ដូច្នេះយើងនឹងសន្មត់ថាយើងបានដំឡើង Windows 2003 Server ហើយ Active Directory (ហៅកាត់ថា AD) ត្រូវបានដាក់ពង្រាយនៅលើវា។ AD អនុញ្ញាតឱ្យយើងគ្រប់គ្រងកុំព្យូទ័រ និងអ្នកប្រើប្រាស់៖ កំណត់ការរឹតបន្តឹង ឬផ្ទុយទៅវិញ កំណត់លក្ខខណ្ឌប្រតិបត្តិការអំណោយផលផ្សេងៗ។ ឥឡូវនេះជាពេលដែលត្រូវបន្តបង្កើតអ្នកប្រើប្រាស់ និងកុំព្យូទ័រ។ ដំបូងអ្នកត្រូវបង្កើតអ្នកប្រើប្រាស់ ហើយយើងនឹងធ្វើវានៅក្នុងកុងសូលពិសេស ដែលអាចចូលប្រើបានដូចនេះ៖
- "ចាប់ផ្តើម"? "ការកំណត់"? "ផ្ទាំងបញ្ជា"? "រដ្ឋបាល"? "ថតសកម្ម - អ្នកប្រើប្រាស់និងកុំព្យូទ័រ";
- ឬនៅក្នុងម៉ឺនុយ៖ "ចាប់ផ្តើម"? "គោះវាចេញ" បញ្ចូលពាក្យបញ្ជា dsa.msc ។
អ្នកខ្លះនឹងនិយាយថាការបង្កើតអ្នកប្រើត្រូវបានធ្វើដោយប្រើឧបករណ៍ប្រើប្រាស់គណនីអ្នកប្រើ ប៉ុន្តែបន្ទាប់ពីយើងបានដំឡើង Active Directory ឧបករណ៍ប្រើប្រាស់នេះលែងមានសម្រាប់យើងទៀតហើយ។ អ្នកអាចផ្ទៀងផ្ទាត់វាដោយរកមើលនៅក្នុងផ្ទាំងបញ្ជា។
កម្មវិធី Active Directory Users និង Computers នឹងបើក ដែលមានបង្អួចពីរ។ នៅខាងឆ្វេងយើងឃើញថតដែលមានប៉ារ៉ាម៉ែត្រហើយនៅខាងស្តាំប៉ារ៉ាម៉ែត្រខ្លួនឯងមានទីតាំងនៅក្នុងថតទាំងនេះ។
នៅដំណាក់កាលនេះយើងចាប់អារម្មណ៍លើថត "អ្នកប្រើប្រាស់" ។ ចុចកណ្ដុរស្ដាំលើវាហើយជ្រើសរើស "បង្កើត"? "អ្នកប្រើប្រាស់"
យើងមានបង្អួចសម្រាប់បង្កើតអ្នកប្រើប្រាស់ថ្មី។ កំណត់ប៉ារ៉ាម៉ែត្រចាំបាច់ហើយបន្តទៅមុខទៀត។
ប្រសិនបើអ្វីៗគ្រប់យ៉ាងត្រូវបានធ្វើបានត្រឹមត្រូវ កម្មវិធីនឹងបង្ហាញសារអំពីការបង្កើតអ្នកប្រើប្រាស់ថ្មី។
ប្រសិនបើអ្នកឃើញបង្អួចដែលមានសារ Active Directory៖ "Windows មិនអាចកំណត់ពាក្យសម្ងាត់សម្រាប់បានទេ។ ឈ្មោះអ្នកប្រើប្រាស់ដោយសារតែ៖ ពាក្យសម្ងាត់មិនបំពេញតាមតម្រូវការគោលការណ៍។ សូមពិនិត្យមើលប្រវែងពាក្យសម្ងាត់អប្បបរមា ភាពស្មុគស្មាញរបស់វា និងរបៀបដែលវាខុសគ្នាពីពាក្យសម្ងាត់ដែលបានប្រើពីមុន” បន្ទាប់មកជាដំបូងនៃការទាំងអស់ ដូចដែលច្បាស់ពីសារ សូមពិនិត្យមើលគោលការណ៍។
សម្រាប់អ្នកដែលមិនចាំ គោលការណ៍សុវត្ថិភាពដែនត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅក្នុងឧបករណ៍ប្រើប្រាស់ដែលមានឈ្មោះដូចគ្នា។ រូបថតអេក្រង់ខាងក្រោមបង្ហាញពីរបៀប និងកន្លែងដែលត្រូវកំណត់ប៉ារ៉ាម៉ែត្ររឹតបន្តឹងសម្រាប់ពាក្យសម្ងាត់ដែលបានបង្កើត។
ឥឡូវយើងចូលទៅក្នុងលក្ខណៈសម្បត្តិរបស់អ្នកប្រើដែលទើបបង្កើតថ្មី ហើយមើលអ្វីដែលយើងអាចផ្លាស់ប្តូរក្នុងការកំណត់របស់វា។
ផ្ទាំង "សមាជិកក្រុម"៖ នៅទីនេះអ្នកអាចបញ្ចូលអ្នកប្រើប្រាស់របស់យើងនៅក្នុងក្រុមផ្សេងៗ។
ផ្ទាំង "ការបញ្ជាពីចម្ងាយ" អនុញ្ញាតឱ្យអ្នកអនុញ្ញាត / បដិសេធអ្នកប្រើប្រាស់ដើម្បីភ្ជាប់ទៅដែនតាមរយៈការតភ្ជាប់ពីចម្ងាយ។
ផ្ទាំងគួរឱ្យចាប់អារម្មណ៍មួយទៀតគឺ "គណនី" នៅទីនេះអ្នកអាចផ្លាស់ប្តូរឈ្មោះអ្នកប្រើនិងកំណត់ប៉ារ៉ាម៉ែត្រផ្សេងៗសម្រាប់ពាក្យសម្ងាត់។
ការបន្ថែមកុំព្យូទ័រទៅដែន
អ្វីគ្រប់យ៉ាងគឺរួចរាល់ដើម្បីភ្ជាប់កុំព្យូទ័ររបស់អ្នកទៅដែន។ កុំព្យូទ័រដែលដំណើរការ Windows 2000/XP នឹងត្រូវបានបន្ថែមដោយស្វ័យប្រវត្តិទៅក្រុមកុំព្យូទ័រ នៅពេលភ្ជាប់ទៅម៉ាស៊ីនមេ។ ដើម្បីធ្វើដូចនេះនៅលើអតិថិជននីមួយៗអ្នកត្រូវជ្រើសរើស "កុំព្យូទ័ររបស់ខ្ញុំ"? "ទ្រព្យសម្បត្តិ"? "ឈ្មោះកុំព្យូទ័រ .
បន្ទាប់ពីនេះ យើងមានវិធីពីរយ៉ាង៖ ហៅទៅអ្នកជំនួយការកំណត់អត្តសញ្ញាណបណ្តាញដោយចុចប៊ូតុង "កំណត់អត្តសញ្ញាណ" ឬបញ្ចូលប៉ារ៉ាម៉ែត្រចាំបាច់ភ្លាមៗដោយចុចប៊ូតុង "ផ្លាស់ប្តូរ".
ប្រសិនបើអ្នកមានកុំព្យូទ័រដំណើរការ Windows 98 នៅលើបណ្តាញរបស់អ្នក ពួកវាភ្ជាប់ជា Active Directory clients ។ ក្នុងករណីនេះ គ្មានគណនីកុំព្យូទ័រត្រូវបានបង្កើតទេ។ ដើម្បីឱ្យពួកវាដំណើរការអ្នកត្រូវដំឡើងកម្មវិធី dsclient.exe ដែលមាននៅលើថាសដំឡើង Win2k3 ។
ដូច្នេះកំណត់ឈ្មោះដែនហើយចុចយល់ព្រម។
តាមលំនាំដើម មានតែសមាជិកក្រុមប៉ុណ្ណោះដែលមានសិទ្ធិចូលរួមជាមួយកុំព្យូទ័រទៅកាន់ដែន។ "អ្នកគ្រប់គ្រងដែន". ដើម្បីអនុញ្ញាតសកម្មភាពនេះដល់អ្នកប្រើប្រាស់ផ្សេងទៀត អ្នកត្រូវជ្រើសរើសអ្នកប្រើប្រាស់ដែលត្រូវការនៅលើឧបករណ៍បញ្ជាដែន ហើយធ្វើឱ្យគាត់ជាសមាជិកនៃក្រុម។ "អ្នកគ្រប់គ្រងដែន". វាត្រូវបានសរសេរអំពីកន្លែងដែលត្រូវធ្វើនេះនៅដើមអត្ថបទ។
នៅដំណាក់កាលបន្ទាប់យើងគ្រាន់តែបញ្ចូលការចូលនិងពាក្យសម្ងាត់របស់អ្នកប្រើដែលត្រូវបានអនុញ្ញាតឱ្យបន្ថែមកុំព្យូទ័រទៅដែន។
ប្រសិនបើអ្វីៗដំណើរការល្អ នោះយើងនឹងឃើញបង្អួចដែលបង្ហាញពីការតភ្ជាប់ជោគជ័យទៅដែន។
ដោយចាប់ផ្តើមកុំព្យូទ័រឡើងវិញ យើងអាចចុះឈ្មោះក្នុងដែន។ ដើម្បីធ្វើដូចនេះបញ្ចូលឈ្មោះអ្នកប្រើនិងពាក្យសម្ងាត់ដែលយើងបានចុះឈ្មោះពីមុននៅលើឧបករណ៍បញ្ជាដែនជ្រើសរើសដែនហើយចូល។
បន្ទាប់ពីការចុះឈ្មោះលើកដំបូង កុំព្យូទ័ររបស់យើងនឹងបង្ហាញនៅក្នុង Computers container ដែលយើងអាចគ្រប់គ្រងកុំព្យូទ័រនេះបានរួចហើយ។
នោះហើយជាទាំងអស់សម្រាប់ពេលនេះ ដើម្បីបន្តនៅអត្ថបទបន្ទាប់...(odnaknopka)
ស្ថានភាពដំបូង - មានដែន, testcompany.local. ដើម្បីសម្រួលវា នឹងមានឧបករណ៍បញ្ជាដែនមួយដែលកំពុងដំណើរការ Windows Server 2003 ដែលមានឈ្មោះ dc01. ម៉ាស៊ីនមេ DNS ក៏មាននៅលើវាផងដែរ តំបន់សំខាន់ត្រូវបានដាក់បញ្ចូលទៅក្នុង Active Directory ។
ការកំណត់បណ្តាញឧបករណ៍បញ្ជា៖
អាសយដ្ឋាន IP - 192.168.1.11
របាំង - 255.255.255.0
ច្រកផ្លូវ - 192.168.1.1
ម៉ាស៊ីនមេ DNS - 192.168.1.11
កិច្ចការ- ដំឡើងឧបករណ៍បញ្ជាដែននៅលើម៉ាស៊ីនមេផ្សេងទៀត ដំណើរការក្រោម Windows Server 2008 R2 ទម្លាក់ឧបករណ៍បញ្ជាចាស់ទៅម៉ាស៊ីនមេ (ហើយបន្ទាប់មកអាចដកវាចេញទាំងស្រុង) ហើយផ្ទេរមុខងារទាំងអស់របស់ឧបករណ៍បញ្ជាចាស់ទៅឧបករណ៍ថ្មី។
ការងារត្រៀម
ជាការងាររៀបចំ អ្នកគួរតែដំណើរការពាក្យបញ្ជា netdiag(ពាក្យបញ្ជានេះមានតែនៅក្នុងម៉ាស៊ីនមេ 2003 ឧបករណ៍ជំនួយ) និង dcdiagត្រូវប្រាកដថាមិនមានកំហុស ហើយប្រសិនបើមាន សូមកែកំហុសទាំងនេះ។
ដំបូងយើងកំណត់អ្នកកាន់តួនាទី FSMO នៅក្នុងដែនដោយប្រើពាក្យបញ្ជា៖
ឧបករណ៍ប្រើប្រាស់ netdom.exe Windows Server 2003 មិនត្រូវបានរួមបញ្ចូលតាមលំនាំដើមទេ ដូច្នេះអ្នកត្រូវដំឡើង ឧបករណ៍ជំនួយ(http://support.microsoft.com/kb/926027) ។ ក្នុងករណីដែលកំពុងពិចារណា វាមិនសមហេតុផលទេ ព្រោះមានឧបករណ៍បញ្ជាដែនតែមួយគត់ ហើយតួនាទី FSMO នៅតែមាននៅលើវា។ សម្រាប់អ្នកដែលមានឧបករណ៍បញ្ជាដែនច្រើនជាងមួយ វានឹងមានប្រយោជន៍ដើម្បីដឹងថាតួនាទីមួយណាត្រូវផ្ទេរ និងពីកន្លែងណា។ លទ្ធផលពាក្យបញ្ជានឹងមានលក្ខណៈដូចនេះ៖
អាសយដ្ឋាន IP - 192.168.1.12
របាំង - 255.255.255.0
ច្រកផ្លូវ - 192.168.1.1
ម៉ាស៊ីនមេ DNS - 192.168.1.11
ហើយបញ្ចូលវាទៅក្នុងដែនដែលមានស្រាប់ testcompany.localក្នុងករណីរបស់យើង។
ការធ្វើបច្ចុប្បន្នភាពគ្រោងការណ៍ព្រៃឈើ និងដែន
ជំហានបន្ទាប់គឺធ្វើបច្ចុប្បន្នភាពគ្រោងការណ៍ព្រៃឈើ និងដែនទៅ Windows Server 2008 R2 ដែលយើងនឹងធ្វើដោយប្រើឧបករណ៍ប្រើប្រាស់ adprep. បញ្ចូលថាសដំឡើងជាមួយ Windows Server 2008 R2 ទៅក្នុងម៉ាស៊ីនមេ dc01. នៅលើថាសយើងចាប់អារម្មណ៍លើថត X:\support\adprep (X: គឺជាអក្សរដ្រាយឌីវីឌីរ៉ូម)។ ប្រសិនបើ Windows Server 2003 របស់អ្នកមាន 32 ប៊ីត អ្នកគួរតែដំណើរការ adprep32.exe ក្នុងករណី 64-bit - adprep.exe ។
មិនមានតម្រូវការទម្រង់មុខងារព្រៃឈើដើម្បីប្រតិបត្តិពាក្យបញ្ជាទេ។ ដើម្បីប្រតិបត្តិពាក្យបញ្ជា adprep / domainprepដែនតម្រូវឱ្យប្រើកម្រិតមុខងារដែនយ៉ាងហោចណាស់ Windows 2000 ដើម។
បញ្ចូលពាក្យបញ្ជា៖
X:\support\adprep>adprep32.exe /forestprep
បន្ទាប់ពីការព្រមានថាឧបករណ៍បញ្ជាដែន Windows 2000 ទាំងអស់ត្រូវតែមានយ៉ាងហោចណាស់ SP4 សូមបញ្ចូល ជាមួយហើយចុច Enter៖ 
ពាក្យបញ្ជាត្រូវប្រើពេលយូរច្រើននាទី ហើយគួរតែបញ្ចប់ដោយឃ្លាដូចខាងក្រោម៖
Adprep បានធ្វើបច្ចុប្បន្នភាពព័ត៌មានព្រៃឈើដោយជោគជ័យ។
បន្ទាប់ពីនោះបញ្ចូលពាក្យបញ្ជា៖
X:\support\adprep> adprep32.exe /domainprep /gpprep
ដែលនឹងដំណើរការលឿនជាងមុន៖
វាក៏មានតម្លៃក្នុងការដំណើរការពាក្យបញ្ជាផងដែរ។ adprep / rodcprep. ទោះបីជាអ្នកមិនមានបំណងប្រើ Read Only Domain Controllers (RODCs) នៅលើបណ្តាញរបស់អ្នកក៏ដោយ ពាក្យបញ្ជានេះនឹងលុបសារកំហុសដែលមិនចាំបាច់ចេញពីកំណត់ហេតុព្រឹត្តិការណ៍។
បន្ទាប់ពីពាក្យបញ្ជាធ្វើបច្ចុប្បន្នភាពគ្រោងការណ៍បានបញ្ចប់ អ្នកអាចចាប់ផ្តើមផ្សព្វផ្សាយម៉ាស៊ីនមេថ្មីទៅឧបករណ៍បញ្ជាដែន។
នៅលើម៉ាស៊ីនមេ dc០២ចូលទៅកាន់ Server Manager បន្ថែមតួនាទីមួយ។ សេវាដែនថតសកម្ម. បន្ទាប់ពីដំឡើងតួនាទី ដោយចូលទៅកាន់ Server Manager > Roles > Active Directory Domain Services យើងនឹងឃើញប្រអប់បញ្ចូលពណ៌លឿង "Run the Active Directory Domain Services Installation Wizard (dcpromo.exe)"។ តោះបើកដំណើរការវា។ ឬអ្នកអាចវាយនៅក្នុងបន្ទាត់ពាក្យបញ្ជា dcpromoដែលនឹងស្មើនឹងសកម្មភាពខាងលើ។
ដោយសារការគ្របដណ្តប់នៃដំណើរការដំឡើងឧបករណ៍បញ្ជាដែនមិនត្រូវបានរួមបញ្ចូលនៅក្នុងអត្ថបទនេះ ខ្ញុំនឹងផ្តោតលើចំណុចសំខាន់ៗមួយចំនួនប៉ុណ្ណោះ។ នៅលើចលនា ជម្រើសគ្រប់គ្រងដែនបន្ថែមធីកប្រអប់ទាំងពីរ ម៉ាស៊ីនមេ DNSនិង កាតាឡុកសកល.
ប្រសិនបើព្រឹក កាតាឡុកសកលនិង ម៉ាស៊ីនមេ DNSប្រសិនបើអ្នកមិនដំឡើងពួកវាទេ អ្នកនឹងត្រូវផ្លាស់ទីពួកវាដោយឡែកពីគ្នា។ ហើយនៅពេលធ្វើចំណាកស្រុកពីឆ្នាំ 2003 ដល់ឆ្នាំ 2003 វានឹងត្រូវធ្វើក្នុងករណីណាក៏ដោយ ព្រោះ Windows 2003 មិនមានជម្រើសនេះទេ។ ការផ្ទេរកាតាឡុកសកល និងម៉ាស៊ីនមេ DNS នឹងត្រូវបានពិភាក្សាបន្តិចបន្តួចខាងក្រោម។
យើងបញ្ចប់ការដំឡើងឧបករណ៍បញ្ជាដែន ហើយចាប់ផ្ដើមម៉ាស៊ីនមេឡើងវិញ។ ឥឡូវនេះយើងមានឧបករណ៍បញ្ជាដែនពីរដែលកំពុងដំណើរការក្នុងពេលដំណាលគ្នា។
ការផ្ទេរតួនាទី FSMO
ការផ្ទេរតួនាទី FSMOអាចធ្វើបានទាំងតាមរយៈចំណុចប្រទាក់ក្រាហ្វិក និងការប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ ntdsutil.exe. អត្ថបទនេះនឹងពណ៌នាអំពីវិធីសាស្ត្រដោយប្រើចំណុចប្រទាក់ក្រាហ្វិក ដោយសារវាកាន់តែមើលឃើញសម្រាប់អ្នកដែលចាប់អារម្មណ៍លើវិធីសាស្ត្រផ្សេងទៀត សូមធ្វើតាមតំណនេះ៖ http://support.microsoft.com/kb/255504។ ការផ្ទេរតួនាទី FSMO នឹងមានជំហានដូចខាងក្រោមៈ
យើងទៅម៉ាស៊ីនមេ dc០២ទៅកាន់អ្នកដែលយើងនឹងផ្ទេរតួនាទី។ ដើម្បីចូលប្រើឧបករណ៍ គ្រោងការណ៍ថតសកម្មដំបូងអ្នកត្រូវចុះឈ្មោះបណ្ណាល័យ schmmgmt.dll. នេះត្រូវបានធ្វើដោយប្រើពាក្យបញ្ជា៖
regsvr32 schmmgmt.dll
នៅក្នុងមែកធាង snap-in អ្នកត្រូវចុចកណ្ដុរស្ដាំលើធាតុ គ្រោងការណ៍ថតសកម្មហើយជ្រើសរើសធាតុ ផ្លាស់ប្តូរឧបករណ៍បញ្ជាដែន. នៅទីនោះយើងប្តូរឧបករណ៍បញ្ជាទៅ dc០២.
បន្ទាប់មកចុចខាងស្តាំលើធាតុម្តងទៀត គ្រោងការណ៍ថតសកម្មហើយជ្រើសរើសធាតុ អនុបណ្ឌិតប្រតិបត្តិការ. បង្អួចខាងក្រោមលេចឡើង៖
ចុច ផ្លាស់ប្តូរ > បាទ > យល់ព្រមហើយបិទបង្អួចទាំងអស់នេះ។
បើក snap-in ចុចកណ្ដុរស្ដាំលើធាតុ Active Directory Domains and Trustsហើយជ្រើសរើសក្រុម ផ្លាស់ប្តូរ Active Directory Domain Controller. សកម្មភាពនេះគឺចាំបាច់ប្រសិនបើការងារមិនត្រូវបានអនុវត្តពីឧបករណ៍បញ្ជាដែនដែលតួនាទីកំពុងត្រូវបានផ្ទេរ។ រំលងវា ប្រសិនបើការតភ្ជាប់ទៅឧបករណ៍បញ្ជាដែនដែលតួនាទីកំពុងត្រូវបានផ្ទេរត្រូវបានបង្កើតឡើងរួចហើយ។ នៅក្នុងបង្អួចដែលបើក សូមជ្រើសរើសឧបករណ៍បញ្ជាដែនដែលតួនាទីត្រូវបានចាត់តាំង ( dc០២ក្នុងករណីរបស់យើង) នៅក្នុងបញ្ជីហើយចុចប៊ូតុង យល់ព្រម.
នៅក្នុងការខ្ទាស់ចូល ចុចខាងស្តាំលើធាតុ Active Directory Domains and Trustsហើយជ្រើសរើសធាតុ អនុបណ្ឌិតប្រតិបត្តិការ. នៅក្នុងបង្អួចដែលលេចឡើងចុចប៊ូតុង ផ្លាស់ប្តូរ.
ដើម្បីបញ្ជាក់ការផ្ទេរតួនាទី ចុចប៊ូតុង យល់ព្រមហើយបន្ទាប់មក - បិទ.
បើកឧបករណ៍។ ចុចកណ្ដុរស្ដាំលើធាតុ អ្នកប្រើប្រាស់ និងកុំព្យូទ័រសកម្មហើយជ្រើសរើសក្រុម ផ្លាស់ប្តូរឧបករណ៍បញ្ជាដែន. រំលងវា ប្រសិនបើការតភ្ជាប់ទៅឧបករណ៍បញ្ជាដែនដែលតួនាទីកំពុងត្រូវបានផ្ទេរត្រូវបានបង្កើតឡើងរួចហើយ។ នៅក្នុងបង្អួចដែលបើក សូមជ្រើសរើសឧបករណ៍បញ្ជាដែនដែលតួនាទីត្រូវបានចាត់តាំង ( dc០២ក្នុងករណីរបស់យើង) នៅក្នុងបញ្ជីហើយចុចយល់ព្រម។
នៅក្នុងការខ្ទាស់ចូល ចុចខាងស្តាំលើធាតុ អ្នកប្រើប្រាស់ និងកុំព្យូទ័រសកម្ម, ជ្រើសរើសធាតុ កិច្ចការទាំងអស់។ហើយបន្ទាប់មក អនុបណ្ឌិតប្រតិបត្តិការ.
ជ្រើសរើសផ្ទាំងដែលត្រូវនឹងតួនាទីដែលកំពុងផ្ទេរ ( RID, ភី.ឌី.ស៊ីឬ អនុបណ្ឌិតផ្នែកហេដ្ឋារចនាសម្ព័ន្ធ) ហើយចុចប៊ូតុង ផ្លាស់ប្តូរ.
ដើម្បីបញ្ជាក់ការផ្ទេរតួនាទី ចុចប៊ូតុង យល់ព្រមហើយបន្ទាប់មក - បិទ.
ការធ្វើចំណាកស្រុកកាតាឡុកសកល
ប្រសិនបើយើងធ្វើចំណាកស្រុកមិនមែនទៅឆ្នាំ 2008 ប៉ុន្តែដល់ឆ្នាំ 2003 ដែលនៅពេលបន្ថែមឧបករណ៍បញ្ជាដែនបន្ថែម កាតាឡុកសកលមិនត្រូវបានដំឡើង ឬអ្នកមិនបានធីកប្រអប់ កាតាឡុកសកលនៅក្នុងជំហានទី 2 បន្ទាប់មកអ្នកត្រូវកំណត់តួនាទីកាតាឡុកសកលដោយដៃទៅឧបករណ៍បញ្ជាដែនថ្មី។ ដើម្បីធ្វើដូចនេះសូមចូលទៅកាន់ឧបករណ៍ គេហទំព័រ និងសេវាកម្មថតសកម្មបើកគេហទំព័រ > លំនាំដើម-ទីមួយ-ឈ្មោះគេហទំព័រ > ម៉ាស៊ីនមេ > DC02 > ចុចកណ្ដុរស្ដាំលើ NTDS Settings > Properties ។ នៅក្នុងបង្អួចដែលបើក សូមធីកប្រអប់ កាតាឡុកសកល > យល់ព្រម។
បន្ទាប់ពីនេះ សារមួយនឹងបង្ហាញនៅក្នុងកំណត់ហេតុសេវាកម្មថត ដែលការផ្សព្វផ្សាយឧបករណ៍បញ្ជាទៅកាតាឡុកសកលនឹងត្រូវពន្យារពេល 5 នាទី។
ប្រភេទព្រឹត្តិការណ៍៖ ព័ត៌មាន
ប្រភពព្រឹត្តិការណ៍៖ NTDS General
ប្រភេទព្រឹត្តិការណ៍៖ (18)
លេខសម្គាល់ព្រឹត្តិការណ៍៖ 1110
កាលបរិច្ឆេទ៖ ០៧/១២/២០១១
ពេលវេលា: 22:49:31
អ្នកប្រើប្រាស់៖ TESTCOMPANY\Administrator
ការពិពណ៌នា៖
ការផ្សព្វផ្សាយឧបករណ៍បញ្ជាដែននេះទៅកាតាឡុកសកលនឹងត្រូវបានពន្យារពេលសម្រាប់ចន្លោះពេលខាងក្រោម។ចន្លោះពេល (នាទី)៖
5ការពន្យារពេលនេះគឺចាំបាច់ដើម្បីឱ្យភាគថាសថតដែលត្រូវការអាចត្រូវបានរៀបចំមុនពេលកាតាឡុកសកលត្រូវបានផ្សព្វផ្សាយ។ នៅក្នុងបញ្ជីឈ្មោះ អ្នកអាចបញ្ជាក់ចំនួនវិនាទីដែលភ្នាក់ងារប្រព័ន្ធថតនឹងរង់ចាំ មុនពេលផ្សព្វផ្សាយឧបករណ៍បញ្ជាដែនមូលដ្ឋានទៅជាកាតាឡុកសកល។ សម្រាប់ព័ត៌មានបន្ថែមអំពីតម្លៃចុះបញ្ជីការពន្យារការផ្សាយពាណិជ្ជកម្មកាតាឡុកសកល សូមមើល មគ្គុទ្ទេសក៍ប្រព័ន្ធចែកចាយកញ្ចប់ធនធាន។
http://go.microsoft.com/fwlink/events.asp ។
យើងរង់ចាំប្រាំនាទី ហើយរង់ចាំព្រឹត្តិការណ៍ 1119 ដែលឧបករណ៍បញ្ជានេះបានក្លាយជាកាតាឡុកសកល។
ប្រភេទព្រឹត្តិការណ៍៖ ព័ត៌មាន
ប្រភពព្រឹត្តិការណ៍៖ NTDS General
ប្រភេទព្រឹត្តិការណ៍៖ (18)
លេខសម្គាល់ព្រឹត្តិការណ៍៖ 1119
កាលបរិច្ឆេទ៖ ០៧/១២/២០១១
ពេលវេលា: 22:54:31
អ្នកប្រើប្រាស់៖ NT AUTHORITY\ANONYMOUS LOGON
កុំព្យូទ័រ៖ dc02.testcompany.local
ការពិពណ៌នា៖
ឥឡូវនេះឧបករណ៍បញ្ជាដែននេះគឺជាកាតាឡុកសកល។សម្រាប់ព័ត៌មានបន្ថែម សូមមើលមជ្ឈមណ្ឌលជំនួយ និងជំនួយនៅ http://go.microsoft.com/fwlink/events.asp ។
កំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ឡើងវិញ DNS និងកិច្ចការក្រោយការដំឡើងផ្សេងទៀត។
បន្ទាប់ ចាប់តាំងពីម៉ាស៊ីនមេ DNS បើក dc០២យើងបានដំឡើងវាហើយ ឥឡូវអ្នកត្រូវបញ្ជាក់ខ្លួនឯងក្នុងលក្ខណៈសម្បត្តិនៃចំណុចប្រទាក់បណ្ដាញជាម៉ាស៊ីនមេ DNS ចម្បង ឧ. អាស័យដ្ឋាន 192.168.1.12 ។ ហើយនៅលើ dc01ផ្លាស់ប្តូរស្របតាម 192.168.1.12 ។
នៅក្នុងលក្ខណសម្បត្តិម៉ាស៊ីនមេ DNS បើក dc០២ពិនិត្យផ្ទាំង អ្នកបញ្ជូនបន្តសម្រាប់ឆ្នាំ 2003 មិនដូចឆ្នាំ 2008 វាមិនត្រូវបានចម្លងទេ។ បន្ទាប់ពីនេះ អ្នកអាចទម្លាក់ឧបករណ៍បញ្ជាដែន dc01ទៅម៉ាស៊ីនមេរបស់សមាជិក។
ប្រសិនបើអ្នកត្រូវការទុកឈ្មោះចាស់ និងអាសយដ្ឋាន IP ជាមួយឧបករណ៍បញ្ជាថ្មី នោះក៏អាចធ្វើបានដោយគ្មានបញ្ហាដែរ។ ឈ្មោះត្រូវបានផ្លាស់ប្តូរដូចជាសម្រាប់កុំព្យូទ័រធម្មតាឬជាមួយនឹងពាក្យបញ្ជាស្រដៀងគ្នានេះ netdom ប្តូរឈ្មោះកុំព្យូទ័រ.
