Giáo trình Quản trị môi trường mạng (Phần 1)

Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũng 
duy trì toàn bộ môi trường làm việc của user. Một đường dẫn mạng cũng có thể 
được thiết lập để nhận các truy cập các tài nguyên mạng và bổ xung kịch bản đăng 
nhập và home folder có thể được gán bởi tuỳ chọn này. 
 + Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile, 
pager (số máy tin nhắn) và IP phone của user. Chúng ta cũng có thể thêm các ghi 
chú ở đây. 
 + Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty, 
tên công ty hay tổ chức, các thông tin về user và báo các trực tiếp của user. 
 - 39 - 
 + Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó user 
này thuộc về. 
 + Dial-In: Tùy chọn này cho phép chúng ta điều khiển user tạo một kết nối 
dial-in từ một nơi xa đến mạng. Điều này chỉ có thể thực hiện nếu user đang quay 
số tới một máy tính đang chạy Windows 2003 Remote access services(RAS). Có 
một số tuỳ để thiết lập cho bảo mật quay số như sau: 
 Allow Access: Tự động xác định các thiết lập dial-in có được cho phép hay 
không. 
 Deny Access: Sẽ xác định dial-in có bị từ chối hay không 
 Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết nối. 
 No Callback: Sẽ xác định RAS sẽ không gọi người user. Điều này cho phép 
user gọi từ bất kì số điện thoại nào. Nó được thiết kế cho môi trường bảo mật thấp. 
 Set by caller: Sẽ xác định RAS sẽ đáp ứng đến user có được cung cấp nó 
với số điện thoại. Vì thông tin này sẽ có thể được ghi lại(logged) nên chúng ta có 
thể sử dụng có trên môi trường bảo mật trung bình. 
 Always Callback To: Sẽ xác định rằng RAS sẽ đáp ứng lại với user tại số 
điện thoại đã được xác định. User nên cẩn thận để hiện diện tại cùng một thời 
điểm RAS kết nối đến. Tuỳ chọn này được dùng trong môi trường bảo mật cao. 
 Environment: Để tạo môi trường client-working thì tab này phải được sử 
dụng. Nó xác định một hay nhiều ứng dụng khởi động và tất cả các thiết bị để kết 
nối khi user đăng nhập vào. 
 Sessions: Tuỳ chọn này được sử dụng để giới hạn chiều dài của sessions 
(phiên), tuỳ thuộc vào session có active (kích hoạt), idle (nghỉ) hay disconnect 
(ngắt kết nối). Chúng ta cũng có thể quyết định những hành động nên được tiến 
hành trong trường hợp session đã tiến đến giới hạn thời gian. 
 + End A Disconnected Session: Chỉ định thời gian lớn nhất mà một session 
chưa kết nối còn cho phép được chạy. Một khi quá giới hạn thời gian thì session 
không thể tìm trở lại. 
 + Active Session Limit: Xác định khoảng lớn nhất của session được kết nối. 
Một khi giới hạn thời gian tiến đến gần, session có thể khởi động lại hoặc ngắt kết 
nối rời khỏi session active trên server. 
 + Idle Session Limit: Xác định thời gian lớn nhất được cho trứoc khi session 
được khởi tạo lại hay ngắt kết nối. Nó sẽ bị ngắt kết nối sau khi hết thời gian của 
những hoạt động tại kết nối. 
 - 40 - 
 + Remote control: Sẽ xác định các thiết lập điều khiển từ xa của các dịch 
vụ Terminal. Bằng các thiết lập điều này chúng ta có thể tham gia giám sát session 
của client của bất kì máy tính nào đã đăng nhập vào Terminal Server. 
1.3. Triển khai User principal name suffixes: 
 User principal name (UPN): Là một tên dùng để logon trong hệ thống mạng 
windows server 2008. 
 Được chia ra hai phần: 
 + Upn prefix. 
 + Upn suffix. 
 Lợi ích của việc dùng upn: 
 + Duy nhất trong Active Directory forest. 
 + Dùng như 1 địa chỉ email. 
 Name suffix routing: Là cơ chế phân giải tên miền thông qua những forest 
trust. Name suffix sử dụng để định tuyến các yêu cầu chứng thực giữa các forest 
được thiết lập trust với nhau. Name suffix không tồn tại trong forest thứ nhất có 
thể được định tuyến tới forest thứ 2. 
 Thông tin cấu hình định tuyến được thừa kế cho domain con. 
 Name suffix bị xung đột khi: 
 + Một DNS name đã được sử dụng. 
 + Một NETBIOS name đã được sử dụng. 
 + Một domain SID trùng với một name suffix SID. 
 Name suffix conflict trong domain là nguyên nhân khiến bị cấm truy cập 
tài nguyên từ bên ngoài forest. 
2. Quản trị OU 
2.1. Xây dựng và quản lý OU 
 Đơn vị tổ chức (OU) là một phân khu trong một Active Directory mà bạn 
có thể chứa đựng: User account, Groups, Computers, và các đơn vị tổ chức khác. 
Bạn có thể tạo ra các đơn vị tổ chức để nhân bản cấu trúc chức năng hoặc tổ chức 
kinh doanh của bạn. Mỗi miền có thể thực hiện của hệ thống phân cấp đơn vị tổ 
chức. Nếu tổ chức của bạn có chứa một số lĩnh vực, bạn có thể tạo ra những cấu 
trúc đơn vị tổ chức trong từng lĩnh vực là độc lập của các cấu trúc trong các lĩnh 
vực khác. 
 Thuật ngữ "đơn vị tổ chức" thường được rút ngắn "OU" trong cuộc trò 
chuyện thông thường. "Container" cũng thường được áp dụng trong vị trí của nó, 
 - 41 - 
ngay cả trong tài liệu riêng của Microsoft. Tất cả các thuật ngữ được coi là chính 
xác và hoán đổi cho nhau. 
Các phương pháp tạo và quản lý OU: 
* Active Directory Users and Computer: 
 Start / Administrative Tools /Active Directory Users and Computers (hoặc 
vào Start / Run, gõ lệnh DSA.MSC) để mở cửa sổ quản lý thành viên trong hệ 
thống. Bạn nhấn phải vào tên domain, chọn New / Organizational Unit / nhập tên 
OU vào ô Name / OK, OU vừa tạo sẽ được liệt kê bên dưới tên domain. 
* Các lệnh hỗ trợ: dsadd, dsmod, dsrm, dsmove, dsget, dsquery 
 - dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào 
trong dịch vụ Directory. 
 - dsrm: xóa một đối tượng trong dịch vụ Directory. 
 - dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch 
vụ Directory. 
 - dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact, 
group, ou, server hoặc user trong một dịch vụ Directory. 
 - dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user 
trong một dịch vụ Directory. 
 - dsquery: truy vấn các thành phần trong dịch vụ Directory. 
2.2. Ủy quyền và quản lý OU 
* Mục đích ủy quyền quản trị OU: 
 - Phân tán việc quản lý cho từng OU 
 - Đơn giản hóa trong việc quản trị 
 - Việc ủy quyền cung cấp 
 - Việc tự quản trong mỗi OU 
 - Cô lập quản lý dữ liệu và dịch vụ 
* Các tác vụ quản trị OU: 
 - Thay đổi thuộc tính của vật chứa (container). 
 - Tạo và xóa object. 
 - Thay đổi thuộc tính cuat object. 
2.3. Chiến lược xây dựng OU 
* Tiến trình lập kế hoạch xây dựng OU: 
 - Lập tài liệu về cấu trúc hiện tại của doanh nghiệp. 
 - Xác định các vùng cần cải tiến quản trị. 
 - Xác định cấp độ quản trị. 
 - 42 - 
 - Xác định tài khoản quản trị và tài khoản người dùng trong từng OU và 
các tài nguyên mà họ được phép quản lý và sử dụng. 
* Các nhân tố ảnh hương đến cấu trúc OU: 
 - Các loại mô hình quản trị IT: 
 + Tập trung. 
 + Tập trung tại hội sở (Trụ sở chính) và phân tán tại chi nhánh. 
 + Quản trị phân tán. 
 + Thuê IT bên ngoài. 
 - Cấu trúc của các mô hình quản trị IT: 
 + Dựa trên vị trí địa lý (Geographic - based) 
 + Dựa trên cấu trúc tổ chức phòng ban của doanh nghiệp 
 (Organization - based) 
 + Dựa trên chức năng trong cách tổ chức của doanh nghiệp 
 (Bussiness function - based) 
 + Kết hợp (Hybrid) 
* Chiến lược trong việc triển khai cấu trúc OU: 
 Mô hình chiến lược triển khai cấu trúc OU 
3. Quản trị Profile User 
3.1. Cấu hình Home Directory - Profiles 
 Home Folder là một share folder tự động map về máy trạm thành ổ đĩa 
mạng khi User đăng nhập bất kỳ client nào. 
 Home directory là thư mục cất giữ dữ liệu, chương trình, ứng dụng của một 
User ngoài thư mục My Documents. 
 Home directory có thể cất giữ local trên mỗi máy user log on locally hay 
có thể cất giữ trên server. 
 - 43 - 
 Chúng ta chỉ định Home Directory trong "User acc properties" \ Tab 
Profile. 
 Để cấu hình Home Diretory ta tiến hành làm như sau: Login vào Domain 
Controller với quyền Administratro. Vào ô đĩa C: tạo thư mục có tên là DULIEU 
/ Click chuột phải vào thư mục vừa tạo chọn Propertiese sau đó chọn tiếp Tab 
Sharing như hình dưới đây: 
 Sau khi Click chọn vào Tab Sharing tiếp tục Click chọn vào Advanced 
Sharing / đánh dấu chọn vào Share this folder 
 - 44 - 
 Đánh dấu chọn vào Permisssions và cấp quyền cho nhóm Everyone là Full 
Control / Click chọn Apply / OK 
 - 45 - 
 Hộp thoại DULIEU Properties đã được Sharing / Click chọn Close đễ đống 
cửa sổ này lại. 
 Bước tiếp theo mở công cụ Active Driectory Users and Computers từ Menu 
chọn Start / Administrative Tools. Sau đó tạo User với tên Là U1 / Click chọn 
Properties của User U1 chọn Tab Profile tạo mục Home folder đánh dấu chọn vào 
Connect: mục To: nhập đường nơi chứa các Profile được tạo ra cho U1 khi Login 
vào Doamin: \\DC01\DULIEU\%usernamee% .Click chọn Apply / OK 
 - 46 - 
3.2. Cấu hình Roaming Profiles 
 Profile là tổng hợp những dữ liệu đặc thù của một user. Nó bao gồm các dữ 
liệu như Favorites của IE, bookmark của Firefox, Outlook settings, và nhiều thứ 
 - 47 - 
khác. Windows được thiết kế để lưu dữ liệu của người dùng tại một địa điểm, 
giống như trên ổ cứng hoặc trên một server. Khi bạn logon và máy tính, nó sẽ tải 
dữ liệu trong profile của bạn kể cả những phần mềm được thiết lập để khởi động 
cùng windows. 
 Roaming Profiles là dạng profiles của người dùng được lưu trữ trên một 
server, nó sẽ được tải về máy tính bất cứ khi nào người dùng login. Theo cách 
này, người dùng có thể truy nhập đến thông tin và những thiết lập của họ mà 
không phụ thuộc vào máy tính mà họ đăng nhập. Local Profiles là dạng profiles 
được lưu trữ trực tiếp trên một máy tính, và rất ít dữ liệu được chuyển giữa PC và 
server khi họ logon vào. 
 Ưu điểm của Roaming Profile là nó sẽ tự động backup dữ liệu của người 
dùng đến server mỗi khi log out. Người dùng có thể đăng nhập trên nhiều máy 
tính mà vẫn dữ được những thiết lập của mình, điều này rất tốt trong môi trường 
mà mọi người làm việc không trên một máy tính cố định, chẳng hạn như một 
phòng lab. 
 Nhược điểm của Roaming Profile: khi người dùng đã logon , một bản sao 
của profiles của họ sẽ được lưu lại trên máy tính mà học đăng nhập, điều này tạo 
ra vấn đề về bảo mật. Thời gian đăng nhập cũng là một vấn đề, nếu người dùng 
đặt quá nhiều dữ liệu trong profiles của họ, có thể sẽ phải chờ đợi rất lâu khi đăng 
nhập hoặc tắt một máy tính. Kèm theo đó với profiles lớn còn chiếm nhiều băng 
thông để truyền dữ liệu qua lại, phần lowin trong số này là lượng băng thông bị 
lãng phí bởi nhiều tập tin và dữ liệu được tải đồng bộ tuy nhiên người dùng lại 
không dùng đến. 
 ➢ Tạo Folder C:\Profiles 
 Share Folder C:\Profiles với Shared permision: Everyone allow full control 
Click chuột phải vào Folder Profiles chọn properties tại tab Sharing chọn 
advanced sharing chọn share this folder chọn permision 
 - 48 - 
➢ Chọn Allow full control chọn ok / ok 
➢ Mở Active directory user and computer chọn server manager vào Role chọn 
 Active directory services chọn Active directory user and computer chọn 
 users 
 - 49 - 
 ➢ Click chuột phải vào User U1 chọn properties qua Tab Profile điền địa chỉ 
 thư mục Profile đã share trên PC1 gõ vào \\PC1\%username% chọn Apply 
4. Tạo các đối tượng bằng Command Line 
4.1. Câu lệnh tạo OU (Organizational Unit) – Command line creat OU 
Cấu trúc câu lệnh tạo OU: 
dsadd ou [-desc ] [{-s | -d 
}][-u ] [-p { | *}] [-q] [{-uc | -uco | -uci}] 
 Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh 
như sau: 
dsadd ou ou=it,dc=qtm,dc=com 
 Ý nghĩa câu lệnh tạo OU: 
 + dsadd ou: khởi tạo một ou 
 + ou=it:tạo OU có tên IT. 
 + dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó. 
 Chú ý: Nếu domain có dạng tên miền con ví dụ như: qtm.com.vn thì khai 
báo thêm như sau: dc=qtm, dc=com,dc=vn 
 Khi câu lệnh báo secceeded có nghĩa là đã tạo thành công. Vào Active 
Directory Users and Computers ta thấy OU tên IT đã được tạo. 
 - 50 - 
2. Câu lệnh tạo group – command creat group 
Cấu trúc câu lệnh tạo group: 
dsadd group [-secgrp {yes | no}] [-scope {l | g | u}] [-samid 
] [-desc ] [-memberof ] [-members 
 ] [{-s Server> | -d }] [-u ] [-p 
{ | *}] [-q] [{-uc | -uco | -uci}] 
 Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh 
như sau: 
 dsadd group cn=it_group,ou=it,dc=qtm,dc=com -secgrp yes -scope g 
 Ý nghĩa câu lệnh tạo group: 
 + dsadd group: câu lệnh sẽ khởi tạo một group. 
 + cn=it_group: Group được tạo có tên là it_group. 
 + ou=it: Group được tạo sẽ nằm trong ou có tên là it. 
 + dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó. 
 + -secgrp yes: Kiểu group là Security, nếu chọn no sẽ là kiểu Distribution 
 + -scope g: scope của group là Global, nếu chọn tham số là l sẽ là kiểu 
Domain local, tham số U là kiểu Universal 
 Vào Active Directory Users and Computers sẽ thấy group it_group được 
tạo thành công. 
 - 51 - 
3. Câu lệnh tạo user – Command line create User 
Cú pháp câu lệnh tạo User: 
dsadd user [-samid ] [-upn ] [-fn 
] [-mi ] [-ln ] [-display ] [-
empid ] [-pwd { | *}] [-desc ] [-
memberof ] [-office ] [-tel ] [-email 
] [-hometel ] [-pager ] [-
mobile ] [-fax ] [-iptel ] 
[-webpg ] [-title ] [-dept ] [-company 
] [-mgr ] [-hmdir ] [-hmdrv 
:][-profile ] [-loscr ] [-mustchpwd 
{yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires 
{yes | no}] [-acctexpires ] [-disabled {yes | no}] [{-s 
| -d }] [-u ] [-p { | *}] [-q] [{-uc | -uco | -
uci}] 
 Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh 
như sau: 
dsadd user cn=wp,ou=it,dc=qtm,dc=com -fn Vu -ln Anh –display “Vu Anh” -
office QTM -tel 0912345678 –email vuanh@gmail.com -webpg  
-dept IT –company QTM -mustchpwd no -canchpwd no -disabled no -acctexpires 
never –pwd abc@123 
 Ý nghĩa cú pháp câu lệnh tạo user: 
 - 52 - 
 + dsadd user: Câu lệnh báo sẽ tạo user 
 + cn=wp: tên tài khoản login của user. 
 + ou=it: user này nằm trong OU có tên là IT. 
 + dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó. 
 + -fn Vu: First Name của user có tên là Hoang 
 + -ln Anh: LastName của user là Thông 
 + -display “Vu Anh”: Tên hiển thị của tài khoản là Vu Anh. 
 Chú ý: Kiểu tên dài có dấu cánh sẽ phải đặt trong dấu nháy kép. ví dụ: “Vu 
Anh” 
 + -office QTM: thuộc văn phòng QTM 
 + -tel 0912345678: số điện thoại của user 
 + -email vuanh@gmail.com: email của user 
 + -webpg  website của user 
 + -dept IT: User thuộc phòng ban IT. 
 + -company QTM: Công ty của user là QTM 
 + -mustchpwd no: Tài khoản không yêu cầu phải đổi mật khẩu ngay lần 
đăng nhập đầu tiên. Nếu chọn yes có nghĩa là phải đổi 
 + -canchpwd no: Tài khoản không thể đổi được mật khẩu. 
 + -acctexpires never: Tài khoản không bao giờ hết hạn. 
 + -pwd abc@123: Thiết lập mật khẩu cho tài khoản là abc@123 
 Vào Active Directory Users and Computers sẽ thấy tài khoản wp được tạo 
thành công. 
 - 53 - 
Một số cú pháp các đối tượng trong Active Directory 
 DSAdd – Add object 
 DSMod – Modify object 
 DSGet – Display object 
 DSMove – Move object 
 DSQuery – Search for objects 
 DSRM – Delete object 
 - 54 -