Đồ án tốt nghiệp SV: Phan Thị H-ơng TRƯờNG ĐạI HọC VINH KHOA CÔNG NGHệ THÔNG TIN - Phan thÞ h-ơng Quản lý hệ thống mạng doanh nghiệp Đồ áN TốT NGHIệP đại học Kỹ s- công nghệ thông tin Vinh 5-2009 Quản trị mạng Doanh Nghiệp Đồ án tốt nghiệp SV: Phan Thị H-ơng Lời cảm ơn Đồ án tốt nghiệp em đà hoàn thành nhờ giúp đỡ tận tình, chu đáo nhiều tập thể, cá nhân Em xin đ-ợc bày tỏ lòng biết ơn tới thầy giáo, cô giáo khoa Công nghệ Thông Tin Tr-ờng Đại Học Vinh Xin chân thành cảm ơn tËp thĨ líp 46K1 khoa C«ng NghƯ Th«ng Tin Tr-êng Đại Học Vinh Cảm ơn Cha Mẹ anh chị nh- tất bạn bè đà dạy giỗ nuôi d-ỡng thành ng-ời hoàn thành tốt đồ án Đặc biệt em xin bày tỏ lòng biết ơn sâu sắc tới Ths Nguyễn Quang Ninh thầy cô tổ kỷ thuật máy tính đà góp ý giúp đỡ em hoàn thành đề tài tốt nghiệp Do nhiều yếu tố khách quan tầm hiểu biết ch-a sâu sắc, đề tài tốt nghiệp em chắn có sai sót, hạn chế Em mong đ-ợc góp ý chân thành quý thầy cô, bạn bè để qua đồ án tốt nghiệp em rút đ-ợc kinh nghiệm thực tế đặc biệt cho đ-ờng lập nghiệp sau Em xin chân thành cảm ơn SinhViên thực Phan Thị H-ơng Quản trị mạng Doanh Nghiệp Đồ án tốt nghiệp SV: Phan Thị H-ơng Lời cảm ơn Ch-¬ng i - lêi më ®Çu CHƯƠNG II - acTIVE DIRECTORY giao thức dhcp dns windown server 2003 I giíi thiƯu vỊ h®h windows server 2003 1.1 Các phiên họ Hệ Điều Hành (H§H) Windows Server 2003 1.2 Những điểm HĐH Windows Server 2003 1.3 Yêu cầu phần cứng cài đặt phiên Windows Server 2003 ii dÞch vơ acTIVE DIRECTORY (ad) 2.1 Giíi thiƯu vỊ Active Directory 2.2 Các đối t-ợng Active Directory 2.3 C¸c kü thuật đ-ợc hỗ trợ Active Directory 2.4 CÊu Tróc Logic cña AD (Active Directory) 10 2.5 CÊu tróc vËt lý cđa AD (Active Directory) 11 2.6 Cài đặt Active Directory 12 IIi HƯ THèNG T£N MIỊN (DOMAIN NAME SYSTEM - DNS) 29 3.1 Giíi thiƯu vỊ DNS 29 3.2 Giải pháp đổi tên (Name Resolution) 30 3.3 DNS §éng (Dynamic DNS) 31 3.4 Cµi đặt cấu hình DNS 31 IV S DÞCH Vô DHCP (Dynamic Host Configuration Protocol) 38 4.1 Giíi thiƯu vỊ dÞch vơ DHCP 38 4.2 Quá trình cấp phát động dịch vụ DHCP 38 4.3 TiÕn tr×nh thay míi (Lease Renewal Process) 39 4.4 Ph¹m vi cÊp ph¸t 40 4.5 Cài đặt cấu hình dịch vụ DHCP 40 Ch-¬ng iii - USER ACCOUNT, HOME FOLDER, Group vµ qun truy cËp ntfs 50 i USER ACCOUNT (tµi kho¶n sư dơng) 50 1.1 Giới thiệu loại user account 50 1.2 Các quy tắc yêu cầu t¹o User Account míi 50 1.3 Tạo loại user account 52 1.4 ThiÕt lËp l¹i password 57 1.5 Bá kho¸ c¸c User Account 58 ii HOME FOLDER (th- môc dïng chung) 58 2.1 Giíi thiƯu vỊ th- mơc dïng chung (home folder) 58 2.2 TÝnh chÊt cña Home Folder 59 2.3 Tạo th- mục dùng chung cho ng-ời dùng máy chủ 59 Quản trị mạng Doanh Nghiệp Đồ án tốt nghiệp SV: Phan Thị H-ơng Iii Disk Quota (hạn nghạch đĩa) 67 3.1 Giíi thiƯu vỊ Disk Quota 67 3.2 Thiết đặt hạn nghạch đĩa cho Home folder 67 VI NHãM Vµ CHÝNH S¸CH NHãM 70 4.1 Giíi thiƯu c¸c Nhãm Trong windows 2003 server 70 4.2 ChÝnh S¸ch Nhãm 72 4.3 øng dơng c¸c chÝnh s¸ch nhãm 73 4.4 CÊu h×nh c¸c chÝnh s¸ch nhãm 73 4.5 TriÓn khai thiÕt lËp chÝnh s¸ch nhãm 77 V QUYÒN TRUY CËP NTFS - NTFS ACCESS PERMISSION 81 5.1 Giíi thiƯu vỊ NTFS 81 5.2 C¸c qun cđa NTFS 81 5.3 Sao chÐp vµ di chun file vµ folder (thu mơc) 82 5.4 G¸n qun ë NTFS 83 5.5 Những quyền truy xuất đặc biệt NTFS 84 5.6 Sự an toàn hệ thống File chia sỴ 86 KÕt luËn 91 TàI LIệU THAM KHảO 92 Quản trị mạng Doanh Nghiệp Đồ án tốt nghiệp SV: Phan Thị H-ơng Ch-ơng i lời mở đầu - Công nghệ thông tin ngành ứng dụng công nghệ quản lý xử lý thông tin Tốc độ phát triển nh- vũ bÃo công nghệ làm cho việc luân chuyển thông tin trở nên nhanh chóng vai trò công nghệ thông tin ngày trở nên quan trọng Phạm vi ứng dụng ngày đ-ợc mở rộng nhiều lĩnh vực nh-: truyền thông, đo l-ờng tự động hóa, y tế giáo dục, quản lý hoạt động xà hội ng-ời Những khả mẻ -u việt công nghệ thông tin đà nhanh chóng làm thay đổi cách sống, cách làm việc, cách học tập Trong thời đại ngày nay, mạng máy tính công nghệ phát triển hàng đầu Nhu cầu thông tin, xử lý thông tin trao đổi thông tin ngày trở nên cấp thiết Sự kết hợp máy tính với hệ thống truyền thông đặc biệt viễn thông đà tạo chuyển biến vấn đề tổ chức, khai thác sử dụng hệ thống máy tính Các quan, văn phòng, trung tâm th-ơng mại dịch vụ công nghệ cao đà xây dựng hệ thống máy tính để phục vụ, đạo, điều hành công việc đà b-ớc đầu mang lại kết khả quan Với ng-ời kỹ s- nh- nhà chuyên môn mạng, yêu cầu sử dụng thành thạo mà cần hiểu rõ cấu trúc, cách thức hoạt động để vận hành sử dụng mạng có hiệu Cùng với phát triển không ngừng công nghệ, có mức độ ứng dụng ngày nhiều quan trọng doanh nghiệp, với tổ chức, cá nhân Việc đảm bảo cho hệ thống mạng vận hành cách ổn định hiệu t-ơng đối khó khăn, cần đầu t- nhiều thời gian sử dụng ng-ời cách hợp lý Xây dựng quản lý dich vụ windows server 2003 yêu cầu quan trọng giúp cho hệ thống vận hành nhanh, thông suốt, nhà Quản trị mạng Doanh Nghiệp Đồ án tốt nghiệp SV: Phan Thị H-ơng cung cấp dịch vụ dễ dàng quản lý hệ thống Thông tin ng-ời sử dụng đ-ợc l-u trữ máy chủ, ng-ời quản trị áp dụng quyền hạn cho đối t-ợng giúp cho thông tin bảo mật Các dịch vụ hệ điều hành Windows server 2003 đà giúp cho chuyên gia hệ thống xây dụng nên hệ thống an toàn bảo mật với nhiều ứng dụng Chính lý quan trọng nên em đà chọn đề tài : Quản lý hệ thống mạng Doanh Nghiệp để làm đồ án tốt nghiệp Những vấn đề em đà làm đ-ợc đề tài là: Tìm hiểu cài đặt HĐH windows 2003 server Hiểu đ-ợc chức năng, hoạt động ACTIVE DIRECTORY cài đặt dịch vụ cho HĐH windows 2003 server C¸c giao thøc cđa AD nh-: HƯ thống tên miền (DOMAIN NAME SYSTEM DNS), quản lý gán địa IP (Dynamic Host Configuration Protocol DHCP) Tạo ng-ời sử dụng (User) nhóm ng-ời sư dơng (Group), ph©n qun cho nhãm ng-êi sư dơng để dể dàng quản lý từ việc truy cập đến việc quản lý thông tin Các quyền truy cập NTFS Bên cạnh điều em đà làm đ-ợc đề tài đ-ợc nêu nhiều hạn chế mà em ch-a làm đ-ợc trình độ thời gian không cho phép Quản trị mạng Doanh Nghiệp Đồ án tốt nghiệp SV: Phan Thị H-ơng CHƯƠNG II - acTIVE DIRECTORY giao thức dhcp dns windown server 2003 I giíi thiƯu vỊ hđh windows server 2003 1.1 Các phiên họ Hệ Điều Hành (HĐH) Windows Server 2003 - Windows Server 2003 Web Edition: tối -u dành cho máy chủ web - Windows Server 2003 Standard Edition: chuẩn dành cho doanh nghiệp, tổ chức nhỏ đến vừa - Windows Server 2003 Enterprise Edition: nâng cao dành cho tổ chức, doanh nghiệp vừa đến lớn - Windows Server 2003 Datacenter Edittion: dành riêng cho tổ chức lớn, tập đoàn ví dụ nh- IBM, DELL 1.2 Những điểm HĐH Windows Server 2003 - Khả kết nối chùm cài nóng RAM - Hỗ trợ cho HĐH Windows XP tốt - Tích hợp sẵn Mail Server (POP3) - Có hai chế độ sử dụng giấy phép (license) cố định số máy kết nối vào máy chủ máy muốn thêm số l-ợng máy kết nối phải đăng ký để mua thêm - Hỗ trợ tốt cấu hình đĩa đặc biệt 1.3 Yêu cầu phần cứng cài đặt phiên Windows Server 2003 Đặc tÝnh Web Edition Dung l-ỵng RAM 128MB tèi thiĨu Dung l-ợng RAM 256MB khuyến cáo Dung l-ợng RAM 2GB hỗ trợ tối đa Quản trị mạng Doanh Nghiệp Standard Edition 128MB Enterprise Edition 128MB Datacenter Edition 256MB 256MB 256MB 1GB 4GB 32GB cho máy dòng x86 64GB cho dòng Itanium 64GB cho máy dòng x86 512GB cho máy dòng Đồ án tốt nghiệp SV: Phan Thị H-ơng Itanium Tèc ®é tèi thiĨu cho 133Mhz CPU Tèc ®é CPU khuyến 550Mhz cáo Số CPU hỗ trợ 550Mhz 133Mhz cho máy dòng x86, 733Mhz cho máy dòng Itanium 733Mhz Dung l-ợng đĩa trống 1,5GB 1,5GB 133Mhz 1,5GB cho máy dòng x86, 2GB cho máy dòng Itanium Số máy kết nối Không hỗ Không hỗ máy dịch vụ cluster trợ trợ 400Mhz cho máy dòng x86, 733 cho máy dòng Itanium 733Mhz đến 32 CPU cho máy dòng x86, 64 CPU cho máy dòng Itanium 1,5GB cho máy dòng x86, 2GB cho máy dòng Itanium máy ii dịch vụ acTIVE DIRECTORY (ad) 2.1 Giới thiệu Active Directory Active Directory (AD) nơi l-u trữ thông tin tài nguyên khác mạng Các tài nguyên đ-ợc Active Directory l-u trữ vµ theo dâi bao gåm File Server, Printer, Fax Service, Data, User, Group Web Server Thông tin l-u trữ đ-ợc sử dụng truy cập tài nguyên mạng Thông qua Active Directory ng-ời dùng tìm chi tiết tài nguyên dựa hay nhiều thuộc tính Vì mà không cần phải nhớ tất đ-ờng dẫn địa nơi tài nguyên đ-ợc định vị, thiết bị tài nguyên mạng đ-ợc ánh xạ đến tên có khả nhận diện ®Çy ®đ vỊ nã Ng-êi sư dơng cã thĨ truy cập đến tài nguyên họ đ-ợc phép thông qua Active Directory Active Directory có khả năng: - Cho thông tin tài nguyên dựa thuộc tính Quản trị mạng Doanh Nghiệp Đồ án tốt nghiệp SV: Phan Thị H-ơng - Duy trì liệu môi tr-ờng an toàn, chắn liệu không đ-ợc cung cấp cho ng-ời không đ-ợc quyền truy cập đến - Tự phân tán đến máy tính mạng - Nó giúp ng-ời sử dụng xa tham chiếu đến đ-ợc nhân bản, đ-ợc định vị nơi không xa, thay phải tham chiếu đến nguyên thuỷ -Tự phân vùng thành nhiều phần l-u trữ Active Directory đ-ợc phân tán máy khác tăng thêm khả l-u trữ số l-ợng lớn đối t-ợng có mạng lớn 2.2 Các đối t-ợng Active Directory Các tài nguyên mạng đ-ợc ghi Active Directory đ-ợc gọi đối t-ợng (Object) Một đối t-ợng đ-ợc định nghĩa nh- tập riêng biệt thuộc tính để mô tả tài nguyên mạng Các đối t-ợng có thuộc tính (Attribute) Các thuộc tính đặc tính tài nguyên đ-ợc ghi Active Directory Lớp (Classes) nhóm logic đối t-ỵng Active Directory VÝ dơ, mét classes bao gåm : c¸c m¸y tÝnh, c¸c ng-êi sư dơng (User), c¸c nhóm (Group) miền (Domain) Các thuộc tính đ-ợc định nghĩa nh-ng đ-ợc sử dụng nhiều lớp 2.3 Các kỹ thuật đ-ợc hỗ trợ Active Directory Mục đích Active Directory cung cấp điểm dịch vụ mạng Do đ-ợc thiết kế đặc biệt để làm việc chặt chẽ với th- mục khác Nó hỗ trợ phạm vi lớn kỹ thuật Active Directory tích hợp khái niệm không gian tên miền Internet với Windows 2003 Kết điều có khả quản lý thống không gian tên miền khác tồn môi tr-ờng hỗn tạp hệ thống mạng khác Các giao thức khác đ-ợc hỗ trợ Active Directory là: - Dynamic Host Configuration Protocol (DHCP): DHCP chịu trách nhiệm cho việc gán địa IP động đến Host mạng Điều có nghĩa máy mạng đ-ợc gán địa IP nh-ng địa khác lần truy nhập (logon) khác Active Directory hỗ trợ DHCP cho việc quản lý địa mạng - Domain Naming Service (DNS): DNS đ-ợc sử dụng cho giải pháp đổi tên mạng Active Directory sử dụng dich vụ DNS nh- tên miền (domain) dịch vụ định vị - Kerberos: giao thức xác thực chịu trách nhiệm vấn đề an toàn windows 2003 Active Directory sử dụng để xác thực ng-ời sử dụng mạng họ yêu cầu đ-ợc truy cập đến tài nguyên - Simple Netword Time Protocol (SNTP): SNTP ®-ỵc sư dơng viƯc ®ång bé vỊ giê cđa máy mạng Quản trị mạng Doanh Nghiệp Đồ án tốt nghiệp SV: Phan Thị H-ơng 2.4 Cấu Trúc Logic AD (Active Directory) Nhóm tài nguyên logic giúp tìm kiếm tài nguyên dễ dàng việc tìm kiếm vị trí vật lý Vì Active Directory có cấu trúc logic để mô tả cấu trúc th- mục tổ chức Một ®iĨm tiÕn bé quan träng kh¸c cđa nhãm c¸c ®èi t-ợng logic Active Directory cài đặt vật lý mạng đ-ợc ẩn ng-ời sử dụng Các thành phần Logic cấu trúc Active Directory : - Các miền (Domain) - Các đơn vị tổ chức (OU) - Các (Tree) - Các Rừng (Rorest) Miền (Domain) Miền đơn vị logic mạng Windows 2003 Nó tập máy tính đ-ợc định nghĩa ng-ời quản trị mạng Tất máy tính miền chia sẻ chung sở liệu Active Directory Mục đích việc tạo miền (domain) tạo ranh giới an toàn mạng windows 2003 Ng-ời quản trị miền điều khiển máy tính miền Chỉ trừ đ-ợc gắn quyền, không ng-ời quản trị mạng miền điều khiển miền (domain) khác Mỗi miền (domain) có quyền sách an toàn riêng, đ-ợc thiêt lập ng-ời quản trị Tất domain cotroller domain trì sở liệu domain, domain đơn vị nhân sở liệu Active Directory đ-ợc nhân đến tất domain controller domain Các đơn vị tổ chức (Organizational Unit - OU) Trong phạm vi miền đối t-ợng đ-ợc tổ chức sử dụng đơn vị tổ chức Nó chứa đối t-ợng nh- ng-ời sử dơng (User), m¸y tÝnh (computer), m¸y in (print), nhãm (group) OU khác Về OU giúp nhóm đối t-ợng tổ chức logic phù hợp với kiểu Các đối t-ợng đ-ợc nhóm từ OU - Hoặc dựa cấu trúc tổ chức - Hoặc phù hợp với mô hình quản trị mạng Mỗi miền đ-ợc tổ chức dựa vào ng-ời quản trị mạng giới hạn ng-ời điều khiển Máy ng-ời quản trị điều khiển miền máy tính tất ng-ời d-ới điều khiển ng-ời quản trị mạng nằm miền Hệ thống phân cấp OU đ-ợc biến đổi từ miền sang miền khác Đó miền đ-ợc cài đặt hệ thống phân cấp riêng Sự điều khiển OU đ-ợc cấp phạm vi OU Lợi ích OU tránh phúc tạp hệ thống mạng với kiến trúc đa miền (đa domain) Các công ty tạo miền (domain) đơn trạng thái khác OU phù hợp với yêu cầu cách tạo cấu Quản trị mạng Doanh Nghiệp 10 Đồ án tốt nghiệp SV: Phan Thị H-ơng ng-ời dùng đăng nhập sai lần bị khoá tài khoản, thời gian khoá phút, ng-ời dùng ấn tổ hợp phím Ctrl+Alt+Del đăng - Phòng Kinh Doanh: Các ng-ời dùng phòng kinh doanh có yêu cầu nh- sau: Không cho phép ng-ời dùng máy khách truy cập vào ổ chứa hệ điều hành (ổ C), không đ-ợc cài đặt ch-ơng trình, không đ-ợc truy cập vào registry, không đ-ợc truy cập Control panel máy client, ẩn cửa sổ run máy khách - Phòng Bảo Hành kỷ thuật: Các ng-ời dùng phòng có yêu cầu sau: Mật việc từ kí tự trở lên phải mật khó, tức phải có thêm kí tự khác chữ số nh- *, !, ~, @, #, %, (, ) Cho phÐp c¸c ng-êi dïng nhãm tắt máy từ xa, không cho phép thay đổi thuộc tính LAN không cho phép Auto play tất loại ổ đĩa kể ổ đĩa USB Để thiết lập sách với yêu cầu nh- em làm nh- sau: Tr-ớc hết tạo OU t-ơng ứng với phòng ban c«ng ty, më cưa sỉ Active Directory User and Computer, chuột phải vào tên domain chọn New chọn Oganizational Unit, đánh tên OU t-ơng ứng với tên phòng ban để tạo OU, phòng ban OU Sau tạo ng-ời dùng nhóm OU Mỗi phòng ban có ng-ời tạo t-ơng ứng ng-ời dùng tạo nhóm có tên phòng ban Sau tạo ng-ời nhóm xong add ng-ời dùng OU vào nhóm vừa tạo để tiện cho việc gán quyền sau Các thiết đặt sách nhóm cho phòng ban nh- sau: Phòng Giám Đốc: Do sách nhóm có tính thừa kế thiết đặt bên có mức -u tiên bên nên không thiết đặt cho OU Phòng giám đốc mà tạo ng-ời cho phòng tạo nhóm cho phòng Mặc định thiết đặt miền đ-ợc áp xuống phòng giám đốc thừa h-ởng quyền tõ miỊn, tøc lµ cã mäi qun nh- Admin Vµ mục Member Of add nhóm quản trị vào ng-ời dùng phòng Phòng Kế Toán: Chuột phải vào OU phòng kế toán chọn properties, chọn tab Group Policy, click New, đặt tên cho nhóm click Edit Do yêu cầu thiết đặt sách nhóm máy tính nên thiết đặt sách nhóm nh- sau: Mật kÝ tù: chän ®Õn Computer Configuration\ Windows setting\ Sercurity Setting\ Account policies\ Password policy, cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp cho giá trị Quản trị mạng Doanh Nghiệp 78 Đồ án tốt nghiệp SV: Phan Thị H-ơng Thời gian thay đổi mật 30 ngày: Cũng với đ-ờng dẫn nh- trên, cửa sổ bên phải chọn dòng ch-: Maximum password age, click đúp cho giá trị 30 Ng-ời dùng đăng nhập sai lần bị khoá account: chọn đến Computer Configuration\ Windows setting\ Sercurity Setting\ Account policies\ Account lokout policy, cöa sổ bên phải chọn dòng chữ: Account lonkout threshold, click đúp cho giá trị Thời gian khoá phút: Với đ-ờng dẫn nh- trên, cửa sổ bên phải chọn đế dòng chữ: Account lockout duration, click đúp cho giá trị Không ấn Ctrl+Alt+Del đăng nhập: Tìm đến đ-ờng dÉn Computer configuration\ Windows Setting\ Sercurity setting\ Local policy\ Sercurity Option: cửa sổ bên phải chọn đến dòng chữ: Interactive logon: Do not require Ctrl+Alt+Del, click đúp chọn Enable Thông báo Quản trị mạng hệ thống tới User: Tìm đến đ-ờng dẫn Computer Configuration\ Windows setting\ Security setting\ Local policy\ Security Option T¹i cưa sỉ bên phải tìm đến dòng chữ Messenger text for users attemping to logon, click đúp đánh vào thông báo quản trị mạng nh- đà nói Tiếp theo xuống dòng d-ới Messenger title đánh vào tiêu đề thông báo quản trị mạng nh- - Phòng Kinh Doanh: Chuột phải vào OU phòng Kinh Doanh chọn properties, chọn tab Group Policy, click New đánh tên cho nhóm phòng click Edit Quản trị mạng Doanh Nghiệp 79 Đồ án tốt nghiệp SV: Phan Thị H-ơng Không cho phép ng-ời dùng truy cập vào ổ C: Tìm đến đ-ờng dẫn User Configuration\ Administrative Templates\ Windows Components\ Windows Exploprer, cửa sổ bên phải chọn dòng chữ: Prevent access to drivers from My Computer, click đúp chọn enable chọn ổ đĩa C: Không đ-ợc cài đặt phần mềm: Tìm đến đ-ờng dẫn Computer Configuration\ Administrative Templates\ Windows Components\ Windows Installer, ë cưa sỉ bên phải chọn dòng là: Disable windows installer, click đúp chọn enable Không đ-ợc truy cập vào Registry editor: Tìm đến đ-ờng dẫn User Configuration\ Administrative Templates\ Windows Components\ System, cửa sổ bên phải chọn dòng chữ: Prevent access to registry editing tools, click đúp chọn enable Không truy cập Control Panel máy khách: Tìm đến đ-ờng dẫn User configuration\ Administrative templates\ Control panel, cửa sổ bên phải tìm đến dòng chữ: Prohibit access to the Control Panel, click đúp chọn enable ẩn cửa sổ Run khách: Tìm ®Õn ®-êng dÉn User configuration\ Administrative templates\ Start menu and Taskbar, cửa sổ bên phải tìm đến dòng chữ: Remove Run menu from start menu, click đúp chọn enable - Phòng Bảo Hành kỹ thuật: chuột phải vào OU phòng bảo hành chọn properties, chọn tab Group Policy, click New đánh tên cho nhóm phòng Bảo hành click Edit Quản trị mạng Doanh Nghiệp 80 Đồ án tốt nghiệp SV: Phan Thị H-ơng Mật kí tự phải khó: Tìm đến đ-ờng dÉn Computer Configuration\ Windows setting\ Sercurity setting\ Password policy, cöa sổ bên phải chọn dòng chữ: Minimum password length, click đúp cho vào giá trị 8, chọn đến dòng chữ: Password must meet complexity requirements, click đúp chọ enable Không cho phép thay đổi thuộc tính LAN: Tìm đến đ-ờng dẫn User Configuration\ Administrative templates\ Network\ Network Connections, cửa sổ bên phải tìm đến dòng chữ: Prohibit access to properties of LAN connection, click đúp chọn enable Không cho Auto play tất ổ đĩa: Tìm đến đ-ờng dẫn Computer Configuration\ Administrative templates\ System, cửa sổ bên phải chọn dòng chữ: Turn off Autoplay, click đúp chọn enable chọn All driver Sau thiết lập sách nhóm cho OU xong, để việc thay đổi có hiệu lực phải khởi động lại máy chủ, nh-ng không cần khởi động lại máy chủ, cửa sổ run ta đánh lệnh gpupdate /force, lệnh làm t-ơi lại Group Policy cập nhật thiết đặt mà vừa thiết đặt Group Policy V - QUN TRUY CËP NTFS - NTFS ACCESS PERMISSION 5.1 Giíi thiệu NTFS Để tăng tốc độ truy xuất, tăng độ tin cậy khả t-ơng thích windows 2003 ®-a sư dơng hƯ thèng file NTFS (New Technology File System) mới, NTFS 5.0 Nó cho phép thuận lợi Active Directory, tính l-u trữ việc quản lý phần mềm đ-ợc cung cấp Windows 2003 Những file Server máy tính đời cần bổ xung thêm tính an toàn việc điều khiển truy xuất liệu, điều đà đ-ợc tích hợp NTFS 5.0 NTFS chứa tính nh- tính khôi phục (recoverability) tính nén file (compression) Các folder file lẻ partition NTFS đ-ợc nén Những file đà nén partition NTFS đ-ợc truy xuất ứng dụng windows 2003 mà giải nén Với NTFS 5.0 tốc độ truy xuất file đà đ-ợc cải tiến số lần truy xuất đĩa(để tìm file) đ-ợc giảm bớt Chúng ta thiết lập mức độ quyền (permission) truy cập (access) file folder cho cấp độ ng-ời sử dụng khác C¸c cÊp qun gièng cã thĨ ¸p dơng cho tất sử dụng máy tính cục nh- ng-ời sử dụng truy xuất vào mạng 5.2 C¸c qun cđa NTFS NTFS cã thĨ thiÕt lËp qun ®Ĩ chÊp nhËn (allowing) hay tõ chèi (denying) vỊ truy xt cho ng-êi sư dơng hay cho nhãm ng-êi sư dụng Quyền đ-ợc cung cấp để đảm bảo việc bảo mật tài nguyên Ng-ời quản trị mạng ng-ời sử Quản trị mạng Doanh Nghiệp 81 Đồ án tốt nghiệp SV: Phan Thị H-ơng dụng định rõ kiểu truy xuất mà ng-ời sử dụng nhóm sử dụng file cụ thể Quyền NTFS đ-ợc cấp hai đối t-ợng Folder File - Quyền Folder NTFS: quyền Folder đ-ợc gán quyền truy cập đến file folder chứa Những quyền chuẩn NTFS folder nhsau: Read - §äc: SÏ cho ng-êi sư dơng thấy file subfolder Các thuộc tính folder, ng-ời sở hữu quyền đ-ợc nhìn thÊy Write – Ghi: SÏ qun ng-êi sư dơng tạo file subfolder Các thuộc tính đ-ợc thay đổi quyền sở hữu quyền folder đ-ợc nhìn thấy List Folder contens - HiĨn thÞ néi dung folder: Sẽ cho phép ng-ời sử dụng thấy subfolder tên file folder Read & Execute - Đọc thực hiện: Sẽ cho phép ng-ời duyệt qua folder Nó hỗ trợ quyền read list folder contens Modify - Sưa ®ỉi: SÏ cho phÐp ng-ời sử dụng xoá folder hỗ trợ quyền Write, read vµ Execute Full Control – Toµn qun ®iỊu khiĨn: SÏ cho phÐp ng-êi sư dơng thay ®ỉi, quyền, quyền sở hữu, xoá file subfolder hộ trợ tất quyền folder NTFS Khi định dạng partition với hệ thống file NTFS, Windows 2003 mặc định quyền Full control đến nhóm Everyone Vì để hạn chế việc truy xuất Administrator phải chủ động thay đổi quyền - Quyền File NTFS: Những quyền chuẩn file NTFS đ-ợc thể hiƯn nh- sau: Read - §äc: SÏ cho phÐp ng-ời sử dụng thấy file, đọc nội dung file Các thuộc tính file, quyền sở hữu chúng quyền đ-ợc nhìn thấy Write – Ghi: SÏ cho phÐp ng-êi sư dơng ghi ®Ì file Những thuộc tính file đ-ợc thay đổi quyền sở hữu file quyền đ-ợc nhìn thấy Read & Execute: Sẽ cho phép ng-ời sử dụng duyệt qua file Nó hỗ trợ quyền read hiển thị nội dung file Modify - Sưa, thay ®ỉi: SÏ cho phÐp ng-êi sư dụng xoá file hỗ trợ cho phép write, read, execute Full control (toàn quyền điều khiển): Sẽ cho phép ng-ời sử dụng thay đổi quyền, giữ quyền sở hữu, hỗ trợ tất qun file NTFS 5.3 Sao chÐp vµ di chun file vµ folder (thu mơc) Khi chóng ta di chun hay chép file folder quyền thay đổi phụ thuộc vào việc file folder đ-ợc di chuyển Quản trị mạng Doanh Nghiệp 82 Đồ án tốt nghiệp SV: Phan Thị H-ơng đ-ợc chép đến đâu Do đó, trở nên quan trọng để hiểu thay đổi quyền file folder đ-ợc di chuyển hay chÐp Sù thay ®ỉi qun viƯc chÐp hc di chun File hay Folder: - Khi mét file hay folder đ-ợc chép di chuyển phạm vi partition NTFS, file folder giữ lại quyền - Khi file folder đ-ợc chép di chuyển nhiều partition NTFS, file folder thừa h-ởng quyền cho phép folder đích 5.4 Gán quyền NTFS Chúng ta gán quyền NTFS từ hộp thoại properties, hộp xuất nhấp chuột phải đến file folder thay đổi quyền ng-ời sử dụng nhóm cách chọn ng-ời sử dụng nhóm Nhấp chuột phải vào file folder chọn properties Trong cửa sổ properties chọn tab Security mục có thành phần nh- sau: Quản trị mạng Doanh Nghiệp 83 Đồ án tốt nghiệp SV: Phan Thị H-ơng - User and Group Name: Nó cho phép chọn tài khoản ng-ời sử dụng nhóm mà chúng muốn thay đổi quyÒn - Permission: Nã sÏ chÊp nhËn cho phÐp hộp thoại allow đà đ-ợc chọn Nó không cho phép hộp thoại deny đà đ-ợc chọn - Add: Nó mở hộp thoại Select User, Computer Group đ-ợc trình bày trên, mà đ-ợc sử dụng để add tài khoản ng-ời sử dụng nhóm vào danh sách name - Remove: Nó xoá nhóm tài khoản ng-ời sử dụng theo với quyền nhóm tài khoản ng-ời sử dụng - Advanced: Các thiết lập quyền nâng cao nh- bỏ thừa kế, thêm quyền, bớt quyền thẩm định quyền c-ớp quyền 5.5 Những quyền truy xuất đặc biệt NTFS Trong số tr-ờng hợp cần đến số quyền truy xuất đặc biêt, mà điều ®ã kh«ng thĨ cã ®èi víi qun chn cđa NTFS Vì thế, đ-ợc cung cấp mục NTFS special access permission (quyền truy xuất đặc biệt NTFS) Những quyền truy xuất đặc biệt cung cấp cho chóng ta víi møc ®é cao nhÊt ®iỊu khiển truy xuất đến nguồn tài nguyên Khi kết hợp 13 quyền truy xuất đặc biệt có quyền cho phép chuẩn Hai quyền cho phép đặc biệt quyền quản lý truy xuất file folder đà đ-ợc sử dụng là: Change permission Take Ownership - Change Permission(thay đổi giấy phép): Chúng ta đ-ợc gán cho ng-ời quản trị ng-ời sử dụng khác để họ thay đổi quyền cách thuận lợi file folder Ng-ời quản trị ng-ời sử dụng đ-ợc gán quyền đ-ợc cấp quyền nh-ng xoá ghi lên file hc folder - Take Ownership(chun qun së hưu): ViƯc chun quyền sở hữu folder file từ nhóm đến nhóm khác Trong thêi gian ®ã chóng ta cã thĨ cho mét đ-ợc quyền Nếu ng-ời quản trị đ-ợc quyền sở hữu file folder Có số nguyên tắc, mà phải theo đ-ợc gán quyền sở hữu đến file folder: * Ng-ời chủ ng-ơi sử dụng có quyền Full Control cã thĨ cung cÊp Full control hc Take Ownership đến nhóm ng-ời sử dụng khác * Quyền sở hữu file folder đ-ợc thực thành viên nhóm quản trị Những quyền đà đ-ợc cung cấp đến thành viên nhóm quản trị, ng-ời quản trị Quản trị mạng Doanh Nghiệp 84 Đồ án tốt nghiệp SV: Phan Thị H-ơng thực quyền sở hữu Để cung cấp quyền sở hữu đặc biệt, làm theo b-ớc d-ới đây: B-ớc 