Quản lý tài khoản người dùng trong nhóm

Chia sẻ: Tran Long | Ngày: | Loại File: PDF | Số trang:8

Thêm vào BST

Báo xấu

167
lượt xem 59
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tài khoản người dùng và tài khoản nhóm - chứng thực và kiềm soát truy cập - các tài khoản tạo sẵn - quản lý tài khoản người dùng và nhóm cục bộ - quản lý người dùng và nhóm trên Actice Directory

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Quản lý tài khoản người dùng trong nhóm

TRƯ NG Đ I H C KHOA H C T NHIÊN N i dung bài h c KHOA Đi N T - Vi N THÔNG Tài kho n ngư i dùng và tài kho n nhóm Chương 03 Ch ng th c và ki m soát truy c p Các tài kho n t o s n Qu n lý tài kho n ngư i dùng và nhóm c c b QU N LÝ TÀI KHO N NGƯ I Qu n lý tài kho n ngư i dùng vá nhóm trên DÙNG VÀ NHÓM Active Directory 2/47 ð nh nghĩa tài kho n ngư i dùng và tài kho n nhóm Tài kho n ngư i dùng (t.t) Tài kho n ngư i dùng Tài kho n ngư i dùng mi n Tài kho n ngư i dùng c c b : ð nh nghĩa trên Active Directory, lưu trên file NTDS.DIT ðư c ñ nh nghĩa trên máy c c b (máy stand-alone, member sever) Có th logon trên b t kỳ máy tr m nào thu c vùng ñ truy c p tài ðư c lưu trong t p tin SAM (Secutity Accounts Manager) nguyên m ng 3/47 4/47 1
ð nh nghĩa tài kho n ngư i dùng và tài kho n Tài kho n ngư i dùng (t.t) nhóm Yêu c u tài kho n ngư i dùng Tài kho n nhóm Username: dài 1-20 ký t (trên Windows Server 2003, Nhóm b o m t (Security group) username có th dài 104 ký t , tuy nhiên khi ñăng nh p t các Nhóm b o m t ñư c dùng ñ c p phát các quy n h th ng máy cài h ñi u hành Windows NT 4.0 v trư c thì m c ñ nh ch (rights) và quy n truy c p (permission). hi u 20 ký t ) M i nhóm b o m t có m t SID riêng. Username là m t chu i duy nh t Có 4 lo i nhóm b o m t: local (nhóm c c b ), domain local (nhóm c c b mi n), global (nhóm toàn c c hay nhóm toàn m ng) và Username không ch a các ký t sau: “ / \ [ ] : ; | = , + * ? < > ” universal (nhóm ph quát). Username có th ch a các ký t ñ c bi t: d u ch m câu, kho ng Nhóm phân ph i (distribution group) tr ng, d u g ch ngang, d u g ch dư i. Nhóm phân ph i là nhóm phi b o m t, không có SID và không xu t hi n trong ACL (Access Control List). 5/47 6/47 ð nh nghĩa tài kho n ngư i dùng và tài kho n nhóm Tài kho n nhóm (t.t) Nhóm b o m t (Security group) Qui t t gia nh p nhóm Local (nhóm c c b ): Ch có ý nghĩa và ph m vi ho t ñ ng trên T t c các nhóm Domain local, máy c c b Global, Universal ñ u có th ñ t Domain local (nhóm c c b mi n): vào trong nhóm Machine Local. Là nhóm c c b nhưng n m trên các Domain Controller T t c các nhóm Domain local, M t user trên máy DC này s có m t trên các DC ñ ng hành v i nó Global, Universal ñ u có th d t vào trong chính lo i nhóm c a Global (nhóm toàn c c hay nhóm toàn m ng): mình. N m trong AD ñư c t o ra trên các DC Nhóm Global và Universal có ðư c c p quy n h th ng và quy n truy c p vư t qua ranh gi i c a th ñ t vào trong nhóm Domain mi n local. Universal (nhóm ph quát): ðư c c p quy n cho các ñ i tư ng Nhóm Global có th ñ t vào trên kh p mi n trong r ng trong nhóm Universal. 7/47 8/47 2
Ch ng th c và ki m soát cuy c p Ch ng th c và ki m soát truy c p (t.t) Các giao th c ch ng th c S nh n di n b o m t SID (Security Identifier): m i tài Quy trình ch ng th c: kho n ñư c ñ t trưng m t con s nh n d ng tài kho n SID ðăng nh p tương tác: phê chu n nh ng yêu c u ñăng nh p c a ngư i dùng SID có d ng chu n “S-1-5-21-D1-D2-D3-RID” Ch ng th c m ng: ki m tra ch ng th c c b hay mi n Kerberos V5: là giao th c chu n Internet dùng ñ ch ng th c ngư i D1, D2, D3 : xác ñ nh domain dùng và h th ng. RID : xác ñ nh ngư i dùng trong vùng NT LAN Manager (NTLM): là giao th c ch ng th c chính c a M c ñích c a vi c s d ng SID: Windows NT. Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơ D dàng thay ñ i tên ngư i dùng mà các quy n h th ng không ch ch ng th c chính ñư c dùng khi truy c p vào máy ph c v Web thay ñ i an toàn. Khi xóa tài kho n thì SID s không còn giá tr n a 9/47 10/47 Ch ng th c và ki m soát truy c p (t.t) Các tài kho n t o s n Ki m soát truy c p c a ñ i tư ng Các tài kho n ngư i dùng t o s n Administrator: toàn quy n trên máy tính hi n t i Ngư i dùng, nhóm, máy tính, các tài nguyên m ng ñ u ñư c ñ nh nghĩa dư i d ng các ñ i tư ng và ñư c ki m soát truy c p d a vào b Guest: dùng cho khách vãng lai không có tài kho n mô t ñ i tư ng ACE (Access Control Entry) ILS_Anonymous_User: là tài kho n dành cho d ch v ILS như Ch c năng c a ACE: caller ID, video conferencing Li t kê ngư i dùng nhóm nào ñư c truy c p ñ i tư ng IUSR_computer-name: dùng trong các truy c p d u tên trong d ch ð nh rõ quy n truy c p c a ngư i dùng và nhóm v IIS Theo dõi các s ki n x y ra trên ñ i tư ng ð nh rõ quy n s h u ñ i tư ng IWAM_computer-name: Dùng cho kh i ñ ng các ti n trình c a các ng d ng IIS M t ACL (Access Control List) ch a nhi u ACE, nó là danh sách t t c ngư i dùng và nhóm có quy n truy c p ñ n ñ i tư ng. Krbtgt: dùng cho d ch v trung tâm phân ph i khóa TSInternetUser: dùng cho Terminal Service 11/47 12/47 3
Các tài kho n t o s n (t.t) Các tài kho n t o s n (t.t) Tài kho n nhóm Domain Local t o s n Tài kho n nhóm Domain Local t o s n Administrators: Toàn quy n trên h th ng Users Replicator: sao chép danh b trong AD Account Operators: Thêm xóa các tài kho n ngư i dùng local và tài kho n nhóm Incoming Forest Trust Builders: t o các quan h tin c p ñ n các r ng Domain Controllers: ñăng nh p vào các DC nhưng không có quy n Network Configuration Operators: ch nh s a các thông s TCP/IP qu n tr các chính sách b o m t trên các máy DC Backup Operators: Lưu tr ph c h i t p tin h th ng Pre-Windows 2000 Compatible Access: truy c p các tài kho n Guests ngư i dùng và nhóm h tr WinNT cũ Remote Desktop User: ñăng nh p t xa vào DC Print Operator: qu n lý các ñ i tư ng máy in Performace Log Users: ghi nh p các giá tr hi u năng c a DC Server Operators: cài ñ t qu n lý máy in, qu n lý thu m c, ñ nh d ng ñĩa, thay ñ i gi h th ng Performace Monitor Users : có kh năng giám sát t xa các DC 13/47 14/47 Các tài kho n t o s n (t.t) Các tài kho n t o s n (t.t) Tài kho n nhóm Global t o s n Các nhóm t o s n ñ c bi t: ch xu t hi n trên các ACL c a các tài nguyên và ñ i tư ng Domain Admins: Thành viên nhóm này có toàn quy n Interactive: ñ i di n cho nh ng ngư i dùng ñang s d ng máy t i qu n tr trong mi n ch Domain Users: m c ñ nh tài kho n ngư i dùng thu c Network: ñ i di n cho nh ng ngư i dùng ñang k t n i ñ n máy tính nhóm này khác Group Policy Creator Owners: nhóm này có quy n thay Everyone: ñ i di n cho t t c m i ngư i ñ i chính sách nhóm c a mi n System: ñ i di n cho h ñi u hành Enterprise Admins: thành viên c a nhóm này có toàn Authenticated users: nh ng ngư i ñư c xác th c quy n trên t t c các mi n trong r ng Anonymous logon: nh ng ngư i ñang nh p qua FTP Schema Admins: Thành viên c a nhóm này có th Dialup: ñang nh p h th ng thông qua Dial-up Networking ch nh s a c u trúc t ch c c a AD 15/47 16/47 4
Qu n lý tài kho n ngư i dùng và nhóm c c Qu n lý tài kho n ngư i dùng và nhóm c c b b (t.t) Công c qu n lý tài kho n ngư i dùng c c b Qu n lý tài kho n ngư i dùng c c b Dùng công c Local Users and Groups T o tài kho n m i Xoá tài kho n Có 2 phương th c truy c p ñ n công c Local Khoá tài kho n Users and Groups ð i tên tài kho n Dùng như m t MMC (Microsoft Management Console) Thay ñ i m t kh u (Xem Demo) snap-in. Qu n lý tài kho n nhóm c c b Dùng thông qua công c Computer Management T o tài kho n nhóm Các bư c chèn Local Local Users and Groups Xoá tài kho n nhóm snap-in vào trong MMC. (Xem Demo) Thêm ngư i dùng vào nhóm (Xem Demo) 17/47 18/47 Qu n lý tài kho n ngư i dùng và nhóm trên Qu n lý tài kho n ngư i dùng và nhóm trên Active Directory Active Directory Công c qu n lý tài kho n ngư i dùng trên Active Qu n lý tài kho n nhóm trên Active Directory Công c Active Directory User and Computer Directory Truy xu t công c Active Directory User and Computer T o tài kho n nhóm thông qua MMC Qu n lý tài kho n ngư i dùng Xoá tài kho n nhóm T o tài kho n m i Thêm ngư i dùng vào nhóm Xoá tài kho n Gia nh p nhóm vào nhóm (Xem Demo) Khoá tài kho n ð i tên tài kho n Thay ñ i m t kh u (Xem Demo) 19/47 20/47 5
Qu n lý tài kho n ngư i dùng và nhóm trên Qu n lý tài kho n ngư i dùng và nhóm trên Active Directory Active Directory Tab Account: Các thu c tính c a tài kho n ngư i dùng Tab General Tab Address Tab Telephones Gi i h n gi ñăng nh p Gi i h n PC mà ngư i dùng Tab Organization c a ngư i dùng đăng nh p t m ng Tab Account Tab Profile Tab Member of Tab Dial-in … (Xem Demo) T ñ ng logoff khi h t gi ñăng nh p Group Policy ch n Computerconfiguration\Windows 21/47 settings\Security Settings\Local Policies\Security Option ch n Network security:Force logoff 22/47 when logon hour expire Qu n lý tài kho n ngư i dùng và nhóm trên Qu n lý tài kho n ngư i dùng và nhóm trên Active Directory Active Directory Các tùy ch n liên quan ñ n tài kho n ngư i dùng Các tùy ch n liên quan ñ n tài kho n ngư i dùng User must change Ngư i dùng ph i thay ñ i m t kh u l n ñăng nh p k ti p, password at next logon sau ñó m c này s t ñ ng b ch n Account is trusted for Ch áp d ng cho các tài kho n d ch v nào c n giành ñư c User cannot change N u ñư c ch n thì ngăn không cho ngư i dùng tùy ý thay delegation quy n truy c p vào tài nguyên v i vai trò nh ng tài kho n password ñ i m t kh u. ngư i dùng khác. Password never expires N u ñư c ch n thì m t kh u c a tài kho n này không bao Account is sensitive and Dùng tùy ch n này trên m t tài kho n khách vãng lai ho c gi h t h n. cannot be delegated t m ñ ñ m b o r ng tài kho n ñó s không ñư c ñ i di n b i Store password using Ch áp d ng tùy ch n này ñ i v i ngư i dùng ñăng nh p t m t tài kho n khác. reversible encryption các máy Apple. Use DES encryption types N u ñư c ch n thì h th ng s h tr Data Encryption Account is disabled N u ñư c ch n thì tài kho n này t m th i b khóa, không s for this account. Standard (DES) v i nhi u m c ñ khác nhau. d ng ñư c. Smart card is required for Tùy ch n này ñư c dùng khi ngư i dùng ñăng nh p vào m ng Do not require Kerberos N u ñư c ch n h th ng s cho phép tài kho n này dùng m t interactive login thông qua m t th thông minh (smart card), lúc ñó ngư i preauthentication ki u th c hi n giao th c Kerberos khác v i ki u c a dùng không nh p username và password mà ch c n nh p vào Windows Server 2003. 23/47 24/47 m t s PIN. 6
Qu n lý tài kho n ngư i dùng và nhóm trên Qu n lý tài kho n ngư i dùng và tài kho n Active Directory nhóm Tab Profile @echo off REM login.bat version1.1 Qu n lý tài kho n ngư i dùng và tài kho n REM Exit if user has logged on to the server nhóm b ng dòng l nh IF %computername%.== sever1. goto end L nh net user: t o thêm, hi u ch nh và hi n th REM delete pre-exit drive mappings thông tin c a các tài kho n ngư i dùng. Net use H: /delete >nul Cú pháp: Net use J: /delete >nul net user [username [password | *] [options]] REM Map H to Users share [/domain] \Window\SYSVOL\sysvol\do Net use H: \\server1\Users /yes >nul net user username {password | *} /add [options] mainname\scripts REM Map H to Apps share [/domain] Net use J: \\server1\Apps /yes >nul net user username [/delete] [/domain] REM Synchronize time with sever 25/47 26/47 Net Time \\sever1 /set /yes Qu n lý tài kho n ngư i dùng và tài kho n nhóm Qu n lý tài kho n ngư i dùng và tài kho n nhóm (t.t) (t.t) Qu n lý tài kho n ngư i dùng và tài kho n nhóm Qu n lý tài kho n ngư i dùng và tài kho n nhóm b ng dòng l nh (t.t) b ng dòng l nh (t.t) L nh net group: t o m i thêm, hi n th ho c hi u ch nh L nh net localgroup: thêm, hi n th ho c hi u ch nh nhóm nhóm toàn c c. c cb . Cú pháp: Cú pháp: net group [groupname [/comment:"text"]] [/domain] net localgroup [groupname [/comment:"text"]] [/domain] net group groupname {/add [/comment:"text"] | /delete} net localgroup groupname {/add [/comment:"text"] | /delete} [/domain] [/domain] net group groupname username[ ...] {/add | /delete} [/domain] net localgroup groupname name [ ...] {/add | /delete} [/domain] 27/47 28/47 7
Qu n lý tài kho n ngư i dùng và tài kho n nhóm (t.t) Câu h i và gi i ñáp Qu n lý tài kho n ngư i dùng và tài kho n nhóm b ng dòng l nh (t.t) L nh dsadd user, dsmod user: t o m i, ch nh s a tài kho n ngư i dùng. Các ví d : dsadd user "CN=HV01,CN=Users, DC=Netclass, DC=Com, DC=vn" -pwd A1b2C3d4 -mustchpwd yes (thêm m t user) dsrm user "CN=hv01, CN=Users, DC=Netclass, DC=Com, DC=vn" (xóa m t user) Dsmod group “ CN=Network, CN=users, DC=netclass, DC=com, DC=vn” –addmbr “CN=hv01, CN=Users, DC=netclass, DC=com, DC=vn” (thêm m t ngư i dùng hv01 vào nhóm Network2929 29/47 30/47 8