1
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
KHOA ĐiỆN TỬ - ViỄN THÔNG
Chương 03
QUẢN LÝTÀIKHOẢNNGƯỜI
DÙNG VÀ NHÓM
2/47
Nội dung bài học
Nội dung bài học
Tài khoảnngườidùng và tàikhoản nhóm
Chứng thực và kiểm soát truy cập
Các tàikhoản tạo sẵn
Quản lýtàikhoảnngườidùng và nhóm cục bộ
Quản lýtàikhoảnngườidùng vá nhóm trên
Active Directory
3/47
ðịnh nghĩa tàikhoảnngườidùng và tàikhoản
nhóm
ðịnh nghĩa tàikhoảnngườidùng và tàikhoản
nhóm
Tài khoảnngười dùng
Tài khoảnngườidùng cục bộ:
ðược ñịnh nghĩa trên máy cục bộ (máy stand-alone, member sever)
ðược lưu trong tập tin SAM (Secutity Accounts Manager)
4/47
Tài khoảnngườidùng (t.t)
Tài khoảnngườidùng (t.t)
Tài khoảnngườidùng miền
ðịnh nghĩa trên Active Directory, lưu trên file NTDS.DIT
Có thể logon trên bất kỳ máy trạm nào thuộc vùng ñể truy cập tài
nguyên mạng
2
5/47
Tài khoảnngườidùng (t.t)
Tài khoảnngườidùng (t.t)
Yêu cầu tàikhoảnngười dùng
Username: dài 1-20 ký tự (trên Windows Server 2003,
username có thể dài 104 ký tự, tuy nhiên khi ñăng nhập từ các
máy cài hệ ñiều hành Windows NT 4.0 về trước thì mặc ñịnh chỉ
hiểu 20 ký tự )
Username là một chuổi duy nhất
Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < > ”
Username có thể chứa các ký tự ñặc biệt: dấu chấm câu, khoảng
trắng, dấu gạch ngang, dấu gạch dưới.
6/47
ðịnh nghĩa tàikhoảnngườidùng và tàikhoản
nhóm
ðịnh nghĩa tàikhoảnngườidùng và tàikhoản
nhóm
Tài khoản nhóm
Nhóm bảo mật (Security group)
Nhóm bảo mật ñược dùng ñể cấp phát các quyền hệ thống
(rights) và quyền truy cập (permission).
Mỗi nhóm bảo mật có một SID riêng.
Có 4 loại nhóm bảo mật: local (nhóm cục bộ), domain local (nhóm
cục bộ miền), global (nhóm toàn cục hay nhóm toàn mạng) và
universal (nhóm phổ quát).
Nhóm phân phối (distribution group)
Nhóm phân phối là nhóm phi bảo mật, không có SID và không
xuất hiện trong ACL (Access Control List).
7/47
ðịnh nghĩa tàikhoảnngườidùng và tàikhoản
nhóm
ðịnh nghĩa tàikhoảnngườidùng và tàikhoản
nhóm
Nhóm bảo mật (Security group)
Local (nhóm cục bộ): Chỉ có ý nghĩa và phạm vi hoạt ñộng trên
máy cục bộ
Domain local (nhóm cục bộ miền):
Là nhóm cục bộ nhưng nằm trên các Domain Controller
Một user trên máy DC này sẽ có mặt trên các DC ñồng hành với nó
Global (nhóm toàn cục hay nhóm toàn mạng):
Nằm trong AD ñược tạo ra trên các DC
ðược cấp quyền hệ thống và quyền truy cập vượt qua ranh giới của
miền
Universal (nhóm phổ quát): ðược cấp quyền cho các ñối tượng
trên khắp miền trong rừng
8/47
Tài khoảnnhóm (t.t)
Tài khoảnnhóm (t.t)
Qui tắt gia nhập nhóm
Tất cả các nhóm Domain local,
Global, Universal ñều có thể ñặt
vào trongnhóm Machine Local.
Tất cả các nhóm Domain local,
Global, Universal ñều có thể dặt
vào trong chính loại nhóm của
mình.
Nhóm Global và Universal có
thể ñặt vào trongnhóm Domain
local.
Nhóm Global có thể ñặt vào
trong nhóm Universal.
3
9/47
Chứng thực và kiểm soát cuy cập
Chứng thực và kiểm soát cuy cập
Các giao thức chứng thực
Quy trình chứng thực:
ðăng nhập tương tác: phê chuẩn những yêu cầu ñăng nhập của người dùng
Chứng thực mạng: kiểm tra chứng thực cụ bộ hay miền
Kerberos V5: là giao thức chuẩn Internet dùng ñể chứng thực người
dùng và hệ thống.
NT LAN Manager (NTLM): là giao thức chứng thực chính của
Windows NT.
Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơ
chế chứng thực chính ñược dùng khi truy cập vào máy phục vụ Web
an toàn.
10/47
Chứng thực và kiểm soát truy cập (t.t)
Chứng thực và kiểm soát truy cập (t.t)
Số nhận diện bảo mật SID (Security Identifier):
mỗi tài
khoản ñược ñặt trưng một con số nhận dạng tàikhoản SID
SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID”
D1, D2, D3 : xác ñịnh domain
RID : xác ñịnh ngườidùngtrong vùng
Mục ñích của việc sử dụng SID:
Dễ dàng thay ñổi tên ngườidùng mà các quyền hệ thống không
thay ñổi
Khi xóa tàikhoản thì SID sẽ không còn giá trị nữa
11/47
Chứng thực và kiểm soát truy cập (t.t)
Chứng thực và kiểm soát truy cập (t.t)
Kiểm soát truy cập của ñối tượng
Người dùng, nhóm, máy tính, các tài nguyên mạng ñều ñược ñịnh
nghĩa dưới dạng các ñối tượng và ñược kiểm soát truy cập dựa vào bộ
mô tả ñối tượng ACE (Access Control Entry)
Chức năng của ACE:
Liệt kê ngườidùngnhóm nào ñược truy cập ñối tượng
ðịnh rõ quyền truy cập của ngườidùng và nhóm
Theo dõi các sự kiện xảy ra trên ñối tượng
ðịnh rõ quyền sỡ hữu ñối tượng
Một ACL (Access Control List) chứa nhiều ACE, nó là danh sách tất
cả ngườidùng và nhóm có quyền truy cập ñến ñối tượng
.
12/47
Các tàikhoản tạo sẵn
Các tàikhoản tạo sẵn
Các tàikhoảnngườidùng tạo sẵn
Administrator: toàn quyền trên máy tính hiện tại
Guest: dùng cho khách vãng lai không có tài khoản
ILS_Anonymous_User: là tàikhoản dành cho dịch vụ ILS như
caller ID, video conferencing
IUSR_computer-name: dùngtrong các truy cập dấu tên trong dịch
vụ IIS
IWAM_computer-name: Dùng cho khởi ñộng các tiến trình của các
ứng dụng IIS
Krbtgt: dùng cho dịch vụ trung tâm phân phối khóa
TSInternetUser: dùng cho Terminal Service
4
13/47
Các tàikhoản tạo sẵn (t.t)
Các tàikhoản tạo sẵn (t.t)
Tài khoảnnhóm Domain Local tạo sẵn
Administrators: Toàn quyền trên hệ thống
Account Operators: Thêm xóa các tàikhoảnngườidùng local và tài
khoản nhóm
Domain Controllers: ñăng nhập vào các DC nhưng không có quyền
quản trị các chính sách bảo mật
Backup Operators: Lưu trữ phục hồi tập tin hệ thống
Guests
Print Operator: quảnlý các ñối tượng máy in
Server Operators: cài ñặt quảnlý máy in, quảnlý thu mục, ñịnh
dạng ñĩa, thay ñổi giờ hệ thống
14/47
Các tàikhoản tạo sẵn (t.t)
Các tàikhoản tạo sẵn (t.t)
Tàikhoảnnhóm Domain Local tạo sẵn
Users
Replicator: sao chép danh bạ trong AD
Incoming Forest Trust Builders: tạo các quan hệ tin cập ñến các
rừng
Network Configuration Operators: chỉnh sửa các thông số TCP/IP
trên các máy DC
Pre-Windows 2000 Compatible Access: truy cập các tàikhoản
người dùng và nhóm hỗ trợ WinNT cũ
Remote Desktop User: ñăng nhập từ xa vào DC
Performace Log Users: ghi nhập các giá trị hiệu năng của DC
Performace Monitor Users : có khả năng giám sát từ xa các DC
15/47
Các tàikhoản tạo sẵn (t.t)
Các tàikhoản tạo sẵn (t.t)
Tài khoảnnhóm Global tạo sẵn
Domain Admins: Thành viên nhóm này có toàn quyền
quản trị trong miền
Domain Users: mặc ñịnh tàikhoảnngườidùng thuộc
nhóm này
Group Policy Creator Owners: nhóm này có quyền thay
ñổi chính sách nhóm của miền
Enterprise Admins: thành viên của nhóm này có toàn
quyền trên tất cả các miền trong rừng
Schema Admins: Thành viên của nhóm này có thể
chỉnh sửa cấu trúc tổ chức của AD
16/47
Các tàikhoản tạo sẵn (t.t)
Các tàikhoản tạo sẵn (t.t)
Các nhóm tạo sẵn ñặc biệt: chỉ xuất hiện trên các ACL của các tài
nguyên và ñối tượng
Interactive: ñại diện cho những ngườidùng ñang sử dụng máy tại
chỗ
Network: ñại diện cho những ngườidùng ñang kết nối ñến máy tính
khác
Everyone: ñại diện cho tất cả mọi người
System: ñại diện cho hệ ñiều hành
Authenticated users: những người ñược xác thực
Anonymous logon: những người ñang nhập qua FTP
Dialup: ñang nhập hệ thống thông qua Dial-up Networking
5
17/47
Quản lýtàikhoảnngườidùng và nhóm cục
bộ
Quản lýtàikhoảnngườidùng và nhóm cục
bộ
Công cụ quảnlýtàikhoảnngườidùng cục bộ
Dùng công cụ Local Users and Groups
Có 2 phương thức truy cập ñến công cụ Local
Users and Groups
Dùng như một MMC (Microsoft Management Console)
snap-in.
