Trong các bài trước chúng ta đã học về các vấn đề như tạo user Account trên server. Hãy tưởng tượng trong công ty

bạn có khoảng 5 máy tính với mỗi máy chúng ta sẽ tạo các User Account cho nhân viên truy cập.

Tuy nhiên nếu người dùng đăng nhập vào máy 1 để làm việc sau đó anh ta sang máy thứ 2 làm việc thì mọi tại

nguyên do anh ta tạo trên máy 1 hoàn toàn độc lập với máy 2 và thậm chí với từng máy Admin phải tạo các User

Account giống nhau anh ta mới truy cập được, mọi chuyện sẽ không trở nên quá rắc rối nếu công ty chúng ta có

chừng ấy máy .

Nhưng nếu công ty bạn có khoảng 100 máy thì mọi chuyện lại khác, vấn đề đặt ra là chả lẽ mỗi máy Admin phải ngồi

tạo 100 Account để nhân viên truy cập? và vì mỗi máy độc lập với nhau việc tìm lại dữ liệu trên máy mà ta từng ngồi

làm việc trước đó là cực kỳ khó khăn.

Do đó Windows đã có tính năng là Domain Controller (DC) giúp ta giải quyết rắc rối trên.

Điều kiện để có một DC là bạn phải trang bị một máy Server riêng được gọi là máy DC các máy còn lại được gọi là

máy Client, cả hệ thống được gọi là Domain Khi đó Administrator chỉ việc tạo User Account ngay trên máy DC mà

thôi nhân viên công ty dù ngồi vào bất cứ máy nào trên Domain đều có thể truy cập vào Account của mình mà các

tài nguyên anh ta tạo trước đó đều có thể dễ dàng tìm thấy.

Để làm việc này chúng ta đi vào chi tiết, trước tiên bạn phải dùng một máy để làm DC cách nâng cấp lên DC như

sau:

Bạn vào mục TCP/IP của máy DC chỉnh Preferred DNS về chính là IP của máy DC

Vào Start -> Run gõ lệnh dcpromo -> Enter

Trong cửa sổ Active Dirrectory Installation chọn Next

Check mục Domain in a new forest sau đó nhấp Next

Gõ Domain của bạn vào trong ví dụ này là gccom.net sau đó nhấp Next

Tiếp tục chọn Next

Tiếp tục chọn Next

Tiếp tục chọn Next

Trong cửa sổ DNS Registration Diagnostics chọn mục 2

Tiếp tục chọn Next

Tiếp tục chọn Next

Tiến trình upgrade lên DC bắt đầu, trong quá trình cài đặt nếu Windows yêu cầu bạn chèn đĩa CD Windows Server

2003 vào bạn cứ chèn vào và Browser… đến thư mục i386 để tiếp tục cài đặt sau đó bạn chờ cho hoàn tất và

Restart lại máy

Sau khi khởi động lại máy bạn chú ý thấy rằng từ nay về sau tại màn hình đăng nhập xuất hiện thêm dòng Log on to

Để kiểm tra xem máy có Up lên DC hoàn tất hay chưa bạn vào System Properties xem sẽ thấy xuất hiện

mục Domain: gccom.net

Bạn nhấp phải vào My Computer chọn Manage sẽ không còn thấy mục Local Users And Group nữa vì bây giờ máy

chúng ta đã là máy DC rồi định nghĩa Local không còn tồn tại nữa mà thay vào đó là công cụ Active Directory

Users and Computers trong mụcAdministrative Tools

Như các bài trước các bạn đã biết để nâng cao chế độ bảo mật hoặc tuỳ chỉnh trong Windows ta sử dụng công

cụ Group Policy nhưng khi chúng đã nâng cấp Windows lên DC rồi thì ta sẽ có 2 công cụ mới là Domain Controller

Sercurity Policy và Domain Sercurity Policy 

Domain Controller Sercurity Policy: Các tuỳ chỉnh trong này chỉ tác động lên máy DC mà thôi

Domain Sercurity Policy: Các tuỳ chỉnh trong này sẽ tác động lên toàn bộ user trên domain

Kể từ bây giờ để tạo User mới ta vào Active Directory Users and Computers

Và các user bạn tạo ra không còn gọi là Local User nữa mà gọi là Domain User, còn khi bạn truy cập vào máy DC

dưới quyền Administrator thì bạn được gọi là Domain Admin, song song đó nếu bạn truy cập vào máy Client nào đó

dưới quyền Domain Administrator thì bạn vừa là Local Admin của máy đó vừa là Domain Admin

Trong cửa sổ Active Directory Users and Computers tôi tạo 2 Account mới là gccom1 &gccom2 thao tác tương

tự như khi tạo Local User

Bây giờ khi nâng lên DC rồi Windows cũng sẽ nâng cao chế độ bảo mật lên và không cho phép bạn tạo Password

đơn giản nữa mà buộc bạn phải tạo Password phức tạp hơn sao cho thoả 3 trong 4 điều kiện sau:

- Password phải chứa các ký tự chữ thường abc….

- Password phải chứa các ký tự chữ hoa ABC….

- Password phải chứa các ký tự số 123….

- Password phải chứa các ký tự đặc biệc như: !@#$%^ …

VD: P@assword được gọi là một password phức tạp

Ngoài ra bạn có thể chỉnh trong Domain Sercurity Policy để tạo được Password đơn giản

Tiếp theo chúng ta sẽ làm việc với Group trong AD

Group là tập hợp các tài khoản người dùng. Bạn có thể sử dụng các group để quản lý hiệu quả các nguồn tài nguyên, giúp đơn giản hóa việc bảo trì và quản trị mạng. Bạn có thể sử dụng các group riêng biệt, hoặc bạn có thể đặt nhiều group trong  một để giảm bớt các chi phí  liên quan trong việc quản lý các nhóm. Trước khi bạn có thể sử dụng các nhóm hiệu quả, bạn phải hiểu các loại của các nhóm có sẵn trong môi trường Windows 2003 Server, và chức năng của các nhóm.

Group type

Bạn sử dụng các nhóm để tổ chức các tài khoản người dùng, tài khoản máy tính, và tài khoản nhóm khác thành các đơn vị quản lý được. Có hai loại nhóm trong dịch vụ thư mục Active Directory:  distribution groups and security groups.

Distribution groups: Bạn có thể sử dụng distribution groups chỉ với các ứng dụng e-mail, chẳng hạn như máy chủ Microsoft Exchange, để gửi tin nhắn cho tập hợp nhiều người dùng. distribution groups không cho phép bảo mật, có nghĩa là, họ không thể được liệt kê trong danh sách kiểm soát truy cập (DACLs), được sử dụng để xác định quyền về tài nguyên và đối tượng.

Security groups: Bạn sử dụng Secturity group để chuyển các rights và permissions cho các nhóm người dùng và máy tính. Rights xác định những thành viên của Secturity group có thể vào trong một domain hoặc forest. Permissions xác định nguồn tài nguyên thành viên của một nhóm có thể truy cập trên mạng. Secturity group cũng có thể được sử dụng như một thực thể e-mail. Gửi một tin nhắn e-mail đến nhóm có nghĩa là gửi tin nhắn cho tất cả các thành viên của nhóm.

Group Scopes

Với mỗi nhóm trong Win 2k3 có những thuộc tính phạm vi khác nhau, quyết định khu vực hoạt động của nhóm đó. Group Scopes sẽ chỉ ra thành viên trong nhóm đó đến từ đâu, và chúng có thể đi đến đâu, trong môi trường multi-domain or multi-forest. Có các loại Scope như sau:

Local Groups: Cư trú trên máy tính thành viên (máy local), sử dụng Local Group để cấp  phát quyền và tài nguyên cho thành viên logon với tài khoản local. Local Groups sử dụng trong môi trường không có domain, và nó không thể chứa những group khác.

Global Groups: Cư trú trên Active Directory, trong môi trường Domain. Sử dụng Global Groups để cấp phát quyền và tài nguyên cho thành viên truy cập qua mạng, yêu cầu đăng nhập và xác thực quyền hàn thành viên khi sử dụng tài nguyên của máy tính khác, và máy tính server. Global groups có thể là thành viên của global groups khác và của universal groups, domain local groups.

Domain Local Groups: Cư trú trong Active Directory ở mức domain. Sử dụng một nhóm các domain khi bạn muốn chỉ định quyền truy cập các tài nguyên được đặt trong cùng khu vực (local site).   Bạn có thể thêm tất cả các Global Groups cầnchia sẻ cùng một nguồn lực vào nhóm Domain Local Groups.

Universal Groups: Cư trú trong Active Directory ở mức forest. Sử dụng Universal Groups khi bạn muốn nhóm các nhóm Global Groups để có thể chỉ định quyền truy cập đến các tài nguyên liên quan trong các lĩnh vực khác nhau. UniversalGroups có thể là thành viên của universal groups khác,của global groups, và của domain local groups. Để sử dụng được Universal Security Groups thì Windows Server 2003 domain functional level phải là Windows 2000 native hoặc cao hơn. Sử dụng Windows 2000 mixed mode hoặc cao hơn nếu bạn muốn sử dụng Universal Distribution Groups.

Built-in Groups

Trong win 2k3 cung cấp cho chúng ta nhiều group có sẵn. Chúng được tự động tạo ra khi cài đặt Active Directory. Chúng ta có thể sử dụng các group này để phân quyền mặc định cho thành viên. Ví dụ bạn có thể thêm thành viên vào nhóm Administrators để quy định thành viên đó có toàn quyền trên hệ thống.

Một số nhóm được cung cấp sẳn như sau:

Account Operators: Thành viên có quyền tạo (create), sửa (modify), xóa (delete) tất cả users, group và computer trong domain.

Administrators: Thành viên có toàn quyền trong hệ thống.

Backup Operators: Thành viên có thể backup và restore tất cả file trên domain.

Incoming Forest, Trust Builders: Thành viên quản lý trust, tạo mới, chỉnh sửa trust giữa các hệ thống domain và forest.

Network Configuration Operators: Thành viên có quyền quản lý cấu hình mạng, bao gồm việc cấu hình giao thức TPI/IP và thay đổi địa chỉ của domain controller.

Performance Log Users: Thành viên nhóm này có thể quản lý thông tin logon hệ thống, bao gồm việc giám sát số lần logon, xem file logs

Performance Monitor Users: Thành viên của nhóm này có thể giám sát bộ đếm hiệu suất trên domain controller trong domain, tại local và từ các client truy cập từ xa.

Pre-Windows 2000 Compatible Access: Thành viên của nhóm này đã đọc truy cập vào tất cả người dùng và các nhóm trong domain. Nhóm này là cung cấp sự tương thích với các máy tính đang chạy Microsoft Windows 4.0 và NT hoặc trước đó. Theo mặc định, tất cả mọi người nhận dạng đặc biệt là một thành viên của nhóm này.

Remote Desktop Users: Thành viên có quyền điều khiển từ xa.

Replicator: Nhóm này có quyền chỉnh sửa việc đồng bộ (Replication) giữa các hệ thống, đó có thể là đồng bộ file, dns, …

Server Operators: Trong domain controllers, các thành viên của nhóm này có thể đăng nhập vào trình tương tác, tạo và xóa các tài nguyên chia sẻ, bắt đầu và ngừng một số dịch vụ, sao lưu và khôi phục tập tin, định dạng đĩa cứng, và đóng cửaxuống máy tính. Nhóm này không có thành viên mặc định.

Users: Nhóm thành viên bình thường, hầu như chỉ có quyền read. Mặc định các thành viên tạo ra được đưa vào group này.

Special Groups

Máy chủ chạy Windows Server 2003 bao gồm một số đặc tính đặc biệt. Ngoài các nhóm trong Users and Built-in, Win 2k3 cung cấp thêm các nhóm gọi là Special Groups, thành viên của nhóm này có thể thực hiện một số chức năng đặc biệt nào đó mà không đòi hỏi người dùng phải đăng nhập.

User trở thành thành viên của các nhóm đặc biệt khi chỉ cần tương tác với hệ điều hành. Ví dụ, khi người dùng đăng nhập cục bộ vào máy tính, họ trở thành thành viên của Interactive group. Vì các nhóm này được tạo ra mặc định, chúng có thể cấp quyền sử dụng và quyền cho các nhóm đặc biệt, nhưng không thể chỉnh sửa hoặc xem các thành viên của nhóm này. Ngoài ra, group scopes không áp dụng cho các nhóm đặc biệt.

Chúng ta cần hiểu được mục đích của các nhóm đặc biệt, bởi vì bạn có thể sử dụng chúng cho mục đích an ninh, chính vì chúng cho phép bạn tạo ra các chi tiết hơn trong việc tiếp cận chính sách và kiểm soát truy cập tài nguyên.

Một số Special Group cơ bản:

Anonymous Logon: Nhóm dành cho thành viên sử dụng hệ thống không cần cung cấp username và password.

Authenticated Users: Nhóm đại diện cho tất cả người dùng và nhóm đã được xác thực.

Ngoài ra còn nhiều group khác mà ở đây tôi chưa liệt kê hết cho các bạn. Chúng ta sẽ gặp lại chúng khi làm việc với hệ thống.

Phần trước các bạn đã tìm hiểu xong về mặc lý thuyết, các thành phần của nhóm, phân loại nhóm người dùng. Phần tiếp theo chúng ta sẽ khảo sát các công cụ phục vụ cho việc quản lý nhóm được tối ưu hơn, bảo mật hơn.

