Đang tải... (xem toàn văn)
Phần II - QUẢN LÝ NGƯỜI DÙNG I. Account người dùng và nhóm trong Windows NT Một account người dùng bao gồm thông tin về một người dùng như: - Tên người dùng - Tên đầy đủ - Mật khẩu - Quyền trên hệ thống Để có thể nhập hệ thống Windows NT phải cần ít nhất một account. Một account gán cho một người dùng nhất định một tập các quyền, định nghĩa cách thức họ có thể sử dụng hệ thống. Một nhóm là một tên, tương tự với tên người dùng hoặc account người dùng, có...
Quản trị mạng WindowsNT (Phần ): Phần II - QUẢN LÝ NGƯỜI DÙNG I Account người dùng nhóm Windows NT Một account người dùng bao gồm thông tin người dùng như: - Tên người dùng - Tên đầy đủ - Mật - Quyền hệ thống Để nhập hệ thống Windows NT phải cần account Một account gán cho người dùng định tập quyền, định nghĩa cách thức họ sử dụng hệ thống Một nhóm tên, tương tự với tên người dùng account người dùng, sử dụng để tham chiếu tới nhiều người dùng Mục đích để làm thuận tiện việc cung cấp kiểm soát truy cập tới nhiều người dùng có nhiệm vụ tương tự Bằng cách đặt người dùng vào nhóm, bạn dễ dàng cung cấp cho người dùng nhóm khả hạn chế định Nếu bạn cần thay đổi quyền gán cho người dùng nhóm, bạn việc sửa đổi account - group account II Nhóm cục (local groups) Đối với Windows NT, kiểu nhóm tạo bảo trì - nhóm cục Một nhóm cục cung cấp quyền hệ thống Tuy nhiên, hệ thống lại phần domain nhóm cục chứa account người dùng từ domain domain tin cậy Không thể gán quyền truy nhập tài nguyên \\workstation_1 cho nhóm cục định nghĩa \\server_2 Trong domain, nhóm cục định nghĩa PDC chép tự động sang BDC liệu accounts nhân Nó xác định liệu tất domain controllers (bao gồm PDC, BDCs) domain Nhóm cục gán quyền tới tài nguyên domain contronllers domain Trong môi trường workgroup, thành viên nhóm cục gồm account người dùng từ liệu account máy tính Một nhóm cục Windows NT Workstation Windows NT Server gồm : - Các account người dùng máy tính cục - Các người dùng nhóm tổng thể (global group) domain máy tính cục - Các người dùng nhóm tổng thể từ domains thừa quyền (hay gọi "tin cậy"-trusted) domain cục Chú ý: Để dễ quản lý sử dụng nhiều tới nhóm cục Các nhóm cục bổ trợ thiết lập trước Có vài nhóm bổ trợ có sẵn domain controllers Windows NT Server: - Server Operators: Đảm trách cho mạng domain controllers hoạt động Các thành viên nhóm có quyền hạn Administrator, ngoại trừ khơng thể quản lý bảo mật server Nó cho phép dùng chung hay bỏ dùng chung tài nguyên domain controllers, khoá hay mở khoá domain controller, tạo khn dạng (format) đĩa domain controllers Nó có quyền domain controllers lưu (back up) lưu trữ tệp, shut down (tắt) domain controller - Account Operators: Có thể quản lý account nhóm hay người dùng domain Nó tạo, xố, sửa hầu hết người dùng, nhóm tổng thể, nhóm cục Nó khơng thể sửa account người dùng dạng Administrator, nhóm cục nhóm Administrators, Server Operators, Account Operators, Print Operstors, Backup Operators Và khơng thể gán quyền người dùng - Print Operators: Có thể chia xẻ hay ngừng chia xẻ máy in, quản lý máy tin domain controllers Nó truy nhập vào domain controllers tắt chúng III Nhóm tổng thể (Global group) Nếu hệ thống