BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
MẠNG MÁY TÍNH
BÁO CÁO
THỰC TẬP TIN HỌC CƠ SỞ MẠNG MÁY TÍNH
Giảng Viên: Đào Anh Thư
Nhóm: 04
Lớp: Mạng Máy Tính K56
Đề Tài: Tìm hiểu về Active Directory
và Controlle
Hà Nội – Ngày 04 Tháng 01 Năm 2014
10
Giảng Viên: Đào Anh Thư
DANH SÁCH NHÓM
STT Họ và tên
1 Trần Văn Thành
2 Phạm Văn Thực
3 Mạc Văn Mỹ
4 Nguyễn Quang Vũ
5 Nguyễn Chí Thanh
10
Giảng Viên: Đào Anh Thư
Tìm hiểu về Active Directory và Controller
MỤC LỤC
1 Tổng quan về activer directory
Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đối
tượng) cũng như các thông tin liên quan đến các đối tượng đó. Active Directory
cung cấp một mức độ ứng dụng mới cho môi trường xí nghiệp. Dịch vụ thư mục
trong mỗi domain có thể lưu trữ hơn mười triệu đối tượng, đủ để phục vụ mười triệu
người dùng trong mỗi domain.

1 Chức năng của Active Directory
- lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng
và các tài khoản máy tính.
- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server
quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều
khiển vùng).
- Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong
mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.
- Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền
(rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu
hay shutdown Server từ xa…
- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con subdomain) hay
các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho
các quản trị viên bộ phận quản lý từng bộ phận nhỏ.
2 cấu trúc của activer directory
1 cấu trúc luận lý
1 Objects.
Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm
Object classes và Attributes.
 Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các loại đối
tượng mà bạn có thể tạo ra trong Active Directory. Có ba loại object classes
thông dụng là: User, Computer, Printer.
 Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với
một đối tượng cụ thể. Như vậy Object là một đối tượng duy nhất được định
nghĩa bởi các giá trị được gán cho các thuộc tính của object classes.
10
Giảng Viên: Đào Anh Thư
Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán
cho các thuộc tính của object classes. Ví dụ hình sau minh họa hai đối tượng là: máy
in ColorPrinter1 và người dùng KimYoshida.

2 Organizational Units
Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem
là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác
nhau phục vụ cho mục đích quản trị của bạn. OU cũng được thiết lập dựa trên
subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc
sử dụng OU có hai công dụng chính sau:
 Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các
thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-
administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ
thống.
 Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng
trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO)
3 Domain.
10
Giảng Viên: Đào Anh Thư
Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là
phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ
có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào
các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau:
 Đóng vai trò như một khu vực quản trị (administrative boundary) các đối
tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như:
có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy
quyền với các domain khác.
 Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.
 Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain
controller), đồng thời đảm bảo các thông tin trên các Server này được đồng bộ
với nhau.
4 Domain Tree
10
Giảng Viên: Đào Anh Thư

Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu
trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây
thư mục.Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là
domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một
domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain.
5 Forest.
Forest là một thuật ngữ được đặt ra nhằm định nghĩa một mô hình tổ chức của AD,
một forest gồm nhiều domain trees có quan hệ với nhau, các domain trees trong forest
là độc lập với nhau về tổ chức, Một forest phải đảm bảo thoả các đặc tính sau:
 Toàn bộ domain trong forest phải có một schema chia sẻ chung
 Các domain trong forest phải có một global catalog chia sẻ chung
 Các domain trong forest phải có mối quan hệ trust hai chiều với nhau
 Các tree trong một forest phải có cấu trúc tên(domain name) khác nhau
 Các domain trong forest hoạt động độc lập với nhau, tuy nhiên hoạt động của
forest là hoạt động của toàn bộ hệ thống tổ chức doanh nghiệp.
10
Giảng Viên: Đào Anh Thư
2 cấu trúc vật lý
1 siter
Một site bao gồm một hay nhiều mạng con liên kết với nhau. Có thể cấu hình việc
truy xuất và tạo bản sao cho Active Directory hiệu quả nhất và lập ra một lịch cập
nhật để không ảnh hưởng đến thông lượng của mạng
2 Domain controllers
Domain Controller là một máy tính hay server chuyên dụng được setup Windows
Server và lưu trữ bản sao của Domain Directory (local domain database). Một
domain có thể có một hay nhiều domain controller, mỗi domain controller đều có
bản sao dữ liệu của Domain Directory. Domain Controller chịu trách nhiệm chứng
thực cho users và chịu trách nhiệm đãm bảo các chính sách bảo mật được thực thi.
Các chức năng chính của domain controller:
 Mỗi domain controller lưu trữ các bản sao thông tin của Active Directory cho

chính domain đó, chịu trách nhiệm quản lí thông tin và tiến hành đồng bộ dữ
liệu với các domain controller khác trong củng một domain.
 Domain Controller trong một Domain có khả năng tự động đồng bộ dữ liệu
với các domain controller khác trong cùng một domain. Khi bạn thực hiện một
tác vụ đối với thông tin lưu trữ trên domain controller, thì thông tin này sẽ tự
động được đồng bộ hóa đến các domain controller khác. Tuy nhiên để đảm bảo
sự ổn định cho hệ thống mạng, chúng ta cần phải có một chính sách hợp lí cho
các domain trong việc đồng bộ hóa thông tin dữ liệu với một thời điểm phù
hợp.
10
Giảng Viên: Đào Anh Thư
 Domain Controller tự động đồng bộ hóa ngay lập tức các thay đổi quan trọng
đối với cả Domain như disable một user account.
 Active Directory sử dụng việc đồng bộ hóa dữ liệu theo cơ chế multimaster,
nghĩa là không có domain controller nào đóng vai trò là master cả, mà thay vào
đó thì tất cả domain controller đểu ngang hàng với nhau, mỗi domain
controller lưu trữ một bản sao của database hệ thống. Các domain controller
lưu trữ các thông tin dữ liệu khác nhau trong một khỏang thời gian ngắn cho
đến khi thông tin các domain controller trong hệ thống đều được đồng bộ với
nhau, hay nói cách khác là thống nhất dữ liệu cho toàn domain.
 Mặc dù là Active Directory hỗ trợ hoàn toàn việc đồng bộ dữ liệu theo cơ chế
multimaster nhưng thực tế thì không phải lúc nào cũng theo cơ chế này (việc
thực thi không được cho phép ở nhiều nơi trong hệ thống mạng trong cùng một
thời điểm). Operations master roles là các roles đặc biệt được assigned với 1
hoặc nhiều domain ontrollers khác để thực hiện đồng bộ theo cơ chế single-
master, ta có thể dễ dàng nhận thấy việc thực thi operations của multimaster là
sự thực thi của nhiều single-master đồng thời.
 Hệ thống có nhiều hơn một domain hỗ trợ trong trường hợp dự phòng backup
domain controller, khi một domain controller có vấn đề xảy ra thì các domain
sẽ tự động chạy dự phòng, đảm bảo hệ thống luôn được ổn định.

 Domain Controller quản lí các vấn đề trong việc tương tác với domain của
users, ví dụ xác định đối tượng trong Active Directory hay xác thực việc logon
của user.
1.2.3 Giao diện của Active Directory
Bạn có thể truy cập Active Directory Users and Computers console từ bộ điều khiển
miền của Windows Server 2003 bằng cách chọn Active Directory Users and Computers
từ menu Start / All Programs / Administrative Tools của máy chủ. Giao diện của nó được
thể hiện như những gì bạn thấy trong hình A dưới đây :
10
Giảng Viên: Đào Anh Thư
Hình A
1.2.4 Sử Dụng Active Directory
Bây giờ chúng ta sẽ tìm hiểu kỹ hơn về giao diện và cách sử dụng bởi vì nó giúp chúng
ta khám phá một chút về cấu trúc của Active Directory. Nếu nhìn vào hình A thì bạn sẽ
thấy được rằng ở đây có một số thư mục lớn, mỗi một thư mục này tương ứng với một
loại đối tượng cụ thể. Mỗi đối tượng trong Active Directory đều được gán một kiểu đối
tượng (được biết đến như là lớp đối tượng).
Mỗi đối tượng cũng có một số thuộc tính liên quan. Các thuộc tính cụ thể thay đổi phụ
thuộc vào kiểu đối tượng.
Ví dụ, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại thành các đối
tượng người dùng như trong hình B. Nếu kích chuột phải vào một trong các đối tượng
người dùng này và chọn Properties từ menu chuột phải thì bạn sẽ thấy được trang thuộc
tính của đối tượng (như trong hình C).
10
Giảng Viên: Đào Anh Thư
Hình B
10
Giảng Viên: Đào Anh Thư
Hình C
Nếu nhìn vào hình C thì bạn sẽ thấy rằng có một số trường thông tin khác nhau như tên,

họ, số điện thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng. Mặc
dù phần lớn các trường ở trong hình đều không phổ biến nhưng trong một số tình huống
thực thì các trường này có thể được sử dụng để tạo thư mục cộng tác. Trong thực tế,
nhiều ứng dụng được thiết kế để trích thông tin trực tiếp từ Active Directory. Ví dụ,
Microsoft Exchange Server (sản phẩn e-mail server của Microsoft) tạo một danh sách địa
chỉ toàn cục dựa trên nội dung của Active Directory. Danh sách này được sử dụng khi gửi
các thông báo email đến người dùng khác trong công ty.
Nếu nhìn vào hình D, bạn sẽ thấy được một màn hình, trong đó chúng tôi đã thực hiện
một tìm kiếm với tên Hershey, và Outlook đã trả toàn bộ danh sách địa chỉ toàn cục
Global Address List gồm có tên Hershey. Không hề ngạc nhiên vì đây chỉ là một kết quả.
Nếu nhìn vào phần kết quả của cửa sổ thì bạn sẽ thấy được nơi mà Outlook hiển thị tiêu
đề của người dùng, số điện thoại doanh nghiệp và vị trí mà trường đó được phổ biến. Tất
cả thông tin này đều được lấy từ Active Directory.
10
Giảng Viên: Đào Anh Thư
Hình D
Nếu muốn thấy các thông tin chi tiết hơn về người dùng, bạn hãy kích chuột phải vào
tên của người dùng và chọn Properties.Khi đó cửa sổ như hình E sẽ được hiển thị. Bạn
hãy nhớ rằng đây không phải là một màn hình quản trị. Đơn giản đây chỉ là một màn hình
mà bất kỳ người dùng nào trong công ty cũng có thể truy cập trực tiếp thông qua Outlook
2007 để tìm thông tin về các nhân viên khác.
10
Giảng Viên: Đào Anh Thư
Hình E
Xét cho cùng thì Outlook là một sản phẩm của Microsoft, vì vậy nó chỉ tạo một cảm giác
rằng Outlook sẽ có thể lấy thông tin từ Active Directory, một phần của một sản phẩm
khác của Microsoft. Tuy nhiên có rất nhiều người không nhận ra một điều, đó là khá dễ
dàng cho bất cứ ai có sự cho phép thích hợp để lấy thông tin từ Active Directory. Thực tế,
có rất nhiều sản phẩm của nhóm thứ ba được thiết kế để tương tác với Active Directory.
Một trong số chúng có khả năng lưu dữ liệu trong các phần Active Directory đặc biệt.

Lý do nó hợp lý với bạn hoặc với các hãng phần mềm nhóm thứ ba khi tương tác với
Active Directory là vì Active Directory được dựa trên một chuẩn đã biết. Active
Directory được dựa trên một chuẩn có tên gọi là X.500. Chuẩn này cơ bản là một cách
chung chung trong việc thực hiện dịch vụ thư mục. Microsoft không chỉ là một công ty
tạo dịch vụ thư mục dựa trên dịch vụ này mà Novell ban đầu cũng đã tạo dịch vụ thư mục
NetWare Directory Service trên chuẩn này.
Đây cũng là một cách trong việc truy cập vào thông tin dịch vụ thư mục. Trong môi
trường Active Directory, việc truy cập thông tin thư mục liên quan đến việc sử dụng
Lightweight Directory Access Protocol (LDAP). Giao thức LDAP chạy trên phần đỉnh
của giao thức TCP/IP.
Thứ đầu tiên mà bạn cần phải biết về giao thức LDAP là bất cứ tên nào được đặt cũng
đều phải được phân biệt, bởi vì không có gì là ít quan trọng về nó (nó quan trọng hơn
giao thức truy cập thư mục gốc, giao thức không được thiết kế để tận dụng ngăn xếp giao
10
Giảng Viên: Đào Anh Thư
thức TCP/IP).
Mỗi đối tượng trong Active Directory đều được quy vào một tên phân biệt (thường được
viết tắt là DN). Tên phân biệt được dựa trên vị trí của đối tượng bên trong thứ bậc thư
mục. Có nhiều thành phần khác nhau trong tên phân biệt nhưng một số cái chung là một
tên chung (được viết tắt là CN) và một miền tên (viết tắt là DC). Ví dụ, cho rằng miền
Contoso.com gồm có một tài khoản có tên là User1 và tài khoản này được định vị trong
thư mục Users. Trong trường hợp như vậy, tên phân biệt của tài khoản người dùng sẽ là:
CN=User1, CN=Users, DC=Contoso, DC=com
2 Cơ chế hoạt động của Active Directory
1 Directory service
2 Active directory schema
Trong Active Directory, database lưu trữ chính là AD Schema, Schema định nghĩa các đối
tượng được lưu trữ trong Active Directory. Nhưng Schema lưu trữ các đối tượng thế nào?
Thực chất, schema là một danh sách các định nghĩa xác định các loại đối tượng và các loại
thông tin về đối tượng lưu trữ trong Active Directory. Về bản chất, schema cũng được lưu

