QUẢN LÝ GROUP

Một phần của tài liệu Tài liệu giảng dạy Quản trị mạng (Ngành/Nghề: Công nghệ thông tin – Trình độ Cao đẳng) - Trường CĐ Kinh tế - Kỹ thuật Vinatex TP. HCM (2019) (Trang 73)

1. Tạo tài khoản nhóm

 Windows quản lý người dùng thơng qua nhóm, một người dùng có thể thuộc

nhiều nhóm. Việc quản lý người dùng thơng qua nhóm giúp cho người quản trị dễ dàng ph n chia danh m c để quản lý, việc thêm bớt người dùng dễ dàng.

Cách tạo nhóm nhƣ sau:

Trên màn hình Active Directory Users and Computers: nhấp phải chuột vào OU user chọn Group

Trang 64

Diễn giải:

 Tại m c Group name: Nhập vào tên nhóm

 Tại m c Group scope: chọn Domain Local Group

 Global Group: Là nhóm tồn c c

 Domain local Group: Là nhóm c c bộ miền

 Tại m c Group Type: Chọn Security

 Sau đó nhấp OK để áp d ng và đóng hộp thoại này.

2. Thêm thành viên cho nhóm:

Trên màn hình Active Directory Users and Computers nhấp phải vào tên nhóm và chọn Properties.

Trang 65 Nhấp thẻ Member

Trang 66

 Nhấp nút Add:

Trang 67

 Nhấp OK để áp d ng và thốt khỏi màn hình thuộc tính nhóm

Lƣu ý:

 Trên màn hình thuộc tính nhóm muốn Add thành viên cho nhóm thì nhấp thẻ

Members, muốn nhóm là thành viên của nhóm khác thì nhấp thẻ Members of.

 Nhóm Domain Local Group: chứa người dùng vùng và nhóm Global Group

Trang 68

 G1 là nhóm Global nhấp nút Add để thêm thành viên trên màn hình Select user khơng có tài khoản nhóm.

 Khi cấp quyền truy cập ta cấp quyền thơng qua nhóm Domain Local Group

 Thành viên của nhóm Global muốn được cấp quyền thì nhóm Global phải là

Trang 69

3. Các nhóm cài sẵn

 Các nhóm cài sẵn là các nhóm được tạo ra trong q trình cài đặt Windows

Server 2003 cịn được gọi là nhóm Builtin và là kiểu nhóm Security Group – Domain Local.  Các nhóm cài sẵn là các nhóm quản trị g m có:  Administrators  Account Operators  Backup Operators  Server Operators  Print Operators

Trang 70 Ngồi ra cịn có một số nhóm cài sẵn dùng quản trị Domain tức nó được tạo ra trong quá trình n ng cấp Server lên Domain Controller như:

 Trong đó có nhóm có sẵn thành viên một cách mặc định như nhóm Domain

Users:

Trang 71

Chƣơng 5. CHÍNH SÁCH NHĨM

Người dùng có các loại quyền sau:  User Right

 Permission

I. GIỚI THIỆU

Quyền User Right là quyền cấp cho user thực thi một số tác v trên hệ thống tức là một số quyền mà user được sử d ng trên server.

1. Một số quyền User Right

Để bi t quyền User Right có thể cấp cho người dùng là nh ng quyền nào ta mở như sau:

 Start/ Administrative Tool/ Domain Security Policy/

Local Policy/ User Rights Assignment

Trang 72

Chức năng của một số quyền:

 Access this computer from the network: Quyền được truy cập vào server

thông qua mạng.

 Act as part of the operating system: Quyền được thi hành một số ph n của hệ điều hành.

 Add workstation to domain: Quyền được thêm trạm làm việc vào domain.

 Allow logon locally: Quyền được đăng nhập c c bộ.

 Allow log on through terminal Services: Quyền đăng nhập thông qua dịch v

Terminal.

 Back up files and directories: Quyền sao lưu files và thư m c

 Change the system time: Quyền thay đổi thời gian hệ thống.

 Deny log on locally: không được quyền đăng nhập c c bộ

 Shut down the system: Quyền tắt máy.

