Tổng quan về quản trị mạng trên Windows 2000 Server

rình Administrator Tools, ta có công cụ console tên là Computer Management. Với công cụ này ta có thể tạo ra và quản lý các share tại chỗ hoặc ở xa. Nếu định tạo ra một share tại chỗ thì đây là công cụ ta cần. Nếu tạo ra một share ở xa ta phải kết nối với server đó. Ta nhắp phải hình tượng Computer Management (Local) rồi chọn Connect to Another Computer. Từ đây ta có thể gõ tên một server mà ta muốn quản lý, hoặc rà duyệt trên mạng để tìm tới một server mà ta cần. Để bắt đầu với việc quản lý share, ta cần tìm đến Computer Management (Local)\ System\ Shared Folder\ Share (như hình minh hoạ 6.I.2.1). Hình 6.I.2.1_Các share trong console Computer Management. Bây giờ ta nhắp menu Action, hoặc nhắp phải của sổ Shares rồi chọn New File Share. Một khung thoại mới kiểu như wizard sẽ chào đón ta như hình dưới đây : Hình 6.I.2.2_Việc đưa thông tin về folder muốn chia sẻ vào khung thoại Create Shared Folder. Trong khung thoại đó ta nhập tất cả những thành phần thiết yếu của một share. Trước hết ta chọn folder mà ta muốn chia sẻ (khung Folder to share). Ta nhập tên mà ta muốn gán cho share này, cùng một đoạn mô tả ngắn rồi nhắp Next. Trong khung kế tiếp ta được cho bốn mục chọn để qui định các quyền truy cập (hình dưới). All users have full control : cho phép mọi người dùng khai thác tối đa khả năng truy cập tập tin và folder trong share này. Administrator have full control; other users have read-only access : đây là mục không cho phép người dùng có thể sửa đổi hoặc xoá bỏ những gì bên trong share, nhưng vẫn cấp cho những người quản trị những quyền hạn thích hợp để quản lý dữ liệu trong đó. Hình 6.I.2.3_Kiểm soát việc truy cập vào máy trong khung thoại Create Shared Folder. Administrator have full control; other users have no access : để kiểm soát sự an toàn dữ liệu của mạng. Customize share and folder permissions : cho phép ta qui định những quyền hạn truy cập dựa theo người dùng và nhóm cụ thể. II. Quản lý các quyền truy cập. Khi chúng ta đã chia sẻ tài nguyên của mình cho những người dùng trên mạng thì công việc kế tiếp là tìm cách bảo vệ chúng chặt chẽ. Có nhiều cách để siết chặt kiểm soát việc truy cập server và các tài nguyên của chúng ta. Có hai cách hiệu quả nhất là : * Quyền truy cập ở cấp share (share permission). Mỗi share mà ta tạo ra đều có những quyền truy cập được ấn định cho nó. Tại share đó các share permission được qui định sao cho người chỉ có thể đọc được chứ không thể ghi hoặc xoá bất cứ thứ gì. Chúng ta cũng cần qui định các share permission sao cho chúng không được có tính hạn chế hơn so với những tập tin và folder ít hạn chế ở bên trong share đó. Chúng ta cũng nên tạo các share sao cho mọi người đều có quyền truy cập vào đó, như vậy sẽ đơn giản hoá việc quản lý share đó và cho phép chúng ta kiểm soát được việc truy cập thông qua các tập tin và thư mục. Những kiểu quyền truy cập ở cấp share là : Permission Mức độ truy cập Full Control Nhóm được trao quyền truy cập này có thể thực hiện tất cả mọi công việc trên tất cả các tập tin và folder trong share đang xét. Change Nhóm được trao quyền truy cập này có thể đọc và thi hành, cũng như thay đổi hoặc xoá các tập tin và folder trong share đang xét. Read Nhóm được trao quyền truy cập này có thể đọc và thi hành các tập tin và folder, nhưng không có khả năng sửa đổi hoặc xoá bỏ bất cứ thứ gì trong share đang xét. * Quyền truy cập ở cấp thư mục và tập tin. Trước đây, kỹ thuật nối mạng chỉ sử dụng các permission ở cấp share thôi. Sau đó với sự ra đời của Windows NT, chúng ta có thể tạo ra một share cho tất cả mọi người dùng, rồi sửa đổi quyền truy cập cho riêng từng người hay cho nhóm thông qua các file và directory permission tức những permission có thể trao trực tiếp cho các tập tin và folder. Với tính năng mới này đã xuất hiện một số tuỳ biến vô hạn đối với việc bảo mật dữ liệu mạng. Đối với các thư mục và tập tin có hai mức permission khác nhau đó là các permission ở mức cao và các sub-permission_quyền truy cập con, ở mức thấp hơn hợp thành các permission ở mức cao hơn. Để tiện khảo sát chúng ta có thể phân chia các mức permission khác nhau đó như sau : các permission làm việc ở các mức tạm gọi là mức nguyên tử (atomic level) nghĩa là chúng chúng là những thành phần permission nhỏ nhất có thể. Mức cao hơn chúng ta có thể có những kiểu kết hợp khác nhau của các permission nguyên tử kia. Chúng ta gọi những kiểu kết hợp của những permission nguyên tử là các permission ở mức phân tử (molecular level).(Xem phụ lục bảng 4). III. Hệ thống tập tin phân tán (DFS_Distributed File System). Trong thế giới của Windows NT, chúng ta đã có một dịch vụ cho phép chúng ta đặt các tập tin và folder ở một server rồi để cho chúng được sao chép đến những server khác gọi là Directory Replication. Với Windows 2000 Server, không còn Directory Replication nữa mà thay vào đó chúng ta có Hệ thống phân tán tập tin_Distributed File System viết tắt là DFS. Hệ thống này giống như Directory Replication, nghĩa là ta có thể để cho một bộ dữ liệu được sao chép từ một server gốc ra các server con. Ngoài ra DFS còn có những tính năng mới nữa đó là : tính chịu lỗi_fault tolerance, khả năng cân đối tải_load balancing và khả năng đơn giản hoá các mối nối kết máy khách, điều này sẽ khiến cho DFS thực sự có ích đối với mạng. IV. Web Sharing. Chia sẻ dùng chung trên Web (Web Sharing) là một tính năng mới khác của Windows 2000 Server. Nó cho phép ta chia sẻ các folder một cách trực tiếp để dùng thông qua các yêu cầu HTTP từ các trình duyệt Web gửi đến. Tuy nhiên để làm được yêu cầu này chúng ta phải đang chạy Internet Information Service_IIS. Sau đây là cách chúng ta tạo thư mục Web dùng chung : Trong cửa sổ Windows Explorer của ta, chúng ta nhắp phải folder mà chúng ta muốn chia sẻ trên mạng rồi chọn Sharing, ở phía trên cùng của khung thoại đặc tính folder, ta sẽ thấy có một trang Web Sharing. Hình 6.IV.1_Trang đặc tính Web Sharing của một folder. Chọn trang đó sẽ cho phép ta qui định cách thức chia sẻ folder này ra. ở phía trên cùng của trang Web Sharing là khung thả xuống Share on. Trong khung này có liệt kê các Web site khác nhau, vốn đã được tạo thông qua Internet Services Manager. Ta chọn Web site nào mà ta muốn đưa folder này vào, nếu không trong mọi trường hợp hầu hết thường là Web site mặc định : Default Web Site. Tiếp theo ta chọn radio button Share this folder, khung thoại Edit Alias sẽ hiện ra để ta ấn định bí danh_alias cho folder đó khi được truy cập Web cũng như các quyền truy cập đối với nó, như hình sau: Hình 6.IV.2_Khung thoại Edit Alias. Trong phần Access permissions, chúng ta sẽ chọn những permission nào mà ta muốn những khách hàng Web phải có để truy cập được dữ liệu trong share này. Ta có thể chọn một sự kết hợp bất kỳ nào của Read, Write, Script source access_cho phép máy khách thi hành các kịch bản đăng nhập thông qua share này, Directory browsing_cho phép khách hàng xem được các danh sách folder mà không cần phải vào một tên tập tin hợp lệ để xem. Trong phần Application permissions cho phép ta chọn các mức quyền truy cập đối với ứng dụng mà người truy cập này qua Web sẽ có. Có thể chọn None_không được thi hành gì cả, Script_chỉ thi hành các kịch bản, Execute_thi hành luôn các tập tin khả thi. Sau khi chọn xong nhắp OK ta sẽ được trả về trang Web với các bí danh đuợc hiển thị như hình dưới đây. Hình 6.IV.3_Bí danh Web của folder này đã được ấn định. Ta có thể đưa thêm các bí danh khác cho folder này bằng cách nhắp nút Add hoặc gỡ bỏ những bí danh không muốn bằng cách chọn bí danh đó rồi nhắp nút Remove. Ta có thể chỉnh sửa đặc tính của một bí danh bằng cách nhắp nút Edit Properties…Sau đó nhắp OK, các bí danh sẽ được đăng ký cho Web site của server đã chọn, và sẵn sàng cho người dùng duyệt. Chương 7_Quản trị dịch vụ in ấn trong Win2K In ấn là một phần quan trọng trong môi trường mạng, việc dùng chung máy in chỉ là một phần nhỏ. Trong một văn phòng lớn, không cần thiết phải cung cấp cho mỗi người dùng một máy in cá nhân. Thay vào đó người ta nối một máy in đến một print server (máy phục vụ in ấn) và chia sẻ nó từ đó để phục vụ cho nhiều người dùng, dùng chung một máy in duy nhất. Tất nhiên khi nhiều người dùng, dùng chung một thiết bị in ấn duy nhất thiết bị đó trở nên cực kỳ quan trọng. Win2K sẽ giúp ta thực hiện những công việc sau đây : Tạo một printer ( máy in luận lý ) tại chỗ mới hoặc nối kết vào một printer đã được thiết lập sẵn trên mạng hoặc Internet. ấn định những thiết định của printer đó để giúp để giúp cho người dùng mạng tìm ra và giải quyết trục trặc các ấn vụ (print job) của họ. Bảo vệ printer đó sao cho chỉ những người dùng phải sử dụng nó mới được quyền truy cập nó. Tăng tốc độ in ấn trên mạng bằng cách tạo ra nhiều printer trông giống như nhau. Nối kết với một printer của mạng từ nhiều hệ điều hành máy trạm khác nhau. Giải quyết các vấn đề trục trặc in ấn trên mạng. I. Mô hình in ấn của Win2K. Những thành phần quan trọng nhất của mô hình in ấn trong Win2K là : Bộ phận giao tiếp thiết bị đồ hoạ_Graphics Device Interface, viết tắt là GDI. Bộ phận này có chức năng khởi đầu quá trình sản sinh ra những dữ liệu xuất nhìn thấy được (visual output), bất luận dữ liệu xuất đó đưa ra màn hình hay đưa ra máy in. Để sản sinh ra dữ liệu xuất đưa ra màn hình GDI phải cần sự trợ giúp của trình điều khiển hiển thị (video driver), còn nếu để sản sinh dữ liệu xuất ra máy in GDI sẽ cần đến sự trợ giúp của trình điều khiển máy in (printer driver) vốn cung cấp những thông tin về thiết bị in ấn cần thiết và kiểu dữ liệu được dùng. Trình điều khiển máy in_printer driver là những phần mềm cho phép hệ điều hành liên lạc trao đổi thông tin với một printer. Các printer driver Win2K được cấu thành từ ba trình điều khiển con (sub-driver), vốn làm việc kết hợp với nhau như một bộ phận duy nhất đó là : Printer graphics driver_trình điều khiển đồ hoạ của printer : có chức năng diễn dịch các lệnh GDI ra thành các lệnh của Bộ phận giao tiếp của trình điều khiển thiết bị_Device Driver Interface viết tắt là DDI, để chúng có thể gửi đến máy in. Printer interface driver_trình điều khiển giao tiếp của printer : có vai trò làm trung gian cho characterization data file, cung cấp những thông tin mà ta thấy trong khung thoại đặc tính của một printer. Characterization data file_tập tin dữ liệu mô tả đặc điểm : có chức năng cung cấp những thông tin về hãng chế tạo (manufacturer) và kiểu (model) của một thiết bị in ấn cụ thể, kể cả những khả năng cụ thể của nó. Bộ tập kết in_printer spooler là một tập hợp các thư viện liên kết động và trình điều khiển thiết bị, có chức năng nhận, xử lý, lập lịch biểu, và phân phối các ấn vụ. Nó thực hiện bằng dịch vụ tập kết in vốn bắt buộc phải có thì mới in ấn được và nó bao gồm các thành phần sau đây: Bộ tiếp vận in_printer router, đóng vai trò như các trạm truyền nhận yêu cầu in giữa máy khách và printer server. Bộ cung cấp in tại chỗ_local printer provider. Bộ cung cấp in ở xa_remote print provider. Các bộ xử lý in_print processor, làm việc kết hợp với trình điều khiển máy in để giải kết_de-spool các tập tin tập kết trong khi đọc chúng, thực hiện những thay đổi cần thiết đối với tập tin tập kết căn cứ theo kiểu dữ liệu_data type của nó. Bộ giám sát in_print monitor, là một mắt xích quan trọng cuối cùng trong chuỗi quá trình đưa một ấn vụ từ ứng dụng máy khách ra thiết bị in ấn. Nó bao gồm hai thành phần sau : bộ giám sát ngôn ngữ được tạo ra khi ta cài đặt một printer, có tác dụng khi thiết bị in ấn là loại liên lạc hai chiều, và bộ giám sát cổng có tác dụng là chuyển giao ấn vụ đến thiết bị in ấn hoặc đến một printer server. Nó kiểm soát dòng thông tin đi đến cổng I/O mà thiết bị in được kết nối vào. Quá trình in : được thực hiện theo những thứ tự sau là : Người dùng chọn in từ một ứng dụng, làm cho ứng dụng đó gọi đến GDI. Đến lượt nó, GDI gọi đến printer server có liên kết với thiết bị in đích. Bằng cách dùng những thông tin tài liệu từ ứng dụng và thông tin máy in từ printer driver, GDI sẽ diễn dịch ấn vụ đó. Kế đó, ấn vụ được chuyển đến bộ tập kết in. Thành phần phía máy khách của bộ tập kết in thực hiện một cuộc gọi thủ tục từ xa đến thành phần phía server của nó, sau đó thành phần này lại gọi đến bộ tiếp vận in của server. Bộ tiếp vận in chuyển ấn vụ đó đến bộ cung cấp in tại chỗ, vốn làm công việc tập kết ấn vụ đó lên đĩa. Bộ cung