Chơng I
Mở đầu
1.1. Giới thiệu chung về Windows 2000
Windows 2000 là phiên bản tiếp theo của NT 4 (NT4 đợc đa từ năm
1996). Nhng so với NT 4 , Windows 2000 có sự khác biệt rất lớn cả về nội
dung và giao diện.
Về nội dung, Windows 2000 đợc phát triển theo hớng phục vụ các mạng
lớn, điều đó thể hiện trên những thay đổi quan trọng nhất sau:
+ Có thêm tính năng Active Directory.
+ Hạ tầng kiến trúc nối mạng TCP/IP đợc cải tiến cho phép ngời dùng kết
nối các mạng LAN, WAN vào Internet ở mọi nơi trên thế giới.
+ Những cơ sở hạ tầng bảo mật dễ co giãn hơn.
+ Việc chia sẻ dùng chung các tập tin trở nên mạnh mẽ hơn với hệ thống
tập tin phân tán (Distributed File System) và dịch vụ sao chép tập tin (File
Replication Service).
Active Directory là tính năng quý giá và quan trọng nhất của Windows
2000, đồng thời cũng là bộ phận toả rộng khắp nơi duy nhất của hệ điều hành
này. Nhiều tính năng mới, hấp dẫn của Windows 2000 nh: Các chính sách
nhóm (group policy), các cây (tree) và rừng (forest) của các miền, các đơn vị
tổ chức (organizational unit), các địa bàn (site), sự triển khai tập trung các ứng
dụng, và những tính năng của hệ thống tập tin phân tán trên mạng Windows
2000 cũng nh nhiều tính năng khác, sẽ không hoạt động đợc nếu nh cha có
máy chủ nào đóng vai trò nh một Active Directory Server.
Về giao diện, với ngời dùng đã quen NT 4, khó có thể tìm lại những giao
diện quen thuộc trớc đây, bởi có thêm rất nhiều giao diện mới. Đồng thời
những tính năng cũ cũng đợc thay đổi cả về giao diện và nơi kích hoạt chúng.
1.2. Làm quen với Active Directory
Active Directory đợc phát triển trên cơ sở cấu trúc miền cũ của NT 4 và
có bổ sung thêm nhiều điểm cải tiến mới, đây là phần quan trọng nhất và cũng
là phần phức tạp nhất của Windows 2000, hầu nh mọi tính năng của Windows
2000 đều đòi hỏi phải có Active Directory. Bởi vậy việc tìm hiểu kỹ về Active

Directory phải trải rộng ở hầu hết các tính năng của Windows 2000, và phần
này chỉ nhằm giới thiệu sơ lợc về Active Directory.
1.2.1. Vai trò của Active Directory
Vai trò của Active Directory thể hiện trên những vấn đề chính sau:
1.2.1.1. Vấn đề bảo mật
Bằng cách duy trì một danh bạ về các ngời sử dụng và những đối tợng
khác của mạng. Active Directory theo dõi xem ai đợc phép sử dụng mạng,
bằng cơ chế xác minh xem ngời sử dụng có hợp lệ không và cấp phép quyền
sử dụng tài nguyên cho ngời sử dụng.
1
1.2.1.2. Vấn đề tìm kiếm thông tin trên mạng
Ngày nay, mô hình Client Server (Khách Phục vụ) đã trở thành
mẫu mực để giải quyết nhu cầu tìm kiếm thông tin. Nhng cấu trúc này sẽ
không có tác dụng nếu không giúp Client tìm ra Server. Chức năng tra cứu
thông tin của Active Directory giúp các Client tìm kiếm nhanh đến tên của
một Mail Server, Web Server, Print Server, hay một File Server cụ thể.
1.2.1.3. Sự phân chia quyền hành trên một miền
Dới NT 4, để có sự phân quyền và bảo mật cho các bộ phận khác nhau
trên một mạng thì chúng ta phải tổ chức mạng sao cho mỗi một bộ phận thành
một miền, mà mỗi miền phải tốn ít nhất một máy chủ là máy điều khiển miền
chính (Primary Domain Controller - PDC). Sau đó nếu các bộ phận muốn trao
đổi thông tin liên lạc với nhau ở mức nào đó, thì phải thiết lập các mối quan
hệ uỷ quyền (Trust relationship), mà việc thiết lập các quan hệ uỷ quyền trong
NT 4 có phần rắc rối và không đáng tin cậy lắm.
Với Active Directory của Windows 2000, chỉ cần dùng chung một miền
cũng có thể phân quyền và bảo mật cho các bộ phận khác nhau, bằng cách
chia miền đó thành các đơn vị tổ chức (Organizational Unit OU ) cho mỗi
bộ phận khác nhau. Sau đó có thể uỷ quyền kiểm soát các OU đó cho một
nhóm điều hành viên nào đó.
1.2.2. Cấu trúc của Active Directory

Khi thiết kế cấu trúc của mạng NT4 ta chỉ có một vài công cụ nh: các
miền (domain), tài khoản máy (machine account), nhóm (group) mối quan hệ
uỷ quyền (trust relationship). Còn khi thiết kế mạng Windows 2000, ngoài tất
cả các công cụ trên, còn có các công cụ khác nữa là: đơn vị tổ chức (unit
organization), cây (tree), rừng (forest), và địa bàn (site).
Mục này sẽ khảo sát qua các công cụ chính để tạo nên cấu trúc của
Active Directory.
1.2.2.1. Miền
Miền là một tập hợp các máy tính trong mạng cho phép quản trị cũng nh
bảo mật một cách tập trung. Một miền có chứa máy chủ và các máy trạm làm
việc của miền.
Các máy chủ của miền đợc chia thành hai loại sau:
a) Máy điều khiển miền (DC - Domain Controller)
Mỗi một miền phải có ít nhất một máy chủ điều khiển miền gọi là DC
(Domain Controller - DC), để duy trì cơ sở dữ liệu (CSDL) khoản mục của
miền (trong đó có những khoản mục chính là: tài khoản ngời sử dụng, tài
khoản nhóm và tài khoản máy). Bất kỳ máy chủ khác nào có lu giữ một bản
sao CSDL khoản mục của miền cũng đều đợc gọi là DC, những máy chủ này
có nhiệm vụ phân tải sự truy nhập vào CSDL khoản mục của miền.
b) Máy chủ (Server)
Là những máy chủ khác của miền, dùng để cung cấp các dịch vụ nh: dịch
vụ tệp, dịch vụ in, Các máy chủ này không đợc cập nhật thông tin về CSDL
2
khoản mục của miền, do vậy không thể cân bằng tải và điều khiển miền trong
trờng hợp xảy ra sự cố.
1.2.2.2. Đơn vị tổ chức (OU)
Nhiều khi, miền còn là một khu vực quá lớn, nên khó có thể trao quyền
điều khiển cho ai đó. Giải pháp cho trờng hợp đó là Windows 2000 chia nhỏ
miền ra thành các đơn vị tổ chức (Organizational Unit - OU). Điều này cho
phép ta tạo ra các biên mới trong miền để dễ quản lý và tăng tính bảo mật.

