Tải bản đầy đủ (.doc) (145 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Hệ điều hành

Tài liệu về window 2000 ppt

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.67 MB, 145 trang )

Chơng I
Mở đầu
1.1. Giới thiệu chung về Windows 2000
Windows 2000 là phiên bản tiếp theo của NT 4 (NT4 đợc đa từ năm
1996). Nhng so với NT 4 , Windows 2000 có sự khác biệt rất lớn cả về nội
dung và giao diện.
Về nội dung, Windows 2000 đợc phát triển theo hớng phục vụ các mạng
lớn, điều đó thể hiện trên những thay đổi quan trọng nhất sau:
+ Có thêm tính năng Active Directory.
+ Hạ tầng kiến trúc nối mạng TCP/IP đợc cải tiến cho phép ngời dùng kết
nối các mạng LAN, WAN vào Internet ở mọi nơi trên thế giới.
+ Những cơ sở hạ tầng bảo mật dễ co giãn hơn.
+ Việc chia sẻ dùng chung các tập tin trở nên mạnh mẽ hơn với hệ thống
tập tin phân tán (Distributed File System) và dịch vụ sao chép tập tin (File
Replication Service).
Active Directory là tính năng quý giá và quan trọng nhất của Windows
2000, đồng thời cũng là bộ phận toả rộng khắp nơi duy nhất của hệ điều hành
này. Nhiều tính năng mới, hấp dẫn của Windows 2000 nh: Các chính sách
nhóm (group policy), các cây (tree) và rừng (forest) của các miền, các đơn vị
tổ chức (organizational unit), các địa bàn (site), sự triển khai tập trung các ứng
dụng, và những tính năng của hệ thống tập tin phân tán trên mạng Windows
2000 cũng nh nhiều tính năng khác, sẽ không hoạt động đợc nếu nh cha có
máy chủ nào đóng vai trò nh một Active Directory Server.
Về giao diện, với ngời dùng đã quen NT 4, khó có thể tìm lại những giao
diện quen thuộc trớc đây, bởi có thêm rất nhiều giao diện mới. Đồng thời
những tính năng cũ cũng đợc thay đổi cả về giao diện và nơi kích hoạt chúng.
1.2. Làm quen với Active Directory
Active Directory đợc phát triển trên cơ sở cấu trúc miền cũ của NT 4 và
có bổ sung thêm nhiều điểm cải tiến mới, đây là phần quan trọng nhất và cũng
là phần phức tạp nhất của Windows 2000, hầu nh mọi tính năng của Windows
2000 đều đòi hỏi phải có Active Directory. Bởi vậy việc tìm hiểu kỹ về Active


Directory phải trải rộng ở hầu hết các tính năng của Windows 2000, và phần
này chỉ nhằm giới thiệu sơ lợc về Active Directory.
1
1.2.1. Vai trò của Active Directory
Vai trò của Active Directory thể hiện trên những vấn đề chính sau:
1.2.1.1. Vấn đề bảo mật
Bằng cách duy trì một danh bạ về các ngời sử dụng và những đối tợng
khác của mạng. Active Directory theo dõi xem ai đợc phép sử dụng mạng,
bằng cơ chế xác minh xem ngời sử dụng có hợp lệ không và cấp phép quyền
sử dụng tài nguyên cho ngời sử dụng.
1.2.1.2. Vấn đề tìm kiếm thông tin trên mạng
Ngày nay, mô hình Client Server (Khách Phục vụ) đã trở thành
mẫu mực để giải quyết nhu cầu tìm kiếm thông tin. Nhng cấu trúc này sẽ
không có tác dụng nếu không giúp Client tìm ra Server. Chức năng tra cứu
thông tin của Active Directory giúp các Client tìm kiếm nhanh đến tên của
một Mail Server, Web Server, Print Server, hay một File Server cụ thể.
1.2.1.3. Sự phân chia quyền hành trên một miền
Dới NT 4, để có sự phân quyền và bảo mật cho các bộ phận khác nhau
trên một mạng thì chúng ta phải tổ chức mạng sao cho mỗi một bộ phận thành
một miền, mà mỗi miền phải tốn ít nhất một máy chủ là máy điều khiển miền
chính (Primary Domain Controller - PDC). Sau đó nếu các bộ phận muốn trao
đổi thông tin liên lạc với nhau ở mức nào đó, thì phải thiết lập các mối quan
hệ uỷ quyền (Trust relationship), mà việc thiết lập các quan hệ uỷ quyền trong
NT 4 có phần rắc rối và không đáng tin cậy lắm.
Với Active Directory của Windows 2000, chỉ cần dùng chung một miền
cũng có thể phân quyền và bảo mật cho các bộ phận khác nhau, bằng cách
chia miền đó thành các đơn vị tổ chức (Organizational Unit OU ) cho mỗi
bộ phận khác nhau. Sau đó có thể uỷ quyền kiểm soát các OU đó cho một
nhóm điều hành viên nào đó.
1.2.2. Cấu trúc của Active Directory

Khi thiết kế cấu trúc của mạng NT4 ta chỉ có một vài công cụ nh: các
miền (domain), tài khoản máy (machine account), nhóm (group) mối quan hệ
uỷ quyền (trust relationship). Còn khi thiết kế mạng Windows 2000, ngoài tất
cả các công cụ trên, còn có các công cụ khác nữa là: đơn vị tổ chức (unit
organization), cây (tree), rừng (forest), và địa bàn (site).
Mục này sẽ khảo sát qua các công cụ chính để tạo nên cấu trúc của
Active Directory.
2
1.2.2.1. Miền
Miền là một tập hợp các máy tính trong mạng cho phép quản trị cũng nh
bảo mật một cách tập trung. Một miền có chứa máy chủ và các máy trạm làm
việc của miền.
Các máy chủ của miền đợc chia thành hai loại sau:
a) Máy điều khiển miền (DC - Domain Controller)
Mỗi một miền phải có ít nhất một máy chủ điều khiển miền gọi là DC
(Domain Controller - DC), để duy trì cơ sở dữ liệu (CSDL) khoản mục của
miền (trong đó có những khoản mục chính là: tài khoản ngời sử dụng, tài
khoản nhóm và tài khoản máy). Bất kỳ máy chủ khác nào có lu giữ một bản
sao CSDL khoản mục của miền cũng đều đợc gọi là DC, những máy chủ này
có nhiệm vụ phân tải sự truy nhập vào CSDL khoản mục của miền.
b) Máy chủ (Server)
Là những máy chủ khác của miền, dùng để cung cấp các dịch vụ nh: dịch
vụ tệp, dịch vụ in, Các máy chủ này không đ ợc cập nhật thông tin về CSDL
khoản mục của miền, do vậy không thể cân bằng tải và điều khiển miền trong
trờng hợp xảy ra sự cố.
1.2.2.2. Đơn vị tổ chức (OU)
Nhiều khi, miền còn là một khu vực quá lớn, nên khó có thể trao quyền
điều khiển cho ai đó. Giải pháp cho trờng hợp đó là Windows 2000 chia nhỏ
miền ra thành các đơn vị tổ chức (Organizational Unit - OU). Điều này cho
phép ta tạo ra các biên mới trong miền để dễ quản lý và tăng tính bảo mật.

Mỗi OU thờng chứa các tài khoản ngời dùng, tài khoản nhóm, hoặc tài
khoản máy của miền, các tài khoản này là duy nhất trên mạng và chỉ đợc xuất
hiện nhiều nhất là trong một OU.
Công dụng chính của OU là để tập hợp các tài khoản ngời dùng và tài
khoản máy vào một nơi (trong một OU), sau đó có thể trao quyền kiểm soát
OU này cho một tập hợp ngời dùng nào đó. Điều này cho phép ta qui định một
nhóm điều hành viên có khả năng, chẳng hạn nh, định lại mật khẩu của một
bộ phận nào đó, mà không cần biến họ thành những quản trị viên có những
quyền lực lớn hơn mức mong muốn. Nhờ vậy mà ta xác định đợc rõ hơn về sơ
đồ tổ chức, và thiết lập các biên về yêu cầu an toàn trong miền.
Trong một OU lại có thể tạo ra các OU con của nó.
3
Ví dụ: Hình 1.1 dới đây minh hoạ các OU đợc tạo ra trong miền
HVKTMM.COM:
HVKTMM.COM
PHONG_BAN DAO_TAO
TC_CBCT
TH_HC
TAI_VU
KHOA CHUYEN_NGANH
CO_BAN
CO_SO
TIN_HOC
Hình 1.1. Cấu trúc các OU trong miền HVKTMM.COM
1.2.2.3. Địa bàn (Site)
Với Active Directory, ngoài việc nắm những thông tin về máy và ngời
dùng trong một mạng, nó còn theo dõi cả khía cạnh địa lý của mạng.
Mỗi khu vực mà đợc nối kết bằng một mạng LAN thì đợc gọi là một Site.
Windows 2000 dùng những thông tin chi tiết vế cách bố trí vật lý của mạng
mà ta cung cấp cho nó để tính ra nơi nào có những đờng liên kết WAN là phần

chậm chạp hơn mà lại đắt tiền hơn của mạng. Sau đó nó làm hai việc rất có ích
sau: Thứ nhất, nó nén những dữ liệu cần sao chép trớc khi gửi đi, và thứ hai,
nó dùng những thông tin chi phí tiếp vận (route costing information) mà ta
cung cấp cho để tính ra cách gửi chuyển tiếp tốt nhất những dữ liệu cần sao
chép đó với chi phí rẻ nhất.
Mỗi một Site thông thờng cần một máy DC để thuận tiện cho các cuộc
đăng nhập tại địa bàn đó. Một miền cũng có thể có nhiều Site và một Site lại
có thể chứa nhiều miền.
1.2.3.4. Cây của các miền (Tree of domains)
Các doanh nghiệp có mạng đa miền đều mong muốn xây dựng hệ thống
cấp bậc theo cấu trúc cây cho các miền. Microsoft đã thiết kế Windows 2000
sao cho nó dùng DNS làm hệ thống giải đáp tên, và DNS đợc thiết kế đã có
bản chất cấu trúc cây, cho nên Windows 2000 khai thác sự trùng hợp này và
khuyến khích thành lập các mạng đa miền dới dạng có cấp bậc.
4
Ví dụ: Một mạng gồm năm miền có cấu trúc nh sau:
Hình 1.2. Cấu trúc cây của các miền
Miền đầu tiên đợc tạo ra trong một mạng đa miền đợc gọi là gốc (root)
của cây. Trong ví dụ trên, gốc của cây là Bancoyeu.Com. ở đây cũng có tên
gọi mẹ, con nh cấu trúc phân cấp cây th mục của DOS. Các miền ở mức trên
đợc gọi là miền mẹ của các miền ở mức ngay dới nó, Các miền ở mức ngay d-
ới đợc gọi là miền con của miền ngay bên trên nó.
Khi các miền đợc tổ chức theo cấu trúc cây, Windows 2000 sẽ tự động
tạo ra các quan hệ uỷ quyền giữa miền mẹ và các miền con. Ví dụ khi tạo ra
miền con HVKTMM.Bancoyeu.Com, thì tự động sẽ có một mối quan hệ uỷ
quyền hai chiều giữa Bancoyeu.Com và HVKTMM.Bancoyeu.Com. Mối quan
hệ uỷ quyền hai chiều này có nghĩa là: các quản trị viên của miền
Bancoyeu.Com có thể quyết định mở rộng những quyền truy cập tập tin và
máy in trong miền của họ cho những ngời dùng của miền
HVKTMM.Bancoyeu.Com và ngợc lại.

Ngoài ra, với Windows 2000, các mối quan hệ uỷ quyền còn có tính bắc
cầu. Điều đó dẫn tới tất cả các miền trong một cây đều có quan hệ uỷ quyền
hai chiều với nhau.
Nh vậy, cây của các miền đem lại lợi điểm là tự động tạo ra các quan hệ
uỷ quyền. Nhng tất cả các tên miền phải đợc đặt theo hệ thống cấp bậc chính
xác tơng tự nh ví dụ trên thì mới hình thành đợc một cây của Windows 2000.
1.2.3.5. Rừng của các miền (Forest of domains)
Rừng là tập hợp của hai hay nhiều cây. Các cây thờng đợc nối qua tuyến
truyền thông. Hình 1.3 là một ví dụ về một rừng có hai cây.
5
Bancoyeu.Co
m
HVKTMM.Bancoyeu.Co
m
Cuc893.Bancoyeu.Com
Coso1.HVKTMM.Bancoyeu.Com
Coso2.HVKTMM.Bancoyeu.Co
m
Root(.)
Hình 1.3. Rừng của các cây
Windows 2000 đòi hỏi phải có một miền làm gốc của rừng, và miền đầu
tiên đợc tạo ra sẽ là miền gốc của rừng.
Các quan hệ uỷ quyền giữa các miền thuộc hai cây khác nhau trong một
rừng không đợc tự động tạo ra, mà phải xác lập bằng tay.
Chú ý: Với Windows 2000 ta không thể nối hai miền có sẵn vào trong
một cây, và cũng không thể ghép một cây có sẵn vào trong một rừng, mà cách
duy nhất để đa thêm một miền vào trong một cây, hoặc một cây vào trong một
rừng, là xây dựng nó từ đầu trên một cây hoặc rừng có sẵn.
1.3. Đăng nhập vào mạng
Muốn làm việc và khai thác tài nguyên trên mạng, thì trớc hết ta phải

thực hiện thủ tục đăng nhập vào mạng. Sau đây là một số khái niệm liên quan
đến thủ tục này.
1.3.1. Một số khái niệm
User name: Là tên đăng nhập vào mạng của một khoản mục ngời sử
dụng. Những khoản mục ngời sử dụng do những ngời quản trị có thẩm quyền
tạo ra, và mỗi khoản mục này sẽ đợc trao cho một số quyền hạn nhất định khi
làm việc trên mạng. Tại mỗi thời điểm trên một máy chỉ cho phép nhiều nhất
một ngời sử dụng có thể đăng nhập vào mạng. Mỗi lần muốn đăng nhập vào
mạng với user name khác, ta chọn lần lợt Start/Shut Down Log off <tên user
name đang làm việc trên mạng>.
Administrator: Là user name đặc biệt, đợc tự động tạo ra trong quá
trình cài đặt, đóng vai trò là ngời quản trị mạng, là ngời có quyền cao nhất
trong việc tổ chức và quản lý mạng.
Password: Là mật khẩu đợc gán riêng cho từng khoản mục ngời sử
dụng. Chỉ khi nào ngời sử dụng gõ đúng mật khẩu tơng ứng với user name của
mình thì mới vào đợc mạng.
1.3.2. Khởi động máy và đăng nhâp vào mạng
6
Cay1.Co
m
Cay2.Co
m
Nhanh1.Cay1.Co
m
Nhanh2.Cay1.Co
m
Trình tự khởi động máy và đăng nhập vào mạng trên máy chủ và máy
trạm là tơng tự nhau và gồm những bớc sau:
- Khởi động máy
- Nếu máy chủ hoặc máy trạm có cài nhiều hệ điều hành thì chọn dòng

thông báo: MicroSoft Windows 2000 Server (trên máy chủ) hoặc MicroSoft
Windows 2000 Professional (trên máy trạm) để khởi động Windows 2000.
- Chờ cho đến khi màn hình hiện ra dòng chữ:
Press Ctrl - Alt - Delete to begin
thì bấm tổ hợp ba phím Ctrl - Alt - Delete để hiện ra cửa sổ đăng nhập vào
mạng gồm những thông tin sau:
User name : (để vào tên ngời sử dụng, ví dụ: Administrator)
Password : (để vào mật khẩu của ngời sử dụng)
Log on to : (để chọn tên miền mà ngời sử dụng đăng nhập vào)
Sau khi vào xong những thông tin trên ta nhấn nút OK. Nếu những thông
tin trên đợc vào đúng đắn, thì việc khởi động máy và đăng nhập vào mạng đã
hoàn tất, ngợc lại máy sẽ hiện ra dòng thông báo lỗi.
1.4. Tạo và quản lý các OU
1.4.1. Tạo các OU
Để tạo các OU, ta sử dụng công cụ Active Directory Users and
Computers bằng cách chọn lần lợt các mục sau:
Start/Programs/Administrator Tools/Active Directory Users and
Computers. Khi đó sẽ hiện ra cửa sổ sau:
Hình 1.4. Cửa sổ Active Directory Users and Computers
Phần bên trái của cửa sổ trên chính là cấu trúc cây của một Active
Directory đơn miền. Do đó tên miền Khoatin.Local cũng chính là gốc của cây
7
và cũng là gốc của rừng. Bên phải là phần chi tiết để hiện nội dung của một
mục đợc chọn ở phần bên trái.
Các mục ngay bên dới miền Khoatin.Local đợc coi nh những khoang
chứa (container), tơng tự nh khái niệm Folder của Windows. Các mục này đ-
ợc tự động tạo ra trong quá trình cài đặt, dùng để chứa các tài khoản ngời
dùng, tài khoản nhóm, tài khoản máy Tuy có sự phân chia thành các mục
nh vậy nhng ta có thể tạo ra hoặc di chuyển các tài khoản vào bất kỳ mục nào,
kể cả ở mức miền Khoatin.Local, vì nó cũng đợc coi nh một container. Khi

