DHCP (MCSA #2)

Tổng quát về DHCP

Dynamic Host Configuration Protocol (DHCP - giao thức cấu hình động máy chủ) là một giao thức cấu hình tự động địa chỉ IP. Máy tính được cấu hình một cách tự động vì thế sẽ giảm việc can thiệp vào hệ thống mạng. Nó cung cấp một database trung tâm để theo dõi tất cả các máy tính trong hệ thống mạng. Mục đích quan trọng nhất là tránh trường hợp hai máy tính khác nhau lại có cùng địa chỉ IP.

Nếu không có DHCP, các máy có thể cấu hình IP thủ công. Ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu hình khác, cụ thể như DNS. Hiện nay DHCP có 2 version: cho IPv4 và IPv6.

Mô hình DHCP Server-CLient

Lịch sử phát triển DHCP

DHCP đầu tiên được định nghĩa trong RFC 1531 vào tháng 10/1993, là phần mở rộng của Bootstrap Protocol(BOOTP). Động cơ để cải tiến BOOTP là BOOTP đòi hỏi phải cấu hình thủ công để thêm thông tin cho từng máy client, và không cung cấp cơ chế tái sử dụng lại địa chỉ IP. Năm 1997, RFC 2131 ra đời,vẫn còn chuẩn IPv4 cho đến năm 2011. DHCPv6 được định nghĩa trong RFC 3315 RFC 3633 được thêm vào DHCPv6 cơ chế prefix delegation.

Giao thức BOOTP lần đầu tiên được định nghĩa trong RFC 951 thay thê cho RARP (Reverse Address Resolution Protocol), mà động cơ thiết yếu để thay thế RARP bằng BOOTP là RARP hoạt động ở tầng data link, điều này làm cho việc thực hiện trên nhiều máy server trở nên khó khăn, và đòi hỏi một server xử lý trên riêng trên từng network. BOOTP có đổi mới relay agent, cho phép forwarding đến gói BOOTP trong mạng cục bộ, vì vậy BOOTP server có thể phục vụ cho nhiều IP subnet.

Cách hoạt động của DHCP

DHCP tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có thể làm mất liên lạc. Nó tự động gán lại các địa chỉ chưa được sử dụng. DHCP cho thuê địa chỉ trong một khoảng thời gian, có nghĩa là những địa chỉ nầy sẽ còn dùng được cho các hệ thống khác. Bạn hiếm khi bị hết địa chỉ. DHCP tự động gán địa chỉ IP thích hợp với mạng con chứa máy trạm này. Cũng vậy, DHCP tự động gán địa chỉ cho người dùng di động tại mạng con họ kết nối.

Trình tự thuê Địa chỉ IP DHCP là một giao thức Internet có nguồn gốc ở BOOTP (bootstrap protocol), được dùng để cấu hình các trạm không đĩa. DHCP khai thác ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình được định nghĩa trong BOOTP, trong đó có khả năng gán địa chỉ. Sự tương tự này cũng cho phép các bộ định tuyến hiện nay chuyển tiếp các thông điệp BOOTP giữa các mạng con cũng có thể chuyển tiếp các thông điệp DHCP. Vì thế, máy chủ DHCP có thể đánh địa chỉ IP cho nhiều mạng con.

Quá trình đạt được địa chỉ IP được mô tả dưới đây:

1.DHCP Discover
Đầu tiên máy lient sẽ gửi đi 1 gói tin quảng bá tên làn DHCP discover nhằm yêu cầu cho việc lấy các thông tin cấu hình như IP address, subnet mask, default getway,preferred DNS,.. Lúc này, vì lient chưa có địa chỉ IP nên nó sẽ dùng một địa chỉ source(nguồn) là 0.0.0.0, đồng thoài nó cũng không biết địa chỉ của DHCP server nên clinet sẽ gửi đến một đĩa chỉ broadcast là 255.255.255.255 và sau đó gói tin DHCP Discover này sẽ quảng bá đi toàn mjang. Gói tin này chứa một địa chỉ MAC(Media Access Control) (là địa chỉ mà mỗi một network adapter(card mạng) được nhà sản xuất cấp cho và là mã số để phân biệt các card mạng với nhau).Ngoài ra nó còn chưa tên của máy client để server có thể nhận biết được client nào đã gửi yêu cầu đến.

2.DHCP Offer
Sau khi nhận được gói tin DHCP Discover của client, nếu có một DHCP Server hợp lệ (nghĩa là nó có khả năng cung cấp địa chỉ IP cho client) thì nó sẽ trả lời bằng gói tin DHCP offer, gói tin này chứa một địa chỉ IP đề nghị cho thuê trong một khoảng thoài gian nhất định (mặc định là 8 ngày, sau một khoảng thời gian là 50%(tức là 4 ngày) nó sẽ tự động thu hòi IP address đã cấp nếu như client không sử dụng). kèm theo là địa chỉ MAC cra client được cấp, một subnet mask và địa chỉ IP của DHCP SErver đã cấp phát. Trong thời gian này server sẽ không cấp phát địa chỉ IP vừa đề nghị cho một client nào khác.

3. DHCP request.
Máy client sau khi nhận được những lời đề nghị là các gói tin DHCP offer trên mạng (trường hợp trong mjang có nhiều hơn một DHCP server) sẽ tiến hành chọn lọc một gói tin phù hợp và sau đó phản hồi lại bằng một gói tin là DHCP Request (bao gồm thông tin về dHCP Server cấp phát đĩa chỉ cho nó) để chấp nhận lời đề nghị đó. Điều này giúp cho việc các gói tin còn lại không được chấp nhận sẽ được các server rút  lại và dùng để cấp phát cho CLient khách.

4. DHCP Acknowleadgement:
Khi DHCP server nhận được gói tin DHCP Request, nó sẽ trả lời lại DHCP client bằng một gói tin DHCP Ack nhằm mục đích thông báo là đã chấp nhận cho DHCP client đó thuê địa chỉ IP. Gói tin này bao gồm địa chỉ IP và các thông tin cấu hình khách (DNS server, WINS Server..) . Cuối cùng client nhận được gói tin DHCP Ack thì cũng có nghĩa là kết thúc quá trình thuê và cấp phát địa chỉ IP và địa chỉ IP này chính thức được client sử dụng.

* Tất cả các việc trao đổi thông tin giũa một DCP server và client sẽ sử dụng giao thức UDP để truyền các gói tin tại cổng 67 và 68 dành cho việc truyền dữ liệu từ server đến client.

Quá trình hoạt động DHCP

Các thuật ngữ

• DHCP client - Máy trạm DHCP: là một thiết bị nối vào mạng và sử dụng giao thức DHCP để lấy các thông tin cấu hình như là địa chỉ mạng, địa chỉ máy chủ DNS.
• DHCP server - Máy chủ DHCP: là một thiết bị nối vào mạng có chức năng trả về các thông tin cần thiết cho máy trạm DHCP khi có yêu cầu.
  - DHCP có để đặt ở một máy riêng hoặc có thể được tích hợp với Domain Controller
• BOOTP relay agents - Thiết bị chuyển tiếp BOOTP: là một máy trạm hoặc một router có khả năng chuyển các thông điệp DHCP giữa DHCP server và DHCP client.
• Binding - Nối kết: là một tập hợp các thông tin cấu hình trong đó có ít nhất một địa chỉ IP, được sử dụng bởi một DHCP client. Các nối kết được quản lý bởi máy chủ DHCP

Cài đặt và cấu hình trên WINDOWN SERVER 2008 R2

• Yêu cầu:
  - Các thiết lập IPv4 (ip tĩnh)
  - Môi trường kiểm thử VMWare
• Phần này chúng ta tích hợp trên hệ thống DC tuy nhiên các bước cài đặt là giống nhau.

B1: Tại mục Server Manager --> Add Roles

B2: Tích chọn DHCP

B3: Điển địa chỉ IP của DNS server --> Validate

B4: Chọn không cập nhật từ windown

B5: Thêm Scope(vùng,dải địa chỉ IP muốn cấp cho các máy tính.Có thể có nhiều Scope IP)

Scope name: Tên của scope

Starting IP : Địa chỉ đầu tiên của dải IP.

Ending IP : Địa chỉ cuối cùng của dải IP.

=> Số lượng máy tính được cấp pháp IP.

Subnet mask : subnet của địa chỉ mạng.

Default Getway: Địa chỉ mạng của Scope..

B6: Chọn kích hoạt hoặc tắt chế độ áp dụng DHCP cho IPv6

B7: Chọn phương thức xác thực 

-Use current credentials: Sử dụng nhưng user sẵn có trong AD để xác thực

-Use alternate credentials: xác thực qua thiết lập của quản trị tên miền.

B8: Click Install để cài đặt DHCP Server

Khởi động lại máy tính khi quá trình cài đặt hoàn tất.

Bật giao diện cấu hình DHCP service.

 Administrative tool --> DHCP

Thông số Scope đã được cấu hình khi cài đặt dịch vụ DHCP.

Có thể tạo thêm Scope mới:

IPv4 --> New Scopevà cấu hình thông số cho Scope mới như lúc cài đặt

Cấu hình Scope

- Sau khi cấu hình các Scope  có dải địa chỉ từ 192.168.1.10 --> 192.168.1.20 - nghĩa là Spcope này có thể cấp IP cho 10 máy tính khác trong mạng.

- Nhưng trong 10 địa chỉ IP ấy chúng ta muốn sử dụng theo nhiều trường hợp khác nhau:

-Tính năng Reservation: Cấp IP theo địa chỉ MAC của một máy tính A trong mạng.Dù máy tính này có tắt đi hay thế nào đi nữa thì máy tính A vẫn nhận một địa chỉ IP cố định do cơ chế Reservation của DHCP cấp

-Address Pool --> Add Exclusion

-Tính năng Exclusion: Nếu như bạn muốn một số địa chỉ IP trong dải 10 IP của Scope, tạm thời không được cấp phát.

-Vd trong hình: Cấm cấp phát IP 1.17 --> 1.19

Cấu hình và test tại các máy trạm

Khi một máy trạm muốn nhận IP từ DHCP Server thì phải đặt chế độ nhận Ipv4 ở trạng thái Động.

Máy client được nhận IP từ DHCP

Cấu trúc Active Directory Phần 4

Phần này chúng ta sẽ đi chi tiết hơn về ý nghĩa cách thiết lập các chính sách nhóm Group Policy.

*Yêu cầu:
-Tạo một GPO "GPO doingoai" và thiết lập một số chính sách bảo mật cho các users thuộc phòng ban đối ngoại
+ Yêu cầu mật khẩu có 8 kí tự và tiêu chí mật khẩu mạnh
+ Không cho phép các users được sử dụng CMD,Regedit và Controll Pannel
+ Không sử dụng phím chức năng Task Manager
* Tạo GPO

Sau khi tạo một GPO tại một OU  nào đó ---> RightClick -->Edit



Của sở của GPO "GPO doingoai"













1.Computer Configuations:Mục này áp dụng GPO cho các users sử dụng trên máy tính đó
Truy nhập theo đường dẫn:

-Cài đặt kí tự tối thiểu cho password



Computer Configuations --> Windown setting -->Security setting --> Account policies
-Tại mục password policy: Phải chuột chọn Minimum password leght --> Properties và chọn thiết thập theo hình bên dưới









-Chế độ mật khẩu mạnh



Chế độ mật khẩu mạnh này yêu cầu password của bạn phải có các kí tự được biệt
Ví dụ: Pa$sw0rd






- Cấm Controll Panel.



