Group là tập hợp các tài khoản người dùng. Bạn có thể sử dụng các group để quản lý hiệu quả các nguồn tài nguyên, giúp đơn giản hóa việc bảo trì và quản trị mạng. Bạn có thể sử dụng các group riêng biệt, hoặc bạn có thể đặt nhiều group trong một để giảm bớt các chi phí liên quan trong việc quản lý các nhóm. Trước khi bạn có thể sử dụng các nhóm hiệu quả, bạn phải hiểu các loại của các nhóm có sẵn trong môi trường Windows 2003 Server, và chức năng của các nhóm.
Bạn đang xem: Authenticated users là gì
Group type
Bạn sử dụng các nhóm để tổ chức các tài khoản người dùng, tài khoản máy tính, và tài khoản nhóm khác thành các đơn vị quản lý được. Có hai loại nhóm trong dịch vụ thư mục Active Directory: distribution groups and security groups.
Distribution groups: Bạn có thể sử dụng distribution groups chỉ với các ứng dụng e-mail, chẳng hạn như máy chủ Microsoft Exchange, để gửi tin nhắn cho tập hợp nhiều người dùng. distribution groups không cho phép bảo mật, có nghĩa là, họ không thể được liệt kê trong danh sách kiểm soát truy cập (DACLs), được sử dụng để xác định quyền về tài nguyên và đối tượng.
Security groups: Bạn sử dụng Secturity group để chuyển các rights và permissions cho các nhóm người dùng và máy tính. Rights xác định những thành viên của Secturity group có thể vào trong một domain hoặc forest. Permissions xác định nguồn tài nguyên thành viên của một nhóm có thể truy cập trên mạng. Secturity group cũng có thể được sử dụng như một thực thể e-mail. Gửi một tin nhắn e-mail đến nhóm có nghĩa là gửi tin nhắn cho tất cả các thành viên của nhóm.
Group Scopes
Với mỗi nhóm trong Win 2k3 có những thuộc tính phạm vi khác nhau, quyết định khu vực hoạt động của nhóm đó. Group Scopes sẽ chỉ ra thành viên trong nhóm đó đến từ đâu, và chúng có thể đi đến đâu, trong môi trường multi-domain or multi-forest. Có các loại Scope như sau:
Local Groups: Cư trú trên máy tính thành viên (máy local), sử dụng Local Group để cấp phát quyền và tài nguyên cho thành viên logon với tài khoản local. Local Groups sử dụng trong môi trường không có domain, và nó không thể chứa những group khác.
Global Groups: Cư trú trên Active Directory, trong môi trường Domain. Sử dụng Global Groups để cấp phát quyền và tài nguyên cho thành viên truy cập qua mạng, yêu cầu đăng nhập và xác thực quyền hàn thành viên khi sử dụng tài nguyên của máy tính khác, và máy tính server. Global groups có thể là thành viên của global groups khác và của universal groups, domain local groups.
Domain Local Groups: Cư trú trong Active Directory ở mức domain. Sử dụng một nhóm các domain khi bạn muốn chỉ định quyền truy cập các tài nguyên được đặt trong cùng khu vực (local site). Bạn có thể thêm tất cả các Global Groups cầnchia sẻ cùng một nguồn lực vào nhóm Domain Local Groups.
Universal Groups: Cư trú trong Active Directory ở mức forest. Sử dụng Universal Groups khi bạn muốn nhóm các nhóm Global Groups để có thể chỉ định quyền truy cập đến các tài nguyên liên quan trong các lĩnh vực khác nhau. Universal Groups có thể là thành viên của universal groups khác,của global groups, và của domain local groups. Để sử dụng được Universal Security Groups thì Windows Server 2003 domain functional level phải là Windows 2000 native hoặc cao hơn. Sử dụng Windows 2000 mixed mode hoặc cao hơn nếu bạn muốn sử dụng Universal Distribution Groups.
Built-in Groups
Trong win 2k3 cung cấp cho chúng ta nhiều group có sẵn. Chúng được tự động tạo ra khi cài đặt Active Directory. Chúng ta có thể sử dụng các group này để phân quyền mặc định cho thành viên. Ví dụ bạn có thể thêm thành viên vào nhóm Administrators để quy định thành viên đó có toàn quyền trên hệ thống.
Một số nhóm được cung cấp sẳn như sau:
Account Operators: Thành viên có quyền tạo (create), sửa (modify), xóa (delete) tất cả users, group và computer trong domain.
Administrators: Thành viên có toàn quyền trong hệ thống.
Backup Operators: Thành viên có thể backup và restore tất cả file trên domain.
Incoming Forest, Trust Builders: Thành viên quản lý trust, tạo mới, chỉnh sửa trust giữa các hệ thống domain và forest.
Network Configuration Operators: Thành viên có quyền quản lý cấu hình mạng, bao gồm việc cấu hình giao thức TPI/IP và thay đổi địa chỉ của domain controller.
Performance Log Users: Thành viên nhóm này có thể quản lý thông tin logon hệ thống, bao gồm việc giám sát số lần logon, xem file logs
Performance Monitor Users: Thành viên của nhóm này có thể giám sát bộ đếm hiệu suất trên domain controller trong domain, tại local và từ các client truy cập từ xa.
Pre-Windows 2000 Compatible Access: Thành viên của nhóm này đã đọc truy cập vào tất cả người dùng và các nhóm trong domain. Nhóm này là cung cấp sự tương thích với các máy tính đang chạy Microsoft Windows 4.0 và NT hoặc trước đó. Theo mặc định, tất cả mọi người nhận dạng đặc biệt là một thành viên của nhóm này.
Remote Desktop Users: Thành viên có quyền điều khiển từ xa.
Replicator: Nhóm này có quyền chỉnh sửa việc đồng bộ (Replication) giữa các hệ thống, đó có thể là đồng bộ file, dns, …
Server Operators: Trong domain controllers, các thành viên của nhóm này có thể đăng nhập vào trình tương tác, tạo và xóa các tài nguyên chia sẻ, bắt đầu và ngừng một số dịch vụ, sao lưu và khôi phục tập tin, định dạng đĩa cứng, và đóng cửa xuống máy tính. Nhóm này không có thành viên mặc định.
Users: Nhóm thành viên bình thường, hầu như chỉ có quyền read. Mặc định các thành viên tạo ra được đưa vào group này.
Special Groups
Máy chủ chạy Windows Server 2003 bao gồm một số đặc tính đặc biệt. Ngoài các nhóm trong Users and Built-in, Win 2k3 cung cấp thêm các nhóm gọi là Special Groups, thành viên của nhóm này có thể thực hiện một số chức năng đặc biệt nào đó mà không đòi hỏi người dùng phải đăng nhập.
User trở thành thành viên của các nhóm đặc biệt khi chỉ cần tương tác với hệ điều hành. Ví dụ, khi người dùng đăng nhập cục bộ vào máy tính, họ trở thành thành viên của Interactive group. Vì các nhóm này được tạo ra mặc định, chúng có thể cấp quyền sử dụng và quyền cho các nhóm đặc biệt, nhưng không thể chỉnh sửa hoặc xem các thành viên của nhóm này. Ngoài ra, group scopes không áp dụng cho các nhóm đặc biệt.
Chúng ta cần hiểu được mục đích của các nhóm đặc biệt, bởi vì bạn có thể sử dụng chúng cho mục đích an ninh, chính vì chúng cho phép bạn tạo ra các chi tiết hơn trong việc tiếp cận chính sách và kiểm soát truy cập tài nguyên.
Một số Special Group cơ bản:
Anonymous Logon: Nhóm dành cho thành viên sử dụng hệ thống không cần cung cấp username và password.
Authenticated Users: Nhóm đại diện cho tất cả người dùng và nhóm đã được xác thực.
Ngoài ra còn nhiều group khác mà ở đây tôi chưa liệt kê hết cho các bạn. Chúng ta sẽ gặp lại chúng khi làm việc với hệ thống.
Phần trước các bạn đã tìm hiểu xong về mặc lý thuyết, các thành phần của nhóm, phân loại nhóm người dùng. Phần tiếp theo chúng ta sẽ khảo sát các công cụ phục vụ cho việc quản lý nhóm được tối ưu hơn, bảo mật hơn.
Công cụ quản lý user và group
Windows Server 2003 hỗ trợ một số công cụ giúp bạn dễ dàng khắc phục sự cố và quản lý nhóm và các thành viên trong nhóm. Bảng sau đâyvạch ra những công cụ liên quan:
AD Users and Computers: Công cụ đồ họa dùng quản lý group và user tích hợp sẳn trong Active Directory. ACL Editor: Cũng là công cụ đồ họa, dùng quản lý user và group, công cụ này dùng để cấp phát tài nguyên. Whoami: Công cụ dòng lệnh. Nó hiển thị uservà SID của user, group và SID của group, các quyền và tình trạng của họ (Ví dụ, kích hoạt hay vô hiệu hóa), và ID đăng nhập. Dsadd: Công cụ dòng lệnh, dùng để tạo và quản lý user, group. Ifmember: Công cụ dòng lệnh, để liệt kê tất cả các nhóm mà hiện tại thành viên thuộc. Thường được sử dụng trong các kịch bản đăng nhập. Bạn có thể tìm thấy công cụ này trong Windows Server 2003 Resource Kit. Getsid Chế độ dòng lệnh để so sánh số SID của tài khoản hai người dùng.
Restricted Group Policy
Windows Server 2003 bao gồm một số thiết lập Group Policy được gọi là Restricted Group Policy (RGP) cho phép bạn kiểm soát thành viên trong nhóm. Sử dụng Restricted Group Policy, có thể chỉ định các thành viên trong một nhóm ở bất cứ đâu trong Active Directory. Ví dụ, bạn có thể tạo ra một chính sách để giới hạn việc truy cập vào một OU có chứa các máy tính chứa dữ liệu nhạy cảm. RGP sẽ loại bỏ user domain từ các nhóm người dùng cục bộ và do đó hạn chế số lượng người dùng có thể đăng nhập vào máy tính. Nhóm thành viên không quy định trong chính sách được loại bỏ khi thiết lập Group Policy.
Thiết lập cấu hình RGP
RGP thiết lập chính sách bao gồm hai tính chất: member và member of. Những định nghĩa riêng cùa thành viên (member) xác định những người thuộc và những người không thuộc nhóm bị hạn chế. Các thuộc tình của thành viên nhóm (member of) quy định cụ thể nhóm mà nhóm bị hạn chế có thể thuộc trong đó.
Ảnh hưởng của việc thực thi RGP
Khi một RGP được thi hành, bất kỳ thành viên hiện tại của một nhóm đó thì không nằm trong danh sách thành viên được loại trừ. Thành viên có thể được gỡ bỏ cũng bao gồm cả tài khoản của nhóm Administrators. Bất kỳ người dùng trong danh sách thành viên hiện chưa là thành viên của nhóm hạn chế thì được thêm vào. Ngoài ra, mỗi nhóm hạn chế là chỉ những thành viên của nhóm được quy định tại cột Member of.
Hình ở trên mà bạn thấy là phạm vi của Member và Member Of.
Áp đặt RGP
Bạn có thể áp đặt RGP theo những cách như sau:
Định nghĩa ra một chính sách bằng chức năng trong Security Template, cái này sẽ được áp đặt trong suốt quá trình cấu hình trên máy tính local. Định nghĩa ra những thiết lập trực tiếp cho Group Policy Object (GPO). Cấu hình theo cách này thì đảm bảo rằng hệ điều hành sẽ tiếp tục thi hành các chính sách khác về nhóm.
Tạo ra Restricted Group Policy
Để tạo Restricted Group policy, bạn thực hiện theo các bước sau:
Mở Group Policy Management, chuyển đến OU mà bạn muốn áp GPO, click chuột phải lên OU đó, và click vào Create and Link a GPO Here. Trong hộp thoại GPO, nhập vào tên cho GPO mới, sau đó bấm OK. Chuột phải lên GPO mới và bấm Edit. Trong console tree,tìm đến đường dẫn Computer ConfigurationWindows SettingsSecurity SettingsRestricted Groups. Cũng phía console tree, chuột phải lên Restricted Groups, và bấm Add Group. Trong của số Group, nhập vào tên nhóm mà bạn muốn áp dụng chức năng RGP, sau đó bấm OK. Đến trang Properties, bấm nút Add phía dưới group trong trường Member of. Tiếp theo bạn gõ tên nhóm mà muốn thêm vào trong nhóm này, và bấm OK.
Chuyên mục: Hỏi Đáp
