Hướng dẫn giải đề thi Quản trị mạng khóa trước Học viện Kỹ Thuật Mã

MCSA, quản trị mạng

Phần 1: Thực hành

* Trước khi làm bài:

-Cài địa chỉ ip tĩnh cho server(có thể có sẵn)

- Cài Domain Controller(có thể có sẵn)-Cài DNS....dcpromo(có thể có sẵn)
-Cài địa chỉ ip cho client
-Thiết lập card mạng là Host only
-Tắt tưởng lửa
-Ping 2 máy Server và Client
-Join máy Client vào domain

Đề 1

a) Tạo OU

b)
- Khoảng thời gian nào đó:

-Máy nào đó:

c)- Ủy thác quyền quản lý:
Chuột phải vào OU chọn Delegate Control > Add nhóm quản lý > Next.... Tích chọn theo yêu cầu đề bài:

• Có quyền tạo, xóa và quản lý tài khoản người dùng
• Có quyền thiết lập lại mật khẩu người dùng và buộc người dùng phải thay đổi mật khẩu trong lần đăng nhập kế tiếp
• Có quyền đọc tất cả thông tin của người dùng
• Có quyền tạo, xóa và quản lý tài khoản nhóm
• Có quyền thay đổi thành viên trong nhóm
• Có quyền quản trị chính sách nhóm

-Kiểm tra kết quả (đăng nhập user trên server): Chỉnh Defualt Domian Control Policy

Đề 2

b) - Ấn định mật khẩu:

-Khóa chặt tài khoản:

- Và chỉ cho nhóm Everyone áp dụng chính sách này: Xóa nhóm Authenticated Users, sau đó Add nhóm Everyone

*Note: Gặp đề này hơi khoai sắn vì sau khi chạy lệnh cmd để áp dụng chính sách này thì ko thành công. Vì chính sách ấn định và khóa chặt tài khoản chỉ làm được trên Default Domain Policy.(cái này đã tham khảo các tiền bối học MCSA rồi). Còn làm thì các bạn làm đến đây đã được điểm rồi còn lúc vấn đáp thầy bắt demo thì
Cách 1: Chỉnh sửa cả GPO1 và Default
Cách 2: Vào phần Add (ảnh ngay trên) add tên máy client vào. ok :)))
Tạm thời có 2 cách này để đối phó.
Tất nhiên là vẫn có cách để làm được như đề bài mong muốn nhưng phức tạp, ai thắc mắc liên hệ trực tiếp.

c) Ko. Lý do:

• Như ý ghi trong Note ( chỉ làm trên Default mới thành công)
• Giả sử GPO1 thành công: user 2 ( thuộc OU2) có liên kết gì đối với GPO1 nên ko thể áp dụng.
• user 2 ko nằm trong OU1

Để user 2 làm được điều đó....: 

• Tạo liên kết giữa GPO1 với OU2 ( giả sử GPO1 đã ok)
• Chỉnh sửa Default

d) Muốn cho máy 160 thực hiện chính sách này thì ta chỉ cần add Máy 160 vào: Ấn add => bảng hiện lên chọn Object Types => tích vào Computers sau đó nhập tên máy là "Máy 160" như bình thường.

Đề 3

b) -Trao quyền truy cập từ xa: Sharing +  Map Nerwork Drive
Bước 1: Thiết lập Sharing

Bước 2: Theo như giáo trình mình là sẽ làm Map Nerwork Drive

Đầu tiên phải bật Network discovery như hình dưới:

Tại Client. Vào tool chọn Map Network Drive: Chọn thư mục cần trao quyền > Finish

-Trao quyền cục bộ: Vào Security thiết lập các quyền cho từng user bằng cách Add thêm user và tích chọn Allow các quyền tương ứng. Cấm tường minh chọn Deny.
* Riêng để xóa nhóm Users thì phải cần phải tắt tính kế thừa của nó: Tại Security chọn Advanced > Edit > Bỏ tích Included inheriable...OK. Sau đó có thể xóa nhóm
Users bình thường.

c)
Quyền tổng hợp = Quyền tổng hợp cục bộ ∩ Quyền tổng hợp truy cập từ xa
Quyền tổng hợp cục bộ ( hoặc từ xa) = Quyền trao trực tiếp + Quyền kế thừa từ các nhóm - Quyền bị cấm tường mình
-Ý 1
Quyền tổng hợp truy cập từ xa của user1 = Read
Quyền tổng hợp truy cập cục bộ của user1 = Modify = Read + Write + Delete
=> Quyền tổng hợp = Read

-Ý 2
Có quyền Modify
-Ý 3
Read + Write

d) Tại user Administator: Security> Avanced > Owner > chọn user 2 > OK. Sau đó đăng nhập lại Server với user 2 chúng ta có thể tự trao quyền cục bộ Full Control.

Đề 4

b)c) Giống đề trước
d) -Add user1,user2 vào nhóm 1
     -Tại GPO1 add user1,user2 trong Security Filtering.

Đề 5

b) Control Panel > Printers > Add Printer > Add a local printer> Next....
Sau đó phân quyền giống như thư mục.

c) Có. vì đã set Print cho nhóm Everyone. Để user1 in được từ xa thì phải làm thao tác Sharing như folder.

Sau đó tạo Network printer: Add printer > Add a network printer > ....

d)

Tại đây bạn phải add 1 file có đuôi là .sep. File này đc tạo ra từ note và có nội dung như sau:

$
$L Day la trang phan cach
$L Nguoi in: $N
$1
$L Thoi gian in $T $L ngay $D

e)- Cấm tường minh
   -Add vào nhóm 1
Có quyền Manager Document.

Phần 2: Lý thuyết

#1. Có mấy mấy nhóm bảo mật => 3 nhóm:

-Cục bộ ( local group ): nhóm được gán với từng máy tính, cấp phát quyền truy cập tại chỗ

VD: Administrator, Backup Operator,Users,...

-Toàn miền ( global group ): tập hợp user và group toàn miền khác, vốn cần có những quyền truy cập giống nhau

VD: Domain Admins, Domain Users, Domain Guests

-Toàn rừng(universal group): chỉ có trong windows server, dung hòa giữa 2 nhóm trên , ko được ủy quyền thực hiện các chức năng mạng như nhóm cục bộ

VD: Enterprise Admin, Schema Admin

*Sự khác nhau:

- Nhóm cục bộ: Có thể tiếp nhận các user, tiếp nhận các group khác loại là thành viên nhưng ko là thành viên của các group loại khác

- Nhóm toàn miền: Ko được phép tiếp nhận các group loại khác làm thành viên, mà thành viên của nó chỉ có thể là user, các group toàn miền

-Nhóm toàn rừng: Vừa có thể tiếp nhận nhóm loại khác là thành viên, vừa có thể làm thành viên của nhóm loại khác.

#2. Trình bày các chức năng của chính sách nhóm => Gán các quyền hệ thống cho người dùng

- Giới hạn những ứng dụng mà người dùng được phép thi hành 

-Kiểm soát các thiết lập hệ thống 

-Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy 

-Đơn giản hóa và hạn chế các chương trình 

-Hạn chế tổng quát màn hình Desktop của người dùng

#3. Nêu khái nhiệm nhóm, các loại nhóm của Windows 2000. Trình bày sự khác nhau giữa nhóm bảo mật là nhóm phân phối thư tín 

- nhóm là 1 đối tượg(Object) dùg để đại diện cho nh hơn 2 user có chug đặc tíh. 

- có 2 loại nhóm: +security( bảo mật) +Distribution( phân phối) 

- phân biệt: 

    +security: dùg để phân quyền kiểu HỆ THỐNG 

    +phân phối: sử dụg để chia sẻ các email , tin nhắn hay đại loại thế 

#4. Phân biệt OU và Nhóm => OU là mô hình nhỏ nhất trong hệ thống AD, trao quyền quản lý 1 tập hợp tài khoản người dùng máy tính hay thiết bị mạng cho 1 người hoặc nhóm phụ tá sub admin giảm gánh nặng người quản lý. OU là 1 khoang chứa các Object ( Người dùng, nhóm, máy tính, máy in,...) Nhóm là 1 đối tượng đại diện cho các user

#5. Phân biệt giữa quyền hạn ( Rights ) và quyền truy cập ( Permissions ) trên mạng
-Quyền hạn: quyền truy cập các đối tượng hệ thống ( vd: khả năng đăng nhập 1 server)

-Quyền truy câp: chỉ định cho ai được dùng các dùng các đối tượng nào đó và dùng ở mức nào (vd: cấp quyền Read cho user1)
#6. Trình bày vai trò của Active Directory: 

-Lưu trữ các thông tin giữa ng dùng và máy

-Đóng vai trò chứng thực và quản lý đăng nhập 

-Duy trì chỉ mục giúp cho quá trình tìm kiếm tài nguyên trên mạng nhanh hơn 

-Cho phép tạo ra nhiều tk ng dùng vs mức độ độc quyền khác nhau 

-Chia nhỏ Domain thành nhiều subdomain

#7. Nêu sự khác nhau giữa người dùng của máy và tài khoản người dùng của miền => Người dùng của máy chỉ sử dụng được ở máy đó ( cục bộ ), tài khoản người dùng có thể đăng nhập và sử dụng ở tất cả các máy trong mạng

#8. Khi người dùng sử dụng được trao quyền truy cập đối với 1 thư mục và cả 1 số file hay thư mục con của nó thì Windows Server sẽ xử lý như nào ? => Quyền trực tiếp sẽ được áp dụng trước, Quyền thừa kế áp dụng sau, từ trong ra ngoài

#9. Thế nào là quyền truy cập từ xa? Có những quyền truy cập từ xa nào? Khi nào quyền truy cập từ xa không có ý nghĩa? => Quyền truy cập từ xa là quyền truy cập đến các tài nguyên được chia sẻ trong hệ thống mạng Có 3 quyền truy cập từ xa: Full Control, Read, Change. Quyền truy cập từ xa không có ý nghĩa khi người dùng đăng nhập trên chính máy cấp quyền truy cập từ xa ( đại loại là thế )

#10. Trình bày tổng hợp các quyền truy cập, cho ví dụ minh họa

(Giống phần thực hành phía trên )

#11. Trình bày đặc điểm chính của tính năng cài đặt phần mềm, phân biệt quảng bá và phân bổ gói phần mềm. => Đặc điểm là cấu hình trên máy chủ.quảng bá thì quảng bá cho tất cả mọi người đều biết còn phân bổ chỉ phân bổ cho người dùng được chỉ định được biết

#12. trình bày cấu trúc của active directory 

-Miền (Domain)

-Đơn vị tổ chức (OU)

-Địa bàn (Site)

-Cây của các miền(Tree of domains)

-Rừng của các miền(Forest of Domains)

Cập nhật 1:30CH ngày 27/12/2016