Trong các hệ điều hành Windows có một hệ thống các nhóm hoặc vấn đề chính được định nghĩa và gán với một giá trị nhất định (unique) và gọi là SID (Security Indentifier). Trong bài giới thiệu lần này mình sẽ giới thiệu các SID cơ bản trong Windows.
1. Các SID nên biết
"S-1-0" { "Null Authority" }
"S-1-0-0" { "Nobody" }
"S-1-1" {"World Authority" }
"S-1-1-0" { "Everyone" }
"S-1-2" { "Local Authority" }
"S-1-2-0" { "Local" }
"S-1-2-1" { "Console Logon" }
"S-1-3" { "Creator Authority" }
"S-1-3-0" { "Creator Owner" }
"S-1-3-1" { "Creator Group" }
"S-1-3-4" { "Owner Rights" }
"S-1-5-80-0" {"All Services" }
"S-1-4" { "Non Unique Authority" }
"S-1-5" { "NT Authority" }
"S-1-5-1" { "Dialup" }
"S-1-5-2" { "Network" }
"S-1-5-3" { "Batch" }
"S-1-5-4" { "Interactive" }
"S-1-5-6" { "Service" }
"S-1-5-7" { "Anonymous" }
"S-1-5-9" { "Enterprise Domain Controllers"}
"S-1-5-10" { "Self" }
"S-1-5-11" { "Authenticated Users" }
"S-1-5-12" { "Restricted Code" }
"S-1-5-13" { "Terminal Server Users" }
"S-1-5-14" { "Remote Interactive Logon" }
"S-1-5-15" { "This Organization" }
"S-1-5-17" { "This Organization" }
"S-1-5-18" { "Local System" }
"S-1-5-19" { "NT Authority Local Service" }
"S-1-5-20" { "NT Authority Network Service" }
"S-1-5-32-544" { "Administrators" }
"S-1-5-32-545" { "Users"}
"S-1-5-32-546" { "Guests" }
"S-1-5-32-547" { "Power Users" }
"S-1-5-32-548" { "Account Operators" }
"S-1-5-32-549" { "Server Operators" }
"S-1-5-32-550" { "Print Operators" }
"S-1-5-32-551" { "Backup Operators" }
"S-1-5-32-552" { "Replicators" }
"S-1-5-32-554" { "Pre-Windows 2000 Compatibility Access"}
"S-1-5-32-555" { "Remote Desktop Users"}
"S-1-5-32-556" { "Network Configuration Operators"}
"S-1-5-32-557" { "Incoming forest trust builders"}
"S-1-5-32-558" { "Performance Monitor Users"}
"S-1-5-32-559" { "Performance Log Users" }
"S-1-5-32-560" { "Windows Authorization Access Group"}
"S-1-5-32-561" { "Terminal Server License Servers"}
"S-1-5-32-561" { "Distributed COM Users"}
"S-1-5-32-569" { "Cryptographic Operators" }
"S-1-5-32-573" { "Event Log Readers" }
"S-1-5-32-574" { "Certificate Services DCOM Access" }
"S-1-5-32-575" { "RDS Remote Access Servers" }
"S-1-5-32-576" { "RDS Endpoint Servers" }
"S-1-5-32-577" { "RDS Management Servers" }
"S-1-5-32-575" { "Hyper-V Administrators" }
"S-1-5-32-579" { "Access Control Assistance Operators" }
"S-1-5-32-580" { "Remote Management Users" }
2. Giải thích cụ thể về một số nhóm phổ biến
Account Operators: Thành viên của nhóm này có thể tạo tài khoản nhóm,tài khoản người dùng nhưng chỉ có thể quản lí những gì do nó tạo ra.
Administrators: Nhóm này thì có toàn quyền trên hệ thống.
Backup Operators: Thành viên của nhóm này có quyền Backup và Restore. Nếu hệ thống sử dụng NTFS, thành viên nhóm phải được gán quyền thì mới có thể thực hiện được công việc.
Guests: Đây là nhóm bị hạn chế nhiều nhất, được phép truy cập vào hệ thống với quyền tối thiểu.
Power Users: Nhóm này có ít quyền hơn nhóm Administrators nhưng nhiều quyền hơn nhóm Users. Nhóm này cũng có thể tạo, quản lí tài khoản nhóm và người dùng do họ tạo ra. Ngoài ra còn có quyền chia sẻ thư mục và máy in mạng.
Print Operator: Thành viên nhóm này có quyền quản trị máy in.
Replicator: Nhóm này được dùng để hỗ trợ tạo bản sao thư mục, nó là 1 đặc tính được dùng trong các server.
Server Operators: Thành viên nhóm này có thể quản trị các server
Users: Nhóm này cũng có quyền rất hạn chế, thường sẽ được phân quyền theo chức năng trong hệ thống.
Cert Publishers: Thành viên nhóm này có thể quản lí các chứng thực của các công ty
DHCP Administrators: Nhóm này có quyền quản lí các dịch vụ DHCP
DHCP Users: Nhóm này có quyền sử dụng dịch vụ DHCP
DNSAdmins: Nhóm này có các quyền quản lí các dịch vụ DNS
DNSUpdateProxy: Nhóm này có quyền cho phép các máy trạm dns được gửi yêu cầu dns thay cho các máy trạm khác
Domain Computers Nhóm này chứa tất cả các máy trạm và máy server như là 1 phần của vùng
Domain Controllers: Nhóm này chứa tất cả các máy điều khiển vùng của vùng
Domain Guests: Là nhóm có quyền truy cập giới hạn trên vùng.
Domain Users: Nhóm này có quyền tối thiểu trên vùng
Enterprise Admins: Nhóm này có quyền quản lí các thông tin của các công ty liên quan đến hệ thống
Group Policy Creator Owners: Nhóm này có quyền hiệu chỉnh chính sách bảo mật
RAS and ISA Server: Nhóm này chứa các thông tin về dịch vụ truy cập từ xa và dịch vụ chứng thực trên Internet.
Schema Admins: Nhóm này có quyền hiệu chỉnh các lược đồ của Active Directory
WINS Users: Thành viên nhóm này có quyền xem thông tin trên dịch vụ WINS(Windows Internet Name Services)
3. Tạo tài khoản mới trong Windows Server 2003 trở đi (tương tự với Windows Vista trở đi)
Cách tạo tài khoản người dùng và nhóm:Start/Settings/Controlpanel/Administrative Tools/Computer Management.Trong mục Local Users and Groups nhấp chuột phải chọn New User hay new Group thì tuỳ bạn chọn.
Khi tạo tài khoản người dùng mới,có 4 mục:
- User Must change Password At Next Logon: Người dùng phải thay đổi password ngay lần đăng nhập đầu tiên.
- User Cannot Change Password: Người dùng không tự thay đổi được mật khẩu.
- Password Nerver Expires: Tài khoản này sẽ không hết hạn.
- Account is Disabled: Tài khoản tạm thời bị khóa.
Nếu muốn thêm người dùng nào gia nhập một nhóm thì trong Local users and groups chọn Group rồi add tên người dùng vào nhóm đó.
No comments:
Post a Comment