(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (47)")
Lồng group (nesting group)
Lồng group là thuật ngữ đề cập tới tình huống một group là thành viên của group khác. Ví dụ, khi bạn cho group global là thành viên của group universal, bạn có thể nói: group global được lồng vào group universal.
Lồng group giúp giảm bớt công việc liên quan đến cấp quyền sử dụng tài nguyên cho người dùng, đặc biệt trong các hệ thống mạng gồm nhiều domain. Ví dụ, nếu hệ thống mạng gồm nhiều domain con, người dùng trong các domain con cần truy cập tới cơ sở dữ liệu trên domain cha, cách đơn giản nhất để thực hiện là:
1. Tạo group kiểu global trên mỗi domain con, cho tất cả người dùng có nhu cầu truy cập cơ sở dữ liệu là thành viên của group vừa tạo.
2. Tạo group kiểu universal trên domain cha. Lồng các group kiểu global đã tạo ở bước 1 làm thành viên của group universal.
3. Lồng group universal vào group domain local (trên domain cha). Cấp quyền truy cập cơ sở dữ liệu cho group domain local.
Chiến lược lồng nhóm hay được sử dụng là AGUDLP. Ý nghĩa của AGUDLP là: tạo tài khoản người dùng (Account), cho tài khoản người dùng là thành viên của group Global, lồng group global vào group Universal, lồng group universal vào group Domain Local, thực hiện cấp quyền (Permission) cho group domain local. Chiến lược này cũng có thể sử dụng trong ủy quyền quản trị.
Tạo group
Việc tạo group bằng Active Directory Administrative Center hay bằng Active Directory Users And Computers cũng giống với quá trình tạo OU. Nghĩa là cũng cần xác định vị trí tạo group và đặt tên cho group. Tên của group có thể dài 64 kí tự, phải là duy nhất trong domain. Ngoài ra, bạn cũng cần phải lựa chọn group type và group scope cho phù hợp. Xem hình minh họa.
Ngoài việc sử dụng giao diện cửa sổ để tạo group, bạn cũng có thể sử dụng các công cụ dòng lệnh để tạo một lúc nhiều group. Sau đây là một số phương pháp tạo group bằng công cụ dòng lệnh.
Dsadd group
Công cụ dsadd được sử dụng để tạo tài khoản người dùng, ngoài ra, nó cũng được dùng để tạo ra group. Cú pháp của lệnh như sau:
Dsadd group <GroupDN> [parameters]
Trong đó, GroupDN (group distinguished name): thông tin nhận diện group, GroupDN là duy nhất cho mỗi group. GroupDN gồm: tên group, vị trí tạo group.
Mặc định, dsadd sẽ tạo group kiểu security, global. Tuy nhiên, bạn có thể thiết lập trong các tham số để tạo group với kiểu (type, scope) khác nhau, thiết lập thành viên cho group, và các tham số khác. Cụ thể:
-secgrp yes|no : kiểu của group, yes là kiểu security; no là kiểu distribution. Giá trị mặc định là yes.
-secgrp yes|no : kiểu của group, yes là kiểu security; no là kiểu distribution. Giá trị mặc định là yes.
-Scope l|g|u : kiểu dựa trên phạm vi của group, l là kiểu domain local; g là kiểu global; u là kiểu universal. Giá trị mặc định là g.
-Scope l|g|u : kiểu dựa trên phạm vi của group, l là kiểu domain local; g là kiểu global; u là kiểu universal. Giá trị mặc định là g.
-Samid <SAMName> : tên SAM của group, xem thêm thông tin về SAM trong phần tài khoản người dùng.
-Samid <SAMName> : tên SAM của group, xem thêm thông tin về SAM trong phần tài khoản người dùng.
-desc <description> : mô tả cho group.
-desc <description> : mô tả cho group.
-memberof <GroupDN> : group sắp được tạo sẽ là thành viên của group nào.
-memberof <GroupDN> : group sắp được tạo sẽ là thành viên của group nào.
-members <GroupDN> tên các đối tượng sẽ là thành viên của group sẽ được tạo [//tài liệu gốc ghi là member].
-members <GroupDN> tên các đối tượng sẽ là thành viên của group sẽ được tạo [//tài liệu gốc ghi là member].
Ví dụ, lệnh sau để tạo group có tên là BanHang trong Users, cho tài khoản Administrator là thành viên của group BanHang:
Dsadd group “CN=BanHang,CN=Users,DC=dalat,DC=com” –members “CN=Administrator,CN=Users,DC=dalat,DC=com”
Sử dụng Windows PowerShell
Để tạo group trong Windows PowerShell, sử dụng lệnh New-ADGroup với cú pháp như sau:
New-ADGroup
-Name <group name>
-SamAccountName <SAM name>
-GroupCategory Distribution|Security
-GroupScope DomainLocal|Global|Universal
-Path <distinguished name>
Ví dụ sau tạo group có tên BanHang trong OU ChiNhanh2.
New-ADGroup –Name BanHang –SamAccountName BanHang –GroupCategory Security
-GroupScope Global –Path “OU=ChiNhanh2, DC=dalat, DC=com”
Thêm thành viên cho group
Active Directory Administrative Center cho phép thiết lập thành viên ngay lúc tạo group. Tuy nhiên, Active Directory Users And Computers yêu cầu bạn phải tạo group trước, sau đó mới thiết lập thành viên cho group.
Để thêm thành viên cho group, chọn group, vào trình đơn Action, chọn Properties để mở cửa sổ Properties, chọn táp Members để thêm thành viên. Chọn táp Member Of để lồng group vào group khác.
Quản lý thành viên của group bằng Group Policy
Ngoài việc sử dụng Active Directory Administrative Center hoặc Active Directory Users And Computers, bạn có thể sử dụng Group Policy để thêm thành viên cho group. Các bước để thực hiện:
1. Mở Server Manager, vào trình đơn Tools, chọn mục Group Policy Management để mở cửa sổ Group Policy Management. Tạo một GPO mới và liên kết tới domain.
2. Bấm chuột phải vào GPO vừa tạo, chọn Edit để mở cửa sổ Group Policy Management Editor, duyệt theo đường dẫn: Computer Configuration\Policies\Windows Settings\Security Settings\Restricted Group. Xem hình minh họa.
3. Bấm chuột phải vào mục Restricted Groups, chọn mục Add group để mở cửa sổ Add Group.
4. Nhập tên hoặc bấm vào nút Browse để tìm tới group cần cấu hình, bấm OK. Tên group vừa được chọn sẽ xuất hiện trong mục Restricted Groups, đồng thời xuất hiện cửa sổ Properties. Xem hình minh họa.
6. Bấm OK.
7. Đóng cửa sổ Group Policy Management Editor và Group Policy Management.
Việc thiết lập các thành viên của group bằng Group Policy có tính chất cố định. Nghĩa là, người quản trị vẫn có thể sử dụng các công cụ khác để thay đổi các thành viên của group. Tuy nhiên, khi hệ thống cập nhật lại group policy, thì trạng thái của group lại được thiết lập như ban đầu.
Quản lý group bằng DSMOD
Dsmod.exe cho phép thay đổi các thuộc tính của group, như thêm thành viên, xóa thành viên, đổi kiểu của group, đổi phạm vi của group.
Cú pháp của lệnh:
Dsmod group <GroupDN> [parameters]
Các tham số thường được sử dụng là:
–secgrp yes|no : yes là group kiểu security, no là kiểu distribution.
–secgrp yes|no : yes là group kiểu security, no là kiểu distribution.
–scope l|g|u : l là kiểu domain local, g là kiểu global, u là kiểu universal.
–scope l|g|u : l là kiểu domain local, g là kiểu global, u là kiểu universal.
–addmbr <members> : thêm thành viên cho group.
–addmbr <members> : thêm thành viên cho group.
–rmmbr <members> : xóa thành viên của group.
–rmmbr <members> : xóa thành viên của group.
–chmbr <members> : thiết lập lại toàn bộ thành viên của group.
–chmbr <members> : thiết lập lại toàn bộ thành viên của group.
Ví dụ, lệnh sau sẽ cho tài khoản Administrator là thành viên của group Guests:
dsmod group “CN=Guests, CN=Builtin, DC=dalat, DC=com”
-addmbr “CN=Administrator, CN=Users, DC=dalat, DC=com”
Đổi kiểu của group
Khi group đã được tạo ra, bạn vẫn có thể thực hiện thay đổi kiểu (type) và phạm vi (scope) của nó.
Để thực hiện, mở cửa sổ Properties của group cần thay đổi, chọn táp General, thực hiện các tùy chọn.
Lưu ý, việc thay đổi phạm vi của group phải tuân theo hướng dẫn trong bảng sau:
Chuyển sang
Domain Local
|
Chuyển sang
Global
|
Chuyển sang
Universal
| |
Từ Domain Local
|
Không được
|
Không được
|
Được, nếu group không chứa group domain local khác.
|
Từ Global
|
Không được
|
Không được
|
Được, nếu group không chứa group global khác.
|
Từ Universal
|
Được
|
Được, nếu group không chứa group universal khác.
|
Không được
|
Xóa Group
Cũng giống như tài khoản người dùng, mỗi group sẽ có một định danh (SID) duy nhất, định danh này không thể sử dụng lại được. Định danh được hệ thống sử dụng trong quá trình phân quyền sử dụng tài nguyên.
