Tài liệu Quản lý tài khoản người dùng trong nhóm ppt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (912.3 KB, 8 trang )
1
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
KHOA ĐiỆN TỬ - ViỄN THÔNG
Chương 03
QUẢN LÝ TÀI KHOẢN NGƯỜI
DÙNG VÀ NHÓM
2/47
Nội dung bài học
Nội dung bài học
Tài khoản người dùng và tài khoản nhóm
Chứng thực và kiểm soát truy cập
Các tài khoản tạo sẵn
Quản lý tài khoản người dùng và nhóm cục bộ
Quản lý tài khoản người dùng vá nhóm trên
Active Directory
3/47
ðịnh nghĩa tài khoản người dùng và tài khoản
nhóm
ðịnh nghĩa tài khoản người dùng và tài khoản
nhóm
Tài khoản người dùng
Tài khoản người dùng cục bộ:
ðược ñịnh nghĩa trên máy cục bộ (máy stand-alone, member sever)
ðược lưu trong tập tin SAM (Secutity Accounts Manager)
4/47
Tài khoản người dùng (t.t)
Tài khoản người dùng (t.t)
Tài khoản người dùng miền
ðịnh nghĩa trên Active Directory, lưu trên file NTDS.DIT
Có thể logon trên bất kỳ máy trạm nào thuộc vùng ñể truy cập tài
nguyên mạng
2
5/47
Tài khoản người dùng (t.t)
Tài khoản người dùng (t.t)
Yêu cầu tài khoản người dùng
Username: dài 1-20 ký tự (trên Windows Server 2003,
username có thể dài 104 ký tự, tuy nhiên khi ñăng nhập từ các
máy cài hệ ñiều hành Windows NT 4.0 về trước thì mặc ñịnh chỉ
hiểu 20 ký tự )
Username là một chuổi duy nhất
Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < > ”
Username có thể chứa các ký tự ñặc biệt: dấu chấm câu, khoảng
trắng, dấu gạch ngang, dấu gạch dưới.
6/47
ðịnh nghĩa tài khoản người dùng và tài khoản
nhóm
ðịnh nghĩa tài khoản người dùng và tài khoản
nhóm
Tài khoản nhóm
Nhóm bảo mật (Security group)
Nhóm bảo mật ñược dùng ñể cấp phát các quyền hệ thống
(rights) và quyền truy cập (permission).
Mỗi nhóm bảo mật có một SID riêng.
Có 4 loại nhóm bảo mật: local (nhóm cục bộ), domain local (nhóm
cục bộ miền), global (nhóm toàn cục hay nhóm toàn mạng) và
universal (nhóm phổ quát).
Nhóm phân phối (distribution group)
Nhóm phân phối là nhóm phi bảo mật, không có SID và không
xuất hiện trong ACL (Access Control List).
7/47
ðịnh nghĩa tài khoản người dùng và tài khoản
nhóm
ðịnh nghĩa tài khoản người dùng và tài khoản
nhóm
Nhóm bảo mật (Security group)
Local (nhóm cục bộ): Chỉ có ý nghĩa và phạm vi hoạt ñộng trên
máy cục bộ
Domain local (nhóm cục bộ miền):
Là nhóm cục bộ nhưng nằm trên các Domain Controller
Một user trên máy DC này sẽ có mặt trên các DC ñồng hành với nó
Global (nhóm toàn cục hay nhóm toàn mạng):
Nằm trong AD ñược tạo ra trên các DC
ðược cấp quyền hệ thống và quyền truy cập vượt qua ranh giới của
miền
Universal (nhóm phổ quát): ðược cấp quyền cho các ñối tượng
trên khắp miền trong rừng
8/47
Tài khoản nhóm (t.t)
Tài khoản nhóm (t.t)
Qui tắt gia nhập nhóm
Tất cả các nhóm Domain local,
Global, Universal ñều có thể ñặt
vào trong nhóm Machine Local.
Tất cả các nhóm Domain local,
Global, Universal ñều có thể dặt
vào trong chính loại nhóm của
mình.
Nhóm Global và Universal có
thể ñặt vào trong nhóm Domain
local.
Nhóm Global có thể ñặt vào
trong nhóm Universal.
3
9/47
Chứng thực và kiểm soát cuy cập
Chứng thực và kiểm soát cuy cập
Các giao thức chứng thực
Quy trình chứng thực:
ðăng nhập tương tác: phê chuẩn những yêu cầu ñăng nhập của người dùng
Chứng thực mạng: kiểm tra chứng thực cụ bộ hay miền
Kerberos V5: là giao thức chuẩn Internet dùng ñể chứng thực người
dùng và hệ thống.
NT LAN Manager (NTLM): là giao thức chứng thực chính của
Windows NT.
Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơ
chế chứng thực chính ñược dùng khi truy cập vào máy phục vụ Web
an toàn.
10/47
Chứng thực và kiểm soát truy cập (t.t)
Chứng thực và kiểm soát truy cập (t.t)
Số nhận diện bảo mật SID (Security Identifier):
mỗi tài
khoản ñược ñặt trưng một con số nhận dạng tài khoản SID
SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID”
D1, D2, D3 : xác ñịnh domain
RID : xác ñịnh người dùng trong vùng
Mục ñích của việc sử dụng SID:
Dễ dàng thay ñổi tên người dùng mà các quyền hệ thống không
thay ñổi
Khi xóa tài khoản thì SID sẽ không còn giá trị nữa
11/47
Chứng thực và kiểm soát truy cập (t.t)
Chứng thực và kiểm soát truy cập (t.t)
Kiểm soát truy cập của ñối tượng
Người dùng, nhóm, máy tính, các tài nguyên mạng ñều ñược ñịnh
nghĩa dưới dạng các ñối tượng và ñược kiểm soát truy cập dựa vào bộ
mô tả ñối tượng ACE (Access Control Entry)
Chức năng của ACE:
Liệt kê người dùng nhóm nào ñược truy cập ñối tượng
ðịnh rõ quyền truy cập của người dùng và nhóm
Theo dõi các sự kiện xảy ra trên ñối tượng
ðịnh rõ quyền sỡ hữu ñối tượng
Một ACL (Access Control List) chứa nhiều ACE, nó là danh sách tất
cả người dùng và nhóm có quyền truy cập ñến ñối tượng
.
12/47
Các tài khoản tạo sẵn
Các tài khoản tạo sẵn
Các tài khoản người dùng tạo sẵn
Administrator: toàn quyền trên máy tính hiện tại
Guest: dùng cho khách vãng lai không có tài khoản
ILS_Anonymous_User: là tài khoản dành cho dịch vụ ILS như
caller ID, video conferencing
IUSR_computer-name: dùng trong các truy cập dấu tên trong dịch
vụ IIS
IWAM_computer-name: Dùng cho khởi ñộng các tiến trình của các
ứng dụng IIS
Krbtgt: dùng cho dịch vụ trung tâm phân phối khóa
TSInternetUser: dùng cho Terminal Service
4
13/47
Các tài khoản tạo sẵn (t.t)
Các tài khoản tạo sẵn (t.t)
Tài khoản nhóm Domain Local tạo sẵn
Administrators: Toàn quyền trên hệ thống
Account Operators: Thêm xóa các tài khoản người dùng local và tài
khoản nhóm
Domain Controllers: ñăng nhập vào các DC nhưng không có quyền
quản trị các chính sách bảo mật
Backup Operators: Lưu trữ phục hồi tập tin hệ thống
Guests
Print Operator: quản lý các ñối tượng máy in
Server Operators: cài ñặt quản lý máy in, quản lý thu mục, ñịnh
dạng ñĩa, thay ñổi giờ hệ thống
14/47
Các tài khoản tạo sẵn (t.t)
Các tài khoản tạo sẵn (t.t)
Tài khoản nhóm Domain Local tạo sẵn
Users
Replicator: sao chép danh bạ trong AD
Incoming Forest Trust Builders: tạo các quan hệ tin cập ñến các
rừng
Network Configuration Operators: chỉnh sửa các thông số TCP/IP
trên các máy DC
Pre-Windows 2000 Compatible Access: truy cập các tài khoản
người dùng và nhóm hỗ trợ WinNT cũ
Remote Desktop User: ñăng nhập từ xa vào DC
Performace Log Users: ghi nhập các giá trị hiệu năng của DC
Performace Monitor Users : có khả năng giám sát từ xa các DC
15/47
Các tài khoản tạo sẵn (t.t)
Các tài khoản tạo sẵn (t.t)
Tài khoản nhóm Global tạo sẵn
Domain Admins: Thành viên nhóm này có toàn quyền
quản trị trong miền
Domain Users: mặc ñịnh tài khoản người dùng thuộc
nhóm này
Group Policy Creator Owners: nhóm này có quyền thay
ñổi chính sách nhóm của miền
Enterprise Admins: thành viên của nhóm này có toàn
quyền trên tất cả các miền trong rừng
Schema Admins: Thành viên của nhóm này có thể
chỉnh sửa cấu trúc tổ chức của AD
16/47
Các tài khoản tạo sẵn (t.t)
Các tài khoản tạo sẵn (t.t)
Các nhóm tạo sẵn ñặc biệt: chỉ xuất hiện trên các ACL của các tài
nguyên và ñối tượng
Interactive: ñại diện cho những người dùng ñang sử dụng máy tại
chỗ
Network: ñại diện cho những người dùng ñang kết nối ñến máy tính
khác
Everyone: ñại diện cho tất cả mọi người
System: ñại diện cho hệ ñiều hành
Authenticated users: những người ñược xác thực
Anonymous logon: những người ñang nhập qua FTP
Dialup: ñang nhập hệ thống thông qua Dial-up Networking
5
17/47
Quản lý tài khoản người dùng và nhóm cục
bộ
Quản lý tài khoản người dùng và nhóm cục
bộ
Công cụ quản lý tài khoản người dùng cục bộ
Dùng công cụ Local Users and Groups
Có 2 phương thức truy cập ñến công cụ Local
Users and Groups
Dùng như một MMC (Microsoft Management Console)
snap-in.
Dùng thông qua công cụ Computer Management
Các bước chèn Local Local Users and Groups
snap-in vào trong MMC. (Xem Demo)
18/47
Quản lý tài khoản người dùng và nhóm cục
bộ (t.t)
Quản lý tài khoản người dùng và nhóm cục
bộ (t.t)
Quản lý tài khoản người dùng cục bộ
Tạo tài khoản mới
Xoá tài khoản
Khoá tài khoản
ðổi tên tài khoản
Thay ñổi mật khẩu (Xem Demo)
Quản lý tài khoản nhóm cục bộ
Tạo tài khoản nhóm
Xoá tài khoản nhóm
Thêm người dùng vào nhóm (Xem Demo)
19/47
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Công cụ quản lý tài khoản người dùng trên Active
Directory
Công cụ Active Directory User and Computer
Truy xuất công cụ Active Directory User and Computer
thông qua MMC
Quản lý tài khoản người dùng
Tạo tài khoản mới
Xoá tài khoản
Khoá tài khoản
ðổi tên tài khoản
Thay ñổi mật khẩu (Xem Demo)
20/47
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Quản lý tài khoản nhóm trên Active
Directory
Tạo tài khoản nhóm
Xoá tài khoản nhóm
Thêm người dùng vào nhóm
Gia nhập nhóm vào nhóm (Xem Demo)
6
21/47
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Các thuộc tính của tài khoản người dùng
Tab General
Tab Address
Tab Telephones
Tab Organization
Tab Account
Tab Profile
Tab Member of
Tab Dial-in
… (Xem Demo)
22/47
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Tab Account:
Giới hạn giờ ñăng nhập
của người dùng
Giới hạn PC mà người dùng
đăng nhập từ mạng
Tự ñộng logoff khi hết giờ ñăng nhập Group Policy chọn Computerconfiguration\Windows
settings\Security Settings\Local Policies\Security Option chọn Network security:Force logoff
when logon hour expire
23/47
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Các tùy chọn liên quan ñến tài khoản người dùng
Tùy chọn này ñược dùng khi người dùng ñăng nhập vào mạng
thông qua một thẻ thông minh (smart card), lúc ñó người
dùng không nhập username và password mà chỉ cần nhập vào
một số PIN.
Smart card is required for
interactive login
Nếu ñược chọn thì tài khoản này tạm thời bị khóa, không sử
dụng ñược.
Account is disabled
Chỉ áp dụng tùy chọn này ñối với người dùng ñăng nhập từ
các máy Apple.
Store password using
reversible encryption
Nếu ñược chọn thì mật khẩu của tài khoản này không bao
giờ hết hạn.
Password never expires
Nếu ñược chọn thì ngăn không cho người dùng tùy ý thay
ñổi mật khẩu.
User cannot change
password
Người dùng phải thay ñổi mật khẩu lần ñăng nhập kế tiếp,
sau ñó mục này sẽ tự ñộng bỏ chọn
User must change
password at next logon
24/47
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Các tùy chọn liên quan ñến tài khoản người dùng
Chỉ áp dụng cho các tài khoản dịch vụ nào cần giành ñược
quyền truy cập vào tài nguyên với vai trò những tài khoản
người dùng khác.
Account is trusted for
delegation
Nếu ñược chọn hệ thống sẽ cho phép tài khoản này dùng một
kiểu thực hiện giao thức Kerberos khác với kiểu của
Windows Server 2003.
Do not require Kerberos
preauthentication
Nếu ñược chọn thì hệ thống sẽ hỗ trợ Data Encryption
Standard (DES) với nhiều mức ñộ khác nhau.
Use DES encryption types
for this account.
Dùng tùy chọn này trên một tài khoản khách vãng lai hoặc
tạm ñể ñảm bảo rằng tài khoản ñó sẽ không ñược ñại diện bởi
một tài khoản khác.
Account is sensitive and
cannot be delegated
7
25/47
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Tab Profile
@echo off
REM login.bat version1.1
REM Exit if user has logged on to the server
IF %computername%.== sever1. goto end
REM delete pre-exit drive mappings
Net use H: /delete >nul
Net use J: /delete >nul
REM Map H to Users share
Net use H: \\server1\Users /yes >nul
REM Map H to Apps share
Net use J: \\server1\Apps /yes >nul
REM Synchronize time with sever
Net Time \\sever1 /set /yes
\Window\SYSVOL\sysvol\do
mainname\scripts
26/47
Quản lý tài khoản người dùng và tài
khoản
nhóm
Quản lý tài khoản người dùng và tài
khoản
nhóm
Quản lý tài khoản người dùng và tài khoản
nhóm bằng dòng lệnh
Lệnh net user: tạo thêm, hiệu chỉnh và hiển thị
thông tin của các tài khoản người dùng.
Cú pháp:
net user [username [password | *] [options]]
[/domain]
net user username {password | *} /add [options]
[/domain]
net user username [/delete] [/domain]
27/47
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)
Quản lý tài khoản người dùng và tài khoản nhóm
bằng dòng lệnh (t.t)
Lệnh net group: tạo mới thêm, hiển thị hoặc hiệu chỉnh
nhóm toàn cục.
Cú pháp:
net group [groupname [/comment:"text"]] [/domain]
net group groupname {/add [/comment:"text"] | /delete}
[/domain]
net group groupname username[ ] {/add | /delete} [/domain]
28/47
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)
Quản lý tài khoản người dùng và tài khoản nhóm
bằng dòng lệnh (t.t)
Lệnh net localgroup: thêm, hiển thị hoặc hiệu chỉnh nhóm
cục bộ.
Cú pháp:
net localgroup [groupname [/comment:"text"]] [/domain]
net localgroup groupname {/add [/comment:"text"] | /delete}
[/domain]
net localgroup groupname name [ ] {/add | /delete} [/domain]
8
29/47
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)
Quản lý tài khoản người dùng và tài khoản nhóm bằng dòng lệnh (t.t)
Lệnh dsadd user, dsmod user: tạo mới, chỉnh sửa tài khoản người
dùng.
Các ví dụ:
dsadd user "CN=HV01,CN=Users, DC=Netclass, DC=Com, DC=vn" -pwd
A1b2C3d4 -mustchpwd yes
(thêm một user)
dsrm user "CN=hv01, CN=Users, DC=Netclass, DC=Com, DC=vn"
(xóa một user)
Dsmod group “ CN=Network, CN=users, DC=netclass, DC=com, DC=vn”
–addmbr “CN=hv01, CN=Users, DC=netclass, DC=com, DC=vn” (thêm
một người dùng hv01 vào nhóm Network2929
30/47
Câu hỏi và giải ñáp
Câu hỏi và giải ñáp
