Giáo trình Mạng máy tính - Trường Cao đẳng Công nghiệp

er trên máy tính trên đó nhóm Local được tạo ra.
Không thể chứa các nhóm khác.
Lập kế hoạch nhóm Local Domain và nhóm Global
Một vấn đề quan trọng trong việc quản trị các nhóm là lập kế hoạch cho các nhóm trên. Sau đây là một số gợi ý.
- Gán tất cả các thành viên có chung một công việc vào Global group. Ví dụ tạo ra một nhóm có tên PGKETOAN và đưa tất cả các thành viên trong phòng này vào nhóm trên.
- Tạo Domain Local Group đối với các tài nguyên dùng chung trên hệ thống. Việc định dạng ra các tài nguyên dùng chung trên hệ thống để các thành viên có thể truy cập tới và tạo ra các Domain Local Group cho các tài nguyên này. Ví dụ như nếu công ty có một máy in màu, tạo ra domain local group có tên là PRINTCOLOR.
- Ðưa tất cả các Global Group nào cần truy cập tài nguyên vào domain local group. Ví dụ đưa Global Group PGKETOAN vào trong domain local group PRINTCOLOR.
- Gán quyền truy cập tài nguyên vào domain local group. Ví dụ gán quyền truy cập máy in màu vào nhóm PRINTCOLOR để mọi thành viên có thể dùng máy in.
Tạo và xoá các nhóm
9.3.1 Tạo nhóm
Chọn Start à Programs à Administrative Tools à Active Directory users and computers (Hình 9.1)
Chọn tên domain à Users Container à new à Group (Hình 9.2)
Điền vào một số thông tin trong cửa sổ New Group như : tên nhóm, dạng nhóm, phạm vi của nhóm.
9.3.2 Xóa nhóm
	Mỗi nhóm tạo ra đều có một SID (security Identifier), windows 2000 dùng SID để gán quyền cho các đối tượng.
	Khi xóa nhóm thì các thành viên trong nhóm không bị xóa và tất cả các tài nguyên liên kết với nó cũng bị xóa theo
	Để xóa nhóm, đơn giản chọn tên nhóm, nhấn chuột phải à delete
Hình 9.1 Cách chọn Active Directory Service
Hình 9.2 Cách chọn Group trong Active Directory 
Thêm các thành viên vào nhóm
9.4.1 Built-in Group
Trong windows 2000 có một số các nhóm được tạo sẵn sau khi cài đặt xong. Đối với Windows NT 4.0 bao gồm các nhóm : Built-In Local, Built-in Global, System. Trong Windows 2000, các nhóm này được mở rộng và chia ra làm 4 nhóm: Predefine, Local, Global và Special Identifier .
Nhóm định nghĩa trước (Predefined Group)
Nhóm này có phạm vi toàn cục, thường dùng để gom những tài khỏan người dùng có tính chất giống nhau. Theo mặc định Windows 2000 sẽ tự động đưa các thành viên vào một trong các nhóm thuộc Predefined Global. Người quản trị có thể đưa thêm một số thành viên vào Predefine Global, để thực hiện chế độ phân quyền cho các thành viên này.
Khi hệ thống là một domain, Windows 2000 sẽ tạo ra nhóm Predefined Global trong thư mục USERS trong Active Directory, các nhóm Predefined này không có quyền thừa kế, các nhóm này có quyền bằng cách đưa nhóm Global vào trong nhóm Domain Local hoặc có thể gán quyền trực tiếp trên chúng.
Sau đây là một số nhóm Prdefined Global
Predefined Global Group
Mô tả
Domain Admins
Windows 2000 tự động đưa Domain Admins vào trong nhóm Domain Local có sẵn với tên là Administrators sao cho các thành viên trong Domain Admins có thể thực hiện công việc quản trị mạng trên hệ thống. Mặc định, người Administrator sẽ là thành viên thuộc nhóm này
Domain Guests
Windows 2000 tự động đưa Domain Guests vào nhóm Domain Local có sẵn với tên là Guests. Mặc định tài khoản Guest là thành viên thuộc nhóm này.
