CƠ CHẾ AN TOÀN TRÊN WINDOWS NT - PHẦN I

MỤC LỤC 1. GIỚI THIỆU ĐÔI NÉT VỀ HỆ ĐIỀU HÀNH MẠNG VÀ WINDOWS NT 2. CƠ CHẾ AN TOÀN TRÊN WINDOWS NT 1. NHỮNG THÔNG TIN VỀ AN TOÀN 1. Một số cấu trúc chung 2. Quản lí tài khoản người dùng 3. Thừa kế quyền 4. Ghi nhận hoạt động của hệ thống 2. ĐỐI TƯỢNG NGƯỜI DÙNG VÀ QUÁ TRÌNH ĐĂNG NHẬP 1. Những thông tin về người dùng 2. Quyền của người dùng 3. Quá trình đăng nhập 4. Xác nhận truy cập 3. CƠ CHẾ AN TOÀN TRÊN FILE VÀ THƯ MỤC 1. Đối tượng file và việc điều khiền một thao tác trên file 2. Quyền hạn trên file C. KẾT LUẬN VÀ NHẬN XÉT CƠ CHẾ AN TOÀN TRÊN WINDOWS NT Written by W_Hat 1. GIỚI THIỆU ĐÔI NÉT VỀ HỆ ĐIỀU HÀNH MẠNG VÀ WINDOWS NT Trong những ngày đầu của lịch sử máy tính, mỗi hệ thống máy tính hoạt động độc lập với nhau và thực hiện những công việc xác định. Khi đó, việc chia xẻ những tài nguyên hệ thống cũng như các thông tin khác diễn ra rất khó khăn. Những tổ chức ở xa nhau rất khó trao đổi thông tin trực tiếp với nhau, đặc biệt là ở những lĩnh vực đòi hỏi nhịp độ hoạt động luôn ở mức độ cao như: thương mại, chính trị quốc phòng… Càng về sau, khi xã hội có những sự phát triển rất lớn ở nhiều lĩnh vực thì nhu cầu liên lạc và chia xẻ thông tin đã trở nên cực kì cấp thiết. Tại thời điểm đó, thuật ngữ mạng máy tính (Network Computer) và hệ điều hành mạng (Network Operating System) ra đời đã đánh dấu một bước tiến lớn của con người trong lĩnh vực khoa học máy tính và viễn thông. Mạng máy tính bao gồm những tài nguyên mạng (như các trạm, máy in mạng…) và các thiết bị viễn thông dùng để liên kết các tài nguyên đó (như là cầu nối, router, cổng gateway, dây dẫn…). Tất cả những tài nguyên trên được quản lý bởi một hệ điều hành mạng. Như vậy, công việc của hệ điều hành mạng bao gồm cả việc quản lý tài nguyên nội bộ như một hệ điều hành bình thường (như quản lý hệ thống file nội bộ, bộ nhớ trên máy tính, thực thi các trình ứng dụng, quản lý các thiết bị nhập xuất và điều phối bộ xử lý cho các trình ứng dụng…) và quản lý các tài nguyên mạng (như hệ thống file của các máy trạm, bộ nhớ chia xẻ, thực thi các trình ứng dụng chia xẻ trên mạng, các thiết bị nhập xuất trên mạng…). Tuy nhiên việc chia xẻ thông tin và các tài nguyên chung cho cùng lúc nhiều trạm, nhiều người dùng đã nảy sinh va chạm, các yêu cầu về an toàn và bảo mật bị vi phạm. Từ những yêu cầu đó, những tiêu chuẩn về tính an toàn, độ tin cậy của hệ thống đã được đề xuất và được xem như là những yêu cầu cơ bản cần có của một hệ điều hành mạng. Có một tiêu chuẩn được đánh giá rất cao và rất khắt khe được đưa ra bởi Trung tâm an toàn điện toán quốc gia và Bộ quốc phòng Mỹ là tiêu chuẩn C2. Tiêu chuẩn này đòi hỏi mỗi hệ điều hành phải có những đặc tính bảo mật tiên tiến, bao gồm khả năng định danh, kiểm tra và tách rời hạt nhân, người dùng được cấp tên và mật khẩu để kiểm soát việc truy cập vào các tài nguyên hệ thống… Và Windows NT là một trong số ít các hệ điều hành mạng thỏa mãn được những yêu cầu nêu trên. Windows NT là hệ điều hành mạng đa nhiệm 32 bit có nhiều tính năng ưu việt so với nhiều hệ điều hành khác. Kiến trúc Windows NT phân thành những đơn thể mang những nhiệm vụ xác định, tạo nên tính uyển chuyển và khả năng tương thích với nhiều hệ điều hành khác nhau. Bên cạnh đó, Windows NT còn bao gồm nhiều tính năng về an toàn và những dịch vụ mạng đối đẳng (peer - to - peer, còn gọi là mạng ngang hàng), được xem như những thành phần cơ sở của hệ điều hành. Một số mục tiêu trong việc thiết kế hệ điều hành mạng Windows NT đã đáp ứng được những yêu cầu của một hệ điều hành hiện đại, bao gồm: 1. Khả năng tương thích (Compatibility): Windows NT có khả năng tạo ra các môi trường cho các trình ứng dụng được viết cho các hệ điều hành khác (như MS-DOS, OS/2, Windows 3.x, POSIX), hỗ trợ một số hệ thống file thông dụng (như FAT, NTFS, HPFS) và khả năng nối kết với các môi trường mạng khác hiện có. 2. Tính thuận tiện (Portability): Windows NT có thể chạy được với các bộ vi xử lý hỗ trợ CISC (Complex Instruction Set Computer) như : Intel® 80386-80486, và RISC (Reduced Instruction Set Computer) như : MIPS® R4000, DEC Alpha. 3. Tính đa xử lý (Scalability): Windows NT có thể chạy trên máy tính có từ 1 đến 16 bộ vi xử lý, mở rộng lên những hệ máy lớn đáp ứng được những yêu cầu rất cao của môi trường kinh doanh. 4. Tính an toàn (Security): Windows NT cung cấp những tính năng an toàn rất đáng tin cậy bao gồm việc kiểm soát việc truy cập đến tài nguyên, bảo vệ bộ nhớ, kiểm soát toàn bộ quá trình thâm nhập của người dùng, tính an toàn và khả năng khắc phục sau sự cố… 5. Khả năng xử lý chia sẻ và phân phối (Distributed Processing): Windows NT có khả năng nối kết với nhiều môi trường mạng khác mà có hỗ trợ nhiều loại giao thức truyền thông khác nhau, hỗ trợ những tính năng Client/Server cao cấp như NamePipe (Liên lạc giữa các máy Client thông qua Server bằng việc thiết lập luồng thông tin theo kiểu đường ống) và RPCs (Remote Procedure Call: hỗ trợ việc tạo nên những ứng dụng chia xẻ trên mạng, có khả năng truy cập đến các tài nguyên chung…) 6. Độ tin cậy (Reliability & Robustness): Windows NT cung cấp cơ chế đảm bảo các ứng dụng thi hành một cách an toàn, không vi phạm đến hệ thống và các ứng dụng khác. Windows NT còn cung cấp một hệ thống file có thể khôi phục (Recoverable) HTFS tiên tiến, những tính năng an toàn được cài đặt sẵn và kĩ thuật quản lý bộ nhớ cao cấp. 7. Tính đại chúng (Internationalization): Windows NT đề ra mục tiêu thiết kế để có thể ứng dụng ở nhiều quốc gia, nhiều ngôn ngữ. 8. Dễ nâng cấp, mở rộng (Extensibility): Kiến trúc Windows NT tiếp cận theo lối phân chia thành các đơn thể có nhiệm vụ xác định, cung cấp khả năng nâng cấp, mở rộng trong tương lai. Phần sau chúng ta sẽ đề cập đến một trong những tính năng rất ưu việt của hệ điều hành mạng Windows NT, đó là tính an toàn bao gồm an toàn của người dùng đối với hệ thống, an toàn trên file và thư mục. 2. CƠ CHẾ AN TOÀN TRÊN WINDOWS NT Như đã đề cập ở trên, kiến trúc hệ điều hành Windows NT được phân thành những đơn thể (còn gọi là thành phần), các đơn thể này được phân thành hai nhóm hoạt động ở hai chế độ: User mode và Kernel mode. Ở chế độ Kernel mode, các đơn thể có toàn quyền truy cập đến phần cứng ở dưới bao gồm khả năng sử dụng không hạn chế các chỉ thị CPU và các tài nguyên hệ thống…; các đơn thể của Windows NT thi hành ở chế độ này bao gồm Executive Services, Kernel, Hardware Abstraction Layer (HAL). Những hệ thống con (Subsystem) chịu trách nhiệm làm các môi trường ảo hỗ trợ cho các ứng dụng DOS/Win16, OS/2, POSIX… hoạt động ở chế độ User mode, ở chế độ này các chương trình không trực tiếp truy cập đến phần cứng mà phải thông qua các đơn thể ở Kernel mode. Việc đặt các hệ thống con ở chế độ User mode giúp cho các nhà thiết kế dễ dàng hơn trong việc thay đổi, bổ sung các thành phần mà không làm ảnh hưởng đến thành phần khác ở Kernel mode. Trong môi trường Windows NT, các ứng dụng chia sẻ với nhau các tài nguyên hệ thống bao gồm bộ nhớ, những thiết bị nhập xuất, file, bộ xử lí… dưới sự giám sát chặt chẽ của hệ điều hành thông qua một cơ chế an toàn rất đáng tin cậy, đảm bảo các ứng dụng không thể truy cập đến những tài nguyên không được phép. Về mặt nội bộ, Windows NT xem tất cả các tài nguyên hệ thống, bao gồm cả tập tin (file) là những đối tượng. Việc tạo, đặt tên và hủy đối tượng thông qua một thành phần thực thi thuộc Kernel mode gọi là Object Manager - trình quản lý đối tượng. Ngoài ra Object Manager còn có nhiệm vụ bảo vệ đối tượng khỏi xự xâm phạm của các đối tượng khác, giám sát ai đang sử dụng đối tượng đó và đối tượng đó đang dùng những tài nguyên gì. Như vậy, khi một đối tượng được tạo ra nó được gán tên và kèm theo là những thông tin về an toàn áp đặt trên đối tượng đó, các thông tin này được lưu trữ trong những cấu trúc xác định và được gắn kèm với đối tượng đó. Một cách tổng quát, tất cả các đối tượng được bảo vệ (các tài nguyên hệ thống, người dùng...) trên Windows NT dùng chung những phương thức thiết lập và xác nhận việc truy cập. Điều đó đảm bảo rằng khi có một người cố truy cập đến một file trên đĩa hay đến một tiến trình trong bộ nhớ thì một bộ phận của hệ thống sẽ thực hiện việc kiểm tra tính hợp lệ và phân định kiểu đối tượng sẽ được truy cập đến, việc kiểm tra này dựa trên những thông tin về an toàn của đối tượng đó và của bản thân người truy cập. Một đặc điểm nổi bật của Windows NT mà không thể không nhắc đến trong cơ chế an toàn đó là hệ thống file NTFS. NTFS (New Technology File System) là một hệ thống file tiên tiến, mang nhiều đặc tính nổi bật so với nhiều hệ thống file khác như: tốc độ các thao tác trên file nhanh, độ tin cậy và an toàn cao. Ngoài ra NTFS còn cung cấp cơ chế điều khiển việc truy cập dữ liệu, phân định quyền truy cập… đặc biệt là khả năng Recoverable tức là khả năng khôi phục dữ liệu nếu có sự cố bất ngờ xảy ra. Những đặc điểm này giúp tăng độ tin cậy của hệ thống, rất thích hợp với những môi trường cộng tác nhiều người dùng. Sơ đồ mô tả một cách tổng quát cơ chế an toàn trên Windows NT có thể biểu diễn trên sơ đồ Windows NT Security Components. Dựa trên sơ đồ này ta nhận thấy cơ chế an toàn Windows NT bao gồm một số thành phần chính sau: 1. Tiến trình đăng nhập (Logon Proccess): hoạt động ở chế độ User mode, chịu trách nhiệm nhận yêu cầu đăng nhập từ người dùng, bao gồm việc thể hiện hộp thoại thông báo đăng nhập có tên người dùng và mật khẩu của người đó. 1. Local Security Authority (LSA): đảm bảo người dùng có quyền đăng nhập vào hệ thống hay không. LSA là thành phần trung tâm của Hệ thống an toàn con của Windows NT (Security Subsystem), nó tạo nên Thẻ truy xuất bảo mật (Security Access Token) (giống như một giấy chứng nhận xuất nhập cảnh - sẽ được trình bày ở phần sau), điều khiển những hành vi an toàn cục bộ, cung cấp những dịch vụ xác nhận tính hợp lệ của người dùng tương tác. LSA còn xác nhận những thông báo kiểm tra do Bộ phận giám sát an toàn (Security Reference Monitor) tạo ra. 2. Bộ phận giám sát an toàn (The Security Reference Monitor - SRM) là bộ phận chịu trách nhiệm giám sát các hành vi truy cập thông qua cơ chế an toàn nội bộ. Nói một cách khác, mọi yêu cầu tạo mới hay truy cập đến một đối tượng đều phải thông qua SRM. Nó cung cấp những dịch vụ phục vụ cho việc thiết lập truy cập đến các đối tượng, phân quyền và phát sinh những thông báo cần thiết. 3. Bộ phận quản lý tài khoản người dùng (Security Account Manager - SAM): lưu trữ cơ sở dữ liệu chứa các thông tin về tài khoản của tất cả người dùng và nhóm người dùng. SAM còn cung cấp những dịch vụ cho LSA sử dụng trong việc xác lập tính hợp lệ của người dùng. Tất cả những thành phần này hoạt động phối hợp với nhau, hình thành Hệ thống an toàn con (Security Subsystem). Hệ thống an toàn con này có trách nhiệm thực hiện các thao tác an toàn trên toàn bộ hệ điều hành Windows NT. Windows NT Security Components Như vậy, cơ chế an toàn trên một hệ thống Windows NT áp dụng chủ yếu trong việc quản lý người dùng và quản lý đối tượng (các đối tượng ở đây có thể được xem như các tài nguyên hệ thống). Cụ thể gồm 2 phần chính: Kiểm soát đối tượng truy cập và Kiểm soát việc truy cập dữ liệu. Kiểm soát đối tượng truy cập là quản lý người dùng truy cập vào hệ thống thông qua cơ chế kiểm soát quá trình đăng nhập như: kiểm tra mật khẩu, định danh người dùng, cơ chế xác lập mật khẩu, thời gian tồn tại của mật khẩu, cơ chế phát hiện số lần nhập mật khẩu sai (Audit), các hạn chế về thời gian truy cập vào hệ thống… Sau khi người dùng đã vào hệ thống một cách hợp lệ, phần còn lại của cơ chế an toàn là Kiểm soát việc truy cập dữ liệu, tài nguyên của người đó bằng cách dùng các cơ chế quyền áp dụng trên các đối tượng được truy cập, phân loại tài nguyên truy cập, giám sát truy cập… 1. NHỮNG THÔNG TIN VỀ AN TOÀN 1. Một số cấu trúc chung : Trên Windows NT, tất cả các đối tượng có tên đều chịu sự giám sát của hệ thống thông qua cơ chế an toàn, kể cả một số đối tượng không có tên. Nói một cách khác, mọi đối tượng trên Windows NT đều được bảo vệ. Những thông tin (còn gọi là thuộc tính) về an toàn của các đối tượng này được lưu trữ trong một cấu trúc mô tả bảo mật (Security Descriptor) kèm theo đối tượng, cấu trúc này bao gồm 4 thuộc tính chuẩn được áp dụng cho hầu hết các đối tượng trên Windows NT (bao gồm các đối tượng có tên, những tiến trình có tên và không có tên, tiểu trình, đối tượng thẻ bài, đối tượng semaphore, đối tượng event…), 4 thuộc tính này có thể mô tả như sau: 1. Owner security ID: là số bảo mật của người dùng hay nhóm sở hữu đối tượng đó. Người chủ sở hữu đối tượng có thể thay đổi những quyền được gán trên đối tượng này. 2. Group security ID: số bảo mật của nhóm, số này chỉ áp dụng đối với hệ thống con POSIX. 3. Discretionary ACL (Access Control List - ACL): gọi là Danh sách điều khiển truy cập của chủ sở hữu. Người chủ sở hữu đối tượng có quyền thay đổi nội dung của danh sách này, phân định ai có hay không có quyền truy cập đến đối tượng. 4. System ACL: là ACL dùng để điều khiển việc phát sinh những thông báo xác nhận của hệ thống. Người quản trị mạng có thể sửa đổi danh sách này. Ví dụ: Security Descriptor và ACL đối với một file xác định: Security Descriptor cho một đối tượng Windows NT có thể biểu diễn bằng 2 phương pháp: phương pháp tuyệt đối (Absolute) và phương pháp tương đối (Self-Relative). 1. Phương pháp tuyệt đối : Các thành phần của Security Descriptor là những con trỏ chỉ đến các thành phần thực sự chứa thông tin. Phương pháp này giúp cho mỗi thành phần được định vị riêng biệt, thích hợp khi có vài phần đã có sẵn. 1. Phương pháp tương đối : Các thành phần của Security Descriptor nằm trong một cấu trúc dữ liệu được sắp xếp theo một khối liên tục, các thành phần trong khối sẽ được truy xuất dựa trên độ lệch (offset) so với phần đầu khối. Phương pháp này thích hợp để lưu trữ Security Descriptor trên các thiết bị nhớ thứ cấp như băng từ…hoặc truyền Security Descriptor đến những vùng mà không dùng được kiểu lưu trữ con trỏ như phương pháp tuyệt đối. Security Descriptor biểu diễn bằng 2 phương pháp: Số bảo mật (SID) là một số duy nhất được phát sinh bằng kĩ thuật băm (hash) dùng để phân biệt một người dùng (hoặc nhóm người dùng) với một người dùng khác đồng thời dùng để định danh người đó với hệ thống. Nội dung của SID được phát sinh dựa trên những thông tin như: tên máy tính, thông tin về người dùng, thông tin về vùng (domain), ngày, giờ hệ thống… Cấu trúc của SID có thể nhìn thấy dưới dạng sau: S - R - X - Y1 - ... – Yn Trong đó: S là kí hiệu (Series of digits) phân định SID; R chỉ cấp độ tham khảo đến (Revision level); X chỉ giá trị Identifier Authority, Y1...Yn là các giá trị SubAuthority. Giá trị Identifier Authority là thông tin quan trọng nhất trong SID, thường là định danh của tổ chức phát hành SID. Ví dụ: SID có dạng S-1-4138-86 chỉ mức độ tham khảo lần 1, giá trị Identifier Authority là 4138, một SubAuthority là 86. Access Control List là một danh sách liên kết mà mỗi phần tử của danh sách này là một Access Control Entry (ACE), mỗi ACE có chứa một Số bảo mật (SID) duy nhất phân biệt một người dùng hay nhóm người dùng và một danh sách quy định người dùng được hay không được phép truy cập đến đối tượng (còn gọi là mặt nạ truy cập – Access Mask). ACE có thể có 3 loại, hai loại dành cho Discretionary access control (điều khiển truy cập tùy nghi) và một dành cho System security. Discretionary ACE gồm AccessAllowed and AccessDenied, ám chỉ việc cho phép hay không truy cập của người dùng hay nhóm người dùng đến đối tượng. System ACE (SystemAudit) được dùng để mô tả các sự kiện về an toàn (chẳng hạn như ai truy cập vào đối tượng gì) và để phát sinh những thông báo xác nhận an