Lecture5 userandgroup có ghi chú

QUẢN LÝ USER VÀ GROUP

Ngô Văn Công

Mục đích
 Quản trị Users và Groups trong Workgroup
 Quản trị Users và Groups trong Domain

Quản trị Users, Groups trong
Workgroup
 Khái niệm Users và Groups
 Quản trị Users
 Quản trị Groups

Khái niệm Users
 User Accounts:Tài khoản người dùng
 Cho phép user logon trên mạng hay máy
tính cục bộ
 Cho phép truy suất tài nguyên mạng hay
cục bộ
 User name và password
 Quy ước đặt tên:20 ký tự hoa hoặc thường,
kt số
 Password:8-128 ký tự

User có sẵn(Built in user)
 Administrator Account
 Truy suất tất cả các tài
nguyên mạng
 Toàn quyền trên
domain
 Guest Account
 Truy suất tạm thời tài
nguyên
 Mặc nhiên Disenabled

Group Account
 Tập hợp những tài khoản người dùng(User), giúp
phân quyền truy xuất tài nguyên cho nhiều users
cùng lúc

(tt)
 User có thể là thành viên của nhiều groups

Groups trong workgroup
 Không là thành viên của group khác
 Thành viên chỉ là users cục bộ
 Chỉ được truy xuất tài nguyên trên máy tạo ra

Quản trị groups
 Built-in local group
 Administrators:Quản
trị toàn hệ thống
 Users:Tài khoản
người dùng
 Backup Operations:
Sao lưu và phục hồi
dữ liệu
 Guests: Truy xuất tài
nguyên tạm thời
 Power Users: Tạo,
hiệu chỉnh User

Hộp thoại logon vao local
computer

Quản lý Users và Groups
Trong Domain
 Tài khoản Users và Groups tạo ra nhằm
cho phép truy xuất tài nguyên trong
Domain.

Tài khoản users trong domain
 Tài khoản chính là tên logon vào domain(logon
name) và truy xuất tài nguyên
 User Principal Name(UPN)
 Security Principal Name(SPN), Suffix DNS
 @ Symbol
 Ví dụ: tannv@x.hcmut.edu.vn

Các đặc tính tài khoản User
 Công cụ chính để tạo và quản trị tài khoản là
Active Directory Users and Computers
 Active Directory dễ mở rộng nên có thể có
các tab được thêm vào các trang đặc tính
(property page)
 Các đặc tính quan trọng có thể thiết lập
gồm:
 General
 Address
 Account
 Profile

Chứng thực User
 Tiến trình nhận dạng một user hợp pháp
 Dùng để chấp nhận hoặc từ chối quyền
truy cập vào tài nguyên mạng
 Từ 1 hệ điều hành client
 Tên, mật khẩu, tài nguyên y/c
 Trong môi trường Active Directory
 Domain controller chứng thực
 Trong 1 workgroup
 SAM cục bộ chứng thực

Tạo tài khoản người dùng cho
domain user

Thiết lập Home Directory cho
Domain User
 Để quản trị dữ liệu của
User một cách tập trung
 Thực hiện
 Tạo home directory trên
máy server cho từng user
 Chia sẻ và thiết lập quyền
trên home directory ứng
với mỗi user riêng
 Thiết lập đường dẫn chỉ
đến home directory cho
mỗi user trên server

User Profiles
 Một tập hợp các thiết lập đặc trưng cho
một user
 Theo mặc nhiên được lưu giữ cục bộ
 Không đi theo user đăng nhập trên các máy
tính khác
 Có thể tạo 1 roaming profile
 Đi theo user đăng nhập trên các máy tính
khác
 Administrator có thể tạo 1 mandatory
profile
 User không thể thay đổi nó

User Profile Folders and Contents

Local Profiles
 Các profile mới được tạo từ thư mục
Default User profile
 User có thể thay đổi local profile và
những thay đổi được lưu giữ lại chỉ
cho user đó
 Administrator có thể quản lý nhiều
phần tử của profile
 Change Type
 Delete
 Copy To

Roaming Profiles
 Roaming profiles
 Cho phép profile lưu trên 1 server trung
tâm và đi theo user
 Hỗ trợ thuận lợi cho việc định vị tập trung
(có ích với thao tác backup)
 Thay đổi 1 profile từ local  roaming
nên cẩn thận sao lưu trước

