Quản trị mạng WindowsNT - Phần 2

ền truy nhập tài nguyên trên \\workstation_1 cho một nhóm cục bộ định nghĩa trên \\server_2. Trong một domain, khi một nhóm cục bộ định nghĩa trong PDC nó được chép tự động sang các BDC khi dữ liệu các accounts được nhân bản. Nó được xác định trong dữ liệu tất cả các domain controllers (bao gồm PDC, các BDCs) trong domain đó. Nhóm cục bộ được gán quyền tới các tài nguyên của bất cứ domain contronllers nào trong domain. Trong một môi trường workgroup, một thành viên trong nhóm cục bộ chỉ có thể gồm một account người dùng từ dữ liệu account trong máy tính đó. Một nhóm cục bộ trong Windows NT Workstation và Windows NT Server gồm : - Các account người dùng của máy tính cục bộ - Các người dùng và các nhóm tổng thể (global group) của domain máy tính cục bộ - Các người dùng và các nhóm tổng thể từ các domains được thừa quyền (hay còn gọi là "tin cậy"-trusted) bởi domain cục bộ Chú ý: Để dễ quản lý chúng ta sử dụng nhiều tới nhóm cục bộ Các nhóm cục bộ bổ trợ thiết lập trước Có một vài nhóm bổ trợ có sẵn trong các domain controllers Windows NT Server: - Server Operators: Đảm trách cho mạng các domain controllers hoạt động. Các thành viên nhóm này có cùng quyền hạn như Administrator, ngoại trừ nó không thể quản lý bảo mật trong server. Nó chỉ có thể cho phép dùng chung hay bỏ dùng chung các tài nguyên của domain controllers, khoá hay mở khoá một domain controller, và tạo khuôn dạng (format) các đĩa của domain controllers. Nó cũng có quyền tại các domain controllers như sao lưu (back up) và lưu trữ tệp, shut down (tắt) một domain controller. - Account Operators: Có thể quản lý các account nhóm hay người dùng của domain. Nó có thể tạo, xoá, sửa hầu hết các người dùng, nhóm tổng thể, và nhóm cục bộ. Nó không thể sửa các account người dùng dạng Administrator, hoặc các nhóm cục bộ như nhóm Administrators, Server Operators, Account Operators, Print Operstors, Backup Operators. Và nó cũng không thể gán quyền người dùng. - Print Operators: Có thể chia xẻ hay ngừng chia xẻ các máy in, quản lý các máy tin trong domain controllers. Nó có thể truy nhập vào các domain controllers và tắt chúng. III. Nhóm tổng thể (Global group) Nếu một hệ thống Windows NT là một phần của một domain Advanced Server thì nhóm tổng thể của domain có thể được sử dụng trong hệ thống này. Nhóm tổng thể có thể được sử dụng tại tất cả các máy tính trong domain (các máy tính Windows NT, các Advanced Server, và các LAN Manager 2.x server). Nhóm tổng thể có thể trở thành thành viên (được cấp membership) trong các nhóm cục bộ và có thể được cấp quyền trong một hệ thống cụ thể. Nhóm tổng thể có thể sử dụng một cách tổng thể , không bị giới hạn ở nơi dữ liệu chứa nó. Một nhóm tổng thể có thể được tạo từ một thành viên trong nhóm cục bộ của bất cứ máy tính nào trong domain hay domain được tin cậy. Chỉ nên sử dụng nhóm tổng thể khi các người dùng thành viên tương đương, ít tính quản trị trên tất cả các máyWindows Windows NT. Domain Windows NT Server chứa sẵn các nhóm tổng thể như: - Domain Admins: Nhóm các account bạn muốn là Administrators, và account Administrator cũng nằm trong Domain Admin - Domain Users: Các account trong domain - Domain Guest: Các account cho "khách" (Guest) Các nhóm tổng thể không có đặc quyền thừa kế. Nó nhận được uỷ quyền do là thành viên trong nhóm cục bộ. Ví dụ trong một domain controllers nhóm Domain Administrators không tự nó có quyền hạn. Nó nhận được quyền vì nó là thành