Khái lược người dùng bao gồm cấu hình các sở thích các tùy chọn cho một người cụ thể. Bảng sau đây sẽ liệt kê các thiết lập có trong khái lược người dùng.
Các thông số được lưu Nguồn
người dùng có thể xác định
Các văn bản lưu trữ của người dùng My Documents Các file lưu trữ của người dùng My Pictures Các Shortcut và cookie cho các web site ưa
thích trên Internet
Favorites/ cookies Các ổ mạng được ánh mà người dùng tạo ra Mapped network drive Liên kết tới các máy tính khác trên mạng My Network Places Biểu tượng đặt trên màn hình nền, thanh tác
vụ và các yếu tố Shortcut
Desktop Contents Màu màn hình và các thiết lập hiển thị chữ Screen colors and fonts Dữ liệu ứng dụng và các thiết lập cấu hình do
người dùng xác định
Application data and registry
Các kết nối tới máy in mạng Print er settings Tất cả các thiết lập người dùng trong Control
Panel
Control Panel Các thiết lập chương trình hướng người dùng
cho các ứng dụng được thiết kế để theo dõi các thiêt lập chương trình
Programs certified for use with Windows 2000 and later operating systems
Chứng chỉ Cerificate store Bảng 2.5: Các thiết lập tại khái lược người dùng
1. Cấu trúc thư mục khái lược người dùng:
Khái lược người dùng cục bộ đặt tại hệ thống của máy tính tại Folder Document and settings. Khi đăng nhập đầu tiên, Windows server 2003 tạo folder con trong thư mục Document and settings, với tên là tên đăng nhập
Chức năng của các folder trong khái lược người dùng là:
- Application Data: Foled ẩn chứa dữ liệu xác định trong chương trình, như từ điển tùy chỉnh. Nhà phát triển ứng dụng sẽ quyết dịnh dữ liệu nào sẽ được lưu trong Folder này
- Cookies: Chứa thông tin người sử dụng trang web và các sở thích của người dùng được Internet Explorer lưu
- Desktop: chứa các biểu tượng trên màn hình nền, bao gồm Shortcut đến các file và Folde
- Favorites: Chứa các Shortcut tới các trang được ưa thích trên Internet. - Local Settings: Là Folder ẩn, chứa Folder Application Data và Folder
History, cũng như các Folder phụ thêm khác dành cho việc chứa các File tạm thời.
- My Documents: chứa các tài liệu được lưu trữ bởi người dùng
- My Recent Document: Là Folder ẩn chứa các Shortcut của các tài liệu mới vừa được sử dụng hoặc các Folder mới được truy nhập tới.
- NetHood: Là Folder ẩn, chứa các Shortcut tới các mục trong My Network Places
- PrintHood: Là Folder ẩn, chứa các Shortcut tới các mục của Folder Printer.
- Send to: Là Folder ẩn, chứa các Shortcut tới các tiện ích quản lý văn bản.
- Thực đơn Start: chứa các Shortcut đến các file chạy và các file khác tạo thành thực đơn Start.
- Templates: Chứa các mục mẫu của người dùng.
Khái lược người dùng còn chứa một bản của FileNtUser.dat, đây là file đăng kí của Windows server 2003 chứa các thiết lập của người dùng. Ngoài ra, các thiết lập còn gồm rất nhiều các tùy chọn mà bạn có thể cấu hình tại Contron Panel.
2. Sử dụng khái lược người dùng cục bộ
Việc sử dụng khái lược người dùng cục bộ trên máy tính sử dụng Windows server 2003 là hoàn toàn ẩn đối với các người dùng thông thường. Hệ điều hành khởi tạo khái lược người dùng một cách tự động cho mỗi người dùng khi đăng nhập lần đầu. các lần đăng nhập tiếp theo, Windows sever 2003 sẽ tải cấu hình từ đúng khái lược người dùng của hộch trước đó. Thậm chí người dùng không biết chính họ đã thay đổi thiết lập khái lược người dùng cục bộ của mình, đơn giản như là thay đổi thiết lập màn hình nền, lưu các địa chỉ ưa thích mới hoặc đổi lại mầu màn hình. Khi người dùng thay đổi môi trường màn hình nền, Windows sever 2003 sẽ kết hợp thay đổi đó vào khái lược người dùng lưu trên máy tính và sử dụng cho lần đăng nhập tiềp theo. Như vậy, người dùng đăng nhập vào máy tính chạy Windows sever 2003 sẽ luôn được thiết lập màn hình nền như phiên kết nối trước đó. Khi nhiều người dùng chung một máy tính thì mỗi người dùng duy trì và nhận được khái lược người dùng riêng.
3. Sử dụng khái lược người dùng di trú (Raoming Profile)
Để hỗ trợ người dùng làm việc trên nhiều máy tính, người quản trị mạng có thể thiết lập khái lược người dùng di trú cho người dùng. Khái lược người dùng thiết lập các khái lược người dùng di trú cho người dùng. Khái lược người dùng di trú đơn giản là sao chép của khái lược người dùng cục bộ và được lưu trữ chia sẻ trên mạng (tại nơi người dùng có các cấp phép phù hợp), do đó người dùng có thể truy nhập bất cứ máy tính nào trên mạng. Cho dù người dùng đăng nhập từ bất cứ máy tính nào trên mạng họ cũng luôn nhận được cùng một thiết lập màn hình nền và kết nối từ khái lược người dùng được để trên máy chủ, hoàn toàn ngược lại với người dùng cục bộ, chỉ nằm tại một máy trạm.
Để người dùng truy nhập vào khái lược người dùng di trú thay cho khái lược người dùng cục bộ, bạn phải mở hộp thoại Properties của người dùng và chỉ vị trí của khái lược người dùng di trú tại hộp thoại Profile Path trong Profile thẻ. Lần tiếp theo người dùng đăng nhập, Windows server 2003 tuy nhập vào khái lược người dùng di trú như sau:
(1)Khi người dùng đăng nhập lần đầu tiên, máy tính sao chép toàn bộ nội dung của khái lược người dùng di trú vào Folder con của File tương ứng trong Folder Documents And Settings trên đĩa cục bộ của máy tính này. (2)Nội dung khái lược người dùng di trú của người dùng chứa trên đĩa cho
phép người dùng đăng nhập và truy nhập tới khái lược người dùng ngay cả khi máy chủ chứa khái lược người dùng di trú không hoạt động
(3) Máy tính khi áp dụng các thiết lập có trong khái lược người dùng di trú dành cho nó
(4) Khi người dùng làm việc mà có bất kì thay đổi nào ảnh hưởng tới khái lược người dùng chúng sẽ được lưu vào bản sao trên đĩa cục bộ
(5) Khi người dùng thoát khỏi Windows máy tính sẽ đồng bộ thay đổi từ bản sao cục bộ lên khái lược người dùng di trú trên máy chủ
(6)Lần đăng nhập tiếp theo trên cùng máy tính này, hệ thống sẽ so sánh nội dung của khái lược người dùng được để lại máy cục bộ với khái lược người dùng cư trú trên máy chủ.
(7)Máy tính chỉ sao chép những thành phần của khái lược người dùng di trú thay đổi vào bản sao cục bộ việc này làm tiến trính đăng nhập vào nhanh và hiệu quả hơn.
Nên tạo khái lược người dùng di trú trên máy chủ quản lý file nào mà người ta thường xuyên thực hiện việc sao lưu (Backup), nhờ đó ta sẽ có được các bản sao của các khái lược người dùng mới nhất cho các người dùng. Để tăng tốc độ đăng nhập trên các mạng có nhiều lưu thông, hãy đặt khái lược người dùng di trú trên máy chủ thành viên, thay cho máy chủ điều khiển miền. Việc sao chép khái lược người dùng di trú giữa máy chủ và các máy trạm có thể tốn nhiều tài nguyên hệ thống như băng thông mạng và các chu kỳ xử lý. Nếu để Khái lược Người dùng trên máy chủ điều khiển miền, tiến trình xác thực của các người dùng miền sẽ bị chậm.
2.21– Sử dụng người dùng bắt buộc
Khái lược người dùng bắt buộc chính là khái lược Người dùng di trú dạng chỉ đọc.Người dùng cũng nhận được các thiết lập màn hình nền như khi họ làm việc với khái lược người dùng di trú và họ có thể cấu hình màn hình nền sau khi đã đăng nhập nhưng không một thay đổi nào được ghi lại khi thoát ra khỏi windows. Lần đăng nhập tiếp theo, Khái lược người dùng lại giống lần đăng nhập trước. Trong windows server 2003 tải Khái lược Người dùng Bắt buộc vào máy tính cục bộ mỗi lần người dùng đăng nhập. Bạn có thể gán một Khái lược Người dùng Bắt buộc cho nhiều người dùng có chung một yêu cầu đối với các thiết lập màn hình nền,
ví dụ: như một nhóm người dùng có cùng một công việc. Do khái lược người dùng không bao giờ bị thay đổi, nên bạn không cần lo là ai đó làm thay đổi gây ảnh hưởng tới những người dùng khác. Ngoài ra, khái lược người dùng bắt buộc còn giúp bạn có thể thay đổi môi trường màn hình nền
cho nhiều người dùng bằng cách chỉ thay đổi duy nhất một khái lược người dùng mà thôi.