Mỗi OU thờng chứa các tài khoản ngời dùng, tài khoản nhóm, hoặc tài
khoản máy của miền, các tài khoản này là duy nhất trên mạng và chỉ đợc xuất
hiện nhiều nhất là trong một OU.
Công dụng chính của OU là để tập hợp các tài khoản ngời dùng và tài
khoản máy vào một nơi (trong một OU), sau đó có thể trao quyền kiểm soát
OU này cho một tập hợp ngời dùng nào đó. Điều này cho phép ta qui định một
nhóm điều hành viên có khả năng, chẳng hạn nh, định lại mật khẩu của một
bộ phận nào đó, mà không cần biến họ thành những quản trị viên có những
quyền lực lớn hơn mức mong muốn. Nhờ vậy mà ta xác định đợc rõ hơn về sơ
đồ tổ chức, và thiết lập các biên về yêu cầu an toàn trong miền.
Trong một OU lại có thể tạo ra các OU con của nó.
Ví dụ: Hình 1.1 dới đây minh hoạ các OU đợc tạo ra trong miền
HVKTMM.COM:
HVKTMM.COM
PHONG_BAN DAO_TAO
TC_CBCT
TH_HC
TAI_VU
KHOA CHUYEN_NGANH
CO_BAN
CO_SO
TIN_HOC
Hình 1.1. Cấu trúc các OU trong miền HVKTMM.COM
1.2.2.3. Địa bàn (Site)
Với Active Directory, ngoài việc nắm những thông tin về máy và ngời
dùng trong một mạng, nó còn theo dõi cả khía cạnh địa lý của mạng.
Mỗi khu vực mà đợc nối kết bằng một mạng LAN thì đợc gọi là một Site.
Windows 2000 dùng những thông tin chi tiết vế cách bố trí vật lý của mạng
mà ta cung cấp cho nó để tính ra nơi nào có những đờng liên kết WAN là phần
chậm chạp hơn mà lại đắt tiền hơn của mạng. Sau đó nó làm hai việc rất có ích

sau: Thứ nhất, nó nén những dữ liệu cần sao chép trớc khi gửi đi, và thứ hai,
nó dùng những thông tin chi phí tiếp vận (route costing information) mà ta
3
cung cấp cho để tính ra cách gửi chuyển tiếp tốt nhất những dữ liệu cần sao
chép đó với chi phí rẻ nhất.
Mỗi một Site thông thờng cần một máy DC để thuận tiện cho các cuộc
đăng nhập tại địa bàn đó. Một miền cũng có thể có nhiều Site và một Site lại
có thể chứa nhiều miền.
1.2.3.4. Cây của các miền (Tree of domains)
Các doanh nghiệp có mạng đa miền đều mong muốn xây dựng hệ thống
cấp bậc theo cấu trúc cây cho các miền. Microsoft đã thiết kế Windows 2000
sao cho nó dùng DNS làm hệ thống giải đáp tên, và DNS đợc thiết kế đã có
bản chất cấu trúc cây, cho nên Windows 2000 khai thác sự trùng hợp này và
khuyến khích thành lập các mạng đa miền dới dạng có cấp bậc.
Ví dụ: Một mạng gồm năm miền có cấu trúc nh sau:
Hình 1.2. Cấu trúc cây của các miền
Miền đầu tiên đợc tạo ra trong một mạng đa miền đợc gọi là gốc (root)
của cây. Trong ví dụ trên, gốc của cây là Bancoyeu.Com. ở đây cũng có tên
gọi mẹ, con nh cấu trúc phân cấp cây th mục của DOS. Các miền ở mức trên
đợc gọi là miền mẹ của các miền ở mức ngay dới nó, Các miền ở mức ngay d-
ới đợc gọi là miền con của miền ngay bên trên nó.
Khi các miền đợc tổ chức theo cấu trúc cây, Windows 2000 sẽ tự động
tạo ra các quan hệ uỷ quyền giữa miền mẹ và các miền con. Ví dụ khi tạo ra
miền con HVKTMM.Bancoyeu.Com, thì tự động sẽ có một mối quan hệ uỷ
quyền hai chiều giữa Bancoyeu.Com và HVKTMM.Bancoyeu.Com. Mối quan
hệ uỷ quyền hai chiều này có nghĩa là: các quản trị viên của miền
Bancoyeu.Com có thể quyết định mở rộng những quyền truy cập tập tin và
máy in trong miền của họ cho những ngời dùng của miền
HVKTMM.Bancoyeu.Com và ngợc lại.
Ngoài ra, với Windows 2000, các mối quan hệ uỷ quyền còn có tính bắc

cầu. Điều đó dẫn tới tất cả các miền trong một cây đều có quan hệ uỷ quyền
hai chiều với nhau.
Nh vậy, cây của các miền đem lại lợi điểm là tự động tạo ra các quan hệ
uỷ quyền. Nhng tất cả các tên miền phải đợc đặt theo hệ thống cấp bậc chính
xác tơng tự nh ví dụ trên thì mới hình thành đợc một cây của Windows 2000.
4
Bancoyeu.Co
m
HVKTMM.Bancoyeu.Co
m
Cuc893.Bancoyeu.Com
Coso1.HVKTMM.Bancoyeu.Com
Coso2.HVKTMM.Bancoyeu.Co
m
1.2.3.5. Rừng của các miền (Forest of domains)
Rừng là tập hợp của hai hay nhiều cây. Các cây thờng đợc nối qua tuyến
truyền thông. Hình 1.3 là một ví dụ về một rừng có hai cây.
Hình 1.3. Rừng của các cây
Windows 2000 đòi hỏi phải có một miền làm gốc của rừng, và miền đầu
tiên đợc tạo ra sẽ là miền gốc của rừng.
Các quan hệ uỷ quyền giữa các miền thuộc hai cây khác nhau trong một
rừng không đợc tự động tạo ra, mà phải xác lập bằng tay.
Chú ý: Với Windows 2000 ta không thể nối hai miền có sẵn vào trong
một cây, và cũng không thể ghép một cây có sẵn vào trong một rừng, mà cách
duy nhất để đa thêm một miền vào trong một cây, hoặc một cây vào trong một
rừng, là xây dựng nó từ đầu trên một cây hoặc rừng có sẵn.
1.3. Đăng nhập vào mạng
Muốn làm việc và khai thác tài nguyên trên mạng, thì trớc hết ta phải
thực hiện thủ tục đăng nhập vào mạng. Sau đây là một số khái niệm liên quan
đến thủ tục này.

1.3.1. Một số khái niệm
User name: Là tên đăng nhập vào mạng của một khoản mục ngời sử
dụng. Những khoản mục ngời sử dụng do những ngời quản trị có thẩm quyền
tạo ra, và mỗi khoản mục này sẽ đợc trao cho một số quyền hạn nhất định khi
làm việc trên mạng. Tại mỗi thời điểm trên một máy chỉ cho phép nhiều nhất
một ngời sử dụng có thể đăng nhập vào mạng. Mỗi lần muốn đăng nhập vào
mạng với user name khác, ta chọn lần lợt Start/Shut Down Log off <tên user
name đang làm việc trên mạng>.
Administrator: Là user name đặc biệt, đợc tự động tạo ra trong quá
trình cài đặt, đóng vai trò là ngời quản trị mạng, là ngời có quyền cao nhất
trong việc tổ chức và quản lý mạng.
Password: Là mật khẩu đợc gán riêng cho từng khoản mục ngời sử
dụng. Chỉ khi nào ngời sử dụng gõ đúng mật khẩu tơng ứng với user name của
mình thì mới vào đợc mạng.
1.3.2. Khởi động máy và đăng nhâp vào mạng
5
Root(.)
Cay1.Co
m
Cay2.Co
m
Nhanh1.Cay1.Co
m
Nhanh2.Cay1.Co
m
Trình tự khởi động máy và đăng nhập vào mạng trên máy chủ và máy
trạm là tơng tự nhau và gồm những bớc sau:
- Khởi động máy
- Nếu máy chủ hoặc máy trạm có cài nhiều hệ điều hành thì chọn dòng
thông báo: MicroSoft Windows 2000 Server (trên máy chủ) hoặc MicroSoft

Windows 2000 Professional (trên máy trạm) để khởi động Windows 2000.
- Chờ cho đến khi màn hình hiện ra dòng chữ:
Press Ctrl - Alt - Delete to begin
thì bấm tổ hợp ba phím Ctrl - Alt - Delete để hiện ra cửa sổ đăng nhập vào
mạng gồm những thông tin sau:
User name : (để vào tên ngời sử dụng, ví dụ: Administrator)
Password : (để vào mật khẩu của ngời sử dụng)
Log on to : (để chọn tên miền mà ngời sử dụng đăng nhập vào)
Sau khi vào xong những thông tin trên ta nhấn nút OK. Nếu những thông
tin trên đợc vào đúng đắn, thì việc khởi động máy và đăng nhập vào mạng đã
hoàn tất, ngợc lại máy sẽ hiện ra dòng thông báo lỗi.
1.4. Tạo và quản lý các OU
1.4.1. Tạo các OU
Để tạo các OU, ta sử dụng công cụ Active Directory Users and
Computers bằng cách chọn lần lợt các mục sau:
Start/Programs/Administrator Tools/Active Directory Users and
Computers. Khi đó sẽ hiện ra cửa sổ sau:
Hình 1.4. Cửa sổ Active Directory Users and Computers
Phần bên trái của cửa sổ trên chính là cấu trúc cây của một Active
Directory đơn miền. Do đó tên miền Khoatin.Local cũng chính là gốc của cây
và cũng là gốc của rừng. Bên phải là phần chi tiết để hiện nội dung của một
mục đợc chọn ở phần bên trái.
Các mục ngay bên dới miền Khoatin.Local đợc coi nh những khoang
chứa (container), tơng tự nh khái niệm Folder của Windows. Các mục này đ-
ợc tự động tạo ra trong quá trình cài đặt, dùng để chứa các tài khoản ngời
dùng, tài khoản nhóm, tài khoản máy Tuy có sự phân chia thành các mục
6
nh vậy nhng ta có thể tạo ra hoặc di chuyển các tài khoản vào bất kỳ mục nào,
kể cả ở mức miền Khoatin.Local, vì nó cũng đợc coi nh một container. Khi
nâng cấp một miền từ NT 4 lên Windows 2000, mọi tài khoản ngời dùng và tài

khoản máy của NT 4 sẽ đợc tự động chuyển vào hai mục tơng ứng là Users và
Computers.
Các OU sẽ có biểu tợng quyển sách mở ở giữa để phân biệt, hay có thể
phân biệt qua cột Type ở phần chi tiết bên phải. Nh trong hình 1.4 ở trên thì
có một OU là Domain Controllers, cộng thêm bản thân miền Khoatin.Local
cũng đợc coi nh một OU.
Để tạo một OU mới, ta chọn một OU sẽ chứa OU sắp tạo (ví dụ chọn
Khoatin.Local), sau đó mở menu Action, rồi lần lợt chọn
New/Organizational Unit . Khi đó sẽ hiện ra cửa sổ:
Hình 1.5. Cửa sổ khai báo OU mới
Trong cửa sổ trên, giả sử ta muốn tạo một OU có tên là PTHUC HANH
nằm ngay dới miền KHOATIN.LOCAL để chứa tất cả các học viên tham gia
thực hành tại phòng máy của khoa Tin học. Khi kết thúc tạo ta nhấn OK. Hình
ảnh của Active Directory khi đó sẽ nh sau:
7
Hình 1.6. Cửa sổ Active Directory Users and Computers sau khi
tạo thêm OU PTHUC HANH
Chú ý: Tên của các OU có thể đặt dài tới 64 ký tự và có thể chứa các ký
tự bất kỳ. ở cùng một mức thì tên của các OU phải khác nhau, nhng ở các
mức khác nhau thì chúng có thể có tên giống nhau.
1.4.2. đổi tên OU đã có
Chọn OU cần đổi tên, chọn Remane từ menu Action, rồi tiến hành đổi
tên mới.
1.4.3. Xoá OU đã có
Chọn OU cần xoá, chọn Delete từ menu Action hoặc bấm phím Delete,
sau đó chọn: Yes - để xoá, No không xoá.
Chú ý: Khi xoá một OU thì tất cả các tài khoản nằm trong nó kể các các
OU con của nó cũng đều bị xoá khỏi cấu trúc của Active Directory.
Câu hỏi và bài tập
1. Trình bày vai trò của Active Directory

2. Trình bày cấu trúc của Active Directory
3. Thực hành tạo cấu trúc các OU nh hình 1.1 (không cần tạo miền
HVKTMM.COM mà chỉ tạo các OU ở bên dới miền này), sau đó đổi tên một
số OU. Cuối cùng xoá cấu trúc OU vừa tạo.
8