Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment: Chương 3

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Chương 3: Tạo và quản trị tài khoản người dùng-User Account

Mục tiêu

• Hiểu mục đích của các tài khoản user • Hiểu tiến trình chứng thực user • Hiểu và cấu hình các loại user profile: local,

roaming, mandatory

• Cấu hình và sửa chữa tài khoản user bằng nhiều

phương pháp

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Sự cố đối với tài khoản và chứng thực user

Giới thiệu tài khoản User

• Một tài khoản user là một đối tượng Active

Các đặc tính tài khoản User

• Công cụ chính để tạo và quản trị tài khoản là

Active Directory Users and Computers

• Active Directory dễ mở rộng nên có thể có các tab được thêm vào các trang đặc tính (property page)

• General • Address • Account • Profile • Sessions

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Các đặc tính quan trọng có thể thiết lập gồm:

Thực tập 3-1: Xem lại các đặc tính tài khoản User

• Mục tiêu là xem lại các đặc tính của tài khoản user thông qua Active Directory Users and Computers • Start  Administrative Tools  Active Directory

Users and Computers  Users  AdminXX account  Properties

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Xem các tab và các giá trị theo y/c

Tab tài khoản

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Chứng thực User

• Tiến trình nhận dạng một user hợp pháp • Dùng để chấp nhận hoặc từ chối quyền truy cập

• Tên, mật khẩu, tài nguyên y/c

vào tài nguyên mạng • Từ 1 hệ điều hành client

• Domain controller chứng thực

• Trong môi trường Active Directory

• SAM cục bộ chứng thực

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Trong 1 workgroup

Các phương pháp chứng thực

• Chứng thực tương tác

• Thông tin tài khoản user được cung cấp khi đăng

nhập

• Chứng thực mạng

• Uỷ nhiệm thư (credential) của User được xác nhận

cho truy cập mạng

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Hai tiến trình chính

Chứng thực tương tác

• Tiến trình trong đó user cung cấp tên và mật khẩu

để chứng thực

• Khi đăng nhập vào domain, credential được so

sánh với cơ sở dữ liệu AD tập trung

• Khi đăng nhập cục bộ, credential được so sánh

với cơ sở dữ liệu SAM

• Trong các môi trường domain, các user bình

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

thường không có tài khoản cục bộ

Chứng thực mạng

• Tiến trình một dịch vụ mạng chấp nhận danh định

của một user

• Với 1 user đăng nhập vào domain, chứng thực

nguyên mạng

mạng là trong suốt • Credential từ chứng thực tương tác hợp lệ với các tài

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Một user đăng nhập vào máy tính cục bộ sẽ được nhắc đăng nhập riêng biệt vào tài nguyên mạng

Các giao thức chứng thực

• Windows Server 2003 hỗ trợ 2 giao thức chứng

thực chính: • Kerberos version 5 (Kerberos v5) • NT LAN Manager (NTLM)

• Kerberos v5 là công cụ chính cho môi trường

Active Directory nhưng không hỗ trợ trên các hệ thống client khác

• NTLM là công cụ chính cho các hệ điều hành

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Microsoft còn lại

Kerberos v5

• Hỗ trợ bởi Windows 2000, Windows XP,

Windows Server 2003 • Giao thức đi theo sau:

• Yêu cầu đăng nhập được chuyển cho Key Distribution Center (KDC), một Windows Server 2003 domain controller

• KDC chứng thực user và nếu hợp pháp, phát ra một

ticket-granting ticket (TGT) cho hệ đh client

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Kerberos v5 (tt)

• Khi client y/c một tài nguyên mạng, nó trình TGT cho

KDC

• KDC phát ra một service ticket cho client • Client trình service ticket cho host server của tài

nguyên đó

• Mọi DC trong môi trường AD đều giữ vai trò

KDC

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Không phải mọi client đều theo giao thức này

NTLM

• Dùng với các hệ điều hành chạy Windows NT 4.0

hoặc trước nữa, nếu cần cũng dùng được cho Windows Server 2000/2003

• User đăng nhập, client tính giá trị băm mã hóa của mật

khẩu

• Client gửi tên user cho DC

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Giao thức đi theo sau:

NTLM (tt)

• DC sinh ra challenge ngẫu nhiên và gửi cho client • Client giải mã challenge với giá trị băm của mật khẩu

và gửi về DC

• DC tính toán giá trị mong muốn được trả về từ client và

so sánh với giá trị thực tế

• Sau khi chứng thực thành công, DC sinh ra một

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

token cho user với tài nguyên mạng

User Profiles

• Không đi theo user đăng nhập trên các máy tính khác

• Một tập hợp các thiết lập đặc trưng cho một user • Theo mặc nhiên được lưu giữ cục bộ

• Đi theo user đăng nhập trên các máy tính khác • Administrator có thể tạo 1 mandatory profile

• User không thể thay đổi nó

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Có thể tạo 1 roaming profile

User Profile Folders and Contents

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Local Profiles

• Các profile mới được tạo từ thư mục Default User

profile

• User có thể thay đổi local profile và những thay

đổi được lưu giữ lại chỉ cho user đó

• Administrator có thể quản lý nhiều phần tử của

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

profile • Change Type • Delete • Copy To

Thực tập 3-2: Kiểm tra Local Profile Settings

• Mục tiêu là cấu hình và kiểm tra 1 local user

profile

• Start  Administrative Tools  Active Directory Users and Computers  Users  New  User

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Theo các chỉ dẫn để tạo 1 user profile mới • Khám phá và cấu hình các đặc tính • Kiểm tra lại bằng cách đăng nhập như user mới

Roaming Profiles

• Cho phép profile lưu trên 1 server trung tâm và đi theo

user

• Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với

thao tác backup)

• Roaming profiles

• Thay đổi 1 profile từ local  roaming nên cẩn

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

thận sao lưu trước

Thực tập 3-3: Cấu hình và kiểm tra 1 Roaming Profile

• Tạo 1 thư mục chia sẻ, copy 1 local profile vào thư mục đó và cấu hình các thuộc tính của tài khoản user để dùng roaming

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Theo các chỉ dẫn

Mandatory Profiles

• Local và roaming profile cho phép tạo các thay

đổi lâu dài

• Mandatory profile cho phép tạo các thay đổi chỉ

cho 1 phiên làm việc

• Local và roaming có thể đều được cấu hình như

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

mandatory • ntuser.dat  ntuser.man

Thực tập 3-4: Cấu hình 1 Mandatory Profile

• Start  My Computer • Theo các chỉ dẫn để tác động vào mandatory

profile thử nghiệm đã tạo trước đó

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Kiểm tra lại user không thể tạo ra thay đổi nào

Tạo và quản lý các tài khoản user

• Công cụ chính là Active Directory Users and

Computers

• Cũng có thể dùng một số công cụ dòng lệnh và

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

ứng dụng khác

Active Directory Users and Computers

• Chọn từ thực đơn Administrative Tools • Có thể thêm vào 1 Microsoft Management

Console

• Có thể thêm, sửa, di chuyển, xóa, tìm tài khoản user

• Có thể chạy từ dòng lệnh (dsa.msc) • Công cụ đồ họa

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Có thể cấu hình nhiều đối tượng đồng thời

Thực tập 3-5: Tạo tài khoản user dùng Active Directory Users and Computers

• Start  Administrative Tools  Active Directory

Users and Computers

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Theo chỉ dẫn

Các User Template

• Một tài khoản user được cấu hình sẵn với các thiết

lập phổ biến

• Có thể được sao chép để tạo các tài khoản mới • Các tài khoản mới sau đó được cấu hình với các

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

thiết lập riêng

Thực tập 3-6: Tạo một Template tài khoản User

• Mục tiêu: tạo 1 template và dùng nó để tạo tài

khoản user mới

• Start  Administrative Tools  Active Directory

Users and Computers

• Tạo 1 templace mới • Dùng một biến để tự động định đường dẫn profile

với tên của tài khoản user

• Theo các chỉ dẫn để tạo và khám phá 1 user mới từ

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

template

Các ứng dụng dòng lệnh

• Một số administrator thích làm việc với dòng lệnh • Có thể được dùng để tự động tạo hoặc quản lý các

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

tài khoản rất linh hoạt

DSADD

• Cho phép các kiểu đối tượng được thêm vào

directory • Các tài khoản Computer, contact, quota, OU, user,…

• DSADD USER

• Cú pháp cho tài khoản user là

• -pwd (password), -memberof, -email, -profile, -disabled

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Các khóa chuyển gồm

DSMOD

• Cho phép các kiểu đối tượng được sửa chữa từ

dòng lệnh • Các tài khoản Computer, server, quota, OU, user,…

• DSMOD USER + +

• Cú pháp

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Có thể sửa nhiều tài khoản đồng thời

DSQUERY

• Cho phép các kiểu đối tượng được truy vấn từ

dòng lệnh

• Hỗ trợ dùng ký tự đại diện (*) • Kết xuất có thể được điều hướng lại cho lệnh khác

(piped)

• Ví dụ: trả về tên các tài khoản user không thay đổi

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

mật khẩu trong 14 ngày • dsquery user domainroot –name * -stalepwd 14

DSMOVE

• Cho phép các kiểu đối tượng được di chuyển từ vị

trí hiện hành đến nơi mới

• Cho phép nhiều kiểu đối tượng khác nhau được

đổi tên

• Chỉ cho phép di chuyển trong cùng miền (trái lại

dùng lệnh MOVETREE)

• Ví dụ: di chuyển 1 tài khoản user vào OU

dc=dovercorp,dc=net" –newparent "ou=marketing, dc=domain01,dc=dovercorp,dc=net"

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

“marketing” • dsmove "cn=Paul Kohut,cn=users,dc=domain01,

DSRM

• Cho phép các đối tượng được xóa từ directory • Có thể xóa từng đối tượng hoặc toàn bộ cây con • Có 1 lựa chọn chấp nhận để có thể ghi đè • Ví dụ: để xóa Marketing OU và tất cả đối tượng

dc=domain01,dc=dovercorp,dc=net "

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

chứa trong nó không cần nhắc chấp nhận: • dsrm –subtree –noprompt –c "ou=marketing,

Bulk Import and Export

• Cho phép 1 tổ chức nhận vào các bản lưu trữ đã có

thay cho tạo mới hoàn toàn từ đầu

• Cho phép 1 tổ chức xuất dữ liệu đã có cấu trúc

trong AD vào các cơ sở dữ liệu thứ hai

• CSVDE • LDIFDE

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• 2 lệnh:

CSVDE

• Công cụ dòng lệnh cho phép xuất/nhập dữ liệu

AD đến/từ các file comma-separated value (CSV) • CSV file có thể được tạo/soạn thảo dùng chương

trình soạn thảo thông dụng

• csvde –f output.csv

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Ví dụ:

LDIFDE

• Công cụ dòng lệnh cho phép xuất/nhập dữ liệu

Sự cố với tài khoản User và các vấn đề chứng thực

• Bình thường tạo và cấu hình các tài khoản user rất

dễ dàng

• Cấu hình tài khoản • Các thiết lập chính sách

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Các vấn đề nếu có thường liên quan:

Các chính sách tài khoản

tượng Group Policy tại mức domain • Khóa tài khoản, các mật khẩu, Kerberos

• Các thiết lập chính sách liên quan đến chứng thực • Được cấu hình trong nút Account Policies của các đối

• Được truy cập từ Active Directory Computers and

Users

• Cấu hình các chính sách cho tất cả các domain user

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Chính sách Domain mặc nhiên

Chính sách mật khẩu

• Lịch sử và việc sử dụng lại mật khẩu • Thời gian tồn tại tối đa • Thời gian tồn tại tối thiểu • Độ dài tối thiểu • Yêu cầu độ phức tạp • Chính sách mã hóa

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Các thiết lập cấu hình

Các thiết lập khóa tài khoản

• Thời hạn khóa • Thời điểm bắt đầu khóa • Thiết lập lại bộ đếm sau khi khóa

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Các thiết lập cấu hình

Chính sách Kerberos

• Bắt buộc các giới hạn đăng nhập • Thời gian tồn tại tối đa của service ticket • Thời gian tồn tại tối đa của user ticket • Thời gian tối đa để làm mới lại user ticket

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Các thiết lập cấu hình

Chính sách kiểm toán

• Kiểm toán sự kiện tài khoản đăng nhập

• Cấu hình trong đối tượng Group Policy liên kết với Domain Controllers OU (chính sách Domain Controllers mặc nhiên)

• Mặc nhiên là chỉ với các đăng nhập thành công • Sự kiện có thể xem trong báo cáo Security log (dùng

Event Viewer)

• Có thể chọn để sửa chữa các đăng nhập lỗi

• Có ích với việc giải quyết sự cố • Các mã cung cấp thông tin về kiểu lỗi

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Giải quyết các sự cố đăng nhập

• Tên user hoặc mật khẩu sai (administrative thiết lập lại) • Tài khoản bị khóa (mở khóa thủ công) • Tài khoản bị cấm (administrative cho phép) • Các giới hạn giờ đăng nhập (kiểm tra lại các giới hạn) • Các giới hạn trạm làm việc • Domain controller (kiểm tra lại các thiết lập DNS) • Các thiết lập thời gian (kiểm tra sự đồng bộ thời gian)

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Một số vấn đề và cách sửa