Quản trị người dùng (User) và quản trị nhóm (Group) |Phần 2

0

Quản trị người dùng (User) và quản trị nhóm (Group) |Phần 2

QUẢN TRỊ USER VÀ GROUP

1. QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG (USER)
2. QUẢN LÝ TÀI KHOẢN NHÓM (GROUP)
3. TẠO VÀ CẤU HÌNH PROFILE NGƯỜI DÙNG
4. QUYỀN NGƯỜI DÙNG

****************************************************************************************************

3. TẠO VÀ CẤU HÌNH PROFILE NGƯỜI DÙNG:

• Lệnh net user: Dùng để tạo thêm, hiệu chỉnh và hiển thị thông tin của các tài khoản người dùng  • Cú Pháp:  – net user [username [password | *] [options]][/domain]
 – net user username {password | *} / add [options][/domain]
  – net user username [/delete] [/domain] 
• Lệnh net group: Dùng để tạo thêm, hiển thị hoặc hiệu chỉnh nhóm toàn cục  • Cú Pháp: – net group [groupname [/comment:“text”]][/domain]
– net group groupname {/add [comment:“text”| /delete} [/domain]
– net group groupname username […] {/add | /delete] [/domain] 
• Lệnh net localgroup: Dùng để tạo thêm, hiển thị hoặc hiệu chỉnh nhóm cục bộ  • Cú Pháp:  – net localgroup [groupname [/comment:“text”]][/domain]

– net localgroup groupname {/add [comment:“text”|/delete} [/domain]

– net localgroup groupname name […] {/add | /delete] [/domain] • Lệnh dsadd user, dsmod user: Dùng để tạo mới, chỉnh sửa tài khoản người dùng  4. QUYỀN NGƯỜI DÙNG: * User Profile:  - Là nơi lưu trữ một kịch bản đăng nhập và các thiết lập cho Desktop, Document, Application,… của người dùng từ nội dung của Start menu cho tới màu sắc, cách định hướng chuột có thể lưu trữ ở một nơi nào đó để người dùng có thể đăng nhập ở bất kỳ một máy tính trên mạng mà vẫn thấy được màn hình đăng nhập giống nhau *Local user profile: - được lưu trong C:\Documents and Settings\%Username%, được tạo ra khi lần đầu logon vào hệ thống.  *Thông thường user profile có 2 loại: – Roaming user profile : được sử dụng trong trường hợp user sử dụng nhiều máy khác nhau. Ta sẽ tạo ra Roaming user profile, khi đó, user sẽ có Documents and Settings giống nhau trên tất cả các máy. – Mandatory user profile : là loại profile không lưu bất cứ thay đổi nào của user. Ví dụ, user thay đổi các thông tin như hình nền, font chữ. Các thông tin này sẽ trở lại như cũ khi user thoát khỏi hệ thống (log-off). *Tạo Roaming user profile: 
– Đầu tiên, ta cần tạo ra một profile chuẩn sau đó copy profile đến một thư mục được share trên Server. Để copy profile, Right Click vào  My Computer chọn  Properties/ Advance/ tại User Profile chọn Settings. * * * * * ** * * * * * * **************************  – Chọn profile chuẩn. Chọn mục Copy To, Gõ đường dẫn đến thư mục share trên Server \tên server(hoặc ip)\tên thư mục share vào   – Chọn Change để gán quyền cho nhóm được phép sử dụng profile này. Sau đó chọn OK đề hoàn tất. Để tạo ra Mandatory user profile, ta chỉ việc đổi tên file ntuser.dat thành ntuser.man trong thư mục chứa profile. • Tạo user profile: 
- profile patch ta điền:  \\ten server\ thư mục share  A/ Quyền User Right : - là quyền cấp cho user thực thi một số tác vụ trên hệ thống tức là một số quyền mà user được sử dụng trên server. Start/ Administrative Tool/ Domain Security Policy/ Local Policy/ User Rights Assignment  – Access this computer from the network: Quyền được truy cập vào server thông qua mạng. – Act as part of the operating system: Quyền được thi hành một số ph của hệ điều hành. – Add workstation to domain: Quyền được thêm trạm làm việc vào domain. – Allow logon locally: Quyền được đăng nhập cục bộ. – Allow log on through terminal Services: Quyền đăng nhập thông qu dịch vụ Terminal. – Back up files and directories: Quyền sao lưu files và thư mục – Change the system time: Quyền thay đổi thời gian hệ thống. – Deny log on locally: không được quyền đăng nhập cục bộ – Shut down the system: Quyền tắt máy. • Lưu ý: – Một người dùng được cấp quyền User Rights thì chỉ thực hiện được chức năng được cấp quyền ngoài ra những chức năng khác không thực hiện được – Ví dụ: Một người được cấp quyền log on locally thì chỉ có thể log in vào máy ngoài ra không có chức năng nào khác kể cả việc tắt máy cũng không được .  • Giả sử người dùng u1 chưa được cấp quyền Logon locally để logon nếu vẫn dùng tài khoản u1 để đăng nhập sẽ báo lỗi như sau:  B/cách cấp quyền user right: • Để cấp quyền cho người dùng u1 Logon vào máy tính miền thì ta vào Domain Security Policy /Local Policies /User Rights Assignment nhấp đúp vào mục Allow logon locally Nhấn vào "ADD User or group..." Nhập tên User hoă chọn Browse… Nhấn vào Advanced - Find now - chọn user để cấp quyền • Nhấn OK để kết thúc việc cấp quyền  • Người dùng có 2 loại quyền truy cập đó là: Share và NTFS – NTFS: cấp quyền truy cập cho thư mục và tập tin – Share: cấp quyền truy cập thư mục dùng chung  C/ Quyền người dùng NTFS: • Đặc điểm – Quyền NTFS chỉ có thể được cấp trên volume được định dạng là NTFS. – Quyền truy cập NTFS cung cấp khả năng bảo mật cao hơn so với FAT và FAT32, vì chúng áp dụng cho thư mục và cho từng tập tin cá thể. – Quyền truy cập tập tin NTFS áp dụng cho cả những ngừơi làm việc tại máy tính lưu trữ dữ liệu, lẫn người dùng truy cập thư mục hoặc tập tin qua mạng. – Quyền NTFS dùng để phân quyền cho từng user đăng nhập và sử dụng tài nguyên bằng 2 phương pháp: • Đăng nhập tài khoản quản trị Cục bộ trên máy tính có tài nguyên đang chia sẻ. • Kết nối từ xa tới thư mục chia sẻ. – Có thể áp đặt nhiều cấp độ cho phép truy cập lên từng tập tin trong một thư mục. – Khác với quyền truy cập thư mục dùng chung, quyền truy cập NTFS bảo vệ tài nguyên cục bộ theo cấu trúc phân tầng trên máy tính mà người dùng đó đăng nhập cục bộ. • Ví dụ: – Cho phép người này đọc và thay đổi nội dung của tập tin chia sẻ – Cho phép người dùng khác chỉ được quyền đọc tập tin và không cho bất cứ ai trong nhóm người còn lại được truy cập dưới bất kì hình thức nào • Lưu ý: – Khi một volume được định dạng NTFS thì Permission mặc định của Volume đó sẽ là group Everyone và có quyền Full Control. – Trên Volume NTFS khi bạn tạo 1 thư mục thì bạn sẽ sở hữu thư mục đó. Nếu người khác thuộc group Administrators thì cũng có toàn quyền sở hữu thư mục đó. – Nếu người dùng được cấp quyền Read với thư mục và quyềnWrite với tập tin trong thư mục đó thì người dùng vẫn có thể thay đổi nội dung của tập tin nhưng không thể tạo tập tin mới trong thư mục. D/ Quyền Share: • Muốn cho phép người dùng có thể truy cập tài nguyên qua mạng thì các thư mục chứa tài nguyên phải được share. • Khi một thư mục đã được share, bạn có thể bảo vệ thư mục bằng cách ấn định quyền truy cập thư mục dùng chung cho người sử dụng hoặc nhóm sử dụng theo mục đích thích hợp mà bạn đề ra. • Tuy nhiên, quyền truy cập thư mục dùng chung sẽ cung cấp mức độ bảo mật giới hạn vì các lí do sau đây: – Cho phép người dùng truy cập mọi thư mục và tập tin trong phạm vi thư mục dùng chung với cùng cấp độ. – Không có hiệu lực khi người dùng ngồi ngay trước máy tính chứa tài nguyên và tìm cách truy cập tài nguyên trên máy này. – Không thể dùng để bảo vệ từng cá thể tập tin. ** Cách cấp quyền NTFS và Share:  
Các quyền truy cập bị mờ

Các quyền truy cập bị mờ

Click chọn Advanced  để cấp quyền truy cập đặt biệt.

Check vào "replace.." xuất hiện màn hình Security

Check vào "replace.." xuất hiện màn hình Security

- Nếu chọn nút Copy tức là chúng ta sẽ copy các quyền đã cấp cho thư mục Public xuống cho các thư mục con theo cấu trúc phân tầng.
- Nếu chọn nút Remove chúng ta sẽ loại bỏ các quyền đã cấp và cấp lại quyền khác cho các thư mục con theo cấu trúc phân tầng.

Sau khi cho Copy hoặc Remove. Ta chọn quyền thích hợp cho mục Permissions

Các mục trong Pemissions đã hiển thị ta có thể chọn quyền truy cập thích hợp

Các mục trong Pemissions đã hiển thị ta có thể chọn quyền truy cập thích hợp

Sau khi cấp quyền NTFS cần phải kết hợp với quyền SHARE để thư mục có thể truy cập được qua  mạng

Click chọn nút Pemissions để cấp quyền truy cập thư mục này qua mạng

Click chọn nút Pemissions để cấp quyền truy cập thư mục này qua mạng

- Sau khi cấp quyền NTFS cần phải kết hợp với quyền SHARE để thư mục có thể truy cập được qua  mạng.
- Tuy nhiên khi kết hợp giữa quyền NTFS và quyền Share thìquyền Share luôn giữ Full  Control cho thư mục Share.

Ví dụ:
Trên Server tạo thư mục Public, trên thư mục Public tạo các file
data1.doc và data2.xls. Sau khi tạo xong Share thư mục Public với
quyền tương ứng với các user sau:
Tạo các User: u1, u2
• Cấp quyền truy cập cho u1 như sau:
Truy cập thư mục Public với quyền Full Control
Quyền NTFS là Full Control với file data1
Quyền NTFS là Read với file data2
• Cấp quyền truy cập cho u2 như sau:
Truy cập thư mục Public với quyền Read
Quyền NTFS là Full với file data1.doc
Quyền NTFS là Read với file data2.xls
Như vậy u1 là: Full với file data1.doc và Read với file data2.xls

u2 là: Read với file data1.doc và Read với file data2.xls

E/ nguyên tắc khi áp dụng quyền NTFS:

 Mục đích
Hoạch định một cách rõ ràng những cấp độ truy cập dự định gán cho cá nhân (user) hoặc cho nhóm (group) đối vớichương trình, dữ liệu mạng, và thư mục cá nhân. Nắm vững các tác vụ cần thiết để tạo thư mục cá nhân trên volume NTFS.
*/ Hoạch định thư mục chương trình:

- Bỏ quyền truy cập NTFS mặc định ở cấp độ Full Control từ
nhóm Everyone và đem cấp cho nhóm Administrators.
- Chỉ định cấp độ truy cập Full Control hoặc Change đối với thư
mục thích hợp cho những nhóm chịu trách nhiệm nâng cấp và xử
lí lỗi phần mềm.
- Nếu các chương trình mạng thường trú dùng chung, hãy cấp
quyền truy cập ở cấp độ Read cho nhóm Users.

**/ Hoạch định thư mục chương trình
- Bỏ quyền truy cập NTFS mặc định ở cấp độ Full Control từ nhóm Everyone và đem cấp cho nhóm Administrators.
- Chỉ định cấp độ truy cập Full Control hoặc Change đối với thư mục thích hợp cho những nhóm chịu trách nhiệm nâng cấp và xử lí lỗi phần mềm.
- Nếu các chương trình mạng thường trú dùng chung, hãy cấp
quyền truy cập ở cấp độ Read cho nhóm Users.

***/Hoạch định thư mục cá nhân - Tập trung mọi thư mục cá nhân trên 1 Volume NTFS (Trên 1 server nào đó) riêng biệt với Volume chứa hệ điều hành và các chương trình, nhằm hợp lí hóa công tác quản trị và sao lưu dữ liệu. Thường thì cái gì cũng vậy, nếu chúng ta gọn gàng thì sẽ rất dễ cho công việc sau này. - Dùng biến %Usersname% để tự động gán tên tài khoản của người dùng cho thư mục cá nhân và tự động chỉ định quyền truy cập NTFS ở cấp độ Full Control cho người dùng tương ứng. ****/Muốn cấp quyền truy cập NTFS người dùng phải thỏa các điều kiện sau: - Là chủ sở hữu của tập tin hoặc thư mục, - Phải có quyền truy cập ở cấp độ Full Control, hoặc quyền truy cập ở cấp độ Change Permiss hay Take Ownership. *****/Quyền truy cập đặc biệt: - Trong hầu hết các trường hợp của Windows dùng quyền truy cập chuẩn (standard permission) là có thể bảo vệ tập tin và thư mục. - Tuy nhiên trong 1 vài trường hợp cần chỉ định quyền truy cập đặc biệt (special access permissions) quyền này cho phép khả năng cấp quyền truy cập cá nhân (individual) cho từng tài khoản người dùng hoặc cho Group. Nên cấp quyền truy cập đặc biệt cho user nhằm mục đích sau: - Cho phép người dùng khác quản lí quyền truy cập những tập tin do bạn sở hữu - Cấp cho người dùng quyền truy cập ở cấp độ Change Permissions - Bảo vệ các tập tin chương trình hỏi bị hủy bỏ do sơ ý hoặc do Virus phá hoại, - Cấp cho mọi tài khoản người dùng, kể cả tài khoản của nhà quản trị Administrator. - Cấp quyền truy cập ở cấp độ READ đối với các tập tin điều hành. - Cho phép nhà quản trị chỉnh sửa tập tin điều hành, - Cấp cho nhóm Administrator quyền truy cập Change Permissions. Quyền truy cập này cung cấp cho nhà quản trị khả năng thay đổi quyền truy cập với những tập tin chỉ đọc (Read only) nếu cần. - Mặc định người dùng nào tạo ra tập tin hoặc thư mục sẽ hiển nhiên là chủ sở hữu của tập tin và thư mục hoặc tập tin đó. - Khi đã là chủ sở hữu thư mục hoặc tập tin có thể ấn định quyền truy cập nhằm kiểm soát những gì người khác có thể thực hiện cho tập tin và thư mục này. - Trong vài trường hợp có lúc những người quản trị cần phải tước bỏ quyền sở hữu của người dùng vì lý do an ninh. Đó gọi là Take Ownership. Xác định quyền truy cập trong khung Permission entries  Tạo tài khoản người dung có quyền Take Ownership  /*/*/ Việc cần làm khi cấp quyền NTFS: a. Cấp quyền truy cập NTFS trước khi chia sẻ 1 thư mục. Để đảm bào an toàn trước cho thư mục b. Cấp quyền cho nhóm thay vì cho từng người dùng. c. Cấp quyền truy cập mọi tập tin điều hành ở quyền READ cho nhóm Users và nhóm Administrators. d. Hướng dẫn các user dưới quyền sử dụng chung 1máy tính ấn định quyền truy cập các tập tin và thư mục do họ sở hữu. e. Cấp quyền ở mức độ READ cho mọi tài khoản người dùng kể cả Administrator với tập tin chương trình (file System). f. Ngoài ra hãy cấp cho group Admin quyền truy cập đặc biệt ớ cấp độ change permissions. g. Cấp cho nhóm Creator Owner quyền truy cập thư mục Data ở cấp độ Full Control ,như thế người dùng chỉ có quyền Full Control đối với những thư mục hay tập tin mà họ tạo ra trong thư mục Data. h. Đối với tài khoản người dùng hãy đặt tên dài có tính mô tả. Hoạch định cách đặt tên trước khi làm, nếu 1 thư mục được chia sẻ hãy đặt tên sao cho mọi máy khác đều có thể đọc được chúng. (Địt cụ hết abcd rồi tới gì nữa lộn tùm phèo hết =)) ************************************************************ Xem lại phần 1 tại đây