Bài 10: Quản lý tài khoảng của người dùng và nhóm

Chia sẻ: Nguyen Van TUan | Ngày: | Loại File: DOC | Số trang:32

3
322
lượt xem
225
download

Bài 10: Quản lý tài khoảng của người dùng và nhóm

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Kết thúc bài học này cung cấp cho học viên kiến thức về tài khoản người dùng, nhóm các thuộc tính cảu tài khoản người dùng, các nhóm tạo sẵn....

Chủ đề:
Lưu

Nội dung Text: Bài 10: Quản lý tài khoảng của người dùng và nhóm

  1. B ài   10   QUẢN   LÝ   TÀI   KHOẢN   NGƯỜI  DÙNG VÀ NHÓM  Tóm tắt Lý thuyết 4 tiết -Thực hành 10 tiết Mục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêm Kết thúc bài học này cung I. Định nghĩa tài khoản người dùng và Dựa vào bài Dựa vào bài tập cấp học viên kiến thức tài khoản nhóm. II. Chứng thực và tập môn Quản môn Quản vềtài khoản người dùng, kiểm soát truy cập. III. Các tài khoản trịWindows trịWindows nhóm, các thuộc tính của tạo sẵn. IV. Quản lý tài khoản người Server 2003. Server 2003. tài khoản người dùng, các dùng và nhóm cục bộ. V. Quản lý tài nhóm tạo sẵn … khoản người dùng và nhóm trên Active Directory. I. ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG VÀ TÀI KHOẢN NHÓM. I.1. Tài khoản người dùng. Tài khoản người dùng (user account) là một đốitượng quan trọng đại diện cho người dùng trên mạng, chúng được phân biệtvới nhau thông qua chuỗi nhậndạng username. Chuỗi nhậndạng này giúp hệthống mạng phân biệt giữa người này và người khác trên mạng từđó người dùng có thểđăng nhập vào mạng và truycập các tài nguyên mạng mà mình được phép. I.1.1 Tài khoản người dùng cụcbộ. Tài khoản người dùng cụcbộ(local user account) là tài khoản người dùng được định nghĩa trên máy cụcbộvà chỉđược phép logon, truy cập các tài nguyên trên máy tính cụcbộ.Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thựclạivới máy domain controller
  2. hoặc máy tính chứa tài nguyên chia sẻ.Bạntạo tài khoản người dùng cụcbộvới công cụLocal Users and Group trong Computer Management (COMPMGMT.MSC). Các tài khoảncụcbộtạo ra trên máy stand-alone server, member server hoặc các máy trạm đều đượclưu trữtrong tập tin cơsởdữliệu SAM (Security Accounts Manager). Tập tin SAM này được đặt trong thưmục \Windows\system32\config. Hình 3.1: lưu trữthông tin tài khoản người dùng cụcbộ I.1.2 Tài khoản người dùng miền. Tài khoản người dùng miền(domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập(logon) vào mạng trên bấtkỳmáy trạm nào thuộc vùng. Đồng thờivới tài khoản này người dùng có thểtruy cập đến các tài nguyên trên mạng. Bạntạo tài khoản người dùng miềnvới công cụActive Directory Users and Computer (DSA.MSC). Khác với tài khoản người dùng cụcbộ, tài khoản người dùng miền không chứa trong các tập tin cơsởdữliệu SAM 261 mà chứa trong tập tin NTDS.DIT, theo mặc định thìtập tin này chứa trong thưmục \Windows\NTDS. Hình 3.2: lưu trữthông tin tài khoản người dùng miền.
