- [username[ ...]]: danh sách một hoặc nhiều người dùng cần thêm hoặc xóa ra khỏi nhóm, các tên này cách nhau bởi khoảng trắng.. - [name [ ...]]: danh sách một hoặc nhiều tên người dùng
Trang 1Cú pháp:
net group [groupname [/comment:"text"]] [/domain]
net group groupname {/add [/comment:"text"] | /delete} [/domain]
net group groupname username[ ] {/add | /delete} [/domain]
Ý nghĩa các tham số:
- Không tham số: dùng để hiển thị tên của Server và tên của các nhóm trên Server đó
- [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa
- [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài
đến 48 ký tự
- [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng Tham số này chỉ áp dụng cho
Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành
viên của máy Windows 2000 Server domain
- [username[ ]]: danh sách một hoặc nhiều người dùng cần thêm hoặc xóa ra khỏi nhóm, các tên
này cách nhau bởi khoảng trắng
- [/add]: thêm một nhóm hoặc thêm một người dùng vào nhóm
- [/delete]: xóa một nhóm hoặc xóa một người dùng khỏi nhóm
V.4.3 Lệnh net localgroup
Chức năng: thêm, hiển thị hoặc hiệu chỉnh nhóm cục bộ
Cú pháp:
net localgroup [groupname [/comment:"text"]] [/domain]
net localgroup groupname {/add [/comment:"text"] | /delete} [/domain]
net localgroup groupname name [ ] {/add | /delete} [/domain]
Ý nghĩa các tham số:
- Không tham số: dùng hiển thị tên server và tên các nhóm cục bộ trên máy tính hiện tại
- [Groupname]: chỉ định tên nhón cần thêm, mở rộng hoặc xóa
- [/comment:"text"]: thêm thông tin mô tả cho một nhóm mới hoặc có sẵn, nội dung này có thể dài
đến 48 ký tự
- [/domain]: các tác vụ sẽ thực hiện trên máy điều khiển vùng Tham số này chỉ áp dụng cho
Windows 2000 Server là primary domain controller hoặc Windows 2000 Professional là thành
viên của máy Windows 2000 Server domain
- [name [ ]]: danh sách một hoặc nhiều tên người dùng hoặc tên nhóm cần thêm vào hoặc xóa
khỏi nhóm cục bộ Các tên này cách nhau bởi khoảng trắng
- [/add]: thêm tên một nhóm toàn cục hoặc tên người dùng vào nhóm cục bộ
- [/delete]: xóa tên một nhóm toàn cục hoặc tên người dùng khỏi nhóm cục bộ
V.4.4 Các lệnh hỗ trợ dịch vụ Active Driectory trong môi trường Windows Server 2003
Trên hệ thống Windows Server 2003, Microsoft phát triển thêm một số lệnh nhằm hỗ trợ tốt hơn cho
dịch vụ Directory như: dsadd, dsrm, dsmove, dsget, dsmod, dsquery Các lệnh này thao tác chủ
yếu trên các đối tượng computer, contact, group, ou, user, quota
Trang 2- Dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào trong dịch vụ
Directory
- Dsrm: xóa một đối tượng trong dịch vụ Directory
- Dsmove: di chuyển một đối tượng từ vị trí này đến vị trí khác trong dịch vụ Directory
- Dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact, group, ou, server hoặc user trong một dịch vụ Directory
- Dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trong một dịch vụ
Directory
- Dsquery: truy vấn các thành phần trong dịch vụ Directory
- Ví dụ:
- Tạo một user mới: dsadd user “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn” –samid
hv10 –pwd 123
- Xóa một user: dsrm “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn”
- Xem các user trong hệ thống: dsquery user
- Gia nhập user mới vào nhóm: dsmod group “CN=hs, CN=Users, DC=netclass, DC=edu, DC=vn”
–addmbr “CN=hv10, CN=Users, DC=netclass, DC=edu, DC=vn”
Trang 3Bài 11 CHÍNH SÁCH HỆ THỐNG
Tóm tắt
Lý thuyết 5 tiết - Thực hành 6 tiết
buộc
Bài tập làm thêm
Kết thúc bài học này cung cấp học viên kiến thức về chính sách mật khẩu, chính sách khóa tài khoản nguời dùng, quyền hệ thống của người dùng, IPSec …
I Chính sách tài khoản người dùng
II Chính sách cục bộ
III IPSec
Dựa vào bài tập môn Quản trị Windows Server 2003
Dựa vào bài tập môn Quản trị Windows Server 2003
Trang 4I CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG
Chính sách tài khoản người dùng (Account Policy) được dùng để chỉ định các thông số về tài khoản
người dùng mà nó được sử dụng khi tiến trình logon xảy ra Nó cho phép bạn cấu hình các thông số
bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thực Kerberos trong vùng Nếu trên Server
thành viên thì bạn sẽ thấy hai mục Password Policy và Account Lockout Policy, trên máy Windows
Server 2003 làm domain controller thì bạn sẽ thấy ba thư mục Password Policy, Account Lockout
Policy và Kerberos Policy Trong Windows Server 2003 cho phép bạn quản lý chính sách tài khoản
tại hai cấp độ là: cục bộ và miền Muốn cấu hình các chính sách tài khoản người dùng ta vào Start ¾
Programs ¾ Administrative Tools ¾ Domain Security Policy hoặc Local Security Policy
I.1 Chính sách mật khẩu
Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của người dùng để
trách các trường hợp đăng nhập bất hợp pháp vào hệ thống Chính sách này cho phép bạn qui định
chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu…
Trang 5Các lựa chọn trong chính sách mật mã:
Enforce Password History Số lần đặt mật mã không được trùng
Maximum Password Age Quy định số ngày nhiều nhất mà mật
Minimum Password Age Quy số ngày tối thiểu trước khi người
Passwords Must Meet Complexity Requirements
Mật khẩu phải có độ phức tạp như: có
Store Password Using Reversible Encryption for All Users in the Domain
Mật mã người dùng được lưu dưới
I.2 Chính sách khóa tài khoản
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản
trong vùng hay trong hệ thống cục bộ Chính sách này giúp hạn chế tấn công thông qua hình thức
logon từ xa
Các thông số cấu hình chính sách khóa tài khoản:
Account Lockout Threshold
Quy định số lần cố gắng đăng nhập trước khi tài khoản bị khóa
0 (tài khoản sẽ không bị khóa)
Account Lockout Duration
Quy định thời gian khóa tài khoản
Là 0, nhưng nếu Account Lockout
Threshold được thiết lập thì giá trị này
là 30 phút
Reset Account Lockout Counter After
Quy định thời gian đếm lại
số lần đăng nhập không thành công
Là 0, nhưng nếu Account Lockout
Threshold được thiết lập thì giá trị này
là 30 phút
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên
mạng như người dùng và tài nguyên dùng chung Đồng thời dựa vào công cụ này bạn có thể cấp
quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật