Your SlideShare is downloading. ×
0
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Lecture5 userandgroup có ghi chú

352

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
352
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
24
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. QUẢN LÝ USER VÀ GROUP Ngô Văn Công
  • 2. Mục đích Quản trị Users và Groups trong Workgroup Quản trị Users và Groups trong Domain
  • 3. Quản trị Users, Groups trong Workgroup  Khái niệm Users và Groups  Quản trị Users  Quản trị Groups
  • 4. Khái niệm Users User Accounts:Tài khoản người dùng  Cho phép user logon trên mạng hay máy tính cục bộ  Cho phép truy suất tài nguyên mạng hay cục bộ  User name và password  Quy ước đặt tên:20 ký tự hoa hoặc thường, kt số  Password:8-128 ký tự
  • 5. User có sẵn(Built in user) Administrator Account  Truy suất tất cả các tài nguyên mạng  Toàn quyền trên domain Guest Account  Truy suất tạm thời tài nguyên  Mặc nhiên Disenabled
  • 6. Group Account Tập hợp những tài khoản người dùng(User), giúp phân quyền truy xuất tài nguyên cho nhiều users cùng lúc
  • 7. (tt) User có thể là thành viên của nhiều groups
  • 8. Tạo Account
  • 9. (tt) Hiệu chỉnh User
  • 10. Xóa tài khoản
  • 11. Khóa tài khoản
  • 12. Groups trong workgroup Không là thành viên của group khác Thành viên chỉ là users cục bộ Chỉ được truy xuất tài nguyên trên máy tạo ra
  • 13. Quản trị groups Built-in local group  Administrators:Quản trị toàn hệ thống  Users:Tài khoản người dùng  Backup Operations: Sao lưu và phục hồi dữ liệu  Guests: Truy xuất tài nguyên tạm thời  Power Users: Tạo, hiệu chỉnh User
  • 14. Quản trị groups
  • 15. Quản trị groups
  • 16. Đăng nhập máy cục bộ
  • 17. Hộp thoại logon vao local computer
  • 18. Quản lý Users và Groups Trong Domain Tài khoản Users và Groups tạo ra nhằm cho phép truy xuất tài nguyên trong Domain.
  • 19. Tài khoản users trong domain Tài khoản chính là tên logon vào domain(logon name) và truy xuất tài nguyên User Principal Name(UPN)  Security Principal Name(SPN), Suffix DNS  @ Symbol  Ví dụ: tannv@x.hcmut.edu.vn
  • 20. Các đặc tính tài khoản User Công cụ chính để tạo và quản trị tài khoản là Active Directory Users and Computers Active Directory dễ mở rộng nên có thể có các tab được thêm vào các trang đặc tính (property page) Các đặc tính quan trọng có thể thiết lập gồm:  General  Address  Account  Profile
  • 21. Chứng thực User Tiến trình nhận dạng một user hợp pháp Dùng để chấp nhận hoặc từ chối quyền truy cập vào tài nguyên mạng Từ 1 hệ điều hành client  Tên, mật khẩu, tài nguyên y/c Trong môi trường Active Directory  Domain controller chứng thực Trong 1 workgroup  SAM cục bộ chứng thực
  • 22. Tạo tài khoản người dùng cho domain user
  • 23. Thiết lập password
  • 24. Thiết lập Home Directory cho Domain User Để quản trị dữ liệu của User một cách tập trung Thực hiện  Tạo home directory trên máy server cho từng user  Chia sẻ và thiết lập quyền trên home directory ứng với mỗi user riêng  Thiết lập đường dẫn chỉ đến home directory cho mỗi user trên server
  • 25. Thiết lập profile
  • 26. User Profiles Một tập hợp các thiết lập đặc trưng cho một user Theo mặc nhiên được lưu giữ cục bộ  Không đi theo user đăng nhập trên các máy tính khác Có thể tạo 1 roaming profile  Đi theo user đăng nhập trên các máy tính khác Administrator có thể tạo 1 mandatory profile  User không thể thay đổi nó
  • 27. User Profile Folders and Contents
  • 28. Local Profiles Các profile mới được tạo từ thư mục Default User profile User có thể thay đổi local profile và những thay đổi được lưu giữ lại chỉ cho user đó Administrator có thể quản lý nhiều phần tử của profile  Change Type  Delete  Copy To
  • 29. Roaming Profiles Roaming profiles  Cho phép profile lưu trên 1 server trung tâm và đi theo user  Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với thao tác backup) Thay đổi 1 profile từ local  roaming nên cẩn thận sao lưu trước
  • 30. Các User Template Một tài khoản user được cấu hình sẵn với các thiết lập phổ biến Có thể được sao chép để tạo các tài khoản mới Các tài khoản mới sau đó sẽ được cấu hình với các thiết lập riêng
  • 31. Kích hoạt và ẩn một tài khoản
  • 32. Khóa tài khoảnNgưỡng khóa tài khoản Số lần đăng nhập lỗi Ngăn cản hacker có thể đoán mật khẩuTài khoản có thể vượt qua số lần đăng nhập: Tại màn hình đăng nhập Tại màn hình bảo vệ Truy cập vào tài nguyên của mạng
  • 33. Tùy chọn cho tài khoản Tùy chọn tài Đặc tả khoảnUser must change Người dùng phải thay đổi passwordpassword at next lần tiếp theo họ đăng nhậplogonUser cannot Người dùng không có quyền thaychange password đổi password của họPassword never Password người dùng không baoexpires giờ hết hạnAccount is Người dùng không thể đăng nhậpdisabled vào với account này
  • 34. Thiết lập lại password cho người dùng  Khi người dùng quên mật khẩu
  • 35. Thiết lập lại account Máy tính không thể truy cập vào miền Password cần được đồng bộ
  • 36. Tìm kiếm user, account
  • 37. (tt)Bộ lọc truy vấn: Object type Location General values associated with the object, such as name and description
  • 38. Các ứng dụng dòng lệnh Một số administrator thích làm việc với dòng lệnh có thể được dùng để tự động tạo hoặc quản lý các tài khoản rất linh hoạt
  • 39. DSADD Cho phép các kiểu đối tượng được thêm vào directory  Các tài khoản Computers, quota, contact, User... Cú pháp cho tài khoản user là  DSADD USER <tên phân biệt> <các khóa chuyển>  các khóa chuyển gồm -pwd(password)…  Ví dụ dsadd user "cn=guyt, ou=guyds, dc=cp, dc=com"
  • 40. DSMOD Cho phép các đối tượng được chỉnh sửa từ dòng lệnh  Các tài khoản Computer, User, Contact, Quota, OU Cú pháp  DSMOD USER <tên phân biệt> <các khóa chuyển>  Ví dụ: đổi password của user guyt dsmod user "cn=guyt, ou=guyds, dc=cp, dc=com" -pwd a1yC24kg
  • 41. DSQUERY Cho phép các kiểu đối tượng được truy vấn từ dòng lệnh Hỗ trợ dùng ký tự đại diện Kết xuất có thể điều hướng lại cho lệnh khác Ví dụ: Trà về tài khoản có tên cuong  DSQUERY USER -name cuong
  • 42. DSMOVE Cho phép các đối tượng được di chiển từ vị trí hiện hành sang nơi khác Cho phép nhiều kiểu đối tượng khác nhau được đổi tên Chỉ cho phép di chuyển trong cùng một miền Ví dụ: di chuyển một tài khoản user vào OU "marketing" dsmove "cn=paul,cn=users,dc=test,dc=com“ -newparent “ou=marketing,dc=test,dc=com"
  • 43. DSRM Cho phép các đối tượng được xóa từ directory Có thể xóa từng đối tượng hoặc toàn bộ cây Ví dụ: Xóa maketing OU và tất cả đối tượng trong đó  dsrm -subtree -noprompt -c "ou=marketing,dc=test,dc=com"
  • 44. Sự cố với tài khoản user và các vấn đề chứng thực Bình thường tạo và cấu hình tài khoản rất dễ dàng Các vấn đề nếu có thường liên quan  Cấu hình tài khoản  Các thiết lập chính sách
  • 45. Chính sách mật khẩu Các thiết lập cấu hình  Lịch sử và việc sử dụng lại mật khẩu  Thời gian tồn tại tối đa  Thời gian tồn tại tối thiểu  Độ dài tối thiểu  Yêu cầu độ phức tạp  Chính sách mã hóa
  • 46. Chính sách kiểm toán Kiểm toán sử kiện tài khoản đăng nhập  Cấu hình trong đối tượng group policy liên kết với DC hay OU Mặc nhiên là chỉ với các đăng nhập thành công Sự kiện có thể xem trong báo cáo security Log Có thể chọn để sửa chữa các đăng nhập lỗi  Có ích cho việc giải quyết sự cố  Các mã cung cấp thông tin về kiểu lỗi
  • 47. Giải quyết các sự cố đăng nhập  Một số vấn đề và cách sửa  Tên user hoặc mật khẩu sai  Tài khoản bị khóa  Tại khoản bị cấm  Các giới hạn giờ đăng nhập  Các giới hạn trạm làm việc  Domain Controller
  • 48. Tài khoản domain group Group là tập hợp nhiều tài khoản user giúp phân quyền truy xuất tài nguyên cho nhiều user
  • 49. Tài khoản domain group User có thể là thành viên của nhiều group và group cũng có thể là thành viên của nhiều group khác
  • 50. Local group Tập hợp tài khoản trên 1 máy tính Sử dùng local group để phân quyền cho tài nguyên trên máy tính cục bộ Hướng dẫn sử dụng local group  Nên sử dụng local group trên máy mà mình tạo  Sử dụng local group trên các máy chạy window XP hay là máy chủ thanh viên chạy window server 2003. Local group không thể tạo trên máy quản lý miền.  Sử dụng local group cho máy không thuộc domain  Thành viên local group chỉ có thể là user của máy tính mà bạn tạo local group.
  • 51. Tài khoản domain group Tất cả group trong domain phải được tạo trên DC Thành viên là những group hay là users trong các domains
  • 52. Kiểu group trong domain Group bảo mật(Security groups):Có thể ấn định quyền truy xuất tài nguyên Group phân bố(Distribution group): dùng cho các dịch vụ(mail)
  • 53. Phạm vi nhóm Group toàn cục(Global group):  Phân quyền truy xuất bất cứ tài nguyên nào trong forest  Thành viên chỉ là những user hay group từ domain được nó tạo
  • 54. Phạm vi group Group cục bộ miền(Domain local)  Có thể truy xuất tài nguyên trong domain tạo ra nó  Thành viên là bất cứ domain nào trong forest
  • 55. (tt) Group đa năng(Universal)  Cho phép truy xuất đến bất kỳ tài nguyên nào trong forest  Thành viên là user, group bất kỳ domain nào trong forest
  • 56. Default Group Có 3 danh mục nhóm mặc định  Nhóm trong mục Built-in  Domain Local Group  Thường gán tập quyền co sẵn cho người dùng phục vụ mục đích quản trị  Administrators: Thành viên nhóm này có toàn quyền truy cập máy tính, DC, và có thể toàn quyền truy cập vào domain nếu là thành viên cua Domain Admin Group  Nhóm trong thư mục users  Thường dùng gán quyền cho người chịu trách nhiệm quản lý miền.  Built-in local group  Các máy server thành viên, máy window XP đều có mục này  Cung cấp quyền quản lý trên máy cục bộ
  • 57. Tạo các đối tượng group Các đối tượng group lưu trữ trong csdl AD Nhiều công cụ khác nhau có thể dùng để tạo và quản lý group  Active Directory User and Computer  DSADD, DSMOD, DSQUERY….
  • 58. Active Directory User and Computer Công cụ chính  Tạo các tài khoản group  Có thể dùng để cấu hình các thuộc tính của các tài khoản group  Các group có thể tạo trong bất kỳ container có sẵn nào, tại gốc của đối tượng domain hay trong các OU tùy ý  Phạm vi của group được xác định bằng chức năng của domain được cấu hình như thế nào
  • 59. Chức năng domain(Domain Functional Level)
  • 60. (tt)
  • 61. Nâng cấp chức năng miền In the console tree, right-click the domain for which you want to raise functionality, and then click Raise Domain Functional Level. In Select an available domain functional level, do one of the following:  To raise the domain functional level to Windows 2000 native, click Windows 2000 native, and then click Raise.  To raise domain functional level to Windows Server 2003, click Windows Server 2003, and then click Raise.
