70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003
Environment
Chương 3:
Tạo và quản trị tài khoản
người dùng-User Account
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
2
Mục tiêu
• Hiểu mục đích của các tài khoản user
• Hiểu tiến trình chứng thực user
• Hiểu và cấu hình các loại user profile: local,
roaming, mandatory
• Cấu hình và sửa chữa tài khoản user bằng nhiều
phương pháp
• Sự cố đối với tài khoản và chứng thực user
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
3
Giới thiệu tài khoản User
• Một tài khoản user là một đối tượng Active
Directory
• Thể hiện thông tin định nghĩa 1 user với quyền
truy cập vào mạng (tên, mật khẩu,…)
• Mọi người dùng tài nguyên mạng bắt buộc có tài
khoản
• Tham gia vào việc quản trị và bảo mật
• Phải theo các chuẩn của tổ chức
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

4
Các đặc tính tài khoản User
• Công cụ chính để tạo và quản trị tài khoản là
Active Directory Users and Computers
• Active Directory dễ mở rộng nên có thể có các tab
được thêm vào các trang đặc tính (property page)
• Các đặc tính quan trọng có thể thiết lập gồm:
• General
• Address
• Account
• Profile
• Sessions
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
5
Thực tập 3-1: Xem lại các đặc
tính tài khoản User
• Mục tiêu là xem lại các đặc tính của tài khoản user
thông qua Active Directory Users and Computers
• Start  Administrative Tools  Active Directory
Users and Computers  Users  AdminXX
account  Properties
• Xem các tab và các giá trị theo y/c
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
6
Tab tài khoản
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
7

Chứng thực User
• Tiến trình nhận dạng một user hợp pháp
• Dùng để chấp nhận hoặc từ chối quyền truy cập
vào tài nguyên mạng
• Từ 1 hệ điều hành client
• Tên, mật khẩu, tài nguyên y/c
• Trong môi trường Active Directory
• Domain controller chứng thực
• Trong 1 workgroup
• SAM cục bộ chứng thực
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
8
Các phương pháp chứng thực
• Hai tiến trình chính
• Chứng thực tương tác
• Thông tin tài khoản user được cung cấp khi đăng
nhập
• Chứng thực mạng
• Uỷ nhiệm thư (credential) của User được xác nhận
cho truy cập mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
9
Chứng thực tương tác
• Tiến trình trong đó user cung cấp tên và mật khẩu
để chứng thực
• Khi đăng nhập vào domain, credential được so
sánh với cơ sở dữ liệu AD tập trung
• Khi đăng nhập cục bộ, credential được so sánh

với cơ sở dữ liệu SAM
• Trong các môi trường domain, các user bình
thường không có tài khoản cục bộ
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
10
Chứng thực mạng
• Tiến trình một dịch vụ mạng chấp nhận danh định
của một user
• Với 1 user đăng nhập vào domain, chứng thực
mạng là trong suốt
• Credential từ chứng thực tương tác hợp lệ với các tài
nguyên mạng
• Một user đăng nhập vào máy tính cục bộ sẽ được
nhắc đăng nhập riêng biệt vào tài nguyên mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
11
Các giao thức chứng thực
• Windows Server 2003 hỗ trợ 2 giao thức chứng
thực chính:
• Kerberos version 5 (Kerberos v5)
• NT LAN Manager (NTLM)
• Kerberos v5 là công cụ chính cho môi trường
Active Directory nhưng không hỗ trợ trên các hệ
thống client khác
• NTLM là công cụ chính cho các hệ điều hành
Microsoft còn lại
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