trữ như 1 object.
Schema được định nghĩa gồm 2 loại đối tượng (object) là schema class objects và schema
Attribute objects
3 Global catalog (GC)
10
Giảng Viên: Đào Anh Thư
GC lưu trữ tất cả các object của miền chứa GC và một phần các object thường được
người dùng tìm kiếm của các domain khác trong forest.
 Global catalog lưu trữ:
• Những thuộc tính thường dùng trong việc truy vấn như user’s first name, last
name, logon name
• Thông tin cần thiết để xác định vị trí của bất kỳ object nào trong active
directory
• Tập hợp các thuộc tính mặc định cho mỗi loại object
• Quyền truy cập đến mỗi object
4 Global catalog server
Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin về tất cả các
đối tượng trong Active Directory. Phần lớn,global catalog là lưu trữ thông tin đó là
các truy vấn thường được sử dụng. Nói cách khác, nó chứa các thông tin cần thiêt để
tìm các đối tượng
Một global catolog cần được tạo trong domain controller đầu tiên của rừng.
Domain controller này được gọi là Global Catalog Server. Một global catalog server
duy trì một bản copy đầy đủ cơ sở dữ liệu của Active Directory của domain điều
khiển của nó. Nó duy trì một phần copy của cơ sở dữ liệu Active Directory của
domain khác trong rừng. Một Global Catalog Server cũng xử lý các truy vấn được
xây dựng trở lại và cho ra kết
quả.
5 Distinguished và relative distinguished name
10
Giảng Viên: Đào Anh Thư

Distinguished name (DN): là tên để định danh đối tượng duy nhất trong Active
Directory
Relative distinguished name (RDN): là phần tên cũng chính là thuộc tính của đối
tượng
Ví dụ:DN: CN=TaiTV,OU=KhoaCNTT,OU=HCM,DC=ispace,DC=vn
RDN: CN=TaiTV
6 Cơ chế single sign-on
Mỗi user chỉ dùng 1 acount cho nhiều dịch vụ
Làm đơn giản hoá việc quản lý và sử dụng
3 Cơ chế quản lý Active Directory
10
Giảng Viên: Đào Anh Thư
Tập trung
 Cho phép admin có thể quản trị tài nguyên tập trung
 Cho phép admin có thể xác định thông tin của các object
 Cho phép dùng chính sách nhóm để quản lý user
Phân tán
 Uỷ quyền quản lý cho quản trị viên khác
 Quản trị hệ thống Active Directory quy mô lớn linh hoạt hơn
4 Công cụ quản lý Active Directory
10
Giảng Viên: Đào Anh Thư
Những công cụ quản lý Active Directory thường cung cấp ở dạng Snap-in cho MMC
(Microsoft Management Console).
 Active Directory users and Computer: quản trị người dùng, nhóm, máy tính, và
đơn vị tổ chức.
 Active Directory and Trusts: dùng làm việc với vùng, hệ vùng phân cấp, tập hợp
hệ vùng phân cấp.
 Active Directory Sites and Services : quản lý Site và mạng con.
5 Active directory Domain & Forest

1 Forest & Domain function level
Forest và Domain Functional Level cung cấp cách để mỡ rộng các tính năng AD trên
phạm vi domain hoặc forest. Các cấp độ này phụ thuộc vào môi trường mạng. Yêu
cầu sử dụng những tính năng mới trên Windows 2003.
2 Tạo Relationships
Trust Relationship cho phép người dùng trong domain này truy cập tài nguyên ở
domain khác. Một trust relationship trên window server bao gồm 3 đặc tính :
 Explicitly or Implicitly (tường minh hay ngầm định)
• Explicitly trust là loại liên kết tường minh, do người quản trị thiết lập bằng
tay. Ví dụ như shortcut trust, external trust.
• Implicitly trust là loại liên kết ngầm định, do hệ thống thiết lập tự động. Ví
dụ như parent/child trust, tree/root trust.
 Transitive or Non-transitive (có tính bắc cầu hay không có tính bắc cầu)
• Transitive trust là loại liên kết mà mối liên kết không chỉ giới hạn giữa hai
domain tham gia trực tiếp mà còn mở rộng ra những domain liên quan.
Quan sát hình 1, domain D trust trực tiếp domain E, còn domain E lại trust
trực tiếp domain F và cả hai đều là transitive trust thì domain D cũng trust
gián tiếp domain F và ngược lại. Transitive trust được hệ thống thiết lập tự
10
Giảng Viên: Đào Anh Thư
động, một trong những ví dụ về loại trust này là parent/child trust (liên kết
giữa domain cha và domain con).
• Non-transitive trust có tính chất ngược với transitive trust, loại liên kết này
chỉ giới hạn trong hai domain tham gia trực tiếp vào liên kết chứ không mở
rộng ra các domain liên quan với hai domain đó. Non-transitive trust không
được hệ thống thiết lập tự động. Ví dụ điển hình về non-transitive trust là
external trust, liên kết giữa 2 domain thuộc 2 forest khác nhau.
 Trust direction (chiều của liên kết)
• Trong Windows 2003, có 3 loại trust direction: one-way incoming, one-way
outgoing, two-way. Ví dụ như trên hình 1, ta thấy trust relationship giữa

domain B và domain Q là một chiều (one-way). Đứng trên domain B, nếu
ta thiết lập one-way incoming trust thì các đối tượng trên domain B sẽ được
chứng thực trên domain Q; còn nếu ta thiết lập one-way outgoing trust thì
các đối tượng trên domain Q sẽ được chứng thực trên domain B. Cuối cùng,
nếu ta thiết lập two-way trust thì các đối tược trên cả hai domain sẽ được
chứng thực trên domain đối phương.
• Trên Windows 2000 thì liên kết trust chỉ có one-way và non-transitive. Do
vậy, để tạo ra liên kết cho một hệ thống lớn, người quản trị cần thiết lập và
quản lý nhiều trust relationship. Bắt đầu từ Windows 2003 thì trust
relationship có 3 đặc tính trên đã đơn giản hóa công việc và giảm thiểu
nhiều công sức quản lý cho người quản trị.
• Các loại Trust
• Shortcut: được người quản trị thiết lập giữa hai domain trong cùng một
forest đê nhầm giảm bớt các bước chứng thực cho các đối tượng .sử dụng
trong quá trình chứng thực bằng giao thức Kerberos v5 .
• Forest: được người quản trị thiết lập giữa hai forest.Đây là phương pháp
hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộc domain của
các forest .
• External:được người quản trị thiết lập để liên kết hai domain thuộc hai
forest khác nhau để giảm bớt các bước chứng thực. External cấu hình thiết
lập đồng bộ tin cậy giữa một domain của một forest với một domain của
forest khác.
• Realm: thiết lập tin cậy với hệ thống không phải Windows sử dụng
Kerberos.
6 Organization Unit ( OU )
1 Tìm hiểu OU
10
Giảng Viên: Đào Anh Thư
OUS được tạo ra để làm quản trị đại diện, để quản trị chính sách nhóm, và để giấu
các object. Tạo các OU để quản trị đại diện là lý do quan trọng nhất để tạo một OU,

