(NB) Giáo trình Quản trị mạng 2 cung cấp cho người học những kiến thức như: Triển khai và quản lý windows server 2012; Tổng quan về active directory domain services; Quản lý các đối tượng trong active directory domain services; Cấu hình, quản lý và triển khai DHCP,...Mời các bạn cùng tham khảo!
UBND TỈNH HẢI PHỊNG TRƯỜNG CAO ĐẲNG CƠNG NGHIỆP HẢI PHỊNG GIÁO TRÌNH QUẢN TRỊ MẠNG Chuyên ngành: Kỹ thuật lắp ráp, sửa chữa máy tính (Lưu hành nội bộ) HẢI PHỊNG Bài 1: TRIỂN KHAI VÀ QUẢN LÝ WINDOWS SERVER 2012 Giới thiệu Windows Server 2012 1.2 Các phiên Windows Server 2012 R2 - Windows Server 2012 gồm phiên bản: Datacenter, Standard, Essential, Foundation Windows Server 2012 (tên mã Windows Server 8) tên mã cho hệ điều hành dành cho máy chủ phát triển Microsoft Nó phiên Windows nối tiếp phiên Windows Server 2008 R2 Windows Server phiên Windows Server không hỗ trợ cho máy tính dựa tảng kiến trúc Itanium từ lúc đời Windows NT 4.0 Một phiên phát triển thử nghiệm (phiên Beta) công bố vào ngày tháng năm 2011 tới lập trình viên phát triển Vào ngày tháng năm 2012, Microsoft phát hành phiên Beta công cộng beta (build 8250) Windows Server 2012 gồm phiên bản: Datacenter, Standard, Essential, Foundation Hãng loại bỏ phiên dành cho người dùng doanh nghiệp vừa nhỏ Windows Small Business Server, Windows Home Server - So sánh phiên Windows Server 2012 1.2 Giới thiêu Server Core Server Core: chế độ làm việc hệ điều hành, chế độ hệ điều hành giảm thiểu chức không cần thiết Ví dụ: giảm thiểu thành phần giao diện người dùng, khơng có trình đơn Start, khơng có Desktop Explorer, khơng có MMC, khơng có ứng dụng đồ họa, có giao diện dịng lệnh * Ưu điểm chạy chế độ Server Core: – Tiết kiệm tài nguyên phần cứng: loại bỏ thành phần cần dùng nhiều RAM processor – Tiết kiệm khơng gian đĩa cứng: giảm phần không gian để lưu thành phần hệ điều hành, khơng gian cho q trình chuyển đổi vùng nhớ (swap) không cần nhiều – Giảm thiểu việc nâng cấp liên quan đến thành phần giao diện đồ họa, hạn chế việc phải khởi động lại máy tính, hệ thống có thời gian chết – Giảm cơng từ bên ngồi Windows Server 2012 R2 cho phép chuyển đổi qua lại chế độ Server Core GUI mà cài đặt lại hệ điều hành, sử dụng Windows PowerShell (Windows Server 2008 2008 R2 không cho làm điều này) Như cài đặt Server chế độ GUI, thực cấu hình cần thiết chế độ đồ họa, sau chuyển sang dạng Server Core * Chế độ Minimal Server Interface Là chế độ giao diện người dùng lược bớt số thành phần Ví dụ thành phần bị gỡ bỏ: Internet Explorer, Desktop, File Explorer, ứng dụng Desktop Windows 8, số thành phần Control Panel (Programs and Features, Networking and Sharing Center, Devices and Printers Center, Display, Firewall, Windows Update, Fonts, Storage Spaces) Minimal Server Interface có thành phần sau: Server Manager, MMC, Device Manager, Windows PowerShell 1.3 Các role Windows Server 2012 * Server role gì? Server role tập hợp phần mềm, chúng cài đặt cấu hình cho phép máy tính thực thi chức cụ thể nhiều người dùng máy tính khác mạng Nói chung, role thường có đặc điểm sau: Chúng mơ tả chức chính, mục đích sử dụng máy tính Một máy tính cụ thể dành riêng để thực role sử dụng nhiều doanh nghiệp thực nhiều role role sử dụng Chúng cung cấp cho người dùng quyền truy cập vào tài nguyên quản lý máy tính khác, ví dụ website, máy in, file lưu trữ máy tính khác Chúng thường bao gồm sở liệu riêng, xếp yêu cầu máy tính, người dùng vào hàng đợi, ghi lại thơng tin người dùng mạng máy tính có liên quan đến role Ví dụ, Active Directory Domain Services bao gồm sở liệu để lưu trữ tên mối quan hệ phân cấp tất máy tính mạng Ngay role cài đặt cấu hình, chức chúng thực thi tự động Điều cho phép máy tính cài đặt chúng thực nhiệm vụ với lệnh hạn chế giám sát người dùng * Role Service gì? Role service phần mềm cung cấp chức cho role Khi cài đặt role, bạn chọn role service cho người dùng máy tính khác doanh nghiệp Một số role, DNS Server, có chức khơng có role service Những role khác Remote Desktop Services có vài role service cài đặt, tùy thuộc vào nhu cầu sử dụng máy tính từ xa doanh nghiệp Bạn hiểu nơm na role nhóm role service có liên quan chặt chẽ với nhau, đa phần cài đặt role nghĩa cài đặt nhiều role service * Feature gì? Feature phần mềm, dù khơng phải phần role hỗ trợ tăng cường chức cho nhiều role, cải thiện chức server, không cần biết role cài đặt Ví dụ, Failover Clustering tăng cường chức role khác File Services DHCP Server, cách cho phép role tham gia vào nhóm server để tăng dự phịng cải thiện hiệu suất Một feature khác Telnet Client, cho phép bạn giao tiếp từ xa với máy chủ telnet thông qua kết nối mạng, chức tăng cường tùy chọn giao tiếp server 1.4 Các tính Windows Server 2012 * Tránh trùng lặp liệu Một số bất biến công nghệ ngành công nghiệp IT yêu cầu lưu trữ liệu đòi hỏi gia tăng nhanh Từ việc phình to hộp thư điện tử tràn ngập tài liệu chia sẻ làm doanh nghiệp có nhu cầu sử dụng lưu trữ hiệu Đó lý tính chống trùng lặp liệu (Data deduplication) xuất Chương trình hoạt động sau: Giả sử bạn có số lượng lớn file VHD (virtual hard drive) cần di chuyển Mỗi VHD có nhiều file ứng dụng giống nhau, trị chơi dị mìn minesweeper, Windows calculator ứng dụng khác Accessories Data deduplication gỡ bỏ toàn ứng dụng từ VHD mà giữ lại Sau liệu cịn lại lưu vị trí tách biệt SVI (System Volume Information) trỏ tới file đóng vai trị mẫu nguồn (source template) Việc giúp giải phóng khối lượng lớn khơng gian nhớ đặc biệt áp dụng cho hàng ngàn file Data deduplication có tác dụng với nhiều mạng máy tính khác máy tính chạy Windows hay Windows Server 2012 Nếu bạn có nhiều file liệu cần lưu mà không đủ nhớ tính thực hữu ích * Tùy chọn cài đặt cho phép loại bớt GUI Windows Server 2012 có tùy chọn cài đặt mặc định cho phép cài đặt server core GUI Người dùng cài đặt Windows Server 2012 với giao diện người dùng tối thiểu nhất, tức họ chí có nhiều cách để cài đặt file Windows Server cần Việc giúp làm giảm không gian ổ đĩa, giảm thiểu nguy công từ hacker nhờ hạn chế số lượng file cài xuống tối thiểu * Hyper-V 3.0 Windows Server 2012 nạp nhiều tính mới, có lẽ tính coi cải tiến lớn ảo hóa Hyper-V Từ bỏ VMware, Microsoft bổ sung cho Hyper-V danh sách cải tiến vô ấn tượng Một số hỗ trợ tới 64 xử lý 1TB RAM máy ảo, hỗ trợ tới 320 xử lý phần cứng mức logic 4TB RAM máy chủ (host) Thông điệp rõ ràng: Microsoft làm thứ để đánh đổ vị trí VMware, chọn lựa tảng ảo hóa hàng đầu cho doanh nghiệp thời điểm * Quản lý địa IP (IPAM) Một mối lo lớn nhiều chuyên gia IT giám sát địa IP sử dụng mạng tổ chức IPAM tính Windows Server 2012 cho phép định vị quản lý không gian địa IP mạng Người dùng quản lý giám sát server DNS DHCP Tính khám phá IP tự động cung cấp máy chủ (host) chứa tác vụ khác liên quan đến IP, tập trung vào quản lý, giám sát kiểm kê * Các thay đổi ảo hóa mạng Một khía cạnh cịn khúc mắc việc quản lý cung cấp máy ảo đối phó với quy định chế tài từ quản lý địa IP Microsoft tiến hành cải tiến lớn cho ảo hóa mạng Windows Server 2012, tất nhắm tới xử trí vấn đề liên quan đến địa IP máy ảo Tính mở đường cho thừa nhận đám mây riêng, tháo dỡ rào chắn cho phép tiếp cận IaaS dễ dàng * Re-FS Định dạng file hệ thống NTFS sử dụng thập kỷ qua Microsoft Các yêu cầu gần từ ảo hóa điện tốn đám mây riêng địi hỏi nhiều từ NTFS, Microsoft định bổ sung tính gia cố tính cho NTFS Kết nâng cấp NTFS gọi Re-FS xuất Re-FS hỗ trợ file kích thước thư mục lớn hơn, dọn dẹp ổ đĩa, cải thiện hiệu năng, hỗ trợ ảo hóa nâng cao… * Chuyển dịch máy ảo Một tính ấn tượng Hyper-V 3.0 shared nothing live migration, cho phép người dùng di dời máy ảo từ máy sang máy khác với đòi hỏi phải có lưu trữ chung trước tiến hành chuyển nhượng Tính có lợi cho phận IT nhỏ giúp dễ dàng di dời máy ảo mà không cần lưu trữ chia sẻ đắt tiền Đây tính ấn tượng Windows Server 2012 giúp cho phòng ban IT vừa nhỏ trở nên nhạy bén phản ứng nhanh nhu cầu doanh nghiệp khách hàng * Kho lưu trữ không gian lưu trữ Việc sử dụng hiệu tất dạng lưu trữ tách biệt đơi cơng việc khó khăn, đặc biệt nhu cầu lưu trữ ngày gia tăng Microsoft hi vọng giúp nhà quản trị giải vấn đề cách giới thiệu hai khái niệm Storages Spaces Windows Server 2012 Kho lưu trữ (Storage Pools) tổng hợp thiết bị lưu trữ vật lý vào đơn vị gắn kết giúp dễ dàng việc bổ sung dung lượng nhớ cắm thêm lưu trữ Như đề cập trước đó, thiết bị lưu kho lưu đồng loại thiết bị hay kích thước lưu trữ Bạn kết hợp thiết bị kích thước lưu trữ Không gian lưu trữ (Storage Spaces) cho phép người dùng tạo ổ đĩa ảo có đặc điểm thiết bị thực: Có thể cắm, tháo, lưu dự phòng mặt khác quản lý với ổ đĩa vật lý truyền thống Nhưng Spaces chí cịn có tính hữu ích Chúng có thêm chức phụ lưu dự phịng, khơi phục… * PowerShell 3.0 Microsoft hỗ trợ PowerShell Windows Server 2012 Hơn 2000 câu lệnh PowerShell (cmdlet) bổ sung cho phép nhà quản trị quản lý môi trường Windows Server tốt Bản cập nhật cải thiện khả truy cập Web, hẹn lịch, hỗ trợ phiên ngắt kết nối nhiều tính khác * Những thay đổi CHKDSK Ứng dụng CHKDSK sử dụng từ MS-DOS 1.0 gia cố Windows Server 2012 Thay lượng lớn thời gian kiên trì quét qua sector ổ đĩa lớn CHKDSK quét ổ đĩa theo hai bước: dị lỗi ghi lại lỗi (cũng chạy nền) sau vá lỗi liệu Sự khác phiên CHKDSK truyền thống phiên cải tiến rõ nét thời gian: Một số lượt quét kéo dài 150 phút để hồn tất giây phiên cải tiến Cài đặt Windows Server 2012 1.2 Phương thức cài đặt 2.2 Loại cài đặt 2.3 Chọn nâng cấp di chuyển 2.4 Yêu cầu phần cứng Yêu cầu cấu hình phần cứng Cấu hình phần cứng tối thiểu để cài đặt hệ điều hành Windows Server 2012 R2: - Processor: 64-bit, 1.4 GHz - RAM: 512 MB - Đĩa cứng: 32 GB - Độ phân giải hình 1024 x 768 cao hơn- Có chuột (hoặc thiết bị thay chuột), bàn phím - Có kết nối Internet Cấu hình hệ thống tối đa mà Windows Server 2012 R2 Windows Server 2008 R2 hỗ trợ: 10 - Logical processors : 640 - RAM: 4TB Không giống vi xử lý trước, Windows Server chuyển đổi Server Core GUI (đầy đủ) tùy chọn cài đặt mà khơng cần q trình cài lại hệ thống Cũng có tùy chọn cài đặt bên thứ cho phép MMC Server Manager hoạt động, thiếu Windows Explorer phần khác GUI shell 2.5 Cài đặt Cấu hình sau cài đặt Windows Server 2012 3.1 Giới thiệu cấu hình sau cài đặt 3.2 Cấu hình thiết lập mạng Server 3.3 Gia nhập Domain Thông tin cần thiết cho tên miền tham gia: • Tên miền • Tài khoản phép tham gia máy tính vào miền 3.4 Kích hoạt Windows Server 2012 3.5 Cấu hình cài đặt Server Core 11 BÀI 2: TỔNG QUAN VỀ ACTIVE DIRECTORY DOMAIN SERVICES GIỚI THIỆU VỀ AD DS 1.1 Khái quát AD DS AD DS bao gồm thành phần logic thành phần vật lý 1.2 AD DS Domain AD DS yêu cầu nhiều điều khiển miền • Tất điều khiển miền giữ sở liệu miền, đồng hóa liên tục • Miền mà tài khoản người dùng, tài khoản máy tính nhóm tạo • Miền ranh giới nhân rộng • Miền trung tâm hành để định cấu hình quản lý đối tượng • Bất kỳ điều khiển miền xác thực đăng nhập đâu miền • Tên miền cung cấp ủy quyền 1.3 OUs Các thùng chứa sử dụng để nhóm đối tượng miền Tạo OU để: • Cấu hình đối tượng cách gán GPO • Ủy quyền hành 12 1.4 AD DS Forest 1.5 AD DS Schema Schema định nghĩa đối tượng lưu trữ AD DS TỔNG QUAN VỀ DOMAIN CONTROLLER 2.1 Domain Controller Domain Controller • Máy chủ lưu trữ sở liệu AD DS (Ntds.dit) SYSVOL 13 • Dịch vụ xác thực Kerberos dịch vụ KDC thực xác thực • Thực hành tốt nhất: + Khả dụng: Ít hai điều khiển miền miền • Bảo vệ: RODC BitLocker 2.2 Global Catalog 2.3 Quá trình đăng nhập AD DS Quá trình đăng nhập AD DS: Tài khoản người dùng xác thực với điều khiển miền Bộ điều khiển miền trả TGT trở lại máy khách Máy khách sử dụng TGT để đăng ký quyền truy cập vào máy trạm Bộ điều khiển miền cấp quyền truy cập vào máy trạm Máy khách sử dụng TGT để đăng ký quyền truy cập vào máy chủ Bộ điều khiển miền trả quyền truy cập vào máy chủ CÀI ĐẶT MỘT DOMAIN CONTROLLER 3.1 Cài đặt Domain Controller từ Server Manager 3.2 Cài đặt Domain Controller Windows Server Core 14 Cài đặt AD DS trình gồm hai bước cho dù bạn sử dụng phương pháp cài đặt • Phương pháp 1, sử dụng Server Manage Windows 2012 Server có giao diện GUI để kết nối với hệ thống Cài đặt tệp cách cài đặt Active Directory Domain Services role Cài đặt domain controller role cách chạy Active Directory Domain Services Configuration Wizard • Phương pháp 2, Sử dụng Windows PowerShell cục từ xa sử dụng WinRM Cài đặt tệp cách chạy lệnh Install-WindowsFeature AD-Domain-Services Cài đặt domain controller role cách chạy lệnh Install-ADDSDomainControll 3.3 Nâng cấp lên Domain Controller Tùy chọn nâng cấp AD DS lên Windows Server 2012: • Nâng cấp chỗ từ Windows Server 2008 lên Windows Server 2012 Lợi ích: Ngoại trừ kiểm tra tiên quyết, tất tệp chương trình giữ nguyên vị trí khơng có cơng việc bổ sung cần thiết Rủi ro: Có thể để lại tập tin DLL cũ • Giới thiệu máy chủ Windows Server 2012 vào miền quảng bá trở thành điều khiển miền • Tùy chọn thường thích hợp Lợi ích: Máy chủ khơng có cài đặt tệp kế thừa tích lũy Rủi ro: Có thể cần thêm công việc để di chuyển quản trị viên Tệp cài đặt THỰC HÀNH Bài 3: QUẢN LÝ CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY DOMAIN SERVICES QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG 1.1 Công cụ AD DS Administration Để quản lý đối tượng AD DS, bạn sử dụng cơng cụ đồ họa sau: • Active Directory Administration snap-ins 15 • Active Directory Administrative Center Bạn sử dụng cơng cụ dịng lệnh sau: • Mơ-đun Active Directory Windows PowerShell • Lệnh dịch vụ thư mục 1.2 Tạo tài khoản người dùng 1.3 Cấu hình thuộc tính tài khoản người dùng - Log on hours - Log on to 1.4 Tạo hồ sơ người dung Thực hành: • Use the Active Directory Administrative Center to manage user accounts Delete a user account Create a new user account Move the user account View the WINDOWS POWERSHELL HISTORY • Use Windows PowerShell to manage user accounts 16 Find inactive user accounts Find disabled user accounts Delete disabled user accounts QUẢN LÝ NHĨM 2.1 Các loại nhóm 2.2 Phạm vi nhóm 2.3 Triển khai quản lý nhóm 17 18 2.4 Các nhóm mặc định Quản lý cẩn thận nhóm mặc định cung cấp đặc quyền quản trị, nhóm này: • Thơng thường có đặc quyền rộng mức cần thiết cho hầu hết môi trường ủy quyền • Thường áp dụng bảo vệ cho thành viên họ 19 QUẢN LÝ TÀI KHOẢN MÁY TÍNH 3.1 Computers Container 3.2 Xác định vị trí tài khoản máy tính 3.3 Điều khiển ủy quyền để tạo tài khoản máy tính QUẢN LÝ ỦY QUYỀN 4.1 Xem xét sử dụng OU 4.2 Giấy phép AD DS 4.3 Tác động giấy phép AD DS THỰC HÀNH 20 Bài 4: CẤU HÌNH, QUẢN LÝ VÀ TRIỂN KHAI DHCP GIỚI THIỆU VỀ ROLE DHCP SERVER 1.1 Lợi ích sử dụng DHCP DHCP giảm độ phức tạp số lượng công việc quản trị cách sử dụng cấu hình IP tự động 1.2 DHCP phân bổ địa IP 1.3 Cơ chế hoạt động DHCP 21 1.4 DHCP Relay Agent 22 CẤU HÌNH DHCP SCOPES 2.1 DHCP Scopes DHCP Scopes dải địa IP mà DHCP Server có khả cung cấp cho client Các thuộc tính DHCP Scopes: • ID mạng • Thời gian thuê • Tên phạm vi • Mặt nạ mạng • Phạm vi địa IP mạng • Phạm vi loại trừ 2.2 DHCP Reservation 23 2.3 DHCP Option DHCP Option: • Là giá trị cho liệu cấu hình chung • Áp dụng cho máy chủ, phạm vi, đặt chỗ tùy chọn lớp Các tùy chọn phạm vi phổ biến là: • Bộ định tuyến (Cổng mặc định) • Tên DNS • Máy chủ DNS • Máy chủ THẮNG Bạn áp dụng tùy chọn DHCP nhiều cấp độ khác nhau: • Người phục vụ • Phạm vi • Lớp học • Khách hàng dành riêng Thông thường, bạn không áp dụng lớp học dành riêng tùy chọn khách hàng Bài 5: THỰC HÀNH TỔNG HỢP 24 Bài 6: DỊCH VỤ TÊN MIỀN DNS TỔNG QUAN VỀ DNS 1.1 Giới thiệu DNS DNS sử dụng để: • Giải tên máy chủ thành địa IP • Xác định vị trí điều khiển miền máy chủ cửa hàng tồn cầu • Giải địa IP để lưu trữ tên • Xác định vị trí máy chủ thư gửi email 25 1.2 Đặc điểm DNS CÀI ĐẶT VÀ CẤU HÌNH DNS SERVER 2.1 Truy vấn DNS • Truy vấn đệ quy lặp • Máy khách DNS máy chủ DNS bắt đầu truy vấn • Máy chủ DNS có thẩm quyền khơng có thẩm quyền cho khơng gian tên • Máy chủ DNS có thẩm quyền cho khơng gian tên: Trả địa IP yêu cầu Trả tên ủy quyền Khơng, tên khơng tồn • Máy chủ DNS khơng có thẩm quyền cho khơng gian tên: Kiểm tra đệm Sử dụng giao nhận Sử dụng gợi ý gốc 26 27 BÀI 07: CẤU HÌNH VÀ QUẢN LÝ CÁC THIẾT BỊ LƯU TRỮ LÝ THUYẾT Giới thiệu công nghệ lưu trữ 1.1 Hiệu loại ổ cứng 28 1.2 Direct Attached Storage Lưu trữ đính kèm trực tiếp (DAS) gắn trực tiếp máy chủ - Ưu điểm: + Dễ dàng cấu hình + Giá thành rẻ - Nhược điểm + Chậm + Bị cô lập đĩa gắn máy chủ 1.3 Network Attached Storage Lưu trữ đính kèm mạng (NAS) lưu trữ gắn vào thiết bị lưu trữ chuyên dụng truy cập thông qua mạng chia sẻ - Ưu điểm: + Tương đối rẻ tiền, NAS cung cấp lưu trữ tập trung với giá phải + Dễ dàng cấu hình - Nhược điểm: + Thời gian truy cập chậm + Không phải giải pháp cho doanh nghiệp 29 1.4 Storage Area Network (SAN) SAN cung cấp tính sẵn sàng cao với tính linh hoạt - Ưu điểm: + Thời gian truy cập nhanh + Dễ dàng mở rộng + Lưu trữ tập trung + Mức độ dư thừa cao - Nhược điểm: + Đắt + Yêu cầu kỹ chuyên ngành Triển khai SAN cách sử dụng Kênh sợi quang iSCSI 1.5 RAID - Kết hợp nhiều đĩa thành đơn vị logic để cung cấp khả chịu lỗi hiệu suất - Cung cấp khả chịu lỗi cách sử dụng: + Ánh xạ đĩa + Thông tin chẵn lẻ 30 - Có thể cung cấp lợi ích hiệu suất cách trải rộng đĩa I/O nhiều đĩa - Có thể cấu hình nhiều cấp độ khác - Không nên thay lưu máy chủ 1.6 Các loại RAID 31 1.7 Những tính lưu trữ Windows Server 2012 Windows Server 2012 R2 Windows Server 2012 and Windows Server 2012 R2 provide several file and storage services enhancements including: • Storage Spaces • Data deduplication • iSCSI Target Server • Management enhancements • Work Folders • DFS enhancements QUẢN LÝ ĐĨA PHÂN VÙNG 2.1 Chọn loại định dạng 2.2 Chọn loại ổ đĩa 32 2.3 Chọn hệ thống File 2.4 ReFS ReFS hệ thống tệp tích hợp Windows Server 2012 Ưu điểm bao gồm: • Toàn vẹn siêu liệu với tổng kiểm tra • Luồng toàn vẹn với toàn vẹn liệu người dùng • Phân bổ mơ hình giao dịch ghi • Kích thước khối lượng lớn, tệp thư mục (2 ^ 78 byte với kích thước cụm 16 KB) • Lưu trữ ảo hóa • Phân loại liệu cho hiệu suất dự phịng • Chà đĩa để bảo vệ chống lại lỗi đĩa tiềm ẩn • Khả phục hồi tham nhũng với phục hồi • Kho lưu trữ dùng chung máy 2.5 Mount Points Links 2.6 Mở rộng co lại phân vùng 33 2.7 Quản lý ổ đĩa ảo THỰC HÀNH Bài tập 1: Cài đặt cấu hình ổ đĩa Bài tập 2: Thay đổi kích thước phân vùng BÀI 08: CẤU HÌNH VÀ QUẢN LÝ VIỆC CHIA SẺ TÀI NGUYÊN VÀ MÁY IN Bảo vệ tập tin thư mục 1.1 File Permission Quyền truy cập tệp tin kiểm soát truy cập file thư mục định dạng NTFS - Quyền tệp tin + Cấu hình cho tệp tin thư mục + Có thể cho phép từ chối + Quyền thừa kế từ thư mục cha - Quyền ưu tiên xung đột + Được từ chối + Được định cho phép + Được từ chối kế thừa + Chấp nhận kế thừa 1.2 Shared Folder Thư mục chia sẻ cho phép máy mạng truy cập nội dung thư mục Các thư mục chia sẻ, tệp riêng lẻ Thư mục dùng chung ẩn cách tạo chia sẻ với $ cuối tên chia sẻ Truy cập thư mục dùng