Tải bản đầy đủ (.pdf) (47 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Đại cương

Bài giảng 70 290 mcse guide to managing a microsoft windows server 2003 environment chương 3 ths trần bá nhiệm (biên soạn)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (539.99 KB, 47 trang )

70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003

Environment

Chương 3:
Tạo và quản trị tài khoản
người dùng-User Account

Mục tiêu

• Hiểu mục đích của các tài khoản user
• Hiểu tiến trình chứng thực user
• Hiểu và cấu hình các loại user profile: local,

roaming, mandatory
• Cấu hình và sửa chữa tài khoản user bằng nhiều

phương pháp
• Sự cố đối với tài khoản và chứng thực user

70-290: MCSE Guide to Managing a Microsoft 2

Windows Server 2003 Environment

Giới thiệu tài khoản User

• Một tài khoản user là một đối tượng Active
Directory

• Thể hiện thơng tin định nghĩa 1 user với quyền


truy cập vào mạng (tên, mật khẩu,…)

• Mọi người dùng tài nguyên mạng bắt buộc có tài
khoản

• Tham gia vào việc quản trị và bảo mật
• Phải theo các chuẩn của tổ chức

70-290: MCSE Guide to Managing a Microsoft 3

Windows Server 2003 Environment

Các đặc tính tài khoản User

• Cơng cụ chính để tạo và quản trị tài khoản là
Active Directory Users and Computers

• Active Directory dễ mở rộng nên có thể có các tab
được thêm vào các trang đặc tính (property page)

• Các đặc tính quan trọng có thể thiết lập gồm:

• General
• Address
• Account
• Profile
• Sessions

70-290: MCSE Guide to Managing a Microsoft 4


Windows Server 2003 Environment

Thực tập 3-1: Xem lại các đặc
tính tài khoản User

• Mục tiêu là xem lại các đặc tính của tài khoản user
thơng qua Active Directory Users and Computers

• Start  Administrative Tools  Active Directory
Users and Computers  Users  AdminXX
account  Properties

• Xem các tab và các giá trị theo y/c

70-290: MCSE Guide to Managing a Microsoft 5

Windows Server 2003 Environment

Tab tài khoản

70-290: MCSE Guide to Managing a Microsoft 6

Windows Server 2003 Environment

Chứng thực User

• Tiến trình nhận dạng một user hợp pháp
• Dùng để chấp nhận hoặc từ chối quyền truy cập

vào tài nguyên mạng

• Từ 1 hệ điều hành client

• Tên, mật khẩu, tài nguyên y/c

• Trong mơi trường Active Directory

• Domain controller chứng thực

• Trong 1 workgroup

• SAM cục bộ chứng thực

70-290: MCSE Guide to Managing a Microsoft 7

Windows Server 2003 Environment

Các phương pháp chứng thực

• Hai tiến trình chính

• Chứng thực tương tác
• Thơng tin tài khoản user được cung cấp khi đăng
nhập

• Chứng thực mạng
• Uỷ nhiệm thư (credential) của User được xác nhận
cho truy cập mạng

70-290: MCSE Guide to Managing a Microsoft 8


Windows Server 2003 Environment

Chứng thực tương tác

• Tiến trình trong đó user cung cấp tên và mật khẩu
để chứng thực

• Khi đăng nhập vào domain, credential được so
sánh với cơ sở dữ liệu AD tập trung

• Khi đăng nhập cục bộ, credential được so sánh
với cơ sở dữ liệu SAM

• Trong các mơi trường domain, các user bình
thường khơng có tài khoản cục bộ

70-290: MCSE Guide to Managing a Microsoft 9

Windows Server 2003 Environment

Chứng thực mạng

• Tiến trình một dịch vụ mạng chấp nhận danh định
của một user

• Với 1 user đăng nhập vào domain, chứng thực
mạng là trong suốt

• Credential từ chứng thực tương tác hợp lệ với các tài
ngun mạng


• Một user đăng nhập vào máy tính cục bộ sẽ được
nhắc đăng nhập riêng biệt vào tài nguyên mạng

