Tất cả về Windows server 2003 – phần 1

Phần này bao gồm Giới thiệu sơ lược, Active Directory, Domain Controller, Account and Group, Authentication

I. GIỚI THIỆU :

– Windows Server 2003 có phiên bản chính là:

  • Windows Server 2003 Standard Edition.
  • Windows Server 2003 Enterprise Edition.
  • Windows Server 2003 Datacenter Edition.
  • Windows Server 2003 Web edition

– Windows Server 2003 có những đặc tính sau:

  • Khả năng kết nối nhiều Server để chia sẻ tải (Network Load Balancing Clusters ) và cài đặt nóng Ram ( Hot swap ).
  • Tính năng cơ bản của Mail Server được tích hợp sẵn: đối với các công ty nhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server thì có thể sử dụng dịch vụ POP3 và SMTP đã được tích hợp sẵn trong Windows Server 2003 để làm một hệ thống Mail đơn giản phục vụ công ty.
  • Cung cấp miễn phí cơ sở dữ liệu thu gọn MSDE (Microsoft Database Engine) được cắt từ SQL Server 2000. Tuy MSDE không có công cụ quản trị nhưng nó cũng giúp ích cho các công ty nhỏ triển khai được các ứng dụng liên quan đến cơ sở dữ liệu mà không phải tốn nhiều chi phí để mua SQL Server.
  • NAT Traversal hỗ trợ IPSec đó là một cải tiến mới trên môi trường 2003 này, nó cho phép các máy bên trong mạng nội bộ thực hiện kết nối peer – to – peer đến các máy bên ngoài Internet đặc biệt các thông tin được truyền giữa các máy này có thể được mã hóa hoàn toàn.
  • Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and Remote Access). Tính năng này cho phép bạn duyệt các máy tính thông qua công cụ Netwok Neighborhood.
  • Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền từ các gốc rể với nhau đồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn.
  • Hổ trợ tốt hơn công cụ quản trị từ xa do Windows Server 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps. Web Admin cũng ra đời giúp người quản trị Server từ xa thông qua một dịch vụ web một cách trực quan và dễ dàng. Hỗ trợ môt trường quản trị Server thông qua dòng lệnh phong phú hơn.
  • Các Cluster NTFS có kích thước bất kỳ khác với Windows 2000 Server chỉ hổ trợ 4KB. Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một Server.

II. AVTIVE DIRECTORY :

– Windows Server 2003 là hệ điều hành mạng hòan thiện nhất hiện nay, chúng ta có thể dùng Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và người dùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu, cung cấp các dịch vụ cho người dùng…

– Nếu như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng thì Active Directory chính là trái tim của nó, hầu như tất cả mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của Domain như các đối tượng user, computer, group. Cung cấp những dịch vụ (Directory Services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào Domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.


– Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn.

– Như vậy chức năng chính của Avtive Directory là :

  • Lưu trữ 1 danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính.
  • Cung cấp một Server đóng vai trò chứng thực (Authentication Server) hoặc Server quản lý đăng nhập (Logon Server), Server này còn đuợc gọi là Domain Controller (máy điều khiển vùng).
  • Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (Index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.
  • Cho phép chúng ta tạo ra các tài khoản người dùng với những mức độ quyền khác nhau. Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (Sub Domain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phân nhỏ.

– Hệ thống Active Dicrectory bao gồm cấu trúc logic và cấu trúc vật lý :

1. Cấu trúc Logic :

1A. Domain :

– Một Domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau để quản lý một cách tập trung. Và công việc quản lý là dành cho Domain Controller (bộ điều khiển miền) nhằm giúp việc khai thác tài nguyên trở nên dễ dàng hơn.

– Là đơn vị chức năng nòng cốt của cấu trúc logic Avtive Directory. Nó là phương tiện để quy định tập hợp những người dùng, máy tính, tài nguyên, chia sẻ có những quy tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng 3 chức năng chính như sau:

  • Đóng vai trò như một khu vực quản trị ( Administrative Boundary) các đối tượng, là tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung 1 cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền, chính sách bảo mật, các quan hệ ủy quyền với các Domain khác.
  • Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ.
  • Cung cấp các Server dự phòng làm chức năng điều khiển vùng ( Domain Controller), đồng thời đảm bảo các thông tin trên các Server này được đồng bộ với nhau.
  • Là trung tâm của mạng Windows Server 2000 và Windows Server 2003. Các máy điều khiển vùng (Domain Controller) hoặc là PDC (Primary Domain Controller) hoặc là BDC (Backup Domain Controller), được gọi là DC. Theo mặc định, tất cả Windows Server 2003 khi cài đặt đều là Server độc lập (Stand – Alone Server).

– Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp 1 máy không phải là DC (domain controller) thành một máy DC và ngược lại giáng vấp 1 máy DC thành 1 Server bình thường.

è

* Organizational unit – Đơn vị tổ chức OU :

– Là đơn vị nhỏ nhất trong hệ thống Active Directory, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị. Có thể chứa các user account, group.

– Việc sử dụng OU có hai công dụng chính như sau :

  • Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống.
  • Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (Group Policy).

– Ví dụ, khi thiết kế một hệ thống thì chúng ta khảo sát hệ thống đó có bao nhiêu phòng ban, bộ phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với các phòng ban.

– Trong OU, ta sẽ tạo ra các group ( có thể là group quản lý và group nhân viên, đều thuộc OU). Sau đó ta sẽ tạo ra các user thuộc các group tương ứng.

– Trong OU có thể chứa :

  • User : là các tài khoản người dùng.
    • Khi cài đặt Active Directory sẽ có một số tài khoản built-in được tạo ra như Administrator là người có toàn quyền quản trị hệ thống. Backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này.
    • Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào Domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng. Các user sẽ dùng những tài khoản được cấp bởi Administrator để log-in và Domain. Và truy cập dữ liệu trên file Server hay các dịch vụ khác.
  • Group: là một tập hợp những người dùng có những đặc tính chung, ví dụ như các nhân viên của một phòng ban có quyền truy cập lên cùng một folder hoặc có quyền in cùng một máy in.
  • Computer Account : được tạo ra để quản lý một máy tính cụ thể trong mạng.

* Objects

– Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes.

– Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho đối tượng mà bạn có thể tạo ra trong Active Directory. Có 3 loại Object classes thông dụng là : User, Computer, Printer.

– Attributes là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể.

– Như vậy, Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của Object classses.

1B. Domain Tree – Vùng phân cấp :

– Một hay nhiều vùng dùng chung không gian tên liên tục.

– Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên đựơc gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các con phải khác biệt nhau.

– Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain. Có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện.

1C. Domain Forest – Tập hợp hệ vùng phân cấp :

– Một hay nhiều hệ vùng dùng chung thông tin thư mục.

– Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau.

– Giả sử một công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác. Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng.


2. Cấu trúc vật lý :

– Subnet (mạng con) : đoạn mạng với dãy địa chỉ IP và mặ nạ mạng cụ thể.

– Site (vùng, miền): một hoặc nhiều mạng con dùng để lập cấu hình dịch vụ sao chép và truy cập thư mục.

3. Những công cụ quản lý Active Directory :

– Những công cụ quản lý Active Directory thường cung cấp ở dạng Snap-in cho MMC (Microsoft Management Console).

  • Active Directory users and Computer: quản trị người dùng, nhóm, máy tính, và đơn vị tổ chức.
  • Active Directory and Trusts: dùng làm việc với vùng, hệ vùng phân cấp, tập hợp hệ vùng phân cấp.
  • Active Directory Sites and Services :  quản lý Site và mạng con.

III. DOMAIN CONTRONLLER TRÊN WINDOWS SERVER 2003 :

– Hệ thống gồm 1 máy tính làm DC có địa chỉ IP là 192.168.1.1 và một máy tính khác làm DNS + DHCP có IP là 192.168.1.1

– Các Client sẽ nhận IP từ DHCP.


1. DNS – Domain Name System :

1A. Cài đặt :

– Click Start/ Control Panel/ Add or Remove Programs/ Add/Remove Windows Components.

– Trong Components và click Networking Services / Details/ Domain Name System (DNS).

1B Cấu hình DNS : terri.info

– Đặt IP cho máy cài DNS là 192.168.1.2 và DNS là 192.168.1.1

– Sau khi cài đặt, ta tiến hành tạo Forward và Reverse Lookup zones.

– Start/ Administrative Tools/ DNS. Trong bảng làm việc của DNS (DNS console) :

  • Tại Forward Lookup Zones. Click phải chọn New Zone, chọn Primary Zone, chọn Next, sau đó gõ tên zone là terri.info
  • Tại Reverse Lookup Zones. Click phải chọn New Zone, chọn Primary Zone, chọn Next, sau đó vào 192.168.1 tại Next ID.

– Sau khi cấu hình như trên, tại Forward Lookup Zones, Click phải chọn New Host, gõ vào IP là 192.168.1.2 ( đây là host cho máy chạy DNS), check vào mục Create associated pointer (PTR) record.

– Để kiểm tra DNS, vào command promt, gõ nslookup. Nếu DNS chạy tốt, ta sẽ tiến hành dựng DC.

2. Cài đặt ACTIVE DICRECTORY

– Trước khi xây dựng Domain, ta cần đổi tên và đặt địa chỉ IP cho máy làm DC. Sau đó convert ổ đĩa C sang NTFS.

– Vào Start/Run gõ DCPROMO rồi Enter. Active Directory Installation Wizard xuất hiện. Chọn Next để tiếp tục.

– Trong hộp thoại Domain Controller Type :

  • Chọn mục Domain controller for a new Domain để tạo một DC hoàn toàn mới.
  • Chọn mục Additional Domain dontroller for an exis Domain để tạo một DC dự phòng.
  • Trong trường hợp này, ta chọn tùy chọn thứ nhất.

– Trong hộp thoại Create a new :

  • Domain in a new forest :
    để tạo một Domain hoàn toàn mới.
  • Child Domain in an axisting Domain tree : để tạo một child Domain từ một Domain đã có sẵn. Ví dụ ta có trên hệ thống mạng đã có sẵn Active Directory và Domain tên là terri.com, ta sẽ chọn mục này để tạo branch.terri.info
  • Domain tree in an existing forest : để tạo ra một cây Domain trong một rừng.

– Trong hộp thoại New Domain name, ta gõ là terri.info. Sau đó nhấn Next.

– Hộp thoại Database and Log Locations cho phép chỉ định nới lưu trữ database Active Directory và tập tin Log. Ta nên để mặc định.

– Hộp thoại Shared System Volume chỉ định vị trí của thư mục SYSVOL. Lưu ý thư mục này phải nằm trên đĩa có định dạng NTFS nếu không sẽ báo lỗi. Chọn Next.

– Trong hộp thoại Permission :

  • Chọn Permission Compatible with pre-windows 2000 Server khi hệ thống có các Server phiên bản trước Windows 2000.
  • Chọn Permission compatible only with windows 2000 Servers or 2003 khi hệ thống toàn là các Server của Windows 2000 hoặc 2003.

– Nhập password bảo vệ hệ thống, sau đó nhấn Next rồi OK. Chờ khỏang 10-15 phút để quá trình hoàn thành.Trong quá trình này có thể máy sẽ yêu cầu đưa đĩa nguồn của Windows 2003 Server vào ổ CD-ROM.

IV. TẠO USER ACCOUNT, COMPUTER ACCOUNT VÀ GROUP :

1. User Account :

1A. Tạo mới một user :

– Để tạo user account, chọn Start/ Program/ Administrative Tools/ Active Directory Users and Computers. Chọn mục Users, chọn New/ User.

Gõ tên vào ô First name, Last name, Full name và User logon name.

1B. Account Properties :

– Tab Account :

  • Logon Hours : thiết lập giờ mà user được logon
  • Log On To : chỉ định máy tính nào user có thế sử dụng.
  • Các tùy chọn :
    • User must change password at next logon : quy định user này phải đổi password ở lần đăng nhập tiếp theo.
    • User can not change password : quy định user không thể thay đổi password.
    • Password never expies : quy định password của tài khoản này không bao giờ hết hạn.
    • Account is disabled : khoá tài khỏan này chính sách này dùng khi bạn muốn cấm tài khoản này một thời gian nào đó mà bạn không muốn xóa tài khoản này
  • Account experies : thời gian hết hạn của user account.

– Tab General : thông tin tổng quát về người dùng.

– Tab Address : địa chỉ của người dùng.

– Tab Profile : môi trường làm việc của tài khoản.

– Tab Telephone : thông tin liên lạc điẹn thoại của tài khoản.

– Tab Organization : thông tin về công ty , người quản lý tài khoản này và bảo báo cáo của tài khoản này.

Member Of : thông tin về nhóm cho tài khoản này , có thể Add/Remove tài khoản này vào hay ra khỏi một nhóm làm việc tại đây.

Dial – in : cấu hình truy cập từ xa vào máy Server của tài khoản .

Environment : cấu hình cho chương trình nào đó chạy mỗi khi tài khoản đăng nhập.

– Session , Remote control ,Terminal Sevices Proflie , COM + : cấu hình kế nối từ xa (Remote Connection).

1C. User Profile :

– Profile là nơi để chỉ định đường dẫn tập tin biên dạng và một kịch bản đăng nhập. Lưu các thiêt lập cho màn hình Desktop của người dùng từ nội dung của menu Start cho cho tới màu sắc, cách định hướng chuột có thể lưu trữ ở một nơi nào đó trên mạng để người dùng có thể đăng nhập từ một máy nào đó trên mạng mà vẫn thấy được màn hình đăng nhập giông nhau.

– Local user profile : được lưu trong C:\Documents and Settings\%Username%, được tạo ra khi lần đầu logon vào hệ thống.

– Roaming user profile : được sử dụng trong trường hợp user sử dụng nhiều máy khác nhau. Ta sẽ tạo ra Roaming user profile, khi đó, user sẽ có Documents and Settings giống nhau trên tất cả các máy.

– Mandatory
user profile : là loại profile không lưu bất cứ thay đổi nào của user. Ví dụ, user thay đổi các thông tin như hình nền, font chữ. Các thông tin này sẽ trở lại như cũ khi user thoát khỏi hệ thống (log-off)

* Để tạo ra
Roaming user profile :

– Đầu tiên, ta cần tạo ra một profile chuẩn, sau đó copy profile đến một thư mục được share trên Server. Để copy profile, ta chọn System Properties/ Advance/ tại User Profile chọn Settings.

– Chọn profile chuẩn ( ở đây là user1). Chọn mục Copy To.

– Gõ đường dẫn UNC đến thư mục share trên Server. Ở đây ta có một thư mục share tên Profile trên Server. Chọn Change để gán quyền cho nhóm được phép sử dụng profile này. Sau đó chọn OK đề hoàn tất.

– Để gán profile cho user, ta chọn Properties của user trong Active Directory Users and Computers.

– Chọn tab Profile, gõ đường dẫn đến profile : \\tên Server\thư mục chứa profile. Trong trường hợp này là \\Server\profile\%username%

– Logon Script là một lệnh được chạy vào lúc đăng nhập. Ví dụ ta tạo một lệnh để map ổ đĩa share cho user, ta làm như sau :

  • Tạo cript : mở notepad đánh lệnh Net use \\server\share
  • Sau đó lưu với tên run.bat
  • Để run.bat trong C:\Windows\SYSVOL\sysvol\tên domain\scripts
  • Tại mục Logon Script trong tab Profile gõ tên run.bat

Home Folder hoặc Home Directory  là một thư mục được cấp cho người sử dụng để họ sử dụng riêng. Ta có thể chỉ định một thư mục cục bộ làm Home Folder khi người sử dụng đăng nhập trên máy cục bộ. Để gán Home Foleder cho user :

  • Tạo một folder dùng để làm home folder, share folder với tên home
  • Tại home folder gõ : \\server\home

* Để tạo ra
Mandatory
user profile

– Để tạo ra Mandatory user profile, ta chỉ việc đổi tên file ntuser.dat thành ntuser.man trong profile.

è

– Sau đó gán đường dẫn cho user profile.

2. Computer Account

– Để tạo computer account, ta chọn Start/ Program/ Administrative Tools/ Active Directory Users and Computers.

– Chọn mục computer, click phải chọn New/ Computer. Gõ vào tên của computer.

– Chọn Change để gán computer đến gruoup hoặc user.

– Chọn Assign this computer account as a pre-Windows 2000 coputer.

– Chọn Next.

– Chọn Finish để hoàn thành.

3. Group :

– Để tạo group, chọn Start/ Program/ Administrative Tools/ Active Directory Users and Computers. chọn New/ Group.

3A. Group Properties

– Group Name : tên nhóm.

– Group Name (Pre – Windows 2000) : tên nhóm cho windows trước phiên bản 2000.

– Group Scope – phạm vi của nhóm :

  • Domain Local : chứa User
    Accounts, Global Groups and Universal Groups từ bất kỳ miền nào trong rừng cũng như các Local Groups trong cùng một miền.
  • Global : chứa User Accounts và Global Groups trong cùng một miền.
  • Universal : chứa User Accounts, Global Groups và Universal Groups từ bất kỳ miền nào trong rừng.

Group Type – loại nhóm :

  • Security : là nhóm được phân phối bảo mật, có thể truy cập tài nguyên, gởi và nhận mail.
  • Distribution : là nhóm phân phối danh sách chúng không được phân phối bảo mật. Chỉ có quyền gởi và nhận mail, không có quyền truy cập tài nguyên

3B. Nguyên tắc chọn group :

– Global Groups có các truy cập vào các tài khoản trong Domain Local. Khi công ty có nhiều hơn một Domain, Local Groups cho phép sử dụng các tài khoản trên tất cả các Domain. Khi công ty liên kết nhiều Domain thành một rừng, Universal Groups cho phép truy cập đến bất kỳ tài khoản nào trong rừng.

  • Đặt người dùng vào trong Global Group.
  • Kế đến đặt Global Groups vào trong Domain Local Group.
  • Gán quyền cho Domain Local Group.

4. Tạo OU :

– Để tạo OU, chọn Start/ Program/ Administrative Tools/ Active Directory Users and Computers. Chọn New/ Organizational Unit.

 

V. CHỨNG THỰC VÀ KIỂM SOÁT TRUY CẬP :

1. Các giao thức chứng thực :

– Chứng thực trong Windows Server 2003 là quy trình gồm hai giai đoạn: đăng nhập tương tác và chứng thực mạng.

– Khi người dùng đăng nhập vùng bằng tên và mật mã, quy trình đăng nhập tương tác sẽ phê chuẩn yêu cầu truy cập của người dùng.

– Với tài khoản cục bộ, thông tin đăng nhập được chứng thực cục bộ và người dùng được cấp quyền truy cập máy tính cục bộ.

– Với tài khoản miền, thong tin đăng nhập được chứng thực trên Active Directory và người dùng có quyền truy cập các tài nguyên trên mạng.

– Windows Server 2003 hỗ trợ nhiều giao thức chứng thực mạng, nổi bật nhất là :

  • Kerberos V5 : Là giao thức chuẩn Internet dùng để chứng thực người dùng và hệ thống.
  • NT LAN Manager (NTLM) : Là giao thức chứng thực chính của Windows NT.
  • Secure Socket Layer/Transport Layer Security (SSL/TLS) : Là cơ chế chứng thực chính được dùng khi truy cập vào máy phục vụ Web an toàn.

2. Số nhận diện bảo mật SID :

– Tuy hệ thống Windows Server 2003 dựa vào tài khoản người dùng (user account) để mô tả các quyền hệ thống (Rights) và quyền truy cập (Permission) nhưng thực sự bên trong hệ thống mỗi tài khoản được đặc trưng bởi một con số nhận dạng bảo mật SID (Security Identifier).

SID là thành phần nhận dạng không trùng lặp, được hệ thống tạo ra đồng thời với tài khoản và dùng riêng cho hệ thống xử lý, người dùng không quan tâm đến các giá trị này.

SID bao gồm phần SID vùng cộng thêm với một RID của người dùng không trùng lặp.

SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID“, khi đó tất cả các SID trong miền đều có cùng giá trị D1, D2, D3, nhưng giá trị RID là khác nhau.

– Hai mục đích chính của việc hệ thống sử dụng SID là :

  • Dễ dàng thay đổi tên tài khoản người dùng mà các quyền hệ thống và quyền truy cập không thay đổi.
  • Khi xóa một tài khoản thì SID của tài khoản đó không còn giá trị nữa, nếu chúng ta có tạo một tài khoản mới cùng tên với tài khoản vừa xóa thì các quyền cũ cũng không sử dụng được bởi vì khitạo tài khoản mới thì giá trị SID của tài khoản này là một giá trị mới.

VI. CÁC TÀI KHOẢN TẠO SẴN :

1. Tài khoản người dùng tạo sẵn :

2. Tài khoản nhóm được tạo sẵn :

3. Tài khoản nhóm Global được tạo sẵn :

4. Các nhóm tạo sẵn đặc biệt :

– Ngoài các nhóm tạo sẵn đã trình bày ở trên, hệ thống Windows Server 2003 còn có một số nhóm tạo sẵn đặt biệt, chúng không xuất hiện trên cửa sổ của công cụ Active Directory User and Computer , à chúng chỉ xuất hiện trên các ACL của các tài nguyên và đối tượng.

– Ý nghĩa của nhóm đặc biệt này là:

  • Interactive : Đại diện cho những người dùng đang sử dụng máy tại chỗ.
  • Network : Đại diện cho tất cả những người dùng đang nối kết mạng đến một máy tính khác.
  • Everyone : Đại diện cho tất cả mọi người dùng.
  • System : Đại diện cho hệ điều hành.
  • Creator owner : Đại diện cho những người tạo ra, những người sở hữa một tài nguyên nào đó như: thư mục, tập tin, tác vụ in ấn (print job)…
  • Authenticated users : đại diện cho những người dùng đã được hệ thống xác thực, nhóm này
  • được dùng như một giải pháp thay thế an toàn hơn cho nhóm everyone.
  • – Anonymous logon: đại diện cho một người dùng đã đăng nhập vào hệ thống một cách nặc danh, chẳng hạn một người sử dụng dịch vụ FTP.
  • Service : Đại diện cho một tài khoản mà đã đăng nhập với tư cách như một dịch vụ.
  • Dialup : Đại diện cho những người đang truy cập hệ thống thông qua Dial-up Networking.

About Terri

System Administrator @Netpower Datacenter

Posted on 30.04.2010, in Technical Articles, Windows and tagged , . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: