4/13/2010

1

Bài 3QUẢN LÝ TÀI KHOẢN

NGƯỜI DÙNG VÀ NHÓM

WINDOWS SERVER 2003

QUẢN TRỊ MẠNG

Định nghĩa tài khoản người dùng và tài khoản nhóm

�Tài khoản người dùngTrên mạng Windows có hai loại tài khoản người dùng là:� Người dùng cục bộ: Là tài khoản người dùng được

tạo ra trên máy tính cục bộ. � Tài khoản người dùng miền: Là tài khoản được tạo ra

trên máy điều khiển miền.

4/13/2010

2

Tài khoản người dùng (t.t)

� Yêu cầu tài khoản người dùng• Username: dài 1-20 ký tự (trên Windows Server

2003, username có thể dài 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự )

• Username là một chuổi duy nhất• Username không chứa các ký tự sau: “ / \ [ ] : ; | = ,

+ * ? < > ”• Username có thể chứa các ký tự đặc biệt: dấu

chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới.

Định nghĩa tài khoản người dùng và tài khoản nhóm (t.t)

�Tài khoản nhómLà đối tượng đại diện cho một nhóm user� Nhóm bảo mật (Security group)

• Nhóm bảo mật được dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập (permission).

• Mỗi nhóm bảo mật có một SID riêng.• Có 4 loại nhóm bảo mật: local (nhóm cục bộ),

domain local (nhóm cục bộ miền), global (nhóm toàn cục hay nhóm toàn mạng) và universal (nhóm phổ quát).

� Nhóm phân phối (distribution group).• Nhóm phân phối là nhóm phi bảo mật, không có

SID và không xuất hiện trong ACL (Access Control List).

4/13/2010

3

Định nghĩa tài khoản người dùng và tài khoản nhóm (t.t)

� Nhóm bảo mật (Security group)• Local group là loại nhóm có trên các máy stand-alone

Server, member server, Win2K Pro hay WinXP.

• Domain local group là loại nhóm cục bộ đặc biệt vì chúnglà local group nhưng nằm trên miềm

• Global group là loại nhóm nằm trong Active Directory vàđược tạo trên các Domain Controller.

• Universal group là loại nhóm có chức năng giống nhưglobal group nhưng nó dùng để cấp quyền cho các đốitượng trên khắp các miền trong một rừng và giữa các miềncó thiết lập quan hệ tin cậy với nhau.

Tài khoản nhóm (t.t)

� Qui tắt gia nhập nhóm� Tất cả các nhóm Domain

local, Global, Universal đều có thể đặt vào trong nhóm Machine Local.

� Tất cả các nhóm Domain local, Global, Universal đều có thể dặt vào trong chính loại nhóm của mình.

� Nhóm Global và Universal có thể đặt vào trong nhóm Domain local.

� Nhóm Global có thể đặt vào trong nhóm Universal.

4/13/2010

4

Các tài khoản tạo sẵn

�Các tài khoản người dùng tạo sẵn� Administrator� Guest� ILS_Anonymous_User� IUSR_computer-name� IWAM_computer-name� Krbtgt� TSInternetUser

Các tài khoản tạo sẵn (t.t)� Tài khoản nhóm Domain Local tạo sẵn

� Administrators Nhóm Domain Admins và Enterprise Admins là thành viên mặc định của nhóm

� Administrators. � Account Operators� Domain Controllers� Backup Operators� Guests � Print Operator� Server Operators � Users Mặc định mọi người dùng được tạo đều thuộc nhóm này

� Replicator � Incoming Forest Trust Builders � Network Configuration Operators � Pre-Windows 2000 Compatible Access � Remote Desktop User � Performace Log Users � Performace Monitor Users

4/13/2010

5

Các tài khoản tạo sẵn (t.t)

�Tài khoản nhóm Global tạo sẵn� Domain Admins Thành viên của nhóm này có thể toàn

quyền quản trị các máy tính trong miền

� Domain Users Mặc định nhóm này là thành viên của

nhóm cục bộ Users trên các máy server thành viên và

máy trạm

� Group Policy Creator Owners� Enterprise Admins� Schema Admins

Các tài khoản tạo sẵn (t.t)

�Các nhóm tạo sẵn đặc biệt� Interactive � Network� Everyone đại diện cho tất cả mọi người dùng

� System� Creator owner đại diện cho những người tạo ra

� Authenticated users đại diện cho những người dùng

đã được hệ thống xác thực

� Anonymous logon� Service � Dialup

4/13/2010

6

Quản lý tài khoản người dùng và nhóm cục bộ

�Công cụ quản lý tài khoản người dùng cục bộ� Dùng công cụ Local Users and Groups� Có 2 phương thức truy cập đến công cụ Local

Users and Groups• Dùng như một MMC (Microsoft Management

Console) snap-in.• Dùng thông qua công cụ Computer Management

Quản lý tài khoản người dùng và nhóm cục bộ

�Các bước dùng thông qua công cụ Computer ManagementRight click vào My Computer chọn Manage

Trên màn hình Computer Management chọn Local Users and Group chọn Users

Right click vào khoảng trống trên màn hình bên phải và chọn New User

4/13/2010

7

Quản lý tài khoản người dùng và nhóm cục bộ

� User must change password at next logon: đăng nhập lần đầu

vào máy cục bộ người dùng phải

đổi password.

� User cannot change password: người dùng không được thay đổi

password.

� Password never expires: Password không bao giờ bị loại

bỏ.

� Account is disabled: tài khoản

sẽ bị cấm truy cập tạm thời

Quản lý tài khoản người dùng và nhóm cục bộ

� Xóa, sửa tên, thay đổi mật khẩu người dùng chỉ cần chọn chuột phải tương ứng với các mục: Delete, Rename, Set Password

4/13/2010

8

Quản lý tài khoản người dùng và nhóm cục bộ

� Đưa user vào trong group

� Từ menu người dùng, khi chọn tab Member of chọn group đưa vào

Quản lý tài khoản người dùng và nhóm cục bộ

�Các bước chèn Local Local Users and Groups snap-in vào trong

Vào Start > Run, gõ lệnh MMC -> OK-> Xuất hiện màn hình Console1

4/13/2010

9

Quản lý tài khoản người dùng và nhóm cục bộ

�Các bước chèn Local Local Users and Groups snap-in vào trong

Vào File > Add/Remove Snap-in >Add

Quản lý tài khoản người dùng và nhóm cục bộ

�Các bước chèn Local Local Users and Groups snap-in vào trongTrong màn hình Add Standalone Snap-in -> chọn Local users and Groups -> Add

4/13/2010

10

Quản lý tài khoản người dùng và nhóm trên Active Directory

�Công cụ quản lý tài khoản người dùng trên Active Directory�Công cụ Active Directory User and Computer

�Truy xuất công cụ Active Directory User and Computer thông qua MMC

Quản lý tài khoản người dùng và nhóm trên Active Directory

�Quản lý tài khoản user trên Active Directory�Tạo tài khoản User: tại cửa sổ Active Directory Users and Computers nhấp chuột phải chọn mục User->New->User�Nhập thông tin user sau đó Next

4/13/2010

11

Quản lý tài khoản người dùng và nhóm trên Active Directory

� Nhập mật khẩu cho User và các lựa chọn: Password phức tạp hơn sao cho thoả 3 trong 4 điều kiện sau:ký tự chữ thường abc...,ký tự chữ hoa ABC...,ký tự số 123...,ký tự đặc biệc như:!@#$%^ ...

Quản lý tài khoản người dùng và nhóm trên Active Directory

�Cấu hình thuộc tính tài khoản người dùng �Để cấu hình các thuộc tính của tài khoản người dùng trên màn hình Active Directory ta nhấp phải chuột vào tài khoản chọn Properties

4/13/2010

12

Quản lý tài khoản người dùng và nhóm trên Active Directory

� Tab General, Tab Address, tab Telephones, tab organization: Các thông tin mở rộng của người dùng

� Tab Account: Khai báo lại username, quy định giờ logon…

� Tab Profile: đường dẫn đến profile của tài khoản người dùng

� Profile là một thư mục chứa thông tin về môi trường làm việc Win2k3 cho từng người dùng

Quản lý tài khoản người dùng và nhóm trên Active Directory

� Tab Member Of: cấu hình tài khoản người dùng là thành viên của nhóm nào. Một tài khoản có thể là thành viên nhiều nhóm và hưởng tất cả các quyền của tất cả các nhóm đó.

� Tab Dial-in: cho phép cấu hình quyền truy cập từ xa của người dùng cho kết nối dial-in hoặc VNP

4/13/2010

13

Quản lý tài khoản người dùng và nhóm trên Active Directory

� Tạo mới tài khoản nhóm:

� Sử dụng công cụ Active Dirctory Users and Computers

� Nhấp chuột phải vào mục Users chọn New và chọn Group

Quản lý tài khoản người dùng và nhóm trên Active Directory

� Thêm thành viên cho nhóm:

� Trên màn hình Active Directory Users and Computers nhấp phải vào tên nhóm và chọn Properties.

4/13/2010

14

Quản lý tài khoản người dùng và nhóm trên Active Directory

� Thêm thành viên cho nhóm:

� Nhấp thẻ Member.

� Nhấp nút Add

Quản lý tài khoản người dùng và nhóm trên Active Directory

� Thêm thành viên cho nhóm:

� Chọn các tài khoản muốn là thành viên của nhóm ->OK