Bài 3: Dịch vụ thư mục (ACTIVE DIRECTORY)
3.6. Công cụ quản trị các đối tượng trong Active Directory
Một trong bốn công cụ quản trị hệ thống Active Directory thì công cụ Active Directory User and Computer là công cụ quan trọng nhất và chúng ta sẽ gặp lại nhiều trong trong giáo trình này, từng bước ta sẽ khảo sát hết các tính năng trong công cụ này.
Công cụ này có chức năng tạo và quản lý các đối tượng cơ bản của hệ thống ActiveDirectory.
Theo hình trên chúng ta thấy trong miền netclass.edu.vn có các mục sau:
- Builtin: chứa các nhóm người dùng đã được tạo và định nghĩa quyền sẵn.
- Computers: chứa các máy trạm mặc định đang là thành viên của miền. Bạn cũng có thể dùng tính năng này để kiểm tra một máy trạm gia nhập vào miền có thành công không.
- Domain Controllers: chứa các điều khiển vùng (Domain Controller) hiện đang hoạt động trong miền. Bạn cũng có thể dùng tính năng này để kiểm tra việc tạo thêm Domain Controller đồng hành có thành công không.
- ForeignSecurityPrincipals: là một vật chứa mặc định dành cho các đối tượng bên ngoài miền đang xem xét, từ các miền đã thiết lập quan hệ tin cậy (trusted domain).
- Users: chứa các tài khoản người dùng mặc định trên Miền.
vai trò của user và group trong việc quản trị hệ thống và phân quyền quản trị.
Ngay từ các máy cục bộ chúng ta cũng đã xây dựng các khái niệm về người dùng và nhóm, điều đó giúp máy tính của chúng ta hoạt động hiệu quả hơn và bảo mật hơn, các tài khoản thuộc các nhóm khác nhau có các quyền hạn khác nhau, có hoặc không giới hạn quyền nhưng tôn trọng nhau trong hoạt động và có chế độ bảo mật. Điều này rất quan trọng khi làm việc và quản lý trong phạm vi nhóm làm việc để cùng hoàn thành công việc.
Khi phát triển lên mạng Lan cũng ta đã có cảm giác hơn về vai trò của nó nhưng dường như chỉ khi chúng ta xây dựng nên hệ điều hành mạng như windows server 2003 với đầy đủ công cụ quản trị và hỗ trợ của Active Directory thì chúng ta cảm nhận rõ rang sự quan trọng của người dùng và nhóm người dùng. Với yêu cầu phải xây dựng và quản tri mạng lớn và các thành viên trong mạng có các nhóm khác nhau, có đầy đủ thông tin và quyền hạn để cùng nhau làm việc xây dựng một nhóm làm việc hiệu quả và bảo mật, các nhóm không chồng chéo lên nhau mà vừa độc lập nhau, vừa hỗ trợ nhau giải quyết các công việc của mình.
Khái niệm người dùng và nhóm trở nên quan trọng và trở thành một thành phần quan trọng không thể thiếu được của windows server 2003.
Thêm nào nữa việc chia sẻ dữ liệu và phân quyền phải tuân thủ những cơ chế và thủ tục riêng của nó khi đăng nhập cũng như kiểm tra quyền hạn, nếu có một chính sách như quản trị theo người dùng và nhóm thì việc phân quyền và chia sẻ tài nguyên có một số người sử dụng cho các nhóm đã được xác định thì điều này trở nên dễ dàng và khả thi hơn. Điều đó giúp cho hệ thống được an toàn và bảo mật. Tránh được sự không kiểm soát và quản lý tài nguyên chia sẻ được cung cấp, tuy nhiên đó cũng mới chỉ là một phần trong công việc của các công cụ quản trị và bảo mật.
Trong môi trường miền, các tài khoản người dùng là rất cần thiết. Tài khoản người dùng cho phép một người dùng được phân biệt với các người dùng khác trên mạng. Điều này có nghĩa là bạn hoàn toàn có thể kiểm tra hành động trực tuyến của người dùng và cũng có thể trao cho tài khoản người dùng một tập hợp cho phép, gán cho người dùng một địa chỉ email duy nhất, và có được tất cả các cần thiết khác của mỗi người.
Lời khuyên là dù bạn quản lý một mạng rất nhỏ thì cũng nên xử lý mạng nhỏ này như nó là một mạng lớn, bởi vì bạn sẽ không thể biết được mạng của bạn sẽ phình ra trở thành một mạng lớn vào khi nào. Bằng việc sử dụng các công nghệ quản lý tốt ngay từ khi bắt đầu sẽ giúp bạn tránh được những cơn ác mộng sau này.
Bạn có thể hình dung ra được cảm nhận của những người dùng mạng lúc này. Một số yếu điểm bắt đầu xuất hiện, một số có liên quan đến hiệu suất phần cứng, nhưng hầu như tất cả lý do chính là hiệu quả quản lý các tài khoản người dùng của một mạng được thiết lập hạn chế ngay từ ban đầu. Quả thực, mạng đã trở thành một đống hỗn độn đến nỗi tất cả tài khoản
nhanh không như mong đợi có thể gây ra nhiều vấn đề nhưng bạn có thể vẫn phân vân rằng tại sao trong thế giới thực mọi thứ lại dễ trở thành không thể quản lý như vậy đối tất cả các tài khoản đến nỗi phải xóa chúng.
Như đã đề cập, tất cả các thiết lập cấu hình và bảo mật là dựa theo người dùng. Điều đó có nghĩa rằng nếu một quản lý viên nào đó đến hỏi chỉ cho anh ta ai đã truy cập vào tài nguyên mạng, chúng ta sẽ phải xem các tài khoản để xem có người dùng nào đã truy cập vào tài nguyên đó không. Khi chỉ có một số người dùng thì việc kiểm tra này chỉ cần xem xem những người dùng này có truy cập vào đó hay không (chỉ mất khoảng chừng 20 phút). Tuy nhiên đối với một mạng lớn có đến hàng trăm người, thì làm như vậy sẽ mất quá nhiều công sức.
Tất cả các vấn đề chúng ta đã miêu tả có thể được ngăn chặn nếu các nhóm được sử dụng ở đây. Ý tưởng cơ bản nằm sau các nhóm này là, một nhóm có thể gồm có nhiều tài khoản người dùng. Khi các thiết lập bảo mật được gán ở mức nhóm thì bạn sẽ không bao giờ nên gán các cho phép trực tiếp đến tài khoản người dùng mà thay vì đó bạn nên gán sự cho phép cho một nhóm, sau đó tạo cho người dùng là một thành viên trong các nhóm đó.
Chúng ta đã nhận ra rằng, điều này có thể gây ra một chút phức tạp, do vậy chúng tôi sẽ minh chứng kỹ thuật này cho bạn. Giả dụ rằng một trong số các máy chủ file của bạn có một thư mục tên Data, và bạn cần phải đồng ý cho một người dùng truy cập (đọc) thư mục Data này. Thay vì gán trực tiếp sự cho phép cho người dùng, bạn hãy tạo một nhóm. Nhóm đó sẽ quản trị và cấp quyền để bạn có những biện pháp an toàn nhất.
2. Tài khoản người dùng
2.1. Định nghĩa tài khoản người dùng
Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép.
2.1.1 Tài khoản người dùng cục bộ
Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ. Bạn tạo tài khoản người dùng cục bộ với công cụ Local Users and Group trong Computer Management (COMPMGMT.MSC). Các tài khoản cục bộ tạo ra trên máy stand- alone server, member server hoặc các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager). Tập tin SAM này được đặt trong thư mục \Windows\system32\config.
Hình 4.1: lưu trữ thông tin tài khoản người dùng cục bộ 2.1.2 Tài khoản người dùng miền
Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. Bạn tạo tài khoản người dùng miền với công cụ Active Directory Users and Computer (DSA.MSC). Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục
\Windows\NTDS.
Hình 4.2: Lưu trữ thông tin tài khoản người dùng miền. 2.1.3 Yêu cầu về tài khoản người dùng
- Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự).
- Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau.
- Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
- Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới. Tuy nhiên, nên tránh các khoảng trắng vì những tên như thế phải đặt trong dấu ngoặc khi dùng các kịch bản hay dòng lệnh.
2.2 Tài khoản người dùng tạo sẵn
Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server 2003 thì mặc định được tạo ra. Tài khoản này là hệ thống nên chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi tên (chú ý thao tác đổi tên trên những tài khoản hệ thống phức tạp một chút so với việc đổi tên một tài khoản bình
trong Container Users của công cụ Active Directory User and Computer. Sau đây là bảng mô tả các tài khoản người dùng được tạo sẵn:
Tên tài khoản Mô tả
Administrator
Administrator là một tài khoản đặc biệt, có toàn quyền trên máy tính hiện tại. Bạn có thể đặt mật khẩu cho tài khoản này trong lúc cài đặt Windows Server 2003. Tài khoản này có thể thi hành tất cả các tác vụ như tạo tài khoản người dùng, nhóm, quản lý các tập tin hệ thống và cấu hình máy in…
Guest
Tài khoản Guest cho phép người dùng truy cập vào các máy tính nếu họ không có một tài khoản và mật mã riêng. Mặc định là tài khoản này không được sử dụng, nếu được sử dụng thì thông thường nó bị giới hạn về quyền, ví dụ như là chỉ được truy cập Internet hoặc in ấn.
ILS_Anonymous _ User
Là tài khoản đặc biệt được dùng cho dịch vụ ILS. ILS hỗ trợ cho các ứng dụng điện thoại có các đặc tính như: caller ID, video conferencing, conference calling, và faxing. Muốn sử dụng ILS thì dịch vụ IIS phải được cài đặt.
IUSR_computer-
name Là tài khoản đặc biệt được dùng trong các truy cập giấu tên trong dịch vụ
IWAM_computer
- name Là tài khoản đặc biệt được dùng cho IIS khởi động các tiến trình của các
Krbtgt Là tài khoản đặc biệt được dùng cho dịch vụ trung tâm phân phối khóa
TSInternetUser Là tài khoản đặc biệt được dùng cho Terminal Services.