Tải bản đầy đủ (.doc) (95 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Tài Liệu MCSA 2K8 tiếng việt

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.21 MB, 95 trang )

mail server />* Defualt gateway
- Default gateway la dia chi cua thiet bi ma goi tin se duoc goi den khi destination cua goi
tin là dia chi khac network.
- Default gateway thuong la dia chi cua Router, Modern Router
- Dieu kien lam default gateway cho PC:
+ Cung Net, #Host voi he thong
+ Thong mang voi PC.
+ co kha nang Router, share internet (NAT)
* DNS Services:
- Dich vu ho tro quan ly va phan giai nhung ten mien (domain name va IP)
- Ten de nho', IP kho' nho'. Nên dùng tên đại diện cho IP.
- DNS Server: máy cài DNS Services. Máy phân giải địa chỉ.
Prefer DNS: chính
ALT DNS: phụ
=> phụ dc sử dụng khi mất tín hiệu với thằng chính, nghĩa là ko kết nối được.
Prefer DNS, ALT DNS => Nơi khai báo địa chỉ máy DNS server => hỗ trợ PC phân giải
tên - IP.
- DNS server thông dụng:
+ Tự cài DNS server
+ DNS Server của ISP.
+ Địa chỉ của Router, modern, Wifi.
+ Open DNS server
DHCP dịch vụ cấp địa chỉ IP động
command: nslookup lenh truc tiep truy van ten va ip.
IP: đại diện liện lạc.
SM: phân biệt Net và Host. (máy cần liên lạc là cùng net hay khác net)
GW: hỗ trợ liên lạc địa chỉ khác net
DNS: hỗ trợ phân giải tên và IP
thiết bị draytek
* Class IP
- Quản lý IPv4 => phân thành 5 lớp (Class).


- Dựa vào số đầu tiên của IP để xác định lớp
Số. Số. Số. Số
- Phạm vị lớp:
1 -> 126 : class A
128 -> 191: class B
192 -> 223: class C
224 -> 239: Class D => dùng triển khai Multicast
240 -> 255: Class E => dùng nghiên cứu, dự phòng
- Số 0: không sử dụng cho trường hợp bình thường.
0.0.0.0 : default Route


- Số 127: địa chỉ đại diện cho chính máy tính. Gọi là local host hoặc loopback
- Lớp A, B, C sử dụng phổ biến.
- Unicast: 1-1
- Multicast: 1 - Group
- Broadcast: 1 - ALL
192.168.2.0: Min
192.168.2.255:MAX: Broadcast: dùng DHCP để broadcast ra tìm server. IP Max of
Network => BroadCast NetWork
Subnet Mask Default (Hiểu ngầm)
+ Class A: 255.0.0.0/8
+ Class B: 255.255.0.0/16
+ Class C: 255.255.255.0/24
=> Có thể sử dụng khác Default: + Tăng SM : Chia subnet: Tăng Net, giảm Host
+ Giảm SM: supernet: Giảm Net, tăng Host
* IP Public, IP Private
- Thiết bị liên lạc mạng => tối thiểu 1 IP (1 card mạng)
- Thiết bị tăng liên tục, IP chỉ sử dụng trong phạm vi 3 lớp A,B,C
=> Thiếu IP

- Giải pháp : tách IP của 3 lớp A, B, C làm 2 phần
+ IP Public: sử dụng WAN: internet
+ IP Private: sử dụng LAN
- Liên lạc thông qua:
+ LAN - LAN: IP Private
+ WAN - WAN: IP Public
+ WAN - LAN: dùng cơ chế NAT hỗ trợ
- IP Private:
+ Nội bộ
+ Có thể trùng
+ Do admin hệ thống quản lý
+ Miễn phí
+ Phạm vi Class A: 10.x.x.x.
....đến
Class B: 172.16.x.x
....đến
172.31.x.x
Class C: 192.168.x.x
- IP Public:
+ internet
+ duy nhất
+ Do ISP tổ chức quốc tế quản lý
+ phải đăng ký và tốn phí
+ Phạm vi: thuộc 3 lớp
A,B,C khác IP Private


web: canyouseeme.org
Phân biệt: Net, Host, Broadcast, Class, Public/Private
ví dụ:

+ 203.162.4.37/16: Net: 203.162, Host: 4.37, Broadcast: 255.255, class: C, Public
+ 172.30.83.216/24: Net: 172.30.83, Host: 216, Broadcast: 255, class B, Private
+ 192.163.83.76/8:
+ 108.37.0.32/24
+ 239.67.38.201/24: Class D, ko có Pub/Pri
+ 78.206.0.201/8

Local Users And Groups
* Local:
- Khái niệm đơn, cục bộ, độc lập, 1 đối tượng
- Local computer: 1 máy đơn, dữ liệu độc lập.
Gồm các local Objects (local users, local groups, local policy, local admin, ...)
* Local users:
- Sử dụng window => đăng nhập 1 tài khoản người dùng (user account)
- User Acc gồm:
+ username: tên đăng nhập => phân biệt đối tượng
+ Password: mật khẩu => bảo mật
- Local users: 1 tài khoản người dùng lưu trữ thông tin và hoạt động trên 1 máy tính
- Cửa sổ quản lý user và group trên window là
+ local users and groups: Win 7
+ Win 8: server manager
command: lusrmgr.msc : local users and group
- Trên window luôn tồn tại 2 tài khoản
+ Administrator : tài khoản quản trị, rất quan trọng, có quyền cao nhất
+ Guest: tài khoản khách, chỉ sử dụng và có ảnh hưởng đến dịch vụ hệ thống,=> ko nên
sử dụng và thường disable.
command: secpol.msc : local security policy
- Custom users: các Users dc admin hế thống tạo thêm => sử dụng. Còn gọi là Users
thường.
- Mục đích tạo custom users:

+ Ko muốn nhân viên sử dụng tài khoản Admin
+ Nhiều users sử dụng trên 1 PC, mỗi Users có 1 môi trường (Profile) và quyền sử dụng
dữ liệu # nhau => dễ quản lý.
- Tắt password phức tập
Run: Secpol -> account policies -> password policy -> Password must meet complexity
-> disable
---Ngay 07/05/2016


- Change Password: đổi mật khẩu, user tự thực hiện. User logon vào window => nhấn
Ctrl + Alt + Delete => change password
Khai mật khẩu hiện tại
Khai mật khẩu mới
- Set password: Admin thiết lập mật khẩu mới cho user. Không cần mật khẩu hiện tại.
Lưu ý: không tuỳ tiện thực hiện khi chưa có yêu cầu từ users. Có thể mất dữ liệu của
Users
compress: file nén: xanh dương
encrypt: file mã hóa: xanh lá
- Swith user : chuyển sang user khác sử dụng, user hiện tại, vẫn đang logon.
- Log off: Thoát, tắt hết tất cả ứng dụng đang mở.
- Đang nhập tự động: Vào Run gõ control userpasswords2.
safe mode: + gỡ driver có vấn đề
+ enable user admin bị disable.
+ Quét virus
+ last known good configuration: bản mới đăng nhập trước đó
* Local Groups:
- Groups: nhóm, chứa users, users là thành viên của Group => Group có quyền gì User sẽ
được quyền tương ứng.
- Mục đích: quản lý tập trung => nhanh, gọn.
Rights: quyền liên quan hệ thống.

permission: quyền dữ liệu.
- Users có thể là thành viên của nhiều Group
- Default Group là các group có sẵn. Nó chứa các user liên quan đến hoạt động của hệ
thống.
Ví dụ + Group Administrator chứa các user quản trị Window.
+ Group User chứa tất cả user.
+ Group Backup Operator chưa các user được quyền back up dữ liệu Window.
- Custom Groups: Group được Admin tạo thêm, mục đích chứa User theo nhóm dựa trên
nhu cầu của Admin.
- Custom Group thường tạo theo phòng ban hoặc vị trí địa lý.
Ví dụ Group Kế toán chưa user phòng kế toán.

Local Policy - Local Security Policy
* Policy:
- Là chính sách về bảo mật trên window. Nó hỗ trợ admin quản lý hoạt động của user trên
window.
- Nó là thành phần được trích từ Registry.
- Local policy là policy hoạt động và ảnh hưởng trên 1 máy tính.
- Ảnh hưởng cuối cùng của policy là đến user account.
- Có 2 phần quản lý:
+ Computer configuration là policy tác động đến computer account


+ User Configuration: Policy tác động đến User Acc.
- Cửa sổ quản lý Policy.
Cách 1: Run => gpedit.msc
Cách 2: Run => MMC => File => Add/Remove Snap in
* policy cho ALL Users va Computer (ko có chọn lọc)
* Non - Administrators: Tác động user thường
* Administrators: tác động Group Admin.

* User => từng User
- Chọn Policy muốn làm:
* Not Configuration (Default)
* Enable => Sử dụng
* Disable => Sử dụng
- Test cập nhật Policy
+ Ngay lập tức cập nhật.
+ Gõ lệnh gpupdate /force
+ Log off => Log on
+ Restart
--Ngày 10/05/2016
* tiếp tục Local Security Policy
- Thành phần được trích ra từ Local policy
- Can thiệp vào rất nhiều các hoạt động trên hệ thống máy tính => rất cần thiết.
- Mở Local Security Policy: secpol.msc. Nếu dùng gpedit.msc thì vào Computer
configuration => Window setting => Security Setting
- Audit policy => ghi sự kiện
- Trong User Right Assginment: nếu 1 group hoặc user vừa bị Allow vừa Deny thì
window ưu tiên Deny.
- Take ownership: chiếm dụng quyền

NETWORK ACCESS
* Giới thiệu:
- Quản lý việc truy cập dữ liệu qua mạng giữa 2 máy tính.
- Vai trò:
+ Máy A: máy truy cập
+ Máy B: máy nhận truy cập
A ------Network Access------> B
* Vai trò máy A:
- Dùng đường dẫn UNC truy cập đến địa chỉ máy B.

- Đường dẫn UNC có dạng.
Run: \\IP máy B hoặc \\Computer Name B
VD: \\192.168.2.201 hoặc \\pcnn.
- Các trường hợp xảy ra:
+ Vô luôn: Do current User trên máy A trùng với User hợp lệ đang tồn tại trên máy B.
Máy B chứng thực máy A tương ứng với quyền User trùng.


+ Bật hộp thoại: Do current user không trùng. Máy A phải khai báo 1 tài khoản hợp lệ
đang tồn tại trên máy B. Khai tài khoản nào thì được máy B chứng thực với quyền tài
khoản tương ứng.
+ Lỗi, không thành công:
. IP, Firewall, tắt, mất mạng,....
. Virus, phần mềm chống virus, service bị lỗi, user không hợp lệ (sai username và
pass, bị disable, pass trắng, cấm truy cập mạng)
* Vai trò máy B:
- Chứng thực User đăng nhập từ máy A bằng Local User của máy B (hoặc Domain
Users). Tùy theo Users đăng nhập máy B sẽ chứng thực bằng quyền User tương ứng.
- Có 2 cơ chế chứng thực.
+ Classic: chứng thực theo user đăng nhập
.bước 1: chứng thực Current User
.bước 2: chứng thực dựa trên hộp thoại
.bước 3: Lỗi => chứng thực dựa trên Guest
+ Guest only: Luôn luôn chứng thực dựa trên User Guest (ko nên sử dụng).

Share
* Giới thiệu:
- Hình thức chia sẽ dữ liệu qua mạng trên máy tính.
- Máy share dữ liệu: File server, vai trò là máy B.
- Máy truy cập dữ liệu: File Client, vai trò máy A.

- Share Name: là tên của dữ liệu được share trực tiếp.
- Dữ liệu có thể trực tiếp share là: ổ đĩa, folder.
- Tại 1 thời điểm file server hỗ trợ số lượng Client truy cập tối đa.
+ XP: Max 10.
+ Win 7,8,10: Max 20
+ 2k3: Phụ thuộc License (Client Access license: CAL)
+ Win2k8, 2k12: <=> 16,7tr
* Share Permission
- Quản lý quyền của dữ liệu được share
- Chỉ ảnh hưởng quyền đến user log on From network => gọi là đăng nhập qua mạng,
không ảnh hưởng quyền đến user Logon Local (đăng nhập tại chỗ)
- Cửa sổ phân quyền Share: Access Control List (ACL)
- Share có 3 quyền:
+ Full control: tất cả các quyền (đọc, xóa, sửa, tạo, phân quyền)
.quyền sử dụng và quyền quản lý
+ Change: thay đổi: đọc, xóa, sửa, tạo
+ Read: đọc
- Quyền sử dụng: 2 nhóm
+ Cho sử dụng: Add đối tượng vào cửa sổ ACL, sau đó cấp quyền cột Allow
+ Cấm sử dụng:


.Cấm ngầm định: ko Add đối tượng vào cửa sổ ACL. Chỉ sử dụng khi đối tượng
ko có liên quan
.Cấm tường minh: Add đối tượng vào cửa sổ ACL, rồi sau đó cấp quyền cột Deny
và quyền Deny ưu tiên hơn Allow. Được sử dụng khi muốn phủ định quyền Allow của
đối tượng.
VD: phân quyền DataX theo nhu cầu:
- Administrator => cho Full
- Ketoan => cho Change

- Nhansu => cho Read
- Kt1 cấm mở
- Ns1 => cho Full
- Các Users và phòng ban khác => cấm mở
--Ngày 12/05/2016
* Share ẩn:
- Share dữ liệu mà không muốn Client nhìn thấy Share Name.
- Mục đích: chia sẽ dữ liệu bí mật, riêng tư, phục vụ cho 1 nhóm Users.
- Thực hiện: Thêm dấu $ vào sau Share Name.
- Client muốn sử dụng dữ liệu share ẩn => truy cập trực tiếp đến share Name
\\pcxx\cuong$.
* Map Network Drive:
- Lấy Share Name từ file server đem về máy của Client tạo thành ổ đĩa mạng.
- Mục đích hỗ trợ Client tiện sử dụng trên File Server mà ko cần truy cập.
- Có 2 hình thức Map:
+ Dùng giao diện đồ họa:
+ Dùng lệnh: có thể áp dụng vào policy để thực hiện tự động.
Lệnh: + Net view \\192.168.2.28 => xem máy đang share cái gì
+ Net use tên ổ đĩa: \\địa chỉ File Server\ShareName (VD: net use
Y: \\192.168.2.28\Data28)
+ Net use tên ổ đĩa: "\\địa chỉ File Server\ShareName" (VD: net use Y:
"\\192.168.2.28\Data28")
+ Net use * \\địa chỉ File Server\ShareName (dấu * là cho máy tự đặt tên).
+ Net use tên ổ đĩa: "\\địa chỉ File Server\ShareName" /user:tên pass (VD: net use
* \\192.168.2.30\sex /user:administrator P@ssword)
+ Net use tên ổ đĩa: /delete => xóa 1 ổ đĩa Map
+ Net use * /delete => xóa toàn bộ ổ đĩa Map
- Cách tạo câu lệnh tự động áp dụng cho tất cả các user, computer từ policy
=> Tạo file bat => copy các câu lệnh vào
=> .Cách 1: Add đến đường dẫn C:\Windows\System32\GroupPolicy\User\Scripts\Logon

. Cách 2: Vào Run gõ gpedit => User Configuration => Windows Setting => Scripts
(logon/logoff) => double click vào logon => chọn Add => brow => copy file bat, pass
vào đây. Lưu ý: không đưa đường dẫn đến nơi file đang lưu
- Server manager => Roles => File Services => Share and Storage management
+ Default Share: là dữ liệu hệ thống window tự động share. Hỗ trợ cho admin quản lý dữ
liệu từ xa mà ko cần phải đi share


+ Custom share: admin share
VD: Tắt default share => o/2008/08/disable-hiddenadministrative-shares.html

NTFS Permission
* Giới thiệu:
- Bộ quyền quản lý chi tiết dữ liệu lưu trữ trên máy tính.
- Chỉ khả thi trên ổ đĩa được định dạng NTFS.
- Ảnh hưởng đến User logon local và Logon from Network.
- Có 2 nhóm quyền:
+ Standard permission: quyền bình thường, mặc định. Bao gồm Full Control, Modify,
Read and execute, List Folder Contents, Read, Write.
+ Special permission: là chi tiết hóa của bộ quyền Standard. Gồm 13 quyền, chỉ khả thi
khi không sử dụng defualt của Standard Permission.
CREATOR OWNER: Group chủ sở hữu. Khi 1 user thêm file hoặc folder, window sẽ set
quyền owner file này cho user current.
SYSTEM: group quản lý hệ thống
Khi phân quyền NTFS không remove CREATOR OWNER, SYSTEM,
ADMINISTRATOR.
Nếu muốn thay đổi quyền, gỡ quyền của dữ liệu ta phải ngăn quyền thừa kế từ dữ liệu
cha (bỏ dấu check include)
- Muốn quản lý quyền trên dữ liệu nào thì thực hiện trực tiếp trên dữ liệu tương ứng:
- NTFS per: có tính thừa kế quyền (Read, Write, List Folder độc lập)

Standard Per => FullControl => Modify => + Write
+ Full Read: gồm: Read & exe, List Folder,
Read
VD: chỉ có quyền Write, ko có Read: thì kéo thả file vào thư mục, paste vào nhưng ko
biết trong thư mục đó có gì
Read & execute bao gồm list folder và Read => Full Read
Muốn biết trong Write, Read, .. quyền đặc biệt là gì thì vào advanced
VD: thư mục DataX -> Admin/Creator/System
-> Ketoan, nhansu: Read(Full)
->Phim: Ketoan, nhansu: Modify
-> Nhac: ketoan: Full
-> Hinh: nhansu: Full
VD: Cho Folder share kt1, kt2 nhưng file của user nào tạo thì chỉ user đó dc sửa, xóa =>
thì cho quyền Full sau đó vào special permission bỏ 2 check dấu Delete.
- Chỉ có quyền admin có quyền take owner.
* Kết hợp Share và NTFS:
- Share là chia sẽ dữ liệu. NTFS là phân quyền dữ liệu.
- Hỗ trợ Users sử dụng dữ liệu qua mạng, vẫn bị áp đặt quyền quản lý dữ liệu.


- Kết quả cuối cùng khi User truy cập thành công là lấy giao nhau phần chung của 2 bộ
quyền
+ User
+ Quyền
- Để đơn giản trong quản lý quyền người ta thường Share dữ liệu cho everyone:
FullControl, chỉ còn kiểm soát quyền NTFS
* Access Base Enumeration:
Trên File Server User có quyền thì mới nhìn thấy được dữ liệu
--> vào Server Manager => Vào Roles => File Services => Share and Storage => chọn
thư mục Share => property => Advanced => Enable access-base enumeration

--Ngày 14/05/2016
* File Server Resource Manager
Client -----------> DATA
Dung lượng lớn, File ko có nhu cầu sử dụng.
- Quản lý dữ liệu Copy vào File Server
- Hỗ trợ :
+ Quản lý dung lượng của dữ liệu (làm cho thư mục)
+ Quản lý định dạng File
- Triển khai => Add Role Services : File Server Resource Manager
Vào Server Manager => Roles => File Services => click phải chuột Add Role Service =>
check File Server Resource Manager
+ Quota: Giới hạn dung lượng của dữ liệu, cho thư mục. Hard thì lớn hơn cấm, Soft thì
cảnh báo
+ File Screening: Giới hạn type file
* Disk Quota
- Quản lý hạn ngạch dung lương ổ cứng .
- Khả thi khi ổ cứng được định dạng là NTFS
- Giới hạn dung lượng xài của từng User

Domain Network
* Mô hình mạng:
- Triển khai hệ thống mạng
+ Vật lý: mô hình Bus, Ring, Star,...
+ Luận lý: WorkGroup, Domain
- WorkGroup là mạng ngang hàng, các máy tính hoạt động độc lập, đơn giản, phù hợp
cho hệ thống ít máy tính và quy mô nhỏ.
- Domain: là mạng có sự quản lý giữa server và client tất cả dữ liệu tập trung vào Active
Directory (AD).
- Quản lý tập trung => phù hợp cho hệ thống nhiều máy tính và quy mô lớn.
* Domain Network:

- Là 1 hệ thống mạng được triển khai dựa trên Active Directory.


- Nó bao gồm các đối tượng sau:
+ Domain Controller (DC) là máy cài đặt và quản lý AD
máy DC đầu tiên là PDC (Primary)
máy DC thứ hai là ADC
+ Member Domain là các máy tham gia vào hệ thống Domain (Join Domain) và sử dụng
dữ liệu và chịu sự quản lý của AD.
.Member Server: là member đóng vai trò làm máy chủ (ví dụ 1 máy làm web
server, 1 máy làm mail server, ...)
.Member WorkStation: là member đóng vai trò máy trạm.
+ Domain Name: là tên của hệ thống Domain (DNS Name và Netbios Name).
Ví dụ: DomX.local, abc.chao, ... (X là số máy)
DNS Name: Có 255 ký tự và bắt buộc có dấu chấm, dấu chấm ko được nằm trước chuỗi
ký tự, các ký tự được dùng là chữ Hoa, chữ thường, số, dấu gạch giữa, dấu chấm.
Tên miền nội bộ không trùng tên miền internet. Phải phân biệt DNS private và public.
+ Site: phạm vi hoạt động của mạng domain, nói đến vị trí địa lý.
+ Forest: rừng, 1 quy mô phát triển của hệ thống Domain.
+ Child Domain: con Domain của Domain Parent
+ TREE Domain: cây Domain
VD: kết hợp 2 cái TREE là 1 Forest
TREE:
domX.local: domain cha ==> thêm 1 server sao lưu ADC (DC6) cùng thuộc domX.local
(DC1) --> PDC
==> DN.domX.local 1 domain con ở Đà Nằng ==> st.DN.domX.local
(DC2) PDC
(DC4) PDC
==> Ct.domX.local 1 domain con ở Cần thơ (DC3) PDC
Công ty bạn

TREE:
domY.local: domain cha PDC
==>
==>
* Xây dựng Domain Controller:
- DC đầu tiên trong hệ thống gọi là Primary DC, rất quan trọng.
chứng thực Single Sign On: chỉ đăng nhập 1 lần, chứng thực 1 lần
- Điều kiện để nâng cấp Domain Controller
+ Windows Server.
+ Logon Local Administrator
+ Có card mạng, thông mạng, IP tĩnh.
+ Điều kiện trong hệ thống mạng phải tồn tại DNS server
(Có thể cài trực tiếp trên DC trong quá trình nâng cấp)
+ Domain Name phải khác Domain public
VD domX.local
- Thực hiện nâng cấp.


+ B1: chỉnh Refer DNS Server về địa chỉ máy DNS Server
(Chỉnh IP về chính mình nếu cài DNS Services tại máy DC)
+ B2: Vào run gõ dcpromo. Nếu hạ về bình thường thì cũng gõ lệnh này
Fully qualified domain name (FQDN): chủ thể duy nhất tồn tại trong hệ thống tên miền
được xác định từ domain gốc
Root Domain ==> top level domain (.com, .net, .vn)==> secondary Domain
(nhatnghe.com, google.com)==> sub Domain
domain đời cũ 16 ký tự, ko có dấu chấm => Domain NetBIOS Name
- functional level: hỏi về những Forest, domain xài window đời cũ
- Global catalog GC domain: làm nhiệm vụ chứng thực, chứa bảng danh sách rút gọn của
AD. Khi user đăng nhập sẽ thông qua GC chứng thực
+ SYSVOL folder: chỗ lưu policy để sau này đồng bộ trong domain

+ Service Restore Mode Administrator password: đây là nơi thiết lập mật khẩu của
restore mode admin, ko phải là admin đang sử dụng dùng để restore AD, khi có backup
AD
+ Export setting (file .txt): để nâng cấp domain tự động, đặt tên là unattend.txt
- Sau khi nâng cấp domain xong => start => administrative tool => DNS => new Reverse
lookup zone gõ IP đang sử dụng. Nếu có 2 card mạng thì new 2 lần
- Gõ run dsa.msc (ADUC) : Active directory users and computers
- Domain user: có 2 cách logon + Đời cũ: Net Bios Name\tên user : domX/kt1
+ Đời mới: tên user @domain name:
Nếu máy trạm trùng user với user của Domain thì gõ đầy đủ VD: user Administrator
- Domain Policy:=> Group Policy Objects Editor => gpmc.msc
- DNS => gõ DNSmgmt.msc
- Default Domain Controllers Policy: làm riêng cho máy DC
- Default Domain Policy: làm cho hệ thống Domain => chỉnh password đơn giản user
--> cmd -> gpupdate /forece
- Máy DC chỉ có Admi được logon, user ko dc mà chỉ dc logon ở máy trạm.
* Join Domain:
- Tham gia vào hệ thống Domain => chịu sự quản lý và sử dụng dữ liệu AD
- Điều kiện join domain
+ Window ( ko sử dụng non-win 95, 98)
+ Biết domain Name (Full) hệ thống đang sử dụng
+ Có tài khoản Domain Users
+ Thông mạng với DC và DNS Server
- Thực hiện:
+ B1: chỉnh Pre DNS về địa chỉ máy DNS server
+ B2: Tab Computer Name, => change setting => check * Domain: khai báo Domain
Name
--Ngày 17/05/2016.
Pre DNS: 192.168.2.28 --> dùng để khi vào cty sử dụng domain cty
Alter DNS: 8.8.8.8 --> để khi về nhà thì sử dụng internet ở nhà

- công cu quản lý AD từ xa
+ XP, 2K3: cài adminpak.msi


+ Win7, Win8: Remote Server Admnistrative Tools RSAT --> vào control panel --> add
remove program --> Turn window feature on
+ 2K8, 2K12: Add Feature RSAT
* Điều kiện để sử dụng: User có quyền quản lý, quyền Domain Admin
* Domain Users
- Là các user dc tạo trên AD, và nó lưu trữ thông tin trên AD
- Có thể logon trên tất cả các member Domain PC.
- Click phải chuột vào User Kt1 vào property đến Tab Account
-> click vào Log on to (trong đây khai báo cho 2 lựa chọn: cho phép vào tất cả các
computer hoặc dc chọn máy được vào)
* Domain Groups:

Group

Type
- Security
- Distribution

Scope (phạm vi hoạt
động của group) trong - domain local
- multi domain
- Global

- Mixed mode: Raise Domain Functional Level cấp độ hoạt động của Domain
Trên win 2000 là Native Mode
Dưới win 2000 là Mixed Mode

- Muốn thấy tab objec để bỏ check xóa OU thì vào view chọn advance featuree
----Ngày 19/05/2016

Home Folder - User Profile
* Home Folder
- Sử dụng dữ liệu từ file server
- Thư mục cá nhân (nhà) của Users được lưu trữ trên File Server
- Hỗ trợ :
+ Tự động tạo folder tương ứng với tên của User trên File Server
+ Tự động phân quyền Full cho User trên Folder
+ Tự động Map về máy của User khi User logon trên bất kỳ máy tính trên hệ thống.
- Mục đích triển khai Home Folder là người ta muốn mỗi User có dữ liệu lưu trữ cá nhân
trên File Server để Admin quản lý dữ liệu cho an toàn. Admin hành động backup.
- Triển khai Home Folder


+ File Server:
B1: Tạo folder tên là HomeDirs.
B2: Share HomeDirs cho everyone full control
B3: Phân quyền NTFS cho HomeDirs là Remove Group Users
+ ADUC: (dsa) Với quyền User Domain Admins
Properties User tương ứng => Tab Profile => Home Folder
Chọn * Connect Y: To \\địa chỉ File server\Share name\%Username%
Ví dụ \\192.168.2.29\HomeDirs\%Username%
Lưu ý: %Username% là biến môi trường, sau này sử dụng user template.
* User Profile
1.Profile:
- Những dữ liệu cá nhân
- Là nơi lưu trữ thông tin và dữ liệu cá nhân của User.
- Mỗi User logon vào Windows sử dụng thì bắt buộc phải có profile => môi trường làm

việc của User
2.Local User Profile: (Local là chỉ trên 1 máy)
- Profile lưu trữ trên 1 máy tính
- User logon trên máy nào thì máy đó sẽ tạo local user profile tương ứng với user để hỗ
trợ user sử dụng
- Local User Profile dc tạo ra lần đầu khi user logon, từ Profile Default User (vào
organize\Foler And Search Option\View\thêm check cho hiện thư mục ẩn)
3. Roaming Profile:
- Profile lưu trữ trên File Server. Hỗ trợ User sử dụng trên bất kỳ máy tính trong hệ
thống, chỉ sử dụng 1 Profile duy nhất.
- Thực hiện:
+ File Server:
B1: Tạo Folder Profile
B2: Share Folder Profile cho everyone quyền Full. Lưu ý không remove group users
+ AUDC: với quyền Domain Admin
Properties User tương ứng => Tab Profile => User Profile
Profile Path: \\đ/c File Server\ShareName\%username%
ví dụ: \\192.168.2.29\Profiles\%username%
- User dc cấu hình Roaming Profile thì
+ Logon vô máy => sẽ truy cập File Server lấy Profile về sử dụng
+ Logoff ra đưa dữ liệu về lưu lại trên file server
=> Nghẽn băng thông hệ thống.
- Hạn chế cấu hình Roaming Profile hoặc cấu hình Disk Quota, File Resource Manager,
Rename File NtUser.dat -> NtUser.man trong Profile
- User Template : User mẫu. Sau khi triển khai các option cho user mẫu và kiểm tra hoạt
động tốt.
- Các Users sau này muốn tạo => có option giống User template thì đi copy từ User mẫu,
để tránh trường hợp làm sai, làm lộn
Ví dụ: User 1: cấu hình HomeFolder, User 2: cấu hình Roaming Profile, User 3: cấu hình
cả 2.



* OU:
- Đơn vị quản lý được hỗ trợ trên AD
- Mục đích:
+ Xây dựng hệ thống quản lý Users, Group theo vị trí địa lý, phòng ban, ... => cho đơn
giản
+ Dùng triển khai áp đặt Policy theo cấp
+ Dùng ủy quyền cho User khác quản lý OU hỗ trợ admin.
- Nơi tạo OU:
+ Domain Name:
+ Trên OU => Sub OU
- OU Có thể chứa
+ User acc
+ Group Acc
+ Computer Acc
+ ...
* Delegate control
- là ủy quyền quản lý OU cho Users
- Chỉ ảnh hưởng quyền cho User từ OU tương ứng xuống các Sub OU bên trong, không
ảnh hưởng sang OU #
- Mục đích là muốn User hỗ trợ Admin quản lý hệ thống mà ko cấp quyền Admin
- Thường delegate cho User các quyền sau:
+ Quản lý Users
+ Quản lý Groups
+ Quản lý Users và Groups
+ Full Control
- Cách tạo click phải chuột OU chọn delegate control => add user
- Nhưng không tạo dc Policy Domain, muốn có thì vào dsa.msc => vào đòm.local =>
Users => Group Policy Creator Owners => Property => Member => Add => Users

- Cách gỡ bỏ delegate => vào View => advance Feature => click phải chuột OU =>
property => Security => remove User.
--Ngày 21/05/2016

GROUP POLICY MANAGEMENT
- Policy ảnh hưởng trực tiếp trên USER, ko gián tiếp thông qua GROUP, không ảnh
hưởng lên GROUP.
- GPO là Policy hỗ trợ trực tiếp trên OU
- Ảnh hưởng từ OU tương ứng trở xuống, ko ảnh hưởng ngược lên trên (tính thừa kế) và
OU ngang hàng.
*Tạo GPO
*Link GPO
*Tạo GPO Nghịch: Khi muốn phủ định 1 khai báo trong Policy GPO bên trên thì vào
khai báo đổi ngược lại. Nếu là enable thì sửa thành disable, nếu là disable thì sửa thành
enable
*Block Policy Inheritance:


- Chọn OU => click phải chuột chọn Block Inheritance. Miễn nhiềm, ngưng ko cho thừa
kế policy từ trên đưa xuống
*Enforce GPO:
- Ép tất cả phải chạy, dù cho OU con phía dưới đã khai báo Block Policy
*Deny Read Policy:
- User do đọc dc Policy nên bị ảnh hưởng Policy. Để ko bị ảnh hưởng Policy thì deny
read User
- Chọn GPO, cửa sổ bên phải chọn Delegate => Advanced => hiện cửa sổ Security =>
Add User con muốn Deny => Chọn Deny Read.
*Chỉnh Order Policy:
- Chọn OU => bên cửa sổ bên phải => tab Linked Group Policy Objects => dùng mũi tên
lên xuống để sắp xếp Link Order các GPO, ở trên thì ưu tiên hơn ở dưới.

*Xem Setting GPO
*Security Filtering
- Lọc lại đối tượng bị ảnh hưởng Policy
- Chọn GPO => cửa sổ bên phải chọn tab Scope => Tìm Security Filering => Remove
Anthenticate User => add user cần bị ảnh hưởng.
*Modeling Wizard
- Xem 1 OU đã bị bao nhiêu Policy ảnh hưởng
- Dưới Forest => Group policy Modeling => click phải chuột chọn Group Policy
Modeling Wizard
*Disable 1 phần của GPO
*Khảo sát nơi chứa GPO
* Level Item Targetting
- Là Triển khai Policy có điều kiện ảnh hưởng đến đối tượng WMI Filter
- Máy nào thỏa điều kiện thì apply policy
- Chọn GPO => Edit => User Configuration => Prefenrence => Control Panel Setting =>
Folder Option => New => Folder Option => Finish => click phải chuột cái vừa tạo xong
=> chọn Property => Tab Common => check Item level targeting => chọn nút Targeting
=> New item => Users => click dấu 3 chấm => chọn user => ok.
* Deploy Software:
- Tự động cài phần mềm dựa theo GPO cho computer hoặc cho User
- Đuôi file deploy là MSI
- phần mềm Winstle để tạo phần mềm đuôi .msi
- Thông dụng là computer, đặc biệt là User
- Thư mục chứa phần mềm share full.
- Khi Deloy cho Computer thì trong OU phải có Computer
- Khi Deloy cho User thì trong OU phải có User
- Lưu ý đường dẫn cho file cài là: \\Tên máy share\thư mục share\Tên file cài.msi
+ Published: nó không cài trực tiếp liền, user sẻ chủ động cài, Deploy cho computer cái
này sẽ mờ
+ Assigned: vô là cài luôn, ko hỏi

+ Advanced: custom những gì cần cài trong office, và cài Key tự động. Chọn cái này thì
nút add trong Modifications mới hiện.
* Quy trình ảnh hưởng Policy


+ Computer Policy: Từ lúc khởi động đến màn hình control + alt + delete => các Policy
apply cho Computer Acc đã tác động (nếu có)
+ Khi User Logon => Policy User apply cho User (nếu có).
- Các thứ tự ảnh hưởng Policy
1/ Site Policy
2/ Domain Policy
3/ Domain controller Policy/Local policy. Trên máy trạm bị kiểm tra cả 2 Domain và
Local
4/ OU Policy
5/ Sub OU Policy
- Nơi lưu trữ gốc Policy của OU là Group Policy Objects
- Group Policy Objects là nơi tạo sẵn Policy, để sau này phân phối lại Policy
--Ngày 24/05/2016
* Folder Redirection:
- Roaming Profile là đem toàn bộ Profile lên server.
- Còn Folder Redirection chỉ lấy các thư mục trong Profile, chỉ lấy những cái gì cần thì
mới đem lên Server, chỉ lấy dữ liệu quan trọng, để hạn chế chiếm dụng đường truyền.
- Dựa vào GPO để áp xuống user.
- Tái định hướng vị trí lưu trữ các thư mục. Trong Profile User đưa lên File Server.
- Triển khai dựa trên GPO. Tự động tác động đến User khi Logon.
- User Logon trên bất kỳ máy tính trong hệ thống thì đều sử dụng Fold Redirection trên
File Server.
- Triển khai:
+ File Server:
B1: Tạo thư mục RD

B2: Share cho Everyone = Full
+ Trên AD: logon bằng Domain Admin
B1: Mở gpmc.msc
B2: New GPO trên OU tương ứng
B3: Edit GPO => mở user config => Policies => Window setting => Folder Redirection
=> phải chuột vào "My Document" => chọn Property
* Scrip Policy:
- Áp dụng các File Script đưa vào GPO => triển khai các đoạn Script tự động cho User
Acc và Computer Acc
Ví dụ: Tạo file .bat nội dung là net use K: \\192.168.2.29\DATA29. Sau đó gpupdate
/fore
- Script:
+ Computer:
1.Shutdown
2.Startup
+ User:
1.Logon
2.Logoff
* Audit Policy:
- Các Policy ghi nhận các sự kiện trên hệ thống Windows


- Hỗ trợ các Administrator theo dõi các sự kiện trên hệ thống windows.
- Cửa sổ Event Viewer => Hỗ trợ xem các thông tin được Audit
- Policy Audit:
+ Local Computer: Local Policy (gpedit.msc)
+ Domain Controller: Default Domain Controller Policy (gpmc.msc)
- Trạng thái của Policy Audit
+ Not Defined là mặc định của Windows
+ No Audit là ko ghi nhận

+ Success là ghi sự kiện thành công.
+ Failure là ghi sự kiện thất bại
- VD: + ghi nhận đăng nhập Domain user trái phép => DC Policy
+ ghi nhận trên File Sever
. File Server là làm trực tiếp Policy của File Server. Máy File Server có thể
ko phải DC. File Server là máy nào thì làm policy trên máy đó.
P1: thực hiện Policy Audit => Audit Object Access
P2: làm trực tiếp trên Folder đang share. Dữ liệu cần Audit
--Ngày 26/05/2016

Security Template
- Các mẫu về Local Security Policy được Windows tích hợp sẵn.
- Hỗ trợ sử dụng trên Windows khi có các nhu cầu liên quan đến hệ thống và người quản
trị.
- Vào ổ C:\Windows\INF tìm file (Đây là những template mẫu)
+ defltbase: căn bản, chưa lên server thì local xài cái này
+ defltdc: khi nâng lên domain
+ defltsv: khi là server
- Sử dụng Security Template
+ Security Configuration and Analysis trong mmc => để so sánh templat0065
+ Security Template trong mmc : để cấu hình policy
B1: add 2 công cụ vào MMC
=> ctrl run => mmc => menu file => add/remove snap-in => add 2 cái này.
B2: Bung va Click phải Security Template => chọn new template search path => chọn
thư mục đã copy 3 file template ở trên vào, nơi đang chứa Template ( đang còn zin)
Copy cái template muốn sử dụng thành 1 template mới => chỉnh sửa theo yêu cầu
B3: Đưa template vào database. So sánh Template và hiện tại
+ Hợp lý => đưa vào máy sử dụng
+ ko hợp lý => chỉnh sửa lại => sau đó đưa vào máy
- Click phải chuột Security Configuration and Analysis => chọn open database => gõ đại

cái tên, ko thay đổi đường dẫn => ok => chọn file template trong thư mục lưu template

Remote Desktop Services
* Giới thiệu:
- Là dịch vụ hỗ trợ điều khiển màn hình máy tính khác từ xa thông qua môi trường mạng.


- Hỗ trợ 2 môi trường
+ Lan
+ Wan
- Protocol của Remote Destop: RDP - Port 3389
- Triển khai :
+ RDP Server: máy hỗ trợ Remote
+ RDP Client: máy thực hiện remote
* RDP Server:
+ Windows 2000 trờ về sau.
+ Tắt Firewall.
+ User muốn Remote phải thuộc Group Remote Desktop User
N-Computing : thiết bị chỉ thể hiện màn hình, ko có ổ cứng, đại diện 1 máy tính cho nhân
viên. (2 triệu)
- 1 số phần mềm remote bên thứ 3: ammy, remotedestopmanager
+ User phải có thể dùng pass trắng
+ Nếu RDP server là máy DC => muốn User thường được Remote vào => ta phải add
user và Policy: Allow log on through Remote Deskop Services
=> vào Default Domain Controllers Policy => Edit => Computer configuration =>
Policis => Window setting => security setting => Local Policis => User Right
Assignment => Allow log on through Remote Desktop Service => add user
- Thực hiện:
+ Computer Properties => remote Settings => chọn allow connection only from computer
running => Select User => hỗ trợ bất kỳ HDH, Network Level Authentication

- Đặc điểm:
+ Chứng thực User trước => cho logon vào remote
+ mstsc.msc => mở remote destop
+ 1 thời điềm chỉ 1 user sử dụng
+ Hỗ trợ tối đa 2 Session (default)
+ 1 thời điểm, 1 tài khoản xài nhiều session => vào default Domain Controller policy =>
computer configuration => polices => Administrative template => Window component
=> remote desktop serivece => remote destop session host => connections => retrist
remote destop service user to a single remote destop => chọn disable
+ Trạng thái sử dụng => active
+ trạng thái thoát khỏi session:
.Disconnect: tạm thoát phiên làm việc vẫn hoạt động => kết nối lại => như ban
đầu.
.Log off: thoát hoàn toàn
* RDP Client:
- Điều kiện:
+ có cộng cụ hỗ trợ Remote Destop (windows: remote Desktop Connection - mstsc)
+ Biết địa chỉ của Remote desktop Server.
+ Khai báo tài khoản được quyền Remote
- Có quá nhiều Server, cần 1 công cụ quản lý nhiều remote server
=> vào mmc => chọn add/remove snap-in => chọn remote desktop (chỉ có 2 chữ) => add
* Remote Web Access


* Remote Application: chỉ Remote phần mềm, Remote 1 phần của Client về xài
Remoteapp manager.
- https://d/c IP/RDweb
Vào Config IE ESC off
--Ngày 28/05/2016
Cài Virtual PC => phần mềm máy ảo

- Giả lập 1 máy tính như thật
- Tạo máy ảo (File *.vmc)
+ Ram (memory)
+ HDD (File *.vhd)
- Cài HDH cho máy ảo
+ Đĩa Source Windows
+ File *.iso chưa Source Windows
- Cài virtual PC
- Tạo máy ảo lấy HDD windows2k8.vhd sử dụng
- Khởi động máy ảo:
+ Đổi computer name MA: mayaoxx => khởi động
+ chỉnh IP cho máy ảo
TP: 192.168.2.100+X/24
GW: 192.168.2.200
DNS: 192.168.2.X
Ping 192.168.2.x => reply
- Join Domain vào máy thật domX.loca
- Khởi động máy ảo logon Domain Admin
- Tạo OU: ketoan => kt1, kt2, group kt
=> ketoancon (OU)
=>ktc1,ktc2, group ktc
=>ketoanchay (OU)
=> ktch1, ktch2, group ktch
OU:nhansu => ns1, ns2, group: ns
- Mở C:\tạo cây thư mục
DataX
=> Chung
=> Ketoan
=>ketoancon
=>ketoanchau

=> Nhansu
- Phân quyền NTFS
+ Tất cả Users mở DataX với quyền Read (Full)
+ Thư mục Chung: cho group ke, ktc,ns => Modify
+ Thư mục ketoan: cho kt => Full, ktc và ktch => Read (F)
=>ketoancon: cho ktc => Full, ktch => Read(F)
=>ketoanchau: cho ktch =>Full
+ thư mục Nhansu: cho group ns => Full


+ Phân quyền trên thư mục Chung sao cho tất cả Users ko dc xóa dữ liệu cho Users # tạo
ra . Chỉ xóa dc dữ liệu do chính mình tạo ra => vào special permission bỏ dấu check
delete
+ cấm kt1 mở thư mục ketoanchau
- Share thư mục DataX sao cho các Users truy cập qua mạng vẫn giữ nguyên bộ quyền
NTFS (Test : Trên máy ảo logon từng Users truy cập Networdk Access qua máy thật +>
kiểm tra quyền) => vào server manager => role => file service => chọn thư mục share
datax => vào property => advance => check enable access-based enumeration
- Dùng Script Policy => Map tự động ổ đĩa K: cho tất cả Users sử dụng thư mục DataX
- Cấu hình Home Folder cho User kt1, kt2
- Cấu hình Roaming Profile cho User ns1, ns2
- Delegate cho User kt1 dc quyền quản lý OU ketoan => Full control
- Delegate cho User ns1 dc quyền quản lý OU nhansu => Users và Groups
- Cấu hình trên DataX sao cho User ko có quyền NTFS sẽ ko thấy dc thư mục
- Cấu hình thư mục DataX sao cho User ko copy File *.exe vào dc. Và giới hạn dung
lượng cho Users sử dụng tối đa 5GB
- Triển khai GPO trên các OU sau
+ Cấm OU ketoan mở internet explorer
+ cấm OU ketoancon mở control panel
+ Cấu hình sao cho OU ketoanchau ko bị ảnh hưởng bất kì Policy nào từ OU ketoan và

OU ketoancon
+ cấu hình sao cho Policy cấm mở IE vẫn ảnh hưởng đến OU ketoanchau (Ép nó)
+ cấu hình sao cho ktch1 ko bị ảnh hưởng GPO cấm mở IE (Deny read)
+ Deploy phần mềm Adobe cho User nhansu
+ Deploy office2k3 cho MayApXX
+ Cấu hình Folder Redirection thư mục Desktop và MyDocument cho tất cả User kế toán
- Cấu hình Audit Policy trên thư mục Data ghi nhận các đối tượng xóa và sửa dữ liệu
thành công
- Cấu hình Audit Policy ghi nhận việc User Domain Logon ko thành công trong hệ thống
- Enable Remote Desktop trên máy DC
- cấu hình sao cho User Remote dc qua web
--Ngày 31/05/2016

Distributed File System DFS
* Giới thiệu:
- Dịch vụ hỗ trợ trên Windows Server nhằm mục đích triển khai đồng bộ dữ liệu giữa các
File Server
(Khái niệm lớn hơn: Clustering: nhiều server sử dụng chung 1 dữ liệu, cân bằng tải, chịu
lỗi, đồng bộ dữ liệu, các máy server cùng sử dụng chung 1 dữ liệu trong SAN)
(Load balancing: cân bằng tải, chịu lỗi)
- Mục đích:
+ Hỗ trợ cân bằng tải trong việc truy cập dữ liệu
+ Chịu lỗi
+ Đồng bộ dữ liệu
- Triển khai trên mô hình:


+ WorkGroup
+ Domain.
- Các File Server tham gia DFS

+ Window Server
+ Cài Role Services DFS
+ User quản lý DFS phải có quyền Admin trên tất cả File Server.
- Name Space: không gian tên hoạt động trên DFS và hỗ trợ Client truy cập. Khai báo các
DFS Server tham gia vào Name Space
- Replication Group: nhóm đồng bộ dữ liệu trong Name Space. Chỉ định Folder được
đồng bộ giữa các DFS Server
Ví dụ:
DomX.local
NS: DataX => đại diện dữ liệu đồng bộ.
RG: abc => đây là dữ liệu đồng bộ.
* Lab DFS:
B1: Cài DFS Role Services trong File Server
Thực hiện: vào Server Management => Role => Phải chuột chọn File Service => chọn
DFS
B2: Cấu hình Name Space (1 server thực hiện)
B3: Add Server vào Namespace
B4: Tạo Replication Group và chỉ định Folder sẽ dc đồng bộ
B5: Public Replication Folder
B6: Vào service.msc => restart 2 Service: DFS Namespace và DFS Replication.

Print Services
* Giới thiệu:
- Quản lý dịch vụ in ấn trong hệ thống mạng.
- Khái niệm:
+ Print devices (Physical Devices): máy in vật lý.
+ Printer (Logical Devices): máy in luận lý
+ Local Printer: hình thức kết nối trực tiếp từ máy tính đến máy in. Kết nối: USB, COM,
LPT, LAN.
+ NetWork Printer: là máy tính kết nối với máy in thông qua Print Server.

+ Print Server là máy quản lý và chia sẽ Local Printer.
+ Print Client: là máy sử dụng Printer từ Print Server.
- Phân loại máy in:
+ Máy in phun
+ Máy in kim
+ Máy in laser.
* Cài Local Printer:
- B1: kết nối máy tính với máy in (cổng USB, Com, LPT), Printer (Lan): chỉnh IP cho
máy in.
+ Bảng điện tử.
+ Web/Software.


- B2: Cài driver
Printer Lan: tạo port TCP/IP tương ứng với IP máy in => cài Driver.
hoặc cài driver + tool của máy in
* Share Printer:
* Map Printer:
* Additional Driver: tích hợp sẵn driver khác phiên bản Window, hỗ trợ Client ko cần cài
driver trực tiếp trên máy
* Printer Priority:
- xét độ ưu tiên sư dụng job in
- thực hiện: tạo nhiều printer luận lý dựa trên 1 device (port). Vào properties máy in
tương ứng => tab advanced dùng Priority => định số : Min 1 => Max 99. Máy nào số cao
thì ưu tiên trước
- Share và phân quyền sử dụng máy in.
+ Tab Security
.Print: in
.Manage Document: quản lý job in.
.Manage Printer: quản lý máy in.

--Ngày 02/06/2016
* Cài Local Printer
- Com, Usb, LPT: kết nối vào PC => Cài Driver
- Lan (TCP/IP); Đặt IP cho Printer => máy tính thiết lập Port TCP/IP tương ứng với IP
=> cài Driver
* Map Network Printer
- Print Client Network Access tối Print Server Connect Printer muốn sử dụng về máy
- Client cài Driver trực tiếp hoặc được hỗ trợ Driver từ Print Server (Additional Driver)
* Security Printer
- Phân quyền sử dụng máy in
- Quyền của Print Services:
+ Print: in
+ Manage Document: quản lý Job in
+ Manage Printer: quản lý máy in
- Add đối tượng vào cửa sổ ACL => phân quyền cột Allow => cho sử dụng
- Ko add đối tượng hoặc add đối tượng vào ACL => phân quyền cột Deny => ko cho sử
dụng
* Print Priority:
- Độ ưu tiên khi nhiều Users sử dụng chung 1 Printer
- Trên mỗi Printer ta thiết lập Priority khác nhau. Giá trị Priority từ 1 -> 99. Giá trị càng
cao càng ưu tiên
- Thực hiện:
B1: Tạo Logical Printer dựa trên 1 Printer Devices
B2: Thực hiện tương tự B1 tạo Logical Print thứ n
(n: phụ thuộc số lượng nhóm User sử dụng)
Lưu ý: chọn Port tương ứng 1 Print Device
B3: Phân quyền cho nhóm Users được sử dụng trên từng Logical Printer (Tab Security)


B4: Set Priority cho từng Logical Printer tùy theo độ ưu tiên của nhóm User (Tab

advanced)
B5: Share tất cả Logical Print mình thiết lập ở các bước trên
B6: Client thuộc từng nhóm User truy cập đến Print Server Map Printer về sử dụng.
* Printer Spooling
- Triển khai Load Balancing sử dụng máy in
- Nhiều máy in vật lý kết hợp tạo thành 1 máy in luận lý. Khi Client in máy in luận lý
tương ứng => job in sẽ xuất ra 1 trong các máy in vật lý
- Điều kiện:
+ Đặt 1 vị trí.
+ Cùng nhà sản xuất
- Thực hiện:
B1: Cài logical Printer tương ứng với Print Device
B2: Thực hiện tương tự B1 => cài n lần (n: Print Devices)
B3: Property 1 local Printer trong số n Printer
B4: Share 1 Logical Printer trong số n Printer
B5: Client Connect tới Server Map máy in tương ứng về
* Available Printer:
- Định thời gian hoạt động của Printer
- Mục đích
+ Hỗ trợ Client in dữ liệu nhiều nhưng ko cần sử dụng gấp.
- Thực hiện:
B1: làm tương tự Print Priority (tạo 1 máy in luận lý thêm dựa trên 1 máy in vật lý)
B2: định thời gian hoạt động của máy in tương ứng
B3: Client Map về
* Pool Folder:
- Chuyển vị trí lưu trữ job in trên Print Server để chống phân mãnh ổ cứng chứa hệ điều
hành
* Deploy Printer
- Triển khai Policy Map máy in tự động xuống Client
B1: vào server manager => Role => add Role => check chọn Print and document

Service . Sau khi cài xong => start => administrative tool => print management
Windows Server Backup
* Giới thiệu:
- Dịch vụ hỗ trợ trên Windows 2k8 phục vụ nhu cầu Backup và Restore dữ liệu lưu trữ
trên Windows
Ví dụ phần mềm bên thứ 3: data protection manager, tivoli, ...
- Yêu cầu khi lưu trữ backup:
+ Partition khác
+ Volume khác (HDD vật lý khác)
+ External Volume
+ Vị trí địa lý khác
( nên lưu trữ ít nhất 2 vị trí)
- Windows Server Backup hỗ trợ:


+ Backup và Restore Data: dữ liệu File
+ Backup và Restore System State: Hệ thống Windows
+ Backup và Restore Volume: Toàn bộ 1 ổ đĩa
+ Lập lịch định kỳ Backup (Daily)
- Cài Feature Windows Server Backup => sử dụng
* Backup/Restore Data
Lưu ý: khi thay đổi password User đặt lịch thì phải vào lịch đổi lại password tương ứng,
tốt nhất tạo 1 user chuyên về lập lịch và backup
* Backup/Restore System State
- System State: dữ liệu hệ thống của Windows
(Bao gồm các Users/Groups, AD Database, SysVol, ... trên Windows)
- System State: rất quan trọng (AD Database quan trọng nhất).
- Restore System State của AD
+ Phải vào giao diện Active Directory Service Restore Mode bằng quyền Restore Mode
Admin lúc nâng cấp DC (F8 lúc khởi động vào window)

+ Có 2 chế độ Restore
.None-Authoritative: thường sử dụng sau khi Restore dữ liệu trên DC tương ứng
sẽ dc phục hồi ở trạng thái lúc backup. Nếu hệ thống có nhiều DC thì dữ liệu các DC
khác sẽ cập nhật vào DC hiện tại đang restore
=> sử dụng khi muốn phục hồi dữ liệu AD trên DC muốn restore (về hệ thống, HDH,...)
=> tham khảo đường dẫn />Sau khi restore xong gõ ntdsutil
Activate instance ntds,
"cn="
.Authoritative: Khi muốn Restore 1 object từ DC restore cập nhật qua các DC còn
lại => sử dụng trong tình huống muốn giữ lại dữ liệu gốc trên DC restore. Phải thực hiện
chỉ định đối tượng muốn giữ lại.
Lưu ý:
+ Sau khi backup những file dc thêm mới hoặc sửa thì sẽ biến mất thuộc tính A
(archiving) => nếu chọn backup incremental.
+ Còn full backup thì sao lưu lại tất cả.
---Ngày 04/06/2016

Quản lý đĩa cứng
Lệnh vào xem diskmgmt.msc
*Giới thiệu:
- Khái niệm đĩa cứng:
+ Physical Disk: đĩa cứng vật lý
+ Logical Disk: đĩa cứng luận lý
Mối quan hệ 1 - nhiều.
1 vật lý => chia => nhiều luận lý
nhiều vật lý => gom => 1 luận lý => làm Raid => chia 2 nhóm => Sofware: hư HDH thì
hư toàn bộ


=>Hardware => dùng thiết

bị Raid
controller
(card Raid,
gắn vào mainboard). Ổ cứng lưu trữ thông tin Raid, chứ ko lưu trên card Raid. => hư 1 ổ
cứng thì hư hết.
- Trên window nhận dạng ố cứng:
+ Basic Disk: Default
+ Dynamic Disk: convert từ Basic
- 1 đĩa cứng luận lý muốn lưu trữ dữ liệu => Format
Legacy => 1M BIOS => MBR => 4
UEFI => 16M BIOS => GPT => 128
=> ổ cứng và usb phải chuyển về cái tương đương để cài window
- Trên Windows hỗ trợ 2 định dạng:
+ Fat32
+ NTFS
* Basic Disk:
- Hỗ trợ tối đa 4 partition
- Có 2 loại partition
+ Primary: Boot dc, set active, Max 4 Primary => 4 đĩa luận lý
+ Extended: ko Boot, Max 1. Tạo Ext chỉ có vùng trống dc quy hoạch, phải tạo Logical
trong Ext, ko hạn chế số lượng Logical dc tạo
* Dynamic Disk: Hỗ trợ làm Raid => click vào ổ basic để chọn convert qua Dynamic
- Gọi các phân vùng là volume => có 5 loại volumne
+ Simple
+ Spanned
+ Striped (Raid-0)
+ Mirror (Raid-1)
+ Raid 5
- Khái niệm:
a/ Cấu tạo:

b/ Dung lượng tổng
c/ Đọc
d/ Ghi
e/ Tốc độ
f/ Khả năng chịu lỗi
g/ Ứng dụng
n/ Số lượng:
n: số lượng HDD vật lý
1. Simple:
- Trung gian nhận dạng các ổ đĩa luận lý khi dc chuyển từ basic sang dynamic
- Không hỗ trợ các khả năng đặc biệt
- Có hỗ trợ Extended dung lượng => tăng vùng lưu trữ
- Chỉ hỗ trợ trên 1 HDD vật lý
2. Spanned:
a/ n HDD vật lý (n >= 2) phải từ 2 ổ cứng vật lý trở lên
b/Dung lượng tổng = tổng dung lượng thành phần: mỗi HDD vật lý hùn lại


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×