Install Active Directory
Cài đặt dịch vụ Active Directory Domain. Ở ví dụ này cài trên Windowserver 2019 có IP 192.168.126.201
Chạy PowerShell with quyền Admin và cài đặt AD DS.
– Cài đặt AD DS with admin tools
PS C:\Users\Administrator> Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
– restart computer to apply changes
PS C:\Users\Administrator> Restart-Computer -Force
Cấu hình New Domain Controler
– Cấu hình new DC với miền chính có tên là [thanhdd.local]. Sau khi hoàn thành, máy chủ sẽ tự động restart
# đặt forest/domain functional level là Windows Server 2016 = [WinThreshold]
# Đối với [-DomainNetbiosName], đặt bất kỳ tên NetBIOS nào
# Đối với [-SafeModeAdministratorPassword], đặt bất kỳ pass nào cho SafeMode
PS C:\Users\Administrator> Install-ADDSForest -DomainName "thanhdd.local" ` -ForestMode WinThreshold ` -DomainMode WinThreshold ` -DomainNetbiosName THANHDD ` -SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "P@ssw0rd01" -Force) ` -InstallDNS
Join in Domain
Join vào domain Active Directory từ các máy client Windows khác. Ví dụ này thực hiện trên máy client Windows 10
– Trước khi cài đặt, hãy thay đổi DNS settings của máy client trỏ về DNS là máy Active Directory có IP 192.168.126.201.
– Nhấn run gõ sysdm.cpl để mở bảng System Properties. Ở tab [Computer Name] click chọn [Change]
– Check vào [Domain] và điền vào domain name sau đó click [OK] button
– Xác thực bằng 1 user domain trong Active Directory
– Sau khi xác thực thành công, thông báo Chào mừng được hiển thị như sau. Khởi động lại máy ngay sau đó
– Trên màn hình đăng nhập sau khi khởi động lại Máy tính, nhấp vào [another user] để chuyển sang đăng nhập bằng Domain user. Xác thực với Domain user mà bạn đã thêm.
Add User Accounts(CUI)
Thêm User Accounts của domain trong Active Directory bằng commands on CUI.
– Run PowerShell quyền admin và sử dụng lệnh [dsadd user].
+ show user list hiện tại
PS C:\Users\Administrator> dsquery user -name * "CN=Administrator,CN=Users,DC=thanhdd,DC=local" "CN=Guest,CN=Users,DC=thanhdd,DC=local" "CN=krbtgt,CN=Users,DC=thanhdd,DC=local"
+ thêm user [nhan vien 1]
PS C:\Users\Administrator> dsadd user CN=nhanvien1,CN=Users,DC=thanhdd,DC=local ` -pwd 123123aA@ ` -mustchpwd yes ` -ln nhanvien1 ` -fn NV ` -email nhanvien1@thanhdd.local ` -display "nhanvien1 NV"
+ Kiểm tra lại
PS C:\Users\Administrator> dsquery user -name nhanvien1 "CN=nhanvien1,CN=Users,DC=thanhdd,DC=local"
+ Những option của [dsadd user]
PS C:\Users\Administrator> dsadd user /?
Description: Adds a user to the directory.
