Một account người dùng bao gồm thông tin về một người dùng như:
-Tên người dùng
-Tên đầy đủ
-Mật khẩu
-Quyềntrên hệ thống
Để có thể nhập hệ thống Windows NT phải cần ít nhất một account.
Một account gán cho một người dùng nhất định một tập các quyền,
định nghĩa cách thức họ có thể sử dụng hệ thống.
Một nhóm là một tên, tương tự với tên người dùng hoặc account
người dùng, có thể được sử dụng để tham chiếu tới nhiều người
dùng. Mục đích là để làm thuận tiện việc cung cấp và kiểm soát truy
cập tới nhiều người dùng cùng có một nhiệm vụ tương tự. Bằng cách
đặt các người dùng vào một nhóm, bạn có thể dễ dàng cung cấp cho
các người dùng trong nhóm đó cùng khả năng hoặc hạn chế nhất
định. Nếu bạn cần thay đổi quyền gán cho các người dùng trong
nhóm, bạn chỉ việc sửa đổi một account -group account.
17 trang |
Chia sẻ: oanh_nt | Lượt xem: 1233 | Lượt tải: 0
Nội dung tài liệu Quản trị mạng WindowsNT (Phần 2 ), để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Quản trị mạng WindowsNT (Phần 2 ):
trang này đã được đọc lần
Phần II - QUẢN LÝ NGƯỜI DÙNG
I. Account người dùng và nhóm trong Windows NT
Một account người dùng bao gồm thông tin về một người dùng như:
- Tên người dùng
- Tên đầy đủ
- Mật khẩu
- Quyền trên hệ thống
Để có thể nhập hệ thống Windows NT phải cần ít nhất một account.
Một account gán cho một người dùng nhất định một tập các quyền,
định nghĩa cách thức họ có thể sử dụng hệ thống.
Một nhóm là một tên, tương tự với tên người dùng hoặc account
người dùng, có thể được sử dụng để tham chiếu tới nhiều người
dùng. Mục đích là để làm thuận tiện việc cung cấp và kiểm soát truy
cập tới nhiều người dùng cùng có một nhiệm vụ tương tự. Bằng cách
đặt các người dùng vào một nhóm, bạn có thể dễ dàng cung cấp cho
các người dùng trong nhóm đó cùng khả năng hoặc hạn chế nhất
định. Nếu bạn cần thay đổi quyền gán cho các người dùng trong
nhóm, bạn chỉ việc sửa đổi một account - group account.
II. Nhóm cục bộ (local groups)
Đối với Windows NT, chỉ một kiểu nhóm có thể được tạo và bảo trì -
nhóm cục bộ. Một nhóm cục bộ chỉ có thể được cung cấp quyền
trong hệ thống của nó. Tuy nhiên, nếu hệ thống lại là một phần của
một domain thì nhóm cục bộ có thể chứa account của người dùng từ
domain hoặc các domain được tin cậy bất kỳ.
Không thể gán quyền truy nhập tài nguyên trên \\workstation_1 cho
một nhóm cục bộ định nghĩa trên \\server_2.
Trong một domain, khi một nhóm cục bộ định nghĩa trong PDC nó
được chép tự động sang các BDC khi dữ liệu các accounts được nhân
bản. Nó được xác định trong dữ liệu tất cả các domain controllers
(bao gồm PDC, các BDCs) trong domain đó. Nhóm cục bộ được gán
quyền tới các tài nguyên của bất cứ domain contronllers nào trong
domain.
Trong một môi trường workgroup, một thành viên trong nhóm cục bộ
chỉ có thể gồm một account người dùng từ dữ liệu account trong máy
tính đó.
