Sự nhân bản này sẽ mất một chútthời gian, vì thế sẽ không thể xử lý ngay lập tức các tài nguyên trên mạng thông quacác user account mới tạo và thời gian nhân bản thông thường của một Act
Trang 1bởi windows 2003 server sẽ tồn tại lần cuối cùng cho đến khi người sử dụng đăngnhập(logon) và mất đi khi người sử dụng huỷ đăng nhập(log-off) User accounttrong trường hợp này sẽ được lưu trong cơ sở dữ liệu của Active Directory Useraccount này sẽ được nhân bản đến các Domain controller khác trong domain bởiuser account được tạo ra trên domain controller Sự nhân bản này sẽ mất một chútthời gian, vì thế sẽ không thể xử lý ngay lập tức các tài nguyên trên mạng thông quacác user account mới tạo và thời gian nhân bản thông thường của một ActiveDirectory trong một site thường là 5 phút.
1.3 Built-in User Account(User Account tạo sẵn)
Built-in Account được tạo tự động bởi windows server 2003 và được sử dụngbởi những người sử dụng thực hiện những tác vụ quản trị hoặc những thao tácmạng trên một cơ sở dữ liệu tạm thời(temporary basic) Có hai loại Built-in User
account là: Administrator account và Guest account Hai loại account này không
thể xoá
Administrator Account: Built-in Administrator account có thể được sử
dụng để quản lý các máy tính và cấu hình trong domain Sự quản lý baogồm các tác vụ như tạo, sửa các group và các user account, các printer vàquản lý các chính sách bảo mật Nên tạo ra một user account mới có cácnhiệm vụ không phải quản trị hệ thống( non-administrative task) nếuchúng ta có một Administrator, vì administrator account nên được giớihạn sử dụng cho các tác vụ quản trị Để cấm các user không có quyềnđăng nhập vào hệ thống của chúng ta, một giải pháp thực tế là đổi tênbuilt-in administrator account sao cho không giống như một administratoraccount Chúng ta cũng có thể đánh lừa người sử dụng bằng cách tạo ramột user account có tên là administrator account nhưng không gán chomột quyền nào với user account này
Guest Account: Thỉnh thoảng các user được chúng ta cung cấp một guest
account để họ có thể đăng nhập tạm thời và các tài nguyên trên mạng.Theo mặc định thì guest account bị disable Chúng ta có thể cho phépaccount này trên một mạng bảo mật thấp và gán cho nó một password
2 Các quy tắc và yêu cầu khi tạo User Account mới
Trang 2Trong khi tạo các user account chúng ta nên cẩn thận lập kế hoạch và tổ chứctất cả các thông in về user trước khi bắt tay vào thực hiện Để đạt được những điềunày chúng ta nên tự làm quen với các quy ước và chỉ dẫn Theo những quy ước vàchỉ dẫn này giúp chúng ta dễ dàng hơn trong việc quản lý các user account sau khitạo chúng Kế hoạch được thực hiện với sự trợ giúp của ba nguyên tắc cơ bản quan
trọng sau: Naming Conventions (Quy tắc đặt tên), Password Guidelines (Chỉ dẫn mât khẩu) và Account Option (tuỳ chọn account).
2.1 Quy tắc đặt tên User Account.
Các quy tắc đặt tên sẽ xác định cách mà user sẽ được biết đến trong mộtdomain Chúng ta nên đặt tên theo các quy tắc đang tồn tại Các điểm sau đây nênđược chú ý khi chỉ định quy tắc đặt tên cho tổ chức của chúng ta:
Chúng ta nên gán một tên duy nhất cho các domain user account và nónên được lưu trong Active Directory Với người sử dụng cục bộ tênaccount là tên duy nhất trong một nơi mà các user account cục bộ đượctạo
User account có thể nên đến 20 kí tự chữ thường hoặc chữ hoa và các kí
tự sau đây không được sử dụng để đặt tên cho User account: “/ \ [ ] ; | = ,+ * ? < >” Các tên này không phân biệt hoa thường Một sự pha trộn đặtbiệt của các kí tự số có thể làm đơn giản sự định danh các user names
Với một tổ chức lớn với một số lượng lớn các user, quy tắc đặt tên giữcho tên khỏi bị trùng lặp Một điều quan trọng là biết được các user tạmthời trong tổ chức của chúng ta để có thể dễ dàng xoá các tên đăng nhậpcủa họ khi ra khỏi tổ chức của chúng ta Trong trường hợp này, việc đầutiên sẽ là định danh các nhân viên tạm thời và thêm một kí tự
“T”(temporary) và một kí tự “-“ vào tên đăng nhập của user đó
2.2 Yêu cầu mật khẩu
Bất kì một user account nào cũng phải chứa một password phức tạp để bảo
vệ thao tác trên một máy tính hoặc một domain và vì thế giúp chống các cuộc đăngnhập không cho phép vào máy tính hay domain của chúng ta Các điểm sau đây nênđược chú ý khi xác định quy uớc đặt tên cho một tổ chức của chúng ta:
Trang 3 Luôn luôn được khuyến cáo gán mật khẩu cho Administrator account đểtránh các tiếp nhận không cho phép của account.
Gán password khó đoán cho tài khoản administrator Chúng ta nên tránhđặt password liên quan rõ ràng đến ngày sinh, các thành viên trong giađình hoặc bạn bè thân
Password nên chứa các kí tự thường, chữ hoa, các kí tự số và các kí tự đặtbiệt hợp lệ khác(non-alphanumeric)
Chúng ta nên xác nhận xem administrator hay user có quyền điều khiểnpassword Thông thường là để quyền điều khiển password cho user Cácuser phải được phép gõ vào hoặc thay đổi các password trong lần đầu tiênđăng nhập Administrator có thể cho một password duy nhất đến useraccount và users có thể ngăn cản sự thay đổi password
2.3 Các tuỳ chọn account
Các administrator nên theo dõi giờ đăng nhập của user và máy tính nơi họđăng nhập vào Giờ kết thúc (logon hours) của một account tạm thời nên được biếttrước Điều này đảm bảo sự bảo mật đúng đắn và sự duy trì của mạng Các tuỳ choncủa account bao gồm:
Logon hours: Chúng ta có thể đặt logon hours cho user tuỳ thuộc vào
khả năng xử lý của user Theo cách này chúng ta có thể giới hạn thời gianđăng nhập của user từ ngày đến đêm Xử lý mặc định của windows 2003cho user là 24 tiếng mỗi ngày Bằng cách đặt logon hours chúng ta có thểrút ngắn thời lượng mà các unauthorized user (user không được phép) cóthể xử lý thông tin thông qua account này
Setting Computer for User Log On: Chúng ta nên xách định xem máy
tính mà user sẽ đăng nhập vào Các user có thể đăng nhập vào domain từbất kì máy tín nào theo mặc định của domain Vì lý do bảo mật chúng ta
có thể giới hạn cho các user phải đăng nhập vào domain từ các máy tínhđơn của họ sở hữu Có thể là không giới hạn user đăng nhập vào bất kìmáy tính nào trên mạng trong truờng hợp NetBIOS trên TCP/IP bịdisable
Trang 4 Account Expiration: Chúng ta nên xác định xem khi nào thì các user xác
định phải hết hạn sử dụng Nếu chúng ta quyết định không tiếp tục mộtaccount từ một ngày xác định thì chúng ta đặt ngày hết hạn (expirationdate) cho user account đó Đến sát ngày hết hạn chúng ta sẽ thấy account
bị bisable sau ngày hết hạn đó User account cho nhân viên tạm thời nênhết hạn cùng ngày với ngày hết hạn hợp đồng của họ với công ty
3 Tạo các Local user Account
Một user account cục bộ là một account mà user có thể đăng nhập vào và xử
lý các tài nguyên được hỗ trợ bởi máy tính đơn đó Chúng ta có thể tạo ra một useraccount cục bộ bằng cách dùng console Computer Management Một User accountcục bộ chỉ được dùng trong trường hợp môi trường mạng nhỏ, ví dụ nó có thể làmột workgroup đơn giản hay một máy tính stand-alone không được cấu hình trongmạng Tránh tạo ra các user cục bộ trên các máy tính trong domain vì domain nênđược thừa nhận user cục bộ Điều này giới hạn các user nhận bất cứ tài nguyên nàotrên domain, nhưng tài nguyên trên máy tính cục bộ thì truy cập được Các useraccount cục bộ có ít số lượng các thuộc tính hơn các domain user account
4 Tạo các Domain User Account
Domain User Account có thể được sử dụng để đăng nhập vào domain và vìthế nhận được các xử lý đến các tài nguyên được lưu trữ ở bất kì nơi đâu trongmạng Một domain user account được tạo với sự trợ giúp của Domain Controller.Administration Tools lưu trữ trong domain controller, được cung cấp trong windowsserver 2003 giúp chúng ta tạo ra và quản trị domain user account Quản lý từ xa củadomain và user account cũng được cung cấp bằng cài đặt Windows XP ProfessionalAdministration Tools trên máy tính chạy Windows XP Professional Chúng ta nêndùng Active Directory Users and Computers để tạo các domain user account Chúng
ta có thể dùng các thiết đặt cho password để tạo ra một home folder và vị trí trungtâm lưu trữ dữ liệu
Trang 54.1 Các tuỳ chọn khi khởi tạo Domain User Account
Một domain user account được tạo ra trong một domain controller mà từ đó
nó được tự động copy tất cả đến các domain controller khác trong mạng Chúng tanên tạo account trong mục user mặc định hoặc trong một số folder khác nơi mà cácdomain user account khác tồn tại
First Name: Tên của User
Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user
Last name: Họ của User
Full name: Tên đầy đủ của user Nó nên là duy nhất trong thư mụcaccount Windows server 2003 có khả năng điền thông tin này sau khi tên
và họ của user đã được nhập vào
User logon name: Tuỳ chọn này nên là logon name duy nhất dựa theo cácquy tắc đặt tên và phải là duy nhất trong thư mục
Trang 6 User logon name(pre-windows 2000): Logon name duy nhất của user đểđăng nhập từ phiên bản trước windows 2000 của Microsoft Cái này làduy nhất trong domain và là phần tử bắt buộc.
4.2 Các thiết lập cho password
Chúng ta có thể thêm một password khi đang thêm một user account mớitrong domain Dưới đây là các tuỳ chọn cho password được gán password khi đangtạo một user mới
Password: Đây là password được dùng trong khi xác nhận user và được
hiển thị dưới dạng cac dấu hoa thị
Confirm password: Xác định lại mật khẩu đã nhập ở trên
User Must Change password at next logon: Để cho phép user thay đổi
password trong lần đăng nhập lần đầu tiên
User cannot change password: User không thể thay đổi password Tuỳ
chọn này được chọn đối với nơi có nhiều hơn một user sử dụng cùng useraccount hoặc khi administrator muốn điều khiển password
Password never expires: Chọn tuỳ chọn này nếu password không bao
giờ thay đổi Tuỳ chọn này sẽ ghi đè thiết lập User must change password
at next logon Vì thế nếu cả hai tuỳ chọn này được chọn thì windows
2003 sẽ tự động chỉ chọn tuỳ chọn password never expires
Account Dissable: Với tuỳ chọn này chúng ta có thể dừng sử dụng của
user account này
4.3 Thay đổi thuộc tính của User account
Trang 7Tất cả các account đều có một tập các thuộc tính Các domain user accountđương nhiên là có nhiều thuộc tính hơn các local user account Các thuộc tính củalocal user account là tập con của các thuộc tính trong domain user account Cácthuộc tính được sử dụng để tìm kiếm bất kì user nào trong Active Directory Mỗidomain nên được cấu hình với những thuộc tính bắt buộc sau đây:
Các thuộc tính các nhân sẽ có: thuộc tính chung (general), điện thoại(telephones), tổ chức (organizational)
Thuộc tính giờ Logon (Logon hours)
Thuộc tính Logon to
Các thuộc tính Account
Để chỉnh sửa các thuộc tính của một domain user account, mở ActiveDirectory Users and Computer Nhấp đúp chuột lên đối tượng mà user mà chúng tamuốn thay đổi thuộc tính của nó Trường hợp local user account, mở snap-inComputer management và từ đó chọn Local Users and Groups: Sau đó nhấp đúp lênđối tượng user mà chúng ta muốn thay đổi thuộc tính của nó Hộp thoại thuộc tínhchứa tập các tab cho phép user thay đổi và thiết lập các thuộc tính khách nhau Các
Trang 8thuộc tính được thiết lập cho dưới đây là dùng cho domain user account và chỉ cho
4 tab thuộc tính từ domain user account bổ xung cho local user account Các thuộctính đó bao gồm: Dial-in, General, Member Of và Profile Chi tiết các các tab thuộctính này gồm:
General: Tab này sẽ được cung cấp thông tin về tên của user, mô tả, điện
thoại, email user name, địa chỉ văn phòng và home page(trang chủ)
Address: Tab này sẽ cung cấp các địa chỉ đường, thành phố, hộp thư,
bang hay mã vùng(zip code) và nước(country) của user
Account: Tab này sẽ cho phép định nghĩa logon name của user và cũng
thiết đặt thêm các tuỳ chọn như Logon Hours và Log on to Những tuỳchọn này đã được đặt trong suốt quá trình tạo đối tượng user trong cơ sở
dữ liệu Active Directory và có thể được thay đổi ở đây
Profile: Hồ sơ user sẽ được tự động tạo những thiết đặt desktop và cũng
duy trì toàn bộ môi trường làm việc của user Một đường dẫn mạng cũng
có thể được thiết lập để nhận các truy cập các tài nguyên mạng và bổxung kịch bản đăng nhập và home folder có thể được gán bởi tuỳ chọnnày
Telephones: Tuỳ chọn này sẽ cho phép lưu trữ home phone, fax, mobile,
pager (số máy tin nhắn) và IP phone của user Chúng ta cũng có thể thêmcác ghi chú ở đây
Organization: Tuỳ chọn này sẽ cho phép lưu tiêu đề, giám đốc công ty,
tên công ty hay tổ chức, các thông tin về user và báo các trực tiếp củauser
Member Of: Tuỳ chọn này sẽ cho phép lưu các nhóm mà trong đó user
này thuộc về
Dial-In: Tùy chọn này cho phép chúng ta điều khiển user tạo một kết nối
dial-in từ một nơi xa đến mạng Điều này chỉ có thể thực hiện nếu userđang quay số tới một máy tính đang chạy Windows 2003 Remote accessservices(RAS) Có một số tuỳ để thiết lập cho bảo mật quay số như sau:
Allow Access: Tự động xác định các thiết lập dial-in có được cho
phép hay không
Trang 9 Deny Access: Sẽ xác định dial-in có bị từ chối hay không
Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết
nối
No Callback: Sẽ xác định RAS sẽ không gọi người user Điều này
cho phép user gọi từ bất kì số điện thoại nào Nó được thiết kế chomôi trường bảo mật thấp
Set by caller: Sẽ xác định RAS sẽ đáp ứng đến user có được cung
cấp nó với số điện thoại Vì thông tin này sẽ có thể được ghilại(logged) nên chúng ta có thể sử dụng có trên môi trường bảomật trung bình
Always Callback To: Sẽ xác định rằng RAS sẽ đáp ứng lại với
user tại số điện thoại đã được xác định User nên cẩn thận để hiệndiện tại cùng một thời điểm RAS kết nối đến Tuỳ chọn này đượcdùng trong môi trường bảo mật cao
Environment: Để tạo môi trường client-working thì tab này phải được sử
dụng Nó xác định một hay nhiều ứng dụng khởi động và tất cả các thiết
bị để kết nối khi user đăng nhập vào
Sessions: Tuỳ chọn này được sử dụng để giới hạn chiều dài của sessions
(phiên), tuỳ thuộc vào session có active (kích hoạt), idle (nghỉ) haydisconnect (ngắt kết nối) Chúng ta cũng có thể quyết định những hànhđộng nên được tiến hành trong trường hợp session đã tiến đến giới hạnthời gian
End A Disconnected Session: Chỉ định thời gian lớn nhất mà một
session chưa kết nối còn cho phép được chạy Một khi quá giớihạn thời gian thì session không thể tìm trở lại
Active Session Limit: Xác định khoảng lớn nhất của session được
kết nối Một khi giới hạn thời gian tiến đến gần, session có thểkhởi động lại hoặc ngắt kết nối rời khỏi session active trên server
Idle Session Limit: Xác định thời gian lớn nhất được cho trứoc
khi session được khởi tạo lại hay ngắt kết nối Nó sẽ bị ngắt kếtnối sau khi hết thời gian của những hoạt động tại kết nối
Trang 10 Remote control: Sẽ xác định các thiết lập điều khiển từ xa của các dịch
vụ Terminal Bằng các thiết lập điều này chúng ta có thể tham gia giámsát session của client của bất kì máy tính nào đã đăng nhập vào TerminalServer
V – USER PROFILE, HOME FOLDER VÀ DISK QUOTA
1 User Profile
Việc quản trị mạng user account bao hàm cả việc chỉnh sửa account, cài đặtuser profile các home directory Một user profile cho một user được tạo ra ngay khingười đó đăng nhập vào một máy tính lần đầu Trong thư mục Documemts andSettings tất cả các thông tin có liên quan về thiết lập của người sử dụng đã xác địnhđược lưu một cách tự động User profile được tự động cập nhật mỗi khi user log off.Administrator có thể chỉ thay đổi các mandatory user profiles (các hồ sơ user cótính bắt buộc)
User profile thực hiện theo những cách sau đây:
Khi chúng ta đăng nhập vào một máy client chúng ta sẽ luôn nhận được cácthiết đặt cá nhân của chúng ta mà một số user nào cũng được chia sẻ máyclient đó không thích
Profile cục bộ Default User sẽ copy đến thư mục %Systemdriver
%\Documents and settings mỗi khi chúng ta đăng nhập vào lần đầu.
Nhiều file và thư mục được lưu trong thư mục user profile và windows 2003tạo ra một thư mục My Documents trên desktop để dễ định vị các tài liệu cánhân
Có thể thay đổi user profile bằng cách thay đổi các thiết lập desktop
1.1 User Profile mặc định
Một Default User Profile là một profile cơ bản, được sử dụng để xây dựngcác profile cho user xác định Một bản copy của Default user profile được sử dụngbởi bất cứ user nào khác khi đăng nhập vào từng máy chạy Windows server 2003hay Windows XP
1.2 User profile cục bộ
Profile này được tạo ra lần đầu khi user đăng nhập vào máy tính và luônđược lưu trong một máy tính cục bộ Bất cứ thay đổi nào được tạo ra với profile này