Đề tài Quản lý và duy trì hệ điều hành Microsoft Windows Server 2003

các người dùng thông thường. Hệ điều hành khởi tạo khái lược người dùng một cách tự động cho mỗi người dùng khi đăng nhập lần đầu. các lần đăng nhập tiếp theo, Windows sever 2003 sẽ tải cấu hình từ đúng khái lược người dùng của hộch trước đó. Thậm chí người dùng không biết chính họ đã thay đổi thiết lập khái lược người dùng cục bộ của mình, đơn giản như là thay đổi thiết lập màn hình nền, lưu các địa chỉ ưa thích mới hoặc đổi lại mầu màn hình. Khi người dùng thay đổi môi trường màn hình nền, Windows sever 2003 sẽ kết hợp thay đổi đó vào khái lược người dùng lưu trên máy tính và sử dụng cho lần đăng nhập tiềp theo. Như vậy, người dùng đăng nhập vào máy tính chạy Windows sever 2003 sẽ luôn được thiết lập màn hình nền như phiên kết nối trước đó. Khi nhiều người dùng chung một máy tính thì mỗi người dùng duy trì và nhận được khái lược người dùng riêng. Sử dụng khái lược người dùng di trú (Raoming Profile) Để hỗ trợ người dùng làm việc trên nhiều máy tính, người quản trị mạng có thể thiết lập khái lược người dùng di trú cho người dùng. Khái lược người dùng thiết lập các khái lược người dùng di trú cho người dùng. Khái lược người dùng di trú đơn giản là sao chép của khái lược người dùng cục bộ và được lưu trữ chia sẻ trên mạng (tại nơi người dùng có các cấp phép phù hợp), do đó người dùng có thể truy nhập bất cứ máy tính nào trên mạng. Cho dù người dùng đăng nhập từ bất cứ máy tính nào trên mạng họ cũng luôn nhận được cùng một thiết lập màn hình nền và kết nối từ khái lược người dùng được để trên máy chủ, hoàn toàn ngược lại với người dùng cục bộ, chỉ nằm tại một máy trạm. Để người dùng truy nhập vào khái lược người dùng di trú thay cho khái lược người dùng cục bộ, bạn phải mở hộp thoại Properties của người dùng và chỉ vị trí của khái lược người dùng di trú tại hộp thoại Profile Path trong Profile thẻ. Lần tiếp theo người dùng đăng nhập, Windows server 2003 tuy nhập vào khái lược người dùng di trú như sau: Khi người dùng đăng nhập lần đầu tiên, máy tính sao chép toàn bộ nội dung của khái lược người dùng di trú vào Folder con của File tương ứng trong Folder Documents And Settings trên đĩa cục bộ của máy tính này. Nội dung khái lược người dùng di trú của người dùng chứa trên đĩa cho phép người dùng đăng nhập và truy nhập tới khái lược người dùng ngay cả khi máy chủ chứa khái lược người dùng di trú không hoạt động Máy tính khi áp dụng các thiết lập có trong khái lược người dùng di trú dành cho nó Khi người dùng làm việc mà có bất kì thay đổi nào ảnh hưởng tới khái lược người dùng chúng sẽ được lưu vào bản sao trên đĩa cục bộ Khi người dùng thoát khỏi Windows máy tính sẽ đồng bộ thay đổi từ bản sao cục bộ lên khái lược người dùng di trú trên máy chủ Lần đăng nhập tiếp theo trên cùng máy tính này, hệ thống sẽ so sánh nội dung của khái lược người dùng được để lại máy cục bộ với khái lược người dùng cư trú trên máy chủ. Máy tính chỉ sao chép những thành phần của khái lược người dùng di trú thay đổi vào bản sao cục bộ việc này làm tiến trính đăng nhập vào nhanh và hiệu quả hơn. Nên tạo khái lược người dùng di