Fine grained password policy trên windows 2008 dong phuong nam

Chương 1: Tìm hiểu về hệ điều hành Windows server 2008
1.1 Tổng quan về Windows Server 2008
MS Windows Server 2008 được bổ sung nhiều tính năng mới,nhằm cung cấp nhiều cải thiện
tốt hơn cho OS máy chủ so với phiên bản MS Windows Server 2003. Những cải thiện có thể
thấy được như: các vấn đề về mạng,công nghệ ảo hóa, quản lý nâng cao với tính năng quản
trị từ xa và Powershell, các tính năng bảo mật nâng cao, các công cụ kiểm tra độ tin cậy và
hiệu suất, nhóm chuyển đổi dự phòng, cải thiện dịch vụ Active Directory và Group Policy.
Những cải thiện này sẽ giúp các tổ chức tối đa được tính linh hoạt, khả năng sẵn có và kiểm
soát được hệ thống Servers, đáp ứng được tất cả các nhu cầu xử lý công việc và yêu cầu về
hệ thống phần cứng, giúp khai thác tối đa được hệ thống phần cứng x64 và bộ vi xử lý
(CPU) đa nhân.
Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows Server, có thể
giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ sở hạ tầng của họ và
cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơn hẳn trong viện đảm
bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắc hơn các phiên bản trước
đây.
Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc đảm bảo tất cả
người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từ mạng. Windows
Server 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều hành và khả năng
chuẩn đoán, cho phép các quản trị viên tăng được thời gian hộ trợ cho công việc của doanh
nghiệp.
Windows Server 2008 xây dựng trên sự thành công và sức mạnh của hệ điều hành đã có
trước đó là hệ điều hành Windows Server 2003 và những cách tân đã có trong bản Service
Pack 1 và Windows Server 2003 R2. Mặc dù vậy Windows Server 2008 hoàn toàn hơn hẳn
các hệ điều hành tiền nhiệm. Windows Server 2008 được thiết kế để cung cấp cho các tổ
chức có được nền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm
làm việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những
cải thiện mạnh mẽ cho hệ điều hành cơ bản.
Cải thiện cho hệ điều hành máy chủ của windows
Thêm vào tính năng mới, Windows Server 2008 cung cấp nhiều cải thiện tốt hơn cho hệ
điều hành cơ bản so với Windows Server 2003. Những cải thiện có thể thấy được gồm có

các vấn đề về mạng, các tính năng bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role
máy chủ tập trung, các công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự
phòng,sự triển khai và hệ thống file. Những cải thiện này và rất nhiều cải thiện khác sẽ giúp
các tổ chức tối đa được tính linh hoạt, khả năng sẵn có và kiểm soát được các máy chủ của
họ.
1.2 Tìm hiểu về hệ điều hành Windows
1.2.1 Sơ lược Windows của Microsoft
Hệ điều hành Windows đã có một lịch sử phát triển khá dài, phiên bản đầu tiên của hệ điều
hành này đã được phát hành cách đây khoảng 25 năm và quãng thời gian mà Windows
chiếm được ưu thế đối với các máy tính cá nhân cũng vào khoảng trên 15 năm. Rõ ràng, qua
rất nhiều thay đổi về kỹ thuật trong 25 năm qua, phiên bản ngày nay của Windows đã được
phát triển hơn rất nhiều so với phiên bản Windows 1.0.
Phiên bản đầu tiên của Windows này (Windows 1.0) khá sơ đẳng.Sơ đẳng hơn cả hệ điều
hành DOS trước đó, tuy nhiên nhược điểm phát sinh là ở chỗ rất khó sử dụng.Vì thực tế khi
đó nếu bạn không có chuột thì việc sử dụng sẽ khó khăn hơn rất nhiều so với giao diện dòng
lệnh của DOS.
Tuy nhiên Windows được phát triển ngày một tốt hơn và cũng được phổ biến rộng rãi
hơn.Microsoft đã nâng cấp Windows trên một cơ sở nhất quán qua hai thập kỷ qua.Phát
hành một phiên bản Windows mới sau một vài năm; đôi khi phiên bản mới chỉ là một nâng
cấp nhỏ nhưng đôi khi lại là quá trình đại tu toàn bộ.
Cho ví dụ, Windows 95 (phát hành năm 1995), phiên bản được viết lại toàn bộ từ Windows
3.X trước đó nhưng trong khi đó phiên bản kế tiếp, Windows 98, lại là một nâng cấp và
phiên bản Windows 98 thứ hai (năm 1999) thực sự không khác gì một bản vá lỗi nhỏ và
ngày càng hoàn thiện hơn.
1.2.2 Các phiên bản Windows
Windows Server là một nhánh của hệ điều hành máy chủ được sản xuất bởi tập đoàn
Microsoft. Sau đây là các phiên bản windows của Microsoft:
GVHD: TS.KH Lê Đình Tuấn
2
MS-DOS 1.0

Vào ngày 12 tháng 8 năm 1981, IBM giới thiệu chiếc máy tính cá nhân có sử dụng hệ điều
hành 16 bit của Microsoft, MS-DOS 1.0, đây là phát minh của chàng trai trẻ Bill Gate.
Windows 3.0
Vào ngày 22 tháng 5 năm 1990, Microsoft giới thiệu Windows 3.0 với giao diện đồ họa cho
người dùng, hỗ trợ VGA, và hiệu ứng 3D giống như với những phiên bản hiện nay. Hệ điều
hành này đã được giới thiệu cùng với Program Manager và File Manager, đây là hệ điều
hành đầu tiên thực sự mang lại thành công cho Microsoft.
Windows NT 3.1
Microsoft chính thức phát hành Windows NT Advanced Server 3.1 vào ngày 24 tháng 10
năm 1993 và dự án này được tiếp tục quản lý dưới sự chỉ đạo của Dave Cutler. Hệ điều
hành này cho phép các công ty có thể sử dụng mạng LAN và được giới thiệu giao diện lập
trình (API) Win32.“Windows NT được sinh ra không chỉ để thay đổi cách thức các doanh
nhân sử dụng máy tính vào nhu cầu kinh doanh của mình”, Bill Gate phát biểu trong lễ ra
mắt hệ điều hành này.
Windows for Workgroups 3.11
Được phát triển dựa trên Windows 3.1, hệ điều hành này đã thêm tính năng làm việc theo
nhóm ngang hàng (peer-to-peer) và hỗ trợ làm việc theo vùng. Máy tính cá nhân dựa trên
nền tảng của Windows đã lần đầu tiên được hoạt động trên mạng và dựa trên quan hệ
chủ/khách (Client/Server). Hệ điều hành này cũng được phát triển lên thành Windows NT
Workstation 3.5, hệ điều hành được phát triển cho việc hỗ trợ những ứng dụng cao cấp và
mạng chia sẻ dữ liệu và máy in Netware.
Windows 95
Được phát hành vào tháng Tám năm 1995, hệ điều hành này là sự thay thế cho hai phiên bản
cũ của Windows là 3.1 và DOS. Tính năng chính của hệ điều hành này là màn hình, thanh
tác vụ và Start Menu được ra mắt, những tính năng này vẫn còn tồn tại đến những phiên bản
hiện nay. Hệ điều hành này cũng được tích hợp DOS làm nhiệm vụ liên kết giữa Windows
với phần cứng máy tính.
Windows NT 4.0
Được giới thiệu vào tháng Bảy năm 1996, hệ điều hành này có 4 phiên bản Workstation,
Terminal Server và hai phiên bản dành cho máy chủ. Đây là lần đầu tiên Internet Explorer

xuất hiện và sử dụng giao diện cải tiến của Windows 95.Những tính năng khác bao gồm hỗ
trợ các ứng dụng cho fax, Webserver, và chương trình e-mail.
GVHD: TS.KH Lê Đình Tuấn
3
Windows CE 1.0
Đây là một hệ điều hành thu nhỏ, được giới thiệu vào tháng 11 năm 1996 được phát triển từ
nhiều nền tảng bao gồm AutoPC, PocketPC, Windows Mobile và SmartPhones.
Windows 98
Được ra mắt vào tháng Sáu năm 1998, hệ điều hành này được xem như là bản nâng cấp từ
Windows 95. Nhưng được tích hợp Internet Explorer vào trong giao diện người dùng và
chương trình quản lý file Explorer. Phiên bản 98 SE được ra mắt vào năm 1999, bao gồm
các tính năng Internet Connection Sharing, NetMeeting 3.0 và DirectX API 6.1.
Windows 2000
Được phát hành vào ngày 17 tháng 2 năm 2000, hệ điều hành này làm việc trên cả máy chủ
lấn máy để bàn, nhưng với những tinh năng quan trọng như Active Directory, Microsoft lần
đầu tiên đã lật đổ sự thống thị của Novell trong quản lý môi trường mạng. Windows 2000
cũng là hệ điều hành đầu tiên hỗ trợ Kerberos và tích hợp sẵn Terminal Services.
Windows ME
Thường được nhắc đến như một phiên bản hệ điều hành gây thất vọng của Microsoft,
Millennium Edition được tung ra vào tháng Mười Hai năm 2000 và là hệ điều hành cuối
cùng sử dụng nhân của hệ điều hành 9.x. Đây là hệ điều hành chuyển giao giữa 98 với XP,
và cũng là phiên bản đầu tiên có tính năng System Restore.
Windows XP
Được đồng chủ tịch của Microsoft Jim Allchin giới thiệu vào ngày 25 tháng 10 năm
2001.Đây là phiên bản dành cho cả đối tượng doanh nghiệp và gia đình dựa trên nền tảng
Windows 2000, với ba phiên bản và lỗi chính, với bản SP2 hướng vào bảo mật. Sau hơn 7
năm hoạt động, theo báo cáo của Forrester vào tháng 2 năm 2009 thì XP vẫn là hệ điều hành
được 71% máy tính cá nhân sử dụng.
Windows Server 2003
Được giới thiệu vào ngàu 24 tháng 4 năm 2003, hệ điều hành này đã được cải tiến nhiều

tính năng bảo mật và khả năng cấu hình, bao gồm cả khả năng thiết lập các nguyên tắc trong
mạng. Windows Server 2003 R2 được ra mắt vào tháng Mười Hai năm 2005 thêm nhiều
tính năng quản lý như văn phòng chính, máy chủ dữ liệu, máy chủ in ấn và tích hợp nhận
dạng.
Windows Vista
Sau bảy năm phát triển, Vista được ra mắt vào ngày 30 tháng 3 năm 2007 cho người dùng
đơn lẻ và ngày 30 tháng 11 năm 2006 cho người dùng thuộc các doanh nghiệp, đã gặp phải
nhiều sự lạnh nhạt của người dùng khi không thể tương thích với rất nhiều các ứng dụng.
GVHD: TS.KH Lê Đình Tuấn
4
CEO của Microsoft là Steve Ballmer đã cố gắng thuyết phục người dùng rằng Vista là tương
lai của công nghệ, nhưng khi hé lộ về Windows 7 trong thời gian diễn ra Hội nghị các
chuyên gia phát triển năm 2009 đã đánh dấu chấm hết cho “cuộc sống” của Vista.
Windows Server 2008
Được giới thiệu vào ngày 27 tháng 2 năm 2008 và được xây dựng trên nền tảng tương tự
như Vista, hệ điều hành này đã có tính năng mới như Server Core, nguyên tắc cho Active
Directory, công nghệ ảo hóa Hyper-V, PowerShell, và Server Manager. Phiên bản R2 của hệ
điều hành này đã được thử nghiệm vào tháng Một năm 2009 với add-on Live Migration của
công nghệ Hyper-V.
Windows 7
Phiên bản tiếp theo này đã được phát hành năm 2009. Windows 7 khắc phục được các lỗi
của vista, hoàn thiện hơn với giao diện trong suốt, bắt mắt, thu hút người dùng cá nhân.
Windows 8
Phiên bản mới nhất của Microsoft năm 2012. Được ra vào tháng 10 năm này,
Windows 8 sẽ có nét đặc trưng là khả năng điều hướng và điều khiển bằng màn hình cảm
ứng, cũng như hỗ trợ cho máy tính bảng. Không phải tất cả các ứng dụng chạy trên
Windows 7 sẽ tương thích với màn hình cảm ứng, nhưng các thiết bị dùng chuột và bàn
phím sẽ chạy được tất cả ứng dụng cũ trên Windows 7.
Hệ điều hành mới sử dụng năng lượng hiệu quả hơn, bảo mật tốt hơn và tương thích với
những chip nền tảng ARM, tất cả những điều này làm Windows 8 hấp dẫn đối với doanh

nghiệp.
1.2.3 Các dịch vụ trên Windows Server 2008
Active Directory Certificate Services: Là 1 Identity và access control. Nó tăng cường sự bảo
mật bằng cách ràng buộc sự nhận dạng của một người, thiết bị hoặc dịch vụ và cho khóa
riêng của mình. Và Active directory certificate trở thành địa điểm trung tâm để lấy các thông
tin thích hợp khi 1 ứng dụng đặt 1 yêu cầu.
Active Directory Domain Services: Là vị trí trung tâm cho thông tin cấu hình, yêu cầu
chứng thực và thông tin về tất cả các đối tượng được lưu trong máy tính của bạn. Qua đó
chúng ta có thể quản lý hiệu quả người sử dụng máy tính, máy in, ứng dụng và thư mục,
kích hoạt các đối tượng khác từ 1 địa điểm an toàn tập trung.
GVHD: TS.KH Lê Đình Tuấn
5
Active Directory Federation Services: Là một độ an toàn cao, khả năng mở rộng cao và khả
năng mở rộng Internet, giải pháp nhận dạng truy cập cho phép các tổ chức xác thực người
dùng của các tổ chức đối tác.
Active Directory Lightweight Directory Services: Dùng để cung cấp dịch vụ thư mục cho
thư mục kích hoạt ứng dụng, để lưu trữ dữ liệu, qua đó bạn có thể phân vùng cấu trúc thư
mục để các Active directory lightweight directory services chỉ được triển khai đến các máy
chủ mà cần hỗ trợ các ứng dụng thư mục cho phép.
DHCP Server (Dynamic Host Configuration ): Hổ trợ vấn đề theo dõi và cấp phát địa chỉ IP
được chính xác.
Active Directory Right Management Services: Giúp bảo đảm rằng chỉ những cá nhân những
người cần xem 1 tập tin có thể làm như vậy, có thể bảo vệ một tập tin bằng cách xác định
các quyền mà người dùng đã để tập tin.
Application Server: Là 1 mở rộng vai trò máy chủ trong Windows Server 2008. Cung cấp
môi trường tích hợp cho việc triển khai và chạy tùy chỉnh, các ứng dụng kinh doanh dựa
trên máy chủ.
DNS (Domain Name System ): Là máy chủ được dùng để phân giải domain thành được IP
và ngược lại.
Fax Server: Làm nhiệm vụ gửi và nhận Fax tự động dựa trên nền TCP/IP sẵn có của công ty.

Đầu nối Server song song với máy Fax hiện có của công ty, máy Fax của công ty sẽ được
dùng làm Backup.
Network Policy and Access Services: Ngoài các chức năng: định tuyến lưu lượng cho LAN
và WAN; cho phép truy cập vào các tài nguyên nội bộ thông qua kết nối VPN hoặc dial-up;
tạo và ép buộc sự truy cập mạng thông qua các kêt nối VPN hoặc dial-up. Network Policy
and Access Services còn có: dịch vụ VPN; dịch vụ dial-up; truy cập được bảo vệ 802,11;
routing & remote access (RRAS); cung cấp xác thực thông qua Windows Active Directory;
kiểm soát truy cập mạng với các chính sách.
GVHD: TS.KH Lê Đình Tuấn
6
Print Server: Windows Server 2008 in Dịch vụ cho phép máy in được chia sẻ qua mạng và
cung cấp một cơ sở hạ tầng quản lý tập trung cho phép máy in in nhiều máy chủ và máy in
được quản lý từ bên trong công cụ quản lý Print.
Terminal Services: Ngoài các chức năng: dữ liệu có thể tập trung tại 1 địa điểm để cải thiện
an ninh và sẵn có; quản lý chi phí có thể được giảm bằng cách chỉ phải quản lý một bản duy
nhất của ứng dụng trên máy chủ; thêm cơ bản đầu cuối phần cứng và máy trạm mỏng có thể
được sử dụng trong các hệ thống máy tính để bàn đặt hoàn tất, giúp giảm chi phí thấp hơn;
băng thông có thể được sử dụng hiệu quả hơn, dẫn đến những cải tiến hiệu suất tiềm năng.
Terminal Services còn có tính năng: triển khai các ứng dụng tích hợp liền mạch với máy
tính để bàn địa phương của người dùng; cung cấp quyền truy cập vào Trung Ương quản lý
máy tính để bàn Windows; kích hoạt tính năng truy cập từ xa cho hiện tại “_WAN không
thân thiện” các ứng dụng; độ an toàn cao các ứng dụng và dữ liệu bên trong trung tâm dữ
liệu không cần phải lo lắng máy tính xách tay về mất.
UDDI Services: Universal mô tả, Discovery, và hội nhập (UDDI) là một đặc tả công nghiệp
cho xuất bản và tìm thông tin về các dịch vụ Web.
Web Server: Là một ứng dụng Web mạnh mẽ và nền tảng dịch vụ.
Windows Deployment Services: Các máy chủ Windows Deployment Services vai trò trong
Windows Server 2008 là phiên bản được thiết kế lại và từ xa (dịch vụ cài đặt RIS).
File Server: Đảm nhận trách nhiệm lưu trữ dữ liệu, chia sẻ dữ liệu cho người dùng trong
công ty. Việc lưu trữ dữ liệu tập trung giúp cho việc quản lý, chia sẻ, backup dữ liệu dễ

dàng hơn.Tại đây sẽ phân quyền, giám sát sự truy xuất dữ liệu của người dùng đến Server.
Active Directory Certificate Services(ADCS)
Active Directory Certificate Services(AD CS) trong Windows Server 2008 R2 giới thiệu các
tính năng và dịch vụ cho phép linh hoạt hơn trong việc triển khai PKI,giảm chi phí và cung
cấp hỗ trợ tốt hơn cho việc triển khai Network Acces Protection (NAP).
GVHD: TS.KH Lê Đình Tuấn
7
Hình 1.1 Mô hình ADCS
Tính năng và dịch vụ mới của AD CS trong bảng sau đây là trong Windows Server 2008
Tính năng Lợi ích
Certificate Enrollment Wed Service và
Certificate Enrollment Policy Wed
Service
Cho phép Certificate Enrollment qua
HTTP
Hỗ trợ Certificate Enrollment qua
Forest
Cho phép thẩm quyền CA trong triển
khai nhiều Forest
Cải tiến hỗ trợ high-volume CAS Giảm kích cỡ cơ sở dữ liệu CA cho
một số triển khai NAP và high-volume
CAS
Certificate Enrollment Wed Server là vai trò mới trong AD CS dịch vụ này cho phép chính
sách dựa trên giấy chứng nhận qua HTTP bằng cách sử dụng các phương pháp hiện tại như
autoenrollment .Dịch vụ Wed hoạt động như một proxy giữa một máy clien và một CA ,mà
làm cho giao tiếp giữa máy client và CA không cần thiết và cho phép chứng nhận ghi danh
qua internet và qua Forest.
Các tính năng cần quan tâm
GVHD: TS.KH Lê Đình Tuấn
8

Các tổ chức với PKI mới và hiện tại có thể được lợi từ việc mở rộng khả năng tiếp cận của
giấy chứng nhận ghi danh bằng cách cunh cáp giấy chứng nhận ghi danh các dịch vụ Wed
trong kịch bản triển khai:
- Triển khai nhiều Forest ,máy tính client có thể ghi danh cho giấy chứng nhận từ CA
trong một Forest khác nhau.
- Trong triển khai extranet ,công nhân di động và các đối tác kinh doanh có thể ghi
danh qua internet.
Có cân nhắc gì đặc biệt?
Certificate Enrollment Wed Service gửi yêu cầu thay mặt cho máy tính client và phải được
tin cậy cho các đoàn đại biểu.Triển khai Extranet của dịch vụ Wed này làm tăng mối đe dọa
tấn công mạng và một số tổ chức có thể không tin tưởng các dịch vụ.Trong những trường
hợp này ,Certificate Enrollment Wed Service và cấp CA có thể được cấu hình để chấp nhận
các yêu cầu đổi mới chỉ kí kết với các chứng chỉ hiện tại,mà không yêu cầu đoàn.
Chứng chỉ ghi danh các dịch vụ Wed có các yêu cầu sau:
- Active Directory forest với Windows Server 2008 R2 schema.
- Enterprise CA chạy Windows Server 2008 R2 ,Windows Server 2008 hoặc Windows
Server 2003.
- Certificate enrollment qua Forest yêu cầu CA chạy phiên bản Windows Server
Enterprise hoặc Datacenter.
- Máy tính client chạy Windows®7.
Active Directory Domain Services
Dịch vụ này có một số tính năng và nâng cao mới so với Windows Server 2003.Có nhiều
chức năng và tính năng mới được thêm vào Actice Diretory của Windows 2008.Những thay
đổi chính và chức năng mới của Domain Service:
- Active Directory Domain Sevices –Read-Only Domain controller
- Active Directory Domain Sevices –Restarttable Actice Directory Domain Services
- Active Directory Domain Sevices –Fine –Grained Password Policies.
Chức năng Domain Services được đưa vào và nâng cấp trong Windows Server 2008, cùng
một số tiện ích cài đặt đã được cải thiện (Server Manager).Dịch vụ này cung cấp một số tùy
chọn mới cho các tính năng AD DS như Read-Only Domain controller (ROCD).

GVHD: TS.KH Lê Đình Tuấn
9
Read-Only Domain controller(RODC) của Active Directory là một kiểu domain controller
mới trong Windows Server 2008. Với mỗi RODC, các tổ chức có thể triển khai dễ dàng một
domain controller trong các vị trí mà sư bảo mật về mặt vật lý không được bảo đảm.
Mục đích chính của RODC là cải thiện độ bảo mật tại các chi nhánh văn phòng.Tại các văn
phòng chi nhánh thường gặp rất nhiều khó khăn trong việc bảo mật vật lý đối với cơ sở hạ
tầng CNTT, đặc biệt cho Domain controller có bên trong các dữ liệu nhạy cảm.Thông
thường một DC có thể tìm thấy ở đâu đó trong văn phòng (có thể dưới bàn làm việc).Nếu ai
đó có sự truy cập vật lý vào DC thì họ có thể dẽ dàng thao túng hệ thống và có thể truy cập
vào dữ liệu .RODC được giới thiệu để giải quyết vấn đề này.
Bản chất của RODC:
- Read –Only Domain controller
- Administrative Role Separation
- Credential Caching
- Read-Only DNS
- Read –Only Domain controller
RODC giữ một copy cơ sở dữ liệu Active Directory chỉ đọc, không cho phép ghi, gồm tất cả
các đối tượng và thuộc tính. RODC chỉ hỗ trợ bản sao một hướng (uni-directional) đối với
các thay đổi của Active Directory, điều đó có nghĩa rằng RODC luôn sao chép ngay lập tức
các Domain controller trong HUB.
GVHD: TS.KH Lê Đình Tuấn
10
Hình 1.2: Bản sao đối với RODC
RODC sẽ thực hiện sao chép gửi về từ hub đối với các thay đổi của Active Directory và
DFS, RODC sẽ nhận mọi thứ từ Active Diretory nhưng các thông tin nhạy cảm, mặc định
các tài khoản như Domain Admins, Enterprise và Schema Admins đều bị loại trừ khỏi việc
sao chép đối với RODC.
Nếu một ứng dụng cần phải ghi vào Active Directory thì RODC sẽ gửi một thông tin chỉ dẫn
LDAP để tự động gửi chuyển tiếp ứng dụng đến Domain controller có thể ghi, Domain

