Tài liệu Tạo và quản trị tài khoản người dùng-user account

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 3: Tạo và quản trị tài khoản người dùng-User Account Mục tiêu • Hiểu mục đích của các tài khoản user • Hiểu tiến trình chứng thực user • Hiểu và cấu hình các loại user profile: local, roaming, mandatory • Cấu hình và sửa chữa tài khoản user bằng nhiều phương pháp • Sự cố đối với tài khoản và chứng thực user 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 2 Giới thiệu tài khoản User • Một tài khoản user là một đối tượng Active Directory • Thể hiện thông tin định nghĩa 1 user với quyền truy cập vào mạng (tên, mật khẩu,…) • Mọi người dùng tài nguyên mạng bắt buộc có tài khoản • Tham gia vào việc quản trị và bảo mật • Phải theo các chuẩn của tổ chức 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 3 Các đặc tính tài khoản User • Công cụ chính để tạo và quản trị tài khoản là Active Directory Users and Computers • Active Directory dễ mở rộng nên có thể có các tab được thêm vào các trang đặc tính (property page) • Các đặc tính quan trọng có thể thiết lập gồm: • • • • • General Address Account Profile Sessions 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 4 Thực tập 3-1: Xem lại các đặc tính tài khoản User • Mục tiêu là xem lại các đặc tính của tài khoản user thông qua Active Directory Users and Computers • Start  Administrative Tools  Active Directory Users and Computers  Users  AdminXX account  Properties • Xem các tab và các giá trị theo y/c 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 5 Tab tài khoản 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 6 Chứng thực User • Tiến trình nhận dạng một user hợp pháp • Dùng để chấp nhận hoặc từ chối quyền truy cập vào tài nguyên mạng • Từ 1 hệ điều hành client • Tên, mật khẩu, tài nguyên y/c • Trong môi trường Active Directory • Domain controller chứng thực • Trong 1 workgroup • SAM cục bộ chứng thực 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 7 Các phương pháp chứng thực • Hai tiến trình chính • Chứng thực tương tác • Thông tin tài khoản user được cung cấp khi đăng nhập • Chứng thực mạng • Uỷ nhiệm thư (credential) của User được xác nhận cho truy cập mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 8 Chứng thực tương tác • Tiến trình trong đó user cung cấp tên và mật khẩu để chứng thực • Khi đăng nhập vào domain, credential được so sánh với cơ sở dữ liệu AD tập trung • Khi đăng nhập cục bộ, credential được so sánh với cơ sở dữ liệu SAM • Trong các môi trường domain, các user bình thường không có tài khoản cục bộ 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 9 Chứng thực mạng • Tiến trình một dịch vụ mạng chấp nhận danh định của một user • Với 1 user đăng nhập vào domain, chứng thực mạng là trong suốt • Credential từ chứng thực tương tác hợp lệ với các tài nguyên mạng • Một user đăng nhập vào máy tính cục bộ sẽ được nhắc đăng nhập riêng biệt vào tài nguyên mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 10 Các giao thức chứng thực • Windows Server 2003 hỗ trợ 2 giao thức chứng thực chính: • Kerberos version 5 (Kerberos v5) • NT LAN Manager (NTLM) • Kerberos v5 là công cụ chính cho môi trường Active Directory nhưng không hỗ trợ trên các hệ thống client khác • NTLM là công cụ chính cho các hệ điều hành Microsoft còn lại 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 11 Kerberos v5 • Hỗ trợ bởi Windows 2000, Windows XP, Windows Server 2003 • Giao thức đi theo sau: • Yêu cầu đăng nhập được chuyển cho Key Distribution Center (KDC), một Windows Server 2003 domain controller • KDC chứng thực user và nếu hợp pháp, phát ra một ticket-granting ticket (TGT) cho hệ đh client 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 12 Kerberos v5 (tt) • Khi client y/c một tài nguyên mạng, nó trình TGT cho KDC • KDC phát ra một service ticket cho client • Client trình service ticket cho host server của tài nguyên đó • Mọi DC trong môi trường AD đều giữ vai trò KDC • Không phải mọi client đều theo giao thức này 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 13 NTLM • Dùng với các hệ điều hành chạy Windows NT 4.0 hoặc trước nữa, nếu cần cũng dùng được cho Windows Server 2000/2003 • Giao thức đi theo sau: • User đăng nhập, client tính giá trị băm mã hóa của mật khẩu • Client gửi tên user cho DC 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 14 NTLM (tt) • DC sinh ra challenge ngẫu nhiên và gửi cho client • Client giải mã challenge với giá trị băm của mật khẩu và gửi về DC • DC tính toán giá trị mong muốn được trả về từ client và so sánh với giá trị thực tế • Sau khi chứng thực thành công, DC sinh ra một token cho user với tài nguyên mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 15 User Profiles • Một tập hợp các thiết lập đặc trưng cho một user • Theo mặc nhiên được lưu giữ cục bộ • Không đi theo user đăng nhập trên các máy tính khác • Có thể tạo 1 roaming profile • Đi theo user đăng nhập trên các máy tính khác • Administrator có thể tạo 1 mandatory profile • User không thể thay đổi nó 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 16 User Profile Folders and Contents 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 17 Local Profiles • Các profile mới được tạo từ thư mục Default User profile • User có thể thay đổi local profile và những thay đổi được lưu giữ lại chỉ cho user đó • Administrator có thể quản lý nhiều phần tử của profile • Change Type • Delete • Copy To 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 18 Thực tập 3-2: Kiểm tra Local Profile Settings • Mục tiêu là cấu hình và kiểm tra 1 local user profile • Start  Administrative Tools  Active Directory Users and Computers  Users  New  User • Theo các chỉ dẫn để tạo 1 user profile mới • Khám phá và cấu hình các đặc tính • Kiểm tra lại bằng cách đăng nhập như user mới 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 19 Roaming Profiles • Roaming profiles • Cho phép profile lưu trên 1 server trung tâm và đi theo user • Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với thao tác backup) • Thay đổi 1 profile từ local  roaming nên cẩn thận sao lưu trước 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 20