Để tạo khái lược người dùng bắt buộc ta chỉ cần đổi tên File NtUser.dat trong Folde chứa khài lược người dùng di trú thành NtUser.man, File NtUser.dat là file ẩn chứa các thiết lập đăng kí của Windows server 2003 áp dụng cho từng tài khoản người dùng đơn lẻ và chứa các thiết lập môi trường của người dùng như hiển thị nền. Đôi khi file này với phần mở rộng là làm nó thành chỉ đọc, ngăn không cho các máy tính người dùng lưu các thay đổi vào khái lược người dùng khi người dùng thoát khỏi windows.
2.22- Giám sát việc xác thực sự cố người dùng
Khi bạn đã cấu hình đối tượng người dùng và người dùng sẽ xác thực thông qua các tài khoản như vậy, bạn sẽ gặp phải hai thách thức là các điểm yếu bảo mật, trong trường hợp nếu không được xác định rõ sẽ làm ảnh hưởng tới tính toàn vẹn của mạng và cách thức về kĩ năng xã hội, khi bạn làm cho quá trình xác thực trở lên thân thiện và đáng tin cậy đối với người dùng. Không may hai điểm này lại bất đồng với nhau, nếu tính bảo mật càng cao bao nhiêu thì tính thân thiện với người dùng càng kém bấy nhiêu.
Việc thực hiện các tính năng bảo mật cho quá trình xác thực người dùng của windows Server 2003 sẽ thường xuyên gây ra các rắc rối khi người dùng đăng nhập và một phần công việc của người quản trị mạng là giải quyết các rắc rối khi chúng xảy ra
Sử dụng các chính sách mật khẩu mà Windows server 2003 cung cấp, cho phép bạn xác định chiều dài, độ phức tạp và thời hạn của mật khẩu được người dùng cung cấp cho tài khoản của họ. Mục đích của chính sách này buộc người dùng đặt mật khẩu một cách hiệu quả. Chính sách mật khẩu buộc người dùng phải sử dụng các mật khẩu có độ an toàn cao. Bạn phải thiết kế chính sách mật khẩu sao cho nó có một hiệu quả khi mà các kẻ xâm nhập khi xâm nhập vào mà trong khi bạn vẫn đảm bảo được tính thân thiện tốt cho người dùng, để họ không bị quên mật khẩu
2.23 –Sử dụng chính sách khóa tài khoản
Việc khóa tài khoản xảy ra sau một số lần đăng nhập không thành công của người dùng, hệ thống giả thiết là có tấn công có hại tới tài khoản bằng cách dò tìm mật khẩu, bởi vậy sẽ khóa tài khoản để không được đăng nhập tiếp nữa. Chính sách khóa tài khoản miền xác định số lần đăng nhập không hợp lệ được phép thực hiện trong một khoảng thời gian đã định trước thì tài khoản bị khóa. Các chính sách này thậm chí còn được xác định có phải liên hệ với quản trị để bỏ khóa tài khoản này hay không hay chỉ đơn giản là bỏ khóa sau khi hết một thời hạn xác định.
Sử dụng chính sách nhóm để kiểm soát khóa tài khoản như sau:
- Account Lockout Threshold: Xác định số lần đăng nhập không thành công gây ra việc khóa tài khoản, giá trị này trong khoảng phù hợp. Nếu giá trị này quá thấp có thể gây nên khóa đối với lỗi người dùng thông thường trong khi đăng nhập. Giá trị là 0 ngăn không cho tài khoản người dùng bị khóa.
- Account Lockount Dnuration: Xác định thời hạn mà tài khoản người dùng sau khi bị khóa sẽ được Active Directory tự động mở lại. Chính sách này không được thiết lập mặc định do nó chỉ có tác dụng khi sử dụng kết hợp với chính sách Account Lockount Theshold. Giá trị này trong khoảng 10 tuần. Việc đặt giá trị này thấp là đủ giảm đáng kể các cuộc tấn công mà không làm ảnh hưởng các người dung hợp lệ bị khóa do lỗi. Giá trị 0 yêu cầu người dùng liên hệ với người quản trị mạng để mở khóa tài khoản này.
- Reset Account Lockount Counter After: Xác định thời hạn sau lần cố tình đăng nhập không thành công trước khi biến đếm khóa được đặt lại về giá trị 0.
Cũng giống như chính sách mật khẩu, bạn có thể cấu hình chính sách tài khoản tại bảng điều khiển Group Policy Object Editor. Chính sách khóa tài khoản cũng có thể có tại bảng điều khiển Local Secrity Policy. Khi triển khai chính sách khóa tài khoản trên mạng, bạn chắc chắn là sẽ nhận được một số cuộc gọi hỗ trợ nhất định từ người dùng mà họ đã không biết là đã tự khóa chính mình. Các cuộc gọi như vậy đôi khi lại được báo cáo là họ gặp một số trục trặc như mất mật khẩu hay các chức năng khác hoạt động không đúng. Khi đó các nhân viên hỗ trợ kỹ thuật cần phải biết rõ về chính sách khóa tài khoản trên mạng và thủ tục cần để mở tài khoản bị khóa để có thể xác định được chính xác về trục trặc thực tế xảy ra dựa trên báo cáo dường như không chính xác của người dùng.
2.24 –Dịch vụ Active Directory máy khách
Khi làm việc trên một mạng hỗn hợp, bạn cần nhớ là không phải mọi hệ điều hành thậm trí không phải tất cả các hệ điều hành Windows đều hỗ trợ Active Directory. Mà chỉ có trên hệ điều hành Windows XP và Windows server 2003 mới có tính năng này. Các máy tính chạy trên hệ điều hành khác có thể có chức năng này của dịch vụ Active Directory máy khách, nhưng bạn phải tải phần mềm Active Directory client từ trang web của Microsoft và cài đặt nó. Các máy khác có thể thực hiện rất nhiều tính năng của Active Directory trên hệ thống Windows server 2003, Windows XP và Windows 2000
+ Thêm vào đó khi làm việc trên một mạng hỗn hợp bạn nên ý thức được các vấn đề sau trong môi trường này là:
- Không có dịch vụ Active Directory máy khách, người dùng trong hệ thống chạy các phiên bản trước Windows 2000 chỉ có thể thay đổi mật khẩu nếu hệ thống truy nhập được tới máy điều khiển miền có chức năng như là Primary Domain Controller Emulator. Để xác định PDC- Emulator trong miền, mở Active Directory Users And Computers, chọn miền, chọn lệnh Operations Masters từ thực đơn Action , sau đó chọn thẻ PDC. Nếu PDC Emulator không làm việc (hoặc không ở trên mạng (offline) hoặc ở đang nằm trên phía bên kia của kết nối mạng bị đứt) thì người dùng không thể thay đổi được mật khẩu của họ.
- Ta đã biết người dùng duy trì hai thuộc tính tên người dùng đăng nhập. Khi người dùng đăng nhập, họ nhập tên người dùng và chọn miền danh sách chon Log On To. Cách khác nữa là tên người dùng có thể được vào theo dạng Domail Name/User Logon Name. Người dùng đăng nhập vào máy tính chạy hệ điều hành Windows 2000 hoặc các phiên bản sau đó của hệ điều hành Windows có thể đăng nhập theo cùng một cách như vậy, hoặc họ có thể sử dụng tên UPN theo dạng UserLogonName@UPN Suffix, trong đó UPN suffix mặc định là tên DNS miền của đối tượng người dùng. Khi đó bạn không cần phải chọn miền từ Log On To. Trên thực tế hộp chọn này sẽ bị vô hiệu hoá ngay sau khi bạn gõ kí hiệu @. 2.25 – Kiểm định xác thực
Nếu bạn lo rằng có thể có các cuộc tấn công dò tìm mật khẩu hoặc bạn muốn biết thêm thông tin về khắc phục các vấn đề sự cố xác thực, bạn có thể cấu hình chính sách kiểm định để ghi các sự kiện vào nhật kí bảo mật giúp bạn thấy rõ quá trính xác thực đã diễn ra như thế nào.Các chính sách kiểm định sau được đặt tại Computer Configuration \Windows Settings\Security Settings\Local Policies\Audit Policy ở cả hai bảng điều khiển Group Policy