63 O O U U – – D D E E L L E E G G A A T T E E C C O O N N T T R R O O L L I. Tạo OU (Oganization Unit) B1: Log on Administrator → Start → Programs → Administrative Tools → Active Directory Users and Computers → Click chuột phải trên “domXX.com” → Properties → New → Organizational Unit Trong cửa sổ New Object – Organizational Unit → Trong ô Name: gõ NHATNGHE → OK B2: Click chuột phải trên OU NHATNGHE → New → Organizational Unit → Trong cửa sổ New Object – Organizational Unit → Trong ô Name: gõ Ketoan → OK B3: Click chuột phải trên OU NHATNGHE → New → Organizational Unit → Trong cửa sổ New Object – Organizational Unit → Trong ô Name: gõ Nhansu → OK B4: Click chuột phải trên OU Ketoan → New → User → trong cửa sổ New Object –User → Trong ô First name và ô Fullname điền KT1 → Trong ô User logon name và ô User logon name (pre- Windows 2000) điền KT1 → Next → Trong ô Password và ô Confirm password điền P@ssword → bỏ dấu chọn tại User must change password at next logon → Next → Finish 64 B5: Trong OU Ketoan tạo user KT2 (Tương tự như B4) B6: Click chuột phải trên OU Nhansu → New User → trong cửa sổ New Object –User → Trong ô First name và ô Fullname điền NS1 → Trong ô User logon name và ô User logon name (pre-Windows 2000) điền NS1 → Next → Trong ô Password và ô Confirm password điền P@ssword → bỏ dấu chọn tại User must change password at next logon → Next → Finish B7: Trong OU Ketoan tạo user NS2 (Tương tự như B6) II. DelegateControl Mục đích: Trong mô hình OU này ta phân quyền như sau: - User KT1 có quyền quản lý user accounts trong OU Ketoan - User NS1 có quyền quản lý users accounts và Groups trong OU Nhansu - User Giamdoc có quyền quản lý OU NHATNGHE, Ketoan, Nhansu Chuẩn bị: Cho group Users có quyền Allow log on locally - Logon Administrator → Start → Programs → Administrative Tools → Domain Controller Security Policy → Local Policies → User Rights Assignment → Click chuột phải trên Allow log on locally → Properties → Add User or Group… → Browse… → gõ Users → Check Names → OK → OK - Đóng các cửa sổ đang có → Start → Run → gõ cmd → trong cửa sổ command line gõ gpupdate /force 65 1. Phân quyền cho user “KT1” quản lý các user accounts trong OU “Ketoan” B1: Logon Administrator → Start → Programs → Administrative Tools → AD → Click chuột phải trên OU Ketoan → chọn Delegate Control… → Trong cửa sổ Wellcome chọn Next → Trong cửa sổ Users or Group chọn Add → gõ “KT1” → Check Names → Next → trong cửa sổ Tasks to Delegate → đánh dấu chọn vào ô Delegate the following common tasks → đánh dấu chọn vào ô Create, delete, and manage user accounts → Next → Finish B2: Logoff Administrator → Log on KT1 → Start → Programs → Administrative Tools → AD → Click chuột phải trên OU Ketoan → New → User Lưu ý: KT1 chỉ có quyền tạo User → Trong cửa sổ New Object – User → tạo user KT3 → Next → Trong ô Password và ô Confirm password điền P@ssword → bỏ dấu chọn tại User must change password at next logon → Next → Finish B3: Click chuột phải trên user KT2 chọn Reset Password… → tạo password mới cho KT2 → OK B4: Click chuột phải trên user KT2 chọn Delete → Yes 66 2. Phân quyền cho user “NS1” quản lý các users accounts các groups trong OU “Nhansu” B1: Logon Administrator → Start → Programs → Administrative Tools → AD → Click chuột phải trên OU Nhansu → chọn Delegate Control… → Trong cửa sổ Wellcome chọn Next → Trong cửa sổ Users or Group chọn Add → gõ “NS1” → Check Names → Next → trong cửa sổ Tasks to Delegate → đánh dấu chọn vào ô Delegate the following common tasks → đánh dấu chọn vào ô Create, delete, and manage user accounts và ô Create, delete, and manage groups → Next → Finish B2: Logoff Administrator → Log on KT1 → Start → Programs → Administrative Tools → AD → Click chuột phải trên OU Ketoan → New → Group Lưu ý: NS1 có quyền tạo User và Group Trong cửa sổ New Object – Group tạo group “Nhansu” → trong Group scope chọn Global → trong Group type chọn Security → OK 67 B3: Click chuột phải trên group Nhansu → Properties → trong Properties chọn tab Member → Add… → trong hộp thoại Select Users, Contacts, or Computers gõ “NS2” → Check Names → OK → OK B4: Click chuột phải trên group Nhansu chọn Delete → Yes → Click chuột phải trên OU Ketoan Lưu ý: user NS1 không có quyền trên OU Ketoan) 3. Cho user “Giamdoc” quyền Full Control trên các OU “NHATNGHE, Ketoan, Nhansu” B1: Logon Administrator → Start → Programs → Administrative Tools → AD → Click chuột phải trên OU NHATNGHE → chọn Delegate Control… → Trong cửa sổ Wellcome chọn Next → Trong cửa sổ Users or Group chọn Add → gõ “Giamdoc” → Check Names → Next → → trong hộp thoại Tasks to Delegate chọn đánh dấu chọn vào ô Create a custom task to delegate → Next → 68 Trong hộp thoại Active Directory Object Type → chọn ô This forder, existing objects in this folder, and creation of new objects in this folder → Next Trong hộp thoại Permissions → đánh dấu vào ô General → ô Property-specific, ô Creation/deletion of specific child objects → đánh dấu vào ô Full Control → Next Finish B2: Logoff Administrator → Log on Giamdoc → Start → Programs → Administrative Tools → AD → Click chuột phải trên OU NHATNGHE → New → User → Tạo user “U1” (tương tự như các bước của phần trên) Lưu ý: User Giamdoc có toàn quyền trên OU NHATNGHE B3: Click chuột phải trên OU Ketoan → New → Group → Tạo group “G1” (Tương tự như các bước phần trên) → Click chuột phải trên user KT1 chọn Reset Password → Đổi password cho KT1 Lưu ý: User Giamdoc có toàn quyền trên OU Ketoan 69 B4: Vào menu View chọn Advanced Features B5: Click chuột phải trên OU Nhansu → Properties → chọn tab Security → chọn user Giamdoc Lưu ý: User Giamdoc có toàn quyền trên OU Nhansu . quản lý user accounts trong OU Ketoan - User NS1 có quyền quản lý users accounts và Groups trong OU Nhansu - User Giamdoc có quyền quản lý OU NHATNGHE, Ketoan,. chuột phải trên OU Ketoan → New → Group Lưu ý: NS1 có quyền tạo User và Group Trong cửa sổ New Object – Group tạo group “Nhansu” → trong Group scope chọn