nâng cấp một miền từ NT 4 lên Windows 2000, mọi tài khoản ngời dùng và
tài khoản máy của NT 4 sẽ đợc tự động chuyển vào hai mục tơng ứng là Users
và Computers.
Các OU sẽ có biểu tợng quyển sách mở ở giữa để phân biệt, hay có thể
phân biệt qua cột Type ở phần chi tiết bên phải. Nh trong hình 1.4 ở trên thì
có một OU là Domain Controllers, cộng thêm bản thân miền Khoatin.Local
cũng đợc coi nh một OU.
Để tạo một OU mới, ta chọn một OU sẽ chứa OU sắp tạo (ví dụ chọn
Khoatin.Local), sau đó mở menu Action, rồi lần lợt chọn
New/Organizational Unit . Khi đó sẽ hiện ra cửa sổ:
8
Hình 1.5. Cửa sổ khai báo OU mới
Trong cửa sổ trên, giả sử ta muốn tạo một OU có tên là PTHUC HANH
nằm ngay dới miền KHOATIN.LOCAL để chứa tất cả các học viên tham gia
thực hành tại phòng máy của khoa Tin học. Khi kết thúc tạo ta nhấn OK. Hình
ảnh của Active Directory khi đó sẽ nh sau:
Hình 1.6. Cửa sổ Active Directory Users and Computers sau khi
tạo thêm OU PTHUC HANH
9
Chú ý: Tên của các OU có thể đặt dài tới 64 ký tự và có thể chứa các ký
tự bất kỳ. ở cùng một mức thì tên của các OU phải khác nhau, nhng ở các
mức khác nhau thì chúng có thể có tên giống nhau.
1.4.2. đổi tên OU đã có
Chọn OU cần đổi tên, chọn Remane từ menu Action, rồi tiến hành đổi
tên mới.
1.4.3. Xoá OU đã có
Chọn OU cần xoá, chọn Delete từ menu Action hoặc bấm phím Delete,
sau đó chọn: Yes - để xoá, No không xoá.
Chú ý: Khi xoá một OU thì tất cả các tài khoản nằm trong nó kể các các
OU con của nó cũng đều bị xoá khỏi cấu trúc của Active Directory.

Câu hỏi và bài tập
1. Trình bày vai trò của Active Directory
2. Trình bày cấu trúc của Active Directory
3. Thực hành tạo cấu trúc các OU nh hình 1.1 (không cần tạo miền
HVKTMM.COM mà chỉ tạo các OU ở bên dới miền này), sau đó đổi tên một
số OU. Cuối cùng xoá cấu trúc OU vừa tạo.
Chơng 2
Quản lý các tài khoản, chính sách nhóm
2.1. Quản lý tài khoản ngời dùng
2.1.1. Quản lý tài khoản ngời dùng của máy
Trong mạng Windows 2000, tất cả những máy trạm cài đặt Windows
Professional 2000 và những máy chủ không phải là máy điều khiển vùng
(DC), đều có một CSDL khoản mục riêng để quản lý các tài khoản ngời dùng
và tài khoản nhóm của riêng nó. Những tài khoản này đợc gọi là tài khoản tại
chỗ, trong đó cũng có tài khoản ngời quản trị Administrator.
10
Đối với những máy không phải là DC. Khi khởi động máy, ta có thể chọn
hai mức đăng nhập là: đăng nhập vào mạng hoặc đăng nhập vào chính máy
này.
+ Nếu muốn đăng nhập vào mạng thì tại mục Log on to, ta chọn tên
miền cần đăng nhập. Khi đó tài khoản ngời sử dụng phải là tài khoản của
miền. Nếu đăng nhập thành công, thì ta có thể khai thác và sử dụng những tài
nguyên cả trên mạng và trên máy tính này, tuỳ theo quyền truy cập đợc trao.
+ Nếu muốn đăng nhập vào máy thì tại mục Log on to, ta chọn tên máy
có kèm theo dòng chữ (this computer) ở cuối. Khi đó tài khoản ngời sử dụng
phải là tài khoản của máy. Nếu tài khoản đó là Administrator thì sẽ có toàn
quyền sử dụng máy, còn với những tài khoản ngời dùng khác thì chỉ có một số
quyền hạn nhất định do ngời quản trị trao cho. Nhng trong cả hai trờng hợp
này ta đều không thể khai thác và sử dụng đợc các tài nguyên trên mạng.
Chú ý: Khi làm việc với các đối tợng, chức năng nào liên quan đến đối t-

