1
TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN
KHOA ĐiỆN TỬ - ViỄN THÔNG
Chương 03
QUẢN LÝ TÀI KHOẢN NGƯỜI
DÙNG VÀ NHÓM
2/47
Nội dung bài học
Nội dung bài học

Tài khoản người dùng và tài khoản nhóm

Chứng thực và kiểm soát truy cập

Các tài khoản tạo sẵn

Quản lý tài khoản người dùng và nhóm cục bộ

Quản lý tài khoản người dùng vá nhóm trên
Active Directory
3/47
ðịnh nghĩa tài khoản người dùng và tài khoản
nhóm
ðịnh nghĩa tài khoản người dùng và tài khoản
nhóm

Tài khoản người dùng

Tài khoản người dùng cục bộ:
 ðược ñịnh nghĩa trên máy cục bộ (máy stand-alone, member sever)
 ðược lưu trong tập tin SAM (Secutity Accounts Manager)

 Nhóm bảo mật ñược dùng ñể cấp phát các quyền hệ thống
(rights) và quyền truy cập (permission).
 Mỗi nhóm bảo mật có một SID riêng.
 Có 4 loại nhóm bảo mật: local (nhóm cục bộ), domain local (nhóm
cục bộ miền), global (nhóm toàn cục hay nhóm toàn mạng) và
universal (nhóm phổ quát).
 Nhóm phân phối (distribution group)
 Nhóm phân phối là nhóm phi bảo mật, không có SID và không
xuất hiện trong ACL (Access Control List).
7/47
ðịnh nghĩa tài khoản người dùng và tài khoản
nhóm
ðịnh nghĩa tài khoản người dùng và tài khoản
nhóm
 Nhóm bảo mật (Security group)
 Local (nhóm cục bộ): Chỉ có ý nghĩa và phạm vi hoạt ñộng trên
máy cục bộ
 Domain local (nhóm cục bộ miền):

Là nhóm cục bộ nhưng nằm trên các Domain Controller

Một user trên máy DC này sẽ có mặt trên các DC ñồng hành với nó
 Global (nhóm toàn cục hay nhóm toàn mạng):

Nằm trong AD ñược tạo ra trên các DC

ðược cấp quyền hệ thống và quyền truy cập vượt qua ranh giới của
miền
 Universal (nhóm phổ quát): ðược cấp quyền cho các ñối tượng
trên khắp miền trong rừng

 NT LAN Manager (NTLM): là giao thức chứng thực chính của
Windows NT.
 Secure Socket Layer/Transport Layer Security (SSL/TLS): là cơ
chế chứng thực chính ñược dùng khi truy cập vào máy phục vụ Web
an toàn.
10/47
Chứng thực và kiểm soát truy cập (t.t)
Chứng thực và kiểm soát truy cập (t.t)

Số nhận diện bảo mật SID (Security Identifier):
mỗi tài
khoản ñược ñặt trưng một con số nhận dạng tài khoản SID

SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID”
 D1, D2, D3 : xác ñịnh domain
 RID : xác ñịnh người dùng trong vùng

Mục ñích của việc sử dụng SID:
 Dễ dàng thay ñổi tên người dùng mà các quyền hệ thống không
thay ñổi
 Khi xóa tài khoản thì SID sẽ không còn giá trị nữa
11/47
Chứng thực và kiểm soát truy cập (t.t)
Chứng thực và kiểm soát truy cập (t.t)

Kiểm soát truy cập của ñối tượng
 Người dùng, nhóm, máy tính, các tài nguyên mạng ñều ñược ñịnh
nghĩa dưới dạng các ñối tượng và ñược kiểm soát truy cập dựa vào bộ
mô tả ñối tượng ACE (Access Control Entry)
 Chức năng của ACE:

Tài khoản nhóm Domain Local tạo sẵn
 Administrators: Toàn quyền trên hệ thống
 Account Operators: Thêm xóa các tài khoản người dùng local và tài
khoản nhóm
 Domain Controllers: ñăng nhập vào các DC nhưng không có quyền
quản trị các chính sách bảo mật
 Backup Operators: Lưu trữ phục hồi tập tin hệ thống
 Guests
 Print Operator: quản lý các ñối tượng máy in
 Server Operators: cài ñặt quản lý máy in, quản lý thu mục, ñịnh
dạng ñĩa, thay ñổi giờ hệ thống
14/47
Các tài khoản tạo sẵn (t.t)
Các tài khoản tạo sẵn (t.t)
 Tài khoản nhóm Domain Local tạo sẵn
 Users
 Replicator: sao chép danh bạ trong AD
 Incoming Forest Trust Builders: tạo các quan hệ tin cập ñến các
rừng
 Network Configuration Operators: chỉnh sửa các thông số TCP/IP
trên các máy DC
 Pre-Windows 2000 Compatible Access: truy cập các tài khoản
người dùng và nhóm hỗ trợ WinNT cũ
 Remote Desktop User: ñăng nhập từ xa vào DC
 Performace Log Users: ghi nhập các giá trị hiệu năng của DC
 Performace Monitor Users : có khả năng giám sát từ xa các DC
15/47
Các tài khoản tạo sẵn (t.t)
Các tài khoản tạo sẵn (t.t)


5
17/47
Quản lý tài khoản người dùng và nhóm cục
bộ
Quản lý tài khoản người dùng và nhóm cục
bộ

Công cụ quản lý tài khoản người dùng cục bộ

Dùng công cụ Local Users and Groups

Có 2 phương thức truy cập ñến công cụ Local
Users and Groups

Dùng như một MMC (Microsoft Management Console)
snap-in.

Dùng thông qua công cụ Computer Management

Các bước chèn Local Local Users and Groups
snap-in vào trong MMC. (Xem Demo)
18/47
Quản lý tài khoản người dùng và nhóm cục
bộ (t.t)
Quản lý tài khoản người dùng và nhóm cục
bộ (t.t)

Quản lý tài khoản người dùng cục bộ

Tạo tài khoản mới

Quản lý tài khoản người dùng

Tạo tài khoản mới

Xoá tài khoản

Khoá tài khoản

ðổi tên tài khoản

Thay ñổi mật khẩu (Xem Demo)
20/47
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Quản lý tài khoản người dùng và nhóm trên
Active Directory

Quản lý tài khoản nhóm trên Active
Directory

Tạo tài khoản nhóm

Xoá tài khoản nhóm

Thêm người dùng vào nhóm

Gia nhập nhóm vào nhóm (Xem Demo)
6
21/47
Quản lý tài khoản người dùng và nhóm trên

Giới hạn giờ ñăng nhập
của người dùng
Giới hạn PC mà người dùng
đăng nhập từ mạng
Tự ñộng logoff khi hết giờ ñăng nhập Group Policy chọn Computerconfiguration\Windows
settings\Security Settings\Local Policies\Security Option chọn Network security:Force logoff
when logon hour expire
23/47
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Quản lý tài khoản người dùng và nhóm trên
Active Directory

Các tùy chọn liên quan ñến tài khoản người dùng
Tùy chọn này ñược dùng khi người dùng ñăng nhập vào mạng
thông qua một thẻ thông minh (smart card), lúc ñó người
dùng không nhập username và password mà chỉ cần nhập vào
một số PIN.
Smart card is required for
interactive login
Nếu ñược chọn thì tài khoản này tạm thời bị khóa, không sử
dụng ñược.
Account is disabled
Chỉ áp dụng tùy chọn này ñối với người dùng ñăng nhập từ
các máy Apple.
Store password using
reversible encryption
Nếu ñược chọn thì mật khẩu của tài khoản này không bao
giờ hết hạn.
Password never expires

tạm ñể ñảm bảo rằng tài khoản ñó sẽ không ñược ñại diện bởi
một tài khoản khác.
Account is sensitive and
cannot be delegated
7
25/47
Quản lý tài khoản người dùng và nhóm trên
Active Directory
Quản lý tài khoản người dùng và nhóm trên
Active Directory

Tab Profile
@echo off
REM login.bat version1.1
REM Exit if user has logged on to the server
IF %computername%.== sever1. goto end
REM delete pre-exit drive mappings
Net use H: /delete >nul
Net use J: /delete >nul
REM Map H to Users share
Net use H: \\server1\Users /yes >nul
REM Map H to Apps share
Net use J: \\server1\Apps /yes >nul
REM Synchronize time with sever
Net Time \\sever1 /set /yes
\Window\SYSVOL\sysvol\do
mainname\scripts
26/47
Quản lý tài khoản người dùng và tài
khoản

nhóm toàn cục.

Cú pháp:
 net group [groupname [/comment:"text"]] [/domain]
 net group groupname {/add [/comment:"text"] | /delete}
[/domain]
 net group groupname username[ ] {/add | /delete} [/domain]
28/47
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)

Quản lý tài khoản người dùng và tài khoản nhóm
bằng dòng lệnh (t.t)

Lệnh net localgroup: thêm, hiển thị hoặc hiệu chỉnh nhóm
cục bộ.

Cú pháp:
 net localgroup [groupname [/comment:"text"]] [/domain]
 net localgroup groupname {/add [/comment:"text"] | /delete}
[/domain]
 net localgroup groupname name [ ] {/add | /delete} [/domain]
8
29/47
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)
Quản lý tài khoản người dùng và tài khoản nhóm
(t.t)