Account: Tab này sẽ cho phép định nghĩa logon name của user và cũng thiết đặt thêm các tuỳ chọn như Logon Hours và Log on to. Những tuỳ chọn này đã được đặt trong suốt quá trình tạo đối tượng user trong cơ sở dữ liệu Active Directory và có thể được thay đổi ở đây.

Profile: Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũng duy trì toàn bộ môi trường làm việc của user. Một đường dẫn mạng cũng có thể được thiết lập để nhận các truy cập các tài nguyên mạng và bổ xung kịch bản đăng nhập và home folder có thể được gán bởi tuỳ chọn này.

Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile, pager (số máy tin nhắn) và IP phone của user. Chúng ta cũng có thể thêm các ghi chú ở đây.

Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty, tên công ty hay tổ chức, các thông tin về user và báo các trực tiếp của user.

Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó user này thuộc về.

Dial-In: Tùy chọn này cho phép chúng ta điều khiển user tạo một kết nối dial-in từ một nơi xa đến mạng. Điều này chỉ có thể thực hiện nếu user đang quay số tới một máy tính đang chạy Windows 2003 Remote access services(RAS). Có một số tuỳ để thiết lập cho bảo mật quay số như sau:

Allow Access: Tự động xác định các thiết lập dial-in có được cho phép hay không.

Deny Access: Sẽ xác định dial-in có bị từ chối hay không Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết

nối. No Callback: Sẽ xác định RAS sẽ không gọi người user. Điều này

cho phép user gọi từ bất kì số điện thoại nào. Nó được thiết kế cho môi trường bảo mật thấp.

Set by caller: Sẽ xác định RAS sẽ đáp ứng đến user có được cung cấp nó với số điện thoại. Vì thông tin này sẽ có thể được ghi lại(logged) nên chúng ta có thể sử dụng có trên môi trường bảo mật trung bình.

Always Callback To: Sẽ xác định rằng RAS sẽ đáp ứng lại với user tại số điện thoại đã được xác định. User nên cẩn thận để hiện diện tại cùng một thời điểm RAS kết nối đến. Tuỳ chọn này được dùng trong môi trường bảo mật cao.

Environment: Để tạo môi trường client-working thì tab này phải được sử dụng. Nó xác định một hay nhiều ứng dụng khởi động và tất cả các thiết bị để kết nối khi user đăng nhập vào.

Sessions: Tuỳ chọn này được sử dụng để giới hạn chiều dài của sessions (phiên), tuỳ thuộc vào session có active (kích hoạt), idle (nghỉ) hay disconnect (ngắt kết nối). Chúng ta cũng có thể quyết định những hành động nên được tiến hành trong trường hợp session đã tiến đến giới hạn thời gian.

End A Disconnected Session: Chỉ định thời gian lớn nhất mà một session chưa kết nối còn cho phép được chạy. Một khi quá giới hạn thời gian thì session không thể tìm trở lại.

Active Session Limit: Xác định khoảng lớn nhất của session được kết nối. Một khi giới hạn thời gian tiến đến gần, session có thể khởi động lại hoặc ngắt kết nối rời khỏi session active trên server.

Idle Session Limit: Xác định thời gian lớn nhất được cho trứoc khi session được khởi tạo lại hay ngắt kết nối. Nó sẽ bị ngắt kết nối sau khi hết thời gian của những hoạt động tại kết nối.

Remote control: Sẽ xác định các thiết lập điều khiển từ xa của các dịch vụ Terminal. Bằng các thiết lập điều này chúng ta có thể tham gia giám sát session của client của bất kì máy tính nào đã đăng nhập vào Terminal Server.

V – USER PROFILE, HOME FOLDER VÀ DISK QUOTA1. User Profile

Việc quản trị mạng user account bao hàm cả việc chỉnh sửa account, cài đặt user profile các home directory. Một user profile cho một user được tạo ra ngay khi người đó đăng nhập vào một máy tính lần đầu. Trong thư mục Documemts and Settings tất cả các thông tin có liên quan về thiết lập của người sử dụng đã xác định được lưu một cách tự động. User profile được tự động cập nhật mỗi khi user log off. Administrator có thể chỉ thay đổi các mandatory user profiles (các hồ sơ user có tính bắt buộc)

User profile thực hiện theo những cách sau đây: Khi chúng ta đăng nhập vào một máy client chúng ta sẽ luôn nhận được các

thiết đặt cá nhân của chúng ta mà một số user nào cũng được chia sẻ máy client đó không thích.

Profile cục bộ Default User sẽ copy đến thư mục %Systemdriver%\Documents and settings mỗi khi chúng ta đăng nhập vào lần đầu.

Nhiều file và thư mục được lưu trong thư mục user profile và windows 2003 tạo ra một thư mục My Documents trên desktop để dễ định vị các tài liệu cá nhân.

Có thể thay đổi user profile bằng cách thay đổi các thiết lập desktop.1.1 User Profile mặc địnhMột Default User Profile là một profile cơ bản, được sử dụng để xây dựng

các profile cho user xác định. Một bản copy của Default user profile được sử dụng

bởi bất cứ user nào khác khi đăng nhập vào từng máy chạy Windows server 2003 hay Windows XP.