chung đường dẫn UNC: \\SERVER\Data(chia sẻ tiêu chuẩn) \\SERVER\Data$ (chia sẻ ẩn) 1.3 Kế thừa quyền Kế thừa sử dụng để quản lý quyền truy cập vào tài nguyên mà không gán quyền rõ ràng đến đối tượng 34 Theo mặc định, quyền kế thừa mối quan hệ parent/child Chặn kế thừa: + Bạn chặn quyền thừa kế + Bạn áp dụng chặn tệp thư mục cấp độ + Bạn đặt chặn thư mục để truyền bá quyền cho đối tượng 1.4 Hiệu lực quyền Khi kết hợp hệ thống file thư mục chia sẻ quyền quyền hạn chế áp dụng Ví dụ: Nếu người dùng nhóm có thư mục dùng chung có quyền Read quyền tệp tin Write người dùng nhóm có quyền Read nội dung thư mục tệp tin hạn chế Người dùng phải có quyền hệ thống tệp tin chia sẻ quyền thư mục không người dùng bị từ chối truy cập vào tài nguyên 1.5 Access-Based Enumeration Truy cập sở liệt kê cho phép quản trị viên để kiểm soát khả hiển thị thư mục chia sẻ theo quyền thiết lập thư mục chia sẻ Truy cập sở liệt kê: + Được tích hợp vào Windows Server 2012 + Có sẵn cho thư mục chia sẻ + Cấu hình sở thư mục chia sẻ 1.6 Offline File Offline File cho phép máy tính khách truy cập vào nhớ cache mạng nội tệp cục để sử dụng ngoại tuyến chúng bị ngắt kết nối từ mạng Bảo vệ tệp tin thư mục chia sẻ sử dụng Shadow Copies 2.1 Shadow Copies Tài liệu máy tính chứa đựng liệu quan trọng, file dễ bị lỗi nhiều nguyên nhân khác Có nhiều cơng cụ để khơi 35 phục liệu khắc phục vấn đề Ta sử dụng Shadow Copies Windows Server Backup để hỗ trợ việc Shadow Copy tạo volume NTFS để tự động tạo backup file hay liệu volume Khi kích hoạt, chức Shadow Copy bảo vệ bạn không vô tình file quan trọng mạng chia sẻ Hãy nhớ người dùng xoá file từ network, file vĩnh viễn Vì Shadow Copy cho phép người dùng xem phiên trước file, chức cho phép họ khơi phục lại lưu file xố Shadow Copies có đặc điểm sau: + Cho phép truy cập vào phiên trước tệp + Dựa theo dõi thay đổi đĩa + Dung lượng đĩa phân bổ ổ đĩa + Khi không gian đầy, cũ bị xóa + Khơng phải thay cho lưu + Không phù hợp để khôi phục sở liệu Mặc dù backup thực có hiệu quả, khơng gian ổ đĩa cứng có hạn Nếu hệ thống bạn hoạt động ổn định lại dần thiếu thốn dung lượng trống để lưu trữ tài liệu khác, bạn cần nghĩ đến việc xóa bớt làm lưu từ thiết lập Xóa bỏ tồn Shadow Copies Xóa bỏ Shadow Copies cũ 36 Giảm lượng khơng gian lưu trữ có sẵn cho Shadow copies Tạo điểm phục hồi Windows 7 Tại cửa sổ System Protection ta chọn Create để tạo điểm phục hồi Khôi phục liệu từ điểm phục hồi Windows 7 Từ cửa sổ System Protection ta chọn System Restore 2.2 Cân nhắc sử dụng Shadow Copies 37 Tạo lịch Shadow Copies dựa trên: + Dung lượng máy chủ + Tần suất thay đổi + Tầm quan trọng thay đổi Ta chọn nút Settings chọn Schedule để lập lịch cho Shadow Copies 2.3 Sử dụng Shadow Copies 2.3.1 Cấu hình Shadow Copies Windows Serverr 2012 Nháy phải vào ổ đĩa cần tạo Shadow Copies chọn Propeties chuyển sang tab Shadow Copies Chọn ổ đĩa cần tạo Shadow Copies chọn Enable để kích hoạt chọn Yes Tại Shadow copies of selected volume chọn mốc thời gian chọn nút Create Now 2.3.2 Khôi phục liệu sử dụng Shadow Copies Các phiên trước truy cập từ Thuộc tính hộp thoại tập tin thư mục Quản trị viên khơi phục phiên trước trực tiếp máy chủ Người dùng khôi phục phiên trước qua mạng Tất người dùng có thể: + Khơi phục tập tin thư mục + Duyệt phiên trước để chọn phiên + Sao chép tập tin thư mục vào vị trí thay Trên Windows Server 2012 ta làm sau: + Ta xóa số tệp tin ổ thiết lập + Nháy phải vào ổ đĩa cần phục hồi chọn Propeties Shadow Copies + Chọn mốc thời gian tạo sau chọn Revert… + Tại cửa sổ Volume revert chọn Revert Now… 38 Cấu hình máy in mạng 3.1 Lợi ích in ấn qua mạng Quản lý tập trung thông qua Bảng điều khiển quản lý in Xử lý cố đơn giản Tổng chi phí thấp Tìm kiếm dễ dàng 3.2 Enhanced Point Print Enhanced Point