Xem mẫu
- LOGO
PowerPoint Template
Add your company slogan
www.themegallery.com
- Tài khoản người dùng
User Acount là 1 đối tượng quan trọng đại diện cho
là
người dùng trên mạng, được phân biệt qua chuổi
nhận dạng (User name).
Chuổi nhận dạng này giúp hệ thống phân biệt giữa
người này với người khác trên mạng, từ đó người
dùng có thể đăng nhập vào mạng và truy xuất các
tài nguyên mạng mà mình được phép
User Acount
www.themegallery.com
- Tài khoản người dùng cục bộ
Local User Account là tài khoản được định nghĩa
trên máy cục bộ, và chỉ được phép logon, truy c ập
tài nguyên trên máy cục bộ
Nếu muốn truy cập tài nguyên trên mạng thì phải
được chứng thực tại máy có tài nguyên chia sẻ.
Các tài khoản này được lưu trong tập tin CSDL SAM
tại máy cục bộ (..\ Windows\ system32\ config)
Logon
SAM
www.themegallery.com
- Tài khoản người dùng miền
Domain User Account là tài khoản được định nghĩa
trên Active Directory và được phép logon vào mạng
trên Active
tại bất kỳ máy trạm nào trong miền
Với tài khoản này người dùng có thể truy cập đến
các tài nguyên trên mạng
Các tài khoản này được chứa trong tập tin NTDS.DIT
(..\Windows\NTDS)
Windows Server 2003 Domain
www.themegallery.com
- Logging on …
Access Token SAM
Logging on Locally
Active Directory
Access Token
Logging on to a Domain
www.themegallery.com
- Tài khoản nhóm
Group Account là đối tượng đại diện cho một nhóm
người dùng nào đó. Dùng cho việc quản lý chung
các đối tượng người dùng
Việc phân bổ người dùng vào nhóm giúp ta d ể dàng
cấp quyền cho họ trên các tài nguyên mạng như các
thư mục chia sẻ, máy in
Tài khoản nhóm không thể dùng để đăng nhập và
được chia làm 2 loại
• Nhóm bảo mật (Security Group)
(Security
• Nhóm phân phối (Distribution Group)
(Distribution
www.themegallery.com
- • Nhóm bảo mật (Security Group)
(Security
Được dùng để cấp phát các quyền hệ thống (Rights)
và quyền truy cập (Permission)
Giống như tài khoản người dùng, các nhóm bảo mật
đều được chỉ định các SID (Security ID)
• Nhóm phân phối (Distribution Group)
(Distribution
Là loại nhóm phi bảo mật, không có SID. Loại nhóm
Là
này không được dùng bởi các nhà quản trị mà được
dùng bởi các phần mềm dịch vụ. Chúng được dùng
để phân phối thư (Email) hoặc các tin nhắn (message)
ví dụ như dịch vụ MS Exchange.
ví
www.themegallery.com
- Các nhóm tạo sẵn đặc biệt
Đại diện cho users sử dụng máy tại chổ
Interactive
Users đang kết nối mạng đến 1 máytính khác
Network
Tất cả mọi người dùng
Everyone
Đại diện cho hệ điều hành
System
Users tạo ra và sở hữu tài nguyên nào đó
Creator owner
Users đã được hệ thống xác thực
Authenticated user
Users đăng nhập nặc danh vào hệ thống ( sử
Anonymous logon
dụng FTP…)
Tài khoản đăng nhập với tư cách 1 dịch vụ
Service
Users đăng nhập hệ thống bằng Dialup
Dialup
www.themegallery.com
- Quản lý tài khoản người dùng
Giống như Win XP,
ta quản lý tài khoản
người dùng: tạo,
xoá,
đổi tên, cấp
quyền…
thông qua giao diện
Computer
Management.
www.themegallery.com
- Chú ý
Nên xoá tài khoản người dùng nếu chắc chắn rằng
tài khoản này sẽ không bao giờ dùng nữa.
Chú ý: Tài khoản bị xoá sẽ không phục hồi lại được
nữa.
Khi 1 tài khoản không sử dụng trong 1 thời gian dài,
ta nên khoá lại vì lý do bảo mật và an toàn hệ thống.
Ta có thể đổi tên bất kỳ 1 tài khoản người dùng nào,
và có thể điều chỉnh lại những thông tin về tài
khoản đó.
Khi ta đổi tên, SID của tài khoản đó không thay đổi.
Ta cũng có thể thay đổi Password của bất kỳ tài
khoản nào nếu xét thấy cần thiết.
www.themegallery.com
- www.themegallery.com
- Chính sách tài khoản người dùng (Account
Policy) dùng để chỉ định các thông số về tài
khoản người dùng mà nó được sử dụng khi
tiến trình Logon xảy ra.
Cho phép ta cấu hình các thông số bảo mật
máy tính, mật khẩu, khoá tài khoản và chứng
thực.
