TỔNG QUAN VỀ WINDOWS SERVER 2008
Tính năng vượt trội
* Hệđiều hành mạng Windows NT
Windows NT is a high-end network operating system developed by Microsoft, with its initial version, Windows NT 3.1, released in 1993 The server version, known as Windows NT Advanced Server, was previously referred to as LAN Manager for NT In 1994, Microsoft launched Windows NT Server and Windows NT Workstation version 3.5, followed by version 3.51 The release of Windows NT Workstation and Windows NT Server version 4.0 occurred in 1995.
Windows NT là hệ điều hành mạng hỗ trợ tất cả các giao thức truyền thông phổ biến, cho phép giao lưu giữa các máy trong mạng, truy cập từ xa và truyền file Hệ điều hành này đáp ứng nhu cầu của cả mạng cục bộ (LAN) và mạng diện rộng (WAN) như Intranet và Internet.
Windows NT server hơn hẳn các hệ điều hành khác bởi tính mềm dẻo,đa dạng trong quản lý
Nó hỗ trợ quản lý mạng theo cả mô hình phân biệt (Client/Server) và mô hình ngang hàng (Peer to Peer) Việc cài đặt dễ dàng và nhẹ nhàng, đặc biệt là tính tương thích cao với hầu hết các hệ thống mạng hiện có.
Các cơ chế quản lý của Windows NT:
Quản lý đối tượng trong hệ điều hành Windows NT cho phép tất cả tài nguyên được thực thi như các đối tượng, mỗi đối tượng là một đại diện trừu tượng cho một tài nguyên cụ thể Nó mô tả trạng thái bên trong và các tham số của tài nguyên, đồng thời cung cấp một tập hợp các phương thức để truy cập và điều khiển đối tượng Nhờ vào việc xử lý tài nguyên như đối tượng, Windows NT có khả năng thực hiện các phương thức như tạo, bảo vệ và giám sát việc sử dụng của đối tượng, qua đó quản lý hiệu quả các tài nguyên hệ thống.
Cơ chế bảo mật SRM (Security Reference Monitor) được áp dụng để đảm bảo an ninh trong hệ thống Windows NT Tất cả các yêu cầu tạo đối tượng đều phải thông qua SRM để xác định quyền truy cập tài nguyên SRM hoạt động trong chế độ người dùng cùng với hệ thống con bảo mật.
Hệ thống con này được sử dụng để xác nhận user login vào hệ thống Windows
Quản lý nhập/xuất (I/O Manager) là thành phần quan trọng trong hệ điều hành Windows NT, chịu trách nhiệm cho tất cả các chức năng liên quan đến nhập và xuất dữ liệu I/O Manager đảm nhiệm việc giao tiếp với các trình điều khiển thiết bị khác nhau, đảm bảo quá trình truyền tải dữ liệu diễn ra một cách hiệu quả.
I/O Manager sử dụng kiến trúc lớp cho các trình điều khiển, trong đó mỗi bộ phận điều khiển thực hiện một chức năng rõ ràng Phương pháp này cho phép thay thế linh hoạt các thành phần điều khiển mà không làm ảnh hưởng đến các bộ phận khác, đảm bảo tính ổn định và dễ bảo trì cho hệ thống.
Windows Server 2000 là phiên bản kế thừa của Windows NT Server 4.0, được phát triển nhằm phục vụ cho các doanh nghiệp lớn và tối ưu hóa cho các mạng lớn.
Nó thừa hưởng lại tất cả những chức năng của Windows NT Server 4.0 và thêm vào đó là giao diện đồ họa thân thiện với người sử dụng
Họ hệ điều hành Windows 2000 Server có 3 phiên bản chính là: Windows
2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từng loại dịch vụ
Các đặc trưng của Windows 2000:
Những thay đổi quan trọng nhất so với NT cũ gồm có:
- Hạ tầng kiến trúc nối mạng TCP/IP đã được cải tiến
- Những cơ sở hạ tầng bảo mật dễ co giãn hơn
Việc chia sẻ và sử dụng chung các tập tin hiện nay mạnh mẽ hơn so với hệ thống tập tin phân tán và dịch vụ sao chép tập tin.
- Không lệ thuộc cứng nhắc vào các mẫu tự ổ đĩa nữa nhờ các điểm nối (junction point) và các ổ đĩa gắn lên được (mountable drive)
- Việc lưu trữ dữ liệu trực tuyến mềm dẻo, linh động hơn nhờ có tính năng Removable Storage Manager
Windows Server 2003 có 4 phiên bản được sử dụng rộng rãi nhất là: Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition, Web Edition
- Windows Server 2003 Web Edition: tối ưu dành cho các máy chủ web
- Windows Server 2003 Standard Edition: bản chuẩn dành cho các doanh nghiệp, các tổ chức nhỏ đến vừa
- Windows Server 2003 Enterprise Edition: bản nâng cao dành cho các tổ chức, các doanh nghiệp vừa đến lớn
- Windows Server 2003 Datacenter Edittion: bản dành riêng cho các tổ chức lớn, các tập đoàn ví dụ như IBM, DELL…
Những đặc điểm mới của Windows Server 2003:
- Khả năng kết chùm các Server để san sẻ tải (Network Load Balancing Clusters) và cài đặt nóng RAM (hot swap)
Windows Server 2003 cung cấp hỗ trợ tối ưu cho hệ điều hành Windows XP, bao gồm khả năng nhận diện và áp dụng chính sách nhóm được thiết lập trong Windows XP Hệ điều hành này còn đi kèm với bộ công cụ quản trị mạng toàn diện, giúp người dùng dễ dàng quản lý và vận hành hệ thống trên nền tảng Windows XP.
Các công ty nhỏ không đủ ngân sách để đầu tư vào Exchange có thể tận dụng tính năng tích hợp sẵn của Windows Server 2003, bao gồm dịch vụ POP3 và SMTP, để xây dựng một hệ thống mail đơn giản phục vụ nhu cầu giao tiếp nội bộ.
- Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (Mircosoft Database Engine) được cắt xén từ SQL Server 2000
NAT Traversal hỗ trợ IPSec là một cải tiến quan trọng trong môi trường 2003, cho phép các máy trong mạng nội bộ kết nối peer-to-peer với các máy bên ngoài Internet Điều đặc biệt là thông tin được truyền giữa các máy này có thể được mã hóa hoàn toàn, đảm bảo tính bảo mật cho dữ liệu.
