Quản trị mạng WindowsNT (Phần 2 ):
Phần II - QUẢN LÝ NGƯỜI DÙNG
I. Account người dùng và nhóm trong Windows NT
Một account người dùng bao gồm thông tin về một người dùng như:
- Tên người dùng
- Tên đầy đủ
- Mt khẩu
- Quyền trên hệ thống
Để có thể nhập hệ thống Windows NT phải cần ít nhất một account. Một account
gán cho một người dùng nhất định một tập các quyền, định nghĩa cách thức họ
thể sử dụng hệ thống.
Một nhóm là một tên, tương tự với tên người dùng hoặc account người dùng, có
thể được sử dụng đ tham chiếu tới nhiều người dùng. Mục đích là để làm thuận
tiện việc cung cp và kiểm st truy cp tới nhiều người dùng cùng có mt
nhiệm vụ tương tự. Bằng cách đt các người dùng vào một nhóm, bạn có thể dễ
dàng cung cấp cho các người dùng trong nhóm đó cùng khả năng hoặc hạn chế
nhất định. Nếu bạn cần thay đổi quyền gán cho các người dùng trong nhóm, bạn
chỉ việc sửa đổi một account - group account.
II. Nhóm cục bộ (local groups)
Đối vi Windows NT, chỉ một kiểu nhóm có thể được to và bảo t - nhóm cục
bộ. Một nhóm cc bộ chỉ có th được cung cp quyền trong hệ thng của nó.
Tuy nhiên, nếu hệ thống li là một phn của một domain thì nhóm cc bộ có thể
chứa account của người dùng từ domain hoặc các domain được tin cy bất kỳ.
Không thể gán quyền truy nhập tài nguyên trên \\workstation_1 cho một nhóm
cục bộ định nghĩa trên \\server_2.
Trong một domain, khi một nhóm cục b định nghĩa trong PDC nó được chép tự
động sang các BDC khi dliệu các accounts được nhân bản. Nó được xác định
trong d liệu tất cả các domain controllers (bao gồm PDC, các BDCs) trong
domain đó. Nhóm cục b đượcn quyền tới các tài nguyên của bất cứ domain
contronllers nào trong domain.
Trong một môi trường workgroup, một thành viên trong nhóm cục bộ chỉ có thể
gồm một account người dùng t d liệu account trong máy tính đó.
Một nhóm cục bộ trong Windows NT Workstation và Windows NT Server gồm :
- Các account người dùng của máy tính cục b
- Các ngưi dùng và các nhóm tổng th (global group) của domain máy tính cục
bộ
- Các ngưi dùng và các nhóm tổng th từ các domains được thừa quyền (hay
còn gọi là "tin cậy"-trusted) bởi domain cục b
Chú ý:
Để d quảnchúng ta sử dụng nhiều tới nhóm cục bộ
Các nhóm cục bộ bổ trợ thiết lập trước
một vài nhóm bổ trợ có sẵn trong các domain controllers Windows NT Server:
- Server Operators: Đảm trách cho mạng các domain controllers hoạt động.
Các thành viên nhóm này có cùng quyền hạn như Administrator, ngoại trừ nó
không thể qun lý bảo mật trong server. Nó chỉ có thể cho phép dùng chung hay
bỏ dùng chung các tài nguyên của domain controllers, khoá hay mở kh một
domain controller, và tạo khuôn dạng (format) các đĩa của domain controllers.
Nó cũng có quyn ti các domain controllers như sao lưu (back up) vàu trữ
tệp, shut down (tắt) một domain controller.
- Account Operators: thể qun lý các account nhóm hay ngưi dùng của
domain. Nó có thể to, xoá, sa hầu hết các người dùng, nhóm tổng thể, và
nhóm cục bộ. Nó không thể sửa các account người dùng dạng Administrator,
hoặc các nhóm cục bộ như nhóm Administrators, Server Operators, Account
Operators, Print Operstors, Backup Operators. nó cũng không thể gán quyền
người dùng.
- Print Operators: Có th chia x hay ngừng chia xc máy in, quản lý các
máy tin trong domain controllers. Nó có th truy nhập vào các domain controllers
tt chúng.
III. Nhóm tổng th (Global group)
Nếu mt hệ thống Windows NT là một phần của một domain Advanced Server
thì nhóm tổng thể của domain có th được sử dụng trong hệ thống y. Nhóm
tổng th có thể được sử dụng tại tất c các máy tính trong domain (các máy tính
Windows NT, các Advanced Server, và các LAN Manager 2.x server). Nhóm tổng
thể có thể trở thành thành viên (được cấp membership) trong các nhóm cục bộ
có thể được cấp quyền trong một hệ thống cụ thể.
Nhóm tổng thể có thể s dụng một cách tổng th , không bị giới hạn ở i d
liệu chứa nó.
