�ݺ�ߣ

Chương 1: Tổng quan về windows server
Nội dung
- Giới thiệu windows server 2008
- Các yêu cầu phần cứng để cài đặt Windows server
- Các bước cài đặt HĐH Windows server 2008
1. Giới thiệu
- Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows
Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ
sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản
phẩm hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và môi trường
máy chủ vững chắc hơn các phiên bản trước đây.
- Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc bảo
đảm tất cả người dùng đều có thể có được những thành phần bổ sung từ các dịch
vụ từ mạng. Windows Server 2008 cũng cung cấp nhiều tính năng vượt trội bên
trong hệ điều hành và khả năng chuẩn đoán, cho phép các quản trị viên tăng được
thời gian hỗ trợ cho các doanh nghiệp.
- Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền
tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc
đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và
những cải thiện mạnh mẽ cho hệ điều hành cơ bản.
- Cải thiện hệ điều hành cho máy chủ Windows.Thêm vào tính năng mới,
Windows Server 2008 cung cấp nhiều cải thiệm tốt hơn cho hệ điều hành cơ bản
so với hệ điều hành Windows Server 2003.
- Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng bảo
mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các công
cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sự triển khai và
hệ thống file.
2. Chuẩn bị để cài đặt windows server 2008
2.1. Yêu cầu phần cứng
Phần cứng Yêu cầu tối thiểu Đề nghị
Bộ vi xử lý 1 Ghz (x86), 1,4 Ghz (x64) 2Ghz hoặc lớn hơn
RAM 512MB RAM 2GB
Dung lượng trống 15GB 40GB
Windows Server 2008 hỗ trợ cả 2 cấu trúc vi xử lý 32-bit và 64-bit. Tuy
nhiên, phiên bản mới nhất là Windows Server 2008 R2, Windows Midmarket
Server và Windows Small Business với những tính năng đa dịch vụ, các phiên
bản này chỉ hỗ trợ cấu trúc vi xử lý 64-bit.

RAM hỗ trợ tối đa cho hệ thống 32-bit là 4GB khi chạy phiên bản
Standard Edition và 64GB khi chạy phiên bản Enterprise và Datacenter. Nếu
chạy hệ thống 64-bit, bộ nhớ RAM có thể hỗ trợ lên dến 32GB và 2TB RAM
cho phiên bản Enterprise và Datacenter. Thêm vào đó, Windows Server 2008
hỗ trợ hệ thống Itanium, tuy nhiên chip xử lí Intel Itanium 2 nhân là cần thiết.
2.2 Tương thích phần cứng:
- Linh kiện tương thích là sự tương thích giữa các linh kiện, không gây nên các
sự cản trở tiềm năng của những phần cững khác bắt nguồn từ sự khác nhau về
công suất tối da của hai linh kiện đó.
- Linh kiện tương thích không phụ thuộc vào vấn đề chất lượng hay tuổi của linh
kiện, mà chủ yếu từ hiệu năng của các linh kiện đấy. Sự tương thích của linh
kiện máy tính phải đồng đều ở những hệ thống cao cấp và kể cả ở các phần cứng
cấp thấp.
2.3. Cài đặt mới và nâng cấp
2.3.1. Cài đặt mới
Tự cài đặt các nâng cấp
Cài đặt từ kịch bản
Sử dụng Sconfig
Visual Core Configurator 2008
Cài đặt bằng cách sử dụng Core Configurator 2.0
Cài đặt trực tiếp từ đĩa CD Windows Server 2008
2.3.2. Nâng cấp lên windows server 2008
Những phiên bản trước Nâng cấp lên Windows
Server 2008
Microsoft Windows Server 2003 R2 Standard,
Enterprise hoặc DatacenterEdition
Hỗ trợ đầy đủ
Microsoft Windows Server 2003 Service Pack
1(SP1) Standard, Enterprise hoặc Datacenter
Edition
Microsoft Windows Server 2003 Service Pack
2 (SP2) Standard, Enterprise hoặc Datacenter
Edition
Windows NT 4.0 Không hỗ trợ
Windows 2000 Server Không hỗ trợ
Windows XP Không hỗ trợ
Windows Vista Không hỗ trợ

Windows 7 Không hỗ trợ
Để nâng cấp lên phiên bản Windows Server 2008, cần phải chạy các hệ
điều hành ở cấp độ server. Không thể nâng cấp các phiên bản Windows dành cho
người dùng như Windows XP hoặc Windows Vista lên Windows Server 2008. Để
nâng cấp lên Windows Server 2008, hệ thống của bạn phải chạy Windows
Server 2003. Việc nâng cấp từ Windows NT 4.0 và Windows 2000 Server không
được hỗ trợ. Việc nâng cấp từ những phiên bản Windows Server 2003 lên phiên
bản Windows Server 2008 Server Core không được hỗ trợ. Việc nâng cấp chỉ
thực hiện được ở những phiên bản giống nhau. Khi nâng cấp lên phiên bản
Windows Server 2008, mọi cấu hình thiết lập, file và các chương trình đều được
giữ lại
2.4. Phân chia ổ đĩa
- Trên PC với ổ đĩa cứng phân chia thành các ổ logic phù hợp
- Trên máy ảo: Lựa chọn theo dung lượng tối thiểu (tự động) hoặc theo nhu cầu
cài đặt thêm các phần mềm ứng dụng.
3. Cài đặt Windows server 2008
Đặt đĩa CD vào ổ đĩa, khởi động lại máy tính và bắt đầu tiến hành quá trình
cài đặt.
Language to instalk : ngôn ngữ bạn muốn hiển thị.
Time and currency format : định dạng thời gian và tiền tệ.
Keyboard or input method : định dạng bàn phím và phương thức nhập chữ.Sau
khi lựa chọn, click Next để tiếp tục cài đặt
Click Install now để bắt đầu cài đặt.

Lựa chọn phiên bản Windows Server thích hợp, ở đây chúng ta chọn phiên bản
Windows Server Standard without Hyper-V. Click Next để tiếp tục.
Tại bảng MICROSOFT PRE-RELEASE SOFTWARE LICENSE TERMS là
những điều khoản sử dụng sản phẩm của Microsoft. Đánh dấu chọn vào I
accept the license terms để chấp nhận những điều khoản đó và click Next để
tiếp tục.
Chọn Custom (advaneced) để tiến hành cài đặt tùy chọn.

