Tải bản đầy đủ (.pdf) (49 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Bai giang quan tri mang windows Quan ly tap trung

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (6.09 MB, 49 trang )

7/1/2019

TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH
KHOA CÔNG NGHỆ THÔNG TIN

MÔN HỌC: QUẢN TRỊ MẠNG MÁY TÍNH

 Chương 1. Quản trị hệ thống mạng workgroup.
 Chương 2. Quản trị hệ thống mạng tập trung.

QUẢN TRỊ MẠNG MÁY TÍNH

 Chương 3. Quản trị lưu trữ.
 Chương 4. Quản trị mạng Linux
 Chương 5. Giám sát và duy trì hệ thống mạng.

Giảng Viên: ThS. Vương Xuân Chí
Email:
0903.270.567
2

1

QUẢN TRỊ HỆ THỐNG MẠNG WORKGROUP

TỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN

Tổng quan về quyền truy xuất tài nguyên File.

Permission


NTFS Permission.

Khi người dùng truy xuất đến các tài nguyên hệ thống thì

Share Folder.

phải có một tài khoản nhất định, mỗi tài khoản có một mức
độ truy cập nhất định.

Kết hợp Share Permission và NTFS Permission.
Hoạt động in ấn trong Window.
3

TỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN

4

TỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN

Permission là gì?
Permission là quyền truy xuất tài nguyên của người dùng.

Quyền truy xuất tài nguyên

Permission được dùng để gán cho các đối tượng muốn bảo mật: file,
folder, printer, ...

Người dùng muốn sử dụng tài nguyên hệ thống mạng: PC, Folder, File,
Printer phải có một tài khoản nhất định.


Permission được áp dụng cho user, group hay computer trên Active
Directory hay Local on computer.

Tài khoản còn gọi là username, được tạo ra và có một ID nhất định
trên toàn hệ thống.

oRead
oWrite
oDelete

Khi người dùng truy xuất tài nguyên sẽ có sự xác thực của hệ thống.
Để xác thực quyền truy xuất tài nguyên của người dùng hệ thống dựa
vào: SID, DACL, ACL.
5

6

1


7/1/2019

TỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN

TỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN

Quyền truy xuất tài nguyên

Quyền truy xuất tài nguyên


SID (Security Identifier): số nhận dạng bảo mật. Thành phần nhận dạng
không trùng lặp được hệ thống tạo ra với tài khoản và dùng cho hệ thống
nhận dạng.
DACL (Discretionary Access Control List ): danh sách điều khiển truy
cập của chủ sở hữu, chủ sỡ hữu đối tượng có quyền thay đổi nội dung danh
sách này. Cho phép hoặc không cho phép truy cập đối tượng
ACL (Access Control List): danh sách điều khiển truy cập, chứa nhiều ACE
là các phần tử. Mỗi ACE chứa một số bảo mật SID của người dùng hoặc
nhóm người dùng, danh sách quy định người dùng được phép hay không
được phép truy cập đến đối tượng (gọi là Access Mask)
7

NTFS PERMISSION

8

NTFS PERMISSION
NTFS File and Folder Permission

NTFS hệ thống tập tin trên phân vùng định dạng NTFS của ổ cứng, cung cấp khả năng
bảo mật file và folder tốt nhất gọi là NTFS Permission

File permissions

Ưu điểm của NTFS
Độ tin cậy cao
Bảo mật cao
Tăng khả năng lưu trữ
Nhiều phân quyền hơn cho user


Full Control
Modify
Read & Execute
Write

Read

Read
List Folder Contents

9

NTFS PERMISSION

Folder permissions

Full Control
Modify
Read & Execute
Write

10

NTFS PERMISSION

NTFS File Permission

NTFS Folder Permission

11


12

2


7/1/2019

NTFS PERMISSION

NTFS PERMISSION

Standard Permission và Special Permission

Standard Permission
Standard Permission là những quyền mặc định của hệ thống được
dùng để gán cho người dùng thường xuyên nhất.
Mỗi quyền trong đó bao gồm nhiều quyền chi tiết khác.

13

NTFS PERMISSION

14

NTFS PERMISSION
Tính kế thừa của Permission
Mặc định các File/Folder con thừa hưởng các thuộc tính của
thư mục cha.


Special Permission
Special Permission là các quyền
chi tiết của hệ thống

Inherit permissions

Liệt kê các quyền của một quyền
chuẩn.

FolderA
Read / Write

Nó cung khả năng phân quyền
một cách chi tiết cho các đối
tượng.

FolderB

Access to FolderB
Prevent inheritance
FolderA
Read / Write
15

No access to FolderB

FolderB
FolderC

16


CHIA SẺ TÀI NGUYÊN QUA MẠNG

NTFS PERMISSION

Thư mục chia sẻ cho phép người dùng truy xuất qua mạng. Khi một folder được share

Tính kế thừa của Permission

người dùng có thể truy xuất các file và subfolder trong đó với quyền hạn tương ứng

Người quản trị có thể bỏ tính thừa hưởng đó để phân quyền
cho các thư mục con và file cụ thể hơn.

được gán trên đó.

Chia sẻ tài nguyên ?
Là thư mục được người chia sẻ trên mạng và cấp quyền truy xuất cho người
dùng thông qua Share Permission.
Shared folder có biểu tượng hình bàn tay bên dưới.

17

18

3


7/1/2019


CHIA SẺ TÀI NGUYÊN QUA MẠNG

CHIA SẺ TÀI NGUYÊN QUA MẠNG

Shared Premissions
Full Control

Cơ chế chia sẻ tài nguyên

Change

Classic

Read

Guest only

19

CHIA SẺ TÀI NGUYÊN QUA MẠNG

20

CHIA SẺ TÀI NGUYÊN QUA MẠNG

Quản trị Shared Folder

Quản trị Shared Folder

Người dùng có thể share một folder, không

thể share file.

Các thư mục chia sẽ ẩn sẽ thêm vào ký hiệu $ vào cuối
share name.

Khi một folder được share thì quyền Read sẽ
được gán mặc định cho nhóm Everyone,
chúng ta cần removed nhóm đó ra trước
(nếu cần thiết).

Thể truy cập đến tài nguyên chia sẽ như sau:
\\Server\Foldershare
\\Server\Foldershare$

Khi một user hoặc group được thêm vào sẽ
được gán quyền Read.

Ánh xạ ổ đĩa mạng (Map Network Drive)

21

CHIA SẺ TÀI NGUYÊN QUA MẠNG

22

KẾT HỢP SHARE PERMISSION VÀ NTFS PERMISSION

Shared Folder mặc định

Người quản trị có thể kết hợp Share Permission và NTFS Permission để


Mặc định Windows share các folder và ổ đĩa để phục vụ cho công việc
quản trị.

bảo mật tài nguyên tốt hơn.

Các folder được share ẩn với ký tự $ ở cuối tên folder hoặc ổ đĩa.

Public

Full

Users

NTFS Volume
Read

Change
23

File1

File2
24

4


7/1/2019


HOẠT ĐỘNG IN ẤN TRONG WINDOWS

HOẠT ĐỘNG IN ẤN TRONG WINDOWS

Các thuật ngữ trong máy in

Windows Server giúp cho người quản trị dễ dàng cài đặt máy in mạng và cấu
hình những tài nguyên in từ một vị trí trung tâm.

Printer Server
Print Client

Các thuật ngữ trong máy in

Print device
Printer
Printer Pooling: phối hợp nhiều máy in vật lý vào chung một máy in
logic.
Printer Queue: hàng đợi của máy in trước khi đưa tài liệu vào in.
Printer Spooler: bộ điều phối in ấn
26

25

HOẠT ĐỘNG IN ẤN TRONG WINDOWS
1

LOCAL PRINTER VÀ NETWORK PRINTER

Network Print

Client

2

4

Router

Spooler
Remote Print Provider

Print Server Service

Local printers :

Print
Driver

GDI

Là một nhà quản trị mạng, bạn phải quản trị cả hai loại máy in: một máy in cục bộ và một máy

Print Server

in mạng. Bạn phải tạo cả hai loại máy in trước khi share chúng cho các user khác sử dụng.

Application

5


Local Print Provider

6

Print Processor

7

Separator Page Processor

8

Local Print Provider

Print Server
Print Server

LPT or
USB

3
Print Device

9

Network printers :

TCP/IP or
IPX or
AppleTalk

Print Device

Print Device
Print Device

27

LOCAL PRINTER VÀ NETWORK PRINTER

28

TRIỂN KHAI MÁY IN LOCAL VÀ NETWORK

So sánh

Để cài và share một local printer, chúng ta sử dụng Add Printer
Local Printer

Wizard trong cửa sổ Printers and Faxes.

Network Printer

Thuận lợi

- Thiết bị in ở trạng thái - Nhiều user có thể truy
gần với máy tính của user
xuất máy in.
- Plug and Play có thể phát
hiện các máy in và tự động
cài driver


Bất lợi

- Mỗi máy tính cần một - Phải hỗ trợ việc phân
thiết bị in.
phối các bản update
- Driver phải được cài đặt driver cho nhiều client.
trên mỗi máy Local.
29

30

5


7/1/2019

TRIỂN KHAI MÁY IN LOCAL VÀ NETWORK

QUẢN LÝ TRUY CẬP MÁY IN
Quyền truy xuất máy in
Permission

Cho phép user sử dụng

Print

- User có thể kết nối tới máy in và gửi những tài liệu in
tới máy in.


Manage
Printers

- User có thể thực hiện các thao tác kết hợp với quyền
Print và có quyền quản lý hoàn toàn máy in. User có
thể ngừng và restart máy in, thay đổi các thiết lập
spooler, share một máy in, chỉnh sửa quyền và thay đổi
các thuộc tính máy in.

Manage
Documents

- User có thể ngưng, tiếp tục lại, restart, bỏ qua và sắp
xếp lại tất cả các tài liệu được submit bởi tất cả các
user khác.

31

QUẢN LÝ TRUY CẬP MÁY IN

32

QUẢN LÝ TRUY CẬP MÁY IN

33

MÔN HỌC: QUẢN TRỊ MẠNG MÁY TÍNH

34


NHỮNG KHÓ KHĂN CỦA QUẢN TRỊ MẠNG NGANG HÀNG

Chương 2. Quản trị hệ thống mạng Tập trung.

 Phức tạp khi có nhiều người dùng – nhiều máy tính, muốn truy cập dữ liệu
lẫn nhau:
Trên mỗi máy tính: phải tạo n tài khoản
cho n người dùng.
Hoặc: mỗi người dùng phải nhớ thông
tin m tài khoản truy cập vào m máy tính.

Khi triển khai các phần mềm, chính
sách… người quản trị phải thao tác trên
từng máy tính
Không kiểm soát được các hành động
của người dùng trên máy của họ.
35

6


7/1/2019

MẠNG QUẢN TRỊ TẬP TRUNG

MẠNG QUẢN TRỊ TẬP TRUNG
 Mô hình quản trị Doanh nghiệp trong quản trị mạng tập trung

 Tập trung tất cả các tài nguyên mạng vào
một “miền quản trị” (Domain).


Quản trị Doanh nghiệp

Quản trị mạng tập trung

 Mỗi miền quản trị có một tài khoản toàn
quyền quản lý tất cả tài nguyên mạng
(Administrator, Root, Supervisor…)

Công ty / Công ty con

Domain / Sub-Domain

Tên Công ty / Doanh nghiệp

Domain Name

Mối quan hệ, liên kết giữa các Công ty

Ralationship

 Các chính sách triển khai trên miền sẽ được
tất cá đối tương mạng trong miền tuân thủ.

Trụ sở Công ty / Công ty con

Site

Các Phòng, Ban, Đơn vị thuộc Công ty


Organization Unit (OU)

 Các tài nguyên mạng / đối tượng mạng được
quản lý theo các danh mục (Directory).

Nhân sự / Nhóm nhân sự

User / Group

Trưởng đơn vị

OU Delegation

ACTIVE DIRECTORY (AD)

MẠNG QUẢN TRỊ TẬP TRUNG
 Mô hình quản trị Doanh nghiệp trong quản trị mạng tập trung
Quản trị Doanh nghiệp

Active Directory là dịch vụ hệ thống quan trọng bậc nhất với vai trò lưu trữ toàn bộ thông
tin và database của hệ thống mạng.

Quản trị mạng tập trung

Giới thiệu Active Directory:

Tài sản

Computer, Printer, File, Software, Data


Các chính sách, quy định…

Group Policy

Hồ sơ quản lý nhân sự, tài sản…

Directory

Chức năng của AD:
Lưu trữ tập trung danh sách tài khoản người, tài khoản máy tính.
Cung cấp một Server đóng vai trò máy chủ chứng thực gọi là Domain Controller.

Các sơ đồ tổ chức, tiêu chuẩn, quy cách
Schema
các thành phần trong sơ đồ tổ chức
Dữ liệu lưu trữ hồ sơ quản lý, sơ đồ tổ
Database của Domain
chức, danh sách nhân sự, tài sản…
Chữ ký, con dấu, xác thực…
Authority services

Lưu giữ bảng chỉ mục của các tài nguyên trên mạng.
Cho phép tạo ra các tài khoản có quyền hạn nhất định trong hệ thống.
Cho phép chia nhỏ hệ thống thành những miền nhỏ hơn để dễ dàng quản lí và
ủy quyền trong hệ thống.
40

ACTIVE DIRECTORY (AD)

ACTIVE DIRECTORY (AD)


Active Directory Database

Active Directory Database

Active directory objects

Active directory schema

Dữ liệu trong AD là thông tin
users, máy in, server, máy
tính, … được tổ chức như là
một object.

Dữ liệu lưu trữ chính trong
AD là Active Directory
Schema.
AD Schema là danh sách các
định nghĩa xác định các loại
đối tượng và các loại thông
tin về đối tượng lưu trữ trong
AD.

Mỗi object có những thuộc
tính riêng đặc trưng cho
object đó
Object đặc biêt là container
chứa được các object khác.

41


42

7


7/1/2019

CÁC THÀNH PHẦN CỦA AD

CÁC THÀNH PHẦN CỦA AD

Kiến trúc của dịch vụ Active Directory được chia làm hai phần chính:

Cấu trúc luận lý:

cấu trúc luận lý và cấu trúc vật lý

Domain
Domain đóng vai trò là khu vực
quản trị.

Cấu trúc luận lý:
Domain
Domain Tree
Forest
OU

Quản lí bảo mật các đối tượng
chia sẽ.

Cung cấp Server dự phòng
đóng vai tròn điều khiển vùng,
và bảo đảm các server đồng
bộ với nhau.
43

CÁC THÀNH PHẦN CỦA AD

44

CÁC THÀNH PHẦN CỦA AD
Cấu trúc luận lý:

Cấu trúc luận lý:

Domain Tree

Organizational Units

Domain tree là cấu trúc gồm nhiều domain
sắp xếp có cấp bậc theo cấu trúc hình cây.

OU là thành phần nhỏ nhất của
AD. OU là vật chứa các đối
tượng khác: User, PC, Printer.

Domain được tạo ra đầu tiên gọi là domain
root.

OU dùng để ủy quyền kiểm

soát các tài khoản người dùng,
máy tính, tài nguyên mạng.

Tất cả nhưng domain con được tạo ra sau
đó gọi là sub-domain. Các sub-domain
phải khác nhau.

Áp đặt các chính sách lên
những người dùng cụ thể.

Khi có một root domain và sub-domain thì
hình thành một Tree domain.
45

CÁC THÀNH PHẦN CỦA AD

46

CÁC THÀNH PHẦN CỦA AD
Cấu trúc vật lý:

Cấu trúc luận lý:

A
1

Site

Domain Forest


Dùng để phân biệt giữa
các tài khoản, máy tính,
tài nguyên mạng ở vị trí
cục bộ và vị trí xa xôi.

Nhiều domain tree có
thiết lập quan hệ và
ủy quyền cho nhau là
Domain Forest

Dùng tập hợp những tài
khoản, máy tính, tài
nguyên mạng ở trong
cùng một khu vực

Hợp nhất các Domain
tree lại với nhau để
tiện cho việc quản lí
47

IP Subnet

Site

B
1

Site Link

B

2

IP Subnet

Site

B
3

IP Subnet

Cost
IP Subnet
48

8


7/1/2019

CÁC THÀNH PHẦN CỦA AD
Cấu trúc vật lý:
Domain Controller Server
- XÂY DỰNG DOMAIN CONTROLLER

Lưu giữ dịch vụ bản sao
Domain Directory.

- GIA NHẬP DOMAIN


Đóng vai trò chứng thực
cho người dùng

- XÂY DỰNG ADDITAIONAL DOMAIN CONTROLLER

Một máy chủ cài đặt dịch
vụ AD được gọi là Domain
Controller
49

50

XỬ LÝ MỘT SỐ SỰ CỐ THÔNG DỤNG

QUẢN TRỊ DOMAIN CONTROLLER

Active Directory Users And Computers (ADUC)
Builtin: quản lí tất cả các Groups do Windows tạo ra
Computers :quản lí tất cả các máy tính khi gia nhập vào
domain

Xây dựng Domain Controller

Users: chứa tất cả các tài khoản người dùng trong domain

Gia nhập Client vào domain

Domain Controller : quản lí tất cả các máy chủ DC có trong
domain
ForeignSecurityPrincipals: các đối tượng không thuộc miền

đang xem xét.

51

CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY

52

CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY
Hiểu được quy trình làm việc của Active Directory

Directory Service

Directory service

Schema

Directory service là một cấu trúc lưu trữ thông tin về user và tài nguyên
trong hệ thống.

Global Catalog
Distinguished & Relative Distinguished Names

Domain
OU1
Computers
Computer1

Single Sign-On


53

Users
User1
OU2
Users
User2
Printers
Printer1

TaiTV
Attributes

Values

Name

Tran Van AA

Building

300A NTT

Floor

2
54

9



7/1/2019

CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY

CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY

Active directory schema

Global catalog (GC)

Định nghĩa tất cả các object được quản lý trong Active Directory
Schema được tạo thành từ các object class và các attribute

GC lưu trữ tất cả các object của miền chứa GC và một phần các object
thường được người dùng tìm kiếm của các domain khác trong forest.

Ví dụ:

Global catalog lưu trữ:
Những thuộc tính thường dùng trong việc truy vấn như user’s first
name, last name, logon name

Attributes

Object classes

accountExpires
department
distinguishedName

directReports
dNSHostName
operatingSystem
repsFrom
repsTo
firstName
lastName

User
Computer
Printer

Thông tin cần thiết để xác định vị trí của bất kỳ object nào trong
active directory
Tập hợp các thuộc tính mặc định cho mỗi loại object
Quyền truy cập đến mỗi object
55

CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY

56

CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY

Global catalog server

Distinguished và relative distinguished name

GC server là một Domain Controller xử lý tất cả các truy vấn liên quan
đến dịch vụ Global Catalog


Distinguished name (DN): là tên để định danh đối tượng duy nhất trong
Active Directory
Relative distinguished name (RDN): là phần tên cũng chính là thuộc tính
của đối tượng
Ví dụ:
DN: CN=VXCHI,OU=KhoaCNTT,OU=HCM,DC=abc,DC=com

Read Only

RDN: CN=VXCHI

Global Catalog

abc.com
HCM
KhoaCNTT
VXCHI

57

58

KHẢO SÁT ACTIVE DIRECTORY

CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY

Cơ chế single sign-on
Mỗi user chỉ dùng 1 account cho nhiều dịch vụ
Làm đơn giản hoá việc quản lý và sử dụng


Cơ chế quản lý Active Directory.
Các công cụ quản lý Active Directory.

Log On to Windows

xp
Windows

How to Examine Active Directory.

R EDMOND

Domain Controller

Server XYZ

59

60

10


7/1/2019

KHẢO SÁT ACTIVE DIRECTORY

KHẢO SÁT ACTIVE DIRECTORY
Cơ chế quản lý Active Directory


Hiểu được cơ chế quản lý tập trung và uỷ quyền quản lý trong Active Directory

Phân tán

Cơ chế quản lý Active Directory

Uỷ quyền quản lý cho quản trị viên
khác

Tập trung

Quản trị hệ thống Active Directory
quy mô lớn linh hoạt hơn

Cho phép admin có thể quản trị tài nguyên tập trung
Cho phép admin có thể xác định thông tin của các
object
Cho phép dùng chính sách nhóm để quản lý user

61

KHẢO SÁT ACTIVE DIRECTORY
Các công cụ quản lý Active Directory
Administrative MMC snap-ins (mmc)
Active Directory Users and Computer (ADUC)
Active Directory Domains and Trusts (ADDT)
Active Directory Site and Services (ADSS)
Active Directory Schema (ADS)
Command-Lines Administrative Tool

Dsadd
Dsrm
Dsmod
Dsget
Dsquery
CSVDE
Dsmove
LDIFDE
Windows Script Host

62

GIỚI THIỆU OPERATION MASTER ROLES
Forest-wide roles

Domain-wide
PDC emulatorroles

Schema master
Domain naming
master
First domain controller in
the forest root domain

PDC emulator
RID master
RID master
Infrastructure
Infrastructure
master

master

Domain-wide roles
RID master
PDC emulator
Infrastructure
master
63

GIỚI THIỆU OPERATION MASTER ROLES

64

GIỚI THIỆU OPERATION MASTER ROLES

Schema Master Role
Domain Naming Master Role

Chức năng lưu trữ cấu trúc Schema của Forest.
Cấu trúc Schema:
 Lưu trữ định nghĩa các đối tượng trên DC (user, group, OU,
…)
 Lưu trữ thuộc tính của các đối tượng (fist name, last name,
address, …)
Cấu trúc Schema là chung cho toàn Forest
Schema Master Role mặc định được quản lý bởi P.DC của Forest Root
Domain

Quản lý cấu trúc các Domain trong Forest (quan hệ Domain
con, Domain cha, Trust Domain, …)

Nếu PC giữ Domain Naming Master Role chết thì không tạo
được Domain mới, không tạo được quan hệ Trust.
Domain Naming Master Role mặc định được quản lý bởi P.DC
của Forest Root Domain
65

66

11


7/1/2019

THIẾT KẾ, LẬP KẾ HOẠCH VÀ TRIỂN KHAI AD

GIỚI THIỆU OPERATION MASTER ROLES
RID Master Role
Quản lý Security Identifiler (SID) của đối tương trong Domain (user, group, OU, …)
P.DC của mỗi Domain giữ vai trò này (trong 1 Forest có thể có nhiều PC giữ Role
này)

Tổng quan về quá trình thiết kế, lập kế hoạch
và triển khai ADTheo nhu cầu của tổ chức
Tiến trình thiết kế AD

Infrastructure Master Role
Quản lý mối quan hệ giữa các đối tượng trong các Domain (trong mỗi domain có 1
DC giữ role này).
P.DC của mỗi Domain giữ Role này (trong 1 Forest có thể có nhiều PC giữ Role này).


Tiến trình lập kế hoạch xây dựng AD
Tiến trình triển khai AD

PDC Emulator Role
Giả lập một DC của Windows NT, dùng để replicate với các DC sử dụng Windows NT.
P.DC của mỗi Domain giữ Role này (trong 1 Forest có thể có nhiều PC giữ Role này)
67

THIẾT KẾ, LẬP KẾ HOẠCH VÀ TRIỂN KHAI AD

THIẾT KẾ, LẬP KẾ HOẠCH VÀ TRIỂN KHAI AD

Tiến trình thiết kế AD

Nắm được nguyên tắc khi thiết kế và triển khai dịch vụ Active Directory

Tổng quan về quá trình thiết kế, lập kế hoạch và
triển khai AD Theo nhu cầu của tổ chức
Thiết kế AD

Tiến trình thiết kế:

Dựa trên yêu cầu tổ chức của DN

Kế hoạch triển khai AD

68

Dựa trên chi tiết kỹ thuật của bản thiết kế
Xây dựng tài liệu hướng dẫn triển khai


Kết quả:

Thu thập thông tin về tổ
chức của DN

Thiết kế Forest và
domain

Phân tích thông tin về tổ
chức của DN

Thiết kế Organizational
unit

Phân tích các tùy chọn
thiết kế

Thiết kế Site

Lựa chọn 1 bản thiết kế

Triển khai AD

Tinh chỉnh bản thiết kế

Tạo cấu trúc forest và domain
69

THIẾT KẾ, LẬP KẾ HOẠCH VÀ TRIỂN KHAI AD


THIẾT KẾ, LẬP KẾ HOẠCH VÀ TRIỂN KHAI AD

Tiến trình lập kế hoạch xây dựng AD
Chiến lược tài
khoản

KH Triển khai
OU

Tiến trình triển khai AD

KH Triển khai
Site

Chiến lược
audit

KH Triển khai
software
KH phân bổ
DC

70

Thực thi kế hoạch triển khai Active Directory:
Kế hoạch triển
khai Active
Directory


Triển khai cấu trúc forest, domain, và DNS
Tạo:
 Các OU và security group
 Các tài khoản User và computer

KH Triển khai
GP

 Các Group Policy
Triển khai cấu hình Site
71

72

12


7/1/2019

CÂU HỎI ÔN TẬP

TÓM LƯỢC BÀI HỌC

Cơ chế hoạt động của Active Directory.
Cơ chế quản lý của Active Directory.

