I. Mạng máy tính
1.10. Quyền truy cập NTFS
Có hai loại hệ thống tập được dùng cho partition và volume cục bộ là FAT (bao gồm FAT16 và FAT32). FAT partition không hỗ trợ bảo mật nội bộ, còn NTFS partition thì ngược lại có hỗ trợ bảo mật; có nghĩa là nếu đĩa cứng của bạn định dạng là FAT thì mọi người đều có thể thao tác trên các file chứa trên đĩa cứng này, còn ngược lại là định dạng NTFS thì tùy theo người dùng có quyền truy cập không, nếu người dùng không có quyền thì không thể nào truy cập được dữ liệu trên đĩa. Hệ thống Windows Server 2003 dùng các ACL (Access Control List) để quản lý các quyền truy cập của đối tượng cục bộ và các đối tượng trên Active Directory. Một ACL có thể chứa nhiều ACE (Access Control Entry) đại điện cho một người dùng hay một nhóm người.
1.10.1.Các công cụ phân quyền NTFS
- Tất cả quyền truy nhập cơ sở của NTFS là :
• Traverse folder/execute file (đi xuyên qua folder / thi hành file). • List folder/read data (hiện thư mục, đọc dữ liệu).
• Read attributes (đọc thuộc tính).
• Read extended attributes (đọc thuộc tính mở rộng). • Create files/write data (tạo file, viết dữ liệu).
• Create folders/append data (tạo folder, nối dữ liệu).
• Write attributes (viết thuộc tính). Cho phép thay đổi các thuộc tính của file và folder. • Write extended attributes (viết thuộc tính mở rộng).
• Delete subfolders and files (xóa folder con và file). • Delete (xóa).
• Read permissions (đọc quyền). • Change permissions (đổi quyền). • Take ownership (đoạt chủ quyền).
• - Khi phân quyền cho một folder, quyền đã phân sẽ có thể sẽ áp dụng lên cả các folder con và file bên trong, việc này gọi là thừa kế. Việc thừa kế thực hiện theo một trong sáu kiểu sau đây.
• This folder only (chỉ folder này thôi). Quyền chỉ áp dụng cho folder này, không thừa kế.
• This folder, subfolders and files (folder này, các folder con và các file). Quyền áp dụng cho folder này, các folder con và các file. Thừa kế toàn phần.
• This folder and subfolders (folder này và các folder con). Quyền áp dụng cho folder này và các folder con. Các folder con thừa kế.
• This folder and files (folder này và các file). Quyền áp dụng cho folder này và các file. Các file thừa kế.
• Subfolders and files only (các folder con và các file thôi). Quyền áp dụng chỉ cho các folder con và các file. Thừa kế toàn phần ngoại trừ bản thân.
• Subfolders only (chỉ các folder con thôi). Quyền áp dụng chỉ cho các folder con. Các folder thừa kế ngoại trừ bản thân.
1.10.2.Kế thừa và thay thế quyền của đối tượng con.
Trong hộp thoại chính trên, chúng ta có thể nhấp chuột vào nút Advanced để cấu hình chi tiết hơn cho các quyền truy cập của người dùng. Khi nhấp chuột vào nút Advanced, hộp thoại Advanced Security Settings xuất hiện, trong hộp thoại, nếu bạn đánh dấu vào mục Allow inheritable permissions from parent to propagate to this object and child objects thì thư mục hiện tại được thừa hưởng danh sách quyền truy cập từ thư mục cha, bạn muốn xóa những quyền thừa hưởng từ thư mục cha bạn phải bỏ đánh dấu này. Nếu danh sách quyền truy cập của thư mục cha thay đổi thì danh sách quyền truy cập của thư mục hiện tại cũng thay đổi theo.
Ngoài ra nếu bạn đánh dấu vào mục Replace permission entries on all child objects with entries shown here that apply to child objects thì danh sách quyền truy cập của thư mục hiện tại sẽ được áp dụng xuống các tập tin và thư mục con có nghĩa là các tập tin và thư mục con sẽ được thay thế quyền truy cấp giống như các quyền đang hiển thị trong hộp thoại.
Chương 2. NỘI DUNG ĐỒ ÁN A. ĐỀ
Họ tên sinh viên : Lớp :
A. Chuẩn bị:
- Sử dụng phần mềm tạo máy ảo VirtualBox. Cài đặt hệ điều hành Windows Server2k3 cho máy Server. Máy Client cài đặt hệ điểu hành Windows Server2k3 (hoặc Windows XP)
- Đặt địa chỉ IP cho máy SERVER ở mạng 192.168.1.X/24 (X: là số đề); đặt tên máy Server và tên Domain theo qui tắc sau: Ví dụ tên thí sinh dự thi tốt nghiệp là Lê Văn Khoa thì đặt tên máy là LVKSERVER và tên Domain là LVK.NET
- Nâng cấp máy Server lên Domain Controller - Cài đặt và cấu hình dịch vụ DHCP trên máy Server
- Máy Client nhận IP được cấp từ DHCP Server. - Máy Client Join domain vào máy Server
B. THỰC HIỆN
1. Tạo các object và đưa các user vào nhóm tương ứng (Lưu ý: Các đối tượng OU, Group, User được tạo bằng lệnh Dsadd và lưu và file *.bat)
2. Roaming Profile cho các user “Sếp”. Thư mục chứa roaming profile tên là “Profiles”.
3. Tạo hệ thống thư mục trên máy DC và phân quyền, share.
- Share cây thư mục sao cho các quyền đã cấp vẫn duy trì khi user truy cập qua mạng. - Điều chỉnh quyền sao cho các user chỉ có thể xóa dữ liệu của nhau
4. Deploy phần mềm Microsoft Office cho các user trong OU KeToan
5. Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử dụng
(Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password.
Cấm các user thuộc OU NhanSu sử dụng chương trình Notepad Lưu ý: cấu hình sao cho GPO này không tác động lên các user “Sếp”.
6. Delegate Control cho phép kt1 được quản lý user account trong OU KeToan
7. Delegate Control cho phép ns1 được quản lý user account và group trong OU NhanSu
8. Map Network Driver Folder Data bằng Script cho các user thuộc OU Kế toán
9. Giám sát quá trình logon không thành công của các user
10.Giám sát quá trình truy cập vào Folder DataKeToan của các user trong OU KeToan
B. THỰC HIỆN
1. Đặt địa chỉ IP và đặt tên
Máy Server
Máy Client
1.1. Cài đặt DNS trên ServerThêm dịch vụ DNS Thêm dịch vụ DNS
• Chọn Add/Remove Windows Components > Networking Services > Click Details…
Click chọn Domain Name System (DNS) > OK > Next > Chọn nút Finish để hoàn tất quá trình cài đặt.
Lưu ý: bạn phải đảm bảo có đĩa CD Windows 2003 trên máy
Cấu hình dịch vụ DNS
Cài Forward Lookup Zone : Forward Lookup Zone để phân giải địa chỉ Tên máy (hostname) thành địa chỉ IP. Để tạo zone này ta thực hiện các bước sau:
• Vào Start > Administrative Tools > DNS
• Cick chuột phải chọn Forward Lookup Zones >New Zone > Next
Tại bảng Zone Type chọn Primary zone để cấu hình DNS Server chính > click next
Từ hộp thoại Zone File, ta có thể tạo file lưu trữ cơ sở dữ liệu cho Zone(zonename.dns) hay ta có thể chỉ định Zone File đã tồn tại sẳn (tất cả các file này được lưu trữ tại %systemroot%\system32\dns),Để mặc định chọn Next
Xác nhận lại thông tin , nhấn Finish
Gõ tên host vào mục Name, gõ địa chỉ IP vào mục IP address. Nếu muốn tạo ra một bản ghi DNS phân giải ngược tương ứng thì đánh dấu chọn Create associated pointer (PTR) record
Sau khi ta hoàn tất quá trình tạo Zone thuận ta sẽ tạo Zone nghịch (Reverse Lookup Zone) để hỗ trợ cơ chế phân giải địa chỉ IP thành tên máy(hostname). Để tạo Reverse Lookup Zone ta thực hiện trình tự các bước sau:
Click chuột phải lên Reverse Lockup Zone > New Zone > Click Next
Nhập Network ID > Next
Chọn Allow both nonsecure and secure dynamic updates
Chọn Allow both nonsecure dynamic updates > Next >Xác nhận lại thông tin click Finish
Nhập phần Host IP và Brower Host name > OK
Để kiểm tra cài đặt DNS vào cmd nhập “nsloockup” Một vài tập lệnh của công cụ nslookup.
>set type=<RR_Type>
Trong đó <RR_Type> là loại RR mà ta muốn kiểm tra, sau đó gõ tên của RR hoặc tên miền cần kiểm tra
>set type=any: Để xem mọi thông tin về RR trong miền, sau đó ta gõ <domain name> để xem thông tin về các RR như A, NS, SOA, MX của miền này.
1.2. Cài đặt dịch vụ DHCP
Vào Manager Your Server > Chọn Add or remove a role
Hộp thoại Scope Name, điền tên của scope vào mục Name và nhấn Next
Nhập vùng IP không muốn cấp phát > Next
Lựa chọn thời hạn sử dụng IP của máy Client > Next
Trong hộp thoại Router (Default Gateway), bạn cho biết địa chỉ IP của default gatewaymà các máy DHCP Client sẽ sử dụng và nhấn Add. Sau đó nhấn Next.
Trong hộp thoại bạn sẽ cho biết tên domain mà các máy DHCP client sẽ sử dụng, đồng Domain Name and DNS Server, thời cũng cho biết địa chỉ IP của DNS Server dùng phân giải tên. Sau khi đã cấu hình xong, nhấn Next để tiếp tục.
Cài đặt dịch vụ WINS Server > Next
Clik next để khởi động ngay dịch vụ DHCP > Next > Finish để kết thúc
Kiểm tra
1.3. Lên Domain controler
Chọn menu Start > Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK. Khi đó hộp thoại Active Directory Installation Wizard xuất hiện. Bạn nhấn Next để tiếp tục.
Trong hộp thoại Domain Controller Type, chọn mục Domain Controller for a New Domain và nhấn chọn Next. (Nếu bạn muốn bổ sung máy điều khiển vùng vào một domain có sẵn, bạn sẽ chọn Additional domain cotroller for an existing domain )
Chọn dòng 1 > Next
Đến đây chương trình cho phép bạn chọn một trong ba lựa chọn sau: chọn Domain in new forest nếu bạn muốn tạo domain đầu tiên trong một rừng mới, chọn Child domain in an existing domain tree nếu bạn muốn tạo ra một domain con dựa trên một cây domain có sẵn, chọn Domain tree in an existing forest nếu bạn muốn tạo ra một cây domain mới trong một rừng đã có sẵn.
Chọn dòng 1 > Next > Next
Hộp thoại New Domain Name nhập tên DNS đầy đủ của domain
Tuỳ chọn nơi lưu database Active Directory và các tập tin log> Next
Hộp thoại Shared System Volume cho phép bạn chỉ định ví trí của thư mục SYSVOL. Tất cả dữ liệu đặt trong thư mục Sysvol này sẽ được tự động sao chép sang các Domain Controller khác trong miền
Trong hộp thoại Directory Services Restore Mode Administrator Password, bạn sẽ chỉ định mật khẩu dùng trong trường hợp Server phải khởi động vào chế độ Directory Services Restore Mode. Nhấn chọn Next để tiếp tục.
Click Finish để kết thúc
Sau khi khởi động lại máy quá trình lên Domain sẽ hoàn tất
1.4. Join máy client vào hệ thống Domain
Một máy trạm gia nhập vào một domain thực sự là việc tạo ra một mối quan hệ tin cậy (trust relationship) giữa máy trạm đó với các máy Domain Controller trong vùng. Sau khi đã thiết lập quan hệ tin cậy thì việc chứng thực người dùng logon vào mạng trên máy trạm này sẽ do các máy điều khiển vùng đảm nhiệm. Nhưng chú ý việc gia nhập một máy trạm vào miền phải có sự đồng ý của người quản trị mạng cấp miền và quản trị viên cục bộ trên máy trạm đó. Nói cách khác khi bạn muốn gia nhập một máy trạm vào miền, bạn phải đăng nhập cục bộ vào máy trạm với vai trò là administrator, sau đó gia nhập vào miền, hệ thống sẽ yêu cầu bạn xác thực bằng một tài khoản người dùng cấp miền có quyền Add Workstation to Domain (bạn có thể dùng trực tiếp tài khoản administrator cấp miền).
Các bước cài đặt.
Kiểm tra kết nối đến máy chủ vào cmd gõ Ping 192.168.1.3 nếu kết nối thành công sẽ có thông báo “Reply”
Click chuột phải lên My Computer chọn Properties > chọn Tab Computer name > Change được như hình bên dưới > chọn More
Trong Member of chọn Domain và nhập tên domain trừ phần đuôi > OK
Nhập tài khoản người dùng cấp miền có quyền quản trị > OK
Sau khi xác thực chính xác và hệ thống chấp nhận máy trạm này gia nhập vào miền thì hệ thống xuất hiện thông báo thành công và yêu cầu bạn reboot máy lại để đăng nhập vào mạng
Trong hộp thoại Log on to Windows chọn TVL để đăng nhập vào miền ,còn nếu bạn logon cục bộ chọn mục This Computer
1.5. Câu 1 : Tạo các object và đưa các user vào nhóm tương ứng
Trước tiên cần cài đặt lại chính sách Passwork để có thể nhập được mật khẩu 123
-Vào Administrator tool > Domain Security policy >Tìm đến mục Password policy Chọn Minium passwork length là 0 ,và Password must meet complety requiment là Disable, Store Password Using Reversible Encryption for All Users in the Domain l à Enable
Tạo mới 1 file text có nội dung như bên dưới , sau đó đổi đuôi .txt thành .bat
Và đây là kết quả sau khi chạy file .bat,các user đã được tạo thành công
1.6. Câu 2 : Roaming Profile cho các user “Sếp”. Thư mục chứa roaming profile tên là “Profiles”. tên là “Profiles”.
Trong mục Active diretory users and Computers ,Click chuột phải lên kt1 (sếp kế toán) > chọn Properties
Tìm đến Tab Profile ,trong mục Profile path nhập như hình bên dưới >Apply> OK
Làm tương tự đối với ns1 (sếp nhân sự)
Vào thư mục profile kiểm tra có hai thư mục KT1 va NS1 được tạo sau khi kt1 và ns1 đăng nhập như vậy quá trình tạo profile đã thành công
1.7. Câu 3 : Tạo cây thư mục và phân quyền
Tạo thư mục Data và share với quyền full control
Điều chỉnh quyền read cho tất cả user và full control cho administrator Vào Tab Security chọn Advanced
Bỏ chọn dòng đầu (bỏ chọn thuộc tính kế thừa) > click Copy > OK
Chọn Users và chọn Remove để không làm ảnh hưởng tới qua trình phân quyền
Vào trong thư mục data thêm thư mục DataChung > click Advanced
Bỏ chọn Allow inkeritable permissions from the parent to propagete to this oject and child ojcect where with enties explecety define here >Copy
Điều chỉnh cho các user không thể xoá dữ liệu của nhau ta bỏ chọn Delete Subfolder and Files và Delete
Làm tương tự cho NvienNS,sepKT,sepNS
Tạo thư mục DataKeToan ,phân quyền cho user kế toán full control , user nhân sự không có quyền nào
• Tạo Thư mục DataKeToan trong Data • Vào Tab Security > Andvanced
Bỏ chọn Allow inkeritable permissions from the parent to propagete to this oject and child ojcect where with enties explecety define here >Copy
Chọn user NvienKT Cấp quyền full control
• để các user không thể xoá dữ liệu của nhau bỏ chọn delete Subfolder and files và Delete > OK
Không cấp quyền cho user trong NvienNS > Nvienns Deny full control
Phân quyền cho user nhân sự full control và user kế toán không có quyền • Vào thư mục Data tạo thư mục DataNhanSu
• Chọn tab security > Advanced
Bỏ chọn Allow inkeritable permissions from the parent to propagete to this oject and child ojcect where with enties explecety define here >Copy
Chọn group NvienNS > full control
• Để các user không thể xoá dữ liệu của nhau bỏ chọn delete Subfolder and files và Delete > OK
Không phân quyền cho user kế toán
• chọn NvienKT > deny full control > OK • Làm tương tự cho SepKT
Kiểm tra
• Đăng nhập bằng tài khoản KT1
• Vào thư mục DataNhanSu hệ thống từ chối truy cập
Thử xoá dữ liệu do nhân sự tạo ra
Làm tương tự với user trong NvienNS • Đăng nhập NS1
Thử xoá dữ liệu do kế toan tạo ra
1.8. Câu 4 : Deploy phần mềm Microsoft Office cho các user trong OU KeToan
Vào Active diretory users and Computers > Click lên OU KeToan > tab Group Policy > new policy > edit
Trong file name nhập đường dẫn như hình
• Chọn Assigned và Install this application at logon (cài đặt phần mềm khi logon) • Run gõ gpupdate /force