QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG, NHÓM QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG, NHÓM Mục tiêu :   Cung cấp kiến thức tài khoản người dùng, nhóm, thuộc tính tài khoản người dùng, nhóm tạo sẵn Nội dung :      Định nghĩa tài khoản người dùng, tài khoản nhóm Chứng thực kiểm soát truy cập Các tài khoản tạo sẵn Quản lý tài khoản người dùng nhóm cục Quản lý tài khoản người dùng nhóm AD ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản người dùng (user account)  Là đối tượng đại diện cho người dùng mạng, chúng phân biệt với thông qua chuỗi nhận dạng username  Giúp hệ thống mạng phân biệt người người khác mạng  Từ người dùng đăng nhập vào mạng truy cập tài nguyên mạng mà phép ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản người dùng cục (local user account)   Là tài khoản người dùng định nghĩa máy cục phép logon, truy cập tài nguyên máy tính cục Nếu muốn truy cập tài nguyên mạng người dùng phải chứng thực lại với máy domain controller máy tính chứa tài nguyên chia sẻ ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản người dùng cục (local user account) ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản người dùng miền (domain user account)    Là tài khoản người dùng định nghĩa Active Directory phép đăng nhập (logon) vào mạng máy trạm thuộc vùng Đồng thời với tài khoản người dùng truy cập đến tài nguyên mạng Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không chứa tập tin sở liệu SAM mà chứa tập tin NTDS.DIT ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản người dùng miền (domain user account) ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM Yêu cầu tài khoản người dùng:     Mỗi username phải từ đến 20 ký tự (Windows Server 2003 tên đăng nhập dài đến 104 ký tự) Mỗi username chuỗi người dùng có nghĩa tất tên người dùng nhóm không trùng Username không chứa ký tự sau: “ / \ [ ] : ; | = , + * ? Trong username chứa ký tự đặc biệt bao gồm: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản nhóm (group account)     Là đối tượng đại diện cho nhóm người đó, dùng cho việc quản lý chung đối tượng người dùng Việc phân bổ người dùng vào nhóm giúp dễ dàng cấp quyền tài nguyên mạng thư mục chia sẻ, máy in Tài khoản người dùng đăng nhập vào mạng tài khoản nhóm không phép đăng nhập mà dùng để quản lý Tài khoản nhóm chia làm hai loại: nhóm bảo mật (security group) nhóm phân phối (distribution group) ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản nhóm (group account)  Nhóm bảo mật :  Nhóm bảo mật loại nhóm dùng để cấp phát quyền hệ thống (rights) quyền truy cập (permission)   Giống tài khoản người dùng, nhóm bảo mật định SID Có ba loại nhóm bảo mật là: local, global universal Tuy nhiên khảo sát kỹ phân thành bốn loại sau: local, domain local, global universal CHỨNG THỰC VÀ KIỂM SOÁT TRUY CẬP  Kiểm soát hoạt động truy cập đối tượng :  AD dịch vụ hoạt động dựa đối tượng  Người dùng, nhóm, máy tính, tài nguyên mạng định nghĩa dạng đối tượng kiểm soát hoạt động truy cập dựa vào mô tả bảo mật ACE (Access Control Entry)  Chức mô tả bảo mật bao gồm:  Liệt kê người dùng nhóm cấp quyền truy cập đối tượng  Định rõ quyền truy cập cho người dùng nhóm Theo dõi kiện xảy đối tượng  Định rõ quyền sở hữu đối tượng CHỨNG THỰC VÀ KIỂM SOÁT TRUY CẬP  Kiểm soát hoạt động truy cập đối tượng :  Các thông tin đối tượng Active Directory mô tả bảo mật xem mục kiểm soát hoạt động truy cập ACE  Một ACL (Access Control List) chứa nhiều ACE, danh sách tất người dùng nhóm có quyền truy cập đến đối tượng  ACL có đặc tính kế thừa, có nghĩa thành viên nhóm thừa hưởng quyền truy cập cấp cho nhóm CÁC TÀI KHOẢN TẠO SẴN  Tài khoản người dùng tạo sẵn :  Tài khoản người dùng tạo sẵn (Built-in) tài khoản người dùng mà ta cài đặt Windows Server 2003 mặc định tạo  Tài khoản hệ thống nên quyền xóa có quyền đổi tên (chú ý thao tác đổi tên tài khoản hệ thống phức tạp chút so với việc đổi tên tài khoản bình thường nhà quản trị tạo ra)  Tất tài khoản người dùng tạo sẵn nằng Container Users công cụ Active Directory User and Computer CÁC TÀI KHOẢN TẠO SẴN  Các nhóm tạo sẵn đặc biệt :   Ngoài nhóm tạo sẵn trình bày trên, hệ thống Windows Server 2003 có số nhóm tạo sẵn đặt biệt Chúng không xuất cửa sổ công cụ Active Directory User and Computer, mà chúng xuất ACL tài nguyên đối tượng CÁC TÀI KHOẢN TẠO SẴN  Các nhóm tạo sẵn đặc biệt :  Ý nghĩa nhóm đặc biệt là:  Interactive: đại diện cho người dùng sử dụng máy chỗ  Network: đại diện cho tất người dùng nối kết mạng đến máy tính khác  Everyone: đại diện cho tất người dùng  System: đại diện cho hệ điều hành  Creator owner: đại diện cho người tạo ra, người sở hữa tài nguyên như: thư mục, tập tin, tác vụ in ấn (print job),… CÁC TÀI KHOẢN TẠO SẴN  Các nhóm tạo sẵn đặc biệt :  Ý nghĩa nhóm đặc biệt :  Authenticated users : đại diện cho người dùng hệ thống xác thực, nhóm dùng giải pháp thay an toàn cho nhóm everyone  Anonymous logon : đại diện cho người dùng đăng nhập vào hệ thống cách nặc danh, chẳng hạn người sử dụng dịch vụ FTP  Service : đại diện cho tài khoản mà đăng nhập với tư cách dịch vụ  Dialup: đại diện cho người truy cập hệ thống thông qua Dial-up Networking Quản lý tài khoản người dùng nhóm cục  Công cụ quản lý :    Ta dùng công cụ Local Users and Groups Với công cụ ta tạo, xóa, sửa tài khoản người dùng thay đổi mật Có phưong thức truy cập đến Local Users and Groups :  Dùng MMC (Microsoft Management Console) snap-in  Dùng thông qua công cụ Computer Management Quản lý tài khoản người dùng nhóm cục  Các bước để chèn Local Users and Groups vào MMC :         Chọn Start Run | MMC | Enter Chọn Console|Add/Remove Snap-in để mở hộp thoại Click chuột vào nút Add để mở hộp thoại Add Standalone Snap-in Chọn Local Users and Groups ấn vào nút Add Hộp thoại Choose Target Machine xuất hiện|Local Computer|Finish Nhấp chuột vào Close để trở lại Add/Remove Snap-in Click OK để thấy Local Users and Groups chèn vào MMC Chọn Console| Save để lưu Sau nhập đường dẫn tên file để lưu trữ Quản lý tài khoản người dùng nhóm cục  Dùng thông qua công cụ Computer Management :  Right Click My Computer|Manage|và mở cửa sổ Computer Management  Trong mục System Tool, ta thấy mục Local Users and Groups Quản lý tài khoản người dùng nhóm cục  Các thao tác tài khoản người dùng cục bộ:  Tạo tài khoản :  Trong công cụ Local Users and Groups, click chuột phải vào Users|New Users  Nhập thông tin cần thiết vào  Xóa tài khoản :  Trong công cụ Local Users and Groups, chọn tài khoản người dùng cần xóa, click chuột phải chọn Delete vào thực đơn Action Delete Quản lý tài khoản người dùng nhóm cục  Các thao tác tài khoản người dùng cục bộ:  Khóa tài khoản :  Sau thời gian dài không sử dụng nhằm đảm bảo tính bảo mật an toàn hệ thống  Trong công cụ Local Users and Groups, nhấp đôi chuột vào tài khoản người dùng cần khóa  Hộp thoại Properties tài khoản xuất  Trong Tab General, chọn mục Account is disabled Quản lý tài khoản người dùng nhóm cục  Các thao tác tài khoản người dùng cục bộ:  Đổi tên tài khoản :  Ta đổi tên tài khoản người dùng nào, điều chỉnh thông tin người dùng thông qua chức  Chức thay đổi tên SID không thay đổi Quản lý tài khoản người dùng nhóm cục  Các thao tác tài khoản người dùng cục bộ:  Thay đổi mật :  Trong công cụ Local Users and Groups, nhấp đôi chuột vào tài khoản người dùng cần thay đổi mật  Right Click chon Reset password Quản lý tài khoản người dùng nhóm AD   Tạo tài khoản người dùng Các thuộc tính tài khoản người dùng        Các thông tin mở rộng người dùng Tab Account : cho phép khai báo lại username, qui định login, qui định sách tài khoản người dùng,… Tab Profile : Khai báo đường dẫn đến Profile tài khoản người dùng tại, khai báo tệp tin logon script tự động thi hành người dùng đăng nhập hay khai báo home folder Tab Member Off : Xem cấu hình tài khoản người dùng thành viên nhóm Tab Dial-in : Cấu hình quyền truy cập từ xa Tạo tài khoản nhóm Các tiện ích dòng lệnh    Lệnh Net user Lệnh net group Lệnh net localgroup KẾT THÚC BÀI HỌC [...]... NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản nhóm (group account)  Qui tắc gia nhập nhóm : ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản nhóm (group account)  Qui tắc gia nhập nhóm :  Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong nhóm Machine Local  Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong chính loại nhóm của mình  Nhóm. .. không thay đổi Quản lý tài khoản người dùng và nhóm cục bộ  Các thao tác cơ bản trên tài khoản người dùng cục bộ:  Thay đổi mật khẩu :  Trong công cụ Local Users and Groups, nhấp đôi chuột vào tài khoản người dùng cần thay đổi mật khẩu  Right Click và chon Reset password Quản lý tài khoản người dùng và nhóm trên AD   Tạo mới tài khoản người dùng Các thuộc tính của tài khoản người dùng   ... Users and Groups, nhấp đôi chuột vào tài khoản người dùng cần khóa  Hộp thoại Properties của tài khoản xuất hiện  Trong Tab General, chọn mục Account is disabled Quản lý tài khoản người dùng và nhóm cục bộ  Các thao tác cơ bản trên tài khoản người dùng cục bộ:  Đổi tên tài khoản :  Ta có thể đổi tên bất kỳ tài khoản người dùng nào, hoặc có thể điều chỉnh thông tin người dùng thông qua chức năng này... danh sách tất cả người dùng và nhóm có quyền truy cập đến đối tượng  ACL có đặc tính kế thừa, có nghĩa là thành viên của một nhóm thì được thừa hưởng các quyền truy cập đã cấp cho nhóm này CÁC TÀI KHOẢN TẠO SẴN  Tài khoản người dùng tạo sẵn :  Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server 2003 thì mặc định được tạo ra  Tài khoản này là hệ... nhập đường dẫn và tên file để lưu trữ Quản lý tài khoản người dùng và nhóm cục bộ  Dùng thông qua công cụ Computer Management :  Right Click My Computer|Manage|và mở cửa sổ Computer Management  Trong mục System Tool, ta thấy mục Local Users and Groups Quản lý tài khoản người dùng và nhóm cục bộ  Các thao tác cơ bản trên tài khoản người dùng cục bộ:  Tạo tài khoản mới :  Trong công cụ Local Users... NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản nhóm (group account)  Nhóm bảo mật :  Universal group (nhóm phổ quát) là nhóm có chức năng giống như global group nhưng dùng để cấp quyền cho các đối tượng trên khắp các miền trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau  Nhóm này tiện lợi hơn nhóm global group và local group vì dễ dàng lồng các nhóm vào nhau  Loại nhóm. .. cái tên nhóm cục bộ miền ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản nhóm (group account)  Nhóm bảo mật :  Global group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong Active Directory và được tạo trên các Domain Controller   Dùng để cấp phát những quyền hệ thống và quyền truy cập vượt qua những ranh giới của một miền Một nhóm global có thể đặt vào trong một nhóm local...ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản nhóm (group account)  Nhóm bảo mật :  Local group (nhóm cục bộ) là loại nhóm có trên các máy Win2K Pro, WinXP, member server, Các nhóm này chỉ có ý nghĩa và phạm vi hoạt động ngay tại trên máy chứa nó thôi  Domain local group (nhóm cục bộ miền) là loại nhóm cục bộ đặc biệt vì chúng là local group nhưng... chuột phải vào Users|New Users  Nhập các thông tin cần thiết vào  Xóa tài khoản :  Trong công cụ Local Users and Groups, chọn tài khoản người dùng cần xóa, click chuột phải và chọn Delete hoặc vào thực đơn Action Delete Quản lý tài khoản người dùng và nhóm cục bộ  Các thao tác cơ bản trên tài khoản người dùng cục bộ:  Khóa tài khoản :  Sau một thời gian dài không sử dụng và nhằm đảm bảo tính bảo... 2000 Server ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG, TÀI KHOẢN NHÓM  Tài khoản nhóm (group account)  Nhóm phân phối :    Là một loại nhóm phi bảo mật, không có SID và không xuất hiện trong các ACL (Access Control List) Loại nhóm này không được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm và dịch vụ Chúng được dùng để phân phố e-mail hoặc các message Bạn sẽ gặp lại loại nhóm này khi làm việc