Mục tiêu của bài học• Tìm hiểu về nhóm trong Windows 2000 • Kiểu nhóm và phạm vi của nhóm trong Domain • Các nhóm mặc định trong Domain • Quản lý các nhóm trong Domain... Các nhóm trong
Trang 1Quản trị các tài khoản nhóm
Trang 2Mục tiêu của bài học
• Tìm hiểu về nhóm trong Windows 2000
• Kiểu nhóm và phạm vi của nhóm trong Domain
• Các nhóm mặc định trong Domain
• Quản lý các nhóm trong Domain
Trang 3Nhóm –Group
Gán quyền cho từng người dùng
Gán quyền cho nhóm thay vì
Là một tập hợp các tài khoản người dùng có tính chất giống nhau.
Nhóm giúp đơn giản hoá việc quản lý.
Thành viên của nhóm đó nhận được tất cả các quyền gán cho nhóm.
Một tài khoản người dùng có thể là thành viên của nhiều nhóm.
Một nhóm có thể là thành viên của một nhóm khác
Trang 4Các nhóm trong Windows 2000
• Các nhóm trong Domain: Các nhóm được tạo
ra trên domain controllers và được lưu trong Active Directory
• Các nhóm trong cục bộ: Các nhóm được tạo ra
trên các máy tính chạy windows 2000 mà chúng không phải là domain controllers (Professional, Stand-Alone Server, Member Server) và được lưu trong CSDL bảo mật cục bộ của máy tính
Trang 5Các kiểu của nhóm trong domain
được xác định dựa vào mục đính sử dụng của nhóm
• Nhóm phân phối (Distribution Group):
đến bảo mật: gởi email cùng một lúc cho một nhóm người dùng.
• Không thể sử dụng Distribution Group để gán quyền (permission)
• Được sử dụng để gán quyền (permission) truy xuất đến tài nguyên.
• Security có tất cả các khả năng của Distribution Group
Trang 6Phạm vi của nhóm
Trang 7Các nhóm mặc định trong
Domain
• Built-In Domain Local Group
• Predefined Global Group
• Special Identity Group
Trang 8Built-In Domain Local Group
Built-In Domain Local
Group Description
Account Operators • Can create, delete, and modify user accounts and groups; members cannot modify the Administrators
group or any of the operators groups
Administrators • Perform all administrative tasks on all domain controllers and the domain itself Administrator user
account and the Domain Admins and Enterprise Admins predefined global groups are members Backup Operators • Members can back up and restore all domain controllers by using Windows Backup
Guests • Members can perform only tasks for which you have granted rights; members can gain access only to
resources for which you have assigned permissions Pre-Windows 2000
Compatible Access • A backward compatibility group that allows read access for all users and groups in the domain By default, only the Everyone pre-Windows 2000 system group is a member Print Operators • Members can set up and manage network printers on domain controllers
Replicator • Supports directory replication functions The only member should be a domain user account used to
log on to the Replicator services of the domain controller Do not add the accounts of actual users to this group
Server Operators • Members can share disk resources and back up and restore files on a domain controller
Users • Members can perform only tasks for which you have granted rights, and gain access only to resources
for which you have assigned permissions By default, the Authenticated Users and INTERACTIVE pre-Windows 2000 groups and the Domain Users pre-defined global group are members Use this group to assign permissions and rights that every user with a user account in your domain should have
Trang 9Predefined Global Group
Predefined
Domain Admins • Windows 2000 automatically adds Domain Admins to the
Administrators built-in domain local group so that members of Domain Admins can perform administrative tasks on any computer anywhere in the domain By default, the Administrator account is a member.
Domain Guests • Windows 2000 automatically adds Domain Guests to the Guests
built-in domain local group the Guest account is a member.
Domain Users • Windows 2000 automatically adds Domain Users to the Users built-in
domain local group New domain user account is automatically a member.
Enterprise
Admins • User accounts have administrative control for the entire network Then, add Enterprise Admins to the Administrators domain local
group in each domain By default, the Administrator account is a member.
Trang 10Các nhóm đồng nhất đặc biệt (Các nhóm hệ thống được dựng sẵn)
Special Identity
Anonymous Logon • Includes any user account that Windows 2000 did not authenticate
Authenticated Users • Includes all users with a valid user account on the computer or in Active Directory Use the
Authenticated Users group instead of the Everyone group to prevent anonymous access to a resource
CREATOR OWNER • Includes the user account for the user who created or took ownership of a resource If a member of
the Administrators group creates a resource, the Administrators group is owner of the resource
Dialup • Includes any user who currently has a dial-up connection
Everyone • Includes all users who access the computer Be careful if you assign permissions to the Everyone
group and enable the Guest account Windows 2000 will authenticate a user who does not have a valid user account as Guest The user automatically gets all rights and permissions that you have assigned to the Everyone group The Everyone group is assigned full control to many resources by default
Interactive • Includes the user account for the user who is logged on at the computer Members of the Interactive
group gain access to resources on the computer at which they are physically located They log on and gain access to resources by "interacting" with the computer
Network • Includes any user with a current connection from another computer on the network to a shared
resource on the computer
Trang 11Lên kế hoạch tạo Global and
Domain Local Groups
Trang 12Quản lý các nhóm trong domain
Tạo nhóm
Trang 13Quản lý các nhóm trong domain
Thêm/bớt thành viên của nhóm
Trang 14Quản lý các nhóm trong domain
Xoá nhóm
• Việc xoá nhóm sẽ không xoá các tài khoản thành viên của nhóm.
Trang 15Quản lý các nhóm trong domain
Thay đổi kiểu & phạm vi của nhóm
• Thay đổi kiểu của nhóm:
Có thể thay đổi kiểu của
nhóm từ Security sang
Distribution và ngược lại
nhóm:
• Thay đổi global group thành
universal group
• Thay đổi Domain local group
thành Universal Group
• Chúng ta chỉ có thể thay
đổi kiểu và phạm vi của
nhóm khi domain đang ở
chế độ native