trú trên máy chủ quản lý file nào mà người ta thường xuyên thực hiện việc sao lưu (Backup), nhờ đó ta sẽ có được các bản sao của các khái lược người dùng mới nhất cho các người dùng. Để tăng tốc độ đăng nhập trên các mạng có nhiều lưu thông, hãy đặt khái lược người dùng di trú trên máy chủ thành viên, thay cho máy chủ điều khiển miền. Việc sao chép khái lược người dùng di trú giữa máy chủ và các máy trạm có thể tốn nhiều tài nguyên hệ thống như băng thông mạng và các chu kỳ xử lý. Nếu để Khái lược Người dùng trên máy chủ điều khiển miền, tiến trình xác thực của các người dùng miền sẽ bị chậm. 2.21– Sử dụng người dùng bắt buộc Khái lược người dùng bắt buộc chính là khái lược Người dùng di trú dạng chỉ đọc.Người dùng cũng nhận được các thiết lập màn hình nền như khi họ làm việc với khái lược người dùng di trú và họ có thể cấu hình màn hình nền sau khi đã đăng nhập nhưng không một thay đổi nào được ghi lại khi thoát ra khỏi windows. Lần đăng nhập tiếp theo, Khái lược người dùng lại giống lần đăng nhập trước. Trong windows server 2003 tải Khái lược Người dùng Bắt buộc vào máy tính cục bộ mỗi lần người dùng đăng nhập. Bạn có thể gán một Khái lược Người dùng Bắt buộc cho nhiều người dùng có chung một yêu cầu đối với các thiết lập màn hình nền, ví dụ: như một nhóm người dùng có cùng một công việc. Do khái lược người dùng không bao giờ bị thay đổi, nên bạn không cần lo là ai đó làm thay đổi gây ảnh hưởng tới những người dùng khác. Ngoài ra, khái lược người dùng bắt buộc còn giúp bạn có thể thay đổi môi trường màn hình nền cho nhiều người dùng bằng cách chỉ thay đổi duy nhất một khái lược người dùng mà thôi. Để tạo khái lược người dùng bắt buộc ta chỉ cần đổi tên File NtUser.dat trong Folde chứa khài lược người dùng di trú thành NtUser.man, File NtUser.dat là file ẩn chứa các thiết lập đăng kí của Windows server 2003 áp dụng cho từng tài khoản người dùng đơn lẻ và chứa các thiết lập môi trường của người dùng như hiển thị nền. Đôi khi file này với phần mở rộng là làm nó thành chỉ đọc, ngăn không cho các máy tính người dùng lưu các thay đổi vào khái lược người dùng khi người dùng thoát khỏi windows. 2.22- Giám sát việc xác thực sự cố người dùng Khi bạn đã cấu hình đối tượng người dùng và người dùng sẽ xác thực thông qua các tài khoản như vậy, bạn sẽ gặp phải hai thách thức là các điểm yếu bảo mật, trong trường hợp nếu không được xác định rõ sẽ làm ảnh hưởng tới tính toàn vẹn của mạng và cách thức về kĩ năng xã hội, khi bạn làm cho quá trình xác thực trở lên thân thiện và đáng tin cậy đối với người dùng. Không may hai điểm này lại bất đồng với nhau, nếu tính bảo mật càng cao bao nhiêu thì tính thân thiện với người dùng càng kém bấy nhiêu. Việc thực hiện các tính năng bảo mật cho quá trình xác thực người dùng của windows Server 2003 sẽ thường xuyên gây ra các rắc rối khi người dùng đăng nhập và một phần công việc của người quản trị mạng là giải quyết các rắc rối khi chúng xảy ra Sử dụng các chính sách mật khẩu mà Windows server 2003 cung cấp, cho phép bạn xác định chiều dài, độ phức tạp và thời hạn của mật khẩu được người dùng cung cấp cho tài khoản của họ. Mục đích của chính sách này buộc người dùng đặt mật khẩu một cách hiệu quả. Chính sách mật khẩu buộc người dùng phải sử dụng các mật khẩu có độ an toàn cao. Bạn phải thiết kế chính sách mật khẩu sao cho nó có một hiệu quả khi mà các kẻ xâm nhập khi xâm nhập vào mà trong khi bạn vẫn đảm bảo được tính thân thiện tốt cho người dùng, để họ không bị quên mật khẩu 2.23 –Sử dụng chính sách khóa tài khoản Việc khóa tài khoản xảy ra sau một số lần đăng nhập không thành công của người dùng, hệ thống giả thiết là có tấn công có hại tới tài khoản bằng cách dò tìm mật khẩu, bởi vậy sẽ khóa tài khoản để không được đăng nhập tiếp nữa. Chính sách khóa tài khoản miền xác định số lần đăng nhập không hợp lệ được phép thực hiện trong một khoảng thời gian đã định trước thì tài khoản bị khóa. Các chính sách này thậm chí còn được xác định có phải liên hệ với quản trị để bỏ khóa tài khoản này hay không hay chỉ đơn giản là bỏ khóa sau khi hết một thời hạn xác định. Sử dụng chính sách nhóm để kiểm soát khóa tài khoản như sau: - Account Lockout Threshold: Xác định số lần đăng nhập không thành công gây ra việc khóa tài khoản, giá trị này trong khoảng phù hợp. Nếu giá trị này quá thấp có thể gây nên khóa đối với lỗi người dùng thông thường trong khi đăng nhập. Giá trị là 0 ngăn không cho tài khoản người dùng bị khóa. - Account Lockount Dnuration: Xác định thời hạn mà tài khoản người dùng sau khi bị khóa sẽ được Active Directory tự động mở lại. Chính sách này không được thiết lập mặc định do nó chỉ có tác dụng khi sử dụng kết hợp với chính sách Account Lockount Theshold. Giá trị này trong khoảng 10 tuần. Việc đặt giá trị này thấp là đủ giảm đáng kể các cuộc tấn công mà không làm ảnh hưởng các người dung hợp lệ bị khóa do lỗi. Giá trị 0 yêu cầu người dùng liên hệ với người quản trị mạng để mở khóa tài khoản này. - Reset Account Lockount Counter After: Xác định thời hạn sau lần cố tình đăng nhập không thành công trước khi biến đếm khóa được đặt lại về giá trị 0. Cũng giống như chính sách mật khẩu, bạn có thể cấu hình chính sách tài khoản tại bảng điều khiển Group Policy Object Editor. Chính sách khóa tài khoản cũng có thể có tại bảng điều khiển Local Secrity Policy. Khi triển khai chính sách khóa tài khoản trên mạng, bạn chắc chắn là sẽ nhận được một số cuộc gọi hỗ trợ nhất định từ người dùng mà họ đã không biết là đã tự khóa chính mình. Các cuộc gọi như vậy đôi khi lại được báo cáo là họ gặp một số trục trặc như mất mật khẩu hay các chức năng khác hoạt động không đúng. Khi đó các nhân viên hỗ trợ kỹ thuật cần phải biết rõ về chính sách khóa tài khoản trên mạng và thủ tục cần để mở tài khoản bị khóa để có thể xác định được chính xác về trục trặc thực tế xảy ra dựa trên báo cáo dường như không chính xác của người dùng. 2.24 –Dịch vụ Active Directory máy khách Khi làm việc trên một mạng hỗn hợp, bạn cần nhớ là không phải mọi hệ điều hành thậm trí không phải tất cả các hệ điều hành Windows đều hỗ trợ Active Directory. Mà chỉ có trên hệ điều hành Windows XP và Windows server 2003 mới có tính năng này. Các máy tính chạy trên hệ điều hành khác có thể có chức năng này của dịch vụ Active Directory máy khách, nhưng bạn phải tải phần mềm Active Directory client từ trang web của Microsoft và cài đặt nó. Các máy khác có thể thực hiện rất nhiều tính năng của Active Directory trên hệ thống Windows server 2003, Windows XP và Windows 2000 + Thêm vào đó khi làm việc trên một mạng hỗn hợp bạn nên ý thức được các vấn đề sau trong môi trường này là: Không có dịch vụ Active Directory máy khách, người dùng trong hệ thống chạy các phiên bản trước Windows 2000 chỉ có thể thay đổi mật khẩu nếu hệ thống truy nhập được tới máy điều khiển miền có chức năng như là Primary Domain Controller Emulator. Để xác định PDC-Emulator trong miền, mở Active Directory Users And Computers, chọn miền, chọn lệnh Operations Masters từ thực đơn Action , sau đó chọn thẻ PDC. Nếu PDC Emulator không làm việc (hoặc không ở trên mạng (offline) hoặc ở đang nằm trên phía bên kia của kết nối mạng bị đứt) thì người dùng không thể thay đổi được mật khẩu của họ. Ta đã biết người dùng duy trì hai thuộc tính tên người dùng đăng nhập. Khi người dùng đăng nhập, họ nhập tên người dùng và chọn miền danh sách chon Log On To. Cách khác nữa là tên người dùng có thể được vào theo dạng Domail Name/User Logon Name. Người dùng đăng nhập vào máy tính chạy hệ điều hành Windows 2000 hoặc các phiên bản sau đó của hệ điều hành Windows có thể đăng nhập theo cùng một cách như vậy, hoặc họ có thể sử dụng tên UPN theo dạng UserLogonName@UPN Suffix, trong đó UPN suffix mặc định là tên DNS miền của đối tượng người dùng. Khi đó bạn không cần phải chọn miền từ Log On To. Trên thực tế hộp chọn này sẽ bị vô hiệu hoá ngay sau khi bạn gõ kí hiệu @. 2.25 – Kiểm định xác thực Nếu bạn lo rằng có thể có các cuộc tấn công dò tìm mật khẩu hoặc bạn muốn biết thêm thông tin về khắc phục các vấn đề sự cố xác thực, bạn có thể cấu hình chính sách kiểm định để ghi các sự kiện vào nhật kí bảo mật giúp bạn thấy rõ quá trính xác thực đã diễn ra như thế nào.Các chính sách kiểm định sau được đặt tại Computer Configuration \Windows Settings\Security Settings\Local Policies\Audit Policy ở cả hai bảng điều khiển Group Policy Object Editor và Local Security Policy. Bạn có thể cấu hình để ghi lại các sự kiện thành công hoặc bị lỗi. Audit Account Logon Events: Ghi lại từng sự kiện đăng nhập thành công hoăc lỗi. Đối với máy chủ điều khiển miền, chính sách này được xác định trong chính sách máy chủ điều khiển miền mặc định (Default Domain Controllers Policy GPO). Việc kích hoạt chính sách trên sẽ khở tạo một mục vào của nhật kí bảo mật trên máy chủ điều khiển miền mỗi lần người dùng đăng nhập trực tiếp hoặc qua mạng sử dụng tài khoản miền. Để đánh giá đầy đủ kết quả của việc kiểm định bạn phải kiểm tra nhật ký bảo mật trên tất cả các máy chủ điều khiển miền do người dùng được xác thực phân tán trên tất cả các máy chủ điều khiển miền trong site hoặc miền. Audit Account Management: Cấu hình kiểm định trong tác vụ quản trị bao gồm tạo, xoá hoặc sửa tài khoản người dùng, nhóm, máy, máy tính, cũng như việc đặt lại mật khẩu. Audit Logon Events: Sự kiện đăng nhập gồm đăng nhập và thoát ra khỏi windows, trực tiếp hoặc qua mạng. Nếu bạn kích hoạt chính sách kiểm định sự kiện tài khoản đăng nhập