Quản trị mạng WindowsNT (Phần 2 ):
trang này đã được đọc lần
Phần II - QUẢN LÝ NGƯỜI DÙNG
I. Account người dùng và nhóm trong Windows NT
Một account người dùng bao gồm thông tin về một người dùng như:
- Tên người dùng
- Tên đầy đủ
- Mật khẩu
- Quyền trên hệ thống
Để có thể nhập hệ thống Windows NT phải cần ít nhất một account. Một account gán cho một
người dùng nhất định một tập các quyền, định nghĩa cách thức họ có thể sử dụng hệ thống.
Một nhóm là một tên, tương tự với tên người dùng hoặc account người dùng, có thể được sử
dụng để tham chiếu tới nhiều người dùng. Mục đích là để làm thuận tiện việc cung cấp và kiểm
soát truy cập tới nhiều người dùng cùng có một nhiệm vụ tương tự. Bằng cách đặt các người
dùng vào một nhóm, bạn có thể dễ dàng cung cấp cho các người dùng trong nhóm đó cùng khả
năng hoặc hạn chế nhất định. Nếu bạn cần thay đổi quyền gán cho các người dùng trong nhóm,
bạn chỉ việc sửa đổi một account - group account.
II. Nhóm cục bộ (local groups)
Đối với Windows NT, chỉ một kiểu nhóm có thể được tạo và bảo trì - nhóm cục bộ. Một nhóm
cục bộ chỉ có thể được cung cấp quyền trong hệ thống của nó. Tuy nhiên, nếu hệ thống lại là
một phần của một domain thì nhóm cục bộ có thể chứa account của người dùng từ domain hoặc
các domain được tin cậy bất kỳ.
Không thể gán quyền truy nhập tài nguyên trên \\workstation_1 cho một nhóm cục bộ định
nghĩa trên \\server_2.
Trong một domain, khi một nhóm cục bộ định nghĩa trong PDC nó được chép tự động sang các
BDC khi dữ liệu các accounts được nhân bản. Nó được xác định trong dữ liệu tất cả các domain
controllers (bao gồm PDC, các BDCs) trong domain đó. Nhóm cục bộ được gán quyền tới các tài
nguyên của bất cứ domain contronllers nào trong domain.
Trong một môi trường workgroup, một thành viên trong nhóm cục bộ chỉ có thể gồm một
account người dùng từ dữ liệu account trong máy tính đó.
Một nhóm cục bộ trong Windows NT Workstation và Windows NT Server gồm :

- Các account người dùng của máy tính cục bộ
- Các người dùng và các nhóm tổng thể (global group) của domain máy tính cục bộ
- Các người dùng và các nhóm tổng thể từ các domains được thừa quyền (hay còn gọi là "tin
cậy"-trusted) bởi domain cục bộ
Chú ý:
Để dễ quản lý chúng ta sử dụng nhiều tới nhóm cục bộ
Các nhóm cục bộ bổ trợ thiết lập trước
Có một vài nhóm bổ trợ có sẵn trong các domain controllers Windows NT Server:
- Server Operators: Đảm trách cho mạng các domain controllers hoạt động. Các thành viên
nhóm này có cùng quyền hạn như Administrator, ngoại trừ nó không thể quản lý bảo mật trong
server. Nó chỉ có thể cho phép dùng chung hay bỏ dùng chung các tài nguyên của domain
controllers, khoá hay mở khoá một domain controller, và tạo khuôn dạng (format) các đĩa của
domain controllers. Nó cũng có quyền tại các domain controllers như sao lưu (back up) và lưu trữ
tệp, shut down (tắt) một domain controller.
- Account Operators: Có thể quản lý các account nhóm hay người dùng của domain. Nó có thể
tạo, xoá, sửa hầu hết các người dùng, nhóm tổng thể, và nhóm cục bộ. Nó không thể sửa các
account người dùng dạng Administrator, hoặc các nhóm cục bộ như nhóm Administrators, Server
Operators, Account Operators, Print Operstors, Backup Operators. Và nó cũng không thể gán
quyền người dùng.
- Print Operators: Có thể chia xẻ hay ngừng chia xẻ các máy in, quản lý các máy tin trong
domain controllers. Nó có thể truy nhập vào các domain controllers và tắt chúng.

III. Nhóm tổng thể (Global group)
Nếu một hệ thống Windows NT là một phần của một domain Advanced Server thì nhóm tổng
thể của domain có thể được sử dụng trong hệ thống này. Nhóm tổng thể có thể được sử dụng
tại tất cả các máy tính trong domain (các máy tính Windows NT, các Advanced Server, và các
LAN Manager 2.x server). Nhóm tổng thể có thể trở thành thành viên (được cấp membership)
trong các nhóm cục bộ và có thể được cấp quyền trong một hệ thống cụ thể.
Nhóm tổng thể có thể sử dụng một cách tổng thể , không bị giới hạn ở nơi dữ liệu chứa nó.
Một nhóm tổng thể có thể được tạo từ một thành viên trong nhóm cục bộ của bất cứ máy tính

nào trong domain hay domain được tin cậy.
Chỉ nên sử dụng nhóm tổng thể khi các người dùng thành viên tương đương, ít tính quản trị trên
tất cả các máyWindows Windows NT.
Domain Windows NT Server chứa sẵn các nhóm tổng thể như:
-
Domain Admins
: Nhóm các account bạn muốn là Administrators, và account Administrator
cũng nằm trong Domain Admin
-
Domain Users:
Các account trong domain
-
Domain Guest:
Các account cho "khách" (Guest)
Các nhóm tổng thể không có đặc quyền thừa kế. Nó nhận được uỷ quyền do là thành viên trong
nhóm cục bộ. Ví dụ trong một domain controllers nhóm Domain Administrators không tự nó có
quyền hạn. Nó nhận được quyền vì nó là thành viên trong nhóm cục bộ Administrators trong
domain controllers. Đó là tại sao các thành viên trong Domain Administrators có khả năng quản
trị domain. Tương tự các nhóm Domain Users là thành viên trong nhóm cục bộ Users, và nhóm
Domain Guests là thành viên trong nhóm cục bộ Guests.
Chú ý:
Dùng chương trình
User Manager for Domains
, từ menu
User
, chọn
New Global
Group
để quản lý các tài nguyên.
Các chiến lược về sử dụng nhóm

Quán triệt cách tổng thể cho các người dùng và nhóm đó là gán các account người dùng của
domain vào nhóm tổng thể của domain, đưa các nhóm tổng thể của domain làm thành viên của
nhóm cục bộ, sau đó gán quyền và các tài nguyên cho nhóm cục bộ.
Chiến lược khi làm trong môi trường nhiều domain kết nối bởi quan hệ tin cậy-relationships, cũng
với cách trên. Với các account domain của bạn, nhóm các người dùng vào nhóm tổng thể. Nhóm
tổng thể này sau đó được gán thành thành viên trong nhóm cục bộ không phải của domain này
mà domain tin cậy nó (trusting).
IV. Các account nhóm mặc định
Có năm nhóm mặc định trong Windows NT -
Users, Power Users, Administrators, Backup
Operators,
và
Guests.
1. Users
Bất kỳ ai sử dụng máy tính thường xuyên có thể có một account trong nhóm Users. Nhóm Users
cung cấp cho người dùng quyền cần thiết để thao tác trên hệ thống như một người dùng cuối,
chẳng hạn như chạy các ứng dụng và quản lý các file.
Một người dùng đăng ký làm việc vào một hệ thống Windows NT như một phần của nhóm Users
có thể thực hiện những công việc sau:
- Chạy các ứng dụng.
- Quản lý các file.
- Tạo và quản lý các nhóm.
- Giữ một hồ sơ cá nhân.
- Nối với một máy tính thông qua mạng.
2. Power Users
Nhóm Power User cung cấp cho người dùng khả năng thực hiện các chức năng quản trị hệ thống
mà không cho phép ngưoừi dùng hoàn toàn kiểm soát hệ thống.
Bổ sung thêm vào tất cả các quyền được cung cấp cho nhóm Users, một người dùng login vào
Windows NT nhưng thành viên của nhóm Power User có thể thực hiện các công việc sau đây:
- Chia sẻ các thư mục trên mạng.