Một người dùng khi được cấp quyền User Rights thì chỉ được thực hiện chức năng được cấp ngồi ra khơng được làm bất cứ việc gì khác

Ví d : Một người được cấp quyền log on locally thì chỉ có thể mở máy ngồi ra khơng có việc gì khác kể cả việc tắt máy cũng không được

2. Cách cấp quyền User Rights

Giả sử người dùng u1 không được cấp quyền Logon locally để logon n u vẫn dùng tài khoản u1 để đăng nhập s báo lỗi như sau:

Đăng nhập bằng tài khoản u1 khi chưa được cấp quyền logon locally

Trang 73

Để cấp quyền log on locally ta thực hiện nhƣ sau:

 Trên màn hình Domain Security Policy /Local Policies /User Rights Assignment nhấp đúp vào m c Allow logon locally

Thông báo của hệ thống là không thể log on

Trang 74

 Trên màn hình Allow log on locally Properties đánh dấu chọn m c Define these policy setting sau đó nhấp nút add xuất hiện màn hình Add User or Group

 Trên hộp thoại Add User or Group nhấp nút Browse làm xuất hiện hộp thoại Select

Users, Computers, or Groups trên hộp thoại này nhấp nút Advanced r i nhấp Find, nhấp chọn u1 trong hộp search results:

Trang 75

 Nhấp OK 3 l n để áp d ng và đóng hộp thoại này và trở về hộp thoại Allow log on locally properties

 Nhấp OK để k t thúc q trình cấp quyền và đóng hộp thoại Allow log on locally properties.

 Làm tương tự để Add u1 vào Domain Controller Security Policy \Local Policy \User Rights Assignment \Allow log on locally

Trang 76

Kiểm tra kết quả

 Log off server và đăng nhập với tài khoản u1 và đăng nhập thành công.

 Thử tạo tài khoản mới: trên màn hình Active Directory Users and Computers khi đăng nhập bằng u1 nhấp phải chuột vào OU User ta không thấy m c New để tạo các đối tượng mới như vậy là khơng tạo được gì

 Kể cả khi u1 tắt máy cũng không được

 Bằng cách tương tự thử lại với các quyền khác và với các Users khác nhau Trên menu thứ cấp này khơng có m c New để tạo các đối tượng mới

Trang 77

II. TRIỂN KHAI NHĨM

Người dùng có 2 loại quyền truy cập đó là: Share và NTFS

 Share: cấp quyền truy cập thư m c dùng chung

 NTFS: cấp quyền truy cập cho thư m c và tập tin

1. Một số đặc điểm quyền NTFS:

Quyền NTFS chỉ có thể được cấp trên volume được định dạng là NTFS.

Quyền truy cập NTFS cung cấp khả năng bảo mật cao hơn so với FAT và FAT32, vì chúng áp d ng cho thư m c và cho từng tập tin cá thể.

Quyền truy cập tập tin NTFS áp d ng cho cả nh ng ngừơi làm việc tại máy tính lưu tr dự liệu, lẫn người dùng truy cập thư m c hoặc tập tin qua mạng bằng cách k t nối tới thư m c dùng chung.

Có thể dùng quyền truy cập NTFS để bảo vệ tài ngun khỏi người dùng có thể truy cập máy tính bằng 2 phương pháp sau:

 Đăng nhập C c bộ, ng i ngay trước máy tính có tài ngun đang thường trú.

 K t nối từ xa tới thư m c dùng chung.

Có thể áp đặt nhiều cấp độ cho phép truy cập lên từng tập tin trong một thư m c. Ví d :

 Cho phép người này đọc và thay đổi nội dung của tập tin

 Cho phép người kia chỉ được quyền đọc tập tin và khơng cho bất cứ ai trong

nhóm người cịn lại được truy cập dưới bất kì hình thức nào. Chú ý:

Khi một volume được định dạng NTFS thì Permission mặc định của Volume đó s là group Everyone và có quyền Full ConTrol.

Trên Volume NTFS khi bạn tạo 1 thư m c thì bạn s sở h u thư m c đó. N u người này thuộc group Administrator thì tồn bộ administrator s sở h u thư m c này.

2. Cách áp dụng quyền NTFS

Quyền Truy Cập NTFS được cấp cho tài khoản người dùng hoặc cho tài khoản Group. Ngừơi dùng có thể được cấp quyền truy cập 1 cách trực ti p hoặc theo nhóm mà người này là thành viên trong nhóm. Nên cấp quyền truy cập thơng qua nhóm.

Khác với quyền truy cập thư m c dùng chung, quyền truy cập NTFS bảo vệ tài nguyên c c bộ tức là có thể bảo vệ tài nguyên theo cấu trúc ph n t ng trên máy tính mà người dùng đó đăng nhập c c bộ.

Trang 78

Chú ý:

N u người dùng được cấp quyền Read với thư m c và quyền Write với tập tin trong thư m c đó thì người dùng vẫn có thể thay đổi nội dung của tập tin nhưng không thể tạo tập tin mới trong thư m c.

