Giới thiệu dịch vụ thư mục - AD

Active Directory là gì?

Trong bài học này, chúng ta sẽ tìm hiểu thêm về Active Directory hay AD, dịch vụ thư mục gốc của Microsoft Windows. Active Directory đã được sử dụng để quản lý tập trung các mạng máy tính kể từ khi nó được giới thiệu cùng với Windows Server 2000. Nếu có các máy tính chạy Windows trong tổ chức của bạn, thì AD có thể đóng một vai trò rất lớn.

Active Directory hoạt động theo cách tương tự như OpenLDAP. Nó thực sự biết cách "nói" giao thức LDAP và có thể tương tác với Linux, OSX và các máy chủ không phải Windows khác bằng giao thức đó. Khi bạn sử dụng Active Directory để quản lý một nhóm máy chủ và máy khách Windows, nó còn làm được nhiều việc hơn là chỉ cung cấp dịch vụ thư mục và xác thực tập trung. Nó cũng trở thành kho lưu trữ trung tâm của các đối tượng chính sách nhóm hay GPO, là cách để quản lý cấu hình của máy Windows.

Bây giờ, chúng ta hãy xem xét một miền Active Directory điển hình và xem nó chứa những gì. Quản trị Active Directory dựa trên một bộ công cụ và tiện ích hoàn chỉnh. Chúng ta sẽ sử dụng một công cụ có tên là Trung tâm quản trị Active Directory hoặc ADAC. ADAC là một công cụ mà chúng ta sẽ sử dụng cho rất nhiều tác vụ hàng ngày mà bạn sẽ học trong khóa học này. Nó rất tốt cho việc hoàn thành công việc và để tìm hiểu cách thức hoạt động đằng sau hậu trường như bạn sẽ thấy.

Hãy nhớ rằng, giống như hệ thống tệp, dịch vụ thư mục có cấu trúc phân cấp. Mọi thứ bạn thấy trong Active Directory đều là một đối tượng. Một số đối tượng là thùng chứa (container) có thể chứa các đối tượng khác. Một số thùng chứa mặc định chỉ được gọi là "thùng chứa" và chúng đóng vai trò là vị trí mặc định cho một số loại đối tượng nhất định. Một loại thùng chứa khác được gọi là đơn vị tổ chức hay OU. Bạn có thể nghĩ về OU giống như một thư mục để tổ chức các đối tượng trong hệ thống quản lý tập trung. Các thùng chứa thông thường không thể chứa các thùng chứa khác, nhưng OU có thể chứa các OU khác. Điều đó hơi khó hiểu một chút.

Để hiển thị rõ hơn cấu trúc phân cấp của AD, tôi đã nhấp vào nút này ở khung bên trái để chuyển ADAC sang chế độ xem dạng cây. Có rất nhiều thứ được liệt kê ở đây. ADAC cho chúng ta biết mỗi thứ này là đối tượng gì và cung cấp cho chúng ta mô tả về một số đối tượng trong số đó. Chúng ta sẽ không làm việc với tất cả những thứ này, nhưng chúng ta muốn chỉ ra một số phần của thư mục thường được sử dụng hơn.

Nút đầu tiên trong cây này là miền của chúng ta. Một miền sẽ có một tên ngắn gọn, chẳng hạn như "example", và tên DNS, chẳng hạn như "example.com". Các đối tượng, đặc biệt là máy tính trong miền, sẽ được cấp một tên DNS nằm trong vùng DNS của miền. Thực tế có một cấp độ phân cấp cao hơn miền mà chúng ta không thấy trong công cụ này. Đó là rừng (forest). Nếu bạn nhìn vào hình dạng logic của một miền, nó trông giống như một cái cây. Cái tên thậm chí còn có ý nghĩa. Một rừng chứa một hoặc nhiều miền. Các tài khoản có thể chia sẻ tài nguyên giữa các miền trong cùng một rừng. Trong môi trường ví dụ của chúng ta, "example.com" là miền duy nhất trong rừng.

Ví dụ tiếp theo mà chúng ta sẽ xem xét là máy tính. Thùng chứa này là nơi tạo tài khoản máy tính AD mới. Nếu tôi đến đây, bạn có thể thấy các máy tính của tôi. Tài khoản máy tính được tạo khi máy tính được tham gia vào miền AD.

Điều tiếp theo mà chúng ta sẽ xem xét là bộ điều khiển miền. Thùng chứa này là nơi các bộ điều khiển miền được tạo theo mặc định.

Tiếp theo, chúng ta sẽ xem xét người dùng. Thùng chứa này là nơi tạo người dùng và nhóm AD mới theo mặc định.

