Giáo trình Mạng máy tính (Bản mới)

Giáo trình mạng máy tính
	Trang
GIỚI THIỆU
Yêu cầu có các tài liệu tham khảo cho sinh viên của khoa Công nghệ Thông tin - Trường Cao đẳng Công nghiệp 4 ngày càng trở nên cấp thiết. Việc biên soạn tài liệu này nằm trong kế hoạch xây dựng hệ thống giáo trình các môn học của Khoa.
Đề cương của giáo trình đã được thông qua Hội đồng Khoa học của Khoa và Trường. Mục tiêu của giáo trình nhằm cung cấp cho sinh viên một tài liệu tham khảo chính về môn học Mạng máy tính, trong đó giới thiệu những khái niệm căn bản nhất về hệ thống mạng máy tính, đồng thời trang bị những kiến thức và một số kỹ năng chủ yếu cho việc bảo trì và quản trị một hệ thống mạng. Đây có thể coi là những kiến thức ban đầu và nền tảng cho các kỹ thuật viên, quản trị viên về hệ thống mạng.
Tài liệu này có thể tạm chia làm 2 phần:
Phần 1: từ chương 1 đến chương 5
Phần 2: từ chương 6 đến chương 9
Phần 1, bao gồm những khái niệm cơ bản về hệ thống mạng (chương 1), nội dung chính của mô hình tham chiếu các hệ thống mở - OSI (chương 2), những kiến thức về đường truyền vật lý (chương 3), khái niệm và nội dung cơ bản của một số giao thức mạng thường dùng (chương 4) và cuối cùng là giới thiệu về các hình trạng mạng cục bộ (chương 5)
Phần 2, trình bày một trong những hệ điều hành mạng thông thường nhất hiện đang dùng trong thực tế: hệ điều hành mạng Windows 2000 Server. Ngoài phần giới thiệu chung, tài liệu còn hướng dẫn cách thức cài đặt và một số kiến thức liên quan đến việc quản trị tài quản người dùng.
Tham gia biên soạn giáo trình có:
Giảng viên Nguyễn Văn Bình biên soạn chính các chương 1, 2, 5
Giảng viên Tạ Duy Công Chiến biên soạn chính các chương 3, 4, 9
Giảng viên Nguyễn Chí Hiếu biên soạn các chương 6, 7, 8.
Mặc dù đã có những cố gắng để hoàn thành giáo trình theo kế hoạch, nhưng do hạn chế về thời gian và kinh nghiệm soạn thảo giáo trình, nên tài liệu chắc chắn còn những khiếm khuyết. Rất mong nhận được sự đóng góp ý kiến của các thầy cô trong Khoa cũng như các bạn sinh viên và những ai sử dụng tài liệu này. Các góp ý xin gửi về Tổ Hệ thống máy tính – Khoa Công nghệ thông tin - Trường Cao đẳng Công nghiệp 4. Xin chân thành cảm ơn trước.
Nhóm biên soạn
Tháng 08/2004
CHƯƠNG 1 - GIỚI THIỆU VỀ MẠNG MÁY TÍNH
MỤC TIÊU CỦA CHƯƠNG
Kết thúc chương này, sinh viên sẽ có thể:
Nắm sơ lược về lịch sử phát triển của mạng máy tính
Hiểu được khái niệm mạng máy tính cũng như hai yếu tố cơ bản của nó là kiến trúc và môi trường truyền. Nắm được ba tiêu chí cơ bản để phân loại mạng máy tính và hình trạng tổng quan của mạng LAN.
Nắm được hai mô hình mạng: ngang hàng (peer-to-peer) và client/server.
Biết được một số hệ điều hành mạng thông dụng.
Nắm được một số dịch vụ cơ bản có trên mạng.
Những yêu cầu cần có để trở thành một chuyên nghiệp viên về mạng máy tính.
1.1 Lịch sử mạng máy tính
Từ đầu những năm 60 đã xuất hiện các mạng xử lý trong đó các trạm cuối (terminal) thụ động được nối vào một máy xử lý trung tâm. Vì máy xử lý trung tâm làm tất cả mọi việc: quản lý các thủ tục truyền dữ liệu, quản lý sự đồng bộ của các trạm cuối v.v, trong khi đó các trạm cuối chỉ thực hiện chức năng nhập xuất dữ liệu mà không thực hiện bất kỳ chức năng xử lý nào nên hệ thống này vẫn chưa được coi là mạng máy tính.
Giữa năm 1968, Cục các dự án nghiên cứu tiên tiến (ARPA – Advanced Research Projects Agency) của Bộ Quốc phòng Mỹ đã xây dựng dự án nối kết các máy tính của các trung tâm nghiên cứu lớn trong toàn liên bang, mở đầu là Viện nghiên cứu Standford và 3 trường đại học (Đại học California ở Los Angeless, Đại học California ở Santa Barbara và Đại học Utah). Mùa thu năm 1969, 4 trạm đầu tiên được kết nối thành công, đánh dấu sự ra đời của ARPANET. Giao thức truyền thông dùng trong ARPANET lúc đó đặt tên là NCP (Network Control Protocol).
Giữa những năm 1970, họ giao thức TCP/IP được Vint Cerf và Robert Kahn phát triển cùng tồn tại với NCP, đến năm 1983 thì hoàn toàn thay thế NCP trong ARPANET.
Trong những năm 70, số lượng các mạng máy tính thuộc các quốc gia khác nhau đã tăng lên, với các kiến trúc mạng khác nhau (bao gồm cả phần cứng lẫn giao thức truyền thông), từ đó dẫn đến tình trạng không tương thích giữa các mạng, gây khó khăn cho người sử dụng. Trước tình hình đó, vào năm 1984 Tổ chức tiêu chuẩn hoá quốc tế ISO đã cho ra đời Mô hình tham chiếu cho việc kết nối các hệ thống mở (Reference Model for Open Systems Interconnection - gọi tắt là mô hình OSI). Với sự ra đời của OSI và sự xuất hiện của máy tính cá nhân, số lượng mạng máy tính tính trên toàn thế giới đã tăng lên nhanh chóng. Đã xuất hiện những khái niệm về các loại mạng LAN, MAN.
Tới tháng 11/1986 đã có tới 5089 máy tính được nối vào ARPANET, và đã xuất hiện thuật ngữ “Internet”. 
Năm 1987, mạng xương sống (backborne) NSFnet (National Science Foundation network) ra đời với tốc độ đường truyền nhanh hơn (1,5 Mb/s thay vì 56Kb/s trong ARPANET) đã thúc đẩy sự tăng trưởng của Internet. Mạng Internet dựa trên NSFnet đã vượt qua biên giới của Mỹ. 
Đến năm 1990, quá trình chuyển đổi sang Internet - dựa trên NSFnet kết thúc. NSFnet giờ đây cũng chỉ còn là một mạng xương sống thành viên của mạng Internet toàn cầu. Như vậy có thể nói lịch sử phát triển của Internet cũng chính là lịch sử phát triển của mạng máy tính.
1.2 Một số khái niệm cơ bản
Mạng máy tính là gì?
Ta có thể định nghĩa: mạng máy tính là một tập hợp các máy tính được nối kết với nhau bởi các đường truyền vật lý theo một kiến trúc nào đó.
Một cách cụ thể hơn ta có thể hiểu mạng máy tính bao gồm sự kết nối từ hai máy tính trở nên. Các máy tính này có thể giao tiếp với nhau, chia xẻ tài nguyên (các đĩa cứng, các máy in và các ổ đĩa CD-ROM v.v), mỗi máy có thể truy xuất các máy ở xa hoặc các mạng khác để trao đổi các file, dữ liệu và thông tin hoặc cho phép các giao tiếp điện tử.
Các yếu tố của mạng máy tính.
Như đã định nghĩa ở trên, hai yếu tố căn bản của mạng máy tính là: đường truyền vật lý và kiến trúc mạng. Kiến trúc mạng bao gồm: hình trạng (topology) của mạng và giao thức (protocol) truyền thông. Đường truyền mạng (medium) bao gồm: loại có dây (wire): các loại cáp kim loại, cáp sợi quang, và loại không dây (wireless): tia hồng ngoại, sóng điện từ tần số radio v.v. Chi tiết về các nội dung này sẽ được trình bày ở các chương sau.
Các tiêu chí phân loại mạng máy tính.
Dựa vào các tiêu chí khác nhau, người ta phân chia mạng máy tính thành các loại khác nhau. Sau đây là ba tiêu chí cơ bản.
Phân loại mạng dựa trên khoảng cách địa lý, có ba loại mạng:
Mạng cục bộ (Local Area Network – LAN): là mạng được cài đặt trong một phạm vi tương đối nhỏ (trong một phòng, một toà nhà, hoặc phạm vi của một trường học v.v) với khoảng cách lớn nhất giữa hai máy tính nút mạng chỉ trong khoảng vài chục km trở lại. Tổng quát có hai loại mạng LAN: mạng ngang hàng (peer to peer) và mạng có máy chủ (server based). Mạng server based còn được gọi là mạng “Client / Server” (Khách / Chủ).
Mạng đô thị (Metropolitan Area Network – MAN): là mạng được cài đặt trong phạm vi một đô thị hoặc một trung tâm kinh tế - xã hội có bán kính khoảng 100 km trở lại.
Mạng diện rộng (Wide Area network – WAN): phạm vi của mạng có thể vượt qua biên giới quốc gia và thậm chí cả lục địa. Cáp truyền qua đại dương và vệ tinh được dùng cho việc truyền dữ liệu trong mạng WAN.
Mạng toàn cầu (Global Area Network – GAN): phạm vi của mạng trải rộng toàn Trái đất.
Phân loại mạng dựa trên kỹ thuật chuyển mạch, cũng có ba loại mạng:
Mạng chuyển mạch kênh (circuit – switched networks): khi có hai thực thể cần trao đổi thông tin với nhau thì giữa chúng sẽ được thiết lập một “kênh” cố định và được duy trì cho đến khi một trong hai bên ngắt kết nối. Các dữ liệu chỉ được truyền theo con đường cố định này. Kỹ thuật chuyển mạch kênh được sử dụng trong các kết nối ATM (Asynchronous Transfer Mode) và dial-up ISDN (Integrated Services Digital Networks). Ví dụ về mạng chuyển mạch kênh là mạng điện thoại. 
Phương pháp chuyển mạch kênh có hai nhược điểm chính:
Phải tốn thời gian để thiết lập đường truyền cố định giữa hai thực thể.
Hiệu suất sử dụng đường truyền không cao, vì có lúc trên kênh không có dữ liệu truyền của hai thực thể kết nối, nhưng các thực thể khác không được sử dụng kênh truyền này.
Mạng chuyển mạch thông báo (message – switched networks):
Thông báo (message) là một đơn vị thông tin của người sử dụng có khuôn dạng được qui định trước. Mỗi thông báo có chứa vùng thông tin điều khiển trong đó có phần địa chỉ đích của thông báo.
Trong mạng chuyển mạch thông báo, giữa hai thực thể truyền thông tồn tại nhiều đường truyền khác nhau. Căn cứ vào địa chỉ đích, các thông báo khác nhau có thể đến đích theo những con đường khác nhau.
 Phương pháp chuyển mạch thông báo có một số ưu điểm:
Hiệu suất sử dụng đường truyền cao, vì có thể phân chia giữa nhiều thực thể.
Mỗi nút mạng có thể lưu trữ thông báo cho đến khi kênh truyền rảnh mới gửi thông báo đi, do đó giảm được trình trạng tắc nghẽn mạng. v.v
Nhược điểm chính của phương pháp chuyển mạch thông báo là không hạn chế kích thước của các thông báo, do đó có thể dẫn đến phí tổn lưu trữ tạm thời cao. Kỹ thuật chuyển mạch thông báo thích hợp với các dịch vụ thông tin kiểu thư điện tử (Electronic Mail)
Mạng chuyển mạch gói (packet - switched networks): mỗi thông báo được chia thành nhiều phần nhỏ hơn gọi là các gói tin (packet) có khuôn dạng qui định trước. Mỗi gói tin cũng có phần thông tin điều khiển chứa địa chỉ nguồn (sender) và địa chỉ đích (receiver) của gói tin. Các gói tin thuộc về một thông báo có thể truyền tới đích theo những con đường khác nhau.
Kỹ thuật chuyển mạch gói về cơ bản giống kỹ thuật chuyển mạch thông báo, nhưng có hiệu quả hơn là phí tổn lưu trữ tạm thời tại mỗi nút giảm đi vì kích thước tối đa của các gói tin được giới hạn.
Những khó khăn của kỹ thuật chuyển mạch gói cần giải quyết là: tập hợp các gói tin tại nơi nhận để tạo lại thông báo ban đầu cũng như xử lý việc mất gói.
Do có nhiều ưu điểm nên hiện nay mạng chuyển mạch gói được dùng phổ biến hơn các mạng chuyển mạch thông báo. Việc tích hợp cả hai kỹ thuật chuyển mạch kênh và thông báo trong một mạng thống nhất gọi là mạng dịch vụ tích hợp số hoá (Integrated Services Digital Networks – ISDN) đang là một trong những xu hướng phát triển của mạng ngày nay.
Phân loại mạng dựa trên kiến trúc mạng (topology và protocol). Ví dụ như mạng System Network Architecture (SNA) của IBM, mạng ISO (theo kiến trúc chuẩn quốc tế), mạng TCP/IP v.v.
Tổng quan về hình trạng mạng (topology) LAN
Hình trạng mạng chủ yếu thể hiện trong các mạng LAN. Mỗi chuẩn về LAN có các quy tắc riêng cho việc nối dây. Các quy tắc này định nghĩa việc kết nối đường truyền, những yêu cầu về phần cứng và cách thức sắp xếp các thành phần khác nhau. Có ba yếu tố xác định bản chất của một mạng LAN:
Hình trạng mạng.
Đường truyền.
Kỹ thuật truy xuất đường truyền.
Hình trạng mạng (Topology)
Cách sắp đặt hình học (hoặc vật lý) sơ đồ nối dây mạng máy tính gọi là hình trạng mạng (topology). Có hai loại hình trạng: 
Hình trạng vật lý của một mạng mô tả con đường các cáp mạng được định tuyến. Nó không xác định kiểu của các thiết bị, phương pháp kết nối hoặc các địa chỉ trên mạng.
Hình trạng luận lý của một mạng mô tả con đường mà mạng hoạt động trong khi truyền thông tin giữa các thiết bị khác nhau.
Hình trạng vật lý (Physical topology).
Cấu trúc vật lý đầy đủ của đường truyền mạng được gọi là hình trạng vật lý.
Hình trạng vật lý của một mạng được phân thành ba loại hình dạng hình học cơ bản: bus, ring hoặc star. Ba hình trạng này có thể kết hợp để tạo thành các hình trạng hỗn hợp (hybrid) như: star-wired ring, star-wired bus và daisy chains (Chi tiết về các hình trạng này sẽ được khảo sát ở chương 3 - “Topology”).
Khi chọn một topology mạng vật lý, ta nên tập trung vào các đặc tính sau:
Tính dễ dàng sắp đặt.
Tính thuận tiện cho việc cấu hình lại.
Việc chẩn đoán và sửa chữa các sự cố tương đối dễ dàng.
Chi phí, hiệu suất, độ tin cậy, khả năng mở rộng mạng trong tương lai, kiểu và chiều dài của cáp mạng.
Hình trạng luận lý (Logical topology)
Hình trạng luận lý của mạng xác định các đặc tính truyền dữ liệu của nó, chẳng hạn như mô hình giao vận mạng. Đối với các mạng LAN, hai hình trạng luận lý thông thường nhất là Ethernet và Token Ring.
1.3 Mạng ngang hàng (Peer to Peer) và mạng có máy chủ (Server based)
1.3.1 Mạng ngang hàng (peer-to-peer network)
Các mạng peer-to-peer là một ví dụ rất đơn giản của các mạng LAN. Chúng cho phép mọi nút mạng vừa đóng vai trò là thực thể yêu cầu các dịch vụ mạng, vừa là các thực thể cung cấp các dịch vụ mạng. Phần mềm mạng peer-to-peer được thiết kế sao cho các thực thể ngang hàng thực hiện cùng các chức năng tương tự nhau.
Các đặc điểm của mạng peer-to-peer:
Các mạng peer-to-peer còn được biết đến như các mạng workgroup (nhóm làm việc) và được sử dụng cho các mạng có £ 10 người sử dụng (user) làm việc trên mạng đó. 
Mạng peer-to-peer không đòi hỏi phải có người quản trị mạng (administrtor). Trong mạng peer-to-peer mỗi user làm việc như người quản trị cho trạm làm việc riêng của họ và chọn tài nguyên hoặc dữ liệu nào mà họ sẽ cho phép chia xẻ trên mạng cũng như quyết định ai có thể truy xuất đến tài nguyên và dữ liệu đó.
Các ưu điểm của mạng peer-to-peer:
Đơn giản cho việc cài đặt.
Chi phí tương đối rẻ.
Những nhược điểm của mạng peer-to-peer:
Không quản trị tập trung, đặc biệt trong trường hợp có nhiều tài khoản cho một người sử dụng (user) truy xuất vào các trạm làm việc khác nhau.
Việc bảo mật mạng có thể bị vi phạm với các user có chung username, password truy xuất tới cùng tài nguyên.
Không thể sao chép dự phòng (backup) dữ liệu tập trung. Dữ liệu được lưu trữ rải rác trên từng trạm.
1.3.2 Mạng có máy chủ (Server based network / Client-Server network)
Mạng server based liên quan đến việc xác định vai trò của các thực thể truyền thông trong mạng. Mạng này xác định thực thể nào có thể tạo ra các yêu cầu dịch vụ và thực thể nào có thể phục vụ các yêu cầu đó (còn gọi là các thực thể đáp ứng yêu cầu dịch vụ). Các máy tính được gọi là các file server thực hiện việc xử lý dữ liệu và giao tiếp giữa các máy tính khác trong mạng. Các máy tính khác đó được gọi là các workstation (máy tính trạm).
Các mạng server based thường được sử dụng cho các mạng có ³ 10 người sử dụng và thực hiện các công việc chuyên biệt sau:
File và Print Servers - quản lý truy xuất của user tới các file và các máy in.
Application Servers – máy chủ có nhiệm vụ cung cấp các ứng dụng, các phần mềm cho các máy trạm trong môi trường client/server.
Database Server - máy chủ có cài đặt các hệ thống Cơ sở dữ liệu (DBMS) như SQL SERVER, Oracle, DB2 phục vụ cho các nhu cẩu ứng dụng truy xuất dữ liệu trên mạng.
 Communication Server - máy chủ phục vụ cho công tác truyền thông, giao tiếp trên mạng như Web (Web Server), mail (mail Server), truyền nhận file (FTP server)
Mail Servers - hoạt động như một server ứng dụng, trong đó có các ứng dụng server và ứng dụng client, với dữ liệu được tải xuống từ server tới client.
Đặc điểm của mạng server based:
Khó khăn trong việc cài đặt, cấu hình và quản trị hơn so với mạng peer-to-peer
Cung cấp sự bảo mật tốt hơn cho các tài nguyên mạng.
Dễ dàng hơn trong việc quản trị sao chép dự phòng dữ liệu (backup). Thậm chí có thể lập lịch cho công việc này thực hiện tự động.
1.4 Các hệ điều hành mạng
Cùng với việc ghép nối các máy tính  ... iệu dễ dàng hơn. 
Ưu điểm của việc để các thư mục đích trên máy chủ 
Người dùng có thể truy cập vào các thư mục đích từ bất kỳ máy trạm nào trên mạng.
Tập trung hoá việc back up và quản trị dữ liệu.
Các thư mục đích có thể được truy cập từ các máy chạy trên các hệ điều hành bất kỳ của Microsoft (bao gồm MS-DOS, Windows 95, Windows 98, và Windows 2000).
Tạo các thư mục đích trên máy chủ 
Để tạo thư mục đích cho tài khoản người dùng, bạn phải có quyền quản trị đối tượng mà tài khoản người dùng nhắm tới: 
Tạo thư mục dùng chung để cất tất cả các thư mục trên máy chủ mạng. Các thư mục người dùng được lưu trên thư mục chia sẻ này. 
Với thư mục chia sẻ, loại bỏ quyền mặc định Full Control từ nhóm Everyone, gán Full Control tới nhóm Users. (Việc này đảm bảo chỉ những người dùng xác thực với tài khoản người dùng miền mới có thể truy cập tới thư mục dùng chung). 
Tại hộp thoại Properties của người dùng trong trình đơn Active Directories Users and Computers, chọn bảng Profile và sau đó tạo đường dẫn tới thư mục đích. Vì thư mục đích ở trên máy chủ, nhấn Connect định rõ ổ cứng để người dùng kết nối tới thư mục này. Trong hộp To, chỉ rõ tên UNC (địa chỉ đến một tập tin trong mạng cục bộ) cho thư mục, ví dụ, \\server_name\shared_folder_ name\user_ logon_name. Thay vì gõ tên đăng nhập thực sự của người dùng, bạn gõ biến %username%. Hệ thống sẽ tự động tạo thư mục với tên đăng nhập của người dùng và gán các quyền cho người dùng. Thí dụ, gõ \\server_name\Users\%username%.
Câu hỏi ôn tập chương 8
1. Loại tài khoản nào cho phép người dùng đăng nhập vào Domain để truy cập các tài nguyên mạng? 
a. Local user accounts 	b. Default user accounts 
c. Domain user accounts	d. Built-in user accounts
2. Loại tài khoản nào cho phép người dùng đăng nhập vào máy tính riêng biệt để truy xuất tài nguyên chỉ trên máy tính đó? 
a. Local user accounts 	b. Default user accounts 
c. Domain user accounts	d. Built-in user accounts
3. Loại tài khoản nào cho phép người dùng thực hiện các tác vụ quản trị hoặc truy xuất các nguồn tài nguyên mạng ? 
a. Local user accounts 	b. Default user accounts 
c. Domain user accounts	d. Built-in user accounts
4. Mỗi một Domain Controller định thời tái tạo bản sao tài khoản người dùng mới tới tất cả các Domain Controller khác trong toàn domain.
a. Đúng	
b. Sai 
5. Có hai loại Built-In User Accounts được tạo tự động khi cài đặt Windows 2000 Server là:
a. Administrator account 
b. Guest account. 
	c. User account
6. Trước khi tạo tài khoản người dùng cần xem xét những điều gì dưới đây: 
a. Naming Conventions 
	b. Quantity user accounts
c. Password Requirements 
d. Logon Hours and Workstation Restrictions
e. User Account Planning Sheet 
7. Người sử dụng không thể tự động thay đổi mật khẩu của mình. Chỉ những nhà quản trị mới có thể thay đổi được mật khẩu của người dùng. 
	a. Đúng 	b. Sai 
8. Người dùng có thể truy cập vào các thư mục đích từ bất kỳ máy trạm nào trên mạng.
a. Đúng.	b. Sai.
9. Chỉ những người quản trị hệ thống mới có thể thay đổi các hồ sơ bắt buộc.
a. Đúng.	b. Sai.
10. Một trong những ưu điểm của hồ sơ người dùng là cho phép nhiều người cùng sử dụng chung một máy tính, và khi họ đăng nhập vào mạng thì màn hình của họ được thiết lập giống như máy tính cá nhân của họ trong lần đăng nhập trước.
a. Đúng	b. Sai.
CHƯƠNG 9 - QUẢN TRỊ TÀI KHOẢN NHÓM
MỤC TIÊU CỦA CHƯƠNG
Kết thúc chương này, sinh viên sẽ có thể:
Hiểu được cơ chế quản trị tài khoản user thông qua quản trị nhóm
Nắm được các loại nhóm trong Windows 2000
Biết cách lập kế hoạch tạo nhóm
Nắm được các bước tạo, xoá và thêm các thành viên vào nhóm
Các loại nhóm trong Windows 2000
Nhóm bao gồm nhiều thành viên. Nhóm được dùng trong windows 2000 để đơn giản cho công việc quản trị mạng và dùng để gán quyền sử dụng cho một số tài nguyên trên mạng. 
9.1.1 Các dạng nhóm (Type group)
Trong windows 2000, chia ra làm 2 dạng nhóm: Nhóm Security và nhóm Distribution. Cả hai dạng nhóm này đều được lưu trữ trên Active Directory nên chúng có thể truy cập từ bất kỳ nơi đâu trên hệ thống.
Nhóm Security: hệ thống windows 2000 chỉ sử dụng nhóm Security để cấp các quyền sử dụng tài nguyên trên hệ thống. Nhóm Security cũng có những đặc tính như nhóm Distribution.
Nhóm Distribution: dùng cho những mục đích không có tính bảo mật như gởi thông tin. Ta có thể đưa các thành viên vào trong một nhóm sau đó gởi thông tin đến nhóm này thì tất cả các thành viên đều nhận được thông tin .
9.1.2 Phạm vi của nhóm (Group Scopes)
Có 3 dạng: nhóm Global – nhóm Domain Local – nhóm Universal
Nhóm Global: chỉ bao gồm các thành viên trên một domain mà tạo ra nhóm này. Nó có thể truy cập vào bất kỳ tài nguyên nào trên các domain khác nhau thuộc cây domain hay rừng domain
Nhóm Domain Local: khác với nhóm Global, nhóm Domain Local có thể bao gồm nhiều thành viên trên các domain khác nhau, tuy nhiên chúng được tạo ra để truy cập vào các tài nguyên trên cùng domain nào mà tạo ra nhóm này.
Nhóm Universal: là sự kết hợp của nhóm Global và nhóm Domain Local, tuy nhiên chỉ hổ trợ cho những hệ thống mà chỉ toàn là Windows 2000 trở lên (Native mode)
9.1.3 Local Group 
	Nhóm Local được tạo trên các trạm làm việc sử dụng Windows 2000 hay trên các server thành viên của một mạng máy tính. Nhóm Local có đặc điểm sau:
Chỉ chứa các tài khoản user trên máy tính trên đó nhóm Local được tạo ra.
Không thể chứa các nhóm khác.
Lập kế hoạch nhóm Local Domain và nhóm Global
Một vấn đề quan trọng trong việc quản trị các nhóm là lập kế hoạch cho các nhóm trên. Sau đây là một số gợi ý.
- Gán tất cả các thành viên có chung một công việc vào Global group. Ví dụ tạo ra một nhóm có tên PGKETOAN và đưa tất cả các thành viên trong phòng này vào nhóm trên.
- Tạo Domain Local Group đối với các tài nguyên dùng chung trên hệ thống. Việc định dạng ra các tài nguyên dùng chung trên hệ thống để các thành viên có thể truy cập tới và tạo ra các Domain Local Group cho các tài nguyên này. Ví dụ như nếu công ty có một máy in màu, tạo ra domain local group có tên là PRINTCOLOR.
- Ðưa tất cả các Global Group nào cần truy cập tài nguyên vào domain local group. Ví dụ đưa Global Group PGKETOAN vào trong domain local group PRINTCOLOR.
- Gán quyền truy cập tài nguyên vào domain local group. Ví dụ gán quyền truy cập máy in màu vào nhóm PRINTCOLOR để mọi thành viên có thể dùng máy in.
Tạo và xoá các nhóm
9.3.1 Tạo nhóm
Chọn Start à Programs à Administrative Tools à Active Directory users and computers (Hình 9.1)
Chọn tên domain à Users Container à new à Group (Hình 9.2)
Điền vào một số thông tin trong cửa sổ New Group như : tên nhóm, dạng nhóm, phạm vi của nhóm.
9.3.2 Xóa nhóm
	Mỗi nhóm tạo ra đều có một SID (security Identifier), windows 2000 dùng SID để gán quyền cho các đối tượng.
	Khi xóa nhóm thì các thành viên trong nhóm không bị xóa và tất cả các tài nguyên liên kết với nó cũng bị xóa theo
	Để xóa nhóm, đơn giản chọn tên nhóm, nhấn chuột phải à delete
Hình 9.1 Cách chọn Active Directory Service
Hình 9.2 Cách chọn Group trong Active Directory 
Thêm các thành viên vào nhóm
9.4.1 Built-in Group
Trong windows 2000 có một số các nhóm được tạo sẵn sau khi cài đặt xong. Đối với Windows NT 4.0 bao gồm các nhóm : Built-In Local, Built-in Global, System. Trong Windows 2000, các nhóm này được mở rộng và chia ra làm 4 nhóm: Predefine, Local, Global và Special Identifier .
Nhóm định nghĩa trước (Predefined Group)
Nhóm này có phạm vi toàn cục, thường dùng để gom những tài khỏan người dùng có tính chất giống nhau. Theo mặc định Windows 2000 sẽ tự động đưa các thành viên vào một trong các nhóm thuộc Predefined Global. Người quản trị có thể đưa thêm một số thành viên vào Predefine Global, để thực hiện chế độ phân quyền cho các thành viên này.
Khi hệ thống là một domain, Windows 2000 sẽ tạo ra nhóm Predefined Global trong thư mục USERS trong Active Directory, các nhóm Predefined này không có quyền thừa kế, các nhóm này có quyền bằng cách đưa nhóm Global vào trong nhóm Domain Local hoặc có thể gán quyền trực tiếp trên chúng.
Sau đây là một số nhóm Prdefined Global
Predefined Global Group
Mô tả
Domain Admins
Windows 2000 tự động đưa Domain Admins vào trong nhóm Domain Local có sẵn với tên là Administrators sao cho các thành viên trong Domain Admins có thể thực hiện công việc quản trị mạng trên hệ thống. Mặc định, người Administrator sẽ là thành viên thuộc nhóm này
Domain Guests
Windows 2000 tự động đưa Domain Guests vào nhóm Domain Local có sẵn với tên là Guests. Mặc định tài khoản Guest là thành viên thuộc nhóm này.
Domain Users
Windows 2000 tự động đưa Domain Users vào nhóm tự có Domain Local có tên Users. Mặc định, các tài khoản người dùng Administrator, Guest IUSR_computername, IWAM_ computername, Krbtgt, và TsInternet là những thành viên thuộc nhóm này.
Enterprise Admins
Người quản trị có thể đưa các thành viên vào nhóm Enterprise Admins để các thành viên này có quyền giám sát hệ thống. Sau đó đưa Enterprise Admins vào nhóm Domain Local có tên Administrators trong mỗi domain. Mặc định, người Administrator sẽ là thành viên thuộc nhóm này.
Các nhóm có sẵn (Built-in Groups)
 Nếu như các nhóm Predefined có phạm vi toàn cục, thì các nhóm Built-in do Windows 2000 tạo ra có phạm vi cục bộ miền. Windows 2000 sẽ tạo ra nhóm Built-in Global trong thư mục BuiltIn trong Active Directory, các nhóm này có quyền trên toàn domain và trong Active Direcoty. Chúng có các quyền của nhóm Prdefined.
Sau đây là một số nhóm có sẵn (Built-in Groups)
Built-in Group
Mô tả
Account Operators
Các thành viên có thể tạo, xóa, thay đổi các tài khỏan người dùng và các nhóm, tuy nhiên không thể thay đổi nhóm Administrators hay bất kỳ nhóm operators nào.
Administrators
Các thành viên có thể thực hiện tất cả các công việc quản trị trên tất cả Domain Controllers và chính trên domain đó. Mặc định, tài khoản Administrator và các nhóm toàn cục định nghĩa trước Domain Admins và Enterprise Admins là các thành viên.
Backup Operators
Các thành viên có thể thực hiện viêc lưu trữ (backup) và phục hồi trên Domain Controllers dùng Windows Backup.
Guests
Các thành viên chỉ có thể truy cập vào những tài nguyên cho phép; các thành viên không có quyền thay đổi các cài đặt về môi trường làm việc. Mặc định, các tài khoản user Guest, IUSR_computername, IWAM_computername, và TsInternet và nhóm toàn cục định nghĩa trước Domain Guests là các thành viên thuộc nhóm này.
Pre-Windows 2000 Compatible Access
Cho phép các thành viên có quyền đọc trong domain. Mặc định, chỉ có nhóm hệ thống Everyone pre-Windows 2000 là thành viên
Print Operators
Các thành viên có thể cài đặt và quản lý máy in trên mạng.
Replicator
Hổ trợ Chức năng nhân bản thư mục.
Server Operators
Các thành viên có thể chia xẻ các tài nguyên trên đĩa, lưu trữ, phục hồi các file trên một domain controller.
Users
Các thành viên có thể truy cập vào các tài nguyên của mình. Mặc định, các nhóm Authenticated Users và INTERACTIVE pre-Windows 2000 và nhóm toàn cục định nghĩa trước Domain Users là những thành viên của nhóm này.
Built-in Local Group
Trong tất cả các máy chạy Windows 2000 dù là server hay professional đều có nhóm Buitl-in Local. Chúng chỉ cho phép tất cả các thành viên trong nhóm này sử dụng tài nguyên trên chính máy đó, Các nhóm này được tạo trong thư mục Groups trong công cụ Local User Manager. Trên các máy domain controller không tồn tại nhóm Local và nhóm Built-in Local. Sau đây là các nhóm Built-in Local:
Group
Mô tả
Administrators
Các thành viên có thể thực hiên công việc quản trị mạng trên máy tính này .Mặc định, Administrator là thành viên của nhóm. Khi có một server thành viên hoặc máy tính chạy Windows 2000 gia nhập vào một domain, Windows 2000 sẽ đưa nhóm toàn cục định nghĩa trước Domain Admins vào nhóm Administrators cục bộ.
Backup Operators
Các thành viên nhóm này có thể dùng Windows Backup để lưu trữ và phục hồi dữ liệu trên máy..
Guests
Các thành viên chỉ có thể truy cập vào những tài nguyên cho phép; các thành viên không có quyền thay đổi các cài đặt về môi trường làm việc. Mặc định, Guest là thành viên. Khi có một server thành viên hoặc máy tính chạy Windows 2000 gia nhập vào một domain, Windows 2000 sẽ đưa nhóm toàn cục định nghĩa trước Domain Guests vào nhóm Guests cục bộ.
Power Users
Các thành viên có thể tạo và thay đổi các tài khoản user cục bộ trên máy tính cục bộ và chia xẻ các tài nguyên trên máy tính đó.
Replicator
Hổ trợ chức năng nhân bản thư mục.
Users
Các thành viên có thể truy cập vào các tài nguyên của mình. Mặc định, Windows 2000 sẽ đưa các tài khoản cục bộ được tạo ra trên máy vào trong nhóm Users . Khi có một server thành viên hoặc máy tính chạy Windows 2000 gia nhập vào một domain, Windows 2000 sẽ đưa nhóm nhóm toàn cục định nghĩa trước Domain Users vào nhóm Users cục bộ.
Nhóm định danh đặc biệt (Special Identifier Groups)
Mỗi máy tính chạy windows 2000 đều có các nhóm Special Identifier hay còn gọi các nhóm System. 
Sau đây là các nhóm Special Identifier:
Group
Mô tả
Anonymous Logon
Bao gồm bất kỳ tài khỏan người dùng mà Windows 2000 không xác nhận
Authenticated Users
Bao gồm tất cả tài khoản người dùng hợp lệ có tạo ra trong máy hay trong Active Directory. Dùng nhóm này để ngăn chặn quyền truy xuất bất hợp pháp của người dùng.
CREATOR OWNER
Bao gồm những người cho phép tạo ra các files hay thư mục. Nếu một thành viên thuộc nhóm Administrators tạo ra một tài nguyên nào đó thì tài nguyên đó thuộc quyền Administrators
Dialup
Bao gồm bất kỳ ai có thể kết nối vào mạng qua modem.
Everyone
Bao gồm tất cả mọi người đang truy cập vào máy tính. Theo mặc định nhóm này được gán quyền Full Control, do đó bất kỳ người nào cũng có toàn quyền trên bất kỳ tài nguyên nào của hệ thống.
Interactive
Bao gồm các tài khỏan cho phép người dùng có thể kết nối vào hệ thống. Các thành viên của nhóm này có thể truy cập vào bất kỳ máy nào tại bất kỳ nơi đâu.
Network
Bao gồm bất kỳ người nào có thể kết nối vào mạng để truy cập tài nguyên .
Câu hỏi ôn tập chương 9
1. Có ba phạm vi cho các nhóm được tạo ra trong domain là: 
a. Global groups	b. Local groups
c. Domain local groups	d. Universal groups
2. Tên các nhóm có sẵn (built-in group) trong Windows 2000 là ..... (chọn 3)
a. Users 	b. Administrators 
c. System 	d. Guests
3. Nhóm tài khoản nào mà Administrator có thể xoá trong các nhóm tài khoản sau: 
a. Users 	 	b. Guests 
 c. Bult-in groups	d. Created groups by the Administrator
4. Các nhóm nào trong các nhóm sau có thể chứa một số các tài khoản user từ một domain được nhóm lại với nhau. 
a. Global groups	b. Local groups
c. Domain local groups	d. Universal groups
5. Những nhóm nào trong các nhóm sau đây được sử dụng để gán các quyền tới các tài nguyên.
a. Global groups 	b. Local groups
c. Domain local groups	 	d. Universal groups
6. Những nhóm nào trong các nhóm sau đây được sử dụng để gán các quyền tới các tài nguyên liên quan trong nhiều domain. 
a. Global groups	b. Local groups
c. Domain local groups 	d. Universal group
TÀI LIỆU THAM KHẢO
[1] DMIT – Network Maintenance Text Book, 2000
[2] MCSE Training Kit - Microsoft Windows 2000 Server / Microsoft Corporation. Microsoft Press, 2000.
[3] MCSE Training Kit – Networking Essentials Plus, 3rd ed. Microsoft press, 1999.
[4] Nguyễn Thúc Hải - Mạng máy tính và các hệ thống mở, Nhà xuất bản giáo dục, Hà nội, 1997.