B
B
à
à
i 4
i 4
QU
QU
Ả
Ả
N LÝ T
N LÝ T
À
À
I KHO
I KHO
Ả
Ả
N NGƯ
N NGƯ
Ờ
Ờ
I D
I D
Ù
Ù
NG
NG
V
V
À

À
NH
NH
Ó
Ó
M
M
TRƯỜNG ĐẠI HỌC QUY NHƠN
KHOA TIN HỌC
Slides – QUẢN TRN MẠN G
Nguyễn Ngọc Dũng
Khoa Tin học – ĐHQN
Email:
N
N
Ộ
Ộ
I DUNG
I DUNG
 Tài khoản người dùng và tài khoản nhóm
 Chứng thực và kiểm soát truy cập
 Các tài khoản tạo sẵn
 Quản lý tài khoản người dùng và nhóm cục bộ
 Quản lý tài khoản người dùng và nhóm trên
Active Directory
2
T
T
à
à

i kho
i kho
ả
ả
n ngư
n ngư
ờ
ờ
i d
i d
ù
ù
ng
ng
 Tài khoản người dùng cục bộ
3
 Tài khoản người dùng miền
4
T
T
à
à
i kho
i kho
ả
ả
n ngư
n ngư
ờ
ờ

i d
i d
ù
ù
ng
ng
 Yêu cầu tài khoản người dùng
¾ Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server
2003 thì tên đăng nhập có thể dài đến 104 ký tự, tuy nhiên
khi đăng nhập từ các máy cài hệ điều hành Windows NT 4.0
về trước thì mặc định chỉ hiểu 20 ký tự).
¾ Mỗi username là chuỗi duy nhất của mỗi người dùng có
nghĩa là tất cả tên của người dùng và nhóm không được
trùng nhau.
¾ Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
¾ Trong một username có thể chứa các ký tự đặc biệt bao
gồ
m: dấu chấm câu, khoảng trắng, dấugạch ngang, dấu
gạch dưới. Tuy nhiên, nên tránh các khoảng trắng vì những
tên như thế phải đặttrong dấu ngoặc khi dùng các kịch bản
hay dòng lệnh.
5
T
T
à
à
i kho
i kho
ả
ả

n ngư
n ngư
ờ
ờ
i d
i d
ù
ù
ng
ng
T
T
à
à
i kho
i kho
ả
ả
n nh
n nh
ó
ó
m
m
 Các thành viên nhận quyền được gán cho nhóm
 Người dùng có thể là thành viên của nhiều nhóm
 Nhóm có thể là thành viên của các nhóm khác
6
Permissions
Permissions

Group
Group
Permissions
Permissions
User
User
Permissions
Permissions
User
User
Permissions Assigned
Once for Each User Account
Permissions Assigned
Once for Each User Account
Permissions Assigned
Once for a Group
Permissions Assigned
Once for a Group
Instead of
Instead of
Instead of
Permissions
Permissions
User
User
 Tài khoản nhóm
¾ Nhóm bảo mật (security group)
 Dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập
(permission)
 Mỗi nhóm bảo mật có một SID riêng

 Có 4 loại nhóm bảo mật: local (nhóm cục bộ), domain local (nhóm
cục bộ miền), global (nhóm toàn cục, nhóm toàn mạng), universal
(nhóm phổ quát)
¾ Nhóm phân phối
 Là nhóm phi bảo mật, không có SID
 Được sử dụng bởi các phần mềm và dịch vụ
7
T
T
à
à
i kho
i kho
ả
ả
n nh
n nh
ó
ó
m
m
 Quy tắc gia nhập nhóm
¾ Tất cả các nhóm Domain local, Global, Universal
đều có thể đặt vào trong nhóm Machine Local.
¾ Tất cả các nhóm Domain local, Global, Universal
đều có thể đặt vào trong chính loại nhóm của mình.
8
¾ Nhóm Global và Universal
có thể đặt vào trong nhóm
Domain local.

