MCSA 2012: Local User Account và Local Group

MCSA 2012 : Local User Account và Local Group | Bài viết này sẽ mang đến kiến thức căn bản về : tài khoản user nội bộ (local user account)group nội bộ (local group). Hy vọng qua đây bạn sẽ biết một số mẹo, kinh nghiệm và xử lý đối với tài khoản User nội bộ trên Windows Server 2012 .

mcas local user account và local group

Có thể bạn cũng quan tâm chủ đề khác:
Hướng dẫn thay đổi Hostname trên Windows Server 2012 bằng GUI
Hướng dẫn cài đặt Windows Server 2012 bằng hình ảnh chi tiết
Kích hoạt Remote Desktop trên Windows Server 2012
MCSA 2012: Phân quyền NTFS Permission

1. User Account – Local User Account

User account là một bộ thông tin, dùng để định danh người dùng trên hệ thống.

Từ sau bản MS-Dos thì Microsoft ra đời các hệ điều hành (HDH) Windows. Ta có thể chia thành 2 nhóm như sau:

  • Nhóm 1: Win 95, 98, me.
  • Nhóm 2: Win NT, 2000, XP, 2003, 2008, 7, 2008R2 v.v .

+ Nhóm 1: Khi cài HĐH thì máy tính làm việc ở mode: simple user. Simple user là máy tính chỉ phục vụ cho một người dùng, không có sự phân biệt giữa các người dùng khác nhau. Bất kì ai ngồi trên máy làm việc thì được toàn quyền trên máy tính.

Vấn đề: muốn bảo vệ dữ liệu thì chỉ còn mỗi việc không cho ai ngồi trên máy.

+ Nhóm 2: Các máy tính hoạt động ở mode: Multiple User. Ở mode này sẽ phục vụ cho nhiều người dùng và mỗi người dùng có một không gian làm việc riêng (Profile).

1.1 Local User Accounts mặc định

Trên folder Users, bạn sẽ dễ dàng nhìn thấy 2 tài khoản user mặc định luôn được tạo ra khi bạn cài đặt Hệ Điều Hành Windows.

  • Administrator : user quản trị tối cao của hệ thống, có đầy đủ quyền hạn để thao tác kiểm soát files, thư mục, dịch vụ,…
  • Guest : là tài khoản thường sử dụng cho người dùng tạm thời, cần quyền truy cập máy tính để xử lý 1 số việc. Tài khoản này thường bị giới hạn khá nhiều quyền.

Lưu ý:
– Thông tin mật khẩu phải thuộc dạng chuỗi kí tự phức tạp gồm : tối thiểu 8 kí tự, mật khẩu ít ý nghĩa, có chữ hoa chữ thường, có số và các kí tự đặc biệt (@, #, &,..).

1.2 User Profile

Cơ chế bảo mật của Windows yêu cầu đối với mỗi User phải có một môi trường làm việc riêng trên máy chủ Windows. Vì vậy mà ở lần đầu tiên khi User A đăng nhập vào hệ thống Windows, thì hệ thống sẽ tạo cho user môi trường làm việc riêng (User Profile). Điều này cũng đồng nghĩa việc, User A khi log on làm việc, sẽ không thể xâm nhập môi trường làm việc Local của User B.

User Profile sẽ bao gồm các thành phần sau :

  • Registry hive : lưu trữ thông tin tinh chỉnh của User đó trên hệ thống Core Windows.
  • Dữ liệu hay các thiết lập trên desktop ( đổi hình nền v.v).
  • Các lưu trữ trong Document.
  • Các ứng dụng
  • Chúng ta sẽ tìm hiểu User Profile kĩ hơn ở bài khác.

1.3 Cách tạo Local User Account

Bạn sẽ mở giao diện ứng dụng quản lý tạo User/Group : lusrmgr .

Start > Run : lusrmgr.msc

Sau khi giao diện quản lý User/Group xuất hiện. Bạn chọn “User” > “New User” để tiến hành tạo User mới.

tạo user local account

User Account khi tạo sẽ gồm 2 thông tin quan trọng :

  • Username: tên định danh cho tài khoản User, không phân biệt chữ hoa chữ thường.
  • Password: thông tin mật khẩu sử dụng để đăng nhập tài khoản User. Password của các tài khoản sẽ được lưu trong file SAM với đường dẫn: “C:\windows\system32\config” .

new user

2. Thuộc tính cơ bản User Account

Chúng ta sẽ tìm hiểu về 2 thuộc tính cơ bản của một tài khoản User Account. Để tiến hành tìm hiểu bạn hãy click chuột phải vào tên user và chọn ‘Properties‘.

thuộc tính user account

2.1 Tab General

tab general user account

Ở tab General sẽ bao gồm các thuộc tính, tinh chỉnh chung dành cho một tài khoản Local như sau :

  • User must change password at next log on: người dùng phải đổi password ở lần đăng nhập kế tiếp. Khi user đổi pass rồi thì ”mất dấu check” ở thuộc tính này. Dùng để cho user tự đặt mật khẩu khi mới tạo account. Nếu trong quá trình sử dụng, ta thấy tài khoản này đang bị dò password thì ta sẽ yêu cầu đổi pass (hoặc user tự bấm Ctrl + Alt + Del để đổi pass).
  • User cannot change password: người dùng không thể đổi password. Dùng tính năng này khi có các tài khoản dùng chung cho nhiều người.
  • Password nerver expired: mật khẩu không bao giờ hết hạn, nếu không check thì mặc định mật khẩu user chỉ có giá trị trong 42 ngày. Sau 42 ngày bắt buộc người dùng phải đổi password mới. Dùng cho các tài khoản tạo ra nhằm mục đích khai báo cho các tác vụ trên hệ thống (Vd: backup phải khai báo tài khoản có quyền backup, mà chương trình backup thì chạy liên tục, khi đến 42 ngày thì nó dừng tài khoản này => backup không thể thực hiện )
  • Account is disabled: tài khoản không thể đăng nhập hay truy xuất các tài nguyên trên hệ thống. Dùng khi có các tài khoản không sử dụng nữa, ta không nên xóa mà cứ disable.

2.2 Tab Member of

Mặc định khi user được tạo ra thì nó là thành viên của 1 group. Group là đối tượng trong hệ thống (system object), dùng để chứa thông tin quản lý user account hoặc group account khác

Chức năng của Group phục vụ cho công tác quản lý, phân quyền cho một nhóm các user cùng mục đích quản lý. (thay vì phân quyền chi tiết từng user thì ta dùng group cho nhanh)

Đây là các Group mặc định có sẵn trên windows, dựa vào các chức năng mà ta có các group khác nhau, có 2 nhóm mặc định:

  • Nhóm 1: có chức năng quản lý hệ thống, vd: group Administrators ( tạo user, chỉnh giờ, tắt máy v.v)
  • Nhóm 2: nhóm được phép truy cập, sử dụng tài nguyên, vd: group Users.

Ta cũng có thể tạo group riêng: ( Chọn thư mục ‘Group’ > phải chuột -> New Group)

tạo group account
muốn add user, ta bấm Add.

tạo group account

User thuộc group nào thì sẽ có quyền tương ứng với group đó.

3. Truy suất tài nguyên trong hệ thống mạng Lan

Các máy tính trong mạng Workgroup gọi là local computer. User thuộc local computer (hay còn gọi là local user) chỉ được phép log-on hay sử dụng tài nguyên trên chính máy đó (ứng dụng, máy in v.v), không thể dùng để truy cập tài nguyên ở máy khác. User thuộc 2012may1 muốn truy xuất tài nguyên của 2012may2 phải dùng tài khoản có trên 2012may2.

Sử dụng cú pháp:

 \\<IP> hoặc <computer name>

VD: \\192.168.1.100

network accessKhi thực hiện Network Access giữa 2 máy tính thì quá trình diễn ra các bước sau:

Bước 1: Nếu tài khoản hiện tại đang đăng nhập (trên máy nguồn) có cùng user name, password với máy đích thì được phép truy cập tài nguyên, nếu không đúng thì qua bước 2.
Bước 2: Yêu cầu tài khoản Guest, nếu máy đích có tài khoản guest (mặc định bị disable) thì được phép, không có thì chuyển qua bước 3.
Bước 3: Hiển thị hộp thoại đăng nhập user name, password.

