70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003
Environment

Chương 3:
Tạo và quản trị tài khoản
người dùng-User Account


Mục tiêu
• Hiểu mục đích của các tài khoản user
• Hiểu tiến trình chứng thực user
• Hiểu và cấu hình các loại user profile: local,
roaming, mandatory
• Cấu hình và sửa chữa tài khoản user bằng nhiều
phương pháp
• Sự cố đối với tài khoản và chứng thực user

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

2


Giới thiệu tài khoản User
• Một tài khoản user là một đối tượng Active
Directory
• Thể hiện thông tin định nghĩa 1 user với quyền
truy cập vào mạng (tên, mật khẩu,…)
• Mọi người dùng tài nguyên mạng bắt buộc có tài
khoản

• Tham gia vào việc quản trị và bảo mật
• Phải theo các chuẩn của tổ chức
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

3


Các đặc tính tài khoản User
• Công cụ chính để tạo và quản trị tài khoản là
Active Directory Users and Computers
• Active Directory dễ mở rộng nên có thể có các tab
được thêm vào các trang đặc tính (property page)
• Các đặc tính quan trọng có thể thiết lập gồm:
•
•
•
•
•

General
Address
Account
Profile
Sessions
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

4



Thực tập 3-1: Xem lại các đặc
tính tài khoản User
• Mục tiêu là xem lại các đặc tính của tài khoản user
thông qua Active Directory Users and Computers
• Start  Administrative Tools  Active Directory
Users and Computers  Users  AdminXX
account  Properties
• Xem các tab và các giá trị theo y/c

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

5


Tab tài khoản

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

6


Chứng thực User
• Tiến trình nhận dạng một user hợp pháp
• Dùng để chấp nhận hoặc từ chối quyền truy cập
vào tài nguyên mạng
• Từ 1 hệ điều hành client
• Tên, mật khẩu, tài nguyên y/c


• Trong môi trường Active Directory
• Domain controller chứng thực

• Trong 1 workgroup
• SAM cục bộ chứng thực
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

7


Các phương pháp chứng thực
• Hai tiến trình chính
• Chứng thực tương tác
• Thông tin tài khoản user được cung cấp khi đăng
nhập
• Chứng thực mạng
• Uỷ nhiệm thư (credential) của User được xác nhận
cho truy cập mạng

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

8


Chứng thực tương tác
• Tiến trình trong đó user cung cấp tên và mật khẩu
để chứng thực

• Khi đăng nhập vào domain, credential được so
sánh với cơ sở dữ liệu AD tập trung
• Khi đăng nhập cục bộ, credential được so sánh
với cơ sở dữ liệu SAM
• Trong các môi trường domain, các user bình
thường không có tài khoản cục bộ
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

9


Chứng thực mạng
• Tiến trình một dịch vụ mạng chấp nhận danh định
của một user
• Với 1 user đăng nhập vào domain, chứng thực
mạng là trong suốt
• Credential từ chứng thực tương tác hợp lệ với các tài
nguyên mạng

• Một user đăng nhập vào máy tính cục bộ sẽ được
nhắc đăng nhập riêng biệt vào tài nguyên mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

10


Các giao thức chứng thực
• Windows Server 2003 hỗ trợ 2 giao thức chứng

thực chính:
• Kerberos version 5 (Kerberos v5)
• NT LAN Manager (NTLM)

• Kerberos v5 là công cụ chính cho môi trường
Active Directory nhưng không hỗ trợ trên các hệ
thống client khác
• NTLM là công cụ chính cho các hệ điều hành
Microsoft còn lại
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

11


Kerberos v5
• Hỗ trợ bởi Windows 2000, Windows XP,
Windows Server 2003
• Giao thức đi theo sau:
• Yêu cầu đăng nhập được chuyển cho Key Distribution
Center (KDC), một Windows Server 2003 domain
controller
• KDC chứng thực user và nếu hợp pháp, phát ra một
ticket-granting ticket (TGT) cho hệ đh client

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

12



Kerberos v5 (tt)
• Khi client y/c một tài nguyên mạng, nó trình TGT cho
KDC
• KDC phát ra một service ticket cho client
• Client trình service ticket cho host server của tài
nguyên đó

• Mọi DC trong môi trường AD đều giữ vai trò
KDC
• Không phải mọi client đều theo giao thức này

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

13


NTLM
• Dùng với các hệ điều hành chạy Windows NT 4.0
hoặc trước nữa, nếu cần cũng dùng được cho
Windows Server 2000/2003
• Giao thức đi theo sau:
• User đăng nhập, client tính giá trị băm mã hóa của mật
khẩu
• Client gửi tên user cho DC

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment


14


NTLM (tt)
• DC sinh ra challenge ngẫu nhiên và gửi cho client
• Client giải mã challenge với giá trị băm của mật khẩu
và gửi về DC
• DC tính toán giá trị mong muốn được trả về từ client và
so sánh với giá trị thực tế

• Sau khi chứng thực thành công, DC sinh ra một
token cho user với tài nguyên mạng

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

15


User Profiles
• Một tập hợp các thiết lập đặc trưng cho một user
• Theo mặc nhiên được lưu giữ cục bộ
• Không đi theo user đăng nhập trên các máy tính khác

• Có thể tạo 1 roaming profile
• Đi theo user đăng nhập trên các máy tính khác

• Administrator có thể tạo 1 mandatory profile
• User không thể thay đổi nó


70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

16


User Profile Folders and Contents

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

17


Local Profiles
• Các profile mới được tạo từ thư mục Default User
profile
• User có thể thay đổi local profile và những thay
đổi được lưu giữ lại chỉ cho user đó
• Administrator có thể quản lý nhiều phần tử của
profile
• Change Type
• Delete
• Copy To
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

18



Thực tập 3-2: Kiểm tra Local
Profile Settings
• Mục tiêu là cấu hình và kiểm tra 1 local user
profile
• Start  Administrative Tools  Active Directory
Users and Computers  Users  New  User
• Theo các chỉ dẫn để tạo 1 user profile mới
• Khám phá và cấu hình các đặc tính
• Kiểm tra lại bằng cách đăng nhập như user mới

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

19


Roaming Profiles
• Roaming profiles
• Cho phép profile lưu trên 1 server trung tâm và đi theo
user
• Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với
thao tác backup)

• Thay đổi 1 profile từ local  roaming nên cẩn
thận sao lưu trước

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

20



Thực tập 3-3: Cấu hình và
kiểm tra 1 Roaming Profile
• Tạo 1 thư mục chia sẻ, copy 1 local profile vào
thư mục đó và cấu hình các thuộc tính của tài
khoản user để dùng roaming
• Theo các chỉ dẫn

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

21


Mandatory Profiles
• Local và roaming profile cho phép tạo các thay
đổi lâu dài
• Mandatory profile cho phép tạo các thay đổi chỉ
cho 1 phiên làm việc
• Local và roaming có thể đều được cấu hình như
mandatory
• ntuser.dat  ntuser.man

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

22



Thực tập 3-4: Cấu hình 1
Mandatory Profile
• Start  My Computer
• Theo các chỉ dẫn để tác động vào mandatory
profile thử nghiệm đã tạo trước đó
• Kiểm tra lại user không thể tạo ra thay đổi nào

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

23


Tạo và quản lý các tài khoản
user
• Công cụ chính là Active Directory Users and
Computers
• Cũng có thể dùng một số công cụ dòng lệnh và
ứng dụng khác

70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

24


Active Directory Users and
Computers
• Chọn từ thực đơn Administrative Tools
• Có thể thêm vào 1 Microsoft Management

Console
• Có thể chạy từ dòng lệnh (dsa.msc)
• Công cụ đồ họa
• Có thể thêm, sửa, di chuyển, xóa, tìm tài khoản user

• Có thể cấu hình nhiều đối tượng đồng thời
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment

25