TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM

Câu 1:
Nâng cấp PC1 thành “dom1.local” tương tự như bài thực hành 1.
Cài đặt PC2 tham gia vào domain “dom1.local” với vai trò là client.
Câu 2:

Minimum password length : Cài đặt thông số là 5.





Pass yêu cầu phức tạp: Chọn disabled.


Tự động khóa tài khoản sau 5 lần đăng nhập sai pass:

Và khóa trong 10 phút:


Câu 3:
Tạo tài khoản User và Group (Global) :


Tạo 1 Group mới:


Tương tự tạo 1 User mới:

Bỏ chọn User must change password at next logon và nhập password

Next -> Finish.
Tương tự cho các User và Group khác.
Add User vào trong từng Group như yêu cầu ( ở đây ví dụ cho group Quantri) :
Chọn tất cả các User cần thêm, chuột phải chọn “Add to a group”
Gõ vào tên nhóm chứa các User này.

Tương tự cho các group khác.

Riêng User vt2, chọn User cannot change password. ( Theo yêu cầu trong bài)


Nhóm Quantri có toàn quyền trên hệ thống: Chọn Properties của Quantri.

Chọn Tab Member of -> Add -> Add vào Administrator -> OK


Câu 4: Tìm hiểu các lệnh:
a. Net user : show các user có trong mạng.


b. Dsadd user: Vào CMD gõ dsadd rồi tham khảo thêm nhé! 
c. Tương tự gõ dsmod nó ra thôi mà 

Câu 5: Tạo các OU:
Trong giao diện Active Directory User and Computer như ở câu 3.
Chuột phải miền domain “dom1.local” -> New -> Organizational Unit (OU).

Đặt tên OU theo yêu cầu trong bài thực hành:


Thêm nhóm vào OU tương ứng : ví dụ Group “Giangvien” thêm vào OU
“Giangvien”.
HD: Nhấp chuột kéo và thả group vào OU tương ứng nhé!

Phân quyền quản lý OU cho người đầu tiên trong nhóm: ví dụ OU “Giangvien”
Chuột phải chọn Properties -> Chọn tab Managed By -> Change -> Nhập tên
người đầu tiên trong nhóm vào -> OK.

Tương tự cho các OU khác.
Lưu ý quan trọng cho các câu sau: Sau khi chỉnh sửa
policy hãy gõ lệnh gpupdate /force để áp dụng ngay
các chính sách vừa cấu hình.
Câu 6: Phân quyền User.
Vì tất cả các yêu cầu trong câu này đều áp dụng cho máy server nên ta chọn
công cụ “Domain Controller Security Policy”.

a/ Các thành viên trong group “Giangvien” có quyền shutdown máy server từ
xa.
Local Policy -> User Rights Assignment -> Shut down the system -> Add user
or group -> Nhập tên group “Giangvien” theo yêu cầu -> OK.


Thực hiện tắt máy server từ 1 account trong group “Giangvien”.
Gõ lệnh gpupdate /force!

Truy cập máy khác (ở đây là PC2) bằng User name là “gv1” hoặc “gv2” với
password trong lúc tạo user ở câu trước (ở đây ví dụ “gv1”).

Gõ lệnh : shutdown –i


Chọn Add -> Gõ vào địa chỉ IP máy server -> OK
Cài đặt thời gian warning: ở đây là 60 giây.
Điền lý do Shutdown: Hết thời gian chơi! Vui lòng thanh toán tiền net tại quầy
tiếp tân! -> OK




Trên máy sever (ở đây là PC1) sẽ xuất hiện thông báo. Để không bị tắt máy, vào
Run gõ lệnh shutdown –a

b/ Cho phép tất cả User được đăng nhập trên máy server (PC1) trừ User mt2
Mặc định máy server sẽ deny tất cả các user không phải của nó. Test thử nhé:
Thử đăng nhập bằng user : gv1, mt1, vt1
Cài đặt allow cho tất cả các user. (bao gồm cả mt2, sẽ deny ở bước sau)
User Rights Assignment -> Allow log on locally -> Add User or Group -> Nhập
“everyone” -> OK.



