Field | Danh sách các thuộc tính có thể tìm. |
Condition | Danh sách các điều kiện dựa trên thuộc tính có thể sử dụng để giới hạn việc tìm kiếm. |
Value | Ô này dùng trong trường hợp sử dụng điều kiện. Tại đây gò các giá trị mà điều kiện (thuộc tính) phải thoả mãn. |
Search Criteria | Danh sách các tiêu chí tìm kiếm đã định nghĩa. |
Find Now | Bắt đầu tìm. |
Stop | Chấm dứt việc tìm kiếm. |
Clear All | Xoá các điều kiện tìm kiếm. |
Results | Danh sách kết quả tìm được. |
Có thể bạn quan tâm!
- Chỉ Định Vị Trí Lưu Trữ Database Active Directory Và Tập Tin Log
- Nhập Địa Chỉ Ip Và Dns Cho Máy Additions Domain Controller
- Hộp Thoại Chọn Chế Độ Directory Service Restore Mode
- Computer Management Quản Lý Người Dùng Cục Bộ Chọn Console/add/remove Snap-In Để Mở Hộp Thoại Add/remove Snap-In. Nhấp Chuột Vào Nút Add Để Mở Hộp
- Tạo Và Xác Lập Các Tuỳ Biến Cho Người Sử Dụng
- Nhóm Và Cách Dùng Nhóm Để Quản Lý Người Sử Dụng
Xem toàn bộ 350 trang tài liệu này.
Gán quyền truy cập đối tượng (Object Permission): Tương tự như NTFS Permission, Active Directory Object Permission thiết lập quyền quy định user nào có quyền gì trên các đối tượng đó. Object Permission cũng bao gồm Standard Permission và Special Permission.
Cho phép | |
Full Control | Toàn quyền tác động đến đối tượng |
Read | Xem đối tượng, thuộc tính, quyền hạn đối tượng, người tạo đối tượng. |
Write | Thay đổi thuộc tính đối tượng |
Create All Child Objects | Bổ sung đối tượng vào OU. |
Delete All Child Objects | Xoá đối tượng từ OU. |
Để gán Permission cho đối tượng, chọn đối tượng, bấm chuột phải, chọn Properties, bấm tab Security. Lưu ý: phải bật View->Advanced Features để nhìn thấy tab Security.
Tương tự như NTFS Permission, Object Permission cũng có cơ chế kế thừa và cũng có thể ngăn chặn việc kế thừa.
Publishing Resources: để các đối tượng có thể được tìm thấy bởi user, cần quảng bá (publish) chúng.
Publish Shared Folder: Mở Active Directory Users And Computers, bấm chuột phải lên vị trí muốn bổ sung Shared Folder, chọn New, Shared Folder
Trên đây là một số thao tác cơ bản liên quan đến quản trị Active Directory. Tuy nhiên hiện tại chung ta mới chỉ điểm qua một vài trường hợp. Dưới đây liệt kê các nhiệm vụ của việc quản trị Active Directory và sẽ lần lượt được giới thiệu sau;
Các công việc | ||
Configuring Directory | Active | Lập kế hoạch, xây dựng, quản lý, theo dòi, tối ưu và xử lý sự cố liên quan đến Active Directory, bao gồm cả cấu trúc Domain, organizational unit (OU), site. |
Administering users and groups | Lập kế hoạch, tạo, bảo trì user và group accounts để đảm bảo mỗi user có thể log-on vào mạng và truy cập đúng đối tượng trên mạng. | |
Securing resources | network | Quản trị, theo dòi, giải quyết sự cố các vấn đề liên quan đến các vấn đề bảo mật các đối tượng trên mạng. |
Administering Directory | Active | Quản lý và điều khiển các đối tượng của Active Directory bao gồm các kế hoạch cài đặt, sao lưu, khôi phục. |
Administering the desktop computing environment | Cài đặt, cấu hình môi trường làm việc cho desktop | |
Managing Active Directory performance | Theo dòi và nâng cao hiệu suất hoạt động của hệ thống Active Directory | |
Installing Windows Server 2003 remotely | Cài đặt Windows Server 2003 từ xa. |
BÀI TẬP CHƯƠNG 1
Bài 1: Hãy thực hiện cài đặt hệ điều hành windows server 2003 từ đĩa CD ROM và tự động bằng cách tạo ra file trả lời tự động
Bài 2: Với sơ đồ hệ thống mạng như hình sau:
- Hãy xây dựng một domain viendong.com.vn để quản lý hệ thống mạng này.
