Trang Chủ-Tải chương trinh-Tạo tài khoản người dùng miền. Tài khoản người dùng miền

Tạo tài khoản người dùng miền. Tài khoản người dùng miền

Sử dụng tài khoản người dùng giúp nhiều người làm việc trên cùng một máy tính dễ dàng hơn. Mỗi người dùng có thể có một tài khoản riêng với cài đặt riêng của họ, chẳng hạn như nền màn hình và trình bảo vệ màn hình. Tài khoản xác định tệp và thư mục nào mà người dùng có quyền truy cập và những thay đổi nào họ có thể thực hiện đối với máy tính. Đối với hầu hết người dùng, tài khoản thông thường được sử dụng.

Miền, nhóm làm việc và nhóm nhà đại diện cho các phương pháp khác nhau để tổ chức các máy tính trên mạng. Sự khác biệt chính là cách máy tính và các tài nguyên khác được quản lý.

Máy tính chạy Windows trên mạng phải là một phần của nhóm làm việc hoặc miền. Máy tính chạy Windows trên mạng gia đình cũng có thể là một phần của nhóm nhà, nhưng chúng không nhất thiết phải như vậy.

Máy tính trên mạng gia đình thường là một phần của nhóm làm việc và có thể là một nhóm nhà, trong khi máy tính trên mạng nơi làm việc thường là một phần của miền. Các bước bạn cần thực hiện khác nhau tùy thuộc vào việc máy tính nằm trong miền hay nhóm làm việc.

Trong nhóm làm việc:

· Tất cả các máy tính đều là mạng ngang hàng; không máy tính nào có thể điều khiển máy tính kia.

· Mỗi máy tính có nhiều tài khoản người dùng. Để đăng nhập vào bất kỳ máy tính nào thuộc nhóm làm việc, bạn phải có tài khoản trên máy tính đó.

· Một nhóm làm việc thường có không quá hai mươi máy tính.

· Nhóm làm việc không được bảo vệ bằng mật khẩu.

· Tất cả các máy tính phải trên cùng một mạng cục bộ hoặc mạng con.

Trong nhóm nhà:

· Máy tính trong mạng gia đình phải thuộc một nhóm làm việc, nhưng chúng cũng có thể là thành viên của một nhóm nhà. Với nhóm nhà, việc chia sẻ ảnh, nhạc, video, tài liệu và máy in với những người khác dễ dàng hơn nhiều.

· HomeGroup được bảo vệ bằng mật khẩu, nhưng bạn chỉ nhập nó một lần khi thêm máy tính vào HomeGroup.

Trong miền:

· Một hoặc nhiều máy tính là máy chủ. Quản trị viên mạng sử dụng máy chủ để kiểm soát bảo mật và quyền đối với tất cả các máy tính trong miền. Điều này giúp bạn dễ dàng thay đổi cài đặt vì các thay đổi được tự động thực hiện cho tất cả các máy tính. Người dùng miền phải cung cấp mật khẩu hoặc thông tin đăng nhập khác mỗi khi họ truy cập miền.

· Nếu người dùng có tài khoản trong miền, họ có thể đăng nhập vào bất kỳ máy tính nào. Điều này không yêu cầu bạn phải có tài khoản trên chính máy tính.

· Quyền thay đổi cài đặt máy tính có thể bị hạn chế vì quản trị viên mạng muốn đảm bảo rằng cài đặt máy tính nhất quán.

· Có thể có hàng nghìn máy tính trong một miền.

· Máy tính có thể thuộc các mạng cục bộ khác nhau.

Tài khoản (tài khoản) người dùng, máy tính và nhóm - một trong những yếu tố chính của kiểm soát truy cập vào tài nguyên mạng và do đó toàn bộ hệ thống an ninh mạng nói chung.

Trong môi trường Active Directory của Windows 2003, có 3 loại tài khoản người dùng chính:

  • Tài khoản người dùng cục bộ. Các tài khoản này tồn tại trong cơ sở dữ liệu cục bộ SAM (Người quản lý tài khoản bảo mật) trên mọi hệ thống chạy Windows 2003. Các tài khoản này được tạo bằng cách sử dụng Người dùng và Nhóm cục bộ (Người dùng và Nhóm cục bộ) bảng điều khiển quản lý máy tính (Quản lý máy tính). Lưu ý rằng để đăng nhập bằng tài khoản cục bộ, tài khoản đó phải có trong cơ sở dữ liệu SAM trên hệ thống mà bạn đang cố gắng đăng nhập. Điều này làm cho các tài khoản cục bộ không thực tế đối với các mạng lớn do chi phí quản trị lớn.
  • Tài khoản người dùng miền. Các tài khoản này được lưu trữ trong Active Directory và có thể được sử dụng để đăng nhập và truy cập các tài nguyên trong khu rừng AD. Các tài khoản thuộc loại này được tạo tập trung bằng cách sử dụng bảng điều khiển " kích hoạt các người dùng và máy tính " (" ").
  • Tài khoản tích hợp. Các tài khoản này do hệ thống tự tạo, không xóa được. Theo mặc định, bất kỳ hệ thống nào, dù là tách biệt (độc lập) hay được bao gồm trong một miền, đều tạo ra hai tài khoản - Người quản lý (Người quản lý) và Khách (Khách). Theo mặc định, tài khoản Khách bị vô hiệu hóa.

Hãy tập trung vào tài khoản người dùng miền. Các tài khoản này được lưu trữ trên bộ điều khiển miền lưu trữ bản sao của cơ sở dữ liệu Active Directory.

Có các định dạng khác nhau trong đó thông tin đăng nhập của người dùng có thể được biểu diễn vì chúng có thể khác nhau cho các mục đích tương thích với các máy khách chạy các phiên bản Windows trước đó (chẳng hạn như 95, 98, NT). Hai loại đăng nhập chính đang sử dụng hậu tố Tên chính của người dùng (tên người dùng chính) và tên đăng nhập của người dùng trên các hệ thống trước Windows 2000.

Tên người dùng chính ( UPN, Tên nguyên tắc người dùng) có cùng định dạng với một địa chỉ email. Nó bao gồm thông tin đăng nhập của người dùng, theo sau là dấu @ và tên miền. Theo mặc định, tên miền của miền gốc được đánh dấu trong hộp menu thả xuống, bất kể tài khoản được tạo ở miền nào (danh sách thả xuống cũng sẽ chứa tên miền mà bạn đã tạo tài khoản) .

Bạn cũng có thể tạo các hậu tố tên miền bổ sung (phần của tên đứng sau dấu @) sẽ xuất hiện trong danh sách thả xuống và có thể được sử dụng để tạo UPN nếu bạn chọn chúng (điều này được thực hiện bằng bảng điều khiển " Active Directory - Miền và Tin cậy " (" Miền và độ tin cậy của Active Directory ").

Chỉ có một điều kiện tiên quyết cho điều này - tất cả UPN trong rừng phải là duy nhất (tức là không lặp lại). Nếu tài khoản đăng nhập của người dùng sử dụng UPN để đăng nhập vào hệ thống Windows 2003, bạn chỉ cần cung cấp UPN và mật khẩu - không cần phải nhớ và chỉ định tên miền nữa. Một ưu điểm khác của hệ thống đặt tên này là UPN thường khớp với địa chỉ email của người dùng, điều này một lần nữa làm giảm lượng thông tin về người dùng cần được ghi nhớ.

Tài khoản cục bộ

Mọi máy tính Windows NT / 2000 / XP / 2003 (trừ khi máy chủ là bộ điều khiển miền) đều có cơ sở dữ liệu tài khoản cục bộ được gọi là cơ sở dữ liệu SAM. Các cơ sở dữ liệu này đã được thảo luận trong phần mô tả về mô hình bảo mật "Nhóm làm việc". Người dùng cục bộ và đặc biệt là các nhóm được sử dụng khi gán quyền truy cập vào tài nguyên của một máy tính cụ thể, ngay cả trong mô hình bảo mật miền. Các quy tắc chung để sử dụng cục bộ và nhóm miền để kiểm soát truy cập sẽ được mô tả bên dưới.

Quản lý tài khoản người dùng miền

Tài khoản người dùng miền (cũng như máy tính và nhóm) được lưu trữ trong các vùng chứa AD đặc biệt. Nó có thể là các thùng chứa tiêu chuẩn Người dùng cho người dùng và máy vi tính cho máy tính hoặc Đơn vị tổ chức (OU) do quản trị viên tạo. Ngoại lệ là tài khoản của bộ điều khiển miền, chúng luôn được lưu trữ trong RAM với tên Bộ điều khiển miền.

Hãy xem xét quá trình tạo tài khoản người dùng trong cơ sở dữ liệu Active Directory bằng cách sử dụng các ví dụ và phân tích các thuộc tính chính của tài khoản miền. Tài khoản cho máy tính được tạo trong quá trình kết nối máy tính với miền.

Tạo tài khoản miền

Chú ý! Các bài tập trong phòng thí nghiệm yêu cầu bạn định cấu hình các chính sách giúp giảm thiểu đáng kể các yêu cầu về mật khẩu và đặc quyền người dùng:

  • yêu cầu về độ phức tạp của mật khẩu bị vô hiệu hóa,
  • độ dài mật khẩu tối thiểu được đặt thành 0 (tức là mật khẩu có thể để trống),
  • thời hạn hiệu lực của mật khẩu tối thiểu được đặt thành 0 ngày (tức là người dùng có thể thay đổi mật khẩu bất kỳ lúc nào),
  • lịch sử lưu trữ mật khẩu được đặt thành 0 (tức là khi thay đổi mật khẩu, hệ thống không kiểm tra lịch sử của các mật khẩu đã sử dụng trước đó),
  • Nhóm Người dùng được cấp quyền đăng nhập cục bộ vào bộ điều khiển miền.

Các chính sách này chỉ được đặt để thuận tiện cho việc thực hiện các bài tập, các chính sách này phải được thực hiện với các quyền của người dùng bình thường trên máy chủ bộ điều khiển miền. Trong thực tiễn quản trị thực tế, không bao giờ được đặt các cài đặt bảo mật yếu như vậy, các yêu cầu về mật khẩu và quyền người dùng phải rất nghiêm ngặt (các chính sách bảo mật sẽ được thảo luận sau trong phần này).

Quy tắc chọn ký tự để tạo mật khẩu:

  • độ dài mật khẩu - ít nhất 7 ký tự;
  • mật khẩu không được trùng với tên đăng nhập của người dùng, cũng như tên thường dùng, họ, tên của người thân, bạn bè, v.v.;
  • mật khẩu không được chứa bất kỳ từ nào (để loại trừ khả năng đoán mật khẩu bằng từ điển);
  • mật khẩu không được trùng với số điện thoại của người dùng (thông thường hoặc di động), số xe, hộ chiếu, bằng lái xe hoặc tài liệu khác của người đó;
  • mật khẩu phải là sự kết hợp của chữ hoa và chữ thường, số và các ký tự đặc biệt (chẳng hạn như @ # $% ^ * & () _ +, v.v.).

Và một quy tắc bảo mật nữa - thay đổi mật khẩu thường xuyên (tần suất thay đổi tùy thuộc vào yêu cầu bảo mật trong từng công ty hoặc tổ chức cụ thể). Các miền Windows có một chính sách xác định thời gian mà mật khẩu người dùng hết hạn.

Tổng quan về thuộc tính tài khoản người dùng

Thuộc tính tài khoản người dùng chứa một tập hợp lớn các cài đặt khác nhau, được đặt trên một số tab khi xem trong bảng điều khiển " kích hoạt các người dùng và máy tính", và khi cài đặt các sản phẩm phần mềm khác nhau, tập hợp các thuộc tính có thể được mở rộng.

Chúng ta hãy xem xét các thuộc tính quan trọng nhất theo quan điểm của quản trị.

Hãy mở bảng điều khiển kích hoạt các người dùng và máy tính"và xem các thuộc tính của người dùng mà chúng tôi vừa tạo.

Dấu trang " Chung". Tab này chủ yếu chứa dữ liệu tham chiếu có thể rất hữu ích khi tìm kiếm người dùng trong khu rừng quảng cáo. Điều thú vị nhất trong số đó là:

  • " Tên "
  • " Họ "
  • " Tên hiển thị "
  • " Sự miêu tả "
  • " Số điện thoại "
  • " E-mail "

Dấu trang " Địa chỉ”- thông tin tham khảo để tìm kiếm trong AD.

Dấu trang " Tài khoản"- một bộ tham số rất quan trọng (tham số" Đăng nhập người dùng" và " Đăng nhập người dùng (trước Windows 2000)"đã thảo luận ở trên khi tạo người dùng):

  • cái nút " Thời gian nhập cảnh"- ngày và giờ khi người dùng có thể vào miền;
  • cái nút " Lối vào…"- danh sách các máy tính mà từ đó người dùng có thể đăng nhập (đăng ký miền);
  • Trường loại hộp kiểm " Chặn tài khoản"- tùy chọn này không khả dụng cho đến khi tài khoản bị khóa sau một số lần đăng nhập không thành công nhất định (nỗ lực với mật khẩu không chính xác) được xác định bởi các chính sách, phục vụ để bảo vệ chống bẻ khóa mật khẩu của tài khoản khác bằng vũ lực; nếu một số nhất định nếu các lần thử không thành công được thực hiện, thì tài khoản người dùng sẽ tự động bị khóa, trường sẽ có sẵn và một dấu kiểm sẽ được đặt trong đó, quản trị viên có thể bỏ chọn theo cách thủ công hoặc nó sẽ tự động bị bỏ chọn sau khoảng thời gian được chỉ định bởi chính sách mật khẩu;
  • " Cài đặt tài khoản"(ba tham số đầu tiên đã được thảo luận ở trên):
    • " Yêu cầu thay đổi mật khẩu ở lần đăng nhập tiếp theo "
    • " Ngăn người dùng thay đổi mật khẩu "
    • " Mật khẩu không hết hạn "
    • " Tài khoản vô hiệu hóa"- buộc vô hiệu hóa tài khoản (người dùng sẽ không thể đăng nhập vào miền);
    • " Cần có thẻ thông minh để đăng nhập mạng tương tác"- đăng nhập vào miền sẽ được thực hiện không phải bằng mật khẩu mà bằng thẻ thông minh (đối với điều này, máy tính của người dùng phải có đầu đọc thẻ thông minh, thẻ thông minh phải chứa chứng chỉ do Tổ chức phát hành chứng chỉ tạo);
  • " Ngày hết hạn tài khoản"- đặt ngày mà tài khoản này sẽ không hợp lệ khi đăng ký miền (nên đặt thông số này cho nhân viên được thuê để làm công việc tạm thời, những người đến công ty đi công tác, sinh viên thực tập trong tổ chức , vân vân.)

Dấu trang " Những cái điện thoại ", " Cơ quan"- thông tin tham khảo về người dùng để tìm kiếm trong AD.

Dấu trang " Hồ sơ "

Hồ sơ (Hồ sơ) là cài đặt môi trường làm việc của người dùng. Cấu hình bao gồm: cài đặt màn hình (màu, độ phân giải màn hình, hình nền), cài đặt để xem thư mục máy tính, cài đặt cho trình duyệt Internet và các chương trình khác (ví dụ: vị trí của thư mục cho các chương trình thuộc họ Microsoft Office). Một hồ sơ được tạo tự động cho mỗi người dùng trong lần đầu tiên họ đăng nhập vào máy tính. Có các loại cấu hình sau:

  • địa phương- được lưu trữ trong thư mục " Tài liệu và Cài đặt"trên phân vùng đĩa nơi hệ điều hành được cài đặt;
  • di chuyển được(mạng hoặc chuyển vùng) - được lưu trữ trên máy chủ trong một thư mục chia sẻ, được tải vào phiên người dùng trên bất kỳ máy tính nào mà từ đó người dùng đăng nhập (đã đăng ký) vào miền, cho phép người dùng có cùng môi trường làm việc trên bất kỳ máy tính nào (đường dẫn đến thư mục có hồ sơ được chỉ định trên tab này ở dạng địa chỉ \\ server \ share \% username%, trong đó server là tên của máy chủ, share là tên của thư mục được chia sẻ,% tên người dùng% là tên của hồ sơ thư mục; sử dụng biến môi trường hệ thống Windows được gọi là% tên người dùng% cho phép bạn chỉ định tên của thư mục hồ sơ, khớp với tên người dùng);
  • bắt buộc (bắt buộc) - cài đặt của loại cấu hình này chỉ có thể được thay đổi bởi người dùng trong phiên hiện tại trong Windows, các thay đổi sẽ không được lưu khi đăng xuất.

Cài đặt Logon Script chỉ định tệp thực thi được tải xuống máy tính và thực thi khi người dùng đăng nhập. Tệp thực thi có thể là tệp lô (.bat, .cmd), chương trình thực thi (.exe, .com), tệp kịch bản (.vbs, js).

Dấu trang " Thành viên nhóm"- cho phép bạn quản lý danh sách các nhóm mà người dùng này thuộc về.

Dấu trang " Cuộc gọi đến ".

Kiểm soát quyền truy cập của người dùng vào hệ thống công ty thông qua các công cụ truy cập từ xa của hệ thống Windows Server (ví dụ: thông qua modem hoặc kết nối VPN). TẠI chế độ hỗn hợp Các tùy chọn chỉ dành cho miền Windows có sẵn là " Cho phép truy cập" và " Từ chối truy cập", cũng như các tham số gọi lại (" Máy chủ gọi lại"). Trong các chế độ" Windows 2000 Core" và " Windows 2003"Quyền truy cập có thể được kiểm soát bằng cách sử dụng các chính sách của máy chủ truy cập từ xa (đừng nhầm lẫn với các chính sách nhóm). Vấn đề này được thảo luận chi tiết hơn trong phần về các công cụ truy cập từ xa.

Dấu trang " Hồ sơ dịch vụ đầu cuối ", " Thứ Tư ", " Phiên ", " Điều khiển từ xa"- các tab này kiểm soát các thông số về công việc của người dùng trên máy chủ đầu cuối:

  • quản lý quyền của người dùng để làm việc trên máy chủ đầu cuối;
  • vị trí hồ sơ khi làm việc trong một phiên đầu cuối,
  • thiết lập môi trường người dùng trong phiên đầu cuối (khởi chạy một chương trình cụ thể hoặc chế độ máy tính để bàn, kết nối máy in và đĩa cục bộ của người dùng với phiên đầu cuối);
  • quản lý phiên người dùng trên máy chủ đầu cuối (thời lượng phiên, thời gian chờ phiên không hoạt động, các thông số để kết nối lại với phiên bị ngắt kết nối);
  • cho phép quản trị viên kết nối với phiên đầu cuối của người dùng.

Mọi người đều biết rằng sau khi cài đặt hệ điều hành, ban đầu máy tính được đưa vào nhóm làm việc (theo mặc định, trong WORKGROUP). Trong một nhóm làm việc, mỗi máy tính là một hệ thống độc lập độc lập lưu trữ cơ sở dữ liệu Trình quản lý tài khoản bảo mật (SAM). Khi một người đăng nhập vào máy tính, việc kiểm tra sự tồn tại của tài khoản trong SAM sẽ được thực hiện và theo các hồ sơ này, một số quyền nhất định sẽ được cấp. Máy tính được nhập vào miền tiếp tục duy trì cơ sở dữ liệu SAM của nó, nhưng nếu người dùng đăng nhập bằng tài khoản miền, thì máy tính đó đã được kiểm tra xem đã có trên bộ điều khiển miền chưa, tức là máy tính tin cậy bộ điều khiển miền để xác định người dùng.

Bạn có thể thêm máy tính vào miền theo nhiều cách khác nhau, nhưng trước khi thực hiện việc này, bạn phải đảm bảo rằng máy tính này đáp ứng các yêu cầu sau:

Bạn có quyền kết nối máy tính với một miền (theo mặc định, Quản trị viên doanh nghiệp, Quản trị viên miền, Quản trị viên, Quản trị viên tài khoản có quyền này);

Đối tượng máy tính đã được tạo trong miền;

Bạn phải đăng nhập vào máy tính để được đính kèm với tư cách là quản trị viên cục bộ.

Đối với nhiều quản trị viên, điểm thứ hai có thể gây ra sự phẫn nộ - tại sao phải tạo máy tính trong AD nếu nó xuất hiện trong vùng chứa Máy tính sau khi máy tính được thêm vào miền. Vấn đề là bạn không thể tạo phân chia trong vùng chứa Máy tính, nhưng thậm chí tệ hơn, bạn không thể liên kết các GPO với vùng chứa. Đây là lý do tại sao chúng tôi khuyên bạn nên tạo đối tượng máy tính trong đúng đơn vị tổ chức, thay vì dựa vào tài khoản máy tính được tạo tự động. Tất nhiên, bạn có thể di chuyển máy tính được tạo tự động đến bộ phận mong muốn, nhưng các quản trị viên thường quên làm những việc như vậy.

Bây giờ chúng ta hãy xem cách tạo một máy tính (máy tính) trong AD:

Tạo máy tính bằng phần đính vào Người dùng Active Directory và Máy tính.

Đối với phương pháp này, chúng tôi cần khởi chạy phần đính vào Người dùng và Máy tính Active Directory trên máy tính của chúng tôi bằng cách sử dụng Gói quản trị viên hoặc trên bộ điều khiển miền. Để làm điều này, hãy nhấp vào " Khởi động - Bảng điều khiển - Hệ thống và Bảo mật - Công cụ quản trị -"chọn bộ phận cần thiết, nhấp chuột phải vào nó, chọn" Tạo - Máy tính".

Nhập tên máy tính.

Tạo tài khoản máy tính bằng lệnh DSADD.

Nhìn chung về đội:

máy tính dsadd [-desc<описание>] [- loc<расположение>] [-thành viên của<группа...>] [(-s<сервер>| -d<домен>)] [-u<пользователь>][-P(<пароль>| *)] [-q] [(-uc | -uco | -uci)]

Tùy chọn:

Mô tả giá trị
Tham số bắt buộc. Chỉ định tên phân biệt (DN) của máy tính sẽ được thêm vào.
-desc<описание> Chỉ định mô tả của máy tính.
-loc<размещение> Chỉ định vị trí của máy tính.
-thành viên của<группа...> Thêm máy tính vào một hoặc nhiều nhóm được xác định bởi danh sách DN được phân tách bằng dấu cách<группа...>.
(-S<сервер>| -d<домен>}
-S <сервер>chỉ định kết nối với bộ điều khiển miền (DC) có tên<сервер>.
-d <домен>chỉ định kết nối với DC trong một miền<домен>.
Mặc định: DC trong miền đăng nhập.
-u<пользователь> Kết nối tên<пользователь>. Mặc định: Tên người dùng của người dùng đã đăng nhập. Các tùy chọn là: tên người dùng, tên miền \ tên người dùng, tên người dùng chính (UPN).
-P(<пароль> | *} Mật khẩu người dùng<пользователь>. Nếu * được nhập, mật khẩu sẽ được yêu cầu.
-q Chế độ "Yên lặng": tất cả đầu ra được thay thế bằng đầu ra tiêu chuẩn.
(-uc | -uco | -uci)

-uc Chỉ định định dạng đầu vào từ một đường ống hoặc đầu ra thành một đường ống trong Unicode.
-uco Chỉ định định dạng đầu ra cho một đường ống hoặc tệp Unicode.
-uci Chỉ định định dạng của dữ liệu đầu vào từ một đường ống hoặc tệp Unicode.

Một ví dụ về việc sử dụng lệnh Dsadd:

Máy tính dsadd “CN = COMP001, OU = Moscow, OU = Department, DC = pk-help, DC = com” –desc “Máy tính bộ phận CNTT”

Sự sáng tạomáy trạm hoặc tài khoản máy chủ bằng lệnh Netdom.

Chế độ xem chung của lệnh Netdom:

THÊM MẠNG<компьютер> ]
<компьютер> đây là tên của máy tính sẽ được thêm vào
/miền chỉ định miền để tạo tài khoản máy tính
/ Người dùngD tài khoản người dùng để sử dụng khi kết nối với miền được chỉ định bởi đối số / Domain
/ Mật khẩuD mật khẩu của tài khoản người dùng được chỉ định bởi đối số / UserD. Dấu * có nghĩa là lời mời nhập mật khẩu
/máy chủ tên của bộ điều khiển miền được sử dụng để thêm. Không thể sử dụng tùy chọn này cùng lúc với tùy chọn / OU.
/ OUđơn vị tổ chức mà bạn muốn tạo tài khoản máy tính. Yêu cầu RFC 1779 FDN cho đơn vị tổ chức. Khi sử dụng đối số này, bạn phải làm việc trực tiếp trên bộ điều khiển miền được chỉ định. Nếu đối số này không được chỉ định, tài khoản sẽ được tạo trong đơn vị tổ chức mặc định cho các đối tượng máy tính trong miền này.
/ DC chỉ định rằng bạn muốn tạo tài khoản máy tính bộ điều khiển miền. Không thể sử dụng tùy chọn này cùng lúc với tùy chọn / OU.
/ SecurePasswordPrompt Sử dụng cửa sổ bật lên an toàn để cung cấp thông tin đăng nhập. Thông số này nên được sử dụng khi bạn cần cung cấp thông tin đăng nhập thẻ thông minh. Tham số này chỉ hợp lệ nếu mật khẩu được chỉ định là *.

Tạo một đối tượng Máy tính với Ldifde () và Csvde ().

Quản trị tài khoản máy tính trong Active Directory.

Đổi tên máy tính thành AD.

Chúng tôi khởi chạy dòng lệnh và sử dụng lệnh Netdom để đổi tên máy tính thành AD:

máy tính đổi tên netdom<Имя компьютера>/tên mới:<Новое имя>

Ví dụ: Netdom đổi tên máy tính COMP01 / Tên mới: COMP02

Xóa tài khoản máy tính.

1 Xóa tài khoản máy tính bằng cách sử dụng " kích hoạt các người dùng và máy tính".Run snap" kích hoạt các người dùng và máy tính"tìm máy tính bạn cần, nhấp chuột phải vào nó, chọn" Xóa bỏ", xác nhận việc xóa

2 Bạn có thể xóa máy tính bằng lệnh DSRM:

DSRM

DSRM CN = COMP001, OU = Moscow, OU = Department, DC = pk-help, DC = com
.

Khắc phục sự cố lỗi "Không thiết lập được mối quan hệ tin cậy giữa máy trạm này và miền chính."

Đôi khi khi cố gắng đăng nhập vào máy tính, người dùng nhận được thông báo " Không thiết lập được mối quan hệ tin cậy giữa máy trạm này và miền chính". Lỗi này xảy ra khi kênh bảo mật giữa máy và bộ điều khiển miền bị lỗi. Để khắc phục lỗi này, bạn cần đặt lại kênh bảo mật. Bạn có thể sử dụng một trong các phương pháp:

1 Đi tới phần đính kèm Người dùng và Máy tính Active Directory, tìm máy tính gặp sự cố, nhấp chuột phải vào nó và chọn Đặt lại tài khoản. Sau đó, máy tính sẽ được tham gia lại vào miền và khởi động lại.

2 Sử dụng lệnh netdom:

đặt lại netdom<имя машины>/miền<Имя домена>/ Người dùng0<Имя пользователя>/ Mật khẩu0<Пароль> không có dấu ngoặc kép<>

Ví dụ: Đặt lại Netdom COMP01 / domain site / User0 Ivanov / Password *****

3 Sử dụng lệnh Nltest:

Nltest / máy chủ:<Имя компьютера>/ sc_reset:<Домен>\<Контроллер домена>

Phần này thảo luận về các phương pháp duy trì tài khoản người dùng và các tùy chọn được cung cấp cho
Trao đổi này.

Tạo tài khoản người dùng được kết nối với hộp thư và tài khoản người dùng được kết nối với thư

Đối với mỗi người dùng muốn làm việc với tài nguyên mạng, bạn phải tạo một tài khoản. Hãy xem cách thiết lập tài khoản miền gắn với hộp thư và tài khoản miền được kết nối với hộp thư. Nếu người dùng cần gửi và nhận e-mail thì phải tạo một tài khoản kết nối với hộp thư, nếu không, chỉ cần một tài khoản kết nối với thư là đủ.


Hiểu thông tin đăng nhập và mật khẩu

Trước khi tạo tài khoản miền, bạn nên nghĩ về thông tin đăng nhập và mật khẩu mới. Tất cả miền
tài khoản được công nhận bởi tên đăng nhập của họ. Nó có thể giống hoặc không giống với một địa chỉ email.
thư người dùng. Trong các miền Windows, đăng nhập bao gồm hai phần:

  • Tên người dùng - nhãn văn bản của tài khoản;
  • Miền người dùng - Miền mà tài khoản người dùng cư trú.

Đăng nhập Windows hoàn toàn đủ điều kiện cho người dùng williams trong miền adatum.com [email được bảo vệ] Với các tài khoản
người dùng có thể được liên kết với mật khẩu và chứng chỉ công khai. Mật khẩu là một chuỗi ký tự để xác minh quyền truy cập của tài khoản. Chứng chỉ công khai là sự kết hợp của hai khóa (công khai và riêng tư) để xác định người dùng. Đăng nhập bằng mật khẩu được thực hiện ở chế độ tương tác, đăng nhập bằng chứng chỉ công khai - sử dụng thẻ thông minh và đầu đọc thẻ thông minh.

Mặc dù Windows hiển thị tên người dùng khi mô tả quyền và quyền, nhưng số nhận dạng chính cho tài khoản là số nhận dạng bảo mật (SID). SID là số nhận dạng duy nhất được tạo khi tạo tài khoản. Nó bao gồm một tiền tố miền SID và một số nhận dạng được liên kết duy nhất. Những số nhận dạng này được Windows sử dụng để theo dõi tài khoản bất kể tên người dùng. SID thực hiện nhiều chức năng; hai trong số đó quan trọng nhất là khả năng dễ dàng thay đổi tên người dùng cũng như xóa tài khoản mà không sợ người khác truy cập trái phép vào tài nguyên chỉ bằng cách tạo lại tài khoản.

Khi bạn thay đổi tên người dùng, bạn đang hướng dẫn Windows ánh xạ một SID cụ thể với tên người dùng mới. Khi bạn xóa một mục nhập, bạn đang nói với Windows rằng một SID cụ thể không còn hợp lệ. Ngay cả khi tài khoản có cùng tên người dùng được tạo sau đó, tài khoản mới sẽ không có các quyền và quyền như tài khoản trước đó, vì tài khoản mới sẽ có SID mới.


Tạo tài khoản miền có và không có hộp thư

Nói chung, có hai cách để tạo tài khoản miền mới.

  • Tạo tài khoản mới. Bấm chuột phải vào vùng chứa mà bạn muốn đặt tài khoản người dùng, trỏ chuột vào Mới và chọn Người dùng. Đối tượng Mới - Trình hướng dẫn người dùng sẽ bắt đầu, như được hiển thị trong hình. 5-5. Khi bạn tạo tài khoản mới, cài đặt hệ thống mặc định sẽ được áp dụng.
  • Tạo tài khoản mới dựa trên tài khoản hiện có. Mở Người dùng và Máy tính Active Directory, bấm chuột phải vào tài khoản người dùng bạn muốn sao chép và chọn Sora (Sao chép). Đối tượng Sao chép - Trình hướng dẫn người dùng sẽ bắt đầu.

Cơm. 5-5. Đặt tên hiển thị và đăng nhập
tên người dùng bằng cách sử dụng hộp thoại Đối tượng Mới -
người dùng

(Đối tượng sao chép - Người dùng), có cửa sổ rất giống với hộp thoại Người dùng mới (Người dùng mới). Tuy nhiên, khi bạn tạo bản sao của tài khoản, hầu hết các cài đặt môi trường của tài khoản mới được lấy từ tài khoản hiện có. Các cài đặt đã lưu bao gồm: tham gia vào nhóm tài khoản, giá trị cài đặt hồ sơ, quyền kết nối
đường dây điện thoại, ngày hết hạn tài khoản, thời gian đăng nhập được phép và các máy trạm được phép đăng nhập.

Dưới đây là cách tạo tài khoản người dùng mới bằng Trình hướng dẫn Đối tượng Mới - Người dùng hoặc Đối tượng Sao chép - Người dùng.
1. Trang đầu tiên đặt tên hiển thị và tên đăng nhập của người dùng (Hình 5-5). Nhập họ và tên của người dùng vào các trường thích hợp. Họ được yêu cầu để tạo thành tham số Tên đầy đủ, được hiển thị trên màn hình dưới dạng tên người dùng.
2. Nếu cần, hãy thực hiện các thay đổi đối với trường Tên đầy đủ. Ví dụ: bạn có thể nhập tên ở định dạng<фамилия><имя><второй инициал>hoặc ở định dạng<имя> <второй инициал><фамшия>. Độ dài của mục nhập Họ và Tên tối đa là 64 ký tự.
3. Trong trường Tên đăng nhập người dùng, hãy nhập tên đăng nhập của người dùng. Chọn miền mà tài khoản sẽ được liên kết từ danh sách thả xuống. Kết quả là một đăng nhập đủ điều kiện.
4. 20 ký tự đầu tiên của đăng nhập tạo thành thông tin đăng nhập cho các hệ điều hành cũ hơn Windows 2000. Nó
phải là duy nhất trong miền của nó. Nếu cần, hãy thay đổi thông tin đăng nhập để vận hành
hệ thống sớm hơn Windows 2000.
5. Nhấp vào Tiếp theo. Đặt cài đặt mật khẩu người dùng (Hình 5-6). Các tùy chọn sau có sẵn cho hộp thoại này.


Cơm. 5-6. Cài đặt mật khẩu người dùng

  • Mật khẩu (Password). Mật khẩu cho tài khoản này. Nó phải đáp ứng các điều kiện của chính sách mật khẩu của bạn.
  • Xác nhận mật khẩu (Confirmation). Một trường để xác minh rằng bạn đã chỉ định đúng mật khẩu tài khoản. Để xác nhận mật khẩu của bạn, chỉ cần nhập lại.
  • Người dùng phải thay đổi mật khẩu ở lần đăng nhập tiếp theo. Nếu hộp kiểm này được chọn, người dùng phải thay đổi mật khẩu khi đăng nhập. Hộp kiểm này được chọn theo mặc định cho tất cả người dùng mới.
  • Người dùng không thể thay đổi mật khẩu. Nếu hộp kiểm này được chọn, người dùng không thể thay đổi mật khẩu.
  • Mật khẩu không bao giờ hết hạn Nếu hộp kiểm này được chọn, mật khẩu tài khoản sẽ không bao giờ hết hạn. Giá trị cài đặt này được ưu tiên hơn chính sách tài khoản miền. Nói chung, đặt mật khẩu không bao giờ hết hạn không phải là một ý kiến ​​hay, vì nó làm giảm tính bảo mật, đây là một yếu tố quan trọng.
  • Tài khoản bị vô hiệu hóa. Nếu hộp kiểm này được chọn, tài khoản sẽ bị khóa và không thể sử dụng được. Hộp kiểm này được sử dụng để tạm thời vô hiệu hóa việc sử dụng tài khoản.

6. Nhấp vào Tiếp theo. Nếu bạn không tạo đúng cách các tiện ích mở rộng Exchange trên máy tính này, bạn sẽ có thể cung cấp cho tài khoản một hộp thư. Nếu bạn không muốn cung cấp cho người dùng một hộp thư, hãy bỏ chọn hộp kiểm Tạo hộp thư Exchange và bỏ qua bước 7 và 8.
7. Đăng nhập được đặt thành bí danh Exchange mặc định (Hình 5-7), để thay đổi, hãy nhập giá trị mới theo cách thủ công. Bí danh Exchange là bắt buộc để đặt địa chỉ email của người dùng.
Lưu ý Trong thực tế, bí danh Exchange mặc định đăng nhập cho hệ điều hành cũ hơn Windows 2000; nó thường giống với thông tin đăng nhập của người dùng. Tuy nhiên, nếu bạn thay đổi tên đăng nhập cho hệ điều hành trước Windows 2000, bí danh Exchange sẽ mặc định thành giá trị bạn đã nhập.


Cơm. 5-7. Thiết lập hộp thư Exchange của người dùng

8. Nếu Kho lưu trữ thông tin được cấu hình để hoạt động với nhiều máy chủ Exchange, bạn phải chỉ định máy chủ nơi hộp thư sẽ được lưu trữ trong danh sách máy chủ thả xuống. Ngoài ra, nếu bạn có nhiều cửa hàng hộp thư, bạn phải đặt cửa hàng cho hộp thư trong danh sách thả xuống Cửa hàng Hộp thư.
9. Nhấn Next và Finish để hoàn tất việc tạo tài khoản. Nếu bạn đã tạo tài khoản được kết nối với hộp thư, các địa chỉ email sau sẽ tự động được định cấu hình: SMTP, X.400 và những địa chỉ được liên kết với trình kết nối. Những địa chỉ này sau này bạn có thể thêm, thay đổi và xóa. Ngoài ra, bạn có thể chỉ định các địa chỉ bổ sung có cùng loại. Ví dụ: Cindy Johnson, một quản trị viên nhân sự của công ty, có hai địa chỉ SMTP: [email được bảo vệ]
[email được bảo vệ]
Lưu ý Nếu bạn đã định cấu hình trình kết nối Exchange, địa chỉ mặc định cũng được tạo cho các trình kết nối đó. Các trình kết nối cho Exchange 2000 bao gồm một đầu nối cho Lotus Notes và một đầu nối cho Novell GroupWise.
10. Tạo một tài khoản người dùng không phải là một hoạt động cuối cùng. Ở giai đoạn này, bạn có thể:

  • thêm thông tin liên hệ chi tiết về người dùng, chẳng hạn như số điện thoại cơ quan và chức vụ;
  • thêm người dùng vào nhóm bảo mật và nhóm phân phối;
  • liên kết tài khoản của bạn với các địa chỉ email bổ sung;
  • bật hoặc tắt các tính năng Exchange cho một tài khoản;
  • Thay đổi cài đặt mặc định của người dùng cho các tùy chọn giao hàng, giới hạn bộ nhớ và giới hạn tài khoản.

Thiết lập thông tin liên hệ cho tài khoản người dùng

Đây là cách thông tin liên hệ được đặt cho tài khoản người dùng.
1. Trong Người dùng và Máy tính Active Directory, bấm đúp vào tên người dùng. Hộp thoại Thuộc tính của tài khoản mở ra.
2. Nhấp vào tab Chung. Thông tin liên hệ chung được chỉ định bằng cách sử dụng các trường sau:

  • First Name, Initials, Last Name (Tên, Tên viết tắt, Họ) đặt tên đầy đủ của người dùng;
  • Tên hiển thị chỉ định tên hiển thị của người dùng được hiển thị trong các phiên đăng nhập và trong Active Directory;
  • Mô tả chỉ định mô tả của người dùng;
  • Office (Phòng) chỉ định vị trí của người dùng trong văn phòng;
  • Số điện thoại chỉ định số điện thoại doanh nghiệp chính của người dùng. Nếu người dùng có các số điện thoại cơ quan khác mà bạn muốn ghi lại, hãy bấm Khác, sau đó sử dụng hộp thoại Số điện thoại (Số khác) để nhập các số điện thoại bổ sung;
  • E-Mail chỉ định địa chỉ email doanh nghiệp của người dùng;
  • Trang Web (Trang Web) chỉ định URL của trang Web ban đầu của người dùng - trên Internet hoặc trong mạng cục bộ của công ty. Nếu người dùng có các trang Web khác mà bạn muốn ghi lại, hãy bấm Khác, sau đó sử dụng hộp thoại Địa chỉ Trang Web (Khác) để nhập các địa chỉ trang Web bổ sung.

Mẹo Đảm bảo hoàn thành các trường E-Mail và Trang Web nếu bạn định sử dụng các lệnh Gửi Thư và Mở Trang chủ trong bảng điều khiển Máy tính và Người dùng Active Directory.
3. Nhấp vào tab Địa chỉ (Hình 5-8). Trong các trường trên tab này, hãy nhập địa chỉ gửi thư nhà hoặc doanh nghiệp của người dùng. Thường chỉ ra địa chỉ chính thức của người dùng. Điều này sẽ cho phép bạn có dữ liệu về vị trí và địa chỉ bưu điện của những người dùng ở các văn phòng khác nhau.
Lưu ý Trước khi nhập thông tin cá nhân, chẳng hạn như địa chỉ nhà và số điện thoại nhà của người dùng, vấn đề này nên được thảo luận với Bộ phận Nhân sự và Pháp chế. Có thể cần phải được sự đồng ý của người dùng.

4. Nhấp vào tab Điện thoại và nhập số liên lạc chính của người dùng, nếu cần:

  • Điện thoại gia đình (Home);
  • Máy nhắn tin (Pager);
  • Di động (Di động);
  • FAX (Fax);
  • Điện thoại IP (IP phone).

