DFS (Distributed File System) là hệ thống tổ chức sắp xếp các thư mục, tập tin dùng chung trên mạng mà Server quản lý, ở đó bạn có thể tập hợp các thư mục dùng chung nằm trên nhiều Server khác nhau trên mạng với một tên chia sẻ duy nhất. Nhờ hệ thống này mà người dùng dễ dàng tìm kiếm một tài nguyên dùng chung nào đó trên mạng… DFS có hai loại root: domain root
là hệ thống root gắn kết vào Active Directory được chứa trên tất cả Domain
Controller, Stand-alone root chỉ chứa thông tin ngay tại máy được cấu hình.
Chú ý DFS không phải là một File Server mà nó là chỉ là một “bảng mục lục” chỉ đến các thư mục đã được tạo và chia sẻ sẵn trên các Server. Để triển khai một hệ thống DFS trước tiên bạn phải hiểu các khái niệm sau:
- Gốc DFS (DFS root) là một thư mục chia sẻ đại diện cho chung cho các thư mục chia sẻ khác trên các Server.
- Liên kết DFS (DFS link) là một thư mục nằm trong DFS root, nó ánh xạ đến một tài nguyên chia sẻ các Server khác.
6.1. So sánh hai loại DFS
- Là hệ thống DFS trên một máy
Server Stand-alone, không có
khả năng dung lỗi.
- Người dùng truy xuất hệ thống DFS thông qua đường dẫn
- Là hệ thống DFS dựa trên nền
Active Directory nên có chính dung
lỗi cao.
- Hệ thống DFS sẽ tự động đồng bộ giữa các Domain Controller và
ườ ể ấ đế
qua đườ ẫ
6.2. Cài đặt Fault-tolerant DFS
Để tạo một hệ thống Fault-tolerant DFS bạn làm theo các bước sau: Bạn nhấp chuột vào Start / Programs / Administrative Tools /
Distributed File System. Hộp thoại Welcome xuất hiện, bạn nhấn Next để tiếp tục. Hộp thoại Root Type xuất hiện, bạn chọn mục Domain Root, nhấn Next để tiếp tục.
Hệ thống yêu cầu bạn chọn tên miền (domain name) kết hợp với hệ
Tiếp theo bạn khai báo tên của Domain Controller chưa root DFS cần tạo.
Đến đây bạn khai báo tên chia sẻ gốc (Root Name) của hệ thống DFS, đây chính là tên chia sẻ đại diện cho các tài nguyên khác trên mạng. Bạn nhập đầy đủ các thông tin chọn Next để tiếp tục.
Trong hộp thoại xuất hiện, bạn khai báo tên thư mục chia sẻ gốc của hệ thống DFS.
Sau khi cấu hình hệ thống DFS hoàn tất, tiếp theo bạn tạo các liên kết đến các tài nguyên dùng chung trên các Server khác trong mạng.
Để sử dụng hệ thống DFS này, tại máy trạm bạn ánh xạ (map) thư mục chia sẻ gốc thành một ổ đĩa mạng. Trong ổ đĩa mạng này bạn có thể nhìn thấy tất cả các thư mục chia sẻ trên các Server khác nhau trên hệ thống mạng.
Tương tự như Fault-tolerant DFS, bạn có thể tạo ra một Stand-alone DFS trên một máy Server Stand-alone, tất nhiên là hệ thống đó không có khả
năng dung lỗi có nghĩa là khi Server chứa DFS Root hỏng thì các máy trạm sẽ không tìm thấy các tài nguyên chia sẻ trên các Server khác. Nhưng hệ thống
BÀI 5: TRIỂN KHAI CHÍNH SÁCH 1. Giới thiệu về Group Policy Object (GPO)
Chính sách nhóm là một công nghệ cho phép người quản trị quản lý các môi trường desktop qua một mạng Windows Server 2008. Việc quản lý desktop thông qua các chính sách nhóm được thực hiện bằng việc áp dụng các thiết lập cấu hình computer và các user account. Các thiết lập chính sách nhóm tập trung ở các đối tượng chính sách nhóm (GPO: Group Policy Object). Các chính sách nhóm cho phép người quản trị để thiết lập một yêu cầu cho một user hoặc một computer. Yêu cầu có thể sau đó sẽ được đem thực hiện liên tục. Chúng ta có thể sử dụng snap-in group policy và phần mở rộng của nó trong MMC để mặc định nghĩa thiết lập chính sách nhóm. Các chính sách nhóm mở rộng:
- Administrative Templates: Dựa trên Registry: Cấu hình xuất hiện desktop, thiết lập ứng dụng và chạy các dịch vụ của hệ thống.