cấp in tại chỗ sẽ hỏi ý kiến các bộ xử lý in, chuyển ấn vụ đó đến bộ xử lý nào có nhận biết printer được chọn. Căn cứ vào kiểu dữ liệu được dùng trong tập tin tập kết, mọi thay đổi cần thiết nếu có sẽ được thực hiện đối với tập tin ấy để làm cho nó trở nên khả ấn_printable trên thiết bị in đã chọn. Nếu cần, bộ xử lý trang phân tách (separator page processor) sẽ thêm vào ấn vụ đó một trang phân tách. ấn vụ đó được giải kết sang bộ giám sát in. ấn vụ đó đến được thiết bị in và được in ra. II. Cài đặt một printer trên một printer server. Hình 7.II.1_Trước hết, chúng ta hãy chỉ rõ là printer cần thiết lập được nối vào máy tại chỗ hay là trên mạng. Ta vào menu Start / Settings. Mở folder Printer ra, nhắp biểu tượng Add Printer. Trong màn hình Add Printer Wizard ta nhắp Next để chuyển đến màn hình 7.II.1 sau, ta chọn mục mặc định Local printer rồi nhắp Next. Nếu đang dùng một printer PnP, ta có thể yêu cầu Win2K nhận diện nó bằng cách nhắp vào ô Automatically detect my printer. Nếu chúng ta thiết lập printer sao cho nó gửi dữ liệu xuất ra một tập tin, ta cần cho Add Printer Wizard biết printer ấy được nối vào cổng nào hình 7.II.2. Nếu không thấy cổng nối ta cần được liệt kê ở đó, có thể do ta định thiết lập phần mềm yểm trợ cho một máy in có giao tiếp mạng, ta nhắp nút Create a New Port rồi chọn Standard TCP / IP Port từ danh sách kéo xuống. Chỉ định cổng xong, ta nhắp Next. Kế đó ta chọn driver cần thiết cho printer cụ thể của ta. Nếu ta có một bộ driver mới từ đĩa ta nhắp nút Have Disk rồi chỉ đường dẫn tới driver đó. Nếu máy được kết nối vào Internet ta nhắp nút Window Update để tự động tải xuống một driver. Sau đó nhắp Next. Hình 7.II.2_Chọn cổng cho một printer từ danh sách này. Sau khi chọn xong driver, Add Printer Wizard sẽ yêu cầu ta đặt tên cho printer đang dùng, mặc định là tên kiểu của máy in (model). Nhắp Next để tiếp tục. Hình 7.II.3_Chọn một tên cho printer đang cài đặt. Hình 7.II.4_Chỉ các máy khách mới hiển thị thông tin mô tả mà ta nhập vào ở đây. Kế đó, nếu định chia sẻ dùng chung printer đó, ta chọn một tên share cho nó. Sau đó ta nhắp Next, ở đó có tất cả máy khách khác đều hiển thị những thông tin mà ta đăng nhập vào khung văn bản Comment, và sẽ không hiển thị gì nhập vào khung Location. Nhắp Next để chuyển sang màn hình kế tiếp, màn hình sẽ hỏi chúng ta có muốn in một trang thử nghiệm khi cài đặt xong không. Chọn Yes hoặc No như hình sau, rồi nhắp Next. Hình 7.II.5_In một trang thử nghiệm sau khi cài đặt xong, chọn lựa Yes hoặc No. Hình 7.II.6_Xem xét lại các chọn lựa trước khi giao cho Add Printer Wizard bằng nút Finish. Màn hình cuối cùng của Add Printer Wizarrd cho thấy những chọn lựa mà ta đã nhập ở mỗi giai đoạn. Nhắp Finish nếu vẫn giữ nguyên thiết định đó. III. Định cấu hình printer. Để định cấu hình printer, ta nhắp phải lên hình tượng của nó trong folder Printer rồi chọn Properties, từ menu ngữ cảnh hiện ra như hình sau. Hình 7.III.1_Khung thoại này để tinh chỉnh các thiết định cấu hình của một printer. Trong cửa sổ này người quản trị có thể đặt cấu hình printer như sau: * Tab Genaral: Đặt các thông số như khổ giấy, form in, tên máy in, hướng in... * Tab Sharing: Quyết định có cho phép máy in được dùng chung hay không. Hình 7.III.2_Tab Port trong khung thoại đặc tính của một Printer. * Tab Port: Bổ xung thêm cổng in, loại bỏ cổng in, đặt thông số cho cổng in và tạo ra bộ tập hợp in. Nếu không tạo ra bộ tập hợp in thì chỉ có thể chọn riêng biệt cho từng cổng in cho mỗi máy in riêng biệt. Nếu tạo ra bộ tập hợp in ấn, ta có thể tạo ra một tập hợp hàng đợi in, người sử dụng khi in một tài liệu từ một ứng dụng bất kỳ họ không cần biết tài liệu sẽ được in như thế nào khi đó bộ tập hợp in sẽ kiểm tra xem tài liệu in được gửi tới có phù hợp không nếu phù hợp trên máy in nào thì tài liệu sẽ được in trên thiết bị in phù hợp. Để tạo ra bộ tập hợp in ta làm như sau: Trong Tab Port, chọn Enable Printer Pooling, khi ta chọn Enable Printer Pooling thì ta có thể chọn đồng thời nhiều thiết bị in trên các cổng riêng biệt. Điều này có nghĩa như sau: Khi người sử dụng gửi một lệnh in, tài liệu sẽ được gửi tới bộ tập hợp in. Bộ tập hợp in sẽ kiểm tra xem cổng in nào còn rỗi. Nếu có cổng rỗi phù hợp với tài liệu in thì tài liệu in sẽ được in trên công đó. Nếu có càng nhiều thiết bị in ấn ( có nhiều công in - số cổng in sẽ bằng số thiết bị in ấn) thì khả năng sẵn sàng in sẽ cao. Khi đó độ lưu thoát trong mạng sẽ cao và tài liệu sẽ được in nhanh chóng (hình 7.III.2) Hình 7.III.3_Tab Ađvance trong khung thoại đặc tính. * Tab Advanced: Đây là một tab quan trọng trong các mạng lớn có yêu cầu về in ấn cao. Trong tab Advanced người quản trị mạng sẽ xem xét đặt kế hoạch sao cho tài liệu in sẽ phù hợp với máy in, phù hợp với thời gian in và độ ưu tiên của tài liệu. Các thông số lựa chọn như sau: Always available: Máy in luôn sẵn sàng in (24/24). Available from ... To... : Máy in có thể in từ giờ nào tới giờ nào. Priority: Độ ưu tiên của tài liệu in. Tài liệu in nào có độ ưu tiên cao hơn sẽ được xử lý trước. Độ ưu tiên được đánh số từ 1 tới 99. Spool Print Document so Program Finishes Printing Faster: Dùng bộ tập hợp in cho các tài liệu in. Print Directly to the Printer: In trực tiếp ra máy in, khi đó lựa chọn này sẽ loại bỏ bộ tập hợp in. Trang phân cách - Serparator Space: Khi có nhiều tài liệu của nhiều người sử dụng cùng in thì phải có một cơ chế để phân loại tài liệu in của từng người. Để có thể phân loại tài liệu in của từng người ta dùng trang phân cách Serparator Space. Trong cửa sổ Properites chọn Tab Advanced và chọn nút lệnh Serparator Page. Trong cửa sổ Separator Page bấm vào nút lệnh Browse chọn trang phân cách cần sử dụng rồi OK. Hình 7.III.4_Trang phân cách trong Tab Advanced Bộ xử lý in_Print Procceser: Print Procceser sẽ quyết định tài liệu in gửi từ máy khách tới bộ tập hợp in có cần xử lý không. Trong cửa Print Properties chọn tab Advanced và chọn nút lệnh Print Procceser. Trong cửa sổ Print Processor chọn kiểu dữ liệu và OK. Hình 7.III.5_Bộ xử lý in trong Tab Advanced. * Tab Security: Đây là tab rất quan trọng về bảo mật. Trong Tab này người quản trị sẽ chỉ rõ ràng vai trò của người sử dụng trong mạng. Người nào là người có quyền quản lý tài liệu in, quản lý thiết bị in, và quản lý máy in. Để bổ xung người sử dụng hoặc nhóm nào đó vào trong danh sách ta bấm vào nút lệnh Add, và để loại bỏ người sử dụng, nhóm nào đó ta chọn trong danh sách và nhấn vào nút Remove. Trong khung Permission: Có hai lựa chọn: Allow: Cho phép và Deny: Không cho phép. Muốn cấp quyền hay không cấp quyền nào đó cho người sử dụng, nhóm người sử dụng ta đánh dấu vào người sử dụng và trong khung Permission ta cấp quyền cho người sử dụng hoặc nhóm người sử dụng đó. Hình 7.III.6_Tab Security trong khung thoại đặc tính. * Tab Device Setting: Hình 7.III.7_Tab Device Setting trong khung thoại đặc tính. IV. Quản lý việc sử dụng printer. 1. Nối kết printer với các máy khách. Nối kết từ DOS : Để thiết lập printer dùng cổng từ DOS, ta gõ lệnh net use lpt1 : \\ server \ printername tại dấu nhắc đợi lệnh, sau đó ta khoá chuyển / persistent : yes vào cuối câu lệnh. Nối kết từ Windows 3.x hoặc Windows for Workgroups : Để nối vào một printer dùng chung trên mạng từ máy khách Windows 3.x hoặc Windows for Workgroups, ta chọn hình tượng Printer trong Control Panel. Nối kết vào một printer có sẵn : ta chỉ việc nhắp chọn printer ấy rồi nhắp chọn nút Connect để mở khung thoại. Trong khung thoại đó ta chỉ việc nhắp OK là xong. Tạo ta một mối nối kết với một printer mạng mới : nếu ta định nối kết vào một printer mới thay vì nhắp Connect, ta hãy nhắp Network mở khung thoại trong đó ta tìm một print server, vào printer mà ta cần rồi nhắp OK. Cài đặt một printer driver cho các hệ điều hành Win16 : nếu máy chưa cài sẵn phần mềm yểm trợ cho printer ta cần thay vì nhắp Connect hoặc Network, ta hãy nhắp Add. Tìm printer mà ta cần từ một danh sách rồi nhắp nút Install. Nối kết từ các máy khách Windows 9.x hoặc NT : Ta mở folder printer từ một shortcut trong Control Panel rồi chạy Add Printer Wizard. Sau đó nhắp Next mở khung thoại ra. Nhắp Next tiếp rồi chọn printer ta cần. Nhắp Finish. Nối kết từ các máy khách Win2K : Add Printer Wizard trong Win2K trông hơi khác một chút so với wizard trong Windows NT hoặc Windows 9.x nhưng tác dụng cơ bản của nó thì vẫn giống nhau : Ta khởi chạy Add Printer Wizard rồi nhắp bỏ qua màn hình Welcome…mở màn. Khi được hỏi muốn tạo một mối nối tại chỗ hay nối kết mạng ta chọn Network printer. Kế đó ta cho biết vị trí của printer. Nếu không biết rõ tên ta có thể bỏ trống vùng đó và nhắp Next để tìm một printer. Nếu chọn cách duyệt tìm printer, ta sẽ thấy một danh sách rà duyệt cho các printer trên mạng và các server gắn vào chúng. Nếu nối kết từ một máy Win2K đang dùng cấu trúc danh bạ ta có một cách là duyệt vào ô Find a printer in the Directory rồi nhắp Next. Sau khi chọn xong printer, wizard sẽ hỏi chúng ta có muốn thiết lập printer ấy như printer được phân công sẵn cho tất cả ứng dụng, ta chọn Yes hoặc No. Cuối cùng nhắp Finish để kết thúc cài đặt. 2. Thiết lập chế độ bảo mật. ấn định giờ khả dụng của printer : Hình 7.IV.2.1_Qui định những giờ dùng được printer trong ngày làm việc Theo mặc định một printer sẽ luôn luôn chấp nhận các ấn vụ. Ta có thể quyết định số giờ sử dụng mà trong thời hạn đó thì một printer mới chịu gửi các ấn vụ đến thiết bị in ấn. Để điều chỉnh số giờ khả dụng của một printer, ta đến trang Advanced trên khung thoại đặc tính của nó để ấn định số giờ. ấn định các quyền truy cập printer : Để ấn định hoặc chỉnh sửa các permission đối với một printer dùng chung trên mạng ta hãy đăng nhập bằng một tài khoản có quyền hạn Administrator, mở khung thoại đặc tính của printer ấy ra rồi chuyển đến trang Security. Từ đây ta có thể chỉnh sửa những bộ phận permission cơ bản của các nhóm người đã được qui định. Hình 7.IV.2.2_Các quyền truy cập mặc định đối với một printer. Tinh chỉnh các quyền truy cập printer : Trang Security trên khung thoại đặc tính của printer cho ta thấy các nhóm người dùng mặc định và những permission cơ bản mà họ được cấp. Để kiểm soát tốt hơn việc truy cập printer này ta nhắp nút Advanced để mở khung thoại ra. Từ permission của khung thoại này ta có thể tinh chỉnh các permission. Hình 7.IV.2.3_ấn định cácparmission cao cấp đối với printer. Kiểm toán việc truy cập printer : Hình 7.IV.2.4_Chọn những nhóm hoặc người dùng cần kiểm toán tại đây Để làm được điều này ta hãy đến trang Auditing của khung thoại được gọi ra từ nút Advanced của trang Security trên khung thoại đặc tính của một printer để thiết lập chế độ kiểm toán liệt kê các sự kiện trong tập tin ghi chép sự kiện. Hình 7.IV.2.5_Hãy chọn những sự kiện kiểm toán tại đây. Hình 7.IV.2.6_Một danh sách chủ nhân khả dĩ dành cho printer. Phân công chủ nhân cho một printer : Các quản trị viên mạng có thể trao một printer cho một chủ nhân_owner mới từ trang Owner vốn được gọi từ nút Advanced trên trang Security của khung thoại đặc tính printer ấy hình 7.IV.2.6. Che dấu đi các printer dùng chung : Cách tốt nhất để bảo mật một tài nguyên mạng bất kỳ là che dấu các tài nguyên đó đi. Các printer cũng không nằm ngoài qui luật này. Để giữ cho một printer dùng chung nằm ngoài danh sách rà duyệt ta đặt thêm dấu đô-la ($) ở chỗ cuối tên nó. Tên printer sẽ nằm ngoài danh sách rà duyệt. 3. ấn định các tuỳ chọn về quảng bá printer. Các thiết định Group Policy trong MMC bao gồm một số chính sách mà ta có thể chỉnh sửa để quyết định cách thức mà printer xuất hiện trong AD hoặc trong miền. Hình 7.IV.3.1_Các thiết định về quản bá printer trong số các chính sách nhóm khuôn mẫu quản trị (Administrative Templates). Để đến với những thiết định này ta mở snap-in Group Policy ra rồi chuyển đến Administrative Templates của các thiết định này trong Computer Configuration. Hình 7.IV.3.2_Việc ấn định các chính sách đối với printer server. Khi mới cài đặt chẳng có thiết định chính sách nào trong số này ấn định được cả, cho nên chúng bị vô hiệu hoá. Cần áp dụng chính sách nào ta phải kích hoạt chính sách đó. Nhắp phải lên chính sách đó rồi chọn Properties từ menu ngữ cảnh hiện lên (hình 7.IV.3.2 ). Trong khung thoại này, ta nhắp vào khung ô duyệt nào cần thiết trên trang Policy, nếu muốn biết rõ hơn về những chính sách sẽ thực hiện ta có thể chuyển đến trang Explain. Sau khi chúng ta đã chọn duyệt