Windows NT phần domain Advanced Server nhóm tổng thể domain sử dụng hệ thống Nhóm tổng thể sử dụng tất máy tính domain (các máy tính Windows NT, Advanced Server, LAN Manager 2.x server) Nhóm tổng thể trở thành thành viên (được cấp membership) nhóm cục cấp quyền hệ thống cụ thể Nhóm tổng thể sử dụng cách tổng thể , khơng bị giới hạn nơi liệu chứa Một nhóm tổng thể tạo từ thành viên nhóm cục máy tính domain hay domain tin cậy Chỉ nên sử dụng nhóm tổng thể người dùng thành viên tương đương, tính quản trị tất máyWindows Windows NT Domain Windows NT Server chứa sẵn nhóm tổng thể như: - Domain Admins: Nhóm account bạn muốn Administrators, account Administrator nằm Domain Admin - Domain Users: Các account domain - Domain Guest: Các account cho "khách" (Guest) Các nhóm tổng thể khơng có đặc quyền thừa kế Nó nhận uỷ quyền thành viên nhóm cục Ví dụ domain controllers nhóm Domain Administrators khơng tự có quyền hạn Nó nhận quyền thành viên nhóm cục Administrators domain controllers Đó thành viên Domain Administrators có khả quản trị domain Tương tự nhóm Domain Users thành viên nhóm cục Users, nhóm Domain Guests thành viên nhóm cục Guests Chú ý: Dùng chương trình User Manager for Domains, từ menu User, chọn New Global Group để quản lý tài nguyên Các chiến lược sử dụng nhóm Quán triệt cách tổng thể cho người dùng nhóm gán account người dùng domain vào nhóm tổng thể domain, đưa nhóm tổng thể domain làm thành viên nhóm cục bộ, sau gán quyền tài nguyên cho nhóm cục Chiến lược làm môi trường nhiều domain kết nối quan hệ tin cậyrelationships, với cách Với account domain bạn, nhóm người dùng vào nhóm tổng thể Nhóm tổng thể sau gán thành thành viên nhóm cục khơng phải domain mà domain tin cậy (trusting) IV Các account nhóm mặc định Có năm nhóm mặc định Windows NT - Users, Power Users, Administrators, Backup Operators, Guests Users Bất kỳ sử dụng máy tính thường xuyên có account nhóm Users Nhóm Users cung cấp cho người dùng quyền cần thiết để thao tác hệ thống người dùng cuối, chẳng hạn chạy ứng dụng quản lý file Một người dùng đăng ký làm việc vào hệ thống Windows NT phần nhóm Users thực cơng việc sau: - Chạy ứng dụng - Quản lý file - Tạo quản lý nhóm - Giữ hồ sơ cá nhân - Nối với máy tính thơng qua mạng Power Users Nhóm Power User cung cấp cho người dùng khả thực chức quản trị hệ thống mà khơng cho phép ngưoừi dùng hồn tồn kiểm sốt hệ thống Bổ sung thêm vào tất quyền cung cấp cho nhóm Users, người dùng login vào Windows NT thành viên nhóm Power User thực cơng việc sau đây: - Chia sẻ thư mục mạng - Cài đặt, chia sẻ quản lý máy in - Tạo account người dùng - Sửa đổi xoá account người dùng mà họ tạo - Thiết lập đồng hồ bên máy tính Administrators Nhóm Administrators cung cấp cho người dùng khả kiểm soát toàn hệ thống Bổ sung thêm vào tất quyền cung cấp cho Power Users, người dùng login vào Windows NT thành viên nhóm Administrators thực cơng việc sau đây: - Sửa đổi, xố account người dùng nhóm tạo người khác - Gán account người dùng cho nhóm mặc định - Ghi đè lên khố trạm làm việc - Đặt khn dạng đặt partition cho đĩa cứng - Gán quyền người dùng - Kiểm soát ghi nhật ký kiểm tra hệ thống - Lưu trữ khơi phục tồn hệ thống - Gỡ rối hệ thống - Lấy quyền chủ sở hữu file đối tượng khác Thao tác viên dự phịng (Backup Operators) Nhóm Backup Operators cho phép người dùng lưu trữ khôi phục file hệ thống Bất kỳ người sử dụng lưu trữ khơi phục file mà họ có quyền thâm nhập tương ứng Nhóm Backup Operators phủ lên quyền cho phép người dùng lưu trữ tất file đĩa, không xét đến quyền thâm nhập file Guest Trong trình cài đặt, Windows NT thiết lập account Guest mặc định Account cho phép không co account hệ thống khả login vào máy tính học nối vào thơng qua mạng Cần thiết phải có account Guest nhiều kiểu phần mềm mạng truy nhập máy tính thơng qua account Guest Bất kỳ mạng nối tới tài nguyên chia sẻ máy tính bạn thông qua account Guest, bạn cần gán quyền người dùng tài nguyên chia sẻ bạn để kiểm sốt cách người dùng thâm nhập tài nguyên Để người dùng truy nhập vào mạng người dùng với account Guest đưa người dùng vào nhóm Guest V Thiết lập nhóm Tạo nhóm cục (Local Groups) Đầu tiên bạn phải tạo nhóm cục trước gán quyền trạm làm việc Những quyền cho phép chẳng hạn truy nhập tới file máy in thiết lập File Manager (Windows Exploror Windows NT 4.0)và Print Manager cách tương ứng Để thêm nhóm cục - Chọn nhiều account người dùng - Từ menu User, chọn New Local Group Bổ sung thành viên a Từ hộp hội thoại New Local Group, chọn nút Add Hộp hội thoại Add liệt kê tất account người sử dụng máy tính b Tuỳ ý chọn tên domain hộp List Names In Chọn domain xong, account người sử dụng nhóm tổng thể (global groups) domain liệt kê c Chọn vài account người dùng nhóm global từ hộp Name Chép nhóm tổng thể (global groups) a Chọn nhóm danh sách nhóm b Chọn menu User, chọn Copy Trong hộp hội thoại New Local Group , tên nhóm có màu trắng Thơng tin mơ tả account thành viên nhóm chép Xố nhóm Xố nhóm cục có nghĩa bỏ nhóm cục thơi — Nó khơng xố account người dùng hay nhóm tổng thể mà thành viên nhóm cục bị xố Khi xố nhóm có cảnh báo cho người sử dụng tạo nhóm có tên với tên nhóm xố khơng phục hồi quyền hạn trước Khi nhóm xố bạn lại tạo nhóm có tên giống tên nhóm vừa xố, nhóm khơng có quyền truy nhập lúc trước nhóm bị xố nhóm có SID Tất quyền, quyền gán thành viên nhóm cần thiết lập theo cách thức thông thường VI Account người dùng mặc định Ba account mặc định, Administrator, Guest người dùng khởi đầu tạo Windows NT cài đặt lần Mỗi account mặc định có số quyền hạn định hệ thống Administrator Account Administrator tạo trình cài đặt hệ thống Yêu cầu mật ban đầu cài đặt Đặc điểm account đổi tên khơng thể xố Administrator có quyền cao toàn hoạt động an toàn hệ thống Administrator chí có quyền kiểm sốt file người dùng khác Bất kỳ biết tên sử dụng mật Administrator có quyền cao quản trị toàn hệ thống Nếu mật bị qn khơng biết cách cài đặt lại Windows NT sử dụng sử dụng đĩa Sửa chữa Khẩn cấp (Emergency Repair disk) tạo trình cài đặt Để tránh tình trạng account Administrator trở nên khơng hữu ích khơng tích cực, người dùng bổ sung gán quyền Administrator Một người dùng đăng ký sử dụng account Administrator (hoặc account thuộc nhóm Administrator) thực cơng việc sau: - Sửa xoá account người dùng nhóm - Bổ sung loại bỏ người dùng khỏi nhóm - Gán quyền đặc biệt cho nhóm - Sửa đổi phần mềm hệ thống điều hành - Cài đặt nâng cấp phần mềm ứng dụng điều khiển thiết bị - Lên khuôn dạng đĩa cứng - Thiết lập máy tính để quản trị mạng từ xa Người sử dụng ban đầu Trong trình cài đặt account người dùng ban đầu tạo cho cá nhân cài đặt Windows NT Account cấp quyền Administrator Tên account thiết lập trình cài đặt Guest Account Guest sử dụng cách mặc định cho sử dụng mà khơng có account người dùng Administrator Account Guest có bị hạn chế việc truy nhập vào tài nguyên máy tính Guest bị từ chối truy nhập vào thư mục file sử dụng cá nhân Người quản trị có trách nhiệm thiết lập bảo mật thư mục file để hạn chế Guest không truy nhập thư mục file riêng hệ thống Nếu quyền Guest cho phép hệ thống, người quản trị cần thiết lập thư mục chung để lưu file mà Guest truy nhập Trong số trường hợp, máy chủ cần giới hạn triệt để cho có số người dùng định truy nhập vào Để hạn chế Guest việc sử dụng tài nguyên hạn chế bạn không cho phép (disable) account Guest gán mật cho account Guest VII Thiết lập account người dùng Tiện ích User Manager nhóm Adminitrative Tools sử dụng để thiết lập account người dùng Tạo account người dùng Từ menu User, chọn New User Trong box Username, gõ tên người dùng hệ thống, chiều dài tối đa 20 ký tự a Trong box Full Name, gõ tên hoàn chỉnh người dùng b Nếu cần, nhập liệu vào hộp mô tả c Gõ Password Confirm Password giống Mật tối đa 14 ký tự, phân biệt chữ hoa chữ thường, tên khơng d Lựa chọn tuỳ chọn e Để quản trị thuộc tính người dùng kèm với nút bấm (đặt đáy hộp hội thoại), lựa chọn nút thuộc tính, hồn thiện hộp đối thoại cho thuộc tính chọn nút OK f Chọn nút OK để bổ sung account Các tuỳ chọn New User Các tuỳ chọn New User lựa chọn là: - Người sử dụng phải thay đổi mật lần đăng ký sử dụng - Người dùng đổi mật - Account bị không cho phép - Mật không hạn Các account không phép sử dụng Các account không cho phép thông thường sử dụng khung để copy tạo account sử dụng để tạo account kích hoạt sau 3 Đổi tên account người dùng Có thể đổi tên account người dùng nào, bao gồm account mặc định Tuy nhiên, có account đổi tên lúc Khi account bị đổi tên, trì tất thuộc tính cịn lại Điều thay đổi tên account Lập account người dùng Có thể copy account người dùng cấu hình tới account cách lựa chọn account cần copy chọn User, Copy Các mục copy trực tiếp từ account người dùng tới account người dùng mơ tả nhóm Các hồ sơ copy có điều kiện Windows NT tự động xoá mục Username, Full Name, Password, Confirm Password, User Cannot Change Password, Account Disabled, Password Never Expires Nó chọn mục "User Must Change Password At Next Logon" Xoá account người dùng Một account người dùng bị xố khơng thể khơi phục lại định danh nhâts cho account khơng cịn tồn Một account tạo với tên có định danh khác thâm nhập mục mà account cũ có quyền thâm nhập Account phải có quyền, thành viên nhóm thuộc tính khác thiết lập cho để lại cũ Để xoá hay nhiều account người dùng: a Chọn nhiều account người dùng.Từ menu User chọn Delete b Nếu thông báo khẳng định xuất hiện, chọn nút OK c Khi thông báo Delete xuất hiện, chọn Yes Nếu nhiều account người dùng lựa chọn, chọn Yes To All Không cho phép account người dùng Vì account tạo tên với account tồn từ trước có định danh khác account cũ nên nói chung account người dùng nên không cho phép thời gian trước bị xoá để đảm bảo account thật cần thiết bị xố Khơng cho phép account ngăn chặn việc logon vào Windows NT, tất thông tin account giữ nguyên không thay đổi Để không cho phép nhiều account: a Chọn account cần không cho phép.Từ menu User, chọn Properties b Chọn hộp Account Disabled c Nhấn OK VIII Thiết lập Hồ sơ Môi trường Người dùng Hồ sơ người dùng Windows NT lưu trữ lưu tất thơng tin cấu hình desktop người dùng hồ sơ người dùng cục Thông tin hồ sơ lưu trữ người dùng thoát tự động khôi phục lại người dùng trở lại làm việc vào trạm làm việc Các thiết lập sau lưu trữ hồ sơ người dùng: - Program Manager (Desktop Windows NT 4.0 ) - File Manager (Windows Explorer Windows NT 4.0) - Dòng lệnh MS-DOS - Print Manager - Các tuỳ chọn Control Panel - Các tuỳ chọn Accessory - Các ứng dụng Windows NT tổ chức thứ ba - Các bookmark On-line Help Các hồ sơ đảm bảo người dùng ln ln có sở thích riêng trạm làm việc họ đăng ký làm việc vào Windows NT Advanced Server Các hồ sơ khơng ảnh hưởng người dùng MS-DOS Windows for Workgroups Các trạm làm việc Windows NT Workgroup tự động tạo hồ sơ dựa cục (local-based) Khi người dùng thoát ra, thông tin hồ sơ lưu trữ đăng ký (registry) Khi người dùng đăng ký làm việc lại, trạm làm việc nhận người dùng nạp hồ sơ tương ứng Các hồ sơ cục phụ thuộc vào máy tính: thiết lập dựa máy tính khơng áp dụng người dùng đăng ký làm việc trạm làm việc khác Đối với trạm làm việc Windows NT domain Advanced Servers, hồ sơ lưu trữ file riêng biệt nạp tới máy tính thuộc domain mà người dùng đăng ký làm việc Điều gọi hồ sơ dựa máy chủ (server-based) Các kiểu hồ sơ Có vài hồ sơ Windows NT Server Các hồ sơ ngầm định-Default Profiles Cấu hình cho hiển thị (màu hình nền) chưa có người dùng vào mạng Windows Windows NT User Default cấu hình ngầm định để sử dụng lần đầu vào máy Windows Windows NT chưa có hồ sơ Server-base Hồ sơ cục bộ-Local Profiles Được lưu cục máy Windows NT cho người dùng cụ thể Nó tạo người dùng vào lần đầu Nó sử dụng người dùng khơng có hồ sơ Server-base Hồ sơ Server (Server-based Profiles) Cũng giống hồ sơ cục file cụ thể nạp người dùng vào Windows Windows NT tạo cho người dùng Mơi trường bao gồm thiết lập cụ thể : nhóm, màu hình, liên kết mạng, chuột Hồ sơ có hai kiểu : Personal Mandatory đuôi file tương ứng USR, MAN Cách tạo hồ sơ cho Server Dùng User Profile Editor 7 Cấu hình mơi trường Tạo hồ sơ Server-base, sau tạo thiết lập cho máy Thiết lập thơng số User Profile Editor Dùng User Profile Editor Cất hồ sơ-Profile Bằng File/Save As User Profile Editor 10 Gán hồ sơ cho Server Tạo cất hồ sơ sau gán cho người dùng tương ứng Trong User Manager for Domain chọn Properties người dùng Chỉ tên hồ sơ serverbased vào User Profile Path 11 Logon Scripts Khi người dùng đăng ký sử dụng vào Windows NT, logon script chạy tự động Một logon script lập cấu hình mơi trường làm việc cho người dùng nhóm người dùng Hồ sơ người dùng thực tất logon script làm Tuy nhiên, logon script có ích do: - Dành cho người dùng sử dụng trạm làm việc DOS OS/2 - Dễ dàng quản trị mạng cho nhóm người dùng - Nâng cấp mạng LAN Managers thời sử dụng logon script Một logon script tệp lô thông thường (phần mở rộng BAT CMD) Nếu bạn không phần mở rộng cho logon script, phần mở rộng xác lựa chọn dựa trạm làm việc mà người sử dụng login vào (DOS-.BAT, OS/2 NT-.CMD) Một file thực được sử dụng cần nhớ sử dụng phiên chương trình bạn login máy tính có kiểu CPU khác (tức x86, Mips, Alpha) Tham số hệ thống %PROCESSOR% sử dụng để lựa chọn file thực thích hợp logon script Các tham số mơi trường khác sử dụng logon script %HOMEDRIVE%, %HOMEPATH%, %HOMESHARE%, %OS%, %USERDOMAIN%, %USER NAME% Khi tên logon script, bạn không cần đường dẫn Windows NT tự động kết hợp tên bạn với đường dẫn logon script tuỳ chọn Control Panel Servers trạm làm việc - Logon script cần đặt thư mục tuỳ chọn Control Panel Servers, thư mục sau đây: \WINNT (đối với hệ thống Windows NT) \WINNT\SYSTEM32\REPL\IMPORT\SCRIPTS (đối với Windows NT Advanced Servers) - Logon script phải tồn máy tính mà người dùng login Trong domain nơi người dùng login nhiều máy chủ, dịch vụ phân phát thư mục (directory replicator service) sử dụng để giữ logon script đồng máy chủ Đó nguyên nhân thư mục cho logon script Advanced Server nằm thư mục phân phát mặc định (\WINNT\SYSTEM32\REPL) 12 Thư mục cội nguồn Home Directories Thư mục cội nguồn chứa nhiều tất file chương trình cho người dùng định Mặc định, Windows NT truy nhập thư mục cội nguồn lệnh File Open Save As chọn Đối với trạm làm việc Windows NT, thư mục cội nguồn thông thường lưu trữ cục Tuy nhiên, bạn thư mục cội nguồn định vị máy chủ - Nếu lưu trữ thư mục cội nguồn cách cục cho người dùng có tên JANEDOE, ta đường dẫn tuyệt đối chẳng hạn C:\PROFILES\JANEDOE - Nếu lưu trữ thư mục cội nguồn máy chủ gọi CORP cho người dùng có tên JOHNDOE, ta máy chủ đầy đủ có đường dẫn, chẳng hạn \\CORP\USERS\JOHNDOE Mẹo Nếu bạn muốn thư mục cội nguồn tương đương với tên người dùng account, bạn %USERNAME% cho thư mục cuối đường dẫn Trong hầu hết trường hợp, User Manager tự động tạo thư mục cội nguồn bạn hộp đối thoại User Environment Profile Nếu khơng thể (thơng thường tên file vi phạm quy tắc 8.3 thư mục cội nguồn tồn FAT partition), thông báo xuất để hướng dẫn bạn tạo tay thư mục Quản lý sách bảo mật Sau sách bảo mật quản lý User Manager: - Chính sách Account - Điều khiển cách thức account người dùng sử dụng mật - Chính sách Quyền người dùng (User Rights) - Điều khiển quyền cho nhóm hay người dùng trạm làm việc - Chính sách thống kê (Audit policy) - Điều khiển loại kiện ghi nhận Security log-là liệu ghi kiện Để thay đổi sách bảo mật nào, sử dụng menu Policy User Manager Administrative Tool Quản lý sách Account Chính sách account điều khiển cách thức mà mật sử dụng account người dùng Thay đổi sách thay đổi quyền người dùng lần sử dụng sau Những thành phần account thay đổi: Item Meaning Range of Entries Thành phần Giải thích Phạm vi Maximum Khoảng thời gian mà mật Khơng vượt ngồi 1-999 Password Age sử dụng trước hệ thống yêu cầu người dùng thay đổi Minimum Khoảng thời gian mà mật cần Cho phép thay đổi Password Age sử dụng trước người dùng tức khoảng thay đổi Khơng cho phép thay đổi tức