Dùng thông qua công cụ Computer Management
Các bước chèn Local Local Users and Groups
snap-in vào trong MMC. (Xem Demo)
18/47
Quản lýtàikhoảnngườidùng và nhóm cục
bộ (t.t)
Quản lýtàikhoảnngườidùng và nhóm cục
bộ (t.t)
Quản lýtàikhoảnngườidùng cục bộ
Tạo tàikhoản mới
Xoá tài khoản
Khoá tài khoản
ðổi tên tài khoản
Thay ñổi mật khẩu (Xem Demo)
Quản lýtàikhoảnnhóm cục bộ
Tạo tàikhoản nhóm
Xoá tàikhoản nhóm
Thêm ngườidùng vào nhóm (Xem Demo)
19/47
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Công cụ quảnlýtàikhoảnngườidùng trên Active
Directory
Công cụ Active Directory User and Computer
Truy xuất công cụ Active Directory User and Computer
thông qua MMC
Quản lýtàikhoảnngười dùng
Tạo tàikhoản mới
Xoá tài khoản
Khoá tài khoản
ðổi tên tài khoản
Thay ñổi mật khẩu (Xem Demo)
20/47
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Quản lýtàikhoảnnhóm trên Active
Directory
Tạo tàikhoản nhóm
Xoá tàikhoản nhóm
Thêm ngườidùng vào nhóm
Gia nhập nhóm vào nhóm (Xem Demo)
6
21/47
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Các thuộc tính của tàikhoảnngười dùng
Tab General
Tab Address
Tab Telephones
Tab Organization
Tab Account
Tab Profile
Tab Member of
Tab Dial-in
… (Xem Demo)
22/47
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Tab Account:
Giới hạn giờ ñăng nhập
của người dùng
Giới hạn PC mà ngườidùng
đăng nhập từ mạng
Tự ñộng logoff khi hết giờ ñăng nhập Group Policy chọn Computerconfiguration\Windows
settings\Security Settings\Local Policies\Security Option chọn Network security:Force logoff
when logon hour expire
23/47
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Các tùy chọn liên quan ñến tàikhoảnngườidùng
Tùy chọn này ñược dùng khi ngườidùng ñăng nhập vào mạng
thông qua một thẻ thông minh (smart card), lúc ñó người
dùng không nhập username và password mà chỉ cần nhập vào
một số PIN.
Smart card is required for
interactive login
Nếu ñược chọn thì tàikhoản này tạm thời bị khóa, không sử
dụng ñược.
Account is disabled
Chỉ áp dụng tùy chọn này ñối với ngườidùng ñăng nhập từ
các máy Apple.
Store password using
reversible encryption
Nếu ñược chọn thì mật khẩu của tàikhoản này không bao
giờ hết hạn.
Password never expires
Nếu ñược chọn thì ngăn không cho ngườidùng tùy ý thay
ñổi mật khẩu.
User cannot change
password
Người dùng phải thay ñổi mật khẩu lần ñăng nhập kế tiếp,
sau ñó mục này sẽ tự ñộng bỏ chọn
User must change
password at next logon
24/47
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Các tùy chọn liên quan ñến tàikhoảnngườidùng
Chỉ áp dụng cho các tàikhoản dịch vụ nào cần giành ñược
quyền truy cập vào tài nguyên với vai trò những tàikhoản
người dùng khác.
Account is trusted for
delegation
Nếu ñược chọn hệ thống sẽ cho phép tàikhoản này dùng một
kiểu thực hiện giao thức Kerberos khác với kiểu của
Windows Server 2003.
Do not require Kerberos
preauthentication
Nếu ñược chọn thì hệ thống sẽ hỗ trợ Data Encryption
Standard (DES) với nhiều mức ñộ khác nhau.
Use DES encryption types
for this account.
Dùng tùy chọn này trên một tàikhoản khách vãng lai hoặc
tạm ñể ñảm bảo rằng tàikhoản ñó sẽ không ñược ñại diện bởi
một tàikhoản khác.
Account is sensitive and
cannot be delegated
7
25/47
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Quản lýtàikhoảnngườidùng và nhóm trên
Active Directory
Tab Profile
@echo off
REM login.bat version1.1
REM Exit if user has logged on to the server
IF %computername%.== sever1. goto end
REM delete pre-exit drive mappings
Net use H: /delete >nul
Net use J: /delete >nul
REM Map H to Users share
Net use H: \\server1\Users /yes >nul
REM Map H to Apps share
Net use J: \\server1\Apps /yes >nul
REM Synchronize time with sever
Net Time \\sever1 /set /yes
\Window\SYSVOL\sysvol\do
mainname\scripts
26/47
Quản lýtàikhoảnngườidùng và tài
khoản
nhóm
Quản lýtàikhoảnngườidùng và tài
khoản
nhóm
Quản lýtàikhoảnngườidùng và tàikhoản
nhóm bằng dòng lệnh
Lệnh net user: tạo thêm, hiệu chỉnh và hiển thị
thông tin của các tàikhoảnngười dùng.
Cú pháp:
net user [username [password | *] [options]]
[/domain]
net user username {password | *} /add [options]
[/domain]
net user username [/delete] [/domain]
27/47
Quản lýtàikhoảnngườidùng và tàikhoảnnhóm
(t.t)
Quản lýtàikhoảnngườidùng và tàikhoảnnhóm
(t.t)
Quản lýtàikhoảnngườidùng và tàikhoảnnhóm
bằng dòng lệnh (t.t)
Lệnh net group: tạo mới thêm, hiển thị hoặc hiệu chỉnh
nhóm toàn cục.
Cú pháp:
net group [groupname [/comment:"text"]] [/domain]
net group groupname {/add [/comment:"text"] | /delete}
[/domain]
net group groupname username[ ] {/add | /delete} [/domain]
28/47
Quản lýtàikhoảnngườidùng và tàikhoảnnhóm
(t.t)
Quản lýtàikhoảnngườidùng và tàikhoảnnhóm
(t.t)
Quản lýtàikhoảnngườidùng và tàikhoảnnhóm
bằng dòng lệnh (t.t)
Lệnh net localgroup: thêm, hiển thị hoặc hiệu chỉnh nhóm
cục bộ.
Cú pháp:
net localgroup [groupname [/comment:"text"]] [/domain]
net localgroup groupname {/add [/comment:"text"] | /delete}
[/domain]
net localgroup groupname name [ ] {/add | /delete} [/domain]
8
29/47
Quản lýtàikhoảnngườidùng và tàikhoảnnhóm
(t.t)
Quản lýtàikhoảnngườidùng và tàikhoảnnhóm
(t.t)
Quảnlýtàikhoảnngườidùng và tàikhoảnnhóm bằng dòng lệnh (t.t)
Lệnh dsadd user, dsmod user: tạo mới, chỉnh sửa tàikhoảnngười
dùng.
Các ví dụ:
dsadd user "CN=HV01,CN=Users, DC=Netclass, DC=Com, DC=vn" -pwd
A1b2C3d4 -mustchpwd yes
(thêm một user)
dsrm user "CN=hv01, CN=Users, DC=Netclass, DC=Com, DC=vn"
(xóa một user)
Dsmod group “ CN=Network, CN=users, DC=netclass, DC=com, DC=vn”
–addmbr “CN=hv01, CN=Users, DC=netclass, DC=com, DC=vn” (thêm
một ngườidùng hv01 vào nhóm Network2929
30/47
Câu hỏi và giải ñáp
Câu hỏi và giải ñáp
. /yes
WindowSYSVOLsysvoldo
mainnamescripts
26/47
Quản lý tài khoản người dùng và tài
khoản
nhóm
Quản lý tài khoản người dùng và tài
khoản
nhóm
Quản lý tài khoản người dùng và tài khoản
nhóm.
27/47
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)
Quản lý tài khoản người dùng và tài khoản