Giáo trình Mô đun Quản trị Windows Server cơ bản - Quản trị mạng máy tính

thiết 
lập giá trị 0 nếu không muốn tự đông Unlock. Mặc định không có hiệu lực vì 
chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết 
lập. 
– Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không 
thành công. Trong trường hợp này Account sẽ bị khóa. Trong trường hợp này 
Account sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc 
phải đợi đến khi thời hạn khóa hết hiệu lực. Có thể thiết lập giá trị cho số lần 
đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ 
không bị khóa. 
– Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập 
về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực 
khi “Account lockout threshold” được thiết lập. 
2. Local Policy: các chính sách cục bộ. 
– User rights Assignments: Ấn định quyền cho người dùng. 
Quyền của người dùng ở đây bao gồm các quyền truy cập, quyền backup dữ 
liệu, thay đổi thời gian cho hệ thống. 
Trong phần này để cấu hình cho một mục nào đó, click đúp chuột lên mục và 
click Add user or group để trao quyền mặc định cho user hoặc group theo yêu 
cầu. 
 + Access this computer from the network: Với những kẻ tò mò, tốt nhất 
chúng ta không cho phép chúng truy cập vào máy tính của mình. Với thiết lập 
này ta có thể tùy ý thêm, bớt quyền truy cập vào máy cho bất ký tài khoàn nào 
hoặc nhóm nào. 
+ Act as part of the operating system: Chính sách này chỉ định tài khoản nào 
sẽ được phép hoạt động như một phần của hệ thống. Mặc định Administrator có 
quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận 
như bất kỳ một người dùng, vì thế có thể sử dụng tài nguyên hệ thống như bất 
kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu 
đặc quyền này. 
+ Add workstation to domain: Thêm một tài khoản hoặc nhóm vào miền. 
Chính sách này chỉ hoạt động trên hệ thống sự dụng Domain Controller. Khi 
được thêm vào miền, tài khoản này sẽ có thêm các quyền hoạt động trên dịch vụ 
thư mục (Active Directory), có thể truy cập tài nguyên mạc như một thành viên 
trong domain. 
+ Adjust memory quotas for a process: Chỉ định những ai được phép điều 
chỉnh chi tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này có làm tăng 
hiệu suất hệ thống nhưng nó có thể bị lạm dụng phục vụ cho những mục đích 
xấu như tấn công từ chối dịch vụ DoS (Dial of Service). 
+ Allow logon through Terminal Services: Terminal services là một dịch vụ 
cho phép đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp 
chúng ta những ai được phép sử dụng dịch vụ Terminal services để đăng nhập 
hệ thống. 
+ backup files add directories: Tương tự như các chính sách trên, ở đây cấp 
phép ai đó có quyền backup dữ liệu. 
+ Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời 
gian của hệ thống. 
+ Create global objects: Cấp quyền cho ai có thể tạo ra các đối tượng dùng 
chung. 
+ Force shutdown from a remote system: Cho phép ai có quyền tắt máy qua 
hệ thống điều khiển từ xa. 
+ Shutdown the system: Cho phép ai có quyền shutdown máy. 
 + Deny access to this computer from the net: Cấm user không được phép 
truy xuất đến máy. 
+ Deny logon localy: Cấm User Logon cục bộ. 
+ Deny logon through Terminal Services: Cấm User Remote Desktop. 
+ Logon localy: Thiết lập người dùng Logon cục bộ. 
 – Security Options: 
+ Account: Administrator account status: Trạng thái hoạt động của 
Administrator. 
+ Account: Guest account status: Trạng thái hoạt động của User Guest. 
+ Account: Limit local account use of blank password to console: Đăng nhập 
không cần password. 
+ Account: Rename administrator account: Đổi tên Administrator. 
+ Account: Rename guest account: Đổi tên Guest. 
+ Devices: Prevent users from installing printer drivers: Không cho phép cài 
Printer 
+ Devices: Restrict CD-ROM access to localy logged-on user only: Cấm truy 
nhập xa từ CD-ROM. 
+ Interactive: Do not require CTRL + ALT + DEL: Bỏ Ctrl + alt + Del 
+ Interactive: Message text for users attempting to logon: Đặt tiêu đề khi 
logon. 
+ Interactive: Message title for users attempting to log on: Đặt tiêu đề khi 
logon 
+ Interactive: Number of previous logons to cache in cache: Cache kho logon 
+ Shutdown: Allow system to be shut down 
+ Shutdown: Allow system to be shut down without having to log 
on: Shutdown không cần logon. 
+ Shutdown: Clear virtual memory pagefile. Xóa bộ nhớ ảo khi Shutdown. 
-Administrator Templates -> Windows Components -> Intenet Explorer 
(IE) 
 + Security Zones: Use only machine settings: Bắt buộc tất cả các User đều 
chung một mức độ Security như nhau. 
+ Security Zones: Do not allow users to change policies: Trong Security Zone 
có danh sách các Site nguy hiểm do người dùng thiết lập, Enable tùy chọn sẽ 
không co thay đổi danh sách đó (Tốt nhất là giấu thẻ Security). 
+ Disable Periodic Check for Internet Explorer software updates: Ngăn 
không cho IE tự động Update. 
-Administrator Templates -> System -> Logon 
+ Don’t display the Getting Started welcome screen at logon: Ẩn màn hình 
Welcome khi User đăng nhập vào hệ thống. 
-Computer Configuration -> Policies – > Administrative Templates – > 
System -> System Restore. 
+ Turn off System Restore: Tắt System Restore, khi user gọi System Restore 
thì xuất hiện thông báo “System Restore has been turn off by group policy. To 
turn on System Restore, contact your domain Administrator”. 
+ Turn off Configuration: Chỉ có tác dụng khi System Restore được kích hoạt, 
tính năng này vô hiệu hóa phần thiết lập cấu hình của System Restore. 
 Phần II: User configuration 
 -User configuration – >Windows Setting – > Internet Explorer 
Maintenance – > Browse User Interface. 
+ Browser Title: Thay đổi tiêu đề nội dung IE 
+ Custom Logo: Thay đổi logo của IE (Chỉ hỗ trợ file BMP có 16-256 màu và 
kích cỡ 22×22 hoặc 38×38). 
+ Browse Toolbar Customizations: Thay đổi Toolbar cho IE. 
-User configuration – > Administrator Templates – > Windows 
Components – > Windows Expolorer 
+ Maximum number of recent documents: Quy định số lượng tài liệu đã mở 
hiển thị trong My Recent Documents. 
+ Do not move deleted files to the Recycle Bin: File bị xóa sẽ không được đưa 
vào Recycle Bin. 
+ Maximum allowed Recycle Bin size: Giới hạn dung lượng Recycle Bin, tính 
bằng đơn vị phần trăm dung lượn của ổ đĩa cứng. 
+ Removes the Folder Options menu item from the Tools menu. Ẩn Folder 
Option. 
+ Remove Search button from Windows Expolorer. Ẩn Search trong 
Explorer. 
+ Remove Windows Explorer’s default context menu. Ẩn context khi click 
chuột phải. 
+ Hides the manage item the Windows Expolorer context. Ẩn manage khi 
click chuột phải vào My Computer. 
+ Hide these specfied drivers in My Computer. Ẩn ổ đĩa (access qua 
Addresss). 
+ Prevent access to drivers from My Computer. Ngăn truy cập các ổ đĩa. 
+ Remove Hardware tab. Ẩn tab Hardware. 
 + Remove DFS tab. Ẩn tab DFS. 
+ Remove Security tab. Ẩn tab Security. 
-User configuration – > Administrator Templates – > Windows 
Components – > Windows Update 
+ Remove access to use all Windows Update features : Cấm tải các bản cập 
nhật. 
 -User configuration – > Administrator Templates – > Windows 
Components – > Windows Media Player – > Playback 
 + Prevent Codec Download: Ngăn không cho Windows Media Player tự động 
tải các codec. 
+ Allow Screen Saver: Cho phép thiếp lập màn hình giao diện Windows Media 
Player. 
Điều khiển đặc quyền tài khoản Administrator 
Bạn có thể điều khiển các tài khoản để biết chúng có khả năng làm những gì và 
được phép truy cập những gì ? 
Vì sao lại là điều khiển tài khoản Administrator ? 
Có rất nhiều lý do cần kiểm soát tài khoản này. Đầu tiên, trên mỗi mạng, dù 
trung bình hay lớn cũng có thể có hàng nghìn tài khoản Administrator. Khả năng 
chúng vượt ra ngoài tầm kiểm soát là hoàn toàn có thực. Thứ hai, hầu hết các 
công ty đều cho phép “người dùng tiêu chuẩn” truy cập tài khoản Administrator 
cục bộ, có thể dẫn đến nguy cơ rủi ro hay tai nạn nào đó. Thứ ba, tài khoản 
administrator nguyên bản ban đầu sẽ buộc phải dùng một cách dè dặt. Vì vậy, 
giới hạn đặc quyền là một cách thông minh để quản lý hệ thống mạng trong 
doanh nghiệp. 
Giới hạn đặc quyền đăng nhập 
Chúng ta không làm được gì nhiều để giới hạn vật lý đặc quyền đăng nhập các 
tài khoản Administrator. Tuy nhiên không nên để chúng được sử dụng thường 
xuyên, cơ bản hàng ngày. Cần giới hạn chúng bằng cách hạn chế số người dùng 
biết mật khẩu. Với tài khoản Administrator liên quan đến Active Directory, tốt 
hơn hết là không để cho người dùng nào biết toàn bộ mật khẩu. Điều này có thể 
thực hiện dễ dàng với hai tài khoản Administrator khác nhau, chỉ nhập một phần 
mật khẩu, và dùng một tài liệu dẫn dắt đến các phần chưa mật khẩu đó. Nếu tài 
khoản chưa cần phải dùng đến, cả hai phần dữ liệu của mật khẩu có thể được giữ 
nguyên. Một lựa chọn khác là sử dụng chương trình tự động tạo mật khẩu, có 
thể tạo ra mật khẩu tổng hợp 
Bài tập thực hành của học viên 
1. Cài đặt và cấu hình dịch vụ DHCP. 
2. Cài đặt và cấu hình dịch vụ WINS 
Hƣớng dẫn thực hiện: 
1. Cài đặt và cấu hình dịch vụ DHCP 
a). CÀI ĐẶT DHCP 
 Các máy khách sẽ nhận địa chỉ IP một cách tự động từ dịch vụ cấp phát 
địa chỉ động DHCP. Dịc vụ này được cài đặt trên máy chủ như sau: 
Start / control panel / Add or remove programs(Start/ Settings / control 
panel / Add or remove programs), xuất hiện hộp thoại Add or remove programs 
click biểu tượng Add/remove Windows Components. Sẽ xuất hiện hộp thoại 
sau: 
Di chuyển thanh sáng đến mục Networking Service và nhấn nút Details 
sẽ xuất hiện cửa sổ Networking Services. 
Trong cửa sổ Networking Services đánh dấu chọn mục Dynamic Host 
Configuration Protocol (DHCP) và nhấn OK. 
Trở lại hộp thoại Networking Services chọn Next để tiếp tục. 
Windows sẽ cấu hình và cài đặt các thành phần của dịch vụ DHCP. Trong 
qúa trình cài đặt Windows đòi hỏi phải Insert đĩa DVD Windows Server 
2003 vào. 
 Đến khi hộp thoại Completing The Windows Components Wizard, chọn 
Finish để hoàn tất. 
b). CẤU HÌNH DỊCH VỤ DHCP 
Từ menu Start / Programs/ Administrative Tools / DHCP. Cửa sổ DHCP 
xuất hiện. 
Trong cửa sổ DHCP. Chọn menu Action / New Scope. 
Hộp thoại New Scope Wizard xuất hiện chọn Next để tiếp tục. 
 Hộp thoại Scope Name xuất hiện, nhập tên và chú thích cho Scope. Sau đó 
chọn Next . 
 Hộp thoại IP Address Range xuất hiện. Nhập địa chỉ bắt đầu và địa chỉ kết 
thúccho dãy địa chỉ cấp phát, đồng thời nhập địa chỉ Subnet mask. Rồi chọn 
Next để sang bước tiếp theo. 
Hộp thoại Add Exculusions dùng để xác định dãy địa chỉ cần loại bỏ ra 
khỏi danh sách địa chỉ cấp phát của bước trên. 
 Trong hộp thoại Lease Duration, cho biết thời gian mà các máy Client có 
thể sử dụng các địa chỉ IP này. Mặc định ở đây là 8 ngày. Chọn Next để tiếp tục. 
Hộp thoại Configure DHCP Options xuất hiện. Ta có thể chọn Yes, I want 
to configure these option now (để thiếtt lập thêm các cấu hình tuỳ chọn khác), 
hoặc chọn No, I will configure these options later (để hoàn tất việc cấu hình cho 
Scope). Chọn No, I will configure these options later, nhấn Next để tiếp tục. 
Trong hộp thoại Activate scope hỏi ta có muốn kích hoạt Scope này 
không. Vì Scope chỉ có thể cấp phát địa chỉ khi được kích hoạt. Chọn Yes, I 
want to activate this scope now. Nhấn Next để tiếp tục. 
Hộp thoại Completing The New Scope Wizard thông báo việc thiết lập 
cấu hình cho scope đã hoàn tất, nhấn Finish để kết thúc. 
2. Cài đặt và cấu hình dịch vụ WINS 
a). Cài đặt WINS 
+ Bước 1: Click Stars->Setting->Control Panel 
+ Bước 2: Click đúp biểu tượng Add/Remove Programs. 
+ Bước 3: Click Add/Remove Windows Components, Click Next. 
+ Bước 4: Di chuyển thanh sáng đến mục Networking Service và nhấn nút 
Details sẽ xuất hiện cửa sổ Networking Services. 
+ Bước 5: Trong cửa sổ Networking Services đánh dấu chọn mục 
Windows Internet Name Service(WINS) và nhấn OK. 
+ Bước 6: Trở lại hộp thoại Networking Services chọn Next để tiếp tục. 
 + Bước 7: Trong qúa trình cài đặt Windows đòi hỏi phải Insert đĩa DVD 
Windows Server 2003 vào. 
+ Bước 8: Đến khi hộp thoại Completing The Windows Components 
Wizard, chọn Finish để hoàn tất. 
b). Cấu hình máy phục vụ WINS 
Khi cài đặt máy phục vụ WINS máy phục được lập cấu hình. với các xác lập 
mặc định, bạn có thể thay đổi xác lập mặc định: 
Trong console WINS, nhấp nút phải chuột vào máy phục vụ cần làm 
việc,chọn properties mở hộp thoại sau, 
Thay đổi giá trị thuộc tính trên các trang Genaral, Interval, Database 
Verification, Advance. 
Click OK khi xong việc. 
c). Cấu hình máy khách WINS 
Trên desktop, Click chuột phải vào My Network Place chọn Properties, 
Click phải vào Local Connection chọn Properties. 
Click đôi vài Internet Protocol(TCP/IP), Click vào Advanced, chọn 
WINS. 
Chọn tiếp Add, nhập vào IP của WINS server, Click Add.. 
d). Bổ sung máy chủ WINS 
Khi cài đặt máy phục vụ mới, máy này được lập cấu hình. với các xác lập 
mặc định. Bạn có thể xem và và thay đổi xác lập mặc định bất cứ lúc nào 
thông qua console WINS. Console WINS truy cập từ thư mục 
Adminitrative Tools (common), là nơi bạn quản lý các máy phục vụ WINS 
trên mạng. Cửa sổ chính của console WINS; được chia thành hai khung. 
Khung bên trái liệt kê máy phục vụ WINS trong vùng theo địa chỉ IP, kể cả 
máy tính cục bộ, nếu đấy cũng là máy phục vụ WINS. 
Nếu một máy phục vụ WINS cần lập cấu hình không có tên trong console 
WINS, tiến hành bổ sung vào console như sau: 
+ Bước 1: Click nút phải chuột vào WINS bên khung trái,chọn Add Server. 
+ Bước 2: Gõ địa chỉ IP hay tên máy tính của máy phục vụ WINS được 
quản lý 
+ Bước 3: Click OK.Khung bên trái xuất hiện thêm mục nhập dành cho máy 
phục vụ WINS này 
e). Khởi động và ngừng WINS: 
Công tác quản lý máy phục vụ WINS được thực hiện qua Windows 
Internet Naming Service. Tương tự mọi dịch vụ khác, bạn có thể khởi động, 
ngừng hẳn hay tạm dừng tiếp tục chạy WINS trong thư mục Servers của 
Computer Management hay từ dòng lệnh. 
Để quản lý máy phục vụ WINS thông qua Computer Management Click 
nút phải chuột vào WINS, chọn All Task, Start, Stop, Pause, Resume, Restart 
tuỳ tình huống. Cũng có thể quản lý WINS trong console WINS: Click nút phải 
chuột vào “máy phục vụ” sẽ được quản lý trong console WINS chọn All Tasks, 
chọn tiếp Start, Stop, Pause, Resume, Restart, tuỳ tình huống. 
 TÀI LIỆU THAM KHẢO 
(1) Quản trị mạng Windows Server 2003, Nhà xuất bản Phương Đông, Năm 
2009, Phương Lan và Tô Thanh Hải (Tập 1, 2) 
(2) Làm chủ Microsoft Windows 2003 Server, Nhà xuất bản thống kê, Năm 
2005. Phạm Hoàng Dũng (Tập 1, 2, 3) 
(3) Microsoft Windows 2000s - Cài Đặt & Quản Trị , Nhà xuất bản Mũi Cà 
mau, Phạm Thế Bảo. 
(4) MCSE Training Kit, Published by Microsoft Press, 2003. 
 (5)