốt biện pháp dùng mức IT102_Phụ lục B_v1.0013103214 175 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Mức 3: Mức sử dụng biện pháp giống mức Tuy nhiên mã sửa sai (Error Correction Code) sử dụng cho đĩa Không áp dụng cho nhiều đĩa mức Người ta thường dùng mức để truy cập vào số file có dung tích lớn Mức 4: Mức sử dụng biện pháp giống mức phương pháp phân chia đĩa thành khối lớn Giống mức tất mã sửa sai (Error Correction Code) ghi vào đĩa tách khỏi khối liệu Mức 5: Trong mức người ta sử dụng biện pháp phân chia đĩa thành phần gọi Striping with party Biện pháp sử dụng mức tương tự mức 4, số liệu phân nhỏ thành khối lớn sau ghi vào tất đĩa Các thông tin (Party Infomation) coi liệu dùng tạm thời (Data Redundancy) Ngoài cịn áp dụng biện pháp bảo vệ liệu Windows NT: Biện pháp Disk mirroring: Disk mirroring cách tạm (Redundant) lại đĩa partition Biện pháp bảo vệ liệu tránh cố cách đưa chế độ thường xuyên backup đĩa partition Disk Duplexing: Biện pháp dùng đĩa kép (Disk Duplexing) tương tự disk mirroring khác chúng dùng disk controler Điều cho thêm khả bảo vệ controler đĩa có cố Trong biện pháp Mirror khơng thể khắc phục tình Mirror Set: Các partition đĩa chế độ Mirror tạo cách lặp lại partition đĩa đĩa khác tên ổ đĩa gán cho partition Ta dùng establish Mirror bảng chọn Fault tolerance Nếu đĩa partition chế độ Mirror bị lỗi chế độ Mirror cần phải ngắt để thực chế độ chép dự phòng vào đĩa riệng Sau backup trở lại B.1.6 Giới thiệu hoạt động Windows NT Server Khi khởi động Windows NT Server hộp thoại Begin logon ra, server chờ đợi để nhấn Ctrl+Alt +Del để tiếp tục hoạt động Ở có điểm khác với hệ điều hành DOS, Windows 95 tổ hợp Ctrl+Alt +Del khởi động lại máy Trong trường hợp Windows NT loại bỏ chương trình Virus hay khơng có phép hoạt động trước bước vào làm việc Hình B.4: Thơng báo gia nhập mạng Lúc thấy hộp thoại Logon Information xuất yêu cầu phải gõ tên mật đăng nhập vào Server Nếu người dùng phải người quản trị khai báo tên mật trước đăng nhập 176 IT102_Phụ lục B_v1.0013103214 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Hình B.5: Màn hình đăng nhập mạng Cũng giống hình hệ điều hành Windows 95 muốn thực trình, gọi bảng chọn hệ thống dùng nút Start cuối hình Hình B.6: Điểm khởi đầu Windows Trước muốn kết thúc chương trình tắt máy phải nháy Start chọn ShutDown, hình kết thúc cho lựa chon công yêu cầu tắt hay khởi động lại Hình B.7: Màn hình thoát khỏi Windows B.2 Hệ thống quản lý Windows NT Các mạng máy tính thiết kế đa dạng thực ứng dụng nhiều lĩnh vực đời sống xã hội Điều có nghĩa thơng tin lưu trữ mạng thông tin truyền giao mạng ngày mang nhiều giá trị có ý nghĩa sống cịn Do người quản trị mạng ngày phải quan tâm đến việc bảo vệ tài nguyên Việc bảo vệ an tồn q trình bảo vệ mạng khỏi bị xâm nhập mát, thiết kế hệ điều hành mạng người ta phải xây dựng hệ thống quản lý nhiều tầng linh hoạt giúp cho người quản trị mạng thực phương án quản lý từ đơn giản mức độ thấp phức tạp mức độ cao mạng có nhiều người tham gia Thơng qua công cụ quản trị xây dựng sẵn người quản trị xây dựng chế an