Quản lí tài khoản người dùng và nhóm trên ACTIVE DIRECTORY
Chức năng của Group Policy
phần mềm nào đó vào trong một gói (package), đặt nó lên Server, rồi dùng chính sách nhóm hướng một hoặc nhiều máy trạm đến gói phần mềm đó. Hệ thống sẽ tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cần sự can thiệp nào của người dùng.
- Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng của chính sách hệ thống. Nó có thể cấp cho một hoặc một nhóm người nào đó có quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu…
- Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thể kiểm soát máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy được một vài ứng dụng nào đó thôi như: Outlook Express, Word hay Internet Explorer. -
Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định hạn ngạch đĩa cho một người dùng nào đó. Người dùng này chỉ được phép lưu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định.
- Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 và Windows Server 2003 thì hỗ trợ cả bốn sự kiện này được kích hoạt (trigger) một kịch bản (script). Bạn có thể dùng các GPO để kiểm soát những kịch bản nào đang chạy. - Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng GPO để gỡ bỏ nhiều tính năng khỏi Internet Explorer, Windows Explorer và những chương trình khác.
- Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ bỏ hầu hết các đề mục trên menu Start của một người dùng nào đó, ngăn chặn không cho người dùng cài thêm máy in, sửa đổi thông số cấu hình của máy trạm
Tạo và quả lí thư mục dùng chung
1) Chia sẻ thư mục dùng chung
Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truy xuất và sử dụng thông qua mạng. Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong Explorer bạn nhầp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing.
Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share Permissions. Share Permissions chỉ có hiệu lực khi người dùng truy cập qua mạng chứ không có hiệu lực khi người dùng truy cập cục bộ. Khác với NTFS Permissions là quản lý người dùng truy cập dưới cấp độ truy xuất đĩa.
Trong hộp thoại Share Permissions, chứa danh sách các quyền sau: - Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ.
- Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ.
- Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ.
Bạn muốn cấp quyền cho người dùng thì nhấp chuột vào nút Add
Hộp thoại chọn người dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào các tài khoản người dùng và nhóm cần chọn, sau đó chọn OK
2) Các tiện ích dòng lệnh quản lý tài khoản người dùng và tài khoản nhóm
Lệnh net user
• Chức năng: tạo, xóa và hiển thị các tài nguyên chia sẻ. • Cú pháp:
net share sharename
net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"] net share sharename [/users:number | unlimited] [/remark:"text"]
net share {sharename | drive:path} /delete • Ý nghĩa các tham số:
- [Không tham số]: hiển thị thông tin về tất cả các tài nguyên chia sẻ trên máy tính cục bộ
- [Sharename]: tên trên mạng của tài nguyên chia sẻ, nếu dùng lệnh net share với một tham số sharename thì hệ thống sẽ hiển thị thông tin về tài nguyên dùng chung này.
- [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ.
- [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tài nguyên dùng chung này.
- [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài nguyên dùng chung này.
- [/remark:"text"]: thêm thông tin mô tả về tài nguyên này. - /delete: xóa thuộc tính chia sẻ của thư mục hiện tại.
Lệnh net group
• Chức năng: tạo mới thêm, hiển thị hoặc hiệu chỉnh nhóm • Cú pháp:
net group [groupname [/comment:"text"]] [/domain]
• Ý nghĩa các tham số:
- Không tham số: dùng để hiển thị tên của Server và tên của các nhóm trên Server đó.
- [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa.
- [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài đến 48 ký tự.
- [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng. Tham số này chỉ áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành viên của máy Windows 2000 Server domain.
- [username[ ...]]: danh sách một hoặc nhiều người dùng cần thêm hoặc xóa ra khỏi nhóm, các tên này cách nhau bởi khoảng trắng.
- [/add]: thêm một nhóm hoặc thêm một người dùng vào nhóm. - [/delete]: xóa một nhóm hoặc xóa một người dùng khỏi nhóm. Lệnh net localgroup
• Chức năng: thêm, hiển thị hoặc hiệu chỉnh nhóm cục bộ • Cú pháp:
net localgroup [groupname [/comment:"text"]] [/domain]
net localgroup groupname {/add [/comment:"text"] | /delete} [/domain] net localgroup groupname name [ ...] {/add | /delete} [/domain]
• Ý nghĩa các tham số:
- Không tham số: dùng hiển thị tên server và tên các nhóm cục bộ trên máy tính hiện tại.
- [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa.
- [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài đến 48 ký tự.
- [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng. Tham số này chỉ áp dụng cho Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành viên của máy Windows 2000 Server domain.
- [name [ ...]]: danh sách một hoặc nhiều tên người dùng hoặc tên nhóm cần thêm vào hoặc xóa khỏi nhóm cục bộ. Các tên này cách nhau bởi khoảng trắng.
- [/add]: thêm tên một nhóm toàn cục hoặc tên người dùng vào nhóm cục bộ. - [/delete]: xóa tên một nhóm toàn cục hoặc tên người dùng khỏi nhóm cục bộ.
Các lệnh hỗ trợ dịch vụ Active Driectory trong môi trường Windows Server 2003
• Dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào trong dịch vụ Directory.
• Dsrm: xóa một đối tượng trong dịch vụ Directory.
• Dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụ Directory.
• Dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact, group, ou, server hoặc user trong một dịch vụ Directory.
• Dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trong một dịch vụ Directory.
• Dsquery: truy vấn các thành phần trong dịch vụ Directory.
o Tạo một user mới: dsadd user “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” –samid hv10 –pwd 123
o Xóa một user: dsrm “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn”
o Xem các user trong hệ thống: dsquery user
o Gia nhập user mới vào nhóm: dsmod group “CN=hs, CN=Users, DC=netclass, DC=edu, DC=vn” –addmbr “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn”
3) Quyền truy cập NTFS
Có hai loại hệ thống tập được dùng cho partition và volume cục bộ là FAT (bao gồm
FAT16 và FAT32). FAT partition không hỗ trợ bảo mật nội bộ, còn NTFS partition thì ngược lại có hỗ trợ bảo mật; có nghĩa là nếu đĩa cứng của bạn định dạng là FAT thì mọi người đều có thể thao tác trên các file chứa trên đĩa cứng này, còn ngược lại là định dạng NTFS thì tùy theo người dùng có quyền truy cập không, nếu người dùng không có quyền thì không thể nào truy cập được dữ liệu trên đĩa. Hệ thống Windows Server 2003
dùng các ACL (Access Control List) để quản lý các quyền truy cập của đối tượng cục bộ và các đối tượng trên Active Directory. Một ACL có thể chứa nhiều ACE (Access Control Entry) đại điện cho một người dùng hay một nhóm người.
Các công cụ phân quyền NTFS
- Tất cả quyền truy nhập cơ sở của NTFS là :
• Traverse folder/execute file (đi xuyên qua folder / thi hành file).
• List folder/read data (hiện thư mục, đọc dữ liệu).
• Read attributes (đọc thuộc tính).
• Read extended attributes (đọc thuộc tính mở rộng).
• Create files/write data (tạo file, viết dữ liệu).
• Create folders/append data (tạo folder, nối dữ liệu).
• Write attributes (viết thuộc tính). Cho phép thay đổi các thuộc tính của file và folder.
• Write extended attributes (viết thuộc tính mở rộng).
• Delete subfolders and files (xóa folder con và file).
• Delete (xóa).
• Read permissions (đọc quyền).
• Change permissions (đổi quyền).
• Take ownership (đoạt chủ quyền).
• - Khi phân quyền cho một folder, quyền đã phân sẽ có thể sẽ áp dụng lên cả các folder con và file bên trong, việc này gọi là thừa kế. Việc thừa kế thực hiện theo một trong sáu kiểu sau đây.
• This folder only (chỉ folder này thôi). Quyền chỉ áp dụng cho folder này, không thừa kế.
• This folder, subfolders and files (folder này, các folder con và các file). Quyền áp dụng cho folder này, các folder con và các file. Thừa kế toàn phần.
• This folder and subfolders (folder này và các folder con). Quyền áp dụng cho folder này và các folder con. Các folder con thừa kế.
• This folder and files (folder này và các file). Quyền áp dụng cho folder này và các file. Các file thừa kế.
• Subfolders and files only (các folder con và các file thôi). Quyền áp dụng chỉ cho các folder con và các file. Thừa kế toàn phần ngoại trừ bản thân.
• Subfolders only (chỉ các folder con thôi). Quyền áp dụng chỉ cho các folder con. Các folder thừa kế ngoại trừ bản thân.
4) Kế thừa và thay thế quyền của đối tượng con.
Trong hộp thoại chính trên, chúng ta có thể nhấp chuột vào nút Advanced để cấu hình chi tiết hơn cho các quyền truy cập của người dùng. Khi nhấp chuột vào nút
Advanced, hộp thoại Advanced Security Settings xuất hiện, trong hộp thoại, nếu bạn đánh dấu vào mục Allow inheritable permissions from parent to propagate to this object and child objects thì thư mục hiện tại được thừa hưởng danh sách quyền truy cập từ thư mục cha, bạn muốn xóa những quyền thừa hưởng từ thư mục cha bạn phải bỏ đánh dấu này. Nếu danh sách quyền truy cập của thư mục cha thay đổi thì danh sách quyền truy cập của thư mục hiện tại cũng thay đổi theo.
Ngoài ra nếu bạn đánh dấu vào mục Replace permission entries on all child objects with entries shown here that apply to child objects thì danh sách quyền truy cập của thư mục hiện tại sẽ được áp dụng xuống các tập tin và thư mục con có nghĩa là các tập tin và thư mục con sẽ được thay thế quyền truy cấp giống như các quyền đang hiển thị trong hộp thoại.
II. Nội dung đồ án
A. Đề
Họ tên sinh viên :... Lớp : ...
A. Chuẩn bị:
- Sử dụng phần mềm tạo máy ảo VirtualBox. Cài đặt hệ điều hành Windows Server2k3 cho máy Server. Máy Client cài đặt hệ điểu hành Windows Server2k3 (hoặc Windows XP)
- Đặt địa chỉ IP cho máy SERVER ở mạng 192.168.1.X/24 (X: là số đề); đặt tên máy Server và tên Domain theo qui tắc sau: Ví dụ tên thí sinh dự thi tốt nghiệp là Lê Văn Khoa thì đặt tên máy là LVKSERVER và tên Domain là LVK.NET
- Nâng cấp máy Server lên Domain Controller - Cài đặt và cấu hình dịch vụ DHCP trên máy Server - Máy Client nhận IP được cấp từ DHCP Server. - Máy Client Join domain vào máy Server
B. THỰC HIỆN
1. Tạo các object và đưa các user vào nhóm tương ứng (Lưu ý: Các đối tượng OU, Group, User được tạo bằng lệnh Dsadd và lưu và file *.bat)
2. Roaming Profile cho các user “Sếp”. Thư mục chứa roaming profile tên là “Profiles”.
3. Tạo hệ thống thư mục trên máy DC và phân quyền, share.
- Share cây thư mục sao cho các quyền đã cấp vẫn duy trì khi user truy cập qua mạng. - Điều chỉnh quyền sao cho các user chỉ có thể xóa dữ liệu của nhau
4. Deploy phần mềm Microsoft Office cho các user trong OU KeToan
5. Cấm các user thuộc OU KeToan truy cập Control Panel, không được sử dụng
(Ctrl+Alt+Delete), Task manager, Lock conputer, Change Password.
Cấm các user thuộc OU NhanSu sử dụng chương trình Notepad
Lưu ý: cấu hình sao cho GPO này không tác động lên các user “Sếp”.
6. Delegate Control cho phép kt1 được quản lý user account trong OU KeToan
7. Delegate Control cho phép ns1 được quản lý user account và group trong OU NhanSu
8. Map Network Driver Folder Data bằng Script cho các user thuộc OU Kế toán
9. Giám sát quá trình logon không thành công của các user
10.Giám sát quá trình truy cập vào Folder DataKeToan của các user trong OU KeToan
B. Chuẩn bị
Đặt địa chỉ IP và đặt tên