Quản trị mạng Windows Server 2008

dung chung, cấp quyền truy cập ở cấp độ Read cho nhóm Users.
Nguyên tắc hoạch đinh thư mục dữ liệu
Bỏ quyền truy cập NTFS ở cấp độ mặc định Full Control từ nhóm Everyone và đem cấp cho nhóm Administrators.
Chỉ định cấp độ Add&Read cho nhóm Users và cấp độ PC cho nhóm CreatorOwner. Việc này sẽ cung cấp cho người dùng đăng nhập cục bộ khả năng hủy bỏ và sữa chữa chỉ những thư mục và tập tin họ đã sao chép hoặc tạo ra trên máy tính mà họ đăng nhập.
Nguyên tắc hoạch định thư mục cá nhân
Tập trung mọi thư mục cá nhân trên 1 Volume NTFS riêng biệt với Volume chứa hệ điều hành và các chương trình, nhằm hợp lí hóa công tác quản trị và sao lưu dữ liệu
Dùng biến %UserName% để tự động gán tên tài khoản của người dung cho thư mục và tự động chỉ định quyền truy cập NTFS ở cấp độ PC cho người tương ứng.
Tạo thư mục cá nhân (Home Folder) trên Volume NTFS
Lưu trữ thư mục cá nhân trên một Volume NTFS có thuận lợi rất lớn, có thể tổ chức chúng thành hệ thống phân tầng và giới hạn khả năng truy cập ở những người dùng tương ứng mà không cần chia sẽ từng thư mục.
III. SHARE PERMISSION
- Đầu tiên mở trình Windows Explorer ra chọn Organize è Folder and Search Options.
- Chọn Tab View sau đó click bỏ chọn mục Use Sharing Wizard (Recommended).
Trong Windows server 2008 để chia sẻ một thư mục nào đó nhấp chuột phải vào thư mục cần share chọn Share…
- Nhấp chọn Advanced Sharing...
- Ở ô Share Name máy sẽ tự lấy tên default là tên thư mục hiện hành bạn có thể chỉnh sửa tên này tùy ý.
Với các tùy chọn là Allow: User có quyền truy cập tài nguyên với quyền hạn tương ứng.
Với các tùy chọn là Deny: User không có quyền truy cập tài nguyên với quyền hạn tương ứng.
Để thực hiện phân quyền cho các Group thì ta cần Deny tất cả các quyền của Group User này.
Sau khi Deny tất cả các quyền của Group User nhấp nút Add thể thêm Group hoặc User vào.
Trong này giả sử Add thêm User tai và cũng Set quyền cho User này là Deny tất cả mọi quyền.
Tương tự Add thêm User phat và Set quyền cho User này là Allow tất cả mọi quyền.
Để tạo một thư mục mà không muốn cho ai thấy (chỉ có gõ lệnh mới vào được) thỉ thêm dấu $ vào ngay sau Share Name của mình.
VD: Máy có IP là 192.168.1.10 và thư mục Share có tên là New Folder (2)$. Trong này giả sử ta Add thêm User tai và Set quyền cho User này là Allow tất cả mọi quyền. Khi đó truy cập từ máy khác vào phải nhập là \\172.16.1.10\New Folder (2)$ thì mới vào được.
Bây giờ từ một máy Client khác, truy cập thư mục New Folder (2) với User là tai 
Máy sẽ báo là không có lối vào lý do là đã Set cho User tai bị Deny tất cả.
User tai bị từ chối truy cập New Folder (2) . Tuy nhiên với User phat thì có thể xem được các tài nguyên trong này.
Để xem các thư mục Share ẩn trong Windows, vào Administrative ToolsèShare and Storage Management.
Trong này sẽ liệt kê toàn bộ các thư mục đã Share trước đó.
Để tránh phải mất công nhập dòng lệnh \\[IP máy tới]\[thư mục share] chúng ta có thể ánh xạ ổ đĩa đối với các thư mục Share thường xuyên truy cập bằng cách nhấp phải vào thư mục đã Share cần ánh xạ và chọn Map Network Drive…
Trong cửa sổ Map Nerwork Drive hiện ra bạn chọn tên ổ đĩa ánh xạ và click Finish.
Vào Computer sẽ thấy xuất hiện thêm ổ đĩa mới (Ổ đĩa ánh xạ). Nhấp vào đấy sẽ đi đến ngay thư mục mà bạn vừa ánh xạ.
XÂY DỰNG MÔ HÌNH MẠNG MỘT CÔNG TY
CẤU HÌNH DỊA CHỈ IP, DHCP,DNS
1. Cấu hình địa chỉ IP
Server
Client
IP address
192.168.1.10
192.168.1.11 è30
Subnet mask
255.255.255.0
255.255.255.0
Default gateway
192.168.1.10
192.168.1.10
Preferred DNS
192.168.1.10
192.168.1.10
2. Cấu hình DHCP
3.Cấu hình DNS
TẠO OU,USER VÀ GROUP
Công ty taiphat gồm 4 phòng : Phòng Giám Đốc , Phòng Kế Toán , Phòng Kỹ Thuật , Phòng Kinh Doanh.
Phòng Giám Đốc gồm 3 user : gd1, gd2, gd3.
Phòng Kế toán gồm 4 user : kt1, kt2, kt3, kt4. 
Phòng Kỹ thuật gồm 3 user : kth1, kth2, kth3.
Kinh Doanh gồm 3 user : kd1, kd2 , kd3.
GROUP POLICY,DICK QUOTA
Phòng Giám Đốc : các user của phòng giám đốc có toàn quyền trên domain và dung lượng ỗ đĩa không giới hạn, không qui định thời gian vào mạng.
Phòng Kế Toán : các user thuộc phòng kế toán có các yêu cầu là mật khẩu ít nhất phải 8 kí tự, thời gian thay đổi mật khẩu là 30 ngày, người dùng đăng nhập sai 3 lần sẽ bị khóa account, thời gian khóa sẽ là 5 phút, user không phải ấn tổ hợp phím Ctrl+Alt+Del khi đăng nhập, dung lượng ỗ đĩa tối đa là 100 MB, thời gian vào mạng từ 8h sang -> 14h các ngày thứ hai, tư , sáu.
	Mật khẩu ít nhất 8 kí tự, thời gian thay đổi mật khẩu là 30 ngày
	người dùng đăng nhập sai 3 lần sẽ bị khóa account, thời gian khóa sẽ là 5 phút
	user không phải ấn tổ hợp phím Ctrl+Alt+Del khi đăng nhập
 dung lượng ỗ đĩa tối đa là 100 MB
 thời gian vào mạng từ 8h sang -> 14h các ngày thứ hai, tư , sáu
Phòng Kinh Doanh : Không cho phép user trên Client truy cập vào ỗ chứa hệ điều hành (ỗ C), không được cài đặt chương trình, không được truy cập vào registry, không được truy cập Control Panel trên máy Client, dung lượng ỗ đĩa tối đa là 100 MB, thời gian đăng nhập từ 8h -> 15h thứ ba, năm , bảy
Không cho phép user trên Client truy cập vào ỗ chứa hệ điều hành (ỗ C)
không được cài đặt chương trình
không được truy cập vào registry
không được truy cập Control Panel trên máy Client
dung lượng ỗ đĩa tối đa là 100 MB
thời gian đăng nhập từ 8h -> 15h thứ ba, năm , bảy
4. Phòng Kỹ Thuật : mật khẩu ngoài viêc có 8 ký tự trở lên thì còn phải có mật khẩu khó, tức là phải có thêm các ký tự (- _ ? / …). Không cho phép Auto play tất cả các loại ỗ đĩa kể cả USB. Dung lượng ỗ đĩa tối đa là 100MB . Thời gian vào mạng từ 5h -> 10h và từ 13h -> 18h các ngày thứ hai, năm , bảy , chủ nhật
mật khẩu có 8 ký tự trở lên, phải có mật khẩu khó
Không cho phép Auto play tất cả các loại ỗ đĩa kể cả USB
Dung lượng ỗ đĩa tối đa là 100MB
Thời gian vào mạng từ 5h -> 10h và từ 13h -> 18h các ngày thứ hai, năm , bảy , chủ nhật
CHIA SẺ DỮ LIỆU
- Thiết lặp permission trên thư mục DATA : cho phép các user ở phòng Kế Toán, phòng Kinh Doanh, phòng Kỹ Thuật, chỉ được phép đọc dữ liệu, nhưng không được đọc các thuộc tính, và các thuộc tính mở rộng, các user ở phòng Giám Đốc thì toàn quyền.
- Thiết lặp permission trên thư mục DATA chung : cho phép các user ở phòng Kế Toán, phòng Kinh Doanh, phòng Kỹ Thuật, được phép đọc dữ liệu và đọc các thuộc tính, Được phép tạo file và viết dữ liệu, nhưng không được phép thay đổi các thuộc tính của file và viết các thuộc tính mở rộng, được phép xóa nhưng không được xóa file.
- Thiết lặp permission trên thư mục Kế Toán : cho phép các user ở phòng Kế Toán được quyền đọc, nhưng chỉ được đọc dữ liệu không được đọc các thuộc tính của file. Được phép tạo file và viết dữ liệu, và được quyền xóa sửa. Còn các user ở phòng Kinh Doanh và Kỹ Thuật chỉ được phép đọc dữ liệu.
cho phép các user ở phòng Kế Toán được quyền đọc, chỉ được đọc dữ liệu không được đọc các thuộc tính của file. Được phép tạo file và viết dữ liệu, và được quyền xóa sửa
các user ở phòng Kinh Doanh và Kỹ Thuật chỉ được phép đọc dữ liệu.
- Thiết lặp permission trên thư mục Kinh Doanh : cho phép các user ở phòng Kinh Doanh được phép đọc dữ liệu và các thuộc tính. Được phép viết dữ liệu,tạo file, folder. Được phép thay đổi các thuộc tính của file và folder nhưng không được phép xóa file và folder. Còn các user ở phòng Kế Toán và phòng Kỹ Thuật chỉ được quyền đọc dữ liệu.
các user ở phòng Kinh Doanh được phép đọc dữ liệu và các thuộc tính. Được phép viết dữ liệu,tạo file, folder. Được phép thay đổi các thuộc tính của file và folder nhưng không được phép xóa file và folder
các user ở phòng Kế Toán và phòng Kỹ Thuật chỉ được quyền đọc dữ liệu.
- Thiết lặp permission trên thư mục Kỹ Thuật : cho phép các user ở phòng Kỹ Thuật được phép tạo file, đọc dữ liệu và đọc các thuộc tính mở rộng, nhưng không cho phép tạo folder, viết các thuộc tính mở rộng và không được xóa file. Các user o phòng Kinh Doanh và phòng Kế Toán chỉ được phép đọc và ghi dữ liệu
các user ở phòng Kỹ Thuật được phép tạo file, đọc dữ liệu và đọc các thuộc tính mở rộng, nhưng không cho phép tạo folder, viết các thuộc tính mở rộng và không được xóa file
Các user o phòng Kinh Doanh và phòng Kế Toán chỉ được phép đọc và ghi dữ liệu
KIỂM TOÁN
Thiết lập kiểm toán nhằm để ghi nhận lại những trường hợp truy cập trái phép.
Click phải thư mục daata è Properties.
Tab Security è Chọn Advanced.
Tab Auditing è Chọn Edit.
Chọn Add.
Nhập Everyone è Check Names è OK.
Chọn tất cả các chọn lựa è OK.
Và nhấn OK để hoàn tất.
Mở Group Policy Management.
Click phải lên Default Domain Policy è Edit.
Click phải Audit object access è Properties.
Chọn Define these policy settings è Chọn Success , Failure.
Mở Run nhập lệnh GPUpdate /Force.
Kiểm tra :
Trên máy client è log on KT1 è truy cập vào thư mục daata è báo lỗi không có quyền truy cập.
Trên máy Server è Mở Event Viewer.
Mở Windows Logs è Security è Mở các event Audit Failure (& event id 5140).
Quan sát thấy trường hợp truy cập trái phép của KT1 vào thư mục daata đã được ghi nhận lại.
QUẢN LÝ MÁY IN 
Tạo 4 máy in có tên là ph giam doc, ph ke toan ,ph kinh doanh, ph ki thuat tương ứng cho mỗi phòng .
Gán quyền cho các user ở phòng Giám Đốc được quyền in trên máy in tên “ ph Giám Đốc”. Và cho máy in này luôn ở trạng thái sẵn sàng, gán độ ưu tiên cho máy in này là 2. 
Riêng user gd1 được quyền thay đổi các cấu hình và được quyền xóa tài liệu đã được sử dụng trên máy in “ph Giám Đốc”.
Trên máy in “ ph Kế Toán” các user ở phòng Kế Toán được quyền in trên máy in này, thời gian được in từ 7h sáng đến 18h chiều . Mức độ ưu tiên 1, các user ở phòng Giám Đốc được phép in trên máy in này, riêng user gd1 được phép toàn quyền.
Trên máy in “ph Kinh Doanh” các user ở phòng Kinh Doanh được quyền in trên máy in này, mức độ ưu tiên cho máy in này là 1, thời gian được in từ 9h sáng đến 14h chiều. User gd1 được toàn quyền.
Trên máy in “ph Kỹ Thuật” các user ở phòng Kỹ Thuật được quyền in trên máy in này, thời gian được in từ 8h sáng đến 16h chiều, mức độ ưu tiên là 1.