Quản lý USER và GROUP

Quản lý USER và GROUP

Ngô Văn Công

QUẢN LÝ USER VÀ GROUP

Mục đích

 Quản trị Users và Groups trong Workgroup

 Quản trị Users và Groups trong Domain

Quản trị Users, Groups trong

Workgroup

 Khái niệm Users và Groups

 Quản trị Users

 Quản trị Groups

Khái niệm Users

 User Accounts:Tài khoản người dùng

 Cho phép user logon trên mạng hay máy

tính cục bộ

 Cho phép truy suất tài nguyên mạng hay

cục bộ

 User name và password

 Quy ước đặt tên:20 ký tự hoa hoặc thường,

kt số

 Password:8-128 ký tự

User có sẵn(Built in user)

Group Account

Group Account

 Tập hợp những tài khoản người dùng(User), giúp

phân quyền truy xuất tài nguyên cho nhiều users cùng lúc

 User có thể là thành viên của nhiều groups

Tạo Account

 Hiệu chỉnh User

Xóa tài khoản

Xóa tài khoản

Khóa tài khoản

Groups trong workgroup

 Không là thành viên của group khác

 Thành viên chỉ là users cục bộ

 Chỉ được truy xuất tài nguyên trên máy tạo ra

Quản trị groups

Đăng nhập máy cục bộ

Hộp thoại logon vao local

computer

Quản lý Users và Groups

Trong Domain

 Tài khoản Users và Groups tạo ra nhằm

cho phép truy xuất tài nguyên trong

Domain.

Tài khoản users trong domain

 Tài khoản chính là tên logon vào domain(logon

name) và truy xuất tài nguyên

name) và truy xuất tài nguyên

 User Principal Name(UPN)

 Security Principal Name(SPN), Suffix DNS

 @ Symbol

 Ví dụ: tannv@x.hcmut.edu.vn

Các đặc tính tài khoản User

 Công cụ chính để tạo và quản trị tài khoản là

Active Directory Users and Computers

 Active Directory dễ mở rộng nên có thể có

các tab được thêm vào các trang đặc tính

Chứng thực User

 Tiến trình nhận dạng một user hợp pháp

 Dùng để chấp nhận hoặc từ chối quyền

truy cập vào tài nguyên mạng

 Từ 1 hệ điều hành client

 Tên, mật khẩu, tài nguyên y/c

 Trong môi trường Active Directory

 Domain controller chứng thực

 Trong 1 workgroup

 SAM cục bộ chứng thực

Tạo tài khoản người dùng cho

domain user

domain user

Thiết lập password

Thiết lập Home Directory cho

Domain User

 Để quản trị dữ liệu của

User một cách tập trung

 Thực hiện

 Tạo home directory trên

máy server cho từng user

 Chia sẻ và thiết lập quyền

trên home directory ứng với mỗi user riêng

 Thiết lập đường dẫn chỉ

đến home directory cho mỗi user trên server

Thiết lập profile

User Profiles

 Một tập hợp các thiết lập đặc trưng cho

một user

 Theo mặc nhiên được lưu giữ cục bộ

 Không đi theo user đăng nhập trên các máy

tính khác

 Có thể tạo 1 roaming profile

 Đi theo user đăng nhập trên các máy tính

User Profile Folders and Contents

Local Profiles

 Các profile mới được tạo từ thư mục

Default User profile

 User có thể thay đổi local profile và

những thay đổi được lưu giữ lại chỉ cho user đó

 Administrator có thể quản lý nhiều

phần tử của profile

 Change Type

 Delete

Roaming Profiles

 Roaming profiles

 Cho phép profile lưu trên 1 server trung

tâm và đi theo user

 Hỗ trợ thuận lợi cho việc định vị tập trung

(có ích với thao tác backup)

 Thay đổi 1 profile từ local  roaming

nên cẩn thận sao lưu trước

Các User Template

 Một tài khoản user được cấu hình sẵn

với các thiết lập phổ biến

 Có thể được sao chép để tạo các tài

khoản mới

 Các tài khoản mới sau đó sẽ được cấu

hình với các thiết lập riêng

Kích hoạt và ẩn một tài khoản

Khóa tài khoản

Ngưỡng khóa tài khoản

Tùy chọn cho tài khoản

Người dùng không thể đăng nhập vào với account này

Thiết lập lại password cho

người dùng

 Khi người dùng quên mật khẩu

Thiết lập lại account

 Máy tính không thể truy cập vào miền

 Password cần được đồng bộ

Tìm kiếm user, account

Các ứng dụng dòng lệnh

 Một số administrator thích làm việc với

dòng lệnh

 có thể được dùng để tự động tạo hoặc

quản lý các tài khoản rất linh hoạt

 Cú pháp cho tài khoản user là

 DSADD USER <tên phân biệt> <các khóa

 Ví dụ: đổi password của user guyt

dsmod user "cn=guyt, ou=guyds, dc=cp, dc=com" -pwd a1yC24kg

 Cho phép các kiểu đối tượng được truy

vấn từ dòng lệnh

 Hỗ trợ dùng ký tự đại diện Hỗ trợ dùng ký tự đại diện

 Kết xuất có thể điều hướng lại cho lệnh

khác

 Ví dụ: Trà về tài khoản có tên cuong

 DSQUERY USER -name cuong

 Cho phép các đối tượng được di chiển từ

vị trí hiện hành sang nơi khác

 Cho phép nhiều kiểu đối tượng khác nhau

được đổi tên

 Chỉ cho phép di chuyển trong cùng một

“ou=marketing,dc=test,dc=com"

Sự cố với tài khoản user và

Sự cố với tài khoản user và

các vấn đề chứng thực

 Bình thường tạo và cấu hình tài khoản

rất dễ dàng

 Các vấn đề nếu có thường liên quan

 Cấu hình tài khoản

 Các thiết lập chính sách

Chính sách mật khẩu

 Các thiết lập cấu hình

 Lịch sử và việc sử dụng lại mật khẩu

 Thời gian tồn tại tối đa

 Thời gian tồn tại tối thiểu

 Độ dài tối thiểu

 Yêu cầu độ phức tạp

 Chính sách mã hóa

Chính sách kiểm toán

 Kiểm toán sử kiện tài khoản đăng nhập

 Cấu hình trong đối tượng group policy liên

 Có ích cho việc giải quyết sự cố

 Các mã cung cấp thông tin về kiểu lỗi

Giải quyết các sự cố đăng

nhập

 Một số vấn đề và cách sửa

 Tên user hoặc mật khẩu sai

 Tài khoản bị khóa

 Tại khoản bị cấm

 Các giới hạn giờ đăng nhập

 Các giới hạn trạm làm việc

 Domain Controller

Tài khoản domain group

 Group là tập hợp nhiều tài khoản user giúp phân Group là tập hợp nhiều tài khoản user giúp phân

quyền truy xuất tài nguyên cho nhiều user

Tài khoản domain group

 User có thể là thành viên của nhiều group và group

cũng có thể là thành viên của nhiều group khác

Local group

Local group

 Tập hợp tài khoản trên 1 máy tính

 Sử dùng local group để phân quyền cho tài

nguyên trên máy tính cục bộ

 Hướng dẫn sử dụng local group

 Nên sử dụng local group trên máy mà mình tạo

 Sử dụng local group trên các máy chạy window XP

hay là máy chủ thanh viên chạy window server

2003 Local group không thể tạo trên máy quản lý miền.

 Sử dụng local group cho máy không thuộc domain

 Thành viên local group chỉ có thể là user của máy

tính mà bạn tạo local group.

Tài khoản domain group

 Tất cả group trong domain phải được tạo trên DC

 Thành viên là những group hay là users trong các

domains

Kiểu group trong domain

 Group bảo mật(Security

 Thành viên chỉ là

những user hay group từ domain được nó tạo

 Thành viên là bất cứ

domain nào trong forest

 Thành viên là user,

group bất kỳ domain nào trong forest

Default Group

 Có 3 danh mục nhóm mặc định

 Nhóm trong mục Built-in

 Domain Local Group

 Thường gán tập quyền co sẵn cho người dùng phục vụ

mục đích quản trị

 Administrators: Thành viên nhóm này có toàn quyền truy Administrators: Thành viên nhóm này có toàn quyền truy

cập máy tính, DC, và có thể toàn quyền truy cập vào domain nếu là thành viên cua Domain Admin Group

 Nhóm trong thư mục users

 Thường dùng gán quyền cho người chịu trách nhiệm Thường dùng gán quyền cho người chịu trách nhiệm

quản lý miền.

 Built-in local group

 Các máy server thành viên, máy window XP đều có mục

này

 Cung cấp quyền quản lý trên máy cục bộ

Tạo các đối tượng group

 Các đối tượng group lưu trữ trong csdl

AD

 Nhiều công cụ khác nhau có thể dùng để

tạo và quản lý group

 Active Directory User and Computer

 DSADD, DSMOD, DSQUERY….

