Giáo trình Windows Server 2003 - Chương 4: Hiện thực và quản lý các tài khoản Group và Computer

pdf 50 trang huongle 2930
Download
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Windows Server 2003 - Chương 4: Hiện thực và quản lý các tài khoản Group và Computer", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_windows_server_2003_chuong_4_hien_thuc_va_quan_ly.pdf

Nội dung text: Giáo trình Windows Server 2003 - Chương 4: Hiện thực và quản lý các tài khoản Group và Computer

  1. 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 4: Hiện thực và quản lý các tài khoản Group và Computer
  2. Mục tiêu • Hiểu mục đích của việc dùng các tài khoản group là để đơn giản hóa việc quản trị • Tạo các đối tượng group dùng công cụ giao diện đồ họa cũng như dòng lệnh • Quản lý các group security và các group distribution • Ý nghĩa các group xây dựng sẵn được tạo ra khi cài đặt AD • Quản lý và tạo các tài khoản computer 70-290: MCSE Guide to Managing a Microsoft 2 Windows Server 2003 Environment
  3. Giới thiệu các tài khoản Group • Một group là 1 đối tượng container • Dùng để tổ chức tập hợp các user, computer, contacts, và các group khác • Dùng để đơn giản hóa việc quản trị • Giống như OU, ngoại trừ: • Các OU không có nguyên lý bảo mật, các group có • Các OU chỉ chứa các đối tượng từ domain cha của chúng, các group có thể chứa cả các đối tượng từ trong forest 70-290: MCSE Guide to Managing a Microsoft 3 Windows Server 2003 Environment
  4. Các kiểu Group • Các group security • Định nghĩa bởi Security Identifier (SID) • Có thể gán quyền cho các tài nguyên • Trong các DACL • Có thể gán các quyền để thực hiện những nhiệm vụ khác nhau • Có thể cũng dùng như các thực thể email • Các group distribution • Chủ yếu dùng như các thực thể email • Không có SID liên kết 70-290: MCSE Guide to Managing a Microsoft 4 Windows Server 2003 Environment
  5. Các phạm vi Group • Phạm vi ý nói tới ranh giới lôgíc của những quyền đ/v những tài nguyên đặc biệt • Cả các group security và group distribution đều có phạm vi • 3 phạm vi • Các đối tượng có thể trong mỗi phạm vi phụ thuộc trên mức chức năng đã cấu hình của 1 domain • Các kiểu phạm vi là: global, domain local và universal 70-290: MCSE Guide to Managing a Microsoft 5 Windows Server 2003 Environment
  6. Các phạm vi Group (tt) • 3 mức chức năng domain: • Windows 2000 mixed: cấu hình mặc định hỗ trợ kết hợp cả các DC của Windows NT Server 4.0, 2000 Server và Server 2003 • Windows 2000 native: hỗ trợ kết hợp cả các DC của Windows 2000 Server và Server 2003 • Windows Server 2003: chỉ hỗ trợ DC Windows Server 2003 70-290: MCSE Guide to Managing a Microsoft 6 Windows Server 2003 Environment
  7. Các Global Group • Tổ chức các group của các user, computer, group trong cùng domain • Thường thể hiện vị trí địa lý của group chức năng công tác • Các kiểu của các đối tượng trong group liên quan tới mức chức năng đã cấu hình của domain • Phụ thuộc vào các kiểu của các DC trong môi trường 70-290: MCSE Guide to Managing a Microsoft 7 Windows Server 2003 Environment
  8. Các Domain Local Group • Được tạo trên các DC • Có thể gán quyền cho bất kỳ tài nguyên nào trong cùng domain • Có thể chứa các group từ domain khác • Xác định các đối tượng cho phép trong group liên hệ đến mức chức năng đã cấu hình của domain 70-290: MCSE Guide to Managing a Microsoft 8 Windows Server 2003 Environment
  9. Các Universal Group • Điển hình được tạo ra cho các user hay những group trong những domain khác nhau • Lưu trên các DC được cấu hình như các global catalog server • Có thể gán quyền cho bất kỳ tài nguyên nào trong forest • Chỉ có thể được tạo trong mức chức năng domain Windows 2000 native / Windows Server 2003 70-290: MCSE Guide to Managing a Microsoft 9 Windows Server 2003 Environment
  10. Các Universal Group (tt) 70-290: MCSE Guide to Managing a Microsoft 10 Windows Server 2003 Environment
  11. Tạo các đối tượng Group • Các đối tượng Group lưu giữ trong cơ sở dữ liệu AD • Nhiều loại công cụ khác nhau có thể dùng để tạo và quản lý: • Active Directory Users and Computers • ứng dụng dòng lệnh • DSADD, DSMOD, DSQUERY, 70-290: MCSE Guide to Managing a Microsoft 11 Windows Server 2003 Environment
  12. Active Directory Users and Computers • Công cụ chính: • Tạo các tài khoản group • Có thể dùng để cấu hình các thuộc tính của các tài khoản group • Các group có thể được tạo trong bất kỳ container có sẵn, tại gốc của đối tượng domain hoặc trong các đối tượng OU tùy ý • Các phạm vi group được xác định bởi mức chức năng của domain được cấu hình như thế nào 70-290: MCSE Guide to Managing a Microsoft 12 Windows Server 2003 Environment
  13. Active Directory Users and Computers (tt) 70-290: MCSE Guide to Managing a Microsoft 13 Windows Server 2003 Environment
  14. Thực tập 4-1: Tạo và thêm các thành viên vào Global Group • Mục tiêu: Dùng Active Directory Users and Computers để tạo các global group • Start Administrative Tools Active Directory Users and Computers Users container New Group • Theo các chỉ dẫn để tạo một số global groups và thêm các tài khoản user vào các group 70-290: MCSE Guide to Managing a Microsoft 14 Windows Server 2003 Environment
  15. Thực tập 4-1 (tt) 70-290: MCSE Guide to Managing a Microsoft 15 Windows Server 2003 Environment
  16. Thực tập 4-2: Tạo và thêm các thành viên vào Domain Local Groups • Mục tiêu: Dùng Active Directory Users and Computers để tạo các domain local group • Active Directory Users New Group • Theo các chỉ dẫn để tạo Domain Local group và thêm các global groups vào đó 70-290: MCSE Guide to Managing a Microsoft 16 Windows Server 2003 Environment
  17. Thực tập 4-3: Thay đổi mức chức năng của 1 Domain. Tạo và thêm các thành viên vào Universal Group • Mục tiêu: Thay đổi mức chức năng của 1 Domain Windows Server 2003 và dùng Active Directory Users and Computers để tạo các universal group • Mở đối tượng domain trong Active Directory Users and Computers 70-290: MCSE Guide to Managing a Microsoft 17 Windows Server 2003 Environment
  18. Thực tập 4-3 (tt) 70-290: MCSE Guide to Managing a Microsoft 18 Windows Server 2003 Environment
  19. Thực tập 4-3 (tt) • Theo các chỉ dẫn để nâng mức chức năng của domain • Tiếp tục bài tập tạo 1 universal group mới • Tiếp tục bài tập thêm các group đã có vào group mới này 70-290: MCSE Guide to Managing a Microsoft 19 Windows Server 2003 Environment
  20. Thực tập 4-3 (tt) 70-290: MCSE Guide to Managing a Microsoft 20 Windows Server 2003 Environment
  21. Chuyển đổi các kiểu Group • Có thể cần thay đổi một group security thành group distribution hoặc ngược lại • Kiểu của group chỉ có thể thay đổi nếu mức chức năng domain là Windows 2000 native hoặc cao hơn 70-290: MCSE Guide to Managing a Microsoft 21 Windows Server 2003 Environment
  22. Thực tập 4-4: Chuyển đổi các kiểu Group • Mục tiêu: Dùng Active Directory Users and Computers để thay đổi kiểu group • Theo các chỉ dẫn để tạo 1 global group mới với kiểu distribution • Kiểm tra kiểu của group mới • Tiếp tục bài tập với việc thay đổi kiểu thành security và kiểm tra sự thay đổi đó 70-290: MCSE Guide to Managing a Microsoft 22 Windows Server 2003 Environment
  23. Thực tập 4-4 (tt) 70-290: MCSE Guide to Managing a Microsoft 23 Windows Server 2003 Environment
  24. Thực tập 4-4 (tt) 70-290: MCSE Guide to Managing a Microsoft 24 Windows Server 2003 Environment
  25. Chuyển đổi các phạm vi Group • Phạm vi Group có thể thay đổi được • Mức chức năng domain phải ít nhất là Windows 2000 native • Các thay đổi đã được hỗ trợ: • Global universal • Domain local universal • Universal global • Universal domain local 70-290: MCSE Guide to Managing a Microsoft 25 Windows Server 2003 Environment
  26. Thực tập 4-5: Chuyển đổi các phạm vi Group • Mục tiêu: Dùng Active Directory Users and Computers để thay đổi phạm vi group • Theo các chỉ dẫn để tạo 1 global group mới • Thêm vào 1 group thành viên • Ghi nhớ các hạn chế và cảnh báo theo từ cấu trúc phạm vi nhóm như đã mô tả trong bài tập • Thay đổi phạm vi của nhóm thành universal 70-290: MCSE Guide to Managing a Microsoft 26 Windows Server 2003 Environment
  27. Các ứng dụng dòng lệnh • Một cách thay thế Active Directory Users and Computers • Một số administrator thích dùng dòng lệnh • Ứng dụng dòng lệnh linh hoạt hơn trong việc quản lý group trong 1 số tình huống 70-290: MCSE Guide to Managing a Microsoft 27 Windows Server 2003 Environment
  28. DSADD • Được giới thiệu trong Windows Server 2003 • Dùng để tạo các tài khoản user và group mới • Cú pháp: • dsadd group distinguished-name switches • Switches gồm: -secgrp, -scope, -memberof, -members • Xem thêm Help and Support Center 70-290: MCSE Guide to Managing a Microsoft 28 Windows Server 2003 Environment
  29. DSADD (tt) 70-290: MCSE Guide to Managing a Microsoft 29 Windows Server 2003 Environment
  30. Thực tập 4-6: Tạo các Group dùng DSADD • Theo các chỉ dẫn để thực thi lệnh • Kiểm tra nhóm đã tạo với Active Directory Users and Computers • Tạo 1 domain local group với các thành viên dùng lệnh này và kiểm tra group đã tạo đúng 70-290: MCSE Guide to Managing a Microsoft 30 Windows Server 2003 Environment
  31. DSMOD • Được giới thiệu trong Windows Server 2003 • Cho phép một số kiểu đối tượng khác nhau được sửa đổi từ dòng lệnh • Cú pháp: • dsmod group distinguished-name switches • Switches gồm: -desc, -rmmbr, -addmbr • Xem thêm Help and Support Center 70-290: MCSE Guide to Managing a Microsoft 31 Windows Server 2003 Environment
  32. DSMOD (tt) 70-290: MCSE Guide to Managing a Microsoft 32 Windows Server 2003 Environment
  33. Thực tập 4-7: Sửa đổi group dùng DSMOD • Theo các chỉ dẫn để thực thi lệnh thêm 1 mô tả vào group đã có • Kiểm tra lại với Active Directory Users and Computers • Sửa đổi group bằng cách thêm vào và gỡ bỏ các thành viên và kiểm tra thay đổi 70-290: MCSE Guide to Managing a Microsoft 33 Windows Server 2003 Environment
  34. DSQUERY • Được giới thiệu trong Windows Server 2003 • Dùng để truy vấn các kiểu đối tượng khác nhau bằng dòng lệnh, trả về các giá trị • Cú pháp cho group: • dsquery group query • Hỗ trợ ký tự đại diện (*) • Xuất có thể điều hướng thành nhập cho các công cụ dòng lệnh khác • Xem thêm Help and Support Center 70-290: MCSE Guide to Managing a Microsoft 34 Windows Server 2003 Environment
  35. DSMOVE • Dùng để gỡ bỏ hoặc đổi tên các kiểu đối tượng khác nhau từ dòng lệnh • Cú pháp cho group • dsmove group distinguished-name switches • Switches gồm: -newparent, -newname • Chỉ có thể dùng cho các group trong 1 domain đơn • Xem thêm Help and Support Center 70-290: MCSE Guide to Managing a Microsoft 35 Windows Server 2003 Environment
  36. DSRM • Dùng để xóa các kiểu đối tượng khác nhau từ dòng lệnh • Cú pháp cho group • dsrm group distinguished-name switches • Switches gồm: -noprompt • Xem thêm Help and Support Center 70-290: MCSE Guide to Managing a Microsoft 36 Windows Server 2003 Environment
  37. Quản lý các Security Group • Chiến lược quản lý có thể tóm tắt bằng các từ A G U DL P: 1. Tạo các user Account (A) và tổ chức chúng bên trong các Global group (G) 2. Tùy chọn: Tạo Universal groups (U) và đặt các global groups từ bất kỳ domain nào trong các universal group 3. Tạo các Domain Local group (DL) và thêm các group global và universal 4. Gán quyền Permissions (P) cho các domain local group 70-290: MCSE Guide to Managing a Microsoft 37 Windows Server 2003 Environment
