Active Directory

This category contains 4 posts

Làm việc với tiện ích chuẩn đoán Domain Controller

Posted by NGUYEN DUC TU ⋅ 07/10/2011 ⋅ Bình luận về bài viết này

Phần 1

Trong bài viết này chúng tôi sẽ giới thiệu cho các bạn về tiện ích chuẩn đoán lỗi Domain Controller, cách sử dụng chúng như thế nào để khắc phục các vấn đề sự cố đối với Active Directory.
Các bộ điều khiển miền – Domain Controller – chính là phần xương sống đối với bất kỳ một mạng sử dụng hệ điều hành Windows nào. Chính vì lẽ đó nên nếu các bộ điều khiển miền của bạn không làm việc thì Active Directory cũng sẽ không làm việc. Nếu Active Directory không làm việc thì người dùng không thể đăng nhập, các chính sách nhóm sẽ không được thực thi và toàn bộ các tính năng khác cũng không có sẵn. May thay, Windows có đi kèm một công cụ mà bạn có thể sử dụng nhằm giữ cho các bộ điều khiển miền của mình chạy một cách êm ái. Công cụ này được gọi là công cụ chuẩn đoán Domain Controller. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn cách sử dụng công cụ này để thực hiện một số hành động bảo trì cơ bản và chuẩn đoán về các bộ điều khiển miền.
Trước khi bắt đầu
Công cụ chuẩn đoán Domain Controller hiện là một phần của Windows. Với mục đích của bài viết này, chúng tôi chỉ làm việc với phiên bản của tiện ích này có trong Windows Server 2008. Tuy nhiên hầu hết nhưng không phải là tất cả các tính năng mà chúng tôi sẽ nói về đều có sẵn trong Windows Server 2003 SP1. DCDIAG đã tồn tại trước Windows Server 2003 SP1 nhưng nhiều lệnh ngày nay sử dụng đã được giới thiệu trong phiên bản Windows Server 2003 SP1 này.
Bạn có thể truy cập vào công cụ chuẩn đoán Domain Controller bằng cách chạy lệnh DCDIAG từ nhắc lệnh của Windows.
Chạy công cụ chuẩn đoán Domain Controller
Nếu bạn muốn giữ đơn giản hóa mọi thứ, hãy chạy công cụ này bằng cách nhập vào lệnh DCDIAG trong cửa sổ nhắc lệnh của Windows. Bằng cách thực hiện như vậy, tiện ích sẽ thực hiện một loạt các kiểm tra đối với Domain Controller mà bạn được kết nối với. Bạn có thể xem ví dụ về những gì được test trong hình A bên dưới.

Hình A: Công cụ chuẩn đoán Domain Controller chạy một số kiểm tra đối với Domain Controller.

Bằng cách nhập vào lệnh DCDIAG quả thực rất đơn giản nhưng thực sự chưa có một bài viết nào giới thiệu cụ thể về các lệnh này. Bên cạnh đó còn có nhiều vấn đề bạn có thể thực hiện với công cụ này. Trước khi có thể đánh giá cao tất cả các tính năng của công cụ này, bạn cần phải thân thiện với các tham số mang tính tùy chọn để sử dụng kết hợp với lệnh DCDIAG. Nếu quan sát vào hình B, bạn có thể thấy được rằng cú pháp của lệnh DCDIAG là quá dài. Giống như hầu hết các lệnh bị phức tạp hóa, nhưng cú pháp của lệnh này lại không tồi như xuất hiện ban đầu của nó. Khi bạn hiểu được cách làm việc của lệnh này, việc sử dụng nó sẽ trở nên đơn giản hơn rẩt nhiều.

