Giới Thiệu Về Tài Khoản Người Sử Dụng(User Account)



Field

Danh sách các thuộc tính có thể tìm.

Condition

Danh sách các điều kiện dựa trên thuộc tính có thể sử dụng để giới hạn việc tìm kiếm.

Value

Ô này dùng trong trường hợp sử dụng điều kiện. Tại đây gò các giá trị mà điều kiện (thuộc tính) phải thoả mãn.

Search Criteria

Danh sách các tiêu chí tìm kiếm đã định nghĩa.

Find Now

Bắt đầu tìm.

Stop

Chấm dứt việc tìm kiếm.

Clear All

Xoá các điều kiện tìm kiếm.

Results

Danh sách kết quả tìm được.

Có thể bạn quan tâm!

Xem toàn bộ 350 trang tài liệu này.

Gán quyền truy cập đối tượng (Object Permission): Tương tự như NTFS Permission, Active Directory Object Permission thiết lập quyền quy định user nào có quyền gì trên các đối tượng đó. Object Permission cũng bao gồm Standard Permission và Special Permission.

Standard Object Permission


Cho phép

Full Control

Toàn quyền tác động đến đối tượng

Read

Xem đối tượng, thuộc tính, quyền hạn đối tượng, người tạo đối tượng.

Write

Thay đổi thuộc tính đối tượng

Create All Child Objects

Bổ sung đối tượng vào OU.

Delete All Child Objects

Xoá đối tượng từ OU.

Để gán Permission cho đối tượng, chọn đối tượng, bấm chuột phải, chọn Properties, bấm tab Security. Lưu ý: phải bật View->Advanced Features để nhìn thấy tab Security.

Tương tự như NTFS Permission, Object Permission cũng có cơ chế kế thừa và cũng có thể ngăn chặn việc kế thừa.

Publishing Resources: để các đối tượng có thể được tìm thấy bởi user, cần quảng bá (publish) chúng.

Publish Shared Folder: Mở Active Directory Users And Computers, bấm chuột phải lên vị trí muốn bổ sung Shared Folder, chọn New, Shared Folder

Trên đây là một số thao tác cơ bản liên quan đến quản trị Active Directory. Tuy nhiên hiện tại chung ta mới chỉ điểm qua một vài trường hợp. Dưới đây liệt kê các nhiệm vụ của việc quản trị Active Directory và sẽ lần lượt được giới thiệu sau;

Nhóm quản trị

Các công việc

Configuring Directory

Active

Lập kế hoạch, xây dựng, quản lý, theo dòi, tối ưu và xử lý sự cố liên quan đến Active Directory, bao gồm cả

cấu trúc Domain, organizational unit (OU), site.

Administering users and groups

Lập kế hoạch, tạo, bảo trì user và group accounts để đảm bảo mỗi user có thể log-on vào mạng và truy cập

đúng đối tượng trên mạng.

Securing

resources

network

Quản trị, theo dòi, giải quyết sự cố các vấn đề liên

quan đến các vấn đề bảo mật các đối tượng trên mạng.

Administering Directory

Active

Quản lý và điều khiển các đối tượng của Active Directory bao gồm các kế hoạch cài đặt, sao lưu, khôi

phục.

Administering the desktop computing

environment

Cài đặt, cấu hình môi trường làm việc cho desktop

Managing Active

Directory performance

Theo dòi và nâng cao hiệu suất hoạt động của hệ thống

Active Directory

Installing Windows

Server 2003 remotely

Cài đặt Windows Server 2003 từ xa.

BÀI TẬP CHƯƠNG 1

Bài 1: Hãy thực hiện cài đặt hệ điều hành windows server 2003 từ đĩa CD ROM và tự động bằng cách tạo ra file trả lời tự động

Bài 2: Với sơ đồ hệ thống mạng như hình sau:

Hãy xây dựng một domain viendong com vn để quản lý hệ thống mạng này Sử 1

- Hãy xây dựng một domain viendong.com.vn để quản lý hệ thống mạng này.

- Sử dụng tài khoản admin của windows server và thực hiện gia nhập máy trạm vào miền vừa tạo

Bài 3: Với hệ thống mạng như trong bài tập 2, Hãy cấu hình trên máy Server- Duphong để làm máy dự phòng cho máy quản lý miền trong hệ thống.

Hướng dẫn Nâng cấp máy Server Duphong thành máy dự phòng cho máy quản lý 2

Hướng dẫn:

- Nâng cấp máy Server-Duphong thành máy dự phòng cho máy quản lý miền – Domain Controller đồng hành.

Bài 4: Với hệ thống mạng như trong bài tập 3, công ty có nhu cầu tạo thêm một miền con cho phòng KinhDoanh. Hãy cấu hình hệ thống như sau.

Bài 6 Một công ty muốn xây dựng hệ thống mạng client server để quản lý dữ 3

Bài 6: Một công ty muốn xây dựng hệ thống mạng client/server để quản lý dữ liệu tập chung. Hãy cài đặt và cấu hình hệ thống như sau.

Yêu cầu Cài đặt Active Directory trên Windows Server 2003 DC1 Backup Active 4

Yêu cầu:

- Cài đặt Active Directory trên Windows Server 2003 (DC1)

- Backup Active Directory

- Cài đặt thêm một máy chủ Active Directory vào một Domain đã có (DC2)

- Cài đặt Multiple Domain cho một hệ thống.

- Cài đặt Active Directory trên một Forest mới.

- Cài đặt Active Directory trên một domain con

- Đổi tên Domain

- Chuyển Master của Domain

Chương 2: QUẢN LÝ TÀI NGUYÊN MẠNG

2.1. Tạo và quản lý tài khoản người sử dụng

Là một người quản lý cần cung cấp cho những người sử dụng trong tổ chức của truy cập vào các nguồn tài nguyên mạng khác nhau mà họ yêu cầu. Các user account cho phép người sử dụng kết nối và đạt được sự truy cập vào các nguồn tài nguyên cục bộ hay trong Domain. Trong phần này sẽ học cách tạo User account cục bộ và trong Domain, đồng thời học cách xác lập các đặt tính cho chúng.

2.1.1. Giới thiệu về tài khoản người sử dụng(User Account)

Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép.

Tài khoản người dùng cục bộ: Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ. Tạo tài khoản người dùng cục bộ với công cụ Local Users and Group trong Computer Management (COMPMGMT.MSC). Các tài khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc các máy trạm được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager). Tập tin SAM này được đặt trong thư mục

Windowssystem32config.

Hình 2 1 Lưu trữ thông tin tài khoản người dùng cục bộ Tài khoản người dùng 5

Hình 2.1: Lưu trữ thông tin tài khoản người dùng cục bộ

Tài khoản người dùng miền: Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. tạo tài khoản người dùng miền với công cụ Active Directory Users and Computer

(DSA.MSC). Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục WindowsNTDS.

Hình 2 2 Lưu trữ thông tin tài khoản người dùng miền Tài khoản người dùng 6

Hình 2.2: Lưu trữ thông tin tài khoản người dùng miền

Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server 2003 thì mặc định được tạo ra. Tài khoản này là hệ thống có sẵn nên chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi tên (chú ý thao tác đổi tên trên những tài khoản hệ thống phức tạp một chút so với việc đổi tên một tài khoản bình thường do nhà quản trị tạo ra). Tất cả các tài khoản người dùng tạo sẵn này đều nằng trong Container Users của công cụ Active Directory User and Computer. Sau đây là bảng mô tả các tài khoản người dùng được tạo sẵn:

Tài khoản nhóm: Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution group).

2.1.2. Các nguyên tắc khi tạo một tài khoản người sử dụng

Một user account cho phép người sử dụng kết nối với các máy tính và các Domain với một đặc tính nhận biết nhận dạng vốn có thể được chứng thực và uỷ quyền để truy cập vào các nguồn tài nguyên domain.

Để tiến trình tạo các user đạt hiệu quả hơn cần có các quy ước và nguyên tắc đang được sử dụng trên mạng. Việc tuân theo các quy ước và nguyên tắc này sẽ dễ dàng quản lý các user account sau khi tạo chúng.

1) Các qui ước đặt tên

Qui ước đặt tên thiết lập cách nhận biết các user account trong domain, một qui ước đặt tên nhất quán giúp dễ dàng nhớ các tên user login và xác định chúng trong các danh sách. Tốt hơn là nên tuân theo qui ước đặt tên đang được sử dụng trên mạng hiện tại mà nó hỗ trợ nhiều người sử dụng. Hãy xem xét các nguyên tắc sau đây khi cài đặt các qui ước đặt tên.

- Tạo các tên user logon duy nhất trong Active Directory

Các tên user Logon dành cho các Domain User account phải là các tên duy nhất trong Active Directory. Các tên đầy đủ của domain user account phải là các tên duy nhất trong domain mà tạo ra user account. Các tên user account cục bộ phải là các tên duy nhất trên máy tính tạo ra user account cục bộ.

- Sử dụng tổ hợp các ký tự

Các tên User logon có thể chứa đến 20 ký tự hoa và thường (trường này chấp nhận trên 20 ký tự, nhưng Windows 2003 chỉ nhận biết 20 ký tự) ngoại trừ đối với các ký tự sau đây: “ / [ ] : ; | = * ? <>

Có thể sử dụng một tổ hợp gồm các ký tự đặc biệt cùng với chữ và số để nhận biết các user account duy nhất.

- Bao gồm cả các nhân viên giống nhau

Nếu có nhiều người sử dụng, qui ước đặt tên logon, cũng nên bao gồm cả các nhân viên có tên giống nhau. Sau đây là một số đề nghị để xử lý các tên giống nhau:

Sử dụng tên và chữ đầu tiên của họ, sau đó bổ sung thêm các mẫu tự khác của họ để bao gồm cả các tên giống nhau. Chẳng hạn, đối với hai người sử dụng có cùng tên là Judyl Lew, một tên user account logon có thể là Judyl và tên kia là Judyle.

Trong một số tổ chức, việc nhận biết các nhân viên tạm thời dựa vào các user account của họ là việc hữu ích. Để thực hiện điều này, có thể đặt trước tên user account một chữ T và một dấu gạch nối, Chẳng hạng T-Judyl.

2) Các nguyên tắc đối với password.

Để bảo đảm sự truy cập vào Domain hay một máy tính, mỗi user account nên có một password phức tạp. Điều này giúp ngăn chặn các cá nhân không được phép kết nối vào máy tính. Hãy xem các nguyên tắc sau đây đối với việc gán các password cho các user account.

- Gán một password cho Administrator account

Luôn luôn gán một password cho Administrator account để ngăn chặn những người khác truy cập vào account khi không được phép.

- Xác định ai là người điều khiển password

Xác định hay người sử dụng sẽ điều khiển password, có thể gán các password duy nhất cho các user account và ngăn chặn người sử dụng thay đổi chúng hoặc có thể

cho phép người sử dụng nhập các password riêng của họ vào lần đầu tiên khi họ kết nối. Trong phần lớn các trường hợp, người sử dụng nên điều khiển các password.

- Hướng dẫn người sử dụng các sử dụng password

Hướng dẫn người sử dụng về tầm quan trọng của việc sử dụng password phức tạp để người khác không thể đoán được.

Tránh sử dụng các password có một sự kết hợp rò ràng, chẳng hạn như tên của một thành viên trong gia đình.

Sử dụng các password dài bởi vì chúng khó đoán hơn, các password có thể dài đến 128 ký tự, nên sử dụng một password có chiều dài tối thiểu là 8 ký tự.

Sử dụng kết hợp chữ hoa và chữ thường với các ký tự không thuộc chữ và số.

3) Các tuỳ chọn account

Các tùy chọn user account điều khiển một người sử dụng truy cập domain hay máy tính, chẳng hạn có thể giới hạn số giờ người sử dụng có thể kết nối vào domain và các máy tính mà người sử dụng có thể kết nối từ đó. Cũng có thể chỉ định khi nào thì một user account hết hạn. Điều này cho phép bảo đảm sự an toàn cho mạng.

- Số giờ logon

Có thể xác lập số giờ logon cho những người cần truy cập vào chỉ các thời điểm nhất định, chẳng hạn có thể xác lập số giờ logon cho các nhân viên làm ca đêm để họ chỉ kết nối trong giờ làm việc của mình mà thôi.

- Các máy tính mà người sử dụng có thể kết nối từ đó

Những người sử dụng có thể kết nối với domain bằng cách sử dụng một máy tính bất kỳ trong domain theo mặc định. Có thể cấu hình các tuỳ chọn account để chỉ định các máy tính mà những ngươi sử dụng có thể kết nối từ đó. Chẳng hạn, có thể cho phép những người sử dụng, chẳng hạn như các nhân viên tạm thời, kết nối với domain chỉ từ máy tính của họ. Điều này ngăn chặn họ kết nối vào các máy tính khác và được phép truy cập vào thông tin trên các máy khác.

- Thời hạn của account

Việc xác lập ngày hết hạn trên một user account để bảo đảm account này không được vận hành khi người dử dụng không cần truy cập vào mạng nữa. Chẳng hạn có thể xác lập các user account cho các nhân viên tạm thời để chúng hết hạn vào ngày chấm dứt hợp động.

2.1.3. Tạo tài khoản người sử dụng cục bộ

1) Công cụ quản lý tài khoản người dùng cục bộ

Muốn tổ chức và quản lý người dùng cục bộ, ta dùng công cụ Local Users and Groups. Với công cụ này có thể tạo, xóa, sửa các tài khoản người dùng, cũng như thay đổi mật mã. Có hai phương thức truy cập đến công cụ Local Users and Groups:

- Dùng như một MMC (Microsoft Management Console) snap-in.

Xem toàn bộ nội dung bài viết ᛨ

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 29/06/2022