Quản trị hệ thống mạng Windows Server 2012 - Phần 1

QUẢN TRỊ HỆ THỐNG MẠNG 
WINDOWS SERVER 2012 PHẦN 1 
 1 
MỤC LỤC 
Bài 1: TRIỂN KHAI CÀI ĐẶT HỆ ĐIỀU HÀNH WINDOWS SERVER 2012 .................................. 3 
1.1 Cài đặt hệ điều hành Windows Server 2012 Datacenter(GUI) ........................................................... 3 
1.2 Cài đặt Hệ điều hành Windows Server 2012 Datacenter (ServerCore) ............................................ 24 
1.3 Cấu hình NIC Teaming trên Windows Server 2012. ........................................................................ 27 
Bài 2: TRIỂN KHAI DỊCH VỤ ACTIVE DIRECTORY ..................................................................... 43 
2.1 Nâng cấp máy chủ Windows Server 2012 lên Domain Controller và Join Domain. ........................ 43 
2.2 Nâng cấp máy chủ Windows Server 2012 (Server Core) lên Domain Controller và Join Domain. . 71 
2.3 Cài đặt và cấu hình Additional Domain Controller .......................................................................... 89 
2.4 Cài đặt và cấu hình Child Domain. ................................................................................................. 105 
Bài 3: CẤU HÌNH CÁC ĐỐI TƯỢNG TRÊN ACTIVE DIRECTORY. .......................................... 122 
3.1 Tạo và cấu hình tài khoản trên Domain Controller. ........................................................................ 122 
3.2 Tạo OU, Group, User và cấu hình ủy quyền quản trị OU ............................................................... 149 
Bài 4: LÀM VIỆC CÙNG POWERSHELL ........................................................................................ 177 
4.1 Tạo OU, tài khoản người dùng và nhóm thông qua PowerShell. ................................................... 177 
4.2 Sử dụng Powershell Script để tạo tài khoản người dùng với số lượng lớn. .................................... 184 
Bài 5: NETWORK MONITOR ......................................................................................................... 193 
5.1 Cài đặt Tool Network Monitor 3.4 & Giám sát lưu lượng mạng. ................................................... 193 
Bài 6: CÀI ĐẶT VÀ CẤU HÌNH DỊCH VỤ DHCP ........................................................................... 203 
6.1 Cài đặt và cấu hình quản lý DHCP Server kết hợp với AD ............................................................ 203 
6.2 Cài đặt và cấu hình DHCP Relay Agent. ........................................................................................ 221 
6.3 Sao lưu và khôi phục DHCP Server. ............................................................................................... 246 
Bài 7: CÀI ĐẶT VÀ CẤU HÌNH DỊCH VỤ DNS................................................................................ 257 
7.1 Cài đặt và cấu hình DNS Server. .................................................................................................... 257 
7.2 Cấu hình dịch vụ Backup DNS. ...................................................................................................... 281 
Bài 8: CẤU HÌNH ĐỊA CHỈ IPV6 ....................................................................................................... 310 
8.1 Triển khai mạng với IPv6. .............................................................................................................. 310 
8.2 Cấu hình ISATAP Router trên Windows Server 2012. .................................................................. 325 
Bài 9: CẤU HÌNH QUẢN LÝ Ổ ĐĨA .................................................................................................. 342 
9.1 Cài đặt và cấu hình ổ đĩa cứng. ....................................................................................................... 342 
9.2 Cấu hình RAID 0 , 1 , 5. ................................................................................................................. 378 
 2 
9.3 Cấu hình Redundant Storage Space. ............................................................................................... 393 
Bài 10: PHÂN QUYỀN VÀ CHIA SẺ DỮ LIỆU. ................................................................................ 434 
10.1 Cấu hình và phân quyền chia sẻ dữ liệu. ....................................................................................... 434 
10.2 Cấu hình Shadow Copies và Windows Server Backup ................................................................ 459 
10.3 Cấu hình Offline Files. .................................................................................................................. 507 
Bài 11. TRIỂN KHAI CHÍNH SÁCH GROUP POLICY. ................................................................. 536 
11.1 Triển khai chính sách GPO cơ bản. .............................................................................................. 536 
11.2 Giám sát tệp tin và bắt xóa file. .................................................................................................... 562 
11.3 Triển khai chính sách (GPO) giới hạn sử dụng phần mềm. .......................................................... 580 
 3 
Bài 1: 
TRIỂN KHAI CÀI ĐẶT HỆ ĐIỀU HÀNH WINDOWS SERVER 2012 
Các nội dung chính sẽ được đề cập: 
 Cài đặt hệ điều hành Windows Server 2012 Datacenter (GUI) 
 Cài đặt hệ điều hành Windows Server 2012 Datacenter (Server Core) 
 Cấu hình NIC Teaming trên Windows Server 2012 
1.1 Cài đặt hệ điều hành Windows Server 2012 Datacenter(GUI) 
1.Nội dung bài lab: Cài đặt hệ điều hành Windows servere 2012 Datacenter ( Full 
Installation ) 
 - Tên máy :BKAP-SRV12-04 
 - IP Address : 192.168.1.4 
 - Subnet Mask : 255.255.255.0 
 - Default gateway : 192.168.1.1 
 - Preferred DNS Server : 192.168.1.2 
2.Yêu cầu chuẩn bị: Chuẩn bị một máy có cấu hình cơ bản như sau: 
 - Processor architecture: x86-64 
 - Processor speed: 1.4 GHz 
 - Memory (RAM): 512 MB 
 - Hard disk space: 32 GB 
 - DVD ROM 
 + Chuẩn bị thêm máy Client là Windows 8 với tên và địa chỉ theo mô hình 
Lab 1.1. 
 + Các bạndùng VMware Workstation tạo các máy ảo. 
 4 
3.Mô hình lab: 
Hình 1.1 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-SRV12-04 BKAP-WRK08-01 
IP Address 192.168.1.4 192.168.1.10 
Subnet mask 255.255.255.0 255.255.255.0 
Default gateway 192.168.1.1 192.168.1.1 
DNS Server 192.168.1.2 192.168.1.2 
 5 
Hướng dẫn chi tiết: 
Cài đặt hệ điều hành Windows server 2012 Datacenter (GUI). 
 Mở VMware Workstation. 
 6 
 Chọn File New Virtual Machine hoặc ấn Ctrl + N để tạo 1 máy ảo 
mới. 
o Tại cửa sổ New Virtual Machine Wizard, chọn vào Custom 
(advanced). 
o Tại cửa sổ Choose the Virtual Machine Hardware Compatibility, 
chọn Workstation 12.0 ( phiên bản của VMware). 
 7 
Next. 
 Tại cửa sổ Guest Operating System Installation chọn vào Installer disc 
image file (iso) để dùng file iso để cài đặt. 
 Browse đến thư mục chứa file iso. 
 8 
o Tại cửa sổ Name the Virtual Machine, sửa tên máy ảo tại Virtual 
machine name, và chọn đường dẫn tới thư mục bạn cần lưu máy ảo đang 
tạo tại Location/ Browse 
Next. 
o Tại cửa sổ Firmware Type, chọn vào BIOS 
 9 
o Tại cửa sổ Processor Configuration, chọn như hình bên dưới. 
o Tại cửa sổ Memory for the Virtual Machine, chọn dung lượng bộ nhớ 
RAM. 
 10 
o Tại cửa sổ Network Type, bạn chọn các tùy chọn card mạng cho máy ảo. 
o Tại cửa sổ Select I/O Controller Types, chọn vào LSI Logic SAS 
(Recommened) 
 11 
o Tại Select a Disk Type ,chọn vào SCSI (Recommend). 
o Tại cửa sổ Select a Disk, chọn vào Create a new virtual disk để tạo ổ đĩa 
ảo. 
 12 
o Tại Specify Disk Capacity, điền vào dung lượng ổ đĩa cứng. 
o Tại cửa sổ Specify Disk File, chọn Browse để chọn thư mục lưu file 
để mở máy ảo vừa tạo. 
 13 
o Tại cửa sổ Ready to Create Virtual Machine, ấn Finish để kết thúc quá 
trình tạo máy ảo. 
 14 
 Quá trình Load file diễn ra 
o Tại cửa sổ Windows Setup, chọn các tùy chọn như hình bên dưới, ấn 
Next. 
 15 
 Ấn vào Install Now. 
o Tại cửa sổ Select the operating system you want to install, chọn phiên 
bản Windows Server 2012 Datacenter Evaluation (Server with a GUI) 
 16 
o Tại cửa sổ License terms, bạn đọc qua các điều khoản chấp thuận của 
Microsoft, sau đó click chuột tại I accept the license terms, và ấn Next. 
 17 
o Tại cửa sổ Which type of installation do you want, chọn vào Custom: 
Install Windows only (advanced) để cài đặt HĐH Windows Server 2012 
mới. 
 18 
o Tại cửa sổ Where do you want to install Windows, chọn ổ đĩa cài đặt 
HĐH, ấn Next. 
 19 
 Quá trình cài đặt diễn ra. 
 20 
 Sau khi kết thúc cài đặt, màn hình Settings hiện ra, bạn điền Password cho 
User Administratorcủa máy ( có thể đặt password là 123456a@ cho dễ nhớ). 
Sau đó click vào Finish để kết thúc . 
 21 
 Tại đây, bấm tổ hợp phím “Alt+Ctrl+Insert” để Login. 
 22 
 Điền mật khẩu vừa tạo để đăng nhập. 
 23 
 Sau khi đăng nhập thành công, mặc định màn hình Server Managerhiện ra. 
 24 
 Đặt địa chỉ IP Address cho máy Window Server 2012 vừa tạo. 
1.2 Cài đặt Hệ điều hành Windows Server 2012 Datacenter 
(ServerCore) 
1. Yêu cầu: Cài đặt Hệ điều hành Windows Server 2012 Datacenter (ServerCore). 
 - Tên máy: BKAP-CORE12-01 
 - Password Administrator: 123456a@ 
 - IP Address: 192.168.1.9 
 - Subnet mask: 192.168.1.1 
 - Default gateway: 192.168.1.1 
 - Preferred DNS Server: 192.168.1.9 
 25 
2. Yêu cầu chuẩn bị: Chuẩn bị một máy có cấu hình cơ bản như sau: 
 - Processor architecture: x86-64 
 - Processor speed: 1.4 GHz 
 - Memory (RAM): 512 MB 
 - Hard disk drive space: 32 GB 
 - DVD ROM 
+ Chuẩn bị thêm máy Client là Windows 8 với địa chỉ theo mô hình Lab 1.2 
3. Mô hình lab: 
Hình 1.2 
 26 
Sơ đồ địa chỉ IP như sau: 
Thông số BKAP-CORE12-01 BKAP-WRK08-01 
IP address 192.168.1.9 192.168.1.10 
Subnet Mask 255.255.255.0 255.255.255.0 
Default gateway 192.168.1.1 192.168.1.1 
Preferred DNS Server 192.168.1.9 192.168.1.9 
Hướng dẫn chi tiết: 
+ Các bước tạo máy ảo tương tự như bài Lab 1.1 
+ Một số câu lệnh cơ bản trên ServerCore: 
 Kiểm tra Server có bao nhiêu card mạng: 
- Netsh interface ipv4 show interfaces 
 Đặt địa chỉ IP tĩnh cho card Ethernet0 của Server: 
- Netsh interface ipv4 set address name=Ethernet0 source=static 
address=192.168.1.9 mask=255.255.255.0 gateway=192.168.1.1 
 Đặt địa chỉ IP DNS Server: 
- Netsh interface ipv4 add dnsserver name=Ethernet0 
address=192.168.1.9 index=1 
 Kiểm tra tên máy Server: 
- Hostname 
 Thay đổi múi giờ: 
- Control timedate.cpl 
 Thay đổi tên Server thành BKAP-CORE12-01: 
- Netdom renamecomputer %computername% /newname:BKAP-
CORE12-01 /userd:Administrator /password /reboot:0 
 27 
1.3 Cấu hình NIC Teaming trên Windows Server 2012. 
1.Yêu cầu: 
+ Thực hiện cấu hình NIC Teaming trên máy Server có tên là BKAP-SRV12-01, 
sau đó đặt địa chỉ IP cho card NIC Teaming vừa tạo ra với thông số sau: 
- IP Address: 192.168.1.100 
- Subnet Mask: 255.255.255.0 
- Default Gateway: 192.168.1.1 
- DNS Server: 192.168.1.2 
+ Kiểm tra: đứng trên máy trạm (BKAP-WRK08-01) thực hiện ping tới địa chỉ IP 
của card NIC Teaming: 192.168.1.100 
2.Yêu cầu chuẩn bị: 
+ Chuẩn bị 1 Server chạy HĐH Windows Server 2012 có tên là BKAP-SRV12-01 
và có 2 card mạng: 
 Card 1 (VM2): 192.168.1.3/24 
 Card 2 (VM2): 192.168.1.4/24 
+ Chuẩn bị thêm máy trạm có tên là BKAP-WRK08-01 và đặt địa chỉ theo mô hình 
Lab 1.3 
 28 
3.Mô hình lab: 
Hình 1.3 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-SRV12-01 BKAP-WRK08-01 
IP Address NIC I : 192.168.1.3 
NIC II: 192.168.1.4 
192.168.1.10 
Subnet Mask 255.255.255.0 255.255.255.0 
Default gateway 192.168.1.1 192.168.1.1 
Preferred DNS Server 192.168.1.2 192.168.1.2 
 29 
Hướng dẫn chi tiết: 
 Thực hiện trên máy SRV12-01: 
o Click Chuột phải tại tên máy BKAP-SRV12-01, chọn Settings. 
 30 
o Tại Virtual Machine Settings, chọn vào Network Adapter, tại 
Network connection, chọn vào Custom: Speccific virtual network, 
chọn xuống VMnet2. 
 31 
 Add thêm card mạng cho máy BKAP-SRV12-01: 
o Tại Virtual Machine Settings, chọn vào Add , tại Add Hardware 
Wizard, chọn vào Network Adapter, Next. 
 32 
o Tại Network Adapter Type, tại Network connection, chọn vào 
Custom: Specific virtual network, chọn xuống Vmnet3 để add thêm 
card mạng cho máy BKAP-SRV12-01. 
 33 
 Sau khi add xong 2 card mạng, đổi tên lần lượt 2 card thành NIC I và NIC II. 
o Mở Network and Sharing Center, Click vào Change adapter 
settings, lần lượt đổi tên 2 card mạng Ethernet0 và Ethernet1 thành 
NIC I và NIC II. 
 34 
 Đặt địa chỉ IP 2 card NIC I và NIC II lần lượt theo mô hình Lab 1.3. 
o Tại Cửa sổ Network Connections, chuột phải tại mỗi card, chọn 
Properties, tại cửa sổ NIC I Properties và NIC II Properties, chọn 
vào Internet Protocol Version 4 ( TCP/IPv4). 
o Tại cửa sổ Internet Protocol Version 4 (TCP/IPv4) Properties, 
chọn vào Use the following IP address để đặt IP tĩnh cho 2 card 
mạng NIC I và NIC II. 
IP Address của NIC I 
 35 
IP Address của NIC II 
 36 
 Thực hiện tắt Firewall, kiểm tra ping từ máy Server sang máy Client bằng 2 
card NIC I và NIC II. 
o Tại cửa sổ Windows Firewall, chọn vào Turn Windows Firewall on 
or off, chọn Turn off Windows Firewall ( not recommended ) tại 
Private network settings và Public network settings. 
 37 
 Kiểm tra ping từ máy Client BKAP-WRK08-01đến 2 card NIC I và NIC II 
của máy BKAP-SRV12-01. 
 38 
 Chuyển sang máy Server BKAP-SRV12-01, cấu hình enable NIC Teaming. 
o Vào Server Manager / Local Server. 
o Tại Properties , kiểm tra tại NIC Teaming : Disable. 
 39 
o Click chuột vào Disable, tại cửa sổ NIC Teaming, trong Tab 
ADAPTER AND INTERFACES, chọn cả 2 card NIC I và NIC II, 
click vào Tasks / Add to New Team. 
 40 
o Tại cửa sổ NIC Teaming, tại Team name, điền tên “NIC Teaming”, chọn 
cả 2 cardNIC I và NIC II, OK. 
 41 
 Đặt địa chỉ IP cho card NIC Teaming. 
o Vào Network and Sharing Center / Change adapter settings. 
o Tại cửa sổ Network Connections, chuột phải tại card NIC Teaming, 
chọn Properties. 
o Đăt địa chỉ IP address cho card NIC Teaming. 
 42 
 Chuyển sang máy Client BKAP-WRK08-01, kiểm tra ping từ máy Client 
sang card NIC Teaming của máy BKAP-SRV12-01. 
 43 
Bài 2: 
TRIỂN KHAI DỊCH VỤ ACTIVE DIRECTORY 
Các nội dung chính được đề cập: 
 2.1. Nâng cấp máy chủ Windows Server 2012 lên Domain Controller và 
Join Domain. 
 2.2. Nâng cấp máy chủ Windows Server 2012 ( Server Core ) lên Domain 
Controller và Join Domain. 
 2.3. Cài đặt và cấu hình Additional Domain Controller. 
 2.4. Cài đặt và câu hình Child Domain. 
2.1 Nâng cấp máy chủ Windows Server 2012 lên Domain Controller 
và Join Domain. 
1. Yêu cầu bài Lab: 
+ Nâng cấp máy chủ chạy HĐH Windows Server 2012 lên Domain Controller để 
quản lý miền bkaptech.vn. 
+ Cho phép các máy trạm gia nhập vào miền bkaptech.vn. 
2. Yêu cầu chuẩn bị: 
+ Chuẩn bị 1 máy Server chạy HĐH Windows Server 2012 có tên là BKAP-DC12-
01, đặt địa chỉ IP như mô hình lab 2.1. 
+ Chuẩn bị thêm máy trạm chạy HĐH Windows 8 có tên là BKAP-WRK08-01, đặt 
địa chỉ IP như mô hình lab 2.1. 
 44 
3. Mô hình Lab: 
Hình 2.1 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-WRK12-01  ... lick chọn vào thư mục HN trong ổ 
C. 
 484 
 Click vào Next tại cửa sổ Select Item for Backup. 
 485 
 Tại cửa sổ Specify Destination Type, chọn Local drives , click 
vào Next. 
 486 
 Tại cửa sổ Select backup Destination, chọn ổ đĩa Data01 (E:) 
tại dòng Backup destination. 
 487 
 Tại cửa sổ Confirmation, click vào Backup. 
 488 
o Máy chủ tiến hành backup. 
 489 
o Vào ổ C, tiến hành xóa thư mục HN. 