tối đa 1-999 mật đơn trị dùng Minimum Số ký tự mật chấp nhận Cho phép mật có ký tự Password trắng số ký tự Length khoảng 1-14 Password Số mật cần sử dụng Khơng vựot ngồi khoảng Uniquenes người sử dụng trước mật cũ 1-8 mật sử dụng lại Khi khả đơn hữu hiệu thay đổi tức khơng phép thơng số Minimum Password Age Quản lý sách quyền người sử dụng (User Rights Policy) Chính sách quyền người dùng xác định ràng buộc quyền định nghĩaexplicit rights Các quyền định nghĩa quyền bạn gán hay lấy từ account nhóm hay người dùng Các quyền ngầm định-Implicit rights quyền hệ thống điều khiển quản trị Ví dụ quyền ngầm định khả tạo account Nó quyền ngầm định cho nhóm quản trị (Administrators group) khơng thể gán trực tiếp cho người sử dụng hay nhóm khác Bởi nhóm cục ngầm định chứa quyền người dùng cung cấp hầu hết nhu cầu thiết yếu người dùng nhóm, chung bạn khơng cần thiết phải thay đổi sách quyền người dùng (User Rights policy) ngầm định nhóm Chú ý: Những thay đổi khơng tương ứng sách quyền người dùng (User Rights Policy) gây hiệu ứng nghiêm trọng hay bất lợi hệ thống Không thay đổi quyền gán ngầm định bạn hiểu rõ hiệu ứng thay đổi Khi quản lý quyền, bạn thực khơng nên gán quyền cho nhóm hay người dùng thay vào bạn gán account nhóm người dùng cho quyền Nếu cần thiết phải thay đổi sách quyền người dùng (User Rights Policy),thì lý tưởng gán quyền cần thiết cho nhóm cục bộ, sau ấn định người dùng vào nhóm Việc sử dụng nhóm cục cho phép bạn bao gồm hai account người dùng nhóm tổng thể từ domain domain thừa quyền (trusted domain) Quản lý sách thống kê (audit) Các thiết lập sách thống kê điều khiển kiểu kiện ghi vào liệu bảo mật (security log) Sự kiện Trạng thái Thống kê - Logon Thành công Một người dùng vào - Logoff thành cơng từ máy trạm - hay kết nối mạng - Lỗi Một người dùng cố gắng vào hay mà khơng từ máy trạm hay từ việc tạo liên kết mạng - Shutdown Thành công Một người dùng tắt (down) thành công máy - Lỗi Một người dùng cố gắng tắt (down) máy không - Sử dụng Thành công Sử dụng thành cơng quyền người dùng.(Khơng tính quyền quyền liên quan tới vào thoát -logon logoff) - Lỗi Sử dụng quyền người dùng bị lỗi (Khơng tính quyền liên quan tới vào thoát -logon logoff) - Thay đổi Thành công Một người dùng truy nhập thư mục,file, máy in, file thiết lập máy in, thống kê File Manager; thay đổi bảo mật sách; tạo hay thay đổi account người dùng hay nhóm; gán quyền - Lỗi Một người dùng cố gắng truy nhập thư mục,một máy in, file thiết lập thống kê File Manager bị lỗi; bị lỗi cố gắng thay đổi sách;tạo hay thay đổi account người dùng hay nhóm; gán quyền ... làm việc DOS OS /2 - Dễ dàng quản trị mạng cho nhóm người dùng - Nâng cấp mạng LAN Managers thời sử dụng logon script Một logon script tệp lô thông thường (phần mở rộng BAT CMD) Nếu bạn không... rights quyền hệ thống điều khiển khơng thể quản trị Ví dụ quyền ngầm định khả tạo account Nó quyền ngầm định cho nhóm quản trị (Administrators group) gán trực tiếp cho người sử dụng hay nhóm... replicator service) sử dụng để giữ logon script đồng máy chủ Đó nguyên nhân thư mục cho logon script Advanced Server nằm thư mục phân phát mặc định (WINNTSYSTEM 32 REPL) 12 Thư mục cội nguồn