toàn. Cấu trúc dữ liệu của ACE: Mặt nạ truy cập (Access Mask) trong ACE là một tập hợp các quyền mà người dùng được phép hay không được phép áp dụng trên một đối tượng. Access Mask chứa 3 loại thông tin truy cập: kiểu truy cập xác định (Specific), kiểu truy cập chuẩn (Standard – kiểu này áp dụng cho mọi đối tượng) và kiểu chung (Generic – được ánh xạ đến 2 kiểu trên). Mỗi đối tượng có thể có đến 16 kiểu truy cập xác định, có được khi một định nghĩa kiểu của đối tượng. Ví dụ: Một đối tượng file có thể có các kiểu truy cập sau: 1. ReadData – Đọc dữ liệu. 1. WriteData – Viết. 1. AppendData – Bổ sung. 1. ReadEA (Extended Attribute) – Đọc với các thuộc tính mở rộng. 1. WriteEA (Extended Attribute) – Viết với các thuộc tính mở rộng. 1. Execute – Thi hành. 1. ReadAttributes – Đọc các thuộc tính. 1. WriteAttributes – Gán các thuộc tính. Ngoài những kiểu truy cập trên, mỗi đối tượng còn có các kiểu truy cập chuẩn (standard types) bao gồm: 1. SYNCHRONIZE: dùng để đồng bộ việc truy cập và cho phép một tiến trình chờ một đối tượng để được đưa vào trạng thái báo hiệu đánh thức (Signal). Kiểu này được áp dụng khi có nhiều tiến trình người dùng cùng truy cập đến một đối tượng mà trong một thời điểm chỉ cho phép một tiến trình sử dụng. 2. WRITE_OWNER: dùng để gán cho người viết dữ liệu. 3. WRITE_DACL: dùng để phân phối hoặc ngăn cấm quyền Viết lên Danh sách điều khiển truy cập ACL. 4. READ_CONTROL: dùng để phân phối hoặc ngăn cấm quyền Đọc lên bảng mô tả an toàn (security descriptor) hay chủ sở hữu. 5. DELETE: dùng để phân phối hoặc ngăn cấm việc xóa một đối tượng. 2. Quản lý tài khoản người dùng: Tài khoản là nơi chứa những thông tin nhằm giúp xác nhận người dùng vào hệ thống và quản lý việc truy cập của người dùng đó đến các đối tượng trong hệ thống. Tài khoản người dùng thường được lưu trong cơ sở dữ liệu Security Account Manager (SAM). Trong Windows NT, tài khoản có thể chia làm 2 loại: cục bộ (local account) và toàn cục (global/domain account) mà sự khác nhau giữa 2 loại này là ở khả năng và quyền hạn đối với các đối tượng, tài nguyên. Đối với local account, phạm vi hoạt động là nội bộ trong một trạm Windows NT do đó nó thích hợp khi cần những truy cập đến tài nguyên trong nội bộ một trạm (trên Windows NT Server, nếu kiểu tài khoản là local account, người dùng không thể đăng nhập một cách cục bộ mà phải đăng nhập từ mạng), còn đối với domain account khả năng có thể mở rộng ra một phạm vi nhất định (vùng- domain) và có thể ảnh hưởng đến nhiều trạm trong phạm vi đó. Domain account lại có thể nhìn dưới 2 góc độ là Groups Accounts (Tài khoản của nhóm) và User Accounts (Tài khoản người dùng). Groups Accounts được dùng để đơn giản hóa công việc điều hành hệ thống và có thể được phân phối những quyền hạn (permissions) truy cập đến tài nguyên. Do đó, khi một người dùng là thành viên của một nhóm thì tài khoản người đó cũng được thừa hưởng những quyền hạn mà tài khoản nhóm có. Một số ưu điểm của việc dùng tài khoản nhóm: 1. Quyền hạn có thể được phân phối cho một lúc tất cả các thành viên trong nhóm. 2. Quyền hạn có thể được thu hồi từ tất cả các thành viên trong nhóm. 3. Quyền hạn của một người dùng tự động bị thu hồi khi người đó không còn là thành viên của nhóm. 4. Khi có nhiều người cùng gia nhập nhóm thì những quyền hạn cần thiết sẽ được phân phối cho những người đó mà không cần phải phân quyền cho từng cá nhân với cùng một loại quyền hạn. Một số nhóm cài sẵn (built-in) mang tính cục bộ trên một Windows NT Domain controller: Administrators, Backup Operators, Account Operators, Guests, Print Operators, Replicator, Server Operators, Users. Và một số nhóm toàn cục trên domain như: Domain Admins, Domain Guests, Domain Users. Ngoài ra, có một số nhóm trên Windows NT Workstation và Server không thuộc domain như: Administrators, Backup Operators, Power Users, Guests, Replicators, Users. Và có 5 nhóm ngầm định tồn tại trên mọi máy tính NT (domain controller, server, workstation): 1. INTERACTIVE: ám chỉ mọi người dùng tham gia một cách cục bộ. 2. NETWORK: mọi người dùng tham gia thông qua mạng. 3. EVERYONE: INTERACTIVE + NETWORK. 4. SYSTEM: hệ điều hành. 5. CREATOR OWNER: bất cứ ai tạo một đối tượng bất kì. Những Users Accounts ngầm định được tạo ra trong quá trình cài đặt Windows NT Server là Administrator và Guest. Administrator là tài khoản chính dùng cho việc quản trị của máy Server, tài khoản này cung cấp cho người dùng những khả năng như: 1. Tạo và quản lí tài khoản người dùng. 2. Tạo và quản lí những nhóm toàn cục. 3. Tạo và quản lí những nhóm cục bộ. 4. Gán quyền cho người dùng (user right). 5. Khóa máy Server. 6. Định dạng đĩa cứng Server. 7. Tạo những nhóm chung. 8. Lưu giữ những bảng tóm tắt tiểu sử (profile). 9. Quản lí việc chia sẻ thư mục. 10. Quản lí việc chia sẻ máy in mạng. Khi một người dùng đăng nhập vào hệ thống dưới một tên nào đó không tồn tại thì Windows NT sẽ cố gắng đăng nhập người đó bằng tài khoản Guest. Do đó nếu tài khoản Guest không được gán mật khẩu thì sau khi vào được hệ thống, một người dùng đăng nhập dưới tài khoản Guest có thể thực hiện một số thao tác có nguy cơ vi phạm tính an toàn của hệ thống (như việc chia sẻ tên đối tượng...). Ngầm định, tài khoản Guest sẽ bị vô hiệu hóa trên mọi máy NT Server mới cài đặt. Có một số thuộc tính liên quan đến tài khoản người dùng cần thiết khi thiết lập một tài khoản: 1. User name : tên người dùng, dài không quá 20 kí tự, duy nhất trên domain 2. Initial Password (tùy chọn): mật khẩu khởi tạo, dài không quá 14 kí tự 3. Full Name: tên đầy đủ của người dùng 4. Change Password at Next Logon (Yes/No) 5. User Cannot Change Password (Yes/No) 6. Password Never Expires (Yes/No): mật khẩu không bao giờ bị vô hiệu hóa 7. Account Disabled (Yes/No): vô hiệu hóa tài khoản 8. Home Directory: thư mục làm việc chính của tài khoản 9. Logon Script 10. Profile 11. Account Type: kiểu tài khoản (local/global) 12. Logon Hours: thời gian trong ngày mà tài khoản có hiệu lực 13. Dialin 14. Logon Workstation: danh sách các máy trạm mà người dùng có thể đăng nhập 15. Expiration date: ngày mà tài khoản bị vô hiệu hóa (ngày hết hạn) 16. Groups: danh sách các nhóm mà người dùng tham gia.
Thứ Hai, 17/11/2003 07:29
31 👨 2.626
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp