Hướng dẫn quản trị Windows Server 2008​?

Posted on by

Windows Server 2008 là một trong những hệ điều hành máy chủ được Microsoft phát triển nhằm cung cấp nền tảng mạnh mẽ và linh hoạt cho các doanh nghiệp trong việc quản lý hạ tầng CNTT. Với các tính năng như Active Directory, Group Policy, DHCP, DNS và khả năng ảo hóa thông qua Hyper-V, Windows Server 2008 không chỉ giúp tối ưu hóa hiệu suất hệ thống mà còn tăng cường tính bảo mật và khả năng mở rộng.

Bài viết này sẽ hướng dẫn chi tiết các bước cơ bản đến nâng cao trong việc quản trị Windows Server 2008, giúp quản trị viên hệ thống nắm vững kiến thức và áp dụng hiệu quả trong môi trường thực tế.

1. Tạo Tài khoản Người dùng Cục bộ

B1: Mở Local Users and Groups

  • Cách 1: Mở Start > Administrative Tools > Computer Management > Local Users and Groups.
  • Cách 2: Mở hộp thoại Run (phím Windows + R), gõ lusrmgr.msc và nhấn Enter.

B2: Tạo người dùng mới

– Nhấp chuột phải vào thư mục

Users và chọn New User….

B3: Điền thông tin người dùng

  • User name: Tên đăng nhập (ví dụ: SV1).
  • Full name: Tên đầy đủ (ví dụ: Nguyen Van Nam).
  • Description: Mô tả (ví dụ: Lop Truong).
  • Password: Đặt mật khẩu (ví dụ: abc@123).
  • Confirm password: Nhập lại mật khẩu.

B4: Tùy chỉnh tùy chọn và hoàn tất

– Bỏ dấu tick ở mục: User must change password at next logon.

Nhấn nút Create để tạo người dùng.

B5: Tạo thêm các user khác

Lặp lại các bước trên để tạo thêm các người dùng

SV2, SV3.

2. Tạo Nhóm Cục bộ (Local Group Account)

B1: Mở Local Users and Groups

Vào Start > Run, gõ lusrmgr.msc.

B2: Tạo nhóm mới

Nhấp chuột phải vào thư mục

Groups và chọn New Group….

B3: Đặt tên nhóm

Group name: Nhập tên nhóm (ví dụ: SINHVIEN).

B4: Thêm thành viên vào nhóm

Nhấn nút

Add….

Trong hộp thoại

Select Users, gõ tên người dùng cần thêm (ví dụ: SV1) và nhấn Check Names.

Khi tên người dùng đã được xác thực (có gạch chân), nhấn OK.

B5: Quan sát và hoàn tất

Bạn sẽ thấy người dùng

SV1 đã được thêm vào danh sách Members.

Nhấn Create để hoàn tất việc tạo nhóm.

3. CHÍNH SÁCH CỤC BỘ (LOCAL POLICY)

Group Policy cho phép quản trị viên tùy biến và áp đặt các cấu hình lên Windows một cách mạnh mẽ.

B1: Mở Microsoft Management Console (MMC)

Vào Start > Run, gõ MMC và nhấn Enter.

B2: Thêm Snap-in

Từ menu File, chọn Add/Remove Snap-in….

B3: Chọn Group Policy Object Editor

Trong danh sách

Available snap-ins, chọn Group Policy Object Editor và nhấn Add >.

B4: Chọn đối tượng Policy

Trong cửa sổ Wizard hiện ra, nhấn Finish để chọn chính sách cho Local Computer.

Để áp dụng chính sách cho người dùng hoặc nhóm cụ thể, nhấn Browse…, chuyển qua tab Users, và chọn người dùng (ví dụ: U2), nhóm (ví dụ: Administrators, Non-Administrators) rồi nhấn Finish.

B5: Lưu Console

Sau khi thêm các đối tượng policy cần thiết, vào

File > Save để lưu console ra Desktop (ví dụ: console1) để tiện sử dụng.

4. Điều chỉnh Policy cho Máy tính (Computer Configuration)

Ví dụ: Tắt tính năng tự động chạy (Autorun) cho tất cả các ổ đĩa.

B1: Mở Console đã lưu

B2: Đi đến chính sách AutoPlay

Mở theo đường dẫn:

Local Computer Policy > Computer Configuration > Administrative Templates > Windows Components > AutoPlay Policies.

B3: Cấu hình chính sách

Ở khung bên phải, nhấp đúp vào Turn off Autoplay.

Chọn Enabled.

Trong phần Turn off Autoplay on, chọn All drives.

Nhấn OK.

B4: Áp dụng chính sách

Mở Command Prompt (Start > Run > gõ CMD), sau đó gõ lệnh gpupdate /force và nhấn Enter.

5.  Điều chỉnh Policy cho Người dùng (User Configuration)

Ví dụ: Chặn người dùng truy cập Control Panel.

B1: Mở Console đã lưu

B2: Đi đến chính sách Control Panel

Mở theo đường dẫn: Local Computer Policy > User Configuration > Administrative Templates > Control Panel.

B3: Cấu hình chính sách

Ở khung bên phải, nhấp đúp vào Prohibit access to the Control Panel.

Chọn Enabled và nhấn OK.

B4: Áp dụng chính sách

Chạy lệnh gpupdate /force trong Command Prompt.

6. CHÍNH SÁCH BẢO MẬT CỤC BỘ (LOCAL SECURITY POLICY)

Chính sách Mật khẩu (Password Policy)

B1: Mở Local Security Policy

Vào Start > Administrative Tools > Local Security Policy.

B2: Điều chỉnh độ phức tạp mật khẩu

    • Đi đến Account Policies > Password Policy.
    • Nhấp đúp vào Password must meet complexity requirements.
    • Chọn Disabled để cho phép đặt mật khẩu đơn giản (ví dụ: “123”).
    • Nhấn OK.

B3: Áp dụng thay đổi

    • Chạy lệnh gpupdate /force.

6. Chính sách Khóa Tài khoản (Account Lockout Policy)

B1: Đi đến chính sách khóa tài khoản

Trong Local Security Policy, mở

Account Policies > Account Lockout Policy.

B2: Cấu hình các tùy chọn

  • Account lockout threshold: Đặt số lần đăng nhập sai tối đa trước khi khóa tài khoản (ví dụ: 3 lần).
  • Account lockout duration: Đặt thời gian tài khoản bị khóa (ví dụ: 30 phút).
  • Reset account lockout counter after: Đặt thời gian để bộ đếm số lần sai quay về 0 (ví dụ: 30 phút).

7. QUYỀN CHIA SẺ (SHARE PERMISSION)

Phần này hướng dẫn cách chia sẻ tài nguyên qua mạng và kiểm soát quyền truy cập của người dùng.

B1: Chọn thư mục và bắt đầu chia sẻ

    • Trong ổ C, tìm đến thư mục DULIEU, nhấp chuột phải và chọn Share…

 

B2: Cấu hình chia sẻ nâng cao

Trong tab Sharing, nhấp vào Advanced Sharing… Đánh dấu vào ô Share this folder.

Nhấp vào nút Permissions.

B3: Gán quyền truy cập

Trong cửa sổ Permissions, chọn nhóm Everyone. Ở bên dưới, trong cột Allow, đánh dấu vào ô Full Control.

Nhấn OK để hoàn tất.

B4: Kiểm tra truy cập

    • Từ máy PC02, mở hộp thoại Run, gõ \\PC01 và nhấn OK.
    • Nhập tài khoản U1 và mật khẩu 123 khi được yêu cầu để xem thư mục DULIEU.

8. Chia sẻ ẩn một thư mục

Chia sẻ ẩn làm cho thư mục không hiển thị khi người khác duyệt máy tính của bạn qua mạng.

B1: Bắt đầu chia sẻ thư mục BIMAT

Nhấp chuột phải lên thư mục BIMAT và chọn Share….

B2: Cấu hình chia sẻ ẩn

Vào Advanced Sharing…. Đánh dấu vào Share this folder.

Trong ô Share name, thêm ký tự $ vào cuối tên thư mục (ví dụ: BIMAT$).

Thiết lập Permissions cho EveryoneFull Control tương tự như trên.

B3: Kiểm tra

Từ PC02, truy cập \\PC01 sẽ không thấy thư mục BIMAT.

Để truy cập, phải gõ đầy đủ đường dẫn trong hộp thoại

Run: \\PC01\BIMAT$.

9. Ánh xạ ổ đĩa mạng (Map Network Drive)

Giúp truy cập thư mục chia sẻ nhanh chóng như một ổ đĩa trên máy tính.

B1: Chia sẻ thư mục

Chia sẻ một thư mục trên PC1, ví dụTAILIEU trên ổ C.

B2: Ánh xạ ổ đĩa

Trên máy client (PC2), mở Computer, nhấp chuột phải và chọn Map network drive…. Drive: Chọn một ký tự ổ đĩa (vídụ: X:).

Folder: Gõ đường dẫn UNC đến thư mục chia sẻ (ví dụ: \\PC01\TAILIEU). Nhấn Finish.

B3: Kiểm tra

Mở Computer sẽ thấy xuất hiện một ổ đĩa mạng mới.

10: QUYỀN NTFS (NTFS PERMISSION)

Quyền NTFS cung cấp khả năng kiểm soát truy cập chi tiết hơn quyền Share và có hiệu lực ngay cả khi người dùng đăng nhập trực tiếp trên máy chủ.

B1: Mở thuộc tính bảo mật

Nhấp chuột phải vào thư mục (ví dụ: DATA), chọn Properties > tab Security.

B2: Vô hiệu hóa quyền kế thừa

Nhấp vào Advanced.

Trong tab Permissions, nhấn Edit (hoặc Change Permissions).

Bỏ dấu tick ở mục: Include inheritable permissions from this object’s parent.

Một hộp thoại sẽ xuất hiện, chọn Copy để giữ lại các quyền hiện có và chỉnh sửa chúng.

B3: Chỉnh sửa quyền

Quay lại tab Security, nhấn Edit….

Thêm người dùng/nhóm: Nhấn Add…, gõ tên (ví dụ: KETOAN; NHANSU), nhấn Check Names rồi OK.

Xóa người dùng/nhóm: Chọn người dùng/nhóm và nhấn Remove.

Gán quyền: Chọn một người dùng/nhóm, sau đó ở khung bên dưới, đánh dấu vào các ô trong cột Allow hoặc Deny cho các quyền tương ứng (Full Control, Modify, Read, Write, v.v.).

11. DOMAIN CONTROLLER

Nâng cấp máy chủ lên Domain Controller (DC)

B1: Cấu hình IP tĩnh

Đặt một địa chỉ IP tĩnh cho máy chủ.

Quan trọng: Mục

Preferred DNS server phải trỏ về chính địa chỉ IP của máy chủ này.

B2: Chạy trình cài đặt Active Directory

Vào Start > Run, gõ dcpromo và nhấn Enter.

B3: Thực hiện các bước trong Wizard

Đánh dấu vào Use advanced mode installation.

Chọn Create a new domain in a new forest.

Nhập tên miền đầy đủ (FQDN), ví dụ:

cse.edu.

Chọn Forest functional levelWindows Server 2008.

Đảm bảo DNS server được chọn.

    • Đặt mật khẩu cho Directory Services Restore Mode.
    • Nhấn Next qua các bước còn lại và đợi quá trình hoàn tất, sau đó khởi động lại máy chủ.

12. Gia nhập máy trạm vào Domain

B1: Cấu hình DNS trên máy trạm

Vào cấu hình TCP/IP của máy trạm.

Đặt Preferred DNS server là địa chỉ IP của máy DC.

B2: Join Domain

Nhấp chuột phải vào Computer > Properties.

Chọn Change settings > Change….

Trong mục Member of, chọn Domain và gõ tên miền (ví dụ: cse.edu).

    • Nhập tài khoản và mật khẩu của quản trị viên domain để xác thực.
    • Khởi động lại máy trạm

13: QUẢN LÝ GROUP POLICY (GROUP POLICY MANAGEMENT)

B1: Mở Group Policy Management

Vào Start > Administrative Tools > Group Policy Management.

B2: Tạo GPO mới

Trong cây thư mục, nhấp chuột phải vào

Group Policy Objects và chọn New.

Đặt tên cho GPO (ví dụ:An Control Panel) và nhấn OK.

B3: Chỉnh sửa GPO

Nhấp chuột phải vào GPO vừa tạo và chọn Edit.

Đi đến cấu hình mong muốn (ví dụ:User Configuration > Policies > Administrative Templates > Control Panel > Prohibit access to the Control Panel) và bật (Enable) nó.

B4: Liên kết (Link) GPO vào OU

Quay lại cửa sổ Group Policy Management, nhấp chuột phải vào OU bạn muốn áp dụng chính sách (ví dụ: OU HUI) và chọn Link an Existing GPO….

Chọn GPO đã tạo (An Control Panel) và nhấn OK.

14. Chặn kế thừa (Block Inheritance)

Ngăn một OU kế thừa các GPO từ OU cha. Trong Group Policy Management, nhấp chuột phải vào OU con (ví dụ: OU CSE) và chọn Block Inheritance. Đảm bảo một GPO từ OU cha luôn được áp dụng cho các OU con, ngay cả khi OU con đã chặn kế thừa.

Trong OU cha (ví dụ: HUI), nhấp chuột phải vào GPO đã liên kết (An Control Panel) và chọn Enforced.

15. QUẢN LÝ TÀI NGUYÊN FILE SERVER (FILE SERVER RESOURCE MANAGER)

Công cụ này giúp quản lý dữ liệu hiệu quả bằng cách áp đặt hạn ngạch (quota) trên thư mục và chặn lưu các loại file không mong muốn.

Cài đặt File Server Resource Manager (FSRM)

B1: Mở Server Manager

B2: Thêm Role Services

Trong mục Roles, nhấp chuột phải vào File Services và chọn Add Role Services.

B3: Chọn FSRM

Trong danh sách, đánh dấu vào File Server Resource Manager và nhấn Next để hoàn tất cài đặt.

16. Tạo Hạn ngạch (Quota) cho thư mục

B1: Mở FSRM

Vào Start > Administrative Tools > File Server Resource Manager.

B2: Tạo Quota

Mở rộng Quota Management, nhấp chuột phải vào Quotas và chọn Create Quota….

B3: Cấu hình Quota

Quota path: Chọn đường dẫn đến thư mục cần giới hạn (ví dụ: C:\BAOCAO).

Chọn Define custom quota properties và nhấn Custom Properties….

B4: Đặt giới hạn

Limit: Nhập dung lượng giới hạn (ví dụ: 5 MB).

Chọn Hard quota để không cho phép người dùng vượt quá giới hạn.

Nhấn OKCreate để hoàn tất.

17: Chặn loại File (File Screening)

B1: Tạo một Nhóm File (File Group)

Trong FSRM, mở rộng

File Screening Management, nhấp chuột phải vào File Groups và chọn Create File Group….

Đặt tên cho nhóm (ví dụ:Cam file exe).

Trong ô Files to include, gõ *.exe và nhấn Add.

B2: Tạo một File Screen

Nhấp chuột phải vào File Screens và chọn Create File Screen….

B3: Cấu hình File Screen

File screen path: Chọn thư mục cần áp dụng (ví dụ: C:\BAOCAO).

Chọn Define custom file screen properties và nhấn Custom Properties….

Trong tab Settings, ở mục File groups, đánh dấu vào nhóm file bạn đã tạo (Cam file exe).

Đảm bảo Screening typeActive screening để chặn lưu file.

Nhấn OKCreate để hoàn tất.

 

 

Leave a Reply