1.2 User profile cục bộProfile này được tạo ra lần đầu khi user đăng nhập vào máy tính và luôn

được lưu trong một máy tính cục bộ. Bất cứ thay đổi nào được tạo ra với profile này đều xác định máy tính đơn đó và nó có thể có nhiều user profile cục bộ trên cùng một máy tính.

1.3 Roaming User Profile (User Profile không cố định)Các Roaming User Profile (RUP) có thể được tạo ra cho các user thao tác

trên nhiều máy tính. RUP được thiết lập ở máy chủ của mạng nên user có thể kết nối từ bất cứ nơi nào trong domain. Vì vậy khi user đăng nhập vào mạng, windows 2003 sẽ copy tất cả các thông tin có liên quan về user profile từ mạng và copy các thiết lập cá nhân về desktop hay kết nối cho dù người đó kết nối từ bất cứ nơi đâu. Khi copy những file windows 2003 sẽ chỉ copy những file có thay đổi từ lần thay đổi cuối cùng, vì thế làm cho quá trình đăng nhập ngắn lại. Khi log off những thay đổi trong user profile được copy trở lại RUP của server.

1.4 Tạo Roaming ProfileMột RUP được lưu trên server nên để việc truy cập có thể xảy ra khi user

đăng nhập bất kỳ nơi nào trong mạng. Để thiết lập RUP được thực hiện nhưng bước sau đây:

Cung cấp quyền điều khiển toàn phần (Full Control Permission) cho một thư mục được tạo trên server.

Thư mục được chia sẻ nên được cung cấp đường dẫn. Trong vùng chi tiết của Active Directory Users and Computers nhấn phải chuột lên user account nơi mà chúng ta muốn tạo roaming profile. Nhấn Properties.

Trong snap-in User Profile, nhấn tab Profile và gõ thông tin về đường dẫn, nơi sẽ xác định như thư mục được chia sẻ trong hộp Profile Path. Thông tin đường dẫn có thể như sau:

\\server_name\share_folder_name\user_nameChỉ Administrator mới có thể thay đổi RUP. Phần thông tin của registry ứng

dụng đến user account, được lưu trữ trong file Ntuser.dat1.5 Mandatory User Profile

Chúng ta có thể tuỳ biến RUP và đưa nó cho nhiều user để tất cả các user sẽ có cùng các thiết lập và kết nối. Nên tạo ra một mẫu User Profile chứa tất cả các thiết lập về Desktop. Sau khi tạo ra mẫu này chúng ta nên đăng nhập với tư cách Administrator và copy mẫu vào thư mục RUP ở trên server. Thư mục này phải có thể được xử lý đối với tất cả user và nên được gán cho nhóm user tạo sẵn trên domain. Sử dụng snap-in Active Directory Users and Computer chúng ta hoàn toàn có thể xử lý. Vì các thay đổi có tác dụng đối với tất cả user được gán đến thư mục đó nên Profile Manadatory này nên là read-only (chỉ đọc) bằng cách thay đổi phần

mở rộng của file Ntuser từ .dat chuyển sang .man. Loại profile này được gọi là Mandatory User Profile.

Administrator tạo ra các Mandatory User Profile và chỉ định các thay đổi cho User. Các thuộc tính có thể là local (cục bộ) hay Roaming (không cố định). Profile này không cho phép user lưu lại những thiết lập desktop hiện tại của họ. Vì thế khi user huỷ đăng nhập và đăng nhập vào trở lại thì những thiết lập desktop cuối cùng sẽ bị mất. Do đó có thể nói rằng madatory user profile là một RUP chỉ đọc.

1.6 Tạo User Profile loại MandatoryĐể tạo các user Profile loại manadatory, theo các bước sau:

Tạo ra một thư mục được chia sẻ trên server. Tạo một thư mục profile bên trong một thư mục được chia sẻ để quản lý các profile. Các user nên được cho quyền Full control đối với thư mục Profile.

Thiết lập một User Profile Roaming. Tạo một user mới trong snap-in Active Directory Users and Computers. Sau đó đặt đường dẫn cho User Profile và cấu hình Profile.

Đặt lại tên file Ntuser.dat thành Ntuser.man để làm cho Profile chỉ đọc (Read-only) và vì thế Profile là Mandatory. Để đặt tên Mandatory Profile, đăng nhập với tư cách Administrator và mở Windows Explorer. Đặt lại tên Ntuser.dat trong thư mục Users Profile thành Ntuser.manager.1.7 Quản lý User profile

Có thể thay đổi và chỉnh sửa các thuộc tính của user account. Những thay đổi sau đây là được phép đối với user account, những thay đổi này sẽ có tác dụng về mặt chức năng đối với user account:

Enabling and Disabling User Account: Khi một user ra khỏi và không hiện diện trong văn phòng trong một khoảng thời gian dài thì chúng ta có thể disable user đó trong khoảng thời gian xác định và sau đó cho enable trở lại user đó khi họ quay về.

Renaming the User Account: Sự thay đổi tên của một user account là có thể và cần thiết khi chúng ta muốn gán và cùng các thiết đặt quyền và cho phép cho các user khác nhau.

Deleting User Account: Khi nhân viên hiện thời dời khỏi công ty thì chúng ta có thể xoá account của user đó. Điều này đảm bảo sự loại trừ của những account không sử dụng trong dịch vụ Active Directory.1.8 Thiết lập lại password

Chúng ta cần thiết lập lại password của User khi password của user bị hết hạn hoặc nếu user của chúng ta bị quên password. Chúng ta không cần biết password cũ khi chúng ta thiết lập lại password mới. Để thiết lập lại password chúng ta làm như sau:

Mở snap-in Active Directory User and Computer và chọn user muốn thay đổi

Chuột phải vào user chọn Reset Password từ menu ngữ cảnh Chọn tuỳ chọn User Must Change Password At Next Logon để cho

phép user thay đổi password khi user đăng nhập lại

1.9 Bỏ khoá các User AccountKhi một user vi phạm bất kì chính sách nào như vượt khỏi giới hạn group

Windows 2003 sẽ khoá (lock out) user account đặc biệt đó và sẽ hiển thị thông báo lỗi. Để huỷ bỏ khoá các user account hãy theo các bước sau đây:

Mở snap-in Active Directory User and Computer và chọn user muốn bỏ khoá

Chuột phải vào User chọn properties Chọn tab Account và xoá tuỳ chọn The Account Is Locked Out và ấn

OK2.0 Home Folder

Windows 2003 cho phép các user có thể bỏ xung một Home Folder trong thư mục My Documents. Home Folder cho phép các user lưu trữ các tài liệu cá nhân. Home folder có thể được lưu trong máy client hoặc trong file server. Kích thước của Home folder là không ảnh hưởng đến hiệu suất mạng trong suốt quá trình đăng nhập vì Home folder không phải là một phần của RUP. Home Folder trên server có thể được coi như một ổ đĩa mạng khi người quản trị tạo một Home folder trên server cho các User. Người quản trị cũng có thể giới hạn ổ đĩa mạng này của User dùng trên server, điều này giảm được sự lãng phí dung lượng ổ đĩa so với nhu cầu chứa dữ liệu thiết thực của User.

2.1 Tính chất của Home Folder Performance of the Network: Hiệu suất mạng sẽ bị thấp đi nếu home

folder được định vị trong máy cục bộ Ability to Restore and Backup: Trách nhiệp chính của một

Administrator là chống mất mát dữ liệu. Tốt hơn là nên thực hiện sao lưu tất cả các file và tập trung lưu trên một server. Nếu home folder là trong máy cá nhân của users thì nên sao lưu thông thường trên mỗi máy tính.

Adequate space on the Server: Nên tổ chức một không gian bắt buộc trên server để user có thể lưu trữ dữ liệu của họ trên đó. Windows 2003 có thể giám sát và giới hạn sự sử dụng không gian đĩa với network-base storage với sự trợ giúp của disk quota.

User Computer with Sufficient Space: Nếu máy tính của user có khoảng trống đĩa nhỏ thì các home folder nên được tạo ra trên server của mạng.2.2 Tạo User Profile và Home Foder cho các User trên server

Tạo một thư mục trên một phân vùng trên máy chủ và chia sẻ thư mục đó, đặt quyền NTFS và Share Permission cho thư mục đó Full Control với Everyone.

Mở snap-in Active Directory User and Computer và chọn một OU. Ở cửa sổ bên phải chọn tất cả các User có trong đó chuột phải chọn

properties Tại cửa sổ properties chọn tab Profile, tích vào mục chọn Profile path,

tại ô này đánh địa chỉ tương đối đến thư mục chúng ta vừa chia sẻ, đằng sau đường dẫn đó chúng ta đánh vào câu lệnh %usersname%. Câu lệnh này cho phép hệ thống tự động nhận tên logon của các User Profile đó.

Tích chọn vào mục Home Folder, chọn dòng Connect, bên cạnh là mục chọn tên ổ đĩa mạng hiển thị trên các máy client của User mỗi khi user đăng nhập. Ở dòng To là địa chỉ đường dẫn tới thư mục Home folder mà chúng tạo cho user trên server, chúng ta đánh đường dẫn vào ô này và ấn Ok. Để tiện cho việc quản lý các User Profile và Home Folder thì chúng ta cần đặt User profile và Home folder vào cùng một thư mục chia sẻ trên server để dễ dàng hơn trong việc chỉnh sửa User Profile và thiết đặt hạn nghạch đĩa (disk quota) cho các user trong mạng.

Sau khi thiết đặt Home Folder và User profile xong, trên máy client đăng nhập với user mà chúng ta đã thiết đặt sẽ thấy Home folder được Map thành một ổ đĩa trong My Computer. Việc này tránh được cho User phải nhớ đường dẫn chính xác tới Server.

Và trong đó có chứa Profile của chính User này. Người dùng có thể tuỳ chỉnh thông tin và lưu dữ liệu của mình trên thư mục đó. Mọi thay đổi về profile như nền màn hình desktop, các tuỳ chọn menu start… đều được lưu lại ở đây. User có thể đăng nhập tại bất kì máy tính client nào trong mạng thì mọi thiết đặt profile của user cũng không bị thay đổi vì khi log-off các thông tin này được lưu trên server và khi user logon thì nó được nạp xuống máy của User đó đăng nhập

Trong thư mục đã chia sẻ dùng để thiết đặt Home folder cho User trên Server có chứa các Profile và dữ liệu của các User. Mặc định thì mọi người dùng không ai có thể xem, sửa hoặc xoá các thông tin và dữ liệu của các user đó, chỉ có chính user đó mới có quyền được xem, sửa và xoá mọi thông tin do mình tạo ra, kể cả Administrartor cũng không thể xem được thư mục Profile đó.

Nhưng đã là Administrator thì mọi việc đều có thể, Administrator sẽ dùng quyền của mình để cướp quyền (Task Ownership) của User đó để xem hoặc chỉnh sửa thông tin trong Profile đó. Để cướp quyền của User trên thư mục đó chúng ta làm như sau: chuột phải vào thư mục chọn properties, trong cửa sổ properties chọn tab Sercurity, chọn tiếp mục Advanced. Tại cửa sổ Advanced ta chọn tab Owner, ở mục name chọn Administrator và đánh dấu tích vào dòng chữ ở dưới là Replace owner on subcontainers and objects.

Sau đó ấn Apply, một cửa sổ hiện ra thông báo là chúng ta không có quyền xem, nếu chúng ta muốn Replace quyền chọn Yes và thư mục đó chúng ta có quyền Full control và người User sở hữu thư mục đó sẽ bị mất quyền. Chúng ta chọn Yes

Khi Admin đã cướp quyền của User thì mặc nhiên User sẽ không vào thư mục đó của mình được nữa, muốn vào được thư mục đó thì cần phải có việc Admin trả lại quyền cho User. Khi đó nếu User logon trên máy trạm thì sẽ không thể connect tới Profile đó nữa và một Profile khác sẽ được tự động tạo ra ở dạng default trên máy client.

Để người dùng có thể sử dụng Roaming Profile và lưu dữ vào thư mục đó thì Admin cần phải cấp lại quyền cho thư mục đó. Trên server chuột phải vào thư mục đó chọn Properties, chọn tab Sercurity và chọn tab Advanced. Tại cửa sổ Advanced đanh dấu tích vào mục chọn Replace permission entries on all child objects with entries shown here that apply to child objects rồi ấn Apply, một thông báo hiện ra cho biết chúng ta có muốn bỏ quyền truy cập trên thư mục này đi không, chúng ta ấn chọn Yes.

Vẫn tại cửa sổ này tại tab Owner chúng ta Add User đó vào và chọn mục Replace Owner on subcontainer and objects, sau đó ấn Apply.

Ấn Ok để trở về cửa sổ Properties, tại cửa sổ này chúng ta Remove tài khoản Administrator đi và Add vào tài khoản của User và cho quyền là Full control, sau đó OK. Như vậy chúng ta đã trả lại quyền truy cập vào Profile và Home folder cho User. Lúc này User đăng nhập trên máy client sẽ chỉnh sửa và lưu trữ được thông tin trong Profile của mình và mọi User kể cả Administrator cũng không thể truy cập vào được nữa.3.0 Disk Quota

3.1 Giới thiệu về Disk QuotaDisk Quota – hạn nghạch đĩa, là một công cụ rất mạnh để điều khiển không

gian đĩa trống. Người quản trị có thể điều khiển dung lượng đĩa trống phù hợp cho từng User được sử dụng trên Server. Disk quota được cài đặt trên định dạng NTFS.

3.2 Thiết đặt Disk quota cho các Home folder và User profileĐể tránh sự lãng phí không cần thiết của đĩa cứng trên Server khi mà các

User lưu trữ dữ liệu trên Home folder, chúng ta cần thiết đặt hạn nghạch đĩa cho từng User. Tuỳ theo từng nhu cầu công việc của từng User mà chúng ta thiết đặt disk quota cho hợp lý. Do Home folder và Profile của User được đặt chung một thư mục nên chúng ta chỉ cần thiết đặt disk quota một lần cho hai mục này. Để thiết đặt Disk quota ta chọn phân vùng chứa thư mục chia sẻ có chứa Home folder và Profile trên Server, chuột phải chọn properties. Tại cửa sổ properties chọn tab Quota, tích chọn vào mục Enable quota management và tích luôn vào mục Deny disk space to users exceeding quota limit. Mục này có tác dụng không cho người dùng lưu thêm dữ liệu trên server khi đã quá dung lượng cho phép. Nếu không chọn mục này các user vẫn có thể lưu thêm được dữ liệu trên server mặc dù đã có cảnh báo là quota đã hết. Tiếp theo chọn mục Limit disk space to mục này cho phép điền vào dung lượng mà chúng ta muốn giới hạn, ô bên cạnh cho chúng ta chọn đơn vị tính dung lượng.

Mục Set warning level to cho phép chúng ta điền vào dung lượng muốn cảnh báo người dùng đã sắp hết quota.

Tiếp theo click vào Quota Entries… tại cửa sổ này sẽ chứa danh sách các User bị giới hạn hay không bị giới hạn Disk Quota. Mặc định thì các tài khoản Administrator và các tài khoản có quyền như Administrator đều không bị giới hạn disk quota. Do đó chúng ta không thể gán disk quota cho nhóm này mà chỉ có thể gán disk quota cho User thường mà thôi. Để giới hạn disk quota một User nào đó ta chọn menu Quota rồi chọn New quota entry. Tại hộp đánh tên ta đánh tên User muốn giới hạn disk quota vào và ấn OK. Tiếp theo hiện ra một bảng lựa chọn, chúng ta chọn Limit disk space to và cho vào giá trị muốn giới hạn cho User. Mục set warning level to cho vào giá trị mà chúng ta muốn cảnh báo người dùng là sắp hết disk quota.

Sau đó ấn OK và đóng cửa sổ Quota entries lại, tại cửa sổ Quota ấn OK, chúng ta đã hoàn thành việc đặt Disk Quota cho các User. Lúc này các User đã bị giới hạn dung lượng ổ đĩa trên Server, tại máy trạm logon vào với một User ta sẽ thấy rõ điều này.

VI – NHÓM VÀ CHÍNH SÁCH NHÓM1. Giới thiệu các Nhóm Trong windows 2003 server

Một tập tin các tài khoản của người sử dụng được gọi là Group. Một người sử dụng có thể là thành viên của nhiều hơn một nhóm.Khi bổ sung thêm thành viên cho các nhóm cần lưu ý đến các bước sau:

- Khi một user là một thành viên của một group thì user đó sẽ được thừa hưởng các quyền mà group đó có được.

- Một user account có thể là một thành viên của nhiều group. Các nhóm trong DomainCác nhóm chỉ được tạo trong domain controller và được lưu trong dịch vụ

thư mục Active Directory. Các nhóm đã được sử dụng để gán các quyền đến các tài nguyên và quyền quản trị hệ thống cho bất kỳ một máy tính nào trong một domain. Các nhóm trong domain cho phép quản trị tập trung trong domain.

Các nhóm trong WorkgroupCác nhóm trong một Workgroup được tạo trên các máy tính, nó không có

chức năng điều khiển domain. Các máy tính có thể là các Client chạy Windows Xp hoặc các member server được chạy windows 2003 server. Chúng được chứa trong Sercurity Account Manager (SAM) và đã được sử dụng để gán quyền đến các tài nguyên và quyền quản trị hệ thống trên máy tính, nơi mà ở đó các nhóm được tạo ra.

1.1 Các nhóm trong domain Trong domain controller có các nhóm tạo sẵn, nó được tự động tạo ra trong

quá trình cài đặt windows 2003. Các nhóm tạo sẵn được lưu trữ trong Active Directory User and Computer. Các nhóm tạo sẵn có phạm vi hoạt động là toàn cục. Windows 2003 hỗ trợ 3 nhóm dưới đây:

Built-In Group: Các nhóm này có thể được sử dụng cho các user được xác định trước về các quyền và các quyền để thực hiện các nhiệm vụ trên một domain controller và trên Active Directory. Điều này có thể

được tạo chỉ trên các domain controller. Các nhóm loại này không thể bị xoá.

Special Identify Group: Các nhóm loại này tổ chức các user một cách tự động. Người quản trị không thể bổ sung các user vào nhóm này. Thay vào đó một cách mặc định các user là các thành viên của nhóm này, hoặc trở thành thành viên trong khi thực hiện các nhiệm vụ trên mạng.

Predefined Groups: Các nhóm loại này cung cấp cho người quản lý một cách dễ dàng các điều khiển các user trong domain. Các nhóm này chỉ thuộc trong các domain controller. Chúng được lưu trữ trong folder user trong Active Directory Users and Computers.

1.2 Các nhóm trong workgroupCác nhóm cục bộ được tạo ra khi tạo các nhóm trong workgroup. Các nhóm

cục bộ chỉ có thể được tạo ra trên các server thành viên hoặc trên các máy đang chạy với hệ điều hành windows XP. Có thể sử dụng các nhóm cục bộ để án định các quyền cho phép cho các nguồn tài nguyên chỉ trên các máy tính cục bộ. Các nhóm mặc định đã được tạo ra bởi windows 2003, đó là các nhóm có các quyền đặc biệt để thực hiện các nhiệm vụ hệ thống trên các máy cục bộ. Các user có thể được bổ sung đến các nhóm mặc định này một cách dễ dàng.

Local Groups: Khi tạo các nhóm cục bộ phải biết người và các thành viên của chúng sẽ được thực như thế nào. Nhóm cục bộ đã được tạo trên các server thành viên đang chạy windows 2003 server hoặc windows 2003 Advanced Server hoặc trên các máy client đang chạy với windows XP.

Local group được sử dụng theo các nguyên tắc dưới đây: Nhóm cục bộ không thể là một thành viên của một nhóm khác. Nhóm cục bộ chỉ có thể chứa các user account cục bộ từ máy tính

mà ở đó nhóm cục bộ đã được tạo. Chúng ta sử dụng các nhóm cục bộ để điều khiển việc truy xuất đến

các nguồn tài nguyên trên máy cục bộ và cho việc thực hiện các nhiệm vụ hệ thống của máy cục bộ.

Các nhóm cục bộ phải được thiết lập trên các máy tính không phải là một domain. Các nhóm cục bộ chỉ có thể được sử dụng trên các máy mà ở đó các nhóm cục bộ đã được tạo ra. Bất lợi của việc tạo các nhóm cục bộ trên các domain máy tính đó là cái nó sẽ hạn chế chúng ta từ nhóm quản trị trung tâm. Nhóm cục bộ sẽ không thấy trong Active Directory và do đó các nhóm cục bộ cần phải quản trị một cách riêng biệt.

Built-In Groups: Khi chúng ta cài đặt Windows xp hoặc windows 2003 advanced server trên server thành viên, các nhóm này được tạo một cách tự động. Các nhóm này đã được định nghĩa trước một tập các quyền và

các quyền. Các nhóm này đã được định nghĩa trước một tập các quyền và các quyền. Các nhóm này không thể xoá được. Thành lập các nhóm là: Built-In local Groups: Trong nhóm này các thành viên có thể thực

hiện các nhiệm vụ hệ thống như là việc thay đổi hệ thống thời gian, khôi phục các file, sao lưu các file và việc quản trị các nguồn tài nguyên hệ thống. Các nhóm này được lưu trữ trong nhóm folder ở local users and groups trong computer management.

Special Identities / Groups: Trong nhóm này các user được tổ chức một cách tự động. Thường thì người quản trị không thể sửa đổi các thành viên trong nhóm. Các user là các thành viên mặc định của nhóm này hoặc trở thành các thành viên trong suôt quá trình mạng hoạt động. Theo mặc định Windows 2003 chứa các nhóm đặc biệt này.

2. Chính Sách NhómTổng chi phí cho việc sở hữu, được xem như là TCO: Total Cost of

Ownership, là một chi phí mà nó bao gồm việc thực hiện phân phối máy dành riêng trên mạng. Chúng ta có thể giảm bớt TCO mạng của chúng ta bằng việc sử dụng chính sách nhóm trong Microsoft windows 2003. Chính sách nhóm là một công nghệ mà nó cho phép người quản trị để quản lý các môi trường desktop qua một mạng windows 2003. Việc quản lý desktop thông qua các chính sách nhóm được thực hiện bằng việc áp dụng các thiết lập cấu hình computer và các user account. Các thiết lập chính sách nhóm tập trung ở các đối tượng chính sách nhóm (GPO: Group Policy Object). Các chính sách nhóm cho phép người quản trị để thiết lập một yêu cầu cho một user hoặc một computer. Yêu cầu có thể sau đó sẽ được đem thực hiện liên tục. Chúng ta có thể sử dụng snap-in group policy và phần mở rộng của nó trong MMC để mặc định nghĩa thiết lập chính sách nhóm. Các chính sách nhóm mở rộng:

Administrative Templates: Dựa trên Registry: Cấu hình xuất hiện desktop, thiết lập ứng dụng và chạy các dịch vụ của hệ thống.

Folder Redirection: Lưu trữ các folder của user trên mạng. Scripts: Tạo các scripts mà nó có thể được sử dụng khi một user logon

hoặc logoff, khi một computer khởi động hoặc tắt máy. Security: Tuỳ chọn này cung cấp cho máy cục bộ, domain và các thiết

lập an toàn mạng Software Installation: Chủ yếu quản lý việc cài đặt phần mềm, cập nhật

và xoá bỏ.Trong Windows 2003, các thiết lập chính sách nhóm là hầu như được lưu

trữ trong một đối tượng chính sách nhóm (GPO). Do đó, chúng ta tạo GPO và sau đó thiết lập nó để chứa các thiết lập chính sách nhóm. GPO là một bộ lưu trữ ảo

định vị cho các thiết lập chính sách nhóm. Một GPO bao gồm một tập các thiết lập mà nó ảnh hưởng riêng của các user và các computer. Mỗi GPO sẽ có một cấu hình khác nhau và sẽ có các ảnh hưởng riêng khác nhau cho đối với các user và các conputer. Nội dung của một GPO được lưu trữ trong 2 vị trí khác nhau:

Group Policy Containers (GPC) Group Policy Templates (GPT)

2.1 Các Group Policy Containers (GPC)Group policy Container là một đối tượng Active Directory. Nó chứa các

thuộc tính của GPO và bao gồm các container con cho thông tin chính sách nhóm về các user và các computer. GPC bao gồm các thông tin dưới đây:

Danh sách các component: chứa một danh sách các chính sách nhóm mở rộng được sử dụng trong GPO

Thông tin các trạng thái: Cho biết một GPO có thể hay không có thể được thực hiện.

Thông tin Version: Đảm bảo rằng thông tin trong GPC xảy ra đồng thời với thông tin ở trong GPT.

2.2 Các Group Policy Template (GPT)Các Group Template là các folder vật lý mà nó được tạo ra khi chúng ta tạo

một đối tượng chính sách nhóm. GPT là một folder có thứ tự trong foder sysvol ở trên các domain controller. Đây là một đối tượng chưa tất cả thông tin chính sách nhóm trên các template quản trị, các script, cài đặt phần mềm, việc nhân bản folder.Khi chúng tạo ra một GPO, windows 2003 tạo một folder GPT có thứ tự. Folder là một tên sau khi GUID (globally unique identifier) của GPO chúng ta được tạo. Một directory được tạo với tên DNS của domain, dưới directory sysvol. Một directory khác có tên là Policies được tạo dưới directory domain. Dưới directory policies này một thư mục được tạo với GUID của GPO như là tên của một thư mục3. Ứng dụng các chính sách nhóm

Bước quan trọng trong quá trình cài đặt chính sách nhóm nhóm là phải hiểu cách thừa kế và thứ tự thực hiện của các đối tượng chính sách nhóm. Khi chúng ta ứng dụng một đối tượng chính sách nhóm đến một đối tượng chứa, nó được thừa kế trong suốt các cấp bậc của hệ thống. Đây là một cách thừa kế của Active Directory trong việc đơn giản hoá các nhiệm vụ quản trị. Chúng ta có thể kết hợp đối tượng chứa Active Directory với một GPO trong quá trình tạo nó. Đối tượng chứa có thể là một site, domain hoặc một OU. Việc thiết lập chính sách nhóm trong một GPO sẽ ảnh hưởng các đối tượng trong một đối tượng chứa. Việc thiết lập chính sách sẽ được thừa kế theo thứ tự sau:

Site Domain OU

Theo mặc định. Windows 2003 ước lượng các đối tượng chính sách nhóm từ đối tượng chứa xa nhất của một đối tượng. Cái mà nó được áp dụng trong việc thiết lập một site, domain và sau cùng là một OU. Việc thiết lập chính sách của một OU đến computer hoặc user thuộc về nó, sẽ thiết lập sau cùng đó là điều sẽ được áp dụng cho user hoặc computer. Do đó, một thiết lập chính sách nhóm trong đối tượng chưa Active Directory đến user hoặc computer là mâu thuẫn quan trọng của việc thiết lập chính sách nhóm trong một đối tượng chứa đó là cái ở xa nhất kể từ user hoặc computer.Thiết lập chính sách nhóm có thể được thiết lập cho các OU cha và OU con. Trong một số trường hợp, khả năng tương thích giữa các thiết lập xác định đó là thiết lập sẽ được áp dụng. Nếu cả hai thiết thiết lập là tương thích thì sau đó các thiết lập từ cả OU cha và OU con sẽ được áp dụng trên các đối tượng của OU con. Tuy nhiên, nếu chúng không tương thích thì sau đó OU con sẽ không thừa kế các thiết lập của OU cha. Vì thế các thiết lập của OU con sẽ được áp dụng trên các đối tượng của OU con. Trong trường hợp này, các thiết lập chính sách nhóm đã được thiết kế trên OU cha và không ở trên OU con thì sau đó các đối tượng của OU con sẽ thừa kế các thiết lập của OU cha.Các quy tắc thừa kế mặc định trong windows 2003 có thể được sửa đổi. Chúng ta cũng có thể sửa đổi các quy tắc thừa kế cho các GPO riêng lẻ. Hai tuỳ chọn đã được cung cấp cho việc thay đổi quá trình mặc định:

Block Inheritance: Chúng ta có thể sử dụng tuỳ chọn này đến khối của một đối tượng chứa con từ việc thừa kế các thiết lập của đối tượng chứa cha. Nó đã được sử dụng khi một OU cần phải thiết lập chính sách duy nhất. Khối thừa kế được áp dụng đến tất cả các đối tượng chính sách nhóm trong đối tượng chứa cha. Trong trường hợp mâu thuẫn, tuỳ chọn No Override luôn đặt quyền ưu tiên lên tùy chọn này.

No Override: Chúng ta có thể sử dụng tuỳ chọn này để ngăn cản một OU con từ việc đè lên các thiết lập một GPO với mức độ cao nhất. Tuỳ chọn này là một tập lên các GPO. Đây là điều có thể trong việc thiết lập tuỳ chọn này trên một hay nhiều hơn một GPO. Trong một số trường hợp, GPO với tuỳ chọn No Override, cấp bậc cao nhất trong Active Directory sẽ đặt quyền ưu tiên lên trên các GPO khác.

Một GPO là được kết hợp với một site ảnh hưởng đến tất cả các computer trong site, bất luận các domain thuộc về chúng. Tuy nhiên, GPO đã được lưu trữ chỉ trong một domain controller trong một site. Tất cả các computer phải tiếp xúc với domain controller đó là cái đã chứa GPO cho các thiết lập chính sách. Từ khi đó, site có thể chứa nhiều domain, các domain này có thể chứa nhiều domain, các domain này có thể thừa kế GPO đã được kết hợp với site.4. Cấu hình các chính sách nhóm

Các thiết lập chính sách nhóm trong một GPO có thể được cấu hình bằng cách sử dụng snap-in Group Policy mở rộng trong MMC. Các mở rộng chính sách nhóm bao gồm các thiết lập cho:

Administrative Templates Folder Redirection Scripts Security Remote Installation Servies Software InstallationĐể mở một GPO ta làm như sau: Mở Active Directory Users and Computer / Active Directory Sites and Services từ menu administrative tools. Nhấp phải vào container hay OU, Nhấp propertices, Nhấp vào tab Group Policy, Chọn GPO mà chúng ta muốn, nhấp New nếu chưa có GPO và nhấp Edit

Thiết lập chính sách nhóm GPO được phân thành: Computer Configuration và User Configuration.

4.1 Computer Configuration - Cấu hình máy tínhLoại này bao gồm các thiết lập chính sách nhóm quy định môi trường

desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật trên các máy tính. Đây là các thiết lập đã được áp dụng khi khởi tạo hệ điều hành. Các thiết lập cấu hình máy tính bao gồm tất cả các liên kết chính sách được chỉ rõ dưới đây:

Software Settingo Software Installation

Windows settingso Scripts(Startup/Shutdown)o Security Settings

Account Policies Local Policy Event log Restricted Groups System Services Registry File system

Administrative Templateso Windows Componentso Systemo Networko Printer

4.2 User Configuration - Cấu hình người sử dụngLoại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop

tuỳ ý hoặc bắt tuân theo các chính sách bảo mật của người sử dụng. Các thiết lập người sử dụng đã được áp dụng khi người sử dụng đăng nhập vào máy tính. Các thiết lập cấu hình người sử dụng bao gồm tất cả các liên kết chính sách người sử dụng được chỉ rõ dưới đây:

Software Settingso Software Installation

Windows Settingso Remote Installation Serviceso Scripts(logon/logoff)o Security Settingo Folder Redirectiono Internet Explorer maintenance

Administrative Templateso Windows Componentso Start Menu and takbar o Desktopo Control panelo Shared Foldero Networko System

Bên trong các folder, subfolder và các chính sách không giống nhau tuỳ theo từng trường hợp chúng ta chọn cấu hình máy tính hay cấu hình người sử dụng. Điều khiển chính sách nhóm nên tập trung vào cùng một domain controller. Do đó, bằng cách mặc định. Việc điều hành chính sách tập trung trong primary domain controller. Tuy nhiên, nếu domain controller với vai trò điều hành chính sách là PDC là không có hiệu lực, khi đó một thông báo lỗi được xuất hiện. Mặc dù, chúng ta sẽ được cho phép để chọn một domain controller khác. Chúng ta có thể lấy dữ liệu khi nhiều người quản trị đang sửa đổi trên cùng một GPO. Trong trường hợp này, thay đổi cuối cùng sẽ ghi đè lên thay đổi trước đó khi hoàn thành một GPO.

Thông báo lỗi sẽ nhắc nhở khi ghi đè. Chúng ta nên chọn mục này chỉ khi chúng ta đã chắc chắn điều đó.

Một GPO không được thay đổi bởi bất kỳ người nào Các GPO và các file kết hợp đã được thay thế một cách hoàn toàn sau

thay đổi cuối cùng.4.3 Các thiết lập Administrative TemplateAdministrative Template chứa các đăng ký dựa trên các thiết lập chính sách

nhóm. Trong registry edit, các thiết lập chính sách nhóm giành riêng cho người sử dụng được ghi ở HKEY_CURRENT_USER\Software\Policies. Tương tự, các thiết lập chính sách nhóm giành riêng cho máy tính được ghi ở HKEY_CURRENT_MACHINE\ software\ policies.

4.4 Các thiết lập kịch bản (Script)Windows 2003 cho phép các script được ghi trong cả computer và users.

Đối với computers, chúng ta có thể để ấn định script thực hiện trong suốt quá trình cả quá trình khởi động và tắt máy. Đối với users, chúng ta có thể án định các script thực hiện trong xuốt qúa trình đăng nhập và đăng xuất. Chúng ta có thể ấn định các script đăng nhập / đăng xuất thông qua trang properties của user account. Tuy nhiên việc gán script thông qua chính sách nhóm là phương pháp được ưu tiên hơn. Chúng ta có thể ấn định nhiều script đến một user hoặc một computer.Trong windows 2003, các scipt được thực hiện theo các mục sau.

Trong trường hợp nhiều script, các script đã là một quá trình theo thứ tự từ trên xuống dưới trong trường hợp này chúng đã là một danh sách trong hộp thoại properties.

Windows 2003 thực hiện các script đăng xuất trước khi thực hiện các script tắt máy.

Giá trị thời gian mặc định tối đa cho việc thực hiện các script là 10 phút. Tuy nhiên, chúng ta có thể thay đổi giá trị này bằng cách thay đổi thời gian chờ trong computer configuration \ Administrative Templates \ System\ Logon\ Maximum.

4.5 Các thiết lập an toàn (Security)Chúng ta có thể thiết lập và cho hiệu lực an toàn trong mạng của chung ta

bằng cách sử dụng các thiết lập an toàn chính sách nhóm. Chúng ta sử dụng các thiết lập an toàn mở rộng trong chính sách nhóm để định rõ các thiết lập an toàn. Các khoản trong các thiết lập an toàn mở rộng đã được thảo luận ở bên dưới.

Account Policies: Chính sách tài khoản cho một domain xác định. Thiết lập Password Thiết lập giao thức Kerberos version 5 Các chính sách khoá Account

Event Log: Chúng ta có thể cấu hình các tham số như kích thước. Truy xuất và việc sở hữu cho các ứng dụng, hệ thống và an toàn với thiết lập event log.

File System: Các thiết lập hệ thống file cho phép chúng ta cấu hình an toàn trên các đường dẫn file riêng biệt.

IP Security Policies on Active Directory: Chúng ta có thể cấu hình các giao thức an toàn trên mạng interner khi sử dụng chính sách IP sercurity.

Local Policies: Các thiết lập chính sách cục bộ có thể được sử dụng cấu hình các chính sách kiểm toán, việc cấp các quyền và cho phép đối với người sử dụng và thiết lập các mục an toàn khác cần thiết để cấu hình cục bộ. Các thiết lập chính sách này là cục bộ đến các máy tính.

Public Key Policies: Các chính sách khoá công khai có thể được cấu hình hoặc là User configuration hoặc security settings. Chúng ta có thể sử dụng các chính sách khoá công khai trong thiết lập an toàn để cấu hình các domain gốc, giao phó các quyền lực và việc khôi phục lại mã hoá dữ liệu.

Registry: Chúng ta có thể sử dụng thiết lập registry để cấu hình an toàn các registry key.

R