toàn phù hợp với quan Thơng thường hệ thống mạng có mức quản lý sau: IT102_Phụ lục B_v1.0013103214 177 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Mức quản lý việc thâm nhập mạng (Login/Password): xác định lúc vào mạng Đối với người quản trị người sử dụng mạng, mức an toàn dường đơn giản mà theo người sử dụng có tên login mật Mức quản lý việc sử dụng tài nguyên mạng: Kiểm soát tài nguyên mà người sử dụng phép truy cập, sử dụng sử dụng Mức quản lý với thư mục file: Mức an tồn file kiểm sốt file thư mục người sử dụng dùng mạng sử dụng mức độ Mức quản lý việc điều khiển File Server: Mức an tồn máy chủ kiểm sốt thực thao tác máy chủ bật, tắt, chạy chương trình khác Người ta cần có chế mật để bảo vệ B.2.1 Quản lý tài nguyên mạng Như biết, mạng LAN cung cấp dịch vụ theo hai cách: qua cách chia sẻ tài nguyên theo nguyên tắc ngang hàng thông qua máy chủ trung tâm Dù phương pháp sử dụng, vấn đề cần phải giải giúp người sử dụng xác định tài nguyên có sẵn đâu để sử dụng Các kỹ thuật sau sử dụng để tổ chức tài nguyên mạng máy tính: Quản lý đơn lẻ máy chủ (Stand-Alone Services) Quản lý theo dịch vụ thư mục (Directory Services) Quản lý theo nhóm (WorkGroups) Quản lý theo Domain (Domains) B.2.1.1 Quản lý đơn lẻ máy chủ (Stand – Alone Services) Với cách quản lý mạng LAN thưịng có vài máy chủ, máy chủ quản lý tài nguyên mình, người sử dụng muốn thâm nhập tài nguyên máy chủ phải khai báo chịu quản lý máy chủ Mơ hình phù hợp với mạng nhỏ với máy chủ có trục trặc máy chủ tồn mạng hoạt động Cũng mạng LAN có máy chủ, người sử dụng khơng khó khăn để tìm tập tin, máy in tài nguyên khác mạng (Plotter, CDRom, Modem ) Việc tổ chức không cần dịch vụ quản lý tài nguyên phức tạp Tuy nhiên mạng có từ hai máy chủ trở lên vấn đề trở nên phức tạp máy chủ riêng lẻ giữ riêng bảng danh sách người sử dụng tài nguyên Khi người sử dụng phải tạo lập bảo trì tài khoản hai máy chủ khác đăng nhập (Logon) truy xuất đến máy chủ Ngoài việc xác định vị trí tài nguyên mạng khó khăn mạng có quy mơ lớn B.2.1.2 Quản lý theo dịch vụ thư mục (Directory Services) Hệ thống dịch vụ thư mục cho phép làm việc với mạng hệ thống thống nhất, tài ngun mạng nhóm lại cách lơgic để dễ tìm Giải pháp dùng cho mạng lớn Ở thay phải đăng nhập vào nhiều máy chủ, 178 IT102_Phụ lục B_v1.0013103214 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT người sử dụng cần đăng nhập vào mạng dịch vụ thư mục cấp quyền truy cập đến tài nguyên mạng, cho dù cung cấp máy chủ Người quản trị mạng cần thực công việc trạm mạng điểm nút nằm giới Hệ điều hành Netware 4.x cung cấp dịch vụ tiếng đầy ưu cạnh tranh với tên gọi Netware Directory Services (NDS) Giải pháp thích hợp với mạng lớn Các thông tin NDS đặt hệ thống sở liệu đồng bộ, rộng khắp gọi DIB (Data Information Base) Cơ sở liệu quản lý liệu dạng đối tượng phân biệt toàn mạng Các định nghĩa đối tượng đặt tập tin riêng số máy chủ đặc biệt, đối tượng có tính chất giá trị tính chất Đối tượng bao hàm tất có tên phân biệt Người sử dụng, File server, Print server, Group Mỗi loại đối tượng có tính chất khác ví dụ đối tượng Người sử dụng có tính chất nhóm mà người sử dụng thuộc, cịn nhóm có tính chất người sử dụng mà nhóm chứa Việc thiết lập dịch vụ cần lập kế hoạch, thiết kế cẩn thận, liên quan đến tất đơn vị phịng ban có liên quan Loại mạng có khuyết điểm việc thiết kế, thiết lập mạng phức tạp, nhiều thời gian nên khơng thích hợp cho mạng nhỏ B.2.1.3 Quản lý theo nhóm (WorkGroup) Các nhóm làm việc làm việc theo ý tưởng ngược lại với dịch vụ thư mục Nhóm làm việc dựa nguyên tắc mạng ngang hàng (Peer-to-Peer Network), người sử dụng chia sẻ tài ngun máy tính với người khác, máy vừa chủ (Server) vừa khách (Client) Người sử dụng cho phép người sử dụng khác sử dụng tập tin, máy in, modem mình, đến lượt sử dụng tài nguyên người sử dụng khác chia sẻ mạng Mỗi cá nhân người sử dụng quản lý việc chia sẻ tài nguyên máy cách xác định chia sẻ có quyền truy cập Mạng hoạt động đơn giản: sau logon vào, người sử dụng duyệt (Browse) để tìm tài ngun có sẵn mạng WorkGroup nhóm lơgic máy tính tài nguyên chúng nối với mạng mà máy tính nhóm cung cấp tài nguyên cho Mỗi máy tính workGroup trì sách bảo mật CSDL quản lý tài khoản bảo mật SAM (Security Account Manager) riêng máy Do quản trị workGroup bao gồm việc quản trị CSDL tài khoản bảo mật máy tính cách riêng lẻ, mang tính cục bộ, phân tán Điều rõ ràng phiền phức khơng thể làm mạng lớn Nhưng workGroup có điểm đơn giản, tiện lợi chia sẻ tài nguyên hiệu quả, thích hợp với mạng nhỏ, gồm nhóm người sử dụng tương tự Tuy nhiên WorkGroup dựa sở mạng ngang hàng (Peer-to-Peer), nên có hai trở ngại mạng lớn sau: Đối với mạng lớn, có nhiều tài nguyên có sẵn mạng làm cho người sử dụng khó xác định chúng để khai thác IT102_Phụ lục B_v1.0013103214 179 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Người sử dụng muốn chia sẻ tài nguyên thường sử dụng cách dễ để chia sẻ tài nguyên với số hạn chế người sử dụng khác Điển hình cho loại mạng Windows for WorkGroups, LANtastic, LAN Manager Window 95, Windows NT Workstation B.2.1.4 Quản lý theo vùng (Domain) Domain mượn ý tưởng từ thư mục nhóm làm việc Giống workGroup, Domain quản trị hỗn hợp biện pháp quản lý tập trung địa phương Domain tập hợp máy tính dùng chung nguyên tắc bảo mật CSDL tài khoản người dùng (người sử dụng Account) Những tài khoản người dùng ngun tắc an tồn nhìn thấy thuộc vào CSDL chung tập trung Giống thư mục, Domain tổ chức tài nguyên vài máy chủ vào cấu quản trị Người sử dụng cấp quyền logon vào Domain vào máy chủ riêng lẻ Ngồi ra, Domain điều khiển tài ngun số máy chủ, nên việc quản lý tài khoản người sử dụng tập trung trở nên dễ dàng phải quản lý mạng với nhiều máy chủ độc lập Các máy chủ Domain cung cấp dịch vụ cho người sử dụng Một người sử dụng logon vào Domain truy cập đến tất tài ngun thuộc Domain mà họ cấp quyền truy cập Họ dị tìm (Browse) tài ngun Domain giống workGroup, an tồn, bảo mật Để xây dựng mạng dựa Domain, ta phải có máy Windows NT Server mạng Một máy tính Windows NT thuộc vào workGroup Domain, đồng thời thuộc hai Mơ hình Domain thiết lập cho mạng lớn với khả kết nối mạng tồn xí nghiệp hay liên kết kết nối