Truy cập Users Configuation -->Policies
-->Administrative -->Control Panel
Để ý bên phải màm hình tìm dòng:
prohibit access to the Control Panel








-->Chuột phải  chọn Configuration
--> Chọn Enabel

-Cấm CMD (command prompt)

Tại mục System:

Tìm dòng Prevent access to the command prompt --> Chuột phải --> Edit

Click chọn Enabel.

Chuột phải --> Edit

Click chọn Enabel.

OK hoặc Apply để hoàn tất

- Cấm Regedit

Tìm dòng Prevent access to registry editing tools

--> Chuột phải chọn Edit --> Enable-->Ok

- Khóa phím chức năng Ctrl + Alt + Del

Tại mục System --> Ctrl + Alt + Del Options

và tiến hành cài đặt giống các chính sách khác

* Sau khi thiết lập các GPO xong thì các users ngay lập tức sẽ chưa được áp dụng những chính sách này.Để nhận các thiết lập trong GPO chạy dòng lệnh tại:

Start --> Run --> chạy dòng lệnh gpupdate /force

* Có một cách tìm kiếm các chính sách nhóm một cách nhanh chóng mà không phải lần mò trong một đống các chính sách trong list.Đó là sử dụng chức năng Filter Options.

B1: Đâu tiên bạn chỉ cần xác định chính sách cần thiết lập là thiết lập cho máy tính hay cho users
B2: Filter Options chỉ sử dụng được cho các chính sách trong nhóm trong mục "All Setting"
B3: Chuột phải mục " All Setting" chọn Filter Options












B4: đánh từ khóa cần tìm là "cmd" nếu bạn muốn tìm kiếm chính sách liên quan đến command pronpt

Một số các chính sách liên quan sẽ hiện ra.









* Chuột phải chọn Delete nếu muốn loại bỏ các chính sách nhóm này và nhớ chạy dòng lệnh gpupdate /force

Cấu trúc Active Directory Phần 3

Ở phần trước chúng ta đã đề cập đến các đối tượng của Active Directory Users and Computer trong Domain Controller.
Tiếp tục  phần này chúng ta sẽ tiếp tục sang phần triển khai bảo mật với chính sách nhóm Group policy.

1.Group policy là gì??

• Group Policy là tập các thiết lập cấu hình cho computer và user. Xác định cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với người dùng và máy tính trong 1 tổ chức.

• Group Policy chỉ áp dụng được với các máy Win2k/XP/WinS2k3/2k8.

• Các Group Policy chỉ có thể hiện hữu trên miền Active Directory (AD).

• Các Group Policy thì được áp dụng lúc máy khách được khởi động, lúc máy khách đăng nhập, và vào những thời điểm ngẫu nhiên khác.

• Các Group Policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bỏ khỏi miền AD.

• Người quản trị mạng có được nhiều mức độ kiểm soát tinh vi hơn đối với vấn đề ai được hoặc không được nhận một Group Policy nào đó.

• Group Policy chủ yếu chỉ được áp dụng cho các site, domain, và OU (Organizational Unit). Gọi tắt là SDOU.

• Trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại chỗ (Local Group Policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả. Các máy Windows XP Home thì không có Local Group Policy.

• Các Group Policy dành cho SDOU được tạo ra dưới dạng các đối tượng chính sách nhóm (Group Policy Object - GPO)‏

• Các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL.

• GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 nằm trong thư mục: %Windir%\System32\GroupPolicy.

• Chương trình để tạo ra và/hoặc chỉnh sửa các GPO tên là Group Policy Object Editor, có dạng một console MMC tên là GPEDIT.MSC. Hoặc ta cũng có thể dùng nó dưới dạng một công cụ snap-in trong một console MMC khác, ví dụ: console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group Policy.

2. Cửa sổ Group policy

Cửa sổ Group Policy Object

Cách sử dụng chung: tìm tới các nhánh, chọn thiết lập phù hợp.

• Not configured: không định cấu hình cho tính năng.

• Enable: kích hoạt tính năng.

• Disable: vô hiệu hóa tính năng.

Gồm 2 mục chính:

• Computer Configuration

• User Configuration.

• Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy.

+ Windows Settings: cấu hình về việc sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống …
+ Administrative Templates:

- System: cấu hình về hệ thống

- Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong Windows như: Internet Explorer, NetMeeting...

  * User Configuration: cấu hình cho tài khoản đang sử dụng. Các thành phần có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như mục Computer Configuration

Lưu ý: trước khi cấu hình cho bất kỳ thành phần nào, phải tìm hiểu thật kỹ về nó


Windows Setting:
Tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống...

• Scripts (Startup/Shutdown): chỉ định cho windows sẽ chạy một đoạn mã nào đó(như .vbs) khi Windows Startup hoặc Shutdown.

• Security settings: các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người sử dụng nào.

Windows Setting/Security Settings

• Account Policies: các chính sách áp dụng cho tài khoản của người dùng.

• Local Policies: kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng tại chỗ.

• Public Key Policies: các chính sách khóa dùng chung.

Windows Setting/Security Settings/Account Policies

Password Policies

các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy.

• Enforce password history: bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định.

• Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu thay đổi mật khẩu.

• Minimum password age: xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu.

• Minimum password length: độ dài tối thiểu cuả mật khẩu tài khoản.

• Password must meet complexity requirements: quyết định độ phức tạp của mật khẩu.

• Store password using reversible encryption for all users in the domain: lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain.

Acount lockout Policy

• Account lockout duration: xác định số phút còn sau khi tài khoản được khóa trước khi việc mở khóa đươc thực hiện.

• Account lockout threshold: xác định số lần cố gắng đăng nhập nhưng không thành công.

• Reset account lockout counter after: thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định.

Windows Setting/Security Settings/Local Policies

User rights Assignment: ấn định quyền cho người sử dụng.

Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian của hệ thống…
Trong phần này, để cấu hình cho một mục nào đó thì nháy đúp chuột lên mục đó và nhấn nút Add user or group để trao quyền cho User hoặcGroup đó.

• Access this computer from the network: tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào.

• Act as part of the operating system: chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống.

• Add workstations to domain: thêm một tài khoản hoặc nhóm vào miền.

• Adjust memory quotas for a process: chỉ định những ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý.

• Allow logon through Terminal Services: cấp phép cho những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống.

• Back up files and directories: cấp phép cho những ai sẽ có quyền backup dữ liệu.

• Change the system time: cho phép người sử dụng nào có quyền thay đổi thời gian của hệ thống.

• Create global objects: cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung.

• Shut down the system: cho phép ai có quyền Shutdown máy.

* Softwave Setting:
   Deploy phần mềm

Cấu trúc Active Directory Phần 2

Thao tác với Active Directory Users and Computer.

Tại mục này chúng ta sẽ đề cập đến các đối tượng của AD users and Computer
và cách tạo các OU,Group,Users bằng giao diện và dòng lệnh

1.Làm việc với các đối tượng OU,Group,Users

-Tạo OU

Tại của sổ Active Directory Users and Computers

RightClick lên Domain --> New --> OU --> Điền tên cho OU.

Tạo bằng dòng lệnh

Cấu trúc câu lệnh tạo OU:

dsadd ou <OrganizationalUnitDN> [-desc <Description>] [{-s <Server> | -d <Domain>}][-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]

Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau:

dsadd ou ou=it,dc=vnnp,dc=com

Ý nghĩa câu lệnh tạo OU: 

+  dsadd ou => sẽ khởi tạo một ou

+ ou=it => tạo OU có tên IT.

+ dc=vnnp, dc = com ==> khai báo domain sẽ tạo OU lên đó.

Chú ý: Nếu domain có dạng tên miền con ví dụ như: vnnp.com.vn thì khai báo thêm như sau: dc=vnnp, dc=com,dc=vn

-Tạo Group

 

RightClick lên OU vừa tạo --> New --> Group --> Điền tên GP muốn tạo

Cấu trúc câu lệnh tạo group:

dsadd group <GroupDN> [-secgrp {yes | no}] [-scope {l | g | u}] [-samid <SAMName>] [-desc <Description>] [-memberof <Group> …] [-members <Member> …] [{-s Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]

Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau:

dsadd group cn=GP_doingoai,ou=doingoai,dc=vnnp,dc=com -secgrp yes -scope g

Ý nghĩa câu lệnh tạo group:

+ dsadd group ===> câu lệnh sẽ khởi tạo một group.

+ cn=GP_doingoai ===> Group được tạo có tên là it_group.

+ou=doingoai ===> Group được tạo sẽ nằm trong ou có tên là it.

+ dc=vnnp, dc = com ==> khai báo domain sẽ tạo OU lên đó.

+ -secgrp yes ===>Kiểu group là Security, nếu chọn no sẽ là kiểu Distribution

+ -scope g ===>scope của group là Global, nếu chọn tham số là l sẽ là kiểu Domain local, tham số U là kiểu Universal

-Tạo User

RightClick lên OU cần tạo User --> New --> Uesr --> Điền thông tin --> nhập Password

Cú pháp câu lệnh tạo User:

dsadd user <UserDN> [-samid <SAMName>] [-upn <UPN>] [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-empid <EmployeeID>] [-pwd {<Password> | *}] [-desc <Description>] [-memberof <Group> …] [-office <Office>] [-tel <PhoneNumber>] [-email <Email>] [-hometel <HomePhoneNumber>] [-pager <PagerNumber>] [-mobile <CellPhoneNumber>] [-fax <FaxNumber>] [-iptel <IPPhoneNumber>] [-webpg <WebPage>] [-title <Title>] [-dept <Department>] [-company <Company>] [-mgr <Manager>] [-hmdir <HomeDirectory>] [-hmdrv <DriveLetter>:][-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires <NumberOfDays>] [-disabled {yes | no}] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-q] [{-uc | -uco | -uci}]

Vào cửa sổ command prompt (cmd) bằng quyền administrator gõ câu lệnh như sau:

dsadd user cn=khanh,ou=maketing,dc=vnnp,dc=com -fn tran -ln khanh –display “Tran Khanh”  -mustchpwd no -canchpwd no -disabled no -acctexpires never –pwd 123456A@

Ý nghĩa cú pháp câu lệnh tạo user:

+ dsadd user => Câu lệnh báo sẽ tạo user

+ cn=khanh => tên tài khoản login của user.

+ ou=maketing => user này nằm trong OU có tên là maketing

+ dc=vnnp, dc = com ==> khai báo domain sẽ tạo OU lên đó.

+ -fn Tran => First Name của user có tên là Tran

+ -ln Khanh => LastName của user là Khanh

+ –display “Tran Khanh”  ==> Tên hiển thị của tài khoản là Tran Khanh.

+ -mustchpwd no ==> Tài khoản không yêu cầu phải đổi mật khẩu ngay lần đăng nhập đầu tiên. Nếu chọn yes có nghĩa là phải đổi

+ -canchpwd no ==> Tài khoản không thể đổi được mật khẩu.

+ -acctexpires never ==> Tài khoản không bao giờ hết hạn.

+ –pwd 123456A@ ==> Thiết lập mật khẩu cho tài khoản là 123456A@

-Thêm user vào Group

RightClick những users cần thêm vào Group --> Add to a Group --> Nhập tên Group --> OK

Để kiểm tra thành viên của Group chuột phải vào Gourp cần xem --> Properties --> chọn mục Members