Bài giảng Quản lí tài khoản người dùng và nhóm

4/13/2010 1 Bài 3 QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM WINDOWS SERVER 2003 QUẢN TRỊ MẠNG Định nghĩa tài khoản người dùng và tài khoản nhóm
Tài khoản người dùng Trên mạng Windows có hai loại tài khoản người dùng là:  Người dùng cục bộ: Là tài khoản người dùng được tạo ra trên máy tính cục bộ.  Tài khoản người dùng miền: Là tài khoản được tạo ra trên máy điều khiển miền. 4/13/2010 2 Tài khoản người dùng (t.t)  Yêu cầu tài khoản người dùng • Username: dài 1-20 ký tự (trên Windows Server 2003, username có thể dài 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự ) • Username là một chuổi duy nhất • Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? ” • Username có thể chứa các ký tự đặc biệt: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới. Định nghĩa tài khoản người dùng và tài khoản nhóm (t.t)
Tài khoản nhóm Là đối tượng đại diện cho một nhóm user  Nhóm bảo mật (Security group) • Nhóm bảo mật được dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập (permission). • Mỗi nhóm bảo mật có một SID riêng. • Có 4 loại nhóm bảo mật: local (nhóm cục bộ), domain local (nhóm cục bộ miền), global (nhóm toàn cục hay nhóm toàn mạng) và universal (nhóm phổ quát).  Nhóm phân phối (distribution group). • Nhóm phân phối là nhóm phi bảo mật, không có SID và không xuất hiện trong ACL (Access Control List). 4/13/2010 3 Định nghĩa tài khoản người dùng và tài khoản nhóm (t.t)  Nhóm bảo mật (Security group) • Local group là loại nhóm có trên các máy stand-alone Server, member server, Win2K Pro hay WinXP. • Domain local group là loại nhóm cục bộ đặc biệt vì chúng là local group nhưng nằm trên miềm • Global group là loại nhóm nằm trong Active Directory và được tạo trên các Domain Controller. • Universal group là loại nhóm có chức năng giống như global group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp các miền trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau. Tài khoản nhóm (t.t)
Qui tắt gia nhập nhóm  Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong nhóm Machine Local.  Tất cả các nhóm Domain local, Global, Universal đều có thể dặt vào trong chính loại nhóm của mình.  Nhóm Global và Universal có thể đặt vào trong nhóm Domain local.  Nhóm Global có thể đặt vào trong nhóm Universal. 4/13/2010 4 Các tài khoản tạo sẵn
Các tài khoản người dùng tạo sẵn  Administrator  Guest  ILS_Anonymous_User  IUSR_computer-name  IWAM_computer-name  Krbtgt  TSInternetUser Các tài khoản tạo sẵn (t.t)
Tài khoản nhóm Domain Local tạo sẵn  Administrators Nhóm Domain Admins và Enterprise Admins là thành viên mặc định của nhóm  Administrators.  Account Operators  Domain Controllers  Backup Operators  Guests  Print Operator  Server Operators  Users Mặc định mọi người dùng được tạo đều thuộc nhóm này  Replicator  Incoming Forest Trust Builders  Network Configuration Operators  Pre-Windows 2000 Compatible Access  Remote Desktop User  Performace Log Users  Performace Monitor Users 4/13/2010 5 Các tài khoản tạo sẵn (t.t)
Tài khoản nhóm Global tạo sẵn  Domain Admins Thành viên của nhóm này có thể toàn quyền quản trị các máy tính trong miền  Domain Users Mặc định nhóm này là thành viên của nhóm cục bộ Users trên các máy server thành viên và máy trạm  Group Policy Creator Owners  Enterprise Admins  Schema Admins Các tài khoản tạo sẵn (t.t)
Các nhóm tạo sẵn đặc biệt  Interactive  Network  Everyone đại diện cho tất cả mọi người dùng  System  Creator owner đại diện cho những người tạo ra  Authenticated users đại diện cho những người dùng đã được hệ thống xác thực  Anonymous logon  Service  Dialup 4/13/2010 6 Quản lý tài khoản người dùng và nhóm cục bộ
Công cụ quản lý tài khoản người dùng cục bộ  Dùng công cụ Local Users and Groups  Có 2 phương thức truy cập đến công cụ Local Users and Groups • Dùng như một MMC (Microsoft Management Console) snap-in. • Dùng thông qua công cụ Computer Management Quản lý tài khoản người dùng và nhóm cục bộ
