Cài đặt và cấu hình Windows Server 2012 R2

Cài đặt và quản trị
Active Directory
Server 2012 R2

Lê Gia Công


Cài đặt và cấu hình Windows Server 2012 R2

Nội dung
Chương 5. Cài đặt và quản trị Active Directory .................................................................................. 4

5.1 Cài đặt domain controller ........................................................................................................... 4
Triển khai AD DS ............................................................................................................................. 4
Tạo forest ......................................................................................................................................... 5
Thêm một domain controller vào domain .................................................................................. 7
Tạo domain con trong một forest................................................................................................ 9
Cài đặt AD DS trên Server Core .................................................................................................. 10
Sử dụng phương pháp cài đặt IFM (Install from Media) ........................................................ 12
Nâng cấp AD DS ........................................................................................................................... 13
Triển khai Active Directory IaaS trên Windows Azure ............................................................. 14
Gỡ bỏ một domain controller ..................................................................................................... 14
Cấu hình global catalog............................................................................................................... 15
Khắc phục lỗi không đăng kí được bản ghi DNS SRV ............................................................. 16
Tóm tắt nội dung .......................................................................................................................... 17
Câu hỏi ôn tập .............................................................................................................................. 17

5.2 Tạo và quản lý người dùng, máy tính trong AD DS .............................................................. 18
Tạo tài khoản người dùng ........................................................................................................... 19

Các công cụ để tạo tài khoản người dùng ............................................................................... 20
Tạo tài khoản người dùng bằng Windows PowerShell ........................................................... 22
Tạo tài khoản mẫu (template) .................................................................................................... 23
Tạo nhiều tài khoản người dùng ................................................................................................ 24
Tạo tài khoản máy tính ................................................................................................................ 26
Tạo tài khoản máy tính bằng Active Directory Users And Computers ................................. 28
Tạo tài khoản máy tính bằng Active Directory Administrative Center ................................. 28
Tạo tài khoản máy tính bằng Dsadd.exe ................................................................................... 28
Tạo tài khoản máy tính bằng Windows PowerShell ................................................................ 29
Quản lý các tài khoản trong AD ................................................................................................. 29

2


Cài đặt và cấu hình Windows Server 2012 R2
Quản lý nhiều người dùng .......................................................................................................... 29
Kết nối máy tính vào domain...................................................................................................... 30
Kết nối máy tính vào domain bằng NETDOM.EXE................................................................... 31
Kết nối gián tiếp (offline) máy tính vào domain ...................................................................... 32
Quản lý tài khoản người dùng/máy tính không sử dụng ....................................................... 32
Tóm tắt nội dung .......................................................................................................................... 32
Câu hỏi ôn tập .............................................................................................................................. 33
5.3 Tạo và quản lý OU, Group ......................................................................................................... 34
Tạo OU ........................................................................................................................................... 34
Áp dụng GPO trên OU ................................................................................................................. 35
Ủy quyền quản trị trên OU .......................................................................................................... 35
Group ............................................................................................................................................. 37
Phân loại group theo chức năng (type) .................................................................................... 37
Phân loại group theo phạm vi (scope) ...................................................................................... 38
Lồng group (nesting group) ....................................................................................................... 39

Tạo group ...................................................................................................................................... 39
Thêm thành viên cho group ....................................................................................................... 41
Quản lý thành viên của group bằng Group Policy .................................................................. 41
Quản lý group bằng DSMOD ..................................................................................................... 43
Đổi kiểu của group ....................................................................................................................... 43
Xóa Group ..................................................................................................................................... 44
Tóm tắt nội dung .......................................................................................................................... 44
Câu hỏi ôn tập .............................................................................................................................. 44

3


Cài đặt và cấu hình Windows Server 2012 R2

Chương 5. Cài đặt và quản trị Active Directory
Dịch vụ danh bạ (directory service) là một kho chứa các thông tin về phần cứng, phần mềm, và người
dùng có trong một hệ thống mạng. Thông qua dịch vụ danh bạ, người dùng, máy tính và các ứng dụng
có thể truy cập tới các tài nguyên mạng để thực hiện các chức năng khác nhau. Các chức năng có thể
là: chứng thực người dùng, cấu hình lưu trữ dữ liệu, tìm kiếm thông tin.
AD DS (Active Directory Domain Services) là dịch vụ danh bạ do Microsoft phát triển. Phiên bản AD
DS đầu tiên được Microsoft giới thiệu trong Windows 2000 Server. AD DS liên tục được nâng cấp.
Hiện tại, AD DS cũng đang được tích hợp trong Windows Server 2012 R2.
Chương này đề cập tới các công việc cơ bản của người quản trị, liên quan đến cài đặt và quản lý AD
DS. Nội dung chính gồm:
­ Cài đặt domain controller
­ Tạo và quản lý tài khoản người dùng, tải khoản máy
­ Tạo và quản lý nhóm, đơn vị tổ chức (OU)

5.1 Cài đặt domain controller
AD DS cho phép người quản trị tạo ra một thực thể gọi là domain (miền). Domain là một thực thể hay

một vật chứa, dùng để chứa các thành phần của hệ thống mạng. Máy tính chứa domain được gọi là
domain controller (máy quản lý miền). Trong một hệ thống mạng thường có nhiều máy domain
controller. Các máy domain controller thường được đồng bộ dữ liệu với nhau để tăng khả năng chịu lỗi
và chia tải (load balancing).
Các nội dung sẽ được đề cập trong phần này gồm:
­ Tạo và hủy một domain controller
­ Nâng cấp domain controller
­ Cài đặt AD DS trên Server core
­ Triển khai Active Directory IaaS trên Windows Azure
­ Cài đặt domain controller bằng IFM
­ Vấn đề đăng kí bản ghi DNS SRV
­ Cấu hình global catalog server

Triển khai AD DS
Để tạo ra domain mới hoặc thêm domain controller cho domain có sẵn, bạn phải cài đặt role AD DS
trên Windows Server 2012 R2, sau đó chạy AD DS Domain Configuration Wizard.
Để sử dụng máy Windows Server 2012 R2 làm domain controller, bạn nên cấp cho nó địa chỉ IP cố
định. Ngoài ra, nếu bạn định tạo một domain thuộc forest có sẵn hoặc thêm một domain controller cho
domain có sẵn, bạn phải cấu hình cho máy tính sử dụng DNS server nội bộ, ít nhất là trong lúc nâng
cấp lên domain controller.
Cài đặt role AD DS
1. Mở Server Manager, vào trình đơn Manage, chọn Add Roles And Features để chạy Add Roles
And Features Wizard, trang Before You Begin xuất hiện.
4


Cài đặt và cấu hình Windows Server 2012 R2
2. Bấm Next để mở trang Select Installation Type.
3. Để nguyên lựa chọn trong mục Role-Based Or Feature-Based Installation, bấm Next để mở
trang Select Destination Server.