  3. I.1.3 Yêu cầuvềtài khoản người dùng. -Mỗi username phảitừ1 đến 20 ký tự(trên Windows Server 2003 thì tên đăng nhập có thểdài đến 104 ký tự, tuy nhiên khi đăng nhậptừcác máy cài hệđiều hành Windows NT 4.0 vềtrước thì mặc định chỉhiểu20 ký tự). -Mỗi username là chuỗi duy nhấtcủamỗi người dùng có nghĩa là tấtcảtên của người dùng và nhóm không được trùng nhau. -Username không chứa các ký tựsau: “/ \ [ ] : ; |= , + *? < > -Trong một username có thểchứa các ký tựđặc biệt bao gồm: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấugạch dưới. Tuy nhiên, nên tránh các khoảng trắng vì những tên nhưthếphải đặt trong dấu ngoặc khi dùng các kịch bản hay dòng lệnh. I.2. Tài khoản nhóm. Tài khoản nhóm (group account) là một đốitượng đại diện cho một nhóm người nào đó, dùng cho việc quản lý chung các đốitượng người dùng. Việc phân bổcác người dùng vào nhóm giúp chúng ta dễdàng cấp quyền trên các tài nguyên mạng nhưthưmục chia sẻ, máy in. Chú ý là tài khoản người dùng có thểđăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉdùng để quản lý. Tài khoản nhóm được chia làm hai loại: nhóm bảomật(security group) và nhóm phân phối (distribution group). I.2.1 Nhóm bảomật. Nhóm bảomật là loại nhóm được dùng đểcấp phát các quyềnhệthống (rights) và quyền truy cập (permission). Giống nhưcác tài khoản người dùng, các nhóm bảomật đều được chỉđịnh các SID. Có ba loại nhóm bảomật chính là: local, global và universal. Tuy nhiên nếu chúng ta khảo sát kỹthì có thểphân thành bốn loại nhưsau: local, domain local, global và universal. Local group (nhóm cụcbộ) là loại nhóm có trên các máy stand-alone Server, member server,Win2K Pro hay WinXP. Các nhóm cụcbộnày chỉcó ýnghĩa và phạm vi hoạt động ngay tại trên máy 262 chứa nó thôi. Domain local group (nhóm cụcbộmiền) là loại nhóm cụcbộđặc biệt vì chúng là local group nhưng nằm trên máy Domain Controller. Các máy Domain Controller có mộtcơsởdữliệu Active Directory chung và được sao chép đồng bộvới nhau do đómột local group trên một Domain Controller này thì cũng sẽcó mặt trên các Domain Controller anh em của nó, nhưvậy local group này có mặt trên miền nên đượcgọivới cái tên nhóm cụcbộmiền. Các nhóm trong mục Built-in của Active Directory là các domain local. Global group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong Active Directory
  4. và được tạo trên các Domain Controller. Chúng dùng đểcấp phát những quyềnhệthống và quyền truy cập vượt qua những ranh giớicủamột miền. Một nhóm global có thểđặt vào trong một nhóm local của các server thành viên trong miền. Chú ý khi tạo nhiều nhóm global thì có thểlàm tăng tải trọng công việccủa Global Catalog. Universal group (nhóm phổquát) là loại nhóm có chứcnăng giống nhưglobal group nhưng nó dùng đểcấp quyền cho các đốitượng trên khắp các miền trong mộtrừng và giữa các miền có thiếtlập quan hệtin cậyvới nhau. Loại nhóm này tiệnlợihơn hai nhóm global group và local group vì chúng dễdàng lồng các nhóm vào nhau. Nhưng chú ý là loại nhóm này chỉcó thểdùng được khi hệthống của bạn phải hoạt động ởchếđộWindows 2000 native functional level hoặc Windows Server 2003 functional level có nghĩa là tấtcảcác máy Domain Controller trong mạng đều phải là Windows Server 2003 hoặc Windows 2000 Server. I.2.2 Nhóm phân phối. Nhóm phân phối là một loại nhóm phi bảomật, không có SID và không xuất hiện trong các ACL (Access Control List). Loại nhóm này không được dùng bởi các nhà quản trịmà được dùng bởi các phầnmềm và dịch vụ. Chúng được dùng đểphân phốthư(e-mail) hoặc các tin nhắn(message). Bạn sẽgặplại loại nhóm này khi làm việcvới phầnmềm MS Exchange. I.2.3 Qui tắc gia nhập nhóm. -Tấtcảcác nhóm Domain local, Global, Universal đều có thểđặt vào trong nhóm Machine Local. -Tấtcảcác nhóm Domain local, Global, Universal đều có thểđặt vào trong chính loại nhóm của mình. -Nhóm Global và Universal có thểđặt vào trong nhóm Domain local. -Nhóm Global có thểđặt vào trong nhóm Universal.
