Ebook Quản lý và duy trì hệ điều hành Microsoft Windows Server 2003

như vậy, bạn sẽ gặp phải hai thách thức đó là ếu bảo mật, trong trường hợp nếu không được xác định rõ sẽ làm .đến tính toàn vẹn của mạng, và các thách thức về kỹ năng xã hội, cho quá trình xác thực trở nên thân thiện và đáng tin cậy đối với . Không may là hai điểm này lại bất đồng với nhau, nếu tính bảo cao bao nhiêu thì tính thân thiện với người dùng càng kém bấy thi các tính năng bảo mật cho qúa trình xác thực ngườ s Server 2003 sẽ thường xuyên gay ra các rắc rối khi người dùng . và một phần công việc của người quản trị mạng là giải quyết các yê nhân phổ biến gây ra các rắc rối khi xác thực người dùng và các mà bạn có thể dùng để phát hiện và khu trú chúng. các Chính sách Mật khẩu hần trước của chương này, tại phần “Lựa chọn Mật khẩu”, bạn đã ề Chính sách Mật khẩu mà Windows Server 2003 cung cấp, cho ác định chiều dài, độ phức tạp và thời hạn của mật khẩu được g cấp cho tài khoản của họ. Mục đích chính của các chính sách c người dùng đặt mật khẩu một cách hiệu quả và họ phải định kỳ ật khẩu. dễ dàng khi sử dụng Chính sách Mật khẩu để buộc người dùng phải c mật khẩu có độ an toàn rất cao, nhưng việc yêu cầu người dùng hức tạp có 15 ký tự và thay đổi lại hàng tuần dường như làm nảy các vấn đề rắc rối nhiều hơn là các lợi ích mà nó mang lại. Nhân mạng có lẽ sẽ nhận được các cuộc goi “quên mật khẩu” thường người dùng, và thậm chí còn tệ hơn, người dùng sẽ ghi mật khẩu những nơi không đảm bảo an toàn. hiết kế Chính sách Mật khẩu sao cho nó làm nản chí một cách có ác kẻ xâm nhập trong khi vẫn đảm bảo được tính thân thiện tốt để họ không bị quên mật khẩu hay ph QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 285 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG LƯU Ý: Xác định độ dài mật khẩu. Khi bạn triển khai chính sách mật khẩu cần nhớ rằng Windows Server 2003, Windows XP Professional và Windows 2000 hỗ trợ các mật khẩu dài tới 127 ký tự, nhưng Windows 95, Windows 98 và Windows Me chỉ hỗ trợ các mật khẩu có độ dài tối đa tới 14 ký tự. ăm chính sách mCó n ật khẩu được đưa ra ở phần trên của chương này có thể ó h bằng cách sử dụng bảng điều khiển Group Policy Object Ed ạn duyệt đên Computer Configuration\Windows Settings \Ac cũng có thể xác định cũng c Tài khoản Người dùng Cục bộ bằng cách sử , có trong nhóm chương trình viên chạy Windows S LƯU Ý: Thay u và các yêu c t khẩu đã đặt t khoản mới và mật khẩu mới SỬ DỤNG CHÍNH SÁCH KHOÁ TÀI KHOẢN Việc khoá tài khoản au một số lần cố tình đăng nhập không thành công của người dùng hại tới tài khoản bằng cách dò tìm mậ được đăng nhập tiếp nữa. Chính ập không hợp lệ được ph ột khoảng thời gian đã định trước trước thì tài khoản bị có phải liên hệ với qu ỉ đơn giản là bỏ khóa sau kh LƯU Ý: Mục h của kỳ thi 70-290 xác định thí sinh có k khoá.” Bạn sử dụng chính sá n như sau: • Account Lock không thành cô từ 0 tới 999. G lỗi người dùng không cho tài k g bị khoá. áp dụng với các đối tượng Chính sách Nhóm Active Directory. Mà bạn c thể cấu hìn itor, trong đó b \Security Settings count Policies\Password Policy. Tuy nhiên, bạn các chính sách như vậy cho cá dụng bảng điều khiển Local Security Policy Administrative Tools trên bất cứ một máy chủ thành erver 2003 nào đổi Chính sách Mật khẩu. Cấu hình độ dài mật khẩ ầu về độ phức tạp không gây ảnh hướng tới các mậ ừ trước. Những thay đổi này chỉ ảnh hưởng với các tài mật khẩu sẽ thay đổi sau khi đã áp dụng chính sách . xảy ra s , hệ thống giả thiết là có tấn công có t khẩu, bởi vậy sẽ khoá tài khoản để không sách khoá tài khoản miền xác định số lần đăng nh ép thực hiện trong m khoá. Các chính sách này thậm chí còn được xác định ản trị để bỏ khoá tài khoản này hay không hay ch i hết một thời hạn xác định. đích của kỳ thi. Mục đíc hả năng “chẩn đoán và giải quyết các tài khoản bị ch nhóm để kiểm soát khoá tài khoả out Threshold: Xác định số lần cố tình đăng nhập ng gây ra việc khoá tài khoản, giá trị này trong khoảng iá trị quá thấp (ví dụ là 3) có thể gây nên khoá đối với thông thường trong khi đăng nhập. Giá trị là 0 ngăn hoản người dùn QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 286 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG • Account Lockout Duration: Xác định thời hạn mà tài khoản người dùng sau khi b sách này không do nó chỉ có tác dụng khi sử dụng kết hợp v trong khoảng t i 99.000 phút (khoảng 10 tuần). Việc đặt giá tri này thấp (5 tới ấn công mà không làm ảnh trị 0 yêu cầu người này. lần cố tình đăng nhậ biến đếm khóa (Lockout counter) được ảng từ 1 tới 99.999 phút và phải nh unt Lockout Duration. Cũng giống như đối thể cấu hình chính sách tài khoản tại b licy Object Editor, chọn nfigur ccount Policies\Account Loc oá tài khoản cũng có thể có tại bảng điều khiển Lo Khi bạn triển khai ch ạng, bạn chắc chắn là sẽ nhận được một số cuộ ng biết là đã tự khoá chính m cáo là trặ y các chức năng khác hoạt K n phải ề chính sách oản bị có thể xác đị báo cáo dường như kh LƯU Ý: Mục đích của kỳ thi. Mục đích của kỳ thi 70-290 xác định a tài khoản người dùng”và xác thực người dùng.” ăng của dịch vụ Active Directory ị khoá sẽ được Active Directory tự động mở lại. Chính đựoc thiết lập mặc định ới chính sách Account Lockout Threshold. Giá trị này ừ 0 tớ 15 phút) là đủ để giảm đáng kể các cuộc t hưởng các người dùng hợp lệ bị khóa do lỗi. Giá dùng liên hệ với người quản trị để mở khóa tài khoản • Reset Account Lockout Counter After: Xác định thời hạn sau p không thành trước khi đặt lại về giá trị 0. Giá trị trong kho ỏ hơn hay bằng giá trị của Acco với Chính sách Mật khẩu, bạn có ảng điều khiển Group Po Computer Co ation\Windows Settings\Security Settings\A kout Policy. Chính sách kh cal Security Policy. ính sách khoá tài khoản trên m c gọi hỗ trợ nhất định từ người dùng mà họ khô ôi khi lại đuợc báoình. Các cuộc gọi như vậy đ c khác, như mât mật khẩu hahọ gặp một số trục động không đúng. hi dó các nhân viên hỗ trợ kỹ thuật hiểu biết cầ biết rõ v khoá để khoá tài khoản trên mạng và thủ tục để mở tài kh nh được chính xác về trục trặc thực tế xẩy ra dựa trên ùng. ông mấy chính xác của người d thí sinh có khả năng “khắc phục sự cố củ “Khắc phục các sự cố liên quan đến việc DỊCH VỤ ACTIVE DIRECTORY MÁY KHÁCH Khi bạn làm việc trên một mạng hỗn hợp, bạn cần nhớ là không phải mọi hệ điều hành thâm chí không phải tất cả các hệ điều hành Windows đều hỗ trợ Active Directory. Active Directory được giới thiệu đầu tiên tại Windows 2000 và chỉ trên các hệ điều hành Windows 2000, Windows XP và Windows Server 2003 mới có các tính n máy khách. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 287 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG Các máy tính chạy Windows 95, Windows 98, Windows Me, and Windows NT 4 có thể có chức năng của dịch vụ Active Directory máy khách, nhưng trước hết bạn phải tải phần mềm Active Directory Client từ trang Web của Microsoft và cài đặt nó. Các máy khách có thể thực hiện rất nhiều tính năng của Active Directory trên hệ thống Windows Server 2003, Windows XP và Windows 2000, gồm có: • Site-awareness: Máy tính chạy dịch vụ Active Directory máy khách sẽ đăng nhập vào máy điều khiển miền gần nhất trên mạng thay cho vào máy chủ điều khiển miền chính (PDC - Primary Domain Controller). • Active Directory Service Interfaces (ADSI): kích hoạt khả năng sử dụng các kịch bản (script) để quản lý Active Directory. • Distributed File System (Dfs): ho phép máy khách truy nhập vào tài nguyên chia sẻ của hệ thống file phân phối (Dfs) trên máy chủ Cá t Windo máy k • • • Thêm hợp: ulator. Để xác định C chạy Windows Server 2003 và Windows 2000. • NT LAN Manager (NTLM) version 2 authentication: Máy khách sử dụng tính năng xác thực cải tiến trong NTLM version 2. • Active Directory search capability: máy khách có thể tìm kiếm các đối tượng Active Directory bằng cách sử dụng các tính năng tìm kiếm (Find hoặc Search). Người dùng có các Cấp phép thích hợp còn có thể sử dụng các trang thuộc tính của Windows Address Book (WAB) để cấu hình các thuộc tính của các đối tượng. c ính năng sau đầy hỗ trợ trong Windows 2000 Professional and ws XP Professional nhưng không dành cho dịch vụ Active Directory hách trên Windows 95, Windows 98, and Windows NT 4: Xác thực Kerberos V5 Hỗ trợ Group Policy hoặc Change And Configuration Management Service Principal Name (SPN) hoặc xác thực lẫn nhau • Hỗ trợ Internet Protocol Security (IPSec) hoặc Layer 2 Tunneling Protocol (L2TP). vào đó, bạn nên ý thức được các vấn đề sau trong môi trường hỗn • Không có dịch vụ Active Directory máy khách, người dùng trong hệ thống chạy các phiên bản trước Windows 2000 chỉ có thể thay đổi mật khẩu nếu hệ thống truy nhập được tới máy điều khiển miền có chức năng như là Primary Domain Controller Em QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 288 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG PDC-Emulator trong miền, mở Active Directory Users And Computers, chọn miền, chọn lệnh Operations Masters từ thực đơn Action , sau đó chọn thẻ PDC. Nếu PDC Emulator không làm việc (hoặc khôgn ở trên mạng (offline) hoặc ở đang nằm trên phía bên kia của kết nối mạng bị đứt) thì người dùng không thể thay đổi được mật • Windows 98 hoặc Windows NT 4. Khi g. Khi đó bạn không cần phải chọn miền từ Log On To. KIỂ ÁC THỰC Nế muốn cấu hì hi các sự kiện lại vào nhtj ký bảo mật (Se diễn Các c \Wind bảng đ al Security Policy. Bạn có thể c ể • A c đ (D tr ạo một mục vào của nhật ký bảo mật trên Máy chủ Điều khẩu của họ. Như bạn đã bạn tìm hiểu trong phần trước của chương này, đối tượng người dùng duy trì hai thuộc tính tên người dùng đăng nhập. Tên đăng nhập Pre–Windows 2000, hay tên SAM là tương ứng với tên người dùng trong Windows 95, người dùng đăng nhập, họ nhập tên người dùng và chọn miền từ danh sách chọn Log On To. Cách khác nữa là tên người dùng có thể được vào theo dạng DomainName\UserLogonName. Người dùng đăng nhập vào máy chạy Windows 2000 hoặc các phiên bản sau đó của hệ điều hành Windows có thế đăng nhập theo cùng cách như vậy, hoặc họ có thể sử dụng tên UPN theo dạng UserLogonName@UPN Suffix, trong đó UPN suffix mặc định là tên DNS miền của đối tượng người dùn Trên thực tế hộp chọn này sẽ bị vô hiệu hoá ngay sau khi bạn gõ ký hiệu @. M ĐỊNH X u bạn lo lắng rằng có thể có các cuộc tấn công dò tìm mật khẩu hoặc bạn biết thêm thông tin về khắc phục các vấn đề sự cố xác thực, bạn có thể nh Chính sách Kiểm định để g curity log) giúp bạn thấy rõ quá trình xác thực đã ra như thế nào.. hính sách kiểm định sau được đặt tại Computer Configuration ows Settings\Security Settings\Local Policies\Audit Policy ở cả hai iều khiển Group Policy Object Editor và Loc ấu hình đ ghi lại các sự kiện thành công hoặc bị lỗi. udit Account Logon Events: Ghi lại từng sự kiện đăng nhập thành ông hoặc lỗi. Đối với Máy chủ Điều khiển Miền, chính sách này ược xác định trong Chính sách Máy chủ Điều khiển Miền Mặc định efault Domain Controllers Policy GPO). Việc kích hoạt chính sách ên sẽ khởi t khiển Miền mỗi lần người dùng đăng nhập trực tiếp hoặc qua mạng sử dụng tài khoản miền. Để đánh giá đầy đủ kết quả của việc kiểm định bạn phải kiểm tra nhật ký bảo mật trên tất cả các Máy chủ Điều khiển QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 289 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG Miền do người dùng được xác thực phân tán trên tất các các Máy chủ Điều khiển Miền trong site hoặc miền • Audit Account Management: Cấu hình kiểm định trong tác vụ quản ông ục vào kiểm định khi đăng nhập. Chỉ đăng nhập trực tiếp và qua mạng vào Máy chủ Điều khiển Miền mới tạo ra các sự kiện đăng sự kiện đăng nhập c trên máy cục bộ o các tài nào khi LƯU Ý: Mục 70-290 xác định thí sinh có khả n các vấn đề liên quan tới các thuộc tính tài kho Một khi bạn đã cấu h định, nhật ký bảo mật sẽ bắt đầu điền các thông điệp s các thông điệp này bằng cách sử dụng bảng điều kh THÔNG TIN điều khiển Event Viewer, xem chương 3 “Giám sát Microsoft Windows Ser trị bao gồm tạo, xoá hoặc sửa tài khoản người dùng, nhóm, máy, máy tính, cũng như việc đặt lại mật khẩu • Audit Logon Events: Sự kiện đăng nhập gồm đăng nhập và thoát ra khởi Windows, trực tiếp hoặc qua mạng. Nếu bạn kích hoạt chính sách kiểm định sự kiện tài khoản đăng nhập cho những lần thành c trên máy điều khiển miền, việc đăng nhập máy trạm sẽ không tạo ra các m nhập. Các ủa tài khoản được tạo cho tài khoản khoản mạng. C việc đăng nhập cục bộ và trên Máy chủ Điều khiển Miền ch ác sự kiện đăng nhập được sinh ra bất cứ lúc xảy ra. đích kỳ thi. Mục đích của kỳ thi ăng “Phán đoán và giải quyết ản người dùng”. ình chính sách kiểm ự kiện. Bạn có thể xem iển Event Viewer . THÊM: Để biết thêm thông tin về việc sử dụng bảng ver 2003.” QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 290 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG TỔNG KẾT • Các máy tính ch ản người dùng cục bộ v u tại hệ thống cục bộ và có thể cho người dùng truy nhập vào chỉ các tài ười dùng miền để tại CSDL . Chúng còn bao gồm một số các ân, quaqn hệ nhóm và các thiết lập quản trị. Windows • • • hệ thống. Khái lược Người dùng được đặt mặc • ng cấp cho người dùng có cùng khái lược người dùng từ bất kỳ máy tính nào trên mạng. ạy Windows Server 2003 có thể có tài kho à miền. Tài khoản người dùng cục bộ được lư nguyên cục bộ mà thôi. Tài khoản ng Active Directory của Máy chủ Điều khiển Miền và cho người dùng truy nhập vào toàn bộ tài nguyên trên mạng. • Để tạo tài khoản người dùng miền, bạn phải là thành viên của nhóm Enterprise Admins, Domain Admins hoặc Account Operators. Hoặc bạn phải được uỷ quyền tạo đối tượng người dùng. • Đối tượng người dùng gồm các thuộc tính chính tương ứng với “tài khoản” người dùng, bao gồm tên đăng nhập, mật khẩu và mã nhận dạng bảo mật (SID) của người dùng thuộc tính liên quan đến cá nhân người dùng mà nó đại diện như thông tin cá nh Server 2003 cho phép bạn có thể thay đổi một số các thuộc tính này cho nhiều đối tượng người dùng một cách đồng thời. Đối tượng người dùng mẫu (Template) là các đối tượng được sao chép trong quá trình tạo các người dùng mới. Nếu mẫu không là người dùng “thật”, nó nên để là vô hiệu hoá. Chỉ một số các thuộc tính của người dùng là được chép từ mẫu. CSV Directory Exchange cho phép bạn có thể nhập các đối tượng từ tệp văn bản có phân cách các trường bởi dấu phẩy (“,”). • Windows Server 2003 gồm các công cụ dạng dòng lệnh mà bạn có thể sử dụng để tạo và quản lý các đối tượng Active Directory bao gồm cả Dsadd.exe và Dsmod.exe • Khái lược người dùng là các tập các Folder của các Folder và file tạo thành môi trường cho người dùng xác định. Khái lược người dùng gồm các tài liệu cá nhân, biểu tượng trên màn hình nền, các thực đơn Start shortcut và các thiết lập Control Panel như màu màn hình, … Windows Server 2003 tạo khái lược người dùng riêng cho từng cá nhân đăng nhập vào định cục bộ tại Systemdrive\Documents and Settings\UserName. Khái lược người dùng cục bộ được để tại đĩa cục bộ, còn khái lược người dùng di trú để trên máy chủ. Khái lược Người dùng Di trú cu QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 291 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG • Khái lược Người dùng Bắt buộc không bao giờ bị thay đổi, cung cấp • r cùng một cấu hình nền thống nhất tại mỗi lần người dùng đăng nhập. Kiểm định xác thực tạo a các sự kiện cho nhật ký bảo mật của Máy chủ Điều khiển Miền. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 292 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG BÀ Bài t khẩu Trong p thực hành này, bạn sửa lại các thiết lập chính sách mật khẩu mặ 1. 2. 4. 5. ọn Password Policy. 7. 8. K P 9. T O 10. Đ 11. B 12. Đ ory Users And Computers. ủ Điều khiển Miền như or. I TẬP THỰC HÀNH ập thực hành 6-1: Thay đổi các Thiết lập Chính sách Mật Bài tậ c định trên máy tính của bạn. Đăng nhập vào Windows Sever 2003 domain như Administrator. Bấm chọn Strat, chỉ đến Administrative Tools và chọn Active Directory Users And Computer, khi đó sẽ xuất hiện bảng điều khiển Active Directory Users And Compute. 3. Chọn đối tượng miền, chọn thực đơn Action, chọn Properties, xuất hiện hộp thoại Properties . Tại thẻ Group Policy, chọn Default Domain Policy và chọn Edit, xuất hiện bảng điều khiển Group Policy Object Editor. Dưới Computer Configuration, mở Windows Settings, Security Settings và Account Policies, sau đó ch 6. Kích đúp Minimum Password Length policy, xuất hiện hộp thoại Minimum Password Length Properties. Thay đổi Minimum Password Length thành 8 ký tự và sau đó chọn OK. ích đúp Maximum Password Age, xuất hiện hộp thoại Maximum assword Age Properties. hay đổi thiết lập maximum password age thành 7 ngày, sau đó chọn K. óng bảng điều khiển Group Policy Object Editor. ấm OK và đóng hộp thoại Properties của miền. óng the bảng điều khiển Active Direct Bài tập thực hành 6-2: Tạo đối tượng người dùng miền Trong Bài tập thực hành này, bạn sẽ tạo đối tượng mới trong đối tượng chứa Active Directory. 1. Đăng nhập vào Windows Server 2003 Máy ch Administrat QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 293 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG 2. Bấm Start, chỉ đến Administrative Tools và bấm Active Directory Users And Co Users And Co m ều khiển Active Directory mp 3. Mở đối tượng m chứa Users. Trong thực trỏ tớ n New ser. 4. Tại Full Name, gõ vào 5. Tại User Logon Name 6. Tại Password và , và chọn Next. 7. Bấm Finish để t 8. Đóng bảng điều y Users And Computers. Bài tập thực hành 6 Trong Bài tập thực hàn i dùng đến một đối tượng chứa khác 1. Đăng nhập vào Wi iều khiển miền như Administrator. 