Hình B: Cú pháp lệnh DCDIAG rất dài

Ngắt giữa cú pháp lệnh
Như những gì bạn thấy trong hình ở trên, cú pháp cơ bản của lệnh DCDIAG sẽ như sau:
dcdiag.exe /s:<Directory Server>[:<LDAP Port>] [/u:<Domain>\<Username>
/p:*|<Password>|””]
[/hqv] [/n:<Naming Context>] [/f:<Log>] [/x:XMLLog.xml]
[/skip:<Test>] [/test:<Test>]
Mặc dù capture màn hình thể hiện trong hình B đã liệt kê những gì một tiếp lệnh thực hiện, nhưng vẫn cần một sự giải thích rõ hơn về chúng. Dưới đây là một số những thông tin chi tiết về các tiếp lệnh này.
/H
Nếu bạn chạy lệnh DCDIAG với tham số /H, nó sẽ hiển thị cú pháp của lệnh này theo như cách thể hiện trong hình B. Nếu quan sát vào hình trên, bạn sẽ thấy rằng bạn cũng có thể sử dụng tiếp lệnh /? để hiển thị cú pháp của lệnh.
/S
Tham số /S cho phép bạn chỉ định một máy chủ (máy chủ này là home server). Về bản chất thì điều này có nghĩa là bạn có thể sử dụng tham số này để chỉ định tên cho Domain Controller mà bạn muốn chạy lệnh DCDIAG với nó. Tuy nhiên trong bài khi chúng tôi chạy lệnh DCDIAG trong hình A, chúng tôi đã không chỉ định máy chủ home server. Nếu bạn không chỉ định home server, khi đó lệnh DCDIAG sẽ tự động chọn ra một máy chủ nào đó.
Có một số ví dụ về vấn đề home server chỉ định sẽ bị bỏ qua. DCPROMO và các bài test Register In DNS được chạy nội bộ thay cho chạy trên một điều khiển miền. Chính vì vậy, nếu bạn muốn chỉ định một home server cho các bài test này, nó sẽ bị bỏ qua. Chúng tôi sẽ nói thêm về vấn đề này trong các phần tiếp theo.
/N
Tham số /N cho phép bạn chỉ định một ngữ cảnh tên miền. Trong trường hợp bạn chưa quen với thuật ngữ này, thì cần phải biết được rằng, mọi miền được hiện diện bởi một ngữ cảnh tên miền. Ngữ cảnh tên miền lưu các đối tượng cho miền, các đối tượng ở đây chẳng hạn như người dùng, máy tính, các nhóm,…. Bạn không cần phải chỉ định ngữ cảnh tên miền, nhưng nếu bạn chọn sử dụng một ngữ cảnh thì bạn có thể vào nó là NetBIOS, DNS hoặc biểu mẫu tên miền phân biệt DN.
/U
Trừ khi bạn được đăng nhập như một quản trị viên của miền kiểm tra, bằng không bạn sẽ phải sử dụng lệnh DCDIAG với một số các tiêu chuẩn quản trị. Các tiêu chuẩn quản trị ở đây điển hình vẫn là username và password. Tiếp lệnh /U được sử dụng để chỉ định username. Do bạn đang nhập vào tê của tài khoản với các điều khoản quản trị miền nên bạn sẽ phải nhập vào username theo định dạng domain\username.
/P
Tiếp lệnh khác được sử dụng khi nhập một tập các tiêu chuẩn là tiếp lệnh /P. Theo sau tiếp lệnh này sẽ là một mật khẩu của tài khoản mà bạn đã chỉ định thông qua tiếp lệnh /U.
/A
Active Directory thường được nhóm vào trong các site. Một site điển hình sẽ trưng diện một bộ sưu tập các bộ điều khiển miền có khả năng tin cậy và kết nối tốc độ cao giữa chúng. Cho ví dụ, nếu một tổ chức có hai site khác nhau được kết nối cùng với nhau bởi một liên kết WAN, mỗi một trong các site này sẽ được cấu hình để thực hiện như một site riêng do các máy tính bên trong chúng đều nằm trong một LAN, tuy nhiên không có kết nối LAN giữa các site này.
Nếu tổ chức của bạn được chia thành các site thì bạn sẽ cảm thấy hữu ích đối với tiếp lệnh này. Sử dụng tiếp lệnh này để chỉ thị DCDIAG kiểm tra tất cả các bộ điều khiển miền trong site hiện hành.
/E
Tiếp lệnh The /E cũng giống như tiếp lệnh /E, ngoại từ thay vì việc chỉ thị cho DCDIAG kiểm tra tất cả các bộ điều khiển miền trong site hiện hành, nó chỉ thị cho DCDIAG kiểm tra bộ điều khiển miền trong toàn bộ doanh nghiệp.
/Q
Như những gì bạn có thể thấy, đầu ra của lệnh DCDIAG khá dài. Chính vì vậy bạn rất dễ bị mất các thông báo lỗi trong màn hình đầu ra dài như vậy. Nếu điều đó xảy ra với bạn, bạn có thể sử dụng tiếp lệnh /Q để chạy DCDIAG trong chế độ “Quiet”, chế độ sẽ chỉ liệt kê các thông báo lỗi.
/V
Tiếp lệnh /V là kiểu tiếp lệnh ngược với tiếp lệnh /Q. Trong khi tiếp lệnh /Q giảm kích thước của đầu ra thì tiếp lệnh này lại tăng kích thước đầu ra lên. Theo cách đó bạn có thể biết thêm các thông tin chi tiết về vấn đề mà mình đang muốn khắc phục.
/I
Đôi khi DCDIAG sẽ sinh ra các thông báo lỗi vô nghĩa gây lộn xộn cho những quản trị viên chưa có nhiều kinh nghiệm. Nếu điều đó xảy ra với bạn, bạn có thể sử dụng tiếp lệnh /I để chỉ thị cho DCDIAG bỏ đi các thông báo lỗi không quan trọng.
Kết luận
Trong phần một này chúng tôi đã giới thiệu cho các bạn về một số lệnh cơ bản được sử dụng bởi công cụ chuẩn đoán Domain Controller. Trong phần 2 của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu về cách sử dụng các tiếp lệnh khác và cách chỉ định các bài test cụ thể mà bạn có thể muốn thực hiện.

Phần 2

Quản trị mạng – Phần hai này chúng tôi sẽ tiếp tục loạt bài về làm việc với Domain Controller Diagnostic Utility bằng cách giới thiệu về một số tiếp lệnh bổ sung.
Trong phần đầu của loạt bài này, chúng tôi đã giới thiệu cho các bạn rằng, nếu muốn chuẩn đoán các vấn đề với một domain controller, bạn chỉ cần nhập vào lệnh DCDIAG, hoặc có thể sử dụng bất cứ tiếp lệnh hiện hữu nào phù hợp để kiểm tra các thuộc tính cụ thể của domain controller quan tâm. Trong phần hai này, chúng tôi sẽ giới thiệu một số tiếp lệnh nữa, tuy nhiên số lượng các tiếp lệnh có thể giới thiệu là rất lớn nên trong bài này chúng tôi chỉ giới thiệu một số tiếp lệnh điển hình sau đó sẽ giới thiệu về một số bài test cho một vài trường hợp riêng mà các bạn có thể tự thực hiện.
/C
Chúng tôi đã đề cập rằng, chỉ cần nhập vào lệnh DCDIAG mà không cần bất cứ tiếp lệnh nào, Domain Controller Diagnostic Utility sẽ thực hiện một bộ công cụ đầy đủ cho việc test domain controller của bạn. Tuy nhiên có một số test mà Domain Controller Diagnostic Utility có khả năng thực hiện nhưng nó không thực hiện một cách mặc định đơn thuần như vậy.
Nếu bạn không thực sự chắc chắn về những gì sẽ diễn ra với domain controller của mình, hãy chạy lệnh DCDIAG kèm theo với tiếp lệnh /C. Thao tác này sẽ mách bảo DCDIAG rằng bạn muốn thực hiện một tập toàn diện các test. Domain Controller Diagnostic Utility sẽ chạy mọi test màm nó biết cách chạy, trừ các test DCPROMO và RegisterInDNS, đây là hai test mà chúng tôi sẽ giới thiệu cho các bạn sau.
Bạn cần phải lưu ý rằng việc chạy một tập toàn bộ các test sẽ làm tiêu tốn rất nhiều thời gian. Nếu có các test mà bạn biết rằng không cần chạy, khi đó bạn có thể sử dụng tiếp lệnh /C kết hợp với tiếp lệnh /SKIP. Sau đó nối thêm vào dấu hai chấm và tên của test mà bạn muốn bỏ qua.
/F
Ở phần đầu của phần 1, chúng tôi đã giới thiệu những gì có thể chạy với lệnh DCDIAG khi không có việc chỉ định các tiếp lệnh như vậy. Bạn có thể quay trở lại để tham khảo trong phần 1, đầu ra rõ ràng là khá dài. Khi chúng tôi tạo một capture màn hình đó, chúng tôi chỉ chạy một tập mặc định các test cho domain controller của mình. Đầu ra có thể sẽ dài hơn rất nhiều nếu chỉ định các test bổ sung hoặc nếu các test phát hiện ra có các vấn đề nào đó với domain controller.
Trong một số trường hợp, việc đọc kết quả thu được từ màn hình khi các test được thực hiện là không thiết thực. DCDIAG có thể xuất ra dữ liệu nhanh hơn khả năng đọc của bạn. Vậy có cách giải quyết nào cho trường hợp này. Đó chính vai trò xuất hiện của tiếp lệnh /F. Tiếp lệnh này cho phép bạn có thể ghi các kết quả test vào một file bản ghi. Theo cách đó, có thể đọc các kết quả thu được một cách thoải mái. Quan trong hơn nữa là có được bản copy vĩnh viễn đầu ra mà bạn muốn tham khảo này.
Để sử dụng tiếp lệnh /F, chỉ cần nối thêm dấu hai chấm và đường dẫn, tên file của file bản ghi muốn tạo. Cho ví dụ, nếu muốn tạo một file bản ghi mang tên TEST.LOG, hãy nhậpDCDIAG /F:TEST.LOG. Cần lưu ý rằng khi chỉ định tiếp lệnh /F, đầu ra sẽ được chuyển hướng hoàn toan đến một file bản ghi. Điều này có nghĩa rằng đầu ra test không phải ghi tất cả ra màn hình. Với một số hoạt động liên quan đến nhiều test, máy chủ có thể gặp trục trặc nhưng các test vẫn được thực hiện.
/FIX
Cho đến đây, tất cả các tiếp lệnh mà chúng tôi đã giới thiệu là các phương pháp chuẩn đoán nguyên bản. Khi bạn sử dụng chúng, chúng sẽ làm cho DCDIAG chạy các test của nó theo các cách nào đó, tuy nhiên DCDIAG chỉ báo cáo các kết quả test mà không thể khắc phục được vấn đề mà nó có thể tìm thấy.
Nếu DCDIAG báo cáo có vấn đề nào đó, bạn cần phải sửa các vấn đề này bằng cách chỉ định tiếp lệnh /FIX. Mặc dù tiếp lệnh này rất đơn giản vì nó không yêu cầu bạn cung cấp bất cứ thuộc tính bổ sung nào, nhưng có một số thứ khá quan trọng cần biết về cách sử dụng nó.
Trước khi có thể sử dụng tiếp lệnh /FIX, cần nhớ những gì đang thực hiện. Bạn đang lệnh cho một tiện ích tự động tiến hành các thay đổi đối với domain controller của mình, điều có nghĩa rằng đang thay đổi một cách mò mẫm Active Directory. Domain Controller Diagnostic Utility được thiết kế để khi sử dụng tiếp lệnh /FIX, nó sẽ chỉ thực hiện việc sửa chữa và cứ tưởng rằng điều đó là an toàn. Tuy nhiên, hành động sử dụng tiếp lệnh này có liên quan đến việc tạo các thay đổi đến domain controller làm cho chúng tôi phải nhắc nhở các bạn phải cực kỳ thận trọng. Tiếp lệnh này được thiết kế với mục đích an toàn, tuy nhiên bất cứ lúc nào làm việc với những vấn đề phức tạp như domain controller thì diễn biến của nó hoàn toàn không phải lúc nào cũng vậy.
Đề phòng trường hợp đó, chúng tôi khuyên các bạn không nên sử dụng tiếp lệnh /FIX khi mới sử dụng DCDIAG mà thay vào đó nên chạy các test của mình, cần phải bỏ ra thời gian để đánh giá các kết quả thu được trước khi sử dụng tiếp lệnh /FIX. Nếu quyết định sử dụng tiếp lệnh nguy hiểm này, chúng tôi khuyên các bạn hãy thực hiện một backup đầy đủ cho domain controller mục tiêu trước khi thực hiện.
Nếu bạn là người muốn vượt rào, hãy đề phòng trước cho việc thực hiện sửa domain controller là cài đặt Windows trên một máy tính dự phòng, sau đó cấu hình máy tính đó hoạt động như một domain controller. Khi thực hiện xong công việc đó, bạn hãy đợi cho đến khi quá trình tạo bản sao hoàn tất, sau đó hãy tiến hành các thử nghiệm của mình. Bằng cách đó bạn có thể xây dựng lại Active Directory nếu có vấn đề gì đó không hay đối với tiến trình sửa chữa.
/TEST
Tiếp lệnh cuối cùng mà chúng tôi muốn giới thiệu cho các bạn đó là /TEST. Cho tới đây, hầu hết các tiếp lệnh dòng lệnh mà chúng tôi giới thiệu thiên về việc điều khiển Domain Controller Diagnostic Utility hành động khi chạy các test khác nhau. Bạn có thể thấy rằng Domain Controller Diagnostic Utility chạy một tập các test mặc định, nhưng cũng có thể sử dụng cả tiếp lệnh /C hoặc tiếp lệnh /SKIP để chạy các test bổ sung tương ứng.
Điểm mà chúng tôi muốn giới thiệu cho các bạn đến lúc này nằm trong giả định rằng bạn sẽ chạy nhiều test. Khi đó tiếp lệnh /TEST sẽ chỉ định một cách đơn giản tên của test mà bạn muốn chạy. Sau đó chỉ cần nối thêm dấu hai chấm và tên của test vào sau tiếp lệnh này.
Cần lưu ý rằng, không thể sử dụng tiếp lệnh /TEST để chạy nhiều test. Như những gì bạn có thể hình dung, tiếp lệnh /TEST không thể tương thích với tiếp lệnh /SKIP vì hai tiếp lệnh lại mâu thuẫn nhau.
Kết luận
Trong bài này chúng tôi đã giới thiệu một số chuyển tiếp lệnh để các bạn có thể sử dụng với Domain Controller Diagnostic Utility. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ tập trung về các bài test riêng biệt mà các bạn có thể tự thực hiện.

