Các tác vụ quản lý Domain với Windows Server 2008 http://tuoitredonganh.vn/diendan/forum.php

1. Nhóm 03 – Lớp 10B4
Nguyễn Cao Tú
Bùi Chương Đức Công
Hoàng Gia Linh

2. Đặt vấn đề
Thử hình dung chúng ta có 5 chiếc máy tính, với mỗi máy tính
sẽ cần 1 User Account để truy cập sử dụng. Với mỗi máy ta cần
một tài khoản để nhân viên truy cập, và người quản trị cần phải
thao tác, phân quyền, cấu hình chính sách...của từng máy riêng
biệt. Hãy hình dung nếu chúng ta có 100 máy cần kết nối thì
điều gì sẽ xảy ra ?
Windows Server 2008 có tính năng Domain Controller (DC) để
khắc phục những khó khăn trên. Người quản trị chỉ cần thao
tác trên 1 máy server, các nhân viên sẽ là Client kết nối với
server để thao tác.

3. Tác vụ quản lý domain !
 Group Policy Object
 WMI Filter
 Domain Controller
 Stater GPOs

4. Group Policy Object
Group Policy (GP) trên Windows Server 2008 cho phép định nghĩa cấu hình trên các
nhóm user và computer của hệ thống mạng.Chúng ta có thể sử dụng GP để tạo ra các
chính sách và áp dụng cho các đối tượng trong Active Directory như site,domain và
OU
Những thiết lập trên GP được tổ chức lưu trữ trong các Group Policy Object (GPO)
.Để tương tác với một GPO , sử dụng công cụ Group Policy Management Console
(GPMC) .GPMC còn giúp bạn liên kết một GPO đến một trong các đối tượng
site,domain hoặc OU ,để từ đó áp dụng các chính sách lên các nhóm user và computer
thuộc về đối tượng đó.Lưu ý rằng một OU là đối tượng ở mức thấp nhất để bạn có thể
gán GPO.

5. Tạo Group Policy Object
 Để tạo một GPO độc lập vào
Start  Administrative Tools 
Group Policy Management
 Tại cửa sổ GMPC,nhấp chuột phải lên
mục Group Policy Objects và chọn
New
 Tại bảng Name GPO nhập tên GPO
và chọn OK.

 Tại bảng Group Policy Management
Editor ,chọn Polices cần cấu hình của
Computer hoặc user
 Click chuột đến mục Password Policy
trong Computer Configuration 
Polices  Windows Settings 
Security Settings  Account Policy
 Password Policy

6. Liên kết Group Policy Object
Sau khi tạo các GPO độc lập,bạn cần thực hiện thao tác liên kế GPO này vào các loại
đối tượng trên Active Directory là site,domain hay OU.
Vào Server Manager  Roles  Active
Directory Domain Services  Active
Directory Users and Computers.Nhấp chuột
phải vào tên domain và chọn New 
Organization Unit
Vào Start  Adminitrative Tools  Group
Policy Management.
Nhấp chuột phải vào OU và chọn Link an
Existing GPO
Trong bảng Select GPO chọn tên domain ở
mục Look in this domain.Đồng thời chọn
GPO tương ứng ở mục Group Policy objects

7. Tạo GPO liên kết
Thay vì tạo các GPO độc lập,sau đó tiến hành liên kết , có thể kết hợp hai công
việc này vào một để tạo ra một GPO liên kết (linked GPO).Tuy nhiên , chỉ nên tạo
trực tiếp GPO liên kết khi đã có kinh nghiệm triển khai GPO và am hiểu về hệ
thống của mình.
 Vào Start  Administrative Tools 
Group Policy Management
 Tại GPM ,nhấp chuột phải vào GPO và
chọn Create a GPO in this domain,and
Link it here

8. WMI Filter
WMI (Windows Management Instrumentation) Filter : Là các bộ lọc để cho phép
thực thi các đối tượng trong chính sách nhóm (GPO) đã được định nghĩa. Khi một
GPO được liên kết (linked) tới bộ lọc WMI để áp dụng cho một số máy tính.
Ví dụ: Nếu muốn triển khai office trên máy client (khách hàng) nhưng chỉ triển khai
với các máy có dung lượng ổ đĩa lớn hơn 15GB, hay máy đó phải sử dụng HĐH
Windows 7, không áp dụng cho các máy chạy Windows server 2003. Khi đó chúng
ta cần sử dụng tới WMI Filter.

9. Tạo một VMI Filter
Ví dụ: Tạo 1 Filter áp dụng cho GPO “GiamDoc” kiểm tra xem hệ điều hành máy
tính có phải là Windows XP Professional.
Tại Server Manager  Chọn Feature  Chọn Group Policy Manager  Click chọn
Domain (nhom03.net)  Chọn WMI Filter  Click chột phải chọn NEW.

10. Tạo một VMI Filter
Để có thể làm được phần này
chúng ta cần có kiến thức về
WMI, Microsoft's Win32_Classes
hay các ngôn ngữ truy vấn của
Windows (Windows Query
Language).
Click chọn nút Add tại hộp thoại
New WMI Filter  Tại ô Queery
nhập vào truy vấn cần thực hiện.
VD: Select * from
Win32_OperatingSystem where
Caption = " Microsoft Windows
XP Professional

11. Liên kết GPO vào WMI Filter.
Click đúp chuột trái vào
WMI Filter vừa tạo, hoặc
click vào WMI Filter chọn
WMI Filter vừa tạo được ở
trên (Check Windows XP)
Hộp thoại “Select GPO”
được mở ra, chọn các
GPO mà bạn muốn áp
dụng bộ lọc “Check
Windows XP”

12. Tạo và liên kết với WMI Filter

13. Sao lưu và khôi phục WMI Filter
WMI cho phép bạn Import (thêm
vào) và Export (Xuất ra) để có thể sử
dụng WMI được nhiều lần và ở nhiều
hệ thống khác nhau
Với việc Restore WMI FILTER thì
chỉ cần nhấn phải chuột vào WMI
Filter chọn Import và tìm tới file đã
Export trước đó.
.

14. Kiểm tra GPO đã được áp dụng
Cách dễ nhất là sử dụng Resultant Set of Policy Management Console. Các bạn vào
Run và gõ rsop.msc

15. Kiểm tra GPO đã được áp dụng
 Một popup hiện ra
thông báo rằng quá
trình tìm kiếm đang
thực hiện

16. Kiểm tra GPO đã được áp dụng
Và sau đó những gì
thiết lập trong GP
sẽ hiện ra

17. Kiểm tra GPO bằng cách dùng command
Vào Run gõ CMD rồi nhấn enter.
Gõ tiếp
" gpresult /Scope User /v "
rồi nhấn enter. Kéo xuống bạn sẽ
thấy Resultant Set Of Policies for
User section.
Nếu bạn muốn tìm tất cả thiết lập
thì bạn gõ " gpresult /Scope
Computer /v“

18. Starter GPOS
Starter GPOs là một thành phần trên
GMPC,cho phép bạn quản lý các
template dùng để tạo ra các GPO .
Để tạo một Starter GPO.Vào Start 
Administrative Tools  Group
Policy Management.
Tiếp theo,nhấp chuột phải lên Starter
GPO vừa tạo và chọn Edit
Tại bảng Group Policy Starter GPO
Editor cho phép bạn thiết lập cấu hình
Sau khi đã thiết lập xong,đóng GPM
Editor lại.

19. Domain Controller
Domain controller là một máy server được cài đặt window server và lưu trữ bản sao
của thư mục tên miền (Domain Directory). Một domain có thể có một hay nhiều
domain controller khác nhau. Domain controller có nhiệm vụ chứng thực cho user
và đảm bảo các chính sách bảo mật (Group Policy) được thực thi.
Domain controller có các chức năng chính sau:
 Mỗi domain controller lưu trữ các bản sao thông tin của Active Directory cho chính
domain đó.
 Domain Controller trong một Domain có khả năng tự động đồng bộ dữ liệu với các
domain controller khác trong cùng một domain.
 Domain Controller tự động đồng bộ hóa ngay lập tức các thay đổi quan trọng đối
với cả domain.
 Domain Controller quản lí các vấn đề trong việc tương tác với domain của users.

20. Ủy thác quyền điều khiển DC cho một user
 Tại desktop  chọn Start  Administrative Tools  Active Directory Domains and
Trusts  tại đây, click chuột phải chọn Manage  Tại Active Directory Users and
Computers  chọn nhom03.net  Domain Controller  Delegate Control…

21. Ủy thác quyền điều khiển DC cho một user
Delegate Control yêu cầu ta chọn một user hay group để ủy quyền

22. Thiết lập Read-Only Domain Controllers
 Read-Only Domain Controllers (RODCs) là một dạng mới của domain controller
trong Windows Server 2008. Cùng với RODC, các tổ chức có thể dễ dàng triển khai
một domain controller tại vị trí mà bảo mật thông thường không thể đảm bảo.
 Để thiết lập RODC ta phải thực hiện các bước sau:
Tại cửa sổ Active Directory Users and Computers  click chuột phải vào Domain
Controller  Pre-create Read-only Domain Controller account…
 Tại cửa sổ này ta đánh dấu vào Use advanced mode installation  Next

23. Thiết lập Read-Only Domain Controllers
Tiếp theo, trong hộp thoại Operating
System Compatibility hiện ra thông báo chi
tiết và những lưu ý khi thiết lập.
Tiếp theo, yêu cầu xác định thông
tin tài khoản để thực hiện cài đặt, ta
chọn chính tài khoản admin