  5. Hình 3.3: khảnăng gia nhậpcủa các loại nhóm. II. CHỨNG THỰC VÀ KIỂM SOÁT TRUY CẬP. II.1. Các giao thức chứng thực. Chứng thực trong Windows Server 2003 là quy trình gồm hai giai đoạn: đăng nhậptương tác và chứng thựcmạng. Khi người dùng đăng nhập vùng bằng tên và mật mã, quy trình đăng nhậptương tác sẽphê chuẩn yêu cầu truy cậpcủa người dùng. Với tài khoảncụcbộ, thông tin đăng nhập được chứng thựccụcbộvà người dùng đượccấp quyền truy cập máy tính cụcbộ.Với tài khoản miền, thông tin đăng nhập được chứng thực trên Active Directory và người dùng có quyền truy cập các tài nguyên trên mạng. Nhưvậyvới tài khoản người dùng miền ta có thểchứng thực trên bấtkỳmáy tính nào trong miền. Windows 2003 hỗtrợnhiều giao thức chứng thựcmạng, nổibật nhất là: -Kerberos V5: là giao thức chuẩn Internet dùng đểchứng thực người dùng và hệthống.-NT LAN Manager (NTLM): là giao thức chứng thực chính của Windows NT.-Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơchếchứng thực chính được dùng khi truy cập vào máy phụcvụWeb an toàn. II.2. Sốnhận diệnbảomật SID. Tuy hệthống Windows Server 2003 dựa vào tài khoản người dùng (user account) đểmô tảcác quyềnhệthống (rights) và quyền truy cập(permission) nhưng thựcsựbên trong hệthống mỗi tài khoản được đặc trưng bởimột con sốnhậndạng bảomật SID (Security Identifier). SID là thành phần nhậndạng không trùng lặp, đượchệthống tạo ra đồng thờivới tài khoản và dùng riêng cho hệthống xửlý, người dùng không quan tâm đến các giá trịnày. SID bao gồm phần SID vùng cộng thêm vớimột RID của người dùng không trùng lặp. SID có dạng chuẩn“S-1-5-21-D1-D2-D3-RID”, khi đótấtcảcác SID trong miền đều có cùng giá trịD1, D2, D3, nhưng giá trịRID là khác nhau. Hai mục đích chính của việchệthống sửdụng SID là: -Dễdàng thay đổi tên tài khoản người dùng mà các quyềnhệthống và quyền truy cập không thay 264 đổi.
  6. -Khi xóa một tài khoản thì SID của tài khoản đó không còn giá trịnữa, nếu chúng ta có tạomột tài khoảnmới cùng tên với tài khoảnvừa xóa thì các quyềncũcũng không sửdụng đượcbởi vì khi II.3. Kiểm soát hoạt động truy cậpcủa đốitượng.Active Directory là dịch vụhoạt động dựa trên các đốitượng, có nghĩa là người dùng, nhóm, máy tính, các tài nguyên mạng đều được định nghĩadướidạng đốitượng và được kiểm soát hoạt động truycậpdựa vào bộmô tảbảomật ACE. Chứcnăng củabộmô tảbảomật bao gồm: -Liệt kê người dùng và nhóm nào đượccấp quyền truy cập đốitượng. -Định rõ quyền truy cập cho người dùng và nhóm. -Theo dõi các sựkiệnxảy ra trên đốitượng. -Định rõ quyềnsởhữucủa đốitượng. Các thông tin củamột đốitượng Active Directory trong bộmô tảbảomật được xem là mục kiểm soát hoạt động truy cập ACE (Access Control Entry). Một ACL (Access Control List) chứa nhiều ACE, nó là danh sách tấtcảngười dùng và nhóm có quyền truy cập đến đốitượng. ACL có đặc tính kếthừa, có nghĩa là thành viên củamột nhóm thì được thừahưởng các quyền truy cập đãcấp cho nhóm này. III. CÁC TÀI KHOẢN TẠO SẴN. III.1. Tài khoản người dùng tạosẵn. Tài khoản người dùng tạosẵn(Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server 2003 thì mặc định đượctạo ra. Tài khoản này là hệthống nên chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi tên (chú ý thao tác đổi tên trên những tài khoảnhệthống phứctạpmột chút so với việc đổi tên một tài khoản bình thường do nhà quản trịtạo ra). Tấtcảcác tài khoản người dùng tạosẵn này đềunằng trong Container Users của công cụActive Directory User and Computer. Sau đâylà bảng mô tảcác tài khoản người dùng đượctạosẵn:
  7. Administrator Administrator là một tài khoản đặc biệt, có toàn quyền trên máy tính hiện tại. Bạn có thểđặt mật khẩu cho tài khoản này trong lúc cài đặt Windows Server 2003. Tài khoản này có thểthi hành tất cảcác tác vụnhưtạo tài khoản người dùng, nhóm, quản lý các tập tin hệthống và cấu hình máy in… Guest Tài khoản Guest cho phép người dùng truy cập vào các máy tính nếu họkhông có một tài khoản và mật mã riêng. Mặc định là tài khoản này không được sửdụng, nếu được sửdụng thì thông thường nó bịgiới hạn vềquyền, ví dụnhưlà chỉđược truy cập Internet hoặc in ấn. Là tài khoản đặc biệt được dùng cho dịch vụILS. ILS hỗtrợcho các ứng ILS_Anonymous_ dụng điện thoại có các đặc tính như: caller ID, video conferencing, User conference calling, và faxing. Muốn sửdụng ILS thì dịch vụIIS phải được cài đặt. IUSR_computer- name Là tài khoản đặc biệt được dùng trong các truy cập giấu tên trong dịch vụIIS trên máy tính có cài IIS. IWAM_computer- name Là tài khoản đặc biệt được dùng cho IIS khởi động các tiến trình của các ứng dụng trên máy có cài IIS. Là tài khoản đặc biệt được dùng cho dịch vụtrung tâm phân phối khóa Krbtgt (Key Distribution Center) TSInternetUser Là tài khoản đặc biệt được dùng cho Terminal Services. III.2. Tài khoản nhóm Domain Local tạosẵn.Nhưng chúng ta đã thấy trong công cụActive Directory User and Computers, container Users chứa nhóm universal, nhóm domain local và nhóm global là do hệthống đãmặc định quy định trước.Nhưng mộtsốnhóm domain local đặc biệt được đặt trong container Built-in, các nhóm này không được di chuyển sang các OU khác, đồng thời nó cũng được gán mộtsốquyềncốđịnh trước nhằm phụcvụcho công tác quản trị.Bạncũng chú ýrằng là không có quyền xóa các nhóm đặc biệt này.
  8. Nhóm này mặc định được ấn định sẵn tất cảcác quyền hạn cho nên thành viên của nhóm này có toàn quyền trên hệthống mạng. Nhóm Administrators Domain Admins và Enterprise Admins là thành viên mặc định của nhóm Administrators. Thành viên của nhóm này có thểthêm, xóa, sửa được các tài khoản người Account dùng, tài khoản máy và tài khoản nhóm. Tuy nhiên họkhông có quyền Operators xóa, sửa các nhóm trong container Built-in và OU. Nhóm này chỉcó trên các Domain Controller và mặc định không có thành Domain viên nào, thành viên của nhóm có thểđăng nhập cục bộvào các Domain Controllers Controller nhưng không có quyền quản trịcác chính sách bảo mật. Thành viên của nhóm này có quyền lưu trữdựphòng (Backup) và phục hồi (Retore) hệthống tập tin. Trong trường hợp hệthống tập tin là NTFS và họkhông được gán quyền trên hệthống tập tin thì thành viên của nhóm Backup này chỉcó thểtruy cập hệthống tập tin thông qua công cụBackup. Nếu Operators muốn truy cập trực tiếp thì họphải được gán quyền. Là nhóm bịhạn chếquyền truy cập các tài nguyên trên mạng. Các thành Guests viên nhóm này là người dùng vãng lai không phải là thành viên của mạng. Mặc định các tài khoản Guest bịkhóa Thành viên của nhóm này có quyền tạo ra, quản lý và xóa bỏcác đối Print Operator tượng máy in dùng chung trong Active Directory. Thành viên của nhóm này có thểquản trịcác máy server trong miền như: Server cài đặt, quản lý máy in, tạo và quản lý thưmục dùng chung, backup Operators dữliệu, định dạng đĩa, thay đổi giờ… Mặc định mọi người dùng được tạo đều thuộc nhóm này, nhóm này có Users quyền tối thiểu của một người dùng nên việc truy cập rất hạn chế. Nhóm này được dùng đểhỗtrợviệc sao chép danh bạtrong Directory Replicator Services, nhóm này không có thành viên mặc định. Incoming Forest Trust Thành viên nhóm này có thểtạo ra các quan hệtin cậy hướng đến, một Builders chiều vào các rừng. Nhóm này không có thành viên mặc định. Network Configuration Thành viên nhóm này có quyền sửa đổi các thông sốTCP/IP trên các máy Operators Domain Controller trong miền. Pre-Windows 2000 Nhóm này có quyền truy cập đến tất cảcác tài khoản người dùng và tài
