Group là tập hợp các tài khoản người dùng. Bạn cũng có thể sử dụng các group để quản lý hiệu quả các nguồn tài nguyên, giúp đơn giản hóa việc bảo trì và quản trị mạng. Bạn cũng có thể sử dụng các group riêng biệt, hoặc chúng ta cũng có thể đặt nhiều group trong một để giảm bớt các ngân sách liên quan trong việc quản lý các nhóm. Trước lúc chúng ta cũng có thể sử dụng các nhóm hiệu quả, bạn phải hiểu các loại của khá nhiều nhóm có sẵn trong môi trường xung quanh Windows 2003 Server, và chức năng của khá nhiều nhóm.
Bạn đang xem: Authenticated users là gì
Group type
Bạn sử dụng các nhóm để tổ chức các tài khoản người dùng, tài khoản máy tính, và tài khoản nhóm khác thành các đơn vị quản lý được. Có hai loại nhóm trong dịch vụ thư mục Active Directory: distribution groups and security groups.
Distribution groups: Bạn cũng có thể sử dụng distribution groups chỉ với những ứng dụng e-mail, ví dụ như sever Microsoft Exchange, để nhắn tin nhắn cho tập hợp nhiều người dùng. distribution groups không được cho phép bảo mật thông tin, có tức thị, họ không thể được liệt kê trong list kiểm soát truy cập (DACLs), được sử dụng để xác định quyền về tài nguyên và đối tượng người sử dụng.
Security groups: Bạn sử dụng Secturity group để chuyển các rights và permissions cho những nhóm người dùng và máy tính. Rights xác định những thành viên của Secturity group có thể vào trong một domain hoặc forest. Permissions xác định nguồn tài nguyên thành viên của một nhóm có thể truy cập trên mạng. Secturity group cũng sẽ có thể được sử dụng như một thực thể e-mail. Gửi một tin nhắn e-mail đến nhóm có tức thị nhắn tin nhắn cho tất cả những thành viên của nhóm.
Group Scopes
Với mỗi nhóm trong Win 2k3 có những tính chất phạm vi khác nhau, quyết định khu vực hoạt động của nhóm đó. Group Scopes sẽ chỉ ra thành viên trong nhóm đó tới từ đâu, và chúng có thể đi đến đâu, trong môi trường xung quanh multi-domain or multi-forest. Có những loại Scope như sau:
Local Groups: Trú ngụ trên máy tính thành viên (máy local), sử dụng Local Group để cấp phép quyền và tài nguyên cho thành viên logon với tài khoản local. Local Groups sử dụng trong môi trường xung quanh không có domain, và nó không thể chứa những group khác.
Global Groups: Trú ngụ trên Active Directory, trong môi trường xung quanh Domain. Sử dụng Global Groups để cấp phép quyền và tài nguyên cho thành viên truy cập qua mạng, yêu cầu đăng nhập và xác thực quyền hàn thành viên khi sử dụng tài nguyên của máy tính khác, và máy tính server. Global groups có thể là thành viên của global groups khác và của universal groups, domain local groups.
Domain Local Groups: Trú ngụ trong Active Directory ở tại mức domain. Sử dụng một nhóm các domain khi chúng ta muốn chỉ định quyền truy cập các tài nguyên được đặt trong cùng khu vực (local site). Bạn cũng có thể thêm tất cả những Global Groups cầnchia sẻ cùng một nguồn lực vào nhóm Domain Local Groups.
Universal Groups: Trú ngụ trong Active Directory ở tại mức forest. Sử dụng Universal Groups khi chúng ta muốn nhóm các nhóm Global Groups để sở hữu thể chỉ định quyền truy cập đến những tài nguyên liên quan trong các nghành nghề dịch vụ khác nhau. Universal Groups có thể là thành viên của universal groups khác,của global groups, và của domain local groups. Để sử dụng được Universal Security Groups thì Windows Server 2003 domain functional level phải là Windows 2000 native hoặc mạnh hơn. Sử dụng Windows 2000 mixed mode hoặc mạnh hơn nếu như bạn muốn sử dụng Universal Distribution Groups.
Built-in Groups
Trong win 2k3 cung cấp cho tất cả chúng ta nhiều group có sẵn. Chúng được tự động hóa tạo ra khi tùy chỉnh Active Directory. Tất cả chúng ta có thể sử dụng các group này để phân quyền mặc định cho thành viên. Ví dụ chúng ta cũng có thể thêm thành viên vào nhóm Administrators để quy định thành viên đó có toàn quyền trên mạng lưới hệ thống.