hoặc bỏ duyệt thay đổi một cách dứt khoát đề mục của chính sách đó sẽ thay đổi từ Not Configured sang Enabled hoặc Disabled. V. Quản ký các ấn vụ. Việc quản lý các ấn vụ trong hàng đợi của một printer khá là dễ hiểu. Nếu ta nhắp kép một đề mục printer trong folder printer ta sẽ thấy tất cả các ấn vụ hiện đang đợi được in ra và những thông tin : Tên tập tin của tài liệu đang được in. Tình trạng của ấn vụ (printing, spooling, paused). Người dùng nào đã gửi ấn vụ này trên printer. Trong ấn vụ có bao nhiêu trang và còn bao nhiêu trang chưa được in xong. Kích thước tập tin của ấn vụ. Giờ, ngày, tháng mà người dùng in ấn vụ. Khi ta chọn một ấn vụ trong danh sách đó, ta có thể dùng các lệnh trong menu Document để tạm dừng một ấn vụ, tiếp tục một ấn vụ đã bị tạm dừng, khởi động lại một ấn vụ hoặc xoá bỏ một ấn vụ. VI. Giải quyết các trục trặc trong in ấn. In ấn dưới Win2K thông thường khá là ít trục trặc nhưng cũng có thể có lúc ta sẽ gặp phải. Giải quyết các trục trặc cơ bản : nhận định tình huống. Các trục trặc trong in ấn có thể xảy ra do sự kết hợp của 3 nguyên nhân khác nhau : Lỗi thuộc phần cứng. Lỗi thuộc phần mềm. Lỗi do người dùng. Không ai in được cả : Nếu không ai in ấn được gì cả, ta hãy kiểm tra thiết bị in và mối nối kết mạng của nó. Hãy kiểm tra thứ dễ trước : thiết bị đó có được mở lên và có nối kết mạng không? Hộp mực còn không? Máy print server có mở lên và hoạt động không? Thiết bị in trước đây có bao giờ chưa làm việc? Nếu nó đã từng làm việc rồi chúng ta hãy kiểm tra xem đã cài đúng driver hãy thử tải xuống một driver mới hơn từ Web site của nhà chế tạo xem sao. Từ cửa sổ điều khiển printer, chúng ta hãy kiểm tra xem các thiết định về cổng có đúng đang gửi dữ liệu tới cổng có gắn thiết bị in không?. Ngoài ra, kiểm tra xem chúng ta có thể in từ print server hay không?. Có thể có một trục trặc gì đó trong mạng đã ngăn người ta tiếp cận với print server. Kiểm tra xem có đủ chỗ trống trên đĩa cứng của máy print server để lưu trữ các tập tin tập kết hay không. Nếu print server không thể tạo ra các tập tin tập kết, nó sẽ không thể in từ một tập tin tập kết được. Kiểm tra xem printer có được thiết lập để dùng bộ xử lý in đúng đắn hay không?. Một số in được : Những người đó có điểm gì chung? có phải tất cả họ trong cùng một mạng con (subnet) hay không? Thuộc cùng một nhóm người dùng? Sử dụng cùng một ứng dụng? In ra cùng một printer? Chúng ta hãy tìm những yếu tố họ chung và đó có thể là yếu tố gây ra trục trặc. Một số không in được : Nếu chỉ có một người không in được chúng ta hãy thu hẹp phạm vi nguyên nhân gây ra trục trặc ấy lại. Người đó in từ một ứng dụng hay không? Từ một máy khác? Nếu người đó hoàn toàn không thể in được, ta hãy kiểm tra xem có ai khác in được từ máy của người đó hay không? Nếu có chúng ta hãy kiểm tra các permission đã cấp phát cho người không in được có thể người đó bị bác bỏ toàn bộ quyền truy cập printer đấy. Sử dụng các nguồn trợ giúp trực tuyến. Nếu bị bí hoàn toàn, chúng ta hãy thử các liên kết khác nhau, kể cả ngăn bên trái của folder printer. Chú ý rằng, sẽ chỉ thấy được các liên kết này nếu ta đã cho hiển thị nội dung Web trên màn hình desktop. Nếu không muốn hiển thị nội dung Web để làm sạch màn hình desktop ta có thể cho phép lại đối với folder này thôi bằng cách mở chọn lệnh Folder Options trên menu Tools rồi trên trang General của khung thoại Folder Options, ta chọn Enable Web content on my desktop. Liên kết More Info dẫn đến một trang printer trên Web site của Microsoft tại www.microsoft.com, vốn có liên kết dẫn đến trang in ấn của nhà chế tạo thiết bị in (nếu họ có một trang như vậy), còn liên kết Microsoft Support dẫn đến trang chủ in ấn trong khu vực trợ giúp kỹ thuật của Web site của chính Microsoft. Nếu print server của chúng ta có một mối nối kết Internet ta có thể nối kết trực tiếp từ folder printer, nhưng nếu không được vậy ta vẫn có thể đưa các URL cần vào một trình duyệt để xem các nguồn thông tin trực tuyến giúp giải quyết được vấn đề của ta hay không? Kết luận chung Căn cứ vào nhu cầu thực tế của mạng hiện nay, đồ án đã phần nào xây dựng một cách nhìn tổng quát về mạng, quản trị mạng trên Windows 2000 Server. Đồ án chỉ nêu sơ lược về Active Directory, quản lý các thiết bị phần cứng, các phương tiện lưu trữ, quản lý các tài khoản người dùng và các folder dùng chung, quản trị dịch vụ in ấn trong Windows 2000 Server. Thế nhưng cần khảo sát tường tận hơn thì mới đưa ra được lời kết luận cuối cùng cho Windows 2000 Server. Phụ lục Bảng 1_Các tập tin công cụ dựa trên MMC chính. Tập tin MSC Tên thường gọi MSINFO32.MSC* Sytem Infomation COMPMGMT.MSC Computer Management DCPOL.MSC Domain Controller Security Policy DEVMGMT.MSC Device Manager DFRG.MSC Disk Defragmenter DFSGUI.MSC Distributed File System DISKMGMT.MSC Disk Management DOMPOL.MSC Domain Sercurity Policy DOMAIL.MSC Active Directory Domain and Trusts DSA.MSC Active Directory Users and Computer DSSITE.MSC Active Directory Sites and Sevices EVENTVWR.MSC Event Viewer FAXSERV.MSC Fax Service Management FSMGMT.MSC Shared Folders GPEDIT.MSC Group Policy LUSRMGR.MSC Local User Manager NTMSMGR.MSC Removable Storage Manager PERFMON.MSC Performance Monitor RRASMGMT.MSC Routing and Remote Access SECPOL.MSC Local Security Policy SERVICES.MSC Services Configuration TAPIMGMT.MSC Telephony COMEXP.MSC* Compoment Services DHCPMGMT.MSC DHCP DNSMGMT.MSC DNS IIS.MSC* Internet Information Services Chú ý : Hầu hết các công cụ nằm trong thư mục / winnt /system32, và vì thế các công cụ này nằm trong đường dẫn truy tìm mặc định. Tuy vậy một số công cụ nằm trong các thư mục khác, không có trong đường dẫn truy tìm mặc định, đó là những công cụ có đánh dấu sao (*). Cách để tìm ra những công cụ này là sử dụng tuỳ chọn Search trên nút Start. Ngoài cách này ra ta còn có cách khác đó là thay đổi đường dẫn truy tìm để gộp cả các thư mục đó luôn bằng cách mở applet System trong Control Panel, đến trang Advanced chọn nút Environtmental Variables, chỉnh sửa biến hệ thống tên là Path, rồi khởi động lại máy. Bảng 2_Các quyền hạn người dùng tại chỗ. Quyền hạn người dùng Giải thích ý nghĩa Access this computer from the network Nối kết vào máy này ngang qua mạng. Act as part of the operation system Đóng vai trò như một phần được uỷ quyền của hệ điều hành; một số tiểu hệ thống được cấp phát quyền hạn này. Add workstations to domain Làm cho máy trạm trở thành thành viên của miền. Back up files and directories Lưu dự phòng các tập tin và thư mục. Như đã nói ở trên quyền này phủ quyết các quyền truy cập tập tin và thư mục. Bypass traverse checking Duyệt lướt qua một cây thư mục, cho dù người dùng đó không có quyền truy cập nào đối với thư mục đó. Create the system time ấn định giờ giấc đồng hồ bên trong máy tại chỗ. Create a pagefile Tạo một tập tin phân trang (bộ nhớ ảo). Create a token object Tạo các thẻ hiệu truy cập_access token. Chỉ bộ phận Local Security Authority mói có quyền truy cập. Create permanent shared objects Tạo những đối tượng vĩnh viễn đặc biệt. Debug program Gỡ rối các ứng dụng. Deny access to this computer from the network Ngược lại với quyền Access this computer from the network; thu hồi riêng quyền này đối với những người dùng hay nhóm mà bình thường vẫn có nó. Deny log on as a batch job Thu hồi quyền Log on as batch job. Deny log on as a service Thu hồi quyền Log on as a service. Deny log on locally Thu hồi quyền Log on locally. Enable computer and user account to be trusted for delegation Chỉ định các tài khoản có thể được uỷ quyền. Force shutdown from a remote system Buộc máy này phải tắt đi từ một máy ở xa. Generate security audits Tạo ra các đề mục ghi chép kiểm toán. Increase quotas Tăng các hạn ngạch của đối tượng (mỗi đối tượng có một hạn ngạch được cấp cho nó). Increase scheduling priority Tăng cường độ ưu tiên lịch biểu của một quá trình xử lý. Load and unload device drivers Thêm hoặc bớt một driver vào hoặc ra khỏi hệ thống. Lock pages in memory Khoá chặt các trang vào trong bộ nhớ để ngăn không cho chúng bị đưa vào bộ lưu trữ dự phòng như PAGEFILE.SYS chẳng hạn. Log on as a batch job Đăng nhập vào hệ thống như một phương tiện hàng đợi theo lô (batch queue facility). Log on as a service Thực hiện các dịch vụ bảo mật . Log on locally Đăng nhập tại chỗ, tại chính máy server này. Manager auditing and security log Chỉ rõ những loại sự kiện và truy cập tài nguyên gì sẽ được kiểm toán. Ngoài ra còn cho phép xem và xoá sạch bản ghi chép bảo mật (security log). Modify tirmware environment values Sửa đổi các biến môi trường của hệ thống không phải biến môi trường của người dùng. Profile single process Sử dụng những khả năng ghi chép hoạt động (profiling) của Win2K để quan sát, nhận xét hoạt động của quá trình xử lý. Profile system performance Sử dụng các khả năng ghi chép hoạt động của Win2K để quan sát, nhận xét hoạt động của hệ thống. Remove computer from docking station Tháo gỡ một máy laptop ra khỏi hộp nối ghép vào mạng (docking station) của nó. Replace a process level token Sửa đổi thẻ hiệu truy cập của một quá trình. Restore files and directories Khôi phục lại các tập tin và thư mục. Quyền này phủ quyết các quyền truy cập tập tin và thư mục. Shutdown the system Tắt máy Win2K. Synchronize directory service data Cập nhật thông tin Active Directory. Take ownership of files or other object Chiếm quyền sở hữu các tập tin, thư mục, và các đối tượng khác, vốn trước đó được người dùng khác sở hữu. Bảng 3_ Các builtin local group và các quyền hạn người dùng. Quyền hạn các người dùng của nhóm Họ cũng có thể Administrator Đăng nhập tại chỗ Truy cập máy này từ mạng Chiếm quyền sở hữu các tập tin Quản lý bản ghi chép kiểm toán,bảo mật Thay đổi giờ giấc của máy Tắt máy Buộc tắt máy này từ một máy ở xa Lưu dự phòng các tập tin và thư mục Khôi phục lại các tập tin và thư mục Thêm và bớt các device driver Tăng độ ưu tiên của một quá trình xử lý Tạo ra, quản lý các tài khoản người dùng Tạo ra, quản lý các global group Trao quyền hạn của người dùng Quản lý chính sách kiểm toán, bảo mật Khoá chặt server console Mở khoá server console Định dạng đĩa cứng của server Tạo ra các nhóm chương trình chung Giữ nguyên một profile tại chỗ Chia sẻ, chấm dứt chia sẻ các thư mục Chia sẻ, chấm dứt chia sẻ máy in Server Operator Đăng nhập tại chỗ Thay đổi giờ của máy server này Tắt máy server này Buộc tắt máy server này từ một máy ở xa Lưu dự phòng các tập tin và thư mục Khôi phục lại các tập tin và thư mục Khoá chặt server Phủ quyết khoá của server Định dạng đĩa cứng của server Tạo các nhóm chung Giữ riêng một profile tại chỗ Chia sẻ, chấm dứt chia sẻ các thư mục Chia sẻ và chấm dứt chia sẻ các máy in Account Operators Đăng nhập tại chỗ Tắt máy server này Tạo ra, quản lý tài khoản người dùng. Giữ riêng một profil Print Operators Đăng nhập tại chỗ Tắt máy Giữ riêng một profile tại chỗ Chia sẻ, chấm dứt chia sẻ các máy in Backup Operators Đăng nhập tại chỗ Tắt máy Lưu dự phòng các tập tin và thư mục Khôi phục lại các tập tin và thư mục Giữ riêng một profile tại chỗ Everyone Truy cập máy này từ mạng Khoá chặt server Users (Không có quyền gì) Tạo ra và quản lý các local group Guests (Không có quyền gì) (Không có quyền gì) Replicator (Không có quyền gì) (Không có quyền gì) Ghi chú : Người dùng không thể sửa đổi các tài khoản Administrator, global group Domain Admins, hoặc các local group Administrators, Server Operators, Print Operators và Backup Operators. Để làm được điều này thành viên của nhóm phải có quyền đăng nhập tại chỗ trên server này. Để thực sự làm được chuyện này, người dùng phải hoặc có quyền đăng nhập tại chỗ tại server này, hoặc có quyền truy cập vào công cụ DSA.MSC. Administrator : Nhóm này có hầu hết như mọi quyền hạn được ấn định sẵn, cho nên các thành viên thực chất có tất cả năng lực quản trị của máy. Backup Operators : Thành viên của nhóm này có quyền lưu dự phòng và khôi phục các tập tin, bất luận họ có quyền truy cập tập tin đó hay không. Server Operators : Nhóm này có tất cả quyền hạn cần thiết để quản lý các server của miền. Thành viên của nó có thể tạo ra, quản lý, và xoá bỏ các thư mục mạng dùng chung tại các server; tạo ra, quản lý, và xoá bỏ các đối tượng máy in dùng chung tại các server. Lưu dự phòng và khôi phục lại các tập tin trên các server; định dạng đĩa cứng của một server; khoá chặt và mở khoá các server; mở khoá các tập tin; thay đổi giờ của