cho những lần thành công trên máy chủ điều khiển miền, việc đăng nhập máy trạm sẽ không tạo ra các mục và kiểm định khi đăng nhập. Chỉ đăng nhập trực tiếp và qua mạng vào máy chủ điều khiển miền mới tạo ra các sự kiện đăng nhập. Các sự kiện đăng nhập của tài khoản được tạo trên máy cục bộcho tài khoản cục bộ và cho máy chủ điều kiển miền cho các tài khoản mạng. Các sự kiện đăng nhập được sinh ra bất cứ lúc nào khi việc đăng nhập xảy ra. Một khi ban đã cấu hình chính sách kiểm định, nhật ký bảo mật sẽ bắt đầu điền các thông điệp sự kiện. Bạn có thể xem các thông điệp này bằng cách sử dụng bảng điều khiển Event Viewer . Chương 3 : LÀM VIỆC VỚI NHÓM Khi sử dụng nhóm, các quản trị mạng có thể đơn giản hóa quá trình cấp phép truy cập cho người dùng. 3.1– tìm hiểu về nhóm Để người dùng có khả năng truy cập các tài nguyên trên mạng Active Directory, họ nhất thiết phải có các cấp phép thích hợp. Các thư mục, ổ đĩa, máy in được chia sẻ, và nói rộng hơn là tất cả các loại tài nguyên khác trên mạng đều có một Danh sách Kiểm soát Truy cập (Access Control List - ACL). ACL chính là danh sách của các đối tượng được cho phép truy cấp đến tài nguyên, theo các mức độ truy cập khác nhau mà mỗi đối tượng được cấp. Trong Microsoft Windows Server 2003, ACL được hiển thị tại thẻ Sercurity (Bảo mật) của phần lớn trong bất cứ hộp thoại Properties nào, như được thể hiện trong hình 3-1. Các đối tượng trong ACL được gọi là Sercurity Principals (Đối tượng bảo mật). Bạn có thể sử dụng Dối tượng người dùng như là các Đối tượng Bảo mật để trao cho người dùng quyền truy cập đến các tài nguyên họ cần, do Đối lượng người dùng xác định tính duy nhất của người dùng thông qua quá trình xác thực. Về mặt lý thuyết, Quản trị viên có thể tạo toàn bộ các cấp phép cho mọi người dùng bằng cách thêm các đối tượng người dùng vào ACL, và việc thực hiện điều này với toàn bộ các mạng máy tính (trừ trường hợp đối với các mạng rất nhỏ) là điều không thể do việc tiêu tốn một cách lãng phí thời gian và lao động. Hãy Hãy tưởng tượng bạn đang tuyển thêm 250 nhân viên mới và sau khi đã tạo các Đối tượng người dùng cho họ, phải cấp phép cho họ truy nhập các nguồn tài nguyên trải dài trên toàn bộ mạng. Thậm chí với trường hợp xấu nhất, giả sử máy chủ bị hỏng và bạn cần cài đặt nhanh một máy chủ thay thế và sau đó cấp phép cho 250 người để có thể truy cập đến máy chủ mới. Hình 3-1: Thẻ Security trong hộp thoại Properties của thư mục Để tránh những việc xảy ra, người quản trị sử dụng nhóm, nhóm sẽ đơn giản hóa danh sách của các người dùng có các chức năng như các đối tượng bảo mật. Trong Active Directory đối tượng nhóm bao gồm các đối tượng người dùng, máy tính, mối liên hệ (contact), và trong những điều kiện nhất định, thậm chí bao gồm các nhóm. Khi bạn sử dụng Đối tượng Nhóm như là Đối tượng Bảo mật bằng cách thêm chúng vào trong danh sách ACL, tất cả các thành viên trong nhóm đều nhận các cấp phép mà bạn đã gán cho nhóm. Nếu bạn thêm thành viên mới vào nhóm tại các thời điểm sau này, họ cũng sẽ nhận được các cấp phép giống như vậy. Nếu bạn loại bỏ thành viên nào đó, các cấp phép cho họ cũng loại bỏ theo. Trong ví dụ đã