Syntax: dsadd user <UserDN> [-samid <SAMName>] [-upn <UPN>] [-fn <FirstName>]
[-mi <Initial>] [-ln <LastName>] [-display <DisplayName>]
[-empid <EmployeeID>] [-pwd {<Password> | *}] [-desc <Description>]
[-memberof <Group ...>] [-office <Office>] [-tel <Phone#>]
[-email <Email>] [-hometel <HomePhone#>] [-pager <Pager#>]
[-mobile <CellPhone#>] [-fax <Fax#>] [-iptel <IPPhone#>]
[-webpg <WebPage>] [-title <Title>] [-dept <Department>]
[-company <Company>] [-mgr <Manager>] [-hmdir <HomeDir>]
[-hmdrv <DriveLtr:>] [-profile <ProfilePath>] [-loscr <ScriptPath>]
[-mustchpwd {yes | no}] [-canchpwd {yes | no}]
[-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}]
[-acctexpires <NumDays>] [-disabled {yes | no}]
[{-s <Server> | -d <Domain>}] [-u <UserName>]
[-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]
[-fnp <FirstNamePhonetic>] [-lnp <LastNamePhonetic>]
[-displayp <DisplayNamePhonetic>]
– Nếu muốn xóa user, use lệnh [dsrm]. Ví dụ xóa user [Redstone]
PS C:\Users\Administrator> dsrm "CN=Redstone,CN=Users,DC=thanhdd,DC=local" Are you sure you wish to delete CN=Redstone,CN=Users,DC=thanhdd,DC=local (Y/N)? Y dsrm succeeded:CN=Redstone,CN=Users,DC=thanhdd,DC=local
Thêm thuộc tính UNIX cho users domain có sẵn
– Ví dụ, thêm thuộc tính UNIX cho user [nhanvien2] user
PS C:\Users\Administrator> Get-ADUser -Identity nhanvien2 DistinguishedName : CN=nhanvien2,CN=Users,DC=thanhdd,DC=local Enabled : True GivenName : NV Name : nhanvien2 ObjectClass : user ObjectGUID : 862b5f52-a904-4b22-8895-ef69a35ed0b6 SamAccountName : nhanvien2 SID : S-1-5-21-169300988-308059952-2613185167-1106 Surname : nhanvien2 UserPrincipalName :
– chỉ định các thuộc tính bắt buộc tối thiểu cho users UNIX/Linux với hash table
PS C:\Users\Administrator> Set-ADUser -identity "CN=nhanvien2,CN=Users,DC=thanhdd,DC=local" `
-Add @{uidNumber="5001"; gidNumber="100"; loginShell="/bin/bash"; unixHomeDirectory="/home/nhanvien2"}
– verify
PS C:\Users\Administrator> Get-ADUser -Identity nhanvien2 -Properties * | Out-String -Stream | Select-String "uidNumber","gidNumber","loginShell","unixHomeDirectory" gidNumber : 100 loginShell : /bin/bash uidNumber : 5001 unixHomeDirectory : /home/nhanvien2
Add Group Accounts(CUI)
Thêm Group bằng commands on CUI
– Run PowerShell quyền admin và sử dụng lệnh [dsadd group].
+ show list group hiện tại
PS C:\Users\Administrator> dsquery group -name * "CN=Administrators,CN=Builtin,DC=thanhdd,DC=local" "CN=Users,CN=Builtin,DC=thanhdd,DC=local" "CN=Guests,CN=Builtin,DC=thanhdd,DC=local" ....
+ ở ví dụ này, Thêm group [PKetoan]
PS C:\Users\Administrator> dsadd group CN=PKetoan,CN=Users,DC=thanhdd,DC=local ` -secgrp yes ` -scope g ` -desc "Database Admin Group" dsadd succeeded:CN=PKetoan,CN=Users,DC=thanhdd,DC=local
+ những option của lệnh [dsadd group]
PS C:\Users\Administrator> dsadd group /?
Description: Adds a group to the directory.
Syntax: dsadd group <GroupDN> [-secgrp {yes | no}] [-scope {l | g | u}]
[-samid <SAMName>] [-desc <Description>] [-memberof <Group ...>]
[-members <Member ...>] [{-s <Server> | -d <Domain>}] [-u <UserName>]
[-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]
....
– Để thêm thành viên vào Group, hãy sử dụng lệnh [dsmod group].
+ ở ví dụ này, add user [nhanvien1] vào group [PKetoan]
PS C:\Users\Administrator> dsmod group CN=PKetoan,CN=Users,DC=thanhdd,DC=local ` >> -addmbr CN=nhanvien1,CN=Users,DC=thanhdd,DC=local dsmod succeeded:CN=PKetoan,CN=Users,DC=thanhdd,DC=local
+ verify
PS C:\Users\Administrator> dsget group CN=PKetoan,CN=Users,DC=thanhdd,DC=local -members "CN=nhanvien1,CN=Users,DC=thanhdd,DC=local"
+ nếu xóa một thành viên khỏi một nhóm, hãy làm như sau
PS C:\Users\Administrator> dsmod group CN=PKetoan,CN=Users,DC=thanhdd,DC=local ` -rmmbr CN=nhanvien1,CN=Users,DC=thanhdd,DC=local
– Nếu muốn xóa nhóm, hãy sử dụng lệnh [dsrm]. ở ví dụ này, xóa group [PKetoan]
PS C:\Users\Administrator> dsrm "CN=PKetoan,CN=Users,DC=thanhdd,DC=local"
Add Organizational Unit(CUI)
Thêm đơn vị tổ chức với Commands on CUI.
– Chạy PowerShell và sử dụng lệnh [dsadd ou]
+ show list OU hiện tại
PS C:\Users\Administrator> dsquery ou -name * "OU=Domain Controllers,DC=thanhdd,DC=local"
+ VD, Thêm một OU [TrungTamVanHanh]
PS C:\Users\Administrator> dsadd ou OU=TrungTamVanHanh,DC=thanhdd,DC=local dsadd succeeded:OU=TrungTamVanHanh,DC=thanhdd,DC=local
+ Kiểm tra lại
PS C:\Users\Administrator> dsquery ou -name TrungTamVanHanh "OU=TrungTamVanHanh,DC=thanhdd,DC=local"
+ để thêm đơn vị tổ chức con trong đơn vị tổ chức hiện có, hãy chỉ định Đường dẫn như sau. VD, thêm một đơn vị tổ chức [PhongNOC] thuộc đơn vị tổ chức [TrungTamVanHanh]
PS C:\Users\Administrator> dsadd ou OU=PhongNOC,OU=TrungTamVanHanh,DC=thanhdd,DC=local dsadd succeeded:OU=PhongNOC,OU=TrungTamVanHanh,DC=thanhdd,DC=local
+ Các option của lệnh [dsadd ou]
PS C:\Users\Administrator> dsadd ou /?
Description: Adds an organizational unit to the directory
Syntax: dsadd ou <OrganizationalUnitDN> [-desc <Description>]
[{-s <Server> | -d <Domain>}] [-u <UserName>]
[-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]
....
Add Computer Accounts(CUI)
Thêm tài khoản máy tính trên Active Directory. Theo cài đặt mặc định, nếu không tự thêm Computer Accounts, Computer bất kỳ có thể tham gia vào domain với quyền của người dùng thông thường không cần có đặc quyền của quản trị viên. Vì vậy, nếu muốn giới hạn người dùng xác thực khi máy tính tham gia vào domain, hãy Add Computer Accounts trước.
– Chạy PowerShell và sử dụng lệnh [dsadd computer].
+ show list computer hiện tại
PS C:\Users\Administrator> dsquery computer -name * "CN=RX-7,OU=Domain Controllers,DC=thanhdd,DC=local" "CN=RX-0,CN=Computers,DC=thanhdd,DC=local"
+ VD, thêm 1 computer [RX-2] trong [Computers]
PS C:\Users\Administrator> dsadd computer CN=RX-2,CN=Computers,DC=thanhdd,DC=local dsadd succeeded:CN=RX-2,CN=Computers,DC=thanhdd,DC=local
+ Kiểm tra lại
PS C:\Users\Administrator> dsquery computer -name RX-2 "CN=RX-2,CN=Computers,DC=thanhdd,DC=local"
+ Các option của lệnh [dsadd computer]
PS C:\Users\Administrator> dsadd computer /?
Description: Adds a computer to the directory.
Syntax: dsadd computer <ComputerDN> [-samid <SAMName>] [-desc <Description>]
[-loc <Location>] [-memberof <Group ...>]
[{-s <Server> | -d <Domain>}] [-u <UserName>]
[-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]
....
– Nếu muốn xóa Computer Accounts, hãy sử dụng lệnh [dsrm]. VD, delete a computer [RX-2]
+ Kiểm tra
PS C:\Users\Administrator> dsquery computer -name RX-2 "CN=RX-2,CN=Computers,DC=thanhdd,DC=local"
+ Xóa
PS C:\Users\Administrator> dsrm "CN=RX-2,CN=Computers,DC=thanhdd,DC=local"