Bài viết này sẽ hướng dẫn bạn cách tạo và quản lý Organizational Unit (OU), Domain Group và Domain User trong Active Directory (AD). Ngoài ra, bạn cũng sẽ được hướng dẫn cách đưa máy client vào domain một cách dễ dàng.
Trước khi bắt đầu, chúng ta cần phân biệt rõ sự khác nhau giữa Local Group – Domain Group và Local User – Domain User.
-
Local User: Là tài khoản chỉ tồn tại trên chính máy tính đó. Người dùng chỉ có thể đăng nhập trên máy tính đó và không thể sử dụng tài khoản này để đăng nhập vào máy tính khác.
-
Domain User: Là tài khoản được tạo trên AD của máy tính đóng vai trò là Domain Controller (DC). Domain User có thể đăng nhập vào bất kỳ máy tính nào trong hệ thống mạng (với điều kiện máy tính đó đã được gia nhập domain).
-
Local Group: Tương tự như Local User, Local Group chỉ tồn tại trên máy tính đó. Local Group thường chứa các Local User cùng nhóm để dễ quản lý hơn.
Ví dụ: NhanSu_Group, KeToan_Group, KinhDoanh_Group…
-
Domain Group: Tương tự như Domain User, Domain Group tồn tại trên AD của máy DC và chứa các Domain User tương ứng, giúp người quản trị hệ thống dễ dàng quản lý.
-
Organizational Unit (OU) – Đơn vị tổ chức: Đại diện cho một tổ chức hoặc một phần của tổ chức, chứa các đơn vị (phòng ban) khác nhau hoặc dùng để phân biệt các thành phần cùng tên nhưng thuộc các đơn vị tổ chức khác nhau.
Ví dụ: User “vietcuong” trong OU “IT” và user “VietCuong” trong OU “Instructor”.
Một OU có thể chứa một hoặc nhiều OU khác, Domain Group và Domain User. Mục đích của việc tạo OU là giúp người quản trị dễ dàng quản lý, triển khai công việc đến các Domain User.
Ví dụ: Triển khai phần mềm (cài đặt từ xa và thực thi tự động), tạo network drive, áp dụng các chính sách hệ thống (policies) cho các Domain User…
Mục Lục
I. Tạo OU, Domain Group và Domain User bằng GUI (Graphic User Interface)
Để bắt đầu, hãy đăng nhập vào Domain bằng tài khoản Administrator.
1. Tạo OU
-
Bước 1: Vào Start / Programs / Administrative Tools / Active Directory Users and Computers (hoặc gõ “dsa.msc” vào hộp thoại Run).
-
Bước 2: Click chuột phải vào tên domain (ví dụ: “sentayho.com.vn”) / New / Organizational Unit.
-
Bước 3: Nhập tên OU cần tạo. Ở đây, chúng ta nhập “LabMicrosoft”.
-
Bước 4: OU “LabMicrosoft” đã được tạo thành công.
Bây giờ, chúng ta sẽ tạo các OU con bên trong OU “LabMicrosoft”, ví dụ như “NhanSu” và “KeToan”.
-
Bước 5: Click chuột phải vào OU “LabMicrosoft” / New / Organizational Unit.
-
Bước 6: Lần lượt đặt tên cho các OU con là “NhanSu” và “KeToan”.
-
Bước 7: Hai OU con “NhanSu” và “KeToan” đã được tạo thành công.
2. Tạo Domain Group và Domain User
a) Tạo Domain Group:
-
Bước 1: Vào Start / Programs / Administrative Tools / Active Directory Users and Computers (hoặc Start / Run / “dsa.msc”).
-
Bước 2: Click chuột phải vào OU chứa group sau khi tạo / New / Group.
-
Bước 3: Đặt tên cho group cần tạo. Ví dụ, tạo một Domain Group có tên “NhanSu”.
-
Bước 4: Click OK để tạo group “NhanSu”.
b) Tạo Domain User:
-
Bước 1: Click chuột phải vào OU “NhanSu” / New / User.
-
Bước 2: Nhập tên user cần tạo tại “First name” và “User logon name”. Ví dụ: “NS1”.
-
Bước 3: Tiến hành đặt password cho user.
Ý nghĩa của các thuộc tính của một Domain User:
- User must change password at next logon: Bắt buộc User phải thay đổi password khi đăng nhập lần đầu.
- User cannot change password: Ngăn User thay đổi password của mình.
- Password never expires: Password không bao giờ hết hạn. Cần cân nhắc kỹ trước khi sử dụng thuộc tính này để đảm bảo an ninh hệ thống.
- Account is disabled: Vô hiệu hóa tài khoản User, không cho phép đăng nhập vào domain.
Ngoài ra, còn có một thuộc tính thứ 5: Account is lockout (Tài khoản bị khóa). Thuộc tính này sẽ được trình bày rõ hơn trong phần Group Policy.
Khi tạo một Domain User với password đơn giản (ví dụ: “123”), bạn có thể nhận được một cảnh báo yêu cầu đặt password phức tạp hơn.
Thế nào là một password phức tạp?
Theo chính sách của Microsoft, một password được gọi là phức tạp khi đáp ứng 3 trong 4 yêu cầu sau:
- Chứa ký tự chữ hoa (A-Z).
- Chứa ký tự chữ thường (a-z).
- Chứa chữ số (0-9).
- Chứa ký tự đặc biệt (ví dụ: !, @, #, $, %, ^, &, *, (, )).
Kết luận
Bài viết này đã hướng dẫn chi tiết cách tạo và quản lý OU, Domain Group và Domain User trong Active Directory. Việc quản lý hiệu quả các đối tượng này là rất quan trọng để đảm bảo an ninh và hiệu suất của hệ thống mạng. Việc sử dụng password phức tạp cũng đóng vai trò quan trọng trong việc bảo vệ tài khoản người dùng.