máy. Ngoài ra các thành viên server này có thể đăng nhập vào mạng từ các server của miền cũng như tắt đi các server đó. Account Operators : Thành viên của nhóm tại chỗ này được phép tạo ra các tài khoản người dùng và nhóm dành cho miền; sửa đổi hoặc xoá bỏ hầu hết các tài khoản người dùng và nhóm của miền Thành viên của Account Operators không thể sửa đổi hoặc xoá bỏ các nhóm sau đây : Administrators, Domain Admins, Account Operators, Backup Operators, Print Operators và Server Operators. Tương tự thành viên của nhóm này không thể sửa đổi hoặc xoá bỏ tài khoản người dùng là quản trị viên. Họ cũng không thể quản trị các chính sách bảo mật, nhưng có thể bổ sung tài khoản máy vào miền, đăng nhập các server, và tắt các server. Printe Operators : Thành viên của nhóm này có thể tạo ra, quản lý và xoá bỏ các đối tượng máy in dùng chung dành cho server Win2K. Ngoài ra có thể đăng nhập lên hoặc tắt các server Power Users : Nhóm này có mặt trên các server không phải là DC và các máy trạm Win2K Pro. thành viên của nó có thể tạo ra các tài khoản người dùng và các local group, quản lý danh sách thành viên của các nhóm Users, Power Users, và Guests, cũng như quản trị các tài khoản người dùng và nhóm họ tạo ra. Users : Thành viên của nhóm này có thể chạy các ứng dụng nhưng không thể cài đặt chúng. Họ cũng có thể tắt và khoá chặt các máy trạm. Nếu một người dùng có quyền đăng nhập tại chỗ vào một máy trạm, họ cũng có quyền tạo ra các local group và quản lý các nhóm họ đã tạo ra. Guests : Thành viên nhóm này có thể đăng nhập và chạy các ứng dụng. Họ cũng có thể tắt máy, nhưng ngoài ra thậm chí các khả năng của họ còn hạn chế hơn Users nữa. Ví dụ họ không thể giữ riêng một profile tại chỗ. Replicator : Nhóm này chỉ được dùng hoàn toàn cho việc sao chép danh bạ. Một tài khoản người dùng có thể chạy Replicator và nó phải là thành viên duy nhất của nhóm này. Bảng 4_Các global group được tạo sẵn. Nhóm Công dụng của nó Domain Admins Bằng cách đặt một tài khoản người dùng vào trong global group này, chúng ta cung cấp được các năng lực ở mức độ quản trị cho người dùng đó. Các thành viên của Domain Admins của một miền có thể quản trị miền nhà, các máy trạm của miền ấy, và mọi miền được uỷ quyền khác nếu đã lồng global group Domain Admins của miền ấy vào các local group Administrators của chúng. Theo mặc định, global group Domain Admins được tạo sẵn của một miền sẽ là thành viên của cả local group Administrators của miền ấy lẫn các local group Administrators của mọi máy trạm NT hoặc Win2K Pro trong miền ấy. Global group Domain Admins của một miền sẽ tự động có một thành viên là tài khoản Administrator được tạo sẵn của miền ấy. Domain Users Các thành viên của global group Domain Users của một miền có quyền truy cập và quyền hành của người dùng bình thường đối với cả miền ấy lẫn mọi máy trạm NT/Win2K trong miền ấy. Nhóm này chứa tất cả tài khoản người dùng của miền ấy, theo mặc định, là một thành viên của mọi local group Users trên mọi máy trạm NT/Win2K trong miền ấy. Domain Guests Miền này cho phép các tài khoản khách vãng lai (guest) truy cập được các tài nguyên ngang qua các ranh giới miền nếu họ đã được các quản trị viên miền này cho phép làm như thế. Ngoài các local và global group được tạo sẵn, có một số nhóm đặc biệt, vốn không được liệt kê trong DSA.MSC (hoặc các Computer Management Users and Groups cũng vậy) sẽ xuất hiện trên các ACL của các tài nguyên và đối tượng bao gồm các nhóm sau đây : Interactive : Bất kỳ ai đang dùng máy một cách tại chỗ. Network : Tất cả các người dùng được nối kết vào máy trên mạng. System : Hệ điều hành. Creator owner : Người tạo ra hoặc người chủ sở hữu của các thư mục con, các tập tin, và các ấn vụ (print job). Authenticated uers : Mọi người mà đã được xác minh đối với hệ thống. Được dùng một nhóm thay thế an toàn hơn so với Everyone. Anonymous logon : Một người dùng mà đã đăng nhập một cách nặc danh, chẳng hạn như một người dùng FTP nặc danh. Batch : Một tài khoản mà đã đăng nhập với tính cách như một tác vụ lô (batch job) hay hàng đợi lô (batch queue). Service : Một tài khoản mà đã đăng nhập với một tính cách như một dịch vụ. Dialup : Những người dùng mà đang truy cập hệ thống thông qua Dial-Up Networking. Bảng 5_Các permission nguyên tử và các permission phân tử. Quyền truy cập nguyên tử Write Read List Folder Contents Read & Execute Modify Full Control Traverse Folder / Execute File * * * * List Folder / Read Data * * * * * Read Attributes * * * * * Read Extended Attributes * * * * * Create Files / Write Data * * * Create Folder / Append Data * * * Write Attributes * * * Write Extended Attributes * * * Delete Subfolders and Files * Delete * * Read Permission * * * * * * Change Permission * Take Ownership * Các permission nguyên tử : Traverse Folder / Execute File : chỉ áp dụng đối với các folder thôi. List Folder / Read Data : List Folder cho phép ta xem các tập tin và folder bên trong một folder. Read Data cho phép ta xem nội dung của một tập tin. Permission nguyên tử này là thành phần cốt lõi của Read. Read Attributes : Các thuộc tính cơ bản của tập tin là Read-only; Hidden; System; và Archive. Read Attributes cho phép ta nhìn thấy các thuộc tính này. Create Extended Attributes : Một số chương trình có gộp các thuộc tính khác vào các kiểu tập tin của chúng. Các thuộc tính này được gọi là các thuộc tính mở rộng (extended attributes). Create files / Write Data : cho phép ta đặt các tập tin mới bên trong folder đang xét. Write Data cho phép ta ghi đè lên các dữ liệu hiện có bên trong một tập tin. Các quyền này không cho ta đưa thêm dữ liệu hiện có vào một tập tin hiện có. Create Folder / Append Data : Create Folder cho phép ta tạo các folder con bên trong folder đang xét. Append Data cho phép ta đưa thêm dữ liệu vào cuối một tập tin hiện có nhưng không thay đổi dữ liệu đã có lúc trước bên trong tập tin đó. Write Attributes : Cho phép ta thay đổi các thuộc tính cơ bản của một tập tin. Write Extended Attrributes : Cho phép ta thay đổi các thuộc tính mở rộng của một tập tin. Delete Sufolder and Files : Với quyền truy cập này ta có thể xoá bỏ các folder con và các tập tin cho dù ta không có quyền truy cập Delete trên Folder con hoặc tập tin đó. Delete : Cho phép ta xoá một đối tượng. Read Permission : Cho phép ta xem tất cả các permission NTFS có liên kết với một tập tin hoặc folder, nhưng ta không thể thay đổi permission nào cả. Change Permission : Cho phép ta thay đổi các permission được ấn định cho một file hoặc folder. Take ownership : Cho phép ta chiếm quyền sở hữu của một tập tin. Các permission phân tử : Read : Là quyền truy cập cơ bản nhất của ta. Nó cho phép ta xem nội dung các permission và các thuộc tính có liên kết với một đối tượng (Đối tượng đó có thể là folder hoặc tập tin). Write : Quyền truy cập Write trên một folder cho phép ta tạo một tập tin hoặc folder mới bên trong folder ấy. Read and Excute : Cũng giống như Read nhưng nó cho phép ta thêm một permission nguyên tử nữa là Traverse Folder. Modify : Là sự kết hợp của Read and Excute và Write nhưng có thêm một permission nữa là Delete. Full Control : Là sự kết hợp của tất cả các permission đã nói ở trên, ngoài ra còn có các permission nguyên tử Delete Subfolder and Files; Change Permission; Take Ownership. Full Control cũng cho phép ta xoá bỏ một tập tin và folder con ngay cả khi tập tin và folder đó không cho phép ta xoá. List Folder Contents : Cho phép ta xem nội dung của các folder, chỉ hiển thị khi ta nhìn vào đặc tính bảo mật của một folder. Nó sẽ cho ta thấy các tập tin đang có mặt trong một folder. Tài liệu tham khảo chính Mạng máy tính và các hệ thống mở_Nguyễn Thúc Hải, NXBGD. Làm chủ Microsoft Windows 2000 Server - Tập 1_MK.PUB, do Phạm Hoàng Dũng & Hoàng Đức Hải dịch, NXBTK. Làm chủ Microsoft Windows 2000 Server – Tập 2_MK.PUB, do Phạm Hoàng Dũng & Hoàng Đức Hải dịch, NXBTK. Mục lục Trang Lời nói đầu v Phần 1_Tổng quan về mạng máy tính Chương 1_Tổng quan chung về mạng máy tính 1 I.Lịch sử phát triển mạng máy tính 1 II.Các khái niệm 3 Định nghĩa mạng máy tính 3 Các qui ước sử dụng trong mạng máy tính 3 Các thành phần chủ yếu của mạng máy tính 3 Những ưu điểm của mạng máy tính 4 III.Phân loại mạng máy tính 5 Phân loại theo khoảng cách địa lí 5 Phân loại theo phương thức chuyển mạch 6 IV.Cấu trúc liên kết mạng 10 Cấu trúc kiểu Bus 10 Cấu trúc kiểu Star 12 Cấu trúc kiểu Ring 13 Cấu trúc kiểu Star-Bus và Star-Ring 14 V.Giao thức mạng 15 VI.Các thiết bị truyền dẫn (Phương tiện truyền dẫn) 16 Đường truyền hữu tuyến 16 Đường truyền vô tuyến 20 VII.Thiết bị mạng 21 Các bộ giao tiếp mạng 21 Hub (Bộ tập trung) 22 Repeater (Bộ chuyển tiếp) 23 Bridge (Cầu) 24 Router (Bộ tìm đường) 25 Brouter (Bộ chọn đương cầu) 26 Gate way (Cổng nối ) 26 Multiplexor (Bộ dồn kênh) 26 Modem 27 VIII.Hệ điều hành mạng NOS 27 Khái niệm 27 Các hệ điều hành thông dụng 28 IX.Mô hình OSI và bộ giao thức TCP/IP 29 Mô hình OSI 29 Bộ giao thức TCP/IP 37 X.Dịch vụ mạng 40 Dịch vụ tên miền (DNS) 40 Đăng nhập từ xa (Telnet) 41 Truyền tệp (FTP) 41 Thư điện tử (Electronic Mail) 41 Nhóm tin (New groups) 42 Tìm kiếm tệp (Archie) 43 Tra cứu thông tin theo thực đơn (Gopher) 43 Tìm kiếm thông tin theo chỉ số (WAIS) 44 Tìm kiếm thông tin dựa trên siêu văn bản (Web) 44 Chương II: Giới thiệu chung về Windows 2000 Server 46 I.Lịch sử ra đời hệ điều hành Windows 2000 Server 46 II.Những mục tiêu của Microsoft khi xay dựng Win2K 46 Làm cho Win2K hay NT trở nên thích hợp cho doanh nghiệp lớn 46 Sự hiện đại hóa NT 48 Làm cho NT dễ được yểm trợ kĩ thuật hơn 49 Những nhược điểm của Win2K 49 Phần 2_Tổng quan chung về quản trị mạng trênWindows 2000 Server Chương 1_Mở đầu 52 I.Những nhiệm vụ quản trị của Windows 2000 Server 53 II.Các công cụ quản trị của Windows 2000 Server 55 Chương 2_Active Directory 57 I.Active Dirrectory đối với những người mới làm quen với NT 57 Vấn đề bảo mật 57 Vấn đề tìm kiếm thông tin trên mạng 58 Tạo ra những kiểu trợ lý quản trị viên 59 Uỷ quyền: Sự phân chia quyền hành trên một miền 59 Quyền kiểm soát máy trạm : áp dụng chính sách bảo mật 60 Vấn đề nối liên lạc và sao chép thông tin trên mạng lớn 61 Tính khả triển: Việc xây dựng các mạng 61 Đơn giản hoá tên máy 62 II.Active Dirrectory đối với những người đã quen dùng NT 63 Active Directory tác động lên các doanh nghiệp đơn-miền như thế nào 63 Active Directory tác động lên các doanh nghiệp đa-miền như thế nào 64 III.Các đặc điểm của Active Directory 66 Chương 3_Quản lý các thiết bị phần cứng 67 I.Device Manaager 68 Các chế độ xem 68 Khung thoại đặc tính của thiết bị 70 Những công việc khác mà Device Manager thực hiện được 74 II.Bảo vệ hệ thống thông qua chữ ký trên driver 75 III.Add/Remove Hardware Wizard 76 IV.Found New Hardware Wizard 78 V.Các biên dạng phần cứng (Hardware profile) 78 VI.Hardware Troubleshooter 80 Chương 4_Việc quản lý các phương tiện lưu trữ trongWindows 2000 Server 82 I.Sử dụng công cụ Disk Management 82 II.Việc quản lý các hạn ngạch đĩa 84 III.Lưu trữ dữ liệu bằng Remote Storage 88 Dịch vụ Remote Storage 88 Cách hoạt động của dịch vụ lưu trữ ở xa 89 Cách thiết lập hệ thống lưu trữ ở xa và các công việc khác 91 Chương 5_Quản lý các tài khoản người dùng 93 I.Dùng Computer Management đối với các tài khoản tại chỗ 93 II.Dùng Active Directory Users and Computer cho các tài khoản trên miền 95 Tài khoản Administrator và Guest 97 Việc tạo ra một tài khoản người dùng mới 97 Các đặc tính của tài khoản người dùng 99 III.Tìm hiểu các nhóm 105 Việc tạo ra các nhóm 106 Các loại nhóm 107 Phạm vi của nhóm : local, global và universal 108 Các quyền hạn người dùng 109 IV.Chính sách nhóm 110 Chương 6_Việc tạo và quản lý các folder dùng chung 114 I.Việc tạo các folder dùng chung 114 Tạo ra các folder dùng chung bằng Explorer 114 Tạo ra từ xa các folder dùng chung bằng console Computer Manaagement 115 II.Quản lý các quyền truy cập 118 III-Hệ thống tập tin phân tán (DFS_Distributed File System) 119 IV.Web Sharing 120 Chương 7_Quản trị dịch vụ in ấn trong Windows 2000 Server 123 I.Mô hình in ấn của Windows 2000 Server 123 II.Cài đặt một printer trên một print server 126 III.Định cấu hình printer 130 IV.Quản lý việc sử dụng printer 135 Nối kết với các máy khách 135 Thiết lập chế độ bảo mật 137 ấn định các tuỳ chọn về quản bá printer 141 V.Quản lý các ấn vụ 143 VI.Giải quyết các trục trặc trong in ấn 143 Phụ lục 147 Tài liệu tham khảo 161