Bài giảng 70 290 mcse guide to managing a microsoft windows server 2003 environment chương 3 ths trần bá nhiệm (biên soạn)

Trang 1 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 EnvironmentChương 3: Trang 2 Mục tiêu• Hiểu mục đích của các tài khoản user • Hiểu tiến trình chứng thực user Tr

70-290: MCSE Guide to Managing

a Microsoft Windows Server 2003

Environment

Chương 3:

Tạo và quản trị tài khoản

Mục tiêu

• Hiểu mục đích của các tài khoản user

• Hiểu tiến trình chứng thực user

• Hiểu và cấu hình các loại user profile: local,

Giới thiệu tài khoản User

• Một tài khoản user là một đối tượng Active

Directory

• Thể hiện thông tin định nghĩa 1 user với quyền

truy cập vào mạng (tên, mật khẩu,…)

• Mọi người dùng tài nguyên mạng bắt buộc có tài khoản

• Tham gia vào việc quản trị và bảo mật

• Phải theo các chuẩn của tổ chức

Các đặc tính tài khoản User

• Công cụ chính để tạo và quản trị tài khoản là

Active Directory Users and Computers

• Active Directory dễ mở rộng nên có thể có các tab được thêm vào các trang đặc tính (property page)

• Các đặc tính quan trọng có thể thiết lập gồm:

• General

• Address

• Account

Thực tập 3-1: Xem lại các đặc

tính tài khoản User

• Mục tiêu là xem lại các đặc tính của tài khoản user thông qua Active Directory Users and Computers

• Start  Administrative Tools  Active Directory Users and Computers  Users  AdminXX

account  Properties

• Xem các tab và các giá trị theo y/c

Tab tài khoản

• Tên, mật khẩu, tài nguyên y/c

• Trong môi trường Active Directory

• Domain controller chứng thực

• Trong 1 workgroup

Chứng thực tương tác

• Tiến trình trong đó user cung cấp tên và mật khẩu

để chứng thực

• Khi đăng nhập vào domain, credential được so

sánh với cơ sở dữ liệu AD tập trung

• Khi đăng nhập cục bộ, credential được so sánh với cơ sở dữ liệu SAM

• Trong các môi trường domain, các user bình

thường không có tài khoản cục bộ

Chứng thực mạng

• Tiến trình một dịch vụ mạng chấp nhận danh định của một user

• Với 1 user đăng nhập vào domain, chứng thực

• Kerberos v5 là công cụ chính cho môi trường

Active Directory nhưng không hỗ trợ trên các hệ thống client khác

• NTLM là công cụ chính cho các hệ điều hành

Microsoft còn lại

Kerberos v5

• Hỗ trợ bởi Windows 2000, Windows XP,

Windows Server 2003

• Giao thức đi theo sau:

• Yêu cầu đăng nhập được chuyển cho Key Distribution

Center (KDC), một Windows Server 2003 domain

controller

• KDC chứng thực user và nếu hợp pháp, phát ra một

ticket-granting ticket (TGT) cho hệ đh client

Kerberos v5 (tt)

• Khi client y/c một tài nguyên mạng, nó trình TGT cho KDC

• KDC phát ra một service ticket cho client

• Client trình service ticket cho host server của tài

• Dùng với các hệ điều hành chạy Windows NT 4.0 hoặc trước nữa, nếu cần cũng dùng được cho

Windows Server 2000/2003

• Giao thức đi theo sau:

• User đăng nhập, client tính giá trị băm mã hóa của mật khẩu

• Client gửi tên user cho DC

NTLM (tt)

• DC sinh ra challenge ngẫu nhiên và gửi cho client

• Client giải mã challenge với giá trị băm của mật khẩu

User Profiles

• Một tập hợp các thiết lập đặc trưng cho một user

• Theo mặc nhiên được lưu giữ cục bộ

• Không đi theo user đăng nhập trên các máy tính khác

• Có thể tạo 1 roaming profile

• Đi theo user đăng nhập trên các máy tính khác

• Administrator có thể tạo 1 mandatory profile

User Profile Folders and Contents

Thực tập 3-2: Kiểm tra Local

• Thay đổi 1 profile từ local  roaming nên cẩn

thận sao lưu trước

Thực tập 3-3: Cấu hình và

kiểm tra 1 Roaming Profile

• Tạo 1 thư mục chia sẻ, copy 1 local profile vào

thư mục đó và cấu hình các thuộc tính của tài

khoản user để dùng roaming

• Theo các chỉ dẫn

Mandatory Profiles

• Local và roaming profile cho phép tạo các thay

đổi lâu dài

• Mandatory profile cho phép tạo các thay đổi chỉ cho 1 phiên làm việc

• Local và roaming có thể đều được cấu hình như mandatory

• ntuser.dat  ntuser.man

Thực tập 3-4: Cấu hình 1

Mandatory Profile

• Start  My Computer

• Theo các chỉ dẫn để tác động vào mandatory

profile thử nghiệm đã tạo trước đó

• Kiểm tra lại user không thể tạo ra thay đổi nào

Tạo và quản lý các tài khoản

Active Directory Users and

Computers

• Chọn từ thực đơn Administrative Tools

• Có thể thêm vào 1 Microsoft Management

Console

• Có thể chạy từ dòng lệnh (dsa.msc)

• Công cụ đồ họa

• Có thể thêm, sửa, di chuyển, xóa, tìm tài khoản user

• Có thể cấu hình nhiều đối tượng đồng thời

Thực tập 3-5: Tạo tài khoản user dùng Active Directory Users and

Computers

• Start  Administrative Tools  Active Directory Users and Computers

• Theo chỉ dẫn

Các User Template

• Một tài khoản user được cấu hình sẵn với các thiết lập phổ biến

• Có thể được sao chép để tạo các tài khoản mới

• Các tài khoản mới sau đó được cấu hình với các thiết lập riêng

Thực tập 3-6: Tạo một Template tài khoản User

• Mục tiêu: tạo 1 template và dùng nó để tạo tài

khoản user mới

• Start  Administrative Tools  Active Directory Users and Computers

• Tạo 1 templace mới

• Dùng một biến để tự động định đường dẫn profile với tên của tài khoản user

Các ứng dụng dòng lệnh

• Một số administrator thích làm việc với dòng lệnh

• Có thể được dùng để tự động tạo hoặc quản lý các tài khoản rất linh hoạt

• Cho phép các kiểu đối tượng được thêm vào

directory

• Các tài khoản Computer, contact, quota, OU, user,…

• Cú pháp cho tài khoản user là

• DSADD USER <tên phân biệt> <các khóa chuyển>

• Các khóa chuyển gồm

• DSMOD USER <tên phân biệt> + <các khóa chuyển> +

• Có thể sửa nhiều tài khoản đồng thời

• dsmove "cn=Paul Kohut,cn=users,dc=domain01,

dc=dovercorp,dc=net" –newparent "ou=marketing,

• Cho phép các đối tượng được xóa từ directory

• Có thể xóa từng đối tượng hoặc toàn bộ cây con

Bulk Import and Export

• Cho phép 1 tổ chức nhận vào các bản lưu trữ đã có thay cho tạo mới hoàn toàn từ đầu

• Cho phép 1 tổ chức xuất dữ liệu đã có cấu trúc

trong AD vào các cơ sở dữ liệu thứ hai

• 2 lệnh:

• CSVDE

• LDIFDE

• Công cụ dòng lệnh cho phép xuất/nhập dữ liệu

AD đến/từ các file comma-separated value (CSV)

• CSV file có thể được tạo/soạn thảo dùng chương trình soạn thảo thông dụng

• Ví dụ:

• csvde –f output.csv

• Công cụ dòng lệnh cho phép xuất/nhập dữ liệu

AD đến/từ các file LDIF

• LDAP Interchange Format

• Chuẩn công nghiệp cho thông tin trong các LDAP

Sự cố với tài khoản User và các

vấn đề chứng thực

• Bình thường tạo và cấu hình các tài khoản user rất

dễ dàng

• Các vấn đề nếu có thường liên quan:

• Cấu hình tài khoản

• Các thiết lập chính sách

Các chính sách tài khoản

• Các thiết lập chính sách liên quan đến chứng thực

• Được cấu hình trong nút Account Policies của các đối tượng Group Policy tại mức domain

• Khóa tài khoản, các mật khẩu, Kerberos

Chính sách mật khẩu

• Các thiết lập cấu hình

• Lịch sử và việc sử dụng lại mật khẩu

• Thời gian tồn tại tối đa

• Thời gian tồn tại tối thiểu

• Độ dài tối thiểu

• Yêu cầu độ phức tạp

• Chính sách mã hóa

Các thiết lập khóa tài khoản

• Các thiết lập cấu hình

• Thời hạn khóa

• Thời điểm bắt đầu khóa

• Thiết lập lại bộ đếm sau khi khóa

Chính sách Kerberos

• Các thiết lập cấu hình

• Bắt buộc các giới hạn đăng nhập

• Thời gian tồn tại tối đa của service ticket

• Thời gian tồn tại tối đa của user ticket

• Thời gian tối đa để làm mới lại user ticket

Chính sách kiểm toán

• Kiểm toán sự kiện tài khoản đăng nhập

• Cấu hình trong đối tượng Group Policy liên kết với Domain Controllers OU (chính sách Domain Controllers mặc nhiên)

• Mặc nhiên là chỉ với các đăng nhập thành công

• Sự kiện có thể xem trong báo cáo Security log (dùng Event Viewer)

• Có thể chọn để sửa chữa các đăng nhập lỗi

• Có ích với việc giải quyết sự cố

Giải quyết các sự cố đăng nhập

• Một số vấn đề và cách sửa

• Tên user hoặc mật khẩu sai (administrative thiết lập lại)

• Tài khoản bị khóa (mở khóa thủ công)

• Tài khoản bị cấm (administrative cho phép)

• Các giới hạn giờ đăng nhập (kiểm tra lại các giới hạn)

• Các giới hạn trạm làm việc

• Domain controller (kiểm tra lại các thiết lập DNS)

Giải quyết các sự cố đăng nhập

Tổng kết

• Một tài khoản user là một đối tượng được lưu giữ trong AD

• Thông tin định nghĩa user và quyền truy cập vào mạng

• Công cụ chính để tạo và quản lý các tài khoản user

• Active Directory Users and Computers

• Dòng lệnh (DSADD, DSMOD, DSQUERY,

DSMOVE, DSRM)

• 2 tiến trình chứng thực chính

• Local, roaming, mandatory

• Các ứng dụng để nhập/xuất dữ liệu user đến/từ

AD

• LDIFDE, CSVDE