Local User & Group Chuẩn bị: - Máy Windows Server 2008 (chưa nâng cấp Domain): Server 1 NIC 1: 192.168.1.1/24 - Máy Windows XP: PC 1 NIC 1: 192.168.1.2/24 Mục tiêu bài LAB: - Tạo local user và group trên máy server1 - Mục tiêu cuối cùng: các user có thể đăng nhập vào máy serverThực Hiện: Bước 1(Tạo Local User):

Trên máy server1, vào Start chọn Run rồi gõ lusrmgr.msc để vào Local Users and Groups: Trong Local Users and Groups, Chuột phải vào Users chọn New User tạo 2 user u1, u2 với password là 123abc!!!: Tương tự đối với u2.

Bước 2(Đăng nhập user vừa tạo trên server1): Đăng nhập vào server1 bằng user u1: Trong user u1, có thể truy cập vào Profile của chính mình nhưng không thể truy cập vào Profile của user khác:

Bước 3(Tạo Local Group và add user vào Group đó):Trên máy server1, vào Start chọn Run rồi gõ lusrmgr.msc để vào Local Users and Groups: Trong Local Users and Groups, Chuột phải vào Groups chọn New Group tạo 2 group ketoan, nhansu rồi chọn Add để thêm u1 vào group ketoan và u2 vào group nhansu:

Bước 4(cấu hình cho phép user u1 tự động đăng nhập vào server1 khi khởi động): Trên máy server1, vào Start chọn Run rồi gõ Control UserPasswords2 để vào Users Accounts: Trong Users Accounts, bỏ check ở phần Users must enter a user name and password to use this computer rồi chọn Apply: Sau đó, nhập tên user và password muốn đăng nhập tự động vào server1: Chọn OK->OK, sau đó Restart máy để kiểm tra kết quả.

Local Policy Chuẩn bị:

- Máy Windows Server 2008 (chưa nâng cấp Domain): Server 1 NIC 1: 192.168.1.1/24 - Máy Windows XP: PC 1 NIC 1: 192.168.1.2/24

Mục tiêu bài LAB: - Tạo local policy trên máy server1 để áp dụng lên từng đối tượng khác nhau - Mục tiêu

cuối cùng: áp dụng được các chính sách cho các đối tượng khác nhau Lưu ý: Khi thực hiện trên máy ảo VM-ware, các card mạng sẽ thiết lập ở chế độ HOST

ONLY, Nên tắt tính năng Windows Firewall trên các máy Server và PC.

Thực Hiện: Bước 1(Tạo Group Policy Console cho u2, Administrator, Non-Administrator):

Trên máy server1, vào Start chọn Run rồi gõ MMC để vào Console1-[Console Root]: Trong Console1-[Console Root], chọn File -> Add/Remove Snap-ins Trong Add/Remove Snap-ins, chọn Group Policy Object rồi chọn Add: Trong Select Group Policy Object, chọn Browse: Trong Browse for a Group Policy Object rồi sang tab Users để chọn user u2: Trở lại Select Group Policy Object, chọn Finish: Thực hiện tương tự để cho group Administrators và Non-Administrators. Sau khi tạo xong u2, Administrators và Non-Administrators, ta sẽ vào File rồi chọn Save để lưu lại Console này

Bước 2(Tạo Group Policy để tắt Shutdown Event Tracker trên server1 cho Administrators):

Chọn Start->Run rồi gõ gpedit.msc để vào Local Group Policy Editor: Trong Local Group Policy Editor, chọn Computer Comfiguration -> Administrative Templates->System rồi chọn Dislay Shutdown Event Tracker: Trong Dislay Shutdown Event Tracker Properties, check vào Disabled: Để update group policy vừa cấu hình, ta vào Start->Run gõ cmd. Sau đó gõ lệnh gpupdate /force: Test thành công Group Policy vừa tạo:

Bước 3(Tạo Group Policy không cho group Non-Administrators truy cập Control Panel): Trên máy server1, mở lại Group Policy Console đã tạo khi nãy rồi chọn Non-Administrators Policy: Trong Non-Administrators Policy, chọn User Configuration -> Administrative Templates-> Control Panel rồi chọn Prohibit access to the Control Panel: Trong Prohibit access to the Control Panel Properties, chọn Enabled: Để update group policy vừa cấu hình, ta vào Start->Run gõ cmd. Sau đó gõ lệnh gpupdate /force: Test Group Policy vừa tạo bằng cách đăng nhập vào u1 và u3 để kiểm tra sẽ không thấy Control Panel:

Bước 4(cấu hinh group policy không hiển thị Recycle Bin khi user u2 đăng nhập server1): Trên máy server1, mở lại Group Policy Console đã tạo khi nãy rồi chọn u2 Policy: Trong u2 Policy, chọn User Configuration -> Administrative Templates-> Desktop rồi chọn Remove Recycle Bin icon from desktop: Trong Remove Recycle Bin icon from desktop properties, chọn Enabled: Để update group policy vừa cấu hình, ta vào Start->Run gõ cmd. Sau đó gõ lệnh gpupdate /force: Test Group Policy vừa tạo bằng cách đăng nhập vào u2 để kiểm tra sẽ không thấy icon Recycle Bin:

Local Security Policy Chuẩn bị:

- Máy Windows Server 2008 (chưa nâng cấp Domain): Server 1 NIC 1: 192.168.1.1/24 - Máy Windows XP: PC 1 NIC 1: 192.168.1.2/24

Mục tiêu bài LAB: Tạo local security policy trên máy server1 để áp dụng chính sách cho các user –Mục tiêu cuối cùng: áp dụng được các chính sách an ninh cho các user Lưu ý:

Khi thực hiện trên máy ảo VM-ware, các card mạng sẽ thiết lập ở chế độ HOST ONLY, Nên tắt tính năng Windows Firewall trên các máy Server và PC.

Thực Hiện: Bước 1(Cho phép tạo user với password đơn giản):

Trên máy server1, vào Start chọn Run rồi gõ lusrmgr.msc để vào Local Users and Groups: Trong Local Users and Groups, Tạo mới user u1 với password đơn giản là 123 sẽ bị báo lỗi là password không đủ độ phức tạp: Trên máy server1, vào Start chọn Run rồi gõ secpol.msc để vào Local Security Policy: Trong Local Security Policy, chọn Account Policies->Password Policy-> Password must meet complexity requirements: Trong Password must meet complexity requirements Properties, chọn Disabled. Sau đó Apply rồi OK: Để update security policy vừa cấu hình, ta vào Start->Run gõ gpupdate /force rồi Enter. Test security policy vừa tạo bằng cách tạo lại user u1 với password đơn giản là 123:

Bước 2(Tạo 1 Security Policy khóa 1 user nếu đăng nhập vào server1 sai 3 lần): Trên máy server1, vào Start chọn Run rồi gõ secpol.msc để vào Local Security Policy: Trong Local Security Policy, chọn Account Policies->Account Lockout Policy, tiếp theo ta sẽ cấu hình 3 mục là:Account lockout duration, Account lockout threshold và Reset account lockout counter after: 1. Trong Account lockout threshold Properties(cấu hình số lần đăng nhập sai của

user để khóa user đó), gõ số 3 vào phần Account will lock out after:

2. Trong Account lockout duration Properties(quy định thời gian khóa user đăng nhập sai 3 lần), gõ số phút mà bạn muốn khóa user vào phần Account is locked out for:

3. Trong Reset account lockout counter after(quy định thời gian reset user đã bị khóa do đăng nhập sai 3 lần), gõ số phút mà bạn muốn reset user bị khóa vào phần Reset account lock out counter after:

Để update security policy vừa cấu hình, ta vào Start->Run gõ gpupdate /force rồi Enter. Test security policy vừa tạo bằng cách đăng nhập 1 user sai quá 3 lần và đây là thông báo lỗi của user u1: Trong Local Users and Groups của Administrator, ta sẽ thấy user u1 bị lock out:

Bước 3(Tạo Security Policy cho phép tất cả các user đều có quyền tắt máy): Đầu tiên, ta đăng nhập user u1 sẽ không thấy quyền tắt máy: Trên máy server1, vào Start chọn Run rồi gõ secpol.msc để vào Local Security Policy: Trong Local Security Policy, chọn Local Policies->User Rights Assignment->Shutdown the system: Trong Shutdown the system Properties, chọn Add User or Group và ở ô Enter the object names to select ta gõ Everyone rồi OK-> OK Để update security policy vừa cấu hình, ta vào Start->Run gõ gpupdate /force rồi Enter. Test security policy vừa tạo bằng cách đăng nhập vào 1 user bất kì để kiểm tra quyền tắt máy:

Share Permission Chuẩn bị:

- Máy Windows Server 2008 (chưa nâng cấp Domain): Server 1 NIC 1: 192.168.1.1/24 - Máy Windows XP: PC 1 NIC 1: 192.168.1.2/24

Mục tiêu bài LAB: - Cấu hình share các thư mục có phân quyền truy cập, share thư mục với nhiều tên

và cấu hình access-based anumeration trên máy server1. Sau đó, kiểm tra shared folders trên máy PC1 và tạo ổ đĩa mạng bằng Command Line cho PC1

- Mục tiêu cuối cùng: Cấu hình các vấn để về shared folder và tạo ổ đĩa mạng bằng CMD

Lưu ý: Khi thực hiện trên máy ảo VM-ware, các card mạng sẽ thiết lập ở chế độ HOST

ONLY, Nên tắt tính năng Windows Firewall trên các máy Server và PC. Thực Hiện: Bước 1(Share Permission SRV: Cấu hình shared folders trên máy server1):

Trên máy server1, vào Start chọn Run rồi gõ lusrmgr.msc để vào Local Users and Groups: Trong Local Users and Groups, tạo 2 user u1, u2 /123abc!!!: Trên máy server1, vào ổ đĩa C tạo thư mục thuctap (2 thư mục con: dulieu, bimat): Tạo dữ liệu bất kì cho 2 thư mục dulieu, bimat. Trên máy server1, kiểm tra trạng thái của Firewall bằng cách: vào Start-> Run sau đó gõ firewall.cpl: Firewall đã được tắt trên máy server1: Trên máy server1, chia sẻ thư mục dulieu đã tạo: Trong dulieu Properties, chọn Advanced Sharing. Trong Advanced Sharing, check vào share this folder rồi chọn Permissions. Trong Permissions for dulieu, chọn share full control:

Trên máy server1, tiếp tục chia sẻ ẩn thư mục bimat đã tạo: Trong bimat Properties, chọn Advanced Sharing. Trong Advanced Sharing, ở phần Share name ta thêm dấu $ để share ẩn folder này, check vào share this folder rồi chọn Permissions. Trong Permissions for bimat, chọn share full control: Trên máy server1, chia sẻ thư mục dulieu đã tạo với nhiều tên: Trong dulieu Properties, chọn Advanced Sharing. Trong Advanced Sharing, ở phần Share name ta chọn add để thêm 1 share name là ketoan cho thư mục dulieu rồi chọn Permission để cấu hình phân quyền cho thư mục ketoan:

Trên máy server1, kiểm tra các share resource bằng Share and Storage Management:

Trên máy server1, tạo thêm thư mục ATHENA(có 2 thư mục con: kythuat, trogiang): Trên máy server1, share thư mục ATHENA vừa tạo với full control: Tiếp theo trên máy server1, share thư mục kythuat có phân quyền(u1 có toàn quyền, u2 ko có quyền): Trong kythuat Properties, ta phân quyền cho thư mục kythuat bằng cách sang tab Security rồi chọn Advanced:

Trong Advanced Security Settings for kythuat, chọn Edit, tiếp theo trong Advanced Security Settings for kythuat bỏ check ở Include inheritable permissions from this object’s parent(kế thừa quyền từ thư mục cha) rồi chọn Copy ở Windows Security: Trở lại kythuat Properties, trong tab Security chọn Edit:

Trong Permission for kythuat, xóa Users(SERVER1\Users) rồi thêm u1 vào và chọn Full Control cho user u1:

Sau đó, vào tab Sharing để chọn Advanced Sharing rồi check vào Share this folder để share thư mục. Tiếp theo trên máy server1, share thư mục trogiang có phân quyền(u2 có toàn quyền, u1 ko có quyền): Trong trogiang Properties, ta phân quyền cho thư mục trogiang bằng cách sang tab Security rồi chọn Advanced:

Trong Advanced Security Settings for trogiang, chọn Edit, tiếp theo trong Advanced Security Settings for trogiang bỏ check ở Include inheritable permissions from this object’s parent(kế thừa quyền từ thư mục cha) rồi chọn Copy ở Windows Security: Trở lại trogiang Properties, trong tab Security chọn Edit: Trong Permission for trogiang, xóa Users(SERVER1\Users) rồi thêm u2 vào và chọn Full Control cho user u2:

Sau đó, vào tab Sharing để chọn Advanced Sharing rồi check vào Share this folder để share thư mục. Trên máy server1, Enable access-based enumeration cho thư mục ATHENA:

Bước 2(Share Permission Client: kiểm tra shared folders trên máy PC1):

Trên máy PC1, vào Start->Run gõ \\192.168.1.1: Gõ user u1/123abc!!! vào cửa sổ Connect to Server1 để kiểm tra các thư mục shared:

Trong thư mục dulieu, thấy file txt được tạo sẵn: Trong thư mục ATHENA(có 2 thư mục con) nhưng ta chỉ thấy 1 thư mục kythuat (do đã kích hoạt tính năng access-based enumeration trên thư mục ATHENA)

Domain Chuẩn bị: - Máy Windows Server 2008 (chưa nâng cấp Domain): Server 1 NIC 1: 192.168.1.1/24 - Máy Windows XP: PC 1 NIC 1: 192.168.1.2/24 Mô hình: Mục tiêu bài LAB: - Cài Domain Controller trên máy server1 và tiến hành join PC1 vào domain và đăng nhập Domain Administrator để sử dụng Administrative Tools cho máy PC1. - Mục tiêu cuối cùng: cài đặt Domain Controller và join PC1 vào domain thành công. Lưu ý: Khi thực hiện trên máy ảo VM-ware, các card mạng sẽ thiết lập ở chế độ HOST ONLY, Nên tắt tính năng Windows Firewall trên các máy Server và PC.

Thực Hiện: Bước 1(cài đặt Domain Controller trên máy server1):

Trên máy server1, cấu hình Preferred DNS server trên card mạng trỏ về máy server1(192.168.1.1): Vào Start -> Run gõ dcpromo để nâng cấp Domain Controller cho máy server1:

Trong cửa sổ Welcome to the Active Directory Domain Services Installation Wizard, ta để mặc định rồi chọn Next: Trong cửa sổ Operating System Compatibility, ta để mặc định rồi chọn Next:

Trong cửa sổ Choose a Deloyment Configuration, ta chọn Create a new domain in a new forest rồi chọn Next: Trong cửa sổ Name the Forest Root Domain, trong phần FQDN of the forest root domain, ta gõ tên domain muốn đặt cho domain mới rồi chọn Next:

Trong cửa sổ Set Forest Functional Level, tùy theo hệ thống của bạn đang sử dụng thế hệ windows server nào mà ta chọn cho phù hợp ở phần Forest functional level rồi chọn Next: Trong cửa sổ Additional Domain Controller Options, ta chọn Next. Sau đó trong phần Active Directory Domain Services Installation Wizard, ta chọn Yes:

Trong cửa sổ Location for Database, log Files, and SYSVOL, ta chọn Next để tiếp tục quá trình cài đặt: Trong cửa sổ Directory Services Restore Mode Administrator Password, ta gõ password muốn sử dụng để quản trị domain này vào ô Password & Confirm password rồi chọn Next:

Trong cửa sổ Summary, ta chọn Next: Sau đó, ta check vào tùy chọn Reboot on completion để hệ thống tự động restart sau khi hoàn thành quá trình nâng cấp Domain Controller:

Bước 2(cấu hình Default Policy để cho phép tạo user với password đơn giản): Trong máy server1, vào Start -> Run và gõ dsa.msc để truy cập vào Active Directory Users and Computers: Trong Active Directory Users and Computers, chuột phải vào Users chọn New -> User. Trong New Object - User, ta gõ tên user là u1:

Trong New Object - User, ta gõ password là 123 và bỏ check ở User must change password at next logon: Trong New Object – User, ta chọn Finish để kết thúc và sẽ nhận được 1 thông báo lỗi do password không đủ độ phức tạp:

Để thay đổi Default Policy, trên máy server1 ta vào Start -> Administrative Tools -> Group Policy Management: Trong Group Policy Management, ta chọn Forest: athena.edu.vn -> Domain -> athena.edu.vn. Sau đó chuột phải vào Default Domain Policy và chọn Edit:

Trong Group Policy Management Editor, ta chọn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Password Policy. Trong Password Policy, ta cấu hình Enforce password history, Maximum password age, Minimum password age, Minimum password length =0 và trong Password must meet complexity requirement, ta chọn Disabled để cho phép tạo user có password đơn giản: Để update chỉnh sửa policy vừa cấu hình, ta vào Start -> Run và gõ CMD. Trong CMD, ta gõ gpupdate /force: Vào Start -> Run và gõ dsa.msc để truy cập vào Active Directory Users and Computers:

Trong Active Directory Users and Computers, chuột phải vào Users chọn New -> User. Trong New Object - User, ta gõ tên user là u1: Trong New Object - User, ta gõ password là 123 và bỏ check ở User must change password at next logon:

T rong New Object – User, ta chọn Finish và user u1 được tạo thành công: Bước 3(cấu hình Default Domain Controller Policy để cho phép user bình thường có thể đăng nhập vào local):

Trên máy server1, đăng nhập bằng user u1/123:

Đăng nhập bị báo lỗi do theo mặc định user bình thường không thể log on local: Trên máy server1, vào Start -> Administrative Tools -> Group Policy Management. Trong Group Policy Management, ta chọn Forest: athena.edu.vn -> Domain -> athena.edu.vn. Sau đó vào Domain Controllers rồi chuột phải vào Default Domain Policy và chọn Edit:

Trong Group Policy Management Editor, ta chọn Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment:

Trong Allow log on locally Properties, thêm nhóm users vào danh sách cho phép đăng nhập local: Để update chỉnh sửa policy vừa cấu hình, ta vào Start -> Run và gõ CMD. Trong CMD, ta gõ gpupdate /force:

Và user u1 đã đăng nhập thành công vào máy server1: Bước 4(Join domain cho máy client PC1):

Trên máy PC1, cấu hình Preferred DNS server trên card mạng trỏ về máy server1(192.168.1.1):

Join domain cho máy client PC1 bằng cách chuột phải vào My Computer chọn Properties. Trong System Properties ta sang tab Computer Name rồi chọn change. Trong Computer Name Changes, ta check vào ô Domain rồi gõ athena.edu.vn và chọn OK. Trong Computer Name Changes, ta gõ username/password để cho phép PC1 join domain:

Và PC1 đã join domain thành công.