Bài giảng Quản trị mạng: Chương 3 - Phan Thị Thu Hồng

Bài giảng chương 2 trình bày những nội dung liên quan đến quản trị Active Directory như: Quản trị người dùng và nhóm người dùng, chính sách (Group Policy, System Policy). Mời các bạn cùng tham khảo.

Phan Thị Thu Hồng

Quản lý User

 Tài khoản người dùng - user account :

 Là một đối tượng quan trọng đại diện cho người dùng

 Phân biệt với nhau thông qua chuỗi nhận dạng username

 Được cấp quyền truy xuất tài nguyên

 Auditing – Kiểm tra

 Theo dõi việc truy xuất tài nguyên

Tài khoản người dùng cục bộ - local user account

 Được tạo, lưu và chỉ được phép logon trên máy cục bộ

 Truy xuất các tài nguyên trên máy tính cục bộ

 Được tạo với công cụ Local Users and Group trong Computer

Tài khoản người dùng miền - domain user account

 Được định nghĩa trên Active Directory và được phép đăng nhập

(logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng

 Được quản lý tập trung

 Tài khoản người dùng miền được tạo bằng công cụ Active Directory

Users and Computer (DSA.MSC)

 Tài khoản người dùng miền chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS

Các yêu cầu đối với tài khoản người dùng

 Mỗi username phải từ 1 đến 20 ký tự

 Mỗi username là chuỗi duy nhất của mỗi người dùng  tất cả tên

của người dùng và nhóm không được trùng nhau

 Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >

 Username có thể chứa các ký tự đặc biệt: , khoảng trắng, -, _

Nên tránh các khoảng trắng vì những tên như thế phải đặt trong

dấu ngoặc khi dùng các kịch bản hay dòng lệnh

2/28/2015 8

Công cụ quản lý tài khoản cục bộ

 Tổ chức và quản lý người dùng cục bộ bằng công cụ Local

Users and Groups, cho phép xóa, sửa các tài khoản người

dùng và thay đổi mật mã

 Phương thức truy cập đến công cụ Local Users and Groups:

 Dùng như một MMC (Microsoft Management Console) snap-in

 Dùng thông qua công cụ Computer Management

 Khởi động Computer Management

 Rightclick My Computer / Manage/ System Tools/ Local Users and

Groups

Công cụ quản lý tài khoản cục bộ

 Công cụ Computer Management

Các thao tác cơ bản trên tài khoản cục bộ

 Tạo tài khoản mới

 Xóa tài khoản

 Khóa tài khoản

 Đổi tên tài khoản

 Thay đổi mật khẩu

Tạo tài khoản mới

 Chọn Local Users and Groups, rightclick Users/ New User, Trong hộp thoại New User nhập các thông tin cần thiết vào,

riêng mục Username là bắt buộc phải có

Xóa tài khoản

 Nên xóa tài khoản người dùng khi chắc tài khoản này không bao giờ cần

dùng lại nữa

 Thực hiện chọn Local Users and Groups, chọn tài khoản người dùng cần xóa, nhấp phải chuột và chọn Delete hoặc vào menu Action  Delete

Khóa một tài khoản

 Khi một tài khoản không

sử dụng trong thời gian

dài thì nên khóa lại vì lý

do bảo mật và an toàn hệ

thống

 Trong công cụ Local

Users and Groups , nháy

kép vào tài khoản cần

khóa, chọn Properties /

Tab General/ Account is

disabled

Đổi tên tài khoản

 Có thể đổi tên bất kỳ một tài khoản người dùng

 Có thể điều chỉnh các thông tin của tài khoản người dùng

 Ưu điểm: Khi thay đổi tên người dùng thì SID của tài khoản

vẫn không thay đổi

 Muốn thay đổi tên tài khoản người dùng: mở công cụ Local

Users and Groups, chọn tài khoản người dùng cần thay đổi

tên, nhấp phải chuột và chọn Rename

Thay đổi mật khẩu

 Muốn đổi mật mã của người dùng mở công cụ Local

Users and Groups:

 Chọn tài khoản người dùng cần thay đổi mật mã

 Nhấp phải chuột và chọn Reset password

Thiết lập tính chất của local account

 Các tính chất chính:

