CHƯƠNG 2: QUẢN TRỊ NGƯỜI DÙNG (USER) VÀ QUẢN TRỊ NHÓM (GROUP) doc

– Quyền truy cập tập tin NTFS áp dụng cho cảnhững ngừơi làm việc tại máy tính lưu trữ dữ liệu, lẫn người dùng truy cập thư mục hoặc tập tin qua mạng... – Khác với quyền truy cập thư mục

MÔN: QUẢN TRỊ MẠNG

CHƯƠNG 2: QUẢN TRỊ NGƯỜI DÙNG (USER) VÀ QUẢN TRỊ

NHÓM (GROUP)

1 QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG (USER)

2 QUẢN LÝ TÀI KHOẢN NHÓM (GROUP)

3 TẠO VÀ CẤU HÌNH PROFILE NGƯỜI DÙNG

4 QUYỀN NGƯỜI DÙNG

QUẢN TRỊ USER VÀ GROUP

• Trong hệ thống mạng Windows thông thường tài khoản người dùng được chia làm 2 loại là:

– Tài khoản người dùng cục bộ

– Tài khoản người dùng vùng

`

– Là tài khoản được tạo ra trên máy tính cục bộ

Ví dụ: Trên các máy tính cài các hệ điều hànhWindows XP, Windows vista, Windows 7, …

• Đặc điểm

– Tài khoản cục bộ chỉ có giá trị trên máy tính cục bộ

mà tài khoản đó được tạo ra

– Tài khoản cục bộ được đăng nhập cục bộ vào máytính mà trên đó tài khoản được tạo ra

User 1 User 2 User 3

SAM

• Đặc điểm

– Hoặc đăng nhập qua mạng vào máy tính mà trên đótài khoản đã tồn tại

User 1 User 2 User 3

SAM

User 1 User 2 User 3

SAM

User 1 User 2 User 3

SAM

User 1 User 2 User 3

SAM

• Cách tạo tài khoản cục bộ trên máy tính cài hệ điều

hành Windows

• Cách tạo tài khoản cục bộ trên máy tính cài hệ điều

hành Windows

• Lưu ý:

– Trên Server 2003 khi chưa nâng cấp thành Domain

Controller, cách tạo tài khoản cục bộ giống như trên máy Windows XP

Đây là Computer Management của Server

2003 khi chưa nâng cấp thành Domain Controller

• Tài khoản người dùng vùng là tài khoản được tạo

ra trên máy điều khiển vùng (Domain Controler).

• Đăng nhập từ các máy client bằng tài khoản

người dùng vùng có thể truy cập tới tất cả các

máy tính trong vùng

• Được quyền truy cập tài nguyên trên tất cả các máy tính trong vùng.

`

Domain Domain Controller

• Tương tự như việc tạo tài khoản cục bộ nhưng

ở đây được tạo trên

máy điều khiển vùng (Domain Controler)

• Sửa tài khoản người dùng trên máy điều khiển vùng (Domain Controler)

• Xóa tài khoản người dùng trên máy điều khiển vùng (Domain Controler)

• cấu hình thời gian làm việc của Account

Click chọn để cấu hình thời gian

• Màu xanh là Logon Permission: được quyền truy cập

• Màu trắng là Logon Denied: Không được quyền truy cập

• Mặc định tài khoản người dùng vùng sẽ được quyền truy cập vào mạng bất cứ thời gian nào tức là 24/7.

• Để giới hạn thời gian làm việc ta cấp quyền như sau:

• Giả sử tài khoản u1 làm việc các ngày thứ 2, thứ 4, thứ 6 và

thời gian từ 2 giờ chiều đến 10 giờ đêm

• Ngoài thời gian đã cho phép nếu người dùng vẫn truy cập mạng thì tài khoản sẽ không còn hiệu lực.

• Account is Locked Out: mục này sẽ

được chọn khi Account bị khóa.

• Ở mục Account Option:

– User must change password at

logon: mục này nếu được chọn

người dùng sẽ phải đổi password tại lần đăng nhập đầu tiên.

– User cannot change password: mục này được chọn cho phép người dùng không đổi được password.

– Password Never Expires: password không bị loại.

• Log On To

Dùng để quy định vị trí làm việccủa người dùng tức là khi ngườiquản trị cấp quyền cho người

dùng chỉ làm việc ở vị trí cố địnhnày thì khi sang nơi khác cũngkhông thể đăng nhập được mặc

dù có username và password

Cách cấu hình như sau:

• Trên màn hình này mặc định

người dùng được quyền truy cậpmạng từ bất cứ máy tính nào trênmạng

• Nếu muốn quy định vị trí đăngnhập thì nhấp chọn mục The

following computer rồi nhập tênmáy tính vào khung Computer name rồi nhấp Add

• Sau khi được Add tên máy cho user thì khi đăng nhậpkhông đúng vị trí sẽ có thông báo sau:

• Để quản lý tài khoản người dùng một cách dễ dàngngười ta đưa các tài khoản vào 1 nhóm Việc quản lýngười dùng thông qua nhóm giúp cho người quản trịphân chia thành các danh mục để quản lý và thêm bớtngười dùng dễ dàng

• Tạo Group

• Group name: Nhập vào tên nhóm

• Group scope: chọn Domain Local

• Thêm user vào Group

– Trên màn hình thuộc tính nhóm muốn Add thành viên cho nhóm thì nhấp thẻ Members, muốn nhóm là thành viên của nhóm khác thì nhấp thẻ Members of.

• Lệnh net user: Dùng để tạo thêm, hiệu chỉnh và

hiển thị thông tin của các tài khoản người dùng

• Lệnh net group: Dùng để tạo thêm, hiển thị hoặc

• Lệnh net localgroup: Dùng để tạo thêm, hiển thị hoặc

• Lệnh dsadd user, dsmod user: Dùng để tạo mới, chỉnh

sửa tài khoản người dùng

• Ví dụ:

• User Profile: Là nơi lưu trữ một kịch bản đăng nhập và

các thiết lập cho Desktop, Document, Application,… của

người dùng từ nội dung của Start menu cho tới màu sắc, cách định hướng chuột có thể lưu trữ ở một nơi nào đó

để người dùng có thể đăng nhập ở bất kỳ một máy tínhtrên mạng mà vẫn thấy được màn hình đăng nhập giốngnhau

• Local user profile : được lưu trong C:\Documents and

Settings\%Username%, được tạo ra khi lần đầu logon

vào hệ thống

• Thông thường user profile có 2 loại:

– Roaming user profile : được sử dụng trong trường hợp

user sử dụng nhiều máy khác nhau Ta sẽ tạo ra Roaming user profile, khi đó, user sẽ có Documents and Settings giống nhau trên tất cả các máy

– Mandatory user profile : là loại profile không lưu bất cứ

thay đổi nào của user Ví dụ, user thay đổi các thông tin như hình nền, font chữ Các thông tin này sẽ trở lại như

cũ khi user thoát khỏi hệ thống (log-off)

• Tạo Roaming user profile

– Đầu tiên, ta cần tạo ra một profile chuẩn, sau đó copy profile đến một thư mục được share trên Server Để copy profile, Right Click vào My Computer chọn

Properties/ Advance/ tại User Profile chọn

Settings

• Tạo Roaming user profile

– Chọn profile chuẩn Chọn

mục Copy To, Gõ đường

dẫn đến thư mục share trên

Server

• Tạo Roaming user profile

– Chọn Change để gán

quyền cho nhóm được phép

sử dụng profile này Sau đó

chọn OK đề hoàn tất

• Tạo Roaming user profile

– Để tạo ra Mandatory user profile, ta chỉ

việc đổi tên file ntuser.dat thành

ntuser.man trong thư mục chứa profile

• Tạo user profile

• Quyền User Right là quyền cấp cho user thực thi một số

tác vụ trên hệ thống tức là một số quyền mà user được sử dụng trên server.

Start/ Administrative Tool/

Domain Security Policy/

Local Policy/ User Rights

Assignment

– Access this computer from the network: Quyền được truy cập vào server thông qua mạng.

– Act as part of the operating system: Quyền được thi hành một số phần của hệ điều hành.

– Add workstation to domain: Quyền được thêm trạm làm việc vào

domain.

– Allow logon locally: Quyền được đăng nhập cục bộ.

– Allow log on through terminal Services: Quyền đăng nhập thông qua dịch vụ Terminal.

– Back up files and directories: Quyền sao lưu files và thư mục

– Change the system time: Quyền thay đổi thời gian hệ thống.

– Deny log on locally: không được quyền đăng nhập cục bộ

– Shut down the system: Quyền tắt máy.

• Giả sử người dùng u1 chưa được cấp quyền Logon locally để logon nếu vẫn dùng tài khoản u1 để đăng nhập sẽ báo lỗi như sau:

• Để cấp quyền cho người dùng u1

Logon vào máy tính miền thì ta vào

Domain Security Policy /Local

Policies /User Rights Assignment

nhấp đúp vào mục Allow logon

Add User Nhập tên User hoăc

chọn Browse…

Nhấn vào

quyền

• Nhấn OK để kết thúc việc cấp quyền

• Kết quả khi log on vào máy tính miền nhưng chưa có quyền tắt máy

• Người dùng có 2 loại quyền truy cập đó là: Share vàNTFS

– NTFS: cấp quyền truy cập cho thư mục và tập tin – Share: cấp quyền truy cập thư mục dùng chung

– Quyền truy cập tập tin NTFS áp dụng cho cả

những ngừơi làm việc tại máy tính lưu trữ dữ liệu, lẫn người dùng truy cập thư mục hoặc tập tin qua mạng

– Quyền NTFS dùng để phân quyền cho từng user đăngnhập và sử dụng tài nguyên bằng 2 phương pháp:

• Đăng nhập tài khoản quản trị Cục bộ trên máy tính

có tài nguyên đang chia sẻ

• Kết nối từ xa tới thư mục chia sẻ

– Có thể áp đặt nhiều cấp độ cho phép truy cập lên từngtập tin trong một thư mục

– Khác với quyền truy cập thư mục dùng chung, quyềntruy cập NTFS bảo vệ tài nguyên cục bộ theo cấu trúcphân tầng trên máy tính mà người dùng đó đăng nhậpcục bộ

• Lưu ý:

– Khi một volume được định dạng NTFS thì Permission mặc định của Volume đó sẽ là group Everyone và có quyền Full Control

– Trên Volume NTFS khi bạn tạo 1 thư mục thì bạn sẽ sở hữu thư mục đó Nếu người khác thuộc group Administrators thì cũng có toàn quyền sở hữu thư mục đó

– Nếu người dùng được cấp quyền Read với thư mục và

quyền Write với tập tin trong thư mục đó thì người dùng

vẫn có thể thay đổi nội dung của tập tin nhưng không thể tạo tập tin mới trong thư mục

• Muốn cho phép người dùng có thể truy cập tài

nguyên qua mạng thì các thư mục chứa tài nguyên phải được share.

• Khi một thư mục đã được share, bạn có thể bảo vệ thư mục bằng cách ấn định quyền truy cập thư mục dùng chung cho người sử dụng hoặc nhóm sử dụng theo mục đích thích hợp mà bạn đề ra

• Tuy nhiên, quyền truy cập thư mục dùng chung sẽ cung cấp mức độ bảo mật giới hạn vì các lí do sau đây:

– Cho phép người dùng truy cập mọi thư mục và tập tin trong phạm vi thư mục dùng chung với cùng cấp độ

– Không có hiệu lực khi người dùng ngồi ngay trước máytính chứa tài nguyên và tìm cách truy cập tài nguyên trênmáy này

– Không thể dùng để bảo vệ từng cá thể tập tin

Click chọn Advanced

để cấp quyền truy cập

đặt biệt Các quyền truy cập bị

mờ

Check vào đây xuất

hiện màn hình Security - Nếu chọn nút Copy tức là chúng

ta sẽ copy các quyền đã cấp cho

thư mục Public xuống cho các thư

mục con theo cấu trúc phân tầng.

- Nếu chọn nút Remove chúng ta

sẽ loại bỏ các quyền đã cấp và cấp

lại quyền khác cho các thư mục

con theo cấu trúc phân tầng

Sau khi cho Copy hoặc Remove

Ta chọn quyền thích hợp cho mụcPermissions

Các mục trong

Pemissions đã hiển thị

ta có thể chọn quyền

truy cập thích hợp

Sau khi cấp quyền NTFS cần phảikết hợp với quyền SHARE để thưmục có thể truy cập được qua

mạng

Click chọn nút Pemissions để cấp quyền truy cập thư mục

này qua mạng

Sau khi cấp quyền NTFS cần phải

kết hợp với quyền SHARE để thư

mục có thể truy cập được qua

mạng

Mặc định khi Share thư mục thì Everyone

sẽ chỉ có quyền Read

Tuy nhiên khi kết hợp giữa

quyền NTFS và quyền Share thì

quyền Share luôn giữ Full

Control cho thư mục Share

Trên Server tạo thư mục Public, trên thư mục Public tạo các file

data1.doc và data2.xls Sau khi tạo xong Share thư mục Public với

quyền tương ứng với các user sau:

Tạo các User: u1, u2

• Cấp quyền truy cập cho u1 như sau:

 Truy cập thư mục Public với quyền Full Control

 Quyền NTFS là Full Control với file data1

 Quyền NTFS là Read với file data2

• Cấp quyền truy cập cho u2 như sau:

 Truy cập thư mục Public với quyền Read

 Quyền NTFS là Full với file data1.doc

 Quyền NTFS là Read với file data2.xls Như vậy u1 là: Full với file data1.doc và Read với file data2.xls u2 là: Read với file data1.doc và Read với file data2.xls

` Public

Share Full cho u1

Share Read cho u2

NTFS cho u1 - Full NTFS cho u2 - Full NTFS cho u1 - Read NTFS cho u2 - Read

 Mục đích

 Hoạch định một cách rõ ràng những cấp độ truy cập dựđịnh gán cho cá nhân (user) hoặc cho nhóm (group) đối vớichương trình, dữ liệu mạng, và thư mục cá nhân

 Nắm vững các tác vụ cần thiết để tạo thư mục cá nhântrên volume NTFS

a Hoạch định thư mục chương trình

 Bỏ quyền truy cập NTFS mặc định ở cấp độ Full Control từ nhóm Everyone và đem cấp cho nhóm Administrators

 Chỉ định cấp độ truy cập Full Control hoặc Change đối với thư mục thích hợp cho những nhóm chịu trách nhiệm nâng cấp và xử

lí lỗi phần mềm

 Nếu các chương trình mạng thường trú dùng chung, hãy cấp quyền truy cập ở cấp độ Read cho nhóm Users.

b Hoạch định thư mục dữ liệu

 Bỏ quyền truy cập NTFS ở cấp độ mặc định Full Control

từ nhóm Everyone và đem cấp cho nhóm Administrators

 Chỉ Định cấp độ truy cập Add&Read cho nhóm Users vàcấp độ Full Control cho nhóm Creator Owner Việc làm này

sẽ cung cấp cho người dùng đăng nhập cục bộ khả năng hủy

bỏ và sửa chữa chỉ những thư mục và tập tin họ đã sao chéphoặc tạo ra trên máy tính nơi họ đăng nhập

c Hoạch định thư mục cá nhân

 Tập trung mọi thư mục cá nhân trên 1 Volume NTFS (Trên 1 server nào đó) riêng biệt với Volume chứa hệ điều hành và các chương trình, nhằm hợp lí hóa công tác quản trị và sao lưu dữ liệu Thường thì cái gì cũng vậy, nếu chúng ta gọn gàng thì sẽ rất

dễ cho công việc sau này

 Dùng biến %Usersname% để tự động gán tên tài khoản của người dùng cho thư mục cá nhân và tự động chỉ định quyền truy cập NTFS ở cấp độ Full Control cho người dùng tương ứng

