ACTIVE DIRECTORY

 Active Directory (AD) là gì

CHƯƠNG 4. ACTIVE
 Kiến trúc Active Directory
DIRECTORY  Cài đặt Active Directory Domain Services (AD-DS)
BIÊN SOẠN: NGUYỄN VĂN CHÍ

Active Directory (Thư mục động) Active Directory

 Active Directory là thành phần quan trọng của hệ điều hành
máy chủ:
 Active Directory (AD): là nơi lưu trữ thông tin tài nguyên
mạng: User data, printers, servers, databases, groups,
computers, and security policies… được tổ chức theo miền,
cây, rừng.
 Thông tin được sử dụng để truy xuất và quản lý tài nguyên
trên mạng
 Cung cấp một cách đặt tên nhất quán giúp mô tả, định vị,
truy xuất và bảo mật tài nguyên mạng
3 4

1
Thuận lợi của Active Directory
 Ưu điểm Active Directory:
 Đơn giản hóa quản lý bảo mật (Domain, OU)
 Lưu trữ dự phòng thông tin bảo mật
 Chính sách nhóm
 Khả năng mở rộng
 Ủy quyền quản trị
Active Directory
 Active Directory Domain Services (AD DS) là một dịch vụ
trên Windows Server, sử dụng thông tin lưu trữ trong
AD để quản lý các đối tượng users, group, computer.
 Cung cấp thông tin về tài nguyên dựa vào thuộc tính của tài
nguyên.
 Tự phân tán đến các máy tính trên mạng.
 Tự nhân bản: giúp ADDS tự bảo vệ, dễ truy xuất.
 Có khả năng phân tán -> tăng khả năng lưu trữ
 Gồm nhiều phần: miền, cấu hình, lược đồ
Active Directory Server Roles là gì?
Server Role Mô tả
Một thư mục tập trung quản lý và chứng thực cho người sử dụng
Active Directory Domain
Services (AD DS) và máy tính trong mạng Windows Server
Active Directory Lightweight Một dịch vụ thư mục LDAP (Lightweight Directory Access
Directory Services (AD LDS) Protocol) cung cấp một cơ chế hỗ trợ các ứng dụng directory-
enabled (sử dụng thư mục để lưu trữ dữ liệu), mà không có yêu cầu
triển khai miền, bộ điều khiển miền.
Active Directory Certificate Một giải pháp được sử dụng để bảo vệ thông tin được lưu trữ trong
Services (AD CS) các văn bản, tin nhắn, e-mail và các trang Web không được phép
xem, sửa đổi, hoặc sử dụng
Active Directory Rights Là dịch vụ được dùng để kết hợp với các ứng dụng hỗ trợ AD RMS
Management Services (AD RMS) (AD RMS – enable application), nhằm bảo vệ dữ liệu quan trọng
trước những đối tượng người dùng không được phép (unauthorized
5 6
users).
AD DS Integration with Other Active Directory Server Roles
 AD DS là nền tảng cho một mạng chức năng
 Hầu hết các vai trò máy chủ phụ thuộc vào
AD DS để cung cấp cho người sử dụng và
nguồn tài nguyên thông tin cho các vai trò
máy chủ khác
 AD DS cũng cung cấp dịch vụ xác thực và
ủy quyền
7 8
2
Kiến trúc Active Directory
 Kiến trúc
 Đối tượng AD (Active Directory Objects)
 Lược đồ AD (Active Directory Schema)
 Các thành phần AD (Active Directory Components – cấu
trúc luận lý và cấu trúc vật lý)
9 10
Kiến trúc Active Directory
 Active Directory như một Datastore
có 2 thành phần
 SYSVOL: là một thư mục chứa các
chính sách dành cho các đối tượng
người dùng hoặc máy tính và các đoạn
script quan trọng khác.
11
Kiến trúc Active Directory
 Active Directory như một Datastore có 2 thành phần
 NTDS.DIT có 5 thành phần
1. Domain NC: chứa các đối tượng như user, computer, OU….
2. Schema: là nơi lưu trữ các định nghĩa về từng thuộc tính trên mỗi
đối tượng
3. Configuration: chứa toàn bộ các cấu hình của Active Directory
4. DNS: lưu thông tin cấu hình DNS
5. Global Catalog (PAS): đảm nhiểm chức năng chứng thực
(authentication) cho hệ thống Active Directory. Máy chủ quản trị
miền nào (Domain controller) lưu trữ Global Catalog thì
được gọi là Global Catalog Server.
Đối tượng AD
 Thông tin users, máy in, server, database, groups,
computers và security policies
 Mỗi object có những thuộc tính riêng đặc trưng cho object
đó (ví dụ như object user có các thuộc tính liên quan như
First Name, Last Name, Logon Name, … )
 Một số object đặc biệt bao gồm nhiều object khác bên trong
được gọi là các “container”, (ví dụ như domain là một
container bao gồm nhiều user và computer account).
12
3
Đối tượng AD Các quy ước đặt tên trong AD
 Mỗi đối tượng trong Active Directory được nhận biết thông qua
một tên
 Active Directory hỗ trợ các quy ước đặt tên bao gồm:
 Distinguished Name (DN)
 Globally Unique Identifier (GUID)
 Relative Distinguished Name (RDN)
 User Principal Name (UPN)

13 14

Các quy ước đặt tên trong AD-DN Các quy ước đặt tên trong AD-GUID
 Distinguished Name (DN)  Globally Unique Indentifier (GUID)
 Mỗi đối tượng trong Active Directory sẽ có một tên duy nhất dựa  Các GUID là các số 128 bit duy nhất được gán cho đối tượng
trên giao thức LDAP (Lightweight Directory Access Protocol) tại thời điểm nó được tạo.
 DN chứa đầy đủ thông tin về đối tượng bao gồm:  GUID không bao giờ thay đổi ngay cả khi đối tượng được
Tên của miền nơi lưu trữ đối tượng đổi tên (DN) hay di chuyển.
Đường dẫn đầy đủ tới đối tượng
 Tương tự như một SID (Security Identifiers) trong Windows
 Ví dụ sau đây chỉ ra DN của người dùng David Beckham trong
Cty abc (abc.com) và thuộc phòng Development (OU=Dev): NT nhưng:
/DC=com/DC=abc/OU=dev/CN=Users/CN=David Beckham SID được tạo bên trong một miền là duy nhất trong miền đó
DC: Domain Component Name GUID là duy nhất trên tất cả các miền trong một rừng
OU: Organizational Unit Name
CN: Common Name  GUID giống như số CMNN của một người nào đó
15 16

4
Các quy ước đặt tên trong AD-RDN Các quy ước đặt tên trong AD-UPN
 User Principal Name (UPN)
 ADDS hỗ trợ truy vấn
thông qua thuộc tính của  Là tên thân thiện của đối tượng người dùng.
một đối tượng, do đó có  Nó là sự kết hợp giữa một tên ngắn của đối tượng và tên
thể xác định được đối  DNS của Domain nơi lưu giữ đối tượng.
tượng ngay cả khi không
 Tên ngắn thường là tên đăng nhập (logon) của người dùng.
biết DN.
 Ví dụ: đối với người dùng Tran Lam Anh có tên đăng
 RDN của một đối tượng nhập là tlanh, thì UPN sẽ là: tlanh@abc.com
là thuộc tính của đối
tượng đó
17 18

Lược đồ AD Lược đồ AD
 Chứa những định nghĩa về các đối tượng khác nhau được
lưu trữ trong AD.
 Các định nghĩa được lưu trữ như đối tượng trong AD.
 Lược đồ là duy nhất trong một rừng và được tạo ra trong
quá trình cài đặt Domain Controller đầu tiên của rừng.
 Schema được định nghĩa gồm 2 loại object là Schema Class
Objects và Schema Attribute Objects.
 Schema Class có chức năng như một template cho việc tạo
mới các đối tượng trong AD.
 Schema Attribute định nghĩa các Schema Class tương
ứng với nó. 19 20

