Tải bản đầy đủ (.doc) (82 trang)

Tìm hiểu hệ thống domain controler trên Windows Server 2003

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.33 MB, 82 trang )

Buôn Ma Thuột - 2015
SỞ GIÁO DỤC ĐÀO TẠO
TRƯỜNG TRUNG CẤP TÂY NGUYÊN
ĐỒ ÁN
CHUYÊN ĐỀ MẠNG
Giảng viên : Nguyễn Trần Hồng Quân
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
  
















Trang 2
Giáo viên
Nguyễn Trần Hồng Quân
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân


I.Cơ sở lí thuyết 5
Mạng máy tính 5
Lợi ích của mạng máy tính 5
Các mô hình mạng trong môi trường MICROSOFT 5
1)Mô hình Workgroup 5
2)Mô hình Domain 6
DNS 10
Tổng quát về DHCP 15
1)Tài khoản người dùng cục bộ (local user account) 16
2)Tài khoản người dùng miền (Domain user account) 16
Quản lí tài khoản người dùng và nhóm trên ACTIVE DIRECTORY 17
So sánh giữa System Policy và Group Policy. 26
Chức năng của Group Policy 26
1)Chia sẻ thư mục dùng chung 27
2)Các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm 28
3)Quyền truy cập NTFS 30
4)Kế thừa và thay thế quyền của đối tượng con 31
B.Chuẩn bị 34
Đặt địa chỉ IP và đặt tên 34
Cài đặt DNS trên Server 34
Cài đặt dịch vụ DHCP 41
Lên Domain controler 46
Join máy client vào hệ thống Domain 51
C.Thực hiện 54
Câu 1 : Tạo các object và đưa các user vào nhóm tương ứng 54
Câu 2 : Roaming Profile cho các user “Sếp”. Thư mục chứa roaming profile
tên là “Profiles” 55
Câu 3 : Tạo cây thư mục và phân quyền 57
Câu 4 : Deploy phần mềm Microsoft Office cho các user trong OU KeToan. .66
Câu 5 : Cấm các user thuộc OU KeToan truy cập Control Panel, không được

sử dụng (Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password.
69
Câu 6 : Delegate Control cho phép kt1 được quản lý user account trong OU
KeToan 74
Trang 3
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
Câu 7 : Delegate Control cho phép ns1 được quản lý user account và group
trong OU NhanSu 75
Câu 8: Map Network Driver Folder Data bằng Script cho các user thuộc OU
Kế toan 76
Câu 9: Giám sát quá trình logon không thành công của các user 78
Câu 10: Giám sát quá trình truy cập vào Folder DataKeToan của các user
trong OU KeToan 79
TÀI LIỆU THAM KHẢO: 82
Trang 4
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
I. Cơ sở lí thuyết
Mạng máy tính
Mạng máy tính hay hệ thống mạng (tiếng Anh: computer network hay network
system) là sự kết hợp các máy tính lại với nhau thông qua các thiết bị nối kết mạng và
phương tiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo một cấu trúc
nào đó và các máy tính này trao đổi thông tin qua lại với nhau.
Lợi ích của mạng máy tính
• Nhiều người có thể dùng chung một phần mềm tiện ích.
• Một nhóm người cùng thực hiện một đề án nếu nối mạng họ sẽ dùng chung
dữ liệu của đề án, dùng chung tập tin chính (master file) của đề án, họ trao
đổi thông tin với nhau dễ dàng.
• Dữ liệu được quản lý tập trung nên bảo mật an toàn, trao đổi giữa những

người sử dụng thuận lợi, nhanh chóng, backup dữ liệu tốt hơn.
• Sử dụng chung các thiết bị máy in, máy scaner, đĩa cứng và các thiết bị
khác.
• Người sử dụng và trao đổi thông tin với nhau dễ dàng thông qua dịch vụ thư
điện tử (Email), dịch vụ Chat, dịch vụ truyền file (FTP), dịch vụ Web,
• Xóa bỏ rào cản về khoảng cách địa lý giữa các máy tính trong hệ thống
mạng muốn chia sẻ và trao đổi dữ liệu với nhau.
• Một số người sử dụng không cần phải trang bị máy tính đắt tiền (chi phí
thấp mà chức năng lại mạnh).
• Cho phép người lập trình ở một trung tâm máy tính này có thể sử dụng các
chương trình tiện ích, vùng nhớ của một trung tâm máy tính khác đang rỗi
để làm tăng hiệu quả kinh tế của hệ thống.
• An toàn cho dữ liệu và phần mềm vì nó quản lý quyền truy cập của các tài
khoản người dùng (phụ thuộc vào các chuyên gia quản trị mạng)
Các mô hình mạng trong môi trường MICROSOFT
1) Mô hình Workgroup
Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình
mà trong đó các máy tính có vai trò như nhau được nối kết với nhau. Các dữ liệu
và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài
nguyên cục bộ của mình. Trong hệ thống mạng không có máy tính chuyên cung
cấp dịch vụ và quản lý hệ thống mạng. Mô hình này chỉ phù hợp với các mạng nhỏ,
dưới mười máy tính và yêu cầu bảo mật không cao.
Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ
đa người dùng lưu trữ thông tin người dùng trong một tập tin SAM (Security
Accounts Manager) ngay chính trên máy tính cục bộ. Thông tin này bao gồm:
username (tên đăng nhập), fullname, password, description… Tất nhiên tập tin
Trang 5
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
SAM này được mã hóa nhằm tránh người dùng khác ăn cấp mật khẩu để tấn công

