Chính sách cục bộ (local Policy) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào tính năng trên bạn cĩ thể cấp quyền hệ thống cho người dùng và thiết lập các lựa chọn bảo mật.
4. Cấu hình chính sách kiểm tốn (Audit Policies).
Chính sách kiểm tốn giúp ta cĩ thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng.
Chính sách Mơ tả
Audit Account Logon Events Ghi nhận khi người dùng logon,logoff hay tạo 1 kết nối mạng
Audit Account Management Ghi nhận khi tài khoản người dùng hay nhĩm được tạo xố hay các thao tác quản lí người dùng
Audit Directory Service Access Ghi nhận việc truy cập các dịch vụ thư mục
Audit Logon Events Ghi nhận các sự kiện liên quan đến quá trình logon như thi hành 1 logon script hay truy cập đến 1 roaming profile
Audit Object Access Ghi nhận việc truy cập các tập tin ,thư mục,máy in Audit Policy Change Ghi nhận các thay đoi trong chính sách kiểm tốn
Quyền người dùng là quyền hệ thống cung cấp cho người các quyền quản trị và sử dụng hệ thống.
Quyền Mơ tả
Access This Computer form the Network
Cho phép người dùng truy cập máy tính trên mạng.Mặc định mọi người đều cĩ quyền này
Act as Part of the Operating System Đĩng vai trị như một phần được ủy nhiệm của Hệ điều hành.
Add Workstations to the Domain Làm cho máy trạm là thành viên của miền.
Back Up Files and Directories Cho phép người dùng sao lưu dự phịng các tập tin và thư mục bất chấp các tập tin và thư mục này người đĩ cĩ quyền hay khơng
Create a page file Tạo một tập tin phân trang.
Bypass Traverse Checking Cho phép người dùng duyệt qua cấu trúc thư mục nếu người dùng khơng cĩ quyền xem (list) nội dung thư mục này.
Change the System Time Cho phép người dùng thay đổi giờ hệ thống máy Create a Token Object Tạo các thẻ hiệu truy cập, chỉ bộ phận lọai Security
Authority mớI cĩ quyền này.
Create Permanent Shared Objects Tạo ra những đốI tượng vĩnh viễn đặc biệt. Debug Programs Quyền gở rốI ứng dụng.
Deny Access to This Computer from
the Network Người dùng hay nhĩm khơng được truy cập đến cácmáy tính trên mạng Deny Logon as a Batch File Cho phép bạn ngăn cản những người dùng và nhĩm
được phép logon như 1 batch file Deny Logon as a Service Thu hồI quyền logon locally. Enable Computer and User Accounts to
Be Trusted by Deletgation Chỉ định các tài khoản được ủy nhiệm. Force Shutdown from a Remote
System Buộc máy này phảI tắt đi từ một máy ở xa. Generate Security Audits Tạo một đề mục ghi chép kiểm tĩan. Increase Quotas Tăng các hạn ngạch của đốI tượng.
Increase Scheduling Priority Tăng cường độ ưu tiên lịch biểu của một quá trình xử lý.
Load and Unload Device Drivers Cho phép người dùng cĩ thể cài đặt hay gỡ bỏ các driver của các thiết bị
cho chúng bị đưa vào bộ nhớ lưu trử dự phịng. Log On as a Batch Job Cho phép 1 tiến trình logon vào hệ thống và thi hành
1 tập tin chứa các lệnh hệ thống
Log on as a Service Cho phép 1 dịch vụ logon và thi hành 1 dịch vụ riêng (thực hiện các dịch vụ bảo mật).
Logon Locally Cho phép người dùng Logon tại máy server Manage Auditingand Security Log Cho phép người dùng quản lí security log Modify Firmware Environment
Variables
Sử đổI biến mơi trường hệ thống.
Profiles Single Process Cho phép người dùng giám sát các tiến trình bình thường thơng qua cơng cụ Performancẻ Logs and Alerts
Profile System Performance Cho phép người dùng giám sát các tiến trình hệ thống thơng qua cơng cụ Performancẻ Logs and Alerts. Remove Computer from Docking
Station
Cho phép người dùng gỡ bỏ 1 Laptop thơng qua giao diện người dùng của Windows 2000
Replace a Process Level Token Sửa đổI thẻ hiệu truy cập của một quá trình.
Restore Files and Directories Cho phép người dùng phục hồi tập tin và thư mục ,bất chấp người dùng này cĩ quyền trên file và thư mục này hay khơng.
Shut Down the System Cho phép người dùng shutdown máy cục bộ windows 2000
Synchronize Directory Service data Cập nhật thơng tin của Active Directory. Take Ownership of Files or Others
Objects
Cho phép người dùng tước quyền sỡ hữu của 1 đối tượng hệ thống (chiếm quyền sở hữu tập tin, thư mục và đốI tượng khác, vốn trước đĩ được những ngườI dùng khác sở hữu.
6. Các lựa chọn bảo mật (Security Options).
Các lựa chọn bảo mật cho phép quản trị Server định nghĩa các quyền và giao diện tương tác trên Server giúp các người quản trị thao tác trên server dễ dàng và an tồn hơn.
Tên lựa chọn Mơ tả Mặc định
Allow Server Operators to Schedule Tasks(domain controller only)
Cho phép nhĩm Server Operator lập lịch tác vụ trên Server
Khơng định nghĩa Allow System to Be Shut Down
Without Having to Log On
Cho phép người dùng Shutdown hệ thống mà khơng cần Logon
Objects hệ thống tồn cục Automatically Log Off users When
Logon Time Expires Tự động logoff khỏi hệ thống khingười dùng hết hạn thời gian sử dụng Cho phép
Disable CTRL+ALT+DEL
Requirement for logon
Khơng yêu cầu bấm 3 phím CTRL+ALT+DEL khi logon
Khơng cho phép Do Not Display Last user Name in
Logon Screen
Khơng hiển thị tẹn người dùng đã logon trên hộp thoạI Logon
Khơng cho phép Rename Administrator Account Cho phép đổi tên tài khoản
Administratror
Khơng cho phép Rename Guest Account Cho phép đổi tên tài khỏan Guest Khơng cho phép
Thực hành:
- Gán quyền người dùng (User Right)
- Các quyền trên Group:
1. Nhĩm Administrator:
- Cĩ chức năng quản trị trên tất cả các máy tính thành viên vùng. Tài khoản này cĩ quyền tạo, xĩa, quản lý nhĩm cục bộ (local group), nhĩm tồn cục (global group)gán quyền người dùng, quản lý chia sẻ tài nguyên, lắp đặt chương trình HĐH, định dạng đĩa, tạo nhĩm chương trình…
2. Backup Operators(người vận hành lưu trữ).
- Thành viên nhĩm này cĩ quyền lưu trử, phục hồi file và thư mục. Họ cĩ thể thự hiện các tác vụ lưu trữ ngay cả nếu họ khơng cĩ quyền đọc viết.
- Backup Operator cĩ quyền tắt hệ thống, cài đặt màn hình nền. Mặc định khơng cĩ thành viên nào được xác định trước của nhĩm Backup Operators.
3. Account Operator (người vận hành tài khoản).
- Thành viên nhĩm này cĩ quyền quản lý tài khoản nhĩm và tài khoản người dùng vùng (domain user Account). Cĩ thể tạo xĩa tất cả tài khoản người dùng, tài khoản nhĩm.
- Account Operators khơng thể thay đổi các nhĩm cục bộ Administrators, Server Operators, Account Operator, Print Operator & Backup Operator, khơng cĩ năng lực gán quyền người dùng.
4. Guest.
- Cĩ quyền như user.
5. Print Operator (người vận hành máy in).
- Người dùng là thành viên nhĩm này cĩ quyền: chia sẻ máy in, ngưng chia sẻ máy in, quản lý các máy in chạy trên server, đăng nhập cục bộ ở máy phục vụ (server) và thốt khỏi chúng.
6. Replicator.
- Nhĩm này tồn tại trên máy chủ và máy trạm.
- Cĩ quyền sao chép thư mục.
7. Server Operator (người vận hành máy phục vụ).
- Cĩ nhiều năng lực tương tự nhĩm Administrators, nhưng họ khơng cĩ quyền bảo mật trên máy phục vụ.
- Chia sẻ và ngưng chia sẻ máy in, thư mục, định dạng đĩa, đăng nhập, lưu trữ & phục hồi file, tắt máy phục vụ.
- Server Operator khơng thể khởi động & ngừng dịch vụ, họ cũng khơng thể được gán quyền để thực hiện điều đĩ.
8. User.
Người dùng mạng bình thường.
9. Power users.
- Thực hiện tác vụ mà user cĩ.
- Quản lý tài khoản người dùng họ đã tạo, chia sẻ và ngưng chia sẻ thư mục, máy in, cài chương trình.
10. Domain Admins.
Nhĩm tồn cục (global group) domain Admin là thành viên của nhĩm cục bộ Administrator, cĩ các chức năng quản trị.
11. Domain Users.
BÀI 17: CÀI ĐẶT VÀ CẤU HÌNH DHCP, DNS