2. Cơ sở lí thuyết.
2.3 Quản lý tài khoản Backup Operators
Administratorschứa một nhóm có sẵn tên là Backup Operators. Các thành viên của nhóm này được coi như những người quản trị dịch vụ, bởi vì các thành viên của nhóm này có quyền khôi phục các file, bao gồm các file hệ thống trên các domain controller. Thành viên của nhóm Backup
Operators trong Administratorssẽ được giới hạn bao gồm những cá nhân thực hiện sao lưu và khôi phục các domain controller.
Tất cả các máy chủ thành viên cũng chứa một nhóm có sẵn được gọi là Backup Operators ở trên mỗi máy chủ đó. Các cá nhân những người chịu trách nhiệm cho việc sao lưu các ứng dụng trên mỗi máy chủ thành viên sẽ là thành viên của nhóm Backup Operators trên máy chủ đó chứ không phải là thành viên nhóm Backup Operators trong Active Directory.
Trên một domain controller riêng, bạn có thể giảm số lượng thành viên của nhóm Backup Operators. Khi một domain controller được sử dụng để chạy các ứng dụng khác, các cá nhân chịu trách nhiệm cho việc sao lưu các ứng dụng trên các domain controller cũng phải được tin cậy như người quản trị dịch vụ, bởi vì họ sẽ có quyền cần thiết để khôi phục file, bao gồm
Bởi mặc định, nhóm Backup Operators rỗng. Các thành viên của nó có thể được thay đổi bởi các thành viên của các nhóm administrators,
Domain Administrators, and Enterprise Administrators. Các quyền được liệt kê trong bảng II.1
Bảng II.1 Kí hiệu bảo mật để bảo vệ nhóm Backup Operators trong Active Directory
Dạng Tên
Quyền Áp
dụng tới Allow Administrators List Contents
ReAdministratorsAll Properties
Write All Properties Delete
ReAdministratorsPermissions Modify Permissions
Modify Owner All Validated Writes All Extended Rights Create All Child Objects Delete All Child Objects
Chỉ đối tượng này Allow Authenticated Users List Contents ReAdministratorsAll Properties ReAdministratorsPermissions Chỉ đối tượng này
Dạng Tên Quyền Áp dụng tới Allow Domain Admins List Contents ReAdministratorsAll Properties
Write All Properties
ReAdministratorsPermissions Modify Permissions
Modify Owner All Validated Writes All Extended Rights Create All Child Objects Delete All Child Objects
Chỉ đối tượng này Allow Enterprise admins List Contents ReAdministratorsAll Properties
Write All Properties
ReAdministratorsPermissions Modify Permissions
Modify Owner All Validated Writes All Extended Rights Create All Child Objects Delete All Child Objects
Chỉ đối tượng này
Dạng Tên
Quyền Áp
dụng tới Allow Everyone Change Password Chỉ đối
tượng này Allow Pre–Windows 2000 Compatible Access List Contents ReAdministratorsAll Properties ReAdministratorsPermissions Đặc biệt
Allow SYSTEM Full Control Chỉ đối
tượng này
Ghi chú: các từ chuyên ngành khó hiểu sẽ được chú thích trong phụ lục