Embed Size (px)
Citation preview
Ngô Văn CôngNgô Văn Công
QUẢN LÝ USER VÀ GROUP
Mục đíchMục đích Quản trị Users và Groups trong WorkgroupQuản trị Users và Groups trong Workgroup Quản trị Users và Groups trong DomainQuản trị Users và Groups trong Domain
Quản trị Users, Groups trong Quản trị Users, Groups trong WorkgroupWorkgroup
Khái niệm Users và GroupsKhái niệm Users và Groups Quản trị UsersQuản trị Users Quản trị GroupsQuản trị Groups
Khái niệm UsersKhái niệm Users User Accounts:Tài khoản người dùngUser Accounts:Tài khoản người dùng
Cho phép user logon trên mạng hay máy Cho phép user logon trên mạng hay máy tính cục bộtính cục bộ
Cho phép truy suất tài nguyên mạng hay Cho phép truy suất tài nguyên mạng hay cục bộcục bộ
User name và passwordUser name và password Quy ước đặt tên:20 ký tự hoa hoặc thường, Quy ước đặt tên:20 ký tự hoa hoặc thường,
kt sốkt số Password:8-128 ký tựPassword:8-128 ký tự
User có sẵn(Built in user)User có sẵn(Built in user) Administrator AccountAdministrator Account
Truy suất tất cả các tài Truy suất tất cả các tài nguyên mạngnguyên mạng
Toàn quyền trên Toàn quyền trên domaindomain
Guest AccountGuest Account Truy suất tạm thời tài Truy suất tạm thời tài
nguyênnguyên Mặc nhiên DisenabledMặc nhiên Disenabled
Group AccountGroup Account Tập hợp những tài khoản người dùng(User), giúp Tập hợp những tài khoản người dùng(User), giúp
phân quyền truy xuất tài nguyên cho nhiều users phân quyền truy xuất tài nguyên cho nhiều users cùng lúccùng lúc
(tt)(tt) User có thể là thành viên của nhiều groupsUser có thể là thành viên của nhiều groups
Tạo AccountTạo Account
(tt)(tt) Hiệu chỉnh UserHiệu chỉnh User
Xóa tài khoảnXóa tài khoản
Khóa tài khoảnKhóa tài khoản
Groups trong workgroupGroups trong workgroup Không là thành viên của group khácKhông là thành viên của group khác Thành viên chỉ là users cục bộThành viên chỉ là users cục bộ Chỉ được truy xuất tài nguyên trên máy tạo raChỉ được truy xuất tài nguyên trên máy tạo ra
Quản trị groupsQuản trị groups Built-in local groupBuilt-in local group
Administrators:Quản Administrators:Quản trị toàn hệ thốngtrị toàn hệ thống
Users:Tài khoản Users:Tài khoản người dùngngười dùng
Backup Operations: Backup Operations: Sao lưu và phục hồi Sao lưu và phục hồi dữ liệudữ liệu
Guests: Truy xuất tài Guests: Truy xuất tài nguyên tạm thờinguyên tạm thời
Power Users: Tạo, Power Users: Tạo, hiệu chỉnh Userhiệu chỉnh User
Quản trị groupsQuản trị groups
Quản trị groupsQuản trị groups
Đăng nhập máy cục bộĐăng nhập máy cục bộ
Hộp thoại logon vao local Hộp thoại logon vao local computercomputer
Quản lý Users và Groups Quản lý Users và Groups Trong DomainTrong Domain
Tài khoản Users và Groups tạo ra nhằm Tài khoản Users và Groups tạo ra nhằm cho phép truy xuất tài nguyên trong cho phép truy xuất tài nguyên trong Domain.Domain.
