¾ Hiểu biết User, Group, Computer ¾ Quản trị User, Group
¾ Giải thích các loại Profile ¾ Xử lý các sự cố về User rights
2.1. Giới thiệu tài khoản
¾ User Account: là tài khoản người dùng. Khi cài đặt AD sẽ có một số user được tạo ra mặc định
(Build–in) như Administrator – là quyền quản trị cao nhất cho toàn hệ thống. User này không thể gỡ bỏ được. Ngoài ra nhân viên sử dụng máy tính trong hệ thống để có thể sử dụng tài nguyên và đăng nhập vào hệ thống thì người quản trị khởi tạo user và phân quyền sử dụng.
¾ Computer Account: Mỗi máy tính chạy Microsoft Windows NT, Windows 2000, Windows XP
hay Windows Server 2003 tham gia vào một domain đều có một computer account. Tương tự như user account, các computer account cung cấp ý nghĩa thẩm định quyền và chỉnh sửa quyền truy xuất vào mạng và các tài nguyên domain.
¾ Group: là tập hợp một số user có những đặc tính chung như truy cập chung một thư mục nào đó,
hay phân nhóm theo phòng ban...
Là người quản trị, chúng ta phải cung cấp cho các người dùng trong tổ chức khả năng tiếp cận được các tài nguyên mạng mà họ cần. Tài khoản người dùng cho phép người dùng đăng nhập và truy cập các tài nguyên cục bộ hoặc domain. Trong bài này, chúng ta sẽ học cách tạo các tài khoản người dùng cục bộ và domain, đặt các thuộc tính cho chúng.
Giới thiệu tài khoản người dùng
Tài khoản người dùng là một tập hợp quyền hạn duy nhất cho một người dùng cho phép người dùng đăng nhập vào domain để truy cập tài nguyên mạng hoặc đăng nhập vào một máy tính cụ thể để truy cập tài nguyên trên máy đó. Những người sử dụng mạng thường xuyên nên có một tài khoản người dùng. Bảng sau mô tả các kiểu tài khoản người dùng được Microsoft® Windows® 2003 cung cấp.
Kiểu tài
khoản Mô tả
Tài khoản người dùng cục bộ
Cho phép người dùng đăng nhập vào một máy tính cụ thể và truy cập tài nguyên trên máy đó. Người dùng có thể truy cập tài nguyên trên máy khác nếu họ có tài khoản riêng trên máy đó. Các tài khoản người dùng này nằm trong Security Accounts Manager (SAM) của máy.
Tài khoản người dùng domain
Cho phép người dùng đăng nhập vào domain để truy cập tài nguyên mạng. Người dùng có thể truy cập tài nguyên mạng từ bất kỳ máy tính nào trên mạng bằng một tài khoản người dùng và một mật khẩu. Các tài khoản người dùng này nằm trong dịch vụ danh bạ Active Directory™.
Tài khoản người dùng dựng sẵn (built-in)
Cho phép người dùng thực hiện các tác vụ quản trị hay tạm thời truy cập đến các tài nguyên mạng. Có hai tài khoản người dùng dựng sẵn không thể xóa được: Administrator và Guest. Các tài khoản Administrator và Guest cục bộ nằm trong SAM, các tài khoản Administrator và Guest của domain nằm trong Active Directory.
Các tài khoản người dùng dựng sẵn được tạo tự động trong quá trình cài đặt Windows 2003 và Active Directory.
2.2. Quản trị User Tạo users.
Sau khi cấu hình DC xong, chúng ta phải tạo user để các user này đăng nhập vào hệ thống mạng và sử dụng tài nguyên trên máy chủ như lưu trữ dữ liệu, chương trình kế toán, máy in... lúc này người quản trị cần phải biết các người dùng sử dụng vào mục đích gì? Mức độ như thế nào...Do đó việc tạo user phải có một tính chuyên nghiệp và dễ quản lý.
Đầu tiên chúng ta vào Start Æ programs Æ administrative toos Æ Active directory Users and Computers.
Trong phần user chúng ta có thể tạo bằng cách:
Hình : Active directory Users and Computers Cách 1: Vào Action Æ new Æ user.
Hình : New User
Cách 2: Chúng ta có thể thực hiện bằng cách click chuột phải trên Users Æ new Æ user. Màn hình Tạo user sẽ hiện ra, chúng ta nhập họ tên, user name... vào
Hình : Nhập thông tin User
Hình : Nhập Password và các tùy chọn cho user Trong phần Password:
Password Nhập password theo ý quản trị (adsbygoogle = window.adsbygoogle || []).push({});
Confirm password: Nhập lại password trên
User must change password at next logon User được phải thay đổi password theo ý user trong lần truy cập đầu tiên User cannot change passwword User không được quyền thay đổi.
Quyền thay đổi thuộc về quản trị Password nerver expires Password không bao giờ hết hạn sử
dụng.
Account is disabled Tài khoản này sẽ bị vô hiệu hóa chức năng
Trong ví dụ này ta không đặt password, nghĩa là password để trống và chọn mục Password nerver expires.
Hình : Quá trình tạo user hoàn thành
Sau khi click nút Finish để kết thúc quá trình tạo user chúng ta sẽ gặp một vấn đề là Windows Server sẽ không cho tạo user do password của chúng ta là để trống, và không tuân theo qui ước của AD:
Hình : Thông báo lỗi do đặt Password không hợp lệ
Để giải quyết vấn đề trên chúng ta phải vào Start Æ Program Æ Administrative Tools Æ Domain
Hình : Chọn Domain Security Policy
Màn hình sẽ cho chúng ta biết những policy nào của Windows
Hình : Password Policy
Chọn khung bên trái là Password Policy, chọn Minimum Password Length, nghĩa là chiều dài tối thiệu phải là 7 ký tự. Nếu chúng ta muốn sử dụng Password trống thì chúng ta chọn Policy setting là 0 ký tự.
Hình : Thay đổi Password Policy
Sau khi cho phép nhập password trống, chúng ta phải loại bỏ sự phức tạp của password mà hệ thống Windows đã đề ra: Chọn Password must meet complexity requirements properties -> Define this policy setting là Disable:
Hình : Cấm chế độ password phức tạp
Khi đã chọn những policy theo như trên, chúng ta phải cập nhật những thay đổi policy cho Windows. Bằng cách là chúng ta khởi động lại máy chủ hoặc ta cũng có thể vào Start -> Run, gõ vào cú pháp sau: gpupdate /force để thay đổi các policy của hệ thống.
Hình : Cập nhật Policy vừa thay đổi
Như vậy sau khi cập nhật Policy cho Server, lúc này chúng ta quay về vấn đề tạo user với password trống thì chúng ta sẽ tạo user thành công mà không gặp trở ngại nào.
Hình 3.12: Quá trình tạo user hoàn tất
Quản lý Users.
Phần trên chúng ta đã tìm hiểu về cách tạo user, bây giờ chúng ta phải tìm hiểu và quản lý các user như thế nào? Chúng ta thử tìm hiểu một số giải pháp thông dụng khi quản lý user.
Ví dụ 1: một số user tạo ra trong một thời gian ngắn là vô hiệu hóa chức năng do tính chất thời vụ của
user đó.
Ví dụ 2: Trong một công ty, Giám đốc yêu cầu là tất cả nhân viên làm việc từ 8 giờ sáng tới 12 giờ trưa,
sau khi qua 12 giờ trưa là tất cả các máy tính hoặc một số máy tính phải tự động ngưng làm việc để nghỉ trưa hoặc hạn chế thất thoát thông tin...
Ví dụ 3: Trong một hệ thống mạng được triển khai cho môi trường giáo dục. Các học sinh sẽ lưu bài tập
trên thư mục share trên Server của mình, vấn đề đặt ra là sẽ có nhiều em học sinh đăng nhập (logon) vào nhiều máy mà chỉ có một user để copy bài của nhau trên cùng một thư mục share đó. Vậy làm sao để giải quyết các vấn đề đó.
Những vấn đề trên sẽ được tìm hiểu trong phần này. Sau khi tạo mới user, chúng ta vào Properties của user đó: (adsbygoogle = window.adsbygoogle || []).push({});
Hình 3.14: Thuộc tính General của user
Account properties Discriptions
General, Address, Telephones and Organization tabs
Đây là những thông tin bổ sung của user Account tab Thuộc tính này bao gồm nhiều thông tin về
user như khởi tạo, password, hạn sử dụng... Profile tab Ở đây có thể cấu hình đường dẫn profile,
hay logon Script
Member Of tab Thuộc tính này bao gồm mức độ, quyền
hạn hoặc thuộc nhóm nào. Terminal Services Profile,
Environment, Remote Control, Sessions tabs
Những Tabs này cho phép thiết lập môi trường làm việc, truy cập từ xa hoặc các phiên làm việc của việc truy cập đó.
Dial-in tab Cho phép hoặc không cho phép truy cập từ xa hoặc quyền dăng nhập VPN
COM+ tab Gán Active Directory COM+ cho việc
quản lý dữ liệu phân tán trên Windows 2003.
Ở bảng trên có rất nhiều thuộc tính, tuy nhiên chúng ta chỉ quan tâm nhiều tới 3 thuộc tính cơ bản là
Account tab, profile tab, member of tab. Còn những thuộc tính còn lại chúng ta tìm hiểu sau hoặc các
hoạc viên tự tìm hiểu.
Account tab
Hình : Thuộc tính Account của user
Logon Hours...: cho phép tài khoản này truy cập vào những thời gian qui định trong ngày. Người quản trị sẽ chọn thời gian là work time, hoặc free time:
Hình : Thời gian Logon của user
Logon to...: cho phép tài khoản này truy cập vào một máy tính duy nhất (computer name) hoặc nhiều máy tính trong một phòng ban hoặc một nhóm làm việc. Mục đích này giúp cho người sử dụng tránh được mất mát thông tin cá nhân trên máy tính của mình.
Hình : Cho phép tài khoản logon vào 1 hay nhiều máy tính.
Hình : Thời gian sử dụng Account
Member of Tab.
Khi nói đến Member of của user tức là chúng ta đang nói đến phân cấp của user hay nhóm làm việc của user đó. Một user có thể là user thuần túy hoặc user đó có quyền ngang cấp với quyền quản trị administrator. Điều này tùy thuộc vào sự phân quyền của người quản trị. Tất nhiên việc phân quyền của user thì người quản trị phải đăng nhập vào hệ thống máy chủ với tài khoản Administrator.
Bây giờ chúng ta sẽ thực hiện bài lab với tài khoản Hatq với quyền administrator. Log on SVR1 với tài khoản administrator.
Vào administrative tools -> active directory user and computers. Chọn user Ha Trần quang.
Chọn Menu Action -> Properties (có thể click chuột phải vào Properties). Chọn tab Mermber of.
Click vào nút Add... để thêm group vào.
Hình : Select Group Click vào Nút Advanced… để tìm group. (adsbygoogle = window.adsbygoogle || []).push({});
Hình : Chọn group cần add vào
Chọn nút Find Now -> chọn group administrators, sau đó click OK để hoàn tất việc chọn nhóm admistrators.
Quản trị Group
Group là một nhóm làm việc do người quản trị tạo ra để cụ thể hóa các công việc hoặc dễ dàng quản trị. Group có thể được chia làm 2 loại là Buildin và manual.
Loại build-in thì do Windows tạo ra để nói lên một chức năng đặc biệt nào đó ví dụ như Administrators, Backup Operators... là những tài khoản nào nằm trong group này sẽ có những quyền rất cao như đăng nhập vào máy chủ, backup, restore .... và các group này không thể xóa bỏ khỏi hệ thống.
Loại Manual là loại do người quản trị tạo ra để quản lý, ví dụ trong công ty có rất nhiều nhân viên cùng sử dụng một tài nguyên nào đó trên máy chủ thì người quản trị chỉ tạo ra 1 group để gom nhóm các nhân viên này lại, và chia sẻ folder cho group này thì toàn bộ các thành viên đều được share.
Để tạo một Group để quản trị, chúng ta vào Active Directory user and Computers, chọn User bên trái, chọn Menu Action -> new -> Group. (chúng ta có thể làm nhanh bằng cách click chuột phải vào User, chọn new).
Hình : Tạo New Group
Hình : Nhập tên và các tuỳ chọn của group
Sau khi tạo xong Group Marketing, chúng ta đưa những user nào cần gom nhóm vào group. Việc đưa user vào group có 2 cách.
Chọn Properties của group Marketing mới tạo, chọn member tab, chọn nút Add.. để chọn user nào cần đưa vào.
Hình : Add Group
Hình : Add user vào group
Như vậy việc tạo group và đưa user vào group không quá khó khăn, do đó người quản trị có thể tạo nhiều group khác nhau để quản trị. Các group này còn có thể đưa vào group khác như group buildin...
Hình : User đã được add vào Group
2.4. Quản trị User Profile
Profile tab chứa các thông tin của user và đường dẫn hệ thống như vấn đề: các user đều dùng chung một màn hình desktop, các shortcuts trên desktop, các cookies... hoặc các đường dẫn của thư mục share trên máy chủ mà chỉ duy nhất user đó có mà user khác không có.