viên trong nhóm cục bộ Administrators trong domain controllers. Đó là tại sao các thành viên trong Domain Administrators có khả năng quản trị domain. Tương tự các nhóm Domain Users là thành viên trong nhóm cục bộ Users, và nhóm Domain Guests là thành viên trong nhóm cục bộ Guests. Chú ý: Dùng chương trình User Manager for Domains, từ menu User, chọn New Global Group để quản lý các tài nguyên. Các chiến lược về sử dụng nhóm Quán triệt cách tổng thể cho các người dùng và nhóm đó là gán các account người dùng của domain vào nhóm tổng thể của domain, đưa các nhóm tổng thể của domain làm thành viên của nhóm cục bộ, sau đó gán quyền và các tài nguyên cho nhóm cục bộ. Chiến lược khi làm trong môi trường nhiều domain kết nối bởi quan hệ tin cậy-relationships, cũng với cách trên. Với các account domain của bạn, nhóm các người dùng vào nhóm tổng thể. Nhóm tổng thể này sau đó được gán thành thành viên trong nhóm cục bộ không phải của domain này mà domain tin cậy nó (trusting). IV. Các account nhóm mặc định Có năm nhóm mặc định trong Windows NT - Users, Power Users, Administrators, Backup Operators, và Guests. 1. Users Bất kỳ ai sử dụng máy tính thường xuyên có thể có một account trong nhóm Users. Nhóm Users cung cấp cho người dùng quyền cần thiết để thao tác trên hệ thống như một người dùng cuối, chẳng hạn như chạy các ứng dụng và quản lý các file. Một người dùng đăng ký làm việc vào một hệ thống Windows NT như một phần của nhóm Users có thể thực hiện những công việc sau: - Chạy các ứng dụng. - Quản lý các file. - Tạo và quản lý các nhóm. - Giữ một hồ sơ cá nhân. - Nối với một máy tính thông qua mạng. 2. Power Users Nhóm Power User cung cấp cho người dùng khả năng thực hiện các chức năng quản trị hệ thống mà không cho phép ngưoừi dùng hoàn toàn kiểm soát hệ thống. Bổ sung thêm vào tất cả các quyền được cung cấp cho nhóm Users, một người dùng login vào Windows NT nhưng thành viên của nhóm Power User có thể thực hiện các công việc sau đây: - Chia sẻ các thư mục trên mạng. - Cài đặt, chia sẻ và quản lý máy in. - Tạo các account người dùng. - Sửa đổi và xoá account người dùng mà họ đã tạo. - Thiết lập đồng hồ bên trong máy tính. 3. Administrators Nhóm Administrators cung cấp cho người dùng khả năng kiểm soát toàn bộ hệ thống. Bổ sung thêm vào tất cả các quyền cung cấp cho Power Users, một người dùng login vào Windows NT như là thành viên của nhóm Administrators có thể thực hiện các công việc sau đây: - Sửa đổi, và xoá account người dùng và nhóm được tạo bởi những người khác. - Gán account người dùng cho các nhóm mặc định. - Ghi đè lên khoá trạm làm việc. - Đặt khuôn dạng hoặc đặt partition cho một đĩa cứng. - Gán quyền người dùng. - Kiểm soát ghi nhật ký kiểm tra hệ thống. - Lưu trữ và khôi phục toàn bộ hệ thống. - Gỡ rối hệ thống. - Lấy quyền chủ sở hữu của các file và các đối tượng khác. 4. Thao tác viên dự phòng (Backup Operators) Nhóm Backup Operators cho phép người dùng lưu trữ và khôi phục các file trên hệ thống. Bất kỳ người sử dụng nào cũng có thể lưu trữ và khôi phục các file mà họ có quyền thâm nhập tương ứng. Nhóm Backup Operators phủ lên các quyền đó và cho phép người dùng có thể lưu trữ bất kỳ và tất cả các file trên đĩa, không xét đến quyền thâm nhập file. 5. Guest Trong quá trình cài đặt, Windows NT thiết lập account Guest mặc định. Account này cho phép bất kỳ ai không co account trong hệ thống khả năng login vào máy tính học nối vào thông qua mạng. Cần thiết phải có account Guest vì nhiều kiểu phần mềm mạng truy nhập máy tính thông qua account Guest. Bất kỳ ai trên một mạng có thể nối tới các tài nguyên chia sẻ trên máy tính của bạn thông qua account Guest, do vậy bạn cần gán quyền người dùng trên các tài nguyên chia sẻ của bạn để kiểm soát cách người dùng có thể thâm nhập các tài nguyên đó. Để một người dùng nào truy nhập vào mạng như một người dùng với account Guest thì đưa người dùng đó vào nhóm Guest. V. Thiết lập các nhóm 1. Tạo các nhóm cục bộ (Local Groups) Đầu tiên bạn phải tạo một nhóm cục bộ trước khi gán quyền tại trạm làm việc của nó. Những quyền này có thể cho phép chẳng hạn như truy nhập tới các file hoặc máy in như được thiết lập trên File Manager (Windows Exploror đối với Windows NT 4.0)và Print Manager một cách tương ứng. 2. Để thêm một nhóm cục bộ - Chọn một hoặc nhiều account người dùng. - Từ menu User, chọn New Local Group. 3. Bổ sung các thành viên mới a. Từ hộp hội thoại New Local Group, chọn nút Add. Hộp hội thoại Add liệt kê tất cả các account của người sử dụng trong máy tính. b. Tuỳ ý chọn một tên domain trong hộp List Names In. Chọn domain xong, account người sử dụng và nhóm tổng thể (global groups) của domain sẽ được liệt kê. c. Chọn một vài account người dùng và nhóm global từ hộp Name. 4. Chép một nhóm tổng thể (global groups) a. Chọn một nhóm trong danh sách các nhóm. b. Chọn menu User, chọn Copy. Trong hộp hội thoại New Local Group, tên nhóm có màu trắng. Thông tin mô tả và các account các thành viên nhóm được sao chép. 5. Xoá nhóm Xoá nhóm cục bộ chỉ có nghĩa là bỏ nhóm cục bộ đó thôi — Nó không xoá bất kỳ account người dùng hay nhóm tổng thể mà nó là thành viên của nhóm cục bộ bị xoá. Khi xoá một nhóm sẽ có một cảnh báo chỉ cho người sử dụng rằng nếu tạo nhóm mới có cùng tên với tên nhóm xoá sẽ không phục hồi các quyền hạn trước kia. Khi một nhóm được xoá và bạn lại tạo một nhóm mới có tên giống tên nhóm vừa xoá, nhóm mới sẽ không có bất cứ quyền truy nhập gì như lúc trước đối với nhóm bị xoá vì nhóm mới sẽ có một SID. Tất cả các quyền, các quyền gán và các thành viên của nhóm mới cần được thiết lập theo cách thức thông thường. VI. Account người dùng mặc định Ba account mặc định, Administrator, Guest và một người dùng khởi đầu được tạo khi Windows NT được cài đặt lần đầu tiên. Mỗi account mặc định có một số quyền hạn nhất định trên hệ thống. 1. Administrator Account Administrator được tạo trong quá trình cài đặt hệ thống. Yêu cầu một mật khẩu ban đầu khi cài đặt. Đặc điểm của account này là có thể đổi tên nhưng không thể xoá được. Administrator có quyền cao nhất trên toàn bộ hoạt động và an toàn của hệ thống. Administrator thậm chí có quyền kiểm soát các file của các người dùng khác. Bất kỳ ai biết tên sử dụng và mật khẩu của Administrator có quyền cao nhất về quản trị toàn bộ hệ thống . Nếu mật khẩu bị quên hoặc không biết thì cách duy nhất là cài đặt lại Windows NT hoặc sử dụng sử dụng đĩa Sửa chữa Khẩn cấp (Emergency Repair disk) được tạo trong quá trình cài đặt. Để tránh tình trạng account Administrator trở nên không hữu ích hoặc không tích cực, các người dùng bổ sung có thể được gán các quyền của Administrator. Một người dùng đăng ký sử dụng dưới account Administrator (hoặc một account thuộc về nhóm Administrator) có thể thực hiện các công việc sau: - Sửa hoặc xoá các account người dùng hoặc nhóm - Bổ sung hoặc loại bỏ người dùng khỏi nhóm - Gán các quyền đặc biệt cho nhóm - Sửa đổi phần mềm hệ thống điều hành - Cài đặt hoặc nâng cấp phần mềm ứng dụng và điều khiển thiết bị - Lên khuôn dạng đĩa cứng - Thiết lập máy tính để quản trị mạng từ xa 2. Người sử dụng ban đầu Trong quá trình cài đặt một account người dùng ban đầu được tạo cho cá nhân cài đặt Windows NT. Account này cũng được cấp quyền như Administrator. Tên của account này được thiết lập trong quá trình cài đặt. 3. Guest Account Guest được sử dụng một cách mặc định cho bất kỳ ai sử dụng mà không có account người dùng hoặc Administrator. Account Guest có rất bị hạn chế trong việc truy nhập vào tài nguyên của máy tính. Guest bị từ chối truy nhập vào bất cứ một thư mục hoặc file nào được sử dụng cá nhân. Người quản trị có trách nhiệm thiết lập bảo mật thư mục và file để hạn chế Guest không được truy nhập các thư mục và file riêng trên hệ thống. Nếu các quyền của Guest được cho phép trên hệ thống, người quản trị cần thiết lập một thư mục chung để lưu các file mà Guest có thể truy nhập được. Trong một số trường hợp, máy chủ cần được giới hạn triệt để sao cho chỉ có một số người dùng nhất định có thể truy nhập vào đó. Để hạn chế Guest ngay cả trong việc sử dụng các tài nguyên hạn chế bạn có thể hoặc là không cho phép (disable) account Guest hoặc gán một mật khẩu cho account Guest. VII. Thiết lập các account người dùng Tiện ích User Manager trong nhóm Adminitrative Tools được sử dụng để thiết lập các account người dùng. 1. Tạo account người dùng Từ menu User, chọn New User. Trong box Username, gõ một tên người dùng duy nhất trong hệ thống, chiều dài tối đa 20 ký tự. a. Trong box Full Name, gõ tên hoàn chỉnh của người dùng. b. Nếu cần, nhập dữ liệu vào hộp mô tả. c. Gõ Password và Confirm Password giống nhau. Mật khẩu tối đa là 14 ký tự, phân biệt chữ hoa chữ thường, trong khi tên thì không. d. Lựa chọn tuỳ chọn. e. Để quản trị thuộc tính của người dùng đi kèm với các nút bấm (đặt tại đáy của hộp hội thoại), lựa chọn nút thuộc tính, hoàn thiện hộp đối thoại cho thuộc tính đó và chọn nút OK. f. Chọn nút OK để bổ sung account. 2. Các tuỳ chọn New User Các tuỳ chọn New User có thể được lựa chọn là: - Người sử dụng phải thay đổi mật khẩu tại lần đăng ký sử dụng tiếp theo - Người dùng không thể đổi mật khẩu - Account bị không cho phép - Mật khẩu không bao giờ quá hạn Các account không được phép không thể được sử dụng. Các account không cho phép thông thường được sử dụng như một cái khung để copy khi tạo account mới hoặc được sử dụng để tạo một account sẽ được kích hoạt về sau. 3. Đổi tên account người dùng Có thể đổi tên bất kỳ account người dùng nào, bao gồm các account mặc định. Tuy nhiên, chỉ có một account có thể đổi tên một lúc. Khi một account bị đổi tên, nó vẫn duy trì tất cả các thuộc tính còn lại. Điều duy nhất thay đổi là tên của account. 4. Lập bản sao account người dùng Có thể copy một account người dùng đã được cấu hình tới một account mới bằng cách lựa chọn account cần copy và chọn User, Copy. Các mục được copy trực tiếp từ một account người dùng hiện tại tới một account người dùng mới là mô tả và nhóm. Các hồ sơ được copy có điều kiện. Windows NT tự động xoá các mục Username, Full Name, Password, Confirm Password, User Cannot Change Password, Account Disabled, và Password Never Expires. Nó cũng chọn mục "User Must Change Password At Next Logon". 