Buôn Ma Thuột - 10/2014 SỞ GIÁO DỤC ĐÀO TẠO TRƯỜNG TRUNG CẤP TÂY NGUYÊN ĐỒ ÁN CHUYÊN ĐỀ MẠNG Giảng viên : Nguyễn Trần Hồng Quân Sinh viên : Trịnh Văn Long Lớp : CNTT 7A NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN    2 Đăk Lăk, ngày 23 tháng 10 năm 2014 Giáo viên Nguyễn Trần Hồng Quân Table of Contents Chương 1. CƠ SỞ LÍ THUYẾT 6 I. Mạng máy tính 6 1.1. Mô hình Workgroup 6 1.2. Mô hình Domain 7 1.3. Active Directory 7 Kiến trúc của Active Directory 9 1.4. DNS 12 1.4.1. Giới thiệu DNS 12 1.4.2. Đặt điểm của DNS trong Windows 2003 14 1.4.3. Cơ chế phân giải tên. 15 1.5. Tổng quát về DHCP 16 1.5.1. Giới thiệu dich vụ DHCP 16 1.5.2. Hoạt động của giao thức DHCP 17 1.6. Tài khoản người dùng 17 1.6.1. Tài khoản người dùng (user account) 17 1.6.2. Tài khoản người dùng cục bộ (local user account) 17 1.6.3. Tài khoản người dùng miền (Domain user account) 18 1.6.4. Tài khoản nhóm 18 1.6.5. Quản lí tài khoản người dùng và nhóm trên ACTIVE DIRECTORY 19 1.7. Chính sách hệ thống 24 1.7.1. Chính sách tài khoản người dùng 24 1.7.2. Chính sách mật khẩu 24 1.7.3. Chính sách khóa tài khoản 25 1.8. Chính sách cục bộ 25 1.8.1. Chính sách kiểm toán (Audit Policies) 25 1.8.2. Các lựa chọn trong chính sách kiểm toán: 26 3 1.8.3. Quyền hệ thống của người dùng (User Rights Assignment) 27 1.8.4. Các lựa chọn bảo mật (Security Options) 28 1.9. Chính sách nhóm 29 1.9.1. So sánh giữa System Policy và Group Policy. 29 1.9.2. Chức năng của Group Policy 29 1.9.3. Chia sẻ thư mục dùng chung 30 1.9.4. Các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm 31 1.10. Quyền truy cập NTFS 33 1.10.1. Các công cụ phân quyền NTFS 34 1.10.2. Kế thừa và thay thế quyền của đối tượng con 35 Chương 2. NỘI DUNG ĐỒ ÁN 36 A. ĐỀ 36 B. THỰC HIỆN 38 1. Đặt địa chỉ IP và đặt tên 38 1.1. Cài đặt DNS trên Server 38 1.2. Cài đặt dịch vụ DHCP 49 1.3. Lên Domain controler 54 1.4. Join máy client vào hệ thống Domain 58 1.5. Câu 1 : Tạo các object và đưa các user vào nhóm tương ứng 61 1.6. Câu 2 : Roaming Profile cho các user “Sếp”. Thư mục chứa roaming profile tên là “Profiles” 62 1.7. Câu 3 : Tạo cây thư mục và phân quyền 64 1.8. Câu 4 : Deploy phần mềm Microsoft Office cho các user trong OU KeToan 74 1.9. Câu 5 : Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử dụng (Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password 77 1.10. Câu 6 : Delegate Control cho phép kt1 được quản lý user account trong OU KeToan 82 1.11. Câu 7 : Delegate Control cho phép ns1 được quản lý user account và group trong OU NhanSu 83 4 1.12. Câu 8: Map Network Driver Folder Data bằng Script cho các user thuộc OU Kế toan 84 1.13. Câu 9: Giám sát quá trình logon không thành công của các user 86 1.14. Câu 10: Giám sát quá trình truy cập vào Folder DataKeToan của các user trong OU KeToan 88 TÀI LIỆU THAM KHẢO 92 5 Chương 1. CƠ SỞ LÍ THUYẾT I. Mạng máy tính Mạng máy tính hay hệ thống mạng (tiếng Anh: computer network hay network system) là sự kết hợp các máy tính lại với nhau thông qua các thiết bị nối kết mạng và phương tiện truyền thông (giao thức mạng, môi trường truyền dẫn) theo một cấu trúc nào đó và các máy tính này trao đổi thông tin qua lại với nhau. Lợi ích của mạng máy tính • Nhiều người có thể dùng chung một phần mềm tiện ích. • Một nhóm người cùng thực hiện một đề án nếu nối mạng họ sẽ dùng chung dữ liệu của đề án, dùng chung tập tin chính (master file) của đề án, họ trao đổi thông tin với nhau dễ dàng. • Dữ liệu được quản lý tập trung nên bảo mật an toàn, trao đổi giữa những người sử dụng thuận lợi, nhanh chóng, backup dữ liệu tốt hơn. • Sử dụng chung các thiết bị máy in, máy scaner, đĩa cứng và các thiết bị khác. • Người sử dụng và trao đổi thông tin với nhau dễ dàng thông qua dịch vụ thư điện tử (Email), dịch vụ Chat, dịch vụ truyền file (FTP), dịch vụ Web, • Xóa bỏ rào cản về khoảng cách địa lý giữa các máy tính trong hệ thống mạng muốn chia sẻ và trao đổi dữ liệu với nhau. • Một số người sử dụng không cần phải trang bị máy tính đắt tiền (chi phí thấp mà chức năng lại mạnh). • Cho phép người lập trình ở một trung tâm máy tính này có thể sử dụng các chương trình tiện ích, vùng nhớ của một trung tâm máy tính khác đang rỗi để làm tăng hiệu quả kinh tế của hệ thống. • An toàn cho dữ liệu và phần mềm vì nó quản lý quyền truy cập của các tài khoản người dùng (phụ thuộc vào các chuyên gia quản trị mạng) Các mô hình mạng trong môi trường MICROSOFT 1.1. Mô hình Workgroup Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau. Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên cục bộ của mình. Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng. Mô hình này chỉ phù hợp với các mạng nhỏ, dưới mười máy tính và yêu cầu bảo mật không cao. Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng lưu trữ thông tin người dùng trong một tập tin SAM (Security Accounts Manager) ngay chính trên máy tính cục bộ. Thông tin này bao gồm: username (tên đăng nhập), 6 fullname, password, description… Tất nhiên tập tin SAM này được mã hóa nhằm tránh người dùng khác ăn cấp mật khẩu để tấn công vào máy tính. Do thông tin người dùng được lưu trữ cục bộ trên các máy trạm nên việc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tự chứng thực. 1.2. Mô hình Domain Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế client-server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng. Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền. Mô hình này được áp dụng cho các công ty vừa và lớn. Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT. Tập tin cơ sở dữ liệu này được xây dựng theo công nghệ tương tự như phần mềm Access của Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũ chỉ lưu trữ được khoảng 5 nghìn tài khoản người dùng. Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực. 1.3. Active Directory Active Directory là một dịch vụ quản lý thư mục có thể chứa các thông tin về các máy tính trong mạng, người dùng mạng, máy in, ứng dụng trên mạng, Bằng cách lưu trữ thông tin trong một thư mục trung tâm nên tất cả các tài nguyên này đều có thể được sử dụng chung đối với tất cả mọi người ở mọi thời điểm. Mô hình Domain (Miền) là một kiến trúc thư mục có phân cấp các tài nguyên – Active Directory – và được sử dụng bởi tất cả các hệ thống là thành viên của Miền. Các hệ thống này có thể sử dụng các tài khoản người dùng, nhóm và máy tính trong trong thư mục để bảo mật các tài nguyên của chúng. Do đó Active Directory đóng vai trò như một trung tâm lưu trữ nhận thực, cung cấp một danh sách tin cậy chỉ ra “ai là ai” trong Miền. Bản thân Active Directory đóng vai trò là một cơ sở dữ liệu, nó chứa một danh sách các thành phần hỗ trợ, bao gồm cả các nhật ký giao dịch (transaction log) và dữ liệu hệ thống (sysvol), ở đây chứa các thông tin về kịch bản đăng nhập và chính sách nhóm. Active Directory sử dụng giao thức LDAP (Lightweight Directory Access Protocol), giao thức bảo mật Kerberos, các chu trình đồng bộ dữ liệu và dịch vụ đồng bộ file FRS (File Replication Service). Chính sách nhóm (Group Policy) Do cách thức thừa hưởng các thiết lập từ đối tượng mức cha truyền xuống mức con, người quản trị có thể sử dụng các OU để gom các đối tượng cần cấu hình tương tự nhau. Các thiết lập cấu hình mà được áp dụng đến từng 7 máy tính chạy Windows cũng có thể quản trị một cách tập trung nhờ sử dụng một tính năng của Active Directory gọi là chính sách nhóm (Group Policy). Các chính sách nhóm cho phép xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành và cách thức hoạt động của các ứng dụng trên một máy tính mà không cần thiết phải thực hiện trực tiếp trên máy tính cần thiết lập. Việc thiết lập các tùy chọn cấu hình trên một đối tượng đặc biệt của Active Directory gọi là đối tượng chính sách nhóm GPO (Group Policy Object) sau đó kết nối các GPO này vào các đối tượng trong Active Directory chứa các máy tính hoặc người dùng muốn áp dụng. − Hệ thống xác thực tập trung là ứng dụng trung gian, hoạt động như một dịch vụ, kiểm tra tính hợp lệ và quyền truy cập của người dùng đối với các ứng dụng và các tài nguyên trên mạng. - Cổng thông tin điện tử đóng vai trò cổng vào tập trung, thống nhất đối với tất cả các ứng dụng, tài nguyên trên mạng. b) Các chính sách bảo mật máy trạm − Thiết lập các quyền truy cập tài nguyên mạng theo chức năng nhiệm vụ cho từng nhóm đối tượng. - Các máy trạm khai thác số liệu kinh doanh chỉ được quyền sử dụng ứng dụng cho phép, không được quyền cài đặt bất kỳ phần mềm nào khác. - Triển khai từ xa các phần mềm ứng dụng cho các máy trạm. - Triển khai từ xa các phần mềm anti-virus cho các máy trạm, đồng thời thực hiện việc rà quét từ xa. − Kiểm soát tình trạng kết nối của các máy trạm. - Kiểm soát tình trạng đăng nhập, sử dụng tài nguyên của người dùng. Kiến trúc của Active Directory bao gồm Objects, Organizational Units, Domain , Domain Tree, Forest 8 Kiến trúc của Active Directory 1) Objects Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes. Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các loại đối tượng mà bạn có thể tạo ra trong Active Directory. Có ba loại object classes thông dụng là: User, Computer, Printer. Khái niệm thứ hai là Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể. Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của object classes. Ví dụ hình sau minh họa hai đối tượng là: máy in ColorPrinter1 và người dùng KimYoshida. 2) Organizational Units Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công dụng chính sau: 9 - Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống. - Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO), các chính sách nhóm này chúng ta sẽ tìm hiểu ở các chương sau. 3) Domain Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau: - Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác. - Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ. - Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau. 4) Domain Tree Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain. Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục. Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện. 10 [...]... hoặc giới hạn người dùng chỉ được phép logon từ một số máy tính trong mạng Ví dụ như người quản trị mạng làm việc trong môi trường bảo mật nên tài khoản người dùng này chỉ được chỉ định logon vào mạng từ một số máy tránh tình trạng người dùng giả dạng quản trị để tấn công mạng Muốn chỉ định máy tính mà người dùng được phép logon vào mạng, bạn nhập tên máy tính đó vào mục Computer Name và sau đó nhấp... các quyền đang hiển thị trong hộp thoại 35 Chương 2 NỘI DUNG ĐỒ ÁN A ĐỀ Họ tên sinh viên Lớp : Đề 3 : A Chuẩn bị: - Sử dụng phần mềm tạo máy ảo VirtualBox Cài đặt hệ điều hành Windows Server2k3 cho máy Server Máy Client cài đặt hệ điểu hành Windows Server2k3 (hoặc Windows XP) - Đặt địa chỉ IP cho máy SERVER ở mạng 192.168.1.X/24 (X: là số đề) ; đặt tên máy Server và tên Domain theo qui tắc sau: Ví dụ... trên mạng khi nhận được gói tin yêu cầu đó, nếu còn khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê một địa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet mask và địa chỉ của Server Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho những Client khác trong suốt quá trình thương thuyết - Máy Client sẽ lựa chọn một trong những lời đề nghị... khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép 1.6.2 Tài khoản người dùng cục bộ (local user account) 17 Tài khoản... vấn (query) và gửi chúng qua đến Name Server DNS được thi hành như một giao thức tầng Application trong mạng TCP/IP DNS là 1 CSDL phân tán Điều này cho phép người quản trị cục bộ quản lý phần dữ liệu nội bộ thuộc phạm vi của họ, đồng thời dữ liệu này cũng dễ dàng truy cập được trên toàn bộ hệ thống mạng theo mô hình Client-Server Hiệu suất sử dụng dịch vụ được tăng cường thông qua cơ chế nhân bản (replication)... logon vào mạng cho người dùng, quy định máy trạm mà người dùng có thể sử dụng để vào mạng, quy định các chính sách tài khoản cho người dùng, quy định thời điểm hết hạn của tài khoản… Chọn lựa máy trạm được truy cập vào mạng: bạn nhấp chuột vào nút Log On To, bạn sẽ thấy hộp thoại Logon Workstations xuất hiện Hộp thoại này cho phép bạn chỉ định người dùng có thể logon từ tất cả các máy tính trong mạng hoặc... và các hệ điều hành khác như Unix hoặc Macintosh đều hỗ trợ cơ chế nhận các thông số động, có nghĩa là trên các hệ điều hành này phải có một DHCP Client - Cơ chế sử dụng các thông số mạng được cấp phát động có ưu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng như: Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ thống mạng 16 Giúp cho các nhà cung cấp dịch vụ (ISP) tiết... cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật 1.8.1 Chính sách kiểm toán (Audit Policies) 25 Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống,... thể gỡ bỏ hầu hết các đề mục trên menu Start của một người dùng nào đó, ngăn chặn không cho người dùng cài thêm máy in, sửa đổi thông số cấu hình của máy trạm Tạo và quả lí thư mục dùng chung 1.9.3 Chia sẻ thư mục dùng chung Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truy xuất và sử dụng thông qua mạng Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào... thành tên máy tính Ban đầu do quy mô mạng ARPA NET (tiền thân của mạng Internet) còn nhỏ chỉ vài trăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lưu thông tin về ánh xạ tên máy thành địa chỉ IP Trong đó tên máy chỉ là 1 chuỗi văn bản không phân cấp (flat name) Tập tin này được duy trì tại 1 máy chủ và các máy chủ khác lưu giữ bản sao của nó Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOSTS.TXT