1: Nhấn nút Advanced từ tab sercurity hộp thoại properties B-ớc 2: Tõ trang Access control setting for program files nhÊp chän tab permission B-ớc 3: Để áp dụng quyền sở hữu đặc biệt NTFS chọn nhóm tài khoản ng-ời sử dụng nhấp chọn nút View/Edit Những thiết lập hộp thoại Permission entry đ-ợc thể d-ới đây: Name: Mục xác định tên nhóm tài khoản ng-ời sử dụng Chúng ta chọn nhóm khác tài khoản ng-ời sử dụng cách nhấp vào mục change Apply onto: Nó xác định cấp bậc folder xác định cấp bậc quyền NTFS Permission: Nó cung cấp quyền truy xuất đặc biệt Chọn mục allow để cung cấp quyền change take ownership Apply these permission to objects and/ or containers within this container only: Nó xác định file th- mục nằm th- Quản trị mạng Doanh Nghiệp 85 Đồ án tốt nghiệp SV: Phan Thị H-ơng mục cha thừa kế quyền truy xuất đặc biệt Để ngăn cản quyền thừa kế ta xoá hộp thoại đà chọn 5.6 Sự an toàn hệ thống File chia sẻ Để truy xuất file th- mục mạng phải sử dơng chia sỴ th- mơc (share folder) NTFS cung cÊp việc hỗ trợ để chia sẻ th- mục hạn chế ng-ời sử dụng nhóm, ng-ời truy xuất file folder Quyền cho phép chia sẻ th- mục Việc chia sẻ th- mục đ-ợc truy xuất ng-ởi sử dụng mạng đà đ-ợc cung cấp cho ng-ời sử dụng có quyền để làm đ-ợc ®iỊu nh- vËy Th- mơc cã thĨ chøa nhiỊu øng dụng, liệu cá nhân, loại liệu Vì có nhiều loại liệu khác yêu cầu loại quyền khác có số tính chung mà chúng ¸p dơng chung cho chia sỴ th- mơc Chia sỴ th- mục cung cấp việc bảo mật thấp quyền NTFS nh- chia sẻ th- mục đ-ợc ứng dụng quyền đến toàn th- mục không áp dụng cho file subfolder riêng lẻ th- mục Những quyền chia sẻ th- mục không áp dụng cho ng-ời sử dụng truy xuất đến file từ máy tính nơi file đ-ợc l-u trữ: Full control quyền mặc định, đ-ợc gán cho nhóm Everyone Còn quyền khác đ-ợc gán cho ng-ời sử dụng việc share folder: Quản trị mạng Doanh Nghiệp 86 Đồ án tốt nghiệp SV: Phan Thị H-ơng Read: Quyền cho phép ng-ời sử dụng xem thuộc tính, liệu file, tên file tªn folder Nã cịng cho phÐp ng-êi sư dơng thay ®ỉi nh÷ng folder n»m folder ®· share Change: Quyền cấp cho ng-ời sử dụng để tạo folder, bổ xung file vào folder, bổ xung thay đổi liệu file Nó cung cấp việc thay đổi thuộc tính file, xoá file folder thực tất hành động cho phÐp bëi qun read Full control: Qun nµy cung cấp cho ng-ời sử dụng để thay đổi quyền file, cung cấp tất quyền sở hữu file thực tất hành động đà đ-ợc hỗ trợ quyền change Nhóm everyone đ-ợc gán quyền ứng dụng quyền chia sẻ th- mục Chúng ta hÃy nhìn số loại quyền khác nhau, điều mà ứng dơng cho chia sỴ th- mơc Mutiple permission: Mét User thành viên nhiều group khác nhau, group có nhiều user, group có cấp độ truy cập đến folder đ-ợc share khác Trong vài Quản trị mạng Doanh Nghiệp 87 Đồ án tốt nghiệp SV: Phan Thị H-ơng tr-ờng hợp ng-ời sử dụng cho quyền change họ thành viên nhãm cã quyÒn Full Control, nh- vËy hä sÏ cã Full Control có bao gồm quyền change Deny Other Permission: Qun nµy sÏ lµm mÊt hết tất quyền cho phép đà gán cho ng-ời sử dụng tài khoản User Group NTFS Permission: Những ng-ời sử dụng partition NTFS đ-ợc sử dụng quyền share đ-ợc sử dụng quyền NTFS nh-ng chúng sư dơng c¶ hai cïng mét kho¶ng thêi gian Việc sử dụng quyền NTFS điều nên làm cung cấp quyền tốt cho folder vµ file Moving and copying folder: Mét th- mục đ-ợc chia sẻ đ-ợc copy không đ-ợc chia sẻ th- mục chia sẻ gốc đ-ợc lại nh- đà chia sẻ Chúng ta theo nguyên tắc d-ới share folder gán quyền: Nên lập kế hoặch cho việc phần quyền sử dụng tài nguyên mạng cho từ User, group tr-ớc thực việc Không nên gán quyền cho ng-ời sử dụng riêng lẻ mà nên gán cho nhóm mà ng-ời sử dụng thành viên Việc gán quyền sử dụng tài nguyên phải giới hạn nhất, điều cung cấp cho ng-ời sử dụng môt cấp độ sử dụng tài nguyên hợp lý Thực chia sẻ th- mục Một tài nguyên đ-ợc chia sẻ chia sẻ th- môc.VÝ dô: vao day nghe bai di ban http://nhatquanglan.xlphp.net/ chứa tài nguyên Đây điều xảy ng-ời sử dụng thành viên thuộc nhóm đ-ợc đặc quyền có quyền thùc sù Ng-êi sư dơng së h÷u th- mơc cã quyền điều khiển truy cập hạn chế cho phép ng-ời sử dụng khác việc truy xuất th- mục Sau chia sẻ th- mục sửa đổi dừng chia sẻ nó, thay đổi tên chia sẻ thay đổi quyền cho phép ng-ời sử dụng nhãm ng-êi sư dơng Trong windows 2003 chóng ta cã thể chia sẻ với nhóm Administrator, Server Operators Power User Trong tr-êng hỵp miỊn cđa Windows 2003, Administrator thành viên nhóm Server Operrators chia sẻ th- miền Nhóm Power User nhóm cục bộ, chia sẻ file th- miền sở máy chủ độc lập thuộc nhóm Windows XP Trong tr-ờng hợp th- mục đ-ợc chia sẻ đ-ợc chia sẻ Administrator có dấu $ đ-ợc thêm vào tr-ớc tên chia sẻ th- mục, gọi chia sẻ ẩn Khi có C$ có nghĩa đà cung cấp đầy đủ việc truy xuất volume C:\ thực nhiệm vụ quản trị Nếu Quản trị mạng Doanh Nghiệp 88 Đồ án tốt nghiệp SV: Phan Thị H-ơng có Admin$ có thành viên thuộc nhóm Administrator truy xuất đến th- mục đ-ợc chia sẻ Nếu có Print$ sÏ cung cÊp c¸c m¸y kh¸ch víi viƯc truy xt đến thiết bị máy in tất nhãm chØ cã qun ®äc Trong Windows Server 2003 víi định dạng NTFS mặc định phân vùng đ-ợc chia sẻ ẩn, nghĩa đằng sau phần vùng chia sẻ có dấu $ Riêng chia sẻ Admin$ đ-ợc áp dụng cho phần vùng chứa hệ điều hành Đối với kiểu chia sẻ ng-ời dùng mạng muốn truy cập từ xa vào tài nguyên đ-ợc chia sẻ ẩn việc thêm kí tự $ vào sau thmục muốn truy cập Quản trị mạng Doanh Nghiệp 89 Đồ án tốt nghiệp SV: Phan Thị H-ơng Trong cửa sổ bên phải hiển thị toàn tài nguyên trạng thái đà chia sẻ hệ thống: Quản trị mạng Doanh Nghiệp 90 Đồ án tốt nghiệp SV: Phan Thị H-ơng Kết luận Đề tài Quản trị mạng Doanh Nghiệp hệ điều hành windows server 2003 em đà tìm hiểu ph-ơng pháp nh- công cụ để quản lý vận hành hệ thống mạng thông tin cho doanh nghiệp, tổ chức Quản trị máy chủ server phục vụ Internet Với công cụ dễ sử dụng gói dịch vụ đa dạng windows server 2003, ng-ời quản trị dễ dàng thao tác máy chủ khiến cho việc quản lý toàn máy tính nh- liệu đ-ợc dễ dàng Các tiện ích server 2003 l-u trữ liệu cho user máy chủ Máy chủ hạn chế dung l-ợng sử dụng phù hợp với ng-ời dùng đồng thời gói liệu đ-ợc an toàn Thông qua đồ án tốt nghiệp này, giúp em củng cố thêm kiến thức đà đ-ợc học Thấy đ-ợc hữu ích mạng máy tính việc quản lý mạng thời đại Quản trị mạng doanh nghiệp hệ thống gồm nhiều dịch vụ, quyền phân quyền cho nh-ng lực hạn chế nh-ng em muốn để tài em phát triển thêm : Tìm hiểu thêm nhiều dịch vơ cđa windows 2003 server nh- :DÞch vơ FTP server phục vụ việc l-u trữ liệu truyền file máy tính, Dịch vụ Routing and Remote Access Đặc biệt sử dụng nhiều loại hệ điều hành cho việc kết nối mạng Do thời gian thực làm đề tài hạn chế, sỏ vật chất thiếu nên không tránh khỏi thiếu xót, mong quý thầy cô bạn bè giúp đỡ để đề tài đ-ợc hoàn thiện Quản trị mạng Doanh Nghiệp 91 Đồ án tốt nghiệp SV: Phan Thị H-ơng TàI LIệU THAM KHảO I) Sách tham khảo Windows 2000 Server, Trung tâm đào tạo Lập Trình Viên Quốc tế Bách Khoa Aptech NXB Tập Đoàn Aptech WorldWide tháng 04 năm 2004 Windows XP Professional, NXB Trung tâm Bách khoa Aptech tháng 4/2004 Quản trị mạng ứng dụng Active Directory, tác giả K.S Ngọc Tuấn, NXB Thống Kê, Năm XB 2004, số trang 378 Mạng truyền thông Công Nghiệp, tác giả Hoàng Minh Sơn, NXB Khoa học kĩ thuật, năm XB 2004, sè trang 256 100 Thđ tht b¶o mật mạng, tác giả K.S Nguyễn Ngọc Tuấn, Hồng Phúc, NXB Giao thông vận tải, năm XB 2005, số trang 335 II) Website www.quantrimang.com www.nhatnghe.com www.adminvietnam.com.vn Qu¶n trị mạng Doanh Nghiệp 92 ... khoản Quản trị mạng Doanh Nghiệp 23 Đồ án tốt nghiệp SV: Phan Thị H-ơng ấn next để tiếp tục: Tiếp theo trình tổng hợp thông tin mà đà cung cấp AD Quản trị mạng Doanh Nghiệp 24 Đồ án tốt nghiệp. .. Next: Quản trị mạng Doanh Nghiệp 44 Đồ án tốt nghiệp SV: Phan Thị H-ơng Đến có hai lựa chọn, chọn Yes để cấu hình tạo phạm vi, chọn No để cấu hình sau Quản trị mạng Doanh Nghiệp 45 Đồ án tốt nghiệp. .. mô hình quản trị mạng Mỗi miền đ-ợc tổ chức dựa vào ng-ời quản trị mạng giới hạn ng-ời điều khiển Máy ng-ời quản trị điều khiển miền máy tính tất ng-ời d-ới điều khiển ng-ời quản trị mạng sÏ