Các máy chủ lưu trữ các bản sao của cơ sở dữ liệu Active Directory được gọi là bộ điều khiển miền hoặc DC. Bộ điều khiển miền cung cấp một số dịch vụ trên mạng. Chúng lưu trữ một bản sao của cơ sở dữ liệu Active Directory và các đối tượng chính sách nhóm. DC cũng đóng vai trò là dịch vụ DNS để cung cấp phân giải tên và khám phá dịch vụ cho máy khách. Chúng cung cấp xác thực tập trung thông qua một giao thức bảo mật mạng có tên là Kerberos.

Bộ điều khiển miền quyết định khi nào máy tính và người dùng có thể đăng nhập vào miền. Chúng cũng quyết định xem họ có quyền truy cập vào các tài nguyên được chia sẻ như hệ thống tệp và máy in hay không. Điều này cho phép quản trị viên hệ thống thực hiện các thay đổi đối với mạng một cách thực sự nhanh chóng và dễ dàng. Nếu có người mới gia nhập tổ chức, quản trị viên hệ thống có thể tạo tài khoản người dùng cho họ và gần như ngay lập tức, mọi thiết bị trên mạng đều biết người đó là ai. Nếu ai đó thay đổi công việc trong tổ chức hoặc rời đi, quản trị viên hệ thống có thể vô hiệu hóa hoặc xóa tài khoản của họ và trong vòng vài giây, quyền truy cập của họ vào các thiết bị sẽ được điều chỉnh.

Phổ biến nhất là hầu hết các bộ điều khiển miền trong mạng Active Directory là các bản sao đọc, ghi. Điều này có nghĩa là mỗi bộ điều khiển miền đều có một bản sao đầy đủ của cơ sở dữ liệu và có thể thực hiện các thay đổi đối với nó. Những thay đổi đó sau đó được sao chép đến tất cả các bản sao khác của cơ sở dữ liệu trên các DC khác. Việc sao chép thường diễn ra nhanh chóng và thay đổi cuối cùng sẽ được áp dụng trong hầu hết mọi trường hợp. Điều này không hoàn hảo, nhưng nó hoạt động đối với hầu hết các tác vụ.

Một số thay đổi đối với cơ sở dữ liệu AD chỉ có thể được thực hiện an toàn bởi một DC tại một thời điểm. Chúng ta giao những thay đổi đó cho một bộ điều khiển miền duy nhất bằng cách cấp cho nó thao tác đơn chủ linh hoạt còn được gọi là FSMO. Nếu công việc của bạn liên quan đến quản lý bộ điều khiển miền, bạn sẽ cần hiểu cách gán vai trò FSMO và khôi phục sau lỗi DC.

Để máy tính có thể tận dụng dịch vụ xác thực tập trung của AD, chúng phải được tham gia hoặc liên kết với Active Directory. Tham gia máy tính vào Active Directory có nghĩa là hai điều. Đầu tiên là AD biết về máy tính và đã cung cấp một tài khoản máy tính cho nó. Thứ hai là máy tính biết về miền Active Directory và xác thực với miền đó. Từ thời điểm đó trở đi, máy tính có thể xác thực với Active Directory giống như bất kỳ người dùng nào đăng nhập vào máy tính đều có thể.

Bạn cũng có thể tìm hiểu về dịch vụ thư mục của Microsoft tại đây

Quản lý Active Directory

Quản lý Active Directory không chỉ là một chủ đề lớn, mà nó còn là một chủ đề khổng lồ. Có những quản trị viên hệ thống dành toàn bộ thời gian của họ chỉ để quản lý AD. Chúng ta sẽ dành một chút thời gian để xem qua một số tác vụ phổ biến nhất mà một quản trị viên sẽ cần phải làm trong môi trường Active Directory.

Khi một miền Active Directory được thiết lập lần đầu tiên, nó chứa một tài khoản người dùng mặc định là Administrator và một số nhóm người dùng mặc định. Hãy cùng điểm qua những nhóm quan trọng nhất. Đầu tiên, tôi muốn vào cửa sổ Active Directory của mình, và như bạn có thể thấy trên example.com, chúng ta sẽ xem qua phần người dùng.

• Domain Admins: Đây là nhóm quản trị viên của miền Active Directory. Tài khoản Administrator là thành viên duy nhất của nhóm này trong một miền mới. Hãy nhớ cách mà một quản trị viên cục bộ hoặc root trên máy tính có thể thực hiện bất kỳ thay đổi nào họ muốn đối với hệ điều hành. Người dùng trong nhóm Domain Admins có thể thực hiện bất kỳ thay đổi nào họ muốn đối với miền. Vì miền có thể kiểm soát cấu hình của tất cả các máy tính được liên kết với nó, nên Domain Admins cũng có thể trở thành quản trị viên cục bộ của tất cả các máy đó. Đây là một quyền lực và trách nhiệm rất lớn, vì vậy đừng thêm tài khoản vào nhóm này một cách dễ dàng.

• Enterprise Admins: Đây là nhóm quản trị viên của toàn bộ rừng Active Directory. Họ cũng có quyền thực hiện các thay đổi đối với miền ảnh hưởng đến các miền khác trong rừng đa miền. Tài khoản Administrator là thành viên duy nhất của nhóm này trong một miền mới. Tài khoản Enterprise Admins chỉ nên được sử dụng trong những trường hợp hiếm hoi, chẳng hạn như khi rừng Active Directory đang được nâng cấp lên phiên bản mới.

• Domain Users: Đây là nhóm chứa mọi tài khoản người dùng trong miền. Nếu bạn muốn cấp quyền truy cập vào một tài nguyên mạng cho tất cả mọi người trong miền, bạn không cần phải cấp quyền truy cập cho từng tài khoản riêng lẻ, bạn có thể sử dụng Domain Users.

• Domain Computers: Mỗi máy tính được tham gia vào miền cũng có một tài khoản, vì vậy chúng ta cũng có một nhóm mặc định cho chúng. Domain Computers chứa tất cả các máy tính được tham gia vào miền, ngoại trừ bộ điều khiển miền.

• Domain Controllers: Chứa tất cả các bộ điều khiển miền trong miền.

Tôi sẽ có thể thực hiện mọi thứ trong bài học này vì tôi sẽ đóng vai trò là Domain Admin trong tổ chức ví dụ của mình. Là một quản trị viên hệ thống hoặc chuyên gia hỗ trợ CNTT, bạn cũng có thể là Domain Admin hoặc Enterprise Admin. Do quyền lực mà bạn có để thực hiện các thay đổi trong Active Directory, bạn không bao giờ nên sử dụng tài khoản Domain Admin làm tài khoản người dùng hàng ngày của mình. Quá dễ dàng để mắc phải một sai lầm ảnh hưởng đến toàn bộ tổ chức. Tài khoản Domain Admin chỉ nên được sử dụng khi bạn cố ý thực hiện các thay đổi đối với Active Directory.

Tài khoản người dùng thông thường của bạn nên rất giống với các tài khoản người dùng khác trong miền, trong đó quyền của bạn bị hạn chế chỉ đối với những tài nguyên mà bạn cần phải truy cập mọi lúc. Nếu có một số tác vụ quản trị mà bạn cần thực hiện nhiều như một phần công việc hàng ngày của mình, nhưng bạn không cần phải có quyền truy cập rộng rãi để thực hiện các thay đổi trong AD, thì ủy quyền là dành cho bạn. Cũng giống như bạn có thể đặt ACL NTFS để cấp quyền cho tài khoản trong hệ thống tệp, bạn có thể thiết lập ACL trên các đối tượng Active Directory.

Quản lý User và Group Active Directory

Như chúng ta đã đề cập trong bài học trước, một công việc phổ biến của Quản trị viên hệ thống là quản lý vòng đời của tài khoản người dùng. Tài khoản người dùng là một phần quan trọng của CNTT. Chúng xác định bạn là ai và được sử dụng để kiểm soát loại quyền truy cập bạn có đối với tài nguyên CNTT trong tổ chức của bạn. Các tài khoản người dùng được quản lý kém có thể ngăn mọi người thực hiện những việc họ cần làm, điều này có thể lãng phí thời gian và gây khó chịu. Các tài khoản người dùng có quá nhiều quyền truy cập hoặc không còn cần thiết sẽ tạo ra rủi ro cho tổ chức. Tất cả những điều này có nghĩa là việc đảm bảo rằng tài khoản người dùng được tạo, duy trì và cuối cùng bị xóa là một trong những nhiệm vụ quan trọng nhất mà một quản trị viên hệ thống có thể có. Vì vậy, hãy cùng tìm hiểu.

Chúng ta hãy tạo một tài khoản người dùng cho Kristi bằng Trung tâm quản trị Active Directory và đặt nó vào thùng chứa người dùng mặc định. Nếu chúng ta nhấp chuột phải vào "Users" ngay tại đây, rồi nhấp vào "User", chúng ta sẽ thấy hộp thoại này để tạo người dùng. Có rất nhiều thứ ở đây. Chúng ta có thực sự phải điền hết tất cả những thứ này không? Rất may là không. Chỉ các trường có dấu hoa thị bên cạnh mới là bắt buộc. Hãy tiếp tục và nhập họ tên đầy đủ và tên tài khoản cho Kristi. Họ tên đầy đủ là tên thật của người đó. Nhưng tên đăng nhập tài khoản SAM của người dùng là gì? Đó là một cách nói rất dài dòng của tên người dùng. Trình quản lý tài khoản bảo mật hoặc SAM là một cơ sở dữ liệu trong Windows lưu trữ tên người dùng và mật khẩu. Đây là nơi xuất phát tên tài khoản SAM. Vì vậy, hãy để tôi tiếp tục và nhập Kristi trước, và sau đó tôi sẽ nhập tài khoản người dùng của cô ấy, cũng sẽ đặt tên cho cô ấy là Kristi. Bạn có thể thấy rằng miền sẽ là một phần của tên đầy đủ của tài khoản. Mỗi tài khoản người dùng phải có một tên người dùng duy nhất trong miền. Chúng ta sẽ chỉ sử dụng tên Kristi ở đây.

