Bài ACTIVE DIRECTORY Tóm tắt Lý thuyết tiết - Thực hành tiết Mục tiêu Kết thúc học cung cấp học viên kiến thức hệ thống Active Directory Windows Server 2003, cách tổ chức, nâng cấp để tạo thành Domain Controller … Các mục I Các mơ hình mạng mơi trường Microsoft II Active Directory III Cài đặt cấu hình Active Directory Bài tập bắt buộc Bài tập làm thêm Dựa vào tập môn Quản trị Windows Server 2003 Dựa vào tập môn Quản Windows trị Server 2003 230  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   I CÁC MƠ HÌNH MẠNG TRONG MƠI TRƯỜNG MICROSOFT I.1 Mơ hình Workgroup Mơ hình mạng workgroup cịn gọi mơ hình mạng peer-to-peer, mơ hình mà máy tính có vai trị nối kết với Các liệu tài nguyên lưu trữ phân tán máy cục bộ, máy tự quản lý tài nguyên cục Trong hệ thống mạng khơng có máy tính chun cung cấp dịch vụ quản lý hệ thống mạng Mơ hình phù hợp với mạng nhỏ, mười máy tính u cầu bảo mật khơng cao Đồng thời mơ hình mạng máy tính sử dụng hệ điều hành hỗ trợ đa người dùng lưu trữ thông tin người dùng tập tin SAM (Security Accounts Manager) máy tính cục Thơng tin bao gồm: username (tên đăng nhập), fullname, password, description… Tất nhiên tập tin SAM mã hóa nhằm tránh người dùng khác ăn cấp mật để cơng vào máy tính Do thơng tin người dùng lưu trữ cục máy trạm nên việc chứng thực người dùng đăng nhập máy tính máy tính tự chứng thực I.2 Mơ hình Domain Khác với mơ hình Workgroup, mơ hình Domain hoạt động theo chế client-server, hệ thống mạng phải có máy tính làm chức điều khiển vùng (Domain Controller), máy tính điều khiển toàn hoạt động hệ thống mạng Việc chứng thực người dùng quản lý tài nguyên mạng tập trung lại Server miền Mô hình áp dụng cho cơng ty vừa lớn Trong mơ hình Domain Windows Server 2003 thơng tin người dùng tập trung lại dịch vụ Active Directory quản lý lưu trữ máy tính điều khiển vùng (domain controller) với tên tập tin NTDS.DIT Tập tin sở liệu xây dựng theo công nghệ tương tự phần mềm Access Microsoft nên lưu trữ hàng triệu người dùng, cải tiến so với công nghệ cũ lưu trữ khoảng nghìn tài khoản người dùng Do thơng tin người dùng lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng tập trung máy điều khiển vùng chứng thực 231  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   Hình 2.1: bước chứng thực người dùng đăng nhập II ACTIVE DIRECTORY II.1 Giới thiệu Active Directory Có thể so sánh Active Directory với LANManager Windows NT 4.0 Về bản, Active Directory sở liệu tài nguyên mạng (còn gọi đối tượng) thông tin liên quan đến đối tượng Tuy vậy, Active Directory khơng phải khái niệm Novell sử dụng dịch vụ thư mục (directory service) nhiều năm Mặc dù Windows NT 4.0 hệ điều hành mạng tốt, hệ điều hành lại khơng thích hợp hệ thống mạng tầm cỡ xí nghiệp Đối với hệ thống mạng nhỏ, công cụ Network Neighborhood tiện dụng, dùng hệ thống mạng lớn, việc duyệt tìm kiếm mạng ác mộng (và tệ bạn xác tên máy in Server gì) Hơn nữa, để quản lý hệ thống mạng lớn vậy, bạn thường phải phân chia thành nhiều domain thiết lập mối quan hệ uỷ quyền thích hợp Active Directory giải vấn đề cung cấp mức độ ứng dụng cho mơi trường xí nghiệp Lúc này, dịch vụ thư mục domain lưu trữ mười triệu đối tượng, đủ để phục vụ mười triệu người dùng domain II.2 Chức Active Directory - Lưu giữ danh sách tập trung tên tài khoản người dùng, mật tương ứng tài khoản máy tính - Cung cấp Server đóng vai trị chứng thực (authentication server) Server quản lý đăng nhập (logon Server), Server gọi domain controller (máy điều khiển vùng) - Duy trì bảng hướng dẫn bảng mục (index) giúp máy tính mạng dị tìm nhanh tài ngun máy tính khác vùng Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   232  - Cho phép tạo tài khoản người dùng với mức độ quyền (rights) khác như: toàn quyền hệ thống mạng, có quyền backup liệu hay shutdown Server từ xa… - Cho phép chia nhỏ miền thành miền (subdomain) hay đơn vị tổ chức OU (Organizational Unit) Sau ủy quyền cho quản trị viên phận quản lý phận nhỏ II.3 Directory Services II.3.1 Giới thiệu Directory Services Directory Services (dịch vụ danh bạ) hệ thống thông tin chứa NTDS.DIT chương trình quản lý, khai thác tập tin Dịch vụ danh bạ dịch vụ sở làm tảng để hình thành hệ thống Active Directory Một hệ thống với tính vượt trội Microsoft II.3.2 Các thành phần Directory Services Đầu tiên, bạn phải biết thành phần cấu tạo nên dịch vụ danh bạ gì? Bạn so sánh dịch vụ danh bạ với sổ lưu số điện thoại Cả hai chứa danh sách nhiều đối tượng khác thông tin thuộc tính liên quan đến đối tượng a Object (đối tượng) Trong hệ thống sở liệu, đối tượng bao gồm máy in, người dùng mạng, server, máy trạm, thư mục dùng chung, dịch vụ mạng, … Đối tượng thành tố dịch vụ danh bạ b Attribute (thuộc tính) Một thuộc tính mơ tả đối tượng Ví dụ, mật tên thuộc tính đối tượng người dùng mạng Các đối tượng khác có danh sách thuộc tính khác nhau, nhiên, đối tượng khác có số thuộc tính giống Lấy ví dụ máy in máy trạm hai có thuộc tính địa IP c Schema (cấu trúc tổ chức) Một schema định nghĩa danh sách thuộc tính dùng để mơ tả loại đối tượng Ví dụ, cho tất đối tượng máy in định nghĩa thuộc tính tên, loại PDL tốc độ Danh sách đối tượng hình thành nên schema cho lớp đối tượng “máy in” Schema có đặc tính tuỳ biến được, nghĩa thuộc tính dùng để định nghĩa lớp đối tượng sửa đổi Nói tóm lại Schema xem danh bạ danh bạ Active Directory d Container (vật chứa) Vật chứa tương tự với khái niệm thư mục Windows Một thư mục chứa tập tin thư mục khác Trong Active Directory, vật chứa chứa đối tượng vật chứa khác Vật chứa có thuộc tính đối tượng vật chứa thực thể thật đối tượng Có ba loại vật chứa là: - Domain: khái niệm trình bày chi tiết phần sau - Site: site vị trí Site dùng để phân biệt vị trí cục vị trí xa xơi Ví dụ, cơng ty XYZ có tổng hành dinh đặt San Fransisco, chi nhánh đặt Denver văn Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   233  phòng đại diện đặt Portland kết nối tổng hành dinh Dialup Networking Như hệ thống mạng có ba site - e OU (Organizational Unit): loại vật chứa mà bạn đưa vào người dùng, nhóm, máy tính OU khác Một OU khơng thể chứa đối tượng nằm domain khác Nhờ việc OU chứa OU khác, bạn xây dựng mơ hình thứ bậc vật chứa để mơ hình hố cấu trúc tổ chức bên domain Bạn nên sử dụng OU để giảm thiểu số lượng domain cần phải thiết lập hệ thống Global Catalog - Dịch vụ Global Catalog dùng để xác định vị trí đối tượng mà người dùng cấp quyền truy cập Việc tìm kiếm thực xa có Windows NT khơng định vị đối tượng tên mà thuộc tính đối tượng - Giả sử bạn phải in tài liệu dày 50 trang thành 1000 bản, chắn bạn không dùng máy in HP Laserjet 4L Bạn phải tìm máy in chuyên dụng, in với tốc độ 100ppm có khả đóng tài liệu thành Nhờ Global Catalog, bạn tìm kiếm mạng máy in với thuộc tính tìm thấy máy Xerox Docutech 6135 Bạn cài đặt driver cho máy in gửi print job đến máy in Nhưng bạn Portland máy in Seattle sao? Global Catalog cung cấp thơng tin bạn gửi email cho chủ nhân máy in, nhờ họ in giùm - Một ví dụ khác, giả sử bạn nhận thư thoại từ người tên Betty Doe phận kế tốn Đoạn thư thoại ta bị cắt xén bạn biết số điện thoại ta Bạn dùng Global Catalog để tìm thơng tin ta nhờ tên, nhờ bạn có số điện thoại ta - Khi đối tượng tạo Active Directory, đối tượng gán số phân biệt gọi GUID (Global Unique Identifier) GUID đối tượng ln ln cố định cho dù bạn có di chuyển đối tượng đến khu vực khác II.4 Kiến trúc Active Directory 234  Hình 2.2: kiến trúc Active Directory Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   II.4.1 Objects Trước tìm hiểu khái niệm Object, phải tìm hiểu trước hai khái niệm Object classes Attributes Object classes thiết kế mẫu hay khuôn mẫu cho loại đối tượng mà bạn tạo Active Directory Có ba loại object classes thông dụng là: User, Computer, Printer Khái niệm thứ hai Attributes, định nghĩa tập giá trị phù hợp kết hợp với đối tượng cụ thể Như Object đối tượng định nghĩa giá trị gán cho thuộc tính object classes Ví dụ hình sau minh họa hai đối tượng là: máy in ColorPrinter1 người dùng KimYoshida II.4.2 Organizational Units Organizational Unit hay OU đơn vị nhỏ hệ thống AD, xem vật chứa đối tượng (Object) dùng để xếp đối tượng khác phục vụ cho mục đích quản trị bạn OU thiết lập dựa subnet IP định nghĩa “một nhiều subnet kết nối tốt với nhau” Việc sử dụng OU có hai cơng dụng sau: - Trao quyền kiếm soát tập hợp tài khoản người dùng, máy tính hay thiết bị mạng cho nhóm người hay phụ tá quản trị viên (sub-administrator), từ giảm bớt cơng tác quản trị cho người quản trị tồn hệ thống - Kiểm sốt khóa bớt số chức máy trạm người dùng OU thông qua việc sử dụng đối tượng sách nhóm (GPO), sách nhóm tìm hiểu chương sau 235  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   II.4.3 Domain Domain đơn vị chức nòng cốt cấu trúc logic Active Directory Nó phương tiện để qui định tập hợp người dùng, máy tính, tài ngun chia sẻ có qui tắc bảo mật giống từ giúp cho việc quản lý truy cập vào Server dễ dàng Domain đáp ứng ba chức sau: - Đóng vai trò khu vực quản trị (administrative boundary) đối tượng, tập hợp định nghĩa quản trị cho đối tượng chia sẻ như: có chung sở liệu thư mục, sách bảo mật, quan hệ ủy quyền với domain khác - Giúp quản lý bảo mật các tài nguyên chia sẻ - Cung cấp Server dự phòng làm chức điều khiển vùng (domain controller), đồng thời đảm bảo thông tin Server được đồng với 236  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   II.4.4 Domain Tree Domain Tree cấu trúc bao gồm nhiều domain xếp có cấp bậc theo cấu trúc hình Domain tạo gọi domain root nằm gốc thư mục Tất domain tạo sau nằm bên domain root gọi domain (child domain) Tên domain phải khác biệt Khi domain root domain tạo hình thành domain Khái niệm bạn thường nghe thấy làm việc với dịch vụ thư mục Bạn thấy cấu trúc có hình dáng có nhiều nhánh xuất II.4.5 Forest Forest (rừng) xây dựng nhiều Domain Tree, nói cách khác Forest tập hợp Domain Tree có thiết lập quan hệ ủy quyền cho Ví dụ giả sử cơng ty đó, chẳng hạn Microsoft, thu mua công ty khác Thông thường, công ty có hệ thống Domain Tree riêng để tiện quản lý, hợp với khái niệm rừng 237  Trong ví dụ trên, công ty mcmcse.com thu mua techtutorials.com xyzabc.com hình thành rừng từ gốc mcmcse.com Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   III CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY III.1 Nâng cấp Server thành Domain Controller III.1.1 Giới thiệu Một khái niệm không thay đổi từ Windows NT 4.0 domain Một domain trung tâm mạng Windows 2000 Windows 2003, nhiên lại thiết lập khác Các máy điều khiển vùng (domain controller – DC) khơng cịn phân biệt PDC (Primary Domain Controller) BDC (Backup Domain Controller) Bây giờ, đơn giản DC Theo mặc định, tất máy Windows Server 2003 cài đặt Server độc lập (standalone server) Chương trình DCPROMO Active Directory Installation Wizard dùng để nâng cấp máy DC (Server Stand-alone) thành máy DC ngược lại giáng cấp máy DC thành Server bình