Sau khi triển khai AD DS, công việc tiếp theo của bạn là cung cấp cho tất cả người dùng quyền truy cập vào tài nguyên của công ty bằng tài khoản người dùng (User Account). Với tài khoản này (User Account), người dùng có thể xác thực với AD DS và truy cập tài nguyên.
Mặc dù việc gán quyền cho tài khoản người dùng trong các công ty nhỏ (mạng nhỏ) có thể là dễ dàng thực hiện, nhưng điều này trở nên khó khăn và không hiệu quả trong các mạng doanh nghiệp lớn. Nếu nhiều người dùng cần cùng một quyền truy cập vào một tài nguyên, sẽ hiệu quả hơn nếu tạo một nhóm (Group) chứa các tài khoản người dùng , sau đó gán các quyền cần thiết cho nhóm đó.
Sau khi hoàn tất bài lab bạn se biết cách tạo, sửa, xóa User account, Computer Account, Group, OU trong môi trường domain, cách ủy quyền cho User quản lý OU, và cách tạo home folder và user profile.
Phần 1: HOME FOLDER, USER PROFILES
CÁC BƯỚC TRIỂN KHAI HOME FOLDER, USER PROFILES:
1. Cấu hình Home Folder và User Profiles
2. Tạo User Template
3. Tạo Computer Account
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ DC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)
+ PC02: Windows 10 Professional đã join Domain
- – Chỉnh Password policy đơn giản.
- – Cấp quyền Log on locally Domain Controller cho group USERS
- – Tạo thư mục C:\Home – Share: Full Control & C:\Profiles – Share: Full Control
- – Tạo user u1/123
B- THỰC HIỆN HOME FOLDER, USER PROFILES:
1. Cấu hình Home Folder và User Profiles (Thực hiện trên máy PC01)
B1 – Trên máy PC01, mở Server Manager, vào menu Tools, chọn Active Directory Users and Computers
B2 – Chuột phải user u1, chọn Properties
B3 – Qua tab Profile
+ Profile path: nhập \\PC01\Profiles\%username%
+ Home folder: chọn ổ đĩa Z:, nhập \\PC01\Home\%username%
Sau đó chọn Apply và OK
B4 – Kiểm tra
+ Trên máy PC02: Sign In DOM01\U1, quan sát thấy có ổ đĩa Z:, tạo thư mục HOSOU1
+ Trên máy PC01, Sign In DOM01\U1, quan sát thấy có ổ đĩa Z: và thấy thư mục HOSOU1
+ Trên máy PC01, Sign In DOM01\Administrator, mở thư mục C:\Home, quan sát thấy có thư mục tên U1, double click vào thư mục U1, sẽ thấy thư mục HOSOU1
2. Tạo User Template (Thực hiện trên máy PC01)
B1 – Trên máy PC01, mở Server Manager, vào menu Tools, chọn Active Directory Users and Computers
B2 – Chuột phải user u1, chọn Properties
B3 – Qua tab Organization, mục Company, nhập vào thông tin, chọn Apply và nhấn OK
B4 – Chuột phải user u1, chọn Copy
B5 – Khai báo thông tin user u3, chọn Next
B6 – Nhập mật khẩu 123 ở 2 mục Password và Confirm Password. Quan sát thấy dấu chọn ở ô Password never expires đã được chọn sẵn
B7 – Chuột phải user u3, chọn Properties. Qua tab Profile, thấy đã được điền sẵn Roaming Profile và Home Folder
B8 – Qua tab Organization thấy thông tin công ty đã được thêm vào.
3. Tạo Computer Account (Thực hiện trên máy PC01)
B1 – Chuột phải DOM01.LOCAL, chọn New, chọn Organization Unit
B2 – Đặt tên SAIGON, chọn OK
B3 – Chuột phải OU SAIGON, chọn New, sau đó chọn Computer
B4 – Ở mục Computer name, nhập vào PC03, chọn OK
B5 – Quan sát thấy trong OU SAIGON có account computer PC03 được tạo ra
B6 – Trên máy PC03, thực hiện join domain
B7 – Kiểm tra: Trên PC01 mở Active Directory Users and Computers. Chọn Computers, quan sát không có computer account PC03 được tạo ra.
Nhận xét : Nếu trên Active Directory Users and Computers đã tạo trước computer account trùng tên với máy client trước khi client join domain , thì khi máy client join vào domain, hệ thống sẽ không tạo ra thêm computer account nữa và sẽ sử dụng computer account đã tạo trước đó
Phần 2: ACTIVE DIRECTORY OBJECT
CÁC BƯỚC TRIỂN KHAI:
1. Giới thiệu lệnh Get-command
2. Tạo OU
- a. Tạo OU
- b. Xóa OU
3. Tạo AD User:
- a. Tạo User
- b. Xem thông tin user vừa tạo trong OU
- c. Xóa User
- d. Thay đổi thông tin user
- e. Thay đổi mật khẩu cho user
- f. Import ad user from csv file
- g. Thay đổi thông tin cho nhiều user
- h. Di chuyển User sang OU khác
4. Tạo Group
- a. Tạo Group
- b. Thêm user vào group
- c. Gỡ bỏ user ra khỏi group
5. Tạo AD Computer
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 1 máy:
+ DC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)
– Chỉnh policy cho phép đặt password đơn giản
B- THỰC HIỆN ACTIVE DIRECTORY OBJECT
1. Giới thiệu lệnh Get-command
Windows PowerShell cho phép khám phá các lệnh và tính năng của nó bằng Get-Command. Nó hiển thị danh sách các lệnh của một tính năng cụ thể hoặc cho một mục đích cụ thể dựa trên thông số tìm kiếm của người quản trị.
– Vào menu Start, chọn Windows PowerShell
– Để xem danh sách các lệnh trong AD, gõ lệnh:
Get-Command *-AD*
2. Tạo OU
a. Tạo OU
B1 – Để tạo OU HCM, gõ lệnh:
New-ADOrganizationalUnit -Name “HCM” -Path “DC=DOM01,DC=LOCAL”
B2 – Tạo OU Q1 nằm trong OU HCM, gõ lệnh:
New-ADOrganizationalUnit -Name “Q1” -Path “OU=HCM,DC=DOM01,DC=LOCAL”
B3 – Mở ADUC, quan sát thấy 2 OU vừa tạo
b. Xóa OU
B1 – Gõ lệnh sau để gỡ bỏ chế độ accidental của OU Q1:
Get-ADOrganizationalUnit -filter “Name -eq ‘Q1′” | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $False
B2 – Gõ lệnh bên dưới để xóa OU Q1
Remove-ADOrganizationalUnit -Identity “OU=Q1,OU=HCM,DC=DOM01,DC=LOCAL”
Chọn Y để đồng ý
B3 – Quay lại ADUC, quan sát thấy OU Q1 đã xóa
3. Tạo AD User:
a. Tạo User
B1 – Gõ lệnh bên dưới để tạo user U1. Password: P@ssword123 và nằm trong OU HCM
New-ADUser -Name “u1” -GivenName “u1” -Surname “nguyen” -SamAccountName “u1” -UserPrincipalName “[email protected]” -Path “OU=HCM,DC=DOM01,DC=LOCAL” -AccountPassword(ConvertTo-SecureString -AsPlainText “P@ssword123” -Force) -Enabled $true
B2 – Quay lại ADUC, quan sát thấy user U1 vừa tạo
B3 – Thực hiện tương tự để tạo thêm user u2 trong OU HCM
New-ADUser -Name “u2” -GivenName “u2” -Surname “nguyen” -SamAccountName “u2” -UserPrincipalName “[email protected]” -Path “OU=HCM,DC=DOM01,DC=LOCAL” -AccountPassword(ConvertTo-SecureString -AsPlainText “P@ssword123” -Force) -Enabled $true
b. Xem thông tin user vừa tạo trong OU
– Gõ lệnh: Get-ADUser -Identity u1 -Properties *
c. Xóa user
– Để xóa user u2, gõ lệnh: Remove-ADUser -Identity u2
– Chọn Y để xác nhận
d. Thay đổi thông tin user
B1 – Gõ lệnh bên dưới để thêm số điện thoại cho user U1
Set-ADUser u1 –OfficePhone 02839322735
B2 – Quay lại ADUC, chuột phải vào user U1, chọn Properties
B3 – Quan sát thấy số điện thoại đã được thêm vào
e. Thay đổi mật khẩu cho user
– Gõ lệnh bên dưới để thay đổi mật khẩu cho user U1 thành p@ssw0rd
Set-ADAccountPassword -Identity ‘CN=u1,OU=HCM,DC=DOM01,DC=LOCAL’ -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “p@ssw0rd” -Force)
f. Import ad user from csv file
B1 – Dùng NotePad soạn nội dung như sau và lưu lại thành file ds.csv lưu vào thư mục C:\DS:
B2 – Vào Start, chuột phải vào Windows Powershell, chọn Run as Addministrator
B3 – Tại Windows Powershell, gõ lệnh sau:
Set-ExecutionPolicy Unrestricted -Force
B4 – Thực hiện các lệnh sau để vào folder c:\DS
Cd\
Cd ds
B5 – Tại folder DS thực hiện lệnh sau để tạo user từ file ds.csv
Import-Csv “C:\ds\ds.csv” | ForEach-Object { New-ADUser -Name $_.Name -Path $_.”ParentOU” -SamAccountName $_.”samAccountName” -UserPrincipalName $_.”userPrincinpal” -AccountPassword (ConvertTo-SecureString “123456?a” -AsPlainText -Force) -ChangePasswordAtLogon $true -Enabled $true }
B6 – Vào Run gõ lệnh DSA.MSC chọn OU HCM để kiểm tra các user vừa tạo
B7 – Chuột phải vào user diep chọn Properties, chọn tab Account kiểm tra các thông tin vừa tạo
g. Thay đổi thông tin cho nhiều user
B1 – Chuột phải vào user diep chọn Properties, chọn tab General kiểm tra các field Display name, Office và Email chưa có thông tin, nhấn OK
B2 – Mở file ds.csv gõ thêm nội dung như trong hình để thêm giá trị cho các field Display name, Office và Email, sau đó lưu lại thành file ds1.csv
B3 – Quay lại Powershell thực hiện lệnh sau:
Import-Csv “C:\ds\ds1.csv” | ForEach-Object { Set-ADUser -Identity $_.”samAccountName”
-Emailaddress $_.”userPrincinpal” -Office $_.”Office” -Displayname $_.”Displayname” }
B4 – Trở lại DSA.MSC, chuột phải vào user cuc chọn Properties, chọn tab General kiểm tra các field Display name, Office và Email đã có thông tin, nhấn OK.
h. Di chuyển User sang OU khác
B1 – Tạo OU HN
New-ADOrganizationalUnit -Name “HN” -Path “DC=DOM01,DC=LOCAL”
B2 – Di chuyển user U1 từ OU HCM sang OU HN, gõ lệnh:
Get-ADUser u1 | Move-ADObject -TargetPath ‘OU=HN,DC=DOM01,DC=LOCAL’
4. Tạo Group
a. Tạo Group
B1 – Gõ lần lượt 2 lệnh bên dưới để tạo group KETOAN & group NHANSU nằm trong OU HN
NEW-ADGroup –name “KETOAN” –groupscope Global –path “OU=HN,DC=DOM01,DC=LOCAL”
NEW-ADGroup –name “NHANSU” –groupscope Global –path “OU=HN,DC=DOM01,DC=LOCAL”
B2 – Quay lại ADUC, quan sát thấy 2 group vừa tạo
b. Thêm user vào group
B1 – Để thêm user U1 vào group
Add-ADGroupMember “NHANSU” u1
B2 – Quay lại ADUC, chuột phải group NHANSU, chọn Properties. Qua tab Members, quan sát thấy user U1 đã được thêm vào group
c. Gỡ bỏ user ra khỏi group
– Để gỡ user U1 ra khỏi group NHANSU, gõ lệnh:
Remove-ADGroupMember “NHANSU” u1
Chọn Y để xác nhận
5. Tạo AD Computer
B1 – Để tạo AD Computer, gõ lệnh
New-ADComputer -Name “PC02” -PassThru
B2 – Quay lại ADUC, chọn OU Computers, quan sát thấy Computer PC02 vừa tạo
Phần 3: ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL
CÁC BƯỚC TRIỂN KHAI:
1. Tạo OU
2. Xóa OU
3. Delegate User
- a. Delegate common task
- b. Delegate custom task
- c. Kiểm tra
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ DC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)
+ PC02: Windows 10 Professional đã join Domain
- – Chỉnh Password policy đơn giản.
- – Cấp quyền Log on locally Domain Controller cho group USERS
- – Cài đặt RSAT trên máy PC02
B- THỰC HIỆN ORGANIZATIONAL UNIT (OU), DELEGATE CONTROL
1. Tạo OU (Thực hiện trên máy PC01)
B1 – Trên máy PC01, mở Server Manager, vào menu Tools, chọn Active Directory Users and Computers
B2 – Chuột phải DOM01.LOCAL, chọn New, sau đó chọn Organizational Unit
B3 – Đánh dấu chọn ô Protect container from accidental deletion, chọn OK
B4 – Tương tự tạo thêm OU HN. Khi tạo OU này, bỏ dấu chọn ô Protect container from accidental deletion, chọn OK
2. Xóa OU (Thực hiện trên máy PC01)
B1 – Chuột phải OU HN, chọn Delete, chọn Yes. Xóa thành công OU HN
B2 – Chuột phải OU SG, chọn Delete, chọn Yes. Thông báo lỗi không thể xóa OU
B3 – Vào menu View, chọn Advanced Features
B4 – Chuột phải OU SG, chọn Properties. Qua tab Object, bỏ chọn ô Protect object from accidental deletion, chọn OK
B5 – Chuột phải OU SG, chọn Delete, chọn Yes. Xóa thành công OU SG
3. Delegate User (Thực hiện trên máy PC01)
a. Delegate common task
B1 – Tạo OU KETOAN và OU NHANSU
B2 – Tạo 2 user u1, u2 nằm trong OU KETOAN. Tương tự tạo thêm 2 user u3, u4 nằm trong OU NHANSU
B3 – Chuột phải OU KETOAN, chọn Delegate Control…
B4 – Màn hình Welcome, chọn Next
B5 – Màn hình Users or Groups, chọn Add, nhập u1. Chọn Next
B6 – Màn hình Task to Delegate, chọn Delegate the following common tasks, bên dưới đánh dấu chọn vào tất cả các task, chọn Next
B7 – Màn hình Completing, chọn Finish
b. Delegate custom task
B1 – Chuột phải OU NHANSU, chọn Delegate Control
B2 – Màn hình Welcome, chọn Next
B3 – Màn hình Users or Groups, chọn Add, nhập u3. Chọn Next
B4 – Màn hình Task to Delegate, chọn Delegate the following common tasks
B5 – Màn hình Active Directory Object Type, chọn This folderm existing objects in this folder, and creation of new objects in this folder, chọn Next
B6 – Màn hình Permissions, chọn tất cả các Permissions
B7 – Màn hình Completing, chọn Finish
c. Kiểm tra
B1 – Trên máy PC02, Sign In DOM01\u1. Mở ADUC, chuột phải OU KETOAN, thử tạo, xóa, chỉnh sửa user 🡪 Đảm bảo thành công
B2 – Chuột phải OU KETOAN, thử tạo mới OU. Quan sát không có tùy chọn tạo mới OU
B3 – Sign Out u1, Sign In DOM01\u3. Chuột phải OU NHANSU, chọn New, quan sát thấy có tùy chọn tạo mới OU
Hoàn Tất Bài Lab