Tổng hợp Authenticated Users Là Gì – Group Và Những Điều Căn Bản

Nhóm là một tập hợp các tài khoản người dùng. Bạn có thể sử dụng nhóm để quản lý hiệu quả các nguồn tài nguyên, đơn giản hóa việc bảo trì và quản trị mạng. Bạn có thể sử dụng các nhóm riêng biệt hoặc bạn có thể đặt nhiều nhóm trong một nhóm để giảm chi phí quản lý. Trước khi sử dụng nhóm hiệu quả, bạn cần hiểu các loại nhóm có sẵn trong môi trường Windows 2003 Server và chức năng của chúng.

Loại nhóm

Bạn sử dụng nhóm để tổ chức tài khoản người dùng, tài khoản máy tính và tài khoản nhóm vào các đơn vị quản lý. Có hai loại nhóm trong dịch vụ thư mục Active Directory: nhóm phân phối và nhóm bảo mật.

Nhóm phân phối: Bạn có thể sử dụng nhóm phân phối chỉ với các ứng dụng email, ví dụ như máy chủ Microsoft Exchange, để gửi đi tin nhắn cho một nhóm người dùng. Nhóm phân phối không bảo mật, tức là nó không được liệt kê trong danh sách kiểm soát truy cập (DACLs), được sử dụng để xác định quyền truy cập vào tài nguyên và đối tượng.

Nhóm bảo mật: Bạn sử dụng nhóm bảo mật để gán quyền và phân quyền cho các nhóm người dùng và máy tính. Quyền xác định những thành viên của nhóm bảo mật có thể truy cập vào một miền hoặc cây rừng. Phân quyền xác định nguồn tài nguyên mà thành viên của nhóm có thể truy cập trên mạng. Nhóm bảo mật cũng có thể được sử dụng làm địa chỉ email. Gửi một tin nhắn email tới nhóm có nghĩa là gửi tin nhắn cho tất cả các thành viên của nhóm.

Phạm vi nhóm

Với mỗi nhóm trong Windows 2003, có các thuộc tính phạm vi khác nhau xác định việc thành viên của nhóm đến từ đâu và có thể truy cập đến đâu trong môi trường đa miền hoặc đa rừng. Có các loại phạm vi nhóm sau đây:

Nhóm cục bộ: Đặt trên máy tính thành viên (máy cục bộ), sử dụng nhóm cục bộ để cấp quyền và tài nguyên cho thành viên đăng nhập bằng tài khoản cục bộ. Nhóm cục bộ được sử dụng trong môi trường không có miền và không thể chứa các nhóm khác.

Nhóm toàn cầu: Đặt trên Active Directory trong môi trường miền. Sử dụng nhóm toàn cầu để cấp quyền và tài nguyên cho thành viên truy cập qua mạng, yêu cầu đăng nhập và xác thực quyền trên các máy tính và máy chủ. Nhóm toàn cầu có thể là thành viên của nhóm toàn cầu khác và nhóm cục bộ miền.

Nhóm cục bộ miền: Đặt trên Active Directory ở mức đặt trên miền. Sử dụng nhóm cục bộ miền khi bạn muốn xác định quyền truy cập vào tài nguyên được đặt trong cùng một vùng địa lý (vị trí cục bộ). Bạn có thể thêm tất cả các nhóm toàn cầu cần chia sẻ cùng một nguồn tài nguyên vào nhóm nhóm cục bộ miền.

Có Thể Bạn Quan Tâm :   User ID là gì? 3 bước thiết lập User ID trong Google Analytics – Digit Matter

Nhóm toàn cầu: Đặt trên Active Directory ở mức rừng. Sử dụng nhóm toàn cầu khi bạn muốn nhóm các nhóm toàn cầu để xác định quyền truy cập vào các tài nguyên liên quan trong các lĩnh vực khác nhau. Nhóm toàn cầu có thể là thành viên của các nhóm toàn cầu khác, nhóm cục bộ miền và nhóm cục bộ miền. Để sử dụng được Nhóm bảo mật toàn cầu, cấp độ chức năng miền Windows Server 2003 phải là Windows 2000 native hoặc cao hơn. Sử dụng chế độ Windows 2000 mixed hoặc cao hơn nếu bạn muốn sử dụng Nhóm phân phối toàn cầu.

Nhóm tích hợp sẵn

Trong Windows 2003, có nhiều nhóm tích hợp sẵn. Chúng được tự động tạo ra khi cài đặt Active Directory. Chúng ta có thể sử dụng nhóm này để phân quyền mặc định cho thành viên. Ví dụ, bạn có thể thêm thành viên vào nhóm Quản trị viên để quy định rằng thành viên đó có quyền toàn quyền trên hệ thống.

