Organizational Unit, Roaming User, Homedir, Profiles

Để tạo một User Admin phải vào Active Directory Users & Computers để tạo. Nhưng vấn đề sẽ trở nên khó khăn hơn với một công ty lớn đến vài trăm thậm chí vài ngàn nhân viên, như vậy người quản trị mạng phải tạo, xoá, disable các Account rất mất công. Nhằm giúp các bạn khắc phục được thực trạng trên, mời các bạn cùng tham khảo tài liệu "Organizational Unit, Roaming User, Homedir, Profiles". Hy vọng đây là tài liệu tham khảo hữu ích cho các bạn.
Nội dung trích xuất từ tài liệu:
Organizational Unit, Roaming User, Homedir, ProfilesTrong bài này chúng ta cần có một máy DC và một máy Client đã join vào domainNhư chúng ta đã biết ở các bài trước để tạo một User Admin phải vào Active Directory Users & Computers để tạo.Nhưng vấn đề sẽ trở nên khó khăn hơn với một công ty lớn đến vài trăm thậm chí vài ngàn nhân viên, như vậyngười quản trị mạng phải tạo, xoá, disable các Account rất mất công.Vì vậy Windows có một tính năng rất hay là Organizational Unit (OU) giúp giảm tải công việc cho người quản trịmạng bằng cách Uỷ quyền cho một User nào đó có quyền thay thế anh ta trong việc quản lý các User Accountnhưng với quyền hạn chế hơn. Ví dụ anh quản trị mạng sẽ uỷ quyền cho User gccom1 có quyền tạo, xoá, disablecác Account chung Group với anh ta nhưng không có quyền với các Group khácTrước tiên Administrator sẽ tạo các Organizational Unit và gán quyền cho một User nào đó bằng cách mở ActiveDirectory Users & Computers ra nhấp phải vào domain chọn New -> Organizational UnitTrong ví dụ này tôi sẽ tạo lần lượt các OU là Kinhdoanh & KythuatSau đó chọn folder User và Move các User hay Group về các OU tương ứng, ví dụ tôi Move User gccom1 về OUKinhdoanh và User gccom2 về OU KythuatBây giờ ta tiến hành gán quyền cho một User nào đó trong OU Kinhdoanh bằng cách nhấp phải vào OU Kinhdoanhchọn Delegate Control…Nhấp chọn Add để thêm User vàoTôi sẽ add User gccom1 vào và nhấp NextChọn Create a custom task to delegate…Nhấp NextVà bạn check chọn các quyền tương ứng nếu muốn gán cho User này, ở đây tôi chọn là Full ControlNhư vậy nếu trong OU Kinhdoanh có các user như gccom1, gccom3, gccom4… thì chỉ có mỗi mình gccom1 là cóquyền tạo, xóa, disable User mới mà thôi, và gccom1 không có quyền gì trong OU Kythuat cả. Bạn logoff và logonvào User gccom1 để kiểm chứngOU Group PolicyNhư các bài trước các bạn đã biết để nâng cao chế độ bảo mật hoặc tuỳ chỉnh trong Windows ta sử dụng công cụGroup Policy nhưng khi chúng đã nâng cấp Windows lên DC rồi thì ta sẽ có 2 công cụ mới là Domain ControllerSercurity Policy và Domain Sercurity PolicyDomain Controller Sercurity Policy: Các tuỳ chỉnh trong này chỉ tác động lên máy DC mà thôiDomain Sercurity Policy: Các tuỳ chỉnh trong này sẽ tác động lên toàn bộ user trên domainNhưng với OU Group Policy nó sẽ tác động lên các user hoặc group hoặc từng user nằm trong OU mà thôi. Để thaotác chúng ta làm như sau:Trong ví dụ này tôi sẽ Ẩn Control Panel của user gccom1 mà các user còn lại trong OU Kinhdoanh sẽ không bị tácđộng cũng như trong OU KythuatNhấp phải vào OU Kinhdoanh chọn PropertiesChọn Tab Group Policy -> NewĐặt tên cho nó là An Control Panel -> EditMàn hình Group Policy hiện ra và chúng ta thao tác như bài Local Computer Policy để ẩn Control Panel điSau đó đóng cửa sổ Group Policy lại và chọn PropertiesTrong tab Sercurity bạn Remove Group Authenticaled Users đi vì Group này sẽ ngầm định cho Group Policy tác độnglên toàn bộ các user trong OU Kinhdoanh mà trong ví dụ này tôi chỉ muốn nó tác động lên user gccom1 mà thôiSau đó bạn Add user gccom1 vào và check ô Allow Apply Group PolicyNhấp Ok để hoàn tất và gõ lệnh gpupdate /force trong Run để cập nhật PolicyNgược lại nếu bạn muốn các tuỳ chỉnh này sẽ tác động lên toàn bộ User trong OU Kinhdoanh mà không tác động lênuser gccom1 thì bạn không Remove Group Authenticaled Users đi mà Add User gccom1 vào và check mục DenyApply Group Policy là xongOK mình vừa giới thiệu xong phần DC Organizational Unit trong 620-290 của MCSA