Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 1
CHƯƠNG II: CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY
I/ NTFS
1. Giới thiệu về NTFS
Để tăng tốc độ truy xuất, tăng độ tin cậy và khả năng tương thích
windows 2003 đưa ra sử dụng hệ thống file NTFS (New Technology File
System) mới, đó là NTFS 5.0. Nó cho phép chúng ta những thuận lợi về
Active Directory, các tính năng lưu trữ và việc quản lý các phần mềm
được cung cấp bởi Windows 2003. Những file Server và những máy tính
đời mới cần bổ xung thêm những tính năng an toàn trong việc điều khiển
truy xuất dữ liệu, điều này đã được tích hợp trong NTFS 5.0. NTFS cũng
chứa những tính năng như tính khôi phục (recoverability) và tính năng
nén file (compression). Các folder hoặc các file lẻ trên partition NTFS có
thể được nén. Những file đã nén trên partition NTFS có thể được truy
xuất bởi một ứng dụng bất kì trên windows 2003 mà không phải giải nén.
Với NTFS 5.0 tốc độ truy xuất file đã được cải tiến và số lần truy xuất
đĩa(để tìm file) cũng được giảm bớt. Chúng ta có thể thiết lập các mức độ
quyền (permission) và truy cập (access) trên các file và folder cho các cấp
độ người sử dụng khác nhau. Các cấp quyền giống nhau có thể áp dụng
cho tất cả những sử dụng trên máy tính cục bộ cũng như người sử dụng
truy xuất vào mạng.

2. Các Quyền Của NTFS

NTFS có thể thiết lập quyền để chấp nhận (allowing) hay từ chối
(denying) về truy xuất cho người sử dụng hay cho nhóm người sử dụng.
Quyền được cung cấp để đảm bảo việc bảo mật những tài nguyên. Người
quản trị mạng và người sử dụng có thể định rõ những kiểu truy xuất mà
người sử dụng hoặc nhóm sử dụng có thể trên những file cụ thể. Quyền

NTFS được cấp trên hai đối tượng chính là Folder và File.

Quyền trên Folder NTFS

o Read –(Đọc ): Sẽ cho người sử dụng thấy các file và các
subfolder. Các thuộc tính folder, người sở hữu và quyền cũng có thể được
nhìn thấy

o Write – (Ghi ): Sẽ quyền người sử dụng tạo mới các file và các
subfolder. Các thuộc tính có thể được thay đổi và những quyền sở hữu và
quyền trên folder cũng có thể được nhìn thấy.

o List Folder contens – (Hiển thị nội dung folder ): Sẽ cho phép
người sử dụng thấy các subfolder và các tên file ở trong folder.
Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 2

o Read & Execute – (Đọc và thực hiện ): Sẽ cho phép người
duyệt qua folder. Nó cũng hỗ trợ quyền read và list folder contens.
o Modify – (Sửa đổi ): Sẽ cho phép người sử dụng xoá folder và
cũng hỗ trợ quyền Write, read và Execute.

o Full Control – (Toàn quyền điều khiển ): Sẽ cho phép người
sử dụng thay đổi các quyền, quyền sở hữu, xoá file và subfolder và sẽ hộ
trợ tất cả những quyền của folder NTFS.
Khi định dạng partition với hệ thống file NTFS, Windows 2003 mặc định
là quyền Full control đến nhóm Everyone. Vì thế để hạn chế việc truy
xuất Administrator phải chủ động thay đổi quyền này.