- Bổ sung thêm tính năng NetBIOS over TCP/IP cho dịch vụ RRAS
Phiên bản Active Directory 1.1 đã được phát hành, cho phép ủy quyền giữa các gốc rừng và cải thiện quy trình sao lưu dữ liệu của Active Directory.
- Hỗ trợ tốt hơn công tác quản trị từ xa do Windows 2003 cải tiến RDP (Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps
- Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn
- Cho phép tạo nhiều gốc DFS (Distributed File System) trên cùng một Server
Microsoft Windows Server 2008 là phiên bản nâng cấp của hệ điều hành Windows Server, giúp các chuyên gia công nghệ thông tin tối ưu hóa việc quản lý cơ sở hạ tầng Phiên bản này cung cấp khả năng kiểm soát và hiệu lực vượt trội, đồng thời cải thiện độ an toàn, tính tin cậy và tạo ra một môi trường máy chủ vững chắc hơn so với các phiên bản trước.
Windows Server 2008 mang đến giá trị mới cho các tổ chức bằng cách đảm bảo rằng mọi người dùng đều có thể truy cập các thành phần bổ sung từ dịch vụ mạng Hệ điều hành này cũng tích hợp nhiều tính năng vượt trội và khả năng chẩn đoán, giúp các quản trị viên nâng cao thời gian hỗ trợ cho doanh nghiệp.
Các phiên bản của Windows Server 2008
Tính năng trong Windows Server 2008
3.1 Công cụ quản trị Server Manager
Server Manager là công cụ điều khiển giúp quản lý và tổ chức máy chủ sử dụng hệ điều hành Windows Server 2008, cho phép người quản trị thực hiện nhiều nhiệm vụ khác nhau.
- Quản lý đồng nhất trên một server
- Hiển thị trạng thái hiện tại của server
- Nhận ra các vấn đề gặp phải đối với các role đã đợc cài đặt một cách dễ dàng hơn
- Quản lý các role trên server, bao gồm việc thêm và xóa role
- Thêm và xóa bỏ các tính năng
- Chẩn đoán các dấu hiệu bất thường
- Cấu hình server: có 4 công cụ ( Task Scheduler, Windows Firewall, Services và WMI Control)
- Cấu hình sao lưu và lưu trữ: các công cụgiúp sao lưu và quản lý ổđĩa là Windows Server Backup và Disk Management đều nằm trên Server Manager
Server Core là một tính năng nổi bật trong Windows Server 2008, cho phép cài đặt hệ điều hành với mục đích hỗ trợ các vai trò cụ thể và đặc biệt.
Tất cả các tương tác với Server Core được thông qua các dòng lệnh
Server Core mang lại những lợi ích sau:
+ Giảm thiểu được phần mềm, vì thế việc sử dụng dung lượng ổ đĩa cũng được giảm Chỉ tốn khoảng 1GB khi cài đặt
Việc giảm thiểu phần mềm giúp hạn chế số lần cập nhật, đồng thời tối ưu hóa bảo mật bằng cách giảm thiểu các hành vi xâm nhập vào hệ thống thông qua các cổng mở mặc định.
Server Core không bao gồm tất cả các tính năng có sẵn trong những phiên bản cài đặt Server khác Ví dụ như NET Framework hoặc Internet Explorer
PowerShell là một tập hợp lệnh kết hợp giữa dòng lệnh shell và ngôn ngữ script, cung cấp hơn 130 cmdlets Hiện nay, PowerShell có thể được sử dụng trong nhiều ứng dụng khác nhau.
+ Quản trị các dịch vụ, xử lý và registry
By default, Windows PowerShell is not installed However, it can be easily installed using the Server Manager administration tool by selecting Features and then Add Features.
Windows Deployment Services (WDS) được tích hợp trong Windows Server 2008, cho phép cài đặt hệ điều hành từ xa cho máy client mà không cần thực hiện cài đặt trực tiếp WDS hỗ trợ cài đặt từ xa thông qua hình ảnh (image) lấy từ DVD cài đặt và cho phép tạo hình ảnh từ một máy tính đã cài đặt sẵn Windows cùng với các ứng dụng cần thiết.
Windows Deployment Services utilizes the Windows Image (WIM) format, which offers significant improvements over the previous Remote Installation Services (RIS) One notable advantage of WIM is its compatibility with a wide range of hardware platforms, ensuring versatile deployment capabilities.
Terminal Services là một thành phần chính trên Windows Server 2008 cho phép user có thể truy cập vào server để sử dụng những phần mềm
Terminal Services hỗ trợ quản trị viên triển khai và duy trì hệ thống phần mềm trong doanh nghiệp một cách hiệu quả Nhờ vào việc cài đặt phần mềm trực tiếp trên Terminal Server, quản trị viên không cần phải cài đặt trên từng máy client, giúp việc cập nhật và bảo trì phần mềm trở nên đơn giản hơn.
Terminal Services cung cấp 2 sự khác biệt cho người quản trị và người dùng cuối:
- Dành cho người quản trị: cho phép quản trị có thể kết nối từ xa hệ thống quản trị bằng việc sử dụng Remote Desktop Connection hoặc Remote Desktop
- Dành cho người dùng cuối: cho phép người dùng cuối có thể chạy các chương trình từ Terminal Services server
Network Access Protection (NAP) là một hệ thống chính sách thi hành (Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows Server 2008
Cơ chế thực thi của NAP:
+ Kiểm tra tình trạng an toàn của client
+ Giới hạn truy cập đối với các máy client không an toàn
NAP sẽ cập nhật các thành phần cần thiết cho các máy client không an toàn cho đến khi chúng đạt tiêu chuẩn an toàn Chỉ cho phép client kết nối khi đã đáp ứng các điều kiện an toàn.
+ NAP giúp bảo vệ hệ thống mạng từ các client
+ NAP cung cấp bộ thư viên API (Application Programming Interface), cho phép các nhà quản trị lập trình nhằm tăng tính bảo mật cho mình
A Read-Only Domain Controller (RODC) is a new type of Domain Controller introduced in Windows Server 2008 It allows businesses to easily deploy Domain Controllers in locations where security may be compromised RODC serves as a component of Active Directory Domain Services, enhancing the flexibility and security of network management.
RODC là một phần dữ liệu của ADDS, lưu trữ tất cả các đối tượng, thuộc tính và chính sách tương tự như domain controller, nhưng ngoại trừ mật khẩu.
Clustering là công nghệ kết hợp nhiều server để tạo thành một cụm, nhằm nâng cao tính ổn định trong vận hành Khi một server gặp sự cố, server khác trong cụm sẽ đảm nhận nhiệm vụ của nó, đảm bảo hệ thống hoạt động liên tục Quá trình này được gọi là failover.
Những phiên bản sau hỗ trợ:
3.9 Windows Firewall with Advance Security
Windows Firewall with Advance Security cho phép người quản trị có thể cấu hình đa dạng và nâng cao để tăng cường tính bảo mật cho hệ thống
Windows Firewall with Advance Security có những điểm mới:
+ Kiểm soát chặt chẽ các kết nối vào và ra trên hệ thống (inbound và outbound)
IPsec has been replaced by the concept of Connection Security Rule, which enables the management and control of policies while monitoring on the firewall, in conjunction with Active Directory.
+ Hỗ trợ đầy đủ IPv6.
Cài đặt Windows Server 2008
Windows Server 2008 hỗ trợ cả cấu trúc vi xử lý 32-bit và 64-bit, nhưng phiên bản mới nhất, Windows Server 2008 R2, Windows Midmarket Server và Windows Small Business chỉ hỗ trợ vi xử lý 64-bit Hệ thống 32-bit có thể hỗ trợ tối đa 4GB RAM với phiên bản Standard Edition và 64GB RAM với phiên bản Enterprise.
Datacenter systems running on a 64-bit architecture can support up to 32GB of RAM, while the Enterprise and Datacenter editions can accommodate up to 2TB of RAM Additionally, Windows Server 2008 is compatible with Itanium systems, requiring the Intel Itanium 2 dual-core processor for optimal performance.
Phần cứng Yêu cầu tối thiểu Đề nghị
Bộ vi xử lý 1 GHz (x86); 1,4 GHz (x64) 2 GHz hoặc lớn hơn
Dung lượng trống 15GB 40 GB
* Cài đặt hệ điều hành
1 Cho đĩa cài đặt Windows Server 2008 vào ổ và khởi động máy chủ từ đĩa cài
2 Khi được yêu cầu chọn ngôn ngữ, thời gian, đơn vị tiền tệ và thông tin bàn phím, hãy đưa ra lựa chọn thích hợp rồi click Next
Thiết lập ngôn ngữ,thời gian và đơn vịtiền tệ, thông tin bàn phím
3 Tùy chọn Install Now xuất hiện Nếu chưa chắc chắn về yêu cầu phần cứng, có thể click vào liên kết What to Know Before Installing Windows để biết thêm chi tiết.
4 Nhập khóa kích hoạt sản phẩm (product key) và đánh dấu kiểm vào ô Automatically Activate Windows When I’m Online Click Next
Nhập khóa kích hoạtsản phẩmhợplệ
5 Nếu chưa nhập khóa sản phẩm ở mục trước, bây giờ sẽ phải lựa chọn ấn bản Windows Server 2008 sắp cài đặt và đánh dấu kiểm vào ô I Have
After entering a valid product key, the installer will automatically recognize the version of Windows Server 2008 that you are about to install Click Next to proceed.
Lựachọnbản Windows Server 2008 để cài đặt
6 Đọc các điều khoản quy định và chấp nhận bằng cách đánh dấu ô kiểm Click Next
7 Ở cửa sổ mới xuất hiện, do khởi động máy từ đĩa cài nên tùy chọn Upgrade (nâng cấp) đã bị vô hiệu Click Custom (Advanced)
Tùy chọn Upgrade đãbị vô hiệu khi khởiđộng máy từđĩa cài
Lưu ý: Nếu muốn tiến hành cài đặt nâng cấp, cần chạy trình cài đặt trong môi trường Windows
8 Trên cửa sổ tiếp theo, cần lựa chọn vị trí cài đặt Windows Nếu có driver của các thiết bị lưu trữ bên thứ ba, cần cài đặt ngay bằng cách click liên kết Load Driver
Tải driver của các thiếtbị lưutrữ bên thứ ba và chọnnơi cài đặt
Trong quá trình cài đặt Windows, hệ thống sẽ hiển thị tiến trình hoàn tất dưới dạng phần trăm Máy chủ sẽ khởi động lại nhiều lần trong suốt quá trình này Trình cài đặt sẽ thực hiện các tác vụ cần thiết để hoàn tất cài đặt.
9 Khi quá trình cài đặt hoàn tất, hãy thay đổi mật khẩu tài khoản quản trị administrator trước khi đăng nhập Sau khi mật khẩu được thay đổi và đã đăng nhập vào hệ điều hành, như vậy là đã xong phần 1 của việc cài đặt.
D Ị CH V Ụ ACTIVE DIRECTORY
T ổ ng quan v ề Active Directory
Active Directory (AD) là dịch vụ thư mục quan trọng, cung cấp thông tin về tài nguyên mạng và cho phép quản lý hiệu quả thông qua khả năng mở rộng và tự điều chỉnh Bài viết này sẽ giới thiệu tổng quan về Active Directory và khám phá các thành phần chính của dịch vụ này.
Active Directory (AD) encompasses various components, including user data, printers, servers, databases, user groups, computers, and security policies Additionally, a new concept referred to as "containers" is utilized to organize these objects effectively.
Ví dụ Domain là một tập đối tượng chứa thông tin người dùng, thông tin các máy trên mạng, và chứa các đối tượng khác
1.2 Chức năng của Active Directory
- Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính
Server đóng vai trò chứng thực (authentication server) hoặc quản lý đăng nhập (logon Server), thường được gọi là máy điều khiển vùng (domain controller), là một thành phần quan trọng trong hệ thống quản lý người dùng và quyền truy cập.
Duy trì một bảng hướng dẫn hoặc bảng chỉ mục là rất quan trọng, giúp các máy tính trong mạng dễ dàng tìm kiếm tài nguyên trên các máy tính khác trong khu vực Việc này không chỉ tăng cường hiệu quả truy cập mà còn cải thiện khả năng chia sẻ dữ liệu trong mạng.
Chúng ta có khả năng tạo ra các tài khoản người dùng với các mức độ quyền hạn khác nhau, bao gồm quyền truy cập toàn bộ hệ thống mạng, quyền sao lưu dữ liệu và quyền tắt máy chủ từ xa.
Chúng ta có thể chia nhỏ miền thành các miền con (subdomain) hoặc các đơn vị tổ chức (OU), từ đó ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ một cách hiệu quả.
Dịch vụ danh bạ (Directory Services) là hệ thống thông tin được lưu trữ trong NTDS.DIT cùng với các chương trình quản lý và khai thác dữ liệu Đây là dịch vụ cơ sở quan trọng, đóng vai trò nền tảng trong việc xây dựng hệ thống Active Directory, mang lại những tính năng vượt trội của Microsoft.
1.3.2 Các thành phần trong Directory Services Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh bạ là gì? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổlưu sốđiện thoại Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc tính liên quan đến các đối tượng đó a Object (đối tượ ng)
Trong hệ thống cơ sở dữ liệu, các đối tượng như máy in, người dùng mạng, server, máy trạm, thư mục dùng chung và dịch vụ mạng đóng vai trò quan trọng Những đối tượng này là thành phần cơ bản của dịch vụ danh bạ, giúp quản lý và tổ chức thông tin hiệu quả.
Một thuộc tính mô tả đặc điểm của một đối tượng, chẳng hạn như mật khẩu và tên là thuộc tính của người dùng mạng Mỗi đối tượng có thể có danh sách thuộc tính riêng, nhưng cũng có thể chia sẻ một số thuộc tính giống nhau Ví dụ, cả máy in và máy trạm đều có thuộc tính chung là địa chỉ IP.
Schema định nghĩa danh sách các thuộc tính để mô tả một loại đối tượng, chẳng hạn như máy in, với các thuộc tính như tên, loại PDL và tốc độ Những thuộc tính này tạo thành schema cho lớp đối tượng "máy in" Đặc điểm nổi bật của schema là tính tuỳ biến, cho phép sửa đổi các thuộc tính định nghĩa lớp đối tượng Tóm lại, schema có thể được xem như một danh bạ của Active Directory.
Vật chứa trong Active Directory tương tự như thư mục trong Windows, cho phép chứa các đối tượng và vật chứa khác Mặc dù vật chứa không đại diện cho một thực thể cụ thể, nhưng nó vẫn có các thuộc tính giống như đối tượng Có ba loại vật chứa khác nhau trong Active Directory.
- Domain: khái niệm này được trình bày chi tiết ở phần sau
Một site là một vị trí cụ thể, giúp phân biệt giữa các vị trí cục bộ và xa xôi Chẳng hạn, công ty XYZ có tổng hành dinh tại San Francisco, một chi nhánh ở Denver và một văn phòng đại diện tại Portland, tất cả đều kết nối với tổng hành dinh qua Dialup Networking Do đó, hệ thống mạng này bao gồm ba site khác nhau.
OU (Đơn vị Tổ chức) là một loại vật chứa cho phép bạn tổ chức người dùng, nhóm, máy tính và các OU khác Mỗi OU chỉ có thể chứa các đối tượng trong cùng một miền, giúp tạo ra một mô hình thứ bậc để phản ánh cấu trúc tổ chức trong miền đó Việc sử dụng OU giúp giảm thiểu số lượng miền cần thiết trong hệ thống, từ đó tối ưu hóa quản lý và tổ chức tài nguyên.
Dịch vụ Global Catalog cho phép người dùng xác định vị trí của các đối tượng mà họ có quyền truy cập Tính năng tìm kiếm của dịch vụ này vượt xa khả năng của Windows NT, cho phép không chỉ định vị đối tượng qua tên mà còn thông qua các thuộc tính của chúng.
Cài đặt và cấu hình dịch vụ Active Directory
2.1 Nâng cấp Server lên Domain Controller
Một khái niệm không thay đổi từ Windows NT 4.0 là domain, vẫn giữ vai trò trung tâm trong mạng Windows 2000, Windows 2003 và Windows Server 2008 Tuy nhiên, cách thiết lập đã có sự khác biệt Các máy điều khiển vùng (domain controller - DC) hiện nay không còn phân biệt giữa PDC (Primary Domain Controller) và BDC (Backup Domain Controller), mà chỉ đơn giản gọi là DC Theo mặc định, tất cả các máy Windows Server 2008 khi mới cài đặt đều là server độc lập (standalone server), và chương trình DCPROMO được sử dụng để thiết lập cấu hình cho Active Directory.
Directory Installation Wizard và được dùng để nâng cấp một máy không phải là
DC (Server Stand-alone) thành một máy DC và ngược lại giáng cấp một máy DC thành một Server bình thường
* Chuẩn bịcác bước cài đặt
Để nâng cấp lên Domain Controller, trước tiên cần khai báo các thông số về địa chỉ IP cho máy tính cần nâng cấp Trong trường hợp này, chúng ta sẽ thực hiện nâng cấp máy Server1 đang chạy hệ điều hành Windows Server 2008.
Tùy chỉnh lại thống số IP theo mô hình mạng ở trên đưa ra: Click chuột phải vào Icon Network trên Deskop chon Properties / Click vào Manager network connections:
Select Internet Protocol Version 4 (TCP/IP v4) and then click on Properties to adjust the settings as shown in the image below Ensure that the Preferred DNS address of the server you wish to upgrade matches the IP address of the machine that needs the upgrade.
Từ Menu Start / Run gõ lệnh dcpromo để tiến hành nâng cấp lên Domain Controller
The "Welcome to Active Directory Domain Service Installation Wizard" dialog box appears Check the box for "Use advanced mode installation," then click "Next" to proceed with the dppromo program.
In the Operating System Compatibility dialog box, click "Next" and select the option to "Create a new domain in a new forest" to establish a new domain within a fresh forest, then click "Next" to proceed.
Hộp thoại Name the Root Domain Bạn nhập vào ô FQDN of the forest root domain nhập vào tên Domain cần tạo sau đó Click Next
Hộp thoại Domain NetBIOS Name giữ nguyên mặt định Click Next
Hộp thoại Set Forest Function Level chọn Windown Server 2008 để sữ dụng hết những chức năng mới trong Windows Server 2008, sau đó Click Next
Trong hộp thoại Tùy chọn Bộ điều khiển miền bổ sung, hãy đánh dấu vào ô DNS server nếu bạn muốn chương trình DNS được cài đặt tự động trong quá trình nâng cấp Nếu không, bạn có thể chọn không cài đặt và dịch vụ DNS sẽ được cấu hình sau.
The Location dialog box for Database, Log Files, and SYSVOL specifies the storage locations for the Database, Log files, and SYSVOL If you are a user, it is essential to configure these settings correctly for optimal performance and organization.
IT và đây là việc Bạn đang cấu hình thì Hãy chọn nơi lưu trữ vào vị trí khác để dữ liệu được an toàn
Hộp thoại Direcroty Serviecs Restore Administrator Password Bạn nhập Password vào ô bên dưới và Lưu ý là phải nhớ thật kỹ Password này Sau đó Click Next
Hộp thoại Summary tóm tắt quá trình thiết lập của bạn Nếu bạn muốn thay đổi, hãy nhấn vào nút Back Để tiếp tục cài đặt, bạn chỉ cần nhấn Next để chấp nhận.
Quá trình nâng cấp lên Domain Controller đang diễn ra, và sau khi hoàn tất, hệ thống sẽ tự động khởi động lại nếu bạn chọn ô "Reboot on completion".
2.2 Các bước gia nhập một máy tram và Domain
Một máy trạm gia nhập vào một domain thiết lập mối quan hệ tin cậy với các máy Domain Controller trong vùng Khi quan hệ tin cậy này được thiết lập, việc xác thực người dùng đăng nhập vào mạng trên máy trạm sẽ do các máy điều khiển vùng thực hiện.
Khi gia nhập một máy trạm vào miền, cần có sự đồng ý từ quản trị mạng cấp miền và quản trị viên cục bộ của máy trạm Bạn phải đăng nhập cục bộ với quyền administrator, sau đó thực hiện việc gia nhập vào miền Hệ thống sẽ yêu cầu xác thực bằng tài khoản người dùng cấp miền có quyền "Add Workstation to Domain", và bạn có thể sử dụng tài khoản administrator cấp miền để thực hiện điều này.
Sau khi nâng cấp Server1 lên Domain Controller Tiếp theo sau là Zone một máy trạm vào Domain trong phần này thực hiện trên Server2
Login vào Server2 với Username là Administrator thực đội gian nhập một máy trạm vào Domain như sau:
Click chuột phải vào Icon Network trên Desktop chọn Properties sau đó Click chọn tiếp vào Manager network connections
Click chọn Internet Protocol Version 4 (TCP/IPv4)
Bước tiếp theo trở lại màn hình Desktop Click chuột phải vào Icon Computer chọn Properties tiếp tực Click chọn Change settings
Trong hộp thoại System Properties tiếp tục Click chọn Change…
Hộp thoại Computer name/Domain Changes, Bạn đánh cấu chọn vào ô Domain vào nhập tên Domain của máy Domain Controller vào sau đó Click chọn
Hộp thoại Windows Security yêu cầu bạn nhập tên người dùng và mật khẩu của quản trị viên cấp miền Bạn cần nhập "Administrator" làm tài khoản quản trị cho miền qtm.vn.
Hộp thoại Computer Name/Domain Changes xuất hiện lời chào mừng
Sau khi máy Server2 đã gia nhập thành công hệ thống yêu cầu Restart lại Server2
Triển khai Active Directory Forest và Domain Tree
Trust Relationship là một kết nối logic giữa các hệ thống Domain, cho phép chứng thực lẫn nhau Nó giải quyết vấn đề "single sign-on", cho phép người dùng chỉ cần đăng nhập một lần để truy cập tất cả các dịch vụ trên nhiều Domain khác nhau Nhờ Trust Relationship, người dùng từ một Domain có thể dễ dàng truy cập vào dịch vụ triển khai trên Domain khác mà không cần phải xác thực lại.
Trong một trust relationship cần phải có 2 Domain Domain được tin tưởng gọi là Trusted Domain, còn Domain tin tưởng Domain kia gọi là Trusting Domain
Cơ chế Trust Relationship đảm bảo rằng các đối tượng như người dùng, ứng dụng hoặc chương trình được tạo ra trong một Trusted Domain có thể được xác thực khi đăng nhập hoặc truy cập tài nguyên và dịch vụ trên Trusting Domain Hệ thống Windows hỗ trợ đến 6 loại trust relationship, mỗi loại có những đặc tính và ứng dụng riêng biệt.
- Tree/root trust: Hệ thống tự thiết lập khi ta đưa thêm một tree root domain vào trong forest có sẵn
- Parent/child trust: Hệ thống tự thiết lập khi ta đưa thêm một child domain vào trong một tree có sẵn
Shortcut trust là một thiết lập giữa hai miền trong cùng một forest nhằm giảm thiểu các bước chứng thực cho người dùng Nó giúp tối ưu hóa quy trình xác thực bằng cách giám sát các bước thực hiện thông qua giao thức Kerberos.
Realm trust là một phương thức thiết lập giữa hệ thống không sử dụng hệ điều hành Windows và hệ thống Domain Windows 2008 Để thực hiện điều này, hệ thống cần phải có giao thức chứng thực tương thích với giao thức Kerberos của Windows 2008.
- External trust: Thiết lập để liên kết 2 Domain thuộc 2 Forest khác nhau để giảm bớt các bước chứng thực
Forest trust là một thiết lập giữa hai forest, bắt đầu được hỗ trợ từ Windows 2008 Đây là phương pháp hiệu quả và ngắn gọn để xác thực các đối tượng thuộc domain của cả hai forest.
- Đối tượng Domain được tin tưởng
- Đại diện một vài mối quan hệ tin cậy trong phân vùng Domain
- Lưu trữ thông tin của loại trust:
+ Service principal name (SPN) suffixes
Cách Trust làm viêc trong một Forest:
Mô hình cách làm việc của Trust trong 1 Forest
Cách Trust làm việc giữa các Forest:
Mô hình cách làm việc của Trust giữa các Forest
QUẢN TRỊ CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY
Quản trị tài khoản User , Group , Computer
1.1 Giới thiệu về User Account:
Người sử dụng cần truy cập tài nguyên trên máy tính trong mạng thông qua user account, giúp xác nhận danh tính và cấp quyền truy cập Một user account bao gồm tên người dùng và mật khẩu, cho phép người dùng đăng nhập vào một miền hoặc máy tính từ xa Mọi người sử dụng mạng đều nên có một user account Windows 2008 Server hỗ trợ ba loại user account: Local User Account, Domain User Account và Built-in User Account.
* Local User Account (User Account cục bộ):
Tài khoản người dùng cục bộ cho phép người dùng chỉ đăng nhập vào máy tính cụ thể nơi tài khoản được tạo Người dùng chỉ có thể truy cập các tài nguyên có sẵn trên máy đó Mỗi tài khoản người dùng cục bộ được thiết lập trong cơ sở dữ liệu bảo mật của từng máy tính.
* Domain User Account (User account trong Domain):
Tài khoản người dùng Domain cho phép người sử dụng đăng nhập vào một miền và truy cập nhiều tài nguyên trên mạng Khi người dùng cung cấp thông tin đăng nhập (tên người dùng và mật khẩu), một thẻ truy cập được tạo ra để xác nhận danh tính và thiết lập bảo mật của họ Thẻ truy cập này, do Windows Server 2008 cung cấp, sẽ tồn tại cho đến khi người dùng đăng nhập và sẽ mất đi khi họ đăng xuất Tài khoản người dùng được lưu trữ trong cơ sở dữ liệu của Active Directory và sẽ được nhân bản đến các Domain Controller khác trong miền.
Quá trình nhân bản trong Active Directory sẽ mất một khoảng thời gian nhất định, thường là khoảng 5 phút trong một site, do đó không thể xử lý ngay lập tức các tài nguyên trên mạng thông qua các tài khoản người dùng mới được tạo.
* Built-in User Account (User Account tạo sẵn):
Tài khoản Built-in được tự động tạo ra bởi Windows Server 2008, phục vụ cho người dùng thực hiện các tác vụ quản trị hoặc thao tác mạng trên cơ sở dữ liệu tạm thời Có hai loại tài khoản Built-in là tài khoản Quản trị viên (Administrator account) và tài khoản Khách (Guest account), và hai loại tài khoản này không thể bị xóa.
Tài khoản Quản trị viên (Administrator Account) là tài khoản tích hợp dùng để quản lý máy tính và cấu hình trong miền, bao gồm các tác vụ như tạo và sửa đổi nhóm, tài khoản người dùng, máy in và chính sách bảo mật Để nâng cao bảo mật, nên tạo một tài khoản người dùng mới cho các nhiệm vụ không phải quản trị hệ thống, trong khi tài khoản quản trị viên chỉ nên được sử dụng cho các tác vụ quản trị Một biện pháp hiệu quả để ngăn chặn người dùng không có quyền truy cập vào hệ thống là đổi tên tài khoản quản trị viên tích hợp, giúp nó không giống như một tài khoản quản trị viên Ngoài ra, có thể tạo một tài khoản người dùng mang tên "administrator" nhưng không cấp quyền truy cập nào cho tài khoản này, nhằm đánh lừa người sử dụng.
Tài khoản khách cho phép người dùng đăng nhập tạm thời và truy cập các tài nguyên mạng Mặc định, tài khoản khách bị vô hiệu hóa, nhưng có thể được kích hoạt trên mạng bảo mật thấp và được gán mật khẩu để tăng cường bảo mật.
1.2 Tạo và quản lý Account
Khi tạo tài khoản người dùng, việc lập kế hoạch và tổ chức thông tin là rất quan trọng Chúng ta cần làm quen với các quy ước và chỉ dẫn để dễ dàng quản lý tài khoản sau này Để thực hiện kế hoạch hiệu quả, cần tuân thủ ba nguyên tắc cơ bản: Quy tắc đặt tên, Chỉ dẫn mật khẩu và Tùy chọn tài khoản.
* Quy tắc đặt tên User Account:
Các quy tắc đặt tên là yếu tố quan trọng quyết định cách người dùng nhận diện trong một miền Việc tuân thủ các quy tắc hiện có là cần thiết Dưới đây là những điểm cần lưu ý khi xác định quy tắc đặt tên cho tổ chức của chúng ta.
Chúng ta cần gán một tên duy nhất cho các tài khoản người dùng miền và lưu trữ chúng trong Active Directory Đối với tài khoản cục bộ, tên tài khoản cũng phải là duy nhất trong hệ thống nơi các tài khoản cục bộ được tạo ra.
- User account có thể nên đến 20 kí tự chữ thường hoặc chữ hoa và các kí tự sau đây không được sử dụng để đặt tên cho User account: “/ \ [ ] ; | = , + * ? <
Các tên người dùng không phân biệt giữa chữ hoa và chữ thường, và việc sử dụng sự kết hợp độc đáo của các ký tự số có thể giúp đơn giản hóa quá trình nhận diện tên người dùng.
Đối với một tổ chức lớn với nhiều người dùng, quy tắc đặt tên rất quan trọng để tránh trùng lặp Cần xác định rõ các nhân viên tạm thời trong tổ chức để dễ dàng xóa tên đăng nhập của họ khi họ rời đi Để thực hiện điều này, hãy thêm kí tự "T" (tạm thời) và một dấu "-" vào tên đăng nhập của những người dùng tạm thời.
Mỗi tài khoản người dùng cần có một mật khẩu phức tạp để bảo vệ các hoạt động trên máy tính hoặc miền, giúp ngăn chặn các đăng nhập trái phép Dưới đây là những điểm quan trọng cần lưu ý khi xác định quy tắc đặt tên cho tổ chức của chúng ta.
- Luôn luôn được khuyến cáo gán mật khẩu cho Administrator account để tránh các tiếp nhận không cho phép của account
Để bảo vệ tài khoản administrator, hãy sử dụng mật khẩu khó đoán, tránh những thông tin dễ nhận diện như ngày sinh hoặc tên của người thân và bạn bè.
- Password nên chứa các kí tự thường, chữ hoa, các kí tự số và các kí tự đặt biệt hợp lệ khác(non-alphanumeric)
Chúng ta cần xác định quyền kiểm soát mật khẩu giữa quản trị viên và người dùng Thông thường, quyền này được cấp cho người dùng, cho phép họ nhập hoặc thay đổi mật khẩu trong lần đăng nhập đầu tiên Quản trị viên có thể cung cấp một mật khẩu duy nhất cho tài khoản người dùng, trong khi người dùng có khả năng ngăn chặn việc thay đổi mật khẩu.
Quản trị OU
2.1 Xây dựng và quản lý OU Đơn vị tổ chức (OU) là một phân khu trong một Active Directory mà bạn có thể chứa đựng: User account, Groups, Computers, và các đơn vị tổ chức khác Bạn có thể tạo ra các đơn vị tổ chức để nhân bản cấu trúc chức năng hoặc tổ chức kinh doanh của bạn Mỗi miền có thể thực hiện của hệ thống phân cấp đơn vị tổ chức Nếu tổ chức của bạn có chứa một số lĩnh vực, bạn có thể tạo ra những cấu trúc đơn vị tổ chức trong từng lĩnh vực là độc lập của các cấu trúc trong các lĩnh vực khác
Thuật ngữ "đơn vị tổ chức" thường được viết tắt là "OU" trong giao tiếp hàng ngày Từ "Container" cũng thường được sử dụng thay thế cho thuật ngữ này, bao gồm cả trong tài liệu của Microsoft Tất cả các thuật ngữ này đều được coi là chính xác và có thể hoán đổi cho nhau.
Các phương pháp tạo và quản lý OU:
* Active Directory Users and Computer:
To access the management window for system members, navigate to Start, then Administrative Tools, and select Active Directory Users and Computers, or alternatively, press Start, run the command DSA.MSC Once open, right-click on the domain name, choose New, then Organizational Unit, and enter the desired name.
OU vào ô Name / OK, OU vừa tạo sẽ được liệt kê bên dưới tên domain
* Các l ệ nh h ỗ tr ợ : dsadd, dsmod, dsrm, dsmove, dsget, dsquery
- dsadd: cho phép bạn thêm một computer, contact, group, ou hoặc user vào trong dịch vụ Directory
- dsrm: xóa một đối tượng trong dịch vụ Directory
- dsmove: di chuyển một đối tượng từ vịtrí này đến vị trí khác trong dịch vụ Directory
- dsget: hiển thị các thông tin lựa chọn của một đối tượng computer, contact, group, ou, server hoặc user trong một dịch vụ Directory
- dsmod: chỉnh sửa các thông tin của computer, contact, group, ou hoặc user trong một dịch vụ Directory
- dsquery: truy vấn các thành phần trong dịch vụ Directory
2.2 Ủy quyền và quản lý OU
* M ục đích ủ y quy ề n qu ả n tr ị OU:
- Phân tán việc quản lý cho từng OU
- Đơn giản hóa trong việc quản trị
- Việc ủy quyền cung cấp
- Việc tự quản trong mỗi OU
- Cô lập quản lý dữ liệu và dịch vụ
* Các tác v ụ qu ả n tr ị OU:
- Thay đổi thuộc tính của vật chứa (container)
- Thay đổi thuộc tính cuat object
2.3 Chiến lược xây dựng OU
* Ti ế n trình l ậ p k ế ho ạ ch xây d ự ng OU:
- Lập tài liệu về cấu trúc hiện tại của doanh nghiệp
- Xác định các vùng cần cải tiến quản trị
- Xác định cấp độ quản trị
- Xác định tài khoản quản trị và tài khoản người dùng trong từng OU và các tài nguyên mà họ được phép quản lý và sử dụng
* Các nhân t ố ảnh hương đế n c ấ u trúc OU:
- Các loại mô hình quản trị IT:
+ Tập trung tại hội sở (Trụ sở chính) và phân tán tại chi nhánh + Quản trị phân tán
- Cấu trúc của các mô hình quản trị IT:
+ Dựa trên vị trí địa lý (Geographic - based) + Dựa trên cấu trúc tổ chức phòng ban của doanh nghiệp (Organization - based)
+ Dựa trên chức năng trong cách tổ chức của doanh nghiệp
(Bussiness function - based) + Kết hợp (Hybrid)
* Chi ến lượ c trong vi ệ c tri ể n khai c ấ u trúc OU:
Mô hình chiến lược triển khai cấu trúc OU
Quản trị Profile User
3.1 Cấu hình Home Directory - Profiles
Home Folder là một share folder tự động map về máy trạm thành ổ đĩa mạng khi User đăng nhập bất kỳ client nào
Home directory là thư mục cất giữ dữ liệu, chương trình, ứng dụng của một User ngoài thư mục My Documents
Home directory có thể cất giữ local trên mỗi máy user log on locally hay có thể cất giữ trên server
To configure the Home Directory, navigate to "User Account Properties" under the Profile tab First, log in to the Domain Controller with Administrator privileges Create a folder named "DULIEU" on the C: drive Right-click on the newly created folder, select Properties, and then proceed to the Sharing tab to complete the setup.
To share a folder, click on the Sharing tab, then select Advanced Sharing Check the box for "Share this folder," and under Permissions, grant the Everyone group Full Control Finally, click Apply and then OK to save the changes.
Hộp thoại DULIEU Properties đã được Sharing / Click chọn Close đễđống cửa sổ này lại
To create a user in Active Directory Users and Computers, access the tool from the Start menu under Administrative Tools Create a new user named U1, then right-click on U1 and select Properties In the Profile tab, set the Home folder by checking the Connect option and entering the path for the user profiles: \\DC01\DULIEU\%username% Finally, click Apply and then OK to save the changes.
Profile là tập hợp dữ liệu đặc thù của người dùng, bao gồm Favorites của Internet Explorer, bookmark của Firefox, cài đặt Outlook và nhiều thông tin khác Windows được thiết kế để lưu trữ dữ liệu người dùng tại một vị trí cố định, như ổ cứng hoặc server Khi người dùng đăng nhập vào máy tính, hệ thống sẽ tự động tải dữ liệu trong profile của họ, bao gồm cả các phần mềm được cấu hình khởi động cùng Windows.
Roaming Profiles là loại hồ sơ người dùng được lưu trữ trên máy chủ, cho phép người dùng truy cập thông tin và thiết lập của họ từ bất kỳ máy tính nào khi đăng nhập Ngược lại, Local Profiles được lưu trữ trực tiếp trên máy tính, với ít dữ liệu được chuyển giữa PC và máy chủ Lợi ích của Roaming Profiles là tự động sao lưu dữ liệu của người dùng lên máy chủ mỗi khi họ đăng xuất, giúp người dùng giữ nguyên các thiết lập cá nhân khi đăng nhập vào nhiều máy tính khác nhau, rất hữu ích trong môi trường làm việc không cố định như phòng lab.
Nhược điểm của Roaming Profile bao gồm việc bảo mật khi bản sao profile người dùng được lưu trên máy tính mà họ đăng nhập Thời gian đăng nhập cũng trở thành vấn đề, đặc biệt nếu người dùng lưu trữ quá nhiều dữ liệu trong profile, dẫn đến việc chờ đợi lâu khi đăng nhập hoặc tắt máy Thêm vào đó, profile lớn còn tiêu tốn nhiều băng thông để truyền dữ liệu, trong đó có một phần lãng phí do nhiều tập tin và dữ liệu được tải đồng bộ nhưng không được người dùng sử dụng.
To share the folder C:\Profiles with full control permissions for everyone, right-click on the Profiles folder and select Properties In the Sharing tab, click on Advanced Sharing, check the box for "Share this folder," and then set the permissions accordingly.
➢ Chọn Allow full control chọn ok / ok
➢ Mở Active directory user and computer chọn server manager vào Role chọn Active directory services chọn Active directory user and computer chọn users
➢ Click chuột phải vào User U1 chọn properties qua Tab Profile điền địa chỉ thư mục Profile đã share trên PC1 gõ vào \\PC1\%username% chọn Apply
Tạo các đối tượng bằng Command Line
4.1 Câu lệnh tạo OU (Organizational Unit) – Command line creat OU
Cấu trúc câu lệnh tạo OU: dsadd ou [-desc ] [{-s | -d
}][-u ] [-p { | *}] [-q] [{-uc | -uco | -uci}]
Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau: dsadd ou ou=it,dc=qtm,dc=com Ý nghĩa câu lệnh tạo OU:
+ dsadd ou: khởi tạo một ou
+ ou=it:tạo OU có tên IT
+ dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó
Chú ý: Nếu domain có dạng tên miền con ví dụ như: qtm.com.vn thì khai báo thêm như sau: dc=qtm, dc=com,dc=vn
Khi câu lệnh báo secceeded có nghĩa là đã tạo thành công Vào Active Directory Users and Computers ta thấy OU tên IT đã được tạo
2 Câu lệnh tạo group – command creat group
Cấu trúc câu lệnh tạo group: dsadd group [-secgrp {yes | no}] [-scope {l | g | u}] [-samid
] [-desc ] [-memberof …] [-members
To create a group in Active Directory, open the Command Prompt (cmd) with administrator privileges and enter the following command: `dsadd group cn=it_group,ou=it,dc=qtm,dc=com -secgrp yes -scope g` This command establishes a security group named "it_group" within the "it" organizational unit of the "qtm.com" domain.
+ dsadd group: câu lệnh sẽ khởi tạo một group
+ cn=it_group: Group được tạo có tên là it_group
+ ou=it: Group được tạo sẽ nằm trong ou có tên là it.
+ dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó
+ -secgrp yes: Kiểu group là Security, nếu chọn no sẽ là kiểu Distribution
+ -scope g: scope của group là Global, nếu chọn tham số là l sẽ là kiểu Domain local, tham số U là kiểu Universal
Vào Active Directory Users and Computers sẽ thấy group it_group được tạo thành công
3 Câu lệnh tạo user – Command line create User
Cú pháp câu lệnh tạo User: dsadd user [-samid ] [-upn ] [-fn
] [-mi ] [-ln ] [-display ] [- empid ] [-pwd { | *}] [-desc ] [- memberof …] [-office ] [-tel ] [-email
] [-hometel ] [-pager ] [- mobile ] [-fax ] [-iptel ] [-webpg ] [-title ] [-dept ] [-company
] [-mgr ] [-hmdir ] [-hmdrv
:][-profile ] [-loscr ] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires ] [-disabled {yes | no}] [{-s
| -d }] [-u ] [-p { | *}] [-q] [{-uc | -uco | - uci}]
To create a new user in Active Directory, open the command prompt as an administrator and enter the following command: ```bashdsadd user cn=wp,ou=it,dc=qtm,dc=com -fn Vu -ln Anh -display "Vu Anh" -office QTM -tel 0912345678 -email vuanh@gmail.com -webpg http://vuanh.com``` This command adds a user named Vu Anh with specified attributes such as office location, telephone number, email address, and web page.
-dept IT –company QTM -mustchpwd no -canchpwd no -disabled no -acctexpires never –pwd abc@123 Ý nghĩa cú pháp câu lệnh tạo user:
+ dsadd user: Câu lệnh báo sẽ tạo user
+ cn=wp: tên tài khoản login của user
+ ou=it: user này nằm trong OU có tên là IT.
+ dc=qtm, dc = com: khai báo domain sẽ tạo OU lên đó
+ -fn Vu: First Name của user có tên là Hoang
+ -ln Anh: LastName của user là Thông
+ -display “Vu Anh”: Tên hiển thị của tài khoản là Vu Anh
Chú ý: Kiểu tên dài có dấu cánh sẽ phải đặt trong dấu nháy kép ví dụ: “Vu Anh”
+ -office QTM: thuộc văn phòng QTM
+ -tel 0912345678: số điện thoại của user
+ -email vuanh@gmail.com: email của user
+ -webpg http://vuanh.com: website của user
+ -dept IT: User thuộc phòng ban IT
+ -company QTM: Công ty của user là QTM
+ -mustchpwd no: Tài khoản không yêu cầu phải đổi mật khẩu ngay lần đăng nhập đầu tiên Nếu chọn yes có nghĩa là phải đổi
+ -canchpwd no: Tài khoản không thể đổi được mật khẩu
+ -acctexpires never: Tài khoản không bao giờ hết hạn
+ -pwd abc@123: Thiết lập mật khẩu cho tài khoản là abc@123
Vào Active Directory Users and Computers sẽ thấy tài khoản wp được tạo thành công
Một số cú pháp các đối tượng trong Active Directory