Các bước dùng thông qua công cụ Computer Management Right click vào My Computer chọn Manage Trên màn hình Computer Management chọn Local Users and Group chọn Users Right click vào khoảng trống trên màn hình bên phải và chọn New User 4/13/2010 7 Quản lý tài khoản người dùng và nhóm cục bộ  User must change password at next logon: đăng nhập lần đầu vào máy cục bộ người dùng phải đổi password.  User cannot change password: người dùng không được thay đổi password.  Password never expires: Password không bao giờ bị loại bỏ.  Account is disabled: tài khoản sẽ bị cấm truy cập tạm thời Quản lý tài khoản người dùng và nhóm cục bộ  Xóa, sửa tên, thay đổi mật khẩu người dùng chỉ cần chọn chuột phải tương ứng với các mục: Delete, Rename, Set Password 4/13/2010 8 Quản lý tài khoản người dùng và nhóm cục bộ  Đưa user vào trong group  Từ menu người dùng, khi chọn tab Member of chọn group đưa vào Quản lý tài khoản người dùng và nhóm cục bộ
Các bước chèn Local Local Users and Groups snap-in vào trong Vào Start > Run, gõ lệnh MMC -> OK-> Xuất hiện màn hình Console1 4/13/2010 9 Quản lý tài khoản người dùng và nhóm cục bộ
Các bước chèn Local Local Users and Groups snap-in vào trong Vào File > Add/Remove Snap-in >Add Quản lý tài khoản người dùng và nhóm cục bộ
Các bước chèn Local Local Users and Groups snap-in vào trong Trong màn hình Add Standalone Snap-in -> chọn Local users and Groups -> Add 4/13/2010 10 Quản lý tài khoản người dùng và nhóm trên Active Directory
Công cụ quản lý tài khoản người dùng trên Active Directory
Công cụ Active Directory User and Computer
Truy xuất công cụ Active Directory User and Computer thông qua MMC Quản lý tài khoản người dùng và nhóm trên Active Directory
Quản lý tài khoản user trên Active Directory Tạo tài khoản User: tại cửa sổ Active Directory Users and Computers nhấp chuột phải chọn mục User->New->User Nhập thông tin user sau đó Next 4/13/2010 11 Quản lý tài khoản người dùng và nhóm trên Active Directory  Nhập mật khẩu cho User và các lựa chọn: Password phức tạp hơn sao cho thoả 3 trong 4 điều kiện sau:ký tự chữ thường abc...,ký tự chữ hoa ABC...,ký tự số 123...,ký tự đặc biệc như:!@#$%^ ... Quản lý tài khoản người dùng và nhóm trên Active Directory
Cấu hình thuộc tính tài khoản người dùng Để cấu hình các thuộc tính của tài khoản người dùng trên màn hình Active Directory ta nhấp phải chuột vào tài khoản chọn Properties 4/13/2010 12 Quản lý tài khoản người dùng và nhóm trên Active Directory  Tab General, Tab Address, tab Telephones, tab organization: Các thông tin mở rộng của người dùng  Tab Account: Khai báo lại username, quy định giờ logon…  Tab Profile: đường dẫn đến profile của tài khoản người dùng  Profile là một thư mục chứa thông tin về môi trường làm việc Win2k3 cho từng người dùng Quản lý tài khoản người dùng và nhóm trên Active Directory  Tab Member Of: cấu hình tài khoản người dùng là thành viên của nhóm nào. Một tài khoản có thể là thành viên nhiều nhóm và hưởng tất cả các quyền của tất cả các nhóm đó.  Tab Dial-in: cho phép cấu hình quyền truy cập từ xa của người dùng cho kết nối dial-in hoặc VNP 4/13/2010 13 Quản lý tài khoản người dùng và nhóm trên Active Directory  Tạo mới tài khoản nhóm:  Sử dụng công cụ Active Dirctory Users and Computers  Nhấp chuột phải vào mục Users chọn New và chọn Group Quản lý tài khoản người dùng và nhóm trên Active Directory  Thêm thành viên cho nhóm:  Trên màn hình Active Directory Users and Computers nhấp phải vào tên nhóm và chọn Properties. 4/13/2010 14 Quản lý tài khoản người dùng và nhóm trên Active Directory  Thêm thành viên cho nhóm:  Nhấp thẻ Member.  Nhấp nút Add Quản lý tài khoản người dùng và nhóm trên Active Directory  Thêm thành viên cho nhóm:  Chọn các tài khoản muốn là thành viên của nhóm ->OK