70-290: MCSE Guide to Managing a Microsoft 10

Windows Server 2003 Environment

Các giao thức chứng thực

• Windows Server 2003 hỗ trợ 2 giao thức chứng
thực chính:

• Kerberos version 5 (Kerberos v5)
• NT LAN Manager (NTLM)

• Kerberos v5 là cơng cụ chính cho môi trường
Active Directory nhưng không hỗ trợ trên các hệ
thống client khác

• NTLM là cơng cụ chính cho các hệ điều hành
Microsoft cịn lại

70-290: MCSE Guide to Managing a Microsoft 11

Windows Server 2003 Environment

Kerberos v5

• Hỗ trợ bởi Windows 2000, Windows XP,

Windows Server 2003

• Giao thức đi theo sau:

• Yêu cầu đăng nhập được chuyển cho Key Distribution
Center (KDC), một Windows Server 2003 domain
controller

• KDC chứng thực user và nếu hợp pháp, phát ra một
ticket-granting ticket (TGT) cho hệ đh client

70-290: MCSE Guide to Managing a Microsoft 12

Windows Server 2003 Environment

Kerberos v5 (tt)

• Khi client y/c một tài ngun mạng, nó trình TGT cho
KDC

• KDC phát ra một service ticket cho client
• Client trình service ticket cho host server của tài

ngun đó

• Mọi DC trong mơi trường AD đều giữ vai trị
KDC

• Không phải mọi client đều theo giao thức này


70-290: MCSE Guide to Managing a Microsoft 13

Windows Server 2003 Environment

NTLM

• Dùng với các hệ điều hành chạy Windows NT 4.0
hoặc trước nữa, nếu cần cũng dùng được cho
Windows Server 2000/2003

• Giao thức đi theo sau:

• User đăng nhập, client tính giá trị băm mã hóa của mật
khẩu

• Client gửi tên user cho DC

70-290: MCSE Guide to Managing a Microsoft 14

Windows Server 2003 Environment

NTLM (tt)

• DC sinh ra challenge ngẫu nhiên và gửi cho client
• Client giải mã challenge với giá trị băm của mật khẩu

và gửi về DC
• DC tính toán giá trị mong muốn được trả về từ client và

so sánh với giá trị thực tế


• Sau khi chứng thực thành cơng, DC sinh ra một
token cho user với tài nguyên mạng

70-290: MCSE Guide to Managing a Microsoft 15

Windows Server 2003 Environment

User Profiles

• Một tập hợp các thiết lập đặc trưng cho một user
• Theo mặc nhiên được lưu giữ cục bộ

• Khơng đi theo user đăng nhập trên các máy tính khác

• Có thể tạo 1 roaming profile

• Đi theo user đăng nhập trên các máy tính khác

• Administrator có thể tạo 1 mandatory profile

• User khơng thể thay đổi nó

70-290: MCSE Guide to Managing a Microsoft 16

Windows Server 2003 Environment

User Profile Folders and Contents

70-290: MCSE Guide to Managing a Microsoft 17


Windows Server 2003 Environment

Local Profiles

• Các profile mới được tạo từ thư mục Default User
profile

• User có thể thay đổi local profile và những thay
đổi được lưu giữ lại chỉ cho user đó

• Administrator có thể quản lý nhiều phần tử của
profile

• Change Type
• Delete
• Copy To

70-290: MCSE Guide to Managing a Microsoft 18

Windows Server 2003 Environment

Thực tập 3-2: Kiểm tra Local
Profile Settings

• Mục tiêu là cấu hình và kiểm tra 1 local user
profile

• Start  Administrative Tools  Active Directory
Users and Computers  Users  New  User


• Theo các chỉ dẫn để tạo 1 user profile mới
• Khám phá và cấu hình các đặc tính
• Kiểm tra lại bằng cách đăng nhập như user mới

70-290: MCSE Guide to Managing a Microsoft 19

Windows Server 2003 Environment

Roaming Profiles

• Roaming profiles

• Cho phép profile lưu trên 1 server trung tâm và đi theo
user

• Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với
thao tác backup)

• Thay đổi 1 profile từ local  roaming nên cẩn
thận sao lưu trước

70-290: MCSE Guide to Managing a Microsoft 20

Windows Server 2003 Environment


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×