Mcsa 2012 local user and group

1. MCSA 2012 Local User and Group
Ở bài này chúng ta sẽ tìm hiểu các vấn đề về User và Group.
Yêu cầu:
2 máy ảo chạy server 2012
2012may1: IP: 192.168.1.100/24 (IP thế nào tùy các bạn chọn).
2012may2: IP: 192.168.1.101/24.
máy ảo
Tắt firewall (Run -> firewall.cpl), 2 máy ping lẫn nhau, đảm bảo
thông suốt.
User account: là một bộ thông tin, dùng để định danh người dùng
trên hệ thống.
Từ sau bản MS-Dos thì Microsoft ra đời các hệ điều hành (HDH)
Windows. Ta có thể chia thành 2 nhóm như sau:
Nhóm 1: Win 95, 98, me.
Nhóm 2: Win NT, 2000, XP, 2003, 2008, 7, 2008R2 v.v .
Ở nhóm 1: Khi cài HDH thì máy tính làm việc ở mode: simple
user. Simple user: máy tính chỉ phục vụ cho một người dùng,
không có sự phân biệt giữa các người dùng khác nhau. bất kì ai
ngồi trên máy làm việc thì được toàn quyền trên máy tính.
Vấn đề: muốn bảo vệ dữ liệu thì chỉ còn mỗi việc không cho ai
ngồi trên máy.
Nhóm 2: Các máy tính hoạt động ở mode: Multiple User, phục vụ
cho nhiều người dùng và mỗi người dùng có một không gian làm
việc riêng ( Profile).
Khi cài đặt HDH Windows thì mặc định có 2 tài khoản luôn tồn
tại: administrator và guest đều là Built-in account.
Cách tạo User Account: start -> run : lusrmgr.msc (giao diện quản
lý user và group)

2. lusrmgr
User account gồm 2 thông tin quan trọng là:
– User name: không phân biệt hoa thường.
– Password: mặc định windows server bắt ta đặt password phức
tạp.
Password được xem là an toàn (phức tạp) khi:
– tối thiểu 8 kí tự.
– password ít ý nghĩa.
– xuất hiện 3 trong 4 nhóm.
4 nhóm gồm:
– a -> z.
– A -> Z.
– 0 -> 9.
– Kí tự ASCII: @, #, &, v.v ( muốn biết các kí tự ASCII vào: start
-> All Programs -> System tools -> Character Map ).
Ví dụ: TuH0cm@ng123
Password của các tài khoản sẽ được lưu trong file SAM với đường
dẫn: C:windowssystem32config.
Khi bấm Ctrl Alt Del thì xuất hiện:

3. Ctrl Alt Del
Clock: khóa màn hình lại, các ứng dụng vẫn còn hoạt động.
Switch user: log on (đăng nhập) bằng tài khoản khác nhưng các
ứng dụng vẫn không bị đóng ở tài khoản hiện tại.
Sign out: kết thúc phiên làm việc.
Lần đầu tiên khi user Teo log-on, thì hệ thống tạo cho user môi
trường làm việc riêng (user Profile).
User Profile: bao gồm
– Dữ liệu hay các thiết lập trên desktop ( đổi hình nền v.v).
– Các lưu trữ trong Document.
– Application data.
– v.v (sẽ tìm hiểu kĩ ở bài User Profile).
Khi log on user Ti thì Windows sẽ tạo cho user Ti profile riêng,
user Ti không thể xâm nhập vào môi trường làm việc của Teo.
Thuộc tính cơ bản của User Account: Properties tài khoản

4. Properties
Tab General
General

5. – User must change password at next log on: người dùng phải
đổi password ở lần đăng nhập kế tiếp. Khi user đổi pass rồi thì ”
mất dấu check” ở thuộc tính này.
+ Dùng để cho user tự đặt mật khẩu khi mới tạo account.
+ Nếu trong quá trình sử dụng, ta thấy tài khoản này đang bị dò
password thì ta sẽ yêu cầu đổi pass (hoặc user tự bấm Ctrl + Alt +
Del để đổi pass).
– User cannot change password: người dùng không thể đổi
password.
+ Dùng khi có các tài khoản dùng chung cho nhiều người.
– Password nerver expired: password không bao giờ hết hạn,
nếu không check thì mặc định password user chỉ có giá trị trong 42
ngày. Sau 42 ngày bắt buộc người dùng đổi pass.
+ Dùng cho các tài khoản tạo ra nhằm mục đích khai báo cho các
tác vụ trên hệ thống (vd: backup phải khai báo tài khoản có quyền
backup, mà chương trình backup thì chạy liên tục, khi đến 42 ngày
thì nó dừng tài khoản này => backup không thể thực hiện )
– Account is disabled: tài khoản không thể log on hay truy xuất
các tài nguyên trên hệ thống.
+ Dùng khi có các tài khoản không sử dụng nữa, ta không nên xóa
mà cứ disable
Tab Member Of

6. Member Of
Mặc định khi user được tạo ra thì nó là thành viên của 1 group.
Group là đối tượng trong hệ thống (system object), dùng để chứa
user account hoặc group account khác
Chức năng phục vụ cho công tác quản lý, phân quyền (thay vì phân
quyền chi tiết từng user thì ta dùng group cho nhanh)

7. Group mặc định
Đây là các Group mặc định có sẵn trên windows, dựa vào các chức
năng mà ta có các group khác nhau, có 2 nhóm
– nhóm 1 : có chức năng quản lý hệ thống, vd: group
Administrators ( tạo user, chỉnh giờ, tắt máy v.v)
– nhóm 2: nhóm được phép truy cập, sử dụng tài nguyên, vd:
group Users.
Ta cũng có thể tạo group riêng: ( phải chuột -> New Group)

8. Group
muốn add user, ta bấm Add.
User thuộc group nào thì sẽ có quyền tương ứng với group đó.
Truy suất tài nguyên trong Lan:
Các máy tính trong mạng Workgroup gọi là local computer, user
thuộc local computer (hay còn gọi là local user) chỉ được phép log-
on hay sử dụng tài nguyên trên chính máy đó ( ứng dụng, máy in
v.v), không thể dùng để truy cập tài nguyên ở máy khác. User
thuộc 2012may1 muốn truy xuất tài nguyên của 2012may2 phải
dùng tài khoản có trên 2012may2.
Sử dụng cú pháp:
Network Access: <IP> hoặc <computer name>
vd: 192.168.1.100

9. Network Access
Khi thực hiện Network Access giữa 2 máy tính thì diễn ra các
bước sau:
Bước 1: Nếu tài khoản hiện tại đang đăng nhập (trên máy nguồn)
có cùng user name, password với máy đích thì được phép truy cập
tài nguyên, nếu không đúng thì qua bước 2.
Bước 2: Yêu cầu tài khoản Guest, nếu máy đích có tài khoản guest
(mặc định bị disable) thì được phép, không có thì chuyển qua
bước 3.
Bước 3: Hiển thị hộp thoại đăng nhập user name, password.
Nếu trong máy tính có nhiều tài khoản, ta muốn chỉ định 1 tài
khoản bất kì, khi máy tính khởi động là tự động log-on tài
khoản đó, làm như sau :
Ta dùng quyền admin để cấu hình
Run (phím Windows + R) -> control userpasswords2

10. User Accounts
Ta thấy có dấu check: User must enter a user name and password
to use this computer: người dùng phải điền username, pass để sử
dụng.
Bỏ check -> apply : xuất hiện hộp thoại, ta chỉ định tài khoản bất
kì để nó đăng nhập tự động. Sau đó Restart để kiểm tra.
Nếu User quên pass mà không còn cách nào để đăng nhập, ta
phải dùng set password

11. Set Password
Xuất hiện hộp thoại cảnh báo sẽ bị mất dữ liệu
Vậy tại sao khi reset password lại có thể bị mất dữ liệu ?
Đối với những dữ liệu được mã hóa (sử dụng password để mã hóa)
vì vậy nếu có password mới thì không thể giải mã được các dữ liệu
đã được mã hóa trước đó. Còn khi ta đổi 1 cách hợp lệ (Ctrl + Alt
+ Del -> Change Password) thì sẽ có quá trình chuyển giao giữa
pass mới và pass cũ => không mất dữ liệu.
Các lệnh liên quan tới User và Group
– Thêm user: net user <user name cần tạo> <password> /add
vd: net user hoang 123 /add
– Xóa user: net user <user name cần xóa> /del
–Reset password: net user <user name> <password mới>

12. – Liệt kê các tài khoản: net user
– Xem thông tin chi tiết về user: net user <user name>
Net User
Ví dụ về các sự cố:
Vấn đề gặp phải khi Reset Password:
User Teo: tạo file teo.txt, điền nội dung bất kì vào file. Properties
teo.txt, chọn Advance. Check vào Encrypt contents to secure
data ( mã hóa dữ liệu, chỉ có owner mới đọc được, ngay cả admin
cũng không thể) -> OK
Sau đó reset password của user Teo: truy cập vào teo.txt lập tức
bị Access is denied.

13. Access is denied
Đổi lại pass cũ: đọc file bình thường.
Vấn đề gặp phải khi Administrator bị disable:
Account Administrator bị user Teo phá và disable ( đã add Teo vào
nhóm Administrators). Vậy làm sao để Administrator có thể tự
enable lại.
Trường hợp này, ta phải sử dụng giao diện Safe Mode ( các bạn tự
tìm hiểu giao diện này). Ở giao diện này tài khoản Administrator
dù bị disable vẫn có thể đăng nhập .Thử check vào password never
expires.

14. Safe Mode
Restart và thấy Administrator có thể đăng nhập.
Mình xin kết thúc phần Local User and Group tại đây