Kết nối máy tính vào domain
Muốn kết nối máy tính nào vào domain thì phải thực hiện từ chính máy đó. Để thực hiện, đăng nhập vào máy tính với tài khoản thuộc nhóm Administrators cục bộ.
Để kết nối máy Windows Server 2012 R2 vào domain, mở Server Manager, chọn mục Local Server, bấm vào liên kết tại mục Computer name để mở cửa sổ System Properties, bạn sẽ thấy tên máy tính là tên được đặt từ khi cài hệ điều hành, tên workgroup mà máy này thuộc vào là WORKGROUP. Bấm nút Change để mở cửa sổ Compute Name/Domain Changes. Xem hình minh họa.
Đặt lại tên cho máy tính trong mục Computer Name. Lưu ý, nếu đã tạo tài khoản máy tính trên server, thì tên tài khoản máy tính và tên máy tính phải trùng nhau. Tên máy tính là duy nhất trong domain.
Nhập tên domain trong mục Member of\Domain. Bấm OK, hệ thống sẽ yêu cầu chứng thực bằng tài khoản Domain, đây là tài khoản được phép kết nối một máy tính vào domain.
Sau khi chứng thực thành công, domain controller sẽ tìm kiếm trong cơ sở dữ liệu của AD xem có tài khoản máy tính nào đã được tạo, mà có tên trùng với tên máy tính đang muốn kết nối hay không? Nếu có, domain controller sẽ thực hiện cập nhật lại một số thông tin của tài khoản máy tính cho phù hợp. Nếu không có, domain controller sẽ tạo một tài khoản máy tính mới có tên trùng với tên của máy tính đang muốn kết nối. Mặc định, vị trí tạo tài khoản máy tính là mục Computers của AD.
Trong trường hợp domain controller tự tạo một tài khoản máy tính, hệ thống sẽ sử dụng quyền của tài khoản đã được chứng thực để tạo. Do vậy, tài khoản chứng thực cũng phải có quyền tạo tài khoản máy tính trong mục (thùng chứa) Computers, ví dụ các thành viên của nhóm Administrators.
Tuy nhiên, các tài khoản domain khác vẫn có thể kết nối máy tính vào domain nếu nó được thiết lập trong Default Domain Controllers Policy. Để thực hiện, bấm chuột phải vào Default Domain Controllers Policy, chọn Edit, duyệt theo đường dẫn: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\ kích đôi vào mục Add workstations to domain để mở cửa sổ Add workstations to domain Properties, chọn người dùng hoặc nhóm để thiết lập chính sách này. Xem hình minh họa.
Mỗi tài khoản người dùng khi được nhập vào cửa sổ Add workstations to domain Properties sẽ được kết nối 10 máy tính vào domain, cũng có nghĩa là được tạo 10 tài khoản máy tính.
Kết nối máy tính vào domain bằng NETDOM.EXE
Cú pháp của lệnh như sau:
Netdom join <computername> /Domain:<DomainName>[/UserD:<User> /PasswordD<UserPassword>][/OU:OUDN]
Ví dụ,
Netdom join May1 /Domain:dalat.com /UserD:Administrator /PasswordD abcd1234
Kết nối gián tiếp (offline) máy tính vào domain
Thông thường, người quản trị sẽ thực hiện kết nối một máy tính vào domain trong khi máy tính đang có kết nối với mạng và với domain controller. Tuy nhiên, trong một số trường hợp đặc biệt, họ vẫn có thể thực hiện kết nối một máy tính vào domain mà không cần phải có kết nối tới domain controller.
Công cụ được sử dụng để làm việc này là Djoin.exe. Để thực hiện, bạn phải chạy Djoin.exe hai lần. Lần một là chạy trên máy tính đang có kết nối tới domain controller. Lần hai là chạy trên máy tính đang muốn kết nối vào domain.
Ở lần chạy đầu, Djoin sẽ kết nối tới domain controller, lấy các thông tin cần thiết (ví dụ thông tin về tài khoản máy tính), rồi lưu vào một tập tin. Cú pháp của lệnh có dạng sau:
djoin /provision /domain <domain name> /machine <computer name> /savefile <filename.txt>
Bạn chép tập tin đã được tạo ở lần chạy đầu tới máy tính sẽ kết nối tới domain và chạy Djoin lần hai. Djoin.exe sẽ chép nội dung trong tập tin vào máy tính, để sau này, khi máy tính có kết nối tới domain controller, nó sẽ tự động kết nối vào domain. Cú nháp của lệnh có dạng sau:
djoin /requestODJ /loadfile <filename.txt> /windowspath %SystemRoot% /localos
Quản lý các tài khoản (người dùng/máy tính) không sử dụng
Để cấm một tài khoản đăng nhập vào hệ thống, mà vẫn giữ nguyên các thông tin cấu hình của tài khoản, bạn thực hiện vô hiệu tài khoản (disable). Bạn có thể thực hiện vô hiệu bằng tay hoặc tự động bằng domain controller (ví dụ xem trong phần chính sách khóa tài khoản).
Để thực hiện vô hiệu/cho phép (disable/enable) một tài khoản bằng Active Directory Administrative Center hoặc Active Directory Users And Computers, bạn bấm chuột phải vào đối tượng, chọn Disable hoặc Enable. Bạn cũng có thể thực hiện cho nhiều tài khoản cùng lúc bằng cách này.
Bạn cũng có thể thực hiện vô hiệu/cho phép tài khoản bằng Windows PowerShell, sử dụng lệnh sau:
Disable-ADAcount –Identity <account name>
Disable-ADAcount –Identity <account name>
Tóm tắt nội dung
- Tài khoản người dùng là phương tiện để kiểm soát mọi người trong việc sử dụng các tài nguyên trên hệ thống AD.
- Tạo tài khoản người dùng là công việc thường xuyên của người quản trị. Windows Server 2012 R2 cung cấp khá nhiều công cụ cho phép thực hiện việc này.
- Active Directory Administrative Center (ADAC) được giới thiệu lần đầu trong Windows Server 2008 R2, nó tiếp tục được cải tiến trong Windows Server 2012 R2. Bạn có thể sử dụng công cụ này để tạo và quản lý tài khoản người dùng.
- Công ty bạn có thể đã có sẵn danh sách nhân viên cùng với các thông tin đi kèm trong một ứng dụng nào đó. Bạn có thể kết xuất các thông tin này sang tập tin .CSV. Sau đó dùng một số công cụ để tự động tạo tài khoản hoặc chỉnh sửa thông tin người dùng trên AD bằng các thông tin có trong tập tin .CSV.
- LDIFDE là công cụ để tạo tài khoản người dùng tự động, giống như CSVDE.exe, ngoài ra, nó còn cho phép bạn chỉnh sửa các thông tin của tài khoản người dùng trong AD.
- Vì AD DS forest quản lý tập trung tất cả các đối tượng trong danh bạ, nên nó phải có cách thức để quản lý các máy tính hiện đang được kết nối vào hệ thống. AD DS forest quản lý các máy tính bằng cách tạo cho mỗi máy tính một tài khoản trong cơ sở dữ liệu của AD DS.
- Việc kết nối một máy tính vào domain phải được thực hiện trên chính máy đó, với tài khoản đăng nhập thuộc nhóm Administrators cục bộ.
- Lệnh Djoin.exe cho phép kết nối một máy tính vào domain mà không cần có kết nối mạng giữa máy tính và domain controller.
Câu hỏi ôn tập
1. Chương trình nào sau đây có thể sử dụng để thêm, xóa hoặc thay đổi các đối tượng trong AD, nếu cần thiết có thể thay đổi schema?
A. DCPROMO
B. LDIFDE
C. CSVDE
D. NSLOOKUP
2. Khi sử dụng CSVDE, hàng dữ liệu đầu tiên trong tập tin .CSV được gọi là gì?
A. Header row
B. Header record
C. Name row
D. Name record
3. Tiện ích nào sau đây được sử dụng để kết nối gián tiếp (offline) máy tính tới domain?
A. net join
B. join
C. djoin
D. dconnect
4. Trong Windows Server 2012 R2, loại tài khoản nào sau đây không cho phép cấu hình?
A. Local accounts
B. Domain accounts
C. Network accounts
D. Built-in accounts
5. Trong Windows Server 2012 R2, có hai tài khoản người dùng tạo sẵn (built-in) nào?
A. Network
B. Interactive
C. Administrator
D. Guest
---------------------------
Cập nhật 2015/4/23
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (47)
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- Cập nhật 2015/4/23
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (47)