LOCAL USER ACCOUNT POLICY

Chia sẻ: Baby Love | Ngày: | Loại File: PDF | Số trang:13

Thêm vào BST

Báo xấu

151
lượt xem 18
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

LOCAL USER ACCOUNT I. Sơ lược về Local User Account: Local user account là tài khoản cá nhân của từng user, được tạo và lưu trữ trong một cơ sở dữ liệu SAM (Security Accounts Manager) trên mỗi máy tính (Local Computer), được đặt trong thư mục \Windows\system32\config. Có 2 loại user account: Computer Administrator: - Create, change and delete user account - Make system-wide changes - Install programs and access all files Limited: - Change or remove your password, - Change your picture, themes, and other desktop settings, - View files you created. Built-in User Account: Tại Local computer,...

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: LOCAL USER ACCOUNT POLICY

VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG LOCAL USER ACCOUNT I. Sơ lược về Local User Account: Local user account là tài khoản cá nhân của từng user, được tạo và lưu trữ trong một cơ sở dữ liệu SAM (Security Accounts Manager) trên mỗi máy tính (Local Computer), được đặt trong thư mục \Windows\system32\config. Có 2 loại user account: Computer Administrator: - Create, change and delete user account - Make system-wide changes - Install programs and access all files Limited: - Change or remove your password, - Change your picture, themes, and other desktop settings, - View files you created. Built-in User Account: Tại Local computer, những tài khoản được xây dựng duy nhất là Administrator, Guest và SUPPORT_388945a0 được gọi là Built-in user Account - Mặc định Guest bị vô hiệu (Disable) như một sự phòng ngừa về tính bảo mật và xét về mặt quyền hạn thì Guest là một tài khoản bị nhiều giới hạn. - User Administrator thì thuộc Computer Administrator, nó không thể bị xóa hay disable, nhưng Bạn có thể đổi tên. - SUPPORT_388945a0, đây là một tài khoản mới trong hệ thống Win2003 và Win XP, chuyên cung cấp dịch vụ về Help and Support. - Và account Help Assistant, chuyên cung cấp dịch vụ trợ giúp từ xa. Dành cho Học Viên VSIC Trang 1
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG Hướng dẫn tạo Local User Account: 1. Right click My Computer Manage 2. Từ menu Action hay click phải vào Xuất hiện Console: folder Users và chọn New User 3. Nhập các thông tin cần thiết vào hộp thoại sau đó nhắp nút Create Tùy chọn Ý nghĩa User must change password at next Buộc user account phải thay đổi mật khẩu ngay từ logon lần đầu logon vào hệ thống User cannot change Passsword Nếu được chọn, ngăn không cho người dùng thay đổi mật khẩu của tài khoản Password never expires Password của user account sẽ không bao giờ hết hạn. Account is disable Nếu được chọn tài khoản sẽ bị vô hiệu, và không thể đăng nhập vào hệ thống Trang 2 Dành cho Học Viên VSIC 2
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG Lưu ý: Theo nguyên tắc là không được tạo các user account trùng tên nhau, vì thế Bạn tránh tạo các user account có cùng một tên. Ví dụ: có hai user tên Judy Lew, vậy khi tạo account cho các user này có thể chọn phương án: thứ nhất Judyle, user thứ hai Judyl Thay đổi mật khẩu (Password) cho user account: Khi trao đổi về vấn đề password thì có những trường hợp sau buộc user phải thay đổi password của mình. Ví dụ: trong suốt thời gian sử dụng account để logon vào hệ thống, phát hiện password đã bị một người khác biết, hay vì một lý do nào đó mà user quên password của mình, vì thế phải thay đổi password. Vậy lúc này cần phải nhờ đến một account thuộc Computer administrator type để reset password. Thao tác sau sẽ hướng dẫn Bạn reset password cho một account 1. Khởi động Computer Management Local User and Group User, click phải tại user muốn reset password và chọn như hình minh họa. 2. Sau đó nhập password mới cho user account tại hộp thoại và OK II. Classic View: Khi mà nhiều người (user) cùng sử dụng chung một máy tính, việc logoff rồi sau đó logon trở lại bởi một user khác, đôi khi không được nhanh lắm. Fast User Switching: là một tính năng mới trong Windows XP, giúp Bạn switch giữa các user account mà không cần phải logoff hệ thống, thêm vào đó là các chương trình của user vừa switch vẫn còn đang thực thi. Vào Start Log Off Administrator, xuất Lưu ý: hiện hộp thoại và chọn Switch User - Fast User Switching được cấu hình từ Dành cho Học Viên VSIC Trang 3
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG User Account trong Control Panel - Chương trình này sẽ không có giá trị khi máy tính của Bạn là thành viên của Domain - Duy nhất chỉ các thành viên của nhóm Administrators mới có thể bật chức năng Fast User Switching - Bạn không thể turn off chương trình Fast User Switching khi các user vẫn đang còn logon. 2. Chọn Change the way user log on or Cấu hình Fast User Switching: 1. Vào Star Settings Control Panel off xuất hiện hộp thoại 3. Chọn vào hai check box trong hộp thoại User Accounts và click vào nút Apply Options Chọn Create a new account Nhập tên Thực hành Fast User Switching: Sử dụng chương trình User Account trong account vào khung Type a name…, click Control Panel để tạo user: Next, - Sử dụng Computer Management hay Chọn account type từ hộp thoai, và click chọn Control Panel\User Accounts để tạo Create Account Trang 4 Dành cho Học Viên VSIC 4
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG tiếp user account User3 (với account type: Limited) - Tiếp theo logoff user hiện tại và logon vào hệ thống bằng User2. - Khởi động chương trình My Computer, Winword, Internet Explorer.. - Sau đó Logoff và chọn Switch User, theo dõi xem các chương trình hiện tại của User2 có bị đóng lại hay không? - Rồi tiếp tục Logon vào hệ thống với tài khoản User3. - Từ account User3, Bạn thử bỏ chức năng Fast User Switching. Từ đó rút ra nhận xét. III. Sơ lược về Local Group: Việc phân bổ user account vào các nhóm, giúp người quản trị dễ dàng trao các quyền (right) thực hiện các tác vụ và các quyền (Permission) truy cập tài nguyên trên mạng. Với Local Group, chỉ đựợc tạo trên Local Computer, đặc điểm của Local Group: - Chứa các Local user account. - Và Local Group không thuộc thành viên của Group nào. Dành cho Học Viên VSIC Trang 5
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG 3. Nhập tên Group vào hộpthoại: Hướng dẫn cách tạo Group: 1. Khởi động console Computer Management bằng dòng lệnh: Start Run: Compmgmt.msc 2. Click phải vào thư mục Groups hay vùng trống của thư mục Groups và chọn New Group Add User vào Group Sau khi đã tạo Group việc kế tiếp là add các user vào Group Giúp ta dễ quản trị cũng như cấp quyền truy cập tài nguyên. 1. Computer management Local Users and Groups Groups Trang 6 Dành cho Học Viên VSIC 6
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG 2. Nhấp nút Add tại hộp thoại 3. Tiếp chọn nút Advanced Find Now 4. Sau khi click chọn Find Now, xuất hiện danh sách các User và Group, chọn user rồi click OK. 3. Giới thiệu một số Built-in Local Group: Administrators: Thành viên thuộc nhóm này có tất cả các quyền được ấn định sẵn, nên các user thuộc nhóm này sẽ có tất cả mọi quyền từ Group này. Backup Operators: Các thành viên của nhóm này lưu dự phòng (backup) và phục hồi dữ liệu. Guest: Các thành viên thuộc nhóm này có thể đăng nhập và thực thi các ứng dụng của hệ thống. Network Configuration Operator: Thành viên thuộc nhóm này chỉ được phép cấu hình trong bộ giao thức TCP/IP. Remote Desktop Users: Các thành viên thuộc nhóm này có thể đăng nhập từ xa vào các Computer khác trong mạng. Users: Tất cả user account mặc định đều thuộc nhóm này, và nếu là thành viên của nhóm này thì các user chỉ có quyền đăng nhập vào hệ thống cũng như thực thi các chương trình ứng dụng, nhưng không thể cài đặt được chúng. Dành cho Học Viên VSIC Trang 7
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG Thực hành theo các yêu cầu sau: Trường hợp 1: - Lập thành nhóm (2 PC một nhóm), cấu hình IP, chứng minh rằng chúng đã sẳn sàng giao tiếp. - Ở mỗi PC đều phải đặt password cho Administrator (password giống nhau). Logoff và logon trở lại hệ thống. - Chỉ định một máy (PC1) trong nhóm tạo một share Folder, giữ nguyên share permission. - Máy còn lại (PC2) truy cập tài nguyên ở PC1. - Nhận xét: .................................................................................................................. ........................................................................................................................................ Trường hợp 2: - Như trường hợp 1, nhưng set lại password cho Administrator giữa hai PC khác nhau - Logoff và logon trở lại hệ thống bằng user Administrator. - Dùng PC2 truy cập tài nguyên ở PC1 - Nhận xét: ................................................................................................................... ........................................................................................................................................ Trang 8 Dành cho Học Viên VSIC 8
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG LOCAL POLICY - LOCAL SECURITY POLICY Chỉnh sửa registry: Start→Run, nhập regedit Back up Regedit Save registry Hiệu chỉnh Registry: Ẩn ổ đĩa D trong Windows Explorer User Key: HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer Name: NoDrives Type: REG_DWORD Dành cho Học Viên VSIC Trang 9
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG Sau đó logoff để apply registry. Vào Ta thấy việc hiệu chỉnh Regedit đã làm Run gõ Gpedit.msc mở Group Polocy. thay đổi Policy. Ta có thể dùng Policy để thay đổi Registry. Disable Policy theo đường dẫn Local Computer→Policy→Users Configuration→Administrative Templates→Windows Explorer. Chọn Hide these specified drives in My Computer. Sau khi chỉnh trong Policy ta dùng lệnh Xem lại kết quả trong registry gpupdate /force : apply hiệu chỉnh. Tuy nhiên, với Administrative Administrative Template Template dễ thao tác hơn so với trình Chứa các thông tin về key của bảng regedit.exe. Registry Dùng để thay đổi dáng vẻ môi trường làm việc của người dùng vào cấu hình máy. User Configuration được lưu vào HKEY_CURRENT_USER. Computer Configuration được lưu vào HKEY_LOCAL_MACHINE. Trang 10 Dành cho Học Viên VSIC 10
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG Windows Components • o Tháo gỡ tùy chỉnh thư mục trên thực đơn công cụ trên bảng điều khiển (Control Panel), không cho phép người dùng có thể thay đổi thông số để xem tệp tin ẩn hay một số thông số của Active Desktop, Webview offline file, .... o Ngăn cản không cho người dùng nối, truy nhập tới máy khác cũng như đóng sự kết nối mà người quản trị cài đặt. o Hạn chế không cho đọc nội dung ổ đĩa đã chọn từ My Computer. o Chuyển tất cả các các Profile của người dùng ra khỏi thực đơn chương trình. o Vô hiệu hóa các chương trình trên thực đơn xác lập, chẳng hạn như Control Panel, Printer, Network Dial-Up Connection. o Bỏ thực đơn chạy từ thực đơn bắt đầu. o Ngăn cản không cho người dùng mở hộp thoại Taskbar & Start menu. Nói chung, mọi vấn đề liên quan tới thực đơn bắt đầu đều có thể kiểm soát được. Control Panel • o Ngăn cản người dùng cài đặt thêm chương trình. o Thay đổi chế độ màn hình. o Đặt mật khẩu chế độ bảo vệ màn hình. o Một số lệnh liên quan đến máy in: không cho thêm/gỡ bỏ máy in, .... System • o Quản lý các Group Policy. o Chỉ cho phép sử dụng một số chương trình được chỉ định. o Không cho phép sử dụng một số chương trình không được chỉ định. Dành cho Học Viên VSIC Trang 11
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG Các chức năng trong Security Setting Mật khẩu Policies bao gồm các option o Account Policies sau: Enforce Password History: số mật khẩu cần thay đổi, khi muốn sử dụng lại mật khẩu. Maximum Password Age: thời gian tối đa mật khẩu được sử dụng trước khi người dùng được phép thay đổi. Manimum Password Age: thời gian tối thiểu mật khẩu được sử dụng trước khi người dùng được phép thay đổi. Minimum password length : độ dài tối thiểu của password Password Must Meet The Complexity Requiment: bắt buộc tạo độ phức tạp của mật khẩu (như kết hợp giữa số với ký tự ) Store Password Using Rever Sible Enryption: Client Windows cần xác nhận đăng nhập với mật khẩu hóa cấp thấp. o Account Lockout Policy. Account Lockout threshold: số lần thử Login trước khi tài khoản bị khóa. Reset Account Lockout Counter After: thời gian đợi để xóa bỏ các lần thử sai. Account Lockout Duration: thời gian tài khoản bị khóa, sau thời gian này, người dùng có thể thử Login trở lại. Trang 12 Dành cho Học Viên VSIC 12
VSIC COMPUTER SCHOOL LO 45 TRIEU NU VUONG – DA NANG Local Policies o Audit, Policy: cho phép ghi nhận lại các sự kiện Login vào mạng (thử thành công, thử sai hoặc cả hai). User Right Assignment: cấp quyền cho người dùng hay nhóm Login vào mạng. Security Option: cho phép tạo độ an toàn cho máy tính. Cho phép truy xuất đĩa mềm, CD. Install Drive. o Event log: định các lựa chọn đề nghị nhận sự cố trên máy. o Restricted group: bắt buộc kiểm soát thành viên của một số nhóm, chẳng hạn nhóm Administrator. o System Service: cho phép chuẩn hóa các dịch vụ trên mạng , bảo vệ không cho thay đổi các dịch vụ. o Registry: khởi tạo các Permission về Registry key để kiểm soát việc thay đổi các key và truy xuất các phần của Registry. o File System: khởi tạo Security cho sự cấp phép truy nhập tệp tin và thư mục. o Public Key Policies: quản lý việc cài đặt và tổ chức Public Key Infrastructure. Dành cho Học Viên VSIC Trang 13