5. Xoá account người dùng Một khi một account người dùng đã bị xoá nó không thể được khôi phục lại bởi vì định danh duy nhâts cho account đó không còn tồn tại nữa. Một account mới được tạo với cùng tên sẽ có một định danh khác và như vậy sẽ không thể thâm nhập bất kỳ mục nào mà account cũ có quyền thâm nhập. Account mới phải có cùng quyền, thành viên nhóm và các thuộc tính khác được thiết lập cho nó để nó lại như cũ. Để xoá một hay nhiều account người dùng: a. Chọn một hoặc nhiều account người dùng.Từ menu User chọn Delete. b. Nếu một thông báo khẳng định xuất hiện, chọn nút OK. c. Khi thông báo Delete xuất hiện, chọn Yes. Nếu nhiều account người dùng được lựa chọn, chọn Yes To All. 6. Không cho phép account người dùng Vì các account mới được tạo cùng tên với một account đã từng tồn tại từ trước có định danh khác account cũ nên nói chung account người dùng nên được không cho phép trong một thời gian trước khi bị xoá để đảm bảo rằng account thật sự cần thiết bị xoá. Không cho phép một account ngăn chặn việc logon vào Windows NT, tất cả các thông tin account vẫn giữ nguyên không thay đổi. Để không cho phép một hoặc nhiều account: a. Chọn account cần không cho phép.Từ menu User, chọn Properties. b. Chọn hộp Account Disabled. c. Nhấn OK. VIII. Thiết lập Hồ sơ Môi trường Người dùng 1. Hồ sơ người dùng Windows NT lưu trữ một bản lưu tất cả các thông tin cấu hình của desktop của người dùng trong một hồ sơ người dùng cục bộ. Thông tin hồ sơ được lưu trữ khi một người dùng thoát ra và được tự động khôi phục lại khi người dùng trở lại làm việc vào trạm làm việc. Các thiết lập sau được lưu trữ trong một hồ sơ người dùng: - Program Manager (Desktop đối với Windows NT 4.0 ) - File Manager (Windows Explorer đối với Windows NT 4.0) - Dòng lệnh MS-DOS - Print Manager - Các tuỳ chọn Control Panel - Các tuỳ chọn Accessory - Các ứng dụng Windows NT của tổ chức thứ ba. - Các bookmark của On-line Help Các hồ sơ đảm bảo rằng mỗi người dùng luôn luôn có sở thích riêng của mình trên trạm làm việc khi họ đăng ký làm việc vào Windows NT hoặc Advanced Server. Các hồ sơ không ảnh hưởng gì đối với các người dùng MS-DOS và Windows for Workgroups. Các trạm làm việc Windows NT Workgroup tự động tạo các hồ sơ dựa trên cục bộ (local-based). Khi một người dùng thoát ra, thông tin hồ sơ được lưu trữ trong đăng ký (registry). Khi người dùng đó đăng ký làm việc lại, trạm làm việc sẽ nhận ra người dùng và nạp hồ sơ tương ứng. Các hồ sơ cục bộ phụ thuộc vào máy tính: các thiết lập dựa trên một máy tính là không áp dụng được khi người dùng đăng ký làm việc tại một trạm làm việc khác. Đối với trạm làm việc Windows NT domain và Advanced Servers, các hồ sơ có thể được lưu trữ trong file riêng biệt và như vậy được nạp tới bất kỳ máy tính nào thuộc domain mà người dùng đăng ký làm việc. Điều đó gọi là các hồ sơ dựa trên máy chủ (server-based). 2. Các kiểu hồ sơ Có một vài hồ sơ trong Windows NT Server 3. Các hồ sơ ngầm định-Default Profiles Cấu hình cho hiển thị (màu và màn hình nền) khi chưa có người dùng vào mạng Windows Windows NT. User Default là cấu hình ngầm định để sử dụng lần đầu vào máy Windows Windows NT khi chưa có hồ sơ Server-base. 4. Hồ sơ cục bộ-Local Profiles Được lưu cục bộ trong máy Windows NT cho người dùng cụ thể. Nó được tạo khi người dùng vào lần đầu. Nó được sử dụng khi người dùng không có hồ sơ Server-base. 5. Hồ sơ về Server (Server-based Profiles) Cũng giống như hồ sơ cục bộ nó là một file cụ thể được nạp khi người dùng vào Windows Windows NT được tạo cho người dùng đó. Môi trường bao gồm các thiết lập cụ thể như : nhóm, màu màn hình, liên kết mạng, chuột... Hồ sơ này có hai kiểu : Personal và Mandatory đuôi file tương ứng là USR, MAN 6. Cách tạo các hồ sơ cho Server Dùng User Profile Editor. 