Organizational Unit, Roaming User, Homedir, Profiles (Phần I)
Trang 1 trong tổng số 1 trang
Organizational Unit, Roaming User, Homedir, Profiles (Phần I)
admin 16/6/2010, 11:16 am
Bài viết liên quan: Organizational Unit, Roaming User, Homedir, Profiles (Phần I)
Trong bài này chúng ta cần có một máy DC và một máy Client đã join vào domain
Như chúng ta đã biết ở các bài trước để tạo một User Admin phải vào Active Directory Users & Computers để tạo. Nhưng vấn đề sẽ trở nên khó khăn hơn với một công ty lớn đến vài trăm thậm chí vài ngàn nhân viên, như vậy người quản trị mạng phải tạo, xoá, disable các Account rất mất công.
Vì vậy Windows có một tính năng rất hay là Organizational Unit (OU) giúp giảm tải công việc cho người quản trị mạng bằng cách Uỷ quyền cho một User nào đó có quyền thay thế anh ta trong việc quản lý các User Account nhưng với quyền hạn chế hơn. Ví dụ anh quản trị mạng sẽ uỷ quyền cho User gccom1 có quyền tạo, xoá, disable các Account chung Group với anh ta nhưng không có quyền với các Group khác
Trước tiên Administrator sẽ tạo các Organizational Unit và gán quyền cho một User nào đó bằng cách mở Active Directory Users & Computers ra nhấp phải vào domain chọn New -> Organizational Unit
Trong ví dụ này tôi sẽ tạo lần lượt các OU là Kinhdoanh & Kythuat
Sau đó chọn folder User và Move các User hay Group về các OU tương ứng, ví dụ tôi Move User gccom1 về OU Kinhdoanh và User gccom2 về OU Kythuat
Bây giờ ta tiến hành gán quyền cho một User nào đó trong OU Kinhdoanh bằng cách nhấp phải vào OU Kinhdoanh chọn Delegate Control…
Nhấp chọn Add để thêm User vào
Tôi sẽ add User gccom1 vào và nhấp Next
Chọn Create a custom task to delegate…
Nhấp Next
Và bạn check chọn các quyền tương ứng nếu muốn gán cho User này, ở đây tôi chọn là Full Control
Như vậy nếu trong OU Kinhdoanh có các user như gccom1, gccom3, gccom4… thì chỉ có mỗi mình gccom1 là có quyền tạo, xóa, disable User mới mà thôi, và gccom1 không có quyền gì trong OU Kythuat cả. Bạn logoff và logon vào User gccom1 để kiểm chứng
OU Group Policy
Như các bài trước các bạn đã biết để nâng cao chế độ bảo mật hoặc tuỳ chỉnh trong Windows ta sử dụng công cụ Group Policy nhưng khi chúng đã nâng cấp Windows lên DC rồi thì ta sẽ có 2 công cụ mới là Domain Controller Sercurity Policy và Domain Sercurity Policy
Domain Controller Sercurity Policy: Các tuỳ chỉnh trong này chỉ tác động lên máy DC mà thôi
Domain Sercurity Policy: Các tuỳ chỉnh trong này sẽ tác động lên toàn bộ user trên domain
Nhưng với OU Group Policy nó sẽ tác động lên các user hoặc group hoặc từng user nằm trong OU mà thôi. Để thao tác chúng ta làm như sau:
Trong ví dụ này tôi sẽ Ẩn Control Panel của user gccom1 mà các user còn lại trong OU Kinhdoanh sẽ không bị tác động cũng như trong OU Kythuat
Nhấp phải vào OU Kinhdoanh chọn Properties
Chọn Tab Group Policy -> New
Đặt tên cho nó là An Control Panel -> Edit
Màn hình Group Policy hiện ra và chúng ta thao tác như bài Local Computer Policy để ẩn Control Panel đi
Sau đó đóng cửa sổ Group Policy lại và chọn Properties
Trong tab Sercurity bạn Remove Group Authenticaled Users đi vì Group này sẽ ngầm định cho Group Policy tác động lên toàn bộ các user trong OU Kinhdoanh mà trong ví dụ này tôi chỉ muốn nó tác động lên user gccom1 mà thôi
Sau đó bạn Add user gccom1 vào và check ô Allow Apply Group Policy
Nhấp Ok để hoàn tất và gõ lệnh gpupdate /force trong Run để cập nhật Policy
Ngược lại nếu bạn muốn các tuỳ chỉnh này sẽ tác động lên toàn bộ User trong OU Kinhdoanh mà không tác động lên user gccom1 thì bạn không Remove Group Authenticaled Users đi mà Add User gccom1 vào và check mục Deny Apply Group Policy là xong
Trong bài này chúng ta cần có một máy DC và một máy Client đã join vào domain
Như chúng ta đã biết ở các bài trước để tạo một User Admin phải vào Active Directory Users & Computers để tạo. Nhưng vấn đề sẽ trở nên khó khăn hơn với một công ty lớn đến vài trăm thậm chí vài ngàn nhân viên, như vậy người quản trị mạng phải tạo, xoá, disable các Account rất mất công.
Vì vậy Windows có một tính năng rất hay là Organizational Unit (OU) giúp giảm tải công việc cho người quản trị mạng bằng cách Uỷ quyền cho một User nào đó có quyền thay thế anh ta trong việc quản lý các User Account nhưng với quyền hạn chế hơn. Ví dụ anh quản trị mạng sẽ uỷ quyền cho User gccom1 có quyền tạo, xoá, disable các Account chung Group với anh ta nhưng không có quyền với các Group khác
Trước tiên Administrator sẽ tạo các Organizational Unit và gán quyền cho một User nào đó bằng cách mở Active Directory Users & Computers ra nhấp phải vào domain chọn New -> Organizational Unit
Trong ví dụ này tôi sẽ tạo lần lượt các OU là Kinhdoanh & Kythuat
Sau đó chọn folder User và Move các User hay Group về các OU tương ứng, ví dụ tôi Move User gccom1 về OU Kinhdoanh và User gccom2 về OU Kythuat
Bây giờ ta tiến hành gán quyền cho một User nào đó trong OU Kinhdoanh bằng cách nhấp phải vào OU Kinhdoanh chọn Delegate Control…
Nhấp chọn Add để thêm User vào
Tôi sẽ add User gccom1 vào và nhấp Next
Chọn Create a custom task to delegate…
Nhấp Next
Và bạn check chọn các quyền tương ứng nếu muốn gán cho User này, ở đây tôi chọn là Full Control
Như vậy nếu trong OU Kinhdoanh có các user như gccom1, gccom3, gccom4… thì chỉ có mỗi mình gccom1 là có quyền tạo, xóa, disable User mới mà thôi, và gccom1 không có quyền gì trong OU Kythuat cả. Bạn logoff và logon vào User gccom1 để kiểm chứng
OU Group Policy
Như các bài trước các bạn đã biết để nâng cao chế độ bảo mật hoặc tuỳ chỉnh trong Windows ta sử dụng công cụ Group Policy nhưng khi chúng đã nâng cấp Windows lên DC rồi thì ta sẽ có 2 công cụ mới là Domain Controller Sercurity Policy và Domain Sercurity Policy
Domain Controller Sercurity Policy: Các tuỳ chỉnh trong này chỉ tác động lên máy DC mà thôi
Domain Sercurity Policy: Các tuỳ chỉnh trong này sẽ tác động lên toàn bộ user trên domain
Nhưng với OU Group Policy nó sẽ tác động lên các user hoặc group hoặc từng user nằm trong OU mà thôi. Để thao tác chúng ta làm như sau:
Trong ví dụ này tôi sẽ Ẩn Control Panel của user gccom1 mà các user còn lại trong OU Kinhdoanh sẽ không bị tác động cũng như trong OU Kythuat
Nhấp phải vào OU Kinhdoanh chọn Properties
Chọn Tab Group Policy -> New
Đặt tên cho nó là An Control Panel -> Edit
Màn hình Group Policy hiện ra và chúng ta thao tác như bài Local Computer Policy để ẩn Control Panel đi
Sau đó đóng cửa sổ Group Policy lại và chọn Properties
Trong tab Sercurity bạn Remove Group Authenticaled Users đi vì Group này sẽ ngầm định cho Group Policy tác động lên toàn bộ các user trong OU Kinhdoanh mà trong ví dụ này tôi chỉ muốn nó tác động lên user gccom1 mà thôi
Sau đó bạn Add user gccom1 vào và check ô Allow Apply Group Policy
Nhấp Ok để hoàn tất và gõ lệnh gpupdate /force trong Run để cập nhật Policy
Ngược lại nếu bạn muốn các tuỳ chỉnh này sẽ tác động lên toàn bộ User trong OU Kinhdoanh mà không tác động lên user gccom1 thì bạn không Remove Group Authenticaled Users đi mà Add User gccom1 vào và check mục Deny Apply Group Policy là xong
admin- Thiếu Úy III
- Tổng số bài gửi : 627
Diem : 6549
Thank : 4
Join date : 24/03/2010
Đến từ : Bỉm Sơn - Thanh hóa -
Similar topics» Organizational Unit, Roaming User, Homedir, Profiles (Phần II)
» Thiết lập Roaming and Mandatory Profiles
» Hardware Profiles – Shadow Copies – Compress – Disk Quota (Phần I)
» Hardware Profiles – Shadow Copies – Compress – Disk Quota (Phần II)
» Domain Controller – Join Domain – Create User & Group (Phần I)
» Thiết lập Roaming and Mandatory Profiles
» Hardware Profiles – Shadow Copies – Compress – Disk Quota (Phần I)
» Hardware Profiles – Shadow Copies – Compress – Disk Quota (Phần II)
» Domain Controller – Join Domain – Create User & Group (Phần I)
Trang 1 trong tổng số 1 trang
Permissions in this forum:
Bạn không có quyền trả lời bài viết
» Quản Lí Tiến Trình Dùng Thư Viện PSAPI
» xin tai lieu tieng viet
» Theo dõi tiến trình
» Giải pháp Bảo mật của Cisco
» Nghiên cứu và đưa ra giải pháp phòng chống tấn công DoS, DDoS (Phần 1)
» Learn to hack !
» Giải pháp hệ thống dành cho doanh nghiệp với thiết bị mạng Fortinet (Phần 1)
» Ô Long Viên (Tập II)
» những ebook về hack tiếng việt cho người mới tìm hiểu.