NỘI DUNG Tài khoản người dùng và tài khoản nhóm Chứng thực và kiểm soát truy cập Các tài khoản tạo sẵn Quản lý tài khoản người dùng và nhóm cục bộ Quản lý tài khoản người dùng v
Trang 2NỘI DUNG
Tài khoản người dùng và tài khoản nhóm
Chứng thực và kiểm soát truy cập
Các tài khoản tạo sẵn
Quản lý tài khoản người dùng và nhóm cục bộ
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Trang 3Tài khoản người dùng
Tài khoản người dùng cục bộ
Trang 4 Tài khoản người dùng miền
Tài khoản người dùng
Trang 5 Yêu cầu tài khoản người dùng
¾ Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server
2003 thì tên đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows NT 4.0
về trước thì mặc định chỉ hiểu 20 ký tự).
¾ Mỗi username là chuỗi duy nhất của mỗi người dùng có
nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau.
¾ Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
¾ Trong một username có thể chứa các ký tự đặc biệt bao
gồm: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới Tuy nhiên, nên tránh các khoảng trắng vì những tên như thế phải đặt trong dấu ngoặc khi dùng các kịch bản hay dòng lệnh.
Tài khoản người dùng
Trang 6Tài khoản nhóm
Các thành viên nhận quyền được gán cho nhóm
Người dùng có thể là thành viên của nhiều nhóm
Permissions Assigned Once for Each User Account
Trang 7 Tài khoản nhóm
¾ Nhóm bảo mật (security group)
Dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập (permission)
Mỗi nhóm bảo mật có một SID riêng
Có 4 loại nhóm bảo mật: local (nhóm cục bộ), domain local (nhóm cục bộ miền), global (nhóm toàn cục, nhóm toàn mạng), universal (nhóm phổ quát)
¾ Nhóm phân phối
Là nhóm phi bảo mật, không có SID
Được sử dụng bởi các phần mềm và dịch vụ
Tài khoản nhóm
Trang 8 Quy tắc gia nhập nhóm
¾ Tất cả các nhóm Domain local, Global, Universal
đều có thể đặt vào trong nhóm Machine Local
¾ Tất cả các nhóm Domain local, Global, Universal
đều có thể đặt vào trong chính loại nhóm của mình
¾ Nhóm Global và Universal
có thể đặt vào trong nhóm Domain local
¾ Nhóm Global có thể đặt
vào trong nhóm Universal
Tài khoản nhóm
Trang 9Chứng thực và kiểm soát truy cập
Số nhận diện bảo mật SID (Security ID)
¾ SID có dạng chuẩn “ S-1-5-21-D1-D2-D3 -RID”
Trang 10Chứng thực và kiểm soát truy cập
Kiểm soát hoạt động truy cập của đối tượng
¾ Kiểm soát dựa vào bộ mô tả bảo mật ACE
Chức năng của ACE (Access Control Entry):
¾ Liệt kê người dùng và nhóm nào được cấp quyền truy cập đối tượng
¾ Định rõ quyền truy cập cho người dùng và nhóm
¾ Theo dõi các sự kiện xảy ra trên đối tượng
¾ Định rõ quyền sở hữu của đối tượng
Trang 11Các tài khoản tạo sẵn
Các tài khoản người dùng tạo sẵn
Trang 12Các tài khoản tạo sẵn
Tài khoản nhóm Domain Local tạo sẵn
¾ Remote Desktop User
¾ Performace Log Users
¾ Performace Monitor Users
¾ …
Trang 13Các tài khoản tạo sẵn
Tài khoản nhóm Global tạo sẵn
Trang 14Các tài khoản tạo sẵn
Trang 15Quản lý tài khoản
Công cụ quản lý tài khoản người dùng cục bộ
¾ Dùng công cụ Local Users and Groups
¾ Có hai phương thức truy cập đến công cụ Local
Users and Groups
Dùng như một MMC (Microsoft Management Console)
snap-in.
Dùng thông qua công cụ Computer Management.
¾ Install Administration tools
Trang 16Quản lý tài khoản
Cài Administration tools trên Windows XP Professional
1 Put your Windows Server 2003 CD
2 The CD installation setup runs automatically If it does not:
a Click Start, and then click Run
b In the Run dialog box, click Browse
c In the Browse dialog box, click My Computer
d Double-click the CD drive, and then double-click setup.exe
e In the Run dialog box, click OK
3 In the Welcome to Microsoft Windows Server 2003 dialog
box, click Perform additional tasks
4 In the What do you want to do? dialog box, click Browse
this CD
5 Double-click the i386 folder
6 Double-click the Adminpak.msi icon
Trang 17Quản lý tài khoản
Cài Administrative tools
Trang 18Quản lý tài khoản
Chèn Local Users and Groups snap-in vào MMC
Add/Remove Snap-in.
Computer và nhấp chuột vào nút Finish để trở lại hộp thoại Add Standalone Snap-in.
Snap-in.
Groups snap-in đã chèn vào MMC
Trang 19Quản lý tài khoản
Chèn Local Users and Groups snap-in vào MMC
Trang 20Quản lý tài khoản
Công cụ quản lý Computer manager
¾ Nhấn chuột phải vào Computer và chọn Manage
¾ Hoặc Start \Programs \Administrative Tools \
Trang 21Quản lý tài khoản
Các thao tác trên tài khoản người dùng cục bộ
¾ Tạo tài khoản mới
¾ Xóa tài khoản
¾ Khóa tài khoản
Chọn Account disabled
¾ Thay đổi mật khẩu
Các thao tác tài khoản nhóm cục bộ
¾ Tạo tài khoản
¾ Xóa tài khoản
¾ Thêm người dùng vào tài khoản
¾ Xóa người dùng trong tài khoản
Trang 22 Công cụ quản lý tài khoản người dùng trên Active
Directory
MMC
cửa sổ Manage Your Server
Quản lý tài khoản người dùng
Quản lý tài khoản
Trang 23Các thuộc tính của TK người dùng