 Member of: chọn nhóm cho user làm thành viên

 Profile: Các thông tin về home folder, logon script,…

Built-in local user account

 Được tạo tự động

 Các users

 Administrator: có toàn quyền

 Guest: Dùng cho user không thường xuyên đăng nhập vào máy

 …

Quản lý tài khoản trên AD

Tạo mới tài khoản người dùng

 Dùng công cụ AD User and

Computers trong

Administrative Tools trên DC

để tạo các tài khoản người dùng

 Trong cửa sổ AD Users and

Computers, nhấp phải chuột

vào mục Users, chọn New

User

Tạo mới tài khoản người dùng

 Trong hộp thoại New Object-User,

nhập tên mô tả người dùng, tên tài

khoản logon vào mạng

 User logon name: giá trị bắt buộc

phải và là chuỗi duy nhất cho một tài

khoản người dùng

 Chọn Next để tiếp tục

Tạo mới tài khoản người dùng

 Hộp thoại cho phép :

 Nhập vào mật khẩu

(password) của tài khoản

người dùng

 Đánh dấu vào các lựa

chọn liên quan đến tài

khoản như: cho phép đổi

mật khẩu, yêu cầu phải

đổi mật khẩu lần đăng

nhập đầu tiên hay khóa tài

khoản

Tạo mới tài khoản người dùng

 Hiển thị các thông tin đã cấu hình cho người dùng Chọn Finish để hoàn

thành, Back để chỉnh sửa lại các thông tin nếu cần

Các thuộc tính của tài khoản người dùng

 Quản lý các thuộc tính của các tài khoản bằng công cụ Active

Directory Users and Computers:

 Server manager  Tools  Active Directory Users and

Computers

 Chọn thư mục Users và nhấp đôi chuột vào tài khoản người dùng

cần khảo sát

 Hộp thoại Properties xuất hiện, trong hộp thoại này chứa 13 Tab

 Ngoài ra có thể gom nhóm (dùng hai phím Shift, Ctrl) và hiệu

chỉnh thông tin của nhiều tài khoản người dùng cùng một lúc

Các thông tin mở rộng của người dùng

 Tab General chứa các

thông tin chung của

người dùng

 Có thể nhập thêm một

số thông tin như: số

điện thoại, địa chỉ mail

và địa chỉ trang Web cá

nhân…

Tab Account

 Cho phép:

 Khai báo lại username

 Quy định giờ logon vào mạng

khi đăng nhập hay khai

báo home folder

Tab Profile

 Profile chứa các qui định về màn hình Desktop, nội dung của

menu Start, kiểu cách phối màu sắc, vị trí sắp xếp các icon,

biểu tượng chuột…

 User profile tạo và duy trì tình trạng desktop (desktop

settings) của từng user

 User profile có thể được lưu trên server, được dùng từ các máy client

 Có thể tạo user profile dùng cho nhiều user

 Có thể không cho phép user thay đổi tình trạng desktop

Các dạng user profile

 Local profile

 Lưu trên đĩa địa phương

 Cho phép thay đổi

 Roaming profile

 Lưu trên server

 Cho phép user cập nhật các thay đổi

 Mandatory profile

 Lưu trên server

 Chỉ có administrator có thể thay đổi

Tab Profile

 Khai báo logon script:

 Sử dụng công cụ Active Directory User and Computers

 Khai báo thông qua Group Policy

Tab Member Of

 Tab Member Of: xem và cấu hình tài khoản người dùng hiện tại

Một tài khoản người dùng có thể là thành viên của nhiều nhóm khác nhau và nó được thừa hưởng quyền của tất cả các nhóm này

 Muốn gia nhập vào nhóm nhấp chuột vào nút Add, hộp thoại chọn

nhóm sẽ hiện ra

Tài khoản nhóm – group account

 Là một đối tượng đại diện cho một nhóm người nào đó, dùng cho

việc quản lý chung các đối tượng người dùng

 Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in

 Cấp quyền truy xuất cho group account sẽ tác động trên các user

thành viên

 Chú ý: tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý

Các kiểu nhóm

 Nhóm bảo mật (security group)

 Dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập (permission)

 Các nhóm bảo mật đều được chỉ định các SID (Security ID)

 Nhóm phân phối (distribution group)

 Không thể gán quyền

 Nhóm phi bảo mật, không có SID

 Được dùng bởi các phần mềm dịch vụ: phân phối thư (Email)

hoặc các tin nhắn (message) như dịch vụ MS Exchange

Phạm vi nhóm

 Dựa vào phạm vi, nhóm được chia thành:

 Nhóm toàn cục (Global group)

 Nhóm phổ quát (Universal group)

 Nhóm cục bộ miền (Domain local group)

 Nhóm cục bộ (Local group)

Phân loại trong nhóm bảo mật

 Nhóm toàn cục - Global group: là loại nhóm nằm trong AD

và được tạo trên các DC:

 Dùng để cấp phát những quyền hệ thống và quyền truy cập

 Một nhóm global có thể đặt vào trong một nhóm local của các

server thành viên trong miền

 Cách dùng:

 Áp dụng cho các đối tượng người dùng và máy tính đảm nhận nhiệm vụ bảo trì hệ thống

 Nhóm người dùng có những yêu cầu truy cập mạng tương tự

 Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng

công việc của Global Catalog

Phân loại trong nhóm bảo mật

 Nhóm phổ quát – Universal group

 Thành viên:

 Nhóm toàn cục của bất cứ domain nào trong rừng

 Tài khoản người dùng và máy tính của bất kì domain nào trong rừng

 Quyền

 Có thể gán quyền trong bất cứ domain nào trong rừng

hoặc trong các domain có quan hệ tin cậy với nhau

 Cách dùng:

 Sử dụng để lồng các nhóm vào nhau trong domain

Phân loại trong nhóm bảo mật

 Nhóm cục bộ miền - Domain local group: là local group trên máy DC

 Thành viên:

 Tài khoản từ bất cứ domain nào trong rừng

 Nhóm toàn cục từ bất cứ domain nào trong rừng

 Nhóm phổ quát từ bất cứ domain nào trong rừng

 Quyền:

 Gán quyền chỉ trong cùng domain với nhóm cục bộ

 Cách dùng:

 Xác định và quản lý truy cập tài nguyên trên domain

 Các DC có cơ sở dữ liệu AD chung và được sao chép đồng bộ với nhau local group trên một Domain Controller này thì cũng sẽ có mặt trên các Domain Controller anh

em, local group này có mặt trên miền nhóm cục bộ miền

 Các nhóm trong mục Built-in của Active Directory là các domain local

Phân loại trong nhóm bảo mật

 Local group (nhóm cục bộ): ý nghĩa và phạm vi hoạt đông ngay

Quy tắc gia nhập nhóm

 Tất cả các nhóm Domain local, Global, Universal đều có thể đặt

vào trong nhóm Local

 Tất cả các nhóm Domain local, Global, Universal đều có thể đặt

vào trong chính loại nhóm của mình

 Nhóm Global và Universal có thể đặt vào trong nhóm Domain

local

 Nhóm Global có thể đặt vào trong nhóm Universal

Các tài khoản tạo sẵn

 Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản

người dùng mà khi ta cài đặt Windows Server thì mặc định

được tạo ra

 Là tài khoản hệ thống:

 Không có quyền xóa

 Có quyền đổi tên

 Tất cả các tài khoản người dùng tạo sẵn đều nằm trong

Container Users của công cụ Active Directory User and

Computer

Tài khoản người dùng tạo sẵn

Tài khoản nhóm Domain Local tạo sẵn

Tài khoản nhóm Global và Universal tạo sẵn

SV tự tìm hiểu

Tài khoản tạo sẵn đặc biệt

Interactive Đại diện cho users sử dụng máy tại chỗ

Network Users đang kết nối mạng đến 1 máytính khác

Everyone Tất cả mọi người dùng

System Đại diện cho hệ điều hành

Creator owner Users tạo ra và sở hữu tài nguyên nào đó

Authenticated user Users đã được hệ thống xác thực

Anonymous logon Users đăng nhập nặc danh vào hệ thống ( sử dụng

FTP…) Service Tài khoản đăng nhập với tư cách 1 dịch vụ

Dialup Users đăng nhập hệ thống bằng Dialup

Tạo mới tài khoản nhóm trên domain

 Xác định loại nhóm cần tạo

 Phạm vi hoạt động của nhóm như thế nào?

Tạo mới tài khoản nhóm trên domain

Tạo mới tài khoản nhóm trên domain

New Object – Group: nhập tên nhóm vào mục Group name, tên

nhóm cho các hệ điều hành trước Windows 2000 tự động sinh, có

thể hiệu chỉnh lại cho phù hợp

Tạo mới tài khoản nhóm trên domain

 Bổ sung các user vào group vừa tạo:

 Kích chuột phải lên tên group, chọn Properties/Members/ Chọn adds

 Hộp thoại Select Users, Contacts, Computers, Service Accounts

or Groups, nhập user Sử dụng Check Names để kiểm tra tính

chính xác của user, Advanced để tìm kiếm và lựa chọn user

Tạo mới tài khoản nhóm trên domain

 Kết quả sau khi bổ sung user vào group Nếu muốn tiếp tục bổ sung user lặp lại thao tác trước đó

Tạo mới tài khoản nhóm trên domain

 Xóa một group: Chọn group tương ứng, chọn Delete

 Chọn Yes để đồng ý

Quản trị OU

tài nguyên mạng được tạo ra nhằm mục đích dễ dàng quản lý hơn và ủy quyền cho các quản trị viên địa

phương giải quyết các công việc đơn giản

hạn phần cứng thông qua các Group Policy

Các bước xây dựng một Organizational Unit

 Server manager  Tools  Active Directory User and

Computer Kích chuột phải lên tên domain, chọn New 

Organizational Unit

Các bước xây dựng một Organizational Unit

 Hộp thoại New-Object – OU: Nhập tên và bấm OK

Lựa chọn này để bảo vệ nhóm khi xóa bất thường

 Đưa các máy trạm đã gia nhập mạng vào OU vừa tạo

 Server manager/ Tools/ AD User and Computers

 Đưa các người dùng cần quản lý vào OU vừa tạo

Các tài khoản người dùng và máy tính tham gia vào OU

 Chỉ ra người/nhóm người sẽ quản lý OU

 Right click OU vừa tạo, chọn Properties, Managed By, nhấp chuột vào nút Change để chọn người dùng quản lý OU

Chính sách hệ thống - System Policy

 Chính sách tài khoản người dùng

 Chính sách cục bộ

 IP Security

Chính sách tài khoản người dùng

 Account policy: được dùng để chỉ định các thông số về tài

khoản người dùng khi tiến trình logon xảy ra nhằm giảm thiểu các mối đe dọa tới tài khoản

 Cấu hình: Server manager  Tools  Local Security Policy

Chính sách tài khoản người dùng

 Chính sách mật khẩu

 Chính sách khóa tài khoản

 Chính sách Kerberos

Chính sách mật khẩu – Password policy

 Đảm bảo an toàn cho mật khẩu cho tài khoản người dùng

 Cho phép qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu…

Chính sách mật khẩu – Password policy

 Các lựa chọn mặc định trong chính sách mật khẩu

Chính sách khóa tài khoản – Account

Lockout Policy

 Định cách thức và thời điểm khóa tài khoản

 Hạn chế tấn công thông qua hình thức logon từ xa

 Các thông số cấu hình chính sách khóa tài khoản:

Chính sách Kerberos – Kerberos Policy

 Là một nhóm các chính sách bảo mật domain

 Chỉ được dùng ở cấp độ domain

Chính sách cục bộ

 Local Policies cho phép thiết lập các chính sách giám sát

các đối tượng (người dùng, tài nguyên dùng chung)

 Cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật

Chính sách kiểm toán

 Giám sát và ghi nhận các sự kiện xảy ra trong hệ thống,

trên các đối tượng và các người dùng

 Các sự kiện an nình này sẽ được gửi cho người quản trị

mạng

 Thiết lập 1 audit policy để:

 Theo dõi sự thành công hay thất bại của sự kiện

 Giảm thiểu sử dụng trái phép các nguồn tài nguyên

 Duy trì hồ sơ về hoạt động

 Security events được lưu trong security logs

Chính sách kiểm toán

 Xem các ghi nhận này thông qua công cụ Event Viewer

Chính sách kiểm toán

 Các lựa chọn trong chính sách kiểm toán

Quyền hệ thống của người dùng

 Cách cấp quyền hệ thống cho người dùng:

 Gia nhập tài khoản người dùng vào các

nhóm tạo sẵn (built-in) để kế thừa quyền

(Phần User and Group)

 Dùng công cụ User Rights Assignment để

gán từng quyền rời rạc cho người dùng

Quyền hệ thống của người dùng

 Thêm/ bớt quyền người dùng

 Chọn quyền sẽ thay đổi

 Chọn Add User or Group khi

muốn thêm quyền

 Romove khi muốn bớt quyền

Quyền hệ thống của người dùng

Danh sách các quyền hệ thống cấp cho người dùng và nhóm:

Quyền hệ thống của người dùng

Các lựa chọn bảo mật - Security Options

 Cho phép khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng đã

logon trước đó hay đổi tên tài khoản người dùng tạo sẵn

(administrator, guest)

Các lựa chọn bảo mật - Security Options

 Một số lựa chọn bảo mật thông dụng

IP Security (IPSec)

 IP Security (IPSec) là một giao thức hỗ trợ thiết lập các kết

nối an toàn dựa trên IP

 IPSec hoạt động ở tầng ba (Network) trong mô hình OSI

 Các tác động bảo mật

 Block transmissons: ngăn chặn những gói dữ liệu được truyền

 Encrypt transmissions: mã hóa những gói dữ liệu được truyền

 Sign transmissions: ký tên vào các gói dữ liệu truyền (digitally

signing)

 Permit transmissions: cho phép dữ liệu được truyền qua, dùng để tạo

ra các qui tắc (rule) hạn chế một số điều và không hạn chế một số điều

khác Ví dụ một qui tắc dạng này “Hãy ngăn chặn tất cả những dữ liệu truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 443”