Một nhóm cục bộ trong Windows NT Workstation và Windows NT
Server gồm :
- Các account người dùng của máy tính cục bộ
- Các người dùng và các nhóm tổng thể (global group) của domain
máy tính cục bộ
- Các người dùng và các nhóm tổng thể từ các domains được thừa
quyền (hay còn gọi là "tin cậy"-trusted) bởi domain cục bộ
Chú ý: Để dễ quản lý chúng ta sử dụng nhiều tới nhóm cục bộ
Các nhóm cục bộ bổ trợ thiết lập trước
Có một vài nhóm bổ trợ có sẵn trong các domain controllers Windows
NT Server:
- Server Operators: Đảm trách cho mạng các domain controllers
hoạt động. Các thành viên nhóm này có cùng quyền hạn như
Administrator, ngoại trừ nó không thể quản lý bảo mật trong server.
Nó chỉ có thể cho phép dùng chung hay bỏ dùng chung các tài
nguyên của domain controllers, khoá hay mở khoá một domain
controller, và tạo khuôn dạng (format) các đĩa của domain
controllers. Nó cũng có quyền tại các domain controllers như sao lưu
(back up) và lưu trữ tệp, shut down (tắt) một domain controller.
- Account Operators: Có thể quản lý các account nhóm hay người
dùng của domain. Nó có thể tạo, xoá, sửa hầu hết các người dùng,
nhóm tổng thể, và nhóm cục bộ. Nó không thể sửa các account
người dùng dạng Administrator, hoặc các nhóm cục bộ như nhóm
Administrators, Server Operators, Account Operators, Print Operstors,
Backup Operators. Và nó cũng không thể gán quyền người dùng.
- Print Operators: Có thể chia xẻ hay ngừng chia xẻ các máy in,
quản lý các máy tin trong domain controllers. Nó có thể truy nhập
vào các domain controllers và tắt chúng.
III. Nhóm tổng thể (Global group)
Nếu một hệ thống Windows NT là một phần của một domain
Advanced Server thì nhóm tổng thể của domain có thể được sử dụng
trong hệ thống này. Nhóm tổng thể có thể được sử dụng tại tất cả
các máy tính trong domain (các máy tính Windows NT, các Advanced
Server, và các LAN Manager 2.x server). Nhóm tổng thể có thể trở
thành thành viên (được cấp membership) trong các nhóm cục bộ và
có thể được cấp quyền trong một hệ thống cụ thể.
Nhóm tổng thể có thể sử dụng một cách tổng thể , không bị giới hạn
ở nơi dữ liệu chứa nó.
Một nhóm tổng thể có thể được tạo từ một thành viên trong nhóm
cục bộ của bất cứ máy tính nào trong domain hay domain được tin
cậy.
Chỉ nên sử dụng nhóm tổng thể khi các người dùng thành viên tương
đương, ít tính quản trị trên tất cả các máyWindows Windows NT.
Domain Windows NT Server chứa sẵn các nhóm tổng thể như:
- Domain Admins: Nhóm các account bạn muốn là Administrators,
và account Administrator cũng nằm trong Domain Admin
- Domain Users: Các account trong domain
- Domain Guest: Các account cho "khách" (Guest)
Các nhóm tổng thể không có đặc quyền thừa kế. Nó nhận được uỷ
quyền do là thành viên trong nhóm cục bộ. Ví dụ trong một domain
controllers nhóm Domain Administrators không tự nó có quyền hạn.
Nó nhận được quyền vì nó là thành viên trong nhóm cục bộ
Administrators trong domain controllers. Đó là tại sao các thành viên
trong Domain Administrators có khả năng quản trị domain. Tương tự
các nhóm Domain Users là thành viên trong nhóm cục bộ Users, và
nhóm Domain Guests là thành viên trong nhóm cục bộ Guests.
Chú ý: Dùng chương trình User Manager for Domains, từ menu
User, chọn New Global Group để quản lý các tài nguyên.
Các chiến lược về sử dụng nhóm
Quán triệt cách tổng thể cho các người dùng và nhóm đó là gán các
account người dùng của domain vào nhóm tổng thể của domain, đưa
các nhóm tổng thể của domain làm thành viên của nhóm cục bộ, sau
đó gán quyền và các tài nguyên cho nhóm cục bộ.
