Quản trị tài khoản

Một phần của tài liệu Giao trinh quan tri mang co ban (Trang 27 - 33)

Một trách

nhiệm quan trọng của điều hành viên mạng là tạo, bảo trì, và xoá các tài khoản người dùng. Khi điều hành viên mạng tạo tài khoản cho người dùng, họ phải gán một số thuộc tính cho tài khoản, bao gồm tên người dùng, mật khẩu và vài tham số định nghĩa các nội dung như thư mục nhà và mối quan hệ thành viên của người dùng. Điều hành viên mạng cũng phải quản trị các giấy phép truy cập kết hợp với từng tài khoản người dùng.

a. Tạo tài khoản người dùng

Người làm việc trên mạng cần phải có một tài khoản người dùng. Tài khoản (account) gồm có tên người dùng (user name) và các tham số đăng nhập được thiết lập cho người dùng đó. Thông tin này do nhà quản trị gõ vào và được hệ điều hành lưu trữ trên mạng. Mạng sử dụng tên người dùng để thẩm tra tài khoản khi người dùng muốn đăng nhập mạng.

Mạng nào cũng có tiện ích mà nhà quản trị có thể sử dụng để gõ tên mọi tài khoản mới vào CSDL bảo mật của mạng. Tiến trình này được gọi là tiến trình tạo người dùng.

Gõ thông tin người dùng

Tài khoản mới chứa thông tin nhận diện người dùng với hệ thống bảo mật cuả mạng. Thông tin này gồm có:

• Tên người dùng và mật mã

• Quyền truy cập hệ thống và sử dụng tài nguyên hệ thống của người dùng

• Các nhóm quản trị mà tài khoản trực thuộc, và những nhóm khác mà tài khoản đã được chỉ định.

Những vùng được dùng để tạo người dùng mới: • Username

• FullName • Description

• Password và Confirm Password

Định rõ tham số người dùng

• Hầu như mạng nào cũng cho phép người quản trị định rõ một vài tham số cho người dùng, gồm có:

• Thời điểm đăng nhập: Nhằm giới hạn thời điểm đăng nhập của người dùng • Thư mụcchủ: Cho người dùng một nơi lưu trữ các file cá nhân

• Ngày hết hạn: Để giới hạn thời gian tồn tại trên mạng của người dùng tạm thời

Profile

Sẽ là thuận lợi nếu như nhà quản trị có khả năng tổ chức môi trường mạng cho vài người dùng nhất định. Khả năng này có thể cần thiết, ví dụ, để duy trì mức độ bảo mật nào đó, hay người dùng vẫn còn xa lạ với máy tính và mạng, họ có thể tự mình sử dụng công nghệ này. Nhà quản trị sử dụng các profile để kiểm soát môi trường đăng nhập của người dùng

Profile được dùng để lập cấu hình và duy trì môi trường đăng nhập của người dùng, bao gồm các nối kết mạng và các khoản mục chương trình xuất hiện khi người dùng đăng nhập. Đó là:

• Các kết nối với máy in • Kích thước và vị trí cửa sổ • Biểu tượng

• Những xác lập thiết bị mouse • Sự sắp xếp màu trên màn hình • Hình ảnh bảo vệ màu màn hình

• Tập hợp tham số của profile còn có thể bao gồm những điều kiện đăng nhập đặc biệt và thông tin về nơi người dùng lưu trữ các file cá nhân.

Những tài khoản người dùng quan trọng

Hệ điều hành mạng có kèm theo một số dạng tài khoản người dùng nhất định, vốn đã được tạo sẵn và tự động được kích hoạt trong tiến trình cài đặt hệ điều hành

• Administrator

Khi hệ điều hành mạng được cài đặt, trình cài đặt tự động tạo ra một tài khoản có đầy đủ thẩm quyền trên mạng. Một người nào đó phải có các khả năng:

- Khởi động mạng

- Định rõ những tham số ban đầu về chế độ bảo mật - Tạo những tài khoản người dùng khác

Người đầu tiên đăng nhập mạng thường chính là người đứng ra cài đặt hệ điều hành mạng. Sau khi đăng nhập với tư cách là nhà quản trị mạng, người này có đủ thẩm quyền kiểm soát toàn bộ hoạt động mạng.

• Tài khoản Guest

Trình cài đặt còn tự động tạo một tài khoản mặc định thứ hai tên là Guest. Đây là tài khoản dành cho người nào không có tài khoản người dùng hợp lệ nhưng lại cần truy nhập mạng tạm thời. Một số hệ điều hành, như Microsoft WindowsNT Server, vô

hiệu hoá tài khoản Guest sau khi được cài đặt. Nhà quản trị mạng phải kích hoạt tài khoản này.

• Mật khẩu

Giúp bảo đảm tình trạng bảo mật của môi trường mạng. Mật khẩu ngăn không cho những người dùng không có thẩm quyền tự ý đăng nhập mạng với tư cách nhà quản trị và tạo tài khoản.

Nên thay đổi tài khoản theo định kỳ.

b. Tài khoản nhóm

Mạng có thể hỗ trợ hàng ngàn tài khoản. Các mạng giải quyết việc thi hành nhiều lần chế độ bảo mật bằng cách tập hợp nhiều tài khoản người dùng riêng biệt thành một dạng tài khoản gọi là nhóm (group). Nhóm là một tài khoản chứa nhiều tài khoản khác. Lý do thành nhập nhóm chẳng qua chỉ là để đơn giản hoá việc quản trị. Nhóm giúp nhà quản trị có khả năng xử lý một số lượng lớn người dùng đưới dạng một tài khoản

Hoạch định cho nhóm

Vì nhóm là công cụ quản trị mạng rất hiệu quả, nên chúng cần được lưu tâm xem xét khi hoạch định mạng. Trên thực tế, nhà quản trị giàu kinh nghiệm cảm thấy không nên có bất kỳ tài khoản mạng cá nhân nào cả. Mọi tài khoản sẽ có những quyền truy cập và hoạt động chung. Quyền truy cập cho phép người dùng thi hành một vài hoạt động nhất định trên hệ thống. Quyền người dùng (right) áp dụng cho hệ thống dưới dạng tổng thể và khác với quyền truy cập (permission). Ví dụ, người dùng có thể có quyền sao lưu hệ thống. Quyền truy cập và quyền người dùng phải được cấp cho nhóm, sao cho nhà quản trị có thể xử lý nhóm như tài khoản đơn lẻ.

Nhóm được dùng để:

• Ban hành quyền truy cập tài nguyên, chẳng hạn file, thư mục, máy in. Quyền try cập ban hành cho nhóm cung tự động được ban hành cho mọi thành viên trong nhóm

• Cho quyền thi hành những tác vụ trên hệ thống, chẳng hạn như sao lưu và phục hồi file. Mặc định tài khoản người dùng không có quyền lợi gì cả. CHúng nhận được quyền lợi thông qua các thành viên trong nhóm

• Đơn giản hoá các cuộc giao tiếp bằng cách giảm bớt số lượng thông điệp cần được soạn thảo và gửi đi

Tiến trình thiết lập nhóm tương tự tiến trình thiết lập tài khoản người dùng cá thể. Hầu như mạng nào cũng có một tiện ích hỗ trợ nhà quản trị đưa vào sử dụng những nhóm mới. Trong Microsoft Windows NT Server, tiện ích này có tên User Manager for Domain, được xếp vào nhóm chương trình Administrative Tools

Trong User Manager, nhấn chọn New Local Group từ menu User. Hộp hội thoai Newlocal Group hiển thị, cho phép chúng ta gõ thông tin cần thiết vào để tạo một nhóm cục bộ mới, như hình 2.3.

Các loại nhóm

Trong Microsoft Windows NT Server sử dụng bốn loại nhóm: • Nhóm cục bộ (local group)

Dạng nhóm này được sử dụng ở cơ sở dữ liệu tài khoản của từng máy tính. Nhóm cục bộ bao gồm các tài khoản người dùng cá thể vốn có quyền người dùng (right) và quyền truy cập (permission) trên máy tính cục bộ và những tài khoản nhóm khác • Nhóm toàn cục (global group)

Dạn nhóm này được ngang qua toàn vùng. Nhóm toàn cục được thiết lập trên máy phục vụ điều khiển vùng chính (PDC), và có thể chứa tài khoản người dùng từ cơ sở dữ liệu tài khoản thuộc vùng của riêng nhóm

Nhóm đặc biệt (special group)

Nhóm đặc biệt thông thường do Windows NT Server sử dụng để truy cập tài nguyên từ hệ thống nội bộ

Nhóm cài sẵn (Built-in Group)

Có một số tính năng giống nhau ở tất cả các mạng, bao gồm hầu hết tác vụ quản trị và bảo trì. Nhà quản trị có thể tạo tài khoản cà nhóm với những quyền truy nhập thích hợp nhằm thi hành những tác vụ thông thường này, nhưng nhiều hệ điều hành mạng đã giúp nhà quản trị mạng không phải mất công tạo những nhóm và tài khoản này, bằng cách cung cấp chúng dưới dạng nhóm cục bộ hoặc nhóm toàn cục tạo sẵn, được tự động tạo trong tiến trình cài đặt

Nhóm cài sẵn được chia thành 3 loại:

Administrators-Thành viên của nhóm này có đầy đủ khả năng trên một máy tính Operator-type group-Thành viên của nhóm này có khả năng quản trị khá hạn chế đối với việc thi hành những tác vụ đặc biệt

Other-Thành vien của những nhóm này có khả năng thi hành những tác vụ giới hạn

Cấp đặc quyền cho nhóm

Cách dễ dàng nhất để ban hành những quyền truy cập tương tự cho một số lớn người dùng là trao chúng cho một nhóm. Người dùng sau đó sẽ được bổ sung vào nhóm. Tiến trình tương tự cũng được áp dụng cho nhóm cài sẵn. Ví dụ, nếu nhà quản trị muốn người dùng nào đó có các khả năng quản trị trên mạng, anh ta sẽ kết nạp người dùng này vào nhóm Administrators cài sẵn.

c. Vô hiệu hoá và huỷ bỏ tài khoản người dùng

Thỉnh thoảng, nhà quản trị phải làm sao để chặn đứng trạng thái hoạt động trên mạng của một tài khoản nào đó, bằng cách vô hiệu hoá hoặc huỷ bỏ tài khoản này

Vô hiệu hoá tài khoản

Nếu tài khoản chỉ bị vô hiệu hoá, nó vẫn tồn tại trong cơ sở dữ liệu tài khoản của mạng, nhưng không ai có thể sử dụng tài khoản này để đăng nhập mạng. Một tài khoản bị vô hiệu hoá có vẻ không còn hiện hữu

Tốt nhất nhà quản trị nên vô hiệu hoá tài khoản ngay khi đã xác minh rằng người dùng không còn sử dụng nó nữa. Và một khi đã quyết định không bao giờ cần dùng đến tài khoản này thì có thể huỷ nó đi.

Windows NT Server dùng cửa sổ User properties trong User Manager để vô hiệu hóa tài khoản người dùng. Nhấn đúp tên tài khoản, nhắp chọn Account Disabled, nhấn OK. Tài khoản người dùng lúc này đã bị vô hiệu hoá

Hình 2.4 Vô hiệu hóa một tài khoản

Huỷ bỏ tài khoản

Việc huỷ bỏ tài khoản sẽ xoá đi thông tin về người dùng khỏi cơ sở dữ liệu tài khoản người dùng mạng, người dùng đó sẽ không còn truy cập mạng được nữa

Nên huỷ bỏ tài khoản người dùng mạng khi:

• Người dùng đã rời tổ chức và không còn lý do công việc nào để sử dụng mạng • Thời hạn làm việc của người dùng đã hết

Trong Microsoft Windows NT Server sử dụng tiện ích User Manager, chọn tài khoản cần huỷ bỏ, nhấn Delete, nhấp OK. Tài khoản lúc này đã bị huỷ bỏ

Một phần của tài liệu Giao trinh quan tri mang co ban (Trang 27 - 33)

Tải bản đầy đủ (DOC)

(82 trang)
w