Bài tập Thực hành Mạng máy tính

Tài liệu giúp các bạn cách làm bài thực hành mạng máy tính với một số câu hỏi: Câu 1: Thống kê, mô tả các chính sách khác trên Local Group Policy? Câu 2: Các tính năng mới của GPO trong Windows Server 2012? Câu 3: Thực hiện các chính sách trên computer policy, User Policy của Window? Câu 4: Tạo Domain Controller, thực hiện kết nối máy client vào Domain? ======================================================================== Local Group Policy là một trong những tính năng Windows không phổ biến trong số những người dùng máy tính thông thường, nhưng nó được nhiều người quản trị mạng yêu thích. Khi user đăng nhập thì họ chịu những áp đặt của Hệ Điều Hành, trong quá trình quản lý ta có nhu cầu hạn chế hay thêm vào các quyền hạn của họ khi truy cập ứng dụng hay truy cập tài nguyên. Group Policy có thể áp dụng lên local computer hay môi trường domain

Họ và Tên: Đặng Quốc Hải BÀI TẬP MẠNG MÁY TÍNH 04

Mã sinh viên: xxxx

Câu 1: Thống kê, mô tả các chính sách khác trên Local Group Policy

a) Local Group Policy là gì?

Local Group Policy là một trong những tính năng Windows không phổ biến trong

số những người dùng máy tính thông thường, nhưng nó được nhiều người quản trịmạng yêu thích

Khi user đăng nhập thì họ chịu những áp đặt của Hệ Điều Hành, trong quá trìnhquản lý ta có nhu cầu hạn chế hay thêm vào các quyền hạn của họ khi truy cập ứngdụng hay truy cập tài nguyên

Group Policy có thể áp dụng lên local computer hay môi trường domain

b) Backup và Restore các chính sách

GPO cho phép bạn thực hiện backup các chính sách và restore khi có sự cố xảy ra

c) Các tính năng mới của GPO trong Windows Server 2012

Group Policy Caching (new): khi máy tính đã cập nhật các chính sách policy mới

nhất về máy mình, nó sẽ lưu vào một thư mục trên máy đó (local) Policy này sẽđược đồng bộ lại vào lần tiếp theo khi computer start/reboot, nó sẽ so sánh và cậpnhật những chính sách mới mà nó chưa có Thay vì ở phiên bản Windows Server

cũ là phải download lại toàn bộ policy mới nhất về Điều này giúp giảm đáng kểthời gian logon, thời gian xử lý policy và tiết kiệm băng thông Phù hợp với cácmáy tính dùng tính năng Direct Access

Remote Group Policy Update (New): cho phép đứng trên Group Policy

Management thực hiện lệnh gpupdate /force từ xa, áp dụng đến bất kỳ máy tínhnào trong domain Thực hiện bằng cách chuột phải vào OU –> Group PolicyUpdate –> OK

Group Policy Client Service idle state (Updated): mặc định cứ 90 phút thì GPO

được cập nhật lại một lần, nếu phát hiện người dùng không dùng máy tính trong 10phút (idle time), thì sẽ tắt dịch vụ này Mặc định được Enable sẵn, bạn cũng có thểDisable chính sách tại đây (Computer Configuration \Policies\AdministrativeTemplates\System\Group Policy\Turn off Group Policy Client Service AOACOptimization)

Group Policy Result report improvements (Updated): bảng report chứa nhiều

thông tin hơn như kết nối slow link, thông tin về block inheritance, quá trình xử lýcủa client

d) Công cụ quản lý Local Group Policy

 Mở trình quản lý Local Group Policy

 Đặc điểm của trình quản lý Local Group Policy

Policy gồm 2 phần: Computer Configuration và User Configuration

Các giá trị có trên Policy của Windows: Not configured/Defined: không can thiệpvào policy, để mặc định theo Microsoft ( giá trị mặc định có lúc sẽ là disable

policy, có lúc sẽ là enable policy) Enabled: bật policy Disable: tắt policy.

e) Một số Local Policy thường dùng

 Display shutdown event tracker

Bật/Tắt chức năng “Display shutdown event tracker”: đây là chức năng bắt ta khai

báo lý do nếu tắt server

 Các policy liên quan đến Control Panel

Mở danh mục liên quan đến Control Panel: User Configuration > AdministrativeTemplates > Control Panel

+ Prohibit access to Control Panel and PC settings: cấm truy cập Control Panel.

Bất lợi của policy này là những thiết lập liên quan đến control panel đều bị cấm( Screen solution, Properties Computer, v.v đều bị cấm)

+ Show only specified Control Panel items: chỉ cho phép sử dụng 1 số item trong

control panel do admin chỉ định Bạn kích hoạt “enable” rồi click show, ta nhậpđúng tên item trên control panel mà ta cho phép hiển thị

Ví dụ : chỉ cho phép hiển thị item fonts

Vào cmd gõ lệnh gpupdate /force thu được kết quả.

 Các policy liên quan đến Destop

Mở danh mục Policy liên quan đến Desktop: User Configuration > Administrative Templates > Desktop

+ Remove Recycle Bin icon from desktop: mất icon Recycle Bin ở desktop (muốn

mất thì enable policy này)

 Các policy liên quan đến Start Menu và Taskbar

Mở danh mục Policy liên quan đến Start Menu và Taskbar: User Configuration > Administrative Templates > Start Menu and Taskbar

+ Remove Run menu from Start menu: cấm chạy menu Run (bấm Windows + R

cũng bị cấm)

 Các policy liên quan đến System

+ Prevent access to the command prompt: cấm sử dụng cmd

+ Don’t run specified Windows application: cấm các ứng dụng của Windows Kíchhoạt ‘enable’, chọn show

Mỗi ứng dụng sẽ có file thực thi (*.exe), chỉ cần add file thực thi là policy cấm được ứng dụng

Ví dụ: cấm internet explore (IE), file thực thi của IE là iexplore.exe

f) Các security policy thường gặp

 Account Policies (chính sách tài khoản)

 Local Policies (các chính sách cục bộ)

+ User rights assignment: gán quyền cho người dùng.

+ Security Option: Trong giao diện log-on, mặc định hệ thống hiển thị các user

đang có => không bảo mật, ta dùng policy

g) Các policy liên quan đến vấn đề truy cập tài nguyên mạng.

+ Security Options:

Network access: Sharing and security model for local accounts: Các chế độ truy

cập mạng

Account: Limit local account use of blank password to console log on only: cấm

tài khoản không có password truy cập tài nguyên

+ User Rights Assignment:

Access this computer from the network: cho phép user, group truy cập tài

nguyên (mặc định là tất cả user)

Deny access to this computer from the network : cấm user, group nào đó truy

cập tài nguyên (nếu vừa allow, vừa deny thì deny ưu tiên hơn)

Start -> Run -> MMC -> Add/Remove Snap-in -> Group Policy Object Editor -> Browse -> tab user chỉ định user cụ thể -> OK (muốn thêm bao nhiêu user thì làm

lại bấy nhiêu lần)

Lưu ý 1: Các policy lưu trong 1 file là có đường dẫn là: C:\ Windows \ System32 \

Group Policy

Câu 2: Thực hiện các chính sách trên computer policy, User Policy của

Window

Bước 1: Mở run lên => gõ lệnh gpedit.msc

Bước 2: Sau khi giao diện Local Group Policy Editor mở lên: Local Computer

Policy > Computer Configuaration >Administrator Templates > System Ở khung bên phải Double click vào dòng Display Shutdown Event Tracker

Bước 3:Chọn Disabled và nhấn OK

Bước 4: Mở của sổ Control Panel Ta thấy truy cập được cửa sổ này

Bước 5: Tiếp tục, mở run> gõ gpedit.msc Lần lượt mở theo đường dẫn: Local

Computer Policy > User Configuration > Administrative Templates >Control Panel

Bước 6: Ở khung bên phải Double Click vào dòng prohibit access to Control Panel

and PC Settings Chọn Enable và nhấn OK

Bước 7: Kiểm tra: ta mở Control Panel sẽ xuất hiện thông báo ngăn chặn truy cập

Điểu chỉnh policy user configuration

Bước 1: Nhấn biểu tượng Windows, trở lại màn hình Destop Mở RUN gõ lệnh

gpedit.msc Lần lượt mở theo đường dẫn Local Computer Policy > User

Configuration > Administrative Templates > Destop

Bước 2: Ở ô bên phải, nhấn double click vào dòng Remove Recycle Bin icon from

destop >Enable và chọn OK

Bước 3: Ta mở cmd lên và gõ lệnh: gpupdate/force

Bước 4: Vào màn hình chính kiểm tra, thoát và đăng nhập lại user sẻ thấy mất biểu

tượng rác Recycle Bin trên Destop

Bước 5: Ở bước trên ta sử dụng Command Prompt để cập nhật trực tiếp chính sách

của hệ điều hành

Vậy để chặn không cho User truy cập vào CMD thì ta cần làm thế nào?

Bước 1: Tương tự với cách mở trên ta mở RUN len gõ: gpedit.msc Sau đó lần

lượt mở theo đường dẫn: Local Computer Policy > User Configulation >

Administrative Templates => Systems Ở ô bên phải chọn Prevent access như hình

Bước 2: Sau khi chọn prevent access to the command prompt, chọn Enabled và

OK

Bước 3: Kiểm tra vào cmd sẻ thấy thông báo lỗi.

Sau khi thực hiện xong, chúng ta trả các Policy về lại trạng thái ban đầu.

Họ và tên: Đặng Quốc Hải THỰC HÀNH MẠNG MÁY TÍNH

Mã sinh viên: 2001170046 Tiết 7-11, chiều thứ 4

Bài 1: Tạo Domain Controller, thực hiện kết nối máy client vào Domain a) Tạo Domain Controller

Bước 1: Đặt địa chỉ IP tĩnh cho máy tính được chọn làm Domain Controller

Bước 2: Mở Server Manager lên, sau đó chọn Add Roles and Features

Lúc này xuất hiện màn hình giới thiệu chọn Next để qua bước tiếp theo

Bước 3: Màn hình Select installation type Chọn Role based or… Click Next

Bước 4: Màn hình Select Destination Server, chọn Select a Server from the server pool, Click Next

Bước 5: Ở màn hình Select Server Roles, bạn đánh dấu chọn vào ô Active

Directory Domain Services Chương trình sẽ yêu cầu cài thêm các Features, bạn Click Add Features,

Các bước còn lại bạn nhấn Next theo mặc định Màn hình Confirm installation selections,đánh dấu chọn vào ô Restart the destination server automatically if required (hệ thống sẽ tự khởi động lại khi có yêu cầu), Click Install, để bắt đầu cài đặt

Bước 6: Sau khi hoàn tất, màn hình Installation progress nhấp vào Promote this Server to a domain controller để nâng cấp domain

Màn hình Deployment Configuration, chương trình cung cấp cho bạn ba tùy chọn:

 Add a domain controller to an existing domain: Thêm một ADC vào domain có sẵn

 Add a new domain to an existing forest: Xây dựng domain mới trong forest có sẵn

 Add new forest: xây dựng máy DC đầu tiên của forest

Do chúng ta đang xây dựng DC đầu tiên nên Bạn chọn vào tùy chọn đầu tiên là Add a new forest

Mục Specify the domain information for this operation: nhập vào tên domain tên

của công ty mà bạn muốn làm DC

Sau đó, click Next

Màn hình Domain Controller Options,Forest functional Level và Domain

functional Level: tùy theo hệ thống của bạn đang sử dụng các phiên bản Windows Server nào thì ta chọn cho tương ứng Chi tiết hơn bạn có thể xem thêm ở đây

Bạn đánh dấu chọn vào ô Domain Name System (DNS) server để cài đặt thêm DNS cho DC

Tiếp theo bên dưới là ô Global Catalog (GC) Mục này bắt buộc vì DC đầu tiên cũng chính là GC

Bên dưới là mục Type the Directory Services Restore Mode (DSRM) password, bạn nhập vào mật khẩu Mật khẩu này dùng để khôi phục AD ở chế độ Restore Mode

Lưu ý: Password nên bao gồm; ký tự hoa, thường, đặc biệt hoặc ký tự số và từ 7 ký

tự trở lên, sau đó click Next

Màn hình DNS Options, bạn Click Next,

Bước 7: Tại đây bạn có thể đặt lại tên NetBIOS domain name hoặc sử dụng tên mặc định, sau đó click next.

Bước 8: Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu của PAD, log files và SYSVOL và click Next

Bước 8: Bạn xem lại thông tin vừa mới cài đặt các bước ở trước và click Next.

Sau khi Next, Bước này mình đang bị lỗi, nên phải mở CMD lên để sửa

Bước này mình gõ mật khẩu đã tạo lúc đầu vào ( màn hình cmd này nó không hiển thị password lên).

Tiếp theo, ta ấn vào Rerun prerequisistes check để load lại Bước này mình quên chụp lại màn hình nên mình lấy hình tham khảo trên mạng nha Ấn Install để cài đặt

Bước 9: Restat lại máy

Sau khi máy tính đã khởi động lại, bạn nhấp chuột phải This PC => chọn

Properties hoặc bạn dùng tổ hợp phím Window + Break để xem thông tin domain

đã được cập nhật

Bước 10: Join máy Workstation vào Domain Mở run lên và gõ lệnh sysdm.cpl, trong tab Computer Name nhấn Change

Bước 11: Sau đó ở phần Users, bạn nhấp chuột phải chọn New => User Hiển thị User Object, bạn điền thông tin User sau đó click Next.

Tại đây, bạn điền thông tin password vào và tick vào 1 trong 4 loại chọn và Next.

b) thực hiện kết nối máy client vào Domain

Bước 1: Cấu hình IP cho các máy client đang chạy Win, bắt buộc Preferred DNS Serverphải là địa chỉ IP của Domain Controller (DC)

Bước 2; Bạn nhấp chuột phải My Computer chọn Properties hoặc nhấp Window + Break để xem thông tin

Bước 3: Cửa sổ System Properties, bạn nhấp chọn Change.

Bước 4: Hiện tại thì máy tính đang ở WORKGROUP, muốn join vào Domain thì bạn nhấp chọn Domain ở mục Member Of

Bước 5: Ở cửa sổ Windows Security này, bạn điền thông tin User và Password của tài khoản Domain admin, sau đó chọn OK Sau khi join vào Domain thành công, máy tính sẽ yêu cầu khởi động lại máy để cập nhật những thay đổi.

Bước 6: Sau khi máy khởi động, bạn có thể đăng nhập vào với user mà bạn đã tạo

ở trên Domain để sử dụng máy tính