Tài khoản người dùng
User Acountlà 1 đối tượng quan trọng đại diện cho
người dùng trên mạng, được phân biệt qua chuổi nhận
dạng (User name).
Chuổi nhận dạng này giúp hệ thống phân biệt giữa người
này với người khác trên mạng, từ đó người dùng có thể
đăng nhập vào mạng và truy xuất các tài nguyên mạng
mà mình được phép
24 trang |
Chia sẻ: Mr Hưng | Lượt xem: 1005 | Lượt tải: 0
Bạn đang xem trước 20 trang nội dung tài liệu Mạng máy tính - Tài khoản người dùng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
1BÀI SỐ 11
2 Tài khoản người dùng
User Acount là 1 đối tượng quan trọng đại diện cho
người dùng trên mạng, được phân biệt qua chuổi nhận
dạng (User name).
Chuổi nhận dạng này giúp hệ thống phân biệt giữa người
này với người khác trên mạng, từ đó người dùng có thể
đăng nhập vào mạng và truy xuất các tài nguyên mạng
mà mình được phép
User Acount
3 Tài khoản người dùng cục bộ
Local User Account là tài khoản được định nghĩa trên
máy cục bộ, và chỉ được phép logon, truy cập tài nguyên
trên máy cục bộ
Nếu muốn truy cập tài nguyên trên mạng thì phải được
chứng thực tại máy có tài nguyên chia sẻ.
Các tài khoản này được lưu trong tập tin CSDL SAM tại
máy cục bộ (..\Windows\system32\config)
SAM
Logon
4 Tài khoản người dùng miền
Domain User Account là tài khoản được định nghĩa trên
Active Directory và được phép logon vào mạng tại bất kỳ
máy trạm nào trong miền
Với tài khoản này người dùng có thể truy cập đến các tài
nguyên trên mạng
Các tài khoản này được chứa trong tập tin NTDS.DIT
(..\Windows\NTDS)
Windows Server 2003 Domain
5Logging on
Logging on Locally
Logging on to a Domain
Active Directory
Access Token
Access Token
6 Tài khoản nhóm
Group Account là đối tượng đại diện cho một nhóm người
dùng nào đó. Dùng cho việc quản lý chung các đối tượng
người dùng
Việc phân bổ người dùng vào nhóm giúp ta dể dàng cấp
quyền cho họ trên các tài nguyên mạng như các thư mục
chia sẻ, máy in
Tài khoản nhóm không thể dùng để đăng nhập và được
chia làm 2 loại
• Nhóm bảo mật (Security Group)
• Nhóm phân phối (Distribution Group)
7• Nhóm bảo mật (Security Group)
Được dùng để cấp phát các quyền hệ thống (Rights) và
quyền truy cập (Permission)
Giống như tài khoản người dùng, các nhóm bảo mật đều
được chỉ định các SID (Security ID)
• Nhóm phân phối (Distribution Group)
Là loại nhóm phi bảo mật, không có SID. Loại nhóm này
không được dùng bởi các nhà quản trị mà được dùng bởi
các phần mềm dịch vụ. Chúng được dùng để phân phối
thư (Email) hoặc các tin nhắn (message) ví dụ như dịch vụ
MS Exchange.
8Các nhóm tạo sẵn đặc biệt
Interactive Đại diện cho users sử dụng máy tại chổ
Network Users đang kết nối mạng đến 1 máytính khác
Everyone Tất cả mọi người dùng
System Đại diện cho hệ điều hành
Creator owner Users tạo ra và sở hữu tài nguyên nào đó
Authenticated user Users đã được hệ thống xác thực
Anonymous logon
Users đăng nhập nặc danh vào hệ thống ( sử dụng
FTP)
Service Tài khoản đăng nhập với tư cách 1 dịch vụ
Dialup Users đăng nhập hệ thống bằng Dialup
9 Quản lý tài khoản người dùng
Giống như Win XP,
ta quản lý tài khoản
người dùng: tạo, xoá,
đổi tên, cấp quyền
thông qua giao diện
Computer
Management.
10
Chú ý
Nên xoá tài khoản người dùng nếu chắc chắn rằng tài
khoản này sẽ không bao giờ dùng nữa.
Chú ý: Tài khoản bị xoá sẽ không phục hồi lại được nữa.
Khi 1 tài khoản không sử dụng trong 1 thời gian dài, ta
nên khoá lại vì lý do bảo mật và an toàn hệ thống.
Ta có thể đổi tên bất kỳ 1 tài khoản người dùng nào, và
có thể điều chỉnh lại những thông tin về tài khoản đó.
Khi ta đổi tên, SID của tài khoản đó không thay đổi.
Ta cũng có thể thay đổi Password của bất kỳ tài khoản
nào nếu xét thấy cần thiết.
11
12
Chính sách tài khoản người dùng (Account
Policy) dùng để chỉ định các thông số về tài
khoản người dùng mà nó được sử dụng khi tiến
trình Logon xảy ra.
Cho phép ta cấu hình các thông số bảo mật máy
tính, mật khẩu, khoá tài khoản và chứng thực.
Password Permission Computer
13
Khái niệm
Start Progams
Administrative Tools
Local Security Policy
hoặc Domain Security
Policy
Nếu trên Server dùng
Workgoup ta sẽ thấy 2 mục
là Password Policy và
Account Lockout Policy còn
nếu Server đã nâng cấp lên
Domain Controler sẽ có
thêm 1 mục nữa là Kerberos
Policy
Users
14
Password Policy nhằm đảm bảo an toàn mật khẩu cho người dùng, tránh
các trường hợp đăng nhập bất hợp pháp vào hệ thống
Chính sách mật khẩu
Số lần đặt mật mã không được
trùng nhau
Số ngày nhiều nhất mà mật mã
có hiệu lực
Số ngày tối thiểu trước khi User
được phép đổi mật mã
Số ký tự ngắn nhất của mật mã
Mật mã phải có độ phức tạp
Mật mã được mã hoá
15
Account Lockout Policy quy định cách thức khoá tài khoản trong vùng hay
trong hệ thống cục bộ. Chính sách này giúp ta hạn chế bị tấn công bằng
phương pháp Logon từ xa.
Chính sách khoá tài khoản
Quy định thời gian khoá. Là 0,
Nhưng nếu Account Lockout
Threshold được thiết lập thì giá
trị này là 30 phút
Quy định số lần đăng nhập sai,
tài khoản sẽ bị khoá
Quy định thời gian đếm lại số lần
đăng nhập không thành công.
Là 0, nếu Account Lockout
Threshold được thiết lập thì giá
trị này là 30 phút
16
Local Policy cho thiết lập các chính sách giám sát đối tượng trên mạng,
như : người dùng và tài nguyên dùng chung. Đồng thời dựa vào chính
sách này ta có thể cấp quyền hệ thống cho các người dùng và thiết lập
các lựa chọn bảo mật.
17
Audit Policy cho phép giám sát và ghi nhận các sự kiện xảy ra trong hệ thống,
trên các đối tượng và các người dùng. Ghi nhận thông qua công cụ Event
Viewer trong mục Security
Chính sách kiểm toán
1-Ghi nhận khi Users logon hoặc
logoff hoặc tạo một kết nối mạng
Ghi nhận khi có sự thay đổi thông
tin về Tkhoản Users hoặc Group
Ghi nhận việc truy cập các dịch
vụ thư mục
Ghi nhận việc thi hành Script
hoặc roaming profile
Ghi nhận việc truy cập các file,
thư mục, máy in
Ghi nhận sự thay đổi trong chính sách kiểm toán
Ghi nhận khi có thao tác quản trị bằng quyền hệ
thống như cấp hoặc xoá quyền 1 ai đó
Ghi nhận sự hoạt động của ch.trình hay HĐH
Ghi nhận khi khởi động lại máy hoặc tắt máy
18
Có 2 cách cấp quyền hệ thống cho người dùng
1. Add tài khoản người dùng vào các nhóm đã được tạo sẵn
(built-in) để thừa kế quyền (đã học ở WinXP)
Quyền hệ thống của người dùng
2. Hoặc dùng công
cụ User Right
Assigment để gán
từng quyền rời
rạc cho người dùng
19
Quyền Mô tả
Access This Computer in the
Network
Cho phép người dùng truy cập máy tính
này thông qua mạng, mặc định mọi người
đều có quyền
Act as Part of the Operating
System
Cho phép các dịch vụ chứng thực ở mức
thấp, được chưng thực bởi bất cứ người
dùng nào
Add Workstations to the Domain
Cho phép người dùng thêm 1 tài khoản
máytính vào vùng
Backup file and Directories Cho phép người dùng sao lưu
Bypass Traverse checking Cho phép duyệt cấu trúc thư mục nếu
không có quyền xem (list) thư mục này
Change the System time Cho phép thay đổi giờ hệ thống
Quyền hệ thống của người dùng (tt)
20
Quyền Mô tả
Creat a Pagefile Cho phép thay đổi kích thước Pagefile
Creat a Token Object
Cho phép 1 tiến trình tạo 1 thẻ bài nếu tiến
trình này dùng NTCreat Token API
Creat Permanent Shared
Object
Cho phép 1 tiến trình tạo 1 đối tượng thư mục
thông qua Win 2000 Object Manager
Debug Programs
Cho phép người dùng gắn 1 chương trình
debug vào bất cứ tiến trình nào
Deny Access to This Computer
from the Net
Cho phép khoá người dùng hoặc nhóm không
được truy cập đến các máy tính khác trên
mạng
Deny Logon as Batch file
Cho phép ngăn cản users và nhóm được phép
logon như 1 batch file
Quyền hệ thống của người dùng (tt)
21
Quyền Mô tả
Deny Logon as Service Cấm users và nhóm logon như 1 service
Deny Logon Locally
Cấm users và nhóm truy cập đến máy tính cục
bộ
Enable Computer and User
Accounts to Be Trusted by
Delegation
Cho phép users hoặc nhóm được uỷ quyền
cho người dùng hoặc máy tính
Force shutdow from a remote
system
Cho phép người dùng Shutdow máy từ xa
thông qua mạng
Generate Security Audits Cho phép tạo 1 entry vào Security log
Increase Quotas
Cho phép users điều khiển hạn nghạch của
các tiến trình
Quyền hệ thống của người dùng (tt)
22
Security Options cho phép người quản trị Server khai báo thêm
các thông số nhằm tăng tính bảo mật thêm cho hệ thống như :
Các lựa chọn bảo mật
Không hiển thị Username
người dùng đã logon
trước
Hay đổi tên người dùng
tạo sẵn
Win 2k3 hổ trợ chúng ta
rất nhiều lựa chọn bảo
mât.
Nhưng trong giáo tài liệu
này chúng ta chỉ khảo
sát những lựa chọn
thông dụng
23
Cho phép người dùng shutdown hệ thống mà không cần logon
Giám sát việc truy cập các đối tượng hệ thống toàn cục
Tự động logoff khi người
dùng hết thời gian sử dụng
hoặc tài khoản hết hạn
Không hiển thị tên người
dùng vừa logon trên hộp
thoại logon
Cho phép thay đôỉ tên Addministrator thành tên mới
Cho phép thay đôỉ tên Guest thành tên mới
Các lựa chọn bảo mật
Không cần nhấn CTRL+ATL+DEL
khi khởi động
24
Các file đính kèm theo tài liệu này:
- baiso11_qlyuser_grouponw2k3__2905.pdf