Quản trị win 2k sever
- 11 trang
- file .pdf
QUẢN TRỊ WINDOWS 2000 SERVER
Bài 1:Giới thiệu chung
I.Giới thiệu về Active Directory:
Có thể so sánh Active Directory với LanManager trong WinNT 4.0.Về căn bản
Active Directory là 1 cơ sở dữ liệu của 1 tài nguyên trên mạng cũng như các hệ thống
liên quan đến các đối tượng đó.Tuy vậy đây không phải là 1 khái niệm mới bởi Novell đã
sử dụng dịch vụ thư mục(directory service) trong nhiều năm rồi.
II.Domain:
1 khái niệm không thay đổi từ WinNT 4.0 là Domain.1 domain vẫn là trung tâm của 1
mạng trong Windows 2000,tuy nhiên lại được thiết lập khác đi.Các DC(domain
Controller) không còn phân biệt PDC hay BDC .Bây giờ chỉ còn là DC.Theo mặc định tất
cả các máy khi mới cài Windows 2000 server đều là server độc lập(standalone
server).DCPROMO.EXE chính là Active Directory Installation Wizard và được dùng
để thăng cấp 1 máy không phải là DC thành DC.
III.Nâng cấp máy server bình thường thành DC:
Bước 1:Chọn mneu Start/Run gõ DCPROMO rồi Enter.
Bước 2:Hộp thoại Active Directory Installation Wizard xuất hiện.Nhấn Next để tiếp
tục.
Bước 3:Trong hộp thoại Domain Controller Type,chọn mục Domain Controller for
a new Domain và nhấn chọn Next.Nếu bạn muốn bổ sung máy điều khiển vùng vào 1
domain có sẵn ,bạn chọn Additional domain controller for an existing domain.
Bước 4:Trong hộp thoại Create Tree or Child Domain,chọn Create a new domain
tree để tạo 1 cây domain mới.Nếu trên hệ thống mạng đã có sẵn Active Directory và bạn
muốn tạo domain con của cây domain sẵn có ,chọn Create a new child domain in an
axisting domain tree.
Bước 5:Trong hộp thoại Create or Join Forest,chọn Create a new forest of domain
tree,chọn next.Nếu bạn có sẵn Active Directory và bạn muốn đưa cây domain vào rừng
sẵn có,bạn sẽ chọn Place this new domain tree in an existing forest.
Bước 6:Trong hộp thoại New domain name,bạn có thể điền tên nào cũng được.Ví dụ
như:manguon.edu.vn(trường hợp đối với mạng cục bộ LAN);và nếu máy chủ của bạn
đăng kí với nhà cung câp thì bạn sẽ lấy tên do bạn đăng kí.Sau đó nhấn Next.
Bước 7:Hộp thoại Database and Log Locations cho phép bạn chỉ định nới lưu trữ
database Active Directory và tập tin Log.Bạn muốn thay đổi thì chọn Browse, ở đây tôi
chọn Next.hehheheh
Bước 8:Hộp thoại Shared System Volume chỉ định vị trí của thư mục SYSVOL.Lưu
ý thư mục này phải nằm trên đĩa có định dạng NTFS nếu không sẽ báo lỗi.Chọn Next.
Bước 9:Bạn sẽ thấy thông báo cho biết trên hệ thống của bạn chưa có DNS server
quản trị domain bạn định tạo.Nhấn OK để tiếp tục.
Bước 10:Hộp thoại Configure DNS,bạn chọn “Yes,Install and Configure DNS on
this computer(recommended)” và chọn Next.Nếu bạn muốn tự cấu hình dịch vụ DNS
bạn chọn mục còn lại.
Bước 11:Trong hộp thoại Permission,bạn chọn giá trị Permission Compatible with
pre-windows 2000 server khi hệ thống có các server phiên bản trước Windows
2000.Nếu chọn Permission compatible only with windows 2000 servers khi hệ thống
máy của bạn toàn là các server của Windows 2000.
Bước 12:Nhập password bảo vệ hệ thống,sau đó nhấn Next rồi OK.Bạn sẽ phải chờ
khỏang 10-15 phút để quá trình hoàn thành.Trong quá trình này có thể máy sẽ yêu cầu
bạn đưa đĩa nguồn của Windows 2000 server vào.
Bước 13:Bước này thì quá dễ,bạn chỉ cần Restar Now.hehehe.
Bài 2: Quản lí tài khỏan người dùng và nhóm
Tên tài khoản Mô tả Môi trường
Administrator Là tài khoản đặc biệt.Bạn Local và Domain
có toàn quyền trên máy
Guest Là tài khoản khách,tài Local và Domain
khoản này bị hạn chê rầt
nhiều
ILS_Anonymous_USER Là tài khoản được dùng cho Domain
dịch vụ ILS.ILS hỗ trợ cho
các ứng dụng Điện thoại có
các đặ tính như:ID,video
conferencing…Muốn sử
dụng dịch vụ này thì phải
cài đặt.
IUSR_computer_name Là tài khoản đặc biệt được Local và Domain
dùng trong các truy nhập
dấu tên trong dịch vụ IIS.
IWAM_computer_name Là tài khoản dùng cho IIS Local và Domain
khởi động các tiến trình của
các ứng dụng trên máy có
IIS.
Krbtgt Là tài khoản đặc biệt được Domain
dùng cho dịch vụ trung tâm
phân phối khoá(Key
Distribution Center)
TSinternetUser Là tài khoản dùng cho Domain
Terminal services
Tài khoản nhóm cài sẵn:
Tên nhóm Mô tả Môi trường
Account Operators Thành viên của nhóm này Domain
có thể tạo tài khoản
nhóm,tài khoản người dùng
nhưng chỉ có thể quản lí
những gì do nó tạo ra.
Administrators Nhóm này thì có toàn Local và Domain
quyền trên hệ thống.
Backup Operators Thành viên của nhóm này Local và Domain
có quyền Backup và
Restore.Nếu hệ thống sử
dụng NTFS,họ phải được
gán quyền thì mới có thể
thực hiện được công việc
Guests Đây là nhóm bị hạn chế Local và Domain
nhiều nhất.
Power Users Nhóm này có ít quyền hơn Local
nhóm Administrators
nhưng nhiều quyền hơn
nhóm Users.Nhóm này
cũng có thể tạo ,quản lí tài
khoản nhóm và người dùng
do họ tạo ra.Ngoài ra còn
có quyền chia sẻ thư mục
và máy in mạng.
Print Operator Thành viên nhóm này có Domain
quyền quản trị máy in
Replicator Nhóm này được dùng để Local và Domain
hổ trợ tạo bản sao thư
mục,nó là 1 đặc tính được
dùng trong các server
Server Operators Thành viên nhóm này có Domain
thể quản trị các server vùng
Users Nhóm này cũng có quyền Local và Domain
rất hạn chế.
Cert Publishers Thành viên nhóm này có Global
thể quản lí các chứng thực
của các công ty
DHCP Administrators Nhóm này có quyền quản lí Domain
các dịch vụ DHCP
DHCP Users Nhóm này có quyền sử Domain
dụng dịch vụ DHCP
DNSAdmins Nhóm này có các quyền Domain
quản lí các dịch vụ DNS
DNSUpdateProxy Nhóm này có quyền cho Domain
phép các máy trạm dns
được gửi yêu cầu dns thay
cho các máy trạm khác
Domain Computers Nhóm này chứa tất cả các Global
máy trạm và máy server
như là 1 phần của vùng
Domain Controllers Nhóm này chứa tất cả các Global
máy điều khiển vùng của
vùng
Domain Guests Là nhóm có quyền truy cập Global
giới hạn trên vùng.
Domain Users Nhóm này có quyền tối Global
thiểu trên vùng
Enterprise Admins Nhóm này có quyền quản lí Global
các thông tin của các công
ty liên quan đến hệ thống
Group Policy Creator Nhóm này có quyền hiệu Global
Owners chỉnh chính sách bảo mật
trong vùng
RAS and ISA Server Nhóam này chứa các thông Domain
tin về dịch vụ truy cập từ
xa và dịch vụ chứng thực
trên Internet.
Schema Admins Nhóm này có quyền hiệu Global
chỉnh các lược đồ của
Active Directory
WINS Users Thành viên nhóm này có Domain
quyền xem thông tin trên
dịch vụ WINS(Windows
Internet Name Services)
*Tổ chúc tài khoản người dùng và nhóm(Đối với máy chưa nâng cấp thành DC)
Cách tạo tài khoản người dùng và nhóm:Start/Settings/Controlpanel/Administrative
Tools/Computer Management.Trong mục Local Users and Groups nhấp chuột phải chọn
New User hay new Group thì tuỳ bạn chọn.
Khi tạo tài khoản người dùng mới,có 4 mục:
-User Must change Password At Next Logon:Người dùng phải thay đổi password ngay
lần đăng nhập đầu tiên.
-User Cannot Change Password:Ngừoi dùng không tự thay đổi được mật khẩu.
-Password Nerver Expires:Tài khoản này sẽ không hết hạn.
-Account is Disabled:Tài khoản tạm thời bị khoá.
Nếu ta muốn người dùng nào gia nhập 1 nhóm thì trong Local users and groups
chọn Group rồi add tên người dùng vào nhóm mà mình muốn.
Bài 3:Active Directory
Ở bài 1 khi nâng cấp lên DC,có người sẽ hỏi nâng cấp lên làm gì?
Ta nâng cấp lên DC để có thể quản lí 1 cách chi tiết hơn các tài khoản nhóm và
người dùng.
Chú ý:Khi ta nâng cấp lên DC thì Local Users and Groups sẽ bị đánh dấu
chéo(Không sử sdụng được nữa). Để có thể add User hay Group thì ta sử dụng Active
Directory Users and Computers.Khi cửa sổ Active Directory Users and Computers xuất
hiện,chọn Users.Sau đó nhấp chuột phải chọn new ….(tuỳ bạn ).
Ở phần First name,Last name,Full name thì tuỳ.Nhưng ở phần User Logon
name thì bạn phải nhớ để mà đăng nhập cục bộ.Sau đó cũng có 4 mục giống như trên.
Muốn xem thuộc tính người dùng thì click chuột phải chọn
Properties.Trong tab hộp thoại bạn sẽ thấy rất chi tiết thông tin về người dùng. Ở tab
Account ta sẽ thấy tên Logon và cho phép ta cấu hình các phần sau:
-Quy định giờ logon
-Quy định máy trạm mà người dùng có thể sử dụng để vào mạng
-Quy định các chính sách tài khoản người cho người dùng.
-Quy định thời điểm hết hạn của tài khoản.
Điều khiển giờ Logon vào mạng:Khi chọn Logon hours,hộp thoại xuất hiện và mặc
định là được sử dụng 24/24 giờ và 7 ngày /tuần. Ở đây có 2 nút:Logon Permitted là cho
phép,Logon Denied là từ chối.Tuỳ bạn thay đổi mà cho phép người dùng sử dụng ngày
nào,giờ nào trong tuần..
Chọn máy được truy cập:click logon to,bạn sẽ thấy hộp thoại Logon
Workstations xuất hiện ,ta có thể chỉ định cho người dùng Logon từ bất kì máy nào hay
từ 1 số máy do ta chọn bằng cách nhập tên máy tính vào mục Computer Name và sau đó
chọn add.
*Nếu muốn kích hoạt tài khoản để chạy ngay trên máy của mình:chọn Domain
Security Policy/Local Policies/User Rights Assignment tìm dòng Logon Locally rồi add
tên mà muốn cho Logon ngay trên máy Server.Sau đó vào Start/run/gõ cdm.
Gõ các lệnh sau:secedit /refreshpolicy user_policy
secedit /refreshpolicy machine_policy
Và như vậy bạn đã kích hoạt tài khỏan xong.Nếu không làm như trên thì bạn sẽ
phải chờ 8h thì tài khoản mới tự động kích hoạt.
Thêm 1 nhóm tài khoản,tương tự như thêm User nhưng ta chọn New Group.Ta có
các mục :
-Domain local nếu dùng nhóm cho việc gán quyền cho các tài nguyên.
-Global:nếu dùng nhóm này cho tất cả người dùng mà họ có quyền truy cập giống
nhau.
-Universal:nếu bạn muốn gán quyền quan hệ với những tài nguyên trong nhiều miền
khác nhau
-Security:nếu nhóm này là những người dùng mà họ cần truy cập đến tài nguyên cụ
thể.
-Distribution:nếu nhóm này là tập hợp những người dùng mà họ có đặc trưng giống
nhau.
Xem thuộc tính của nhóm,chọn Properties.
*Tab General
*Tab Members:cho phép thay đổi các thành viên
*Tab Members Of:cho phép bạn xem và thêm,xoá nhóm hiện tại là thành viên của các
nhóm khác.
*Tab Managed by:Cho phép thay đổi người dùng quản lí nhóm này.
QUẢN LÍ TÀI KHOẢN THÔNG QUA COMMAND LINE
Chức năng tạo thêm,hiệu chỉnh và hiển thị thông tin của các tài khoản người dùng:
Cú pháp:
-net user username password /domain.
Chức năng tạo thêm nhóm tài khoản:
Cú pháp:
-net group groupname /domain.
Chúc năng tạo thêm nhóm cục bộ.
-net localgroup groupname /domain.
Bài 4:Chính sách và phương pháp bảo mật
I.Chính sách tài khoản người dùng:
Chính sách tài khoản người dùng(Account Policies) được dùng để chỉ định các thông số
về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra.Nó cho phép bạn
cấu hình các thông số bảo mật máy tính cho mật mã,khoá tài khoản và chứng thực
Kerberos trong vùng.Nếu trên Windows 2000 thành viên thì bạn sẽ thấy 2 mục
Password Policy và Account Lockout Policy,trên máy Windows 2000 Server làm
DC(Domain Controller) thì bạn sẽ thấy 3 mục:Password Policy,Account Lockout
Policy và Kerberos Policy.Trong Windows 2000 Server cho phép bạn quản lí chính sách
bảo mật tại 2 cấp đó là:cục bộ và vùng.Muốn cấu hình các chính sách bảo mật tài khoản
người dùng ta vào:Administrative Tools/Domain Security Policy hay Local Security
Policy.
II.Cấu hình chính sách mật mã:(Password Policy)
Chính sách Mô tả Mặc định Giá trị nhỏ Giá trị lớn
nhất nhất
Enforce Số lần đặt mật 0 0 24
Password mã không được
History trùnh nhau
Maximum Quy định số Giữ mật mã Giữ mật mã Giữ mật mã
Password Age ngày nhiều nhất trong 42 ngày trong 1 ngày trong 999 ngày
mà mật mã
người dùng có
hiệu lực
Minimum Quy định số 0 ngày(người 0 999 ngày
Password Age ngày ìt nhất mà dùng có thể
người dùng có thay đổi ngay
thể thay đổi mật lập tức)
mã
Minimum Chiều dài ngắn 0 0 14 kí tự
Password nhất của mật
Length mã
Passwords Cho phép bạn Không cho Không cho Cho phép
Must Meet cài bộ lọc mật phép phép
Complexity mã
Requirements
Store Password Mật mã người Không cho Không cho Cho phép
Using dùng được lưu phép phép
Reversible dưới dạng mã
Encryption for hoá
All Users In the
Domain
III.Cấu hình chính sách khoá tài khoản(Account Lockout Policy)
Chính sách Mô tả Giá trị mặc Giá trị min Giá trị max Gợi ý
định
Account Quy định số 0 0 Thử 999 lần 5 lần
Lockout lần đăng
Threshold nhập trước
khi tài khoản
bị khoá
Account Quy định Là 0,nhưng Như giá trị 99999 phút 5 phút
Lockout thời gian nếu Account mặc định
Duration khoá tài Lockout
khoản Threshold
được thiết
lập thì giá trị
này là 30
phút
Reset Quy định Là 0,nhưng Như giá trị 99999 Phút 5 phút
Account thời gian nếuAccount mặc định
Lockout đếm lại số Lockout
Counter lần đăng Threshold
After nhập không được thiết
thành công lập thì giá trị
này là 5 phút
IV.Cấu hình chính sách cục bộ
Chính sách cục bộ(Local Policies) cho phép bạn thiết lập các chính sách giám sát các
đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào tính
năng trên bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo
mật.
1.Cấu hình chính sách kiểm toán.
Cấu hình chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận
các sự kiện xảy ra trong hệ thống,trên các đối tương cũng như đối với các người dùng.
Chính sách Mô tả
Audit Account Logon Events Ghi nhận khi người dùng logon,logoff hay
tạo 1 kết nối mạng
Audit Account Management Ghi nhận khi tài khoản người dùng hay
nhóm được tạo xoá hay các thao tác quản lí
người dùng
Audit Directory Service Access Ghi nhận việc truy cập các dịch vụ thư mục
Audit Logon Events Ghi nhận các sự kiện liên quan đến quá
trình logon như thi hành 1 logon script hay
truy cập đến 1 roaming profile
Audit Object Access Ghi nhận việc truy cập các tập tin ,thư
mục,máy in
Audit Policy Change Ghi nhận các thay đoi63 trong chính sách
kiểm toán
2.Gán quyền người dùng:
Quyền người dùng(User Right)là quyền hệ thống cung cấp cho người dùng các quyền
quản trị và sử dụng hệ thống.
Quyền Mô tả
Access This Computer form the Network Cho phép người dùng truy cập máy tính
trên mạng.Mặc định mọi người đều có
quyền này
Act as Part of the Operating System Cho phép các dịch vụ chứng thực ở mức
thấp chứng thực với bất kì người dùng nào.
Add Workstations to the Domain Cho phép người dùng thêm 1 tài khoản
máy tính vào vùng
Back Up Files and Directories Cho phép người dùng sao lưu dự phòng các
tập tin và thư mục bất chấp các tập tin và
thư mục này người đó có quyền hay không
Bypass Traverse Checking Cho phép người dùng duyệt qua cấu trúc
thư mục nếu người dùng không có quyền
xem (list) nội dung thư mục này.
Change the System Time Cho phép người dùng thay đổi giờ hệ thống
máy
Create a Token Object Cho phép 1 tiến trình tạo 1 thẻ bài nếu tiến
trình này dùng NTCreate Token API
Create Permanent Shared Objects Cho phép 1 tiến trình tạo 1 đối tượng thư
mục thông qua Windows 2000 Object
Manager.
Debug Programs Cho phép người dùng gắn 1 chương trình
debug vào bất kì tiến trình nào
Deny Access to This Computer from the Cho phép bạn khoá người dùng hay nhóm
Network không được truy cập đến các máy tính trên
mạng
Deny Logon as a Batch File Cho phép bạn ngăn cản những người dùng
và nhóm được phép logon như 1 batch file
Deny Logon as a Service Cho phép bạn ngăn cản những nguời dùng
và nhóm truy cập đến máy tính cục bộ.
Enable Computer and User Accounts to Be Cho phép người dùng hay nhóm được uỷ
Trusted by Deletgation quyền cho người dùng hay 1 đối tượng máy
tính
Force Shutdown from a Remote System Cho phép người dùng Shutdown hệ thống
từ xa thông qua mạng
Generate Security Audits Cho phép người dùng,nhóm hay 1 tiến
trình tạo 1 entry vào Security log
Increase Quotas Cho phép người dùng điều khiển các quota
của các tiến trình
Increase Scheduling Priority Quy định 1 tiến trình có thể tăng hay giảm
độ ưu tiên đã được gán cho tiến trình khác
Load and Unload Device Drivers Cho phép người dùng có thể cài đặt hay gỡ
bỏ các driver của các thiết bị
Lock Pages in Memory Khoá trang trong vùng nhớ
Log On as a Batch Job Cho phép 1 tiến trình logon vào hệ thống
và thi hành 1 tập tin chứa các lệnh hệ thống
Log on as a Service Cho phép 1 dịch vụ logon và thi hành 1
dịch vụ riêng
Logon Locally Cho phép người dùng Logon tại máy server
Manage Auditingand Security Log Cho phép người dùng quản lí security log
Bài 1:Giới thiệu chung
I.Giới thiệu về Active Directory:
Có thể so sánh Active Directory với LanManager trong WinNT 4.0.Về căn bản
Active Directory là 1 cơ sở dữ liệu của 1 tài nguyên trên mạng cũng như các hệ thống
liên quan đến các đối tượng đó.Tuy vậy đây không phải là 1 khái niệm mới bởi Novell đã
sử dụng dịch vụ thư mục(directory service) trong nhiều năm rồi.
