Câu chuyện quản trị system của Doanh nghiệp thường quy mô cở trung, vừa to,… Nếu doanh nghiệp chúng ta nhỏ thường ông quản trị mạng làm hết nghĩa là roles và vai trò system admin, network admin là 1 nói chung là all in one 🙂 đó là câu chuyện đương nhiên để tiết giảm chi phí cho Doanh nghiệp. Tuy nhiên đối với Doanh nghiệp lớn SMB to hệ thống vài 1000 user đến vài trăm ngàn user, thì IT helpdesk cần có và phân công nhiệm vụ rõ ràng. Ông System Admin quản trị Domain controller rồi có thể cho các bạn Helpdesk hoặc đơn vị nào đó ví dụ Outsoucing để có quyền tham gia hay join máy tính vào domain. Câu chuyện đặt ra chúng ta không thể một mình làm hết được nên chúng ta phải cho phép ủy quyền 1 số nhóm hoặc người dùng helpdesk làm công chuyện này. Dĩ nhiên loại trừ 1 số người dùng có số lần join domain là 10 lần.
Giải pháp
Hôm nay phương nguyễn chia sẽ đến các bạn một mẹo nhỏ trong quản trị hệ thống mạng Domain controller nhé để làm công đoạn này có 2 cách có thể làm:
- Ủy quyền 1 nhóm người hoặc người nào đó có quyền sử dụng Active Directory Users and Computers mà cụ thể là join domain.
- Tạo 1 chính sách GPO trên default domain group policy để cấp quyền
Các thực hiện ủy quyền trên ADUC
Để thực hiện delegation vào start-> gỏ lệnh dsa.msc run Active Directory Users & Computers
Tạo 1 nhóm để ủy quyền nhé ví dụ GroupITHelpdesk
Thêm các user cần ủy quyền join vào nhé ví dụ : jsisen, phuong
Muốn ủy quyền OU nào thì chọn OU đấy nhé hoặc có thể chọn cả domain 🙂 phải chuột chọn delegation
Chọn Nex->
Chọn -> Add group vừa tạo trên và chọn ok->next.
Chọn Delegation the following Common tasks-> Join a Computer to the domain
Hoặc chọn Create a custom task to delegate thì chọn Create computer object và Delete nhé.
Chọn Ok finish nhé.
Như vậy Phương Nguyễn chia sẽ cách ủy quyền 1 tài khoản hoặc nhóm có thể có quyền join domain. Chúng ta có thể bàn giao cho các anh em IT helpdesk đi làm mỗi 1 nhiệm vụ join thôi nhé.
Hehehe Nếu thấy hay hãy nhớ like và sharing cho các anh em IT và nếu có copy bài nhớ ghi source từ bài viết.
Phương Nguyễn Viết
Phương Nguyễn là chủ sở hữu trang web viettechgroup.vn, phuongnguyenit.com. Phương Nguyễn là IT Pro, MCSA, MCSE, MCITP, CCNA, VCP, LPI, Cloud Services.. Chuyên gia quản trị cao cấp trong các tập đoàn, doanh nghiệp lớn.
Phương Nguyễn có hơn 15 năm kinh nghiệm trong lĩnh vực Quản trị hệ thống CNTT vừa và nhỏ, các giải pháp của Microsoft, Cloud, Quản trị hạ tầng mạng Cisco [Router, Swicth, FIrewall ASA Cisco,..], Fortigate,.. Quản trị ảo hóa Vmware vSphere, vCenter,..Các giải pháp sao lưu dự phòng của hãng lớn: Veeam Backup, Veritas Backup, Net Backup,…
Trong bài viết này tôi sẽ hướng dẫn các bạn Phân quyền cho user domain window server đã join domain được sử dụng các quyền được chỉ định trên máy tính local được cấp và sử dụng.
Phần 1: Phân quyền user domain có Full quyền trên local computer
1.1/ login vào local computer bằng user có full quyền trên domain controller.
1.2/ vào computer manager chọn group Administrators
1.3/ Add user domain vào group Administrator local trên máy tính local.
1.4/ Update rule
mở cmd gõ lệnh sau để update group policy
gpupdate /force
Như vậy là bạn đã cấu hình thành công cấp quyền cho user domain Full quyền administrator trên máy tính local.
Phần 2: Phân quyền user domain có Full quyền nhất định trên local computer
Nếu bạn không muốn add Full quyền cho user domain thì có thể làm như sau:
Nhưng thêm bước tạo 1 group local mới trên máy tính local. Sau đó bạn thêm các quyền [permission] vào group đó ví dụ như Remote Desktop [RDP].
Hoàn toàn tương tự các bước làm như trên.
Sau đó các bạn add user domain đó vào group local đó.
Update rule
mở cmd gõ lệnh sau để update group policy
gpupdate /force
Nguồn: //fixloinhanh.com
Chúc các bạn thành công.
SaKuRai
Xin chào, Mình là Sakurai. Blog này là nơi để note lại và chia sẻ những kiến thức, kinh nghiệm mà mình và anh em trong Team. Cảm ơn các bạn đã quan tâm theo dõi!