và bạn nên cân nhắc trước khi tạo các OUS để quản trị chính sách nhóm hoặc để dấu
object. Các tác vụ quản trị của OU như đổi tên, di chuyển và xóa các OU, và cài đặt
các thuộc tính của OU, là các tác vụ cần thiết bạn phải biết để bảo trì các OU
Organizational unit(OU) là một container sử dụng để sắp xếp các object trong một
miền vào một nhóm quản trị logic. Một OU có thể chứa các object như tài khoản
người sử dụng, nhóm, máy tính, máy tin, các ứng dụng, các thư mục chia sẻ, và các
OU khác từ cùng một miền. Các OU được biểu diễn bằng biểu tượng thư mục với 1
quyển sách bên trong. Các OU có thể được thêm vào các OU khác tạo nên cấu trúc
phân cấp; quá trình này được gọi là nesting OU. Mỗi miền có một cấu trúc OU riêng,
cấu trúc của OU trong một miền không phụ thuộc vào cấu trúc của các OU ở các
miền khác.
Có 3 lý do để tạo ra OU
• Để ủy quyền quản trị
• Để quản trị group policy
• Để che dấu các object
2 Ủy quyền quản lý OU
Organizasional Units hay OU còn gọi là đơn vị nhỏ nhất trong hệ thống active
directory , nó được xem là vật chứa các đối tượng (object) được dùng để sắp xếp các
đối tượng khác nhau phục vụ cho các mục đích quản trị của bạn. Việc sử dụng OU có
hai công dụng chính như sau :
 Trao quyền kiểm soát một tập hợp các tài khoản người dung, máy tính hay các
thiết bị mạng cho một nhóm người hay một phụ tá quản trị nào đó(sub-
administrator),từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ
thống.
 Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dung
trong OU thông qua việc sử dụng các đối tượng chính sách nhóm(Group
policy)
Mục đích uỷ quyền quản trị OU
 Phân tán việc quản lý cho từng OU
 Đơn giản hoá trong việc quản trị

 Việc uỷ quyền cung cấp
10
Giảng Viên: Đào Anh Thư
 Việc tự quản trong mỗi OU
 Cô lập quản lý dữ liệu và dịch vụ
Các tác vụ quản trị OU :
 Thay đổi thuộc tính của vật chứa (container)
 Tạo và xóa object
 Thay đổi thuộc tính của object
Chiến lược trong việc triển khai cấu trúc OU
7 Tài khoản Users, Group, Computer
1 Giới thiệu Tài khoản
User Acount: Là tài khoản người dung. Khi cài đặt AD sẽ có một số user được
tạo ra mặc định (Build –in) như Administrato – là quyền quạn trị cao nhất cho toàn
quyền hệ thống. User này không thể gỡ bỏ được. ngoài ra nhân viên sữ dụng máy
tính trong hệ thống để có thể sữ dụng tài nguyên và đăng nhập vào hệ thống thì người
dung quản trị khởi tạo user và phân quyền sữ sụng.
Computer Account: Mỗi máy tính chạy Microsoft Windows NT, Windows
2000, Windows XP, Windows Server 2003 tham gia vào domain đề có một computer
account . Tương tự như user account. Các computer account cung cấp ý nghĩa thẩm
định quyền và chỉnh quyền truy xuất vào mạng và các tai nguyên domain .
10
Giảng Viên: Đào Anh Thư
Group : Là tập hợp một số user có những đặc tính chung như truy cập chung một
thư mục nào đó, hay phân nhóm theo phòng ban…
2 Giới thiệu tài khoản người dùng
Tài khoản người dùng là tập hợp quyền hạn duy nhất cho một người dung cho
phép người dùng đăng nahaapvaof domain để truy xuất tài nguyên mạng hoặc đăng
nhập vào một máy tính cụ thể nào đó. Những người sữ dùng mạng thường xuyên nên
có một tài khoản người dùng

1 Tài khoản người dùng cục bộ
Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng định
định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy
tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải
chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ.
2 Tài khoản người dùng miền
Tài khoản người dùng miền (domain user account) là tài khoản người dùng được
định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất
kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy
cập đến các tài nguyên trên mạng.
3 Yêu cầu về tài khoản người dùng
 Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng
nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều
hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự).
 Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của
người dùng và nhóm không được trùng nhau.
 Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
 Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu,
khoảng trắng, dấu gạch ngang, dấu gạch dưới.
3 Tài khoản nhóm
Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người
nào đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các
người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng
như thư mục chia sẻ, máy in. Chú ý là tài khoản người dùng có thể đăng nhập vào
mạng những tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý.
Tài khoản nhóm người chia làm hai loại: nhóm bảo mật (security group) và nhóm
phân phối (distribution group).
1 Nhóm bảo mật
Nhóm bảo mật là loại nhóm được dùng để cấp phát các quyền hệthống (rights) và
quyền truy cập (permission). Giống như các tài khoản người dùng, các nhóm bảo mật

đều được chỉ định các SID. Cóba loại nhóm bảo mật chính là: local, global và
10
Giảng Viên: Đào Anh Thư
universal. Tuy nhiênnếu chúng ta khảo sát kỹ thì có thể phân thành bốn loại như
sau:local, domain local, global và universal
 Local group (nhóm cục bộ) là loại nhóm có trên các máy stand- alone Server,
member server, Win2K Pro hay WinXP. Các nhóm cục bộ này chỉ có ý nghĩa và
phạm vi hoạt động ngay tại trên máy chứa nó thôi.
 Domain local group (nhóm cục bộ miền) là loại nhóm cục bộ đặc biệt vì chúng
là local group nhưng nằm trên máy Domain Controller. Các máy Domain
Controller có một cơ sở dữ liệu Active Directory chung và được sao chép đồng
bộ với nhau do đó một local group trên một Domain Controller này thì cũng sẽ có
mặt trên các Domain Controller anh em của nó, như vậy local group này có mặt
trên miền nên được gọi với cái tên nhóm cục bộ miền. Các nhóm trong mục
Built-in của Active Directory là các domain local.
 lobal group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong Active
Directory và được tạo trên các Domain Controller. Chúng dùng để cấp phát
những quyền hệ thống và quyền truy cập vượt qua những ranh giới của một miền.
Một nhóm global có thể đặt vào trong một nhóm local của các server thành viên
trong miền. Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng công
việc của Global Catalog.
 Global group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong
Active Directory và được tạo trên các Domain Controller. Chúng dùng để cấp
phát những quyền hệ thống và quyền truy cập vượt qua những ranh giới của một
miền. Một nhóm global có thể đặt vào trong một nhóm local của các server thành
viên trong miền. Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng
công việc của Global Catalog.
 Universal group (nhóm phổ quát) là loại nhóm có chức năng giống như global
group như nó dùng để cấp quyền cho các đối tượng trên khắp các miền trong một
rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau. Loại nhóm này tiện

lợi hơn hai nhóm global group và local group vì chúng dễ dàng lồng các nhóm
vào nhau. Nhưng chú ý là loại nhóm này chỉ có thể dùng được khi hệ thống của
bạn phải hoạt động ở chế độ Windows 2000 native functional level hoặc
Windows Server 2003 functional level có nghĩa là tất cả các máy Domain
Controller trong mạng đều phải là Windows Server 2003 hoặc Windows 2000
Server.
2 Nhóm phân phối
Nhóm phân phối là một loại nhóm phi bảo mật, không có SID và không xuất hiện
trong các ACL(Access Control List). Loại nhóm này không được dùng bởi các nhà
quản trị mà được dùng bởi các phần mềm và dịch vụ. Chúng được dùng để phân phối
thư (e-mail) hoặc các tin nhắn (message).
3 Tài khoản người dùng tạo sẵn
Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta
cài đặt Windows Server 2003 thì mặc định được tạo ra. Tài khoản này là hệ thống nên
10
Giảng Viên: Đào Anh Thư
chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi tên. Tất cả các tài khoản
người dùng tạo sẵn này đều nằng trong Container Users của công cụ Active Directory
User and Computer.
Mô tả các tài khoản người dùng được tạo sẵn
Tên nhóm Mô tả
Administrators
Nhóm này mặc định được ấn định sẵn tất cả các quyền hạn
cho nên thành viên của nhóm này có toàn quyền trên hệ
thống mạng. Nhóm Domain Admins và Enterprise Admins
là thành viên mặc định của nhóm Administrators.
Account Operators
Thành viên của nhóm này có thể thêm, xóa, sửa được các tài
khoản người dùng, tài khoản máy và tài khoản nhóm. Tuy
nhiên họ không có quyền xóa, sửa các nhóm trong container

Built-in và OU.
Domain
Controllers
Nhóm này chỉ có trên các Domain Controller và mặc định
không có thành viên nào, thành viên của nhóm có thể đăng
nhập cục bộ vào các Domain Controller nhưng không có
quyền quản trị các chính sách bảo mật.
Backup Operators
Thành viên của nhóm này có quyền lưu trữ dự phòng
(Backup) và phục hồi (Retore) hệ thống tập tin.Trong trường
hợp hệ thống tập tin là NTFS và họ không được gán quyền
trên hệ thống tập tin thì thành viên của nhóm này chỉ có thể
truy cập hệ thống tập tin thông qua công cụ ackup. Nếu
muốn truy cập trực tiếp thì họ phải được gán quyền.
Guests
Là nhóm bị hạn chế quyền truy cập các tài nguyên trên
mạng. Các thành viên nhóm này là người dùng vãng lai
không phải là thành viên của mạng. Mặc định các tài khoản
Guest bị khóa
Print Operator Thành viên của nhóm này có quyền tạo ra, quản lý và xóa bỏ
các đối tượng máy in dùng chung trong Active Directory.
Server Operators
Thành viên của nhóm này có thể quản trị các máy server
trong miền như: cài đặt, quản lý máy in, tạo và quản lý thư
mục dung chung, backup dữ liệu, định dạng đĩa, thay đổi
giờ…
Users
Mặc định mọi người dùng được tạo đều thuộc nhóm này,
nhóm này có quyền tối thiểu của một người dùng nên việc
truy cập rất hạn chế.

Replicator
Nhóm này được dùng để hỗ trợ việc sao chép danh bạ trong
Directory Services, nhóm này không có thành viên mặc
định.
10
Giảng Viên: Đào Anh Thư
Incoming Forest
Trust Builders
Thành viên nhóm này có thể tạo ra các quan hệ tin cậy
hướng đến, một chiều vào các rừng. Nhóm này không có
thành viên mặc định.
Network
Configuration
Operators
Thành viên nhóm này có quyền sửa đổi các thông số TCP/IP
trên các máy Domain Controller trong miền.
Pre-Windows 2000
Compatible Access
Nhóm này có quyền truy cập đến tất cả các tài khoản người
dùng và tài khoản nhóm trong miền, nhằm hỗ trợ cho các hệ
thống WinNT cũ.
Remote Desktop
User
Thành viên nhóm này có thể đăng nhập từ xa vào các
Domain Controller trong miền, nhóm này không có thành
viên mặc định
Performace Log
Users
Thành viên nhóm này có quyền truy cập từ xa để ghi nhận
lại những giá trị về hiệu năng của các máy Domain

Controller, nhóm này cũng không có thành viên mặc định.
Performace
Monitor Users
Thành viên nhóm này có khả năng giám sát từ xa các máy
Domain Controller.
Ngoài ra còn một số nhóm khác như DHCP Users, DHCP Administrators, DNS
Administrators… các nhóm này phục vụ chủ yếu cho các dịch vụ, chúng ta sẽ tìm hiểu cụ
thể trong từng dịch vụ ở giáotrình “Dịch Vụ Mạng”.Chú ý theo mặc định hai nhóm
Domain Computers và Domain Controllers được dành riêng cho tài khoản máy tính,
nhưng bạn vẫn có thể đưa tài khoản người dùng vào hai nhóm này.
Tên Nhóm Mô ta
Domain Admins
Thành viên của nhóm này có thể toàn quyền quản trị các
máy tính trong miền vì mặc định khi gia nhập vào miền
các member server và các máytrạm (Win2K Pro, WinXP)
đã đưa nhóm Domain Admins là thành viên của nhóm cục
bộ Administrators trên các máy này.
Domain Users
Theo mặc định mọi tài khoản người dùng trên miền đều
là thành viên của nhóm này. Mặc định nhóm này là
thành viên của nhóm cục bộ Users trên các máy server
thành viên và máy trạm.
Group Policy Creator
Owners
Thành viên nhóm này có quyền sửa đổi chính sách nhóm
của miền, theo mặc định tài khoản administrator miền là
thành viên của nhóm này.
Đây là một nhóm universal, thành viên của nhóm này có