Giáo trình Quản trị mạng Windows Server 2003 - Quản trị người dùng và nhóm người dùng

Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng Chương 3 QUẢN TRỊ NGƯỜI DÙNG VÀ NHÓM NGƯỜI DÙNG Trong chương này nghiên cứu các vấn đề sau: ƒ Quản lý user ƒ Quản lý Group ƒ Quyền người dùng ƒ Quyền truy cập I. QUẢN LÝ USER 1. Tạo tài khoản người dùng Trên mạng Windows có hai loại tài khoản người dùng là: Người dùng cục bộ và người dùng vùng. 1.1. Người dùng cục bộ: ƒ Là tài khoản người dùng được tạo ra trên máy tính cục bộ ví dụ: trên các máy tính chạy hệ điều hành Windows XP hay Windows Server 2003 khi chưa nâng cấp thành Domain. Đặc điểm của người dùng cục bộ: ƒ Tài khoản người dùng cục bộ chỉ có giá trị trên chính máy tính mà tài khoản đó được tạo ra Cụ thể: ƒ Tài khoản cục bộ được đăng nhập cục bộ vào máy tính mà trên đó tài khoản được tạo ra ` Biên soạn: Võ Khôi Thọ Trang 1 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Hoặc đăng nhập qua mạng vào máy tính mà trên đó tài khoản tồn tại Cách tạo tài khoản người dùng cục bộ trên máy tính chạy hệ điều hành Windows XP: ` ` ƒ Nhấp phải chuột vào My Computer chọn Manage làm xuất hiện màn hình Computer management Biên soạn: Võ Khôi Thọ Trang 2 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Trên màn hình Computer Management nhấp chọn thư mục Local Users and Group trên màn hình bên trái và nhấp phải vào khoảng trống trên màn hình bên phải và chọn New User Trên màn hình New User nhập các thông tin sau: ƒ User name: Tên tài khoản đăng nhập ví dụ : u1 ƒ Full name: Tên đầy đủ của tài khoản đăng nhập ví dụ: Nguyễn Văn A ƒ Description: Phần diễn giải ƒ Password: Nhập vào password của tài khoản đăng nhập ƒ Confirm password: Nhắc lại password đã nhập ƒ User must change password at next logon: nếu chọn mục này thì khi đăng nhập lần đầu vào máy cục bộ người dùng phải đổi password. ƒ User cannot change password: Nếu chọn mục này người dùng không được thay đổi password. ƒ Password never expires: Nếu chọn mục này Password không bao giờ bị loại bỏ. ƒ Account is disabled: Nếu mục này được chọn thì tài khoản sẽ bị cấm. Sau khi đã nhập và lựa chọn đầy đủ các thông tin nhấp nút Create tài khoản sẽ được tạo. Biên soạn: Võ Khôi Thọ Trang 3 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Trên Server 2003 khi chưa nâng cấp thành Domain Controller, cách tạo tài khoản cục bộ giống như trên máy Windows XP. . Đây là Computer Management của Server 2003 khi chưa nâng cấp thành Domain Controller Biên soạn: Võ Khôi Thọ Trang 4 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng 1.2. Người dùng vùng ƒ Tài khoản người dùng vùng là tài khoản được tạo ra trên máy điều khiển vùng. ƒ Đăng nhập vùng bằng tài khoản người dùng vùng có thể truy cập tới tất cả các máy tính trong vùng. ƒ Được quyền truy cập tài nguyên trên tất cả các máy tính trong vùng ` ` Domain Domain Controller 2. Sửa ,xóa tài khoản người dùng Để sửa tài khoản người dùng vùng ta làm như sau: Biên soạn: Võ Khôi Thọ Trang 5 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Để sửa tên tài khoản: Trên màn hình Active Directory Users and Computers nhấp phải chuột vào tên tài khoản chọn Rename ƒ Để xóa tài khoản : Trên màn hình Active Directory Users and Computers nhấp phải chuột vào tên tài khoản chọn Delete. 3. Cấu hình thuộc tính tài khoản người dùng ƒ Để cấu hình các thuộc tính của tài khoản người dùng trên màn hình Active Directory ta nhấp phải chuột vào tài khoản chọn Properties Biên soạn: Võ Khôi Thọ Trang 6 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Trên màn hình thuộc tính của tài khoản người dùng nhấp chọn thẻ Account Biên soạn: Võ Khôi Thọ Trang 7 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ User logon name: Là tài khoản đăng nhập Mục Logon Hours: ƒ Dùng để cấu hình thời gian làm việc của Account, nhấp vào nút Logon Hours màn hình xuất hiện như sau: ƒ Màu xanh là Logon Permission: được quyền truy cập ƒ Màu trắng là Logon Denied: Không được quyền truy cập Mặc định tài khoản người dùng vùng sẽ được quyền truy cập vào mạng bất cứ thời gian nào tức là 24/7. Để giới hạn thời gian làm việc ta cấp quyền như sau: Giả sử tài khoản u1 làm việc các ngày thứ 2, thứ 4, thứ 6 và thời gian từ 2 giờ chiều đến 10 giờ đêm. Biên soạn: Võ Khôi Thọ Trang 8 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Ngoài thời gian đã cho phép nếu người dùng vẫn truy cập mạng thì đương nhiên tài khoản sẽ không hiệu lực. ƒ Ở Account is Locked Out: mục này sẽ được chọn khi Account bị khóa. ƒ Ở mục Account Option: User must change password at logon: mục này nếu được chọn người dùng sẽ phải đổi password tại lần đăng nhập đầu tiên. User cannot change password: mục này được chọn cho phép người dùng không đổi được password. Password Never Expires: password không bị loại. ƒ Ở mục Account Expires: xác định thời gian password bị loại bỏ Biên soạn: Võ Khôi Thọ Trang 9 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Sau khi lựa có các lựa chọn phù hợp nhấp OK để áp dụng Mục Logon To: ƒ Dùng để quy định vị trí làm việc của người dùng tức là khi người quản trị cấp quyền cho người dùng chỉ làm việc ở vị trí cố định này thì khi sang nơi khác cũng không thể đăng nhập được mặc dù có username và password. Cách cấu hình này như sau: Nhấp nút Logon To màn hình xuất hiện như sau: Trên màn hình này mặc định người dùng được quyền truy cập mạng từ bất cứ máy tính nào trên mạng. Nếu muốn quy định vị trí đăng nhập thì nhấp chọn mục The following computer rồi nhập tên máy tính vào khung Computer name rồi nhấp Add. Biên soạn: Võ Khôi Thọ Trang 10 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Nhấp OK để áp dụng và đóng hộp thoại ƒ Nếu đăng nhập không đúng vị trí sẽ có thông báo sau: 4. Cấu hình chính sách tài khoản Để đảm bảo an toàn cho tài khoản người dùng ta phải cấu hình chính sách tài khoản thông qua công cụ Domain Security Policy. Chính sách tài khoản gồm có: Password Policy Account Lockout Policy Biên soạn: Võ Khôi Thọ Trang 11 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng Để cấu hình chính sách Account mở màn hình Domain Security Policty: Start/ Administrative Tool/ Domain Security Policy Biên soạn: Võ Khôi Thọ Trang 12 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Màn hình Domain Security Policy như sau: 4.1. Password Policy Trên màn hình Default Domain Security setting nhấp : Account Polies\PasswordPolicy. Trên màn hình bên phải có các Option sau: Biên soạn: Võ Khôi Thọ Trang 13 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng Ý nghĩa các mục cấu hình của Password Policy: + Enforce password history:phải dùng bao nhiêu password mới trước khi dùng lại password cũ mặc định là 24 + Maximum password age: thời gian password có hiệu lực tối đa là 42 ngày + Minimum password age: thời gian password có hiệu lưc tối thiểu là 1 ngày + Minimum password Length: Chiều dài password tối thiểu ƒ Chỉnh Enforce password history: Nhấp đúp vào Enforce password history, đánh dấu check vào Define this policy setting, thay đổi giá trị tại mục Keep password history for rồi nhấp OK để áp dụng ƒ Làm tương tự để cấu hình các Option còn lại Biên soạn: Võ Khôi Thọ Trang 14 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng II. QUẢN LÝ GROUP 1. Tạo tài khoản nhóm ƒ Windows quản lý người dùng thông qua nhóm, một người dùng có thể thuộc nhiều nhóm. Việc quản lý người dùng thông qua nhóm giúp cho người quản trị dễ dàng phân chia danh mục để quản lý, việc thêm bớt người dùng dễ dàng. Cách tạo nhóm như sau: Trên màn hình Active Directory Users and Computers: nhấp phải chuột vào OU user chọn Group Biên soạn: Võ Khôi Thọ Trang 15 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Nhấp phải chuột vào thư mục Users bên trái /New / Group Diễn giải: ƒ Tại mục Group name: Nhập vào tên nhóm ƒ Tại mục Group scope: chọn Domain Local Group + Global Group: Là nhóm toàn cục + Domain local Group: Là nhóm cục bộ miền ƒ Tại mục Group Type: Chọn Security ƒ Sau đó nhấp OK để áp dụng và đóng hộp thoại này. 2. Thêm thành viên cho nhóm: Trên màn hình Active Directory Users and Computers nhấp phải vào tên nhóm và chọn Properties. Biên soạn: Võ Khôi Thọ Trang 16 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Nhấp thẻ Member Biên soạn: Võ Khôi Thọ Trang 17 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Nhấp nút Add: ƒ Chọn các tài khoản muốn là thành viên của nhóm rồi nhấp OK 2 lần Biên soạn: Võ Khôi Thọ Trang 18 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Nhấp OK để áp dụng và thoát khỏi màn hình thuộc tính nhóm Lưu ý: ƒ Trên màn hình thuộc tính nhóm muốn Add thành viên cho nhóm thì nhấp thẻ Members, muốn nhóm là thành viên của nhóm khác thì nhấp thẻ Members of. ƒ Nhóm Domain Local Group: chứa người dùng vùng và nhóm Global Group ƒ Nhóm Global Group: chỉ chứa người dùng vùng Biên soạn: Võ Khôi Thọ Trang 19 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ G1 là nhóm Global nhấp nút Add để thêm thành viên trên màn hình Select user không có tài khoản nhóm. ƒ Khi cấp quyền truy cập ta cấp quyền thông qua nhóm Domain Local Group ƒ Thành viên của nhóm Global muốn được cấp quyền thì nhóm Global phải là thành viên của một nhóm Domain Local Group. Biên soạn: Võ Khôi Thọ Trang 20 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng 3. Các nhóm cài sẵn ƒ Các nhóm cài sẵn là các nhóm được tạo ra trong quá trình cài đặt Windows Server 2003 còn được gọi là nhóm Builtin và là kiểu nhóm Security Group – Domain Local. ƒ Các nhóm cài sẵn là các nhóm quản trị gồm có: + Administrators + Account Operators + Backup Operators + Server Operators + Print Operators Ngoài ra còn có một số nhóm cài sẵn dùng quản trị Domain tức nó được tạo ra trong quá trình nâng cấp Server lên Domain Controller như: Biên soạn: Võ Khôi Thọ Trang 21 Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng ƒ Trong đó có nhóm có sẵn thành viên một cách mặc định như nhóm Domain Users: Nhóm Domain Users: mặc định người dùng vùng là thành viên của nhóm này. Biên soạn: Võ Khôi Thọ Trang 22