Kỹ thuật về phân quyền quản trị Window

Kỹ thuật phân quyền quản trị Window.Ngày nay Group Policy đang trở nên quan trọng hơn và có nhiều tùy chọn phân quyền. Tìm hiểu được vị trí để thiết lập các phân quyền cũng như cách phân quyền các nhiệm vụ nhất định có thể giúp đỡ bạn thiết lập một mạng an toàn và hiệu quả hơn.Kể từ khi Microsoft đưa ra bản Windows 2000 thì tùy chọn phân quyền các nhiệm vụ nhất định luôn được thiết lập sẵn. Định nghĩa phân quyền có thể hơi rắc rối, nhưng những gì phân quyền cung cấp lại rất...
Nội dung trích xuất từ tài liệu:
Kỹ thuật về phân quyền quản trị WindowKỹ thuật phân quyền quản trị WindowNgày nay Group Policy đang trở nên quan trọng hơn và có nhiều tùychọn phân quyền. Tìm hiểu được vị trí để thiết lập các phân quyền cũngnhư cách phân quyền các nhiệm vụ nhất định có thể giúp đỡ bạn thiếtlập một mạng an toàn và hiệu quả hơn.Kể từ khi Microsoft đưa ra bản Windows 2000 thì tùy chọn phân quyền cácnhiệm vụ nhất định luôn được thiết lập sẵn. Định nghĩa phân quyền có thểhơi rắc rối, nhưng những gì phân quyền cung cấp lại rất quan trọng để tănghiệu quả mạng. Không sử dụng phân quyền, bạn có khả năng bị mắc kẹt chỉvới những nhóm mặc định cho phép đặc quyền quản trị qua nhiều nhiệm vụvà đối tượng nhất định. Chẳng hạn, khi không có phân quyền đối với tàikhoản người dùng và tài khoản nhóm thì người dùng phải được đặt trongnhóm Account Operator có khả năng chỉ quản lý người dùng, nhóm và cácmáy tính trong phạm vi nhất định. Tất nhiên, người dùng cũng có thể đượcđặt trong nhóm Domain Admins hay nhóm Enterprise Admins nhưng điềunày cho phép người dùng có quá nhiều đặc quyền so với việc chỉ quản lý tàikhoản. Trong một số trường hợp tương tự, đặt người dùng trong nhómAccount Operator cũng cho phép họ có các đặc quyền như sửa đổi không chỉtại khoản của họ mà còn có thể sửa tài khoản của các quản trị viên. Giải quyếtvấn đề này bằng cách cho phép phân quyền tới các đối tượng và nhiệm vụkhắp hệ thống.Phân tích phân quyềnNếu bạn muốn mạng được quản trị hiệu quả hơn bằng cách thực hiện phânquyền, bạn cần chú ý một số vấn đề sau:1. Đối tượng nào sẽ nhận các đặc quyền phân quyền?2. Nhóm người dùng được phân quyền có nhiệm vụ gì?3. Nhóm phân quyền điều khiển những đối tượng nào?4. Phân quyền được thực hiện ở đâu?5. Những đặc quyền nào để cấu hình hoàn thiện phân quyền?Nếu thực hiện những điều trên một cách riêng lẻ thì sẽ không đạt được hiệuquả tốt nhất.Chú ý đầu tiên là lên tiêu chuẩn tạo ra các nhóm sẽ được phân quyền. Bằngcách này, sẽ dễ dàng thêm vào nhiều người dùng và cũng dễ dàng loại bỏphân quyền người dùng.Chú ý thứ hai là không phải mọi nhiệm vụ đều có thể được phân quyền. Dođó cần lập danh sách những phân quyền được phép. Chúng ta sẽ tạo ra nhữngdanh sách này sau trên công cụ nơi thiết lập phân quyền. Ngay khi có danhsách các phân quyền thì sẽ dễ dàng hơn nhiều để chọn bất cứ quyền nào bạnmuốn.Đối với phân quyền đối tượng, cần nắm được bạn phân quyền cái gì. Bạnmuốn những người khác cùng kiểm soát toàn bộ tài khoản người dùng haychỉ một số thuộc tính của tài khoản người dùng? Bạn cũng có thể chọn từnhiều nhóm, máy tính, đơn vị tổ chức hay đối tượng Group policy.Một trong số nhiều khái niệm quan trọng nhất là biết được vị trí cấu hìnhphân quyền. Có 3 công cụ chính thực hiện điều này. Chúng tôi sẽ phân tíchkỹ 3 công cụ này sau.Cuối cùng, khi kích hoạt công cụ và muốn phân quyền, bạn cần biết nhữnglựa chọn và hộp thoại nào sẽ thực hiện mục đích của bạn. Một số phânquyền khá dễ dàng, nhưng một số khác lại yêu cầu bạn thực hiện một số kiểmtra và đánh giá trước khi có thể đảm bảo phân quyền.Active Directory người dùng và máy tính (ADUC)Active Directory có một thành phần phân quyền đầy đủ và toàn diện. Nếubạn đang không sử dụng phân quyền trong AD thì đã bỏ lỡ một trong nhữnglý do quan trọng khi sử dụng AD. Phân quyền bên trong AD cho phép quảntrị viên cấu hình các nhóm người dùng truy cập vào những nhiệm vụ nhấtđịnh. Lợi ích của điều này là các nhiệm vụ rất chi tiết và giảm điều khiểnquản trị được hạn chế đối với các nhiệm vụ được thừa nhận với nhóm ngườidùng.Chìa khóa để hiểu phân quyền trong AD là nắm được các khả năng của nó.Microsoft thêm một số tùy chọn trong bản Server 2003, nhưng vẫn còn cómột số tùy chọn bị giới hạn điều khiển phân quyền quản trị. Dưới đây danhsách các đối tượng chính cấu hình với các điều khiển phân quyền: Tài khoản người dùng.  Tài khoản nhóm.  Đơn vị tổ chức.  Tài khoản máy tính. Mặc dù có liệt kê tất cả các đối tượng có thể được kiểm soát, nhưng quantrọng hơn là phải nắm được các hạn chế phân quyền cho từng đối tượng. Đặcbiệt là các phân quyền nào thì phù hợp với tài khoản người dùng, tài khoảnnhóm và tài khoản máy tính. Đặt lại mật khẩu.  Quản lý tài khoản người dùng.  Quản lý nhóm.  Thay đổi thành viên trong nhóm.  Thêm máy tính vào OU.  Các máy tính có ít quyền điều khiển.. sử dụng các quyền thông qua  GPO.Một số phân quyền hiển thị trong hình 1. Hình 1: Uỷ nhiệm ADUCĐiều khiển quản lý Group Policy (GPMC)PMC cung cấp một môi trường không những cho phép quản trị viên củaGPO, mà còn bảo vệ những ai có thể quản lý các GPO đó. Cùng với sự xuấthiện của GPMC toàn bộ sự quản lý và phân quyền GPO được tích hợp vàotrong công cụ này. Tôi muốnCó một điều rõ ràng rằ ...