6/6/2003 Windows 2000 1
Quản trị nhóm tài khoản
Nhóm tài khoản và mục đích xây dựng nhóm
Tổ chức và xây dựng các nhóm
Nhóm tài khoản và Oganizational Unit
Chính sách nhóm và bảo mật
6/6/2003 Windows 2000 2
Quản trị nhóm tài khoản
Giới thiệu về nhóm tài khoản
Tài nguyên mạng
Nhóm tài khoản
Tài khoản
đơn lẻ
6/6/2003 Windows 2000 3
Quản trị nhóm tài khoản
Phân loại nhóm
Nhóm phân phối
(Distribution group)
Nhóm bảo mật
(Security group)
6/6/2003 Windows 2000 4
Quản trị nhóm tài khoản
Phạm vi nhóm Tính chất
Global group

Chỉ chứa các tài khoản trong domain chứa nhóm.

Có thể truy xuất các tài nguyên trên toàn bộ
mạng (bất kỳ domain nào).
Domain Local
Group


Có thể chứa tài khoản từ các Domain khác nhau.

Chỉ có thể truy xuất các tài nguyên trên domain
mà nhóm được tạo ra (local domain).
Universal Group

Có thể chứa tài khoản từ các Domain khác nhau.

Có thể truy xuất các tài nguyên trên bất kỳ
domain nào.

Chỉ tồn tại trên hệ thống Domain thuần nhất
(native mode).
Phạm vi của nhóm (group scope)
6/6/2003 Windows 2000 5
Quản trị nhóm tài khoản
Phạm vi của nhóm
D
o
m
a
i
n

A
D
o
m
a

i
n

B
D
o
m
a
i
n

A
D
o
m
a
i
n

B
Global Group
Domain local Group
Universal Group
D
o
m
a
i
n


A
D
o
m
a
i
n

B
6/6/2003 Windows 2000 6
Tổ chức các nhóm trên mạng [1]
Global Group

Thường sử dụng để nhóm các tài khoản trên một Domain có cùng chức
năng nhiệm vụ.

Các tài khoản trong Global Group sẽ mang tính cục bộ trong Domain,
nhưng quyền truy xuất mạng sẽ được nhận biết trên các Domain khác.
Domain Local Group

Thường sử dụng để nhóm các tài nguyên được dùng chung trên mạng
(máy in, files).

Các Domain Local Group có thể chứa các Global Group gồm các thành
viên có quyền truy xuất đến tài nguyên dùng chung trong Domain Local
Group đó.

Các quyền truy xuất tài nguyên sẽ được gán cho Domain Local Group.
Quản trị nhóm tài khoản
↓

6/6/2003 Windows 2000 7
Tổ chức các nhóm trên mạng [2]
Universal Group

Các thông tin về Universal Group sẽ được sao chép đến tất cả các
Domain trong mạng.

Một tài nguyên chia sẻ trong nhóm này sẽ được nhận biết trên các
Domain trong mạng.

Sử dụng khi các thành viên trong nhóm có liên hệ thường xuyên và ổn
định trên mạng, vì mọi thay đổi sẽ phải được cập nhật trên tất cả các
Domain.

Việc xây dựng Universal Group gồm các Global Groups sẽ có ích cho
quản trị truy xuất tài nguyên trên toàn mạng nhưng linh động khi thay
đổi quyền truy xuất.
Quản trị nhóm tài khoản
↑
6/6/2003 Windows 2000 8
Quản trị nhóm tài khoản
Tạo nhóm mới
6/6/2003 Windows 2000 9
Quản trị nhóm tài khoản
Thêm thành viên vào nhóm
6/6/2003 Windows 2000 10
Quản trị nhóm tài khoản
Các nhóm định nghĩa trước
(predefined groups)


Nhóm các tài khoản cùng kiểu và chức năng tương đồng.

Bổ xung quyền và chức năng đã định nghĩa trước cho các thành viên
tham gia nhóm.

Tham gia vào các nhóm dựng sẵn với mục đích trao quyền truy xuất
tài nguyên cho các thành viên.
Các nhóm dựng sẵn
(Built-In Groups)

Chứa các đối tượng được thiết lập sẵn trong Active Directory.

Cung cấp quyền và cơ chế truy xuất đến các thành phần và đối
tượng của AD.

Kết hợp với các nhóm định nghĩa trước để gán quyền truy xuất cho
các thành viên tham gia.
6/6/2003 Windows 2000 11
Quản trị nhóm tài khoản
Tên nhóm Thông tin
Domain
Admins
Các thành viên trong nhóm Domain Admins có thể thực hiện
các tác vụ quản trị trên mọi máy tính trong Domain.
Administrator là một tài khoản của nhóm
Domain
Guest
Chứa các tài khoản có thể sử dụng đăng nhập tạm thời
trên Domain.
Domain

Users
Chứa các tài khoản đăng nhập trên Domain, mỗi tài khoản
trên Domain được tao ra sẽ tự động tham gia vào nhóm
này.
Enterprise
Admins
Một tài khoản thành viên của nhóm sẽ có quyền quản trị
trên toàn mạng, tức là quyền tạo mới, thay đổi và xoá
cũng như đặt thuộc tính cho các đối tượng của Active
Directory.
Các Global Group định nghĩa trước (predefined groups)
6/6/2003 Windows 2000 12
Quản trị nhóm tài khoản
Các nhóm xây dựng sẵn (Built-In Groups)
6/6/2003 Windows 2000 13
Quản trị nhóm tài khoản
Tên nhóm Thông tin
Account
Operators
Có quyền tạo mới, xoá , sửa tài khoản và nhóm trừ nhóm
Administrators và các nhóm điều hành (operators).
Administrators
Có quyền thực hiện các tác vụ quản trị trên các DC và Domain
hiện hành.
Guests
Gồm các tài khoản truy nhập tạm thời. Chỉ thực hiện truy nhập
tài ngyên mạng với quyền mà người quản trị gán cho.Chứa tài
khoản sử dụng cho truy nhập IIS và người dùng Internet.
Print Operators
Quyền cài đặt và quản lý các máy in mạng trên các Domain

Controllers.
Server Operators
Được quyền chia sẻ tài nguyên và sao lưu file trên Domain
Controller.
Users
Chỉ thực hiện được các tác vụ và tài ngyên mạng với quyền mà
người quản trị gán cho. Chứa các tài khoản đăng nhập trên
Domain.
Các Domain Local Group dựng sẵn (Built-In groups)
6/6/2003 Windows 2000 14
Quản trị nhóm tài khoản
Tìm hiểu về OU và nhóm
Mục đích và chức năng của chính sách nhóm
Chính sách nhóm và quá trình đăng nhập
Cơ chế thực hiện chính sách nhóm
Kiểm soát chính sách nhóm
Thực thi chính sách nhóm
Chính sách nhóm và Profile
Chính sách nhóm (Group Policy)
6/6/2003 Windows 2000 15
Quản trị nhóm tài khoản
Sự khác nhau giữa OU và nhóm
Academy OU
Training OU
Administration
group
Staff group
6/6/2003 Windows 2000 16
Quản trị nhóm tài khoản
OU Các lớp đối tượng khác


Tổ chức linh hoạt hơn Domain. Sử
dụng cho việc áp dụng các chính
sách bảo mật một cách tỉ mỉ hơn.
Domain – Là một tổ chức tương đối
ổn định về mặt tổ chức.

Có thể trao quyền kiểm soát OU
cho một đối tượng nào đó (Delegate
Control).

Có thể áp dụng một chính sách
chung cho tất cả các đối tượng
trong OU.
Container - Có thể uỷ quyền kiểm
soát Container cho các đối tượng
nhưng không có chính sách cho các
đối tượng trong Container.
Một số đặc điểm của Organizational Unit so sánh với
các đối tượng khác của Active Directory [1]
↓
6/6/2003 Windows 2000 17
Quản trị nhóm tài khoản
OU Các lớp đối tượng khác

Ou là một tổ chức theo biên chế,
một đối tượng không thể đồng thời
có mặt trên các OU tách biệt (các
OU không chứa nhau.


OU sinh ra không với mục đích
trao các quyền kiểm soát cho nhóm
đối tượng trong nó.

OU là việc nhóm các đối tượng có
chức năng và hoạt động tương đồng.
Group - Một đối tượng có thể đồng
thời có mặt trong nhiều nhóm.
•
Nhóm được sinh ra với mục đích
trao quyền cho các đối tượng trong
nó, vì thế nhóm xuất hiện trong
các Access Control List (ACL).
•
Nhóm là nhóm họp các đối tượng có
cùng nhiệm vụ.
Một số đặc điểm của Organizational Unit so sánh với
các đối tượng khác của Active Directory [2]
↑
6/6/2003 Windows 2000 18
Quản trị nhóm tài khoản
Sự uỷ quyền trên các OU và chính sách nhóm
Academy OU
Training OU
Policies

Software settings

Windows settings


Administrative Template
Sự uỷ quyền Áp dụng chính sách nhóm