Công cụ quản lý user và group

Windows Server 2003 hỗ trợ một số công cụ giúp bạn dễ dàng khắc phục sự cố và quản lý nhóm và các thành viên trong nhóm. Bảng sau đâyvạch ra những công cụ liên quan:

AD Users and Computers: Công cụ đồ họa dùng quản lý group và user tích hợp sẳn trong Active Directory.ACL Editor: Cũng là công cụ đồ họa, dùng quản lý user và group, công cụ này dùng để cấp phát tài nguyên.Whoami: Công cụ dòng lệnh. Nó hiển thị uservà SID của user, group và SID của group, các quyền và tình trạng của họ

(Ví dụ, kích hoạt hay vô hiệu hóa), và ID đăng nhập.

Dsadd: Công cụ dòng lệnh, dùng để tạo và quản lý user, group.

Ifmember: Công cụ dòng lệnh, để liệt kê tất cả các nhóm mà hiện tại thành viên thuộc. Thường được sử dụng trong các kịch bản đăng nhập. Bạn có thể tìm thấy công cụ này trong Windows Server 2003 Resource Kit.

Getsid Chế độ dòng lệnh để so sánh số SID của tài khoản hai người dùng.

Restricted Group Policy

Windows Server 2003 bao gồm một số thiết lập Group Policy được gọi là Restricted Group Policy (RGP) cho phép bạn kiểm soát thành viên trong nhóm. Sử dụng Restricted Group Policy, có thể chỉ định các thành viên trong một nhóm ở bất cứ đâu trong Active Directory. Ví dụ, bạn có thể tạo ra một chính sách để giới hạn việc truy cập vào một OU có chứa các máy tính chứa dữ liệu nhạy cảm. RGP sẽ loại bỏ user domain từ các nhóm người dùng cục bộ và do đó hạn chế số lượng người dùng có thể đăng nhập vào máy tính. Nhóm thành viên không quy định trong chính sách được loại bỏ khi thiết lập Group Policy.

Thiết lập cấu hình RGP

RGP thiết lập chính sách bao gồm hai tính chất: member và member of. Những định nghĩa riêng cùa thành viên (member) xác định những người thuộc và những người không thuộc nhóm bị hạn chế. Các thuộc tình của thành viên nhóm (member of) quy định cụ thể nhóm mà nhóm bị hạn chế có thể thuộc trong đó.

Ảnh hưởng của việc thực thi RGP

Khi một RGP được thi hành, bất kỳ thành viên hiện tại của một nhóm đó thì không nằm trong danh sách thành viên được loại trừ. Thành viên có thể được gỡ bỏ cũng bao gồm cả tài khoản của nhóm Administrators. Bất kỳ người dùng trong danh sách thành viên hiện chưa là thành viên của nhóm hạn chế thì được thêm vào. Ngoài ra, mỗi nhóm hạn chế là chỉ những thành viên của nhóm được quy định tại cột Member of.

Hình ở trên mà bạn thấy là phạm vi của Member và Member Of.

Áp đặt RGP

Bạn có thể áp đặt RGP theo những cách như sau:

Định nghĩa ra một chính sách bằng chức năng trong Security Template, cái này sẽ được áp đặt trong suốt quá trình cấu hình trên máy tính local.

Định nghĩa ra những thiết lập trực tiếp cho Group Policy Object (GPO). Cấu hình theo cách này thì đảm bảo rằng hệ điều hành sẽ tiếp tục thi hành các chính sách khác về nhóm.

Tạo ra Restricted Group Policy

Để tạo Restricted Group policy, bạn thực hiện theo các bước sau:

Mở Group Policy Management, chuyển đến OU mà bạn muốn áp GPO, click chuột phải lên OU đó, và click vào Create and Link aGPO Here.

Trong hộp thoại GPO, nhập vào tên cho GPO mới,  sau đó bấm OK. Chuột phải lên GPO mới và bấm Edit. Trong console tree,tìm đến đường dẫn Computer Configuration\

Windows Settings\Security Settings\Restricted Groups. Cũng phía console tree, chuột phải lên Restricted Groups, và bấm Add Group. Trong của số Group, nhập vào tên nhóm mà bạn muốn áp dụng chức năng RGP, sau đó bấm OK. Đến trang Properties, bấm nút Add phía dưới group trong trường Member of. Tiếp theo bạn gõ tên nhóm mà muốn thêm vào trong nhóm này, và bấm OK.

OK mình vừa giới thiệu xong phần Domain Controller trong 620-290 của MCSA.