Category: INSTALLING AND CONFIGURING WINDOWS SERVER 2016

XII. GPO SECURE MEMBER SERVER – AUDITING – APPLOCKER – ADVANCED FIREWALL

CÁC BƯỚC TRIỂN KHAI

1. Sử dụng Group Policy để bảo mật Member Servers

2. Auditing

a. Giám sát truy cập File hệ thống

b. Giám sát User Log on trên domain

3. Cấu hình Applocker Policy

4. Cấu hình Windows Firewall

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016 DC

+ PC03: Windows Server 2016 đã join domain

+ PC05: Windows 8.1 Enterprise đã join domain

– Trên PC01, tạo OU MemberServerOU, move Computer PC03 vào OU này và tạo thêm Group Server Admins

– Tạo User Teo.

B- THỰC HIỆN

1. Sử dụng Group Policy để bảo mật Member Servers (Thực hiện trên PC01)

– Mở Group Policy Management -> Bung Forest: NHATNGHE.LOCAL ->Domains -> NHATNGHE.LOCAL. Chuột phải vào Group Policy Objects, chọn New.

– Ở mục Name, đặt tên Member Server -> OK

– Chuột phải vào OU MemberServerOU, chọn Link an Existing GPO.

– Chọn Member Server -> OK

– Chuột phải vào Default Domain Policy -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Windows Settings -> Security Settings. Chuột phải vào Restricted Groups -> Add Group

– Nhấn Browse, nhập vào Administrators -> Check Names -> OK

– Khung Members of this group -> Add -> Browse

– Nhập vào: Server Admins, Domain Admins -> Check Names -> OK 3 lần.

– Chuột phải vào GPO Member Server -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment. Chuột phải vào Allow log on locally, chọn Properties.

– Nhấn vào nút Add User or Group -> Nhập vào Administrators, Domain Admins -> Check Names -> OK -> OK

– Tiếp tục ở khung bên trái -> chọn Security Options. Khung bên phải -> chuột phải vào User Account Control: Admin Approval Mode for the Built-in Administrator account, chọn Properties

– Chọn Enabled -> OK

– Kiểm tra:

+ Trên máy PC03, log on Administrator. Mở CMD, gõ lệnh Gpupdate /force

+ Mở Server Manager, vào menu Tools -> chọn Computer Management

+ Bung mục Local Users and Groups -> Groups, double click vào Administrators

+ Quan sát thấy nhóm Domain Admins và Server Admins có quyền quản trị trên local.

+ Log off Administrators, log on bằng user Teo.

+ Quan sát thấy user Teo không được phép log on trên máy PC03 được.

2. Auditing

a. Giám sát truy cập File hệ thống

– Chuột phải vào GPO Member Server -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Chuột phải vào Audit object access -> Chọn Properties.

– Đánh dấu chọn vào ô Define these policy settings, sau đó chọn 2 ô Success và Failure -> OK

– Qua máy PC03, mở File Explorer, tạo thư mục C:\Data. Chuột phải vào thư mục Data -> chọn Share with -> Specific people.

– Share user Teo -> Read/Write -> Share -> Done

– Chuột phải vào thư mục Data -> chọn Properties -> Nhấn Advanced

– Qua tab Auditing -> Nhấn Add

– Chọn Select a principal

– Nhập vào Domain Users -> Check Names -> OK

– Ở mục Type -> chọn All. Ở mục Basic permissions -> Đánh dấu chọn vào ô Write -> OK 3 lần

– Mở CMD, gõ lệnh: Gpupdate /force

– Kiểm tra:

+ Trên PC05, log on Administrator -> Mở CMD, gõ lệnh Gpupdate /force

+ Log off Administrator, log on user Teo. Nhấn tổ hợp phím ÿ + R, gõ \\pc03

– Tạo file tailieu.txt trong thư mục Data

– Qua máy PC03, mở Server Manager -> menu Tools -> chọn Event Viewer

– Ở khung bên trái chọn Windows Logs -> Security. Nhấn double click vào event.

– Thông tin về quá trình giám sát

b. Giám sát User Log on trên domain (Thực hiện trên máy PC01)

– Mở Group Policy Management -> Chuột phải vào Default Domain Policy -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Chuột phải vào Audit account log on events -> Chọn Properties.

– Đánh dấu chọn vào ô Define these policy settings, sau đó chọn 2 ô Success và Failure -> OK

– Mở CMD, gõ lệnh Gpupdate /Force

– Kiểm tra:

+ Trên máy PC05, log on Administrator. Mở CMD, gõ lệnh Gpupdate /Force

+ Log off Administrator, log on user Teo (cố tình nhập mật khẩu sai)

+ Qua máy PC01, mở Event Viewer -> chọn Windows Logs -> Securities. Quan sát thấy event báo user teo không chứng thực được

– Qua máy PC05, log on user Teo, nhập đúng mật khẩu

– Qua máy PC01, kiểm tra Event Viewer, thấy event Audit Success do user Teo đăng nhập thành công.

3. Cấu hình Applocker Policy (Thực hiện trên PC01)

– Mở Active Directory Users and Computers, tạo OU ClientComputerOU, sau đó move computer PC05 vào OU này.

– Mở Group Policy Management -> Chuột phải vào Group Policy Objects -> chọn New

– Ở mục Name, đặt tên Software Control GPO -> OK

– Chuột phải vào GPO vừa tạo, chọn Edit.

– Mở theo đường dẫn: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker. Chuột phải vào Executable Rules -> chọn Create Default Rules

– Quan sát thấy các Default Rule được tạo.

– Chuột phải vào Windows Installer Rules -> chọn Create Default Rules

– Quan sát thấy các Default Rule được tạo.

– Thực hiện tương tự tạo Create Default Rules cho Script Rules và Packaged app Rules

– Nhấn chuột vào AppLocker -> Ở khung bên phải chọn Configure rule enforcement

– Đánh dấu chọn vào Configured -> chọn Audit Only -> OK

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings. Chuột phải vào Application Identity -> chọn Properties

– Đánh dấu chọn vào ô Define this policy setting -> chọn Automatic -> OK

– Chuột phải vào Executable Rules -> chọn Create New Rule

– Màn hình Before you begin -> Next

– Màn hình Permissions -> Select

– Nhập vào user Teo -> Check Names -> OK -> Next

– Màn hình Conditions -> chọn Path -> Next

– Nhấn Browse Files và trỏ đường dẫn đến file iexplore.exe -> Next

– Màn hình Exceptions -> Next

– Màn hình Name -> đặt tên Deny IE -> Create

– Quan sát Rule vừa tạo.

– Ở khung bên trái chọn AppLocker -> nhấn vào mục Configure rule enforcement

– Đánh dấu chọn vào các ô Configured -> chọn tất cả là Enforce rules -> OK

– Chuột phải vào ClientComputer OU -> chọn Link an Existing GPO

– Chọn Software Control GPO vừa tạo -> OK

– GPO đã được link vào OU.

– Mở CMD, gõ lệnh Gpupdate /Force

– Kiểm tra:

+ Trên PC05, log on user Teo, mở CMD, gõ lệnh Gpresult /R để kiểm tra policy áp lên Computer này

– Mở Internet Explorer -> nhận được thông báo lỗi.

4. Cấu hình Windows Firewall (Thực hiện trên PC01)

– Mở Active Directory Users and Computers, tạo group Application Servers trong MemberServerOU.

– Chuột phải vào group Application Servers -> chọn Properties

– Qua tab Members -> Add

– Chọn Object Types

– Chọn Computers -> OK 3 lần.

– Nhập vào PC03 -> Check Names -> OK -> OK

– Mở Group Policy Management, chuột phải vào Group Policy Objects -> New

– Ở mục Name, đặt tên là Application Servers GPO -> OK

– Chuột phải vào GPO vừa tạo -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security. Nhấn vào Windows Firewall with Advanced Security – LDAP://CN={GUID}

– Chuột phải vào Inbound Rules -> New Rule

– Chọn Custom -> Next

– Màn hình Program -> Next

– Màn hình Protocol and Ports -> Mục Protocol: TCP -> Specific Ports: 8080 -> Next

– Màn hình Scope -> Next

– Màn hình Action -> chọn Allow the connection -> Next

– Màn hình Profile, bỏ dấu chọn ở ô Private và Public -> Next

– Màn hình Name, đặt tên Application Server Department Firewall Rule -> Finish

– Quan sát Inboud Rule vừa tạo.

– Chuột phải vào MemberServerOU -> chọn Link an Existing GPO

– Chọn Application Servers GPO -> OK

– Ở khung Security Filtering ở góc cuối cùng bên phải -> chọn Authenticated Users -> Remove -> OK -> Add

– Nhập vào Application Servers -> OK

– Quan sát Group Application Servers đã được thêm vào

– Kiểm tra:

+ Qua máy PC03, mở CMD, gõ lệnh Gpupdate /force

+ Mở Server Manager, vào menu Tools -> chọn Windows Firewall with advanced Security

+ Quan sát thấy Application Server Firewall Rule đã được kích hoạt trên máy PC03

XI. GPO ADMINISTRATIVE TEMPLATES – DEPLOY SOFTWARE – FOLDER REDIRECTION

CÁC BƯỚC TRIỂN KHAI

1. Cấu hình Administrative Templates

2. Cấu hình Deploy Software

3. Cấu hình Folder Redirection

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL)

+ PC05: Windows 8.1 Enteprise đã join domain

– Trên máy PC01, tạo thư mục C:\SaiGon. Share Everyone – Full Control

– Tạo OU VP_SaiGon, tạo user Teo và move máy client vào OU này

– Truy cập vào Server, copy source cài đặt Office 2013 Administrative Templates (ADMX). Chạy file admintemplate_64bit.exe để cài đặt

– Chọn Make New Folder -> tạo thư mục C:\Office2013-Admx -> OK

– Nhấn OK sau khi cài xong.

– Trên PC05: Cài đặt Microsoft Office 2013

B- THỰC HIỆN

1. Cấu hình Administrative Templates (Thực hiện trên máy PC01)

– Mở File Explorer, truy cập vào đường dẫn C:\Office2013-Admx\admx\en-us -> Quét chọn toàn bộ, chuột phải nhấn Copy

– Mở theo đường dẫn C:\Windows\PolicyDefinitions\en-US, chuột phải chọn Paste

– Quay lại đường dẫn, C:\Office2013-Admx\admx -> Quét chọn toàn bộ file *.admx, chuột phải nhấn Copy.

– Mở theo đường dẫn C:\Windows\PolicyDefinitions, chuột phải chọn Paste.

– Mở Group Policy Management -> chuột phải Group Policy Object -> chọn New

– Ở mục Name, đặt tên Office2013-Admx -> OK

– Chuột phải vào policy vừa tạo, chọn Edit

– Bung theo đường dẫn User Configuration -> Policies -> Administrative Templates -> Microsoft Word 2013-> Word Options -> Customize Ribbon, double click vào mục Display Developer tab in the Ribbon

– Chọn Enabled -> OK -> Đóng cửa sổ Group Policy Management Editor lại

– Chuột phải vào NHATNGHE.LOCAL, chọn Link an Existing GPO

– Chọn Office2013-Admx ->OK

– Quan sát GPO đã được link

– Mở CMD, gõ lệnh Gpupdate /Force

– Kiểm tra:

+ Trên máy PC05, log on user Teo -> Mở Word 2013

– Quan sát thấy có thêm tab Developer.

2. Deploy Software (Thực hiện trên máy PC01)

– Truy cập vào Server, copy file XmlNotepad.msi vào C:\Deploy. Share Folder – Everyone Full Control

– Mở Group Policy Management, chuột phải vào OU VP_SaiGon -> chọn Create a GPO in this domain and Link it here

– Ở mục Name, đặt tên Deploy XML Notepad -> OK

– Chuột phải vào GPO vừa tạo, chọn Edit.

– Mở theo đường dẫn Computer Configuration -> Policies -> Software Settings, chuột phải Software installation -> New -> Package

– Trỏ đường dẫn \\pc01\Deploy\XMLNotepad.msi -> Open

– Chọn Advanced -> OK

– Đánh dấu chọn vào ô Install this application at logon -> OK

– Quan sát thấy Software Installation vừa tạo.

– Kiểm tra:

+ Qua máy PC05, Restart lại máy.

+ Log on Administrator, mở CMD, gõ lệnh Gpupdate /Force -> Restart lại máy

+ Log on Teo, quan sát thấy máy Client đã được cài đặt XMLNotepad

3. Cấu hình Folder Redirection (Thực hiện trên máy PC01)

– Mở File Explorer, tạo thư mục C:\FolderRedir. Share Everyone – Full Control

– Mở Group Policy Management, chuột phải OU VP_SaiGon -> chọn Create a GPO in this domain and Link it here.

– Ở mục Name, đặt tên Folder Redirection -> OK

– Chuột phải vào GPO vừa tạo -> chọn Edit

– Mở theo đường dẫn User Configuration -> Policies -> Windows Settings -> Folder Redirection. Ở khung bên phải, chuột phải vào Documents -> chọn Properties

– Chọn Basic – Redirect everyone’s folder to the same location.

– Ở mục Target Folder Location -> chọn Create a folder for each user under the root path. Ở mục Root Path -> gõ \\pc01\FolderRedir -> OK -> Yes

– Kiểm tra:

+ Qua máy PC05, Restart lại máy.

+ Log on Administrator, mở CMD, gõ lệnh Gpupdate /Force -> Restart lại máy

+ Log on Teo, chuột phải vào Desktop -> chọn Personalize

– Chọn Change desktop icons

– Đánh dấu chọn vào ô User’s Files -> OK

– Double click vào folder Teo trên Desktop

– Chuột phải vào Documents -> chọn Properties

– Quan sát đường dẫn ở mục Location.

X. GPO FINE-GRAINED PASSWORD POLICY

CÁC BƯỚC TRIỂN KHAI

1. Cấu hình Fine-Grained Password Policy

2. Kiểm tra

A- CHUẨN BỊ

Mô hình bài lab bao gồm 1 máy:

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL)

– Tạo OU Manager. Trong OU Manager, tạo group Sep và user U1.

– Add User U1 là thành viên của group Sep.

B- THỰC HIỆN

1. Cấu hình Fine-Grained Password Policy

– Mở Server Manager -> menu Tools -> chọn Active Directory Administrative Center.

– Ở khung bên trái -> chọn NHATNGHE (local) -> ở khung Details, nhấn double click vào System.

– Ở khung Details, chuột phải vào Password Settings Container ->chọn New -> Password Settings

– Màn hình Create Password Settings: Manager PSO -> Khai báo các thông tin sau:

+ Name: ManagerPSO

+ Precedence: 10

+ Minimum password length: 15

+ Number of passwords remembered: 20

+ User must change the password after (days): 30

+ Đánh dấu chọn vào ô Enforce account lockout policy

+ Number of failed logon attempts allowed: 3

+ Reset failed logon attempts count after(mins): 30

+ Chọn ô Until an administrator manually unlocks the account

+ Ở khung Direct Apply To -> nhấn Add

– Nhập vào Sep -> Check Names -> OK -> OK

– Mở CMD, gõ lệnh: Gpupdate /Force

2. Kiểm tra

– Mở Active Directory Users and Computers -> Chuột phải user U1 -> chọn Reset Password.

– Nhập password chỉ 3 ký tự, vd: 123 -> OK

– Hộp thoại báo lỗi không đáp ứng yêu cầu chính sách bảo mật (phải đặt mật khẩu tối thiểu 10 ký tự) -> OK.

– Nhập lại password 10 ký tự -> OK

– Thay đổi mật khẩu cho user thành công.

IX. GPO CENTRAL STORE & SECURITY FILTERING

CÁC BƯỚC TRIỂN KHAI

1. Tạo Central Store

2. Tạo GPO

a. Tạo Starter GPO

b. Tạo GPO từ Starter GPO

c. Kiểm tra

3. Security Filtering

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016 – DC (Domain:NHATNGHE.LOCAL)

+ PC02: Windows 8.1 Enterprise đã join domain

– Trên PC01 tạo group IT và user Teo. Add Teo làm thành viên của Group IT.

– Chỉnh password đơn giản và cho phép User Account Log On Locally

B- THỰC HIỆN

1. Tạo Central Store (Thực hiện trên máy PC01)

– Mở File Explorer, truy cập vào đường dẫn C:\Windows\PolicyDefinitions. Chọn toàn bộ tập tin và thư mục có trong folder này -> chuột phải nhấn Copy

– Truy cập vào đường dẫn C:\Windows\SYSVOL\sysvol\NHATNGHE.LOCAL\Policies -> Tạo mới Folder, đặt tên PolicyDefinitions

– Nhấn Double Click vào folder PolicyDefinitions vừa tạo -> chuột phải chọn Paste

– Kiểm tra:

+ Mở Group Policy Management Editor. Chuột phải vào Default Domain Policy -> chọn Edit

– Bung mục User Configuration -> Policies. Quan sát thấy mục Administrative Templates: Policy definitions (ADMX files) retrieved from the Central Store” -> Đóng cửa sổ lại

2. Tạo GPO

a. Tạo Starter GPO

– Quay lại Group Policy Management Editor. Mở theo đường dẫn Forest: NHATNGHE.LOCAL -> Domains -> NHATNGHE.LOCAL. Chuột phải vào Starter GPOs -> chọn New

– Ở mục Name, đặt tên là Internet Explorer Retricitions -> OK

– Chuột phải vào GPO Internet Explorer Retricitions vừa tạo, chọn Edit

– Mở theo đường dẫn User Configuration -> Administrative Templates, chuột phải vào All Settings -> chọn Filter Options

– Đánh dấu chọn vào Enable Keyword Filters. Mục Filter for word(s), gõ vào General Page. Khung kế bên, chọn Exact. Bỏ dấu chọn ở 2 ô Help Text và Comment -> OK

– Double click vào mục Disable the General Page

– Chọn Enabled -> OK

b. Tạo GPO từ Starter GPO

– Quay lại cửa sổ Group Policy Managent Editor, chuột phải vào NHATNGHE.LOCAL -> chọn Create a GPO in this domain, and Link it here.

– Ở mục Name, đặt tên IE Restrictions. Ở mục Soure Starter GPO, chọn Internet Explorer Restrictions -> OK.

– Quan sát thấy GPO vừa tạo

c. Kiểm tra

– Trên máy PC02, log on user Teo

– Mở Control Panel -> chọn Network and Internet

– Ở mục Internet Options -> chọn Change your homepage

– Quan sát thấy báo lỗi không cho phép thay đổi Homepage (vì tab General bị khóa)

– Tiếp theo mở Internet Options, quan sát thấy không có tab General

3. Security Filtering (Thực hiện trên máy PC01)

– Qua máy PC01, quay lại Group Policy Management. Chọn vào policy IE Restriction, qua tab Delegation -> nhấn Advanced

– Nhấn nút Add

– Nhập vào group IT -> Check Names -> OK

– Tìm đến mục Apply Group Policy -> đánh dấu chọn vào Deny -> Apply -> OK -> Yes

– Kiểm tra: Qua máy PC02, log on user Teo.

+ Mở Internet Options, quan sát thấy có tab General và thay đổi Homepage thành công

VIII. GROUP POLICY MANAGEMENT

CÁC BƯỚC TRIỂN KHAI

1. Tạo và link Policy vào OU

2. Block Inheritance cho OU

3. Enforce Policy

4. Chỉnh order cho Policy

5. Security Filtering

6. Xem các setting của policy

7. Modeling Wizard

8. Item Level Targetting

9. Disable một phần của policy

10. Khảo sát nơi chứa policy templates

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy

+ PC01 : Windows Server 2016 – DC (Domain: NHATNGHE.LOCAL)

+ PC02 : Windows 8.1 – Join Domain

– PC01 :

* Chỉnh Policy password đơn giản

* Chỉnh Policy cho phép group Users có quyền log on locally

* Tạo OU Cha. Trong OU Cha, tạo OU Con

* Trong OU Cha tạo user u1, u2. Trong OU Con tạo user u3, u4

* Trong Domain Nhatnghe.local tạo group TEST, add 2 user u1 và u3 vào group

B- THỰC HIỆN

1. Tạo và link Policy vào OU (Thực hiện trên máy PC01)

– Mở Server Manager -> vào menu Tools -> Group Policy Management

– Bung Forest -> Domains -> NHATNGHE.LOCAL -> Chuột phải vào Group Policy Objects -> chọn New.

– Đặt tên cho GPO ở khung name “Ẩn Control Panel” -> OK

– Chuột phải vào GPO “Ẩn Control Panel” vừa tạo, chọn Edit

– Bung mục User Configuration -> Policies -> Administrative Templates -> Control Panel, chuột phải vào Prohibit access to the Control Panel and PC settings, chọn Edit.

– Chọn Enabled -> OK -> Đóng cửa sổ Group Policy Management Editor

– Quay trở lại màn hình Group Policy Management, chuột phải vào OU Cha, chọn Link an Existing GPO…

– Chọn GPO “Ẩn Control Panel” -> OK

– Quan sát thấy GPO “Ẩn Control Panel” đã được link vào OU Cha

– Kiểm tra: Trên PC02, log on lần lượt vào các user u1, u2, u3, u4 -> Bị mất Control Panel

2. Block Inheritance cho OU (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào OU Con, chọn Block Inheritance

– Quan sát OU Con, thấy có biểu tượng dấu chấm thang

– Kiểm tra: Trên máy PC02, lần lượt log on user u3, u4 -> sẽ thấy có Control Panel

3. Enforce Policy (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào GPO “Ẩn Control Panel”, chọn Enforced

– Trên máy PC02, log on user u3, u4 -> sẽ thấy bị mất Control Panel

4. Chỉnh order cho Policy (Thực hiện trên máy PC01)

– Mở Group Policy Management, tắt Enforce Policy và Block Inheritance trên OU Cha và OU Con.

– Tạo thêm GPO “Hiện Control Panel”, link GPO này vào OU Cha. Như vậy lúc này OU Cha có 2 GPO “Ẩn Control Panel” và “Hiện Control Panel”.

– Nhấn vào OU Cha, ở góc trái dùng 2 biểu tượng mũi tên Move Up và Move Down, di chuyển GPO “Hiện Control Panel” lên vị trí đầu tiên.

– Qua tab Group Policy Inheritance, chú ý mục Precedent, Precedence càng nhỏ thì độ ưu tiên của GPO càng cao.

– Kiểm tra: Trên máy PC02, log on user u3, u4 -> sẽ thấy Control Panel

Nhận xét:

* Trong cùng 1 OU nếu áp chung 2 policy (không Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn

* Trong cùng 1 OU nếu áp chung 2 policy (cả 2 policy đều Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn

* Trong cùng 1 OU nếu áp chung 2 policy (1 policy Enforce và 1 policy không Enforce) thì policy Enforce sẽ có độ ưu tiên hơn

5. Security Filtering (Thực hiện trên máy PC01)

– Mở Group Policy Management -> Chuyển policy “Ẩn Control Panel” lên Link Order bằng 1

– Chọn GPO“Ẩn Control Panel”, bên dưới mục Security Filtering, chọn vào group Authenticated Users -> Remove -> OK

– Quay trở lại màn hình Security Filtering, chọn Add -> Add Group Test vào -> OK

– Kiểm tra: Trên máy PC02:

+ Log on user U1, U3 -> mất Control Panel

+ Log on user U2, U4 -> hiện Control Panel

6. Xem các Setting của GPO (Thực hiện trên máy PC01)

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel”, qua tab Settings -> Add -> Add -> Close -> Quan sát các thiết lập được tạo ra trên GPO

7. Modeling Wizards (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào Group Policy Modeling, chọn Group Polciy Modeling Wizard…

– Các bước đầu tiên nhấn Next theo mặc định. Màn hình User and Computer Selection -> Để xem OU Cha bị áp policy gì, trong 2 phần User Information và Computer Information, chọn Browse đến OU Cha -> Next

– Màn hình Advanced Simulation Options -> Chọn Default-First-Site-Name -> Next

– Màn hình Computer Security Groups, chọn Authenticated Users -> Next

– Các bước còn lại cài đặt theo mặc định -> Màn hình Completing…-> Finish

– Quan sát thấy bảng báo cáo chi tiết về các Policy được áp lên OU Cha

8. Item Level Targeting (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào Default Domain Policy, chọn Edit…

– Bung mục User Configuration -> Preferences -> Control Panel Settings, chuột phải vào Folder Options, chọn New -> Folder Options (at least Windows Vista)

– Mục Hidden files and folders, chọn Show hidden files and folders. Tắt dấu check ở 2 mục:

+ Hide extensions for known file types

+ Hide protected operating system files (Recommended)

-> OK

– Ở khung bên phải -> Chuột phải vào Folder Options -> Properties

– Qua tab Common, đánh dấu check vào mục Item-level targeting -> chọn Targeting…

– Tại màn hình Targeting Editor -> Chọn New Item -> User

– Trong mục User -> Browse -> Add User u4 -> OK -> OK -> OK

– Kiểm tra: Trên máy PC02

+ Log on user u4 -> Mở File Explorer, kiểm tra thấy các file ẩn xuất hiện và hiển thị đuôi

file.

+ Log on user u3 -> Mở File Explorer, không thấy các file ẩn.

9. Disable một phần của policy

Đôi khi ta chỉ sử dụng một phần trong của GPO (ví dụ User Configuration), để tăng tốc quá trình xử lý GPO, ta nên tắt những phần không dùng đến.

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel” -> Details , ở mục GPO Status, chọn Computer Configuration settings disabled -> OK

10. Khảo sát nơi chứa policy templates

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel”. Qua tab Details, chú ý dòng Unique ID

– Truy cập vào ổ C:\Windows\SYSVOL\SYSVOL\nhatnghe.local\Policies, sẽ thấy có thư mục giống Unique ID của policy “Ẩn Control Panel”

– Mở thư mục trùng với Unique ID -> User -> sẽ thấy có file Registry.pol. Thông tin về Policy được lưu vào file này.

– Mở file Registry.pol bằng Notepad quan sát nội dung bên trong

VII. DELEGATE – DOMAIN USERS, GROUPS, COMPUTERS

CÁC BƯỚC TRIỂN KHAI

1. Delegate

a. Delegate cho Group

b. Delegate cho User

2. Domain Users

a. Tạo – Sử dụng User Template

b. Làm việc với Multi Users

c. Xem toàn bộ thuộc tính của User

3. Domain Computers

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL)

+ PC02: Windows 8.1 Enterprise Stand Alone

– Trên PC01, tạo OU SaiGon. Trong OU Saigon, tạo 3 group Sep, Linh, Ketoan.

– Tạo 3 user teo, ti và kt1

– Add user Teo vào group Sep.

– Add User Ti vào group Linh

– Add User kt1 vào group Ketoan

B- THỰC HIỆN

1. Delegate

a. Delegate cho Group

Uỷ quyền cho các thành viên trong group Sep được phép tạo mới, xóa và chỉnh sửa thông tin user trong OU SaiGon

– Mở Server Manager -> menu Tools -> chọn Active Directory Users and Computers

– Chuột phải vào OU Saigon -> chọn Delegate Control…

– Màn hình Welcome -> chọn Next

– Màn hình Users and Groups -> nhấn Add, gõ Sep -> Check Names -> Next

– Chọn Create, delete, and manage user accounts -> Next

– Màn hình Completing -> Finish

– Kiểm tra:

+ Trên PC01, log off Administrator, log on Teo

+ Nhấn tổ hợp phím ÿ + R, gõ DSA.MSC.

– Màn hình UAC, gõ username và password của Teo -> Yes

– Tạo mới User be -> Kiểm tra tạo thành công

b. Delegate cho User

Uỷ quyền cho user kt1 được phép Reset Password và đọc thông tin tài khoản user trong OU SaiGon

– Log on Administrator. Mở Active Directory Users and Computers -> chuột phải vào OU Saigon -> chọn Properties

– Qua tab Security -> chọn Group Sep -> Remove -> OK

– Chuột phải vào OU Saigon -> chọn Delegate Control

– Màn hình Welcome -> chọn Next

– Màn hình Users and Groups, nhấn Add -> nhập vào user kt1 -> Check Names -> OK -> Next

– Đánh dấu chọn vào 2 ô Reset user passwords and force password change at next logon và ô Read all user information -> Next

– Màn hình Completing -> Finish

– Kiểm tra:

+ Trên PC01, log off Administrator, log on kt1

+ Nhấn tổ hợp phím ÿ + R, gõ DSA.MSC.

– Màn hình UAC, gõ username và password của kt1 -> Yes

– Chuột phải vào user be -> chọn Reset Password

– Nhập vào password mới cho user be

– Quan sát thấy thay đổi password thành công.

2. Domain Users

a. Tạo – Sử dụng User Template

– Log on Administrator, mở File Explorer -> Trong ổ C: tạo 2 folder Homes và Profiles. Share 2 thư mục này với quyền: Everyone – Full Control

– Mở Active Directory Users and Computers. Tạo thêm group nhansu và user ns1 trong OU Saigon

– Add user ns1 vào group nhansu.

– Tạo Roaming Profile và Home Folder cho ns1.

– Qua tab Account -> phần Account options -> đánh dấu chọn vào ô Account is disabled -> OK

– Chuột phải vào user ns1 -> chọn Copy

– Full Name: ns2 -> User logon name: ns2 -> nhấn Next

– Gõ 123 trong 2 phần Password và Confirm password -> Bỏ dấu chọn Account is Disable -> Next

– Nhấn Finish

– Chuột phải vào user ns2 vừa tạo -> chọn Properties ->Qua tab Profile, thấy đã được điền sẵn Roaming Profile và Home Folder.

– Qua tab Member of -> thấy user ns2 đã được add vào group Nhansu

– Thực hiện tương tự để copy NS1 thành account NS3/password 123

b. Làm việc với Multi Users

– Giữ phím CTRL, lần lượt click chuột chọn cả 3 user ns1, ns2 và ns3 -> Chuột phải chọn Properties.

– Qua tab Account -> Đánh dấu chọn trước dòng Logon hours -> Nhấn vào nút Logon hours

– Tô xanh vùng từ 8 – 5 / Sunday – Friday -> Chọn OK -> OK

– Kiểm tra : lần lượt mở Properties của cả 3 user: ns1, ns2, ns3 -> Qua tab Account -> Chọn Logon Hours…

– Quan sát thấy cả 3 user account ns1, ns2, ns3 đểu được chỉnh thời gian được phép đăng nhập vào máy tính.

c. Xem toàn bộ thuộc tính của User

– Tại chương trình Active Directory Users and Computers -> Chọn Menu View -> Chọn Advanced Features

– Chuột phải vào user ns3 -> Chọn Properties.

– Chọn Tab Attribute Editor -> Tìm đến mục homeDirectory và ProfilePath -> Quan sát thấy giá trị trong 2 dòng này giống trong tab Profile.

Nhận xét : Mọi thuộc tính của user account đều có thể được xem và chỉnh sửa tại Attribute Editor

3. Domain Computers

– Chuột phải vào OU Saigon -> Chọn New -> Computer

– Mục Computer Name: nhập vào PC05 -> Change

– Nhập vào user ns2 -> Check Names -> OK

– Nhấn OK

– Quan sát thấy trong OU SaiGon có account computer PC05 được tạo ra.

– Kiểm tra:

+ Trên PC05, log on Administrator. Mở File Explorer -> Chuột phải vào This PC -> Chọn Properties. Ở mục Computer Names, chọn Change settings

+ Trong tab Computer Name -> chọn Change

+ Trong phần Member of: Chọn mục Domain -> Gõ vào Nhatnghe.local -> OK

+ Hiện bảng Windows Security -> Gõ ns2 với password 123 -> OK

– Hộp thoại Security, nhập vào user name và password của u2 -> OK

– Join Domain thành công -> OK -> Khởi động lại máy tính

– Kiểm tra: Trên PC01 mở Active Directory Users and Computers -> Mở Container Computers -> Quan sát không có computer account được tạo ra.

Nhận xét : Nếu trên Active Directory Users and Computers đã tạo trước computer account trùng tên với máy client trước khi client join domain , thì khi máy client join vào domain, hệ thống sẽ không tạo ra thêm computer account nữa và sẽ sử dụng computer account đã tạo trước đó

VI. DOMAIN

CÁC BƯỚC TRIỂN KHAI

1. Nâng cấp Domain Controller

2. Join máy Workstation vào Domain

3. Cấu hình Policy trên máy Domain Controller

a. Cấu hình cho phép đặt password đơn giản

b. Cấu hình cho phép Group Users được log on trên DC

4. Tạo Domain Group và Domain User

5. Cài Remote Server Administrator Tools cho máy Client

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016

+ PC02: Windows 8.1 Enterprise

– Chỉnh password account Administrator cho cả 2 máy là 123

– Disable card CROSS. Gỡ bỏ Protocol TCP/IP IPv6 trên card LAN

– Kiểm tra 2 máy liên lạc với nhau bằng lệnh PING

B- THỰC HIỆN

1. Nâng cấp Domain Controller (Thực hiện tại PC01)

– Mở Control Panel -> Network and Sharing Center, chọn Change Adapter Settings. Chuột phải lên card LAN, chọn Properties -> Chọn Internet Protocol Version 4 (TCP/IPv4) -> Nhấn Properties.

– Ở mục Preferred DNS server, trỏ về IP của chính mình -> OK.

– Mở Server Manager, vào menu Manage, chọn Add Roles and Features

– Màn hình Welcome -> Next

– Màn hình Select installation type -> chọn Role-based or feature-based installation -> Next

– Màn hình Select destination server, giữ nguyên như mặc định -> Next

– Màn hình Select server roles, đánh dấu chọn vào ô Active Directory Domain Services

– Cửa sổ Add Roles and Features Wizard -> nhấn vào nút Add Features -> Next

– Màn hình Select features, giữ nguyên như mặc định -> Next

– Màn hình Confirm installation selections, đánh dấu chọn vào ô Restart the destination server automatically if required -> Nhấn nút Install

– Quá trình cài đặt diễn ra. Sau khi cài đặt xong, nhấn vào mục Promote this server to a domain controller

– Màn hình Deployment Configuration, chọn Add a new forest. Ở mục Root domain name, đặt tên: NHATNGHE.LOCAL

– Màn hình Domain Controller Options, ở mục Specify domain controller capabilities, đánh dấu chọn vào ô Domain Name System (DNS) server. Ở mục Type the Directory Services Restore Mode (DSRM) password, nhập vào mật khẩu P@ssword -> Next

– Các bước còn lại, nhấn Next theo mặc định. Màn hình Prerequisites Check, khi nhận được thông báo All prerequisites check passed successfully nghĩa là quá trình kiểm tra điều kiện để lên DC đã thành công -> nhấn nút Install để bắt đầu cài đặt

2. Join máy Workstation vào Domain (Thực hiện trên PC02)

– Mở Control Panel -> Network and Internet -> Network And Sharing Center -> Change adapter settings -> Disable card Cross

– Chuột phải card Lan -> Properties. Bỏ dấu chọn ở ô Internet Protocol Version 6 (TCP/IPv6). Sau đó chọn Internet Protocol Version 4 (TCP/IPv4) -> chọn Properties

– Chỉnh Preferred DNS server về IP Máy PC01-> OK -> Close

– Nhấn tổ hợp phím ÿ + R, gõ lệnh Sysdm.cpl

– Trong tab Computer Name, nhấn Change

– Ở mục Member of -> chọn Domain, sau đó gõ tên domain NHATNGHE.LOCAL -> OK

– Cửa sổ Windows Security, nhập vào Username và password: Administrator/P@ssword

– Quá trình join domain thành công, khởi động lại máy tính

3. Cấu hình Policy trên máy Domain Controller

a. Cấu hình cho phép đặt password đơn giản

– Quay lại máy PC01, mở Server Manager. Vào menu Tools, chọn Group Policy Management.

– Lần lượt bung các mục Forest: NHATNGHE.LOCAL -> Domains -> NHATNGHE.LOCAL -> Chuột phải Default Domain Policy, chọn Edit

– Lần lượt mở theo đường dẫn Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Password Policy -> double click vào Password must meet complexity requirements

– Chọn Disabled -> OK

– Quay lại cửa sổ Group Policy Management Editor, nhấn double click vào Maximum password age

– Ở mục Password will not expire, sửa giá trị thành “0” -> OK

– Quay lại cửa sổ Group Policy Management Editor, nhấn double click vào Enforce password history

– Ở mục Do not keep passwords remember, sửa giá trị thành “0” -> OK

– Sau khi chỉnh policy xong, mở CMD, gõ lệnh: Gpupdate /Force

b. Cấu hình cho phép Group Users được log on trên DC

– Lần lượt bung các mục Forest: NHATNGHE.LOCAL -> Domains -> NHATNGHE.LOCAL -> Domain Controllers -> Chuột phải Default Domain Controller Policy, chọn Edit

– Mở theo đường dẫn sau Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> double click vào mục Allow log on locally

– Nhấn vào nút Add User or Group -> nhập vào Users -> OK -> OK

– Sau khi chỉnh policy xong, mở CMD, gõ lệnh: Gpupdate /Force

4. Tạo Domain Group và Domain User

– Mở Active Directory Users and Computers. Chuột phải NHATNGHE.LOCAL -> New -> Group

– Group name : Nhat Nghe -> OK

– Chuột phải NHATNGHE.LOCAL -> New -> User

– Full name : U1

User logon name : U1 -> Next

– Password/Confirm password: P@ssword

Bỏ dấu chọn ở ô User must Change password at Next logon -> Next

– Quan sát thấy Domain Group và Domain User vừa tạo

5. Cài Remote Server Administrator Tools cho máy Client (Thực hiện trên PC02)

– Log on NHATNGHE\Administrator. Truy cập Server, chép source Windows8.1-KB2693643-x64 vào ổ C: và chạy file này.

– Quá trình cài đặt được thực hiện. Sau khi cài xong nhấn Close

– Mở Control Panel -> chọn Program and Features

– Ở góc bên trái -> chọn Turn Windows features on or off

– Đánh dấu chọn vào các mục như trong hình.

– Chọn Group Policy Management Tools -> OK -> Close

– Mở Control Panel, chọn Administrative Tools

– Mở Active Directory Users and Computers

– Truy cập vào Active Directory Users and Computers thành công

– Kiểm tra:

+ Trên PC02 tạo user U2, password 123 -> tạo thành công

+ Trên PC01, mở AD kiểm tra thấy có user U2

V. SHARE PERMISSION – ACCESS BASE EMULATION (ABE)

CÁC BƯỚC TRIỂN KHAI

1. Share một Folder

2. Thực hiện Share Ẩn

3. Map Network Drive

4. Share 1 folder với nhiều tên

5. Quản lý các Shared Resources

6. Access Base Emulation

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016

+ PC02: Windows 8.1 Enterprise

– PC01 tạo account u1 với password là P@ssword ,

– PC01 tạo folder ThucTap trong ổ C:. Trong thư mục ThucTap tạo 2 folder DuLieu và BiMat

– Trong các folder tạo file Abc.txt với nội dung tùy ý

– Trên 2 máy tắt Firewall, UAC, và kiểm tra đường truyền bằng lệnh Ping

B- THỰC HIỆN

1. Share một Folder (Thực hiện trên PC01)

– Chuột phải lên folder DULIEU chọn Share with -> Advanced sharing…

– Ở tab sharing -> Nhấn vào nút Advanced Sharing…

– Đánh dấu chọn vào ô Share this folder -> Click vào Permissions

– Check vào Allow Full Control -> OK -> OK -> OK

– Qua máy PC02, nhấn tổ hợp phím ÿ + R, gõ: \\PC01 -> OK.

– Hộp thoại yêu cầu chứng thực khi đăng nhập -> Điền vào u1/ P@ssword.

– Truy cập thành công thấy Folder DULIEU.

2. Share ẩn một folder (Thực hiện tại máy PC01)

– Chuột phải thư mục BIMAT -> Chọn Share with -> Advanced Sharing

– Ở tab sharing -> Nhấn vào nút Advanced Sharing…

– Đánh dấu chọn vào ô Share this folder. Ở mục Share Name, nhập vào BiMat$ -> Nhấn vào nút Permissions

– Check vào Allow Full Control -> OK -> OK -> Close

– Tại máy PC02 nhấn tổ hợp phím ÿ + R, gõ: \\PC01 -> OK -> Truy cập vào không thấy folder BIMAT.

– Tắt cửa sổ File Explorer -> Truy cập lại \\PC01\BIMAT$

– Truy cập vào thư mục BiMat thành công.

3. Map Network Drive

– Qua máy PC02 -> truy cập network access vào máy PC01.

– Hộp thoại yêu cầu chứng thực khi đăng nhập -> Điền vào Username và Password của U1-> OK.

– Tại màn hình truy cập, chuột phải lên folder DULIEU -> Chọn Map Network Drive…

– Để mặc định các options -> Nhấn Finish.

– Mở Computer kiểm tra đã có ổ đĩa mạng DuLieu (Z:)

– Mở CMD, gõ lệnh Net use Y: \\PC01\BIMAT$

– Kiểm tra trên PC02 mở Windows Explorer thấy xuất hiện ổ đĩa mạng Y:

4. Share 1 folder với nhiều tên (Thực hiện trên PC01)

– Chuột phải lên folder DULIEU -> Share with -> Chọn Advanced sharing…-> Advanced sharing -> Nhấn vào nút Add.

– Khung Share name nhập vào KeToan -> OK.

– Kiểm tra trong hộp thoại Advanced Sharing, phần Share name có 2 tên DuLieu và KeToan.

– Nhấn vào nút Permission -> Phân quyền lại với Everyone -> Full Control -> OK -> Close

– Máy PC02 truy cập server kiểm tra kết quả thấy có 2 folder được share với tên KeToan , DuLieu

5. Quản lý các Share Resources (Thực hiện trên máy PC01)

– Mở Server Manager -> chọn File and Storage Services

– Ở khung bên trái chọn Shares -> Quan sát bên tay phải: các dữ liệu hiện đang được chia sẻ trên máy tính.

6. Access Base Emulation

– Tạo Folder C:\Nhat Nghe

– Trong C:\Nhat Nghe tạo 2 thư mục : Kythuat và TroGiang

– Tạo User u2/ password: P@ssword

– Share Full thư mục C:\Nhat Nghe

– Phân quyền NTFS :

+ U1 có toàn quyền trên thư mục KyThuat, U2 không có quyền

+ U2 có toàn toàn quyền trên thư mục TroGiang, U1 không có quyền

– Mở Server Manager -> File and Storage Services -> Shares -> Chuột phải lên C:\NhatNghe -> Properties

– Chọn Settings -> đánh dấu chọn vào ô Enable access-based enumeration -> OK -> OK

– Kiểm tra : PC02 truy cập network Access vào PC01 bằng quyền U1: Truy cập thư mục Nhất Nghệ quan sát chỉ thấy thư mục Kythuat, không thấy thư mục TroGiang

– Tương tự PC02 truy cập network Access vào PC01 bằng quyền U2: Truy cập thư mục Nhất Nghệ quan sát thấy chỉ thấy thư mục TroGiang, không thấy thư mục KyThuat.

IV. NTFS

CÁC BƯỚC TRIỂN KHAI

1. Phân quyền thư mục bằng Standard Permission

2. Phân quyền thư mục bằng Special Permission

3. Take OwnerShip

4. Xét quyền khi di chuyển dữ liệu

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 1 máy sử dụng bản ghost Windows Server 2016

– Tạo cây thư mục như trong hình:

– Tạo 2 group: KeToan, NhanSu

– Tạo 2 user: KT1, KT2. Add 2 user này vào Group KeToan

– Tạo 2 user: NS1, NS2. Add 2 user này vào Group NhanSu

B- THỰC HIỆN

1. Phân quyền thư mục bằng Standard Permission

Phân quyền cho các group như sau:

– Trên thư mục Data: Group Ketoan và Nhansu có quyền Read

– Trên thư mục Chung: Group Ketoan và Nhansu có quyền Full

– Trên thư mục Ketoan:

+ Group Ketoan có quyền Full

+ Group Nhansu không có quyền

– Trên thư mục Nhansu:

+ Group Nhansu có quyền Full

+ Group Ketoan không có quyền

a. Phân quyền trên thư mục DATA

– Chuột phải lên thư mục DATA -> Chọn Properties -> Qua tab Security -> Nhấn nút Advanced

– Trong tab Permissions -> Chọn Disable Inheritance

– Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object -> OK

– Quay lại cửa sổ DATA Properties -> nhấn nút Edit.

– Cửa sổ Permissions for DATA -> nhấn nút Add

– Trong khung Enter the object names to select -> Gõ ketoan;nhansu -> Chọn Check Names

– Quan sát thấy KETOAN và NHANSU đã được gạch chân -> xác định group KETOAN và NHANSU có tồn tại -> OK

– Quan sát 2 group KETOAN và NHANSU -> có 3 quyền Allow: Read & excute, List folder contents, Read.

– Chọn Group Users -> Remove -> OK -> OK

– Kiểm tra :

+ Lần lượt log on vào máy bằng quyền KT1, NS1 -> Mở thư mục C:\DATA -> truy cập thành công

+ Tạo Folder bất kì -> xuất hiện báo lỗi không có quyền.

b. Phân quyền cho thư mục Chung

– Log on Administrator -> Chuột phải lên thư mục Chung, chọn Properties -> Tab Security -> Chọn Edit -> Lần lượt chọn từng group KeToan và NhanSu -> Cho quyền Allow Full Control -> OK -> OK.

– Kiểm tra:

+ Lần lượt log on vào bằng KT1 , NS1 -> truy cập vào thư mục Chung -> truy cập thành công

+ Tạo, xóa folder bất kì trong thư mục Chung -> thành công

c. Phân quyền cho thư mục KETOAN

– Chuột phải lên thư mục KETOAN -> Chọn Properties -> Qua tab Security -> Chọn Advanced

– Trong tab Permissions -> Chọn Disable Inheritance

– Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object -> OK

– Cửa sổ KETOAN Properties -> Chọn Edit

– Chọn group NHANSU -> Remove

– Chọn Group KETOAN -> Chọn Allow Full Control -> OK -> OK

Kiểm tra:

– Lần lượt log on vào bằng KT1 , NS1 -> truy cập vào thư mục KETOAN -> chỉ có KT1 truy cập thành công, còn NS1 không truy cập được.

– User KT1 tạo , xóa file, folder bất kì trong thư mục KETOAN -> thành công

d. Phân quyền cho thư mục NHANSU

– Chuột phải lên thư mục NHANSU -> Chọn Properties -> Qua tab Security -> Chọn Advanced

– Trong tab Permissions -> Chọn Disable Inheritance

– Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object -> OK

– Cửa sổ NHANSU Properties -> Chọn Edit

– Chọn group KETOAN -> Remove

– Chọn Group NHANSU -> Chọn Allow Full Control -> OK -> OK

– Kiểm tra:

+ Lần lượt log on vào bằng KT1, NS1 -> truy cập vào thư mục NHANSU -> chỉ có NS1 truy cập thành công, còn KT1 không truy cập được

+ User NS1 tạo , xóa file, folder bất kì trong thư mục NHANSU -> thành công

2. Phân quyền thư mục bằng Special Permission

Phân quyền theo yêu cầu: File do User nào tạo ra User đó mới xóa được

– Chuột phải lên thư mục KETOAN -> Chọn Properties -> Qua tab Security -> nhấn vào nút Advanced

– Trong tab Permissions -> chọn Group KETOAN -> chọn Edit

– Trong cửa sổ Permission Entry for KETOAN, nhấn vào liên kết Show advanced permissions.

– Ở mục Allow, tắt dấu chọn ở ô Delete subfolders and files và Delete -> Chọn OK 4 lần

– Kiểm tra :

+ Lần lượt log on bằng KT1 và KT2 -> truy cập vào thư mục KeToan

+ KT1 tạo file KT1.txt , KT2 tạo file KT2.txt

– Log on bằng KT1 -> xóa file KT2.txt -> báo lỗi không có quyền xóa . Xóa file KT1.txt -> thành công

– Log on bằng KT2 -> xóa file KT1.txt -> báo lỗi không có quyền xóa . Xóa file KT2.txt -> thành công

3. Take Owner Ship

– Log on KT1, truy cập vào folder KETOAN -> tạo folder KT1file

– Phân quyền NTFS trên thư mục KT1file. Chuột phải thư mục KT1File -> Chọn Properties -> Qua tab security -> Chọn Advanced -> Disable Inheritance

– Tab Security -> chọn Edit -> Remove tất cả các object, ngoại trừ KT1 (Full Control) -> nhấn OK 2 lần.

– Log on Administrator, truy cập vào folder KETOAN. Truy cập vào folder KT1file bị báo lỗi không thể truy cập -> Chuột phải lên folder KT1file, chọn Properties -> Qua tab Security, chọn Advanced

– Ở mục Owner, chọn Change.

– Nhập vào Administrator -> Check Names -> OK

– Đánh dấu chọn vào ô Replace owner on subcontainers and object -> Yes-> OK -> OK đóng các cửa sổ.

– Kiểm tra: Chuột phải vào folder KT1file, quan sát thấy Administrator đã có quyền Full Control

4. Xét quyền khi di chuyển data trên cùng Partition

a. Copy

– Trong ổ C tạo 1 folder tên là A

– Chuột phải lên C:\DATA chọn Copy -> Mở thư mục A -> chuột phải chọn Paste

– Kiểm tra quyền của thư mục C:\A\DATA -> các quyền NTFS bị thay đổi

b. Move

– Trong ổ C tạo 1 folder tên là B

– Chuột phải lên C:\DATA chọn Cut -> Mở thư mục B -> chuột phải chọn Paste

– Kiểm tra quyền của thư mục C:\A\DATA -> các quyền NTFS không bị thay đổi

* Nhận Xét :

– Khi di chuyển dữ liệu trong cùng partition -> quyền của data không bị thay đổi.

– Khi copy dữ liệu vào nơi khác cùng partition thì quyền của data vừa copy bị thay đổi phụ thuộc vào nơi đến.

III. LOCAL SECURITY POLICY

CÁC BƯỚC TRIỂN KHAI:

1. Password Policy

2. Account Lockout Policy

3. User Rights Assignment

4. Network Access

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy

* PC01: Windows Server 2016

* PC02: Windows Server 2016

– 2 máy tắt Firewall -> Kiểm tra đường truyền bằng lệnh PING

B- THỰC HIỆN

1. Password Policy (Thực hiện trên PC01)

– Log on Administrator -> Tạo user bằng password : 123 -> báo lỗi không thể tạo được do không thỏa yêu cầu về độ phức tạp của password

– Mở Server Manager, vào menu Tools -> Local Security Policy

– Mở Account Polices -> Password Policy. Quan sát cột bên phải

+ Enforce password history : Số password hệ thống lưu trữ (khuyên dùng: 24 )

+ Maximum password age : Thời gian sử dụng tối đa của 1 password (khuyên dùng: 42 )

+ Minimum password age : Thời gian sử dụng tối thiểu của 1 password (khuyên dùng: 1 )

+ Minimum password length : Độ dài tối thiểu của 1 password (khuyên dùng: 7 )

+ Password must meet complexity requirements: Yêu cầu password phức tạp (khuyên dùng: Enabled)

-> Chỉnh password policy :

– Password must meet complexity requirements -> Chọn Disabled

– Các password policy còn lại chỉnh giá trị về 0 -> OK

– Mở CMD -> gõ lệnh Gpupdate /Force

Kiểm tra :

– Tạo account U1 với password : 123 -> Tạo thành công

2. Account Lockout Policy

– Mở Local Security Policy. Truy cập theo đường dẫn Account Policies -> Account Lockout Policy

– Quan sát các policy bên phải

+ Account lockout duration: Thời gian account bị khóa

+ Account lockout threshold : Số lần nhập sai password trước khi account bị khóa

+ Reset account lockout counter after : thời gian chuyển bộ đếm về giá trị 0

– Điều chỉnh thông số các policy :

+ Account lokout threshold : 3

+ Account lockout duration : 30

+ Reset account lockout counter after : 30

– Kiểm tra: Đăng nhập sai password 3 lần -> không thể đăng nhập tiếp. Chờ sau 30 phút -> có thể đăng nhập lại.

3. User Rights Assignment

Yêu cầu:

+ Log on bằng quyền U1 -> shut down máy tính -> không được

+ Thay đổi ngày giờ hệ thống -> không được

– Log on Administrator -> Mở local security policy -> Local Policies -> User Rights Assignment -> cột bên phải : Quan sát 2 policy

– Change the system time : Cho phép user/group có quyền thay đổi ngày giờ hệ thống

– Shutdown the system : Cho phép user/group có quyền tắt máy

\

– Điều chỉnh thông số policy

+ Change the system time: Đưa group Users vào

+ Shutdown the system: Đưa group Users vào

– Kiểm tra : Log on U1 -> Shut down thử -> thành công. Thay đổi ngày giờ hệ thống -> thành công

4. Network Access

* Trường hợp 1: Classic

– Mở Local Security Policy -> Local Policy -> Security Options -> Double click Network access : Sharing and security model for local account. (Mặc định Windows Server chạy Classic).

a. Classic: 2 máy cùng password (Thực hiện trên cả 2 máy)

– Đổi password administrator là 123

– Thực hiện truy cập bằng URL từ Máy PC01 qua Máy PC02 và ngược lại

– Tại PC02 : Nhấn tổ hợp phím ÿ + R, gõ \\PC01 -> truy cập thành công mà không hỏi username và password

– Nhận xét : Khi truy cập vào PC02 nếu account dùng để log on trên Máy PC01 trùng user name và password với 1 account trên máy PC 02 , thì khi network access sẽ không bị hỏi username và password

b. Classic: 2 máy khác password (Thực hiện trên cả 2 máy)

– Đổi password administrator Máy PC01 thành 123 , password administrator Máy PC02 thành 456 -> Log on vào PC01 bằng account administrator

– Thực hiện truy cập bằng URL từ Máy PC01 qua Máy PC02 và ngược lại

– Tại PC01 : Nhấn tổ hợp phím ÿ + R, gõ \\PC02 -> Hiện thông báo đòi User name and password -> Khai báo username và password Máy PC02 -> OK -> Truy cập thành công qua PC02

* Trường hợp 2: Guest only (Thực hiện trên cả 2 máy)

– Máy PC02: Enabled user Guest.

– Mở Local Security Policy -> Local Policy -> Security Options -> Double click Network access: Sharing and security model for local account -> Guest only – local users authenticate as Guest.

– PC01 truy cập vào PC02: Không hỏi username, password. Mặc định chứng thực bằng account Guest.

– PC02 Disable account Guest. PC01 truy cập vào PC02 sẽ bị hỏi User name và password , tuy nhiên dù nhập account Administrator cũng không thể truy cập được vì chỉ có thể truy cập bằng bằng account Guest (Đã bị disable).