Category: MS WINDOWS SERVER

IX. GPO CENTRAL STORE & SECURITY FILTERING

CÁC BƯỚC TRIỂN KHAI

1. Tạo Central Store

2. Tạo GPO

a. Tạo Starter GPO

b. Tạo GPO từ Starter GPO

c. Kiểm tra

3. Security Filtering

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016 – DC (Domain:NHATNGHE.LOCAL)

+ PC02: Windows 8.1 Enterprise đã join domain

– Trên PC01 tạo group IT và user Teo. Add Teo làm thành viên của Group IT.

– Chỉnh password đơn giản và cho phép User Account Log On Locally

B- THỰC HIỆN

1. Tạo Central Store (Thực hiện trên máy PC01)

– Mở File Explorer, truy cập vào đường dẫn C:\Windows\PolicyDefinitions. Chọn toàn bộ tập tin và thư mục có trong folder này -> chuột phải nhấn Copy

– Truy cập vào đường dẫn C:\Windows\SYSVOL\sysvol\NHATNGHE.LOCAL\Policies -> Tạo mới Folder, đặt tên PolicyDefinitions

– Nhấn Double Click vào folder PolicyDefinitions vừa tạo -> chuột phải chọn Paste

– Kiểm tra:

+ Mở Group Policy Management Editor. Chuột phải vào Default Domain Policy -> chọn Edit

– Bung mục User Configuration -> Policies. Quan sát thấy mục Administrative Templates: Policy definitions (ADMX files) retrieved from the Central Store” -> Đóng cửa sổ lại

2. Tạo GPO

a. Tạo Starter GPO

– Quay lại Group Policy Management Editor. Mở theo đường dẫn Forest: NHATNGHE.LOCAL -> Domains -> NHATNGHE.LOCAL. Chuột phải vào Starter GPOs -> chọn New

– Ở mục Name, đặt tên là Internet Explorer Retricitions -> OK

– Chuột phải vào GPO Internet Explorer Retricitions vừa tạo, chọn Edit

– Mở theo đường dẫn User Configuration -> Administrative Templates, chuột phải vào All Settings -> chọn Filter Options

– Đánh dấu chọn vào Enable Keyword Filters. Mục Filter for word(s), gõ vào General Page. Khung kế bên, chọn Exact. Bỏ dấu chọn ở 2 ô Help Text và Comment -> OK

– Double click vào mục Disable the General Page

– Chọn Enabled -> OK

b. Tạo GPO từ Starter GPO

– Quay lại cửa sổ Group Policy Managent Editor, chuột phải vào NHATNGHE.LOCAL -> chọn Create a GPO in this domain, and Link it here.

– Ở mục Name, đặt tên IE Restrictions. Ở mục Soure Starter GPO, chọn Internet Explorer Restrictions -> OK.

– Quan sát thấy GPO vừa tạo

c. Kiểm tra

– Trên máy PC02, log on user Teo

– Mở Control Panel -> chọn Network and Internet

– Ở mục Internet Options -> chọn Change your homepage

– Quan sát thấy báo lỗi không cho phép thay đổi Homepage (vì tab General bị khóa)

– Tiếp theo mở Internet Options, quan sát thấy không có tab General

3. Security Filtering (Thực hiện trên máy PC01)

– Qua máy PC01, quay lại Group Policy Management. Chọn vào policy IE Restriction, qua tab Delegation -> nhấn Advanced

– Nhấn nút Add

– Nhập vào group IT -> Check Names -> OK

– Tìm đến mục Apply Group Policy -> đánh dấu chọn vào Deny -> Apply -> OK -> Yes

– Kiểm tra: Qua máy PC02, log on user Teo.

+ Mở Internet Options, quan sát thấy có tab General và thay đổi Homepage thành công

VIII. GROUP POLICY MANAGEMENT

CÁC BƯỚC TRIỂN KHAI

1. Tạo và link Policy vào OU

2. Block Inheritance cho OU

3. Enforce Policy

4. Chỉnh order cho Policy

5. Security Filtering

6. Xem các setting của policy

7. Modeling Wizard

8. Item Level Targetting

9. Disable một phần của policy

10. Khảo sát nơi chứa policy templates

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy

+ PC01 : Windows Server 2016 – DC (Domain: NHATNGHE.LOCAL)

+ PC02 : Windows 8.1 – Join Domain

– PC01 :

* Chỉnh Policy password đơn giản

* Chỉnh Policy cho phép group Users có quyền log on locally

* Tạo OU Cha. Trong OU Cha, tạo OU Con

* Trong OU Cha tạo user u1, u2. Trong OU Con tạo user u3, u4

* Trong Domain Nhatnghe.local tạo group TEST, add 2 user u1 và u3 vào group

B- THỰC HIỆN

1. Tạo và link Policy vào OU (Thực hiện trên máy PC01)

– Mở Server Manager -> vào menu Tools -> Group Policy Management

– Bung Forest -> Domains -> NHATNGHE.LOCAL -> Chuột phải vào Group Policy Objects -> chọn New.

– Đặt tên cho GPO ở khung name “Ẩn Control Panel” -> OK

– Chuột phải vào GPO “Ẩn Control Panel” vừa tạo, chọn Edit

– Bung mục User Configuration -> Policies -> Administrative Templates -> Control Panel, chuột phải vào Prohibit access to the Control Panel and PC settings, chọn Edit.

– Chọn Enabled -> OK -> Đóng cửa sổ Group Policy Management Editor

– Quay trở lại màn hình Group Policy Management, chuột phải vào OU Cha, chọn Link an Existing GPO…

– Chọn GPO “Ẩn Control Panel” -> OK

– Quan sát thấy GPO “Ẩn Control Panel” đã được link vào OU Cha

– Kiểm tra: Trên PC02, log on lần lượt vào các user u1, u2, u3, u4 -> Bị mất Control Panel

2. Block Inheritance cho OU (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào OU Con, chọn Block Inheritance

– Quan sát OU Con, thấy có biểu tượng dấu chấm thang

– Kiểm tra: Trên máy PC02, lần lượt log on user u3, u4 -> sẽ thấy có Control Panel

3. Enforce Policy (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào GPO “Ẩn Control Panel”, chọn Enforced

– Trên máy PC02, log on user u3, u4 -> sẽ thấy bị mất Control Panel

4. Chỉnh order cho Policy (Thực hiện trên máy PC01)

– Mở Group Policy Management, tắt Enforce Policy và Block Inheritance trên OU Cha và OU Con.

