Sau khi triển khai AD DS, công việc tiếp theo của bạn là cung cấp cho tất cả người dùng quyền truy cập vào tài nguyên của công ty bằng tài khoản người dùng (User Account). Với tài khoản này (User Account), người dùng có thể xác thực với AD DS và truy cập tài nguyên.

Mặc dù việc gán quyền cho tài khoản người dùng trong các công ty nhỏ (mạng nhỏ) có thể là dễ dàng thực hiện, nhưng điều này trở nên khó khăn và không hiệu quả trong các mạng doanh nghiệp lớn. Nếu nhiều người dùng cần cùng một quyền truy cập vào một tài nguyên, sẽ hiệu quả hơn nếu tạo một nhóm (Group) chứa các tài khoản người dùng , sau đó gán các quyền cần thiết cho nhóm đó.

Sau khi hoàn tất bài lab bạn se biết cách tạo, sửa, xóa User account, Computer Account, Group, OU trong môi trường domain, cách ủy quyền cho User quản lý OU, và cách tạo home folder và user profile.

Active Directory Domain Services

Phần 1: HOME FOLDER, USER PROFILES

CÁC BƯỚC TRIỂN KHAI HOME FOLDER, USER PROFILES:

1. Cấu hình Home Folder và User Profiles

2. Tạo User Template

3. Tạo Computer Account

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy:

+ DC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)

+ PC02: Windows 10 Professional đã join Domain

  • – Chỉnh Password policy đơn giản.
  • – Cấp quyền Log on locally Domain Controller cho group USERS
  • – Tạo thư mục C:\Home – Share: Full Control & C:\Profiles – Share: Full Control
  • – Tạo user u1/123

B- THỰC HIỆN HOME FOLDER, USER PROFILES:

1. Cấu hình Home Folder và User Profiles (Thực hiện trên máy PC01)

1. Cấu hình Home Folder và User Profiles (Thực hiện trên máy PC01)

B1 – Trên máy PC01, mở Server Manager, vào menu Tools, chọn Active Directory Users and Computers

B2 – Chuột phải user u1, chọn Properties

B3 – Qua tab Profile

+ Profile path: nhập \\PC01\Profiles\%username%

+ Home folder: chọn ổ đĩa Z:, nhập \\PC01\Home\%username%

Sau đó chọn Apply và OK

Home Folder và User Profiles

B4 – Kiểm tra

+ Trên máy PC02: Sign In DOM01\U1, quan sát thấy có ổ đĩa Z:, tạo thư mục HOSOU1

Home Folder và User Profiles

+ Trên máy PC01, Sign In DOM01\U1, quan sát thấy có ổ đĩa Z: và thấy thư mục HOSOU1

+ Trên máy PC01, Sign In DOM01\Administrator, mở thư mục C:\Home, quan sát thấy có thư mục tên U1, double click vào thư mục U1, sẽ thấy thư mục HOSOU1

2. Tạo User Template (Thực hiện trên máy PC01)

2. Tạo User Template (Thực hiện trên máy PC01)

B1 – Trên máy PC01, mở Server Manager, vào menu Tools, chọn Active Directory Users and Computers

B2 – Chuột phải user u1, chọn Properties

B3 – Qua tab Organization, mục Company, nhập vào thông tin, chọn Apply và nhấn OK

Home Folder và User Profiles

B4 – Chuột phải user u1, chọn Copy

Home Folder và User Profiles

B5 – Khai báo thông tin user u3, chọn Next

Home Folder và User Profiles

B6 – Nhập mật khẩu 123 ở 2 mục Password và Confirm Password. Quan sát thấy dấu chọn ở ô Password never expires đã được chọn sẵn

Home Folder và User Profiles

B7 – Chuột phải user u3, chọn Properties. Qua tab Profile, thấy đã được điền sẵn Roaming Profile và Home Folder

Home Folder và User Profiles

B8 – Qua tab Organization thấy thông tin công ty đã được thêm vào.

3. Tạo Computer Account (Thực hiện trên máy PC01)

3. Tạo Computer Account (Thực hiện trên máy PC01)

B1 – Chuột phải DOM01.LOCAL, chọn New, chọn Organization Unit

Home Folder và User Profiles

B2 – Đặt tên SAIGON, chọn OK

B3 – Chuột phải OU SAIGON, chọn New, sau đó chọn Computer

Home Folder và User Profiles

B4 – Ở mục Computer name, nhập vào PC03, chọn OK

Home Folder và User Profiles

B5 – Quan sát thấy trong OU SAIGON có account computer PC03 được tạo ra

Home Folder và User Profiles

B6 – Trên máy PC03, thực hiện join domain

B7 – Kiểm tra: Trên PC01 mở Active Directory Users and Computers. Chọn Computers, quan sát không có computer account PC03 được tạo ra.