Khi xóa group, Windows Server 2012 R2 sẽ loại bỏ SID vĩnh viễn, kể cả khi tạo một group mới có tên trùng với group đã bị xóa thì SID cũng sẽ được tạo mới. Điều này có nghĩa là, khi xóa group, hệ thống sẽ xóa luôn các quyền đã được cấp cho group đó, và không thể phục hồi lại các quyền đã cấp bằng cách tạo lại group vừa xóa.
Xóa group chỉ loại bỏ tên, SID của group và các quyền đã được cấp cho group, mà không xóa các thành viên trong group.
Tóm tắt nội dung
- Thêm OU vào AD đơn giản hơn nhiều so với việc thêm một domain vào AD. Với OU, bạn vừa dễ di chuyển, có thể xóa đi, cũng không cần phải đầu tư thêm phần cứng.
- Thêm OU vào AD đơn giản hơn nhiều so với việc thêm một domain vào AD. Với OU, bạn vừa dễ di chuyển, có thể xóa đi, cũng không cần phải đầu tư thêm phần cứng.
- OU có thể chứa người dùng và máy tính như group, tuy nhiên, bạn không thể phân quyền cho một nhóm người dùng cùng lúc bằng OU được, để làm điều này bạn phải tạo group.
- OU có thể chứa người dùng và máy tính như group, tuy nhiên, bạn không thể phân quyền cho một nhóm người dùng cùng lúc bằng OU được, để làm điều này bạn phải tạo group.
- OU được sử dụng để ủy quyền quản trị, chia nhỏ hệ thống để quản trị, các thiết lập trên OU không làm ảnh hưởng đến các phần còn lại của hệ thống AD.
- Group được sử dụng để gán quyền truy cập tài nguyên cho nhiều người dùng hoặc máy tính cùng lúc.
- Group được phân loại dựa trên chức năng và phạm vi. Dựa theo chức năng có hai loại: security và distribution. Dựa theo phạm vi có ba loại: domain local, global, universal.
- Lồng group là khái niệm để chỉ việc group này là thành viên của group khác.
- Có thể thiết lập thành viên cho group bằng công cụ group policy, thiết lập trong Restricted Groups.
- OU được sử dụng để ủy quyền quản trị, chia nhỏ hệ thống để quản trị, các thiết lập trên OU không làm ảnh hưởng đến các phần còn lại của hệ thống AD.
- Group được sử dụng để gán quyền truy cập tài nguyên cho nhiều người dùng hoặc máy tính cùng lúc.
- Group được phân loại dựa trên chức năng và phạm vi. Dựa theo chức năng có hai loại: security và distribution. Dựa theo phạm vi có ba loại: domain local, global, universal.
- Lồng group là khái niệm để chỉ việc group này là thành viên của group khác.
- Có thể thiết lập thành viên cho group bằng công cụ group policy, thiết lập trong Restricted Groups.
Câu hỏi ôn tập
1. Group nào được sử dụng để tập hợp người dùng và group trên nhiều domain hoặc toàn forest?
A. Global
B. Domain local
C. Built-in
D. Universal
2. Phát biểu nào không đúng về mục đích tạo OU?
A. Để tạo một thùng chứa cố định, không thể di chuyển hoặc đổi tên.
B. Mô phỏng các phòng ban trong tổ chức trên hệ thống AD.
C. Ủy quyền quản trị.
D. Tạo các chính sách riêng biệt bằng group policy, sau đó áp dụng trên các nhóm người dùng và máy tính.
3. Việc chuyển đổi kiểu của group nào sau đây không cho phép làm trong mọi tình huống?
A. Từ global sang universal
B. Từ global sang domain local
C. Từ universal sang global
D. Từ domain local sang universal
4. Trong domain đang chạy ở chế độ Windows Server 2012 R2 (Windows Server 2012 R2 domain functional level), các đối tượng nào có thể là thành viên của group kiểu global? (chọn nhiều đáp án)
A. Các tài khoản người dùng.
B. Các tài khoản máy tính.
C. Group kiểu universal.
D. Group kiểu global.
5. Khi bạn sử dụng Active Directory Users And Computers để xóa một group kiểu global, tuy nhiên, hệ thống không cho phép thực hiện. Đâu là nguyên nhân? (chọn nhiều đáp án)
A. Group đang còn chứa các thành viên.
B. Group có chứa thành viên được thiết lập là primary group.
C. Tài khoản hiện tại không có quyền xóa các đối tượng.
D. Không thể xóa group kiểu global bằng công cụ Active Directory Users And Computers.
---------------------------
Cập nhật 2015/5/7
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (49)
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- Cập nhật 2015/5/7
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (49)