7. Cấu hình môi trường Tạo hồ sơ Server-base, sau đó tạo các thiết lập cho máy của mình. 8. Thiết lập các thông số trong User Profile Editor Dùng User Profile Editor. 9. Cất hồ sơ-Profile Bằng File/Save As trong User Profile Editor. 10. Gán các hồ sơ cho Server Tạo và cất các hồ sơ sau đó gán nó cho các người dùng tương ứng. Trong User Manager for Domain chọn Properties của người dùng. Chỉ tên hồ sơ server-based vào User Profile Path. 11. Logon Scripts Khi một người dùng đăng ký sử dụng vào Windows NT, một logon script có thể chạy tự động. Một logon script lập cấu hình môi trường làm việc cho mỗi người dùng hoặc một nhóm các người dùng. Hồ sơ người dùng có thể thực hiện tất cả những gì logon script có thể làm và hơn thế. Tuy nhiên, logon script vẫn có ích do: - Dành cho những người dùng sử dụng trạm làm việc DOS và OS/2. - Dễ dàng quản trị mạng cho một nhóm người dùng. - Nâng cấp mạng LAN Managers hiện thời đang sử dụng logon script. Một logon script là một tệp lô thông thường (phần mở rộng .BAT hoặc .CMD). Nếu bạn không chỉ ra phần mở rộng cho logon script, phần mở rộng chính xác sẽ được lựa chọn dựa trên trạm làm việc mà người sử dụng login vào (DOS-.BAT, OS/2 và NT-.CMD). Một file có thể thực hiện được có thể cũng được sử dụng nhưng cần nhớ sử dụng đúng phiên bản của chương trình nếu bạn login tại các máy tính có kiểu CPU khác nhau (tức là x86, Mips, Alpha). Tham số hệ thống %PROCESSOR% có thể được sử dụng để lựa chọn file thực hiện được thích hợp trong logon script. Các tham số môi trường khác có thể được sử dụng trong logon script là %HOMEDRIVE%, %HOMEPATH%, %HOMESHARE%, %OS%, %USERDOMAIN%, %USER NAME%. Khi chỉ ra tên logon script, bạn không cần chỉ ra một đường dẫn. Windows NT tự động kết hợp tên bạn chỉ ra với đường dẫn logon script trong tuỳ chọn Control Panel Servers của trạm làm việc. - Logon script cần được đặt trong hoặc là thư mục được chỉ ra trong tuỳ chọn Control Panel Servers, hoặc trong thư mục sau đây: \WINNT (đối với hệ thống Windows NT) \WINNT\SYSTEM32\REPL\IMPORT\SCRIPTS (đối với Windows NT Advanced Servers) - Logon script phải tồn tại trong máy tính mà người dùng login. Trong một domain nơi người dùng có thể login nhiều máy chủ, dịch vụ phân phát thư mục (directory replicator service) có thể được sử dụng để giữ các logon script đồng bộ giữa các máy chủ. Đó là nguyên nhân tại sao thư mục cho các logon script của Advanced Server nằm dưới thư mục phân phát mặc định (\WINNT\SYSTEM32\REPL). 12. Thư mục cội nguồn Home Directories Thư mục cội nguồn chứa nhiều hoặc tất cả các file và chương trình cho một người dùng nhất định. Mặc định, Windows NT truy nhập thư mục cội nguồn bất kỳ khi nào một lệnh File Open hoặc Save As được chọn. Đối với các trạm làm việc Windows NT, thư mục cội nguồn thông thường được lưu trữ cục bộ. Tuy nhiên, bạn có thể chỉ ra thư mục cội nguồn định vị trên một máy chủ. - Nếu lưu trữ một thư mục cội nguồn một cách cục bộ cho một người dùng có tên là JANEDOE, ta chỉ ra một đường dẫn tuyệt đối chẳng hạn như C:\PROFILES\JANEDOE. - Nếu lưu trữ một thư mục cội nguồn trên một máy chủ gọi là CORP cho người dùng có tên là JOHNDOE, ta chỉ ra một máy chủ đầy đủ có đường dẫn, chẳng hạn \\CORP\USERS\JOHNDOE. Mẹo Nếu bạn muốn thư mục cội nguồn tương đương với tên người dùng đối với account, bạn hãy chỉ ra %USERNAME% cho thư mục cuối cùng