Quản trị mạng window server 2003 Quản lý tài khoản

Quản trị mạng window server 2003 Giới thiệu và cài đặt - Quản lý tài khoản người dùng, tạo lập thư mục

B ài 3 QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM

WINDOWS SERVER 2003

QUẢN TRỊ MẠNG

Đị nh nghĩa tài khoản người

dùng và tài khoản nhóm

Tài khoản người dùng

Trên mạng Windows có hai loại tài khoản người

dùng là:

 Người dùng cục bộ: Là tài khoản người dùng được

tạo ra trên máy tính cục bộ

 Tài khoản người dùng miền: Là tài khoản được tạo ra

trên máy điều khiển miền

Tài khoản người dùng (t.t)

 Yêu cầu tài khoản người dùng

• Username: dài 1-20 ký tự (trên Windows Server

2003, username có thể dài 104 ký tự, tuy nhiên khi

đăng nhập từ các máy cài hệ điều hành Windows

NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự )

• Username là một chuổi duy nhất

• Username không chứa các ký tự sau: “ / \ [ ] : ; | = ,

+ * ? < > ”

• Username có thể chứa các ký tự đặc biệt: dấu

chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch

dưới.

Đị nh nghĩa tài khoản người

dùng và tài khoản nhóm (t.t)

Tài khoản nhóm

Là đối tượng đại diện cho một nhóm user

 Nhóm bảo mật (Security group)

• Nhóm bảo mật được dùng để cấp phát các quyền

hệ thống (rights) và quyền truy cập (permission).

• Mỗi nhóm bảo mật có một SID riêng.

• Có 4 loại nhóm bảo mật: local (nhóm cục bộ),

domain local (nhóm cục bộ miền), global (nhóm

toàn cục hay nhóm toàn mạng) và universal (nhóm

phổ quát).

 Nhóm phân phối (distribution group).

• Nhóm phân phối là nhóm phi bảo mật, không có

SID và không xuất hiện trong ACL (Access Control

List).

Đị nh nghĩa tài khoản người

dùng và tài khoản nhóm (t.t)

 Nhóm bảo mật (Security group)

• Local group là loại nhóm có trên các máy stand-alone

Server, member server, Win2K Pro hay WinXP

• Domain local group là loại nhóm cục bộ đặc biệt vì chúng

là local group nhưng nằm trên miềm

• Global group là loại nhóm nằm trong Active Directory và

được tạo trên các Domain Controller

• Universal group là loại nhóm có chức năng giống như

global group nhưng nó dùng để cấp quyền cho các đối

tượng trên khắp các miền trong một rừng và giữa các miền

có thiết lập quan hệ tin cậy với nhau

Tài khoản nhóm (t.t)

Qui tắt gia nhập nhóm

 Tất cả các nhóm Domain

local, Global, Universal đều

có thể đặt vào trong nhóm

Machine Local.

 Tất cả các nhóm Domain

local, Global, Universal đều

có thể dặt vào trong chính

loại nhóm của mình.

 Nhóm Global và Universal

có thể đặt vào trong nhóm

Domain local.

 Nhóm Global có thể đặt vào

trong nhóm Universal.

Các tài khoản tạo sẵn

Các tài khoản người dùng tạo sẵn

 Administrator

 Guest

 ILS_Anonymous_User

 IUSR_computer-name

 IWAM_computer-name

 Krbtgt

 TSInternetUser

Các tài khoản tạo sẵn (t.t)

Tài khoản nhóm Domain Local tạo sẵn

 Administrators Nhóm Domain Admins và Enterprise Admins là

thành viên mặc định của nhóm

 Administrators

 Account Operators

 Domain Controllers

 Backup Operators

 Guests

 Print Operator

 Server Operators

 Users Mặc định mọi người dùng được tạo đều thuộc nhóm này

 Replicator

 Incoming Forest Trust Builders

 Network Configuration Operators

 Pre-Windows 2000 Compatible Access

 Remote Desktop User

 Performace Log Users

 Performace Monitor Users

Các tài khoản tạo sẵn (t.t)

Tài khoản nhóm Global tạo sẵn

 Domain Admins Thành viên của nhóm này có thể toàn

quyền quản trị các máy tính trong miền

 Domain Users Mặc định nhóm này là thành viên của

nhóm cục bộ Users trên các máy server thành viên và

máy trạm

 Group Policy Creator Owners

 Enterprise Admins

 Schema Admins

Các tài khoản tạo sẵn (t.t)

Các nhóm tạo sẵn đặc biệt

 Interactive

 Network

 Everyone đại diện cho tất cả mọi người dùng

 System

 Creator owner đại diện cho những người tạo ra

 Authenticated users đại diện cho những người dùng

đã được hệ thống xác thực

 Anonymous logon

 Service

 Dialup

Quản lý tài khoản người dùng

và nhóm cục bộ

Công cụ quản lý tài khoản người dùng cục

bộ

 Dùng công cụ Local Users and Groups

 Có 2 phương thức truy cập đến công cụ Local

Users and Groups

• Dùng như một MMC (Microsoft Management

Console) snap-in.

