Thực thi Microsoft Windows 2000 Server/Bài 8/ 1 of 16 Quản trị các tài khoản nhóm Thực thi Microsoft Windows 2000 Server/Bài 8/ 2 of 16 Mục tiêu của bài học • Tìm hiểu về nhóm trong Windows 2000 • Kiểu nhóm và phạm vi của nhóm trong Domain • Các nhóm mặc định trong Domain • Quản lý các nhóm trong Domain Thực thi Microsoft Windows 2000 Server/Bài 8/ 3 of 16 Nhóm –Group Gán quyền cho từng người dùng Gán quyền cho nhóm thay vì  Là một tập hợp các tài khoản người dùng có tính chất giống nhau.  Nhóm giúp đơn giản hoá việc quản lý.  Thành viên của nhóm đó nhận được tất cả các quyền gán cho nhóm.  Một tài khoản người dùng có thể là thành viên của nhiều nhóm.  Một nhóm có thể là thành viên của một nhóm khác Thực thi Microsoft Windows 2000 Server/Bài 8/ 4 of 16 Các nhóm trong Windows 2000 • Các nhóm trong Domain: Các nhóm được tạo ra trên domain controllers và được lưu trong Active Directory • Các nhóm trong cục bộ: Các nhóm được tạo ra trên các máy tính chạy windows 2000 mà chúng không phải là domain controllers (Professional, Stand-Alone Server, Member Server) và được lưu trong CSDL bảo mật cục bộ của máy tính. Thực thi Microsoft Windows 2000 Server/Bài 8/ 5 of 16 Các kiểu của nhóm trong domain • Trong Domain gồm 02 kiểu nhóm, kiểu của nhóm được xác định dựa vào mục đính sử dụng của nhóm • Nhóm phân phối (Distribution Group): • Được sử dụng cho các chức năng không có liên quan đến bảo mật: gởi email cùng một lúc cho một nhóm người dùng. • Không thể sử dụng Distribution Group để gán quyền (permission) • Nhóm bảo mật (Security Group): • Được sử dụng để gán quyền (permission) truy xuất đến tài nguyên. • Security có tất cả các khả năng của Distribution Group Thực thi Microsoft Windows 2000 Server/Bài 8/ 6 of 16 Phạm vi của nhóm Thực thi Microsoft Windows 2000 Server/Bài 8/ 7 of 16 Các nhóm mặc định trong Domain • Built-In Domain Local Group • Predefined Global Group • Special Identity Group Thực thi Microsoft Windows 2000 Server/Bài 8/ 8 of 16 Built-In Domain Local Group Built-In Domain Local Group Description Account Operators • Can create, delete, and modify user accounts and groups; members cannot modify the Administrators group or any of the operators groups. Administrators • Perform all administrative tasks on all domain controllers and the domain itself. Administrator user account and the Domain Admins and Enterprise Admins predefined global groups are members. Backup Operators • Members can back up and restore all domain controllers by using Windows Backup. Guests • Members can perform only tasks for which you have granted rights; members can gain access only to resources for which you have assigned permissions Pre-Windows 2000 Compatible Access • A backward compatibility group that allows read access for all users and groups in the domain. By default, only the Everyone pre-Windows 2000 system group is a member. Print Operators • Members can set up and manage network printers on domain controllers. Replicator • Supports directory replication functions. The only member should be a domain user account used to log on to the Replicator services of the domain controller. Do not add the accounts of actual users to this group. Server Operators • Members can share disk resources and back up and restore files on a domain controller. Users • Members can perform only tasks for which you have granted rights, and gain access only to resources for which you have assigned permissions. By default, the Authenticated Users and INTERACTIVE pre-Windows 2000 groups and the Domain Users pre-defined global group are members. Use this group to assign permissions and rights that every user with a user account in your domain should have. Thực thi Microsoft Windows 2000 Server/Bài 8/ 9 of 16 Predefined Global Group Predefined Global Group Description Domain Admins • Windows 2000 automatically adds Domain Admins to the Administrators built-in domain local group so that members of Domain Admins can perform administrative tasks on any computer anywhere in the domain. By default, the Administrator account is a member. Domain Guests • Windows 2000 automatically adds Domain Guests to the Guests built-in domain local group. the Guest account is a member. Domain Users • Windows 2000 automatically adds Domain Users to the Users built-in domain local group. New domain user account is automatically a member. Enterprise Admins • User accounts have administrative control for the entire network. Then, add Enterprise Admins to the Administrators domain local group in each domain. By default, the Administrator account is a member. Thực thi Microsoft Windows 2000 Server/Bài 8/ 10 of 16 Các nhóm đồng nhất đặc biệt (Các nhóm hệ thống được dựng sẵn) Special Identity Group Description Anonymous Logon • Includes any user account that Windows 2000 did not authenticate. Authenticated Users • Includes all users with a valid user account on the computer or in Active Directory. Use the Authenticated Users group instead of the Everyone group to prevent anonymous access to a resource. CREATOR OWNER • Includes the user account for the user who created or took ownership of a resource. If a member of the Administrators group creates a resource, the Administrators group is owner of the resource. Dialup • Includes any user who currently has a dial-up connection. Everyone • Includes all users who access the computer. Be careful if you assign permissions to the Everyone group and enable the Guest account. Windows 2000 will authenticate a user who does not have a valid user account as Guest. The user automatically gets all rights and permissions that you have assigned to the Everyone group. The Everyone group is assigned full control to many resources by default. Interactive • Includes the user account for the user who is logged on at the computer. Members of the Interactive group gain access to resources on the computer at which they are physically located. They log on and gain access to resources by "interacting" with the computer. Network • Includes any user with a current connection from another computer on the network to a shared resource on the computer. [...]... 8/ 11 of 16 Quản lý các nhóm trong domain Tạo nhóm Thực thi Microsoft Windows 2000 Server/Bài 8/ 12 of 16 Quản lý các nhóm trong domain Thêm/bớt thành viên của nhóm Thực thi Microsoft Windows 2000 Server/Bài 8/ 13 of 16 Quản lý các nhóm trong domain Xoá nhóm • Việc xoá nhóm sẽ không xoá các tài khoản thành viên của nhóm Thực thi Microsoft Windows 2000 Server/Bài 8/ 14 of 16 Quản lý các nhóm trong domain... 16 Quản lý các nhóm trong domain Thay đổi kiểu & phạm vi của nhóm • • Thay đổi kiểu của nhóm: Có thể thay đổi kiểu của nhóm từ Security sang Distribution và ngược lại Thay đổi phạm vi của nhóm: • • • Thay đổi global group thành universal group Thay đổi Domain local group thành Universal Group Chúng ta chỉ có thể thay đổi kiểu và phạm vi của nhóm khi domain đang ở chế độ native Thực thi Microsoft Windows . 14 of 16 Quản lý các nhóm trong domain Xoá nhóm • Việc xoá nhóm sẽ không xoá các tài khoản thành viên của nhóm. Thực thi Microsoft Windows 2000 Server/Bài 8/ 15 of 16 Quản lý các nhóm trong. viên của nhiều nhóm.  Một nhóm có thể là thành viên của một nhóm khác Thực thi Microsoft Windows 2000 Server/Bài 8/ 4 of 16 Các nhóm trong Windows 2000 • Các nhóm trong Domain: Các nhóm được tạo. 16 Quản trị các tài khoản nhóm Thực thi Microsoft Windows 2000 Server/Bài 8/ 2 of 16 Mục tiêu của bài học • Tìm hiểu về nhóm trong Windows 2000 • Kiểu nhóm và phạm vi của nhóm trong Domain • Các