Password Permission Computer
www.themegallery.com
- Khái niệm
Users
Nếu trên Server dùng
Workgoup ta sẽ thấy 2 mục
là Password Policy và
Account Lockout Policy còn
nếu Server đã nâng cấp lên
Domain Controler sẽ có
thêm 1 mục nữa là Kerberos
Policy
Start Progams
Administrative Tools
Local Security Policy
hoặc Domain Security
Policy
www.themegallery.com
- Chính sách mật khẩu
Password Policy nhằm đảm bảo an toàn mật khẩu cho người dùng,
tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống
Số lần đặt mật mã không được
trùng nhau
Số ngày nhiều nhất mà mật mã
có hiệu lực
Số ngày tối thiểu trước khi User
được phép đổi mật mã
Số ký tự ngắn nhất của mật mã
Mật mã phải có độ phức tạp
Mật mã được mã hoá
www.themegallery.com
- Chính sách khoá tài khoản
Account Lockout Policy quy định cách thức khoá tài kho ản trong vùng
hay trong hệ thống cục bộ. Chính sách này giúp ta hạn chế bị tấn
công bằng phương pháp Logon từ xa.
Quy định thời gian khoá. Là 0,
Nhưng nếu Account Lockout
Threshold được thiết lập thì giá
trị này là 30 phút
Quy định số lần đăng nhập sai,
tài khoản sẽ bị khoá
Quy định thời gian đếm lại số lần
đăng nhập không thành công.
Là 0, nếu Account Lockout
Threshold được thiết lập thì giá
trị này là 30 phút
www.themegallery.com
- Local Policy cho thiết lập các chính sách giám sát đ ối tượng trên
mạng, như : người dùng và tài nguyên dùng chung. Đồng thời dựa
vào chính sách này ta có thể cấp quyền hệ thống cho các người
dùng và thiết lập các lựa chọn bảo mật.
www.themegallery.com
- Chính sách kiểm toán
Audit Policy cho phép giám sát và ghi nhận các sự kiện xảy ra trong h ệ
thống, trên các đối tượng và các người dùng. Ghi nhận thông qua công
cụ Event Viewer trong mục Security
1-Ghi nhận khi Users logon hoặc
logoff hoặc tạo một kết nối mạng
Ghi nhận khi có sự thay đổi thông
tin về Tkhoản Users hoặc Group
Ghi nhận việc truy cập các dịch
vụ thư mục
hi nhận sự thay đổi trong chính sách kiểm toán Ghi nhận việc thi hành Script
hoặc roaming profile
hi nhận khi có thao tác quản trị bằng quyền hệ
Ghi nhận việc truy cập các file,
hống như cấp hoặc xoá quyền 1 ai đó
thư mục, máy in…
Ghi nhận sự hoạt động của ch.trình hay HĐH
Ghi nhận khi khởi động lại máy hoặc tắt máy www.themegallery.com
- Quyền hệ thống của người dùng
Có 2 cách cấp quyền hệ thống cho người dùng
1. Add tài khoản người dùng vào các nhóm đã được
tạo sẵn (built-in) để thừa kế quyền (đã học ở WinXP)
2. Hoặc dùng công
cụ User Right
Assigment để gán
từng quyền rời
rạc cho người dùng
www.themegallery.com
- Quyền hệ thống của người dùng (tt)
Quyền Mô tả
Cho phép người dùng truy cập máy
Access This Computer in the
tính này thông qua mạng, mặc định
Network
mọi người đều có quyền
Cho phép các dịch vụ chứng thực ở
Act as Part of the Operating
mức thấp, được chưng thực bởi bất
System
cứ người dùng nào
Cho phép người dùng thêm 1 tài
Add Workstations to the
khoản máytính vào vùng
Domain
Cho phép người dùng sao lưu
Backup file and Directories
Cho phép duyệt cấu trúc thư mục nếu
Bypass Traverse checking
không có quyền xem (list) thư mục
này
Cho phép thay đổi giờ hệ thống
Change the System time
www.themegallery.com
- Quyền hệ thống của người dùng (tt)
Quyền Mô tả
Cho phép thay đổi kích thước Pagefile
Creat a Pagefile
Cho phép 1 tiến trình tạo 1 thẻ bài nếu
Creat a Token Object
tiến trình này dùng NTCreat Token API
Cho phép 1 tiến trình tạo 1 đối tượng thư
Creat Permanent Shared
mục thông qua Win 2000 Object Manager
Object
Cho phép người dùng gắn 1 chương trình
Debug Programs
debug vào bất cứ tiến trình nào
Cho phép khoá người dùng hoặc nhóm
Deny Access to This
không được truy cập đến các máy tính
Computer from the Net
khác trên mạng
Cho phép ngăn cản users và nhóm được
Deny Logon as Batch file
phép logon như 1 batch file
www.themegallery.com
nguon tai.lieu . vn