Cấu trúc luận lý của AD gồm những thành phần nào?

Kế hoạch triển khai Active Directory.


Cấu trúc vật lý của Active Directory gồm những thành phần nào?
Như thế nào là các server trong cùng một site?

Kết luận.

Cơ chế làm việc của Active Directory.

Nhận xét, đánh giá bài học

Các bước cần thiết khi tiến hành triển khai Active Directory.

Liên kết ứng dụng bài học vào thực tiễn DN

73

74

QUẢN TRỊ HỆ THỐNG MẠNG DOMAIN

MÔN HỌC: QUẢN TRỊ MẠNG MÁY TÍNH

Quản trị tài khoản User, Group,

Chương 2. Quản trị hệ thống mạng Tập trung
(tt)



User, Group, Computer.


Computer.
Quản trị OU.
Distribute File System - DFS.

Nắm được ý nghĩa của các loại tài khoản:



Sử dụng thành thạo các công cụ quản trị
tài khoản.



Phối hợp giữa quyền Share Permission và
NTFS Permission để xây dựng hệ thống
quản lý tài nguyên dùng chung (File Server)

75

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Domain Function Level








Windows 2000 mixed

Windows 2000 native
Windows Server 2003 interim
Windows Server 2003
Windows Server 2008
Windows Server 2012
Windows Server 2016

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Forest Function Level

 Windows 2000
 Windows Server 2003 interim
 Windows Server 2003
 Windows Server 2008
 Windows Server 2012

70-294 Training Kit Planning, Implementing, and Maintaining a Microsoft Windows
Server 2003 Active Directory Infrastructure (Page 154-156/70294 )

13


7/1/2019

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản là một đối tượng đại diện cho các user, group, computer trong
hệ thống mạng. Được phân biệt bằng các chuổi ký tự.

Tài khoản User
Tài khoản người dùng Local (cục

bộ):

Được định nghĩa trên máy
cục bộ, dùng để logon và
truy xuất tài nguyên trên
máy cục bộ
Được lưu trữ tại file SAM
của máy cục bộ
\Window\System32\config

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản user

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản user
Tài khoản người dùng domain:

Được định nghĩa trên
Active Directory.
Tài khoản domain được
lưu trữ tại file database
của DC là file NTDS.DIT
thuộc thư mục
\window\ntds

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm (Group)

Tài khoản người dùng tạo sẵn:
Được tạo sẵn khi cài đặt Window, không được xóa nhưng có thể đổi tên.

Các loại tài khoản tạo sẵn như:
Administrator: tài khoản đặc biệt, toàn quyền trên hệ thống và
domain
Guest: tài khoản giới hạn, chỉ sử dụng Internet hoặc in ấn.
ILS_Anonymous_User: tài khoản đặt biệt trong các ứng dụng điện
thoại
IUSR_computer_name: tài khoản dùng cho các dịch vụ dấu tên.

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm (Group)
Tài khoản nhóm cục bộ (Local):

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm(Group)
Tài khoản nhóm cục bộ (Local):

Loại nhóm trên các máy stand-alone server, member server, win2k,
window XP, chỉ có ý nghĩa và phạm vi hoạt động trên máy local.
Tài khoản nhóm domain:
Được lưu trữ trên AD, có ý nghĩa thẩm định trong cả hệ thống domain
Có hai loại domain group: nhóm bảo mật (Security group), nhóm phân
phối (Distribution group)
Nhóm bảo mật là nhóm dùng để cấp quyền hệ thống và truy xuất tài
nguyên: Domain Local, Global, Universal
Nhóm phân phối là nhóm không bảo mật, không thể gán quyền, chỉ
sử dụng để phân phối mail hoặc tin nhắn

14



7/1/2019

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm(Group)

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm (Group)

Tài khoản nhóm domain:

Tài khoản nhóm domain:

Domain Local: là nhóm nằm trên các máy DC và có phạm vi
hoạt động trong một miền. Các nhóm Builtin trong AD là
Domain Local.

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm(Group)
Tài khoản nhóm domain:

Universal Group: là nhóm phổ quát, tương tự Global. Dùng để cấp
phát quyền hệ thống và truy cập tài nguyên trên khắp miền trong
một domain forest và các miền thiết lập quan hệ tin cậy với nhau.

Global Group: là nhóm toàn cục nằm trên AD của DC.
Dùng để cấp phát quyền hệ thống và truy cập tài
nguyên vượt qua ranh giới của một miền.

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm(Group)

Tài khoản nhóm domain:

2. Global

Thành viên của group có Thành viên của group đó có thể
thể lấy từ Domain nào? truy cập tài nguyên của Domain
nào?
Tất cả các domain trong Domain nội bộ
forest
Domain nội bộ
Tất cả các domain trong forest

3. Universal

Tất cả các domain

Group Scope

1. Domain local

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm(Group)

Tất cả các domain

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Quy tắc gia nhập nhóm

Tài khoản nhóm domain:
Có 2 loại group


Domain Local

1. Security group
- Có thể Security
- Phân phối Mail cho group
2. Distribution group
- Phân phối Mail cho group

Local Group

Global

Universal

15


7/1/2019

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm (Group)
Tài khoản nhóm Domain Local tạo sẵn:

Administrators: nhóm toàn quyền trên hệ thống. Nhóm
Domain Admins và Enterprise Admins là thành viên của
Administrators.
Account Operations: có quyền thao tác với các loại tài
khoản: thêm, xóa, sữa…
Domain Controllers: cho phép đăng nhập tại DC

Server Operators: được phép quản lí các DC trong miền:
cấu hình, backup, share, cài đặt…
Backup Operators: nhóm có quyền backup hệ thống.
Users: đại diện cho tất cả các tài khoản người dùng.

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Quản trị tài khoản người dùng để phân quyền cho người dùng và giúp hệ
thống được hoạt động đúng.

Các thao tác quản trị User và Group Local
Thêm mới user
Xóa user
Khóa user
Cập nhật thuộc tính user
Thay đổi mật khẩu của user
Thêm mới goup
Xóa group
Đưa user vào group

QUẢN TRỊ ORGANIZATIONAL UNIT - OU
OU là đơn vị nhỏ nhất trong Domain dùng để tập hợp các tài khoản người
dùng, nhóm và máy tính để dễ quản lí và ủy quyền quản lý. Đồng thời áp
dụng các chính sách nhóm

Tạo OU
Đưa các tài khoản User,
Group, Computer vào OU
Ủy quyền quản lý OU cho
user


QUẢN TRỊ ORGANIZATIONAL UNIT - OU

QUẢN TRỊ ORGANIZATIONAL UNIT - OU
Ta có thể sử dụng command line trên M-Dos để xây dựng các đối tượng: OU,
User, Groups, Computers. Có thể viết thành file bat để thực hiện tự động

Tạo OU bằng lệnh dsadd OU
Tạo OU Maketing trong domain abc.com như sau:
Dsadd OU “OU=Maketing,DC=abc,DC=com”
Tạo OU Saigon trong OU Maketing thuộc domain abc.com như
sau:
Dsadd OU “OU=Saigon, OU=Maketing,DC=abc,DC=com”

QUẢN TRỊ ORGANIZATIONAL UNIT - OU

Tạo User bằng lệnh dsadd user
dsadd user UserDomainName [-samid SAMName] [-upn UPN] [-fn
FirstName] [-ln LastName] [-display DisplayName] [-pwd
{Password|*}]
Tạo User u1 trong OU Saigon thuộc OU Maketing, trong domain
abc.com với tên đăng nhập User 1 password 123:

Tạo Group bằng lệnh dsadd group
Dùng dsadd group để tạo một group Nhanvien thuộc OU Saigon trong OU
Maketing thuộc domain abc.com, loại group Security và scope Global
Dsadd group “ CN=Nhanvien, OU=Saigon, OU=Maketing,DC=abc,DC=com” secgrp yes -scope g

Dsadd user “CN=u1,OU=Saigon,OU=Maketing,DC=abc,DC=com,” upn -fn “User” -ln “1” -pwd 123 -disabled no

16



7/1/2019

QUẢN TRỊ ORGANIZATIONAL UNIT - OU

Add user vào group bằng lệnh dsmod group
Dùng dsmod group add user u1 thuộc OU=Saigon,OU=Maketing trong domain
abc.com
Dsmod group “ CN=Nhanvien, OU=Saigon, OU=Maketing,DC=abc,DC=com” addmbr “CN=u1,OU=Saigon,OU=Maketing,DC=abc,DC=com”

OFFLINE FILES

QUẢN TRỊ ORGANIZATIONAL UNIT - OU

Một số lệnh khác
Dsmove : Đổi tên các đối tượng
Dsrm : Xóa các đối tượng
Dsget: Xem thuộc tính của các đối tượng
Dsquery: Tìm kiếm các đối tượng

QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Profile của user:

Offline Files là một tính năng quản lý tài liệu quan trọng cung cấp cho
các user khả năng truy xuất online hay offline nhất định tới tập tin.

Ưu điểm của việc sử dụng Offline Files
Hỗ trợ cho những user lưu động.


Local Profile: loại Profile nằm trực tiếp tại máy Local, khi
user Logon vào sẽ được PC tạo một profile tại máy đó.
Roaming Profile: loại Profile được lưu trử trên mạng,
người quản trị phải thêm thông tin đường dẫn của Profile.

Tự động đồng bộ .
Quá trình thực thi thuận lợi .
Backup thuận lợi .

OFFLINE FILES
Cách thức làm việc của Offline files
Khi user log off khỏi mạng: hệ điều hành Windows client đồng
bộ các tập tin mạng với bộ nhớ đệm sẽ copy các files.

Mandatary Profile: loại Profile được lưu trử trên mạng và
người dùng chỉ được sử dụng không được thay đổi cấu hình
Profile

OFFLINE FILES
Chế độ lưu trữ Offline files
Offline files lưu trữ danh sách các file thường được truy xuất vào
một folder share.

Khi user disconnected khỏi mạng: user sẽ làm việc với những
files được lưu trữ trong bộ nhớ cục bộ.
Khi user log on trở lại vào mạng: hệ điều hành client Windows
đồng bộ bất kỳ tập tin offline nào mà user đã sửa đổi trên máy
mạng.

17



7/1/2019

OFFLINE FILES

CÂU HỎI ÔN TẬP

Nêu sự giống và khác nhau của các loại tài khoản người dùng.

Thiết lập Offline files

Thông tin định dang mỗi loại tài khoản là duy nhất trong hệ thống.

Computer Manager
Window Explore

Nêu các loại tài khoản người dùng và tài khoản nhóm có quyền quản lí
hệ thống.

Net share

Nêu các đặc tính đặc trưng của tài khoản người dùng domain.
Các thao tác quản lý tài khoản người dùng và tài khoản nhóm.
Ý nghĩa của việc sử dụng các dòng lệnh tạo các đối tượng trong AD.
Phạm vi của các loại tài khoản nhóm: Domain Local, Global, Universal.

DISTRIBUTE FILE SYSTEM – DFS

DISTRIBUTE FILE SYSTEM – DFS


Hạn chế của File Server

Trong hệ thống Windows Server DFS là một giải pháp cho phép tập trung các tài nguyên
được chia sẻ trên mạng để đơn giản việc quản lý và truy xuất

HoSo
File Server1

DataChung

HoSo
File Server1

BaoCao
File Server2
Users

DataChung

DFS

DataChung
File Server3

DISTRIBUTE FILE SYSTEM – DFS

Mục đích
Muốn tập trung các File Server để truy cập bằng một
tên chung  User chỉ cần nhớ 1 tên chung.

Cân bằng tải (Load Balancing) cho các File Server.
Đảm bảo đồng bộ dữ liệu giữa các File Server.

Users

BaoCao
File Server2

DISTRIBUTE FILE SYSTEM – DFS

Các khái niệm cơ bản
Root: là bảng chỉ mục (giống như mục lục của một quyển
sách) để liên kết đến dữ liệu.
Ví dụ: PC1 chứa Root  PC1 không hoạt động?
PC2 cũng chứa Root dự phòng,
Root trên PC2 gọi là Root Target.

Tăng khả năng sẳng sàng (Fault Tolerant) cho các File
Server  không làm ngưng trệ công việc

18


7/1/2019

DISTRIBUTE FILE SYSTEM – DFS

DISTRIBUTE FILE SYSTEM – DFS

Các khái niệm cơ bản

Domain Root:
Chỉ hỗ trợ trên Domain.
Có khả năng cung cấp chịu lổi (Fault-Tolerant).
User truy cập dữ liệu bằng tên Domain (\\abc.com)
Stand-alone Root:
Có thể dùng Workgroup và Domain.
Không có khả năng chịu lổi (Fault-Tolerant),
Chỉ tạo được Root (không tạo được Target Root),
User truy cập dữ liệu bằng tên máy chứa Root (\\PC1)
Link: là một dòng (record) trong bảng chỉ mục.
Link Target: là dữ liệu được đồng bộ giữa các File Server (Ví dụ:

Triển Khai DFS

DataChung

HoSo
File Server1

DFS

DataChung

Users

BaoCao
File Server2

Thư mục DataChung)


MÔN HỌC: QUẢN TRỊ MẠNG MÁY TÍNH

QUẢN TRỊ CÁC CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
Chính sách hệ thống & chính sách nhóm Group Policy là chính sách
mạng. Nó giúp người quản trị quản trị hệ thống mạng tối ưu nhất và mọi
chính sách được đảm bảo thực thi

Chương 2. Quản trị hệ thống mạng Tập trung
(tt)

Giới thiệu chính sách tài khoản người dùng
Giới thiệu Group Policy Object(GPO)
Triển khai Domain GPO
Quản lý và triển khai GPO
Quản lý User và Group với GPO
Chẩn đoán và xử lý lỗi

111

MỤC TIÊU BÀI HỌC

Hiểu rõ được ý nghĩa của System Policy và
Group Policy
Triển khai các chính sách bảo mật tài khoản
người dùng
Triển khai Group Policy trên Domain và OU
Dùng Group Policy tự động hóa các công tác
quản trị User và Computer

Câu hỏi ôn tập


GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG

Chính sách tài khoản người dùng (Account Policy) dùng để chỉ định
các chính sách liên quan tới các thông số cấu hình của tài khoản
người dùng.
Để cấu hình chính sách tài khoản người dùng ta dùng một trong 2
bộ công cụ sau:
 Workgroup: Local Security Policy
 Domain: Domain Security Policy

Xử lý lỗi thông dụng khi triển khai Group Policy
Faculty of Information Technology

19


7/1/2019

GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG

GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG
 Local Security Policy

Faculty of Information Technology

Faculty of Information Technology

GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG


GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG

Chính sách

Mô tả

Thiết định
mặc định

Enforce password history

Số lần đặt mật khẩu không được
trùng nhau

3

Maximum password age

Số ngày tối đa mật khẩu có hiệu lực

42

Minimum password age

Số ngày tối thiểu trước khi người
dùng có thể thay đổi mật khẩu

1

Minimum password length


Độ dài tối thiểu của một mật khẩu

7

Password must meet
complexity requirements

Độ phức tạp của mật khẩu (ký tự số,
ký tự thường, hoa, đặc biệt…)



Store password using reversible Mật khẩu được lưu dưới dạng mã
encryption for all users in the
hóa
domain

Không có

Chính sách

Giá trị mặc
định

Mô tả

Account Lockout
Threshold


Quy định số lần cố gắng đăng nhập hệ
thống trước khi tài khoản bị khóa

Account Lockout Duration

Quy định thời gian khóa tài khoản người
dùng

Reset Account Lockout
Counter After

Quy định thời gian khởi động lại bộ đếm
số lần đăng nhập không thành công

0
Không chỉ
định
Không chỉ
định

Faculty of Information Technology

Faculty of Information Technology

GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG

GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG

Chính sách kiểm toán quy định việc giám sát, ghi nhận các sự
kiện diễn ra trong hệ thống.


Faculty of Information Technology

Chính sách

Mô tả

Audit account logon events

Ghi nhận những sự kiện như tài khoản đăng nhập,
logon, logoff…

Audit account management

Ghi nhận sự thay đổi của các thông tin, thao tác
quản trị liên quan tới tài khoản người dùng

Audit directory service access

Ghi nhận việc truy cập tới các dịnh vụ thư mục

Audit logon events

Ghi nhận các sự kiện đăng nhập

Audit object access

Ghi nhận việc truy cập tới các đối tượng như tập
tin, thư mục, máy in…


Audit policy change

Ghi nhận các thay đổi trong chính sách kiểm toán

Faculty of Information Technology

20


7/1/2019

GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG

Chính sách

Mô tả

Audit privilege use

Ghi nhận các thao tác quản trị trên hệ thống như
cấp hoặc xóa quyền một người dùng nào đó

Audit process tracking

Ghi nhận hoạt động của các tiến trình hay hệ điều
hành

Audit system event

Ghi nhận các sự kiện khi tắt/mở máy


Group Policy là một thành phần quan trọng, nó giúp người quản trị có
thể đưa ra những chính sách bảo vệ, giới hạn tầm hoạt động của người
sử dụng theo một khuôn phép nhất định.

GPO

Giới thiệu Group Policy Object (GPO)
Site

Domain

OU

Faculty of Information Technology

Faculty of Information Technology

GIỚI THIỆU GROUP POLICY OBJECT (GPO)

GIỚI THIỆU GROUP POLICY OBJECT (GPO)

Chức năng của GPO

Các thành phần của GPO

Triển khai phần mềm ứng dụng
Gán quyền hệ thống cho người dùng
Giới hạn những ứng dụng cho người dùng được phép thi hành
Kiểm soát các thiết lập hệ thống

Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy
Đơn giản hóa và hạn chế các chương trình
Hạn chế tổng quát màn hình Desktop của người dùng
Faculty of Information Technology

GIỚI THIỆU GROUP POLICY OBJECT (GPO)

Faculty of Information Technology

TRIỂN KHAI DOMAIN GPO
Để triển khai Domain GPO người quản trị phải đăng nhập vào hệ thống với thàn
viên Domain Admins group, Enterprise Admins group hay Group Policy Creator
Owners group.

Group Policy settings for users :
Desktop settings.
Software settings.
Windows settings.
Security settings

Group Policy settings for computers :
Desktop behavior.
Software settings
Windows settings.
Security settings

Faculty of Information Technology

TRIỂN KHAI DOMAIN GPO
Active Directory Users and Computers

Active Directory Sites and Services
Local Security Policy
Group Policy Management

Faculty of Information Technology

21


7/1/2019

TRIỂN KHAI DOMAIN GPO

TRIỂN KHAI DOMAIN GPO
Group Policy Management

Active Directory Users and Computers

Slide 127

Slide 128

Faculty of Information Technology

Faculty of Information Technology

TRIỂN KHAI DOMAIN GPO

TRIỂN KHAI DOMAIN GPO


Group Policy Management

GPO Links
Domain
OU

Domain GPO
Site
OU

Site GPO

OU

Organizational Unit
GPO

Organizational Unit
GPO

Slide 129

Faculty of Information Technology

Faculty of Information Technology

TRIỂN KHAI DOMAIN GPO

QUẢN LÝ VÀ TRIỂN KHAI GPO


Tính thừa kế trong GPO Domain
Group Policy được áp dụng từ dưới lên trên, nên các GPO trên cùng
được áp dụng cuối cùng.
GPOs được áp dụng theo thứ tự: site, domain, OU
OU GPO 1
OU GPO 2
OU
OU

OU

OU GPO 3
OU

User or
Computer
Accounts

OU

Nội dung chính:

Giải thích sự xung đột giữa các GPO
Giải thích ý nghĩa của việc ngăn chặn triển khai một
GPO
Chặn đứng việc triển khai một GPO
Mô tả các thuộc tính của một GPO link
Cấu hình Group Policy ép buộc
Giải thích ý nghĩa để lọc việc triển khai một GPO
Cấu hình bộ lọc Group Policy


22


7/1/2019

QUẢN LÝ VÀ TRIỂN KHAI GPO

QUẢN LÝ VÀ TRIỂN KHAI GPO
Xung đột giữa các GPO
Những kết hợp phức tạp của GPO sẽ tạo ra sự xung đột
khi đó OU con sẽ giữ lại GPO mặc định của nó.

Block Policy inheritance
Domain

Các tùy chọn thay đổi kế thừa mặc định

Production

No Override

GPOs

Block Policy inheritance
Sales

No GPO
settings apply


QUẢN LÝ VÀ TRIỂN KHAI GPO

QUẢN LÝ VÀ TRIỂN KHAI GPO

Block Policy inheritance

No Override

QUẢN LÝ VÀ TRIỂN KHAI GPO

QUẢN LÝ VÀ TRIỂN KHAI GPO

Enforced

Conflicting Links

Faculty of Information Technology

Faculty of Information Technology

23


7/1/2019

QUẢN LÝ VÀ TRIỂN KHAI GPO

QUẢN LÝ VÀ TRIỂN KHAI GPO

Domain

GPO

Production

Sale
s
Mengph
Kimyo
Group

Allow

Read and Apply
Group Policy

Deny

Apply
Group Policy

Faculty of Information Technology

QUẢN LÝ USER VÀ GROUP VỚI GPO

Faculty of Information Technology

QUẢN LÝ USER VÀ GROUP VỚI GPO

Sử dụng Script GPO
Để quản lý môi trường làm việc user khi logon vào mạng. Bằng cách điều

khiển môi trường làm việc của họ, kết nối mạng và giao diện người dùng
thông qua Group Policy.

Nội dung chính:
Cấu hình các thiết lập GPO
Gán Scripts với Group Policy
Xác định Group Policy được áp dụng

Ví dụ:

Set objNetwork =
Wscript.CreateObject("WScript.Network")
objNetwork.MapNetworkDrive"G:",
"\\ComputerName\ComputerName Data"
msgbox “Welcome to iSPACE Center"

Faculty of Information Technology

QUẢN LÝ USER VÀ GROUP VỚI GPO

QUẢN LÝ USER VÀ GROUP VỚI GPO

Xác định GPOs được áp dụng

gpupdate
gpresult
group policy reporting
group policy modeling
group policy results


Gpupdate: refresh những thiết lập Group Policy.
Syntax
gpupdate [/Target:{Computer | User}] [/Force]
[/Wait:Value] [/Logoff] [/Boot] [/Sync]

Value : 0, n, -1

Faculty of Information Technology

24


7/1/2019

QUẢN LÝ USER VÀ GROUP VỚI GPO

Gpresult: xem thiết lập policy
Syntax
gpresult [/s Computer [/u Domain\User /p
Password]] [/user TargetUserName] [/scope
{user|computer}] [/v] [/z]

QUẢN LÝ USER VÀ GROUP VỚI GPO

Group Policy Reporting:

Faculty of Information Technology

QUẢN LÝ USER VÀ GROUP VỚI GPO


QUẢN LÝ USER VÀ GROUP VỚI GPO

Cấu hình Group Policy Modeling như thế nào?
Group Policy Modeling

Để sử dụng Group Policy Modeling phải là Windows
Server 2003 domain controller trong Forest.
Để thực hiện một truy vấn Group Policy Modeling,
user sử dụng Group Policy Modeling Wizard.

QUẢN LÝ USER VÀ GROUP VỚI GPO

Sử dụng Group Policy Results

CÂU HỎI ÔN TẬP

Nêu ý nghĩa của System Policy và Group Policy
Nêu ý nghĩa của chính sách mật khẩu và kiểm toán
Nêu phạm vị ảnh hưởng của Group Policy
Nêu các đối tượng có thể áp dụng Group Policy
Nêu các nhóm tài khoản có khả năng triển khai Group Policy
Nêu chức năng của Enforced và Block policy
Các loại Group Policy thường được triển khai trong hệ thống
Mô tả ý nghĩa và cách sữ dụng Group Policy Management

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×