Muốn cấp quyền truy cập NTFS người dùng phải thỏa các điều kiện sau:

 Là chủ sở hữu của tập tin hoặc thư mục,

 Phải có quyền truy cập ở cấp độ Full Control, hoặc quyền truy cập ở cấp độ Change Permiss hay Take

Ownership

 Trong hầu hết các trường hợp của Windows dùng

quyền truy cập chuẩn (standard permission) là có thể bảo

vệ tập tin và thư mục

 Tuy nhiên trong 1 vài trường hợp cần chỉ định quyềntruy cập đặc biệt (special access permissions) quyền nàycho phép khả năng cấp quyền truy cập cá nhân

(individual) cho từng tài khoản người dùng hoặc cho

Group

 Nên cấp quyền truy cập đặc biệt cho user nhằm mục

 Bảo vệ các tập tin chương trình hỏi bị hủy bỏ do sơ

ý hoặc do Virus phá hoại,

 Cấp cho mọi tài khoản người dùng, kể cả tài khoảncủa nhà quản trị Administrator.

 Cấp quyền truy cập ở cấp độ READ đối với các tậptin điều hành

 Cho phép nhà quản trị chỉnh sửa tập tin điều hành,

 Cấp cho nhóm Administrator quyền truy cập

Change Permissions Quyền truy cập này cung cấpcho nhà quản trị khả năng thay đổi quyền truy cập vớinhững tập tin chỉ đọc (Read only) nếu cần

 Mặc định người dùng nào tạo ra tập tin hoặc thư mục sẽ hiển nhiên là chủ sở hữu của tập tin và thư mục hoặc tập tin đó.

 Khi đã là chủ sở hữu thư mục hoặc tập tin có thể ấn

định quyền truy cập nhằm kiểm soát những gì người khác

có thể thực hiện cho tập tin và thư mục này.

 Trong vài trường hợp có lúc những người quản trị cần phải tước bỏ quyền sở hữu của người dùng vì lý do an

ninh Đó gọi là Take Ownership

Xác định quyền truy cập trong khung Permission entries

Tạo tài khoản người dung có quyền Take Ownership

a Cấp quyền truy cập NTFS trước khi chia sẻ 1 thưmục Để đảm bào an toàn trước cho thư mục

b Cấp quyền cho nhóm thay vì cho từng người dùng

c Cấp quyền truy cập mọi tập tin điều hành ở quyềnREAD cho nhóm Users và nhóm Administrators

d Hướng dẫn các user dưới quyền sử dụng chung 1 máy tính ấn định quyền truy cập các tập tin và thưmục do họ sở hữu

e Cấp quyền ở mức độ READ cho mọi tài khoản

người dùng kể cả Administrator với tập tin chươngtrình (file System)

f Ngoài ra hãy cấp cho group Admin quyền truy cậpđặc biệt ớ cấp độ change permissions

g Cấp cho nhóm Creator Owner quyền truy cập thưmục Data ở cấp độ Full Control ,như thế người

dùng chỉ có quyền Full Control đối với những thưmục hay tập tin mà họ tạo ra trong thư mục Data

h Đối với tài khoản người dùng hãy đặt tên dài cótính mô tả Hoạch định cách đặt tên trước khi làm, nếu 1 thư mục được chia sẻ hãy đặt tên sao cho

mọi máy khác đều có thể đọc được chúng