MCSA 2012 Domain Network – Thuộc tính User và Group

Tiếp tục với seri ” Tự học MCSA 2012″ mình sẽ đề cập đến các thuộc tính thường dùng của user, group và Delegate Control trong.

Chuẩn bị:

1 máy server 2012: 2012may1.

Thuộc tính của user:
dsa.msc -> chọn user và Properties -> Tab General : lưu trữ thông tin user (mail, address, v.v)

Tab General

Tab Address cũng tương tự

Tab Account

Tab Account

ta thấy 2 kiểu log-on của hệ thống

User logon name: KT1@tuhocmang.com (kiểu UPN)

User logon name (Pre-2000): tuhocmang\KT1 (NetBios Name)

Thuộc tính: Logon Hours (giờ logon) chỉ định thời gian user được logon, mặc định là 24/24.

Chọn Logon Hours

Logon Hours

Logon Permitted: cho phép log on

Logon Denied: cấm logon

Để chỉ định thời gian logon thì ta bấm Logon Denied để xóa trắng rồi dùng chuột khoanh vùng rồi chọn Logon Permitted.

Ví dụ: ta chỉ định thời gian log on: 7hAM -> 5hPM thứ 2 đến thứ 7.

Logon Hours

Log on To: Chỉ định user được phép log on vào máy trạm nào, mặc định là trên tất cả workstation thì user đều có quyền log on

Để cô lập vị trí thì ta có thể chỉ định computer cụ thể (vd ta add: 2012may2).

Logon Workstation

Trên đây là những thuộc tính thường dùng, ngoài ra còn thêm thuộc tính Member Of và Organization v.v.

Để cấu hình cùng lúc các User thì ta chọn KT1 rồi sau đó bấm phím “ Ctrl” để chọn thêm các user khác rồi Properties.

cấu hình nhiều user

Sau đây, ta sẽ bàn về Group.  Chọn container “ Users” -> New Group

tạo Group

Khi tạo Group trên Domain ta phải khai báo thêm 2 thông tin: Group scope và Group Type.

Group Type : gồm 2 loại Security, Distribution.

Thì như đã biết mục đích của việc tạo group là dễ quản ý, thay vì phân quyền cho từng user cho file server.

Security: Group loại này cho phép ta có thể phân quyền theo group,

Ngoài ra còn có chức năng phân bổ Mail: khi sử dụng Mail Exchange, ta muốn gửi cho cả group thay vì phải nhập tên từng user (ở phần “To”).

Distribution: chỉ có chức năng phân bổ mail, không thể phân quyền.

Group Scope ( phạm vi của group) gồm 4 loại: Local, Domain Local, Global, Universal.

Tóm tắt về group scope

Trong môi trường local, Local group chỉ chứa các local user (ở Domain thì dùng Restricted Group Policy để add các nhóm khác vào Local Group).

Ở Domain có khái niệm “Group Nesting” (lồng group) nghĩa là một Group này có thể là thành viên của group khác (Member Of). 

Lưu ý:

Universal Group: có thể sử dụng ở mọi domain trong một forest (log-on, truy cập tài nguyên v.v). Universal group và các thành viên chứa trong nó được lưu trong Global Catalog (GC). Tất cả những sự thay đổi trong Universal group đều được “replicate”  đến các Global Catalog server trong forest.

Global Group, Domain local: chỉ có ảnh hưởng trong cùng domain.

Global Group và Domain local group cũng được ” replicate” đến các GC trong forest nhưng các thành viên bên trong thì không.

( Vd: Global group A chứa user B và Global group C thì B, C không được ” replicate” khi có sự thay đổi, nó chỉ “replicate” duy nhất các thuộc tính liên quan đến A ).

Link tham khảo: http://blogs.msmvps.com/acefekay/2012/01/06/using-group-nesting-strategy-ad-best-practices-for-group-strategy/

Group scope: http://technet.microsoft.com/en-us/library/cc755692(v=ws.10).aspx

Như mình đã đề cập ở các bài trước, Group giúp cho HDH dễ dàng hơn trong việc quản lý, liệt kê các quyền trong ACL (access control list). Nếu có 300 user, thay vì phải liệt kê ra các quyền của 300 user (hay nói đúng hơn là 300 SID), “performance” cho việc liệt kê sẽ giảm.

Một vấn đề nữa khuyến cáo ta nên sử dụng group: Khi người dùng nghỉ việc, thường thì ta sẽ disable tài khoản đó, 1 số khác sẽ xóa hẳn tài khoản, lúc này trên ACL vẫn tồn tại SID của user đó ( không có User Name vì tài khoản đã bị xóa), lúc này ta phải xóa các SID trong ACL. 

Organization Unit (OU):  ở phần 1 mình đã nói sơ về OU, phần này sẽ nói thêm.

OU giúp cho chúng ta:

+ Tổ chức Domain dạng phân cấp( hình cây): Công ty có Ban Giám Đốc, rồi Các Phòng Ban từng phòng ban có các user. Trong AD ta có thể biểu diễn như thế bằng OU.

+ (Delegate Control: Ủy quyền quản lý các đối tượng trên domain cho user khác). Trong hệ thống lớn, ta phải giao bớt quyền cho nhân viên khác, nhưng ta không thể giao nhân viên quyền Administrator mà chỉ nên giao quyền để quản lý từng OU. (User không cần quyền admin, có thể dùng RSAT để quản lý OU) 

Phải chuột vào tuhocmang.local -> New -> Organization Unit

tạo OU

Nhập trên OU

Tạo OU

Ta thấy có dấu check: Protec container from accidental deletion: bảo vệ, không cho xóa. -> OK

Phải chuột “ Cong ty A” -> New -> Organization Unit: tạo OU Nhan su và KeToan.

OU

Do là mô hình cây nên nếu muốn đối tượng nào làm “cha” thì chọn đối tượng đó rồi New.

Để chuyển đối tượng (user, group, computer) từ OU này sang OU khác, ta chọn Move

Move User, Group

Move

Move

Vào OU NhanSu tạo user Ns2, Ns2. 

Cấu hình Delegate Control:

Mặc định user chỉ được đọc cấu hình trong Active Directory Users and Computers (ADUC).

Tình huống 1:

Ta có nhu cầu ủy nhiệm user KT1 có quyền quản lý user, group trong phạm vi OU KeToan.

Chuột phải vào OU kế toán -> Delegate Control -> Next

Users or Groups: chỉ định user hoặc group mình cần giao quyền : Add -> chọn KT1

Delegate Control OU

Next

Tasks to  Delegate: các tác vụ ta muốn ủy nhiệm: Windows xây dựng sẵn các quyền ( common tasks) hoặc ta có thể tùy chỉnh thêm ( custom task)

Ở đây ta chọn “Create, delete and manage user account” và “Create, delete and manage Group”

Delegate Control OU

Next -> Finish.

Test: Logon user KT1  “Reset password” KT2 thành công. 

Tình huống 2: Cấu hình NS1 toàn quyền trên OU NhanSu.

Làm các bước đầu như tình huống 1

Tasks to delegate: ta nhận thấy common tasks thì không đủ toàn quyền, ta chon custom task -> Next

Active Directory Object Type: Chọn loại đối tượng nào

Ta chọn: this folder, existing …… : nghĩa là áp cho các loại đối tượng đang tồn tại và áp đặt lên các đối tượng được tạo về sau.

Delegate Control OU

Next

Permission: chọn full control

Delegate Control OU

Next -> Finish.

Tình huống 3:

Ns1 không có quyền trong OU KeToan nhưng vẫn nhìn thấy các đối tượng trong OU KeToan,  ta muốn chỗ nào nó không có quyền thì không cho thấy.

Chọn OU KeToan ->Properties : Ta thấy có 3 thuộc tính (Tab) nhưng thực ra có nhiều tab, ta phải làm cho nó hiển thị

Trong giao diện ADUC -> View -> Advance Feature để hiển thị.

Properties OU Ketoan -> Tab Security

Tab này liệt kê những quyền của user đối với OU.

Nếu muốn bỏ quyền Delegate Control đối với user nào thì remove user đó trong tab Security.

Để không cho nhìn thấy thì ta chỉ cần add user/Group rồi chọn Deny – Full Control.

Kết quả: Log on user NS1 không còn thấy OU KeToan.

Tình huống 4:

Xóa các OU trong ADUC.

Do có dấu check trong khi tạo OU để bảo vệ OU chống xóa nhầm, nên muốn xóa ta phải bỏ check

Tab Object -> bỏ check.

Mình xin kết thúc phần ” Thuộc tính User và Group”. Bài này có các khái niệm như GC, replicate mình sẽ nói chi tiết ở các phần sau. Do viết bài nên cũng khó diễn đạt hết ý nghĩa, các bạn có thể tham khảo sâu hơn ở link mình đã post. Cảm ơn các bạn đã theo dõi.

http://www.slideshare.net/laonap166/mcsa-2012-domain-network-thuc-tnh-user-v-group

nguồn: tuhocmang.com