Tài liệu Giáo trình Quản trị mạng Windows Server 2003 - Chương 3: Quản trị người dùng và nhóm người dùng: Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Chương 3
QUẢN TRỊ NGƯỜI DÙNG VÀ NHÓM NGƯỜI DÙNG
Trong chương này nghiên cứu các vấn đề sau:
Quản lý user
Quản lý Group
Quyền người dùng
Quyền truy cập
I. QUẢN LÝ USER
1. Tạo tài khoản người dùng
Trên mạng Windows có hai loại tài khoản người dùng là:
Người dùng cục bộ và người dùng vùng.
1.1. Người dùng cục bộ:
Là tài khoản người dùng được tạo ra trên máy tính cục bộ ví dụ: trên
các máy tính chạy hệ điều hành Windows XP hay Windows Server
2003 khi chưa nâng cấp thành Domain.
Đặc điểm của người dùng cục bộ:
Tài khoản người dùng cục bộ chỉ có giá trị trên chính máy tính mà tài
khoản đó được tạo ra
Cụ thể:
Tài khoản cục bộ được đăng nhập cục bộ vào máy tính mà trên đó
tài khoản được tạo ra
`
Biên soạn: Võ Khôi Thọ Trang 1
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Hoặc đăng nhập qua ...
22 trang |
Chia sẻ: hunglv | Lượt xem: 1422 | Lượt tải: 0
Bạn đang xem trước 20 trang mẫu tài liệu Giáo trình Quản trị mạng Windows Server 2003 - Chương 3: Quản trị người dùng và nhóm người dùng, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Chương 3
QUẢN TRỊ NGƯỜI DÙNG VÀ NHÓM NGƯỜI DÙNG
Trong chương này nghiên cứu các vấn đề sau:
Quản lý user
Quản lý Group
Quyền người dùng
Quyền truy cập
I. QUẢN LÝ USER
1. Tạo tài khoản người dùng
Trên mạng Windows có hai loại tài khoản người dùng là:
Người dùng cục bộ và người dùng vùng.
1.1. Người dùng cục bộ:
Là tài khoản người dùng được tạo ra trên máy tính cục bộ ví dụ: trên
các máy tính chạy hệ điều hành Windows XP hay Windows Server
2003 khi chưa nâng cấp thành Domain.
Đặc điểm của người dùng cục bộ:
Tài khoản người dùng cục bộ chỉ có giá trị trên chính máy tính mà tài
khoản đó được tạo ra
Cụ thể:
Tài khoản cục bộ được đăng nhập cục bộ vào máy tính mà trên đó
tài khoản được tạo ra
`
Biên soạn: Võ Khôi Thọ Trang 1
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Hoặc đăng nhập qua mạng vào máy tính mà trên đó tài khoản tồn tại
Cách tạo tài khoản người dùng cục bộ trên máy tính chạy hệ điều hành
Windows XP:
` `
Nhấp phải chuột vào My Computer chọn Manage làm xuất hiện màn
hình Computer management
Biên soạn: Võ Khôi Thọ Trang 2
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Trên màn hình Computer Management nhấp chọn thư mục Local
Users and Group trên màn hình bên trái và nhấp phải vào khoảng
trống trên màn hình bên phải và chọn New User
Trên màn hình New User nhập các thông tin sau:
User name: Tên tài khoản đăng nhập ví dụ : u1
Full name: Tên đầy đủ của tài khoản đăng nhập ví dụ: Nguyễn Văn A
Description: Phần diễn giải
Password: Nhập vào password của tài khoản đăng nhập
Confirm password: Nhắc lại password đã nhập
User must change password at next logon: nếu chọn mục này thì khi đăng
nhập lần đầu vào máy cục bộ người dùng phải đổi password.
User cannot change password: Nếu chọn mục này người dùng không
được thay đổi password.
Password never expires: Nếu chọn mục này Password không bao giờ bị
loại bỏ.
Account is disabled: Nếu mục này được chọn thì tài khoản sẽ bị cấm.
Sau khi đã nhập và lựa chọn đầy đủ các thông tin nhấp nút Create tài
khoản sẽ được tạo.
Biên soạn: Võ Khôi Thọ Trang 3
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Trên Server 2003 khi chưa nâng cấp thành Domain Controller, cách tạo
tài khoản cục bộ giống như trên máy Windows XP.
.
Đây là Computer
Management của
Server 2003 khi chưa
nâng cấp thành Domain
Controller
Biên soạn: Võ Khôi Thọ Trang 4
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
1.2. Người dùng vùng
Tài khoản người dùng vùng là tài khoản được tạo ra trên máy điều
khiển vùng.
Đăng nhập vùng bằng tài khoản người dùng vùng có thể truy cập tới
tất cả các máy tính trong vùng.
Được quyền truy cập tài nguyên trên tất cả các máy tính trong vùng
`
`
Domain
Domain Controller
2. Sửa ,xóa tài khoản người dùng
Để sửa tài khoản người dùng vùng ta làm như sau:
Biên soạn: Võ Khôi Thọ Trang 5
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Để sửa tên tài khoản: Trên màn hình Active Directory Users and Computers
nhấp phải chuột vào tên tài khoản chọn Rename
Để xóa tài khoản : Trên màn hình Active Directory Users and Computers nhấp
phải chuột vào tên tài khoản chọn Delete.
3. Cấu hình thuộc tính tài khoản người dùng
Để cấu hình các thuộc tính của tài khoản người dùng trên màn hình Active
Directory ta nhấp phải chuột vào tài khoản chọn Properties
Biên soạn: Võ Khôi Thọ Trang 6
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Trên màn hình thuộc tính của tài khoản người dùng nhấp chọn thẻ Account
Biên soạn: Võ Khôi Thọ Trang 7
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
User logon name: Là tài khoản đăng nhập
Mục Logon Hours:
Dùng để cấu hình thời gian làm việc của Account, nhấp vào nút Logon
Hours màn hình xuất hiện như sau:
Màu xanh là Logon Permission: được quyền truy cập
Màu trắng là Logon Denied: Không được quyền truy cập
Mặc định tài khoản người dùng vùng sẽ được quyền truy cập vào mạng bất cứ
thời gian nào tức là 24/7.
Để giới hạn thời gian làm việc ta cấp quyền như sau:
Giả sử tài khoản u1 làm việc các ngày thứ 2, thứ 4, thứ 6 và thời gian từ 2 giờ
chiều đến 10 giờ đêm.
Biên soạn: Võ Khôi Thọ Trang 8
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Ngoài thời gian đã cho phép nếu người dùng vẫn truy cập mạng thì đương
nhiên tài khoản sẽ không hiệu lực.
Ở Account is Locked Out: mục này sẽ được chọn khi Account bị khóa.
Ở mục Account Option:
User must change password at logon: mục này nếu được
chọn người dùng sẽ phải đổi password tại lần đăng nhập đầu
tiên.
User cannot change password: mục này được chọn cho phép
người dùng không đổi được password.
Password Never Expires: password không bị loại.
Ở mục Account Expires: xác định thời gian password bị loại bỏ
Biên soạn: Võ Khôi Thọ Trang 9
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Sau khi lựa có các lựa chọn phù hợp nhấp OK để áp dụng
Mục Logon To:
Dùng để quy định vị trí làm việc của người dùng tức là khi người quản trị
cấp quyền cho người dùng chỉ làm việc ở vị trí cố định này thì khi sang nơi
khác cũng không thể đăng nhập được mặc dù có username và password.
Cách cấu hình này như sau:
Nhấp nút Logon To màn hình xuất hiện như sau:
Trên màn hình này mặc định người dùng được quyền truy cập mạng từ bất cứ
máy tính nào trên mạng.
Nếu muốn quy định vị trí đăng nhập thì nhấp chọn mục The following computer
rồi nhập tên máy tính vào khung Computer name rồi nhấp Add.
Biên soạn: Võ Khôi Thọ Trang 10
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Nhấp OK để áp dụng và đóng hộp thoại
Nếu đăng nhập không đúng vị trí sẽ có thông báo sau:
4. Cấu hình chính sách tài khoản
Để đảm bảo an toàn cho tài khoản người dùng ta phải cấu hình chính sách tài
khoản thông qua công cụ Domain Security Policy.
Chính sách tài khoản gồm có:
Password Policy
Account Lockout Policy
Biên soạn: Võ Khôi Thọ Trang 11
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Để cấu hình chính sách Account mở màn hình Domain Security Policty: Start/
Administrative Tool/ Domain Security Policy
Biên soạn: Võ Khôi Thọ Trang 12
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Màn hình Domain Security Policy như sau:
4.1. Password Policy
Trên màn hình Default Domain Security setting nhấp :
Account Polies\PasswordPolicy. Trên màn hình bên phải có các Option sau:
Biên soạn: Võ Khôi Thọ Trang 13
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Ý nghĩa các mục cấu hình của Password Policy:
+ Enforce password history:phải dùng bao nhiêu password mới trước khi
dùng lại password cũ mặc định là 24
+ Maximum password age: thời gian password có hiệu lực tối đa là 42 ngày
+ Minimum password age: thời gian password có hiệu lưc tối thiểu là 1 ngày
+ Minimum password Length: Chiều dài password tối thiểu
Chỉnh Enforce password history:
Nhấp đúp vào Enforce password history, đánh dấu check vào Define this
policy setting, thay đổi giá trị tại mục Keep password history for rồi nhấp OK
để áp dụng
Làm tương tự để cấu hình các Option còn lại
Biên soạn: Võ Khôi Thọ Trang 14
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
II. QUẢN LÝ GROUP
1. Tạo tài khoản nhóm
Windows quản lý người dùng thông qua nhóm, một người dùng có thể
thuộc nhiều nhóm. Việc quản lý người dùng thông qua nhóm giúp cho
người quản trị dễ dàng phân chia danh mục để quản lý, việc thêm bớt
người dùng dễ dàng.
Cách tạo nhóm như sau:
Trên màn hình Active Directory Users and Computers: nhấp phải chuột vào OU
user chọn Group
Biên soạn: Võ Khôi Thọ Trang 15
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Nhấp phải chuột vào thư mục Users bên trái /New / Group
Diễn giải:
Tại mục Group name: Nhập vào tên nhóm
Tại mục Group scope: chọn Domain Local Group
+ Global Group: Là nhóm toàn cục
+ Domain local Group: Là nhóm cục bộ miền
Tại mục Group Type: Chọn Security
Sau đó nhấp OK để áp dụng và đóng hộp thoại này.
2. Thêm thành viên cho nhóm:
Trên màn hình Active Directory Users and Computers nhấp phải vào tên nhóm và
chọn Properties.
Biên soạn: Võ Khôi Thọ Trang 16
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Nhấp thẻ Member
Biên soạn: Võ Khôi Thọ Trang 17
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Nhấp nút Add:
Chọn các tài khoản muốn là thành viên của nhóm rồi nhấp OK 2 lần
Biên soạn: Võ Khôi Thọ Trang 18
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Nhấp OK để áp dụng và thoát khỏi màn hình thuộc tính nhóm
Lưu ý:
Trên màn hình thuộc tính nhóm muốn Add thành viên cho nhóm thì nhấp
thẻ Members, muốn nhóm là thành viên của nhóm khác thì nhấp thẻ
Members of.
Nhóm Domain Local Group: chứa người dùng vùng và nhóm Global Group
Nhóm Global Group: chỉ chứa người dùng vùng
Biên soạn: Võ Khôi Thọ Trang 19
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
G1 là nhóm Global nhấp nút Add để thêm thành viên trên màn hình Select
user không có tài khoản nhóm.
Khi cấp quyền truy cập ta cấp quyền thông qua nhóm Domain Local Group
Thành viên của nhóm Global muốn được cấp quyền thì nhóm Global phải
là thành viên của một nhóm Domain Local Group.
Biên soạn: Võ Khôi Thọ Trang 20
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
3. Các nhóm cài sẵn
Các nhóm cài sẵn là các nhóm được tạo ra trong quá trình cài đặt
Windows Server 2003 còn được gọi là nhóm Builtin và là kiểu nhóm
Security Group – Domain Local.
Các nhóm cài sẵn là các nhóm quản trị gồm có:
+ Administrators
+ Account Operators
+ Backup Operators
+ Server Operators
+ Print Operators
Ngoài ra còn có một số nhóm cài sẵn dùng quản trị Domain tức nó được tạo
ra trong quá trình nâng cấp Server lên Domain Controller như:
Biên soạn: Võ Khôi Thọ Trang 21
Giáo trình Quản trị mạng Windows Server 2003 Chương 3: Quản trị người dùng và nhóm người dùng
Trong đó có nhóm có sẵn thành viên một cách mặc định như nhóm
Domain Users:
Nhóm Domain Users: mặc định người dùng vùng là thành viên của nhóm này.
Biên soạn: Võ Khôi Thọ Trang 22
Các file đính kèm theo tài liệu này:
- Giáo trình Quản trị mạng Windows Server 2003 (Chương 3).pdf