បន្ទាប់ពីផ្លាស់ប្តូរអាសយដ្ឋាន IP ដំណើរការពាក្យបញ្ជា ipconfig /registerdnsនិង dcdiag/ជួសជុល.
សម្រាប់ការគ្រប់គ្រងកណ្តាលនៃបណ្តាញមហាវិទ្យាល័យ វាចាំបាច់ក្នុងការបង្កើតដែនដោយផ្អែកលើ Microsoft Windows Server 2003 ។
ចំណាំ. កំឡុងពេលដំណើរការដំឡើង អ្នកប្រហែលជាត្រូវបញ្ចូលស៊ីឌីដំឡើង Windows Server 2003 ទៅក្នុងដ្រាយរបស់អ្នក អ្នកអាចប្រើស៊ីឌី ឬ អ៊ីសូ- រូបភាពនៃថាសដំឡើងប្រព័ន្ធប្រតិបត្តិការ។
កិច្ចការទី 1 ។ដំឡើងសេវាថតសកម្មនៅលើម៉ាស៊ីនមេ បង្កើតដែន mydomain.ru ។
សេចក្តីណែនាំសម្រាប់ការអនុវត្ត
1. ដំណើរការអ្នកជំនួយការដំឡើង Active Directory Start – Run – dcpromo ។
2. តាមជំហាននៃអ្នកជំនួយការដំឡើង សូមជ្រើសរើសជម្រើសដំឡើងខាងក្រោម៖
នៅក្នុងបង្អួចប្រភេទ Domain Controller Type ជ្រើសរើស Domain controller សម្រាប់ domain switch ថ្មីមួយ។
នៅក្នុងបង្អួច បង្កើតដែនថ្មី។ (បង្កើតដែនថ្មី។) - ប្តូរ ដែននៅក្នុងព្រៃថ្មី។ (ដែននៅក្នុងព្រៃថ្មី។);
នៅក្នុងបង្អួច ដំឡើងឬកំណត់រចនាសម្ព័ន្ធ DNS (ការដំឡើងឬកំណត់រចនាសម្ព័ន្ធ DNS) - ប្តូរ ទេ គ្រាន់តែដំឡើង និងកំណត់រចនាសម្ព័ន្ធ DNS នៅលើកុំព្យូទ័រនេះ។ (ទេ DNS ត្រូវបានដំឡើង និងកំណត់រចនាសម្ព័ន្ធរួចហើយនៅលើកុំព្យូទ័រនេះ។) ប្រសិនបើសេវាកម្ម DNS ត្រូវបានដំឡើងរួចហើយនៅលើម៉ាស៊ីនមេ ឬ បាទ/ចាស ខ្ញុំនឹងកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនភ្ញៀវ DNS(បាទ/ចាស ខ្ញុំនឹងកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនភ្ញៀវ DNS);
នៅក្នុងបង្អួច ឈ្មោះដែនថ្មី។ (ឈ្មោះដែនថ្មី។) ចុច mydomain.ruនៅក្នុងបន្ទាត់ ឈ្មោះ DNS ពេញសម្រាប់ដែនថ្មី។ (ឈ្មោះ DNS ពេញលេញនៃដែនថ្មី។);
នៅក្នុងបង្អួច ឈ្មោះដែន NetBIOS (ឈ្មោះដែន NetBIOS) ធាតុគួរតែលេចឡើង MYDOMAIN;
សូមប្រាកដថាផ្លូវត្រូវបានជ្រើសរើសដើម្បីធ្វើជាម្ចាស់នៃមូលដ្ឋានទិន្នន័យ និងពិធីការ C:\WINDOWS\NTDSនិងដើម្បីដាក់ថត SYSVOLផ្លូវត្រូវបានបញ្ជាក់ C:\WINDOWS\SYSVOL;
នៅក្នុងបង្អួច ការអនុញ្ញាត (ការអនុញ្ញាត) ជ្រើសរើស ការអនុញ្ញាតត្រូវគ្នាតែជាមួយប្រព័ន្ធប្រតិបត្តិការ Windows 2000 ឬ Windows Server 2003 ប៉ុណ្ណោះ។ (ការអនុញ្ញាតត្រូវគ្នាតែជាមួយប្រព័ន្ធប្រតិបត្តិការ Windows 2000 ឬ Windows Server 2003 ប៉ុណ្ណោះ។);
នៅក្នុងបង្អួច សេវាថតស្តារពាក្យសម្ងាត់អ្នកគ្រប់គ្រងរបៀប (ពាក្យសម្ងាត់អ្នកគ្រប់គ្រងសម្រាប់របៀបសង្គ្រោះ សូមបញ្ចូលពាក្យសម្ងាត់ដែលអ្នកចង់កំណត់ទៅគណនីម៉ាស៊ីនមេរបស់អ្នកគ្រប់គ្រងនេះ ប្រសិនបើកុំព្យូទ័រចាប់ផ្ដើមចូលទៅក្នុងរបៀបស្តារសេវាថត។
នៅក្នុងបង្អួចសង្ខេប សូមពិនិត្យមើលបញ្ជីនៃការជ្រើសរើសរបស់អ្នក។ ប៉ារ៉ាម៉ែត្រការដំឡើង ហើយរង់ចាំដំណើរការដំឡើង Active Directory បញ្ចប់។
3. នៅក្នុងបង្អួចអ្នកជំនួយការដំឡើង Active Directory សូមចុចប៊ូតុង Finish ហើយបន្ទាប់មកចុចប៊ូតុង Restart Now។
កិច្ចការទី 2. មើលដែនដែលបានបង្កើតតាមវិធីមួយក្នុងចំណោមវិធីខាងក្រោម។
សេចក្តីណែនាំសម្រាប់ការអនុវត្ត
វិធីសាស្រ្តទី 1 ។
បើកកន្លែងបណ្តាញរបស់ខ្ញុំ - បណ្តាញទាំងមូល – Microsoft Windows Network (My Network Neighborhood - បណ្តាញទាំងមូល - Microsoft Windows Network) ។ ត្រូវប្រាកដថាមានធាតុចូលសម្រាប់ដែន mydomain ដែលមានកុំព្យូទ័រមួយ - ម៉ាស៊ីនមេ។
វិធីសាស្រ្តទី 2 ។
1 ពី Start – Programs – Administrative Tools menu ជ្រើសរើស Active Directory Users And Computers។ ឧបករណ៍ដែលមានឈ្មោះដូចគ្នានឹងបើក។
2 នៅក្នុងមែកធាង snap-in ចុចពីរដង mydomain.ru (ឬឈ្មោះដែនរបស់អ្នក) ដើម្បីមើលមាតិការបស់ថ្នាំង mydomain.ru ។
3 នៅក្នុងផ្នែក Domain Controllers នៃ snap-in tree សូមមើលឈ្មោះរបស់ domain controller និង DNS name ពេញលេញរបស់វា (ឧទាហរណ៍ ប្រសិនបើឈ្មោះរបស់ server isolated is server បន្ទាប់មកបន្ទាប់ពីដំឡើង domain វាគួរតែក្លាយជា server.mydomain .ru).
4 នៅក្នុងផ្នែកអ្នកប្រើប្រាស់ សូមមើលបញ្ជីនៃគណនីអ្នកប្រើប្រាស់ដែលភ្ជាប់មកជាមួយ និងក្រុមអ្នកប្រើប្រាស់ដែន។
5 ធ្វើសកម្មភាពគណនីភ្ញៀវដែលភ្ជាប់មកជាមួយ ហើយព្យាយាមចូល។ តើការព្យាយាមធ្វើនេះបានជោគជ័យទេ? មានតែអ្នកគ្រប់គ្រងដែនប៉ុណ្ណោះដែលត្រូវបានអនុញ្ញាតឱ្យចូលទៅឧបករណ៍បញ្ជាដែន។
6 បិទកុងសូល Active Directory Users And Computers។
កិច្ចការទី 3 ។សាកល្បងសេវាកម្ម DNS ដោយប្រើ DNS snap-in ។
សេចក្តីណែនាំសម្រាប់ការអនុវត្ត
1. បើកកុងសូល DNS ដោយប្រើពាក្យបញ្ជា Start – Programs – Administration Tools – DNS (Start – Programs – Administration – DNS)។
2. នៅក្នុងមែកធាងកុងសូល DNS ចុចកណ្ដុរស្ដាំលើឈ្មោះម៉ាស៊ីនមេរបស់អ្នក ហើយជ្រើសរើសលក្ខណសម្បត្តិ។ បង្អួចលក្ខណសម្បត្តិ SERVER នឹងបើក (ប្រសិនបើម៉ាស៊ីនមេមានឈ្មោះផ្សេង វានឹងបង្ហាញក្នុងចំណងជើងនៃបង្អួច)។
3. ចូលទៅកាន់ផ្ទាំងត្រួតពិនិត្យ។
4. នៅក្នុងបញ្ជីជ្រើសរើសប្រភេទសាកល្បង សូមជ្រើសរើសសំណួរសាមញ្ញមួយប្រឆាំងនឹងម៉ាស៊ីនមេ DNS នេះ និងសំណួរដែលកើតឡើងដដែលៗទៅកាន់ម៉ាស៊ីនមេ DNS ផ្សេងទៀត ហើយចុច សាកល្បងឥឡូវនេះ។ នៅក្នុងវិនដូ Server Properties បញ្ជីនៃលទ្ធផលតេស្តគួរតែបង្ហាញ PASS ឬ FAIL នៅក្នុងជួរឈរ Query សាមញ្ញ និង Recursive Query ។ ពន្យល់ពីលទ្ធផលរបស់អ្នក។
កិច្ចការទី 4 ។លុបសេវាថតសកម្ម។
សេចក្តីណែនាំសម្រាប់ការអនុវត្ត
ដំណើរការកម្មវិធី Active Directory Installation and Removal Wizard Start – Run – dcpromo ។
ការងារឯករាជ្យ
យោងទៅតាមការចាត់តាំងរបស់គម្រោង សូមដំឡើងដែនមួយឈ្មោះថា Faculty.ru ដែលឧបករណ៍បញ្ជាដែនគឺ server.faculty.ru ដែលអាសយដ្ឋាន IP គឺ 192.168.1.1 ។
សំណួរសម្រាប់ការគ្រប់គ្រងខ្លួនឯង
1. ពិពណ៌នាអំពីភាពខុសគ្នារវាងក្រុមការងារ និងដែន។
2. តើអ្វីជាភាពខុសគ្នាសំខាន់រវាង Windows XP និង Windows Server 2003?
3. តើវាអាចធ្វើទៅបានដើម្បីបង្កើតដែននៅលើបណ្តាញដែលកុំព្យូទ័រទាំងអស់នៅលើបណ្តាញកំពុងដំណើរការ Windows XP ដែរឬទេ?
4. កំណត់ឧបករណ៍បញ្ជាដែន។
5. រាយបញ្ជីអ្នកប្រើប្រាស់ដែន និងគណនីក្រុមអ្នកប្រើប្រាស់ដែលអ្នកស្គាល់ និងពិពណ៌នាអំពីគោលបំណងរបស់ពួកគេ។
6. តើពាក្យ “ឯកោ” server មានន័យដូចម្តេច?
7. ពិពណ៌នាអំពីភាពខុសគ្នារវាងក្រុមការងារ និងដែន។
8. ហេតុអ្វីបានជាគណនីភ្ញៀវដែលភ្ជាប់មកជាមួយជាធម្មតាត្រូវបានបិទ?
អក្សរសាស្ត្រ
ការងារមន្ទីរពិសោធន៍លេខ 4
ប្រធានបទ៖ ការបង្កើត និងគ្រប់គ្រងគណនីអ្នកប្រើប្រាស់ និងក្រុម
កិច្ចការទី 1 ។បង្កើតគណនីដែនរបស់ព្រឹទ្ធបុរស៖
- មានសិទ្ធិចូលប្រើធនធានបណ្តាញទាំងអស់
- អាចចូលទៅក្នុងកុំព្យូទ័រណាមួយ។
សេចក្តីណែនាំសម្រាប់ការអនុវត្ត
1. រត់ពាក្យបញ្ជា ចាប់ផ្តើម–កម្មវិធីទាំងអស់។–ឧបករណ៍រដ្ឋបាល–អ្នកប្រើប្រាស់ និងកុំព្យូទ័រសកម្ម (ចាប់ផ្តើម–កម្មវិធី–រដ្ឋបាល–អ្នកប្រើប្រាស់ និងកុំព្យូទ័រសកម្ម).
ពង្រីកថតឯកសារ Faculty.ru អ្នកប្រើប្រាស់.
3. នៅក្នុងម៉ឺនុយ សកម្មភាព (សកម្មភាព) ជ្រើសរើសពាក្យបញ្ជា ថ្មី។–អ្នកប្រើប្រាស់ (បង្កើត–អ្នកប្រើប្រាស់).
4. បញ្ចូលព័ត៌មានអ្នកប្រើប្រាស់ដែលត្រូវការ។ នៅក្នុងផ្នែក ឈ្មោះអ្នកប្រើចូល (ចូលឈ្មោះអ្នកប្រើ) ចូល ព្រឹទ្ធបុរស (ព្រឹទ្ធបុរស). សូមចំណាំថានៅពេលបង្កើតគណនីដែន មិនដូចគណនីមូលដ្ឋានទេ ឈ្មោះដែនត្រូវបានបង្ហាញបន្ទាប់ពីឈ្មោះអ្នកប្រើប្រាស់ ដែលបំបែកចេញពីគណនីចុងក្រោយដោយ @ . ដូច្នេះឈ្មោះពេញរបស់អ្នកប្រើ ( ឈ្មោះអ្នកប្រើប្រាស់)–[អ៊ីមែលការពារ] .
5. នៅពេលកំណត់ពាក្យសម្ងាត់អ្នកប្រើប្រាស់ ត្រូវប្រាកដថាពិនិត្យមើល អ្នកប្រើប្រាស់ត្រូវតែប្តូរពាក្យសម្ងាត់នៅពេលចូលបន្ទាប់ (អ្នកប្រើត្រូវតែប្ដូរពាក្យសម្ងាត់នៅពេលបន្ទាប់ដែលពួកគេចូល).
6. បញ្ចប់ការបង្កើតគណនី។
7. នៅក្នុងផ្ទាំងខាងស្តាំ ស្វែងរកគណនីរបស់អ្នក។ ចុចពីរដងលើវា ដើម្បីបញ្ចូលព័ត៌មានបន្ថែម (អាសយដ្ឋាន អង្គការ។ល។)។
8. ត្រូវប្រាកដថាព្រឹទ្ធបុរសអាចចូលបានគ្រប់ពេល (ផ្ទាំង គណនី–ម៉ោងចូល–ម៉ោងចូល)).
9. ព្យាយាមចូលទៅក្នុងដែនដោយប្រើគណនីរបស់ព្រឹទ្ធបុរស។ ហេតុអ្វីបានជាការប៉ុនប៉ងបរាជ័យ?
10. ចូលប្រព័ន្ធជាអ្នកគ្រប់គ្រង។
11. មើលទ្រព្យសម្បត្តិគណនីព្រឹទ្ធបុរសដោយដំណើរការពាក្យបញ្ជាម្តងទៀត ចាប់ផ្តើម–កម្មវិធីទាំងអស់។–ឧបករណ៍រដ្ឋបាល-។ នៅក្នុងបង្អួចលក្ខណសម្បត្តិគណនី សូមជ្រើសរើសផ្ទាំង សមាជិកនៃ (សមាជិកភាពក្រុម) ហើយបន្ថែមគណនីរបស់ព្រឹទ្ធបុរសទៅក្រុមសកល អ្នកគ្រប់គ្រងដែនដោយប្រើពាក្យបញ្ជាខាងក្រោម បន្ថែម…–កម្រិតខ្ពស់…–ស្វែងរកឥឡូវនេះ… (បន្ថែម…–លើសពីនេះ…–ស្វែងរក…)ពីបញ្ជីលទ្ធផលជ្រើសរើស អ្នកគ្រប់គ្រងដែន (អ្នកគ្រប់គ្រងដែន).
12. ព្យាយាមម្តងទៀតដើម្បីចូលទៅក្នុងដែនដោយប្រើគណនីរបស់ព្រឹទ្ធបុរស។
13. បន្ទាប់ពីការចូលជាអ្នកគ្រប់គ្រង សូមផ្លាស់ប្តូរពាក្យសម្ងាត់របស់ Dean ហើយម្តងទៀតកំណត់ពាក្យសម្ងាត់ដើម្បីផ្លាស់ប្តូរនៅពេលបន្ទាប់ដែលអ្នកចូល។
កិច្ចការទី 2 ។អនុលោមតាមលក្ខខណ្ឌតម្រូវនៃគោលការណ៍សុវត្ថិភាពបណ្តាញ វាមិនត្រូវបានណែនាំអោយរួមបញ្ចូលអ្នកប្រើប្រាស់ដែនផ្សេងទៀតនៅក្នុងក្រុមអ្នកគ្រប់គ្រងទេ លើកលែងតែអ្នកដែលអនុវត្តមុខងារគ្រប់គ្រងដោយផ្ទាល់។ ដកគណនីរបស់ព្រឹទ្ធបុរសចេញពីក្រុមអ្នកគ្រប់គ្រង។
សេចក្តីណែនាំសម្រាប់ការអនុវត្ត
1. រត់ពាក្យបញ្ជា ចាប់ផ្តើម–កម្មវិធីទាំងអស់។–ឧបករណ៍រដ្ឋបាល–អ្នកប្រើប្រាស់ និងកុំព្យូទ័រសកម្ម.
ពង្រីកថតឯកសារ Faculty.ruនៅក្នុងបន្ទះខាងឆ្វេងនៃបង្អួច។ នៅក្នុងថតរង សូមជ្រើសរើស អ្នកប្រើប្រាស់.
3. នៅក្នុងផ្ទាំងខាងស្តាំ ស្វែងរកគណនីរបស់អ្នក។ ចុចទ្វេដងលើវាហើយចូលទៅកាន់ផ្ទាំង សមាជិកនៃ។ពីបញ្ជីក្រុម សូមជ្រើសរើស អ្នកគ្រប់គ្រងដែននិងចុច ដកចេញ.
កិច្ចការទី 3 ។អនុញ្ញាតឱ្យគណនីរបស់ព្រឹទ្ធបុរសចូលទៅកាន់ឧបករណ៍បញ្ជាដែនដោយមិនរាប់បញ្ចូលវានៅក្នុងក្រុមអ្នកគ្រប់គ្រង។
សេចក្តីណែនាំសម្រាប់ការអនុវត្ត
1. បន្ថែមគណនីរបស់ព្រឹទ្ធបុរសទៅក្នុងក្រុម ប្រតិបត្តិករបោះពុម្ពដែលសមាជិកអាចចូលទៅកាន់ឧបករណ៍បញ្ជាដែន។
2. ចូលទៅដែនដោយប្រើគណនីរបស់ព្រឹទ្ធបុរស
3. ស្នើវិធីសាស្រ្តមួយផ្សេងទៀតដើម្បីអនុញ្ញាតឱ្យចូលទៅកាន់ឧបករណ៍បញ្ជាដែន។
កិច្ចការទី 4 ។បង្កើតក្រុមសកល គ្រូបង្រៀន (គ្រូបង្រៀន):
ប្រភេទក្រុម - ក្រុមសន្តិសុខ;
- គ្រូបង្រៀនអាចចូលទៅក្នុងកុំព្យូទ័រណាមួយនៅលើបណ្តាញ លើកលែងតែម៉ាស៊ីនមេ។
- គ្រូបង្រៀនម្នាក់ៗមានគណនីផ្ទាល់ខ្លួន និងការកំណត់របស់គាត់ ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធផ្ទាល់ខ្លួនដោយគ្រូ។
សេចក្តីណែនាំសម្រាប់ការអនុវត្ត
1. រត់ពាក្យបញ្ជា ចាប់ផ្តើម–កម្មវិធីទាំងអស់។–ឧបករណ៍រដ្ឋបាល–អ្នកប្រើប្រាស់ និងកុំព្យូទ័រសកម្ម.
ពង្រីកថតឯកសារ Faculty.ruនៅក្នុងបន្ទះខាងឆ្វេងនៃបង្អួច។ នៅក្នុងថតរង សូមជ្រើសរើស អ្នកប្រើប្រាស់.
3. នៅក្នុងម៉ឺនុយ សកម្មភាពជ្រើសរើសក្រុម ថ្មី។–ក្រុម (ថ្មី។–ក្រុម).
4. នៅក្នុងវាល ឈ្មោះក្រុម (ឈ្មោះក្រុម) ចូល គ្រូបង្រៀន.
5. ក្នុងតំបន់ វិសាលភាពក្រុម (វិសាលភាពក្រុម) ចុចកុងតាក់ សកលនិងក្នុងតំបន់ ប្រភេទក្រុម (ប្រភេទក្រុម) - ប្តូរ សន្តិសុខ.
6. ចុចយល់ព្រម។
កិច្ចការទី 5 ។បន្ថែមទៅក្រុម គ្រូបង្រៀន (គ្រូបង្រៀនសមាជិកក្រុម - គណនីព្រឹទ្ធបុរស។
សេចក្តីណែនាំសម្រាប់ការអនុវត្ត
1. ត្រូវប្រាកដថាឧបករណ៍បើក អ្នកប្រើប្រាស់ និងកុំព្យូទ័រសកម្មហើយធុងត្រូវបានជ្រើសរើស អ្នកប្រើប្រាស់.
2. នៅក្នុងបង្អួចលក្ខណសម្បត្តិក្រុម គ្រូបង្រៀនជ្រើសរើសផ្ទាំង សមាជិក (សមាជិកក្រុម) ហើយបន្ទាប់មកប៊ូតុងតាមលំដាប់លំដោយ បន្ថែម…–កម្រិតខ្ពស់…–ស្វែងរកឥឡូវនេះ…ពីបញ្ជីលទ្ធផល សូមជ្រើសរើសគណនីរបស់ព្រឹទ្ធបុរស។
3. នៅក្នុងបង្អួចលក្ខណសម្បត្តិគណនីរបស់ព្រឹទ្ធបុរស សូមស្វែងរកព័ត៌មានសមាជិកភាពក្រុម គ្រូបង្រៀន.
កិច្ចការទី 6 ។ធ្វើបញ្ជីនៃក្រុមដែលបានបង្កើតឡើងក្នុងមូលដ្ឋាន, ដែនសកល, ក្រុមមូលដ្ឋានដែន និងសិក្សាការពិពណ៌នានៃក្រុមដែលបានបង្កើតក្នុងនីមួយៗ។
កិច្ចការទី 7 ។បំពេញតារាងដែលមានព័ត៌មានអំពីសមាជិកដែន។ តារាងគួរតែជួយអ្នករៀបចំផែនការ និងបង្កើតគណនីដែន។
ឧទាហរណ៍នៃការបំពេញតារាងសម្រាប់ក្រុមអ្នកប្រើប្រាស់ ការិយាល័យព្រឹទ្ធបុរសនិងគណនី សិស្សសូមមើលខាងក្រោម។
តារាង 8
កាលវិភាគក្រុម
តារាងទី 9
កាលវិភាគចូល
តារាង 10
ការធ្វើផែនការពាក្យសម្ងាត់
@មកជាមួយអ្នកប្រើប្រាស់យ៉ាងហោចណាស់បីនាក់ពីក្រុមនីមួយៗ ហើយបំពេញតារាង 8-10 ស្របតាមតម្រូវការគម្រោង។ បន្ថែមតារាងទៅក្នុងរបាយការណ៍របស់អ្នក។
កិច្ចការ ៨.បង្កើត ដោយអនុលោមតាមជម្រើសរបស់អ្នកនៅក្នុងតារាង 8-10 គណនីអ្នកប្រើប្រាស់ និងក្រុមអ្នកប្រើប្រាស់ដែលត្រូវការសម្រាប់គម្រោង។
កិច្ចការ ៩.សាកល្បងគណនីរបស់អ្នក។ ជាឧទាហរណ៍ ផ្លាស់ប្តូរម៉ោងប្រព័ន្ធទៅម៉ោង 6:00 ហើយព្យាយាមចូលទៅក្នុងដែនក្នុងនាមជាសិស្ស។ ព្យាយាមផ្លាស់ប្តូរពាក្យសម្ងាត់សម្រាប់គណនីនេះ។
សំណួរសម្រាប់ការគ្រប់គ្រងខ្លួនឯង
1. ពិពណ៌នាអំពីភាពខុសគ្នារវាងគណនីក្នុងស្រុក និងដែន។
2. តើអ្វីជាគោលបំណងនៃការបង្កើតក្រុមអ្នកប្រើប្រាស់?
3. ពន្យល់ពីគោលបំណងនៃក្រុមក្នុងស្រុក សកល និងសកល។
4. ពន្យល់ពីគោលបំណងរបស់ក្រុមសន្តិសុខ និងក្រុមចែកចាយ។
5. កំណត់ និងផ្តល់ឧទាហរណ៍សម្រាប់លក្ខខណ្ឌខាងក្រោម៖ "សិទ្ធិអ្នកប្រើប្រាស់", "សិទ្ធិអ្នកប្រើប្រាស់", "សិទ្ធិចូលប្រើរបស់អ្នកប្រើ"។
6. រាយបញ្ជីអ្នកប្រើប្រាស់ដែន និងគណនីក្រុមអ្នកប្រើប្រាស់ដែលអ្នកស្គាល់ និងពិពណ៌នាអំពីគោលបំណងរបស់ពួកគេ។
7. តើក្រុមអ្នកប្រើដែលភ្ជាប់មកជាមួយមួយណាក្រៅពីក្រុមអ្នកគ្រប់គ្រង ត្រូវកំណត់គណនីទៅមុនពេលអ្នកប្រើអាចចូលទៅស្ថានីយការងារ? តើមានវិធីផ្សេងទៀតដើម្បីធ្វើរឿងនេះទេ?
8. តើធ្វើដូចម្តេចដើម្បីហាមឃាត់ការចូលទៅក្នុងប្រព័ន្ធនៅថ្ងៃចុងសប្តាហ៍និងមិនធ្វើការ?
9. តើខ្ញុំអាចកំណត់រយៈពេលសុពលភាពនៃគណនីរបស់ខ្ញុំដោយរបៀបណា?
10. តើខ្ញុំអាចបិទគណនីរបស់និយោជិតដោយរបៀបណា អំឡុងពេលមានជំងឺ?
12. តើធ្វើដូចម្តេចដើម្បីផ្លាស់ប្តូរពាក្យសម្ងាត់របស់អ្នកប្រើ?
13. តើធ្វើដូចម្តេចដើម្បីការពារអ្នកប្រើប្រាស់ពីការប្តូរពាក្យសម្ងាត់?
14. តើការលុបក្រុមមានផលវិបាកអ្វីខ្លះ?