  • 62. Tạo group
  • 63. Thêm thành viên
  • 64. DSADD group Dùng tạo tài khoản group mới Cú pháp  dsadd group dn switches switche gồm -secgrp,-scope, -memberof, -member  -scope g        Global group  -scope L        Domain Local group  -secgrp yes    Security group (not distribution)dsadd group "cn=L Epson, ou=guyds, dc=cp, dc=com" -secgrp yes -scope L
  • 65. DSMOD group  Sửa đổi các thông tin liên quan đến nhóm  Cú pháp  dsmod group DN -switches  switches: -desc,-rmmbr,-addmbrdsmod group "CN=US INFO,OU=Distribution Lists,DC=microsoft,DC=com"-addmbr "CN=John Smith,CN=Users,DC=microsoft,DC=com"
  • 66. Dsqrery group Truy vấn các thông tin liên quan đến nhóm Cú pháp  dsquery group query Hỗ trợ ký tự đại diện (*) Có thể điều hướng cho các công cụ dòng lệnh khác
  • 67. Chuyển đổi các kiểu group Có thể thay đổi group từ kiểu security thành group kiểu distribution hoặc ngược lại Kiểu của group có thể thay đổi nếu mức chức năng domain là windows 2000 native hay cao hơn
  • 68. Chuyển đổi phạm vi group Phạm vi group có thể thay đổi được Mực chức năng của domain ít nhất phải là window 2000 native Các thay đổi hỗ trợ  Global -> Universal  Domain Local -> Universal  Universal -> Global  Universal -> Domain Local
  • 69. Sử dụng Nhóm Để sử dụng nhóm cách hiệu quả thì cần phải có cách tổ chức nhóm một cách hợp lý Nên có một hoạch định trước khi bắt tay vào tạo nhóm
  • 70. Kế hoạch cho Global và Local group Nhóm toàn cục(Global) và cục bộ miền(domain local) được liệt kê trong Global catalog, nhưng thành viên của nó thì không  bằng cách sử dụng nhóm toàn cục hay nhóm cục bộ có thể tối ưu được hiệu năng mạng Một số hướng dẫn  Gán người dùng làm các công việc chung vào nhóm toàn cục  Trong phòng kế toàn thì thêm tài khoản người dung chung cho tất cả kế toán vào nhóm global
  • 71. Quản lý các security group Chiến lược quản lý có thể tóm tắt bằng các từ A G U DL P  Tạo các user Account(A) và tổ chức chúng bên trong các Global group  Tùy chọn: Tạo Universal group(U) và đặt các global group từ bất kỳ domain nào trong các universal group  tạo các Domain Local Group (DL) và thêm các group global và universal  Gán quyền Permission(P) cho các domain local group
  • 72. Một số chính sách khác Đặt tài khoản người dùng vào domain local group và cấp quyền cho domain local group  Cách này không cho phép bạn cấp quyền cho tái nguyên ngoài miềm Đặt tải khoản người dùng vào global group, và gán quyền cho global group  Cách này sẽ phức tạp khi dùng nhiều domain
  • 73. Xác định thành viên nhóm Tác vụ quan trọng với các Administrator để chắc chắn rằng các user là thành viên của đúng group 1 cách là thông qua member of tab của trang đặc tính của một tài khoản user  chỉ hiển thị mức đầu tiên của các group Cách thứ 2 là dùng dsget
  • 74. (tt) cú pháp  dsget group distinguished name switches swiches gồm:-members, -member of cũng có thể dùng dsget user để lấy thông tin thành viên Ví dụ  Dsget group “cn=g1,ou=test,dc=ntu,dc=vn” -members
  • 75. The Members and Member Of Properties Group or Team Global Group Domain Local Group Tom, Jo, and Kim Denver Admins Denver OU AdminsMembers Member Of Memb Members Member Of Member Of Members MemberN/A Denver Admins ers Tom, Jo, Denver OU Of Kim Tom, Admins Denver OU Denver N/A Admins, Jo, Admins Kim Vancouver Admins Sam, Scott, and Amy Vancouver AdminsMembers Member Of Members Member OfN/A Vancouver Sam, Scott, Denver OU Admins Amy Admins
  • 76. Đăng nhập vào domain
  • 77. Hộp thoại logon domain
  • 78. Tổng kết(user) Một tài khoản user là một đối tượng được lưu trữ trong AD  Định nghĩa user và quyền truy cập vào mạng Công cụ quản lý  Active Directory User And Computer  DSADD, DSMOD, DSQUERY... Các user profile dùng để cấu hình và tùy biến môi trường làm việc  local, roaming, mandatary
  • 79. tt(group) Các tài khoản group giảm khối lượng công việc quản trị bằng cách cho phép gán quyền chung cho nhiều user đồng thời 2 kiểu group  Security group, Distribution group 3 kiểu phạm vi  Global group  Domain local group  Universal group Các built-in group, user được tạo tự động khi cài đặt với một số quyền thiết lập trước

×