 490 
o Vào cửa sổ wbadmin – [Windows Server Backup (Local)\Local 
Backup] , click vào Recover 
Tai
 491 
o Tại cửa sổ Getting Started, click vào Next (Chọn This server 
(BKAP-SRV12-01) ) 
 492 
o Tại cửa sổ Select Backup Date , (chọn ngày) click vào Next. 
 493 
o Tại cửa sổ Select Recovery Type , chọn vào File and folders, click 
vào Next. 
 494 
o Tại cửa sổ Select Items to Recover, chọn vào thư mục HN. Click vào 
Next. 
 495 
o Tại cửa sổ Specify Recovery Options , click vào Next. 
 496 
o Tại cửa sổ Confirmation, click vào Recover. 
 497 
o Tại cửa sổ Recovery Progress , chờ máy chủ Recover xong, click 
vào Close để kết thúc tiến trình. 
 498 
o Khôi phục lại thành công. 
 499 
 Đặt lịch Backup: 
o Tại cửa sổ wbadmin – [Windows Server Backup (Local)\(Local 
Backup] ,click chọn vào Backup Schedule 
 500 
o Tại cửa sổ Select Backup Configuration , cick chọn vào Custom, 
Next. 
 501 
o Tại cửa sổ Select Items for Backup, click vào Add Items. 
 502 
o Tại cửa sổ Select Items, chọn vào thư mục HN. 
 503 
o Tại cửa sổ Specify Backup Time , chọn thời gian để máy chủ 
Backup. 
 504 
o Tại cửa sổ Specify Destination Type , click chọn vào Back up to a 
volume.Next. 
 505 
o Tại cửa sổ Select Destination Volume ,click vào Add, tại cửa sổ Add 
Volume , click chọn vào ổ Data2 (F:) , OK. 
 506 
o Tại các cửa sổ tiếp theo, click vào Next và Finish để kết thúc tiến 
trình. 
 507 
10.3 Cấu hình Offline Files. 
1. Yêu cầu bài Lab: 
+ Cấu hình Offline Files. 
+ Kiểm tra sau khi cấu hình. 
2. Yêu cầu chuẩn bị: 
+ Máy BKAP-DC12-01 quản lý miền bkaptech.vn, dùng để tạo OU, Group, User. 
+ Máy BKAP-SRV12-01 Join vào miền dùng để cấu hình Offline File. 
+ Máy BKAP-WRK08-01 Join vào miền dùng để kiểm tra sau khi cấu hình. 
 508 
3. Mô hình Lab: 
Hình 10.3 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 
IP address 192.168.1.2 192.168.1.3 192.168.1.10 
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 
Gateway 192.168.1.1 192.168.1.1 192.168.1.1 
Preferred DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 
 509 
Hướng dẫn chi tiết: 
 Trên máy BKAP-DC12-01, thực hiện tạo OU, Group, User. Add User vào 
Group. 
 510 
 Chuyển sang máy BKAP-SRV12-01, Join vào Domain, đăng nhập bằng tài 
khoản Administrator của miền. 
 511 
o Tạo thư mục chia sẻ và cấu hình Offline cho phòng ban IT. 
 Vào ổ C, tạo thư mục HN , trong thư mục HN, tạo 2 thư mục 
con là IT và Sale. 
 512 
o Click chuột phải vào thư mục IT. Chọn Properties, tại cửa sổ IT 
Properties, click chọn vào Advanced Sharing 
 Tại cửa sổ Advanced Sharing, click chuột vào Permissions. 
 513 
o Tại cửa sổ Permissions fot IT, thực hiện xóa group Everyone, sau đó 
tiến hành Add vào Group GG_S_IT( GG_S_IT có quyền Change và 
Read ). 
 514 
o Cấu hình Offline trên thư mục IT: 
 Tại cửa sổ Advanced Sharing, click chuột vào Caching. 
 515 
 Tại cửa sổ Offline Settings, click chuột vào dòng Add files and 
programs that users open form the shared folder are 
automatically available offline. OK. 
 516 
o Tại cửa sổ IT Properties, chuyển sang tab Security , sau đó click vào 
Advanced. 
 517 
o Tại cửa sổ Advanced Security Setting for IT, click vào Disable 
inheritance. 
 518 
o Tại cửa sổ Block Inheritance, click chọn vào dòng Remove all 
inherited permissions from this object. OK. 
 519 
o Tại cửa sổ IT Properties / Tab Security. Click vào Edit. 
 520 
o Tại cửa sổ Permissions for IT, click vào Add, tiến hành add User 
Administrator và Group GG_S_IT vào khung Group or user 
names.Phân quyền như sau: 
 Administrator : Full control 
 GG_S_IT : Modify 
 521 
 Thư mục Sale tiến hành Share bình thường, ko cấu hình Offline file. 
 522 
 523 
o Trong folder IT tạo các tài liệu IT 
 524 
o Trong folder Sale tạo các tài liệu Sale : 
 525 
 Chuyển sang máy Clien Win 8 thực hiện Join vào domain để kiểm tra. 
o Đăng nhập bằng User hungnq trong phòng ban IT. 
 526 
 User hungnq không thuộc phòng ban Sale nên ko truy cập 
được vào thư mục Sale. 
 527 
 User hungnq thuộc phòng ban IT nên được phép truy cập vào 
thư mục IT. 
 528 
o Cấu hình Offline trên máy Client: 
 Tại cửa sổ Network , click vào thư mục IT đã được share, 
chọn Always available offline. 
 529 
 Tiếp theo click vào Map Network Drive 
 530 
o Logout tài khoản hungnq, đăng nhập bằng tài khoản nghialv. 
 531 
 Click vào thư mục Sale đã được share, chọn Map network 
Drive 
 532 
o Đăng nhập lại tài khoản hungnq. 
 533 
 Chuyển sang máy BKAP-SRV12-01 , tiến hành tắt card mạng để kiểm tra 
Offline. 
 534 
 Chuyển sang máy Client Win 8, tiến hành kiểm tra. 
o Đăng nhập bằng tài khoản hungnq đã cấu hình offline file , truy cập 
vào ổ đĩa Z thành công. 
 535 
o Kiểm tra truy cập thư mục Sale bằng tài khoản nghialv, ko truy cập 
được thư mục, do tài khoản này ko được cấu hình offline file. 
 536 
Bài 11. 
TRIỂN KHAI CHÍNH SÁCH GROUP POLICY. 
Các nội dung chính sẽ được đề cập: 
 Triển khai chính sách GPO cơ bản. 
 Giám sát tệp tin và bắt xóa file. 
 Triển khai chính sách giới hạn phần mềm. 
11.1 Triển khai chính sách GPO cơ bản. 
1. Yêu cầu bài lab: triển khai chính sách trên Domain: 
+ Đặt màn hình nền Desktop tất cả các máy tính. 
+ Khóa Registry. 
+ Không hiển thị Last Logon. 
+ Khóa Task Manager. 
+ Cấm DOS Command. 
+ Remove RUN. 
+ Sao lưu phục hồi Group Policy. 
2. Yêu cầu chuẩn bị: 
+ Một máy Server Windows Server 2012 Datacenter đã nâng cấp lên Domain 
Controller :bkaptech.vn. 
+ Tạo các OU tương ứng. 
+ Triển khai các chính sách trên phòng ban IT. 
+ Kiểm tra các chính sách khi áp dụng cho phòng ban IT bằng cách đăng nhập tài 
khoản thuộc phòng ban IT trên máy BKAP-WRK08-01. 
 537 
3. Mô hình Lab: 
Hình 11.1 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-WRK08-01 
IP address 192.168.1.2 192.168.1.10 
Subnet Mask 255.255.255.0 255.255.255.0 
Gateway 192.168.1.1 192.168.1.1 
DNS server 192.168.1.2 192.168.1.2 
 538 
Hướng dẫn chi tiết: 
 Thực hiện trên máy BKAP-DC12-01,tạo OU, group, User như mô hình, add 
user vào Group. 
 539 
o Tạo thư mục wallpaper trong ổ C ( thư mục chứa background màn 
hình nền ) , tiến hành chia sẻ thư mục. 
 540 
 Cấu hình GPO trên máy BKAP-DC12-01 :Tạo các chính sách trên phòng 
ban IT. 
o Vào Server Manager / Tools / Group Policy Management. 
 541 
o Tại cửa sổ Group Policy Management, click chuột phải vào OU IT, 
chọn Create a GPO in this domain, and Link it here 
 542 
o Tại cửa sổ New GPO, nhập vào : 
 Name : set wallpaper 
OK. 
 543 
o Click chuột phải tại chính sách set wallpaper vừa tạo, chọn Edit.. 
 544 
o Tại cửa sổ Group Policy Management Editor, click chọn vào User 
Configuration / Policies / Administrative Template.. / Desktop / 
Desktop. 
 Chọn vào Desktop Wallpaper. 
 545 
 Click vào Desktop Wallpaper, chọn Edit. 
 546 
o Tại cửa sổ Desktop Wallpaper, click vào Enable. 
 Tại Wallpaper Name : đưa vào đường dẫn folder wallpaper 
vừa share ở trên. 
 Wallpaper Name : \\192.168.1.2\wallpaper\abc.jpg 
 547 
o Cập nhật GPO: 
 Cmd / gõ lệnh gpupdate /force 
 548 
 Chuyển sang máy Clien Win 8, đăng nhập bằng tài khoản hungnq trong 
phòng ban IT để kiểm tra. 
o Client đã câp nhật màn hình nền thành công. 
 549 
 Chuyển về máy BKAP-DC12-01, tạo chính sách Block Registry. 
o Click chuột phải tại OU IT, chọn Create a GPO in this domain 
 550 
o Tại cửa sổ New GPO, nhập vào tên Name : Block registry. 
 551 
o Click chuột phải vào chính sách Block Registry vừa tạo, chọn Edit. 
 552 
o Tại cửa sổ Group Policy Managerment Editor, chọn vào mục User 
Configuration / Policies / Administrative Templates .. / System 
,chọn vào chính sách Prevent access to registry editing tools., tại đây 
click chuột phải chọn Edit. 
 553 
o Tại cửa sổ Prevent access to registry editing tools , click chọn vào 
Enable , Apply , OK. 
 554 
o Cập nhật chính sách bằng lệnh gpupdate /force trong cmd. 
 Chuyển sang máy Client Win 8 đăng nhập bằng tài khoản hungnq trong 
phòng ban IT để kiểm tra. 
 555 
 Chuyển sang máy BKAP-DC12-01, tạo thêm chính sách chặn Task 
Manager. 
o Click chuột phải tại OU IT, chọn Create a GPO in this domain 
o Tại cửa sổ New GPO, nhập vào tên chính sách Name : Chặn Task 
Manager. 
o Click chuột phải vào chính sách vừa tạo, chọn Edit. 
 556 
o Tại cửa sổ Group Policy Management Editor, chọn vào User 
Configuration / Policies / Administrative Template / System / 
Ctrl+Alt+Del Options. Chọn vào chính sách Remove Task Manager. 
 557 
o Tại cửa sổ Remove Task Manager , click vào Enable , Apply , OK. 
 558 
o Cập nhật chính sách bằng lệnh gpupdate /force trong cmd. 
 Chuyển sang máy Client Win 8 kiểm tra, Task Manager đã bị khóa. 
 559 
 Chuyển về máy BKAP-DC12-01, tại OU IT, tạo chính sách Block cmd. 
 560 
o Tại cửa sổ Group Policy Management Editor, click vào User 
Configuration / System , chọn vào chính sách Prevent access to 
the command prompt. 
 Tại chính sách này, click chuột phải chọn Edit, Enable , Apply 
, OK. 
 561 
o Cập nhật chính sách bằng lệnh gpupdate /force trong cmd. 
 Chuyển sang máy Client Win 8 kiểm tra chính sách Block cmd. 
 562 
11.2 Giám sát tệp tin và bắt xóa file. 
1. Yêu cầu bài lab: 
+ Tạo OU, tài khoản người dùng và tài khoản nhóm theo miền bkaptech.vn 
+ Tạo lần lượt các thư mục IT , Sale trên máy BKAP-SRV12-01. 
+ Cấu hình giám sát tệp tin và bắt xóa File 
+ Kiểm tra sau khi xóa file. 
2. Yêu cầu chuẩn bị: 
+ Máy BKAP-DC12-01 dùng để tạo OU, Group, User. 
+ Máy BKAP-SRV12-01 Join vào miền, dùng để tạo thư mục và phân quyền truy 
cập thư mục. 
+ Máy BKAP-WRK08-01 Join vào miền dùng để kiểm tra xóa file. 
3. Mô hình Lab: 
Hình 11.2 
 563 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 
IP address 192.168.1.2 192.168.1.3 192.168.1.10 
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 
Gateway 192.168.1.1 192.168.1.1 192.168.1.1 
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 
Hướng dẫn chi tiết: 
 Trên máy BKAP-DC12-01, thực hiện tạo OU, Group, User, add User vào 
Group. 
 564 
o Kiểm tra phân giải địa chỉ IP : 
 Chuyển sang máy BKAP-SRV12-01, tiến hành Join vào domain, đăng nhập 
bằng tài khoản Administrator. 
 565 
o Vào ổ C của máy SRV12-01. Tạo thư mục HN, trong thư mục HN, tạo 
2 thư mục IT và Sale. 
o Tiến hành chia sẻ, phân quyền 2 thư mục IT và Sale(xem lại bài Lab 
10.1) 
 566 
o Cấu hình ghi lại hoạt động của thư mục: 
 Trong cửa sổ Advanced Security Settings for IT, chuyển sang 
tab Auditing, tại đây click vào Add. 
 567 
 Tại cửa sổ Auditing Entry for IT, click vào dòng chữ xanh 
Select a principal. 
 568 
 Tại cửa sổ Select User, Computer  thêm vào group 
GG_S_IT. 
 569 
 Chọn vào dòng chữ xanh Show advanced permissions. 
 570 
 Tại cửa sổ Advanced permissions, bỏ chọn các quyền đã được 
tích dấu, chọn vào các quyền sau: 
 Create file / write data 
 Create folders / append data 
 Write attributes 
 Write extended 
 Detele subfolder 
 Delete. 
 OK. 
 571 
o Trong thư mục IT, tạo các thư mục và các file con để kiểm tra. 
 572 
 Chuyển sang máy Domain Controller triển khai chính sách ghi lại hoạt 
động của thư mục. 
o Vào dịch vụ Active Directory User and Computer, di chuyển máy 
BKAP-SRV12-01 vào OU IT. 
 573 
o Triển khai chính sách xóa File trong các phòng ban: 
 Vào Group Policy Management. 
 Tại OU HANOI, tạo 1 chính sách tên “bắt xóa file”. 
 Click chuột phải tại chính sách vừa tạo, chọn Edit. 
 574 
o Trong cửa sổ Group policy Management Editor, click vào 
Compuer Configuration / Policies / Windows Settings / Security 
Settings / Local Policies / Audit Policy. 
 Chọn chính sách Audit object access. 
 Click chuột phải tại chính sách này, chọn Properties. 
 575 
 Tại cửa sổ Audit object access Properties, click chọn vào 
Define these policy settings và 2 tùy chọn Success , Failure. 
 Apply / OK. 
 576 
o Sử dụng lệnh gpupdate /force trong cmd để áp dụng chính sách. 
 577 
 Chuyển sang máy Client Win 8, Join vào Domain, đăng nhập bằng tài khoản 
hungnq trong phòng ban IT, truy cập vào thư mục IT ,xóa File cũ, tạo File 
mới. 
 578 
o Xóa file cũ, tạo File mới. 
 579 
 Chuyển sang máy BKAP-SRV12-01 kiểm tra xóa file: 
o Vào Event Viewer. 
o Trong cửa sổ Event Viewer, click chọn Windows Log / Security 
o Click chuột phải tại Security / chọn Filter Current Log. 
 580 
o Tại cửa sổ Filter Current Log , nhập vào ID 5145, tiến hành kiểm 
tra. 
11.3 Triển khai chính sách (GPO) giới hạn sử dụng phần mềm. 
1. Yêu cầu bài Lab: 
+ Tạo OU, tài khoản người dùng và Group theo miền. 
+ Triển khai chính sách chặn phần mềm Firefox. 
+ Sử dụng tài khoản trong miền kiểm tra truy cập sau khi chặn dịch vụ. 
2. Yêu cầu chuẩn bị: 
+ Máy BKAP-DC12-01 dùng để tạo OU, Group, User, quản lý miền bkaptech.vn 
+ Máy BKAP-WRK08-01 Join vào miền dùng để kiểm tra. 
 581 
3. Mô hình Lab: 
Hình 11.3 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-SRV12-01 
IP address 192.168.1.2 192.168.1.10 
Subnet Mask 255.255.255.0 255.255.255.0 
Gateway 192.168.1.1 192.168.1.1 
DNS Server 192.168.1.2 192.168.1.2 
 582 
Hướng dẫn chi tiết: 
 Trên máy BKAP-DC12-01, tạo OU, Group, User , Add User vào Group 
o Di chuyển máy Client vào OU IT 
 583 
o Tạo chính sách chặn phần mềm Firefox. 
 Tại cửa sổ Group Policy Management , tạo chính sách “Chặn 
Firefox” cho phòng ban IT. 
 584 
o Click chuột phải tại chính sách vừa tạo, chọn Edit. 
 585 
o Tại cửa sổ Group Policy Management Editor , chọn vào Computer 
Configuration / Policies / Windows Settings / Security Settings / 
Application Control Policies / Applocker 
 Click chuột phải tại Applocker chọn Properties. 
 586 
o Tại cửa sổ Applocker Properties / Tab Enfocement , Tích vào 
Configured tại Executable rules / OK. 
 587 
o Click vào Applocker / Executable Rules , click chuột phải chọn 
Create New Rule 
 588 
o Tại cửa sổ Create Executable Rules / Permissions : 
 Action : Deny 
o Tại cửa sổ Publisher ,Browse đến “firefox” trong ổ C 
 Kéo con trỏ ở dưới lên phần Any publisher. 
 Next. 
o Tại cửa sổ Name and Description nhập vào: 
 Name : Chan Firefox. 
 Create. 
 589 
o Xóa Rule BULTIN\Administrator  
 590 
o Tại Group Policy Management / Computer Configuration /  
Secutiry Settings / System Services , chọn vào Application 
Identity. 
 Click chuột phải tại Application Identity, chọn Properties. 
 591 
o Tại cửa sổ Application Identity Properties , chọn vào Automatic. 
 592 
o Sử dụng câu lệnh gpupdate /force trong cmd để áp dụng chính sách. 
 593 
 Chuyển sang máy Client Win 8, đăng nhập bằng tài khoản hungnq trong 
phòng ban IT để kiểm tra 
 594