- Cài đặt, chia sẻ và quản lý máy in.
- Tạo các account người dùng.
- Sửa đổi và xoá account người dùng mà họ đã tạo.
- Thiết lập đồng hồ bên trong máy tính.
3. Administrators
Nhóm Administrators cung cấp cho người dùng khả năng kiểm soát toàn bộ hệ thống.
Bổ sung thêm vào tất cả các quyền cung cấp cho Power Users, một người dùng login vào
Windows NT như là thành viên của nhóm Administrators có thể thực hiện các công việc sau đây:
- Sửa đổi, và xoá account người dùng và nhóm được tạo bởi những người khác.
- Gán account người dùng cho các nhóm mặc định.
- Ghi đè lên khoá trạm làm việc.
- Đặt khuôn dạng hoặc đặt partition cho một đĩa cứng.
- Gán quyền người dùng.
- Kiểm soát ghi nhật ký kiểm tra hệ thống.
- Lưu trữ và khôi phục toàn bộ hệ thống.
- Gỡ rối hệ thống.
- Lấy quyền chủ sở hữu của các file và các đối tượng khác.
4. Thao tác viên dự phòng (Backup Operators)
Nhóm Backup Operators cho phép người dùng lưu trữ và khôi phục các file trên hệ thống.
Bất kỳ người sử dụng nào cũng có thể lưu trữ và khôi phục các file mà họ có quyền thâm nhập
tương ứng. Nhóm Backup Operators phủ lên các quyền đó và cho phép người dùng có thể lưu
trữ bất kỳ và tất cả các file trên đĩa, không xét đến quyền thâm nhập file.
5. Guest
Trong quá trình cài đặt, Windows NT thiết lập account Guest mặc định. Account này cho phép
bất kỳ ai không co account trong hệ thống khả năng login vào máy tính học nối vào thông qua
mạng.
Cần thiết phải có account Guest vì nhiều kiểu phần mềm mạng truy nhập máy tính thông qua
account Guest.
Bất kỳ ai trên một mạng có thể nối tới các tài nguyên chia sẻ trên máy tính của bạn thông qua
account Guest, do vậy bạn cần gán quyền người dùng trên các tài nguyên chia sẻ của bạn để

kiểm soát cách người dùng có thể thâm nhập các tài nguyên đó.
Để một người dùng nào truy nhập vào mạng như một người dùng với account Guest thì đưa
người dùng đó vào nhóm Guest.
V. Thiết lập các nhóm
1. Tạo các nhóm cục bộ (Local Groups)
Đầu tiên bạn phải tạo một nhóm cục bộ trước khi gán quyền tại trạm làm việc của nó. Những
quyền này có thể cho phép chẳng hạn như truy nhập tới các file hoặc máy in như được thiết lập
trên File Manager (Windows Exploror đối với Windows NT 4.0)và Print Manager một cách tương
ứng.
2. Để thêm một nhóm cục bộ
- Chọn một hoặc nhiều account người dùng.
- Từ menu
User
, chọn
New Local Group.
3. Bổ sung các thành viên mới
a. Từ hộp hội thoại
New Local Group
, chọn nút
Add
. Hộp hội thoại
Add
liệt kê tất cả các
account của người sử dụng trong máy tính.
b. Tuỳ ý chọn một tên domain trong hộp
List Names In
. Chọn domain xong, account người sử
dụng và nhóm tổng thể (global groups) của domain sẽ được liệt kê.
c. Chọn một vài account người dùng và nhóm global từ hộp
Name

.
4. Chép một nhóm tổng thể (global groups)
a. Chọn một nhóm trong danh sách các nhóm.
b. Chọn menu
User
, chọn
Copy
.
Trong hộp hội thoại
New Local Group
, tên nhóm có màu trắng. Thông tin mô tả và các account
các thành viên nhóm được sao chép.
5. Xoá nhóm
Xoá nhóm cục bộ chỉ có nghĩa là bỏ nhóm cục bộ đó thôi — Nó không xoá bất kỳ account người
dùng hay nhóm tổng thể mà nó là thành viên của nhóm cục bộ bị xoá. Khi xoá một nhóm sẽ có
một cảnh báo chỉ cho người sử dụng rằng nếu tạo nhóm mới có cùng tên với tên nhóm xoá sẽ
không phục hồi các quyền hạn trước kia.
Khi một nhóm được xoá và bạn lại tạo một nhóm mới có tên giống tên nhóm vừa xoá, nhóm mới
sẽ không có bất cứ quyền truy nhập gì như lúc trước đối với nhóm bị xoá vì nhóm mới sẽ có một
SID. Tất cả các quyền, các quyền gán và các thành viên của nhóm mới cần được thiết lập theo
cách thức thông thường.

VI. Account người dùng mặc định
Ba account mặc định, Administrator, Guest và một người dùng khởi đầu được tạo khi Windows
NT được cài đặt lần đầu tiên. Mỗi account mặc định có một số quyền hạn nhất định trên hệ
thống.
1. Administrator
Account Administrator được tạo trong quá trình cài đặt hệ thống. Yêu cầu một mật khẩu ban đầu
khi cài đặt. Đặc điểm của account này là có thể đổi tên nhưng không thể xoá được.
Administrator có quyền cao nhất trên toàn bộ hoạt động và an toàn của hệ thống. Administrator

thậm chí có quyền kiểm soát các file của các người dùng khác. Bất kỳ ai biết tên sử dụng và mật
khẩu của Administrator có quyền cao nhất về quản trị toàn bộ hệ thống .
Nếu mật khẩu bị quên hoặc không biết thì cách duy nhất là cài đặt lại Windows NT hoặc sử dụng
sử dụng đĩa Sửa chữa Khẩn cấp (Emergency Repair disk) được tạo trong quá trình cài đặt. Để
tránh tình trạng account Administrator trở nên không hữu ích hoặc không tích cực, các người
dùng bổ sung có thể được gán các quyền của Administrator.
Một người dùng đăng ký sử dụng dưới account Administrator (hoặc một account thuộc về nhóm
Administrator) có thể thực hiện các công việc sau:
- Sửa hoặc xoá các account người dùng hoặc nhóm
- Bổ sung hoặc loại bỏ người dùng khỏi nhóm
- Gán các quyền đặc biệt cho nhóm
- Sửa đổi phần mềm hệ thống điều hành
- Cài đặt hoặc nâng cấp phần mềm ứng dụng và điều khiển thiết bị
- Lên khuôn dạng đĩa cứng
- Thiết lập máy tính để quản trị mạng từ xa
2. Người sử dụng ban đầu
Trong quá trình cài đặt một account người dùng ban đầu được tạo cho cá nhân cài đặt Windows
NT. Account này cũng được cấp quyền như Administrator. Tên của account này được thiết lập
trong quá trình cài đặt.
3. Guest
Account Guest được sử dụng một cách mặc định cho bất kỳ ai sử dụng mà không có account
người dùng hoặc Administrator. Account Guest có rất bị hạn chế trong việc truy nhập vào tài
nguyên của máy tính.
Guest bị từ chối truy nhập vào bất cứ một thư mục hoặc file nào được sử dụng cá nhân. Người
quản trị có trách nhiệm thiết lập bảo mật thư mục và file để hạn chế Guest không được truy
nhập các thư mục và file riêng trên hệ thống. Nếu các quyền của Guest được cho phép trên hệ
thống, người quản trị cần thiết lập một thư mục chung để lưu các file mà Guest có thể truy nhập
được.
Trong một số trường hợp, máy chủ cần được giới hạn triệt để sao cho chỉ có một số người dùng
nhất định có thể truy nhập vào đó. Để hạn chế Guest ngay cả trong việc sử dụng các tài nguyên

hạn chế bạn có thể hoặc là không cho phép (disable) account Guest hoặc gán một mật khẩu cho
account Guest.

VII. Thiết lập các account người dùng
Tiện ích User Manager trong nhóm Adminitrative Tools được sử dụng để thiết lập các account
người dùng.