- Sử dụng tài khoản admin của windows server và thực hiện gia nhập máy trạm vào miền vừa tạo
Bài 3: Với hệ thống mạng như trong bài tập 2, Hãy cấu hình trên máy Server- Duphong để làm máy dự phòng cho máy quản lý miền trong hệ thống.
Hướng dẫn:
- Nâng cấp máy Server-Duphong thành máy dự phòng cho máy quản lý miền – Domain Controller đồng hành.
Bài 4: Với hệ thống mạng như trong bài tập 3, công ty có nhu cầu tạo thêm một miền con cho phòng KinhDoanh. Hãy cấu hình hệ thống như sau.
Bài 6: Một công ty muốn xây dựng hệ thống mạng client/server để quản lý dữ liệu tập chung. Hãy cài đặt và cấu hình hệ thống như sau.
Yêu cầu:
- Cài đặt Active Directory trên Windows Server 2003 (DC1)
- Backup Active Directory
- Cài đặt thêm một máy chủ Active Directory vào một Domain đã có (DC2)
- Cài đặt Multiple Domain cho một hệ thống.
- Cài đặt Active Directory trên một Forest mới.
- Cài đặt Active Directory trên một domain con
- Đổi tên Domain
- Chuyển Master của Domain
Chương 2: QUẢN LÝ TÀI NGUYÊN MẠNG
2.1. Tạo và quản lý tài khoản người sử dụng
Là một người quản lý cần cung cấp cho những người sử dụng trong tổ chức của truy cập vào các nguồn tài nguyên mạng khác nhau mà họ yêu cầu. Các user account cho phép người sử dụng kết nối và đạt được sự truy cập vào các nguồn tài nguyên cục bộ hay trong Domain. Trong phần này sẽ học cách tạo User account cục bộ và trong Domain, đồng thời học cách xác lập các đặt tính cho chúng.
2.1.1. Giới thiệu về tài khoản người sử dụng(User Account)
Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép.
Tài khoản người dùng cục bộ: Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ. Tạo tài khoản người dùng cục bộ với công cụ Local Users and Group trong Computer Management (COMPMGMT.MSC). Các tài khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc các máy trạm được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager). Tập tin SAM này được đặt trong thư mục
Windowssystem32config.
Hình 2.1: Lưu trữ thông tin tài khoản người dùng cục bộ
Tài khoản người dùng miền: Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. tạo tài khoản người dùng miền với công cụ Active Directory Users and Computer
(DSA.MSC). Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục WindowsNTDS.
Hình 2.2: Lưu trữ thông tin tài khoản người dùng miền
Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server 2003 thì mặc định được tạo ra. Tài khoản này là hệ thống có sẵn nên chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi tên (chú ý thao tác đổi tên trên những tài khoản hệ thống phức tạp một chút so với việc đổi tên một tài khoản bình thường do nhà quản trị tạo ra). Tất cả các tài khoản người dùng tạo sẵn này đều nằng trong Container Users của công cụ Active Directory User and Computer. Sau đây là bảng mô tả các tài khoản người dùng được tạo sẵn:
Tài khoản nhóm: Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution group).
2.1.2. Các nguyên tắc khi tạo một tài khoản người sử dụng
Một user account cho phép người sử dụng kết nối với các máy tính và các Domain với một đặc tính nhận biết nhận dạng vốn có thể được chứng thực và uỷ quyền để truy cập vào các nguồn tài nguyên domain.
Để tiến trình tạo các user đạt hiệu quả hơn cần có các quy ước và nguyên tắc đang được sử dụng trên mạng. Việc tuân theo các quy ước và nguyên tắc này sẽ dễ dàng quản lý các user account sau khi tạo chúng.
1) Các qui ước đặt tên
Qui ước đặt tên thiết lập cách nhận biết các user account trong domain, một qui ước đặt tên nhất quán giúp dễ dàng nhớ các tên user login và xác định chúng trong các danh sách. Tốt hơn là nên tuân theo qui ước đặt tên đang được sử dụng trên mạng hiện tại mà nó hỗ trợ nhiều người sử dụng. Hãy xem xét các nguyên tắc sau đây khi cài đặt các qui ước đặt tên.
- Tạo các tên user logon duy nhất trong Active Directory
Các tên user Logon dành cho các Domain User account phải là các tên duy nhất trong Active Directory. Các tên đầy đủ của domain user account phải là các tên duy nhất trong domain mà tạo ra user account. Các tên user account cục bộ phải là các tên duy nhất trên máy tính tạo ra user account cục bộ.
- Sử dụng tổ hợp các ký tự
Các tên User logon có thể chứa đến 20 ký tự hoa và thường (trường này chấp nhận trên 20 ký tự, nhưng Windows 2003 chỉ nhận biết 20 ký tự) ngoại trừ đối với các ký tự sau đây: “ / [ ] : ; | = * ? <>
Có thể sử dụng một tổ hợp gồm các ký tự đặc biệt cùng với chữ và số để nhận biết các user account duy nhất.
- Bao gồm cả các nhân viên giống nhau
Nếu có nhiều người sử dụng, qui ước đặt tên logon, cũng nên bao gồm cả các nhân viên có tên giống nhau. Sau đây là một số đề nghị để xử lý các tên giống nhau:
Sử dụng tên và chữ đầu tiên của họ, sau đó bổ sung thêm các mẫu tự khác của họ để bao gồm cả các tên giống nhau. Chẳng hạn, đối với hai người sử dụng có cùng tên là Judyl Lew, một tên user account logon có thể là Judyl và tên kia là Judyle.
Trong một số tổ chức, việc nhận biết các nhân viên tạm thời dựa vào các user account của họ là việc hữu ích. Để thực hiện điều này, có thể đặt trước tên user account một chữ T và một dấu gạch nối, Chẳng hạng T-Judyl.
2) Các nguyên tắc đối với password.
Để bảo đảm sự truy cập vào Domain hay một máy tính, mỗi user account nên có một password phức tạp. Điều này giúp ngăn chặn các cá nhân không được phép kết nối vào máy tính. Hãy xem các nguyên tắc sau đây đối với việc gán các password cho các user account.
- Gán một password cho Administrator account
Luôn luôn gán một password cho Administrator account để ngăn chặn những người khác truy cập vào account khi không được phép.
- Xác định ai là người điều khiển password
Xác định hay người sử dụng sẽ điều khiển password, có thể gán các password duy nhất cho các user account và ngăn chặn người sử dụng thay đổi chúng hoặc có thể
cho phép người sử dụng nhập các password riêng của họ vào lần đầu tiên khi họ kết nối. Trong phần lớn các trường hợp, người sử dụng nên điều khiển các password.
- Hướng dẫn người sử dụng các sử dụng password
Hướng dẫn người sử dụng về tầm quan trọng của việc sử dụng password phức tạp để người khác không thể đoán được.
Tránh sử dụng các password có một sự kết hợp rò ràng, chẳng hạn như tên của một thành viên trong gia đình.
Sử dụng các password dài bởi vì chúng khó đoán hơn, các password có thể dài đến 128 ký tự, nên sử dụng một password có chiều dài tối thiểu là 8 ký tự.
Sử dụng kết hợp chữ hoa và chữ thường với các ký tự không thuộc chữ và số.
3) Các tuỳ chọn account
Các tùy chọn user account điều khiển một người sử dụng truy cập domain hay máy tính, chẳng hạn có thể giới hạn số giờ người sử dụng có thể kết nối vào domain và các máy tính mà người sử dụng có thể kết nối từ đó. Cũng có thể chỉ định khi nào thì một user account hết hạn. Điều này cho phép bảo đảm sự an toàn cho mạng.
- Số giờ logon
Có thể xác lập số giờ logon cho những người cần truy cập vào chỉ các thời điểm nhất định, chẳng hạn có thể xác lập số giờ logon cho các nhân viên làm ca đêm để họ chỉ kết nối trong giờ làm việc của mình mà thôi.
- Các máy tính mà người sử dụng có thể kết nối từ đó
Những người sử dụng có thể kết nối với domain bằng cách sử dụng một máy tính bất kỳ trong domain theo mặc định. Có thể cấu hình các tuỳ chọn account để chỉ định các máy tính mà những ngươi sử dụng có thể kết nối từ đó. Chẳng hạn, có thể cho phép những người sử dụng, chẳng hạn như các nhân viên tạm thời, kết nối với domain chỉ từ máy tính của họ. Điều này ngăn chặn họ kết nối vào các máy tính khác và được phép truy cập vào thông tin trên các máy khác.
- Thời hạn của account
Việc xác lập ngày hết hạn trên một user account để bảo đảm account này không được vận hành khi người dử dụng không cần truy cập vào mạng nữa. Chẳng hạn có thể xác lập các user account cho các nhân viên tạm thời để chúng hết hạn vào ngày chấm dứt hợp động.
2.1.3. Tạo tài khoản người sử dụng cục bộ
1) Công cụ quản lý tài khoản người dùng cục bộ
Muốn tổ chức và quản lý người dùng cục bộ, ta dùng công cụ Local Users and Groups. Với công cụ này có thể tạo, xóa, sửa các tài khoản người dùng, cũng như thay đổi mật mã. Có hai phương thức truy cập đến công cụ Local Users and Groups:
- Dùng như một MMC (Microsoft Management Console) snap-in.