7/1/2019
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH
KHOA CÔNG NGHỆ THÔNG TIN
MÔN HỌC: QUẢN TRỊ MẠNG MÁY TÍNH
Chương 1. Quản trị hệ thống mạng workgroup.
Chương 2. Quản trị hệ thống mạng tập trung.
QUẢN TRỊ MẠNG MÁY TÍNH
Chương 3. Quản trị lưu trữ.
Chương 4. Quản trị mạng Linux
Chương 5. Giám sát và duy trì hệ thống mạng.
Giảng Viên: ThS. Vương Xuân Chí
Email:
0903.270.567
2
1
QUẢN TRỊ HỆ THỐNG MẠNG WORKGROUP
TỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN
Tổng quan về quyền truy xuất tài nguyên File.
Permission
NTFS Permission.
Khi người dùng truy xuất đến các tài nguyên hệ thống thì
Share Folder.
phải có một tài khoản nhất định, mỗi tài khoản có một mức
độ truy cập nhất định.
Kết hợp Share Permission và NTFS Permission.
Hoạt động in ấn trong Window.
3
TỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN
4
TỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN
Permission là gì?
Permission là quyền truy xuất tài nguyên của người dùng.
Quyền truy xuất tài nguyên
Permission được dùng để gán cho các đối tượng muốn bảo mật: file,
folder, printer, ...
Người dùng muốn sử dụng tài nguyên hệ thống mạng: PC, Folder, File,
Printer phải có một tài khoản nhất định.
Permission được áp dụng cho user, group hay computer trên Active
Directory hay Local on computer.
Tài khoản còn gọi là username, được tạo ra và có một ID nhất định
trên toàn hệ thống.
oRead
oWrite
oDelete
Khi người dùng truy xuất tài nguyên sẽ có sự xác thực của hệ thống.
Để xác thực quyền truy xuất tài nguyên của người dùng hệ thống dựa
vào: SID, DACL, ACL.
5
6
1
7/1/2019
TỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN
TỔNG QUAN VỀ QUYỀN TRUY XUẤT TẬP TIN
Quyền truy xuất tài nguyên
Quyền truy xuất tài nguyên
SID (Security Identifier): số nhận dạng bảo mật. Thành phần nhận dạng
không trùng lặp được hệ thống tạo ra với tài khoản và dùng cho hệ thống
nhận dạng.
DACL (Discretionary Access Control List ): danh sách điều khiển truy
cập của chủ sở hữu, chủ sỡ hữu đối tượng có quyền thay đổi nội dung danh
sách này. Cho phép hoặc không cho phép truy cập đối tượng
ACL (Access Control List): danh sách điều khiển truy cập, chứa nhiều ACE
là các phần tử. Mỗi ACE chứa một số bảo mật SID của người dùng hoặc
nhóm người dùng, danh sách quy định người dùng được phép hay không
được phép truy cập đến đối tượng (gọi là Access Mask)
7
NTFS PERMISSION
8
NTFS PERMISSION
NTFS File and Folder Permission
NTFS hệ thống tập tin trên phân vùng định dạng NTFS của ổ cứng, cung cấp khả năng
bảo mật file và folder tốt nhất gọi là NTFS Permission
File permissions
Ưu điểm của NTFS
Độ tin cậy cao
Bảo mật cao
Tăng khả năng lưu trữ
Nhiều phân quyền hơn cho user
Full Control
Modify
Read & Execute
Write
Read
Read
List Folder Contents
9
NTFS PERMISSION
Folder permissions
Full Control
Modify
Read & Execute
Write
10
NTFS PERMISSION
NTFS File Permission
NTFS Folder Permission
11
12
2
7/1/2019
NTFS PERMISSION
NTFS PERMISSION
Standard Permission và Special Permission
Standard Permission
Standard Permission là những quyền mặc định của hệ thống được
dùng để gán cho người dùng thường xuyên nhất.
Mỗi quyền trong đó bao gồm nhiều quyền chi tiết khác.
13
NTFS PERMISSION
14
NTFS PERMISSION
Tính kế thừa của Permission
Mặc định các File/Folder con thừa hưởng các thuộc tính của
thư mục cha.
Special Permission
Special Permission là các quyền
chi tiết của hệ thống
Inherit permissions
Liệt kê các quyền của một quyền
chuẩn.
FolderA
Read / Write
Nó cung khả năng phân quyền
một cách chi tiết cho các đối
tượng.
FolderB
Access to FolderB
Prevent inheritance
FolderA
Read / Write
15
No access to FolderB
FolderB
FolderC
16
CHIA SẺ TÀI NGUYÊN QUA MẠNG
NTFS PERMISSION
Thư mục chia sẻ cho phép người dùng truy xuất qua mạng. Khi một folder được share
Tính kế thừa của Permission
người dùng có thể truy xuất các file và subfolder trong đó với quyền hạn tương ứng
Người quản trị có thể bỏ tính thừa hưởng đó để phân quyền
cho các thư mục con và file cụ thể hơn.
được gán trên đó.
Chia sẻ tài nguyên ?
Là thư mục được người chia sẻ trên mạng và cấp quyền truy xuất cho người
dùng thông qua Share Permission.
Shared folder có biểu tượng hình bàn tay bên dưới.
17
18
3
7/1/2019
CHIA SẺ TÀI NGUYÊN QUA MẠNG
CHIA SẺ TÀI NGUYÊN QUA MẠNG
Shared Premissions
Full Control
Cơ chế chia sẻ tài nguyên
Change
Classic
Read
Guest only
19
CHIA SẺ TÀI NGUYÊN QUA MẠNG
20
CHIA SẺ TÀI NGUYÊN QUA MẠNG
Quản trị Shared Folder
Quản trị Shared Folder
Người dùng có thể share một folder, không
thể share file.
Các thư mục chia sẽ ẩn sẽ thêm vào ký hiệu $ vào cuối
share name.
Khi một folder được share thì quyền Read sẽ
được gán mặc định cho nhóm Everyone,
chúng ta cần removed nhóm đó ra trước
(nếu cần thiết).
Thể truy cập đến tài nguyên chia sẽ như sau:
\\Server\Foldershare
\\Server\Foldershare$
Khi một user hoặc group được thêm vào sẽ
được gán quyền Read.
Ánh xạ ổ đĩa mạng (Map Network Drive)
21
CHIA SẺ TÀI NGUYÊN QUA MẠNG
22
KẾT HỢP SHARE PERMISSION VÀ NTFS PERMISSION
Shared Folder mặc định
Người quản trị có thể kết hợp Share Permission và NTFS Permission để
Mặc định Windows share các folder và ổ đĩa để phục vụ cho công việc
quản trị.
bảo mật tài nguyên tốt hơn.
Các folder được share ẩn với ký tự $ ở cuối tên folder hoặc ổ đĩa.
Public
Full
Users
NTFS Volume
Read
Change
23
File1
File2
24
4
7/1/2019
HOẠT ĐỘNG IN ẤN TRONG WINDOWS
HOẠT ĐỘNG IN ẤN TRONG WINDOWS
Các thuật ngữ trong máy in
Windows Server giúp cho người quản trị dễ dàng cài đặt máy in mạng và cấu
hình những tài nguyên in từ một vị trí trung tâm.
Printer Server
Print Client
Các thuật ngữ trong máy in
Print device
Printer
Printer Pooling: phối hợp nhiều máy in vật lý vào chung một máy in
logic.
Printer Queue: hàng đợi của máy in trước khi đưa tài liệu vào in.
Printer Spooler: bộ điều phối in ấn
26
25
HOẠT ĐỘNG IN ẤN TRONG WINDOWS
1
LOCAL PRINTER VÀ NETWORK PRINTER
Network Print
Client
2
4
Router
Spooler
Remote Print Provider
Print Server Service
Local printers :
Print
Driver
GDI
Là một nhà quản trị mạng, bạn phải quản trị cả hai loại máy in: một máy in cục bộ và một máy
Print Server
in mạng. Bạn phải tạo cả hai loại máy in trước khi share chúng cho các user khác sử dụng.
Application
5
Local Print Provider
6
Print Processor
7
Separator Page Processor
8
Local Print Provider
Print Server
Print Server
LPT or
USB
3
Print Device
9
Network printers :
TCP/IP or
IPX or
AppleTalk
Print Device
Print Device
Print Device
27
LOCAL PRINTER VÀ NETWORK PRINTER
28
TRIỂN KHAI MÁY IN LOCAL VÀ NETWORK
So sánh
Để cài và share một local printer, chúng ta sử dụng Add Printer
Local Printer
Wizard trong cửa sổ Printers and Faxes.
Network Printer
Thuận lợi
- Thiết bị in ở trạng thái - Nhiều user có thể truy
gần với máy tính của user
xuất máy in.
- Plug and Play có thể phát
hiện các máy in và tự động
cài driver
Bất lợi
- Mỗi máy tính cần một - Phải hỗ trợ việc phân
thiết bị in.
phối các bản update
- Driver phải được cài đặt driver cho nhiều client.
trên mỗi máy Local.
29
30
5
7/1/2019
TRIỂN KHAI MÁY IN LOCAL VÀ NETWORK
QUẢN LÝ TRUY CẬP MÁY IN
Quyền truy xuất máy in
Permission
Cho phép user sử dụng
Print
- User có thể kết nối tới máy in và gửi những tài liệu in
tới máy in.
Manage
Printers
- User có thể thực hiện các thao tác kết hợp với quyền
Print và có quyền quản lý hoàn toàn máy in. User có
thể ngừng và restart máy in, thay đổi các thiết lập
spooler, share một máy in, chỉnh sửa quyền và thay đổi
các thuộc tính máy in.
Manage
Documents
- User có thể ngưng, tiếp tục lại, restart, bỏ qua và sắp
xếp lại tất cả các tài liệu được submit bởi tất cả các
user khác.
31
QUẢN LÝ TRUY CẬP MÁY IN
32
QUẢN LÝ TRUY CẬP MÁY IN
33
MÔN HỌC: QUẢN TRỊ MẠNG MÁY TÍNH
34
NHỮNG KHÓ KHĂN CỦA QUẢN TRỊ MẠNG NGANG HÀNG
Chương 2. Quản trị hệ thống mạng Tập trung.
Phức tạp khi có nhiều người dùng – nhiều máy tính, muốn truy cập dữ liệu
lẫn nhau:
Trên mỗi máy tính: phải tạo n tài khoản
cho n người dùng.
Hoặc: mỗi người dùng phải nhớ thông
tin m tài khoản truy cập vào m máy tính.
Khi triển khai các phần mềm, chính
sách… người quản trị phải thao tác trên
từng máy tính
Không kiểm soát được các hành động
của người dùng trên máy của họ.
35
6
7/1/2019
MẠNG QUẢN TRỊ TẬP TRUNG
MẠNG QUẢN TRỊ TẬP TRUNG
Mô hình quản trị Doanh nghiệp trong quản trị mạng tập trung
Tập trung tất cả các tài nguyên mạng vào
một “miền quản trị” (Domain).
Quản trị Doanh nghiệp
Quản trị mạng tập trung
Mỗi miền quản trị có một tài khoản toàn
quyền quản lý tất cả tài nguyên mạng
(Administrator, Root, Supervisor…)
Công ty / Công ty con
Domain / Sub-Domain
Tên Công ty / Doanh nghiệp
Domain Name
Mối quan hệ, liên kết giữa các Công ty
Ralationship
Các chính sách triển khai trên miền sẽ được
tất cá đối tương mạng trong miền tuân thủ.
Trụ sở Công ty / Công ty con
Site
Các Phòng, Ban, Đơn vị thuộc Công ty
Organization Unit (OU)
Các tài nguyên mạng / đối tượng mạng được
quản lý theo các danh mục (Directory).
Nhân sự / Nhóm nhân sự
User / Group
Trưởng đơn vị
OU Delegation
ACTIVE DIRECTORY (AD)
MẠNG QUẢN TRỊ TẬP TRUNG
Mô hình quản trị Doanh nghiệp trong quản trị mạng tập trung
Quản trị Doanh nghiệp
Active Directory là dịch vụ hệ thống quan trọng bậc nhất với vai trò lưu trữ toàn bộ thông
tin và database của hệ thống mạng.
Quản trị mạng tập trung
Giới thiệu Active Directory:
Tài sản
Computer, Printer, File, Software, Data
Các chính sách, quy định…
Group Policy
Hồ sơ quản lý nhân sự, tài sản…
Directory
Chức năng của AD:
Lưu trữ tập trung danh sách tài khoản người, tài khoản máy tính.
Cung cấp một Server đóng vai trò máy chủ chứng thực gọi là Domain Controller.
Các sơ đồ tổ chức, tiêu chuẩn, quy cách
Schema
các thành phần trong sơ đồ tổ chức
Dữ liệu lưu trữ hồ sơ quản lý, sơ đồ tổ
Database của Domain
chức, danh sách nhân sự, tài sản…
Chữ ký, con dấu, xác thực…
Authority services
Lưu giữ bảng chỉ mục của các tài nguyên trên mạng.
Cho phép tạo ra các tài khoản có quyền hạn nhất định trong hệ thống.
Cho phép chia nhỏ hệ thống thành những miền nhỏ hơn để dễ dàng quản lí và
ủy quyền trong hệ thống.
40
ACTIVE DIRECTORY (AD)
ACTIVE DIRECTORY (AD)
Active Directory Database
Active Directory Database
Active directory objects
Active directory schema
Dữ liệu trong AD là thông tin
users, máy in, server, máy
tính, … được tổ chức như là
một object.
Dữ liệu lưu trữ chính trong
AD là Active Directory
Schema.
AD Schema là danh sách các
định nghĩa xác định các loại
đối tượng và các loại thông
tin về đối tượng lưu trữ trong
AD.
Mỗi object có những thuộc
tính riêng đặc trưng cho
object đó
Object đặc biêt là container
chứa được các object khác.
41
42
7
7/1/2019
CÁC THÀNH PHẦN CỦA AD
CÁC THÀNH PHẦN CỦA AD
Kiến trúc của dịch vụ Active Directory được chia làm hai phần chính:
Cấu trúc luận lý:
cấu trúc luận lý và cấu trúc vật lý
Domain
Domain đóng vai trò là khu vực
quản trị.
Cấu trúc luận lý:
Domain
Domain Tree
Forest
OU
Quản lí bảo mật các đối tượng
chia sẽ.
Cung cấp Server dự phòng
đóng vai tròn điều khiển vùng,
và bảo đảm các server đồng
bộ với nhau.
43
CÁC THÀNH PHẦN CỦA AD
44
CÁC THÀNH PHẦN CỦA AD
Cấu trúc luận lý:
Cấu trúc luận lý:
Domain Tree
Organizational Units
Domain tree là cấu trúc gồm nhiều domain
sắp xếp có cấp bậc theo cấu trúc hình cây.
OU là thành phần nhỏ nhất của
AD. OU là vật chứa các đối
tượng khác: User, PC, Printer.
Domain được tạo ra đầu tiên gọi là domain
root.
OU dùng để ủy quyền kiểm
soát các tài khoản người dùng,
máy tính, tài nguyên mạng.
Tất cả nhưng domain con được tạo ra sau
đó gọi là sub-domain. Các sub-domain
phải khác nhau.
Áp đặt các chính sách lên
những người dùng cụ thể.
Khi có một root domain và sub-domain thì
hình thành một Tree domain.
45
CÁC THÀNH PHẦN CỦA AD
46
CÁC THÀNH PHẦN CỦA AD
Cấu trúc vật lý:
Cấu trúc luận lý:
A
1
Site
Domain Forest
Dùng để phân biệt giữa
các tài khoản, máy tính,
tài nguyên mạng ở vị trí
cục bộ và vị trí xa xôi.
Nhiều domain tree có
thiết lập quan hệ và
ủy quyền cho nhau là
Domain Forest
Dùng tập hợp những tài
khoản, máy tính, tài
nguyên mạng ở trong
cùng một khu vực
Hợp nhất các Domain
tree lại với nhau để
tiện cho việc quản lí
47
IP Subnet
Site
B
1
Site Link
B
2
IP Subnet
Site
B
3
IP Subnet
Cost
IP Subnet
48
8
7/1/2019
CÁC THÀNH PHẦN CỦA AD
Cấu trúc vật lý:
Domain Controller Server
- XÂY DỰNG DOMAIN CONTROLLER
Lưu giữ dịch vụ bản sao
Domain Directory.
- GIA NHẬP DOMAIN
Đóng vai trò chứng thực
cho người dùng
- XÂY DỰNG ADDITAIONAL DOMAIN CONTROLLER
Một máy chủ cài đặt dịch
vụ AD được gọi là Domain
Controller
49
50
XỬ LÝ MỘT SỐ SỰ CỐ THÔNG DỤNG
QUẢN TRỊ DOMAIN CONTROLLER
Active Directory Users And Computers (ADUC)
Builtin: quản lí tất cả các Groups do Windows tạo ra
Computers :quản lí tất cả các máy tính khi gia nhập vào
domain
Xây dựng Domain Controller
Users: chứa tất cả các tài khoản người dùng trong domain
Gia nhập Client vào domain
Domain Controller : quản lí tất cả các máy chủ DC có trong
domain
ForeignSecurityPrincipals: các đối tượng không thuộc miền
đang xem xét.
51
CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY
52
CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY
Hiểu được quy trình làm việc của Active Directory
Directory Service
Directory service
Schema
Directory service là một cấu trúc lưu trữ thông tin về user và tài nguyên
trong hệ thống.
Global Catalog
Distinguished & Relative Distinguished Names
Domain
OU1
Computers
Computer1
Single Sign-On
53
Users
User1
OU2
Users
User2
Printers
Printer1
TaiTV
Attributes
Values
Name
Tran Van AA
Building
300A NTT
Floor
2
54
9
7/1/2019
CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY
CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY
Active directory schema
Global catalog (GC)
Định nghĩa tất cả các object được quản lý trong Active Directory
Schema được tạo thành từ các object class và các attribute
GC lưu trữ tất cả các object của miền chứa GC và một phần các object
thường được người dùng tìm kiếm của các domain khác trong forest.
Ví dụ:
Global catalog lưu trữ:
Những thuộc tính thường dùng trong việc truy vấn như user’s first
name, last name, logon name
Attributes
Object classes
accountExpires
department
distinguishedName
directReports
dNSHostName
operatingSystem
repsFrom
repsTo
firstName
lastName
User
Computer
Printer
Thông tin cần thiết để xác định vị trí của bất kỳ object nào trong
active directory
Tập hợp các thuộc tính mặc định cho mỗi loại object
Quyền truy cập đến mỗi object
55
CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY
56
CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY
Global catalog server
Distinguished và relative distinguished name
GC server là một Domain Controller xử lý tất cả các truy vấn liên quan
đến dịch vụ Global Catalog
Distinguished name (DN): là tên để định danh đối tượng duy nhất trong
Active Directory
Relative distinguished name (RDN): là phần tên cũng chính là thuộc tính
của đối tượng
Ví dụ:
DN: CN=VXCHI,OU=KhoaCNTT,OU=HCM,DC=abc,DC=com
Read Only
RDN: CN=VXCHI
Global Catalog
abc.com
HCM
KhoaCNTT
VXCHI
57
58
KHẢO SÁT ACTIVE DIRECTORY
CƠ CHẾ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY
Cơ chế single sign-on
Mỗi user chỉ dùng 1 account cho nhiều dịch vụ
Làm đơn giản hoá việc quản lý và sử dụng
Cơ chế quản lý Active Directory.
Các công cụ quản lý Active Directory.
Log On to Windows
xp
Windows
How to Examine Active Directory.
R EDMOND
Domain Controller
Server XYZ
59
60
10
7/1/2019
KHẢO SÁT ACTIVE DIRECTORY
KHẢO SÁT ACTIVE DIRECTORY
Cơ chế quản lý Active Directory
Hiểu được cơ chế quản lý tập trung và uỷ quyền quản lý trong Active Directory
Phân tán
Cơ chế quản lý Active Directory
Uỷ quyền quản lý cho quản trị viên
khác
Tập trung
Quản trị hệ thống Active Directory
quy mô lớn linh hoạt hơn
Cho phép admin có thể quản trị tài nguyên tập trung
Cho phép admin có thể xác định thông tin của các
object
Cho phép dùng chính sách nhóm để quản lý user
61
KHẢO SÁT ACTIVE DIRECTORY
Các công cụ quản lý Active Directory
Administrative MMC snap-ins (mmc)
Active Directory Users and Computer (ADUC)
Active Directory Domains and Trusts (ADDT)
Active Directory Site and Services (ADSS)
Active Directory Schema (ADS)
Command-Lines Administrative Tool
Dsadd
Dsrm
Dsmod
Dsget
Dsquery
CSVDE
Dsmove
LDIFDE
Windows Script Host
62
GIỚI THIỆU OPERATION MASTER ROLES
Forest-wide roles
Domain-wide
PDC emulatorroles
Schema master
Domain naming
master
First domain controller in
the forest root domain
PDC emulator
RID master
RID master
Infrastructure
Infrastructure
master
master
Domain-wide roles
RID master
PDC emulator
Infrastructure
master
63
GIỚI THIỆU OPERATION MASTER ROLES
64
GIỚI THIỆU OPERATION MASTER ROLES
Schema Master Role
Domain Naming Master Role
Chức năng lưu trữ cấu trúc Schema của Forest.
Cấu trúc Schema:
Lưu trữ định nghĩa các đối tượng trên DC (user, group, OU,
…)
Lưu trữ thuộc tính của các đối tượng (fist name, last name,
address, …)
Cấu trúc Schema là chung cho toàn Forest
Schema Master Role mặc định được quản lý bởi P.DC của Forest Root
Domain
Quản lý cấu trúc các Domain trong Forest (quan hệ Domain
con, Domain cha, Trust Domain, …)
Nếu PC giữ Domain Naming Master Role chết thì không tạo
được Domain mới, không tạo được quan hệ Trust.
Domain Naming Master Role mặc định được quản lý bởi P.DC
của Forest Root Domain
65
66
11
7/1/2019
THIẾT KẾ, LẬP KẾ HOẠCH VÀ TRIỂN KHAI AD
GIỚI THIỆU OPERATION MASTER ROLES
RID Master Role
Quản lý Security Identifiler (SID) của đối tương trong Domain (user, group, OU, …)
P.DC của mỗi Domain giữ vai trò này (trong 1 Forest có thể có nhiều PC giữ Role
này)
Tổng quan về quá trình thiết kế, lập kế hoạch
và triển khai ADTheo nhu cầu của tổ chức
Tiến trình thiết kế AD
Infrastructure Master Role
Quản lý mối quan hệ giữa các đối tượng trong các Domain (trong mỗi domain có 1
DC giữ role này).
P.DC của mỗi Domain giữ Role này (trong 1 Forest có thể có nhiều PC giữ Role này).
Tiến trình lập kế hoạch xây dựng AD
Tiến trình triển khai AD
PDC Emulator Role
Giả lập một DC của Windows NT, dùng để replicate với các DC sử dụng Windows NT.
P.DC của mỗi Domain giữ Role này (trong 1 Forest có thể có nhiều PC giữ Role này)
67
THIẾT KẾ, LẬP KẾ HOẠCH VÀ TRIỂN KHAI AD
THIẾT KẾ, LẬP KẾ HOẠCH VÀ TRIỂN KHAI AD
Tiến trình thiết kế AD
Nắm được nguyên tắc khi thiết kế và triển khai dịch vụ Active Directory
Tổng quan về quá trình thiết kế, lập kế hoạch và
triển khai AD Theo nhu cầu của tổ chức
Thiết kế AD
Tiến trình thiết kế:
Dựa trên yêu cầu tổ chức của DN
Kế hoạch triển khai AD
68
Dựa trên chi tiết kỹ thuật của bản thiết kế
Xây dựng tài liệu hướng dẫn triển khai
Kết quả:
Thu thập thông tin về tổ
chức của DN
Thiết kế Forest và
domain
Phân tích thông tin về tổ
chức của DN
Thiết kế Organizational
unit
Phân tích các tùy chọn
thiết kế
Thiết kế Site
Lựa chọn 1 bản thiết kế
Triển khai AD
Tinh chỉnh bản thiết kế
Tạo cấu trúc forest và domain
69
THIẾT KẾ, LẬP KẾ HOẠCH VÀ TRIỂN KHAI AD
THIẾT KẾ, LẬP KẾ HOẠCH VÀ TRIỂN KHAI AD
Tiến trình lập kế hoạch xây dựng AD
Chiến lược tài
khoản
KH Triển khai
OU
Tiến trình triển khai AD
KH Triển khai
Site
Chiến lược
audit
KH Triển khai
software
KH phân bổ
DC
70
Thực thi kế hoạch triển khai Active Directory:
Kế hoạch triển
khai Active
Directory
Triển khai cấu trúc forest, domain, và DNS
Tạo:
Các OU và security group
Các tài khoản User và computer
KH Triển khai
GP
Các Group Policy
Triển khai cấu hình Site
71
72
12
7/1/2019
CÂU HỎI ÔN TẬP
TÓM LƯỢC BÀI HỌC
Cơ chế hoạt động của Active Directory.
Cơ chế quản lý của Active Directory.
Cấu trúc luận lý của AD gồm những thành phần nào?
Kế hoạch triển khai Active Directory.
Cấu trúc vật lý của Active Directory gồm những thành phần nào?
Như thế nào là các server trong cùng một site?
Kết luận.
Cơ chế làm việc của Active Directory.
Nhận xét, đánh giá bài học
Các bước cần thiết khi tiến hành triển khai Active Directory.
Liên kết ứng dụng bài học vào thực tiễn DN
73
74
QUẢN TRỊ HỆ THỐNG MẠNG DOMAIN
MÔN HỌC: QUẢN TRỊ MẠNG MÁY TÍNH
Quản trị tài khoản User, Group,
Chương 2. Quản trị hệ thống mạng Tập trung
(tt)
•
User, Group, Computer.
Computer.
Quản trị OU.
Distribute File System - DFS.
Nắm được ý nghĩa của các loại tài khoản:
•
Sử dụng thành thạo các công cụ quản trị
tài khoản.
•
Phối hợp giữa quyền Share Permission và
NTFS Permission để xây dựng hệ thống
quản lý tài nguyên dùng chung (File Server)
75
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Domain Function Level
Windows 2000 mixed
Windows 2000 native
Windows Server 2003 interim
Windows Server 2003
Windows Server 2008
Windows Server 2012
Windows Server 2016
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Forest Function Level
Windows 2000
Windows Server 2003 interim
Windows Server 2003
Windows Server 2008
Windows Server 2012
70-294 Training Kit Planning, Implementing, and Maintaining a Microsoft Windows
Server 2003 Active Directory Infrastructure (Page 154-156/70294 )
13
7/1/2019
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản là một đối tượng đại diện cho các user, group, computer trong
hệ thống mạng. Được phân biệt bằng các chuổi ký tự.
Tài khoản User
Tài khoản người dùng Local (cục
bộ):
Được định nghĩa trên máy
cục bộ, dùng để logon và
truy xuất tài nguyên trên
máy cục bộ
Được lưu trữ tại file SAM
của máy cục bộ
\Window\System32\config
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản user
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản user
Tài khoản người dùng domain:
Được định nghĩa trên
Active Directory.
Tài khoản domain được
lưu trữ tại file database
của DC là file NTDS.DIT
thuộc thư mục
\window\ntds
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm (Group)
Tài khoản người dùng tạo sẵn:
Được tạo sẵn khi cài đặt Window, không được xóa nhưng có thể đổi tên.
Các loại tài khoản tạo sẵn như:
Administrator: tài khoản đặc biệt, toàn quyền trên hệ thống và
domain
Guest: tài khoản giới hạn, chỉ sử dụng Internet hoặc in ấn.
ILS_Anonymous_User: tài khoản đặt biệt trong các ứng dụng điện
thoại
IUSR_computer_name: tài khoản dùng cho các dịch vụ dấu tên.
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm (Group)
Tài khoản nhóm cục bộ (Local):
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm(Group)
Tài khoản nhóm cục bộ (Local):
Loại nhóm trên các máy stand-alone server, member server, win2k,
window XP, chỉ có ý nghĩa và phạm vi hoạt động trên máy local.
Tài khoản nhóm domain:
Được lưu trữ trên AD, có ý nghĩa thẩm định trong cả hệ thống domain
Có hai loại domain group: nhóm bảo mật (Security group), nhóm phân
phối (Distribution group)
Nhóm bảo mật là nhóm dùng để cấp quyền hệ thống và truy xuất tài
nguyên: Domain Local, Global, Universal
Nhóm phân phối là nhóm không bảo mật, không thể gán quyền, chỉ
sử dụng để phân phối mail hoặc tin nhắn
14
7/1/2019
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm(Group)
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm (Group)
Tài khoản nhóm domain:
Tài khoản nhóm domain:
Domain Local: là nhóm nằm trên các máy DC và có phạm vi
hoạt động trong một miền. Các nhóm Builtin trong AD là
Domain Local.
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm(Group)
Tài khoản nhóm domain:
Universal Group: là nhóm phổ quát, tương tự Global. Dùng để cấp
phát quyền hệ thống và truy cập tài nguyên trên khắp miền trong
một domain forest và các miền thiết lập quan hệ tin cậy với nhau.
Global Group: là nhóm toàn cục nằm trên AD của DC.
Dùng để cấp phát quyền hệ thống và truy cập tài
nguyên vượt qua ranh giới của một miền.
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm(Group)
Tài khoản nhóm domain:
2. Global
Thành viên của group có Thành viên của group đó có thể
thể lấy từ Domain nào? truy cập tài nguyên của Domain
nào?
Tất cả các domain trong Domain nội bộ
forest
Domain nội bộ
Tất cả các domain trong forest
3. Universal
Tất cả các domain
Group Scope
1. Domain local
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm(Group)
Tất cả các domain
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Quy tắc gia nhập nhóm
Tài khoản nhóm domain:
Có 2 loại group
Domain Local
1. Security group
- Có thể Security
- Phân phối Mail cho group
2. Distribution group
- Phân phối Mail cho group
Local Group
Global
Universal
15
7/1/2019
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Tài khoản nhóm (Group)
Tài khoản nhóm Domain Local tạo sẵn:
Administrators: nhóm toàn quyền trên hệ thống. Nhóm
Domain Admins và Enterprise Admins là thành viên của
Administrators.
Account Operations: có quyền thao tác với các loại tài
khoản: thêm, xóa, sữa…
Domain Controllers: cho phép đăng nhập tại DC
Server Operators: được phép quản lí các DC trong miền:
cấu hình, backup, share, cài đặt…
Backup Operators: nhóm có quyền backup hệ thống.
Users: đại diện cho tất cả các tài khoản người dùng.
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Quản trị tài khoản người dùng để phân quyền cho người dùng và giúp hệ
thống được hoạt động đúng.
Các thao tác quản trị User và Group Local
Thêm mới user
Xóa user
Khóa user
Cập nhật thuộc tính user
Thay đổi mật khẩu của user
Thêm mới goup
Xóa group
Đưa user vào group
QUẢN TRỊ ORGANIZATIONAL UNIT - OU
OU là đơn vị nhỏ nhất trong Domain dùng để tập hợp các tài khoản người
dùng, nhóm và máy tính để dễ quản lí và ủy quyền quản lý. Đồng thời áp
dụng các chính sách nhóm
Tạo OU
Đưa các tài khoản User,
Group, Computer vào OU
Ủy quyền quản lý OU cho
user
QUẢN TRỊ ORGANIZATIONAL UNIT - OU
QUẢN TRỊ ORGANIZATIONAL UNIT - OU
Ta có thể sử dụng command line trên M-Dos để xây dựng các đối tượng: OU,
User, Groups, Computers. Có thể viết thành file bat để thực hiện tự động
Tạo OU bằng lệnh dsadd OU
Tạo OU Maketing trong domain abc.com như sau:
Dsadd OU “OU=Maketing,DC=abc,DC=com”
Tạo OU Saigon trong OU Maketing thuộc domain abc.com như
sau:
Dsadd OU “OU=Saigon, OU=Maketing,DC=abc,DC=com”
QUẢN TRỊ ORGANIZATIONAL UNIT - OU
Tạo User bằng lệnh dsadd user
dsadd user UserDomainName [-samid SAMName] [-upn UPN] [-fn
FirstName] [-ln LastName] [-display DisplayName] [-pwd
{Password|*}]
Tạo User u1 trong OU Saigon thuộc OU Maketing, trong domain
abc.com với tên đăng nhập User 1 password 123:
Tạo Group bằng lệnh dsadd group
Dùng dsadd group để tạo một group Nhanvien thuộc OU Saigon trong OU
Maketing thuộc domain abc.com, loại group Security và scope Global
Dsadd group “ CN=Nhanvien, OU=Saigon, OU=Maketing,DC=abc,DC=com” secgrp yes -scope g
Dsadd user “CN=u1,OU=Saigon,OU=Maketing,DC=abc,DC=com,” upn -fn “User” -ln “1” -pwd 123 -disabled no
16
7/1/2019
QUẢN TRỊ ORGANIZATIONAL UNIT - OU
Add user vào group bằng lệnh dsmod group
Dùng dsmod group add user u1 thuộc OU=Saigon,OU=Maketing trong domain
abc.com
Dsmod group “ CN=Nhanvien, OU=Saigon, OU=Maketing,DC=abc,DC=com” addmbr “CN=u1,OU=Saigon,OU=Maketing,DC=abc,DC=com”
OFFLINE FILES
QUẢN TRỊ ORGANIZATIONAL UNIT - OU
Một số lệnh khác
Dsmove : Đổi tên các đối tượng
Dsrm : Xóa các đối tượng
Dsget: Xem thuộc tính của các đối tượng
Dsquery: Tìm kiếm các đối tượng
QUẢN TRỊ TÀI KHOẢN USER, GROUP, COMPUTER
Profile của user:
Offline Files là một tính năng quản lý tài liệu quan trọng cung cấp cho
các user khả năng truy xuất online hay offline nhất định tới tập tin.
Ưu điểm của việc sử dụng Offline Files
Hỗ trợ cho những user lưu động.
Local Profile: loại Profile nằm trực tiếp tại máy Local, khi
user Logon vào sẽ được PC tạo một profile tại máy đó.
Roaming Profile: loại Profile được lưu trử trên mạng,
người quản trị phải thêm thông tin đường dẫn của Profile.
Tự động đồng bộ .
Quá trình thực thi thuận lợi .
Backup thuận lợi .
OFFLINE FILES
Cách thức làm việc của Offline files
Khi user log off khỏi mạng: hệ điều hành Windows client đồng
bộ các tập tin mạng với bộ nhớ đệm sẽ copy các files.
Mandatary Profile: loại Profile được lưu trử trên mạng và
người dùng chỉ được sử dụng không được thay đổi cấu hình
Profile
OFFLINE FILES
Chế độ lưu trữ Offline files
Offline files lưu trữ danh sách các file thường được truy xuất vào
một folder share.
Khi user disconnected khỏi mạng: user sẽ làm việc với những
files được lưu trữ trong bộ nhớ cục bộ.
Khi user log on trở lại vào mạng: hệ điều hành client Windows
đồng bộ bất kỳ tập tin offline nào mà user đã sửa đổi trên máy
mạng.
17
7/1/2019
OFFLINE FILES
CÂU HỎI ÔN TẬP
Nêu sự giống và khác nhau của các loại tài khoản người dùng.
Thiết lập Offline files
Thông tin định dang mỗi loại tài khoản là duy nhất trong hệ thống.
Computer Manager
Window Explore
Nêu các loại tài khoản người dùng và tài khoản nhóm có quyền quản lí
hệ thống.
Net share
Nêu các đặc tính đặc trưng của tài khoản người dùng domain.
Các thao tác quản lý tài khoản người dùng và tài khoản nhóm.
Ý nghĩa của việc sử dụng các dòng lệnh tạo các đối tượng trong AD.
Phạm vi của các loại tài khoản nhóm: Domain Local, Global, Universal.
DISTRIBUTE FILE SYSTEM – DFS
DISTRIBUTE FILE SYSTEM – DFS
Hạn chế của File Server
Trong hệ thống Windows Server DFS là một giải pháp cho phép tập trung các tài nguyên
được chia sẻ trên mạng để đơn giản việc quản lý và truy xuất
HoSo
File Server1
DataChung
HoSo
File Server1
BaoCao
File Server2
Users
DataChung
DFS
DataChung
File Server3
DISTRIBUTE FILE SYSTEM – DFS
Mục đích
Muốn tập trung các File Server để truy cập bằng một
tên chung User chỉ cần nhớ 1 tên chung.
Cân bằng tải (Load Balancing) cho các File Server.
Đảm bảo đồng bộ dữ liệu giữa các File Server.
Users
BaoCao
File Server2
DISTRIBUTE FILE SYSTEM – DFS
Các khái niệm cơ bản
Root: là bảng chỉ mục (giống như mục lục của một quyển
sách) để liên kết đến dữ liệu.
Ví dụ: PC1 chứa Root PC1 không hoạt động?
PC2 cũng chứa Root dự phòng,
Root trên PC2 gọi là Root Target.
Tăng khả năng sẳng sàng (Fault Tolerant) cho các File
Server không làm ngưng trệ công việc
18
7/1/2019
DISTRIBUTE FILE SYSTEM – DFS
DISTRIBUTE FILE SYSTEM – DFS
Các khái niệm cơ bản
Domain Root:
Chỉ hỗ trợ trên Domain.
Có khả năng cung cấp chịu lổi (Fault-Tolerant).
User truy cập dữ liệu bằng tên Domain (\\abc.com)
Stand-alone Root:
Có thể dùng Workgroup và Domain.
Không có khả năng chịu lổi (Fault-Tolerant),
Chỉ tạo được Root (không tạo được Target Root),
User truy cập dữ liệu bằng tên máy chứa Root (\\PC1)
Link: là một dòng (record) trong bảng chỉ mục.
Link Target: là dữ liệu được đồng bộ giữa các File Server (Ví dụ:
Triển Khai DFS
DataChung
HoSo
File Server1
DFS
DataChung
Users
BaoCao
File Server2
Thư mục DataChung)
MÔN HỌC: QUẢN TRỊ MẠNG MÁY TÍNH
QUẢN TRỊ CÁC CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
Chính sách hệ thống & chính sách nhóm Group Policy là chính sách
mạng. Nó giúp người quản trị quản trị hệ thống mạng tối ưu nhất và mọi
chính sách được đảm bảo thực thi
Chương 2. Quản trị hệ thống mạng Tập trung
(tt)
Giới thiệu chính sách tài khoản người dùng
Giới thiệu Group Policy Object(GPO)
Triển khai Domain GPO
Quản lý và triển khai GPO
Quản lý User và Group với GPO
Chẩn đoán và xử lý lỗi
111
MỤC TIÊU BÀI HỌC
Hiểu rõ được ý nghĩa của System Policy và
Group Policy
Triển khai các chính sách bảo mật tài khoản
người dùng
Triển khai Group Policy trên Domain và OU
Dùng Group Policy tự động hóa các công tác
quản trị User và Computer
Câu hỏi ôn tập
GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG
Chính sách tài khoản người dùng (Account Policy) dùng để chỉ định
các chính sách liên quan tới các thông số cấu hình của tài khoản
người dùng.
Để cấu hình chính sách tài khoản người dùng ta dùng một trong 2
bộ công cụ sau:
Workgroup: Local Security Policy
Domain: Domain Security Policy
Xử lý lỗi thông dụng khi triển khai Group Policy
Faculty of Information Technology
19
7/1/2019
GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG
GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG
Local Security Policy
Faculty of Information Technology
Faculty of Information Technology
GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG
GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG
Chính sách
Mô tả
Thiết định
mặc định
Enforce password history
Số lần đặt mật khẩu không được
trùng nhau
3
Maximum password age
Số ngày tối đa mật khẩu có hiệu lực
42
Minimum password age
Số ngày tối thiểu trước khi người
dùng có thể thay đổi mật khẩu
1
Minimum password length
Độ dài tối thiểu của một mật khẩu
7
Password must meet
complexity requirements
Độ phức tạp của mật khẩu (ký tự số,
ký tự thường, hoa, đặc biệt…)
Có
Store password using reversible Mật khẩu được lưu dưới dạng mã
encryption for all users in the
hóa
domain
Không có
Chính sách
Giá trị mặc
định
Mô tả
Account Lockout
Threshold
Quy định số lần cố gắng đăng nhập hệ
thống trước khi tài khoản bị khóa
Account Lockout Duration
Quy định thời gian khóa tài khoản người
dùng
Reset Account Lockout
Counter After
Quy định thời gian khởi động lại bộ đếm
số lần đăng nhập không thành công
0
Không chỉ
định
Không chỉ
định
Faculty of Information Technology
Faculty of Information Technology
GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG
GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG
Chính sách kiểm toán quy định việc giám sát, ghi nhận các sự
kiện diễn ra trong hệ thống.
Faculty of Information Technology
Chính sách
Mô tả
Audit account logon events
Ghi nhận những sự kiện như tài khoản đăng nhập,
logon, logoff…
Audit account management
Ghi nhận sự thay đổi của các thông tin, thao tác
quản trị liên quan tới tài khoản người dùng
Audit directory service access
Ghi nhận việc truy cập tới các dịnh vụ thư mục
Audit logon events
Ghi nhận các sự kiện đăng nhập
Audit object access
Ghi nhận việc truy cập tới các đối tượng như tập
tin, thư mục, máy in…
Audit policy change
Ghi nhận các thay đổi trong chính sách kiểm toán
Faculty of Information Technology
20
7/1/2019
GIỚI THIỆU CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG
Chính sách
Mô tả
Audit privilege use
Ghi nhận các thao tác quản trị trên hệ thống như
cấp hoặc xóa quyền một người dùng nào đó
Audit process tracking
Ghi nhận hoạt động của các tiến trình hay hệ điều
hành
Audit system event
Ghi nhận các sự kiện khi tắt/mở máy
Group Policy là một thành phần quan trọng, nó giúp người quản trị có
thể đưa ra những chính sách bảo vệ, giới hạn tầm hoạt động của người
sử dụng theo một khuôn phép nhất định.
GPO
Giới thiệu Group Policy Object (GPO)
Site
Domain
OU
Faculty of Information Technology
Faculty of Information Technology
GIỚI THIỆU GROUP POLICY OBJECT (GPO)
GIỚI THIỆU GROUP POLICY OBJECT (GPO)
Chức năng của GPO
Các thành phần của GPO
Triển khai phần mềm ứng dụng
Gán quyền hệ thống cho người dùng
Giới hạn những ứng dụng cho người dùng được phép thi hành
Kiểm soát các thiết lập hệ thống
Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy
Đơn giản hóa và hạn chế các chương trình
Hạn chế tổng quát màn hình Desktop của người dùng
Faculty of Information Technology
GIỚI THIỆU GROUP POLICY OBJECT (GPO)
Faculty of Information Technology
TRIỂN KHAI DOMAIN GPO
Để triển khai Domain GPO người quản trị phải đăng nhập vào hệ thống với thàn
viên Domain Admins group, Enterprise Admins group hay Group Policy Creator
Owners group.
Group Policy settings for users :
Desktop settings.
Software settings.
Windows settings.
Security settings
Group Policy settings for computers :
Desktop behavior.
Software settings
Windows settings.
Security settings
Faculty of Information Technology
TRIỂN KHAI DOMAIN GPO
Active Directory Users and Computers
Active Directory Sites and Services
Local Security Policy
Group Policy Management
Faculty of Information Technology
21
7/1/2019
TRIỂN KHAI DOMAIN GPO
TRIỂN KHAI DOMAIN GPO
Group Policy Management
Active Directory Users and Computers
Slide 127
Slide 128
Faculty of Information Technology
Faculty of Information Technology
TRIỂN KHAI DOMAIN GPO
TRIỂN KHAI DOMAIN GPO
Group Policy Management
GPO Links
Domain
OU
Domain GPO
Site
OU
Site GPO
OU
Organizational Unit
GPO
Organizational Unit
GPO
Slide 129
Faculty of Information Technology
Faculty of Information Technology
TRIỂN KHAI DOMAIN GPO
QUẢN LÝ VÀ TRIỂN KHAI GPO
Tính thừa kế trong GPO Domain
Group Policy được áp dụng từ dưới lên trên, nên các GPO trên cùng
được áp dụng cuối cùng.
GPOs được áp dụng theo thứ tự: site, domain, OU
OU GPO 1
OU GPO 2
OU
OU
OU
OU GPO 3
OU
User or
Computer
Accounts
OU
Nội dung chính:
Giải thích sự xung đột giữa các GPO
Giải thích ý nghĩa của việc ngăn chặn triển khai một
GPO
Chặn đứng việc triển khai một GPO
Mô tả các thuộc tính của một GPO link
Cấu hình Group Policy ép buộc
Giải thích ý nghĩa để lọc việc triển khai một GPO
Cấu hình bộ lọc Group Policy
22
7/1/2019
QUẢN LÝ VÀ TRIỂN KHAI GPO
QUẢN LÝ VÀ TRIỂN KHAI GPO
Xung đột giữa các GPO
Những kết hợp phức tạp của GPO sẽ tạo ra sự xung đột
khi đó OU con sẽ giữ lại GPO mặc định của nó.
Block Policy inheritance
Domain
Các tùy chọn thay đổi kế thừa mặc định
Production
No Override
GPOs
Block Policy inheritance
Sales
No GPO
settings apply
QUẢN LÝ VÀ TRIỂN KHAI GPO
QUẢN LÝ VÀ TRIỂN KHAI GPO
Block Policy inheritance
No Override
QUẢN LÝ VÀ TRIỂN KHAI GPO
QUẢN LÝ VÀ TRIỂN KHAI GPO
Enforced
Conflicting Links
Faculty of Information Technology
Faculty of Information Technology
23
7/1/2019
QUẢN LÝ VÀ TRIỂN KHAI GPO
QUẢN LÝ VÀ TRIỂN KHAI GPO
Domain
GPO
Production
Sale
s
Mengph
Kimyo
Group
Allow
Read and Apply
Group Policy
Deny
Apply
Group Policy
Faculty of Information Technology
QUẢN LÝ USER VÀ GROUP VỚI GPO
Faculty of Information Technology
QUẢN LÝ USER VÀ GROUP VỚI GPO
Sử dụng Script GPO
Để quản lý môi trường làm việc user khi logon vào mạng. Bằng cách điều
khiển môi trường làm việc của họ, kết nối mạng và giao diện người dùng
thông qua Group Policy.
Nội dung chính:
Cấu hình các thiết lập GPO
Gán Scripts với Group Policy
Xác định Group Policy được áp dụng
Ví dụ:
Set objNetwork =
Wscript.CreateObject("WScript.Network")
objNetwork.MapNetworkDrive"G:",
"\\ComputerName\ComputerName Data"
msgbox “Welcome to iSPACE Center"
Faculty of Information Technology
QUẢN LÝ USER VÀ GROUP VỚI GPO
QUẢN LÝ USER VÀ GROUP VỚI GPO
Xác định GPOs được áp dụng
gpupdate
gpresult
group policy reporting
group policy modeling
group policy results
Gpupdate: refresh những thiết lập Group Policy.
Syntax
gpupdate [/Target:{Computer | User}] [/Force]
[/Wait:Value] [/Logoff] [/Boot] [/Sync]
Value : 0, n, -1
Faculty of Information Technology
24
7/1/2019
QUẢN LÝ USER VÀ GROUP VỚI GPO
Gpresult: xem thiết lập policy
Syntax
gpresult [/s Computer [/u Domain\User /p
Password]] [/user TargetUserName] [/scope
{user|computer}] [/v] [/z]
QUẢN LÝ USER VÀ GROUP VỚI GPO
Group Policy Reporting:
Faculty of Information Technology
QUẢN LÝ USER VÀ GROUP VỚI GPO
QUẢN LÝ USER VÀ GROUP VỚI GPO
Cấu hình Group Policy Modeling như thế nào?
Group Policy Modeling
Để sử dụng Group Policy Modeling phải là Windows
Server 2003 domain controller trong Forest.
Để thực hiện một truy vấn Group Policy Modeling,
user sử dụng Group Policy Modeling Wizard.
QUẢN LÝ USER VÀ GROUP VỚI GPO
Sử dụng Group Policy Results
CÂU HỎI ÔN TẬP
Nêu ý nghĩa của System Policy và Group Policy
Nêu ý nghĩa của chính sách mật khẩu và kiểm toán
Nêu phạm vị ảnh hưởng của Group Policy
Nêu các đối tượng có thể áp dụng Group Policy
Nêu các nhóm tài khoản có khả năng triển khai Group Policy
Nêu chức năng của Enforced và Block policy
Các loại Group Policy thường được triển khai trong hệ thống
Mô tả ý nghĩa và cách sữ dụng Group Policy Management
25