Các User Template
 Một tài khoản user được cấu hình sẵn
với các thiết lập phổ biến
 Có thể được sao chép để tạo các tài
khoản mới
 Các tài khoản mới sau đó sẽ được cấu
hình với các thiết lập riêng

Kích hoạt và ẩn một tài khoản

Khóa tài khoản
Ngưỡng khóa tài khoản
Số lần đăng nhập lỗi
Ngăn cản hacker có thể
đoán mật khẩu
Tài khoản có thể vượt qua số
lần đăng nhập:
Tại màn hình đăng nhập
Tại màn hình bảo vệ
Truy cập vào tài nguyên
của mạng

Tùy chọn cho tài khoản
Tùy chọn tài
Đặc tả
khoản
User must change
Người dùng phải thay đổi password
password at next
lần tiếp theo họ đăng nhập
logon
User cannot Người dùng không có quyền thay
change password đổi password của họ
Password never Password người dùng không bao
expires giờ hết hạn
Account is Người dùng không thể đăng nhập
disabled vào với account này

Thiết lập lại password cho
người dùng
 Khi người dùng quên mật khẩu

Thiết lập lại account
 Máy tính không thể truy cập vào miền
 Password cần được đồng bộ

(tt)
Bộ lọc truy vấn:
Object type
Location
General values associated with the
object, such as name and description

Các ứng dụng dòng lệnh
 Một số administrator thích làm việc với
dòng lệnh
 có thể được dùng để tự động tạo hoặc
quản lý các tài khoản rất linh hoạt

DSADD
 Cho phép các kiểu đối tượng được thêm
vào directory
 Các tài khoản Computers, quota, contact,
User...
 Cú pháp cho tài khoản user là
 DSADD USER <tên phân biệt> <các khóa
chuyển>
 các khóa chuyển gồm -pwd(password)…
 Ví dụ

dsadd user "cn=guyt, ou=guyds, dc=cp, dc=com"

DSMOD
 Cho phép các đối tượng được chỉnh sửa
từ dòng lệnh
 Các tài khoản Computer, User, Contact,
Quota, OU
 Cú pháp
 DSMOD USER <tên phân biệt> <các khóa
chuyển>
 Ví dụ: đổi password của user guyt

dsmod user "cn=guyt, ou=guyds, dc=cp, dc=com" -pwd a1yC24kg

DSQUERY
 Cho phép các kiểu đối tượng được truy
vấn từ dòng lệnh
 Hỗ trợ dùng ký tự đại diện
 Kết xuất có thể điều hướng lại cho lệnh
khác
 Ví dụ: Trà về tài khoản có tên cuong
 DSQUERY USER -name cuong

DSMOVE
 Cho phép các đối tượng được di chiển từ
vị trí hiện hành sang nơi khác
 Cho phép nhiều kiểu đối tượng khác nhau
được đổi tên
 Chỉ cho phép di chuyển trong cùng một
miền
 Ví dụ: di chuyển một tài khoản user vào
OU "marketing"
 dsmove
"cn=paul,cn=users,dc=test,dc=com“
-newparent
“ou=marketing,dc=test,dc=com"

DSRM
 Cho phép các đối tượng được xóa từ
directory
 Có thể xóa từng đối tượng hoặc toàn bộ
cây
 Ví dụ: Xóa maketing OU và tất cả đối
tượng trong đó
 dsrm -subtree -noprompt -c
"ou=marketing,dc=test,dc=com"

Sự cố với tài khoản user và
các vấn đề chứng thực
 Bình thường tạo và cấu hình tài khoản
rất dễ dàng
 Các vấn đề nếu có thường liên quan
 Cấu hình tài khoản
 Các thiết lập chính sách

Chính sách mật khẩu
 Các thiết lập cấu hình
 Lịch sử và việc sử dụng lại mật khẩu
 Thời gian tồn tại tối đa
 Thời gian tồn tại tối thiểu
 Độ dài tối thiểu
 Yêu cầu độ phức tạp
 Chính sách mã hóa

Chính sách kiểm toán
 Kiểm toán sử kiện tài khoản đăng nhập
 Cấu hình trong đối tượng group policy liên
kết với DC hay OU
 Mặc nhiên là chỉ với các đăng nhập
thành công
 Sự kiện có thể xem trong báo cáo
security Log
 Có thể chọn để sửa chữa các đăng nhập
lỗi
 Có ích cho việc giải quyết sự cố
 Các mã cung cấp thông tin về kiểu lỗi

Giải quyết các sự cố đăng
nhập
 Một số vấn đề và cách sửa
 Tên user hoặc mật khẩu sai
 Tài khoản bị khóa
 Tại khoản bị cấm
 Các giới hạn giờ đăng nhập
 Các giới hạn trạm làm việc
 Domain Controller

Tài khoản domain group
 Group là tập hợp nhiều tài khoản user giúp phân
quyền truy xuất tài nguyên cho nhiều user

 User có thể là thành viên của nhiều group và group
cũng có thể là thành viên của nhiều group khác

Local group
 Tập hợp tài khoản trên 1 máy tính
 Sử dùng local group để phân quyền cho tài
nguyên trên máy tính cục bộ
 Hướng dẫn sử dụng local group
 Nên sử dụng local group trên máy mà mình tạo
 Sử dụng local group trên các máy chạy window XP
hay là máy chủ thanh viên chạy window server
2003. Local group không thể tạo trên máy quản lý
miền.
 Sử dụng local group cho máy không thuộc domain
 Thành viên local group chỉ có thể là user của máy
tính mà bạn tạo local group.

 Tất cả group trong domain phải được tạo trên DC
 Thành viên là những group hay là users trong các
domains

Kiểu group trong domain
 Group bảo mật(Security
groups):Có thể ấn định
quyền truy xuất tài
nguyên
 Group phân
bố(Distribution group):
dùng cho các dịch
vụ(mail)

Phạm vi nhóm
 Group toàn
cục(Global group):
 Phân quyền truy xuất
bất cứ tài nguyên
nào trong forest
 Thành viên chỉ là
những user hay
group từ domain
được nó tạo

Phạm vi group
 Group cục bộ
miền(Domain local)
 Có thể truy xuất tài
nguyên trong
domain tạo ra nó
 Thành viên là bất cứ
domain nào trong
forest

(tt)
 Group đa
năng(Universal)
 Cho phép truy xuất
đến bất kỳ tài
nguyên nào trong
forest
 Thành viên là user,
group bất kỳ domain
nào trong forest

Default Group
 Có 3 danh mục nhóm mặc định
 Nhóm trong mục Built-in
 Domain Local Group
 Thường gán tập quyền co sẵn cho người dùng phục vụ
mục đích quản trị
 Administrators: Thành viên nhóm này có toàn quyền truy
cập máy tính, DC, và có thể toàn quyền truy cập vào
domain nếu là thành viên cua Domain Admin Group
 Nhóm trong thư mục users
 Thường dùng gán quyền cho người chịu trách nhiệm
quản lý miền.
 Built-in local group
 Các máy server thành viên, máy window XP đều có mục
này
 Cung cấp quyền quản lý trên máy cục bộ

Tạo các đối tượng group
 Các đối tượng group lưu trữ trong csdl
AD
 Nhiều công cụ khác nhau có thể dùng để
tạo và quản lý group
 Active Directory User and Computer
 DSADD, DSMOD, DSQUERY….

Active Directory User and
Computer
 Công cụ chính
 Tạo các tài khoản group
 Có thể dùng để cấu hình các thuộc tính của
các tài khoản group
 Các group có thể tạo trong bất kỳ container
có sẵn nào, tại gốc của đối tượng domain
hay trong các OU tùy ý
 Phạm vi của group được xác định bằng
chức năng của domain được cấu hình như
thế nào

Chức năng domain(Domain
Functional Level)

Nâng cấp chức năng miền
 In the console tree, right-click the
domain for which you want to raise
functionality, and then click Raise
Domain Functional Level.
 In Select an available domain functional
level, do one of the following:
 To raise the domain functional level to
Windows 2000 native, click Windows 2000
native, and then click Raise.
 To raise domain functional level to Windows
Server 2003, click Windows Server 2003,
and then click Raise.

DSADD group
 Dùng tạo tài khoản group mới
 Cú pháp
 dsadd group dn switches
 switche gồm -secgrp,-scope, -memberof,
-member
 -scope g        Global group
 -scope L        Domain Local group
 -secgrp yes    Security group (not
distribution)
dsadd group "cn=L Epson, ou=guyds, dc=cp, dc=com" -secgrp yes -scope L

DSMOD group
 Sửa đổi các thông tin liên quan đến
nhóm
 Cú pháp
 dsmod group DN -switches
 switches: -desc,-rmmbr,-addmbr

dsmod group "CN=US INFO,OU=Distribution Lists,DC=microsoft,DC=com"
-addmbr "CN=John Smith,CN=Users,DC=microsoft,DC=com"

Dsqrery group
 Truy vấn các thông tin liên quan đến
nhóm
 Cú pháp
 dsquery group query
 Hỗ trợ ký tự đại diện (*)
 Có thể điều hướng cho các công cụ
dòng lệnh khác

Chuyển đổi các kiểu group
 Có thể thay đổi group từ kiểu security
thành group kiểu distribution hoặc
ngược lại
 Kiểu của group có thể thay đổi nếu mức
chức năng domain là windows 2000
native hay cao hơn

Chuyển đổi phạm vi group
 Phạm vi group có thể thay đổi được
 Mực chức năng của domain ít nhất phải
là window 2000 native
 Các thay đổi hỗ trợ
 Global -> Universal
 Domain Local -> Universal
 Universal -> Global
 Universal -> Domain Local

Sử dụng Nhóm
 Để sử dụng nhóm cách hiệu quả thì cần
phải có cách tổ chức nhóm một cách
hợp lý
 Nên có một hoạch định trước khi bắt tay
vào tạo nhóm

Kế hoạch cho Global và Local
group
 Nhóm toàn cục(Global) và cục bộ
miền(domain local) được liệt kê trong
Global catalog, nhưng thành viên của nó
thì không
 bằng cách sử dụng nhóm toàn cục hay
nhóm cục bộ có thể tối ưu được hiệu năng
mạng
 Một số hướng dẫn
 Gán người dùng làm các công việc chung
vào nhóm toàn cục
 Trong phòng kế toàn thì thêm tài khoản người
dung chung cho tất cả kế toán vào nhóm global

Quản lý các security group
 Chiến lược quản lý có thể tóm tắt bằng
các từ A G U DL P
 Tạo các user Account(A) và tổ chức chúng
bên trong các Global group
 Tùy chọn: Tạo Universal group(U) và đặt các
global group từ bất kỳ domain nào trong các
universal group
 tạo các Domain Local Group (DL) và thêm
các group global và universal
 Gán quyền Permission(P) cho các domain
local group

Một số chính sách khác
 Đặt tài khoản người dùng vào domain
local group và cấp quyền cho domain
local group
 Cách này không cho phép bạn cấp quyền
cho tái nguyên ngoài miềm
 Đặt tải khoản người dùng vào global
group, và gán quyền cho global group
 Cách này sẽ phức tạp khi dùng nhiều
domain

Xác định thành viên nhóm
 Tác vụ quan trọng với các Administrator
để chắc chắn rằng các user là thành viên
của đúng group
 1 cách là thông qua member of tab của
trang đặc tính của một tài khoản user
 chỉ hiển thị mức đầu tiên của các group
 Cách thứ 2 là dùng dsget

(tt)
 cú pháp
 dsget group distinguished name switches
 swiches gồm:-members, -member of
 cũng có thể dùng dsget user để lấy
thông tin thành viên
 Ví dụ
 Dsget group “cn=g1,ou=test,dc=ntu,dc=vn”
-members

The Members and Member Of
Properties
Group or Team Global Group Domain Local Group

Tom, Jo, and Kim Denver Admins Denver OU Admins

Members Member Of Memb
Members Member Of
Member Of Members Member
N/A Denver Admins ers
Tom, Jo, Denver OU Of
Kim
Tom, Admins
Denver OU Denver N/A
Admins,
Jo, Admins
Kim Vancouver
Admins

Sam, Scott, and Amy Vancouver Admins

Members Member Of Members Member Of
N/A Vancouver Sam, Scott, Denver OU
Admins Amy Admins

Tổng kết(user)
 Một tài khoản user là một đối tượng
được lưu trữ trong AD
 Định nghĩa user và quyền truy cập vào
mạng
 Công cụ quản lý
 Active Directory User And Computer
 DSADD, DSMOD, DSQUERY...
 Các user profile dùng để cấu hình và tùy
biến môi trường làm việc
 local, roaming, mandatary

tt(group)
 Các tài khoản group giảm khối lượng công
việc quản trị bằng cách cho phép gán quyền
chung cho nhiều user đồng thời
 2 kiểu group
 Security group, Distribution group
 3 kiểu phạm vi
 Global group
 Domain local group
 Universal group
 Các built-in group, user được tạo tự động khi
cài đặt với một số quyền thiết lập trước

Lecture5 userandgroup có ghi chú

More Related Content

Viewers also liked (18)

Similar to Lecture5 userandgroup có ghi chú (20)

Lecture5 userandgroup có ghi chú