Đang tải... (xem toàn văn)
Bài giảng chương 4 trang bị cho người học những hiểu biết về cách hiện thực và quản lý các tài khoản group và computer. Mục đích của chương này nhằm giúp người học: Hiểu mục đích của việc dùng các tài khoản group là để đơn giản hóa việc quản trị, tạo các đối tượng group dùng công cụ giao diện đồ họa cũng như dòng lệnh, quản lý các group security và các group distribution,... Mời các bạn cùng tham khảo.
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 4: Hiện thực quản lý tài khoản Group Computer Mục tiêu • Hiểu mục đích việc dùng tài khoản group để đơn giản hóa việc quản trị • Tạo đối tượng group dùng công cụ giao diện đồ họa dịng lệnh • Quản lý group security group distribution • Ý nghĩa group xây dựng sẵn tạo cài đặt AD • Quản lý tạo tài khoản computer 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Giới thiệu tài khoản Group • Một group đối tượng container • Dùng để tổ chức tập hợp user, computer, contacts, group khác • Dùng để đơn giản hóa việc quản trị • Giống OU, ngoại trừ: • Các OU khơng có ngun lý bảo mật, group có • Các OU chứa đối tượng từ domain cha chúng, group chứa đối tượng từ forest 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Các kiểu Group • Các group security • Định nghĩa Security Identifier (SID) • Có thể gán quyền cho tài ngun • Trong DACL • Có thể gán quyền để thực nhiệm vụ khác • Có thể dùng thực thể email • Các group distribution • Chủ yếu dùng thực thể email • Khơng có SID liên kết 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Các phạm vi Group • Phạm vi ý nói tới ranh giới lơgíc quyền đ/v tài nguyên đặc biệt • Cả group security group distribution có phạm vi • phạm vi • Các đối tượng phạm vi phụ thuộc mức chức cấu hình domain • Các kiểu phạm vi là: global, domain local universal 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Các phạm vi Group (tt) • mức chức domain: • Windows 2000 mixed: cấu hình mặc định hỗ trợ kết hợp DC Windows NT Server 4.0, 2000 Server Server 2003 • Windows 2000 native: hỗ trợ kết hợp DC Windows 2000 Server Server 2003 • Windows Server 2003: hỗ trợ DC Windows Server 2003 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Các Global Group • Tổ chức group user, computer, group domain • Thường thể vị trí địa lý group chức cơng tác • Các kiểu đối tượng group liên quan tới mức chức cấu hình domain • Phụ thuộc vào kiểu DC môi trường 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Các Domain Local Group • Được tạo DC • Có thể gán quyền cho tài nguyên domain • Có thể chứa group từ domain khác • Xác định đối tượng cho phép group liên hệ đến mức chức cấu hình domain 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Các Universal Group • Điển hình tạo cho user hay group domain khác • Lưu DC cấu global catalog server • Có thể gán quyền cho tài nguyên forest • Chỉ tạo mức chức domain Windows 2000 native / Windows Server 2003 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Các Universal Group (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 10 DSRM • Dùng để xóa kiểu đối tượng khác từ dịng lệnh • Cú pháp cho group • dsrm group distinguished-name switches • Switches gồm: -noprompt • Xem thêm Help and Support Center 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 36 Quản lý Security Group • Chiến lược quản lý tóm tắt từ A G U DL P: Tạo user Account (A) tổ chức chúng bên Global group (G) Tùy chọn: Tạo Universal groups (U) đặt global groups từ domain universal group Tạo Domain Local group (DL) thêm group global universal Gán quyền Permissions (P) cho domain local group 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 37 Xác định thành viên Group • Tác vụ quan trọng với administrator để chắn user thành viên group • cách thơng qua Member Of tab trang đặc tính tài khoản user • Chỉ hiển thị mức group • Cách thứ dùng DSGET 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 38 Xác định thành viên Group (tt) • Cú pháp: • dsget group distinguished-name switches • Switches gồm: -members, -memberof • Cũng dùng dsget user để lấy thông tin thành viên • Xuất liệu lưu vào file: • dsget group distinguished-name switches >> filename 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 39 Các Group có sẵn • Khi Windows Server 2003 Active Directory cài đặt • Các group có sẵn cài tự động • Các quyền gán trước • Lưu Builtin container Users container • Nên dùng group có sẵn • Dễ dàng thực quyền bảo mật 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 40 Builtin Container • Chứa số lượng tài khoản local group • Cấp phát quyền user khác dựa sách quản trị chung tác vụ liên quan mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 41 Builtin Container (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 42 Users Container • Chứa số lượng tài khoản domain local global group • Một số group thấy root domain Active Directory forest domain riêng lẻ 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 43 Users Container (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 44 Tạo quản lý tài khoản Computer • Các tài khoản Computer cần thiết Windows NT 4.0, 2000, XP, Server 2003 • Có thể tạo q trình cài đặt hay sau • Các cơng cụ tạo quản lý: • Active Directory Users and Computers • System applet Control Panel • Các ứng dụng dòng lệnh 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 45 Thực tập 4-8: Tạo quản lý tài khoản Computer • Mục tiêu: Dùng Active Directory Users and Computers để tạo quản lý tài khoản Computer • Theo dẫn để tạo tài khoản computer từ Active Directory Users and Computers • Cấu hình xem lại tài khoản 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 46 Thực tập 4-8 (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 47 Thiết lập lại tài khoản Computer • Bảo mật channel • Dùng computer domain thành viên để truyền thơng với DC • Dùng mật thay đổi 30 ngày • Tự động đồng DC workstation • Những vấn đề đồng hóa xuất • Administrator phải reset lại tài khoản computer • Dùng Active Directory Users and Computers Netdom.exe từ Windows Support Tools 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 48 Tổng kết • Các tài khoản group giảm khối lượng công việc quản trị cách cho phép gán quyền chung cho nhiều user đồng thời • kiểu group: • Security group • Distribution group • kiểu phạm vi cho group • Global group • Domain local group • Universal group 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 49 Tổng kết (tt) • Các tài khoản group computer tạo quản lý • Từ Active Directory Users and Computers • Từ ứng dụng dịng lệnh • Các group Builtin User container tạo tự động cài đặt với số quyền thiết lập trước • Windows NT 4.0, 2000, XP Server 2003 y/c tài khoản computer Active Directory 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 50 ... Thực tập 4- 4 (tt) 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 23 Thực tập 4- 4 (tt) 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 24 Chuyển... domain riêng lẻ 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 43 Users Container (tt) 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 44 ... Windows Server 2003 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Các Universal Group (tt) 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment