Chơng 2 Quản lý các tài khoản, chính sách nhóm 2.1. Quản lý tài khoản ngời dùng 2.1.1. Quản lý tài khoản ngời dùng của máy Trong mạng Windows 2000, tất cả những máy trạm cài đặt Windows Professional 2000 và những máy chủ không phải là máy điều khiển vùng (DC), đều có một CSDL khoản mục riêng để quản lý các tài khoản ngời dùng và tài khoản nhóm của riêng nó. Những tài khoản này đợc gọi là tài khoản tại chỗ, trong đó cũng có tài khoản ngời quản trị Administrator. Đối với những máy không phải là DC. Khi khởi động máy, ta có thể chọn hai mức đăng nhập là: đăng nhập vào mạng hoặc đăng nhập vào chính máy này. + Nếu muốn đăng nhập vào mạng thì tại mục Log on to, ta chọn tên miền cần đăng nhập. Khi đó tài khoản ngời sử dụng phải là tài khoản của miền. Nếu đăng nhập thành công, thì ta có thể khai thác và sử dụng những tài nguyên cả trên mạng và trên máy tính này, tuỳ theo quyền truy cập đợc trao. + Nếu muốn đăng nhập vào máy thì tại mục Log on to, ta chọn tên máy có kèm theo dòng chữ (this computer) ở cuối. Khi đó tài khoản ngời sử dụng phải là tài khoản của máy. Nếu tài khoản đó là Administrator thì sẽ có toàn quyền sử dụng máy, còn với những tài khoản ngời dùng khác thì chỉ có một số quyền hạn nhất định do ngời quản trị trao cho. Nhng trong cả hai trờng hợp này ta đều không thể khai thác và sử dụng đợc các tài nguyên trên mạng. Chú ý: Khi làm việc với các đối tợng, chức năng nào liên quan đến đối t- ợng mà đợc chọn từ một menu nào đó trên màn hình thì chức năng đó cũng có thể đợc chọn từ menu ngữ cảnh (là menu đợc hiện ra khi ta nhấn nút phải chuột tại đối tợng đợc chọn). 2.1.1.1. Tạo tài khoản ngời dùng của máy Để tạo ra tài khoản ngời dùng tại chỗ của máy, ta sử dụng công cụ Computer Management bằng cách chọn lần lợt các mục sau: Start/Programs/Administrator Tools/Computer Management, hoặc nhấn chuột phả tại biểu tợng My Computer, rồi chọn mục Manage. Khi đó sẽ hiện ra cửa sổ nh hình 2.1: 10 Hình 2.1. Cửa sổ Computer Management - Trong cửa sổ trên, ta chọn Local Users and Groups/Users, rồi chọn New User từ menu Action, để hiện ra cửa sổ khai báo nh hình 2.2. Hình 2.2. Cửa sổ tạo tài khoản ngời dùng của máy Trong cửa sổ khai báo trên: 11 - Mục User name bắt buộc phải nhập vào, đây chính là tên để ngời sử dụng đăng nhập vào máy. Các mục còn lại có thể nhập vào hoặc không. - Mục User must change password at next logon, nếu đợc chọn thì ng- ời sử dụng này phải thay đổi lại mật khẩu tại lần đăng nhập kế tiếp, sau đó ô chọn này sẽ đợc tự bỏ. - Mục Account is disabled, nếu đợc chọn thì tài khoản ngời dùng này tạm thời không có hiệu lực đăng nhập vào máy. Sau khi vào xong các thông tin cần thiết, ta nhấn nút Create để tạo. Khi đó các mục trong cửa sổ trên sẽ tự xoá để chuẩn bị tạo ngời sử dụng mới. Để kết thúc quá trình tạo ngời sử dụng, ta nhấn nút Close. 2.1.1.2. Đổi tên tài khoản ngời dùng của máy Chọn ngời sử dụng cần đổi tên tại phần bên phải của cửa sổ Computer Management, rồi chọn Rename từ menu Action. Sau đó gõ vào tên mới. 2.1.1.3. Xoá tài khoản ngời dùng của máy Chọn ngời sử dụng cần xoá tại phần bên phải của cửa sổ Computer Management, rồi chọn Delete từ menu Action, hoặc bấm phím Delete. Sau đó nhấn: Yes để xoá, No không xoá. Chú ý: Nếu máy là một DC, thì không thể tạo đợc tài khoản ngời sử dụng tại chỗ của máy đó, nên khi đó mục Local Users and Groups sẽ bị vô hiệu hoá trong cửa sổ Computer Management. Đối với những máy chủ này ta chỉ có thể tạo đợc các ngời sử dụng của miền bằng cách dùng công cụ Active Directory Users and Computers. 2.1.2. Quản lý tài khoản ngời dùng của miền Trong Windows 2000, Active Directory Users and Computers là công cụ chính để quản lý các tài khoản ngời dùng, các nhóm bảo mật, các đơn vị tổ chức (OU), và các chính sách trong mạng đơn miền hoặc đa miền. Công cụ này có thể đợc chạy trên bất kỳ máy Windows 2000 nào, mặc dù nó chỉ đợc cài đặt và xuất hiện mặc định trong menu Programs trên các máy DC. Để chạy công cụ này trên một máy không phải DC, ta phải quảng bá (publish) hoặc phân bổ (assign) công cụ đó bằng Active Directory. Sau đó nó có thể đợc cài đặt trên các máy Windows 2000 Server (không phải DC) hoặc Windows 2000 Professional bằng cách dùng công cụ Add/Remove Programs (cách tiến hành công việc cài đặt đó đợc trình bày ở chơng 4). 2.1.2.1. Tạo tài khoản ngời dùng của miền 12 Để tạo ra tài khoản ngời dùng của miền, ta mở cửa sổ Active Directory Users and Computers (cách mở nh khi tạo OU trong mục 4.1 của chơng 1). Cửa sổ này khi đợc mở có dạng sau: Hình 2.3. Cửa sổ Active Directory Users and Computers - Tiếp theo ta chọn nơi muốn đặt tài khoản mới vào đó (ví dụ chọn OU PTHUC_HANH), rồi chọn New/User từ menu Action, để hiện ra cửa sổ khai báo sau: Hình 2.4. Cửa sổ tạo tài khoản ngời dùng của miền Trong cửa sổ khai báo trên ta điền vào các mục: tên (First name), họ (Last name), các ký tự viết tắt của tên (Initials), và tên đầy đủ (Full name). Hai mục Last name và Initials là tuỳ chọn, nên có thể điền vào hoặc không. 13 Mục User logon name dùng để gõ vào tên đăng nhập (chính là User name khi đăng nhập vào mạng), kế đó ta thấy dòng chữ @KHOATIN.LOCAL, đây đợc gọi là hậu tố tên chính của ngời sử dụng (UPN - User Principal Name), sẽ đợc tự động gắn vào đuôi của User name lúc đăng nhập để tạo thành tên UPN dạng NVTrung@KHOATIN.LOCAL. Những cái tên UPN này bắt chớc theo kiểu tên địa chỉ E-mail, cho nên có ký hiệu @. Hậu tố UPN thông thờng là tên của miền chứa User đợc tạo, nhng cũng có thể đặt một tên gợi nhớ khác (tên này đợc coi nh bí danh của tên miền thật). Về bản chất hậu tố UPN là một con trỏ, chỉ đến miền có chứa tài khoản ngời dùng đang xét, cho nên rất thuận tiện khi ngời dùng đăng nhập vào một môi trờng mạng đa miền, vì không cần quan tâm đến tên miền thật của miền. Mục User logon name (pre-Windows 2000) dùng để vào một tên đăng nhập theo kiểu cũ dạng DOMAINNAME\Username tồn tại từ các phiên bản NT trớc đây, tên này có thể khác với tên trong User logon name. Mục đích của tên này là để tạo sự tơng thích trong một mạng đa miền, mà trong đó có cài đặt cả Windows 2000 và NT . Chú ý: Các tên trong hai mục First name và User logon name có thể là các ký tự tuỳ ý (trong First name dài nhất là 28 ký tự, còn trong User logon name nói chung là không hạn chế), nhng phải là duy nhất đối với các tài khoản khác trên miền (kể cả tài khoản ngời sử dụng và tài khoản nhóm). Tuy nhiên, tên của một tài khoản ngời dùng trên miền có thể giống với tên của một tài khoản tại chỗ trên một máy nào đó không phải là DC. Sau khi điền vào xong những thông tin trên ta chọn Next để mở tiếp cửa sổ sau: 14 Hình 2.5. Cửa sổ ấn định các tuỳ chọn về mật khẩu và tài khoản Trong cửa sổ trên ta ấn định một mật khẩu cho tài khoản ngời dùng tại mục Password rồi xác nhận nó tại mục Confirm password. Chú ý: Các chữ cái trong mật khẩu có phân biệt chữ hoa và chữ thờng (kể cả mật khẩu tài khoản ngời dùng của miền và của máy). Các tuỳ chọn bên dới có thể chọn hoặc không, nếu chọn thì chúng có ý nghĩa nh sau: User must change password at next logon: Buộc ngời dùng này phải đổi mật khẩu vào lần đăng nhập kế tiếp, sau đó ô chọn này sẽ đợc tự bỏ. User cannot change password: Ngăn không cho ngời dùng thay đổi mật khẩu của tài khoản này. Tuỳ chọn này hữu ích đối với các tài khoản dùng chung. Password never expires: Tài khoản ngời dùng này sẽ lờ đi chính sách hết hạn mật khẩu, do đó mật khẩu dành cho tài khoản này sẽ không bao giờ hết hạn. Tuỳ chọn này hữu ích đối với các tài khoản dùng chung để chạy các dịch vụ. Account is disabled: Tài khoản này tuy vẫn nằm trong cơ sở dữ liệu khoản mục của vùng, nhng tạm thời bị vô hiệu hoá, và chừng nào cha bỏ tuỳ chọn này thì không thể dùng nó để đăng nhập vào mạng đợc. Tiếp theo chọn Next để hiện ra cửa sổ cuối cùng của quá trình tạo, nh hình 2.6. Cửa sổ này hiện ra một số thông tin chính mà ta đã nhập vào cho tài 15 khoản ngời dùng. Nếu chọn Finish thì tài khoản đó sẽ đợc tạo ngay, còn nếu muốn quay lại sửa một số thông tin ở các cửa sổ trớc đó thì ta chọn Back. Hình 2.6. Cửa sổ xác nhận thông tin của tài khoản ngời dùng trớc khi tạo Sau khi chọn Finish, ở phần chi tiết (bên phải) của cửa sổ Active Directory Users and Computers sẽ hiện ra tài khoản ngời dùng mới tạo nh hình 2.7. Hình 2.7. Cửa sổ Active Directory Users and Computers sau khi tạo thêm tài khoản ngời dùng mới Ngo Van Trung Trong cửa sổ trên ta thấy chỉ hiện tên đầy đủ của tài khoản ngời dùng, mà không hiện tên đăng nhập (NVTrung). 2.1.2.2. Di chuyển tài khoản ngời dùng đến nơi chứa mới 16 Chọn ngời sử dụng cần di chuyển, chọn Move từ menu Action, để hiện ra cửa sổ nh hình 2.8. Tại cửa sổ này ta chọn nơi chứa mới rồi nhấn OK. Hình 2.8. Cửa sổ chọn nơi chứa mới của tài khoản ngời dùng 2.1.2.3. Đổi tên đầy đủ của tài khoản ngời dùng Chọn ngời sử dụng cần đổi tên, chọn Rename từ menu Action, rồi gõ vào tên mới. 2.1.2.4. Đổi lại mật khẩu ngời dùng Chọn ngời sử dụng cần đổi mật khẩu, chọn Reset Password từ menu Action, để hiện ra cửa sổ nh hình 2.9. Sau đó tiến hành vào mật khẩu mới. Hình 2.9. Cửa sổ đổi mật khẩu mới của tài khoản ngời dùng 2.1.2.5. Xoá tài khoản ngời dùng Chọn ngời sử dụng cần xoá, chọn Delete từ menu Action hoặc bấm phím Delete. Sau đó nhấn: Yes để xoá, No không xoá. 2.1.3. Thay đổi các thiết định về tài khoản ngời dùng 17 Các thiết định cho tài khoản ngời dùng của miền bao gồm rất nhiều thiết định, ở đây chúng ta chỉ quan tâm tới một số thiết định chính nh: giờ đăng nhập vào mạng, máy đợc đăng nhập vào, ngày hết hạn của tài khoản. Các thiết định về ấn định mật khẩu và chính sách khoá chặt tài khoản đợc thực hiện thông qua chính sách nhóm, sẽ đợc trình bày ở phần 3.5 bên dới. Để thay đổi các thiết định về tài khoản ngời dùng của miền, ta chọn khoản ngời dùng cần thay đổi (ví dụ Ngo Van Trung), chọn Properties để hiện ra cửa sổ đặc tính của ngời dùng này nh hình 2.10, với trang đợc chọn hiện đầu tiên là General. Tại trang này ta thấy hiện lên một số thông tin đã nhập trong quá trình tạo tài khoản, và ta vẫn có thể sửa lại ở đây nếu muốn. Ngoài ra ta có thể bổ sung cho ngời dùng này một lời mô tả (Description), tên văn phòng làm việc (Office), các số điên thoại (Telephone number), địa chỉ E- mail, địa chỉ các trang Web (Web page). Hình 2.10. Cửa sổ đặc tính của tài khoản ngời dùng Tiếp theo ta chọn trang Account để hiện ra nội dung nh hình 2.11. 18 Hình 2.11. Trang Account của cửa sổ đặc tính Tại đây ta có thể đổi lại tên đăng nhập vào mạng tại mục User logon name, thay đổi lại các tuỳ chọn về mật khẩu tại mục Account options. Tại mục Account Expires, nếu chọn Never thì tài khoản của ngời dùng này sẽ không bao giờ hết hạn, còn nếu chọn End of và vào một ngày nào đó thì đến ngày đó, tài khoản ngời dùng này sẽ không thể đăng nhập vào mạng. Theo mặc định, mọi ngời dùng đều đợc phép đăng nhập vào mọi ngày trong tuần và vào bất kỳ giờ nào trong ngày (tức là 24/7), nhng ta vẫn có thể ấn định những ngày giờ cụ thể nào đó mà mỗi ngời đợc phép đăng nhập bằng cách chọn mục Logon Hours để hiện ra cửa sổ nh hình 2.12. 19 [...]... công khai 2. 4.4 .2 Sử dụng chính sách nhóm để ấn định mật khẩu và chính sách khoá chặt tài khoản Một chú ý quan trọng đối với các chính sách nhóm về mật khẩu và chính sách khoá chặt tài khoản là: chúng chỉ đợc áp dụng ở cấp miền Các máy DC sẽ nhận đợc các thiết định của chúng từ các chính sách tài khoản cấp miền, và lờ đi những thiết định trong các chính sách đợc liên kết với các OU 44 Các chính sách về... căn cứ theo OU Thứ tự áp dụng chính sách nhóm: Các chính sách đợc áp dụng theo thứ tự: chính sách địa bàn, chính sách miền, chính sách OU, rồi đến các OU 38 bên trong OU Nh vậy các chính sách ở mức bên trong sẽ đợc u tiên hơn các chính sách ở mức bên ngoài Các tuỳ chọn No Override và Block Policy inheritance: Các tuỳ chọn này có trong GPO, dùng để lọc chặn các chính sách nhóm Nếu chọn Block Policy inheritance... trạm của một ngời dùng 37 2. 4 .2 Các khái niệm về chính sách nhóm Các quản trị viên định cấu hình và triển khai các chính sách nhóm bằng cách xây dựng các đối tợng chính sách nhóm (Group Policy Object GPO) Các GPO là các khoang chứa dành cho tập hợp các thiết định về quản trị và bảo mật, có thể đợc áp dụng cho các tài khoản ngời dùng và tài khoản máy trên mạng Có hai mục chính trong một GPO là Computer... và nhóm toàn rừng đợc tạo sẵn Các nhóm toàn miền và nhóm toàn rừng đợc tạo sẵn đợc đặt trong mục Users nh hình 2. 16 Hình 2. 16 Các nhóm toàn miền và nhóm toàn rừng đợc tạo sẵn Bảng 2. 3 mô tả các nhóm toàn miền và nhóm toàn rừng quan trọng nhất 27 Bảng 2. 3 Các nhóm toàn miền và nhóm toàn rừng đợc tạo sẵn Nhóm Công dụng của nó Domain Admins (nhóm toàn miền) Theo mặc định nhóm này là thành viên của nhóm. .. có các nhóm mà thành viên của nó có thể là tài khoản ngời dùng, hoặc tài khoản máy, hoặc cả hai loại đó Trong NT 4, các nhóm chỉ có thể đợc lồng vào nhau nhiều nhất là một cấp Còn trong Windows 20 00, các nhóm có thể đợc lồng vào nhau sâu hơn một cấp 22 2. 2 .2 Các loại nhóm bảo mật Có ba kiểu nhóm bảo mật là: nhóm cục bộ (local group), nhóm toàn miền (global group) và nhóm toàn rừng (universal group) 2. 2 .2. 1... cục bộ tạo sẵn để quản lý các công việc hệ thống Ngời quản trị có thể tạo thêm các nhóm cục bộ mới để quản lý việc truy cập tài nguyên 2. 2 .2. 2 Nhóm toàn miền (Global group) Nhóm toàn miền đợc dùng để tập hợp những ngời dùng và các nhóm toàn miền khác, vốn cần có những quyền hạn và quyền truy cập tài nguyên giống nhau Nhóm toàn miền không đợc uỷ quyền thực hiện các chức năng mạng nh nhóm cục bộ Để có... Thêm và bớt các trình điều khiển thiết bị Tạo ra và quản lý các tài khoản ngời dùng, tài khoản nhóm Trao quyền hạn cho ngời dùng Quản lý chính sách kiểm toán và bảo mật Định dạng đĩa cứng của máy Chia sẻ và chấm dứt chia sẻ các th mục Chia sẻ và chấm dứt chia sẻ các máy in Power Users Thay đổi giờ của máy Tạo ra và quản lý các tài khoản ngời dùng, tài khoản nhóm Chia sẻ và chấm dứt chia sẻ các th mục... dụng, các nhóm và các tài khoản máy, trong các SDOU liên kết với một GPO, mới có thể áp dụng đợc GPO này Các chính sách nhóm đợc thừa kế và tích luỹ: Các thiết định của chính sách nhóm áp dụng cho một cấp trong AD đợc tích luỹ và thừa kế từ các cấp bên trên Ví dụ, miền KHOATIN.LOCAL có vài GPO khác nhau Có một GPO ở cấp miền, để ấn định những chính sách về hạn chế về mật khẩu, cách phong toả tài khoản,. .. chủ sở hữu của các th mục con, các tập tin, và các công việc in (print job) Service: Những tài khoản đăng nhập với tính cách nh một dịch vụ Dialup: Những ngời dùng đang truy cập hệ thống thông qua Dial-Up Networking 2. 2.6 Tạo và quản lý tài khoản nhóm của miền 2. 2.6.1 Tạo tài khoản nhóm Để tạo ra các tài khoản nhóm của miền, ta mở cửa sổ Active Directory Users and Computers, chọn nơi chứa nhóm sắp tạo... cùng nhấn OK để kết thúc 2. 2 Quản lý các tài khoản nhóm 2. 2.1 Khái niệm nhóm Nhóm là một khoản mục có thể chứa những khoản mục ngời sử dụng hoặc nhóm khác nh là các thành viên Nhóm dùng để cho phép đồng thời nhiều ngời sử dụng truy cập vào các tài nguyên nh tệp, th mục, máy in hay thực hiện các công việc hệ thống nh lu trữ và phục hồi các tệp, thay đổi thời gian hệ thống 21 Theo mặc định khi khoản . Chơng 2 Quản lý các tài khoản, chính sách nhóm 2. 1. Quản lý tài khoản ngời dùng 2. 1.1. Quản lý tài khoản ngời dùng của máy Trong mạng Windows 20 00, tất cả những máy trạm. nhấn OK để kết thúc. 2. 2. Quản lý các tài khoản nhóm 2. 2.1. Khái niệm nhóm Nhóm là một khoản mục có thể chứa những khoản mục ngời sử dụng hoặc nhóm khác nh là các thành viên. Nhóm dùng để cho phép. 22 2. 2 .2. Các loại nhóm bảo mật Có ba kiểu nhóm bảo mật là: nhóm cục bộ (local group), nhóm toàn miền (global group) và nhóm toàn rừng (universal group). 2. 2 .2. 1. Nhóm cục bộ (Local group) Nhóm