Công nghệ phần mềm - Chương 3: Tạo và quản trị tài khoản người dùng - User Account
Tổng kết (tt)
• 2 giao thức chứng thực chính
• Kerberos v5, NTLM
• Các User profile dùng để cấu hình và tùy biến môi
trường làm việc
• Local, roaming, mandatory
• Các ứng dụng để nhập/xuất dữ liệu user đến/từ
AD
• LDIFDE, CSVDE
47 trang |
Chia sẻ: nguyenlam99 | Lượt xem: 1087 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Công nghệ phần mềm - Chương 3: Tạo và quản trị tài khoản người dùng - User Account, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003
Environment
Chương 3:
Tạo và quản trị tài khoản
người dùng-User Account
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
2
Mục tiêu
• Hiểu mục đích của các tài khoản user
• Hiểu tiến trình chứng thực user
• Hiểu và cấu hình các loại user profile: local,
roaming, mandatory
• Cấu hình và sửa chữa tài khoản user bằng nhiều
phương pháp
• Sự cố đối với tài khoản và chứng thực user
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
3
Giới thiệu tài khoản User
• Một tài khoản user là một đối tượng Active
Directory
• Thể hiện thông tin định nghĩa 1 user với quyền
truy cập vào mạng (tên, mật khẩu,)
• Mọi người dùng tài nguyên mạng bắt buộc có tài
khoản
• Tham gia vào việc quản trị và bảo mật
• Phải theo các chuẩn của tổ chức
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
4
Các đặc tính tài khoản User
• Công cụ chính để tạo và quản trị tài khoản là
Active Directory Users and Computers
• Active Directory dễ mở rộng nên có thể có các tab
được thêm vào các trang đặc tính (property page)
• Các đặc tính quan trọng có thể thiết lập gồm:
• General
• Address
• Account
• Profile
• Sessions
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
5
Thực tập 3-1: Xem lại các đặc
tính tài khoản User
• Mục tiêu là xem lại các đặc tính của tài khoản user
thông qua Active Directory Users and Computers
• Start Administrative Tools Active Directory
Users and Computers Users AdminXX
account Properties
• Xem các tab và các giá trị theo y/c
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
6
Tab tài khoản
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
7
Chứng thực User
• Tiến trình nhận dạng một user hợp pháp
• Dùng để chấp nhận hoặc từ chối quyền truy cập
vào tài nguyên mạng
• Từ 1 hệ điều hành client
• Tên, mật khẩu, tài nguyên y/c
• Trong môi trường Active Directory
• Domain controller chứng thực
• Trong 1 workgroup
• SAM cục bộ chứng thực
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
8
Các phương pháp chứng thực
• Hai tiến trình chính
• Chứng thực tương tác
• Thông tin tài khoản user được cung cấp khi đăng
nhập
• Chứng thực mạng
• Uỷ nhiệm thư (credential) của User được xác nhận
cho truy cập mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
9
Chứng thực tương tác
• Tiến trình trong đó user cung cấp tên và mật khẩu
để chứng thực
• Khi đăng nhập vào domain, credential được so
sánh với cơ sở dữ liệu AD tập trung
• Khi đăng nhập cục bộ, credential được so sánh
với cơ sở dữ liệu SAM
• Trong các môi trường domain, các user bình
thường không có tài khoản cục bộ
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
10
Chứng thực mạng
• Tiến trình một dịch vụ mạng chấp nhận danh định
của một user
• Với 1 user đăng nhập vào domain, chứng thực
mạng là trong suốt
• Credential từ chứng thực tương tác hợp lệ với các tài
nguyên mạng
• Một user đăng nhập vào máy tính cục bộ sẽ được
nhắc đăng nhập riêng biệt vào tài nguyên mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
11
Các giao thức chứng thực
• Windows Server 2003 hỗ trợ 2 giao thức chứng
thực chính:
• Kerberos version 5 (Kerberos v5)
• NT LAN Manager (NTLM)
• Kerberos v5 là công cụ chính cho môi trường
Active Directory nhưng không hỗ trợ trên các hệ
thống client khác
• NTLM là công cụ chính cho các hệ điều hành
