Giáo trình Windows 2000 Server

(hay nhiều máy tính, tuỳ cấu hình phần cứng của máy). Chia sẻ máy in (thành tài nguyên mạng) cho phép người dùng sử dụng từ xa. Cấp quyền sử dụng và quản lý máy in cho người dùng và nhóm người dùng. Các thuật ngữ cần biết Print device: là thiết bị phần cứng (ta thường gọi là máy in) thực sự tạo ra tài liệu in cuối cùng. Windows 2000 cung cấp 2 loại thiết bị in sau: Local print device: thiết bị được nối với một máy phục vụ in (print server) qua một cổng vật lý (ví dụ LPT1). Network-interface print device: tạm gọi là giao diện in, là thiết bị in nối với máy phục vụ in qua mạng thay vì qua cổng vật lý. Printer: là phần mềm giao tiếp giữa hệ điều hành và thiết bị in. Nó xác nhận thời điểm và vị trí mà tài liệu được gửi đến thiết bị in. Hình 3.4.5.1 Print server: máy phục vụ in là máy kết nối trực tiếp với máy in (print device). Nó nhận và xử lý tài liệu từ người dùng gửi đến. Bạn có thể cài đặt và chia sẻ để máy in phục vụ người sử dụng từ xa. Print driver: phần mềm điều khiển máy in do nhà sản xuất máy in cung cấp. Windows 2000 chỉ hỗ trợ sẵn những loại máy in thông dụng như HP 5L/6L, EPSON LQ300,... Những máy in không có trong danh sách hỗ trợ cần phải được nạp thêm phần mềm điều khiển cho hệ điều hành. Cài đặt máy in trên máy phục vụ in Các bước thực hiện + Bước 1: Đăng nhập vào máy được chọn làm máy phục vụ in, với quyền người quản trị Administrator. + Bước 2: Chọn Start-> Setting, và chọn Printer. Chọn và mở mục Add Printer trong thư mục Printer. Hình 3.4.5.2 Hình 3.4.5.3 + Bước 3: Trong trang Welcome to Add Printer Wirzard, nhấp chuột Next + Bước 4: Trong trang Local or Network Printer, chọn Local printer và xác nhận mục Automatically detect and install my Plug and Play printer (để máy tư nhận và cài đặt máy in tự động). Hình 3.4.5.4 Hình 3.4.5.5 + Bước 5: Nếu máy không nhận ra máy in thì chọn mục Next để tự cài đặt. + Bước 6: Trong trang Select the Printer Port, chọn Use the following port, chọn LPT1 nếu cần, và nhấp chuột Next. Hình 3.4.5.6 Hình 3.4.5.7 + Bước 7: Trong trang Add Printer Wizard (Hình P2.II.184), chọn HP trong bảng Manufacture, và HP Laser 6L trong bảng Printer, và nhấp chuột Next . + Bước 8: Nếu đã cài máy in này một lần trước đó, hộp thoại xuất hiện đề nghị chọn việc ghi thay thế thông tin cũ hay để nguyên xuất hiện. Hình 3.4.5.8 Hình 3.4.5.9 + Bước 9: Trong trang Name Your Printer, nhập HP Laser 6L trong ô Printer name, và nhấp chuột Next. + Bước 10: Trong trang Printer Sharing nhập tên hiển thị qua mạng vào ô Share as, nhấp chuột Next. Hình3.4.5.10 Hình 3.4.5.11 + Bước 11: Trong trang Location and Comment (Hình 3.4.5.11), các ô Location nhập tuỳ ý (có thể là tên máy phục vụ in), trong ô Comment nhập chú thích tuỳ ý, nhấp chuột Next. Trong trang Print a Test Page, chọn Yes (máy sẽ in ra những thông số cơ bản để kiểm tra máy in và kết quả cài đặt), nhấp chuột Next. Hình 3.4.5.12 Hình 3.4.5.13 Hình 3.4.5.14 Một icon được tạo ra trong thư mục Printers (Hình 3.4.5.15) và có một bàn tay nhỏ cho biết printer này đã được chia sẻ. Hình 3.4.5.15: Thể hiện của máy in được chia sẻ. Tìm hiểu các chức năng và thuộc tính của Printer Hình 3.4.5.16 Hình 3.4.5.17 Set as Default Printer: printer này là printer mặc định. Các tài liệu nếu không chọn sẽ xem như chọn printer này. Pause Printing: tạm dừng in. Cancel All Documents: huỷ tất cả tài liệu trong hàng đợi in. Chia sẻ một Printer đã tạo Các bước thực hiện Chọn Properties bằng cách nhấp chuột phải chuột vào icon của Printer. Trong trang Printer Properties, chon tab Sharing (Hình 3.4.5.17). Chọn Share as, và nhập tên cho printer. Chọn Not shared, nếu không chia sẽ printer này nữa. Cấp và ủy quyền printer Các quyền thông dụng Print: chỉ được phép in tài liệu. Manage Documents: có quyền thêm, huỷ tài liệu trong hàng đợi của printer. Manage Printers: có toàn quyền đối với printer như: huỷ printer, đổi tên, tạm dừng in, huỷ tất cả tài liệu trong hàng đợi in, cấp độ ưu tiên in (sẽ đề cập sau), cấp uỷ quyền, sharing… Các bước thực hiện: Chọn Properties bằng cách nhấp chuột phải chuột vào icon của Printer. Trong trang HP Laser 6L Properties, chọn tab Security. Trong tab Security (Hình 3.4.5.18), nhấp chuột Add để thêm user và group, và cấp các quyền tương ứng. Quyền mặc định của từng nhóm bạn tham khảo mục “Quản lý nhóm người dùng”. Hình 3.4.5.18 Cấp độ truy cập printer Cấp độ truy cập Print Mange Documents Mange Printers Print documents (In tài liệu) X X X Pause, restart, resume, and cancel own documents (tạm ngừng, bắt lại, tiếp tục, và hủy bỏ tài liệu) X X X Connect to printers (Nối kết giao diện in) X X X Control settings for print jobs (Chi phối xác lập dành cho tài liệu in) X X Pause, restart, and delete print jobs (Tạm ngừng, bắt đầu lại, xóa bỏ việc in) X X Share printer (chia sẻ giao diện in) X Change printer properties (Thay đổi thuộc tính giao diện in) X Change printer permissions (Thay đổi cấp độ truy cập giao diện in) X Delete printers (Hủy bỏ giao diện in) X Thiết lập in ấn qua máy in chia sẻ Các bước thực hiện: các bước ở đây gần như lặp lại phần cài đặt máy in ở trên, bạn chú ý những chỗ khác biệt. Log on vào một máy với tài khoản có ít nhất là quyền in (Print). Trong chương trình soạn thảo (ví dụ Word), nhấn vào biểu tượng máy in, hay là vào File->Print. Nếu máy in chưa được kết nối (qua mạng với máy này) thì sẽ có thông báo, nhấp chuột OK, máy hiển thị hộp thoại như Hình 3.4.5.19. Hình 3.4.5.19 Hình 3.4.5.20 Sau khi nhấp chuột vào Find Printer, hộp thoại như Hình 3.4.5.20 Trong hộp thoại Find Printers, nhấp chuột vào Find Now, kết quả tìm thấy như Hình 3.4.5.21 Hình 3.4.5.21 Chọn một máy in trong số các máy in xuất hiện. Việc cài đặt được thực hiện thành công khi tài khoản đăng nhập vào máy có quyền cài đặt máy in qua mạng. Chủ đề 4: Cài đặt và quản trị WINDOWS 2000 Domain Controller Mục tiêu của chủ đề Mục đích của chương này nhằm giới thiệu về DNS (Domain Name System) dịch vụ tổ chức các máy tính thành vùng có cấu trúc phân cấp và AD (Active Directory) dịch vụ thư mục cho phép quản lý tài nguyên mạng hiệu quả. Dịch vụ tên miền DNS Giới thiệu DNS DNS (Domain Name System) là giải pháp dùng tên thay cho địa chỉ IP khó nhớ khi sử dụng các dịch vụ trên mạng. Ví dụ tên miền www.cisco.com với www là tên định danh cho máy tính, cisco là tên định danh cho tổ chức, còn com là tên định danh cho vùng cấp cao nhất còn gọi là vùng gốc (root domain). Đối với Internet, vùng gốc có các tên định danh như com, edu, gov, net, ... được sử dụng trong các tên miền cấp phát tại Mỹ, còn ở các nước khác vùng gốc có tên định danh được tạo bởi hai chữ cái viết tắt của tên nước như VN (cho Việt Nam), JP (cho Nhật Bản). Trong mạng nội bộ không buộc phải tuân thủ theo cấu trúc tên miền quốc tế nên vùng gốc có thể lấy ngay tên định danh là com, edu, gov, net,... Cài đặt máy phục vụ DNS Có thể lập cấu hình máy phục vụ Microsoft Windows 2000 bất kỳ làm máy phục vụ DNS. Bốn loại máy phục vụ DNS khả dụng gồm: Máy phục vụ chính tích hợp Active Directory: Máy phục vụ chính được tích hợp hoàn toàn với Active Directory. Toàn bộ dữ liệu DNS được lưu trực tiếp vào Active Directory. Máy phục vụ chính: Máy phục vụ DNS chính dành cho vùng, được tích hợp một phần với Active Directory. Máy phục vụ dự phòng: Máy phục vụ DNS cung cấp dịch vụ sao lưu cho vùng. Máy này lưu giữ bản sao của mẫu tin DNS thu được từ máy phục vụ chính và cập nhật dựa vào đặc tính chuyển khu vực. Máy phục vụ chỉ chuyển tiếp: Máy phục vụ lưu tạm thông tin DNS sau khi dò thấy và luôn chuyển tiếp yêu cầu đến máy phục vụ khác. Những máy này lưu giữ thông tin DNS cho đến khi thông tin được cập nhật hay hết hạn dùng, hoặc đến lúc máy phục vụ tái khởi động. Trước khi thiết đặt máy phục vụ DNS bạn phải cài đặt dịch vụ DNS Server rồi mới lập cấu hình để máy phục vụ này cung cấp các dịch vụ DNS tích hợp, chính dự phòng, hay chỉ chuyển tiếp. Tất cả các máy điều khiển vùng đều có khả năng vận hành như máy phục vụ DNS và hệ thống có thể nhắc bạn cài và lập cấu hình DNS trong tiến trình cài đặt máy điều khiển vùng. Nếu trả lời Yes, DNS sẽ tự động được cài đặt và lập cấu hình mặc định. Trường hợp bạn đang làm việc với máy phục vụ thành viên thay vì máy điều khiển vùng, hay là bạn chưa cài DNS, hãy thực hiện theo các bước sau để cài DNS: Nhấp Start chọn SettingàControl Panel. Trong Control Panel, nhấn đúp Add/Remove Program. Nhấn tiếp Add/Remove Windows Components. Nhấp Components khởi động Windows Components Wizard, nhấp Next. Dưới Components, nhấp Networking Services, nhấp tiếp Details. Hình PIV.1 Dưới Subcomponents Of Networking Services, đánh dấu chọn DomainName System (DNS). Hình PIV.2. Nhấp OK, nhấp tiếp Next khi được nhắc, gõ đường dẫn hoàn chỉnh đến các tập tin phân phối Windows 2000 và nhấp Continue. Cấu hình dịch vụ DNS Vùng nào cũng phải có máy phục vụ DNS chính, có thể tích hợp với Active Directory hay vận hành như máy phục vụ chính thông thường. Máy phục vụ chính phải có khu vực dò xuôi và khu vực dò ngược thích hợp. Khu vực dò xuôi (forward lookup zone) giúp phân giải tên vùng thành địa chỉ IP. Khu vực dò ngược (reserve loOKup zone) rất cần thiết với tác vụ phê chuẩn các yêu cầu DNS bằng cách phân giải địa chỉ IP thành tên vùng hay tên máy chủ. Khi đã cài đặt DNS server trên máy phục vụ, bạn có thể lập cấu hình máy phục vụ chính theo tiến trình sau: + Bước 1: Mở Console: Nhấp StartàProgramsà Adminitratives ToolsàDNS Hình PIV.3. + Bước 2: Giả sử máy phục vụ cần lập cấu hình không có tên trong danh sách ở khung bên trái, bạn phải nối kết với nó. Nhấp nút phải chuột vào DNS bên khung trái, chọn Conect to Computer. Thực hiện một trong hai việc dưới đây: Nếu đang nối kết với máy phục vụ cục bộ, chọn This computer rồi nhấp OK. Trường hợp cố nối kết với máy phục vụ ở xa, chọn The Following Computer rồi gõ tên hay địa chỉ IP của máy phục vụ, nhấp OK. + Bước 3: Máy phục vụ DNS giờ đã có trong khung danh sách của Console DNS. Nhấp nút phải chuột vào mục nhập mới, chọn New Zone từ menu tắt để khởi động New Zone Wizard, nhấp Next. Hình PIV.3 + Bước 4: Trong New Zone Wizard, chọn Active Directory Intergrated, nếu không chọn Standard Primary và nhấp Next Hình PIV.4 + Bước 5: Chọn Forward Lookup Zone, nhấp Next. + Bước 6: Gõ tên DNS hoàn chỉnh cho khu vực, tên khu vực giúp xác định máy phục vụ hay khu vực trong cấu trúc vùng Active Drectory. Lấy ví dụ trường hợp đang thiết lập máy phục vụ chính cho trong cấu trúc vùng cisco.com, bạn phải gõ tên vùng là cisco.com. Nếu đang lập cấu hình khu vực chính thông thường, bạn phải cung cấp tên tập tin khu vực. Tên mặc định của tập tin cơ sở dữ liệu trong khu vực sẽ tự động được điền vào. Có thể dùng tên này hay đổi sang tên mới đều được Hình PIV.5 + Bước 7: Nhấp Next, và cuối cùng nhấp Finish hoàn tất tiến trình, khu vực mới được bổ sung vào máy phục vụ và các mẩu tin DNS sẽ tự động được tạo thành. Một máy phục vụ DNS sẽ có khả năng cung cấp dịch vụ cho nhiều vùng. Thiết lập máy DNS dự phòng Máy phục vụ dự phòng cung cấp dịch vụ DNS dự phòng trên mạng.Vì máy phục vụ dự phòng cung cấp khu vực dò xuôi cho hầu hết các loại, nên khu vực dò ngược có khi không cần thiết. Nhưng khu vực dò ngược lại vô cùng quan trọng cho máy phục vụ chính bởi vậy nhất thiết phải thiết lập chúng để cơ chế phân giải tên vùng vận hành thích hợp. Muốn thiết lập cơ chế dự phòng sao lưu và cân bằng tải, ta thực hiện các bước như sau: + Bước 1: Mở Console DNS và nối kết với máy phục vụ cần lập cấu hình . + Bước 2: Nhấp nút phải chuột vào mục nhập ứng với máy phục vụ, chọn New Zone khởi động New Zone Wizard, nhấp Next. + Bước 3: Trong hộp thoại Zone Type. Chọn Standard Secondary, nhấp Next + Bước 4: Máy phục vụ dự phòng có thể sử dụng tập tin khu vực cả dò xuôi lẫn dò ngược. Do đó sẽ thiết lập khu vực dò xuôi trước, chọn Forward LoOKup Zone, nhấp Next. + Bước 5: Gõ tên cho tập tin khu vực, nhấp Next. + Bước 6: Máy phục vụ dự phòng sẽ phải sao chép tập tin khu vực từ máy phục vụ chính. Gõ địa chỉ IP của máy phục vụ chính trong khu vực, nhấp Next, cuối cùng nhấp Finish. Thiết lập máy phục vụ khu vực dò ngược Khu vực dò xuôi (Forward Lookup Zone) dùng để phân giải tên vùng thành địa chỉ IP. Khu vực dò ngược (Reverse Lookup Zone) dùng để phân giải địa chỉ IP thành tên vùng. Mỗi mạng phải có một khu vực dò ngược ví dụ như ta chia mạng thành 3 mạng con 192.168.10.0, 192.168.11.0 và 192.168.12.0 nhất thiết phải có cả ba khu vực dò ngược. Cách thiết lập khu vực dò ngược: + Bước 1: Mở Console DNS và nối kết với máy phục vụ cần lập cấu hình. + Bước 2: Nhấp nút phải chuột vào mục cần lập cấu hình ứng với máy phục vụ, chọn New Zone khởi động New Zone Wizard, nhấp Next. + Bước 3: Chọn Active Drectory-Intergrated, Standard Primary hay Secondary dựa trên loại máy phục vụ đang làm việc. + Bước 4: Chọn Reverse Lookup Zone, nhấp Next + Bước 5: Gõ số nhận diện mạng (Net ID) và mặt nạ mạng con (subnet mask) cho khu vực dò ngược. Các giá trị vừa gõ vào sẽ hình thành tên mặc định cho khu vực dò ngược. + Bước 6: Nếu đang lập cấu hình máy phục vụ chính hay máy phục vụ dự phòng thông thường (Standard), bạn phải định rõ tên tập tin cơ sở dữ liệu DNS của khu vực. Tên mặc định cho tập tin cơ sở dữ liệu DNS của khu vực sẽ được tự động điền phát sinh, khi đó có thể sử dụng ngay hoặc sửa đổi. + Bước 7: Trường hợp đang lập cấu hình máy phục vụ dự phòng, hãy cung cấp địa chỉ IP của máy phục vụ chính trong khu vực rồi nhấp Add. + Bước 8: Nhấp Next, cuối cùng nhấp Finish. Active Directory Giới thiệu AD (Active Directory) là dịch vụ thư mục chứa các thông tin về các tài nguyên trên mạng, có thể mở rộng và có khả năng tự điều chỉnh cho phép bạn quản lý tài nguyên mạng hiệu quả. Để có thể làm việc tốt với Active Directory, chúng ta sẽ tìm hiểu khái quát về Active Directory, sau đó khảo sát các thành phần của dịch vụ này. Các đối tượng AD bao gồm dữ liệu của người dùng (user data), máy in(printers), máy chủ (servers), cơ sở dữ liệu (databases), các nhóm người dùng (groups), các máy tính (computers), và các chính sách bảo mật (security policies). Ngoài ra một khái niệm mới được sử dụng là container (tạm dịch là tập đối tượng). Ví dụ Domain là một tập đối tượng chứa thông tin người dùng, thông tin các máy trên mạng, và chứa các đối tượng khác. Các thành phần của AD: Cấu trúc AD logic gồm các thành phần: domains (vùng), organization units (đơn vị tổ chức), trees (hệ vùng phân cấp ) và forests (tập hợp hệ vùng phân cấp) . Domain Domain Domain Domain Domain Domain OU OU OU Tree Forest Vùng (Domain): là đơn vị cốt lõi của AD logic. Tất cả các đối tượng AD đều thuộc một vùng nhất định. Mỗi vùng có thể chứa đến hàng triệu đối tượng. Vùng là đường biên an toàn cho mạng. Người quản trị vùng chỉ được quyền quản lý các đối tượng trong vùng đó mà thôi. Danh sách kiểm soát truy nhập (Access Control Lists -ACLs) được lập riêng cho mỗi vùng và không có tác dụng đối với các vùng khác. Đơn vị tổ chức (Organization Unit): OU là những tập đối tượng dùng để tổ chức các đối tượng trong một vùng thành những nhóm quản trị lôgic nhỏ hơn. Một OU có thể chứa các đối tượng khác nhau như: các tài khoản người dùng, các nhóm, các máy tính, các máy in, các trình ứng dụng, các tệp sử dụng chung và các đơn vị tổ chức khác nằm trên cùng một vùng. Hệ vùng phân cấp (domain tree): Một hay nhiều vùng dùng chung không gian liên tục. Tập hợp hệ vùng phân cấp (doain forest): Một hay nhiều hệ vùng phân cấp dùng chung không gian thư mục. Cấu trúc AD vật lý gồm: sites và domain controllers. Địa bàn (site): là tập hợp của một hay nhiều mạng con kết nối bằng đường truyền tốc độ cao. Điều khiển vùng (domain controllers): là máy tính chạy Windows2000 Server chứa bản sao dữ liệu vùng. Một vùng có thể có một hay nhiều điều khiển vùng. Mỗi sự thay đổi dữ liệu trên một điều khiển vùng sẽ được tự động cập nhật lên các điều khiển khác của vùng. Cấu trúc logic giúp tổ chức các đối tượng thư mục, quản lý tài khoản mạng và tài nguyên dùng chung. Cấu trúc logic bao gồm nhiêu hệ vùng phân cấp, đơn vị tổ chức. Site và mạng con là cấu trúc vật lý, tạo điều kiện truyền thông qua mạng dễ dàng ấn định ranh giới vật lý xung quanh các tài nguyên mạng. Vùng AD thực ra là nhóm máy tính dùng chung cơ sở dữ liệu thư mục. Tên vùng AD không được phép trùng lặp. Ví dụ không thể có hai vùng cisco.com, tuy hiên có thể đặt tên vùng cha là cisco.com với hai vùng con là lo.cisco.com và th.cisco.com. Nếu vùng thuộc về mạng riêng, tên gán cho vùng mới không được trùng với bất kỳ tên vùng nào hiện có trên khắp internet, bạn phải đăng ký tên vùng cha trước khi sử dụng. Đăng ký tên vùng với InterNIC (tổ chức quản lý tên vùng của Internet, hay địa điểm được chỉ định khác. Mỗi vùng đều có chính sách bảo mật riêng với mối quan hệ uỷ quyền với vùng khác. Vùng cũng có thể trải rộng qua nhiều vị trí vật lý nghĩa là một vùng có thể có nhiều site, mỗi site như thế chứa nhiều mạng con (nếu bạn dò tìm IP của địa chỉ bạn có thể thấy sẽ có nhiều IP, và mỗi IP này có thể đặt tại nhiều quốc qia khác nhau sẽ giúp bạn truy cập nhanh chóng vì cơ chế router sẽ cung cấp con đường đến server nào mà bạn có thể truy cập nhanh, gần nhất, vì vậy bạn luôn cảm giác mạng hoạt động hiệu quả). Trong phạm vi cơ sở dữ liệu thư mục dùng chung, bạn sẽ tìm thấy những đối tượng định rõ tài khoản người dùng, nhóm, máy tính, cùng với tài nguyên dùng chung như giao diện in và thư mục. Hệ thống chạy Windows 2000 Profesional và Server có thể tận dụng triệt để AD. Hệ thống Windows 2000 Profesional truy cập mạng với tư cách máy khách AD và dùng được toàn bộ đặc tính của AD. Là máy khách, chúng sử dụng các mối quan hệ uỷ quyền chuyển tiếp tồn tại trong hệ vùng phân cấp hoặc tập hợp hệ vùng phân cấp. Quan hệ uỷ quyền chuyển tiếp là quan hệ không được thiết lập rõ ràng, mà được thiết lập trong tập hợp hệ vùng. Mối quan hệ dạng này cho phép người dùng có thẩm quyền truy cập tài nguyên bất kỳ trong tập hợp hệ vùng. Hệ thống chạy Windows 2000 Server cung cấp dịch vụ cho các hệ thống khác, và có thể vận hành với vai trò máy điều khiển vùng, hay máy phục vụ thành viên. Máy điều khiển vùng khác với máy phục vụ thành viên ở chỗ nó chạy dịch vụ AD. Bạn “thăng cấp” máy phục vụ thành viên thành máy điều khiển vùng bằng cách cài dịch vụ AD. Muốn “giáng cấp “ máy điều khiển vùng thành máy phục vụ thành viên, hãy gỡ bỏ AD. Cả hai đều sử dụng Active Directory Installation Wizard. Tất cả máy tính sử dụng hệ điều hành Windows chuẩn NT bắt buộc phải có tài khoản máy tính trước khi gia nhập vùng. Để hỗ trợ Widows NT Active Directory có hai chế độ vận hành của vùng: Chế độ hỗn hợp: Khi vận hành trong chế độ hỗn hợp, thư mục có thể hỗ trợ cả Windows 2000 và Windows NT. Chế độ riêng: Vận hành trong chế độ riêng, thư mục chỉ hỗ trợ vùng Windows 2000. Chế độ hỗn hợp: Nếu bạn ấn định chế độ vận hành hỗn hợp khi cài AD trên máy điều khiển vùng Windows 2000 đầu tiên trong vùng. Nếu đang cập nhật cấu trúc vùng Windows NT lên Windows 2000, đây thường là máy điều khiển vùng chính (PDC), được nâng cấp lên Windows 2000. Việc làm này nhằm đảm bảo PDC trở thành máy điều khiển đầu tiên trong vùng, cũng như đảm bảo các đối tượng SAM (Security Account Manager) đều được sao chép từ registry vào kho dữ liệu mới trong AD. Suốt quá trình nâng cấp PDC và cài AD, bạn ấn định chế độ vận hành hỗn hợp (mixxel mode) để các hệ thống của Windows NT còn lại vẫn có thể vận hành trong vùng. Ở chế độ vận hành hỗn hợp, hệ thống nào được lập cấu hình để vận hành vùng Widows NT sẽ truy cập mạng như thể chúng là thành viên của vùng Windows NT. Những hệ thống này bao gồm Windows 95, Windows 98 không chạy phần mềm máy khách AD, trạm làm việc Widows NT và máy phục vụ Widows NT. Trong khi vai trò làm việc của Windows NT không đổi, máy phục vụ Windows NT lại có vai trò hơi khác hơn một chút. Ở đây máy phục vụ Windows NT có thể vận hành như máy điều khiển vùng dự phòng (BDC) hay chỉ là máy phục vụ thành viên. Vùng Windows NT không còn tồn tại máy điều khiển vùng chính (PDC) nữa, thay vào đó là máy điều khiển vùng Windows 2000, đóng vai trò PDC để sao chép các bản sao chỉ đọc, của dịch vụ AD và đồng bộ hoá những thay đổi liên quan đến bảo mật với bất kỳ BDC Windows NT còn lại nào nữa. Máy điểu khiển Windows 2000 đóng vai trò PDC được lập cấu hình như chủ vận hành mô phỏng PDC. Có thể gán vai trò này cho máy Windows 2000 khác lúc nào cũng được. Chủ vận hành mô phỏng PDC hỗ trợ hai giao thức chứng thực: Kerberos: Là giao thức Internet chuẩn, dùng để chứng thực người dùng và hệ thống, đồng thời là cơ chế chứng thực chính của Windows 2000. NTLM: NT Local Area Network Manager là giao thức chứng thực chính của Windows NT, dùng để chứng thực trong vùng Windows NT. Chế độ vận hành riêng: Sau khi nâng cấp PDC và các hệ thống Windows NT còn lại trên Windows 2000, bạn có thể chuyển sang chế độ vận hành riêng (native mode), sau đó chỉ sử dụng tài nguyên Windows 2000. Tuy nhiên một khi đã chứng nhận chế độ vận hành riêng, bạn không thể trở về lại chế độ hỗn hợp, vì lẽ đó chỉ nên vận hành chế độ vận hành riêng khi bạn chắc chắn bạn thật sự không còn cần đến cấu trúc vùng Windows NT cũ hoặc máy điều khiển dự phòng chạy Windows NT. Lúc chuyển sang chế độ vận riêng bạn sẽ thấy: cơ chế sao chép NTLM không còn được hỗ trợ, máy mô phỏng PDC khộng còn có khả năng đồng bộ hoá dữ liệu với bất kỳ BDC Windows NT nào hiện có, không thể bổ sung thêm máy điều khiển vùng Windows NT vào vùng. Để chuyển sang chế độ vận hành riêng, đòi hỏi sử dụng tiện ích AD Domain and Trusts. Đây là một snap-in cho MMC. Theo bước sau để chuyển sang vận hành riêng: Chọn Start->Programs->Administrative Tools->AD Domain and Trusts Hình PIV.6 Nhấp nút phải chuột vào vùng bạn cần quản trị, chọn Properties. Chế độ vận hành hiện hành đang hiển thị trên trang Genaral. Nếu vùng đang sử dụng chế độ hỗn hợp, hãy chuyển sang chế độ riêng (sau khi đã cân nhắc cẩn thận). Hình PIV.7 Nhấp Change Mode, nhấp Yes để chuyển sang chế độ riêng. Cài đặt và cấu hình máy Windows 2000 điều khiển vùng (Domain Controller) Cài đặt Active Directory Để cài AD bạn phải cấu hình và có địa chỉ IP tĩnh cũng như bạn phải cấu hình và cài DNS trước. Bạn theo các bước sau để cài AD: Vào Start->Run gõ lệnh dcpromo để cài Active Directory Hình PIV.8 Khi Active Direcrory Installation Wizard xuất hiện chọn Next, dưới Domain Controller Type chọn Domain controller for a new domain nếu là domain mới. Xác định tên mới ở New Domain Name, xem Hình PIV.9 và Hình PIV.10: Hình PIV.9 Hình PIV.10 Xác định tên NestBIOS, vị trí chứa cơ sở dữ liệu, mặc định sẽ chọn thư mục tên SYSVOL trong ổ đĩa chứa WINNT, bạn phải lưu ý là thư mục SYSVOL phải là thư mục đã được định dạng là NTFS V5.0 trở lên, trong Configures DNS bạn chọn tự cấu hình hay cấu hình mặc định, Hình PIV.11. Hình PIV.11 Bạn chọn để AD hỗ trợ hay không hỗ trợ các hệ điều hành trước Windows 2000 trong Permission, chọn Password và nhấp Next Trong phần Summary, sau đó Active Drectory được cài, Hình PIV.12 Hình PIV.12 Công cụ AD Users and Computer AD Users and Computer là công cụ quản trị người dùng, nhóm người dùng, máy tính và đơn vị tổ chức. Khởi động công cụ AD Users and Computer Trong cửa sổ Control Panel chọn Administration Tools. Trong cửa sổ xuất hiện, chọn AD Users and Computer. Mặc định AD làm việc với vùng nơi máy tính của bạn đang nối kết đến. Có thể truy cập đối tượng máy tính và người dùng trong vùng này thông qua hệ vùng phân cấp. Tuy nhiên nếu không tìm thấy máy điều khiển vùng, hoặc vùng bạn đang làm việc không khả dụng, bạn sẽ phải nối kết với máy điều khiển vùng nào đó ở vùng hiện hành hay ở vùng khác, AD User and Computer còn cho phép thực hiện những công cụ cấp cao như xem các tuỳ chọn nâng cao hay tìm kiếm đối tượng. Khi truy cập vùng trong AD User and Computer bạn sẽ thấy tập hợp thư mục sau đây khả dụng: Builtin: Danh sách tài khoản người dùng cài sẵn. Computers: Chứa tài khoản máy tính theo mặc định. Domain Controllers: Chứa máy điều khiển vùng theo mặc định. Users: Chứa người dùng theo mặc định Nối kết với máy điều khiển vùng (Domain Controller) Việc làm này nhằm nhiều mục đích. Nếu khởi động AD Users and Computer và không tìm thấy đối tượng nào khả dụng, bạn có thể nối kết với máy điều khiển vùng thích hợp hầu truy cập đối tượng người dùng, nhóm máy tính ở vùng hiện hành. Bạn cũng có thể muốn nối kết với máy điều khiển vùng khi nghi ngờ có vấn đề ở hoạt động sao chép thư mục, và kiểm tra đối tượng trên máy điều khiển vùng cụ thể. Lúc đã kết nối, bạn tìm kiếm điểm khác biệt ở những đối tượng gần đây. Dưới đây là cách thức nối kết với máy điều khiển vùng: Ở khung bên trái, nhấp nút phải chuột vào AD Users And Computer, chọn Connect to Domain Controller, Hình PIV.13 Hình PIV.13 Vùng hiện hành và máy điều khiển vùng bạn đang làm việc hiển thị trong hộp thoại Connect To Domain Controller. Danh sách Available Controller In liệt kê những máy điều khiển khả dụng trong vùng. Xác định mặc định là Any Writable Domain Controller. Nếu chọn tuỳ chọn này, bạn sẽ nối kết với máy điều khiển vùng nào đáp