Tweet
📘 Ôn tập MCSA – Hiểu đúng về Active Directory trước khi thi
Active Directory (AD) được xem là trái tim của Windows Server. Nếu AD gặp lỗi, mọi dịch vụ như login, GPO, DNS, File Server… đều bị ảnh hưởng.
Vì vậy, để thi MCSA (hoặc làm thực tế), học viên không chỉ thuộc lệnh, mà phải nắm bản chất hoạt động.
🔑 1. Kiến thức cốt lõi cần nắm vững
✔ Domain – Forest – OU khác nhau thế nào?
👉 Ghi nhớ khi thi: Policy không áp vào Group – chỉ áp vào OU, Domain, Site.
✔ GPO áp dụng theo thứ tự nào?
Thứ tự chuẩn L–S–D–O
➡ Local → Site → Domain → OU
✔ FSMO Roles – 5 vai trò quan trọng nhất
AD có 5 role FSMO, chia làm 2 nhóm: Forest-wide (toàn forest):
⚠ Khi Domain Controller gặp sự cố → PDC Emulator là role quan trọng nhất vì ảnh hưởng login, thời gian, và GPO.
✔ Join Domain & xử lý lỗi DNS
Lỗi join domain thường gặp:
Cách xử lý:
🔥 2. Câu hỏi dễ gặp trong bài thi
❓ User không nhận GPO – kiểm tra gì trước?
❓ Domain Controller chết – role nào cần chuyển ngay?
Chuyển bằng lệnh:
ntdsutil
❓ Loopback GPO – Merge vs Replace
👉 Dùng trong phòng lab, phòng máy, khu vực dùng chung.
🎯 3. Gợi ý L A B – học đúng bản chất
Lab 1 – Dựng domain + OU + User + Group
Active Directory (AD) được xem là trái tim của Windows Server. Nếu AD gặp lỗi, mọi dịch vụ như login, GPO, DNS, File Server… đều bị ảnh hưởng.
Vì vậy, để thi MCSA (hoặc làm thực tế), học viên không chỉ thuộc lệnh, mà phải nắm bản chất hoạt động.
🔑 1. Kiến thức cốt lõi cần nắm vững
✔ Domain – Forest – OU khác nhau thế nào?
- Domain: đơn vị quản lý chính, chứa user, group, máy tính, policy.
- Forest: tập hợp nhiều domain, dùng chung Global Catalog & Trust.
- OU (Organizational Unit): thư mục dùng để sắp xếp user/computer và áp GPO.
👉 Ghi nhớ khi thi: Policy không áp vào Group – chỉ áp vào OU, Domain, Site.
✔ GPO áp dụng theo thứ tự nào?
Thứ tự chuẩn L–S–D–O
➡ Local → Site → Domain → OU
- GPO càng “gần” user/máy tính thì ưu tiên cao hơn.
- Deny sẽ ghi đè toàn bộ quyền.
- Block Inheritance và Enforced giúp kiểm soát xung đột policy.
✔ FSMO Roles – 5 vai trò quan trọng nhất
AD có 5 role FSMO, chia làm 2 nhóm: Forest-wide (toàn forest):
- Schema Master
- Domain Naming Master
- RID Master
- PDC Emulator
- Infrastructure Master
⚠ Khi Domain Controller gặp sự cố → PDC Emulator là role quan trọng nhất vì ảnh hưởng login, thời gian, và GPO.
✔ Join Domain & xử lý lỗi DNS
Lỗi join domain thường gặp:
- Sai DNS → máy client trỏ DNS về router hoặc DNS ngoài.
- SRV record trong DNS thiếu → lỗi AD hoặc zone cấu hình sai.
- Thời gian lệch quá 5 phút → KDC không cho xác thực.
Cách xử lý:
- Trỏ DNS client → IP Domain Controller
- Kiểm tra SRV bằng:
nslookup -type=SRV _ldap._tcp.dc._msdcs.tenmien.local - Đồng bộ thời gian bằng:
w32tm /resync
🔥 2. Câu hỏi dễ gặp trong bài thi
❓ User không nhận GPO – kiểm tra gì trước?
- Kiểm tra xem user/máy có nằm đúng OU không.
- Kiểm tra gpresult /r xem GPO có apply không.
- Kiểm tra DNS → không đúng DNS thì GPO không chạy.
- Kiểm tra quyền Read & Apply GPO.
❓ Domain Controller chết – role nào cần chuyển ngay?
- PDC Emulator
- RID Master (tạo SID mới)
- Infrastructure (nếu multi-domain)
Chuyển bằng lệnh:
ntdsutil
❓ Loopback GPO – Merge vs Replace
- Merge: User policy + policy của máy → CỘNG DỒN.
- Replace: Bỏ hết user policy → chỉ dùng policy theo máy.
👉 Dùng trong phòng lab, phòng máy, khu vực dùng chung.
🎯 3. Gợi ý L A B – học đúng bản chất
Lab 1 – Dựng domain + OU + User + Group
- Tạo domain: vnpro.local
- Tạo OU: IT, HR, Finance
- Tạo user + group → phân quyền theo bộ phận
- Tạo GPO chặn Control Panel
- Áp vào OU → dùng user test đăng nhập
- Kiểm tra kết quả bằng:
gpresult /r rsop.msc
- Cấu hình sai DNS → test join domain → sửa lỗi → join lại.