Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment: Chương 3 - ThS. Trần Bá Nhiệm (Biên soạn)

47 44 0
Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment: Chương 3 - ThS. Trần Bá Nhiệm (Biên soạn)

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Chương 3 hướng dẫn người học cách tạo và quản trị tài khoản người dùng - User Account. Thông qua chương này người học có thể: Hiểu mục đích của các tài khoản user; hiểu tiến trình chứng thực user; hiểu và cấu hình các loại user profile: local, roaming, mandatory; cấu hình và sửa chữa tài khoản user bằng nhiều phương pháp; sự cố đối với tài khoản và chứng thực user.

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 3: Tạo quản trị tài khoản người dùng-User Account Mục tiêu • Hiểu mục đích tài khoản user • Hiểu tiến trình chứng thực user • Hiểu cấu hình loại user profile: local, roaming, mandatory • Cấu hình sửa chữa tài khoản user nhiều phương pháp • Sự cố tài khoản chứng thực user 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Giới thiệu tài khoản User • Một tài khoản user đối tượng Active Directory • Thể thơng tin định nghĩa user với quyền truy cập vào mạng (tên, mật khẩu,…) • Mọi người dùng tài nguyên mạng bắt buộc có tài khoản • Tham gia vào việc quản trị bảo mật • Phải theo chuẩn tổ chức 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Các đặc tính tài khoản User • Cơng cụ để tạo quản trị tài khoản Active Directory Users and Computers • Active Directory dễ mở rộng nên có tab thêm vào trang đặc tính (property page) • Các đặc tính quan trọng thiết lập gồm: • • • • • General Address Account Profile Sessions 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Thực tập 3-1: Xem lại đặc tính tài khoản User • Mục tiêu xem lại đặc tính tài khoản user thơng qua Active Directory Users and Computers • Start  Administrative Tools  Active Directory Users and Computers  Users  AdminXX account  Properties • Xem tab giá trị theo y/c 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Tab tài khoản 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chứng thực User • Tiến trình nhận dạng user hợp pháp • Dùng để chấp nhận từ chối quyền truy cập vào tài nguyên mạng • Từ hệ điều hành client • Tên, mật khẩu, tài nguyên y/c • Trong mơi trường Active Directory • Domain controller chứng thực • Trong workgroup • SAM cục chứng thực 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Các phương pháp chứng thực • Hai tiến trình • Chứng thực tương tác • Thơng tin tài khoản user cung cấp đăng nhập • Chứng thực mạng • Uỷ nhiệm thư (credential) User xác nhận cho truy cập mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chứng thực tương tác • Tiến trình user cung cấp tên mật để chứng thực • Khi đăng nhập vào domain, credential so sánh với sở liệu AD tập trung • Khi đăng nhập cục bộ, credential so sánh với sở liệu SAM • Trong mơi trường domain, user bình thường khơng có tài khoản cục 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chứng thực mạng • Tiến trình dịch vụ mạng chấp nhận danh định user • Với user đăng nhập vào domain, chứng thực mạng suốt • Credential từ chứng thực tương tác hợp lệ với tài nguyên mạng • Một user đăng nhập vào máy tính cục nhắc đăng nhập riêng biệt vào tài nguyên mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 10 DSMOVE • Cho phép kiểu đối tượng di chuyển từ vị trí hành đến nơi • Cho phép nhiều kiểu đối tượng khác đổi tên • Chỉ cho phép di chuyển miền (trái lại dùng lệnh MOVETREE) • Ví dụ: di chuyển tài khoản user vào OU “marketing” • dsmove "cn=Paul Kohut,cn=users,dc=domain01, dc=dovercorp,dc=net" –newparent "ou=marketing, dc=domain01,dc=dovercorp,dc=net" 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 33 DSRM • • • • Cho phép đối tượng xóa từ directory Có thể xóa đối tượng tồn Có lựa chọn chấp nhận để ghi đè Ví dụ: để xóa Marketing OU tất đối tượng chứa khơng cần nhắc chấp nhận: • dsrm –subtree –noprompt –c "ou=marketing, dc=domain01,dc=dovercorp,dc=net " 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 34 Bulk Import and Export • Cho phép tổ chức nhận vào lưu trữ có thay cho tạo hồn tồn từ đầu • Cho phép tổ chức xuất liệu có cấu trúc AD vào sở liệu thứ hai • lệnh: • CSVDE • LDIFDE 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 35 CSVDE • Cơng cụ dòng lệnh cho phép xuất/nhập liệu AD đến/từ file comma-separated value (CSV) • CSV file tạo/soạn thảo dùng chương trình soạn thảo thơng dụng • Ví dụ: • csvde –f output.csv 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 36 LDIFDE • Cơng cụ dịng lệnh cho phép xuất/nhập liệu AD đến/từ file LDIF • LDAP Interchange Format • Chuẩn công nghiệp cho thông tin LDAP directory • Mỗi cặp thuộc tính/giá trị dịng riêng với dịng trống đối tượng • CSV file đọc dùng chương trình soạn thảo thơng dụng • Dùng phổ biến: mở rộng AD schemas, điều khiển user đối tượng nhóm 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 37 Sự cố với tài khoản User vấn đề chứng thực • Bình thường tạo cấu hình tài khoản user dễ dàng • Các vấn đề có thường liên quan: • Cấu hình tài khoản • Các thiết lập sách 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 38 Các sách tài khoản • Các thiết lập sách liên quan đến chứng thực • Được cấu hình nút Account Policies đối tượng Group Policy mức domain • Khóa tài khoản, mật khẩu, Kerberos • Chính sách Domain • Được truy cập từ Active Directory Computers and Users • Cấu hình sách cho tất domain user 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 39 Chính sách mật • Các thiết lập cấu hình • • • • • • Lịch sử việc sử dụng lại mật Thời gian tồn tối đa Thời gian tồn tối thiểu Độ dài tối thiểu u cầu độ phức tạp Chính sách mã hóa 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 40 Các thiết lập khóa tài khoản • Các thiết lập cấu hình • Thời hạn khóa • Thời điểm bắt đầu khóa • Thiết lập lại đếm sau khóa 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 41 Chính sách Kerberos • Các thiết lập cấu hình • • • • Bắt buộc giới hạn đăng nhập Thời gian tồn tối đa service ticket Thời gian tồn tối đa user ticket Thời gian tối đa để làm lại user ticket 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 42 Chính sách kiểm tốn • Kiểm tốn kiện tài khoản đăng nhập • Cấu hình đối tượng Group Policy liên kết với Domain Controllers OU (chính sách Domain Controllers mặc nhiên) • Mặc nhiên với đăng nhập thành cơng • Sự kiện xem báo cáo Security log (dùng Event Viewer) • Có thể chọn để sửa chữa đăng nhập lỗi • Có ích với việc giải cố • Các mã cung cấp thơng tin kiểu lỗi 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 43 Giải cố đăng nhập • Một số vấn đề cách sửa • • • • • • • Tên user mật sai (administrative thiết lập lại) Tài khoản bị khóa (mở khóa thủ cơng) Tài khoản bị cấm (administrative cho phép) Các giới hạn đăng nhập (kiểm tra lại giới hạn) Các giới hạn trạm làm việc Domain controller (kiểm tra lại thiết lập DNS) Các thiết lập thời gian (kiểm tra đồng thời gian) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 44 Giải cố đăng nhập (tt) • Vấn đề đăng nhập UPN (kiểm tra Global Catalog server) • Khơng cho phép đăng nhập cục (thiết lập sách server cục bộ) • Vấn đề đăng nhập truy cập từ xa (kiểm tra truy cập thuộc tính Dial-up) • Vấn đề đăng nhập dịch vụ Terminal (kiểm tra cho phép quyền đăng nhập vào terminal server) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 45 Tổng kết • Một tài khoản user đối tượng lưu giữ AD • Thơng tin định nghĩa user quyền truy cập vào mạng • Cơng cụ để tạo quản lý tài khoản user • Active Directory Users and Computers • Dịng lệnh (DSADD, DSMOD, DSQUERY, DSMOVE, DSRM) • tiến trình chứng thực • chứng thực tương tác • chứng thực mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 46 Tổng kết (tt) • giao thức chứng thực • Kerberos v5, NTLM • Các User profile dùng để cấu hình tùy biến mơi trường làm việc • Local, roaming, mandatory • Các ứng dụng để nhập/xuất liệu user đến/từ AD • LDIFDE, CSVDE 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 47 ... • DSADD USER • Các kh? ?a chuyển gồm • -pwd (password), -memberof, -email, -profile, -disabled 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 20 03 Environment... thao tác backup) • Thay đổi profile từ local  roaming nên cẩn thận lưu trước 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 20 03 Environment 20 Thực tập 3- 3: Cấu hình kiểm tra Roaming... Directory Users and Computers  Users  AdminXX account  Properties • Xem tab giá trị theo y/c 7 0-2 90: MCSE Guide to Managing a Microsoft Windows Server 20 03 Environment Tab tài khoản 7 0-2 90: MCSE

Ngày đăng: 29/01/2020, 23:59

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan