Quản trị mạng Windows Server 2008

CHƯƠNG 1: GIỚI THIỆU WINDOWS SERVER

I. WINDOWS NT SERVER

1. Hệ điều hành mạng Windows NT

2. Các cơ chế quản lý của Windows NT

2.1 Quản lý đối tượng (Object Manager)

2.2 Cơ chế bảo mật (SRM - Security Reference Monitor)

2.3 Quản lý nhập / xuất (I/O Manager)

2.4 I/O Manager

3. Các phiên bản của hệ điều hành Windows NT

II. WINDOWS SERVER 2000

1. Windows 2000 Server

2. Các đặc trưng của Windows 2000

III. WINDOWS SERVER 2003

1. Các phiên bản của hệ điều hành Windows server 2003

2. Những đặc điểm mới của Windows server 2003

3. Yêu cầu về phần cứng

4. Nâng cấp thành Windows server Enterprise Edition

5. Bảng so sánh các đặc tính của Windows server 2003

IV. WINDOWS SERVER 2008

1. Tính năng vượt trội

2. Các phiên bản của Windows Server 2008

3. Yêu cầu phần cứng

4. Bảng các tính năng trong Windows Server 2008

CHƯƠNG 2: TỔNG QUAN VỀ WINDOWS SERVER 2008

I. GIỚI THIỆU WINDOWS SERVER 2008

II. CÁC TÍNH NĂNG CỦA WINDOWS SERVER 2008

1. Công cụ quản trị Server Manager

2. Windows Server Core

3. Power Shell

4. Windows Deloyment Services

5. Terminal Services

6. Network Access Protection

7. Read – Only Domain Controllers

8. Công nghệ Failover Clustering

9. Windows Firewall with Advance Security

III. MỘT SỐ TÍNH NĂNG MỚI

1. Công nghệ ảo hóa Hyper-V

2. Processor Compartibility Mode

3. File Classification Infrastructure

4. Quản lý trong ỗ đĩa và file

5. Cải tiến giao thức và mã hóa

6. Một số tính năng khác

IV. CÁC LỢI ÍCH CỦA WINDOWS SERVER 2008

1. Web

2. Ảo hóa

3. Bảo mật

3.1. Network Access Protection (NAP)

3.2. Read – Only Domain Controller (RODC)

3.3. BitLocker

3.4. Windows Firewall

V. CÁC PHIÊN BẢN CỦA WINDOWS SERVER 2008

1. Windows Server 2008 Standard Edition

2. Windows Server 2008 Enterprise Edition

3. Windows Server 2008 Datacenter Edition

4. Windows Web Server 2008

CHƯƠNG 3: CÀI ĐẶT WINDOWS SERVER 2008

I. YÊU CÀU PHẦN CỨNG

II. CÁC CÁCH CÀI ĐẶT

III. NÂNG CẤP LÊN WINDOWS SERVER 2008

IV. CÁC BƯỚC CÀI ĐẶT

CHƯƠNG 4: DỰNG DOMAIN

I. TẠO DOMAIN CONTROLLER