ợng mà đợc chọn từ một menu nào đó trên màn hình thì chức năng đó cũng có
thể đợc chọn từ menu ngữ cảnh (là menu đợc hiện ra khi ta nhấn nút phải
chuột tại đối tợng đợc chọn).
2.1.1.1. Tạo tài khoản ngời dùng của máy
Để tạo ra tài khoản ngời dùng tại chỗ của máy, ta sử dụng công cụ
Computer Management bằng cách chọn lần lợt các mục sau:
Start/Programs/Administrator Tools/Computer Management, hoặc
nhấn chuột phả tại biểu tợng My Computer, rồi chọn mục Manage. Khi đó sẽ
hiện ra cửa sổ nh hình 2.1:
11
Hình 2.1. Cửa sổ Computer Management
- Trong cửa sổ trên, ta chọn Local Users and Groups/Users, rồi chọn
New User từ menu Action, để hiện ra cửa sổ khai báo nh hình 2.2.
Hình 2.2. Cửa sổ tạo tài khoản ngời dùng của máy
Trong cửa sổ khai báo trên:
12
- Mục User name bắt buộc phải nhập vào, đây chính là tên để ngời sử
dụng đăng nhập vào máy. Các mục còn lại có thể nhập vào hoặc không.
- Mục User must change password at next logon, nếu đợc chọn thì ng-
ời sử dụng này phải thay đổi lại mật khẩu tại lần đăng nhập kế tiếp, sau đó ô
chọn này sẽ đợc tự bỏ.
- Mục Account is disabled, nếu đợc chọn thì tài khoản ngời dùng này
tạm thời không có hiệu lực đăng nhập vào máy.
Sau khi vào xong các thông tin cần thiết, ta nhấn nút Create để tạo. Khi
đó các mục trong cửa sổ trên sẽ tự xoá để chuẩn bị tạo ngời sử dụng mới. Để
kết thúc quá trình tạo ngời sử dụng, ta nhấn nút Close.
2.1.1.2. Đổi tên tài khoản ngời dùng của máy
Chọn ngời sử dụng cần đổi tên tại phần bên phải của cửa sổ Computer
Management, rồi chọn Rename từ menu Action. Sau đó gõ vào tên mới.
2.1.1.3. Xoá tài khoản ngời dùng của máy

Chọn ngời sử dụng cần xoá tại phần bên phải của cửa sổ Computer
Management, rồi chọn Delete từ menu Action, hoặc bấm phím Delete. Sau
đó nhấn: Yes để xoá, No không xoá.
Chú ý: Nếu máy là một DC, thì không thể tạo đợc tài khoản ngời sử dụng
tại chỗ của máy đó, nên khi đó mục Local Users and Groups sẽ bị vô hiệu
hoá trong cửa sổ Computer Management. Đối với những máy chủ này ta chỉ
có thể tạo đợc các ngời sử dụng của miền bằng cách dùng công cụ Active
Directory Users and Computers.
2.1.2. Quản lý tài khoản ngời dùng của miền
Trong Windows 2000, Active Directory Users and Computers là công cụ
chính để quản lý các tài khoản ngời dùng, các nhóm bảo mật, các đơn vị tổ
chức (OU), và các chính sách trong mạng đơn miền hoặc đa miền. Công cụ
này có thể đợc chạy trên bất kỳ máy Windows 2000 nào, mặc dù nó chỉ đợc
cài đặt và xuất hiện mặc định trong menu Programs trên các máy DC. Để chạy
công cụ này trên một máy không phải DC, ta phải quảng bá (publish) hoặc
phân bổ (assign) công cụ đó bằng Active Directory. Sau đó nó có thể đợc cài
đặt trên các máy Windows 2000 Server (không phải DC) hoặc Windows 2000
Professional bằng cách dùng công cụ Add/Remove Programs (cách tiến
hành công việc cài đặt đó đợc trình bày ở chơng 4).
2.1.2.1. Tạo tài khoản ngời dùng của miền
13
Để tạo ra tài khoản ngời dùng của miền, ta mở cửa sổ Active Directory
Users and Computers (cách mở nh khi tạo OU trong mục 4.1 của chơng 1).
Cửa sổ này khi đợc mở có dạng sau:
Hình 2.3. Cửa sổ Active Directory Users and Computers
- Tiếp theo ta chọn nơi muốn đặt tài khoản mới vào đó (ví dụ chọn OU
PTHUC_HANH), rồi chọn New/User từ menu Action, để hiện ra cửa sổ khai
báo sau:
Hình 2.4. Cửa sổ tạo tài khoản ngời dùng của miền
Trong cửa sổ khai báo trên ta điền vào các mục: tên (First name), họ

(Last name), các ký tự viết tắt của tên (Initials), và tên đầy đủ (Full name).
Hai mục Last name và Initials là tuỳ chọn, nên có thể điền vào hoặc không.
14
Mục User logon name dùng để gõ vào tên đăng nhập (chính là User
name khi đăng nhập vào mạng), kế đó ta thấy dòng chữ
@KHOATIN.LOCAL, đây đợc gọi là hậu tố tên chính của ngời sử dụng (UPN
- User Principal Name), sẽ đợc tự động gắn vào đuôi của User name lúc đăng
nhập để tạo thành tên UPN dạng Những cái
tên UPN này bắt chớc theo kiểu tên địa chỉ E-mail, cho nên có ký hiệu @.
Hậu tố UPN thông thờng là tên của miền chứa User đợc tạo, nhng cũng có thể
đặt một tên gợi nhớ khác (tên này đợc coi nh bí danh của tên miền thật). Về
bản chất hậu tố UPN là một con trỏ, chỉ đến miền có chứa tài khoản ngời dùng
đang xét, cho nên rất thuận tiện khi ngời dùng đăng nhập vào một môi trờng
mạng đa miền, vì không cần quan tâm đến tên miền thật của miền.
Mục User logon name (pre-Windows 2000) dùng để vào một tên đăng
nhập theo kiểu cũ dạng DOMAINNAME\Username tồn tại từ các phiên bản
NT trớc đây, tên này có thể khác với tên trong User logon name. Mục đích
của tên này là để tạo sự tơng thích trong một mạng đa miền, mà trong đó có
cài đặt cả Windows 2000 và NT .
Chú ý: Các tên trong hai mục First name và User logon name có thể là
các ký tự tuỳ ý (trong First name dài nhất là 28 ký tự, còn trong User logon
name nói chung là không hạn chế), nhng phải là duy nhất đối với các tài
khoản khác trên miền (kể cả tài khoản ngời sử dụng và tài khoản nhóm). Tuy
nhiên, tên của một tài khoản ngời dùng trên miền có thể giống với tên của một
tài khoản tại chỗ trên một máy nào đó không phải là DC.
Sau khi điền vào xong những thông tin trên ta chọn Next để mở tiếp cửa
sổ sau:
15
Hình 2.5. Cửa sổ ấn định các tuỳ chọn về mật khẩu và tài khoản
Trong cửa sổ trên ta ấn định một mật khẩu cho tài khoản ngời dùng tại

mục Password rồi xác nhận nó tại mục Confirm password.
Chú ý: Các chữ cái trong mật khẩu có phân biệt chữ hoa và chữ thờng
(kể cả mật khẩu tài khoản ngời dùng của miền và của máy).
Các tuỳ chọn bên dới có thể chọn hoặc không, nếu chọn thì chúng có ý
nghĩa nh sau:
User must change password at next logon: Buộc ngời dùng này phải
đổi mật khẩu vào lần đăng nhập kế tiếp, sau đó ô chọn này sẽ đợc tự bỏ.
User cannot change password: Ngăn không cho ngời dùng thay đổi mật
khẩu của tài khoản này. Tuỳ chọn này hữu ích đối với các tài khoản dùng
chung.
Password never expires: Tài khoản ngời dùng này sẽ lờ đi chính sách
hết hạn mật khẩu, do đó mật khẩu dành cho tài khoản này sẽ không bao giờ
hết hạn. Tuỳ chọn này hữu ích đối với các tài khoản dùng chung để chạy các
dịch vụ.
Account is disabled: Tài khoản này tuy vẫn nằm trong cơ sở dữ liệu
khoản mục của vùng, nhng tạm thời bị vô hiệu hoá, và chừng nào cha bỏ tuỳ
chọn này thì không thể dùng nó để đăng nhập vào mạng đợc.
Tiếp theo chọn Next để hiện ra cửa sổ cuối cùng của quá trình tạo, nh
hình 2.6. Cửa sổ này hiện ra một số thông tin chính mà ta đã nhập vào cho tài
16
khoản ngời dùng. Nếu chọn Finish thì tài khoản đó sẽ đợc tạo ngay, còn nếu
muốn quay lại sửa một số thông tin ở các cửa sổ trớc đó thì ta chọn Back.
Hình 2.6. Cửa sổ xác nhận thông tin của tài khoản ngời dùng trớc khi tạo
Sau khi chọn Finish, ở phần chi tiết (bên phải) của cửa sổ Active
Directory Users and Computers sẽ hiện ra tài khoản ngời dùng mới tạo nh
hình 2.7.
Hình 2.7. Cửa sổ Active Directory Users and Computers sau khi
tạo thêm tài khoản ngời dùng mới Ngo Van Trung
Trong cửa sổ trên ta thấy chỉ hiện tên đầy đủ của tài khoản ngời dùng,
mà không hiện tên đăng nhập (NVTrung).

2.1.2.2. Di chuyển tài khoản ngời dùng đến nơi chứa mới
17
Chọn ngời sử dụng cần di chuyển, chọn Move từ menu Action, để hiện
ra cửa sổ nh hình 2.8. Tại cửa sổ này ta chọn nơi chứa mới rồi nhấn OK.
Hình 2.8. Cửa sổ chọn nơi chứa mới của tài khoản ngời dùng
2.1.2.3. Đổi tên đầy đủ của tài khoản ngời dùng
Chọn ngời sử dụng cần đổi tên, chọn Rename từ menu Action, rồi gõ
vào tên mới.
2.1.2.4. Đổi lại mật khẩu ngời dùng
Chọn ngời sử dụng cần đổi mật khẩu, chọn Reset Password từ menu
Action, để hiện ra cửa sổ nh hình 2.9. Sau đó tiến hành vào mật khẩu mới.
Hình 2.9. Cửa sổ đổi mật khẩu mới của tài khoản ngời dùng
2.1.2.5. Xoá tài khoản ngời dùng
Chọn ngời sử dụng cần xoá, chọn Delete từ menu Action hoặc bấm phím
Delete. Sau đó nhấn: Yes để xoá, No không xoá.
2.1.3. Thay đổi các thiết định về tài khoản ngời dùng
18
Các thiết định cho tài khoản ngời dùng của miền bao gồm rất nhiều thiết
định, ở đây chúng ta chỉ quan tâm tới một số thiết định chính nh: giờ đăng
nhập vào mạng, máy đợc đăng nhập vào, ngày hết hạn của tài khoản. Các thiết
định về ấn định mật khẩu và chính sách khoá chặt tài khoản đợc thực hiện
thông qua chính sách nhóm, sẽ đợc trình bày ở phần 3.5 bên dới.
Để thay đổi các thiết định về tài khoản ngời dùng của miền, ta chọn
khoản ngời dùng cần thay đổi (ví dụ Ngo Van Trung), chọn Properties để
hiện ra cửa sổ đặc tính của ngời dùng này nh hình 2.10, với trang đợc chọn
hiện đầu tiên là General. Tại trang này ta thấy hiện lên một số thông tin đã
nhập trong quá trình tạo tài khoản, và ta vẫn có thể sửa lại ở đây nếu muốn.
Ngoài ra ta có thể bổ sung cho ngời dùng này một lời mô tả (Description), tên
văn phòng làm việc (Office), các số điên thoại (Telephone number), địa chỉ E-
mail, địa chỉ các trang Web (Web page).

Hình 2.10. Cửa sổ đặc tính của tài khoản ngời dùng
Tiếp theo ta chọn trang Account để hiện ra nội dung nh hình 2.11.
19
Hình 2.11. Trang Account của cửa sổ đặc tính
Tại đây ta có thể đổi lại tên đăng nhập vào mạng tại mục User logon
name, thay đổi lại các tuỳ chọn về mật khẩu tại mục Account options. Tại
mục Account Expires, nếu chọn Never thì tài khoản của ngời dùng này sẽ
không bao giờ hết hạn, còn nếu chọn End of và vào một ngày nào đó thì đến
ngày đó, tài khoản ngời dùng này sẽ không thể đăng nhập vào mạng.
Theo mặc định, mọi ngời dùng đều đợc phép đăng nhập vào mọi ngày
trong tuần và vào bất kỳ giờ nào trong ngày (tức là 24/7), nhng ta vẫn có thể
ấn định những ngày giờ cụ thể nào đó mà mỗi ngời đợc phép đăng nhập bằng
cách chọn mục Logon Hours để hiện ra cửa sổ nh hình 2.12.
20
Hình 2.12. Cửa sổ ấn định ngày, giờ đăng nhập vào mạng
Trong cửa sổ trên, các hàng biểu thị các ngày từ chủ nhật (Sunday) đến
thứ bảy (Saturday), các cột biểu thị các giờ trong ngày (từ 1 giờ sáng đến 12
giờ đêm). Các ô có tô mầu biểu thị giờ đó đợc phép đăng nhập. Nếu muốn
cấm ngời sử dụng đăng nhập vào một khoảng thời gian nào đó, thì ta đánh dấu
vùng ô tơng ứng bằng cách nhấn chuột tại ô đầu, giữ và kéo chuột tới ô cuối,
sau đó chọn Logon Denied. Nếu muốn cho ngời sử dụng đăng nhập vào
những giờ đã cấm, ta cũng chọn vùng giờ đó, sau đó chọn Logon Permitted.
Cuối cùng nhấn OK.
Cũng theo mặc định, mọi ngời sử dụng có thể đăng nhập vào mạng từ
mọi máy, nếu muốn hạn chế ngời sử dụng chỉ đợc phép đăng nhập vào một số
máy nào đó, thì ta chọn mục Log On To từ cửa sổ trong hình 2.11 để hiện ra
cửa sổ nh hình 2.13.
21
Hình 2.13. Cửa sổ ấn định ngời dùng đợc phép đăng nhập từ máy nào
Trong cửa sổ trên, nếu chọn mục All computers thì ngời sử dụng có thể

đăng nhập từ mọi máy trên mạng. Còn nếu chọn The following computers
thì ngời sử dụng chỉ có thể đăng nhập vào mạng từ những tên máy ta gõ vào
tại đây. Nếu muốn gõ vào tên máy nào, ta nhập tên máy đó tại mục Computer
name, rồi nhấn Add để chuyển tên đó xuống ô bên dới (nh cửa sổ trên ta đã
làm với May1).
Nếu muốn sửa lại tên máy đã ấn định, ta chọn tên máy đó, chọn Edit, rồi
sửa.
Nếu muốn bỏ tên máy đã ấn định, ta chọn nó, rồi nhấn Remove.
Cuối cùng nhấn OK để kết thúc.
2.2. Quản lý các tài khoản nhóm
2.2.1. Khái niệm nhóm
Nhóm là một khoản mục có thể chứa những khoản mục ngời sử dụng
hoặc nhóm khác nh là các thành viên.
Nhóm dùng để cho phép đồng thời nhiều ngời sử dụng truy cập vào các
tài nguyên nh tệp, th mục, máy in hay thực hiện các công việc hệ thống nh lu
trữ và phục hồi các tệp, thay đổi thời gian hệ thống
22
Theo mặc định khi khoản mục ngời sử dụng mới tạo ra, họ không có một
chút quyền gì đáng kể trên mạng. Gán ngời dùng vào các nhóm sẽ khiến việc
trao cho họ những quyền hạn thực hiện tác vụ (rights) cùng với quyền truy cập
các tài nguyên mạng (Permissions) trở nên dễ dàng hơn. Bởi vì chỉ cần trao
quyền cho nhóm, sau đó mọi thành viên trong nhóm đều sẽ đợc thừa hởng
quyền của nhóm. Điều này cho phép ngời quản trị xử lý một số lợng lớn ngời
sử dụng thông qua chỉ một khoản mục nhóm.
Khi tạo ra các tài khoản nhóm của miền trong Windows 2000, ta đợc lựa
chọn là xếp nhóm đó vào loại nhóm bảo mật (security group) hay nhóm phân
phối th tín (distribution group). Các nhóm bảo mật thực ra không có gì mới
mẻ, chúng cũng tơng tự nh các nhóm ngời dùng trong tất cả các phiên bản NT
trớc đây. Bây giờ gọi chúng là nhóm bảo mật chỉ để phân biệt với các nhóm
phân phối th tín (không bảo mật), chỉ mới có trong Windows 2000.

Mỗi tài khoản nhóm bảo mật và mỗi tài khoản ngời dùng khi mới đợc tạo
ra, đều đợc tự động cấp một mã nhận diện bảo mật SID (Security IDentifier).
Mỗi SID là một mã độc nhất để phân biệt một tài khoản, tức là mỗi tài khoản
có một SID khác nhau. Hơn nữa các SID không bao giờ đợc tái sử dụng. Khi
một tài khoản bị xoá đi, thì SID của nó cũng bị xoá theo. Do vậy nếu ta đã tạo
ra một tài khoản ngời sử dụng hoặc tài khoản nhóm bảo mật với một tên nào
đó, rồi xoá đi, sau đó tạo lại với đúng tên cũ, thì về thực chất Windows 2000
vẫn coi là khác với tài khoản đã xoá trớc đó, nên không thể thừa hởng những
quyền hạn và quyền truy cập đợc gán trớc khi xoá.
Các nhóm th tín không phải để phục vụ mục đích bảo mật, nên không có
mã nhận diện bảo mật SID, và không xuất hiện trên các danh sách kiển soát
truy cập ACL (Access Control List danh sách này đợc hiện khi cần chọn
các đối tợng là ngời sử dụng hoặc nhóm bảo mật). Các nhóm này đợc dùng
làm địa chỉ để nhận th tín hay thông điệp.
Mỗi máy tính trong mạng, đều có một tài khoản máy, đó chính là tên của
máy đợc khai báo khi cài đặt. Tài khoản này cũng đợc lu trữ trong cấu trúc
của Active Directory (thờng là trong mục Computers). Với NT 4, ta không đợc
phép đặt các tài khoản này vào trong một nhóm, và đó là điều không hay, bởi
vì thờng thì rất tiện lợi nếu tạo ra các nhóm máy để áp dụng chung các chính
sách hệ thống lên đó. Windows 2000 đã sửa chữa thiếu sót này, nên giờ đây ta
có thể có các nhóm mà thành viên của nó có thể là tài khoản ngời dùng, hoặc
tài khoản máy, hoặc cả hai loại đó.
Trong NT 4, các nhóm chỉ có thể đợc lồng vào nhau nhiều nhất là một
cấp. Còn trong Windows 2000, các nhóm có thể đợc lồng vào nhau sâu hơn
một cấp.
23
2.2.2. Các loại nhóm bảo mật
Có ba kiểu nhóm bảo mật là: nhóm cục bộ (local group), nhóm toàn miền
(global group) và nhóm toàn rừng (universal group).
2.2.2.1. Nhóm cục bộ (Local group)

Nhóm cục bộ là nhóm đợc gắn với từng máy tính, đợc dùng để cấp phát
các quyền hạn tại chỗ và quyền truy cập vào các tài nguyên tại chỗ.
Đối với các máy trong mạng không phải là DC, thì các tài khoản nhóm
cục bộ đợc lu trữ trong CSDL khoản mục của máy. Còn với các máy DC, thì
chúng đợc lu trữ trên CSDL khoản mục của vùng, tức là lu trữ trong Active
Directory.
Thành viên của nhóm cục bộ có thể là:
+ Các tài khoản ngời sử dụng của miền chứa nhóm cục bộ hoặc từ một
miền khác đợc uỷ quyền.
+ Nếu là nhóm cục bộ trên máy không phải DC thì có thể tiếp nhận cả các tài khoản ngời dùng của chính máy này làm
thành viên.
+ Các nhóm toàn rừng, nhóm toàn miền, trên cùng miền chứa nó.
+ Các nhóm toàn rừng, nhóm toàn miền, từ một miền khác đợc uỷ
quyền.
Windows 2000 cung cấp nhiều nhóm cục bộ tạo sẵn để quản lý các công
việc hệ thống.
Ngời quản trị có thể tạo thêm các nhóm cục bộ mới để quản lý việc truy
cập tài nguyên.
2.2.2.2. Nhóm toàn miền (Global group)
Nhóm toàn miền đợc dùng để tập hợp những ngời dùng và các nhóm toàn
miền khác, vốn cần có những quyền hạn và quyền truy cập tài nguyên giống
nhau.
Nhóm toàn miền không đợc uỷ quyền thực hiện các chức năng mạng nh
nhóm cục bộ. Để có thể làm việc này nó phải là thành viên của nhóm cục bộ
có các quyền trên.
Nhóm toàn miền đợc lu trong CSDL khoản mục của vùng.
Thành viên của nhóm toàn miền chỉ có thể là:
+ Các tài khoản ngời sử dụng trên cùng một miền.
+ Các nhóm toàn miền khác trên cùng một miền.
2.2.2.3. Nhóm toàn rừng (universal group)

24
Trong hai loại nhóm đã xét ở trên ta thấy có sự khác biệt cơ bản là:
+ Nhóm cục bộ ngoài việc tiếp nhận các ngời sử dụng, còn có thể tiếp
nhận các nhóm loại khác là thành viên, nhng không là thành viên của các
nhóm loại khác.
+ Còn nhóm toàn miền, thì không đợc phép tiếp nhận các nhóm loại khác làm thành viên, mà thành viên của nó chỉ có thể
là các ngời sử dụng và các nhóm toàn miền.
Nhóm toàn rừng là loại nhóm mới chỉ có trong Windows 2000 nhằm
dung hoà giữa hai nhóm trên: nó vừa có thể tiếp nhận nhóm loại khác làm
thành viên, vừa có thể là thành viên của nhóm loại khác. Nhóm toàn rừng
cũng giống nhóm toàn miền ở chỗ: không đợc uỷ quyền thực hiện các chức
năng mạng nh nhóm cục bộ.
Nhóm toàn rừng cũng đợc lu trong CSDL khoản mục của vùng.
Thành viên của nhóm toàn rừng có thể là:
+ Các tài khoản ngời sử dụng của miền từ một miền bất kỳ trong rừng.
+ Các nhóm toàn miền từ một miền bất kỳ trong rừng.
+ Các nhóm toàn rừng khác.
2.2.3. Các nhóm cục bộ đợc tạo sẵn
Các nhóm cục bộ đợc tạo sẵn của máy đợc đặt trong mục Groups nh hình
2.14.
Hình 2.14. Các nhóm cục bộ đợc tạo sẵn của máy
Bảng 2.1. Các nhóm cục bộ tạo sẵn của máy cùng với quyền hạn và khả năng của chúng
Quyền hạn của nhóm Khả năng của nhóm
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×