SERVER DỰ PHÒNG 2003
Tài liệu quản trị mạng Server 2003 như chi tiết cách cài đặt, tạo thêm 1 Server đồng
hành để phòng hờ trường hợp Server chính bị trục trặc, tạo domain, gia nhập máy
con vào domain, remote destop conection {từ máy con truy xuất dữ liệu vào máy
server}, cài đặt thông số ADSL router vào máy server, tắt 1 máy con đang hoạt động
ngay tức thời.
- Nếu gia tăng thêm số lượng máy con vào domain thì gắn thêm Switch như thế nào
để đảm bảo truyền dữ liệu và truy cập internet được tốt nhất
- Số lượng máy bao nhiêu thì nên dùng đường truyền ADSL với tốc độ như thế nào
(ví dụ khoảng 50 máy, 70 máy, hơn 100 máy).
Với câu hỏi trên, chúng tôi sẽ trả lời lần lượt như sau:
Chi tiết cách cài đặt domain và cài đặt thông số ADSL router vào máy server:
Trước tiên bạn phải Cài đặt Windows Server 2003
Tiến hành các bước sau trên Computer sẽ đóng vai trò Domain Controller
1. Đưa đĩa CD cài đặt vào CD-ROM, khởi động lại Computer. Cho phép boot từ đĩa CD
2. Chương trình Windows setup bằt đầu load những Files phục vụ cho việc cài đặt. Nhấn
Enter khi mà hình Welcome to Setup xuất hiện
3. Đọc những điều khoản về License trên Windows Licensing Agreement, sau đó nhấn F8
để đồng ý với các điều khoản quy định của MS
4. Trên Windows Server 2003, xuất hiện màn hình tạo các phân vùng Partition trên đĩa
cứng, trước hết tạo Partition dùng cho việc cài đặt Hệ Điều hành. Nhấn ENTER.
5. Trên Windows Server 2003, chọn Format the partition using the NTFS file system Nhấn
ENTER.
6. Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, sẽ chờ ít phút cho
tiến trình này hoàn tất
7. Computer sẽ tự Restart khi tiến trình copy File vào đĩa cứng hoàn tất
8. Computer sẽ restart lại và boot giao diện đồ họa. Click Next trên trang Regional and
Language Options
9. Trên trang Personalize Your Software, điền Tên và Tổ chức của Bạn
Ví dụ: Name: Server 2003
Organization: Quan Tri Mang
tài khoản Administrator trong quá trình Setup.
23. Xuất hiện đầu tiên trên màn hình là trang Manage Your Server, bạn nên check vào
"Don't display this page at logon checkbox" và đóng cửa sổ Window lại.
Bước kế tiếp là quá trình cài đặt và cấu hình DNS trước khi chạy tiện ích dcpromo
Bước kế tiếp là cài đặt Domain Naming System (DNS) server trên chính server này. Điều
này là cần thiết vì Active Directory Service hoạt động trên Domain Controller, kiểm soát
toàn Domain yêu cầu phải có DNS server service phục vụ cho nhu cầu truy vấn tên như
hostname, đăng kí các record (A, PTR, SRV records v.v..). Chúng ta sẽ cài DNS server và
sau đó sẽ nâng vai trò Computer này lên thành một Domain Controller, và DNS server này
sẽ phục vụ truy vấn cho toàn Domain.
Tiến hành các bước sau để cài đặt DNS server
1. Click Start, Control Panel. Click Add or Remove Programs.
2. Trong Add or Remove Programs, click Add/Remove Windows Components
3. Trong Windows Components, xem qua danh sách Components và click Networking
Services entry > Click Details.
4. Check vào Domain Name System (DNS) checkbox và click OK.
5. Click Next trong Windows Components.
6. Click Finish trên Completing the Windows Components Wizard.
7. Đóng Add or Remove Programs
DNS server đã được cài đặt, Admin cần đưa vào DNS Server các thông số cụ thể phục vụ
cho hoạt động truy vấn tên, cụ thể là sẽ tạo ra hai vùng Forward và Reverse lookup zones.
Tiến hành các bước sau để cấu hình DNS server:
1. Click Start và sau đó click Administrative Tools > Chọn DNS.
2. Trong bảng làm việc của DNS (DNS console), mở rộng server name (Server2003 ), sau
đó click trên Reverse Lookup Zones. Right click Reverse Lookup Zones và chọn New Zone.
3. Kích Next trên Welcome to the New Zone Wizard.
4. Trên Zone Type , chọn Primary zone option và click Next.
5. Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter 10.0.0 vào text
box > Click Next.
6. Chấp nhận chọn lựa mặc định trên Zone File page, và click Next.
Giờ đây Computer này đã sẵn sàng để nâng vai trò lên Thành một Domain controller trong
Domain quantrimang.com
Tiến hành các bước sau để tạo Domain và nâng server này thành Domain Controller
đầu tiên của Domain
Cài đặt First Domain Controller
1. Click Start và click Run .
2. Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK.
3. Click Next trên Welcome to the Active Directory Installation Wizard page.
4. Click Next trên Operating System Compatibility page.
5. Trên Domain Controller Type page, chọn Domain controller for a new domain option và
click Next.
6. Trên Create New Domain page, chọn Domain in a new forest option và click Next.
7. Trên New Domain Name page, điền tên đầy đủ của Domain (Full DNS name)
quantrimang.com text box và click Next.
8. Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support cho các
Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi các Client này
muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định Trong ví dụ này là
tuoitre. Click Next.
9. Chấp nhận các xác lập mặc định trên Database and Log Folders page và click Next.
10. Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và click Next.
11. Trên DNS Registration Diagnostics page, chọn I will correct the problem later by
configuring DNS manually (Advanced). Click Next.
12. Trên Permissions page, chọn Permissions compatible only with Windows 2000 or
Windows Server 2003 operating system option. Click Next.
13. Trên Directory Services Restore Mode Administrator Password page (chế độ phục hồi
cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chế độ
troubleshoot này bằng cách Restart Computer, chọn F8), điền vào Restore Mode Password
và sau đó Confirm password. (Các Admin không nên nhầm lẫn Password ở chế độ này với
Domain Administrator Password, điều khiển hoạt động của DCs hoặc Domain). Click
Next.
5. Trên Domain Controller Type page, chọn Additional Domain controller for an existing
domain option và click Next.
6. Nhập user administrator và password sau đo trong text box domain nhập
quantrimang.com
8. Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support cho các
Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi các Client này
muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định Trong ví dụ này là
tuoitre. Click Next.
9. Chấp nhận các xác lập mặc định trên Database and Log Folders page và click Next.
10. Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và click Next.
11. Trên DNS Registration Diagnostics page, chọn I will correct the problem later by
configuring DNS manually (Advanced). Click Next.
12. Trên Permissions page, chọn Permissions compatible only with Windows 2000 or
Windows Server 2003 operating system option. Click Next.
13. Trên Directory Services Restore Mode Administrator Password page (chế độ phục hồi
cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chế độ
troubleshoot này bằng cách Restart Computer, chọn F8), điền vào Restore Mode Password
và sau đó Confirm password. (Các Admin không nên nhầm lẫn Password ở chế độ này với
Domain Administrator Password, điều khiển hoạt động của DCs hoặc Domain). Click
Next.
14. Trên Summary page, click Next.
15. Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active
16. Click Finish trên Completing the Active Directory Installation Wizard page, hoàn thành
việc cài đặt.
17. Click Restart Now trên Active Directory Installation Wizard page.
18. Log-on vào Domain Controller dùng tài khoản Administrator.
Gia nhập máy con vào domain
1. Mở Active Directory User and Computer sau đó tạo các domain user tương ứng
2. Logon vào máy con, và thực thi tương tự như quá trình Tạo thêm 1 Server đồng hành để
phòng hờ trường hợp Server chính bị trục trặc.
liệu của domain như các đối tượng user, computer, group … cung cấp những dịch vụ
(directory services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng
thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các
user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào domain và có thể truy cập tất
cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.
Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản
lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực hiện được
trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một
cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho
toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý
trong một môi trường rộng lớn.
Những Thành Phần Chính Của Hệ Thống Active Directory
User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số tài khoản
built-in được tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ thống, backup
operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống mà
không cần những quyền hạn hợp lệ đôi với những dữ liệu này. Tuy nhiên để các nhân viên
trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào domain thì người
quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng. Các user sẽ
dùng những tài khoản được cấp bởi administrator để log-in và domain. Và truy cập dữ liệu
trên file server hay các dịch vụ khác..
Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ các nhân
viên của một phòng ban sale có quyền truy cập lên folder sales trên file server hoặc chúng
ta muốn các nhân viên của công ty đều có quyền in đối với laser printer, chúng ta nên tạo
group printing và gán quyền in trên laser printer sau đó add tất cả các nhân viên của công
ty vào group printing này thay vì gán quyền in cho từng user riêng lẽ sẽ không hiệu quả
(các bạn cần chú ý sử dụng group Domain User cho những thao tác chung, mặc định tất cả
các user được tạo ra đều thuộc group này).
OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì chúng ta khảo
sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng ban, bộ phận. Dựa trên
kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí như phòng ban Sales
Controller của mình.
Để thực hiện bài Lab này, cần có các máy tính với cấu hình TCP/IP như hình dưới đây,
trong đó DC1 là Primay Domain Controller với hệ thống Backup (Secondary Domain
Controller) là DC2 tất cả đều sử dụng Windows Server 2003. Client1 có thể dùng
Windows XP hoặc Windows 2000.
Hệ Thống Domain Controler Và Địa Chỉ IP (Click vào ảnh để phóng to)
1- Tiến hành cài đặt tự động Active Directory trên DC1 theo phương pháp Unattend
Để thăng cấp một Windows Server 2003 Standalone lên thành Domain Controller chúng ta
sử dụng lệnh dcpromo và sau đó cung cấp đầy đủ tên domain, vai trò và vị trí cài
đặt..Trong phần này các bạn hãy log-in vào DC1 bằng tài khỏan Administrator và tạo tập
tin như đưới đây, hãy thay tên domain security365 bằng tên domain của bạn cũng như các
thông tin về Password hay SafeModeAdminPassword tương ứng , các bạn có thể chọn cài
cùng lúc DNS bằng cách xác định AutoConfigDNS = Yes, nếu muốn hệ thống reboot lại
sau khi cài đặt hãy đặt giá trị RebootOnSuccess = Yes
[DCInstall]
RebootOnSuccess = No
DatabasePath = %SYSTEMROOT%\NTDS
LogPath = %SYSTEMROOT%\NTDS
SysVolPath = %SYSTEMROOT%\Sysvol
UserName = administrator
Password = Password
ReplicaorNewDomain = Domain
TreeOrChild = Tree
CreateOrJoin = Create
NewDomainDNSName = security365.org
DNSOnNetwork = No
DomainNetBiosName = SECURITY365
AllowAnonymousAccess = No
AutoConfigDNS = Yes
SiteName = Default-First-Site-Name
- last name là vinh
- tên upn là [email protected]
- để tài khỏan có thể sử dụng được ngay hãy đặt –disable no
dsadd user “CN=vinhndt,OU=Sales,OU=CA,DC=security365,DC=com ” –upn
[email protected] –fn nguyen tran duy –ln vinh –pwd 123qwe!@# –disabled
no
3.Tạo Group với dsadd group:
Các user trong mỗi phòng ban thường có những đặc tínhchung như quyền hạn truy cập vào
tài nguyên chia sẽ của bộ phận, khả năng sử dụng máy in…Vì vậy hãy tạo ra các nhóm
người dùng (Group) sau đó add những user vào. Chúng ta có thể thực hiện điều này với
dòng lệnh dsadd group. Ví dụ sau đây sẽ tạo một gourp có tênlà Consultants (CN) trong
OU Marketing của domain Security365.Com, group type là security và group scope là
global.
Dsadd group “CN=Consultants,OU=Marketing,OU=CA,DC=security36 5,DC=com”
–secgrp yes –scope g
Ghi Chú: Có hai lọai group trong active directory là security và distribution. Hầu hết các
group chúng ta tạo ra và sử dụng đề thuộc lọai security goup. Distribution group chỉ được
dùng cho quá trình họat động của các ứng dụng như Exchange Server, và các bạn không
thê gán quyền truy cập đối với lọai group này. Ngòai ra các group đươc chia làm 3 lọai
group scope là Global, Universal và Local. Với Local Group các thành viên chỉ có thể truy
cập những tài nguyên trên domain nội bộ. Khi hệ thống có nhiều domain, để user có thể
truy cập tà nguyên ở các domain khác thì chúng phải là thành viên của Global hay
Universal Group.
4.Add User vào Group Với Dsmod:
Để Add User Nguyen Tran Cat Vinh là thành viên của group Consultant trong OU
Marketing (là OU con của CA) cho domain Security365.Com ta sử dụng lệnh sau :
Dsmod group “CN=Consultants,OU=Marketing,OU=CA,DC=security36 5,DC=com”
–
addmbr “CN=vinhntc,OU=Marketing,OU=CA,DC=security365,DC =com”
Trong những trường hợp quản trị từ xa hay cần tạo ra nhiều đối tượng cùng lúc cho hệ
Administrator, Password của domain và chọn Next:
Tiếp theo chương trình sẽ hỏi tên của domain mà DC2 sẽ làm secondary domain controller
(trong ô additional domain controller). Tên này sẽ tự hiển thị nếu như DC2 là thành viên
của Domain. Nếu các bạn tiến hành thăng cấp không qua bước join DC2 vô domain thì
phải nhập tên Domain đầy đủ như security365.com. Một điều cần lưu ý là phải cấu hình
địa chỉ DNS cho domain trong phần Prefered DNS, vì đa số các sự cố và lỗi khi thăng cấp
một secondary domain controller cũng như trong qua trình họat động của Active Directory
đều liên quan đến việc cấu hình địa chỉ DNS server không chính xác làm cho quá trình
phân giải tên các máy chủ và các dịch vụ không tiến hành được.
Sau đó hãy chấp nhận giá trị mặc định về vị trí cài đặt, lưu trữ database của active
directory cũng như sysvol folder. Nếu muốn thay đổi các thông số này sau khi cài đặt hãy
dùng công cụ NTDSUTIL.
Cuối cùng một bảng tóm tắt các thông tin của secondary domain controller hiển thị, hãy
kiểm tar lại và nhấn Next để tiến trình cài đặt diễn ra, sau khi hòan tất hãy restart lại hệ
thống DC2.
Như vậy chúng ta đã xây dựng xong hệ thống active directory cho domain security365.com
với một primary và một secondary domain controler, lúc này các máy tính client trên hệ
thống có thể join domain với những tài khỏan hợp lệ để thực hiện công việc của mình.
Triển khai hệ thống IPSec/VPN trên Windows Server 2003
Nhu cầu truy cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu hay sử dụng ứng
dụng ngày càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo mật và an
toàn thông tin nên các công ty ngại "mở" hệ thống mạng nội bộ của mình để cho phép nhân
viên truy cập từ xa. Bài viết này trình bày giải pháp truy cập từ xa VPN trên Windows
Server 2003 có cơ chế mã hóa dựa trên giao thức IPSec nhằm đảm bảo an toàn thông tin.
VPN
VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp
ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ
xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa
trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép các
máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet
Như chúng ta biết, để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền
thông với nhau, chúng phải sử dụng cùng một giao thức (giống như ngôn ngữ giao tiếp
trong thế giới con người) và giao thức phổ biến hiện nay là TCP/IP.
Khi truyền các gói tin, chúng ta cần phải áp dụng
các cơ chế mã hóa và chứng thực để bảo mật. Có nhiều giải pháp để thực hiện việc này,
trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP tỏ ra hiệu quả và tiết kiệm
chi phí trong quá trình triển khai.
Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một hoặc cả hai
giao thức bảo mật sau:
- AH (Authentication Header): header của gói tin được mã hóa và bảo vệ phòng chống các
trường hợp "ip spoofing" hay "man in the midle attack", tuy nhiên trong trường hợp này
phần nội dung thông tin chính không được bảo vệ
- ESP (Encapsulating Security Payload): Nội dung thông tin được mã hóa, ngăn chặn các
trường hợp hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong quá trình truyền.
Phương thức này rất hay được áp dụng, nhưng nếu muốn bảo vệ luôn cả phần header của
gói tin thì phải kết hợp cả 2 giao thức AH và ESP.
IPSec/VPN trên Windows Server 2003
Chúng ta tham khảo tình huống thực tế của công ty Green Lizard Books, một công ty
chuyên xuất bản và phân phối văn hoá phẩm. Nhằm đẩy mạnh hiệu quả kinh doanh, bộ
phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể
truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với
máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm
như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để
nâng cao độ an toàn của dữ liệu.
Green Lizard Books cần có một đường truyền ADSL với địa chỉ IP tĩnh phục vụ cho quá
trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN
Client) sẽ kết nối đến VPN Server để gia nhập hệ thống mạng riêng ảo của công ty và được
cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty.
Chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN Sever (đặt tên là SRV-1), có 1
card mạng kết nối với hệ thống mạng nội bộ (IP: 192.168.1.1) và một card ADSL (IP tĩnh,
người dùng lớn hơn, có thể phải cần đến giải pháp VPN phần cứng.
TUNNELING
Tunneling là kỹ thuật sử dụng một hệ thống mạng trung gian (thường là mạng Internet) để
truyền dữ liệu từ mạng máy tính này đến một mạng máy tính khác nhưng vẫn duy trì được
tính riêng tư và toàn vẹn dữ liệu. Dữ liệu truyền sau khi được chia nhỏ thành những frame
hay packet (gói tin) theo các giao thức truyền thông sẽ được bọc thêm 1 lớp header chứa
những thông tin định tuyến giúp các packet có thể truyền qua các hệ thống mạng trung gian
theo những đường riêng (tunnel). Khi packet được truyền đến đích, chúng được tách lớp
header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối tunnel,
máy client và server phải sử dụng chung một giao thức (tunnel protocol).
- PPTP (Point-to-Point Tunneling Protocol): PPTP có thể sử dụng cho Remote Access hay
Site-to-Site VPN. Những thuận lợi khi áp dụng PPTP cho VPN là không yêu cầu certificate
cho quá trình chứng thực và client có thể đặt phía sau NAT Router.
- L2TP (Layer 2 Tunneling Protocol): L2TP là sự kết hợp của PPTP và Layer 2 Forwading
(L2F, giao thức được phát triển bởi Cisco System). So với PPTP thì L2TP có nhiều đặc
tính mạnh và an toàn hơn.
Trên hệ thống Microsoft, L2TP được kết hợp với IPSec Encapsulating Security Payload
(ESP) cho quá trình mã hóa dữ liệu, gọi là L2TP/IPSec. Sự kết hợp này không chỉ cho
phép chứng thực đối với người dùng PPTP mà còn cho phép chứng thực đối với các máy
tính thông qua các chứng chỉ, nâng cao hơn độ an toàn của dữ liệu khi truyền, và quá trình
tunnel có thể diễn ra trên nhiều hệ thống mạng khác nhau. Tuy nhiên trong môi trường
L2TP/IPSec các VPN Client không thể đặt phía sau NAT Router. Trong trường hợp này
chúng ta cần phải có VPN Server và VPN Client hỗ trợ IPSec NAT-T.
Sử dụng bảo mật sẵn có trong Windows Server 2003
Đây là một trong số các bài hướng dẫn từng bước đơn giản dễ hiểu của phần trợ giúp
Microsoft cung cấp cho người dùng. Bài này mô tả cách thức áp dụng các mẫu bảo mật
được định nghĩa sẵn trong Windows Server 2003 như thế nào. Microsoft Windows Server
2003 cung cấp một số mẫu bảo mật giúp bạn tăng cường mức an toàn cho mạng của mình.
Bạn có thể chỉnh sửa chúng cho phù hợp với yêu cầu riêng bằng cách dùng thành phần
Security Templates trong Microsoft Management Console (MMC).
• Bảo mật (Secure*.inf)
Mẫu Secure định nghĩa các thiết lập bảo mật nâng cao ít nhất ảnh hưởng tới độ
tương thích của chương trình. Ví dụ như định nghĩa mật khẩu, chế độ lockout và
các thiết lập kiểm toán mạnh hơn. Thêm vào đó, các khuôn mẫu này còn giới hạn
việc sử dụng chương trình quản lý mạng cục bộ LAN Manager và các giao thức
thẩm định NTLM bằng cách cấu hình client chỉ gửi phần trả lời NTLMv2 và cấu
hình server từ chối trả lời LAN Manager.
Có hai kiểu mô hình bảo mật dựng sẵn trong Windows Server 2003: Securews.inf
cho các trạm làm việc và Securedc.inf bộ điều khiển tên miền. Để biết thêm thông
tin về cách dùng các mẫu mô hình này và một số mẫu bảo mật khác, bạn có thể tìm
kiếm trong phần trợ giúp Help and Support Center của Microsoft với từ khoá
"predefined security templates" (các mẫu bảo mật định nghĩa sẵn).
• Bảo mật cao (hisec*.inf)
Highly Secure mô tả chi tiết các giới hạn bổ sung chưa được định nghĩa trong
Secure, chẳng hạn như mức mã hoá và ký hiệu cần thiết cho việc thẩm định và trao
đổi dữ liệu qua kênh bảo mật, giữa client và server Server Message Block (SMB).
• Bảo mật thư mục gốc hệ thống (Rootsec.inf)
Mẫu này đặc tả các quyền của thư mục gốc (root). Mặc định, Rootsec.inf định
nghĩa quyền hạn cho file gốc của ổ hệ thống. Bạn có thể dùng mô hình này để áp
dụng lại các đặc quyền thư mục gốc nếu chúng bị thay đổi ngẫu nhiên. Hoặc bạn có
thể chỉnh sửa mô hình mẫu này để áp dụng các quyền hạn gốc giống nhau cho
nhiều bộ khác. Mẫu này không ghi đè các quyền tường minh được định nghĩa ở các
đối tượng con; nó chỉ sao chép các quyền đã được thừa kế ở các đối tượng con đó.
• Mẫu không có SID cho người dùng Server Terminal (Notssid.inf)
Bạn có thể áp dụng mẫu này để loại bỏ bộ định dạng bảo mật (SID) Windows
Terminal Server khỏi hệ thống file và các vị trí thanh ghi khi dịch vụ đích
(Terminal Services) không chạy. Sau khi bạn thực hiện điều này, bảo mật hệ thống
sẽ không được cải thiện đầy đủ một cách cần thiết.
Để biết thêm thông tin chi tiết về tất cả mô hình mẫu định nghĩa sẵn trong Windows Server
2003, bạn có thể tìm kiếm trong phần trợ giúp Help and Support Center của Microsoft
Copyright: Tài liệu đại học ©