Tải bản đầy đủ (.pdf) (118 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị Web

Giáo trình Quản trị Windows Server cơ bản (Nghề Quản trị mạng máy tính)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.89 MB, 118 trang )

BỘ CÔNG THƢƠNG
TRƢỜNG CAO ĐẲNG CÔNG NGHIỆP VÀ THƢƠNG MẠI

GIÁO TRÌNH
MƠ ĐUN: QUẢN TRỊ WINDOWS SERVER CƠ BẢN
NGHỀ: QUẢN TRỊ MẠNG MÁY TÍNH
TRÌNH ĐỘ: CAO ĐẲNG NGHỀ
Ban hành kèm theo Quyết định sô /QĐ CDCN&TM ngày tháng năm 2018
Của Hiệu trưởng Trường Cao đẳng Công nghiệp và Thương Mại

Vĩnh Phúc, năm 2018


MỤC LỤC

Bài 1: THIẾT LẬP MẠNG KHÁCH CHỦ ....................................................... 8
1.1. Cài đặt Windows Server 2003 ................................................................................ 8
1.2.Tự động hóa quá trình cài đặt ................................................................................ 11
1.3.Active Directory ....................................................................................................... 14
1.4.Cài đặt và cấu hình Active Directory ................................................................... 20
Bài 2: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM ........................ 23
2.1. Định nghĩa tài khoản người dùng và tài khoản nhóm ...................................... 23
2.2. Quản lý tài khoản người dùng và nhóm cục bộ ................................................. 30
2.3. Quản lý tài khoản người dùng và nhóm trên active directory ......................... 32
2.4.Chính sách hệ thống và chính sách nhóm ............................................................ 33
Bài 3: QUẢN LÝ ĐĨA .................................................................................... 46
3.1. Cấu hình hệ thống tâp tin ....................................................................................... 46
3.2. Cấu hình đĩa lưu trữ ................................................................................................ 46
3.3. Sử dụng chương trình Disk Manager .................................................................. 49
3.4. THIẾT LẬP HẠN NGẠCH ĐĨA (DISK QUOTA). ......................................... 59
BÀI 4. DỊCH VỤ DNS .................................................................................................. 65


4.1. Tổng quan về DNS .................................................................................................. 65
4.2. Cơ chế phân giải tên ............................................................................................... 70
4.3. Phân loại Domain Name Server ........................................................................... 74
4.4. Resource Record (RR)............................................................................................ 75
4.5. Cài đặt và cấu hình DNS ........................................................................................ 78
Bài 5: DỊCH VỤ DHCP GPO, FILE SERVER .............................................. 92
5.1. Giới thiệu về dịch vụ DHCP ................................................................................ 92
5.2. Cài đặt DHCP .......................................................................................................... 92
5.3. Cài đặt dịch vụ DHCP ............................................................................... 93
5.4. Chứng thực dịch vụ DHCP trong Active Directory.................................... 96
5.5. Cấu hình dịch vụ DHCP ............................................................................ 96
5.6. Quản trị hệ thống GPO ........................................................................................... 97
Bài tập thực hành của học viên ................................................................................... 108
TÀI LIỆU THAM KHẢO ............................................................................. 118


CHƢƠNG TRÌNH MƠN HỌC
Tên mơn học: Quản trị Windows Server cơ bản
Mã môn học: MĐCC13030111
Thời gian thực hiện môn học: 75 giờ; (Lý thuyết: 15 giờ; Thực hành, thí
nghiệm, thảo luận, bài tập: 57 giờ; Kiểm tra: 3 giờ)
I. Vị trí, tính chất của mơn học:
Mơn học được bố trí sau khi học sinh học xong các môn học chung, các
môn học cơ sở chuyên ngành đào tạo chuyên môn nghề.
- Tính chất của mơn học: Là mơn học chun ngành bắt buộc.
II. Mục tiêu môn học:
Học phần cung cấp cho sinh viên những kiến thức từ cơ bản tới nâng cao để
cấu hình các thiết bị mạng: router, switch
- Về kiến thức:
+ Trình bày được các bước thiết lập mạng và quản trị với mơ hình mạng

ngang hàng và mơ hình mạng khách chủ
- Về kỹ năng:
+. Rèn luyện cho học sinh khả năng phân tích các bài tốn liên quan tới
thiết kế lắp đặt và quản trị mạng như: thiết kế và lắp đặt mạng LAN, quản
trị mạng LAN trên mơ hình ngang hàng hoặc khách chủ, duy trì mạng
máy tính hoạt động tốt
- Về thái độ:. Cẩn thận, tỉ mỉ, chuyên cần trong công việc
III. Nội dung môn học:
1. Nội dung tổng quát và phân phối thời gian:
Thời gian (giờ)
TT

Nội dung môn học

Tổng
số


Thự
thuyế
c
t
hành

1

Bài 1. Thiết lập mạng khách chủ

15


3

11

2

15

3

12

3

Bài 2. : Quản lý tài khoản người dùng và
nhóm
Bài 3: Quản lý đĩa

15

3

11

4

Bài 4: Dịch vụ DNS

10


3

7

Kiể
m
tra
1

1


5

Bài 5: Dịch vụ DHCP, GPO, File Server
Tổng cộng

20

3

16

75

15

57

1

3

2. Nội dung chi tiết:
Bài 1. Thiết lập mạng khách chủ. Thời gian: 15 giờ(LT: 3; TH: 11; KT: 1)
Mục tiêu:
- Kiến thức:
+ Trình bày được các bước thực hiện thiết lập một hệ thống mạng khách –
chủ.
- Kỹ năng:
+ Cài đặt thành thạo hệ điều hành Server và cấu hình dịch vụ Active
Directory.
-Thái độ:
+ Cẩn thận, tỉ mỉ, chuyên cần trong cơng việc
Nội dung:
1.1.Cài đặt Windows Server 2003
1.2.Tự động hóa q trình cài đặt
1.3.Active Directory
1.4.Cài đặt và cấu hình Active Directory
Bài 2. Quản lý tài khoản ngƣời dùng và nhóm Thời gian: 15 giờ(LT: 3; TH:
12; KT:0)
Mục tiêu
- Kiến thức:
+ Trình bày được vai trò và chức năng trong việc quản lý người dung và
nhóm trong Windows Server 2016
- Kỹ năng:
+ Thao tác thành thạo việc tạo ra các tài khoản người dùng và gán các tài
khoản người dùng vào một nhóm chung.
- Thái độ:. Cẩn thận, tỉ mỉ, chuyên cần trong công việc
Nội dung:
2.1.Định nghĩa tài khoản người dùng và tài khoản nhóm

2.2.Quản lý tài khoản người dùng và nhóm cục bộ
2.3.Quản lý tài khoản người dùng và nhóm trên Active Directory
2.4.Chính sách hệ thống và chính sách nhóm
Bài 3. Quản lý đĩa
Thời gian: 15 giờ(LT: 3; TH: 11; KT:1)
Mục tiêu
- Kiến thức:


+ Trình bày được vai trị và chức năng trong việc cấu hình tập tin và cấu
hình đĩa lưu trữ trên Windows Server 2016
- Kỹ năng:
+Thao tác thành thạo để cấu hình các tập tin và tổ chức quản lý lưu trữ dữ
liệu trên Server.
- Thái độ:. Cẩn thận, tỉ mỉ, chun cần trong cơng việc
Nội dung bài 3:
3.1.Cấu hình hệ thống tập tin
3.2.Cấu hình đĩa lưu trữ
3.3.Sử dụng chương trình Disk manager
3.4.Thiết lập hạn ngạch đĩa
Bài 4. Dịch vụ DNS
Thời gian:10 giờ(LT: 3; TH: 7; KT 0)
Mục tiêu
- Kiến thức:
+ Trình bày được vai trị và chức năng và cấu hình dịch vụ DNS Windows
Server 2016
- Kỹ năng:
+Thao tác thành thạo biết cách cấu hình dịch vụ DNS trên Server.
- Thái độ:. Cẩn thận, tỉ mỉ, chuyên cần trong công việc
Nội dung bài 4:

4.1.Tổng quan về DNS
4.3.Cơ chế phân giải tên
4.3.Phân loại Domain Name Server
4.4.Resource Record
4.5.Cài đặt và cấu hình dịch vụ DNS
Bài 5. Dịch vụ DHCP, GPO, File Server Thời gian:20 giờ(LT: 3; TH: 16; KT 1)
Mục tiêu
- Kiến thức:
+ Trình bày được vai trị và chức năng của DHCP cách cấu hình dịch vụ
DNS Windows Server 2016
- Kỹ năng:
+Thao tác thành thạo, biết cách cấu hình dịch vụ DHCP trên Server.
- Thái độ:. Cẩn thận, tỉ mỉ, chuyên cần trong công việc
Nội dung bài:
5.1.Giới thiệu về dịch vụ DHCP
5.2.Hoạt động của giao thức DHCP
5.3.Cài đặt dịch vụ DHCP


5.4.Chứng thực dịch vụ DHCP trong Active Directory
5.5.Cấu hình dịch vụ DHCP.
5.6. Quản trị hệ thống với GPO.
5.7. File server
IV. Điều kiện thực hiện chƣơng trình:
Đầy đủ tài liệu học tập như: Giáo án, giáo trình về mơn học Cơ bản phần
cứng và mạng máy tính cho hệ cao đẳng
V. Phƣơng pháp và nội dung đánh giá:
1. Nội dung
- Về kiến thức:
+ Trình bày được được tổng quan về máy tính.

+ Hiểu được nguyên lý làm việc của hệ thống mạng khách chủ.
+ Nguyên tắc quản lý người dùng và dữ liệu trên Server
+ Hiểu rõ nguyên tắc làm việc của DNS và DHCP
- Về kỹ năng:
+ Thành thạo kỹ năng cài đặt Server
+ Thành thạo trọng việc quản lý dữ liệu và quản lý người dùng
+ Thành thạo cấu hình DNS và DHCP
.- Về thái độ: Có đạo đức và lương tâm nghề nghiệp, ý thức kỷ luật tốt,
tích cực tiếp thu kiến thức mới.
2. Phƣơng pháp
- Học sinh tham gia học ít nhất 80% tổng số tiết mơn học, tham gia kiểm tra
và thi kết thúc môn học theo quy chế hiện hành.
- Điểm đánh giá quá trình gồm có:
+ Kiểm tra thường xuyên: 01 bài kiểm tra (Điểm hệ số 1)
+ Kiểm tra định kỳ: 03 bài kiểm tra (Điểm hệ số 2)
+ Thi kết thúc môn học:
- Thang điểm: thang điểm 10.
VI. Hƣớng dẫn sử dụng chƣơng trình:
1. Phạm vi áp dụng chƣơng trình:
Chương trình mơn học Cài đặt, lưu trữ và quản lý Windows Server 2016
được sử dụng để giảng dạy cho trình độ cao đẳng năm 2017.
2. Hƣớng dẫn một số điểm chính về phƣơng pháp giảng dạy môn học:
- Tuỳ theo nội dung của mỗi bài mà giáo viên có thể sử dụng những phương
pháp mang tính chất vừa truyền thống vừa hiện đại như: thuyết trình, trực quan,
hoạt động nhóm..


- Để đảm bảo và nâng cao chất lượng đào tạo của mơn học rất cần có sự đầu
tư cơ sở vật chất, trang thiết bị, đồ dùng dạy học như: phịng học thực hành máy
tính, máy chiếu đa năng, giáo trình, các Video trực quan, Các thiết bị phần cứng

và thiết bị mạng máy tính
3. Những trọng tâm chƣơng trình cần chú ý:
4. Tài liệu tham khảo:
Tơ Thanh Hải (2009), Quản trị Windows Server 2008 – tập 1, NXB
Phương Đông
Tô Thanh Hải (2009), Quản trị Windows Server 2008 – tập 2, NXB
Phương Đông
Châu Nguyễn Quốc Tâm (2008), Tự học quản trị mạng Windows Server
2008, NXB thanh niên.


