Tweet
[Bài chia sẻ] Tạo và quản lý tài khoản người dùng trong Active Directory – bạn đã làm đúng cách chưa?
Một trong những kỹ năng cơ bản nhưng cực kỳ quan trọng trong quản trị hệ thống Windows là việc cấu hình hồ sơ người dùng (User Profile) và xử lý tài khoản người dùng không còn hoạt động. Dù là doanh nghiệp nhỏ hay hạ tầng quy mô lớn, việc quản lý sai cách sẽ dẫn đến lỗi roaming profile, mất dữ liệu cá nhân hoặc thậm chí là lỗ hổng bảo mật. 1. Tạo hồ sơ người dùng (User Profile) đúng chuẩn
Trong phần “User Properties” của Active Directory, tab Profile là nơi bạn chỉ định nơi lưu hồ sơ của người dùng – bao gồm:
Ví dụ thực tế: Khi một nhân viên đăng nhập trên bất kỳ máy nào trong công ty, hệ thống sẽ tự động gắn ổ đĩa H chứa tài liệu cá nhân, và môi trường làm việc quen thuộc sẽ được đồng bộ nhờ roaming profile.
2. Xử lý tài khoản không hoạt động và vô hiệu hoá (Disable Account)
Bạn có nên xoá tài khoản người dùng không còn hoạt động? KHÔNG.
Việc xoá tài khoản có thể dẫn đến:
Thay vào đó, hãy “vô hiệu hoá” (disable) tài khoản:
Cách làm:
Lợi ích:
Kinh nghiệm thực chiến
Tạo Group Policy áp dụng script đăng nhập tự động cho phòng ban.
Bạn đang học MCSA hoặc quản trị AD tại doanh nghiệp? Hãy lưu lại bài viết này như một checklist quản trị tài khoản chuẩn chỉnh!
Bạn có thể chia sẻ thêm: bạn đang dùng roaming profile hay folder redirection cho người dùng?
Một trong những kỹ năng cơ bản nhưng cực kỳ quan trọng trong quản trị hệ thống Windows là việc cấu hình hồ sơ người dùng (User Profile) và xử lý tài khoản người dùng không còn hoạt động. Dù là doanh nghiệp nhỏ hay hạ tầng quy mô lớn, việc quản lý sai cách sẽ dẫn đến lỗi roaming profile, mất dữ liệu cá nhân hoặc thậm chí là lỗ hổng bảo mật. 1. Tạo hồ sơ người dùng (User Profile) đúng chuẩn
Trong phần “User Properties” của Active Directory, tab Profile là nơi bạn chỉ định nơi lưu hồ sơ của người dùng – bao gồm:
- Profile path: Chỉ định nơi lưu trữ roaming profile. Ví dụ:
\\LON-FS\profiles$\%username%
Với %username% sẽ tự động lấy tên đăng nhập của người dùng. Roaming profile cho phép người dùng giữ nguyên môi trường desktop, tài liệu, và các thiết lập cá nhân khi đăng nhập từ các máy khác nhau. - Logon script: Bạn có thể chỉ định script đăng nhập nếu cần gắn ổ đĩa, thiết lập môi trường, v.v.
- Home folder: Đây là thư mục riêng để người dùng lưu trữ dữ liệu cá nhân:
- Local path: Chỉ định ổ đĩa cục bộ.
- Connect: Tạo ổ đĩa mạng được gắn khi người dùng đăng nhập, ví dụ:
Connect H: to \\LON-FS\homes$\%username%
Ví dụ thực tế: Khi một nhân viên đăng nhập trên bất kỳ máy nào trong công ty, hệ thống sẽ tự động gắn ổ đĩa H chứa tài liệu cá nhân, và môi trường làm việc quen thuộc sẽ được đồng bộ nhờ roaming profile.
2. Xử lý tài khoản không hoạt động và vô hiệu hoá (Disable Account)
Bạn có nên xoá tài khoản người dùng không còn hoạt động? KHÔNG.
Việc xoá tài khoản có thể dẫn đến:
- Mất quyền truy cập vào email cũ hoặc file đã phân quyền.
- Gây lỗi khi kiểm tra log hoặc audit.
Thay vào đó, hãy “vô hiệu hoá” (disable) tài khoản:
Cách làm:
- Mở công cụ Active Directory Users and Computers.
- Nhấp chuột phải vào tài khoản cần xử lý.
- Chọn Disable Account.
Lợi ích:
- Giữ nguyên dữ liệu, phân quyền, và lịch sử log.
- Có thể khôi phục lại khi cần thiết.
- Tăng tính bảo mật (tài khoản bị vô hiệu hoá sẽ không đăng nhập được nữa).
Kinh nghiệm thực chiến
Tạo Group Policy áp dụng script đăng nhập tự động cho phòng ban.
- Theo dõi tài khoản không đăng nhập trong 30 ngày và tự động disable bằng PowerShell.
- Luôn đặt quyền phù hợp cho thư mục profiles và home folder để tránh rò rỉ dữ liệu.
Bạn đang học MCSA hoặc quản trị AD tại doanh nghiệp? Hãy lưu lại bài viết này như một checklist quản trị tài khoản chuẩn chỉnh!
Bạn có thể chia sẻ thêm: bạn đang dùng roaming profile hay folder redirection cho người dùng?