mạng với mạng khác công cụ cần thiết để điều hành Việc nhóm người sử dụng mạng tài ngun mạng thành Domain có lợi ích sau: Mã số người sử dụng quản lý tập trung nơi sở liệu máy chủ, quản lý chặt chẽ Các nguồn tài nguyên cục nhóm vào Domain nên dễ khai thác Quản lý theo WorkGroup Domain hai mơ hình mà Windows NT lựa chọn Sự khác WorkGroup Domain Domain phải có máy chủ (máy chủ) tài nguyên người sử dụng phải quản lý máy chủ B.2.2 Hệ thống quản lý Hệ điều hành mạng Windows NT Server Windows NT cung cấp chức tuân theo chuẩn C2 (chuẩn an toàn quốc tế) Windows NT đảm bảo tránh người không phép vào hệ thống thâm nhập vào file chương trình đĩa cứng Người ta thâm nhập vào mật qua bảo vệ file Windows NT cung cấp công cụ để xây dựng lớp quyền dành cho nhiều nhiệm vụ khác nhằm xây dựng hệ thống an toàn cách mềm dẻo 180 IT102_Phụ lục B_v1.0013103214 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Nhiều người sử dụng có quyền vào máy chủ Windows NT Một tài khoản người sử dụng máy bao gồm tên, mật nhiều tính chất cho người quản trị mạng Người sử dụng che thư mục hay file từ người khác cài đặt thông số File manager, Programe Manager, Control Panel cách phù hợp Khi người dùng thâm nhập vào hệ thống tự động khởi động thông số lưu trữ từ trước Nếu người sử dụng có quyền cao họ chia sẻ ngừng tài nguyên dùng chung mạng máy in hay file họ thay đổi quyền người dùng mạng khác thâm nhập vào mạng B.2.2.1 Mơ hình WorkGroup (nhóm) mạng Windows NT Mỗi người truy cập vào mạng Windows NT tổ chức theo mơ hình WorkGroup cần phải đăng ký: Tên vào mạng Mật vào mạng Dựa vào tên mật cho, Windows NT cung cấp cho người số gọi mã số người sử dụng (User Account) Mã số lưu sở liệu hệ thống quản trị tài nguyên (SAM - Security Account Manager Database) Hệ thống quản trị tài nguyên dùng để đảm bảo an toàn tài nguyên mạng Người vào mạng muốn truy cập vào tài nguyên phải qua kiểm duyệt hệ thống quản trị tài nguyên Trong mơ hình WorkGroup máy trạm có nguồn tài nguyên tương ứng với hệ thống quản trị tài nguyên bảo vệ Chú ý: Mỗi người khai thác mạng phải nhớ nhiều mã số, ứng với máy trạm có hệ thống quản trị tài ngun riêng B.2.2.2 Mơ hình vùng (Domain) Domain khái niệm Windows NT server, hạt nhân để tổ chức mạng có quy mơ lớn Mỗi người tham gia Domain cần phải đăng ký thông tin sau: Tên Domain Tên người sử dụng Mật Các thông tin lưu máy chủ dạng mã số, gọi tài khoản người sử dụng (User Account) mã số cũa người sử dụng Domain tổ chức thành sở liệu máy chủ Khi người sử dụng muốn truy cập vào Domain người phải chọn tên Domain hộp thoại máy trạm Máy trạm chuyển thông tin hệ thống quản trị tài nguyên (SAM - Security Account Manager Database) Domain để kiểm tra Khi hệ thống quản trị tài nguyên máy chủ kiểm tra thông tin này, kết kiểm tra đúng, người khai thác quyền truy cập vào tài nguyên Domain Một máy Windows NT mà không tham gia vào Domain có nhược điểm sau: Máy trạm cung cấp mã số tạo Nếu máy bị hư hỏng người khai thác mạng truy cập mã số họ Nếu IT102_Phụ lục B_v1.0013103214 181 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT máy