User Profile

Một phần của tài liệu chuyên đề tốt nghiệp quản trị mạng windows server 2003 (Trang 68 - 158)

V – User Profile, Home Folder và Disk Quota

1. User Profile

Việc quản trị mạng user account bao hàm cả việc chỉnh sửa account, cài đặt user profile các home directory. Một user profile cho một user được tạo ra ngay khi người đó

đăng nhập vào một máy tính lần đầu. Trong thư mục Documemts and Settings tất cả các thông tin có liên quan về thiết lập của người sử dụng đã xác định được lưu một cách tự động. User profile được tự động cập nhật mỗi khi user log off. Administrator có thể chỉ

thay đổi các mandatory user profiles (các hồ sơ user có tính bắt buộc)

User profile thc hin theo nhng cách sau đây:

¾ Khi chúng ta đăng nhập vào một máy client chúng ta sẽ luôn nhận được các thiết

đặt cá nhân của chúng ta mà một số user nào cũng được chia sẻ máy client đó không thích.

¾ Profile cục bộ Default User sẽ copy đến thư mục %Systemdriver%\Documents and settings mỗi khi chúng ta đăng nhập vào lần đầu.

¾ Nhiều file và thư mục được lưu trong thư mục user profile và windows 2003 tạo ra một thư mục My Documents trên desktop để dễđịnh vị các tài liệu cá nhân.

¾ Có thể thay đổi user profile bằng cách thay đổi các thiết lập desktop.

Một Default User Profile là một profile cơ bản, được sử dụng để xây dựng các profile cho user xác định. Một bản copy của Default user profile được sử dụng bởi bất cứ

user nào khác khi đăng nhập vào từng máy chạy Windows server 2003 hay Windows XP.

1.2 User profile cc b

Profile này được tạo ra lần đầu khi user đăng nhập vào máy tính và luôn được lưu trong một máy tính cục bộ. Bất cứ thay đổi nào được tạo ra với profile này đều xác định máy tính đơn đó và nó có thể có nhiều user profile cục bộ trên cùng một máy tính.

1.3 Roaming User Profile (User Profile không cđịnh)

Các Roaming User Profile (RUP) có thể được tạo ra cho các user thao tác trên nhiều máy tính. RUP được thiết lập ở máy chủ của mạng nên user có thể kết nối từ bất cứ

nơi nào trong domain. Vì vậy khi user đăng nhập vào mạng, windows 2003 sẽ copy tất cả

các thông tin có liên quan về user profile từ mạng và copy các thiết lập cá nhân về

desktop hay kết nối cho dù người đó kết nối từ bất cứ nơi đâu. Khi copy những file windows 2003 sẽ chỉ copy những file có thay đổi từ lần thay đổi cuối cùng, vì thế làm cho quá trình đăng nhập ngắn lại. Khi log off những thay đổi trong user profile được copy trở

lại RUP của server.

1.4 To Roaming Profile

Một RUP được lưu trên server nên để việc truy cập có thể xảy ra khi user đăng nhập bất kỳ nơi nào trong mạng. Để thiết lập RUP được thực hiện nhưng bước sau đây:

¾ Cung cấp quyền điều khiển toàn phần (Full Control Permission) cho một thư

mục được tạo trên server.

¾ Thư mục được chia sẻ nên được cung cấp đường dẫn. Trong vùng chi tiết của Active Directory Users and Computers nhấn phải chuột lên user account nơi mà chúng ta muốn tạo roaming profile. Nhấn Properties.

¾ Trong snap-in User Profile, nhấn tab Profile và gõ thông tin vềđường dẫn, nơi sẽ xác định như thư mục được chia sẻ trong hộp Profile Path. Thông tin đường dẫn có thể như sau:

Chỉ Administrator mới có thể thay đổi RUP. Phần thông tin của registry ứng dụng

đến user account, được lưu trữ trong file Ntuser.dat

1.5 Mandatory User Profile

Chúng ta có thể tuỳ biến RUP và đưa nó cho nhiều user để tất cả các user sẽ có cùng các thiết lập và kết nối. Nên tạo ra một mẫu User Profile chứa tất cả các thiết lập về

Desktop. Sau khi tạo ra mẫu này chúng ta nên đăng nhập với tư cách Administrator và copy mẫu vào thư mục RUP ở trên server. Thư mục này phải có thể được xử lý đối với tất cả user và nên được gán cho nhóm user tạo sẵn trên domain. Sử dụng snap-in Active Directory Users and Computer chúng ta hoàn toàn có thể xử lý. Vì các thay đổi có tác dụng đối với tất cả user được gán đến thư mục đó nên Profile Manadatory này nên là read-only (chỉ đọc) bằng cách thay đổi phần mở rộng của file Ntuser từ.dat chuyển sang

.man. Loại profile này được gọi là Mandatory User Profile.

Administrator tạo ra các Mandatory User Profile và chỉ định các thay đổi cho User. Các thuộc tính có thể là local (cục bộ) hay Roaming (không cố định). Profile này không cho phép user lưu lại những thiết lập desktop hiện tại của họ. Vì thế khi user huỷ đăng nhập và đăng nhập vào trở lại thì những thiết lập desktop cuối cùng sẽ bị mất. Do đó có thể nói rằng madatory user profile là một RUP chỉđọc.

1.6 To User Profile loi Mandatory

Để tạo các user Profile loại manadatory, theo các bước sau:

¾ Tạo ra một thư mục được chia sẻ trên server. Tạo một thư mục profile bên trong một thư mục được chia sẻ để quản lý các profile. Các user nên được cho quyền Full control đối với thư mục Profile.

¾ Thiết lập một User Profile Roaming. Tạo một user mới trong snap-in Active Directory Users and Computers. Sau đó đặt đường dẫn cho User Profile và cấu hình Profile.

¾ Đặt lại tên file Ntuser.dat thành Ntuser.man để làm cho Profile chỉ đọc (Read- only) và vì thế Profile là Mandatory. Đểđặt tên Mandatory Profile, đăng nhập với tư cách Administrator và mở Windows Explorer. Đặt lại tên Ntuser.dat trong thư

1.7 Qun lý User profile

Có thể thay đổi và chỉnh sửa các thuộc tính của user account. Những thay đổi sau

đây là được phép đối với user account, những thay đổi này sẽ có tác dụng về mặt chức năng đối với user account:

¾ Enabling and Disabling User Account: Khi một user ra khỏi và không hiện

diện trong văn phòng trong một khoảng thời gian dài thì chúng ta có thể disable user đó trong khoảng thời gian xác định và sau đó cho enable trở lại user đó khi họ quay về.

¾ Renaming the User Account: Sự thay đổi tên của một user account là có thể và

cần thiết khi chúng ta muốn gán và cùng các thiết đặt quyền và cho phép cho các user khác nhau.

¾ Deleting User Account: Khi nhân viên hiện thời dời khỏi công ty thì chúng ta có

thể xoá account của user đó. Điều này đảm bảo sự loại trừ của những account không sử dụng trong dịch vụ Active Directory.

1.8 Thiết lp li password

Chúng ta cần thiết lập lại password của User khi password của user bị hết hạn hoặc nếu user của chúng ta bị quên password. Chúng ta không cần biết password cũ khi chúng ta thiết lập lại password mới. Để thiết lập lại password chúng ta làm như sau:

¾ Mở snap-in Active Directory User and Computer và chọn user muốn thay đổi ¾ Chuột phải vào user chọn Reset Password từ menu ngữ cảnh

¾ Chọn tuỳ chọn User Must Change Password At Next Logon để cho phép user thay đổi password khi user đăng nhập lại

1.9 B khoá các User Account

Khi một user vi phạm bất kì chính sách nào như vượt khỏi giới hạn group Windows 2003 sẽ khoá (lock out) user account đặc biệt đó và sẽ hiển thị thông báo lỗi. Để huỷ bỏ

khoá các user account hãy theo các bước sau đây:

¾ Mở snap-in Active Directory User and Computer và chọn user muốn bỏ khoá ¾ Chuột phải vào User chọn properties

¾ Chọn tab Account và xoá tuỳ chọn The Account Is Locked Out và ấn OK

2.0 Home Folder

Windows 2003 cho phép các user có thể bỏ xung một Home Folder trong thư mục My Documents. Home Folder cho phép các user lưu trữ các tài liệu cá nhân. Home folder có thể được lưu trong máy client hoặc trong file server. Kích thước của Home folder là không ảnh hưởng đến hiệu suất mạng trong suốt quá trình đăng nhập vì Home folder không phải là một phần của RUP. Home Folder trên server có thểđược coi như một ổđĩa mạng khi người quản trị tạo một Home folder trên server cho các User. Người quản trị

cũng có thể giới hạn ổ đĩa mạng này của User dùng trên server, điều này giảm được sự

lãng phí dung lượng ổđĩa so với nhu cầu chứa dữ liệu thiết thực của User.

