Đang tải... (xem toàn văn)
Quản lý USER và GROUP
QUẢN LÝ USER VÀ GROUP Ngô Văn Công Mục đích Quản trị Users và Groups trong Workgroup Quản trị Users và Groups trong Domain Quản trị Users, Groups trong Workgroup Khái niệm Users và Groups Quản trị Users Quản trị Groups Khái niệm Users User Accounts:Tài khoản người dùng Cho phép user logon trên mạng hay máy tính cục bộ Cho phép truy suất tài nguyên mạng hay cục bộ User name và password Quy ước đặt tên:20 ký tự hoa hoặc thường, kt số Password:8-128 ký tự User có sẵn(Built in user) Administrator Account Truy suất tất cả các tài nguyên mạng Toàn quyền trên domain Guest Account Truy suất tạm thời tài nguyên Mặc nhiên Disenabled Group Account Tập hợp những tài khoản người dùng(User), giúp phân quyền truy xuất tài nguyên cho nhiều users cùng lúc (tt) User có thể là thành viên của nhiều groups Tạo Account (tt) Hiệu chỉnh User Xóa tài khoản Khóa tài khoản Groups trong workgroup Không là thành viên của group khác Thành viên chỉ là users cục bộ Chỉ được truy xuất tài nguyên trên máy tạo ra Quản trị groups Built-in local group Administrators:Quản trị toàn hệ thống Users:Tài khoản người dùng Backup Operations: Sao lưu và phục hồi dữ liệu Guests: Truy xuất tài nguyên tạm thời Power Users: Tạo, hiệu chỉnh User Quản trị groups Quản trị groups Đăng nhập máy cục bộ Hộp thoại logon vao local computer Quản lý Users và Groups Trong Domain Tài khoản Users và Groups tạo ra nhằm cho phép truy xuất tài nguyên trong Domain. Tài khoản users trong domain Tài khoản chính là tên logon vào domain(logon name) và truy xuất tài nguyên User Principal Name(UPN) Security Principal Name(SPN), Suffix DNS @ Symbol Ví dụ: tannv@x.hcmut.edu.vn Các đặc tính tài khoản User Công cụ chính để tạo và quản trị tài khoản là Active Directory Users and Computers Active Directory dễ mở rộng nên có thể có các tab được thêm vào các trang đặc tính (property page) Các đặc tính quan trọng có thể thiết lập gồm: General Address Account Profile Chứng thực User Tiến trình nhận dạng một user hợp pháp Dùng để chấp nhận hoặc từ chối quyền truy cập vào tài nguyên mạng Từ 1 hệ điều hành client Tên, mật khẩu, tài nguyên y/c Trong môi trường Active Directory Domain controller chứng thực Trong 1 workgroup SAM cục bộ chứng thực Tạo tài khoản người dùng cho domain user Thiết lập password Thiết lập Home Directory cho Domain User Để quản trị dữ liệu của User một cách tập trung Thực hiện Tạo home directory trên máy server cho từng user Chia sẻ và thiết lập quyền trên home directory ứng với mỗi user riêng Thiết lập đường dẫn chỉ đến home directory cho mỗi user trên server Thiết lập profile User Profiles Một tập hợp các thiết lập đặc trưng cho một user Theo mặc nhiên được lưu giữ cục bộ Không đi theo user đăng nhập trên các máy tính khác Có thể tạo 1 roaming profile Đi theo user đăng nhập trên các máy tính khác Administrator có thể tạo 1 mandatory profile User không thể thay đổi nó User Profile Folders and Contents Local Profiles Các profile mới được tạo từ thư mục Default User profile User có thể thay đổi local profile và những thay đổi được lưu giữ lại chỉ cho user đó Administrator có thể quản lý nhiều phần tử của profile Change Type Delete Copy To Roaming Profiles Roaming profiles Cho phép profile lưu trên 1 server trung tâm và đi theo user Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với thao tác backup) Thay đổi 1 profile từ local roaming nên cẩn thận sao lưu trước Các User Template Một tài khoản user được cấu hình sẵn với các thiết lập phổ biến Có thể được sao chép để tạo các tài khoản mới Các tài khoản mới sau đó sẽ được cấu hình với các thiết lập riêng Kích hoạt và ẩn một tài khoản Khóa tài khoản Ngưỡng khóa tài khoản Số lần đăng nhập lỗi Ngăn cản hacker có thể đoán mật khẩu Tài khoản có thể vượt qua số lần đăng nhập: Tại màn hình đăng nhập Tại màn hình bảo vệ Truy cập vào tài nguyên của mạng Tùy chọn cho tài khoản Tùy chọn tài khoản User must change password at next logon User cannot change password Password never expires Account is disabled Đặc tả Người dùng phải thay đổi password lần tiếp theo họ đăng nhập Người dùng không có quyền thay đổi password của họ Password người dùng không bao giờ hết hạn Người dùng không thể đăng nhập vào với account này Thiết lập lại password cho người dùng Khi người dùng quên mật khẩu Thiết lập lại account Máy tính không thể truy cập vào miền Password cần được đồng bộ Tìm kiếm user, account (tt) Bộ lọc truy vấn: Object type Location General values associated with the object, such as name and description Các ứng dụng dòng lệnh Một số administrator thích làm việc với dòng lệnh có thể được dùng để tự động tạo hoặc quản lý các tài khoản rất linh hoạt DSADD Cho phép các kiểu đối tượng được thêm vào directory Các tài khoản Computers, quota, contact, User... Cú pháp cho tài khoản user là DSADD USER các khóa chuyển gồm -pwd(password)… Ví dụ dsadd user "cn=guyt, ou=guyds, dc=cp, dc=com" DSMOD Cho phép các đối tượng được chỉnh sửa từ dòng lệnh Các tài khoản Computer, User, Contact, Quota, OU Cú pháp DSMOD USER Ví dụ: đổi password của user guyt dsmod user "cn=guyt, ou=guyds, dc=cp, dc=com" -pwd a1yC24kg DSQUERY Cho phép các kiểu đối tượng được truy vấn từ dòng lệnh Hỗ trợ dùng ký tự đại diện Kết xuất có thể điều hướng lại cho lệnh khác Ví dụ: Trà về tài khoản có tên cuong DSQUERY USER -name cuong DSMOVE Cho phép các đối tượng được di chiển từ vị trí hiện hành sang nơi khác Cho phép nhiều kiểu đối tượng khác nhau được đổi tên Chỉ cho phép di chuyển trong cùng một miền Ví dụ: di chuyển một tài khoản user vào OU "marketing" dsmove "cn=paul,cn=users,dc=test,dc=com“ -newparent “ou=marketing,dc=test,dc=com" DSRM Cho phép các đối tượng được xóa từ directory Có thể xóa từng đối tượng hoặc toàn bộ cây Ví dụ: Xóa maketing OU và tất cả đối tượng trong đó dsrm -subtree -noprompt -c "ou=marketing,dc=test,dc=com" Sự cố với tài khoản user và các vấn đề chứng thực Bình thường tạo và cấu hình tài khoản rất dễ dàng Các vấn đề nếu có thường liên quan Cấu hình tài khoản Các thiết lập chính sách Chính sách mật khẩu Các thiết lập cấu hình Lịch sử và việc sử dụng lại mật khẩu Thời gian tồn tại tối đa Thời gian tồn tại tối thiểu Độ dài tối thiểu Yêu cầu độ phức tạp Chính sách mã hóa Chính sách kiểm toán Kiểm toán sử kiện tài khoản đăng nhập Cấu hình trong đối tượng group policy liên kết với DC hay OU Mặc nhiên là chỉ với các đăng nhập thành công Sự kiện có thể xem trong báo cáo security Log Có thể chọn để sửa chữa các đăng nhập lỗi Có ích cho việc giải quyết sự cố Các mã cung cấp thông tin về kiểu lỗi Giải quyết các sự cố đăng nhập Một số vấn đề và cách sửa Tên user hoặc mật khẩu sai Tài khoản bị khóa Tại khoản bị cấm Các giới hạn giờ đăng nhập Các giới hạn trạm làm việc Domain Controller Tài khoản domain group Group là tập hợp nhiều tài khoản user giúp phân quyền truy xuất tài nguyên cho nhiều user Tài khoản domain group User có thể là thành viên của nhiều group và group cũng có thể là thành viên của nhiều group khác Local group Tập hợp tài khoản trên 1 máy tính Sử dùng local group để phân quyền cho