Mô tả:
70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003
Environment
Chương 4:
Hiện thực và quản lý các
tài khoản Group và
Computer
Mục tiêu
• Hiểu mục đích của việc dùng các tài khoản group
là để đơn giản hóa việc quản trị
• Tạo các đối tượng group dùng công cụ giao diện
đồ họa cũng như dòng lệnh
• Quản lý các group security và các group
distribution
• Ý nghĩa các group xây dựng sẵn được tạo ra khi
cài đặt AD
• Quản lý và tạo các tài khoản computer
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
2
Giới thiệu các tài khoản Group
• Một group là 1 đối tượng container
• Dùng để tổ chức tập hợp các user, computer, contacts,
và các group khác
• Dùng để đơn giản hóa việc quản trị
• Giống như OU, ngoại trừ:
• Các OU không có nguyên lý bảo mật, các group có
• Các OU chỉ chứa các đối tượng từ domain cha của
chúng, các group có thể chứa cả các đối tượng từ trong
forest
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
3
Các kiểu Group
• Các group security
• Định nghĩa bởi Security Identifier (SID)
• Có thể gán quyền cho các tài nguyên
• Trong các DACL
• Có thể gán các quyền để thực hiện những nhiệm vụ
khác nhau
• Có thể cũng dùng như các thực thể email
• Các group distribution
• Chủ yếu dùng như các thực thể email
• Không có SID liên kết
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
4
Các phạm vi Group
• Phạm vi ý nói tới ranh giới lôgíc của những quyền
đ/v những tài nguyên đặc biệt
• Cả các group security và group distribution đều có
phạm vi
• 3 phạm vi
• Các đối tượng có thể trong mỗi phạm vi phụ thuộc trên
mức chức năng đã cấu hình của 1 domain
• Các kiểu phạm vi là: global, domain local và universal
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
5
Các phạm vi Group (tt)
• 3 mức chức năng domain:
• Windows 2000 mixed: cấu hình mặc định hỗ trợ kết
hợp cả các DC của Windows NT Server 4.0, 2000
Server và Server 2003
• Windows 2000 native: hỗ trợ kết hợp cả các DC của
Windows 2000 Server và Server 2003
• Windows Server 2003: chỉ hỗ trợ DC Windows Server
2003
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
6
Các Global Group
• Tổ chức các group của các user, computer, group
trong cùng domain
• Thường thể hiện vị trí địa lý của group chức năng
công tác
• Các kiểu của các đối tượng trong group liên quan
tới mức chức năng đã cấu hình của domain
• Phụ thuộc vào các kiểu của các DC trong môi trường
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
7
Các Domain Local Group
• Được tạo trên các DC
• Có thể gán quyền cho bất kỳ tài nguyên nào trong
cùng domain
• Có thể chứa các group từ domain khác
• Xác định các đối tượng cho phép trong group liên
hệ đến mức chức năng đã cấu hình của domain
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
8
Các Universal Group
• Điển hình được tạo ra cho các user hay những
group trong những domain khác nhau
• Lưu trên các DC được cấu hình như các global
catalog server
• Có thể gán quyền cho bất kỳ tài nguyên nào trong
forest
• Chỉ có thể được tạo trong mức chức năng domain
Windows 2000 native / Windows Server 2003
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
9
Các Universal Group (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
10
Tạo các đối tượng Group
• Các đối tượng Group lưu giữ trong cơ sở dữ liệu
AD
• Nhiều loại công cụ khác nhau có thể dùng để tạo
và quản lý:
• Active Directory Users and Computers
• ứng dụng dòng lệnh
• DSADD, DSMOD, DSQUERY,…
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
11
Active Directory Users and
Computers
• Công cụ chính:
• Tạo các tài khoản group
• Có thể dùng để cấu hình các thuộc tính của các tài
khoản group
• Các group có thể được tạo trong bất kỳ container
có sẵn, tại gốc của đối tượng domain hoặc trong
các đối tượng OU tùy ý
• Các phạm vi group được xác định bởi mức chức
năng của domain được cấu hình như thế nào
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
12
Active Directory Users and
Computers (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
13
Thực tập 4-1: Tạo và thêm các
thành viên vào Global Group
• Mục tiêu: Dùng Active Directory Users and
Computers để tạo các global group
• Start Administrative Tools Active Directory
Users and Computers Users container New
Group
• Theo các chỉ dẫn để tạo một số global groups và
thêm các tài khoản user vào các group
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
14
Thực tập 4-1 (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
15
Thực tập 4-2: Tạo và thêm các
thành viên vào Domain Local
Groups
• Mục tiêu: Dùng Active Directory Users and
Computers để tạo các domain local group
• Active Directory Users New Group
• Theo các chỉ dẫn để tạo Domain Local group và
thêm các global groups vào đó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
16
Thực tập 4-3: Thay đổi mức chức
năng của 1 Domain. Tạo và thêm
các thành viên vào Universal
Group
• Mục tiêu: Thay đổi mức chức năng của 1 Domain
Windows Server 2003 và dùng Active Directory
Users and Computers để tạo các universal group
• Mở đối tượng domain trong Active Directory
Users and Computers
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
17
Thực tập 4-3 (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
18
Thực tập 4-3 (tt)
• Theo các chỉ dẫn để nâng mức chức năng của
domain
• Tiếp tục bài tập tạo 1 universal group mới
• Tiếp tục bài tập thêm các group đã có vào group
mới này
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
19
Thực tập 4-3 (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
20
- Xem thêm -