II.Domain:
1 khái niệm không thay đổi từ WinNT 4.0 là Domain.1 domain vẫn là trung tâm của 1
mạng trong Windows 2000,tuy nhiên lại được thiết lập khác đi.Các DC(domain
Controller) không còn phân biệt PDC hay BDC .Bây giờ chỉ còn là DC.Theo mặc định tất
cả các máy khi mới cài Windows 2000 server đều là server độc lập(standalone
server).DCPROMO.EXE chính là Active Directory Installation Wizard và được dùng
để thăng cấp 1 máy không phải là DC thành DC.
III.Nâng cấp máy server bình thường thành DC:
Bước 1:Chọn mneu Start/Run gõ DCPROMO rồi Enter.
Bước 2:Hộp thoại Active Directory Installation Wizard xuất hiện.Nhấn Next để tiếp
tục.
Bước 3:Trong hộp thoại Domain Controller Type,chọn mục Domain Controller for
a new Domain và nhấn chọn Next.Nếu bạn muốn bổ sung máy điều khiển vùng vào 1
domain có sẵn ,bạn chọn Additional domain controller for an existing domain.
Bước 4:Trong hộp thoại Create Tree or Child Domain,chọn Create a new domain
tree để tạo 1 cây domain mới.Nếu trên hệ thống mạng đã có sẵn Active Directory và bạn
muốn tạo domain con của cây domain sẵn có ,chọn Create a new child domain in an
axisting domain tree.
Bước 5:Trong hộp thoại Create or Join Forest,chọn Create a new forest of domain
tree,chọn next.Nếu bạn có sẵn Active Directory và bạn muốn đưa cây domain vào rừng
sẵn có,bạn sẽ chọn Place this new domain tree in an existing forest.
Bước 6:Trong hộp thoại New domain name,bạn có thể điền tên nào cũng được.Ví dụ
như:manguon.edu.vn(trường hợp đối với mạng cục bộ LAN);và nếu máy chủ của bạn
đăng kí với nhà cung câp thì bạn sẽ lấy tên do bạn đăng kí.Sau đó nhấn Next.
Bước 7:Hộp thoại Database and Log Locations cho phép bạn chỉ định nới lưu trữ
database Active Directory và tập tin Log.Bạn muốn thay đổi thì chọn Browse, ở đây tôi
chọn Next.hehheheh
Bước 8:Hộp thoại Shared System Volume chỉ định vị trí của thư mục SYSVOL.Lưu
ý thư mục này phải nằm trên đĩa có định dạng NTFS nếu không sẽ báo lỗi.Chọn Next.
Bước 9:Bạn sẽ thấy thông báo cho biết trên hệ thống của bạn chưa có DNS server
quản trị domain bạn định tạo.Nhấn OK để tiếp tục.
Bước 10:Hộp thoại Configure DNS,bạn chọn “Yes,Install and Configure DNS on
this computer(recommended)” và chọn Next.Nếu bạn muốn tự cấu hình dịch vụ DNS
bạn chọn mục còn lại.
Bước 11:Trong hộp thoại Permission,bạn chọn giá trị Permission Compatible with
pre-windows 2000 server khi hệ thống có các server phiên bản trước Windows
2000.Nếu chọn Permission compatible only with windows 2000 servers khi hệ thống
máy của bạn toàn là các server của Windows 2000.
Bước 12:Nhập password bảo vệ hệ thống,sau đó nhấn Next rồi OK.Bạn sẽ phải chờ
khỏang 10-15 phút để quá trình hoàn thành.Trong quá trình này có thể máy sẽ yêu cầu
bạn đưa đĩa nguồn của Windows 2000 server vào.
Bước 13:Bước này thì quá dễ,bạn chỉ cần Restar Now.hehehe.
Bài 2: Quản lí tài khỏan người dùng và nhóm
Tên tài khoản Mô tả Môi trường
Administrator Là tài khoản đặc biệt.Bạn Local và Domain
có toàn quyền trên máy
Guest Là tài khoản khách,tài Local và Domain
khoản này bị hạn chê rầt
nhiều
ILS_Anonymous_USER Là tài khoản được dùng cho Domain
dịch vụ ILS.ILS hỗ trợ cho
các ứng dụng Điện thoại có
các đặ tính như:ID,video
conferencing…Muốn sử
dụng dịch vụ này thì phải
cài đặt.
IUSR_computer_name Là tài khoản đặc biệt được Local và Domain
dùng trong các truy nhập
dấu tên trong dịch vụ IIS.
IWAM_computer_name Là tài khoản dùng cho IIS Local và Domain
khởi động các tiến trình của
các ứng dụng trên máy có
IIS.
Krbtgt Là tài khoản đặc biệt được Domain
dùng cho dịch vụ trung tâm
phân phối khoá(Key
Distribution Center)
TSinternetUser Là tài khoản dùng cho Domain
Terminal services
Tài khoản nhóm cài sẵn:
Tên nhóm Mô tả Môi trường
Account Operators Thành viên của nhóm này Domain
có thể tạo tài khoản
nhóm,tài khoản người dùng
nhưng chỉ có thể quản lí
những gì do nó tạo ra.
Administrators Nhóm này thì có toàn Local và Domain
quyền trên hệ thống.
Backup Operators Thành viên của nhóm này Local và Domain
có quyền Backup và
Restore.Nếu hệ thống sử
dụng NTFS,họ phải được
gán quyền thì mới có thể
thực hiện được công việc
Guests Đây là nhóm bị hạn chế Local và Domain
nhiều nhất.
Power Users Nhóm này có ít quyền hơn Local
nhóm Administrators
nhưng nhiều quyền hơn
nhóm Users.Nhóm này
cũng có thể tạo ,quản lí tài
khoản nhóm và người dùng
do họ tạo ra.Ngoài ra còn
có quyền chia sẻ thư mục
và máy in mạng.
Print Operator Thành viên nhóm này có Domain
quyền quản trị máy in
Replicator Nhóm này được dùng để Local và Domain
hổ trợ tạo bản sao thư
mục,nó là 1 đặc tính được
dùng trong các server
Server Operators Thành viên nhóm này có Domain
thể quản trị các server vùng
Users Nhóm này cũng có quyền Local và Domain
rất hạn chế.
Cert Publishers Thành viên nhóm này có Global
thể quản lí các chứng thực
của các công ty
DHCP Administrators Nhóm này có quyền quản lí Domain
các dịch vụ DHCP
DHCP Users Nhóm này có quyền sử Domain
dụng dịch vụ DHCP
DNSAdmins Nhóm này có các quyền Domain
quản lí các dịch vụ DNS
DNSUpdateProxy Nhóm này có quyền cho Domain
phép các máy trạm dns
được gửi yêu cầu dns thay
cho các máy trạm khác
Domain Computers Nhóm này chứa tất cả các Global
máy trạm và máy server
như là 1 phần của vùng
Domain Controllers Nhóm này chứa tất cả các Global
máy điều khiển vùng của
vùng
Domain Guests Là nhóm có quyền truy cập Global
giới hạn trên vùng.
Domain Users Nhóm này có quyền tối Global
thiểu trên vùng
Enterprise Admins Nhóm này có quyền quản lí Global
các thông tin của các công
ty liên quan đến hệ thống
Group Policy Creator Nhóm này có quyền hiệu Global
Owners chỉnh chính sách bảo mật
trong vùng
RAS and ISA Server Nhóam này chứa các thông Domain
tin về dịch vụ truy cập từ
xa và dịch vụ chứng thực
trên Internet.
Schema Admins Nhóm này có quyền hiệu Global
chỉnh các lược đồ của
Active Directory
WINS Users Thành viên nhóm này có Domain
quyền xem thông tin trên
dịch vụ WINS(Windows
Internet Name Services)
*Tổ chúc tài khoản người dùng và nhóm(Đối với máy chưa nâng cấp thành DC)
Cách tạo tài khoản người dùng và nhóm:Start/Settings/Controlpanel/Administrative
Tools/Computer Management.Trong mục Local Users and Groups nhấp chuột phải chọn
New User hay new Group thì tuỳ bạn chọn.
Khi tạo tài khoản người dùng mới,có 4 mục:
-User Must change Password At Next Logon:Người dùng phải thay đổi password ngay
lần đăng nhập đầu tiên.
-User Cannot Change Password:Ngừoi dùng không tự thay đổi được mật khẩu.
-Password Nerver Expires:Tài khoản này sẽ không hết hạn.
-Account is Disabled:Tài khoản tạm thời bị khoá.
Nếu ta muốn người dùng nào gia nhập 1 nhóm thì trong Local users and groups
chọn Group rồi add tên người dùng vào nhóm mà mình muốn.
Bài 3:Active Directory
Ở bài 1 khi nâng cấp lên DC,có người sẽ hỏi nâng cấp lên làm gì?
Ta nâng cấp lên DC để có thể quản lí 1 cách chi tiết hơn các tài khoản nhóm và
người dùng.
Chú ý:Khi ta nâng cấp lên DC thì Local Users and Groups sẽ bị đánh dấu
chéo(Không sử sdụng được nữa). Để có thể add User hay Group thì ta sử dụng Active
Directory Users and Computers.Khi cửa sổ Active Directory Users and Computers xuất
hiện,chọn Users.Sau đó nhấp chuột phải chọn new ….(tuỳ bạn ).
Ở phần First name,Last name,Full name thì tuỳ.Nhưng ở phần User Logon
name thì bạn phải nhớ để mà đăng nhập cục bộ.Sau đó cũng có 4 mục giống như trên.
Muốn xem thuộc tính người dùng thì click chuột phải chọn
Properties.Trong tab hộp thoại bạn sẽ thấy rất chi tiết thông tin về người dùng. Ở tab
Account ta sẽ thấy tên Logon và cho phép ta cấu hình các phần sau:
-Quy định giờ logon
-Quy định máy trạm mà người dùng có thể sử dụng để vào mạng
-Quy định các chính sách tài khoản người cho người dùng.
-Quy định thời điểm hết hạn của tài khoản.
Điều khiển giờ Logon vào mạng:Khi chọn Logon hours,hộp thoại xuất hiện và mặc
định là được sử dụng 24/24 giờ và 7 ngày /tuần. Ở đây có 2 nút:Logon Permitted là cho
phép,Logon Denied là từ chối.Tuỳ bạn thay đổi mà cho phép người dùng sử dụng ngày
nào,giờ nào trong tuần..
Chọn máy được truy cập:click logon to,bạn sẽ thấy hộp thoại Logon
Workstations xuất hiện ,ta có thể chỉ định cho người dùng Logon từ bất kì máy nào hay
từ 1 số máy do ta chọn bằng cách nhập tên máy tính vào mục Computer Name và sau đó
chọn add.
*Nếu muốn kích hoạt tài khoản để chạy ngay trên máy của mình:chọn Domain
Security Policy/Local Policies/User Rights Assignment tìm dòng Logon Locally rồi add
tên mà muốn cho Logon ngay trên máy Server.Sau đó vào Start/run/gõ cdm.
Gõ các lệnh sau:secedit /refreshpolicy user_policy
secedit /refreshpolicy machine_policy
Và như vậy bạn đã kích hoạt tài khỏan xong.Nếu không làm như trên thì bạn sẽ
phải chờ 8h thì tài khoản mới tự động kích hoạt.
Thêm 1 nhóm tài khoản,tương tự như thêm User nhưng ta chọn New Group.Ta có
các mục :
-Domain local nếu dùng nhóm cho việc gán quyền cho các tài nguyên.
-Global:nếu dùng nhóm này cho tất cả người dùng mà họ có quyền truy cập giống
nhau.
-Universal:nếu bạn muốn gán quyền quan hệ với những tài nguyên trong nhiều miền
khác nhau
-Security:nếu nhóm này là những người dùng mà họ cần truy cập đến tài nguyên cụ
thể.
-Distribution:nếu nhóm này là tập hợp những người dùng mà họ có đặc trưng giống
nhau.
Xem thuộc tính của nhóm,chọn Properties.
*Tab General
*Tab Members:cho phép thay đổi các thành viên
*Tab Members Of:cho phép bạn xem và thêm,xoá nhóm hiện tại là thành viên của các
nhóm khác.
*Tab Managed by:Cho phép thay đổi người dùng quản lí nhóm này.
QUẢN LÍ TÀI KHOẢN THÔNG QUA COMMAND LINE
Chức năng tạo thêm,hiệu chỉnh và hiển thị thông tin của các tài khoản người dùng:
Cú pháp:
-net user username password /domain.
Chức năng tạo thêm nhóm tài khoản:
Cú pháp:
-net group groupname /domain.
Chúc năng tạo thêm nhóm cục bộ.
-net localgroup groupname /domain.
Bài 4:Chính sách và phương pháp bảo mật
I.Chính sách tài khoản người dùng:
Chính sách tài khoản người dùng(Account Policies) được dùng để chỉ định các thông số
về tài khoản người dùng mà nó được sử dụng khi tiến trình logon xảy ra.Nó cho phép bạn
cấu hình các thông số bảo mật máy tính cho mật mã,khoá tài khoản và chứng thực
Kerberos trong vùng.Nếu trên Windows 2000 thành viên thì bạn sẽ thấy 2 mục
Password Policy và Account Lockout Policy,trên máy Windows 2000 Server làm
DC(Domain Controller) thì bạn sẽ thấy 3 mục:Password Policy,Account Lockout
Policy và Kerberos Policy.Trong Windows 2000 Server cho phép bạn quản lí chính sách
bảo mật tại 2 cấp đó là:cục bộ và vùng.Muốn cấu hình các chính sách bảo mật tài khoản
người dùng ta vào:Administrative Tools/Domain Security Policy hay Local Security
Policy.
II.Cấu hình chính sách mật mã:(Password Policy)
Chính sách Mô tả Mặc định Giá trị nhỏ Giá trị lớn
nhất nhất
Enforce Số lần đặt mật 0 0 24
Password mã không được
History trùnh nhau
Maximum Quy định số Giữ mật mã Giữ mật mã Giữ mật mã
Password Age ngày nhiều nhất trong 42 ngày trong 1 ngày trong 999 ngày
mà mật mã
người dùng có
hiệu lực
Minimum Quy định số 0 ngày(người 0 999 ngày
Password Age ngày ìt nhất mà dùng có thể
người dùng có thay đổi ngay
thể thay đổi mật lập tức)
mã
Minimum Chiều dài ngắn 0 0 14 kí tự
Password nhất của mật
Length mã
Passwords Cho phép bạn Không cho Không cho Cho phép
Must Meet cài bộ lọc mật phép phép
Complexity mã
Requirements
Store Password Mật mã người Không cho Không cho Cho phép
Using dùng được lưu phép phép
Reversible dưới dạng mã
Encryption for hoá
All Users In the
Domain
III.Cấu hình chính sách khoá tài khoản(Account Lockout Policy)
Chính sách Mô tả Giá trị mặc Giá trị min Giá trị max Gợi ý
định
Account Quy định số 0 0 Thử 999 lần 5 lần
Lockout lần đăng
Threshold nhập trước
khi tài khoản
bị khoá
Account Quy định Là 0,nhưng Như giá trị 99999 phút 5 phút
Lockout thời gian nếu Account mặc định
Duration khoá tài Lockout
khoản Threshold
được thiết
lập thì giá trị
này là 30
phút
Reset Quy định Là 0,nhưng Như giá trị 99999 Phút 5 phút
Account thời gian nếuAccount mặc định
Lockout đếm lại số Lockout
Counter lần đăng Threshold
After nhập không được thiết
thành công lập thì giá trị
này là 5 phút
IV.Cấu hình chính sách cục bộ
Chính sách cục bộ(Local Policies) cho phép bạn thiết lập các chính sách giám sát các
đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào tính
năng trên bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo
mật.
1.Cấu hình chính sách kiểm toán.
Cấu hình chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận
các sự kiện xảy ra trong hệ thống,trên các đối tương cũng như đối với các người dùng.
Chính sách Mô tả
Audit Account Logon Events Ghi nhận khi người dùng logon,logoff hay
tạo 1 kết nối mạng
Audit Account Management Ghi nhận khi tài khoản người dùng hay
nhóm được tạo xoá hay các thao tác quản lí
người dùng
Audit Directory Service Access Ghi nhận việc truy cập các dịch vụ thư mục
Audit Logon Events Ghi nhận các sự kiện liên quan đến quá
trình logon như thi hành 1 logon script hay
truy cập đến 1 roaming profile
Audit Object Access Ghi nhận việc truy cập các tập tin ,thư
mục,máy in
Audit Policy Change Ghi nhận các thay đoi63 trong chính sách
kiểm toán
2.Gán quyền người dùng:
Quyền người dùng(User Right)là quyền hệ thống cung cấp cho người dùng các quyền
quản trị và sử dụng hệ thống.
Quyền Mô tả
Access This Computer form the Network Cho phép người dùng truy cập máy tính
trên mạng.Mặc định mọi người đều có
quyền này
Act as Part of the Operating System Cho phép các dịch vụ chứng thực ở mức
thấp chứng thực với bất kì người dùng nào.
Add Workstations to the Domain Cho phép người dùng thêm 1 tài khoản
máy tính vào vùng
Back Up Files and Directories Cho phép người dùng sao lưu dự phòng các
tập tin và thư mục bất chấp các tập tin và
thư mục này người đó có quyền hay không
Bypass Traverse Checking Cho phép người dùng duyệt qua cấu trúc
thư mục nếu người dùng không có quyền
xem (list) nội dung thư mục này.
Change the System Time Cho phép người dùng thay đổi giờ hệ thống
máy
Create a Token Object Cho phép 1 tiến trình tạo 1 thẻ bài nếu tiến
trình này dùng NTCreate Token API
Create Permanent Shared Objects Cho phép 1 tiến trình tạo 1 đối tượng thư
mục thông qua Windows 2000 Object
Manager.
Debug Programs Cho phép người dùng gắn 1 chương trình
debug vào bất kì tiến trình nào
Deny Access to This Computer from the Cho phép bạn khoá người dùng hay nhóm
Network không được truy cập đến các máy tính trên
mạng
Deny Logon as a Batch File Cho phép bạn ngăn cản những người dùng
và nhóm được phép logon như 1 batch file
Deny Logon as a Service Cho phép bạn ngăn cản những nguời dùng
và nhóm truy cập đến máy tính cục bộ.
Enable Computer and User Accounts to Be Cho phép người dùng hay nhóm được uỷ
Trusted by Deletgation quyền cho người dùng hay 1 đối tượng máy
tính
Force Shutdown from a Remote System Cho phép người dùng Shutdown hệ thống
từ xa thông qua mạng
Generate Security Audits Cho phép người dùng,nhóm hay 1 tiến
trình tạo 1 entry vào Security log
Increase Quotas Cho phép người dùng điều khiển các quota
của các tiến trình
Increase Scheduling Priority Quy định 1 tiến trình có thể tăng hay giảm
độ ưu tiên đã được gán cho tiến trình khác
Load and Unload Device Drivers Cho phép người dùng có thể cài đặt hay gỡ
bỏ các driver của các thiết bị
Lock Pages in Memory Khoá trang trong vùng nhớ
Log On as a Batch Job Cho phép 1 tiến trình logon vào hệ thống
và thi hành 1 tập tin chứa các lệnh hệ thống
Log on as a Service Cho phép 1 dịch vụ logon và thi hành 1
dịch vụ riêng
Logon Locally Cho phép người dùng Logon tại máy server
Manage Auditingand Security Log Cho phép người dùng quản lí security log