Tweet
Tổ chức tài khoản máy tính trong Active Directory: Làm sao cho đúng?
Bạn có biết? Nếu bạn chỉ dùng container mặc định “Computers” để chứa máy tính trong AD, bạn đang bỏ lỡ rất nhiều lợi ích về quản lý, bảo mật và Group Policy.
💡 Best Practice: Dùng OU thay vì dùng container mặc định
1. Tạo các Organizational Unit (OU) để chứa các đối tượng máy tính
Bạn có thể tạo một OU tên là Branches, sau đó tạo OU con cho từng thành phố như Boston, Chicago, New York, và bên trong mỗi thành phố lại phân loại thành Desktops và Laptops.
Cấu trúc OU này giúp:
⚙️ Chia OU theo hai tiêu chí chính:
🔐 Phân quyền tạo máy tính trong OU với Delegation of Control
Khi muốn cho phép một nhóm IT Helpdesk tạo máy tính trong AD nhưng không cấp toàn quyền, bạn có thể dùng Delegation of Control Wizard.
Trong ví dụ minh họa:
🧠 Ví dụ thực tế
Tình huống:
Helpdesk tại chi nhánh Boston chỉ cần tạo máy tính cho người dùng mới.
Giải pháp:
📌 Kết luận
Cấu trúc OU hợp lý + phân quyền chuẩn = Quản trị AD chuyên nghiệp.
Đừng để mọi thứ đổ vào “Computers”! Hãy quy hoạch OU theo địa lý và chức năng ngay từ đầu.
Nếu bạn đang bắt đầu làm quen với AD, hãy thử thực hành với một cấu trúc OU đơn giản cho phòng IT nội bộ, sau đó mở rộng cho toàn doanh nghiệp. Chúc bạn thành công!
Nếu bài viết hữu ích, hãy lưu lại hoặc chia sẻ cho đồng đội nhé!
Bạn có biết? Nếu bạn chỉ dùng container mặc định “Computers” để chứa máy tính trong AD, bạn đang bỏ lỡ rất nhiều lợi ích về quản lý, bảo mật và Group Policy.
💡 Best Practice: Dùng OU thay vì dùng container mặc định
1. Tạo các Organizational Unit (OU) để chứa các đối tượng máy tính
- Máy chủ (Servers): thường được chia nhỏ theo vai trò như Web, File, Database…
- Máy khách (Clients): nên chia theo khu vực địa lý hoặc chi nhánh (Branch).
Bạn có thể tạo một OU tên là Branches, sau đó tạo OU con cho từng thành phố như Boston, Chicago, New York, và bên trong mỗi thành phố lại phân loại thành Desktops và Laptops.
Cấu trúc OU này giúp:
- Phân quyền quản trị theo khu vực.
- Áp dụng Group Policy chi tiết và chính xác.
- Hạn chế sai sót trong việc áp dụng chính sách.
⚙️ Chia OU theo hai tiêu chí chính:
- Theo quyền quản trị (By Administration): Mỗi nhóm quản trị viên có thể được phân quyền quản lý OU riêng.
- Phục vụ cấu hình chính sách nhóm (Group Policy): Dễ gán chính sách bảo mật và cấu hình cho từng loại thiết bị hoặc chi nhánh.
🔐 Phân quyền tạo máy tính trong OU với Delegation of Control
Khi muốn cho phép một nhóm IT Helpdesk tạo máy tính trong AD nhưng không cấp toàn quyền, bạn có thể dùng Delegation of Control Wizard.
Trong ví dụ minh họa:
- Quản trị viên chọn loại đối tượng là Computer objects
- Cho phép:
✅ Tạo máy tính (Create)
✅ Xoá máy tính (Delete)
- Giúp phân quyền rõ ràng, không cần cho quyền “Domain Admin”.
- Đảm bảo nguyên tắc bảo mật: “Least Privilege” – chỉ cấp đúng quyền cần thiết.
🧠 Ví dụ thực tế
Tình huống:
Helpdesk tại chi nhánh Boston chỉ cần tạo máy tính cho người dùng mới.
Giải pháp:
- Tạo OU: Branches > Boston > Desktops
- Dùng Delegation of Control: cấp quyền cho nhóm Boston-Helpdesk được tạo máy tính trong OU Desktops.
📌 Kết luận
Cấu trúc OU hợp lý + phân quyền chuẩn = Quản trị AD chuyên nghiệp.
Đừng để mọi thứ đổ vào “Computers”! Hãy quy hoạch OU theo địa lý và chức năng ngay từ đầu.
Nếu bạn đang bắt đầu làm quen với AD, hãy thử thực hành với một cấu trúc OU đơn giản cho phòng IT nội bộ, sau đó mở rộng cho toàn doanh nghiệp. Chúc bạn thành công!
Nếu bài viết hữu ích, hãy lưu lại hoặc chia sẻ cho đồng đội nhé!