Sử dụng LDIFDE.EXE
LDIFDE.exe là chương trình có chức năng tương tự như CSVDE.exe, ngoài ra LDIFDE còn cho phép thay đổi nội dung các bản ghi của AD. Ví dụ, để tạo 200 người dùng mới, bạn có thể sử dụng CSVDE.exe hoặc LDIFDE.exe. Tuy nhiên, để thay đổi thông tin hoặc xóa các người dùng thì bạn phải sử dụng LDIFDE.exe.
Để tạo tập tin dữ liệu đầu vào cho LDIFDE, bạn có thể sử dụng một trình soạn thảo văn bản bất kì, miễn là tuân theo định dạng chuẩn của LDIF, lưu tập tin với đuôi là .ldf, LDIF là viết tắt của LDAP Data Interchange Format. Cấu trúc dữ liệu để tạo một tài khoản người dùng có dạng như sau.
dn: cn=Nguyen Van A, ou=ChiNhanh2,dc=dalat,dc=com //tài liệu gốc ghi là dn: “cn=Nguyen Van A, ou=ChiNhanh2,dc=dalat,dc=com” chạy sẽ bị lỗi
changetype: add
ObjectClass: user
SAMAccountName: anv
UserPrincipalName: anv@dalat.com
telephoneNumber: 123456789
LDIFDE hỗ trợ ba chức năng:
- Add: tạo mới đối tượng.
- Modify: thay đổi thuộc tính đối tượng.
- Delete: xóa đối tượng
- Add: tạo mới đối tượng.
- Modify: thay đổi thuộc tính đối tượng.
- Delete: xóa đối tượng
Để chạy LDIFDE.exe, nhập lệnh sau:
ldifde -i –f <filename.ldf
Ví dụ tập tin dữ liệu có tên là user.ldf trong ổ đĩa C.
ldifde -i –f c:\user.ldf
Ví dụ sau thực hiện thay đổi số điện thoại của người dùng Nguyen Van A. Lưu ý, nội dung bao gồm cả dấu gạch ngang ở cuối. Lưu vào tập tin CapNhat.ldf.
dn: cn=Nguyen Van A, ou=ChiNhanh2,dc=dalat,dc=com
changetype: modify
replace: telephoneNumber
telephoneNumber: 1111111
-
Nhập lệnh sau để chạy:
ldifde -i –f c:\CapNhat.ldf
Sử dụng Windows PowerShell
Bạn cũng có thể sử dụng Windows PowerShell để tạo tài khoản người dùng từ tập tin .csv. Sử dụng lệnh Import-CSV để đọc dữ liệu từ tập tin và lệnh New-ADUser để tạo tài khoản.
Để nhập dữ liệu từ tập tin được chính xác, Windows PowerShell sử dụng các tham số của nó để tham chiếu tới các trường dữ liệu trong tập tin .csv.
Ví dụ sau tạo hàng loạt tài khoản người dùng trong OU ChiNhanh2, thuộc domain dalat.com.
- Tạo tập tin .csv chứa thông tin các tài khoản sẽ tạo, ví dụ:
- Tạo tập tin .csv chứa thông tin các tài khoản sẽ tạo, ví dụ:
- Mở Windows PowerShell, nhập vào dòng lệnh sau:
- Mở Windows PowerShell, nhập vào dòng lệnh sau:
import-CSV user.csv | foreach
{New-ADUser –Name $_.Name –SamAccountName $_.SamAccountName –userPrincipalName $_.userPrincipalName –path “OU=ChiNhanh2, DC=dalat, DC=com”}
Tạo tài khoản máy tính
(để tiện trình bày, phần này xem tài khoản máy tính (computer account) và đối tượng máy tính (computer object) là một)
Vì AD DS forest quản lý tập trung tất cả các đối tượng trong danh bạ, vì vậy, nó phải có cách thức để quản lý được các máy tính hiện đang được kết nối vào hệ thống. AD DS forest quản lý các máy tính bằng cách tạo cho mỗi máy tính một tài khoản trong cơ sở dữ liệu của AD DS.
Lưu ý: mặc dù bạn có tài khoản người dùng và mật khẩu, nhưng nếu bạn sử dụng một máy tính chưa có tài khoản trong AD DS thì bạn cũng không thể đăng nhập được vào hệ thống mạng.