12
Kerberos v5
• Hỗ trợ bởi Windows 2000, Windows XP,
Windows Server 2003
• Giao thức đi theo sau:
• Yêu cầu đăng nhập được chuyển cho Key Distribution
Center (KDC), một Windows Server 2003 domain
controller
• KDC chứng thực user và nếu hợp pháp, phát ra một
ticket-granting ticket (TGT) cho hệ đh client
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
13
Kerberos v5 (tt)
• Khi client y/c một tài nguyên mạng, nó trình TGT cho
KDC
• KDC phát ra một service ticket cho client
• Client trình service ticket cho host server của tài
nguyên đó
• Mọi DC trong môi trường AD đều giữ vai trò
KDC
• Không phải mọi client đều theo giao thức này
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
14
NTLM
• Dùng với các hệ điều hành chạy Windows NT 4.0
hoặc trước nữa, nếu cần cũng dùng được cho
Windows Server 2000/2003
• Giao thức đi theo sau:

• User đăng nhập, client tính giá trị băm mã hóa của mật
khẩu
• Client gửi tên user cho DC
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
15
NTLM (tt)
• DC sinh ra challenge ngẫu nhiên và gửi cho client
• Client giải mã challenge với giá trị băm của mật khẩu
và gửi về DC
• DC tính toán giá trị mong muốn được trả về từ client và
so sánh với giá trị thực tế
• Sau khi chứng thực thành công, DC sinh ra một
token cho user với tài nguyên mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
16
User Profiles
• Một tập hợp các thiết lập đặc trưng cho một user
• Theo mặc nhiên được lưu giữ cục bộ
• Không đi theo user đăng nhập trên các máy tính khác
• Có thể tạo 1 roaming profile
• Đi theo user đăng nhập trên các máy tính khác
• Administrator có thể tạo 1 mandatory profile
• User không thể thay đổi nó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
17
User Profile Folders and Contents
70-290: MCSE Guide to Managing a Microsoft

Windows Server 2003 Environment
18
Local Profiles
• Các profile mới được tạo từ thư mục Default User
profile
• User có thể thay đổi local profile và những thay
đổi được lưu giữ lại chỉ cho user đó
• Administrator có thể quản lý nhiều phần tử của
profile
• Change Type
• Delete
• Copy To
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
19
Thực tập 3-2: Kiểm tra Local
Profile Settings
• Mục tiêu là cấu hình và kiểm tra 1 local user
profile
• Start  Administrative Tools  Active Directory
Users and Computers  Users  New  User
• Theo các chỉ dẫn để tạo 1 user profile mới
• Khám phá và cấu hình các đặc tính
• Kiểm tra lại bằng cách đăng nhập như user mới
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
20
Roaming Profiles
• Roaming profiles
• Cho phép profile lưu trên 1 server trung tâm và đi theo

user
• Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với
thao tác backup)
• Thay đổi 1 profile từ local  roaming nên cẩn
thận sao lưu trước
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
21
Thực tập 3-3: Cấu hình và
kiểm tra 1 Roaming Profile
• Tạo 1 thư mục chia sẻ, copy 1 local profile vào
thư mục đó và cấu hình các thuộc tính của tài
khoản user để dùng roaming
• Theo các chỉ dẫn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
22
Mandatory Profiles
• Local và roaming profile cho phép tạo các thay
đổi lâu dài
• Mandatory profile cho phép tạo các thay đổi chỉ
cho 1 phiên làm việc
• Local và roaming có thể đều được cấu hình như
mandatory
• ntuser.dat  ntuser.man
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
23
Thực tập 3-4: Cấu hình 1
Mandatory Profile

• Start  My Computer
• Theo các chỉ dẫn để tác động vào mandatory
profile thử nghiệm đã tạo trước đó
• Kiểm tra lại user không thể tạo ra thay đổi nào
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
24
Tạo và quản lý các tài khoản
user
• Công cụ chính là Active Directory Users and
Computers
• Cũng có thể dùng một số công cụ dòng lệnh và
ứng dụng khác
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
25
Active Directory Users and
Computers
• Chọn từ thực đơn Administrative Tools
• Có thể thêm vào 1 Microsoft Management
Console
• Có thể chạy từ dòng lệnh (dsa.msc)
• Công cụ đồ họa
• Có thể thêm, sửa, di chuyển, xóa, tìm tài khoản user
• Có thể cấu hình nhiều đối tượng đồng thời