Quyền trên File NTFS

o Read - Đọc: Sẽ cho phép người sử dụng thấy các file, đọc nội
dung các file. Các thuộc tính file, quyền sở hữu chúng và những quyền
cũng có thể được nhìn thấy.

o Write – Ghi: Sẽ cho phép người sử dụng ghi đè những file.
Những thuộc tính file có thể được thay đổi và quyền sở hữu file và những
quyền có thể được nhìn thấy.

o Read & Execute: (Sẽ cho phép người sử dụng duyệt qua file).
Nó cũng hỗ trợ quyền read và hiển thị nội dung file.

o Modify – (Sửa, thay đổi ): Sẽ cho phép người sử dụng xoá file
và cũng hỗ trợ cho phép write, read, execute.

o Full control – (toàn quyền điều khiển ): Sẽ cho phép người sử
dụng thay đổi những quyền, giữ quyền sở hữu, và sẽ hỗ trợ tất cả những
quyền file NTFS.





a/ Gán quyền ở NTFS

Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 3

Chúng ta có thể gán quyền NTFS từ hộp thoại properties, hộp sẽ
xuất hiện khi chúng ta nhấp chuột phải đến file hoặc folder chúng ta có
thể thay đổi những quyền đối với người sử dụng hoặc nhóm bằng cách
chọn người sử dụng hoặc nhóm đó.

Nhấp chuột phải vào file hoặc folder và chọn properties. Trong cửa sổ
properties chọn tab Security mục này có các thành phần như sau:

HÌNH


User and Group Name: Nó cho phép chúng ta chọn tài khoản của
người sử dụng hoặc nhóm mà chúng muốn thay đổi những quyền.

Permission:
o Nó sẽ chấp nhận cho phép khi hộp thoại allow đã được
chọn.
o Nó sẽ không cho phép khi hộp thoại deny đã được chọn

Add: Nó sẽ mở hộp thoại Select User, Computer hoặc Group được
trình bày ở trên, cái mà được sử dụng để add tài khoản người sử dụng
hoặc nhóm vào danh sách name.


Remove: Nó sẽ xoá nhóm hoặc tài khoản người sử dụng theo cùng
với những quyền đối với nhóm hoặc tài khoản người sử dụng.

 Advanced: Các thiết lập quyền nâng cao như bỏ thừa kế, thêm
quyền, bớt quyền thẩm định quyền và cướp quyền.


b/ Những quyền truy xuất đặc biệt trong NTFS

Trong một số trường hợp chúng ta có thể cần đến một số quyền
truy xuất đặc biêt, mà điều đó không thể có đối với quyền chuẩn của
NTFS. Vì thế, chúng ta được cung cấp bởi mục NTFS special access
permission. Những quyền truy xuất đặc biệt này sẽ cung cấp cho chúng
ta với mức độ cao nhất trong điều khiển khi truy xuất đến những nguồn
tài nguyên. Khi chúng ta kết hợp 13 quyền truy xuất đặc biệt thì chúng ta
sẽ có những quyền cho phép chuẩn. Hai quyền cho phép đặc biệt trong
quyền quản lý truy xuất file hoặc folder đã được sử dụng là: Change
permission và Take Ownership.

Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 4
Change Permission: Chúng ta có thể được gán cho những người
quản trị và người sử dụng khác để họ có thể thay đổi những quyền một
cách thuận lợi trên những file hoặc folder. Người quản trị hoặc người sử
dụng được gán quyền này chỉ có thể được cấp những quyền nhưng không
thể xoá hoặc ghi lên file hoặc folder.

Take Ownership: Việc chuyển quyền sở hữu của những folder
hoặc file từ một nhóm đến một nhóm khác là có thể. Trong cùng thời gian
đó chúng ta có thể cho một ai đó được quyền này. Nếu chúng ta là một
người quản trị thì chúng ta cũng có thể được quyền sở hữu đối với những
file hoặc folder.

Có một số nguyên tắc, mà chúng ta phải theo trong khi được gán
quyền Ownership đến file hoặc folder:


Người chủ hiện tại hoặc ngươi sử dụng có quyền Full Control có
thể cung cấp Full control hoặc Take Ownership đến nhóm hoặc người sử
dụng khác.

Quyền sở hữu của một file hoặc folder có thể được thực hiện bởi
một thành viên của nhóm quản trị. Những quyền đã được cung cấp đến
thành viên của nhóm quản trị, một người quản trị thực hiện trên những
quyền sở hữu. Do đó người quản trị có thể thay đổi một số quyền của file
hoặc folder và cũng có thể cấp quyền Take Ownership đến nhóm hoặc
người sử dụng khác.

