Giáo trình Kiến thức cơ bản về mạng máy tính

Chỉnh sửa và bổ sung các thuộc tính của tài khoản

Như đã nói ở trên, chúng ta đã thấy được sự quan trọng trong việc điền các thuộc tính khác nhau khi tạo một tài khoản mới. Bạn có thể thấy nhiều màn hình liên quan đến việc tạo tài khoản mới không thực sự có nhiều thuộc tính. Tuy vậy, Active Directory còn gồm có hàng tá thuộc tính kèm theo có liên quan đến các tài khoản của người dùng này.

Có một số thuộc tính mà bạn có thể rất dễ sử dụng và có ích. Chúng tôi khuyến khích các thuộc tính đang cư trú mà có liên quan đến thông tin liên hệ cơ bản. Trong thực tế, một số công ty thường tạo các thư mục công ty dựa trên thông tin được lưu trong thuộc tính Active Directory này, nó vẫn là một ý tưởng tốt cho việc định cư thông tin tài khoản người dùng trong Active Directory. Ví dụ, với mục đích cần khởi động lại một máy chủ, trong khi đó một người dùng vẫn đăng nhập vào ứng dụng cư trú trên máy chủ. Nếu có các thông tin liên hệ của người dùng được lưu trong Active Directory thì bạn có thể tra cứu số điện thoại của người dùng một cách dễ dàng và gọi cho người dùng này yêu cầu họ đăng xuất.

 

doc98 trang | Chia sẻ: maiphuongdc | Ngày: 17/02/2014 | Lượt xem: 2895 | Lượt tải: 26download
Bạn đang xem nội dung tài liệu Giáo trình Kiến thức cơ bản về mạng máy tính, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
một miền, sự thay đổi sẽ được truyền một cách tự nhiên xuyên suốt miền. Vấn đề là phần còn lại của forest không biết đến sự thay đổi này. Đây chính là công việc của Infrastructure Master, làm thế nào để cho phần còn lại của forest biết được có sự thay đổi. Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không thể nhìn thấy trong đường biên miền. Ví dụ, nếu bạn đã đặt lại tên cho một tài khoản người dùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các miền khác trong forest. Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master cho một miền, mở Active Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters, Windows sẽ hiển thị trang thuộc tính của Operations Masters. Bạn có thể xác định được bộ điều khiển miền nào đang thực hiện với tư cách Operations Master bằng cách nhìn vào tab Infrastructure của trang thuộc tính. Kết luận Như những gì bạn có thể thấy, các role FSMO đóng vai trò quan trọng trong chức năng của Active Directory. Trong phần tiếp theo của loạt bài viết này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cấu trúc của Active Directory và việc định tên giản đồ được sử dụng bởi các đối tượng Active Directory. Phần 9 – Thông tin về Active Directory Trong các phần gần đây của loạt bài bài này, chúng tôi đã giới thiệu nhiều về Active Directory và cách nó làm việc với các bộ điều khiển miền mạng. Bạn cũng đã được giới thiệu qua các phần trước rằng Active Directory về cơ bản là một cở sở dữ liệu gồm có nhiều đối tượng khác nhau như tài khoản người dùng và tài khoản máy tính. Trong phần này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn Active Directory được cấu trúc như thế nào. Nếu đã từng sử dụng Microsoft Access hoặc SQL Server thì bạn hoàn toàn có thể mở cơ sở dữ liệu và quan sát các thực thể bên trong nó. Mặc dù vậy, không có công cụ quản trị nào được sử dụng để quản lý Active Directory có thể cho bạn xem được toàn bộ cơ sở dữ liệu của Active Directory. Thay vì đó, Microsoft đã cung cấp một số công cụ khác nhau tương ứng với một lĩnh vực cụ thể của cở sở dữ liệu. Với một quản trị viên, công cụ quản trị có thể sử dụng thường là Active Directory Users and Computers console. Bạn có thể truy cập Active Directory Users and Computers console từ bộ điều khiển miền của Windows Server 2003 bằng cách chọn Active Directory Users and Computers từ menu Start / All Programs / Administrative Tools của máy chủ. Giao diện của nó được thể hiện như những gì bạn thấy trong hình A. Hình A: Giao diện Active Directory Users and Computers là một công cụ quản trị chính cho việc quản lý các đối tượng Active Directory. Chúng ta sẽ thảo luận quá trình tạo hoặc soạn thảo các đối tượng Active Directory sau, bây giờ chúng tôi sẽ giới thiệu kỹ hơn về giao diện này bởi vì nó giúp chúng ta khám phá một chút về cấu trúc của Active Directory. Nếu nhìn vào hình A thì bạn sẽ thấy được rằng ở đây có một số thư mục lớn, mỗi một thư mục này tương ứng với một loại đối tượng cụ thể. Mỗi đối tượng trong Active Directory đều được gán một kiểu đối tượng (được biết đến như là lớp đối tượng). Mỗi đối tượng cũng có một số thuộc tính liên quan. Các thuộc tính cụ thể thay đổi phụ thuộc vào kiểu đối tượng. Ví dụ, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành các đối tượng người dùng như trong hình B. Nếu kích chuột phải vào một trong các đối tượng người dùng này và chọn Properties từ menu chuột phải thì bạn sẽ thấy được trang thuộc tính của đối tượng (như trong hình C). Hình B: Thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành các đối tượng người dùng. Hình C: Khi kích chuột phải vào một đối tượng người dùng và chọn Properties thì bạn sẽ thấy trang thuộc tính của người dùng. Nếu nhìn vào hình C thì bạn sẽ thấy rằng có một số trường thông tin khác nhau như tên, họ, số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng. Mặc dù phần lớn các trường ở trong hình đều không phổ biến nhưng trong một số tình huống thực thì các trường này có thể được sử dụng để tạo thư mục cộng tác. Trong thực tế, nhiều ứng dụng được thiết kế để trích thông tin trực tiếp từ Active Directory. Ví dụ, Microsoft Exchange Server (sản phẩm e-mail server của Microsoft) tạo một danh sách địa chỉ toàn cục dựa trên nội dung của Active Directory. Danh sách này được sử dụng khi gửi các thông báo email đến người dùng khác trong công ty. Nếu nhìn vào hình D, bạn sẽ thấy được một màn hình, trong đó chúng tôi đã thực hiện một tìm kiếm với tên Hershey, và Outlook đã trả toàn bộ danh sách địa chỉ toàn cục Global Address List gồm có tên Hershey. Không hề ngạc nhiên vì đây chỉ là một kết quả. Nếu nhìn vào phần kết quả của cửa sổ thì bạn sẽ thấy được nơi mà Outlook hiển thị tiêu đề của người dùng, số điện thoại doanh nghiệp và vị trí mà trường đó được phổ biến. Tất cả thông tin này đều được lấy từ Active Directory. Hình D Nếu muốn thấy các thông tin chi tiết hơn về người dùng, bạn hãy kích chuột phải vào tên của người dùng và chọn Properties.Khi đó cửa sổ như hình E sẽ được hiển thị. Bạn hãy nhớ rằng đây không phải là một màn hình quản trị. Đơn giản đây chỉ là một màn hình mà bất kỳ người dùng nào trong công ty cũng có thể truy cập trực tiếp thông qua Outlook 2007 để tìm thông tin về các nhân viên khác. Hình E: Xem thông tin Active Directory trực tiếp thông qua Microsoft Outlook Xét cho cùng thì Outlook là một sản phẩm của Microsoft, vì vậy nó chỉ tạo một cảm giác rằng Outlook sẽ có thể lấy thông tin từ Active Directory, một phần của một sản phẩm khác của Microsoft. Tuy nhiên có rất nhiều người không nhận ra một điều, đó là khá dễ dàng cho bất cứ ai có sự cho phép thích hợp để lấy thông tin từ Active Directory. Thực tế, có rất nhiều sản phẩm của nhóm thứ ba được thiết kế để tương tác với Active Directory. Một trong số chúng có khả năng lưu dữ liệu trong các phần Active Directory đặc biệt. Lý do nó hợp lý với bạn hoặc với các hãng phần mềm nhóm thứ ba khi tương tác với Active Directory là vì Active Directory được dựa trên một chuẩn đã biết. Active Directory được dựa trên một chuẩn có tên gọi là X.500. Chuẩn này cơ bản là một cách chung chung trong việc thực hiện dịch vụ thư mục. Microsoft không chỉ là một công ty tạo dịch vụ thư mục dựa trên dịch vụ này mà Novell ban đầu cũng đã tạo dịch vụ thư mục NetWare Directory Service trên chuẩn này. Đây cũng là một cách trong việc truy cập vào thông tin dịch vụ thư mục. Trong môi trường Active Directory, việc truy cập thông tin thư mục liên quan đến việc sử dụng Lightweight Directory Access Protocol (LDAP). Giao thức LDAP chạy trên phần đỉnh của giao thức TCP/IP. Thứ đầu tiên mà bạn cần phải biết về giao thức LDAP là bất cứ tên nào được đặt cũng đều phải được phân biệt, bởi vì không có gì là ít quan trọng về nó (nó quan trọng hơn giao thức truy cập thư mục gốc, giao thức không được thiết kế để tận dụng ngăn xếp giao thức TCP/IP). Mỗi đối tượng trong Active Directory đều được quy vào một tên phân biệt (thường được viết tắt là DN). Tên phân biệt được dựa trên vị trí của đối tượng bên trong thứ bậc thư mục. Có nhiều thành phần khác nhau trong tên phân biệt nhưng một số cái chung là một tên chung (được viết tắt là CN) và một miền tên (viết tắt là DC). Ví dụ, cho rằng miền Contoso.com gồm có một tài khoản có tên là User1 và tài khoản này được định vị trong thư mục Users. Trong trường hợp như vậy, tên phân biệt của tài khoản người dùng sẽ là: CN=User1, CN=Users, DC=Contoso, DC=com Kết luận Trong phần này, chúng tôi đã giải thích thông tin được lưu trong Active Directory có thể được sử dụng bằng các ứng dụng mở rộng thông qua giao thức LDAP. Trong phần tiếp theo của loạt bài này chúng ta sẽ thảo luận về các tên phân biệt có liên quan đến Active Directory. Phần 10 – Các tên phân biệt Trong phần 8 của loạt bài này, chúng tôi đã giải thích cho các bạn về đối tượng tham chiếu giao thức LDAP trong Active Directory bởi tên phân biệt của chúng, mỗi một đối tượng trong thư mục có tên riêng của chính nó. Trong phần 9 này, chúng tôi muốn tiếp tục giới thiệu cho các bạn về các tên phân biệt như thế nào. Trước khi bắt đầu Trước khi bắt đầu, chúng tôi muốn nhắc lại rằng các tên phân biệt không duy nhất có trong Active Directory. Microsoft đã xây dựng Active Directory để lợi dụng các chuẩn công nghiệp được sử dụng bởi nhiều công ty khác như Novell và IBM. Bằng cách nghiên cứu về chúng, bạn không chỉ có được sự chuẩn bị tốt hơn cho việc quản lý Active Director mà còn có được một mức thân thiện nhất định nếu bạn đã từng được yêu cầu làm việc với hệ điều hành mạng không phải của Microsoft. Các nguyên tắc đặt tên cơ bản Các tên phân biệt với nhau nhờ thuộc tính, các thuộc tính này được gán giá trị. Mỗi một tên phân biệt thường gồm có nhiều cặp giá trị thuộc tính, bạn hãy xem một tên đơn giản. CN=User1, CN=Users, DC=Contoso, DC=com Trong ví dụ này, tên được tạo thành từ 4 cặp thuộc tính/ giá trị khác nhau, mỗi một cặp được phân biệt với nhau bằng dấu phẩy. Cặp thuộc tính/ giá trị thứ nhất là CN=USER1. Trong cặp này, CN (viết tắt cho Common Name) là thuộc tính và User1 là giá trị. Các thuộc tính và giá trị luôn luôn phân biệt với nhau bởi dấu bằng (=), còn các cặp thuộc tính/ giá trị được phân biệt với nhau bằng dấu phẩy (,). Các tên phân biệt Khi bạn xem tên CN=User1, CN=Users, DC=Contoso, DC=com, mọi thứ trở thành rõ ràng ngay lập tức. Nếu quan sát kỹ hơn tên phân biệt này thì bạn có thể nhận ra rằng nó là hệ có thứ bậc. Trong trường hợp riêng này, DC=com thể hiện mức cao của thứ bậc. DC=Contoso thể hiện mức thứ hai. Bạn có thể nói rằng COM và Contoso là các miền bởi vì cả hai sử dụng thuộc tính DC. Thứ bậc miền ‘nhại lại’ thứ bậc miền được sử dụng bởi các máy chủ DNS (bạn đã được giới thiệu về thứ bậc DNS trong các bài trước) Bạn cần phải hiểu thứ bậc tên này làm việc như thế nào vì hai lý do. Thứ nhất, hiểu thứ bậc tên bạn có thể biết chính xác nơi một đối tượng cụ thể được định vị bên trong thư mục. Lý do khác là hiểu được bản chất của thứ bậc thư mục vì đôi khi các đường tắt sẽ được sử dụng để thay cho tên đầy đủ. Để rõ hơn những gì đang nói, chúng ta hãy xem xét thêm về ví dụ trên: CN=User1, CN=Users, DC=Contoso, DC=com. Tên phân biệt này được gán cho mỗi một tài khoản người dùng (chính xác hơn là một đối tượng người dùng) có tên User1. Phần còn lại trong tên cho chúng ta biết vị trí của đối tượng trong thứ bậc thư mục. Nếu bạn đang cố nói với một ai đó về vấn đề này thì có thể tình cờ đề cập đến nó như User1. Đôi khi LDAP cũng thực hiện tương tự như vậy. Điều này hoàn toàn có thể vì nó không cần thiết phải cung cấp thông tin về vị trí của đối tượng trong thứ bậc nếu vị trí đã được biết. Ví dụ, nếu chúng tôi đang thực hiện một số hoạt động trên các đối tượng người dùng được đặt trong thư mục Users trong miền Contoso.com thì có thực sự cần thiết để tuyên bố rõ ràng rằng các đối tượng đều được đặt trong Users của miền Contoso.com hay không? Trong tình huống này cũng như vậy, tên phân biệt thường được thay thế bởi Relative Display Name (viết tắt là RDN). Trong trường hợp CN=User1, CN=Users, DC=Contoso, DC=com, thì RDN là CN=User1. RDN luôn luôn được phân biệt của bộ nhận dạng rõ ràng nhất. Nó là cặp giá trị/ thuộc tính bên trái nhất trong tên phân biệt. Phần khác của tên phân biệt cũng được biết đến như tên cha. Trong trường hợp điển hình này, tên cha sẽ là CN=Users, DC=Contoso, DC=com. Trước khi tiếp tục, chúng tôi muốn đề cập một vấn đề là Microsoft thường thiên về sử dụng định dạng tên khác nhau hơn là một số nhà sản xuất hệ điều hành mạng khác. Như những gì bạn đã thấy, các tên của Microsoft thiên về dựa vào container và miền. Không có gì sai với định dạng này bởi vì nó chiếu theo RFC 2253 để thiết lập các nguyên tắc cho tên riêng biệt. Một số hệ điều hành mạng khác thiên về dựa trên các thứ bậc tên riêng biệt của họ trên các công ty và quốc gia hơn là các container và miền. Trong các kiểu tên đó, thuộc tính O được sử dụng để chỉ định tên tổ chức (công ty) và chữ cái C được sử dụng để chỉ định tên quốc gia. Bằng sử dụng quy ước đặt tên này, tên riêng biệt CN=User1, CN=Users, DC=Contoso, DC=com sẽ như sau: CN=User1, O=Contoso, C=US Hãy nhớ rằng cả hai định dạng này đều tuân theo RFC 2253, nhưng chúng không thể thay đổi cho nhau. Nhiệm vụ của tên là để miêu tả một đối tượng và vị trí của nó bên trong thư mục. Lý do về 2 định dạng tên khác nhau là Microsoft đã xây dựng thư mục của họ khác so với các đối thủ cạnh tranh khác. Các kí tự đặc biệt trong tên Cho đến giờ chúng ta mới chỉ thấy các dấu phẩy và dấu bằng có ý nghĩa đặc biệt trong phần nội dung của tên. Tuy nhiên còn có một số kí tự đặc biệt khác mà phần trên chúng tôi chưa giới thiệu. Các kí tự đặc biệt đó gồm có dấu cộng, dấu lớn hơn, nhỏ hơn, số, dấu trích dẫn và dấu xổ ngược - back slash (\). Chúng tôi sẽ không giới thiệu hết các kí tự đặc biệt này mà chỉ tập trung vào giới thiệu cho các bạn dấu back slash. Dấu này cho phép bạn đưa ra một lệnh LDAP để bỏ qua kí tự theo sau. Điều này cho phép lưu các kí tự bị cấm trong thư mục của bạn. Để rõ hơn nó được sử dụng như thế nào, chúng ta hãy xem xét một tên đầy đủ được biểu diễn với tên và họ cách nhau bằng dấu phẩy. Tuy nhiên LDAP không cho phép bạn sử dụng lệnh CN=Smith, John vì dấu phẩy được sử dụng bởi LDAP để phân biệt các cặp thuộc tính/ giá trị. Nếu muốn lưu giá trị Smith, John trong thư mục, bạn có thể thực hiện bằng các tạo một dấu back slash như dưới đây: CN=Smith\, John Trong lệnh ở trên, dấu back slash làm cho LDAP phải coi dấu phẩy là dữ liệu chứ không phải là một phần của cú pháp câu lệnh. Cách khác để thực hiện điều này là dùng dấu trích dẫn. Mọi thứ bên trong dấu trích dẫn đều được coi như dữ liệu. Có một quy tắc đặc biệt với việc sử dụng dấu back slash bên trong các dấu trích dẫn. Dấu back slash có thể được sử dụng để áp đặt LDAP bỏ qua các dấu back slash khác. Để đơn giản, nếu bạn cần gộp một dấu back slash vào phần dữ liệu thì đơn giản bạn chỉ cần sử dụng hai dấu back slash thay cho một dấu. Các trường hợp sự dụng dấu back slash giữa dấu trích dẫn được xem như không hợp lệ. Kết luận Thông qua nội dung bài bạn có thể thấy các nguyên tắc cho việc tạo một tên có thể khá tinh tế. Tuy vậy, việc hiểu được các tên sẽ là chìa khóa giúp bạn quản lý Active Directory tốt. Trong phần 10 tiếp theo chúng tôi sẽ tiếp tục giới thiệu bằng cách đưa ra các công cụ quản lý Active Directory. Phần 11 - Active Directory Users và Computers Console Trong các phần trước của loạt bài này chúng tôi đã giới thiệu cho các bạn về cách làm việc với AD. Trong phần này chúng tôi sẽ tiếp tục tất cả những gì cần phải thực hiện đối với một mạng. Windows Server 2003 có một số công cụ khác được sử dụng cho việc quản lý AD. Công cụ quản lý AD này cho phép bạn sử dụng hầu hết các nhiệm vụ quản lý hàng ngày đó là Directory Users và Computers console. Như tên của nó, công cụ này được sử dụng để tạo, quản lý và xóa các tài khoản người dùng và máy tính. Bạn có thể truy cập vào công cụ này bằng cách kích chuột vào nút Start của máy chủ và từ menu Start tìm đến All Programs / Administrative Tools. Tùy chọn Active Directory Users and Computers ở gần phía trên của menu Administrative Tools. Bạn cần phải nhớ rằng chỉ có các bộ điều khiển miền mới có tùy chọn này, vì vậy nếu không quan sát thấy lệnh Active Directory Users and Computers thì bạn phải đăng nhập vào bộ điều khiển miền. Một thứ khác mà bạn phải chú ý đó là menu Administrative Tools gồm có một cặp công cụ AD khác: Active Directory Domains and Trusts và Active Directory Sites and Services. Chúng tôi sẽ giới thiệu các tiện ích này trong một số bài viết sau. Khi mở mục Active Directory Users and Computers, bạn sẽ thấy xuất hiện một màn hình giống như hình A dưới đây. Bạn có thể xem lại từ các phần trước trong loạt bài này, AD có forest, forest này gồm có một hoặc nhiều miền. Mặc dù forest thể hiện toàn bộ AD nhưng bảng điều khiển Active Directory Users and Computers không cho phép làm việc với AD ở mức forest. Giao diện này chỉ là một công cụ mức miền. Thực tế, nếu nhìn vào hình A bạn sẽ thấy production.com được đánh dấu. Production.com là một miền trên mạng của chúng tôi. Tất cả các mục khác được liệt kê bên dưới đều là đối tượng của miền AD cho từng miền. Hình A: Giao diện Active Directory Users and Computers cho phép quản lý các miền riêng lẻ Bạn có thể thấy rằng production.com là một trong các miền trên mạng của chúng tôi và không có miền nào khác được liệt kê trong hình A. Điều đó là vì Active Directory Users and Computers chỉ liệt kê một miền tại một thời điểm để giữ cho giao diện trông gọn gàng. Miền được liệt kê trong giao diện tương ứng với bộ điều khiển miền mà bạn đã đăng nhập. Ví dụ, trong khi viết bài này, tôi đã đăng nhập vào một trong các bộ điều khiển miền đó là production.com, vì vậy Active Directory Users and Computers sẽ kết nối đến miền production.com. Vấn đề ở đây là các miền đó thường bị phân tán về mặt địa lý. Ví dụ, trong công ty lớn phải có các miền khác nhau cho mỗi văn phòng của công ty. Nếu lúc này bạn đang ở Miami, Florida và miền khác của công ty hiện diện cho một văn phòng tại Las Vegas, Nevada thì nó sẽ không phải di chuyển một quãng đường lớn dọc toàn nước Mỹ mỗi khi bạn cần quản lý miền Las Vegas. Mặc dù Active Directory Users and Computers mặc định hiển thị miền có liên quan đến bộ điều khiển miền mà bạn đã đăng nhập, nhưng vẫn có thể sử dụng giao diện này để hiển thị bất kỳ miền nào mà bạn có quyền thao tác với chúng. Tất cả những gì cần phải làm lúc này là kích chuột phải vào miền đang được hiển thị, sau đó chọn lệnh Connect to Domain từ menu chuột phải. Khi thực hiện như vậy sẽ có một màn hình được hiển thị, màn hình này cho phép đánh vào đó tên miền mà bạn muốn kết nối hoặc kích vào nút Browse và duyệt miền. Khi một miền được đặt ở xa thì bạn có thể rất khó để đăng nhập trực tiếp vào bộ điều khiển miền. Ví dụ, tôi đã làm việc trong một số văn phòng, trong đó các bộ điều khiển miền được đặt trong các tòa nhà riêng biệt hoặc không có điều kiện thuận lợi cho tôi đăng nhập vào bộ điều khiển miền để thực hiện công việc bảo trì hàng ngày. Tuy nhiên một tin tốt đó là không cần phải đăng nhập vào bộ điều khiển miền để truy cập vào giao diện Active Directory Users and Computers mà chỉ cần đăng nhập vào bộ điều khiển miền để truy cập vào giao diện Active Directory Users and Computers từ menu Administrative Tools. Bạn có thể truy cập giao diện này với tư cách máy chủ thành viên bằng cách nạp một cách thủ công nó vào Microsoft Management Console. Để thực hiện điều đó, bạn nhập lệnh MMC vào cửa sổ lệnh RUN của máy chủ. Khi thực hiện xong máy chủ sẽ mở một Microsoft Management Console trống. Tiếp theo đó bạn chọn lệnh Add / Remove Snap-In từ menu File của giao diện điều khiển. Windows lúc này sẽ mở cửa sổ thuộc tính của Add / Remove Snap-In. Kích nút Add trên tab Standalone trong cửa sổ thuộc tính, bạn sẽ thấy một danh sách các snap-in có sẵn. Chọn tùy chọn Active Directory Users and Computers từ danh sách snap-in đó và kích Add, tiếp theo đó là Close và OK. Giao diện điều khiển lúc này sẽ được nạp. Trong một số trường hợp load giao diện theo cách này có thể gây ra lỗi. Nếu bạn thấy xuất hiện lỗi và giao diện không cho phép quản lý miền sau khi kích chuột phải trên mục Active Directory Users and Computers và chọn lệnh Connect to Domain Controller từ menu chuột phải. Lúc này bạn có thể kết nối giao diện điều khiển đến một bộ điều khiển miền nào đó mà không cần đăng nhập vào bộ điều khiển miền đó. Bằng cách đó bạn sẽ có thể quản lý được miền giống như trong giao diện điều khiển của bộ điều khiển miền. Kỹ thuật đó làm việc sẽ rất thú vị nếu bạn có một máy chủ , nhưng điều gì sẽ xảy ra nếu máy trạm làm việc của bạn đang sử dụng Windows Vista, và tất cả máy chủ đều nằm bên phía bên kia của tòa nhà. Một trong những giải pháp đơn giản nhất để giải quyết vấn đề này đó là thiết lập một phiên RDP cho một trong những máy chủ. RDP là giao thức máy trạm từ xa (Remote Desktop Protocol). Giao thức này sẽ cho phép điều khiển từ xa các máy chủ trong tổ chức của bạn. Trong môi trường Windows Server 2003 bạn có thể kích hoạt một phiên từ xa bằng cách kích chuột phải vào My Computer và chọn lệnh Properties từ menu chuột phải. Khi đó bạn sẽ thấy đươc cửa sổ thuộc tính của hệ thống. Vào tab Remote và chọn hộp kiểm Enable Remote Desktop on this Computer (xem hình B). Hình B: Cấu hình một máy chủ để hỗ trợ các kết nối máy trạm từ xa (Remote Desktop) Để kết nối đến máy chủ từ máy Windows Vista, bạn chọn lệnh Remote Desktop Connection từ menu All Programs / Accessories. Khi thực hiện xong, bạn sẽ thấy màn hình xuất hiện như màn hình thể hiện dưới hình C. Lúc này hãy nhập vào tên máy chủ của bạn và kích nút Connect để thiết lập một phiên điều khiển xa. Hình C: Có thể kết nối đến một máy chủ từ xa dễ dàng hơn bằng Windows Vista Kết luận Trong phần này chúng tôi đã giới thiệu cho bạn về Active Directory Users and Computers. Trong đó chúng tôi đã giải thích về cách sử dụng giao diện này để quản lý các miền từ xa. Trong phần 12 tới chúng tôi sẽ tiếp tục giới thiệu cho bạn về các khả năng khác của công cụ này. Mời các bạn đón đọc. Phần 12 – Quản lý tài khoản người dùng Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn về Active Directory Users và Computers console. Mặc dù trong phần đó đã giới thiệu cách kết nối đến miền cần chọn bằng giao diện này, nhưng còn một vấn đề mà chúng tôi muốn giới thiệu tiếp đó là cách sử dụng giao diện điều khiển này trong các nhiệm vụ quản lý hàng ngày. Trong phần này, chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật cơ bản cho việc bảo quản tài khoản người dùng. Tạo một tài khoản người dùng (User Account) Một trong những sử dụng thấy nhiều nhất ở Active Directory Users trong Computers console là tạo các tài khoản người dùng mới. Để thực hiện điều đó, bạn mở mục tương ứng với miền chứa người dùng, chọn mục Users. Sau khi thực hiện như vậy, một panel chi tiết của giao diện sẽ hiển thị tất cả tài khoản người dùng đang tồn tại trong miền (như trong hình A). Hình A: Chọn mục Users, giao diện điều khiển sẽ hiển thị tất cả các tài khoản người dùng trong miền Bây giờ kích chuột phải vào mục Users và chọn New. Khi đó bạn sẽ thấy được các menu con, từ menu con này có thể chọn nhiều kiểu đối tượng khác nhau mà bạn có thể tạo. Nói về kỹ thuật, Users chỉ là một mục và bạn có thể đưa vào rất nhiều kiểu đối tượng. Tuy vậy sẽ không tốt nếu bạn thực hiện lưu nhiều đối tượng khác hơn là các đối tượng người dùng trong mục Users. Với trường hợp bài này đưa ra, bạn chọn lệnh Users từ các menu con. Khi đó sẽ thấy một hộp thoại xuất hiện như trong hình B. Hình B: Hộp thoại New Object – User cho phép tạo tài khoản người dùng mới Như những gì thấy trong hình, Windows ban đầu chỉ yêu cầu nhập vào một số thông tin cơ bản về người dùng. Mặc dù cửa sổ này hỏi nhiều thứ khác như tên và họ, nhưng về mặt kỹ thuật thì nó không cần thiết lắm. Phần thông tin cần thiết mà bạn cần phải cung cấp đó là tên đăng nhập của người dùng. Mặc dù các trường khác chỉ là những lựa chọn tùy thích nhưng chúng tôi vẫn khuyên bạn nên điền đầy đủ thông tin vào các trường này. Lý do nên điền đầy vào hết các trường này là vì tài khoản người dùng không hơn gì một đối tượng sẽ cứ trú bên trong Active Directory. Các thành phần như tên và họ là thuộc tính của đối tượng người dùng mà bạn đang tạo. Càng nhiều thông tin về thuộc tính thì các thông tin được lưu bên trong Active Directory sẽ càng trở lên hữu dụng. Xét cho cùng, Active Directory là một cơ sở dữ liệu mà bạn có thể truy vấn thông tin. Trong thực tế, nhiều ứng dụng làm việc bằng cách trích rút các thuộc tính khác nhau từ Active Directory. Khi đã điền đầy các trường này, kích nút Next, khi đó bạn sẽ thấy màn hình tiếp theo xuất hiện như trong hình C dưới đây. Hình C: Cần phải gán mật khẩi cho tài khoản mới Việc gán một mật khẩu là hoàn toàn đơn giản, tất cả những gì cần làm là đánh và nhập lại mật một mật khẩu. Mặc định, người dùng thường bị yêu cầu thay đổi mật khẩu cho lần đăng nhập kế tiếp. Tuy vậy, bạn có thể tránh trường hợp này bằng cách xóa hộp kiểm “User Must Change Password at Next Logon”. Cũng có nhiều hộp kiểm khác cho phép ngăn chặn người dùng thay đổi tất cả các mật khẩu của họ. Bạn có thể tùy chọn để thiết lập thời hạn vô hạn cho mật khẩu hoặc vô hiệu hóa toàn bộ tài khoản. Có một điều cần phải lưu ý là màn hình để thiết lập mật khẩu ở trên không phải là tất cả. Khi bạn gán mật khẩu cho một tài khoản người dùng mới, mật khẩu này phải tuân theo chính sách bảo mật của công ty bạn. Nếu mật khẩu sử dụng không có các yêu cầu cần thiết đã được đưa ra bởi chính sách nhóm có thể áp dụng thì tài khoản người dùng này sẽ không được tạo. Kích Next bạn sẽ thấy một màn hình hiển thị toàn bộ các tùy chọn mà bạn đã chọn. Xác nhận tất cả các thông tin đều đúng, khi đó chỉ cần kích Finish và một tài khoản người dùng mới sẽ được tạo. Chỉnh sửa và bổ sung các thuộc tính của tài khoản Như đã nói ở trên, chúng ta đã thấy được

Các file đính kèm theo tài liệu này:

  • dockien_thuc_co_ban_ve_mang_5113.doc
Tài liệu liên quan