Author: Kevin

XIV. BITLOCKER

CÁC BƯỚC TRIỂN KHAI

1. Triển khai BitLocker bằng Group Policy

2. Kích hoạt BitLocker cho ổ đĩa

3. Di chuyển ổ đĩa sang máy khác và kiểm tra

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL).

+ PC03: Windows Server 2016 (đã join domain). Trên máy PC03 phải có ít nhất 2 ổ cứng và được định dạng là NTFS.

B- THỰC HIỆN

1. Triển khai BitLocker bằng Group Policy (Thực hiện trên máy PC01)

– Mở Server Manager -> menu Tools -> chọn Group Policy Management

– Mở theo đường dẫn: Forest: NHATNGHE.LOCAL -> Domains -> NHATNGHE.LOCAL, Chuột phải Default Domain Policy -> chọn Edit

– Mở theo đường dẫn: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption -> Fixed Data Drives -> nhấn double click vào policy: Choose how BitLocker-protected fixed drives can be recovered setting.

– Chọn Enabled -> Đánh dấu chọn vào 2 ô: Save BitLocker recovery information to AD DS for fixed data drives và ô Do not enable BitLocker until recovery information is stored to AD DS for fixed data drives -> OK

– Qua máy PC03, log on NHATNGHE\Administrator. Mở CMD, gõ lệnh Gpupdate /Force. Sau đó Restart lại máy PC03

2. Kích hoạt BitLocker cho ổ đĩa (Thực hiện trên máy PC03)

– Mở Server Manager -> menu Manage -> chọn Add Roles and Features

– Nhấn Next theo mặc định. Màn hình Features -> đánh dấu chọn vào ô BitLocker Drive Encryption -> Add Features -> Next

– Màn hình Confirmation -> đánh dấu chọn vào ô Restart the destination server automatically if required -> Install -> Close

– Mở Control Panel -> chọn BitLocker Drive Encryption

– Chọn ổ đĩa muốn bảo mật -> Nhấn Turn on BitLocker.

– Đánh dấu chọn vào ô Use a password to unlock the drive -> Nhập vào mật khẩu ở 2 ô Password và Confirm Password -> Next

– Chọn Save to a file.

– Trỏ đường dẫn đến nơi lưu khóa giải mã -> Save -> Yes

– Nhấn vào nút Start encrypting để bắt đầu mã hóa.

– Quá trình mã hóa đang diễn ra.

– Sau khi mã hóa thành công -> nhấn Close.

– Mở Windows PowerShell, gõ lệnh Manage-bde –status. Quan sát thấy ổ đĩa được bảo vệ bằng BitLocker, dòng Protection Status hiển thị Protection On.

3. Di chuyển ổ đĩa sang máy khác và kiểm tra

– Gỡ bỏ ổ cứng bảo mật trên máy PC03 và gắn vào máy PC01.

– Trên máy PC01, mở Server Manager -> cài Features BitLocker Drive Encryption

– Nhấn tổ hợp phím ÿ + R, gõ lệnh diskmgmt.msc

– Chuột phải vào đĩa mới được gắn vào -> chọn Online

– Quan sát thấy ổ đĩa vẫn được bảo vệ bằng BitLocker

– Mở Active Directory Users and Computers -> Chuột phải vào NHATNGHE.LOCAL -> chọn Find

– Ở mục Find -> chọn Computers -> nhấn nút Find Now

– Nhấn double click vào PC03

– Qua tab BitLocker Recovery -> Ở khung Details, copy toàn bộ nội dung ở dòng Recovery Password

– Mở File Explorer, double click vào ổ đĩa được bảo mật bằng BitLocker

– Chọn More options

– Nhấn Enter recovery key

– Dán toàn bộ nội dung vừa copy vào khung Enter the 48-digit recovery key to unlock this drive -> Nhấn nút Unlock

– Quan sát thấy ổ đĩa đã được giải mã.

– Truy cập vào dữ liệu thành công.

XIII. DISTRIBUTED FILE SYSTEM

CÁC BƯỚC TRIỂN KHAI

1. Cài Distributed File System role service trên các file server

2. Tạo NameSpace & chỉ định các NameSpace Server

3. Tạo Replication Group

4. Chỉ định Replicate và publish trong NameSpace

5. Thử nghiệm Failover

A- CHUẨN BỊ

Mô hình bài lab bao gồm 03 máy:

– PC01: Windows Server 2016 – DC (Domain: NHATNGHE.LOCAL)

– PC03 và PC04: Windows Server 2016 đã join domain, tạo thư mục DATA và share full thư mục DATA trên ổ C:

– PC05: Windows 8.1 Enterprise đã join domain.

– Log on Domain Admin trên 3 máy PC01, PC03 và PC04

B- THỰC HIỆN

1. Cài Distributed File System role service trên PC03 và PC04

– Mở Server Manager, vào menu Manage -> Add Roles and Features.

– Nhấn Next theo mặc định. Màn hình Server Roles -> đánh dấu chọn vào 2 ô DFS Namespaces và DFS Replication -> Next -> Next

– Màn hình Confirmation -> đánh dấu chọn vào ô Restart the destination server automatically if required -> Install -> Close

2. Tạo NameSpace & chỉ định các NameSpace Server

a. Tạo NameSpace HoSo trên PC03

– Mở Server Manager, vào menu Tools -> DFS Management

– Chuột phải Namespaces -> chọn New Namespace.

– Màn hình Namespace Server -> Browse -> chọn PC03 -> Next

– Màn hình Namespace Name and Settings -> Điền vào ô Name : HoSo -> Chọn Edit Settings

– Chọn Use custom permissions -> chọn Customize

– Cho Group Everyone quyền Full Control -> OK -> OK -> Next

– Hộp thoại Namespace Type -> Chọn Domain-based namespace -> Next

– Hộp thoại Review Settings and Creat Namespace -> Chọn Create

– Hộp thoại Confirmation -> Close

b. Kiểm tra kết quả trên PC03

– Quan sát trong DFS, qua tab Namespace Servers -> khung bên phải đã có Name Space

– Mở Computer -> Quan sát thấy có thư mục DFSRoots và thư mục HoSo đã được tạo

c. Tạo thêm NameSpace Server PC04 trên PC03

– Mở DFS -> Chuột phải \\NhatNghe.local\HoSo -> Add Namespace Server

– Hộp thoại Namespace Server -> Chọn Browse -> Chọn PC04 -> Edit Settings

– Chọn Use custom permissions -> Customize

– Cho Group Everyone quyền Full Control -> OK -> OK

– Quan sát: Kiểm tra trên cả 2 server -> Mở DFS quan sát thấy đã có 2 name space server

3. Tạo Replication Group (Thực hiện trên máy PC03)

– Chuột phải lên Replication Group -> Chọn New Replication Group

– Màn hình Replication Group Type -> chọn Multipurpose replication group -> Next

– Đặt tên Replication group là: Replicate HoSo -> Next

– Màn hình Replication Group Members -> Chọn Add -> Chọn PC03, PC04 -> OK -> Next

– Màn hình Topology Selection -> Chọn Full mesh -> Next -> Next

– Primary Member -> Chọn PC03 -> Next

– Màn hình Folders to Replicate -> Chọn Add -> Browse -> chọn thư mục DFSRoots\HoSo -> OK -> OK

– Thực hiện add tiếp thư mục C:\DATA -> OK -> OK -> Next

– Màn hình Local Path of HoSo on Other Member -> Chọn Edit

– Chọn Enable -> Browse -> chỉ đến thư mục : DFS Roots/Hoso -> OK -> Next

– Màn hình Local Path of DATA -> Chọn Edit -> Chọn Enable -> Browse -> chỉ đến thư mục: C:\DATA -> OK -> Next

– Màn hình Review Settings -> Create -> Close

4. Chỉ Định Replicate và publish trong NameSpace

– Ở khung bên trái chọn Replicate HOSO. Ở khung bên phải, chọn tab Replicated Folder -> Chuột phải lên Data -> Chọn Share and Publish in Namespace

– Màn hình Publishing Method -> giữ nguyên như mặc định -> Next -> Next

– Màn hình Namespace Path -> Browse -> chọn \\NHATNGHE.LOCAL\HoSo –> Next

– Màn hình Review Settings -> Share -> Close

– Thực hiện trên cả 2 member server (PC03 và PC04). Nhấn tổ hợp phím ÿ + R, gõ Services.msc

– Chuột phải vào service DFS Replication -> chọn Restart

– Kiểm tra:

+ Trên máy PC05, truy cập \\Nhatnghe.Local\HoSo

+ Quan sát thấy có thư mục Data

+ Tạo 1 file bất kì trong thư mục HoSo và thư mục Data

+ Mở thư mục HoSo và Data của cả 2 máy PC03 và PC04 -> kiểm tra trong thư mục HoSo đều có file được tạo từ máy Client.

5. Thử nghiệm failover

– PC05 truy cập: \\Nhatnghe.local\HoSo, tạo các file WordPad BaoCaoKeToan & TuyenDung

– Tắt PC03. PC05 truy cập: \\Nhatnghe.local\HoSo, tạo file Kiemtra.txt

– Bật PC03, tắt PC04. PC05 truy cập: \\Nhatnghelocal\HoSo, tạo file Kiemtra2.txt

– Bật PC04. PC05 truy cập: \\Nhatnghe.local\HoSo, truy cập được đủ 4 file đã tạo.

XII. GPO SECURE MEMBER SERVER – AUDITING – APPLOCKER – ADVANCED FIREWALL

CÁC BƯỚC TRIỂN KHAI

1. Sử dụng Group Policy để bảo mật Member Servers

2. Auditing

a. Giám sát truy cập File hệ thống

b. Giám sát User Log on trên domain

3. Cấu hình Applocker Policy

4. Cấu hình Windows Firewall

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016 DC

+ PC03: Windows Server 2016 đã join domain

+ PC05: Windows 8.1 Enterprise đã join domain

– Trên PC01, tạo OU MemberServerOU, move Computer PC03 vào OU này và tạo thêm Group Server Admins

– Tạo User Teo.

B- THỰC HIỆN

1. Sử dụng Group Policy để bảo mật Member Servers (Thực hiện trên PC01)

– Mở Group Policy Management -> Bung Forest: NHATNGHE.LOCAL ->Domains -> NHATNGHE.LOCAL. Chuột phải vào Group Policy Objects, chọn New.

– Ở mục Name, đặt tên Member Server -> OK

– Chuột phải vào OU MemberServerOU, chọn Link an Existing GPO.

– Chọn Member Server -> OK

– Chuột phải vào Default Domain Policy -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Windows Settings -> Security Settings. Chuột phải vào Restricted Groups -> Add Group

– Nhấn Browse, nhập vào Administrators -> Check Names -> OK

– Khung Members of this group -> Add -> Browse

– Nhập vào: Server Admins, Domain Admins -> Check Names -> OK 3 lần.

– Chuột phải vào GPO Member Server -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment. Chuột phải vào Allow log on locally, chọn Properties.

– Nhấn vào nút Add User or Group -> Nhập vào Administrators, Domain Admins -> Check Names -> OK -> OK

– Tiếp tục ở khung bên trái -> chọn Security Options. Khung bên phải -> chuột phải vào User Account Control: Admin Approval Mode for the Built-in Administrator account, chọn Properties

– Chọn Enabled -> OK

– Kiểm tra:

+ Trên máy PC03, log on Administrator. Mở CMD, gõ lệnh Gpupdate /force

+ Mở Server Manager, vào menu Tools -> chọn Computer Management

+ Bung mục Local Users and Groups -> Groups, double click vào Administrators

+ Quan sát thấy nhóm Domain Admins và Server Admins có quyền quản trị trên local.

+ Log off Administrators, log on bằng user Teo.

+ Quan sát thấy user Teo không được phép log on trên máy PC03 được.

2. Auditing

a. Giám sát truy cập File hệ thống

– Chuột phải vào GPO Member Server -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Chuột phải vào Audit object access -> Chọn Properties.

– Đánh dấu chọn vào ô Define these policy settings, sau đó chọn 2 ô Success và Failure -> OK

– Qua máy PC03, mở File Explorer, tạo thư mục C:\Data. Chuột phải vào thư mục Data -> chọn Share with -> Specific people.

– Share user Teo -> Read/Write -> Share -> Done

– Chuột phải vào thư mục Data -> chọn Properties -> Nhấn Advanced

– Qua tab Auditing -> Nhấn Add

– Chọn Select a principal

– Nhập vào Domain Users -> Check Names -> OK

– Ở mục Type -> chọn All. Ở mục Basic permissions -> Đánh dấu chọn vào ô Write -> OK 3 lần

– Mở CMD, gõ lệnh: Gpupdate /force

– Kiểm tra:

+ Trên PC05, log on Administrator -> Mở CMD, gõ lệnh Gpupdate /force

+ Log off Administrator, log on user Teo. Nhấn tổ hợp phím ÿ + R, gõ \\pc03

– Tạo file tailieu.txt trong thư mục Data

– Qua máy PC03, mở Server Manager -> menu Tools -> chọn Event Viewer

– Ở khung bên trái chọn Windows Logs -> Security. Nhấn double click vào event.

– Thông tin về quá trình giám sát

b. Giám sát User Log on trên domain (Thực hiện trên máy PC01)

– Mở Group Policy Management -> Chuột phải vào Default Domain Policy -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Chuột phải vào Audit account log on events -> Chọn Properties.

– Đánh dấu chọn vào ô Define these policy settings, sau đó chọn 2 ô Success và Failure -> OK

– Mở CMD, gõ lệnh Gpupdate /Force

– Kiểm tra:

+ Trên máy PC05, log on Administrator. Mở CMD, gõ lệnh Gpupdate /Force

+ Log off Administrator, log on user Teo (cố tình nhập mật khẩu sai)

+ Qua máy PC01, mở Event Viewer -> chọn Windows Logs -> Securities. Quan sát thấy event báo user teo không chứng thực được

– Qua máy PC05, log on user Teo, nhập đúng mật khẩu

– Qua máy PC01, kiểm tra Event Viewer, thấy event Audit Success do user Teo đăng nhập thành công.

3. Cấu hình Applocker Policy (Thực hiện trên PC01)

– Mở Active Directory Users and Computers, tạo OU ClientComputerOU, sau đó move computer PC05 vào OU này.

– Mở Group Policy Management -> Chuột phải vào Group Policy Objects -> chọn New

– Ở mục Name, đặt tên Software Control GPO -> OK

– Chuột phải vào GPO vừa tạo, chọn Edit.

– Mở theo đường dẫn: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker. Chuột phải vào Executable Rules -> chọn Create Default Rules

– Quan sát thấy các Default Rule được tạo.

– Chuột phải vào Windows Installer Rules -> chọn Create Default Rules

– Quan sát thấy các Default Rule được tạo.

– Thực hiện tương tự tạo Create Default Rules cho Script Rules và Packaged app Rules

– Nhấn chuột vào AppLocker -> Ở khung bên phải chọn Configure rule enforcement

– Đánh dấu chọn vào Configured -> chọn Audit Only -> OK

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings. Chuột phải vào Application Identity -> chọn Properties

– Đánh dấu chọn vào ô Define this policy setting -> chọn Automatic -> OK

– Chuột phải vào Executable Rules -> chọn Create New Rule

– Màn hình Before you begin -> Next

– Màn hình Permissions -> Select

– Nhập vào user Teo -> Check Names -> OK -> Next

– Màn hình Conditions -> chọn Path -> Next

– Nhấn Browse Files và trỏ đường dẫn đến file iexplore.exe -> Next

– Màn hình Exceptions -> Next

– Màn hình Name -> đặt tên Deny IE -> Create

– Quan sát Rule vừa tạo.

– Ở khung bên trái chọn AppLocker -> nhấn vào mục Configure rule enforcement

– Đánh dấu chọn vào các ô Configured -> chọn tất cả là Enforce rules -> OK

– Chuột phải vào ClientComputer OU -> chọn Link an Existing GPO

– Chọn Software Control GPO vừa tạo -> OK

– GPO đã được link vào OU.

– Mở CMD, gõ lệnh Gpupdate /Force

– Kiểm tra:

+ Trên PC05, log on user Teo, mở CMD, gõ lệnh Gpresult /R để kiểm tra policy áp lên Computer này

– Mở Internet Explorer -> nhận được thông báo lỗi.

4. Cấu hình Windows Firewall (Thực hiện trên PC01)

– Mở Active Directory Users and Computers, tạo group Application Servers trong MemberServerOU.

– Chuột phải vào group Application Servers -> chọn Properties

– Qua tab Members -> Add

– Chọn Object Types

– Chọn Computers -> OK 3 lần.

– Nhập vào PC03 -> Check Names -> OK -> OK

– Mở Group Policy Management, chuột phải vào Group Policy Objects -> New

– Ở mục Name, đặt tên là Application Servers GPO -> OK

– Chuột phải vào GPO vừa tạo -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security. Nhấn vào Windows Firewall with Advanced Security – LDAP://CN={GUID}

– Chuột phải vào Inbound Rules -> New Rule

– Chọn Custom -> Next

– Màn hình Program -> Next

– Màn hình Protocol and Ports -> Mục Protocol: TCP -> Specific Ports: 8080 -> Next

– Màn hình Scope -> Next

– Màn hình Action -> chọn Allow the connection -> Next

– Màn hình Profile, bỏ dấu chọn ở ô Private và Public -> Next

– Màn hình Name, đặt tên Application Server Department Firewall Rule -> Finish

– Quan sát Inboud Rule vừa tạo.

– Chuột phải vào MemberServerOU -> chọn Link an Existing GPO

– Chọn Application Servers GPO -> OK

– Ở khung Security Filtering ở góc cuối cùng bên phải -> chọn Authenticated Users -> Remove -> OK -> Add

– Nhập vào Application Servers -> OK

– Quan sát Group Application Servers đã được thêm vào

– Kiểm tra:

+ Qua máy PC03, mở CMD, gõ lệnh Gpupdate /force

+ Mở Server Manager, vào menu Tools -> chọn Windows Firewall with advanced Security

+ Quan sát thấy Application Server Firewall Rule đã được kích hoạt trên máy PC03

XI. GPO ADMINISTRATIVE TEMPLATES – DEPLOY SOFTWARE – FOLDER REDIRECTION

CÁC BƯỚC TRIỂN KHAI

1. Cấu hình Administrative Templates

2. Cấu hình Deploy Software

3. Cấu hình Folder Redirection

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL)

+ PC05: Windows 8.1 Enteprise đã join domain

– Trên máy PC01, tạo thư mục C:\SaiGon. Share Everyone – Full Control

– Tạo OU VP_SaiGon, tạo user Teo và move máy client vào OU này

– Truy cập vào Server, copy source cài đặt Office 2013 Administrative Templates (ADMX). Chạy file admintemplate_64bit.exe để cài đặt

– Chọn Make New Folder -> tạo thư mục C:\Office2013-Admx -> OK

– Nhấn OK sau khi cài xong.

– Trên PC05: Cài đặt Microsoft Office 2013

B- THỰC HIỆN

1. Cấu hình Administrative Templates (Thực hiện trên máy PC01)

– Mở File Explorer, truy cập vào đường dẫn C:\Office2013-Admx\admx\en-us -> Quét chọn toàn bộ, chuột phải nhấn Copy

– Mở theo đường dẫn C:\Windows\PolicyDefinitions\en-US, chuột phải chọn Paste

– Quay lại đường dẫn, C:\Office2013-Admx\admx -> Quét chọn toàn bộ file *.admx, chuột phải nhấn Copy.

– Mở theo đường dẫn C:\Windows\PolicyDefinitions, chuột phải chọn Paste.

– Mở Group Policy Management -> chuột phải Group Policy Object -> chọn New

– Ở mục Name, đặt tên Office2013-Admx -> OK

– Chuột phải vào policy vừa tạo, chọn Edit

– Bung theo đường dẫn User Configuration -> Policies -> Administrative Templates -> Microsoft Word 2013-> Word Options -> Customize Ribbon, double click vào mục Display Developer tab in the Ribbon

– Chọn Enabled -> OK -> Đóng cửa sổ Group Policy Management Editor lại

– Chuột phải vào NHATNGHE.LOCAL, chọn Link an Existing GPO

– Chọn Office2013-Admx ->OK

– Quan sát GPO đã được link

– Mở CMD, gõ lệnh Gpupdate /Force

– Kiểm tra:

+ Trên máy PC05, log on user Teo -> Mở Word 2013

– Quan sát thấy có thêm tab Developer.

2. Deploy Software (Thực hiện trên máy PC01)

– Truy cập vào Server, copy file XmlNotepad.msi vào C:\Deploy. Share Folder – Everyone Full Control

– Mở Group Policy Management, chuột phải vào OU VP_SaiGon -> chọn Create a GPO in this domain and Link it here

– Ở mục Name, đặt tên Deploy XML Notepad -> OK

– Chuột phải vào GPO vừa tạo, chọn Edit.

– Mở theo đường dẫn Computer Configuration -> Policies -> Software Settings, chuột phải Software installation -> New -> Package

– Trỏ đường dẫn \\pc01\Deploy\XMLNotepad.msi -> Open

– Chọn Advanced -> OK

– Đánh dấu chọn vào ô Install this application at logon -> OK

– Quan sát thấy Software Installation vừa tạo.

– Kiểm tra:

+ Qua máy PC05, Restart lại máy.

+ Log on Administrator, mở CMD, gõ lệnh Gpupdate /Force -> Restart lại máy

+ Log on Teo, quan sát thấy máy Client đã được cài đặt XMLNotepad

3. Cấu hình Folder Redirection (Thực hiện trên máy PC01)

– Mở File Explorer, tạo thư mục C:\FolderRedir. Share Everyone – Full Control

– Mở Group Policy Management, chuột phải OU VP_SaiGon -> chọn Create a GPO in this domain and Link it here.

– Ở mục Name, đặt tên Folder Redirection -> OK

– Chuột phải vào GPO vừa tạo -> chọn Edit

– Mở theo đường dẫn User Configuration -> Policies -> Windows Settings -> Folder Redirection. Ở khung bên phải, chuột phải vào Documents -> chọn Properties

– Chọn Basic – Redirect everyone’s folder to the same location.

– Ở mục Target Folder Location -> chọn Create a folder for each user under the root path. Ở mục Root Path -> gõ \\pc01\FolderRedir -> OK -> Yes

– Kiểm tra:

+ Qua máy PC05, Restart lại máy.

+ Log on Administrator, mở CMD, gõ lệnh Gpupdate /Force -> Restart lại máy

+ Log on Teo, chuột phải vào Desktop -> chọn Personalize

– Chọn Change desktop icons

– Đánh dấu chọn vào ô User’s Files -> OK

– Double click vào folder Teo trên Desktop

– Chuột phải vào Documents -> chọn Properties

– Quan sát đường dẫn ở mục Location.

X. GPO FINE-GRAINED PASSWORD POLICY

CÁC BƯỚC TRIỂN KHAI

1. Cấu hình Fine-Grained Password Policy

2. Kiểm tra

A- CHUẨN BỊ

Mô hình bài lab bao gồm 1 máy:

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL)

– Tạo OU Manager. Trong OU Manager, tạo group Sep và user U1.

– Add User U1 là thành viên của group Sep.

B- THỰC HIỆN

1. Cấu hình Fine-Grained Password Policy

– Mở Server Manager -> menu Tools -> chọn Active Directory Administrative Center.

– Ở khung bên trái -> chọn NHATNGHE (local) -> ở khung Details, nhấn double click vào System.

– Ở khung Details, chuột phải vào Password Settings Container ->chọn New -> Password Settings

– Màn hình Create Password Settings: Manager PSO -> Khai báo các thông tin sau:

+ Name: ManagerPSO

+ Precedence: 10

+ Minimum password length: 15

+ Number of passwords remembered: 20

+ User must change the password after (days): 30

+ Đánh dấu chọn vào ô Enforce account lockout policy

+ Number of failed logon attempts allowed: 3

+ Reset failed logon attempts count after(mins): 30

+ Chọn ô Until an administrator manually unlocks the account

+ Ở khung Direct Apply To -> nhấn Add

– Nhập vào Sep -> Check Names -> OK -> OK

– Mở CMD, gõ lệnh: Gpupdate /Force

2. Kiểm tra

– Mở Active Directory Users and Computers -> Chuột phải user U1 -> chọn Reset Password.

– Nhập password chỉ 3 ký tự, vd: 123 -> OK

– Hộp thoại báo lỗi không đáp ứng yêu cầu chính sách bảo mật (phải đặt mật khẩu tối thiểu 10 ký tự) -> OK.

– Nhập lại password 10 ký tự -> OK

– Thay đổi mật khẩu cho user thành công.

IX. GPO CENTRAL STORE & SECURITY FILTERING

CÁC BƯỚC TRIỂN KHAI

1. Tạo Central Store

2. Tạo GPO

a. Tạo Starter GPO

b. Tạo GPO từ Starter GPO

c. Kiểm tra

3. Security Filtering

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016 – DC (Domain:NHATNGHE.LOCAL)

+ PC02: Windows 8.1 Enterprise đã join domain

– Trên PC01 tạo group IT và user Teo. Add Teo làm thành viên của Group IT.

– Chỉnh password đơn giản và cho phép User Account Log On Locally

B- THỰC HIỆN

1. Tạo Central Store (Thực hiện trên máy PC01)

– Mở File Explorer, truy cập vào đường dẫn C:\Windows\PolicyDefinitions. Chọn toàn bộ tập tin và thư mục có trong folder này -> chuột phải nhấn Copy

– Truy cập vào đường dẫn C:\Windows\SYSVOL\sysvol\NHATNGHE.LOCAL\Policies -> Tạo mới Folder, đặt tên PolicyDefinitions

– Nhấn Double Click vào folder PolicyDefinitions vừa tạo -> chuột phải chọn Paste

– Kiểm tra:

+ Mở Group Policy Management Editor. Chuột phải vào Default Domain Policy -> chọn Edit

– Bung mục User Configuration -> Policies. Quan sát thấy mục Administrative Templates: Policy definitions (ADMX files) retrieved from the Central Store” -> Đóng cửa sổ lại

2. Tạo GPO

a. Tạo Starter GPO

– Quay lại Group Policy Management Editor. Mở theo đường dẫn Forest: NHATNGHE.LOCAL -> Domains -> NHATNGHE.LOCAL. Chuột phải vào Starter GPOs -> chọn New

– Ở mục Name, đặt tên là Internet Explorer Retricitions -> OK

– Chuột phải vào GPO Internet Explorer Retricitions vừa tạo, chọn Edit

– Mở theo đường dẫn User Configuration -> Administrative Templates, chuột phải vào All Settings -> chọn Filter Options

– Đánh dấu chọn vào Enable Keyword Filters. Mục Filter for word(s), gõ vào General Page. Khung kế bên, chọn Exact. Bỏ dấu chọn ở 2 ô Help Text và Comment -> OK

– Double click vào mục Disable the General Page

– Chọn Enabled -> OK

b. Tạo GPO từ Starter GPO

– Quay lại cửa sổ Group Policy Managent Editor, chuột phải vào NHATNGHE.LOCAL -> chọn Create a GPO in this domain, and Link it here.

– Ở mục Name, đặt tên IE Restrictions. Ở mục Soure Starter GPO, chọn Internet Explorer Restrictions -> OK.

– Quan sát thấy GPO vừa tạo

c. Kiểm tra

– Trên máy PC02, log on user Teo

– Mở Control Panel -> chọn Network and Internet

– Ở mục Internet Options -> chọn Change your homepage

– Quan sát thấy báo lỗi không cho phép thay đổi Homepage (vì tab General bị khóa)

– Tiếp theo mở Internet Options, quan sát thấy không có tab General

3. Security Filtering (Thực hiện trên máy PC01)

– Qua máy PC01, quay lại Group Policy Management. Chọn vào policy IE Restriction, qua tab Delegation -> nhấn Advanced

– Nhấn nút Add

– Nhập vào group IT -> Check Names -> OK

– Tìm đến mục Apply Group Policy -> đánh dấu chọn vào Deny -> Apply -> OK -> Yes

– Kiểm tra: Qua máy PC02, log on user Teo.

+ Mở Internet Options, quan sát thấy có tab General và thay đổi Homepage thành công

VIII. GROUP POLICY MANAGEMENT

CÁC BƯỚC TRIỂN KHAI

1. Tạo và link Policy vào OU

2. Block Inheritance cho OU

3. Enforce Policy

4. Chỉnh order cho Policy

5. Security Filtering

6. Xem các setting của policy

7. Modeling Wizard

8. Item Level Targetting

9. Disable một phần của policy

10. Khảo sát nơi chứa policy templates

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy

+ PC01 : Windows Server 2016 – DC (Domain: NHATNGHE.LOCAL)

+ PC02 : Windows 8.1 – Join Domain

– PC01 :

* Chỉnh Policy password đơn giản

* Chỉnh Policy cho phép group Users có quyền log on locally

* Tạo OU Cha. Trong OU Cha, tạo OU Con

* Trong OU Cha tạo user u1, u2. Trong OU Con tạo user u3, u4

* Trong Domain Nhatnghe.local tạo group TEST, add 2 user u1 và u3 vào group

B- THỰC HIỆN

1. Tạo và link Policy vào OU (Thực hiện trên máy PC01)

– Mở Server Manager -> vào menu Tools -> Group Policy Management

– Bung Forest -> Domains -> NHATNGHE.LOCAL -> Chuột phải vào Group Policy Objects -> chọn New.

– Đặt tên cho GPO ở khung name “Ẩn Control Panel” -> OK

– Chuột phải vào GPO “Ẩn Control Panel” vừa tạo, chọn Edit

– Bung mục User Configuration -> Policies -> Administrative Templates -> Control Panel, chuột phải vào Prohibit access to the Control Panel and PC settings, chọn Edit.

– Chọn Enabled -> OK -> Đóng cửa sổ Group Policy Management Editor

– Quay trở lại màn hình Group Policy Management, chuột phải vào OU Cha, chọn Link an Existing GPO…

– Chọn GPO “Ẩn Control Panel” -> OK

– Quan sát thấy GPO “Ẩn Control Panel” đã được link vào OU Cha

– Kiểm tra: Trên PC02, log on lần lượt vào các user u1, u2, u3, u4 -> Bị mất Control Panel

2. Block Inheritance cho OU (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào OU Con, chọn Block Inheritance

– Quan sát OU Con, thấy có biểu tượng dấu chấm thang

– Kiểm tra: Trên máy PC02, lần lượt log on user u3, u4 -> sẽ thấy có Control Panel

3. Enforce Policy (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào GPO “Ẩn Control Panel”, chọn Enforced

– Trên máy PC02, log on user u3, u4 -> sẽ thấy bị mất Control Panel

4. Chỉnh order cho Policy (Thực hiện trên máy PC01)

– Mở Group Policy Management, tắt Enforce Policy và Block Inheritance trên OU Cha và OU Con.

– Tạo thêm GPO “Hiện Control Panel”, link GPO này vào OU Cha. Như vậy lúc này OU Cha có 2 GPO “Ẩn Control Panel” và “Hiện Control Panel”.

– Nhấn vào OU Cha, ở góc trái dùng 2 biểu tượng mũi tên Move Up và Move Down, di chuyển GPO “Hiện Control Panel” lên vị trí đầu tiên.

– Qua tab Group Policy Inheritance, chú ý mục Precedent, Precedence càng nhỏ thì độ ưu tiên của GPO càng cao.

– Kiểm tra: Trên máy PC02, log on user u3, u4 -> sẽ thấy Control Panel

Nhận xét:

* Trong cùng 1 OU nếu áp chung 2 policy (không Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn

* Trong cùng 1 OU nếu áp chung 2 policy (cả 2 policy đều Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn

* Trong cùng 1 OU nếu áp chung 2 policy (1 policy Enforce và 1 policy không Enforce) thì policy Enforce sẽ có độ ưu tiên hơn

5. Security Filtering (Thực hiện trên máy PC01)

– Mở Group Policy Management -> Chuyển policy “Ẩn Control Panel” lên Link Order bằng 1

– Chọn GPO“Ẩn Control Panel”, bên dưới mục Security Filtering, chọn vào group Authenticated Users -> Remove -> OK

– Quay trở lại màn hình Security Filtering, chọn Add -> Add Group Test vào -> OK

– Kiểm tra: Trên máy PC02:

+ Log on user U1, U3 -> mất Control Panel

+ Log on user U2, U4 -> hiện Control Panel

6. Xem các Setting của GPO (Thực hiện trên máy PC01)

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel”, qua tab Settings -> Add -> Add -> Close -> Quan sát các thiết lập được tạo ra trên GPO

7. Modeling Wizards (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào Group Policy Modeling, chọn Group Polciy Modeling Wizard…

– Các bước đầu tiên nhấn Next theo mặc định. Màn hình User and Computer Selection -> Để xem OU Cha bị áp policy gì, trong 2 phần User Information và Computer Information, chọn Browse đến OU Cha -> Next

– Màn hình Advanced Simulation Options -> Chọn Default-First-Site-Name -> Next

– Màn hình Computer Security Groups, chọn Authenticated Users -> Next

– Các bước còn lại cài đặt theo mặc định -> Màn hình Completing…-> Finish

– Quan sát thấy bảng báo cáo chi tiết về các Policy được áp lên OU Cha

8. Item Level Targeting (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào Default Domain Policy, chọn Edit…

– Bung mục User Configuration -> Preferences -> Control Panel Settings, chuột phải vào Folder Options, chọn New -> Folder Options (at least Windows Vista)

– Mục Hidden files and folders, chọn Show hidden files and folders. Tắt dấu check ở 2 mục:

+ Hide extensions for known file types

+ Hide protected operating system files (Recommended)

-> OK

– Ở khung bên phải -> Chuột phải vào Folder Options -> Properties

– Qua tab Common, đánh dấu check vào mục Item-level targeting -> chọn Targeting…

– Tại màn hình Targeting Editor -> Chọn New Item -> User

– Trong mục User -> Browse -> Add User u4 -> OK -> OK -> OK

– Kiểm tra: Trên máy PC02

+ Log on user u4 -> Mở File Explorer, kiểm tra thấy các file ẩn xuất hiện và hiển thị đuôi

file.

+ Log on user u3 -> Mở File Explorer, không thấy các file ẩn.

9. Disable một phần của policy

Đôi khi ta chỉ sử dụng một phần trong của GPO (ví dụ User Configuration), để tăng tốc quá trình xử lý GPO, ta nên tắt những phần không dùng đến.

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel” -> Details , ở mục GPO Status, chọn Computer Configuration settings disabled -> OK

10. Khảo sát nơi chứa policy templates

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel”. Qua tab Details, chú ý dòng Unique ID

– Truy cập vào ổ C:\Windows\SYSVOL\SYSVOL\nhatnghe.local\Policies, sẽ thấy có thư mục giống Unique ID của policy “Ẩn Control Panel”

– Mở thư mục trùng với Unique ID -> User -> sẽ thấy có file Registry.pol. Thông tin về Policy được lưu vào file này.

– Mở file Registry.pol bằng Notepad quan sát nội dung bên trong

VII. DELEGATE – DOMAIN USERS, GROUPS, COMPUTERS

CÁC BƯỚC TRIỂN KHAI

1. Delegate

a. Delegate cho Group

b. Delegate cho User

2. Domain Users

a. Tạo – Sử dụng User Template

b. Làm việc với Multi Users

c. Xem toàn bộ thuộc tính của User

3. Domain Computers

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL)

+ PC02: Windows 8.1 Enterprise Stand Alone

– Trên PC01, tạo OU SaiGon. Trong OU Saigon, tạo 3 group Sep, Linh, Ketoan.

– Tạo 3 user teo, ti và kt1

– Add user Teo vào group Sep.

– Add User Ti vào group Linh

– Add User kt1 vào group Ketoan

B- THỰC HIỆN

1. Delegate

a. Delegate cho Group

Uỷ quyền cho các thành viên trong group Sep được phép tạo mới, xóa và chỉnh sửa thông tin user trong OU SaiGon

– Mở Server Manager -> menu Tools -> chọn Active Directory Users and Computers

– Chuột phải vào OU Saigon -> chọn Delegate Control…

– Màn hình Welcome -> chọn Next

– Màn hình Users and Groups -> nhấn Add, gõ Sep -> Check Names -> Next

– Chọn Create, delete, and manage user accounts -> Next

– Màn hình Completing -> Finish

– Kiểm tra:

+ Trên PC01, log off Administrator, log on Teo

+ Nhấn tổ hợp phím ÿ + R, gõ DSA.MSC.

– Màn hình UAC, gõ username và password của Teo -> Yes

– Tạo mới User be -> Kiểm tra tạo thành công

b. Delegate cho User

Uỷ quyền cho user kt1 được phép Reset Password và đọc thông tin tài khoản user trong OU SaiGon

– Log on Administrator. Mở Active Directory Users and Computers -> chuột phải vào OU Saigon -> chọn Properties

– Qua tab Security -> chọn Group Sep -> Remove -> OK

– Chuột phải vào OU Saigon -> chọn Delegate Control

– Màn hình Welcome -> chọn Next

– Màn hình Users and Groups, nhấn Add -> nhập vào user kt1 -> Check Names -> OK -> Next

– Đánh dấu chọn vào 2 ô Reset user passwords and force password change at next logon và ô Read all user information -> Next

– Màn hình Completing -> Finish

– Kiểm tra:

+ Trên PC01, log off Administrator, log on kt1

+ Nhấn tổ hợp phím ÿ + R, gõ DSA.MSC.

– Màn hình UAC, gõ username và password của kt1 -> Yes

– Chuột phải vào user be -> chọn Reset Password

– Nhập vào password mới cho user be

– Quan sát thấy thay đổi password thành công.

2. Domain Users

a. Tạo – Sử dụng User Template

– Log on Administrator, mở File Explorer -> Trong ổ C: tạo 2 folder Homes và Profiles. Share 2 thư mục này với quyền: Everyone – Full Control

– Mở Active Directory Users and Computers. Tạo thêm group nhansu và user ns1 trong OU Saigon

– Add user ns1 vào group nhansu.

– Tạo Roaming Profile và Home Folder cho ns1.

– Qua tab Account -> phần Account options -> đánh dấu chọn vào ô Account is disabled -> OK

– Chuột phải vào user ns1 -> chọn Copy

– Full Name: ns2 -> User logon name: ns2 -> nhấn Next

– Gõ 123 trong 2 phần Password và Confirm password -> Bỏ dấu chọn Account is Disable -> Next

– Nhấn Finish

– Chuột phải vào user ns2 vừa tạo -> chọn Properties ->Qua tab Profile, thấy đã được điền sẵn Roaming Profile và Home Folder.

– Qua tab Member of -> thấy user ns2 đã được add vào group Nhansu

– Thực hiện tương tự để copy NS1 thành account NS3/password 123

b. Làm việc với Multi Users

– Giữ phím CTRL, lần lượt click chuột chọn cả 3 user ns1, ns2 và ns3 -> Chuột phải chọn Properties.

– Qua tab Account -> Đánh dấu chọn trước dòng Logon hours -> Nhấn vào nút Logon hours

– Tô xanh vùng từ 8 – 5 / Sunday – Friday -> Chọn OK -> OK

– Kiểm tra : lần lượt mở Properties của cả 3 user: ns1, ns2, ns3 -> Qua tab Account -> Chọn Logon Hours…

– Quan sát thấy cả 3 user account ns1, ns2, ns3 đểu được chỉnh thời gian được phép đăng nhập vào máy tính.

c. Xem toàn bộ thuộc tính của User

– Tại chương trình Active Directory Users and Computers -> Chọn Menu View -> Chọn Advanced Features

– Chuột phải vào user ns3 -> Chọn Properties.

– Chọn Tab Attribute Editor -> Tìm đến mục homeDirectory và ProfilePath -> Quan sát thấy giá trị trong 2 dòng này giống trong tab Profile.

Nhận xét : Mọi thuộc tính của user account đều có thể được xem và chỉnh sửa tại Attribute Editor

3. Domain Computers

– Chuột phải vào OU Saigon -> Chọn New -> Computer

– Mục Computer Name: nhập vào PC05 -> Change

– Nhập vào user ns2 -> Check Names -> OK

– Nhấn OK

– Quan sát thấy trong OU SaiGon có account computer PC05 được tạo ra.

– Kiểm tra:

+ Trên PC05, log on Administrator. Mở File Explorer -> Chuột phải vào This PC -> Chọn Properties. Ở mục Computer Names, chọn Change settings

+ Trong tab Computer Name -> chọn Change

+ Trong phần Member of: Chọn mục Domain -> Gõ vào Nhatnghe.local -> OK

+ Hiện bảng Windows Security -> Gõ ns2 với password 123 -> OK

– Hộp thoại Security, nhập vào user name và password của u2 -> OK

– Join Domain thành công -> OK -> Khởi động lại máy tính

– Kiểm tra: Trên PC01 mở Active Directory Users and Computers -> Mở Container Computers -> Quan sát không có computer account được tạo ra.

Nhận xét : Nếu trên Active Directory Users and Computers đã tạo trước computer account trùng tên với máy client trước khi client join domain , thì khi máy client join vào domain, hệ thống sẽ không tạo ra thêm computer account nữa và sẽ sử dụng computer account đã tạo trước đó

VI. DOMAIN

CÁC BƯỚC TRIỂN KHAI

1. Nâng cấp Domain Controller

2. Join máy Workstation vào Domain

3. Cấu hình Policy trên máy Domain Controller

a. Cấu hình cho phép đặt password đơn giản

b. Cấu hình cho phép Group Users được log on trên DC

4. Tạo Domain Group và Domain User

5. Cài Remote Server Administrator Tools cho máy Client

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016

+ PC02: Windows 8.1 Enterprise

– Chỉnh password account Administrator cho cả 2 máy là 123

– Disable card CROSS. Gỡ bỏ Protocol TCP/IP IPv6 trên card LAN

– Kiểm tra 2 máy liên lạc với nhau bằng lệnh PING

B- THỰC HIỆN

1. Nâng cấp Domain Controller (Thực hiện tại PC01)

– Mở Control Panel -> Network and Sharing Center, chọn Change Adapter Settings. Chuột phải lên card LAN, chọn Properties -> Chọn Internet Protocol Version 4 (TCP/IPv4) -> Nhấn Properties.

– Ở mục Preferred DNS server, trỏ về IP của chính mình -> OK.

– Mở Server Manager, vào menu Manage, chọn Add Roles and Features

– Màn hình Welcome -> Next

– Màn hình Select installation type -> chọn Role-based or feature-based installation -> Next

– Màn hình Select destination server, giữ nguyên như mặc định -> Next

– Màn hình Select server roles, đánh dấu chọn vào ô Active Directory Domain Services

– Cửa sổ Add Roles and Features Wizard -> nhấn vào nút Add Features -> Next

– Màn hình Select features, giữ nguyên như mặc định -> Next

– Màn hình Confirm installation selections, đánh dấu chọn vào ô Restart the destination server automatically if required -> Nhấn nút Install

– Quá trình cài đặt diễn ra. Sau khi cài đặt xong, nhấn vào mục Promote this server to a domain controller

– Màn hình Deployment Configuration, chọn Add a new forest. Ở mục Root domain name, đặt tên: NHATNGHE.LOCAL

– Màn hình Domain Controller Options, ở mục Specify domain controller capabilities, đánh dấu chọn vào ô Domain Name System (DNS) server. Ở mục Type the Directory Services Restore Mode (DSRM) password, nhập vào mật khẩu P@ssword -> Next

– Các bước còn lại, nhấn Next theo mặc định. Màn hình Prerequisites Check, khi nhận được thông báo All prerequisites check passed successfully nghĩa là quá trình kiểm tra điều kiện để lên DC đã thành công -> nhấn nút Install để bắt đầu cài đặt

2. Join máy Workstation vào Domain (Thực hiện trên PC02)

– Mở Control Panel -> Network and Internet -> Network And Sharing Center -> Change adapter settings -> Disable card Cross

– Chuột phải card Lan -> Properties. Bỏ dấu chọn ở ô Internet Protocol Version 6 (TCP/IPv6). Sau đó chọn Internet Protocol Version 4 (TCP/IPv4) -> chọn Properties

– Chỉnh Preferred DNS server về IP Máy PC01-> OK -> Close

– Nhấn tổ hợp phím ÿ + R, gõ lệnh Sysdm.cpl

– Trong tab Computer Name, nhấn Change

– Ở mục Member of -> chọn Domain, sau đó gõ tên domain NHATNGHE.LOCAL -> OK

– Cửa sổ Windows Security, nhập vào Username và password: Administrator/P@ssword

– Quá trình join domain thành công, khởi động lại máy tính

3. Cấu hình Policy trên máy Domain Controller

a. Cấu hình cho phép đặt password đơn giản

– Quay lại máy PC01, mở Server Manager. Vào menu Tools, chọn Group Policy Management.

– Lần lượt bung các mục Forest: NHATNGHE.LOCAL -> Domains -> NHATNGHE.LOCAL -> Chuột phải Default Domain Policy, chọn Edit

– Lần lượt mở theo đường dẫn Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Password Policy -> double click vào Password must meet complexity requirements

– Chọn Disabled -> OK

– Quay lại cửa sổ Group Policy Management Editor, nhấn double click vào Maximum password age

– Ở mục Password will not expire, sửa giá trị thành “0” -> OK

– Quay lại cửa sổ Group Policy Management Editor, nhấn double click vào Enforce password history

– Ở mục Do not keep passwords remember, sửa giá trị thành “0” -> OK

– Sau khi chỉnh policy xong, mở CMD, gõ lệnh: Gpupdate /Force

b. Cấu hình cho phép Group Users được log on trên DC

– Lần lượt bung các mục Forest: NHATNGHE.LOCAL -> Domains -> NHATNGHE.LOCAL -> Domain Controllers -> Chuột phải Default Domain Controller Policy, chọn Edit

– Mở theo đường dẫn sau Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> double click vào mục Allow log on locally

– Nhấn vào nút Add User or Group -> nhập vào Users -> OK -> OK

– Sau khi chỉnh policy xong, mở CMD, gõ lệnh: Gpupdate /Force

4. Tạo Domain Group và Domain User

– Mở Active Directory Users and Computers. Chuột phải NHATNGHE.LOCAL -> New -> Group

– Group name : Nhat Nghe -> OK

– Chuột phải NHATNGHE.LOCAL -> New -> User

– Full name : U1

User logon name : U1 -> Next

– Password/Confirm password: P@ssword

Bỏ dấu chọn ở ô User must Change password at Next logon -> Next

– Quan sát thấy Domain Group và Domain User vừa tạo

5. Cài Remote Server Administrator Tools cho máy Client (Thực hiện trên PC02)

– Log on NHATNGHE\Administrator. Truy cập Server, chép source Windows8.1-KB2693643-x64 vào ổ C: và chạy file này.

– Quá trình cài đặt được thực hiện. Sau khi cài xong nhấn Close

– Mở Control Panel -> chọn Program and Features

– Ở góc bên trái -> chọn Turn Windows features on or off

– Đánh dấu chọn vào các mục như trong hình.

– Chọn Group Policy Management Tools -> OK -> Close

– Mở Control Panel, chọn Administrative Tools

– Mở Active Directory Users and Computers

– Truy cập vào Active Directory Users and Computers thành công

– Kiểm tra:

+ Trên PC02 tạo user U2, password 123 -> tạo thành công

+ Trên PC01, mở AD kiểm tra thấy có user U2

V. SHARE PERMISSION – ACCESS BASE EMULATION (ABE)

CÁC BƯỚC TRIỂN KHAI

1. Share một Folder

2. Thực hiện Share Ẩn

3. Map Network Drive

4. Share 1 folder với nhiều tên

5. Quản lý các Shared Resources

6. Access Base Emulation

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016

+ PC02: Windows 8.1 Enterprise

– PC01 tạo account u1 với password là P@ssword ,

– PC01 tạo folder ThucTap trong ổ C:. Trong thư mục ThucTap tạo 2 folder DuLieu và BiMat

– Trong các folder tạo file Abc.txt với nội dung tùy ý

– Trên 2 máy tắt Firewall, UAC, và kiểm tra đường truyền bằng lệnh Ping

B- THỰC HIỆN

1. Share một Folder (Thực hiện trên PC01)

– Chuột phải lên folder DULIEU chọn Share with -> Advanced sharing…

– Ở tab sharing -> Nhấn vào nút Advanced Sharing…

– Đánh dấu chọn vào ô Share this folder -> Click vào Permissions

– Check vào Allow Full Control -> OK -> OK -> OK

– Qua máy PC02, nhấn tổ hợp phím ÿ + R, gõ: \\PC01 -> OK.

– Hộp thoại yêu cầu chứng thực khi đăng nhập -> Điền vào u1/ P@ssword.

– Truy cập thành công thấy Folder DULIEU.

2. Share ẩn một folder (Thực hiện tại máy PC01)

– Chuột phải thư mục BIMAT -> Chọn Share with -> Advanced Sharing

– Ở tab sharing -> Nhấn vào nút Advanced Sharing…

– Đánh dấu chọn vào ô Share this folder. Ở mục Share Name, nhập vào BiMat$ -> Nhấn vào nút Permissions

– Check vào Allow Full Control -> OK -> OK -> Close

– Tại máy PC02 nhấn tổ hợp phím ÿ + R, gõ: \\PC01 -> OK -> Truy cập vào không thấy folder BIMAT.

– Tắt cửa sổ File Explorer -> Truy cập lại \\PC01\BIMAT$

– Truy cập vào thư mục BiMat thành công.

3. Map Network Drive

– Qua máy PC02 -> truy cập network access vào máy PC01.

– Hộp thoại yêu cầu chứng thực khi đăng nhập -> Điền vào Username và Password của U1-> OK.

– Tại màn hình truy cập, chuột phải lên folder DULIEU -> Chọn Map Network Drive…

– Để mặc định các options -> Nhấn Finish.

– Mở Computer kiểm tra đã có ổ đĩa mạng DuLieu (Z:)

– Mở CMD, gõ lệnh Net use Y: \\PC01\BIMAT$

– Kiểm tra trên PC02 mở Windows Explorer thấy xuất hiện ổ đĩa mạng Y:

4. Share 1 folder với nhiều tên (Thực hiện trên PC01)

– Chuột phải lên folder DULIEU -> Share with -> Chọn Advanced sharing…-> Advanced sharing -> Nhấn vào nút Add.

– Khung Share name nhập vào KeToan -> OK.

– Kiểm tra trong hộp thoại Advanced Sharing, phần Share name có 2 tên DuLieu và KeToan.

– Nhấn vào nút Permission -> Phân quyền lại với Everyone -> Full Control -> OK -> Close

– Máy PC02 truy cập server kiểm tra kết quả thấy có 2 folder được share với tên KeToan , DuLieu

5. Quản lý các Share Resources (Thực hiện trên máy PC01)

– Mở Server Manager -> chọn File and Storage Services

– Ở khung bên trái chọn Shares -> Quan sát bên tay phải: các dữ liệu hiện đang được chia sẻ trên máy tính.

6. Access Base Emulation

– Tạo Folder C:\Nhat Nghe

– Trong C:\Nhat Nghe tạo 2 thư mục : Kythuat và TroGiang

– Tạo User u2/ password: P@ssword

– Share Full thư mục C:\Nhat Nghe

– Phân quyền NTFS :

+ U1 có toàn quyền trên thư mục KyThuat, U2 không có quyền

+ U2 có toàn toàn quyền trên thư mục TroGiang, U1 không có quyền

– Mở Server Manager -> File and Storage Services -> Shares -> Chuột phải lên C:\NhatNghe -> Properties

– Chọn Settings -> đánh dấu chọn vào ô Enable access-based enumeration -> OK -> OK

– Kiểm tra : PC02 truy cập network Access vào PC01 bằng quyền U1: Truy cập thư mục Nhất Nghệ quan sát chỉ thấy thư mục Kythuat, không thấy thư mục TroGiang

– Tương tự PC02 truy cập network Access vào PC01 bằng quyền U2: Truy cập thư mục Nhất Nghệ quan sát thấy chỉ thấy thư mục TroGiang, không thấy thư mục KyThuat.