5
Cấu trúc luận lý (Logical Structure) Miền (Domain)
 Được ánh xạ thông qua mô hình domains, OUs, trees và  Trong một miền thì phải có ít nhất là một
forest máy chủ quản lý miền (Domain Controller)
 Nó là sự tập hợp các máy tính được định
nghĩa bởi người quản trị.
 Tất cả các máy tính trong miền dùng chung
một cơ sở dữ liệu Active Directory chia sẻ
 Mục đích chính của miền là phục vụ như một
ranh giới bảo mật trong mạng Windows
Server.
 Các máy chủ trong cùng một miền sẽ đồng
bộ với nhau về các đối tượng trong miền đó
21
(Domain Name Context) 22

Đơn vị tổ chức OU (Organization Unit – OUs) Cây (Tree)

 Trong miền, các đối tượng
Là một nhóm của một hay nhiều domain, mà các domain này chia sẻ
được sắp xếp và tổ chức bằng một không gian tên liền kề và cấu trúc đặt tên có thứ bậc.
cách sử dụng các OU.
 Nó chứacác đối tượng như  Các đặc tính của cây:
 Theo chuẩn DNS
ngườidùng,
in, nhóm vàmáy
OUstính,
khác. máy  Các Domain trong cây
Computer
chia sẻ chung: Common
 OU giúp cho việc phân loại Account
schema và Global
và tổ chức các đối tượng một catalog
cách hợp lý như ý của bạn
User
Account

23
Những miền có sử dụng chung tên gốc hay tên miền không bị gián đoạn 24

6
Rừng (forest) Rừng (forest)
 Forest: Là tập hợp của nhiều tree có quan hệ với nhau
 Một forest phải đảm bảo thoả các đặc tính sau
 Các domain trees trong forest là độc lập với nhau về tổ  Toàn bộ domain trong forest phải có 1 schema chia sẻ chung
chức  Các domain trong forest phải có 1 global catalog chia sẻ chung
 Các domain trong forest phải có mối quan hệ trust 2 chiều với
nhau
 Các tree trong 1 forest phải có cấu trúc tên(domain name) khác
nhau
 Các domain trong forest hoạt động độc lập với nhau, tuy nhiên
hoạt động của forest là hoạt động của toàn bộ hệ thống tổ chức
doanh nghiệp.
25 26

Danh mục toàn cục (Global Catalog) Danh mục toàn cục (Global Catalog)
 Global catalog là trung tâm lưu giữ các thông tin của các đối
tượng trong Active directory
 Nhưng thông tin (thuộc tính của đối tượng) được lưu trữ trong
Global catalog thường xuyên được sử dụng cho hoạt động tìm
kiếm và định vị các đối tượng trong AD
 Global catalog được tạo ra trong Domain Controller đầu tiên
của Forest -> Global Catalog Server

27 28

7
Cấu trúc vật lý của AD (Physical Structure) Sites
 Cấu trúc vật lý và cấu trúc logic là hoàn toàn tách biệt  Là một thuật ngữ được dùng đến khi nói
về vị trí địa lý của các domain trong hệ
 Cấu trúc vật lý được sử dụng để tổ chức việc trao đổi trên mạng, thống.
trong khi cấu trúc logic dùng để tổ chức tài nguyên trên mạng.  Một site là một sự kết hợp của một
hoặc nhiều subnets IP được kết nối với
 Cấu trúc vật lý của AD gồm: tốc độ cao
 Các Sites được định nghĩa để tối ưu
• Sites hoá việc truy xuất và nhân bản
• Domain Controllers Active Directory.
 Mục đích chính của việc định nghĩa
các sites là:
 Để đảm bảo chắc chắn kết nối tốc độ cao
29 giữa các domain controllers 30

 Để tối ưu hoá băng thông giữa các site

Sites Bộ điều khiển miền (Domain Controllers)

Khái niệm này thường được chia theo vùng, ví dụ công ty của bạn có 2 chi
nhánh, một tại Hà Nội và một tại Hồ Chí Minh. Khái niệm Site ở đây được hiểu
là khi các máy trong đó thuộc về cùng một subnet địa chỉ IP. Các máy chủ trong
cùng một subnet thì được gọi là Intrasite, còn các máy chủ nằm khác subnet thì
được gọi là Intersite.
31
 Một domain controller (DC) là một máy chạy Windows
Server và nó chứa một bản sao của Active directory.
 Các chức năng của Domain Controller:
 Duy trì một bản sao CSDL của active directory
 Các DC trong một domain tự động nhân bản tất cả các đối
tượng trong domain tới mỗi DC.
 Duy trì thông tin của các đối tượng trong Active Directory
 Cung cấp khả năng chịu lỗi trong môi trường đa DC.
 Quản lý và hỗ trợ người sử dụng trong việc tìm kiếm thông
tin trên AD
32

8
Nhân bản (Replication) trong AD Nhân bản (Replication)
 Nhằm bảo đảm rằng những thay đổi trên bất kỳ Domain
Controller nào cũng được phản ánh tới các DC khác trong  Một hệ thống thì phải có sự nhất
miền. quán rõ ràng, từ các đối tượng, cho
tới các chính sách thực thi,
 Những thông tin trong Active Directory gồm:  Cần phải có một sự đồng bộ giữa
 Thông tin lược đồ. các các máy chủ quản lý về đối
 Thông tin cấu hình. tượng, chính sách .v.v,
 Thông tin miền.
 Thông tin phần mềm ứng dụng.
Ví dụ: trên DC thứ nhất, bạn được phép truy cập vào tài nguyên A, trong khi
theo máy chủ DC thứ 2, bạn lại không có được quyền này??? 33 34

Nhân bản (Replication) Trust Relationships

 Nhân bản bên trong Site là nhanh và tin cậy.
 Nhân bản giữa các Sites
 Sử dụng thông tin kết nối mạng tạo ra kết nối đối tượng, điều này
cung cấp tính chịu lỗi và khả năng phục hồi.
 Việc nhân bản sẽ có hiệu quả cao nếu các lịch biểu nhân bản được
tối ưu, ví dụ lên lịch nhân bản khi lưu lượng mạng ít.
 Quá trình nhân bản kết thúc khi tất cả các bộ điều khiển miền
đã được cập nhật.
 Trust Relationships:
 Domain A, khi tin cậy một domain B, quản trị viên domain A có
thể cho phép người dùng bên domain B, truy cập vào tài nguyên
của mình.
 Tuy nhiên, người dùng ở domain A, thậm chí ngay cả quản trị
viên domain A cũng không thể truy cập vào tài nguyên của B, do
không được domain B tin tưởng.
 Điều này chỉ có thể xảy ra, khi quản trị viên từ domain B cũng có
một động thái tương tự.

35 36

9
Cài đặt Active Directory trên Windows Server 2012 Cài đặt Active Directory trên Windows Server 2012

 Cấu hình IP tĩnh cho  Ấn Next để giữ nguyên các

máy cài đặt mặc định. Đến Select
 Đặt tên máy: WIN-2012- server roles -> Chọn Active
04 Directory Domain Services
 Tên miền của đơn vị: (AD DS) và DNS Server:
WIN-2012-
 Xem thêm tài liệu
04.khoacntt.edu.vn

 Vào Server Manager,

chọn Add roles and
features:
37 38

Tổng quan

1. Quản lý đơn vị tổ chức

QUẢN TRỊ ACTIVE DIRECTORY 2. Quản lý tài khoản người dùng
OU VÀ USER 3. Tạo tài khoản máy tính
4. Tự động quản lý đối tượng AD DS

39 40

10
1. Quản lý đơn vị tổ chức
 Đơn vị tổ chức (OU) là gì?
 Các thành phần chứa trong OU
 Cấp bậc OU là gì?
 Các thao tác quản trị OU
 Sử dụng công cụ dòng lệnh
 Demo tạo OUs
41
Đơn vị tổ chức (OU) là gì?
Một đơn vị tổ chức (OU):
 Là một đối tượng thư mục động trong miền
 Là phạm vi nhỏ nhất, đơn vị mà bạn có thể ấn định cài đặt chính
sách nhóm hoặc uỷ quyền quản trị
 Có thể chứa người dùng, máy tính, nhóm, máy in, và các OU khác
OUs được dùng để:
 Tạo địa giới hành chính trong miền bằng cách ủy quyền
 Triển khai mô hình quản lý phi tập trung
 Áp đặt chính sách nhóm (GPO)
42