អក្សរសាស្ត្រ
ការងារមន្ទីរពិសោធន៍លេខ 5
ទិដ្ឋភាពទូទៅនៃមុខងារនៃ Active Directory នៅក្នុង Windows 2000 Server និង Windows Server 2003។ ប្រភព៖ Microsoft ។
សេវាថត Active Directory (AD) នៅក្នុង Windows 2000 Server និង Windows Server 2003 មានព័ត៌មានអំពីធនធានទាំងអស់ដែលត្រូវការដើម្បីដំណើរការបណ្តាញ។ វារួមបញ្ចូលការតភ្ជាប់ កម្មវិធី មូលដ្ឋានទិន្នន័យ ម៉ាស៊ីនបោះពុម្ព អ្នកប្រើប្រាស់ និងក្រុម។ Microsoft គឺជាក់លាក់ណាស់ដែល Active Directory ផ្តល់នូវវិធីស្តង់ដារមួយដើម្បីបញ្ជាក់ ពិពណ៌នា គ្រប់គ្រង និងចូលប្រើធនធាន។
Active Directory មិនត្រូវបានដំឡើងតាមលំនាំដើមទេ ព្រោះវាមិនត្រូវបានទាមទារសម្រាប់កិច្ចការម៉ាស៊ីនបម្រើសាមញ្ញ។ ប៉ុន្តែនៅពេលដែលម៉ាស៊ីនមេចាប់ផ្តើមគ្រប់គ្រងភារកិច្ចកាន់តែច្រើន AD កាន់តែមានសារៈសំខាន់។ ជាឧទាហរណ៍ សមាសភាគបន្ថែម ដូចជា Exchange Server របស់ Microsoft ទាមទារឱ្យមាន Active Directory ដែលមានមុខងារពេញលេញ។
ពាក្យបញ្ជា dcpromo អនុញ្ញាតឱ្យអ្នកបង្វែរម៉ាស៊ីនមេធម្មតាទៅជាឧបករណ៍បញ្ជា Active Directory ។ ដំណើរការនេះត្រូវចំណាយពេលប្រហែលដប់នាទី ហើយយើងនឹងពណ៌នាដោយសង្ខេបនៅទីនេះ។
យើងសន្មត់ថាមិនមានម៉ាស៊ីនមេផ្សេងទៀតនៅលើបណ្តាញរបស់អ្នកទេ ដូច្នេះហើយយើងត្រូវការឧបករណ៍បញ្ជាសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធថតសកម្មថ្មី។
បន្ទាប់ពីនេះ យើងត្រូវកំណត់ថាតើដែន AD ថ្មីនឹងត្រូវបានបញ្ចូលទៅក្នុងប្រព័ន្ធដែលមានស្រាប់។
Active Directory ប្រើមូលដ្ឋានទិន្នន័យផ្ទាល់ខ្លួនរបស់វា ដើម្បីធ្វើការជាមួយព័ត៌មានប្រកបដោយប្រសិទ្ធភាពបំផុត។ ដោយសារបរិយាកាសរបស់អ្នកអាចរីកចម្រើនយ៉ាងឆាប់រហ័ស ហើយម៉ាស៊ីនមេអាចទទួលបានកិច្ចការបន្ថែម វាជាការប្រសើរក្នុងការដាក់មូលដ្ឋានទិន្នន័យ និងឯកសារកត់ត្រានៅលើថាសរឹងដាច់ដោយឡែកមួយ ដើម្បីបង្កើនប្រសិទ្ធភាពប្រព័ន្ធ។
ថត SYSVOL គឺជាលក្ខណៈពិសេសមួយផ្សេងទៀតនៃ Active Directory ពីព្រោះមាតិការបស់វាត្រូវបានចម្លងដោយឧបករណ៍បញ្ជា Active Directory ទាំងអស់នៅក្នុងដែន។ វាមានស្គ្រីបចូល គោលការណ៍ក្រុម និងជម្រើសផ្សេងទៀតដែលគួរតែមាននៅលើម៉ាស៊ីនមេទាំងអស់។ ជាការពិតណាស់ ទីតាំងនៃថតនេះអាចផ្លាស់ប្តូរបាន។
ជម្រើសនេះនឹងមានសារៈសំខាន់តែប្រសិនបើអ្នកមានកុំព្យូទ័រ Windows NT ដែលមានរចនាសម្ព័ន្ធដែន។
កំឡុងពេលដំឡើង អ្នកជំនួយការ AD នឹងត្អូញត្អែរថាម៉ាស៊ីនមេ DNS មិនដំណើរការទេ។ ដូច្នេះវាចាំបាច់ក្នុងការដំឡើងវាផងដែរ។
|
|||
|
| |||
សម្ភារៈដែលបានបង្ហាញទាំងអស់ត្រូវបានបែងចែកជា 6 ប្រធានបទ។ យើងនឹងនិយាយអំពីការអនុវត្ត Active Directory និងការរួមបញ្ចូលជាមួយថតដែលមានស្រាប់ ការគ្រប់គ្រងសេវាកម្ម ការចម្លង ការទុកចិត្តឆ្លងព្រៃឈើ ការគ្រប់គ្រងគោលការណ៍ក្រុម និងការរឹតបន្តឹងកម្មវិធី។
ការអនុវត្ត និងការរួមបញ្ចូល
នៅក្នុងជំពូកនេះ យើងនឹងពិនិត្យមើលលក្ខណៈពិសេសថ្មីនៃ Active Directory ពីទស្សនៈជាច្រើន៖ ការអនុវត្តសេវាកម្មនេះ រួមបញ្ចូលវាជាមួយថតផ្សេងទៀត ការផ្លាស់ប្តូរពីកំណែមុន (ទាំងការអាប់ដេតពី Windows NT 4.0 ឬគ្រាន់តែដំឡើង Active Directory ពីដំបូង) . រឿងដំបូងដែលត្រូវកត់សម្គាល់គឺថាលក្ខណៈពិសេសថ្មីនៃ Active Directory ដែលមានមូលដ្ឋានលើ Windows 2003 ភាគច្រើនមិនឆបគ្នាជាមួយ Active Directory ដែលមានមូលដ្ឋានលើ Windows 2000 ឧទាហរណ៍ សមត្ថភាពក្នុងការប្តូរឈ្មោះដែន ឬស្ដារវត្ថុដែលអសកម្មពីមុននៅក្នុងគ្រោងការណ៍អាចប្រើបានតែប៉ុណ្ណោះ។ នៅពេលដែលថតស្ថិតនៅក្នុងកម្រិតមុខងារខ្ពស់បំផុតដែលអាចធ្វើបាន៖ កម្រិតដែន - ម៉ាស៊ីនបម្រើវីនដូ 2003 និងកម្រិតព្រៃ - ម៉ាស៊ីនបម្រើវីនដូ 2003 ។ ដើម្បីចូលប្រើមុខងារទាំងនេះ និងមុខងារផ្សេងទៀត អ្នកត្រូវតែផ្លាស់ទីព្រៃរបស់អ្នកទៅកម្រិតមុខងារខ្ពស់បំផុត។ ចូរយើងពិចារណាថាតើកម្រិតមុខងារទាំងនេះជាអ្វី។កម្រិតមុខងារ
អ្នកគ្រប់គ្រងបង្កើនកម្រិតមុខងារដោយដៃ
ខ្ញុំកត់សម្គាល់ថាការចាត់ថ្នាក់នេះត្រូវបានណែនាំជាពិសេសដើម្បីធានាភាពឆបគ្នានៅកម្រិតនៃសមត្ថភាពមិនឆបគ្នាថយក្រោយ។ ទោះបីជាអ្នកដំឡើង Active Directory ពីដំបូងក៏ដោយ ដោយមិនមានការអាប់ដេតណាមួយ និងដោយមិនបារម្ភអំពីការរួមបញ្ចូល នោះគឺគ្រាន់តែដំឡើង server ថ្មី ហើយនៅលើវានូវឧបករណ៍បញ្ជាដំបូងនៅក្នុងព្រៃ អ្នកនឹងបញ្ចប់ជាមួយនឹងប្រព័ន្ធដែលដំបូងឡើយនៅ កម្រិតទាបបំផុត។ ម៉្យាងទៀត កម្រិតដែនគឺ Windows 2000 ចម្រុះ ហើយកម្រិតព្រៃគឺ Windows 2000។ ដូច្នេះនៅក្នុងរបៀបនេះ ប្រព័ន្ធដែលបានដំឡើងត្រូវបំពេញយ៉ាងពេញលេញជាមួយនឹងសមត្ថភាពទាំងអស់ដែលមាននៅក្នុង Windows 2000 Active Directory ។ ដើម្បីដំឡើងទៅកម្រិតខ្ពស់ លក្ខខណ្ឌមួយចំនួនត្រូវតែបំពេញ ឧទាហរណ៍ ដែនអាចត្រូវបានដំឡើងទៅកម្រិត Windows Server 2003 លុះត្រាតែឧបករណ៍បញ្ជាទាំងអស់នៅក្នុងដែននោះត្រូវបានដំឡើងកំណែទៅប្រព័ន្ធប្រតិបត្តិការនេះ។ ប្រសិនបើយើងនិយាយអំពីការផ្លាស់ប្តូរពី Windows 2000 នោះតាមធម្មជាតិ ដំណើរការផ្លាស់ប្តូរមានការអាប់ដេតបន្តិចម្តងៗនៃឧបករណ៍បញ្ជាដែលមានស្រាប់។ វាមិនអាចទៅរួចទេក្នុងការផ្ទេរឧបករណ៍បញ្ជាទាំងអស់ក្នុងពេលតែមួយពី Windows 2000 ទៅ Windows 2003 នេះអាចត្រូវបានធ្វើតែម្តងប៉ុណ្ណោះ។ រហូតទាល់តែដំណើរការផ្ទេរឧបករណ៍បញ្ជាត្រូវបានបញ្ចប់ កម្រិតមុខងាររបស់ដែននៅតែស្ថិតក្នុងកម្រិតចម្រុះរបស់ Windows 2000។ នៅពេលដែលឧបករណ៍បញ្ជាទាំងអស់ត្រូវបានផ្ទេរ អ្នកអាចផ្លាស់ទីទៅកម្រិតបន្ទាប់។ អ្នកគ្រប់គ្រងប្តូរកម្រិតមុខងារដោយប្រើកុងសូល Active Directory Domains Trusts ពិសេស។ អ្នកគ្រប់គ្រងមិនអាចបន្ថយកម្រិតបានទេ គាត់គ្រាន់តែអាចផ្ទេរវាទៅកម្រិតខ្ពស់ជាងនេះ ដែលប្រព័ន្ធនឹងនៅដដែល។ បន្ទាប់ពីអ្នកគ្រប់គ្រងបានផ្សព្វផ្សាយដែនទៅកម្រិតមុខងារថ្មី មុខងារថ្មីៗមួយចំនួនមាននៅក្នុង Active Directory។
ចូរយើងពិចារណាពីលទ្ធភាពទាំងនេះសម្រាប់ភាពសាមញ្ញនៃការបង្ហាញនៅក្នុងរបៀបព្រៃសុទ្ធ - វីនដូ 2003 និងគ្រប់ដែន - វីនដូ 2003 ។ ម្យ៉ាងវិញទៀត កម្រិតអតិបរមាដែលអាចធ្វើបាន ហើយតាមនោះ ជួរអតិបរមានៃសមត្ថភាពថ្មី។ រឿងដំបូងដែលគួរផ្តោតលើគឺមុខងារហៅថា ភាគថាសកម្មវិធី (ជាភាសារុស្សី - ផ្នែកកម្មវិធី)។
ផ្នែកកម្មវិធី
ការពិតគឺថា Active Directory ដើមឡើយត្រូវបានបង្កើតឡើងជាសេវាកម្មថតមិនត្រឹមតែផ្តល់ជាឧទាហរណ៍ សេវាបណ្តាញដល់អតិថិជន ឬរក្សាទុកគណនីរបស់អតិថិជនទាំងនេះប៉ុណ្ណោះទេ ប៉ុន្តែក៏ជាកន្លែងផ្ទុកសម្រាប់កម្មវិធីបណ្តាញផងដែរ។ ដូច្នេះ Active Directory មានព័ត៌មានជាច្រើនដែលមកពីកម្មវិធី។ ដូច្នេះនៅលើ Windows 2000 មិនថាកម្មវិធីប៉ុន្មានដែលយើងដំឡើងនៅក្នុងរបៀបត្រងជាមួយ Active Directory នោះទេ ព័ត៌មានទាំងអស់អំពីពួកវានឹងបញ្ចប់ក្នុងថតតែមួយ ហើយតាមនោះ នឹងត្រូវបានចម្លងស្មើៗគ្នារវាងឧបករណ៍បញ្ជាទាំងអស់។
Windows 2003 អនុញ្ញាតឱ្យអ្នកបែងចែក និងបំបែកព័ត៌មានដែលជាកម្មសិទ្ធិរបស់កម្មវិធីបណ្តាញពីបញ្ជីដែលនៅសល់ដោយបង្កើតភាគថាសកម្មវិធី។ ជាឧទាហរណ៍ ព័ត៌មានដែលម៉ាស៊ីនមេ DNS រក្សាទុកប្រហែលជាមិនត្រូវបានចែកចាយទៅកាន់ឧបករណ៍បញ្ជាទាំងអស់ដែលមាននៅក្នុងដែននោះទេ ប៉ុន្តែមានតែចំពោះអ្នកដែលបានបញ្ជាក់យ៉ាងច្បាស់ប៉ុណ្ណោះ។ តាមពិតនេះគឺជាអ្វីដែលការបង្កើតភាគថាសមានន័យ។ ដំបូងអ្នកអាចបង្កើតផ្នែក "ថតឯកសារ" ដូចជាប្រសិនបើបំបែកវាចេញពីរចនាសម្ព័ន្ធទូទៅ ហើយបន្ទាប់មកបង្ហាញថាផ្នែកនេះគួរតែត្រូវបានរក្សាទុកជាការចម្លងនៅលើឧបករណ៍បញ្ជាដែលមានឈ្មោះ។ ដូចគ្នានេះដែរអនុវត្តចំពោះកម្មវិធីផ្សេងៗ។ សូមអរគុណចំពោះយន្តការនេះ អ្នកគ្រប់គ្រងដែលគ្រប់គ្រងប្រព័ន្ធអាចបំបែក និងរក្សាទុកព័ត៌មានអំពីថត និងកម្មវិធីបានយ៉ាងល្អប្រសើរ។ ឧទាហរណ៍ ប្រសិនបើអ្នកដឹងថាកម្មវិធីមួយចំនួននឹងប្រើតែថតនៅលើឧបករណ៍បញ្ជាពិសេសនេះប៉ុណ្ណោះ (នឹងមិនចូលប្រើឧបករណ៍បញ្ជាផ្សេងទៀតទេ) បន្ទាប់មកអ្នកអាចកាត់បន្ថយការផ្ទុកថតទៅឧបករណ៍បញ្ជានេះដោយវិធីនេះដោយបង្កើតភាគថាសតែមួយគត់សម្រាប់កម្មវិធីនេះ។