4. Cấu hình Windows tự động login tài khoản cụ thể

Nếu trong máy tính có nhiều tài khoản, ta muốn chỉ định 1 tài khoản bất kì, khi máy tính khởi động là tự động log-on tài khoản đó. Bạn có thể thực hiện như sau :

– Ta dùng quyền admin để thực hiện cấu hình. Hãy mở terminal: Run -> “control userpasswords2

user accountTa thấy có dấu check ô “User must enter a user name and password to use this computer“. Tức người dùng phải điền username, pass để sử dụng đăng nhập vào hệ điều hành Windows.

user must enter a usernameGiờ bỏ check ổ này rồi “apply“, sẽ xuất hiện hộp thoại, ta chỉ định tài khoản bất kì để nó đăng nhập tự động. Sau đó Restart để kiểm tra.

5. Set mật khẩu cho user

Nếu User quên mật khẩu đăng nhập và không còn cách nào để đăng nhập. Thì với tư cách quản trị viên bạn phải set lại password mới cho user. Thực hiện mở : “Computer Management” > “Local Users and Groups” > “Users

set password userXuất hiện hộp thoại cảnh báo sẽ bị mất dữ liệu. Nếu bạn chấp nhận thì ấn ‘Proceed‘ để xử lý.

cảnh báo set mật khẩu mất dữ liệu

Vậy tại sao khi reset password lại có thể bị mất dữ liệu ?

Có những dữ liệu được mã hóa (sử dụng password của user để mã hóa) vì vậy nếu có password mới thì không thể giải mã được các dữ liệu đã được mã hóa trước đó. Còn khi ta đổi 1 cách hợp lệ (Ctrl + Alt + Del -> Change Password) thì sẽ có quá trình chuyển giao giữa pass mới và pass cũ => không mất dữ liệu.

6. Các lệnh liên quan tới User và Group

Các bạn sẽ mở terminal CMD trên Windows Server để có thể thực hiện các nội dung lệnh dưới. Ví dụ: username sử dụng sẽ là ‘peter‘. Trong trường hợp của bạn là user khác thì thay thế cái tên ‘peter‘.

– Thêm user.

# net user peter <password> /add

– Xóa user.

# net user peter /del

–Reset password.

# net user peter <password mới>

– Liệt kê các tài khoản.

# net user

– Xem thông tin chi tiết về user.

# net user peter

lệnh cmd user net

7. Một số sự cố thường gặp

Vấn đề gặp phải khi Reset Password

Giả định user Teo tạo file teo.txt, điền nội dung bất kì vào file. Chỉnh Properties file teo.txt, chọn Advance. Check vào “Encrypt contents to secure data” ( mã hóa dữ liệu, chỉ có owner mới đọc được, ngay cả admin cũng không thể) -> OK .

Sau đó reset password mới của user Teo thì truy cập vào file teo.txt lập tức bị lỗi “Access is denied“.

access denied

Khắc phục: đổi lại password cũ như trước đó thì bạn sẽ đọc file bình thường.

Vấn đề gặp phải khi Administrator bị disable

Giả định trường hợp tài khoản Administrator bị user Teo phá và disable ( đã add Teo vào nhóm Administrators). Vậy làm sao để Administrator có thể tự enable lại.

Khắc phục: ta phải sử dụng giao diện Safe Mode (các bạn tự tìm hiểu cách kích hoạt giao diện này). Ở giao diện này tài khoản Administrator dù bị disable vẫn có thể đăng nhập .Thử check vào ô “Password never expires” và bỏ check ô “Account is disabled“.

safe mode

Restart và thấy tài khoản Administrator có thể đăng nhập trở lại.

Mình xin kết thúc phần MCSA 2012 Local User và Local Group tại đây. Nếu có bất kì thắc mắc nào, đừng ngại … google thêm trước khi hỏi mình nhé.

Nguồn: https://cuongquach.com/

Previous article[HP] Hướng dẫn trích xuất file .bin trong file .scexe của HP
Next article[vSphere] Hướng dẫn kích hoạt License Key trên vSphere ESXi
Bạn đang theo dõi website "https://cuongquach.com/" nơi lưu trữ những kiến thức tổng hợp và chia sẻ cá nhân về Quản Trị Hệ Thống Dịch Vụ & Mạng, được xây dựng lại dưới nền tảng kinh nghiệm của bản thân mình, Quách Chí Cường. Hy vọng bạn sẽ thích nơi này !