Chặn User mt2 :
User Rights Assignment -> Deny log on locally -> Add user or group -> Nhập
user name “ mt2” -> OK




Gõ lệnh gpupdate /force!



Test hàng:
Trên máy server PC1, đăng nhập với các account khác Administrator như: gv1,
mt1, vt1 và mt2.
c/ Phân quyền thay đổi giờ hệ thống:
Tương tự các bước trên, -> change the system time-> Add user or group ->
Nhập “ Maytinh” -> OK.





Gõ lệnh gpupdate /force!


Test hàng: Đăng nhập bằng account không thuộc group “Maytinh” (trừ account
của group “Quantri” vì group này toàn quyền như đã cài đặt ở câu trước) và
account của group “Maytinh” rồi thay đổi thời gian hệ thống.
d/ Phân quyền Backup dữ liệu:
User vt1:
Tương tự -> Back up files and directories -> Add user or group -> Nhập “vt1”
->OK


Gõ lệnh gpupdate /force!



Câu 7: Cấu hình các thông số bảo mật hệ thống. Vì áp dụng cho toàn hệ thống
nên chọn công cụ Domain Security Policy.


a/ Đổi tên Administrator thành Quantrimang.
Security Options -> Accounts : Rename administrator account -> Define this
policy setting -> Nhập tên mới “Quantrimang” -> OK


Gõ lệnh gpupdate /force nhé!
Test hàng: Trên PC1 thử đăng nhập account “Administrator” và “Quantrimang”

b/ User shutdown máy mà không cần đăng nhập hệ thống:
Security Options -> Shutdown: Allow system to be shut down without having to
log on -> Define this policy setting -> OK.


Đừng quên gpupdate /force nhé!
Test hàng: Khỏi nói cũng biết làm gì!
c/ Không hiển thị user của người đã đăng nhập trước đó:
Security Options -> Interactive logon: Do not display last user name -> Define
this policy setting -> Enable -> OK


Nhớ gpupdate /force nhé!
Test hàng: Log of cái thấy liền!

Câu 8: Chức năng kiểm toán:
Dùng công cụ Event Viewer

Vào coi thì biết nhé!

Câu 9: Phân quyền cho group:

Cụ thể là group “Maytinh”
Mở công cụ Active Directory User and Computer.

Chuột phải OU “Maytinh” chọn Properties -> Chọn tab Group Policy -> New
(tạo ra 1 policy mới, nếu muốn có thể rename) -> Edit ( thiết lập các thông số
theo bài yêu cầu).


Cụ thể như sau :
Computer Configuration : Áp dụng cấu hình trên máy tính. Những máy
tính khác nhau trong hệ thống có những policy khác nhau. Bất kỳ user (kể cả
admin) logon vào máy nào đều chịu policy của máy đó.
User Configuration : Áp dụng cho user. Một user có thể đăng nhập trên
nhiều máy khác nhau, policy của user là không thay đổi ở bất cứ máy nào.
Ở đây là policy cho group nên ta chọn User Configuration nhé!
a/ Không cho thành viên trong nhóm chạy Command Prompt:
Administrator Templates -> System -> Prevent access to the command prompt


b/ Chỉ có thể chạy Notepad và IE :

Chọn Run only allowed Windows applications -> Enable -> Show -> Add ->
Nhập tên chương trình “notepad.exe” -> OK. Tương tự cho IEXPLORE.EXE
nhé!



c/ Gỡ nút « Change Password » :
Ctrl + Alt + Del Options -> Remove Change Password -> Enable -> OK.



d/ Ẩn « My network places » :
Administrator Templates -> Desktop -> Hide My Network Places icon on
desktop -> Enable -> OK.


e/ Không cho truy cập “ Control Panel”:
Administrator Templates -> Control Panel -> Prohibit access to the Control
Panel -> Enable -> OK.


f/ Cấu hình user “ mt1” không chịu các ảnh hưởng trên:
Trong “Maytinh Properties” -> Chọn tab Group Policy -> Properties ( của New
Policy) -> Chọn tab Security -> Add -> Nhập “mt1” -> OK.




Deny tất cả các ảnh hưởng từ New Policy vừa tạo đối với user “mt1”. OK.