controller này nằm trên HUB chính. RODC cũng có khả năng chạy Global Catalog Role để
có thể đăng nhập nhanh hơn nếu cần.
Đây thực sự là một ưu điểm tuyệt vời dành cho các văn phòng chi nhánh, vì nếu một ai đó
có thể truy cập vật lý vào máy chủ hoặc thậm chí lấy cắp máy chủ thì người này có thể bẻ
khóa mật khẩu của các tài khoản trong Active Diretory, tuy nhiên không phải các tài khoản
nhạy cảm –vì chúng không nằm trong RODC.
Điều này cũng có nghĩa rằng các tài khoản quản trị nhạy cảm đó là không thể đăng nhập vào
RODC nếu liên kết WAN đến HUB chính không thể thiết lập.
GVHD: TS.KH Lê Đình Tuấn
11
Để bổ sung RODC trong môi trường của bạn, bạn cần domain và forest ở chế độ Windows
Server 2003 và DC đang chạy PDC emulator cần thiết để chạy Windows Server 2008.
Administrative Role Separation –chia cắt vai trò quản trị.
Bạn có thể ủy nhiệm các điều khoản quản trị viên cho một máy chủ RODC nào đó đối với
người dung trong Active Directory. Tài khoản của người dung được ủy nhiệm sẽ có thể
đăng nhập vào máy chủ và thực hiện các nhiệm vụ bảo trì máy chủ mà không cần bất cứ
điều khoản AD DS nào và người dung không có quyền truy cập vào Domain Controller
khác trong Active Directory, đây là cách bảo mật không được thỏa hiệp đối với miền.
Creadential Caching –Lưu trữ các thông tin quan trọng
Mặc định, RODC không lưu các thông tin máy tính hoặc của người dùng, ngoại trừ tài
khoản máy tính của bản thân RODC và tài khoản đặc biệt nào đó mà mỗi RODC có.
Tuy vậy RODC có thể được cấu hình để lưa trữ mật khẩu, cấu hình này được quản lý bởi
password Replication Policy, Password Replication Plicy xác định xem bản sao từ DC cho
phép ghi vào RODC có được phép đối với các thông tin quan trọng của máy tính hoặc người
dung hay không. Nếu một người dung nào đó được phép thì các thông tin quan trọng của họ
sẽ được lưu trên RODC lúc đăng nhập.
Khi một tài khoản nào đó đã được chứng thực thành công với RODC thì RODC sẽ cố gắng
liên lạc với Domain Controller có khả năng ghi tại HUB.Nếu một mật khẩu nào đó không
được lưu trữ thì RODC sẽ chuyển tiếp yêu cầu chứng thực vào DC có thể ghi. DC nhận yêu
cầu sẽ nhận ra rằng yêu cầu đang gửi đến từ RODC và các check với Password Replication

Policy.
Ưu điểm của các việc lưu trữ các thông tin quan trọng này sẽ bảo vệ được mật khẩu của bạn
tại các văn phòng chi nhánh và tối thiểu hóa nguy cơ lộ thông tin quan trọng này trong
trường hợp RODC bị thỏa hiệp. Khi sử dụng Credential Caching và trong trường hợp nếu có
một RODC bị đánh cắp thì tài khoản người dùng và tài khoản máy tính có thể thiết lập lại
mật khẩu của chính chúng, việc thiết lập này dựa vào RODC mà chúng thuộc về .
GVHD: TS.KH Lê Đình Tuấn
12
Credential Caching có thể bị vô hiệu hóa, tính năng này sẽ hạn chế việc bị lộ thông tin, tuy
nhiên nó cũng sẽ tăng lưu lượng Wan vì tất cả các yêu cầu cứng thực sẽ được chuyển tiếp
đến DC có khả năng ghi trong HUB chính.
Read –Only DNS
Bổ sung thêm vào RODC, chức năng này cũng có thể cài đặt dịch vụ DNS. Máy chủ DNS
đang chạy trên RODC không hỗ trợ các nâng cấp động.Tuy nhiên các máy khách lại có thể
sử dụng máy chủ DNS để truy vấn về tên.
Do DNS ở chế độ chỉ đọc (Read –Only) nên các máy khách (client) không thể nâng cấp các
bản ghi tren nó. Tuy nhiên nếu một máy khách nào đó muốn cập nhập bản thân các bản ghi
DNS của chính nó thì RODC sẽ gửi một thông tin chuyển tiếp đến DNS cho phép ghi.Bản
ghi cập nhật này sẽ được sao chép từ máy chủ DNS này vào máy chủ DNS trên RODC. Đây
là một bản sao đối tượng đặc biệt (DNS record), để giữ các máy chủ RODC DNS được cập
nhật một cách kịp thời và mang đến các máy khách tại văn phòng chi nhánh một giải pháp
tên thích hợp hơn.
Các dịch vụ miền Active Directory có khả năng khởi động lại
Với Windows Server 2008, Active Directory Domain Services (AD DS) lúc này có khả
năng stop và start trở lại .Điều này có nghĩa rằng bạn có thể stop ADDS để thực hiện các
nhiệm vụ và bảo trì, việc mà trong các phiên bản trước đây của Windows Server cần phải
khởi động lại trong Directory Services Restore Mode (DSRM). Đây quả là một tính năng
tuyệt vời cho việc viết mã và tự động hóa các nhiệm vụ đó.
Các trạng thái có thể cho ADDS là:
AD DS –(đã được khởi động)

AD DS –(đã được tạm dừng)
AD DS Restore Mode (DSRM) (chế độ khôi phục)
Có một số lợi ích ở đây đó là nhiệm vụ đã sử dụng để yêu cầu khởi động lại cần đến ADDS
ofline hiện được cung cấp một cách trực tiếp từ giao diện điều khiển. Điều này cho phép các
GVHD: TS.KH Lê Đình Tuấn
13
quản trị viên có thể linh động trong việc bảo trì và thực hiện các hoạt động ADDS offine
được nhanh hơn.
Các chính sách mật khẩu chi tiết
Trước Windows Server 2008, bạn chỉ có một mật khẩu và một chính sách khóa tài khoản
trên mỗi miền, mật khẩu này được áp dụng đối với tất cả người dung trong miền. Trong AD
DS của Windows Server 2008 có một điểm mới đó là nó có thể điều chỉnh một cách chi tiết
hơn các chính sách mật khẩu để định nghĩa các tập mật khẩu khác hoặc chính sách khóa cho
nhóm người dung khác trong cùng một miền.
Các chính sách mật khẩu chi tiết này có các thiết lập dưới đây:
Chính sách mật khẩu:
- Áp đặt histoty của mật khẩu
- Tuổi thọ tối đa của mật khẩu
- Tuổi tho tối thiểu
- Chiều dài tối thiểu
- Mật khẩu phải có các yêu cầu cần thiết về độ phức tạp
- Lưu các mật khẩu bằng sử dụng mã hóa đảo ngược
Chính sách khóa:
- Khoảng thời gian khóa tài khoản
- Ngưỡng khóa
- Thiết lập lại tài khoản sau khi khóa
Chính sách mật khẩu chi tiết hơn có thể được áp dụng cho các đối tượng người dùng và các
nhóm bảo mật toàn cục nhưng không thể áp dụng cho OU.
Để sử dụng chức năng này, mức chức năng miền phải ở Windows Server 2008.
Kết luận

Windows Server 2008 Active Directory Domain Services (AD DS) có một số tính năng và
chức năng tuyệt vời như vừa giới thiệu ở trên, các tính năng này có thể tối ưu rất nhiều trong
vấn đề quản lý miền.
GVHD: TS.KH Lê Đình Tuấn
14
Với các văn phong chi nhánh, Read –Only Domain Controller (RODC) cho thấy là một tính
năng tuyệt vời của Windows Server 2008, nó là một nâng cao về góc độ bảo mật cho các tổ
chức đang sử dụng Domain Controller trong ở các địa điểm từ xa.
Chính sách mật khẩu chi tiết cũng là một tính năng mới tạo khả năng linh động trong mọi
miền với khả năng cho phép nhiều chính sách mật khẩu và khóa.
Cùng với đó có nhiều tính năng mới, tất cả chúng đều làm tăng tính bảo mật và độ linh động
trong Active Directory
Active Directory Lightweight Directory Services
Active Directory Lightweight Directory Services (AD LDS) trước đây được biết đến với tên
Active Directory Application Mode (ADAM), là một chế độ đặc biệt của AD trong đó, các
dịch vụ thư mục được cấu hình chỉ một cho các ứng dụng .Chế độ này cung cấp khả năng
lưu trữ và truy cập cho các ứng dụng, sử dụng các giao diện quản trị viên và các chuyên gia
phát triển đã thân thuộc.
AD LDS là một tính năng lưu trữ và truy vấn dữ liệu dich vụ thư mục của LDAP cho các
ứng dụng đã thư mục, không phụ thuộc vào những yêu cầu cho AD DS. Nó cũng không lưu
trữ các nguyên lý bảo mật vẫn có trong AD DS.
Các chuyên gia phát triển có thể sử dụng AD LDS để làm việc với các thông tin của Active
Directory trong các ứng dụng của họ, AD FS là một trong những ứng dụng sử dụng AD
LDS để lưu các thông tin quan trọng này.
GVHD: TS.KH Lê Đình Tuấn
15
Chương 2: Cài đặt và cấu hình Windows Server 2008
2.1 Thao tác chuẩn bị
Tiềm hiểu các thông tin cần thiết trước khi cài đặt bất cứ bản phát hành Windows server
2008.

Gồm có 4 phiên bản cho Windows server 2008:
- Windows Server 2008 Standard Edition
- Windows Server 2008 Enterprise Edition
- Windows Server 2008 Datacenter Edition
- Windows Web Server 2008
Để sử dụng Windows Server 2008, cần đáp ứng các yêu cầu chung sau:*
Thành phần Yêu cầu
Bộ xử lý
Tối thiểu: 1 GHz (bộ xử lý x86 ) hoặc 1.4 GHz (bộ xử lý x64)
Khuyến nghị: Tốc độ xử lý 2 GHz hoặc nhanh hơn
Chú ý: Cần bộ xử lý Intel Itanium 2 cho Windows Server đối với các Hệ thống dựa trên kiến trúc Itanium.
Bộ nhớ
Tối thiểu: RAM 512 MB
Khuyến nghị: RAM 2 GB hoặc lớn hơn
Tối ưu: RAM 2 GB (Cài đặt toàn bộ) or RAM 1 GB (Cài Server Core) hoặc hơn
Tối đa (hệ thống 32 bit): 4 GB (Bản Standard) hoặc 64 GB (Bản Enterprise và Datacenter)
Tối đa (các hệ thống 64 bit): 32 GB (Bản Standard) hoặc 2 TB (Bản Enterprise, Datacenter, và Các hệ thống dựa trên kiến trúc
Itanium)
Không gian ổ đĩa
còn trống
Tối thiểu: 10 GB
Khuyến nghị : 40 GB hoặc lớn hơn
Chú ý: Các máy tính có RAM lớn hơn 16 GB sẽ cần nhiều không gian ổ đĩa trống hơn dành cho paging, hibernation, and dump files
Ổ đĩa Ổ DVD-ROM
Màn hình Super VGA (800 × 600) hoặc màn hình có độ phân giải cao hơn
Thành phần khác Bàn phím, Chuột của Microsoft hoặc thiết bị trỏ tương thích
GVHD: TS.KH Lê Đình Tuấn
16
2.2 Cài đặt windows server 2008
Khởi động từ đĩa DVD cài đặt Windows Server 2008

Hình 2.1: Khởi động Windows Server 2008 từ DVD
Chọn các thông số về ngôn ngữ, định dạng ngày giờ và bàn phím
GVHD: TS.KH Lê Đình Tuấn
17
Hình 2.2: Lựa chọn ngôn ngữ
Nhấn nút Install Now
GVHD: TS.KH Lê Đình Tuấn
18
Hình 2.3: Install now
Bỏ dấu Check Automatically activate Windows when I’m online > Next
GVHD: TS.KH Lê Đình Tuấn
19
Hình 2.4 Giao diện nhập key
Nhấn No
GVHD: TS.KH Lê Đình Tuấn
20
Hình 2.5 Lựa chọn không nhập key
Chọn Windows Server 2008 Enterprise (Server Core Installation) > I have selectedthe edition of Windows that I
purchased > Next
GVHD: TS.KH Lê Đình Tuấn
21
Hình 2.6 Chọn phiên bản Server 2008
Chọn I accept the license term
GVHD: TS.KH Lê Đình Tuấn
22
Hình 2.7 Thông tin Microsoft Windows Server 2008
Chọn Partition muốn cài đặt Windows > Next
GVHD: TS.KH Lê Đình Tuấn
23
Hình 2.8 Chọn ổ đĩa cài đặt

Quá trình sao chép các file cần thiết và cài đặt bắt đầu
GVHD: TS.KH Lê Đình Tuấn
24
Hình 2.9 Quy trình sao chép file cần thiết
Sau khi cài đặt, bạn cần Restart máy, nhấn nút Restart Now
GVHD: TS.KH Lê Đình Tuấn
25