TRƯỜNG CĐ CNTT HỮU NGHỊ
VIỆT-HÀN
Giảng viên: DƯƠNG THỊ THU HIỀN
Email:
Website: www.viethanit.edu.vn
Hệ điều hành Windows Sever 2003
- 2 -
Bài 5: ACTIVE DIRECTORY
Giới thiệu về AD
Cài đặt AD
User và Group trong môi trường AD
Tạo và quản lý OU
- 3 -
Bài 5: ACTIVE DIRECTORY
User và Group trong môi trường AD
User
- 4 -
Bài 5: ACTIVE DIRECTORY
User và Group trong môi trường AD
User
- 5 -
Bài 5: ACTIVE DIRECTORY
User và Group trong môi trường AD
User
•
Quản lý tài khoản người dùng
•
Tạo mới tài khoản người dùng
•
Các thuộc tính của tài khoản người dùng
•
Các tiện ích dòng lệnh quản lý tài khoản người dùng
và nhóm
- 6 -
Bài 5: ACTIVE DIRECTORY
User
Quản lý tài khoản người dùng
Khi tạo tài khoản người dùng cần tuân theo một chuẩn mực
để thuận tiện trong việc quản lý, cũng như đảm bảo an
ninh.
–
Chuẩn về tên tài khoản:
•
Tuân theo quy luật về tên (để dễ nhớ và dễ sử dụng):
Vd: phucnlh, quangnv…
•
Nên đổi tên các tài khoản mặc định để đảm bảo về bảo
mật
Vd: Administrator, Guest
- 7 -
Bài 5: ACTIVE DIRECTORY
User
Quản lý tài khoản người dùng
–
Chuẩn về độ phức tạp của mật khẩu:
•
Độ dài tối thiểu của mật khẩu
–
Khuyến cáo: độ dài tối thiểu 8 kí tự
•
Độ phức tạp của mật khẩu.
–
Khuyến cáo: bao gồm kí tự thường và kí tự đặt biệt,
số.
- 8 -
Bài 5: ACTIVE DIRECTORY
User
Quản lý tài khoản người dùng
Khi tạo tài khoản người dùng cần tuân theo một chuẩn
mực để thuận tiện trong việc quản lý, cũng như đảm bảo
an ninh.
–
Chuẩn về thời gian hết hạn của mật khẩu:
•
Mật khẩu của người dùng nên có một thời gian hết hạn
hợp lý, bắt buộc người dùng phải đổi mật khẩu sau một
thời gian sử dụng để tránh tình trạng sử dụng chỉ một
mật khẩu, làm tăng nguy cơ lộ mật khẩu.
Vd: Thiết lập thời gian hết hạn của mật khẩu là 30 ngày.
- 9 -
Bài 5: ACTIVE DIRECTORY
User
Tạo mới tài khoản người dùng
Tài khoản người dùng miền:
–
Thông tin về người dùng miền được tạo ra và lưu giữ
tập trung tại cơ sở dữ liệu miền trên các DC.
–
Sử dụng để phân quyền truy cập và phân quyền quản trị
ở cấp độ domain.
–
Có giá trị sử dụng ở trên toàn miền.
–
Sử dụng công cụ Active Directory User and
Computer để tạo và quản lý:
- 10 -
Bài 5: ACTIVE DIRECTORY
User
Tạo mới tài khoản người dùng
•
Start – Programs - Administrative Tools – Active Directory
User and Computers
- 11 -
Bài 5: ACTIVE DIRECTORY
User
Tạo mới tài khoản người dùng
•
Chọn vị trí để
tạo tài khoản
người dùng.
•
Right click chọn
New - User
- 12 -
Bài 5: ACTIVE DIRECTORY
User
Tạo mới tài khoản người dùng
•
Điền thông tin người
dùng
•
Đặt tên truy nhập
•
Next
- 13 -
Bài 5: ACTIVE DIRECTORY
User
Tạo mới tài khoản người dùng
Các bước để thực hiện việc tạo mới User này tương tự như
tạo mới User local
- 14 -
Bài 5: ACTIVE DIRECTORY
User
Tạo mới tài khoản người dùng
•
Hộp thoại tiếp theo, hiển thị các thông tin đã được khai báo ở
trên:
- 15 -
Bài 5: ACTIVE DIRECTORY
User
Quản lý tài khoản người dùng – Thay đổi password User:
•
Right click vào User cần thực hiện, click chọn Reset Password:
- 16 -
Bài 5: ACTIVE DIRECTORY
User
Quản lý tài khoản người dùng – Xóa User :
•
Right click vào User cần thực hiện, click chọn Delete:
- 17 -
Bài 5: ACTIVE DIRECTORY
Group
Tạo Group
Chọn vị trí để tạo
tài khoản nhóm.
Right click chọn
New - Group
- 18 -
Bài 5: ACTIVE DIRECTORY
Group
Tạo Group
•
Đặt tên cho nhóm.
•
Chọn loại nhóm và phạm
vi nhóm.
•
Click OK để kết thúc.
- 19 -
Bài 5: ACTIVE DIRECTORY
Group
Tạo Group
Domain Local Security Group:
–
Có thể kết nạp thành viên từ bất cứ Domain nào trong
Forest.
–
Chỉ có thể gán quyền truy cập đến tài nguyên tại Domain
nơi nó được tạo ra.
Global Security Group:
–
Chỉ có thể kết nạp thành viên từ local domain nơi nó được
tạo ra.
–
Có thể sử dụng để gán quyền truy cập đến những tài
nguyên trong Forest.
- 20 -
Bài 5: ACTIVE DIRECTORY
Group
Tạo Group
Universal Security Group:
–
Có thể kết nạp thành viên từ bất cứ Domain nào trong
Forest.
–
Có thể sử dụng để gán quyền truy cập đến tài nguyên tại
bất cứ Domain nào trong Forest.
Khi tạo nhóm chúng ta nên tuân theo quy định chuẩn để dễ
dàng thuận tiện trong việc quản lý.
–
Đặt tên nhóm mang ý nghĩa đại diện cho nhóm chức năng
hoạt động, vị trí hoạt động hoặc kết hợp cả hai yếu tố trên.
–
Cần đơn giản trong việc kết nạp nhóm vào làm thành viên
của nhóm khác (Nested Group).
- 21 -
Bài 5: ACTIVE DIRECTORY
Group
Tạo Group
•
Nhóm miền (None Local Security Group)
–
Được tạo ra và lưu giữ tại cơ sở dữ liệu miền trên các DC.
–
Dùng để gán quyền truy cập và quyền quản lý ở phạm vi
rộng.
–
Có giá trị sử dụng trên toàn miền hoặc rừng (forest)
•
Nhóm miền được phân ra một số loại dựa trên phạm vi kết nạp
thành viên và phạm vi phân quyền truy cập.
- 22 -
Bài 5: ACTIVE DIRECTORY
Group
Tạo Group
•
Distribution Group:
–
Đây là loại nhóm sử dụng trong những ứng dụng mang tính
phân phối trong môi trường miền, vd: Mail Exchange.
Không thể sử dụng để phân quyền gán truy cập.
•
Security Group:
–
Đây là loại nhóm được sử dụng để gán quyền truy cập hoặc
quyền quản trị trong môi trường miền.
–
Được chia thành 3 loại nhóm dựa trên khả năng hoạt động.
- 23 -
Bài 5: ACTIVE DIRECTORY
Group
Quản lý tài khoản nhóm – Thay đổi hoặc bổ sung thông tin
•
Right click vào Group cần thực hiện, click chọn Properties:
- 24 -
Bài 5: ACTIVE DIRECTORY
Group
Quản lý tài khoản nhóm – Kết nạp thành viên vào Group
•
Chuyển qua thẻ Members, thực hiện click vào Add… để thêm
các thành viên vào nhóm hiện hành:
- 25 -
Bài 5: ACTIVE DIRECTORY
Group
Quản lý tài khoản nhóm – Phân quyền cho Group
•
Chuyển qua thẻ Members Of, thực hiện click vào Add… để
thêm nhóm này có thể là thành viên của các nhóm khác.