Bài 5:Triển khai AD –

Quản trị tài khoản máy tính

Bài 5:Triển khai AD –

Quản trị tài khoản máy tính

Nội dung bài học trước

Phân loại các loại nhóm trong ADQuản trị nhóm

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 2

Mục tiêu bài học

Kết nối máy trạm vào DomainQuản trị tài khoản máy tính

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 3

Điều kiện để kết nối vào Domain

Bạn phải có quyền trong Active Directory DomainServices cho phép bạn kết nối 1 máy trạm vào DomainBạn phải là 1 thành viên của nhóm Quản trị trong máytrạm đó để được phép thay đổi domain của máy trạmhay thành viên WorkgroupMột đối tượng máy tính phải tồn tại trong Domain

Nếu chưa tồn tại thì phải bạn phải có quyền tạo tài khoản máy tínhtrong domain

Bạn phải có quyền trong Active Directory DomainServices cho phép bạn kết nối 1 máy trạm vào DomainBạn phải là 1 thành viên của nhóm Quản trị trong máytrạm đó để được phép thay đổi domain của máy trạmhay thành viên WorkgroupMột đối tượng máy tính phải tồn tại trong Domain

Nếu chưa tồn tại thì phải bạn phải có quyền tạo tài khoản máy tínhtrong domain

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 4

Các bước kết nối máy trạmvào domain

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 5

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 6

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 7

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 8

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 9

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 10

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 11

Tài khoản máy tính

Định nghĩa tài khoản máy tính

Cần có để chứng thực và kiểm kê

Một tài khoản máy tính là một đối tượngmà dịch vụ AD DS xác nhận là 1 máy tínhtrong Cơ sở dữ liệu

Một tài khoản máy tính là một đối tượngmà dịch vụ AD DS xác nhận là 1 máy tínhtrong Cơ sở dữ liệu

Cần có để chứng thực và kiểm kê

Cho phép quản lý máy tính thông qua Chính sách nhóm

Cần tạo sẵn cho mọi máy tính chạy HĐH Windows NT

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 12

Các lựa chọn để tạo tài khoản máy tính

Kịch bản Tiến hành

Thêm từng máy tính vàodomain

• Thêm tài khoản máy tính vào Domainthông qua hộp thoại System Properties

• Tài khoản sẽ được tự tạo trong mụcComputer của AD

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 13

Tạo đồng thời nhiều tài khoảnmáy tính thêm vào domaintrong trường hợp cài đặt tựđộng hoặc triển khai cài đặtphần mềm hàng loạt

1. Tạo OU cho mỗi phòng ban

2. Tạo trước các tài khoản máy tính

3. Thêm các máy tính vào domain

Quản lý tài khoản máy tính

Quản lý tài khoản máy tính bao gồm:

Thêm tài khoản máy tính vào domain

Ẩn tài khoản máy tính

Thiết lập lại tài khoản máy tính

Xóa tài khoản máy tính

Cấu hình Chính sách nhóm để triển khai cho tài khoản

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 14

Nhận biết các lỗi của tài khoản máy tính

Thông báo khi đăng nhập

Các lỗi ghi trong Event, bao gồm các từ khóa nhưPasswordTrustSecure channelQuan hệ với domain hoặc DC

Không có tài khoản máy trong Active Directory

Thông báo khi đăng nhập

Các lỗi ghi trong Event, bao gồm các từ khóa nhưPasswordTrustSecure channelQuan hệ với domain hoặc DC

Không có tài khoản máy trong Active Directory

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 15

Reset 1 tài khoản máy tính

Đừng chỉ đơn giản là gỡ bỏ rồi thực hiện kết nối lạiCác lựa chọn để reset một cách an toàn

Từ Active Directory Users and ComputersChuột phải vào máy tính muốn reset, sau đó chọn Reset AccountMáy tính sẽ phải kết nối lại vào domain và khởi động lại

Lệnh DSMod*dsmod computer "ComputerDN" –reset

Lệnh NetDomnetdom reset MachineName /domain DomainName /UserO UserName/PasswordO {Password | *}

