Kỹ thuật phân quyền quản trị Window

Ngày nay Group Policy đang trở nên quan trọng hơn và có nhiều tùy chọn phân quyền. Tìm hiểu được vị trí để thiết lập các phân quyền cũng như cách phân quyền các nhiệm vụ nhất định có thể giúp đỡ bạn thiết lập một mạng an toàn và hiệu quả hơn.
Nội dung trích xuất từ tài liệu:
Kỹ thuật phân quyền quản trị WindowKỹ thuật phân quyền quản trị WindowNguồn:quantrimang.comDerek MelberNgày nay Group Policy đang trở nên quan trọng hơn và có nhiều tùy chọnphân quyền. Tìm hiểu được vị trí để thiết lập các phân quyền cũng nhưcách phân quyền các nhiệm vụ nhất định có thể giúp đỡ bạn thiết lập mộtmạng an toàn và hiệu quả hơn.Kể từ khi Microsoft đưa ra bản Windows 2000 thì tùy chọn phân quyền cácnhiệm vụ nhất định luôn được thiết lập sẵn. Định nghĩa phân quyền có thể hơirắc rối, nhưng những gì phân quyền cung cấp lại rất quan trọng để tăng hiệu quảmạng. Không sử dụng phân quyền, bạn có khả năng bị mắc kẹt chỉ với nhữngnhóm mặc định cho phép đặc quyền quản trị qua nhiều nhiệm vụ và đối tượngnhất định. Chẳng hạn, khi không có phân quyền đối với tài khoản người dùng vàtài khoản nhóm thì người dùng phải được đặt trong nhóm Account Operator cókhả năng chỉ quản lý người dùng, nhóm và các máy tính trong phạm vi nhất định.Tất nhiên, người dùng cũng có thể được đặt trong nhóm Domain Admins haynhóm Enterprise Admins nhưng điều này cho phép người dùng có quá nhiều đặcquyền so với việc chỉ quản lý tài khoản. Trong một số trường hợp tương tự, đặtngười dùng trong nhóm Account Operator cũng cho phép họ có các đặc quyềnnhư sửa đổi không chỉ tại khoản của họ mà còn có thể sửa tài khoản của cácquản trị viên. Giải quyết vấn đề này bằng cách cho phép phân quyền tới các đốitượng và nhiệm vụ khắp hệ thống.Phân tích phân quyềnNếu bạn muốn mạng được quản trị hiệu quả hơn bằng cách thực hiện phânquyền, bạn cần chú ý một số vấn đề sau:1. Đối tượng nào sẽ nhận các đặc quyền phân quyền?2. Nhóm người dùng được phân quyền có nhiệm vụ gì?3. Nhóm phân quyền điều khiển những đối tượng nào?4. Phân quyền được thực hiện ở đâu?5. Những đặc quyền nào để cấu hình hoàn thiện phân quyền?Nếu thực hiện những điều trên một cách riêng lẻ thì sẽ không đạt được hiệu quảtốt nhất.Chú ý đầu tiên là lên tiêu chuẩn tạo ra các nhóm sẽ được phân quyền. Bằngcách này, sẽ dễ dàng thêm vào nhiều người dùng và cũng dễ dàng loại bỏ phânquyền người dùng.Chú ý thứ hai là không phải mọi nhiệm vụ đều có thể được phân quyền. Do đócần lập danh sách những phân quyền được phép. Chúng ta sẽ tạo ra nhữngdanh sách này sau trên công cụ nơi thiết lập phân quyền. Ngay khi có danh sáchcác phân quyền thì sẽ dễ dàng hơn nhiều để chọn bất cứ quyền nào bạn muốn.Đối với phân quyền đối tượng, cần nắm được bạn phân quyền cái gì. Bạn muốnnhững người khác cùng kiểm soát toàn bộ tài khoản người dùng hay chỉ một sốthuộc tính của tài khoản người dùng? Bạn cũng có thể chọn từ nhiều nhóm, máytính, đơn vị tổ chức hay đối tượng Group policy.Một trong số nhiều khái niệm quan trọng nhất là biết được vị trí cấu hình phânquyền. Có 3 công cụ chính thực hiện điều này. Chúng tôi sẽ phân tích kỹ 3 côngcụ này sau.Cuối cùng, khi kích hoạt công cụ và muốn phân quyền, bạn cần biết những lựachọn và hộp thoại nào sẽ thực hiện mục đích của bạn. Một số phân quyền khádễ dàng, nhưng một số khác lại yêu cầu bạn thực hiện một số kiểm tra và đánhgiá trước khi có thể đảm bảo phân quyền.Active Directory người dùng và máy tính (ADUC)Active Directory có một thành phần phân quyền đầy đủ và toàn diện. Nếu bạnđang không sử dụng phân quyền trong AD thì đã bỏ lỡ một trong những lý doquan trọng khi sử dụng AD. Phân quyền bên trong AD cho phép quản trị viêncấu hình các nhóm người dùng truy cập vào những nhiệm vụ nhất định. Lợi íchcủa điều này là các nhiệm vụ rất chi tiết và giảm điều khiển quản trị được hạnchế đối với các nhiệm vụ được thừa nhận với nhóm người dùng.Chìa khóa để hiểu phân quyền trong AD là nắm được các khả năng của nó.Microsoft thêm một số tùy chọn trong bản Server 2003, nhưng vẫn còn có một sốtùy chọn bị giới hạn điều khiển phân quyền quản trị. Dưới đây danh sách các đốitượng chính cấu hình với các điều khiển phân quyền: Tài khoản người dùng. • Tài khoản nhóm. • Đơn vị tổ chức. • Tài khoản máy tính. •Mặc dù có liệt kê tất cả các đối tượng có thể được kiểm soát, nhưng quan trọnghơn là phải nắm được các hạn chế phân quyền cho từng đối tượng. Đặc biệt làcác phân quyền nào thì phù hợp với tài khoản người dùng, tài khoản nhóm và tàikhoản máy tính. Đặt lại mật khẩu. • Quản lý tài khoản người dùng. • Quản lý nhóm. • Thay đổi thành viên trong nhóm. • Thêm máy tính vào OU. • Các máy tính có ít quyền điều khiển.. sử dụng các quyền thông qua GPO. •Một số phân quyền hiển thị trong hình 1. Hình 1: Uỷ nhiệm ADUCĐiều khiển quản lý Group Policy (GPMC)PMC cung cấp một môi trường không những cho phép quản trị viên của GPO,mà còn bảo vệ những ai có thể quản lý các GPO đó. Cùng với sự xuất hiện củaGPMC toàn bộ sự quản lý và phân quyền GPO được tích hợp vào trong công cụnày. Tôi muốnCó một điều rõ ràng rằng GPMC chỉ cung cấp phân quyền quản lýGPO, kh ...