Chiến lược khi làm trong môi trường nhiều domain kết nối bởi quan
hệ tin cậy-relationships, cũng với cách trên. Với các account domain
của bạn, nhóm các người dùng vào nhóm tổng thể. Nhóm tổng thể
này sau đó được gán thành thành viên trong nhóm cục bộ không
phải của domain này mà domain tin cậy nó (trusting).
IV. Các account nhóm mặc định
Có năm nhóm mặc định trong Windows NT - Users, Power Users,
Administrators, Backup Operators, và Guests.
1. Users
Bất kỳ ai sử dụng máy tính thường xuyên có thể có một account
trong nhóm Users. Nhóm Users cung cấp cho người dùng quyền cần
thiết để thao tác trên hệ thống như một người dùng cuối, chẳng hạn
như chạy các ứng dụng và quản lý các file.
Một người dùng đăng ký làm việc vào một hệ thống Windows NT như
một phần của nhóm Users có thể thực hiện những công việc sau:
- Chạy các ứng dụng.
- Quản lý các file.
- Tạo và quản lý các nhóm.
- Giữ một hồ sơ cá nhân.
- Nối với một máy tính thông qua mạng.
2. Power Users
Nhóm Power User cung cấp cho người dùng khả năng thực hiện các
chức năng quản trị hệ thống mà không cho phép ngưoừi dùng hoàn
toàn kiểm soát hệ thống.
Bổ sung thêm vào tất cả các quyền được cung cấp cho nhóm Users,
một người dùng login vào Windows NT nhưng thành viên của nhóm
Power User có thể thực hiện các công việc sau đây:
- Chia sẻ các thư mục trên mạng.
- Cài đặt, chia sẻ và quản lý máy in.
- Tạo các account người dùng.
- Sửa đổi và xoá account người dùng mà họ đã tạo.
- Thiết lập đồng hồ bên trong máy tính.
3. Administrators
Nhóm Administrators cung cấp cho người dùng khả năng kiểm soát
toàn bộ hệ thống.
Bổ sung thêm vào tất cả các quyền cung cấp cho Power Users, một
người dùng login vào Windows NT như là thành viên của nhóm
Administrators có thể thực hiện các công việc sau đây:
- Sửa đổi, và xoá account người dùng và nhóm được tạo bởi những
người khác.
- Gán account người dùng cho các nhóm mặc định.
- Ghi đè lên khoá trạm làm việc.
- Đặt khuôn dạng hoặc đặt partition cho một đĩa cứng.
- Gán quyền người dùng.
- Kiểm soát ghi nhật ký kiểm tra hệ thống.
- Lưu trữ và khôi phục toàn bộ hệ thống.
- Gỡ rối hệ thống.
- Lấy quyền chủ sở hữu của các file và các đối tượng khác.
4. Thao tác viên dự phòng (Backup Operators)
Nhóm Backup Operators cho phép người dùng lưu trữ và khôi phục
các file trên hệ thống.
Bất kỳ người sử dụng nào cũng có thể lưu trữ và khôi phục các file
mà họ có quyền thâm nhập tương ứng. Nhóm Backup Operators phủ
lên các quyền đó và cho phép người dùng có thể lưu trữ bất kỳ và tất
cả các file trên đĩa, không xét đến quyền thâm nhập file.
5. Guest
Trong quá trình cài đặt, Windows NT thiết lập account Guest mặc
định. Account này cho phép bất kỳ ai không co account trong hệ
thống khả năng login vào máy tính học nối vào thông qua mạng.
Cần thiết phải có account Guest vì nhiều kiểu phần mềm mạng truy
nhập máy tính thông qua account Guest.
Bất kỳ ai trên một mạng có thể nối tới các tài nguyên chia sẻ trên
máy tính của bạn thông qua account Guest, do vậy bạn cần gán
quyền người dùng trên các tài nguyên chia sẻ của bạn để kiểm soát
cách người dùng có thể thâm nhập các tài nguyên đó.
Để một người dùng nào truy nhập vào mạng như một người dùng với
account Guest thì đưa người dùng đó vào nhóm Guest.
V. Thiết lập các nhóm
1. Tạo các nhóm cục bộ (Local Groups)
Đầu tiên bạn phải tạo một nhóm cục bộ trước khi gán quyền tại trạm
làm việc của nó. Những quyền này có thể cho phép chẳng hạn như
truy nhập tới các file hoặc máy in như được thiết lập trên File
Manager (Windows Exploror đối với Windows NT 4.0)và Print
Manager một cách tương ứng.
2. Để thêm một nhóm cục bộ
- Chọn một hoặc nhiều account người dùng.
- Từ menu User, chọn New Local Group.
3. Bổ sung các thành viên mới
a. Từ hộp hội thoại New Local Group, chọn nút Add. Hộp hội thoại
Add liệt kê tất cả các account của người sử dụng trong máy tính.
b. Tuỳ ý chọn một tên domain trong hộp List Names In. Chọn
domain xong, account người sử dụng và nhóm tổng thể (global
groups) của domain sẽ được liệt kê.
c. Chọn một vài account người dùng và nhóm global từ hộp Name.
4. Chép một nhóm tổng thể (global groups)
a. Chọn một nhóm trong danh sách các nhóm.
b. Chọn menu User, chọn Copy.
Trong hộp hội thoại New Local Group, tên nhóm có màu trắng.
Thông tin mô tả và các account các thành viên nhóm được sao chép.
5. Xoá nhóm
Xoá nhóm cục bộ chỉ có nghĩa là bỏ nhóm cục bộ đó thôi — Nó
không xoá bất kỳ account người dùng hay nhóm tổng thể mà nó là
thành viên của nhóm cục bộ bị xoá. Khi xoá một nhóm sẽ có một
cảnh báo chỉ cho người sử dụng rằng nếu tạo nhóm mới có cùng tên
với tên nhóm xoá sẽ không phục hồi các quyền hạn trước kia.
Khi một nhóm được xoá và bạn lại tạo một nhóm mới có tên giống
tên nhóm vừa xoá, nhóm mới sẽ không có bất cứ quyền truy nhập gì
như lúc trước đối với nhóm bị xoá vì nhóm mới sẽ có một SID. Tất cả
các quyền, các quyền gán và các thành viên của nhóm mới cần được
thiết lập theo cách thức thông thường.
VI. Account người dùng mặc định
Ba account mặc định, Administrator, Guest và một người dùng khởi
đầu được tạo khi Windows NT được cài đặt lần đầu tiên. Mỗi account
mặc định có một số quyền hạn nhất định trên hệ thống.
1. Administrator
Account Administrator được tạo trong quá trình cài đặt hệ thống. Yêu
cầu một mật khẩu ban đầu khi cài đặt. Đặc điểm của account này là
có thể đổi tên nhưng không thể xoá được.
Administrator có quyền cao nhất trên toàn bộ hoạt động và an toàn
của hệ thống. Administrator thậm chí có quyền kiểm soát các file của
các người dùng khác. Bất kỳ ai biết tên sử dụng và mật khẩu của
Administrator có quyền cao nhất về quản trị toàn bộ hệ thống .
Nếu mật khẩu bị quên hoặc không biết thì cách duy nhất là cài đặt lại
Windows NT hoặc sử dụng sử dụng đĩa Sửa chữa Khẩn cấp
(Emergency Repair disk) được tạo trong quá trình cài đặt. Để tránh
tình trạng account Administrator trở nên không hữu ích hoặc không
tích cực, các người dùng bổ sung có thể được gán các quyền của
Administrator.
Một người dùng đăng ký sử dụng dưới account Administrator (hoặc
một account thuộc về nhóm Administrator) có thể thực hiện các công
việc sau:
- Sửa hoặc xoá các account người dùng hoặc nhóm
- Bổ sung hoặc loại bỏ người dùng khỏi nhóm
- Gán các quyền đặc biệt cho nhóm
- Sửa đổi phần mềm hệ thống điều hành
- Cài đặt hoặc nâng cấp phần mềm ứng dụng và điều khiển thiết bị
- Lên khuôn dạng đĩa cứng
- Thiết lập máy tính để quản trị mạng từ xa
2. Người sử dụng ban đầu
Trong quá trình cài đặt một account người dùng ban đầu được tạo
cho cá nhân cài đặt Windows NT. Account này cũng được cấp quyền
như Administrator. Tên của account này được thiết lập trong quá
trình cài đặt.
3. Guest
Account Guest được sử dụng một cách mặc định cho bất kỳ ai sử
dụng mà không có account người dùng hoặc Administrator. Account
Guest có rất bị hạn chế trong việc truy nhập vào tài nguyên của máy
tính.
Guest bị từ chối truy nhập vào bất cứ một thư mục hoặc file nào
được sử dụng cá nhân. Người quản trị có trách nhiệm thiết lập bảo
mật thư mục và file để hạn chế Guest không được truy nhập các thư
mục và file riêng trên hệ thống. Nếu các quyền của Guest được cho
phép trên hệ thống, người quản trị cần thiết lập một thư mục chung
để lưu các file mà Guest có thể truy nhập được.
Trong một số trường hợp, máy chủ cần được giới hạn triệt để sao
cho chỉ có một số người dùng nhất định có thể truy nhập vào đó. Để
hạn chế Guest ngay cả trong việc sử dụng các tài nguyên hạn chế
bạn có thể hoặc là không cho phép (disable) account Guest hoặc gán
một mật khẩu cho account Guest.
VII. Thiết lập các account người dùng
Tiện ích User Manager trong nhóm Adminitrative Tools được sử dụng
để thiết lập các account người dùng.
1. Tạo account người dùng
Từ menu User, chọn New User.
Trong box Username, gõ một tên người dùng duy nhất trong hệ
thống, chiều dài tối đa 20 ký tự.
a. Trong box Full Name, gõ tên hoàn chỉnh của người dùng.
b. Nếu cần, nhập dữ liệu vào hộp mô tả.
c. Gõ Password và Confirm Password giống nhau. Mật khẩu tối
đa là 14 ký tự, phân biệt chữ hoa chữ thường, trong khi tên thì
không.
d. Lựa chọn tuỳ chọn.
e. Để quản trị thuộc tính của người dùng đi kèm với các nút bấm (đặt
tại đáy của hộp hội thoại), lựa chọn nút thuộc tính, hoàn thiện hộp
đối thoại cho thuộc tính đó và chọn nút OK.
f. Chọn nút OK để bổ sung account.
2. Các tuỳ chọn New User
Các tuỳ chọn New User có thể được lựa chọn là:
- Người sử dụng phải thay đổi mật khẩu tại lần đăng ký sử dụng tiếp
theo
- Người dùng không thể đổi mật khẩu
- Account bị không cho phép
- Mật khẩu không bao giờ quá hạn
Các account không được phép không thể được sử dụng. Các account
không cho phép thông thường được sử dụng như một cái khung để
copy khi tạo account mới hoặc được sử dụng để tạo một account sẽ
được kích hoạt về sau.
3. Đổi tên account người dùng
Có thể đổi tên bất kỳ account người dùng nào, bao gồm các account
mặc định. Tuy nhiên, chỉ có một account có thể đổi tên một lúc. Khi
một account bị đổi tên, nó vẫn duy trì tất cả các thuộc tính còn lại.
Điều duy nhất thay đổi là tên của account.
4. Lập bản sao account người dùng
Có thể copy một account người dùng đã được cấu hình tới một
account mới bằng cách lựa chọn account cần copy và chọn User,
Copy.
Các mục được copy trực tiếp từ một account người dùng hiện tại tới
một account người dùng mới là mô tả và nhóm. Các hồ sơ được copy
có điều kiện.
Windows NT tự động xoá các mục Username, Full Name,
Password, Confirm Password, User Cannot Change
Password, Account Disabled, và Password Never Expires. Nó
cũng chọn mục "User Must Change Password At Next Logon".
5. Xoá account người dùng
Một khi một account người dùng đã bị xoá nó không thể được khôi
phục lại bởi vì định danh duy nhâts cho account đó không còn tồn tại
nữa. Một account mới được tạo với cùng tên sẽ có một định danh
khác và như vậy sẽ không thể thâm nhập bất kỳ mục nào mà
account cũ có quyền thâm nhập. Account mới phải có cùng quyền,
thành viên nhóm và các thuộc tính khác được thiết lập cho nó để nó
lại như cũ.
Để xoá một hay nhiều account người dùng:
a. Chọn một hoặc nhiều account người dùng.Từ menu User chọn
Delete.
b. Nếu một thông báo khẳng định xuất hiện, chọn nút OK.
c. Khi thông báo Delete xuất hiện, chọn Yes.
Nếu nhiều account người dùng được lựa chọn, chọn Yes To All.
6. Không cho phép account người dùng
Vì các account mới được tạo cùng tên với một account đã từng tồn
tại từ trước có định danh khác account cũ nên nói chung account
người dùng nên được không cho phép trong một thời gian trước khi
bị xoá để đảm bảo rằng account thật sự cần thiết bị xoá. Không cho
phép một account ngăn chặn việc logon vào Windows NT, tất cả các
thông tin account vẫn giữ nguyên không thay đổi. Để không cho
phép một hoặc nhiều account:
a. Chọn account cần không cho phép.Từ menu User, chọn
Properties.
b. Chọn hộp Account Disabled.
c. Nhấn OK.
VIII. Thiết lập Hồ sơ Môi trường Người dùng
1. Hồ sơ người dùng
Windows NT lưu trữ một bản lưu tất cả các thông tin cấu hình của
desktop của người dùng trong một hồ sơ người dùng cục bộ. Thông
tin hồ sơ được lưu trữ khi một người dùng thoát ra và được tự động
khôi phục lại khi người dùng trở lại làm việc vào trạm làm việc. Các
thiết lập sau được lưu trữ trong một hồ sơ người dùng:
- Program Manager (Desktop đối với Windows NT 4.0 )
- File Manager (Windows Explorer đối với Windows NT 4.0)
- Dòng lệnh MS-DOS
- Print Manager
- Các tuỳ chọn Control Panel
- Các tuỳ chọn Accessory
- Các ứng dụng Windows NT của tổ chức thứ ba.
- Các bookmark của On-line Help
Các hồ sơ đảm bảo rằng mỗi người dùng luôn luôn có sở thích riêng
của mình trên trạm làm việc khi họ đăng ký làm việc vào Windows
NT hoặc Advanced Server. Các hồ sơ không ảnh hưởng gì đối với các
người dùng MS-DOS và Windows for Workgroups.
Các trạm làm việc Windows NT Workgroup tự động tạo các hồ sơ
dựa trên cục bộ (local-based). Khi một người dùng thoát ra, thông tin
hồ sơ được lưu trữ trong đăng ký (registry). Khi người dùng đó đăng
ký làm việc lại, trạm làm việc sẽ nhận ra người dùng và nạp hồ sơ
tương ứng. Các hồ sơ cục bộ phụ thuộc vào máy tính: các thiết lập
dựa trên một máy tính là không áp dụng được khi người dùng đăng
ký làm việc tại một trạm làm việc khác.
Đối với trạm làm việc Windows NT domain và Advanced Servers, các
hồ sơ có thể được lưu trữ trong file riêng biệt và như vậy được nạp
tới bất kỳ máy tính nào thuộc domain mà người dùng đăng ký làm
việc. Điều đó gọi là các hồ sơ dựa trên máy chủ (server-based).
2. Các kiểu hồ sơ
Có một vài hồ sơ trong Windows NT Server
3. Các hồ sơ ngầm định-Default Profiles
Cấu hình cho hiển thị (màu và màn hình nền) khi chưa có người dùng
vào mạng Windows Windows NT. User Default là cấu hình ngầm định
để sử dụng lần đầu vào máy Windows Windows NT khi chưa có hồ
sơ Server-base.
4. Hồ sơ cục bộ-Local Profiles
Được lưu cục bộ trong máy Windows NT cho người dùng cụ thể. Nó
được tạo khi người dùng vào lần đầu. Nó được sử dụng khi người
dùng không có hồ sơ Server-base.
5. Hồ sơ về Server (Server-based Profiles)
Cũng giống như hồ sơ cục bộ nó là một file cụ thể được nạp khi
người dùng vào Windows Windows NT được tạo cho người dùng đó.
Môi trường bao gồm các thiết lập cụ thể như : nhóm, màu màn hình,
liên kết mạng, chuột...
Hồ sơ này có hai kiểu : Personal và Mandatory đuôi file tương ứng
là USR, MAN
6. Cách tạo các hồ sơ cho Server
Dùng User Profile Editor.
7. Cấu hình môi trường
Tạo hồ sơ Server-base, sau đó tạo các thiết lập cho máy của mình.
8. Thiết lập các thông số trong User Profile Editor
Dùng User Profile Editor.
9. Cất hồ sơ-Profile
Bằng File/Save As trong User Profile Editor.
10. Gán các hồ sơ cho Server
Tạo và cất các hồ sơ sau đó gán nó cho các người dùng tương ứng.
Trong User Manager for Domain chọn Properties của người
dùng. Chỉ tên hồ sơ server-based vào User Profile Path.
11. Logon Scripts
Khi một người dùng đăng ký sử dụng vào Windows NT, một logon
script có thể chạy tự động. Một logon script lập cấu hình môi trường
làm việc cho mỗi người dùng hoặc một nhóm các người dùng. Hồ sơ
người dùng có thể thực hiện tất cả những gì logon script có thể làm
và hơn thế. Tuy nhiên, logon script vẫn có ích do:
- Dành cho những người dùng sử dụng trạm làm việc DOS và OS/2.
- Dễ dàng quản trị mạng cho một nhóm người dùng.
- Nâng cấp mạng LAN Managers hiện thời đang sử dụng logon script.
Một logon script là một tệp lô thông thường (phần mở rộng .BAT
hoặc .CMD). Nếu bạn không chỉ ra phần mở rộng cho logon script,
phần mở rộng chính xác sẽ được lựa chọn dựa trên trạm làm việc mà
người sử dụng login vào (DOS-.BAT, OS/2 và NT-.CMD). Một file có
thể thực hiện được có thể cũng được sử dụng nhưng cần nhớ sử
dụng đúng phiên bản của chương trình nếu bạn login tại các máy
tính có kiểu CPU khác nhau (tức là x86, Mips, Alpha). Tham số hệ
thống %PROCESSOR% có thể được sử dụng để lựa chọn file thực
hiện được thích hợp trong logon script.
Các tham số môi trường khác có thể được sử dụng trong logon script
là %HOMEDRIVE%, %HOMEPATH%, %HOMESHARE%, %OS%,
%USERDOMAIN%, %USER NAME%.
Khi chỉ ra tên logon script, bạn không cần chỉ ra một đường dẫn.
Windows NT tự động kết hợp tên bạn chỉ ra với đường dẫn logon
script trong tuỳ chọn Control Panel Servers của trạm làm việc.
- Logon script cần được đặt trong hoặc là thư mục được chỉ ra trong
tuỳ chọn Control Panel Servers, hoặc trong thư mục sau đây:
\WINNT (đối với hệ thống Windows NT)
\WINNT\SYSTEM32\REPL\IMPORT\SCRIPTS (đối với Windows NT
Advanced Servers)
- Logon script phải tồn tại trong máy tính mà người dùng login.
Trong một domain nơi người dùng có thể login nhiều máy chủ, dịch
vụ phân phát thư mục (directory replicator service) có thể được sử
dụng để giữ các logon script đồng bộ giữa các máy chủ. Đó là
nguyên nhân tại sao thư mục cho các logon script của Advanced
Server nằm dưới thư mục phân phát mặc định
(\WINNT\SYSTEM32\REPL).
12. Thư mục cội nguồn Home Directories
Thư mục cội nguồn chứa nhiều hoặc tất cả các file và chương trình
cho một người dùng nhất định. Mặc định, Windows NT truy nhập thư
mục cội nguồn bất kỳ khi nào một lệnh File Open hoặc Save As được
chọn.
Đối với các trạm làm việc Windows NT, thư mục cội nguồn thông
thường được lưu trữ cục bộ. Tuy nhiên, bạn có thể chỉ ra thư mục cội
nguồn định vị trên một máy chủ.
- Nếu lưu trữ một thư mục cội nguồn một cách cục bộ cho một người
dùng có tên là JANEDOE, ta chỉ ra một đường dẫn tuyệt đối chẳng
hạn như C:\PROFILES\JANEDOE.
- Nếu lưu trữ một thư mục cội nguồn trên một máy chủ gọi là CORP
cho người dùng có tên là JOHNDOE, ta chỉ ra một máy chủ đầy đủ có
đường dẫn, chẳng hạn \\CORP\USERS\JOHNDOE.
Mẹo
Nếu bạn muốn thư mục cội nguồn tương đương với tên người dùng
đối với account, bạn hãy chỉ ra %USERNAME% cho thư mục cuối
cùng trong đường dẫn.
Trong hầu hết các trường hợp, User Manager tự động tạo thư mục
cội nguồn bạn chỉ ra trong hộp đối thoại User Environment Profile.
Nếu nó không thể (thông thường bởi vì một tên file vi phạm quy tắc
8.3 được chỉ ra trong thư mục cội nguồn tồn tại trong một FAT
partition), một thông báo sẽ xuất hiện để hướng dẫn bạn tạo bằng
tay thư mục.
Quản lý các chính sách bảo mật
Sau đây là các chính sách bảo mật được quản lý bởi User Manager:
- Chính sách về Account - Điều khiển cách thức account người dùng
sử dụng mật khẩu
- Chính sách về Quyền người dùng (User Rights) - Điều khiển các
quyền cho các nhóm hay người dùng của các trạm làm việc.
- Chính sách về thống kê (Audit policy) - Điều khiển các loại sự kiện
sẽ được ghi nhận trong Security log-là dữ liệu ghi các sự kiện.
Để thay đổi bất cứ chính sách về bảo mật nào, sử dụng menu Policy
trong User Manager Administrative Tool.
Quản lý các chính sách về Account
Chính sách account điều khiển cách thức mà mật khẩu được sử dụng
bởi account người dùng. Thay đổi chính sách này sẽ thay đổi quyền
của người dùng trong những lần sử dụng sau.
Những thành phần về account có thể được thay đổi:
Item Meaning Range of Entries
Thành phần Giải thích Phạm vi
Maximum Khoảng thời gian mà một mật khẩu được Không vượt
ngoài 1-999
Password Age sử dụng trước khi hệ thống yêu cầu người
dùng thay đổi.
Minimum Khoảng thời gian mà một mật khẩu cần Cho phép thay đổi
Password Age được sử dụng trước khi người dùng có thể tức thì
trong khoảng
thay đổi nó. Không cho phép thay đổi tức thì tối đa 1-999
khi một mật khẩu đơn trị được dùng.
Minimum Số ký tự ít nhất của mật khẩu được chấp nhận Cho phép
mật khẩu có ký tự
Password trắng số ký tự ít nhất
Length trong khoảng 1-14
Password Số mật khẩu mới cần được sử dụng bởi Không vựot ngoài
khoảng
Uniquenes người sử dụng trước khi một mật khẩu cũ 1-8 mật khẩu
được sử dụng lại. Khi khả năng đơn nhất
hữu hiệu thì những thay đổi tức thì không
được phép bởi thông số Minimum Password Age.
Quản lý các chính sách về quyền người sử dụng (User Rights Policy)
Chính sách về quyền người dùng xác định các ràng buộc các quyền
định nghĩa-explicit right
Các file đính kèm theo tài liệu này:
- quan_tri_mang_1_2094.pdf