2.1 Tính cht ca Home Folder

¾ Performance of the Network: Hiệu suất mạng sẽ bị thấp đi nếu home folder

¾ Ability to Restore and Backup: Trách nhiệp chính của một Administrator là chống mất mát dữ liệu. Tốt hơn là nên thực hiện sao lưu tất cả các file và tập trung lưu trên một server. Nếu home folder là trong máy cá nhân của users thì nên sao lưu thông thường trên mỗi máy tính.

¾ Adequate space on the Server: Nên tổ chức một không gian bắt buộc trên

server để user có thể lưu trữ dữ liệu của họ trên đó. Windows 2003 có thể

giám sát và giới hạn sự sử dụng không gian đĩa với network-base storage với sự trợ giúp của disk quota.

¾ User Computer with Sufficient Space: Nếu máy tính của user có khoảng

trống đĩa nhỏ thì các home folder nên được tạo ra trên server của mạng.

2.2 To User Profile và Home Foder cho các User trên server

¾ Tạo một thư mục trên một phân vùng trên máy chủ và chia sẻ thư mục đó, đặt quyền NTFS và Share Permission cho thư mục đó Full Control với Everyone. ¾ Mở snap-in Active Directory User and Computer và chọn một OU.

¾ Ở cửa sổ bên phải chọn tất cả các User có trong đó chuột phải chọn properties ¾ Tại cửa sổ properties chọn tab Profile, tích vào mục chọn Profile path, tại ô

này đánh địa chỉ tương đối đến thư mục chúng ta vừa chia sẻ, đằng sau đường dẫn đó chúng ta đánh vào câu lệnh %usersname%. Câu lệnh này cho phép hệ thống tựđộng nhận tên logon của các User Profile đó.

¾ Tích chọn vào mục Home Folder, chọn dòng Connect, bên cạnh là mục chọn tên ổ đĩa mạng hiển thị trên các máy client của User mỗi khi user đăng nhập.

Ở dòng To là địa chỉ đường dẫn tới thư mục Home folder mà chúng tạo cho user trên server, chúng ta đánh đường dẫn vào ô này và ấn Ok. Để tiện cho việc quản lý các User Profile và Home Folder thì chúng ta cần đặt User profile và Home folder vào cùng một thư mục chia sẻ trên server để dễ dàng hơn trong việc chỉnh sửa User Profile và thiết đặt hạn nghạch đĩa (disk quota) cho các user trong mạng.

Sau khi thiết đặt Home Folder và User profile xong, trên máy client đăng nhập với user mà chúng ta đã thiết đặt sẽ thấy Home folder được Map thành một ổ đĩa trong My Computer. Việc này tránh được cho User phải nhớđường dẫn chính xác tới Server.

Và trong đó có chứa Profile của chính User này. Người dùng có thể tuỳ chỉnh thông tin và lưu dữ liệu của mình trên thư mục đó. Mọi thay đổi về profile như nền màn hình desktop, các tuỳ chọn menu start… đều được lưu lại ởđây. User có thểđăng nhập tại bất kì máy tính client nào trong mạng thì mọi thiết đặt profile của user cũng không bị thay

đổi vì khi log-off các thông tin này được lưu trên server và khi user logon thì nó được nạp xuống máy của User đó đăng nhập

Trong thư mục đã chia sẻ dùng để thiết đặt Home folder cho User trên Server có chứa các Profile và dữ liệu của các User. Mặc định thì mọi người dùng không ai có thể

xem, sửa hoặc xoá các thông tin và dữ liệu của các user đó, chỉ có chính user đó mới có quyền được xem, sửa và xoá mọi thông tin do mình tạo ra, kể cả Administrartor cũng không thể xem được thư mục Profile đó.

Nhưng đã là Administrator thì mọi việc đều có thể, Administrator sẽ dùng quyền của mình để cướp quyền (Task Ownership) của User đó để xem hoặc chỉnh sửa thông tin trong Profile đó. Để cướp quyền của User trên thư mục đó chúng ta làm như sau: chuột phải vào thư mục chọn properties, trong cửa sổ properties chọn tab Sercurity, chọn tiếp mục Advanced. Tại cửa sổ Advanced ta chọn tab Owner, ở mục name chọn Administrator và đánh dấu tích vào dòng chữở dưới là Replace owner on subcontainers and objects.

Sau đó ấn Apply, một cửa sổ hiện ra thông báo là chúng ta không có quyền xem, nếu chúng ta muốn Replace quyền chọn Yes và thư mục đó chúng ta có quyền Full control và người User sở hữu thư mục đó sẽ bị mất quyền. Chúng ta chọn Yes

Khi Admin đã cướp quyền của User thì mặc nhiên User sẽ không vào thư mục đó của mình được nữa, muốn vào được thư mục đó thì cần phải có việc Admin trả lại quyền

cho User. Khi đó nếu User logon trên máy trạm thì sẽ không thể connect tới Profile đó nữa và một Profile khác sẽđược tựđộng tạo ra ở dạng default trên máy client.

Để người dùng có thể sử dụng Roaming Profile và lưu dữ vào thư mục đó thì Admin cần phải cấp lại quyền cho thư mục đó. Trên server chuột phải vào thư mục đó chọn Properties, chọn tab Sercurity và chọn tab Advanced. Tại cửa sổ Advanced đanh dấu tích vào mục chọn Replace permission entries on all child objects with entries shown here that apply to child objects rồi ấn Apply, một thông báo hiện ra cho biết chúng ta có muốn bỏ quyền truy cập trên thư mục này đi không, chúng ta ấn chọn Yes.

Vẫn tại cửa sổ này tại tab Owner chúng ta Add User đó vào và chọn mục Replace Owner on subcontainer and objects, sau đó ấn Apply.

Ấn Ok để trở về cửa sổ Properties, tại cửa sổ này chúng ta Remove tài khoản Administrator đi và Add vào tài khoản của User và cho quyền là Full control, sau đó OK. Như vậy chúng ta đã trả lại quyền truy cập vào Profile và Home folder cho User. Lúc này User đăng nhập trên máy client sẽ chỉnh sửa và lưu trữ được thông tin trong Profile của mình và mọi User kể cả Administrator cũng không thể truy cập vào được nữa.

3.0 Disk Quota

3.1 Gii thiu v Disk Quota

Disk Quota – hạn nghạch đĩa, là một công cụ rất mạnh để điều khiển không gian

đĩa trống. Người quản trị có thể điều khiển dung lượng đĩa trống phù hợp cho từng User

được sử dụng trên Server. Disk quota được cài đặt trên định dạng NTFS.

3.2 Thiết đặt Disk quota cho các Home folder và User profile

Để tránh sự lãng phí không cần thiết của đĩa cứng trên Server khi mà các User lưu trữ dữ liệu trên Home folder, chúng ta cần thiết đặt hạn nghạch đĩa cho từng User. Tuỳ

theo từng nhu cầu công việc của từng User mà chúng ta thiết đặt disk quota cho hợp lý. Do Home folder và Profile của User được đặt chung một thư mục nên chúng ta chỉ cần thiết đặt disk quota một lần cho hai mục này. Để thiết đặt Disk quota ta chọn phân vùng chứa thư mục chia sẻ có chứa Home folder và Profile trên Server, chuột phải chọn

properties. Tại cửa sổ properties chọn tab Quota, tích chọn vào mục Enable quota management và tích luôn vào mục Deny disk space to users exceeding quota limit. Mục này có tác dụng không cho người dùng lưu thêm dữ liệu trên server khi đã quá dung lượng cho phép. Nếu không chọn mục này các user vẫn có thể lưu thêm được dữ liệu trên server mặc dù đã có cảnh báo là quota đã hết. Tiếp theo chọn mục Limit disk space to

mục này cho phép điền vào dung lượng mà chúng ta muốn giới hạn, ô bên cạnh cho chúng ta chọn đơn vị tính dung lượng. Mục Set warning level to cho phép chúng ta điền vào dung lượng muốn cảnh báo người dùng đã sắp hết quota.

Tiếp theo click vào Quota Entries… tại cửa sổ này sẽ chứa danh sách các User bị

giới hạn hay không bị giới hạn Disk Quota. Mặc định thì các tài khoản Administrator và các tài khoản có quyền như Administrator đều không bị giới hạn disk quota. Do đó chúng ta không thể gán disk quota cho nhóm này mà chỉ có thể gán disk quota cho User thường mà thôi. Để giới hạn disk quota một User nào đó ta chọn menu Quota rồi chọn New quota entry. Tại hộp đánh tên ta đánh tên User muốn giới hạn disk quota vào và ấn OK.

Một phần của tài liệu chuyên đề tốt nghiệp quản trị mạng windows server 2003 (Trang 68 - 158)

Tải bản đầy đủ (PDF)

(158 trang)