Domain Users
Windows 2000 tự động đưa Domain Users vào nhóm tự có Domain Local có tên Users. Mặc định, các tài khoản người dùng Administrator, Guest IUSR_computername, IWAM_ computername, Krbtgt, và TsInternet là những thành viên thuộc nhóm này.
Enterprise Admins
Người quản trị có thể đưa các thành viên vào nhóm Enterprise Admins để các thành viên này có quyền giám sát hệ thống. Sau đó đưa Enterprise Admins vào nhóm Domain Local có tên Administrators trong mỗi domain. Mặc định, người Administrator sẽ là thành viên thuộc nhóm này.
Các nhóm có sẵn (Built-in Groups)
 Nếu như các nhóm Predefined có phạm vi toàn cục, thì các nhóm Built-in do Windows 2000 tạo ra có phạm vi cục bộ miền. Windows 2000 sẽ tạo ra nhóm Built-in Global trong thư mục BuiltIn trong Active Directory, các nhóm này có quyền trên toàn domain và trong Active Direcoty. Chúng có các quyền của nhóm Prdefined.
Sau đây là một số nhóm có sẵn (Built-in Groups)
Built-in Group
Mô tả
Account Operators
Các thành viên có thể tạo, xóa, thay đổi các tài khỏan người dùng và các nhóm, tuy nhiên không thể thay đổi nhóm Administrators hay bất kỳ nhóm operators nào.
Administrators
Các thành viên có thể thực hiện tất cả các công việc quản trị trên tất cả Domain Controllers và chính trên domain đó. Mặc định, tài khoản Administrator và các nhóm toàn cục định nghĩa trước Domain Admins và Enterprise Admins là các thành viên.
Backup Operators
Các thành viên có thể thực hiện viêc lưu trữ (backup) và phục hồi trên Domain Controllers dùng Windows Backup.
Guests
Các thành viên chỉ có thể truy cập vào những tài nguyên cho phép; các thành viên không có quyền thay đổi các cài đặt về môi trường làm việc. Mặc định, các tài khoản user Guest, IUSR_computername, IWAM_computername, và TsInternet và nhóm toàn cục định nghĩa trước Domain Guests là các thành viên thuộc nhóm này.
Pre-Windows 2000 Compatible Access
Cho phép các thành viên có quyền đọc trong domain. Mặc định, chỉ có nhóm hệ thống Everyone pre-Windows 2000 là thành viên
Print Operators
Các thành viên có thể cài đặt và quản lý máy in trên mạng.
Replicator
Hổ trợ Chức năng nhân bản thư mục.
Server Operators
Các thành viên có thể chia xẻ các tài nguyên trên đĩa, lưu trữ, phục hồi các file trên một domain controller.
Users
Các thành viên có thể truy cập vào các tài nguyên của mình. Mặc định, các nhóm Authenticated Users và INTERACTIVE pre-Windows 2000 và nhóm toàn cục định nghĩa trước Domain Users là những thành viên của nhóm này.
Built-in Local Group
Trong tất cả các máy chạy Windows 2000 dù là server hay professional đều có nhóm Buitl-in Local. Chúng chỉ cho phép tất cả các thành viên trong nhóm này sử dụng tài nguyên trên chính máy đó, Các nhóm này được tạo trong thư mục Groups trong công cụ Local User Manager. Trên các máy domain controller không tồn tại nhóm Local và nhóm Built-in Local. Sau đây là các nhóm Built-in Local:
Group
Mô tả
Administrators
Các thành viên có thể thực hiên công việc quản trị mạng trên máy tính này .Mặc định, Administrator là thành viên của nhóm. Khi có một server thành viên hoặc máy tính chạy Windows 2000 gia nhập vào một domain, Windows 2000 sẽ đưa nhóm toàn cục định nghĩa trước Domain Admins vào nhóm Administrators cục bộ.
Backup Operators
Các thành viên nhóm này có thể dùng Windows Backup để lưu trữ và phục hồi dữ liệu trên máy..
Guests
Các thành viên chỉ có thể truy cập vào những tài nguyên cho phép; các thành viên không có quyền thay đổi các cài đặt về môi trường làm việc. Mặc định, Guest là thành viên. Khi có một server thành viên hoặc máy tính chạy Windows 2000 gia nhập vào một domain, Windows 2000 sẽ đưa nhóm toàn cục định nghĩa trước Domain Guests vào nhóm Guests cục bộ.
Power Users
Các thành viên có thể tạo và thay đổi các tài khoản user cục bộ trên máy tính cục bộ và chia xẻ các tài nguyên trên máy tính đó.
Replicator
Hổ trợ chức năng nhân bản thư mục.
Users
Các thành viên có thể truy cập vào các tài nguyên của mình. Mặc định, Windows 2000 sẽ đưa các tài khoản cục bộ được tạo ra trên máy vào trong nhóm Users . Khi có một server thành viên hoặc máy tính chạy Windows 2000 gia nhập vào một domain, Windows 2000 sẽ đưa nhóm nhóm toàn cục định nghĩa trước Domain Users vào nhóm Users cục bộ.
Nhóm định danh đặc biệt (Special Identifier Groups)
Mỗi máy tính chạy windows 2000 đều có các nhóm Special Identifier hay còn gọi các nhóm System. 
Sau đây là các nhóm Special Identifier:
Group
Mô tả
Anonymous Logon
Bao gồm bất kỳ tài khỏan người dùng mà Windows 2000 không xác nhận
Authenticated Users
Bao gồm tất cả tài khoản người dùng hợp lệ có tạo ra trong máy hay trong Active Directory. Dùng nhóm này để ngăn chặn quyền truy xuất bất hợp pháp của người dùng.
CREATOR OWNER
Bao gồm những người cho phép tạo ra các files hay thư mục. Nếu một thành viên thuộc nhóm Administrators tạo ra một tài nguyên nào đó thì tài nguyên đó thuộc quyền Administrators
Dialup
Bao gồm bất kỳ ai có thể kết nối vào mạng qua modem.
Everyone
Bao gồm tất cả mọi người đang truy cập vào máy tính. Theo mặc định nhóm này được gán quyền Full Control, do đó bất kỳ người nào cũng có toàn quyền trên bất kỳ tài nguyên nào của hệ thống.
Interactive
Bao gồm các tài khỏan cho phép người dùng có thể kết nối vào hệ thống. Các thành viên của nhóm này có thể truy cập vào bất kỳ máy nào tại bất kỳ nơi đâu.
Network
Bao gồm bất kỳ người nào có thể kết nối vào mạng để truy cập tài nguyên .
Câu hỏi ôn tập chương 9
1. Có ba phạm vi cho các nhóm được tạo ra trong domain là: 
a. Global groups	b. Local groups
c. Domain local groups	d. Universal groups
2. Tên các nhóm có sẵn (built-in group) trong Windows 2000 là ..... (chọn 3)
a. Users 	b. Administrators 
c. System 	d. Guests
3. Nhóm tài khoản nào mà Administrator có thể xoá trong các nhóm tài khoản sau: 
a. Users 	 	b. Guests 
 c. Bult-in groups	d. Created groups by the Administrator
4. Các nhóm nào trong các nhóm sau có thể chứa một số các tài khoản user từ một domain được nhóm lại với nhau. 
a. Global groups	b. Local groups
c. Domain local groups	d. Universal groups
5. Những nhóm nào trong các nhóm sau đây được sử dụng để gán các quyền tới các tài nguyên.
a. Global groups 	b. Local groups
c. Domain local groups	 	d. Universal groups
6. Những nhóm nào trong các nhóm sau đây được sử dụng để gán các quyền tới các tài nguyên liên quan trong nhiều domain. 
a. Global groups	b. Local groups
c. Domain local groups 	d. Universal group
TÀI LIỆU THAM KHẢO
[1] DMIT – Network Maintenance Text Book, 2000
[2] MCSE Training Kit - Microsoft Windows 2000 Server / Microsoft Corporation. Microsoft Press, 2000.
[3] MCSE Training Kit – Networking Essentials Plus, 3rd ed. Microsoft press, 1999.
[4] Nguyễn Thúc Hải - Mạng máy tính và các hệ thống mở, Nhà xuất bản giáo dục, Hà nội, 1997.