Chúng ta đã tìm hiểu về cách quan lý Users và Group trên máy cục bộ; máy Windows Server chưa lên domain hoặc là máy chạy các hệ Windows client. Trong bài này, chúng ta sẽ đi tìm hiểu về việc quản lý Users và Groups trên Active Directory Users and Computers.
So với trên máy cục bộ thì trên Active Directory có nhiều sự khác biệt và phức tạp hơn. Sau khi cài ADDS và nâng cấp hệ thống lên Domain Controller, ngoài khái niệm User và Group, bạn sẽ quen thêm một khái niệm mới là OU (Organizational Unit) và computer.
Organizational Unit:
- Được gói tắt là OU, là một đối tượng trong Active Directore. OU là nơi chứa các đối tượng Active Driectory như user, computer và group. Bên trong OU cũng có thể chứa các OU.
- Dùng ủy quyền quản trị (delegation of administration). Ví dụ: khi bạn có một nhóm IT Support, bạn cần ủy thác cho nhóm này quản lý một nhóm máy tính. Khi đó, bạn sẽ cần tạo một OU, đưa các máy tính cần ủy thác quyền quản trị cho nhóm IT Support. Trên OU này, nhòm IT Support sẽ có quyền chỉnh sửa thông tin, thêm, xóa các đối tượng trong OU này. Nhóm IT support này không có bất cứ quyền nào trên các OU khác.
- Dùng áp dụng các chính sách (Group Policy). Group Policy sẽ được tự động áp dụng cho các đối tượng là user và computer. Ví dụ: bạn muốn một số user được map một ổ mạng từ File Server một cách tự động. Bạn sẽ tiến hành tạo một OU, sau đó đưa các user cần thực hiện chính sách vào OU này. Bạn tiến hành tạo một Group Policy cho phép map thu mục, và tiến hành link Group Policy với OU này. Các OU không link Group Policy sẽ không bị ảnh hưởng của Group Policy map ổ đỉa này. Một OU có thể được áp dụng nhiều Group Policy.
Group:
- Là đối tượng của Active Directory, dùng để chứng thực và phân quyền. Group có thể được dùng để phân quyền truy cập trên các tài nguyên. Các user thành viên của Group sẽ có quyền truy cập tài nguyên mà Group đó có được phân quyền truy cập.
- Thành viên (member) của Group là User và Group. Group được chứa trong các OU.
- Có hai kiểu Group là security groups và distribution groups.
- Security groups: được sử dụng để cấp quyền cho phép hoặc không cho phép truy cập.
- Distribution groups: dùng để phân phối email (chủ yếu dùng cho Microsoft Exchange), đối với các user không cần truy cập tài nguyên hoặc login máy tính sẽ được đưa vào kiểu Group này.
- Phạm vi Group (Group Scopes) gồm có :
- Domain local: Có thể có thành viên là bất kỳ domain nào trong forest, có thể cấp quyền trong cùng domain
- Global: Có thể có thành viên cùng domain, có thể cấm quyền trong bất kỳ domain nào trong forest
- Universal: Có thể có thành viên trong bất kỳ domain nào trong forest, có thể cấp quyền bất kỳ domain hoặc forest.
- Mặc định, khi nâng cấp hệ thống lên Domain,
User:
- Được cấp trực tiếp cho người dùng, là đối tượng của Active Directory, dùng để chứng thực và phân quyền. User cũng có thể dùng để phân quyền trên truy cập các tài nguyên. Thông thường, user sẽ được thừa hưởng chính sách từ Group.
- User là lơp cuối cùng trong kiến trúc của Active Drectory.
- User có thể là thành viên của một hoặc nhiều Group. Được chứa trong các OU.
- User cũng là đối tượng chủ yếu được áp dụng các Group Policy.
Computer:
- Là một đối tượng của Active Directory, giống như user, là một lớp cuối trong kiến trúc trong Active Directory. Có thể gọi computer là một user của thiết bị.
- Computer cũng có thể là thành viên của một hoặc nhiều Group.
- Có thể được dùng cấp quyền truy xuất tài nguyên trong hệ thống.
- Computer được chứa trong các OU, cũng là đối tượng chịu tác dụng của Group Policy.
Cách tổ chức của OU, Group, User và Computer:
- OU (Organizational Unit):
- Chứa các OU con, Groups,Users, Computer bên trong nó.
- Groups:
- Một group có thể có các thành viên khác (member) là các Group khác hoặc các User.
- Một Group có thể là thành viên của (member of) nhiều Group.
- Group được chứa trong OU
- Các Group là thành viên của (member of) của Group sẽ được thừa hưởng quyền của Group mà nó là thành viên.
- User và Computer:
- Một User và Computer có thể là thành viên của (member of) một hoặc nhiều Group.
- User và Computer được chứa trong OU.
- User và Computer có thể được thừa kế quyền của Group mà nó là thành viên.
Sau khi cài đặt ADDS và nâng cấp hệ thống lên Domain Controller, trong hệ thống sẽ có các OU, Group, User và Computer mặc định.
Trên máy cục bộ các User và Group được quản lý trong Local User and Group. Trên Active Directory, chúng ta sẽ làm việc với một công cụ khác có tên là Active Directory Users and Computers.
Để vào được công cụ Active Directory Users and Computers, trong Server Manager, chọn Tools, chọn Active Directory Users and Computers
Hoặc vào công cụ MMC bằng cách vào Run, gõ MMC và OK. Trong MMC, chọn File, chọn Add or Remove Snap-ins, chọn Active Directory Users and Computers, chọn Add, chọn OK
Hoặc có thể vào Run gõ dsa.msc và OK.
Hãy chia sẻ nếu thích bài viết