vào máy tính. Do thông tin người dùng được lưu trữ cục bộ trên các máy trạm nên
việc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tự
chứng thực.
2) Mô hình Domain
Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế client-
server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều
khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của
hệ thống mạng. Việc chứng thực người dùng và quản lý tài nguyên mạng được tập
trung lại tại các Server trong miền. Mô hình này được áp dụng cho các công ty vừa
và lớn. Trong mô hình Domain của Windows Server 2003 thì các thông tin người
dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên
máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT. Tập tin
cơ sở dữ liệu này được xây dựng theo công nghệ tương tự như phần mềm Access
của Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn so với công
nghệ cũ chỉ lưu trữ được khoảng 5 nghìn tài khoản người dùng. Do các thông tin
người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào
mạng cũng tập trung và do máy điều khiển vùng chứng thực.
Active Directory
Active Directory là một dịch vụ quản lý thư mục có thể chứa các thông tin về các
máy tính trong mạng, người dùng mạng, máy in, ứng dụng trên mạng, Bằng cách lưu
trữ thông tin trong một thư mục trung tâm nên tất cả các tài nguyên này đều có thể được
sử dụng chung đối với tất cả mọi người ở mọi thời điểm. Mô hình Domain (Miền) là
một kiến trúc thư mục có phân cấp các tài nguyên – Active Directory – và được sử
dụng bởi tất cả các hệ thống là thành viên của Miền. Các hệ thống này có thể sử dụng
các tài khoản người dùng, nhóm và máy tính trong trong thư mục để bảo mật các tài
nguyên của chúng. Do đó Active Directory đóng vai trò như một trung tâm lưu trữ
nhận thực, cung cấp một danh sách tin cậy chỉ ra “ai là ai” trong Miền. Bản thân Active
Directory đóng vai trò là một cơ sở dữ liệu, nó chứa một danh sách các thành phần hỗ
trợ, bao gồm cả các nhật ký giao dịch (transaction log) và dữ liệu hệ thống (sysvol), ở
đây chứa các thông tin về kịch bản đăng nhập và chính sách nhóm. Active Directory sử

dụng giao thức LDAP (Lightweight Directory Access Protocol), giao thức bảo mật
Kerberos, các chu trình đồng bộ dữ liệu và dịch vụ đồng bộ file FRS (File Replication
Service).
Chính sách nhóm (Group Policy) Do cách thức thừa hưởng các thiết lập từ đối
tượng mức cha truyền xuống mức con, người quản trị có thể sử dụng các OU để gom
các đối tượng cần cấu hình tương tự nhau. Các thiết lập cấu hình mà được áp dụng đến
Trang 6
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
từng máy tính chạy Windows cũng có thể quản trị một cách tập trung nhờ sử dụng một
tính năng của Active Directory gọi là chính sách nhóm (Group Policy). Các chính sách
nhóm cho phép xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều
hành và cách thức hoạt động của các ứng dụng trên một máy tính mà không cần thiết
phải thực hiện trực tiếp trên máy tính cần thiết lập. Việc thiết lập các tùy chọn cấu hình
trên một đối tượng đặc biệt của Active Directory gọi là đối tượng chính sách nhóm
GPO (Group Policy Object) sau đó kết nối các GPO này vào các đối tượng trong
Active Directory chứa các máy tính hoặc người dùng muốn áp dụng.
− Hệ thống xác thực tập trung là ứng dụng trung gian, hoạt động như một dịch vụ,
kiểm tra tính hợp lệ và quyền truy cập của người dùng đối với các ứng dụng và
các tài nguyên trên mạng. - Cổng thông tin điện tử đóng vai trò cổng vào tập
trung, thống nhất đối với tất cả các ứng dụng, tài nguyên trên mạng. b) Các chính
sách bảo mật máy trạm
− Thiết lập các quyền truy cập tài nguyên mạng theo chức năng nhiệm vụ cho từng
nhóm đối tượng. - Các máy trạm khai thác số liệu kinh doanh chỉ được quyền sử
dụng ứng dụng cho phép, không được quyền cài đặt bất kỳ phần mềm nào khác. -
Triển khai từ xa các phần mềm ứng dụng cho các máy trạm. - Triển khai từ xa
các phần mềm anti-virus cho các máy trạm, đồng thời thực hiện việc rà quét từ
xa.
− Kiểm soát tình trạng kết nối của các máy trạm. - Kiểm soát tình trạng đăng nhập,
sử dụng tài nguyên của người

dùng.
Kiến trúc của Active Directory bao gồm
Objects, Organizational Units, Domain ,
Domain Tree, Forest
Kiến trúc của Active Directory
1) Objects
Trang 7
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm
Object classes và Attributes. Object classes là một bản thiết kế mẫu hay một khuôn
mẫu cho các loại đối tượng mà bạn có thể tạo ra trong Active Directory. Có ba loại
object classes thông dụng là: User, Computer, Printer. Khái niệm thứ hai là
Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với một đối
tượng cụ thể. Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị
được gán cho các thuộc tính của object classes. Ví dụ hình sau minh họa hai đối tượng
là: máy in ColorPrinter1 và người dùng KimYoshida.
2) Organizational Units
Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem
là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau
phục vụ cho mục đích quản trị của bạn. OU cũng được thiết lập dựa trên subnet IP và
được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có
hai công dụng chính sau:
- Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các
thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-
administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ
thống.
- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng
trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO), các
chính sách nhóm này chúng ta sẽ tìm hiểu ở các chương sau.

