70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003

Environment

Chương 4:
Hiện thực và quản lý các

tài khoản Group và
Computer

Mục tiêu

• Hiểu mục đích của việc dùng các tài khoản group
là để đơn giản hóa việc quản trị

• Tạo các đối tượng group dùng cơng cụ giao diện
đồ họa cũng như dịng lệnh

• Quản lý các group security và các group
distribution

• Ý nghĩa các group xây dựng sẵn được tạo ra khi
cài đặt AD

• Quản lý và tạo các tài khoản computer

70-290: MCSE Guide to Managing a Microsoft 2

Windows Server 2003 Environment

Giới thiệu các tài khoản Group

• Một group là 1 đối tượng container

• Dùng để tổ chức tập hợp các user, computer, contacts,
và các group khác

• Dùng để đơn giản hóa việc quản trị

• Giống như OU, ngoại trừ:

• Các OU khơng có ngun lý bảo mật, các group có
• Các OU chỉ chứa các đối tượng từ domain cha của

chúng, các group có thể chứa cả các đối tượng từ trong
forest

70-290: MCSE Guide to Managing a Microsoft 3

Windows Server 2003 Environment

Các kiểu Group

• Các group security

• Định nghĩa bởi Security Identifier (SID)
• Có thể gán quyền cho các tài nguyên

• Trong các DACL
• Có thể gán các quyền để thực hiện những nhiệm vụ


khác nhau
• Có thể cũng dùng như các thực thể email

• Các group distribution

• Chủ yếu dùng như các thực thể email
• Khơng có SID liên kết

70-290: MCSE Guide to Managing a Microsoft 4

Windows Server 2003 Environment

Các phạm vi Group

• Phạm vi ý nói tới ranh giới lơgíc của những quyền
đ/v những tài nguyên đặc biệt

• Cả các group security và group distribution đều có
phạm vi

• 3 phạm vi

• Các đối tượng có thể trong mỗi phạm vi phụ thuộc trên
mức chức năng đã cấu hình của 1 domain

• Các kiểu phạm vi là: global, domain local và universal

70-290: MCSE Guide to Managing a Microsoft 5


Windows Server 2003 Environment

Các phạm vi Group (tt)

• 3 mức chức năng domain:

• Windows 2000 mixed: cấu hình mặc định hỗ trợ kết
hợp cả các DC của Windows NT Server 4.0, 2000
Server và Server 2003

• Windows 2000 native: hỗ trợ kết hợp cả các DC của
Windows 2000 Server và Server 2003

• Windows Server 2003: chỉ hỗ trợ DC Windows Server
2003

70-290: MCSE Guide to Managing a Microsoft 6

Windows Server 2003 Environment

Các Global Group

• Tổ chức các group của các user, computer, group
trong cùng domain

• Thường thể hiện vị trí địa lý của group chức năng
cơng tác

• Các kiểu của các đối tượng trong group liên quan
tới mức chức năng đã cấu hình của domain


• Phụ thuộc vào các kiểu của các DC trong môi trường

70-290: MCSE Guide to Managing a Microsoft 7

Windows Server 2003 Environment

Các Domain Local Group

• Được tạo trên các DC
• Có thể gán quyền cho bất kỳ tài ngun nào trong

cùng domain
• Có thể chứa các group từ domain khác
• Xác định các đối tượng cho phép trong group liên

hệ đến mức chức năng đã cấu hình của domain

70-290: MCSE Guide to Managing a Microsoft 8

Windows Server 2003 Environment

Các Universal Group

• Điển hình được tạo ra cho các user hay những
group trong những domain khác nhau

• Lưu trên các DC được cấu hình như các global
catalog server


• Có thể gán quyền cho bất kỳ tài ngun nào trong
forest

• Chỉ có thể được tạo trong mức chức năng domain
Windows 2000 native / Windows Server 2003

70-290: MCSE Guide to Managing a Microsoft 9

Windows Server 2003 Environment

Các Universal Group (tt)

70-290: MCSE Guide to Managing a Microsoft 10

Windows Server 2003 Environment

Tạo các đối tượng Group

• Các đối tượng Group lưu giữ trong cơ sở dữ liệu
AD

• Nhiều loại cơng cụ khác nhau có thể dùng để tạo
và quản lý:

• Active Directory Users and Computers
• ứng dụng dòng lệnh

• DSADD, DSMOD, DSQUERY,…

70-290: MCSE Guide to Managing a Microsoft 11


Windows Server 2003 Environment

Active Directory Users and

Computers

• Cơng cụ chính:

• Tạo các tài khoản group
• Có thể dùng để cấu hình các thuộc tính của các tài

khoản group

• Các group có thể được tạo trong bất kỳ container
có sẵn, tại gốc của đối tượng domain hoặc trong
các đối tượng OU tùy ý

• Các phạm vi group được xác định bởi mức chức
năng của domain được cấu hình như thế nào

70-290: MCSE Guide to Managing a Microsoft 12

Windows Server 2003 Environment

Active Directory Users and
Computers (tt)

70-290: MCSE Guide to Managing a Microsoft 13


Windows Server 2003 Environment

Thực tập 4-1: Tạo và thêm các
thành viên vào Global Group

• Mục tiêu: Dùng Active Directory Users and
Computers để tạo các global group

• Start  Administrative Tools  Active Directory
Users and Computers  Users container  New
 Group

• Theo các chỉ dẫn để tạo một số global groups và
thêm các tài khoản user vào các group

70-290: MCSE Guide to Managing a Microsoft 14

Windows Server 2003 Environment

Thực tập 4-1 (tt)

70-290: MCSE Guide to Managing a Microsoft 15

Windows Server 2003 Environment

Thực tập 4-2: Tạo và thêm các
thành viên vào Domain Local

Groups


• Mục tiêu: Dùng Active Directory Users and
Computers để tạo các domain local group

• Active Directory  Users  New  Group
• Theo các chỉ dẫn để tạo Domain Local group và

thêm các global groups vào đó

70-290: MCSE Guide to Managing a Microsoft 16

Windows Server 2003 Environment

Thực tập 4-3: Thay đổi mức chức
năng của 1 Domain. Tạo và thêm

các thành viên vào Universal
Group

• Mục tiêu: Thay đổi mức chức năng của 1 Domain
Windows Server 2003 và dùng Active Directory
Users and Computers để tạo các universal group

• Mở đối tượng domain trong Active Directory
Users and Computers

70-290: MCSE Guide to Managing a Microsoft 17

Windows Server 2003 Environment

Thực tập 4-3 (tt)


70-290: MCSE Guide to Managing a Microsoft 18

Windows Server 2003 Environment

Thực tập 4-3 (tt)

• Theo các chỉ dẫn để nâng mức chức năng của
domain

• Tiếp tục bài tập tạo 1 universal group mới
• Tiếp tục bài tập thêm các group đã có vào group

mới này

70-290: MCSE Guide to Managing a Microsoft 19

Windows Server 2003 Environment

Thực tập 4-3 (tt)

70-290: MCSE Guide to Managing a Microsoft 20

Windows Server 2003 Environment