Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 233/555
Cú pháp:
net group [groupname [/comment:"text"]] [/domain]
net group groupname {/add [/comment:"text"] | /delete} [/domain]
net group groupname username[ ] {/add | /delete} [/domain]
Ý nghĩa các tham số:
- Không tham số: dùng để hiển thị tên của Server và tên của các nhóm trên Server đó.
- [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa.
- [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài
đến 48 ký tự.
- [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng. Tham số này chỉ áp dụng cho
Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành
viên của máy Windows 2000 Server domain.
- [username[ ]]: danh sách một hoặc nhiều người dùng cần thêm hoặc xóa ra khỏi nhóm, các tên
này cách nhau bởi khoảng trắng.
- [/add]: thêm một nhóm hoặc thêm một người dùng vào nhóm.
- [/delete]: xóa một nhóm hoặc xóa một người dùng khỏi nhóm.
V.4.3 Lệnh net localgroup.
Chức năng: thêm, hiển thị hoặc hiệu chỉnh nhóm cục bộ.
Cú pháp:
net localgroup [groupname [/comment:"text"]] [/domain]
net localgroup groupname {/add [/comment:"text"] | /delete} [/domain]
net localgroup groupname name [ ] {/add | /delete} [/domain]
Ý nghĩa các tham số:
- Không tham số: dùng hiển thị tên server và tên các nhóm cục bộ trên máy tính hiện tại.
- [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa.
- [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài
đến 48 ký tự.

- [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng. Tham số này chỉ áp dụng cho
Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành
viên của máy Windows 2000 Server domain.
- [name [ ]]: danh sách một hoặc nhiều tên người dùng hoặc tên nhóm cần thêm vào hoặc xóa
khỏi nhóm cục bộ. Các tên này cách nhau bở
i khoảng trắng.
- [/add]: thêm tên một nhóm toàn cục hoặc tên người dùng vào nhóm cục bộ.
- [/delete]: xóa tên một nhóm toàn cục hoặc tên người dùng khỏi nhóm cục bộ.
V.4.4 Các lệnh hỗ trợ dịch vụ Active Driectory trong môi trường Windows Server 2003.
Trên hệ thống Windows Server 2003, Microsoft phát triển thêm một số lệnh nhằm hỗ trợ tốt hơn cho
dịch vụ Directory như: dsadd, dsrm, dsmove, dsget, dsmod, dsquery. Các l
ệnh này thao tác chủ
yếu trên các đối tượng computer, contact, group, ou, user, quota.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w

e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n

g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
.

Tài liệu hướng dẫn giảng dạy


Học phần 3 - Quản trị mạng Microsoft Windows Trang 234/555
- Dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào trong dịch vụ
Directory.
- Dsrm: xóa một đối tượng trong dịch vụ Directory.
- Dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụ Directory.
- Dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact, group, ou, server
hoặc
user trong một dịch vụ Directory.
- Dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trong một dịch vụ
Directory.
- Dsquery: truy vấn các thành phần trong dịch vụ Directory.
- Ví dụ:
- Tạo một user mới: dsadd user “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” –samid
hv10 –pwd 123
- Xóa một user: dsrm “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn”
- Xem các user trong hệ thống: dsquery user
- Gia nhập user mới vào nhóm: dsmod group “CN=hs, CN=Users, DC=netclass, DC=edu, DC=vn”
–addmbr “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn”


Click to buy NOW!
P
D
F
-
X
C
h
a

n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P

D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c

k
.
c
o
m
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 235/555
Bài 11
CHÍNH SÁCH HỆ THỐNG
Tóm tắt
Lý thuyết 5 tiết - Thực hành 6 tiết
Mục tiêu Các mục chính Bài tập bắt
buộc
Bài tập làm
thêm
Kết thúc bài học này cung
cấp học viên kiến thức về
chính sách mật khẩu,
chính sách khóa tài khoản
nguời dùng, quyền hệ
thống của người dùng,
IPSec …
I. Chính sách tài khoản người
dùng.
II. Chính sách cục bộ.
III. IPSec.
Dựa vào bài

tập môn Quản
trị Windows
Server 2003.
Dựa vào bài
tập môn Quản
trị Windows
Server 2003.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.

d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e

w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 236/555
I. CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG.
Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số về tài khoản
người dùng mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các thông số
bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng. Nếu trên Server

thành viên thì bạn sẽ thấy hai mục Password Policy và Account Lockout Policy, trên máy Windows
Server 2003 làm domain controller thì bạn sẽ thấy ba thư mục Password Policy, Account Lockout
Policy và Kerberos Policy. Trong Windows Server 2003 cho phép bạ
n quản lý chính sách tài khoản
tại hai cấp độ là: cục bộ và miền. Muốn cấu hình các chính sách tài khoản người dùng ta vào Start ¾
Programs ¾ Administrative Tools ¾ Domain Security Policy hoặc Local Security Policy.

I.1. Chính sách mật khẩu.
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của người dùng để
trách các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn qui định
chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu…



Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e

w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a

n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
.


Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 237/555
Các lựa chọn trong chính sách mật mã:
Chính sách Mô tả Mặc định
Enforce Password History
Số lần đặt mật mã không được trùng
nhau
24
Maximum Password Age
Quy định số ngày nhiều nhất mà mật
mã người dùng có hiệu lực
42.
Minimum Password Age
Quy số ngày tối thiểu trước khi người
dùng có thể thay đổi mật mã.
1
Minimum Password Length Chiều dài ngắn nhất của mật mã 7
Passwords Must Meet
Complexity Requirements
Mật khẩu phải có độ phức tạp như: có
ký tự hoa, thường, có ký số.
Cho phép
Store Password Using
Reversible Encryption for All
Users in the Domain
Mật mã người dùng được lưu dưới
dạng mã hóa
Không cho phép
I.2. Chính sách khóa tài khoản.

Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản
trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn công thông qua hình thức
logon từ xa.
Các thông số cấu hình chính sách khóa tài khoản:
Chính sách Mô tả Giá trị mặc định
Account Lockout
Threshold
Quy định số lần cố gắng
đăng nhập trước khi tài
khoản bị khóa
0 (tài khoản sẽ không bị khóa)
Account Lockout
Duration
Quy định thời gian khóa tài
khoản
Là 0, nhưng nếu Account Lockout
Threshold được thiết lập thì giá trị này
là 30 phút.
Reset Account
Lockout Counter
After
Quy định thời gian đếm lại
số lần đăng nhập không
thành công
Là 0, nhưng nếu Account Lockout
Threshold được thiết lập thì giá trị này
là 30 phút.
II. CHÍNH SÁCH CỤC BỘ.
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên
mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào công cụ này bạn có thể cấp

quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật.
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w
.
d
o
c
u
-
t

r
a
c
k
.
c
o
m
Click to buy NOW!
P
D
F
-
X
C
h
a
n
g
e

V
i
e
w
e
r
w
w
w

.
d
o
c
u
-
t
r
a
c
k
.
c
o
m
.