- Folder Redirection: Lưu trữ các folder của user trên mạng.
- Scripts: Tạo các scripts mà nó có thể được sử dụng khi một user logon hoặc logoff, khi một computer khởi động hoặc tắt máy.
- Security: Tuỳ chọn này cung cấp cho máy cục bộ, domain và các thiết lập an toàn mạng.
- Software Installation: Chủ yếu quản lý việc cài đặt phần mềm, cập nhật và xoá bỏ.
2. Ứng dụng các chính sách nhóm
Bước quan trọng trong quá trình cài đặt chính sách nhóm nhóm là phải hiểu cách thừa kế và thứ tự thực hiện của các đối tượng chính sách nhóm. Khi chúng ta ứng dụng một đối tượng chính sách nhóm đến một đối tượng chứa, nó được thừa kế trong suốt các cấp bậc của hệ thống. Đây là một cách thừa kế của Active Directory trong việc đơn giản hoá các nhiệm vụ quản trị. Chúng ta có thể kết hợp đối tượng chứa Active Directory với một GPO trong quá trình tạo nó. Đối tượng chứa có thể là một site, domain hoặc một OU. Việc thiết lập chính sách nhóm trong một GPO sẽ ảnh hưởng các đối tượng trong một đối tượng chứa.
Việc thiết lập chính sách sẽ được thừa kế theo thứ tự sau: - Site
- Domain - OU
Theo mặc định. Windows 2008 ước lượng các đối tượng chính sách nhóm từ đối tượng chứa xa nhất của một đối tượng. Cái mà nó được áp dụng trong việc
thiết lập một site, domain và sau cùng là một OU. Việc thiết lập chính sách của một OU đến computer hoặc user thuộc về nó, sẽ thiết lập sau cùng đó là điều sẽ được áp dụng cho user hoặc computer. Do đó, một thiết lập chính sách nhóm trong đối tượng chứa Active Directory đến user hoặc computer là mâu thuẫn quan trọng của việc thiết lập chính sách nhóm trong một đối tượng chứa đó là cái ở xa nhất kể từ user hoặc computer.
Thiết lập chính sách nhóm có thể được thiết lập cho các OU cha và OU con. Trong một số trường hợp, khả năng tương thích giữa các thiết lập xác định đó là thiết lập sẽ được áp dụng. Nếu cả hai thiết thiết lập là tương thích thì sau đó các thiết lập từ cả OU cha và OU con sẽ được áp dụng trên các đối tượng của OU con. Tuy nhiên, nếu chúng không tương thích thì sau đó OU con sẽ không thừa kế các thiết lập của OU cha. Vì thế các thiết lập của OU con sẽ được áp dụng trên các đối tượng của OU con. Trong trường hợp này, các thiết lập chính sách nhóm đã được thiết kế trên OU cha và không ở trên OU con thì sau đó các đối tượng của OU con sẽ thừa kế các thiết lập của OU cha.
Các quy tắc thừa kế mặc định trong windows 2008 có thể được sửa đổi. Chúng ta cũng có thể sửa đổi các quy tắc thừa kế cho các GPO riêng lẻ. Hai tuỳ chọn đã được cung cấp cho việc thay đổi quá trình mặc định:
- Block Inheritance: Chúng ta có thể sử dụng tuỳ chọn này đến khối của một đối tượng chứa con từ việc thừa kế các thiết lập của đối tượng chứa cha. Nó đã được sử dụng khi một OU cần phải thiết lập chính sách duy nhất. Khối thừa kế được áp dụng đến tất cả các đối tượng chính sách nhóm trong đối tượng chứa cha. Trong trường hợp mâu thuẫn, tuỳ chọn No Override luôn đặt quyền ưu tiên lên tùy chọn này.
- No Override: Chúng ta có thể sử dụng tuỳ chọn này để ngăn cản một OU con từ việc đè lên các thiết lập một GPO với mức độ cao nhất. Tuỳ chọn này là một tập lên các GPO. Đây là điều có thể trong việc thiết lập tuỳ chọn này trên một hay nhiều hơn một GPO. Trong một số trường hợp, GPO với tuỳ chọn No Override, cấp bậc cao nhất trong Active Directory sẽ đặt quyền ưu tiên lên trên các GPO khác.
Một GPO là được kết hợp với một site ảnh hưởng đến tất cả các computer trong site, bất luận các domain thuộc về chúng. Tuy nhiên, GPO đã được lưu trữ chỉ trong một domain controller trong một site. Tất cả các computer phải tiếp xúc với domain controller đó là cái đã chứa GPO cho các thiết lập chính sách. Từ khi
đó, site có thể chứa nhiều domain, các domain này có thể chứa nhiều domain, các domain này có thể thừa kế GPO đã được kết hợp với site.
3. Cấu hình các chính sách nhóm
Các thiết lập chính sách nhóm trong một GPO có thể được cấu hình bằng cách sử dụng snap-in Group Policy mở rộng trong MMC. Các mở rộng chính sách nhóm bao gồm các thiết lập cho:
- Administrative Templates - Folder Redirection
- Scripts - Security
- Remote Installation Servies - Software Installation
Để mở một GPO ta làm như sau: Mở Active Directory Users and Computer / Active Directory Sites and Services từ menu administrative tools. Nhấp phải vào container hay OU, Nhấp propertices, Nhấp vào tab Group Policy, Chọn GPO mà chúng ta muốn, nhấp New nếu chưa có GPO và nhấp Edit
Thiết lập chính sách nhóm GPO được phân thành: Computer Configuration và User Configuration.
* Computer Configuration - Cấu hình máy tính:
Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật trên các máy tính. Đây là các thiết lập đã được áp dụng khi khởi tạo hệ điều hành. Các thiết lập cấu hình máy tính bao gồm tất cả các liên kết chính sách được chỉ rõ dưới đây:
- Software Setting + Software Installation - Windows settings + Scripts(Startup/Shutdown) + Security Settings o Account Policies o Local Policy o Event log o Restricted Groups o System Services o Registry o File system
- Administrative Templates + Windows Components + System
+ Network + Printer
* User Configuration - Cấu hình người sử dụng:
Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật của người sử dụng. Các thiết lập người sử dụng đã được áp dụng khi người sử dụng đăng nhập vào máy tính. Các thiết lập cấu hình người sử dụng bao gồm tất cả các liên kết chính sách người sử dụng được chỉ rõ dưới đây:
- Software Settings
+ Software Installation - Windows Settings
+ Remote Installation Services + Scripts(logon/logoff)
+ Security Setting + Folder Redirection
+ Internet Explorer maintenance - Administrative Templates
+ Windows Components + Start Menu and takbar + Desktop
+ Control panel + Shared Folder + Network + System
Bên trong các folder, subfolder và các chính sách không giống nhau tuỳ theo từng trường hợp chúng ta chọn cấu hình máy tính hay cấu hình người sử dụng. Điều khiển chính sách nhóm nên tập chung vào cùng một domain controller. Do đó, bằng cách mặc định. Việc điều hành chính sách tập chung trong primary domain controller. Tuy nhiên, nếu domain controller với vai trò điều hành chính sách là PDC là không có hiệu lực, khi đó một thông báo lỗi được xuất hiện. Mặc dù, chúng ta sẽ được cho phép để chọn một domain controller khác. Chúng ta có thể lấy dữ liệu khi nhiều người quản trị đang sửa đổi trên cùng một GPO. Trong
trường hợp này, thay đổi cuối cùng sẽ ghi đè lên thay đổi trước đó khi hoàn thành một GPO. Thông báo lỗi sẽ nhắc nhở khi ghi đè. Chúng ta nên chọn mục này chỉ khi chúng ta đã chắc chắn điều đó.
- Một GPO không được thay đổi bởi bất kỳ người nào
- Các GPO và các file kết hợp đã được thay thế một cách hoàn toàn sau thay đổi cuối cùng
* Các thiết lập Administrative Template:
Administrative Template chứa các đăng ký dựa trên các thiết lập chính sách nhóm. Trong registry edit, các thiết lập chính sách nhóm giành riêng cho người sử dụng được ghi ở HKEY_CURRENT_USER\Software\Policies. Tương tự, các thiết lập chính sách nhóm giành riêng cho máy tính được ghi ở HKEY_CURRENT_MACHINE\ software\ policies.