tài nguyên trên máy tính cục bộ Hướng dẫn sử dụng local group Nên sử dụng local group trên máy mà mình tạo Sử dụng local group trên các máy chạy window XP hay là máy chủ thanh viên chạy window server 2003. Local group không thể tạo trên máy quản lý miền. Sử dụng local group cho máy không thuộc domain Thành viên local group chỉ có thể là user của máy tính mà bạn tạo local group. Tài khoản domain group Tất cả group trong domain phải được tạo trên DC Thành viên là những group hay là users trong các domains Kiểu group trong domain Group bảo mật(Security groups):Có thể ấn định quyền truy xuất tài nguyên Group phân bố(Distribution group): dùng cho các dịch vụ(mail) Phạm vi nhóm Group toàn cục(Global group): Phân quyền truy xuất bất cứ tài nguyên nào trong forest Thành viên chỉ là những user hay group từ domain được nó tạo Phạm vi group Group cục bộ miền(Domain local) Có thể truy xuất tài nguyên trong domain tạo ra nó Thành viên là bất cứ domain nào trong forest (tt) Group đa năng(Universal) Cho phép truy xuất đến bất kỳ tài nguyên nào trong forest Thành viên là user, group bất kỳ domain nào trong forest Default Group Có 3 danh mục nhóm mặc định Nhóm trong mục Built-in Domain Local Group Thường gán tập quyền co sẵn cho người dùng phục vụ mục đích quản trị Administrators: Thành viên nhóm này có toàn quyền truy cập máy tính, DC, và có thể toàn quyền truy cập vào domain nếu là thành viên cua Domain Admin Group Nhóm trong thư mục users Thường dùng gán quyền cho người chịu trách nhiệm quản lý miền. Built-in local group Các máy server thành viên, máy window XP đều có mục này Cung cấp quyền quản lý trên máy cục bộ Tạo các đối tượng group Các đối tượng group lưu trữ trong csdl AD Nhiều công cụ khác nhau có thể dùng để tạo và quản lý group Active Directory User and Computer DSADD, DSMOD, DSQUERY…. Active Directory User and Computer Công cụ chính Tạo các tài khoản group Có thể dùng để cấu hình các thuộc tính của các tài khoản group Các group có thể tạo trong bất kỳ container có sẵn nào, tại gốc của đối tượng domain hay trong các OU tùy ý Phạm vi của group được xác định bằng chức năng của domain được cấu hình như thế nào Chức năng domain(Domain Functional Level) (tt) Nâng cấp chức năng miền In the console tree, right-click the domain for which you want to raise functionality, and then click Raise Domain Functional Level. In Select an available domain functional level, do one of the following: To raise the domain functional level to Windows 2000 native, click Windows 2000 native, and then click Raise. To raise domain functional level to Windows Server 2003, click Windows Server 2003, and then click Raise. Tạo group Thêm thành viên DSADD group Dùng tạo tài khoản group mới Cú pháp dsadd group dn switches switche gồm -secgrp,-scope, -memberof, -member -scope g Global group -scope L Domain Local group -secgrp yes Security group (not distribution) dsadd group "cn=L Epson, ou=guyds, dc=cp, dc=com" -secgrp yes -scope L DSMOD group Sửa đổi các thông tin liên quan đến nhóm Cú pháp dsmod group DN -switches switches: -desc,-rmmbr,-addmbr dsmod group "CN=US INFO,OU=Distribution Lists,DC=microsoft,DC=com" -addmbr "CN=John Smith,CN=Users,DC=microsoft,DC=com" Dsqrery group Truy vấn các thông tin liên quan đến nhóm Cú pháp dsquery group query Hỗ trợ ký tự đại diện (*) Có thể điều hướng cho các công cụ dòng lệnh khác Chuyển đổi các kiểu group Có thể thay đổi group từ kiểu security thành group kiểu distribution hoặc ngược lại Kiểu của group có thể thay đổi nếu mức chức năng domain là windows 2000 native hay cao hơn Chuyển đổi phạm vi group Phạm vi group có thể thay đổi được Mực chức năng của domain ít nhất phải là window 2000 native Các thay đổi hỗ trợ Global -> Universal Domain Local -> Universal Universal -> Global Universal -> Domain Local Sử dụng Nhóm Để sử dụng nhóm cách hiệu quả thì cần phải có cách tổ chức nhóm một cách hợp lý Nên có một hoạch định trước khi bắt tay vào tạo nhóm Kế hoạch cho Global và Local group Nhóm toàn cục(Global) và cục bộ miền(domain local) được liệt kê trong Global catalog, nhưng thành viên của nó thì không bằng cách sử dụng nhóm toàn cục hay nhóm cục bộ có thể tối ưu được hiệu năng mạng Một số hướng dẫn Gán người dùng làm các công việc chung vào nhóm toàn cục Trong phòng kế toàn thì thêm tài khoản người dung chung cho tất cả kế toán vào nhóm global Quản lý các security group Chiến lược quản lý có thể tóm tắt bằng các từ A G U DL P Tạo các user Account(A) và tổ chức chúng bên trong các Global group Tùy chọn: Tạo Universal group(U) và đặt các global group từ bất kỳ domain nào trong các universal group tạo các Domain Local Group (DL) và thêm các group global và universal Gán quyền Permission(P) cho các domain local group Một số chính sách khác Đặt tài khoản người dùng vào domain local group và cấp quyền cho domain local group Cách này không cho phép bạn cấp quyền cho tái nguyên ngoài miềm Đặt tải khoản người dùng vào global group, và gán quyền cho global group Cách này sẽ phức tạp khi dùng nhiều domain Xác định thành viên nhóm Tác vụ quan trọng với các Administrator để chắc chắn rằng các user là thành viên của đúng group 1 cách là thông qua member of tab của trang đặc tính của một tài khoản user chỉ hiển thị mức đầu tiên của các group Cách thứ 2 là dùng dsget (tt) cú pháp dsget group distinguished name switches swiches gồm:-members, -member of cũng có thể dùng dsget user để lấy thông tin thành viên Ví dụ Dsget group “cn=g1,ou=test,dc=ntu,dc=vn” -members The Members and Member Of Properties Group or Team Global Group Domain Local Group Tom, Jo, and Kim Denver Admins Denver OU Admins Members Member Of N/A Denver Admins Members Memb ersJo, Tom, Kim Tom, Jo, Kim Sam, Scott, and Amy Members N/A Member Of Vancouver Admins Member Of Member Of Denver OU Admins OU Denver Admins Vancouver Admins Members Member Of Sam, Scott, Amy Denver OU Admins Members Member Of Denver Admins, Vancouver Admins N/A Đăng nhập vào domain Hộp thoại logon domain Tổng kết(user) Một tài khoản user là một đối tượng được lưu trữ trong AD Định nghĩa user và quyền truy cập vào mạng Công cụ quản lý Active Directory User And Computer DSADD, DSMOD, DSQUERY... Các user profile dùng để cấu hình và tùy biến môi trường làm việc local, roaming, mandatary tt(group) Các tài khoản group giảm khối lượng công việc quản trị bằng cách cho phép gán quyền chung cho nhiều user đồng thời 2 kiểu group Security group, Distribution group 3 kiểu phạm vi Global group Domain local group Universal group Các built-in group, user được tạo tự động khi cài đặt với một số quyền thiết lập trước [...]