Nhận xét Authenticated Users Là Gì – Group Và Những Điều Căn Bản

Phân tích Authenticated Users Là Gì – Group Và Những Điều Căn Bản là ý tưởng trong nội dung hôm nay của Lễ Hội Phượng Hoàng. Tham khảo content để biết chi tiết nhé.

Group là tập hợp các tài khoản người  dùng. Bạn có thể sử dụng các group để quản lý hiệu quả các nguồn tài  nguyên, giúp đơn giản hóa việc bảo trì và quản trị mạng. Bạn có thể sử  dụng các group riêng biệt, hoặc bạn có thể đặt nhiều group trong  một để  giảm bớt các chi phí  liên quan trong việc quản lý các nhóm. Trước khi  bạn có thể sử dụng các nhóm hiệu quả, bạn phải hiểu các loại của các  nhóm có sẵn trong môi trường Windows 2003 Server, và chức năng của các  nhóm.

Bạn đang xem: Authenticated users là gì

Group type

Bạn  sử dụng các nhóm để tổ chức các tài  khoản người dùng, tài khoản máy   tính, và tài khoản nhóm khác thành các  đơn vị quản lý được. Có hai  loại nhóm trong dịch vụ thư mục Active  Directory: distribution groups and security groups.

 

*

Distribution groups: Bạn   có thể sử dụng distribution groups chỉ với các ứng dụng e-mail, chẳng   hạn như máy chủ Microsoft Exchange, để gửi tin nhắn cho tập hợp nhiều   người dùng. distribution groups không cho phép bảo  mật, có nghĩa là, họ  không thể được liệt kê trong danh sách  kiểm soát truy cập (DACLs),  được sử dụng để xác định quyền về tài  nguyên và đối tượng.

Security groups: Bạn sử  dụng Secturity group để chuyển các rights và permissions cho các nhóm  người dùng và máy tính. Rights xác định những thành viên của Secturity  group có thể vào trong một domain hoặc forest. Permissions xác định  nguồn tài nguyên thành viên của một nhóm có thể truy cập trên mạng.  Secturity group cũng có thể được sử dụng như một thực thể e-mail. Gửi  một tin nhắn e-mail đến nhóm có nghĩa là gửi tin nhắn cho tất cả các  thành viên của nhóm.

Group Scopes

Với mỗi nhóm trong Win 2k3 có những thuộc  tính phạm vi khác nhau, quyết định khu vực hoạt động của nhóm đó. Group  Scopes sẽ chỉ ra thành viên trong nhóm đó đến từ đâu, và chúng có thể  đi đến đâu, trong môi trường multi-domain or multi-forest. Có các loại  Scope như sau:

*

Local Groups: Cư trú trên máy tính thành viên (máy local), sử dụng Local Group để  cấp  phát quyền và tài nguyên cho thành viên logon với tài khoản local.  Local Groups sử dụng trong môi trường không có domain, và nó không thể  chứa những group khác.

Global Groups: Cư trú  trên Active Directory, trong môi trường Domain. Sử dụng Global Groups để  cấp phát quyền và tài nguyên cho thành viên truy cập qua mạng, yêu cầu  đăng nhập và xác thực quyền hàn thành viên khi sử dụng tài nguyên của  máy tính khác, và máy tính server. Global groups có thể là thành viên  của global groups khác và của universal groups, domain local groups.

Domain Local Groups: Cư  trú trong Active Directory ở mức domain. Sử dụng một nhóm các domain khi  bạn muốn chỉ định quyền truy cập các tài nguyên được đặt trong cùng khu  vực (local site).  Bạn có thể thêm tất cả các Global Groups cầnchia sẻ  cùng một nguồn lực vào nhóm Domain Local Groups.

Universal Groups: Cư trú  trong Active Directory ở mức forest. Sử dụng Universal Groups khi bạn  muốn nhóm các nhóm Global Groups để có thể chỉ định quyền truy cập đến  các tài nguyên liên quan trong các lĩnh vực khác nhau. Universal
Groups có thể là thành viên của universal groups khác,của global groups,  và của domain local groups. Để sử dụng được Universal Security Groups  thì Windows Server 2003 domain functional level phải là Windows 2000  native hoặc cao hơn. Sử dụng Windows 2000 mixed mode hoặc cao hơn nếu  bạn muốn sử dụng Universal Distribution Groups.

Built-in Groups

Trong win 2k3 cung cấp cho chúng ta nhiều  group có sẵn. Chúng được tự động tạo ra khi cài đặt Active Directory.  Chúng ta có thể sử dụng các group này để phân quyền mặc định cho thành  viên. Ví dụ bạn có thể thêm thành viên vào nhóm Administrators để quy  định thành viên đó có toàn quyền trên hệ thống.

*

Một số nhóm được cung cấp sẳn như sau:

Account Operators: Thành viên có quyền tạo (create), sửa (modify), xóa (delete) tất cả users, group và computer trong domain.

Administrators: Thành viên có toàn quyền trong hệ thống.

Backup Operators: Thành viên có thể backup và restore tất cả file trên domain.

Incoming Forest, Trust Builders: Thành viên quản lý trust, tạo mới, chỉnh sửa trust giữa các hệ thống domain và forest.

Network Configuration Operators: Thành viên có quyền quản lý cấu hình mạng, bao gồm việc cấu hình giao thức TPI/IP và thay đổi địa chỉ của domain controller.

Performance Log Users: Thành viên nhóm này có thể quản lý thông tin logon hệ thống, bao gồm việc giám sát số lần logon, xem file logs

Performance Monitor Users: Thành  viên của nhóm này có thể giám sát bộ đếm hiệu suất trên domain  controller trong domain, tại local và từ các client truy cập từ xa.

Pre-Windows 2000 Compatible Access: Thành  viên của nhóm này đã đọc truy cập vào tất cả người dùng và các nhóm  trong domain. Nhóm này là cung cấp sự tương thích với các máy tính đang  chạy Microsoft Windows 4.0 và NT hoặc trước đó. Theo mặc định, tất cả  mọi người nhận dạng đặc biệt là một thành viên của nhóm này.

Xem thêm: Nguyên Lý Sản Xuất Của Pin Mặt Trời (silicon Wafer Là Gì

Remote Desktop Users: Thành viên có quyền điều khiển từ xa.

Replicator: Nhóm này có quyền chỉnh sửa việc đồng bộ (Replication) giữa các hệ thống, đó có thể là đồng bộ file, dns, …

Server Operators: Trong  domain controllers, các thành viên của nhóm này có thể đăng nhập vào  trình tương tác, tạo và xóa các tài nguyên chia sẻ, bắt đầu và ngừng một  số dịch vụ, sao lưu và khôi phục tập tin, định dạng đĩa cứng, và đóng  cửa
xuống máy tính. Nhóm này không có thành viên mặc định.

Users: Nhóm thành viên bình thường, hầu như chỉ có quyền read. Mặc định các thành viên tạo ra được đưa vào group này.

Special Groups

Máy chủ chạy Windows Server 2003 bao gồm  một số đặc tính đặc biệt. Ngoài các nhóm trong Users and Built-in, Win  2k3 cung cấp thêm các nhóm gọi là Special Groups, thành viên của nhóm  này có thể thực hiện một số chức năng đặc biệt nào đó mà không đòi hỏi  người dùng phải đăng nhập.

*

User  trở thành thành viên của các nhóm đặc biệt khi chỉ cần tương tác với hệ  điều hành. Ví dụ, khi người dùng đăng nhập cục bộ vào máy tính, họ trở  thành thành viên của Interactive group. Vì các nhóm này được tạo ra mặc  định, chúng có thể cấp quyền sử dụng và quyền cho các nhóm đặc biệt,  nhưng không thể chỉnh sửa hoặc xem các thành viên của nhóm này. Ngoài  ra, group scopes không áp dụng cho các nhóm đặc biệt.

Chúng ta cần hiểu được mục đích của các  nhóm đặc biệt, bởi vì bạn có thể sử dụng chúng cho mục đích an ninh,  chính vì chúng cho phép bạn tạo ra các chi tiết hơn trong việc tiếp cận  chính sách và kiểm soát truy cập tài nguyên.

Một số Special Group cơ bản:

Anonymous Logon: Nhóm dành cho thành viên sử dụng hệ thống không cần cung cấp username và password.

Authenticated Users: Nhóm đại diện cho tất cả người dùng và nhóm đã được xác thực.

Ngoài ra còn nhiều group khác mà ở đây tôi chưa liệt kê hết cho các bạn. Chúng ta sẽ gặp lại chúng khi làm việc với hệ thống.

Phần  trước các bạn đã tìm hiểu xong về  mặc lý thuyết, các thành phần của  nhóm, phân loại nhóm người dùng. Phần  tiếp theo chúng ta sẽ khảo sát các  công cụ phục vụ cho việc quản lý  nhóm được tối ưu hơn, bảo mật hơn.

Công cụ quản lý user và group

Windows  Server 2003 hỗ trợ một số công  cụ giúp bạn dễ dàng khắc phục sự cố và  quản lý nhóm và các thành viên  trong nhóm. Bảng sau đâyvạch ra những  công cụ liên quan:

*

AD Users and Computers: Công cụ đồ họa dùng quản lý group và user tích hợp sẳn trong Active Directory.
ACL Editor: Cũng là công cụ đồ họa, dùng quản lý user và group, công cụ này dùng để cấp phát tài nguyên.
Whoami: Công cụ dòng lệnh. Nó hiển thị uservà SID của user, group và SID của group, các quyền và tình trạng của họ
(Ví dụ, kích hoạt hay vô hiệu hóa), và ID đăng nhập.
Dsadd: Công cụ dòng lệnh, dùng để tạo và quản lý user, group.
Ifmember: Công cụ dòng lệnh, để liệt kê tất cả các nhóm   mà hiện tại thành viên thuộc. Thường được sử dụng trong các kịch bản   đăng nhập. Bạn có thể tìm thấy công cụ này trong Windows Server 2003   Resource Kit.
Getsid Chế độ dòng lệnh để so sánh số SID của tài khoản hai người dùng.

Restricted Group Policy

Windows Server 2003 bao gồm một số thiết  lập Group Policy được gọi là  Restricted Group Policy (RGP) cho phép bạn  kiểm soát thành viên trong  nhóm. Sử dụng Restricted Group Policy, có  thể chỉ định các thành viên  trong một nhóm ở bất cứ đâu trong Active  Directory. Ví dụ, bạn có thể  tạo ra một chính sách để giới hạn việc  truy cập vào một OU có chứa các  máy tính chứa dữ liệu nhạy cảm. RGP sẽ  loại bỏ user domain từ các nhóm  người dùng cục bộ và do đó hạn chế số  lượng người dùng có thể đăng nhập  vào máy tính. Nhóm thành viên không  quy định trong chính sách được loại  bỏ khi thiết lập Group Policy.

Thiết lập cấu hình RGP

RGP thiết lập chính sách bao gồm hai tính  chất: member và member of.  Những định nghĩa riêng cùa thành viên  (member) xác định những người  thuộc và những người không thuộc nhóm bị  hạn chế. Các thuộc tình của  thành viên nhóm (member of) quy định cụ thể  nhóm mà nhóm bị hạn chế có  thể thuộc trong đó.

Ảnh hưởng của việc thực thi RGP

Khi một RGP được thi hành, bất kỳ thành  viên hiện tại của  một nhóm  đó thì không nằm trong danh sách thành viên  được loại trừ. Thành viên có  thể được gỡ bỏ cũng bao gồm cả tài khoản  của nhóm Administrators. Bất  kỳ người dùng trong danh sách thành viên  hiện chưa là thành viên của  nhóm hạn chế thì được thêm vào. Ngoài ra,  mỗi nhóm hạn chế là chỉ những  thành viên của nhóm được quy định tại cột  Member of.

*

Hình ở trên mà bạn thấy là phạm vi của Member và Member Of.

Xem thêm: Open Relationship Là Gì – Facebook Status Của Bạn Có Ý Nghĩa Gì

Áp đặt RGP

Bạn có thể áp đặt RGP theo những cách như sau:

Định nghĩa ra một chính sách bằng chức năng trong Security Template,   cái này sẽ được áp đặt trong suốt quá trình cấu hình trên máy tính   local. Định nghĩa ra những thiết lập trực tiếp cho Group Policy Object   (GPO). Cấu hình theo cách này thì đảm bảo rằng hệ điều hành sẽ tiếp tục   thi hành các chính sách khác về nhóm.

Tạo ra Restricted Group Policy

Để tạo Restricted Group policy, bạn thực hiện theo các bước sau:

Mở Group Policy Management, chuyển đến OU mà bạn muốn áp GPO, click chuột phải lên OU đó, và click vào Create and Link a
GPO Here. Trong hộp thoại GPO, nhập vào tên cho GPO mới,  sau đó bấm OK. Chuột phải lên GPO mới và bấm Edit. Trong console tree,tìm đến đường dẫn Computer ConfigurationWindows SettingsSecurity SettingsRestricted Groups. Cũng phía console tree, chuột phải lên Restricted Groups, và bấm Add Group. Trong của số Group, nhập vào tên nhóm mà bạn muốn áp dụng chức năng RGP, sau đó bấm OK. Đến trang Properties, bấm nút Add phía dưới group trong trường Member of. Tiếp theo bạn gõ tên nhóm mà muốn thêm vào trong nhóm này, và bấm OK.

Chuyên mục: Hỏi Đáp