Hướng dẫn sử dụng Active Directory để tạo user và groups

Bài toán :

Bạn là một người quản trị hệ thống cho công ty. Công ty bạn có 2 chi nhánh, một chi nhánh ở Hà Nội, một chi nhánh ở HCM. Tại mỗi chi nhánh có 3 phòng ban : phòng IT, phòng Kinh Doanh, phòng Kế Toán
Xếp bạn yêu cầu bạn xây dựng một server Domain Controller ( ui zời cái này đơn giản quá – đã được học ở hoitu.tk rồi – bạn nghĩ thầm trong bụng vậy ). Nhưng, giá mà cuộc sống không có từ nhưng nhỉ ^_^.
Xếp bạn bắt bạn phải tạo tài khoản cho từng nhân viên tương ứng với 2 chi nhánh, tạo nhóm theo phòng ban ( việc tạo nhóm về sau rất có tác dụng trong việc triển khai theo nhóm, phần quyền … ). Hix , hix vậy phải là sao đây nhỉ.
Truy cập vào http://hoitu.tk tìm bài giải ngay thôi.
Bài giải : 
Trước hết giờ mình sẽ tạo cho các bạn một mô hình phù hợp với công ty và yêu cầu của xếp bạn như sau ( hình 1 ) :
– Đối với 2 chi nhánh Hà Nội và Hồ Chí Minh ( viết tắt là HCM ) ta sẽ tạo ra 2 OU tương ứng. OU là gì thế nhỉ ???
OU ( là viết tắt của Organizational Unit ) có thể hiểu nôm na tác dụng của nó là để chứa các đối tượng như user,group, và OU, giúp cho việc phân loại và sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. Và đặc biệt nó dùng để triển khai các chính sách Group Policy và về sau chúng ta sẽ được học.
Hình 1. Mô hình cách giải quyết bài toán
( Bấm vào hình để xem to hơn )
– Một vấn đề nữa là khi bạn tạo User và Group thì chúng sẽ bị xen lẫn vào nhau rất khó nhìn. Chính vì vậy trong 2 OU chính HN và HCM mình sẽ tạo thêm 3 OU con là :
+ OU Users : có tác dụng chứa các tài khoản để tiện quản lý
+ OU Group : có tác dụng chứa các nhóm để tiện quản lý
+ OU Computers : có tác dụng chứa các máy truy cập vào miền để tiện quản lý. Bất kỳ một máy tính nào vào miền thì nó sẽ được tự động nạp vào trong AD nhưng nó sẽ được lưu trong OU Computers ( là OU con của miền hoitu.tk – ngang hàng với OU HN – nhìn trên hình sẽ thấy ) và các máy tính của HN và HCM sẽ xen lẫn vào nhau, rất bất tiện trong quản lý.
Ở đây mình tạo OU Computers và sẽ định hướng cho các máy tính ở Hà nội thì sẽ vào OU Computers ở Hà Nội, máy tính ở HCM thì sẽ vào OU Computers HCM. Như vậy sẽ giúp bạn dễ dàng quản lý hơn.
– Vẫn còn một vấn đề nữa là trong OU Users bạn sẽ thấy nó sẽ bao gồm tất cả các user tương ứng với từng nhân viên của tất cả các phòng ban, lộn xộn quá, khó quản lý, khó triển khai các chính sách về sau này.
Nên trong OU Users này mình tiếp tục tạo thêm 3 OU con tương ứng với 3 phòng ban của bài toán.
Hờ hờ, suốt từ nãy cứ nói OU , Users với chả Groups, thế rốt cục là tạo chúng nó ở đâu thì vẫn chưa nói. Thôi nói luôn nhé. Để tạo được OU , Users hay Groups thì bạn phải vào phần quản lý của chúng. Đó chính là Active Directory Users and Computers.
Bạn vào Start -> Administrative Tools -> Active Directory Users and Computers ( viết tắt là AD bạn nhé )
1 . Cách tạo OU trong AD : ( hình 2 )
Để tạo OU bạn sẽ có 3 cách. 2 cách mình đã chỉ rất rõ ở hình 2. Còn một cách là sử dụng câu lệnh trong CMD. Mình sẽ tổng hợp các câu lệnh ở cuối bài nhé.
OU HANOI chính là OU cha nên để tạo nó bạn nhấn chuột phải vào tên miền hoitu.tk sau đó bạn có thể chọn 1 trong 2 cách ở hình 2 để tạo OU. Sau khi nhấn vào tạo OU một cửa sổ mới xuất hiện. Bạn chỉ việc điền tên OU vào ô Name là được. Sau đó nhấn OK.
Với OU HCM làm tương tự.
Với 3 OU tiếp theo là OU con của 2 OU cha là HANOI và HCM. Nên để tạo OU Users ta nhấn chuột phải vào OU HANOI chọn một trong 2 cách như hình 2. Cách làm tiếp theo là tương tự ở trên
Ta cũng làm tương tự với OU HCM để tạo 3 OU con là Users, Groups, Computers.
Để tạo 3 OU phòng ban thì ta nhấn chuột phải vào OU User và làm tương tự như ở trên.

 

 

Hình 2.Hướng dẫn cách tạo OU
( Bấm vào hình để xem to hơn )

 

2. Cách tạo Groups trong AD : ( hình 3 )
Cách tạo Groups mình cũng đã thể hiện rất rõ trên hình 3 rồi. Các bạn nhìn vào hình 3 và thực hiện nhé. Có gì ko hiểu cứ commnet lại nhé.

 

Hình 3. Cách tạo Groups trong AD
( Bấm vào hình để xem to hơn )

 

3. Cách tạo Users trong AD : ( hình 4 )

Cách tạo Users mình cũng đã thể hiện rất rõ trên hình 4 rồi. Các bạn nhìn vào hình 4 và thực hiện theo nhé. Mình sẽ giải thích rõ một chút phần tạo Password.
Password lúc này phải đáp ứng 3 trong 4 điều kiện sau mới được coi là hợp lệ:
– Bao gồm các chữ cái thường
– Bao gồm các chữ cái hoa
– Bao gồm các số
– Bao gồm các ký tự đặc biệt như !,@,# …
Ở đây mình lấy password cho các user là abc@123 ( nếu password nhập vào không hợp lệ thì sẽ không tạo được user, sau này chúng ta sẽ học cách bỏ độ phức tạp cho password ở bài Group Policy sau )
Ở phía dưới chỗ nhập password có 4 lựa chọn :
– User must change password at next logon : yêu cầu phải thay đổi mật khẩu vào lần đăng nhập đầu tiên ( mặc định )
– User cannot change password : không cho user có thể thay đổi mật khẩu
– Password never expries : mật khẩu không bao giờ hết hạn ( nếu không chọn lựa chọn này sau một khoảng thời gian nhất định sẽ yêu cầu bạn nhập mật khẩu mới )
– Account is disable : tài khoản tạo ra sẽ bị khóa luôn, nếu tích vào đây thì sẽ không dùng tài khoản này để đăng nhập được trừ khi người quản trị cho phép tài khoản này hoạt động trở lại.

 

Hình 4. Cách tạo User trong AD
( Bấm vào hình để xem to hơn )

 

4. Cách tạo Computers trong AD ( hình 5 )
Như mình đã nói ở trên , bình thường bạn không nhất thiết phải tạo Computers vì khi đăng nhập một máy vào miền nó sẽ tự động nạp tên máy vào OU Computers.
Nhưng việc này sẽ gây khó khăn cho bạn trong quá trình quản trị. Việc các máy ở Hà Nội và HCM để lẫn lộn vào nhau sẽ làm cho bạn rối loạn. Để giải quyết vấn đề này chúng ta sẽ tạo ra các Computer trước
Để tiện quản lý thì mình thường tạo tên máy Computer trùng với tên User. Vậy với mỗi một user tạo ra chúng ta cũng sẽ tạo ra một Computers với tên tương ứng giống với User.Việc tạo ra Computers sẽ cho ta quyền quyết định đặt computer này nằm ở OU nào.

Hình 5. Cách tạo Computers trong AD
( Bấm vào hình để xem to hơn )

 

5 . Cách add user vào nhóm
Có 2 cách để add một user vào nhóm :
Cách 1 ( hình 6 ) : Thực hiện như trong hình

Hình 6 . Cách 1 để add user vào nhóm
( Bấm vào hình để xem to hơn )

 

Cách 2 ( hình 7 ) : Thực hiện như trong hình

Hình 7. Cách 2 để add user vào nhóm
( Bấm vào hình để xem to hơn )

 

6. Cách reset lại password cho user
Cần reset password cho user nào thì bạn tìm và nhấn chuột phải vào User đấy chọn Reset Password , sau đó nhập password mới vào nhấn OK là xong
Khá đơn giản.
7. Tổng hợp lại các câu lệnh để tạo OU, User, Group
Tạo OU HANOI bằng câu lệnh :
dsadd ou “ou=HANOI,DC=hoitu,DC=tk”
Tạo OU Users là con của OU HANOI
dsadd ou “ou=Users,ou=HANOI,DC=hoitu,DC=tk”
Tạo User hoitu1 bằng câu lệnh :
dsadd user “cn=hoitu1, ou=IT_HN,ou=Users,ou=HANOI,dc=hoitu,dc=tk” -fn hoitu  -ln 2  -display hoitu2 -pwd abc@123
Giải thích một chút :
cn : tên tài khoản
-fn : First name
-ln : Last name
-display : Họ tên đầy đủ
-pwd : mật khẩu
Còn một số câu lệnh nữa các bạn tự tìm hiểu thêm nhé.
Để tìm hiểu thêm bạn có thể đánh lệnh sau:
dsadd user /?
dsadd ou /?
dsadd group /?
dsadd quota /?
dsadd computer /?
dsadd contact /?
Tác giả bài viết: Nguyễn Khắc Toàn
Nguồn tin: hoitu.tk

Gửi phản hồi

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s