Kết luận:

Quyền truy cập NTFS cung cấp mức độ bảo mật cao cho thư m c và từng tập tin trên nh ng Volume đã được định dạng NTFS.

Quyền truy cập NTFS áp d ng cả cho nh ng người làm việc tại máy tính có lưu tr tài nguyên và nh ng người truy cập tài nguyên qua mạng.

Quyền truy cập NTFS có thể cấp cho người dùng hoặc nhóm.

Tương tự với quyền truy cập thư m c dung chung, cấp độ truy cập hiệu lực của ngừơi dùng là sự k t hợp với cá nh n hoặc group mà ngừoi đó là thành viên.

Quyền truy cập NTFS có thể được cấp cho các thư m c và tài nguyên khác trong hệ thống mạng ph n t ng.

Quyền truy cập NTFS được ưu tiên trước các quyền truy cập khác áp cho thư m c hay tập tin đó.

3. Kết hợp giữa Share và NTFS

So sánh ưu nhược điểm của quyền Share và quyền NTFS

3.1. Quyền Share

Muốn cho phép người dùng có thể truy cập tài nguyên qua mạng thì các thư m c chứa tài nguyên phải được share.

Khi một thư m c đã được share, bạn có thể bảo vệ thư m c bằng cách ấn định quyền truy cập thư m c dùng chung cho người sử d ng hoặc nhóm sử d ng theo m c đích thích hợp mà bạn đề ra.

Tuy nhiên, quyền truy cập thư m c dùng chung s cung cấp mức độ bảo mật giới hạn vì các lí do sau đ y:

 Cho phép người dùng truy cập mọi thư m c và tập tin trong phạm vi thư m c dùng chung với cùng cấp độ.

 Khơng có hiệu lực khi người dùng ng i ngay trước máy tính chứa tài nguyên và

tìm cách truy cập tài nguyên trên máy này.

 Không thể dùng để bảo vệ từng cá thể tập tin.

3.2. Quyền NTFS

N u thư m c dùng chung thường trú trên một volume NTFS, có thể dùng quyền truy cập NTFS để bảo vệ thư m c và tập tin.

Mức độ bảo mật thư m c và tập tin cao nhất bằng cách k t hợp quyền truy cập NTFS với quyền truy cập thư m c dùng chung….

Trang 79 Nhấp phải chuột vào Folder hoặc File r i chọn Properties r i nhấp thẻ Security

Tại m c Group or User names: Chứa người dùng và nhóm được cấp quyền

Tại m c Permission: Là các quyền có thể cấp cho người dùng hoặc nhóm

Trang 80 Tương ứng với các quyền là 2 cột Allow là cho phép và Deny là cấm

Ngoài ra để cấp quyền truy cập đặc biệt nhấp nút Advanced Trên màn hình Advanced Security Setting bỏ dấu check tại Allow inheritable

permissions from the parent to propagate to this object and all child objects. Include these with entries explcitly defined here làm xuất hiện màn hình Security như sau:

Trên màn hình này n u nhấp

nút Copy tức là chúng ta s copy các quyền đã cấp cho thư m c Parent xuống cho các thư m c con theo cấu trúc ph n t ng.

N u nhấp nút Remove chúng ta s loại bỏ các quyền đã cấp và cấp lại quyền khác cho các thư m c con theo cấu trúc ph n t ng.

Trang 81 Nhấp nút Copy và nhấp OK để trở lại

màn hình thuộc tính của thư m c.

Trên màn hình này giờ muốn cấp quyền cho người dùng nào chỉ việc nhấp nút Add và chọn.

Sau đó trong m c Permission nhấp chọn quyền thích hợp r i nhấp OK để áp d ng và đóng hộp thoại.

3.3. Kết hợp Share và NTFS

Cách dễ dàng nhất để k t hợp quyền truy cập thư m c dùng chung với quyền truy cập NTFS là:

 Với Share gi nguyên default Full Control gán cho nhóm Everyone

 Sau đó cấp quyền truy cập NTFS cho

tài khoản người dùng hoặc tài khoản Group c thể để truy cập thư mực và tập tin chứa trong hệ thống ph n t ng của forlder share Permiss.

Khi kết hợp quyền truy cập NTFS với

quyền truy cập share thì cấp độ truy cập giới hạn nhất ln là cấp độ hiệu lực.

Ví d :

N u được cấp quyền truy cập với mức độ Full Control cho 1 forlder, đ ng thời lại được cấp quyền truy cập NTFS ở cấp độ Read cho cùng thư m c đó, thì mức độ hiệu lực s là Read vì đ y là cấp độ giới hạn nhất.

Xét 1 ví d c thể sau:

Trên Server tạo thư m c dungchung, trên thư m c dùng chung tạo các file data1 và data2

Tạo các User: u1, u2

Cấp quyền truy cập cho u1 như sau:

 Truy cập thư m c dungchung với quyền Full Control

 Quyền NTFS là Full Control với file data1

 Quyền NTFS là Read với file data2 Cấp quyền truy cập cho u2 như sau:

 Truy cập thư m c dungchung với quyền Read

 Quyền NTFS là Full với file data1.

Trang 82 dungchung

Data1 Data2

Share Full cho u1 Share Read cho u2

NTFS cho u1 - Full NTFS cho u2 - Full

NTFS cho u1 - Read NTFS cho u2 - Read

Lúc này cấp độ hiệu lực của u1 là: Full với file data1 và Read với file data2

Cấp độ hiệu lực của u2 là: Read

với file data1 và Read với file data2

Trang 83 Cách thực hiện như sau:

Trên Server:

Cấp quyền truy cập thư m c Dungchung cho u1 là Full Control

Trên màn hình Permission: Remove nhóm Everyone và Add vào u1

Trong khung Permission nhấp chọn vào ô Allow tương ứng với Full r i nhấp OK để áp d ng và đóng hộp thoại Permission

Cấp quyền truy cập thư m c Dungchung cho u2 là Read:

 Làm tương tự như đã cấp quyền cho

u1.

 Sau khi cấp quyền cho u2 màn hình

Trang 84 Ti p theo cấp quyền NTFS cho data1

Trang 85 Nhấp phải chuột vào file data1 chọn properties trên màn hình xuất hiện, nhấp thẻ

Security r i nhấp nút Advanced và bỏ dấu check tại Allow

Inheritable permission from the parent to propagate to this object and all child objects. Include these with entries explicity defined here

Nhấp chọn nút Copy và nhấp OK để trở lại màn hình thuộc tính của file Trên màn hình thuộc tính file Add vào

người dùng c n cấp quyền và quyền s cấp r i nhấp OK để áp d ng và thốt khỏi màn hình.

Làm tương tự để cấp quyền truy cập tập tin data1 cho u2 là Read.

Nhấp OK để áp d ng và thoát khỏi hộp thoại.

Ti p theo làm tương tự để cấp quyền NTFS cho data2

Trang 86 Nhấp OK để áp d ng và thốt khỏi màn hình

Trang 87

Chƣơng 7. DỊCH VỤ DHCP

I. SO SÁNH CẤU HÌNH TCP/IP THỦ CƠNG VÀ BẰNG DHCP 1. Cấu hình TCP/IP thủ cơng: 1. Cấu hình TCP/IP thủ cơng:

 Khi gán cho Client một địa chỉ IP bằng phương pháp thủ công thường xảy ra các lỗi sau:

 Rất dễ dàng nhập sai địa chỉ IP, làm cho việc tìm ra lỗi mạng khó khăn hơn.

 Thường bị duplicate IP (trùng địa chỉ).

 Cơng việc của Admin s nhiều hơn vì phải đ n từng máy để cấu hình IP, subnet mask, defaut gateway...,

 Khi dời đoạn mạng này sang đoạn mạng khác thì bạn phải cấu hình TCP/IP lại).

2. Khi dùng DHCP:

DHCP server tự động cấp các thơng tin cấu hình c n thi t cho DHCP client. Điều đó có nghĩa là các client sử d ng cấu hình thơng tin chính xác, tránh được các lỗi thường gặp khi cấu hình bằng tay như trên. Và nó cũng tự động cập nhật thơng tin để cập nhật sự thay đổi cấu trúc mạng mà khơng c n phải cấu hình lại địa chỉ IP của client.

3. Cách cài đặt DHCP server:

Một DHCP c n có yêu c u sau: + Được cài đặt DHCP service

+ Được cung cấp 1 địa chỉ IP tĩnh, subnet mask và defaut gateway. +Có dãy các địa chỉ IP hợp lệ để cấp cho client thuê (lease).

Quá trình Cài đặt:

3.1. Cài đặt DHCP Server

Trang 89

Một phần của tài liệu Tài liệu giảng dạy Quản trị mạng (Ngành/Nghề: Công nghệ thông tin – Trình độ Cao đẳng) - Trường CĐ Kinh tế - Kỹ thuật Vinatex TP. HCM (2019) (Trang 73)

Tải bản đầy đủ (PDF)

(119 trang)