Download miễn phí Ebook Quản trị mạng
Tài khoản người dùngmiền (domain user account) làtài khoản người dùngđược
định nghĩa trênActiveDirectoryvàđược phép đăng nhập (logon) vàomạng trênbất kỳ
máytrạm nàothuộc vùng. Đồng thời với tài khoản nàyngười dùngcóthể truy cập đến
các tài nguyên trênmạng. Bạn tạo tài khoản người dùng miền với côngcụ Active
DirectoryUsers andComputer (DSA.MSC). Khácvới tài khoản người dùngcục bộ, tài
khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong
tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS.
Để tải bản Đầy Đủ của tài liệu, xin Trả lời bài viết này, Mods sẽ gửi Link download cho bạn sớm nhất qua hòm tin nhắn.
Ai cần download tài liệu gì mà không tìm thấy ở đây, thì đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
Tóm tắt nội dung tài liệu:
thành viên mặc định.5.3.2.10. Incoming Forest Trust Builders:
Thành viên nhóm này có thể tạo ra các quan hệ tin cậy hướng đến, một chiều vào
các rừng. Nhóm này không có thành viên mặc định.
5.3.2.11. Network Configuration Operators
Thành viên nhóm này có quyền sửa đổi các thông số TCP/IP trên các máy Domain
Controller trong miền.
5.3.2.12. Pre-Windows 2000 Compatible Access:
Nhóm này có quyền truy cập đến tất cả các tài khoản người dùng và tài khoản
nhóm trong miền, nhằm hỗ trợ cho các hệ thống WinNT cũ.
5.3.2.13. Remote Desktop User:
Thành viên nhóm này có thể đăng nhập từ xa vào các Domain Controller trong
miền, nhóm này không có thành viên mặc định.
5.3.2.14. Performace Log Users:
Thành viên nhóm này có quyền truy cập từ xa để ghi nhận lại những giá trị về hiệu
năng của các máy Domain Controller, nhóm này cũng không cóthành viên mặc định.
5.3.2.15. Performace Monitor Users:
Thành viên nhóm này có khả năng giám sát từ xa các máy Domain Controller.
nhóm này.
Ngoài ra còn một số nhóm khác như DHCP Users, DHCP Administrators, DNS
Administrators… các nhóm này phục vụ chủ yếu cho các dịch vụ, chúng ta sẽ tìm hiểu cụ
thể trong từng dịch vụ ở giáo trình “Dịch Vụ Mạng”. Chú ý theo mặc định hai nhóm
Domain Computers và Domain Controllers được dành riêng cho tài khoản máy tính,
nhưng bạn vẫn có thể đưa tài khoản người dùng vào hai nhóm này.
5.3. Tài khoản nhóm Global tạo sẵn.
5.3.1. Domain Admins:
Thành viên của nhóm này có thể toàn quyền quản trị các máy tính trong miền vì
mặc định khi gia nhập vào miền các member server và các máy trạm (Win2K Pro,
WinXP) đã đưa nhóm Domain Admins là thành viên của nhóm cục bộ Administrators
trên các máy này.
5.3.2. Domain Users:
Theo mặc định mọi tài khoản người dùng trên miền đều là thành viên của nhóm
này. Mặc định nhóm này là thành viên của nhóm cục bộ Users trên các máy server thành
viên và máy trạm.
110
5.3.3. Group Policy Creator Owners:
Thành viên nhóm này có quyền sửa đổi chính sách nhóm của miền, theo mặc định
tài khoản administrator miền là thành viên của nhóm này.
5.3.4. Enterprise Admins:
Đây là một nhóm universal, thành viên của nhóm này có toàn quyền trên tất cả các
miền trong rừng đang xét. Nhóm này chỉ xuất hiện trong miền gốc của rừng thôi. Mặc
định nhóm này là thành viên của nhóm administrators trên các Domain Controller trong
rừng.
5.3.5. Schema Admins:
Nhóm universal này cũng chỉ xuất hiện trong miền gốc của rừng, thành viên của
nhóm này có thể chỉnh sửa cấu trúc tổ chức (schema) của Active Directory.
5.3.6. Các nhóm tạo sẵn đặc biệt.
Ngoài các nhóm tạo sẵn đã trình bày ở trên, hệ thống Windows Server 2003 còn có
một số nhóm tạo sẵn đặt biệt, chúng không xuất hiện trên cửa sổ của công cụ Active
Directory User and Computer, mà chúng chỉ xuất hiện trên các ACL của các tài nguyên
và đối tượng. Ý nghĩa của nhóm đặc biệt này là:
- Interactive: thay mặt cho những người dùng đang sử dụng máy tại chỗ.
- Network: thay mặt cho tất cả những người dùng đang nối kết mạng đến một máy
tính khác.
- Everyone: thay mặt cho tất cả mọi người dùng.
- System: thay mặt cho hệ điều hành.