Print sử dụng mơ hình trình điều khiển v4 để cung cấp cấu trúc quản lý đơn giản hóa cho trình điều khiển in ấn mạng Lợi ích Enhanced Point Print: + Máy chủ in ấn không cần lưu trữ trình điều khiển in máy khách + Tệp trình điều khiển bị lập, ngăn ngừa xung đột đặt tên tệp + Một trình điều khiển hỗ trợ nhiều thiết bị + Gói trình điều khiển nhỏ cài đặt nhanh + Trình điều khiển in giao diện người dùng máy in triển khai độc lập 3.3 Tùy chọn bảo mật cho in ấn qua mạng Bảo mật mặc định cho phép người: + In + Quản lý công việc in ấn riêng họ Các quyền có sẵn là: + In + Quản lý máy in + Quản lý tài liệu 3.4 Printer Pooling Tập hợp máy in kết hợp nhiều máy in vật lý thành đơn vị logic Nhóm máy in tăng tính khả dụng khả mở rộng Yêu cầu: + Tất máy in phải sử dụng trình điều khiển + Tất máy in phải vị trí 3.5 Branch Office Direct Printing Branch Office Direct Printing cho phép máy tính khách in trực tiếp tới máy in mạng chia sẻ máy chủ in 39 THỰC HÀNH Bài tập 1: Tạo cấu hình chia sẻ tập tin • Tạo thư mục chia sẻ • Gán quyền cho thư mục dùng chung • Cấu hình liệt kê access-based • Cấu hình Offline File Bài tập 2: Cấu hình Shadow Copies • Cấu hình shadow copies • Tạo tập tin • Tạo shadow copies • Sửa đổi tập tin • Khơi phục phiên trước Bài tập 3: Tạo cấu hình Print Pool 40 BÀI 10: THỰC THI CÁC CHÍNH SÁCH GROUP POLICY Giới thiệu Group Policy 1.1 Các thành phần Group Policy Triển khai Central Store 3.1 Central Store - Là kho lưu trữ trung tâm cho tệp ADMX ADML + Được lưu trữ SYSVOL + Phải tạo thủ công + Được phát tự động hệ điều hành Windows - Công cụ ADMX Migrator Microsoft phần bổ sung miễn phí cho Microsoft Management Console (MMC) cung cấp GUI để chỉnh sửa tệp ADMX thay bạn phải sử dụng trình soạn thảo văn - Các tệp ADMX đặt C:\Windows\PolicyDefinitions - Để hiển thị cài đặt sách ngôn ngữ cụ thể, tệp ADMX tham chiếu tệp tài nguyên ngôn ngữ cụ thể (tệp ADML) thư mục vị trí 3.2 Administrative Template 3.3 Administrative Template hoạt động - Thay đổi sách Administrative templates thay đổi Registry - Thay đổi viêc ngăn chặn truy cập thay giá trị đổi khóa HKLM\Software\ Classes\Regedit Registry 41 3.4 Thiết lập sách quản lý khơng quản lý Thiết lập sách quản lý: • UI bị khóa; người dùng khơng thể thay đổi cài đặt • Thay đổi thực bốn khóa đăng ký dành riêng • Thay đổi khóa UI giải phóng người dùng / máy tính rơi khỏi phạm vi Thiết lập sách khơng quản lý: • Giao diện người dùng khơng bị khóa • Thay đổi thực liên tục: xăm hình đăng ký • Chỉ cài đặt quản lý hiển thị theo mặc định • Đặt tùy chọn Bộ lọc để xem cài đặt không quản lý BÀI TẬP THỰC HÀNH Bài tập số 1: Bài tập số 2: Với hệ thống mạng có, em cấu hình sách Domain theo u cầu sau: Đặt hình tất cho máy tính mạng Khơng cho người dùng sử dụng Registry Không cho hiển thị Last Logon Không cho người dùng sử dụng Task Manager Không cho người dùng sử dụng Command Prompt Không cho hiển thị hộp thoại Run Sao lưu phục hồi Policy Các sách áp dụng cho OU Giao Vien gồm tài khoản hanh, duc, manh 42 Hướng dẫn Tạo OU, Group User Add User vào Group tương ứng Tạo thư mục Anh Nen ổ đĩa C Server chia sẻ thư mục Cấu hình GPO: StartServer Manager Vào menu Tools Group Policy Management Nháy phải chuột vào OU Giao Vien chọn Create a GPO in this domain, and Link it here… Tại cửa sổ New GPO ta khai báo tên GPO (VD: Thiet lap anh nen) OK Nháy chuột phải vào sách vừa tạo chọn Edit Chọn User Configuration Policies Administrative Template Desktop Desktop Nháy phải vào Desktop Wallpaper chọn Edit Chọn Enable Tại Wallpaper Name ta đưa đường dẫn tới thư mục chia sẻ VD: \\192.168.1.100\Anh nen\anh1.jpg OK Sau thiết lập xong ta cập nhật GPO lệnh gpupdate /force Tương tự ta khóa Registry Administrative Template System Prevent access to registry editing tools