Để cung cấp những quyền sở hữu đặc biệt, chúng ta làm theo các
bước dưới đây:

Nhấn nút Advanced và từ tab sercurity trong hộp thoại properties.

Từ trang Access control setting for program files nhấp chọn tab
permission

Để áp dụng những quyền sở hữu đặc biệt của NTFS chúng ta chọn
nhóm hoặc tài khoản người sử dụng và nhấp chọn nút View/Edit.

Những thiết lập của chúng ta trong hộp thoại Permission entry
được thể hiện dưới đây:


Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 5
Hình




Name: Mục này xác định tên nhóm hoặc tài khoản người sử dụng.
Chúng ta có thể chọn những nhóm khác nhau hoặc tài khoản người sử
dụng bằng cách nhấp vào mục change

Apply onto: Nó sẽ xác định cấp bậc của folder và xác định cấp bậc
quyền trong NTFS.

Permission: Nó cung cấp những quyền truy xuất đặc biệt. Chọn
mục allow để cung cấp quyền change hoặc take ownership.

Apply these permission to objects and/ or containers within this
container only: Nó sẽ xác định nếu những file và subfolder nằm trong
folder cha nó sẽ thừa kế những quyền truy xuất đặc biệt. Để ngăn cản
quyền thừa kế ta xoá hộp thoại đã chọn ở trên.


c/ Quyền cho phép đối với share folder.

Việc share folder có thể được truy xuất bởi những ngưởi sử dụng trên
mạng đã được cung cấp cho người sử dụng có những quyền để làm được
điều như vậy. Folder có thể chứa nhiều ứng dụng, dữ liệu cá nhân, hoặc
một loại dữ liệu nào đó. Vì thế có nhiều loại dữ liệu khác nhau yêu cầu
những loại quyền khác nhau. Ở đây có một số tính năng chung mà chúng
có thể áp dụng chung cho share folder.

Share folder cung cấp việc bảo mật thấp hơn những quyền của
NTFS như share folder được ứng dụng những quyền đến toàn bộ folder

và không áp dụng cho những file hoặc subfolder riêng lẻ trong folder đó.

Những quyền của share folder không áp dụng cho người sử dụng
truy xuất đến file từ máy tính nơi file đó được lưu trữ.


Full control là quyền mặc định, nó được gán cho nhóm Everyone.
Những quyền khác nhau được gán cho người sử dụng trong việc share
folder:

Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 6
Hình

Read: Quyền này cho phép người sử dụng xem những thuộc tính,
dữ liệu file, tên file và tên folder. Nó cũng cho phép người sử dụng thay
đổi những folder nằm trong folder đã share.

Change: Quyền này cấp cho người sử dụng để tạo những folder,
bổ xung những file vào những folder, bổ xung hoặc thay đổi dữ liệu trong
file. Nó cũng cung cấp việc thay đổi những thuộc tính file, xoá file hoặc
folder và thực hiện tất cả những hành động cho phép bởi quyền read.

Full control: Quyền này cung cấp cho người sử dụng để thay đổi
những quyền của file, cung cấp tất cả quyền sở hữu về file và thực hiện
tất cả những hành động đã được hỗ trợ bởi quyền change. Nhóm
everyone được gán quyền này.

II/ Dựng Domain


Vào cửa sổ run chúng ta đánh lệnh dcpromo. Xuất hiện cửa sổ cài đặt
wizard












Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 7


Ấn next để tiếp tục cài đặt



Thông báo máy chủ Domain controller đang là phiên bản Windows
Server 2003 và những hệ điều hành nào không thể gia nhập miền của hệ
điều hành windows 2003. Ở đây có hai hệ điều hành không thể gia nhập
Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 8

miền của Windows server 2003 là Windows 95 và Windows NT 4.0 Sp 3
trở về trước. Ấn next để tiếp tục.



* Chọn kiểu domain controller, ở đây chúng ta có hai lựa chọn:

- Lựa chọn thứ nhất là máy chủ miền domain controller của chúng
ta là máy chủ đầu tiên và domain chúng ta lên là domain đầu tiên.

- Lựa chọn thứ hai là chúng ta add vào máy chủ miền một
domain đã có sẵn.

Chúng ta chọn mục đầu tiên vì ở đây máy chủ của chúng ta là máy chủ
đầu tiên và domain cũng là domain đầu tiên. Ấn next để tiếp tục.

Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 9


Tiếp theo đến cửa sổ tạo mới domain, ở đây chúng ta có 3 lựa chọn:

- Thứ nhất là tạo domain trong một rừng mới

- Thứ hai là tạo một domain con trong domain tree hiện có

- Thứ ba là tạo một cây domain trong rừng hiện tại đã có

Chúng ta chọn mục đầu tiên vì tạo Domain trong một rừng. Ấn next để

tiếp tục.

Hình
Tiếp theo đến bước đánh tên DNS đầy đủ cho domain muốn tạo, tên
domain có thể là tên của tổ chức, tên công ty hoặc cá nhân và phải tuân
theo quy tắc đánh tên domain tức là không dài quá 255 kí tự và phải có ít
nhất một dấu chấm (.). Ở đây em đặt tên là công ty TNHH máy tính
CMS. Next đến bước tiếp theo.

Hình
Tiếp theo là bước đặt tên cho NetBIOS name, tên domain theo chuẩn
NetBIOS để tương thích với các hệ điều hành Windows NT. Mặc định
windows server 2003 lấy tên của domain chính là tên của NetBIOS name,
NetBIOS name có nhiệm vụ phân giải tên miền trên Domain controller.
Chúng ta có thể thay đổi tên này nhưng chú ý khi máy trạm join vào máy
Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 10
chủ thì phải join theo tên của NetBIOS name chứ không join theo tên
miền nữa. Ở đây em để theo mặc định. Ấn next để tiếp tục.

Hình
Tiếp theo là đến bước lưu trữ database và logfile của Active Directory
trên đĩa cứng. Đây sẽ là nơi lưu trữ toàn bộ cơ sở dữ liệu của hệ thống
gồm toàn bộ thông tin về tài nguyên hệ thống, user acconut…. Ở chế độ
workgroup khi chưa lên domain thì mọi thông tin người dùng được lưu
trong file SAM( Sercurity Account Management) nhưng khi đã lên
domain thì mọi thông tin đó được lưu trong thư mục NTDS và user
account được lưu trong file NTDS.dit. Chúng ta có thể chọn nơi khác để
lưu trữ thư mục NTDS nhưng theo khuyến cáo thì nên để mặc định của

windows 2003.

Hình
Tiếp theo đến bước chỉ định lưu thư mục SYSVOL, thư mục SYSVOL
phải được lưu trên phân vùng NTFS v 5.0 trở lên.

Hình
Bước tiếp theo là kiểm tra hoặc cài đặt DNS. DNS là dịch vụ phân
giải tên kết hợp với AD để phân giải các tên máy tính trong miền hoặc
phân giải các miền khác từ bên ngoài. Ở đây chúng ta có 3 lựa chọn:

Thứ nhất là DNS đã có sẵn và có vấn đề hoặc bị lỗi, và lựa chọn
mục này để hệ thống kiểm tra lại DNS.

Thứ hai là cài đặt và thiết lập DNS server trên máy tính, và đặt máy
tính này sử dụng DNS như là một DNS server.

Thứ ba là kết nối DNS có vấn đề và muốn thiết đặt DNS bằng tay
(nâng cao).

Theo khuyến cáo của Microsoft chúng ta nên tích hợp việc cài đặt
DNS trong khi cài đặt AD vì như thế thì mới tích hợp được hết các chức
năng của DNS và DNS không bị lỗi. Ấn next để tiếp tục.

Hình
Bước tiếp theo là mục lựa chọn quyền đăng nhập vào hệ thống. Lựa chọn
thứ nhất là cho phép cả những hệ điều hành trước windows 2000 đăng
nhập, lựa chọn thứ hai là chỉ cho phép những hệ điều hành sau windows
2000 đăng nhập vào hệ thống. Ở đây em dùng hệ điều hành cho máy trạm
là Windows XP nên em chọn phần thứ hai. Ấn next để tiếp tục.

Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 11

Hình
Tiếp theo là mục đặt password cho tài khoản Administrator để phục vụ
cho việc backup AD hoặc dùng để khởi động Active Directory ở chế độ
Directory Services Sestore Mode. Chúng ta đặt password cho tài khoản
và ấn next để tiếp tục.

Hình
Tiếp theo là quá trình tổng hợp các thông tin mà chúng ta đã cung cấp về
AD. Ấn next để hệ thống bắt đầu quá trình lên domain.

Hình
Quá trình hệ thống bắt đâu lên domain

Hình
Hệ thống yêu cầu cho đĩa CD Windows 2003 vào và chọn đến thư mục
\I386. Chúng ta cho đĩa vào và chọn đến thư mục I386 trên đĩa.

Hình
Ấn finish để kết thúc quá trình lên domain. Sau khi ấn finish hệ thống yêu
cầu khởi động lại. Chúng ta ấn restart now khởi động lại hệ thống để hoàn
thành việc dựng Domain.



c/ Group


d/ User

e/ Printer

f/ Profile
Tab Profile cho phép bạn khai báo đường dẫn đến Profile của tài khoản
người dùng hiện tại, khai báo tập tin logon script được tự động thi hành
khi người dùng đăng nhập hay khai báo home folder. Chú ý các tùy chọn
trong Tab Profile này chủ yếu phục vụ cho các máy trạm trước Windows
2000, còn đối với các máy trạm từ Win2K trở về sau như: Win2K Pro,
Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 12
WinXP, Windows Server 2003 thì chúng ta có thể cấu hình các lựa chọn
này trong Group Policy.


Hình


Trước tiên chúng ta hãy tìm hiểu khái niệm Profile. User Profiles là một
thư mục chứa các thông tin về môi trường của Windows Server 2003 cho
từng người dùng mạng. Profile chứa các qui định về màn hình Desktop,
nội dung của menu Start, kiểu cách phối màu sắc, vị trí sắp xếp các icon,
biểu tượng chuột…

Mặc định khi người dùng đăng nhập vào mạng, một profile sẽ được mở
cho người dùng đó. Nếu là lần đăng nhập lần đầu tiên thì họ sẽ nhận được
một profile chuẩn. Một thư mục có tên giống như tên của người dùng
đăng nhập sẽ được tạo trong thư mục Documents and Settings. Thư mục

profile người dùng được tạo chứa một tập tin ntuser.dat, tập tin này được
xem như là một thư mục con chứa các liên kết thư mục đến các biểu
tượng nền của người dùng. Trong Windows Server 2003 có ba loại
Profile:

Local Profile: là profile của người dùng được lưu trên máy cục bộ và họ
tự cấu hình trên profile đó.

Roaming Profile: là loại Profile được chứa trên mạng và người quản trị
mạng thêm thông tin đường
dẫn user profile vào trong thông tin tài khoản người dùng, để tự động duy
trì một bản sao của tài khoản người dùng trên mạng.

Mandatory Profile: người quản trị mạng thêm thông tin đường dẫn user
profile vào trong thông tin tài khoản người dùng, sau đó chép một profile
đã cấu hình sẵn vào đường dẫn đó. Lúc đó các người dùng dùng chung
profile này và không được quyền thay đổi profile đó. Kịch bản đăng nhập
(logon script hay login script) là những tập tin chương trình được thi hành
mỗi khi người dùng đăng nhập vào hệ thống, với chức năng là cấu hình
môi trường làm việc của người dùng và phân phát cho họ những tài
nguyên mạng như ổ đĩa, máy in (được ánh xa từ Server). Bạn có thể dùng
nhiều ngôn ngữ kịch bản để tạo ra logon script như: lệnh shell của
DOS/NT/Windows,
Windows Scripting Host (WSH), VBScript, Jscript…

g/ Policy
Đề tài: Quản Trị Mạng Windows 2003 Server

Trang 13


h/ Security