1
Trường Cð CNTT Hữu Nghị Việt-Hàn
ðịa chỉ: P. Hòa Quí – Q. Ngũ Hành Sơn – TP. ðà Nẵng
Chuyên ñề
QUẢN TRỊ MẠNG
© VIETHANIT 2008
1
NỘI DUNG KHÓA HỌC
Phần 1: Quản trị mạng Windows
Server 2003
Phần 2: Triển khai một số dịch vụ cơ
bản trên Windows Server 2003
© VIETHANIT 2008
2
PHẦN 1: QUẢN TRỊ MẠNG WINDOWS 2003
Cài ñặt và cấu hình Active Directory(AD)
Quản lý tài khoản người dùng và nhóm
Chính sách hệ thống và chính sách nhóm
Quản lý ñĩa
Tạo và quản lý thư mục dùng chung
Quản lý in ấn.
© VIETHANIT 2008
3
Kiến trúc của AD
2
© VIETHANIT 2008
4
Kiến trúc của AD
Objects
Object class: Các Object class thông dụng là User,
Computer, Printer
Attributes: là tập hợp các giá trị và ñược gắn kết với
một ñối tượng cụ thể
© VIETHANIT 2008
5
Organizational Units (OU)
Kiến trúc của AD
OU:Là ñơn vị nhỏ nhất trong hệ thống AD
Hai công dụng chính của OU
Trao quyền kiểm soát cho một hoặc một nhóm phụ tá quản
trị viên (Sub-Administrator)
Kiểm soát và khóa bớt một số chức năng trên máy trạm
thông qua Group Policy Object
© VIETHANIT 2008
6
Organizational Units (OU)
Kiến trúc của AD
© VIETHANIT 2008
7
Domain
Kiến trúc của AD
Domain:Là ñơn vị chức năng nồng cốt của cấu trúc
Logic AD
Ba chức năng chính của Domain
ðóng vai trò như một khu vực quản trị các ñối tượng
Giúp quản lý, bảo mật các tài nguyên chia sẻ
Cung cấp các server dự phòng làm chức năng ñiều khiển
vùng và ñảm bảo thông tin trên các server ñược ñồng bộ
3
© VIETHANIT 2008
8
Domain
Kiến trúc của AD
Cập nhật thông tin giữa các DC
© VIETHANIT 2008
9
Domain tree
Kiến trúc của AD
Cây domain
Domain Tree: Là cấu
trúc bao gồm nhiều
Domain ñược sắp xếp
có cấp bậc theo cấu
trúc hình cây
© VIETHANIT 2008
10
Forest
Kiến trúc của AD
Rừng
Forest: ñược xây
dựng trên một hay
nhiều cây domain
© VIETHANIT 2008
11
Nâng cấp Server thành Domain Controller
Gia nhập máy trạm vào Domain
Xây dựng các Domain Controller ñồng hành (thực hành)
Xây dựng Subdomain (thực hành)
Xây dựng Organizational Unit
Công cụ quản trị các ñối tượng trong Active Directory
CÀI ðẶT VÀ CẤU HÌNH AD
4
© VIETHANIT 2008
12
Dùng tiện ích Manage Your Server
Dùng lệnh DCPROMO
Nâng cấp Server thành Domain Controller
© VIETHANIT 2008
13
Dùng tiện ích Manage Your Server
Giao diện Manage Your Server
© VIETHANIT 2008
14
Dùng tiện ích Manage Your Server
Khởi tạo AD
© VIETHANIT 2008
15
Dùng tiện ích Manage Your Server
Tạo mới Domain
Thêm vào domain ñã có
5
© VIETHANIT 2008
16
Dùng tiện ích Manage Your Server
Chọn lựa kiểu domain
© VIETHANIT 2008
17
Dùng tiện ích Manage Your Server
ðặt tên cho domain
© VIETHANIT 2008
18
Dùng tiện ích Manage Your Server
ðặt tên NetBIOS (tương thích với HðH cũ)
