A4 xay dung va quan tri moi truong mang doanh nghiep 5 8 (25-10-07)[bookbooming.com]
1. Quản trị và xây dụng môi trường mạng doanh nghiệp
XÂY DỤNG VÀ QUẢN TRỊ MÔI TRƯỜNG MẠNG DOANH NGHIỆP
BÀI 1: XÂY DỰNG WINDOWS SERVER 2003 ACTIVE DIRECTORY ........ 2
BÀI 2: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG, MÁY TÍNH VÀ NHÓM ..... 30
BÀI 3: QUẢN TRỊ TRUY XUẤT TÀI NGUYÊN FILE ............................................ 56
BÀI 4: QUẢN TRỊ TRUY XUẤT TÀI NGUYÊN PRINTER .................................. 74
BÀI 5: QUẢN TRỊ MÔI TRƯỜNG MẠNG GROUP POLICY .............................. 82
BÀI 6: GIÁM SÁT HOẠT ĐỘNG MÁY CHỦ ........................................................... 100
BÀI 7: QUẢN TRỊ LƯU TRỮ VÀ BẢO MẬT DỮ LIỆU ....................................... 120
BÀI 8: QUẢN TRỊ SỰ CỐ HỆ THỐNG MÁY CHỦ ................................................ 153
-1-
2. Quản trị và xây dụng môi trường mạng doanh nghiệp
BÀI 1: XÂY DỰNG WINDOWS SERVER 2003 ACTIVE DIRECTORY
Mục tiêu:
Giải thích Forest, Tree, Domain, OU
Xây dựng DC
Hiểu biết các lớp chứa của ADUC
Giai nhập Client vào Domain
Xử lý các sự cố DC, logon
1.1. Xây dựng Windows Server 2003/2008 Domain Controller (DC)
Hệ điều hành Windows thông dụng được chia làm 2 dạng: dạng sử dụng cho mục đích cá nhân và cho hệ
thống mạng. Hệ điều hành Windws sử dụng cho hệ thống mạng được gọi là hệ điều hành mạng và có
nhiều điểm khác biệt so với phiên bản sử dụng cho mục đích cá nhân nhất là khả năng phục vụ cho nhiều
người, nhiều máy tính có khi lên tới con số hàng trăm hoặc hàng ngàn đồng thời gia tăng những tính năng
bảo mật dữ liệu, cũng như bảo vệ sự riêng tư của cá nhân.
Phiên bản Windows 2003 Server có những đặc điểm nổi bật so với phiên bản Windows trước
đó Windows 2000 Server đó là: khởi động nhanh hơn, hoạt động ổn định hơn, dễ quản lý hơn…… Phiên
bản Windows Server 2003 được chia làm nhiều loại phù hợp với từng đối tượng sử dụng:
• Windows 2003 Server Standard: phiên bản này có hầu hết những tính năng cần thiết cho một
Server thông thường. Ở phiên bản này, Windows 2003 hỗ trợ 4 CPU (4-way symmetric
multiprocessing (SMP) support processor) và có thể nâng RAM tối đa lên 4 GB. Phiên bản này
bao gồm: .NET Framework, IIS 6, Active Directory…..
• Windows 2003 Web Edition: phiên bản này hỗ trợ tối đa RAM 2GB và 2 CPU, đồng thời cũng
giới hạn những tính năng như chia sẻ file, không có Active Directory, và chỉ có thể là thành viên
của Domain… tuy nhiên phiên bản này được tối ưu đặc biệt để hỗ trợ những ứng dụng Web.
• Windows 2003 Enterprise: phiên bản này hỗ trợ RAM lên đến 64GB và 8 CPU, đây là phiên
bản dành cho các doanh nghiệp lớn nên có thêm những tính năng hỗ trợ đặc biệt cho việc quản
lý.
• Phiên bản Windows 2003 DataCenter: phiên bản này cũng giống như phiên bản Enterprise và
thường được sử dụng trong các phòng Server phục vụ cho việc lưu trữ dữ liệu chuyên biệt.
• Ngoài những phiên bản trên còn có những phiên bản khác như Windows 2003: Small Business
Server được tối ưu cho các doanh nghiệp vừa và nhỏ….
Trong chương trình học, chúng ta sử dụng phiên bản Windows 2003 Server Enterprise vì phiên bản
này hỗ trợ rất nhiều các tính năng của Windows 2003 và đang được sử dụng rộng rãi ở Việt Nam.
Phiên bản Windows Server 2008: Microsoft đã vươn được đến một mốc lịch sử trọng đại khác
với RC0 Release Candidate đầu tiên của hệ điều hành Windows Server 2008 hiện đã đựợc cung cấp trên
mạng cho khách hàng. Giờ đây các khách hàng và đối tác có thể tải chúng và tự kiểm tra phiên bản mới
nhất của Windows Server 2008.
Được đóng gói với nhiều tính năng mới, Windows Server 2008 mang đến cho khách hàng một nền tảng
Windows có khả năng tin cậy và linh hoạt nhất từ trước tới nay. Những nâng cao về mặt kỹ thuật như
máy chủ và khả năng ảo hóa, Internet Information Services (IIS) 7.0, Server Core, PowerShell, Network
Access Protection, Server Manager, các công nghệ nối mạng và clustering nâng cao cho phép khách hàng
có được một nền tảng bảo mật nâng cao, dễ dàng trong quản lý. Tất cả những cải thiện trong các tính
năng mang đến cho khách hàng một giải pháp Windows tích hợp nhất cần có. Ví dụ, với IIS 7.0, nền tảng
của Microsoft cho việc phát triển và cấu hình các ứng dụng và dịch vụ Web, đang cho thấy một tiềm lực
khách hàng lớn, với hơn 13 công ty làm việc về hosting đã tiến cử IIS 7.0 và hơn 1.200 khách hàng đã
triển khai thông quan đăng ký GoLive.
-2-
3. Quản trị và xây dụng môi trường mạng doanh nghiệp
Tất cả các tổ chức CNTT với nhiều quy mô khác nhau sẽ đánh giá khả năng mở rộng của sự ảo hóa
Windows Server, gồm có bộ đa xử lý khách, cấp phát bộ nhớ lớn (hơn 32 GB trên một máy) và sự hỗ trợ
chuyển đổi ảo được tích hợp cho phép các tổ chức CNTT có thể ảo hóa hầu hết các luồng công việc. Kiến
trúc 64-bit, và máy ảo nhân siêu nhỏ của Windows Server 2008 hỗ trợ cho một loạt các thiết bị, cả 32 và
64 bit, bộ đa xử lý khách và một loạt các giải pháp lưu trữ gồm iSCSI và fiber channel SAN. Sự ảo hóa
Windows Server đưa ra giao diện WMI dựa trên các chuẩn và API đã xuất bản cho việc quản lý – tích
hợp hoàn toàn với giao diện quản lý Windows Server với các nhu cầu cần thiết của khách hàng.
So sánh các phiên bản
Microsoft Windows Server 2008 giúp các chuyên gia CNTT tăng được khả năng linh hoạt của cơ sở hạ
tầng máy chủ, mang đến cho các chuyên gia phát triển phần mềm một nền tảng ứng dụng và Web mạnh
mẽ trong việc xây dựng ứng dụng và dịch vụ nết nối. Các công cụ quản lý mới mạnh mẽ và nâng cao về
bảo mật cho phép có nhiều kiểm soát hơn đối với các máy chủ, mạng và cung cấp sự bảo vệ nâng cao cho
các ứng dụng và dữ liệu.
• Windows Server 2008 Standard Edition: Phiên bản này cung cấp chức năng máy chủ chính
với hầu hết các vai trò và tính năng máy chủ. Nó gồm cả tùy chọn đầy đủ và tùy chọn cài đặt
Server Core.
• Windows Server 2008 Enterprise Edition: Phiên bản này xây dựng trên Windows Server 2008
Standard Edition để cung cấp khả năng mở rộng và khả năng sẵn có tốt hơn, bổ sung thêm các
công nghệ doanh nghiệp như việc tự động chuyển đổi dự phòng clustering và Active Directory
Federation Services.
• Windows Server 2008 Datacenter Edition: Phiên bản này cung cấp chức năng tương tự như
Windows Server 2008 Enterprise Edition cộng với sự hỗ trợ cho các bộ vi xử lý, bộ nhớ bổ sung
và quyền sử dụng ảnh ảo vô tận.
• Windows Web Server 2008: Phiên bản này được thiết kế đặc biệt cho sử dụng như một máy chủ
ứng dụng và Web. Các vai trò máy chủ khác không có trong phiên bản này.
• Windows Server 2008 for Itanium-based Systems: Phiên bản này được thiết kế sử dụng với bộ
vi xử lý 64 bit để cung cấp chức năng máy chủ ứng dụng và Web trên nền tảng đó. Các vai trò
máy chủ khác các tính năng có thể không có trong phiên bản này.
Domain Name
Là tên miền (vùng, khu vực, lĩnh vực) của một quốc gia, lãnh thổ... Trong lãnh vực máy tính thì Domain
Name là một miền quản lý cao cấp và phân cấp của một tổ chức hay một phòng ban. Người ta dùng tên
miền để quản lý các nhóm máy tính và đưa ra các chính sách an ninh, bảo mật cho hệ thống. Ngoài ra tên
miền còn được biết đến việc phân chia logic giữa các mạng lớn thành các mạng con để dễ dàng quản lý
và phân chia tài nguyên hợp lý và tiện lợi.
Ví dụ: microsoft.com, yahoo.com, icare.com.vn, ispace.edu.vn... những tên miền này có giá trị xác thực
trên internet và được cấp bởi các đại lý cung cấp tên miền. Chúng được quản lý bởi tổ chức quản lý và
cung cấp tên miền ICANN (Internet Comporation for Assigned Names and Numbers).
Lưu ý: Trong quản trị mạng LAN như giáo trình này thì Domain được coi là tên miền quản lý các nhóm
máy, các người dùng, các tài nguyên cục bộ. Tên miền này chỉ có giá trị trong hệ thống cục bộ này mà
không hề có giá trị trên Internet (toàn cầu) vì tên miền này chưa được công nhận.
-3-
4. Quản trị và xây dụng môi trường mạng doanh nghiệp
Domain Controller
Trong quản lý Windows NT thì việc điều khiển, xác lập và quản lý tên miền được gọi là Domain
Controller và thường được viết tắt là DC (Bộ điều khiển tên miền). DC sẽ có nhiệm vụ trả lời những yêu
cầu về bảo mật, quyền truy cập, kiểm tra hợp pháp... của các kết nối máy con hay tính hợp pháp của
người sử dụng các dịch vụ domain.
Mỗi tên miền có một trình điều khiển PDC (Primary Doman Controler – Bộ điều khiển tên miền chính)
và có một hay nhiều BDC (Backup Domain Controller – Bộ điều khiển tên miền dự phòng), để chứa các
cơ sở dữ liệu của tài khoản và thông tin của các tài khoản đó. Việc sao chép, backup là hoàn toàn tự động
giữa các DC với nhau.
Trong hệ thống mạng lớn, người dùng của tên miền này luôn có nhu cầu truy cập thông tin của các tên
miền khác do đó người quản trị phải thết lập quan hệ ủy thác chồng chéo (trust relationship). Tuy nhiên,
trong hệ thống doanh nghiệp chỉ có một tên miền thì điều này không cần thiết.
-4-
5. Quản trị và xây dụng môi trường mạng doanh nghiệp
Forest Tree
Là một hay nhiều domain chia sẻ chung một cấu hình, giản đồ. Forest Tree chứa nhiều domain trong một
rừng chia sẻ chung một DNS namespace liền kề nhau.
Active Directory
Là một chuỗi điều khiển tích cực là “trái tim” của Windows 2003 Server. Hầu hết tất cả hoạt động của hệ
thống như chi phối, phân quyền... đều do Active Directory điều khiển.
Active Directory (AD) dùng để lưu trữ dữ liệu của Domain như các đối tượng User, Group, OUs... theo
kiểu cung cấp dịch vụ (Directory Service) tìm kiếm, kiểm soát... cho phép user truy cập tài nguyên một
cách an toàn và nhanh chóng.
Với những dịch vụ và tiện ích của mình AD đã làm cho việc quản trị trở nên nhẹ nhàng hơn và hiệu quả
được nâng cao hơn, mà điều này không thể có thể mô hình mạng peer to peer, phân tán. Cho dù hệ thống
lớn cũng có thể quản trị tập trung một cách tốt nhất.
OU (Organization Units): là một loại đối tượng đặc biệt của Active Directory được chứa trong
domain, các OU rất hữu ích bởi vì bạn có thể sử dụng chúng để tổ chức hàng trăm ngàn đối tượng trong
thư mục thành một khối có thể quản lý. Bạn sử dụng OU để nhóm, tổ chức các đối tượng cho mục đích
quản lý như là phân quyền quản trị hay gán các chính sách (policies) cho một tập hợp các đối tượng
giống như một khối.
Khi thết kế AD chúng ta phải phân rõ các tổ chức, phòng ban về phương diễn hành chánh hay địa lý để
người quản trị dễ dàng thao tác cũng như quản lý. Ví dụ: chúng ta tạo các OUs như Marketing, Sale,
Manager... để có thể quản lý hoặc cài đặt thêm các chương trình cho nhóm người trong OUs.
1.1.1. Cài đặt Windows 2003 Server.
Cài đặt Windows Server cũng tương tự như cài Windows XP. Ở đây chúng ta chuẩn bị các thiết bị cũng
như điều kiện đầy đủ để cài đặt Windows.
• CPU từ 733Mhz trở lên
• RAM tối thiểu là 256MB trở lên.
• Đĩa cứng phải trống từ 1.5 GB trở lên.
• Màn hình có độ phân giải từ 800 x 600 trở lên.
• Ổ đĩa CDROM.
-5-
6. Quản trị và xây dụng môi trường mạng doanh nghiệp
• Windows 2003 Server có bootable.
Theo giáo trình này, chúng ta dùng Windows 2003 Enterprise Edition để cài đặt.
Qui ước đặt cài đặt và đặt tên:
Server name: svr1.
Domain Controller là: ispace.com.vn.
IP Server là: 192.168.1.1.
Đặt user là: An Tran Bao -> antb@ispace.com.vn.
Sau khi chuẩn bị các bước trên đầy đủ. Bây giờ chúng ta tiến hành cài đặt Windows 2003.
Bước 1: Vào BIOS chọn Controller boot đầu tiên là CDROM. (Nên tìm hiểu tài liệu của Mainboard để
biết cách thiết lập BIOS).
Bước 2: Đặt CD Windows 2003 bootable vào cho tới lúc máy hiện ra thông báo “Press any key to boot
from CD …” thì chúng ta bấm một phím bất kỳ để máy tính khởi động và cài đặt từ CDROM chứa
Windows 2003.
Hình 1.1: Thông báo Boot CD
Bước 3: lúc này màn hình cài đặt Windows sẽ hiện ra. Nếu muốn cấu hình trạng thái lưu trữ như RAID…
thì nhấn F6 (điều này sẽ nói rõ trong phần Cài đăt Windows 2003 Server với RAID phía sau).
Hình 1.2: Windows Setup
Bước 4: Windows setup tiếp tục cài đặt một số file cần thiết tới lúc hiện ra màn hình Welcome to setup.
Vì là cài đặt Windows nên tiếp tục nhấn Enter để cài đặt.
-6-
7. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình 1.3: Welcome to Setup
Bước 5: sau khi kiểm tra dung lượng của HDD, Windows setup sẽ hiện ra bảng Windows Licensing để
nói về Windows 2003 cũng như tính pháp lý của Windows. Tiếp tục nhấn F8 để chấp nhận License.
Hình 1.4 Thoả thuận về bản quyền
Bước 6: Sau khi nhấn F8. Windows setup tiếp tục tới phần chọn khoảng trống của ổ cứng để copy và
install Windows.
-7-
8. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình 1.5: Chọn Partition để cài đặt Windows
Bước 7: Trong hình trên, dung lượng của hệ thống cài đặt Windows chỉ có 8GB. Nếu muốn chia nhỏ
dung lượng cài đặt thì nhấn “C=Create Partition”. Trong bài này, chúng ta chọn hết dung lượng để cài đặt
nên nhấn “Enter”. Sau khi chọn cài đặt thì Windows setup sẽ hỏi là nên cài hệ thống Win trên File
System nào? Có 2 lựa chọn chính là: FAT, NTFS. Vì hệ thống NTFS có nhiều ưu điểm hơn như khả năng
chịu lỗi, quản lý nhiều HDD với dung lượng hỗ trợ lớn… nên khuyến cáo nên chọn kiểu Format này.
Hình 1.6: Các tùy chọn định dạng Partition
Bước 8: Sau khi chọn format kiểu NTFS. Windows setup tiếp tục format và copy dữ liệu cần thiết vào ổ
cứng.
-8-
9. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình 1.7: Quá trình copy file
Bước 9: Việc copy file được thực hiện tới lúc kết thúc và máy sẽ tự động restart lại.
Lưu ý: khi khởi động lại. tới màn hình boot CD máy tính sẽ hiện ra thông báo “Press any key to boot
from CD …” thì chúng ta bỏ qua, không nhấn phím nào cả.
Bước 10: khi khởi động lại máy sẽ tiếp tục cài đặt thêm các thông số của người quản trị trên giao diện
graphic.
Hình 1.8: Tiến trình cài đặt Windows
-9-
10. Quản trị và xây dụng môi trường mạng doanh nghiệp
Bước 11: Windows Setup sẽ Install và Preparing các file setup để hệ thống hóa các file. Tới lúc Windows
Setup sẽ cho người quản trị biết về khu vực và ngôn ngữ lựa chọn “Regional And Language Options
page”
Lưu ý: chúng ta có thể chỉnh sửa thông số này sau khi cài đặt xong Windows bằng cách lựa chọn
Regional And Language Options trong Control Panel
Hình 1.9: Lựa chọn ngôn ngữ và khu vực
Bước 12: Windows Setup tiếp tục tới phần thông tin cá nhân hoặc tổ chức (Personalize Your Software).
Chúng ta điền tên người quản trị và tổ chức hoặc công ty mà chúng ta cài đặt.
Hình 1.10: Nhập tên và tổ chức
- 10 -
11. Quản trị và xây dụng môi trường mạng doanh nghiệp
Bước 13: Setup tiếp tục hiện ra bảng “Your Product Key” để chúng ta điền mã sản phẩm vào. Mã sản
phẩm này còn gọi là CDKEY thường được ghi trên bề mặt của CD.
Hình 1.11: Nhập sô CD Key
Bước 14: Setup tiếp tục hiện thị tới “Licensing Modes” (kiểu cấp phép bản quyền).
Ở đây Windows 2003 sẽ cho chúng ta sự lựa chọn kiểu licence là: bản Windows này cài đặt với kiểu
Server và có 5 kết nối một lúc, hoặc kiểu Device là có bao nhiêu Processor hay bao nhiêu Server nối với
nhau.
Chúng ta chọn Per Server, Number of Concurrent Connection là 5 để qua bước kế tiếp.
Hình 1.12: Lựa chọn bản quyền
- 11 -
12. Quản trị và xây dụng môi trường mạng doanh nghiệp
Bước 15: Màn hình Setup sẽ tiếp tục hiện ra phần “computer name and administrator password” để
người quản trị điền vào thông số Server name, password bảo vệ.
Hình 1.13: Nhập tên máy tính và Password cho user Administrator
Bước 16: Kế tiếp chúng ta chọn múi giờ và giờ giấc cho đúng với khu vực.
Lưu ý: Múi giờ Việt Nam là GMT+7. Việc thay đổi giờ và ngày cũng có thể vào Control Panel sau khi
cài đặt hoàn tất Windows.
Hình 1.14: Cài đặt ngày, giờ cho hệ thông
- 12 -
13. Quản trị và xây dụng môi trường mạng doanh nghiệp
Bước 17: Kế tiếp setup sẽ hiện ra trang Networking setting chọn Typical settings và nhấn Next.
Hình 1.15: Lựa chọn kết nối mạng
Bước 18: Setup sẽ hiện ra cho trang môi trường làm việc “Workroup and Computer Domain”.
Ở đây có 2 sự lựa chọn: “Workgroup” là computer này không thuộc môi trường quản lý Domain (tên
miền); và “Member of Domain” là chịu sự quản lý phân cấp từ một Domain khác.
Vì chúng ta đang tạo một máy chủ nên cần chọn Workgroup để xây dựng một máy chủ có Domain để
quản lý.
Hình 1.16: Lựa chọn Workgroup hay Domain
- 13 -
14. Quản trị và xây dụng môi trường mạng doanh nghiệp
Bước 19: Phần cấu hình setup Windows đã kết thúc. Chúng ta chờ hệ thống cập nhật các file cài đặt cho
tới hết và tự động khởi động lại máy.
Lưu ý: khi máy khởi động lại thì chúng nên lấy CDROM ra khỏi khay CDROM hoặc vào BIOS để thiết
lập lại BIOS cho boot bằng HDD.
Bước 20: Sau khi cài đặt hoàn tất và reboot. Màn hình welcome to Windows sẽ xuất hiện với các tổ hợp
phím “Ctrl+Alt+Delete”. Chúng ta nhấn các tổ hợp phím trên để đăng nhập vào hệ thống với user:
administrator và password mà chúng ta tạo từ bước 15.
Hình 1.17: Màn hình logon
Bước 21: Cuối cùng chúng ta đã cài đặt hoàn tất Windows 2003. Phần còn lại là chúng ta cài đặt các
driver cho các thiết bị mà Windows chưa cập nhật Driver (xem hướng dẫn trên các tài liệu kèm theo
mainboard và thiết bị kèm theo).
Hinh 1.18: Xem thuộc tính hệ thống
- 14 -
15. Quản trị và xây dụng môi trường mạng doanh nghiệp
Kết luận: qua phần trên chúng ta có thể hiểu và setup một Windows 2003 Server từng bước theo ý của
người quản trị. Nếu chúng ta mua Windows chính hãng từ nhà phân phối của Microsoft thì trong vòng 30
ngày sau khi cài đặt buộc phải kích hoạt (activation) sản phẩm, nếu không hệ thống sẽ mất quyền đăng
nhập.
1.1.2. Cài đặt RAID trên Windows 2003.
Việc cấu hình RAID ở phần cứng đã xong bây giờ cài đặt Windows có RAID. Cài đặt Windows có RAID
cũng tương tự như cài Windows không có RAID, tuy nhiên ở bước 3 ở trên chúng ta phải nhấn F6 để cài
đặt RAID (lưu ý phần này hiện thị rất nhanh trong lúc cài đặt và nhấn kịp thời).
Hình 1.25: Cài đặt Windows trên đĩa RAID
Việc cài đặt RAID sau khi nhấn F6 phải đòi hỏi có Đĩa Mềm (FDD) chứa thông số card RAID. (xem
hướng dẫn của kèm theo của Mainboard hoặc Card RAID hay tìm hiểu trên website của thiết bị RAID
đó).
Nếu Windows không tự tìm được trình điều khiển RAID thì Windows setup sẽ hiện ra thông báo sau:
Hình 1.26: Windows không tìm được driver đĩa cứng RAID
- 15 -
16. Quản trị và xây dụng môi trường mạng doanh nghiệp
Lúc này chúng ta đưa FDD chứa trình điều khiển RAID vào FDD controller. Và nhấn “S”. Thì Windows
sẽ cho thấy trình điều khiển RAID có trên FDD:
Hình 1.27: Cài đặt driver cho đĩa cứng RAID
Trong ví dụ này chúng ta chọn “Intel (R) 82801GR/GH SATA RAID Controller (Desktop ICH7R/DH)”.
Sau khi chọn trình điều khiển như trên màn hình sẽ xuất hiện như sau:
Hình 1.28: Driver RAID đã được cài đặt
Lúc này Windows sẽ nhận ra được hệ thống RAID mà chúng đã cấu hình từ phần cứng. Và dung lượng
đạt được như hình sau là dung lượng Logic mà sau khi kết hợp từ phần cứng và RAID trên:
- 16 -
17. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình 1.29: Lựa chọn partition để cài đặt windows
Quá trình cài đặt diễn ra bình thường như cài đặt không có RAID cho tới lúc kết thúc phần Windows
setup.
Kết luận: qua phần trên chúng ta đã hiểu rõ quá trình cài đặt Windows có hỗ trợ tính năng RAID. Tuy
nhiên vấn đề cài đặt RAID có thể khác khi chúng ta sử dụng hệ thống máy chủ của các hãng sản xuất
máy chủ lớn như IBM, HP, Dell... thì trong packet kèm theo máy chủ sẽ có CD cấu hình mà thường gọi
là smartstart CD. Quá trình cài đặt Windows bắt đầu từ CD này cho tới lúc hệ thống yêu cầu đưa CD
Windows 2003 vào, hệ thống sẽ copy file từ CD Windows 2003 và cho tới lúc hoàn tất việc cài đặt
Windows 2003.
1.1.3. Nâng cấp Server thành Domain Controller.
Trước đây khi sử dụng Windows NT4 thì khi setup Windows là chúng ta đã thiết lập Domain ngay trong
lúc cài đặt. Nhưng từ Windows 2000 Server trở về sau không còn cài đặt Domain trong lúc cài, mà chúng
ta phải nâng cấp Windows Server thành Domain Controller. Những lý do sau đây không cần nâng cấp:
• Ngân sách dành cho hệ thống thấp.
• Phù hợp với phòng Internet, games hoặc công ty nhỏ.
• Hệ thống mạng không đòi hỏi tính bảo mật cao.
• Những phần mềm có thể hoạt động được trên cơ chế của Windows Server.
• ...
Vì vậy khi sử dụng hệ thống có mục đính lớn và có tính bảo mật thì chúng ta nâng cấp Server thành
domain controller để quản lý và phân cấp.
Cài đặt Domain Controller.
Trước khi cài đặt Domain Controller chúng ta phải chuẩn bị một số dịch vụ cần thiết cho công việc cấu
hình:
DNS (Domain Name System), DHCP (Dynamic Configuration Protocols): Dịch vụ phân giải tên
miền và dịch vụ cấp phát IP động.
Start -> Control Panel -> Add/Remove Programs. Click Add/Remove Windows Component, chọn
mục Networking Services sau đó Click Details.... Chọn DNS, DHCP.
- 17 -
18. Quản trị và xây dụng môi trường mạng doanh nghiệp
Sau khi đã chuẩn bị các dịch vụ trên. Chúng ta tiến hành nâng cấp Server thành Domain Controller.
Bước 1: Vào Start –> Programs -> Administrative Tools -> Manager
Bước 2: Màn hình sẽ hiện ra. Chọn Add or Remove A Role. Màn hình Configure Your Server Wizard,
click Next
- 18 -
19. Quản trị và xây dụng môi trường mạng doanh nghiệp
Bước 3: Trong Server Role chọn Domain Controller (Active Directory), click Next
Bước 4: Windows sẽ tập hợp những điều kiện cần thiết để chuẩn bị cho việc Active Directory. Sau đó
màn hình Active Directory Installation Wizard hiện ra, click Next.
- 19 -
20. Quản trị và xây dụng môi trường mạng doanh nghiệp
Bước 5: Màn hình Installation Wizard sẽ hiện ra bảng Domain Controller Type:
Domain Controller For a new Domain: Chọn mục này sẽ tạo mới Domain. Domain này có thể là
Domain mới hoàn toàn hoặc là Domain con mới (Child Domain)
Additional domain Controller for existing domain: mục này sẽ tạo một Backup Domain Controller,
một Domain dẽ có nhiều BDC tùy thuộc vào mục đích của người quản trị.
- 20 -
21. Quản trị và xây dụng môi trường mạng doanh nghiệp
Bước 6: Để tạo new Domain, chúng ta chọn Domain Controller for a new Domain để tạo Domain:
ispace.com.vn
Bước 7: Điền tên miền: ispace.com.vn vào mục Full DNS name for new Domain:
- 21 -
22. Quản trị và xây dụng môi trường mạng doanh nghiệp
Bước 8: Đợi một vài giây, Windows sẽ cho chúng ta biết NetBIOS domain name là ispace.
Bước 9: Quá trình cài đặt tiếp tục cho tới khi chúng ta gặp bảng thông báo “DNS Registration
Diagnostics” nghĩa là Domain này không tìm thấy được DNS do nhà cung cấp dịch vụ cấp hoặc từ một
máy chủ khác cấp. Vì chúng ta đang tạo tên miền mới và cung cấp DNS cho các máy khác để các máy
khác trỏ vào chính máy chủ SVR1 này. Do đó Windows sẽ hỏi chúng ta có cài đặt luôn DNS trong lúc
này hay không?.
- 22 -
23. Quản trị và xây dụng môi trường mạng doanh nghiệp
Bước 10: Chọn “Install and Configure the DNS...” thì Windows sẽ hỏi về sự tương thích các permission
giữa Windows 2000 trở về sau hay là tương thích với những phiên bản trước Windows 2000.
- 23 -
24. Quản trị và xây dụng môi trường mạng doanh nghiệp
Bước 11: Trong giáo trình này chúng ta chọn Permission như hình trên nghĩa là tương thích từ Windows
2000 trở về sau. Windows sẽ cho chúng ta nhập password phục hồi – password này có tác dụng là khi
chúng ta gỡ bỏ hoặc phục hồi AD thì phải sử dụng password này.
Bước 12: Quá trình khai báo những điều cần thiết cho việc nâng cấp AD như Domain, DNS, restore
password... đã kết thúc. Lúc này Windows sẽ xây dựng (build) Active Directory.
Bước 13: Sau khi Build xong hệ thống sẽ yêu cầu Restart Windows lại để việc cấu hình hoàn thành.
- 24 -
25. Quản trị và xây dụng môi trường mạng doanh nghiệp
Như vậy chúng ta đã hoàn tất việc xây dựng một Domain controller với domain là: ispace.com.vn.
Lưu ý: việc xây dựng Domain controller phải có một số điều kiện cần như sau:
Máy chủ cài AD phải cài IP tĩnh.
Máy chủ phải được nối vào Hub/switch.
Tên miền không được quá dài, rõ ràng, và diễn đạt được ý nghĩa của công ty hay doanh nghiệp...
Ngoài ra chúng ta cũng có thể cài đặt Domain Controller bằng cách vào Start -> Run gõ vào dòng
“dcpromo”, click OK màn hình sẽ hiện ra như bước 4, và quá trình xây dựng Domain Controller diễn ra
bình thường cho tới lúc kết thúc.
1.2. Gia nhập Client vào Domain (Join vào Domain)
Chúng ta đã dựng lên một Server và xây dựng Server này thành Domain Controller. Bây giờ chúng ta sẽ
cho phép máy con (client) truy cập vào máy chủ.
Click chuột phải vào My Network Places trên Windows XP. Chọn Properties.
- 25 -
26. Quản trị và xây dụng môi trường mạng doanh nghiệp
Chọn Properties của Local area Connection
Chọn Internet Protocol (TCP/IP), sau đó click vào Properties.
Điền vào IP trùng với lớp mạng của máy chủ:
o IP address: 192.168.1.2
o Subnet mark: 255.255.255.0
o Preferred DNS Server: 192.168.1.1
- 26 -
27. Quản trị và xây dụng môi trường mạng doanh nghiệp
Những phần trên chúng ta có thể không thiết lập khi đã tìm hiểu về cấp phát IP động DHCP.
Sau khi đặt IP cho Windows XP. Bây giờ thiết lập Windows XP gia nhập (join) vào Domain.
Chọn Properties của My Computer trên Windows XP. Chọn tab Computer Name. Click Change...
- 27 -
28. Quản trị và xây dụng môi trường mạng doanh nghiệp
Gõ tên domain ispace.com.vn vào mục Domain. Click OK
Điền user name và password của administrator vào mục permission.
(Bổ sung hình sau)
1.3. Xử lý sự cố
1.4. Bài tập tình huống
Tóm tắt:
Các phiên bản của Windows Server 2003:
• Windows 2003 Server Standard: phiên bản này có hầu hết những tính năng cần thiết cho một
Server thông thường.
• Windows 2003 Web Edition: phiên bản này hỗ trợ chủ yếu cho những ứng dụng Web.
• Windows 2003 Enterprise: là phiên bản dành cho các doanh nghiệp lớn nên có thêm những
tính năng hỗ trợ đặc biệt cho việc quản lý.
• Windows 2003 DataCenter: phiên bản này cũng giống như phiên bản Enterprise và thường
được sử dụng trong các phòng Server phục vụ cho việc lưu trữ dữ liệu chuyên biệt.
• Windows 2003: Small Business Server được tối ưu cho các doanh nghiệp vừa và nhỏ….
- 28 -
29. Quản trị và xây dụng môi trường mạng doanh nghiệp
Các phiên bản của Windows Server 2008:
• Windows Server 2008 Standard Edition: Phiên bản này cung cấp chức năng máy chủ chính
với hầu hết các vai trò và tính năng máy chủ. Nó gồm cả tùy chọn đầy đủ và tùy chọn cài đặt
Server Core.
• Windows Server 2008 Enterprise Edition: Phiên bản này xây dựng trên Windows Server
2008 Standard Edition để cung cấp khả năng mở rộng và khả năng sẵn có tốt hơn, bổ sung
thêm các công nghệ doanh nghiệp như việc tự động chuyển đổi dự phòng clustering và
Active Directory Federation Services.
• Windows Server 2008 Datacenter Edition: Phiên bản này cung cấp chức năng tương tự như
Windows Server 2008 Enterprise Edition cộng với sự hỗ trợ cho các bộ vi xử lý, bộ nhớ bổ
sung và quyền sử dụng ảnh ảo vô tận.
• Windows Web Server 2008: Phiên bản này được thiết kế đặc biệt cho sử dụng như một máy
chủ ứng dụng và Web. Các vai trò máy chủ khác không có trong phiên bản này.
• Windows Server 2008 for Itanium-based Systems: Phiên bản này được thiết kế sử dụng với
bộ vi xử lý 64 bit để cung cấp chức năng máy chủ ứng dụng và Web trên nền tảng đó. Các
vai trò máy chủ khác các tính năng có thể không có trong phiên bản này.
Domain Controller: lưu trữ các thư mục dữ liệu và quản lý việc giao tiếp giữa các user và các
domain, bao gồm các quá trình user log on, kiểm tra quyền và tìm kiếm tài nguyên. Khi bạn cài
đặt AD trên một máy tính chạy Windows Server 2003 , nó trở thành một Domain Controller.
Active Directory (AD): dùng để lưu trữ dữ liệu của Domain như các đối tượng User, Group,
OUs... theo kiểu cung cấp dịch vụ (Directory Service) tìm kiếm, kiểm soát... cho phép user truy
cập tài nguyên một cách an toàn và nhanh chóng.
OU (Organization Units): là một loại đối tượng đặc biệt của Active Directory được chứa trong
domain, các OU rất hữu ích bởi vì bạn có thể sử dụng chúng để tổ chức hàng trăm ngàn đối
tượng trong thư mục thành một khối có thể quản lý.
- 29 -
30. Quản trị và xây dụng môi trường mạng doanh nghiệp
BÀI 2: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG, MÁY TÍNH VÀ NHÓM
Mục tiêu:
Hiểu biết User, Group, Computer
Quản trị User, Group
Giải thích các loại Profile
Xử lý các sự cố về User rights
2.1. Giới thiệu tài khoản
User Account: là tài khoản người dùng. Khi cài đặt AD sẽ có một số user được tạo ra mặc định
(Build–in) như Administrator – là quyền quản trị cao nhất cho toàn hệ thống. User này không thể
gỡ bỏ được. Ngoài ra nhân viên sử dụng máy tính trong hệ thống để có thể sử dụng tài nguyên và
đăng nhập vào hệ thống thì người quản trị khởi tạo user và phân quyền sử dụng.
Computer Account: Mỗi máy tính chạy Microsoft Windows NT, Windows 2000, Windows XP
hay Windows Server 2003 tham gia vào một domain đều có một computer account. Tương tự
như user account, các computer account cung cấp ý nghĩa thẩm định quyền và chỉnh sửa quyền
truy xuất vào mạng và các tài nguyên domain.
Group: là tập hợp một số user có những đặc tính chung như truy cập chung một thư mục nào đó,
hay phân nhóm theo phòng ban...
Là người quản trị, chúng ta phải cung cấp cho các người dùng trong tổ chức khả năng tiếp cận được các
tài nguyên mạng mà họ cần. Tài khoản người dùng cho phép người dùng đăng nhập và truy cập các tài
nguyên cục bộ hoặc domain. Trong bài này, chúng ta sẽ học cách tạo các tài khoản người dùng cục bộ và
domain, đặt các thuộc tính cho chúng.
Giới thiệu tài khoản người dùng
Tài khoản người dùng là một tập hợp quyền hạn duy nhất cho một người dùng cho phép người dùng đăng
nhập vào domain để truy cập tài nguyên mạng hoặc đăng nhập vào một máy tính cụ thể để truy cập tài
nguyên trên máy đó. Những người sử dụng mạng thường xuyên nên có một tài khoản người dùng.
Bảng sau mô tả các kiểu tài khoản người dùng được Microsoft® Windows® 2003 cung cấp.
Kiểu tài
khoản Mô tả
Tài khoản Cho phép người dùng đăng nhập vào một máy tính cụ thể và truy
người dùng cập tài nguyên trên máy đó. Người dùng có thể truy cập tài
cục bộ nguyên trên máy khác nếu họ có tài khoản riêng trên máy đó. Các
tài khoản người dùng này nằm trong Security Accounts Manager
(SAM) của máy.
- 30 -
31. Quản trị và xây dụng môi trường mạng doanh nghiệp
Tài khoản Cho phép người dùng đăng nhập vào domain để truy cập tài
người dùng nguyên mạng. Người dùng có thể truy cập tài nguyên mạng từ bất
domain kỳ máy tính nào trên mạng bằng một tài khoản người dùng và
một mật khẩu. Các tài khoản người dùng này nằm trong dịch vụ
danh bạ Active Directory™.
Tài khoản Cho phép người dùng thực hiện các tác vụ quản trị hay tạm thời
người dùng truy cập đến các tài nguyên mạng. Có hai tài khoản người dùng
dựng sẵn dựng sẵn không thể xóa được: Administrator và Guest. Các tài
(built-in) khoản Administrator và Guest cục bộ nằm trong SAM, các tài
khoản Administrator và Guest của domain nằm trong Active
Directory.
Các tài khoản người dùng dựng sẵn được tạo tự động trong quá
trình cài đặt Windows 2003 và Active Directory.
2.2. Quản trị User
Tạo users.
Sau khi cấu hình DC xong, chúng ta phải tạo user để các user này đăng nhập vào hệ thống mạng và sử
dụng tài nguyên trên máy chủ như lưu trữ dữ liệu, chương trình kế toán, máy in... lúc này người quản trị
cần phải biết các người dùng sử dụng vào mục đích gì? Mức độ như thế nào...Do đó việc tạo user phải có
một tính chuyên nghiệp và dễ quản lý.
Đầu tiên chúng ta vào Start programs administrative toos Active directory Users and
Computers.
Trong phần user chúng ta có thể tạo bằng cách:
Hình : Active directory Users and Computers
Cách 1: Vào Action new user.
- 31 -
32. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : New User
Cách 2: Chúng ta có thể thực hiện bằng cách click chuột phải trên Users new user.
Màn hình Tạo user sẽ hiện ra, chúng ta nhập họ tên, user name... vào
Hình : Nhập thông tin User
Sau khi điền đầy đủ thông tin chúng ta tới phần nhập mật mã (password) cho user đó:
- 32 -
33. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Nhập Password và các tùy chọn cho user
Trong phần Password:
Password Nhập password theo ý quản trị
Confirm password: Nhập lại password trên
User must change password at next logon User được phải thay đổi password
theo ý user trong lần truy cập đầu tiên
User cannot change passwword User không được quyền thay đổi.
Quyền thay đổi thuộc về quản trị
Password nerver expires Password không bao giờ hết hạn sử
dụng.
Account is disabled Tài khoản này sẽ bị vô hiệu hóa chức
năng
Trong ví dụ này ta không đặt password, nghĩa là password để trống và chọn mục Password nerver
expires.
- 33 -
34. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Quá trình tạo user hoàn thành
Sau khi click nút Finish để kết thúc quá trình tạo user chúng ta sẽ gặp một vấn đề là Windows Server
sẽ không cho tạo user do password của chúng ta là để trống, và không tuân theo qui ước của AD:
Hình : Thông báo lỗi do đặt Password không hợp lệ
Để giải quyết vấn đề trên chúng ta phải vào Start Program Administrative Tools Domain
Security policy
- 34 -
35. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Chọn Domain Security Policy
Màn hình sẽ cho chúng ta biết những policy nào của Windows
Hình : Password Policy
Chọn khung bên trái là Password Policy, chọn Minimum Password Length, nghĩa là chiều dài tối
thiệu phải là 7 ký tự. Nếu chúng ta muốn sử dụng Password trống thì chúng ta chọn Policy setting là
0 ký tự.
- 35 -
36. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Thay đổi Password Policy
Sau khi cho phép nhập password trống, chúng ta phải loại bỏ sự phức tạp của password mà hệ thống
Windows đã đề ra: Chọn Password must meet complexity requirements properties -> Define this
policy setting là Disable:
Hình : Cấm chế độ password phức tạp
Khi đã chọn những policy theo như trên, chúng ta phải cập nhật những thay đổi policy cho Windows.
Bằng cách là chúng ta khởi động lại máy chủ hoặc ta cũng có thể vào Start -> Run, gõ vào cú pháp
sau: gpupdate /force để thay đổi các policy của hệ thống.
Hình : Cập nhật Policy vừa thay đổi
Như vậy sau khi cập nhật Policy cho Server, lúc này chúng ta quay về vấn đề tạo user với password
trống thì chúng ta sẽ tạo user thành công mà không gặp trở ngại nào.
- 36 -
37. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình 3.12: Quá trình tạo user hoàn tất
Quản lý Users.
Phần trên chúng ta đã tìm hiểu về cách tạo user, bây giờ chúng ta phải tìm hiểu và quản lý các user như
thế nào? Chúng ta thử tìm hiểu một số giải pháp thông dụng khi quản lý user.
Ví dụ 1: một số user tạo ra trong một thời gian ngắn là vô hiệu hóa chức năng do tính chất thời vụ của
user đó.
Ví dụ 2: Trong một công ty, Giám đốc yêu cầu là tất cả nhân viên làm việc từ 8 giờ sáng tới 12 giờ trưa,
sau khi qua 12 giờ trưa là tất cả các máy tính hoặc một số máy tính phải tự động ngưng làm việc để nghỉ
trưa hoặc hạn chế thất thoát thông tin...
Ví dụ 3: Trong một hệ thống mạng được triển khai cho môi trường giáo dục. Các học sinh sẽ lưu bài tập
trên thư mục share trên Server của mình, vấn đề đặt ra là sẽ có nhiều em học sinh đăng nhập (logon) vào
nhiều máy mà chỉ có một user để copy bài của nhau trên cùng một thư mục share đó. Vậy làm sao để giải
quyết các vấn đề đó.
Những vấn đề trên sẽ được tìm hiểu trong phần này.
Sau khi tạo mới user, chúng ta vào Properties của user đó:
- 37 -
38. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình 3.14: Thuộc tính General của user
Account properties Discriptions
General, Address, Telephones and Đây là những thông tin bổ sung của user
Organization tabs
Account tab Thuộc tính này bao gồm nhiều thông tin về
user như khởi tạo, password, hạn sử dụng...
Profile tab Ở đây có thể cấu hình đường dẫn profile,
hay logon Script
Member Of tab Thuộc tính này bao gồm mức độ, quyền
hạn hoặc thuộc nhóm nào.
Terminal Services Profile, Những Tabs này cho phép thiết lập môi
Environment, Remote trường làm việc, truy cập từ xa hoặc các
Control, Sessions tabs phiên làm việc của việc truy cập đó.
Dial-in tab Cho phép hoặc không cho phép truy cập
từ xa hoặc quyền dăng nhập VPN
COM+ tab Gán Active Directory COM+ cho việc
quản lý dữ liệu phân tán trên Windows
2003.
Ở bảng trên có rất nhiều thuộc tính, tuy nhiên chúng ta chỉ quan tâm nhiều tới 3 thuộc tính cơ bản là
Account tab, profile tab, member of tab. Còn những thuộc tính còn lại chúng ta tìm hiểu sau hoặc các
hoạc viên tự tìm hiểu.
Account tab
Đây là thông tin rất quan trọng, cho phép thay đổi thông tin user, thời hạn của user...
- 38 -
39. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Thuộc tính Account của user
Logon Hours...: cho phép tài khoản này truy cập vào những thời gian qui định trong ngày. Người
quản trị sẽ chọn thời gian là work time, hoặc free time:
- 39 -
40. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Thời gian Logon của user
Logon to...: cho phép tài khoản này truy cập vào một máy tính duy nhất (computer name) hoặc nhiều
máy tính trong một phòng ban hoặc một nhóm làm việc. Mục đích này giúp cho người sử dụng tránh
được mất mát thông tin cá nhân trên máy tính của mình.
Hình : Cho phép tài khoản logon vào 1 hay nhiều máy tính.
Account Expires: chức năng này cho phép thời hạn sử dụng của Account này tới bao lâu:
- 40 -
41. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Thời gian sử dụng Account
Member of Tab.
Khi nói đến Member of của user tức là chúng ta đang nói đến phân cấp của user hay nhóm làm việc của
user đó. Một user có thể là user thuần túy hoặc user đó có quyền ngang cấp với quyền quản trị
administrator. Điều này tùy thuộc vào sự phân quyền của người quản trị. Tất nhiên việc phân quyền của
user thì người quản trị phải đăng nhập vào hệ thống máy chủ với tài khoản Administrator.
Bây giờ chúng ta sẽ thực hiện bài lab với tài khoản Hatq với quyền administrator.
Log on SVR1 với tài khoản administrator.
Vào administrative tools -> active directory user and computers.
Chọn user Ha Trần quang.
Chọn Menu Action -> Properties (có thể click chuột phải vào Properties).
Chọn tab Mermber of.
Click vào nút Add... để thêm group vào.
Hình : Add Group
- 41 -
42. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Select Group
Click vào Nút Advanced… để tìm group.
Hình : Chọn group cần add vào
Chọn nút Find Now -> chọn group administrators, sau đó click OK để hoàn tất việc chọn nhóm
admistrators.
Quản trị Group
Quản lý Groups.
- 42 -
43. Quản trị và xây dụng môi trường mạng doanh nghiệp
Group là một nhóm làm việc do người quản trị tạo ra để cụ thể hóa các công việc hoặc dễ dàng quản trị.
Group có thể được chia làm 2 loại là Buildin và manual.
Loại build-in thì do Windows tạo ra để nói lên một chức năng đặc biệt nào đó ví dụ như Administrators,
Backup Operators... là những tài khoản nào nằm trong group này sẽ có những quyền rất cao như đăng
nhập vào máy chủ, backup, restore .... và các group này không thể xóa bỏ khỏi hệ thống.
Loại Manual là loại do người quản trị tạo ra để quản lý, ví dụ trong công ty có rất nhiều nhân viên cùng
sử dụng một tài nguyên nào đó trên máy chủ thì người quản trị chỉ tạo ra 1 group để gom nhóm các nhân
viên này lại, và chia sẻ folder cho group này thì toàn bộ các thành viên đều được share.
Để tạo một Group để quản trị, chúng ta vào Active Directory user and Computers, chọn User bên trái,
chọn Menu Action -> new -> Group. (chúng ta có thể làm nhanh bằng cách click chuột phải vào User,
chọn new).
Hình : Tạo New Group
Tạo một Group có tên là Marketing, với Group scope là Domain Local, kiểu group là Security
- 43 -
44. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Nhập tên và các tuỳ chọn của group
Sau khi tạo xong Group Marketing, chúng ta đưa những user nào cần gom nhóm vào group. Việc đưa
user vào group có 2 cách.
Chọn Properties của group Marketing mới tạo, chọn member tab, chọn nút Add.. để chọn user nào
cần đưa vào.
Hình : Add Group
Cách khác là chọn chuột phải trên user nào muốn đưa vào Group, chọn Add to group
- 44 -
45. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Add user vào group
Như vậy việc tạo group và đưa user vào group không quá khó khăn, do đó người quản trị có thể tạo nhiều
group khác nhau để quản trị. Các group này còn có thể đưa vào group khác như group buildin...
- 45 -
46. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : User đã được add vào Group
2.4. Quản trị User Profile
Profile tab chứa các thông tin của user và đường dẫn hệ thống như vấn đề: các user đều dùng chung một
màn hình desktop, các shortcuts trên desktop, các cookies... hoặc các đường dẫn của thư mục share trên
máy chủ mà chỉ duy nhất user đó có mà user khác không có.
Local Profiles: là profile mặc định của hệ thống trên Windows 2000, XP: c:documents and
settings%username%. Profile này được tạo ra lần đầu tiên khi user logon vào hệ thống, các thay đổi về
desktop, network... đều được lưu trữ ở Profile này.
Roaming User Profiles: là tất cả các user đều lấy chung một Profile để hoạt động theo một Profile đã
share trên máy chủ.
Trên Profile tab, trong mục Profile path có cú pháp như sau: <Server><share>%username%. Trong đó
%username% là tự động lấy đúng user mà user đó đăng nhập vào hệ thống
Hình 3.19: Profile User
Trước hết chúng ta tạo một Profiles kiểu mẫu trên Server.
Tạo một thư mục trên máy chủ đặt tên là profiles.
Share thư mục này với tên Profiles.
Chọn Permissions.
chọn quyền share là Full Control.
Chọn OK.
- 46 -
47. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Cấp quyền cho Group Everyone
Sau đó ta tạo một User kiểu mẫu trên Server:
Text Box Name Enter
First Name Profile
Last Name Account
User Logon Name: Profile
User Logon Name (Pre-Windows 2000): Profile
- 47 -
48. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Nhập thông tin user
Sau khi tạo User hoàn tất, chúng ta cho user này với quyền Administrator để user này đăng nhập (logon)
vào máy chủ.
Logoff Windows Server 2003.
Logon Windows Server 2003 với tài khoản profile.
Sau khi logon hoàn tất, chỉnh sửa Desktop, software, internet options...
Tạo các shortcut trên desktop...
- 48 -
49. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Logon với account Profile
logoff Windows.
Logon Windows với tài khoản administrator.
Vào System Proferties của SVR1, chọn tab Advanced, chọn User profiles, click setting...
Hình : System Properties
Trong user Profiles, chọn ISPACEProfile. Click Copy to.
- 49 -
50. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hinh : User Profile
gõ đường dẫn profile muốn copy tới: “svr1profileshatq. trong đó hatq là user của Tran Quang Ha
mà chúng ta muốn sử dụng profile này.
Thay đổi quyền sử dụng là “ISPACEHatq”
Hình : Nơi lưu trữ profile
Click OK để hoàn tất việc copy profile.
vào Start -> Programs -> Administrative tools -> Active Directory User and Computer.
Chọn Properties Ha Tran Quang.
Vào Tab Profile.
Gõ vào Profile path: “svr1profiles%username%
- 50 -
51. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Profile path
Click OK để hoàn tất.
Logoff tài khoản Administrator.
Logon với tài khoản hatq (Ha Tran Quang).
- 51 -
52. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Logon tài khoản Ha Tran Quang
Như vậy chúng ta đã hoàn tất việc Roaming Profile. Tài khoản Hatq sẽ sử dụng các desktop, shortcut...
của user profile.
Bây giờ chúng ta giải quyết một vấn đề thông dụng của Profile là Automatics Map Network Disks. Trong
phần này các user khi đăng nhập vào hệ thống sẽ có một ổ đĩa network có sẵn trên máy tính của mình và
khi thoát ra sẽ không còn ổ đĩa trên máy để tránh trường hợp thất thoát thông tin cũng như vấn đề riêng
tư.
Trong bài này chúng ta có ví dụ về tài khoản Ha Tran Quang. Tài khoản này có một thư mục trên máy
chủ là Hatq và đã share thư mục này trên máy chủ với quyền Full Control.
Tạo thư mục trên máy chủ là Hatq, share thư mục này cho Ha Tran Quang với quyền Full Control.
- 52 -
53. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình : Cấp quyền cho user Ha Tran Quang
Dùng Notepad hoặc bất cứ chương trình soạn thảo văn bản nào để tạo file: “tranquangha.bat”.
Nội dung trong file tranquangha.bat như sau: “net use z: svr1hatq”.
Hình 3.29: Nội dung file Tranquangha.bat
Copy file này vào thư mục:
“C:WindowsSYSVOLsysvolispace.com.vncripts”.
- 53 -
54. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình 3.30: Nơi lưu trữ file Tranquangha.bat
Vào Profile tab của user Ha Tran Quang. Trong mục Logon cripts: gõ tên file mới tạo:
Hình : Nhập tên file Logon script
Click OK.
Khi user Hatq đăng nhập vào hệ thống mạng ispace.com.vn thì sẽ có một ổ đĩa ảo.
- 54 -
55. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hinh : Đĩa ảo của user khi logon vào mạng
Như vậy tài khoản hatq có thể lưu trữ tài liệu của mình trên máy chủ và chỉ có Hatq mới có thể chỉnh sửa,
xóa... tài liệu của mình.
2.5. Các nhóm mặc định
Khi một máy tính trở thành một domain controller, những group được tạo trong dịch vụ Active Directory.
Mặc định, những group này có những quyền được xác định trước để quyết định những thao tác hệ thống
mà các thành viên của group hay các group có thể thực hiện. Những group này không thể bị xoá. Danh
sách sau mô tả các nhóm domain local group và những cấp quyền được gán trước cho chúng.
• Administrators: Các thành viên của Administrators group có thể thực hiện tất cả các chức năng
mà hệ điều hành hỗ trợ. Administrators có thể gán cho chính họ bất kỳ quyền nào mà họ không
có theo mặc định. Chỉ logon là một người quản trị khi cần thiết. Cũng phải cẩn thận khi add một
user khác vào Administrator group.
• Backup Operators: Các thành viên của Backup Operators group có thể backup và phục hồi các
tập tin bằng cách sử dụng công cụ Backup.
• Account Operators: Những thành viên của Account Operators group có thể quản lý các user
account và group. Ngoại lệ là chỉ những thành viên của Administrators group có thể thay đổi một
Administrators group hoặc bất kỳ một group nào.
• Server Operators: Các thành viên của Derver Operators group có thể share các tài nguyên
mạng, logon vào một Server tương tác, tạo và xoá các tài nguyên share, khởi động và ngừng các
dịch vụ, định dạng ổ cứng của server và shutdown máy tính. Họ cũng có thể backup và phục hồi
các tập tin bằng cách sử dụng công cụ Backup.
• Print Operators: Các thành viên của Print Operators group có thể cài các máy in local và mạng
để đảm bảo rằng các user có thể dễ dàng kết nối tới và sử dụng các tài nguyên máy in.
2.6. Xử lý sự cố
2.7. Bài tập tình huống
Tóm tắt:
User account: là một đối tượng chứa tất cả các thông tin khai báo một user trong Windows
Server 2003. Account có thể là local hay domain account. Một user account bao gồm user name
và password kèm theo khi logon, các nhóm mà nó là thành viên (member of) các quyền lợi (user
right) và sự cho phép (permisions) mà user có khi truy xuất vào máy tính và tài nguyên mạng.
Computer Account: Mỗi máy tính chạy Microsoft Windows NT, Windows 2000, Windows XP
hay Windows Server 2003 tham gia vào một domain đều có một computer account. Tương tự
như user account, các computer account cung cấp ý nghĩa thẩm định quyền và chỉnh sửa quyền
truy xuất vào mạng và các tài nguyên domain.
Group: là một tập hợp các user account. Bạn có thể sử dụng group để quản lý việc truy xuất tới
các tài nguyên domain rất hiệu quả, giúp cho bạn đơn giản hoá công việc bảo trì và quản trị
mạng. Bạn cũng có thể sử dụng các group riêng biệt hay bạn có thể đặt một group vào một group
khác để đơn giản việc quản lý hơn nữa.
Local Profiles: là profile mặc định của hệ thống trên Windows 2000, XP: c:documents and
settings%username%. Profile này được tạo ra lần đầu tiên khi user logon vào hệ thống, các thay
đổi về desktop, network... đều được lưu trữ ở Profile này.
Roaming User Profiles: là tất cả các user đều lấy chung một Profile để hoạt động theo một
Profile đã share trên máy chủ.
- 55 -
56. Quản trị và xây dụng môi trường mạng doanh nghiệp
BÀI 3: QUẢN TRỊ TRUY XUẤT TÀI NGUYÊN FILE
Mục tiêu:
Hiểu biết truy xuất tài nguyên mạng
Quản trị quyền truy xuất Shared, NTFS
Làm việc ngoại tuyến offline file
Xử lý các sự cố về Permissions, offline file
Hiểu biết và triển khai dịch vụ file DFS
3.1. Giới thiệu
Windows Server 2003 tổ chức các tập tin vào trong những thư mục thể hiện ở dạng đồ hoạ là các folder.
Những folder này chứa tất cả các loại tập tin và có thể chứa các folder con. Một vài folder được dành
riêng trước đó cho các tập tin hệ điều hành và những folder chương trình.
Shared các folder cho phép các user truy xuất các file và folder qua mạng. User có thể kết nối tới các
foler share qua mạng để truy xuất các folder và những tập tin mà folder chứa. Các folder shared có thể
chứa các ứng dụng, dữ liệu công cộng hay dữ liệu cá nhân. Việc sử dụng những folder share ứng dụng
làm tập trung công việc quản trị bằng cách cho phép bạn cài đặt và duy trì những ứng dụng trên server
thay vì trên các máy client. Sử dụng các folder share dữ liệu cung cấp một vị trí trung tâm cho user truy
xuất các tập tin phổ biến và làm cho nó dễ dàng backup dữ liệu chứa trong các tập tin này.
Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share Permissions. Share
Permissions chỉ có hiệu lực khi người dùng truy cập qua mạng chứ không có hiệu lực khi người dùng
truy cập cục bộ. Khác với NTFS Permissions là quản lý người dùng truy cập dưới cấp độ truy xuất đĩa.
Trong hộp thoại Share Permissions, chứa danh sách các quyền sau để cho phép người dùng truy xuất
đến thư mục chia sẻ:
• Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ.
• Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ.
• Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ.
- 56 -
57. Quản trị và xây dụng môi trường mạng doanh nghiệp
3.2. Quyền chia sẻ thư mục
Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truy xuất và sử dụng thông
qua mạng. Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào hệ thống với vai trò
người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong
Explorer bạn nhầp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn
Tab Sharing.
Mục Mô tả
Do not share this folder Chỉ định thư mục này chỉ được phép truy cập cục bộ
Chỉ định thư mục này được phép truy cập cục bộ và truy cập qua
Share this folder
mạng
Share name Tên thư mục mà người dùng mạng nhìn thấy và truy cập
Cho phép người dùng mô tả thêm thông tin về thư mục dùng chung
Comment
này
Cho phép bạn khai báo số kết nối tối đa truy xuất vào thư mục tại
User Limit
một thời điểm
Cho phép bạn thiết lập danh sách quyền truy cập thông qua mạng
Permissions
của người dùng
Cho phép thư mục được lưu trữ tạm tài liệu khi làm việc dưới chế độ
Offline Settings
Offline.
- 57 -
58. Quản trị và xây dụng môi trường mạng doanh nghiệp
Kết nối đến thư mục chia sẻ
Sau khi chia sẻ một thư mục, người dùng có thể truy cập thư mục đó qua mạng. Người dùng có thể truy
cập một thư mục chia sẻ trên máy khác bằng cách sử dụng My Network Places, Map Network Drive,
hay lệnh Run.
Sử dụng My Network Places
Trong nhiều trường hợp, cách dễ nhất để truy cập thư mục chia sẻ là sử dụng My Network Places.
Để kết nối đến thư mục chia sẻ dùng My Network Places, hãy thực hiện các bước sau:
1. Nhấp đúp My Network Places.
2. Nhập đường dẫn đến thư mục chia sẻ muốn kết nối hoặc nhấp Browse để tìm máy tính chứa thư
mục.
3. Nhấp đúp thư mục chia sẻ để mở xem nội dung.
Lưu ý Khi mở thư mục chia sẻ trên mạng, Windows 2003 tự động thêm nó vào My Network Places.
Sử dụng Map Network Drive (ánh xạ ổ đĩa mạng)
Hãy ánh xạ một ổ đĩa mạng khi muốn liên kết một ký tự ổ đĩa và một icon với một thư mục chia sẻ. Điều
này làm cho việc tham chiếu đến vị trí của một tập tin trong thư mục chia sẻ dễ dàng hơn. Ví dụ, thay vì
trỏ đến Máy chủTên thư mục chia sẻ Tập tin, chúng ta sẽ trỏ đến Ổ đĩa:Tập tin. Chúng ta sử dụng các
ký tự ổ đĩa để truy cập các thư mục chia sẻ không thể sử dụng đường dẫn UNC (universal naming
convention), chẳng hạn như một thư mục của một ứng dụng cũ.
Để ánh xạ một ổ đĩa mạng, hãy thực hiện các bước sau:
1. Nhấp phải My Network Places, nhấp Map Network Drive.
2. Trong wizard Map Network Drive, hãy chọn ký tự ổ đĩa muốn sử dụng.
3. Nhập tên thư mục chia sẻ muốn kết nối hay nhấp Browse để tìm thư mục chia sẻ.
Để có thể tiếp cận thư mục chia sẻ sử dụng thường xuyên, hãy chọn Reconnect at logon để kết nối
tự động mỗi khi log on.
- 58 -
59. Quản trị và xây dụng môi trường mạng doanh nghiệp
Sử dụng lệnh Run
Khi sử dụng lệnh Run để kết nối đến tài nguyên mạng, không cần phải có ký tự ổ đĩa; cho phép số lượng
kết nối không giới hạn, độc lập với các ký tự ổ đĩa khả dụng.
Để kết nối thư mục chia sẻ vào một ổ đĩa mạng, hãy thực hiện các bước sau:
1. Nhấp Start, nhấp Run.
2. Trong hộp thoại Run, nhập đường dẫn UNC trong hộp Open, nhấp OK.
Khi nhập tên máy chủ trong hộp Open, một danh sách tên các thư mục chia sẻ khả dụng sẽ xuất hiện.
3.3.Quyền NTFS
Windows 2003 chỉ cung cấp các quyền NTFS trên các phân vùng được định dạng NTFS. Để bảo mật cho
các tập tin và thư mục trên các phân vùng NTFS, chúng ta gán các quyền NTFS cho từng tài khoản hay
nhóm người dùng cần truy cập tài nguyên. Người dùng phải được cấp phép cụ thể để truy cập tài nguyên.
Nếu không được cấp phép, tài khoản người dùng không thể tiếp cận tập tin, thư mục. Bảo mật NTFS có
hiệu lực khi người dùng truy cập thư mục hay tập tin ngay tại máy hoặc qua mạng.
Danh sách kiểm soát truy cập (Access Control List)
NTFS lưu một danh sách kiểm soát truy cập (Access control list - ACL) trên từng tập tin và thư mục
trong phân vùng NTFS. ACL chứa danh sách các tài khoản người dùng, nhóm, và các máy tính được cấp
phép truy cập tập tin thư mục, cũng như loại truy cập mà chúng được phép. Để người dùng tiếp cận được
tập tin thư mục, ACL phải chứa một mục (entry) gọi là mục kiểm soát truy cập (Access control entry -
ACE) cho tài khoản, nhóm, hay máy tính của người dùng. Mục này phải cho phép kiểu truy cập mà
người dùng cần phải có để có thể tiếp cận được tập tin thư mục. Nếu không tồn tại ACE trong ACL,
Windows 2003 sẽ không cho phép người dùng truy cập tài nguyên.
Chúng ta có thể sử dụng các quyền NTFS để chỉ ra các người dùng, nhóm, và máy tính có thể tiếp cận
tập tin thư mục. Các quyền NTFS cũng chỉ ra các người dùng, nhóm, và máy tính nào có thể làm gì với
nội dung của tập tin, thư mục.
Các quyền thư mục NTFS
- 59 -
60. Quản trị và xây dụng môi trường mạng doanh nghiệp
Chúng ta gán quyền thư mục NTFS để kiểm soát truy cập đến các thư mục cũng như các tập tin và thư
mục con chứa trong các thư mục đó.
Các quyền tập tin NTFS
Chúng ta gán quyền tập tin NTFS để kiểm soát truy cập đến các tập tin.
Lưu ý: Khi định dạng một phân vùng theo NTFS, Windows 2003 tự động gán quyền truy cập Read Only
(chỉ đọc) đến thư mục gốc cho nhóm Everyone. Mặc định, nhóm Everyone sẽ có quyền Full Control đối
với tất cả các thư mục và tập tin được tạo trong thư mục gốc. Để giới hạn truy cập chỉ cho các người
dùng được phép, chúng ta nên thay đổi quyền mặc định cho các thư mục và tập tin chúng ta đã tạo.
Cách Windows 2003 áp dụng các quyền NTFS
Mặc định, khi chúng ta cấp phép sử dụng một thư mục cho người dùng và nhóm, các người dùng và
nhóm này sẽ có thể tiếp cận được các tập tin và thư mục con chứa trong thư mục này. Điều quan trọng
chúng ta phải hiểu là các các thư mục con và các tập tin kế thừa quyền từ các thư mục cha, từ đó có thể
sử dụng sự kế thừa này để truyền quyền truy cập cho các tập tin và thư mục.
Nếu cấp phép truy cập một tập tin hay thư mục cho một tài khoản người dùng hay cho nhóm mà người
dùng là thành viên, người dùng sẽ có nhiều quyền truy cập đến cùng một tài nguyên. Có nhiều luật và độ
ưu tiên liên quan đến cách NTFS kết hợp các quyền. Ngoài ra, chúng ta cũng có thể tác động đến các
quyền truy cập khi sao chép hay di chuyển các tập tin, thư mục.
Quyền NTFS tổng hợp
Nếu chúng ta gán các quyền NTFS cho một tài khoản người dùng và cho nhóm mà người dùng thuộc về,
thì có nghĩa là chúng ta đã gán quyền tổng hợp cho người dùng. Có nhiều luật quy định cách NTFS kết
hợp các quyền này để tạo ra tập hợp quyền thật sự có hiệu lực cho người dùng.
Quyền từ chối (deny) che các quyền khác
- 60 -
61. Quản trị và xây dụng môi trường mạng doanh nghiệp
Chúng ta có thể từ chối truy cập trên một tập tin, thư mục cụ thể qua việc gán quyền từ chối cho tài
khoản người dùng hay nhóm. Thậm chí khi một người dùng có quyền truy cập tập tin hay thư mục do là
thành viên của một nhóm, việc từ chối quyền đối với người dùng sẽ chặn các quyền khác người dùng
đang có. Do đó, quyền từ chối là một ngoại lệ đối với luật tích lũy. Chúng ta nên tránh việc từ chối quyền
vì việc cho phép truy cập thì dễ dàng hơn việc từ chối. Nên tổ chức các nhóm và tổ chức các tài nguyên
trong các thư mục để chỉ cần sử dụng việc cấp phép là đủ (không cần dùng Deny).
Lưu ý Trong Windows 2003, có sự khác biệt giữa một người dùng không được phép truy cập và việc từ
chối một người dùng truy cập bằng việc thêm một mục từ chối (deny entry) vào ACL trên tập tin, thư
mục. Điều này có nghĩa nếu là người quản trị, chúng ta có một cách khác để từ chối truy cập là không cho
phép người dùng truy cập tập tin thư mục.
Sự kế thừa quyền NTFS
Mặc định, các quyền được gán cho thư mục cha sẽ được kế thừa và lan truyền xuống các tập tin và thư
mục con nằm trong thư mục cha này. Tuy nhiên, chúng ta có thể ngăn chặn sự kế thừa quyền khi muốn
các tập tin và thư mục con có quyền khác với thư mục cha của chúng.
Sự kế thừa quyền
Bất cứ quyền gì được gán cho một thư mục cha cũng được áp dụng cho các thư mục con và tập tin chứa
trong nó. Khi gán quyền NTFS để cho phép truy cập đến một thư mục là chúng ta đã gán quyền cho thư
mục đó cũng như cho tất cả các tập tin và thư mục con đang tồn tại trong nó kể cả các tập tin và thư mục
con sẽ được tạo trong thư mục đó.
Ngăn chặn việc kế thừa quyền
- 61 -
62. Quản trị và xây dụng môi trường mạng doanh nghiệp
Chúng ta có thể ngăn chặn việc kế thừa quyền qua việc ngăn chặn các thư mục con và tập tin kế thừa
quyền từ thư mục cha. Để ngăn chặn việc kế thừa quyền, hãy hủy các quyền được kế thừa và chỉ giữ lại
các quyền được gán có chủ đích.
Thư mục con mà chúng ta đã ngăn không cho kế thừa quyền từ thư mục cha lúc này trở thành thư mục
cha mới. Các thư mục con và tập tin chứa trong thư mục cha mới này sẽ kế thừa các quyền được gán cho
các thư mục cha của chúng.
Gán quyền NTFS
Gán quyền NTFS trong hộp thoại Properties của thư mục. Khi gán hay thay đổi quyền NTFS cho một
tập tin hay thư mục, chúng ta có thể thêm hay xóa các người dùng, nhóm hay máy tính cho tập tin hay
thư mục. Qua việc chọn một người dùng hay nhóm, chúng ta có thể hiệu chỉnh quyền cho người dùng
hay nhóm.
Trên tab Security trong hộp thoại Properties của tập tin hay thư mục, hãy cấu hình các tham số mô tả
trong bảng sau.
Tham số Mô tả
Name Chọn tài khoản người dùng hay nhóm muốn thay đổi quyền hoặc muốn xóa khỏi danh
sách.
Permissions Cho phép một quyền khi chọn check box Allow.
Từ chối một quyền khi chọn check box Deny.
Add Mở hộp thoại Select User, Groups, or Computers, dùng để chọn các tài khoản người
dùng và nhóm để thêm vào danh sách Name.
Remove Xóa các tài khoản người dùng hay nhóm được chọn và các quyền hạn liên quan đến tập
tin, thư mục.
- 62 -
63. Quản trị và xây dụng môi trường mạng doanh nghiệp
Thiết lập sự kế thừa quyền
Nhìn chung, chúng ta nên cho phép Windows 2003 truyền lại các quyền từ thư mục cha cho các thư mục
con và tập tin chứa trong thư mục cha đó. Sự lan truyền các quyền làm đơn giản hóa việc gán quyền cho
các tài nguyên.
Tuy nhiên, sẽ có khi chúng ta muốn ngăn chặn việc kế thừa quyền. Ví dụ, chúng ta có thể cần phải giữ tất
cả các tập tin của phòng kinh doanh trong một thư mục sales để mọi người trong phòng kinh doanh đều
có quyền Write. Tuy nhiên, chúng ta cần phải giới hạn quyền cho một số tập tin trong thư mục là Read.
Để làm được điều này, chúng ta sẽ ngăn chặn sự kế thừa để quyền Write không truyền xuống các tập tin
chứa trong thư mục.
Mặc định, các thư mục con và các tập tin kế thừa quyền được gán cho các thư mục cha, như hiển thị trên
tab Security trong hộp thoại Properties khi check box Allow inheritable permissions from parent to
propagate to this object được chọn.
Để ngăn chặn một thư mục con hay tập tin kế thừa quyền từ thư mục cha, hãy xóa check box Allow
inheritable permissions from parent to propagate to this object, sau đó chọn một trong hay tùy chọn
đuợc mô tả trong bảng sau.
- 63 -
64. Quản trị và xây dụng môi trường mạng doanh nghiệp
Tùy
chọn Mô tả
Copy Sao chép các quyền được kế thừa trước đây từ thư mục cha xuống thư mục con hay tập tin và
từ chối sự kế thừa quyền từ thư mục cha kể từ lúc đó.
Remove Xóa các quyền kế thừa được gán trên thư mục cha khỏi thư mục con hay tập tin và giữ lại
những quyền chúng ta đã gán có chủ đích cho thư mục con hay tập tin.
3.4. Tương tác quyền Shared và NTFS
3.5. Offline File
Offline Files là một tính năng quản lý tài liệu quan trọng cung cấp cho các user khả năng truy xuất online
hay offline nhất định tới tập tin. Khi máy client ngắt kết nối khỏi mạng, mọi thứ được download về máy
cục bộ. Các user vẫn có thể tiếp tục làm việc như họ đang còn kết nối tới mạng. Họ có thể chỉnh sửa,
copy, xoá …Khi client kết nối trở lại vào mạng, các tập tin client và server tự động đồng bộ lại.
Sử dụng Offline Files có những thuận lợi sau :
• Hỗ trợ cho những user lưu động
Khi một user lưu động xem share folder trong khi ngắt kết nối mạng, user vẫn có
thể trình duyệt, đọc, chỉnh sửa các tập tin, bởi vì chúng đã được lưu trữ trong bộ
nhớ của máy client. Khi user sau đó kết nối tới server, hệ thống điều chỉnh
những thay đổi với server
• Tự động đồng bộ
Bạn có thể cấu hình chính sách đồng bộ và cách hành động dựa trên thời gian
trong ngày và loại kết nối mạng bằng cách sử dụng Synchronization Manager.
Ví dụ bạn có thể cấu hình đồng bộ để nó xảy ra tự động khi user logon vào mạng
LAN.
• Quá trình thực thi thuận lợi
Offline Files cung cấp sự thực thi thuận lợi cho mạng. Trong khi kết nối tới
mạng, các client vẫn có thể đọc tập tin từ bộ nhớ cục bộ, giảm lưu lượng dữ liệu
truyền trên mạng.
• Backup thuận lợi
Offline Files giải quyết tình trạng khó xử trong các tổ chức kinh doanh ngày nay.
Nhiều tổ chức thực thi một chính sách backup yêu cầu tất cả dữ liệu của user
phải được lưu trữ trên các server được quản lý. Bộ phận IT của tổ chức thường
không backup dữ liệu được lưu trên các đĩa cục bộ. Điều này trở thành một vấn
đề nghiêm trọng cho những user lưu động với các máy tính xách tay.
Nếu bạn muốn truy xuất dữ liệu khi offline, máy tính cần sao chép dữ liệu giữa
máy xách tay và server. Một vài tổ chức sử dụng công cụ Briefcase. Với
Windows Server 2003, việc sao chép dữ liệu giữa máy client và server được
quản lý tự động. Các tập tin có thể được truy xuất trong khi đang offline và được
đồng bộ tự động với server được quản lý .
Bạn có thể cấu hình một file trên mạng làm cho nó sẳn sàng offline khi Offline Filse được enable cho
folder chứa file đó. Khi các user cấu hình làm cho các tập tin được offline, user sẽ làm việc với phiên bản
của tập tin mạng trong khi đang kết nối vào mạng ,và làm việc với phiên bản tập tin được lưu trữ trong bộ
đệm khi ngắt kết nối mạng.
- 64 -
65. Quản trị và xây dụng môi trường mạng doanh nghiệp
Khi các user cấu hình các files để được sẵn có offline những sự kiện đồng bộ sau sẽ xảy ra khi user
disconnected khỏi mạng :
• Khi user log off khỏi mạng, hệ điều hành Windows client đồng bộ các tập tin mạng với bộ nhớ
đệm sẽ copy các tập tin
• Khi user disconnected khỏi mạng, user sẽ làm việc với những tập tin được lưu trữ torng bộ nhớ
cục bộ
• Khi user log on trở lại vào mạng, hệ điều hành client Windows đồng bộ bất kì tập tin offline nào
mà user đã sửa đổi trên máy mạng. Nếu file được thay đổi trên cả hai máy thì hệ điều hành client
Windows sẽ nhắc user loại file nào user muốn giữ, hay user có thể đổi tên tập tin, hoặc giữ cả hai
phiên bản.
Chú ý: Nếu có hai user làm việc với cùng tập tin offline tại cùng thời điểm thì sau khi đồng bộ, một trong
hai phiên bản sẽ bị mất.
Tùy chọn Offlin file Cache
Offline Files lưu trữ các file thường xuyên được truy xuất vào một folder share. Điều này tương tự như
trình duyệt Web giữ một danh sách các web site thường xuyên truy xuất vào trong bộ đệm(cache). Khi
bạn tạo các share folder trên mạng, bạn có thể chỉ ra tuỳ chọn lưu trữ cho tập tin và những chương trình
trong folder. Có 3 tuỳ chọn lưu trữ khác nhau.
Manual caching of documents: Chế độ này cung cấp truy xuất offline chỉ cho những file và
chương trình mà user chỉ định là có hiệu lực. Nó là ý tưởng cho một folder share mạng chứa
những tập tin mà một vài người sẽ truy cập và chỉnh sửa. Đây là tuỳ chọn mặc định khi bạn cấu
hình một share folder trở thành offline.
Automatic caching of documents: Với chế độ lưu trữ tự động, tất cả các file và chương trình
mà user mở từ folder share tự động offline. Những tập tin mà user không mở sẽ không offline.
Các bản copy cũ sẽ tự động bị ghi đè bởi những phiên bản mới hơn.
Automatic caching of programs: Khi check box Optimized for performance được chọn, nó
cung cấp tự động lưu trữ những chương trình. Việc tự động lưu trữ các chương trình làm giảm
lưu thông mạng, bởi vì các tập tin offline được mở ngay lập tức. Các phiên bản tập tin trên mạng
không thể truy xuất theo bất cứ cách nào, và những file offline nhìn chung khởi động và chạy
nhanh hơn những version mạng.
Khi bạn sử dụng chế độ này, phải bảo đảm hạn chế các quyền tới những file được chứa trong các
share folder thành truy xuất Read.
Để cấu hình các thiết lập offline bằng cách sử dụng Windows Explorer :
1. Trong Windows Explorer, right-click trên shared folder muốn cấu hình truy cập offline và sau đó
click Sharing and Security.
- 65 -
66. Quản trị và xây dụng môi trường mạng doanh nghiệp
2. Trong hộp thoại Properties chọn Tab Sharing và click Offline Settings.
3. Trong hộp thoại Offline Settings chọn các option mà bạn cần và click OK.
3.6. Triển khai dịch vụ file DFS
Giới thiệu DFS:
Trong thực tế những công ty lớn đều có một hệ thống máy chủ chứa dữ liệu trên đó được chia sẻ cho
nhiều người dùng, và dữ liệu đó được chia sẻ không phải từ một máy chủ mà từ nhiều máy chủ khác
nhau.
Với người dùng mạng, họ sẽ gặp nhiều phiền phức mỗi khi muốn truy xuất một dữ liệu nào đó. Họ khó
mà nhớ được, dữ liệu nào đang được chia sẻ trên Server nào.
Vấn đề trên cũng sẽ gây khó khăn cho Người Quản trị mạng.
Trong hệ thống Windows Server 2003 có một giải pháp cho phép tập trung các tài nguyên được chia sẻ
trên mạng (bởi các máy khác nhau) để đơn giản việc quản lý và truy xuất. Đó là sử dụng “Distributed
File System” (DFS).
Hình 10.1: Mô hình DFS
Nên nhớ rằng, DFS chỉ tập trung tài nguyên chỉa sẻ về phương diện Logic. Có nghĩa là, tài nguyên thực
sự vẫn tồn tại trên máy chủ chia sẻ. DFS sẽ gom tất cả các đường dẫn của tài nguyên chia sẻ về tập trung
tại một mối (gọi là DFS root).
Giải pháp sử dụng DFS mang lại sự thuận tiện cho các người dùng mạng. Khi sử dụng DFS người dùng
chỉ cần truy cập vào DFS root. Từ đó, họ sẽ truy cập được vào các tài nguyên chia sẻ trên các máy khác,
nhờ vào các nhánh được tạo ra bởi các đường link đến các địa chỉ được chia sẻ trên máy khác..
Các kiểu của “DFS Root”:
DFS tập trung các đường liên kết đến tài nguyên chia sẻ trên mạng về một mối (gọi là “DFS root”).
Microsoft đưa ra hai mô hình quản trị mạng: WORKGROUP và DOMAIN, nên “DFS root” cũng có hai
kiểu tương ứng cho mỗi mô hình quản trị. Domain Root và Stand-Alone Root
Domain Root:
Là sự kết hợp giữa DFS với tính năng Replication trong Active Directory. Domain root có khả
năng tự dò tìm các tài nguyên chia sẻ trong mạng Domain để tạo liên kết đặt vào “Domain root”.
Với “Domain root”, các thông tin của DFS sẽ lưu trữ trên “Active Directory”.
Người dùng truy cập vào hệ tài nguyên qua hệ thống DFS dùng “Domain root” bằng đường dẫn:
DomainShareName
o Domain: tên của Domain
o ShareName: tên tài nguyên chia sẻ trên Root
Stand-Alone Root:
Là một giải pháp cho một máy chủ đơn hoạt động trong mạng WORKGROUP hoặc mạng
DOMAIN.
- 66 -
67. Quản trị và xây dụng môi trường mạng doanh nghiệp
Với “Stand-Alone Root”, người Quản trị phải tự tay nhập “các đường liên kết đến tài nguyên chia sẻ
trên mạng” vào Root. “Stand-Alone Root” không hổ trợ chế độ tự động dò tìm tài nguyên chia sẻ
như “Domain root”.
Người dùng truy cập vào hệ tài nguyên qua hệ thống DFS dùng “Stand-Alone Root” bằng đường
dẫn:
Server_NameShareName
o ServerName: tên của máy chủ chứa “DFS root”
o ShareName: tên tài nguyên chia sẻ trên Root
Thực thi DFS:
Giả định, tại Trung tâm Đào tạo CNT iSpace, mỗi bộ phận đều có máy chủ chứa tài nguyên chia sẻ:
Máy chủ PDT: chia sẻ các tài nguyên GIAO_TRINH, GIAO_AN…
Máy chủ GIAO_VU:: chia sẻ các tài nguyên, THONG_BAO, TKB, …
Máy chủ KY_THUAT:: chia sẻ các tài nguyên SOFTWARE, DRIVER,…
Đối với người dùng, để truy cập tài nguyên họ phải truy cập qua Computer Browser:
Truy cập tài nguyên trên máy chủ PDT: PDTGiao_Trinh ; PDTGiao_An ...
Truy cập tài nguyên trên GIAO_VU: GIAO_VUTKB ; GIAO_VUThong_Bao, …
Truy cập tài nguyên trên KY_THUAT: KY_THUATDriver KY_THUATSOFTWARE, …
Nếu sử dụng giải pháp DFS, nó sẽ mang lại sự thuận tiện cho người dùng trong cả Trung tâm.
Máy chủ với tên ISPACE là root của các tài nguyên chia sẻ từ nhiều máy chủ trong Trung Tâm,
Khi sử dụng DFS trên máy chủ ISPACE toàn bộ người dùng sẽ truy xuất các dữ liệu share trên mạng với
một địa chỉ duy nhất qua computer brower là: ISPACETai_Nguyen
Thiết lập DFS trên máy chủ ISPACE
Trên máy chủ ISPACE, vào ổ đĩa bạn muốn chứa dữ liệu root (Ví dụ là ổ E:), tạo một folder có tên là
TAI_NGUYEN
Hình 10.2: Tạo thư mục root tên TAI_NGUYEN trên máy chủ ISPACE
Mở “Control Panel” “Administrative Tools” chạy chương trình “Distributed File System”.
- 67 -
68. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình 10.3: Distributed File System
Tạo root mới trên máy chủ ISPACE bằng cách chuột phải vào Distributed File System sau đó chọn
New Root
Hình 10.4: Tạo New Root
Sau khi nhấn chọn “New root” hệ thống hiện ra một Wizard hổ trợ người Quản trị tạo Root mới,
chọn Next.
Tại cửa sổ “Root Type”, hệ thống sẽ yêu cầu lựa chọn một trong hai dạng root là: Domain Root
hoặc Stand-Alone Root. (Xem hình 4)
Nếu bạn chọn “Domain root”, Wizard sẽ yêu cầu người Quản trị xác định chính xác tên Domain
đang tồn tại trên mạng.
Nếu mạng của mạng chưa nâng cấp lên Domain, hãy chọn “Stand-Alone Root”,
- 68 -
69. Quản trị và xây dụng môi trường mạng doanh nghiệp
Hình 10.5: Lựa chọn dạng root cho DFS
Sau đó bạn nhấn Next, trong cửa sổ “Host Server”, hệ thống yêu cầu bạn gõ tên máy chủ chứa Root
của DFS. Ở phần minh hoạ này, tên Server là: ISPACE (tên máy chủ chủ “DFS root”)
Hình 10.6: Nhập tên Server của DFS root
Nhấn Next hệ thống sẽ ra một cửa sổ yêu cầu bạn cần đặt tên cho thư mục Root, và miêu tả thư mục
đó (Comment)
- 69 -