thiết lập Enable Chặn Task Manager Administrative Template System CTRL+ALT+Del Options Remove Task Manager thiết lập Enable Khóa Command Prompt Administrative Template System… Prevent access to the command prompt thiết lập Enable Bài tập số 3: Với hệ thống mạng có, em cấu hình GPO theo u cầu sau: Mọi người truy cập Internet phải thông qua Proxy Server, không phép thay đổi địa Proxy Trên máy làm việc, người đăng nhập vào hệ thống tự động ánh xạ thư mục dùng chung thư mục riêng mạng máy Mỗi người dùng sử dụng thư mục máy Domain Controller: - Thư mục chung thư mục Public ánh xạ thành ổ đĩa L: - Thư mục riêng thư mục có tên trùng với tên tài khoản ánh xạ thành ổ đĩa M: Ví dụ: thư mục riêng tài khoản trung thư mục xuan Hướng dẫn - Để thực cài đặt địa Proxy lên tất máy hệ thống mạng, ta cần sử dụng Group Policy Domain Users Configuration Windows settings Internet Explorer Maintenance Connection Trong thuộc tính Proxy Settings, đánh dấu kiểm 43 mục Enable Proxy settings, nhập địa Proxy cho máy theo yêu cầu (192.168.1.1:8080) - Để không cho phép người dùng thay đổi địa Proxy, ta cấu hình mục Users Configuration Administrative Templates Windows Component Internet Explorervà chọn thuộc tínhDisable Changing Proxy Settings - Để tạo logon Script cho người dùng, ta thực bước sau: + Viết Script ánh xạ ổ đĩa cho người dùng + Sử dụng Group Policy Domain để thực thi Script vừa tạo người dùng đăng nhập vào hệ thống mạng - Để có tác dụng người dùng đăng nhập, ta cần yêu cầu người dùng thoát khỏi hệ thống đăng nhập trở lại, thiết lập ảnh hưởng đến máy tính ta cần khởi động lại máy tính Hướng dẫn chi tiết Cấu hình client sử dụng Proxy Server Cấm người dùng thay đổi Proxy 44 Tự động ánh xạ thư mục a Tạo file script.bat 45 b Thiết lập script tự động ánh xạ Logon sau chọn Add tệp script vừa làm trên Chú ý: Ta phải có thư mục Public thư mục tương ứng với tài khoản phải chia sẻ Bài tập số 4: Với hệ thống mạng có, em thiết lập sách nhóm cho OU HSSV theo u cầu sau: OU HSSV gồm tài khoản tuan phuong Các tài khoản cho chạy chương trình Internet Explorer Wordpad Các tài khoản không sử dụng Control Panel Các tài khoản không bị áp dụng thiết lập Bài tập Em cấu hình hệ thống cách đơn giản để đáp ứng yêu cầu Hướng dẫn - Ta cần tạo OU HSSV, chuyển tài khoản người dùng tương ứng vào OU Sau thiết lập Group Policy cho OU theo yêu cầu đề OU không thừa hưởng Group Policy Domain Users ConfigurationAdministrative TemplatesSystem chọn thuộctính Run only allowed Windows Applications thiết lập Enable Add phần mệm để thiết lập chương trình cho phép thực thi Users ConfigurationAdministrative TemplatesControl Panel chọnthuộc tính Prohibit Access to the Control Panel thiết lập Enable để không cho phép sử dụng Control Panel - Các tài khoản không bị áp dụng thiết lập tập số ta thiết lập Block policy inheritance Hướng dẫn chi tiết 46 Nháy phải OU HSSV chọn Propeties chọn sang tab Group Policy Chọn nút New gõ tên Group Policy (VD: GP_HSSV) Chọn Group Policy vừa tạo chọn Edit User Configuration Administrative Templates System Chọn Run only allowed Windows Applications Chọn Enable chọn Show để Add chương trình cho phép chạy 47 48 ... hành Windows Server 20 12 R2: - Processor: 64-bit, 1.4 GHz - RAM: 5 12 MB - Đĩa cứng: 32 GB - Độ phân giải hình 1 024 x 768 cao hơn- Có chuột (hoặc thiết bị thay chuột), bàn phím - Có kết nối Internet...Bài 1: TRIỂN KHAI VÀ QUẢN LÝ WINDOWS SERVER 20 12 Giới thiệu Windows Server 20 12 1 .2 Các phiên Windows Server 20 12 R2 - Windows Server 20 12 gồm phiên bản: Datacenter, Standard,... disabled user accounts QUẢN LÝ NHĨM 2. 1 Các loại nhóm 2. 2 Phạm vi nhóm 2. 3 Triển khai quản lý nhóm 17 18 2. 4 Các nhóm mặc định Quản lý cẩn thận nhóm mặc định cung cấp đặc quyền quản trị, nhóm này: •