V – User Profile, Home Folder và Disk Quota
3. Disk Quota
3.1 Giới thiệu về Disk Quota
Disk Quota – hạn nghạch đĩa, là một công cụ rất mạnh để điều khiển không gian
đĩa trống. Người quản trị có thể điều khiển dung lượng đĩa trống phù hợp cho từng User
được sử dụng trên Server. Disk quota được cài đặt trên định dạng NTFS.
3.2 Thiết đặt Disk quota cho các Home folder và User profile
Để tránh sự lãng phí không cần thiết của đĩa cứng trên Server khi mà các User lưu trữ dữ liệu trên Home folder, chúng ta cần thiết đặt hạn nghạch đĩa cho từng User. Tuỳ
theo từng nhu cầu công việc của từng User mà chúng ta thiết đặt disk quota cho hợp lý. Do Home folder và Profile của User được đặt chung một thư mục nên chúng ta chỉ cần thiết đặt disk quota một lần cho hai mục này. Để thiết đặt Disk quota ta chọn phân vùng chứa thư mục chia sẻ có chứa Home folder và Profile trên Server, chuột phải chọn
properties. Tại cửa sổ properties chọn tab Quota, tích chọn vào mục Enable quota management và tích luôn vào mục Deny disk space to users exceeding quota limit. Mục này có tác dụng không cho người dùng lưu thêm dữ liệu trên server khi đã quá dung lượng cho phép. Nếu không chọn mục này các user vẫn có thể lưu thêm được dữ liệu trên server mặc dù đã có cảnh báo là quota đã hết. Tiếp theo chọn mục Limit disk space to
mục này cho phép điền vào dung lượng mà chúng ta muốn giới hạn, ô bên cạnh cho chúng ta chọn đơn vị tính dung lượng. Mục Set warning level to cho phép chúng ta điền vào dung lượng muốn cảnh báo người dùng đã sắp hết quota.
Tiếp theo click vào Quota Entries… tại cửa sổ này sẽ chứa danh sách các User bị
giới hạn hay không bị giới hạn Disk Quota. Mặc định thì các tài khoản Administrator và các tài khoản có quyền như Administrator đều không bị giới hạn disk quota. Do đó chúng ta không thể gán disk quota cho nhóm này mà chỉ có thể gán disk quota cho User thường mà thôi. Để giới hạn disk quota một User nào đó ta chọn menu Quota rồi chọn New quota entry. Tại hộp đánh tên ta đánh tên User muốn giới hạn disk quota vào và ấn OK. Tiếp theo hiện ra một bảng lựa chọn, chúng ta chọn Limit disk space to và cho vào giá trị muốn giới hạn cho User. Mục set warning level to cho vào giá trị mà chúng ta muốn cảnh báo người dùng là sắp hết disk quota.
Sau đó ấn OK và đóng cửa sổ Quota entries lại, tại cửa sổ Quota ấn OK, chúng ta
đã hoàn thành việc đặt Disk Quota cho các User. Lúc này các User đã bị giới hạn dung lượng ổđĩa trên Server, tại máy trạm logon vào với một User ta sẽ thấy rõ điều này.
VI – NHÓM VÀ CHÍNH SÁCH NHÓM
1. Giới thiệu các Nhóm Trong windows 2003 server
Một tập tin các tài khoản của người sử dụng được gọi là Group. Một người sử
dụng có thể là thành viên của nhiều hơn một nhóm.
Khi bổ sung thêm thành viên cho các nhóm cần lưu ý đến các bước sau:
- Khi một user là một thành viên của một group thì user đó sẽđược thừa hưởng các quyền mà group đó có được.
¾ Các nhóm trong Domain
Các nhóm chỉ được tạo trong domain controller và được lưu trong dịch vụ thư
mục Active Directory. Các nhóm đã được sử dụng để gán các quyền đến các tài nguyên và quyền quản trị hệ thống cho bất kỳ một máy tính nào trong một domain. Các nhóm trong domain cho phép quản trị tập trung trong domain.
¾ Các nhóm trong Workgroup
Các nhóm trong một Workgroup được tạo trên các máy tính, nó không có chức năng điều khiển domain. Các máy tính có thể là các Client chạy Windows Xp hoặc các member server được chạy windows 2003 server. Chúng được chứa trong Sercurity Account Manager (SAM) và đã được sử dụng để gán quyền đến các tài nguyên và quyền quản trị hệ thống trên máy tính, nơi mà ởđó các nhóm được tạo ra.
1.1 Các nhóm trong domain
Trong domain controller có các nhóm tạo sẵn, nó được tự động tạo ra trong quá trình cài đặt windows 2003. Các nhóm tạo sẵn được lưu trữ trong Active Directory User and Computer. Các nhóm tạo sẵn có phạm vi hoạt động là toàn cục. Windows 2003 hỗ trợ
3 nhóm dưới đây:
¾ Built-In Group: Các nhóm này có thể được sử dụng cho các user được xác
định trước về các quyền và các quyền để thực hiện các nhiệm vụ trên một domain controller và trên Active Directory. Điều này có thểđược tạo chỉ trên các domain controller. Các nhóm loại này không thể bị xoá.
¾ Special Identify Group: Các nhóm loại này tổ chức các user một cách tự
động. Người quản trị không thể bổ sung các user vào nhóm này. Thay vào đó một cách mặc định các user là các thành viên của nhóm này, hoặc trở thành thành viên trong khi thực hiện các nhiệm vụ trên mạng.
¾ Predefined Groups: Các nhóm loại này cung cấp cho người quản lý một cách
dễ dàng các điều khiển các user trong domain. Các nhóm này chỉ thuộc trong các domain controller. Chúng được lưu trữ trong folder user trong Active Directory Users and Computers.
Các nhóm cục bộ được tạo ra khi tạo các nhóm trong workgroup. Các nhóm cục bộ chỉ có thể được tạo ra trên các server thành viên hoặc trên các máy đang chạy với hệ điều hành windows XP. Có thể sử dụng các nhóm cục bộđể án định các quyền cho phép cho các nguồn tài nguyên chỉ trên các máy tính cục bộ. Các nhóm mặc định đã được tạo ra bởi windows 2003, đó là các nhóm có các quyền đặc biệt để thực hiện các nhiệm vụ hệ
thống trên các máy cục bộ. Các user có thểđược bổ sung đến các nhóm mặc định này một cách dễ dàng.
¾ Local Groups: Khi tạo các nhóm cục bộ phải biết người và các thành viên
của chúng sẽđược thực như thế nào. Nhóm cục bộđã được tạo trên các server thành viên đang chạy windows 2003 server hoặc windows 2003 Advanced Server hoặc trên các máy client đang chạy với windows XP.
Local group được sử dụng theo các nguyên tắc dưới đây:
Nhóm cục bộ không thể là một thành viên của một nhóm khác.
Nhóm cục bộ chỉ có thể chứa các user account cục bộ từ máy tính mà ởđó nhóm cục bộđã được tạo.
Chúng ta sử dụng các nhóm cục bộ để điều khiển việc truy xuất đến các nguồn tài nguyên trên máy cục bộ và cho việc thực hiện các nhiệm vụ hệ
thống của máy cục bộ.
Các nhóm cục bộ phải được thiết lập trên các máy tính không phải là một domain. Các nhóm cục bộ chỉ có thể được sử dụng trên các máy mà ở đó các nhóm cục bộđã được tạo ra. Bất lợi của việc tạo các nhóm cục bộ trên các domain máy tính đó là cái nó sẽ hạn chế chúng ta từ nhóm quản trị
trung tâm. Nhóm cục bộ sẽ không thấy trong Active Directory và do đó các nhóm cục bộ cần phải quản trị một cách riêng biệt.
¾ Built-In Groups: Khi chúng ta cài đặt Windows xp hoặc windows 2003
advanced server trên server thành viên, các nhóm này được tạo một cách tự động. Các nhóm này đã được định nghĩa trước một tập các quyền và các quyền. Các nhóm này đã được định nghĩa trước một tập các quyền và các quyền. Các nhóm này không thể xoá được. Thành lập các nhóm là:
Built-In local Groups: Trong nhóm này các thành viên có thể thực hiện các nhiệm vụ hệ thống như là việc thay đổi hệ thống thời gian, khôi phục các file, sao lưu các file và việc quản trị các nguồn tài nguyên hệ thống. Các nhóm này được lưu trữ trong nhóm folder ở local users and groups trong computer management.
Special Identities / Groups: Trong nhóm này các user được tổ chức một cách tự động. Thường thì người quản trị không thể sửa đổi các thành viên trong nhóm. Các user là các thành viên mặc định của nhóm này hoặc trở
thành các thành viên trong suôt quá trình mạng hoạt động. Theo mặc định Windows 2003 chứa các nhóm đặc biệt này.
2. Chính Sách Nhóm
Tổng chi phí cho việc sở hữu, được xem như là TCO: Total Cost of Ownership, là một chi phí mà nó bao gồm việc thực hiện phân phối máy dành riêng trên mạng. Chúng ta có thể giảm bớt TCO mạng của chúng ta bằng việc sử dụng chính sách nhóm trong Microsoft windows 2003. Chính sách nhóm là một công nghệ mà nó cho phép người quản trịđể quản lý các môi trường desktop qua một mạng windows 2003. Việc quản lý desktop thông qua các chính sách nhóm được thực hiện bằng việc áp dụng các thiết lập cấu hình computer và các user account. Các thiết lập chính sách nhóm tập trung ở các đối tượng chính sách nhóm (GPO: Group Policy Object). Các chính sách nhóm cho phép người quản trị để thiết lập một yêu cầu cho một user hoặc một computer. Yêu cầu có thể sau đó sẽđược đem thực hiện liên tục. Chúng ta có thể sử dụng snap-in group policy và phần mở
rộng của nó trong MMC để mặc định nghĩa thiết lập chính sách nhóm. Các chính sách nhóm mở rộng:
¾ Administrative Templates: Dựa trên Registry: Cấu hình xuất hiện desktop, thiết lập ứng dụng và chạy các dịch vụ của hệ thống.
¾ Folder Redirection: Lưu trữ các folder của user trên mạng.
¾ Scripts: Tạo các scripts mà nó có thể được sử dụng khi một user logon hoặc logoff, khi một computer khởi động hoặc tắt máy.
¾ Security: Tuỳ chọn này cung cấp cho máy cục bộ, domain và các thiết lập an toàn mạng
¾ Software Installation: Chủ yếu quản lý việc cài đặt phần mềm, cập nhật và xoá bỏ.
Trong Windows 2003, các thiết lập chính sách nhóm là hầu như được lưu trữ
trong một đối tượng chính sách nhóm (GPO). Do đó, chúng ta tạo GPO và sau đó thiết lập nó để chứa các thiết lập chính sách nhóm. GPO là một bộ lưu trữảo định vị cho các thiết lập chính sách nhóm. Một GPO bao gồm một tập các thiết lập mà nó ảnh hưởng riêng của các user và các computer. Mỗi GPO sẽ có một cấu hình khác nhau và sẽ có các ảnh hưởng riêng khác nhau cho đối với các user và các conputer. Nội dung của một GPO được lưu trữ trong 2 vị trí khác nhau:
¾ Group Policy Containers (GPC) ¾ Group Policy Templates (GPT)
2.1 Các Group Policy Containers (GPC)
Group policy Container là một đối tượng Active Directory. Nó chứa các thuộc tính của GPO và bao gồm các container con cho thông tin chính sách nhóm về các user và các computer. GPC bao gồm các thông tin dưới đây:
¾ Danh sách các component: chứa một danh sách các chính sách nhóm mở
rộng được sử dụng trong GPO
¾ Thông tin các trạng thái: Cho biết một GPO có thể hay không có thểđược thực hiện.
¾ Thông tin Version: Đảm bảo rằng thông tin trong GPC xảy ra đồng thời với thông tin ở trong GPT.
2.2 Các Group Policy Template (GPT)
Các Group Template là các folder vật lý mà nó được tạo ra khi chúng ta tạo một
đối tượng chính sách nhóm. GPT là một folder có thứ tự trong foder sysvol ở trên các domain controller. Đây là một đối tượng chưa tất cả thông tin chính sách nhóm trên các template quản trị, các script, cài đặt phần mềm, việc nhân bản folder.
Khi chúng tạo ra một GPO, windows 2003 tạo một folder GPT có thứ tự. Folder là một tên sau khi GUID (globally unique identifier) của GPO chúng ta được tạo. Một directory
được tạo với tên DNS của domain, dưới directory sysvol. Một directory khác có tên là Policies được tạo dưới directory domain. Dưới directory policies này một thư mục được tạo với GUID của GPO như là tên của một thư mục
3. Ứng dụng các chính sách nhóm
Bước quan trọng trong quá trình cài đặt chính sách nhóm nhóm là phải hiểu cách thừa kế và thứ tự thực hiện của các đối tượng chính sách nhóm. Khi chúng ta ứng dụng một đối tượng chính sách nhóm đến một đối tượng chứa, nó được thừa kế trong suốt các cấp bậc của hệ thống. Đây là một cách thừa kế của Active Directory trong việc đơn giản hoá các nhiệm vụ quản trị. Chúng ta có thể kết hợp đối tượng chứa Active Directory với một GPO trong quá trình tạo nó. Đối tượng chứa có thể là một site, domain hoặc một OU. Việc thiết lập chính sách nhóm trong một GPO sẽảnh hưởng các đối tượng trong một đối tượng chứa.
