Khái niệm :• Organizational Units hay OU là đơn vị nhỏ nhất trong hệ thống Active Directory.Là một vật chứa các đối tượng Object được dùng để sắp xếp các đối tượng khác nhau phục vụ ch
Trang 1BÁO CÁO QUẢN TRỊ MẠNG
Organizational Unit (OU) - Delegate Control
0910266 : Nguyễn Ngọc Đủ
0910284 : Phạm Thúy Hồng
0912685 : Lê Quang Đoàn
Nội dung tìm hiểu:
Organizational Units (Đơn vị tổ chức)
Delegate Control (ủy quyền kiểm soát)
Trang 2 Khái niệm :
• Organizational Units hay OU là đơn vị nhỏ nhất trong hệ thống Active Directory.Là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị (Một OU có thể chứa trong đó các user, computers, 1 nhóm hoặc 1 OU khác) OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”
• Ứng dụng được triển khai trên : Windows Server 2003, Windows Server
2003 R2, Windows Server 2003 SP1, Windows Server 2003 SP2
Công dụng của OU:
• Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một quản trị viên phụ nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn
bộ hệ thống Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (Group Policy)
II Delegate Control (ủy quyền kiểm soát)
Khái niệm:
• Delegate Control là công cụ cho phép Administrator thiết lập các chính sách
ủy quyền cho người dùng, nhóm người dùng và máy tính
• Thông qua OU chúng ta (Administrator) có thể ủy nhiệm những thao tác quan trọng cho những thành viên hay group không có quyền quản trị Những thành viên này chỉ có thể thực hiện được những thao tác mà Administrator
ủy nhiệm
Ví dụ:
Trang 3• Một user được ủy quyền có khả năng reset password cho những user ở OU Accounting trong site Hanoi thì anh ta chỉ có thể reset password của user trong OU này, và không thể reset password của các user trong OU khác
Hộp thoại task to Delegate trong Delegate Control
Trong hộp thoại này ta có thể thiết lập các nhiệm vụ cần ủy quyền, các nhiệm
vụ cụ thể như sau:
Create, Delete and manage User Account: Thêm, xóa và quản lý tài khoản người dùng
Reset user password, and force password change at next logon: Xóa
password người dùng, có hiệu lực ngay trong lần đăng nhập kế tiếp
Read all Information: Có quyền đọc tất cả các thông tin của người dùng
Create, Delete and manage Groups: Thêm xóa và quản lý nhóm người dùng
Modify the membership of a group: Kiểm tra các thành viên của nhóm
Manage Group Policy links: Quản lý các liên kết chính sách nhóm
Generate Resultant Set of Policy (Planning): Thiết lập các chính sách tự động về đặt kế hoạch
Generate Resultant Set of Policy (Logging): Thiết lập các chính sách tự động trong quá trình đăng nhập
Create, Delete and manage InetOrgPerson Accounts: Thêm, xóa, sửa quản lý
và tổ chức
Reset InetOrgPerson passwords and force password change at network: Cho phép quản lý và loại bỏ password
Reset all InetOrgPerson Information: Cho phép InetOrgPerson đọc tất cả các thông tin
Trang 4Giải thích ý nghĩa:
Yêu cầu:
Giả sử công ty có 3 phòng trong đó có một văn phòng trung tâm và hai phòng làm việc
Để việc quản trị mạng và chia sẻ cũng như tìm kiếm dữ liệu trong công ty dễ dàng chúng ta sét mô hình OU như trên hình minh họa
Thiết kế một domain giả sử là hcm.vn
Giả sử công ty có hai phòng là : phòng kế toán và phòng kinh doanh
Tại hai mức này ta tạo Organization Units – Ous tương đương với phòng kế toán và phòng kinh doanh
Tại mỗi phòng sẽ có các bộ phận kế toán (Ac), nhân sự (Hr), và quảng cáo (Ad)
Trang 5 Vì tại mỗi bộ phận thuộc OU cấp dưới còn nhiều Client nữa nên ta vẫn thiết kế chúng ở mức OU
III Cách tạo OU
1 Tạo OU bằng giao diện đồ họa
Bước 1: Vào Start – Programs – Administrative Tool – Active Directory Users and Computers :
Active Directory Users and Computers có chức năng quản lý người dùng và máy tính, cũng như mọi thiết lập liên quan đến Active Directory
Trang 6Bước 2: Nhấp phải chuột vào Domain hcm.vn – New – Organization Unit (OU)
Trang 7 Trong màn hình New Object nhập tên OU vào khung Name và nhấp OK.
OU Phong ke toan đã được tạo
Trang 8 Thực hiện tương tự để tạo OU Phong kinh doanh
Trang 9 Sau khi tạo được 2 OU cùng cấp, ta được kết quả như trong hình.
Trang 10 Trong mỗi Phong ke toan và Phong kinh doanh lại có các bộ phận do vậy mỗi bộ phận này ta cũng có thể quản lý bằng các OU và cách tạo các OU này cũng tương tự như đã tạo các OU trước đó chỉ khác là thay vì nhấp phải chuột vào tên Domain thì nhấp phải chuột vào tên OU
2 Tạo OU bằng dòng lệnh
Ta dùng lệnh dsadd ou để tạo một đơn vị tổ chức trên miền (OU)
Cú pháp:
• dsadd ou OU=<tên OU>, DC=<tên miền theo NetBIOS>,DC=<phần đuôi của tên miền>
Ví dụ: Tạo một OU là GiaoVien trong miền dlu.com
• dsadd ou OU=GiaoVien, DC=NetBIOS, DC=com
Trang 113 Xóa OU bằng giao diện dòng lệnh
Ta dùng lệnh dsrm để xóa một đơn vị tổ chức trên miền (OU)
Cú pháp:
• dsrm “orgUnitDN” –Subtree
• Giải thích:
• OrgUnitDN : Tên OU muốn xóa
• Subtree: Xóa tất cả các cây nằm trong OU OrgUnitDN
Trang 12IV Thiết lập ủy quyền điều khiển
Giả sử ta thiết lập ủy quyền tài khoản người dùng có thể quản lý OU Phong ke toan (cho phép một tài khoản có thể reset mật khẩu cho người dùng, cho phép tạo
ra các tài khoản người dùng trên OU Phong ke toan)
Bước 1: Click chuột phải vào tài khoản người dùng, chọn move, chuyển tài khoản người dùng đó vào OU cần quản lý
Trang 13 Bước 2: Click chuột phải vào OU Phòng kế toán và chọn Delegate Control
Trang 14 Bước 3: Hộp thoại Delegation of control wizard hiển thị, kích next để tiếp tục
Trang 17 Nhấp Next làm xuất hiện màn hình Tasks To Delegate và trong màn hình Tasks
To Delegate đánh dấu chọn vào m:ục Delegate the Following common tasks
Bước 5: Trong hộp thoại này ta có thể thiết lập các nhiệm vụ theo yêu cầu đưa ra
Trang 18 Nhấp chọn một nhiệm vụ muốn ủy quyền sau đó nhấp next để tiếp tục
Bước 5 : Nhấp Finish để hoàn tất quá trình