Bây giờ, hãy đặt mật khẩu cho tài khoản người dùng mới. Chúng ta không muốn biết mật khẩu của Kristi, vì vậy chúng ta sẽ đảm bảo rằng tùy chọn "User must change password at the next login" được chọn, rồi chọn một mật khẩu ngẫu nhiên cho cô ấy. Như thế này.

Bảng điều khiển quản trị AD cho phép chúng ta tạo tài khoản người dùng từng người một. Nhưng cuối cùng, chúng ta sẽ cần tạo một loạt tài khoản cùng một lúc. Hãy tưởng tượng thời gian đăng ký tại trường học hoặc trường đại học, nơi hàng trăm hoặc hàng nghìn tài khoản người dùng mới sẽ cần được tạo chỉ trong vài ngày. Bạn sẽ không muốn làm điều đó bằng cách nhấp qua các biểu mẫu ADAC. Nếu bạn biết cách tạo tài khoản người dùng trong giao diện dòng lệnh, thì bạn có thể học cách viết một tập lệnh sẽ chạy các lệnh đó cho bạn nhiều lần. Chúng ta sẽ nói nhiều hơn về tập lệnh và tự động hóa trong một bài học sắp tới. Hiện tại, chúng ta chỉ muốn có thể xem các lệnh mà chúng ta sẽ cần để làm những gì ADAC làm cho chúng ta.

Hóa ra mọi thứ bạn làm trong ADAC thực sự được thực hiện trong PowerShell. Ở dưới cùng của bảng điều khiển là ngăn lịch sử Windows PowerShell, mà chúng ta có thể mở rộng để xem các lệnh đang được ADAC chạy. Có vẻ như ADAC đã chạy một vài lệnh khi chúng ta tạo tài khoản người dùng của Kristi.

Có một điều khác mà tôi muốn đề cập. Khi chúng ta cần mô tả đường dẫn đầy đủ của một đối tượng trong AD, chúng ta thường sẽ sử dụng ký hiệu L. notation. Bạn có thể thấy điều đó trong một số tham số trong lịch sử PowerShell này. Được rồi.

Tiếp theo, chúng ta hãy xem xét các nhóm Active Directory. Hãy nhớ cuộc thảo luận trước đó của chúng ta về các nhóm được sử dụng để cấp quyền cho các vai trò, chúng ta hãy tạo một nhóm dựa trên vai trò của Kristi trong tổ chức hư cấu này. Kristi là một nhà nghiên cứu. Trong Trung tâm quản trị Active Directory, nhấp chuột phải vào thùng chứa "Users" và chọn "New Group". Chúng ta sẽ gọi nhóm này là "Researchers". Vì vậy, hãy nhập điều đó vào trường "Group name".

Hãy xem lại trường "SAM account name". Nó tự động điền tên khi chúng ta nhập. Bạn có thể tạo một nhóm với tên đầy đủ và tên tài khoản SAM khác nhau, nhưng thường thì việc đó không hữu ích. Một ý tưởng hay là cung cấp mô tả cho nhóm. Bằng cách đó, mọi người đều hiểu nhóm đó dùng để làm gì. Chúng ta cũng có thể thêm một tập hợp người dùng ban đầu từ màn hình. Nhưng chúng ta sẽ để dành điều đó cho bước tiếp theo. Bây giờ, hãy nhấp vào "Okay" và nhóm sẽ được tạo.

Nhóm hiện hiển thị trong ADAC và mô tả ngay tại đó để nhắc nhở chúng ta về những gì nhóm được sử dụng. Xuất sắc. Bây giờ, hãy kiểm tra công việc của chúng ta và xem cách thực hiện việc này trong PowerShell. Vì vậy, tôi sẽ tiếp tục và mở PowerShell và dán lệnh của mình. Nó đây rồi. Bạn có thể thấy tất cả các cài đặt mà chúng ta đã điền vào các trường trong hộp thoại tạo nhóm trong ADAC.

User và Group Active Directory

Chào các bạn, hôm nay chúng ta sẽ tìm hiểu về phân loại nhóm và phạm vi nhóm trong Active Directory. Nếu bạn nhìn lại cửa sổ tạo nhóm mới, bạn sẽ thấy có hai thiết lập bắt buộc mà chúng ta vừa để mặc định, đó là loại nhóm và phạm vi nhóm. Vậy chúng là gì?

