Quản trị mạng WindowsNT (Phần 2 ):
Phần II - QUẢN LÝ NGƯỜI DÙNG
I. Account người dùng và nhóm trong Windows NT
Một account người dùng bao gồm thông tin về một người dùng như:
- Tên người dùng
- Tên đầy đủ
- Mật khẩu
- Quyền trên hệ thống
Để có thể nhập hệ thống Windows NT phải cần ít nhất một account. Một account
gán cho một người dùng nhất định một tập các quyền, định nghĩa cách thức họ
có thể sử dụng hệ thống.
Một nhóm là một tên, tương tự với tên người dùng hoặc account người dùng, có
thể được sử dụng để tham chiếu tới nhiều người dùng. Mục đích là để làm thuận
tiện việc cung cấp và kiểm soát truy cập tới nhiều người dùng cùng có một
nhiệm vụ tương tự. Bằng cách đặt các người dùng vào một nhóm, bạn có thể dễ
dàng cung cấp cho các người dùng trong nhóm đó cùng khả năng hoặc hạn chế
nhất định. Nếu bạn cần thay đổi quyền gán cho các người dùng trong nhóm, bạn
chỉ việc sửa đổi một account - group account.
II. Nhóm cục bộ (local groups)
Đối với Windows NT, chỉ một kiểu nhóm có thể được tạo và bảo trì - nhóm cục
bộ. Một nhóm cục bộ chỉ có thể được cung cấp quyền trong hệ thống của nó.
Tuy nhiên, nếu hệ thống lại là một phần của một domain thì nhóm cục bộ có thể
chứa account của người dùng từ domain hoặc các domain được tin cậy bất kỳ.
Không thể gán quyền truy nhập tài nguyên trên \\workstation_1 cho một nhóm
cục bộ định nghĩa trên \\server_2.
Trong một domain, khi một nhóm cục bộ định nghĩa trong PDC nó được chép tự
động sang các BDC khi dữ liệu các accounts được nhân bản. Nó được xác định
trong dữ liệu tất cả các domain controllers (bao gồm PDC, các BDCs) trong
domain đó. Nhóm cục bộ được gán quyền tới các tài nguyên của bất cứ domain
contronllers nào trong domain.
Trong một môi trường workgroup, một thành viên trong nhóm cục bộ chỉ có thể

thì nhóm tổng thể của domain có thể được sử dụng trong hệ thống này. Nhóm
tổng thể có thể được sử dụng tại tất cả các máy tính trong domain (các máy tính
Windows NT, các Advanced Server, và các LAN Manager 2.x server). Nhóm tổng
thể có thể trở thành thành viên (được cấp membership) trong các nhóm cục bộ
và có thể được cấp quyền trong một hệ thống cụ thể.
Nhóm tổng thể có thể sử dụng một cách tổng thể , không bị giới hạn ở nơi dữ
liệu chứa nó.
Một nhóm tổng thể có thể được tạo từ một thành viên trong nhóm cục bộ của
bất cứ máy tính nào trong domain hay domain được tin cậy.
Chỉ nên sử dụng nhóm tổng thể khi các người dùng thành viên tương đương, ít
tính quản trị trên tất cả các máyWindows Windows NT.
Domain Windows NT Server chứa sẵn các nhóm tổng thể như:
-
Domain Admins
: Nhóm các account bạn muốn là Administrators, và account
Administrator cũng nằm trong Domain Admin
-
Domain Users:
Các account trong domain
-
Domain Guest:
Các account cho "khách" (Guest)
Các nhóm tổng thể không có đặc quyền thừa kế. Nó nhận được uỷ quyền do là
thành viên trong nhóm cục bộ. Ví dụ trong một domain controllers nhóm Domain
Administrators không tự nó có quyền hạn. Nó nhận được quyền vì nó là thành
viên trong nhóm cục bộ Administrators trong domain controllers. Đó là tại sao
các thành viên trong Domain Administrators có khả năng quản trị domain. Tương
tự các nhóm Domain Users là thành viên trong nhóm cục bộ Users, và nhóm
Domain Guests là thành viên trong nhóm cục bộ Guests.
Chú ý:

của nhóm Users có thể thực hiện những công việc sau:
- Chạy các ứng dụng.
- Quản lý các file.
- Tạo và quản lý các nhóm.
- Giữ một hồ sơ cá nhân.
- Nối với một máy tính thông qua mạng.
2. Power Users
Nhóm Power User cung cấp cho người dùng khả năng thực hiện các chức năng
quản trị hệ thống mà không cho phép ngưoừi dùng hoàn toàn kiểm soát hệ
thống.
Bổ sung thêm vào tất cả các quyền được cung cấp cho nhóm Users, một người
dùng login vào Windows NT nhưng thành viên của nhóm Power User có thể thực
hiện các công việc sau đây:
- Chia sẻ các thư mục trên mạng.
- Cài đặt, chia sẻ và quản lý máy in.
- Tạo các account người dùng.
- Sửa đổi và xoá account người dùng mà họ đã tạo.
- Thiết lập đồng hồ bên trong máy tính.
3. Administrators
Nhóm Administrators cung cấp cho người dùng khả năng kiểm soát toàn bộ hệ
thống.
Bổ sung thêm vào tất cả các quyền cung cấp cho Power Users, một người dùng
login vào Windows NT như là thành viên của nhóm Administrators có thể thực
hiện các công việc sau đây:
- Sửa đổi, và xoá account người dùng và nhóm được tạo bởi những người khác.
- Gán account người dùng cho các nhóm mặc định.
- Ghi đè lên khoá trạm làm việc.
- Đặt khuôn dạng hoặc đặt partition cho một đĩa cứng.
- Gán quyền người dùng.
- Kiểm soát ghi nhật ký kiểm tra hệ thống.

- Từ menu
User
, chọn
New Local Group.

3. Bổ sung các thành viên mới
a. Từ hộp hội thoại
New Local Group
, chọn nút
Add
. Hộp hội thoại
Add
liệt kê
tất cả các account của người sử dụng trong máy tính.
b. Tuỳ ý chọn một tên domain trong hộp
List Names In
. Chọn domain xong,
account người sử dụng và nhóm tổng thể (global groups) của domain sẽ được
liệt kê.
c. Chọn một vài account người dùng và nhóm global từ hộp
Name
.
4. Chép một nhóm tổng thể (global groups)
a. Chọn một nhóm trong danh sách các nhóm.
b. Chọn menu
User
, chọn
Copy
.
Trong hộp hội thoại

quyền của Administrator.
Một người dùng đăng ký sử dụng dưới account Administrator (hoặc một account
thuộc về nhóm Administrator) có thể thực hiện các công việc sau:
- Sửa hoặc xoá các account người dùng hoặc nhóm
- Bổ sung hoặc loại bỏ người dùng khỏi nhóm
- Gán các quyền đặc biệt cho nhóm
- Sửa đổi phần mềm hệ thống điều hành
- Cài đặt hoặc nâng cấp phần mềm ứng dụng và điều khiển thiết bị
- Lên khuôn dạng đĩa cứng
- Thiết lập máy tính để quản trị mạng từ xa
2. Người sử dụng ban đầu
Trong quá trình cài đặt một account người dùng ban đầu được tạo cho cá nhân
cài đặt Windows NT. Account này cũng được cấp quyền như Administrator. Tên
của account này được thiết lập trong quá trình cài đặt.
3. Guest
Account Guest được sử dụng một cách mặc định cho bất kỳ ai sử dụng mà
không có account người dùng hoặc Administrator. Account Guest có rất bị hạn
chế trong việc truy nhập vào tài nguyên của máy tính.
Guest bị từ chối truy nhập vào bất cứ một thư mục hoặc file nào được sử dụng
cá nhân. Người quản trị có trách nhiệm thiết lập bảo mật thư mục và file để hạn
chế Guest không được truy nhập các thư mục và file riêng trên hệ thống. Nếu
các quyền của Guest được cho phép trên hệ thống, người quản trị cần thiết lập
một thư mục chung để lưu các file mà Guest có thể truy nhập được.
Trong một số trường hợp, máy chủ cần được giới hạn triệt để sao cho chỉ có một
số người dùng nhất định có thể truy nhập vào đó. Để hạn chế Guest ngay cả
trong việc sử dụng các tài nguyên hạn chế bạn có thể hoặc là không cho phép
(disable) account Guest hoặc gán một mật khẩu cho account Guest.

VII. Thiết lập các account người dùng
Tiện ích User Manager trong nhóm Adminitrative Tools được sử dụng để thiết lập

2. Các tuỳ chọn New User
Các tuỳ chọn
New User
có thể được lựa chọn là:
- Người sử dụng phải thay đổi mật khẩu tại lần đăng ký sử dụng tiếp theo
- Người dùng không thể đổi mật khẩu
- Account bị không cho phép
- Mật khẩu không bao giờ quá hạn
Các account không được phép không thể được sử dụng. Các account không cho
phép thông thường được sử dụng như một cái khung để copy khi tạo account
mới hoặc được sử dụng để tạo một account sẽ được kích hoạt về sau.
3. Đổi tên account người dùng
Có thể đổi tên bất kỳ account người dùng nào, bao gồm các account mặc định.
Tuy nhiên, chỉ có một account có thể đổi tên một lúc. Khi một account bị đổi tên,
nó vẫn duy trì tất cả các thuộc tính còn lại. Điều duy nhất thay đổi là tên của
account.
4. Lập bản sao account người dùng
Có thể copy một account người dùng đã được cấu hình tới một account mới
bằng cách lựa chọn account cần copy và chọn
User, Copy
.
Các mục được copy trực tiếp từ một account người dùng hiện tại tới một account
người dùng mới là mô tả và nhóm. Các hồ sơ được copy có điều kiện.
Windows NT tự động xoá các mục
Username, Full Name, Password,
Confirm Password, User Cannot Change Password, Account Disabled,

và
Password Never Expires
. Nó cũng chọn mục "

Windows NT, tất cả các thông tin account vẫn giữ nguyên không thay đổi. Để
không cho phép một hoặc nhiều account:
a. Chọn account cần không cho phép.Từ menu
User
, chọn
Properties
.
b. Chọn hộp
Account Disabled.

c. Nhấn
OK
.
VIII. Thiết lập Hồ sơ Môi trường Người dùng
1. Hồ sơ người dùng
Windows NT lưu trữ một bản lưu tất cả các thông tin cấu hình của desktop của
người dùng trong một hồ sơ người dùng cục bộ. Thông tin hồ sơ được lưu trữ
khi một người dùng thoát ra và được tự động khôi phục lại khi người dùng trở lại
làm việc vào trạm làm việc. Các thiết lập sau được lưu trữ trong một hồ sơ người
dùng:
- Program Manager (Desktop đối với Windows NT 4.0 )
- File Manager (Windows Explorer đối với Windows NT 4.0)
- Dòng lệnh MS-DOS
- Print Manager
- Các tuỳ chọn Control Panel
- Các tuỳ chọn Accessory
- Các ứng dụng Windows NT của tổ chức thứ ba.
- Các bookmark của On-line Help
Các hồ sơ đảm bảo rằng mỗi người dùng luôn luôn có sở thích riêng của mình
trên trạm làm việc khi họ đăng ký làm việc vào Windows NT hoặc Advanced

đuôi file tương ứng là USR,
MAN
6. Cách tạo các hồ sơ cho Server
Dùng
User Profile Editor.

7. Cấu hình môi trường
Tạo hồ sơ Server-base, sau đó tạo các thiết lập cho máy của mình.
8. Thiết lập các thông số trong User Profile Editor
Dùng
User Profile Editor
.
9. Cất hồ sơ-Profile
Bằng
File/Save As
trong
User Profile Editor
.
10. Gán các hồ sơ cho Server
Tạo và cất các hồ sơ sau đó gán nó cho các người dùng tương ứng. Trong
User
Manager for Domain
chọn
Properties
của người dùng. Chỉ tên hồ sơ server-
based vào
User Profile Path
.
11. Logon Scripts
Khi một người dùng đăng ký sử dụng vào Windows NT, một logon script có thể

bộ giữa các máy chủ. Đó là nguyên nhân tại sao thư mục cho các logon script
của Advanced Server nằm dưới thư mục phân phát mặc định
(\WINNT\SYSTEM32\REPL).
12. Thư mục cội nguồn Home Directories
Thư mục cội nguồn
chứa nhiều hoặc tất cả các file và chương trình cho một
người dùng nhất định. Mặc định, Windows NT truy nhập thư mục cội nguồn bất
kỳ khi nào một lệnh File Open hoặc Save As được chọn.
Đối với các trạm làm việc Windows NT, thư mục cội nguồn thông thường được
lưu trữ cục bộ. Tuy nhiên, bạn có thể chỉ ra thư mục cội nguồn định vị trên một
máy chủ.
- Nếu lưu trữ một thư mục cội nguồn một cách cục bộ cho một người dùng có
tên là JANEDOE, ta chỉ ra một đường dẫn tuyệt đối chẳng hạn như
C:\PROFILES\JANEDOE.
- Nếu lưu trữ một thư mục cội nguồn trên một máy chủ gọi là CORP cho người
dùng có tên là JOHNDOE, ta chỉ ra một máy chủ đầy đủ có đường dẫn, chẳng
hạn \\CORP\USERS\JOHNDOE.
Mẹo

Nếu bạn muốn thư mục cội nguồn tương đương với tên người
dùng đối với account, bạn hãy chỉ ra %
USERNAME
% cho thư
mục cuối cùng trong đường dẫn.
Trong hầu hết các trường hợp, User Manager tự động tạo thư
mục cội nguồn bạn chỉ ra trong hộp đối thoại User Environment
Profile. Nếu nó không thể (thông thường bởi vì một tên file vi
phạm quy tắc 8.3 được chỉ ra trong thư mục cội nguồn tồn tại
trong một FAT partition), một thông báo sẽ xuất hiện để hướng
dẫn bạn tạo bằng tay thư mục.

Password trắng số ký tự ít nhất
Length trong khoảng 1-14
Password Số mật khẩu mới cần được sử dụng bởi Không vựot ngoài khoảng
Uniquenes người sử dụng trước khi một mật khẩu cũ 1-8 mật khẩu
được sử dụng lại. Khi khả năng đơn nhất
hữu hiệu thì những thay đổi tức thì không
được phép bởi thông số Minimum Password Age.
Quản lý các chính sách về quyền người sử dụng (User Rights Policy)
Chính sách về quyền người dùng xác định các ràng buộc các quyền định nghĩa-
explicit rights
. Các quyền định nghĩa là quyền bạn có thể gán hay lấy từ các
account của nhóm hay người dùng. Các quyền ngầm định-
Implicit rights
là
những quyền do hệ thống điều khiển và không thể quản trị được. Ví dụ của
quyền ngầm định là một khả năng tạo các account. Nó là quyền ngầm định cho
nhóm quản trị (Administrators group) và không thể gán trực tiếp cho một người
sử dụng hay một nhóm khác được.
Bởi vì các nhóm cục bộ ngầm định chứa các quyền người dùng nó cung cấp hầu
hết các nhu cầu thiết yếu của người dùng trong mỗi nhóm, nó chung bạn không
cần thiết phải thay đổi chính sách quyền người dùng (User Rights policy) được
ngầm định trong nhóm.
Chú ý:Những thay đổi không tương ứng đối với chính sách quyền
người dùng (User Rights Policy) có thể gây ra hiệu ứng nghiêm
trọng hay bất lợi trong hệ thống. Không thay đổi những quyền
gán ngầm định trừ phi bạn hiểu rất rõ hiệu ứng của thay đổi đó.
Khi quản lý quyền, bạn thực sự không nên gán các quyền cho

thay đổi một chính sách;tạo hay thay đổi account người dùng hay nhóm; hoặc
gán quyền