Đề tài Lap Windows server 2003

Đề Tài Lap Windows server 2003. Lưu Vũ Tiến Công Mssv: 3.09.01.682 Lớp : C9MMT2 Máy 2k3: Nâng cấp Domain Controller (Full DNS domain name: DomX.local – X: Họ và Tên) Đặt IP tĩnh cho server theo các tham số sau:IP: 192.168.1.2NetMask: 255.255.255.0 Default gateway: 192.168.1.1Preferred DNS Server: 192.168.1.2 Tắt windows firewall bằng cách vào Start>run và đánh Services.msc rồi tìm tới Windows Firewall và disable nó đi Bấm phím phải chuột vào My Computer rồi chọn Properties trong menu ngữ cảnh > chọn bảng Computer Name và bấm nút Change > gõ tên mới trong ô Computer Name (không được trùng với tên account trong máy) Khởi động lại Windows để thay đổi có hiệu lực. Nâng Cấp Domain Vào Start -> Run gõ lệnh dcpromo -> Enter Trong cửa sổ Active Dirrectory Installation chọn Next. Cửa sổ tiếp theo chọn Next Cửa sổ tiếp theo chọn Domain controller for new domain ->Next Check mục Domain in a new forest sau đó nhấp Next Gõ Domain của bạn vào trong Lap này là DomTienCong.local sau đó nhấp Next Tại cửa sổ tiếp theo để mặc đinh rồi next Chọn thư mục lưu rồi next Cửa sổ tiếp theo chọn next Trong cửa sổ DNS Registration Diagnostics chọn mục 2 Cửa sổ tiếp theo chọn next Đánh pass của admin vào và next Cửa sổ tiếp theo chọn Next Tiến trình upgrade lên DC bắt đầu, trong quá trình cài đặt nếu Windows yêu cầu bạn chèn đĩa CD Windows Server 2003 vào bạn cứ chèn vào và Browser... đến thư mục i386 để tiếp tục cài đặt sau đó bạn chờ cho hoàn tất và Restart lại máy Cài đặt thành công ấn Finsh Khởi động lại máy Bảng Manager your server báo bạn đã có quyền Domain Máy WinXP: a.Join domain. Đặt IP tĩnh cho Client theo các tham số sau:IP: 192.168.1.3NetMask: 255.255.255.0 Default gateway: 192.168.1.1Preferred DNS Server: 192.168.1.2 Tiếp theo vào start>run đánh cmd thực hiện lệnh ping 192.168.1.2 để kiểm tra 2 máy Client và DC đã nhìn thấy nhau chưa Mở System Properties lên chọn Tab Computer Name chọn Changes...Trong mục Member of bạn không chọn Workgroup nữa mà chọn là Domain và nhập Domain vào, trong ví dụ này là DomTienCong.local Sau đó Windows sẽ bật ra hộp thoại yêu cầu bạn khai báo User & Password đăng nhập máy Domain, bạn nhập bất cứ Account nào đã từng tạo trên Domain rồi vào, lưu ý rằng bạn thêm DomTienCong.local trước user đăng nhập Xuất hiện thông báo là đã Join thành công Khởi động lại máy để áp dụng b. Log on domain administrator, cài RSAT.(admin pack) (đưa đĩa cd win2k3 vào máy client) Tiếp theo vào đĩa cd tìm E:\I386\ADMINPAK.MSI chạy file này Cửa sổ cài đặt hiện lên bạn chọn Next Quá trình cài đặt diễn ra thành công bạn ấn Finish Bạn vào start>program>administrative tools của máy client đã có thể truy cập các dịch vụ Trên máy Domain bạn vào Start>Administrative tools chọn Domain security policy và thiết lập các tham số như trong hình (đơn giản password) Sau đó vào Start>run đánh gpupdate /force Tạo các object và đưa các user vào group tương ứng: HCM (OU) HN (OU) KeToan (group) NhanSu (group) KT1 / 123, KT2 /123 (user) NS1 / 123, NS2 / 123 (user) Trên máy DC vào Start>Administrative>Active Directory users and computers….kích chuột phải vào DomTienCong.local chon New>Organizational Unit Bảng New Object – Orgranizational Unit hiện lên đánh Name là HCM rồi Ok Tạo Group Kế Toán Kích chuột phải lên OU HCM và chọn New>Group Tại Group Name đánh “KeToan” Tạo user Kích chuột phải lên OU HCM chọn New>User và đánh như trong hình và chọn Next Ở cửa sổ tiếp theo đánh 2 dòng Password và Confirm Password là 123 và bỏ check User must change password at next logon ấn Next để tiếp tục Tạo User đã thành công => Fnish để kết thúc User KT2 làm tương tự KT1 Add KT1 và KT2 vào group KeToan Kích chuột phải vào group KeToan chọn properties>chuyển qua tab Member và chọn Add Đánh vào kt1;kt2 tại mục Enter the object names to select => ấn Check Names Ở cửa sổ tiếp theo thông báo đã add được 2 user vào Group KeToan OU HN + Group NhanSu + user NS2 NS2 làm tương tự như OU HCM Tạo cây thư mục trên máy Client và cấp quyền: C:\Data C:\Data\DataChung C:\Data\DataKeToan C:\Data\DataNhanSu KeToan Đọc Toàn quyền Toàn quyền Không được truy cập NhanSu Đọc Toàn quyền Không được truy cập Toàn quyền Trên máy Client tạo cây thư mục như trong hình Kích chuột phải vào thư mục Data chọn Properties sau đó đánh dấu vào Share this folder và chọn vào Permissions. Đánh dấu tích vào Full control cho Everyone Chọn Apply tiếp tục chuyển qua tab Security và kích vào Add đánh vào mục Enter the object names to select là KeToan;NhanSu và ấn Check names Sau khi Check names thành công sẽ như sau và kích OK Sau đó chỉnh quyền cho Group KeToan chỉ có quyền Read (NhanSu tương tự) Datachung Kích chuột phải trên thư mục DataChung rồi chọn Properties chuyển qua tab security Kích vào chữ Add và đánh vào Enter the object names to select là KeToan;NhanSu rồi ấn Check Names ấn OK 1 lần nữa và chỉnh lại quyền cho Group KeToan là Full control (NhanSu tương tự) Tương tự như vậy với thư mục DataKeToan ta cũng Add 2 Group KeToan và NhanSu vào và phân quyên Group KeToan Full control Group NhanSu không có quyền gì cả Với thư mục DataNhanSu thì ngược lại Group KeToan không có quyền Group NhanSu Full control Điều chỉnh quyền trên folder DataKeToan sao cho các user KeToan chỉ có thể xóa tài nguyên do chính mình tạo ra. Thực hiện kích phải folder DataKeToan> Chọn Properties Chuyển qua tab Security và chọn Advanced Màn hình Advanced Security Settings for DataKeToan> Chọn KeToan> Edit . Gỡ dấu Check Delete Subfolders and File và Delete tại cột Allow > Check vào ô Apply these permissions to objects and/or containers within this container only > OK > OK > OK Cấu hình Home Folder cho các user (Home Folder đặt trên máy Domain). Tại server, bạn tạo thư mục sẽ chứa toàn bộ dữ liệu của các user. Sau đó, bạn thiết lập quyền Full Control cho toàn bộ người dùng đối với thư mục Home, bằng cách nhấn chuột phải vào thư mục > Properties > tại thẻ Sharing, đánh dấu vào ô Share this folder và nhấn nút Permissions. Tại cửa sổ phân quyền Permissions for Home, bạn đánh dấu vào ô Full Control tại cột Allow > OK > OK. Chuyển sang thẻ Security, bạn chọn group Users rồi nhấn Edit, đánh dấu vào ô Modify tại cột Allow > OK Tiếp theo, bạn vào Active Directory Users and Computers. Tại đây, bạn tìm và nhấn chuột phải vào tên user > Properties > Tại tab Profiles, bạn đánh dấu vào ô Connect, rồi gõ vào ô To dòng \\IP Server\Tên thư mục chứa file\%username% (chẳng hạn \\192.168.1.100\Home\%username%, với IP của server là 192.168.1.100). Sau đó, bạn nhấn Apply, đoạn %username% sẽ tự động chuyển thành tên của user, nhấn OK. Refresh lại thư mục home ta đã thấy thư mục kt1 của user kt1 Khi logon bằng máy Client với user kt1 đã thấy có ổ đĩa Home Làm tương tự như vậy với các user kt2 ns1 ns2. Cấu hình Mandatory Profile cho các user KeToan (madatory profile lưu trên máy Domain). Trước khi có thể thiết lập Roaming Profile, yêu cầu bắt buộc là bạn phải thiết lập profiles trước bằng cách thiết kế desktop của bạn theo ý muốn, tạo các short cut cho các chương trình và sau đó bạn phải copy profile này lên một server và share folder này, trong trường hợp này chúng ta tạo một folder gọi là Profiles trên máy server sau đó bạn phải share folder bằng cách right vào folder chọn sharing, chọn vào mục Share This Folder, sau đó click OK Tạo cây thư mục để lưu Profiles Share thư mục Profiles với quyền Full control Copy profile vào bạn làm ở trên vào máy server với folder Profiles đã được share bằng cách Right click vào My Computer-->Chọn Properties-->tab AdvancedàChọn vào mục User Profiles Click vào mục Copy To ở góc phải dưới theo hình sau đây và click Copy. Đánh vào ô Copy profile to là \\192.168.1.2\Profiles\kt1 và click copy Bảng thông báo hiện lên => chọn Yes Sau khi hoàn tất việc copy và share folder, bạn phải thiết lập đường dẫn cho user đến profiles bạn vừa tạo ở trên bằng cách vào Active Directory Users and Computers, chọn user mà bạn muốn thiết lập Roaming hay Mandatory profile, right click vào user đó chọn Properties theo hình dưới. Trong thư mục kt1 đã có các profiles của user kt1 Cấu hình Mandatory Profile Như đã đề cập ở trên, Mandatory và thật sự cũng là Roaming chỉ khác là bạn phải thay đổi tên của một file nằm trong phần profile bạn copy ở trên, file bạn cần rename là NTUSER.DAT thành NTUSER.MAN.  Right click vào file NTUSER.DAT chọn rename như hình dưới. Redirect folder My Documents của các user NhanSu về máy DC. Trên máy Domain bạn tạo ra 1 thư mục để lưu My Document của các user trong Group NhanSu và share thư mục này với quyền Full Control Tiếp theo vào Active Directory Users and Computers kích chuột phải lên OU HN=>Properties kích vào button New và đánh “Redirect folder” -Nhấp đôi chuột vào Redirect folder và tìm tới User Configurations=>Windows Setting=>Folder Redirect và kích chuột phải lên My Document=>chọn Properties ở cửa số tiếp theo tại mục Setting chọn Basic - Redirect everyone's folder to the same location tại mục Target folder location chọn Create a folder for each user under the root path tại mục Root path đánh vào \\địa chỉ ip máy DC\thư mục share (\\192.168.1.2\ Redirect folder) sau đó nhấp OK Tiếp theo sang máy Client và logon với user nằm trong Group NhanSu. Click chuột phải vào My Document chọn Properties sẽ thấy tại mục Target là \\192.168.1.2\ Redirect folder\[tên user]\My Documents Chuyển sang tab Security kích vào Add để add thêm Everyone với Full Control sau đó nhấp OK Quay trở lại với máy Domain bạn vào thư mục Redirect folder đã thấy có My Document trong folder này. Những thay đổi bên máy Client sẽ được cập nhật ngay lập tức tại máy Domain Cấm các user KeToan truy cập Control Panel. Vào Adminitrative tools =>Active Directory Users and Computers kích chuột phải lên OU HCM=>Properties sau đó chọn New và nhập vào “Cam Control panel”. Nhấp vào Cam Control panel chọn Edit sau đó tìm tới User Configuration=>Adminstrative temples=>Control panel nhìn qua khung bên phải tìm dòng Prohitbit access to the Control panel nhấp chuột phải và chọn Properties. Bạn chọn là Enable sau đó apply OK Vào Start/Run nhập gpupdate /force Logon trên máy Client với user trong OU HCM sẽ không thể truy cập được vào Control panel nữa Cấm các user NhanSu truy cập đĩa C: Vào Adminitrative tools =>Active Directory Users and Computers kích chuột phải lên OU HN=>Properties sau đó chọn New và nhập vào “Cam Vao O C”. Chọn Cam Vao O C(nếu nó là dòng thứ 2 thì kích vào Button Up cho nó lên đầu) chọn Edit và tìm tới User Configuration=>Administrative Templates=>Windows Compents=>Windows Explorer nhìn sang khung bên phải và tim Prevent access to drivers from Computer sau đó thiết lập như hình dưới sau đó kích OK và đóng các cửa sổ lại vào Start=>Run đánh gpudate /force Sang máy Client và logon với user trong Group NhanSu truy cập ổ C sẽ không được. Trên DC, cấu hình 01 shared printer đặt tên là Printer01. Để chạy Print Server bạn vào Start -> Settings -> Printers and Faxes tiến hành thiết lập chúng bằng cách nhấp vào Add a printer Vì tôi đang ngồi trên máy Server mà 2 máy in này nối trực tiếp với máy Server nên ta chọn mục Local printer attached to this computers Tại mục Select a Printer Port ta chọn cổng kết nối tương ứng với mỗi máy, trong ví dụ này tôi giả sử máy in HP 2000C kết nối qua cổng LPT1 và Epson 1000 kết nối qua cổng LPT2 Tại mục Install Printer Software ta chọn Driver tương ứng cho mỗi máy hoặc chèn đĩa CD Driver vào Tại Printer Sharing ta chọn Share name là tên mặc định mà Windows gán cho từng máy in Cửa sổ tiếp theo bạn chọn Next Bạn có muốn in thử hay không Yes or No Click Finish để kết thúc quá trình Add Printer Ta đã có máy in với tên là Printer01 Cấp quyền: User KT1 được quyền in, điều chỉnh máy in và xóa job của mọi user. Các user KeToan & NhanSu chỉ được quyền in. Kích chuột phải vào máy in trọn Properties Click vào Add và add thêm user KT1 cấp quyền cho user này với quyền tương ứng. Add thêm Group KeToan và NhanSu và chỉ cấp quyền được phép Print Cấu hình sao cho print job của user KT1 luôn luôn in trước các print job của các user khác. Ta cần add thêm 1 chiếc máy in nữa với tên là Printer01 kt1 (cách add làm tương tự các bước trên) Tiếp theo để xét quyền in trước ta click phải chuột vào máy in Printer01 kt1 chon Properties. Trên cửa sổ Properties của máy in này ta chọn Advanced và xét mục priority là 2 Trên máy in này chỉ add 1 user duy nhất là user KT1 Chuyển spool folder về C:\Spool Kích chuột menu file chọn Printer Server. ở cửa sổ này tại mục Spool folder ta đánh đường dẫn tới thư mục ta cần để các file. Cấu hình để hệ thống ghi nhận các sự kiện: Đăng nhập trái phép bằng domain user account. Trên máy SERVER, Start -> Programs -> Administrative Tools -> Domain Controller Security Policy -> Local Policies -> Audit Policy -> Audit logon events Cập nhật Policy Start -> Programs -> Administrative Tools -> Event Viewer -> Security để xem các ghi nhận về đăng nhập hệ thống của các user. Đăng nhập trái phép bằng local user account (trên máy Client). Trên máy Client, Start -> Programs -> Administrative Tools -> Local Security Policy -> Local Policies -> Audit Policy -> Audit logon events Cập nhật Policy Start -> Programs -> Administrative Tools -> Event Viewer -> Security để xem các ghi nhận về đăng nhập hệ thống của các user. Truy cập trái phép vào thư mục DataKeToan. Trên máy Client, Start -> Programs -> Administrative Tools -> Local Security Policy -> Local Policies -> Audit Policy -> Audit object access Cập nhật Policy Vào C:\Data, click chuột phải thư mục DataKeToan chọn Properties, chọn Advanced, sau đó chọn thẻ Auditing, add group để ghi nhận. Start -> Programs -> Administrative Tools -> Event Viewer -> Security để xem các ghi nhận về truy cập DataKeToan của user Yêu cầu: Chỉ ghi nhận các sự kiện nêu trên, không ghi nhận các sự kiện khác Lập 2 backup schedule: Trên DC: Backup System state vào lúc 20h00 ngày 15 và ngày cuối mỗi tháng; bắt đầu vào tháng hiện tại và kết thúc schedule sau 01 năm. Start -> Programs -> Accessories -> System Tools -> Backup Trong hộp thoại Backup or Restore Wizard, click lên trên chọn Advanced Mode Lựa chọn thư mục cần backup sau đó ấn vào Start backup Cửa sổ tiếp theo chọn vào Schedule.. để tới cửa sổ mới thiết đặt backup Đánh tên cho cái lịch backup cần tạo sau đó chọn Properties để thiết đặt. Tại cửa sổ tiếp theo ta chọn mục Schedule Task là Monthly. Start Time là 8:00 PM. Tại Schedule Task Monthly kích vào Day và chọn là 15 và kích vào nút Advanced Lựa chọn thời gian bắt đầu tại Start Date thời gian kết thúc tại End Date Ta tạo thêm 1 lịch làm việc nữa. thiết đặt như hình bên dưới Chọn thời gian bắt đầu và kết thúc Xem kết quả sau khi thiết đặt Trên máy Client: Backup folder Data vào lúc 20h00 mỗi thứ Sáu hàng tuần. Start -> Programs -> Accessories -> System Tools -> Backup Trong hộp thoại Backup or Restore Wizard, click lên trên chọn Advanced Mode Làm tương tự máy DC Hệ thống yêu xác nhận user Admin Nhập tên lịch backup Tại mục schedule Task chọn là Weekly và chon Fri Xác nhận user Admin lại 1 lần nữa Kết quả sau khi thiết đặt