Việc thiết lập chính sách sẽđược thừa kế theo thứ tự sau:
¾ Site
¾ Domain
¾ OU
Theo mặc định. Windows 2003 ước lượng các đối tượng chính sách nhóm từ đối tượng chứa xa nhất của một đối tượng. Cái mà nó được áp dụng trong việc thiết lập một site, domain và sau cùng là một OU. Việc thiết lập chính sách của một OU đến computer hoặc user thuộc về nó, sẽ thiết lập sau cùng đó là điều sẽ được áp dụng cho user hoặc computer. Do đó, một thiết lập chính sách nhóm trong đối tượng chưa Active Directory
đến user hoặc computer là mâu thuẫn quan trọng của việc thiết lập chính sách nhóm trong một đối tượng chứa đó là cái ở xa nhất kể từ user hoặc computer.
Thiết lập chính sách nhóm có thểđược thiết lập cho các OU cha và OU con. Trong một số
trường hợp, khả năng tương thích giữa các thiết lập xác định đó là thiết lập sẽ được áp dụng. Nếu cả hai thiết thiết lập là tương thích thì sau đó các thiết lập từ cả OU cha và OU con sẽ được áp dụng trên các đối tượng của OU con. Tuy nhiên, nếu chúng không tương
thích thì sau đó OU con sẽ không thừa kế các thiết lập của OU cha. Vì thế các thiết lập của OU con sẽ được áp dụng trên các đối tượng của OU con. Trong trường hợp này, các thiết lập chính sách nhóm đã được thiết kế trên OU cha và không ở trên OU con thì sau đó các đối tượng của OU con sẽ thừa kế các thiết lập của OU cha.
Các quy tắc thừa kế mặc định trong windows 2003 có thểđược sửa đổi. Chúng ta cũng có thể sửa đổi các quy tắc thừa kế cho các GPO riêng lẻ. Hai tuỳ chọn đã được cung cấp cho việc thay đổi quá trình mặc định:
¾ Block Inheritance: Chúng ta có thể sử dụng tuỳ chọn này đến khối của một
đối tượng chứa con từ việc thừa kế các thiết lập của đối tượng chứa cha. Nó
đã được sử dụng khi một OU cần phải thiết lập chính sách duy nhất. Khối thừa kế được áp dụng đến tất cả các đối tượng chính sách nhóm trong đối tượng chứa cha. Trong trường hợp mâu thuẫn, tuỳ chọn No Override luôn đặt quyền
ưu tiên lên tùy chọn này.
¾ No Override: Chúng ta có thể sử dụng tuỳ chọn này để ngăn cản một OU con
từ việc đè lên các thiết lập một GPO với mức độ cao nhất. Tuỳ chọn này là một tập lên các GPO. Đây là điều có thể trong việc thiết lập tuỳ chọn này trên một hay nhiều hơn một GPO. Trong một số trường hợp, GPO với tuỳ chọn No Override, cấp bậc cao nhất trong Active Directory sẽ đặt quyền ưu tiên lên trên các GPO khác.
Một GPO là được kết hợp với một site ảnh hưởng đến tất cả các computer trong site, bất luận các domain thuộc về chúng. Tuy nhiên, GPO đã được lưu trữ chỉ trong một domain controller trong một site. Tất cả các computer phải tiếp xúc với domain controller
đó là cái đã chứa GPO cho các thiết lập chính sách. Từ khi đó, site có thể chứa nhiều domain, các domain này có thể chứa nhiều domain, các domain này có thể thừa kế GPO
đã được kết hợp với site.
4. Cấu hình các chính sách nhóm
Các thiết lập chính sách nhóm trong một GPO có thểđược cấu hình bằng cách sử
dụng snap-in Group Policy mở rộng trong MMC. Các mở rộng chính sách nhóm bao gồm các thiết lập cho:
¾ Administrative Templates