triển khai policy cho hệ thống mạng doanh nghiệp – Tài liệu text

triển khai policy cho hệ thống mạng doanh nghiệp

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.44 MB, 71 trang )

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

TRƯỜNG CAO ĐẲNG NGHỀ CÔNG NGHIỆP HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
—-—-

THỰC TẬP TỐT NGHIỆP
ĐỀ TÀI:

TRIỂN KHAI POLICY CHO HỆ THỐNG
MẠNG DOANH NGHIỆP
Giáo viên hướng dẫn : Dương Ngọc Việt
Họ và tên sinh viên : Nguyễn Trọng Đại
Lê Thanh Hoa
Lớp
: CĐ10QTM2

Hà Nội – 2013

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

LỜI MỞ ĐẦU

Trong hệ thống mạng Workgroup, thông tin không được quản lý tập trung
dẫn đến rất nhiều bất cập trong vấn đề quản lý cũng như khả năng bảo toàn dữ
liệu. Vì vậy trong một công ty nếu sử dụng mạng này để chia sẻ thông tin sẽ
vô cùng nguy hiểm, sử dụng hệ thống mạng được quản lý theo mô hình
Domain là điều tất yếu. Một công ty vốn chứa rất nhiều thông tin và trong đó
có những thong tin mang tính chiến lược cho sự phát triển của công ty, vẫn đề
quản lý và bảo mật thông tin được đặt lên hang đầu. Để có thể tạo dựng một

hệ thống thông tin nội bộ, dễ dàng cho nhân viên sử dụng, thuận tiên cho công
việc quản lý cũng như việc trao đổi thông tin thì việc xây dựng hệ thống mạng
Domain triển khai Policy là rất cần thiết.
Dựa trên tình hình thực tế, em lựa chọn để tài ”Triển khai Policy cho hệ thống
mạng doanh nghiệp”. Theo em với đề tài này, có thể giúp cho các công ty
quản lý, doanh nghiệp sử dụng và bảo mật tốt thông tin. Giúp công ty vân
dụng tốt công nghệ và phù hợp với nguồn tài chính của một công ty vừa và
nhỏ đang trên đà phát triển.

SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 2

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

LỜI CẢM ƠN
Lời đầu tiên chúng em xin cảm ơn sự hướng dẫn tận tình của thầy Dương
Ngọc Việt, cùng toàn thể thầy cô trong Khoa Công Nghệ Thông Tin trường
Cao Đẳng Nghề Công Nghiệp Hà Nội.
Trong suốt thời gian thực tập ngoài sự cố gắng của bản thân chúng em đã
nhận được rất nhiều sự động viên, giúp đỡ, quan tâm từ phía thầy và các bạn
trong quá trình thực hiện đề tài tốt nghiệp này.
Cho đến hôm nay, khi bài báo cáo thực tập tốt nghiệp của chúng em đã
hoàn thành cũng chính là nhờ sự nhắc nhở, đôn đốc, chỉ bảo tận tình của thầy.
Mặc dù chúng em đã cố gắng hết sức để nghiên cứu và thự hiện đề tài
nhưng do thời gian có hạn không thể tránh khỏi những thiếu sót.Chúng em rất
mong các thầy cô chỉ bảo thêm để chúng em có thể hiểu rõ hơn về đề tài của
mình và cũng là để chúng em thêm hoàn thiện kiến thức.

Một lần nữa chúng em xin chân thành cảm ơn các thầy cô. Chúc các thầy
cô luôn luôn mạnh khỏe và thành công trong cuộc sống.

SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 3

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..

……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..
……………………………………………………………………………………………………………..

SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 4

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

MỤC LỤC
Chương 1: Mô hình mạng và các dịch vụ………………………………………….7
I. Mô hình mạng……………………………………………………………………………….7
1. Mô hình mạng ngang hàng (Peer to Peer)……………………………………..7
2. Mô hình mạng khách chủ (Client/Server)……………………………………..7
II. Các dịch vụ mạng ………………………………………………………………………..8
1. Dịch vụ DHCP…………………………………………………………………………..8
1.1. Khái niệm DHCP………………………………………………………………..8
1.2. Hoạt động của DHCP…………………………………………………………..9
2. Dịch vụ DNS…………………………………………………………………………..10
2.1. Lịch sử hình thành của DNS……………………………………………….10
2.2. Mục đích của hệ thống DNS……………………………………………….10
2.3. Hoạt động của DNS……………………………………………………………11
Chương 2: Active Directory, User và Group Account, Group Policy

Object……………………………………………………………………………………………12
I. Active Directory (AD)………………………………………………………………….12
1. Giới thiệu về AD……………………………………………………………………..12
2. Chức năng của AD…………………………………………………………………..12
II. User và Group Account……………………………………………………………….13
1. User Account…………………………………………………………………………..13
1.1. Khái niệm User …………………………………………………………………13
1.2. Tài khoản người dùng cục bộ………………………………………………13
1.3. Tài khoản người dùng miền………………………………………………..14
1.4. Yêu cầu về tài khoản người dùng…………………………………………14
2. Group Account………………………………………………………………………..14
2.1. Khái niệm Group……………………………………………………………….14
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 5

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

2.2. Nhóm phân phối (Distribution Group)………………………………….15
2.3. Nhóm bảo mật (Security Group)………………………………………….15
III. Group Policy Object (GPO)………………………………………………………..16
1. Giới thiệu về GPO……………………………………………………………………16
2. Các chức năng của GPO……………………………………………………………16
3. Các chính sách của GPO…………………………………………………………..17
3.1. Chính sách tài khoản người dùng…………………………………………17
3.1.1. Chính sách mật khẩu……………………………………………………18
3.1.2. Chính sách khóa tài khoản……………………………………………19
3.2. Chính sách cục bộ……………………………………………………………..20

3.2.1. Chính sách kiểm toán…………………………………………………..20
3.2.2. Quyền hệ thống của người dùng……………………………………21
3.2.3. Các lựa chọn bảo mật…………………………………………………..25
4. Các Template trong GPO………………………………………………………….25
Chương 3: Quản lý Users/Group với GPO………………………………………31
I. Thiết kế chính sách GPO cho một mạng LAN mô hình Client/Server…31
1. Giới thiệu mạng LAN mô hình Client / Server ……………………………31
2. Giới thiệu các nhu cầu quản lý cho mô hình………………………………..32
3. Một vài GPO cơ bản cho nhu cầu quản lý……………………………………32
II. Các bước triển khai……………………………………………………………………..32
1. Cài đặt AD – DNS……………………………………………………………………32
2. Cấu hình DNS…………………………………………………………………………39
3. Cài đặt và cấu hình DHCP………………………………………………………..43
3.1. Cài đặt DHCP……………………………………………………………………43
3.2. Cấu hình DHCP…………………………………………………………………46
4. Tổ chức các OU và User…………………………………………………………..50
5. Tạo logon script……………………………………………………………………….57
6. Kiểm toán các User………………………………………………………………….63
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 6

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

7. Deploy phần mềm cho tất cả các User………………………………………..66
Chương 4: Kết luận………………………………………………………………………..70

SV: Nguyễn Trọng Đại

Lê Thị Thanh Hoa

Page 7

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

Chương 1: Mô hình mạng và các dịch vụ mạng
I. Mô hình mạng
1. Mô hình mạng ngang hàng (Peer to Peer)
Mạng ngang hàng cung cấp việc kết nối cơ bản giữa các máy tính nhưng
không có bất kỳ một máy tính nào đóng vai trò phục vụ. Một máy tính trên
mạng có thể vừa là Client vừa là Server. Trong môi trường này người dùng
trên từng máy tính chịu trách nhiệm điều hành và chia sẻ tài nguyên máy tính
của mình. Mô hình này chỉ phù hợp với các tổ chức nhỏ, số người giới hạn
(thông thường nhỏ hơn 10 người) và không quan tâm đến vấn đề bảo mật.
Ưu điểm: Mô hình mạng ngang hàng đơn giản dễ cài đặt, tổ chức, quản trị
và chi phí thiết bị cho mô hình này thấp.
Nhược điểm: Không cho phép quản lý dữ liệu tập trung nên dữ liệu bị
phân tán, khả năng bảo mật thấp rất dễ bị xâm nhập. Các tài nguyên không
được sắp xếp nên rất khó định vị và tìm kiếm.

Hình 1.1 Mô hình mạng ngang hàng
2. Mô hình mạng khách chủ (Client/Server)
Trong mô hình mạng khách chủ có một hệ thống máy tính cung cấp tài
nguyên và dịch vụ cho cả hệ thống mạng sử dụng gọi là các máy chủ (Server).
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 8

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

Một hệ thống máy tình sử dụng các tài nguyên và dịch vụ này được gọi là các
máy khách (Client). Các Server thường có cấu hình mạnh (tốc độ xử lý
nhanh, kích thước lưu trữ lớn) hoặc là các máy tính chuyên dụng.
Ưu điểm: Do các dữ liệu được lưu trữ tập trung nên dễ dàng bảo mật,
backup và đồng bộ với nhau. Tài nguyên và dịch vụ tâp trung nên dễ dàng
chia sẻ quản lý và có thể phục vụ cho nhiều người dùng.
Nhược điểm: Các máy Server chuyên dụng rất đắt tiền, phải có nhà quản
trị cho hệ thống.

Hình 1.2 Mô hình mang khách chủ
II. Các dịch vụ mạng
1. Dịch vụ DHCP
1.1. Khái niệm DHCP
Một thiết bị trên mạng có dùng bộ giao thức TCP/IP đều phải có một địa
chỉ IP hợp lệ, phân biệt. Để hỗ trợ cho vấn đề theo dõi và cấp phát địa chỉ IP
được chính xác, tổ chức IETF (Internet Engineering Task Force) đã phát triển
ra giao thức DHCP (Dynamic Host Configuration Protocol).

SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 9

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

Để làm một DHCP Server, máy tính Windows Server phải đáp ứng các
điều kiện sau:
– Đã cài dịch vụ DHCP.
– Mỗi card mạng phải được cấu hình một địa chỉ IP tĩnh.
– Đã chuẩn bị sẵn danh sách các địa chỉ IP cấp phát cho máy Client.
Dịch vụ DHCP này cho phép chúng ta cấp động các thông số cấu hình
mạng cho các máy trạm (Client). Cơ chế sử dụng các thông số mạng được cấp
phát động có ưu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng như:
– Khắc phục được tình trạng trùng địa chỉ IP.
– Giúp tiết kiệm số lượng địa chỉ IP thật.
– Phù hợp với các máy thường xuyên di chuyển qua lại giữa các mạng.
– Kết hợp được với hệ thống mạng không dây (wireless), hệ thống
mạng công cộng như: nhà ga, sân bay, trường học…
1.2. Hoạt động của DHCP
Giao thức DHCP làm việc theo mô hình Client/Server . Theo đó, quá
trình tương tác giữa DHCP Client và Server diễn ra theo các bước sau:
– Khi máy Client khởi động, máy sẽ gửi broadcast gói tin
DHCPDISCOVER, yêu cầu một Server phục vụ mình. Gói tin này cũng chứa
địa chỉ MAC của máy Client.
– Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu còn
khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tin
DHCPOFFER, đề nghị cho thuê một địa chỉ IP trong thời gian nhất định, kèm
theo là một subnet mask và một địa chỉ Server. Server sẽ không cấp phát địa
chỉ IP vừa đề nghị cho những Client khác trong suốt quá trình thương thuyết.
– Máy Client sẽ lựa chọn một trong các lời đề nghị (DHCPOFFER) và
gửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghi đó. Điều này
cho phép các đề nghị không được chấp nhận sẽ được các Server rút lại và cấp
phát
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

cho

các
Page 10

Client

khác.

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

– Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin
DHCPPACK như một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó
và thời hạn sử dụng đó sẽ chính thức được áp dụng. Ngoài ra Server còn gửi
thêm thông tin các cấu hình bổ sung như: địa chỉ của gateway mặc định, địa
chỉ DNS Server, …
2. Dịch vụ DNS
2.1. Lịch sử hình thành của DNS
Vào những năm 1970 mạng ARPanet của bộ quốc phòng Mĩ rất nhỏ và dễ
dàng quản lý các liên kết vài trăm máy tính với nhau. Do đó mạng chỉ cần
một file HOSTS.TXT chứa tất cả các thông tin cần thiết về máy tính trong
mạng và giúp máy tính chuyển đổi được thông tin địa chỉ và tên mạng cho tất
cả các máy tinh trong mạng ARPanet một cách dễ dàng. Và đó là bước khởi
đầu của hệ thống tên miền gọi tắt là DNS (Domain name system). Nhưng khi
mạng máy tính ARPanet ngày càng phát triển thì việc quản lý thông tin dựa
vào một file HOSTS.TXT là rất khó khăn vì không khả thi. Vì thông tin sửa
đổi và bổ sung vào file HOSTS.TXT ngày càng nhiều và nhất là khi ARPanet
phát triển hệ thống máy tính dựa trên giao thức TCP/IP dẫn đến sự phát triển

tăng vọt của mạng máy tính:
– Lưu lượng và trao đổi trên mạng tăng lên.
– Tên miền trên mạng và địa chỉ ngày càng nhiều.
– Mật độ máy tính ngày càng cao do đó đảm bảo phát triển ngày càng
khó khăn.
2.2. Mục đích của hệ thống DNS
Máy tính khi kết nối vào mạng Internet thì được gán cho một địa chỉ IP
xác định. Địa chỉ IP của mỗi máy là duy nhất và có thể giúp máy tính xác
định được đường đi đến một máy tính khác một cách dễ dàng. Nhưng đối với
người thì sử dụng địa chỉ IP là rất khó nhớ. Do vậy hệ thống DNS ra đời
nhằm giúp cho con người có thể chuyển đổi từ địa chỉ IP khó nhớ mà máy
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 11

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

tính sử dụng sang một tên dễ nhớ cho người sử dụng và đồng thời nó giúp cho
hệ thống Internet dễ dàng sử dụng và ngày càng phát triển.
Hệ thống DNS sử dụng hệ thống cơ sở dữ liệu phân tán và phân cấp hình
cây do đó việc quản lý sẽ dễ dàng và cũng thuận tiện cho việc chuyển đổi từ
tên miền sang địa chỉ IP và ngược lại.
Tóm lại mục đích của hệ thống DNS là chuyển đổi tên miền sang địa chỉ
IP và ngược lại giúp người dùng dễ dàng sử dụng hệ thống máy tính.
2.3. Hoạt động của DNS
Khi DNS Client cần xác định cho một tên miền nó sẽ truy vấn DNS.
Truy vấn DNS và trả lời của hệ thống DNS cho Client sử dụng thử thục UDP
cổng 53, UDP hoạt động ở mức thứ 3 (network) trong mô hình OSI, UDP là

thủ tục phi kết nối (connectionless), tương tự như dịch vụ gửi thư bình thường
bạn cho thư vào thùng thư và hy vọng có thể chuyển đến nơi bạn cần gửi tới.
Mỗi message truy vấn gửi đi từ Client gồm 3 phần thông tin:
– Tên của miền truy vấn
– Xác định loại bản ghi Mail, web…
– Lớp tên miền
Có một số giải pháp để trả lời các truy vấn DNS. Client có thể tự trả lời
bằng cách sử dụng các thông tin đã được lưu trữ trong bộ nhớ cache của nó từ
những truy vấn trước đó. DNS Server có thể sử dụng các thông tin được lưu
trữ trong cache của nó để trả lời hoặc DNS Server có thể hỏi một DNS Server
khác lấy thông tin đó để trả lời lại Client.

Chương 2: Active Directory, User và Group Account,
Group Policy Object
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 12

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

I. Active Directory (AD)
1. Giới thiệu về Active Directory
Active Directory là một dịch vụ thư mục được tạo ra bởi hãng Microsoft và
được giới thiệu năm 1999. Nó được so sánh với LAN Manager trên Windows
NT 4.0.
Mặc dù Windows NT 4.0 là một hệ điều hành mạng khá tốt, nhưng hệ điều
hành này lại không thích hợp trong các hệ thống mạng tầm cỡ xí nghiệp. Sự
ra đời của Active Directory lại giải quyết được vấn đề này và cung cấp một

mức độ ứng dụng mới cho môi trường xí nghiệp.
2. Chức năng của Active Directorry
Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu
tương ứng và các tài khoản máy tính.
Cung cấp một Server đóng vai trò chứng thực(Authentication Server) hoặc
Server quản lý đăng nhập(Logon Server), Server này còn được gọi là máy
điều kiển vùng(Domain Controller).
Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục giúp các máy tính
trong mạng có thể dò tìm nhanh một tài nguyên nào đó trong các máy tính
khác trong vùng.
Cho phép chúng ta tạo ra các tài khoản người dùng với các mức độ quyền
khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu
hay Shutdown Server từ xa…
Cho phép chúng ta chia nhỏ miền của mình ra thành nhiều miền
con(subdomain) hay các đơn vị tổ chức OU(Organizational Unit). Sau đó
chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận
nhỏ.
II. User và Group Account
1. User Account
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 13

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

1.1. Khái niệm User Account
Tài khoản người dùng (User Account) là một đối tượng quan trọng, đại
diện cho người dùng trên mạng, chúng được phân biệt với nhau thông qua

chuỗi nhân dạng username. Chuỗi nhận dạng này giúp hệ thống phân biệt
giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập
vào mạng và truy cập các tài nguyên mạng mà mình được phép.
1.2. Tài khoản người dùng cục bộ
Tài khoản người dùng cục bộ (Local User Account) là tài khoản người
dùng được định nghĩa trên các máy cục bộ và chỉ được phép logon truy cập
trên các máy cục bộ, không thể dùng để truy cập bất kỳ máy nào khác trong
mạng.

Hình 2.3 Tài khoản người dùng cục bộ

1.3. Tài khoản người dùng miền
Tài khoản người dùng miền (Domain User Account) là tài khoản người
dùng được tạo ra trên Active Directory và được phép đăng nhập vào bất kỳ
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 14

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

máy trạm nào trong miền. Đồng thời với tài khoản này người dùng có thể truy
cập đến các tài nguyên trên mạng.

Hình 2.4 Tài khoản người dùng miền
1.4. Yêu cầu về tài khoản người dùng
Mỗi Username tối thiểu là 1 ký tự và tối đa là 256 ký tự.
Mỗi Username là một chuỗi duy nhất của mỗi người dùng có nghĩa là tất
cả tên người dùng và nhóm không thể trùng nhau.

Username không chứa các ký tự: \ / * [ ] : | < > + = ; , ? * @
2. Group Account
2.1. Khái niệm Group Account
Tài khoản nhóm (Group Account) là một đối tượng đại diện cho một
nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng.
Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên
các tài nguyên mạng như thư mục chia sẻ, máy in … Chú ý là tài khoản người
dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép
đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được chia làm hai loại:
nhóm bảo mật (Security Group) và nhóm phân phối (Distribution Group).

SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 15

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

2.2. Nhóm bảo mật (Security Group)
Nhóm bảo mật dùng để cấp phát các quyền hệ thống (rights) và quyền
truy cập (Permission). Giống như các tài khoản người dùng, các nhóm bảo
mật đều được chỉ định các SID. Có ba loại nhóm bảo mật chính là: Local
Group, Global Group và Universal Group.
– Local Group (nhóm cục bộ) là loại nhóm có trên các máy standalone server, member server, Win2k Pro hay Win XP. Các nhóm cuc bộ này
chỉ có chỉ có ý nghĩa và phạm vi hoạt động ngay trên máy chứa nó.
– Global Group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm
nằm trong Active Directory và được tạo trên các Domain Controller. Chúng
dùng để cấp phát các quyền hệ thống và quyền truy cập vượt qua ranh giới
của một miền. Một nhóm Global có thể đặt vào trong một nhóm Local của các

Server thành viên trong miền.
– Universal Group (nhóm phổ quát) là loại nhóm có chức năng giống
Global Group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp miền
và giữa các miền có quan hệ tin cậy với nhau. Loiaj nhóm này tiện lợi hơn hai
nhóm Local Group và Global Group vì chúng dễ dàng lồng các nhóm vào
nhau.
2.3. Nhóm phân phối (Distribution Group)
Nhóm phân phối chỉ dùng để gửi mail, Distribution Group không cho
phép bảo mật, có nghĩa là họ không được liệt kê trong danh sách kiểm soát
truy cập để xác định quyền tài nguyên và đối tượng.
III. Group Policy Object (GPO)
1. Giới thiệu về GPO
GPO(Group Policy Object) là tập các thiết lập cấu hình cho computer và
user. Xác định cách thức để các chương trình, tài nguyên mạng và hệ điều
hành làm việc với người dùng và máy tính trong một tổ chức.
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 16

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

GPO chỉ áp dụng được với những máy sử dụng hệ điều hành Windows
2000, Windows XP, Windows Vista, Windows 7, Windows 8, Windows
Server 2003, Windows Server 2008.
GPO có hiệu lực khi máy trạm được gia nhập AD(Active Drectory), lúc
máy trạm đăng nhập và vào những thời điểm ngẫu nhiên khác.
GPO tự động mất tác dụng với máy trạm khi chúng được xóa bỏ khỏi miền
AD.

Người quản trị mạng có được nhiều mức độ quản lý tinh vi hơn đối với vấn
đề ai được hay không được làm gì đó.
2. Các chức năng của GPO
Triển khai phần mềm ứng dụng: ta có thể gom tất cả các tập tin cần thiết
để cài đặt một phần mềm nào đó vào trong một gói, đặt nó lên Server rồi dùng
chính sách nhóm hướng một hay nhiều máy trạm đến gói phần mềm đó. Hệ
thống sẽ tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cần
sự can thiệp của người dùng.
Gán các quyền hệ thống cho người dùng: chức năng này tương tự với
chức năng của chính sách của hệ thống. Nó có thể cấp cho một hoặc một
nhóm người nào đó có quyền tắt mayshay backup dữ liệu…
Giới hạn nhưng ứng dụng mà người dùng được phép thi hành: chúng
ta có thể kiểm soát máy trạm của một người dùng nào đó và cho phép người
dùng này chỉ chạy được một vài ứng dụng nào đó như: Outlook Express,
Microsoft Word hay Internet Explorer…
Kiểm soát các thiết lập hệ thống: ta có thể dùng chính sách nhóm để qui
định hạn ngạch đĩa cho một người dùng nào đó. Người dùng này chỉ được
phép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định.
Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động, tắt máy: trong
hệ thống NT4 chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng từ
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 17

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

Windows 2000 trở lên thì đã hỗ trợ cả 4 kịch bản sự kiện này và có thể sử
dụng GPO để kiểm soát chúng.

Đơn giản hóa và hạn chế các chương trình: ta có thể dùng GPO để gỡ bỏ
nhiều tính năng Internet Explorer, Windows Explorer và những chương trình
khác.
Hạn chế tổng quát màn hình Desktop của người dùng: Ta có thể gỡi bỏ
hầu hết các đề mục trong menu Start của một người dùng nào đó, ngăn chặn
không cho người dùng cài thêm máy in hay sủa đổi thống số cấu hình máy
trạm…
3. Các chính sách của GPO
3.1. Chính sách tài khoản người dùng
Chính sách tài khoản người dung (Account Policies) được dùng để chỉ
định các thông số về tài khoản người dùng. Nó cho phép cấu hình các thông
số bảo mật máy tính cho mật khẩu, khóa tài khản và chứng thực (Kerberos
Policy) trong vùng. Nếu trên Server thành viên thi sẽ chỉ thấy hai mục
Password Policy và Account Lockout Policy, trên máy Window Server làm
Domain Controller thì sẽ thấy ba mục đó là Password Policy, Account
Lockout Policy, Kerberos Policy. Muốn cấu hình chính sách tài khoản người
dùng ta vào Start / Programs / Administrative Tools / Local Security Policy.

SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 18

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

Hình 2.5 Account Policy
3.1.1. Chính sách mật khẩu:
Chính sách mật khảu (Password Policy) nhằm đảm bảo an toàn cho
mật khảu của người dùng tránh các trường hợp đăng nhập bất hợp pháp vào

hệ thống. Chính sách này cho phép ta qui định đọ dài ngắn của mật khẩu, độ
phức tạp của mật khẩu …
Các lựa chọn trong chính sách mật khẩu:

SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 19

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

Hình 2.6 Các lựa chon trong Password Policy
3.1.2. Chính sách khóa tài khoản
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách
thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ.
Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa.
Các thông số cấu hình trong chính sách khóa tài khoản:

Hình 2.7 Các lựa chon trong Account Lockout Polic
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 20

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

3.2. Chính sách cục bộ
Chính sách cục bộ (Local Policies) cho phép thiết lập các chính sách

giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung.
Đồng thời dựa vào công cụ này ta có thể cấp quyền hệ thống các người dùng
và thiết lập các lựa chọn bảo mật.

Hình 2.8 Local Policies
3.2.1 Chính sách kiểm toán
Chính sách kiểm toán (Adit Policy) giúp ta có thể giám sát và ghi
nhận các sự kiện xảy ra trong hệ thống, trên đối tượng cũng như các người
dùng. Bạn có thể xem các ghi nhận này thông qua mục Event View trong mục
Security.
Các lựa chọn trong chính sách kiểm toán:
SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 21

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

Hình 2.9 Các lựa chọn trong Audit Policy
3.2.2. Quyền hệ thống của người dùng
Có hai cách để cấp quyền hệ thống cho người dùng là gia nhập tài
khoản người dùng vào các nhóm tạo sẵn để kế thừa quyền hoặc sử dụng công
cụ User Rights Assignment để gán từng quyền cho người dùng. Cách thứ nhất
chỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn thì có thể gán quyền cho
người dùng theo yêu cầu. Để cấp quyền hệ thống theo cách thứ hai thì bạn
phải dùng công cụ Local Security Policy chọn mục User Rights Assignment .
Một vài quyền hệ thống thông dụng cấp cho người dùng và nhóm:

SV: Nguyễn Trọng Đại

Lê Thị Thanh Hoa

Page 22

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

Hình 2.10 User Rights Assignment(1)

SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 23

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

Hình 2.11 User Rights Assignment(2)

SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 24

Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng

Hình 2.12 User Rights Assignment(3)

Hình 2.14 User Rights Assignment(4)

SV: Nguyễn Trọng Đại
Lê Thị Thanh Hoa

Page 25

hệ thống thông tin nội bộ, dễ dàng cho nhân viên sử dụng, thuận tiên cho côngviệc quản lý cũng như việc trao đổi thông tin thì việc xây dựng hệ thống mạngDomain triển khai Policy là rất cần thiết.Dựa trên tình hình thực tế, em lựa chọn để tài ”Triển khai Policy cho hệ thốngmạng doanh nghiệp”. Theo em với đề tài này, có thể giúp cho các công tyquản lý, doanh nghiệp sử dụng và bảo mật tốt thông tin. Giúp công ty vândụng tốt công nghệ và phù hợp với nguồn tài chính của một công ty vừa vànhỏ đang trên đà phát triển.SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 2Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngLỜI CẢM ƠNLời đầu tiên chúng em xin cảm ơn sự hướng dẫn tận tình của thầy DươngNgọc Việt, cùng toàn thể thầy cô trong Khoa Công Nghệ Thông Tin trườngCao Đẳng Nghề Công Nghiệp Hà Nội.Trong suốt thời gian thực tập ngoài sự cố gắng của bản thân chúng em đãnhận được rất nhiều sự động viên, giúp đỡ, quan tâm từ phía thầy và các bạntrong quá trình thực hiện đề tài tốt nghiệp này.Cho đến hôm nay, khi bài báo cáo thực tập tốt nghiệp của chúng em đãhoàn thành cũng chính là nhờ sự nhắc nhở, đôn đốc, chỉ bảo tận tình của thầy.Mặc dù chúng em đã cố gắng hết sức để nghiên cứu và thự hiện đề tàinhưng do thời gian có hạn không thể tránh khỏi những thiếu sót.Chúng em rấtmong các thầy cô chỉ bảo thêm để chúng em có thể hiểu rõ hơn về đề tài củamình và cũng là để chúng em thêm hoàn thiện kiến thức.Một lần nữa chúng em xin chân thành cảm ơn các thầy cô. Chúc các thầycô luôn luôn mạnh khỏe và thành công trong cuộc sống.SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 3Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngNHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………..SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 4Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngMỤC LỤCChương 1: Mô hình mạng và các dịch vụ………………………………………….7I. Mô hình mạng……………………………………………………………………………….71. Mô hình mạng ngang hàng (Peer to Peer)……………………………………..72. Mô hình mạng khách chủ (Client/Server)……………………………………..7II. Các dịch vụ mạng ………………………………………………………………………..81. Dịch vụ DHCP…………………………………………………………………………..81.1. Khái niệm DHCP………………………………………………………………..81.2. Hoạt động của DHCP…………………………………………………………..92. Dịch vụ DNS…………………………………………………………………………..102.1. Lịch sử hình thành của DNS……………………………………………….102.2. Mục đích của hệ thống DNS……………………………………………….102.3. Hoạt động của DNS……………………………………………………………11Chương 2: Active Directory, User và Group Account, Group PolicyObject……………………………………………………………………………………………12I. Active Directory (AD)………………………………………………………………….121. Giới thiệu về AD……………………………………………………………………..122. Chức năng của AD…………………………………………………………………..12II. User và Group Account……………………………………………………………….131. User Account…………………………………………………………………………..131.1. Khái niệm User …………………………………………………………………131.2. Tài khoản người dùng cục bộ………………………………………………131.3. Tài khoản người dùng miền………………………………………………..141.4. Yêu cầu về tài khoản người dùng…………………………………………142. Group Account………………………………………………………………………..142.1. Khái niệm Group……………………………………………………………….14SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 5Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng2.2. Nhóm phân phối (Distribution Group)………………………………….152.3. Nhóm bảo mật (Security Group)………………………………………….15III. Group Policy Object (GPO)………………………………………………………..161. Giới thiệu về GPO……………………………………………………………………162. Các chức năng của GPO……………………………………………………………163. Các chính sách của GPO…………………………………………………………..173.1. Chính sách tài khoản người dùng…………………………………………173.1.1. Chính sách mật khẩu……………………………………………………183.1.2. Chính sách khóa tài khoản……………………………………………193.2. Chính sách cục bộ……………………………………………………………..203.2.1. Chính sách kiểm toán…………………………………………………..203.2.2. Quyền hệ thống của người dùng……………………………………213.2.3. Các lựa chọn bảo mật…………………………………………………..254. Các Template trong GPO………………………………………………………….25Chương 3: Quản lý Users/Group với GPO………………………………………31I. Thiết kế chính sách GPO cho một mạng LAN mô hình Client/Server…311. Giới thiệu mạng LAN mô hình Client / Server ……………………………312. Giới thiệu các nhu cầu quản lý cho mô hình………………………………..323. Một vài GPO cơ bản cho nhu cầu quản lý……………………………………32II. Các bước triển khai……………………………………………………………………..321. Cài đặt AD – DNS……………………………………………………………………322. Cấu hình DNS…………………………………………………………………………393. Cài đặt và cấu hình DHCP………………………………………………………..433.1. Cài đặt DHCP……………………………………………………………………433.2. Cấu hình DHCP…………………………………………………………………464. Tổ chức các OU và User…………………………………………………………..505. Tạo logon script……………………………………………………………………….576. Kiểm toán các User………………………………………………………………….63SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 6Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng7. Deploy phần mềm cho tất cả các User………………………………………..66Chương 4: Kết luận………………………………………………………………………..70SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 7Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngChương 1: Mô hình mạng và các dịch vụ mạngI. Mô hình mạng1. Mô hình mạng ngang hàng (Peer to Peer)Mạng ngang hàng cung cấp việc kết nối cơ bản giữa các máy tính nhưngkhông có bất kỳ một máy tính nào đóng vai trò phục vụ. Một máy tính trênmạng có thể vừa là Client vừa là Server. Trong môi trường này người dùngtrên từng máy tính chịu trách nhiệm điều hành và chia sẻ tài nguyên máy tínhcủa mình. Mô hình này chỉ phù hợp với các tổ chức nhỏ, số người giới hạn(thông thường nhỏ hơn 10 người) và không quan tâm đến vấn đề bảo mật.Ưu điểm: Mô hình mạng ngang hàng đơn giản dễ cài đặt, tổ chức, quản trịvà chi phí thiết bị cho mô hình này thấp.Nhược điểm: Không cho phép quản lý dữ liệu tập trung nên dữ liệu bịphân tán, khả năng bảo mật thấp rất dễ bị xâm nhập. Các tài nguyên khôngđược sắp xếp nên rất khó định vị và tìm kiếm.Hình 1.1 Mô hình mạng ngang hàng2. Mô hình mạng khách chủ (Client/Server)Trong mô hình mạng khách chủ có một hệ thống máy tính cung cấp tàinguyên và dịch vụ cho cả hệ thống mạng sử dụng gọi là các máy chủ (Server).SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 8Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngMột hệ thống máy tình sử dụng các tài nguyên và dịch vụ này được gọi là cácmáy khách (Client). Các Server thường có cấu hình mạnh (tốc độ xử lýnhanh, kích thước lưu trữ lớn) hoặc là các máy tính chuyên dụng.Ưu điểm: Do các dữ liệu được lưu trữ tập trung nên dễ dàng bảo mật,backup và đồng bộ với nhau. Tài nguyên và dịch vụ tâp trung nên dễ dàngchia sẻ quản lý và có thể phục vụ cho nhiều người dùng.Nhược điểm: Các máy Server chuyên dụng rất đắt tiền, phải có nhà quảntrị cho hệ thống.Hình 1.2 Mô hình mang khách chủII. Các dịch vụ mạng1. Dịch vụ DHCP1.1. Khái niệm DHCPMột thiết bị trên mạng có dùng bộ giao thức TCP/IP đều phải có một địachỉ IP hợp lệ, phân biệt. Để hỗ trợ cho vấn đề theo dõi và cấp phát địa chỉ IPđược chính xác, tổ chức IETF (Internet Engineering Task Force) đã phát triểnra giao thức DHCP (Dynamic Host Configuration Protocol).SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 9Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngĐể làm một DHCP Server, máy tính Windows Server phải đáp ứng cácđiều kiện sau:- Đã cài dịch vụ DHCP.- Mỗi card mạng phải được cấu hình một địa chỉ IP tĩnh.- Đã chuẩn bị sẵn danh sách các địa chỉ IP cấp phát cho máy Client.Dịch vụ DHCP này cho phép chúng ta cấp động các thông số cấu hìnhmạng cho các máy trạm (Client). Cơ chế sử dụng các thông số mạng được cấpphát động có ưu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng như:- Khắc phục được tình trạng trùng địa chỉ IP.- Giúp tiết kiệm số lượng địa chỉ IP thật.- Phù hợp với các máy thường xuyên di chuyển qua lại giữa các mạng.- Kết hợp được với hệ thống mạng không dây (wireless), hệ thốngmạng công cộng như: nhà ga, sân bay, trường học…1.2. Hoạt động của DHCPGiao thức DHCP làm việc theo mô hình Client/Server . Theo đó, quátrình tương tác giữa DHCP Client và Server diễn ra theo các bước sau:- Khi máy Client khởi động, máy sẽ gửi broadcast gói tinDHCPDISCOVER, yêu cầu một Server phục vụ mình. Gói tin này cũng chứađịa chỉ MAC của máy Client.- Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu cònkhả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tinDHCPOFFER, đề nghị cho thuê một địa chỉ IP trong thời gian nhất định, kèmtheo là một subnet mask và một địa chỉ Server. Server sẽ không cấp phát địachỉ IP vừa đề nghị cho những Client khác trong suốt quá trình thương thuyết.- Máy Client sẽ lựa chọn một trong các lời đề nghị (DHCPOFFER) vàgửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghi đó. Điều nàycho phép các đề nghị không được chấp nhận sẽ được các Server rút lại và cấpphátSV: Nguyễn Trọng ĐạiLê Thị Thanh HoachocácPage 10Clientkhác.Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng- Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tinDHCPPACK như một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đóvà thời hạn sử dụng đó sẽ chính thức được áp dụng. Ngoài ra Server còn gửithêm thông tin các cấu hình bổ sung như: địa chỉ của gateway mặc định, địachỉ DNS Server, …2. Dịch vụ DNS2.1. Lịch sử hình thành của DNSVào những năm 1970 mạng ARPanet của bộ quốc phòng Mĩ rất nhỏ và dễdàng quản lý các liên kết vài trăm máy tính với nhau. Do đó mạng chỉ cầnmột file HOSTS.TXT chứa tất cả các thông tin cần thiết về máy tính trongmạng và giúp máy tính chuyển đổi được thông tin địa chỉ và tên mạng cho tấtcả các máy tinh trong mạng ARPanet một cách dễ dàng. Và đó là bước khởiđầu của hệ thống tên miền gọi tắt là DNS (Domain name system). Nhưng khimạng máy tính ARPanet ngày càng phát triển thì việc quản lý thông tin dựavào một file HOSTS.TXT là rất khó khăn vì không khả thi. Vì thông tin sửađổi và bổ sung vào file HOSTS.TXT ngày càng nhiều và nhất là khi ARPanetphát triển hệ thống máy tính dựa trên giao thức TCP/IP dẫn đến sự phát triểntăng vọt của mạng máy tính:- Lưu lượng và trao đổi trên mạng tăng lên.- Tên miền trên mạng và địa chỉ ngày càng nhiều.- Mật độ máy tính ngày càng cao do đó đảm bảo phát triển ngày càngkhó khăn.2.2. Mục đích của hệ thống DNSMáy tính khi kết nối vào mạng Internet thì được gán cho một địa chỉ IPxác định. Địa chỉ IP của mỗi máy là duy nhất và có thể giúp máy tính xácđịnh được đường đi đến một máy tính khác một cách dễ dàng. Nhưng đối vớingười thì sử dụng địa chỉ IP là rất khó nhớ. Do vậy hệ thống DNS ra đờinhằm giúp cho con người có thể chuyển đổi từ địa chỉ IP khó nhớ mà máySV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 11Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạngtính sử dụng sang một tên dễ nhớ cho người sử dụng và đồng thời nó giúp chohệ thống Internet dễ dàng sử dụng và ngày càng phát triển.Hệ thống DNS sử dụng hệ thống cơ sở dữ liệu phân tán và phân cấp hìnhcây do đó việc quản lý sẽ dễ dàng và cũng thuận tiện cho việc chuyển đổi từtên miền sang địa chỉ IP và ngược lại.Tóm lại mục đích của hệ thống DNS là chuyển đổi tên miền sang địa chỉIP và ngược lại giúp người dùng dễ dàng sử dụng hệ thống máy tính.2.3. Hoạt động của DNSKhi DNS Client cần xác định cho một tên miền nó sẽ truy vấn DNS.Truy vấn DNS và trả lời của hệ thống DNS cho Client sử dụng thử thục UDPcổng 53, UDP hoạt động ở mức thứ 3 (network) trong mô hình OSI, UDP làthủ tục phi kết nối (connectionless), tương tự như dịch vụ gửi thư bình thườngbạn cho thư vào thùng thư và hy vọng có thể chuyển đến nơi bạn cần gửi tới.Mỗi message truy vấn gửi đi từ Client gồm 3 phần thông tin:- Tên của miền truy vấn- Xác định loại bản ghi Mail, web…- Lớp tên miềnCó một số giải pháp để trả lời các truy vấn DNS. Client có thể tự trả lờibằng cách sử dụng các thông tin đã được lưu trữ trong bộ nhớ cache của nó từnhững truy vấn trước đó. DNS Server có thể sử dụng các thông tin được lưutrữ trong cache của nó để trả lời hoặc DNS Server có thể hỏi một DNS Serverkhác lấy thông tin đó để trả lời lại Client.Chương 2: Active Directory, User và Group Account,Group Policy ObjectSV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 12Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngI. Active Directory (AD)1. Giới thiệu về Active DirectoryActive Directory là một dịch vụ thư mục được tạo ra bởi hãng Microsoft vàđược giới thiệu năm 1999. Nó được so sánh với LAN Manager trên WindowsNT 4.0.Mặc dù Windows NT 4.0 là một hệ điều hành mạng khá tốt, nhưng hệ điềuhành này lại không thích hợp trong các hệ thống mạng tầm cỡ xí nghiệp. Sựra đời của Active Directory lại giải quyết được vấn đề này và cung cấp mộtmức độ ứng dụng mới cho môi trường xí nghiệp.2. Chức năng của Active DirectorryLưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩutương ứng và các tài khoản máy tính.Cung cấp một Server đóng vai trò chứng thực(Authentication Server) hoặcServer quản lý đăng nhập(Logon Server), Server này còn được gọi là máyđiều kiển vùng(Domain Controller).Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục giúp các máy tínhtrong mạng có thể dò tìm nhanh một tài nguyên nào đó trong các máy tínhkhác trong vùng.Cho phép chúng ta tạo ra các tài khoản người dùng với các mức độ quyềnkhác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệuhay Shutdown Server từ xa…Cho phép chúng ta chia nhỏ miền của mình ra thành nhiều miềncon(subdomain) hay các đơn vị tổ chức OU(Organizational Unit). Sau đóchúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phậnnhỏ.II. User và Group Account1. User AccountSV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 13Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng1.1. Khái niệm User AccountTài khoản người dùng (User Account) là một đối tượng quan trọng, đạidiện cho người dùng trên mạng, chúng được phân biệt với nhau thông quachuỗi nhân dạng username. Chuỗi nhận dạng này giúp hệ thống phân biệtgiữa người này và người khác trên mạng từ đó người dùng có thể đăng nhậpvào mạng và truy cập các tài nguyên mạng mà mình được phép.1.2. Tài khoản người dùng cục bộTài khoản người dùng cục bộ (Local User Account) là tài khoản ngườidùng được định nghĩa trên các máy cục bộ và chỉ được phép logon truy cậptrên các máy cục bộ, không thể dùng để truy cập bất kỳ máy nào khác trongmạng.Hình 2.3 Tài khoản người dùng cục bộ1.3. Tài khoản người dùng miềnTài khoản người dùng miền (Domain User Account) là tài khoản ngườidùng được tạo ra trên Active Directory và được phép đăng nhập vào bất kỳSV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 14Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạngmáy trạm nào trong miền. Đồng thời với tài khoản này người dùng có thể truycập đến các tài nguyên trên mạng.Hình 2.4 Tài khoản người dùng miền1.4. Yêu cầu về tài khoản người dùngMỗi Username tối thiểu là 1 ký tự và tối đa là 256 ký tự.Mỗi Username là một chuỗi duy nhất của mỗi người dùng có nghĩa là tấtcả tên người dùng và nhóm không thể trùng nhau.Username không chứa các ký tự: \ / * [ ] : | < > + = ; , ? * @2. Group Account2.1. Khái niệm Group AccountTài khoản nhóm (Group Account) là một đối tượng đại diện cho mộtnhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng.Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trêncác tài nguyên mạng như thư mục chia sẻ, máy in … Chú ý là tài khoản ngườidùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phépđăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được chia làm hai loại:nhóm bảo mật (Security Group) và nhóm phân phối (Distribution Group).SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 15Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng2.2. Nhóm bảo mật (Security Group)Nhóm bảo mật dùng để cấp phát các quyền hệ thống (rights) và quyềntruy cập (Permission). Giống như các tài khoản người dùng, các nhóm bảomật đều được chỉ định các SID. Có ba loại nhóm bảo mật chính là: LocalGroup, Global Group và Universal Group.- Local Group (nhóm cục bộ) là loại nhóm có trên các máy standalone server, member server, Win2k Pro hay Win XP. Các nhóm cuc bộ nàychỉ có chỉ có ý nghĩa và phạm vi hoạt động ngay trên máy chứa nó.- Global Group (nhóm toàn cục hay nhóm toàn mạng) là loại nhómnằm trong Active Directory và được tạo trên các Domain Controller. Chúngdùng để cấp phát các quyền hệ thống và quyền truy cập vượt qua ranh giớicủa một miền. Một nhóm Global có thể đặt vào trong một nhóm Local của cácServer thành viên trong miền.- Universal Group (nhóm phổ quát) là loại nhóm có chức năng giốngGlobal Group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp miềnvà giữa các miền có quan hệ tin cậy với nhau. Loiaj nhóm này tiện lợi hơn hainhóm Local Group và Global Group vì chúng dễ dàng lồng các nhóm vàonhau.2.3. Nhóm phân phối (Distribution Group)Nhóm phân phối chỉ dùng để gửi mail, Distribution Group không chophép bảo mật, có nghĩa là họ không được liệt kê trong danh sách kiểm soáttruy cập để xác định quyền tài nguyên và đối tượng.III. Group Policy Object (GPO)1. Giới thiệu về GPOGPO(Group Policy Object) là tập các thiết lập cấu hình cho computer vàuser. Xác định cách thức để các chương trình, tài nguyên mạng và hệ điềuhành làm việc với người dùng và máy tính trong một tổ chức.SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 16Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngGPO chỉ áp dụng được với những máy sử dụng hệ điều hành Windows2000, Windows XP, Windows Vista, Windows 7, Windows 8, WindowsServer 2003, Windows Server 2008.GPO có hiệu lực khi máy trạm được gia nhập AD(Active Drectory), lúcmáy trạm đăng nhập và vào những thời điểm ngẫu nhiên khác.GPO tự động mất tác dụng với máy trạm khi chúng được xóa bỏ khỏi miềnAD.Người quản trị mạng có được nhiều mức độ quản lý tinh vi hơn đối với vấnđề ai được hay không được làm gì đó.2. Các chức năng của GPOTriển khai phần mềm ứng dụng: ta có thể gom tất cả các tập tin cần thiếtđể cài đặt một phần mềm nào đó vào trong một gói, đặt nó lên Server rồi dùngchính sách nhóm hướng một hay nhiều máy trạm đến gói phần mềm đó. Hệthống sẽ tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cầnsự can thiệp của người dùng.Gán các quyền hệ thống cho người dùng: chức năng này tương tự vớichức năng của chính sách của hệ thống. Nó có thể cấp cho một hoặc mộtnhóm người nào đó có quyền tắt mayshay backup dữ liệu…Giới hạn nhưng ứng dụng mà người dùng được phép thi hành: chúngta có thể kiểm soát máy trạm của một người dùng nào đó và cho phép ngườidùng này chỉ chạy được một vài ứng dụng nào đó như: Outlook Express,Microsoft Word hay Internet Explorer…Kiểm soát các thiết lập hệ thống: ta có thể dùng chính sách nhóm để quiđịnh hạn ngạch đĩa cho một người dùng nào đó. Người dùng này chỉ đượcphép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định.Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động, tắt máy: tronghệ thống NT4 chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng từSV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 17Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngWindows 2000 trở lên thì đã hỗ trợ cả 4 kịch bản sự kiện này và có thể sửdụng GPO để kiểm soát chúng.Đơn giản hóa và hạn chế các chương trình: ta có thể dùng GPO để gỡ bỏnhiều tính năng Internet Explorer, Windows Explorer và những chương trìnhkhác.Hạn chế tổng quát màn hình Desktop của người dùng: Ta có thể gỡi bỏhầu hết các đề mục trong menu Start của một người dùng nào đó, ngăn chặnkhông cho người dùng cài thêm máy in hay sủa đổi thống số cấu hình máytrạm…3. Các chính sách của GPO3.1. Chính sách tài khoản người dùngChính sách tài khoản người dung (Account Policies) được dùng để chỉđịnh các thông số về tài khoản người dùng. Nó cho phép cấu hình các thôngsố bảo mật máy tính cho mật khẩu, khóa tài khản và chứng thực (KerberosPolicy) trong vùng. Nếu trên Server thành viên thi sẽ chỉ thấy hai mụcPassword Policy và Account Lockout Policy, trên máy Window Server làmDomain Controller thì sẽ thấy ba mục đó là Password Policy, AccountLockout Policy, Kerberos Policy. Muốn cấu hình chính sách tài khoản ngườidùng ta vào Start / Programs / Administrative Tools / Local Security Policy.SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 18Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngHình 2.5 Account Policy3.1.1. Chính sách mật khẩu:Chính sách mật khảu (Password Policy) nhằm đảm bảo an toàn chomật khảu của người dùng tránh các trường hợp đăng nhập bất hợp pháp vàohệ thống. Chính sách này cho phép ta qui định đọ dài ngắn của mật khẩu, độphức tạp của mật khẩu …Các lựa chọn trong chính sách mật khẩu:SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 19Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngHình 2.6 Các lựa chon trong Password Policy3.1.2. Chính sách khóa tài khoảnChính sách khóa tài khoản (Account Lockout Policy) quy định cáchthức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ.Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa.Các thông số cấu hình trong chính sách khóa tài khoản:Hình 2.7 Các lựa chon trong Account Lockout PolicSV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 20Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị Mạng3.2. Chính sách cục bộChính sách cục bộ (Local Policies) cho phép thiết lập các chính sáchgiám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung.Đồng thời dựa vào công cụ này ta có thể cấp quyền hệ thống các người dùngvà thiết lập các lựa chọn bảo mật.Hình 2.8 Local Policies3.2.1 Chính sách kiểm toánChính sách kiểm toán (Adit Policy) giúp ta có thể giám sát và ghinhận các sự kiện xảy ra trong hệ thống, trên đối tượng cũng như các ngườidùng. Bạn có thể xem các ghi nhận này thông qua mục Event View trong mụcSecurity.Các lựa chọn trong chính sách kiểm toán:SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 21Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngHình 2.9 Các lựa chọn trong Audit Policy3.2.2. Quyền hệ thống của người dùngCó hai cách để cấp quyền hệ thống cho người dùng là gia nhập tàikhoản người dùng vào các nhóm tạo sẵn để kế thừa quyền hoặc sử dụng côngcụ User Rights Assignment để gán từng quyền cho người dùng. Cách thứ nhấtchỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn thì có thể gán quyền chongười dùng theo yêu cầu. Để cấp quyền hệ thống theo cách thứ hai thì bạnphải dùng công cụ Local Security Policy chọn mục User Rights Assignment .Một vài quyền hệ thống thông dụng cấp cho người dùng và nhóm:SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 22Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngHình 2.10 User Rights Assignment(1)SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 23Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngHình 2.11 User Rights Assignment(2)SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 24Báo Cáo Thực Tập Tốt Nghiệp Ngành Quản Trị MạngHình 2.12 User Rights Assignment(3)Hình 2.14 User Rights Assignment(4)SV: Nguyễn Trọng ĐạiLê Thị Thanh HoaPage 25