QUẢN TRỊ MẠNG LAN: SERVER VÀ PC
BÀI TẬP NHÓM PHẦN DOMAIN
Lớp: CN13
Nhóm: 6
Võ Nhật :1319670077
Trương Minh Nhật: 1319670076
Nguyễn Thị Yến Nhi: 1351030044
Nguyễn Phúc Vĩnh San:
Nguyễn Tấn Sang
I. Xác định các tác vụ cần thực hiện:
1. Dựng domain controller với domain là ABC.com:
1.1 Set IP tĩnh cho máy chủ.
1.2 Cài đặt Active Directory.
1.3 Join máy client vào máy chủ.
1.4 Cài đặt công cụ quản trị Server trên client
2. Tạo các OU, User, Group, phân quyền đối tượng
2.1 Tạo các OU tương ứng với các phòng ban
2.2 Tạo tài khoản người dung trong các OU
2.3 Tạo tài khoản nhóm
2.4 Gán tài khoản người dung vào nhóm
2.5 Ủy quyền cho các đối tượng trong OU (Quyền reset password cho
trưởng phòng)
3. Xây dựng hệ thống data và phân quyền truy cập cho từng Group và
user
3.1 Xây dựng hệ thống data
3.2 Share folder
3.3 Phân quyền NTFS
4. Cấu hình profile cho user
4.1 Tạo Roaming profile
4.2 Ánh xạ ổ đĩa cho thư mục cá nhân về máy tính cá nhân
4.3 Đồng bộ dữ liệu cá nhân lên máy chủ
5. Cài đặt Group Policy
5.1 Cấm control panel
5.2 Cấm Regedit
5.3 Cấm USB
5.4 Cài đặt phần mềm tự động từ máy chủ xuống client
5.5 Chính sách bảo mật mật khẩu user
5.6 Cấm sử dụng wordpad
6. Cài đặt backup domain controller (Máy chủ dự phòng đảm bảo
server hoạt động 24/7)
6.1 Triển khai Additional Domain Controller
6.2 Kiểm tra cấu hình máy chủ
II. Thực hiện từng tác vụ cụ thể
1. Dựng domain controller với domain là ABC.com.vn:
1.1 Set IP static cho máy chủ
1.2 Cài đặt Active Directory
1.3 Join máy client vào máy chủ
1.4 Cài đặt công cụ quản trị Server trên client
Tác vụ 1.1: Set IP static cho máy chủ
Trên máy chủ (Windows server 2008 R2), Set IP tĩnh với thông số:
IP address:
192 .168 .2
.2
Subnet mask:
255 .255 .255 .0
Default gateway:
192 .168 .2
.1
Preferred DNS server: 192 .168 .2
.2
Tác vụ 1.2: Cài đặt Active Diretory
Start Run gõ “dcpromo”
Xuất hiện cửa sổ cài đặt Active Directory Next Next Chọn
“Create a new domain in a new forest” để tạo mới domain
Next Nhập vào tên domain “ABC.com” Next
Xuất hiện cửa sổ chọn cấp độ chức năng của Forest “Set Forest
Functional Level”, tại tùy chọn Forest functional level chọn
“Windows Server 2008” Next
Xuất hiện cửa sổ Additional Domain Controller Options cài đặt
DNS, giữ nguyên Next
Xuất hiện thông báo không tìm thấy DNS trong mạng Yes
Xuất hiện cửa sổ chọn nơi lưu CSDL, để mặc định Next
Xuất hiện cửa sổ yêu cầu nhập mật nhẩu( Mật khẩu dung để retore
Active Directory ), tiến hành nhập mật khẩu Next
Xuất hiện cửa sổ Summary Next
Hệ thống cài đặt, sau khi cài đặt xong chọn Finish Cài đặt hoàn
tất Reboot now
Tác vụ 1.3: Join máy client vào máy chủ
Trên máy client tiến hành set địa chỉ IP sao cho có cùng lớp mạng
với IP máy chủ, có cùng Default gateway và Prefferred DNS server
là địa chỉ IP của máy chủ.
Vào start run gõ “cmd” gõ “ipconfig” gõ “ping dấu cách
+ địa chỉ IP máy chủ” (Để kiểm tra kết nối giữa máy client và máy
chủ) Kết nối thành công chuyển sang bước tiếp theo
Click chuột phải My computer Properties Computer Name
Change
Đặt Computer Name theo đúng mô hình của tổ chức Gõ tên
domain “ABC.com” vào tùy chọn Domain của member of OK
Xuất hiện của sổ yêu cầu đăng nhập Nhập tài khoỏa và mật khẩu
OK Hiện thông báo Join đến máy chủ thành công OK
Restart Computer.
Tác vụ 1.4: Cài đặt công cụ quản trị Server trên client
Kích hoạt bộ cài đặt Remote Server Administrator Tool Yes
I accept Hoàn tất Close.
Kích hoạt Remote Server Administrator Tools : Start Control
Panel Program And Features Turn On or Off Progam and
Features đánh dấu chọn các công cụ OK.
Start Administrative Tools Active Directory User and
Computers Kết nối thành công đến cơ sở dữ liệu của Domain
Controller.
2. Tạo các OU, User, Group, phân quyền đối tượng
2.1 Tạo các OU tương ứng với các phòng ban
2.2 Tạo tài khoản người dung trong các OU
2.3 Tạo tài khoản nhóm
Gán tài khoản người dung vào nhóm
Ủy quyền cho các đối tượng trong OU (Quyền reset
password cho trưởng phòng)
Tác vụ 2.1: Tạo các OU tương ứng với các phòng ban
Start Administrative Tools Active Directory Users and
Computer
Click chuột phải vào tên Domain “ABC.com” New
Organizational Unit Nhập tên OU (Tên phòng ban)OK
Tạo 4 OU tương ứng với các phòng ban của công ty ABC
Tác vụ 2.2: Tạo các user trong các OU (Tương ứng với các nhân
viên trong phòng ban)
Click chuột phải vào OU muốn tạo tài khoản New User
Nhập vào thông tin tài khoản Next Nhập password và chọn
các tùy chọn sau khi tài khoản đăng nhập Next Finish.
Mỗi phòng ban tạo 5 tài khoản người dung gồm 4 nhân viên và
một trưởng phòng.
Tác vụ 2.3: Tạo tài khoản nhóm
Click chuột phải vào OU muốn tạo tài khoản New Group
Nhập tên Group Chọn Group scope là Domain local, group type
là Security OK.
Mỗi phòng ban tạo một tài khoản nhóm
Tác vụ 2.4: Gán tài khoản người dung vào nhóm
Tại OU click chuột phải vào người dung cần gán add to group
Ghi tên Group muốn gán check name OKOK.
Gán tài khoản người dung của phòng ban nào vào Group của phòng
ban đó.
Tác vụ 2.5: Ủy quyền cho các đối tượng trong OU (Quyền reset
password cho trưởng phòng)
Tại mỗi OU click chuột phải chọn Delegate Control
NextAddChọn trưởng phòng Chọn quyền Reset mật khẩu
người dung Finish.
3. Xây dựng hệ thống data và phân quyền truy cập cho từng Group và
user
3.1 Xây dựng hệ thống data
2.4
2.5
3.2 Share folder
3.3 Phân quyền NTFS
Tác vụ 3.1: Xây dựng hệ thống data
Trên máy chủ tạo một thư mục DATA
Mỗi phòng ban sẽ được tạo một thư mục trong thư mục DATA
Trong thư mục của mỗi phòng ban, bao gồm các thư mục của các
nhân viên thuộc phòng ban đó và một thư mục phân công chứa file
giao việc để giao việc cho nhân viên
Cấu trúc cây thư mục được thể hiện qua hình sau:
Tác vụ 3.2: Share folder
Thư mục DATA share quyền read với tất cả mọi người
Tất cả các thư mục của các phòng ban share quyền read với các
group tương ứng với các phòng ban
Các thư mục cá nhân của nhân viên được share với quyền full
control tương ứng với nhân viên đó
Thư mục PHANCONG trong thư mục của các phòng ban được
share quyền read với Group của các phòng ban tương ứng và share
quyền read và change với trường phòng tương ứng.
Tác vụ 3.3: Phân quyền NTFS
Với mỗi file giaoviec.doc trong thư mục phân công của mỗi phòng
ban ta set quyền full control cho trưởng phòng (Trưởng phòng
được toàn quyền với file này, nhân viên chỉ được xem). Thực hiện
như sau: Click chuột phải vào file giaoviec.doc Properties
Security Edit Add Chọn Trưởng phòng tương ứng set
quyền full controlOK
Với tất cả các thư mục cá nhân và thư mục PHANCONG trong
từng phòng ban tiến hành bỏ kế thừa cách thực hiện như sau: Click
chuột phải vào folder Properties Security Advanced
Change Permissions Bỏ tích Include inheritable permission
from this object’’s parent.
4. Cấu hình profile cho user
4.1 Tạo Roaming profile
4.2 Ánh xạ ổ đĩa cho thư mục cá nhân về máy tính cá nhân
4.3 Đồng bộ dữ liệu cá nhân lên máy chủ
Tác vụ 4.1: Tạo Roaming profile.
Tạo một thư mục USERPROFILE trên máy chủ
Vào Active Directory Users and Computer Chọn user click
chuột phải Properties Profile Tích vào Profile path Ghi
vào
đường
dẫn
có
cấu
trúc
như
sau
:
\\192.168.2.2\USERPROFILE\%username% OK.
Tác vụ 4.2: Ánh xạ ổ đĩa cho thư mục cá nhân về máy tính các
nhân
Vào Active Directory Users and Computer Chọn user click
chuột phải Properties Profile Tích vào Home folder
Tích vào Connect Chọn tên ổ đĩa Nhập đường dẫn có cấu trúc
như sau vào To: \\192.168.2.2\Đường dẫn đến file cá nhân của
user đã chọn\%username%.
Tác vụ 4.3: Đồng bộ dữ liệu cá nhân lên máy chủ
Tiến hành set quyền trên folder USERPROFILE đã tạo trên máy
chủ để Administrator có thể xem được dữ liệu cá nhân user lấy dữ
liệu được tránh làm mất dữ liệu.
5. Cài đặt Group Policy
5.1 Cấm control panel
5.2 Cấm Regedit
5.3 Cấm USB
5.4 Cài đặt phần mềm tự động từ máy chủ xuống client
5.5 Chính sách bảo mật mật khẩu user
5.6 Cấm sử dụng wordpad
Tác vụ 5.1: Cấm control panel:
Vào Start Administrative Tools Group Policy Management
Chọn Domain chọn OU cần áp chính sách (Trừ OU
DIENTOAN)
Click phải OU Create a GPO this domain, and Link it
hereNhập tên GPO “CamControlPanel”
Click phải các OU khác Link an Existing GPO Chọn đến GPO
đã tạo trước đó và cần áp cho OU được chọn
Thực hiện cấm Control Panel như sau: Click phải vào GPO cấm
control panel đã tạo trước đóEdit User configuration
PoliciesAdministrative TemplatesControl panel Prohibit
access to the controlpanel Enable OK
Tác vụ 5.2: Cấm Regedit
Tạo GPO tương tự như trên
Thực hiện cấm regedit như sau: Click phải vào GPO cấm regedit
đã tạo trước đóEdit User configuration
PoliciesAdministrative Templates System Prevent access
to registry editing tools Enable OK
Tác vụ 5.3: Cấm sử dụng USB
Tạo GPO tương tự như trên
Thực hiện cấm sử dụng USB như sau: Click phải vào GPO cấm
regedit đã tạo trước đóEdit User configuration
PoliciesAdministrative TemplatesSystem Removable
Storage AccessAll Removable Storage classes: Deny all
access Enable OK
Tác vụ 5.4: Cài đặt phần mềm tự động từ máy chủ xuống client
Tạo GPO tương tự như trên
Thực hiện cài đặt phần mềm tự động từ máy chủ xuống client như
sau: Click phải vào GPO Install Software đã tạo trước đóEdit
User configuration PoliciesSoftware Settings Software
installationClick phải chọn New Package Tìm đến file cài
đặt phần mềm cần mong muốn Open Assgien OK
Tác vụ 5.5: Chính sách bảo mật mật khẩu user
Tạo GPO tương tự như trên
Thực hiện chính sách bảo mật mật khẩu user như sau: Click phải
vào GPO bảo mật mật khẩu đã tạo trước đóEdit Computer
Configuration Policies Windows Settings Account
Policies Password Policy Chọn những chính sách bảo mật
cần thiết OK
Tác vụ 5.6: Cấm sử dụng Wordpad
Tạo GPO tương tự như trên
Thực hiện cấm Wordpad như sau: Click phải vào GPO cấm regedit
đã tạo trước đóEdit User configuration
PoliciesAdministrative Templates SystemDon’’t run
specified Windows applications Enable ShowNhập
wordpad.exe OK
6. Cài đặt backup domain controller (Máy chủ dự phòng đảm bảo
server hoạt động 24/7)
6.1 Triển khai Additional Domain Controller
6.2 Kiểm tra cấu hình máy chủ
Tác vụ 6.1: Triển khai Additional Domain Controller
Tiến hành cài đặt tương tự như domain controller
Cửa sổ Choose a Deployment Configuration chọn mục Existing
Forest Add a domain controller to existing domain Next
Hệ thống tự hiện thị ra domain đã tồn tại, mục Alternate
Credentials nhập vào tài khoản cho máy tính này join vào
domain NextNext
Tại Additional Domain controller Options chọn cả DNS và Global
catalog Yes Next Nhập mật khẩu khôi phục active
directory Next Finish Restart now
Tác vụ 6.2: Kiểm tra cấu hình máy chủ.
Vào server manager Roles Active Directory User and
Computer Tên Domain click phải Operations Master
Xem cấu hình đã được chưa
III. Thực hiện kiểm tra trên máy trạm
Thực hiện đăng nhập vào user DT1(Nhân viên phòng điện toán ), kiểm
tra ổ đĩa có ánh xạ về thư mục cá nhân không, vào thư mục phân công
chỉnh sữa file giaoviec.doc báo lỗi liên hệ với administrator để lấy
quyền, tương tự bị cấm sử dụng wordpad ngoài ra không bị cấm control
panel, USB và Regedit, thay đổi profile log off, log on trở lại profile vẫn
được lưu
Thực hiện đăng nhập với user TPNS(Trưởng Phòng nhân sự), Kiểm tra
ổ đĩa có ánh xạ đến thư mục cá nhân, Sữa được file giao việc trong thư
mục phân công, không vào được thư mục của các nhân viên khác, bị cấm
control panel, USB, regegit, wor––dpad, yêu cầu thay đổi mật khẩu cho
các nhân viên cùng phòng ban được.