intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

MÔI TRƯỜNG WINDOWS SERVER 2003 (phần 4)

Chia sẻ: Trần Lê Kim Yến | Ngày: | Loại File: PDF | Số trang:13

Thêm vào BST
Báo xấu
201
lượt xem 42
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

CHƯƠNG II: CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY I/ NTFS 1. Giới thiệu về NTFS Để tăng tốc độ truy xuất, tăng độ tin cậy và khả năng tương thích windows 2003 đưa ra sử dụng hệ thống file NTFS (New Technology File System) mới, đó là NTFS 5.0.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: MÔI TRƯỜNG WINDOWS SERVER 2003 (phần 4)

  1. Đề tài: Quản Trị Mạng Windows 2003 Server CHƯƠNG II: CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY I/ NTFS 1. Giới thiệu về NTFS Để tăng tốc độ truy xuất, tăng độ tin cậy và khả năng tương thích windows 2003 đưa ra sử dụng hệ thống file NTFS (New Technology File System) mới, đó là NTFS 5.0. Nó cho phép chúng ta những thuận lợi về Active Directory, các tính năng lưu trữ và việc quản lý các phần mềm được cung cấp bởi Windows 2003. Những file Server và những máy tính đời mới cần bổ xung thêm những tính năng an toàn trong việc điều khiển truy xuất dữ liệu, điều này đã được tích hợp trong NTFS 5.0. NTFS cũng chứa những tính năng như tính khôi phục (recoverability) và tính năng nén file (compression). Các folder hoặc các file lẻ trên partition NTFS có thể được nén. Những file đã nén trên partition NTFS có thể được truy xuất bởi một ứng dụng bất kì trên windows 2003 mà không phải giải nén. Với NTFS 5.0 tốc độ truy xuất file đã được cải tiến và số lần truy xuất đĩa(để tìm file) cũng được giảm bớt. Chúng ta có thể thiết lập các m ức độ quyền (permission) và truy cập (access) trên các file và folder cho các cấp độ người sử dụng khác nhau. Các cấp quyền giống nhau có thể áp dụng cho tất cả những sử dụng trên máy tính cục bộ cũng như người sử dụng truy xuất vào mạng. 2. Các Quyền Của NTFS NTFS có thể thiết lập quyền để chấp nhận (allowing) hay từ chối (denying) về truy xuất cho người sử dụng hay cho nhóm người sử dụng. Quyền được cung cấp để đảm bảo việc bảo mật những tài nguyên. Người quản trị mạng và người sử dụng có thể định rõ những kiểu truy xuất mà người sử dụng hoặc nhóm sử dụng có thể trên những file cụ thể. Quyền NTFS được cấp trên hai đối tượng chính là Folder và File. Quyền trên Folder NTFS o Read –(Đọc ): Sẽ cho người sử dụng thấy các file và các subfolder. Các thuộc tính folder, người sở hữu và quyền cũng có thể được nhìn thấy o Write – (Ghi ): Sẽ quyền người sử dụng tạo mới các file và các subfolder. Các thuộc tính có thể được thay đổi và những quyền sở hữu và quyền trên folder cũng có thể được nhìn thấy. o List Folder contens – (Hiển thị nội dung folder ): Sẽ cho phép người sử dụng thấy các subfolder và các tên file ở trong folder. Trang 1
  2. Đề tài: Quản Trị Mạng Windows 2003 Server o Read & Execute – (Đọc và thực hiện ): Sẽ cho phép người duyệt qua folder. Nó cũng hỗ trợ quyền read và list folder contens. o Modify – (Sửa đổi ): Sẽ cho phép người sử dụng xoá folder và cũng hỗ trợ quyền Write, read và Execute. o Full Control – (Toàn quyền điều khiển ): Sẽ cho phép người sử dụng thay đổi các quyền, quyền sở hữu, xoá file và subfolder và sẽ hộ trợ tất cả những quyền của folder NTFS. Khi định dạng partition với hệ thống file NTFS, Windows 2003 mặc định là quyền Full control đến nhóm Everyone. Vì thế để hạn chế việc truy xuất Administrator phải chủ động thay đổi quyền này. Quyền trên File NTFS o Read - Đọc: Sẽ cho phép người sử dụng thấy các file, đọc nội dung các file. Các thuộc tính file, quyền sở hữu chúng và những quyền cũng có thể được nhìn thấy. o Write – Ghi: Sẽ cho phép người sử dụng ghi đè những file. Những thuộc tính file có thể được thay đổi và quyền sở hữu file và những quyền có thể được nhìn thấy. o Read & Execute: (Sẽ cho phép người sử dụng duyệt qua file). Nó cũng hỗ trợ quyền read và hiển thị nội dung file. o Modify – (Sửa, thay đổi ): Sẽ cho phép người sử dụng xoá file và cũng hỗ trợ cho phép write, read, execute. o Full control – (toàn quyền điều khiển ): Sẽ cho phép người sử dụng thay đổi những quyền, giữ quyền sở hữu, và sẽ hỗ trợ tất cả những quyền file NTFS. a/ Gán quyền ở NTFS Trang 2
  3. Đề tài: Quản Trị Mạng Windows 2003 Server Chúng ta có thể gán quyền NTFS từ hộp thoại properties, hộp sẽ xuất hiện khi chúng ta nhấp chuột phải đến file hoặc folder chúng ta có thể thay đổi những quyền đối với người sử dụng hoặc nhóm bằng cách chọn người sử dụng hoặc nhóm đó. Nhấp chuột phải vào file hoặc folder và chọn properties. Trong cửa sổ properties chọn tab Security mục này có các thành phần như sau: HÌNH User and Group Name: Nó cho phép chúng ta chọn tài khoản của người sử dụng hoặc nhóm mà chúng muốn thay đổi những quyền. Permission: o Nó sẽ chấp nhận cho phép khi hộp thoại allow đã được chọn. o Nó sẽ không cho phép khi hộp thoại deny đã được chọn Add: Nó sẽ mở hộp thoại Select User, Computer hoặc Group được trình bày ở trên, cái mà được sử dụng để add tài khoản người sử dụng hoặc nhóm vào danh sách name. Remove: Nó sẽ xoá nhóm hoặc tài khoản người sử dụng theo cùng với những quyền đối với nhóm hoặc tài khoản người sử dụng.  Advanced: Các thiết lập quyền nâng cao như bỏ thừa kế, thêm quyền, bớt quyền thẩm định quyền và cướp quyền. b/ Những quyền truy xuất đặc biệt trong NTFS Trong một số trường hợp chúng ta có thể cần đến một số quyền truy xuất đặc biêt, mà điều đó không thể có đối với quyền chuẩn của NTFS. Vì thế, chúng ta được cung cấp bởi mục NTFS special access permission. Những quyền truy xuất đặc biệt này sẽ cung cấp cho chúng ta với mức độ cao nhất trong điều khiển khi truy xuất đến những nguồn tài nguyên. Khi chúng ta kết hợp 13 quyền truy xuất đặc biệt thì chúng ta sẽ có những quyền cho phép chuẩn. Hai quyền cho phép đặc biệt trong quyền quản lý truy xuất file hoặc folder đã được sử dụng là: Change permission và Take Ownership. Trang 3
  4. Đề tài: Quản Trị Mạng Windows 2003 Server Change Permission: Chúng ta có thể được gán cho những người quản trị và người sử dụng khác để họ có thể thay đổi những quyền một cách thuận lợi trên những file hoặc folder. Người quản trị hoặc người sử dụng được gán quyền này chỉ có thể được cấp những quyền nhưng không thể xoá hoặc ghi lên file hoặc folder. Take Ownership: Việc chuyển quyền sở hữu của những folder hoặc file từ một nhóm đến một nhóm khác là có thể. Trong cùng thời gian đó chúng ta có thể cho một ai đó được quyền này. Nếu chúng ta là một người quản trị thì chúng ta cũng có thể được quyền sở hữu đối với những file hoặc folder. Có một số nguyên tắc, mà chúng ta phải theo trong khi được gán quyền Ownership đến file hoặc folder: Người chủ hiện tại hoặc ngươi sử dụng có quyền Full Control có thể cung cấp Full control hoặc Take Ownership đến nhóm hoặc người sử dụng khác. Quyền sở hữu của một file hoặc folder có thể được thực hiện bởi một thành viên của nhóm quản trị. Những quyền đã được cung cấp đến thành viên của nhóm quản trị, một người quản trị thực hiện trên những quyền sở hữu. Do đó người quản trị có thể thay đổi một số quyền của file hoặc folder và cũng có thể cấp quyền Take Ownership đến nhóm hoặc người sử dụng khác. Để cung cấp những quyền sở hữu đặc biệt, chúng ta làm theo các bước dưới đây: Nhấn nút Advanced và từ tab sercurity trong hộp thoại properties. Từ trang Access control setting for program files nhấp chọn tab permission Để áp dụng những quyền sở hữu đặc biệt của NTFS chúng ta chọn nhóm hoặc tài khoản người sử dụng và nhấp chọn nút View/Edit. Những thiết lập của chúng ta trong hộp thoại Permission entry được thể hiện dưới đây: Trang 4
  5. Đề tài: Quản Trị Mạng Windows 2003 Server Hình Name: Mục này xác định tên nhóm hoặc tài khoản người sử dụng. Chúng ta có thể chọn những nhóm khác nhau hoặc tài khoản người sử dụng bằng cách nhấp vào mục change Apply onto: Nó sẽ xác định cấp bậc của folder và xác định cấp bậc quyền trong NTFS. Permission: Nó cung cấp những quyền truy xuất đặc biệt. Chọn mục allow để cung cấp quyền change hoặc take ownership. Apply these permission to objects and/ or containers within this container only: Nó sẽ xác định nếu những file và subfolder nằm trong folder cha nó sẽ thừa kế những quyền truy xuất đặc biệt. Để ngăn cản quyền thừa kế ta xoá hộp thoại đã chọn ở trên. c/ Quyền cho phép đối với share folder. Việc share folder có thể được truy xuất bởi những ngưởi sử dụng trên mạng đã được cung cấp cho người sử dụng có những quyền để làm được điều như vậy. Folder có thể chứa nhiều ứng dụng, dữ liệu cá nhân, hoặc một loại dữ liệu nào đó. Vì thế có nhiều loại dữ liệu khác nhau yêu cầu những loại quyền khác nhau. Ở đây có một số tính năng chung mà chúng có thể áp dụng chung cho share folder. Share folder cung cấp việc bảo mật thấp hơn những quyền của NTFS như share folder được ứng dụng những quyền đến toàn bộ folder và không áp dụng cho những file hoặc subfolder riêng lẻ trong folder đó. Những quyền của share folder không áp dụng cho người sử dụng truy xuất đến file từ máy tính nơi file đó được lưu trữ. Full control là quyền mặc định, nó được gán cho nhóm Everyone. Những quyền khác nhau được gán cho người sử dụng trong việc share folder: Trang 5
  6. Đề tài: Quản Trị Mạng Windows 2003 Server Hình Read: Quyền này cho phép người sử dụng xem những thuộc tính, dữ liệu file, tên file và tên folder. Nó cũng cho phép người sử dụng thay đổi những folder nằm trong folder đã share. Change: Quyền này cấp cho người sử dụng để tạo những folder, bổ xung những file vào những folder, bổ xung hoặc thay đổi dữ liệu trong file. Nó cũng cung cấp việc thay đổi những thuộc tính file, xoá file hoặc folder và thực hiện tất cả những hành động cho phép bởi quyền read. Full control: Quyền này cung cấp cho người sử dụng để thay đổi những quyền của file, cung cấp tất cả quyền sở hữu về file và thực hiện tất cả những hành động đã được hỗ trợ bởi quyền change. Nhóm everyone được gán quyền này. II/ Dựng Domain Vào cửa sổ run chúng ta đánh lệnh dcpromo. Xuất hiện cửa sổ cài đặt wizard Trang 6
  7. Đề tài: Quản Trị Mạng Windows 2003 Server Ấn next để tiếp tục cài đặt Thông báo máy chủ Domain controller đang là phiên bản Windows Server 2003 và những hệ điều hành nào không thể gia nhập miền của hệ điều hành windows 2003. Ở đây có hai hệ điều hành không thể gia nhập Trang 7
  8. Đề tài: Quản Trị Mạng Windows 2003 Server miền của Windows server 2003 là Windows 95 và Windows NT 4.0 Sp 3 trở về trước. Ấn next để tiếp tục. * Chọn kiểu domain controller, ở đây chúng ta có hai lựa chọn: - Lựa chọn thứ nhất là máy chủ miền domain controller của chúng ta là máy chủ đầu tiên và domain chúng ta lên là domain đầu tiên. - Lựa chọn thứ hai là chúng ta add vào máy chủ miền một domain đã có sẵn. Chúng ta chọn mục đầu tiên vì ở đây máy chủ của chúng ta là máy chủ đầu tiên và domain cũng là domain đầu tiên. Ấn next để tiếp tục. Trang 8
  9. Đề tài: Quản Trị Mạng Windows 2003 Server Tiếp theo đến cửa sổ tạo mới domain, ở đây chúng ta có 3 lựa chọn: - Thứ nhất là tạo domain trong một rừng mới - Thứ hai là tạo một domain con trong domain tree hiện có - Thứ ba là tạo một cây domain trong rừng hiện tại đã có Chúng ta chọn mục đầu tiên vì tạo Domain trong một rừng. Ấn next để tiếp tục. Hình Tiếp theo đến bước đánh tên DNS đầy đủ cho domain muốn tạo, tên domain có thể là tên của tổ chức, tên công ty hoặc cá nhân và phải tuân theo quy tắc đánh tên domain tức là không dài quá 255 kí tự và phải có ít nhất một dấu chấm (.). Ở đây em đặt tên là công ty TNHH máy tính CMS. Next đến bước tiếp theo. Hình Tiếp theo là bước đặt tên cho NetBIOS name, tên domain theo chuẩn NetBIOS để tương thích với các hệ điều hành Windows NT. Mặc định windows server 2003 lấy tên của domain chính là tên của NetBIOS name, NetBIOS name có nhiệm vụ phân giải tên miền trên Domain controller. Chúng ta có thể thay đổi tên này nhưng chú ý khi máy trạm join vào máy Trang 9
  10. Đề tài: Quản Trị Mạng Windows 2003 Server chủ thì phải join theo tên của NetBIOS name chứ không join theo tên miền nữa. Ở đây em để theo mặc định. Ấn next để tiếp tục. Hình Tiếp theo là đến bước lưu trữ database và logfile của Active Directory trên đĩa cứng. Đây sẽ là nơi lưu trữ toàn bộ cơ sở dữ liệu của hệ thống gồm toàn bộ thông tin về tài nguyên hệ thống, user acconut…. Ở chế độ workgroup khi chưa lên domain thì mọi thông tin người dùng được lưu trong file SAM( Sercurity Account Management) nhưng khi đã lên domain thì mọi thông tin đó được lưu trong thư mục NTDS và user account được lưu trong file NTDS.dit. Chúng ta có thể chọn nơi khác để lưu trữ thư mục NTDS nhưng theo khuyến cáo thì nên để mặc định của windows 2003. Hình Tiếp theo đến bước chỉ định lưu thư mục SYSVOL, thư mục SYSVOL phải được lưu trên phân vùng NTFS v 5.0 trở lên. Hình Bước tiếp theo là kiểm tra hoặc cài đặt DNS. DNS là dịch vụ phân giải tên kết hợp với AD để phân giải các tên máy tính trong miền hoặc phân giải các miền khác từ bên ngoài. Ở đây chúng ta có 3 lựa chọn: Thứ nhất là DNS đã có sẵn và có vấn đề hoặc bị lỗi, và lựa chọn mục này để hệ thống kiểm tra lại DNS. Thứ hai là cài đặt và thiết lập DNS server trên máy tính, và đặt máy tính này sử dụng DNS như là một DNS server. Thứ ba là kết nối DNS có vấn đề và muốn thiết đặt DNS bằng tay (nâng cao). Theo khuyến cáo của Microsoft chúng ta nên tích hợp việc cài đặt DNS trong khi cài đặt AD vì như thế thì mới tích hợp được hết các chức năng của DNS và DNS không bị lỗi. Ấn next để tiếp tục. Hình Bước tiếp theo là mục lựa chọn quyền đăng nhập vào hệ thống. Lựa chọn thứ nhất là cho phép cả những hệ điều hành trước windows 2000 đăng nhập, lựa chọn thứ hai là chỉ cho phép những hệ điều hành sau windows 2000 đăng nhập vào hệ thống. Ở đây em dùng hệ điều hành cho máy trạm là Windows XP nên em chọn phần thứ hai. Ấn next để tiếp tục. Trang 10
  11. Đề tài: Quản Trị Mạng Windows 2003 Server Hình Tiếp theo là mục đặt password cho tài khoản Administrator để phục vụ cho việc backup AD hoặc dùng để khởi động Active Directory ở chế độ Directory Services Sestore Mode. Chúng ta đặt password cho tài khoản và ấn next để tiếp tục. Hình Tiếp theo là quá trình tổng hợp các thông tin mà chúng ta đã cung cấp về AD. Ấn next để hệ thống bắt đầu quá trình lên domain. Hình Quá trình hệ thống bắt đâu lên domain Hình Hệ thống yêu cầu cho đĩa CD Windows 2003 vào và chọn đến thư mục \I386. Chúng ta cho đĩa vào và chọn đến thư mục I386 trên đĩa. Hình Ấn finish để kết thúc quá trình lên domain. Sau khi ấn finish hệ thống yêu cầu khởi động lại. Chúng ta ấn restart now khởi động lại hệ thống để hoàn thành việc dựng Domain. c/ Group d/ User e/ Printer f/ Profile Tab Profile cho phép bạn khai báo đường dẫn đến Profile của tài khoản người dùng hiện tại, khai báo tập tin logon script được tự động thi hành khi người dùng đăng nhập hay khai báo home folder. Chú ý các tùy chọn trong Tab Profile này chủ yếu phục vụ cho các máy trạm trước Windows 2000, còn đối với các máy trạm từ Win2K trở về sau như: Win2K Pro, Trang 11
  12. Đề tài: Quản Trị Mạng Windows 2003 Server WinXP, Windows Server 2003 thì chúng ta có thể cấu hình các lựa chọn này trong Group Policy. Hình Trước tiên chúng ta hãy tìm hiểu khái niệm Profile. User Profiles là một thư mục chứa các thông tin về môi trường của Windows Server 2003 cho từng người dùng mạng. Profile chứa các qui định về màn hình Desktop, nội dung của menu Start, kiểu cách phối màu sắc, vị trí sắp xếp các icon, biểu tượng chuột… Mặc định khi người dùng đăng nhập vào mạng, một profile sẽ được mở cho người dùng đó. Nếu là lần đăng nhập lần đầu tiên thì họ sẽ nhận được một profile chuẩn. Một thư mục có tên giống như tên của người dùng đăng nhập sẽ được tạo trong thư mục Documents and Settings. Thư mục profile người dùng được tạo chứa một tập tin ntuser.dat, tập tin này được xem như là một thư mục con chứa các liên kết thư mục đến các biểu tượng nền của người dùng. Trong Windows Server 2003 có ba loại Profile: Local Profile: là profile của người dùng được lưu trên máy cục bộ và họ tự cấu hình trên profile đó. Roaming Profile: là loại Profile được chứa trên mạng và người quản trị mạng thêm thông tin đường dẫn user profile vào trong thông tin tài khoản người dùng, để tự động duy trì một bản sao của tài khoản người dùng trên mạng. Mandatory Profile: người quản trị mạng thêm thông tin đường dẫn user profile vào trong thông tin tài khoản người dùng, sau đó chép một profile đã cấu hình sẵn vào đường dẫn đó. Lúc đó các người dùng dùng chung profile này và không được quyền thay đổi profile đó. Kịch bản đăng nhập (logon script hay login script) là những tập tin chương trình được thi hành mỗi khi người dùng đăng nhập vào hệ thống, với chức năng là cấu hình môi trường làm việc của người dùng và phân phát cho họ những tài nguyên mạng như ổ đĩa, máy in (được ánh xa từ Server). Bạn có thể dùng nhiều ngôn ngữ kịch bản để tạo ra logon script như: lệnh shell của DOS/NT/Windows, Windows Scripting Host (WSH), VBScript, Jscript… g/ Policy Trang 12
  13. Đề tài: Quản Trị Mạng Windows 2003 Server h/ Security Trang 13
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2