- người dùng (users), cấu hình (settings), nhóm (groups), quyền hệ thống (rights), và quyền truy cập (permissions)…. - có thể chỉ định hạn ngạch sử dụng đĩa cho từng người dùng. - Hình 2.1 : Các bước chứng thực khi người dùng đăng nhập. - Bạn nhập tài khoản người dùng có quyền quản trị vào hộp thoại này.. - Tiếp theo bạn đưa các tài khoản người dùng cần quản lý vào OU vừa tạo.. - Users: chứa các tài khoản người dùng mặc định trên miền.. - BÀI 3 QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM. - Định nghĩa tài khoản người dùng và tài khoản nhóm.. - Quản lý tài khoản người dùng và nhóm cục bộ.. - Quản lý tài khoản người dùng và nhóm trên Active Directory.. - ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG VÀ TÀI KHOẢN NHÓM 1. - Tài khoản người dùng. - 1.1 Tài khoản người dùng cục bộ. - 1.2 Tài khoản người dùng miền. - 1.3 Yêu cầu về tài khoản người dùng. - Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý. - Với tài khoản cục bộ, thông tin đăng nhập được chứng thực cục bộ và người dùng được cấp quyền truy cập máy tính cục bộ. - Với tài khoản miền, thông tin đăng nhập được chứng thực trên Active Directory và người dùng có quyền truy cập các tài nguyên trên mạng. - Như vậy với tài khoản người dùng miền ta có thể chứng thực trên bất kỳ máy tính nào trong miền. - Kerberos V5: là giao thức chuẩn Internet dùng để chứng thực người dùng và hệ thống.. - Tuy hệ thống Windows Server 2003 dựa vào tài khoản người dùng (user account) để mô tả các quyền hệ thống (rights) và quyền truy cập (permission) nhưng thực sự bên trong hệ thống mỗi tài khoản được đặc trưng bởi một con số nhận dạng bảo mật SID (Security Identifier). - Dễ dàng thay đổi tên tài khoản người dùng mà các quyền hệ thống và quyền truy cập không thay đổi.. - Liệt kê người dùng và nhóm nào được cấp quyền truy cập đối tượng.. - Định rõ quyền truy cập cho người dùng và nhóm.. - Tài khoản người dùng tạo sẵn. - Tất cả các tài khoản người dùng tạo sẵn này đều nằm trong Container Users của công cụ Active Directory User and Computer. - Sau đây là bảng mô tả các tài khoản người dùng được tạo sẵn:. - Tài khoản Guest cho phép người dùng truy cập vào các máy tính nếu họ không có một tài khoản và mật mã riêng. - Nhóm này có quyền truy cập đến tất cả các tài khoản người dùng và tài khoản nhóm trong miền, nhằm hỗ trợ cho các hệ thống WinNT cũ.. - Theo mặc định mọi tài khoản người dùng trên miền đều là thành viên của nhóm này. - Everyone: đại diện cho tất cả mọi người dùng.. - QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM CỤC BỘ 1. - Công cụ quản lý tài khoản người dùng cục bộ. - Bởi vì khi đã xóa thì tài khoản người dùng này không thể phục hồi được.. - QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM TRÊN ACTIVE DIRECTORY 1. - Tạo mới tài khoản người dùng. - Bạn có thể dùng công cụ Active Directory User and Computers trong Administrative Tools ngay trên máy Domain Controller để tạo các tài khoản người dùng miền. - Tạo một tài khoản người dùng trên Active Directory, ta làm các bước sau:. - Ngoài ra trong hộp thoại này cũng cho phép chúng ta đặt tên username của tài khoản người dùng phục vụ cho hệ thống cũ (pre-Windows 2000).. - Hộp thoại cuối cùng xuất hiện và nó hiển thị các thông tin đã cấu hình cho người dùng. - Các thuộc tính của tài khoản người dùng. - Ngoài ra bạn có thể gom nhóm (dùng hai phím Shift, Ctrl) và hiệu chỉnh thông tin của nhiều tài khoản người dùng cùng một lúc.. - 2.1 Các thông tin mở rộng của người dùng. - Tab Address cho phép bạn có thể khai báo chi tiết các thông tin liên quan đến địa chỉ của tài khoản người dùng như: địa chỉ đường, thành phố, mã vùng, quốc gia…. - Tab Telephones cho phép bạn khai báo chi tiết các số điện thoại của tài khoản người dùng.. - User Profiles là một thư mục chứa các thông tin về môi trường của Windows Server 2003 cho từng người dùng mạng. - Chức năng: tạo thêm, hiệu chỉnh và hiển thị thông tin của các tài khoản người dùng.. - Không tham số: dùng để hiển thị danh sách của tất cả các tài khoản người dùng trên máy tính. - [Username]: chỉ ra tên tài khoản người dùng cần thêm, xóa, hiệu chỉnh hoặc hiển thị. - Tên của tài khoản người dùng có thể dài đến 20 ký tự.. - [/add]: thêm một tài khoản người dùng vào trong cơ sở dữ liệu tài khoản người dùng.. - [/delete]: xóa một tài khoản người dùng khỏi cơ sở dữ liệu tài khoản người dùng.. - cho phép hoặc tạm khóa tài khoản người dùng. - Nếu tài khoản bị khóa thì người dùng không thể truy cập các tài nguyên trên máy tính. - quy định ngày hết hiệu lực của tài khoản người dùng.. - khai báo tên đầy đủ của người dùng.. - chỉ định người dùng có thể thay đổi mật mã của mình không, mặc định là có thể.. - chỉ định một tài khoản người dùng phải có một mật mã, mặc định là có mật mã.. - quy định giờ cho phép người dùng logon vào mạng hay máy tính cục bộ. - chỉ định các máy tính mà người dùng này có thể sử dụng để logon vào mạng. - Chính sách tài khoản người dùng.. - CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG. - Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật.. - Quyền hệ thống của người dùng. - Danh sách các quyền hệ thống cấp cho người dùng và nhóm:uyền Mô tả. - Cho phép người dùng truy cập máy tính thông qua mạng.. - Add Workstations to the Domain Cho phép người dùng thêm một tài khoản máy tính vào vùng.. - Cho phép bạn khóa người dùng hoặc nhóm không được truy cập đến các máy tính trên mạng.. - Deny Logon Locally Cho phép bạn ngăn cản những người dùng và nhóm truy cập đến máy tính cục bộ.. - Cho phép người dùng hoặc nhóm được ủy quyền cho người dùng hoặc một đối tượng máy tính.. - Force Shutdown from a Remote System Cho phép người dùng shut down hệ thống từ xa thông qua mạng. - Load and Unload Device Drivers Cho phép người dùng có thể cài đặt hoặc gỡ bỏ các driver của các thiết bị.. - Log On Locally Cho phép người dùng logon tại máy tính Server.. - Manage Auditing and Security Log Cho phép người dùng quản lý Security log.. - Cho phép người dùng hoặc một tiến trình hiệu chỉnh các biến môi trường hệ thống.. - Synchronize Directory Service Data Cho phép người dùng đồng bộ dữ liệu với một dịch vụ thư mục.. - Cho người dùng tước quyền sở hữu của một đối tượng hệ thống.. - Cho phép người dùng shutdown hệ thống mà không cần logon.. - Tự động logoff khỏi hệ thống khi người dùng hết thời gian sử dụng hoặc tài khoản hết hạn.. - Không hiển thị tên người dùng đã logon trên hộp thoại Logon.. - Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định hạn ngạch đĩa cho một người dùng nào đó. - MỘT SỐ MINH HỌA GPO TRÊN NGƯỜI DÙNG VÀ CẤU HÌNH MÁY 1. - Comment Cho phép người dùng mô tả thêm thông tin về thư mục dùng chung này. - Permissions Cho phép bạn thiết lập danh sách quyền truy cập thông qua mạng của người dùng. - Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ.. - Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ.. - Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ.. - Bạn muốn cấp quyền cho người dùng thì nhấp chuột vào nút Add.. - [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tài nguyên dùng chung này.. - [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài nguyên dùng chung này.. - Tên tài khoản người dùng đang kết nối vào tài nguyên chia sẻ.. - Tên máy tính có người dùng kết nối từ đó.. - Tên tài khoản người dùng đang truy cập tập tin đó.. - Hệ điều hành mà người dùng sử dụng để truy cập tập tin.. - Tab này cho phép ta có thể quy định quyền truy cập cho từng người dùng hoặc một nhóm người dùng lên các tập tin và thư mục. - Bạn nhấp chuột vào Tab Security để cấp quyền cho các người dùng.. - Giám sát người dùng truy cập thư mục. - Người dùng truy xuất hệ thống DFS thông qua đường dẫn \\servername\dfsname.. - Hệ thống DFS sẽ tự động đồng bộ giữa các Domain Controller và người dùng có thể truy xuất đến DFS thông qua đường dẫn. - để hiển thị những thông tin trang Web cho người dùng
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt