Bài 5:
Triển khai AD –
Quản trị tài khoản máy tính
Bài 5:
Triển khai AD –
Quản trị tài khoản máy tính
Nội dung bài học trước
Phân loại các loại nhóm trong AD
Quản trị nhóm
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
2
Mục tiêu bài học
Kết nối máy trạm vào Domain
Quản trị tài khoản máy tính
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
3
Điều kiện để kết nối vào Domain
Bạn phải có quyền trong Active Directory Domain
Services cho phép bạn kết nối 1 máy trạm vào Domain
Bạn phải là 1 thành viên của nhóm Quản trị trong máy
trạm đó để được phép thay đổi domain của máy trạm
hay thành viên Workgroup
Một đối tượng máy tính phải tồn tại trong Domain
Nếu chưa tồn tại thì phải bạn phải có quyền tạo tài khoản máy tính
trong domain
Bạn phải có quyền trong Active Directory Domain
Services cho phép bạn kết nối 1 máy trạm vào Domain
Bạn phải là 1 thành viên của nhóm Quản trị trong máy
trạm đó để được phép thay đổi domain của máy trạm
hay thành viên Workgroup
Một đối tượng máy tính phải tồn tại trong Domain

Nếu chưa tồn tại thì phải bạn phải có quyền tạo tài khoản máy tính
trong domain
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
4
Các bước kết nối máy trạm
vào domain
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
5
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
6
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
7
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
8
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
9
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
10
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
11
Tài khoản máy tính
Định nghĩa tài khoản máy tính
Cần có để chứng thực và kiểm kê
Một tài khoản máy tính là một đối tượng
mà dịch vụ AD DS xác nhận là 1 máy tính
trong Cơ sở dữ liệu
Một tài khoản máy tính là một đối tượng
mà dịch vụ AD DS xác nhận là 1 máy tính
trong Cơ sở dữ liệu
Cần có để chứng thực và kiểm kê

Cho phép quản lý máy tính thông qua Chính sách nhóm
Cần tạo sẵn cho mọi máy tính chạy HĐH Windows NT
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
12
Các lựa chọn để tạo tài khoản máy tính
Kịch bản Tiến hành
Thêm từng máy tính vào
domain
• Thêm tài khoản máy tính vào Domain
thông qua hộp thoại System Properties
• Tài khoản sẽ được tự tạo trong mục
Computer của AD
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
13
Tạo đồng thời nhiều tài khoản
máy tính thêm vào domain
trong trường hợp cài đặt tự
động hoặc triển khai cài đặt
phần mềm hàng loạt
1. Tạo OU cho mỗi phòng ban
2. Tạo trước các tài khoản máy tính
3. Thêm các máy tính vào domain
Quản lý tài khoản máy tính
Quản lý tài khoản máy tính bao gồm:
Thêm tài khoản máy tính vào domain

Ẩn tài khoản máy tính

Thiết lập lại tài khoản máy tính
Xóa tài khoản máy tính



Cấu hình Chính sách nhóm để triển khai cho tài khoản

Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
14
Nhận biết các lỗi của tài khoản máy tính
Thông báo khi đăng nhập
Các lỗi ghi trong Event, bao gồm các từ khóa như
Password
Trust
Secure channel
Quan hệ với domain hoặc DC
Không có tài khoản máy trong Active Directory
Thông báo khi đăng nhập
Các lỗi ghi trong Event, bao gồm các từ khóa như
Password
Trust
Secure channel
Quan hệ với domain hoặc DC
Không có tài khoản máy trong Active Directory
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
15
Reset 1 tài khoản máy tính
Đừng chỉ đơn giản là gỡ bỏ rồi thực hiện kết nối lại
Các lựa chọn để reset một cách an toàn
Từ Active Directory Users and Computers
Chuột phải vào máy tính muốn reset, sau đó chọn Reset Account
Máy tính sẽ phải kết nối lại vào domain và khởi động lại
Lệnh DSMod*

dsmod computer "ComputerDN" –reset
Lệnh NetDom
netdom reset MachineName /domain DomainName /UserO UserName
/PasswordO {Password | *}
Lệnh NLTest
nltest /server:ServerName /sc_reset:DOMAIN\DomainController
Đừng chỉ đơn giản là gỡ bỏ rồi thực hiện kết nối lại
Các lựa chọn để reset một cách an toàn
Từ Active Directory Users and Computers
Chuột phải vào máy tính muốn reset, sau đó chọn Reset Account
Máy tính sẽ phải kết nối lại vào domain và khởi động lại
Lệnh DSMod*
dsmod computer "ComputerDN" –reset
Lệnh NetDom
netdom reset MachineName /domain DomainName /UserO UserName
/PasswordO {Password | *}
Lệnh NLTest
nltest /server:ServerName /sc_reset:DOMAIN\DomainController
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
16
Đổi tên 1 máy tính
Sử dụng System Properties của máy tính để đổi tên và tài
khoản của máy
Dùng lệnh NetDom
netdom renamecomputer MachineName /NewName:NewName
[/UserO:LocalUsername] [/PasswordO:{LocalPassword|*} ]
[/UserD:DomainUsername] [/PasswordD:{DomainPassword|*} ]
[/SecurePasswordPrompt] [/REBoot[:TimeInSeconds] ]
Sử dụng System Properties của máy tính để đổi tên và tài
khoản của máy

Dùng lệnh NetDom
netdom renamecomputer MachineName /NewName:NewName
[/UserO:LocalUsername] [/PasswordO:{LocalPassword|*} ]
[/UserD:DomainUsername] [/PasswordD:{DomainPassword|*} ]
[/SecurePasswordPrompt] [/REBoot[:TimeInSeconds] ]
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
17
Ẩn và kích hoạt 1 máy tính
Bạn nên ẩn 1 máy tính nếu máy tính đó sẽ không hoạt
động trong 1 thời gian dài
Tăng tính an toàn
Cách 1: Từ Active Directory Users and Computers
Right-click computer, and then click Enable Account
or Disable Account
Cách 2: dùng lệnh DSMod
dsmod computer ComputerDN -disabled yes
dsmod computer ComputerDN -disabled no
Bạn nên ẩn 1 máy tính nếu máy tính đó sẽ không hoạt
động trong 1 thời gian dài
Tăng tính an toàn
Cách 1: Từ Active Directory Users and Computers
Right-click computer, and then click Enable Account
or Disable Account
Cách 2: dùng lệnh DSMod
dsmod computer ComputerDN -disabled yes
dsmod computer ComputerDN -disabled no
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
18
Xóa và tái sử dụng 1 tài khoản máy tính
Xóa 1 máy tính từ Active Directory Users and Computers

Chuột phải vào máy tính cần xóa rồi chọn Delete
Xóa 1 máy tính dùng lệnh DSRm
dsrm ObjectDN
Delete hủy SID và các thành viên nhóm
Khi thay thế hay cài đặt lại máy tính, nếu máy tính đóng cùng vai trò,
hãy reset lại tài khoản máy tính thay vì xóa nó.
Giữ lại tất cả các thuộc tính của máy tính, gồm cả SID và các thành
viên nhóm
Bạn có thể đổi tên đối tượng nếu máy tính được đổi tên trong quá trình
cài lại/nâng cấp
Hoạt động này sẽ tái sinh tài khoản máy tính
Xóa 1 máy tính từ Active Directory Users and Computers
Chuột phải vào máy tính cần xóa rồi chọn Delete
Xóa 1 máy tính dùng lệnh DSRm
dsrm ObjectDN
Delete hủy SID và các thành viên nhóm
Khi thay thế hay cài đặt lại máy tính, nếu máy tính đóng cùng vai trò,
hãy reset lại tài khoản máy tính thay vì xóa nó.
Giữ lại tất cả các thuộc tính của máy tính, gồm cả SID và các thành
viên nhóm
Bạn có thể đổi tên đối tượng nếu máy tính được đổi tên trong quá trình
cài lại/nâng cấp
Hoạt động này sẽ tái sinh tài khoản máy tính
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
19
Tổng kết bài học
Kết nối 1 máy trạm vào môi trường Domain
Tài khoản máy trạm và quản trị tài khoản máy trạm
Bài 5 - Triển khai AD – Quản trị tài khoản máy tính
20