Active Directory User and

Computer

 Công cụ chính

 Tạo các tài khoản group

 Có thể dùng để cấu hình các thuộc tính của

các tài khoản group

 Các group có thể tạo trong bất kỳ container

có sẵn nào, tại gốc của đối tượng domain hay trong các OU tùy ý

 Phạm vi của group được xác định bằng

chức năng của domain được cấu hình như thế nào

Chức năng domain(Domain

Functional Level)

(tt)

Nâng cấp chức năng miền

 In the console tree, right-click the

domain for which you want to raise

functionality, and then click Raise

Domain Functional Level

 In Select an available domain functional

level, do one of the following:

 To raise the domain functional level to

Windows 2000 native, click Windows 2000 native, and then click Raise

 To raise domain functional level to Windows

Server 2003, click Windows Server 2003, and then click Raise

Tạo group

Thêm thành viên

DSADD group

 Dùng tạo tài khoản group mới

 Cú pháp

 dsadd group dn switches

 switche gồm -secgrp,-scope, -memberof,

-member

 -scope g        Global group

 -scope L        Domain Local group

 -secgrp yes    Security group (not

distribution)

dsadd group "cn=L Epson, ou=guyds, dc=cp, dc=com" -secgrp yes -scope L

Chuyển đổi các kiểu group

 Có thể thay đổi group từ kiểu security

thành group kiểu distribution hoặc

ngược lại

 Kiểu của group có thể thay đổi nếu mức

chức năng domain là windows 2000

native hay cao hơn

Chuyển đổi phạm vi group

 Phạm vi group có thể thay đổi được

 Mực chức năng của domain ít nhất phải

Kế hoạch cho Global và Local

group

 Nhóm toàn cục(Global) và cục bộ

miền(domain local) được liệt kê trong

Global catalog, nhưng thành viên của nó thì không

 Trong phòng kế toàn thì thêm tài khoản người

dung chung cho tất cả kế toán vào nhóm global

Quản lý các security group

 Chiến lược quản lý có thể tóm tắt bằng

các từ A G U DL P

 Tạo các user Account(A) và tổ chức chúng

bên trong các Global group

 Tùy chọn: Tạo Universal group(U) và đặt các

global group từ bất kỳ domain nào trong các universal group

 tạo các Domain Local Group (DL) và thêm

các group global và universal

 Gán quyền Permission(P) cho các domain

local group

Một số chính sách khác

 Đặt tài khoản người dùng vào domain

local group và cấp quyền cho domain local group

 Cách này không cho phép bạn cấp quyền

cho tái nguyên ngoài miềm

 Đặt tải khoản người dùng vào global

group, và gán quyền cho global group

 Cách này sẽ phức tạp khi dùng nhiều

domain

Xác định thành viên nhóm

 Tác vụ quan trọng với các Administrator

để chắc chắn rằng các user là thành viên của đúng group

 1 cách là thông qua member of tab của

trang đặc tính của một tài khoản user

 chỉ hiển thị mức đầu tiên của các group

 Cách thứ 2 là dùng dsget

 cú pháp

 dsget group distinguished name switches

 swiches gồm:-members, -member of

 cũng có thể dùng dsget user để lấy

thông tin thành viên

 Ví dụ

 Dsget group “cn=g1,ou=test,dc=ntu,dc=vn”

-members

The Members and Member Of

Properties

Group or Team Global Group Domain Local Group

Denver Admins N/A

Member Of Members

Tom, Jo, and Kim

Vancouver Admins N/A

Member Of Members

Sam, Scott, and Amy

Denver OU Admins

Tom,

Jo, Kim

Member Of

Memb ers

Denver Admins

Denver OU Admins

Tom, Jo, Kim

Member Of Members

Denver Admins

Denver OU Admins

Sam, Scott, Amy

Member Of Members

Vancouver Admins

Denver OU Admins

N/A

Denver Admins, Vancouver Admins

Member Of

Members

Đăng nhập vào domain

Hộp thoại logon domain

Tổng kết(user)

 Một tài khoản user là một đối tượng

được lưu trữ trong AD

 Định nghĩa user và quyền truy cập vào

mạng

 Công cụ quản lý

 Active Directory User And Computer

 DSADD, DSMOD, DSQUERY

 Các user profile dùng để cấu hình và tùy Các user profile dùng để cấu hình và tùy

biến môi trường làm việc

 local, roaming, mandatary

 Các tài khoản group giảm khối lượng công

việc quản trị bằng cách cho phép gán quyền chung cho nhiều user đồng thời

 Các built-in group, user được tạo tự động khi

cài đặt với một số quyền thiết lập trước