Một nhóm tng th có thể được tạo từ một thành viên trong nhóm cc b của
bất cứ máy tính nào trong domain hay domain được tin cậy.
Chỉ nên s dụng nm tổng thể khi các ngưi dùng thành viên tương đương, ít
tính quản trị trên tt cả các máyWindows Windows NT.
Domain Windows NT Server chứa sẵn các nhóm tổng thể như:
-
Domain Admins
: Nm các account bạn muốn là Administrators, account
Administrator cũng nằm trong Domain Admin
-
Domain Users:
Các account trong domain
-
Domain Guest:
Các account cho "khách" (Guest)
Các nhóm tổng th không đặc quyền thừa kế. Nó nhận được uỷ quyền do là
thành viên trong nm cục bộ. Ví dụ trong một domain controllers nhóm Domain
Administrators không tự nó có quyền hạn. Nó nhận đưc quyềnnó là thành
viên trong nhóm cục bộ Administrators trong domain controllers. Đó là tại sao
các thành viên trong Domain Administrators có khả năng quản trị domain. Tương
tự các nhóm Domain Users thành viên trong nm cục bộ Users, nhóm
Domain Guests là thành viên trong nhóm cục bộ Guests.
Chú ý:
Dùng chương trình
User Manager for Domains
, từ menu
User
, chọn
New Global Group
để quản các tài nguyên.
Các chiến lược v sử dụng nhóm
Quán trit cách tổng thể cho các người dùng và nhóm đó là gán các account
người dùng của domain vào nhóm tổng th của domain, đưa các nhóm tổng th
của domain làm thành viên của nhóm cục bộ, sau đó gán quyền và các tài
nguyên cho nhóm cục bộ.
Chiến lược khi làm trong môi trường nhiều domain kết nối bởi quan hệ tin cậy-
relationships, cũng với cách trên. Với các account domain của bạn, nhóm các
người dùng vào nhóm tổng th. Nhóm tổng thể này sau đó đưc gán thành
thành viên trong nm cục bộ không phi của domain này mà domain tin cy nó
(trusting).
IV. Các account nhóm mặc định
Có năm nhóm mặc định trong Windows NT -
Users, Power Users,
Administrators, Backup Operators,
Guests.
1. Users
Bt kỳ ai sử dng máy tính thường xuyên có thể có một account trong nhóm
Users. Nhóm Users cung cấp cho người dùng quyền cần thiết để thao tác trên hệ
thống như một người dùng cuối, chẳng hạn như chạy các ứng dng và quản lý
các file.
Một người dùng đăng ký làm việc vào một h thống Windows NT như một phần
của nhóm Users thể thực hiện những công vic sau:
- Chạy các ứng dụng.
- Quản lý các file.
- Tạo và quản lý các nhóm.
- Gi một hồ sơ nhân.
- Nối với một máy tính thông qua mạng.
2. Power Users
Nhóm Power User cung cấp cho người dùng kh năng thc hiện các chức năng
quản trị hệ thống mà không cho phép ngưoừi dùng hoàn toàn kim soát h
thống.
Bổ sung thêm vào tt cả các quyền được cung cp cho nm Users, một người
dùng login vào Windows NT nhưng thành viên của nhóm Power User có thể thực
hiện các công việc sau đây:
- Chia s các thư mục trên mạng.
- Cài đặt, chia s và quản lý máy in.
- Tạo các account người dùng.
- Sửa đổi và xoá account người dùng mà họ đã to.
- Thiết lập đng hồ bên trong máy tính.
3. Administrators
Nhóm Administrators cung cp cho người dùng khng kim soát toàn bộ h
thống.
Bổ sung thêm vào tt cả các quyền cung cấp cho Power Users, một người dùng
login vào Windows NT như là thành viên của nhóm Administrators có thể thực
hiện các công việc sau đây:
- Sửa đổi, xoá account ngưi dùng và nhóm được to bởi những người khác.
- Gán account người dùng cho các nhóm mặc đnh.
- Ghi đè lên kh trm làm việc.
- Đặt khuôn dạng hoặc đặt partition cho một đĩa cứng.
- Gán quyền người dùng.
- Kiểm soát ghi nhật ký kiểm tra hệ thống.
- Lưu trữ và khôi phục toàn bộ hệ thống.
- Gỡ rối h thống.
- Lấy quyn chủ sở hữu của các file và các đối tượng khác.
4. Thao tác viên dự phòng (Backup Operators)
Nhóm Backup Operators cho phép người dùng lưu tr và khôi phục các file trên
hệ thống.
Bt kỳ người sử dụng nào cũng có thể lưu tr và khôi phục các file mà họ có
quyền tm nhập tương ứng. Nhóm Backup Operators phủ lên các quyền đó
cho phép người dùng có thể lưu trữ bất kỳ và tất cả các file trên đĩa, không xét
đến quyền thâm nhp file.
5. Guest
Trong quá trình cài đặt, Windows NT thiết lập account Guest mc định. Account
này cho phép bất kai không co account trong h thống khả năng login vào máy
tính học nối vào thông qua mạng.
Cần thiết phải có account Guest vì nhiu kiểu phần mềm mạng truy nhập máy
tính thông qua account Guest.
Bt kỳ ai trên một mạng có th nối tới các tài nguyên chia sẻ trên máy tính của
bạn thông qua account Guest, do vậy bạn cần gán quyền người dùng trên các tài
nguyên chia sẻ của bạn để kiểm soát cách người dùng thể thâm nhập các tài
nguyên đó.
Để một người dùng nào truy nhp vào mạng như một người dùng với account
Guest thì đưa người dùng đó vào nhóm Guest.
V. Thiết lập các nhóm
1. Tạo các nm cục bộ (Local Groups)
Đầu tiên bạn phải tạo một nhóm cục bộ trước khi gán quyền tại trạm làm việc
của nó. Những quyền này có thể cho phép chẳng hạn như truy nhập tới các file
hoặc máy in như được thiết lập trên File Manager (Windows Exploror đối với
Windows NT 4.0)và Print Manager một cách tương ứng.
2. Để thêm một nhóm cục b
- Chọn một hoặc nhiều account người dùng.
- Từ menu
User
, chọn
New Local Group.
3. Bổ sung các thành viên mới
a. Từ hộp hội thoi
New Local Group
, chọn t
Add
. Hộp hội thoại
Add
liệt kê
tất cả các account của nời sử dụng trong máy tính.
b. Tuỳ ý chọn một tên domain trong hộp
List Names In
. Chọn domain xong,
account người s dụng và nhóm tổng th (global groups) của domain sẽ được
liệt kê.
c. Chọn một vài account người dùng và nhóm global từ hộp
Name
.
4. Chép một nhóm tổng th (global groups)
a. Chọn một nhóm trong danh sách các nhóm.
b. Chọn menu
User
, chọn
Copy
.
Trong hộp hội thoi
New Local Group
, n nhóm có màu trắng. Thông tin mô
tả và các account các thành viên nhóm được sao chép.
5. Xoá nhóm
Xoá nhóm cục bộ chỉ có nghĩa là bỏ nhóm cục bộ đó thôi — Nó không xoá bất kỳ
account người dùng hay nhóm tổng th mà nó là thành viên của nhóm cục bộ bị
xoá. Khi xoá một nhóm s có một cảnh báo chỉ cho người sử dụng rằng nếu to
nhóm mới có cùng tên với tên nhóm xoá s không phục hồi các quyền hạn trước
kia.
Khi một nhóm được xoá và bạn li to một nhóm mới có tên giống tên nhóm va
xoá, nhóm mới sẽ không có bt cứ quyền truy nhập gì như lúc trước đối với
nhóm bị xoá vì nhóm mới sẽ có một SID. Tt cả các quyền, các quyền gán và
các thành viên của nhóm mi cần được thiết lập theo cách thức thông thường.
VI. Account người dùng mc định
Ba account mặc định, Administrator, Guest và một người dùng khởi đầu được to
khi Windows NT được cài đặt lần đầu tiên. Mỗi account mặc định có mt số
quyền hn nhất định trên hệ thống.
1. Administrator
Account Administrator được tạo trong quá trình i đặt h thống. Yêu cầu một
mật khẩu ban đầu khi cài đặt. Đc điểm của account này là có th đổi tên nhưng
không thể xoá được.
Administrator có quyền cao nht trên toàn bộ hoạt động và an toàn của hệ
thống. Administrator thậm chí có quyền kim soát các file củac người dùng
khác. Bt kai biết tên s dụng và mật khẩu của Administrator có quyn cao
nhất về quản trị toàn bộ h thống .
Nếu mật khu bị quên hoặc không biết thì cách duy nht là cài đặt lại Windows
NT hoặc s dụng sử dụng đĩa Sửa chữa Khẩn cấp (Emergency Repair disk) được
tạo trong quá trình cài đt. Để tránh tình trạng account Administrator trở nên
không hu ích hoặc không tích cực, các ngưi dùng bổ sung có thể được gán các
quyền của Administrator.
Một người dùng đăng ký sử dụng dưới account Administrator (hoặc một account
thuộc v nhóm Administrator) thể thực hiện các công vic sau:
- Sửa hoặc xoá các account ngưi dùng hoặc nhóm
- Bổ sung hoặc loi bỏ người dùng khỏi nhóm
- Gán các quyn đặc biệt cho nhóm
- Sửa đổi phần mm hệ thống điều hành
- Cài đặt hoặc nâng cấp phần mm ng dụng và điều khiển thiết bị
- Lên khuôn dạng đĩa cứng
- Thiết lập máy tính đ quản trị mạng từ xa
2. Người sử dụng ban đu