Bài 4:
Triển khai Active Directory: Quản trị nhóm
Nội dung bài học trước
Các khái niệm trong AD
Các bước cài đặt 1 AD
Quản trị tài khoản người dùng
Bài 4 - Triển khai Active Directory: Quản trị nhóm
2
Mục tiêu bài học
Các khái niệm về Nhóm
Quản trị nhóm
Bài 4 - Triển khai Active Directory: Quản trị nhóm
3
Giới thiệu về Nhóm
Có hai kiểu nhóm:
Security Group:
Dùng để gán quyền
Cũng có thể dùng để gửi email với Exchange Server
Nhóm là 1 tập hợp logic các đối tượng:
• Người dùng
• Máy tính
• Nhóm khác
Nhóm là 1 tập hợp logic các đối tượng:
• Người dùng
• Máy tính
• Nhóm khác
Bài 4 - Triển khai Active Directory: Quản trị nhóm
4
Distribution Group:
Không thể gán quyền
Sử dụng để gửi email theo nhóm

Security Group:
Dùng để gán quyền
Cũng có thể dùng để gửi email với Exchange Server
Phạm vi nhóm
Dựa vào phạm vi, nhóm được chia thành:
Nhóm toàn cục (Global)
Nhóm phổ quát (Universal)
Nhóm cục bộ miền
Nhóm cục bộ
Bài 4 - Triển khai Active Directory: Quản trị nhóm
5
Nhóm toàn cục
Định nghĩa:
• Dùng để cấp phát những quyền hệ thống và quyền truy cập vượtqua những
ranh giới của một miền.
Định nghĩa:
• Dùng để cấp phát những quyền hệ thống và quyền truy cập vượtqua những
ranh giới của một miền.
Quyền:
• Một nhóm global có thể đặt vàotrong một nhóm local của các server thành viên
trong miền
Quyền:
• Một nhóm global có thể đặt vàotrong một nhóm local của các server thành viên
trong miền
Quyền:
• Một nhóm global có thể đặt vàotrong một nhóm local của các server thành viên
trong miền
Quyền:
• Một nhóm global có thể đặt vàotrong một nhóm local của các server thành viên
trong miền

Cách dùng:
• Áp dụng cho các đối tượng người dùng và máy tính đảm nhận nhiệm vụ bảo trì hệ
thống
• Nhóm người dùng có những yêu cầu truy cập mạng tương tự
Cách dùng:
• Áp dụng cho các đối tượng người dùng và máy tính đảm nhận nhiệm vụ bảo trì hệ
thống
• Nhóm người dùng có những yêu cầu truy cập mạng tương tự
Bài 4 - Triển khai Active Directory: Quản trị nhóm
6
Nhóm phổ quát
Thành viên:
• Nhóm toàn cục của bất cứ domain nào trong rừng
• Tài khoản người dùng và máy tính của bất cứ domain nào trong rừng
• Nhóm toàn cục từ bất cứ domain nào trong rừng
Thành viên:
• Nhóm toàn cục của bất cứ domain nào trong rừng
• Tài khoản người dùng và máy tính của bất cứ domain nào trong rừng
• Nhóm toàn cục từ bất cứ domain nào trong rừng
Quyền:
 Có thể gán quyền trong bất cứ domain nào trong rừng hoặc trong các domain có quan
hệ tin cậy với nhau
Quyền:
 Có thể gán quyền trong bất cứ domain nào trong rừng hoặc trong các domain có quan
hệ tin cậy với nhau
Quyền:
 Có thể gán quyền trong bất cứ domain nào trong rừng hoặc trong các domain có quan
hệ tin cậy với nhau
Quyền:
 Có thể gán quyền trong bất cứ domain nào trong rừng hoặc trong các domain có quan

hệ tin cậy với nhau
Cách dùng:
• Sử dụng để lồng các nhóm vào nhau trong domain
Cách dùng:
• Sử dụng để lồng các nhóm vào nhau trong domain
Bài 4 - Triển khai Active Directory: Quản trị nhóm
7
Nhóm cục bộ miền
Thành viên:
• Tài khoản từ bất cứ domain nào trong rừng
• Nhóm toàn cục từ bất cứ domain nào trong rừng
• Nhóm phổ quát từ bất cứ domai nào trong rừng
Thành viên:
• Tài khoản từ bất cứ domain nào trong rừng
• Nhóm toàn cục từ bất cứ domain nào trong rừng
• Nhóm phổ quát từ bất cứ domai nào trong rừng
Thành viên:
• Tài khoản từ bất cứ domain nào trong rừng
• Nhóm toàn cục từ bất cứ domain nào trong rừng
• Nhóm phổ quát từ bất cứ domai nào trong rừng
Quyền:
 Gán quyền chỉ trong cùng domain với nhóm cục bộ
Quyền:
 Gán quyền chỉ trong cùng domain với nhóm cục bộ
Cách dùng:
• Xác định và quản lý truy cập tài nguyên trên domain
Cách dùng:
• Xác định và quản lý truy cập tài nguyên trên domain
Bài 4 - Triển khai Active Directory: Quản trị nhóm
8

Nhóm cục bộ
Thành viên:
• Người dùng cục bộ
• Người dùng domain
• Nhóm domain
Thành viên:
• Người dùng cục bộ
• Người dùng domain
• Nhóm domain
Quyền:
 Nhóm cục bộ chỉ gán quyền trên máy tính cục bộ
Quyền:
 Nhóm cục bộ chỉ gán quyền trên máy tính cục bộ
Không thể tạo nhóm cục bộ trên Domain ControllerKhông thể tạo nhóm cục bộ trên Domain Controller
Bài 4 - Triển khai Active Directory: Quản trị nhóm
9
Nhóm lồng
Ưu điểm của việc sử dụng chiến lược
lồng nhóm trong việc quản trị các
nhóm AD DS:
Nhóm lồng cho phép các nhóm có thể là thành viên
của nhiều nhóm khác
Nhóm lồng cho phép các nhóm có thể là thành viên
của nhiều nhóm khác
Ưu điểm của việc sử dụng chiến lược
lồng nhóm trong việc quản trị các
nhóm AD DS:
Các nhóm mà là thành viên của nhóm khác làm giảm tính lặp lại
Việc lồng các nhóm làm đơn giản hóa việc quản trị
Bài 4 - Triển khai Active Directory: Quản trị nhóm

10
Thuộc tính tên nhóm
Thuộc tính tên
Tên nhóm: là duy nhất trong OU
Tên nhóm (pre-Windows 2000 Server): sAMAccountName của nhóm phải
là duy nhất trong domain
Dùng chung 1 tên (duy nhất trong domain) cho cả 2 thuộc tính tên trên
Bài 4 - Triển khai Active Directory: Quản trị nhóm
11
Các quy tắc đặt tên nhóm
Cơ chế đặt tên
• Tránh tên quá dài
• Tránh tên phổ biến
Sử dụng tên mô tả đúng
chức năng
• Sales
• Marketing
• Executives
• Sales
• Marketing
• Executives
Sử dụng tên mô tả vị trí
địa lý
• Nước
• Bang
• Thành phố
Sử dụng tên dự án
Nếu nhóm thiết lập cho 1 dự án thì đặt tên
nhóm theo tên dự án
Bài 4 - Triển khai Active Directory: Quản trị nhóm

12
Xác định thành phần của nhóm
Thành viên của nhóm được liệt
kê trong tab Member Tab
•Người dùng đơn lẻ
•Nhóm lồng
Thành viên của nhóm được liệt
kê trong tab Member Tab
•Người dùng đơn lẻ
•Nhóm lồng
Members tab
Tab Members Of liệt kê các
nhóm mà nhóm này hiện đang
thuộc vào
Tab Members Of liệt kê các
nhóm mà nhóm này hiện đang
thuộc vào
Members Of tab
Thành viên của nhóm được liệt
kê trong tab Member Tab
•Người dùng đơn lẻ
•Nhóm lồng
Thành viên của nhóm được liệt
kê trong tab Member Tab
•Người dùng đơn lẻ
•Nhóm lồng
Tab Members Of liệt kê các
nhóm mà nhóm này hiện đang
thuộc vào
Tab Members Of liệt kê các

nhóm mà nhóm này hiện đang
thuộc vào
Bài 4 - Triển khai Active Directory: Quản trị nhóm
13
Công cụ quản trị nhóm
Để tạo và quản trị các nhóm trong AD DS, có thể dùng:
Active Directory Users and Computers
Active Directory Administrative Center (chỉ dành cho
ban R2)
Windows PowerShell với module Active Directory (chỉ
dành cho ban R2)
Các câu lệnh DS
Để tạo và quản trị các nhóm trong AD DS, có thể dùng:
Active Directory Users and Computers
Active Directory Administrative Center (chỉ dành cho
ban R2)
Windows PowerShell với module Active Directory (chỉ
dành cho ban R2)
Các câu lệnh DS
Bài 4 - Triển khai Active Directory: Quản trị nhóm
14
Quản trị thành viên nhóm
Các phương pháp
Sử dụng thẻ Member của nhóm (Add/Remove)
Sử dụng thẻ MemberOf của thành viên (Add/Remove)
Câu lệnh thêm thành viên vào 1 nhóm (Add)
Những thay đổi của thành viên sẽ không được áp dụng
tức thời
Đòi hỏi phải đăng nhập (đối với người dùng) hoặc khởi động (với máy
tính)

Có Token tạo với SIDs của thành viên nhóm tại thời điểm đó
Tài khoản cho sự sao chép của thành viên chuyển thành người dùng
hoặc máy tính của DC
Các phương pháp
Sử dụng thẻ Member của nhóm (Add/Remove)
Sử dụng thẻ MemberOf của thành viên (Add/Remove)
Câu lệnh thêm thành viên vào 1 nhóm (Add)
Những thay đổi của thành viên sẽ không được áp dụng
tức thời
Đòi hỏi phải đăng nhập (đối với người dùng) hoặc khởi động (với máy
tính)
Có Token tạo với SIDs của thành viên nhóm tại thời điểm đó
Tài khoản cho sự sao chép của thành viên chuyển thành người dùng
hoặc máy tính của DC
Bài 4 - Triển khai Active Directory: Quản trị nhóm
15
Chuyển đổi phạm vi và kiểu nhóm
Trong Active Directory Users and Computers, ta có thể đổi
kiểu nhóm:
Từ Security thành distribution (mất quyền gán vào nhóm)
Từ Distribution thành security
Trong Active Directory Users and Computers, ta có thể
thay đổi phạm vi nhóm:
Nhóm toàn cục thành nhóm phổ quát
Nhóm cục bộ miền thành nhóm phổ quát
Nhóm phổ quát thành nhóm toàn cục
Nhóm phổ quát thành nhóm cục bộ miền
Ta không thể đổi: DL  G hoặc G  DL một cách trực tiếp, nhưng có
thể đổi bằng cách đổi DL  U  G
hoặc

G  U  DL.
Việc thay đổi có thể bị cấm nếu thành viên bị sai  sửa rồi thử lại
dsmod group
GroupDN
–secgrp { yes | no }
–scope { l | g | u }
Trong Active Directory Users and Computers, ta có thể đổi
kiểu nhóm:
Từ Security thành distribution (mất quyền gán vào nhóm)
Từ Distribution thành security
Trong Active Directory Users and Computers, ta có thể
thay đổi phạm vi nhóm:
Nhóm toàn cục thành nhóm phổ quát
Nhóm cục bộ miền thành nhóm phổ quát
Nhóm phổ quát thành nhóm toàn cục
Nhóm phổ quát thành nhóm cục bộ miền
Ta không thể đổi: DL  G hoặc G  DL một cách trực tiếp, nhưng có
thể đổi bằng cách đổi DL  U  G
hoặc
G  U  DL.
Việc thay đổi có thể bị cấm nếu thành viên bị sai  sửa rồi thử lại
dsmod group
GroupDN
–secgrp { yes | no }
–scope { l | g | u }
Bài 4 - Triển khai Active Directory: Quản trị nhóm
16
Sao lưu thành viên nhóm
Sao lưu các thành viên của 1 nhóm sang 1 nhóm khác:
Sao lưu các thành viên của 1 người dùng sang người

dùng khác:
dsget group "CN=Sales,OU=Role,OU=Groups,DC=contoso,DC=com" –members |
dsmod group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" –addmbr
dsget group "CN=Sales,OU=Role,OU=Groups,DC=contoso,DC=com" –members |
dsmod group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" –addmbr
Sao lưu các thành viên của 1 nhóm sang 1 nhóm khác:
Sao lưu các thành viên của 1 người dùng sang người
dùng khác:
dsget user "
SourceUserDN
" –memberof |
dsmod group –addmbr "
TargetUserDN
"
dsget user "
SourceUserDN
" –memberof |
dsmod group –addmbr "
TargetUserDN
"
Bài 4 - Triển khai Active Directory: Quản trị nhóm
17
Xóa nhóm
Từ Active Directory Users and Computers: chuột phải
rồi chọn Delete
Câu lệnh DSRm
dsrm
ObjectDN
[-subtree [-exclude]] [-noprompt] [-c]
-noprompt: không yêu cầu xác nhận mỗi khi xóa

-c: tiếp tục nếu cso lỗi xảy ra (ví dụ bị chặn truy cập)
-subtree: xóa đối tượng và tất cả đối tượng con của nó
-subtree –exclude: xóa tất cả đối tượng con mà không xóa đối
tượng chính
Việc xóa một nhóm Security có 1 chú ý:
SID bị mất và không thể lấy lại được
Lưu ý: Trước tiên, ghi lại toàn bộ thành viên và xóa các thành viên
để kiểm tra, đánh giá các ảnh hưởng không mong muốn
Từ Active Directory Users and Computers: chuột phải
rồi chọn Delete
Câu lệnh DSRm
dsrm
ObjectDN
[-subtree [-exclude]] [-noprompt] [-c]
-noprompt: không yêu cầu xác nhận mỗi khi xóa
-c: tiếp tục nếu cso lỗi xảy ra (ví dụ bị chặn truy cập)
-subtree: xóa đối tượng và tất cả đối tượng con của nó
-subtree –exclude: xóa tất cả đối tượng con mà không xóa đối
tượng chính
Việc xóa một nhóm Security có 1 chú ý:
SID bị mất và không thể lấy lại được
Lưu ý: Trước tiên, ghi lại toàn bộ thành viên và xóa các thành viên
để kiểm tra, đánh giá các ảnh hưởng không mong muốn
dsrm "CN=Public Relations,OU=Role,OU=Groups,
DC=contoso,DC=com"
dsrm "CN=Public Relations,OU=Role,OU=Groups,
DC=contoso,DC=com"
Bài 4 - Triển khai Active Directory: Quản trị nhóm
18
Tổng kết bài học

Các loại nhóm trong AD
Quản trị nhóm
Bài 4 - Triển khai Active Directory: Quản trị nhóm
19
Bài 4:
Triển khai Active Directory: Quản trị nhóm