Các thành phần chứa trong OU Các lợi ích của OU

 Tài khoản người dùng, nhóm, các OU khác  Được thực hiện trong OU
 Các ứng dụng  Ủy quyền các tác vụ quản trị
 Quản trị chính sách nhóm
 Máy tính, Máy in,..
 Che giấu đối tượng
 Các thiết bị ngoại vi
 Các thao tác quản trị OU
 Thư mục chia sẻ  Tạo, xóa, ẩn, di chuyển OU
 Di chuyển đối tượng trong OU

43 44

11
Sử dụng công cụ dòng lệnh Tạo OUs

Thêm một OU Sửa một OU

dsadd ou OrganizationalUnitDN -desc dsmod ou OrganizationalUnitDN -
Description -d Domain -u UserName -p desc Description -d Domain -u
Password UserName -p Password

Xóa một OU
dsrm ou OrganizationalUnitDN -desc
Description -d Domain -u UserName -p
Password
45 46

Xóa OU Xóa OU
 Trong cửa sổ Active Directory Users and Computers -> 1. Click Phải chuột vào OU cần
chọn View -> chọn Advanced Features xóa -> chọn Properties
2. Trong cửa sổ Properties của
OU, chọn tab Object > tick bỏ
Protect object from accidental
deletion -> chon OK
3. Lúc này ta có thể delete OU như
bình thường

47 48

12

QUẢN TRỊ NGƯỜI DÙNG VÀ MÁY TÍNH
49
Tài khoản người dùng là gì?
 Một tài khoản người dùng là một đối tượng cho phép xác
thực và truy cập vào tài nguyên cục bộ và mạng
 Một tài khoản người dùng có thể lưu:
Trong AD DS (Tài khoản AD DS)
Tài khoản AD DS cho phép đăng nhập vào miền và cung
cấp quyền truy cập vào tài nguyên mạng chia sẻ
Trên một máy cục bộ (tài khoản cục bộ)
Tài khoản cục bộ cho phép đăng nhập vào một máy tính và
truy cập vào tài nguyên cục bộ
Tạo một tài khoản người dùng cũng tạo ra một ID bảo mật (SID)
51
2. Quản trị tài khoản người dùng
 Tài khoản người dùng là gì?
 Lập kế hoạch quản trị tài khoản người dùng
 Tên (định danh) tài khoản người dùng miền
 Mật khẩu tài khoản người dùng
 Thiết lập thuộc tính cho tài khoản
 Công cụ cấu hình các tài khoản người dùng
 Tài khoản người dùng mẫu là gì?
 User profile là gì?
 Demo: Quản trị tài khoản người dùng
50
Tài khoản người dùng
 Tài khoản người dùng cho phép đăng nhập vào miền
 Một người dùng được cấp một tài khoản duy nhất.
 Một tài khoản người dùng là một đối tượng chứa tất cả dữ liệu cần
thiết để định nghĩa người dùng trong miền.
 Đối tượng người dùng bao gồm các dữ liệu sau:
 Username (định danh)
 Password (mật khẩu)
 Groups (nhóm mà người dùng là thành viên)
 Rights (quyền hệ thống)
 Permissions (cấp phép/quyền truy cập)
52
13
Tài khoản người dùng cục bộ Tài khoản người dùng cục bộ

 Tài khoản người dùng cục bộ được tạo cho người dùng được phép
Tài khoản người dùng
truy cập có giới hạn đến máy tính tạo ra nó.
cục bộ
 Tài khoản này được tạo ra trong cơ sở dữ liệu bảo mật của máy tính
cục bộ.
 Cơ sở dữ liệu này được gọi là cơ sở dữ liệu bảo mật cục bộ. Cơ sở dữ liệu bảo mật cục bộ
 Tài khoản người dùng được tạo bởi Computer Management
Console

53 54

Tài khoản người dùng miền Tài khoản người dùng miền

 Cho phép người dùng đăng nhập đến miền và truy cập tài nguyên
mạng bất kỳ nơi nào trên mạng. Tài khoản người dùng
 Bạn phải cung cấp Username và Password hợp lệ để đăng nhập miền

thành công.
 Được tạo ra trong một bộ chứa hoặc một OU trong bản sao của cơ
sở dữ liệu Active Directory trên bộ điều khiển miền. Active Directory

Domain Controller
Người dùng miền

55 56

14
Lập kế hoạch tạo tài khoản người dùng Tên tài khoản người dùng

 Lập kế hoạch giúp việc tạo và tổ chức thông tin tài khoản người  Một quy ước đặt tên giúp dễ nhớ tên đăng nhập và dễ định vị tên
dùng hiệu quả trong danh sách
 Các vấn đề cần lưu ý khi đặt tên:
 Gồm 4 yếu tố
 Tên đăng nhập là duy nhất
 Tên tài khoản
 Có tối đa 20 ký tự
 Mật khẩu  Tránh dùng những ký tự không hợp lệ: “ / \ [ ] : ; /=, + * ? <
 Thẻ thông minh >
 Thuộc tính tài khoản  Tính tương thích E-mail
 Tên đăng nhập không phân biệt kiểu chữ
 Xác định loại nhân viên
 Tên nhân viên trùng nhau
57 58

Tùy chọn mật khẩu tài khoản người dùng Thẻ thông minh
 Tùy chọn cấu hình cho mật khẩu:  Là một thiết bị giống như thẻ tín dụng, dùng PIN để chứng
 Lịch sử mật khẩu (Password history) thực và truy cập hệ thống
 Chiều dài (Length)
 Một số thông tin có thể được lưu:
 Phức tạp (Complexity)
 Thông tin cá nhân: tên, địa chỉ, thông tin tài khoản
 Mặc định, trong Windows Server ® 2012 mật khẩu miền
 Chứng nhận (Certificates )
phải đáp ứng ba trong số bốn yêu cầu phức tạp sau đây:
 Khoá chung (Public Keys )
 Chữ hoa (Uppercase)
 Khoá riêng (Private Keys)
 Chữ thường (Lowercase)
 Mật khẩu (Password)
 Ký tự đặc biệt (Special characters)
 Số (Numbers)
59 60

15
Thẻ thông minh Thẻ thông minh

 Những yêu cầu để dùng Smart card:  Những vấn đề quan trọng cần xem xét:
 Thiết bị đọc Smart card  Có bao nhiêu người dùng cần chứng thực?
 Kết nối Smart card với một máy tính  Phát hành thẻ như thế nào?
 Bộ phận đăng ký (người dùng có chứng nhận bộ phận đăng ký)  Người dùng phải cung cấp những thông tin cá nhân nào?
 Quyền chứng nhận của đơn vị/ bộ phận đăng ký thứ 3  Những người dùng cơ bản nào sẽ phải được điều tra?
 Quá trình để báo cáo sự mất mát thẻ
 Phát hành những thẻ tạm thời

61 62

Thiết lập thuộc tính cho tài khoản Công cụ cấu hình các tài khoản người dùng
 Các thuộc tính cho tài khoản người dùng bao gồm:  Bạn sử dụng các công cụ khác nhau để tạo và quản lý các
 Cập nhật nhóm thành viên: cung cấp các thành viên nhóm người dung và tài khoản người dùng cục bộ và miền:
quyền truy cập
 Đặt lại mật khẩu người dùng: thay đổi chứng thực bảo mật được sử dụng Tài khoản Công cụ
để truy cập máy tính miền
 Thiết lập hạn sử dụng: là ngày hết hạn người sử dụng có thể truy cập miền Tài khoản cục bộ Windows 7 và Windows 10: User Accounts
 Thiết lập giờ đăng nhập: đặt giờ trong đó người dùng có thể • Windows Server 2012/2016: Active Directory Users and
đăng nhập vào miền Computers
 Chỉ định profiles và thiết lập home folders: Chỉ định profiles và home Tài khoản miền
• Command-line utilities: dsadd, Windows PowerShell™,
folders để điều chỉnh truy cập vào tài nguyên CSVDE, LDIFDE
63 64

16
Tài khoản người dùng mẫu là gì?
 Là tài khoản với các thuộc tính chung đã được cấu hình sẵn
 Tận dụng các đặc điểm tương tự nhau giữa các tài khoản
 Sử dụng tài khoản người dùng mẫu để:
 Tạo nhiều tài khoản người dùng cho các nhóm khác nhau trong tổ
chức của bạn
 Bản sao các tài khoản người dùng nhiều nhất như các tài khoản
mới bạn muốn tạo
 Sửa đổi các thuộc tính: tên, địa chỉ e-mail, đăng nhập tên, vv
65
Các kiểu của User Profile Lưu trữ các User Profile
 Mandatory User Profile: một user profile bắt buộc một
roaming profile
 Local User Profile: được tạo ra và lưu giữ trên đĩa cứng
cục bộ của máy tính
 Roaming User Profile: quản trị hệ thống tạo ra một user
profile di động, và lưu giữ trên một server
 Temporary User Profile: profile này sẽ bị xóa khi người
dùng kết thúc session
67
User profile
 User profile là một thiết lập các thư mục và dữ liệu.
 Nó lưu trữ môi trường desktop hiện tại, các thiết lập ứng dụng và dữ
liệu cá nhân của người dùng.
 User profile cung cấp một môi trường desktop nhất quán đến các
người dùng.
 Các thiết lập desktop cho môi trường làm việc của người dùng trên
máy tính cục bộ tự động được tạo và duy trì bởi các user profile.
 Khi người dùng đăng nhập vào máy tính lần đầu tiên, một user
profile được tạo ra.
66
 Local user profile: được lưu trữ trong thư mục:
C:\Users\user_logon_name
 Roaming user profile: được đặt trong một thư mục dùng chung trên
server.
 Thư mục My Documents được thiết lập tự động bởi Windows 2012.
 Nó là vị trí mặc định để lưu trữ dữ liệu người dung cho các ứng
dụng Microsoft
68
17
Local user Profile
 Local user profile: được tạo bởi Windows 2012 khi người dùng
đăng nhập vào máy tính lần đầu tiên.
 Khi người dùng đăng nhập vào một máy trạm chạy Windows 2012,
người dùng nhận được:
Các thiết lập desktop
Các kết nối riêng biệt
69
Mandatory User Profile
 Một mandatory user profile là một roaming user profile chỉ đọc.
 Người dùng có thể sửa đổi các thiết lập desktop khi họ đăng nhập, nhưng
các thay đổi này không được lưu lại khi họ log off.
 Khi người dùng đăng nhập lần tiếp theo, profile cũng giống hệt như
profile đó và cho đến những lần đăng nhập sau
 Một mandatory profile có thể được gán đồng thời cho nhiều người dùng có
cùng sở thích cho các thiết lập desktop.
71
Roaming User Profiles
 Roaming user profiles có thể thiết lập để hỗ trợ người dùng làm việc
trên nhiều máy tính.
 Các thiết lập roaming user profile sẽ được áp dụng lên máy tính đó.
 Windows server 2012 sao chép tất cả tài liệu đến máy tính cục bộ khi
người dung đăng nhập lần đầu tiên.
 Một roaming user profile chuẩn có thể được tạo cho nhóm của người
dùng bằng cách cấu hình môi trường desktop như yêu cầu.
 Profile chuẩn sẽ được sao chép đến vị trí đặt roaming user profile
của người dùng.
70
Home Directories
 Vị trí mặc định cho người dùng lưu trữ các tài liệu cá nhân của họ là
thư mục My Documents.
 Home directory của người dùng là cung cấp thêm một vị trí nữa
bởi Windows Server 2012 cho mục đích lưu trữ.
 Một home directory có thể lưu trữ trên máy trạm hoặc trong một thư
mục dùng chung trên một file server.
 Home directories của tất cả người dùng có thể đặt vào vị trí trung
tâm trên một server mạng.
72
18
Tạo người dùng Thuộc tính người dùng

73 74

Tạo thư mục Home trong ổ đĩa C và share cho user Kết quả map thư mục Home cho client khi đăng nhập user

Cấu hình user trên

server
Kết quả phía Client

75 76

19
3: Tạo tài khoản máy tính Tài khoản máy tính là gì?
 Một tài khoản máy tính là một đối tượng trong
 Tài khoản máy tính là gì?
 Các tùy chọn khi tạo tài khoản máy tính  AD DS xác định một máy tính kết nối vào miền.
 Quản lý tài khoản máy tính khoản
Tài
Được máyđểtính:
yêu cầu thẩm định và kiểm soát (trước quá trình chứng
thực người dùng).
 Kích hoạt tính năng quản lý máy tính bằng cách sử dụng các
chính sách nhóm

Lưu ý: nếu có tài khoản người dùng, nhưng nếu sử dụng máy tính
chưa có tài khoản thì người dùng cũng không thể đăng nhập hệ thống
77 78

Các tùy chọn khi tạo tài khoản máy tính Tài khoản máy tính được thêm vào miền

Kịch bản Quy trình

Thêm máy tính cá nhân vào một  Thêm máy tính vào miền thông qua
miền (join máy tính vào miền) computer system properties
 Tài khoản sẽ được tạo theo mặc định trong
bộ chứa Computers

Tạo nhiều tài khoản máy tính trong 1. Tạo một OU cho từng bộ phận
việc chuẩn bị để tự động hoá một
2. Tạo các tài khoản máy tính mới
hệ điều hành và triển khai phần
mềm 3. Thêm máy tính vào miền

79 80

20
Quản lý tài khoản máy tính 4: Tự động quản lý đối tượng AD DS
 Quản lý máy tính hoạt động bao gồm:
 Thêm tài khoản máy tính: cung cấp tên máy tính và xác định các
 Các công cụ để quản lý đối tượng AD DS tự động
tùy chọn quản lý  Cấu hình đối tượng AD DS sử dụng công cụ dòng lệnh
 Vô hiệu tài khoản máy tính: duy trì tài khoản, nhưng ngăn cản  Quản lý đối tượng sử dụng với LDIFDE
đăng nhập vào từ tài khoản
 Đặt lại tài khoản máy tính: thiết lập lại các kết hợp bảo mật giữa
 Quản lý đối tượng sử dụng với CSVDE
miền và máy tính khách hàng (cần tái gia nhập)  Windows PowerShell là gì?
 Xóa tài khoản máy tính: loại bỏ máy tính từ tất cả các dịch vụ
miền
 Cấu hình chính sách nhóm: quản lý các phần mềm hay môi
trường máy tính để bàn 81 82

Các công cụ quản lý đối tượng AD DS tự động
Active Directory
Users and Computers
Csvde and Ldifde Tools
Cấu hình đối tượng AD DS sử dụng công cụ dòng lệnh
Directory Service Tools
 Công cụ dòng lệnh:
• Dsadd
 Dsadd – Thêm một đối tượng đến AD DS
• Dsmod
• Dsrm  Dsmod - Sửa đổi đối tượng trong AD DS
 Dsrm - Hủy bỏ đối tượng từ AD DS
 Dsget - Xác định vị trí đối tượng trong AD DS
Windows PowerShell  net user - Thêm hoặc sửa đổi tài khoản người dùng
 Net group - Thêm hoặc thay đổi nhóm truy cập
 Net computer - Thêm hoặc loại bỏ đối tượng máy tính từ AD DS

83 84

21
Quản lý đối tượng sử dụng với LDIFDE Quản lý đối tượng sử dụng với CSVDE

CSVDE.exe
LDIFDE.exe
export

export
filename.csv
import Active Directory

import
Active Directory
HR Application
filename.ldf
85 86

Windows PowerShell là gì?

Windows PowerShell là một kịch bản và công nghệ dòng lệnh mà mà bạn có thể sử
dụng để quản lý AD DS và các thành phần khác của Windows

Tính năng của Windows PowerShell bao gồm:

• Pipelining
• Powerful single line cmdlets
• Scripting support
• Aliases
• Access to all
• Variables
cmd.exe commands

87

22