nằm Domain mã số cịn lưu SAM Domain máy Máy chủ Qua máy trạm không tham gia vào Domain, người khai thác mạng truy cập vào tài nguyên Domain, mã số của người có SAM Domain Trong Domain thường có loại máy thực công việc sau: Primary Domain Controller (PDC), phải có để quản trị hệ thống người sử dụng tài khoản Domain (hệ thống gọi sở liệu SAM - Security Account Manager Domain) SAM máy chủ thiết kế hệ thống kiểm soát Domain Trong Domain có PDC Ngồi hệ thống cịn có hay nhiều máy làm Backup Domain Controller (BDC) Các BDC dùng thay cho máy PDC trường hợp cần thiết, chẳng hạn máy PDC bị hư Người quản trị Domain cần tạo tài khoản người sử dụng (User Account) lần máy Primary Domain Controller, thông tin tự dộng copy đến máy Backup Domain Controller B.2.2.3 Mơ hình quan hệ Domain mạng Windows NT Trong mạng có nhiều Domain máy tính Windows NT thành viên Domain thời điểm Tuy nhiên, có vài trường hợp đơi cần truy cập tài nguyên Domain khác, để điều hệ điều hành Windows NT server cho phép Domain tồn quan hệ gọi quan hệ tin cậy (Trust Relationship) Chúng ta sử dụng quan hệ tin cậy Domain cho phép người dùng Domain truy cập tài nguyên Domain khác Hai Domain A, B gọi quan hệ tin cậy (trust relationship) mà Domain A tin cậy Domain B chúng có mối liên kết cho người khai thác mạng Domain B truy cập vào Domain A từ máy trạm Domain B Từ góc độ người quản trị mạng mục đích việc thiết lập quan hệ tin cậy Domain làm cho việc quản lý mạng trở lên đơn giản cách kết hợp Domain vào đơn vị quản lý Trong quan hệ tin cậy Domain chia sau: Domain tin cậy (Trusted Domain) Domain tin cậy (Trusting Domain) Một Domain loại loại thông thường phụ thuộc vào chứa mã số người sử dụng (người sử dụng Account) hay chứa tài nguyên (Resource): Domain tin cậy (Trusting Domain) Domain chứa tài nguyên Domain tin cậy (Trusted Domain) Domain chứa mã số người sử dụng Khi người sử dụng truy cập từ máy trạm Domain tin cậy (Trusting DDomain) vào Domain tin cậy (Trusted Domain) trình kiểm sốt diễn sau: Người sử dụng cho mã số (mã số ứng với tên, mật khẩu, tên Domain cần truy cập) Mã số chuyển máy chủ Domain tin cậy Máy chủ Domain tin cậy chuyển mã số sang Domain tin cậy 182 IT102_Phụ lục B_v1.0013103214 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Kết kiểm tra máy chủ Domain tin cậy diễn theo trình ngược lại Ở ý: Việc liên kết Domain tính bắc cầu Thơng qua việc thiết lập mối quan hệ tin tưởng, sử dụng tài khoản để truy xuất đến nhiều tài nguyên nhiều Domain Có thể quản trị nhiều Domain từ vị trí tập trung Hình B.8: Mơ hình tin cậy Domain mạng Windows NT B.2.2.4 Nhóm (Group) Windows NT Trong mạng Windows NT khái niệm nhóm (Group) khái niệm quan trọng công việc quản lý, điều hành mạng Windows NT Nhóm làm cho việc khai thác tài nguyên dễ dàng thuận lợi đơn giản hóa việc quản trị Mỗi nhóm đăng ký tài khoản (Group Account) có thành viên Các quyền gán cho nhóm tự động gán cho người sử dụng thành viên nhóm Các tiện lợi nhóm sau: Quyền gán cho, hủy thành viên nhóm Khi người sử dụng bị loại khỏi nhóm, tự động bị quyền cấp cịn nhóm Trong mạng Windows NT người ta phân biệt phân biệt hai loại nhóm nhóm tồn cục (Global Group) nhóm cục (Local Group) B.2.2.5 Nhóm tồn cục (Global Group) Nhóm tồn cục cịn gọi nhóm vùng (Domain Group) Thành viên nhóm người dùng cấp vùng (Domain User) Họ ngược lại với người dùng cục (Local User) người có phạm vi giới hạn máy tính mà họ xác định Thành viên nhóm tồn cục phép chuyển ngồi (Export) Domain khác Phạm vi nhóm tồn cục tồn vùng User dược xác định, thấy từ máy tính NT vùng Quyền gán cho nhóm tồn cục cho tài nguyên máy NT Server hay NT Workstation vùng Các tài khoản nhóm tồn cục lưu PDC (Primary DomainController) Domain, lưu đến BDC (Backup Domain Controller) Domain IT102_Phụ lục B_v1.0013103214 183 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Nhóm tồn cục có đặc trưng sau: Thành viên nhóm phải người sử dụng Domain (Domain User Account) Nhóm tồn cục gán quyền cho tài nguyên vùng mà chúng xác định Nhóm tồn cục gán quyền đến tài nguyên vùng khác với vùng chúng xác định quan hệ tin cậy (Trust Relationship) vùng có hiệu lực Các thành viên nhóm tồn cục sử dụng nguồn tài nguyên vùng mà nhóm tồn cục có quyền Nhóm toàn cục chứa mã số người sử dụng Domain Nó khơng thể chứa nhóm cục nhóm tồn cục khác B.2.2.6 Nhóm cục (Local Group) Nhóm cục bộ, trái lại, gán quyền cho nguồn tài nguyên máy NT mà xác định Nếu máy NT phần vùng, để tiện cho việc gán quyền, nhóm cục chứa tài khoản người dùng cấp vùng (Domain User Account) nhóm tồn cục Domain đó, nơi máy tính NT thành viên, người dùng từ Domain tin cậy Các người dùng cấp vùng (Domain User) gán quyền truy cập đến tài nguyên Domain Nếu Windows NT computer khơng nối với mạng thành viên Local Group gán quyền để truy xuất đến tài nguyên máy tính mà thành viên tạo cịn Windows NT computer nối vào mạng để tiện lợi cho việc phân quyền người quản trị mạng đưa global Group Domain User vào Local Group Có hai loại nhóm cục bộ: nhóm cục trạm làm việc (Workstation Local Group) nhóm cục vùng (Domain Local Group) Một mạng làm việc theo chế vùng bao gồm Windows NT Server Windows NT Workstation việc hiểu rõ khác hai loại nhóm cục quan trọng Nhóm cục trạm làm việc (Workstation Local Group) Nhóm cục trạm làm việc diện Windows NT Workstation chúng tạo Chúng chứa liệu SAM lưu trữ Windows NT Workstation Một người dùng cục tạo công cụ User Manager Windows NT Workstation (khác với công cụ User Manager for Domains Windows NT Server) có quan hệ thành viên nhóm cục trạm làm việc Một nhóm cục trạm làm việc dùng máy tính nhóm tạo ra, khơng thể làm việc rên máy Windows NT khác Nhóm cục trạm làm việc chứa: Các tài khoản người dùng cục từ trạm làm việc xác định Các tài khoản người dùng cấp vùng (Domain User Account) nhóm tồn cục từ vùng họ xác định Các tài khoản người dùng cấp vùng (Domain User Account) nhóm tồn cục từ vùng ủy quyền 184 IT102_Phụ lục B_v1.0013103214 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Nhóm cục vùng (Domain Local Group) Nhóm cục vùng hoạt động Windows NT Server mức vùng, tạo User Manager for Domains (trên Windows NT Server) Các nhóm cục vùng hữu máy Windows NT Server tạo Do đó, nhóm cục vùng dùng để truy cập nguồn tài nguyên máy tính Windows NT Server vùng đó, mà khơng dùng để truy cập nguồn tài ngun máy tính Windows NT Workstation vùng Nhóm cục vùng gán quyền điều khiển khơng có cấp vùng, chí máy chủ B.2.3 Các mơ hình Domain mạng Windows NT Windows NT máy chủ cung cấp kiểu tổ chức Domain gọi tắt mơ hình Domain (Domain Models) Dưới mơ hình tổ chức nó: Mơ hình Domain đơn (Single Domain) Mơ hình Domain (Master Domain) Mơ hình Multiple Master Domain Mơ hình Complete Truts B.2.3.1 Mơ hình Domain đơn (Single Domain) Mơ hình Domain đơn mơ hình mạng có Domain Mơ hình thích hợp cho mạng người khai thác, cần quản lý tập trung Mơ hình đơn nói chung tương tự mơ hình WorkGroup, mơ hình người sử dụng xem xét, khai thác tài nguyên theo mơ hình workGroup mơ hình Domain Loại mơ hình khơng có quan hệ ủy quyền có Domain nhất, Domain chứa CSDL SAM cho toàn mạng việc quản trị mạng thực từ vị trí trung tâm Các tài khoản người dùng vùng (Domain User Account) tài khoản nhóm vùng (Domain Group acconunt) xây dựng có quyền truy cập tài nguyên gán nhóm người dùng riêng rẽ có phạm vi bao gồm tất máy vi tính vùng Trong mơ hình Domain đơn vấn đề an toàn liệu, quản lý hệ thống xem xét cách tốt so với WorkGroup B.2.3.2 Mơ hình Domain (Master Domain) Mơ hình Domain sử dụng cho quan họ muốn tổ chức mạng thành nhiều Domain tài nguyên (Resource Domain) có tiện lợi việc quản lý tập trung Bằng cách phân chia tài nguyên mạng vào nhiều Domain, tiện tổ chức quản lý lượng tài nguyên lớn Một Domain chủ (Master Domain) sử dụng để hổ trợ việc quản trị tập trung mà tất mã số người sử dụng mã số nhóm tồn cục (Global Group) mạng lưu giữ Đặc điểm mơ hình Domain chính: Mơ hình Master Domain mơ hình có nhiều Domain, có Domain Domain (Premery Domain) Mơ hình thích hợp cho mạng có số người dùng không lớn, cần phải phân chia thành đơn vị nhỏ việc quản lý tiến hành tập trung IT102_Phụ lục B_v1.0013103214 185 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Trong mơ hình tất mã số người khai thác mạng mã số nhóm tồn cục (Global Group) chứa server Domain Trong mơ hình tất khác Domain tin cậy với Domain Hình B.9: Mơ hình Domain Trong mơ hình mã số người sử dụng quản lý tập trung nhóm tồn cục cần xác định lần Domain Tài ngun nhóm logic thành đơn vị nhỏ để quản lý Domain Mơ hình Domain mơ hình quản lý tập trung chiến lược phát triển mạng cần dựa vào nhóm cục nhóm tồn cục Mơ hình khơng quản lý tập trung mã số người sử dụng mà cung cấp dịch vụ cài đặt phần mềm, chép backup cho tất máy chủ mạng Tuy nhiên mơ hình có nhược điểm gây ùn tắc có nhiều nhóm nhiều người dùng nhóm cục cần phải xác định Domain mà chúng sử dụng B.2.3.3 Mơ hình nhiều Domain (Muliple Master Domain) Mơ hình nhiều Domain (Muliple Master Domain) sử dụng cho tổ chức có nhiều khu vực khu vực có nhiều phận Trong nhiều mạng kiểu vậy, phận điều hành riêng biệt cho khu vực muốn quản lý tập trung tài nguyên mạng khu vực Chúng ta xây dựng Domain chủ (Master Domain) cho khu vực chia tài nguyên khu vực thành nhiều Domain tài nguyên (Resoure Domain) riêng biệt Trên mơ hình tồn quan hệ sau: Mỗi Domain quan hệ tin cậy hai chiều với Domain khác Điều cho phép Domain quản lý Domain khác Các Domain khơng phải khơng có mã số người sử dụng mà cung cấp tài nguyên mạng Các Domain khơng phải tin cậy tất Domain Nhờ điều mã số người sử dụng sử dụng tất Domain có quyền truy cập vào tài nguyên tài nguyên Domain khác mạng Bằng cách phân chia tài nguyên mạng thành nhiều Domain, có nhiều thuận lợi việc tổ chức quản lý số lượng lớn tài nguyên đơn vị phù hợp Mơ hình nhiều Domain có ưu điểm mạng nhiều người dùng tài ngun nhóm cách logic theo cơng việc Tuy nhiên nhóm cục 186 IT102_Phụ lục B_v1.0013103214 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT toàn cục phải xác định nhiều lần mã số người sử dụng phải chứa nhiều Domain Hình B.10: Mơ hình nhiều Domain B.2.3.4 Mơ hình tin cậy hồn tồn (complete trust) Mơ hình tin cậy hồn tồn mơ hình mà Domain quan hệ tin cậy chiều với Domain khác Với mô hình này, người sử dụng truy cập vào Domain mạng từ máy trạm Mơ hình áp dụng với qui mô mạng tùy ý phù hợp cho quan khơng có nhóm quản trị tập trung, cho phép không hạn chế số người khai thác mạng số nhóm Mỗi phận đơn vị kiểm soát mã số người sử dụng tài ngun phận tài nguyên mã số người sử dụng nhóm thành Domain Hình B.11: Mơ hình nhiều Mơ hình tin cậy hoàn toàn B.2.4 Các mặt hạn chế mơ hình Domain Mơ hình vùng có số kẽ hở cấu trúc Những hạn chế Domain thảo luận nhằm mục đích giúp bạn thiết kế mạng xác hồn hảo: Domain NT đơn điệu theo nghĩa khơng có cách diễn tả quan hệ phân cấp nhóm tài nguyên vùng đơn Người dùng sử dụng quyền ủy thác thể quan hệ vùng, quan hệ sử dụng khơng thích hợp cho việc tổ chức mạng dựa phạm vi địa lý, tài nguyên sở hữu, logic tảng sơ đồ tổ chức Mơ hình vùng Domain theo Microsoft thích hợp cho mạng 40.000 người dùng nhóm Khi số người dùng nhóm tăng lên, số quan hệ IT102_Phụ lục B_v1.0013103214 187 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT ủy quyền chi phí quản lý quan hệ tăng Nói cách khác chi phí quản lý mạng tăng kích thước mạng tăng Người dùng phải cẩn trọng kẽ hở quan hệ ủy quyền - đặc biệt quan hệ ủy quyền hai chiều Nếu không cẩn thận việc gán quan hệ ủy quyền khơng có kế hoạch đắn, người sử dụng kết thúc mơ hình ủy quyền trọn vẹn, với tất hạn chế mơ hình kèm Ngồi có nguy thực xảy người cài đặt mạng cài đặt mạng hoạt động tốt thời gian ngắn mạng hoạt động dài hạn nảy sinh vấn đề mặt sách ủy quyền cho 188 IT102_Phụ lục B_v1.0013103214 ... thống toàn mạng máy tính cơng ty cần có hệ thống phần mềm quản lý Cơng ty Hồng Nam lựa chọn hệ điều hành mạng Windows NT để quản lý tác vụ Câu hỏi Cấu trúc hệ điều hành mạng Windows NT nào? Hệ. .. server dùng hệ điều hành Unix B.1.2 Hệ điều hành mạng Windows NT Windows NT hệ điều hành mạng cao cấp hãng Microsoft Phiên đầu có tên Windows NT 3.1 phát hành năm 1993, phiên server Windows NT Advanced... Thơng thường hệ thống mạng có mức quản lý sau: IT102_Phụ lục B_v1.0013103214 177 Phụ lục B: Hệ điều hành mạng Windows NT hệ thống quản lý Windows NT Mức quản lý việc thâm nhập mạng (Login/Password):