Trong Active Directory có hai loại nhóm. Loại phổ biến nhất, và cũng là loại duy nhất chúng ta sẽ tìm hiểu trong bài này, được gọi là nhóm bảo mật. Nhóm bảo mật có thể chứa tài khoản người dùng, tài khoản máy tính hoặc các nhóm bảo mật khác. Các nhóm mặc định mà chúng ta đã đề cập trước đó như "Domain Users" và "Domain Admins" là những nhóm bảo mật. Chúng được sử dụng để cấp hoặc từ chối quyền truy cập vào các tài nguyên IT. Ví dụ, bạn có thể tạo một nhóm "Nhân sự" và sau đó cấp cho nhóm đó quyền truy cập vào một thư mục ảnh dùng chung dành riêng cho nhân viên trong bộ phận nhân sự.

Loại nhóm thứ hai được gọi là nhóm phân phối. Nhóm phân phối chỉ được thiết kế để nhóm các tài khoản và địa chỉ liên lạc cho việc giao tiếp qua email. Bạn không thể sử dụng nhóm phân phối để gán quyền truy cập vào tài nguyên. Một lý do bạn có thể muốn sử dụng nhóm phân phối thay vì nhóm bảo mật là để tạo một danh sách email bao gồm những người bên ngoài miền của bạn.

Vậy còn phạm vi nhóm thì sao? Phạm vi nhóm liên quan đến cách mà định nghĩa nhóm được sao chép trên các miền. Việc giữ cho nhiều nhóm lớn được đồng bộ hóa trong một mạng rất lớn là một vấn đề phức tạp. Vì vậy, Active Directory cung cấp cho chúng ta các loại nhóm khác nhau để quản lý sự phức tạp đó. Thông thường, phạm vi nhóm được sử dụng như sau:

• Miền cục bộ (Domain local): Được sử dụng để gán quyền truy cập vào một tài nguyên. Ví dụ, bạn có thể tạo một nhóm miền cục bộ có quyền đọc đối với một thư mục mạng dùng chung có tên là "Research Share Readers" và một nhóm khác có quyền ghi có tên là "Research Share Writers".

• Toàn cục (Global): Được sử dụng để nhóm các tài khoản theo vai trò. Ví dụ, nhóm "Researchers" của chúng ta là một nhóm toàn cục. Bạn có thể có các nhóm dựa trên vai trò khác như "Sales" hoặc "Management".

• Chung (Universal): Được sử dụng để nhóm các vai trò toàn cục trong một rừng (forest). Các nhóm miền cục bộ và toàn cục không được sao chép ra ngoài miền mà chúng được định nghĩa, nhưng các nhóm chung thì có. Trong một rừng đa miền, bạn có thể có một nhóm "Research Share Readers" toàn cục trong mỗi miền và một nhóm "Research Share Readers" chung chứa mỗi nhóm toàn cục làm thành viên. Các nhóm chung được sao chép đến tất cả các miền trong một rừng.

Với các nhóm tài nguyên miền cục bộ và các nhóm vai trò toàn cục, bạn có thể tạo ra các thành viên nhóm rất dễ hiểu. Chúng mô tả rất rõ ràng loại quyền truy cập mà mỗi vai trò được cho phép đối với mỗi tài nguyên. Vì vậy, bạn có thể thêm các quản lý viên vào nhóm "Research Share Readers" và các nhà nghiên cứu vào nhóm "Research Share Writers". Và điều đó rất dễ hiểu.

Bây giờ, nếu chúng ta thêm một người dùng mới vào nhóm "Researchers", cô ấy có thể ghi vào thư mục dùng chung "Research Share". Đó không phải là vì tài khoản người dùng của cô ấy được cấp quyền truy cập trực tiếp vào các tệp ở đó, mà vì cô ấy là một nhà nghiên cứu.

Được rồi, hãy thêm tài khoản người dùng vào nhóm "Researchers" mới của chúng ta. Chúng ta có thể làm điều này từ tài khoản người dùng hoặc từ nhóm. Hãy bắt đầu từ tài khoản người dùng. Trong Trung tâm quản trị Active Directory (ADAC), nhấp chuột phải vào tài khoản của cô ấy và chọn "Active groups".

Bây giờ, trong trường "Enter the object names to select", nhập "Researchers" và sau đó nhấp vào "OK".

Vậy là xong. ADAC đã làm gì trong nền? ADAC đã sử dụng một lệnh PowerShell để lấy một chủ thể bảo mật Active Directory như tài khoản người dùng hoặc nhóm bảo mật và thêm nó vào thành viên nhóm.

Để tôi thêm bản thân vào nhóm "Researchers" và xem cách thức hoạt động nhé. Tôi sẽ nhấp chuột phải vào nhóm "Researchers" và sau đó nhấp vào "Properties".