Tài khoản máy tính cũng được lưu trong AD DS giống như tài khoản người dùng, và có một số thuộc tính giống với tài khoản người dùng, cụ thể:
- Các thuộc tính cho biết tên, vị trí, người có quyền quản lý.
- Tài khoản máy tính sẽ bị tác động bởi các chính sách thiết lập cho đối tượng chứa nó, như domain, site, OU.
- Tài khoản máy tính có thể là thành viên của nhóm và thừa hưởng các quyền của nhóm.
- Các thuộc tính cho biết tên, vị trí, người có quyền quản lý.
- Tài khoản máy tính sẽ bị tác động bởi các chính sách thiết lập cho đối tượng chứa nó, như domain, site, OU.
- Tài khoản máy tính có thể là thành viên của nhóm và thừa hưởng các quyền của nhóm.
Khi người dùng đăng nhập vào hệ thống AD, máy client và domain controller sẽ thiết lập kết nối để thực hiện quá trình chứng thực người dùng.
Tuy nhiên, trước khi quá trình chứng thực người dùng diễn ra, máy client và domain controller sẽ phải tự thực hiện chứng thực lẫn nhau bằng tài khoản máy tính. Việc chứng thực được thực hiện bởi dịch vụ NetLogon trên mỗi máy. Sau khi quá trình chứng thực hoàn thành, hai hệ thống sẽ tạo một kênh truyền đảm bảo an toàn, lúc này, hệ thống đã sẵn sàng cho quá trình chứng thực người dùng.
Quá trình chứng thực giữa client và domain controller cũng diễn ra tương tự như quá trình chứng thực người dùng, nghĩa là nó cũng sử dụng tên tài khoản và mật khẩu. Chỉ khác là, mật khẩu của tài khoản máy tính được sinh tự động và không công khai. Ngay cả tài khoản thuộc nhóm Administrators cũng không được phép can thiệp vào mật khẩu của tài khoản máy tính.
Để thêm một tài khoản máy tính vào hệ thống AD, cần thực hiện hai việc sau:
- Tạo tài khoản máy tính: tạo mới một tài khoản máy tính trong AD, tên tài khoản chính là tên của máy tính (hostname).
- Tạo tài khoản máy tính: tạo mới một tài khoản máy tính trong AD, tên tài khoản chính là tên của máy tính (hostname).
- Kết nối (join) máy tính vào domain, gồm các quá trình: thiết lập mối tin cậy giữa client và domain controller, tìm (hoặc tạo - nếu tài khoản chưa được tạo) tài khoản máy tính có tên tương ứng với tên của client đang thực hiện kết nối, thay đổi SID cho khớp với SID của client, thay đổi nhóm cho tài khoản máy tính.
- Kết nối (join) máy tính vào domain, gồm các quá trình: thiết lập mối tin cậy giữa client và domain controller, tìm (hoặc tạo - nếu tài khoản chưa được tạo) tài khoản máy tính có tên tương ứng với tên của client đang thực hiện kết nối, thay đổi SID cho khớp với SID của client, thay đổi nhóm cho tài khoản máy tính.
Có nhiều cách để thực hiện hai việc trên, bằng nhiều công cụ khác nhau. Nói chung, khi bạn trang bị thêm một máy tính mới vào hệ thống mạng thì bạn phải tạo một tài khoản cho nó. Khi một nhân viên nghỉ việc, và một nhân viên mới vào sử dụng máy tính cũ, thì bạn không phải tạo tài khoản máy tính mới. Tuy nhiên, bất cứ khi nào bạn cài lại hệ điều hành (sẽ làm thay đổi SID) thì phải thực hiện tạo tài khoản mới cho nó.
Lưu ý: quá trình tạo tài khoản luôn phải được thực hiện trước quá trình kết nối vào domain. Bạn có thể thực hiện hai công việc tách rời nhau, nghĩa là tạo tài khoản trước, kết nối vào domain sau. Hoặc bạn cũng có thể thực hiện luôn quá trình kết nối một máy tính vào domain, trong quá trình thực hiện kết nối, hệ thống sẽ yêu cầu tạo tài khoản máy tính trước khi thực hiện kết nối.
Tạo tài khoản máy tính bằng Active Directory Users And Computers
Mặc định, các nhóm Administrators, Domain Admins, và Enterprise Admin được phép tạo tài khoản máy tính trong toàn domain, nhóm Account Operators được phép tạo, xóa tài khoản máy tính trong thùng chứa (container) Computers của AD và trong các OU do bạn tạo ra. Các tài khoản khác, nếu được người quản trị ủy quyền cũng có quyền tạo tài khoản máy tính.
Việc tạo tài khoản máy tính cũng tương tự như tạo tài khoản người dùng, bạn chọn vị trí sẽ tạo tài khoản máy tính, bấm chuột phải, chọn New, Computer để mở cửa sổ New Object – Computer. Xem hình minh họa.
Sau khi tạo xong tài khoản máy tính, bạn có thể bấm chuột phải vào tài khoản vừa tạo, chọn Properties để mở cửa sổ Properties, để xem và chỉnh sửa một số thuộc tính khác của tài khoản máy tính. Trong đó, quan trọng nhất là mục Computer name, đây là tên của tài khoản máy tính, tên này có thể dài tới 64 kí tự, và phải trùng với tên của máy tính sẽ kết nối tới domain.
Tạo tài khoản máy tính bằng Active Directory Administrative Center
Để tạo tài khoản máy tính, mở Server Manager, vào trình đơn Tools, chọn Active Directory Administrative Center, chọn vị trí cần tạo tài khoản máy tính, tại khung Tasks, chọn New, chọn Computer để mở cửa sổ Create Computer, nhập các thông tin cần thiết, bấm OK để hoàn thành.
Tạo tài khoản máy tính bằng Dsadd.exe
Khi tạo một hoặc một vài tài khoản, người quản trị thường sử dụng giao diện cửa sổ. Tuy nhiên, khi cần tạo nhiều đối tượng, họ thường sử dụng giao diện dòng lệnh.
Dsadd.exe là công cụ cho phép người quản trị tạo nhiều tài khoản máy tính cùng lúc. Cú pháp của lệnh có dạng:
Dsadd computer <ComputerDN>
Trong đó ComputerDN là thông tin nhận diện đối tượng, gồm tên và vị trí của nó trong AD.
Ví dụ, để tạo tài khoản máy tính là May1 trong OU ChiNhanh2, thuộc domain dalat.com, bạn mở chương trình dòng lệnh, nhập vào lệnh sau:
Dsadd computer cn=May1,OU=ChiNhanh2,dc=dalat,dc=com
Tạo tài khoản máy tính bằng Windows PowerShell
Windows PowerShell có lệnh New-ADComputer cho phép bạn tạo tài khoản máy tính, tuy nhiên, lệnh này không thể kết nối (join) một tài khoản máy tính vào domain.
Cú pháp của lệnh là:
New-ADComputer –Name <computer name> -path <distinguished name>
Ví dụ, để tạo tài khoản máy tính là May1 trong OU ChiNhanh2, thuộc domain dalat.com, bạn mở chương trình Windows PowerShell, nhập vào lệnh sau:
New-ADComputer –Name “May1” –path “OU=ChiNhanh2,dc=dalat,dc=com”
Quản lý các tài khoản trong AD
Sau khi đã tạo tài khoản người dùng và tài khoản máy tính, bạn có thể quản lý và thay đổi các thông tin của tài khoản bằng nhiều công cụ khác nhau.
Trong Active Directory Administrative Center, bạn bấm đúp chuột vào đối tượng cần quản lý. Trong Active Directory Users And Computers bạn chuột phải vào đối tượng và chọn Properties. Giao diện của mỗi công cụ có thể khác nhau, tuy nhiên, nội dung của các thuộc tính thì có ý nghĩa giống nhau.
Quản lý nhiều người dùng
Trong quá trình quản lý các tài khoản người dùng, có tình huống bạn phải thay đổi một thuộc tính nào đó trên tất cả các tài khoản. Nếu bạn thực hiện tuần tự cho từng tài khoản sẽ mất rất nhiều thời gian và nhàm chán.
Trong tình huống này, bạn có thể sử dụng Active Directory Administrative Center hoặc Active Directory Users And Computers để thực hiện thay đổi thuộc tính cho nhiều đối tượng. Để thực hiện, chọn các đối tượng trong khi nhấn và giữ phím Ctrl, sau đó mở Properties. Trong cửa sổ Properties sẽ có các thuộc tính cho phép bạn thay đổi trên nhiều đối tượng. Xem hình minh họa.
---------------------------
Cập nhật 2015/4/20
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (46)
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- Cập nhật 2015/4/20
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (46)