Tài khoản users trong domainTài khoản users trong domain Tài khoản chính là tên logon vào domain(logon Tài khoản chính là tên logon vào domain(logon
name) và truy xuất tài nguyênname) và truy xuất tài nguyên User Principal Name(UPN)User Principal Name(UPN)
Security Principal Name(SPN), Suffix DNSSecurity Principal Name(SPN), Suffix DNS @ Symbol@ Symbol Ví dụ: [email protected]í dụ: [email protected]
Các đặc tính tài khoản User Công cụ chính để tạo và quản trị tài khoản là
Active Directory Users and Computers Active Directory dễ mở rộng nên có thể có
các tab được thêm vào các trang đặc tính (property page)
Các đặc tính quan trọng có thể thiết lập gồm: General Address Account Profile
Chứng thực User Tiến trình nhận dạng một user hợp pháp Dùng để chấp nhận hoặc từ chối quyền
truy cập vào tài nguyên mạng Từ 1 hệ điều hành client
Tên, mật khẩu, tài nguyên y/c Trong môi trường Active Directory
Domain controller chứng thực Trong 1 workgroup
SAM cục bộ chứng thực
Tạo tài khoản người dùng cho Tạo tài khoản người dùng cho domain userdomain user
Thiết lập passwordThiết lập password
Thiết lập Home Directory cho Thiết lập Home Directory cho Domain UserDomain User
Để quản trị dữ liệu của Để quản trị dữ liệu của User một cách tập trungUser một cách tập trung
Thực hiệnThực hiện Tạo home directory trên Tạo home directory trên
máy server cho từng usermáy server cho từng user Chia sẻ và thiết lập quyền Chia sẻ và thiết lập quyền
trên home directory ứng trên home directory ứng với mỗi user riêngvới mỗi user riêng
Thiết lập đường dẫn chỉ Thiết lập đường dẫn chỉ đến home directory cho đến home directory cho mỗi user trên servermỗi user trên server
Thiết lập profileThiết lập profile
User Profiles Một tập hợp các thiết lập đặc trưng cho
một user Theo mặc nhiên được lưu giữ cục bộ
Không đi theo user đăng nhập trên các máy tính khác
Có thể tạo 1 roaming profile Đi theo user đăng nhập trên các máy tính
khác Administrator có thể tạo 1 mandatory
profile User không thể thay đổi nó
User Profile Folders and Contents
Local Profiles Các profile mới được tạo từ thư mục
Default User profile User có thể thay đổi local profile và
những thay đổi được lưu giữ lại chỉ cho user đó
Administrator có thể quản lý nhiều phần tử của profile Change Type Delete Copy To
Roaming Profiles Roaming profiles
Cho phép profile lưu trên 1 server trung tâm và đi theo user
Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với thao tác backup)
Thay đổi 1 profile từ local roaming nên cẩn thận sao lưu trước
Các User TemplateCác User Template Một tài khoản user được cấu hình sẵn Một tài khoản user được cấu hình sẵn
với các thiết lập phổ biếnvới các thiết lập phổ biến Có thể được sao chép để tạo các tài Có thể được sao chép để tạo các tài
khoản mớikhoản mới Các tài khoản mới sau đó sẽ được cấu Các tài khoản mới sau đó sẽ được cấu
hình với các thiết lập riênghình với các thiết lập riêng
Kích hoạt và ẩn một tài khoảnKích hoạt và ẩn một tài khoản
Khóa tài khoảnKhóa tài khoảnNgưỡng khóa tài khoảnNgưỡng khóa tài khoản
Số lần đăng nhập lỗiSố lần đăng nhập lỗiNgăn cản hacker có thể Ngăn cản hacker có thể
đoán mật khẩuđoán mật khẩuTài khoản có thể vượt qua số Tài khoản có thể vượt qua số
lần đăng nhập:lần đăng nhập:Tại màn hình đăng nhậpTại màn hình đăng nhậpTại màn hình bảo vệTại màn hình bảo vệTruy cập vào tài nguyên Truy cập vào tài nguyên
của mạngcủa mạng
Tùy chọn cho tài khoảnTùy chọn cho tài khoản
Người dùng không thể đăng nhập vào với account này
Account is disabled
Đặc tảTùy chọn tài khoản
Người dùng không có quyền thay đổi password của họ
User cannot change password
Người dùng phải thay đổi password lần tiếp theo họ đăng nhập
User must change password at next logon
Password người dùng không bao giờ hết hạn
Password never expires
Thiết lập lại password cho Thiết lập lại password cho người dùngngười dùng
Khi người dùng quên mật khẩuKhi người dùng quên mật khẩu
Thiết lập lại accountThiết lập lại account Máy tính không thể truy cập vào miềnMáy tính không thể truy cập vào miền Password cần được đồng bộPassword cần được đồng bộ
Tìm kiếm user, accountTìm kiếm user, account
(tt)(tt)Bộ lọc truy vấn:Bộ lọc truy vấn:
Object typeObject typeLocationLocationGeneral values associated with the General values associated with the
object, such as name and descriptionobject, such as name and description
Các ứng dụng dòng lệnhCác ứng dụng dòng lệnh Một số administrator thích làm việc với Một số administrator thích làm việc với
dòng lệnhdòng lệnh có thể được dùng để tự động tạo hoặc có thể được dùng để tự động tạo hoặc
quản lý các tài khoản rất linh hoạtquản lý các tài khoản rất linh hoạt
DSADDDSADD Cho phép các kiểu đối tượng được thêm Cho phép các kiểu đối tượng được thêm
vào directoryvào directory Các tài khoản Computers, quota, contact, Các tài khoản Computers, quota, contact,
User...User... Cú pháp cho tài khoản user làCú pháp cho tài khoản user là
DSADD USER <tên phân biệt> <các khóa DSADD USER <tên phân biệt> <các khóa chuyển>chuyển>
các khóa chuyển gồm -pwd(password)…các khóa chuyển gồm -pwd(password)… Ví dụVí dụ
dsadd user "cn=guyt, ou=guyds, dc=cp, dc=com"
DSMODDSMOD Cho phép các đối tượng được chỉnh sửa Cho phép các đối tượng được chỉnh sửa
từ dòng lệnhtừ dòng lệnh Các tài khoản Computer, User, Contact, Các tài khoản Computer, User, Contact,
Quota, OUQuota, OU Cú pháp Cú pháp
DSMOD USER <tên phân biệt> <các khóa DSMOD USER <tên phân biệt> <các khóa chuyển>chuyển>
Ví dụ: đổi password của user guytVí dụ: đổi password của user guyt
dsmod user "cn=guyt, ou=guyds, dc=cp, dc=com" -pwd a1yC24kg
DSQUERYDSQUERY Cho phép các kiểu đối tượng được truy Cho phép các kiểu đối tượng được truy
vấn từ dòng lệnhvấn từ dòng lệnh Hỗ trợ dùng ký tự đại diệnHỗ trợ dùng ký tự đại diện Kết xuất có thể điều hướng lại cho lệnh Kết xuất có thể điều hướng lại cho lệnh
kháckhác Ví dụ: Trà về tài khoản có tên cuongVí dụ: Trà về tài khoản có tên cuong
DSQUERY USER -name cuongDSQUERY USER -name cuong
DSMOVEDSMOVE Cho phép các đối tượng được di chiển từ Cho phép các đối tượng được di chiển từ
vị trí hiện hành sang nơi khácvị trí hiện hành sang nơi khác Cho phép nhiều kiểu đối tượng khác nhau Cho phép nhiều kiểu đối tượng khác nhau
được đổi tênđược đổi tên Chỉ cho phép di chuyển trong cùng một Chỉ cho phép di chuyển trong cùng một
miềnmiền Ví dụ: di chuyển một tài khoản user vào Ví dụ: di chuyển một tài khoản user vào
OU "marketing"OU "marketing" dsmove dsmove
"cn=paul,cn=users,dc=test,dc=com“ "cn=paul,cn=users,dc=test,dc=com“ -newparent -newparent “ou=marketing,dc=test,dc=com"“ou=marketing,dc=test,dc=com"
DSRMDSRM Cho phép các đối tượng được xóa từ Cho phép các đối tượng được xóa từ
directorydirectory Có thể xóa từng đối tượng hoặc toàn bộ Có thể xóa từng đối tượng hoặc toàn bộ
câycây Ví dụ: Xóa maketing OU và tất cả đối Ví dụ: Xóa maketing OU và tất cả đối
tượng trong đótượng trong đó dsrm -subtree -noprompt -c dsrm -subtree -noprompt -c
"ou=marketing,dc=test,dc=com""ou=marketing,dc=test,dc=com"
Sự cố với tài khoản user và Sự cố với tài khoản user và các vấn đề chứng thựccác vấn đề chứng thực
Bình thường tạo và cấu hình tài khoản Bình thường tạo và cấu hình tài khoản rất dễ dàngrất dễ dàng
Các vấn đề nếu có thường liên quanCác vấn đề nếu có thường liên quan Cấu hình tài khoảnCấu hình tài khoản Các thiết lập chính sáchCác thiết lập chính sách
Chính sách mật khẩuChính sách mật khẩu Các thiết lập cấu hìnhCác thiết lập cấu hình
Lịch sử và việc sử dụng lại mật khẩuLịch sử và việc sử dụng lại mật khẩu Thời gian tồn tại tối đaThời gian tồn tại tối đa Thời gian tồn tại tối thiểuThời gian tồn tại tối thiểu Độ dài tối thiểuĐộ dài tối thiểu Yêu cầu độ phức tạpYêu cầu độ phức tạp Chính sách mã hóaChính sách mã hóa
Chính sách kiểm toánChính sách kiểm toán Kiểm toán sử kiện tài khoản đăng nhậpKiểm toán sử kiện tài khoản đăng nhập
Cấu hình trong đối tượng group policy liên Cấu hình trong đối tượng group policy liên kết với DC hay OUkết với DC hay OU
Mặc nhiên là chỉ với các đăng nhập Mặc nhiên là chỉ với các đăng nhập thành côngthành công
Sự kiện có thể xem trong báo cáo Sự kiện có thể xem trong báo cáo security Logsecurity Log
Có thể chọn để sửa chữa các đăng nhập Có thể chọn để sửa chữa các đăng nhập lỗilỗi Có ích cho việc giải quyết sự cốCó ích cho việc giải quyết sự cố Các mã cung cấp thông tin về kiểu lỗiCác mã cung cấp thông tin về kiểu lỗi
Giải quyết các sự cố đăng Giải quyết các sự cố đăng nhậpnhập
Một số vấn đề và cách sửaMột số vấn đề và cách sửa Tên user hoặc mật khẩu saiTên user hoặc mật khẩu sai Tài khoản bị khóaTài khoản bị khóa Tại khoản bị cấmTại khoản bị cấm Các giới hạn giờ đăng nhậpCác giới hạn giờ đăng nhập Các giới hạn trạm làm việcCác giới hạn trạm làm việc Domain ControllerDomain Controller
Tài khoản domain groupTài khoản domain group Group là tập hợp nhiều tài khoản user giúp phân Group là tập hợp nhiều tài khoản user giúp phân
quyền truy xuất tài nguyên cho nhiều userquyền truy xuất tài nguyên cho nhiều user
Tài khoản domain groupTài khoản domain group User có thể là thành viên của nhiều group và group User có thể là thành viên của nhiều group và group
cũng có thể là thành viên của nhiều group kháccũng có thể là thành viên của nhiều group khác
Local groupLocal group Tập hợp tài khoản trên 1 máy tínhTập hợp tài khoản trên 1 máy tính Sử dùng local group để phân quyền cho tài Sử dùng local group để phân quyền cho tài
nguyên trên máy tính cục bộnguyên trên máy tính cục bộ Hướng dẫn sử dụng local groupHướng dẫn sử dụng local group
Nên sử dụng local group trên máy mà mình tạoNên sử dụng local group trên máy mà mình tạo Sử dụng local group trên các máy chạy window XP Sử dụng local group trên các máy chạy window XP
hay là máy chủ thanh viên chạy window server hay là máy chủ thanh viên chạy window server 2003. Local group không thể tạo trên máy quản lý 2003. Local group không thể tạo trên máy quản lý miền.miền.
Sử dụng local group cho máy không thuộc domainSử dụng local group cho máy không thuộc domain Thành viên local group chỉ có thể là user của máy Thành viên local group chỉ có thể là user của máy
tính mà bạn tạo local group.tính mà bạn tạo local group.
Tài khoản domain groupTài khoản domain group Tất cả group trong domain phải được tạo trên DCTất cả group trong domain phải được tạo trên DC Thành viên là những group hay là users trong các Thành viên là những group hay là users trong các
domainsdomains
Kiểu group trong domainKiểu group trong domain Group bảo mật(Security Group bảo mật(Security
groups):Có thể ấn định groups):Có thể ấn định quyền truy xuất tài quyền truy xuất tài nguyênnguyên
Group phân Group phân bố(Distribution group): bố(Distribution group): dùng cho các dịch dùng cho các dịch vụ(mail)vụ(mail)
Phạm vi nhómPhạm vi nhóm Group toàn Group toàn
cục(Global group):cục(Global group): Phân quyền truy xuất Phân quyền truy xuất
bất cứ tài nguyên bất cứ tài nguyên nào trong forestnào trong forest
Thành viên chỉ là Thành viên chỉ là những user hay những user hay group từ domain group từ domain được nó tạođược nó tạo
Phạm vi groupPhạm vi group Group cục bộ Group cục bộ
miền(Domain local)miền(Domain local) Có thể truy xuất tài Có thể truy xuất tài
nguyên trong nguyên trong domain tạo ra nódomain tạo ra nó
Thành viên là bất cứ Thành viên là bất cứ domain nào trong domain nào trong forestforest
(tt)(tt) Group đa Group đa
năng(Universal)năng(Universal) Cho phép truy xuất Cho phép truy xuất
đến bất kỳ tài đến bất kỳ tài nguyên nào trong nguyên nào trong forestforest
Thành viên là user, Thành viên là user, group bất kỳ domain group bất kỳ domain nào trong forestnào trong forest
Default GroupDefault Group Có 3 danh mục nhóm mặc địnhCó 3 danh mục nhóm mặc định
Nhóm trong mục Built-inNhóm trong mục Built-in Domain Local GroupDomain Local Group Thường gán tập quyền co sẵn cho người dùng phục vụ Thường gán tập quyền co sẵn cho người dùng phục vụ
mục đích quản trịmục đích quản trị Administrators: Thành viên nhóm này có toàn quyền truy Administrators: Thành viên nhóm này có toàn quyền truy
cập máy tính, DC, và có thể toàn quyền truy cập vào cập máy tính, DC, và có thể toàn quyền truy cập vào domain nếu là thành viên cua Domain Admin Groupdomain nếu là thành viên cua Domain Admin Group
Nhóm trong thư mục usersNhóm trong thư mục users Thường dùng gán quyền cho người chịu trách nhiệm Thường dùng gán quyền cho người chịu trách nhiệm
quản lý miền.quản lý miền. Built-in local groupBuilt-in local group
Các máy server thành viên, máy window XP đều có mục Các máy server thành viên, máy window XP đều có mục nàynày
Cung cấp quyền quản lý trên máy cục bộCung cấp quyền quản lý trên máy cục bộ
Tạo các đối tượng groupTạo các đối tượng group Các đối tượng group lưu trữ trong csdl Các đối tượng group lưu trữ trong csdl
ADAD Nhiều công cụ khác nhau có thể dùng để Nhiều công cụ khác nhau có thể dùng để
tạo và quản lý grouptạo và quản lý group Active Directory User and ComputerActive Directory User and Computer DSADD, DSMOD, DSQUERY….DSADD, DSMOD, DSQUERY….
Active Directory User and Active Directory User and ComputerComputer
Công cụ chínhCông cụ chính Tạo các tài khoản groupTạo các tài khoản group Có thể dùng để cấu hình các thuộc tính của Có thể dùng để cấu hình các thuộc tính của
các tài khoản groupcác tài khoản group Các group có thể tạo trong bất kỳ container Các group có thể tạo trong bất kỳ container
có sẵn nào, tại gốc của đối tượng domain có sẵn nào, tại gốc của đối tượng domain hay trong các OU tùy ýhay trong các OU tùy ý
Phạm vi của group được xác định bằng Phạm vi của group được xác định bằng chức năng của domain được cấu hình như chức năng của domain được cấu hình như thế nàothế nào
Chức năng domain(Domain Chức năng domain(Domain Functional Level)Functional Level)
(tt)(tt)
Nâng cấp chức năng miềnNâng cấp chức năng miền In the console tree, right-click the In the console tree, right-click the
domain for which you want to raise domain for which you want to raise functionality, and then click Raise functionality, and then click Raise Domain Functional Level. Domain Functional Level.
In Select an available domain functional In Select an available domain functional level, do one of the following: level, do one of the following: To raise the domain functional level to To raise the domain functional level to
Windows 2000 native, click Windows 2000 Windows 2000 native, click Windows 2000 native, and then click Raise. native, and then click Raise.
To raise domain functional level to Windows To raise domain functional level to Windows Server 2003, click Windows Server 2003, Server 2003, click Windows Server 2003, and then click Raise. and then click Raise.
Tạo groupTạo group
Thêm thành viênThêm thành viên
DSADD groupDSADD group Dùng tạo tài khoản group mớiDùng tạo tài khoản group mới Cú pháp Cú pháp
dsadd group dn switchesdsadd group dn switches switche gồm -secgrp,-scope, -memberof, switche gồm -secgrp,-scope, -memberof,
-member-member -scope g Global group-scope g Global group -scope L Domain Local group-scope L Domain Local group -secgrp yes Security group (not -secgrp yes Security group (not
distribution)distribution)dsadd group "cn=L Epson, ou=guyds, dc=cp, dc=com" -secgrp yes -scope L
DSMOD groupDSMOD group Sửa đổi các thông tin liên quan đến Sửa đổi các thông tin liên quan đến
nhómnhóm Cú phápCú pháp
dsmod group DN -switchesdsmod group DN -switches switches: -desc,-rmmbr,-addmbrswitches: -desc,-rmmbr,-addmbr
dsmod group "CN=US INFO,OU=Distribution Lists,DC=microsoft,DC=com" -addmbr "CN=John Smith,CN=Users,DC=microsoft,DC=com"
Dsqrery groupDsqrery group Truy vấn các thông tin liên quan đến Truy vấn các thông tin liên quan đến
nhóm nhóm Cú phápCú pháp
dsquery group querydsquery group query Hỗ trợ ký tự đại diện (*)Hỗ trợ ký tự đại diện (*) Có thể điều hướng cho các công cụ Có thể điều hướng cho các công cụ
dòng lệnh khácdòng lệnh khác
Chuyển đổi các kiểu groupChuyển đổi các kiểu group Có thể thay đổi group từ kiểu security Có thể thay đổi group từ kiểu security
thành group kiểu distribution hoặc thành group kiểu distribution hoặc ngược lạingược lại
Kiểu của group có thể thay đổi nếu mức Kiểu của group có thể thay đổi nếu mức chức năng domain là windows 2000 chức năng domain là windows 2000 native hay cao hơnnative hay cao hơn
Chuyển đổi phạm vi groupChuyển đổi phạm vi group Phạm vi group có thể thay đổi đượcPhạm vi group có thể thay đổi được Mực chức năng của domain ít nhất phải Mực chức năng của domain ít nhất phải
là window 2000 nativelà window 2000 native Các thay đổi hỗ trợCác thay đổi hỗ trợ
Global -> UniversalGlobal -> Universal Domain Local -> UniversalDomain Local -> Universal Universal -> GlobalUniversal -> Global Universal -> Domain LocalUniversal -> Domain Local
Sử dụng NhómSử dụng Nhóm Để sử dụng nhóm cách hiệu quả thì cần Để sử dụng nhóm cách hiệu quả thì cần
phải có cách tổ chức nhóm một cách phải có cách tổ chức nhóm một cách hợp lýhợp lý
Nên có một hoạch định trước khi bắt tay Nên có một hoạch định trước khi bắt tay vào tạo nhómvào tạo nhóm
Kế hoạch cho Global và Local Kế hoạch cho Global và Local groupgroup
Nhóm toàn cục(Global) và cục bộ Nhóm toàn cục(Global) và cục bộ miền(domain local) được liệt kê trong miền(domain local) được liệt kê trong Global catalog, nhưng thành viên của nó Global catalog, nhưng thành viên của nó thì không thì không bằng cách sử dụng nhóm toàn cục hay bằng cách sử dụng nhóm toàn cục hay
nhóm cục bộ có thể tối ưu được hiệu năng nhóm cục bộ có thể tối ưu được hiệu năng mạng mạng
Một số hướng dẫnMột số hướng dẫn Gán người dùng làm các công việc chung Gán người dùng làm các công việc chung
vào nhóm toàn cụcvào nhóm toàn cục Trong phòng kế toàn thì thêm tài khoản người Trong phòng kế toàn thì thêm tài khoản người
dung chung cho tất cả kế toán vào nhóm globaldung chung cho tất cả kế toán vào nhóm global
Quản lý các security groupQuản lý các security group Chiến lược quản lý có thể tóm tắt bằng Chiến lược quản lý có thể tóm tắt bằng
các từ A G U DL Pcác từ A G U DL P Tạo các user Account(A) và tổ chức chúng Tạo các user Account(A) và tổ chức chúng
bên trong các Global groupbên trong các Global group Tùy chọn: Tạo Universal group(U) và đặt các Tùy chọn: Tạo Universal group(U) và đặt các
global group từ bất kỳ domain nào trong các global group từ bất kỳ domain nào trong các universal groupuniversal group
tạo các Domain Local Group (DL) và thêm tạo các Domain Local Group (DL) và thêm các group global và universalcác group global và universal
Gán quyền Permission(P) cho các domain Gán quyền Permission(P) cho các domain local grouplocal group
Một số chính sách khácMột số chính sách khác Đặt tài khoản người dùng vào domain Đặt tài khoản người dùng vào domain
local group và cấp quyền cho domain local group và cấp quyền cho domain local grouplocal group Cách này không cho phép bạn cấp quyền Cách này không cho phép bạn cấp quyền
cho tái nguyên ngoài miềmcho tái nguyên ngoài miềm Đặt tải khoản người dùng vào global Đặt tải khoản người dùng vào global
group, và gán quyền cho global groupgroup, và gán quyền cho global group Cách này sẽ phức tạp khi dùng nhiều Cách này sẽ phức tạp khi dùng nhiều
domaindomain
Xác định thành viên nhómXác định thành viên nhóm Tác vụ quan trọng với các Administrator Tác vụ quan trọng với các Administrator
để chắc chắn rằng các user là thành viên để chắc chắn rằng các user là thành viên của đúng groupcủa đúng group
1 cách là thông qua member of tab của 1 cách là thông qua member of tab của trang đặc tính của một tài khoản usertrang đặc tính của một tài khoản user chỉ hiển thị mức đầu tiên của các groupchỉ hiển thị mức đầu tiên của các group
Cách thứ 2 là dùng dsgetCách thứ 2 là dùng dsget
(tt)(tt) cú phápcú pháp
dsget group distinguished name switchesdsget group distinguished name switches swiches gồm:-members, -member ofswiches gồm:-members, -member of cũng có thể dùng dsget user để lấy cũng có thể dùng dsget user để lấy
thông tin thành viênthông tin thành viên Ví dụVí dụ
Dsget group “cn=g1,ou=test,dc=ntu,dc=vn” Dsget group “cn=g1,ou=test,dc=ntu,dc=vn” -members-members
The Members and Member Of The Members and Member Of PropertiesProperties
Group or Team Global Group Domain Local Group
Denver AdminsN/AMember OfMembers
Tom, Jo, and Kim
Vancouver Admins
N/AMember OfMembers
Sam, Scott, and Amy
Denver OU Admins
Tom, Jo, Kim
Member OfMembers
Denver Admins
Denver OU Admins
Tom, Jo, Kim
Member OfMembers
Denver Admins
Denver OU Admins
Sam, Scott, Amy
Member OfMembers
Vancouver Admins
Denver OU Admins
N/ADenver Admins,Vancouver Admins
Member Of
Members
Đăng nhập vào domainĐăng nhập vào domain
Hộp thoại logon domainHộp thoại logon domain
Tổng kết(user)Tổng kết(user) Một tài khoản user là một đối tượng Một tài khoản user là một đối tượng
được lưu trữ trong ADđược lưu trữ trong AD Định nghĩa user và quyền truy cập vào Định nghĩa user và quyền truy cập vào
mạngmạng Công cụ quản lýCông cụ quản lý
Active Directory User And ComputerActive Directory User And Computer DSADD, DSMOD, DSQUERY... DSADD, DSMOD, DSQUERY...
Các user profile dùng để cấu hình và tùy Các user profile dùng để cấu hình và tùy biến môi trường làm việcbiến môi trường làm việc local, roaming, mandatarylocal, roaming, mandatary
tt(group)tt(group) Các tài khoản group giảm khối lượng công Các tài khoản group giảm khối lượng công
việc quản trị bằng cách cho phép gán quyền việc quản trị bằng cách cho phép gán quyền chung cho nhiều user đồng thờichung cho nhiều user đồng thời
2 kiểu group2 kiểu group Security group, Distribution groupSecurity group, Distribution group
3 kiểu phạm vi3 kiểu phạm vi Global groupGlobal group Domain local groupDomain local group Universal groupUniversal group
Các built-in group, user được tạo tự động khi Các built-in group, user được tạo tự động khi cài đặt với một số quyền thiết lập trướccài đặt với một số quyền thiết lập trước
