Bài giảng 70 290 mcse guide to managing a microsoft windows server 2003 environment chương 4 ths trần bá nhiệm (biên soạn)

Trang 2 Mục tiêu• Hiểu mục đích của việc dùng các tài khoản group là để đơn giản hóa việc quản trị Trang 3 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment3Giớ

Trang 1

70-290: MCSE Guide to Managing

a Microsoft Windows Server 2003

Trang 2

Mục tiêu

• Hiểu mục đích của việc dùng các tài khoản group

là để đơn giản hóa việc quản trị

• Tạo các đối tượng group dùng công cụ giao diện

Trang 3

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

3

Giới thiệu các tài khoản Group

• Một group là 1 đối tượng container

• Dùng để tổ chức tập hợp các user, computer, contacts,

và các group khác

• Dùng để đơn giản hóa việc quản trị

• Giống như OU, ngoại trừ:

• Các OU không có nguyên lý bảo mật, các group có

• Các OU chỉ chứa các đối tượng từ domain cha của

chúng, các group có thể chứa cả các đối tượng từ trong forest

Trang 4

Các kiểu Group

• Các group security

• Định nghĩa bởi Security Identifier (SID)

• Có thể gán quyền cho các tài nguyên

Trang 5

Trang 7

Trang 8

Các Domain Local Group

• Được tạo trên các DC

• Có thể gán quyền cho bất kỳ tài nguyên nào trong cùng domain

• Có thể chứa các group từ domain khác

• Xác định các đối tượng cho phép trong group liên

hệ đến mức chức năng đã cấu hình của domain

Trang 9

9

Các Universal Group

• Điển hình được tạo ra cho các user hay những

group trong những domain khác nhau

• Lưu trên các DC được cấu hình như các global

Trang 10

Các Universal Group (tt)

Trang 11

11

Tạo các đối tượng Group

• Các đối tượng Group lưu giữ trong cơ sở dữ liệu AD

• Nhiều loại công cụ khác nhau có thể dùng để tạo

Trang 12

Active Directory Users and

Computers

• Công cụ chính:

• Tạo các tài khoản group

• Có thể dùng để cấu hình các thuộc tính của các tài

khoản group

• Các group có thể được tạo trong bất kỳ container

có sẵn, tại gốc của đối tượng domain hoặc trong các đối tượng OU tùy ý

• Các phạm vi group được xác định bởi mức chức năng của domain được cấu hình như thế nào

Trang 13

13

Active Directory Users and

Computers (tt)

Trang 14

Thực tập 4-1: Tạo và thêm các thành viên vào Global Group

• Mục tiêu: Dùng Active Directory Users and

Computers để tạo các global group

• Start  Administrative Tools  Active Directory Users and Computers  Users container  New

 Group

• Theo các chỉ dẫn để tạo một số global groups và thêm các tài khoản user vào các group

Trang 15

70-290: MCSE Guide to Managing a Microsoft

Windows Server 2003 Environment

15

Thực tập 4-1 (tt)

Trang 16

Thực tập 4-2: Tạo và thêm các thành viên vào Domain Local

Groups

Computers để tạo các domain local group

• Active Directory  Users  New  Group

• Theo các chỉ dẫn để tạo Domain Local group và thêm các global groups vào đó

Trang 17

17

Thực tập 4-3: Thay đổi mức chức năng của 1 Domain Tạo và thêm

các thành viên vào Universal

Group

• Mục tiêu: Thay đổi mức chức năng của 1 Domain

Windows Server 2003 và dùng Active Directory

Users and Computers để tạo các universal group

• Mở đối tượng domain trong Active Directory

Users and Computers

Trang 18

Trang 19

19

• Theo các chỉ dẫn để nâng mức chức năng của

domain

• Tiếp tục bài tập tạo 1 universal group mới

• Tiếp tục bài tập thêm các group đã có vào group mới này

Trang 20

Trang 21

21

Chuyển đổi các kiểu Group

• Có thể cần thay đổi một group security thành

group distribution hoặc ngược lại

• Kiểu của group chỉ có thể thay đổi nếu mức chức năng domain là Windows 2000 native hoặc cao hơn

Trang 22

Thực tập 4-4: Chuyển đổi các

kiểu Group

Computers để thay đổi kiểu group

• Theo các chỉ dẫn để tạo 1 global group mới với kiểu distribution

• Kiểm tra kiểu của group mới

• Tiếp tục bài tập với việc thay đổi kiểu thành

security và kiểm tra sự thay đổi đó

Trang 23

23

Trang 24

Trang 25

25

Chuyển đổi các phạm vi Group

• Phạm vi Group có thể thay đổi được

• Mức chức năng domain phải ít nhất là Windows

Trang 26

Thực tập 4-5: Chuyển đổi các

phạm vi Group

Computers để thay đổi phạm vi group

• Theo các chỉ dẫn để tạo 1 global group mới

• Thêm vào 1 group thành viên

• Ghi nhớ các hạn chế và cảnh báo theo từ cấu trúc phạm vi nhóm như đã mô tả trong bài tập

• Thay đổi phạm vi của nhóm thành universal

Trang 27

Trang 28

• Được giới thiệu trong Windows Server 2003

• Dùng để tạo các tài khoản user và group mới

• Cú pháp:

• dsadd group distinguished-name switches

• Switches gồm: -secgrp, -scope, -memberof,

-members

• Xem thêm Help and Support Center

Trang 29

29

DSADD (tt)

Trang 31

31

DSMOD

• Cho phép một số kiểu đối tượng khác nhau được sửa đổi từ dòng lệnh

• Cú pháp:

• dsmod group distinguished-name switches

• Switches gồm: -desc, -rmmbr, -addmbr

Trang 32

DSMOD (tt)

Trang 33

Trang 34

• Dùng để truy vấn các kiểu đối tượng khác nhau bằng dòng lệnh, trả về các giá trị

Trang 35

• dsmove group distinguished-name switches

• Switches gồm: -newparent, -newname

• Chỉ có thể dùng cho các group trong 1 domain đơn

Trang 37

37

Quản lý các Security Group

• Chiến lược quản lý có thể tóm tắt bằng các từ A

G U DL P:

1 Tạo các user Account (A) và tổ chức chúng bên

trong các Global group (G)

2 Tùy chọn: Tạo Universal groups (U) và đặt các

global groups từ bất kỳ domain nào trong các universal group

3 Tạo các Domain Local group (DL) và thêm các

group global và universal

4 Gán quyền Permissions (P) cho các domain local

group

Trang 38

Xác định thành viên Group

• Tác vụ quan trọng với các administrator để chắc chắn rằng các user là thành viên đúng group

• 1 cách là thông qua Member Of tab trong trang

đặc tính của 1 tài khoản user

• Chỉ hiển thị mức đầu tiên của các group

• Cách thứ 2 là dùng DSGET

Trang 39

39

Xác định thành viên Group (tt)

• Cú pháp:

• dsget group distinguished-name switches

• Switches gồm: -members, -memberof

• Cũng có thể dùng như dsget user để lấy thông tin thành viên

• Xuất liệu có thể lưu vào file:

• dsget group distinguished-name switches >> filename

Trang 40

Các Group có sẵn

• Khi Windows Server 2003 Active Directory được cài đặt

• Các group có sẵn được cài tự động

• Các quyền được gán trước

• Lưu trong Builtin container và Users container

• Nên dùng các group có sẵn khi nào có thể

• Dễ dàng hiện thực các quyền bảo mật

Trang 41

41

Builtin Container

• Chứa một số lượng các tài khoản local group

• Cấp phát các quyền user khác nhau dựa trên chính sách quản trị chung hoặc các tác vụ liên quan

mạng

Trang 42

Builtin Container (tt)

Trang 43

Trang 44

Users Container (tt)

Trang 45

• Có thể tạo trong quá trình cài đặt hay sau đó

• Các công cụ tạo và quản lý:

• Active Directory Users and Computers

• System applet trong Control Panel

• Các ứng dụng dòng lệnh

Trang 46

Thực tập 4-8: Tạo và quản lý

các tài khoản Computer

Computers để tạo và quản lý các tài khoản

Computer

• Theo các chỉ dẫn để tạo 1 tài khoản computer mới

từ Active Directory Users and Computers

• Cấu hình và xem lại các tài khoản

Trang 47

47

Trang 48

Thiết lập lại các tài khoản

• Những vấn đề đồng bộ hóa thỉnh thoảng xuất hiện

• Administrator phải reset lại tài khoản computer

• Dùng Active Directory Users and Computers hoặc

Netdom.exe từ Windows Support Tools

Trang 49

49

Tổng kết

• Các tài khoản group giảm khối lượng công việc

quản trị bằng cách cho phép gán quyền chung cho nhiều user đồng thời

Trang 50

• Windows NT 4.0, 2000, XP và Server 2003 y/c các tài khoản computer trong Active Directory

Tiêu đề	Hiện Thực Và Quản Lý Các Tài Khoản Group Và Computer
Thể loại	Guide

Định dạng
Số trang	50
Dung lượng	1,97 MB