1. Máy 2k3: Nâng cấp Domain Controller (Full DNS domain name: DomX.local – X: Họ và Tên)
Đặt IP tĩnh cho server theo các tham số sau:
IP: 192.168.1.2
NetMask: 255.255.255.0
Default gateway: 192.168.1.1
Preferred DNS Server: 192.168.1.2
57 trang |
Chia sẻ: mamamia | Lượt xem: 1890 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Đề tài Lap Windows server 2003, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Đề Tài Lap Windows server 2003.
Lưu Vũ Tiến Công
Mssv: 3.09.01.682
Lớp : C9MMT2
Máy 2k3: Nâng cấp Domain Controller (Full DNS domain name: DomX.local – X: Họ và Tên)
Đặt IP tĩnh cho server theo các tham số sau:IP: 192.168.1.2NetMask: 255.255.255.0
Default gateway: 192.168.1.1Preferred DNS Server: 192.168.1.2
Tắt windows firewall bằng cách vào Start>run và đánh Services.msc rồi tìm tới Windows Firewall và disable nó đi
Bấm phím phải chuột vào My Computer rồi chọn Properties trong menu ngữ cảnh > chọn bảng Computer Name và bấm nút Change > gõ tên mới trong ô Computer Name (không được trùng với tên account trong máy)
Khởi động lại Windows để thay đổi có hiệu lực.
Nâng Cấp Domain
Vào Start -> Run gõ lệnh dcpromo -> Enter
Trong cửa sổ Active Dirrectory Installation chọn Next.
Cửa sổ tiếp theo chọn Next
Cửa sổ tiếp theo chọn Domain controller for new domain ->Next
Check mục Domain in a new forest sau đó nhấp Next
Gõ Domain của bạn vào trong Lap này là DomTienCong.local sau đó nhấp Next
Tại cửa sổ tiếp theo để mặc đinh rồi next
Chọn thư mục lưu rồi next
Cửa sổ tiếp theo chọn next
Trong cửa sổ DNS Registration Diagnostics chọn mục 2
Cửa sổ tiếp theo chọn next
Đánh pass của admin vào và next
Cửa sổ tiếp theo chọn Next
Tiến trình upgrade lên DC bắt đầu, trong quá trình cài đặt nếu Windows yêu cầu bạn chèn đĩa CD Windows Server 2003 vào bạn cứ chèn vào và Browser... đến thư mục i386 để tiếp tục cài đặt sau đó bạn chờ cho hoàn tất và Restart lại máy
Cài đặt thành công ấn Finsh
Khởi động lại máy
Bảng Manager your server báo bạn đã có quyền Domain
Máy WinXP:
a.Join domain.
Đặt IP tĩnh cho Client theo các tham số sau:IP: 192.168.1.3NetMask: 255.255.255.0
Default gateway: 192.168.1.1Preferred DNS Server: 192.168.1.2
Tiếp theo vào start>run đánh cmd thực hiện lệnh ping 192.168.1.2 để kiểm tra 2 máy Client và DC đã nhìn thấy nhau chưa
Mở System Properties lên chọn Tab Computer Name chọn Changes...Trong mục Member of bạn không chọn Workgroup nữa mà chọn là Domain và nhập Domain vào, trong ví dụ này là DomTienCong.local
Sau đó Windows sẽ bật ra hộp thoại yêu cầu bạn khai báo User & Password đăng nhập máy Domain, bạn nhập bất cứ Account nào đã từng tạo trên Domain rồi vào, lưu ý rằng bạn thêm DomTienCong.local trước user đăng nhập
Xuất hiện thông báo là đã Join thành công
Khởi động lại máy để áp dụng
b. Log on domain administrator, cài RSAT.(admin pack)
(đưa đĩa cd win2k3 vào máy client)
Tiếp theo vào đĩa cd tìm E:\I386\ADMINPAK.MSI chạy file này
Cửa sổ cài đặt hiện lên bạn chọn Next
Quá trình cài đặt diễn ra thành công bạn ấn Finish
Bạn vào start>program>administrative tools của máy client đã có thể truy cập các dịch vụ
Trên máy Domain bạn vào Start>Administrative tools chọn Domain security policy và thiết lập các tham số như trong hình (đơn giản password)
Sau đó vào Start>run đánh gpupdate /force
Tạo các object và đưa các user vào group tương ứng:
HCM (OU)
HN (OU)
KeToan (group)
NhanSu (group)
KT1 / 123, KT2 /123 (user)
NS1 / 123, NS2 / 123 (user)
Trên máy DC vào Start>Administrative>Active Directory users and computers….kích chuột phải vào DomTienCong.local chon New>Organizational Unit
Bảng New Object – Orgranizational Unit hiện lên đánh Name là HCM rồi Ok
Tạo Group Kế Toán
Kích chuột phải lên OU HCM và chọn New>Group
Tại Group Name đánh “KeToan”
Tạo user
Kích chuột phải lên OU HCM chọn New>User và đánh như trong hình và chọn Next
Ở cửa sổ tiếp theo đánh 2 dòng Password và Confirm Password là 123 và bỏ check User must change password at next logon ấn Next để tiếp tục
Tạo User đã thành công => Fnish để kết thúc
User KT2 làm tương tự KT1
Add KT1 và KT2 vào group KeToan
Kích chuột phải vào group KeToan chọn properties>chuyển qua tab Member và chọn Add
Đánh vào kt1;kt2 tại mục Enter the object names to select => ấn Check Names
Ở cửa sổ tiếp theo thông báo đã add được 2 user vào Group KeToan
OU HN + Group NhanSu + user NS2 NS2 làm tương tự như OU HCM
Tạo cây thư mục trên máy Client và cấp quyền:
C:\Data
C:\Data\DataChung
C:\Data\DataKeToan
C:\Data\DataNhanSu
KeToan
Đọc
Toàn quyền
Toàn quyền
Không được truy cập
NhanSu
Đọc
Toàn quyền
Không được truy cập
Toàn quyền
Trên máy Client tạo cây thư mục như trong hình
Kích chuột phải vào thư mục Data chọn Properties sau đó đánh dấu vào Share this folder và chọn vào Permissions. Đánh dấu tích vào Full control cho Everyone
Chọn Apply tiếp tục chuyển qua tab Security và kích vào Add đánh vào mục Enter the object names to select là KeToan;NhanSu và ấn Check names
Sau khi Check names thành công sẽ như sau và kích OK
Sau đó chỉnh quyền cho Group KeToan chỉ có quyền Read (NhanSu tương tự)
Datachung
Kích chuột phải trên thư mục DataChung rồi chọn Properties chuyển qua tab security
Kích vào chữ Add và đánh vào Enter the object names to select là KeToan;NhanSu rồi ấn Check Names
ấn OK 1 lần nữa và chỉnh lại quyền cho Group KeToan là Full control (NhanSu tương tự)
Tương tự như vậy với thư mục DataKeToan ta cũng Add 2 Group KeToan và NhanSu vào và phân quyên
Group KeToan Full control
Group NhanSu không có quyền gì cả
Với thư mục DataNhanSu thì ngược lại
Group KeToan không có quyền
Group NhanSu Full control
Điều chỉnh quyền trên folder DataKeToan sao cho các user KeToan chỉ có thể xóa tài nguyên do chính mình tạo ra.
Thực hiện kích phải folder DataKeToan> Chọn Properties
Chuyển qua tab Security và chọn Advanced
Màn hình Advanced Security Settings for DataKeToan> Chọn KeToan> Edit
.
Gỡ dấu Check Delete Subfolders and File và Delete tại cột Allow > Check vào ô Apply these permissions to objects and/or containers within this container only > OK > OK > OK
Cấu hình Home Folder cho các user (Home Folder đặt trên máy Domain).
Tại server, bạn tạo thư mục sẽ chứa toàn bộ dữ liệu của các user. Sau đó, bạn thiết lập quyền Full Control cho toàn bộ người dùng đối với thư mục Home, bằng cách nhấn chuột phải vào thư mục > Properties > tại thẻ Sharing, đánh dấu vào ô Share this folder và nhấn nút Permissions. Tại cửa sổ phân quyền Permissions for Home, bạn đánh dấu vào ô Full Control tại cột Allow > OK > OK.
Chuyển sang thẻ Security, bạn chọn group Users rồi nhấn Edit, đánh dấu vào ô Modify tại cột Allow > OK
Tiếp theo, bạn vào Active Directory Users and Computers. Tại đây, bạn tìm và nhấn chuột phải vào tên user > Properties >
Tại tab Profiles, bạn đánh dấu vào ô Connect, rồi gõ vào ô To dòng \\IP Server\Tên thư mục chứa file\%username% (chẳng hạn \\192.168.1.100\Home\%username%, với IP của server là 192.168.1.100). Sau đó, bạn nhấn Apply, đoạn %username% sẽ tự động chuyển thành tên của user, nhấn OK.
Refresh lại thư mục home ta đã thấy thư mục kt1 của user kt1
Khi logon bằng máy Client với user kt1 đã thấy có ổ đĩa Home
Làm tương tự như vậy với các user kt2 ns1 ns2.
Cấu hình Mandatory Profile cho các user KeToan (madatory profile lưu trên máy Domain).
Trước khi có thể thiết lập Roaming Profile, yêu cầu bắt buộc là bạn phải thiết lập profiles trước bằng cách thiết kế desktop của bạn theo ý muốn, tạo các short cut cho các chương trình và sau đó bạn phải copy profile này lên một server và share folder này, trong trường hợp này chúng ta tạo một folder gọi là Profiles trên máy server sau đó bạn phải share folder bằng cách right vào folder chọn sharing, chọn vào mục Share This Folder, sau đó click OK
Tạo cây thư mục để lưu Profiles
Share thư mục Profiles với quyền Full control
Copy profile vào bạn làm ở trên vào máy server với folder Profiles đã được share bằng cách Right click vào My Computer-->Chọn Properties-->tab AdvancedàChọn vào mục User Profiles
Click vào mục Copy To ở góc phải dưới theo hình sau đây và click Copy.
Đánh vào ô Copy profile to là \\192.168.1.2\Profiles\kt1 và click copy
Bảng thông báo hiện lên => chọn Yes
Sau khi hoàn tất việc copy và share folder, bạn phải thiết lập đường dẫn cho user đến profiles bạn vừa tạo ở trên bằng cách vào Active Directory Users and Computers, chọn user mà bạn muốn thiết lập Roaming hay Mandatory profile, right click vào user đó chọn Properties theo hình dưới.
Trong thư mục kt1 đã có các profiles của user kt1
Cấu hình Mandatory Profile
Như đã đề cập ở trên, Mandatory và thật sự cũng là Roaming chỉ khác là bạn phải thay đổi tên của một file nằm trong phần profile bạn copy ở trên, file bạn cần rename là NTUSER.DAT thành NTUSER.MAN. Right click vào file NTUSER.DAT chọn rename như hình dưới.
Redirect folder My Documents của các user NhanSu về máy DC.
Trên máy Domain bạn tạo ra 1 thư mục để lưu My Document của các user trong Group NhanSu và share thư mục này với quyền Full Control
Tiếp theo vào Active Directory Users and Computers kích chuột phải lên OU HN=>Properties kích vào button New và đánh “Redirect folder”
-Nhấp đôi chuột vào Redirect folder và tìm tới User Configurations=>Windows Setting=>Folder Redirect và kích chuột phải lên My Document=>chọn Properties
ở cửa số tiếp theo
tại mục Setting chọn Basic - Redirect everyone's folder to the same location
tại mục Target folder location chọn Create a folder for each user under the root path
tại mục Root path đánh vào \\địa chỉ ip máy DC\thư mục share (\\192.168.1.2\ Redirect folder) sau đó nhấp OK
Tiếp theo sang máy Client và logon với user nằm trong Group NhanSu. Click chuột phải vào My Document chọn Properties sẽ thấy tại mục Target là \\192.168.1.2\ Redirect folder\[tên user]\My Documents
Chuyển sang tab Security kích vào Add để add thêm Everyone với Full Control sau đó nhấp OK
Quay trở lại với máy Domain bạn vào thư mục Redirect folder đã thấy có My Document trong folder này. Những thay đổi bên máy Client sẽ được cập nhật ngay lập tức tại máy Domain
Cấm các user KeToan truy cập Control Panel.
Vào Adminitrative tools =>Active Directory Users and Computers kích chuột phải lên OU HCM=>Properties sau đó chọn New và nhập vào “Cam Control panel”.
Nhấp vào Cam Control panel chọn Edit sau đó tìm tới User Configuration=>Adminstrative temples=>Control panel nhìn qua khung bên phải tìm dòng Prohitbit access to the Control panel nhấp chuột phải và chọn Properties. Bạn chọn là Enable sau đó apply OK
Vào Start/Run nhập gpupdate /force
Logon trên máy Client với user trong OU HCM sẽ không thể truy cập được vào Control panel nữa
Cấm các user NhanSu truy cập đĩa C:
Vào Adminitrative tools =>Active Directory Users and Computers kích chuột phải lên OU HN=>Properties sau đó chọn New và nhập vào “Cam Vao O C”.
Chọn Cam Vao O C(nếu nó là dòng thứ 2 thì kích vào Button Up cho nó lên đầu) chọn Edit và tìm tới User Configuration=>Administrative Templates=>Windows Compents=>Windows Explorer nhìn sang khung bên phải và tim Prevent access to drivers from Computer sau đó thiết lập như hình dưới sau đó kích OK và đóng các cửa sổ lại vào Start=>Run đánh gpudate /force
Sang máy Client và logon với user trong Group NhanSu truy cập ổ C sẽ không được.
Trên DC, cấu hình 01 shared printer đặt tên là Printer01.
Để chạy Print Server bạn vào Start -> Settings -> Printers and Faxes
tiến hành thiết lập chúng bằng cách nhấp vào Add a printer
Vì tôi đang ngồi trên máy Server mà 2 máy in này nối trực tiếp với máy Server nên ta chọn mục Local printer attached to this computers
Tại mục Select a Printer Port ta chọn cổng kết nối tương ứng với mỗi máy, trong ví dụ này tôi giả sử máy in HP 2000C kết nối qua cổng LPT1 và Epson 1000 kết nối qua cổng LPT2
Tại mục Install Printer Software ta chọn Driver tương ứng cho mỗi máy hoặc chèn đĩa CD Driver vào
Tại Printer Sharing ta chọn Share name là tên mặc định mà Windows gán cho từng máy in
Cửa sổ tiếp theo bạn chọn Next
Bạn có muốn in thử hay không Yes or No
Click Finish để kết thúc quá trình Add Printer
Ta đã có máy in với tên là Printer01
Cấp quyền: User KT1 được quyền in, điều chỉnh máy in và xóa job của mọi user. Các user KeToan & NhanSu chỉ được quyền in.
Kích chuột phải vào máy in trọn Properties
Click vào Add và add thêm user KT1 cấp quyền cho user này với quyền tương ứng.
Add thêm Group KeToan và NhanSu và chỉ cấp quyền được phép Print
Cấu hình sao cho print job của user KT1 luôn luôn in trước các print job của các user khác.
Ta cần add thêm 1 chiếc máy in nữa với tên là Printer01 kt1 (cách add làm tương tự các bước trên)
Tiếp theo để xét quyền in trước ta click phải chuột vào máy in Printer01 kt1 chon Properties. Trên cửa sổ Properties của máy in này ta chọn Advanced và xét mục priority là 2
Trên máy in này chỉ add 1 user duy nhất là user KT1
Chuyển spool folder về C:\Spool
Kích chuột menu file chọn Printer Server. ở cửa sổ này tại mục Spool folder ta đánh đường dẫn tới thư mục ta cần để các file.
Cấu hình để hệ thống ghi nhận các sự kiện:
Đăng nhập trái phép bằng domain user account.
Trên máy SERVER, Start -> Programs -> Administrative Tools -> Domain Controller Security Policy -> Local Policies -> Audit Policy -> Audit logon events
Cập nhật Policy
Start -> Programs -> Administrative Tools -> Event Viewer -> Security để xem các ghi nhận về đăng nhập hệ thống của các user.
Đăng nhập trái phép bằng local user account (trên máy Client).
Trên máy Client, Start -> Programs -> Administrative Tools -> Local Security Policy -> Local Policies -> Audit Policy -> Audit logon events
Cập nhật Policy
Start -> Programs -> Administrative Tools -> Event Viewer -> Security để xem các ghi nhận về đăng nhập hệ thống của các user.
Truy cập trái phép vào thư mục DataKeToan.
Trên máy Client, Start -> Programs -> Administrative Tools -> Local Security Policy -> Local Policies -> Audit Policy -> Audit object access
Cập nhật Policy
Vào C:\Data, click chuột phải thư mục DataKeToan chọn Properties, chọn Advanced, sau đó chọn thẻ Auditing, add group để ghi nhận.
Start -> Programs -> Administrative Tools -> Event Viewer -> Security để xem các ghi nhận về truy cập DataKeToan của user
Yêu cầu: Chỉ ghi nhận các sự kiện nêu trên, không ghi nhận các sự kiện khác
Lập 2 backup schedule:
Trên DC: Backup System state vào lúc 20h00 ngày 15 và ngày cuối mỗi tháng; bắt đầu vào tháng hiện tại và kết thúc schedule sau 01 năm.
Start -> Programs -> Accessories -> System Tools -> Backup
Trong hộp thoại Backup or Restore Wizard, click lên trên chọn Advanced Mode
Lựa chọn thư mục cần backup sau đó ấn vào Start backup
Cửa sổ tiếp theo chọn vào Schedule.. để tới cửa sổ mới thiết đặt backup
Đánh tên cho cái lịch backup cần tạo sau đó chọn Properties để thiết đặt.
Tại cửa sổ tiếp theo ta chọn mục Schedule Task là Monthly. Start Time là 8:00 PM. Tại Schedule Task Monthly kích vào Day và chọn là 15 và kích vào nút Advanced
Lựa chọn thời gian bắt đầu tại Start Date thời gian kết thúc tại End Date
Ta tạo thêm 1 lịch làm việc nữa. thiết đặt như hình bên dưới
Chọn thời gian bắt đầu và kết thúc
Xem kết quả sau khi thiết đặt
Trên máy Client: Backup folder Data vào lúc 20h00 mỗi thứ Sáu hàng tuần.
Start -> Programs -> Accessories -> System Tools -> Backup
Trong hộp thoại Backup or Restore Wizard, click lên trên chọn Advanced Mode
Làm tương tự máy DC
Hệ thống yêu xác nhận user Admin
Nhập tên lịch backup
Tại mục schedule Task chọn là Weekly và chon Fri
Xác nhận user Admin lại 1 lần nữa
Kết quả sau khi thiết đặt