QUẢN TRỊ WINDOWS 2000 SERVER
Bài 1:Giới thiệu chung
I.Giới thiệu về Active Directory:
Có thể so sánh Active Directory với LanManager trong WinNT 4.0.Về căn bản
Active Directory là 1 cơ sở dữ liệu của 1 tài nguyên trên mạng cũng như các hệ thống liên
quan đến các đối tượng đó.Tuy vậy đây không phải là 1 khái niệm mới bởi Novell đã sử
dụng dịch vụ thư mục(directory service) trong nhiều năm rồi.
II.Domain:
1 khái niệm không thay đổi từ WinNT 4.0 là Domain.1 domain vẫn là trung tâm của 1
mạng trong Windows 2000,tuy nhiên lại được thiết lập khác đi.Các DC(domain Controller)
không còn phân biệt PDC hay BDC .Bây giờ chỉ còn là DC.Theo mặc định tất cả các máy
khi mới cài Windows 2000 server đều là server độc lập(standalone
server).DCPROMO.EXE chính là Active Directory Installation Wizard và được dùng
để thăng cấp 1 máy không phải là DC thành DC.
III.Nâng cấp máy server bình thường thành DC:
Bước 1:Chọn mneu Start/Run gõ DCPROMO rồi Enter.
Bước 2:Hộp thoại Active Directory Installation Wizard xuất hiện.Nhấn Next để tiếp
tục.
Bước 3:Trong hộp thoại Domain Controller Type,chọn mục Domain Controller for a
new Domain và nhấn chọn Next.Nếu bạn muốn bổ sung máy điều khiển vùng vào 1
domain có sẵn ,bạn chọn Additional domain controller for an existing domain.
Bước 4:Trong hộp thoại Create Tree or Child Domain,chọn Create a new domain
tree để tạo 1 cây domain mới.Nếu trên hệ thống mạng đã có sẵn Active Directory và bạn
muốn tạo domain con của cây domain sẵn có ,chọn Create a new child domain in an
axisting domain tree.
Bước 5:Trong hộp thoại Create or Join Forest,chọn Create a new forest of domain
tree,chọn next.Nếu bạn có sẵn Active Directory và bạn muốn đưa cây domain vào rừng
sẵn có,bạn sẽ chọn Place this new domain tree in an existing forest.
Bước 6:Trong hộp thoại New domain name,bạn có thể điền tên nào cũng được.Ví dụ
như:manguon.edu.vn(trường hợp đối với mạng cục bộ LAN);và nếu máy chủ của bạn đăng
kí với nhà cung câp thì bạn sẽ lấy tên do bạn đăng kí.Sau đó nhấn Next.

conferencing…Muốn sử
dụng dịch vụ này thì phải
cài đặt.
Domain
IUSR_computer_name Là tài khoản đặc biệt được
dùng trong các truy nhập
dấu tên trong dịch vụ IIS.
Local và Domain
IWAM_computer_name Là tài khoản dùng cho IIS
khởi động các tiến trình của
các ứng dụng trên máy có
IIS.
Local và Domain
Krbtgt Là tài khoản đặc biệt được
dùng cho dịch vụ trung tâm
phân phối khoá(Key
Distribution Center)
Domain
TSinternetUser Là tài khoản dùng cho
Terminal services
Domain
Tài khoản nhóm cài sẵn:
Tên nhóm Mô tả Môi trường
Account Operators Thành viên của nhóm này
có thể tạo tài khoản
nhóm,tài khoản người dùng
nhưng chỉ có thể quản lí
những gì do nó tạo ra.
Domain
Administrators Nhóm này thì có toàn

Server Operators Thành viên nhóm này có
thể quản trị các server vùng
Domain
Users Nhóm này cũng có quyền
rất hạn chế.
Local và Domain
Cert Publishers Thành viên nhóm này có
thể quản lí các chứng thực
của các công ty
Global
DHCP Administrators Nhóm này có quyền quản lí
các dịch vụ DHCP
Domain
DHCP Users Nhóm này có quyền sử
dụng dịch vụ DHCP
Domain
DNSAdmins Nhóm này có các quyền
quản lí các dịch vụ DNS
Domain
DNSUpdateProxy Nhóm này có quyền cho
phép các máy trạm dns
được gửi yêu cầu dns thay
cho các máy trạm khác
Domain
Domain Computers Nhóm này chứa tất cả các
máy trạm và máy server
như là 1 phần của vùng
Global
Domain Controllers Nhóm này chứa tất cả các
máy điều khiển vùng của

Internet Name Services)
Domain
*Tổ chúc tài khoản người dùng và nhóm(Đối với máy chưa nâng cấp thành DC)
Cách tạo tài khoản người dùng và nhóm:Start/Settings/Controlpanel/Administrative
Tools/Computer Management.Trong mục Local Users and Groups nhấp chuột phải chọn
New User hay new Group thì tuỳ bạn chọn.
Khi tạo tài khoản người dùng mới,có 4 mục:
-User Must change Password At Next Logon:Người dùng phải thay đổi password ngay
lần đăng nhập đầu tiên.
-User Cannot Change Password:Ngừoi dùng không tự thay đổi được mật khẩu.
-Password Nerver Expires:Tài khoản này sẽ không hết hạn.
-Account is Disabled:Tài khoản tạm thời bị khoá.
Nếu ta muốn người dùng nào gia nhập 1 nhóm thì trong Local users and groups chọn
Group rồi add tên người dùng vào nhóm mà mình muốn.
Bài 3:Active Directory
Ở bài 1 khi nâng cấp lên DC,có người sẽ hỏi nâng cấp lên làm gì?
Ta nâng cấp lên DC để có thể quản lí 1 cách chi tiết hơn các tài khoản nhóm và người
dùng.
Chú ý:Khi ta nâng cấp lên DC thì Local Users and Groups sẽ bị đánh dấu
chéo(Không sử sdụng được nữa). Để có thể add User hay Group thì ta sử dụng Active
Directory Users and Computers.Khi cửa sổ Active Directory Users and Computers xuất
hiện,chọn Users.Sau đó nhấp chuột phải chọn new ….(tuỳ bạn ).
Ở phần First name,Last name,Full name thì tuỳ.Nhưng ở phần User Logon
name thì bạn phải nhớ để mà đăng nhập cục bộ.Sau đó cũng có 4 mục giống như trên.
Muốn xem thuộc tính người dùng thì click chuột phải chọn Properties.Trong
tab hộp thoại bạn sẽ thấy rất chi tiết thông tin về người dùng. Ở tab Account ta sẽ thấy tên
Logon và cho phép ta cấu hình các phần sau:
-Quy định giờ logon
-Quy định máy trạm mà người dùng có thể sử dụng để vào mạng
-Quy định các chính sách tài khoản người cho người dùng.

QUẢN LÍ TÀI KHOẢN THÔNG QUA COMMAND LINE
Chức năng tạo thêm,hiệu chỉnh và hiển thị thông tin của các tài khoản người dùng:
Cú pháp:
-net user username password /domain.
Chức năng tạo thêm nhóm tài khoản:
Cú pháp:
-net group groupname /domain.
Chúc năng tạo thêm nhóm cục bộ.
-net localgroup groupname /domain.
Bài 4:Chính sách và phương pháp bảo mật
I.Chính sách tài khoản người dùng:
Chính sách tài khoản người dùng(Account Policies) được dùng để chỉ định các thông số
về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra.Nó cho phép bạn
cấu hình các thông số bảo mật máy tính cho mật mã,khoá tài khoản và chứng thực
Kerberos trong vùng.Nếu trên Windows 2000 thành viên thì bạn sẽ thấy 2 mục Password
Policy và Account Lockout Policy,trên máy Windows 2000 Server làm DC(Domain