Tweet
Bạn có từng thắc mắc khi tạo nhiều PSO (Password Settings Object) mà cùng áp dụng lên một user thì hệ thống sẽ chọn cái nào? Bài viết này sẽ giúp bạn hiểu rõ nguyên tắc ưu tiên PSO (PSO Precedence) và cách kiểm tra PSO thực tế được áp dụng (Resultant PSO) cho một user trong Active Directory.
[Thủ thuật Active Directory] Cách xác định PSO nào đang áp dụng cho user?
Bạn có từng thắc mắc khi tạo nhiều PSO (Password Settings Object) mà cùng áp dụng lên một user thì hệ thống sẽ chọn cái nào? Bài viết này sẽ giúp bạn hiểu rõ nguyên tắc ưu tiên PSO (PSO Precedence) và cách kiểm tra PSO thực tế được áp dụng (Resultant PSO) cho một user trong Active Directory. 1. Nguyên tắc ưu tiên PSO
Nếu có nhiều PSO đồng thời áp dụng lên một user (thông qua nhóm hoặc trực tiếp), thứ tự ưu tiên sẽ theo các quy tắc sau:
Active Directory cho phép bạn kiểm tra PSO nào đang thực sự được áp dụng lên user bằng thuộc tính:
msDS-ResultantPSO
Các bước kiểm tra:
Ví dụ thực tế
Bạn có 2 PSO:
Kết quả: user sẽ nhận PSO-Admins vì nó được áp trực tiếp và precedence thấp hơn.
Kết luận
Việc hiểu rõ thứ tự áp dụng của PSO giúp bạn tránh nhầm lẫn khi cấu hình chính sách mật khẩu cho nhiều đối tượng khác nhau trong domain. Khi gặp lỗi hoặc không đúng kỳ vọng, hãy kiểm tra ngay msDS-ResultantPSO để xác định nguyên nhân.
[Thủ thuật Active Directory] Cách xác định PSO nào đang áp dụng cho user?
Bạn có từng thắc mắc khi tạo nhiều PSO (Password Settings Object) mà cùng áp dụng lên một user thì hệ thống sẽ chọn cái nào? Bài viết này sẽ giúp bạn hiểu rõ nguyên tắc ưu tiên PSO (PSO Precedence) và cách kiểm tra PSO thực tế được áp dụng (Resultant PSO) cho một user trong Active Directory. 1. Nguyên tắc ưu tiên PSO
Nếu có nhiều PSO đồng thời áp dụng lên một user (thông qua nhóm hoặc trực tiếp), thứ tự ưu tiên sẽ theo các quy tắc sau:
- PSO áp dụng trực tiếp cho user có ưu tiên cao hơn PSO áp dụng thông qua nhóm.
- Trong số các PSO áp dụng, PSO có giá trị precedence thấp nhất sẽ được chọn (giống như độ ưu tiên – càng thấp càng ưu tiên).
- Nếu có hai PSO có cùng giá trị precedence, thì objectGUID nhỏ nhất sẽ được chọn (đây là một định danh duy nhất của object trong AD).
Active Directory cho phép bạn kiểm tra PSO nào đang thực sự được áp dụng lên user bằng thuộc tính:
msDS-ResultantPSO
Các bước kiểm tra:
- Mở công cụ Active Directory Users and Computers (ADUC).
- Trên menu View, bật tùy chọn Advanced Features.
- Mở Properties của user cần kiểm tra.
- Chuyển sang tab Attribute Editor.
- Tìm thuộc tính msDS-ResultantPSO. Nếu không thấy, hãy bật mục Show Constructed Attributes trong phần Filter.
⚠️ Ghi chú: msDS-ResultantPSO là một thuộc tính chỉ có thể xem được khi PSO đang áp dụng thực tế – nó giúp bạn xác nhận cấu hình có đúng như kỳ vọng hay không.
Ví dụ thực tế
Bạn có 2 PSO:
- PSO-Admins (precedence = 1) áp dụng trực tiếp cho user.
- PSO-Groups (precedence = 2) áp dụng thông qua nhóm.
Kết quả: user sẽ nhận PSO-Admins vì nó được áp trực tiếp và precedence thấp hơn.
Kết luận
Việc hiểu rõ thứ tự áp dụng của PSO giúp bạn tránh nhầm lẫn khi cấu hình chính sách mật khẩu cho nhiều đối tượng khác nhau trong domain. Khi gặp lỗi hoặc không đúng kỳ vọng, hãy kiểm tra ngay msDS-ResultantPSO để xác định nguyên nhân.