Local Profiles: là profile mặc định của hệ thống trên Windows 2000, XP: c:\documents and settings\%username%. Profile này được tạo ra lần đầu tiên khi user logon vào hệ thống, các thay đổi về desktop, network... đều được lưu trữ ở Profile này.
Roaming User Profiles: là tất cả các user đều lấy chung một Profile để hoạt động theo một Profile đã share trên máy chủ.
Trên Profile tab, trong mục Profile path có cú pháp như sau: \\<Server>\<share>\%username%. Trong đó %username% là tự động lấy đúng user mà user đó đăng nhập vào hệ thống
Hình 3.19: Profile User Trước hết chúng ta tạo một Profiles kiểu mẫu trên Server.
Tạo một thư mục trên máy chủ đặt tên là profiles. Share thư mục này với tên Profiles.
Chọn Permissions.
chọn quyền share là Full Control. Chọn OK.
Hình : Cấp quyền cho Group Everyone Sau đó ta tạo một User kiểu mẫu trên Server:
Text Box Name Enter
First Name Profile
Last Name Account
User Logon Name: Profile
Hình : Nhập thông tin user (adsbygoogle = window.adsbygoogle || []).push({});
Sau khi tạo User hoàn tất, chúng ta cho user này với quyền Administrator để user này đăng nhập (logon) vào máy chủ.
Logoff Windows Server 2003.
Logon Windows Server 2003 với tài khoản profile.
Sau khi logon hoàn tất, chỉnh sửa Desktop, software, internet options... Tạo các shortcut trên desktop...
Hình : Logon với account Profile logoff Windows.
Logon Windows với tài khoản administrator.
Vào System Proferties của SVR1, chọn tab Advanced, chọn User profiles, click setting...
Hình : System Properties Trong user Profiles, chọn ISPACE\Profile. Click Copy to.
Hinh : User Profile
gõ đường dẫn profile muốn copy tới: “\\svr1\profiles\hatq. trong đó hatq là user của Tran Quang Ha mà chúng ta muốn sử dụng profile này.
Thay đổi quyền sử dụng là “ISPACE\Hatq”
Hình : Nơi lưu trữ profile Click OK để hoàn tất việc copy profile.
vào Start -> Programs -> Administrative tools -> Active Directory User and Computer. Chọn Properties Ha Tran Quang.
Vào Tab Profile.
Hình : Profile path Click OK để hoàn tất.
Logoff tài khoản Administrator.
Hình : Logon tài khoản Ha Tran Quang
Như vậy chúng ta đã hoàn tất việc Roaming Profile. Tài khoản Hatq sẽ sử dụng các desktop, shortcut... của user profile.
Bây giờ chúng ta giải quyết một vấn đề thông dụng của Profile là Automatics Map Network Disks. Trong phần này các user khi đăng nhập vào hệ thống sẽ có một ổ đĩa network có sẵn trên máy tính của mình và khi thoát ra sẽ không còn ổ đĩa trên máy để tránh trường hợp thất thoát thông tin cũng như vấn đề riêng tư.
Trong bài này chúng ta có ví dụ về tài khoản Ha Tran Quang. Tài khoản này có một thư mục trên máy chủ là Hatq và đã share thư mục này trên máy chủ với quyền Full Control.
Hình : Cấp quyền cho user Ha Tran Quang
Dùng Notepad hoặc bất cứ chương trình soạn thảo văn bản nào để tạo file: “tranquangha.bat”. Nội dung trong file tranquangha.bat như sau: “net use z: \\svr1\hatq”.
Hình 3.29: Nội dung file Tranquangha.bat Copy file này vào thư mục:
Hình 3.30: Nơi lưu trữ file Tranquangha.bat
Vào Profile tab của user Ha Tran Quang. Trong mục Logon cripts: gõ tên file mới tạo:
Hình : Nhập tên file Logon script Click OK.
Hinh : Đĩa ảo của user khi logon vào mạng
Như vậy tài khoản hatq có thể lưu trữ tài liệu của mình trên máy chủ và chỉ có Hatq mới có thể chỉnh sửa, xóa... tài liệu của mình.
2.5. Các nhóm mặc định
Khi một máy tính trở thành một domain controller, những group được tạo trong dịch vụ Active Directory. Mặc định, những group này có những quyền được xác định trước để quyết định những thao tác hệ thống mà các thành viên của group hay các group có thể thực hiện. Những group này không thể bị xoá. Danh (adsbygoogle = window.adsbygoogle || []).push({});