Người dùng cục bộ: Là tài khoản người dùng được tạo ra trên máy tính cục bộ ví dụ: trên các máy tính chạy hệ điều hành Windows XP hay Windows Server 2003 khi chưa nâng cấp thành Domai
Trang 1Chương 3 QUẢN TRỊ NGƯỜI DÙNG VÀ NHÓM NGƯỜI DÙNG
Trong chương này nghiên cứu các vấn đề sau:
1 Tạo tài khoản người dùng
Trên mạng Windows có hai loại tài khoản người dùng là:
Người dùng cục bộ và người dùng vùng
1.1 Người dùng cục bộ:
Là tài khoản người dùng được tạo ra trên máy tính cục bộ ví dụ: trên
các máy tính chạy hệ điều hành Windows XP hay Windows Server
2003 khi chưa nâng cấp thành Domain
Đặc điểm của người dùng cục bộ:
Tài khoản người dùng cục bộ chỉ có giá trị trên chính máy tính mà tài
khoản đó được tạo ra
Cụ thể:
Tài khoản cục bộ được đăng nhập cục bộ vào máy tính mà trên đó
tài khoản được tạo ra
`
Trang 2 Hoặc đăng nhập qua mạng vào máy tính mà trên đó tài khoản tồn tại
Cách tạo tài khoản người dùng cục bộ trên máy tính chạy hệ điều hành
Windows XP:
Nhấp phải chuột vào My Computer chọn Manage làm xuất hiện màn
hình Computer management
Trang 3 Trên màn hình Computer Management nhấp chọn thư mục Local
Users and Group trên màn hình bên trái và nhấp phải vào khoảng trống trên màn hình bên phải và chọn New User
Trên màn hình New User nhập các thông tin sau:
User name: Tên tài khoản đăng nhập ví dụ : u1
Full name: Tên đầy đủ của tài khoản đăng nhập ví dụ: Nguyễn Văn A
Description: Phần diễn giải
Password: Nhập vào password của tài khoản đăng nhập
Confirm password: Nhắc lại password đã nhập
User must change password at next logon: nếu chọn mục này thì khi đăng
nhập lần đầu vào máy cục bộ người dùng phải đổi password
User cannot change password: Nếu chọn mục này người dùng không
được thay đổi password
Password never expires: Nếu chọn mục này Password không bao giờ bị
loại bỏ
Account is disabled: Nếu mục này được chọn thì tài khoản sẽ bị cấm
Sau khi đã nhập và lựa chọn đầy đủ các thông tin nhấp nút Create tài
khoản sẽ được tạo
Trang 4 Trên Server 2003 khi chưa nâng cấp thành Domain Controller, cách tạo
tài khoản cục bộ giống như trên máy Windows XP
Đây là Computer Management của Server 2003 khi chưa nâng cấp thành Domain Controller
Trang 52 Sửa ,xóa tài khoản người dùng
Để sửa tài khoản người dùng vùng ta làm như sau:
Trang 6 Để sửa tên tài khoản: Trên màn hình Active Directory Users and Computers
nhấp phải chuột vào tên tài khoản chọn Rename
Để xóa tài khoản : Trên màn hình Active Directory Users and Computers nhấp
phải chuột vào tên tài khoản chọn Delete
3 Cấu hình thuộc tính tài khoản người dùng
Để cấu hình các thuộc tính của tài khoản người dùng trên màn hình Active
Directory ta nhấp phải chuột vào tài khoản chọn Properties
Trang 7 Trên màn hình thuộc tính của tài khoản người dùng nhấp chọn thẻ Account
Trang 8 User logon name: Là tài khoản đăng nhập
Mục Logon Hours:
Dùng để cấu hình thời gian làm việc của Account, nhấp vào nút Logon
Hours màn hình xuất hiện như sau:
Màu xanh là Logon Permission: được quyền truy cập
Màu trắng là Logon Denied: Không được quyền truy cập
Mặc định tài khoản người dùng vùng sẽ được quyền truy cập vào mạng bất cứ
thời gian nào tức là 24/7
Để giới hạn thời gian làm việc ta cấp quyền như sau:
Giả sử tài khoản u1 làm việc các ngày thứ 2, thứ 4, thứ 6 và thời gian từ 2 giờ
chiều đến 10 giờ đêm
Trang 9 Ngoài thời gian đã cho phép nếu người dùng vẫn truy cập mạng thì đương
nhiên tài khoản sẽ không hiệu lực
Ở Account is Locked Out: mục này sẽ được chọn khi Account bị khóa
Ở mục Account Option:
User must change password at logon: mục này nếu được chọn người dùng sẽ phải đổi password tại lần đăng nhập đầu tiên
User cannot change password: mục này được chọn cho phép người dùng không đổi được password
Password Never Expires: password không bị loại
Ở mục Account Expires: xác định thời gian password bị loại bỏ
Trang 10 Sau khi lựa có các lựa chọn phù hợp nhấp OK để áp dụng
Mục Logon To:
Dùng để quy định vị trí làm việc của người dùng tức là khi người quản trị
cấp quyền cho người dùng chỉ làm việc ở vị trí cố định này thì khi sang nơi
khác cũng không thể đăng nhập được mặc dù có username và password
Cách cấu hình này như sau:
Nhấp nút Logon To màn hình xuất hiện như sau:
Trên màn hình này mặc định người dùng được quyền truy cập mạng từ bất cứ
máy tính nào trên mạng
Nếu muốn quy định vị trí đăng nhập thì nhấp chọn mục The following computer
rồi nhập tên máy tính vào khung Computer name rồi nhấp Add
Trang 11 Nhấp OK để áp dụng và đóng hộp thoại
Nếu đăng nhập không đúng vị trí sẽ có thông báo sau:
4 Cấu hình chính sách tài khoản
Để đảm bảo an toàn cho tài khoản người dùng ta phải cấu hình chính sách tài
khoản thông qua công cụ Domain Security Policy
Chính sách tài khoản gồm có:
Password Policy Account Lockout Policy
Trang 12Để cấu hình chính sách Account mở màn hình Domain Security Policty: Start/
Administrative Tool/ Domain Security Policy
Trang 13 Màn hình Domain Security Policy như sau:
4.1 Password Policy
Trên màn hình Default Domain Security setting nhấp :
Account Polies\PasswordPolicy Trên màn hình bên phải có các Option sau:
Trang 14Ý nghĩa các mục cấu hình của Password Policy:
+ Enforce password history:phải dùng bao nhiêu password mới trước khi
dùng lại password cũ mặc định là 24
+ Maximum password age: thời gian password có hiệu lực tối đa là 42 ngày
+ Minimum password age: thời gian password có hiệu lưc tối thiểu là 1 ngày
+ Minimum password Length: Chiều dài password tối thiểu
Chỉnh Enforce password history:
Nhấp đúp vào Enforce password history, đánh dấu check vào Define this
policy setting, thay đổi giá trị tại mục Keep password history for rồi nhấp OK
để áp dụng
Làm tương tự để cấu hình các Option còn lại
Trang 15II QUẢN LÝ GROUP
1 Tạo tài khoản nhóm
Windows quản lý người dùng thông qua nhóm, một người dùng có thể
thuộc nhiều nhóm Việc quản lý người dùng thông qua nhóm giúp cho
người quản trị dễ dàng phân chia danh mục để quản lý, việc thêm bớt
người dùng dễ dàng
Cách tạo nhóm như sau:
Trên màn hình Active Directory Users and Computers: nhấp phải chuột vào OU
user chọn Group
Trang 16 Nhấp phải chuột vào thư mục Users bên trái /New / Group
Diễn giải:
Tại mục Group name: Nhập vào tên nhóm
Tại mục Group scope: chọn Domain Local Group
+ Global Group: Là nhóm toàn cục + Domain local Group: Là nhóm cục bộ miền
Tại mục Group Type: Chọn Security
Sau đó nhấp OK để áp dụng và đóng hộp thoại này
2 Thêm thành viên cho nhóm:
Trên màn hình Active Directory Users and Computers nhấp phải vào tên nhóm và
chọn Properties
Trang 17 Nhấp thẻ Member
Trang 18 Nhấp nút Add:
Chọn các tài khoản muốn là thành viên của nhóm rồi nhấp OK 2 lần
Trang 19 Nhấp OK để áp dụng và thoát khỏi màn hình thuộc tính nhóm
Lưu ý:
Trên màn hình thuộc tính nhóm muốn Add thành viên cho nhóm thì nhấp
thẻ Members, muốn nhóm là thành viên của nhóm khác thì nhấp thẻ
Members of
Nhóm Domain Local Group: chứa người dùng vùng và nhóm Global Group
Nhóm Global Group: chỉ chứa người dùng vùng
Trang 20 G1 là nhóm Global nhấp nút Add để thêm thành viên trên màn hình Select
user không có tài khoản nhóm
Khi cấp quyền truy cập ta cấp quyền thông qua nhóm Domain Local Group
Thành viên của nhóm Global muốn được cấp quyền thì nhóm Global phải
là thành viên của một nhóm Domain Local Group
Trang 213 Các nhóm cài sẵn
Các nhóm cài sẵn là các nhóm được tạo ra trong quá trình cài đặt
Windows Server 2003 còn được gọi là nhóm Builtin và là kiểu nhóm
Security Group – Domain Local
Ngoài ra còn có một số nhóm cài sẵn dùng quản trị Domain tức nó được tạo
ra trong quá trình nâng cấp Server lên Domain Controller như:
Trang 22 Trong đó có nhóm có sẵn thành viên một cách mặc định như nhóm
Domain Users:
Nhóm Domain Users: mặc định người dùng vùng là thành viên của nhóm này
