Trên máy tính cá nhân hoặc máy chủ Windows Server chưa được kết nối vào mạng domain, chúng ta đã tìm hiểu cách quản lý người dùng và nhóm. Trong bài viết này, chúng ta sẽ tìm hiểu về việc quản lý người dùng và nhóm trên Active Directory Users and Computers.
Sự khác biệt giữa quản lý trên máy cục bộ và trên Active Directory
So với việc quản lý trên máy cục bộ, quản lý trên Active Directory có nhiều khác biệt và phức tạp hơn. Sau khi cài đặt và nâng cấp hệ thống lên Domain Controller, ngoài khái niệm người dùng và nhóm, bạn sẽ gặp thêm hai khái niệm mới là Đơn vị Tổ chức (Organizational Unit) và máy tính.
Đơn vị Tổ chức (OU – Organizational Unit)
-
OU là một đối tượng trong Active Directory, tương tự như một thư mục. OU được sử dụng để chứa các đối tượng như người dùng, máy tính và nhóm. Một OU có thể chứa các OU con bên trong nó.
-
OU được sử dụng để phân quyền quản lý. Ví dụ: Nếu bạn có một nhóm IT Support và muốn ủy quyền cho nhóm này quản lý một nhóm máy tính, bạn có thể tạo một OU, đưa các máy tính cần được quản lý vào OU đó và ủy quyền cho nhóm IT Support. Nhóm IT Support sẽ có quyền chỉnh sửa thông tin, thêm và xóa các đối tượng trong OU đó. Tuy nhiên, nhóm IT Support sẽ không có quyền truy cập vào các OU khác.
-
OU cũng được sử dụng để áp dụng các chính sách (Group Policy). Chính sách này sẽ được áp dụng tự động cho các đối tượng là người dùng và máy tính. Ví dụ: Nếu bạn muốn một số người dùng được kết nối vào một ổ mạng từ File Server một cách tự động, bạn có thể tạo một OU, đưa các người dùng cần áp dụng chính sách vào OU đó, sau đó tạo một Group Policy cho phép kết nối ổ mạng và liên kết Group Policy với OU đó. Các OU không liên kết với Group Policy này sẽ không bị ảnh hưởng bởi chính sách kết nối vào ổ mạng này. Một OU có thể được áp dụng nhiều Group Policy.
Nhóm (Group)
-
Nhóm là một đối tượng trong Active Directory, được sử dụng để xác thực và phân quyền. Nhóm có thể được sử dụng để phân quyền truy cập vào các tài nguyên. Các thành viên của nhóm sẽ có quyền truy cập vào tài nguyên mà nhóm đã được phân quyền.
-
Thành viên của một nhóm có thể là người dùng hoặc nhóm khác. Nhóm được chứa trong các OU.
-
Có hai loại nhóm là nhóm bảo mật (security groups) và nhóm phân phối (distribution groups):
- Nhóm bảo mật được sử dụng để cấp quyền truy cập hoặc từ chối truy cập vào tài nguyên.
- Nhóm phân phối được sử dụng để phân phối email (chủ yếu dùng cho Microsoft Exchange). Người dùng không cần truy cập vào tài nguyên hoặc đăng nhập vào máy tính sẽ được đưa vào loại nhóm này.
-
Phạm vi của nhóm (Group Scopes) bao gồm:
- Nhóm cục bộ (Domain local): Có thể là thành viên của bất kỳ domain trong cùng một hệ thống, và có thể cấp quyền trong cùng một domain đó.
- Nhóm toàn cầu (Global): Chỉ có thể là thành viên của domain hiện tại, và có thể cấm quyền trong bất kỳ domain nào trong cùng một hệ thống.
- Nhóm toàn cục (Universal): Có thể là thành viên của bất kỳ domain nào trong cùng một hệ thống, và có thể cấp quyền trong bất kỳ domain hoặc hệ thống nào.
-
Mặc định, khi nâng cấp hệ thống lên Domain Controller, sẽ có các OU, Group, User và Computer mặc định.
Người dùng (User)
-
Người dùng là đối tượng của Active Directory, được sử dụng để xác thực và phân quyền. Người dùng cũng có thể được sử dụng để phân quyền truy cập vào các tài nguyên. Thông thường, người dùng sẽ thừa hưởng chính sách từ các nhóm mà họ là thành viên.
-
Người dùng là lớp cuối cùng trong kiến trúc của Active Directory.
-
Một người dùng có thể là thành viên của một hoặc nhiều nhóm, và cũng được chứa trong các OU.
-
Người dùng cũng là đối tượng chịu tác dụng của Group Policy.
Máy tính (Computer)
-
Máy tính là một đối tượng của Active Directory, tương tự như người dùng và là lớp cuối cùng trong kiến trúc của Active Directory. Có thể coi máy tính như một người dùng của thiết bị.
-
Máy tính cũng có thể là thành viên của một hoặc nhiều nhóm.
-
Máy tính có thể được gán quyền truy cập vào các tài nguyên trong hệ thống.
-
Máy tính được chứa trong các OU và cũng là đối tượng chịu tác dụng của Group Policy.
Cách tổ chức OU, Nhóm, Người dùng và Máy tính
-
OU (Đơn vị Tổ chức):
- Chứa các OU con, nhóm, người dùng và máy tính bên trong nó.
-
Nhóm:
- Một nhóm có thể có thành viên là các nhóm khác hoặc các người dùng.
- Một nhóm có thể là thành viên của nhiều nhóm khác.
- Nhóm được chứa trong OU.
- Các nhóm là thành viên của nhóm sẽ thừa hưởng quyền của nhóm có chứa nó.
-
Người dùng và Máy tính:
- Một người dùng và máy tính có thể là thành viên của một hoặc nhiều nhóm.
- Người dùng và máy tính được chứa trong OU.
- Người dùng và máy tính có thể thừa hưởng quyền từ các nhóm mà họ là thành viên.
Sau khi cài đặt và nâng cấp hệ thống lên Domain Controller, hệ thống sẽ có các OU, nhóm, người dùng và máy tính mặc định.
Trên máy cục bộ, người dùng và nhóm được quản lý bằng cách sử dụng Local User and Group. Trên Active Directory, chúng ta sẽ sử dụng công cụ Active Directory Users and Computers.
Để truy cập vào công cụ Active Directory Users and Computers, bạn có thể làm theo các bước sau:
- Trong Server Manager, chọn Tools, sau đó chọn Active Directory Users and Computers.
- Hoặc bạn có thể vào công cụ MMC bằng cách truy cập Run, gõ MMC, sau đó chọn File, chọn Add or Remove Snap-ins, chọn Active Directory Users and Computers, chọn Add và chọn OK.
- Hoặc bạn cũng có thể truy cập Run, gõ dsa.msc và chọn OK.
Hãy chia sẻ nếu bạn thích bài viết này!