  9. Compatible khoản nhóm trong miền, nhằm hỗtrợcho các hệthống WinNT cũ. Access Remote Thành viên nhóm này có thểđăng nhập từxa vào các Domain Controller Desktop User trong miền, nhóm này không có thành viên mặc định. Thành viên nhóm này có quyền truy cập từxa đểghi nhận lại những giá Performace trịvềhiệu năng của các máy Domain Controller, nhóm này cũng không có Log Users thành viên mặc định. Performace Thành viên nhóm này có khảnăng giám sát từxa các máy Domain Monitor Users Controller. Ngoài ra còn mộtsốnhóm khác nhưDHCP Users, DHCP Administrators, DNS Administrators… các nhóm này phụcvụchủyếu cho các dịch vụ, chúng ta sẽtìm hiểucụthểtrong từng dịch vụởgiáo trình “Dịch VụMạng”. Chú ý theo mặc định hai nhóm Domain Computers và Domain Controllers được dành riêng cho tài khoản máy tính, nhưng bạnvẫn có thểđưa tài khoản người dùng vào hai nhóm này. III.3. Tài khoản nhóm Global tạosẵn. Tên nhóm Mô tả Thành viên của nhóm này có thểtoàn quyền quản trịcác máy tính trong miền vì mặc định khi gia nhập vào miền các member server và các máy Domain Admins trạm (Win2K Pro, WinXP) đã đưa nhóm Domain Admins là thành viên của nhóm cục bộAdministrators trên các máy này. Theo mặc định mọi tài khoản người dùng trên miền đều là thành viên của Domain Users nhóm này. Mặc định nhóm này là thành viên của nhóm cục bộUsers trên các máy server thành viên và máy trạm. Group Policy Thành viên nhóm này có quyền sửa đổi chính sách nhóm của miền, theo Creator Owners mặc định tài khoản administrator miền là thành viên của nhóm này. Đây là một nhóm universal, thành viên của nhóm này có toàn quyền trên tất cảcác miền trong rừng đang xét. Nhóm này chỉxuất hiện trong miền Enterprise Admins gốc của rừng thôi. Mặc định nhóm này là thành viên của nhóm administrators trên các Domain Controller trong rừng. Nhóm universal này cũng chỉxuất hiện trong miền gốc của rừng, thành Schema Admins viên của nhóm này có thểchỉnh sửa cấu trúc tổchức (schema) của Active Directory.
  10. III.4. Các nhóm tạosẵn đặc biệt.Ngoài các nhóm tạosẵn đã trình bày ởtrên, hệthống Windows Server 2003 còn có mộtsốnhóm tạo sẵn đặt biệt, chúng không xuất hiện trên cửasổcủa công cụActive Directory User and Computer, mà chúng chỉxuất hiện trên các ACL của các tài nguyên và đốitượng. Ý nghĩacủa nhóm đặc biệt nàylà: -Interactive: đại diện cho những người dùng đang sửdụng máy tại chỗ.-Network: đại diện cho tấtcảnhững người dùng đang nốikếtmạng đếnmột máy tính khác.-Everyone: đại diện cho tấtcảmọi người dùng.-System: đại diện cho hệđiều hành.-Creator owner: đại diện cho những ngườitạo ra, những ngườisởhữamột tài nguyên nào đó như: thưmục, tập tin, tác vụin ấn(print job)… -Authenticated users: đại diện cho những người dùng đã đượchệthống xác thực, nhóm này được dùng nhưmột giải pháp thay thếan toàn hơn cho nhóm everyone. -Anonymous logon: đại diện cho một người dùng đã đăng nhập vào hệthống một cách nặc danh, chẳng hạnmột ngườisửdụng dịch vụFTP. -Service: đại diện cho một tài khoản mà đã đăng nhậpvớitưcách nhưmộtdịch vụ. -Dialup: đại diện cho những người đang truy cậphệthống thông qua Dial-up Networking. IV. QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM CỤC BỘ. IV.1. Công cụquản lý tài khoản người dùng cụcbộ.Muốntổchức và quản lý người dùng cụcbộ, ta dùng công cụLocal Users and Groups.Với công cụ này bạn có thểtạo, xóa, sửa các tài khoản người dùng, cũng nhưthay đổimật mã. Có hai phương thức truy cập đến công cụLocal Users and Groups: -Dùng nhưmột MMC (Microsoft Management Console) snap-in. -Dùng thông qua công cụComputer Management. Các bước dùng đểchèn Local Users and Groups snap-in vào trong MMC: Chọn Start Run, nhập vào hộp thoại MMC và ấn phím Enter đểmởcửasổMMC.
  11. Nhấp chuột vào nút Add đểmởhộp thoại Add Standalone Snap-in.Chọn Local Users and Groups và nhấp chuột vào nút Add.Hộp thoại Choose Target Machine xuất hiện, ta chọn Local Computer và nhấp chuột vào nút Finish đểtrởlạihộp thoại Add Standalone Snap-in.Nhấp chuột vào nút Close đểtrởlạihộp thoại Add/Remove Snap-in.Nhấp chuột vào nút OK, ta sẽnhìn thấy Local Users and Groups snap- in đã chèn vào MMC như hình sau. Lưu Console bằng cách chọn Console Save, sau đó ta nhập đường dẫn và tên file cầnlưu trữ. Đểtiệnlợi cho việc quản trịsau này ta có thểlưu console ngay trên Desktop.
  12. Nếu máy tính củabạn không có cấu hình MMC thì cách nhanh nhất đểtruy cập công cụLocal Users and Groups thông qua công cụComputer Management. Nhầp phải chuột vào My Computer và chọn Manage từpop-up menu và mởcửasổComputer Management. Trong mục System Tools, ta sẽnhìn thấymục Local Users and Groups IV.2. Các thao tác cơbản trên tài khoản người dùng cụcbộ. IV.2.1 Tạo tài khoảnmới.Trong công cụLocal Users and Groups, ta nhấp phải chuột vào Users và chọn New User,hộp thoại New User hiển thịbạn nhập các thông tin cần thiết vào, nhưng quan trọng nhất và bắt buộc phải có là mục Username. IV.2.2 Xóa tài khoản.
  13. Bạn nên xóa tài khoản người dùng, nếubạn chắcrằng tài khoản này không bao giờcần dùng lạinữa. Muốn xóa tài khoản người dùng bạnmởcông cụLocal Users and Groups, chọn tài khoản người dùng cần xóa, nhấp phải chuột và chọn Delete hoặc vào thực đơn Action Delete. Chú ý: khi chọn Delete thì hệthống xuất hiệnhộp thoạihỏibạn muốn xóa thậtsựkhông vì tránh trường hợpbạn xóa nhầm. Bởi vì khi đã xóa thì tài khoản người dùng này không thểphụchồi được. IV.2.3 Khóa tài khoản. Khi một tài khoản không sửdụng trong thời gian dài bạn nên khóa lạivì lý do bảomật và an toàn hệthống. Nếubạn xóa tài khoản này đi thì không thểphụchồilại được do đó ta chỉtạm khóa. Trong công cụLocal Users and Groups, nhấp đôi chuột vào người dùng cần khóa, hộp thoại Properties của tài khoản xuất hiện.
  14. Trong Tab General, đánh dấu vào mục Account is disabled.
  15. IV.2.4 Đổi tên tài khoản. Bạn có thểđổi tên bấtkỳmột tài khoản người dùng nào, đồng thờibạncũng có thểđiều chỉnh các thông tin của tài khoản người dùng thông qua chứcnăng này. Chứcnăng này có ưu điểm là khi bạn thay đổi tên người dùng nhưng SID của tài khoảnvẫn không thay đổi. Muốn thay đổi tên tài khoản người dùng bạnmởcông cụLocal Users and Groups, chọn tài khoản người dùng cần thay đổi tên, nhấp phải chuột và chọn Rename. IV.2.5 Thay đổimật khẩu. Muốn đổimật mã của người dùng bạnmởcông cụLocal Users and Groups, chọn tài khoản người dùng cần thay đổimật mã, nhấp phải chuột và chọn Reset password. V. QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM TRÊN ACTIVE DIRECTORY. V.1. Tạomới tài khoản người dùng. Bạn có thểdùng công cụActive Directory User and Computers trong Administrative Tools ngay trên máy Domain Controller đểtạo các tài khoản người dùng miền. Công cụnày cho phép bạn quản lý tài khoản người dùng từxa thậm chí trên các máy trạm không phải dùng hệđiều hành Server nhưWinXP, Win2K Pro. Muốn thếtrên các máy trạm này phải cài thêm bộcông cụAdmin Pack.Bộcông cụnày nằm trên Server trong thưmục \Windows\system32\ADMINPAK.MSI.Tạomột tài khoản người dùng trên
  16. Active Directory, ta làm các bước sau: Chọn Start Programs Administrative Tools Active Directory Users and Computers. CửasổActive Directory Users and Computers xuất hiện, bạn nhấp phải chuột vào mục Users, chọn Hộp thoại New Object-User xuất hiện nhưhình sau, bạn nhập tên mô tảngười dùng, tên tài khoản logon vào mạng. Giá trịFull Name sẽtựđộng phát sinh khi bạn nhập giá trịFirst Name và Last Name, nhưng bạnvẫn có thểthay đổi được. Chú ý: giá trịquan trọng nhất và bắt buộc phải có là logon name (username). Chuỗi này là duy nhất cho một tài khoản người dùng theo nhưđịnh nghĩa trên phần lý thuyết. Trong môi trường Windows 2000 và 2003, Microsoft đưa thêm một khái niệmhậu tốUPN (Universal Principal Name), trong ví dụnày là “@netclass.edu.vn”.HậutốUPN này gắn vào sau chuỗi username dùng đểtạo thành một tên username đầy đủdùng đểchứng thực ởcấprừng hoặc chứng thực ởmột miền khác có quan hệtin cậyvới miềncủa người dùng đó, trong ví dụnày thì tên username đầy đủlà “tuan@netclass.edu.vn”. Ngoài ra trong hộp thoại này cũng cho phép chúng ta đặt tên username của tài khoản người dùng phụcvụcho hệthống cũ(pre-Windows 2000). Sau khi việc nhập các thông tin hoàn thành bạn nhấp chuột vào nút Next đểtiếptục.
  17. Hộp thoại thứhai xuất hiện, cho phép bạn nhập vào mật khẩu( password)của tài khoản người dùng và đánh dấu vào các lựa chọn liên quan đến tài khoản như: cho phép đổimật khẩu, yêu cầu phải đổi mật khẩulần đăng nhập đầu tiên hay khóa tài khoản. Các lựa chọn này chúng ta sẽtìm hiểu chi tiết ởphần tiếp theo. Hộp thoại cuối cùng xuất hiện và nó hiển thịcác thông tin đãcấu hình cho người dùng. Nếutấtcảcác thông tin đã chính xác thì bạn nhấp chuột vào nút Finish đểhoàn thành, còn nếucần chỉnh sửalại thì nhấp chuột vào nút Back đểtrởvềcác hộp thoại trước. V.2. Các thuộc tính của tài khoản người dùng Muốn quản lý các thuộc tính của các tài khoản người ta dùng công cụActive Directory Users and Computers (bằng cách chọn
  18. Start Programs Administrative Tools Active Directory Users and Computers), sau đó chọn thưmục Users và nhấp đôi chuột vào tài khoản người dùng cần khảo sát. Hộp thoại Properties xuất hiện, trong hộp thoại này chứa 12 Tab chính, ta sẽlầnlượt khảo sát các Tab này. Ngoài ra bạn có thểgom nhóm (dùng hai phím Shift, Ctrl) và hiệu chỉnh thông tin của nhiều tài khoản người dùng cùng một lúc. V.2.1 Các thông tin mởrộng của người dùng Tab General chứa các thông tin chung của người dùng trên mạng mà bạn đã nhập trong lúc tạo người dùng mới. Đồng thờibạn có thểnhập thêm mộtsốthông tin như:sốđiện thoại, địa chỉmail và trang địa chỉtrang Web cá nhân…
  19. Tab Address cho phép bạn có thểkhai báo chi tiết các thông tin liên quan đến địa chỉcủa tài khoản người dùng như: địa chỉđường, thành phố, mã vùng, quốc gia…
  20. Tab Telephones cho phép bạn khai báo chi tiết các sốđiện thoạicủa tài khoản người dùng.
Đồng bộ tài khoản