MCSA 2012 Local User and Group

Ở bài này chúng ta sẽ tìm hiểu các vấn đề về User và Group.

Yêu cầu:

2 máy ảo chạy server 2012

2012may1:  IP: 192.168.1.100/24 (IP thế nào tùy các bạn chọn).

2012may2:  IP: 192.168.1.101/24.

máy ảo

Tắt firewall (Run -> firewall.cpl), 2 máy ping lẫn nhau, đảm bảo thông suốt.

 User account: là một bộ thông tin, dùng để định danh người dùng trên hệ thống.

Từ sau bản MS-Dos thì Microsoft ra đời các hệ điều hành (HDH) Windows. Ta có thể chia thành 2 nhóm như sau:

Nhóm 1: Win 95, 98, me.

Nhóm 2: Win NT, 2000, XP, 2003, 2008, 7, 2008R2 v.v .

Ở nhóm 1:  Khi cài  HDH thì máy tính làm việc ở mode: simple user. Simple user: máy tính chỉ phục vụ cho một người dùng, không có sự phân biệt giữa các người dùng khác nhau. bất kì ai ngồi trên máy làm việc thì được toàn quyền trên máy tính.

Vấn đề: muốn bảo vệ dữ liệu thì chỉ còn mỗi việc không cho ai ngồi trên máy.

Nhóm 2: Các máy tính hoạt động ở mode: Multiple User, phục vụ cho nhiều người dùng và mỗi người dùng có một không gian làm việc riêng ( Profile).

Khi cài đặt HDH Windows thì mặc định có 2 tài khoản luôn tồn tại: administrator và guest đều là Built-in account.

Cách tạo User Account: start -> run : lusrmgr.msc (giao diện quản lý user và group)

lusrmgr

 User account gồm 2 thông tin quan trọng là:

– User name: không phân biệt hoa thường.

– Password: mặc định windows server bắt ta đặt password phức tạp.

Password được xem là an toàn (phức tạp) khi:

– tối thiểu 8 kí tự.

– password ít ý nghĩa.

– xuất hiện 3 trong 4 nhóm.

4 nhóm gồm:

– a -> z.

– A -> Z.

– 0 -> 9.

– Kí tự ASCII: @, #, &, v.v ( muốn biết các kí tự ASCII vào: start -> All Programs -> System tools -> Character Map ).

Ví dụ: TuH0cm@ng123

Password của các tài khoản sẽ được lưu trong file SAM với đường dẫn: C:\windows\system32\config. 

Khi bấm Ctrl Alt Del thì xuất hiện:

Ctrl Alt Del

 Clock: khóa màn hình lại, các ứng dụng vẫn còn hoạt động.

Switch user: log on (đăng nhập) bằng tài khoản khác nhưng các ứng dụng vẫn không bị đóng ở tài khoản hiện tại.

Sign out: kết thúc phiên làm việc. 

Lần đầu tiên khi user Teo log-on, thì hệ thống tạo cho user môi trường làm việc riêng (user Profile).

User Profile: bao gồm

– Dữ liệu hay các thiết lập trên desktop ( đổi hình nền v.v).

–  Các lưu trữ trong Document.

– Application data.

– v.v (sẽ tìm hiểu kĩ ở bài User Profile).

Khi log on user Ti thì Windows sẽ tạo cho user Ti profile riêng, user Ti không thể xâm nhập vào môi trường làm việc của Teo.

Thuộc tính cơ bản của User Account: Properties tài khoản

Properties

Tab General

General

– User must change password at next log on: người dùng phải đổi password ở lần đăng nhập kế tiếp. Khi user đổi pass rồi thì ” mất dấu check” ở thuộc tính này.

+  Dùng để cho user tự đặt mật khẩu khi mới tạo account.

+ Nếu trong quá trình sử dụng, ta thấy tài khoản này đang bị dò password thì ta sẽ yêu cầu đổi pass (hoặc user tự bấm Ctrl + Alt + Del để đổi pass).

–  User cannot change password: người dùng không thể đổi password.

+ Dùng khi có các tài khoản dùng chung cho nhiều người.

– Password nerver expired:  password không bao giờ hết hạn, nếu không check thì mặc định password user chỉ có giá trị trong 42 ngày. Sau 42 ngày bắt buộc người dùng đổi pass.

+ Dùng cho các tài khoản tạo ra nhằm mục đích khai báo cho các tác vụ trên hệ thống (vd: backup phải khai báo tài khoản có quyền backup, mà chương trình backup thì chạy liên tục, khi đến 42 ngày thì nó dừng tài khoản này => backup không thể thực hiện )

–  Account is disabled: tài khoản không thể log on hay truy xuất các tài nguyên trên hệ thống.

+ Dùng khi có các tài khoản không sử dụng nữa, ta không nên xóa mà cứ disable 

Tab Member Of

Member Of

Mặc định khi user được tạo ra thì nó là thành viên của 1 group.

Group là đối tượng trong hệ thống (system object), dùng để chứa user account hoặc group account khác

Chức năng phục vụ cho công tác quản lý, phân quyền (thay vì phân quyền chi tiết từng user thì ta dùng group cho nhanh)

Group mặc định

Đây là các Group mặc định có sẵn trên windows, dựa vào các chức năng mà ta có các group khác nhau, có 2 nhóm

– nhóm 1 : có chức năng quản lý hệ thống, vd: group Administrators ( tạo user, chỉnh giờ, tắt máy v.v)

– nhóm 2: nhóm được phép truy cập, sử dụng tài nguyên, vd: group Users.

Ta cũng có thể tạo group riêng: ( phải chuột -> New Group)

Group

muốn add user, ta bấm Add.

User thuộc group nào thì sẽ có quyền tương ứng với group đó. 

Truy suất tài nguyên trong Lan:

Các máy tính trong mạng Workgroup gọi là local computer, user thuộc local computer (hay còn gọi là local user) chỉ được phép log-on hay sử dụng tài nguyên trên chính máy đó ( ứng dụng, máy in v.v), không thể dùng để truy cập tài nguyên ở máy khác. User thuộc 2012may1 muốn truy xuất tài nguyên của 2012may2 phải dùng tài khoản có trên 2012may2.

Sử dụng cú pháp:

Network Access: \\<IP> hoặc <computer name> vd: \\192.168.1.100

Network Access

Khi thực hiện Network Access giữa 2 máy tính thì diễn ra các bước sau:

Bước 1: Nếu tài khoản hiện tại đang đăng nhập (trên máy nguồn) có cùng user name, password với máy đích thì được phép truy cập tài nguyên, nếu không đúng thì qua bước 2.

Bước 2: Yêu cầu tài khoản Guest, nếu máy đích có tài khoản guest (mặc định bị disable)  thì được phép, không có thì chuyển qua bước 3.

Bước 3: Hiển thị hộp thoại đăng nhập user name, password. 

Nếu trong máy tính có nhiều tài khoản, ta muốn chỉ định 1 tài khoản bất kì, khi máy tính khởi động là  tự động log-on tài khoản đó, làm như sau :

Ta dùng quyền admin để cấu hình

Run (phím Windows + R) -> control userpasswords2

User Accounts

Ta thấy có dấu check: User must enter a user name and password to use this computer: người dùng phải điền username, pass để sử dụng.

Bỏ check -> apply : xuất hiện hộp thoại, ta chỉ định tài khoản bất kì để nó đăng nhập tự động. Sau đó Restart để kiểm tra. 

Nếu User quên pass mà không còn cách nào để đăng nhập, ta phải dùng set password

Set Password

Xuất hiện hộp thoại cảnh báo sẽ bị mất dữ liệu

Vậy tại sao khi reset password lại có thể bị mất dữ liệu ?

Đối với những dữ liệu được mã hóa (sử dụng password để mã hóa) vì vậy nếu có password mới thì không thể giải mã được các dữ liệu đã được mã hóa trước đó. Còn khi ta  đổi 1 cách hợp lệ (Ctrl + Alt + Del -> Change Password) thì sẽ có quá trình chuyển giao giữa pass mới và pass cũ => không mất dữ liệu. 

Các lệnh liên quan tới User và Group

– Thêm user: net user <user name cần tạo> <password> /add

vd: net user hoang 123 /add

– Xóa user: net user <user name cần xóa> /del

–Reset password: net user <user name> <password mới>

– Liệt kê các tài khoản: net user

– Xem thông tin chi tiết về user: net user <user name>

Net User

 Ví dụ về các sự cố:

Vấn đề gặp phải khi Reset Password:

User Teo: tạo file teo.txt, điền nội dung bất kì vào file. Properties teo.txt, chọn Advance. Check vào Encrypt contents to secure data ( mã hóa dữ liệu, chỉ có owner mới đọc được, ngay cả admin cũng không thể) -> OK

Sau đó reset password của user Teo: truy cập vào teo.txt lập tức bị Access is denied.

Access is denied

Đổi lại pass cũ: đọc file bình thường.

Vấn đề gặp phải khi Administrator bị disable:

Account Administrator bị user Teo phá và disable ( đã add Teo vào nhóm Administrators). Vậy làm sao để Administrator có thể tự enable lại.

Trường hợp này, ta phải sử dụng giao diện Safe Mode ( các bạn tự tìm hiểu giao diện này). Ở giao diện này tài khoản Administrator dù bị disable vẫn có thể đăng nhập .Thử check vào password never expires.

Safe Mode

Restart và thấy Administrator có thể đăng nhập.

Mình xin kết thúc phần Local User and Group tại đây

http://www.slideshare.net/laonap166/mcsa-2012-local-user-and-group

nguồn: tuhocmang.com