  38. Xác định thành viên Group • Tác vụ quan trọng với các administrator để chắc chắn rằng các user là thành viên đúng group • 1 cách là thông qua Member Of tab trong trang đặc tính của 1 tài khoản user • Chỉ hiển thị mức đầu tiên của các group • Cách thứ 2 là dùng DSGET 70-290: MCSE Guide to Managing a Microsoft 38 Windows Server 2003 Environment
  39. Xác định thành viên Group (tt) • Cú pháp: • dsget group distinguished-name switches • Switches gồm: -members, -memberof • Cũng có thể dùng như dsget user để lấy thông tin thành viên • Xuất liệu có thể lưu vào file: • dsget group distinguished-name switches >> filename 70-290: MCSE Guide to Managing a Microsoft 39 Windows Server 2003 Environment
  40. Các Group có sẵn • Khi Windows Server 2003 Active Directory được cài đặt • Các group có sẵn được cài tự động • Các quyền được gán trước • Lưu trong Builtin container và Users container • Nên dùng các group có sẵn khi nào có thể • Dễ dàng hiện thực các quyền bảo mật 70-290: MCSE Guide to Managing a Microsoft 40 Windows Server 2003 Environment
  41. Builtin Container • Chứa một số lượng các tài khoản local group • Cấp phát các quyền user khác nhau dựa trên chính sách quản trị chung hoặc các tác vụ liên quan mạng 70-290: MCSE Guide to Managing a Microsoft 41 Windows Server 2003 Environment
  42. Builtin Container (tt) 70-290: MCSE Guide to Managing a Microsoft 42 Windows Server 2003 Environment
  43. Users Container • Chứa một số lượng các tài khoản domain local và global group • Một số group chỉ thấy trong root domain của một Active Directory forest chứ không phải trong các domain riêng lẻ 70-290: MCSE Guide to Managing a Microsoft 43 Windows Server 2003 Environment
  44. Users Container (tt) 70-290: MCSE Guide to Managing a Microsoft 44 Windows Server 2003 Environment
  45. Tạo và quản lý các tài khoản Computer • Các tài khoản Computer cần thiết trong Windows NT 4.0, 2000, XP, Server 2003 • Có thể tạo trong quá trình cài đặt hay sau đó • Các công cụ tạo và quản lý: • Active Directory Users and Computers • System applet trong Control Panel • Các ứng dụng dòng lệnh 70-290: MCSE Guide to Managing a Microsoft 45 Windows Server 2003 Environment
  46. Thực tập 4-8: Tạo và quản lý các tài khoản Computer • Mục tiêu: Dùng Active Directory Users and Computers để tạo và quản lý các tài khoản Computer • Theo các chỉ dẫn để tạo 1 tài khoản computer mới từ Active Directory Users and Computers • Cấu hình và xem lại các tài khoản 70-290: MCSE Guide to Managing a Microsoft 46 Windows Server 2003 Environment
  47. Thực tập 4-8 (tt) 70-290: MCSE Guide to Managing a Microsoft 47 Windows Server 2003 Environment
  48. Thiết lập lại các tài khoản Computer • Bảo mật channel • Dùng bởi các computer nào là domain thành viên để truyền thông với các DC • Dùng các mật khẩu được thay đổi mỗi 30 ngày • Tự động đồng bộ giữa các DC và workstation • Những vấn đề đồng bộ hóa thỉnh thoảng xuất hiện • Administrator phải reset lại tài khoản computer • Dùng Active Directory Users and Computers hoặc Netdom.exe từ Windows Support Tools 70-290: MCSE Guide to Managing a Microsoft 48 Windows Server 2003 Environment
  49. Tổng kết • Các tài khoản group giảm khối lượng công việc quản trị bằng cách cho phép gán quyền chung cho nhiều user đồng thời • 2 kiểu group: • Security group • Distribution group • 3 kiểu phạm vi cho các group • Global group • Domain local group • Universal group 70-290: MCSE Guide to Managing a Microsoft 49 Windows Server 2003 Environment
  50. Tổng kết (tt) • Các tài khoản group và computer có thể được tạo và quản lý • Từ Active Directory Users and Computers • Từ ứng dụng dòng lệnh • Các group Builtin và User và các container được tạo tự động khi cài đặt với một số quyền thiết lập trước • Windows NT 4.0, 2000, XP và Server 2003 y/c các tài khoản computer trong Active Directory 70-290: MCSE Guide to Managing a Microsoft 50 Windows Server 2003 Environment