1. Giới thiệu các loại user account
Ngời sử dụng cần truy cập các tài nguyên khác nhau trên máy tính bất kì trong mạng. User acconut đợc tạo ra để xác nhận ngời sử dụng và cấp cho họ các thao tác với các tài nguyên trên mạng mà họ có quyền. Một user account chứa các user name và password cho phép user có thể đăng nhập vào một domain hay hay một máy tính từ xa bất kì nào. Bất cứ ngời sử dụng mạng thông thờng nào nên có một user account. Windows 2003 server hỗ trợ ba loại user account: Local User Account, Domain User Account và
Built-in User Account.
1.1 Local User Account (User Account cục bộ)
Với một user account cục bộ, ngời dùng chỉ có thể đăng nhập vào máy xác định, nơi mà user account đó đợc tạo ra. User chỉ có thể truy cập đợc những tài nguyên có trên máy tính đó. Một local user account đợc tạo ra trong từng cơ sở dữ liệu bảo mật của từng máy cục bộ.
1.2 Domain User Account (User account trong domain)
Với Domain user account, ngời sử dụng có thể đăng nhập vào một domain và có thể truy cập nhiều tài nguyên có mặt tại bất kì nơi nào trên mạng. Một thẻ truy cập đợc tạo ra mà xác nhận ngời dùng sử dụng và các thiết lập bảo mật của user này khi ngời sử dụng cung cấp thông tin đăng nhập(username và password). Thẻ truy cập đợc cung cấp bởi windows 2003 server sẽ tồn tại lần cuối cùng cho đến khi ngời sử dụng đăng nhập(logon) và mất đi khi ngời sử dụng huỷ đăng nhập(log-off). User account trong tr- ờng hợp này sẽ đợc lu trong cơ sở dữ liệu của Active Directory. User account này sẽ đợc nhân bản đến các Domain controller khác trong domain bởi user account đợc tạo ra trên domain controller. Sự nhân bản này sẽ mất một chút thời gian, vì thế sẽ không thể xử lý ngay lập tức các tài nguyên trên mạng thông qua các user account mới tạo và thời gian nhân bản thông
thờng của một Active Directory trong một site thờng là 5 phút.
1.3 Built-in User Account(User Account tạo sẵn)
Built-in Account đợc tạo tự động bởi windows server 2003 và đợc sử dụng bởi những ngời sử dụng thực hiện những tác vụ quản trị hoặc những thao tác mạng trên một cơ sở dữ liệu tạm thời(temporary basic). Có hai loại Built-in User account là: Administrator account và Guest account. Hai loại account này không thể xoá.
2. Các quy tắc và yêu cầu khi tạo User Account mới
Trong khi tạo các user account chúng ta nên cẩn thận lập kế hoạch và tổ chức tất cả các thông in về user trớc khi bắt tay vào thực hiện. Để đạt đợc những điều này chúng ta nên tự làm quen với các quy ớc và chỉ dẫn. Theo những quy ớc và chỉ dẫn này giúp chúng ta dễ dàng hơn trong việc quản lý các user account sau khi tạo chúng. Kế hoạch đợc thực hiện với sự trợ giúp của ba nguyên tắc cơ bản quan trọng sau: Naming Conventions (Quy tắc
đặt tên), Password Guidelines (Chỉ dẫn mât khẩu) và Account Option
(tuỳ chọn account).
2.1 Quy tắc đặt tên User Account.
Các quy tắc đặt tên sẽ xác định cách mà user sẽ đợc biết đến trong một domain. Chúng ta nên đặt tên theo các quy tắc đang tồn tại. Các điểm sau đây nên đợc chú ý khi chỉ định quy tắc đặt tên cho tổ chức của chúng ta:
- Chúng ta nên gán một tên duy nhất cho các domain user account và nó nên đợc lu trong Active Directory. Với ngời sử dụng cục bộ tên account là tên duy nhất trong một nơi mà các user account cục bộ đợc tạo.
- User account có thể nên đến 20 kí tự chữ thờng hoặc chữ hoa và các kí tự sau đây không đợc sử dụng để đặt tên cho User account: “/ \ [ ] ; | = , + * ? < >”. Các tên này không phân biệt
hoa thờng. Một sự pha trộn đặt biệt của các kí tự số có thể làm đơn giản sự định danh các user names.
- Với một tổ chức lớn với một số lợng lớn các user, quy tắc đặt tên giữ cho tên khỏi bị trùng lặp. Một điều quan trọng là biết đợc các user tạm thời trong tổ chức của chúng ta để có thể dễ dàng xoá các tên đăng nhập của họ khi ra khỏi tổ chức của chúng ta. Trong trờng hợp này, việc đầu tiên sẽ là định danh các nhân viên tạm thời và thêm một kí tự “T”(temporary) và một kí tự “-“ vào tên đăng nhập của user đó.
2.2 Yêu cầu mật khẩu
Bất kì một user account nào cũng phải chứa một password phức tạp để bảo vệ thao tác trên một máy tính hoặc một domain và vì thế giúp chống các cuộc đăng nhập không cho phép vào máy tính hay domain của chúng ta. Các điểm sau đây nên đợc chú ý khi xác định quy uớc đặt tên cho một tổ chức của chúng ta:
- Luôn luôn đợc khuyến cáo gán mật khẩu cho Administrator account để tránh các tiếp nhận không cho phép của account. - Gán password khó đoán cho tài khoản administrator. Chúng ta nên tránh đặt password liên quan rõ ràng đến ngày sinh, các thành viên trong gia đình hoặc bạn bè thân.
- Password nên chứa các kí tự thờng, chữ hoa, các kí tự số và các kí tự đặt biệt hợp lệ khác(non-alphanumeric)
- Chúng ta nên xác nhận xem administrator hay user có quyền điều khiển password. Thông thờng là để quyền điều khiển password cho user. Các user phải đợc phép gõ vào hoặc thay đổi các password trong lần đầu tiên đăng nhập. Administrator có thể cho một password duy nhất đến user account và users có thể ngăn cản sự thay đổi password.
Một user account cục bộ là một account mà user có thể đăng nhập vào và xử lý các tài nguyên đợc hỗ trợ bởi máy tính đơn đó. Chúng ta có thể tạo ra một user account cục bộ bằng cách dùng console Computer Management. Một User account cục bộ chỉ đợc dùng trong trờng hợp môi trờng mạng nhỏ, ví dụ nó có thể là một workgroup đơn giản hay một máy tính stand-alone không đợc cấu hình trong mạng. Tránh tạo ra các user cục bộ trên các máy tính trong domain vì domain nên đợc thừa nhận user cục bộ. Điều này giới hạn các user nhận bất cứ tài nguyên nào trên domain, nh- ng tài nguyên trên máy tính cục bộ thì truy cập đợc. Các user account cục bộ có ít số lợng các thuộc tính hơn các domain user account.
4. Tạo các Domain User Account
Domain User Account có thể đợc sử dụng để đăng nhập vào domain và vì thế nhận đợc các xử lý đến các tài nguyên đợc lu trữ ở bất kì nơi đâu trong mạng. Một domain user account đợc tạo với sự trợ giúp của Domain Controller. Administration Tools lu trữ trong domain controller, đợc cung cấp trong windows server 2003 giúp chúng ta tạo ra và quản trị domain user account. Quản lý từ xa của domain và user account cũng đợc cung cấp bằng cài đặt Windows XP Professional Administration Tools trên máy tính chạy Windows XP Professional. Chúng ta nên dùng Active Directory Users and Computers để tạo các domain user account. Chúng ta có thể dùng các thiết đặt cho password để tạo ra một home folder và vị trí trung tâm lu trữ dữ liệu.
4.1 Các tuỳ chọn khi khởi tạo Domain User Account
Một domain user account đợc tạo ra trong một domain controller mà từ đó nó đợc tự động copy tất cả đến các domain controller khác trong mạng. Chúng ta nên tạo account trong mục user mặc định hoặc trong một
số folder khác nơi mà các domain user account khác tồn tại.
- First Name: Tên của User
- Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user. - Last name: Họ của User
- Full name: Tên đầy đủ của user. Nó nên là duy nhất trong th mục account. Windows server 2003 có khả năng điền thông tin này sau khi tên và họ của user đã đợc nhập vào.
- User logon name: Tuỳ chọn này nên là logon name duy nhất dựa theo các quy tắc đặt tên và phải là duy nhất trong th mục. - User logon name(pre-windows 2000): Logon name duy nhất của user để đăng nhập từ phiên bản trớc windows 2000 của Microsoft. Cái này là duy nhất trong domain và là phần tử bắt buộc.
4.2 Các thiết lập cho password
Chúng ta có thể thêm một password khi đang thêm một user account mới trong domain. Dới đây là các tuỳ chọn cho password đợc gán password khi đang tạo một user mới.