មុខងារបន្ទាប់គឺការគាំទ្រសម្រាប់ថ្នាក់វត្ថុ InetOrgPerson (RFC 2798) ។ វាបានបង្ហាញខ្លួនតែនៅក្នុង Windows 2003 ហើយ Windows 2000 មិនគាំទ្រថ្នាក់វត្ថុនេះទេ។ InetOrgPerson ត្រូវការសម្រាប់ការរួមបញ្ចូលជាមួយថត LDAP ផ្សេងទៀត (Novell, Netscape)។ Active Directory អាចធ្វើការជាមួយ class នេះ បង្កើត objects នៃ class នេះ ហើយការធ្វើចំណាកស្រុកដែលមានតម្លាភាព និងរលូននៃ objects នៃប្រភេទ InetOrgPerson ពី Active Directory ផ្សេងទៀតក៏អាចធ្វើទៅបានដែរ។ ដូច្នោះហើយ វាអាចទៅរួចក្នុងការច្រកកម្មវិធីដែលសរសេរសម្រាប់ថត LDAP ផ្សេងទៀត។ ប្រសិនបើកម្មវិធីប្រើថ្នាក់នេះ នោះពួកវាអាចត្រូវបានបញ្ជូនដោយគ្មានការឈឺចាប់ និងតម្លាភាពទៅកាន់ Active Directory ខណៈពេលដែលរក្សាបាននូវមុខងារទាំងអស់។
បន្ទាប់មក វាអាចប្តូរឈ្មោះដែនបាន។ ក្នុងករណីនេះ វាគួរតែត្រូវបានយល់យ៉ាងច្បាស់ថាតាមរយៈការប្តូរឈ្មោះដែនមួយ យើងមិនគ្រាន់តែមានន័យថាផ្លាស់ប្តូរឈ្មោះដែននោះទេ (ដែនពីមុនត្រូវបានគេហៅថា "abcd" ប៉ុន្តែឥឡូវនេះត្រូវបានគេហៅថា "xyz") ។ តាមពិត រចនាសម្ព័នថតគឺជាមែកធាង មានដែនជាច្រើននៅក្នុងវា ហើយដែនខ្លួនឯងត្រូវបានបញ្ចូលគ្នាទៅក្នុងឋានានុក្រម។ ការពិត ការប្តូរឈ្មោះដែនគឺជាការរៀបចំរចនាសម្ព័ន្ធព្រៃឈើឡើងវិញ។ អ្នកអាចប្តូរឈ្មោះដែនមួយ ដូច្នេះវាស្ថិតនៅក្នុងមែកធាងផ្សេង។
ការប្តូរឈ្មោះដែន។ ឧបករណ៍ប្រើប្រាស់ rendom.exe
ពិចារណាលើដែន Contoso ដែលស្ថិតនៅក្រោមការគ្រប់គ្រងនៃដែនលក់នៅក្នុងមែកធាង WorldWideImporters.com ។ អ្នកអាចប្តូរឈ្មោះវា ហើយហៅវាថា Contoso.Fabrikam.com។ នេះមិនមែនគ្រាន់តែជាការប្តូរឈ្មោះប៉ុណ្ណោះទេ វាគឺជាការផ្ទេរដែនពីមែកធាងមួយទៅមែកធាងមួយទៀត ដែលជានីតិវិធីមិនសំខាន់។ វាសមហេតុផលក្នុងការសន្មត់ថាការប្តូរឈ្មោះដែនអាចនាំទៅរកការបង្កើតមែកធាងថ្មី។ អ្នកអាចប្តូរឈ្មោះដែន Contoso ដែលស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់ដែនលក់ ហើយដាក់ឈ្មោះវាថា Contoso.com ។ បន្ទាប់មក ដែននឹងក្លាយជាបុព្វបុរសរបស់ដើមឈើមួយទៀតនៅក្នុងព្រៃដូចគ្នា។ នោះហើយជាមូលហេតុដែលដំណើរការនៃការប្តូរឈ្មោះដែនអាចត្រូវបានចាត់ទុកថាជានីតិវិធីដ៏ស្មុគស្មាញ និងមិនមែនជារឿងតូចតាច។
នៅក្នុង Windows 2000 មិនមានជម្រើសដូចជាការប្តូរឈ្មោះដែននៅក្នុងបរិបទខាងលើទេ។ នៅពេលដែលដែនត្រូវបានបង្កើត វានឹងនៅតែមានឈ្មោះរបស់វាអស់មួយជីវិត។ មធ្យោបាយតែមួយគត់ដើម្បីផ្លាស់ប្តូរស្ថានភាពគឺត្រូវលុប domain ហើយបន្ទាប់មកបង្កើតវាម្តងទៀតជាមួយនឹងឈ្មោះថ្មី។
Windows 2003 ភ្ជាប់មកជាមួយឧបករណ៍ប្រើប្រាស់មួយឈ្មោះថា Rendom ដែលមានន័យថា ប្តូរឈ្មោះ Domain ។ ឧបករណ៍ប្រើប្រាស់ Rendom.exe គឺជាឧបករណ៍ប្រើប្រាស់បន្ទាត់ពាក្យបញ្ជាដែលអាចត្រូវបានប្រើដើម្បីប្តូរឈ្មោះដែន។ ពិត ដំណើរការនេះមានប្រាំមួយដំណាក់កាល។ ព័ត៌មានលម្អិតអំពីវាអាចរកបាននៅក្នុងសេវាកម្មជំនួយ Windows 2003 ឯកសារបច្ចេកទេសពិសេសសម្រាប់ Microsoft .NET និងនៅលើគេហទំព័រ MSDN ។ វាពិពណ៌នាលម្អិតអំពីរបៀបធ្វើគំរូ រចនា និងអនុវត្តដំណើរការប្តូរឈ្មោះដែនដោយប្រើឧបករណ៍ប្រើប្រាស់ប្តូរឈ្មោះ។ ក្នុងករណីណាក៏ដោយ នេះគឺជាដំណើរការពហុជំហានដ៏ស្មុគស្មាញ ដែលទាមទារការរៀបចំយ៉ាងប្រុងប្រយ័ត្ន៖ មានតំណភ្ជាប់ និងចំណុចចង្អុលច្រើនពេក ឈ្មោះ និងភាពអាស្រ័យគ្នាផ្សេងទៀតដែលត្រូវបានបង្កើតឡើងនៅពេលបង្កើតដែន។ វាមិនអាចទៅរួចទេក្នុងការគ្រាន់តែយកវាទាំងអស់ ហើយផ្លាស់ទីវាទាំងអស់ក្នុងមួយរំពេច។
នៅក្នុងលក្ខខណ្ឌនៃការអនុវត្ត Active Directory របៀបមួយបានបង្ហាញខ្លួនសម្រាប់ការដំឡើងឧបករណ៍បញ្ជាដែនពីមេឌៀចល័ត។ តើអ្នកចង់មានន័យដូចម្តេច? ស្ថានភាពទូទៅកើតឡើងនៅពេលដែលសហគ្រាសអនុវត្ត Active Directory នៅក្នុងការិយាល័យដាច់ស្រយាល៖ ការប្រាស្រ័យទាក់ទងជាមួយការិយាល័យដាច់ស្រយាលខ្សោយ ខ្សែទំនាក់ទំនងរវាងការិយាល័យកណ្តាល និងសាខាខ្សោយ។ ទោះយ៉ាងណាក៏ដោយ អ្នកត្រូវដំឡើងឧបករណ៍បញ្ជាដែនថ្មីនៅការិយាល័យសាខា។ នៅពេលដែលឧបករណ៍បញ្ជាថ្មីត្រូវបានបង្កើតនៅក្នុងដែនដែលមានស្រាប់ ឧបករណ៍ប្រើប្រាស់ DCPromo ទាក់ទងជាមួយឧបករណ៍បញ្ជាដែលកំពុងដំណើរការ ហើយទាញយកមូលដ្ឋានទិន្នន័យទាំងមូល និងការចម្លងដែលអាចប្រមូលបានពីឧបករណ៍បញ្ជាដែនរបស់វា។ ប្រសិនបើមូលដ្ឋានទិន្នន័យនេះយកច្រើនរាប់សិប ឬរាប់រយគីឡូបៃ នោះគឺវាទទេ (វាត្រូវការច្រើនរយគីឡូបៃតាមលំនាំដើម) នោះគ្មានបញ្ហាទេ។ ប៉ុន្តែប្រសិនបើយើងនិយាយអំពីប្រព័ន្ធការងារ ដែលមូលដ្ឋានទិន្នន័យអាចកាន់កាប់រាប់សិប ឬរាប់រយមេហ្គាបៃ នោះការទាញយកវាអាចជាកិច្ចការមិនអាចទៅរួចនោះទេ។ ដូច្នេះក្នុងស្ថានភាពនេះ អ្នកអាចដោះស្រាយបញ្ហាដោយវិធីសាមញ្ញបំផុត។ ដោយប្រើ Windows NT Back-up បង្កើតប័ណ្ណសារនៅក្នុងរបៀប "ស្ថានភាពប្រព័ន្ធ" ពោលគឺជ្រើសរើសជម្រើស Back-up->SystemState នៅក្នុងកុងសូលបម្រុងទុក Windows NT ។ បន្ទាប់ពីនេះ សរសេរការបម្រុងទុកដែលបានបង្កើតទាំងស្រុងលើឧបករណ៍ផ្ទុក ឧទាហរណ៍ លើស៊ីឌី ឬឌីវីឌី យកថាសនេះ ហើយនាំវាទៅការិយាល័យពីចម្ងាយ នៅទីនោះ ដើម្បីស្ដារព័ត៌មានទាំងអស់ពីបណ្ណសារដោយប្រើ Windows NT Back- ឡើង។ អ្នកគ្រាន់តែត្រូវការស្ដារមិនមែនតាមលំនាំដើមទេ ប៉ុន្តែទៅថតផ្សេង ដូច្នេះឯកសារទាំងនោះត្រូវបានដាក់នៅលើថាស។ តាមធម្មជាតិ មិនចាំបាច់ជំនួសព័ត៌មានប្រព័ន្ធដែលមាននៅលើកុំព្យូទ័រដែលមានស្រាប់នោះទេ។ បន្ទាប់មក អ្នកគួរតែដំណើរការឧបករណ៍ប្រើប្រាស់ DCPromo ជាមួយនឹងកុងតាក់ “/adv” ហើយបញ្ជាក់ផ្លូវទៅកាន់ទីតាំងផ្ទុកដែលឯកសារដែលមិនបានខ្ចប់ស្ថិតនៅ។ បន្ទាប់ពីនេះដំណើរការនៃការដំឡើងឧបករណ៍បញ្ជាថ្មីនឹងបង្កើតការចម្លងដោយខ្លួនឯងដោយផ្អែកលើព័ត៌មានពីប្រព័ន្ធផ្សព្វផ្សាយដែលអាចដកចេញបាន។ ក្នុងករណីនេះ ការប្រាស្រ័យទាក់ទងជាមួយការិយាល័យកណ្តាលនឹងនៅតែត្រូវបានទាមទារ ពីព្រោះបន្ថែមពីលើការទាញយកឯកសារចម្លង វាក៏ចាំបាច់ផងដែរក្នុងការបង្កើតទំនាក់ទំនងជាក់លាក់ជាមួយដែនដែលមានស្រាប់។ ដូច្នេះគួរតែមានការតភ្ជាប់ប៉ុន្តែតម្រូវការសម្រាប់វាត្រូវបានកាត់បន្ថយយ៉ាងខ្លាំង: សូម្បីតែខ្សែខ្សោយខ្លាំងនឹងធ្វើ។ នៅក្នុងសេណារីយ៉ូខាងលើ 95% នៃព័ត៌មានដែលត្រូវការផ្ទេរទៅឧបករណ៍បញ្ជាថ្មីត្រូវបានផ្ទេរទៅប្រព័ន្ធផ្សព្វផ្សាយប្រព័ន្ធ ហើយខ្សែទំនាក់ទំនងរវាងការិយាល័យកណ្តាល និងសាខាមិនត្រូវផ្ទុកលើសទម្ងន់នោះទេ។
វាជាការសំខាន់ក្នុងការកត់សម្គាល់ថា Windows NT 4.0 នៅតែត្រូវបានប្រើប្រាស់ជាទូទៅដោយអតិថិជន។ Windows 2003 អនុញ្ញាតឱ្យអ្នកផ្លាស់ប្តូរពីថតដែលមានស្រាប់ (ពី NT 4 ឬពី Windows 2000) លឿនជាងមុន ដោយគ្មានការឈឺចាប់ និងមានប្រសិទ្ធភាព។ ឧបករណ៍ប្រើប្រាស់ Active Directory Migration Tool (ADMT) បម្រើគោលបំណងនេះ។ ADMT នឹងជួយក្នុងការធ្វើចំណាកស្រុកពី Windows NT ទៅ Windows 2003 ក៏ដូចជាពី Windows 2000 ទៅ Windows 2003 ប្រសិនបើប្រភេទនៃការរៀបចំឡើងវិញដែន ការផ្ទេរគណនីជាដើម។
Active Directory Migration Tool (ADMT) v.2 Wizards
Active Directory Migration Tool គឺជាសំណុំនៃកម្មវិធីអ្នកជំនួយការ។ មេនីមួយៗអនុវត្តការងារជាក់លាក់មួយ (សូមមើលរូបភាពខាងលើ)។ វាជាការសំខាន់ណាស់ដែលកម្មវិធីអ្នកជំនួយការភាគច្រើនមានរបៀបមួយហៅថា "សាកល្បងការកំណត់ការធ្វើចំណាកស្រុក និងធ្វើចំណាកស្រុកនៅពេលក្រោយ" ដែលជាគំរូនៃដំណើរការដោយមិនអនុវត្តប្រតិបត្តិការជាក់ស្តែង។ ម្យ៉ាងវិញទៀត ដំណើរការធ្វើចំណាកស្រុកត្រូវបានធ្វើត្រាប់តាម ហើយអ្នកគ្រប់គ្រងអាចមើលឃើញថាលទ្ធផលនឹងទៅជាយ៉ាងណា និងរបៀបដែលអ្វីៗនឹងកើតឡើង។ មិនមានសកម្មភាពពិតប្រាកដត្រូវបានអនុវត្តនៅក្នុងរបៀបនេះទេ។ ប្រសិនបើលទ្ធផលនៃរបៀបសាកល្បងគឺពេញចិត្ត អ្នកអាចសុំឱ្យ Active Directory Migration Tool ធ្វើការផ្លាស់ប្តូរពេញលេញ។
រដ្ឋបាល
ជំពូកនេះត្រូវបានឧទ្ទិសដល់ការគ្រប់គ្រងឧបករណ៍។ ជាគោលការណ៍ វាមិនអាចនិយាយបានថាមុខងារមានប្រយោជន៍ថ្មីៗជាច្រើនបានបង្ហាញខ្លួននៅទីនេះ។ ទោះយ៉ាងណាក៏ដោយនៅតែមានអ្វីមួយ។ ឧទាហរណ៍ ការគាំទ្រអូស&ទម្លាក់៖ មុន Windows 2003 មិនមានការគាំទ្រ អូស&ទម្លាក់ទេ។ ឥឡូវអ្នកអាចចុចលើវត្ថុ "អ្នកប្រើប្រាស់" ហើយអូសវាដោយប្រើកណ្ដុរទៅក្នុងធុងថ្មី។ វាងាយស្រួលណាស់។ វាជាការអាណិតដែលមិនមានយន្តការបែបនេះនៅក្នុងកំណែមុនៗ។កុងសូលបន្ថែមបានបង្ហាញខ្លួនសម្រាប់ការរក្សាទុកសំណើទៅកាតាឡុក។ វាត្រូវបានគេស្គាល់ថា Active Directory គឺជាថត LDAP ។ នេះមានន័យថាសំណួរអាចត្រូវបានធ្វើឡើងចំពោះថត LDAP ដោយប្រើភាសាសំណួរស្តង់ដារ។ ប្រសិនបើសំណើទាំងនេះត្រូវបានធ្វើឡើង និងមិនត្រូវបានគេចងចាំ នោះនេះគឺជាបន្ទុកបន្ថែមលើអ្នកគ្រប់គ្រង៖ រាល់ពេលដែលគាត់ត្រូវការសរសេរសំណើម្តងទៀត ឬចម្លងវាពីឯកសារមួយចំនួន។ ដើម្បីសម្រួលដំណើរការនេះ យើងផ្តល់ជូនផ្នែកមួយហៅថា សំណួរដែលបានរក្សាទុក។ វាពិតជារក្សាទុកសំណួរដែលអ្នកគ្រប់គ្រង ឬអ្នកប្រើប្រាស់បញ្ចូលទៅក្នុងកុងសូល។
កុងសូលសំណួរកាតាឡុកដែលបានរក្សាទុក
ឥឡូវនេះ នៅពេលដែលសំណើនេះត្រូវការម្តងទៀត អ្នកគ្រាន់តែត្រូវជ្រើសរើសវាពីបញ្ជី។ លើសពីនេះទៅទៀត លទ្ធផលនៃសំណួរត្រូវបានបង្ហាញនៅផ្នែកខាងស្តាំនៃកុងសូល៖ នៅខាងឆ្វេង អ្នកអាចជ្រើសរើសសំណួរដែលអ្នកចាប់អារម្មណ៍ ហើយចុចលើវា ហើយនៅខាងស្តាំលទ្ធផលនៃដំណើរការនឹងបង្ហាញ។
Windows Server 2003 មានកម្មវិធីបន្ទាត់ពាក្យបញ្ជាជាច្រើន។ នេះហាក់ដូចជាចម្លែក ហើយប្រហែលជាមានភាពផ្ទុយគ្នា។ វាហាក់ដូចជាថាក្រុមហ៊ុន Microsoft បាននឹងកំពុងលើកកម្ពស់ចំណុចប្រទាក់ក្រាហ្វិកគ្រប់ឆ្នាំទាំងអស់ ភាពងាយស្រួលនៃការគ្រប់គ្រងដោយប្រើចំណុចប្រទាក់ក្រាហ្វិក ប៉ុន្តែនៅពេលជាមួយគ្នានេះវាប្រែថាវាកំពុងបញ្ចេញឧបករណ៍ប្រើប្រាស់បន្ទាត់ពាក្យបញ្ជាថ្មី។ សម្រាប់តែ Active Directory មានប្រាំមួយក្នុងចំនោមពួកគេ។
ឧបករណ៍ប្រើប្រាស់បន្ទាត់ពាក្យបញ្ជា
តាមពិតវាមិនមានភាពផ្ទុយគ្នានៅក្នុងរឿងនេះទេ។ ការពិតគឺថាប្រតិបត្តិការជាច្រើនដែលអ្នកគ្រប់គ្រងត្រូវធ្វើគឺកាន់តែងាយស្រួលធ្វើក្នុងទម្រង់ជាឯកសារបាច់។ ជាឧទាហរណ៍ នៅពេលនិយាយអំពីការកែប្រែគុណលក្ខណៈមួយចំនួននៃវត្ថុដូចគ្នាបេះបិទ ឬស្រដៀងគ្នា វាច្រើនតែងាយស្រួលធ្វើនៅលើបន្ទាត់ពាក្យបញ្ជាដោយការសរសេរស្គ្រីបសមស្រប។ ប្រសិនបើអ្នកត្រូវការផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រមួយចំនួនឧទាហរណ៍លេខទូរស័ព្ទរបស់អ្នកប្រើដែលបានចុះឈ្មោះក្នុងគណនី (អ្នកគ្រប់គ្នានៅក្នុងនាយកដ្ឋានអាចផ្លាស់ប្តូរលេខទូរស័ព្ទរបស់ពួកគេ) អ្នកអាចចូលទៅក្នុងគណនីនីមួយៗហើយផ្លាស់ប្តូរលេខទូរស័ព្ទ។ ប្រសិនបើអ្នកធ្វើដូចនេះតាមរយៈចំណុចប្រទាក់ក្រាហ្វិក អ្នកនឹងត្រូវអនុវត្តប្រតិបត្តិការយ៉ាងហោចណាស់មួយរយដើម្បីផ្លាស់ប្តូរវត្ថុ "គណនី" ។ អ្នកអាចយកពាក្យបញ្ជាសាមញ្ញមួយហៅថា DSMod (ការកែប្រែវត្ថុ) បង្កើតបន្ទាត់មួយដើម្បីកត់ត្រាព័ត៌មានថ្មី បន្ទាប់មកសរសេរស្គ្រីបជាមួយនឹងលក្ខខណ្ឌស្វែងរក និងប្រតិបត្តិអ្វីគ្រប់យ៉ាងជាពាក្យបញ្ជាតែមួយ។ សម្រាប់ប្រតិបត្តិការបែបនេះ (ហើយវាមានច្រើនក្នុងការងារប្រចាំថ្ងៃរបស់អ្នកគ្រប់គ្រង) ឧបករណ៍ប្រើប្រាស់បន្ទាត់ពាក្យបញ្ជា និងស្គ្រីបគួរតែត្រូវបានប្រើ។
ការចម្លង
បញ្ហាចម្លងគឺពាក់ព័ន្ធខ្លាំងណាស់នៅពេលអនុវត្ត Active Directory ការរចនា និងរៀបចំហេដ្ឋារចនាសម្ព័ន្ធ។Windows 2000 មានដែនកំណត់ជាក់លាក់លើចំនួនគេហទំព័រដែល topology អាចត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិ។ មានសេវាកម្មមួយហៅថា Inter-Site Topology Generator (ISTG)។ នៅពេលដែលគេហទំព័រពីរ ឬបី ឬប្រសើរជាងនេះទៅទៀត 5 ឬសូម្បីតែដប់គេហទំព័រត្រូវបានបង្កើត សេវាកម្ម ISTG បង្កើតដោយស្វ័យប្រវត្តិនូវធាតុចម្លងចម្លងរវាងគេហទំព័រ ជ្រើសរើសម៉ាស៊ីនមេមជ្ឈមណ្ឌល និងកំណត់ពីរបៀបដែលស្គ្រីបចម្លងនេះនឹងត្រូវបានប្រតិបត្តិ។ អ្វីគ្រប់យ៉ាងគឺល្អ ប៉ុន្តែប្រសិនបើមានគេហទំព័រប្រហែលពីររយនោះ សេវាកម្ម ISTG មិនអាចទប់ទល់នឹងបរិមាណនៃព័ត៌មាន និងដំណើរការជារង្វង់បានទេ។ ដូច្នេះសម្រាប់ Windows 2000 មានការណែនាំច្បាស់លាស់ណាស់ - ចំនួនគេហទំព័រមិនគួរលើសពីពីររយទេ ប្រសិនបើវាចាំបាច់សម្រាប់ topology ចម្លងរវាងគេហទំព័រនឹងត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិ។ ប្រសិនបើមានគេហទំព័រច្រើនទៀត ការបង្កើតដោយស្វ័យប្រវត្តិត្រូវតែបិទ ហើយទាំងអស់នេះត្រូវតែកំណត់រចនាសម្ព័ន្ធដោយដៃ។
បញ្ហាប្រហែលជាមិនច្បាស់ទេ ប៉ុន្តែមនុស្សពិតជាប្រឈមនឹងវានៅពេលនិយាយអំពីការអនុវត្តន៍ Active Directory នៅលើប្រព័ន្ធច្រើនកន្លែង។ Windows Server 2003 លុបបញ្ហានេះចេញ។ ប្រព័ន្ធនេះអនុវត្តនូវ Inter-Site Topology Generator ថ្មីទាំងស្រុង ដែលដំណើរការខុសគ្នាជាមូលដ្ឋាន និងបង្កើត topology ដោយប្រើក្បួនដោះស្រាយថ្មី។ ចំនួននៃគេហទំព័រដែលឥឡូវនេះអាចត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិ (topology ដែលអាចបង្កើតដោយស្វ័យប្រវត្តិដោយប្រើសេវាកម្ម ISTG) គឺជាច្រើនពាន់នៅក្នុងការធ្វើតេស្តតែម្នាក់ឯង។ វាមិនត្រូវបានគេដឹងថាអ្នកណាអាចត្រូវការគេហទំព័រច្រើននោះទេ ប៉ុន្តែយ៉ាងណាក៏ដោយ អ្នកអាចភ្លេចអំពីការកំណត់ណាមួយបានដោយគ្រាន់តែកែប្រែយន្តការ ISTG ប៉ុណ្ណោះ។
លើសពីនេះទៀត អ្នកអាចបិទការបង្រួមចរាចរណ៍រវាងគេហទំព័រ ប្រសិនបើជាការពិត វាសមហេតុផល។ ការបើកការបង្ហាប់បង្កើនការផ្ទុកនៅលើប្រព័ន្ធដំណើរការម៉ាស៊ីនមេថ្នាំង។ ប្រសិនបើបណ្តាញអនុញ្ញាត នោះវាអាចសមហេតុផលក្នុងការបិទការបង្ហាប់ ដើម្បីផ្ទេរទិន្នន័យបន្ថែមលើបណ្តាញ ប៉ុន្តែបន្ទាប់មកឧបករណ៍បញ្ជានឹងផ្ទុកតិចជាងមុន។ អ្នកអាចធ្វើផ្ទុយពីនេះ៖ ប្រសិនបើអ្នកត្រូវការសន្សំលើចរាចរណ៍បណ្តាញ វាសមហេតុផលក្នុងការបើកការបង្ហាប់។
មានការកំណត់មួយផ្សេងទៀតនៅក្នុងវិធី Active Directory នៅក្នុង Windows 2000 ចម្លងក្រុម។ នេះគឺជាក្រុមសន្តិសុខ។ នៅពេលនិយាយអំពីការផ្តល់សិទ្ធិក្នុងការចូលប្រើវត្ថុ ជាទូទៅវាគឺជាការអនុវត្តដ៏ល្អក្នុងការចាត់ចែងសិទ្ធិដល់ក្រុម។ អ្នកប្រើប្រាស់ត្រូវបានរាប់បញ្ចូលក្នុងក្រុម ឬត្រូវបានដកចេញ។ ក្រុមគឺពិតជាវត្ថុដូចគ្នានៅក្នុង Active Directory ដូចនឹងវត្ថុផ្សេងទៀតទាំងអស់។ វត្ថុមានគុណលក្ខណៈ។ ភាពប្លែកនៃក្រុមមួយគឺថា បញ្ជីសមាជិកក្រុមមិនមែនជាគុណលក្ខណៈច្រើនទេ វាជាគុណលក្ខណៈមួយដែលមានតម្លៃច្រើន ដែលគេហៅថា "គុណតម្លៃច្រើន" (តាមពិតវាគឺជាគុណលក្ខណៈមួយដែលមានតម្លៃជាច្រើន) . យន្តការចម្លងថតសកម្មត្រូវបានលម្អិតចុះទៅកម្រិតគុណលក្ខណៈ។ ប្រសិនបើវត្ថុត្រូវបានកែប្រែ ប្រព័ន្ធនឹងចម្លងការផ្លាស់ប្ដូរទាំងនេះយ៉ាងពិតប្រាកដសម្រាប់គុណលក្ខណៈទាំងនោះដែលបានផ្លាស់ប្តូរ មិនមែនសម្រាប់វត្ថុទាំងមូលនោះទេ។ ឥឡូវយើងត្រឡប់ទៅក្រុមដែលមានគុណលក្ខណៈជាឧទាហរណ៍ តម្លៃមួយរយ។ ប្រសិនបើក្រុមមួយរួមបញ្ចូលមនុស្សមួយរយនាក់ នោះគុណលក្ខណៈនេះមានតម្លៃមួយរយ។ ចុះបើ 5 ពាន់? ដែនកំណត់មានដូចខាងក្រោម៖ ប្រសិនបើសមាជិកភាពក្រុមមានវត្ថុចំនួន 5 ពាន់នោះ ការចម្លងវត្ថុបែបនេះមិនអាចទៅរួចនោះទេ។ ដរាបណាមានសមាជិក 5001 នាក់នៃក្រុមមួយ ដំណើរការចម្លងនៃក្រុមនេះនៅលើ Windows 2000 ត្រូវបានបំផ្លាញភ្លាមៗ សូម្បីតែវិធីសាស្ត្រវាយប្រហារដែលបានចងក្រងជាឯកសារដែលអ្នកគ្រប់គ្រងដែលអាក់អន់ចិត្តដោយនរណាម្នាក់អាចបំផ្លាញដំណើរការចម្លងនៅក្នុងប្រព័ន្ធដោយគ្រាន់តែសរសេរ។ ស្គ្រីបដែលនឹងដាក់ជារង្វង់ - ក្រុមដែលមានសមាជិក 5 ពាន់នាក់។ បន្ទាប់មកបញ្ហាកើតឡើងជាមួយនឹងការចម្លងថតចម្លង។ Windows Server 2003 Active Directory ណែនាំយន្តការបន្ថែមមួយដែលមានឈ្មោះថា "Linked Value Replication" ។
ក្នុងករណីនេះ យន្តការគឺមានបំណងតែមួយគត់សម្រាប់ការចម្លងគុណលក្ខណៈដែលមានតម្លៃជាច្រើន។ នោះគឺឥឡូវនេះដោយប្រើយន្តការនេះ សមាជិកភាពក្រុមត្រូវបានចម្លងនៅកម្រិតនៃសមាជិកម្នាក់ៗ។ ប្រសិនបើអ្នករួមបញ្ចូលមនុស្សថ្មីនៅក្នុងក្រុម នោះការចម្លងនឹងមិនត្រូវបានអនុវត្តចេញពីបញ្ជីទាំងមូលទេ ជាគុណលក្ខណៈមួយ ប៉ុន្តែមានតែតម្លៃប៉ុណ្ណោះ ដោយសារយន្តការចម្លងតម្លៃដែលបានភ្ជាប់។
បញ្ហាចម្លងមួយទៀតទាក់ទងនឹងកាតាឡុកសកល។ ការលំបាកគឺរបៀបដែលកាតាឡុកសកលមានឥរិយាបទនៅពេលដែលអ្នកគ្រប់គ្រងបានកែប្រែអ្វីដែលគេហៅថា Partial Attribute Set (PAS) ដែលជាបញ្ជីនៃគុណលក្ខណៈដែលគួរដាក់ក្នុងកាតាឡុកសកល។