Một số nhóm được cung cấp sẳn như sau:
Trương mục Operators: Thành viên có quyền tạo (create), sửa (modify), xóa (delete) tất cả users, group và computer trong domain.
Administrators: Thành viên có toàn quyền trong mạng lưới hệ thống.
Backup Operators: Thành viên có thể backup và restore tất cả file trên domain.
Incoming Forest, Trust Builders: Thành viên quản lý trust, tạo mới, chỉnh sửa trust giữa các mạng lưới hệ thống domain và forest.
Network Configuration Operators: Thành viên có quyền quản lý cấu hình mạng, gồm có việc cấu hình giao thức TPI/IP và thay đổi địa chỉ của domain controller.
Performance Log Users: Thành viên nhóm này còn có thể quản lý thông tin logon mạng lưới hệ thống, gồm có việc giám sát số lần logon, xem file logs
Performance Monitor Users: Thành viên của nhóm này còn có thể giám sát bộ đếm hiệu suất trên domain controller trong domain, tại local và từ các client truy cập từ xa.
Pre-Windows 2000 Compatible Access: Thành viên của nhóm này đã đọc truy cập vào tất toàn bộ cơ thể dùng và các nhóm trong domain. Nhóm này là cung cấp sự tương thích với những máy tính đang hoạt động Microsoft Windows 4.0 và NT hoặc trước đó. Theo mặc định, tất cả mọi người nhận dạng nhất là một thành viên của nhóm này.
Xem thêm: Nguyên Lý Sản Xuất Của Pin Mặt Trời (silicon Wafer Là Gì
Remote Desktop Users: Thành viên có quyền tinh chỉnh và điều khiển từ xa.
Replicator: Nhóm này còn có quyền chỉnh sửa việc đồng bộ (Replication) giữa các mạng lưới hệ thống, đó có thể là đồng bộ file, dns, …
Server Operators: Trong domain controllers, các thành viên của nhóm này còn có thể đăng nhập vào trình tương tác, tạo và xóa các tài nguyên san sớt, khai mạc và ngừng một số dịch vụ, sao lưu và khôi phục tập tin, định dạng đĩa cứng, và đóng cửa xuống máy tính. Nhóm này sẽ không có thành viên mặc định.
Users: Nhóm thành viên thông thường, hầu như chỉ có quyền read. Mặc định các thành viên tạo ra được đưa vào group này.
Special Groups
Sever chạy Windows Server 2003 gồm có một số đặc tính đặc biệt quan trọng. Ngoài các nhóm trong Users and Built-in, Win 2k3 cung cấp thêm các nhóm gọi là Special Groups, thành viên của nhóm này còn có thể thực hiện một số chức năng đặc biệt quan trọng nào này mà không yên cầu người dùng phải đăng nhập.
User trở thành thành viên của khá nhiều nhóm đặc biệt quan trọng khi chỉ có tương tác với hệ điều hành. Ví dụ, khi người dùng đăng nhập cục bộ vào máy tính, họ trở thành thành viên của Interactive group. Vì các nhóm này được tạo ra mặc định, chúng có thể cấp quyền sử dụng và quyền cho những nhóm đặc biệt quan trọng, nhưng không thể chỉnh sửa hoặc xem những thành viên của nhóm này. Ngoài ra, group scopes không vận dụng cho những nhóm đặc biệt quan trọng.
Tất cả chúng ta cần hiểu được mục tiêu của khá nhiều nhóm đặc biệt quan trọng, bởi vì chúng ta cũng có thể sử dụng chúng cho mục tiêu bình yên, chính vì chúng được cho phép bạn tạo ra các chi tiết cụ thể hơn trong việc tiếp cận chính sách và kiểm soát truy cập tài nguyên.
Một số Special Group cơ bản:
Anonymous Logon: Nhóm dành riêng cho thành viên sử dụng mạng lưới hệ thống không cần cung cấp username và password.
Authenticated Users: Nhóm đại diện thay mặt cho tất toàn bộ cơ thể dùng và nhóm đã được xác thực.
Ngoài ra còn nhiều group khác mà ở đây tôi chưa liệt kê hết cho những bạn. Tất cả chúng ta sẽ hội ngộ chúng khi thao tác với mạng lưới hệ thống.
Phần trước các bạn đã tìm hiểu xong về mặc lý thuyết, các thành phần của nhóm, phân loại nhóm người dùng. Phần tiếp theo tất cả chúng ta sẽ khảo sát các dụng cụ phục vụ cho việc quản lý nhóm được tối ưu hơn, bảo mật thông tin hơn.
Dụng cụ quản lý user và group
Windows Server 2003 tương trợ một số dụng cụ giúp cho bạn dễ dàng khắc phục sự cố và quản lý nhóm và các thành viên trong nhóm. Bảng sau đâyvạch ra những dụng cụ liên quan:
AD Users and Computers: Dụng cụ đồ họa dùng quản lý group và user tích hợp sẳn trong Active Directory. ACL Editor: Cũng là dụng cụ đồ họa, dùng quản lý user và group, dụng cụ này dùng làm cấp phép tài nguyên. Whoami: Dụng cụ dòng lệnh. Nó hiển thị uservà SID của user, group và SID của nhóm, các quyền và tình trạng của họ (Ví dụ, kích hoạt hay vô hiệu hóa), và ID đăng nhập. Dsadd: Dụng cụ dòng lệnh, dùng làm tạo và quản lý user, group. Ifmember: Dụng cụ dòng lệnh, để liệt kê tất cả những nhóm mà ngày nay thành viên thuộc. Thường được sử dụng trong các kịch bản đăng nhập. Bạn cũng có thể tìm thấy dụng cụ này trong Windows Server 2003 Resource Kit. Getsid Chủ trương dòng lệnh để so sánh số SID của tài khoản hai người dùng.
Restricted Group Policy
Windows Server 2003 gồm có một số thiết lập Group Policy được gọi là Restricted Group Policy (RGP) được cho phép bạn kiểm soát thành viên trong nhóm. Sử dụng Restricted Group Policy, có thể chỉ định các thành viên trong một nhóm ở bất kể đâu trong Active Directory. Ví dụ, chúng ta cũng có thể tạo ra một chính sách để giới hạn việc truy cập vào một trong những OU có chứa các máy tính chứa tài liệu nhạy cảm. RGP sẽ loại bỏ user domain từ các nhóm người dùng cục bộ và do đó hạn chế số lượng người dùng có thể đăng nhập vào máy tính. Nhóm thành viên không quy định trong chính sách được loại bỏ khi thiết lập Group Policy.
Thiết lập cấu hình RGP
RGP thiết lập chính sách gồm có hai tính chất: member và member of. Những khái niệm riêng cùa thành viên (member) xác định những người dân thuộc và những người dân không thuộc nhóm bị hạn chế. Các thuộc tình của thành viên nhóm (member of) quy định cụ thể nhóm mà nhóm bị hạn chế có thể thuộc trong đó.
Tác động ảnh hưởng của việc thực thi RGP
Khi một RGP được thi hành, bất kỳ thành viên ngày nay của một nhóm đó thì không nằm trong list thành viên được loại trừ. Thành viên có thể được gỡ bỏ cũng gồm có cả tài khoản của nhóm Administrators. Bất kỳ người dùng trong list thành viên hiện chưa là thành viên của nhóm hạn chế thì được thêm vào. Ngoài ra, mỗi nhóm hạn chế là chỉ những thành viên của nhóm được quy định tại cột Member of.
Hình ở trên mà bạn thấy là phạm vi của Member và Member Of.
Xem thêm: Open Relationship Là Gì – Facebook Status Của Bạn Có Ý Nghĩa Gì
Áp đặt RGP
Bạn cũng có thể áp đặt RGP theo những cách như sau:
Khái niệm ra một chính sách bằng chức năng trong Security Template, cái này sẽ tiến hành áp đặt trong suốt quá trình cấu hình trên máy tính local. Khái niệm ra những thiết lập trực tiếp cho Group Policy Object (GPO). Cấu hình Theo phong cách này thì đảm nói rằng hệ điều hành sẽ tiếp tục thi hành các chính sách khác về nhóm.
Tạo ra Restricted Group Policy
Để tạo Restricted Group policy, bạn thực hiện theo những bước sau:
Mở Group Policy Management, chuyển đến OU mà bạn muốn áp GPO, click chuột phải lên OU đó, và click vào Create and Link a GPO Here. Trong hộp thoại GPO, nhập vào tên cho GPO mới, sau đó bấm OK. Chuột phải lên GPO mới và bấm Edit. Trong console tree,tìm tới đường dẫn Computer ConfigurationWindows SettingsSecurity SettingsRestricted Groups. Cũng phía console tree, chuột phải lên Restricted Groups, và bấm Add Group. Trong của số Group, nhập vào tên nhóm mà bạn muốn vận dụng chức năng RGP, sau đó bấm OK. Đến trang Properties, bấm nút Add phía dưới group trong trường Member of. Tiếp theo bạn gõ tên nhóm mà muốn thêm vào trong nhóm này, và bấm OK.
Phân mục: Hỏi Đáp