Ok, và nếu tôi nhấp vào "Members", tôi có thể thấy mình là thành viên của nhóm này. Bây giờ, nếu tôi nhấp vào nút "Add" ở bên phải,

Nó sẽ hiển thị một cửa sổ hộp thoại tương tự như bạn đã thấy trước đó. Bây giờ, tôi sẽ nhập tên tài khoản của mình và nhấp vào "OK".

"System administrator", nhấn "OK".

Giống như chúng ta đã thực hiện các thay đổi từ nhóm thay vì người dùng, ADAC cũng làm như vậy trong PowerShell. Lần này, chúng ta đã sử dụng lệnh PowerShell để thiết lập hoặc thực hiện các thay đổi đối với một nhóm AD hiện có. Chúng ta đã thêm tài khoản của tôi vào nhóm "Researchers".

Bây giờ, tôi không thực sự là một nhà nghiên cứu trong tổ chức này. Vì vậy, hãy tiếp tục và xóa tài khoản của tôi bằng ADAC. Lần này, tất nhiên, tôi sử dụng nút "Remove" thay vì nút "Add", và chúng ta đã hoàn tất. Như bạn có thể thấy, điều duy nhất thay đổi trong lệnh PowerShell là một tham số duy nhất để xóa thay vì thêm thành viên.

Hầu hết mọi người trong một tổ chức đều có nhiều hơn một vai trò. Trong công ty giả định của chúng ta, các nhà nghiên cứu là một phần của bộ phận Nghiên cứu và Phát triển (R&D). Một số tài nguyên mạng sẽ được chia sẻ với tất cả R&D, trong khi một số tài nguyên khác sẽ chỉ được cung cấp cho các nhà nghiên cứu. Việc tạo một nhóm cha cho bộ phận R&D là hợp lý. Hãy tạo một nhóm bảo mật toàn cục cho việc này.

Vậy chúng ta sẽ làm gì? Chúng ta sẽ nhấp chuột phải vào "Users", nhấp vào "New group", và sau đó nhập tên nhóm là "Research and Development". Trong phần mô tả, chúng ta sẽ viết "Tất cả các thành viên của nhóm Nghiên cứu và Phát triển", và sau đó chúng ta sẽ nhấn "OK".

Bây giờ, các nhà nghiên cứu của chúng ta là một phần của bộ phận R&D. Ngoài việc là nhà nghiên cứu, vì vậy thay vì thêm từng nhà nghiên cứu một cách độc lập vào nhóm "Research and Development", chúng ta có thể thêm nhóm "Researchers" làm thành viên. Nếu tôi nhập "Research" như thế này và nhấn "OK", tôi sẽ nhận được danh sách tất cả người dùng và nhóm bắt đầu bằng "Research". Hãy chọn "Researchers" để thêm nhóm "Researchers" vào.

Điều gì đã xảy ra trong lịch sử Windows PowerShell?

Hãy nhớ rằng, tài khoản người dùng và nhóm đều là các chủ thể bảo mật. Vì vậy, chúng ta sử dụng cùng một lệnh PowerShell để thay đổi thành viên nhóm ở đây như chúng ta đã làm trước đó.

Tóm lại, chúng ta đã tạo một người dùng và thêm họ vào một số nhóm mới.

Để tìm hiểu về thông tin Group Scope hãy xem ở đây  Các nguyên tắc bảo mật hãy xem ở đây

Quản lý mật khẩu người dùng Active Directory

Một trong những lợi thế chính của việc xác thực tập trung là nó đơn giản hóa việc quản lý mật khẩu. Bạn có biết rằng có tới 25% người dùng quên mật khẩu ít nhất một lần mỗi ngày không? Hỗ trợ người dùng về các vấn đề liên quan đến mật khẩu là một công việc phổ biến của chuyên viên hỗ trợ IT. Khi người dùng thay đổi mật khẩu trong Active Directory, thay đổi đó sẽ có hiệu lực trên mọi máy tính mà họ được phép đăng nhập. Ngoại trừ một số trường hợp đặc biệt, AD không lưu trữ mật khẩu của người dùng mà thay vào đó lưu trữ một mã băm mật mã một chiều của mật khẩu. Ý tưởng cơ bản là mật khẩu có thể dễ dàng được biến thành mã băm, nhưng mã băm không thể dễ dàng được chuyển đổi ngược lại thành mật khẩu. Ngay cả khi bạn muốn, bạn cũng không thể tra cứu mật khẩu của người dùng. Đó thực sự là một điều tốt. Theo nguyên tắc chung, bạn nên tránh biết mật khẩu tài khoản của người khác. Nếu có nhiều hơn một người có thể xác thực bằng cùng một tên người dùng và mật khẩu thì việc kiểm tra sẽ trở nên khó khăn hoặc thậm chí là không thể. Kiểm tra cơ sở hạ tầng trong ngữ cảnh này có nghĩa là phân tích ai đã thực hiện các hành động cụ thể trong hệ thống IT của bạn. Trong một kịch bản kiểm tra bảo mật hoặc xử lý sự cố, điều quan trọng là chỉ có một người có thể xác thực bằng tài khoản của họ. Vậy, ghi nhớ điều đó, làm thế nào bạn có thể hỗ trợ người dùng về mật khẩu tài khoản?

Vấn đề phổ biến nhất là người dùng quên mật khẩu. Khi điều này xảy ra, nếu bạn có trách nhiệm quản trị, bạn có thể được ủy quyền để đặt lại mật khẩu cho họ. Điều này chỉ nên được thực hiện khi bạn hoàn toàn chắc chắn rằng người yêu cầu đặt lại mật khẩu được phép làm như vậy. Nhiều tổ chức sẽ có các chính sách và quy trình yêu cầu phải thực hiện yêu cầu trực tiếp hoặc người đó phải chứng minh rằng họ là người mà họ nói. Khi bạn biết rằng việc đặt lại mật khẩu đã được ủy quyền, bạn đã hoàn thành phần khó khăn. Phần còn lại rất đơn giản.

Hãy tưởng tượng rằng Mateo báo cáo rằng anh ấy không thể đăng nhập vào tài khoản của mình vì quên mật khẩu. Trong Trung tâm quản trị Active Directory (ADAC), tôi sẽ chỉ cho bạn xem ngay bây giờ.

Chúng ta sẽ nhấp chuột phải vào tài khoản người dùng của anh ấy.

Trước tiên, hãy tìm tài khoản người dùng của anh ấy, sau đó nhấp chuột phải vào tài khoản đó và chọn "Reset password".

Mật khẩu mà chúng ta nhập ở đây sẽ là tạm thời vì chúng ta sẽ đảm bảo rằng tùy chọn "User must change password at next logon" được chọn. Vì vậy, tôi sẽ tạo một mật khẩu tạm thời và tôi muốn đảm bảo rằng tùy chọn "User must change password at next logon" được chọn, sau đó nhấn "OK". Một lần nữa, chúng ta không muốn biết mật khẩu của người dùng. Vì vậy, tôi sẽ không hỏi Mateo về mật khẩu tạm thời. Anh ấy có thể chỉ cho tôi một biến thể của mật khẩu thông thường của mình và tôi không muốn điều đó. Một số tổ chức sẽ có chính sách về cách tạo và phân phối mật khẩu tạm thời. Bạn cần đảm bảo rằng bạn biết liệu những chính sách đó có tồn tại hay không. Trong ví dụ này, tôi sẽ chỉ tạo một mật khẩu ngẫu nhiên và nhập nó vào đây. Cái gì đây?

Tài khoản người dùng có thể bị khóa bởi Active Directory. Nếu ai đó nhập sai mật khẩu cho tài khoản đó quá nhiều lần, có vẻ như đây là điều đã xảy ra với Mateo. Khi một tài khoản bị khóa, không ai có thể xác thực bằng tài khoản đó cho đến khi tài khoản được mở khóa bởi quản trị viên. Chính sách mật khẩu Active Directory kiểm soát số lần thử được phép trước khi tài khoản bị khóa. Chúng ta sẽ xem xét các chính sách mật khẩu này sau một chút khi chúng ta tìm hiểu về các đối tượng chính sách nhóm hoặc GPO. Quay lại vấn đề hiện tại, tôi muốn Mateo có thể đăng nhập và thay đổi mật khẩu của mình, vì vậy tôi sẽ đảm bảo rằng tùy chọn "Unlock account" được chọn và nhấp vào "OK".

Nếu bạn nhìn vào những gì đang xảy ra trong PowerShell, bạn sẽ thấy một số lệnh quen thuộc cùng với một lệnh mới để mở khóa tài khoản của Mateo. Khi bạn thay đổi mật khẩu, bạn phải cung cấp mật khẩu hiện tại cũng như mật khẩu mới. Đây là điều xảy ra khi người dùng tự thay đổi mật khẩu của họ. Khi bạn đặt lại mật khẩu với tư cách quản trị viên, bạn chỉ cung cấp mật khẩu mới và ủy quyền quản trị của bạn sẽ ghi đè mật khẩu hiện có. Nếu người này đã sử dụng tính năng hệ thống tệp mã hóa NTFS hoặc EFS để mã hóa tệp, họ có thể mất quyền truy cập vào các tệp đó nếu mật khẩu của họ bị đặt lại.

Để biết thêm thông tin về EFS hãy xem ở đây

Join Domain Active Directory

Nếu bạn đảm nhiệm vai trò quản trị hệ thống, chắc hẳn bạn đã từng tham gia vào việc kết nối máy tính với miền Active Directory (AD). Như đã giới thiệu về AD, máy tính có thể được kết nối hoặc ràng buộc với Active Directory. Việc kết nối máy tính với Active Directory có nghĩa là AD sẽ nhận biết máy tính đó và cấp phát một tài khoản máy tính tương ứng. Đồng thời, máy tính cũng sẽ nhận biết miền Active Directory và xác thực với miền đó.

