Quản trị mạng Window 2000 server - Bài 6: Quản trị khoản mục người dùng
1. Cơ sở dữ liệu NTDS.DIT .
Các khoản mục người dùng của miền được đặt trong cấu trúc AD của máy chủ DC và chứa trong tập tin NTDS.DIT và theo mặc định tập tin này nằm trong thư mục C:\WINNT\NTDS.DIT. Cơ sở dữ liệu NTDS.DIT chứa nhiều thông tin về các Server và máy trạm, các tài nguyên, các ứng dụng đã phát hành và các chính sách bảo mật. NTDS.DIT cùng với phần mềm chạy nó (DCPROMO) được gọi là Directory Services (hay Active Directory - AD ). Cơ sở dữ liệu này được sao chép ra khắp miền trên các máy DC bản sao để đảm bảo tính chịu lỗi và cân bằng trọng tải.
2. Mã nhận diện bảo mật (SID).
Mỗi khoản mục người dùng khi mới được tạo ra đều tự động được cấp một mã nhận diện bảo mật (Security Identifier - SID ). Mỗi SID là một con số duy nhất để nhận diện một khoản mục và không bao giờ được tái sử dụng, nếu khoản mục bị xoá, SID cũng bị xoá theo.
Quản trị mạng window 2000 serverBài 6Quản trị khoản mục người dùng I. Một số khái niệm1. Cơ sở dữ liệu NTDS.DIT . Các khoản mục người dùng của miền được đặt trong cấu trúc AD của máy chủ DC và chứa trong tập tin NTDS.DIT và theo mặc định tập tin này nằm trong thư mục C:\WINNT\NTDS.DIT. Cơ sở dữ liệu NTDS.DIT chứa nhiều thông tin về các Server và máy trạm, các tài nguyên, các ứng dụng đã phát hành và các chính sách bảo mật. NTDS.DIT cùng với phần mềm chạy nó (DCPROMO) được gọi là Directory Services (hay Active Directory - AD ). Cơ sở dữ liệu này được sao chép ra khắp miền trên các máy DC bản sao để đảm bảo tính chịu lỗi và cân bằng trọng tải. 2. Mã nhận diện bảo mật (SID). Mỗi khoản mục người dùng khi mới được tạo ra đều tự động được cấp một mã nhận diện bảo mật (Security Identifier - SID ). Mỗi SID là một con số duy nhất để nhận diện một khoản mục và không bao giờ được tái sử dụng, nếu khoản mục bị xoá, SID cũng bị xoá theo.I. Một số khái niệm (tiếp)3. Công cụ quản trị khoản mục người dùng của miền. Trong Win2K, Active Diredtory Users and Computer (DSA.MSC) là công cụ chính để quản lý các khoản mục người dùng, các nhóm bảo mật, các OU và các chính sách trong mạng đơn miền hoặc đa miền. Công cụ này có thể được chạy trên bất kỳ máy Win2K nào, mặc dù nó chỉ được cài đặt và xuất hiện trên máy DC. Sử dụng công cụ này ta có thể thực hiện bằng hai cách: + Start - Run - gõ lệnh DSA.MSC - Enter (chạy lệnh). + Start - Programs - Adminstrator Tools - Active Diredtory Users and Computers.I. Một số khái niệm (tiếp) Cửa sổ điều khiển của Active Diredtory Users and Computers chứa các khoang chứa (Container) và OU được tạo sẵn trong miền đó là: Builtin, Computers, Domain Controllers, Foreign Sercurity Principals và Users. + Users và Computer: là Container mặc định để chứa các khoản mục người dùng, khoản mục máy và nhóm, nó không chứa các OU khác. + Builtin: là Container chứa các Group đặc biệt tạo sẵn như là: Guests, Administrators, Account Operators, Users vốn có mặt trên mọi máy Win2K Server và máy DC. + Domain Controllers: là OU mặc định được tạo trên các máy DC của Win2K. Đây là nơi chứa khoản mục máy của DC khi + Foreign Sercurity Principals: là Container mặc định dành cho các đối tượng từ miền ngoài được uỷ quền cho miền đang xét.II. Tạo khoản mục người dùng - Start - Programs - Administrative Tools - Active Directory Users and Computers (hoặc Start - Run – gõ lệnh DSA.MSC - Enter) - xuất hiện cửa sổ của Wizard cho phép tạo và quản lý khoản mục. II. Tạo khoản mục người dùng (tiếp)Chọn Container Users (hoặc chọn OU, Container khác) chứa khoản mục cần tạo - Action - New - Users - xuất hiện cửa sổ tiếp theo của Wizard cho phép nhập các thông tin khoản mục. Nhập vào các thông tin khoản mục + First name : tên người dùng dài tối đa 28 kí tự. + Last name : họ của người dùng (không bắt buộc). + Initials : họ tên viết tắt của người dùng (không bắt buộc). + Full name : họ tên đầy đủ của người dùng. + User logon name : tên đăng nhập của khoản mục và hậu tố UPN (User Principal Name) gắn vào sau tên khoản mục khi đăng nhập. + User logon name (Pre_Windows 2000): tên đăng nhập kiểu cũ.II. Tạo khoản mục người dùng (tiếp)Chọn Next để chuyển sang cửa sổ mật khẩu sau: Nhập và chọn các thông tin quản lý mật khẩu với ý nghĩa sau: + Password: nhập mật khẩu của người dùng. + Confirm password: xác nhận lại mật khẩu. + User must change password at next logon: bắt buộc người dùng phải thay đổi mật khẩu khi đăng nhập lần đầu (mặc định). + User can not change password: không cho phép người dùng thay đổi mật khẩu + Password never expires: mật khẩu không bao giờ hết hạn. + Account is disabled: khoản mục bị vô hiệu hoá và không thể đăng nhậpII. Tạo khoản mục người dùng (tiếp)Chọn Next để hiện lên màn hình cuối cùng xác nhận lại các thông tin chính của người dùng đã nhập bao gồm: Tên Container (OU) chứa khoản mục, tên đầy đủ, tên đăng nhập, tuỳ chọn về mật khẩu và khoản mục. Chọn Finish để kết thúc quá trình tạo khoản mục hoặc chọn Back để quay lại và sửa ở các bước trước đó. III. Quản lý khoản mục người dùng Để quản ký danh sách các khoản mục người dùng trong miền ta có thể thực hiện các thao tác sau từ cửa sổ của DSA.MSC:1. Đổi tên đầy đủ các khoản mục người dùng. - Chọn tên người dùng cần đổi tên. - Chọn Action - Rename (hoặc kích chuột phải - Rename) - Nhập tên mới - Enter.2. Đổi mật khẩu của khoản mục người dùng. - Chọn tên người dùng. - Chọn Action - Reset Password ( kích chuột phải - Reset password) - Đặt mật khẩu và thuộc tính mật khẩu trong cửa sổ mật khẩu - chọn OK.3. Xoá khoản mục người dùng.- Chọn người dùng. - Chọn Action - Delete (hoặc kích chuột phải - Delete)- Chọn Yes hoặc No để xác nhận việc xoá hoặc không xoá.Iv. Thay đổi đặc tính khoản mục Để chọn đặc tính một khoản mục, ta kích chuột phải vào tên khoản mục rồi chọn Properties - General: là trang đặc tính chung, chỉ ra những thông tin chung khi tạo khoản mục, - Address: là trang đặc tính về địa chỉ thư của người dùng. - Telephones: là trang đặc tính về địa chỉ nhà, số máy nhắn tin, điện thoại di động, Fax, điện thoại IP và các ghi chú về khoản mục. - Organization: là trang đặc tính về chức danh công việc và vị trí người dùng trong hệ thống cơ quan làm việc. v. Thay đổi các thiết định khoản mục Để thay đổi các thiết định về khoản mục người dùng ta sử dụng trang Account trong danh sách các trang thuộc tính của khoản mục khi chọn Properties từ menu ngữ cảnh. v. Thay đổi các thiết định khoản mục (tiếp)1. Thời gian đăng nhập mạng. - Chọn Logon Hours... - xuất hiện cửa sổ xác định thời gian được phép và không được phép đăng nhập. Các hàng biểu thị ngày, các cột biểu thị giờ trong ngày, các ô tô màu biểu thị giờ được đăng nhập.- Chọn thời gian được đăng nhập - chọn Logon Permitted: - Chọn thời gian không được đăng nhập - chọn Logon Denied. - Chọn OK.v. Thay đổi các thiết định khoản mục (tiếp)2. Máy đăng nhập. - Chọn Logon to... - Chọn All Computers để cho phép khoản mục đăng nhập từ mọi máy trên mạng. - Chọn The following computers để chỉ định tên máy cụ thể được phép sử dụng đăng nhập vào mạng. - Nhập tên máy tại mục Computer name - chọn Add. - Chọn Edit để sửa lại tên máy. - Chọn Delete để xoá tên máy. - Chọn OK.v. Thay đổi các thiết định khoản mục (tiếp)3. Thời hạn khoản mục. Theo mặc định, một tài khoản không bao giờ hết hạn, tuy nhiên ta có thể ấn định ngày hết hạn của khoản mục, khi đó mục Account is Lockout trong thuộc tính khoản mục sẽ được chọn và khoản mục sẽ bị vô hiệu hoá. Để ấn định thời hạn khoản mục ta chọn mục Account expires và chọn một trong hai lựa chọn sau: - Never: khoản mục không bao giờ hết hạn. - End of: chỉ ra ngày hết hạn của khoản mục.vi. Thay đổi thành viên nhómChọn trang Member of để chỉ định tư cách thành viên nhóm cho khoản mục người dùng như sau: - Chọn Add và lựa chọn nhóm từ danh sách các nhóm để gán chúng là nhóm mà người dùng là thành viên. - Chọn Remove để loại bỏ nhóm mà người dùng là thành viên.
File đính kèm:
- Quan tri khoan muc nguoi dung.ppt