5. Đối với mỗi loại điện thoại, bạn có thể đặt các số khác. Bấm vào nút Khác thích hợp, sau đó nhập số điện thoại bổ sung vào hộp thoại.


Cơm. 5-8. Trên tab Địa chỉ, đặt cơ quan hoặc
địa chỉ nhà của người dùng

6. Nhấp vào tab Tổ chức. Nhập, nếu được yêu cầu, chức danh công việc, phòng ban và chức danh của người dùng
các công ty.
7. Để chỉ định người quản lý cho người dùng này, hãy nhấp vào Thay đổi. Nếu bạn đã làm điều này, tài khoản của người quản lý sẽ hiển thị người dùng dưới dạng báo cáo trực tiếp.
8. Nhấp vào Áp dụng hoặc OK để chấp nhận các thay đổi của bạn. Thay đổi bí danh Exchange và tên hiển thị
người dùng Mỗi tài khoản người dùng được kết nối với hộp thư có bí danh Exchange, tên, họ và tên hiển thị được liên kết. Bí danh Exchange xác định địa chỉ email SMTP và X.400. Thông tin đăng nhập là bí danh SMTP mặc định. Tên hiển thị chỉ định địa chỉ X, 400.
Nếu thông tin tên thay đổi, bạn có thể tạo địa chỉ email mới và đặt chúng làm địa chỉ mặc định cho các trình kết nối SMTP, X.400 và Exchange.
Thao tác này không xóa các địa chỉ email cũ cho tài khoản, nhưng vẫn là những địa chỉ thay thế. Quy trình thay đổi hoặc xóa các địa chỉ email bổ sung này được đề cập trong chương này, trong phần "Thêm, Thay đổi và Xóa Địa chỉ Email".
Dưới đây là cách thay đổi bí danh Exchange và tên hiển thị của tài khoản người dùng.
1. Trong Người dùng và Máy tính Active Directory, bấm đúp vào tên người dùng. Hộp thoại Thuộc tính của tài khoản mở ra.
2. Nhấp vào tab Chung. Để thay đổi tên, hãy sử dụng các trường sau:
trong First Name, Initials, Last Name (Tên, Tên viết tắt, Họ) đặt tên đầy đủ của người dùng;
Tên hiển thị chỉ định tên người dùng được hiển thị trong các phiên đăng nhập và trong Active Directory.
3. Bấm vào tab Exchange General, sau đó nhập bí danh Exchange mới vào trường Bí danh.
4. Nhấp vào OK.


Thêm, thay đổi và xóa địa chỉ email

Khi bạn tạo tài khoản người dùng được kết nối với hộp thư, các địa chỉ email mặc định sẽ được tạo cho SMTP, X.400 và các trình kết nối đã định cấu hình. Mỗi khi cập nhật bí danh hoặc tên hiển thị của người dùng Exchange, bạn có thể tạo các địa chỉ email mặc định mới. Các địa chỉ email cũ không bị xóa, nhưng vẫn là địa chỉ thay thế cho tài khoản.

Đây là cách thêm, thay đổi hoặc xóa địa chỉ email.

1. Mở hộp thoại Thuộc tính của tài khoản bằng cách bấm đúp vào tên người dùng trong Người dùng và Máy tính Active Directory. Sau đó nhấp vào tab Địa chỉ E-Mail.
2. Để thêm một địa chỉ email mới, hãy nhấp vào Mới. Trong hộp thoại Địa chỉ E-Mail Mới, chọn loại địa chỉ email và bấm OK. Hoàn thành các trường trong hộp thoại Thuộc tính và bấm OK một lần nữa.
Mẹo Đối với địa chỉ e-mail Internet chuẩn, hãy sử dụng loại địa chỉ SMTP. Các loại địa chỉ email khác được đề cập chi tiết trong Chương 13.
3. Để thay đổi địa chỉ e-mail hiện có, bấm đúp vào mục nhập địa chỉ và thay đổi cài đặt trong hộp thoại Thuộc tính. Bấm OK.
4. Để xóa địa chỉ email, hãy chọn địa chỉ đó và nhấp vào Xóa. Khi được nhắc xác nhận thao tác xóa, hãy nhấp vào Có.
Lưu ý Bạn không thể xóa địa chỉ SMTP mặc định. Exchange Server sử dụng địa chỉ SMTP để gửi và nhận tin nhắn.

Đặt Trả lời Mặc định (Địa chỉ Người gửi)

Có một địa chỉ người gửi mặc định cho mỗi loại địa chỉ email. Đây là cách thay đổi địa chỉ người gửi mặc định.
1. Mở hộp thoại Thuộc tính của tài khoản bằng cách bấm đúp vào tên người dùng trong Người dùng và Máy tính Active Directory. Sau đó nhấp vào tab Địa chỉ E-Mail.
2. Địa chỉ email hiện tại được in đậm theo mặc định. Địa chỉ email không được đánh dấu chỉ được sử dụng làm địa chỉ thay thế để gửi thư đến hộp thư hiện tại.
3. Để thay đổi các giá trị mặc định hiện tại, hãy chọn địa chỉ email không chuyên dụng mong muốn và nhấp vào Đặt làm Chính.

Chặn và bỏ chặn kết nối thư Exchange Server

Người dùng và địa chỉ liên hệ được kết nối với thư được định nghĩa là Người nhận Đặc biệt trong Máy chủ Exchange. Họ có bí danh Exchange và địa chỉ email bên ngoài.

Đây là cách kết nối người dùng hoặc liên hệ với thư.

1. Trong Người dùng và Máy tính Active Directory, bấm chuột phải vào mục nhập thích hợp, sau đó chọn Nhiệm vụ Exchange để khởi chạy Trình hướng dẫn tác vụ Exchange.
2. Nếu trang Chào mừng mở ra, hãy nhấp vào Tiếp theo. Để sau đó bỏ qua trang này, bạn nên chọn Không Hiển thị lại Trang Chào mừng này.
3. Trong Công việc có sẵn, chọn Thiết lập Địa chỉ E-Mail và nhấp lại vào Tiếp theo.
4. Nhập bí danh Exchange cho người dùng hoặc liên hệ và nhấp vào Sửa đổi.
5. Hộp thoại Địa chỉ E-Mail Mới sẽ mở ra. Nhập loại địa chỉ email và nhấp vào OK.
6. Hoàn thành các trường trong hộp thoại Thuộc tính cho địa chỉ email và nhấp vào OK một lần nữa.
7. Trên trang hướng dẫn Tác vụ Exchange, hãy nhấp vào Tiếp theo và sau đó Kết thúc.

Nếu sau này bạn muốn xóa bí danh Exchange và địa chỉ email được liên kết với người dùng hoặc
liên hệ, đây là cách để làm điều đó.
1. Trong Người dùng và Máy tính Active Directory, bấm đúp vào mục nhập mong muốn, sau đó chọn Nhiệm vụ Exchange để khởi chạy Trình hướng dẫn Tác vụ Exchange.
2. Nếu trang Chào mừng mở ra, hãy nhấp vào Tiếp theo. Để bỏ qua trang này sau, bạn có thể chọn Không hiển thị lại trang chào mừng này.
3. Trong Công việc khả dụng, hãy chọn Xóa Địa chỉ E-Mail và nhấp vào Tiếp theo.
4. Nhấp vào Tiếp theo và sau đó Kết thúc.


Tạo tài khoản người dùng để nhận và chuyển tiếp thư

Những người nhận đặc biệt, chẳng hạn như người dùng và địa chỉ liên hệ được kết nối thư, thường không nhận được thư từ người dùng bên ngoài tổ chức của bạn vì người nhận đặc biệt không có địa chỉ email phù hợp với một hộp thư cụ thể trong tổ chức của bạn. Tuy nhiên, đôi khi cần người dùng, ứng dụng hoặc hệ thống thư bên ngoài để có thể gửi thư đến một địa chỉ trong tổ chức của bạn và sau đó Exchange chuyển tiếp thư đó đến hộp thư bên ngoài.
Mẹo Trong tổ chức của mình, tôi đã tạo các hộp thư chuyển tiếp cho các cảnh báo máy nhắn tin. Giải pháp đơn giản này cho phép các nhà quản lý, cũng như các hệ thống giám sát trong một tổ chức, chuyển các trang văn bản đến các chuyên gia CNTT một cách nhanh chóng và dễ dàng. Để thực hiện việc này, tôi đã tạo một địa chỉ liên hệ được kết nối qua thư cho mỗi địa chỉ email của máy nhắn tin, ví dụ: [email được bảo vệ], và sau đó tạo một hộp thư để chuyển tiếp thư đến một người nhận cụ thể. Nói chung, tên hiển thị của liên hệ được kết nối với thư có dạng "Tên người dùng cảnh báo", (Tên người dùng cảnh báo), ví dụ: Cảnh báo William Stanek. Tên hiển thị và địa chỉ email của hộp thư là Z LastName và [email được bảo vệ], ví dụ Z Stanek và [email được bảo vệ] tương ứng. Sau đó, tôi đã ẩn hộp thư để nó không hiển thị trong danh sách địa chỉ chung hoặc các danh sách địa chỉ khác, và vì vậy người dùng sẽ chỉ nhìn thấy hộp thư Alert William Stanek.

Đây là cách tạo một tài khoản người dùng để nhận và chuyển tiếp thư.

1. Trong Người dùng và Máy tính Active Directory, hãy tạo một liên hệ cho người dùng. Đặt tên cho số liên lạc là X - Tên người dùng, ví dụ X - William Stanek. Xác minh rằng liên hệ có địa chỉ email bên ngoài có liên quan đến địa chỉ Internet của người dùng.
2. Tạo tài khoản người dùng trong miền. Đặt tên hiển thị thích hợp cho tài khoản, chẳng hạn như William Stanek. Tạo hộp thư Exchange cho tài khoản, nhưng không chỉ định bất kỳ quyền đặc biệt nào. Bạn có thể hạn chế quyền tài khoản để người dùng không thể đăng ký trên bất kỳ máy chủ nào trong miền.
3. Mở hộp thoại Thuộc tính của tài khoản bằng cách bấm đúp vào tên người dùng trong Người dùng và Máy tính Active Directory. Nhấp vào tab Exchange General.
4. Nhấp vào Tùy chọn giao hàng.
5. Trong hộp thoại Tùy chọn Phân phối, bấm Chuyển tiếp Đến, sau đó bấm Sửa đổi.
6. Trong hộp thoại Chọn người nhận, chọn địa chỉ liên hệ được kết nối bằng thư mà bạn đã tạo trước đó và nhấp vào OK. Bây giờ bạn có thể sử dụng tài khoản người dùng để chuyển tiếp thư đến hộp thư bên ngoài.

Thay đổi cài đặt cho các dịch vụ không dây và giao thức người dùng

Khi bạn tạo tài khoản người dùng với hộp thư, các giao thức và dịch vụ không dây có sẵn được xác định bởi cài đặt chung. Những cài đặt này có thể được thay đổi cho người dùng cá nhân bất kỳ lúc nào.

1. Trong Active Directory Users and Cdmputers, bấm đúp vào mục nhập bắt buộc, sau đó chọn tab Tính năng Exchange.
Định cấu hình các dịch vụ và giao thức không dây cho người dùng (Hình 5-9):
Outlook Mobile Access cung cấp cho người dùng khả năng xem hộp thư bằng thiết bị không dây;
Đồng bộ hóa do người dùng khởi tạo cho phép bạn đồng bộ hóa hộp thư của mình với các thiết bị không dây;


Cơm. 5-9. Với Trình hướng dẫn Tác vụ Exchange, bạn có thể
thay đổi cài đặt cho các dịch vụ và giao thức không dây
người dùng

Thông báo cập nhật giúp dữ liệu trên thiết bị không dây được cập nhật. Tùy chọn này chỉ khả dụng nếu Đồng bộ hóa do Người dùng Khởi tạo được chọn;
Outlook Web Access cung cấp khả năng truy cập hộp thư bằng trình duyệt Web;
POP3 mở quyền truy cập vào hộp thư thông qua ứng dụng thư POP3;
IMAP4 cung cấp cho người dùng khả năng truy cập hộp thư bằng ứng dụng thư IMAP4.

2. Chọn một tùy chọn, sau đó nhấp vào Bật hoặc Tắt nếu thích hợp.
Nếu bạn muốn thay đổi cài đặt giao thức, hãy chọn giao thức và nhấp vào Thuộc tính.
3. Bấm OK.

Đổi tên tài khoản người dùng

Đây là cách đổi tên tài khoản người dùng trong Máy tính và Người dùng Active Directory.
1. Nhấp chuột phải vào tên tài khoản và chọn Đổi tên. Nhập tên tài khoản mới khi được nhắc.
2. Khi bạn đổi tên tài khoản, bạn tạo một nhãn tài khoản mới. Việc đổi tên không ảnh hưởng đến Mã định danh bảo mật (SID), được yêu cầu để xác định, theo dõi và xử lý tài khoản bất kể tên người dùng.

Lưu ý Kết hôn là một lý do phổ biến để thay đổi tên tài khoản. Ví dụ: nếu Judy Liu (JUDYL) kết hôn, cô ấy có thể thay đổi tên người dùng của mình thành Judy Katler (JUDYK). Sau khi bạn thay đổi tên người dùng JUDYL thành JUDYK, tất cả các quyền và quyền liên quan sẽ được gán cho tên người dùng mới.

Ví dụ: khi xem quyền trên tệp mà JUDYL đã từng có quyền truy cập, JUDYK bây giờ sẽ có quyền truy cập (và tên JUDYL sẽ không được liệt kê).

Xóa tài khoản người dùng và danh bạ

Xóa tài khoản sẽ xóa vĩnh viễn tài khoản đó. Sau khi xóa tài khoản, bạn sẽ không thể tạo tài khoản có cùng tên và cùng quyền với mục nhập ban đầu, vì SID của mục nhập mới sẽ không khớp với SID của mục nhập cũ. Điều này không có nghĩa là khi mục nhập bị xóa, bạn không thể tạo tài khoản có cùng tên. Ví dụ, một người rời công ty, và sau một thời gian quay trở lại. Bạn có thể tạo một tài khoản với tên giống như trước đây, nhưng bạn sẽ phải xác định lại các quyền cho nó.
Vì việc xóa các tài khoản tích hợp có thể gây ra hậu quả sâu rộng cho miền, Windows không cho phép xóa chúng. Bạn có thể xóa các loại tài khoản khác bằng cách chọn chúng và nhấn phím Del hoặc bằng cách nhấp chuột phải và chọn Xóa. Lời nhắc được hiển thị trong Hình. 5-10. Nếu bạn muốn xóa địa chỉ email của người dùng khi hộp kiểm xóa hộp thư được chọn, hãy bấm Có. Nếu bạn nhấp vào Không, Windows sẽ không xóa tài khoản.


Cơm. 5-10. Khi xóa tài khoản người dùng
địa chỉ e-mail của người dùng cũng bị xóa;
hộp kiểm để xóa địa chỉ liên quan cũng được đặt
hộp thư. Xác nhận hoạt động bằng cách nhấp vào Có

Lưu ý Bảo mật Exchange dựa trên xác thực miền, vì vậy bạn không thể có hộp thư mà không có tài khoản. Nếu bạn vẫn cần một hộp thư cho tài khoản mà bạn muốn xóa, thì bạn không nên xóa nó mà hãy vô hiệu hóa nó. Do vô hiệu hóa tài khoản, người dùng sẽ không thể đăng nhập vào hệ thống, nhưng bạn sẽ có quyền truy cập vào hộp thư nếu cần thiết. Để vô hiệu hóa tài khoản, hãy nhấp chuột phải vào tài khoản đó
trong Người dùng và Máy tính Active Directory và chọn Tắt tài khoản.

Mọi người đều biết rằng sau khi cài đặt hệ điều hành, ban đầu máy tính được đưa vào nhóm làm việc (theo mặc định, trong WORKGROUP). Trong một nhóm làm việc, mỗi máy tính là một hệ thống độc lập độc lập lưu trữ cơ sở dữ liệu Trình quản lý tài khoản bảo mật (SAM). Khi một người đăng nhập vào máy tính, việc kiểm tra sự tồn tại của tài khoản trong SAM sẽ được thực hiện và theo các hồ sơ này, một số quyền nhất định sẽ được cấp. Máy tính được nhập vào miền tiếp tục duy trì cơ sở dữ liệu SAM của nó, nhưng nếu người dùng đăng nhập bằng tài khoản miền, thì máy tính đó đã được kiểm tra xem đã có trên bộ điều khiển miền chưa, tức là máy tính tin cậy bộ điều khiển miền để xác định người dùng.

Bạn có thể thêm máy tính vào miền theo nhiều cách khác nhau, nhưng trước khi thực hiện việc này, bạn phải đảm bảo rằng máy tính này đáp ứng các yêu cầu sau:

Bạn có quyền kết nối máy tính với một miền (theo mặc định, Quản trị viên doanh nghiệp, Quản trị viên miền, Quản trị viên, Quản trị viên tài khoản có quyền này);

Đối tượng máy tính đã được tạo trong miền;

Bạn phải đăng nhập vào máy tính để được đính kèm với tư cách là quản trị viên cục bộ.

Đối với nhiều quản trị viên, điểm thứ hai có thể gây ra sự phẫn nộ - tại sao phải tạo máy tính trong AD nếu nó xuất hiện trong vùng chứa Máy tính sau khi máy tính được thêm vào miền. Vấn đề là bạn không thể tạo phân chia trong vùng chứa Máy tính, nhưng thậm chí tệ hơn, bạn không thể liên kết các GPO với vùng chứa. Đây là lý do tại sao chúng tôi khuyên bạn nên tạo đối tượng máy tính trong đúng đơn vị tổ chức, thay vì dựa vào tài khoản máy tính được tạo tự động. Tất nhiên, bạn có thể di chuyển máy tính được tạo tự động đến bộ phận mong muốn, nhưng các quản trị viên thường quên làm những việc như vậy.

Bây giờ chúng ta hãy xem cách tạo một máy tính (máy tính) trong AD:

Tạo máy tính bằng phần đính vào Người dùng Active Directory và Máy tính.

Đối với phương pháp này, chúng tôi cần khởi chạy phần đính vào Người dùng và Máy tính Active Directory trên máy tính của chúng tôi bằng cách sử dụng Gói quản trị viên hoặc trên bộ điều khiển miền. Để làm điều này, hãy nhấp vào " Khởi động - Bảng điều khiển - Hệ thống và Bảo mật - Công cụ quản trị -"chọn bộ phận cần thiết, nhấp chuột phải vào nó, chọn" Tạo - Máy tính".

Nhập tên máy tính.

Tạo tài khoản máy tính bằng lệnh DSADD.

Nhìn chung về đội:

máy tính dsadd [-desc<описание>] [- loc<расположение>] [-thành viên của<группа...>] [(-s<сервер>| -d<домен>)] [-u<пользователь>][-P(<пароль>| *)] [-q] [(-uc | -uco | -uci)]

Tùy chọn:

Mô tả giá trị
Tham số bắt buộc. Chỉ định tên phân biệt (DN) của máy tính sẽ được thêm vào.
-desc<описание> Chỉ định mô tả của máy tính.
-loc<размещение> Chỉ định vị trí của máy tính.
-thành viên của<группа...> Thêm máy tính vào một hoặc nhiều nhóm được xác định bởi danh sách DN được phân tách bằng dấu cách<группа...>.
(-S<сервер>| -d<домен>}
-S <сервер>chỉ định kết nối với bộ điều khiển miền (DC) có tên<сервер>.
-d <домен>chỉ định kết nối với DC trong một miền<домен>.
Mặc định: DC trong miền đăng nhập.
-u<пользователь> Kết nối tên<пользователь>. Mặc định: Tên người dùng của người dùng đã đăng nhập. Các tùy chọn là: tên người dùng, tên miền \ tên người dùng, tên người dùng chính (UPN).
-P(<пароль> | *} Mật khẩu người dùng<пользователь>. Nếu * được nhập, mật khẩu sẽ được yêu cầu.
-q Chế độ "Yên lặng": tất cả đầu ra được thay thế bằng đầu ra tiêu chuẩn.
(-uc | -uco | -uci)

-uc Chỉ định định dạng đầu vào từ một đường ống hoặc đầu ra thành một đường ống trong Unicode.
-uco Chỉ định định dạng đầu ra cho một đường ống hoặc tệp Unicode.
-uci Chỉ định định dạng của dữ liệu đầu vào từ một đường ống hoặc tệp Unicode.

Một ví dụ về việc sử dụng lệnh Dsadd:

Máy tính dsadd “CN = COMP001, OU = Moscow, OU = Department, DC = pk-help, DC = com” –desc “Máy tính bộ phận CNTT”

Sự sáng tạomáy trạm hoặc tài khoản máy chủ bằng lệnh Netdom.

Chế độ xem chung của lệnh Netdom:

THÊM MẠNG<компьютер> ]
<компьютер> đây là tên của máy tính sẽ được thêm vào
/miền chỉ định miền để tạo tài khoản máy tính
/ Người dùngD tài khoản người dùng để sử dụng khi kết nối với miền được chỉ định bởi đối số / Domain
/ Mật khẩuD mật khẩu của tài khoản người dùng được chỉ định bởi đối số / UserD. Dấu * có nghĩa là lời mời nhập mật khẩu
/máy chủ tên của bộ điều khiển miền được sử dụng để thêm. Không thể sử dụng tùy chọn này cùng lúc với tùy chọn / OU.
/ OUđơn vị tổ chức mà bạn muốn tạo tài khoản máy tính. Yêu cầu RFC 1779 FDN cho đơn vị tổ chức. Khi sử dụng đối số này, bạn phải làm việc trực tiếp trên bộ điều khiển miền được chỉ định. Nếu đối số này không được chỉ định, tài khoản sẽ được tạo trong đơn vị tổ chức mặc định cho các đối tượng máy tính trong miền này.
/ DC chỉ định rằng bạn muốn tạo tài khoản máy tính bộ điều khiển miền. Không thể sử dụng tùy chọn này cùng lúc với tùy chọn / OU.
/ SecurePasswordPrompt Sử dụng cửa sổ bật lên an toàn để cung cấp thông tin đăng nhập. Thông số này nên được sử dụng khi bạn cần cung cấp thông tin đăng nhập thẻ thông minh. Tham số này chỉ hợp lệ nếu mật khẩu được chỉ định là *.

Tạo một đối tượng Máy tính với Ldifde () và Csvde ().

Quản trị tài khoản máy tính trong Active Directory.

Đổi tên máy tính thành AD.

Chúng tôi khởi chạy dòng lệnh và sử dụng lệnh Netdom để đổi tên máy tính thành AD:

máy tính đổi tên netdom<Имя компьютера>/tên mới:<Новое имя>

Ví dụ: Netdom đổi tên máy tính COMP01 / Tên mới: COMP02

Xóa tài khoản máy tính.

1 Xóa tài khoản máy tính bằng cách sử dụng " kích hoạt các người dùng và máy tính".Run snap" kích hoạt các người dùng và máy tính"tìm máy tính bạn cần, nhấp chuột phải vào nó, chọn" Xóa bỏ", xác nhận việc xóa

2 Bạn có thể xóa máy tính bằng lệnh DSRM:

DSRM

DSRM CN = COMP001, OU = Moscow, OU = Department, DC = pk-help, DC = com
.

Khắc phục sự cố lỗi "Không thiết lập được mối quan hệ tin cậy giữa máy trạm này và miền chính."

Đôi khi khi cố gắng đăng nhập vào máy tính, người dùng nhận được thông báo " Không thiết lập được mối quan hệ tin cậy giữa máy trạm này và miền chính". Lỗi này xảy ra khi kênh bảo mật giữa máy và bộ điều khiển miền bị lỗi. Để khắc phục lỗi này, bạn cần đặt lại kênh bảo mật. Bạn có thể sử dụng một trong các phương pháp:

1 Đi tới phần đính kèm Người dùng và Máy tính Active Directory, tìm máy tính gặp sự cố, nhấp chuột phải vào nó và chọn Đặt lại tài khoản. Sau đó, máy tính sẽ được tham gia lại vào miền và khởi động lại.

2 Sử dụng lệnh netdom:

đặt lại netdom<имя машины>/miền<Имя домена>/ Người dùng0<Имя пользователя>/ Mật khẩu0<Пароль> không có dấu ngoặc kép<>

Ví dụ: Đặt lại Netdom COMP01 / domain site / User0 Ivanov / Password *****

3 Sử dụng lệnh Nltest:

Nltest / máy chủ:<Имя компьютера>/ sc_reset:<Домен>\<Контроллер домена>

Bài viết liên quan: