Trong bài học hôm nay chúng ta sẽ làm quen với MCSA 2012 – OU – GPO – Delegate. Đây là những tài nguyên căn bản của window server cung cấp mà người quản trị mạng nào cũng cần biết và hiểu về nó.
Ở các bài học trước chúng ta đã biết cách cài đặt Active Directory, sau đó là khởi tạo các user của domain và quản lý chúng. Cuối cùng là cách để một máy client join vào domain là như thế nào?
Nếu chưa nắm rõ, hãy cùng Vũ i Tờ ‘s Blog xem lại các bài viết nhé:
- Bài đầu tiên: Các bước chuẩn bị để học MCSA 2012
- Bài 01: Hướng dẫn tạo Local User trong Win server bằng dòng lệnh
- Bài 02: Local Policy – quản lý chính sách nội bộ trên windows server
- Bài 03: MCSA 2012 – NTFS Permission: phân quyền truy cập NTFS
- Bài 04: MCSA 2012 – Cài đặt Domain Controller chỉ vài bước đơn giản
- Bài 05: MCSA 2012 – quản lý Domain User: cách Join Domain
Bây giờ, bạn hãy cùng với Vũ i Tờ 's blog tìm hiểu nội dung trong bài viết nhé!
I. Organize Unit (OU)
Một số khái niệm
- Tổ chức OU để phân cấp đối tượng
- Áp đặt policy cho user
- Ủy quyền cho user quản lý OU
Ví dụ về mô hình OU trong tổ chức
- Mô hình OU:
- Dom9
- Users (group)
- Phòng KD (OU) → áp đặt policy. Vd: cấm xài notepad
- U1 (it KD)
- u2
- Phòng KT (OU)
- U3
- U4 (it KT)
- HCM
- Q1
- Q2
- HN (OU)
- BD
- HK
- Dom9
Note: Khi bạn tạo mới OU nhớ tích vào “protect contain from accidental deletion”: không cho phép xóa OU (default khi tạo OU bằng dòng lệnh), vì nhỡ chẳng máy xóa bậy sẽ mất cá policy áp lên OU đó. Cũng ảnh hưởng ít nhiều đấy.
Vũ i Tờ ‘ Blog
Trường hợp bạn vẫn muốn xóa OU khi lỡ tích vào khi khởi tạo thì làm như sau:
AD → view → advanced features → right click OU → property → Object → Protect object
Tạo OU bằng command line
DSadd OU ou=hcm,dc=dom9,dc=local → enter
DSadd OU ou=q1,ou=hcm,dc=9,dc=local → enter
Tạo user trong ou
DSadd user cn=ithcm,ou=hcm,cn=users,dc=dom9,dc=local -pwd 123 -upn itchcm@dom9.local
DSadd user cn=it,ou=q1,ou=hcm,cn=users,dc=dom9,dc=local -pwd 123 -upn it@dom9.local
Luyện tập tạo MCSA 2012 – OU – GPO – Delegate
Mở trình quản lý AD users and computers
Vào window, run, nhập lệnh dsa.msc
Chọn domain, chọn new , chọn organazation unit
Tạo mô hình OU như sau:
- Dom9
- Users (group)
- Phòng KD (OU) → áp đặt policy. Vd: cấm xài notepad
- U1 (it KD)
- u2
- Phòng KT (OU)
- U3
- U4 (it KT)
- HCM
- Q1
- Q2
- HN (OU)
- BD
- HK
Kiểm tra 1 OU có bật chức năng cấm xóa hay không
Xóa OU
Nếu bỏ chọn “protect object….” thì giờ bạn có thể xóa OU được rồi đó
Tạo OU bằng dòng lệnh
Kiểm tra trong AD users, computer, đã có OU mới
II. MCSA 2012 – OU – GPO – Delegate (ủy quyền)
Bạn có thể cấp quyền cho các user khác nhau quản lý các OU khác nhau mà không cần user đó phải có quyền administrator.
Ví dụ: bạn cấp quyền cho IT ở hcm quản lý OU HCM, và tương tự IT ở HN quản lý OU HN
- Mô hình ủy quyền user quản lý OU
- Dom9
- HCM
- ithcm
- HN
- itHN
- HCM
Cách khác cấp quyền OU
Start run → dsa.msc → right click property → security → user IT → full control
Kiểm tra quyền
Security → advance → effective access → select user → view effective access
Chọn OU bạn muốn ủy quyền, phải chuột và chọn delegate control
Chọn tài khoản user quản lý
Cấp quyền quản lý OU
Đăng nhập vào user kiểm tra quyền cấp hiệu lực chưa
Kiểm tra OU HCM do user nào quản lý và có quyền gì
IT hồ chí minh dĩ nhiên có full quyền
Thử kiểm tra quyền của it hà nội xem sao. Mở qua tab effective access để coi
chọn select user
user it hà nội chỉ có quyền đọc
ngược lại IT hồ chí minh có full quyền
OK, vậy là các bạn đã có khái niệm về phân quyền user quản trị OU và biết cách kiểm tra bộ quyền của user. Ở phần 2 của bài viết “MCSA 2012 – OU – GPO – Delegate: quản trị tài nguyên trên window server” các bạn sẽ học về group policy cho domain nhé. Hẹn gặp lại các bạn ở bài viết sau.
LỜI KẾT
[Học vui mỗi ngày – Chuyên mục học MCSA online] là tổng hợp những kiến thức hay từ khóa học MCSA 2012. Đây là chương trình đào tạo quản trị viên hệ thống dựa trên nền tảng Hệ Điều Hành máy chủ mới nhất của Microsoft – Windows Server.. Nếu bạn có thắc mắc hoặc ý kiến đóng ghóp cho bài viết đừng ngại đặt câu hỏi cho Vũ i Tờ ‘s Blog bằng cách để lại comment bên dưới nha. Cám ơn các bạn rất nhiều !!!
Bài cùng chuyên mục:
- Bài 13: MCSA 2012 – FILE SERVER RESOURCE MANAGEMENT (FSRM) – quản lý ổ đĩa mạng
- Bài 12: MCSA 2012 – Distributed File System – Hệ thống cân bằng tải
- Bài 11: MCSA 2012 – Audit – Các tiêu chí kiểm tra bảo mật cần biết trong windows server
- Bài 10: MCSA 2012 – Deploy Software – Cách cài đặt phần mềm từ xa
- Bài 09: MCSA 2012 – quản trị tài nguyên mạng P2 – Tạo Script khi đăng nhập
- Bài 08: MCSA 2012 – quản trị tài nguyên mạng – Home Folder, User Profile, Script
Bạn sẽ là người bình luận đầu tiên