TRUONG DAI HOC KHOA HOC TU NHIEN KHOA DiEN TU - ViEN THONG Chuong 03 QUAN LY TAI KHOAN NGUOI DUNG VA NHOM Nội dung bài học _- e Tôi khoản người dùng và †ài khoản nhóm « Chứn
Trang 1
TRUONG DAI HOC KHOA HOC TU NHIEN
KHOA DiEN TU - ViEN THONG
Chuong 03
QUAN LY TAI KHOAN NGUOI
DUNG VA NHOM
Nội dung bài học _-
e Tôi khoản người dùng và †ài khoản nhóm
« Chứng thực và kiểm sodt †ruy cập
„ Các Tài khoản †ạo sẵn
« Quản lý tai khoản người dùng và nhóm cục bộ
« Quản lý †ài khoản người dùng vá nhóm †rên
Active Directory
2/47
Định nghĩa tài khoản người dùng và tài khoảm
e Tải khoản người dung
« Tài khoản người dùng cục bệ:
« Được định nghĩa trên máy cục bộ (máy stand-alone, member sever)
« Được luu trong tap tin SAM (Secutity Accounts Manager)
Local User Accounts
3/47
‹ Tài khoản người dùng miền: có
« Dinh nghia trén Active Directory, lru trén file NTDS.DIT
« C6 thé logon trén bat ky mdy tram ndo thudc ving dé truy cap tai nguyén mang
Domain User Accounts
Administrator Guest Help-Assistant
kí User B
User C
User D SQL Server
Trang 2
Tài khoản người dùng (†.†) —
‹ Yêu câu tài khoản người dùng
e Username: dai 1-20 ky tu (trén Windows Server 2003,
username cé thé dai 104 ky tu, tuy nhién khi đăng nhập †ừ các
máy cài hệ điều hành Windows NT 4.0 về †rước thì mặc định chỉ
hiểu 20 ký tự )
« Username là một chuối duy nhất
‹ Username không chứa các ký †ự sau: "/\[]:;:|z,+*?‹>"
« Username cé thể chứa các ký †ự đặc biệt: dấu chấm câu, khoảng
trang, dau gach ngang, dau gach dudi
Định nghĩa tài khoản người dùng và tài khoản nnorn
e Tai khoan nhom
e Nhom bao mat (Security group)
„ Nhóm bảo mật được dùng đẻ cập phát các quyên hệ thông (rights) va quyén †ruy cập (permission)
«e Mỗi nhém bao mat cé mot SID riéng
« Có 4 loại nhóm bảo mật: local (nhóm cục bộ), domain local (nhóm cục bộ miễn), global (nhóm †oàn cục hay nhóm †oàn mạng) và universal (nhóm phô quáT)
« Nhém phan phéi (distribution group)
« Nhóm phân phối là nhóm phi bảo mật, không có STD và không xuất hiện †rong ACL (Access Control List)
6/47
Định nghĩa tài khoản người dùng và tài khoản
nhóm
e Nhom bao mat (Security group)
« Local (nhóm cục bộ): Chỉ có ý nghĩa và phạm vi hoạt động †rên
máy cục bộ
e Domain local (nhóm cục bộ miền):
« Là nhóm cục bộ nhưng năm †rên các Domain Controller
« Một user †rên máy DC này sẽ có mặt trên các DC déng hành với nó
e« Global (nhóm †oàn cục hay nhóm †oàn mang):
« Năm †rong AD được tao ra trên các DC
« Được cấp quyền hệ thống và quyền †ruy cập vượt qua ranh giới của
miên
‹ Universal (nhóm phô quát): Được cấp quyền cho các đối tượng
trén khắp miền †rong rừng
#47
© Qui tat gia nhap nhóm
Tài khoản nhórn (‡.)
e TẤT ca cdc nhém Domain local Domain Locals
Global, Universal déu co the dat
vao trong nhom Machine Local
e Tat cả các nhóm Domain local Global, Universal déu co thé dat
vào †rong chính loại nhóm của mình
« Nhóm Global và Universal có _
thé dat vào trong nhom Domain
local
« Nhóm Global có †hê đặ† vào trong nhom Universal
Machine Locals
Universals
8/47
Trang 3
‹ Các giao thức chứng thực
« Quy †rình chứng thực:
« Đăng nhập Tương †ác: phê chuân những yêu câu đăng nhập của người dùng
« Chứng thực mạng: kiếm †ra chứng thực cụ bộ hay miền
« Kerberos V5: la giao thức chuân Tn†erne† dùng đẻ chứng thực người
dùng và hệ thong
« NT LAN Manoger (NTLM): là giao thức chứng thực chính của
Windows NT
« Secure Socket Layer/Transport Layer Security (SSL/TLS): la co
chế chứng thực chính được dùng khi †ruy cập vào máy phục vụ Web
an toan
Chứng Thực và kiềm soát † uy cap (14)
‹ Số nhận diện bảo mật STD (Security Tden†ifier): mỗi tài
khoản được đặt †rưng mộT con sô nhận dạng tai khoan SID
« STD có dạng chuân *S-1-5-21-D1-D2-D3-RTD“
e D1, D2, D3 : xde dinh domain
« RID : xác định người dùng †rong vùng
« Mục đích của việc sử dung SID:
‹ Dễ dàng thay đôi †ên người dùng mà các quyền hệ thống không thay đôi
« Khi xóa tài khoản thì STD sẽ không còn giá †r¡ nữa
10/47
Chứng Thực và kiểm soᆠtruy cap (tt) _
‹ Kiểm soát †ruy cập của đối tượng
« Người dùng, nhóm, máy tinh, cdc tai nguyén mang đều được định
nghĩa dưới dạng các đôi tượng và được kiêm soát †ruy cập dựa vào bộ
mo ta doi tuong ACE (Access Control Entry)
« Chức năng cua ACE:
« Liệt kê người dùng nhóm nào được †ruy cập đối Tượng
« Định rố quyền †ruy cập của người dùng và nhóm
« Theo dõi các sự kiện xảy ra †rên đối Tượng
« Định rố quyên sỡ hữu đối Tượng
« Mot ACL (Access Control List) chira nhiều ACE, nó là danh sách †ất
cả người dùng và nhóm có quyền †ruy cập đến đói tượng
« Các †ài khoản người dùng †ạo sẵn
« Administrator: todn quyén trén may tinh hiégn tai
« Guest: ding cho khách võng lai không có tai khoan
« ILS_ Anonymous_ User: là †ài khoản dành cho dich vu ILS như caller ID, video conferencing
« IUSR_computer-name: ding trong cdc truy cap dau tén trong dich
vu IIS
« IWAM_ compu†er-name: Dùng cho khởi động các Tiến †rình của các
ứng dụng IIS
‹« Krb†g†: dùng cho dịch vụ †rung †âm phân phối khóa
« TSInternetUser: dung cho Terminal Service
Trang 4
e Tai khoan nhém Domain Local tao san
« Administrators: Todn quyén trén hé thong
« Accoun† Opera†ors: Thêm xóa các †ài khoản người dùng local và tài
khoản nhóm
« Domain Controllers: đăng nhập vào các DC nhưng không có quyền
quan tri cdc chính sách bao mat
« Backup Operators: Luu trir phuc héi tap tin hé thong
« Guests
« Print Operator: quan ly cdc déi tuong may in
« Server Operators: cai dat quan ly may in, quan ly thu muc, dinh
dạng đĩa, thay đối giờ hệ thông
« Tdi khoan nhém Domain Local tao san
« Users
« Replicator: sao chép danh ba trong AD
« Incoming Forest Trust Builders: tao cdc quan hệ tin cap đến các rừng
« Network Configuration Operators: chinh stra cdc théng so TCP/IP
†rên các máy DC
« Pre-Windows 2000 Compatible Access: truy cap cdc †ài khoản người dùng và nhóm hỗ †rợ WinNT cũ
« Remote Desktop User: dang nhập †ừ xa vào DC
« Performace Log Úsers: ghi nhập các giá †r¡ hiệu năng cua DC
« Performace Monitor Users : có khả năng giám sát tir xa cdc DC
14/47
« Tài khoản nhóm Global †ạo săn
« Domain Admins: Thành viên nhóm này có †oàn quyền
quan tri trong mien
- Domain Users: mặc định †ài khoản người dùng thuộc
nhóm này
« Group Policy Creator Owners: nhém này có quyên thay
đôi chính sách nhóm của miên
‹ En†erprise Admins: †hành viền của nhóm này có toàn
quyền †trền †â† cả các miền †rong rừng
‹ Schema Admins: Thành viên của nhóm này có thể
chỉnh sửa câu †rúc †ô chức của AD
« Cdc nhém tao san dac biét: chi xuat hién trén cdc ACL cua cdc tai nguyên và đôi Tượng
« In†eractive: đại diện cho những người dùng đang sử dụng máy tai chỗ
« Ne†work: đại diện cho những người dùng đang két nói đến máy †ính khác
‹ Everyone: đại diện cho †ất cả mọi người
‹ Sys†em: đại diện cho hệ điều hành
« Authenticated users: nhitng nguoi duoc xác †hực
« Anonyrnous logon: những người đang nhập qua FTP
« Dialup: dang nhap hé thong théng qua Dial-up Networking
Trang 5
Quản lý tài khoản người dùng va nhérn cục
bộ
‹ Công cu quan ly tai khoản người dùng cục bộ
e Dùng công cụ Local Users and Groups
„ Có 2 phương thức †ruy cập đến công cụ Local
Users and Groups
« Ding nhu mét MMC (Microsoft Management Console)
snap-in
‹ Dùng thông qua công cu Computer Management
e Các bước chèn Local Local Users and Groups
snap-in vdo trong MMC (Xem Demo)
Quản lý tài khoản người dùng và nhórn cục
« Quản lý †ài khoản người dùng cục bộ
e Tạo Tài khoản mới
« Xoá Tài khoản
« Khoa tai khoản
« Đối †ên tài khoản
‹ Thay doi mat khau (Xem Demo)
e Quan ly tai khoan nhom cuc bé
e Tao tai khoan nhom
« Xod tai khoan nhém
‹ Thêm người dùng vào nhém (Xem Demo)
18/47
Quản lý tài khoản người dùng và nhórn tren
Active Directory -
e Cong cu quan ly tai khoản người dùng †rên Ac†ive
Directory
« Cong cu Active Directory User and Computer
« Truy xuat cong cu Active Directory User and Computer
thong qua MMC
e Quan ly tai khoản người dùng
e Tao tai khoan mdi
« Xod Tài khoản
« Khoá tai khoan
« Đôi tén tai khoan
‹ Thay doi mat khau (Xem Demo)
Quản lý tài khoản người dùng và nhórn †rÊn
e Quan ly tai khoan nhom trén Active Directory
e Tạo †ài khoản nhóm
« Xoá †ài khoản nhóm
‹ Thêm người dùng vào nhóm
e Gia nhập nhóm vào nhóm (Xem Demo)
Trang 6
Quản lý tài khoản người dùng và nhórn †rÊn
Active Directory SỐ
«e Các thuộc tinh của tai khoản người dùng
e Tab General
« Tab Address
« Tab Telephones
e Tab Organization
e Tab Account
« Tab Profile
« Tab Member of
« Tab Dial-in
‹ (Xem Demo)
Quản lý tài khoản người dùng và nhórn †rÊn
Active Directory
Member Of Ì Dial-in Ì Environment Ì Sessions Ì
Remote control Ì Terminal Services Profile Ì CñM+
General Ì Address | Account | Profile | Telephones | Organization | User logon name:
[ Stelecom.home vn xỈ
User logon name [pre-w/indows 2000):
[TELECOMS
= = Giới hạn PC mả|người dùng
en
TE Accounts locked out đăng nhập từ màng
Account options:
Giới hạn giờ đăng nhập
của người dùng
I User must change password at next logon ^
IV User cannot change password
IV Password never expires T— Store password using reversible encryption xÍ
Tự động logoff khi hết giờ đăng nhập Group Policy chọn Computerconfiguration\Windows settings\Security Settings\Local Policies\Security Option chọn Network security:Force lạgoff
when logon hour expire
Quản lý tài khoản người dùng và nhórn †rÊn
Active Directory
« Các †ùy chọn liên quan đến tài khoản người dùng
User must change Người dùng phái thay đôi mật khẩu lần đăng nhap ké tiép,
Quản lý tài khoản người dùng và nhóra tren Active Directory
« Các †ùy chọn liên quan đến †ài khoản người dùng
Account is trusted for Chỉ áp dụng cho các tai khoản dịch vụ nào cần giành được delegation quyên †ruy cập vào Tài nguyên với vai †rò những Tài khoản
người dùng khác
password at next logon sau đó mục này sẽ Tự động bỏ chon
User cannot change Nếu được chọn Thì ngăn không cho người dùng †ùy ý thay
password déi mat khẩu
Password never expires Néu duoc chon thi mat khau cua tai khoan nay khéng bao
gid hét han
Store password using Chỉ áp dụng †ùy chọn này đối với người dùng đăng nhập †ừ
reversible encryption cdc may Apple
Account is sensitive and Dùng †ùy chọn này †rên một Tài khoản khách vãng lai hoặc cannot be delegated tam dé dam bảo răng Tài khoản đó sẽ không được đại diện bởi
một Tài khoán khác
Nếu được chọn Thì tài khoản này †ạm thời bị khóa, không sử dụng được
Account is disabled
Use DES encryption types | Nếu được chọn thi hé théng sé hé tro Data Encryption
for this account S†andard (DES) với nhiều mức độ khác nhau
Smart card is required for | Tùy chọn này được dùng khi người dùng đăng nhập vào mạng
interactive login thong qua mot thé théng minh (smart card), lic dé nguoi
dùng không nhập usernarne và password mà chỉ cần nhập vào
preauthentication kiêu Thực hiện giao thức Kerberos khác với kiêu của
Windows Server 2003
24/47
Trang 7
Quản lý tài khoản người dùng và nhórn †rÊn
Active Directory
« Tab Profile
mmỹ (®©cho oÍÍ
Member Of | Dialin | Environment t | Sessions | REM login.bat version1 A
Remote control | Tetminal Services Profile | coM+ =|
General | Address | Account t Profile | Telephones | Organization | REM Exit if user has logged on to the server
User profile |
= NETS PES IF %computername%.== sever1 goto end
Logon script:
REM delete pre-exit drive mappings
Boome cies Net use H: /delete >nul
© Local path: [|
@ Connect: jz] =] To: |\\mimosa123\share Net use J: ‘delete >nul
REM Map H to Users share
\Window\SYSVOL\sysvol\do Net use H: \\server1\Users /yes >nul
mainname\scripts REM Map H to Apps share
Net use J: \\serverT\Apps /yes >nul
Cancel Apply REM Synchronize time with sever
Net Time \\sever1 /set /yes 25/47
Quản lý tài khoản người dùng và tài khoản
nhóïn
« Quản lý tài khoản người dùng và †ài khoản nhóm băng dòng lện
e Lénh net user: tao thêm, hiệu chinh và hiển thị thông tin của các tai khoan người dùng
„ Cú pháp:
« net user [username [password | *] [options]]
[/domain]
« net user username {password | *} /add [options]
[/domain]
- net user username [/delete] [/domain]
26/47
Quản lý tài khoản người dùng và tài khoản nhóm
e Quan ly †ài khoản người dùng và †ài khoản nhóm
băng dòng lệnh (†.†)
‹ Lệnh ne† group: †ạo mới thêm, hiển thị hoặc hiệu chỉnh
nhóm Toàn cục
‹ Cú pháp:
« net group [groupname [/comment:"text"]] [/domain]
« net group groupname {/add [/comment:"text"] | /delete}
[/domain]
« net group groupname username .] {/add | /delete} [/domain]
Quản lý tài khoản người dùng và tài khoản nhóm (t.†)
„ Quản lý tài khoản người dùng và †ài khoản nhóm
bằng dòng lệnh (†.†)
‹ Lệnh ne† localgroup: thêm, hiện †hị hoặc hiệu chỉnh nhóm
cục bộ
‹ Cú pháp:
« net localgroup [groupname [/comment:"text"]] [/domain]
« net localgroup groupname {/add [/comment:"text"] | /delete}
[/domain]
« net localgroup groupname name [ ] {/add | /delete} [/domain]
28/47
Trang 8
Quản lý tài khoản người dùng và †ài khoản nhóm
(Ht) — —
‹„_ Quản lý †ài khoản người dùng và †ài khoản nhóm bằng dòng lệnh (†.†)
« Lénh dsadd user, dsmod user: †ạo mới, chỉnh sửa †ài khoản người
dùng
‹« Các ví dụ:
» dsadd user "CN=HVO1,CN=Users, DC=Nerclass, DC=Com, DC=vn" -pwd
A1b2C3d4 -mus†chpwd yes (thêm một user)
« dsrm user "€N=hvO1, CN=Users, DC=Ne†class, DC=Com, D€=vn"
(xóa một user)
» Dsmod group " CN=Ne†work, CN=users, DC=ne†class, DC=com, DC=vn”
-addmbr "“CN=hv01, CN=Users, DC=netclass, DC=com, DC=vn" (thêm
mot ngudi ding hvO1 vao nhém Network2929