© VIETHANIT 2008
19
Dùng tiện ích Manage Your Server
Nên lưu Database và
Log trên hai ñĩa vật lý
Chỉ ñịnh nơi lưu Database và Log
6
© VIETHANIT 2008
20
Dùng tiện ích Manage Your Server
SYSVOL phải nằm
trên Volume NTFS v.5
Chỉ ñịnh nơi lưu SYSVOL
© VIETHANIT 2008
21
Dùng tiện ích Manage Your Server
Chọn lựa kiểm tra DNS
DNS là dịch vụ phân giải
tên kết hợp với AD ñể
phân giải tên các máy
tính trong miền
© VIETHANIT 2008
22
Dùng tiện ích Manage Your Server
Cho phép hoặc không
cho phép các máy
tính sử dụng HðH
trước Windows 2000
ñăng nhập
© VIETHANIT 2008
23
Dùng tiện ích Manage Your Server
ðặt Password
Password sử dụng khi khởi
ñộng ở chế ñộ Directory
Services Restore Mode
7
© VIETHANIT 2008
24
Dùng tiện ích Manage Your Server
Thông báo các thông tin
mà bạn ñã cung cấp cho
quá trình cài AD
© VIETHANIT 2008
25
Dùng tiện ích Manage Your Server
Quá trình xử lý và kết thúc tạo AD
© VIETHANIT 2008
26
Dùng lệnh DCPROMO
Sử dụng lệnh dcpromo tại cửa sổ lệnh Run
Các bước tiếp theo ñược thực
hiện tương tự như sử dụng
tiện ích Manage Your
Server
© VIETHANIT 2008
27
Gia nhập máy trạm vào Domain
Click phải chuột vào My Computer,
chọn Properties, chọn Tab Computer
Name, Click mục Change
8
© VIETHANIT 2008
28
Gia nhập máy trạm vào Domain
Nhập tên Domain
Nhập tên máy tính
© VIETHANIT 2008
29
Gia nhập máy trạm vào Domain
DC yêu cầu chứng thực
© VIETHANIT 2008
30
Xây dựng OU (Organizational Unit)
Start Programs
Administrative Tools
Active Directory User
and Computer
Giao diện mục chọn tạo OU
© VIETHANIT 2008
31
Xây dựng OU (Organizational Unit)
ðặt tên cho OU
9
© VIETHANIT 2008
32
Công cụ quản trị các ñối tượng trong AD
© VIETHANIT 2008
33
Quản lý tài khoản người dùng
Tạo mới tài khoản người dùng
Các thuộc tính của tài khoản người dùng
Tạo mới tài khoản nhóm
Các tiện ích dòng lệnh quản lý tài khoản người
dùng và nhóm
QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM
© VIETHANIT 2008
34
Khi tạo tài khoản người dùng cần tuân theo một chuẩn
mực ñể thuận tiện trong việc quản lý, cũng như ñảm
bảo an ninh.
Chuẩn về tên tài khoản.
Chuẩn về ñộ phức tạp của mật khẩu.
Chuẩn về thời gian hết hạn của mật khẩu.
Quản lý tài khoản người dùng
© VIETHANIT 2008
35
Tài khoản người dùng miền:
Thông tin về người dùng miền ñược tạo ra và lưu giữ
tập trung tại cơ sở dữ liệu miền trên các DC.
Sử dụng ñể phân quyền truy cập và phân quyền quản
trị ở cấp ñộ domain.
Có giá trị sử dụng ở trên toàn miền.
Sử dụng công cụ Active Directory User and
Computer ñể tạo và quản lý:
Tạo mới tài khoản người dùng
10
© VIETHANIT 2008
36
Tạo mới tài khoản người dùng
Chọn vị trí ñể tạo
tài khoản người
dùng.
Bấm chuột phải
chọn New-Users
© VIETHANIT 2008
37
ðiền thông tin người
dùng
ðặt tên truy nhập
Next
Tạo mới tài khoản người dùng
© VIETHANIT 2008
38
Tạo mới tài khoản người dùng
Các tùy chọn liên quan ñến tài khoản người dùng
© VIETHANIT 2008
39
Tạo mới tài khoản người dùng
Các tùy chọn liên quan ñến tài khoản người dùng
11
© VIETHANIT 2008
40
Các thuộc tính của tài khoản người dùng
Tab Genegal
Tab Address
Tab Telephones
Tab Organization
Tab Account
Tab Profile
Tab Member Of
Tab Dial-in
© VIETHANIT 2008
41
Tạo mới tài khoản nhóm
Sử dụng AD
Users and
Computers ñể
tạo Group
Chọn New-
Group
© VIETHANIT 2008
42
ðặt tên cho nhóm.
Chọn loại nhóm và phạm
vi nhóm.
Bấm Next – Finish ñể
kết thúc.
Tạo mới tài khoản nhóm
© VIETHANIT 2008
43
Domain Local Security Group:
Có thể kết nạp thành viên từ bất cứ Domain nào trong Forest.
Chỉ có thể gán quyền truy cập ñến tài nguyên tại Domain nơi nó ñược tạo ra.
Global Security Group:
Chỉ có thể kết nạp thành viên từ local domain nơi nó ñược tạo ra.
Có thể sử dụng ñể gán quyền truy cập ñến những tài nguyên trong Forest.
Universal Security Group:
Có thể kết nạp thành viên từ bất cứ Domain nào trong Forest.
Có thể sử dụng ñể gán quyền truy cập ñến tài nguyên tại bất cứ Domain nào trong
Forest.
Khi tạo nhóm chúng ta nên tuân theo ñịnh chuẩn ñể dễ dàng thuận tiện trong việc quản
lý.
ðặt tên nhóm mang ý nghĩa ñại diện cho nhóm chức năng hoạt ñộng ,vị trí hoạt ñộng
hoặc kết hợp cả hai yếu tố trên.
Cần ñơn giản trong việc kết nạp nhóm vào làm thành viên của nhóm khác (Nested
Group).
Một số tài khoản nhóm ñặc biệt
12
© VIETHANIT 2008
44
Nhóm miền (None Local Security Group)
ðược tạo ra và lưu giữ tại cơ sở dữ liệu miền trên các DC.
Dùng ñể gán quyền truy cập và quyền quản lý ở phạm vi rộng.
Có giá trị sử dụng trên toàn miền hoặc rừng (forest)
Nhóm miền ñược phân ra một số loại dựa trên phạm vi kết nạp thành viên
và phạm vi phân quyền truy cập.
Distribution Group:
ðây là loại nhóm sử dụng trong những ứng dụng mang tính phân phối
trong môi trường miền, vd: Mail Exchange. Không thể sử dụng ñể
phân quyền gán truy cập.
Security Group:
ðây là loại nhóm ñược sử dụng ñể gán quyền truy cập hoặc quyền
quản trị trong môi trường miền.
ðược chia thành 3 loại nhóm dựa trên khả năng hoạt ñộng.
Một số tài khoản nhóm ñặc biệt
© VIETHANIT 2008
45
Bấm ñôi vào nhóm vừa tạo
Kết nạp thành viên vào nhóm
Giao diện Properties nhóm
© VIETHANIT 2008
46
Chọn Tab Member
Bấm nút ADD
Kết nạp thành viên vào nhóm
© VIETHANIT 2008
47
Gõ tên người dùng
cần kết nạp vào
vùng trống.
Bấm OK
Bấn Check Names ñể
kiểm tra tên nhập vào
có ñúng không?
Kết nạp thành viên vào nhóm
13
© VIETHANIT 2008
48
Hoặc bấm vào
nút Advanced -
Find Now ñể lựa
chọn thành viên
muốn kết nạp từ
danh sách dưới
ñó.
Kết nạp thành viên vào nhóm
© VIETHANIT 2008
49
Chính sách tài khoản người dùng
Chính sách cục bộ
Chính sách nhóm
CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
© VIETHANIT 2008
50
Chính sách tài khoản người dùng
Account Policy
ñược dùng ñể chỉ
ñịnh các thông số
về tài khoản người
dùng
© VIETHANIT 2008
51
Chính sách mật khẩu
Chính sách mật khẩu
14
© VIETHANIT 2008
52
Chính sách mật khẩu mặc ñịnh
Chính sách mật khẩu
© VIETHANIT 2008
53
Chính sách khóa tài khoản
© VIETHANIT 2008
54
Chính sách khóa tài khoản mặc ñịnh
© VIETHANIT 2008
55
Chính sách cục bộ cho phép thiết lập các chính
sách giám sát các ñối tượng trên mạng
Chính sách cục bộ
Chính sách kiểm toán
Quyền hệ thống của người dùng
Các lựa chọn bảo mật
15
© VIETHANIT 2008
56
Chính sách kiểm toán
Chính sách kiểm toán
giúp giám sát và ghi
nhận các sự kiện diễn
ra trong hệ thống
© VIETHANIT 2008
57
Chính sách kiểm toán
Các lựa chọn trong chính sách kiểm toán
© VIETHANIT 2008
58
Chính sách kiểm toán
© VIETHANIT 2008
59
Quyền hệ thống người dùng
16
© VIETHANIT 2008
60
Một số quyền hệ thống cho người dùng và nhóm
Quyền hệ thống người dùng
© VIETHANIT 2008
61
Quyền hệ thống người dùng
© VIETHANIT 2008
62
Các lựa chọn bảo mật
© VIETHANIT 2008
63
Các lựa chọn bảo mật thông dụng
Các lựa chọn bảo mật
17
© VIETHANIT 2008
64
Giới thiệu chính sách nhóm
Chính sách nhóm
Chính sách nhóm chỉ xuất hiện trên miền AD
Có nhiều chức năng hơn chính sách hệ thống
Chính sách nhóm tự ñộng hủy bỏ tác dụng khi ñược gỡ bỏ
Có thể áp dụng chính sách nhóm ở nhiều cấp ñộ
Chỉ có thể áp dụng chính sách nhóm ở các máy sử dụng
HDDH Windows 2K, Windows XP, Windows 2003
© VIETHANIT 2008
65
Giới thiệu chính sách nhóm
Chính sách nhóm
Chính sách nhóm chỉ xuất hiện trên miền AD
Có nhiều chức năng hơn chính sách hệ thống
Chính sách nhóm tự ñộng hủy bỏ tác dụng khi ñược gỡ bỏ
Có thể áp dụng chính sách nhóm ở nhiều cấp ñộ
Chỉ có thể áp dụng chính sách nhóm ở các máy sử dụng
HDDH Windows 2K, Windows XP, Windows 2003
© VIETHANIT 2008
66
Chức năng của chính sách nhóm
Chính sách nhóm
Triển khai phần mềm ứng dụng
Gán các quyền hệ thống cho người dùng
Giới hạn những ứng dụng mà người dùng ñược phép thi hành
Kiểm soát các thiết lập hệ hống
Kiểm soát các kịch bản
ðơn giản hóa và hạn chế các chương trình
Hạn chế tổng quát màn hình Desktop của người dùng
© VIETHANIT 2008
67
Triển khai một số chính sách nhóm trên miền
Chính sách nhóm
18
© VIETHANIT 2008
68
Hệ thống tập tin
Cấu hình ñĩa lưu trữ
Sử dụng chương trình DISK MANAGER
Thiết lập hạn ngạch ñĩa.
QUẢN LÝ ðĨA
© VIETHANIT 2008
69
Hệ thống tập tin
Các loại File System
© VIETHANIT 2008
70
Cấu hình ñĩa lưu trữ
© VIETHANIT 2008
71
Dynamic Disk
19
© VIETHANIT 2008
72
Volume simple
Chứa không gian lấy từ Dynamic disk duy nhất
Không gian của Volume simple có thể liên tục hoặc
không liên tục trên cùng một ñĩa vật lý
Dynamic Disk
© VIETHANIT 2008
73
Volume spanned
ðược tạo từ ít nhất 2 ñĩa Dynamic (tối ña là 32)
Sử dung Vulome spanned khi muốn tăng kích thước của
volume
Dữ liệu ñược lưu tuần tự
Không tăng hiệu năng
Dynamic Disk
© VIETHANIT 2008
74
Volume striped (Raid-0)
ðược tạo từ ít nhất 2 ñĩa Dynamic (tối ña là 32)
Dữ liệu ñược lưu trữ tuần tự trên từng dãy ñĩa nên tăng hiệu
năng hoạt ñộng
Sử dụng Volume striped khi muốn tăng dung lượng và hiệu
suất hoạt ñộng
Dynamic Disk
© VIETHANIT 2008
75
Volume mirrored (Raid-1)
Dùng 2 Dynamic disk: 1 chính và 1 phụ
Dữ liệu ghi lên ñĩa chính cũng ñược ghi lên ñĩa phụ
Có khả năng dung lỗi tốt
Dữ liệu ñược ghi tuần tự trên 2 ñĩa nên giảm hiệu suất hoạt
ñộng
Dynamic Disk
20
© VIETHANIT 2008
76
Volume Raid-5
Sử dụng ít nhất 3 dynamic disk (tối ña 32 ñĩa)
Sử dụng thêm 1 dãy (Striped) ñể ghi thông tin parity dùng ñể
khôi phục dữ liệu bị hỏng
Volume Raid-5 tăng khả năng dung lỗi và tăng hiệu suất hoạt
ñộng
Dynamic Disk
© VIETHANIT 2008
77
Sử dụng chương trình Disk Manager
- Xem thuộc tính ñĩa
- Xem thuộc tính của Volume
- Bổ sung thêm ổ ñĩa mới
- Tạo-xóa partition/volume
- Cấu hình Dynamic Storage
© VIETHANIT 2008
78
Disk Quota dùng ñể chỉ ñịnh lượng không gian lưu trữ
tối ña của người dùng)
Chỉ có thể áp dụng trên partition NTFS
Thiết lập hạn ngạch ñĩa (Disk Quota)
© VIETHANIT 2008
79
Thiết lập hạn ngạch ñĩa
Không giới hạn sử dụng không gian ñĩa
Giới hạn sử dụng không gian ñĩa
21
© VIETHANIT 2008
80
Thiết lập hạn ngạch ñĩa mặc ñịnh
Thiết lập hạn ngạch mặc ñịnh cho những người dùng
mới trên Volume
Chỉ những người dùng chưa bao giờ tạo thư mục/tập
tin trên Volume mới có tác dụng
© VIETHANIT 2008
81
Chỉ ñịnh hạn ngạch cho từng cá nhân
Thiết lập hạn ngạch mặc
ñịnh cho những người
dùng mới trên Volume
Chỉ những người dùng
chưa bao giờ tạo thư
mục/tập tin trên Volume
mới có tác dụng
© VIETHANIT 2008
82
PHẦN 2
Dịch vụ DHCP (Dynamic Host Control Protocol)
Dịch vụ DNS (Domain Name System)
Internet Information Services (IIS)
TRIỂN KHAI MỘT SỐ DỊCH VỤ CƠ BẢN
TRÊN WINDOWS SERVER 2003
© VIETHANIT 2008
83
DỊCH VỤ DHCP (Dynamic Host Control Protocol)
Giới thiệu dịch vụ DHCP
Hoạt ñộng của giao thức DHCP
Cài ñặt dịch vụ DHCP
Chứng thực dịch vụ DHCP trong AD
Cấu hình dịch vụ DHCP
22
© VIETHANIT 2008
84
Giới thiệu dịch vụ DHCP
Các thành phần:
DHCP Server: cung cấp ñịa chỉ IP cho client
DHCP Client: yêu cầu ñịa chỉ IP
Mục ñích:
Khắc phục ñược tình trạng “ñụng” ñịa chỉ IP và giảm chi phí
quản trị cho hệ thống mạng.
