“Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬT

Part 11 - Domain Controller - Join Domain

Trong các bài trước chúng ta đã học về các vấn đề như tạo user Account trên server. Hãy tưởng tượngtrong công ty bạn có khoảng 5 máy tính với mỗi máy chúng ta sẽ tạo các User Account cho nhân viêntruy cập. Tuy nhiên nếu người dùng đăng nhập vào máy 1 để làm việc sau đó anh ta sang máy thứ 2làm việc thì mọi tại nguyên do anh ta tạo trên máy 1 hoàn toàn độc lập với máy 2 và thậm chí với từngmáy Admin phải tạo các User Account giống nhau anh ta mới truy cập được, mọi chuyện sẽ không trởnên quá rắc rối nếu công ty chúng ta có chừng ấy máy .

Nhưng nếu công ty bạn có khoảng 100 máy thì mọi chuyện lại khác, vấn đề đặt ra là chả lẽ mỗi máyAdmin phải ngồi tạo 100 Account để nhân viên truy cập? và vì mỗi máy độc lập với nhau việc tìm lạidữ liệu trên máy mà ta từng ngồi làm việc trước đó là cực kỳ khó khăn.Do đó Windows đã có tính năng là Domain Controller (DC) giúp ta giải quyết rắc rối trên. Điều kiệnđể có một DC là bạn phải trang bị một máy Server riêng được gọi là máy DC các máy còn lại được gọi làmáy Client, cả hệ thống được gọi là Domain Khi đó Administrator chỉ việc tạo User Account ngay trênmáy DC mà thôi nhân viên công ty dù ngồi vào bất cứ máy nào trên Domain đều có thể truy cập vàoAccount của mình mà các tài nguyên anh ta tạo trước đó đều có thể dễ dàng tìm thấy.

Để làm việc này chúng ta đi vào chi tiết, trước tiên bạn phải dùng một máy để làm DC cách nâng cấplên DC như sau:Bạn vào mục TCP/IP của máy DC chỉnh Preferred DNS về chính là IP của máy DC

1 of 16

Vào Start -> Run gõ lệnh dcpromo -> Enter

Trong cửa sổ Active Dirrectory Installation chọn Next

Check mục Domain in a new forest sau đó nhấp Next

2 of 16

Gõ Domain của bạn vào trong ví dụ này là gccom.net sau đó nhấp Next

Tiếp tục chọn Next

3 of 16

Tiếp tục chọn Next

Tiếp tục chọn Next

4 of 16

Trong cửa sổ DNS Registration Diagnostics chọn mục 2

Tiếp tục chọn Next

5 of 16

Tiếp tục chọn Next

Tiến trình upgrade lên DC bắt đầu, trong quá trình cài đặt nếu Windows yêu cầu bạn chèn đĩa CDWindows Server 2003 vào bạn cứ chèn vào và Browser... đến thư mục i386 để tiếp tục cài đặt sau đóbạn chờ cho hoàn tất và Restart lại máy

6 of 16

Sau khi khởi động lại máy bạn chú ý thấy rằng từ nay về sau tại màn hình đăng nhập xuất hiện thêmdòng Log on to

Để kiểm tra xem máy có Up lên DC hoàn tất hay chưa bạn vào System Properties xem sẽ thấy xuấthiện mục Domain: gccom.net

7 of 16

Bạn nhấp phải vào My Computer chọn Manage sẽ không còn thấy mục Local Users And Group nữavì bây giờ máy chúng ta đã là máy DC rồi định nghĩa Local không còn tồn tại nữa mà thay vào đó làcông cụ Active Directory Users and Computers trong mục Administrative Tools

Create User & GroupNhư các bài trước các bạn đã biết để nâng cao chế độ bảo mật hoặc tuỳ chỉnh trong Windows ta sửdụng công cụ Group Policy nhưng khi chúng đã nâng cấp Windows lên DC rồi thì ta sẽ có 2 công cụmới là Domain Controller Sercurity Policy và Domain Sercurity PolicyDomain Controller Sercurity Policy: Các tuỳ chỉnh trong này chỉ tác động lên máy DC mà thôi

8 of 16

Domain Sercurity Policy: Các tuỳ chỉnh trong này sẽ tác động lên toàn bộ user trên domain

Kể từ bây giờ để tạo User mới ta vào Active Directory Users and ComputersVà các user bạn tạo ra không còn gọi là Local User nữa mà gọi là Domain User, còn khi bạn truy cậpvào máy DC dưới quyền Administrator thì bạn được gọi là Domain Admin, song song đó nếu bạn truycập vào máy Client nào đó dưới quyền Domain Administrator thì bạn vừa là Local Admin của máyđó vừa là Domain Admin

9 of 16

Trong cửa sổ Active Directory Users and Computers tôi tạo 2 Account mới là gccom1 & gccom2thao tác tương tự như khi tạo Local User

Bây giờ khi nâng lên DC rồi Windows cũng sẽ nâng cao chế độ bảo mật lên và không cho phép bạn tạoPassword đơn giản nữa mà buộc bạn phải tạo Password phức tạp hơn sao cho thoả 3 trong 4 điều kiệnsau:- Password phải chứa các ký tự chữ thường abc....- Password phải chứa các ký tự chữ hoa ABC....

10 of 16

- Password phải chứa các ký tự số 123....- Password phải chứa các ký tự đặc biệc như: !@#$%^ ...VD: P@assword được gọi là một password phức tạp

Ngoài ra bạn có thể chỉnh trong Domain Sercurity Policy để tạo được Password đơn giảnJoin to DomainSau khi nâng cấp máy Server lên DC bây giờ ta tiến hành Join tất cả các máy Client vào Domain. Lợi íchcủa việc Join vào Domain này là rất nhiều trong bài này không thể nói hết được nhưng cứ hiểu mộtcách nôm na rằng join vào Domain rồi mọi máy Client không cần tạo User gì cả mà chỉ cần dùng cácUser Account mà ta đã tạo trên DC mà vẫn có thể truy cập vào máy một cách ngon lành. Cách Joinnhư sau:Vào TCP/IP chỉnh DNS là IP của máy DC

11 of 16

Mở System Properties lên chọn Tab Computer Name chọn Changes...Trong mục Member of bạn không chọn Workgroup nữa mà chọn là Domain và nhập Domain vào,trong ví dụ này là gccom.net

12 of 16

Sau đó Windows sẽ bật ra hộp thoại yêu cầu bạn khai báo User & Password đăng nhập máy DC, bạnnhập bất cứ Account nào đã từng tạo trên DC rồi vào, lưu ý rằng bạn thêm gccom.net\ trước user đăngnhập

Sau khi Join thành công Windows sẽ yêu cầu bạn Restart lại máy bạn Restart lại để hoàn tất việc JoinDomain, kể từ bây giờ bạn có thể sử dụng các Account đã từng tạo trên DC để truy cập vào bất cứ máynào trên Domain này

13 of 16

Join Domain with NetdomChúng ta vẫn thường join domain cho một máy Client bằng cách chỉnh ở hộp thoại Computer NameChange. Với cách này bạn sẽ phải đến từng máy Client để join. Chúng ta có một cách khác để join clientvào domain mà không phải đến trực tiếp máy Client, đó là dùng dòng lệnh Netdom

Lệnh Netdom không có sẵn trong Windows Server 2003, để có thể dùng Netdom bạn phải cài thêm bộWindows Support Tools có trong đĩa CD cài Windows Server 2003.Bạn vào CD cài W2K3, vào thư mụcSupport\Tools và chạy file SUPTOOLS.MSI để cài đặt.

Sau khi cài Windows Support Tools, bạn có thể ngồi trên máy DC và đánh lệnh Netdom để bắt máyclient join vào domain mà không phải đến máy client. Tất nhiên trước đó, bạn phải thiết lập IP chính xáccho client.Cú pháp của lệnh Netdom như sau:

netdom join computername /domain:domainname /userD:user /passwordD:password/userO:user /passwordO:password /OU:OUDN /Reboot:seconds

computername - tên của máy tính client sẽ được join vào miền.

/domain:domainname - tên của miền mà máy client sẽ join tới.

/userD:user - tên tài khoản người dùng miền mà dòng lệnh sử dụng để join máy client vào miền. Tàikhoản này không nhất thiết phải là Administrator, một tài khoản thường mặc định cũng có thể join tốiđa 10 client vào miền.

/passwordD:password - mật khẩu của userD. Nếu bạn nhập * thì sau khi nhấn Enter dòng lệnh sẽ bắt tanhập password.

/userO:user - tên tài khoản người dùng cục bộ trên máy client mà dòng lệnh sử dụng để kết nối tới máyclient.

/passwordO:password - mật khẩu của userO. Bạn cũng có thể nhập *

/OU:OUDN - tên DN của OU mà tại đó đối tượng máy tính của client sẽ được tạo ra. Nếu để trống thìclient mặc định sẽ được đưa vào đối tượng chứa Computer.

/Reboot:second - thời gian tính theo giây máy client sẽ khởi động lại sau khi join thành công.

Với Windows 2000, bạn có thể thực hiện lệnh trên thành công mà không cần phải thiết lập thêm gì cả.Tuy nhiên đối Windows XP, bạn sẽ thấy báo lỗi, mặc dù bạn đã điền các thông số hoàn toàn chính xác.

14 of 16

Điều đó là bởi tính năng ForceGuest trên các máy tính Windows XP.

Trên các máy tính Windows XP Professional không gia nhập một miền nào thì mặc định tất cả ngườidùng khi log vào các máy đó qua mạng đều bị "force" là truy cập bằng tài khoản Guest, tính năng đó gọilà ForceGuest. Mà tài khoản Guest lại không có quyền join một máy tính vào miền, đó chính là lý do củalỗi. Vậy chúng ta phải tắt tính năng ForceGuest trên các máy WinXP trước khi thực hiện lệnh Netdom.Để tắt ForceGuest, bạn chỉnh sửa trong Registry:

HKEY_LOCAL_MACHINE \ SYSTEM \ CurentControlSet \ Control \ Lsa

Trong khóa đó, bạn kiểm tra đã có value tên là forceguest chưa. Nếu chưa có, bạn tạo ra value mới tênlà forceguest, kiểu DWORD và đặt giá trị là 0, sau đó restart máy client.

Cách thứ 2 để bật/tắt tính năng này:

Dùng Group Policy: run -> gpedit.msc

Vào: Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\Security Options.

Mở policy: Network Access: Sharing and security model for local accounts và chọn Classic- local users authenticate as themselves

Lưu lại thay đổi: run -> gpupdate /force

Bây giờ bạn có thể join máy WinXP từ xa bằng dòng lệnh Netdom.

Chú ý: để chắc chắn, các password bạn không nên để trắng vì lý do tương thích.

OK mình vừa giới thiệu xong phần Domain Controller, Join Domain, Create User & Group trong 70-290,70-620 của MCSA.

15 of 16

Công ty TNHH đầu tư phát triển tin học GC ComChuyên trang kỹ thuật máy vi tính cho kỹ thuật viên tin học

Điện thoại: (073) - 3.511.373 - 6.274.294

Website: http://www.gccom.net

16 of 16