2. Bấm Start, trỏ và bấm Active Directory Users And Com ive Directory Users And Comp 3. Mở đói tượng g chứa Users. Chọn tiếp Guest.Trên thực uất hiện hộp thoại Move. 4. Chọn đối tượng gười dùng Guest đã được chuyển tới 5. Chọn đối tượng c 6. Chọn đối tượng nó vào đối tượng vhứa Users. Đối tượng Users. puters. Xuất hiện bảng đi uters. iền và chọn the đối tượng đơn Action Object – U i New và bấm User. Xuất hiện trình hướng dẫ Mark Lee. , gõ mlee, và bấm Next. Confirm Password, type rabbit!runs4all ạo đối tượng mới. khiển Active Director -3 h này, bạn sẽ di chuyển một đối tượng ngườ . ndows Server 2003 máy đ tới Administrative Tools puters. Xuất hiện bảng điều khiển Act uters. miền và chọn đối tượn đơn Action , chọn Move. X chứa Computers, bấm OK. N đối tượng chứa Computers. hứa Computers. người dùng Guest và kéo Guest đã được chuyển lại vào đối tượng chứa QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 294 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG CÁC CÂU HỎI 1. Bạn sử dụng bản để cấu h ÔN TẬP g điều khiển Active Directory Users And Compute ượng người dùng trong miền, và bạn có thể thay đổ rs ình đối t i thuộc tính address và telephone number của đối tượng người dùng. Lệnh c. Hãy giải thích? 2. Các thuộc tính n ồng thời trên hơn một đối dùn a. Password b. Direct Rep c. User Must Change Password At Next Logon d. Last Nam e. Logon Ho f. Computer Restrictions (Logon Workstations) ng trình Dsadd.exe và Dsmod.exe để tạo folder chủ và folders Profile cho người dùng Tuy nhiên, New User không chọn đượ ào sau đây có thể cấu hình đ tượng người g. Never Expires orts e urs g. User Logon Name h. Title 3. Trong ba phương pháp tạo đồng thời nhiều đối tượng người dùng đã thảo luận trong chương này, phương pháp nào là hiệu quả nhất để sinh ra 100 đối tượng người dùng mới, với tất cả các thuộc tính đã xác định của Profile Path, Home Folder, Title, Web Page, Company, Department và Manager 4. Biến nào có thể được sử dụng trong với lệnh chươ xác định. a. %Username% b. $Username$ c. CN=Username d. 5. Bạn làm thế nào để tạo một khái lược người dùng di trú bắt buộc? a. Cấu hình Cấp phép trong thuộc tính Security của folder với quyền write là Deny. b. Cấu hình Cấp phép trong thuộc tính Sharing của folder với chỉ có quyền read only là allow. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 295 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG c. Cấu hình thuộc tính của folder profile là Read Only d. Đổi tên file Ntuser.dat thành Ntuser.man. 6. Phân biệt sự khác nhau giữa khái lược người dùng cục bộ và khái lược người dùng di trú? 7. Làm thế nào bạn có thể chắc chắn là một người dùng trên máy tính chạy Windows Server 2003 có Khái lược Người dùng Bắt buộc? 8. Bạn có thể kích hoạt yêu cấu Password Must Meet Complexity Requirements trong miền của bạn. Hãy diễn tả các yêu cầu cho mật khẩu và khi nào thì các yêu cầu này sẽ thực hiện CÁC Kịch Bạn s ột số các đối tượng người dùng cho một nhóm công nhân thời vụ a theo h không iờ. Thuộc tính nào sau đây bạn sẽ cấu hình để đảm bảo ả 1. 3. 5. 6. 7. Kịch hoá tài khoản Ng i khẩu s nhận được thông báo đăng nhập chỉ ra tài kh quản t 1. 2. gười dùng. 3. Kích hoạt đối tượng người dùng. KỊCH BẢN TÌNH HUỐNG bản 6-1: Cấu hình đối tượng người dùng Properties ẽ tạo m củ tổ chức của bạn. Họ sẽ làm việc hàng ngày từ 9 A.M. đến 5 P.M., ợp đồng thời gian kết thúc trong khoảng từ một đến hai tháng và họ sẽ làm việc ngoài g b o mật tối đa cho các đối tượng này? Password 2. Logon Hours Account Expires 4. Store Password Using Reversible Encryption Account Is Trusted For Delegation User Must Change Password At Next Logon Account Is Disabled 8. Password Never Expires bản 6-2: Quản lý k ườ dùng bị quên mật khẩu nhưng lại cố tình đăng nhập vài lần với mật ai. Rốt cục là người dùng oản này đã bị vô hiệu hoá hoặc bị khoá, thông báo đề nghị liên hệ với rị mạng. Khi đó quản trị sẽ phải làm gì? Xoá đối tượng người dùng và tạo lại. Đổi tên đối tượng n QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 296 LÀM VIỆC VỚI TÀI KHOẢN NGƯỜI DÙNG 4. Mở khóa đối tượng người dùng. 5. Đặt lại mật khẩu của đối tượng người dùng. QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 297 LÀM VIỆC VỚI NHÓM CH M VIỆC VỚI NH Trong đến cá e Directory cho các người sử dụn Nhóm Nhóm, các quản trị viên có thể đơn giản hóa quá trình cấp phép truy cập cho người dùng. Trong chương này bạn sẽ được học về các loại nhóm mà Active Directory hỗ trợ, tạo chúng như thế nào, và làm thế nào để có thể sử dụng chúng một cách hiệu quả. Kết thúc chương này, bạn có thể • Hiểu được các chức năng của Nhóm và cách sử dụng chúng như thế nào. • Hiểu được sự khác nhau giữa Nhóm Cục bộ (Local Group) và Nhóm Miền (Domain Group). • Nhận biết hai Kiểu Nhóm (Group type) và ba loại Phạm vi Nhóm (Group Scope) và làm thế nào để sử dụng chúng có hiệu quả. • Liệt kê các Nhóm Dựng sẵn (Build-in) và các Nhóm Xác định • ợc sự khác nhau giũa các Nhóm và các nhóm Đồng nhất ƯƠNG 7: LÀ ÓM chương 6, bạn đã biết các Đối tượng người dùng cung cấp sự truy cập c tài nguyên trong mạng sử dụng Activ g mạng như thế nào. Một công cụ quản trị quan trọng khác là Đối tượng (Group Object). Sử dụng Trước (Predefined) trong Microsoft Windows Server 2003. Hiểu đư Đặc biệt (Special Identities) QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003 -298- LÀM VIỆC VỚI NHÓM HIỂU VỀ NHÓM Để người dùng có khả năng truy cập các tài nguyên trên mạng Active Directory, họ nhất thiết phải có các cấp phép thích hợp. Các thư mục, ổ đĩa, máy in được chia sẻ, và nói rộng hơn là tất cả các loại tài nguyên khác trên mạng đều có một Danh sách Kiểm soát Truy cập (Access Control List - ACL). ACL chính là danh sách của các đối tượng được cho phép truy cấp đến tài nguyên, theo các mức độ truy cập khác nhau mà mỗi đối tượng được cấp. Trong Microsoft Windows Server 2003, ACL được hiển thị tại thẻ Sercurity (Bảo mật) của phần lớn trong b t cứ hộp thoại Properties nào, như n họ cần, do Đối lượng người dùng xác định tính duy nhất của người dùng thông qua quá trình xác thực ấ được thể hiện trong hình 7-1. Các đối tượng trong ACL được gọi là Sercurity Principals (Đối tượng bảo mật). Bạn có thể sử dụng Dối tượng người dùng như là các Đối tượng Bảo mật để trao cho người dùng quyền truy cập đến các tài nguyê Hình 7-1: Thẻ Security trong hộp thoại Properties của thư mục Về mặt lý thuyết, Quản trị viên có thể tạo toàn bộ các cấp phép cho mọi người dùng bằng cách thêm các Đối tượng người dùng vào ACL, và việc thực hiện điều này với toàn bộ các mạng máy tính (trừ trường hợp đối với ãy tưởng tượng bạn đang tuyển thêm 250 nhân viên mới cho họ, phải cấp phép cho họ ài nguyên trải dài trên