Phù hợp cho các máy tính thường xuyên di chuyển qua lại
giữa các mạng
Tiết kiệm ñịa chỉ IP
© VIETHANIT 2008
85
Hoạt ñộng của giao thức DHCP
© VIETHANIT 2008
86
Cài ñặt dịch vụ DHCP
•Vào Control Panel
Chọn Add or Remove Programs
•Chọn Tab Add/ Remove Windows Components
© VIETHANIT 2008
87
Chọn Networking Services
Details
ðánh dấu mục Dynamic Host Configuration Protocol (DHCP)
Cài ñặt dịch vụ DHCP
23
© VIETHANIT 2008
88
Chứng thực DHCP trong Active Directory
Mục ñích: Giúp cho việc cung cấp ñịa chỉ IP cho các
máy trạm ñược thực hiện chính xác bởi các DHCP
Server ñã ñược chứng thực trong Active Directory.
© VIETHANIT 2008
89
Chứng thực DHCP trong Active Directory
Chọn Start
All Programs
Administrative Tools
DHCP.
© VIETHANIT 2008
90
Chứng thực DHCP trong Active Directory
Trong cửa sổ DHCP chọn server DHCP chưa chứng thực (mũi
tên ñỏ), kích chuột phải Authorize
© VIETHANIT 2008
91
Cấu hình dãy ñịa chỉ IP
Cấu hình dãy ñịa chỉ IP cho phép ta xác ñịnh cụ thể ñịa chỉ IP
cung cấp cho các máy trạm. Ta thực hiện các bước sau:
Vào cửa sổ DHCP
24
© VIETHANIT 2008
92
Cấu hình dãy ñịa chỉ IP
Nhấn chuột phải chọn New Scope…
© VIETHANIT 2008
93
Cấu hình dãy ñịa chỉ IP
Hộp thoại New scope Wizard xuất hiện cho phép ta cấu hình
dãy ñịa chỉ IP. Nhấn Next ñể tiếp tục
© VIETHANIT 2008
94
Cấu hình dãy ñịa chỉ IP
ðặt tên cho dãy ñịa chỉ và mô tả trong các mục Name, Description
© VIETHANIT 2008
95
Cấu hình dãy ñịa chỉ IP
Nhập ñịa chỉ IP bắt ñầu
Nhập ñịa chỉ IP kết thúc
Lựa chọn ñộ dài subnet
mask cho các ñịa chỉ IP
25
© VIETHANIT 2008
96
Cấu hình dãy ñịa chỉ IP
Trong mục Add Exclusions, nhập ñịa chỉ IP cho các ñịa chỉ không ñược
phân phối bởi server nhấn Add
© VIETHANIT 2008
97
Cấu hình dãy ñịa chỉ IP
Trong mục Lease
Duration lựa chọn
thời gian giải phóng
ñịa chỉ IP ñã cấp,
nhấn Next ñể tiếp
tục
© VIETHANIT 2008
98
Cấu hình dãy ñịa chỉ IP
Trong mục Configure
DHCP Options, lựa
chọn Yes … nếu muốn
cấu hình các tham số
khác, ngược lại chọn
No
Nhấn Next ñể
tiếp tục
© VIETHANIT 2008
99
Cấu hình dãy ñịa chỉ IP
Cấu hình Router (Default Gateway). Nhập ñịa chỉ IP Gateway
vào mục IP Address. Nhấn Next ñể tiếp tục