Ở đây, tôi đang đăng nhập vào một máy tính Windows chưa được kết nối với miền nào. Máy tính này được gọi là máy tính nhóm làm việc (workgroup computer). Cái tên này bắt nguồn từ các nhóm làm việc Windows, là tập hợp các máy tính độc lập hoạt động cùng nhau. Các nhóm làm việc Windows không được quản lý tập trung, do đó việc quản lý chúng sẽ ngày càng khó khăn hơn khi quy mô mạng phát triển. Chúng ta mong muốn có sự quản lý và xác thực tập trung trong mạng của mình. Vậy nên, hãy cùng kết nối máy tính này với miền.

Trước tiên, chúng ta sẽ xem xét cách thực hiện việc này thông qua giao diện đồ họa, sau đó là PowerShell. Tôi sẽ nhấp vào "Computer", sau đó là "System properties". Như bạn có thể thấy, máy tính này đang thuộc một nhóm làm việc. Chúng ta cần làm là kết nối máy tính này với miền. Để làm điều đó, tôi sẽ nhấp vào "Change settings", rồi chọn "Change".

Trong cửa sổ "Computer name and domain changes", bạn có thể thấy máy tính có thể là thành viên của một miền hoặc một nhóm làm việc, nhưng không thể đồng thời là cả hai. Tôi sẽ chọn "Domain" tại đây, và nhập tên miền của chúng ta là example.com.

Bây giờ, khi tôi nhấp vào "Okay", máy tính này sẽ tìm kiếm trên mạng để tìm bộ điều khiển miền (Domain Controller - DC) cho miền AD của tôi. Khi tìm thấy DC, tôi sẽ được yêu cầu nhập tên người dùng và mật khẩu để ủy quyền cho máy tính được kết nối với miền. Tôi sẽ nhập tên người dùng và mật khẩu của quản trị viên miền.

Và thế là xong! Máy tính của tôi hiện đã được kết nối với miền. Bộ điều khiển miền sẽ tạo một tài khoản máy tính trong miền cho máy tính này, và máy tính này sẽ tự cấu hình lại để sử dụng dịch vụ xác thực AD. Thao tác này sẽ yêu cầu khởi động lại máy tính.

Chúng ta hãy chuyển sang Trung tâm Quản trị Active Directory (Active Directory Administrative Center) để xem nó trông như thế nào ở phía đó. Tôi đang ở cửa sổ Active Directory và tôi sẽ nhấp vào "Computers".

Đó, tôi có thể thấy máy tính của mình trong vùng chứa máy tính. Giờ đây, máy tính mới của tôi sẽ sử dụng miền Active Directory này để xác thực. Tôi có thể sử dụng chính sách nhóm (group policy) để quản lý máy tính này.

Chúng ta cũng có thể kết nối máy tính với miền từ PowerShell. Tôi có một máy tính khác ở đây cũng cần được kết nối với miền, vậy nên lần này chúng ta sẽ sử dụng CLI. Tôi sẽ nhập Add-Computer và DomainName, example.com, và server. Tôi sẽ kết nối với dc1.

Thật đơn giản và nhanh chóng. Bây giờ tôi lại được nhắc nhập thông tin đăng nhập.

Vậy là xong. Theo mặc định, lệnh này sẽ không tự động khởi động lại máy để hoàn tất việc kết nối miền. Nếu tôi thêm tham số restart, lệnh sẽ tự động thực hiện việc đó.

Một điều cuối cùng. Qua nhiều năm, đã có nhiều phiên bản Active Directory khác nhau. Chúng tôi gọi các phiên bản này là mức chức năng (functional levels). Một miền Active Directory có một mức chức năng mô tả các tính năng mà nó hỗ trợ. Nếu bạn quản trị Active Directory, bạn cần biết mức chức năng miền và rừng của mình là gì, và một ngày nào đó có thể cần nâng cấp rừng Active Directory hoặc miền của mình để hỗ trợ các tính năng mới.

Chúng ta hãy xem các thuộc tính trên miền này. Miền này là phiên bản 2016. Chúng ta cũng có thể tìm thấy thông tin này từ PowerShell như sau: gõ Get-ADForest, sau đó là Get-ADDomain. Xem các thuộc tính forest mode và domain mode.

Bây giờ bạn đã biết mức chức năng miền của mình là gì, bạn có thể tìm hiểu các tính năng AD mà nó hỗ trợ.

Để biết thêm thông tin về các cấp độ chức năng của Forest và Domain, các bạn có thể tham khảo ở đây