QUẢN TRỊ MẠNG LAN: SERVER VÀ PC
BÀI TẬP NHÓM PHẦN DOMAIN
Lớp: CN13
Nhóm: 6
Võ Nhật :1319670077
Trương Minh Nhật: 1319670076
Nguyễn Thị Yến Nhi: 1351030044
Nguyễn Phúc Vĩnh San:
Nguyễn Tấn Sang
I. Xác định các tác vụ cần thực hiện:
1. Dựng domain controller với domain là ABC.com:
1.1 Set IP tĩnh cho máy chủ.
1.2 Cài đặt Active Directory.
1.3 Join máy client vào máy chủ.
1.4 Cài đặt công cụ quản trị Server trên client
2. Tạo các OU, User, Group, phân quyền đối tượng
2.1 Tạo các OU tương ứng với các phòng ban
2.2 Tạo tài khoản người dung trong các OU
2.3 Tạo tài khoản nhóm
2.4 Gán tài khoản người dung vào nhóm
2.5 Ủy quyền cho các đối tượng trong OU (Quyền reset password cho
trưởng phòng)
3. Xây dựng hệ thống data và phân quyền truy cập cho từng Group và
user
3.1 Xây dựng hệ thống data
3.2 Share folder
3.3 Phân quyền NTFS
4. Cấu hình profile cho user
4.1 Tạo Roaming profile
4.2 Ánh xạ ổ đĩa cho thư mục cá nhân về máy tính cá nhân

4.3 Đồng bộ dữ liệu cá nhân lên máy chủ
5. Cài đặt Group Policy
5.1 Cấm control panel
5.2 Cấm Regedit
5.3 Cấm USB
5.4 Cài đặt phần mềm tự động từ máy chủ xuống client
5.5 Chính sách bảo mật mật khẩu user
5.6 Cấm sử dụng wordpad
6. Cài đặt backup domain controller (Máy chủ dự phòng đảm bảo
server hoạt động 24/7)
6.1 Triển khai Additional Domain Controller
6.2 Kiểm tra cấu hình máy chủ
II. Thực hiện từng tác vụ cụ thể
1. Dựng domain controller với domain là ABC.com.vn:
1.1 Set IP static cho máy chủ
1.2 Cài đặt Active Directory
1.3 Join máy client vào máy chủ
1.4 Cài đặt công cụ quản trị Server trên client
 Tác vụ 1.1: Set IP static cho máy chủ
Trên máy chủ (Windows server 2008 R2), Set IP tĩnh với thông số:
IP address:
192 .168 .2
.2
Subnet mask:
255 .255 .255 .0
Default gateway:
192 .168 .2
.1
Preferred DNS server: 192 .168 .2

.2
 Tác vụ 1.2: Cài đặt Active Diretory
 Start Run gõ “dcpromo”
 Xuất hiện cửa sổ cài đặt Active Directory Next Next Chọn
“Create a new domain in a new forest” để tạo mới domain
Next Nhập vào tên domain “ABC.com” Next
 Xuất hiện cửa sổ chọn cấp độ chức năng của Forest “Set Forest
Functional Level”, tại tùy chọn Forest functional level chọn
“Windows Server 2008”  Next
 Xuất hiện cửa sổ Additional Domain Controller Options cài đặt
DNS, giữ nguyên  Next


 Xuất hiện thông báo không tìm thấy DNS trong mạng  Yes
 Xuất hiện cửa sổ chọn nơi lưu CSDL, để mặc định  Next
 Xuất hiện cửa sổ yêu cầu nhập mật nhẩu( Mật khẩu dung để retore
Active Directory ), tiến hành nhập mật khẩu  Next
 Xuất hiện cửa sổ Summary  Next
 Hệ thống cài đặt, sau khi cài đặt xong chọn Finish  Cài đặt hoàn
tất  Reboot now
 Tác vụ 1.3: Join máy client vào máy chủ
 Trên máy client tiến hành set địa chỉ IP sao cho có cùng lớp mạng
với IP máy chủ, có cùng Default gateway và Prefferred DNS server
là địa chỉ IP của máy chủ.
 Vào start run gõ “cmd” gõ “ipconfig” gõ “ping dấu cách
+ địa chỉ IP máy chủ” (Để kiểm tra kết nối giữa máy client và máy
chủ)  Kết nối thành công chuyển sang bước tiếp theo
 Click chuột phải My computer Properties  Computer Name
 Change
 Đặt Computer Name theo đúng mô hình của tổ chức  Gõ tên

domain “ABC.com” vào tùy chọn Domain của member of  OK
 Xuất hiện của sổ yêu cầu đăng nhập  Nhập tài khoỏa và mật khẩu
 OK Hiện thông báo Join đến máy chủ thành công OK 
Restart Computer.
 Tác vụ 1.4: Cài đặt công cụ quản trị Server trên client
 Kích hoạt bộ cài đặt Remote Server Administrator Tool  Yes
 I accept  Hoàn tất  Close.
 Kích hoạt Remote Server Administrator Tools : Start  Control
Panel  Program And Features  Turn On or Off Progam and
Features  đánh dấu chọn các công cụ  OK.
 Start Administrative Tools  Active Directory User and
Computers  Kết nối thành công đến cơ sở dữ liệu của Domain
Controller.
2. Tạo các OU, User, Group, phân quyền đối tượng
2.1 Tạo các OU tương ứng với các phòng ban
2.2 Tạo tài khoản người dung trong các OU
2.3 Tạo tài khoản nhóm


Gán tài khoản người dung vào nhóm
Ủy quyền cho các đối tượng trong OU (Quyền reset
password cho trưởng phòng)
 Tác vụ 2.1: Tạo các OU tương ứng với các phòng ban
 Start Administrative Tools Active Directory Users and
Computer
 Click chuột phải vào tên Domain “ABC.com” New
Organizational Unit  Nhập tên OU (Tên phòng ban)OK
 Tạo 4 OU tương ứng với các phòng ban của công ty ABC
 Tác vụ 2.2: Tạo các user trong các OU (Tương ứng với các nhân
viên trong phòng ban)

 Click chuột phải vào OU muốn tạo tài khoản  New  User
Nhập vào thông tin tài khoản Next  Nhập password và chọn
các tùy chọn sau khi tài khoản đăng nhập  Next Finish.
 Mỗi phòng ban tạo 5 tài khoản người dung gồm 4 nhân viên và
một trưởng phòng.
 Tác vụ 2.3: Tạo tài khoản nhóm
 Click chuột phải vào OU muốn tạo tài khoản  New  Group 
Nhập tên Group  Chọn Group scope là Domain local, group type
là Security OK.
 Mỗi phòng ban tạo một tài khoản nhóm
 Tác vụ 2.4: Gán tài khoản người dung vào nhóm
 Tại OU click chuột phải vào người dung cần gán  add to group
 Ghi tên Group muốn gán  check name OKOK.
 Gán tài khoản người dung của phòng ban nào vào Group của phòng
ban đó.
 Tác vụ 2.5: Ủy quyền cho các đối tượng trong OU (Quyền reset
password cho trưởng phòng)
 Tại mỗi OU click chuột phải chọn Delegate Control
NextAddChọn trưởng phòng Chọn quyền Reset mật khẩu
người dung  Finish.
3. Xây dựng hệ thống data và phân quyền truy cập cho từng Group và
user
3.1 Xây dựng hệ thống data
2.4
2.5


3.2 Share folder
3.3 Phân quyền NTFS
 Tác vụ 3.1: Xây dựng hệ thống data

 Trên máy chủ tạo một thư mục DATA
 Mỗi phòng ban sẽ được tạo một thư mục trong thư mục DATA
 Trong thư mục của mỗi phòng ban, bao gồm các thư mục của các
nhân viên thuộc phòng ban đó và một thư mục phân công chứa file
giao việc để giao việc cho nhân viên
 Cấu trúc cây thư mục được thể hiện qua hình sau:

 Tác vụ 3.2: Share folder
 Thư mục DATA share quyền read với tất cả mọi người
 Tất cả các thư mục của các phòng ban share quyền read với các
group tương ứng với các phòng ban
 Các thư mục cá nhân của nhân viên được share với quyền full
control tương ứng với nhân viên đó
 Thư mục PHANCONG trong thư mục của các phòng ban được
share quyền read với Group của các phòng ban tương ứng và share
quyền read và change với trường phòng tương ứng.
 Tác vụ 3.3: Phân quyền NTFS


 Với mỗi file giaoviec.doc trong thư mục phân công của mỗi phòng
ban ta set quyền full control cho trưởng phòng (Trưởng phòng
được toàn quyền với file này, nhân viên chỉ được xem). Thực hiện
như sau: Click chuột phải vào file giaoviec.doc Properties
Security Edit  Add Chọn Trưởng phòng tương ứng  set
quyền full controlOK
 Với tất cả các thư mục cá nhân và thư mục PHANCONG trong
từng phòng ban tiến hành bỏ kế thừa cách thực hiện như sau: Click
chuột phải vào folder  Properties Security Advanced 
Change Permissions  Bỏ tích Include inheritable permission
from this object’’s parent.

4. Cấu hình profile cho user
4.1 Tạo Roaming profile
4.2 Ánh xạ ổ đĩa cho thư mục cá nhân về máy tính cá nhân
4.3 Đồng bộ dữ liệu cá nhân lên máy chủ
 Tác vụ 4.1: Tạo Roaming profile.
 Tạo một thư mục USERPROFILE trên máy chủ
 Vào Active Directory Users and Computer Chọn user click
chuột phải Properties  Profile  Tích vào Profile path Ghi
vào
đường
dẫn
có
cấu
trúc
như
sau
:
\\192.168.2.2\USERPROFILE\%username% OK.
 Tác vụ 4.2: Ánh xạ ổ đĩa cho thư mục cá nhân về máy tính các
nhân
 Vào Active Directory Users and Computer Chọn user click
chuột phải Properties  Profile  Tích vào Home folder 
Tích vào Connect Chọn tên ổ đĩa  Nhập đường dẫn có cấu trúc
như sau vào To: \\192.168.2.2\Đường dẫn đến file cá nhân của
user đã chọn\%username%.
 Tác vụ 4.3: Đồng bộ dữ liệu cá nhân lên máy chủ
 Tiến hành set quyền trên folder USERPROFILE đã tạo trên máy
chủ để Administrator có thể xem được dữ liệu cá nhân user lấy dữ
liệu được tránh làm mất dữ liệu.
5. Cài đặt Group Policy

5.1 Cấm control panel










5.2 Cấm Regedit
5.3 Cấm USB
5.4 Cài đặt phần mềm tự động từ máy chủ xuống client
5.5 Chính sách bảo mật mật khẩu user
5.6 Cấm sử dụng wordpad
Tác vụ 5.1: Cấm control panel:
 Vào Start Administrative Tools Group Policy Management
Chọn Domain chọn OU cần áp chính sách (Trừ OU
DIENTOAN)
 Click phải OU Create a GPO this domain, and Link it
hereNhập tên GPO “CamControlPanel”
 Click phải các OU khác Link an Existing GPO Chọn đến GPO
đã tạo trước đó và cần áp cho OU được chọn
 Thực hiện cấm Control Panel như sau: Click phải vào GPO cấm
control panel đã tạo trước đóEdit  User configuration 
PoliciesAdministrative TemplatesControl panel Prohibit
access to the controlpanel Enable OK
Tác vụ 5.2: Cấm Regedit
 Tạo GPO tương tự như trên

 Thực hiện cấm regedit như sau: Click phải vào GPO cấm regedit
đã tạo trước đóEdit  User configuration 
PoliciesAdministrative Templates System Prevent access
to registry editing tools  Enable  OK
Tác vụ 5.3: Cấm sử dụng USB
 Tạo GPO tương tự như trên
 Thực hiện cấm sử dụng USB như sau: Click phải vào GPO cấm
regedit đã tạo trước đóEdit  User configuration 
PoliciesAdministrative TemplatesSystem  Removable
Storage AccessAll Removable Storage classes: Deny all
access Enable  OK
Tác vụ 5.4: Cài đặt phần mềm tự động từ máy chủ xuống client
 Tạo GPO tương tự như trên
 Thực hiện cài đặt phần mềm tự động từ máy chủ xuống client như
sau: Click phải vào GPO Install Software đã tạo trước đóEdit 


User configuration  PoliciesSoftware Settings Software
installationClick phải chọn New Package  Tìm đến file cài
đặt phần mềm cần mong muốn Open  Assgien OK
 Tác vụ 5.5: Chính sách bảo mật mật khẩu user
 Tạo GPO tương tự như trên
 Thực hiện chính sách bảo mật mật khẩu user như sau: Click phải
vào GPO bảo mật mật khẩu đã tạo trước đóEdit Computer
Configuration Policies  Windows Settings  Account
Policies  Password Policy  Chọn những chính sách bảo mật
cần thiết  OK
 Tác vụ 5.6: Cấm sử dụng Wordpad
 Tạo GPO tương tự như trên
 Thực hiện cấm Wordpad như sau: Click phải vào GPO cấm regedit

đã tạo trước đóEdit  User configuration 
PoliciesAdministrative Templates SystemDon’’t run
specified Windows applications  Enable ShowNhập
wordpad.exe  OK
6. Cài đặt backup domain controller (Máy chủ dự phòng đảm bảo
server hoạt động 24/7)
6.1 Triển khai Additional Domain Controller
6.2 Kiểm tra cấu hình máy chủ
 Tác vụ 6.1: Triển khai Additional Domain Controller
 Tiến hành cài đặt tương tự như domain controller
 Cửa sổ Choose a Deployment Configuration chọn mục Existing
Forest  Add a domain controller to existing domain Next
 Hệ thống tự hiện thị ra domain đã tồn tại, mục Alternate
Credentials nhập vào tài khoản cho máy tính này join vào
domain NextNext
 Tại Additional Domain controller Options chọn cả DNS và Global
catalog  Yes  Next Nhập mật khẩu khôi phục active
directory  Next Finish Restart now
 Tác vụ 6.2: Kiểm tra cấu hình máy chủ.


 Vào server manager  Roles  Active Directory User and
Computer Tên Domain click phải  Operations Master 
Xem cấu hình đã được chưa
III. Thực hiện kiểm tra trên máy trạm
 Thực hiện đăng nhập vào user DT1(Nhân viên phòng điện toán ), kiểm
tra ổ đĩa có ánh xạ về thư mục cá nhân không, vào thư mục phân công
chỉnh sữa file giaoviec.doc  báo lỗi liên hệ với administrator để lấy
quyền, tương tự bị cấm sử dụng wordpad ngoài ra không bị cấm control
panel, USB và Regedit, thay đổi profile log off, log on trở lại profile vẫn

được lưu
 Thực hiện đăng nhập với user TPNS(Trưởng Phòng nhân sự), Kiểm tra
ổ đĩa có ánh xạ đến thư mục cá nhân, Sữa được file giao việc trong thư
mục phân công, không vào được thư mục của các nhân viên khác, bị cấm
control panel, USB, regegit, wor––dpad, yêu cầu thay đổi mật khẩu cho
các nhân viên cùng phòng ban được.