- Creator owner: thay mặt cho những người tạo ra, những người sở hữa một tài
nguyên nào đó như: thư mục, tập tin, tác vụ in ấn (print job)…
- Authenticated users: thay mặt cho những người dùng đã được hệ thống xác thực,
nhóm này được dùng như một giải pháp thay thế an toàn hơn cho nhóm everyone.
- Anonymous logon: thay mặt cho một người dùng đã đăng nhập vào hệ thống một
cách nặc danh, chẳng hạn một người sử dụng dịch vụ FTP.
- Service: thay mặt cho một tài khoản mà đã đăng nhập với tư cách như một dịch
vụ.
- Dialup: thay mặt cho những người đang truy cập hệ thống thông qua Dial-up
Networking.
5.4. QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM CỤC BỘ.
5.4.1. Công cụ quản lý tài khoản người dùng cục bộ.
Muốn tổ chức và quản lý người dùng cục bộ, ta dùng công cụ Local Users and
Groups. Với công cụ này bạn có thể tạo, xóa, sửa các tài khoản người dùng, cũng như
thay đổi mật mã. Có hai cách truy cập đến công cụ Local Users and Groups:
111
- Dùng như một MMC (Microsoft Management Console) snap-in.
- Dùng thông qua công cụ Computer Management.
Các bước dùng để chèn Local Users and Groups snap-in vào trong MMC:
Chọn Start Run, nhập vào hộp thoại MMC và ấn phím Enter để mở cửa sổ MMC.
Chọn Console Add/Remove Snap-in để mở hộp thoại Add/Remove Snap-in.
Nhấp chuột vào nút Add để mở hộp thoại Add Standalone Snap-in.
Chọn Local Users and Groups và nhấp chuột vào nút Add.
Hộp thoại Choose Target Machine xuất hiện, ta chọn Local Computer và nhấp chuột vào
nút Finish để trở lại hộp thoại Add Standalone Snap-in.
Nhấp chuột vào nút Close để trở lại hộp thoại Add/Remove Snap-in.
Nhấp chuột vào nút OK, ta sẽ nhìn thấy Local Users and Groups snap-in đã chèn vào
MMC như hình sau.
Lưu Console bằng cách chọn Console Save, sau đó ta nhập đường dẫn và tên file cần lưu
trữ. Để tiện lợi cho việc quản trị sau này ta có thể lưu console ngay trên Desktop.
112
Nếu máy tính của bạn không có cấu hình MMC thì cách nhanh nhất để truy cập công cụ
Local Users and Groups thông qua công cụ Computer Management. Nhầp phải chuột vào
My Computer và chọn Manage từ pop-up menu và mở cửa sổ Computer Management.
Trong mục System Tools, ta sẽ nhìn thấy mục Local Users and Groups
Cách khác để truy cập đến công cụ Local Users and Groups là vào Start Programs
Administrative Tools Computer Management.
5.4.2. Các thao tác cơ bản trên tài khoản người dùng cục bộ.
5.4.2.1. Tạo tài khoản mới.
Trong công cụ Local Users and Groups, ta nhấp phải chuột vào Users và chọn New
User, hộp thoại New User hiển thị bạn nhập các thông tin cần thiết vào, nhưng quan trọng
nhất và bắt buộc phải có là mục Username.
113
5.4.2.2. Xóa tài khoản.
Bạn nên xóa tài khoản người dùng, nếu bạn chắc rằng tài khoản này không bao giờ
cần dùng lại nữa. Muốn xóa tài khoản người dùng bạn mở công cụ Local Users and
Groups, chọn tài khoản người dùng cần xóa, nhấp phải chuột và chọn Delete hay vào
thực đơn Action Delete.
Chú ý: khi chọn Delete thì hệ thống xuất hiện hộp thoại hỏi bạn muốn xóa thật sự không
vì tránh trường hợp bạn xóa nhầm. Bởi vì khi đã xóa thì tài khoản người dùng này không
thể phục hồi được.
5.4.2.3. Khóa tài khoản.
Khi một tài khoản không sử dụng trong thời gian dài bạn nên khóa lại vì lý do bảo
mật và an toàn hệ thống. Nếu bạn xóa tài khoản này đi thì không thể phục hồi lại được do
đó ta chỉ tạm khóa. Trong công cụ Local Users and Groups, nhấp đôi chuột vào người
dùng cần khóa, hộp thoại Properties của tài khoản xuất hiện.
114
Trong Tab General, đánh dấu vào mục Account is disabled.
5.4.2.4. Đổi tên tài khoản.
Bạn có thể đổi tên bất kỳ một tài khoản người dùng nào, đồng thời bạn cũng có thể
điều chỉnh các thông tin của tài khoản người dùng thông qua chức năng này. Chức năng
này có ưu điểm là khi bạn thay đổi tên người dùng nhưng SID của tài khoản vẫn không
thay đổi. Muốn thay đổi tên tài khoản người dùng bạn mở công cụ Local Users and
Groups, chọn tài khoản người dùng cần thay đổi tên, nhấp phải chuột và chọn Rename.
115
5.4.2.5. Thay đổi mật khẩu.
Muốn đổi...