2. Mục đích
Quản trị Users và Groups trong Workgroup
Quản trị Users và Groups trong Domain
3. Quản trị Users, Groups trong
Workgroup
Khái niệm Users và Groups
Quản trị Users
Quản trị Groups
4. Khái niệm Users
User Accounts:Tài khoản người dùng
Cho phép user logon trên mạng hay máy
tính cục bộ
Cho phép truy suất tài nguyên mạng hay
cục bộ
User name và password
Quy ước đặt tên:20 ký tự hoa hoặc thường,
kt số
Password:8-128 ký tự
5. User có sẵn(Built in user)
Administrator Account
Truy suất tất cả các tài
nguyên mạng
Toàn quyền trên
domain
Guest Account
Truy suất tạm thời tài
nguyên
Mặc nhiên Disenabled
6. Group Account
Tập hợp những tài khoản người dùng(User), giúp
phân quyền truy xuất tài nguyên cho nhiều users
cùng lúc
12. Groups trong workgroup
Không là thành viên của group khác
Thành viên chỉ là users cục bộ
Chỉ được truy xuất tài nguyên trên máy tạo ra
13. Quản trị groups
Built-in local group
Administrators:Quản
trị toàn hệ thống
Users:Tài khoản
người dùng
Backup Operations:
Sao lưu và phục hồi
dữ liệu
Guests: Truy xuất tài
nguyên tạm thời
Power Users: Tạo,
hiệu chỉnh User
18. Quản lý Users và Groups
Trong Domain
Tài khoản Users và Groups tạo ra nhằm
cho phép truy xuất tài nguyên trong
Domain.
19. Tài khoản users trong domain
Tài khoản chính là tên logon vào domain(logon
name) và truy xuất tài nguyên
User Principal Name(UPN)
Security Principal Name(SPN), Suffix DNS
@ Symbol
Ví dụ: tannv@x.hcmut.edu.vn
20. Các đặc tính tài khoản User
Công cụ chính để tạo và quản trị tài khoản là
Active Directory Users and Computers
Active Directory dễ mở rộng nên có thể có
các tab được thêm vào các trang đặc tính
(property page)
Các đặc tính quan trọng có thể thiết lập
gồm:
General
Address
Account
Profile
21. Chứng thực User
Tiến trình nhận dạng một user hợp pháp
Dùng để chấp nhận hoặc từ chối quyền
truy cập vào tài nguyên mạng
Từ 1 hệ điều hành client
Tên, mật khẩu, tài nguyên y/c
Trong môi trường Active Directory
Domain controller chứng thực
Trong 1 workgroup
SAM cục bộ chứng thực
24. Thiết lập Home Directory cho
Domain User
Để quản trị dữ liệu của
User một cách tập trung
Thực hiện
Tạo home directory trên
máy server cho từng user
Chia sẻ và thiết lập quyền
trên home directory ứng
với mỗi user riêng
Thiết lập đường dẫn chỉ
đến home directory cho
mỗi user trên server
26. User Profiles
Một tập hợp các thiết lập đặc trưng cho
một user
Theo mặc nhiên được lưu giữ cục bộ
Không đi theo user đăng nhập trên các máy
tính khác
Có thể tạo 1 roaming profile
Đi theo user đăng nhập trên các máy tính
khác
Administrator có thể tạo 1 mandatory
profile
User không thể thay đổi nó
28. Local Profiles
Các profile mới được tạo từ thư mục
Default User profile
User có thể thay đổi local profile và
những thay đổi được lưu giữ lại chỉ
cho user đó
Administrator có thể quản lý nhiều
phần tử của profile
Change Type
Delete
Copy To
29. Roaming Profiles
Roaming profiles
Cho phép profile lưu trên 1 server trung
tâm và đi theo user
Hỗ trợ thuận lợi cho việc định vị tập trung
(có ích với thao tác backup)
Thay đổi 1 profile từ local roaming
nên cẩn thận sao lưu trước
30. Các User Template
Một tài khoản user được cấu hình sẵn
với các thiết lập phổ biến
Có thể được sao chép để tạo các tài
khoản mới
Các tài khoản mới sau đó sẽ được cấu
hình với các thiết lập riêng
32. Khóa tài khoản
Ngưỡng khóa tài khoản
Số lần đăng nhập lỗi
Ngăn cản hacker có thể
đoán mật khẩu
Tài khoản có thể vượt qua số
lần đăng nhập:
Tại màn hình đăng nhập
Tại màn hình bảo vệ
Truy cập vào tài nguyên
của mạng
33. Tùy chọn cho tài khoản