Bài 1: THIẾT LẬP MẠNG KHÁCH CHỦ
1.1. Cài đặt Windows Server 2003
1. Đưa đĩa CD cài đặt vào CD-ROM, khởi động lại Computer. Cho phép boot từ
đĩa CD
2. Chương trình Windows setup bằt đầu load những Files phục vụ cho việc cài đặt.
Nhấn Enter khi mà hình Welcome to Setup xuất hiện
3. Đọc những điều khoản về License trên Windows Licensing Agreement , sau đó
nhấn F8 để đồng ý với các điều khoản quy định của MS
4. Trên Windows Server 2003, xuất hiện màn hình tạo các phân vùng Partition
trên đĩa cứng, trước hết tạo Partition dùng cho việc cài đặt Hệ Điều hành. Nhấn
ENTER.
5. Trên Windows Server 2003, chọn Format the partition using the NTFS file
system Nhấn ENTER.
6. Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, sẽ chờ ít
phút cho tiến trình này hồn tất
7. Computer sẽ tự Restart khi tiến trình copy File vào đĩa cứng hoàn tất
8. Computer sẽ restart lại và boot giao diện đồ họa. Click Next trên trang Regional
and Language Options
9. Trên trang Personalize Your Software, điền Tên và Tổ chức của Bạn

Ví dụ : Name: Server 2003
Organization: Bao Tuoi Tre
10. Trên trang Product Key điền vào 25 chữ số của Product Key mà bạn có và
click Next.


11. Trên trang Licensing Modes chọn đúng option được áp dụng cho version
Windows Server 2003 mà bạn cài đặt. Nếu cài đặt Licence ở chế độ per server
licensing, hãy đưa vào số connections mà bạn đã có License. Click Next.
12. Trên trang Computer Name và Administrator Password điền tên của Computer
ví dụ Server2003, tên này được điền vào Computer Name text box. Điền tiếp vào
mục Administrator password và xác nhận lại password tại mục Confirm password
(ghi nhớ lại password administrator cẩn thận, nếu khơng thì bạn cũng khơng thể
log-on vào Server cho các hoạt động tiếp theo). Click Next.
13. Trên trang Date and Time Settings xác lập chính xác Ngày, giờ và múi giờ
Việt Nam (nếu các bạn ở Việt Nam), lưu ý time zone là GMT + 7
Click Next.
14. Trên trang Networking Settings, chọn Custom settings option.
15. Trên trang Network Components, chọn Internet Protocol (TCP/IP) entry trong
Components và click Properties.
16. Trong Internet Protocol (TCP/IP) Properties dialog box, xác lập các thông số
sau:
IP address: 10.0.0.2.
Subnet mask: 255.255.255.0.
Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này cũng là IP address
của Card Ethernet cua Router ADSL).
Preferred DNS server: 10.0.0.2 và Additional DNS server la địa chỉ mà ISP đã
cung cấp cho ADSL Router, ví dụ : 203.162.4.1
17. Click OK trong Advanced TCP/IP Settings dialog box.
18. Click OK trong Internet Protocol (TCP/IP) Properties dialog box.



19. Click Next trên trang Networking Components.
20. Chấp nhận lựa chọn mặc định môi trường Network là Workgroup (chúng ta sẽ
tạo môi trường Domain sau, thăng cấp (promote) máy này trở thành một Domain
controller và cũng là thành viên của Domain. Click Next.
21. Tiến trình cài đặt được tiếp tục và khi Finish, Computer sẽ tự khởi động lại
22. Log-on lần đầu tiên vào Windows Server 2003 dùng password mà chúng ta đã
tạo cho tài khoản Administrator trong quá trình Setup.
23. Xuất hiện đầu tiên trên màn hình là trang Manage Your Server, bạn nên check
vào "Don‟t display this page at logon checkbox" và đóng cửa sổ Window lại.
Bước kế tiếp là quá trình cài đặt và cấu hình DNS trước khi chạy tiện ích dcpromo
Bước kế tiếp là cài đặt Domain Naming System (DNS) server trên chính server
này. Điều này là cần thiết vì Active Directory Service hoạt động trên Domain
Controller, kiểm sốt tồn Domain u cầu phải có DNS server service phục vụ
cho nhu cầu truy vấn tên như hostname, đăng kí các record (A, PTR, SRV records
v.v..). Chúng ta sẽ cài DNS server và sau đó sẽ nâng vai trò Computer này lên
thành một Domain Controller, và DNS server này sẽ phục vụ truy vấn cho toàn
Domain. Tiến hành các bước sau để cài đặt DNS server
1. Click Start, Control Panel. Click Add or Remove Programs.
2. Trong Add or Remove Programs, click Add/Remove Windows Components
3. Trong Windows Components, xem qua danh sách Components và click
Networking Services entry. Click Details.
4. Check vào Domain Name System (DNS) checkbox và click OK.
5. Click Next trong Windows Components.
6. Click Finish trên Completing the Windows Components Wizard.
7. Đóng Add or Remove Programs


DNS server đã được cài đặt, Admin cần đưa vào DNS Server các thông số cụ thể

phục vụ cho hoạt động truy vấn tên, cụ thể là sẽ tạo ra hai vùng Forward và
Reverse lookup zones.
1.2.Tự động hóa q trình cài đặt
Nếu bạn dự định cài đặt hệ điều hành Windows 2003 Server trên nhiều
máy tính, bạn có thể đến từng máy và tự tay thực hiện quá trình cài đặt như
đã hướng dẫn trong chương trước. Tuy nhiên, chắc chắn công việc này sẽ vô
cùng nhàm chán và không hiệu quả. Lúc này việc tự động hố q trình cài
đặt sẽ giúp công việc của bạn trở nên đơn giản, hiệu quả và ít tốn kém hơn.
Có nhiều phương pháp hỗ trợ việc cài đặt tự động. Chẳng hạn, bạn có thể
sử dụng phương pháp dùng ảnh đĩa (disk image) hoặc phương pháp cài đặt
không cần theo dõi (unattended installation) thông qua một kịch bản
(script) hay tập tin trả lời.
a. Giới thiệu kịch bản cài đặt
Kịch bản cài đặt là một tập tin văn bản có nội dung trả lời trước tất cả
các câu hỏi mà trình cài đặt hỏi như: tên máy, DVD-Key,….Để trình cài đặt
có thể đọc hiểu các nội dung trong kịch bản thì nó phải được tạo ra theo một
cấu trúc được quy định trước. Để tạo ra được các kịch bản cài đặt, có thể
dùng bất kỳ chương trình soạn thảo văn bản nào, chẳng hạn như Notepad.
Tuy nhiên, kịch bản là một tập tin có cấu trúc nên trong q trình soạn
thảo có thể xảy ra các sai sót dẫn đến q trình tự động hóa cài đặt khơng
diễn ra theo ý muốn. Do đó, Microsoft đã tạo ra một tiện ích có tên
là Setup Manager (setupmgr.exe) để giúp cho việc tạo ra kịch bản cài đặt
được dể dàng hơn. Sau khi có được kịch bản, có thể sử dụng Notepad để
thêm, sửa lại một số thông tin để sử dụng kịch bản vào quá trình cài đặt tự
động hiệu quả hơn.
b. Tự động hóa dùng tham biến dịng lệnh
Khi tiến hành cài đặt Windows 2003 Server, ngoài cách khởi động và
cài trực tiếp từ đĩa DVD-ROM, cịn có thể dùng một trong hai lệnh sau:
winnt.exe dùng với các máy đang chạy hệ điều hành DOS, windows 3.x
hoặc Windows for workgroup; winnt32.exe khi máy đang chạy hệ điều

hành Windows 9x, Windows NT hoặc mới hơn. Hai lệnh trên được đặt
trong thư mục I386 của đĩa cài đặt. Sau đây là cú pháp cài đặt từ 2 lệnh trên:
winnt [/s:[sourcepath]] [/t:[tempdrive]] [/u:[answer_file]]


[/udf:id [,UDB_file]]
Ý nghĩa các tham số:
/s
Chỉ rỏ vị trí đặt của bộ nguồn cài đặt (thư mục I386). Đường dẫn phải là
dạng đầy đủ, ví dụ: e:\i386 hoặc \\server\i386. Giá trị mặc định là thư mục
hiện hành.
/t
Hướng chương trình cài đặt đặt thư mục tạm vào một ổ đĩa và cài Windows
vào ổ đĩa đó. Nếu khơng chỉ định, trình cài đặt sẽ tự xác định.
/u
Cài đặt không cần theo dõi với một tập tin trả lời tự động (kịch bản). Nếu sử
dụng /u thì phải sử dụng /s.
/udf
Chỉ định tên của Server và tập tin cơ sở dữ liệu chứa tên, các thông
tin đặc trưng cho mỗi máy
(unattend.udf).
winnt32 [/checkupgradeonly] [/s:sourcepath] [/tempdrive:drive_letter:]
[/unattend[num]:[answer_file]] [/udf:id [,UDB_file]]
Ý nghĩa của các tham số:
/checkupgradeonly
Kiểm tra xem máy có tương thích để nâng cấp và cài đặt Windows 2003
Server hay không?
/tempdrive
Tương tự như tham số /t
/unattend

Tương tư như tham số /u
c. Sử dụng Setup Manager để tạo ra tập tin trả lời
Setup Manager là một tiện ích giúp cho việc tạo các tập tin trả lời sử
dụng trong cài đặt không cần theo dõi. Theo mặc định, Setup Manager
không được cài đặt, mà được đặt trong tập tin Deploy.Cab. Chỉ có thể
chạy tiện ích Setup Manager trên các hệ điều hành Windows 2000,
Windows XP, Windows 2003.
Tạo tập tin trả lời tự động bằng Setup Manager:
(1). Giải nén tập tin Deploy.cab được lưu trong thư mục Support\Tools
trên đĩa cài đặt Windows 2003.
(2). Thi hành tập tin Setupmgr.exe
(3). Hộp thoại Setup Manager xuất hiện, nhấn Next để tiếp tục.


(4). Xuất hiện hộp thoại New or Existing Answer File. Hộp thoại này cho
phép bạn chỉ định tạo ra một tập tin trả lời mới, một tập tin trả lời phản ánh
cấu hình của máy tính hiện hành hoặc là chỉnh sửa một tập tin sẵn có. Bạn
chọn Create new và nhấn Next.
(5) . Tiếp theo là hộp thoại Type of Setup. Chọn Unattended Setup và chọn
Next.
(6). Trong hộp thoại Product, chọn hệ điều hành cài đặt sử dụng tập
tin trả lời tự động. Chọn Windows Server 2003, Enterprise Edition,
nhấn Next.
(7). Tại hộp thoại User Interaction, chọn mức độ tương tác với trình cài đặt
của người sử dụng. Chọn Fully Automated, nhấn Next.
(8). Xuất hiện hộp thoại Distribution Share, chọn Setup from a DVD,
nhấn Next.
(9). Tại hộp thoại License Agreement, đánh dấu vào I accept the terms of
…, nhấn Next.
(10). Tại cửa sổ Setup Manager, chọn mục Name and Organization. Điền

tên và tổ chức sử dụng hệ điều hành. Nhấn Next.
(11). Chọn mục Time Zone \ chọn múi giờ (GMT+7:00) Bangkok, Hanoi,
Jarkata. Nhấn Next.
(12). Tại mục Product Key, điền DVD-Key vào trong 5 ô trống. Nhấn Next.
(13). Tại mục Licensing Mode, chọn loại bản quyền thích hợp. Nhấn Next.
(14). Tại mục Computer Names, điền tên của các máy dự định cài đặt. Nhấn
Next.
(15). Tại mục Administrator Password, nhập vào password của người
quản trị. Nếu muốn mã hóa password thì đánh dấu chọn vào mục “Encrypt
the Administrator password…”. Nhấn Next
(16). Tại mục Network Component, cấu hình các thơng số cho giao thức
TCP/IP và cài thêm các giao thức. Nhấn Next.
(17). Tại mục Workgroup or Domain, gia nhập máy vào Workgroup hoặc
Domain có sẳn. Nhấn Next.
(18). Cuối cùng, trong thư mục đã chỉ định, Setup Manager sẽ tạo ra ba tập
tin. Nếu bạn khơng thay đổi tên thì các tập tin là:
Unattend.txt: đây là tập tin trả lời, chứa tất cả các câu trả lời mà Setup
Manager thu thập được
Unattend.udb: đây là tập tin cơ sở dữ liệu chứa tên các máy tính sẽ
được cài đặt. Tập tin này chỉ được tạo ra khi bạn chỉ định danh sách các
tập tin và được sử dụng khi bạn thực hiện cài đặt không cần theo dõi.


Unattend.bat: chứa dòng lệnh với các tham số được thiết lập sẵn. Tập tin
này cũng thiết lập các biến môi trường chỉ định vị trí các tập tin liên quan.
4. Sử dụng tập tin trả lời
Có nhiều cách để sử dụng các tập tin được tạo ra trong bước trên. Bạn
có thể thực hiện theo một trong hai cách dưới đây:
1. Sử dụng đĩa DVD Windows 2003 Server có thể khởi động được
Sửa tập tin Unattend.txt thành WINNT.SIF và lưu lên đĩa mềm.

Đưa đĩa DVD Windows 2000 Server và đĩa mềm trên vào ổ đĩa, khởi
động lại máy tính, đảm bảo ổ đĩa DVD là thiết bị khởi động đầu tiên.
Chương trình cài đặt trên đĩa DVD sẽ tự động tìm đọc tập tin
WINNT.SIF trên đĩa mềm và tiến hành cài đặt không cần theo dõi.
2. Sử dụng một bộ nguồn cài đặt Windows 2003 Server
Chép các tập tin đã tạo trong bước trên vào thư mục I386 của nguồn cài đặt
Windows 2003 Server. Chuyển vào thư mục I386.
Tuỳ theo hệ điều hành đang sử dụng mà sử dụng lệnh WINNT.EXE hoặc
WINNT32.EXE theo cú pháp sau:
WINNT /s:e:\i386 /u:unattend.txt
Hoặc
WINNT32 /s:e:\i386 /unattend:unattend.txt
Nếu chương trình Setup Manager tạo ra tập tin Unatend.UDB do bạn đã
nhập vào danh sách tên các máy tính, và giả định bạn định đặt tên máy tính
này là server01 thì cú pháp lệnh sẽ như sau:
WINNT /s:e:\i386 /u:unattend.txt /udf:server01,unattend.udf
1.3.Active Directory
Trước hết chúng ta hãy đi tìm hiểu xem Active Directory là gì. Active
Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản
quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows.
Giống như các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services
(NDS), Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động
hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên
được phân phối, cho phép tương tác với các thư mục khác. Thêm vào đó, Active
Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ
theo một kiểu nào đó.
Active Directory có thể được coi là một điểm phát triển mới so với Windows
2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server
2003, trở thành một phần quan trọng của hệ điều hành. Windows Server 2003



Active Directory cung cấp một tham chiếu, được gọi là directory service, đến
tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer,
policy và permission.
Nói ngắn gọn và tổng quát, Active Directory là 1 dạng cơ sở dữ liệu với mục
đích rõ ràng và riêng biệt, tuy nhiên nó hồn tồn khơng phải là 1 sự thay thế
cho Registry của Windows. Các bạn hãy hình dung thế này nhé, 1 mạng lưới
client rộng lớn có hàng trăm, hàng ngàn nhân viên, và mỗi nhân viên lại có tên
(họ và tên) khác nhau, cơng việc khác nhau, phịng ban khác nhau... và mỗi
server quản lý "đống" client đó phải có Active Directory để phân loại và xử lý
cơng việc một cách tối ưu nhất. Các phần dữ liệu trong Active Directory đều có
tính kế thừa, nhân rộng, cấp bậc... rõ ràng và linh hoạt.
1.3.1. Tại sao cần thực thi Active Directory?
Có một số lý do để lý giải cho câu hỏi trên. Microsoft Active Directory được
xem như là một bước tiến triển đáng kể so với Windows NT Server 4.0
domain hay thậm chí các mạng máy chủ standalone. Active Directory có một
cơ chế quản trị tập trung trên tồn bộ mạng. Nó cũng cung cấp khả năng dự
phịng và tự động chuyển đổi dự phòng khi hai hoặc nhiều domain
controller được triển khai trong một domain.
Active Directory sẽ tự động quản lý sự truyền thông giữa các domain
controller để bảo đảm mạng được duy trì. Người dùng có thể truy cập vào tất cả
tài nguyên trên mạng thông qua cơ chế đăng nhập một lần. Tất cả các tài nguyên
trong mạng được bảo vệ bởi một cơ chế bảo mật khá mạnh, cơ chế bảo mật này
có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗi truy cập đối với tài
nguyên.
Active Directory cho phép tăng cấp, hạ cấp các domain controller và các máy
chủ thành viên một cách dễ dàng. Các hệ thống có thể được quản lý và được bảo
vệ thơng qua các chính sách nhóm Group Policies. Đây là một mơ hình tổ chức
có thứ bậc linh hoạt, cho phép quản lý dễ dàng và ủy nhiệm trách nhiệm quản
trị. Mặc dù vậy quan trọng nhất vẫn là Active Directory có khả năng quản lý

hàng triệu đối tượng bên trong một miền.
1.3.2. Những đơn vị cơ bản của Active Directory?
Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay
cấu trúc mục. Bốn đơn vị này được chia thành forest, domain, organizational
unit và site.


Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính
trong Active Directory.

Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và
một cơ sở dữ liệu của các thành viên của chúng.

Organizational unit (OU): Nhóm các mục trong miền nào đó. Chúng tạo
nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active
Directory theo các điều kiện tổ chức và địa lý.

Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU.
Các Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao
và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet.
Các Forest không bị hạn chế theo địa lý hoặc topo mạng. Một forest có thể gồm
nhiều miền, mỗi miền lại chia sẻ một lược đồ chung. Các thành viên miền của
cùng một forest thậm chí khơng cần có kết nối LAN hoặc WAN giữa chúng.
Mỗi một mạng riêng cũng có thể là một gia đình của nhiều forest độc lập. Nói
chung, một forest nên được sử dụng cho mỗi một thực thể. Mặc dù vậy, vẫn cần
đến các forest bổ sung cho việc thực hiện test và nghiên cứu các mục đích bên
ngồi forest tham gia sản xuất.
Các miền - Domain phục vụ như các mục trong chính sách bảo mật và các
nhiệm vụ quản trị. Tất cả các đối tượng bên trong một miền đều là chủ đề cho
Group Policies miền rộng. Tương tự như vậy, bất cứ quản trị viên miền nào

cũng có thể quản lý tất cả các đối tượng bên trong một miền. Thêm vào đó, mỗi
miền cũng đều có cơ sở dữ liệu các tài khoản duy nhất của nó. Chính vì vậy tính
xác thực là một trong những vấn đề cơ bản của miền. Khi một tài khoản người
dùng hoàn toàn xác thực đối với một miền nào đó thì tài khoản người dùng này
có thể truy cập vào các tài nguyên bên trong miền.



Active Directory yêu cầu một hoặc nhiều domain để hoạt động. Như đề cập từ
trước, một miền Active Directory là một bộ các máy tính chia sẻ chung một tập
các chính sách, tên và cơ sở dữ liệu các thành viên của chúng. Một miền phải có
một hoặc nhiều máy domain controller (DC) và lưu cơ sở dữ liệu, duy trì các
chính sách và cung cấp sự thẩm định cho các đăng nhập vào miền.
Trước kia trong Windows NT, bộ điều khiển miền chính - primary domain
controller (PDC) và bộ điều khiển miền backup - backup domain controller
(BDC) là các role có thể được gán cho một máy chủ trong một mạng các máy
tính sử dụng hệ điều hành Windows. Windows đã sử dụng ý tưởng miền để quản
lý sự truy cập đối với các tài nguyên mạng (ứng dụng, máy in và,…) cho một
nhóm người dùng. Người dùng chỉ cần đăng nhập vào miền là có thể truy cập
vào các tài nguyên, những tài nguyên này có thể nằm trên một số các máy chủ
khác nhau trong mạng.
Máy chủ được biết đến như PDC, quản lý cơ sở dữ liệu người dùng Master cho
miền. Một hoặc một số máy chủ khác được thiết kế như BDC. PDC gửi một
cách định kỳ các bản copy cơ sở dữ liệu đến các BDC. Một BDC có thể có thể
đóng vai trị như một PDC nếu máy chủ PDC bị lỗi và cũng có thể trợ giúp cân
bằng luồng cơng việc nếu quá bận.
Với Windows 2000 Server, khi domain controller vẫn được duy trì, các role máy
chủ PDC và BDC cơ bản được thay thế bởi Active Directory. Người dùng cũng
không tạo các miền phân biệt để phân chia các đặc quyền quản trị. Bên trong
Active Directory, người dùng hồn tồn có thể ủy nhiệm các đặc quyền quản trị

dựa trên các OU. Các miền không bị hạn chế bởi một số lượng 40.000 người
dùng. Các miền Active Directory có thể quản lý hàng triệu các đối tượng. Vì
khơng cịn tồn tại PDC và BDC nên Active Directory sử dụng bản sao multimaster replication và tất cả các domain controller đều ngang hàng nhau.
Organizational units tỏ ra linh hoạt hơn và cho phép quản lý dễ dàng hơn so
với các miền. OU cho phép bạn có được khả năng linh hoạt gần như vơ hạn, bạn
có thể chuyển, xóa và tạo các OU mới nếu cần. Mặc dù các miền cũng có tính
chất mềm dẻo. Chúng có thể bị xịa tạo mới, tuy nhiên q trình này dễ dẫn đến
phá vỡ mơi trường so với các OU và cũng nên tránh nếu có thể.
Theo định nghĩa, sites là chứa các IP subnet có các liên kết truyền thơng tin cậy
và nhanh giữa các host. Bằng cách sử dụng site, bạn có thể kiểm soát và giảm số
lượng lưu lượng truyền tải trên các liên kết WAN chậm.
1.3.3. Infrastructure Master và Global Catalog:
Một thành phần chính khác bên trong Active Directory là Infrastructure
Master. Infrastructure Master (IM) là một domain-wide FSMO (Flexible


Single Master of Operations) có vai trị đáp trả trong quá trình tự động để sửa
lỗi (phantom) bên trong cơ sở dữ liệu Active Directory.
Phantom được tạo ra trên các DC, nó yêu cầu một sự tham chiếu chéo cơ sở dữ
liệu giữa một đối tượng bên trong cơ sở dữ liệu riêng và một đối tượng từ miền
bên trong forest. Ví dụ có thể bắt gặp khi bạn bổ sung thêm một người dùng nào
đó từ một miền vào một nhóm bên trong miền khác có cùng forest. Phantom sẽ
bị mất hiệu lực khi chúng không chứa dữ liệu mới cập nhật, điều này xuất hiện
vì những thay đổi được thực hiện cho đối tượng bên ngoài mà Phantom thể hiện,
ví dụ như khi đối tượng mục tiêu được đặt lại tên, chuyển đi đâu đó giữa các
miền, hay vị xóa. Infrastructure Master có khả năng định vị và khắc phục một
số phantom. Bất cứ thay đổi nào xảy ra do quá trình sửa lỗi đều được tạo bản sao
đến tất cả các DC còn lại bên trong miền.
Infrastructure Master đôi khi bị lẫn lộn với Global Catalog (GC), đây là
thành phần duy trì một copy chỉ cho phép đọc đối với các domain nằm trong

một forest, được sử dụng cho lưu trữ nhóm phổ dụng và q trình đăng nhập,…
Do GC lưu bản copy khơng hồn chỉnh của tất cả các đối tượng bên trong forest
nên chúng có thể tạo các tham chiếu chéo giữa miền khơng có nhu cầu phantom.
1.3.4. Active Directory và LDAP:
LDAP (Lightweight Directory Access Protocol) là một phần của Active
Directory, nó là một giao thức phần mềm cho phép định vị các tổ chức, cá nhân
hoặc các tài nguyên khác như file và thiết bị trong mạng, dù mạng của bạn là
mạng Internet công cộng hay mạng nội bộ trong công ty.
Trong một mạng, một thư mục sẽ cho bạn biết được nơi cất trữ dữ liệu gì đó.
Trong các mạng TCP/IP (gồm có cả Internet), domain name system (DNS) là
một hệ thống thư mục được sử dụng gắn liền tên miền với một địa chỉ mạng cụ
thể (vị trí duy nhất trong mạng). Mặc dù vậy, bạn có thể khơng biết tên miền
nhưng LDAP cho phép bạn tìm kiếm những cụ thể mà không cần biết chúng
được định vị ở đâu.
Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm có các mức
dưới đây:






Thƣ mục gốc có các nhánh con
Country, mỗi Country lại có các nhánh con
Organizations, mỗi Organization lại có các nhánh con
Organizational units (các đơn vị, phịng ban,…), OU có các nhánh
Individuals (cá thể, gồm có người, file và tài nguyên chia sẻ, chẳng hạn
như printer)



Một thư mục LDAP có thể được phân phối giữa nhiều máy chủ. Mỗi máy chủ có
thể có một phiên bản sao của thư mục tổng thể và được đồng bộ theo chu kỳ.
Các quản trị viên cần phải hiểu LDAP khi tìm kiếm các thơng tin trong Active
Directory, cần tạo các truy vấn LDAP hữu dụng khi tìm kiếm các thông tin được
lưu trong cơ sở dữ liệu Active Directory.
1.3.5. Sự quản lý Group Policy và Active Directory:
Khi nói đến Active Directory chắc chắn chúng ta phải đề cập đến Group Policy.
Các quản trị viên có thể sử dụng Group Policy trong Active Directory để định
nghĩa các thiết lập người dùng và máy tính trong tồn mạng. Thiết lập này được
cấu hình và được lưu trong Group Policy Objects (GPOs), các thành phần này
sau đó sẽ được kết hợp với các đối tượng Active Directory, gồm có các domain
và site. Đây chính là cơ chế chủ yếu cho việc áp dụng các thay đổi cho máy tính
và người dùng trong môi trường Windows.
Thông qua quản lý Group Policy, các quản trị viên có thể cấu hình tồn cục các
thiết lập desktop trên các máy tính người dùng, hạn chế hoặc cho phép truy cập
đối với các file hoặc thư mục nào đó bên trong mạng.
Thêm vào đó chúng ta cũng cầm phải hiểu GPO được sử dụng như thế nào.
Group Policy Object được áp dụng theo thứ tự sau: Các chính sách máy nội bộ
được sử dụng trước, sau đó là các chính sách site, chính sách miền, chính sách
được sử dụng cho các OU riêng. Ở một thời điểm nào đó, một đối tượng người
dùng hoặc máy tính chỉ có thể thuộc về một site hoặc một miền, vì vậy chúng sẽ
chỉ nhận các GPO liên kết với site hoặc miền đó.
Các GPO được phân chia thành hai phần riêng biệt: Group Policy Template
(GPT) và Group Policy Container (GPC). Group Policy Template có trách
nhiệm lưu các thiết lập được tạo bên trong GPO. Nó lưu các thiết lập trong một
cấu trúc thư mục và các file lớn. Để áp dụng các thiết lập này thành công đối với
tất cả các đối tượng người dùng và máy tính, GPT phải được tạo bản sao cho tất
cả các DC bên trong miền.
Group Policy Container là một phần của GPO và được lưu trong Active
Directory trên các DC trong miền. GPC có trách nhiệm giữ tham chiếu

cho Client Side Extensions (CSEs), đường dẫn đến GPT, đường dẫn đến các
gói cài đặt và những khía cạnh tham chiếu khác của GPO. GPC khơng chứa
nhiều thơng tin có liên quan đến GPO tương ứng với nó, tuy nhiên nó là một
thành phần cần thiết của Group Policy. Khi các chính sách cài đặt phần mềm
được cấu hình, GPC sẽ giúp giữ các liên kết bên trong GPO. Bên cạnh đó nó


cũng giữ các liên kết quan hệ khác và các đường dẫn được lưu trong các thuộc
tính đối tượng. Biết được cấu trúc của GPC và cách truy cập các thơng tin ẩn
được lưu trong các thuộc tính sẽ rất cần thiết khi bạn cần kiểm tra một vấn đề
nào đó có liên quan đến GP.
Với Windows Server 2003, Microsoft đã phát hành một giải pháp quản
lý Group Policy đó là Group Policy Management Console (GPMC). GPMC
cung cấp cho các quản trị viên một giao diện quản lý giúp đơn giản các nhiệm
vụ có liên quan đến GPO
1.4.Cài đặt và cấu hình Active Directory
1.4.1. Cài đặt Active Directory
1. Click Start và click Run .
2. Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK.
3. Click Next trên Welcome to the Active Directory Installation Wizard page.
4. Click Next trên Operating System Compatibility page.
5. Trên Domain Controller Type page, chọn Domain controller for a new domain
option và click Next.
6. Trên Create New Domain page, chọn Domain in a new forest option và click
Next.
7. Trên New Domain Name page, điền tên đầy đủ của Domain (Full DNS name)
tuoitre.com.vn text box và click Next.
8. Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support
cho các Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi
các Client này muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định

Trong ví dụ này là tuoitre. Click Next.
9. Chấp nhận các xác lập mặc định trên Database and Log Folders page và click
Next.
10. Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và click
Next.
11. Trên DNS Registration Diagnostics page, chọn I will correct the problem later
by configuring DNS manually (Advanced). Click Next.
12. Trên Permissions page, chọn Permissions compatible only with Windows 2000
or Windows Server 2003 operating system option. Click Next.
13. Trên Directory Services Restore Mode Administrator Password page (chế độ
phục hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào
chế độ troubleshoot này bằng cách Restart Computer, chọn F8), điền vào Restore
Mode Password và sau đó Confirm password. (Các Admin không nên nhầm lẫn


Password ở chế độ này với Domain Administrator Password, điều khiển hoạt động
của DCs hoặc Domain). Click Next.
14. Trên Summary page, click Next.
15. Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active
16. Click Finish trên Completing the Active Directory Installation Wizard page,
hoàn thành việc cài đặt.
17. Click Restart Now trên Active Directory Installation Wizard page.
18. Log-on vào Domain Controller dùng tài khoản Administrator.
1.4.2. Cấu hình Active Directory:
1. Click Start và sau đó click Administrative Tools. Click DNS.
2. Trong bảng làm việc của DNS (DNS console), mở rộng server name
(Server2003 ), sau đó click trên Reverse Lookup Zones. Right click trên Reverse
Lookup Zones và click New Zone.
3. Click Next trên Welcome to the New Zone Wizard.
4. Trên Zone Type , chọn Primary zone option và click Next.

5. Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter
10.0.0 vào text box. Click Next.
6. Chấp nhận chọn lựa mặc định trên Zone File page, và click Next.
7. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic
updates option. Click Next.
8. Click Finish trên Completing the New Zone Wizard page.
Kế tiếp chúng ta tạo Forward lookup zone cho Domain mà Computer này sẽ là
Domain Controller. Tiến hành các bước sau:
1. Right click Forward Lookup Zone và click New Zone.
2. Click Next trên Welcome to the New Zone Wizard page.
3. Trên Zone Type page, chọn Primary zone option và click Next.
4. Trên Zone Name page, điền tên của forward lookup zone trong Zone name text
box. Trong ví dụ này tên của zone là tuoitre.com.vn, trùng với tên của Domain sẽ
tạo sau này. Đưa tuoitre.com.vn vào text box. Click Next.
5. Chấp nhận các xác lập mặc định trên Zone File page và click Next.
6. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic
updates. Click Next.
7. Click Finish trên Completing the New Zone Wizard page.
8. Mở rộng Forward Lookup Zones và click vào MSFirewall.org zone. Right click
trên tuoitre.com.vn và Click New Host (A).


9. Trong New Host dialog box, điền vào chính xác Server2003 trong Name (uses
parent domain name if blank) text box. Trong IP address text box, điền vào
10.0.0.2. Check vào "Create associated pointer (PTR) record checkbox".
Click Add Host. Click OK trong DNS dialog box thông báo rằng (A) Record đã
được tạo xong. Click Done trong New Host text box.
10. Right click trên tuoitre.com.vn forward lookup zone và click Properties. Click
Name Servers tab. Click exchange2003be entry và click Edit.
11. Trong Server fully qualified domain name (FQDN) text box, điền vào tên đầy

đủ của Domain controller computer là Server2003. tuoitre.com.vn. Click Resolve.
Sẽ nhận thấy, IP address của Server xuất hiện trong IP address list. Click OK.
12. Click Apply và sau đó click OK trên tuoitre.com.vn Properties dialog box.
13. Right click trên DNS server name Server2003, chọn All Tasks. Click Restart.
14. Close DNS console.
Giờ đây Computer này đã sẵn sàng để nâng vai trò lên Thành một Domain
controller trong Domain tuoitre.com.vn
Tiến hành các bước sau để tạo Domain và nâng server này thành Domain
Controller đầu tiên của Domain
Bài tập thực hành của học viên
1. Cài đặt hệ điều hành Windows Server.
2. Cài đặt hệ điều hành Windows Server sử dụng tập tin trả lời tự động.


Bài 2: QUẢN LÝ TÀI KHOẢN NGƢỜI DÙNG VÀ NHÓM
2.1. Định nghĩa tài khoản ngƣời dùng và tài khoản nhóm
Tài khoản ngƣời dùng
Tài khoản người dùng (user account) là một đối tượng quan
trọng đại diện cho người dùng trên mạng, chúng được phân biệt với nhau
thông qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống
mạng phân biệt giữa người này và người khác trên mạng từ đó người dùng
có thể đăng nhập vào mạng và truy cập các tài ngun mạng mà mình được
phép.
Tài khoản nhóm cục bộ
Tài khoản người dùng cục bộ (local user account) là tài khoản người
dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các
tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên
mạng thì người dùng này phải chứng thực lại với máy domain controller
hoặc máy tính chứa tài nguyên chia sẻ. Bạn tạo tài khoản người dùng cục
bộ với công cụ Local Users and Group trong Computer Management

(COMPMGMT.MSC). Các tài khoản cục bộ tạo ra trên máy stand-alone
server, member server hoặc các máy trạm đều được lưu trữ trong tập tin cơ
sở dữ liệu SAM (Security Accounts Manager). Tập tin SAM này được
đặt trong thư mục \Windows\system32\config

1. Tài khoản người dùng miền
Tài khoản người dùng miền (domain user account) là tài khoản người
dùng được định nghĩa trên Active Directory và được phép đăng nhập
(logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài
khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. Bạn
tạo tài khoản người dùng miền với công cụ Active Directory Users and
Computer (DSA.MSC). Khác với tài khoản người dùng cục bộ, tài khoản


người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa
trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục
\Windows\NTDS.

2. Yêu cầu về tài khoản người dùng
- Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì
tên đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các
máy cài hệ điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu
20 ký tự).
- Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất
cả tên của người dùng và nhóm khơng được trùng nhau.
- Username khơng chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
- Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu
chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới. Tuy nhiên, nên
tránh các khoảng trắng vì những tên như thế phải đặt trong dấu ngoặc
khi dùng các kịch bản hay dịng lệnh.

Tài khoản nhóm
Tài khoản nhóm (group account) là một đối tượng đại diện cho một
nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người
dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp
quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. Chú ý là tài
khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm khơng
được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được chia
làm hai loại: nhóm bảo mật (security group) và nhóm phân phối
(distribution group)
Nhóm bảo mật


Nhóm bảo mật là loại nhóm được dùng để cấp phát các quyền hệ thống
(rights) và quyền truy cập (permission). Giống như các tài khoản người
dùng, các nhóm bảo mật đều được chỉ định các SID. Có ba loại nhóm bảo
mật chính là: local, global và universal. Tuy nhiên nếu chúng ta khảo sát kỹ
thì có thể phân thành bốn loại như sau: local, domain local, global và
universal.
Local group (nhóm cục bộ) là loại nhóm có trên các máy standalone Server, member server, Win2K Pro hay WinXP. Các nhóm cục bộ
này chỉ có ý nghĩa và phạm vi hoạt động ngay tại trên máy chứa nó thơi.
Domain local group (nhóm cục bộ miền) là loại nhóm cục bộ đặc biệt vì
chúng là local group nhưng nằm trên máy Domain Controller. Các máy
Domain Controller có một cơ sở dữ liệu Active Directory chung và
được sao chép đồng bộ với nhau do đó một local group trên một
Domain Controller này thì cũng sẽ có mặt trên các Domain Controller anh
em của nó, như vậy local group này có mặt trên miền nên được gọi với cái
tên nhóm cục bộ miền. Các nhóm trong mục Built-in của Active Directory
là các domain local.
Global group (nhóm tồn cục hay nhóm tồn mạng) là loại nhóm nằm
trong Active Directory và được tạo trên các Domain Controller. Chúng dùng

để cấp phát những quyền hệ thống và quyền truy cập vượt qua những ranh
giới của một miền. Một nhóm global có thể đặt vào trong một nhóm local
của các server thành viên trong miền. Chú ý khi tạo nhiều nhóm global thì
có thể làm tăng tải trọng cơng việc của Global Catalog.
Universal group (nhóm phổ quát) là loại nhóm có chức năng giống như
global group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp các
miền trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau.
Loại nhóm này tiện lợi hơn hai nhóm global group và local group vì chúng
dễ dàng lồng các nhóm vào nhau. Nhưng chú ý là loại nhóm này chỉ có thể
dùng được khi hệ thống của bạn phải hoạt động ở chế độ Windows 2000
native functional level hoặc Windows Server 2003 functional level có
nghĩa là tất cả các máy Domain Controller trong mạng đều phải là
Windows Server 2003 hoặc Windows 2000 Server.
Nhóm phân phối
Nhóm phân phối là một loại nhóm phi bảo mật, khơng có SID và
không xuất hiện trong các ACL (Access Control List). Loại nhóm này
khơng được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm và
dịch vụ. Chúng được dùng để phân phối thư (e-mail) hoặc các tin nhắn


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×