Tiếp theo là chọn ổ đĩa để cài dặt Windows. Tiếp tục click Next sau khi đã chọn ổ
đĩa cài đặt.
Đợi cho đến khi hoàn tất cài đặt Windows Server 2008
Sau khi hệ thống hoàn tất cái đặt sẽ tự động đăng nhập vời tài khoản
Administrator, tuy nhiên mật khẩu đang ở trạng thái trống (blank) vì thế cần phải
thiết lập mật khẩu ở lần đăng nhập đầu tiên.
Click OK để tiến hành thay đổi mật khẩu.Sau đó đăng nhập vào bằng mật khẩu
vừa thay đổi.
Đến đây quá trình cài đặt kết thúc.
Bài tập: Thực hành cài đặt máy ảo và HĐH windows server 2008
TRƯỞNG KHOA GIÁO VIÊN
Thượng tá Đặng Bảy Nguyễn Huy Cảnh

Chương 2. Dịch vụ tên miền DNS
Nội dung:
- Tìm hiểu về các dịch vụ DNS
- Quá trình nâng cấp và cài đặt các dịch vụ
1. Tổng quan về DNS
1.1. Giới thiệu về DNS
DNS (Domain Name System) Server là máy chủ được dùng để phân giải domain
thành địa chỉ IP và ngược lại. Về cách thức hoạt động, DNS Server lưu trữ một cơ
sở dữ liệu bao gồm các bản ghi DNS và dịch vụ lắng nghe các yêu cầu. Khi máy
client gửi yêu cầu phân giải đến, DNS Server tiến hành tra cứu trong cơ sở dữ liệu
và gửi kết quả tương ứng về máy client.
1.2. Đặc điểm của DNS trong windows server
2. Cách phân bổ dữ liệu và quản lý tên miền
Máy tính khi kết nối vào mạng Internet thì được gán cho một địa chỉ IP xác
định duy nhất để giao tiếp với các máy khác một thông qua địa chỉ IP này. Nhưng
người dùng phải nhớ địa chỉ IP của nhau.
Nhưng việc nhớ tên máy/hostname của người dùng sẽ dễ chịu hơn
Do vậy cần phải sử dụng một hệ thống để giúp chuyển đổi địa chỉ IP  tên
máy và tên máy  IP trong môi trường Internet. Do đó hệ thống tên miền - DNS
(domain name system) ra đời
Dịch vụ DNS hoạt động theo mô hình Client – Server:
- Phần Server hay còn gọi là Name Server là máy chủ, quản lý việc phân giải
tên miền.
- Phần Client hay còn gọi là Resolver là chương trình truy vấn thông tin tên
miền mà được lưu trong CSDL DNS của Name Server.
DNS sử dụng hệ thống cơ sở dữ liệu phân tán:
- Cho phép người quản trị cục bộ quản lý phần dữ liệu nội bộ thuộc phạm vi
của họ.
- Dữ liệu này cũng được truy cập trên toàn bộ hệ thống mạng theo mô hình
Client – Server
Các top-level domain được quản lý bởi những Root Name Server (.) trên
Internet. Gọi là Root Hints. Tên máy và địa chỉ IP của những Root Hints này được
công bố cho mọi người biết và được bảo mật rất kỹ (được quân đội bảo vệ).
Đường dẫn của file chứa thông tin Root Hints trên Name Server là :
%SystemRoot%System32DNScache.dns. File này được gọi là root name server
hints file. Những Name Server này được bố trí khắp nơi trên thế giới.

Sau đây là bảng liệt kê tên và địa chỉ IP của các Root Name Server này
3. Cơ chế phân giải tên
Phân giải tên host thành địa chỉ IP
Khi có truy vấn về một tên miền nào đó thì RNS phải cung cấp tên và IP của
name server quản lý top-level domain mà tên miền thuộc vào (thực tế hầu hết các
RNS cũng chính là máy chủ quản lý top-level domain). Và đến lược các server
của top-level domain cung cấp danh sách các name server có quyền trên các tên
miền cấp hai (Second level domain) mà tên miền thuộc vào, cứ như thế đến khi
nào tìm được máy quản lý tên miền cần truy vấn.
Như vậy ta thấy vai trò rất quan trọng của RNS trong quá trình phân giải tên
miền. Nếu mọi RNS trên Internet không liên lạc được thì mọi yêu cầu phân giải
đều không thực hiện được. Do đó có nhiều RNS được phân bố trên toàn thế giới
4. Cài đặt và cấu hình DNS
Vào Server Manager  Roles Add Roles.Tại bảng Select Server Roles, chọn
DNS Server

- Sau đó nhấn Next để tiếp tục
- Chọn Instal. Tại bảng Confirm Installation Selections xác nhận việc cài đặt.
- Chọn Close để hoàn tất cài đặt.
5. Cấu hình DNS
- Đối với DNS Server,thông thường nên xây dựng đồng thời hai hệ thống là DNS
Server chính (Primary) và DNS Server dự phòng (Secondary) dùng chung một cơ
sở dữ liệu. Với phương pháp này,sẽ hạn chế khả năng dịch vụ DNS bị ngưng khi
có sự cố xảy ra trên hệ thống.
- Vào Start Administrative Tools DNS.
- Nhấp chuột phải vào Forward Lookup Zones và chọn New Zone.

- Tại bảng Welcome to the New Zone Wizard ,chọn Next.
- Tại bảng Zone Type chọn Primary zone để cấu hình DNS Server chính.
- Chọn Next. Tại bảng Zone Name gõ tên domain vào.
- Chọn Next. Tại bảng Zone File, để mặc định. Chọn Next.

- Chọn Next. Tại bảng Completing the New Zone Wizard xem lại thông tin.
- Sau đó chọn Finish để hoàn tất.
- Nhấp chuột phải vào Reverse Lookup Zones và chọn New Zone.
- Tại bảng Welcome to the New Zone Wizard chọn Next.
- Tại bảng Zone Type chọn Primary zone để cấu hình chức năng reverse cho DNS
Server chính.
- Chọn Next.Tại bảng Reverse Lookup Zone Name chọn kiểu IP cần phân giải. Ở
đây chọn IPv4.

- Chọn Next. Điền Network ID và chọn Next.
- Tại bảng Zone File để mặc định. Chọn Next.
- Tại bảng Dynamic Update chọn Allow both nonsecure dynamic updates.
- Chọn Next và xem lại thông tin thiết lập, và sau đó chọn Finish để kết thúc.
6. Cấu hình địa chỉ DNS Server trên máy Client

7. Bổ sung các bản ghi DNS vào DNS Server
- Nếu muốn tạo các record khác.Nhấp chuột phải vào zone và chọn Other New
Records.
- Vào Start Administrative Tools DNS. Nhấp chuột phải vào zone và chọn
New
- Gõ tên host vào mục Name, gõ địa chỉ IP vào mục IP address. Nếu muốn tạo ra
một bản ghi DNS phân giải ngược tương ứng thì đánh dấu chọn Create associated
pointer (PTR) record.

- Sau đó chọn Add Host.Xuất hiện thông báo thành công.
Chọn OK. Bảng New Host tiếp tục xuất hiện, chọn Done để kết thúc tạo bản ghi.
Để tạo một bản ghi Alias, nhấp chuột phải vào zone và chọn New Alias
(CNAME). Tương tự như trên, điền các thông tin vào. Tại mục Fully qualified
domain name (FQDN) for target host, nếu bạn không nhớ, chọn Browse để tìm
tên máy cần thết.
- Sau khi đã điền thông tin đầy đủ. Chọn OK để hoàn tất.

Bài tập: Theo lab bài tập

Chương 3: DỊCH VỤ THƯ MỤC ACTIVE DIRE
1. Các mô hình mạng trong môi trường Microsoft
a. Mô hình workgroup
Còn gọi là mô hình peer – to – peer, các máy trong mạng có vai trò như nhau, dữ
liệu tài nguyên lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên
của mình, hệ thống mạng không có máy chuyên dụng để quản lý và cung cấp dịch
vụ, phù hợp với mạng nhỏ và bảo mật không cao, các máy tính sử dụng hệ điều
hành hỗ trợ đa người dùng, việc chứng thực tài khoản người dùng do máy cục bộ
đảm nhiệm.
b. Mô hình Server
Hoạt động theo cơ chế Client – Server. Trong hệ thống mạng phải có ít nhất một
máy tính làm chức năng điều khiển vùng (Domain Controler), điều khhieenr toàn
bộ hoạt động của hệ thống mạng. Việc chứng thực người dùng và quản lý tài
nguyên mạng được tập trung tại các server trong miền, mô hình này ứng dụng
trong các công ty vừa và lớn, các thông tin người dùng được tập trung lại do
Active Directory quản lý và được lưu trữ trên Domain controler.
2. Active Directory
2.1. Giới thiệu
Microsoft Active Directory cung cấp giải pháp tập trung, quản lý và lưu
trữ thông tin về tài nguyên hệ thống mạng trên toàn bộ domain. Bên cạnh đó,
Active Directory sử dụng Domain Controllers có nhiệm vụ lưu trữ và phân phối
dung lượng lưu trữ cho tất cả người dùng trong hệ thống và thiết lập Windows
Server 2008 kiêm luôn vai trò của Domain Controller.
Trong bài viết sau, chúng tôi sẽ giới thiệu một số bước cơ bản để tạo mới hệ
thống Windows Server 2008 Domain Controller dành cho domain Active
Directory.
Một số lưu ý khi tiến hành cài mới Windows Server 2008:
Khi tiến hành cài đặt AD, cần phải tạo domain controller đầu tiên trong
Windows Server 2008, các bạn nên cân nhắc và nhớ kĩ những điều sau:
Các Domain Controller sử dụng HĐH Microsoft Windows NT Server 4.0
không hỗ trợ bởi Windows Server 2008.
Hệ thống server sử dụng Windows NT Server 4.0 không được hỗ trợ bởi
các domain controller đang hoạt động trong Windows Server 2008, nghĩa là bạn
phải có thêm các domain controller sử dụng Windows 2000/2003 để hỗ trợ
server NT 4.0.
Domain controller Windows Server 2008 đầu tiên bắt buộc là hệ thống
máy chủ global và không được trở thành RODC(Read-Only Domain Controller)

3. Cài đặt Active Directory Domain Services (AD-DS):
Trong HĐH Windows Server 2008, không giống như những hệ thống trước
đó,các bạn nên áp dụng thêm bước DCPROMO để “đẩy” server tới Domain
Controller và cài đặt Active Directory trực tiếp trên đó. Bước này đóng vai trò
như việc cài Active Directory Domain Services (AD-DS) trên server.Thực tế ,
vai trò của AD-DS là để kích hoạt server kiêm luôn nhiệm vụ của Domain
Controller, nhưng bạn vẫn phải thực hiện lệnh DCPROMO. AD-DS có thể được
cài đặt theo 3 cách sau.
Cách 1: Server Manager/Initial Configuration Tasks
Mở Server Manager > Roles > Add roles:
Nhấn Next tại cửa sổ tiếp theo :
Trong cửa số Select Server Roles, chọn Active Directory Domain
Services và nhấn Next :

Cửa sổ Active Directory Domain Services hiển thị, các bạn có thể tham
khảo thêm thông tin được hệ thống cung cấp tại đây và nhấn Next :
Tiếp tục nhấn Install tại cửa sổ Confirm Installation Selections:
Chờ đợi toàn bộ quá trình hoàn tất :

Nhấn Close :
Sau đó quay trở lại Server Manager, nhấn vào đường dẫn Active
Directory Domain Services, nhưng không thể sử dụng được vì DCPROMO chưa
được kích hoạt:

Chọn đường dẫn DCPROMO và tiếp tục làm theo hướng dẫn tại đó:
Cách 2: sử dụng servermanagercmd.exe
Câu lệnh Servermanagercmd.exe này tương đương với tính năng Add
Roles và Add Features của Server Manager. Cấu trúc chính của lệnh này như
sau:
Servermanagercmd.exe –I ADDS-Domain-Controller
Tất cả những gì bạn cần làm là chờ đợi quá trình trên kết thúc.
Cách 3: DCPROMO
Nếu bạn quên cài AD-DS hoặc đơn giản hơn là muốn bỏ qua những bước
phức tạp này, hãy sử dụng DCPROMO từ Command Prompt, và trước khi nó
hoạt động , server sẽ kiểm tra xem AD-DS đã được cài đặt hay chưa. Nếu chưa,
hệ thống sẽ tiếp tục :
Sau khi hoàn tất quá trình Add Roles Wizard, tiếp tục sử dụng Active
Directory Domain Services Installation Wizard hoặc đóng chức năng Server
Manager lại.
Sử dụng DCPROMO:
Sau khi cài đặt các role AD-DS, chúng ta cần DCPROMO để tạo cở sở dữ
liệu cho Active Directory và các chức năng khác.

Gõ lệnh dcpromo từ mục Run hoặc chọn đường dẫn DCPROMO trong
Manager > Roles > Active Directory Domain Services:
Phụ thuộc vào việc AD-DS đã được cài đặt hay chưa, cửa sổ Active
Directory Domain Services Installation Wizard sẽ tiếp tục xuất hiện, các bạn
nhấn Next :
Trong cửa sổ Operating System Compatibility, các bạn có thể tham khảo
thêm thong tin chi tiết và nhấn Next :
Tiếp tục đến phần “Choosing Deployment Configuration” các bạn chọn
“Create a new domain in a new forest” và Next :

Điền tên phù hợp dành cho Domain mới và Next :
Quá trình tiếp theo diễn ra, hệ thống sẽ kiểm tra tên domain đó có thích
hợp và được sử dụng hay chưa :
Chọn đúng mức của forest function level, mặc định là Windows 2000 ( ở
đây là Windows Server 2008 ) :

Tiếp theo là mục domain function level, mặc định là Windows 2000
Native ( ở đây là Windows Server 2008 ) :
Nếu chọn Windows Server 2008 tại mục “forest function level”, hệ thống
sẽ không cảnh báo người sử dụng chọn “domain function level”.
>>>>>>
Tiếp theo , hệ thống sẽ tiếp tục tiến hành kiểm tra xem DNS đã được cấu
hình và thiết lập hay chưa. Trong trường hợp này, không có DNS server nào đã
được cấu hình, do vậy trình cài đặt sẽ tự động cài đặt DNS trên server này :