trong đường dẫn. Trong hầu hết các trường hợp, User Manager tự động tạo thư mục cội nguồn bạn chỉ ra trong hộp đối thoại User Environment Profile. Nếu nó không thể (thông thường bởi vì một tên file vi phạm quy tắc 8.3 được chỉ ra trong thư mục cội nguồn tồn tại trong một FAT partition), một thông báo sẽ xuất hiện để hướng dẫn bạn tạo bằng tay thư mục. Quản lý các chính sách bảo mật Sau đây là các chính sách bảo mật được quản lý bởi User Manager: - Chính sách về Account - Điều khiển cách thức account người dùng sử dụng mật khẩu - Chính sách về Quyền người dùng (User Rights) - Điều khiển các quyền cho các nhóm hay người dùng của các trạm làm việc. - Chính sách về thống kê (Audit policy) - Điều khiển các loại sự kiện sẽ được ghi nhận trong Security log-là dữ liệu ghi các sự kiện. Để thay đổi bất cứ chính sách về bảo mật nào, sử dụng menu Policy trong User Manager Administrative Tool. Quản lý các chính sách về Account Chính sách account điều khiển cách thức mà mật khẩu được sử dụng bởi account người dùng. Thay đổi chính sách này sẽ thay đổi quyền của người dùng trong những lần sử dụng sau. Những thành phần về account có thể được thay đổi: Item Meaning Range of Entries Thành phần Giải thích Phạm vi Maximum Khoảng thời gian mà một mật khẩu được Không vượt ngoài 1-999 Password Age sử dụng trước khi hệ thống yêu cầu người dùng thay đổi. Minimum Khoảng thời gian mà một mật khẩu cần Cho phép thay đổi Password Age được sử dụng trước khi người dùng có thể tức thì trong khoảng thay đổi nó. Không cho phép thay đổi tức thì tối đa 1-999 khi một mật khẩu đơn trị được dùng. Minimum Số ký tự ít nhất của mật khẩu được chấp nhận Cho phép mật khẩu có ký tự Password trắng số ký tự ít nhất Length trong khoảng 1-14 Password Số mật khẩu mới cần được sử dụng bởi Không vựot ngoài khoảng Uniquenes người sử dụng trước khi một mật khẩu cũ 1-8 mật khẩu được sử dụng lại. Khi khả năng đơn nhất hữu hiệu thì những thay đổi tức thì không được phép bởi thông số Minimum Password Age. Quản lý các chính sách về quyền người sử dụng (User Rights Policy) Chính sách về quyền người dùng xác định các ràng buộc các quyền định nghĩa-explicit rights. Các quyền định nghĩa là quyền bạn có thể gán hay lấy từ các account của nhóm hay người dùng. Các quyền ngầm định-Implicit rights là những quyền do hệ thống điều khiển và không thể quản trị được. Ví dụ của quyền ngầm định là một khả năng tạo các account. Nó là quyền ngầm định cho nhóm quản trị (Administrators group) và không thể gán trực tiếp cho một người sử dụng hay một nhóm khác được. Bởi vì các nhóm cục bộ ngầm định chứa các quyền người dùng nó cung cấp hầu hết các nhu cầu thiết yếu của người dùng trong mỗi nhóm, nó chung bạn không cần thiết phải thay đổi chính sách quyền người dùng (User Rights policy) được ngầm định trong nhóm. Chú ý: Những thay đổi không tương ứng đối với chính sách quyền người dùng (User Rights Policy) có thể gây ra hiệu ứng nghiêm trọng hay bất lợi trong hệ thống. Không thay đổi những quyền gán ngầm định trừ phi bạn hiểu rất rõ hiệu ứng của thay đổi đó. Khi quản lý quyền, bạn thực sự không nên gán các quyền cho nhóm hay người dùng thay vào đó bạn gán account nhóm và người dùng cho một quyền. Nếu cần thiết phải thay đổi chính sách quyền người dùng (User Rights Policy),thì lý tưởng là gán các quyền cần thiết cho các nhóm cục bộ, sau đó ấn định các người dùng vào nhóm đó. Việc sử dụng nhóm cục bộ cho phép bạn bao gồm cả hai account người dùng và nhóm tổng thể