Một số nhóm được cung cấp sẵn bao gồm:

Người điều hành tài khoản: Thành viên có quyền tạo, sửa và xóa tất cả người dùng, nhóm và máy tính trong miền.

Quản trị viên: Thành viên có quyền toàn quyền trong hệ thống.

Người sao lưu: Thành viên có thể sao lưu và khôi phục tất cả các file trong miền.

Quản lý đối tác rừng, đối tác tin cậy: Thành viên quản lý đối tác, tạo mới và chỉnh sửa đối tác giữa các hệ thống miền và rừng.

Quản lý cấu hình mạng: Thành viên có quyền quản lý cấu hình mạng, bao gồm cấu hình giao thức TCP/IP và thay đổi địa chỉ của điều khiển miền.

Người dùng ghi nhớ hiệu năng: Thành viên nhóm này có thể quản lý thông tin đăng nhập hệ thống, bao gồm giám sát số lần đăng nhập, xem file nhật ký.

Người giám sát hiệu năng: Thành viên của nhóm này có thể giám sát bộ đếm hiệu suất trên điều khiển miền trong miền, tại dự phòng và từ xa từ các khách truy cập.

Cho phép truy cập tương thích trong Windows trước năm 2000: Nhóm này cho phép người dùng truy cập vào tất cả người dùng và nhóm trong miền. Nhóm này cung cấp khả năng tương thích với các máy tính chạy Microsoft Windows 4.0 và NT hoặc phiên bản trước đó. Theo mặc định, tất cả mọi người được nhận dạng đặc biệt là thành viên của nhóm này.

Người dùng máy tính từ xa: Thành viên có quyền điều khiển từ xa.

Đồng bộ: Nhóm này có quyền chỉnh sửa việc đồng bộ giữa các hệ thống, bao gồm đồng bộ file, dns, …

Người điều hành máy chủ: Trong các điều khiển miền, thành viên của nhóm này có thể đăng nhập vào giao diện tương tác, tạo và xóa tài nguyên chia sẻ, bắt đầu và dừng một số dịch vụ, sao lưu và khôi phục các tệp, định dạng đĩa cứng và tắt máy tính. Nhóm này không có thành viên mặc định.

Có Thể Bạn Quan Tâm :   CentOS là gì? Hướng dẫn cài đặt hệ điều hành CentOS hiệu quả

Người dùng: Nhóm thành viên thông thường, hầu hết chỉ có quyền đọc. Mặc định, tất cả thành viên mới tạo ra sẽ được đưa vào nhóm này.

Nhóm đặc biệt

Máy chủ chạy Windows Server 2003 bao gồm một số nhóm đặc biệt. Ngoài các nhóm trong Nhóm người dùng và Nhóm tích hợp sẵn, Windows 2003 cung cấp các nhóm được gọi là Nhóm đặc biệt, thành viên của nhóm này có thể thực hiện một số chức năng đặc biệt mà không yêu cầu người dùng đăng nhập.

Người dùng trở thành thành viên của các nhóm đặc biệt chỉ cần tương tác với hệ điều hành. Ví dụ, khi người dùng đăng nhập vào máy tính cục bộ, họ trở thành thành viên của nhóm Tương tác. Vì các nhóm này được tạo ra mặc định, chúng có thể gán quyền sử dụng và quyền cho các nhóm đặc biệt, nhưng không thể chỉnh sửa hoặc xem thành viên của nhóm này. Ngoài ra, phạm vi nhóm không áp dụng cho các nhóm đặc biệt.

Chúng ta cần hiểu mục đích của các nhóm đặc biệt, vì chúng cho phép bạn tạo ra chi tiết hơn trong việc tiếp cận các chính sách và kiểm soát truy cập tài nguyên.

Một số nhóm đặc biệt cơ bản:

Người dùng ẩn danh: Nhóm dành cho thành viên sử dụng hệ thống mà không cần cung cấp tên người dùng và mật khẩu.

Người dùng đã xác thực: Nhóm đại diện cho tất cả người dùng và nhóm đã được xác thực.

Ngoài ra còn nhiều nhóm khác mà ở đây tôi chưa liệt kê hết cho các bạn. Chúng ta sẽ gặp lại chúng khi làm việc với hệ thống.

Công cụ quản lý người dùng và nhóm

Windows Server 2003 hỗ trợ một số công cụ giúp bạn dễ dàng khắc phục sự cố và quản lý nhóm và các thành viên trong nhóm. Dưới đây là một số công cụ liên quan:

AD Users và Computers: Công cụ đồ họa để quản lý nhóm và người dùng tích hợp sẵn trong Active Directory. ACL Editor: Cũng là công cụ đồ họa, dùng để quản lý người dùng và nhóm, công cụ này sử dụng để cấp quyền và tài nguyên. Whoami: Công cụ dòng lệnh. Nó hiển thị thông tin người dùng và SID, thông tin về nhóm và SID của group, quyền và trạng thái của họ (ví dụ, kích hoạt hoặc vô hiệu hóa) và ID đăng nhập. Dsadd: Công cụ dòng lệnh, dùng để tạo và quản lý người dùng và nhóm. Ifmember: Công cụ dòng lệnh, dùng để liệt kê tất cả các nhóm mà người dùng hiện tại là thành viên. Thường được sử dụng trong các tình huống đăng nhập. Bạn có thể tìm thấy công cụ này trong Bộ công cụ Windows Server 2003. Getsid: Chế độ dòng lệnh để so sánh SID của hai người dùng.

Có Thể Bạn Quan Tâm :   KHÁM PHÁ

Chính sách Restricted Group

Windows Server 2003 bao gồm một số thiết lập Group Policy được gọi là Restricted Group Policy (RGP) cho phép bạn kiểm soát thành viên trong nhóm. Sử dụng Restricted Group Policy, bạn có thể chỉ định các thành viên trong một nhóm bất kỳ vị trí nào trong Active Directory. Ví dụ, bạn có thể tạo chính sách để hạn chế truy cập vào một OU chứa máy tính chứa dữ liệu nhạy cảm. RGP sẽ loại bỏ người dùng domain khỏi các nhóm người dùng cục bộ và do đó giới hạn số lượng người dùng có thể đăng nhập vào máy tính. Nhóm thành viên không được chỉ định trong chính sách sẽ bị xóa khi vẫn còn áp dụng Group Policy.

Cấu hình RGP

Thiết lập RGP bao gồm hai thuộc tính: thành viên và thành viên của. Các thiết lập riêng của thành viên xác định những người thuộc và không thuộc nhóm bị hạn chế. Các thành viên của nhóm (thành viên của) xác định những quyền được giao cho các nhóm bị hạn chế.

Ảnh hưởng của việc thực hiện RGP

Khi một RGP được thi hành, bất kỳ thành viên hiện tại nào của một nhóm sẽ không được loại trừ khỏi danh sách thành viên. Thành viên có thể bị gỡ bỏ, bao gồm cả tài khoản của nhóm Quản trị viên. Bất kỳ người dùng nào trong danh sách thành viên hiện tại không phải là thành viên của nhóm bị hạn chế sẽ được thêm vào. Ngoài ra, mỗi nhóm bị hạn chế chỉ thành viên của nhóm được quy định trong cột Thành viên của.

Áp đặt RGP

Bạn có thể áp dụng RGP bằng các cách sau:

Định nghĩa một chính sách bằng cách sử dụng mẫu bảo mật trong Security Template, điều này sẽ áp dụng trong quá trình cấu hình trên máy tính cục bộ. Định nghĩa các thiết lập trực tiếp cho Group Policy Object (GPO). Cấu hình theo cách này sẽ đảm bảo rằng hệ điều hành vẫn tiếp tục thực thi những chính sách khác về nhóm.

Tạo Restricted Group Policy

Để tạo Restricted Group Policy, bạn thực hiện các bước sau:

Mở Group Policy Management, đi đến OU mà bạn muốn áp dụng GPO, nhấp chuột phải vào OU đó và chọn Create and Link a GPO Here. Trong hộp thoại GPO, nhập tên cho GPO mới và nhấp OK. Nhấp chuột phải vào GPO mới và chọn Edit. Trong console tree, điều hướng đến đường dẫn Computer ConfigurationWindows SettingsSecurity SettingsRestricted Groups. Cũng trong tree console, nhấp chuột phải vào Restricted Groups và chọn Add Group. Trong hộp thoại Group Membership, nhập tên nhóm mà bạn muốn áp dụng RGP, sau đó nhấp OK. Đến trang Properties, nhấp nút Add phía dưới group trong mục Member of. Tiếp theo, bạn gõ tên nhóm mà muốn thêm vào nhóm này và nhấp OK.

Chuyên mục: Câu hỏi và trả lời

Back to top button