¾ Nhóm Global có thể đặt
vào trong nhóm Universal.
T
T
à
à
i kho
i kho
ả
ả
n nh
n nh
ó
ó
m
m
Ch
Ch
ứ
ứ
ng th
ng th
ự
ự
c v
c v
à
à
ki
ki

ể
ể
m so
m so
á
á
t truy c
t truy c
ậ
ậ
p
p
 Các giao thức chứng thực
¾ Kerberos V5: là giao thức chuẩn Internet dùng để
chứng thực người dùng và hệ thống.
¾ NT LAN Manager (NTLM): là giao thức chứng thực
chính của Windows NT.
¾ Secure Socket Layer/Transport Layer Security
(SSL/TLS): là cơ chế chứng thực chính được dùng
khi truy cập vào máy phục vụ Web an toàn.
 Số nhận diện bảo mật SID (Security ID)
¾ SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID”
9
Ch
Ch
ứ
ứ
ng th
ng th
ự

ự
c v
c v
à
à
ki
ki
ể
ể
m so
m so
á
á
t truy c
t truy c
ậ
ậ
p
p
 Kiểm soát hoạt động truy cập của đối tượng
¾ Kiểm soát dựa vào bộ mô tả bảo mật ACE
 Chức năng của ACE (Access Control Entry):
¾ Liệt kê người dùng và nhóm nào được cấp quyền
truy cập đối tượng.
¾ Định rõ quyền truy cập cho người dùng và nhóm.
¾ Theo dõi các sự kiện xảy ra trên đối tượng.
¾ Định rõ quyền sở hữu của đối tượng.
10
C
C

á
á
c t
c t
à
à
i kho
i kho
ả
ả
n t
n t
ạ
ạ
o s
o s
ẵ
ẵ
n
n
 Các tài khoản người dùng tạo sẵn
¾ Administrator
¾ Guest
¾ ILS_Anonymous_User
¾ IUSR_computername
¾ IWAM_computername
¾ Krbtgt
¾ TSInternetUser
11
C

C
á
á
c t
c t
à
à
i kho
i kho
ả
ả
n t
n t
ạ
ạ
o s
o s
ẵ
ẵ
n
n
 Tài khoản nhóm Domain Local tạo sẵn
¾ Administrators
¾ Account Operators
¾ Domain Controllers
¾ Backup Operators
¾ Guests
¾ Print Operator
¾ Server Operators
¾ Users

¾ Replicator
¾ Incoming Forest Trust Builders
¾ Network Configuration Operators
12
¾ Pre-Windows 2000 Compatible
Access
¾ Remote Desktop User
¾ Performace Log Users
¾ Performace Monitor Users
¾ …
C
C
á
á
c t
c t
à
à
i kho
i kho
ả
ả
n t
n t
ạ
ạ
o s
o s
ẵ
ẵ

n
n
 Tài khoản nhóm Global tạo sẵn
¾ Domain Admins
¾ Domain Users
¾ Group Policy Creator Owners
¾ Enterprise Admins
¾ Schema Admins
13
C
C
á
á
c t
c t
à
à
i kho
i kho
ả
ả
n t
n t
ạ
ạ
o s
o s
ẵ
ẵ
n

n
 Các nhóm tạo sẵn đặc biệt
¾ Interactive
¾ Network
¾ Everyone
¾ System
¾ Creator owner
¾ Authenticated users
¾ Anonymous logon
¾ Service
¾ Dialup
14
Qu
Qu
ả
ả
n lý t
n lý t
à
à
i kho
i kho
ả
ả
n
n
 Công cụ quản lý tài khoản người dùng cục bộ
¾ Dùng công cụ Local Users and Groups
¾ Có hai phương thức truy cập đến công cụ Local
Users and Groups

 Dùng như một MMC (Microsoft Management Console)
snap-in.
 Dùng thông qua công cụ Computer Management.
¾ Install Administration tools
15
Qu
Qu
ả
ả
n lý t
n lý t
à
à
i kho
i kho
ả
ả
n
n
 Cài Administration tools trên Windows XP Professional
1. Put your Windows Server 2003 CD
2. The CD installation setup runs automatically. If it does not:
a. Click Start, and then click Run.
b. In the Run dialog box, click Browse.
c. In the Browse dialog box, click My Computer.
d. Double-click the CD drive, and then double-click setup.exe.
e. In the Run dialog box, click OK.
3. In the Welcome to Microsoft Windows Server 2003 dialog
box, click Perform additional tasks.
4. In the What do you want to do? dialog box, click Browse

this CD.
5. Double-click the i386 folder.
6. Double-click the Adminpak.msi icon.
7. Specify the installation location or drive where you want to
install the Windows Server 2003 Administration Tools Pack.
16
Qu
Qu
ả
ả
n lý t
n lý t
à
à
i kho
i kho
ả
ả
n
n
 Cài Administrative tools
17
Qu
Qu
ả
ả
n lý t
n lý t
à
à

i kho
i kho
ả
ả
n
n
 Chèn Local Users and Groups snap-in vào MMC
¾ Khởi động MMC: chọn Start \Run \MMC
¾ Chọn Console \ Add \Remove Snap-in để mở hộp thoại
Add/Remove Snap-in.
¾ Nhấp nút Add để mở hộp thoại Add Standalone Snap-in.
¾ Chọn Local Users and Groups và nhấp chuột vào nút Add.
¾ Hộp thoại Choose Target Machine xuất hiện, ta chọn Local
Computer và nhấp chuột vào nút Finish để trở lại hộp thoại
Add Standalone Snap-in.
¾ Nhấp chuột vào nút Close để trở lại hộp thoại Add/Remove
Snap-in.
¾ Nhấp chuột vào nút OK, ta sẽ nhìn thấy Local Users and
Groups snap-in đã chèn vào MMC
18
Qu
Qu
ả
ả
n lý t
n lý t
à
à
i kho
i kho

ả
ả
n
n
 Chèn Local Users and Groups snap-in vào MMC
¾ Lưu cửa sổ console: chọn Console \Save
19
Qu
Qu
ả
ả
n lý t
n lý t
à
à
i kho
i kho
ả
ả
n
n
 Công cụ quản lý Computer manager
¾ Nhấn chuột phải vào Computer và chọn Manage
¾ Hoặc Start \Programs \Administrative Tools \
Computer Management.
20
Qu
Qu
ả
ả

n lý t
n lý t
à
à
i kho
i kho
ả
ả
n
n
 Các thao tác trên tài khoản người dùng cục bộ
¾ Tạo tài khoản mới
¾ Xóa tài khoản
¾ Khóa tài khoản
 Chọn Account disabled
¾ Thay đổi mật khẩu
 Các thao tác tài khoản nhóm cục bộ
¾ Tạo tài khoản
¾ Xóa tài khoản
¾ Thêm người dùng vào tài khoản
¾ Xóa người dùng trong tài khoản
21
 Công cụ quản lý tài khoản người dùng trên Active
Directory
¾ Công cụ Active Directory User and Computer
¾ Truy xuất công cụ Active Directory User and Computer qua
MMC
¾ Chọn Manage users and computers in Active Directory trên
cửa sổ Manage Your Server
 Quản lý tài khoản người dùng

¾ Tạo tài khoản
¾ Xóa tài khoản
¾ Khóa tài khoản
¾ Đổi tên tài khoản
¾ Thay đổi mật khẩu
22
Qu
Qu
ả
ả
n lý t
n lý t
à
à
i kho
i kho
ả
ả
n
n
Các thuộc tính của TK người dùng
 Tab General
 Tab Address
 Tab Telephones
 Tab Organization
 Tab Account
 Tab Profile
 Tab Member of
 Tab Dial-in
 …