Máy Domain ADSL Printer Client1,Client2
• Ip:192.168.1.2
• SM:255.255.255.0
• GW:192.168.1.1
• DNS:192.168.1.2
• Ip:192.168.1.1
• SM:255.255.255.0
• Ip:192.168.1.254
• SM:255.255.255.0
• Ip: DHCP
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
Dùng
trong
Quản
lý
Doanh
Nghiệp
I-
MÔ
HÌNH
II-
GIỚI
THIỆU
Với
các
mô
hình
trước
sử
dụng
mạng
Workgroup
tuy
có
lợi
điểm
là
đơn
giản
,
dễ
triển
khai
nhưng không thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy mô hình Lab-4 giói
thiệu
hệ thống Domain Network với các ưu điểm
- Quản lý tập trung toàn bộ mọi thành phần trong hệ thống
- Khả năng bảo mật cao nhưng thuận lợi nhờ cơ chế Single Set of Credential
- Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng
- Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration)
- Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được
cơ chế Replication của AD
III-
CÁC
BƯƠC
TRIỂN
KHAI
Mô
lab
gồm
3 máy :
1
máy dùng
Windows
Server
2k3
làm
Domain
Controller,
DNS,
DHCP
server, 2 máy Vista dùng cho User với
các bước thực hiện để minh họa khả năng quản lý của
Domain Network với các công việc:
- Xây dụng hệ thống Domain bao gồm : nâng cấp Domain Controller
- Triển
khai
DHCP
Server
trên
máy
Domain
Controller
để
cấp
thông
số
cho
các
máy
Workstation kết nối (Join) Domain một cách tự động
- Tổ chức hệ thống và phân quyền quản trị (Delegate)
- Tạo Home Directory, Roamming Profile cho Domain User
Trang
1/
39
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
- Thiết
lập
Group
Policy
Object
(GPO)
để
:
triển
khai
application
(deploy
software),
Script, kiểm soát các sự kiện (Events) xảy ra trong hệ thống
Trang
2/
39
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
IV-
TRIỂN
KHAI
CHI
TIẾT
1.
Dựng domain controller trên máy Server với domain là nhatnghe.local.
2.
Cấu hình lại DNS server (tạo reserve lookup zone )
3.
Cài và cấu hình DHCP server trên máy Server
4.
Join tất cả các máy client vào domain nhatnghe.local dùng ip động
5.
Cho các máy client dùng Ip động truy cập được internet.
6.
Tổ chức các OU và user sau:
a.
Trong doamin nhatnghe.local tạo 2 OU : HCM và NhaTrang
b.
Trong OU HCM tạo 2 OU con PKthuat , PGvien và user AdminHCM
c.
Trong OU PKthuat tạo user AdminPKT và user Nv1,Nv2,Nv3
d.
Trong OU PGvien tạo user AdminPgv và user Gv1,Gv2,Gv3
e.
Trong
OU Nhatrang
tạo
2 OU
con PKthuat ,PGvien và 2
user
AdminNT,
NV4
7.
Trong
OU
HCM\PKthuat
tạo
group
GKThuat
add
AdminNv1,Nv2,Nv3
vào
group
này.
Trong
OU
HCM\PGvien
tạo
group
Gvien
add
Gv1,Gv2,Gv3
vào
group này. Trong Ou HCM tạo group Admin add AdminPKT, adminPgv vào
group này.
8.
Cài AdminPAK.msi vào máy Client1và máy client2
9.
Ủy
quyền
cho
user
AdminHCM
có
toàn
quyền
trên
OU
HCM
và
user
AdminNT
có
toàn
quyền
trên
Ou
NhaTrang
(cho
2
user
này
có
quyền
tạo
policy cho Ou của mình).
10. Cho
user
AdminHCM,
AdminNT,
AdminPKT,
AdminGVien
được
phép
Remote
Desktop.
Trên
máy
client1
logon
vào
AdminHCM
và
AdminNT
Remote Desktop vào Doamin để kiểm tra.
11. Dùng
quyền
của
AdminHCM
ủy
quyền
cho
user
AdminPKT
có
toàn
quyền
trên OU PKthuat, user AdminPGV toàn quyền trên OU PGvien.
12. Dùng quyền AdminPKT
cấm tất cả các user
trong OU
PKThuat không
được
phép chạy Notepad.exe, ngọai trừ user AdminPKT.
13. Trên
Server
tạo
folder
FileServer,
share
foler
này
cho
group
GKThuat
có
quyền read, group Gvien chỉ có quyền xóa file và folder do chính user đó tạo
ra, group
Admin có full quyền
14. Cài mày in Lexmark trên máy Server và share cho mọi user có quyền in. Dùng
quyền AdmimHCM tạo logon script cho OU HCM sao cho khi user logon tự
động add network từ Ser1 về máy client.
15. Tạo logon script cho tất cả các user tự động map folder Fileserver về ổ đĩa Y:
máy client.
16. Kiểm toán tất cả các user trong ou HCM in trên máy in Lexmark.
17. Kiểm toán tất cả user truy cập vào foleder FileServer.
18. Cho các user dùng Roaming Profile,
19. Làm Home folder cho tất cả các user
Trang
3/
39
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
20. Deploy office cho tất cả các user.
21. Backup
DHCP,
Backup
domain.
Copy
các
thông
tin
backup
sang
PC
khác.
Ghost lại máy Domain
sau đó restore DHCP và domain
trở về trạng
thái ban
đầu.
Thực
hiện
1.
Dựng domain controller trên máy Ser1với domain là nhatnghe.local
Trang
4/
39
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
1.
Click
phải
lên
my
network
place
chọ
n
properties,
click
phải
lên
cacrd
Lan
chọ
n
properties,
chọn
TCP/IP
properties,
kh
ai
báo IP như hình vẽ, OK.
2.
Vào Start Run DCPROMO màn
hình
welcome
ấn
Next Next chọn
option Controller for a new domain ấn Next
3.
Chọn
option
domain
in
a
new
forest
ấn 4.
Nhập
vào
tên
domain
Nhatnghe.local
ấn
Next Next
Trang
5/
3
9
5.
NetBios name ấn Next 6.
Database ấn Next
7.
Màn
hình
SysVol
ấn
Next,
chọn
option
Install and configure the DNS… ấn Next
8.
Tiếp tục ấn Next, Next, Next đến khi hoàn
tất, khởi động lại máy
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
2.
Cấu hình lại DNS server (tạo reserve lookup zone )
Trang
6/
39
1.
Vào card Lan sửa lại Prefer DNS là IP của
máy Server
2. Vào
Start Run gõ lệnh DNSMGMT.MSC
để vào DNS
3.
Click phải vào Reverse Lookup Zone, chọn
New Zone
4.
Màn
hình
Welcome
ấn
Next,
chọn
option
Primary Zone ấn Next Next
5.
Network
ID
nhập
vào
192.168.1 Next,
Next
6.
Vào
Start Run
CMD gõ
lệnh
IPconfig
/registerDNS
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
Trang
7/
39
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
7.
Vào
DNS
kiểm
tra
xem
có
PRT
chưa,
vào
8.
Click
phải
PC
chọn
Properties,
chọn
Ta
b
Start Run gõ NSLookup để kiểm tra. Forwarder
nhập
vào
IP
của
ISP
ấn
Add,
OK.
Hoàn tất việc chỉnh sữa DNS.
3.
Cài và cấu hình DHCP server trên máy Server
1.
Vào
Start Run
gõ
lệnh
APPWIZ.CPL
để
2.
Vào Start Run gõ lệnh DHCPMGMT.MS
C
vào Add Remove Program, chọn Add Remove
để
vào
DHCP,
click
phải
lên
DHCP
chọ
n
Window
Component,
chọn
Network
Services
Manage authorized servers
ấn
Detail
chọn
DHCP
ấn
Next,
chỉ
source
Window2K3, để cài DHCP
Trang
8/
39
3.
Ấn
Authorize,
nhập
vào
IP
của
máy Server,
OK, OK.
4.
Chọn
Server
ấn
Next,
hoàn
tất
Authorized
Server
5. Click phải lên Server chọn New Scope nhập
vào Scope Name ấn Next
6.
Nhập vào Start IP, End IP, Next
7. Nhập vào dãy IP loại trừ Next, Next
8.
Chọn Option Yes, I want… Next.
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
Trang
9/
39
9.
Nhập IP của ADSL, Next
10.
Nhập IP của DNS Server ấn Next
11.
Màn hình WinS ấn Next, chọn Option Yes,
I want to active… Next, Finish
12.
Hoàn tất việc cài DHCP
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
4.
Join tất cả các máy client vào domain nhatnghe.local dùng ip động
1.
Tại
máy
client1
và
client2
vào
start
run
g
õ
cmdra
cửa
sổ
command
gõ
ipconfig
/rene
w
xin ip từ máy DHCP, ipconfig /all, nslookup đ
ể
test DNS.
2.
Click
phải
vào
computer
chọn
properties,
chọn
change
settings,
ấn
change,
chọn
option
Domain,
nhập
vào
nhatnghe.local
ok nhập
user
+
pass
administrator restart
lại
máyjoin domain xong
Trang
10/
39
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
5.
Cho các máy client dùng Ip động truy cập được internet.
Trang
11/
39
1.
Trở
về
máy
domain,
vào
Run
gõ
lệnh
DSA.MSC,
click
phải
vào
nhatnghe.local
chọn
New Organizational Unit nhập vào tên Ou là
HCM, Ok
2.
Tương tự tạo OU NhaTrang.
3.
Click
phải
vào
OU
HCM
tạo
OU
PKthuat,
OU PGvien và user AdminHCM.
4.
Click
phải
vào
OU
PKthuat
tạo
user
AdminPKT, NV1,NV2,NV3.
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
1.
Sau
khi
join
domain
xong,
logon
vào
máy
2.
vào
IE
test
thử
một
số
trang
web,
hoàn
t
ất
client1
và
client2
dùng
lệnh
nslookup
test
lại
phần 5
DNS, kiểm tra xem có truy vấn được các trang
trang web ngoài internet không. Vì DNS server
đã forwarder ra
ISP
ở bước 8 phần 2 nên việc
truy vấn
DNS
những
trang
web
ngòai
Internet
sẽ thành công
6.
Tổ chức các OU và user sau:
a.
Trong doamin nhatnghe.local tạo 2 OU : HCM và NhaTrang
b.
Trong OU HCM tạo 2 OU con PKthuat , PGvien và user AdminHCM
c.
Trong OU PKthuat tạo user AdminPKT và user Nv1,Nv2,Nv3
d.
Trong OU PGvien tạo user AdminPgv và user Gv1,Gv2,Gv3
e.
Trong
OU Nhatrang
tạo
2 OU
con PKthuat ,PGvien và 2
user
AdminNT,
Trang
12/
39
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
5.
Click
phải
vào
OU
PGvien
tạo
user
6.
Click phải vào OU NhaTrang
tạo 2 OU con
adminPgv,Gv1,Gv2,Gv3. là PKThuat và PGvien. Tiếp tục click phải vào
ou Nhatrang tạo 2 user AdminNT và Nv4.
7.
Trong
OU
HCM\PKthuat
tạo
group
GKThuat
add
AdminNv1,Nv2,Nv3
vào
group
này.
Trong
OU
HCM\PGvien
tạo
group
Gvien
add
Gv1,Gv2,Gv3
vào
group
này.
Trong
Ou
HCM
tạo
group
Admin
add
AdminPKT,
adminPgv
vào
group này.
1.
C
lick phải vào OU Pkthuat con Ou HCM chọn New Group
2.
Click
phải
v
ào
GPKthuat
vừa
tạo
ch
nhập vào
Properties chọn
Tab Member, Add NV1, N
NV3 vào Group
GPKthuat Ok.
NV4
Tra
ng
13
/
3
9
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
Trang
14/
39
3.
Click
phải
vào
OU
HCM\PGvien
tạo
Group
GVien.
4.
Click
phải
vào
Group
GVien
mới
vừa
tạo
chọn
Properties
chọn
Tab
Member
Add
GV1,
GV2, GV3 vào Group.
5.
Click phải vào OU HCM tạo Group Admin,
click
phải
vào
Group
Admin
chọn
Properties
chọn Tab Member, add AdminPGV,
AdminPKT vào Group
6.
Hoàn tất phần 7
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
8.
Cài AdminPAK.msi vào máy Client1và máy client2
1.
Trên
máy
Domain
click
phải
vào
ổ
đĩa
C
2.
Tại
máy
Client1
và
Client2
logon
v
ào
chọn Search tìm file AdminPAK.MSI, copy file Administrator
của
Domain
truy cập
vào
fol
der
này vào folder share cho máy Client. share của máy Domain cài AdminPAk.MSI
Trang
15/
39
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
9. Ủy quyền cho user AdminHCM
có toàn quyền trên OU HCM và user AdminNT
có toàn quyền trên Ou NhaTrang (cho 2 user này có quyền tạo policy cho Ou của
mình).
Trang
16/
39
1.
Tại
máy
Domain
vào
Start Run
gõ
lệnh
DSA.MSC click
phải
vào
OU
HCM chọn Delegate Control.
2.
Màn hình Welcome ấn Next, add
AdminHCM, OK Next
3.
Cấp quyền cho user
AdminHCM Nexthoàn tất cấp
quyền cho AdminHCM
4.
Vào Menu View chọn Advanced
Features
5.
Click
phải
vào
OU
Nhatrang
chọn
Properties
6.
Chọn Tab Security add AdminNT vào, cấp
Full quyền cho User này OK
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
Trang
17/
39
1.
Tại
máy
Domain
click
phải
vào
My
computer
chọn
Properties,
chọ
tab
Remote,
chọn check box enable remote desktop…
2.
Ấn
Select
Remote
User
ấn
Add
chọn
user
AdminHCM, AdminNT, AdminPGV,
AdminPKT, cho phép các user này Remote
Desktop, OK
3.
Start Programs Administrative
Tools Domain Controller Security
Policy Double Click Security
Setting\Local Policy
\UserRightsAssigment\AllowLogon Locally
4.
Ấn
nút
Add
chọn
user
AdminHCM,
AdminNT, AdminPGV, AdminPKT cho các
user này Logon locally, OK
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
7.
Click
phải
vào
Group
Policy
Creator
8.
Add AdminHCM và AdminNT vào Grou
p
Owner chọn Properties này cho phép 2 User này tạo Policy
10. Cho user AdminHCM, AdminNT, AdminPKT, AdminGVien được phép Remote
Desktop. Trên máy client1 logon vào AdminHCM và AdminNT Remote Desktop
vào Doamin để kiểm tra.
Trang
18/
39
5.
Double Click Security Setting\Local
Policy\User
Rights
Assigment\Allow
Logon
Through Terminal services
6.
Ấn
nút
Add
chọn
user
AdminHCM,
AdminNT,
AdminPGV,
AdminPKT
cho
các user này Logon bằng Terminal services
7.
Vào Start Run gõ lệnh GPUpdate /Force 8.
Trên
máy
Client1
và
Client2
Logon
bằng
quyền
AdminHCM,
vào
Start Run
gõ
lệnh MSTSC để Remote vào Doamin thử
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
11. Dùng quyền của AdminHCM ủy quyền cho user AdminPKT có toàn quyền trên
OU PKthuat, user AdminPGV toàn quyền trên OU PGvien.
1.
Tại
máy
Client1
đăng
nhập
bằng
quyề
n
AdminHCM,
vào
Srtart Run
gõ
lệ
nh
DSA.MSC
click
phải
lên
OU
PKThua
t
chọn
Properties
chọn
Tab
Security,
ad
d
user
AdminPKT,
cấp
full
quyền
cho
use
r
này, ấn Advance
2.
Bỏ
checkbox
Allow
inheritable,
chọn
AdminPKT ấn Edit,
Trang
19/
39
3.
Trong phần Apply onto chọn This
object
and all child objects, OK, OK, OK
4.
Tương tự click phải vào Ou PGVien chọn
Properties chọn Tab Security add
AdminPGV
cấp
full
quyền
cho
user
này,
ấn Advanced
5.
Trong phần Apply onto chọn This object
and all child objects, OK, OK, OK
6.
Trên
mày
Client1
lần
lượt
Logon
vào
AdminPGV và AdminPKT để kiểm tra
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
Trang
20/
39
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
12. Dùng quyền AdminPKT cấm tất cả các user trong OU PKThuat không được phép
chạy Notepad.exe, ngọai trừ user AdminPKT.
Trang
21/
39
1.
Tại máy Client1 logon bằng quyền
AdminPKT, Remote Desktop lên máy
Domain, vào DSA.MSC, click phải lên
OU PKThuat chọn Tab Group Policy ấn
nút New gõ tên PolicyPKThuat ấn Edit
2.
Trong
user
Configuration\Administrative
Templates\
System
double
click
vào
Don’t run specified Windows application.
3.
Chọn Enabled ấn Show 4.
Ấn
Add
nhập
vào
Notepad.exe,
OK,
OK,
OK
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
Trang
22/
39
5.
Trở về Tab Group Policy chọn
Properties.
6.
Chọn
Tab
Security,
ấn
Add
add
user
AdminPKT, OK, check vào ô Deny apply
group policy, OK, OK
7.
Vào Start Run gõ lệnh GPupdate /force 8.
Lần lượt logon bằng quyền NV1,
NV2,NV3
để
kiểm
tra
có
chạy
Notepad
được
hay
không.
NV1,
NV2,
NV3
không
chạy được, AdminPKT chạy được.
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
13. Trên
Server
tạo
folder
FileServer, share
foler
này
cho group GKThuat có quyền
read, group Gvien quyền xóa file và folder do chính user đó tạo ra, group
Admin
full quyền
1.
Trên máy Domain tạo folder
C:\FileServer,
click
phải
lên
folder
này
chọn
Share,
chọn
option
Share
this
folder
ấn Permissions
2.
Cho Everyone allow full control, OK
Trang
23/
39
LAB:
Giới
thiệu
hệ
thống
Mạng
Domain
Network
Trang
24/
39