3) Domain
Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là
phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có
những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các
Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau: - Đóng vai trò như một
khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định
nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các
chính sách bảo mật, các quan hệ ủy quyền với các domain khác.
- Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.
- Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain
controller), đồng thời đảm bảo các thông tin trên các Server này được được
đồng bộ với nhau.
4) Domain Tree
Trang 8
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu
trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây
thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là
domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một
domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain.
Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục. Bạn có
thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện.
5) Forest
Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác
Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. Ví dụ
giả sử một công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác. Thông
thường, mỗi công ty đều có một hệ thống Domain Tree riêng và để tiện quản lý, các
cây này sẽ được hợp nhất
với nhau bằng một khái

niệm là rừng.
Trong ví dụ trên, công ty
mcmcse.com thu mua
được techtutorials.com và
xyzabc.com và hình thành
rừng từ gốc mcmcse.com.
Trang 9
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
Domain Controller
Domain Controller là hệ thống máy chủ được thiết lập để quản lý một Domain. Một
Domain có thể có nhiều Domain Controller. Một máy chủ để trở thành Domain
Controller bắt buộc phải cài đặt và khởi tạo Active Directory. Domain Controller
quản lý Domain của mình thông qua Active Directory đó,tính hoặc các nhóm khác, độc
lập trong cấu trúc của Active Directory. Các nhóm có thể chứa các đối tượng từ các OU
và các Miền. Thư mục chia sẻ: cung cấp các truy nhập dựa trên Active Directory đến
một thư mục chia sẻ trong một máy tính Windows. Máy in: Cung cấp các truy nhập
mạng dựa trên Active Directory đến một máy in trong một máy tính Windows. Mỗi
đối tượng Active Directory có chứa một tập hợp các thuộc tính, chính là các thông tin
về đối tượng đó. Ví dụ, đối tượng người dùng sẽ có các thuộc tính mô tả tên tài khoản,
mật khẩu, địa chỉ, số điện thoại,…; Một đối tượng nhóm sẽ có các thuộc tính cho biết
danh sách người dùng là thành viên của nhóm đó,… Bên cạnh các thuộc tính thuần túy
thông tin, các đối tượng còn có các thuộc tính thực hiện các chức năng quản trị, ví dụ
như một Danh sách kiểm soát truy nhập ACL (Access Control List) chỉ định những ai
được phép truy cập đến đối tượng đó.
DNS
1) Giới thiệu DNS
Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin, dữ liệu cho nhau cần
phải biết rõ địa chỉ IP của nhau. Nếu số lượng máy tính nhiều thì việc nhớ những địa chỉ
IP này rất là khó khăn.

Mỗi máy tính ngoài địa chỉ IP ra còn có một tên (hostname). Đối với con người việc
nhớ tên máy dù sao cũng dễ dàng hơn vì chúng có tính trực quan và gợi nhớ hơn địa chỉ
IP. Vì thế, người ta nghĩ ra cách làm sao ánh xạ địa chỉ IP thành tên máy tính.
Ban đầu do quy mô mạng ARPA NET (tiền thân của mạng Internet) còn nhỏ chỉ vài
trăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lưu thông tin về ánh xạ tên máy
thành địa chỉ IP. Trong đó tên máy chỉ là 1 chuỗi văn bản không phân cấp (flat name).
Tập tin này được duy trì tại 1 máy chủ và các máy chủ khác lưu giữ bản sao của nó. Tuy
nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOSTS.TXT có các nhược điểm
như sau:
- Lưu lượng mạng và máy chủ duy trì tập tin HOSTS.TXT bị quá tải do hiệu ứng “cổ
chai”.
Trang 10
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
- Xung đột tên: Không thể có 2 máy tính có cùng tên trong tập tin HOSTS.TXT . Tuy
nhiên do tên máy không phân cấp và không có gì đảm bảo để ngăn chặn việc tạo 2 tên
trùng nhau vì không có cơ chế uỷ quyền quản lý tập tin nên có nguy cơ bị xung đột tên.
- Không đảm bảo sự toàn vẹn: việc duy trì 1 tập tin trên mạng lớn rất khó khăn. Ví dụ
như khi tập tin HOSTS.TXT vừa cập nhật chưa kịp chuyển đến máy chủ ở xa thì đã có
sự thay đổi địa chỉ trên mạng rồi.
Tóm lại việc dùng tập tin HOSTS.TXT không phù hợp cho mạng lớn vì thiếu cơ chế
phân tán và mở rộng. Do đó, dịch vụ DNS ra đời nhằm khắc phục các nhược điểm này.
Người thiết kế cấu trúc của dịch vụ DNS là Paul Mockapetris - USC's Information
Sciences Institute, và các khuyến nghị RFC của DNS là RFC 882 và 883, sau đó là
RFC 1034 và 1035 cùng với 1 số RFC bổ sung như bảo mật trên hệ thống DNS, cập
nhật động các bản ghi DNS …
Lưu ý: Hiện tại trên các máy chủ vẫn sử dụng được tập tin hosts.txt để phân giải tên
máy tính thành địa chỉ IP (trong Windows tập tin này nằm trong thư mục
WINDOWS\system32\drivers\etc)
Dịch vụ DNS hoạt động theo mô hình Client-Server: phần Server gọi là máy chủ