... khoản Groups trong workgroup Không là thành viên của group khác Thành viên chỉ là users cục bộ Chỉ được truy xuất tài nguyên trên máy tạo ra Quản trị groups Built-in local group Administrators :Quản trị toàn hệ thống Users:Tài khoản người dùng Backup Operations: Sao lưu và phục hồi dữ liệu Guests: Truy xuất tài nguyên tạm thời Power Users: Tạo, hiệu chỉnh User Quản trị groups Quản trị groups... computer Quản lý Users và Groups Trong Domain Tài khoản Users và Groups tạo ra nhằm cho phép truy xuất tài nguyên trong Domain Tài khoản users trong domain Tài khoản chính là tên logon vào domain(logon name) và truy xuất tài nguyên User Principal Name(UPN) Security Principal Name(SPN), Suffix DNS @ Symbol Ví dụ: tannv@x.hcmut.edu.vn Các đặc tính tài khoản User Công cụ chính để tạo và quản. .. thực Trong 1 workgroup SAM cục bộ chứng thực Tạo tài khoản người dùng cho domain user Thiết lập password Thiết lập Home Directory cho Domain User Để quản trị dữ liệu của User một cách tập trung Thực hiện Tạo home directory trên máy server cho từng user Chia sẻ và thiết lập quyền trên home directory ứng với mỗi user riêng Thiết lập đường dẫn chỉ đến home directory cho mỗi user trên server... Local Profiles Các profile mới được tạo từ thư mục Default User profile User có thể thay đổi local profile và những thay đổi được lưu giữ lại chỉ cho user đó Administrator có thể quản lý nhiều phần tử của profile Change Type Delete Copy To Roaming Profiles Roaming profiles Cho phép profile lưu trên 1 server trung tâm và đi theo user Hỗ trợ thuận lợi cho việc định vị tập trung (có ích... directory cho mỗi user trên server Thiết lập profile User Profiles Một tập hợp các thiết lập đặc trưng cho một user Theo mặc nhiên được lưu giữ cục bộ Không đi theo user đăng nhập trên các máy tính khác Có thể tạo 1 roaming profile Đi theo user đăng nhập trên các máy tính khác Administrator có thể tạo 1 mandatory profile User không thể thay đổi nó User Profile Folders and Contents Local Profiles... tạo và quản trị tài khoản là Active Directory Users and Computers Active Directory dễ mở rộng nên có thể có các tab được thêm vào các trang đặc tính (property page) Các đặc tính quan trọng có thể thiết lập gồm: General Address Account Profile Chứng thực User Tiến trình nhận dạng một user hợp pháp Dùng để chấp nhận hoặc từ chối quyền truy cập vào tài nguyên mạng Từ 1 hệ điều hành client... bảo vệ Truy cập vào tài nguyên của mạng Tùy chọn cho tài khoản Tùy chọn tài khoản User must change password at next logon User cannot change password Password never expires Account is disabled Đặc tả Người dùng phải thay đổi password lần tiếp theo họ đăng nhập Người dùng không có quyền thay đổi password của họ Password người dùng không bao giờ hết hạn Người dùng không thể đăng nhập vào với account... (có ích với thao tác backup) Thay đổi 1 profile từ local roaming nên cẩn thận sao lưu trước Các User Template Một tài khoản user được cấu hình sẵn với các thiết lập phổ biến Có thể được sao chép để tạo các tài khoản mới Các tài khoản mới sau đó sẽ được cấu hình với các thiết lập riêng Kích hoạt và ẩn một tài khoản Khóa tài khoản Ngưỡng khóa tài khoản Số lần đăng nhập lỗi Ngăn cản hacker có... hết hạn Người dùng không thể đăng nhập vào với account này Thiết lập lại password cho người dùng Khi người dùng quên mật khẩu Thiết lập lại account Máy tính không thể truy cập vào miền Password cần được đồng bộ Tìm kiếm user, account ...Mục đích Quản trị Users Groups Workgroup Quản trị Users Groups Domain Quản trị Users, Groups Workgroup Khái niệm Users Groups Quản trị Users Quản trị Groups Khái niệm Users User Accounts:Tài... Khóa tài khoản Groups workgroup Không thành viên group khác Thành viên users cục Chỉ truy xuất tài nguyên máy tạo Quản trị groups Built-in local group Administrators :Quản trị... logon vao local computer Quản lý Users Groups Trong Domain Tài khoản Users Groups tạo nhằm cho phép truy xuất tài nguyên Domain Tài khoản users domain Tài khoản tên logon vào domain(logon name)