* Các thiết lập kịch bản (Script):
Windows 2008 cho phép các script được ghi trong cả computer và users. Đối với computers, chúng ta có thể để ấn định script thực hiện trong suốt quá trình cả quá trình khởi động và tắt máy.
Đối với users, chúng ta có thể án định các script thực hiện trong xuốt qúa trình đăng nhập và đăng xuất. Chúng ta có thểấn định các script đăng nhập / đăng xuất thông qua trang properties của user account. Tuy nhiên việc gán script thông qua chính sách nhóm là phương pháp được ưu tiên hơn. Chúng ta có thể ấn định nhiều script đến một user hoặc một computer.
Trong windows 2008, các scipt được thực hiện theo các mục sau:
- Trong trường hợp nhiều script, các script đã là một quá trình theo thứ tự từ trên xuống dưới trong trường hợp này chúng đã là một danh sách trong hộp thoại properties.
- Windows 2008 thực hiện các script đăng xuất trước khi thực hiện các script tắt máy.
- Giá trị thời gian mặc định tối đa cho việc thực hiện các script là 10 phút. Tuy nhiên, chúng ta có thể thay đổi giá trị này bằng cách thay đổi thời gian chờ trong computer configuration \ Administrative Templates \ System\ Logon\ Maximum
* Các thiết lập an toàn (Security):
Chúng ta có thể thiết lập và cho hiệu lực an toàn trong mạng của chung ta bằng cách sử dụng các thiết lập an toàn chính sách nhóm. Chúng ta sử dụng các
thiết lập an toàn mở rộng trong chính sách nhóm để định rõ các thiết lập an toàn. Các khoản trong các thiết lập an toàn mở rộng đã được thảo luận ở bên dưới
- Account Policies: Chính sách tài khoản cho một domain xác định. + Thiết lập Password
+ Thiết lập giao thức Kerberos + Các chính sách khoá Account
- Event Log: Chúng ta có thể cấu hình các tham số như kích thước. Truy xuất và việc sở hữu cho các ứng dụng, hệ thống và an toàn với thiết lập event log. - File System: Các thiết lập hệ thống file cho phép chúng ta cấu hình an toàn trên các đường dẫn file riêng biệt.
- IP Security Policies on Active Directory: Chúng ta có thể cấu hình các giao thức an toàn trên mạng interner khi sử dụng chính sách IP sercurity.
- Local Policies: Các thiết lập chính sách cục bộ có thể được sử dụng cấu hình các chính sách kiểm toán, việc cấp các quyền và cho phép đối với người sử dụng và thiết lập các mục an toàn khác cần thiết để cấu hình cục bộ. Các thiết lập chính sách này là cục bộ đến các máy tính.
- Public Key Policies: Các chính sách khoá công khai có thể được cấu hình hoặc là User configuration hoặc security settings. Chúng ta có thể sử dụng các chính sách khoá công khai trong thiết lập an toàn để cấu hình các domain gốc, giao phó các quyền lực và việc khôi phục lại mã hoá dữ liệu.
- Registry: Chúng ta có thể sử dụng thiết lập registry để cấu hình an toàn các registry key.
- Restricted Group: Các chính sách hạn chế nhóm có thể được sử dụng để quản lý các thành viên của các nhóm tạo sẵn và các nhóm domain. Các nhóm tạo sẵn là administrators, Power Users và domain admins. Chúng ta có thể bổ sung các nhóm khác nhau đến nhóm restricted, song song với các thành viên chi tiết của chúng. Để làm được như thế, cho phép chúng ta theo dõi và quản lý các nhóm này như là một phần của chính sách an toàn. Nhóm restricted quản lý các thành viên của các nhóm được tạo sẵn và cũng như các thành viên của các nhóm này. Cột members Of trong tab Properties của một nhóm, danh sách tất cả các nhóm để nhóm này là một thành viên.
- System Services: Chúng ta có thể sử dụng các dịch vụ nhóm hệ thống của việc thiết lập đến các thiết lập cấu hình an toàn và khởi động đối với các dịch vụ đang hoạt động trên một máy tính. Các dịch vụ khác nhau này có thể được cấu hình như:
+ Dịch vụ mạng
+ Dịch vụ File và Print + Dịch vụ Telephony và Fax + Dịch vụ Internet / Intranet