Domain Controller - Join Domain Bởi: Phạm Nguyễn Bảo Nguyên Hãy tưởng tượng trong công ty bạn có khoảng 5 máy tính với mỗi máy chúng ta sẽ tạo các User Account cho nhân viên truy cập. Tuy nhiên nếu người dùng đăng nhập vào máy 1 để làm việc sau đó anh ta sang máy thứ 2 làm việc thì mọi tại nguyên do anh ta tạo trên máy 1 hoàn toàn độc lập với máy 2 và thậm chí với từng máy Admin phải tạo các User Account giống nhau anh ta mới truy cập được, mọi chuyện sẽ không trở nên quá rắc rối nếu công ty chúng ta có chừng ấy máy. Nhưng nếu công ty bạn có khoảng 100 máy thì mọi chuyện lại khác, vấn đề đặt ra là chả lẽ mỗi máy Admin phải ngồi tạo 100 Account để nhân viên truy cập? và vì mỗi máy độc lập với nhau việc tìm lại dữ liệu trên máy mà ta từng ngồi làm việc trước đó là cực kỳ khó khăn. Do đó Windows đã có tính năng là Domain Controller (DC) giúp ta giải quyết rắc rối trên. Điều kiện để có một DC là bạn phải trang bị một máy Server riêng được gọi là máy DC các máy còn lại được gọi là máy Client, cả hệ thống được gọi là Domain Khi đó Administrator chỉ việc tạo User Account ngay trên máy DC mà thôi nhân viên công ty dù ngồi vào bất cứ máy nào trên Domain đều có thể truy cập vào Account của mình mà các tài nguyên anh ta tạo trước đó đều có thể dễ dàng tìm thấy. Để làm việc này chúng ta đi vào chi tiết, trước tiên bạn phải dùng một máy để làm DC cách nâng cấp lên DC như sau:bạn vào mục TCP/IP của máy DC chỉnh Preferred DNS về chính là IP của máy DC 1/17
Vào Start -> Run gõ lệnh dcpromo -> Enter Trong cửa sổ Active Dirrectory Installation chọn Next 2/17
Check mục Domain in a new forest sau đó nhấp Next Gõ Domain của bạn vào trong ví dụ này là gccom.net sau đó nhấp Next 3/17
Tiếp tục chọn Next Tiếp tục chọn Next 4/17
Tiếp tục chọn Next Trong cửa sổ DNS Registration Diagnostics chọn mục 2 5/17
Tiếp tục chọn Next Tiếp tục chọn Next 6/17
Tiến trình upgrade lên DC bắt đầu, trong quá trình cài đặt nếu Windows yêu cầu bạn chèn đĩa CD Windows Server 2003 vào bạn cứ chèn vào và Browser... đến thư mục i386 để tiếp tục cài đặt sau đó bạn chờ cho hoàn tất và Restart lại máy Sau khi khởi động lại máy bạn chú ý thấy rằng từ nay về sau tại màn hình đăng nhập xuất hiện thêm dòng Log on to 7/17
Để kiểm tra xem máy có Up lên DC hoàn tất hay chưa bạn vào System Properties xem sẽ thấy xuất hiện mục Domain: gccom.net Bạn nhấp phải vào My Computer chọn Manage sẽ không còn thấy mục Local Users And Group nữa vì bây giờ máy chúng ta đã là máy DC rồi định nghĩa Local không 8/17
còn tồn tại nữa mà thay vào đó là công cụ Active Directory Users and Computers trong mục Administrative Tools Create User & GroupNhư các bài trước các bạn đã biết để nâng cao chế độ bảo mật hoặc tuỳ chỉnh trong Windows ta sử dụng công cụ Group Policy nhưng khi chúng đã nâng cấp Windows lên DC rồi thì ta sẽ có 2 công cụ mới là Domain Controller Sercurity Policy và Domain Sercurity PolicyDomain Controller Sercurity Policy: Các tuỳ chỉnh trong này chỉ tác động lên máy DC mà thôidomain Sercurity Policy: Các tuỳ chỉnh trong này sẽ tác động lên toàn bộ user trên domain 9/17
Kể từ bây giờ để tạo User mới ta vào Active Directory Users and ComputersVà các user bạn tạo ra không còn gọi là Local User nữa mà gọi là Domain User, còn khi bạn truy cập vào máy DC dưới quyền Administrator thì bạn được gọi là Domain Admin, song song đó nếu bạn truy cập vào máy Client nào đó dưới quyền Domain Administrator thì bạn vừa là Local Admin của máy đó vừa là Domain Admin 10/17
Trong cửa sổ Active Directory Users and Computers tôi tạo 2 Account mới là gccom1 & gccom2 thao tác tương tự như khi tạo Local User Bây giờ khi nâng lên DC rồi Windows cũng sẽ nâng cao chế độ bảo mật lên và không cho phép bạn tạo Password đơn giản nữa mà buộc bạn phải tạo Password phức tạp hơn sao cho thoả 3 trong 4 điều kiện sau:- Password phải chứa các ký tự chữ thường abc...- Password phải chứa các ký tự chữ hoa ABC...- Password phải chứa các ký tự số 11/17
123...- Password phải chứa các ký tự đặc biệc như:!@#$%^...vd: P@assword được gọi là một password phức tạp Ngoài ra bạn có thể chỉnh trong Domain Sercurity Policy để tạo được Password đơn giảnjoin to DomainSau khi nâng cấp máy Server lên DC bây giờ ta tiến hành Join tất cả các máy Client vào Domain. Lợi ích của việc Join vào Domain này là rất nhiều trong bài này không thể nói hết được nhưng cứ hiểu một cách nôm na rằng join vào Domain rồi mọi máy Client không cần tạo User gì cả mà chỉ cần dùng các User Account mà ta đã tạo trên DC mà vẫn có thể truy cập vào máy một cách ngon lành. Cách Join như sau:vào TCP/IP chỉnh DNS là IP của máy DC 12/17
Mở System Properties lên chọn Tab Computer Name chọn Changes...Trong mục Member of bạn không chọn Workgroup nữa mà chọn là Domain và nhập Domain vào, trong ví dụ này là gccom.net 13/17
Sau đó Windows sẽ bật ra hộp thoại yêu cầu bạn khai báo User & Password đăng nhập máy DC, bạn nhập bất cứ Account nào đã từng tạo trên DC rồi vào, lưu ý rằng bạn thêm gccom.net\ trước user đăng nhập Sau khi Join thành công Windows sẽ yêu cầu bạn Restart lại máy bạn Restart lại để hoàn tất việc Join Domain, kể từ bây giờ bạn có thể sử dụng các Account đã từng tạo 14/17
trên DC để truy cập vào bất cứ máy nào trên Domain nàyjoin Domain with NetdomChúng ta vẫn thường join domain cho một máy Client bằng cách chỉnh ở hộp thoại Computer Name Change. Với cách này bạn sẽ phải đến từng máy Client để join. Chúng ta có một cách khác để join client vào domain mà không phải đến trực tiếp máy Client, đó là dùng dòng lệnh Netdom Lệnh Netdom không có sẵn trong Windows Server 2003, để có thể dùng Netdom bạn phải cài thêm bộ Windows Support Tools có trong đĩa CD cài Windows Server 2003.Bạn vào CD cài W2K3, vào thư mục Support\Tools và chạy file SUPTOOLS.MSI để cài đặt. Sau khi cài Windows Support Tools, bạn có thể ngồi trên máy DC và đánh lệnh Netdom để bắt máy client join vào domain mà không phải đến máy client. Tất nhiên trước đó, bạn phải thiết lập IP chính xác cho client.cú pháp của lệnh Netdom như sau: netdom join computername /domain: domainname /userd: user /passwordd: password /usero: user /passwordo: password /OU: OUDN /Reboot: seconds computername - tên của máy tính client sẽ được join vào miền. /domain:domainname - tên của miền mà máy client sẽ join tới. /userd:user - tên tài khoản người dùng miền mà dòng lệnh sử dụng để join máy client vào miền. Tài khoản này không nhất thiết phải là Administrator, một tài khoản thường mặc định cũng có thể join tối đa 10 client vào miền. /passwordd:password - mật khẩu của userd. Nếu bạn nhập * thì sau khi nhấn Enter dòng lệnh sẽ bắt ta nhập password. 15/17
/usero:user - tên tài khoản người dùng cục bộ trên máy client mà dòng lệnh sử dụng để kết nối tới máy client. /passwordo:password - mật khẩu của usero. Bạn cũng có thể nhập * /OU:OUDN - tên DN của OU mà tại đó đối tượng máy tính của client sẽ được tạo ra. Nếu để trống thì client mặc định sẽ được đưa vào đối tượng chứa Computer. /Reboot:second - thời gian tính theo giây máy client sẽ khởi động lại sau khi join thành công. Với Windows 2000, bạn có thể thực hiện lệnh trên thành công mà không cần phải thiết lập thêm gì cả. Tuy nhiên đối Windows XP, bạn sẽ thấy báo lỗi, mặc dù bạn đã điền các thông số hoàn toàn chính xác. Điều đó là bởi tính năng ForceGuest trên các máy tính Windows XP. Trên các máy tính Windows XP Professional không gia nhập một miền nào thì mặc định tất cả người dùng khi log vào các máy đó qua mạng đều bị "force" là truy cập bằng tài khoản Guest, tính năng đó gọi là ForceGuest. Mà tài khoản Guest lại không có quyền join một máy tính vào miền, đó chính là lý do của lỗi. Vậy chúng ta phải tắt tính năng ForceGuest trên các máy WinXP trước khi thực hiện lệnh Netdom. Để tắt ForceGuest, bạn chỉnh sửa trong Registry: HKEY_LOCAL_MACHINE \ SYSTEM \ CurentControlSet \ Control \ Lsa Trong khóa đó, bạn kiểm tra đã có value tên là forceguest chưa. Nếu chưa có, bạn tạo ra value mới tên là forceguest, kiểu DWORD và đặt giá trị là 0, sau đó restart máy client. 16/17
Cách thứ 2 để bật/tắt tính năng này: Dùng Group Policy: run -> gpedit.msc Vào: Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\ Security Options. Mở policy: Network Access: Sharing and security model for local accounts và chọn Classic - local users authenticate as themselves Lưu lại thay đổi: run -> gpupdate /force Bây giờ bạn có thể join máy WinXP từ xa bằng dòng lệnh Netdom. Chú ý: để chắc chắn, các password bạn không nên để trắng vì lý do tương thích. 17/17