Làm chủ windows server 2003 (tập 2) phần 2

“Cho tới nay, bạn đã biết những kiến thức cơ sở về Active Direclor7 cách cài đạt và định cấu hình những thành phần chính của WioS2kØ, và mọi ngốc ngách của MMC, cơng như những điểm cấn lưu tâm ve Registry Gid thi chúng ta hãy bàn vào trọng tâm cơng việc của một quản trị viên: ạo ra và quản lý các tài khoản người dùng và nhĩm người đồng, Trong chương này, trước hết bạn sẽ học cách tạo ra các tài khoản “người dùng, cả trong mỗi trường workgroup lẫn mơi trường dựa trên miễn, Sau đĩ bạn sẽ thấy cách sử đụng các nhĩm _ cĩ đến hốn loại để đơn giản hĩa các tác vụ quần tr củs bạn Sau đĩ, bạn sẽ tìm hiểu cách sử dụng các chính sách để đơn giãn hĩa việc quản lý người dùng, mỡ xăng quyên hạn người dũng, và khống chế các máy trạm Sau đĩ, bạn sẽ Siết cách sử dụng và quản lý các bien dong ngubi ding (user profile) 9.1 Tạo ra các tài khoản người dùng tại chỗ và trên miền

“Tuy bầu hết các bạn đều đang sử đụng Active Directory, nhung moe it bạn cĩ thế vẫn cịn dang sử dụng các DC loại NT 4, và vì thế, đí nhiên ban sà tạo ra một sổ tài khoản người dùng theo lối cơ, tứ là bằng User Manager for Domains Nhưng nến cần tạo re một tài khoản tại chỗ trên một máy WinS2k2, thì bạn vẫn cĩ thể làm như thế, bức bằng cách dùng ‘cong cp Computer Management thay vi Active Directory Users and Computers Trong hai mục nhỏ kế đưới đây, chúng tơi sẽ chỉ bạn cách ạo re các tai khoắn người dùng cã tại chỗ lần trên một miền AD

9.1.1 Đối với các tài khoản tại chỗ, hãy dùng

‘Computer Management

B30 Làm chủ

in lợi ích của việc sử dụng AD trên mạng Trong nhiều trường hợp, đạc biệt là nếu mạng củn bạn cổ các may NT 4 Workstation, Win2K Pro, hoặc XP Pro dùng lâm máy khách, thì rất ding để tạo ra một miễn ngay cá đù bạn chỉ cĩ một máy server duy nhất) để tận dụng du thể của những tinh nang bổ sung cua Active Directory Tuy nhiên, một cơ quan “nhỏ thì cĩ thể vẫn muốn gìữ cho coộc đời rất đơn gián, hay thậm chí hệ điêu hành mạng chính của cơng ty đĩ khơng phải là Win2K hoặc WinS2k nữa cơ Vĩ đụ, trong một mạng đựa trên Unix hoặc NetWare, sỡ thể cĩ nhủ cầu thiết lập một NT server với mục đích đặc biệt nào đĩ chứ khơng cân cĩ những tính năng tủa AD Trong trường hợp đĩ, nếu my server của bạn khơng phải là một DC, và bạn khơng phải đang ding Active Directory, ban hay tgo ede tai khoản người dùng của bạn bằng cách sử dụng cơng ey Computer Management (COMPMGMT.MSC) Những tài khoản người dùng và nhĩm đơợc tạo bằng COMPMGMT,MSE là những tai Khon fai ed, tức là chúng chỉ hiện hữu và cĩ giá trị trên máy tại chỗ đĩ mà thơi Tuy nhiên, C0MPMGMT.MSC là một cơng cụ cơ thể làm việc từ xa, cho nên bạn cĩ thế đong nĩ để tạo ra và quản lý các tài khoản người dùng và nhĩm tại chỗ trên các máy server thanh vie Imemlber server) @ xa trong một miễn hoặc trên các seruer độc lớp {stand-alone server!) xa Để lâm điều đĩ, bạn chỉ việc chọn Conneet 4o another computer từ menu Aetion (nhưng với điều kiện là, bạn cĩ “quyển hạn thích hợp để làm điều đĩ) indows Server 8 Ms

‘Wonu Aeon 1 menu ma tpn thy 2 btn pat eba mana Fle hay w menu Ee) Wong tắt cử sỸ tơng MMC Xn xen lại Chưng 3 6Ể cĩ mật cái ahi tng quit vd MC, các bộ hận hp hành nội sale MMC, và các uật ặữ kiểu MMC tác

Muốn tạo ra các tài khoản người dùng trên một server phi-DC, ben nay ding cong ev Computer Management Con nfs máy mà bạn đang lam vige trén 46 1a mot DC, ban hy diing Active Directory Users and Computers (te DEA.MSC) A tao ede thi khodn, (Trén các méy DC, node Local Users and Groups trên cây console trong ella $6 cơng cụ Computer Management bi vd higu héa)

Baa Lam chu Windows Server 2003

Nhắc lại, tài khốn Quest bị vơ hiệu hĩa theo mặc định như một biện phấp phịng ngửa về mật bảo an, Tài khoản này, trên máy stand-alone erver cũng như trong mơi trường AD, tạo ra một lỗ hổng vi đại về mật báo an của một máy qua việc cho phép những coộc truy cập khơng được xác minh Điều đĩ đảng thơi, truy cập khơng được xác mình cơ mà, Nĩ khơng bị đơi hỏi mật khấu, bạn cĩ thé ding nĩ mà khơng củn biết tên người dùng hoặc tài khoản nào cả Đĩ là lý do tại sao nĩ bị vơ hiệu hĩa heo mặc định Cho nên, thật may mấn khi Guest Id mgt tai khoản rất "nghêo nàn xét vé mật quyển hạn và khá nâng

.MgL Bê si Ms nội tưing đc đừng ì, đi lên gi Mồn 0aeg ân GÌ ok Admlnhtnlzr, Điểu này ga hơng cho nộ kỆ răm s8Ưp Mà VỊ đụng được lì Đế của Bhữn Wo 1h ana nl og oby để Ỹ gắng đing nh vào mịt

Máy WinS2k3 phi.DC cĩ thêm vài nhớm toi chổ được tạo sấn (leal built-in group) 0 vei may Win2K Server phi-DC; ngồi các nhĩm ‘Administrators, Backup Operators, Guests, Power Users, Replicator, va Users ra, WinS2k3 cịn tạo ra các nhém Network Configuration Operators, Performance Log Users, Performance Monitor Users, Print Operators, và Remote Desktop Users, Ngồi ra, trên những máy đảm trách vai trị DC cịn cĩ các nhĩm được tạo sấn khác nữa, như lát nữa "bạn sẽ thấy, Tất cả các nhĩm được tạo sẵn này cĩ một mỡ quyển hạn và quyển truy cập được qui định trước Để trao cho những người đồng nà đồ các quyển hạn và quyển truy cập này, bạn ch việc biến những người dùng đơ thành thành viên của nhĩm thích hợp là xong Lát nữa, chúng ta sẽ bàn về các nhĩm được tạo sấn này và quyên hạn của chúng

DE to ra một tài khoản người ding mới trên một máy server phi- ĐC, bạn mé folder Users bên dưới Leeal Users and Groups ra rbi chon New User tu menu Action, hofe nhdp phải vào folder Users y tối chon New User cing được Bạn điển vào các trường dành cho Username, Password, vi Confirm Paseword (các trường khác là tùy 9), như được mình họa trong Hình 92, rồi nhấp nt Create Để thay đối sắc đặc tính của tài khoản, hoặc để chỉ định các các thành viên nhém, một kích bản đăng nhập (logon script, sẽ giải thích chỉ tiế sau), và một folder co sd (home folder), hote 46 trao quyền truy cập diaLin cho người dang ban hay nhấp phái tài khoản người dịng rồi chọn Properties Dé thiết lập mật khẩu cho một tài khoản người dàng nào đĩ, bạn chọn tài khoản đ6 rồi nhấp phải và chọn Set Paseword Tất cả các tùy chọn

ương

Tyo ra va quin ý sức ti khốn ngời dịng — —_ 201 8

"này, và những thứ khác nữa, lát nữa sẽ được bản đến khi chủng ta tạo ra céc tai khoản AD,

‘Hinh 9.2 Vide tgo ra mgt ti khodn người đong tại chủ

Ma Làm chủ Windows Server 2003

9.12 Đối với các tài khoản miển, hãy dùng Active Directory Users and Computers

Kế từ hi tung ra WindK Server, Active Directory Users and ‘Computers ‘ADUC, tle DA MỆC) đã trở thành cơng cụ quân trị chính để “quản lÿ các tai khoản người dùng, ede nhom bdo mgt (security group), các OU, và các chính sách trong một mạng đơn miễn cũng như đa miền Phiên ban danh cho WinS2k3 cia edng ey đố chỉ chạy trên máy Windows XP Pro hoặc WinS2k3 khác, Mặc định thì ADUC chỉ được cài đạt trên WinS2k3, và nĩ chỉ xuất hiện trong menu StarLPrograme trên các máy DC thơi Muốn chạy ADUC tiền một máy Wiadovs XP Pro, bạn hây cài Admin Pạck cĩ trong VWIndowekrlen3ZAADMINPAK MS lên máy server Gĩi Admin Pack đĩ cài đạt ba cơng ey Active Directory lên một máy tram, và giống như những chương trình đựa trên Windows Installer kháe, nơ cĩ thế được phát hành (publish) bing cach dung Group Policy va Active Direetery để cài đật lên các máy trạm XP Pro Hay xem Chương 12 để cĩ thêm thong tin về việc phát hãnh phần mắm trong Active Direetory ADUC cùng hữu ích cho việc quan ly các tài khốn máy, các OU, các tải nguyên như máy in va folder dung chung, vd thậm chí cả các máy DC nữa Tuy nhiên, iêu điểm chủ ý trong chương này được đật vào việc tạo ra vÀ quần lý người đùng và nhĩm, kế cả việc “quấn lý mơi trường làm việc của người ding và chính sách nhĩm

Thế cn gi Sanh Pao i lên eo Mi San BA MSC đồ đỂ quân ị Aei19 0Iadn 1 Ving được Cơng dụ đ vn làm việc được

9W Pục thọ và địe 9 đổi lượng 6â tay đổ, Bạn hơng tể quận ý thơn độc Hh "ni bÌn cích si dung cng ev ed Bản anh 6, sy ha ving BMA ng drag-and trop tony cog eyed tage 441 Ging Bye mh Thay ve gga cng phe bn ‘eae Oty cia DSA.MSC ể nổi Mi với mộ sune Maoh vide ape OC fp! WinSZA, 46 guln AD, ban hy dong mgt Remote Destop Conection vi Ne 1 Bam 98 cf ae ‘hd ning tay cp vo Ut ch ang pian bin ml ated cde cong cy guint “9i tuững MnS2M Từ 2A9, BH}

1 Các tài khoản người ding và nhĩm được trữ ở đâu? Các tài khoản người đồng tại chỗ trên một standalone server, mmember server, hoặc máy trạm XP Pro được trữ trong một cơ sở dữ liệu mang tên Security Accounts Manager (tue SAM), thutng được đạt trong thự mục Windowssystam3Zeontig hoặc Winnteystemazcontig, tay thude ban

“Chương 9; Tao ra và quản lý các tài khoản người đúng, 335 ÊĐ

Đối với các tài khoản cĩ giá trị trên sà một miễn Active Directory le eơ sở đỡ liệu đĩ được gọi là NID$.DT, và theo mặc định thi no nâm, trong thi mye Windows¥TDS, nhung bạn cĩ thể chỉ định một đường dân, khĩc trong thủ tục DCPROMO Nhw ban da thm hidu trong Chương 8, cứ sở đo liệu NIDS.DIT as tri nhiề thơng tín hơn nhiều so với SÂM Nĩ cũng: ớt trữ những thơng tin về các máy server và máy trạm, các lãi nguyên, la mạng, các ứng đọng được phát hành, va che chinks sich bao mắt, WNTDS.0VT cùng với phần mềm điều hành nĩ được gọi chung la hệ địch ew danh: bạ (directory services) hoae Active Directory Cơ sứ di lity này được sao chếp khấp miền, đến tất cá các máy DC trong mot miền đã dịnh để cĩ được khĩ nĩng chịu lỗi aul t6leraneel vi san xe (it toad balancing) Nĩ thực ra là một eơ sở dữ liệu mà sử dung một động ea tương tự như cái được Eacbange sử dụng, chỉ trư một điểm la cae chun tình điều khiến nổ thơng qua giao thue Lightweight Dincctory Access Protecol (LDAP! 4a được chỉ ra trong RFC 1777 Mac dis Wink Server sả hơi thiểu những cơng cụ quán lý AD vững chải, những địa phân phối WinS2k3 cổ kèm nhiều chương triah of kiao điện đố ba và dỡng lệnh để làm việc với Active Directory, va g8i phn mém Support Tools tren da CD cai dat WinS2kð cảng củng cấp một vai cơng cử khác nứa 9.1.2.2 Các mã nhận điện bảo mật

CCác tài khoản ngưới dùng, khi mới được tạo ra đều tự động được phân cho một mã nhận dign bio mat (security identifier SID) Mbi SID la mật con số độc nhất võ nhí, cĩ tác dụng nhận diễn một tài khoản Các SID đã được dang kế từ khi NT mới bất đầu được sáng chế ra; hệ điều hành khơng thực sự biết đến bạn nhờ tên của bạn, mà thay vi vay nba SSID của bạn Các mã nhận điển người dung được đật ra là để giao tiếp với sơn người Các SID khơng bao giờ được sử đụng lại, khi một tài Khoản bị xĩa đi, SỊD của nĩ cơng bị xĩa theo nĩ

"Một SID tiêu biểu cĩ thể cĩ dạng như thể này:

‘s-1-5-21-1659004502-199565697-854245398-1002 06 thế phân chia ede SID ra thành các đoạn như thể này:

$-1-5-21-D1<2-P3-RTP

Base

146, RID a dang vidt tdt của Relative IDentifier, tức mổ nhận diện tương 4 RxD a phén Khe bigt, Ade nhl vb nhi cus bat ky SID nào Mỗi tài khoản mới luơn luờn cĩ một mã 88 RED khée bigt, cho di Username va những thơng tin khác cĩ giống với một tải khoản cũ đi nữa, Nhờ vậy, tài khoản mới ấy sẽ khơng cĩ bất ký quyên hạn và quyền truy cập nào của tài khoản củ cả, và an ninh được báo tồn

9.1.2.3 Khái quát về các chức năng liên quan đến người dùng và nhĩm trong ADUC

Active Directory Users und Computers cưng cấp cho người quần trị mạng những phương tiện để thực hiện các cơng việc sau đây

_ Làm cha Windows Server 2008

I8 Tạo rà, sửa đổi, và xĩa bố các tài khoản người dùng

(Asslgn) các kịch bán đăng nhập cho các tài khoản người

© Quin ly cde nhĩm và các thành viên nhĩm 8 Tạo ra và quản lý các chính sách nhĩm

Mây md Active Directory Users and Computers từ nhĩm cơng cụ Administrative Tools trim menu Start ra (nếu cĩ ở đỏ, hoặc chọn ‘StartRum rbi g9 vào ten file (OSA.MSC) Cong ey 46 edn nbi kết với một máy DC để thụ thập thơng tỉa về và truyền đạt những thay đối của bạn đến máy đĩ Trong cửa số Aetive Directory Users and Computers, bạn s8 thấy tên của DC được liên hệ ở trên cùng của cây console, con tên miễn của bụn nằm ngay bên dudi gốc console, như trong Hình 93 (Trong hình đĩ, tên của DC được nổi kết là zøoropa) Muốn tự tay nổi ˆết với một miên hoặc DC khác, bạn nhấp vào gốc console để chọn nĩ, TƠI sau đơ chọn Connect to Domain hole Connect to Domain Controller ts menu Action

sản ngời dùng — a7

ấn bg Gang chy tro Windows 200 native tanetion! ive Nabe WindowsServer 2093 uncon! evel nk mạng cản an ang & tong Windows 2000 med funciona eel, 1 đĩ hiên nb ph lần hệ ‘Hl my POC operations teh 8 thế thle na master, divi mized mace c6 gh ban vhn cmt mé

Bạn cơng cĩ thể ch định máy DC hoặc một miền khác để nỗi kết vào khí khởi động ADUC từ một cửa số dịng lệnh hoặc khung thoại StarRun Để chỉ định một DC cụ thé, bạn hãy go lệnh DSA MSC [BEAVER=serverame, Để chỉ định một miền khác, bạn hãy gơ lệnh DSA.MSC /DOMAIM=domaimame Trong ngân bên trái của của số trong Hình 93, bạn thấy cĩ liệt ké mt mé container va OU vốn được tự động tạo ra sn cùng lúc với miền dang xem: Builtin, Computers, Domain Controllers, PoreignSecurityPrineipale (lạm dich: chil tht io mac bên ngodi), va Users (cịn Brunswick là một OU ma ching ti da to ra) Cơng như với tất cả các ủng dụng kiểu console, bun nhấp vào một đối tượng trong cây console (phia ben trấu để nhìn thấy nội dung và thơng tin của nĩ trong ngân thing tn chi tt (details pune, o bn phi Cơng nên chủ ý rằng, thanh mổ tổ (description bar) danh cho details ane cho bạn biết là cĩ bao nhiều đối tượng trong container đang xem “Thanh mơ tả, giống như thanh tình trạng và các thanh cơng cụ, cĩ thé được giấu đi nếu bạn muốn cĩ một cánh xem được đơn giản hĩa hơn, Chỉ vige chon Customize tir menu View, ri bé duyệt ơ Deseription Bar,

Các container Users và Computers 18 những nơi mặc định để đạt các tài khoản người dùng, ài khoản nhĩm, và tài khốn máy e6 sẵn từ miễn cũ vào đĩ khi máy được năng cấp tử NT 4 lên Khi nâng cấp như thé, các tài khoản cĩ sn ấy phải được đưa vào một nơi nào đĩ, và ADUC eda Win2K Server hose WinS2k3 dua ching vio ef container tao sẵn như thế, Nhưng bạn khơng cần phải đặt các tài khoản mới vào đĩ, và bạn cĩ thé dời chúng đến các OU nào đĩ tùy như cầu Như sau này bạn sẻ nhanh chĩng khám phá ra, bạn cĩ thể đặt một tài khoản người đồng trong mot OU bất kỹ, kế cả ngay trong container wong trang cho miễn Builtin là container dành cho các nhĩm tại chỗ được tao sấn đặc iệt đã nĩi ở trên _ chẳng hạn như Adminietraters, Aeeount Operators, Guests, va Users _ chúng cĩ mặt trên moi may server Win2K Server hoặc WinS2k3, kế cả các DC Lat nữa ta sẽ bàn chỉ tiết hơn vé chúng,

Lam chi Windows Server 2003

ForeignSecurityPrincipals {a container mae định dành cho các đổ tượng từ bên ngồi miền dang xét, tử các miễn duge tin (trusted domain! la miễn này Trong chương này, chúng ta sẽ chỉ làm việc với các tài Xhoản người đong và nhĩm từ miễn đang xét hơi

“Chương 9: Tạo ra va quần lý các tài khoản người đừng sso B

"Bắt kỳ chọn đối tượng nào trong số này, bạn cũng sẻ kích hoạt một wizard tong ứng để tạo ra nĩ Trong mỗi trường hợp, để nhập vào tất Tả những chỉ tiết eụ thể của một đối tượng nào đĩ sau khi tạo ra nĩ, bạn {Abu cĩ thể quay trổ lại rồi chỉnh sửa các đặc tính của đối tượng đĩ (nhấp, phải vào đối tượng đĩ rồi chọn Properties)

Bồi vì OU ở đây thực ra khơng phải là OU của Active Directory, mà ‘hi IA container cia MMC, nên bạn khơng tạo ra OU ben trong các container Ueers hoặc Computers duye dav, vi bạn chỉ tao được các tài Khôn người dùng, máy, và nhơm bền rong container Builuin thơi

[ADUC, như các cơng cụ MMC khác, cĩ tính edim nga dh (context sensitive) Ca vide nh4p phat một đối tượng bất ký là bạn thấy ngay menu ngữ cảnh của nĩ, Bạn chủ ý rằng, các chọn lựa trong menu ngữ cảnh thay đổi theo đối lượng được chọn Vi đụ, nhấp phái một đối tượng, newt dùng, bạn sẽ cĩ những mục chọn võ hiệu hĩa tài khoản đĩ hoặc ải lập mật khẩu của nĩ; nhấp phải một ai khốn máy sẽ làm biện ra các mục chọn như Move vi Manage (muc chon Manage cĩ tác đụng tnd ra Computer Management được nối kết với mây được chọn)

“Chương này thực sự khơng phái nĩi về việc quản lý lài khoản máy, ny in, hode folder dùng chung, cho nên chúng tơi sẽ để lại những cuộc ban thảo đĩ cho chương khác Nhưng các contact và các OU thực sự cổ Tiên quan đến việc quản ý người dùng và nhĩm, cho nên lát nữa chung ta sẽ khảo sát những thứ đĩ

9.1.2.4 Các tài khoản được tạo sẵn: Adminlstrator và Guest Nếu bạn vừa tạo ra một miễn mới, bạn sẽ nhận thấy rằng một vài tài khoản đã được tạo ra một cách tự động trong quả trình đĩ ‘Administrator, Guest, và SUPPORT.388948a0, Nếu bạn đã từng làm việc một thơi gian với NT và Win2K Server, hin ban 4a quen thuộc với các tại khốn Administrator và Quet rồi Nhưng tài khoản SUPPORT Múa là mot tai khoản mới trong WinS2k3 va XP; nĩ cĩ mật để sung cấp dich ws Help and Spport liên hệ thống với các máy khơng dung he điều "hành của Mierosoft trong mạng AD (nếu cớ)

ao Làm chủ Windows Server 2003

khi bạn tạo mm một miến mới là tài khoản và một khấu cho “Administrator của miền Bạn đứng làm mất mật khẩu đĩ, bởi vì chẳng s6 cách nào để lấy lại nĩ đâu! (Văng, bạn luơn luơn cĩ thể xây đựng lại tự đầu, nhưng chuyện đĩ chẳng vui chút nào)

“Tài khoản Quest là dành cho những người đong mà khơng cĩ tài khoản riêng của họ trên miễn đang xét Guest cĩ nghĩa là “ai đĩ mà DC khơng nhận ra” (túc &hách udng lai) Theo mặc định, tài khoản này bị vê hiệu hơa, và tốt nhất bạn cứ đế mặc nĩ như thế, Nếu bạn đà từng lâm việc với một mạng khác, như mạng Unix hoặc NetWare chẳng hạn, e8 lẽ bạn đã quen thuộc với ý tưởng về một tài khoẩn Guest rồi _ những mạng WinS2k3 hoạt động theo cách khác hắn, cho nên hãy chủ ý đấy! Ban cĩ thé cĩ được khá nâng truy cập vào hấu hết các hệ điều hành bằng ích đăng nhập với username 1A Guest và mật khẩu để trống Thường thì tài khoản Guest đĩ khá là bị hạn chế về những chuyện mà nĩ số thể làm được Điểu đĩ cũng đỏng với WinS2k3, mặc dù nhĩm Everyone cing cĩ chứa các khách vũng

Sau đây là phần mà khơng giống các hệ điều hành khác Giá sử, ai để toan truy cập một máy in hote folder ding chung trên một server hoặc miễn domain cĩ tài khoản Gues: được pháp hoạt động Nàng đăng "nhập vào máy tại chỗ của nàng với tư cách là phoenix và một khẩu là 2656pK Cho dã khơng cĩ tài khoản nào trên server hoặc miễn đĩ, Phoenix vẫn cĩ thể làm việc trên máy tại chỗ của nàng Các máy Windows 9x khơng bận dâm bạn là si, khơng cĩ tài khoản tại chỗ nào a, Tren mot máy trạm NT 4, WindK, hoge XP Pro, hẳn nàng phải đăng nhập bằng một tài khoản trên máy tại chỗ Tuy nhiên, chẳng cĩ hệ điều “hành nào trong sổ nĩi trên đời hỏi phải xác mình bằng một server hoậc domain controller để truy cập vào máy tại chỗ cả Giá sở miễn hoặc server ndy thậm chí khơng cĩ cả một tài khoản phoenix thì sao? Bây giờ năng đang làm việc tại một máy trạm nồi trên và cổ gắng truy cập một tài ngs ela miễn Bạn đốn sao? Nàng vào được đấy, Tại sao? Đơn in thơi: tài khoản Quest khơng thực sự đồi hồi một một khẩu nào cả, ho Nan g8Ài đồng vemnana là Buef Đi đang nhập niến ơng ninh, những Mơ inten cfn ting thập rồng ninh vào niể Ì mới đng được uyền tạ của Gott ‘és mang cin ban due vl png cla ching i, vd sản Guas ân bạn được saMl, chúng M số hể điệp mạng ca bạn và nối Mi với MĨ k ải npupt ‘0 18 Guest tity sy hid obs Goes! ope enable trong mi ima ti ho" BH Ấy 6: phế tay cịg Chg {khơng ấn đăng nh? với

Chương 9

à quần lý các tài khoản người dùng

9.1.2.5 Việc tạo ra tài khoản người dùng mới

“Thước khi chúng tơi bàn v8 các chỉ tết thiết thục của các địc tính tài khoản, tên UPN, thong tin biên dạng, và tất cả những thiết định người dùng khác, chúng ta hãy tiến hành những bước cần thiết để tạo ra một tải khoản người dùng mới bằng wizard Sau đĩ, ching ta 96 quay trở lại bàn về tất cả những thiết định đành cho một tài khoản mới được tạo rá

Để tạo một tài khoản người ding, trong cửa số ADUC, bạn chọn container Users (hoặc bất kỳ contajnerOU nào khác, nơi bạn muốn đặt tài khoản ấy vào), rồi kéo mens Aetion xuống hoặc nhấp phi nd rồi chon New/User (xem lại Hình 94) Một vizard sẽ xuất hiện với một khung thoại như trong Hình 95 Bạn điển vào các trường tên (Firat Name), cde chit edi đầu tên vd hp (Initiale), ho (Last Name), và tên ty a5 (Pull Name) nhv trong hinh đố (Thực ra bạn khơng cần phải điển vào tất cả các trường tân này, nhưng ban phi cung ep thong Un vÄ ít nhất một trong các trường fy thì mới tiếp tọc được) Kế tiếp, bạn, điến vào tên đăng nhập của người ding (User logon name hoạc username, 1a devans trong vi dy nay), ồi chọn hậu tố UPN (Universal Principal Name) nao cần được nối vào username kỉa vào lúc đăng nhập, xin nhớ lại rằng chúng ta đã bàn về các UPN trong Chương 8 rồi Để đăng nhập vào một máy trạm NT 4 hoậc Windows 8x, ta cịn cĩ thể ding ttn ding nhp “downlevel”, vốn sử dụng củ pháp kiếu cũ DOMAINNAME username,

“Hình 9.5: Vite tạo ra một tài khoản người dùng mới

Be 8 Đối vi ải khoản tại hỗ tì cá tn pha de mht vO wh tr indy chm đi với tại khuẩn muỗa thì cái tên đồ hái độc nhất vệ tas

nhị trên miền, Thợ nhiên tên cla một ti khoản ngơi đơng tậu “in cĩ thể giống như tên ca ải khoản người dăng tại chỗ trên "máy phi.DÈ nào là hành viên của miễn Đây là sự kidney DO TốT ha nhiền ơi vì chơn là những thực thể ồn tàn tính it

(8 Đổi với tai khoản tại chỗ thì username đĩ khơng được giống như một tên nhĩm nào đĩ trên mấy tại chỗ, cịn đối với tài khoản min thi username đĩ khơng được giống một tên nhĩm trên miễn © Username đĩ cĩ thé dài đến 20 kỹ tự, bằng chữ hoa hay chữ

thường, hoậc một sự kết hợp của cá hai loại chữ đĩ

I8 Để tránh nhắm lần với các kỹ tự sú pháp đạc bigt, ee username "khơng nên c6 một trong các kỹ tự sau TINT Dir bee tes

1 Chi ten 6 cĩ thế gộp cả các khoảng trắng và dấu chẩm, nhưng khơng nên gồm tồn là các khoảng trắng và đấu chấm, Tuy nhiên, nén tránh các khoảng trắng, bởi vì những cái tên như thể sẽ phải bị bao bọc trong cập đấu ngoặc khi được dùng trong các kịch bản hoc đồng lệnh

‘Trude khi tig tue, chủng tơi muốn chỉ ra rầng cĩ ba cái tên quan ‘rong trong Hình 94, Trưfc hết là Full Name tt đên đầy đủ của người dùng (la Dave Evans trong vi dy này) Trong NT 4 thì ái tên đĩ chẳng 6 ích lợi gì ngồi mục đích trang hồng, nhưng trong Active Directory ‘thi nĩ quan trọng đấy, bởi vì nĩ là một phẩn của tên LDAP của người dũng đĩ, Tên LDAP của Dave ất phải cĩ dang nu sau:

th Da Evang:ene1iews:6e-'REDMILLTOWN: đez'cwm"

"Nếu bạn muốn dùng một số cơng cọ dịng lệnh mà "nĩi" bằng ngơn ‘ng LDAP (chẳng hạn như D§M00.EXE hoặc D§ADD,EXE), hoặc nếu bạn muốn lập một kịch bán WSH (Windows Scripting Host) nao dé bang cách dũng Tập ham dick ow AD (AD Services Interface _ ADSI), hin “bạn st musn bit ton LDAP cia Dave la gi Trong ngdn agi LDAP, en lt container, via ving, ede thi khoản người đong là các container (điêu này khác với trong NetWare Directory Services) Cho nén, e6 mot container Dave Evans bén trong container Users (te folder Users), va folder đố thuộc một miễn tên là REDHILLTOWN com Bạn mơ tả các tên miễn bằng ngơn ngữ LDẠP dưới dạng các thành phần của chúng, tức ác mẩu tên được phản cách bởi các đấu chấm _ trung trường hợp của

(Chương 9: Tạo ra và quần lý các tài khoản ngướ

REDHILLTOWN.com, ede thanh phần đĩ sẽ là EDHILLTOWN và cunt Bạn phân cách các thành phần đĩ bằng ký higw de, nghis 1a domain somponent Nếu như tài khodn eia Dave khong 6 trong folder Users, mi lại 3 trong OU tén la Brunewick (vi dy nbu vay), thi ban phat thay ky

hiệu e (tức container) bằng kể hiệu eứ

cr="Dave Evans Brunswick’ do~"REDHILLTOWN dc com

CCải tên thứ hai, devans@REDHILLTOWN.com trong 1 du nay, Ia tan đăng nhập miễn ÁD của người đăng, hay cịn goi la UPN (user prineipal name) Bạn đã đọc trong Chương 8 rằng, tuy củi tên này trồng, iếng như một địa chỉ email, nhưng khơng phải thế: nú chỉ là một cải tên tiện lợi, để nhớ để trao cho một người đùng thay vì bất nyười donk 46 phi nha mbt domain name va username cia bo

Ci ten thứ ba, REDHILLTOWN\devans trong vi dụ này, là tên đăng nhập đồi cơ kiểu NT 4 của người dịng Đan cổ thể đăng cái tên này khi đăng nhập từ một máy trem Windows 9x hoậc NT 4 Huật tủ thể bạn sẽ phát hiện ra mình đang đùng nĩ trên những chương (rnb đời củ, vổn chạy tốt trên các máy Win2K/KPWanS2k, nhưng khơng hiểu các UPN Vì dụ, chủng tơi nhận thấy một xổ cơng cụ Lruns Windows 2000 Resource Kit doi hỏi bạn tự khai báo tên, nhưng lại khơng hiểu loại tơn đăng nhập như lrjusiee®(EDMILILTOWN cam, chúng cần thấy những cái tên kiếu như REDHILLTOWN Injustice co Sau khí đã điển vào tất cả những thing tin username dé ri chọn Next Trong màn hình tiếp theo, được mình họa trong Hình 96, bạn hãy ấn định một mật khẩu cho ti khoản người dung đĩ rúi nhận lại nĩ Bạn ấn định các tùy chọn vé tai khoản và mật khẩu, như được tơm tất trong Bảng 91, rồi chọn Next Tuy chọn duy nhất mác định duge chon la User must change password at next logon

Bas Lam,

Bang 2.1: Cée thy chọn về tài khoản và mật khẩu cho việc tạo một tài khốn người đồng mới, oi

Ur ma rage ‘ny ph thay mt Wn lao 0 Un HE he ssn tet gong mis 2660p 98 de BE tt

User coma hange WU Oe, Ego ARng cao np dng Tay wa ¬ ci ti Kod Thy han my eh eto mda tr Abang hg wg kn md hy che eh wh Excange Windows Server 2003,

Pasoword never eins NE Gu dy, 1 kh? này B ở Ginh sậo MÍ hạn nat ‘nfo oasnoreexpaten poy), v8 mt ku i cho ttn Ấy sẽ hẳn tno 9 ft han eh Tuy chọn ny hơ ph co ng là \âoƯn mà cụỹ c ĩch vụ và mơng tà Kak má bạn mất, mb dt dav vấn cho ứng ( Hồ 3s ủng "Nu ie GMb aby sĩ bị vơ hậu hộ, và ng Gà Để đng tập ng rơ ảo tà này rộ đợc hy hậu ha ụ (By nhận 0 tơng ị lồ ra khơ c 8 đữ lậg, Ty cụn ny GÌ Fe eho rng ta aon do ợ: sĩ dụg nhý hểø mẫu và cho tì Mi oln ngơi ing ma md bn teva st hg han ‘hu ir co mg mh wen mB hb md ton aid abt 2d “hồ bít đấm uậc

Man hinh cuối cùng của wizard Create New Objeet này, được mình họa trong Hình 87, chỉ đơn giản nhằm xác nhận lại tất cả những thơng tin ban đã cong cấp, bao gồm container'OU nơi tài khoản đĩ sẽ được đạt vio, full name, logon name, va ede tay chọn vẻ mật khẩu và ti khoản ‘44 duge chon Bon nhp Finish, va thé Ia tai khodn ngubi ding 46 dye

345 8Đ

Chương 9: Tạo ra và quần lý

9.1.2.6 Các đặc tính của tài khoản người dùng,

By gi chúng ta hãy quay trở lại và quan sát các đạc tính của tài khoản mà bạn vữa tạo Hãy nhấp phải vào đối tượng người dùng đĩ, và bạn sẽ thấy vài tùy chọn trong menu ngữ cánh hiện ra lúc đá, như được ‘minh boa trong Hình 9.8, Từ đây, bạn e6 thế nhanh chơng sao chép tài khốn ấy, quản lý các cách thành viên nhĩm của người dùng ấy, vơ hiệu hĩa hoặc hữu hiệu hĩa tài khoản ấy, ti lập mật khẩu của người dùng ấy, dời tài Khoẩn ấy đến một container hoặc OU khác, mở trang: chủ của người dũng ấy ra, hoặc gửi thư cho họ (hai hành động cuối này đơi hỏi rằng URI, của trang chủ và địa chỉ email của ngưới dung ấy đa ‘dave chí định trang những thơng tin tải khoản) Bạn cịng cĩ thé chon -xĩn đi hoặc đối tên tài khoản người đong ấy từ menu này

Hình 98; Menu ngữ cảnh dành cho một tài khoản người dùng: it Anon ope dg Bode mndm sd x6 bn SID 2 Cho 6 Ban tao “nộ li tộn vate quyén try fp cia ahaa ct, số cơng ta, tke md cng 8 kom 60 cb neg guy

Bas Làm chi Windows Serv

"Hình 8.11: Trang Telephones của khong thoại đặc tính ngươi dùng Hình 9.12 trình bay trang Organization, nơi bạn cĩ thể nhấp vào những thơng tin về tên người quản lý, chúc đanh cơng việc thực tế, và các báo áo trực tiếp về người dùng đang Xt

Làm chủ

indows Server 2003,

“Vậy là 4 trong số 13 trang được hiển thị trong khung thoại đặc tính

"người dùng chỉ là về thơng tin liên hệ, khơng phái thở mà những quản trị viên NT lâu năm như chúng ta gọi là những đặc tính của tài khốn "Bạn bất đầu hiểu tại sao họ gọi đĩ là hệ dịch vụ danh bạ rồi chữ?

Thế i sao Adhe Dlley lại ốn Mỹ 9Ì 2 mững Đơng Un ite way Ge act ding? Nv bon cing MS EndAangk ân mạng ca bạn, bản hạn BI rùng an cb Bể nhập vìo hấu whet cb whaoy td my amy Aung thea! de tọh hơm th , M9 Eshang 2109 sẻ một phương pháp ti Aigo re ul kod age ìng s6 đảng hơn những Đơng U mà AD cơ về gt dog,

“Trong số các trang đặc tính cịn lại, bốn trang (Remote Control, ‘Terminal Services Profile, Sessions, va Environment) gin lién v6! Linh nang Terminal Services, sẽ được để cập trong Chương 15 Trong “Chương l8, bạn sẽ biết về cách đùng trang COM+ để cấp phát cho người đùng các ủng dụng trên các phân vùng COM+ được định cấu hình trên các server ứng đụng Chúng ta cũng sẽ để Iai trang Dial-in cho Chương 19, vốn bàn vẻ Routing and Remote Access Serxice Như thể ở đây cn lại bốn trang “e6t 10i": General, Account, Profile, vA Member Of “Trong vài mục kế tiếp, chúng ta sb giải quyết các thiết định của lài khoản, những thơng tin về biên dạng, và các tự cách thành viên nhĩm, 1.26.1 Các thiết định của tài khoản,

Nếu cắn sửa đối tên đăng nhập hoặc hậu tố UPN của người đùng, bạn hay tìm đến trang Account (xem Hình 9.13) Đây cũng là nơi để chỉ định nhịng giỡ đăng nhập được phép, những tùy chọn về tài khoản, và những thứ đại loại như vậy Theo mặc định, người địng mạng được phép đang nhập bất ky ngày nào trong tuần, vào bất kỹ giờ nào trong ngày (tậc 24/), nhứng bạn cĩ thể nhấp nút Lgon Hours trên trang này để tiến hành ch định những giờ và ngày được phép đăng nhập cụ thể trong một bảng nhỏ đành riêng cho việc đĩ (xem Hình 9.14)

Chư 0 B

Hinh 9.14: An dinh ahing git đầng nhập được phép cho người dùng “Theo mặc định, người đồng cĩ thể đăng nhập vào miễn từ máy trạm bất kỳ, nhưng vẫn cĩ thể chỉ định các mấy tram đăng nhập bằng lên NgtBÏOS của chúng (xem Hình 8.16 Tuy nhiên, bạn phải vẫn con đang đồng NetBIOS trên mạng của bạn thì mới làm được chuyện nay

Bi Làm chi Windows

ver 2003 khơng phải như lúc bị xám đi Nếu muốn tự tay mở khĩa cho tài khoan ấy, bạn chỉ việc bổ đuyệt ơ đĩ là xong Ở dưới cong của trang Account, bạn thấy một thiết định về hết hạn tài khoản Theo mặc định, một tài khoản người dùng khơng bao giữ hết hạn, nhưng nếu bạn đưa vào áp dụng tùy chọn nay, thì khoảng thơi gian đáo hạn mặc định là 30 ngày Cũng nên chủ ý rằng, cĩ nhiều thy chọn về tải khoản cổ thể dùng được đấy (muốn nhìn thấy tất cả các tịy chọn đĩ, bạn háy cuộn xưởng trong khung Account Options) Vài tùy chọn trong số này, như User must change password at next logon chẳng hạn, rất quan thuộc với các quản trị viên Windows và khả là dễ hiểu đối với những người cịn lạ Mang 9.2 tình bày tơm tất các ty chọa cổ thể đũng được về tài khoản

Hình Blư: Người dùng này được phép đăng nhập ở máy trạm nào Bing 9.2: Céc tay chon về tài khoản dành cho các tài khốn người ding

pasa aen gen hg mh 8 ry 3 a3 A Las har hangs Bie mg ani ay mca by wo tn Fo — ie cert chant NE eat an Ko cn gt cing ay đã ng bốn phươd cản tun Ty ca dày ch et ttn Gest hone bi

"on đữg cang Vúc tà th tù c]n nà cy cc 4Œ ống ta Erlvk h ‘a nt av cow yo eg DM banc yeh yO eo nh Gant ee ela yee deh

‘hip dung ty en nly iw những nại dụng đảng nhập tử _reersbe een các mây AM,

Xountõ di — NếU đc đt HÀ On nà dị về Bộu tơ, và lộn aco {hl ny ob hot Andon ae OL AU Da Wb a Hy ig ty chon ny 48 Bo v mg Reba ene dig vo th

tonne i 0 a a

“Smut ca regard Np ing hy cd mbt 6s Db th Ahn (smart aa var fortran gin vi may cu ho MRE 66 oh ot ard vo 6 dye cog ip matin 2 PW eh eg ph wea vd mea Po

‘Account is twsted fo Chl bp yng ty chọn này đổ vO những tà Khan dich wu nto cA

đehghlon _ ảnh đợc ay rye voc bi mgyện nhăn da tơng od nih ig We = ‘econ sensine” By ng ý chọn ày tê Hộ là ein AC văng ae sd canna be đong te af lo dim Ang ti Min 40 sb Andng One đại đệm (6sagạs) bà nộ là eện thác

WeDESeuongloe — Ma đợc đgÿL sẻ yến t Data Encryption Standa (DES) DES types forthe acount ym tr thấu nức độ mã Ni ho gốm NPPC Sutdud (09) HMẾPE Standard (5-0), MPPE Strong (128 bn IPSec OES (4

bit, Pex 8 OES, 4 IS Tepe DES (DES)

owt vgure Warton Nấu 4g: gật đu piệp tà Mon ny đơg nội bu tác bản §raehanctgr — _ g82Đứ KH: Mác ty co bếuhực hận của N52),

C6 lẽ bạn đã nhận thấy rằng khơng thế tái lắp (reset) một khẩu của "người ding tir trang Account nay Để tái lập mật khẩu của một người đăng, bạn ay déng khung thoại đặc tính của tài khốn lại rồi nhấp phải vào tên người ding trong details pane cia cin sd Active Directory Users and Computers Hay chon mục Reset Password trên menu nạữ cảnh hiện ra lúc đĩ, và bạn sẽ được 5 vàu rồi xác nhận Tại mật khẩu mới, như được mình họa trong Hình 9.16, Bạn cũng cĩ thể chọn cách duyệt 0 User must change password at next logon 46 buộc người dàng thay đối mật khẩu của họ vào lần đăng nhập kế tip,

_—¬

312.62 Những thơng í về biên dạng người dùng

Ban hay dong trang Profile, duge minh họa trong Hình 9.17, để chỉ định đường dẫn đến file biên dạng (proRle path), một kịch bản đăng "nhập logon script), va mt folder eơ sở (home folder) cho người dùng đang xét, Các tủy chọn này cĩ mặt chủ yếu để yếm trợ các máy khách tiên-Win2K: các thiết định này và nhiều thứ khác nữa cĩ thể được chỉ định hằng cách dùng các chính sách nhĩm Tuy nhiên, chính sách nhĩm chi sổ tác dụng trên các máy WindK và XP Pro Cĩ thể phải mất một thời giam nữa thì các cơng ty mới từ bổ hồn tồn các máy trọn Windows NT và 9, Từ nay cho tới lúc đĩ, hắn bạn sẽ cần dùng các tuy chọn trong trang Profile này thơi Chúng tơi sẽ bàn chỉ tiết hơn về các bien dạng người đáng (u#er profile) va che kịch bản đăng nhập (lon, script) trong những mục sấp tới, nhưng những đoạn sau đây cụng cấp cho ban những hiểu biết eơ ban v8 ede tinh năng này,

_Lam chi Windows Server

"Hình 8.17: Các đạc tính của biên dạng người dùng

và quần lý các tài khốn người dùng a

nhau mọi lúc mọi nơi Một tập hợp thiết định như thể được gọi là một user profile (ma ching tơi dich là Biên dạng người đăng! User profile aye goi 18 roaming profile (ching thi dịch là Biên dong nai ding lau động) nếu nĩ khơng được áp đật lên [các) người dùng, và nếu họ cĩ thể thực hiện những thay đối nào đĩ, Nấu (các) người dùng ấy bị cường bách, phil nap profile dy và khơng thể đăng nhập nếu khơng cĩ nĩ, tì nĩ uve gọi là một mandatory profile (tạm địch: biên dạng đt buộc) hoặc shared mandatory profile _ tc biên dạng bẩt bude ding chung „ nếu cĩ nhiễu người dang bi tr6i buge vào nĩi Tính nâng này hữu ích nhất cho các máy khách NT 4, bởi vì các máy khách WinBK và XP Pro yếm trợ sự định hướng lại folder và sự định cấu hình mân hình Desktop bằng cách đăng các chính sách nhĩm rủ Để cĩ những thơng tin chỉ tiết hơn nhiều VÉ các chỉnh sách nhĩm, xin hãy xem mục 8⁄4

Logan seript hoe login script (tem dịch: kịch bản đăng nhập” là một chương trình mã chạy vào lúc một người dùng đăng nhập để định cấu hình cho mơi trường làm việc của người đong đĩ và phân bổ cho họ những tài nguyên mạng, chẳng han như các 6 die va may in duge anh -xe (mapped) Mạc dù nghệ thuật viết và sử dụng các logon seript đã nối tiếng trong các hệ điều hành mang khác, KE cd NetWare, nhưng các logon seript trong các mạng theo kiểu Mieroteft chưa bao gi được nhấn "mạnh cả Nhiều mạng kiểu Mierosof lúc đầu nhỏ thơi, và vì thế, những, "Mgiời đồng mang cĩ thể đoyệt tìm (browse) các tài nguyên mạng chữ hơng cần đến những sự ánh xạ rấc rối Tuy nhien, ede login serpt dung chiếm một vai trị quan trọng hơn đối với các mơi trường Windows, các “mạng dùng hệ điều hành của Microsoft ngay nay đang lớn dần, và việc quin trị các tài nguyên và người ding đang trở nên ngày càng phúc tạp hơn, Xin xem mục 9:26 ở trong chương này để biết rõ hơn, nhưng hiện, giờ, ban nên biết rằng server cung cấp một đường đẫn mặc định để la trữ logon script (trong share SYSV0L, mà thec mộc định thì chính là thư ‘mye \Windows'SYSVOLIsys¥0),nhumg điều đĩ cĩ thể sửa đối theo ý bạn) Đĩ là lý đo tại sao bạn chỉ củn chỉ định tên của kịch bản đĩ trong khung

Base Lâm chủ Windo

thoại đạc tính của tài khoản người đong (là lagÌt.Bl trong ví dụ trên) “Tuy nhiên, cĩ khá năng là logon scrip: thể được lưu trữ trong một thư “mục con của §Y§V0L, vi đụ: trong SYSVOLSalessaleslogin bat Trong trang hợp đĩ, bạn sẽ phải chỉ định đường dẫn tương đối từ gốc §YEVDL, chẳng hạn nhự Baleesaleslogis Bi

(Mot home folder, bm duge go la hone directory (ma chung toi dịch là thự mục cơ sở hoặc [older cơ sở), là older được cấp phát cho người dùng đăng xét để họ dùng cho mục đích riêng của họ Mặc đo các ửng dụng cĩ thể e6 flđer mắc định của riêng chúng để ghỉ ưu và mở các file, nhưng tder cơ sở sẽ là folder làm việc mặc định cho người dịng tại dấu nhấc lệnh Bạn cĩ thể chỉ định một đường đẳn ọi chổ tức một thư mục trên “máy trạm của người dùng) làm home folder của người dùng, nhưng điều đĩ chỉ hữu dụng nếu người đồng đĩ dang nhập vào mạng ngay từ máy tại chỗ đĩ thơi, Đối với những người đùng dang nhập vào mạng từ một máy khác trên mạng, ban edn phải chọn mye Connect (xin xem lại Hình 917) rối chỉ định một đường dẫn mạng theo qui ude UNC \\machinename\servername\directoryname, Ban cong ob thé dng biển ‘username’ làm tên folder, đ biểu thị rằng tân eda home folder tring Với w#ername của người đùng Khi bạn chỉ định một đường din home folder cho người dùng, nếu share mạng đĩ đã cổ sẵn và bạn cĩ quyển gỉ VÀO nĩ, thì server sẽ tạo ra home folđer của người dùng một cách bự ‘dong Điều này tiết kiệm cho các admin nhiều thời gian đấy, Nếu bạn cắn cĩ một thủ tục từng: bưfc-một để tạo ra và phân bổ các home folder, hy đọc Chương 11, chương bản về chuyện tạo ra và quần lý các (alder “dùng chung

“Chương 9 Tạo ra và quần l các tài khon ngơi dụng 1)

bày giờ là WinS2k3, đã được kêm sắn một hệ thống quản lý hạn ngạch địa đơn giản dành cho các khối địa (volume) NTES Bạn chỉ việc mư nĩ lên cho một volome rồi thiết lập các ngưỡng để cảnh báu và v.v Muốn tim hiểu kỹ hơn về nĩ, xin xem trong Chương 10

.1 6.3 Những tư cách thành viên nhĩm,

Dé chi định các tự cách thành viên nhĩm cho một tài khoản người dùng, bạn hãy mỡ trang Memiber Of trên khung thoại đặc tính của tài khoan ấy Như bạn thấy trong Hinh 9.18, theo mặc định thì một người đàng mới của miễn phải là một thành viên của nhĩm Domain Users Cột Aetive Directory Folder ở bịn phải biếu thị đường dẫn tối container hoe OU dành cho nhĩm đĩ Để đưa người dùng đang xét tham gia vào một nhĩm khde (bai vì mỗi người đúng cĩ thế là thành viên của nhiều nhĩm củng một lúc), ban hay nhấp Add để mở ra khung thoại §eleeL Groups (xem Hình 810), Giờ thì bạn thấy một điều thủ vị: Thay, ihe thong tim kiếm rủ hiển thị một danh sách của tất c các nhĩm cĩ trong miễn, như bạn đã làm trong Win#K Server, bây gi? bạn cĩ thể chỉ định loại đối lượng (la Groups or Built-in security principals trong ví dụ này) và vị trí của đối tượng (la miễn REDHILLTOWN.COM trong: ví đọ này), rồi sau đĩ hoặc gð vào lên cơa nhĩm ấy, hoặc thực hiện một Cute tim kim ede nhĩm bên trong một khung cảnh nhất định (một “min, một OU, hoặc một site nào 4)

Base Lam eh Windows Server 2008

Hinh 2.19: Khung thogi Seleet Groups

Mục địch của sự thay đối này khơng phải là làm cho cuộc đời bạn trở nên khốn khổ đầu Cĩ thế hình dung được là mạng của bạn chửa đến hang tram hoặc hàng nghìn nhĩm, trong hàng tá các OỮ; chức năng Select Groups moi mé này giúp bạn khối phải đợi ADUC tìm kiếm tất cả các nhĩm đĩ Nĩ cũng giúp bạn khỏi phái cuộn từ trên xuống dưới một đanh sách dài các nhĩm để nhận điện nhĩm mà bạn dang tim

Nếu biết Lên của (các) nhĩm cần tìm, bạn chỉ việc gơ vào các tên nhơm ấy, ngân cách với nhau bởi các dấu chấm phẩy Sau đỏ bạn nhấp ‘ut Check Names để xác nhận lại rằng những cái tên ban go vio dé la những tên nhĩm cĩ giá trị Nếu khơng nhớ tần địch xác của nhĩm ấy mà muốn chọn nĩ từ một danh sách, bạn nhấp nút Advanced để bung Tơng khung thoại ra để cho phép truy tìm nĩ (xem Hình 920)

og a

đĩ thơi Bạn dang những tùy chọn Common Queries d€ tim nhĩm ay, hoặc chỉ đơn giản là nhấp Find Now dé loi ra một danh sách tất cả các nhém bên trong phạm ví của nơi mà bạn đề chỉ định, Hình 9.20 cho thấy kết quả của một cuộc tìm kiếm tất cả các nhĩm bàn trong miền REDHILLTOWN.COM Ban chọn tên của nhơm cần đồng từ danh sách đĩ, rồi nhấp OK, Tên của nhĩm đĩ sẽ xuất hiện trong khung thoại Select Groups Bạn nhấp OK để đua người dũng đang xế tham gin vio nhĩm đồ rồi quay trở lại với trang đặc tính Member Of, (Các) nhĩm mà bạn vừa chọn gi đây hân đã được hiển thị rong danh sách rồi Bạn nhấp OK hoặc Apply để ghi lưu lại những thay đổi vữa rồi Giờ thì chuyện đĩ cũng khơng đến nỗi quá khĩ khan, đúng khơng?

Để loại bổ người đơng đang xét khối các nhĩm nào đĩ, bạn đùng nút Remove trong trang Member Of Dé hiéu rd hơn về các tự cách thành viên nhớm, xin xem mục 924

941.27 Vige quản lý các tài khoản

“Trong những mục trước, chúng tơi đã bán vớ cách thực hiện những thay đổi nào đĩ đối với một lài Khoản người đùng duy nhất, Bây giữ ching ta hãy nĩi về cách thực hiện những thay đổi đối với vài (hoặc nhiều) tAi khoản cũng một lúc Trong Khi đang bản về chủ để đĩ, chúng tơi sẽ để cập một số vấn để khác về quần lý nhiều tài khoản, kế cả cách tạo ra một mỡ người dịng cũng một lĩc Trong ADUC, bạn cĩ thể chọn nhiễu tài khoản trong details pane bằng cách giữ đề phím <Shift> trong khi đối vật sáng xuống dưới bằng phím mơi tên trái, hoặc bạn cĩ thể nhấn phim <Ctrl> khi nhấp chọn từng tải Khoản cần thiết rồi sau đĩ nhấp phải để hiện ra menu ngữ cảnh ong khi các tài khoản đơ được chọn (xem Hình 8.21)

Lam ehii Windows Server 2008 Niu ban thấy trong Hình 9.21, bạn cĩ thể chọn: đi tất cá chúng đến một conlainer hoặc OU khác, đưa chúng vào làm thành viên của một nhĩm nào đĩ (cịn nếu muốn loại bỏ các thành viên khối một nhĩm, bạn phái đi đến khung thoại đạc tính cũa bán thân nhĩm đổ); hoặc vơ hiệu hĩa (đisable), hữu hiệu hĩa (enable), hoặc xĩa bổ các tài khoản ấy "Bạn cơng cĩ thể gửi thư cho tất cả chủng, nếu như bạn đá chỉ định địa chỉ eamail cho các tài khoắn đĩ,

Hay chon Propertlea từ menu ngữ cảnh trong khi vài tài khoản nào

đơ được chọn, đ€ mở ra khung thoại Properties On Multiple Objects xem Hình 92), Màn hình này trình ra một tập con của những đạc tỉnh s6 thể ẩn định được đành cho từng tài khoản riêng lẻ, Vì dụ, khơng cĩ trang Member Of, nhưng bạn cĩ thể đơng chức năng này dể ra lệnh cho tất cá những người dùng được chọn phải thay đổi các mật khẩu của họ vào lần đăng nhập kế tiếp

Hình 9.22: Trang Aeeount đành cho nhiều tài khoản được chọn

aso BĐ

lẻ, Õ đuyệt đầu tiên bên cạnh tứng mục chọn báo cho ADUC biét răng: bạn muơn ẩn định mục chọn ấy cho tất cả các tài khoản Một khi ð đĩ đã được đoyệt, thì nút, danh sách thẻ xuống, hoặc bộ ð duyệt thư hai tơng với mye chon ấy sẽ khơng cịn bị xám đi nữa (tức là cĩ thé chon ‘age, 86 bạn cĩ thể chỉ định là bạn muốn giá trị của từng đặc tinh được định cấu hình ấy bằng bao nhiêu Ví dụ, để kết thúc hiệu lực các mật khẩu của tất cả các tài khoản được chọn, trước hết bạn hãy chọn 0 duyệt bên trái nhất bên cạnh mục User must change password at next logen Sau đĩ bạn cĩ thể duyệt (hoẠe khơng đuyệU vào ð duyệt thử hai để hết thúc hiệu lực các mật khấu của tất cã các người dũng được nêu tên, Nếu bạn duyệt vào ð bén trấi nhất nhưng khơng duyệt vào ư gắn “nhất với mục chọn đĩ, là bạn đang chọn để cho khơng mật khẩu nào của "những người đùng này bị kết thúc hiệu lự đấy

Muốn tạo ra nhiều tài khoản người dùng với những thiết định giỡn: nhau, bạn hay tạo một khuơn mẫu tái khốn (aceount template) rồi sao chếp nĩ, Những đạc tỉnh được sao chép bao gốm các thiết định về tài khốn (như Paseword never expires chẳng hạn), các tư cách thành viên nhĩm, nhật kỹ hết hạn tài khoản (nếu cĩ cong cấp) và hậu tổ UPN Những thơng tin biên dang (home directory, user profile path, vit logon script) cing được sao chép, và nếu bạn đã đùng biến Zusername .để thiết lập home falder của tài khoản nào được dùng làm khuơn mẫu, thì nĩ sẽ được tạo ra một cách tự động cho những người dùng mới khí tài khoăn đĩ được sao chép ra

Nếu bạn cần thay đối cho nhiều người dũng cùng một lúc Uhì sao” Ban Khong thé chọn tất cả những người dùng đĩ nếu hơ khơng được "hiển thị cùng mot lie trong details pane của ADUC, Các thành viên của "một nhĩm cụ thể cĩ thể ĩ mật trong những miễn hoặc OU khác nhau cho nên cĩ lê là bất khá thị nếu toan tính chọn tất cả các thành viên ‘ela một nhĩm cùng một lúc để thực biện những thay đối nào đơ lên họ Va làm cách nào bạn cố thể tạo ra, ví đụ như, 50 hoặc 800 người dùng, cling mgt lie? Bạn cĩ thế dong lệnh net u#r cũ kỹ nhưng tốt đẹp, vốn đã g6 một từ thời NT 361, những nĩ cĩ phần bị hạn chế về mật các khả nâng thy chọa Tiện ích addusers,c6 trong Windows 2000 Resource Kit thủ lính hoạt hơn nhiều bởi vì nể cĩ thể tiếp nhận dữ liệu nhập từ một file van bin duge phén ranh bằng đấu phẩy (comma-delimited) va chỉ định thành vien cho global grovp v8 loeal group Tuy nhiên l4 thay, ‘addusers khơng nhận biét AD; vi dụ, bạn khơng thể đùng nĩ để đật người dùng vào trong các OU khi bạn tạo ra họ Hitn nay thi WinS2k3 cùng cấp mật số cơng cụ dịng lệnh mạnh mã, cĩ thế được đồng trong các đe lồ (batch) hoặc các seript để tạo thêm các tài khoản người dùng, sửa

ao Lam chii Windows Server 2003

446i cde đậc tính, và nhập hoạc xuất các đối tượng từ Aeve Directory ‘OSADD.EXE va D§M0.EXE, được gọi chạy với đối là w88r và các thơng số rắc rối, cĩ chức năng lần lượt là tao thêm (add) và sửa đối (modify) ede tài khoản người dang trong AD; CSVDE.EXE được dùng để nhập hoặc xuất cdữ liệu đối tượng bằng cách dùng các file được định dạng theo kiểu CSV (eomma-separated values, nghĩa là các giá trị được phân cách bằng đếu hẩyl, ức file vân bắn phân ranh bằng đấu phẩy

9.1.2.8 Việc tái lập các mật khẩu

Thành phần thường đượchị thay đối nhất trong tài khoản của một "người dùng là mật khẩu Bạn số thế tá lập (reset) một mật khẩu tờ GUI bằng cách nhấp phải tài khoản của người dùng ấy trong ADUC, nhưng sị chuyện tái lập mật khấu từ đồng lệnh thì sao?

“Thể này nhé, nếu đĩ là một tài khuản người dung tại chỗ, thì bạn chỉ Việc gÐ lệnh net user username newpassword, cho nên, ví dạ để thay đổi nật khẩu của aẻmin tại chỗ thành bigseret, bạn bây gở lệnh sau đây:

et user administrator bigsscret

Nhưng như thể chỉ cĩ lác đọng đổi với các tài khoản tại chỗ thơi Đề thay đối mật khẩu của một tài khoản người đồng miễn, bạn phải thêm “mục rhon fdomain yao Cho nên, để thay đối một khẩu của quản trị viên Tnậc định trên miền thành afybpsserd, bạn gị lệnh sau đây:

‘et user adeinistratorreaybigscret /famaln

Để tái lập mật khẩu thành một giá trì ngẫu nhiên, bạn hãy dùng khĩa chuyển nmom:

fat usar administrator domain /random

Mot khdu được tao ra một cách ngầu nhiên đĩ sẽ hiển thị trên màn hình sau khi lệnh đĩ xong việc, cho nên bạn cĩ thể ghỉ lại nĩ ra giấy “Tại sao bạn lại muốn ấn định một mật khẩu ở một giá trị ngẫu nhiên? “ĐÁ nhân chúng tơi thì khơng muốn các quản trị viên miễn sử dụng tài khoản Administrator mc dinb, nung khĩ mà phá vỡ thơi quen của họ Cho nên, chúng tơi ngấu nhiên hĩa mật khẩu cịa tài khoản đĩ, khiến các quản trị viên miễn phải dịng tài khoản của riêng họ, mở chế độ kiếm tốn lên, rồi đe đạa trừng phạt nghiêm khác đối với bất kỳ ai bị thất gặp đang đật lại mật khẩu của Administrator than’ edi gt khác _ trữ khi cĩ ý đe chính đáng

"Một cách khác để thay đổi các mật khẩu, nhưng chỉ từ một máy trem ‘Windows XP hoặc máy WinS3k3 thơi, là đồng tiện ích đameđ đã nĩi ở

“Chương 9: Tao ra và quản lý các tài khốn người dùng 36 @ mục kế trước, Tuy nhiên, nĩ khơng đơn giin như lệnh met user, boi vì bạn phải dong tên dược cải ro (Distinguished Name DN) theo kiểu LDAP danh cho tài khoản ấy Ví đụ, để ái lập mật khẩu của Daye và buộc anh ta phái thay đổi nĩ vào lần đang nhập kế tiếp, bạn phái go ảnh sau đand user “CN=Dave Eva , CNausers, 00REDMILLTDWN, 00scom° 9.2 Tìm hiểu các nhĩm

Việc phân bổ các người dùng vào các nhĩm khiến ta dề trao cho họ hơn cắc quyền hạn để thực hiện các tác uự (rights) và ác quyền truy cáp ce tak nguyen mang (permission), ab ede may in va folder dùng chưng, của mạng chẳng hạn Trợ giúp bạn trong nỗ lực này là vài nhĩm được Tạo sẩn (balcin group) với những quyên hạn e6 sẵn Ngồi ra, hân ban, căng muốn tạo ra những nhĩm người dung của riêng bạn và cấp nhất cho họ một số quyển hạn và quyền truy cập nào đĩ, Những thành xiên fea ede nhĩm ma bạn tạo, đến lượt họ, cĩ thể được trao khả nâng quản tị những nhĩm và đối kượng khác, thậm chí nguyên cá những OU Cee nhấm of thé chile cde tai khoản máy và các contacL, cũng như các tài Khoản người dùng và các nhĩm khác Chúng cũng cổ thể được dùng như cde danh sich phan phi thu tn (e-mail distribution list) Cho nén, việc hiểu được những loại nhĩm khác nhau cĩ trong mang và cách làm vite với chúng để ủy thác quyền kiểm sost, trao quyên truy cập vào các tài "nguyÊn quan trọng, và ấn định các quyên hạn, là điều rất hệ trọng Đĩ là chủ để của vài mục kế tiếp

9.2.1 Việc tạo ra các nhĩm

Để tạo ra một nhĩm mới trong Active Directory Users and Computers, trước hết bạn hãy đi chuyển tới container nào bạn muốn, nhĩm ấy được tạo ra trong đĩ, Cĩ thể teo ra các nhĩm tại gốc của miễn, trong một container được xây dựng afin như Users ching ben, hoặc trong một OU nào đĩ Trong khi container 46 đang được chọn, bạn nhấp, phải hoặc kéo menu Action xuống rồi chọn NewOroup (xem Hình 9.23) Ban cung cấp tên nhĩm là Domain Engineering ở ví dự trong hình 46), và tên kiểu co (pre-Windows 2000) của nhĩm, nếu chủng cĩ khác biệt; rồi chọn đếm hay phạm oí củe nhĩm (group scope) va loot “hĩm (group type), nu age minh hoa trong Hình 924 Theo mặc định, im của nhĩm sấp được tạo là Global, cịn loại của nĩ là Security Muốn hiểu rõ về các loại nhĩm và tâm nhĩm, bạn hãy xem các mục sắp,

Bisex

{i Sau Rh chon các thiết định đĩ xong, bạn nhấp OK để tạo ra nhĩm, ấy ưong container được chọn

Hình Ê8: Việc tao ra một nhĩm mới trong ADUC

"Hình 9.24: Thong tin đành cho nhĩm: mới

Bay gid, ching ta hay điễn vào phần cịn lại của những thong tin nhĩm, rồi dưa người đùng vào nhĩm mới đĩ, Bạn hãy tìm rội nhấp kép xào nhĩm bạn vừa tạo để mở ra khang thoại đạc tính của nhĩm đĩ, “rong trang General được mình hoa trong Hình 926, bạn điền vào một lði mơ tả (dascriptioa) nếu muốn, và một địa chỉ e mail nấu cĩ một danh sách phân phối thư ứng với nhĩm đĩ,

Hình 8.25: Các đặc tính của nhĩm trên trang General

Để phân bổ dân ou cho nhớm đĩ, bạn chuyển sang trang Members rải nháp nút Add Ngoại trừ những loại đối tượng khác được chọn, cịn khơng thì trang này giống hột như trang ban đã thấy trong Hình 9.19 Trong bối cảnh này, bạn cố thể chọn các tài khoản người dùng, các hơm khác, các conlact, và thậm chí các tài khoản máy nữa, đề tham, gia vào nhĩm, Các thành viên nhĩm củng cĩ thé đến từ các OU khác Ben gồ vào tên của những người dùng hoặc nhĩm mã bạn muốn đứa vào nhơm này, hoặc ding nit Advanced 4€ Um họ Sau khi đưa vào nhữn/c đổi tượng cần thiết xong, bạn nhấp OKK để kết thúc rồi quay trử lại với cắc trang đặc tính của nhĩm, Muốn xem và sửa đối các nhĩm local và oiversal mà nhĩm này (la Domain Engineering trong ví dụ của chúng: ta) thuộc về, bạn mỡ trang Member Of ra (xem Hình 920: Trang Managed By là để bạn nhập những thơng tìn liên hệ tuy chọn, và Khơng nhất thiết phần ánh sự ủy thác quyền kiếm tốt trực tiếp nào,

[Mot biện pháp khác để đưa các thành viên vào nhĩm là nhấp phát tài khoản người dùng cần đưa vào rổi chọn lệnh Add to a Group từ menu ngữ cảnh hiện ra lúc đĩ, Nếu muốn đưa vài người dung vào cũng nhĩm cùng một lĩc, bạn hãy giữ đè phim <Ctrl> khi chon nhing người đĩ, nhấp phải rồi chọn Add to a Group Cũng cĩ một nút trên thanh cơng cụ để đưa một hoặc nhiều đổi ượng được chọn vào một nhĩm,

Làm chủ Windoss Server 2003

details pane của cửa số cơng eụ rồi chọn Move Bạn dị chuyến tới container mã sẽ là nơi cứ trổ mới cho nhám đĩ (xem Hình 9.27), chọn nĩ, rồi nhấp OK Thay vì vậy, bạn cũng cĩ thể chỉ việc chọn các nhĩm sắn đời rồi dùng tỉnh năng drag-and-drop mdi cĩ trong ADUC của WinS2k3 để đồi chúng từ OU này sang OU khác,

AE để đời các Fì Mợng AD gi cắt miến, Mu eda Goi các tr, group, nade OU gia các lấn ng mt rnp ay ab, bon hy ding edn ‘ing lah MOVETREE v6 tong Windows

Chang 8:

9.2.2 Các loại nhĩm

Khi tạo ra các tại khoản nhĩm, bạn được chọn lựa là phân nhám đơ Vào lost mhim bio mét (security group) hay him phan phe (distribution group) Các nhĩm bảo mật chẳng cĩ gì thực sự mới me: chủng tương đương với các nhơm người đàng Iuser group) như chúng ta đã biết trong tất cá các phiên bản Windows NT trước đây Cái tên mới sửa chúng chỉ để phân biệt chúng với các nhĩm phân phối, tức loại nhĩm phần nào cĩ thể được gọi là "nhĩm phi-béo-mat”

9.2.2.1 Tổng quan về các nhĩm bảo mật

Nhĩm bảo mật là loại nhĩm được đồng để cấp phát các quyền hạn và quyên truy cấp Giống như các tải khoản người dùng, ác nhơm bảo mật ‘bu được chỉ định các SID Khi bạn xem boệc chỉnh sửa đanh sách kiểm sốt truy cập (ACL) của một đối tượng, ví dụ như vậy, thì những tên nhém nào xuất hiện trên đanh sách đĩ chính là các nhĩm bảo một đấy (đồi khi chúng được trình bay dws dang các SID nếu những cái tên thuận tiện cho con người tương ứng của chúng khơng được phân giải kip) Các khoản mọc SID của người ding va nhĩm trên ACI, này được sơ với các dữ liệu chững mình (credential) của ngưi đồng xem cĩ khớp hay Xhơng, nhằm cho phép hoặc khước từ sự truy cập của người dùng đĩ vào, đối tượng này,

C6 ba logi nhĩm bảo mật chính: local, giobal, và universal _ mae du 6 thé bạn thích coi chúng như là bốn nhĩm khác bigt hon: loca, domain local, global, va universal

Local group (ma ching thi địch là nhĩm đọ chỗ) là loại nhơm mà bạn tim thay trên một stand-alone server, một member server, hoậc một máy trạm Win2K hay XP Pro Các loeal group chỉ cĩ ý nghĩa tại chỗ đối với máy chứa nĩ thơi Tứ là, chúng hiện hữu và cĩ giá trị chỉ trên máy, tram 46 hoge may server phi-DC đĩ thơi

"Domain local group (mà chúng tơi địch là nhĩm tại chỗ của miễn) là cái tên đặc biệt dãnh cho một thứ local gfoup mà tình cờ lại nằm trên mgt máy DC, Các máy DC cĩ một cơ sở d liệu AD chưng, được sao chép, đủ lại giữa chúng, chờ nên một loeal groop trên một máy DC cũng sẽ cĩ tật trên các máy DC anh em của nĩ, như vậy nĩ cũng cĩ mật trên "miễn, đo đĩ mới cĩ cái tên domain loeal group Khi ching ti di stu vao chi tiết, bạn sẽ thấy rằng các domain loeal group khác biệt với céc local grop khác

(Cấc tài khoản global group, universal group, và đĩ nhiền cả cấc domain local group due đật trên các mấy DC, trong Active Directory

Hes Lâm chủ Windows Ser (he elabel group (em ching Wl ch là niĩn tân mọng) trung mạng AD vẫn ống khá nhiều với ác giai grup trong NT 4; chăng đc dăng để cấp phát những quyển hạn tà quyên trợ sập vượt ua những Tạnh gi ca mấy (rà min)

Cae unieeraal group (mà chúng tơi dịch là nhĩm phổ quát) đà cĩ mặt kể từ phiên bản Win2K Server, và cũng cĩ thế cung cấp chức nâng của các gldbal gronp, cấp phát các quyên hạn và quyển truy cập đối tượng trên khắp các miền và giữa các min với nhau Chúng hữu đụng hơn các lobal group hoặc local group, bởi vì chúng linh hoạt hơn rất nhiều đối với việ lồng các nhĩm vào nhau (nestng), nhưng bạn chỉ cĩ thế thực sự dàng chủng khi miễn của bạn đã đi vào "Windows 2000 native funcional level", vốn địi hỏi rằng tất cả các máy DC đều đang chạy WinB2k3 hoộc Win2k Server

322.2 Các nhĩm phân phối và các contact,

“Tnuc khi WinSiK xuất hiện, tất cá các nhĩm trong NT đều là các nhĩm báo mật Chúng được cấp cho các mã nhận ditn bdo mat (Security 1D, tức SID), chồng cĩ thể được trao các quyền hạn và quyền truy cập, Nhơm phản tán chỉ đơn giần là một nhĩm phí-ảo mật Nhém phân tán khơng cĩ SID, va khơng xuất hiện trên các AC, Vậy thì chúng được dùng làm gi? Nếu đã từng làm việc với MS Exchange hoặc một sản phẩm tương tự như vậy, hắn bạn đã quen thuộc với ede danh sách phan phối (diarihutien lieU Đĩ chẳng qua là các nhĩm của các địa chỉ người nhân thự Ví dụ, sẽ đề đàng hơn nếu gửi thư đến ACME Managers (tghla là nhĩm cúc nÃa quản fy cửe cơng ty ACME), hon ta chon ra iêng rẻ tên của từng nhà quần lÿ từ một danh sách nào 46,

Chương 9

rạ và quản lý các tài khoản người dung

Đơi khi, các cơ quan cần cĩ những dah sich phan phốt khơng cĩ liền quan với các nhơm bảo mặt của họ Ví đa, giá s cơng ty bạn là một nhà cung cấp định vụ truyền thơng và cổ một danh sách phân phối gọi là Outage Alert (nghĩa là cảnh báo tiếu hụt mang lượng) Danh sách phân, phối này được đùng để thơng báo với một số người trong trường hợp thiếu họt năng lượng lớn, vốn sê ảnh hưởng đến dịch vy cho các khách hàng của bạn, Các thành viên của danh sách này cĩ thể bao gồm những: nuơi từ các phịng kế hoạch, phịng quan hệ khách hàng, thảm chỉ cĩ chief executive officer (CEO, te ngubi lãnh đạo cao nhất trong sử q sữa Ngồi rà, danh sách phân phối đơ cĩ thể gỗm ca eae dia chi e-mail liên ngồi của những đối tác kinh doanh thea chốt (cịn được gọi lồ các mua) Nhãng người này sẽ khơng cổ một nhĩm bảo mật chung, và thật là ngốc nghếch nếu phát tạo ra một nhĩm bảo một riêng chỉ vì bạn cắn một danh sách phần phối thư như thế Cho nên bạn cĩ thể phần ra một lnại nhĩm trong Active Directory 1a whdm piđm phối loại nhơm Khơng cĩ quyển hạn gì về mật bảo mật cả Khơng cĩ mã số nhân diện bảo mật nào được tạo ra cho một nhĩm phân phối, và tư cách thành viên của nhơm đĩ khơng được tính trong xỡ những đ liệu chứng minh cửa những người dùng cua nhĩm đĩ vào lúc bu đăng nhập Hạn khơng thể trao những quyền truy cập máy in cho một danh xách phân phối, với vì nổ khơng xuất hiện trong ACU, của máy in thay tài nguyễn nào khác! Loại nhĩm này hồn tồn danh riêng cho e-mmil thơi

Nồi cách khác, các nhĩm phân phối thực chất chỉ hữu dụng nếu bạn đđã tiếp nhận MỸ Exchange 2000 va0 mong nối lên câu này: “Kháng cự là vỏ ích Bạn sẽ phải mua cơng nghệ của Chung tai bute long phải chúng tơi thơi Tạo ra nhĩm phân phốt trong AD, ý đồ của Microsoft chẳng qua chỉ cĩ thế

N6 là một phần lý do tổn tại cia MS Exchange 2000: n6 hap nha anh sách của những người dùng email tức "danh bạ"; mã Exchange %5 và các phiên bản trước đĩ đã phải duy trì một cách riêng rẺ với danh sách những người dùng của miễn được lưu giữ trên các may DC Exchange 2000 thực chất khơng cĩ một danh bạ nữa Thay vào đĩ, nĩ chỉ khai thác "kế" danh bạ của AD thơi Bạn cĩ thể chuyển một nhĩm, bảo một thành một nhớm phân phối rồi chuyến ngược lại, nhưng khơng thế nếu bạn vẫn cịn đang vận hành mạng AD của mình trong Windows 2000 mixed fanctional level Cơng như với mọi chuyện nào khát thực sự hữu ích, hành động này đơi hỏi rằng bạn phải dang van hành mạng trong Windows 2000 Native functional level hoặc Windows Server 200 unetional level

Lâm chủ Windows Server 2003 tad al heo a et 9 in ga es ‘Cia nce mus Họp ung yn ci brim oe es [tn ec tn hn

9.2.3 Tấm ảnh hưởng của nhĩm (group scope)

Chùng được nhận ra ở đâu, và chúng e6 thể chứa những g? Đấy là “những vấn để chỉnh bao qưanh các nhĩm local, domain local, global, va niveral, Bi ì chúng được dùng để cấp phát các quyền hạn và quyền truy cập, cho nên bạn cắn biết tư cách thành viên của nhĩm đĩ cơ ý "hla ở đâu, nĩ được thừa nhận ở đâu Bởi vì bạn muốn lồng các nhĩm vào nhau để đơn giản hĩa việc cấp phát các quyển hạn và quyên truy “slp, nên bạn củng cần biết luơn các qui tắc và những điều nên làm dứt với việc lồng nhĩm,

.2.3.1 Các nhĩm local hoặc machine local

“Nhơm local eo bin, cịn được gọi là nhĩm *machine" loeal (cịn gọi là "nhĩm computer local, nghĩa là nhĩm đại chổ của máy), là loi nhơm số "BI trên các máy aruer độc lộp (stand-alone server) và các máy trạm Win2k hoặc XP Pro Một server độc lập hoặc máy trạm Pro mà khơng phải là thành viên của miền nào cả cũng giống như một đảo quốc khơng biết gì v8 thế giới bên ngồi vậy Nĩ chỉ nhận ra các nhĩm và người dùng tại chỗ của riêng nĩ thơi Nhơm lecal là loi nhĩm duy nhất cĩ thể 4c trao quyền truy cập các tài nguyên tạ chỗ, và số thành viên của nĩ i giới hạn trong phạm vì người đùng tại chỗ thơi Tuy nhiên, khỉ máy đồ Bia nhập miền, đáo quốc đĩ trở thành thành viên của một tập thế adn trị to lớn hơn, giống như một liên bang của các đềo quốc vậy NO e6 thế cĩ những tài khoản người dùng tại chổ, như bạn đã thay Wie rước, nhưng nĩ cũng cĩ thể tiếp nhận những tài khoản người đồng được xây dựng trên một máy DC _ Active Dirsetery của máy DC là một cơ sở cđữ liệu tập trung của những tài khoản ngời dùng, tránh giúp cho ban ỗi phiên Phúc của việc tạo ra lại chững trên từng máy một