4. Lựa chọn server mà bạn muốn nâng cấp lên thành domain controller, bấm Next để mở trang
Select Server Roles.
5. Chọn Active Directory Domain Services, xuất hiện cửa sổ Add Features That Are Required For
Active Directory Domain Services.
6. Bấm Add Features để đồng ý cài đặt, bấm Next để mở trang Select Features.
7. Bấm Next để mở trang Active Directory Domain Services.
8. Bấm Next để mở trang Confirm Installation Selections. Bạn có thể đánh dấu chọn vào mục
Restart The Destination Server Automatically If Required: tự động khởi động lại máy sau khi hoàn
thành cài đặt.
9. Bấm Install để hiển thị trang Installation Progress. Khi cài đặt xong xuất hiện liên kết Promote
This Server To A Domain Controller.
10. Tới đây bạn đã hoàn thành việc cài đặt role AD DS. Sau khi role AD DS được cài đặt, bạn có
thể chạy AD DS Installation Wizard để thực hiện các cấu hình khác nhau cho hệ thống.

Tạo forest
Để triển khai AD DS, bước đầu tiên bạn phải tạo forest, sau đó tạo domain trong forest.
Các bước để tạo forest:
1. Sau bước cuối cùng của quá trình cài đặt role AD DS, hệ thống sẽ xuất hiện thông báo có nội
dung là nâng cấp server này lên thành domain controller (Promote This Server To A Domain
Controller). Nếu không thấy thông báo này, bấm vào hình tam giác màu vàng trong cửa sổ
Server Manager. Bấm vào dòng thông báo để chạy AD DS Configuration Wizard. Xuất hiện
trang Deployment Configuration.
2. Chọn mục Add A New Forest trong phần Select The Deployment Operation. Nhập tên miền
bạn muốn tạo vào mục Root Domain Name (ví dụ: dalat.com). Xem hình minh họa.

5


Cài đặt và cấu hình Windows Server 2012 R2
3. Bấm Next để mở trang Domain Controller Options. Xem hình minh họa.


4. Nếu bạn có dự định thêm các domain controller đang chạy các hệ điều hành cũ hơn vào forest
này, bạn xổ danh sách Forest Functional Level và chọn hệ điều hành thích hợp.
5. Nếu bạn có dự định thêm các domain controller chạy các hệ điều hành cũ hơn vào domain này,
bạn xổ danh sách Domain Functional Level và chọn hệ điều hành thích hợp.
6. Nếu trong hệ thống mạng chưa có DNS server, bạn đánh dấu chọn vào mục Domain Name
System (DNS) Server. Nếu trong hệ thống mạng đã có DNS server, bạn cấu hình cho domain
controller sử dụng DNS server cục bộ và bỏ dấu chọn ở mục Domain Name System (DNS)
Server.
7. Nhập mật khẩu để sử dụng trong trường hợp phải khôi phục hệ thống (Directory Services
Restore Mode (DSRM)) vào mục Password và Confirm Password. Bấm Next để mở trang DNS
Options. Trong trang có một cảnh báo liên quan đến DNS.
8. Bấm Next để mở trang Additional Options với tên của NetBIOS tương ứng với tên miền.
9. Bạn có thể đổi tên NetBIOS nếu muốn, hoặc bấm Next để mở trang Paths.
10. Bạn có thể thay đổi vị trí lưu các tập tin của AD DS nếu muốn, hoặc bấm Next để mở trang
Review Options.
11. Bấm Next để mở trang Prerequisites Check. Xem hình minh họa.

6


Cài đặt và cấu hình Windows Server 2012 R2

12. Hệ thống sẽ thực hiện một số kiểm tra để đảm bảo máy tính có đủ điều kiện để trở thành một
domain controller. Kết quả có thể xuất hiện một số cảnh báo, bạn cần đọc các cảnh báo để thực
hiện thêm một số yêu cầu (nếu có). Bấm nút Install để tạo forest và domain controller.
13. Khởi động lại máy tính.
Sau khi tạo forest (domain gốc), bạn có thể thêm các domain controller vào domain hoặc tạo các
domain mới trong forest.


Thêm một domain controller vào domain
Mỗi domain trong AD DS nên có tối thiểu hai domain controller.
Trong Windows Server 2012 R2, để thêm một domain controller vào domain, thực hiện các bước sau:
1. Tại trang Installation Progress, xuất hiện ở bước cuối của quá trình cài role Active Directory
Domain Services, bấm vào liên kết Promote This Server To A Domain Controller để chạy
Active Directory Domain Services Configuration Wizard, xuất hiện trang Deployment
Configuration.
2. Chọn mục Add A Domain Controller To An Existing Domain, bấm Select.
3. Nếu bạn chưa đăng nhập vào forest, sẽ xuất hiện cửa sổ Credentials For Deployment
Operation. Tại đây, bạn phải chứng thực bằng tải khoản có quyền quản trị hệ thống. Sau khi
chứng thực thành công, xuất hiện cửa sổ Select A Domain From The Forest.

7


Cài đặt và cấu hình Windows Server 2012 R2
4. Lựa chọn tên domain mà bạn muốn thêm domain controller, bấm OK. Tên domain được chọn
sẽ xuất hiện trong mục Domain.
5. Bấm Next để mở trang Domain Controller Options. Xem hình minh họa.

6. Để nguyên lựa chọn trong mục Domain Name System (DNS) Server nếu bạn muốn cài đặt
dịch vụ DNS server trên máy này. Ngược lại, bạn phải cấu hình để máy domain controller sử
dụng DNS server có sẵn trong hệ thống mạng.
7. Để nguyên lựa chọn trong mục Global Catalog (GC) nếu bạn muốn máy domain controller
đóng vai trò là một máy global catalog server. Nếu trong site chưa có máy nào đóng vai trò là
GC server thì bạn nên chọn mục này.
8. Nếu bạn muốn tạo một domain controller mà người quản trị không thể thay đổi nội dung của
các đối tượng trong AD DS thì bạn đánh dấu chọn vào mục Read Only Domain Controller
(RODC).
9. Trong mục Site Name, chọn site để chứa domain controller.

10. Nhập mật khẩu để sử dụng trong trường hợp phải khôi phục hệ thống (Directory Services
Restore Mode (DSRM)) vào mục Password và Confirm Password. Bấm Next để mở trang
Additional Options. Xem hình minh họa.

8


Cài đặt và cấu hình Windows Server 2012 R2

11. Đánh dấu chọn vào mục Install From Media nếu bạn muốn sử dụng cách cài đặt này.
12. Trong mục Replication From, chọn một domain controller có sẵn trong miền, máy này chứa
dữ liệu để chạy chức năng đồng bộ hóa dữ liệu của AD DS. Bấm Next để mở trang Paths.
13. Bạn có thể thay đổi đường dẫn để lưu các tập tin của AD DS nếu muốn, bấm Next để mở
trang Review Options.
14. Bấm Next để mở trang Prerequisites Check.
15. Sau khi hệ thống kiểm tra xong, bấm Install để cấu hình server trở thành một domain
controller.
16. Khởi động lại máy tính.
Sau khi được tạo ra, domain controller sẽ hoạt động như một domain controller thứ hai trong miền,
việc đồng bộ dữ liệu giữa hai domain controller sẽ được chạy tự động.

Tạo domain con trong một forest
Khi bạn đã tạo một forest với một domain trong nó (domain gốc), bạn có thể thêm domain con (child
domain) cho domain gốc. Quá trình tạo một domain con cũng giống với quá trình tạo forest, chỉ khác ở
trang Deployment Configuration bạn cần phải xác định domain cha (parent domain) của domain sẽ tạo.
Xem hình minh họa.
9


Cài đặt và cấu hình Windows Server 2012 R2


Cài đặt AD DS trên Server Core
Với Windows Server 2012 R2 đang chạy ở chế độ server core, bạn có thể sử dụng Windows
PowerShell để cài đặt AD DS và nâng cấp server lên thành domain controller.
Trong chế độ server core của Windows Server 2008 và Windows Server 2008 R2, bạn có thể sử dụng
chương trình Dcpromo.exe với tham số /unattend để tự động cài đặt AD DS. Các tham số cần thiết cho
quá trình cài đặt được lưu sẵn trong một tập tin (answer file).
Windows Server 2012 R2 không cho phép chạy dcpromo.exe nếu không có tham số /unattend đi kèm.
Do vậy, nếu người quản trị muốn nâng cấp một máy tính lên domain controller tự động bằng lệnh
dcpromo.exe /unattend thì vẫn có thể thực hiện được, mặc dù hệ thống có xuất hiện cảnh báo “The
dcpromo unattended operation is replaced by the ADDSDeployment module for Windows
PowerShell”.
Phương pháp được nhiều người sử dụng để cài đặt AD DS trên Server Core là dùng Windows
PowerShell. Quá trình cài đặt cũng gồm hai bước như khi thực hiện cài đặt bằng wizard, gồm: cài đặt
role AD DS, sau đó là nâng cấp server lên domain controller.
Để cài đặt role AD DS, bạn chạy chương trình PowerShell, nhập lệnh sau:
Install-WindowsFeature –name AD-Domain-Services –IncludeManagementTools
Lưu ý, như thường lệ, lệnh Install-WindowsFeature không cài đặt công cụ để quản lý role tương ứng,
để có công cụ quản lý, bạn phải thêm tham số -IncludeManagementTools.

10


Cài đặt và cấu hình Windows Server 2012 R2
Khi đã cài đặt xong role AD DS, bạn sẽ thực hiện nâng cấp server thành domain controller, việc này
phức tạp hơn một chút. ADDSDeployment của Windows PowerShell cung cấp ba lệnh khác nhau liên
quan đến tạo forest (Install-ADDSForest), nâng cấp lên domain controller (InstallADDSDomainController) và thêm domain vào forest (Install-ADDSDomain).
Mỗi lệnh có kèm theo rất nhiều tham số, giống như lúc bạn thực hiện bằng Active Directory Domain
Services Configuration Wizard. Dưới đây là một ví dụ đơn giản nhất, để nâng cấp một máy tính thành
domain controller cùng với việc tạo forest có tên là dalat.com.

Install-ADDSForest –DomainName “dalat.com”
PowerShell sẽ yêu cần bạn lần lượt nhập các tham số tương tự như khi thực hiện bằng Active
Directory Domain Services Configuration Wizard. Bạn cũng có thể sử dụng lệnh Get-Help để xem cú
pháp đầy đủ của lệnh Install-ADDSForest. Xem hình minh họa.

Ngoài cách thao tác trực tiếp với giao diện của Windows PowerShell, bạn có cách khác để thực hiện
các cài đặt phức tạp như sau: lấy một máy Windows Server 2012 R2 đang chạy giao diện đồ họa
(GUI), thực hiện cài đặt bằng wizard (ví dụ: Active Directory Domain Services Configuration
Wizard), khi tới bước (trang) Review Option, bấm vào View Script để hiển thị nội dung kịch bản chạy
trên Windows PowerShell. Lưu kịch bản này lại để thực hiện trên server khác. Xem hình minh họa.

11


Cài đặt và cấu hình Windows Server 2012 R2

Windows Server 2012 R2 có khả năng tạo kịch bản này là do thực tế Server Manager đang chạy trên
nền Windows PowerShell. Do vậy, kịch bản sẽ chứa các lệnh và các tham số tương ứng khi bạn chạy
bằng wizard. Bạn cũng có thể sử dụng kịch bản này với lệnh Install-ADDSDomainController để triển
khai thêm các domain controller cho cùng domain.

Sử dụng phương pháp cài đặt IFM (Install from Media)
Trong phần cài đặt một domain controller dự phòng (đọc lại mục Thêm một domain controller vào
domain), tại trang Additional Options của Active Directory Domain Services Configuration Wizard, có
xuất hiện tùy chọn Install From Media. Tùy chọn này cho phép người quản trị thực hiện cài đặt một
domain controller trên một site ở xa, sử dụng phương pháp IFM.
Thông thường, khi tạo một domain controller cho một domain có sẵn, hệ thống sẽ tạo ra cấu trúc cơ sở
dữ liệu của AD DS, nhưng chưa có dữ liệu. Dữ liệu sẽ được cập nhật khi domain controller thực hiện
đồng bộ với một domain controller có sẵn khác. Trong hệ thống LAN, quá trình đồng bộ sẽ được thực
hiện tự động ngay khi hoàn thành việc nâng cấp server lên domain controller.

Tuy nhiên, khi domain controller (mới được tạo ra) chỉ có kết nối WAN với các domain controller có
sẵn, việc đồng bộ dữ liệu có thể mất nhiều thời gian và chiếm băng thông của các ứng dụng thông
thường. Trong trường hợp này, quá trình đồng bộ dữ liệu chỉ được thực hiện khi người quản trị đã
chuẩn bị đường truyền phù hợp.
Lưu ý: ngay khi domain controller được tạo ra, nó sẽ nhận dữ liệu đồng bộ từ các domain controller
khác, dữ liệu đồng bộ là toàn bộ cơ sở dữ liệu của AD DS, quá trình này gọi là đồng bộ lần đầu. Tuy
nhiên, ở các lần đồng bộ sau, chỉ có các đối tượng có thay đổi so với lần đồng bộ trước mới được đồng
bộ.
Để tránh các vấn đề có thể xảy ra liên quan đến việc đồng bộ lần đầu, người quản trị có thể sử dụng
thiết bị lưu trữ ngoài để chứa bản sao cơ sở dữ liệu của AD DS. Công cụ dòng lệnh Ntdsutil.exe giúp
lưu cơ sở dữ liệu của AD DS vào thiết bị lưu trữ ngoài. Khi đó, việc tạo domain controller ở xa sẽ bao
gồm luôn quá trình đồng bộ dữ liệu lần đầu bằng thiết bị lưu trữ ngoài.
12


Cài đặt và cấu hình Windows Server 2012 R2
Để tạo đĩa IFM, bạn phải chạy chương trình Ntdsutil.exe trên domain controller đang chạy hệ điều
hành giống với hệ điều hành trên server sẽ được nâng cấp. Quá trình thực hiện sẽ yêu cầu chạy các
lệnh sau:
­ Ntdsutil: để chạy chương trình Ntdsutil.exe
­ Activate instance ntds: kết nối tới AD DS của domain controller.
­ Ifm: làm việc ở chế độ IFM.
­ Create Full|RODC : lưu cơ sở dữ liệu của AD DS hoặc AD DS chỉ đọc (RODC)
tới một thư mục cụ thể trên đĩa.
Khi chạy xong các lệnh trên, chương trình Ntdsutil.exe sẽ tạo bản sao cơ sở dữ liệu của AD DS và
Windows Registry, tất cả được lưu trong một thư mục. Xem hình minh họa.

Sau khi đã tạo đĩa IFM, bạn có thể chép nó sang các phương tiện lưu trữ bất kì để sử dụng khi thực
hiện cài đặt một domain controller ở xa. Để sử dụng đĩa IFM, bạn chạy Active Directory Domain
Services Configuration Wizard, khi tới bước có mục Install From Media thì đánh dấu chọn vào mục

này và chỉ đường dẫn tới nơi chứa đĩa IFM.

Nâng cấp AD DS
Việc chuyển một hạ tầng AD DS đang chạy trên các hệ điều hành phiên bản cũ lên Windows Server
2012 R2 có thể thực hiện dễ hơn so với các phiên bản trước đây.
Có hai cách để chuyển hạ tầng AD DS lên Windows Server 2012 R2. Cách một là nâng cấp chức năng
của domain controller lên mức Windows Server 2012 R2. Cách hai là thêm domain controller chạy
Windows Server 2012 R2 vào domain đó.
Việc chuyển hạ tầng AD DS lên Windows Server 2012 R2 chỉ thực hiện được khi AD DS đang chạy
trên Windows Server 2008 hoặc Windows Server 2008 R2. Các phiên bản cũ hơn không thể thực hiện
nâng cấp được.

13


Cài đặt và cấu hình Windows Server 2012 R2
Trước đây, nếu bạn muốn thêm domain controller chạy hệ điều hành mới hơn vào một domain chạy hệ
điều hành cũ, bạn phải chạy chương trình Adprep.exe để nâng cấp domain và forest. Tùy thuộc vào
công việc bạn đang thực hiện cài đặt, chương trình sẽ yêu cầu bạn phải chứng thực trên các domain
controller khác nhau, bằng các loại tài khoản quản trị khác nhau. Ngoài ra, bạn cũng phải chạy
Adprep.exe một vài lần với tham số /domainprep cho mỗi domain và tham số /forestprep cho mỗi
forest.
Đối với Windows Server 2012 R2, chương trình Adprep.exe đã được tích hợp sẵn trong Active
Directory Domain Services Configuration Wizard của Server Manager. Do vậy, khi bạn cài đặt domain
controller mới trên Windows Server 2012 R2, bạn chỉ việc cung cấp tài khoản quản trị hợp lệ, sau đó,
mọi công việc còn lại sẽ được thực hiện bởi wizard.

Triển khai Active Directory IaaS trên Windows Azure
Bạn đã quen thuộc với việc chạy Windows Server 2012 R2 trên máy tính thật và trên hạ tầng ảo hóa
(máy ảo). Tuy nhiên, bằng việc sử dụng dịch vụ Windows Azure của Microsoft, bạn có thể tạo các

máy ảo trên hạ tầng đám mây (cloud). Giải pháp này có tên gọi là Infrastructure as a Service (IaaS),
tạm dịch là hạ tầng dạng dịch vụ.
Windows Azure cho phép bạn tạo các máy ảo, mạng ảo trên hạ tầng đám mây. Trên các máy ảo này,
bạn có thể tạo AD DS forest. Bạn có thể kết nối hệ thống mạng ảo trên đám mây với hệ thống mạng
cục bộ. Việc cài đặt AD DS, nâng cấp lên domain controller trên Windows Azure cũng được thực hiện
tương tự như trong hệ thống mạng cục bộ. Tuy nhiên, vấn đề khó khăn cần phải thực hiện chính là việc
cấu hình thông mạng giữa mạng cục bộ và mạng trên hạ tầng đám mây.

Gỡ bỏ một domain controller
Bạn không thể sử dụng lệnh Dcpromo.exe để gỡ bỏ một domain controller (hay hạ cấp một máy
domain controller) như trước đây. Với Windows Server 2012 R2, bạn sẽ sử dụng Remove Roles And
Features Wizard. Các bước cụ thể như sau:
Mở Server Manager, vào trình đơn Manage, chọn mục Remove Roles And Features để chạy Remove
Roles And Features Wizard.
1. Bấm Next để mở trang Select Destination Server. Chọn server mà bạn dự định gỡ bỏ domain
controller. Bấm Next để mở trang Remove Server Roles.
2. Bỏ dấu chọn trong mục Active Directory Domain Services. Bấm Next để mở trang Remove
Features That Require Active Directory Domain Services? Bấm nút Remove Features để mở
trang Validation Results. Xem hình minh họa.

14


Cài đặt và cấu hình Windows Server 2012 R2

3. Bấm vào dòng chữ Demote This Domain Controller để chạy Active Directory Domain Services
Configuration Wizard, xuất hiện trang Credentials.
4. Đánh dấu chọn vào mục Force The Removal Of This Domain Controller, bấm Next để mở
trang New Administrator Password.
5. Nhập mật khẩu cho tài khoản Administrator cục bộ, đây là mật khẩu để đăng nhập vào server,

sau khi nó không còn là domain controller. Bấm Next để mở trang Review Options.
6. Bấm nút Demote. Hệ thống sẽ thực hiện gỡ bỏ domain controller và khởi động lại hệ thống.
7. Đăng nhập lại vào server với tài khoản Administrator cục bộ và mật khẩu đã đặt ở bước trước.
8. Chạy lại Remove Roles And Features Wizard, lặp lại việc gỡ bỏ role Active Directory Domain
Services. Thực hiện theo các chỉ dẫn cho tới khi hoàn thành.
9. Đóng Wizard và khởi động lại server.
Để gỡ bỏ domain controller bằng Windows PowerShell, sử dụng lệnh sau:
Uninstall-ADDSDomainController –ForceRemoval

Cấu hình global catalog
Global catalog là danh sách (index) của tất cả các đối tượng trong một forest. Nhờ danh sách này, việc
tìm kiếm các đối tượng trong forest sẽ hiệu quả hơn, hệ thống sẽ không phải tìm kiếm các đối tượng
trong các domain controller khác nhau.
Tầm quan trọng của global catalog phụ thuộc vào kích thước của hệ thống mạng và cách cấu hình của
mỗi site. Ví dụ, nếu hệ thống mạng chỉ có một domain, các domain controller đều nằm trong cùng một
site, băng thông mạng ổn định, thì global catalog chỉ được sử dụng trong việc tìm kiếm các group kiểu
universal. Trong trường hợp này, bạn có thể cấu hình tất cả các domain controller làm global catalog
server. Khi đó, việc tìm kiếm sẽ được chia tải giữa các server và việc đồng bộ cũng không gây ảnh
hưởng nhiều tới hệ thống mạng.

15


Cài đặt và cấu hình Windows Server 2012 R2
Tuy nhiên, nếu hệ thống mạng gồm nhiều domain, các domain controller được đặt ở nhiều site khác
nhau, các site được kết nối với nhau bằng đường WAN, thì việc cấu hình global catalog cần phải xem
xét cẩn thận. Việc người sử dụng phải thực hiện tìm kiếm các đối tượng của AD DS giữa các site với
đường WAN chậm chạp là điều không thể chấp nhận được. Để giải quyết vấn đề này, bạn sẽ cấu hình
mỗi site có một global catalog server. Tuy bạn phải trả giá cho việc đồng bộ dữ liệu giữa các global
catalog server, nhưng đổi lại quá trình sử dụng của người dùng sẽ rất hiệu quả.

Bạn có thể thiết lập một domain controller làm global catalog server ngay khi thực hiện nâng cấp lên
domain controller. Tuy nhiên, nếu không, bạn vẫn có thể thiết lập một domain controller làm global
catalog server theo các bước sau:
1. Mở Server Manager, mở trình đơn Tools, chọn Active Directory Sites And Services để mở cửa
sổ Active Directory Sites And Services.
2. Ở khung bên trái, xổ nút Sites, chọn site có chứa domain controller mà bạn muốn thiết lập nó
trở thành global catalog server, chọn nút Server, chọn domain controller.
3. Bấm chuột phải vào nút NTDS Settings, chọn Properties để mở cửa sổ NTDS Settings
Properties.
4. Đánh dấu chọn vào mục Global Catalog, bấm OK.
5. Đóng cửa sổ Active Directory Sites And Services.

Khắc phục lỗi không đăng kí được bản ghi DNS SRV
DNS là thành phần không thể thiếu trong hoạt động của Active Directory Domain Services. Để giúp
AD DS hoạt động, DNS sẽ tạo ra một bản ghi SRV cho domain controller vừa tạo, bản ghi này giúp
các client kết nối được tới domain controller và các dịch vụ AD DS khác.
Khi bạn tạo domain controller mới, một trong những việc quan trọng là đăng kí domain controller này
với hệ thống DNS. Vì quá trình này diễn ra tự động, nên AD DS forest phải truy cập được vào DNS
server, và DNS server phải cho phép cập nhật động (Dynamic Updates).
Nếu việc tạo ra bản ghi SRV bị thất bại, các máy tính trong mạng sẽ không thể tìm thấy domain
controller, điều này sẽ dẫn tới hàng loạt các trục trặc khác trong hệ thống mạng. Ví dụ: các máy client
sẽ không thể tìm thấy máy domain controller để gia nhập vào domain, các server thành viên trong
mạng không thể truy cập tới domain controller, và các domain controller còn lại không thể thực hiện
đồng bộ với nó.
Nguyên nhân của tình trạng không tạo được bản ghi SRV là do mạng không thông hoặc do cấu hình
phía DNS client bị lỗi.
Cách khắc phục là thực hiện ping tới DNS server để kiểm tra thông mạng, sau đó kiểm tra xem phần
cấu hình địa chỉ DNS server trong cạc mạng đã đúng chưa.
Để kiểm tra xem domain controller đã đăng kí thành công trên hệ thống DNS chưa, mở cửa sổ dòng
lệnh với quyền quản trị, nhập lệnh sau:

dcdiag /test:registerindns /dnsdomain:<domain name> /v
Xem hình minh họa.
16


Cài đặt và cấu hình Windows Server 2012 R2

Tóm tắt nội dung
Dịch vụ danh bạ (directory service) là một kho chứa các thông tin về phần cứng, phần mềm, và người
dùng có trong một hệ thống mạng. AD DS (Active Directory Domain Services) là dịch vụ danh bạ do
Microsoft phát triển. Phiên bản AD DS đầu tiên được Microsoft giới thiệu trong Windows 2000
Server. AD DS liên tục được nâng cấp. Hiện tại, AD DS cũng đang được tích hợp trong Windows
Server 2012 R2.
Để triển khai AD DS, bước đầu tiên phải làm là tạo forest, trong forest tạo domain đầu tiên, domain
này được gọi là forest root domain.
Khi bạn tạo domain đầu tiên cho một AD DS, cũng chính là bạn đang tạo gốc (root) cho một domain
tree. Sau đó, bạn có thể mở rộng domain tree của mình bằng cách thêm vào các domain mới, miễn là
tên của domain mới có quan hệ cha-con với domain đã tồn tại.
Với Windows Server 2012 R2 đang chạy ở chế độ server core, bạn có thể sử dụng Windows
PowerShell để cài đặt AD DS và nâng cấp server lên thành domain controller.
IFM là một giải pháp cho phép người quản trị thực hiện đồng bộ dữ liệu cho các domain controller ở
xa một cách hiệu quả.
Có hai cách để chuyển hạ tầng AD DS lên Windows Server 2012 R2. Cách một là nâng cấp chức năng
của domain controller lên mức Windows Server 2012 R2. Cách hai là thêm domain controller chạy
Windows Server 2012 R2 vào domain đó.
Global catalog là danh sách (index) của tất cả các đối tượng trong một forest. Nhờ danh sách này, việc
tìm kiếm các đối tượng trong forest sẽ hiệu quả hơn, hệ thống sẽ không phải tìm kiếm các đối tượng
trong các domain controller khác nhau.
DNS là thành phần không thể thiếu trong hoạt động của Active Directory Domain Services. Để giúp
AD DS hoạt động, DNS sẽ tạo ra một bản ghi SRV cho domain controller vừa tạo, bản ghi này giúp

các client kết nối được tới domain controller và các dịch vụ AD DS khác.

Câu hỏi ôn tập
1. Trong môi trường AD DS, đối tượng nào sau đây không thể chứa các domain?
A. OU
B. Site
C. Tree
D. Forest

17


Cài đặt và cấu hình Windows Server 2012 R2
2. Hai loại (lớp) đối tượng quan trọng trong AD DS là?
A. Tài nguyên (resource)
B. Đối tượng nút lá, không thể chứa các đối tượng khác (Leaf)
C. Domain
D. Thùng chứa (Container), dùng để chứa các đối tượng khác
3. Trong các phát biểu liên quan đến thuộc tính (attribute) của một đối tượng (object), phát biểu
nào sau đây không đúng?
A. Người quản trị phải cung cấp thông tin bằng tay cho một số thuộc tính.
B. Mỗi đối tượng thuộc kiểu thùng chứa (container) có một thuộc tính là danh sách các đối
tượng mà nó chứa.
C. Các đối tượng thuộc kiểu leaf không chứa thuộc tính.
D. AD DS sẽ tự động tạo GUID (globally unique identifier) cho mỗi đối tượng.
4. Khi thiết kế hạ tầng AD DS, để hạn chế việc tạo thêm domain, lý do nào sau đây không hợp lý?
A. Việc tạo thêm domain sẽ làm tăng thêm các công việc cài đặt.
B. Mỗi domain được thêm vào sẽ làm tăng chi phí phần cứng.
C. Một vài ứng dụng sẽ gặp trục trặc khi làm việc trong forest có nhiều domain.
D. Bạn phải trả tiền bản quyền cho Microsoft với mỗi domain được tạo ra.

5. Trong môi trường AD DS, dịch vụ nào sau đây được client sử dụng để tìm kiếm các đối tượng
trên domain khác?
A. DNS
B. Global Catalog
C. DHCP
D. Site Link

5.2 Tạo và quản lý người dùng, máy tính trong AD DS
Người dùng và máy tính là hai đối tượng thuộc kiểu nút lá (leaf) quan trọng trong AD DS. Việc tạo và
quản lý các đối tượng này là công việc thường ngày của người quản trị AD DS.
Các nội dung sẽ được đề cập trong phần này:

18


Cài đặt và cấu hình Windows Server 2012 R2
­ Tạo tài khoản người dùng.
­ Tạo tài khoản mẫu.
­ Tạo nhiều tài khoản người dùng.
­ Tạo tài khoản máy tính.
­ Quản lý các tài khoản trong AD DS.
­ Quản lý nhiều người dùng.
­ Kết nối máy tính vào domain.
­ Quản lý các tài khoản (người dùng/máy tính) không sử dụng.

Tạo tài khoản người dùng
Tài khoản người dùng là phương tiện quan trọng, được sử dụng để truy cập tới các tài nguyên trên hệ
thống mạng. Mỗi cá nhân sẽ sử dụng tài khoản của riêng mình để truy cập tài nguyên. Trước khi có thể
truy cập tới các tài nguyên, người dùng phải vượt qua được quá trình chứng thực (authenticate) của hệ
thống.

Chứng thực là quá trình xác minh tính chính danh của người dùng. Người dùng có thể chứng thực bằng
mật khẩu, thẻ thông minh, vân tay.
Để chứng thực, người dùng sẽ nhập tên cùng với mật khẩu, hệ thống sẽ so sánh với tên và mật khẩu
tương ứng đã được lưu trong cở sở dữ liệu của AD DS, nếu hai cái khớp nhau, quá trình chứng thực
thành công.
Đừng nhầm lẫn giữa quá trình chứng thực (authentication) và quá trình cấp quyền sử dụng
(authorization). Cấp quyền sử dụng là quá trình cho phép người dùng sử dụng tài nguyên mạng ở các
mức độ khác nhau.
Ngoài tên đăng nhập và mật khẩu, mỗi tài khoản người dùng còn có các thông tin khác đi kèm, như:
địa chỉ, số điện thoại, định danh, tên đầy đủ…v.v. Tất cả được chứa trong một đối tượng có tên là đối
tượng người dùng (user object). Vì vậy, trong một số trường hợp việc dùng hai tên gọi này có thể xem
như là một.
Windows Server 2012 R2 có hai loại tài khoản người dùng:
­ Tài khoản người dùng cục bộ (local user): các tài khoản này chỉ được phép truy cập tài nguyên
trên máy cục bộ, thông tin về tài khoản được lưu trong cơ sở dữ liệu cục bộ, cụ thể là trong
Security Account Manager (SAM). Thông tin về tài khoản cục bộ không được đồng bộ tới các
máy tính khác, do vậy, nó không được nhận ra ở các máy tính khác trong domain.
­ Tài khoản người dùng mức miền (domain user): các tài khoản này được phép truy cập tài
nguyên trong hệ thống AD DS. Thông tin về tài khoản được lưu trong cơ sở dữ liệu của AD DS
và được đồng bộ tới tất cả các domain controller trong cùng domain. Ngoài ra, một số thông tin

19


Cài đặt và cấu hình Windows Server 2012 R2
của tài khoản cũng được lưu trữ tại global catalog và được đồng bộ với các global catalog
server trong forest.

Các công cụ để tạo tài khoản người dùng
Tạo tài khoản người dùng trong AD DS là một trong những công việc quen thuộc của người quản trị.

Windows Server 2012 R2 cung cấp một số công cụ để tạo tài khoản người dùng. Tùy từng tình huống
cụ thể, người quản trị sẽ lựa chọn công cụ cho phù hợp.
Khi chỉ tạo một tài khoản người dùng, người quản trị có thể sử dụng Active Directory Administrative
Center hoặc Active Directory Users And Computers. Tuy nhiên, trong trường hợp cần tạo nhiều tài
khoản, phải tạo gấp hoặc đã có sẵn các thông tin về tài khoản trong một cơ sở dữ liệu, thì có thể sử
dụng các công cụ khác hiệu quả hơn. Sau đây là một số công cụ:
­ Dsadd.exe: công cụ dòng lệnh, cho phép tạo nhiều tài khoản và các đối tượng kiểu nút lá khác.
­ Windows PowerShell: tạo các đối tượng dựa trên kịch bản.
­ CSVDE.exe: (Comma-Separated Value Directory Exchange), cho phép tạo các đối tượng từ
các thông tin chứa trong tập tin dạng csv (comma-separated value).
­ LDIFDE.exe: (LDAP Data Interchange Format Directory Exchange), hoạt động giống CSVDE
nhưng có nhiều chức năng hơn, có thể sử dụng LDIFDE để thêm, xóa hoặc thay đổi các đối
tượng, có thể thay đổi thông tin của schema.
Phần tiếp theo sẽ trình bày một số tình huống cụ thể trong việc tạo tài khoản người dùng.
Tạo một tài khoản người dùng bằng giao diện cửa sổ
Active Directory Administrative Center (ADAC) được giới thiệu lần đầu trong Windows Server 2008
R2, nó tiếp tục được cải tiến trong Windows Server 2012 R2. Để tạo một tài khoản người dùng bằng
ADAC, bạn thực hiện theo các bước sau:
1. Mở Server Manager, chọn trình đơn Tools, chọn mục Active Directory Administrative Center
để chạy chương trình.
2. Ở khung bên trái, chọn vị trí bạn muốn tạo tài khoản người dùng (domain, container). Ví dụ:
dalat\Domain Controllers.
3. Tại vùng Task, chọn New\User để mở cửa sổ Create User. Xem hình minh họa.

20


Cài đặt và cấu hình Windows Server 2012 R2

4. Nhập tên đầy đủ của người dùng vào mục Full Name, nhập tên đăng nhập vào mục

SamAccountName Logon.
5. Đặt mật khẩu cho tài khoản người dùng trong mục Password và Confirm password.
6. Nhập các thông tin khác cho tài khoản người dùng nếu bạn muốn.
7. Bấm OK, tài khoản người dùng sẽ được tạo trong thùng chứa (container).
8. Đóng cửa sổ Active Directory Administrative Center.
Ngoài ra, bạn có thể tạo tài khoản người dùng bằng Active Directory Users And Computers. Mở
Server Manager, chọn trình đơn Tools, chọn mục Active Directory Users And Computers, bấm chuột
phải vào nơi cần tạo tài khoản ở khung bên trái, chọn New\User, điền các thông tin tương tự như cách
trên. Xem hình minh họa.

Tạo tài khoản người dùng bằng DSADD.EXE
Dsadd.exe là công cụ dòng lệnh, được sử dụng để tạo tài khoản người dùng. Cú pháp của dsadd được
minh họa trong hình sau.

21


Cài đặt và cấu hình Windows Server 2012 R2

Để tạo tài khoản người dùng bằng dsadd.exe bạn phải cung cấp các thông tin sau:
­ DN (distinguished name): thông tin nhận diện người dùng, DN là duy nhất cho mỗi người
dùng. DN gồm: tên đầy đủ (cn: common name); ou (Organization Unit) và dc (Domain
Controller) chứa tài khoản sẽ tạo. Ví dụ, để tạo tài khoản cho Nguyen Van A trong OU
ChiNhanh1, thuộc domain dalat.com, DN sẽ có dạng: cn=Nguyen Van A, ou=ChiNhanh1,
dc=dalat, dc=com.
­ Login ID hay SAMid: tên đăng nhập của tài khoản, tên này là duy nhất trong toàn domain. Ví
dụ: , thì tên đăng nhập chính là avn, thuộc domain dalat.com.
Lệnh để tạo một tài khoản người dùng ở dạng đơn giản nhất là:
Dsadd user <DN> -samid <SAMid>
Ví dụ:

Dsadd user cn=“Nguyen Van A, ou=ChiNhanh1, dc=dalat, dc=com” –samid anv
Nếu muốn, bạn cũng có thể thêm các tham số khác trong quá trình tạo tài khoản.

Tạo tài khoản người dùng bằng Windows PowerShell
Trong Windows PowerShell, sử dụng lệnh New-ADUser để tạo và thực hiện các cấu hình khác liên
quan đến tài khoản người dùng. Lệnh New-ADUser có rất nhiều tham số, như hình minh họa sau.

22


Cài đặt và cấu hình Windows Server 2012 R2
Ví dụ để tạo tài khoản người dùng cho Nguyen Van C, trong OU ChiNhanh2, bạn nhập lệnh NewADUser với các tham số sau:
New-ADUser –Name “Nguyen Van C” –SamAccountName “cnv” –path ‘OU=ChiNhanh2, dc=dalat,
dc=com’
Ở lệnh trên, Name: tên đầy đủ; SamAccountName: tên đăng nhập, path: nơi tạo tài khoản người dùng.

Tạo tài khoản mẫu (template)
Trong một số trường hợp, việc thường xuyên phải tạo tài khoản người dùng với rất nhiều các thuộc
tính sẽ làm bạn mất nhiều thời gian.
Để khắc phục tình trạng này, bạn có thể sử dụng lệnh New-ADUser hoặc chương trình Dsadd.exe với
các thiết lập sẵn có trong kịch bản hoặc trong tập tin. Tuy nhiên, nếu bạn thích sử dụng giao diện đồ
họa, thì bạn vẫn có thể tiết kiệm thời gian trong việc tạo một tài khoản người dùng mới, bằng cách tạo
tài khoản mẫu (user template).
Tài khoản mẫu là một tài khoản người dùng, đã được thiết lập đầy đủ các thuộc tính, được sử dụng để
nhân bản thành các tài khoản mới.
Sau đây là các bước để tạo một tải khoản mẫu bằng Active Directory Users And Computers:
1. Mở Server Manager, vào trình đơn Tools, chọn Active Directory Users And Computers để mở
cửa sổ Active Directory Users And Computers.
2. Tạo tài khoản người dùng đặt tên là UserTemplate, bỏ dấu chọn ở mục User Must Change
Password At Next Logon. Đánh dấu chọn vào mục Account Is Disabled.

3. Bấm chuột phải vào UserTemplate vừa tạo, chọn Properties, điền các thông tin mà mọi tài
khoản người dùng được tạo sau này đều phải có.
Sau khi đã tạo tài khoản mẫu, nếu có nhu cầu tạo tài khoản mới, bạn chỉ việc bấm chuột phải vào
UserTemplate, chọn Copy để mở cửa sổ Copy Object-User. Xem hình minh họa.

Nhập các thông tin cho tài khoản mới, bấm Next, bỏ dấu chọn tại mục Account Is Disabled, bấm OK.
Hệ thống sẽ tạo ra tài khoản mới, với các thông tin đã được cấu hình sẵn cho UserTemplate trước đó.
23


Cài đặt và cấu hình Windows Server 2012 R2

Tạo nhiều tài khoản người dùng
Đôi khi, người quản trị phải tạo hàng trăm hoặc hàng ngàn tài khoản người dùng. Trong trường hợp
này, nếu tạo từng tài khoản sẽ rất vất vả, tốn thời gian. Phần này sẽ giới thiệu một số phương pháp để
tạo một lúc nhiều tài khoản.
Sử dụng CSVDE.EXE
Bạn có thể sử dụng một số ứng dụng như Microsoft Excel để tạo danh sách người dùng cùng với các
thông tin của họ. Sau đó, lưu nội dung trong tập tin Excel thành định dạng CSV.
Tập tin CSV (comma-separated values) là một cơ sở dữ liệu (hay một bảng dữ liệu) dưới dạng một tập
tin văn bản. Trong đó, mỗi mẩu tin được lưu thành một hàng, mỗi trường dữ liệu trong một hàng ngăn
cách nhau bởi dấu phẩy.
CSVDE.exe là một tiện ích giúp đưa dữ liệu từ một tập tin vào hệ thống AD DS và kết xuất dữ liệu của
hệ thống AD DS ra một tập tin.
Trong tập tin CSV, mẩu tin đầu tiên chính là tiêu đề của mỗi trường dữ liệu, để đưa dữ liệu vào hệ
thống AD DS, thì tiêu đề mỗi trường phải khớp với các thuộc tính của đối tượng trong AD DS schema.
Sau đây là một số thuộc tính của đối tượng trong AD DS schema:
­ dn: thông tin nhận diện đối tượng, gồm tên đầy đủ và vị trí của đối tượng trong AD DS.
­ samAccountName: tên đăng nhập.
­ objectClass: loại đối tượng sẽ tạo, ví dụ: user, group, OU.

­ telephoneNumber: số điện thoại.
­ userPrincipalName: dạng tên miền của đối tượng. Ví dụ:
Sau đây là các bước sử dụng CSVDE.exe để tạo tài khoản người dùng:
1. Mở phần mềm Microsoft Excel, tạo một bảng tính với tiêu đề gồm các nội dung: dn,
samAccountName, userPrincipalName, telephoneNumber, objectClass.
2. Nhập thông tin của người dùng tương ứng với các tiêu đề trên. (Lưu ý, trong Excel, nhập
'cn=Nguyen Van A,ou=ChiNhanh2,dc=dalat,dc=com thì khi xuất ra CSV sẽ được là
“cn=Nguyen Van A,ou=ChiNhanh2,dc=dalat,dc=com”). Xem hình minh họa.

3. Lưu tập tin vào ổ đĩa c:\, dưới dạng .csv. Ví dụ user.csv.
4. Mở chương trình dòng lệnh (vào Run, gõ cmd), nhập vào lệnh sau:

24


Cài đặt và cấu hình Windows Server 2012 R2
csvde.exe –i –f c:\user.csv
Trong đó, i là viết tắt của import (chuyển nội dung từ tập tin csv vào AD DS schema), f là viết
tắt của file (tập tin csv).
Xem hình minh họa.

Sử dụng LDIFDE.EXE
LDIFDE.exe là chương trình có chức năng tương tự như CSVDE.exe, ngoài ra LDIFDE còn cho phép
thay đổi nội dung các bản ghi của AD DS. Ví dụ, để tạo 200 người dùng mới, bạn có thể sử dụng
CSVDE.exe hoặc LDIFDE.exe. Tuy nhiên, để thay đổi thông tin hoặc xóa các người dùng thì bạn phải
sử dụng LDIFDE.exe.
Để tạo tập tin dữ liệu đầu vào cho LDIFDE, bạn có thể sử dụng một trình soạn thảo văn bản bất kì,
miễn là tuân theo định dạng chuẩn của LDIF, lưu tập tin với đuôi là .ldf, LDIF là viết tắt của LDAP
Data Interchange Format. Dữ liệu để tạo một tài khoản người dùng có dạng như sau.
dn: cn=Nguyen Van A, ou=ChiNhanh2,dc=dalat,dc=com //tài liệu gốc ghi là dn: “cn=Nguyen Van A,

ou=ChiNhanh2,dc=dalat,dc=com” chạy sẽ bị lỗi
changetype: add
ObjectClass: user
SAMAccountName: anv
UserPrincipalName:
telephoneNumber: 123456789
LDIFDE hỗ trợ ba chức năng:
­ Add: tạo đối tượng.
­ Modify: thay đổi thuộc tính đối tượng.
­ Delete: xóa đối tượng
Để chạy LDIFDE.exe, nhập lệnh sau:
ldifde -i –f Giả sử tập tin dữ liệu có tên là user.ldf trong ổ đĩa C.

25