• Dùng thông qua công cụ Computer Management

Quản lý tài khoản người dùng và nhóm

cục bộ

Các bước dùng thông

qua công cụ Computer

Management

Right click vào My Computer

chọn Manage

Trên màn hình Computer

Management chọn Local

Users and Group chọn Users

Right click vào khoảng trống

trên màn hình bên phải và

chọn New User

Quản lý tài khoản người dùng

và nhóm cục bộ

 User must change password at

next logon: đăng nhập lần đầu

vào máy cục bộ người dùng phải

đổi password

 User cannot change password:

người dùng không được thay đổi

password

 Password never expires:

Password không bao giờ bị loại

bỏ

 Account is disabled: tài khoản

sẽ bị cấm truy cập tạm thời

Quản lý tài khoản người dùng

và nhóm cục bộ

 Xóa, sửa tên, thay đổi mật khẩu người dùng chỉ cần chọn

chuột phải tương ứng với các mục: Delete, Rename, Set

Password

Quản lý tài khoản người dùng

và nhóm cục bộ

 Đưa user vào trong

group

 Từ menu người dùng, khi

chọn tab Member of chọn

group đưa vào

Quản lý tài khoản người dùng

và nhóm cục bộ

Các bước chèn Local Local Users and

Groups snap-in vào trong

Vào Start > Run, gõ lệnh MMC -> OK-> Xuất hiện màn hình

Console1

Quản lý tài khoản người dùng

và nhóm cục bộ

Các bước chèn

Local Local

Users and

Groups snap-in

vào trong

Vào File > Add/Remove

Snap-in >Add

Quản lý tài khoản người dùng

và nhóm cục bộ

Các bước chèn

Local Local

Users and

Groups snap-in

vào trong

Trong màn hình Add

Standalone Snap-in ->

chọn Local users and

Groups -> Add

Quản lý tài khoản người dùng và nhóm

trên Active Directory

Công cụ quản lý tài khoản người dùng

trên Active Directory

Công cụ Active

Directory User

and Computer

Truy xuất công

cụ Active

Directory User

and Computer

thông qua MMC

Quản lý tài khoản người dùng

và nhóm trên Active Directory

Quản lý tài khoản

user trên Active

Directory

Tạo tài khoản User:

tại cửa sổ Active

Directory Users and

Computers nhấp

chuột phải chọn mục

User->New->User

Nhập thông tin user

sau đó Next

Quản lý tài khoản người dùng

và nhóm trên Active Directory

 Nhập mật khẩu

cho User và các

lựa chọn:

Password phức tạp

hơn sao cho thoả 3

trong 4 điều kiện

sau:ký tự chữ

thường abc ,ký tự

chữ hoa ABC ,ký

tự số 123 ,ký tự

đặc biệc

như: !@#$%^

Quản lý tài khoản người dùng

và nhóm trên Active Directory

Cấu hình thuộc

tính tài khoản

người dùng

Để cấu hình các

thuộc tính của tài

khoản người dùng

trên màn hình Active

Directory ta nhấp

phải chuột vào tài

khoản chọn

Properties

Quản lý tài khoản người dùng

và nhóm trên Active Directory

 Tab General, Tab Address,

tab Telephones, tab

organization: Các thông tin

mở rộng của người dùng

 Tab Account: Khai báo lại

username, quy định giờ

logon…

 Tab Profile: đường dẫn

đến profile của tài khoản

người dùng

 Profile là một thư mục

chứa thông tin về môi

trường làm việc Win2k3

cho từng người dùng

Quản lý tài khoản người dùng

và nhóm trên Active Directory

 Tab Member Of: cấu hình

tài khoản người dùng là

thành viên của nhóm nào

Một tài khoản có thể là

thành viên nhiều nhóm và

hưởng tất cả các quyền

của tất cả các nhóm đó.

 Tab Dial-in: cho phép cấu

hình quyền truy cập từ xa

của người dùng cho kết nối

dial-in hoặc VNP

Quản lý tài khoản người dùng

và nhóm trên Active Directory

 Tạo mới tài

khoản nhóm:

 Sử dụng công cụ

Active Dirctory

Users and

Computers

 Nhấp chuột phải

vào mục Users chọn

New và chọn Group

Quản lý tài khoản người dùng

và nhóm trên Active Directory

 Thêm

thành viên

cho nhóm:

 Trên màn hình

Active

Directory

Users and

Computers

nhấp phải vào

tên nhóm và

chọn

Properties.

Quản lý tài khoản người dùng

và nhóm trên Active Directory

 Thêm

thành viên

cho nhóm:

 Nhấp thẻ

Member.

 Nhấp nút Add

Quản lý tài khoản người dùng

và nhóm trên Active Directory

 Thêm

thành viên

cho nhóm:

 Chọn các tài

khoản muốn là

thành viên của

nhóm ->OK