Tùy chọn tài
Đặc tả
khoản
User must change
Người dùng phải thay đổi password
password at next
lần tiếp theo họ đăng nhập
logon
User cannot Người dùng không có quyền thay
change password đổi password của họ
Password never Password người dùng không bao
expires giờ hết hạn
Account is Người dùng không thể đăng nhập
disabled vào với account này
34. Thiết lập lại password cho
người dùng
Khi người dùng quên mật khẩu
35. Thiết lập lại account
Máy tính không thể truy cập vào miền
Password cần được đồng bộ
37. (tt)
Bộ lọc truy vấn:
Object type
Location
General values associated with the
object, such as name and description
38. Các ứng dụng dòng lệnh
Một số administrator thích làm việc với
dòng lệnh
có thể được dùng để tự động tạo hoặc
quản lý các tài khoản rất linh hoạt
39. DSADD
Cho phép các kiểu đối tượng được thêm
vào directory
Các tài khoản Computers, quota, contact,
User...
Cú pháp cho tài khoản user là
DSADD USER <tên phân biệt> <các khóa
chuyển>
các khóa chuyển gồm -pwd(password)…
Ví dụ
dsadd user "cn=guyt, ou=guyds, dc=cp, dc=com"
40. DSMOD
Cho phép các đối tượng được chỉnh sửa
từ dòng lệnh
Các tài khoản Computer, User, Contact,
Quota, OU
Cú pháp
DSMOD USER <tên phân biệt> <các khóa
chuyển>
Ví dụ: đổi password của user guyt
dsmod user "cn=guyt, ou=guyds, dc=cp, dc=com" -pwd a1yC24kg
41. DSQUERY
Cho phép các kiểu đối tượng được truy
vấn từ dòng lệnh
Hỗ trợ dùng ký tự đại diện
Kết xuất có thể điều hướng lại cho lệnh
khác
Ví dụ: Trà về tài khoản có tên cuong
DSQUERY USER -name cuong
42. DSMOVE
Cho phép các đối tượng được di chiển từ
vị trí hiện hành sang nơi khác
Cho phép nhiều kiểu đối tượng khác nhau
được đổi tên
Chỉ cho phép di chuyển trong cùng một
miền
Ví dụ: di chuyển một tài khoản user vào
OU "marketing"
dsmove
"cn=paul,cn=users,dc=test,dc=com“
-newparent
“ou=marketing,dc=test,dc=com"
43. DSRM
Cho phép các đối tượng được xóa từ
directory
Có thể xóa từng đối tượng hoặc toàn bộ
cây
Ví dụ: Xóa maketing OU và tất cả đối
tượng trong đó
dsrm -subtree -noprompt -c
"ou=marketing,dc=test,dc=com"
44. Sự cố với tài khoản user và
các vấn đề chứng thực
Bình thường tạo và cấu hình tài khoản
rất dễ dàng
Các vấn đề nếu có thường liên quan
Cấu hình tài khoản
Các thiết lập chính sách
45. Chính sách mật khẩu
Các thiết lập cấu hình
Lịch sử và việc sử dụng lại mật khẩu
Thời gian tồn tại tối đa
Thời gian tồn tại tối thiểu
Độ dài tối thiểu
Yêu cầu độ phức tạp
Chính sách mã hóa
46. Chính sách kiểm toán
Kiểm toán sử kiện tài khoản đăng nhập
Cấu hình trong đối tượng group policy liên
kết với DC hay OU
Mặc nhiên là chỉ với các đăng nhập
thành công
Sự kiện có thể xem trong báo cáo
security Log
Có thể chọn để sửa chữa các đăng nhập
lỗi
Có ích cho việc giải quyết sự cố
Các mã cung cấp thông tin về kiểu lỗi
47. Giải quyết các sự cố đăng
nhập
Một số vấn đề và cách sửa
Tên user hoặc mật khẩu sai
Tài khoản bị khóa
Tại khoản bị cấm
Các giới hạn giờ đăng nhập
Các giới hạn trạm làm việc
Domain Controller
48. Tài khoản domain group
Group là tập hợp nhiều tài khoản user giúp phân
quyền truy xuất tài nguyên cho nhiều user
49. Tài khoản domain group
User có thể là thành viên của nhiều group và group
cũng có thể là thành viên của nhiều group khác
50. Local group
Tập hợp tài khoản trên 1 máy tính
Sử dùng local group để phân quyền cho tài
nguyên trên máy tính cục bộ
Hướng dẫn sử dụng local group
Nên sử dụng local group trên máy mà mình tạo
Sử dụng local group trên các máy chạy window XP
hay là máy chủ thanh viên chạy window server
2003. Local group không thể tạo trên máy quản lý
miền.
Sử dụng local group cho máy không thuộc domain
Thành viên local group chỉ có thể là user của máy
tính mà bạn tạo local group.
51. Tài khoản domain group
Tất cả group trong domain phải được tạo trên DC
Thành viên là những group hay là users trong các
domains
52. Kiểu group trong domain
Group bảo mật(Security
groups):Có thể ấn định
quyền truy xuất tài
nguyên
Group phân
bố(Distribution group):
dùng cho các dịch
vụ(mail)
53. Phạm vi nhóm
Group toàn
cục(Global group):
Phân quyền truy xuất
bất cứ tài nguyên
nào trong forest
Thành viên chỉ là
những user hay
group từ domain
được nó tạo
54. Phạm vi group
Group cục bộ
miền(Domain local)
Có thể truy xuất tài
nguyên trong
domain tạo ra nó
Thành viên là bất cứ
domain nào trong
forest
55. (tt)
Group đa
năng(Universal)
Cho phép truy xuất
đến bất kỳ tài
nguyên nào trong
forest
Thành viên là user,
group bất kỳ domain
nào trong forest
56. Default Group
Có 3 danh mục nhóm mặc định
Nhóm trong mục Built-in
Domain Local Group
Thường gán tập quyền co sẵn cho người dùng phục vụ
mục đích quản trị
Administrators: Thành viên nhóm này có toàn quyền truy
cập máy tính, DC, và có thể toàn quyền truy cập vào
domain nếu là thành viên cua Domain Admin Group
Nhóm trong thư mục users
Thường dùng gán quyền cho người chịu trách nhiệm
quản lý miền.
Built-in local group
Các máy server thành viên, máy window XP đều có mục
này
Cung cấp quyền quản lý trên máy cục bộ
57. Tạo các đối tượng group
Các đối tượng group lưu trữ trong csdl
AD
Nhiều công cụ khác nhau có thể dùng để
tạo và quản lý group
Active Directory User and Computer
DSADD, DSMOD, DSQUERY….
58. Active Directory User and
Computer
Công cụ chính
Tạo các tài khoản group
Có thể dùng để cấu hình các thuộc tính của
các tài khoản group
Các group có thể tạo trong bất kỳ container
có sẵn nào, tại gốc của đối tượng domain
hay trong các OU tùy ý
Phạm vi của group được xác định bằng
chức năng của domain được cấu hình như
thế nào
61. Nâng cấp chức năng miền
In the console tree, right-click the
domain for which you want to raise
functionality, and then click Raise
Domain Functional Level.
In Select an available domain functional
level, do one of the following:
To raise the domain functional level to
Windows 2000 native, click Windows 2000
native, and then click Raise.
To raise domain functional level to Windows
Server 2003, click Windows Server 2003,
and then click Raise.
64. DSADD group
Dùng tạo tài khoản group mới
Cú pháp
dsadd group dn switches
switche gồm -secgrp,-scope, -memberof,
-member
-scope g Global group
-scope L Domain Local group
-secgrp yes Security group (not
distribution)
dsadd group "cn=L Epson, ou=guyds, dc=cp, dc=com" -secgrp yes -scope L
65. DSMOD group
Sửa đổi các thông tin liên quan đến
nhóm
Cú pháp
dsmod group DN -switches
switches: -desc,-rmmbr,-addmbr
dsmod group "CN=US INFO,OU=Distribution Lists,DC=microsoft,DC=com"
-addmbr "CN=John Smith,CN=Users,DC=microsoft,DC=com"
66. Dsqrery group
Truy vấn các thông tin liên quan đến
nhóm
Cú pháp
dsquery group query
Hỗ trợ ký tự đại diện (*)
Có thể điều hướng cho các công cụ
dòng lệnh khác
67. Chuyển đổi các kiểu group
Có thể thay đổi group từ kiểu security
thành group kiểu distribution hoặc
ngược lại
Kiểu của group có thể thay đổi nếu mức
chức năng domain là windows 2000
native hay cao hơn
68. Chuyển đổi phạm vi group
Phạm vi group có thể thay đổi được
Mực chức năng của domain ít nhất phải
là window 2000 native
Các thay đổi hỗ trợ
Global -> Universal
Domain Local -> Universal
Universal -> Global
Universal -> Domain Local
69. Sử dụng Nhóm
Để sử dụng nhóm cách hiệu quả thì cần
phải có cách tổ chức nhóm một cách
hợp lý
Nên có một hoạch định trước khi bắt tay
vào tạo nhóm
70. Kế hoạch cho Global và Local
group
Nhóm toàn cục(Global) và cục bộ
miền(domain local) được liệt kê trong
Global catalog, nhưng thành viên của nó
thì không
bằng cách sử dụng nhóm toàn cục hay
nhóm cục bộ có thể tối ưu được hiệu năng
mạng
Một số hướng dẫn
Gán người dùng làm các công việc chung
vào nhóm toàn cục
Trong phòng kế toàn thì thêm tài khoản người
dung chung cho tất cả kế toán vào nhóm global
71. Quản lý các security group
Chiến lược quản lý có thể tóm tắt bằng
các từ A G U DL P
Tạo các user Account(A) và tổ chức chúng
bên trong các Global group
Tùy chọn: Tạo Universal group(U) và đặt các
global group từ bất kỳ domain nào trong các
universal group
tạo các Domain Local Group (DL) và thêm
các group global và universal
Gán quyền Permission(P) cho các domain
local group
72. Một số chính sách khác
Đặt tài khoản người dùng vào domain
local group và cấp quyền cho domain
local group
Cách này không cho phép bạn cấp quyền
cho tái nguyên ngoài miềm
Đặt tải khoản người dùng vào global
group, và gán quyền cho global group
Cách này sẽ phức tạp khi dùng nhiều
domain
73. Xác định thành viên nhóm
Tác vụ quan trọng với các Administrator
để chắc chắn rằng các user là thành viên
của đúng group
1 cách là thông qua member of tab của
trang đặc tính của một tài khoản user
chỉ hiển thị mức đầu tiên của các group
Cách thứ 2 là dùng dsget
74. (tt)
cú pháp
dsget group distinguished name switches
swiches gồm:-members, -member of
cũng có thể dùng dsget user để lấy
thông tin thành viên
Ví dụ
Dsget group “cn=g1,ou=test,dc=ntu,dc=vn”
-members
75. The Members and Member Of
Properties
Group or Team Global Group Domain Local Group
Tom, Jo, and Kim Denver Admins Denver OU Admins
Members Member Of Memb
Members Member Of
Member Of Members Member
N/A Denver Admins ers
Tom, Jo, Denver OU Of
Kim
Tom, Admins
Denver OU Denver N/A
Admins,
Jo, Admins
Kim Vancouver
Admins
Sam, Scott, and Amy Vancouver Admins
Members Member Of Members Member Of
N/A Vancouver Sam, Scott, Denver OU
Admins Amy Admins
78. Tổng kết(user)
Một tài khoản user là một đối tượng
được lưu trữ trong AD
Định nghĩa user và quyền truy cập vào
mạng
Công cụ quản lý
Active Directory User And Computer
DSADD, DSMOD, DSQUERY...
Các user profile dùng để cấu hình và tùy
biến môi trường làm việc
local, roaming, mandatary
79. tt(group)
Các tài khoản group giảm khối lượng công
việc quản trị bằng cách cho phép gán quyền
chung cho nhiều user đồng thời
2 kiểu group
Security group, Distribution group
3 kiểu phạm vi
Global group
Domain local group
Universal group
Các built-in group, user được tạo tự động khi
cài đặt với một số quyền thiết lập trước