phục vụ tên hay còn gọi là Name Server, còn phần Client là trình phân giải tên -
Resolver. Name Server chứa các thông tin CSDL của DNS, còn Resolver đơn giản chỉ
là các hàm thư viện dùng để tạo các truy vấn (query) và gửi chúng qua đến Name
Server. DNS được thi hành như một giao thức tầng Application trong mạng TCP/IP.
DNS là 1 CSDL phân tán. Điều này cho phép người quản trị cục bộ quản lý phần dữ
liệu nội bộ thuộc phạm vi của họ, đồng thời dữ liệu này cũng dễ dàng truy cập được trên
toàn bộ hệ thống mạng theo mô hình Client-Server. Hiệu suất sử dụng dịch vụ được
tăng cường thông qua cơ chế nhân bản (replication) và lưu tạm (caching). Một
hostname trong domain là sự kết hợp giữa những từ phân cách nhau bởi dấu chấm(.).
Cơ sở dữ liệu(CSDL) của DNS là một cây đảo ngược. Mỗi nút trên cây cũng lại là
gốc của 1 cây con. Mỗi cây con là 1 phân vùng con trong toàn bộ CSDL DNS gọi là 1
miền (domain). Mỗi domain có thể phân chia thành các phân vùng con nhỏ hơn gọi là
các miền con (subdomain). Mỗi domain có 1 tên (domain name). Tên domain chỉ ra vị
trí của nó trong CSDL DNS. Trong DNS tên miền là chuỗi tuần tự các tên nhãn tại nút
đó đi ngược lên nút gốc của cây và phân cách nhau bởi dấu chấm. Tên nhãn bên phải
trong mỗi domain name được gọi là top-level domain. Trong ví dụ trước
srv1.csc.hcmuns.edu.vn, vậy miền “.vn” là top-level domain. Bảng sau đây liệt kê top-
level domain.
Trang 11
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
Tên miền Mô tả
com Các tổ chức, công ty thương mại
.org Các tổ chức phi lợi nhuận
.net Các trung tâm hỗ trợ về mạng
.edu Các tổ chức giáo dục
.gov Các tổ chức thuộc chính phủ
.mil Các tổ chức quân sự
.int
Các tổ chức được thành lập bởi các hiệp ước quốc tế

Vì sự quá tải của những domain name đã tồn tại, do đó đã làm phát sinh những top-
level domain mới. Bảng sau đây liệt kê những top-level domain mới.
Tên miền Mô tả
. arts Những tổ chức liên quan đến nghệ thuật và kiến trúc
.nom Những địa chỉ cá nhân và gia đình
.rec Những tổ chức có tính chất giải trí, thể thao
.firm Những tổ chức kinh doanh, thương mại.
.info Những dịch vụ liên quan đến thông tin.
Bên cạnh đó, mỗi nước cũng có một top-level domain. Ví dụ top-leveldomain của Việt
Nam là .vn, Mỹ là .us, ta có thể tham khảo thêm thông tin địa chỉ tên miền tại địa chỉ:

Ví dụ về tên miền của một số quốc gia.
Tên miền quốc gia Tên quốc gia
.vn Việt Nam
.us Mỹ
.uk Anh
Trang 12
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
.jp Nhật Bản
.cn Trung Quốc
… …
2) Đặt điểm của DNS trong Windows 2003.
- Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải dựa
theo tên domain trong yêu cầu truy vấn. - Stub zone: hỗ trợ cơ chế phân giải hiệu quả
hơn. - Đồng bộ các DNS zone trong Active Directory (DNS zone replication in
Active Directory). - Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống
Windows trước đây. - Luân chuyển (Round robin) tất cả các loại RR. - Cung cấp nhiêu
cơ chế ghi nhận và theo dõi sự cố lỗi trên DNS.
- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính năng bảo