Phân biệt Sub-domains, Addon Domains, Parked Domains

Posted by NGUYEN DUC TU ⋅ 12/07/2011 ⋅ Bình luận về bài viết này

Sau khi đã làm xong trang web, đăng ký hosting và domain, trong CPanel của nó sẽ có một mục cho bạn quản lý các Domains của mình.

Bao gồm 3 thứ chính yếu, đó là Sub-domain, Addon Domains và Parked Domains. Mong rằng bài viết này sẽ giúp bạn hiểu được phần nào khái niệm về 3 loại tên miền này.

Sub-domain – là tên miền con, trỏ đến thư mục con trong cùng một trang web.

Khi bạn đăng ký trang hosting, thường kèm theo một domain chính, ví dụ “http://chutiephat.com”. Khi người dùng gõ địa chỉ “http://chutiephat.com” trên thanh địa chỉ, trình duyệt sẽ đi tìm tới trang chủ nằm trong thư mục gốc bạn đã cài đặt trên host, để hiện thị nội dung tập tin đó lên, ví dụ “../root/trangchu.html”.

Nếu trong thư mục gốc có chức thư mục con khác, ví dụ “../root/diendan/index.html”, bạn muốn mở trang index đó, thì thông thường bạn sẽ phải gõ địa chỉ có dạng “http://chutiephat.com/diendan/index.html”.

Nhưng nếu bạn tạo một sub-domain tên là “http://diendan.chutiephat.com” và thiết lập nó tham chiếu đến “http://chutiephat.com/diendan/index.html”, thì khi bạn gõ “http://diendan.chutiephat.com” hoặc “http://chutiephat.com/diendan/index.html” thì nó cũng sẽ mở được trang index.

Mục đích chính là đơn giản và thân thiện hoá đường dẫn cho người dùng.

Addon Domains – là tên miền cho phép chạy các trang web độc lập trong cùng một hosting.

Trên một hosting của bạn có chứa 3 thư mục con như “../root/cafeGocPho/”, “../root/diendanIT/”, “../root/traquanQuangLinh/”, mỗi thư mục con là một trang web riêng biệt.

Bạn muốn các tên miền độc lập riêng biệt cho các trang web đó như “http://cafeGocPho.com”, “http://diendanIT.net”, “http://traquanquanglinh.vn”.

Thì ứng với mỗi trang web, bạn phải thêm vào một tên miền, gọi là Addon Domains, với mỗi tên miền đó, bạn phải thiết lập cho nó trỏ tới một thư mục tương ứng.

Parked Domains – là tên miền phụ tham chiếu đến tên miền chính.

Giờ bạn có tên miền chính là “http://chutiephat.com”, và bạn muốn người dùng cũng có thể truy cập vào trang web của bạn thông qua nhiều tên miền phụ khác như là “http://tienphat.com”, “http://chutiephat.vn”, “http://phatphat.net”…, các tên miền phụ đó gọi là Addon Domains.

Khi người dùng gõ bất kì tên miền phụ nào được thiết lập là Addon Domains của “http://chutiephat.com”, thì nội dung hiện thị cũng như khi truy cập vào “http://chutiephat.com”.

Mục đích của tên này là để người dùng có thể nhớ đến trang web của bạn bằng tên miền mà họ thấy đơn giản và dễ nhớ nhất.

Group Và Những Điều Căn Bản

Posted by NGUYEN DUC TU ⋅ 07/07/2011 ⋅ Bình luận về bài viết này

Group là tập hợp các tài khoản người dùng. Bạn có thể sử dụng các group để quản lý hiệu quả các nguồn tài nguyên, giúp đơn giản hóa việc bảo trì và quản trị mạng. Bạn có thể sử dụng các group riêng biệt, hoặc bạn có thể đặt nhiều group trong một để giảm bớt các chi phí liên quan trong việc quản lý các nhóm. Trước khi bạn có thể sử dụng các nhóm hiệu quả, bạn phải hiểu các loại của các nhóm có sẵn trong môi trường Windows 2003 Server, và chức năng của các nhóm.

Group type

Bạn sử dụng các nhóm để tổ chức các tài khoản người dùng, tài khoản máy tính, và tài khoản nhóm khác thành các đơn vị quản lý được. Có hai loại nhóm trong dịch vụ thư mục Active Directory: distribution groups and security groups.

Distribution groups: Bạn có thể sử dụng distribution groups chỉ với các ứng dụng e-mail, chẳng hạn như máy chủ Microsoft Exchange, để gửi tin nhắn cho tập hợp nhiều người dùng. distribution groups không cho phép bảo mật, có nghĩa là, họ không thể được liệt kê trong danh sách kiểm soát truy cập (DACLs), được sử dụng để xác định quyền về tài nguyên và đối tượng.

Security groups: Bạn sử dụng Secturity group để chuyển các rights và permissions cho các nhóm người dùng và máy tính. Rights xác định những thành viên của Secturity group có thể vào trong một domain hoặc forest. Permissions xác định nguồn tài nguyên thành viên của một nhóm có thể truy cập trên mạng. Secturity group cũng có thể được sử dụng như một thực thể e-mail. Gửi một tin nhắn e-mail đến nhóm có nghĩa là gửi tin nhắn cho tất cả các thành viên của nhóm.

Group Scopes

Với mỗi nhóm trong Win 2k3 có những thuộc tính phạm vi khác nhau, quyết định khu vực hoạt động của nhóm đó. Group Scopes sẽ chỉ ra thành viên trong nhóm đó đến từ đâu, và chúng có thể đi đến đâu, trong môi trường multi-domain or multi-forest. Có các loại Scope như sau:

Local Groups: Cư trú trên máy tính thành viên (máy local), sử dụng Local Group để cấp phát quyền và tài nguyên cho thành viên logon với tài khoản local. Local Groups sử dụng trong môi trường không có domain, và nó không thể chứa những group khác.

Global Groups: Cư trú trên Active Directory, trong môi trường Domain. Sử dụng Global Groups để cấp phát quyền và tài nguyên cho thành viên truy cập qua mạng, yêu cầu đăng nhập và xác thực quyền hàn thành viên khi sử dụng tài nguyên của máy tính khác, và máy tính server. Global groups có thể là thành viên của global groups khác và của universal groups, domain local groups.

Domain Local Groups: Cư trú trong Active Directory ở mức domain. Sử dụng một nhóm các domain khi bạn muốn chỉ định quyền truy cập các tài nguyên được đặt trong cùng khu vực (local site). Bạn có thể thêm tất cả các Global Groups cầnchia sẻ cùng một nguồn lực vào nhóm Domain Local Groups.

Universal Groups: Cư trú trong Active Directory ở mức forest. Sử dụng Universal Groups khi bạn muốn nhóm các nhóm Global Groups để có thể chỉ định quyền truy cập đến các tài nguyên liên quan trong các lĩnh vực khác nhau. Universal
Groups có thể là thành viên của universal groups khác,của global groups, và của domain local groups. Để sử dụng được Universal Security Groups thì Windows Server 2003 domain functional level phải là Windows 2000 native hoặc cao hơn. Sử dụng Windows 2000 mixed mode hoặc cao hơn nếu bạn muốn sử dụng Universal Distribution Groups.

Built-in Groups

Trong win 2k3 cung cấp cho chúng ta nhiều group có sẵn. Chúng được tự động tạo ra khi cài đặt Active Directory. Chúng ta có thể sử dụng các group này để phân quyền mặc định cho thành viên. Ví dụ bạn có thể thêm thành viên vào nhóm Administrators để quy định thành viên đó có toàn quyền trên hệ thống.

Một số nhóm được cung cấp sẳn như sau:

Account Operators: Thành viên có quyền tạo (create), sửa (modify), xóa (delete) tất cả users, group và computer trong domain.

Administrators: Thành viên có toàn quyền trong hệ thống.

Backup Operators: Thành viên có thể backup và restore tất cả file trên domain.

Incoming Forest, Trust Builders: Thành viên quản lý trust, tạo mới, chỉnh sửa trust giữa các hệ thống domain và forest.

Network Configuration Operators: Thành viên có quyền quản lý cấu hình mạng, bao gồm việc cấu hình giao thức TPI/IP và thay đổi địa chỉ của domain controller.

Performance Log Users: Thành viên nhóm này có thể quản lý thông tin logon hệ thống, bao gồm việc giám sát số lần logon, xem file logs

Performance Monitor Users: Thành viên của nhóm này có thể giám sát bộ đếm hiệu suất trên domain controller trong domain, tại local và từ các client truy cập từ xa.

Pre-Windows 2000 Compatible Access: Thành viên của nhóm này đã đọc truy cập vào tất cả người dùng và các nhóm trong domain. Nhóm này là cung cấp sự tương thích với các máy tính đang chạy Microsoft Windows 4.0 và NT hoặc trước đó. Theo mặc định, tất cả mọi người nhận dạng đặc biệt là một thành viên của nhóm này.

Remote Desktop Users: Thành viên có quyền điều khiển từ xa.

Replicator: Nhóm này có quyền chỉnh sửa việc đồng bộ (Replication) giữa các hệ thống, đó có thể là đồng bộ file, dns, …

Server Operators: Trong domain controllers, các thành viên của nhóm này có thể đăng nhập vào trình tương tác, tạo và xóa các tài nguyên chia sẻ, bắt đầu và ngừng một số dịch vụ, sao lưu và khôi phục tập tin, định dạng đĩa cứng, và đóng cửa
xuống máy tính. Nhóm này không có thành viên mặc định.

Users: Nhóm thành viên bình thường, hầu như chỉ có quyền read. Mặc định các thành viên tạo ra được đưa vào group này.

Special Groups

Máy chủ chạy Windows Server 2003 bao gồm một số đặc tính đặc biệt. Ngoài các nhóm trong Users and Built-in, Win 2k3 cung cấp thêm các nhóm gọi là Special Groups, thành viên của nhóm này có thể thực hiện một số chức năng đặc biệt nào đó mà không đòi hỏi người dùng phải đăng nhập.

User trở thành thành viên của các nhóm đặc biệt khi chỉ cần tương tác với hệ điều hành. Ví dụ, khi người dùng đăng nhập cục bộ vào máy tính, họ trở thành thành viên của Interactive group. Vì các nhóm này được tạo ra mặc định, chúng có thể cấp quyền sử dụng và quyền cho các nhóm đặc biệt, nhưng không thể chỉnh sửa hoặc xem các thành viên của nhóm này. Ngoài ra, group scopes không áp dụng cho các nhóm đặc biệt.

Chúng ta cần hiểu được mục đích của các nhóm đặc biệt, bởi vì bạn có thể sử dụng chúng cho mục đích an ninh, chính vì chúng cho phép bạn tạo ra các chi tiết hơn trong việc tiếp cận chính sách và kiểm soát truy cập tài nguyên.

Một số Special Group cơ bản:

Anonymous Logon: Nhóm dành cho thành viên sử dụng hệ thống không cần cung cấp username và password.

Authenticated Users: Nhóm đại diện cho tất cả người dùng và nhóm đã được xác thực.

Ngoài ra còn nhiều group khác mà ở đây tôi chưa liệt kê hết cho các bạn. Chúng ta sẽ gặp lại chúng khi làm việc với hệ thống.

Phần trước các bạn đã tìm hiểu xong về mặc lý thuyết, các thành phần của nhóm, phân loại nhóm người dùng. Phần tiếp theo chúng ta sẽ khảo sát các công cụ phục vụ cho việc quản lý nhóm được tối ưu hơn, bảo mật hơn.

