Category: MS WINDOWS SERVER

XIX. BACKUP & SHADOW COPY

CÁC BƯỚC TRIỂN KHAI

1. Cài đặt Windows Server Backup

2. Backup – Recovery File

3. Backup – Recovery System State

4. Lập lịch backup

5. Shadow Copy

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016 – DC (Domain: NHATNGHE.LOCAL)

+ PC03: Windows Server 2016

– PC01: Tạo thư mục C:\DATA. Trong DATA tạo 2 file: DATA1.TXT và DATA2.TXT

– PC01: Tạo user U1/password: 123

– PC03: Tạo 2 thư mục Backup và BackupSystem trong ổ C:, Share full cả 2 thư mục

B- THỰC HIỆN

1. Cài đặt Windows Server Backup (Thực hiện trên máy PC01)

– Mở Server Manager -> Menu Manage -> Add Roles and Features

– Các bước đầu tiên nhấn Next theo mặc định. Màn hình Features -> đánh dấu chọn vào ô Windows Server Backup -> Next -> Install -> Close

2. Backup – Recovery File (Thực hiện trên máy PC01)

a. Backup File

– Mở Server Manager -> menu Tools -> chọn Windows Server Backup

– Menu Action -> chọn Backup Once

– Chọn Different options -> Next

– Chọn Custom -> Next

– Nhấn vào nút Add Items

– Chọn vào thư mục DATA -> OK -> Next

– Chọn Local drives -> Next

– Ở mục Backup Destination -> chọn ổ E: -> Next

– Màn hình Confirmation -> nhấn Backup

– Backup thành công -> Close

b. Recovery File

– Xóa thư mục C:\DATA

– Mở Windows Server Backup -> Menu Action -> Recover

– Chọn This server (PC01) -> Next

– Màn hình Select Backup Date, chọn thời gian đã backup -> Next.

– Chọn Files and Folders -> Next

– Chọn ổ đĩa C: -> Nex

– Chọn Another location -> Browse đến thư mục muốn khôi phục -> Next

– Nhấn nút Recover để khôi phục -> Close

– Kiểm tra: PC01 mở ổ C: quan sát thư mục DATA đã được phục hồi.

3. Backup- Recovery SystemState

a. Backup SystemState

– Mở Window Server Backup -> Menu Action -> Backup Once

– Chọn Different options -> Next

– Chọn Custom -> Next

– Nhấn vào nút Add Items

– Chọn System state -> OK -> Next

– Chọn Local drives -> Next

– Ở mục Backup Destination -> chọn ổ E: -> Next

– Nhấn Backup -> Sau khi backup thành công, nhấn Close

b. Recovery System State

– PC01 : xóa user U1

– Khởi động lại máy , nhấn F8 liên tục -> Tại màn hình Boot Option -> Chọn Directory Services Repair Mode ->

– Log on bằng account Local Administrator (Lưu ý: không log on bằng tài khoản Domain\Administrator)

– Mở Windows Server Backup -> Menu Action -> Recover

– Chọn This server (PC01) -> Next

– Màn hình Select Backup Date, chọn thời gian đã backup -> Next.

– Chọn System State -> Next

– Hộp thoại cảnh báo -> nhấn OK

– Các bước còn lại nhấn Next theo mặc định. Màn hình Confirmation -> Recover -> Yes -> Restart

– Kiểm tra : Account U1 đã được khôi phục.

4. Lập Lịch Backup

– Mở Windows Server Backup -> menu Action -> Backup Schedule

– Màn hình Select Backup Configuration, chọn Custom -> Next

– Nhấn Add Items, chọn đối tượng muốn tự động backup -> OK -> Next

– Chọn lựa thời gian tự động backup -> Next

– Chọn Backup to a hard disk that is dedicated for backups -> Next

– Nhấn Show All Available Disks -> Chọn ổ đĩa muốn lưu file backup -> OK -> Next -> Yes

– Lập lịch backup thành công -> Finish -> Close

5. Shadow Copy (Thực hiện trên PC01)

– Tạo folder C:\ Data & Share everyone allow full control

– Mở File Explorer -> Chuột phải vào ổ C: -> chọn Properties

– Qua tab Shadow Copies -> Chọn Enable -> Yes

– Trên PC03, truy cập vào thư mục Data

– Tạo file T1.txt nội dung “111” -> Save -> Đóng file

– Trên PC01, mở File Explorer -> Chuột phải lên C: -> Properties.

– Qua tab Shadow Copies -> nhấn Create Now.

– Trên PC03, truy cập vào thư mục Data và thêm vào file T1.txt nội dung “222” -> Save -> Đóng file.

– Trên PC03: Truy cập vào thư mục Data và thêm vào file T1.txt nội dung “333” -> Save -> Đóng file.

– Trên PC01: Chuột phải vào ổ C: -> Properties -> Qua tab Shadow Copies -> Chọn Create Now để tạo thêm nhiều Shadow Copies.

– Quan sát thấy các Shadow Copies đã tạo -> OK

– Trên PC03, quan sát Previous Version -> Properties file T1.txt

– Qua tab Previous Versions -> Thấy có các File version. Muốn khôi phục lại version nào, nhấn chọn vào version đó -> nhấn nút Restore

– Bên cạnh đó Shadows copies còn có khả năng backup “OPEN FILE”. Trên PC03, mở file T1.txt, thêm dữ liệu và để file mở.

– Trên PC01: Backup folder DATA bằng cách mở chương trình Windows Server Backup -> Action -> Backup One.

– Các bước đầu tiên nhấn Next theo mặc định -> Màn hình Select Backup Configuration -> Chọn Custom-> Next.

– Chọn Add Items -> Đánh dấu chọn vào Data -> OK -> Next

– Chọn Remote Shared folder -> Next

– Location nhập: \\PC03\Backup -> Next.

– Nhập vào username: Administrator và password của PC03

– Nhấn Backup -> Close

– Trên PC01: Restore dữ liệu backup vào folder C:\DA

– Tạo folder C:\DA

– Mở chương trình Windows Server Backup -> Action -> Recover

– Chọn A backup stored on another location -> Next

– Chọn Remote shared folder -> Next.

– Nhập vào đường dẫn: \\pc03\backup -> Next.

– Các bước còn lại nhấn Next theo định. Màn hình Select Items to Recover -> chọn Data -> Next.

– Chọn Browse -> trỏ về ổ C: -> Next.

– Chọn Recover.

– Truy cập vào ổ C: -> Mở file T1.txt

Có thể thấy rằng trong thời điểm backup diễn ra, dù file T1.txt đang được mở (open file), chương trình backup đã tự động backup phiên bản mới nhất trong các previous version.

XVIII. MONITORING

CÁC BƯỚC TRIỂN KHAI

1. Tạo Data Collector Set

2. Lập lịch chạy Data Collector Set

A- CHUẨN BỊ

Mô hình bài lab bao gồm 1 máy Windows Server 2016

– Tắt User Account Control

– Log on Administrator

B- THỰC HIỆN

1. Tạo Data Collector Set

– Mở Server Manager -> menu Tools -> chọn Performance Monitor

– Chuột phải lên User Defined -> New -> Data Collector Set

– Đặt tên là NhatNghe -> Chọn Create manually (Advanced) -> Next

– Chọn Create data logs -> Đánh dấu chọn vào 2 ô Performance counter và System Configuration Information -> Next

– Nhấn nút Add

– Bung phần Processor -> Chọn % Processor Time -> Add

– Bung phần Memory -> Chọn Pages/sec -> Add

– Bung phần PhysicalDisk -> Chọn %Disk Time và Avg. Disk Queue Length -> Add

– Bung phần Network Interface -> Chọn Bytes Total/sec

– Kiểm tra các counter đã Add -> OK -> Nhấn Next -> Next

– Chọn Browse -> Make New Folder -> Monitoring -> OK -> Next

– Nhấn Finish

– Chuột phải lên Data Collector Nhat Nghe vừa tạo -> Start

– Sau khi Start khoảng 5 phút -> Chuột phải chọn Stop

– Mở Report -> User Defined -> NhatNghe -> 0001 : Quan sát các chỉ số đã được lưu lại của Processor, Memory, Physical Harkdisk, Network Interface

2. Lập lịch chạy Data Collector Set

– Mở theo đường dẫn Data Collector Sets -> User Defined -> Chuột phải vào NhatNghe -> Properties

– Qua tab Schedule -> nhấn nút Add

– Khai báo lịch chạy của chương trình -> OK

XVII. PRINTER

CÁC BƯỚC TRIỂN KHAI

1. Local Printer

2. Network Printer

3. Map Printer

4. Phân quyền

5. Printer pooling

6. Available Time

7. Spool folder

8. Priority

9. Additional Driver

10. Deploy Printer

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL)

+ PC02: Windows Server 2016 – Join Domain

– Trên máy PC01

+ Tạo 3 user: KT1, NS1, U1. Tạo 2 group: KeToan và NhanSu

+ Add user KT1 vào group KeToan, add user NS1 vào group NhanSu

+ Chỉnh Policy Log on Locally: cho phép group Users có quyền log on vào PC01

+ Giả sử đã có 1 máy in HP có IP 192.168.7.150

B- THỰC HIỆN

1. Local Printer (Thực hiện trên máy PC01)

– Mở Control Panel -> chọn Devices and Printers

– Nhấn vào nút Add a Printer.

– Màn hình Add Printer -> Next

– Chọn Add a local printer or network printer with manual settings -> Next

– Màn hình Choose a printer port, giữ nguyên như mặc định -> Next

– Màn hình Install the printer driver -> nhấn vào nút Have Disk

– Nhấn vào nút Browse -> trỏ đường dẫn đến thư mục driver của máy in -> OK

– Chọn đúng model máy in của mình -> Next

– Màn hình Type a printer name, đặt tên cho máy in -> Next

– Màn hình Printer Sharing, giữ nguyên mặc định Share this printer so that others on your network can find and use it -> Next

– Nhấn Finish -> Quan sát trong phần Printers đã xuất hiện máy in vừa cài đặt.

2. Network Printer (Thực hiện tại máy PC01)

– Mở Control Panel -> Devices and Printers -> nhấn Add a Printer -> Next

– Chọn Add a local printer or network printer with manual settings -> Next

– Màn hình Choose a printer port -> Chọn Create a new port -> Chọn dạng Standard TCP/IP Port -> Next

– Khai báo các thông số sau

+ Hostname or IP address: 192.168.7.150

+ Port name: 192.168.7.150

+ Bỏ dấu chọn trước dòng Query the printer and automatically select the driver to use -> Next

– Chọn Custom -> Next

– Màn hình Install the printer driver -> nhấn vào nút Have Disk

– Nhấn vào nút Browse -> trỏ đường dẫn đến thư mục driver của máy in -> OK

– Chọn model máy in của mình -> Next

– Chọn Use the driver that is currently installed (recommened) -> Next

– Trong mục Printer name -> điền vào: NetworkPT -> Next

– Chọn Do not share this printer -> Next -> Finish

– Quan sát thấy máy in NetworkPT vừa tạo.

3. Map Printer

– Trên PC01, xóa máy in NetworkPT

– Qua máy PC02, log on Administrator -> Truy cập vào máy PC01.

– Chuột phải vào máy in -> chọn Connect

– Nhấn vào nút Install driver

– Quan sát thấy đã có máy in của PC01

4. Phân quyền (Thực hiện trên PC01)

+ U1 không có quyền in

+ Group KeToan có quyền in và quản lý document

+ Group NhanSu có quyền in và chỉ xóa được document do mình tạo ra

– Chuột phải lên máy in -> Chọn See what’s printing

– Hộp thoại máy in xuất hiện -> Vào menu Printer -> Chọn Pause Printing -> Sau đó đóng hộp thoại máy in lại.

– Chuột phải lên máy in -> Chọn Printer Properties

– Tại tab Security -> Remove các group ngoại trừ 2 group Administrators và Creator Owner , add thêm 2 group KeToan và NhanSu vào

+ Phân quyền Group NhanSu: Print (Allow)

+ Phân quyền group KeToan: Print (Allow), Manage document (Allow)

Kiểm tra:

– Log on KT1: Mở Notepad soạn nội dung bất kì và gửi lệnh in 3 lần

– Mở Control Panel -> Devices and Printers -> Double click vào máy in -> Double Click See what’s printing -> Chuột phải lên các document đang có chọn cancel để hủy lệnh in -> Hộp thoại cảnh báo chọn Yes -> Cancel thành công

– Cancel hết chỉ chừa lại 1 document

– Log on NS1 -> Mở notepad soạn nội dung bất kì và gửi lệnh in 3 lần

– Mở Control Panel -> Devices and Printers -> Double click vào máy in Lexmark -> Double Click See what’s printing -> Chuột phải lên các document đang có của user NS1 chọn cancel để hủy lệnh in -> Hộp thoại cảnh báo chọn Yes -> Cancel thành công

– Chọn cancel document của user KT1 -> Không thể thực hiện

– Log on U1: Mở Notepad -> in thử -> không thấy máy in do không có quyền in

5. Printer pooling (Thực hiện trên PC01)

Mục đích: Tạo ra 1 printer sử dụng chung 2 máy in vật lý

– Thực hiện các thao tác giống phần 1 để add thêm printer Lexmark trên port LPT2

– Trong phần Printers -> Chuột phải lên máy in -> Chọn Printer Properties

– Trong tab Ports -> Đánh dấu chọn vào 2 mục: LPT1 và LPT2 -> Sau đó đánh dấu chọn vào ô Enabled printer pooling -> OK

6. Available Time (Thực hiện trên PC01)

– Mở phần Devices and Printers -> Chuột phải lên máy in HP -> Chọn Printer Properties.

– Qua tab Advanced -> Chọn Available from -> Chọn từ : 8:00 AM to 12:00 AM -> OK

– Kiểm tra:

+ PC02: Log on administrator điều chỉnh giờ hệ thống là 16:00 PM

+ Log on KT1: Mở notepad -> in thử -> không thể in được

7. Spool folder (Thực hiện tại PC01)

Mục đích: Thay đổi nơi lưu các print job

– Trong phần Devices and Printers -> Chọn máy in bất kì -> chọn Print server properties

– Qua tab Advanced -> đổi đường dẫn “Spool folder” -> “C:\PRINTERS” -> OK ->Yes

– Kiểm tra: Trong ổ C: có thư mục Printers -> Quan sát nơi chứa print job

8. Priority (Thực hiện tại PC01)

– Thực hiện giống phần 1 để tạo 1 printer mới đặt tên là VIP

– Tại mục Printers -> Chuột phải lên VIP -> Chọn Printer Properties

– Trong tab security phân quyền chỉ cho group KeToan có quyền in

– Qua tab Advanced -> Trong phần Priority -> điền số 2 -> OK

9. Additional Driver

PC01: Add thêm driver dành cho Windows 8

– Mở Devices and Printers -> Chuột phải lên máy in HP -> chọn Printer Properties

– Qua tab Sharing -> Nhấn vào nút Additional Drivers

– Đánh dấu chọn vào ô x86 để add thêm phần driver cho windows 8 -> OK

10. Deploy Printer (Thực hiện tại PC01)

– Mở Server Manager -> Menu Manage -> Add Roles and Features

– Các bước đầu tiên, nhấn Next theo mặc định -> Màn hình Server Roles -> Chọn Print and Document Services

– Chọn Add Features -> Next theo mặc định

– Màn hình Role Services -> đánh dấu chọn vào Print Server -> Next

– Màn hình Confirmation -> Đánh dấu chọn vào ô Restart the destination server automatically if required -> Nhấn Install -> Close

– Mở Server Manager -> menu Tools -> Print Management

– Bung mục Print Servers -> PC01 -> Printers -> Khung bên phải chuột phải vào máy in HP -> chọn Deploy with Group Policy

– Ở mục GPO Name -> Nhấn Browse

– Chọn Default Domain Policy -> OK

– Đánh dấu chọn trước ô The computers that the GPO applies to (per machine) -> Chọn Add -> OK

– Màn hình cảnh báo chọn OK

– Kiểm tra:

+ PC02: log on Administrator -> xóa các máy in đã cài đặt -> Restart lại máy

+ Vào lại phần Printers -> Quan sát thấy có máy in HP đã được cài đặt lại

XVI. WORK FOLDERS

CÁC BƯỚC TRIỂN KHAI

1. Cài đặt Role Work Folders

2. Tạo Sync Share

3. Enable SMB Access

4. Tạo GPO phân quyền Domain Users làm Local Administrator trên các máy Client

5. Tạo GPO tự động cấu hình WorkFolders

6. Tạo GPO tự động chạy Script trên các máy Client

7. Kiểm tra

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL)

+ PC05: Windows 8 Enterprise 8.1 đã join domain

– Trên PC01, tạo OU Members. Move PC05 vào OU Members. Tạo user teo, ti và group Sales.

– Add 2 user teo, ti vào group Sales

– Chuột phải user Teo, chọn Properties. Tab General -> Mục Email, điền vào [email protected]

– Thực hiện tương tự cho user ti

B- THỰC HIỆN

1. Cài đặt Role Work Folders (Thực hiện trên PC01)

– Mở Server Manager -> menu Manage -> chọn Add Roles and Features

– Các bước đầu tiên nhấn Next theo mặc định. Màn hình Select Server Roles -> chọn Work Folders -> Next

– Chọn Add Features -> Next

– Nhấn Install để cài đặt -> Close

2. Tạo Sync Share (Thực hiện trên PC01)

– Quay lại Server Manager -> chọn File and Storage Services

– Chọn Work Folders -> To create a sync share for Work Folders, start the New Sync Share Wizard.

– Màn hình Before you begin -> Next

– Màn hình Server and path -> Enter a local path, nhập C:\SaleShared -> Next

– Nhấn OK để tạo mới thư mục

– Chọn User Alias -> Next

– Màn hình Sync Share Name -> giữ nguyên như mặc định -> Next

– Màn hình Sync Access -> nhấn Add

– Chọn thêm group Sales -> Check Names -> OK -> Next

– Chọn ô Encrypt Work Folders -> Next

– Màn hình Confirmation -> Create -> Close

– Quan sát thấy SyncShare vừa tạo.

3. Enable SMB Access (Thực hiện trên máy PC01)

– Mở File Explorer -> Chuột phải vào C:\SaleShared -> Share with -> Specific people

– Add group Sales -> Phân quyền Read/Write -> Share -> Done

– Nhấn Done.

4. Tạo GPO phân quyền Domain Users làm Local Administrator trên các máy Client (Thực hiện trên máy PC01)

– Mở Group Policy Management -> Chuột phải vào Default Domain Policy -> chọn Edit

– Bung theo đường dẫn: Computer Configuration -> Policies -> Windows Settings -> Security Settings. Chuột phải vào Restricted Groups -> chọn Add Group

– Nhấn Browse, nhập vào Domain Admins và Administrators -> OK

– Members of this group -> Add

– Nhập vào group Sales -> Check Names -> OK 3 lần

– Quan sát thấy group Sales đã được thêm vào nhóm Administrators -> Đóng cửa sổ Group Policy Management Editor.

– Chuột phải vào OU Member -> chọn Create a GPO in this domain, and Link it here

– Ở mục Name, đặt tên Members -> OK

– Chuột phải vào GPO Members -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options, khung bên phải nhấn double click vào mục User Account Control: Admin Approval Mode for the Built-in Administrator account

– Chọn Enabled -> OK

– Mở CMD, gõ lệnh Gpupdate /Force

5. Tạo GPO tự động cấu hình WorkFolders

– Chuột phải vào GPO WorkFolders -> chọn Edit

– Mở theo đường dẫn: User Configuration -> Policies -> Administrative Templates -> Windows Components -> Work Folders, nhấn double click vào mục Specify Work Folders settings

– Chọn Enabled. Ở mục Work Folders URL, nhập vào: http://pc01.nhatnghe.local -> Chọn ô Force automatic setup -> OK

6. Tạo GPO tự động chạy Script trên các máy Client (Thực hiện trên PC01)

– Mở Notepad, lần lượt nhập 3 lệnh sau

+ Lệnh 1: Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v AllowUnsecureConnection /t REG_DWORD /d 1

+ Lệnh 2: Reg add HKLM\Software\Microsoft\Windows\CurrentVersion\WorkFolders /v ServerUrl /t REG_SZ /d http://pc01.nhatnghe.local

+ Lệnh 3: Reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WorkFolders /v PollingInterval /t REG_DWORD /d 5

– Lưu lại thành file WorkFolders.bat

– Chuột phải vào file WorkFolders.bat -> chọn Copy

– Chuột phải vào OU Member -> chọn Create a GPO in this domain, and Link it here

– Ở mục Name, đặt tên WorkFolders -> OK

– Chuột phải vào GPO WorkFolders vừa tạo -> chọn Edit

– Mở theo đường dẫn: Computer Configuration -> Policies -> Windows Settings -> Scripts (Startup/Shutdown), khung bên phải nhấn double click vào Startup

– Nhấn nút Show Files

– Chuột phải chọn Paste. Quan sát thấy file WorkFolders.bat đã được dán vào.

– Nhấn nút Add

– Nhấn nút Browse và trỏ đường dẫn đến file WorkFolders.bat -> OK 2 lần

– Mở CMD, gõ lệnh Gpupdate /Force

7. Kiểm tra (Thực hiện trên máy PC05)

– Log on user Ti, nhấn tổ hợp phím ÿ + R, gõ lệnh LusrMgr.msc -> OK

– Ở khung bên trái, chọn Groups -> Double click vào Administrators

– Quan sát thấy Group Sales nằm trong Local Administrator

– Mở File Explorer -> nhấn vào This PC -> Quan sát thấy có Work Folders

– Mở Notepad, tạo file ti.txt và lưu vào Work Folders

– Mở Control Panel, chọn Work Folders

– Nhấn Apply Policies

– Nhấn Yes

– Dữ liệu được đồng bộ hóa. User Ti ngồi ở bất kỳ máy nào cũng sẽ thấy Work Folder này.

– Bên cạnh đó, do SMB được enabled nên user có thể truy cập bằng UNC

– Quan sát thấy dữ liệu

XV. FILE SERVER RESOURCE MANAGER

CÁC BƯỚC TRIỂN KHAI

1. Cài đặt File Server Resource Mananger

2. Tạo giới hạn 5MB

3. Cấm sao chép tất cả các file trừ file *.exe vào thư mục BaoCao

4. Kiểm tra

A- CHUẨN BỊ

– Mô hình bài lab gồm 2 máy :

+ PC01: Ghost Windows Server 2016

+ PC02: Ghost Windows Server 2016

– PC01: Tạo thư mục C:\BaoCao, Share: Full Control

– PC01: Tạo user U1/123

– PC02: Đổi password Administrator thành 123

B- THỰC HIỆN

1. Cài đặt File Server Resource Manager (Thực hiện trên PC01)

– Mở Server Manager -> menu Manage -> chọn Add Roles and Features

– Các bước đầu tiên nhấn Next theo mặc định. Màn hình Server Roles -> đánh dấu chọn vào ô File Server Resource Manager -> Add Features -> Next -> Next

– Màn hình Confirmation -> Đánh dấu chọn vào ô Restart the destination server automatically if required -> Install -> Close

2. Tạo giới hạn 5MB

– Sau khi cài đặt xong, vào menu Tools -> chọn File Server Resource Manager

– Bung mục Quota Management, chuột phải vào Quotas -> Create Quota

– Mục Quota path, Browse đến đường dẫn C:\BaoCao. Bên dưới chọn Define custom quota properties -> chọn Custom Properties…

– Trong hộp thoại Quota Properties

+ Mục Label: đặt tên Giới hạn 5 MB

+ Mục Limit: 5 MB

Nhấn OK -> Create

– Hộp thoại yêu cầu Save Template, đặt tên “5MB” ở khung Template Name -> OK

3. Cấm sao chép tất cả các file trừ file *.exe vào thư mục BaoCao

– Mở File Server Resource Manager -> Bung mục File Screening Management, chuột phải vào File Groups -> Create File Group…

– Trong hộp thoại Create File Group

+ File Group Name: Chỉ cho phép đuôi exe

+ Files to include: nhập *.*

+ Files to exclude: nhập *.exe

Nhấn OK

– Chuột phải vào File Screens -> Create File Screen…

– Mục File screen path, Browse đến đường dẫn C:\BaoCao. Bên dưới chọn Define custom file screen properties, chọn Custom Properties…

– Ở mục File Groups, đánh dấu chọn vào ô “Chỉ cho phép đuôi exe” -> OK -> Create

– Hộp thoại yêu cầu Save Template, chọn “Save the custom file screen without creating a template” -> OK

– Quan sát File Screen vừa tạo.

4. Kiểm tra

– Log on Administrator ở máy PC02. Nhấn tổ hợp phím ÿ + R, gõ \\PC01

– Hộp thoại yêu cầu xác thực quyền, nhập vào u1 và password 123

– Chuột phải vào thư mục BAO CAO -> chọn Map Network Drive…

– Chọn ổ đĩa Z: -> Finish

– Quan sát ổ đĩa Z:, tổng cộng dung lượng là 5MB

– Copy thử tập tin hoặc thư mục bất kỳ vào ổ Z: -> Báo lỗi.

– Chép thử file *.exe vào ổ Z: -> Copy thành công.

XIV. BITLOCKER

CÁC BƯỚC TRIỂN KHAI

1. Triển khai BitLocker bằng Group Policy

2. Kích hoạt BitLocker cho ổ đĩa

3. Di chuyển ổ đĩa sang máy khác và kiểm tra

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL).

+ PC03: Windows Server 2016 (đã join domain). Trên máy PC03 phải có ít nhất 2 ổ cứng và được định dạng là NTFS.

B- THỰC HIỆN

1. Triển khai BitLocker bằng Group Policy (Thực hiện trên máy PC01)

– Mở Server Manager -> menu Tools -> chọn Group Policy Management

– Mở theo đường dẫn: Forest: NHATNGHE.LOCAL -> Domains -> NHATNGHE.LOCAL, Chuột phải Default Domain Policy -> chọn Edit

– Mở theo đường dẫn: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> BitLocker Drive Encryption -> Fixed Data Drives -> nhấn double click vào policy: Choose how BitLocker-protected fixed drives can be recovered setting.

– Chọn Enabled -> Đánh dấu chọn vào 2 ô: Save BitLocker recovery information to AD DS for fixed data drives và ô Do not enable BitLocker until recovery information is stored to AD DS for fixed data drives -> OK

– Qua máy PC03, log on NHATNGHE\Administrator. Mở CMD, gõ lệnh Gpupdate /Force. Sau đó Restart lại máy PC03

2. Kích hoạt BitLocker cho ổ đĩa (Thực hiện trên máy PC03)

– Mở Server Manager -> menu Manage -> chọn Add Roles and Features

– Nhấn Next theo mặc định. Màn hình Features -> đánh dấu chọn vào ô BitLocker Drive Encryption -> Add Features -> Next

– Màn hình Confirmation -> đánh dấu chọn vào ô Restart the destination server automatically if required -> Install -> Close

– Mở Control Panel -> chọn BitLocker Drive Encryption

– Chọn ổ đĩa muốn bảo mật -> Nhấn Turn on BitLocker.

– Đánh dấu chọn vào ô Use a password to unlock the drive -> Nhập vào mật khẩu ở 2 ô Password và Confirm Password -> Next

– Chọn Save to a file.

– Trỏ đường dẫn đến nơi lưu khóa giải mã -> Save -> Yes

– Nhấn vào nút Start encrypting để bắt đầu mã hóa.

– Quá trình mã hóa đang diễn ra.

– Sau khi mã hóa thành công -> nhấn Close.

– Mở Windows PowerShell, gõ lệnh Manage-bde –status. Quan sát thấy ổ đĩa được bảo vệ bằng BitLocker, dòng Protection Status hiển thị Protection On.

3. Di chuyển ổ đĩa sang máy khác và kiểm tra

– Gỡ bỏ ổ cứng bảo mật trên máy PC03 và gắn vào máy PC01.

– Trên máy PC01, mở Server Manager -> cài Features BitLocker Drive Encryption

– Nhấn tổ hợp phím ÿ + R, gõ lệnh diskmgmt.msc

– Chuột phải vào đĩa mới được gắn vào -> chọn Online

– Quan sát thấy ổ đĩa vẫn được bảo vệ bằng BitLocker

– Mở Active Directory Users and Computers -> Chuột phải vào NHATNGHE.LOCAL -> chọn Find

– Ở mục Find -> chọn Computers -> nhấn nút Find Now

– Nhấn double click vào PC03

– Qua tab BitLocker Recovery -> Ở khung Details, copy toàn bộ nội dung ở dòng Recovery Password

– Mở File Explorer, double click vào ổ đĩa được bảo mật bằng BitLocker

– Chọn More options

– Nhấn Enter recovery key

– Dán toàn bộ nội dung vừa copy vào khung Enter the 48-digit recovery key to unlock this drive -> Nhấn nút Unlock

– Quan sát thấy ổ đĩa đã được giải mã.

– Truy cập vào dữ liệu thành công.

XIII. DISTRIBUTED FILE SYSTEM

CÁC BƯỚC TRIỂN KHAI

1. Cài Distributed File System role service trên các file server

2. Tạo NameSpace & chỉ định các NameSpace Server

3. Tạo Replication Group

4. Chỉ định Replicate và publish trong NameSpace

5. Thử nghiệm Failover

A- CHUẨN BỊ

Mô hình bài lab bao gồm 03 máy:

– PC01: Windows Server 2016 – DC (Domain: NHATNGHE.LOCAL)

– PC03 và PC04: Windows Server 2016 đã join domain, tạo thư mục DATA và share full thư mục DATA trên ổ C:

– PC05: Windows 8.1 Enterprise đã join domain.

– Log on Domain Admin trên 3 máy PC01, PC03 và PC04

B- THỰC HIỆN

1. Cài Distributed File System role service trên PC03 và PC04

– Mở Server Manager, vào menu Manage -> Add Roles and Features.

– Nhấn Next theo mặc định. Màn hình Server Roles -> đánh dấu chọn vào 2 ô DFS Namespaces và DFS Replication -> Next -> Next

– Màn hình Confirmation -> đánh dấu chọn vào ô Restart the destination server automatically if required -> Install -> Close

2. Tạo NameSpace & chỉ định các NameSpace Server

a. Tạo NameSpace HoSo trên PC03

– Mở Server Manager, vào menu Tools -> DFS Management

– Chuột phải Namespaces -> chọn New Namespace.

– Màn hình Namespace Server -> Browse -> chọn PC03 -> Next

– Màn hình Namespace Name and Settings -> Điền vào ô Name : HoSo -> Chọn Edit Settings

– Chọn Use custom permissions -> chọn Customize

– Cho Group Everyone quyền Full Control -> OK -> OK -> Next

– Hộp thoại Namespace Type -> Chọn Domain-based namespace -> Next

– Hộp thoại Review Settings and Creat Namespace -> Chọn Create

– Hộp thoại Confirmation -> Close

b. Kiểm tra kết quả trên PC03

– Quan sát trong DFS, qua tab Namespace Servers -> khung bên phải đã có Name Space

– Mở Computer -> Quan sát thấy có thư mục DFSRoots và thư mục HoSo đã được tạo

c. Tạo thêm NameSpace Server PC04 trên PC03

– Mở DFS -> Chuột phải \\NhatNghe.local\HoSo -> Add Namespace Server

– Hộp thoại Namespace Server -> Chọn Browse -> Chọn PC04 -> Edit Settings

– Chọn Use custom permissions -> Customize

– Cho Group Everyone quyền Full Control -> OK -> OK

– Quan sát: Kiểm tra trên cả 2 server -> Mở DFS quan sát thấy đã có 2 name space server

3. Tạo Replication Group (Thực hiện trên máy PC03)

– Chuột phải lên Replication Group -> Chọn New Replication Group

– Màn hình Replication Group Type -> chọn Multipurpose replication group -> Next

– Đặt tên Replication group là: Replicate HoSo -> Next

– Màn hình Replication Group Members -> Chọn Add -> Chọn PC03, PC04 -> OK -> Next

– Màn hình Topology Selection -> Chọn Full mesh -> Next -> Next

– Primary Member -> Chọn PC03 -> Next

– Màn hình Folders to Replicate -> Chọn Add -> Browse -> chọn thư mục DFSRoots\HoSo -> OK -> OK

– Thực hiện add tiếp thư mục C:\DATA -> OK -> OK -> Next

– Màn hình Local Path of HoSo on Other Member -> Chọn Edit

– Chọn Enable -> Browse -> chỉ đến thư mục : DFS Roots/Hoso -> OK -> Next

– Màn hình Local Path of DATA -> Chọn Edit -> Chọn Enable -> Browse -> chỉ đến thư mục: C:\DATA -> OK -> Next

– Màn hình Review Settings -> Create -> Close

4. Chỉ Định Replicate và publish trong NameSpace

– Ở khung bên trái chọn Replicate HOSO. Ở khung bên phải, chọn tab Replicated Folder -> Chuột phải lên Data -> Chọn Share and Publish in Namespace

– Màn hình Publishing Method -> giữ nguyên như mặc định -> Next -> Next

– Màn hình Namespace Path -> Browse -> chọn \\NHATNGHE.LOCAL\HoSo –> Next

– Màn hình Review Settings -> Share -> Close

– Thực hiện trên cả 2 member server (PC03 và PC04). Nhấn tổ hợp phím ÿ + R, gõ Services.msc

– Chuột phải vào service DFS Replication -> chọn Restart

– Kiểm tra:

+ Trên máy PC05, truy cập \\Nhatnghe.Local\HoSo

+ Quan sát thấy có thư mục Data

+ Tạo 1 file bất kì trong thư mục HoSo và thư mục Data

+ Mở thư mục HoSo và Data của cả 2 máy PC03 và PC04 -> kiểm tra trong thư mục HoSo đều có file được tạo từ máy Client.

5. Thử nghiệm failover

– PC05 truy cập: \\Nhatnghe.local\HoSo, tạo các file WordPad BaoCaoKeToan & TuyenDung

– Tắt PC03. PC05 truy cập: \\Nhatnghe.local\HoSo, tạo file Kiemtra.txt

– Bật PC03, tắt PC04. PC05 truy cập: \\Nhatnghelocal\HoSo, tạo file Kiemtra2.txt

– Bật PC04. PC05 truy cập: \\Nhatnghe.local\HoSo, truy cập được đủ 4 file đã tạo.

XII. GPO SECURE MEMBER SERVER – AUDITING – APPLOCKER – ADVANCED FIREWALL

CÁC BƯỚC TRIỂN KHAI

1. Sử dụng Group Policy để bảo mật Member Servers

2. Auditing

a. Giám sát truy cập File hệ thống

b. Giám sát User Log on trên domain

3. Cấu hình Applocker Policy

4. Cấu hình Windows Firewall

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016 DC

+ PC03: Windows Server 2016 đã join domain

+ PC05: Windows 8.1 Enterprise đã join domain

– Trên PC01, tạo OU MemberServerOU, move Computer PC03 vào OU này và tạo thêm Group Server Admins

– Tạo User Teo.

B- THỰC HIỆN

1. Sử dụng Group Policy để bảo mật Member Servers (Thực hiện trên PC01)

– Mở Group Policy Management -> Bung Forest: NHATNGHE.LOCAL ->Domains -> NHATNGHE.LOCAL. Chuột phải vào Group Policy Objects, chọn New.

– Ở mục Name, đặt tên Member Server -> OK

– Chuột phải vào OU MemberServerOU, chọn Link an Existing GPO.

– Chọn Member Server -> OK

– Chuột phải vào Default Domain Policy -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Windows Settings -> Security Settings. Chuột phải vào Restricted Groups -> Add Group

– Nhấn Browse, nhập vào Administrators -> Check Names -> OK

– Khung Members of this group -> Add -> Browse

– Nhập vào: Server Admins, Domain Admins -> Check Names -> OK 3 lần.

– Chuột phải vào GPO Member Server -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment. Chuột phải vào Allow log on locally, chọn Properties.

– Nhấn vào nút Add User or Group -> Nhập vào Administrators, Domain Admins -> Check Names -> OK -> OK

– Tiếp tục ở khung bên trái -> chọn Security Options. Khung bên phải -> chuột phải vào User Account Control: Admin Approval Mode for the Built-in Administrator account, chọn Properties

– Chọn Enabled -> OK

– Kiểm tra:

+ Trên máy PC03, log on Administrator. Mở CMD, gõ lệnh Gpupdate /force

+ Mở Server Manager, vào menu Tools -> chọn Computer Management

+ Bung mục Local Users and Groups -> Groups, double click vào Administrators

+ Quan sát thấy nhóm Domain Admins và Server Admins có quyền quản trị trên local.

+ Log off Administrators, log on bằng user Teo.

+ Quan sát thấy user Teo không được phép log on trên máy PC03 được.

2. Auditing

a. Giám sát truy cập File hệ thống

– Chuột phải vào GPO Member Server -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Chuột phải vào Audit object access -> Chọn Properties.

– Đánh dấu chọn vào ô Define these policy settings, sau đó chọn 2 ô Success và Failure -> OK

– Qua máy PC03, mở File Explorer, tạo thư mục C:\Data. Chuột phải vào thư mục Data -> chọn Share with -> Specific people.

– Share user Teo -> Read/Write -> Share -> Done

– Chuột phải vào thư mục Data -> chọn Properties -> Nhấn Advanced

– Qua tab Auditing -> Nhấn Add

– Chọn Select a principal

– Nhập vào Domain Users -> Check Names -> OK

– Ở mục Type -> chọn All. Ở mục Basic permissions -> Đánh dấu chọn vào ô Write -> OK 3 lần

– Mở CMD, gõ lệnh: Gpupdate /force

– Kiểm tra:

+ Trên PC05, log on Administrator -> Mở CMD, gõ lệnh Gpupdate /force

+ Log off Administrator, log on user Teo. Nhấn tổ hợp phím ÿ + R, gõ \\pc03

– Tạo file tailieu.txt trong thư mục Data

– Qua máy PC03, mở Server Manager -> menu Tools -> chọn Event Viewer

– Ở khung bên trái chọn Windows Logs -> Security. Nhấn double click vào event.

– Thông tin về quá trình giám sát

b. Giám sát User Log on trên domain (Thực hiện trên máy PC01)

– Mở Group Policy Management -> Chuột phải vào Default Domain Policy -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Chuột phải vào Audit account log on events -> Chọn Properties.

– Đánh dấu chọn vào ô Define these policy settings, sau đó chọn 2 ô Success và Failure -> OK

– Mở CMD, gõ lệnh Gpupdate /Force

– Kiểm tra:

+ Trên máy PC05, log on Administrator. Mở CMD, gõ lệnh Gpupdate /Force

+ Log off Administrator, log on user Teo (cố tình nhập mật khẩu sai)

+ Qua máy PC01, mở Event Viewer -> chọn Windows Logs -> Securities. Quan sát thấy event báo user teo không chứng thực được

– Qua máy PC05, log on user Teo, nhập đúng mật khẩu

– Qua máy PC01, kiểm tra Event Viewer, thấy event Audit Success do user Teo đăng nhập thành công.

3. Cấu hình Applocker Policy (Thực hiện trên PC01)

– Mở Active Directory Users and Computers, tạo OU ClientComputerOU, sau đó move computer PC05 vào OU này.

– Mở Group Policy Management -> Chuột phải vào Group Policy Objects -> chọn New

– Ở mục Name, đặt tên Software Control GPO -> OK

– Chuột phải vào GPO vừa tạo, chọn Edit.

– Mở theo đường dẫn: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Application Control Policies -> AppLocker. Chuột phải vào Executable Rules -> chọn Create Default Rules

– Quan sát thấy các Default Rule được tạo.

– Chuột phải vào Windows Installer Rules -> chọn Create Default Rules

– Quan sát thấy các Default Rule được tạo.

– Thực hiện tương tự tạo Create Default Rules cho Script Rules và Packaged app Rules

– Nhấn chuột vào AppLocker -> Ở khung bên phải chọn Configure rule enforcement

– Đánh dấu chọn vào Configured -> chọn Audit Only -> OK

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings. Chuột phải vào Application Identity -> chọn Properties

– Đánh dấu chọn vào ô Define this policy setting -> chọn Automatic -> OK

– Chuột phải vào Executable Rules -> chọn Create New Rule

– Màn hình Before you begin -> Next

– Màn hình Permissions -> Select

– Nhập vào user Teo -> Check Names -> OK -> Next

– Màn hình Conditions -> chọn Path -> Next

– Nhấn Browse Files và trỏ đường dẫn đến file iexplore.exe -> Next

– Màn hình Exceptions -> Next

– Màn hình Name -> đặt tên Deny IE -> Create

– Quan sát Rule vừa tạo.

– Ở khung bên trái chọn AppLocker -> nhấn vào mục Configure rule enforcement

– Đánh dấu chọn vào các ô Configured -> chọn tất cả là Enforce rules -> OK

– Chuột phải vào ClientComputer OU -> chọn Link an Existing GPO

– Chọn Software Control GPO vừa tạo -> OK

– GPO đã được link vào OU.

– Mở CMD, gõ lệnh Gpupdate /Force

– Kiểm tra:

+ Trên PC05, log on user Teo, mở CMD, gõ lệnh Gpresult /R để kiểm tra policy áp lên Computer này

– Mở Internet Explorer -> nhận được thông báo lỗi.

4. Cấu hình Windows Firewall (Thực hiện trên PC01)

– Mở Active Directory Users and Computers, tạo group Application Servers trong MemberServerOU.

– Chuột phải vào group Application Servers -> chọn Properties

– Qua tab Members -> Add

– Chọn Object Types

– Chọn Computers -> OK 3 lần.

– Nhập vào PC03 -> Check Names -> OK -> OK

– Mở Group Policy Management, chuột phải vào Group Policy Objects -> New

– Ở mục Name, đặt tên là Application Servers GPO -> OK

– Chuột phải vào GPO vừa tạo -> chọn Edit

– Mở theo đường dẫn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Windows Firewall with Advanced Security. Nhấn vào Windows Firewall with Advanced Security – LDAP://CN={GUID}

– Chuột phải vào Inbound Rules -> New Rule

– Chọn Custom -> Next

– Màn hình Program -> Next

– Màn hình Protocol and Ports -> Mục Protocol: TCP -> Specific Ports: 8080 -> Next

– Màn hình Scope -> Next

– Màn hình Action -> chọn Allow the connection -> Next

– Màn hình Profile, bỏ dấu chọn ở ô Private và Public -> Next

– Màn hình Name, đặt tên Application Server Department Firewall Rule -> Finish

– Quan sát Inboud Rule vừa tạo.

– Chuột phải vào MemberServerOU -> chọn Link an Existing GPO

– Chọn Application Servers GPO -> OK

– Ở khung Security Filtering ở góc cuối cùng bên phải -> chọn Authenticated Users -> Remove -> OK -> Add

– Nhập vào Application Servers -> OK

– Quan sát Group Application Servers đã được thêm vào

– Kiểm tra:

+ Qua máy PC03, mở CMD, gõ lệnh Gpupdate /force

+ Mở Server Manager, vào menu Tools -> chọn Windows Firewall with advanced Security

+ Quan sát thấy Application Server Firewall Rule đã được kích hoạt trên máy PC03

XI. GPO ADMINISTRATIVE TEMPLATES – DEPLOY SOFTWARE – FOLDER REDIRECTION

CÁC BƯỚC TRIỂN KHAI

1. Cấu hình Administrative Templates

2. Cấu hình Deploy Software

3. Cấu hình Folder Redirection

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL)

+ PC05: Windows 8.1 Enteprise đã join domain

– Trên máy PC01, tạo thư mục C:\SaiGon. Share Everyone – Full Control

– Tạo OU VP_SaiGon, tạo user Teo và move máy client vào OU này

– Truy cập vào Server, copy source cài đặt Office 2013 Administrative Templates (ADMX). Chạy file admintemplate_64bit.exe để cài đặt

– Chọn Make New Folder -> tạo thư mục C:\Office2013-Admx -> OK

– Nhấn OK sau khi cài xong.

– Trên PC05: Cài đặt Microsoft Office 2013

B- THỰC HIỆN

1. Cấu hình Administrative Templates (Thực hiện trên máy PC01)

– Mở File Explorer, truy cập vào đường dẫn C:\Office2013-Admx\admx\en-us -> Quét chọn toàn bộ, chuột phải nhấn Copy

– Mở theo đường dẫn C:\Windows\PolicyDefinitions\en-US, chuột phải chọn Paste

– Quay lại đường dẫn, C:\Office2013-Admx\admx -> Quét chọn toàn bộ file *.admx, chuột phải nhấn Copy.

– Mở theo đường dẫn C:\Windows\PolicyDefinitions, chuột phải chọn Paste.

– Mở Group Policy Management -> chuột phải Group Policy Object -> chọn New

– Ở mục Name, đặt tên Office2013-Admx -> OK

– Chuột phải vào policy vừa tạo, chọn Edit

– Bung theo đường dẫn User Configuration -> Policies -> Administrative Templates -> Microsoft Word 2013-> Word Options -> Customize Ribbon, double click vào mục Display Developer tab in the Ribbon

– Chọn Enabled -> OK -> Đóng cửa sổ Group Policy Management Editor lại

– Chuột phải vào NHATNGHE.LOCAL, chọn Link an Existing GPO

– Chọn Office2013-Admx ->OK

– Quan sát GPO đã được link

– Mở CMD, gõ lệnh Gpupdate /Force

– Kiểm tra:

+ Trên máy PC05, log on user Teo -> Mở Word 2013

– Quan sát thấy có thêm tab Developer.

2. Deploy Software (Thực hiện trên máy PC01)

– Truy cập vào Server, copy file XmlNotepad.msi vào C:\Deploy. Share Folder – Everyone Full Control

– Mở Group Policy Management, chuột phải vào OU VP_SaiGon -> chọn Create a GPO in this domain and Link it here

– Ở mục Name, đặt tên Deploy XML Notepad -> OK

– Chuột phải vào GPO vừa tạo, chọn Edit.

– Mở theo đường dẫn Computer Configuration -> Policies -> Software Settings, chuột phải Software installation -> New -> Package

– Trỏ đường dẫn \\pc01\Deploy\XMLNotepad.msi -> Open

– Chọn Advanced -> OK

– Đánh dấu chọn vào ô Install this application at logon -> OK

– Quan sát thấy Software Installation vừa tạo.

– Kiểm tra:

+ Qua máy PC05, Restart lại máy.

+ Log on Administrator, mở CMD, gõ lệnh Gpupdate /Force -> Restart lại máy

+ Log on Teo, quan sát thấy máy Client đã được cài đặt XMLNotepad

3. Cấu hình Folder Redirection (Thực hiện trên máy PC01)

– Mở File Explorer, tạo thư mục C:\FolderRedir. Share Everyone – Full Control

– Mở Group Policy Management, chuột phải OU VP_SaiGon -> chọn Create a GPO in this domain and Link it here.

– Ở mục Name, đặt tên Folder Redirection -> OK

– Chuột phải vào GPO vừa tạo -> chọn Edit

– Mở theo đường dẫn User Configuration -> Policies -> Windows Settings -> Folder Redirection. Ở khung bên phải, chuột phải vào Documents -> chọn Properties

– Chọn Basic – Redirect everyone’s folder to the same location.

– Ở mục Target Folder Location -> chọn Create a folder for each user under the root path. Ở mục Root Path -> gõ \\pc01\FolderRedir -> OK -> Yes

– Kiểm tra:

+ Qua máy PC05, Restart lại máy.

+ Log on Administrator, mở CMD, gõ lệnh Gpupdate /Force -> Restart lại máy

+ Log on Teo, chuột phải vào Desktop -> chọn Personalize

– Chọn Change desktop icons

– Đánh dấu chọn vào ô User’s Files -> OK

– Double click vào folder Teo trên Desktop

– Chuột phải vào Documents -> chọn Properties

– Quan sát đường dẫn ở mục Location.

X. GPO FINE-GRAINED PASSWORD POLICY

CÁC BƯỚC TRIỂN KHAI

1. Cấu hình Fine-Grained Password Policy

2. Kiểm tra

A- CHUẨN BỊ

Mô hình bài lab bao gồm 1 máy:

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL)

– Tạo OU Manager. Trong OU Manager, tạo group Sep và user U1.

– Add User U1 là thành viên của group Sep.

B- THỰC HIỆN

1. Cấu hình Fine-Grained Password Policy

– Mở Server Manager -> menu Tools -> chọn Active Directory Administrative Center.

– Ở khung bên trái -> chọn NHATNGHE (local) -> ở khung Details, nhấn double click vào System.

– Ở khung Details, chuột phải vào Password Settings Container ->chọn New -> Password Settings

– Màn hình Create Password Settings: Manager PSO -> Khai báo các thông tin sau:

+ Name: ManagerPSO

+ Precedence: 10

+ Minimum password length: 15

+ Number of passwords remembered: 20

+ User must change the password after (days): 30

+ Đánh dấu chọn vào ô Enforce account lockout policy

+ Number of failed logon attempts allowed: 3

+ Reset failed logon attempts count after(mins): 30

+ Chọn ô Until an administrator manually unlocks the account

+ Ở khung Direct Apply To -> nhấn Add

– Nhập vào Sep -> Check Names -> OK -> OK

– Mở CMD, gõ lệnh: Gpupdate /Force

2. Kiểm tra

– Mở Active Directory Users and Computers -> Chuột phải user U1 -> chọn Reset Password.

– Nhập password chỉ 3 ký tự, vd: 123 -> OK

– Hộp thoại báo lỗi không đáp ứng yêu cầu chính sách bảo mật (phải đặt mật khẩu tối thiểu 10 ký tự) -> OK.

– Nhập lại password 10 ký tự -> OK

– Thay đổi mật khẩu cho user thành công.