nêu ở trên, bạn có thể tạo ra một Đối tượng Nhóm và gán cho nó các cấp phép mà những người mới được nhận vào làm việc cần có. Khi các nhân viên mới đến làm việc, toàn bộ các công việc bạn phải làm chỉ là tạo ra các Đối tượng người dùng cho họ và thêm họ vào Nhóm. Để đơn giản hóa việc tổ chức một máy chủ thay thế, bạn cần tạo ra một nhóm chứa toàn bộ các người dùng của máy chủ ban đầu. Nếu máy chủ hỏng và bạn cần chuyển sang sử dụng máy chủ thay thế, tất cả các công việc bạn cần làm là gán các cấp phép truy cập đến máy chủ mới cho đối tượng nhóm đã tạo, và tất cả các người dùng sẽ được chuyển qua sử dụng máy chủ mới một thuận tiện. Trên các mạng có hệ thống các nhóm được thiết kế tốt, quản trị mạng rất hiếm khi, nếu có, phải gán các cấp phép cho các người dùng riêng lẻ. hình 3-2: Là đối tượng bảo mật, một nhóm tương đương với thiếu người dùng Nhóm cũng có thể giúp chúng ta gán Quyền của người dùng cho nhiều người dùng cùng lúc. Trong Microsoft Windows Server 2003, khái niệm Quyền (Right) hoàn toàn khác với khái niệm Cấp phép (Permission). Quyền của người dùng (User right) trao cho người dùng hay nhóm khả năng thực hiện một tác vụ nhất định, như truy cập đến một máy tính nào đó thông qua mạng, thay đổi thời gian hệ thống, hoặc giành quyền sở hữu (Take ownership) đối với file hay các đối tượng khác. Thêm vào đó, bạn cũng có thể sử dụng nhóm để tạo danh sách phân phối thư điện tử. Sử dụng nhóm (Group) và các chính sách của nhóm (Group Policies). Cấu trúc của cây Active Directory là một phần rất quan trọng của quá trình tạo tài khoản người dùng trong miền do các quyền và Cấp phép ta đã gán cho các đối tượng chứa sẽ được các đối tượng con của nó thừa hưởng, bao gồm cả các đối tượng người dùng. Việc thừa kế giữa các nhóm cũng làm việc giống như vậy,với các thành viên sẽ nhận được các thiết lập đã gán cho nhóm. Sự khác biệt chủ yếu giữa các đối tượng nhóm và đối tượng chứa là đối tượng nhóm không bị chi phối bởi cấu trúc hình cây của Active Directory. Bạn có thể tạo ra nhóm với các thành viên ở bất cứ đâu trong miền, thậm trí tại các miền khác, và trao đổi cho chúng các đặc quyền chỉ với một thao tác đơn giản. Chính sách nhóm, mặc dù với tên như vậy, được kết hợp chặt chẽ với các đối tượng chứa nhiều hơn là các đối tượng chứa nhóm. Đối tượng chính sách nhóm chỉ có thể gán với các đối tượng miền, vị trí (site), OU có sử dụng Active Directory, và các thiết lập của chúng sẽ được truyền xuống theo cây Active Directory. Bạn không thể gán GPO cho nhóm, mặc dù trong nhiều trường hợp, bạn có thể cấu hình các thiết lập chính sách nhóm để cấu hình một vài tính năng của hệ điều hành trên tất cả các thành viên của nhóm. Tìm hiểu về các cấp chức năng của miền Một trong số các hiểu lầm phổ biến nhất đối với các khái niệm Active Directory chính là cấp chức năng. Các quản trị mạng đôi khi cũng nản lòng trước viễn cảnh của việc thay đổi cấp chức năng của Miền hay Rừng do nó là một trong vài quyết định mà bạn sẽ không thể thu hồi được trong Microsoft Windows Server 2003. Khi bạn đã thay đổi cấp chức năng, bạn sẽ không có cơ hội để khôi phục lại được. Nói cách khác là các phiên bản khác nhau