Công nghệ phần mềm - Chương 3: Tạo và quản trị tài khoản người dùng - User Account

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 3: Tạo và quản trị tài khoản người dùng-User Account 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 2 Mục tiêu • Hiểu mục đích của các tài khoản user • Hiểu tiến trình chứng thực user • Hiểu và cấu hình các loại user profile: local, roaming, mandatory • Cấu hình và sửa chữa tài khoản user bằng nhiều phương pháp • Sự cố đối với tài khoản và chứng thực user 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 3 Giới thiệu tài khoản User • Một tài khoản user là một đối tượng Active Directory • Thể hiện thông tin định nghĩa 1 user với quyền truy cập vào mạng (tên, mật khẩu,) • Mọi người dùng tài nguyên mạng bắt buộc có tài khoản • Tham gia vào việc quản trị và bảo mật • Phải theo các chuẩn của tổ chức 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 4 Các đặc tính tài khoản User • Công cụ chính để tạo và quản trị tài khoản là Active Directory Users and Computers • Active Directory dễ mở rộng nên có thể có các tab được thêm vào các trang đặc tính (property page) • Các đặc tính quan trọng có thể thiết lập gồm: • General • Address • Account • Profile • Sessions 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 5 Thực tập 3-1: Xem lại các đặc tính tài khoản User • Mục tiêu là xem lại các đặc tính của tài khoản user thông qua Active Directory Users and Computers • Start  Administrative Tools  Active Directory Users and Computers  Users  AdminXX account  Properties • Xem các tab và các giá trị theo y/c 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 6 Tab tài khoản 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 7 Chứng thực User • Tiến trình nhận dạng một user hợp pháp • Dùng để chấp nhận hoặc từ chối quyền truy cập vào tài nguyên mạng • Từ 1 hệ điều hành client • Tên, mật khẩu, tài nguyên y/c • Trong môi trường Active Directory • Domain controller chứng thực • Trong 1 workgroup • SAM cục bộ chứng thực 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 8 Các phương pháp chứng thực • Hai tiến trình chính • Chứng thực tương tác • Thông tin tài khoản user được cung cấp khi đăng nhập • Chứng thực mạng • Uỷ nhiệm thư (credential) của User được xác nhận cho truy cập mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 9 Chứng thực tương tác • Tiến trình trong đó user cung cấp tên và mật khẩu để chứng thực • Khi đăng nhập vào domain, credential được so sánh với cơ sở dữ liệu AD tập trung • Khi đăng nhập cục bộ, credential được so sánh với cơ sở dữ liệu SAM • Trong các môi trường domain, các user bình thường không có tài khoản cục bộ 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 10 Chứng thực mạng • Tiến trình một dịch vụ mạng chấp nhận danh định của một user • Với 1 user đăng nhập vào domain, chứng thực mạng là trong suốt • Credential từ chứng thực tương tác hợp lệ với các tài nguyên mạng • Một user đăng nhập vào máy tính cục bộ sẽ được nhắc đăng nhập riêng biệt vào tài nguyên mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 11 Các giao thức chứng thực • Windows Server 2003 hỗ trợ 2 giao thức chứng thực chính: • Kerberos version 5 (Kerberos v5) • NT LAN Manager (NTLM) • Kerberos v5 là công cụ chính cho môi trường Active Directory nhưng không hỗ trợ trên các hệ thống client khác • NTLM là công cụ chính cho các hệ điều hành Microsoft còn lại 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 12 Kerberos v5 • Hỗ trợ bởi Windows 2000, Windows XP, Windows Server 2003 • Giao thức đi theo sau: • Yêu cầu đăng nhập được chuyển cho Key Distribution Center (KDC), một Windows Server 2003 domain controller • KDC chứng thực user và nếu hợp pháp, phát ra một ticket-granting ticket (TGT) cho hệ đh client 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 13 Kerberos v5 (tt) • Khi client y/c một tài nguyên mạng, nó trình TGT cho KDC • KDC phát ra một service ticket cho client • Client trình service ticket cho host server của tài nguyên đó • Mọi DC trong môi trường AD đều giữ vai trò KDC • Không phải mọi client đều theo giao thức này 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 14 NTLM • Dùng với các hệ điều hành chạy Windows NT 4.0 hoặc trước nữa, nếu cần cũng dùng được cho Windows Server 2000/2003 • Giao thức đi theo sau: • User đăng nhập, client tính giá trị băm mã hóa của mật khẩu • Client gửi tên user cho DC 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 15 NTLM (tt) • DC sinh ra challenge ngẫu nhiên và gửi cho client • Client giải mã challenge với giá trị băm của mật khẩu và gửi về DC • DC tính toán giá trị mong muốn được trả về từ client và so sánh với giá trị thực tế • Sau khi chứng thực thành công, DC sinh ra một token cho user với tài nguyên mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 16 User Profiles • Một tập hợp các thiết lập đặc trưng cho một user • Theo mặc nhiên được lưu giữ cục bộ • Không đi theo user đăng nhập trên các máy tính khác • Có thể tạo 1 roaming profile • Đi theo user đăng nhập trên các máy tính khác • Administrator có thể tạo 1 mandatory profile • User không thể thay đổi nó 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 17 User Profile Folders and Contents 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 18 Local Profiles • Các profile mới được tạo từ thư mục Default User profile • User có thể thay đổi local profile và những thay đổi được lưu giữ lại chỉ cho user đó • Administrator có thể quản lý nhiều phần tử của profile • Change Type • Delete • Copy To 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 19 Thực tập 3-2: Kiểm tra Local Profile Settings • Mục tiêu là cấu hình và kiểm tra 1 local user profile • Start  Administrative Tools  Active Directory Users and Computers  Users  New  User • Theo các chỉ dẫn để tạo 1 user profile mới • Khám phá và cấu hình các đặc tính • Kiểm tra lại bằng cách đăng nhập như user mới 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 20 Roaming Profiles • Roaming profiles • Cho phép profile lưu trên 1 server trung tâm và đi theo user • Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với thao tác backup) • Thay đổi 1 profile từ local  roaming nên cẩn thận sao lưu trước 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 21 Thực tập 3-3: Cấu hình và kiểm tra 1 Roaming Profile • Tạo 1 thư mục chia sẻ, copy 1 local profile vào thư mục đó và cấu hình các thuộc tính của tài khoản user để dùng roaming • Theo các chỉ dẫn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 22 Mandatory Profiles • Local và roaming profile cho phép tạo các thay đổi lâu dài • Mandatory profile cho phép tạo các thay đổi chỉ cho 1 phiên làm việc • Local và roaming có thể đều được cấu hình như mandatory • ntuser.dat  ntuser.man 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 23 Thực tập 3-4: Cấu hình 1 Mandatory Profile • Start  My Computer • Theo các chỉ dẫn để tác động vào mandatory profile thử nghiệm đã tạo trước đó • Kiểm tra lại user không thể tạo ra thay đổi nào 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 24 Tạo và quản lý các tài khoản user • Công cụ chính là Active Directory Users and Computers • Cũng có thể dùng một số công cụ dòng lệnh và ứng dụng khác 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 25 Active Directory Users and Computers • Chọn từ thực đơn Administrative Tools • Có thể thêm vào 1 Microsoft Management Console • Có thể chạy từ dòng lệnh (dsa.msc) • Công cụ đồ họa • Có thể thêm, sửa, di chuyển, xóa, tìm tài khoản user • Có thể cấu hình nhiều đối tượng đồng thời 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 26 Thực tập 3-5: Tạo tài khoản user dùng Active Directory Users and Computers • Start  Administrative Tools  Active Directory Users and Computers • Theo chỉ dẫn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 27 Các User Template • Một tài khoản user được cấu hình sẵn với các thiết lập phổ biến • Có thể được sao chép để tạo các tài khoản mới • Các tài khoản mới sau đó được cấu hình với các thiết lập riêng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 28 Thực tập 3-6: Tạo một Template tài khoản User • Mục tiêu: tạo 1 template và dùng nó để tạo tài khoản user mới • Start  Administrative Tools  Active Directory Users and Computers • Tạo 1 templace mới • Dùng một biến để tự động định đường dẫn profile với tên của tài khoản user • Theo các chỉ dẫn để tạo và khám phá 1 user mới từ template 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 29 Các ứng dụng dòng lệnh • Một số administrator thích làm việc với dòng lệnh • Có thể được dùng để tự động tạo hoặc quản lý các tài khoản rất linh hoạt 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 30 DSADD • Cho phép các kiểu đối tượng được thêm vào directory • Các tài khoản Computer, contact, quota, OU, user, • Cú pháp cho tài khoản user là • DSADD USER • Các khóa chuyển gồm • -pwd (password), -memberof, -email, -profile, -disabled 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 31 DSMOD • Cho phép các kiểu đối tượng được sửa chữa từ dòng lệnh • Các tài khoản Computer, server, quota, OU, user, • Cú pháp • DSMOD USER + + • Có thể sửa nhiều tài khoản đồng thời 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 32 DSQUERY • Cho phép các kiểu đối tượng được truy vấn từ dòng lệnh • Hỗ trợ dùng ký tự đại diện (*) • Kết xuất có thể được điều hướng lại cho lệnh khác (piped) • Ví dụ: trả về tên các tài khoản user không thay đổi mật khẩu trong 14 ngày • dsquery user domainroot –name * -stalepwd 14 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 33 DSMOVE • Cho phép các kiểu đối tượng được di chuyển từ vị trí hiện hành đến nơi mới • Cho phép nhiều kiểu đối tượng khác nhau được đổi tên • Chỉ cho phép di chuyển trong cùng miền (trái lại dùng lệnh MOVETREE) • Ví dụ: di chuyển 1 tài khoản user vào OU “marketing” • dsmove "cn=Paul Kohut,cn=users,dc=domain01, dc=dovercorp,dc=net" –newparent "ou=marketing, dc=domain01,dc=dovercorp,dc=net" 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 34 DSRM • Cho phép các đối tượng được xóa từ directory • Có thể xóa từng đối tượng hoặc toàn bộ cây con • Có 1 lựa chọn chấp nhận để có thể ghi đè • Ví dụ: để xóa Marketing OU và tất cả đối tượng chứa trong nó không cần nhắc chấp nhận: • dsrm –subtree –noprompt –c "ou=marketing, dc=domain01,dc=dovercorp,dc=net " 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 35 Bulk Import and Export • Cho phép 1 tổ chức nhận vào các bản lưu trữ đã có thay cho tạo mới hoàn toàn từ đầu • Cho phép 1 tổ chức xuất dữ liệu đã có cấu trúc trong AD vào các cơ sở dữ liệu thứ hai • 2 lệnh: • CSVDE • LDIFDE 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 36 CSVDE • Công cụ dòng lệnh cho phép xuất/nhập dữ liệu AD đến/từ các file comma-separated value (CSV) • CSV file có thể được tạo/soạn thảo dùng chương trình soạn thảo thông dụng • Ví dụ: • csvde –f output.csv 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 37 LDIFDE • Công cụ dòng lệnh cho phép xuất/nhập dữ liệu AD đến/từ các file LDIF • LDAP Interchange Format • Chuẩn công nghiệp cho thông tin trong các LDAP directory • Mỗi cặp thuộc tính/giá trị là 1 dòng riêng với các dòng trống giữa các đối tượng • CSV file có thể được đọc dùng chương trình soạn thảo thông dụng • Dùng phổ biến: mở rộng AD schemas, điều khiển user và các đối tượng nhóm 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 38 Sự cố với tài khoản User và các vấn đề chứng thực • Bình thường tạo và cấu hình các tài khoản user rất dễ dàng • Các vấn đề nếu có thường liên quan: • Cấu hình tài khoản • Các thiết lập chính sách 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 39 Các chính sách tài khoản • Các thiết lập chính sách liên quan đến chứng thực • Được cấu hình trong nút Account Policies của các đối tượng Group Policy tại mức domain • Khóa tài khoản, các mật khẩu, Kerberos • Chính sách Domain mặc nhiên • Được truy cập từ Active Directory Computers and Users • Cấu hình các chính sách cho tất cả các domain user 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 40 Chính sách mật khẩu • Các thiết lập cấu hình • Lịch sử và việc sử dụng lại mật khẩu • Thời gian tồn tại tối đa • Thời gian tồn tại tối thiểu • Độ dài tối thiểu • Yêu cầu độ phức tạp • Chính sách mã hóa 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 41 Các thiết lập khóa tài khoản • Các thiết lập cấu hình • Thời hạn khóa • Thời điểm bắt đầu khóa • Thiết lập lại bộ đếm sau khi khóa 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 42 Chính sách Kerberos • Các thiết lập cấu hình • Bắt buộc các giới hạn đăng nhập • Thời gian tồn tại tối đa của service ticket • Thời gian tồn tại tối đa của user ticket • Thời gian tối đa để làm mới lại user ticket 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 43 Chính sách kiểm toán • Kiểm toán sự kiện tài khoản đăng nhập • Cấu hình trong đối tượng Group Policy liên kết với Domain Controllers OU (chính sách Domain Controllers mặc nhiên) • Mặc nhiên là chỉ với các đăng nhập thành công • Sự kiện có thể xem trong báo cáo Security log (dùng Event Viewer) • Có thể chọn để sửa chữa các đăng nhập lỗi • Có ích với việc giải quyết sự cố • Các mã cung cấp thông tin về kiểu lỗi 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 44 Giải quyết các sự cố đăng nhập • Một số vấn đề và cách sửa • Tên user hoặc mật khẩu sai (administrative thiết lập lại) • Tài khoản bị khóa (mở khóa thủ công) • Tài khoản bị cấm (administrative cho phép) • Các giới hạn giờ đăng nhập (kiểm tra lại các giới hạn) • Các giới hạn trạm làm việc • Domain controller (kiểm tra lại các thiết lập DNS) • Các thiết lập thời gian (kiểm tra sự đồng bộ thời gian) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 45 Giải quyết các sự cố đăng nhập (tt) • Vấn đề đăng nhập UPN (kiểm tra Global Catalog server) • Không cho phép đăng nhập cục bộ (thiết lập chính sách trên server cục bộ) • Vấn đề đăng nhập truy cập từ xa (kiểm tra truy cập trên các thuộc tính Dial-up) • Vấn đề đăng nhập các dịch vụ Terminal (kiểm tra cho phép quyền đăng nhập vào terminal server) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 46 Tổng kết • Một tài khoản user là một đối tượng được lưu giữ trong AD • Thông tin định nghĩa user và quyền truy cập vào mạng • Công cụ chính để tạo và quản lý các tài khoản user • Active Directory Users and Computers • Dòng lệnh (DSADD, DSMOD, DSQUERY, DSMOVE, DSRM) • 2 tiến trình chứng thực chính • chứng thực tương tác • chứng thực mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 47 Tổng kết (tt) • 2 giao thức chứng thực chính • Kerberos v5, NTLM • Các User profile dùng để cấu hình và tùy biến môi trường làm việc • Local, roaming, mandatory • Các ứng dụng để nhập/xuất dữ liệu user đến/từ AD • LDIFDE, CSVDE