Dùng Nhóm Để Quản Lý Người Sử Dụng

Hình 2 32 Tạo group trong miền Bảng dưới đây sẽ mô tả các tuỳ chọn trong 1

Hình 2.32: Tạo group trong miền

Bảng dưới đây sẽ mô tả các tuỳ chọn trong hộp thoại New Object Group


Tuỳ chọn

Mô tả

Group name

Tên của Group mới, tên phải là duy nhất tên domain đã tạo group.

Group name (pre- Windows 2002)

Tên được dùng để hỗ trợ cho Client và Server từ phiên bản Windows trước.

Group scope

group scope. nhấp Domain local, Global, hoặc Universal.

Group type

Kiểu group. nhấp Security or Distribution.

Có thể bạn quan tâm!

Xem toàn bộ 350 trang tài liệu này.

Lưu ý: Sau khi tạo một group, windows Server 2003 cho phép di chuyển một group bên trong cấu trúc domain của nó cho dù các chức năng tổ chức và quản lý có thay đổi hay không. Mặc dù dễ dàng thay đổi một group, bởi vì một group là một đối tượng Active Directory, nhưng cũng cần phải cảnh giác về tính phức tạp của cấu trúc Active Directory.

- Xoá bỏ một Group

Khi xoá bỏ một group, xoá bỏ mức độ cho phép và quyền có liên quan với nó. Việc xoá bỏ một group không có nghĩa rằng xoá bỏ các user account hoặc các group vốn là thành viên của group đó.

Mỗi group tạo đều có một bộ chỉ thị duy nhất và không thể sử dụng lại được gọi là Security identifier (SID). Windows Server 2003 sử dụng SID để nhận biết group và nhận biết các mức độ cho phép được cấp phát cho nó. Lúc xoá bỏ một group, Windows Server 2003 không bao giờ sử dụng SID này lại, thậm chí cả khi tạo một group mới với tên giống hệt như group đã xoá bỏ. Do đó không thể phục hồi việc truy cập vào các nguồn tài nguyên bằng cách tạo một group có cùng tên.

Để xoá bỏ một group, hãy mở Active Directory Users and Computers trong cây console, hãy mở rộng Domain, rồi nhấp Folder có chứa group muốn xoá bỏ. Trong ô

chi tiết, hãy nhấp phải lên group muốn xoá bỏ, rồi nhấp Delete. Không thể xoá bỏ các group được tạo sẵn hoặc được xác lập trước.

2.2.4. Dùng nhóm để quản lý người sử dụng

Sau khi tạo một group, có thể bổ sung các thành viên vào group đó, các thành viên vào group đó. Các thành viên của group có thể bao gồm các user account, các group và các máy tính khác. Sử dụng Active Directory Users and Computers để bổ sung các thành viên vào một group.

Hình 2 33 Thêm người dùng vào nhóm Để bổ sung các thành viên vào một group 2

Hình 2.33: Thêm người dùng vào nhóm

Để bổ sung các thành viên vào một group, hãy thực hiện các bước sau đây:

- Trong hộp thoại Properties dành cho group phù hợp, hãy nhấp nhãn members, rồi nhấp Add.

- Trong danh sách Look in, hãy chọn một domain để qua đó hiển thị các user account và các Group. Có thể chọn Entire Directory để xem các user account và các group từ bất cứ nơi nào trong Active Directory.

Lúc bổ sung các thành viên có thể phân loại các thành viên theo tên hoặc theo Folder mà chúng đang có. Trong hộp thoại Select Users, Contacts, Computers, or Groups, hãy nhấp cột phù hợp.

- Trong cột name, hãy chọn User Account hoặc group muốn bổ sung, rồi nhấp Add. Có thể gò tên của user account hoặc group muốn bổ sung. Hãy lặp lại bước này để bổ sung user account hoặc group phụ.

- Nhấp Ok để bổ sung các thành viên vào group, rồi nhấp Ok để đóng hộp thoại Properties.

Cũng có thể bổ sung một user Account hoặc group vào group khác bằng cách sử dụng nhãn member of trong hộp thoại Properties dành cho các User Account hoặc

group đó. Sử dụng phương pháp này để nhanh chóng bổ sung cùng một group hoặc một User vào nhiều nhóm.

2.2.5. Bảo mật nhóm (Group policies)

1) Chính sách hệ thống

a) Chính sách tài khoản người dùng (Account Policy)

Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì sẽ thấy hai mục Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì sẽ thấy ba thư mục Password Policy, Account Lockout Policy và Kerberos Policy. Trong Windows Server 2003 cho phép quản lý chính sách tài khoản tại hai cấp độ là: cục bộ và miền. Muốn cấu hình các chính sách tài khoản người dùng ta vào Start | Programs | Administrative Tools| Domain Security Policy hoặc Local Security Policy.

Hình 2 34 Hộp thoại Default Domain Security Settings Chính sách mật khẩu Chính sách 3

Hình 2.34: Hộp thoại Default Domain Security Settings

- Chính sách mật khẩu

Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của người dùng để trách các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu…

Hình 2 35 Các chính sách mật khẩu Các lựa chọn trong chính sách mật khẩu 4

Hình 2.35: Các chính sách mật khẩu

Các lựa chọn trong chính sách mật khẩu:

Chính sách khóa tài khoản Chính sách khóa tài khoản Account Lockout Policy quy 5

- Chính sách khóa tài khoản

Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa.

Các thông số cấu hình chính sách khóa tài khoản:

B Chính sách cục bộ Chính sách cục bộ Local Policies cho phép thiết lập các 6

b) Chính sách cục bộ

Chính sách cục bộ (Local Policies) cho phép thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào công cụ này có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật.

- Chính sách kiểm toán

Chính sách kiểm toán (Audit Policies) thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng. Có thể xem các ghi nhận này thông qua công cụ Event Viewer, trong mục Security.

Hình 2 36 Các chính sách kiểm toán Các lựa chọn trong chính sách kiểm toán 7

Hình 2.36: Các chính sách kiểm toán

Các lựa chọn trong chính sách kiểm toán:

Quyền hệ thống của người dùng Đối với hệ thống Windows Server 2003 có hai 8

- Quyền hệ thống của người dùng

Đối với hệ thống Windows Server 2003, có hai cách cấp quyền hệ thống cho người dùng là: gia nhập tài khoản người dùng vào các nhóm tạo sẵn (built-in) để kế thừa quyền hoặc dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho người dùng. Cách thứ nhất chỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn gán quyền cho người dùng theo yêu cầu, cách thứ hai thì phải dùng công cụ Local Security Policy (nếu máy không phải Domain Controller) hoặc Domain Controller Security Policy (nếu máy là Domain Controller). Trong hai công cụ đó mở mục Local Policy User Rights Assignment.

Hình 2 37 Quyền hệ thống của người dùng Để thêm bớt một quyền hạn cho 9

Hình 2.37: Quyền hệ thống của người dùng

Để thêm, bớt một quyền hạn cho người dùng hoặc nhóm, nhấp đôi chuột vào quyền hạn được chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách người dùng và nhóm hiện tại đang có quyền này. Có thể nhấp chuột vào nút Add để thêm người dùng, nhóm vào danh sách hoặc nhấp chuột vào nút Remove để xóa người dùng khỏi danh sách. Ví dụ minh họa sau là cấp quyền thay đổi giờ hệ thống (change the system time) cho người dùng “Tuan”.

Hình 2 38 Xóa người dùng khỏi danh sách Danh sách các quyền hệ thống cấp cho 10

Hình 2.38: Xóa người dùng khỏi danh sách

Danh sách các quyền hệ thống cấp cho người dùng và nhóm:

Các lựa chọn bảo mật 11

Các lựa chọn bảo mật 12


Các lựa chọn bảo mật 13


Các lựa chọn bảo mật 14

- Các lựa chọn bảo mật

..... Xem trang tiếp theo?
⇦ Trang trước - Trang tiếp theo ⇨

Ngày đăng: 29/06/2022