Microsoft còn lại
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
12
Kerberos v5
• Hỗ trợ bởi Windows 2000, Windows XP,
Windows Server 2003
• Giao thức đi theo sau:
• Yêu cầu đăng nhập được chuyển cho Key Distribution
Center (KDC), một Windows Server 2003 domain
controller
• KDC chứng thực user và nếu hợp pháp, phát ra một
ticket-granting ticket (TGT) cho hệ đh client
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
13
Kerberos v5 (tt)
• Khi client y/c một tài nguyên mạng, nó trình TGT cho
KDC
• KDC phát ra một service ticket cho client
• Client trình service ticket cho host server của tài
nguyên đó
• Mọi DC trong môi trường AD đều giữ vai trò
KDC
• Không phải mọi client đều theo giao thức này
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
14
NTLM
• Dùng với các hệ điều hành chạy Windows NT 4.0
hoặc trước nữa, nếu cần cũng dùng được cho
Windows Server 2000/2003
• Giao thức đi theo sau:
• User đăng nhập, client tính giá trị băm mã hóa của mật
khẩu
• Client gửi tên user cho DC
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
15
NTLM (tt)
• DC sinh ra challenge ngẫu nhiên và gửi cho client
• Client giải mã challenge với giá trị băm của mật khẩu
và gửi về DC
• DC tính toán giá trị mong muốn được trả về từ client và
so sánh với giá trị thực tế
• Sau khi chứng thực thành công, DC sinh ra một
token cho user với tài nguyên mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
16
User Profiles
• Một tập hợp các thiết lập đặc trưng cho một user
• Theo mặc nhiên được lưu giữ cục bộ
• Không đi theo user đăng nhập trên các máy tính khác
• Có thể tạo 1 roaming profile
• Đi theo user đăng nhập trên các máy tính khác
• Administrator có thể tạo 1 mandatory profile
• User không thể thay đổi nó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
17
User Profile Folders and Contents
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
18
Local Profiles
• Các profile mới được tạo từ thư mục Default User
profile
• User có thể thay đổi local profile và những thay
đổi được lưu giữ lại chỉ cho user đó
• Administrator có thể quản lý nhiều phần tử của
profile
• Change Type
• Delete
• Copy To
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
19
Thực tập 3-2: Kiểm tra Local
Profile Settings
• Mục tiêu là cấu hình và kiểm tra 1 local user
profile
• Start Administrative Tools Active Directory
Users and Computers Users New User
• Theo các chỉ dẫn để tạo 1 user profile mới
• Khám phá và cấu hình các đặc tính
• Kiểm tra lại bằng cách đăng nhập như user mới
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
20
Roaming Profiles
• Roaming profiles
• Cho phép profile lưu trên 1 server trung tâm và đi theo
user
• Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với
thao tác backup)
• Thay đổi 1 profile từ local roaming nên cẩn
thận sao lưu trước
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
21
Thực tập 3-3: Cấu hình và
kiểm tra 1 Roaming Profile
• Tạo 1 thư mục chia sẻ, copy 1 local profile vào
thư mục đó và cấu hình các thuộc tính của tài
khoản user để dùng roaming
• Theo các chỉ dẫn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
22
Mandatory Profiles
• Local và roaming profile cho phép tạo các thay
đổi lâu dài
• Mandatory profile cho phép tạo các thay đổi chỉ
cho 1 phiên làm việc
• Local và roaming có thể đều được cấu hình như
mandatory
• ntuser.dat ntuser.man
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
23
Thực tập 3-4: Cấu hình 1
Mandatory Profile
• Start My Computer
• Theo các chỉ dẫn để tác động vào mandatory
profile thử nghiệm đã tạo trước đó
• Kiểm tra lại user không thể tạo ra thay đổi nào
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
24
Tạo và quản lý các tài khoản
user
• Công cụ chính là Active Directory Users and
Computers
• Cũng có thể dùng một số công cụ dòng lệnh và
ứng dụng khác
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
25
Active Directory Users and
Computers
• Chọn từ thực đơn Administrative Tools
• Có thể thêm vào 1 Microsoft Management
Console
• Có thể chạy từ dòng lệnh (dsa.msc)
• Công cụ đồ họa
• Có thể thêm, sửa, di chuyển, xóa, tìm tài khoản user
• Có thể cấu hình nhiều đối tượng đồng thời
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
26
Thực tập 3-5: Tạo tài khoản user
dùng Active Directory Users and
Computers
• Start Administrative Tools Active Directory
Users and Computers
• Theo chỉ dẫn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
27
Các User Template
• Một tài khoản user được cấu hình sẵn với các thiết
lập phổ biến
• Có thể được sao chép để tạo các tài khoản mới
• Các tài khoản mới sau đó được cấu hình với các
thiết lập riêng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
28
Thực tập 3-6: Tạo một
Template tài khoản User
• Mục tiêu: tạo 1 template và dùng nó để tạo tài
khoản user mới
• Start Administrative Tools Active Directory
Users and Computers
• Tạo 1 templace mới
• Dùng một biến để tự động định đường dẫn profile
với tên của tài khoản user
• Theo các chỉ dẫn để tạo và khám phá 1 user mới từ
template
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
29
Các ứng dụng dòng lệnh
• Một số administrator thích làm việc với dòng lệnh
• Có thể được dùng để tự động tạo hoặc quản lý các
tài khoản rất linh hoạt
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
30
DSADD
• Cho phép các kiểu đối tượng được thêm vào
directory
• Các tài khoản Computer, contact, quota, OU, user,
• Cú pháp cho tài khoản user là
• DSADD USER
• Các khóa chuyển gồm
• -pwd (password), -memberof, -email, -profile, -disabled
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
31
DSMOD
• Cho phép các kiểu đối tượng được sửa chữa từ
dòng lệnh
• Các tài khoản Computer, server, quota, OU, user,
• Cú pháp
• DSMOD USER + +
• Có thể sửa nhiều tài khoản đồng thời
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
32
DSQUERY
• Cho phép các kiểu đối tượng được truy vấn từ
dòng lệnh
• Hỗ trợ dùng ký tự đại diện (*)
• Kết xuất có thể được điều hướng lại cho lệnh khác
(piped)
• Ví dụ: trả về tên các tài khoản user không thay đổi
mật khẩu trong 14 ngày
• dsquery user domainroot –name * -stalepwd 14
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
33
DSMOVE
• Cho phép các kiểu đối tượng được di chuyển từ vị
trí hiện hành đến nơi mới
• Cho phép nhiều kiểu đối tượng khác nhau được
đổi tên
• Chỉ cho phép di chuyển trong cùng miền (trái lại
dùng lệnh MOVETREE)
• Ví dụ: di chuyển 1 tài khoản user vào OU
“marketing”
• dsmove "cn=Paul Kohut,cn=users,dc=domain01,
dc=dovercorp,dc=net" –newparent "ou=marketing,
dc=domain01,dc=dovercorp,dc=net"
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
34
DSRM
• Cho phép các đối tượng được xóa từ directory
• Có thể xóa từng đối tượng hoặc toàn bộ cây con
• Có 1 lựa chọn chấp nhận để có thể ghi đè
• Ví dụ: để xóa Marketing OU và tất cả đối tượng
chứa trong nó không cần nhắc chấp nhận:
• dsrm –subtree –noprompt –c "ou=marketing,
dc=domain01,dc=dovercorp,dc=net "
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
35
Bulk Import and Export
• Cho phép 1 tổ chức nhận vào các bản lưu trữ đã có
thay cho tạo mới hoàn toàn từ đầu
• Cho phép 1 tổ chức xuất dữ liệu đã có cấu trúc
trong AD vào các cơ sở dữ liệu thứ hai
• 2 lệnh:
• CSVDE
• LDIFDE
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
36
CSVDE
• Công cụ dòng lệnh cho phép xuất/nhập dữ liệu
AD đến/từ các file comma-separated value (CSV)
• CSV file có thể được tạo/soạn thảo dùng chương
trình soạn thảo thông dụng
• Ví dụ:
• csvde –f output.csv
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
37
LDIFDE
• Công cụ dòng lệnh cho phép xuất/nhập dữ liệu
AD đến/từ các file LDIF
• LDAP Interchange Format
• Chuẩn công nghiệp cho thông tin trong các LDAP
directory
• Mỗi cặp thuộc tính/giá trị là 1 dòng riêng với các dòng
trống giữa các đối tượng
• CSV file có thể được đọc dùng chương trình soạn
thảo thông dụng
• Dùng phổ biến: mở rộng AD schemas, điều khiển
user và các đối tượng nhóm
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
38
Sự cố với tài khoản User và các
vấn đề chứng thực
• Bình thường tạo và cấu hình các tài khoản user rất
dễ dàng
• Các vấn đề nếu có thường liên quan:
• Cấu hình tài khoản
• Các thiết lập chính sách
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
39
Các chính sách tài khoản
• Các thiết lập chính sách liên quan đến chứng thực
• Được cấu hình trong nút Account Policies của các đối
tượng Group Policy tại mức domain
• Khóa tài khoản, các mật khẩu, Kerberos
• Chính sách Domain mặc nhiên
• Được truy cập từ Active Directory Computers and
Users
• Cấu hình các chính sách cho tất cả các domain user
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
40
Chính sách mật khẩu
• Các thiết lập cấu hình
• Lịch sử và việc sử dụng lại mật khẩu
• Thời gian tồn tại tối đa
• Thời gian tồn tại tối thiểu
• Độ dài tối thiểu
• Yêu cầu độ phức tạp
• Chính sách mã hóa
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
41
Các thiết lập khóa tài khoản
• Các thiết lập cấu hình
• Thời hạn khóa
• Thời điểm bắt đầu khóa
• Thiết lập lại bộ đếm sau khi khóa
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
42
Chính sách Kerberos
• Các thiết lập cấu hình
• Bắt buộc các giới hạn đăng nhập
• Thời gian tồn tại tối đa của service ticket
• Thời gian tồn tại tối đa của user ticket
• Thời gian tối đa để làm mới lại user ticket
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
43
Chính sách kiểm toán
• Kiểm toán sự kiện tài khoản đăng nhập
• Cấu hình trong đối tượng Group Policy liên kết với Domain
Controllers OU (chính sách Domain Controllers mặc nhiên)
• Mặc nhiên là chỉ với các đăng nhập thành công
• Sự kiện có thể xem trong báo cáo Security log (dùng
Event Viewer)
• Có thể chọn để sửa chữa các đăng nhập lỗi
• Có ích với việc giải quyết sự cố
• Các mã cung cấp thông tin về kiểu lỗi
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
44
Giải quyết các sự cố đăng nhập
• Một số vấn đề và cách sửa
• Tên user hoặc mật khẩu sai (administrative thiết lập lại)
• Tài khoản bị khóa (mở khóa thủ công)
• Tài khoản bị cấm (administrative cho phép)
• Các giới hạn giờ đăng nhập (kiểm tra lại các giới hạn)
• Các giới hạn trạm làm việc
• Domain controller (kiểm tra lại các thiết lập DNS)
• Các thiết lập thời gian (kiểm tra sự đồng bộ thời gian)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
45
Giải quyết các sự cố đăng nhập
(tt)
• Vấn đề đăng nhập UPN (kiểm tra Global Catalog
server)
• Không cho phép đăng nhập cục bộ (thiết lập chính
sách trên server cục bộ)
• Vấn đề đăng nhập truy cập từ xa (kiểm tra truy cập
trên các thuộc tính Dial-up)
• Vấn đề đăng nhập các dịch vụ Terminal (kiểm tra
cho phép quyền đăng nhập vào terminal server)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
46
Tổng kết
• Một tài khoản user là một đối tượng được lưu giữ
trong AD
• Thông tin định nghĩa user và quyền truy cập vào mạng
• Công cụ chính để tạo và quản lý các tài khoản user
• Active Directory Users and Computers
• Dòng lệnh (DSADD, DSMOD, DSQUERY,
DSMOVE, DSRM)
• 2 tiến trình chứng thực chính
• chứng thực tương tác
• chứng thực mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
47
Tổng kết (tt)
• 2 giao thức chứng thực chính
• Kerberos v5, NTLM
• Các User profile dùng để cấu hình và tùy biến môi
trường làm việc
• Local, roaming, mandatory
• Các ứng dụng để nhập/xuất dữ liệu user đến/từ
AD
• LDIFDE, CSVDE
Các file đính kèm theo tài liệu này:
- chuong3_3122.pdf