thường Chú ý Windows Server 2003 bạn đổi tên máy tính nâng cấp thành DC Trước nâng cấp Server thành Domain Controller, bạn cần khai báo đầy đủ thông số TCP/IP, đặc biệt phải khai báo DNS Server có địa địa IP Server cần nâng cấp Nếu bạn có khả cấu hình dịch vụ DNS bạn nên cài đặt dịch vụ trước nâng cấp Server, cịn ngược lại bạn chọn cài đặt DNS tự động trình nâng cấp Có hai cách để bạn chạy chương trình Active Directory Installation Wizard: bạn dùng tiện ích Manage Your Server Administrative Tools nhấp chuột vào Start Run, gõ lệnh DCPROMO III.1.2 Các bước cài đặt Chọn menu Start Run, nhập DCPROMO hộp thoại Run, nhấn nút OK Khi hộp thoại Active Directory Installation Wizard xuất Bạn nhấn Next để tiếp tục 238  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   Chương trình xuất hộp thoại cảnh báo: DOS, Windows 95 WinNT SP3 trở trước bị loại khỏi miền Active Directory dựa Windows Server 2003 Bạn chọn Next để tiếp tục Trong hộp thoại Domain Controller Type, chọn mục Domain Controller for a New Domain nhấn chọn Next (Nếu bạn muốn bổ sung máy điều khiển vùng vào domain có sẵn, bạn chọn Additional domain cotroller for an existing domain.) 239  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   Sau trình cài đặt kết thúc, hộp thoại Completing the Active Directory Installation Wizard xuất Bạn nhấn chọn Finish để kết thúc Cuối cùng, bạn yêu cầu phải khởi động lại máy thơng tin cài đặt bắt đầu có hiệu lực Bạn nhấn chọn nút Restart Now để khởi động lại Quá trình thăng cấp kết thúc III.2 Gia nhập máy trạm vào Domain III.2.1 Giới thiệu Một máy trạm gia nhập vào domain thực việc tạo mối quan hệ tin cậy (trust relationship) máy trạm với máy Domain Controller vùng Sau thiết lập quan hệ tin cậy việc chứng thực người dùng logon vào mạng máy trạm máy điều khiển vùng đảm nhiệm Nhưng ý việc gia nhập máy trạm vào miền phải có đồng ý người quản trị mạng cấp miền quản trị viên cục máy trạm Nói cách khác bạn muốn gia nhập máy trạm vào miền, bạn phải đăng nhập cục vào máy trạm với vai trò administrator, sau gia nhập vào miền, hệ thống yêu cầu bạn xác thực tài khoản người dùng cấp miền có quyền Add Workstation to Domain (bạn dùng trực tiếp tài khoản administrator cấp miền) Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   245  III.2.2 Các bước cài đặt Đăng nhập cục vào máy trạm với vai trị người quản trị (có thể dùng trực tiếp tài khoản administrator) Nhấp phải chuột biểu tượng My Computer, chọn Properties, hộp thoại System Properties xuất hiện, Tab Computer Name, bạn nhấp chuột vào nút Change Hộp thoại nhập liệu xuất bạn nhập tên miền mạng cần gia nhập vào mục Member of Domain Máy trạm dựa tên miền mà bạn khai báo để tìm đến Domain Controller gần xin gia nhập vào mạng, Server yêu cầu bạn xác thực với tài khoản người dùng cấp miền có quyền quản trị Sau xác thực xác hệ thống chấp nhận máy trạm gia nhập vào miền hệ thống xuất thơng báo thành cơng yêu cầu bạn reboot máy lại để đăng nhập vào mạng Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   246  Đến đây, bạn thấy hộp thoại Log on to Windows mà bạn dùng ngày có vài điều khác, xuất thêm mục Log on to, cho phép bạn chọn hai phần là: NETCLASS, This Computer Bạn chọn mục NETCLASS bạn muốn đăng nhập vào miền, nhớ lúc bạn phải dùng tài khoản người dùng cấp miền Bạn chọn mục This Computer bạn muốn logon cục vào máy trạm nhớ dùng tài khoản cục máy III.3 Xây dựng Domain Controller đồng hành III.3.1 Giới thiệu Domain Controller máy tính điều khiển hoạt động mạng máy có cố tồn hệ thống mạng bị tê liệt Do tính quan trọng nên hệ thống mạng thơng thường phải xây dựng hai máy tính Domain Controller Như trình bày Windows Server 2003 khơng cịn phân biệt máy Primary Domain Controller Backup Domain Controller nữa, mà xem hai máy có vai trị ngang nhau, tham gia chứng thực người dùng Như biết, công việc chứng thực đăng nhập thường thực vào đầu buổi làm việc, mạng bạn có máy điều khiển dùng 10.000 nhân viên chuyện xẩy vào buổi sáng? Để giải trường hợp trên, Microsoft cho phép máy điều khiển vùng mạng hoạt động đông thời, chia sẻ công việc nhau, có máy bị cố máy cịn lại đảm nhiệm ln cơng việc máy Do tài liệu chúng tơi gọi máy máy điều khiển vùng đồng hành Nhưng khảo sát sâu Active Directory máy điều khiển vùng tạo có vai trị đặc biệt FSMO (flexible single master of operations) Chú ý để đảm bảo máy điều khiển vùng hoạt động xác chúng phải liên lạc trao đổi thông tin với có thay đổi thơng tin người dùng như: tạo tài khoản, đổi mật khẩu, xóa tài khoản Việc trao đổi thông tin gọi Active Directory Replication Đặc biệt server Active Directory cho phép nén liệu trước gởi đến server khác, tỉ lệ nén đến 10:1, đo chúng truyền đường truyền WAN chậm chạp Trong hệ thống mạng máy tính tất máy điều khiển vùng Windows Server 2003 nên chuyển miền mạng sang cấp độ hoạt động Windows Server 2003 (Windows Server 2003 functional level) để khai thác hết tính Active Directory III.3.2 Các bước cài đặt Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   247  Chọn menu Start Run, nhập DCPROMO hộp thoại Run, nhấn nút OK 248  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   Khi hộp thoại Active Directory Installation Wizard xuất Bạn nhấn Next để tiếp tục Chương trình xuất hộp thoại cảnh báo: DOS, Windows 95 WinNT SP3 trở trước bị loại khỏi miền Active Directory dựa Windows Server 2003 Bạn chọn Next để tiếp tục Trong hộp thoại Domain Controller Type, chọn mục Additional domain cotroller for an existing domain nhấn chọn Next, muốn bổ sung thêm máy điều khiển vùng vào domain có sẵn 249  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   Tiếp theo hệ thống yêu cầu bạn xác thực bạn phải người quản trị cấp miền có quyền tạo Domain Controller Bạn nhập tài khoản người dùng có quyền quản trị vào hộp thoại Chương trình yêu cầu bạn nhập Full DNS Name miền mà bạn cần tạo thêm Domain Controller 250  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   Tương tự trình nâng cấp Server thành Domain Controller trình bày trên, bước định thư mục chứa sở liệu Active Directory, Transaction Log thư mục Sysvol Hộp thoại Summary xuất hiện, trình bày tất thơng tin bạn chọn Nếu tất xác, bạn nhấn Next để bắt đầu thực trình cài đặt, có thơng tin khơng xác bạn chọn Back để quay lại bước trước Đến hệ thống xây dựng Domain Controller đồng liệu Active Directory hai Domain Controller 251  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   Sau trình cài đặt kết thúc, hộp thoại Completing the Active Directory Installation Wizard xuất Bạn nhấn chọn Finish để kết thúc Cuối cùng, bạn yêu cầu phải khởi động lại máy thơng tin cài đặt bắt đầu có hiệu lực Bạn nhấn chọn nút Restart Now để khởi động lại Quá trình xây dựng thêm Domain Controller đồng hành hoàn tất III.4 Xây dựng Subdomain Sau bạn xây dựng Domain Controller quản lý miền, lúc Domain Controller gốc rừng Domain Tree đầu tiên, từ bạn tạo thêm subdomain cho hệ thống Để tạo thêm Domain Controller cho subdomain bạn làm bước sau: Tại member server, bạn chạy chương trình Active Directory Installation Wizard, bước đầu bạn chọn tương tự phần nâng cấp phía Trong hộp thoại Domain Controller Type, chọn mục Domain Controller for a New Domain nhấn chọn Next (Nếu bạn muốn bổ sung máy điều khiển vùng vào domain có sẵn, bạn chọn Additional domain cotroller for an existing domain.) Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   252  Đến chương trình cho phép bạn chọn ba lựa chọn sau: chọn Domain in new forest bạn muốn tạo domain rừng mới, chọn Child domain in an existing domain tree bạn muốn tạo domain dựa domain có sẵn, chọn Domain tree in an existing forest bạn muốn tạo domain rừng có sẵn Trong trường hợp bạn cần tạo Domain Controller cho Child domain, nên bạn đánh dấu vào mục lựa chọn thứ hai Để tạo child domain domain tree có sẵn, hệ thống yêu cầu bạn phải xác nhận bạn người quản trị cấp domain tree Trong hộp thoại bạn nhập tài khoản mật người quản trị cấp rừng tên domain tree 253  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   Tiếp theo bạn nhập tên domain tree có tên child domain cần tạo Các trình tương tự trình tạo Domain Controller phần Cuối bạn kiểm tra DNS hệ thống Server quản lý gốc rừng có tạo thêm child domain khơng, đồng thời bạn cấu hinh thêm chi dịch vụ DNS nhằm phục vụ tốt cho hệ thống 254  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   III.5 Xây dựng Organizational Unit Như trình bày phần lý thuyết OU nhóm tài khoản người dùng, máy tính tài nguyên mạng tạo nhằm mục đích dễ dàng quản lý ủy quyền cho quản trị viên địa phương giải công việc đơn giản Đặc biệt thông qua OU áp đặt giới hạn phần mềm giới hạn phần cứng thông qua Group Policy Muốn xây dựng OU bạn làm theo bước sau: Chọn menu Start Programs Administrative Tools mở chương trình Active Directory User and Computer Active Directory User and Computer, để Chương trình mở ra, bạn nhấp phải chuột tên miền chọn New-Organizational Unit Hộp thoại xuất hiện, yêu cầu nhập tên OU cần tạo, ví dụ OU cần tạo có tên HocVien Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   255  Đưa máy trạm gia nhập nhập mạng cần quản lý vào OU vừa tạo Tiếp theo bạn đưa tài khoản người dùng cần quản lý vào OU vừa tạo 256  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   Sau đưa máy tính tài khoản người dùng vào OU, bước bạn người nhóm quản lý OU Bạn nhấp phải chuột vào OU vừa tạo, chọn Properties, hộp thoại xuất hiện, Tab Managed By, bạn nhấp chuột vào nút Change để chọn người dùng quản lý OU này, ví dụ chọn tài khoản Thanh quản lý OU Bước cuối quan trọng, tìm hiểu chi tiết chương Group Policy, thiết lập Group Policy áp dụng cho OU Bạn vào Tab Group Policy, nhấp chuột vào nút New để tạo GPO, sau nhấp chuột vào nút Edit để hiệu chỉnh sách Trong ví dụ tạo sách cấm khơng cho phép dùng ổ đĩa CD-ROM áp dụng cho tất người dùng OU Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   257  III.6 Công cụ quản trị đối tượng Active Directory Một bốn công cụ quản trị hệ thống Active Directory cơng cụ Active Directory User and Computer công cụ quan trọng gặp lại nhiều trong giáo trình này, bước ta khảo sát hết tính cơng cụ Cơng cụ có chức tạo quản lý đối tượng hệ thống Active Directory Theo hình thấy miền netclass.edu.vn có mục sau: - Builtin: chứa nhóm người dùng tạo định nghĩa quyền sẵn - Computers: chứa máy trạm mặc định thành viên miền Bạn dùng tính để kiểm tra máy trạm gia nhập vào miền có thành cơng khơng - Domain Controllers: chứa điều khiển vùng (Domain Controller) hoạt động miền Bạn dùng tính để kiểm tra việc tạo thêm Domain Controller đồng hành có thành cơng khơng - ForeignSecurityPrincipals: vật chứa mặc định dành cho đối tượng bên miền xem xét, từ miền thiết lập quan hệ tin cậy (trusted domain) - Users: chứa tài khoản người dùng mặc định miền Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net   258  259  Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net