BÀI 1: XÂY DỰNG WINDOWS SERVER 2003 ACTIVE DIRECTORY. 2
BÀI 2: QUẢN TRỊTÀI KHOẢN NGƯỜI DÙNG, MÁY TÍNH VÀ NHÓM. 30
BÀI 3: QUẢN TRỊTRUY XUẤT TÀI NGUYÊN FILE. 56
BÀI 4: QUẢN TRỊTRUY XUẤT TÀI NGUYÊN PRINTER. 74
BÀI 5: QUẢN TRỊMÔI TRƯỜNG MẠNG GROUP POLICY. 82
BÀI 6: GIÁM SÁT HOẠT ĐỘNG MÁY CHỦ. 100
BÀI 7: QUẢN TRỊLƯU TRỮVÀ BẢO MẬT DỮLIỆU. 120
BÀI 8: QUẢN TRỊSỰCỐHỆTHỐNG MÁY CHỦ. 153
161 trang |
Chia sẻ: maiphuongdc | Lượt xem: 1847 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Giáo trình Quản trị và xây dụng môi trường mạng doanh nghiệp, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
p dữ liệu, thay đổi thời
gian của hệ thống…
Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục đó và nhấn
nủt Add user or group để trao quyền cho user hoặc Group nào bạn muốn.
Access this computer from the network: Với những kẻ tò mò, tọc mạch thì tại sao chúng ta
lại phải cho phép chúng truy cập vào máy tính của mình. Với thiết lập này chúng ta có thể
tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào.
Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép
hoạt động như một phần của hệ thống. Mặc định, tài khoản Aministrator có quyền cao nhất,
có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng
nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch
vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này.
Add workstations to domain: Thếm một tài khoản hoặc nhóm vào miền. Chính sách này
chỉ hoạt động trên hệ thống sử dụng Domain Controller. Khi được thêm vào miền, tài khoàn
này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập
tài nguyên mạng như một thành viên trên Domain.
Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chỉ tiêu bộ
nhớ dành cho một quá trình xử lý. Chính sách này tuy có làm tăng hiệu suất của hệ thống
nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như tấn công từ chôi dịch
vụ DoS (Dinal of Sevices).
Allow logon through Terminal Services: Terminal Services là một dịch vụ cho phép chúng
ta đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được
phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống.
Back up files and directories: Tương tự như các chính sách trên, ở đây sẽ cấp phép cho
những ai sẽ có quyền backup dữ liệu.
Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian cuả hệ
thống.
Create global objects: Cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung
Quản trị và xây dụng môi trường mạng doanh nghiệp
- 87 -
Force shutdown from a remote system: Cho phép những ai có quyền tắt máy qua hệ thống
điều khiển từ xa.
Shut down the system: Cho phép ai có quyền Shutdown máy.
Public Key Policies Các chính sách khóa dùng chung
9 Lưu ý: ở đây chúng tôi chỉ giới thiệu một số các thành phần, các bạn có thể dựa theo cách này để tự
tìm hiểu thêm.
5.2. Triển khai Group Policy
Tạo Group Policy trên Local Computer
Để tạo một GPO local, chúng ta phải được logon như là một thành viên Administrator có thể truy xuất
Group Policy Object Editor từ Administrator Tools hay qua một snap-in MMC
¾ Để cài đặt một policy với những thiết lập local
• Start Æ Run và nhập vào mmc Æ OK
• Vào menu Files Æ Add/Remove Snap-in…Æ Add Group Policy Ọbject Editor
• Open Group Policy Object Editor.
• In the console tree, double-click the folders to view the policy settings in the details pane.
• In the details pane, double-click a policy setting to open the Properties dialog box, and then
change the policy setting.
Quản trị và xây dụng môi trường mạng doanh nghiệp
- 88 -
Tạo Group Policy trên Domain
Việc thực thi Group Policy trên một domain cung cấp cho nhà quản trị mạng với quyền điều khiển lớn
hơn qua những cấu hình máy tính xuyên suốt cấu trúc mạng. Cũng bằng cách sử dụng Group Policy trong
Windows Server 2003, chúng ta có thể tạo một môi trường làm việc được quản lý hoàn toàn thích hợp
với trách nhiệm công việc của user và mức kinh nghiệm của mình, chúng ta có thể giảm lượng hỗ trợ
mạng cần thiết.
Để tạo một GPO mới hoặc link tới một GPO đang tồn tại bằng cách sử dụng Active Directory Users and
Computers, tạo một GPO trong một site, domain hay OU.
¾ Sử dụng Active Directory Users and Computers
• Trong Active Directory Users and Computers, click chuột phải trên Active Directory (domain or
organizational unit) mà chúng ta muốn tạo GPO, sau đó chọn Properties.
• Trong hộp thoại Properties, trên thẻ Group Policy sẽ có các lựa chọn sau:
Tạo mới một GPO, click New, nhập tên mới của GPO, sau đó bấm ENTER.
Liên kết đến một GPO sẵn có, click Add, sau đó chọn GPO từ danh sách
• GPO mà chúng ta vừa tạo hoặc liên kết sẽ được hiển thị trong danh sách GPO trong Active
Directory.
¾ Sử dụng Group Policy Management
• Start Æ Administrative Tools, sau đó click Group Policy Management.
• Trong Group Policy Management, trong phần console, mở rộng forest và tìm domain mà bạn
muốn tạo mới GPO.
• Right-click trên Group Policy Objects, và chọn New.
• Trong hộp thoại New GPO, nhập tên Group Policy Æ OK.
Edit Group Policy
Là một người quản trị hệ thống, chúng ta phải chỉnh sửa những thiết lập Group Policy. Để chỉnh sử
Group Policy chúng ta thực hiện theo các bước sau:
• Trong Group Policy Management, phần console tree, tìm Group Policy Objects cần Edit.
• Right-click trên GPO và sau đó click Edit.
• Trong Group Policy Object Editor, thông qua Group Policy setting mà bạn muốn edit Æ double-
click vào.
Quản trị và xây dụng môi trường mạng doanh nghiệp
- 89 -
• Trong hộp thoại Properties, cấu hình Group Policy setting và click OK.
Link Group Policy đến Domain hay OU
Tất cả các GPOs được lưu trữ trong một container Active Directory được gọi là Group Policy Objects.
Khi một GPO được sử dụng cho site, domain hay một OU, GPO đó được link tới container Group Policy
Objects. Kết quả là chúng ta có thể tập trung quản lý và triển khai GPOs tới nhiều domai hay nhiều OU.
Creating a linked GPO Khi chúng ta tạo một GPO được liên kết với một site, domain hoặc OU, chúng
ta thực hiện một cách thủ công hai hoạt động riêng biệt: tạo một GPO mới và sau đó link nó tới site,
domain hay OU. Khi uỷ nhiệm quyền link GPO tới một domain, OU hay site, chúng ta phải có quyền
Modify cho domain, OU hay site mà chúng ta muốn uỷ quyền. Theo mặc định, chỉ những thành viên của
nhóm Domain Admins và Enterprise Adminsgroup là có đủ các quyền cần thiết để link một GPO tới
domain và OU. Chỉ những thành viên của Enterprise Admins group có quyền link GPOs tới các site.
Những thành viên của nhóm Group Policy Creator Owner có thể tạo GPO nhưng không thể link chúng.
Sau đây là các hướng dẫn giúp cho chúng ta có thể tạo, link… GPO tới domain:
¾ Tạo và Link một GPO
• Trong Group Policy Management, trong console tree chúng ta có thể tạo và link GPO tới domain
hay OU
Nếu tạo và link GPO tới domain thì chúng ta right-click lên domain và sau đó click Create and
Link a GPO Here.
Nếu tạo và link GPO tới OU (organizational unit) thì chúng ta right-click lên OU và sau đó click
Create and Link a GPO Here.
• Trong hộp thoại New GPO, nhập tên mới cho GPO Æ OK.
¾ Link một GPO sẵn có
Để link một GPO đang tồn tại tới một site, domain hay OU. Chúng ta thực hiện theo các bước sau:
• Trong Group Policy Management, phần console tree, mở rộng forest chứa domain mà bạn cần
link GPO sẵn có.
• Right-click trên domain, site, hoặc OU và sau đó click Link an Existing GPO.
• Trong hộp thoại Select GPO, click vào GPO mà chúng ta muốn link rồi click OK.
Quản trị và xây dụng môi trường mạng doanh nghiệp
- 90 -
9 Chú ý: Chúng ta không thể link một GPO tới những container trong Active Directory như User và
Computer. Tuy nhiên, bất kỳ GPO nào được link tới domain cũng áp dụng cho các user và computer
trong container này.
Quyền thừa kế (inherited) trong Active Directory
Thứ tự mà Windows Server 2003 áp dụng các GPOs phụ thuộc vào Active Directory container, nơi mà
GPOs được link. GPOs trước tiên áp dụng cho site, sau đó là domain và cuối cùng tới OU trong các
domain. Một container con sẽ thừa kế GPOs từ container cha. Điều này có nghĩa là container con có
nhiều thiết lập Group Policy được áp dụng cho các user và computer của nó mà không cần có một GPO
nào được link tới nó. Tuy nhiên, không có hệ đẳng cấp các domain giống cho các OU, như là OU cha và
OU con. Nếu có nhiều GPO cùng thiết lập một giá trị giống nhau, theo mặc định GPO chiếm ưu tiên
trước được áp dụng. Chúng ta cũng có thể có nhiều GPOs được link tới cùng một container.
Nếu kiểu kề thừa mặc định không đáp ứng những yêu cầu của tổ chức của chúng ta, chúng ta có thể chỉnh
sửa quy luật thừa kế cho các GPOs cụ thể. Windows Server 2003 cung cấp 2 tuỳ chọn để thay đổi kiểu
thừa kế mặc định.
¾ No Override
Sử dụng tuỳ chọn này khi chúng ta muốn không có thiết lập cấu hình nào của nó có thể bị ghi đè bởi bất
kì GPOs nào trong quá trình xử lý của Group Policy. Tuỳ chọn này được đặt trên từng GPO riêng biệt.
Chúng ta có thể set tuỳ chọn này trên một hay nhiều GPO được yêu cầu. Khi nhiều GPO cùng được set là
No Override, GPO có vị trí cao nhất trong hệ đẳng cấp Active Directory sẽ chiếm quyền ưu tiên.
¾ Block Policy inheritance
Sử dụng tuỳ chọn này để ép buộc một container con ngăn cản thừa kế từ container cha. Sử dụng tuỳ chọn
này khi một OU yêu cầu một thiết lập Group Policy duy nhất . Block Policy inheritance được set trên
mỗi container. Trong trường hợp xung đột, tuỳ chọn No Override sẽ luôn luôn chiếm ưu tiên hơn tuỳ
chọn Block Policy inheritance.
Tại sao phải Block Policy?
Chúng ta có thể ngăn cản một container con kế thừa bất kỳ GPO nào từ các container cha bằng cách cho
phép Block Policy inheritance trên contaner con. Cách này sẽ ngăn cản container thừa kế tất cả những
thiết lập Group Policy của những Group Policy được chọn. Điều này thật hữu ích khi một container
Active Directory yêu cầu một Group Policy duy nhất, và chúng ta muốn bảo đảm rằng những thiết lập
Group Policy không bị thừa kế. Ví dụ, chúng ta có thể sử dụng Block Policy inheritance khi người quản
trị của một OU phải điều khiển tất cả các GPOs cho containter đó .
Để Block Policy inheritance chúng ta thực hiện các bước sau:
• Trong Group Policy Management, phần console tree, mở rộng forest mà bạn muốn block
inheritance, và thực hiện các lựa chọn sau:
Để block inheritance của GPO links cho domain, mở rộng Domains, và right-click the
domain.
Quản trị và xây dụng môi trường mạng doanh nghiệp
- 91 -
Để block inheritance của GPO links cho organizational unit, expand Domains, mở rộng
domain chứa organizational unit, và right-click trên organizational unit.
• Click Block Inheritance.
Group Policy Filtering
Mặc định, tất cả những thiết lập Group Policy chứa trong GPOs mà tác động tới container được áp dụng
cho tất cả các user và computer trong container đó, điều này có thể đưa ra những kết quả mà chúng ta
không mong muốn. Bằng cách sử dụng tính năng filtering (sàng lọc), chúng ta có thể xác định những
thiết lập nào mà chúng ta muốn áp dụng cho các user và computer trong container cụ thể.
Các bước để cấu hình Group Policy Filtering
Để lọc phạm vi của một GPO bằng cách sử dụng security group :
• Trong Group Policy Management, phần console tree, mở rộng forest tìm GPO cần filter và click
vào GPO.
• Trong của sổ GPO chọn Tab Scope và click Add.
• Trong hộp thoại chọn User, Computer, hoặc Group, nhập tên đối tượng đã chọn vào và chọn OK.
9 Lưu ý: để những thiết lập Group Policy áp dụng tới user hay computer account, account phải có ít
nhất quyền Read cho một GPO.
5.3. Quản trị môi trường User và Computer
Quản lý môi trường làm việc user có nghĩa là điều khiển các user có thể làm gì khi logon vào mạng.
Chúng ta làm điều này bằng cách điều khiển môi trường làm việc của họ, kết nối mạng và giao diện
người dùng thông qua Group Policy. Chúng ta quản lý môi trường làm việc của user để đảm bảo rằng các
user có những gì mà họ cần cho công việc của họ.
Khi chúng ta cấu hình và quản lý tập trung các môi trường làm việc của user, chúng ta có thể thực hiện
những thao tác sau :
• Quản lý các user và computer
Bằng cách quản lý các thiết lập môi trường desktop của user với việc đăng kí với những policy,
chúng ta bảo đảm rằng các user có cùng môi trường làm việc, thậm chí nếu họ logon từ những
máy tính khác nhau. Chúng ta có thể điều khiển Microsoft Windows Server 2003 quản lý các
user profiles, bao gồm cả dữ liệu cá nhân của user được làm cho sẵn dùng. Bằng cách chuyển
hướng các folder của user từ ổ cứng cục bộ trên máy tính user tới một vị trí trung tâm trên một
server, chúng ta có thể bảo đảm rằng dữ liệu của user là sẵn có cho họ mà không cần biết tới máy
tính mà họ logon vào.
Quản trị và xây dụng môi trường mạng doanh nghiệp
- 92 -
• Triển khai phần mềm
Phần mềm được triển khai tới máy tính hay user qua dịch vụ thư mục Active Directory. Với việc
triển khai phần mềm, chúng ta có thể bảo đảm rằng các user có được những chương trình mà họ
yêu cầu, các gói services pack và hotfix.
• Làm cho các thiết lập bảo mật có hiệu lực
Bằng cách sử dụng Group Policy trong Active Directory, nhà quản trị hệ thống có thể tập trung
áp dụng các thiết lập bảo mật được yêu cầu để bảo vệ môi trường làm việc của user. Trong
Windows Server 2003, chúng ta có thể sử dụng Security Settings mở rộng trong Group Policy để
xác định những thiết lập bảo mật cho security policies local hay domain.
• Làm cho một môi trường desktop nhất quán.
Những thiết lập Group Policy cung cấp một cách hiệu quả để áp dụng các têu chuẩn, như là
logon script và những thiết lập password. Ví dụ, chúng ta có thể ngăn cản các user tạo ra những
thay đổi cho desktop mà có thể làm ra những môi trường làm việc của họ phức tạp hơn cần thiết.
Ngoài ra, chúng ta cũng có thể áp đặt Group Policy trên local computer nhưng hiệu quả không cao bằng
việc triển khai Group Policy qua mạng.
Sau đây là một số trường hợp cũng như cách hướng dẫn để triển khai Group Policy cho OU, Group,
Local Computer,…
¾ Gán Script vào Group Policy
Chúng ta có thể sử dụng Group Policy để triển khai scripts tới các user và computer. Một script là tập tin
bó hay một script Microsoft Visual Basic mà có thể thực thi code và quản lý các thao tác. Chúng ta có thể
sử dụng những thiết lập Group Policy script để tự động hoá quá trình chạy scripts.
Có những thiết lập script bên dưới cả hai Computer Configuration và User Configuration trong Group
Policy. Chúng ta có thể sử dụng Group Policy để chạy các script khi một máy tính khởi động và
shutdown và khi một user log on, log off. Giống như tất cả những thiết lập Group Policy, Chúng ta cấu
hình một thiết lập Group Policy, và Windows Server 2003 tiếp tục thực thi và ép buộc nó trên mạng của
chúng ta.
Để add một script vào một GPO chúng ta thực hiện các bước sau:
• Trong Group Policy Management, chọn edit GPO.
• Màn hình Group Policy Object Editor, phần console tree, thông qua User
Configuration/Windows Settings/Scripts (Logon/Logoff).
• Double-click Logon.
• Trên hộp thoại Logon Properties và click Add.
• Trong hộp thoại Add a Script, cấu hình bất kỳ thiết lập nào mà bạn muốn sử dụng và click OK:
Script Name. nhập đường dẫn đến script hoặc click Browse tìm vị trí script file share trên
domain controller.
Script Parameters. Nhập bất kỳ thông số vào mà bạn muốn giống như các thông số mà bạn
nhập bằng command line.
• Trong hộp thoại Logon Properties, cấu hình các thiết lập sau mà bạn cần sử dụng:
Logon Scripts for. ở đây sẽ cho bạn thấy danh sách tất cả các script được gán cho và dùng
Up or Down để thay đổi thứ tự script nào được ưu tiên xử lý trước.
Add. Click Add để xác định các scripts nào mà bạn cần thêm.
Edit. Click Edit để thay đôi thông tin cũng như các thông số của script.
Remove. Click Remove để remove các scripts được chọn từ danh sách Logon Scripts.
Show Files. Click Show Files để xem các file scripts được xác định trong GPO.
9 Lưu ý: Các script logon chạy trong ngữ cảnh của user account sẽ không chạy trong ngữ cảnh
computer account.
Quản trị và xây dụng môi trường mạng doanh nghiệp
- 93 -
¾ Một số thao tác liên quan đến Group Policy
Thao tác về Internet Explorer (IE).
• Nhánh User Configuration/Windows Settings/Internet Explorer Maintenance/Browser User
Interface
Browser Tittle: nhấp kép rồi đánh dấu kiểm vào ô "Customize Tittle Bars", gõ vào một cái
tên như ABC. Mở IE ở chế độ about:blank sẽ thấy dòng chữ "Microsoft Internet Explorer
provided by ABC"
Custom logo: chúng ta có thể thay logo của Microsoft ở phía trên góc phải trình duyệt IE
bằng logo của riêng mình (chỉ hỗ trợ các file BMP có 16-256 màu và kích cỡ là 22x22 hay
38x38). Hộp "Customize the static logo bitmaps" dành cho hình tĩnh còn hộp "Customize the
animated bitmaps" dành cho hình động.
• Nhánh User Configuration/Administrative Templates/Windows Components/Internet Explorer
Internet Control Panel: có tất cả 7 tùy chọn thiết lập không cho hiện 7 thẻ trong hộp thoại
Internet Options như General, Security... Nếu không giấu thẻ General, chúng ta có thể quay
lại folder Internet Explorer để enable phần "Disable changing home page settings" nhằm vô
hiệu hóa việc thay đổi trang chủ IE.
Toolbars: enable phần "Configure Toolbar Buttons" sẽ cho tùy chọn hiển thị các nút trên
thanh công cụ của IE.
• Nhánh Computer Configuration/Administrative Templates/Windows Components/ Internet
Explorer
Security Zone: Use only machine settings: bắt buộc tất cả các user đều phải chung một mức
độ security như nhau.
Security Zone: Do not allow users to add/delete sites: trong Security Zone có danh sách các
site nguy hiểm do người dùng thiết lập, enable tùy chọn này sẽ không cho thay đổi danh sách
đó (cách tốt nhất là giấu luôn thẻ Security).
Disable Periodic Check for Internet Explorer software updates: ngăn không cho IE tự
động tìm phiên bản mới của nó.
Thao tác về Windows Explorer.
• Nhánh User Configuration/ Administrative Templates/ Windows Components/ Windows
Explorer:
Maximum number of recent document: quy định số lượng các tài liệu đã mở hiển thị trong
My Recent Documents.
Do not move deleted files to the Recycle Bin: file bị xóa sẽ không được đưa vào Recycle
Bin.
Maximum allowed Recycle Bin size: giới hạn dung lượng của Recycle Bin, tính bằng đơn
vị phần trăm dung lượng của ổ đĩa cứng.
Hide the dropdown list of recent files trong folder Common Open File Dialog: không
cho hiển thị danh sách recent file trong các hộp thoại Open (như Word, Excel...)
Thao tác về Logon.
• Nhánh Computer Configuration/Administrative Templates/Logon
Always use classic logon: làm hộp thoại Logon/Shutdown của Windows XP có dạng giống
Windows 2000.
Run these programs at user logon: tùy chọn này cho phép người dùng lập danh sách các
file cần chạy khi đăng nhập vào máy tính, chỉ nên sử dụng cho các file dữ liệu.
Thao tác về System Restore.
• Nhánh Computer Configuration/Administrative Templates/System Restore
Turn off System Restore: tắt System Restore, khi người dùng gọi System Restore thì xuất
hiện thông báo "System Restore has been turn off by group policy. To turn on System
Restore, contact your domain Administrator".
Turn off Configuration: chỉ có tác dụng khi System Restore được kích hoạt, tính năng này
vô hiệu hóa phần thiết lập cấu hình của System Restore.
Quản trị và xây dụng môi trường mạng doanh nghiệp
- 94 -
Thao tác về Windows Media Player.
• Nhánh User Configuration/Administrative Templates/Windows Components/ Windows Media
Player
Phần "Set and Lock Skin" trong folder User Interface: thiết lập một skin duy nhất cho
Windows Media Player.
Phần "Prevent Codec Download" trong folder Playback: ngăn Windows Media Player tự
động tải các codec.
Thao tác về Windows Firewall với Group Policy
Windows Firewall là chương trình tường lửa được tích hợp vào Windows XP Service Pack 2 hay
Windows 2003 Service Pack 1, giúp người dùng an toàn hơn khi lướt web.
Microsoft cũng cung cấp tập tin quản trị system.adm đã cập nhật các thiết lập cho Group Policy cho phép
chúng ta có thể cấu hình tường lửa tốt hơn sử dụng AD (Active Directory) dựa trên GPO (Group Policy
Object).
Để truy cập vào phần thiết lập cho tường lửa của Windows trong Group Policy, vào Start – Run, gõ
gpedit.msc , Enter để hộp thoại Group Policy mở ra. Tiếp theo, vào tiếp theo các nhánh sau: Computer
Configuration, Administrative Templates, Network, Network Connections, Windows Firewall. Tại hộp
thoại này, chúng ta có thể cấu hình cho tường lửa của Windows qua 2 thư mục: Domain Profile và
Standard Profile.
Domain Profile: thiết lập cho Windows Firewall khi máy tính kết nối đến mạng AD
Standard Profile: thiết lập cho tường lửa khi máy tính không kết nối đến mạng.
Những thiết lập này cho phép chúng ta cấu hình cho những máy đã kết nối mạng hay các máy từ xa. Phần
thiết lập của 2 thư mục Domain và Standard cũng hoàn toàn giống nhau, chúng ta có thể chọn một thiết
lập và xem mô tả như sau:
Một vài tính năng của Windows Firewall hữu ích mà chúng ta nên kích hoạt:
• Protect all network connections: thiết lập này buộc tường lửa tắt hay mở cho một định danh
• Do not allow exceptions: tùy chọn chỉ thị cho tường lửa từ chối các trường hợp đặc biệt đã được
chỉ định. Kích hoạt thiết lập này tương đương với việc chọn “Don’t allow exceptions” (Không
cho phép các trường hợp đặc biệt) trên thẻ General trong Windows Firewall Control Panel.
• Define program exceptions Properties: thiết lập cho phép chúng ta tùy chọn chỉ định các
chương trình, giúp chúng ta cấp phép cho các trường hợp đặc biệt “tấm vé” để qua tường lửa.
• Prohibit notifications: thiết lập dừng các thông báo của tường lửa khi một chương trình yêu cầu
Windows Firewall bổ sung nó vào danh sách các chương trình cho phép.
• Allow logging: tùy chọn cho phép chúng ta cấu hình cấp bậc bản ghi lưu trữ thông tin cho tường
lửa, kích cỡ bản ghi, tên và vị trí.
¾ Triển khai chính sách mật khẩu miền với Active Directory Windows 2003
Trong quá trình cài đặt Windows Active Directory cho một Domain Controller, hai Group Policy Object
(GPO), tức đối tượng chính sách nhóm được tạo. Các GPO này được đặt tên là Default Domain
Controllers Policy và Default Domain Policy. Trách nhiệm chính của GPO này là thiết lập đặc quyền
người dùng cho Domain Controller, cũng như một số thiết lập bảo mật hỗn hợp khác.
Default Domain Policy liên kết tới các miền trong toàn bộ quá trình cài đặt. Trong phần này chúng ta chỉ
nói đến nhiệm vụ chính đó là thiết lập Password Policy cho tất cả tài khoản người dùng trong miền.
Password Policies chỉ là một trong ba phần khác nhau ở khu vực Account Policies. Bên cạnh đó còn có
Account Lockout Policies và Kerberos Policies.
Bên trong Default Domain Policy, các thiết lập kiểm soát mật khẩu tài khoản người dùng trong miền và
giới hạn khoá được tạo, như trong các hình bên dưới.
Quản trị và xây dụng môi trường mạng doanh nghiệp
- 95 -
Hình Các thiết lập Password Policies.
Hình Các thiết lập Account Lockout Policies.
Nếu các giá trị mặc định không như chúng ta mong muốn thì chúng ta có thể chỉnh sửa chúng. Có hai
hướng thực hiện là update Default Domain Policy để đạt được các thiết lập Password Policy mong đợi.
Hoặc không thay đổi GPO mặc định mà tạo mới một GPO khác. Sau đó liên kết nó với miền, cấu hình
với các thiết lập Password Policy mong đợi cũng như các thiết lập khác và chuyển lên mức ưu tiên cao
hơn Default Domain Policy, như trong hình.
Hình GPO mới với mức ưu tiên cao hơn được tạo để cung cấp
Password Policy cho tất cả tài khoản người dùng trong miền.
¾ Vô hiệu hóa các ổ USB, CD-ROM, Floppy Disk... bằng Group Policy
Microsoft Group Policy cho phép tạo các file mẫu Administrative Template (.adm) tùy thích để áp dụng
cho các thiết lập registry không có sẵn trong chế độ mặc định. Mẫu ADM trong bài viết này cho phép vô
hiệu hóa bộ cài các thiết bị trên.
Quản trị và xây dụng môi trường mạng doanh nghiệp
- 96 -
Mặc định, Group Policy không tạo diều kiện dễ dàng để vô hiệu hóa các ổ có thể di chuyển như cổng
USB, ổ CD-ROM, ổ mềm và ổ mềm công suất cáo LS-120. Tuy nhiên, Group Policy có thể được mở
rộng để sử dụng các tùy chọn bằng các mẫu ADM. Mẫu ADM trong bài này cho phép quản trị viên có
thể vô hiệu hóa các ổ trên, bảo đảm rằng chúng không thể sử dụng.
Cách thức tiến hành
• Chúng ta tạo một file có phần đuôi là .adm với nội dung code bên dưới
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
Các file đính kèm theo tài liệu này:
- a4_xay_dung_va_quan_tri_moi_truong_mang_doanh_nghiep_5_8_25_10_07__6234.pdf