Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment: Chương 4 - ThS. Trần Bá Nhiệm (Biên soạn)

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 4: Hiện thực và quản lý các tài khoản Group và Computer

Mục tiêu

• Hiểu mục đích của việc dùng các tài khoản group

là để đơn giản hóa việc quản trị

• Tạo các đối tượng group dùng công cụ giao diện

đồ họa cũng như dòng lệnh

• Quản lý các group security và các group

distribution

• Ý nghĩa các group xây dựng sẵn được tạo ra khi

cài đặt AD

2

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Quản lý và tạo các tài khoản computer

Giới thiệu các tài khoản Group

• Dùng để tổ chức tập hợp các user, computer, contacts,

và các group khác

• Dùng để đơn giản hóa việc quản trị

• Một group là 1 đối tượng container

• Các OU không có nguyên lý bảo mật, các group có • Các OU chỉ chứa các đối tượng từ domain cha của

chúng, các group có thể chứa cả các đối tượng từ trong forest

3

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Giống như OU, ngoại trừ:

Các kiểu Group

• Định nghĩa bởi Security Identifier (SID) • Có thể gán quyền cho các tài nguyên

• Trong các DACL

• Có thể gán các quyền để thực hiện những nhiệm vụ

khác nhau

• Có thể cũng dùng như các thực thể email

• Các group security

• Chủ yếu dùng như các thực thể email • Không có SID liên kết

4

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Các group distribution

Các phạm vi Group

• Phạm vi ý nói tới ranh giới lôgíc của những quyền

đ/v những tài nguyên đặc biệt

• Cả các group security và group distribution đều có

• Các đối tượng có thể trong mỗi phạm vi phụ thuộc trên

mức chức năng đã cấu hình của 1 domain

• Các kiểu phạm vi là: global, domain local và universal

5

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

phạm vi • 3 phạm vi

Các phạm vi Group (tt)

• Windows 2000 mixed: cấu hình mặc định hỗ trợ kết hợp cả các DC của Windows NT Server 4.0, 2000 Server và Server 2003

• Windows 2000 native: hỗ trợ kết hợp cả các DC của

Windows 2000 Server và Server 2003

• Windows Server 2003: chỉ hỗ trợ DC Windows Server

2003

6

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• 3 mức chức năng domain:

Các Global Group

• Tổ chức các group của các user, computer, group

trong cùng domain

• Thường thể hiện vị trí địa lý của group chức năng

công tác

• Các kiểu của các đối tượng trong group liên quan

7

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

tới mức chức năng đã cấu hình của domain • Phụ thuộc vào các kiểu của các DC trong môi trường

Các Domain Local Group

• Được tạo trên các DC • Có thể gán quyền cho bất kỳ tài nguyên nào trong

cùng domain

8

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Có thể chứa các group từ domain khác • Xác định các đối tượng cho phép trong group liên hệ đến mức chức năng đã cấu hình của domain

Các Universal Group

• Điển hình được tạo ra cho các user hay những

group trong những domain khác nhau

• Lưu trên các DC được cấu hình như các global

catalog server

• Có thể gán quyền cho bất kỳ tài nguyên nào trong

forest

9

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Chỉ có thể được tạo trong mức chức năng domain Windows 2000 native / Windows Server 2003

Các Universal Group (tt)

10

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Tạo các đối tượng Group

• Các đối tượng Group lưu giữ trong cơ sở dữ liệu

AD

• Nhiều loại công cụ khác nhau có thể dùng để tạo

• DSADD, DSMOD, DSQUERY,…

11

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

và quản lý: • Active Directory Users and Computers • ứng dụng dòng lệnh

Active Directory Users and Computers

• Tạo các tài khoản group • Có thể dùng để cấu hình các thuộc tính của các tài

khoản group

• Công cụ chính:

• Các group có thể được tạo trong bất kỳ container có sẵn, tại gốc của đối tượng domain hoặc trong các đối tượng OU tùy ý

12

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Các phạm vi group được xác định bởi mức chức năng của domain được cấu hình như thế nào

Active Directory Users and Computers (tt)

13

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 4-1: Tạo và thêm các thành viên vào Global Group

• Mục tiêu: Dùng Active Directory Users and

Computers để tạo các global group

• Start  Administrative Tools  Active Directory Users and Computers  Users container  New  Group

• Theo các chỉ dẫn để tạo một số global groups và

14

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

thêm các tài khoản user vào các group

Thực tập 4-1 (tt)

15

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 4-2: Tạo và thêm các thành viên vào Domain Local Groups

• Mục tiêu: Dùng Active Directory Users and Computers để tạo các domain local group • Active Directory  Users  New  Group • Theo các chỉ dẫn để tạo Domain Local group và

16

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

thêm các global groups vào đó

Thực tập 4-3: Thay đổi mức chức năng của 1 Domain. Tạo và thêm các thành viên vào Universal Group

• Mục tiêu: Thay đổi mức chức năng của 1 Domain Windows Server 2003 và dùng Active Directory Users and Computers để tạo các universal group

• Mở đối tượng domain trong Active Directory

17

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Users and Computers

Thực tập 4-3 (tt)

18

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 4-3 (tt)

• Theo các chỉ dẫn để nâng mức chức năng của

domain

• Tiếp tục bài tập tạo 1 universal group mới • Tiếp tục bài tập thêm các group đã có vào group

19

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

mới này

Thực tập 4-3 (tt)

20

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Chuyển đổi các kiểu Group

• Có thể cần thay đổi một group security thành

group distribution hoặc ngược lại

21

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Kiểu của group chỉ có thể thay đổi nếu mức chức năng domain là Windows 2000 native hoặc cao hơn

Thực tập 4-4: Chuyển đổi các kiểu Group

• Mục tiêu: Dùng Active Directory Users and

Computers để thay đổi kiểu group

• Theo các chỉ dẫn để tạo 1 global group mới với

kiểu distribution

• Kiểm tra kiểu của group mới • Tiếp tục bài tập với việc thay đổi kiểu thành

22

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

security và kiểm tra sự thay đổi đó

Thực tập 4-4 (tt)

23

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 4-4 (tt)

24

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Chuyển đổi các phạm vi Group

• Phạm vi Group có thể thay đổi được • Mức chức năng domain phải ít nhất là Windows

2000 native

• Global  universal • Domain local  universal • Universal  global • Universal  domain local

25

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Các thay đổi đã được hỗ trợ:

Thực tập 4-5: Chuyển đổi các phạm vi Group

• Mục tiêu: Dùng Active Directory Users and

Computers để thay đổi phạm vi group • Theo các chỉ dẫn để tạo 1 global group mới • Thêm vào 1 group thành viên • Ghi nhớ các hạn chế và cảnh báo theo từ cấu trúc

26

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

phạm vi nhóm như đã mô tả trong bài tập • Thay đổi phạm vi của nhóm thành universal

Các ứng dụng dòng lệnh

• Một cách thay thế Active Directory Users and

group trong 1 số tình huống

27

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Computers • Một số administrator thích dùng dòng lệnh • Ứng dụng dòng lệnh linh hoạt hơn trong việc quản lý

DSADD

• dsadd group distinguished-name switches • Switches gồm: -secgrp, -scope, -memberof,

• Được giới thiệu trong Windows Server 2003 • Dùng để tạo các tài khoản user và group mới • Cú pháp:

-members

28

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Xem thêm Help and Support Center

DSADD (tt)

29

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 4-6: Tạo các Group dùng DSADD

• Theo các chỉ dẫn để thực thi lệnh • Kiểm tra nhóm đã tạo với Active Directory Users

and Computers

• Tạo 1 domain local group với các thành viên dùng

30

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

lệnh này và kiểm tra group đã tạo đúng

DSMOD

• Được giới thiệu trong Windows Server 2003 • Cho phép một số kiểu đối tượng khác nhau được

sửa đổi từ dòng lệnh

• dsmod group distinguished-name switches • Switches gồm: -desc, -rmmbr, -addmbr • Xem thêm Help and Support Center

31

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Cú pháp:

DSMOD (tt)

32

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 4-7: Sửa đổi group dùng DSMOD • Theo các chỉ dẫn để thực thi lệnh thêm 1 mô tả

vào group đã có

• Kiểm tra lại với Active Directory Users and

Computers

• Sửa đổi group bằng cách thêm vào và gỡ bỏ các

33

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

thành viên và kiểm tra thay đổi

DSQUERY

• Được giới thiệu trong Windows Server 2003 • Dùng để truy vấn các kiểu đối tượng khác nhau

bằng dòng lệnh, trả về các giá trị

• Cú pháp cho group: • dsquery group query • Hỗ trợ ký tự đại diện (*) • Xuất có thể điều hướng thành nhập cho các công

cụ dòng lệnh khác

34

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Xem thêm Help and Support Center

DSMOVE

• Dùng để gỡ bỏ hoặc đổi tên các kiểu đối tượng

khác nhau từ dòng lệnh

• dsmove group distinguished-name switches

• Cú pháp cho group

35

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Switches gồm: -newparent, -newname • Chỉ có thể dùng cho các group trong 1 domain đơn • Xem thêm Help and Support Center

DSRM

• Dùng để xóa các kiểu đối tượng khác nhau từ

dòng lệnh

• Cú pháp cho group

• dsrm group distinguished-name switches

36

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Switches gồm: -noprompt • Xem thêm Help and Support Center

Quản lý các Security Group

• Chiến lược quản lý có thể tóm tắt bằng các từ A

1. Tạo các user Account (A) và tổ chức chúng bên

trong các Global group (G)

2. Tùy chọn: Tạo Universal groups (U) và đặt các global groups từ bất kỳ domain nào trong các universal group

3. Tạo các Domain Local group (DL) và thêm các

group global và universal

4. Gán quyền Permissions (P) cho các domain local

group

37

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

G U DL P:

Xác định thành viên Group

• Tác vụ quan trọng với các administrator để chắc chắn rằng các user là thành viên đúng group • 1 cách là thông qua Member Of tab trong trang

đặc tính của 1 tài khoản user • Chỉ hiển thị mức đầu tiên của các group

38

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Cách thứ 2 là dùng DSGET

Xác định thành viên Group (tt)

• dsget group distinguished-name switches • Switches gồm: -members, -memberof • Cũng có thể dùng như dsget user để lấy thông tin

• Cú pháp:

thành viên

• dsget group distinguished-name switches >> filename

39

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Xuất liệu có thể lưu vào file:

Các Group có sẵn

• Khi Windows Server 2003 Active Directory được

• Dễ dàng hiện thực các quyền bảo mật

40

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

cài đặt • Các group có sẵn được cài tự động • Các quyền được gán trước • Lưu trong Builtin container và Users container • Nên dùng các group có sẵn khi nào có thể

Builtin Container

• Chứa một số lượng các tài khoản local group • Cấp phát các quyền user khác nhau dựa trên chính

41

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

sách quản trị chung hoặc các tác vụ liên quan mạng

Builtin Container (tt)

42

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Users Container

• Chứa một số lượng các tài khoản domain local và

global group

43

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Một số group chỉ thấy trong root domain của một Active Directory forest chứ không phải trong các domain riêng lẻ

Users Container (tt)

44

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Tạo và quản lý các tài khoản Computer • Các tài khoản Computer cần thiết trong Windows

NT 4.0, 2000, XP, Server 2003

• Active Directory Users and Computers • System applet trong Control Panel • Các ứng dụng dòng lệnh

45

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Có thể tạo trong quá trình cài đặt hay sau đó • Các công cụ tạo và quản lý:

Thực tập 4-8: Tạo và quản lý các tài khoản Computer

• Mục tiêu: Dùng Active Directory Users and Computers để tạo và quản lý các tài khoản Computer

• Theo các chỉ dẫn để tạo 1 tài khoản computer mới

từ Active Directory Users and Computers

46

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Cấu hình và xem lại các tài khoản

Thực tập 4-8 (tt)

47

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thiết lập lại các tài khoản Computer

• Dùng bởi các computer nào là domain thành viên để

truyền thông với các DC

• Dùng các mật khẩu được thay đổi mỗi 30 ngày • Tự động đồng bộ giữa các DC và workstation

• Bảo mật channel

• Administrator phải reset lại tài khoản computer • Dùng Active Directory Users and Computers hoặc

Netdom.exe từ Windows Support Tools

48

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Những vấn đề đồng bộ hóa thỉnh thoảng xuất hiện

Tổng kết • Các tài khoản group giảm khối lượng công việc

quản trị bằng cách cho phép gán quyền chung cho nhiều user đồng thời

• Security group • Distribution group

• 2 kiểu group:

• Global group • Domain local group • Universal group

49

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• 3 kiểu phạm vi cho các group

Tổng kết (tt)

• Các tài khoản group và computer có thể được tạo

và quản lý • Từ Active Directory Users and Computers • Từ ứng dụng dòng lệnh

• Các group Builtin và User và các container được tạo tự động khi cài đặt với một số quyền thiết lập trước

50

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Windows NT 4.0, 2000, XP và Server 2003 y/c các tài khoản computer trong Active Directory