QUẢN TRỊ MẠNG LAN: SERVER VÀ PC BÀI TẬP NHÓM PHẦN DOMAIN Lớp: CN13 Nhóm: Võ Nhật :1319670077 Trương Minh Nhật: 1319670076 Nguyễn Thị Yến Nhi: 1351030044 Nguyễn Phúc Vĩnh San: Nguyễn Tấn Sang I Xác định tác vụ cần thực hiện: Dựng domain controller với domain ABC.com: 1.1 Set IP tĩnh cho máy chủ 1.2 Cài đặt Active Directory 1.3 Join máy client vào máy chủ 1.4 Cài đặt công cụ quản trị Server client Tạo OU, User, Group, phân quyền đối tượng 2.1 Tạo OU tương ứng với phòng ban 2.2 Tạo tài khoản người dung OU 2.3 Tạo tài khoản nhóm 2.4 Gán tài khoản người dung vào nhóm 2.5 Ủy quyền cho đối tượng OU (Quyền reset password cho trưởng phòng) Xây dựng hệ thống data phân quyền truy cập cho Group user 3.1 Xây dựng hệ thống data 3.2 Share folder 3.3 Phân quyền NTFS Cấu hình profile cho user 4.1 Tạo Roaming profile 4.2 Ánh xạ ổ đĩa cho thư mục cá nhân máy tính cá nhân 4.3 Đồng liệu cá nhân lên máy chủ Cài đặt Group Policy 5.1 Cấm control panel 5.2 Cấm Regedit 5.3 Cấm USB 5.4 Cài đặt phần mềm tự động từ máy chủ xuống client 5.5 Chính sách bảo mật mật user 5.6 Cấm sử dụng wordpad Cài đặt backup domain controller (Máy chủ dự phòng đảm bảo server hoạt động 24/7) 6.1 Triển khai Additional Domain Controller 6.2 Kiểm tra cấu hình máy chủ II Thực tác vụ cụ thể Dựng domain controller với domain ABC.com.vn: 1.1 Set IP static cho máy chủ 1.2 Cài đặt Active Directory 1.3 Join máy client vào máy chủ 1.4 Cài đặt công cụ quản trị Server client  Tác vụ 1.1: Set IP static cho máy chủ Trên máy chủ (Windows server 2008 R2), Set IP tĩnh với thông số: IP address: 192 168 2 Subnet mask: 255 255 255 Default gateway: 192 168 Preferred DNS server: 192 168 2  Tác vụ 1.2: Cài đặt Active Diretory  Start Run gõ “dcpromo”  Xuất cửa sổ cài đặt Active Directory Next Next Chọn “Create a new domain in a new forest” để tạo domain Next Nhập vào tên domain “ABC.com” Next  Xuất cửa sổ chọn cấp độ chức Forest “Set Forest Functional Level”, tùy chọn Forest functional level chọn “Windows Server 2008”  Next  Xuất cửa sổ Additional Domain Controller Options cài đặt DNS, giữ nguyên  Next  Xuất thông báo không tìm thấy DNS mạng  Yes  Xuất cửa sổ chọn nơi lưu CSDL, để mặc định  Next  Xuất cửa sổ yêu cầu nhập mật nhẩu( Mật dung để retore Active Directory ), tiến hành nhập mật  Next  Xuất cửa sổ Summary  Next  Hệ thống cài đặt, sau cài đặt xong chọn Finish  Cài đặt hoàn tất  Reboot now  Tác vụ 1.3: Join máy client vào máy chủ  Trên máy client tiến hành set địa IP cho có lớp mạng với IP máy chủ, có Default gateway Prefferred DNS server địa IP máy chủ  Vào start run gõ “cmd” gõ “ipconfig” gõ “ping dấu cách + địa IP máy chủ” (Để kiểm tra kết nối máy client máy chủ)  Kết nối thành công chuyển sang bước  Click chuột phải My computer Properties  Computer Name  Change  Đặt Computer Name theo mô hình tổ chức  Gõ tên domain “ABC.com” vào tùy chọn Domain member of  OK  Xuất sổ yêu cầu đăng nhập  Nhập tài khoỏa mật  OK Hiện thông báo Join đến máy chủ thành công OK  Restart Computer  Tác vụ 1.4: Cài đặt công cụ quản trị Server client  Kích hoạt cài đặt Remote Server Administrator Tool  Yes  I accept  Hoàn tất  Close  Kích hoạt Remote Server Administrator Tools : Start  Control Panel  Program And Features  Turn On or Off Progam and Features  đánh dấu chọn công cụ  OK  Start Administrative Tools  Active Directory User and Computers  Kết nối thành công đến sở liệu Domain Controller Tạo OU, User, Group, phân quyền đối tượng 2.1 Tạo OU tương ứng với phòng ban 2.2 Tạo tài khoản người dung OU 2.3 Tạo tài khoản nhóm Gán tài khoản người dung vào nhóm Ủy quyền cho đối tượng OU (Quyền reset password cho trưởng phòng)  Tác vụ 2.1: Tạo OU tương ứng với phòng ban  Start Administrative Tools Active Directory Users and Computer  Click chuột phải vào tên Domain “ABC.com” New Organizational Unit  Nhập tên OU (Tên phòng ban)OK  Tạo OU tương ứng với phòng ban công ty ABC  Tác vụ 2.2: Tạo user OU (Tương ứng với nhân viên phòng ban)  Click chuột phải vào OU muốn tạo tài khoản  New  User Nhập vào thông tin tài khoản Next  Nhập password chọn tùy chọn sau tài khoản đăng nhập  Next Finish  Mỗi phòng ban tạo tài khoản người dung gồm nhân viên trưởng phòng  Tác vụ 2.3: Tạo tài khoản nhóm  Click chuột phải vào OU muốn tạo tài khoản  New  Group  Nhập tên Group  Chọn Group scope Domain local, group type Security OK  Mỗi phòng ban tạo tài khoản nhóm  Tác vụ 2.4: Gán tài khoản người dung vào nhóm  Tại OU click chuột phải vào người dung cần gán  add to group  Ghi tên Group muốn gán  check name OKOK  Gán tài khoản người dung phòng ban vào Group phòng ban  Tác vụ 2.5: Ủy quyền cho đối tượng OU (Quyền reset password cho trưởng phòng)  Tại OU click chuột phải chọn Delegate Control NextAddChọn trưởng phòng Chọn quyền Reset mật người dung  Finish Xây dựng hệ thống data phân quyền truy cập cho Group user 3.1 Xây dựng hệ thống data 2.4 2.5 3.2 Share folder 3.3 Phân quyền NTFS  Tác vụ 3.1: Xây dựng hệ thống data  Trên máy chủ tạo thư mục DATA  Mỗi phòng ban tạo thư mục thư mục DATA  Trong thư mục phòng ban, bao gồm thư mục nhân viên thuộc phòng ban thư mục phân công chứa file giao việc để giao việc cho nhân viên  Cấu trúc thư mục thể qua hình sau:  Tác vụ 3.2: Share folder  Thư mục DATA share quyền read với tất người  Tất thư mục phòng ban share quyền read với group tương ứng với phòng ban  Các thư mục cá nhân nhân viên share với quyền full control tương ứng với nhân viên  Thư mục PHANCONG thư mục phòng ban share quyền read với Group phòng ban tương ứng share quyền read change với trường phòng tương ứng  Tác vụ 3.3: Phân quyền NTFS  Với file giaoviec.doc thư mục phân công phòng ban ta set quyền full control cho trưởng phòng (Trưởng phòng toàn quyền với file này, nhân viên xem) Thực sau: Click chuột phải vào file giaoviec.doc Properties Security Edit  Add Chọn Trưởng phòng tương ứng  set quyền full controlOK  Với tất thư mục cá nhân thư mục PHANCONG phòng ban tiến hành bỏ kế thừa cách thực sau: Click chuột phải vào folder  Properties Security Advanced  Change Permissions  Bỏ tích Include inheritable permission from this object’’s parent Cấu hình profile cho user 4.1 Tạo Roaming profile 4.2 Ánh xạ ổ đĩa cho thư mục cá nhân máy tính cá nhân 4.3 Đồng liệu cá nhân lên máy chủ  Tác vụ 4.1: Tạo Roaming profile  Tạo thư mục USERPROFILE máy chủ  Vào Active Directory Users and Computer Chọn user click chuột phải Properties  Profile  Tích vào Profile path Ghi vào đường dẫn có cấu trúc sau : \\192.168.2.2\USERPROFILE\%username% OK  Tác vụ 4.2: Ánh xạ ổ đĩa cho thư mục cá nhân máy tính nhân  Vào Active Directory Users and Computer Chọn user click chuột phải Properties  Profile  Tích vào Home folder  Tích vào Connect Chọn tên ổ đĩa  Nhập đường dẫn có cấu trúc sau vào To: \\192.168.2.2\Đường dẫn đến file cá nhân user chọn\%username%  Tác vụ 4.3: Đồng liệu cá nhân lên máy chủ  Tiến hành set quyền folder USERPROFILE tạo máy chủ để Administrator xem liệu cá nhân user lấy liệu tránh làm liệu Cài đặt Group Policy 5.1 Cấm control panel     5.2 Cấm Regedit 5.3 Cấm USB 5.4 Cài đặt phần mềm tự động từ máy chủ xuống client 5.5 Chính sách bảo mật mật user 5.6 Cấm sử dụng wordpad Tác vụ 5.1: Cấm control panel:  Vào Start Administrative Tools Group Policy Management Chọn Domain chọn OU cần áp sách (Trừ OU DIENTOAN)  Click phải OU Create a GPO this domain, and Link it hereNhập tên GPO “CamControlPanel”  Click phải OU khác Link an Existing GPO Chọn đến GPO tạo trước cần áp cho OU chọn  Thực cấm Control Panel sau: Click phải vào GPO cấm control panel tạo trước đóEdit  User configuration  PoliciesAdministrative TemplatesControl panel Prohibit access to the controlpanel Enable OK Tác vụ 5.2: Cấm Regedit  Tạo GPO tương tự  Thực cấm regedit sau: Click phải vào GPO cấm regedit tạo trước đóEdit  User configuration  PoliciesAdministrative Templates System Prevent access to registry editing tools  Enable  OK Tác vụ 5.3: Cấm sử dụng USB  Tạo GPO tương tự  Thực cấm sử dụng USB sau: Click phải vào GPO cấm regedit tạo trước đóEdit  User configuration  PoliciesAdministrative TemplatesSystem  Removable Storage AccessAll Removable Storage classes: Deny all access Enable  OK Tác vụ 5.4: Cài đặt phần mềm tự động từ máy chủ xuống client  Tạo GPO tương tự  Thực cài đặt phần mềm tự động từ máy chủ xuống client sau: Click phải vào GPO Install Software tạo trước đóEdit  User configuration  PoliciesSoftware Settings Software installationClick phải chọn New Package  Tìm đến file cài đặt phần mềm cần mong muốn Open  Assgien OK  Tác vụ 5.5: Chính sách bảo mật mật user  Tạo GPO tương tự  Thực sách bảo mật mật user sau: Click phải vào GPO bảo mật mật tạo trước đóEdit Computer Configuration Policies  Windows Settings  Account Policies  Password Policy  Chọn sách bảo mật cần thiết  OK  Tác vụ 5.6: Cấm sử dụng Wordpad  Tạo GPO tương tự  Thực cấm Wordpad sau: Click phải vào GPO cấm regedit tạo trước đóEdit  User configuration  PoliciesAdministrative Templates SystemDon’’t run specified Windows applications  Enable ShowNhập wordpad.exe  OK Cài đặt backup domain controller (Máy chủ dự phòng đảm bảo server hoạt động 24/7) 6.1 Triển khai Additional Domain Controller 6.2 Kiểm tra cấu hình máy chủ  Tác vụ 6.1: Triển khai Additional Domain Controller  Tiến hành cài đặt tương tự domain controller  Cửa sổ Choose a Deployment Configuration chọn mục Existing Forest  Add a domain controller to existing domain Next  Hệ thống tự thị domain tồn tại, mục Alternate Credentials nhập vào tài khoản cho máy tính join vào domain NextNext  Tại Additional Domain controller Options chọn DNS Global catalog  Yes  Next Nhập mật khôi phục active directory  Next Finish Restart now  Tác vụ 6.2: Kiểm tra cấu hình máy chủ  Vào server manager  Roles  Active Directory User and Computer Tên Domain click phải  Operations Master  Xem cấu hình chưa III Thực kiểm tra máy trạm  Thực đăng nhập vào user DT1(Nhân viên phòng điện toán ), kiểm tra ổ đĩa có ánh xạ thư mục cá nhân không, vào thư mục phân công chỉnh sữa file giaoviec.doc  báo lỗi liên hệ với administrator để lấy quyền, tương tự bị cấm sử dụng wordpad không bị cấm control panel, USB Regedit, thay đổi profile log off, log on trở lại profile lưu  Thực đăng nhập với user TPNS(Trưởng Phòng nhân sự), Kiểm tra ổ đĩa có ánh xạ đến thư mục cá nhân, Sữa file giao việc thư mục phân công, không vào thư mục nhân viên khác, bị cấm control panel, USB, regegit, wor––dpad, yêu cầu thay đổi mật cho nhân viên phòng ban  ... backup domain controller (Máy chủ dự phòng đảm bảo server hoạt động 24/7) 6. 1 Triển khai Additional Domain Controller 6. 2 Kiểm tra cấu hình máy chủ  Tác vụ 6. 1: Triển khai Additional Domain. .. sách bảo mật mật user 5 .6 Cấm sử dụng wordpad Cài đặt backup domain controller (Máy chủ dự phòng đảm bảo server hoạt động 24/7) 6. 1 Triển khai Additional Domain Controller 6. 2 Kiểm tra cấu hình... cài đặt tương tự domain controller  Cửa sổ Choose a Deployment Configuration chọn mục Existing Forest  Add a domain controller to existing domain Next  Hệ thống tự thị domain tồn tại, mục