QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM

Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép login, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ.
Nội dung trích xuất từ tài liệu:
QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM I. Định nghĩa tài khoản người dùng và tài khoản nhóm. II. Chứng thực và kiểm soát truy cập. III. Các tài khoản tạo sẵn. IV. Quản lý tài khoản người dùng và nhóm cục bộ. V. Quản lý tài khoản người dùng và nhóm trên Active Directory. 1I. ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG VÀTÀI KHOẢN NHÓM.1. Tài khoản người dùng Tài khoản người dùng Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người dùng trên mạng, bằng một chuỗi Usernam duy nhất. Chuỗi này giúp hệ thống mạng phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép. 2 Tài khoản người dùng cục bộ Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép login, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ. 3 Tạo tài khoản người dùng cục bộ với công cụ Local Users and Group trong Computer Management (COMPMGMT.MSC). Các tài khoản cục bộ tạo ra trên máy stand- alone server hoặc các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM(Security Accounts Manager), đặt trong thư mục Windowssystem32config. 45Tài khoản người dùng vùng Tài khoản người dùng vùng (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (login) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. Tạo tài khoản người dùng miền với công cụ Active Directory Users and Computer (DSA.MSC). 6 Tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục WindowsNTDS. 78Yêu cầu về tài khoản người dùng Mỗi username phải từ 1 đến 104 ký tự (1-20) Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau. Username không chứa các ký tự sau: “ / [ ] : ; |=,+*? Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới. 92. Tài khoản nhómTài khoản nhóm Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. 10 Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được chia làm hai loại: Nhóm bảo mật (security group) Nhóm phân phối (distribution group). 111. Nhóm bảo mật Nhóm bảo mật là loại nhóm được dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập (permission). Có ba loại nhóm bảo mật chính là: local, global và universal. 122. Nhóm phân phối Nhóm phân phối là một loại nhóm phi bảo mật, không có SID và không xuất hiện trong các ACL (Access Control List). Loại nhóm này không được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm và dịch vụ. Chúng được dùng để phân phối thư (e- mail) hoặc các tin nhắn (message). 13II. CHỨNG THỰC VÀ KIỂM SOÁT TRUYCẬP1. Các giao thức chứng thực. Chứng thực trong Windows Server 2003 là quy trình gồm hai giai đoạn: đăng nhập tương tác và chứng thực mạng. Khi người dùng đăng nhập vùng bằng tên và mật mã, quy trình đăng nhập tương tác sẽ phê chuẩn yêu cầu truy cập của người dùng. Với tài khoản cục bộ, thông tin đăng nhập được chứng thực cục bộ và người dùng được cấp quyền truy cập máy tính cục bộ. 14 Với tài khoản miền, thông tin đăng nhập được chứng thực trên Active Directory và người dùng có quyền truy cập các tài nguyên trên mạng. Như vậy với tài khoản người dùng miền ta có thể chứng thực trên bất kỳ máy tính nào trong miền 15W ...