Công cụ quản lý user và group

Windows Server 2003 hỗ trợ một số công cụ giúp bạn dễ dàng khắc phục sự cố và quản lý nhóm và các thành viên trong nhóm. Bảng sau đâyvạch ra những công cụ liên quan:

AD Users and Computers: Công cụ đồ họa dùng quản lý group và user tích hợp sẳn trong Active Directory.
ACL Editor: Cũng là công cụ đồ họa, dùng quản lý user và group, công cụ này dùng để cấp phát tài nguyên.
Whoami: Công cụ dòng lệnh. Nó hiển thị uservà SID của user, group và SID của group, các quyền và tình trạng của họ
(Ví dụ, kích hoạt hay vô hiệu hóa), và ID đăng nhập.
Dsadd: Công cụ dòng lệnh, dùng để tạo và quản lý user, group.
Ifmember: Công cụ dòng lệnh, để liệt kê tất cả các nhóm mà hiện tại thành viên thuộc. Thường được sử dụng trong các kịch bản đăng nhập. Bạn có thể tìm thấy công cụ này trong Windows Server 2003 Resource Kit.
Getsid Chế độ dòng lệnh để so sánh số SID của tài khoản hai người dùng.

Restricted Group Policy

Windows Server 2003 bao gồm một số thiết lập Group Policy được gọi là Restricted Group Policy (RGP) cho phép bạn kiểm soát thành viên trong nhóm. Sử dụng Restricted Group Policy, có thể chỉ định các thành viên trong một nhóm ở bất cứ đâu trong Active Directory. Ví dụ, bạn có thể tạo ra một chính sách để giới hạn việc truy cập vào một OU có chứa các máy tính chứa dữ liệu nhạy cảm. RGP sẽ loại bỏ user domain từ các nhóm người dùng cục bộ và do đó hạn chế số lượng người dùng có thể đăng nhập vào máy tính. Nhóm thành viên không quy định trong chính sách được loại bỏ khi thiết lập Group Policy.

Thiết lập cấu hình RGP

RGP thiết lập chính sách bao gồm hai tính chất: member và member of. Những định nghĩa riêng cùa thành viên (member) xác định những người thuộc và những người không thuộc nhóm bị hạn chế. Các thuộc tình của thành viên nhóm (member of) quy định cụ thể nhóm mà nhóm bị hạn chế có thể thuộc trong đó.

Ảnh hưởng của việc thực thi RGP

Khi một RGP được thi hành, bất kỳ thành viên hiện tại của một nhóm đó thì không nằm trong danh sách thành viên được loại trừ. Thành viên có thể được gỡ bỏ cũng bao gồm cả tài khoản của nhóm Administrators. Bất kỳ người dùng trong danh sách thành viên hiện chưa là thành viên của nhóm hạn chế thì được thêm vào. Ngoài ra, mỗi nhóm hạn chế là chỉ những thành viên của nhóm được quy định tại cột Member of.

Hình ở trên mà bạn thấy là phạm vi của Member và Member Of.

Áp đặt RGP

Bạn có thể áp đặt RGP theo những cách như sau:

Định nghĩa ra một chính sách bằng chức năng trong Security Template, cái này sẽ được áp đặt trong suốt quá trình cấu hình trên máy tính local.

Định nghĩa ra những thiết lập trực tiếp cho Group Policy Object (GPO). Cấu hình theo cách này thì đảm bảo rằng hệ điều hành sẽ tiếp tục thi hành các chính sách khác về nhóm.

Tạo ra Restricted Group Policy

Để tạo Restricted Group policy, bạn thực hiện theo các bước sau:

Mở Group Policy Management, chuyển đến OU mà bạn muốn áp GPO, click chuột phải lên OU đó, và click vào Create and Link a
GPO Here.

Trong hộp thoại GPO, nhập vào tên cho GPO mới, sau đó bấm OK.

Chuột phải lên GPO mới và bấm Edit. Trong console tree,tìm đến đường dẫn Computer Configuration\Windows Settings\Security Settings\Restricted Groups.

Cũng phía console tree, chuột phải lên Restricted Groups, và bấm Add Group.

Trong của số Group, nhập vào tên nhóm mà bạn muốn áp dụng chức năng RGP, sau đó bấm OK.

Đến trang Properties, bấm nút Add phía dưới group trong trường Member of.

Tiếp theo bạn gõ tên nhóm mà muốn thêm vào trong nhóm này, và bấm OK.