Lệnh NLTestnltest /server:ServerName /sc_reset:DOMAIN\DomainController

Đừng chỉ đơn giản là gỡ bỏ rồi thực hiện kết nối lạiCác lựa chọn để reset một cách an toàn

Từ Active Directory Users and ComputersChuột phải vào máy tính muốn reset, sau đó chọn Reset AccountMáy tính sẽ phải kết nối lại vào domain và khởi động lại

Lệnh DSMod*dsmod computer "ComputerDN" –reset

Lệnh NetDomnetdom reset MachineName /domain DomainName /UserO UserName/PasswordO {Password | *}

Lệnh NLTestnltest /server:ServerName /sc_reset:DOMAIN\DomainController

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 16

Đổi tên 1 máy tính

Sử dụng System Properties của máy tính để đổi tên và tàikhoản của máy

Dùng lệnh NetDomnetdom renamecomputer MachineName /NewName:NewName[/UserO:LocalUsername] [/PasswordO:{LocalPassword|*} ][/UserD:DomainUsername] [/PasswordD:{DomainPassword|*} ][/SecurePasswordPrompt] [/REBoot[:TimeInSeconds] ]

Sử dụng System Properties của máy tính để đổi tên và tàikhoản của máy

Dùng lệnh NetDomnetdom renamecomputer MachineName /NewName:NewName[/UserO:LocalUsername] [/PasswordO:{LocalPassword|*} ][/UserD:DomainUsername] [/PasswordD:{DomainPassword|*} ][/SecurePasswordPrompt] [/REBoot[:TimeInSeconds] ]

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 17

Ẩn và kích hoạt 1 máy tính

Bạn nên ẩn 1 máy tính nếu máy tính đó sẽ không hoạtđộng trong 1 thời gian dài

Tăng tính an toàn

Cách 1: Từ Active Directory Users and ComputersRight-click computer, and then click Enable Accountor Disable Account

Cách 2: dùng lệnh DSModdsmod computer ComputerDN -disabled yesdsmod computer ComputerDN -disabled no

Bạn nên ẩn 1 máy tính nếu máy tính đó sẽ không hoạtđộng trong 1 thời gian dài

Tăng tính an toàn

Cách 1: Từ Active Directory Users and ComputersRight-click computer, and then click Enable Accountor Disable Account

Cách 2: dùng lệnh DSModdsmod computer ComputerDN -disabled yesdsmod computer ComputerDN -disabled no

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 18

Xóa và tái sử dụng 1 tài khoản máy tính

Xóa 1 máy tính từ Active Directory Users and ComputersChuột phải vào máy tính cần xóa rồi chọn Delete

Xóa 1 máy tính dùng lệnh DSRmdsrm ObjectDN

Delete hủy SID và các thành viên nhómKhi thay thế hay cài đặt lại máy tính, nếu máy tính đóng cùng vai trò,hãy reset lại tài khoản máy tính thay vì xóa nó.Giữ lại tất cả các thuộc tính của máy tính, gồm cả SID và các thànhviên nhómBạn có thể đổi tên đối tượng nếu máy tính được đổi tên trong quá trìnhcài lại/nâng cấpHoạt động này sẽ tái sinh tài khoản máy tính

Xóa 1 máy tính từ Active Directory Users and ComputersChuột phải vào máy tính cần xóa rồi chọn Delete

Xóa 1 máy tính dùng lệnh DSRmdsrm ObjectDN

Delete hủy SID và các thành viên nhómKhi thay thế hay cài đặt lại máy tính, nếu máy tính đóng cùng vai trò,hãy reset lại tài khoản máy tính thay vì xóa nó.Giữ lại tất cả các thuộc tính của máy tính, gồm cả SID và các thànhviên nhómBạn có thể đổi tên đối tượng nếu máy tính được đổi tên trong quá trìnhcài lại/nâng cấpHoạt động này sẽ tái sinh tài khoản máy tính

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 19

Tổng kết bài học

Kết nối 1 máy trạm vào môi trường DomainTài khoản máy trạm và quản trị tài khoản máy trạm

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính 20