của Windows có một chút khác nhau trong việc thực thi các chức năng của Active Directory. Mỗi phiên bản thành công sẽ có vài tính năng mới không được sử dụng tới khi một vài máy chủ quản trị miền đều tương thích và là an toàn để kích hoạt các tính năng chỉ có trong phiên bản mới. Trong Microsoft Windows Server 2003, bốn cấp chức năng có thể có của chúng bao gồm: Windows 2000 mixed (Pha trộn), Windows 2000 Native (tự nhiên), Windows 2003 Interim (Chuyển tiếp), và Windows Server 2003. Các cấp chức năng nói trên hỗ trợ các máy chủ quản trị miền chạy trong môi trường kết hợp rất nhiều các hệ điều hành, và chúng sẽ cung cấp rất nhiều các tính năng phụ thêm, và một vài tính năng này sẽ được áp dụng cho chức năng của đối tượng nhóm trong Miền. Các đặc tính của cấp chức năng cho miền được liệt kê sau đây: Windows 2000 Mixed: là cấp chức năng mặc định của máy chủ quản trị miền Windows server 2003. o Hỗ trợ các Máy chủ Quản tri Miền chạy Windows Server 2003, Windows Server 2000, và Windows NT 4 o Hỗ trợ Nhóm Phân phối Tổng hợp (Universal Distribution Group), nhưng không hỗ trợ Nhóm Bảo mật Tổng hợp o Nhóm Toàn cục (Global Group) không thể chứa các nhóm khác (nhóm trong nhóm). o Việc chuyển đổi các nhóm là không được phép. - Windows 2000 Native: Hỗ trợ các Máy chủ Quản tri Miền chạy Windows Server 2003 và Windows Server 2000. o Hỗ trợ các Nhóm Phân phối và Bảo mật Tổng hợp. o Cho phép một hay nhiều nhóm là thành viên của nhóm khác. o Cho phép chuyển đổi qua lại giữa các Nhóm Bảo mật và Nhóm Phân phối. o Cho phép di chuyển các Đối tượng Bảo mất (Security Principal) từ Miền này qua Miền khác (Lịch sử SID). - Windows Server 2003 Interrim: Hỗ trợ các Máy chủ Quản trị Miền chạy Windows Server 2003. o Hỗ trợ các Nhóm Phân phối và Bảo mật Tổng hợp. o Cho phép một hay nhiều nhóm là thành viên của nhóm khác o Cho phép chuyển đổi qua lại giữa các Nhóm Bảo mật và Nhóm phân phối. o Cho phép di chuyển các Đối tượng Bảo mật từ Miền này qua Miền khác Hình 3.2: Hộp thoại Properties của miền 3.2- SỬ DỤNG NHÓM CỤC BỘ Một nhóm Cục bộ là một tập hợp của các Tài khoản người dùng Cục bộ trên một máy tính nhất định. Nhóm cục bộ thực hiện cùng các chức năng cơ bản của Nhóm: nó cho phép bạn có thể gán các Cấp phép cho nhiều người dùng trong cùng một bước thực hiện. Bạn tạo Nhóm cục bộ bằng Snap-in “Local Users And Groups” đã được tích hợp trong bảng điều khiển “Computer Management” (có thể truy cập từ nhóm chương trình “Administrative Tools”), như đã chỉ ra trong hình 3.4. Khi bạn tạo Nhóm Cục bộ, hệ thống sẽ lưu chúng tại CSDL của Trình Quản lý Tài khoản bảo mật (Security Accounts Manager - SAM) Các nhóm Cục bộ cũng có những hạn chế giống như đối với các người dùng cục bộ. Các hạn chế của nhóm cục bộ được liệt kê sau: • Bạn chỉ có thể sử dụng Nhóm Cục bộ chỉ trên máy tính nơi bạn tạo ra nó. • Chỉ có các người dùng cục bộ trên cùng máy tính có thể là thành viên của nhóm cục bộ. • Khi máy tính là thành viên của một miến, thành viên của nhóm cục bộ có thể bao gồm các người dùng và các nhóm toàn cục của miền này hay bất cứ miền nào khác được tin cậy. • Nhóm cục bộ không thể có các thành viên là các nhóm cục bộ khác. • Việc cấp phép cho nhóm cục bộ chỉ cung cấp việc truy cập đến các nguồn tài nguyên trên máy tính mà bạn tạo ra nhóm • Bạn không thể tạo ra nhóm cục bộ trên máy tính chạy Windows server 2003 đóng vai trò như máy chủ quản trị miền Hình 3.3: Snap-in “Local Users And Groups” 3.3: Sử dụng nhóm Active Directory Các nhóm Active Directory được phân biệt bởi kiểu (Type) và phạm vi (Scope) của chúng. Nhóm Active Directory có hai kiểu, mà mỗi kiểu đều có ba phạm vi khác nhau. Việc xây dựng các nhóm này dúng phạm vi của nó sẽ giúp chúng ta sử dụng tốt nhất nguồn lực quản trị khi tạo, gán, và quản lý việc truy cập đến nguồn tài nguyên. Khả năng của việc xây dựng các nhóm cũng phụ thuộc vào Cấp chức năng của miền mà tại đó các nhóm được tạo ra. Windows Server 2003 có hàng loạt các nhóm được tạo sẵn, và bạn cũng có thể tạo ra thêm bao nhiêu nhóm là tùy vào yêu cầu của bạn. Nhóm Active Directory, không phụ thuộc vào kiểu hay phạm vi của nó, là các đối tượng trong CSDL Active Directory, cũng giống như tài khoản người dùng và đối tượng chứa là các đối tượng. so sánh với đối tượng người dùng, đối tượng nhóm là hoàn toàn tương tự. Thay vào những thuộc tính của đối tượng người dùng, đối tượng nhóm chỉ có một vài thuộc tính, mà quan trọng nhất trong số đó là danh sách các thành viên. Như tên của nó đã chỉ ra, danh sách thành viên đơn giản chỉ là một danh sách các đối tượng, như người dùng, các nhóm khác, máy tính, và Liên lạc (Contact), đó là các thành viên của nhóm. Tất cả các Cấp phép và Quyền được gán cho nhóm sẽ được mọi đối tượng có tên trong danh sách thành viên của nhóm thừa kế. Trong Windows Server 2003, ta có thể tạo và quản trị tất cả các nhóm Active Directory bằng cách sử dụng bảng điều khiển “Active Directory Users and Computerrs”, mà ta có thể truy cập từ nhóm chương trình “Adminitrative Tool”. Giống như đối với bất cứ một đối tượng Active Directory nào, để có thể tạo và quản trị được nhóm bạn cần có các cấp phép thích hợp tạo đối tượng chứa, nơi nhóm được bố trí. Hình 3.4: Bảng điều khiển “Active Directory Users And Computers 1. Kiểu nhóm của Active Directory có hai kiểu: nhóm bảo mật (Security) và nhóm phân phối (Distribution) - Nhóm bảo mật là nhóm mà bạn dùng để gán các cấp phép để nó có thể truy cập tới các tài nguyên mạng. Khi một người nào đó nói tới nhóm liên quan tới windows server 2003 hay Active Directory, thông thường là họ đề cập đến nhóm Bảo mật. Các chương trình được thiết kế để làm việc với Active Directory cũng có thể sử dụng các nhóm Bảo mật cho các mục đích không liên quan tới việc bảo mật. - Nhóm phân phối Nhóm phân phối được sử dụng cho các chương trình có các chức năng không liên quan tới bảo mật. Bạn sử dụng nhóm Phân phối chỉ khi chức năng của nhóm không liên quan đến việc bảo mật, như gửi E-mail đến một nhóm các người dùng trong cùng thời điểm. Bạn không thể sử dụng nhóm phân phối để gán quyền hay cấp phép. Chỉ các chương trính được thiết kế làm việc với Active Directory là có thể sử dụng nhóm phân phối. 2. phạm vi của nhóm Active Directory. Phạm vi của nhóm xác định việc các cấp phép được gán cho các thành viên của nhóm như thế nà