– Tạo thêm GPO “Hiện Control Panel”, link GPO này vào OU Cha. Như vậy lúc này OU Cha có 2 GPO “Ẩn Control Panel” và “Hiện Control Panel”.

– Nhấn vào OU Cha, ở góc trái dùng 2 biểu tượng mũi tên Move Up và Move Down, di chuyển GPO “Hiện Control Panel” lên vị trí đầu tiên.

– Qua tab Group Policy Inheritance, chú ý mục Precedent, Precedence càng nhỏ thì độ ưu tiên của GPO càng cao.

– Kiểm tra: Trên máy PC02, log on user u3, u4 -> sẽ thấy Control Panel

Nhận xét:

* Trong cùng 1 OU nếu áp chung 2 policy (không Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn

* Trong cùng 1 OU nếu áp chung 2 policy (cả 2 policy đều Enforce) thì policy nào có giá trị Link Order nhỏ thì sẽ có độ ưu tiên cao hơn

* Trong cùng 1 OU nếu áp chung 2 policy (1 policy Enforce và 1 policy không Enforce) thì policy Enforce sẽ có độ ưu tiên hơn

5. Security Filtering (Thực hiện trên máy PC01)

– Mở Group Policy Management -> Chuyển policy “Ẩn Control Panel” lên Link Order bằng 1

– Chọn GPO“Ẩn Control Panel”, bên dưới mục Security Filtering, chọn vào group Authenticated Users -> Remove -> OK

– Quay trở lại màn hình Security Filtering, chọn Add -> Add Group Test vào -> OK

– Kiểm tra: Trên máy PC02:

+ Log on user U1, U3 -> mất Control Panel

+ Log on user U2, U4 -> hiện Control Panel

6. Xem các Setting của GPO (Thực hiện trên máy PC01)

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel”, qua tab Settings -> Add -> Add -> Close -> Quan sát các thiết lập được tạo ra trên GPO

7. Modeling Wizards (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào Group Policy Modeling, chọn Group Polciy Modeling Wizard…

– Các bước đầu tiên nhấn Next theo mặc định. Màn hình User and Computer Selection -> Để xem OU Cha bị áp policy gì, trong 2 phần User Information và Computer Information, chọn Browse đến OU Cha -> Next

– Màn hình Advanced Simulation Options -> Chọn Default-First-Site-Name -> Next

– Màn hình Computer Security Groups, chọn Authenticated Users -> Next

– Các bước còn lại cài đặt theo mặc định -> Màn hình Completing…-> Finish

– Quan sát thấy bảng báo cáo chi tiết về các Policy được áp lên OU Cha

8. Item Level Targeting (Thực hiện trên máy PC01)

– Mở Group Policy Management, chuột phải vào Default Domain Policy, chọn Edit…

– Bung mục User Configuration -> Preferences -> Control Panel Settings, chuột phải vào Folder Options, chọn New -> Folder Options (at least Windows Vista)

– Mục Hidden files and folders, chọn Show hidden files and folders. Tắt dấu check ở 2 mục:

+ Hide extensions for known file types

+ Hide protected operating system files (Recommended)

-> OK

– Ở khung bên phải -> Chuột phải vào Folder Options -> Properties

– Qua tab Common, đánh dấu check vào mục Item-level targeting -> chọn Targeting…

– Tại màn hình Targeting Editor -> Chọn New Item -> User

– Trong mục User -> Browse -> Add User u4 -> OK -> OK -> OK

– Kiểm tra: Trên máy PC02

+ Log on user u4 -> Mở File Explorer, kiểm tra thấy các file ẩn xuất hiện và hiển thị đuôi

file.

+ Log on user u3 -> Mở File Explorer, không thấy các file ẩn.

9. Disable một phần của policy

Đôi khi ta chỉ sử dụng một phần trong của GPO (ví dụ User Configuration), để tăng tốc quá trình xử lý GPO, ta nên tắt những phần không dùng đến.

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel” -> Details , ở mục GPO Status, chọn Computer Configuration settings disabled -> OK

10. Khảo sát nơi chứa policy templates

– Mở Group Policy Management, chọn GPO “Ẩn Control Panel”. Qua tab Details, chú ý dòng Unique ID

– Truy cập vào ổ C:\Windows\SYSVOL\SYSVOL\nhatnghe.local\Policies, sẽ thấy có thư mục giống Unique ID của policy “Ẩn Control Panel”

– Mở thư mục trùng với Unique ID -> User -> sẽ thấy có file Registry.pol. Thông tin về Policy được lưu vào file này.

– Mở file Registry.pol bằng Notepad quan sát nội dung bên trong

VII. DELEGATE – DOMAIN USERS, GROUPS, COMPUTERS

CÁC BƯỚC TRIỂN KHAI

1. Delegate

a. Delegate cho Group

b. Delegate cho User

2. Domain Users

a. Tạo – Sử dụng User Template

b. Làm việc với Multi Users

c. Xem toàn bộ thuộc tính của User

3. Domain Computers

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy

+ PC01: Windows Server 2016 DC (Domain: NHATNGHE.LOCAL)

+ PC02: Windows 8.1 Enterprise Stand Alone

– Trên PC01, tạo OU SaiGon. Trong OU Saigon, tạo 3 group Sep, Linh, Ketoan.

– Tạo 3 user teo, ti và kt1

– Add user Teo vào group Sep.

– Add User Ti vào group Linh

– Add User kt1 vào group Ketoan

B- THỰC HIỆN

1. Delegate

a. Delegate cho Group

Uỷ quyền cho các thành viên trong group Sep được phép tạo mới, xóa và chỉnh sửa thông tin user trong OU SaiGon

– Mở Server Manager -> menu Tools -> chọn Active Directory Users and Computers

– Chuột phải vào OU Saigon -> chọn Delegate Control…

– Màn hình Welcome -> chọn Next

– Màn hình Users and Groups -> nhấn Add, gõ Sep -> Check Names -> Next

– Chọn Create, delete, and manage user accounts -> Next

– Màn hình Completing -> Finish

– Kiểm tra:

+ Trên PC01, log off Administrator, log on Teo

+ Nhấn tổ hợp phím ÿ + R, gõ DSA.MSC.

– Màn hình UAC, gõ username và password của Teo -> Yes

– Tạo mới User be -> Kiểm tra tạo thành công

b. Delegate cho User

Uỷ quyền cho user kt1 được phép Reset Password và đọc thông tin tài khoản user trong OU SaiGon

– Log on Administrator. Mở Active Directory Users and Computers -> chuột phải vào OU Saigon -> chọn Properties

– Qua tab Security -> chọn Group Sep -> Remove -> OK

– Chuột phải vào OU Saigon -> chọn Delegate Control

– Màn hình Welcome -> chọn Next

– Màn hình Users and Groups, nhấn Add -> nhập vào user kt1 -> Check Names -> OK -> Next

– Đánh dấu chọn vào 2 ô Reset user passwords and force password change at next logon và ô Read all user information -> Next

– Màn hình Completing -> Finish

– Kiểm tra:

+ Trên PC01, log off Administrator, log on kt1

+ Nhấn tổ hợp phím ÿ + R, gõ DSA.MSC.

– Màn hình UAC, gõ username và password của kt1 -> Yes

– Chuột phải vào user be -> chọn Reset Password

– Nhập vào password mới cho user be

– Quan sát thấy thay đổi password thành công.

2. Domain Users

a. Tạo – Sử dụng User Template

– Log on Administrator, mở File Explorer -> Trong ổ C: tạo 2 folder Homes và Profiles. Share 2 thư mục này với quyền: Everyone – Full Control

– Mở Active Directory Users and Computers. Tạo thêm group nhansu và user ns1 trong OU Saigon

– Add user ns1 vào group nhansu.

– Tạo Roaming Profile và Home Folder cho ns1.

– Qua tab Account -> phần Account options -> đánh dấu chọn vào ô Account is disabled -> OK

– Chuột phải vào user ns1 -> chọn Copy

– Full Name: ns2 -> User logon name: ns2 -> nhấn Next

– Gõ 123 trong 2 phần Password và Confirm password -> Bỏ dấu chọn Account is Disable -> Next

– Nhấn Finish

– Chuột phải vào user ns2 vừa tạo -> chọn Properties ->Qua tab Profile, thấy đã được điền sẵn Roaming Profile và Home Folder.

– Qua tab Member of -> thấy user ns2 đã được add vào group Nhansu

– Thực hiện tương tự để copy NS1 thành account NS3/password 123

b. Làm việc với Multi Users

– Giữ phím CTRL, lần lượt click chuột chọn cả 3 user ns1, ns2 và ns3 -> Chuột phải chọn Properties.

– Qua tab Account -> Đánh dấu chọn trước dòng Logon hours -> Nhấn vào nút Logon hours

– Tô xanh vùng từ 8 – 5 / Sunday – Friday -> Chọn OK -> OK

– Kiểm tra : lần lượt mở Properties của cả 3 user: ns1, ns2, ns3 -> Qua tab Account -> Chọn Logon Hours…

– Quan sát thấy cả 3 user account ns1, ns2, ns3 đểu được chỉnh thời gian được phép đăng nhập vào máy tính.

c. Xem toàn bộ thuộc tính của User

– Tại chương trình Active Directory Users and Computers -> Chọn Menu View -> Chọn Advanced Features

– Chuột phải vào user ns3 -> Chọn Properties.

– Chọn Tab Attribute Editor -> Tìm đến mục homeDirectory và ProfilePath -> Quan sát thấy giá trị trong 2 dòng này giống trong tab Profile.

Nhận xét : Mọi thuộc tính của user account đều có thể được xem và chỉnh sửa tại Attribute Editor

3. Domain Computers

– Chuột phải vào OU Saigon -> Chọn New -> Computer

– Mục Computer Name: nhập vào PC05 -> Change

– Nhập vào user ns2 -> Check Names -> OK

– Nhấn OK

– Quan sát thấy trong OU SaiGon có account computer PC05 được tạo ra.

– Kiểm tra:

+ Trên PC05, log on Administrator. Mở File Explorer -> Chuột phải vào This PC -> Chọn Properties. Ở mục Computer Names, chọn Change settings

+ Trong tab Computer Name -> chọn Change

+ Trong phần Member of: Chọn mục Domain -> Gõ vào Nhatnghe.local -> OK

+ Hiện bảng Windows Security -> Gõ ns2 với password 123 -> OK

– Hộp thoại Security, nhập vào user name và password của u2 -> OK

– Join Domain thành công -> OK -> Khởi động lại máy tính

– Kiểm tra: Trên PC01 mở Active Directory Users and Computers -> Mở Container Computers -> Quan sát không có computer account được tạo ra.

Nhận xét : Nếu trên Active Directory Users and Computers đã tạo trước computer account trùng tên với máy client trước khi client join domain , thì khi máy client join vào domain, hệ thống sẽ không tạo ra thêm computer account nữa và sẽ sử dụng computer account đã tạo trước đó

VI. DOMAIN

CÁC BƯỚC TRIỂN KHAI

1. Nâng cấp Domain Controller

2. Join máy Workstation vào Domain

3. Cấu hình Policy trên máy Domain Controller

a. Cấu hình cho phép đặt password đơn giản

b. Cấu hình cho phép Group Users được log on trên DC

4. Tạo Domain Group và Domain User

5. Cài Remote Server Administrator Tools cho máy Client

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016

+ PC02: Windows 8.1 Enterprise

– Chỉnh password account Administrator cho cả 2 máy là 123

– Disable card CROSS. Gỡ bỏ Protocol TCP/IP IPv6 trên card LAN

– Kiểm tra 2 máy liên lạc với nhau bằng lệnh PING

B- THỰC HIỆN

1. Nâng cấp Domain Controller (Thực hiện tại PC01)

– Mở Control Panel -> Network and Sharing Center, chọn Change Adapter Settings. Chuột phải lên card LAN, chọn Properties -> Chọn Internet Protocol Version 4 (TCP/IPv4) -> Nhấn Properties.

– Ở mục Preferred DNS server, trỏ về IP của chính mình -> OK.

– Mở Server Manager, vào menu Manage, chọn Add Roles and Features

– Màn hình Welcome -> Next

– Màn hình Select installation type -> chọn Role-based or feature-based installation -> Next

– Màn hình Select destination server, giữ nguyên như mặc định -> Next

– Màn hình Select server roles, đánh dấu chọn vào ô Active Directory Domain Services

– Cửa sổ Add Roles and Features Wizard -> nhấn vào nút Add Features -> Next

– Màn hình Select features, giữ nguyên như mặc định -> Next

– Màn hình Confirm installation selections, đánh dấu chọn vào ô Restart the destination server automatically if required -> Nhấn nút Install

– Quá trình cài đặt diễn ra. Sau khi cài đặt xong, nhấn vào mục Promote this server to a domain controller

– Màn hình Deployment Configuration, chọn Add a new forest. Ở mục Root domain name, đặt tên: NHATNGHE.LOCAL

– Màn hình Domain Controller Options, ở mục Specify domain controller capabilities, đánh dấu chọn vào ô Domain Name System (DNS) server. Ở mục Type the Directory Services Restore Mode (DSRM) password, nhập vào mật khẩu P@ssword -> Next

– Các bước còn lại, nhấn Next theo mặc định. Màn hình Prerequisites Check, khi nhận được thông báo All prerequisites check passed successfully nghĩa là quá trình kiểm tra điều kiện để lên DC đã thành công -> nhấn nút Install để bắt đầu cài đặt

2. Join máy Workstation vào Domain (Thực hiện trên PC02)

– Mở Control Panel -> Network and Internet -> Network And Sharing Center -> Change adapter settings -> Disable card Cross

– Chuột phải card Lan -> Properties. Bỏ dấu chọn ở ô Internet Protocol Version 6 (TCP/IPv6). Sau đó chọn Internet Protocol Version 4 (TCP/IPv4) -> chọn Properties

– Chỉnh Preferred DNS server về IP Máy PC01-> OK -> Close

– Nhấn tổ hợp phím ÿ + R, gõ lệnh Sysdm.cpl

– Trong tab Computer Name, nhấn Change

– Ở mục Member of -> chọn Domain, sau đó gõ tên domain NHATNGHE.LOCAL -> OK

– Cửa sổ Windows Security, nhập vào Username và password: Administrator/P@ssword

– Quá trình join domain thành công, khởi động lại máy tính

3. Cấu hình Policy trên máy Domain Controller

a. Cấu hình cho phép đặt password đơn giản

– Quay lại máy PC01, mở Server Manager. Vào menu Tools, chọn Group Policy Management.

– Lần lượt bung các mục Forest: NHATNGHE.LOCAL -> Domains -> NHATNGHE.LOCAL -> Chuột phải Default Domain Policy, chọn Edit

– Lần lượt mở theo đường dẫn Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Password Policy -> double click vào Password must meet complexity requirements

– Chọn Disabled -> OK

– Quay lại cửa sổ Group Policy Management Editor, nhấn double click vào Maximum password age

– Ở mục Password will not expire, sửa giá trị thành “0” -> OK

– Quay lại cửa sổ Group Policy Management Editor, nhấn double click vào Enforce password history

– Ở mục Do not keep passwords remember, sửa giá trị thành “0” -> OK

– Sau khi chỉnh policy xong, mở CMD, gõ lệnh: Gpupdate /Force

b. Cấu hình cho phép Group Users được log on trên DC

– Lần lượt bung các mục Forest: NHATNGHE.LOCAL -> Domains -> NHATNGHE.LOCAL -> Domain Controllers -> Chuột phải Default Domain Controller Policy, chọn Edit

– Mở theo đường dẫn sau Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment -> double click vào mục Allow log on locally

– Nhấn vào nút Add User or Group -> nhập vào Users -> OK -> OK

– Sau khi chỉnh policy xong, mở CMD, gõ lệnh: Gpupdate /Force

4. Tạo Domain Group và Domain User

– Mở Active Directory Users and Computers. Chuột phải NHATNGHE.LOCAL -> New -> Group

– Group name : Nhat Nghe -> OK

– Chuột phải NHATNGHE.LOCAL -> New -> User

– Full name : U1

User logon name : U1 -> Next

– Password/Confirm password: P@ssword

Bỏ dấu chọn ở ô User must Change password at Next logon -> Next

– Quan sát thấy Domain Group và Domain User vừa tạo

5. Cài Remote Server Administrator Tools cho máy Client (Thực hiện trên PC02)

– Log on NHATNGHE\Administrator. Truy cập Server, chép source Windows8.1-KB2693643-x64 vào ổ C: và chạy file này.

– Quá trình cài đặt được thực hiện. Sau khi cài xong nhấn Close

– Mở Control Panel -> chọn Program and Features

– Ở góc bên trái -> chọn Turn Windows features on or off

– Đánh dấu chọn vào các mục như trong hình.

– Chọn Group Policy Management Tools -> OK -> Close

– Mở Control Panel, chọn Administrative Tools

– Mở Active Directory Users and Computers

– Truy cập vào Active Directory Users and Computers thành công

– Kiểm tra:

+ Trên PC02 tạo user U2, password 123 -> tạo thành công

+ Trên PC01, mở AD kiểm tra thấy có user U2

V. SHARE PERMISSION – ACCESS BASE EMULATION (ABE)

CÁC BƯỚC TRIỂN KHAI

1. Share một Folder

2. Thực hiện Share Ẩn

3. Map Network Drive

4. Share 1 folder với nhiều tên

5. Quản lý các Shared Resources

6. Access Base Emulation

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy:

+ PC01: Windows Server 2016

+ PC02: Windows 8.1 Enterprise

– PC01 tạo account u1 với password là P@ssword ,

– PC01 tạo folder ThucTap trong ổ C:. Trong thư mục ThucTap tạo 2 folder DuLieu và BiMat

– Trong các folder tạo file Abc.txt với nội dung tùy ý

– Trên 2 máy tắt Firewall, UAC, và kiểm tra đường truyền bằng lệnh Ping

B- THỰC HIỆN

1. Share một Folder (Thực hiện trên PC01)

– Chuột phải lên folder DULIEU chọn Share with -> Advanced sharing…

– Ở tab sharing -> Nhấn vào nút Advanced Sharing…

– Đánh dấu chọn vào ô Share this folder -> Click vào Permissions

– Check vào Allow Full Control -> OK -> OK -> OK

– Qua máy PC02, nhấn tổ hợp phím ÿ + R, gõ: \\PC01 -> OK.

– Hộp thoại yêu cầu chứng thực khi đăng nhập -> Điền vào u1/ P@ssword.

– Truy cập thành công thấy Folder DULIEU.

2. Share ẩn một folder (Thực hiện tại máy PC01)

– Chuột phải thư mục BIMAT -> Chọn Share with -> Advanced Sharing

– Ở tab sharing -> Nhấn vào nút Advanced Sharing…

– Đánh dấu chọn vào ô Share this folder. Ở mục Share Name, nhập vào BiMat$ -> Nhấn vào nút Permissions

– Check vào Allow Full Control -> OK -> OK -> Close

– Tại máy PC02 nhấn tổ hợp phím ÿ + R, gõ: \\PC01 -> OK -> Truy cập vào không thấy folder BIMAT.

– Tắt cửa sổ File Explorer -> Truy cập lại \\PC01\BIMAT$

– Truy cập vào thư mục BiMat thành công.

3. Map Network Drive

– Qua máy PC02 -> truy cập network access vào máy PC01.

– Hộp thoại yêu cầu chứng thực khi đăng nhập -> Điền vào Username và Password của U1-> OK.

– Tại màn hình truy cập, chuột phải lên folder DULIEU -> Chọn Map Network Drive…

– Để mặc định các options -> Nhấn Finish.

– Mở Computer kiểm tra đã có ổ đĩa mạng DuLieu (Z:)

– Mở CMD, gõ lệnh Net use Y: \\PC01\BIMAT$

– Kiểm tra trên PC02 mở Windows Explorer thấy xuất hiện ổ đĩa mạng Y:

4. Share 1 folder với nhiều tên (Thực hiện trên PC01)

– Chuột phải lên folder DULIEU -> Share with -> Chọn Advanced sharing…-> Advanced sharing -> Nhấn vào nút Add.

– Khung Share name nhập vào KeToan -> OK.

– Kiểm tra trong hộp thoại Advanced Sharing, phần Share name có 2 tên DuLieu và KeToan.

– Nhấn vào nút Permission -> Phân quyền lại với Everyone -> Full Control -> OK -> Close

– Máy PC02 truy cập server kiểm tra kết quả thấy có 2 folder được share với tên KeToan , DuLieu

5. Quản lý các Share Resources (Thực hiện trên máy PC01)

– Mở Server Manager -> chọn File and Storage Services

– Ở khung bên trái chọn Shares -> Quan sát bên tay phải: các dữ liệu hiện đang được chia sẻ trên máy tính.

6. Access Base Emulation

– Tạo Folder C:\Nhat Nghe

– Trong C:\Nhat Nghe tạo 2 thư mục : Kythuat và TroGiang

– Tạo User u2/ password: P@ssword

– Share Full thư mục C:\Nhat Nghe

– Phân quyền NTFS :

+ U1 có toàn quyền trên thư mục KyThuat, U2 không có quyền

+ U2 có toàn toàn quyền trên thư mục TroGiang, U1 không có quyền

– Mở Server Manager -> File and Storage Services -> Shares -> Chuột phải lên C:\NhatNghe -> Properties

– Chọn Settings -> đánh dấu chọn vào ô Enable access-based enumeration -> OK -> OK

– Kiểm tra : PC02 truy cập network Access vào PC01 bằng quyền U1: Truy cập thư mục Nhất Nghệ quan sát chỉ thấy thư mục Kythuat, không thấy thư mục TroGiang

– Tương tự PC02 truy cập network Access vào PC01 bằng quyền U2: Truy cập thư mục Nhất Nghệ quan sát thấy chỉ thấy thư mục TroGiang, không thấy thư mục KyThuat.

IV. NTFS

CÁC BƯỚC TRIỂN KHAI

1. Phân quyền thư mục bằng Standard Permission

2. Phân quyền thư mục bằng Special Permission

3. Take OwnerShip

4. Xét quyền khi di chuyển dữ liệu

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 1 máy sử dụng bản ghost Windows Server 2016

– Tạo cây thư mục như trong hình:

– Tạo 2 group: KeToan, NhanSu

– Tạo 2 user: KT1, KT2. Add 2 user này vào Group KeToan

– Tạo 2 user: NS1, NS2. Add 2 user này vào Group NhanSu

B- THỰC HIỆN

1. Phân quyền thư mục bằng Standard Permission

Phân quyền cho các group như sau:

– Trên thư mục Data: Group Ketoan và Nhansu có quyền Read

– Trên thư mục Chung: Group Ketoan và Nhansu có quyền Full

– Trên thư mục Ketoan:

+ Group Ketoan có quyền Full

+ Group Nhansu không có quyền

– Trên thư mục Nhansu:

+ Group Nhansu có quyền Full

+ Group Ketoan không có quyền

a. Phân quyền trên thư mục DATA

– Chuột phải lên thư mục DATA -> Chọn Properties -> Qua tab Security -> Nhấn nút Advanced

– Trong tab Permissions -> Chọn Disable Inheritance

– Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object -> OK

– Quay lại cửa sổ DATA Properties -> nhấn nút Edit.

– Cửa sổ Permissions for DATA -> nhấn nút Add

– Trong khung Enter the object names to select -> Gõ ketoan;nhansu -> Chọn Check Names

– Quan sát thấy KETOAN và NHANSU đã được gạch chân -> xác định group KETOAN và NHANSU có tồn tại -> OK

– Quan sát 2 group KETOAN và NHANSU -> có 3 quyền Allow: Read & excute, List folder contents, Read.

– Chọn Group Users -> Remove -> OK -> OK

– Kiểm tra :

+ Lần lượt log on vào máy bằng quyền KT1, NS1 -> Mở thư mục C:\DATA -> truy cập thành công

+ Tạo Folder bất kì -> xuất hiện báo lỗi không có quyền.

b. Phân quyền cho thư mục Chung

– Log on Administrator -> Chuột phải lên thư mục Chung, chọn Properties -> Tab Security -> Chọn Edit -> Lần lượt chọn từng group KeToan và NhanSu -> Cho quyền Allow Full Control -> OK -> OK.

– Kiểm tra:

+ Lần lượt log on vào bằng KT1 , NS1 -> truy cập vào thư mục Chung -> truy cập thành công

+ Tạo, xóa folder bất kì trong thư mục Chung -> thành công

c. Phân quyền cho thư mục KETOAN

– Chuột phải lên thư mục KETOAN -> Chọn Properties -> Qua tab Security -> Chọn Advanced

– Trong tab Permissions -> Chọn Disable Inheritance

– Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object -> OK

– Cửa sổ KETOAN Properties -> Chọn Edit

– Chọn group NHANSU -> Remove

– Chọn Group KETOAN -> Chọn Allow Full Control -> OK -> OK

Kiểm tra:

– Lần lượt log on vào bằng KT1 , NS1 -> truy cập vào thư mục KETOAN -> chỉ có KT1 truy cập thành công, còn NS1 không truy cập được.

– User KT1 tạo , xóa file, folder bất kì trong thư mục KETOAN -> thành công

d. Phân quyền cho thư mục NHANSU

– Chuột phải lên thư mục NHANSU -> Chọn Properties -> Qua tab Security -> Chọn Advanced

– Trong tab Permissions -> Chọn Disable Inheritance

– Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on this object -> OK

– Cửa sổ NHANSU Properties -> Chọn Edit

– Chọn group KETOAN -> Remove

– Chọn Group NHANSU -> Chọn Allow Full Control -> OK -> OK

– Kiểm tra:

+ Lần lượt log on vào bằng KT1, NS1 -> truy cập vào thư mục NHANSU -> chỉ có NS1 truy cập thành công, còn KT1 không truy cập được

+ User NS1 tạo , xóa file, folder bất kì trong thư mục NHANSU -> thành công

2. Phân quyền thư mục bằng Special Permission

Phân quyền theo yêu cầu: File do User nào tạo ra User đó mới xóa được

– Chuột phải lên thư mục KETOAN -> Chọn Properties -> Qua tab Security -> nhấn vào nút Advanced

– Trong tab Permissions -> chọn Group KETOAN -> chọn Edit

– Trong cửa sổ Permission Entry for KETOAN, nhấn vào liên kết Show advanced permissions.

– Ở mục Allow, tắt dấu chọn ở ô Delete subfolders and files và Delete -> Chọn OK 4 lần

– Kiểm tra :

+ Lần lượt log on bằng KT1 và KT2 -> truy cập vào thư mục KeToan

+ KT1 tạo file KT1.txt , KT2 tạo file KT2.txt

– Log on bằng KT1 -> xóa file KT2.txt -> báo lỗi không có quyền xóa . Xóa file KT1.txt -> thành công

– Log on bằng KT2 -> xóa file KT1.txt -> báo lỗi không có quyền xóa . Xóa file KT2.txt -> thành công

3. Take Owner Ship

– Log on KT1, truy cập vào folder KETOAN -> tạo folder KT1file

– Phân quyền NTFS trên thư mục KT1file. Chuột phải thư mục KT1File -> Chọn Properties -> Qua tab security -> Chọn Advanced -> Disable Inheritance

– Tab Security -> chọn Edit -> Remove tất cả các object, ngoại trừ KT1 (Full Control) -> nhấn OK 2 lần.

– Log on Administrator, truy cập vào folder KETOAN. Truy cập vào folder KT1file bị báo lỗi không thể truy cập -> Chuột phải lên folder KT1file, chọn Properties -> Qua tab Security, chọn Advanced

– Ở mục Owner, chọn Change.

– Nhập vào Administrator -> Check Names -> OK

– Đánh dấu chọn vào ô Replace owner on subcontainers and object -> Yes-> OK -> OK đóng các cửa sổ.

– Kiểm tra: Chuột phải vào folder KT1file, quan sát thấy Administrator đã có quyền Full Control

4. Xét quyền khi di chuyển data trên cùng Partition

a. Copy

– Trong ổ C tạo 1 folder tên là A

– Chuột phải lên C:\DATA chọn Copy -> Mở thư mục A -> chuột phải chọn Paste

– Kiểm tra quyền của thư mục C:\A\DATA -> các quyền NTFS bị thay đổi

b. Move

– Trong ổ C tạo 1 folder tên là B

– Chuột phải lên C:\DATA chọn Cut -> Mở thư mục B -> chuột phải chọn Paste

– Kiểm tra quyền của thư mục C:\A\DATA -> các quyền NTFS không bị thay đổi

* Nhận Xét :

– Khi di chuyển dữ liệu trong cùng partition -> quyền của data không bị thay đổi.

– Khi copy dữ liệu vào nơi khác cùng partition thì quyền của data vừa copy bị thay đổi phụ thuộc vào nơi đến.

III. LOCAL SECURITY POLICY

CÁC BƯỚC TRIỂN KHAI:

1. Password Policy

2. Account Lockout Policy

3. User Rights Assignment

4. Network Access

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy

* PC01: Windows Server 2016

* PC02: Windows Server 2016

– 2 máy tắt Firewall -> Kiểm tra đường truyền bằng lệnh PING

B- THỰC HIỆN

1. Password Policy (Thực hiện trên PC01)

– Log on Administrator -> Tạo user bằng password : 123 -> báo lỗi không thể tạo được do không thỏa yêu cầu về độ phức tạp của password

– Mở Server Manager, vào menu Tools -> Local Security Policy

– Mở Account Polices -> Password Policy. Quan sát cột bên phải

+ Enforce password history : Số password hệ thống lưu trữ (khuyên dùng: 24 )

+ Maximum password age : Thời gian sử dụng tối đa của 1 password (khuyên dùng: 42 )

+ Minimum password age : Thời gian sử dụng tối thiểu của 1 password (khuyên dùng: 1 )

+ Minimum password length : Độ dài tối thiểu của 1 password (khuyên dùng: 7 )

+ Password must meet complexity requirements: Yêu cầu password phức tạp (khuyên dùng: Enabled)

-> Chỉnh password policy :

– Password must meet complexity requirements -> Chọn Disabled

– Các password policy còn lại chỉnh giá trị về 0 -> OK

– Mở CMD -> gõ lệnh Gpupdate /Force

Kiểm tra :

– Tạo account U1 với password : 123 -> Tạo thành công

2. Account Lockout Policy

– Mở Local Security Policy. Truy cập theo đường dẫn Account Policies -> Account Lockout Policy

– Quan sát các policy bên phải

+ Account lockout duration: Thời gian account bị khóa

+ Account lockout threshold : Số lần nhập sai password trước khi account bị khóa

+ Reset account lockout counter after : thời gian chuyển bộ đếm về giá trị 0

– Điều chỉnh thông số các policy :

+ Account lokout threshold : 3

+ Account lockout duration : 30

+ Reset account lockout counter after : 30

– Kiểm tra: Đăng nhập sai password 3 lần -> không thể đăng nhập tiếp. Chờ sau 30 phút -> có thể đăng nhập lại.

3. User Rights Assignment

Yêu cầu:

+ Log on bằng quyền U1 -> shut down máy tính -> không được

+ Thay đổi ngày giờ hệ thống -> không được

– Log on Administrator -> Mở local security policy -> Local Policies -> User Rights Assignment -> cột bên phải : Quan sát 2 policy

– Change the system time : Cho phép user/group có quyền thay đổi ngày giờ hệ thống

– Shutdown the system : Cho phép user/group có quyền tắt máy

\

– Điều chỉnh thông số policy

+ Change the system time: Đưa group Users vào

+ Shutdown the system: Đưa group Users vào

– Kiểm tra : Log on U1 -> Shut down thử -> thành công. Thay đổi ngày giờ hệ thống -> thành công

4. Network Access

* Trường hợp 1: Classic

– Mở Local Security Policy -> Local Policy -> Security Options -> Double click Network access : Sharing and security model for local account. (Mặc định Windows Server chạy Classic).

a. Classic: 2 máy cùng password (Thực hiện trên cả 2 máy)

– Đổi password administrator là 123

– Thực hiện truy cập bằng URL từ Máy PC01 qua Máy PC02 và ngược lại

– Tại PC02 : Nhấn tổ hợp phím ÿ + R, gõ \\PC01 -> truy cập thành công mà không hỏi username và password

– Nhận xét : Khi truy cập vào PC02 nếu account dùng để log on trên Máy PC01 trùng user name và password với 1 account trên máy PC 02 , thì khi network access sẽ không bị hỏi username và password

b. Classic: 2 máy khác password (Thực hiện trên cả 2 máy)

– Đổi password administrator Máy PC01 thành 123 , password administrator Máy PC02 thành 456 -> Log on vào PC01 bằng account administrator

– Thực hiện truy cập bằng URL từ Máy PC01 qua Máy PC02 và ngược lại

– Tại PC01 : Nhấn tổ hợp phím ÿ + R, gõ \\PC02 -> Hiện thông báo đòi User name and password -> Khai báo username và password Máy PC02 -> OK -> Truy cập thành công qua PC02

* Trường hợp 2: Guest only (Thực hiện trên cả 2 máy)

– Máy PC02: Enabled user Guest.

– Mở Local Security Policy -> Local Policy -> Security Options -> Double click Network access: Sharing and security model for local account -> Guest only – local users authenticate as Guest.

– PC01 truy cập vào PC02: Không hỏi username, password. Mặc định chứng thực bằng account Guest.

– PC02 Disable account Guest. PC01 truy cập vào PC02 sẽ bị hỏi User name và password , tuy nhiên dù nhập account Administrator cũng không thể truy cập được vì chỉ có thể truy cập bằng bằng account Guest (Đã bị disable).

II. LOCAL POLICY

CÁC BƯỚC TRIỂN KHAI:

1. Cấu hình Local Policy

a. Điều chỉnh policy Computer Configuration

b. Điều chỉnh policy User Configuration

2. Cấu hình Local User Policy

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 1 máy Windows Server 2016

– Tạo user Teo, Password: P@s

B- THỰC HIỆN

1. Cấu hình Local Policy

a. Điều chỉnh policy Computer Configuration

– Log on vào máy bằng account Administrator. Nhấn phím ÿ, chọn biểu tượng Turn Off -> Shut down. Xuất hiện bảng Shutdown Event Tracker. Nhấn phím ÿ để quay lại màn hình Desktop

– Nhấn tổ hợp phím ÿ + R, gõ lệnh Gpedit.msc

– Lần lượt mở theo đường dẫn: Local Computer Policy -> Computer Configuration -> Administrative Templates -> System. Ở khung bên phải nhấn double click vào Display Shutdown Event Tracker. – Chọn Disabled -> OK

– Thử kiểm tra nhấn phím ÿ, chọn biểu tượng Turn Off -> Shut down -> Không thấy xuất hiện bảng Shutdown Event Tracker nữa.

b. Điều chỉnh policy User Configuration

– Mở Control Panel -> Truy cập thành công.

– Lần lượt mở theo đường dẫn: Local Computer Policy -> User Configuration -> Administrative Templates -> Control Panel. Ở khung bên phải, nhấn double click vào Prohibit access to Control Panel and PC Settings. – Chọn Enabled -> OK

– Kiểm tra: Truy cập vào Control Panel, xuất hiện thông báo lỗi chặn truy cập.
– Quay lại cửa sổ Local Group Policy Editor. Mở theo đường dẫn Local Computer Policy -> User Configuration -> Administrative Templates -> Desktop. Ở khung bên phải, nhấn double click Remove Recycle Bin icon from Desktop -> Enabled.
– Mở CMD, gõ lệnh Gpupdate /Force

– Kiểm tra: Log off và log on lại máy sẽ thấy mất biểu tượng Recycle Bin trên desktop.

– Quay lại cửa sổ Local Group Policy Editor. Mở theo đường dẫn Local Computer Policy -> User Configuration -> Administrative Templates -> System. Ở khung bên phải, nhấn double click vào Prevent access to the command prompt -> Enabled
– Truy cập thử vào CMD sẽ thấy bị báo lỗi.

– Sau khi thực hiện xong, trả các policy vừa thiết lập về mặc định như lúc đầu.

2. Cấu hình Local User Policy

– Nhấn tổ hợp phím ÿ + R, gõ lệnh MMC

– Cửa sổ Console 1, vào menu File -> Add/Remove Snap-in… hoặc nhấn tổ hợp phím Ctrl + M

– Ở khung Available snap-ins bên trái, chọn Group Policy Object Editor -> Add

– Nhấn Finish

– Tiếp tục vào menu File, chọn Add/Remove Snap-in… -> Group Policy Object Editor -> Add

– Nhấn nút Browse

– Qua tab Users -> chọn Non-Administrators -> OK
– Tương tự, vào menu File, chọn Add/Remove Snap-in… -> Group Policy Object Editor -> Add -> Browse -> Qua tab Users, chọn User Teo. Quan sát thấy có 3 policy vừa add ứng với từng đối tượng: Computer Policy, Non-Administrators Policy và Teo Policy

* TH1: Chỉnh Local Computer Policy xóa Recycle Bin trên Desktop

– Mở theo đường dẫn: Local Computer Policy -> User Configuration -> Administrative Templates -> Desktop. Ở khung bên phải, nhấn double click Remove Recycle Bin icon from Desktop -> Enabled.

– Kiểm tra: Log on User Teo, kiểm tra thấy biểu tượng Recycle Bin bị mất trên Desktop

* TH2: Chỉnh Non-Administrators Policy không xóa Recycle Bin trên Desktop

– Log on Administrator. Mở theo đường dẫn: Local Computer\Non-Administrators Policy -> User Configuration -> Administrative Templates -> Desktop. Ở khung bên phải, nhấn double click Remove Recycle Bin icon from Desktop -> Disabled.

– Kiểm tra: Log on User Teo, kiểm tra thấy biểu tượng Recycle Bin KHÔNG bị mất trên Desktop

* TH3: Chỉnh Teo Policy xóa Recycle Bin trên Desktop

– Log on Administrator. Mở theo đường dẫn: Local Computer\teo Policy -> User Configuration -> Administrative Templates -> Desktop. Ở khung bên phải, nhấn double click Remove Recycle Bin icon from Desktop -> Disabled

– Kiểm tra: Log on User Teo, kiểm tra thấy biểu tượng Recycle Bin bị mất trên Desktop

I. LOCAL USERS – LOCAL GROUPS

CÁC BƯỚC TRIỂN KHAI:

* Phần 1: Thực hiện trên Windows Server 2016

1. Tắt User Account Control (UAC)

2. Tạo Local User Account

3. Cấu hình Log on tự động bằng account định sẵn

4. Tạo local group account

5. Network access

* Phần 2: Thực hiện trên Windows 8

1. Tạo Local User và Group

2. Tham khảo các Option khi nhấn Ctrl + Alt + Del

3. Enabled Account Administrator

4. Tham khảo các Option của User Account

5. Cho máy tính tự động log on với account định sẵn

A- CHUẨN BỊ

Mô hình bài lab bao gồm 2 máy

– PC01: Windows Server 2016

– PC02: Windows Server 2016

– 2 máy tắt firewall. Kiểm tra bằng lệnh Ping giữa 2 máy

B- THỰC HIỆN

* Phần 1: Thực hiện trên Windows Server 2016

1. Tắt User Account Control (UAC)

– Nhấn tổ hợp phím ÿ + X -> chọn Control Panel hoặc nhấn phím P

– Ở mục View By -> chọn Small icons -> chọn User Accounts
– Nhấn vào mục Change User Account Control settings
– Cuộn thanh cuộn xuống cuối cùng Never Notify và nhấn OK. Sau đó khởi động lại máy để thay đổi có hiệu lực.

2. Tạo Local User Account

– Mở chương trình Local Users and Groups bằng cách nhấn tổ hợp phím ÿ + R -> gõ lệnh lusrmgr.msc

– Chuột phải vào mục Users -> chọn New User.	– Điền vào các thông tin sau: + Username : U1 + Password và Confirm password : P@ssword + Bỏ check User must change password at next logon Sau đó nhấn vào nút Create
– Tương tự tạo thêm user U2 với các thông số sau + Username : U2 + Password/Confirm password : P@ssword + Bỏ check User must change password at next logon
– Log on user U1. Truy cập vào thư mục C:\Users\U1, quan sát thấy profile của U1.
– Tiếp theo thử truy cập thư mục C:\Users\Administrator, sẽ thấy báo lỗi không có quyền truy cập vào profile của user khác -> Cancel.

3. Cấu hình Log on tự động bằng account định sẵn

– Log on bằng account Administrator, nhấn Ctrl + Alt + Del ->chọn Change Password. Đổi mật khẩu thành P@ssword456

– Nhấn tổ hợp phím ÿ + R, gõ lệnh Control UserPasswords2

– Ở mục Users for this computer -> chọn Administrator. Sau đó bỏ check ở ô Users must enter a user name and password to use this computer -> OK.

– Nhập vào mật khẩu của account Administrator: P@ssword456 -> OK.

– Kiểm tra : Khởi động lại máy. Máy tính tự động đăng nhập bằng account Administrator, không hỏi password

4. Tạo local group account

– Nhấn tổ hợp phím ÿ + R, gõ lệnh lusrmgr.msc

– Chuột phải vào Groups, chọn New Group
– Ở mục Group Name -> KETOAN -> Add	– Nhập vào u1 -> Check Names -> OK

– Quan sát thấy user u1 đã được thêm vào group KETOAN.

– Tương tự, tạo thêm Group NHANSU và thêm user u2 vào group này.

5. Network access

– Chuẩn bị :

+ Trên PC01 đổi password Administrator thành P@ssword123

+ Trên PC02 đổi password Administrator thành P@ssword456

+ PC01 log on bằng account Administrator

– Trên máy PC01, nhấn tổ hợp phím ÿ + R, gõ \\PC02

– Hộp thoại Windows Security, yêu cầu nhập username và password -> Khai báo account : Administrator /Password : P@ssword456. Sau đó nhấn OK.

– Kiểm tra truy cập thành công qua máy PC02.

– Tiếp theo tại máy PC01 và máy PC02, bạn tạo account U3 với password là P@ssword.

– PC01 log on bằng account U1. Sau đó bạn nhấn tổ hợp phím ÿ + R, gõ \\PC02. Truy cập vào PC02 thành công (không hiện bảng đòi username và password)

* Nhận xét:

– Khi PC01 truy cập vào PC02: nếu trên máy PC02 có user trùng username và password với user đang log on ở PC01 thì sẽ không bị hỏi username và password.

* Phần 2: Thực hiện trên Windows 8.1

Chuẩn bị: Ghost máy PC01 bản Windows 8.1

1. Tạo Local User và Group

– Mở File Explorer, chuột phải vào This PC -> chọn Manage

– Ở khung bên trái, bung mục Local Users and Groups -> chọn Users.
– Chuột phải vào Users -> New User
– Trong cửa sổ New User, khai báo các thông tin : + User name: u1 + Password: 123 + Confirm Password: 123 + Bỏ dấu check trước dòng “User must Change password at next logon”. chọn Create

– Log Off. Quan sát thấy đã có thêm user account mới trong phần log on.

– Tiếp theo chuột phải lên mục Groups -> chọn New Group

– Trong cửa sổ New Group, ở mục Group Name, bạn đặt tên group là: Boss -> Add – Nhập vào u1 -> Checks Name -> OK – Quan sát thấy user u1 đã được thêm vào group Boss -> Create.

2. Tham khảo các Option khi nhấn Ctrl + Alt + Del

– Nhấn tổ hợp phím Ctrl + Alt + Delete.

– Quan sát thấy các tùy chọn:

+ Lock: Khóa máy tính

+ Switch User: Chuyển qua môi trường làm việc của user khác mà không tắt session hiện tại

+ Sign out: Chuyển qua môi trường làm việc của user khác và tắt session hiện tại

+ Task Manager: Dùng để xem các thông số performance của máy tính

3. Enabled Account Administrator

– Mở File Explorer, chuột phải vào This PC -> chọn Manage

– Ở khung bên trái, bung mục Local Users and Groups -> chọn Users.

– Chuột phải lên account “Administrator”-> chọn Properties.	– Bỏ check “Account is disabled” -> OK.
– Log off và quan sát account Administrator đã xuất hiện trong phần log on.

4. Tham khảo các Option của User Account

+ User must change password at next logon : User phải đổi password trong lần log on đầu tiên

+ User cannot change password: User không có quyền đổi password

+ Password nerver expires: Password của user không bao giờ bị hết hạn

+ Account is disabled: Vô hiệu hóa Account

+ Account is locked out: Account tạm thời bị khóa

5. Cho máy tính tự động log on với account định sẵn

– Gõ tổ hợp phím: ÿ + R, nhập lệnh control userpasswords2	– Bỏ check “ Users must enter a username and paswword to use this computer” – Ở mục “Users for this computer”-> chọn Administrator
– Kiểm tra : Khởi động lại máy. Máy tính tự động đăng nhập bằng account Administrator, không hỏi password.