Nhận xét : Nếu trên Active Directory Users and Computers đã tạo trước computer account trùng tên với máy client trước khi client join domain , thì khi máy client join vào domain, hệ thống sẽ không tạo ra thêm computer account nữa và sẽ sử dụng computer account đã tạo trước đó

Phần 2: ACTIVE DIRECTORY OBJECT

CÁC BƯỚC TRIỂN KHAI:

1. Giới thiệu lệnh Get-command

2. Tạo OU

  • a. Tạo OU
  • b. Xóa OU

3. Tạo AD User:

  • a. Tạo User
  • b. Xem thông tin user vừa tạo trong OU
  • c. Xóa User
  • d. Thay đổi thông tin user
  • e. Thay đổi mật khẩu cho user
  • f. Import ad user from csv file
  • g. Thay đổi thông tin cho nhiều user
  • h. Di chuyển User sang OU khác

4. Tạo Group

  • a. Tạo Group
  • b. Thêm user vào group
  • c. Gỡ bỏ user ra khỏi group

5. Tạo AD Computer

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 1 máy:

+ DC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)

– Chỉnh policy cho phép đặt password đơn giản

B- THỰC HIỆN ACTIVE DIRECTORY OBJECT

1. Giới thiệu lệnh Get-command

1. Giới thiệu lệnh Get-command

Windows PowerShell cho phép khám phá các lệnh và tính năng của nó bằng Get-Command. Nó hiển thị danh sách các lệnh của một tính năng cụ thể hoặc cho một mục đích cụ thể dựa trên thông số tìm kiếm của người quản trị.

– Vào menu Start, chọn Windows PowerShell

– Để xem danh sách các lệnh trong AD, gõ lệnh:

Get-Command *-AD*

ACTIVE DIRECTORY OBJECT

Tạo OU

2. Tạo OU

a. Tạo OU

B1 – Để tạo OU HCM, gõ lệnh:

New-ADOrganizationalUnit -Name “HCM” -Path “DC=DOM01,DC=LOCAL”

ACTIVE DIRECTORY OBJECT

B2 – Tạo OU Q1 nằm trong OU HCM, gõ lệnh:

New-ADOrganizationalUnit -Name “Q1” -Path “OU=HCM,DC=DOM01,DC=LOCAL”

ACTIVE DIRECTORY OBJECT

B3 – Mở ADUC, quan sát thấy 2 OU vừa tạo

ACTIVE DIRECTORY OBJECT

b. Xóa OU

B1 – Gõ lệnh sau để gỡ bỏ chế độ accidental của OU Q1:

Get-ADOrganizationalUnit -filter “Name -eq ‘Q1′” | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $False

ACTIVE DIRECTORY OBJECT

B2 – Gõ lệnh bên dưới để xóa OU Q1

Remove-ADOrganizationalUnit -Identity “OU=Q1,OU=HCM,DC=DOM01,DC=LOCAL”

Chọn Y để đồng ý

ACTIVE DIRECTORY OBJECT

B3 – Quay lại ADUC, quan sát thấy OU Q1 đã xóa

ACTIVE DIRECTORY OBJECT

Tạo AD User

3. Tạo AD User:

a. Tạo User

B1 – Gõ lệnh bên dưới để tạo user U1. Password: P@ssword123 và nằm trong OU HCM

New-ADUser -Name “u1” -GivenName “u1” -Surname “nguyen” -SamAccountName “u1” -UserPrincipalName “[email protected]” -Path “OU=HCM,DC=DOM01,DC=LOCAL” -AccountPassword(ConvertTo-SecureString -AsPlainText “P@ssword123” -Force) -Enabled $true

Tạo AD User

B2 – Quay lại ADUC, quan sát thấy user U1 vừa tạo

B3 – Thực hiện tương tự để tạo thêm user u2 trong OU HCM

New-ADUser -Name “u2” -GivenName “u2” -Surname “nguyen” -SamAccountName “u2” -UserPrincipalName “[email protected]” -Path “OU=HCM,DC=DOM01,DC=LOCAL” -AccountPassword(ConvertTo-SecureString -AsPlainText “P@ssword123” -Force) -Enabled $true

b. Xem thông tin user vừa tạo trong OU

– Gõ lệnh: Get-ADUser -Identity u1 -Properties *

Tạo AD User

c. Xóa user

– Để xóa user u2, gõ lệnh: Remove-ADUser -Identity u2

– Chọn Y để xác nhận

Tạo AD User

d. Thay đổi thông tin user

B1 – Gõ lệnh bên dưới để thêm số điện thoại cho user U1

Set-ADUser u1 –OfficePhone 02839322735

Tạo AD User

B2 – Quay lại ADUC, chuột phải vào user U1, chọn Properties

B3 – Quan sát thấy số điện thoại đã được thêm vào

Tạo AD User

e. Thay đổi mật khẩu cho user

– Gõ lệnh bên dưới để thay đổi mật khẩu cho user U1 thành p@ssw0rd

Set-ADAccountPassword -Identity ‘CN=u1,OU=HCM,DC=DOM01,DC=LOCAL’ -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “p@ssw0rd” -Force)

Tạo AD User

f. Import ad user from csv file

B1 – Dùng NotePad soạn nội dung như sau và lưu lại thành file ds.csv lưu vào thư mục C:\DS:

Tạo AD User

B2 – Vào Start, chuột phải vào Windows Powershell, chọn Run as Addministrator

B3 – Tại Windows Powershell, gõ lệnh sau:

Set-ExecutionPolicy Unrestricted -Force

Tạo AD User

B4 – Thực hiện các lệnh sau để vào folder c:\DS

Cd\

Cd ds

Tạo AD User

B5 – Tại folder DS thực hiện lệnh sau để tạo user từ file ds.csv

Import-Csv “C:\ds\ds.csv” | ForEach-Object { New-ADUser -Name $_.Name -Path $_.”ParentOU” -SamAccountName $_.”samAccountName” -UserPrincipalName $_.”userPrincinpal” -AccountPassword (ConvertTo-SecureString “123456?a” -AsPlainText -Force) -ChangePasswordAtLogon $true -Enabled $true }

Tạo AD User

B6 – Vào Run gõ lệnh DSA.MSC chọn OU HCM để kiểm tra các user vừa tạo

Tạo AD User

B7 – Chuột phải vào user diep chọn Properties, chọn tab Account kiểm tra các thông tin vừa tạo

Tạo AD User

g. Thay đổi thông tin cho nhiều user

B1 – Chuột phải vào user diep chọn Properties, chọn tab General kiểm tra các field Display name, Office và Email chưa có thông tin, nhấn OK

Tạo AD User

B2 – Mở file ds.csv gõ thêm nội dung như trong hình để thêm giá trị cho các field Display name, Office và Email, sau đó lưu lại thành file ds1.csv

B3 – Quay lại Powershell thực hiện lệnh sau:

Import-Csv “C:\ds\ds1.csv” | ForEach-Object { Set-ADUser -Identity $_.”samAccountName”

-Emailaddress $_.”userPrincinpal” -Office $_.”Office” -Displayname $_.”Displayname” }

Tạo AD User

B4 – Trở lại DSA.MSC, chuột phải vào user cuc chọn Properties, chọn tab General kiểm tra các field Display name, Office và Email đã có thông tin, nhấn OK.

Tạo AD User

h. Di chuyển User sang OU khác

B1 – Tạo OU HN

New-ADOrganizationalUnit -Name “HN” -Path “DC=DOM01,DC=LOCAL”

B2 – Di chuyển user U1 từ OU HCM sang OU HN, gõ lệnh:

Get-ADUser u1 | Move-ADObject -TargetPath ‘OU=HN,DC=DOM01,DC=LOCAL’

Tạo AD User

Tạo Group

4. Tạo Group

a. Tạo Group

B1 – Gõ lần lượt 2 lệnh bên dưới để tạo group KETOAN & group NHANSU nằm trong OU HN

NEW-ADGroup –name “KETOAN” –groupscope Global –path “OU=HN,DC=DOM01,DC=LOCAL”

NEW-ADGroup –name “NHANSU” –groupscope Global –path “OU=HN,DC=DOM01,DC=LOCAL”

Tạo AD User

B2 – Quay lại ADUC, quan sát thấy 2 group vừa tạo

Tạo AD User

b. Thêm user vào group

B1 – Để thêm user U1 vào group

Add-ADGroupMember “NHANSU” u1

Tạo AD User

B2 – Quay lại ADUC, chuột phải group NHANSU, chọn Properties. Qua tab Members, quan sát thấy user U1 đã được thêm vào group

Tạo AD User

c. Gỡ bỏ user ra khỏi group

– Để gỡ user U1 ra khỏi group NHANSU, gõ lệnh:

Remove-ADGroupMember “NHANSU” u1

Chọn Y để xác nhận

Tạo AD User

Tạo AD Computer

5. Tạo AD Computer

B1 – Để tạo AD Computer, gõ lệnh

New-ADComputer -Name “PC02” -PassThru

Tạo AD Computer

B2 – Quay lại ADUC, chọn OU Computers, quan sát thấy Computer PC02 vừa tạo

Tạo AD Computer

Phần 3: ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

CÁC BƯỚC TRIỂN KHAI:

1. Tạo OU

2. Xóa OU

3. Delegate User

  • a. Delegate common task
  • b. Delegate custom task
  • c. Kiểm tra

A- CHUẨN BỊ

– Mô hình bài lab bao gồm 2 máy:

+ DC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)

+ PC02: Windows 10 Professional đã join Domain

  • – Chỉnh Password policy đơn giản.
  • – Cấp quyền Log on locally Domain Controller cho group USERS
  • – Cài đặt RSAT trên máy PC02

B- THỰC HIỆN ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

1. Tạo OU (Thực hiện trên máy PC01)

1. Tạo OU (Thực hiện trên máy PC01)

B1 – Trên máy PC01, mở Server Manager, vào menu Tools, chọn Active Directory Users and Computers

B2 – Chuột phải DOM01.LOCAL, chọn New, sau đó chọn Organizational Unit

B3 – Đánh dấu chọn ô Protect container from accidental deletion, chọn OK

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B4 – Tương tự tạo thêm OU HN. Khi tạo OU này, bỏ dấu chọn ô Protect container from accidental deletion, chọn OK

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

2. Xóa OU (Thực hiện trên máy PC01)

2. Xóa OU (Thực hiện trên máy PC01)

B1 – Chuột phải OU HN, chọn Delete, chọn Yes. Xóa thành công OU HN

B2 – Chuột phải OU SG, chọn Delete, chọn Yes. Thông báo lỗi không thể xóa OU

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B3 – Vào menu View, chọn Advanced Features

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B4 – Chuột phải OU SG, chọn Properties. Qua tab Object, bỏ chọn ô Protect object from accidental deletion, chọn OK

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B5 – Chuột phải OU SG, chọn Delete, chọn Yes. Xóa thành công OU SG

3. Delegate User (Thực hiện trên máy PC01)

3. Delegate User (Thực hiện trên máy PC01)

a. Delegate common task

B1 – Tạo OU KETOAN và OU NHANSU

B2 – Tạo 2 user u1, u2 nằm trong OU KETOAN. Tương tự tạo thêm 2 user u3, u4 nằm trong OU NHANSU

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B3 – Chuột phải OU KETOAN, chọn Delegate Control…

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B4 – Màn hình Welcome, chọn Next

B5 – Màn hình Users or Groups, chọn Add, nhập u1. Chọn Next

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B6 – Màn hình Task to Delegate, chọn Delegate the following common tasks, bên dưới đánh dấu chọn vào tất cả các task, chọn Next

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B7 – Màn hình Completing, chọn Finish

b. Delegate custom task

B1 – Chuột phải OU NHANSU, chọn Delegate Control

B2 – Màn hình Welcome, chọn Next

B3 – Màn hình Users or Groups, chọn Add, nhập u3. Chọn Next

B4 – Màn hình Task to Delegate, chọn Delegate the following common tasks

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B5 – Màn hình Active Directory Object Type, chọn This folderm existing objects in this folder, and creation of new objects in this folder, chọn Next

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B6 – Màn hình Permissions, chọn tất cả các Permissions

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B7 – Màn hình Completing, chọn Finish

c. Kiểm tra

B1 – Trên máy PC02, Sign In DOM01\u1. Mở ADUC, chuột phải OU KETOAN, thử tạo, xóa, chỉnh sửa user 🡪 Đảm bảo thành công

B2 – Chuột phải OU KETOAN, thử tạo mới OU. Quan sát không có tùy chọn tạo mới OU

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

B3 – Sign Out u1, Sign In DOM01\u3. Chuột phải OU NHANSU, chọn New, quan sát thấy có tùy chọn tạo mới OU

ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL

Hoàn Tất Bài Lab

Lab Windows Server Hybrid