II. ĐĂNG NHẬP MÁY CLIENT VÀO DOMAIN

CHƯƠNG 5: XÂY DỰNG CÁC DỊCH VỤ

I. DỊCH VỤ DNS

1. Giới thiệu DNS Server

2. Cài đặt DNS Server

3. Cấu hình DNS Server

4. Cấu hình địa chỉ DNS Server trên máy Client

5. Bổ sung các bản ghi DNS vào DNS Server

II. DỊCH VỤ DHCP

1. Giới thiệu dịch vụ DHCP

2. Hoạt động của giao thức DHCP

3. Cài đặt trên Windows Server 2008

3.1. Trên máy Server

3.2. Trên máy Client

4. Cấu hình DHCP

4.1. Tạo Scope

4.2. Thay đổi options của Scope

4.3. Thay đổi Server options

5. Backup DHCP Server

6. Remove DHCP Server

III. DỊCH VỤ THƯ MỤC ( Directory Services)

1. Chuẩn bị

2. Cấu hình

2.1. Trên máy Server

2.2. Cho Client vào Domain

IV. DỊCH VỤ TẬP TIN (File Services)

1. Triển khai File Sevices

2. Quản lý File Screen

3. Quản lý Quota

4. Quản lý các báo cáo

V. DỊCH VỤ IN ẤN (Print Services)

1. Cài đặt

2. Truy cập Print Services Tools

3. Quản lý các máy in trong mạng

VI. DỊCH VU WEB

1. Giới thiệu về IIS 7.0

2. Cài đặt IIS7.0

VII. DỊCH VU FTP

1. Giới thiệu

2. Cài đặt và cấu hình

2.1. Cài đặt

2.2. Cấu hình

CHƯƠNG 6: USER – GROUP

I. GIỚI THIỆU VỀ LOCAL USER VÀ LOCAL GROUP

II. TẠO CÁC LOCAL USER

III. TẠO LOCAL GROUP

CHƯƠNG 7: CHÍNH SÁCH BẢO MẬT(GROUP POLICY)

I. ACCOUNT POLICY

1. Password Policy

2. Account Lockout Policy

II. LOCAL POLICY

1. User rights assignment

2. Sercurity options

CHƯƠNG 8: QUYỀN TRUY CẬP NTFS

I. KIỂM SOÁT QUYỀN TRUY CẬP HỆ THỐNG TỆP NTFS

1. Phân quyền đơn giản

2. Phân quyền cơ bản

2.1 Giới thiệu cơ chế phân quyền NTFS

2.2 Các công cụ phân quyền NTFS

2.3 Thực hiện các quyền cơ bản của dữ liệu doanh nghiệp trên NTFS

II. NGUYÊN TẮC KHI ÁP DỤNG QUYỀN TRUY CẬP

1. Nguyên tắc hoạch định thư mục chương trình

2. Nguyên tắc hoạch đinh thư mục dữ liệu

3. Nguyên tắc hoạch định thư mục cá nhân

4. Tạo thư mục cá nhân (Home Folder) trên Volume NTFS

III. SHARE PERMISSION

CHƯƠNG 9: XÂY DỰNG MÔ HÌNH SERVER – CLIENT

I. CẤU HÌNH ĐỊA CHỈ IP,DNS,DHCP

II. TẠO OU,USER VÀ GROUP

III. GROUP POLICY,DISK QUOTA

IV. CHIA SẺ DỮ LIỆU

V. KIỂM TOÁN

VI. QUẢN LÝ MÁY IN

 

doc143 trang | Chuyên mục: Windows Server 2008 | Chia sẻ: dkS00TYs | Ngày: 14/10/2014 | Lượt xem: 5841 | Lượt tải: 25download
Tóm tắt nội dung Quản trị mạng Windows Server 2008, để xem tài liệu hoàn chỉnh bạn click vào nút "TẢI VỀ" ở trên
dung chung, cấp quyền truy cập ở cấp độ Read cho nhóm Users.
Nguyên tắc hoạch đinh thư mục dữ liệu
Bỏ quyền truy cập NTFS ở cấp độ mặc định Full Control từ nhóm Everyone và đem cấp cho nhóm Administrators.
Chỉ định cấp độ Add&Read cho nhóm Users và cấp độ PC cho nhóm CreatorOwner. Việc này sẽ cung cấp cho người dùng đăng nhập cục bộ khả năng hủy bỏ và sữa chữa chỉ những thư mục và tập tin họ đã sao chép hoặc tạo ra trên máy tính mà họ đăng nhập.
Nguyên tắc hoạch định thư mục cá nhân
Tập trung mọi thư mục cá nhân trên 1 Volume NTFS riêng biệt với Volume chứa hệ điều hành và các chương trình, nhằm hợp lí hóa công tác quản trị và sao lưu dữ liệu
Dùng biến %UserName% để tự động gán tên tài khoản của người dung cho thư mục và tự động chỉ định quyền truy cập NTFS ở cấp độ PC cho người tương ứng.
Tạo thư mục cá nhân (Home Folder) trên Volume NTFS
Lưu trữ thư mục cá nhân trên một Volume NTFS có thuận lợi rất lớn, có thể tổ chức chúng thành hệ thống phân tầng và giới hạn khả năng truy cập ở những người dùng tương ứng mà không cần chia sẽ từng thư mục.
III. SHARE PERMISSION
- Đầu tiên mở trình Windows Explorer ra chọn Organize è Folder and Search Options.
- Chọn Tab View sau đó click bỏ chọn mục Use Sharing Wizard (Recommended).
Trong Windows server 2008 để chia sẻ một thư mục nào đó nhấp chuột phải vào thư mục cần share chọn Share…
- Nhấp chọn Advanced Sharing...
- Ở ô Share Name máy sẽ tự lấy tên default là tên thư mục hiện hành bạn có thể chỉnh sửa tên này tùy ý.
Với các tùy chọn là Allow: User có quyền truy cập tài nguyên với quyền hạn tương ứng.
Với các tùy chọn là Deny: User không có quyền truy cập tài nguyên với quyền hạn tương ứng.
Để thực hiện phân quyền cho các Group thì ta cần Deny tất cả các quyền của Group User này.
Sau khi Deny tất cả các quyền của Group User nhấp nút Add thể thêm Group hoặc User vào.
Trong này giả sử Add thêm User tai và cũng Set quyền cho User này là Deny tất cả mọi quyền.
Tương tự Add thêm User phat và Set quyền cho User này là Allow tất cả mọi quyền.
Để tạo một thư mục mà không muốn cho ai thấy (chỉ có gõ lệnh mới vào được) thỉ thêm dấu $ vào ngay sau Share Name của mình.
VD: Máy có IP là 192.168.1.10 và thư mục Share có tên là New Folder (2)$. Trong này giả sử ta Add thêm User tai và Set quyền cho User này là Allow tất cả mọi quyền. Khi đó truy cập từ máy khác vào phải nhập là \\172.16.1.10\New Folder (2)$ thì mới vào được.
Bây giờ từ một máy Client khác, truy cập thư mục New Folder (2) với User là tai 
Máy sẽ báo là không có lối vào lý do là đã Set cho User tai bị Deny tất cả.
User tai bị từ chối truy cập New Folder (2) . Tuy nhiên với User phat thì có thể xem được các tài nguyên trong này.
Để xem các thư mục Share ẩn trong Windows, vào Administrative ToolsèShare and Storage Management.
Trong này sẽ liệt kê toàn bộ các thư mục đã Share trước đó.
Để tránh phải mất công nhập dòng lệnh \\[IP máy tới]\[thư mục share] chúng ta có thể ánh xạ ổ đĩa đối với các thư mục Share thường xuyên truy cập bằng cách nhấp phải vào thư mục đã Share cần ánh xạ và chọn Map Network Drive…
Trong cửa sổ Map Nerwork Drive hiện ra bạn chọn tên ổ đĩa ánh xạ và click Finish.
Vào Computer sẽ thấy xuất hiện thêm ổ đĩa mới (Ổ đĩa ánh xạ). Nhấp vào đấy sẽ đi đến ngay thư mục mà bạn vừa ánh xạ.
XÂY DỰNG MÔ HÌNH MẠNG MỘT CÔNG TY
CẤU HÌNH DỊA CHỈ IP, DHCP,DNS
1. Cấu hình địa chỉ IP
Server
Client
IP address
192.168.1.10
192.168.1.11 è30
Subnet mask
255.255.255.0
255.255.255.0
Default gateway
192.168.1.10
192.168.1.10
Preferred DNS
192.168.1.10
192.168.1.10
2. Cấu hình DHCP
3.Cấu hình DNS
TẠO OU,USER VÀ GROUP
Công ty taiphat gồm 4 phòng : Phòng Giám Đốc , Phòng Kế Toán , Phòng Kỹ Thuật , Phòng Kinh Doanh.
Phòng Giám Đốc gồm 3 user : gd1, gd2, gd3.
Phòng Kế toán gồm 4 user : kt1, kt2, kt3, kt4. 
Phòng Kỹ thuật gồm 3 user : kth1, kth2, kth3.
Kinh Doanh gồm 3 user : kd1, kd2 , kd3.
GROUP POLICY,DICK QUOTA
Phòng Giám Đốc : các user của phòng giám đốc có toàn quyền trên domain và dung lượng ỗ đĩa không giới hạn, không qui định thời gian vào mạng.
Phòng Kế Toán : các user thuộc phòng kế toán có các yêu cầu là mật khẩu ít nhất phải 8 kí tự, thời gian thay đổi mật khẩu là 30 ngày, người dùng đăng nhập sai 3 lần sẽ bị khóa account, thời gian khóa sẽ là 5 phút, user không phải ấn tổ hợp phím Ctrl+Alt+Del khi đăng nhập, dung lượng ỗ đĩa tối đa là 100 MB, thời gian vào mạng từ 8h sang -> 14h các ngày thứ hai, tư , sáu.
	Mật khẩu ít nhất 8 kí tự, thời gian thay đổi mật khẩu là 30 ngày
	người dùng đăng nhập sai 3 lần sẽ bị khóa account, thời gian khóa sẽ là 5 phút
	user không phải ấn tổ hợp phím Ctrl+Alt+Del khi đăng nhập
 dung lượng ỗ đĩa tối đa là 100 MB
 thời gian vào mạng từ 8h sang -> 14h các ngày thứ hai, tư , sáu
Phòng Kinh Doanh : Không cho phép user trên Client truy cập vào ỗ chứa hệ điều hành (ỗ C), không được cài đặt chương trình, không được truy cập vào registry, không được truy cập Control Panel trên máy Client, dung lượng ỗ đĩa tối đa là 100 MB, thời gian đăng nhập từ 8h -> 15h thứ ba, năm , bảy
Không cho phép user trên Client truy cập vào ỗ chứa hệ điều hành (ỗ C)
không được cài đặt chương trình
không được truy cập vào registry
không được truy cập Control Panel trên máy Client
dung lượng ỗ đĩa tối đa là 100 MB
thời gian đăng nhập từ 8h -> 15h thứ ba, năm , bảy
4. Phòng Kỹ Thuật : mật khẩu ngoài viêc có 8 ký tự trở lên thì còn phải có mật khẩu khó, tức là phải có thêm các ký tự (- _ ? / …). Không cho phép Auto play tất cả các loại ỗ đĩa kể cả USB. Dung lượng ỗ đĩa tối đa là 100MB . Thời gian vào mạng từ 5h -> 10h và từ 13h -> 18h các ngày thứ hai, năm , bảy , chủ nhật
mật khẩu có 8 ký tự trở lên, phải có mật khẩu khó
Không cho phép Auto play tất cả các loại ỗ đĩa kể cả USB
Dung lượng ỗ đĩa tối đa là 100MB
Thời gian vào mạng từ 5h -> 10h và từ 13h -> 18h các ngày thứ hai, năm , bảy , chủ nhật
CHIA SẺ DỮ LIỆU
- Thiết lặp permission trên thư mục DATA : cho phép các user ở phòng Kế Toán, phòng Kinh Doanh, phòng Kỹ Thuật, chỉ được phép đọc dữ liệu, nhưng không được đọc các thuộc tính, và các thuộc tính mở rộng, các user ở phòng Giám Đốc thì toàn quyền.
- Thiết lặp permission trên thư mục DATA chung : cho phép các user ở phòng Kế Toán, phòng Kinh Doanh, phòng Kỹ Thuật, được phép đọc dữ liệu và đọc các thuộc tính, Được phép tạo file và viết dữ liệu, nhưng không được phép thay đổi các thuộc tính của file và viết các thuộc tính mở rộng, được phép xóa nhưng không được xóa file.
- Thiết lặp permission trên thư mục Kế Toán : cho phép các user ở phòng Kế Toán được quyền đọc, nhưng chỉ được đọc dữ liệu không được đọc các thuộc tính của file. Được phép tạo file và viết dữ liệu, và được quyền xóa sửa. Còn các user ở phòng Kinh Doanh và Kỹ Thuật chỉ được phép đọc dữ liệu.
cho phép các user ở phòng Kế Toán được quyền đọc, chỉ được đọc dữ liệu không được đọc các thuộc tính của file. Được phép tạo file và viết dữ liệu, và được quyền xóa sửa
các user ở phòng Kinh Doanh và Kỹ Thuật chỉ được phép đọc dữ liệu.
- Thiết lặp permission trên thư mục Kinh Doanh : cho phép các user ở phòng Kinh Doanh được phép đọc dữ liệu và các thuộc tính. Được phép viết dữ liệu,tạo file, folder. Được phép thay đổi các thuộc tính của file và folder nhưng không được phép xóa file và folder. Còn các user ở phòng Kế Toán và phòng Kỹ Thuật chỉ được quyền đọc dữ liệu.
các user ở phòng Kinh Doanh được phép đọc dữ liệu và các thuộc tính. Được phép viết dữ liệu,tạo file, folder. Được phép thay đổi các thuộc tính của file và folder nhưng không được phép xóa file và folder
các user ở phòng Kế Toán và phòng Kỹ Thuật chỉ được quyền đọc dữ liệu.
- Thiết lặp permission trên thư mục Kỹ Thuật : cho phép các user ở phòng Kỹ Thuật được phép tạo file, đọc dữ liệu và đọc các thuộc tính mở rộng, nhưng không cho phép tạo folder, viết các thuộc tính mở rộng và không được xóa file. Các user o phòng Kinh Doanh và phòng Kế Toán chỉ được phép đọc và ghi dữ liệu
các user ở phòng Kỹ Thuật được phép tạo file, đọc dữ liệu và đọc các thuộc tính mở rộng, nhưng không cho phép tạo folder, viết các thuộc tính mở rộng và không được xóa file
Các user o phòng Kinh Doanh và phòng Kế Toán chỉ được phép đọc và ghi dữ liệu
KIỂM TOÁN
Thiết lập kiểm toán nhằm để ghi nhận lại những trường hợp truy cập trái phép.
Click phải thư mục daata è Properties.
Tab Security è Chọn Advanced.
Tab Auditing è Chọn Edit.
Chọn Add.
Nhập Everyone è Check Names è OK.
Chọn tất cả các chọn lựa è OK.
Và nhấn OK để hoàn tất.
Mở Group Policy Management.
Click phải lên Default Domain Policy è Edit.
Click phải Audit object access è Properties.
Chọn Define these policy settings è Chọn Success , Failure.
Mở Run nhập lệnh GPUpdate /Force.
Kiểm tra :
Trên máy client è log on KT1 è truy cập vào thư mục daata è báo lỗi không có quyền truy cập.
Trên máy Server è Mở Event Viewer.
Mở Windows Logs è Security è Mở các event Audit Failure (& event id 5140).
Quan sát thấy trường hợp truy cập trái phép của KT1 vào thư mục daata đã được ghi nhận lại.
QUẢN LÝ MÁY IN 
Tạo 4 máy in có tên là ph giam doc, ph ke toan ,ph kinh doanh, ph ki thuat tương ứng cho mỗi phòng .
Gán quyền cho các user ở phòng Giám Đốc được quyền in trên máy in tên “ ph Giám Đốc”. Và cho máy in này luôn ở trạng thái sẵn sàng, gán độ ưu tiên cho máy in này là 2. 
Riêng user gd1 được quyền thay đổi các cấu hình và được quyền xóa tài liệu đã được sử dụng trên máy in “ph Giám Đốc”.
Trên máy in “ ph Kế Toán” các user ở phòng Kế Toán được quyền in trên máy in này, thời gian được in từ 7h sáng đến 18h chiều . Mức độ ưu tiên 1, các user ở phòng Giám Đốc được phép in trên máy in này, riêng user gd1 được phép toàn quyền.
Trên máy in “ph Kinh Doanh” các user ở phòng Kinh Doanh được quyền in trên máy in này, mức độ ưu tiên cho máy in này là 1, thời gian được in từ 9h sáng đến 14h chiều. User gd1 được toàn quyền.
Trên máy in “ph Kỹ Thuật” các user ở phòng Kỹ Thuật được quyền in trên máy in này, thời gian được in từ 8h sáng đến 16h chiều, mức độ ưu tiên là 1.

File đính kèm:

  • docQuản trị mạng Windows Server 2008.doc
Tài liệu liên quan