Mô tả:
70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003
Environment
Chương 3:
Tạo và quản trị tài khoản
người dùng-User Account
Mục tiêu
• Hiểu mục đích của các tài khoản user
• Hiểu tiến trình chứng thực user
• Hiểu và cấu hình các loại user profile: local,
roaming, mandatory
• Cấu hình và sửa chữa tài khoản user bằng nhiều
phương pháp
• Sự cố đối với tài khoản và chứng thực user
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
2
Giới thiệu tài khoản User
• Một tài khoản user là một đối tượng Active
Directory
• Thể hiện thông tin định nghĩa 1 user với quyền
truy cập vào mạng (tên, mật khẩu,…)
• Mọi người dùng tài nguyên mạng bắt buộc có tài
khoản
• Tham gia vào việc quản trị và bảo mật
• Phải theo các chuẩn của tổ chức
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
3
Các đặc tính tài khoản User
• Công cụ chính để tạo và quản trị tài khoản là
Active Directory Users and Computers
• Active Directory dễ mở rộng nên có thể có các tab
được thêm vào các trang đặc tính (property page)
• Các đặc tính quan trọng có thể thiết lập gồm:
•
•
•
•
•
General
Address
Account
Profile
Sessions
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
4
Thực tập 3-1: Xem lại các đặc
tính tài khoản User
• Mục tiêu là xem lại các đặc tính của tài khoản user
thông qua Active Directory Users and Computers
• Start Administrative Tools Active Directory
Users and Computers Users AdminXX
account Properties
• Xem các tab và các giá trị theo y/c
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
5
Tab tài khoản
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
6
Chứng thực User
• Tiến trình nhận dạng một user hợp pháp
• Dùng để chấp nhận hoặc từ chối quyền truy cập
vào tài nguyên mạng
• Từ 1 hệ điều hành client
• Tên, mật khẩu, tài nguyên y/c
• Trong môi trường Active Directory
• Domain controller chứng thực
• Trong 1 workgroup
• SAM cục bộ chứng thực
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
7
Các phương pháp chứng thực
• Hai tiến trình chính
• Chứng thực tương tác
• Thông tin tài khoản user được cung cấp khi đăng
nhập
• Chứng thực mạng
• Uỷ nhiệm thư (credential) của User được xác nhận
cho truy cập mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
8
Chứng thực tương tác
• Tiến trình trong đó user cung cấp tên và mật khẩu
để chứng thực
• Khi đăng nhập vào domain, credential được so
sánh với cơ sở dữ liệu AD tập trung
• Khi đăng nhập cục bộ, credential được so sánh
với cơ sở dữ liệu SAM
• Trong các môi trường domain, các user bình
thường không có tài khoản cục bộ
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
9
Chứng thực mạng
• Tiến trình một dịch vụ mạng chấp nhận danh định
của một user
• Với 1 user đăng nhập vào domain, chứng thực
mạng là trong suốt
• Credential từ chứng thực tương tác hợp lệ với các tài
nguyên mạng
• Một user đăng nhập vào máy tính cục bộ sẽ được
nhắc đăng nhập riêng biệt vào tài nguyên mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
10
Các giao thức chứng thực
• Windows Server 2003 hỗ trợ 2 giao thức chứng
thực chính:
• Kerberos version 5 (Kerberos v5)
• NT LAN Manager (NTLM)
• Kerberos v5 là công cụ chính cho môi trường
Active Directory nhưng không hỗ trợ trên các hệ
thống client khác
• NTLM là công cụ chính cho các hệ điều hành
Microsoft còn lại
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
11
Kerberos v5
• Hỗ trợ bởi Windows 2000, Windows XP,
Windows Server 2003
• Giao thức đi theo sau:
• Yêu cầu đăng nhập được chuyển cho Key Distribution
Center (KDC), một Windows Server 2003 domain
controller
• KDC chứng thực user và nếu hợp pháp, phát ra một
ticket-granting ticket (TGT) cho hệ đh client
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
12
Kerberos v5 (tt)
• Khi client y/c một tài nguyên mạng, nó trình TGT cho
KDC
• KDC phát ra một service ticket cho client
• Client trình service ticket cho host server của tài
nguyên đó
• Mọi DC trong môi trường AD đều giữ vai trò
KDC
• Không phải mọi client đều theo giao thức này
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
13
NTLM
• Dùng với các hệ điều hành chạy Windows NT 4.0
hoặc trước nữa, nếu cần cũng dùng được cho
Windows Server 2000/2003
• Giao thức đi theo sau:
• User đăng nhập, client tính giá trị băm mã hóa của mật
khẩu
• Client gửi tên user cho DC
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
14
NTLM (tt)
• DC sinh ra challenge ngẫu nhiên và gửi cho client
• Client giải mã challenge với giá trị băm của mật khẩu
và gửi về DC
• DC tính toán giá trị mong muốn được trả về từ client và
so sánh với giá trị thực tế
• Sau khi chứng thực thành công, DC sinh ra một
token cho user với tài nguyên mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
15
User Profiles
• Một tập hợp các thiết lập đặc trưng cho một user
• Theo mặc nhiên được lưu giữ cục bộ
• Không đi theo user đăng nhập trên các máy tính khác
• Có thể tạo 1 roaming profile
• Đi theo user đăng nhập trên các máy tính khác
• Administrator có thể tạo 1 mandatory profile
• User không thể thay đổi nó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
16
User Profile Folders and Contents
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
17
Local Profiles
• Các profile mới được tạo từ thư mục Default User
profile
• User có thể thay đổi local profile và những thay
đổi được lưu giữ lại chỉ cho user đó
• Administrator có thể quản lý nhiều phần tử của
profile
• Change Type
• Delete
• Copy To
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
18
Thực tập 3-2: Kiểm tra Local
Profile Settings
• Mục tiêu là cấu hình và kiểm tra 1 local user
profile
• Start Administrative Tools Active Directory
Users and Computers Users New User
• Theo các chỉ dẫn để tạo 1 user profile mới
• Khám phá và cấu hình các đặc tính
• Kiểm tra lại bằng cách đăng nhập như user mới
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
19
Roaming Profiles
• Roaming profiles
• Cho phép profile lưu trên 1 server trung tâm và đi theo
user
• Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với
thao tác backup)
• Thay đổi 1 profile từ local roaming nên cẩn
thận sao lưu trước
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
20
- Xem thêm -