bài 4: triển khai active directory: quản trị nhóm - giáo trình fpt
DESCRIPTION
Các khái niệm về Nhóm Quản trị nhómTRANSCRIPT
Bài 4:Triển khai Active Directory: Quản trị nhóm
Nội dung bài học trước
Các khái niệm trong ADCác bước cài đặt 1 ADQuản trị tài khoản người dùng
Bài 4 - Triển khai Active Directory: Quản trị nhóm 2
Mục tiêu bài học
Các khái niệm về NhómQuản trị nhóm
Bài 4 - Triển khai Active Directory: Quản trị nhóm 3
Giới thiệu về Nhóm
Có hai kiểu nhóm:Security Group:
Dùng để gán quyềnCũng có thể dùng để gửi email với Exchange Server
Nhóm là 1 tập hợp logic các đối tượng:• Người dùng• Máy tính• Nhóm khác
Nhóm là 1 tập hợp logic các đối tượng:• Người dùng• Máy tính• Nhóm khác
Bài 4 - Triển khai Active Directory: Quản trị nhóm 4
Distribution Group:Không thể gán quyềnSử dụng để gửi email theo nhóm
Security Group:Dùng để gán quyềnCũng có thể dùng để gửi email với Exchange Server
Phạm vi nhóm
Dựa vào phạm vi, nhóm được chia thành:Nhóm toàn cục (Global)Nhóm phổ quát (Universal)Nhóm cục bộ miềnNhóm cục bộ
Bài 4 - Triển khai Active Directory: Quản trị nhóm 5
Nhóm toàn cục
Định nghĩa:
• Dùng để cấp phát những quyền hệ thống và quyền truy cập vượtqua nhữngranh giới của một miền.
Định nghĩa:
• Dùng để cấp phát những quyền hệ thống và quyền truy cập vượtqua nhữngranh giới của một miền.
Quyền:• Một nhóm global có thể đặt vàotrong một nhóm local của các server thành viên
trong miền
Quyền:• Một nhóm global có thể đặt vàotrong một nhóm local của các server thành viên
trong miền
Quyền:• Một nhóm global có thể đặt vàotrong một nhóm local của các server thành viên
trong miền
Quyền:• Một nhóm global có thể đặt vàotrong một nhóm local của các server thành viên
trong miền
Cách dùng:• Áp dụng cho các đối tượng người dùng và máy tính đảm nhận nhiệm vụ bảo trì hệ
thống• Nhóm người dùng có những yêu cầu truy cập mạng tương tự
Cách dùng:• Áp dụng cho các đối tượng người dùng và máy tính đảm nhận nhiệm vụ bảo trì hệ
thống• Nhóm người dùng có những yêu cầu truy cập mạng tương tự
Bài 4 - Triển khai Active Directory: Quản trị nhóm 6
Nhóm phổ quát
Thành viên:• Nhóm toàn cục của bất cứ domain nào trong rừng• Tài khoản người dùng và máy tính của bất cứ domain nào trong rừng• Nhóm toàn cục từ bất cứ domain nào trong rừng
Thành viên:• Nhóm toàn cục của bất cứ domain nào trong rừng• Tài khoản người dùng và máy tính của bất cứ domain nào trong rừng• Nhóm toàn cục từ bất cứ domain nào trong rừng
Quyền: Có thể gán quyền trong bất cứ domain nào trong rừng hoặc trong các domain có quan
hệ tin cậy với nhau
Quyền: Có thể gán quyền trong bất cứ domain nào trong rừng hoặc trong các domain có quan
hệ tin cậy với nhau
Quyền: Có thể gán quyền trong bất cứ domain nào trong rừng hoặc trong các domain có quan
hệ tin cậy với nhau
Quyền: Có thể gán quyền trong bất cứ domain nào trong rừng hoặc trong các domain có quan
hệ tin cậy với nhau
Cách dùng:• Sử dụng để lồng các nhóm vào nhau trong domain
Cách dùng:• Sử dụng để lồng các nhóm vào nhau trong domain
Bài 4 - Triển khai Active Directory: Quản trị nhóm 7
Nhóm cục bộ miềnThành viên:• Tài khoản từ bất cứ domain nào trong rừng• Nhóm toàn cục từ bất cứ domain nào trong rừng• Nhóm phổ quát từ bất cứ domai nào trong rừng
Thành viên:• Tài khoản từ bất cứ domain nào trong rừng• Nhóm toàn cục từ bất cứ domain nào trong rừng• Nhóm phổ quát từ bất cứ domai nào trong rừng
Thành viên:• Tài khoản từ bất cứ domain nào trong rừng• Nhóm toàn cục từ bất cứ domain nào trong rừng• Nhóm phổ quát từ bất cứ domai nào trong rừng
Quyền: Gán quyền chỉ trong cùng domain với nhóm cục bộ
Quyền: Gán quyền chỉ trong cùng domain với nhóm cục bộ
Cách dùng:• Xác định và quản lý truy cập tài nguyên trên domain
Cách dùng:• Xác định và quản lý truy cập tài nguyên trên domain
Bài 4 - Triển khai Active Directory: Quản trị nhóm 8
Nhóm cục bộ
Thành viên:• Người dùng cục bộ• Người dùng domain• Nhóm domain
Thành viên:• Người dùng cục bộ• Người dùng domain• Nhóm domain
Quyền: Nhóm cục bộ chỉ gán quyền trên máy tính cục bộQuyền: Nhóm cục bộ chỉ gán quyền trên máy tính cục bộ
Không thể tạo nhóm cục bộ trên Domain ControllerKhông thể tạo nhóm cục bộ trên Domain Controller
Bài 4 - Triển khai Active Directory: Quản trị nhóm 9
Nhóm lồng
Ưu điểm của việc sử dụng chiến lượclồng nhóm trong việc quản trị cácnhóm AD DS:
Nhóm lồng cho phép các nhóm có thể là thành viêncủa nhiều nhóm khácNhóm lồng cho phép các nhóm có thể là thành viêncủa nhiều nhóm khác
Ưu điểm của việc sử dụng chiến lượclồng nhóm trong việc quản trị cácnhóm AD DS:
Các nhóm mà là thành viên của nhóm khác làm giảm tính lặp lại
Việc lồng các nhóm làm đơn giản hóa việc quản trị
Bài 4 - Triển khai Active Directory: Quản trị nhóm 10
Thuộc tính tên nhóm
Thuộc tính tênTên nhóm: là duy nhất trong OUTên nhóm (pre-Windows 2000 Server): sAMAccountName của nhóm phảilà duy nhất trong domainDùng chung 1 tên (duy nhất trong domain) cho cả 2 thuộc tính tên trên
Bài 4 - Triển khai Active Directory: Quản trị nhóm 11
Các quy tắc đặt tên nhóm
Cơ chế đặt tên• Tránh tên quá dài
• Tránh tên phổ biến
Sử dụng tên mô tả đúngchức năng
• Sales
• Marketing
• Executives
• Sales
• Marketing
• Executives
Sử dụng tên mô tả vị tríđịa lý
• Nước
• Bang
• Thành phố
Sử dụng tên dự án Nếu nhóm thiết lập cho 1 dự án thì đặt tênnhóm theo tên dự án
Bài 4 - Triển khai Active Directory: Quản trị nhóm 12
Xác định thành phần của nhóm
Thành viên của nhóm được liệtkê trong tab Member Tab
•Người dùng đơn lẻ•Nhóm lồng
Thành viên của nhóm được liệtkê trong tab Member Tab
•Người dùng đơn lẻ•Nhóm lồng
Members tab
Tab Members Of liệt kê cácnhóm mà nhóm này hiện đangthuộc vào
Tab Members Of liệt kê cácnhóm mà nhóm này hiện đangthuộc vào
Members Of tab
Thành viên của nhóm được liệtkê trong tab Member Tab
•Người dùng đơn lẻ•Nhóm lồng
Thành viên của nhóm được liệtkê trong tab Member Tab
•Người dùng đơn lẻ•Nhóm lồng
Tab Members Of liệt kê cácnhóm mà nhóm này hiện đangthuộc vào
Tab Members Of liệt kê cácnhóm mà nhóm này hiện đangthuộc vào
Bài 4 - Triển khai Active Directory: Quản trị nhóm 13
Công cụ quản trị nhóm
Để tạo và quản trị các nhóm trong AD DS, có thể dùng:Active Directory Users and ComputersActive Directory Administrative Center (chỉ dành choban R2)Windows PowerShell với module Active Directory (chỉdành cho ban R2)Các câu lệnh DS
Để tạo và quản trị các nhóm trong AD DS, có thể dùng:Active Directory Users and ComputersActive Directory Administrative Center (chỉ dành choban R2)Windows PowerShell với module Active Directory (chỉdành cho ban R2)Các câu lệnh DS
Bài 4 - Triển khai Active Directory: Quản trị nhóm 14
Quản trị thành viên nhóm
Các phương phápSử dụng thẻ Member của nhóm (Add/Remove)Sử dụng thẻ MemberOf của thành viên (Add/Remove)Câu lệnh thêm thành viên vào 1 nhóm (Add)
Những thay đổi của thành viên sẽ không được áp dụngtức thời
Đòi hỏi phải đăng nhập (đối với người dùng) hoặc khởi động (với máytính)Có Token tạo với SIDs của thành viên nhóm tại thời điểm đóTài khoản cho sự sao chép của thành viên chuyển thành người dùnghoặc máy tính của DC
Các phương phápSử dụng thẻ Member của nhóm (Add/Remove)Sử dụng thẻ MemberOf của thành viên (Add/Remove)Câu lệnh thêm thành viên vào 1 nhóm (Add)
Những thay đổi của thành viên sẽ không được áp dụngtức thời
Đòi hỏi phải đăng nhập (đối với người dùng) hoặc khởi động (với máytính)Có Token tạo với SIDs của thành viên nhóm tại thời điểm đóTài khoản cho sự sao chép của thành viên chuyển thành người dùnghoặc máy tính của DC
Bài 4 - Triển khai Active Directory: Quản trị nhóm 15
Chuyển đổi phạm vi và kiểu nhóm
Trong Active Directory Users and Computers, ta có thể đổikiểu nhóm:
Từ Security thành distribution (mất quyền gán vào nhóm)
Từ Distribution thành security
Trong Active Directory Users and Computers, ta có thểthay đổi phạm vi nhóm:
Nhóm toàn cục thành nhóm phổ quát
Nhóm cục bộ miền thành nhóm phổ quát
Nhóm phổ quát thành nhóm toàn cục
Nhóm phổ quát thành nhóm cục bộ miền
Ta không thể đổi: DL G hoặc G DL một cách trực tiếp, nhưng cóthể đổi bằng cách đổi DL U G hoặc G U DL.
Việc thay đổi có thể bị cấm nếu thành viên bị sai sửa rồi thử lại
dsmod group GroupDN –secgrp { yes | no }–scope { l | g | u }
Trong Active Directory Users and Computers, ta có thể đổikiểu nhóm:
Từ Security thành distribution (mất quyền gán vào nhóm)
Từ Distribution thành security
Trong Active Directory Users and Computers, ta có thểthay đổi phạm vi nhóm:
Nhóm toàn cục thành nhóm phổ quát
Nhóm cục bộ miền thành nhóm phổ quát
Nhóm phổ quát thành nhóm toàn cục
Nhóm phổ quát thành nhóm cục bộ miền
Ta không thể đổi: DL G hoặc G DL một cách trực tiếp, nhưng cóthể đổi bằng cách đổi DL U G hoặc G U DL.
Việc thay đổi có thể bị cấm nếu thành viên bị sai sửa rồi thử lại
dsmod group GroupDN –secgrp { yes | no }–scope { l | g | u }
Bài 4 - Triển khai Active Directory: Quản trị nhóm 16
Sao lưu thành viên nhóm
Sao lưu các thành viên của 1 nhóm sang 1 nhóm khác:
Sao lưu các thành viên của 1 người dùng sang ngườidùng khác:
dsget group "CN=Sales,OU=Role,OU=Groups,DC=contoso,DC=com" –members |dsmod group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" –addmbrdsget group "CN=Sales,OU=Role,OU=Groups,DC=contoso,DC=com" –members |dsmod group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" –addmbr
Sao lưu các thành viên của 1 nhóm sang 1 nhóm khác:
Sao lưu các thành viên của 1 người dùng sang ngườidùng khác:
dsget user "SourceUserDN" –memberof |dsmod group –addmbr "TargetUserDN"
dsget user "SourceUserDN" –memberof |dsmod group –addmbr "TargetUserDN"
Bài 4 - Triển khai Active Directory: Quản trị nhóm 17
Xóa nhóm
Từ Active Directory Users and Computers: chuột phảirồi chọn DeleteCâu lệnh DSRm
dsrm ObjectDN ... [-subtree [-exclude]] [-noprompt] [-c]
-noprompt: không yêu cầu xác nhận mỗi khi xóa-c: tiếp tục nếu cso lỗi xảy ra (ví dụ bị chặn truy cập)-subtree: xóa đối tượng và tất cả đối tượng con của nó-subtree –exclude: xóa tất cả đối tượng con mà không xóa đốitượng chính
Việc xóa một nhóm Security có 1 chú ý:SID bị mất và không thể lấy lại đượcLưu ý: Trước tiên, ghi lại toàn bộ thành viên và xóa các thành viênđể kiểm tra, đánh giá các ảnh hưởng không mong muốn
Từ Active Directory Users and Computers: chuột phảirồi chọn DeleteCâu lệnh DSRm
dsrm ObjectDN ... [-subtree [-exclude]] [-noprompt] [-c]
-noprompt: không yêu cầu xác nhận mỗi khi xóa-c: tiếp tục nếu cso lỗi xảy ra (ví dụ bị chặn truy cập)-subtree: xóa đối tượng và tất cả đối tượng con của nó-subtree –exclude: xóa tất cả đối tượng con mà không xóa đốitượng chính
Việc xóa một nhóm Security có 1 chú ý:SID bị mất và không thể lấy lại đượcLưu ý: Trước tiên, ghi lại toàn bộ thành viên và xóa các thành viênđể kiểm tra, đánh giá các ảnh hưởng không mong muốn
dsrm "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com"
dsrm "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com"
Bài 4 - Triển khai Active Directory: Quản trị nhóm 18
Tổng kết bài học
Các loại nhóm trong ADQuản trị nhóm
Bài 4 - Triển khai Active Directory: Quản trị nhóm 19