Tiếp theo là thông báo về việc DNS chưa được cấu hình, các bạn có thể
bỏ qua và nhấn Next :
Thay đổi đường dẫn cơ sở dữ liệu AD, file log và thư mục SYSVOL. Đối
với những mô hình lớn, các bạn hãy thiết lập DC sao cho đạt hiệu quả tối ưu
nhất có thể.Sau đó nhấn Next :
Đặt mật khẩu cho Restore Mode, người sử dụng nên đặt mật khẩu dựa
trên sự kết hợp của chuỗi kí tự tối thiểu là 7 và có kí tự đặc biệt,lưu ý không nên
đặt bất kì mật khẩu nào trùng nhau trong cùng 1 hệ thống, nhấn Next :

Trong cửa sổ cuối cùng, các bạn có thể xem lại toàn bộ thiết lập của mình.
Nhấn Next :
Quá trình cài đặt sẽ bắt đầu tạo domain Active Directory và khi kết thúc
thì các bạn nhấn Finish khởi động lại hệ thống :

Quá trình trên hoàn tất, hệ thống server đã có thêm vai trò của Domain
Controller.Và từ đây, các bạn có thể kiểm tra đầy đủ các tính năng bằng việc sử
dụng công cụ quản lý AD như Active Directory User and Computers, Event
Logs, các dịch vụ, thư mục, tính năng phân quyền và chia sẻ… vừa được tạo.
4. DOMAIN
a. Tạo dựng Domain Controller
Giống như Windows Server 2003 sẽ vẫn cần chạy dcpromo từ nhắc lệnh
Run, tuy nhiên cần phải cài đặt Active Directory Domain Controller role, đầu
tiên bạn cài đặt role, sau đó chạy dcpromo.Vào Server Manager  Roles 
Add Roles
Xuất hiện trang Before You Begin, nhấn Next để tiếp tục.
Chọn Active Directory Domain Services Add Required Features để cài đặt
thêm các tính năng này với Active Directory Server Role.
Sau khi chọn Active Directory DC Server Role, bạn sẽ thấy các thông tin về
Server Role.

Kích Install để cài đặt các file yêu cầu nhằm chạy dcpromo
Cài đặt được thực hiện thành công. Kích Close.
Lúc này vào menu Start, đánh dcpromo vào hộp tìm kiếm. Kích dcpromo.
Thao tác này sẽ khởi chạy Welcome to the Active Directory Domain Service
Installation Wizard. Kích Next.
Sau đó tiếp tục nhấn Next.

Trong trang Choose a Deployment Configuration Create a new domain in a
new forest..
Trong trang Name the Forest Root Domain, nhập vào tên của miền trong hộp
nhập liệu FQDN of the forest room domain.Nhấn Next để tiếp tục.
Nhấn Next để tiếp tục.
Trong trang Set Forest Functional Level, chọn Windows Server 2008. Nhấn
Next để tiếp tục.

Trong trang Additional Domain Controller Options, Chọn DNS server và kích
Next.
Một hộp thoại sẽ xuất hiện nói răng không thể tạo đại biểu cho máy chủ DNS này
vì không thể tìm thấy vùng xác thực hoặc nó không chạy Windows DNS server.
Lý do cho điều này là vì đây là DC đầu tiên trên mạng. Nhấn Next để tiếp tục.
Để lại thư mục Database, Log Files và SYSVOL ,kích Next.

Trong Directory Service Restore Mode Administrator Password, nhập một
mật khẩu mạnh vào các hộp nhập liệu Password và Confirm password.
Xác nhận các thông tin trên trang Summary và kích Next.
Active Directory sẽ cài đặt. Đặt một dấu kiểm vào hộp chọn Reboot on
completion để máy tính sẽ tự động khởi động lại khi cài đặt DC được hoàn tất.
. Cài đặt sẽ hoàn tất khi đăng nhập.
2. Đăng nhập máy Client vào Domain
Đặt địa chỉ IP.Click phải vào My Network places Properties.Chọn
Manager network connectionsClick phải vào biểu tượng card mạng chọn
Properties.Chọn Internet Protocol Version 4 (TCP/IPv4) Properties

Click phải My Computer Properties Change Settings.
Nhấn nút Change.
Chọn Domain Nhập tên domain
Công việc thành công.
Nhấn OK để chấp nhận Restart máy.

Nhấn Close.
Nhấn Restart Now.
Sau khi restart, log on vào domain Administrator máy tính đã trở thành 1 client
của domain taiphat.net.
Bài tập: Thực hành cài đặt AD, Domain

Chương 4: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM
1. Định nghĩa tài khoản người dùng và nhóm
Thông thường một máy tính không phải chỉ có một người nào đó sử dụng
duy nhất mà trên thực tế ngay cả máy nhà đôi vẫn có ít nhất từ 2-3 người sử dụng.
Tuy nhiên nếu tất cả mọi người đều sử dụng chung một tài khoản thì những dữ
liệu riêng tư của mình không cho người khác thấy. Nhưng nếu máy tính là máy
chung của công ty và vấn đề đặt ra là ta không muốn tài liệu của người mình,
người khác có thể xem tùy tiện được. Cách tốt nhất là cấp cho mỗi nhân viên một
máy nhất định và yêu cầu họ đặt password lên máy của mình, nhưng như thế thì
rất tốn kém và không được ưa chuộng. Chính vì thế người quản trị mạng sẽ sử
dụng công cụ Local Users and Groups để tạo các tài khoản người dùng trên cùng
một máy, khi đó dữ liệu của người này người kia không thể truy cập được.
2. TẠO CÁC LOCAL USER
- Để tạo được User local phải có quyền ngang hàng với Administrator của hệ
thống.
-Vào StartProgramsAdministrative Tools Active Directory Users and
Computers.
- Chuột phải User  New User  tại bảng New Object – User điền đầy đủ các
thông tin vào First Name, Last Name, Full Name.
- Chọn Next để tiếp tục.Xuất hiện bảng thiết lập password.Đây là mật khẩu của
bạn ứng với tên tài khoản đã tạo ở trên,dùng để đăng nhập vào domain.
- Pasword phải thỏa mãn các chính sách mặc định của Windows Server
2008.Password ít nhất là 7 kí tự và phải có các thành phần sau :
 Các kí tự thường : a,b,c,d,e…..
 Các kí tự in hoa : A,B,C,D,E….
 Các chữ số : 1,2,3,4,5….
 Các kí tự đặc biệt : @,!,$,&,#....

- Ở đây không thiết lập password vì trong Group Policy Management Editor đã
vô hiệu hóa password.
- Lưu ý 4 dòng :
 User must change password at next logon : bắt buộc user phải thay đổi
password ở lần đăng nhập kế tiếp
 User cannot change password : user không có quyền thay đổi password
 Password never expires : password không có thời hạn qui định
 Account is disabled : vô hiệu hóa tài khoản.
- Ở đây sẽ không chọn mục nào hết. Nhấn Next.
- Chọn Next để tiếp tục.Ở bảng tiếp theo là thông tin về user chuẩn bị được tạo.

- Chọn Finish để kết thúc.
- Tiếp theo,kiểm tra thử user đã được tạo .Click đúp vào User và kiểm tra.
Để gán cho User có thể đăng nhập vào domain. Vào Group Policy Management
Editor. Chọn Allow log on through Terminal Services.
Add User or Group  Browse  đánh tên user rồi Check Names  OK.
User tai , phat đã được chọn để logon. Và nhấn OK
Vào Logon as a Service. Cũng gán quyền cho user như trên. User tai , phat đã
được gán quyền được logon.
Xong sau đó vào Start  Run  gõ lệnh gpupdate /force để cập nhật user.

Sau đó Log off để đăng nhập user vào Administrator.Nhập tên user đã được gán
quyền và nhấn OK.(không cần password) vì khi nảy ta đã không nhập password.
Vào Start để xem user đã đăng nhập vào.
3. TẠO LOCAL GROUP
Để tạo một group mới.Nhấp chuột phải vào User và chọn New  Group.
Tại ô Group name gõ tên group.Sau đó chọn OK
Kiểm tra lại group đã được tạo bằng cách click vào User
Để đưa user vào group phattai ,nhấp chuột phải vào group và chọn Properties.
Tại tab Member.Chọn Add..

Tại ô Enter the object name to select bạn gõ tên user muốn đưa vào group.
Sau khi gõ tên user,chọn Check Names để kiểm tra.
Và kết quả là tồn tại user này trên domain.
Sau khi thêm user vào group.Chọn OK để xác nhận

Chương 5. DỊCH VỤ DHCP
1. Dịch vụ DHCP
- Dịch vụ DHCP cho phép chúng ta cấp động các thông số cấu hình mạng cho các
máy trạm.(client).
- Cơ chế sử dụng các thông số mạng được cấp phát động có ưu điểm hơn so với
cơ chế khai báo tĩnh các thông số mạng như:
Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ thống
mạng.Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP
thật (Public IP).Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa
các mạng.Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm
Hotspot như: nhà ga, sân bay, trường học…
2. Hoạt động của giao thức
Giao thức DHCP làm việc theo mô hình client/server.Khi máy client khởi động,
máy sẽ gửi broadcast gói tin DHCPDISCOVER, yêu cầu một server phục vụ
mình. Gói tin này cũng chứa địa chỉ MAC của máy client.Các máy Server trên
mạng khi nhận được gói tin yêu cầu đó, nếu còn khả năng cung cấp địa chỉ IP, đều
gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê một địa chỉ IP
trong một khoản thời gian nhất định, kèm theo là một subnet mask và địa chỉ của
Server.
3. Cài đặt trên Windows Server 2008
3.1. Trên máy Server
- Vào Server Manger  Roles Add Roles.
- Nhấn Next trong mục Roles chọn “DHCP Server”. Nhấn Next.

- Trong bảng này giới thiệu về DHCP và các điểm cần lưu ý Things to Note. Tiếp
tục nhấn Next.
- Chọn card mạng sử dụng dịch vụ này ở đây chúng ta chỉ có một card mạng nên
tiếp tục nhấn Next nhấn Next.
- Trong mục “Parent Domain” điền tên domain và điền IP DNS server ở mục
“Preferred DNS…” và nhấn Validate để kiểm tra và xác nhận tồn tại và tiếp tục
nhấn Next.
- Tiếp tục nhấn Next.

- Ở bảng Add or Edit DHCP Scopes, nhấn Add để thêm scope, điền thông tin
scope cần add và nhấn OK.
- Nhấn Next và Tắt chức năng IPv6 ở đây chúng ta không sử dụng IPv6, chọn
“Disable IPv6 Stateless mode…” và Next.
- Chọn user có quyền Author Next.
- Xác nhận lại thông tin trước khi cài đặt dịch vụ DHCP.

- Nhấn Install để tiến hành cài đặt.
- Cài đặt Role hoàn tất, và nhấn Close
Kiểm tra lại hệ thống.
3.2 Trên máy Client
- Ở máy client cấu hình TCP/IPv4 cho nhận IP động.
- Mở Command Prompt, nhập lệnh ipconfig /release (xóa IP động hiện tại) và
nhập tiếp lệnh ipconfig /renew (yêu cầu cấp IP động mới) để kiểm tra việc cấp
phát ip động của DHCP.
4. Cấu hình DHCP
4.1. Tạo Scope
- Vào Administrative Tools DHCP.

- Nhấn chuột phải vào IPv4 và New Scope.
- Hộp thoại New Scope hiện ra và Next.
- Hộp thoại Scope Name và Điền tên của scope vào mục Name và nhấn Next.
- Hộp thoại IP Address Range, điền thông số range IP cấp phát và subnet
mask Next.

- Hộp thoại Add Exclusions: nhập range ip đặc biệt không dùng để cấp phát
Add Next.
- Hộp thoại Lease Duration: thời gian thuê địa chỉ IP mặc định là 8 ngày.
- Hộp thoại Configuration DHCP Options yêu cầu chúng ta cấu hình thông số
dịch vụ của scope ngay bây giờ hoặc để sau. Ở đây ta chọn Yes, I want to config
these options now và nhấn Next.
- Hộp thoại Router (Default gateway): nhập địa chỉ default gateway của scope
này rồi nhấn Add và Next.

- Hộp thoại Domain Name và DNS server : điền tên domain, phần IP Address
điền IP DNS server
- Nhấn Next để tiếp tục.
- Hộp thoại Active Scope chọn active scope và nhấn Next.
- Sau đó nhấn Finish để kết thúc.
- Xem kết quả scope 192.168.1.0 đã được tạo:
4.2. Thay đổi options của Scope

- Xổ scope cần thao tác và chuột phải scope options Configure Options.
- Hộp thoại Scope Options hiện ra, ở trường Available Options là những thuộc
tính sẵn sàng mà chúng ta có thể thay đổi với những thuộc tính đã stick là những
thuộc tính đã được cấu hình trước đó.
- Chúng ta sẽ thử cấu hình default gateway lại cho scope này, chọn Router.
Router Options hiện ta cho chúng ta thêm xóa và edit với những thuộc tính khác
cũng vậy.
4.3. Thay đổi Server options
- Chuột phải Server options Configure Options.
- Cũng như cách thức thay đổi thuộc tính của scope options chỉ khác là những
thuộc tính thay đổi ở đây sẽ áp cho tất cả các scope của server.
5. Backup DHCP Server
- Vào Administrative Tools là DHCP. Nhấn chuột phải tên máy và Backup…
- Hộp thoại Browse For Folder hiện ra yêu cầu chọn nơi cất file backup, mặc
định là trong C:Windowssystem32dhcpbackup.

- Chúng ta để mặc định và OK kết thúc quá trình backup vào thư mục chứ bakup
kiểm tra.
6. Remove DHCP Server
- Vào Server Manager Roles  Chọn Remove roles.
- Hộp thoại Remove Roles Wizard hiện ra và nhấn Next.
- Bỏ dấu stick dịch vụ DHCP và Next, sau đó chọn Remove để xóa dịch vụ
DHCP

- Sau đó Restart lại hệ thống.
Bài tập: Thực hành cài đặt DHCP và DNS

Chương 6. DỊCH VỤ IN ẤN (Print Services)
1. Cài đặt
Ngày nay, hầu hết các máy in đều được kết nối trực tiếp vào mạng, các cổng song
song đã không còn tồn tại như trước kia. Khi phần cứng máy in thay đổi thì các
tính năng quản lý máy in có trong máy chủ Windows cũng thay đổi theo. Mặc dù
vậy không phải tất cả các thay đổi trong Windows đều do vấn đề phần cứng của
máy in thay đổi mà sự thực Microsoft đã thực hiện một số thay đổi rất có giá trị
để tạo sự dễ dàng hơn trong việc quản lý máy in. Khi Microsoft tạo Windows
Server 2008, họ đã thiết kế lại giao diện quản lý máy in nhằm giúp việc quản lý
trở nên dễ hơn. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn giao diện
mới đó và cách sử dụng nó như thế nào trong quản lý máy in.
Cài đặt các công cụ dịch vụ in ấn
Khi thiết kế Windows Server 2008, Microsoft đã chọn phương pháp chỉ cài đặt
một số thành phần tối thiểu ban đầu. Những gì cần thiết đối với nhiệm vụ của bạn
cần phải được cài đặt bổ sung sau này.
Tính năng quản lý máy in là một trong những thành phần như vậy. Print Services
Tools không được cài đặt mặc định, vì vậy để sử dụng nó bạn cần phải cài đặt
thành phần này trước. Để cài đặt Print Services Tools, bạn hãy mở Server
Manager và chọn mục Features. Sau khi chọn xong, kích liên kết Add Features có
trong panel kết quả. Khi đó Windows sẽ khởi chạy Add Features Wizard. Màn
hình ban đầu của wizard sẽ yêu cầu bạn chọn tính năng mà bạn muốn cài đặt. Tìm
trong danh sách các tính năng có sẵn cho tới khi bạn tìm thấy tùy chọn Remote
Server Administration Tools.
Một số mục trong Remote Server Administration Tools sẽ được cài đặt mặc định,
vì vậy bạn cần mở rộng phần Remote Services Administration Tools, sau đó mở
mục Role Administration Tools xuất hiện ở cấp tiếp theo. Cuối cùng, chọn hộp
chọn Print Services Tools như thể hiện trong hình A, sau đó kích Next, tiếp đó là
Install và Close.
* Cài đặt dịch vụ máy in:
Print Services Tools không được cài đặt mặc định, vì vậy để sử dụng nó cần
phải cài đặt thành phần này trước.
- Chuột phải My Computer Server Manager Chọn Features

- Chọn Add Features.
- Trong mục Add Features Wizard  Chọn Print Services ToolsClick Next.
- Tiếp tục nhấn Install để cài đặt.Và sau có nhấn Close để hoàn tất việc cài đặt.
2. Truy cập Print Sevices Tools
Chọn Start Administrative Tools Print Management

3. Quản lý các máy in trong mạng
Đầu tiên Windows đã đặt các mục All Printers và All Drivers một cách tự động
trong trường hợp này. Bên cạnh đó máy chủ mà chúng ta đã cài đặt giao diện
Print Management là thành viên của miền Active Directory. Một điểm nữa là tên
máy chủ tương ứng với mỗi máy in. Mặc dù các máy in mạng nằm ở một điểm
nào đó trong mạng nhưng Windows sẽ tự động tạo một hàng đợi cho mỗi máy in
trên máy chủ. Một trong các chức năng chính của giao diện quản lý Print
Management là cho phép quản lý in ấn mạng tập trung.
Thực hành:
Hình A: Chọn hộp kiểm Print Services Tools và kích Next.

Truy cập Print Services Tools
Đã cài đặt xong Print Services Tools và có thể truy cập vào giao diện điều khiển
Print Management bằng cách chọn lệnh Print Management từ menu
Administrative Tools của máy chủ. Khi thực hiện thao tác này, bạn sẽ thấy một
màn hình tương tự như màn hình thể hiện trong hình B bên dưới.
Hình B: Bạn có thể thấy giao diện quản lý máy in mới trong hình
* Quản lý các máy in trong mạng
Đến đây các bạn đã giới thiệu được diện mạo của giao diện quản lý máy in Print
Management, tiếp đến hãy quan sát vào hình C bên dưới. Bạn sẽ thấy trong hình
này số lượng máy in đã được định nghĩa và số lượng máy in có sẵn trong giao
diện. Bạn cũng sẽ thấy mục All Drives cũng có các driver tương ứng với các thiết
bị máy in khác nhau.
Hình C: Bạn có thể thấy mục All Drives có các thiết bị máy in mạng khác nhau
Đầu tiên các bạn cần biết rằng Windows đã đặt các mục All Printers và All
Drivers một cách tự động trong trường hợp này. Bên cạnh đó có một điểm thú vị
nữa là máy chủ mà chúng tôi đã cài đặt giao diện Print Management không phải là
thành viên của miền Active Directory, chính vì vậy danh sách các máy in không

được trích rút từ Active Directory. Lý do tại sao các thiết bị máy in xuất hiện như
vậy là vì Windows Server 2008 đã tự động phát hiện các máy in mạng tồn tại trên
cùng subnet có máy chủ, sau đó cài đặt chúng và các driver cần thiết.
Một điểm nữa mà chúng tôi muốn chỉ ra cho các bạn trong hình C là tên máy chủ
tương ứng với mỗi máy in. Mặc dù các máy in mạng nằm ở một điểm nào đó
trong mạng nhưng Windows sẽ tự động tạo một hàng đợi cho mỗi máy in trên
máy chủ. Một trong các chức năng chính của giao diện quản lý Print Management
là cho phép bạn quản lý in ấn mạng tập trung. Trong loạt bài này chúng tôi sẽ giới
thiệu cho các bạn về cách sử dụng các thiết lập chính sách nhóm để kết nối tự
động các máy trạm làm việc với chuỗi in nằm trên máy chủ quản lý in ấn.
Kết luận
Trong phần này, Đã giới thiệu cách cài đặt giao diện Print Management. Trong
phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn cách chuyển
các máy in mạng khác đến máy chủ in mạng và cách sử dụng các thiết lập chính
sách nhóm để kết nối các máy trạm làm việc với các máy in khác nhau.
* Để hợp nhất các network print server, bạn hãy mở Print Management console
bằng cách chọn lệnh Print Management từ Administrative Tools của máy chủ.
Khi giao diện xuất hiện, kích vào mục Print Servers và chọn print server mà bạn
muốn chuyển. Kích phải vào print server này, sau đó chọn lệnh Export Printers
to a File từ menu xuất hiện.
Tại đây, Windows sẽ khởi chạy Printer Migration Wizard. Màn hình ban đầu của
wizard sẽ hiển thị cho bạn các driver và bộ xử lý của máy in sẽ được export, xem
thể hiện trong hình A.
Kích Next, khi đó bạn sẽ nhận được một nhắc nhở chỉ định đường dẫn và tên
file mà bạn muốn export thông tin máy in. Nhập các thông tin này vào địa điểm
được cung cấp, sau đó kích Next lần nữa. Wizard lúc này sẽ export các thông tin
máy in vào một file đã được thiết kế sẵn. Khi quá trình hoàn tất, wizard sẽ thông

báo cho bạn có lỗi nào xuất hiện hay không, nó cũng sẽ cho bạn quan sát các
entry đã được ghi vào bản ghi sự kiện của hệ thống. Kích nút Finish để hoàn tất
quá trình.
Phần còn lại của quá trình di trú là hoàn toàn đơn giản. Bạn chỉ cần mở phần
Print Servers, sau đó chọn print server mà bạn muốn import các máy in khác
vào. Kích phải vào print server và chọn tùy chọn Import Printers From A
File từ menu xuất hiện. Sau khi thực hiện thao tác này, Windows sẽ khởi chạy
Printer Migration wizard
Nhập vào đường dẫn và tên file của file export mà bạn đã tạo, sau đó kích nút
Next. Sau đó bạn sẽ thấy một danh sách các driver và bộ xử lý của máy in sẽ
được import.
Kích Next, khi đó bạn sẽ bắt gặp màn hình như thể hiện trong bình B bên dưới.
Như những gì bạn thấy trong hình, bạn phải chỉ dẫn cho Windows những gì cần
thực hiện nếu một trong các máy in đang được import giống với máy in đã tồn
tại. Bạn cũng cần phải chỉ dẫn cho Windows rằng liệu mình có muốn các máy in
mới được liệt kê trong Active Directory hay không. Kích Next, khi đó Windows
sẽ import các máy in. Khi wizard hoàn tất, bạn sẽ thấy các máy in mà mình đã
import được liệt kê bên dưới print server hiện được chọn.
Để cấu hình chính sách nhóm nhằm triển khai các máy in trong mạng, chúng ta
hãy bắt đầu bằng cách mở rint Management console trên máy chủ quản lý in ấn
của Windows Server 2008. Sau đó điều hướng thông qua cây giao diện đến Print
Management | Print Servers | your print server| Printers. Kích phải vào
network printer nào mà bạn muốn triển khai, sau đó chọn lệnh Deploy With
Group Policy từ menu xuất hiện, như thể hiện trong hình A bên dưới.

Tại đây, Windows sẽ mở hộp thoại Deploy With Group Policy. Thứ đầu tiên
mà bạn phải thực hiện là quyết định chính sách nhóm nào mà mình muốn bổ
sung máy in đến. Để thực hiện điều đó, hãy kích nút Browse, sau đó chọn một
chính sách nhóm nào đó từ danh sách.
Tiếp đến, sử dụng các hộp kiểm bên dưới danh sách GPO Name để điều khiển
xem liệu máy in có cần được triển khai theo một nguyên tắc nào đó hay không
(người dùng hoặc máy tính, hoặc cả hai). Cuối cùng, kích nút Add, khi đó máy
in sẽ được bổ sung vào danh sách các thiết lập GPO để được triển khai, xem thể
hiện trong hình B. Nếu muốn nhóm máy in trong các đối tượng chính sách nhóm
khác, bạn có thể kích nút Browse lần nữa, chọn đối tượng chính sách nhóm
khác. Khi thực hiện xong, hãy kích OK.
Nếu mở thư mục Windows'System32 của Windows 2008 server, bạn sẽ thấy
một file có tên PushPrinterConnections.exe. Có thể sử dụng Group Policy
Object Editor để thêm kịch bản này vào kịch bản đăng nhập. Cho ví dụ, nếu bạn
muốn áp dụng kịch bản theo một nguyên tắc người dùng, khi đó cần phải mở

Group Policy Object Editor và điều hướng thông qua cây Group Policy để đến
được User Configuration | Windows Settings | Scripts (Logon / Logoff). Tiếp
đến, kích chuột phải vào kịch bản đăng nhập và chọn lệnh Properties. Sau khi
trang thuộc tính của màn hình Logon xuất hiện, kích nút Show Files. Lúc này,
copy file PushPrinterConnections.exe vào cửa sổ kết quả. Khi thực hiện xong,
hãy quay trở lại trang Logon Properties, kích nút Add.
Nhập PushPrinterConnections.exe vào trường Script Name, sau đó nhập
vào LOG trường Script Parameters. Kích OK hai lần để hoàn thiện quá trình
thực hiện.
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn về cách sử dụng thiết lập
chính sách nhóm để kết nối người dùng với các máy in mạng một cách dễ dàng
hơn so với việc triển khai các kết nối máy in thủ công.

BÀI TẬP THỰC HÀNH TỔNG HỢP
XÂY DỰNG MÔ HÌNH MẠNG MỘT CÔNG TY
I. CẤU HÌNH DỊA CHỈ IP, DHCP,DNS
1. Cấu hình địa chỉ IP
Server Client
IP address 192.168.1.10 192.168.1.11 30
Subnet mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.10 192.168.1.10
Preferred DNS 192.168.1.10 192.168.1.10
2. Cấu hình DHCP
3.Cấu hình DNS
II. TẠO OU,USER VÀ GROUP
Công ty taiphat gồm 4 phòng : Phòng Giám Đốc , Phòng Kế Toán , Phòng Kỹ Thuật ,
Phòng Kinh Doanh.

Phòng Giám Đốc gồm 3 user : gd1, gd2, gd3.
Phòng Kế toán gồm 4 user : kt1, kt2, kt3, kt4.
Phòng Kỹ thuật gồm 3 user : kth1, kth2, kth3.

Kinh Doanh gồm 3 user : kd1, kd2 , kd3.
III. GROUP POLICY,DICK QUOTA
1. Phòng Giám Đốc : các user của phòng giám đốc có toàn quyền trên domain và dung
lượng ỗ đĩa không giới hạn, không qui định thời gian vào mạng.

2. Phòng Kế Toán : các user thuộc phòng kế toán có các yêu cầu là mật khẩu ít nhất
phải 8 kí tự, thời gian thay đổi mật khẩu là 30 ngày, người dùng đăng nhập sai 3 lần sẽ
bị khóa account, thời gian khóa sẽ là 5 phút, user không phải ấn tổ hợp phím
Ctrl+Alt+Del khi đăng nhập, dung lượng ỗ đĩa tối đa là 100 MB, thời gian vào mạng từ
8h sang -> 14h các ngày thứ hai, tư , sáu.
Mật khẩu ít nhất 8 kí tự, thời gian thay đổi mật khẩu là 30 ngày

người dùng đăng nhập sai 3 lần sẽ bị khóa account, thời gian khóa sẽ là 5 phút
user không phải ấn tổ hợp phím Ctrl+Alt+Del khi đăng nhập
dung lượng ỗ đĩa tối đa là 100 MB

thời gian vào mạng từ 8h sang -> 14h các ngày thứ hai, tư , sáu
3. Phòng Kinh Doanh : Không cho phép user trên Client truy cập vào ỗ chứa hệ điều
hành (ỗ C), không được cài đặt chương trình, không được truy cập vào registry, không
được truy cập Control Panel trên máy Client, dung lượng ỗ đĩa tối đa là 100 MB, thời
gian đăng nhập từ 8h -> 15h thứ ba, năm , bảy
Không cho phép user trên Client truy cập vào ỗ chứa hệ điều hành (ỗ C)
không được cài đặt chương trình

không được truy cập vào registry
không được truy cập Control Panel trên máy Client
dung lượng ỗ đĩa tối đa là 100 MB

thời gian đăng nhập từ 8h -> 15h thứ ba, năm , bảy
4. Phòng Kỹ Thuật : mật khẩu ngoài viêc có 8 ký tự trở lên thì còn phải có mật khẩu
khó, tức là phải có thêm các ký tự (- _ ? / …). Không cho phép Auto play tất cả các loại
ỗ đĩa kể cả USB. Dung lượng ỗ đĩa tối đa là 100MB . Thời gian vào mạng từ 5h -> 10h
và từ 13h -> 18h các ngày thứ hai, năm , bảy , chủ nhật
mật khẩu có 8 ký tự trở lên, phải có mật khẩu khó
Không cho phép Auto play tất cả các loại ỗ đĩa kể cả USB

Dung lượng ỗ đĩa tối đa là 100MB
Thời gian vào mạng từ 5h -> 10h và từ 13h -> 18h các ngày thứ hai, năm , bảy , chủ
nhật
IV. CHIA SẺ DỮ LIỆU
- Thiết lặp permission trên thư mục DATA : cho phép các user ở phòng Kế Toán,
phòng Kinh Doanh, phòng Kỹ Thuật, chỉ được phép đọc dữ liệu, nhưng không được đọc
các thuộc tính, và các thuộc tính mở rộng, các user ở phòng Giám Đốc thì toàn quyền.

- Thiết lặp permission trên thư mục DATA chung : cho phép các user ở phòng Kế
Toán, phòng Kinh Doanh, phòng Kỹ Thuật, được phép đọc dữ liệu và đọc các thuộc
tính, Được phép tạo file và viết dữ liệu, nhưng không được phép thay đổi các thuộc
tính của file và viết các thuộc tính mở rộng, được phép xóa nhưng không được xóa file.

- Thiết lặp permission trên thư mục Kế Toán : cho phép các user ở phòng Kế Toán
được quyền đọc, nhưng chỉ được đọc dữ liệu không được đọc các thuộc tính của file.
Được phép tạo file và viết dữ liệu, và được quyền xóa sửa. Còn các user ở phòng Kinh
Doanh và Kỹ Thuật chỉ được phép đọc dữ liệu.
cho phép các user ở phòng Kế Toán được quyền đọc, chỉ được đọc dữ liệu không được
đọc các thuộc tính của file. Được phép tạo file và viết dữ liệu, và được quyền xóa sửa
các user ở phòng Kinh Doanh và Kỹ Thuật chỉ được phép đọc dữ liệu.
- Thiết lặp permission trên thư mục Kinh Doanh : cho phép các user ở phòng Kinh
Doanh được phép đọc dữ liệu và các thuộc tính. Được phép viết dữ liệu,tạo file, folder.
Được phép thay đổi các thuộc tính của file và folder nhưng không được phép xóa file và
folder. Còn các user ở phòng Kế Toán và phòng Kỹ Thuật chỉ được quyền đọc dữ liệu.

các user ở phòng Kinh Doanh được phép đọc dữ liệu và các thuộc tính. Được phép viết
dữ liệu,tạo file, folder. Được phép thay đổi các thuộc tính của file và folder nhưng
không được phép xóa file và folder
các user ở phòng Kế Toán và phòng Kỹ Thuật chỉ được quyền đọc dữ liệu.
- Thiết lặp permission trên thư mục Kỹ Thuật : cho phép các user ở phòng Kỹ Thuật
được phép tạo file, đọc dữ liệu và đọc các thuộc tính mở rộng, nhưng không cho phép
tạo folder, viết các thuộc tính mở rộng và không được xóa file. Các user o phòng Kinh
Doanh và phòng Kế Toán chỉ được phép đọc và ghi dữ liệu
các user ở phòng Kỹ Thuật được phép tạo file, đọc dữ liệu và đọc các thuộc tính mở
rộng, nhưng không cho phép tạo folder, viết các thuộc tính mở rộng và không được xóa
file

Các user o phòng Kinh Doanh và phòng Kế Toán chỉ được phép đọc và ghi dữ liệu
V. KIỂM TOÁN
Thiết lập kiểm toán nhằm để ghi nhận lại những trường hợp truy cập trái phép.
Click phải thư mục daata  Properties.
Tab Security  Chọn Advanced.
Tab Auditing  Chọn Edit.

Chọn Add.
Nhập Everyone  Check Names  OK.
Chọn tất cả các chọn lựa  OK.
Và nhấn OK để hoàn tất.
Mở Group Policy Management.

Click phải lên Default Domain Policy  Edit.
Click phải Audit object access  Properties.
Chọn Define these policy settings  Chọn Success , Failure.
Mở Run nhập lệnh GPUpdate /Force.
 Kiểm tra :
Trên máy client  log on KT1  truy cập vào thư mục daata  báo lỗi không có
quyền truy cập.
Trên máy Server  Mở Event Viewer.

Mở Windows Logs  Security  Mở các event Audit Failure (& event id 5140).
Quan sát thấy trường hợp truy cập trái phép của KT1 vào thư mục daata đã được ghi
nhận lại.
VI. QUẢN LÝ MÁY IN
Tạo 4 máy in có tên là ph giam doc, ph ke toan ,ph kinh doanh, ph ki thuat tương
ứng cho mỗi phòng .

Gán quyền cho các user ở phòng Giám Đốc được quyền in trên máy in tên “ ph Giám
Đốc”. Và cho máy in này luôn ở trạng thái sẵn sàng, gán độ ưu tiên cho máy in này là 2.
Riêng user gd1 được quyền thay đổi các cấu hình và được quyền xóa tài liệu đã được sử
dụng trên máy in “ph Giám Đốc”.
Trên máy in “ ph Kế Toán” các user ở phòng Kế Toán được quyền in trên máy in này,
thời gian được in từ 7h sáng đến 18h chiều . Mức độ ưu tiên 1, các user ở phòng Giám
Đốc được phép in trên máy in này, riêng user gd1 được phép toàn quyền.

Trên máy in “ph Kinh Doanh” các user ở phòng Kinh Doanh được quyền in trên máy in
này, mức độ ưu tiên cho máy in này là 1, thời gian được in từ 9h sáng đến 14h chiều.
User gd1 được toàn quyền.

Trên máy in “ph Kỹ Thuật” các user ở phòng Kỹ Thuật được quyền in trên máy in này,
thời gian được in từ 8h sáng đến 16h chiều, mức độ ưu tiên là 1.

�ݺ�ߣ

Giao_trinh_OK.doc

More Related Content

Giao_trinh_OK.doc