mật cho việc lưu trữ và nhân bản (replicate) zone. - Cung cấp tính năng EDNS0
(Extension Mechanisms for DNS) để cho phép DNS Requestor quản bá những zone
transfer packet có kích thước lớn hơn 512 byte.
3) Cơ chế phân giải tên.
• Phân giải tên thành IP
Root name server : Là máy chủ quản lý các name server ở mức top-level domain.
Khi có truy vấn về một tên miền nào đó thì Root Name Server phải cung cấp tên và địa
chỉ IP của name server quản lý top-level domain (Thực tế là hầu hết các root server
cũng chính là máy chủ quản lý top-level domain) và đến lượt các name server của top-
level domain cung cấp danh sách các name server có quyền trên các second-level
domain mà tên miền này thuộc vào. Cứ như thế đến khi nào tìm được máy quản lý tên
miền cần truy vấn. Qua trên cho thấy vai trò rất quan trọng của root name server trong
quá trình phân giải tên miền. Nếu mọi root name server trên mạng Internet không liên
lạc được thì mọi yêu cầu phân giải đều không thực hiện được.
Client sẽ gửi yêu cầu cần phân giải địa chỉ IP của máy tính có tên
girigiri.gbrmpa.gov.au đến name server cục bộ. Khi nhận yêu cầu từ Resolver, Name
Server cục bộ sẽ phân tích tên này và xét xem tên miền này có do mình quản lý hay
không. Nếu như tên miền do Server cục bộ quản lý, nó sẽ trả lời địa chỉ IP của tên máy
đó ngay cho Resolver. Ngược lại, server cục bộ sẽ truy vấn đến một Root Name
Server gần nhất mà nó biết được. Root Name Server sẽ trả lời địa chỉ IP của Name
Trang 13
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
Server quản lý miền au. Máy chủ name server cục bộ lại hỏi tiếp name server quản lý
miền au và được tham chiếu đến máy chủ quản lý miền gov.au. Máy chủ quản lý gov.au
chỉ dẫn máy name server cục bộ tham chiếu đến máy chủ quản lý miền
gbrmpa.gov.au. Cuối cùng máy name server cục bộ truy vấn máy chủ quản lý miền
gbrmpa.gov.au và nhận được câu trả lời.
Các loại truy vấn : Truy vấn có thể ở 2 dạng :
- Truy vấn đệ quy (recursive query) : khi name server nhận được truy vấn dạng

này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy
vấn này không phân giải được. Name server không thể tham chiếu truy vấn đến
một name server khác. Name server có thể gửi truy vấn dạng đệ quy hoặc tương
tác đến name server khác nhưng phải thực hiện cho đến khi nào có kết quả mới
thôi.
- Truy vấn tương tác (Iteractive query): khi name server nhận được truy vấn
dạng này, nó trả lời cho Resolver với thông tin tốt nhất mà nó có được vào thời
điểm lúc đó. Bản thân name server không thực hiện bất cứ một truy vấn nào
thêm. Thông tin tốt nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache). Trong
trường hợp name server không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên
miền và địa chỉ IP của name server gần nhất mà nó biết.
• Phân giải IP thành tên máy tính
Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịch các tập tin log cho dễ đọc
hơn. Nó còn dùng trong một số trường hợp chứng thực trên hệ thống UNIX (kiểm tra
các tập tin .rhost hay host.equiv). Trong không gian tên miền đã nói ở trên dữ liệu -bao
gồm cả địa chỉ IP- được lập chỉ mục theo tên miền. Do đó với một tên miền đã cho việc
tìm ra địa chỉ IP khá dễ dàng. Để có thể phân giải tên máy tính của một địa chỉ IP, trong
không gian tên miền người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mục
theo địa chỉ IP. Phần không gian này có tên miền là in- addr.arpa.
Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập phân của địa chỉ IP. Ví
dụ miền in- addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ 0 đến
255 của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256 subdomain con
nữa ứng với byte thứ hai. Cứ như thế và đến byte thứ tư có các bản ghi cho biết tên miền
đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng.
Trang 14
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
L ưu ý khi đọc tên miền địa chỉ IP sẽ xuất hiện theo thứ tự ngược. Ví dụ nếu địa chỉ IP
của máy winnie.corp.hp.com là 15.16.192.152, khi ánh xạ vào miền in-addr.arpa sẽ là
152.192.16.15.in- addr.arpa.

Tổng quát về DHCP
1) Giới thiệu dich vụ DHCP
- Dịch vụ DHCP cho phép chúng ta cấp động các thông số cấu hình mạng cho các máy
trạm (client). Các hệ điều hành của Microsoft và các hệ điều hành khác như Unix hoặc
Macintosh đều hỗ trợ cơ chế nhận các thông số động, có nghĩa là trên các hệ điều hành
này phải có một DHCP Client.
- Cơ chế sử dụng các thông số mạng được cấp phát động có ưu điểm hơn so với cơ chế
khai báo tĩnh các thông số mạng như:
• Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ
thống mạng.
• Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP thật
(Public IP).
• Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng.
• Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot
như: nhà ga, sân bay, trường học…
2) Hoạt động của giao thức DHCP
Giao thức DHCP làm việc theo mô hình client/server. Theo đó, quá trình tương tác
giữa DHCP client và server diễn ra theo các bước sau:
- Khi máy client khởi động, máy sẽ gửi broadcast gói tin DHCPDISCOVER, yêu
cầu một server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của máy client.
- Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu còn khả năng
cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê
một địa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet mask và
địa chỉ của Server. Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho những Client
khác trong suốt quá trình thương thuyết.
- Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCPOFFER) và gửi
broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị đó. Điều này cho phép
các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng đề cấp phát
cho Client khác.
- Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCPACK như

là một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó và thời hạn cho sử dụng
đó sẽ chính thức được áp dụng. Ngoài ra Server còn gửi kèm theo những thông tin cấu
hình bổ sung như địa chỉ của gateway mặc định, địa chỉ DNS Server, …
Trang 15
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
Tài khoản người dùng
A. Tài khoản người dùng (user account)
Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho
người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng
username. Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người
khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên
mạng mà mình được phép.
1) Tài khoản người dùng cục bộ (local user account)
Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được
định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy
tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải
chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ.
Bạn tạo tài khoản người dùng cục bộ với công cụ Local Users and Group trong
Computer Management (COMPMGMT.MSC).
Các tài khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc
các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts
Manager). Tập tin SAM này được đặt trong thư m ục \Windows\system32\config.
2) Tài khoản người dùng miền (Domain user account)
Tài khoản người dùng miền (domain user account) là tài khoản người dùng được
định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất
kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy
cập đến các tài nguyên trên mạng. Bạn tạo tài khoản người dùng miền với công cụ
Active Directory Users and Computer (DSA.MSC). Khác với tài khoản người dùng
cục bộ, tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM

mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư
mục \Windows\NTDS.
3) Yêu cầu về tài khoản người dùng.
- Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng
nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành
Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự).
- Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của
người dùng và nhóm không được trùng nhau.
- Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
Trang 16
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
- Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu,
khoảng trắng, dấu gạch ngang, dấu gạch dưới. Tuy nhiên, nên tránh các
khoảng trắng vì những tên như thế phải đặt trong dấu ngoặc khi dùng các kịch
bản hay dòng lệnh.
B. Tài khoản nhóm
Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào
đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người
dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục
chia sẻ, máy in. Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài
khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được
chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution
group).
Quản lí tài khoản người dùng và nhóm trên ACTIVE
DIRECTORY
A. Tạo mới tài khoản người dùng
Bạn có thể dùng công cụ Active Directory User and Computers trong
Administrative Tools ngay trên máy Domain Controller để tạo các tài khoản người
dùng miền. Công cụ này cho phép bạn quản lý tài khoản người dùng từ xa thậm chí trên

các máy trạm không phải dùng hệ điều hành Server như WinXP, Win2K Pro. Muốn thế
trên các máy trạm này phải cài thêm bộ công cụ Admin Pack. Bộ công cụ này nằm trên
Server trong thư mục \Windows\system32\ADMINPAK.MSI. Tạo một tài khoản người
dùng trên Active Directory, ta làm các bước sau: Chọn Start > Programs >
Administrative Tools > Active Directory Users and Computers. Cửa sổ Active Directory
Users and Computers xuất hiện, bạn nhấp phải chuột vào mục Users, chọn New > Use
Hộp thoại New Object-User xuất hiện như hình sau, bạn nhập tên mô tả người dùng,
tên tài khoản logon vào mạng. Giá trị Full Name sẽ tự động phát sinh khi bạn nhập giá
trị First Name và Last Name, nhưng bạn vẫn có thể thay đổi được. Chú ý: giá trị quan
trọng nhất và bắt buộc phải có là logon name (username). Chuỗi này là duy nhất cho
một tài khoản người dùng theo như định nghĩa trên phần lý thuyết. Trong môi trường
Windows 2000 và 2003, Microsoft đưa thêm một khái niệm hậu tố UPN (Universal
Principal Name), trong ví dụ này là “@netclass.edu.vn”. Hậu tố UPN này gắn vào sau
chuỗi username dùng để tạo thành một tên username đầy đủ dùng để chứng thực ở cấp
rừng hoặc chứng thực ở một miền khác có quan hệ tin cậy với miền của người dùng đó,
Trang 17
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
trong ví dụ này thì tên username đầy đủ là “”. Ngoài ra trong hộp
thoại này cũng cho phép chúng ta đặt tên username của tài khoản người dùng phục vụ
cho hệ thống cũ (pre-Windows 2000). Sau khi việc nhập các thông tin hoàn thành bạn
nhấp chuột vào nút Next để tiếp tục.
Hộp thoại thứ hai xuất hiện, cho phép bạn nhập vào mật khẩu (password) của tài khoản
người dùng và đánh dấu vào các lựa chọn liên quan đến tài khoản như: cho phép đổi mật
khẩu, yêu cầu phải đổi mật khẩu lần đăng nhập đầu tiên hay khóa tài khoản. Các lựa
chọn này chúng ta sẽ tìm hiểu chi tiết ở phần tiếp theo.
Hộp thoại cuối cùng xuất hiện và nó hiển thị các thông tin đã cấu hình cho người dùng.
Nếu tất cả các thông tin đã chính xác thì bạn nhấp chuột vào nút Finish để hoàn thành,
còn nếu cần chỉnh sửa lại thì nhấp chuột vào nút Back để trở về các hộp thoại trước.
Trang 18

Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
B. Các thuộc tính của tài khoản người dùng
Muốn quản lý các thuộc tính của các tài khoản người ta dùng công cụ Active
Directory Users and Computers sau đó chọn thư mục Users và nhấp đôi chuột vào tài
khoản người dùng cần khảo sát. Hộp thoại Properties xuất hiện, trong hộp thoại này
chứa 12 Tab chính, ta sẽ lần lượt khảo sát các Tab này.
1) Tab General
Trang 19
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
Tab General chứa các thông tin chung của người dùng trên mạng mà bạn đã nhập
trong lúc tạo người dùng mới. Đồng thời bạn có thể nhập thêm một số thông tin như: số
điện thoại, địa chỉ mail và trang địa chỉ trang Web cá nhân
2) Tab Address
Tab Address cho phép bạn có thể khai báo chi tiết các thông tin liên quan đến địa chỉ
của tài khoản người dùng như: địa chỉ đường, thành phố, mã vùng, quốc gia…
3) Tab Telephones
Tab Telephones cho phép bạn khai báo chi tiết các số điện thoại của tài khoản người
dùng.
4) Tab Organization
Tab Organization cho phép bạn khai báo các thông tin người dùng về: chức năng của
công ty, tên phòng ban trực thuộc, tên công ty …

5) Tab Account
Tab Account cho phép bạn khai báo lại username, quy định giờ logon vào mạng cho
người dùng, quy định máy trạm mà người dùng có thể sử dụng để vào mạng, quy định
các chính sách tài khoản cho người dùng, quy định thời điểm hết hạn của tài khoản…

Chọn lựa máy trạm được truy cập vào mạng: bạn nhấp chuột vào nút Log On To, bạn

sẽ thấy hộp thoại Logon Workstations xuất hiện. Hộp thoại này cho phép bạn chỉ định
người dùng có thể logon từ tất cả các máy tính trong mạng hoặc giới hạn người dùng chỉ
được phép logon từ một số máy tính trong mạng. Ví dụ như người quản trị mạng làm
việc trong môi trường bảo mật nên tài khoản người dùng này chỉ được chỉ định logon
vào mạng từ một số máy tránh tình trạng người dùng giả dạng quản trị để tấn công
mạng. Muốn chỉ định máy tính mà người dùng được phép logon vào mạng, bạn nhập tên
máy tính đó vào mục Computer Name và sau đó nhấp chuột vào nút Add.
Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản người dùng:
Tùy Chọn Ý Nghĩa
User must change password at next logon
Người dùng phải thay đổi mật khẩu lần
đăng nhập kế tiếp, sau đó mục này sẽ tự
động bỏ chọn.
User cannot change password
Nếu được chọn thì ngăn không cho người
dùng tùy ý thay đổi mật khẩu.
Password never expires Nếu được chọn thì mật khẩu của tài
Trang 20
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
khoản này không bao giờ hết hạn.
Store password using reversible
encryption
Chỉ áp dụng tùy chọn này đối với người
dùng đăng nhập từ các máy Apple.
Account is disabled
Nếu được chọn thì tài khoản này tạm thời
bị khóa, không sử dụng được.
Smart card is required for interactive
login

Tùy chọn này được dùng khi người dùng
đăng nhập vào mạng thông qua một thẻ
thông minh (smart card), lúc đó người
dùng không nhập username và password
mà chỉ cần nhập vào một số PIN.
Account is trusted for delegation
Chỉ áp dụng cho các tài khoản dịch vụ
nào cần giành được quyền truy cập vào tài
nguyên với vai trò những tài khoản người
dùng khác
Account is sensitive and cannot be
delegated
Dùng tùy chọn này trên một tài khoản
khách vãng lai hoặc tạm để đảm bảo rằng
tài khoản đó sẽ không được đại diện bởi
một tài khoản khác
Use DES encryption types for this
account
Nếu được chọn thì hệ thống sẽ hỗ trợ
Data Encryption Standard (DES) với
nhiều mức độ khác nhau.
Do not require Kerberos
preauthentication
Nếu được chọn hệ thống sẽ cho phép tài
khoản này dùng một kiểu thực hiện giao
thức Kerberos khác với kiểu của
Windows Server 2003
6) Tab Profile
Tab Profile cho phép bạn khai báo đường dẫn đến Profile của tài khoản người dùng
hiện tại, khai báo tập tin logon script được tự động thi hành khi người dùng đăng nhập

hay khai báo home folder. Chú ý các tùy chọn trong Tab Profile này chủ yếu phục vụ
cho các máy trạm trước Windows 2000, còn đối với các máy trạm từ Win2K trở về sau
như: Win2K Pro, WinXP, Windows Server 2003 thì chúng ta có thể cấu hình các lựa
chọn này trong Group Policy.
7) Tab Member Of.
Trang 21
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
Tab Member Of cho phép bạn xem và cấu hình tài khoản người dùng hiện tại là thành
viên của những nhóm nào. Một tài khoản người dùng có thể là thành viên của nhiều
nhóm khác nhau và nó được thừa hưởng quyền của tất cả các nhóm này
8) Tab Dial-in
Tab Dial-in cho phép bạn cấu hình quyền truy cập từ xa của người dùng cho kết nối
dial-in hoặc VPN, chúng ta sẽ khảo sát chi tiết ở chương Routing and Remote Access.
Chính sách hệ thống
A. Chính sách tài khoản người dùng
Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông
số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho
phép bạn cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và
chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì bạn sẽ thấy hai mục
Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm
domain controller thì bạn sẽ thấy ba thư mục Password Policy, Account Lockout
Policy và Kerberos Policy. Trong Windows Server 2003 cho phép bạn quản lý chính
sách tài khoản tại hai cấp độ là: cục bộ và miền.
Muốn cấu hình các chính sách tài khoản người dùng ta vào Start > Programs >
Administrative Tools > Domain Security Policy hoặc Local Security Policy.
1) Chính sách mật khẩu
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của
người dùng để trách các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách
này cho phép bạn qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật

khẩu…
Các lựa chọn trong chính sách mật mã:
Chính sách Mô tả
Enforce Password History Số lần đặt mật mã không được trùng nhau
Maximum Password Age
Quy định số ngày nhiều nhất mà mật mã người dùng
có hiệu lực
Minimum Password Age
Quy số ngày tối thiểu trước khi người dùng có thể
thay đổi mật mã.
Minimum Password Length Chiều dài ngắn nhất của mật mã
Trang 22
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân
Passwords Must Meet
Complexity Requirements
Mật khẩu phải có độ phức tạp như: có ký tự hoa,
thường, có ký số.
Store Password Using Reversible
Encryption for All Users in the
Domain
Mật mã người dùng được lưu dưới dạng mã hóa
2) Chính sách khóa tài khoản
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm
khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn
công thông qua hình thức logon từ xa.
Các thông số cấu hình chính sách khóa tài khoản:
B. Chính sách cục bộ
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát
các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào

công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn
bảo mật.
1) Chính sách kiểm toán (Audit Policies)
Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự
kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng. Bạn có
thể xem các ghi nhận này thông qua công cụ Event Viewer, trong mục Security.
Các lựa chọn trong chính sách kiểm toán:
Trang 23
Chính sách Mô tả
Account Lockout Threshold Quy định số l ần cố g ắng đăng nhập trước khi tài
khoản bị khóa
Account Lockout Duration Quy định thời gian khóa tài khoản
Reset Account Lockout Counter
After
Quy định thời gian đếm lại số l ần đăng nhập không
thành công
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân

2) Quyền hệ thống của người dùng (User Rights Assignment)
Đối với hệ thống Windows Server 2003, bạn có hai cách cấp quyền hệ thống cho
người dùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế
thừa quyền hoặc bạn dùng công cụ User Rights Assignment để gán từng quyền rời rạc
cho người dùng. Cách thứ nhất bạn đã biết sử dụng ở chương trước, chỉ cần nhớ các
quyền hạn của từng nhóm tạo sẵn thì bạn có thể gán quyền cho người dùng theo yêu
cầu. Để cấp quyền hệ thống cho người dùng theo theo cách thứ hai thì bạn phải dùng
công cụ Local Security Policy (nếu máy bạn không phải Domain Controller) hoặc
Domain Controller Security Policy (nếu máy bạn là Domain Controller). Trong hai
công cụ đó bạn mở mục Local Policy\ User Rights Assignment.
Trang 24

Chính sách Mô tả
Audit Account Logon
Events
Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ thống sẽ
ghi nhận khi người dùng logon, logoff hoặc tạo một kết nối
mạng
Audit Account
Management
Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có
sự thay đổi thông tin hay các thao tác quản trị liên quan đến tài
khoản người dùng.
Audit Directory Service
Access
Ghi nhân việc truy cập các dịch vụ thư mục
Audit Logon Events
Ghi nhân các sự kiện liên quan đến quá trình logon như thi hành
một logon script hoặc truy cập đến một roaming profile.
Audit Object Access Ghi nhận việc truy cập các tập tin, thư mục, và máy tin
Audit privilege use
Ghi nhận các thay đổi trong chính sách kiểm toán Hệ thống sẽ
ghi nhận lại khi bạn bạn thao tác quản trị trên các quyền hệ
thống như cấp hoặc xóa quyền của một ai đó.
Audit process tracking
Kiểm toán này theo dõi hoạt động của chương trình hay hệ điều
hành.
Audit system event
Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy hoặc tắt
máy.
Trung cấp công nghệ Tây Nguyên
Nguyễn Trần Hồng Quân

Để thêm, bớt một quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi chuột vào
quyền hạn được chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách người dùng và
nhóm hiện tại đang có quyền này. Bạn có thể nhấp chuột vào nút Add để thêm người
dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove để xóa người dùng khỏi
danh sách. Ví dụ minh họa sau là bạn cấp quyền thay đổi giờ hệ thống (change the
system time) cho người dùng “Tuan”.
Danh sách một số quyền hệ thống cấp cho người dùng và nhóm:
Chính sách Mô tả
Access This Computer
from the Network
Cho phép người dùng truy cập máy tính thông qua mạng. Mặc
định mọi người đều có quyền này
Change the System Time Cho phép người dùng thay đổi giờ hệ thống của máy tính.
Deny Access to This
Computer from the
Network
Cho phép bạn khóa người dùng hoặc nhóm không được truy cập
đến các máy tính trên mạn
Force Shutdown from a
Remote System
Cho phép người dùng shut down hệ thống từ xa thông qua
mạngForce Shutdown from a Remote System
Shut Down the System Cho phép người dùng shut down cục bộ
3) Các lựa chọn bảo mật (Security Options)
Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo
thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị
người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn (administrator,
guest). Trong hệ thống Windows Server 2003 hỗ trợ cho chúng ta rất nhiều lựa chọn
bảo mật, nhưng trong giáo trình này chúng ta chỉ khảo sát các lựa chọn thông dụng.
Một số lựa chọn bảo mật thông dụng:

Chính sách Mô tả
Shutdown: allow system to be shut
down without having to log on
Cho phép người dùng shutdown hệ thống mà
không cần logon.
Audit : audit the access of global system
objects
Giám sát việc truy cập các đối tượng hệ thống
toàn cục
Trang 25

×