ប្រហែលជាវាសមហេតុផលក្នុងការបញ្ជាក់។ គុណលក្ខណៈនីមួយៗមានតម្លៃស្ថានភាព៖ ថាតើត្រូវដាក់វានៅក្នុងកាតាឡុកសកលឬអត់។ កាតាឡុកសកលគឺជាកាតាឡុកបន្ថែមដែលមានព័ត៌មានអំពីវត្ថុទាំងអស់ដែលមាននៅក្នុងកាតាឡុក ប៉ុន្តែមិនទាំងស្រុងទេ ប៉ុន្តែពិតជាបញ្ជីនៃគុណលក្ខណៈទាំងនោះដែលត្រូវបានសម្គាល់ថាបាននាំចេញទៅកាន់កាតាឡុកសកល។ ដូច្នេះ ជាឧទាហរណ៍ អំពីអ្នកប្រើប្រាស់នីមួយៗ ឈ្មោះរបស់គាត់ អាសយដ្ឋានអ៊ីមែលរបស់គាត់ និងប្រហែលជាប៉ារ៉ាម៉ែត្របន្ថែមមួយចំនួនទៀតត្រូវបានដាក់ក្នុងកាតាឡុកសកល។ តាមព្យញ្ជនៈប៉ារ៉ាម៉ែត្រជាច្រើន ដូច្នេះអ្នកអាចស្វែងរកអ្នកប្រើប្រាស់នេះយ៉ាងឆាប់រហ័សនៅក្នុងថត។
បញ្ហាកើតឡើងនៅពេលអ្នកគ្រប់គ្រងកែប្រែគ្រោងការណ៍ និងផ្លាស់ប្តូរស្ថានភាពនៃគុណលក្ខណៈផ្សេងទៀតដើម្បីប្តូរវាទៅរបៀបនេះ។ មានគុណលក្ខណៈដែលមិនត្រូវបានរាប់បញ្ចូលក្នុងកាតាឡុកសកល អ្នកគ្រប់គ្រងបានទៅផ្លាស់ប្តូរគ្រោងការណ៍ រួមបញ្ចូលគុណលក្ខណៈនេះនៅក្នុង PAS បន្ទាប់ពីនោះ បន្ថែមពីលើការចម្លងនៃគ្រោងការណ៍ទាំងមូលនៅលើ Windows 2000 នឹងមានការធ្វើសមកាលកម្មពេញលេញនៃទាំងអស់ ម៉ាស៊ីនមេដែលផ្ទុកកាតាឡុកសកល។ វានឹងបណ្តាលឱ្យមានចរាចរណ៍បណ្តាញយ៉ាងច្រើន និងពេលវេលាមិនដំណើរការសេវាកម្មថតខាងក្នុងមួយចំនួន។
Windows Server 2003 ដោះស្រាយបញ្ហានេះ។ ការចម្លង និងការធ្វើសមកាលកម្មនៃកាតាឡុកសកលនឹងត្រូវបានអនុវត្តទាំងស្រុងចំពោះវិសាលភាពនៃគុណលក្ខណៈដែលបានបន្ថែម។ នោះគឺនៅពេលដែលប្រតិបត្តិការនៃការបន្ថែមគុណលក្ខណៈទៅ PAS ត្រូវបានអនុវត្ត ព័ត៌មានត្រូវបានប្រមូលយ៉ាងសាមញ្ញពីវត្ថុទាំងនោះដែលមានគុណលក្ខណៈនេះ។ ហើយបន្ទាប់មកវា [គុណលក្ខណៈ] ត្រូវបានបញ្ចូលទៅក្នុងកាតាឡុកសកល។ ការធ្វើសមកាលកម្មពេញលេញមិនកើតឡើងទេ។
លក្ខណៈពិសេសបន្ថែមមួយទៀតដែលទាក់ទងនឹងកាតាឡុកសកលគឺយន្តការឃ្លាំងសម្ងាត់ក្រុមសកល។ ខ្ញុំសូមរំលឹកអ្នកថា មានក្រុមបីប្រភេទនៅក្នុង Active Directory៖ មូលដ្ឋាន សកល និងសកល។ ក្នុងស្រុក និងសកលត្រូវបានរក្សាទុករួមជាមួយការចម្លងនៅលើឧបករណ៍បញ្ជា ក្រុមសកលត្រូវបានរក្សាទុកក្នុងកាតាឡុកសកល។ នៅពេលដែលបុគ្គលិកការិយាល័យពីចម្ងាយចង់ចូលទៅក្នុងបណ្តាញ ប្រព័ន្ធនឹងចុះឈ្មោះអ្នកប្រើប្រាស់នៅលើបណ្តាញ ហើយបង្កើតបរិបទសុវត្ថិភាពរបស់គាត់។ ដើម្បីធ្វើបែបនេះ នាងត្រូវស្វែងយល់ថាក្រុមណាដែលអ្នកប្រើជាកម្មសិទ្ធិ។ Windows 2000 អាចស្វែងយល់អំពីក្រុមក្នុងស្រុក និងសកលនៅលើឧបករណ៍បញ្ជាដែលនៅជិតបំផុតរបស់វា ប៉ុន្តែយោងទៅតាមការរចនាបណ្តាញ ថតសកលមានទីតាំងនៅការិយាល័យកណ្តាល។ អ្នកអាចផ្ទៀងផ្ទាត់សមាជិកភាពរបស់អ្នកប្រើក្នុងក្រុមសកលដោយសួរកាតាឡុកសកល។ ដូច្នេះនៅពេលចុះឈ្មោះអ្នកត្រូវតែផ្ញើសំណើទៅការិយាល័យកណ្តាល។ ប្រសិនបើការតភ្ជាប់ត្រូវបានខូច ហើយកាតាឡុកសកលមិនមានទេ អ្នកប្រើប្រាស់នឹងត្រូវបានបដិសេធការចុះឈ្មោះ (លំនាំដើមក្នុងស្ថានភាពនេះ)។ ការកំណត់បញ្ជីឈ្មោះ "មិនអើពើនឹងកំហុសសមាជិកភាពជាសកល" បង្កើតរន្ធសុវត្ថិភាព។
Windows Server 2003 ផ្តល់នូវយន្តការមួយសម្រាប់ផ្ទុកក្រុមសកល។ ការតភ្ជាប់ទៅកាតាឡុកសកលឥឡូវនេះគឺត្រូវបានទាមទារតែជាលើកដំបូងដែលអ្នកប្រើប្រាស់ចូល។ ក្រុមទាំងនេះទៅកាន់ឧបករណ៍បញ្ជា ហើយត្រូវបានរក្សាទុកនៅទីនោះ។ ការចុះឈ្មោះអ្នកប្រើប្រាស់ជាបន្តបន្ទាប់នីមួយៗនឹងមិនតម្រូវឱ្យមានការហៅទូរសព្ទទេ ព្រោះសមាជិកភាពជាសកលត្រូវបានស្គាល់រួចហើយ។ ក្នុងករណីនេះ ឃ្លាំងសម្ងាត់នៃព័ត៌មានត្រូវបានធ្វើបច្ចុប្បន្នភាពតាមវិធីជាក់លាក់មួយ៖ នៅចន្លោះពេលជាក់លាក់ ព័ត៌មានកាតាឡុកសកលត្រូវបានសួរដើម្បីធ្វើបច្ចុប្បន្នភាពព័ត៌មានសមាជិកភាពក្រុមសកលរបស់អ្នកប្រើប្រាស់។
ភាពជឿជាក់រវាងព្រៃឈើ
ការជឿទុកចិត្តគ្នារវាងព្រៃឈើអនុញ្ញាតឱ្យអង្គការឯករាជ្យទាំងស្រុងធ្វើសមាហរណកម្ម។ Active Directory គឺជារចនាសម្ព័ន្ធដែលអាចមានមែកធាង domain ជាមួយ root domain ឬព្រៃឈើដែលមានដើមឈើជាច្រើន។ លក្ខណៈនៃព្រៃឈើគឺថាសម្រាប់ដែនទាំងអស់ដែលបានរួមបញ្ចូលនៅក្នុងវា សម្រាប់ដើមឈើទាំងអស់នោះ មានធាតុដូចគ្នាចំនួនបី - គ្រោងការណ៍តែមួយ ធុងកំណត់រចនាសម្ព័ន្ធតែមួយ និងថតសកលទូទៅសម្រាប់ព្រៃឈើ។ តាមធម្មជាតិ ចន្លោះឈ្មោះរបស់ពួកគេគឺខុសគ្នា ទោះបីជាអ្នកអាចដាក់ឈ្មោះព្រៃទាំងមូលក៏ដោយ។ ប្រសិនបើវាមិនត្រូវបានធ្វើទេនោះដើមឈើនីមួយៗនឹងមានឋានានុក្រមនៃឈ្មោះរបស់វា។ អ្នកអាចធ្វើឱ្យប្រាកដថាដើមឈើទាំងអស់នៅក្នុងព្រៃត្រូវបានតម្រង់ជួរនៅក្នុងប្រព័ន្ធឈ្មោះតែមួយ។
ភាពជឿជាក់រវាងព្រៃឈើ
នៅពេលនិយាយអំពីការធ្វើសមាហរណកម្ម និងអន្តរកម្មរវាងព្រៃឈើពីរផ្សេងគ្នា ជាធម្មតាមានប្រព័ន្ធពីរផ្សេងគ្នាដែលត្រូវបានបង្កើតឡើងដោយឯករាជ្យពីគ្នាទៅវិញទៅមក។ ទោះយ៉ាងណាក៏ដោយ វាចាំបាច់ដែលអ្នកប្រើប្រាស់នៅក្នុងព្រៃមួយ (ដែលបានកំណត់ក្នុងព្រៃតែមួយ) អាចចូលប្រើវត្ថុដែលបានកំណត់នៅក្នុងព្រៃមួយផ្សេងទៀត។ ដើម្បីធ្វើដូចនេះអ្នកត្រូវបង្កើតទំនាក់ទំនងដែលអាចទុកចិត្តបាន។
Windows 2000 អនុញ្ញាតឱ្យអ្នកបង្កើតទំនាក់ទំនងផ្ទាល់ និងអន្តរកាលរវាងដែនជាក់លាក់ពីព្រៃផ្សេងៗគ្នា ប៉ុន្តែវានឹងដំណើរការសម្រាប់តែដែនទាំងនេះប៉ុណ្ណោះ។ Windows Server 2003 ផ្តល់នូវប្រភេទថ្មីនៃការជឿទុកចិត្តហៅថា Cross-Forest Domain Relationship ។ ទំនាក់ទំនងទាំងនេះមានលក្ខណៈអន្តរកាលឆ្លងកាត់ដែនដែលត្រូវបានរួមបញ្ចូលនៅក្នុងព្រៃនីមួយៗ។ នោះគឺនៅពេលដែលព្រៃឈើពីរត្រូវបានតភ្ជាប់ដោយទំនាក់ទំនងទុកចិត្ត អ្នកប្រើប្រាស់ពីដែនណាមួយនៅក្នុងព្រៃតែមួយអាចឃើញវត្ថុនៅក្នុងព្រៃផ្សេងទៀតដោយតម្លាភាព និងចូលប្រើពួកវាពីដែនណាមួយ។
ឧទាហរណ៍ អ្នកអាចបង្កើតខ្សែសង្វាក់នៃព្រៃបី A, B, C. A ទុកចិត្ត B និង B ទុកចិត្ត C. វាមិនមែនមកពីនេះទេ ដែលទំនាក់ទំនងទុកចិត្តក៏ត្រូវបានបង្កើតឡើងរវាងព្រៃឈើ A និង C។ វាដូចជា Windows NT 4៖ ទំនាក់ទំនងមិនឆ្លងក្នុងន័យថាពួកគេមិនឆ្លងរវាងព្រៃឈើ។ ប៉ុន្តែរវាងដែនដែលតភ្ជាប់ព្រៃឈើពីរ ទំនាក់ទំនងមានលក្ខណៈអន្តរកាល។
ការគ្រប់គ្រងគោលនយោបាយក្រុម
គោលការណ៍ក្រុមគឺជាឧបករណ៍ចម្បងដែលត្រូវបានប្រើដើម្បីគ្រប់គ្រងប្រព័ន្ធរង និងសមាសធាតុស្ទើរតែទាំងអស់នៅក្នុងវីនដូ។ ថាតើវាជាស្ថានីយការងារ និងការកំណត់របស់វា វាជាម៉ាស៊ីនមេ និងសេវាកម្មបណ្តាញរបស់វា ថតសកម្ម ការកំណត់សុវត្ថិភាព - ទាំងអស់នេះត្រូវបានកំណត់រចនាសម្ព័ន្ធតាមរយៈគោលការណ៍ក្រុម។យន្តការគោលការណ៍ក្រុមអនុញ្ញាតឱ្យអ្នកកំណត់គោលការណ៍ទៅកុងតឺន័រ ពោលគឺអង្គភាពអង្គភាព គេហទំព័រ និងដែន។ គោលការណ៍ក្រុមមិនអាចត្រូវបានកំណត់ទៅអ្នកប្រើប្រាស់ជាក់លាក់ទេ។ លើសពីនេះទៅទៀត ដោយសាររចនាសម្ព័ន្ធនៃកុងតឺន័រនៅក្នុង Active Directory មានឋានានុក្រម អ្នកអាចកំណត់គោលការណ៍ក្រុមផ្សេងៗគ្នានៅកម្រិតផ្សេងៗគ្នា។ ដូច្នេះយន្តការមរតកដំណើរការ។ អ្នកគ្រប់គ្រងមានមុខងារជាក់លាក់ដើម្បីទប់ស្កាត់ការទទួលមរតក ឬផ្ទុយទៅវិញ ដើម្បីអនុវត្តគោលការណ៍មរតក។ អ្នកគ្រប់គ្រងមានសមត្ថភាពក្នុងការត្រងការអនុវត្តគោលការណ៍ក្រុមតាមរយៈសិទ្ធិចូលប្រើ។ ក្នុងករណីណាក៏ដោយបញ្ហាមួយចំនួនធំត្រូវបានដោះស្រាយដោយប្រើឧបករណ៍មិនតិចជាង។ សម្រាប់កិច្ចការនីមួយៗមានឧបករណ៍ជាក់លាក់មួយ។ ដូច្នេះ ដើម្បីគ្រប់គ្រងគោលការណ៍ក្រុមនៅក្នុង Windows 2000 អ្នកត្រូវដឹងអំពីឧបករណ៍ចំនួនប្រាំមួយ ហើយប្រើប្រាស់វាសម្រាប់កិច្ចការផ្សេងៗ។
Windows Server 2003 ធ្វើឱ្យជីវិតកាន់តែងាយស្រួលសម្រាប់អ្នកគ្រប់គ្រងជាមួយនឹងការណែនាំនូវឧបករណ៍ពិសេសមួយដែលមានឈ្មោះថា Group Policy Management Console ។ នេះគឺជាកុងសូលរួមបញ្ចូលគ្នា ឬរួមបញ្ចូលគ្នាដែលរួមបញ្ចូលចំណុចប្រទាក់សម្រាប់អនុវត្តកិច្ចការទាំងអស់ដែលទាក់ទងនឹងគោលការណ៍ក្រុម។ អ្នកលែងត្រូវឆ្ងល់ពីកន្លែងដែលប្រតិបត្តិការនេះកំពុងត្រូវបានធ្វើ - អ្វីគ្រប់យ៉ាងគឺនៅក្នុងកុងសូលគ្រប់គ្រងគោលការណ៍ក្រុម ហើយកុងសូលផ្តល់ព័ត៌មានជាក្រុមតាមវិធីឡូជីខល និងវិចារណញាណ។
បន្ថែមពីលើការពិតដែលថា Group Policy Management Console គឺជាកញ្ចប់ឧបករណ៍ក្រាហ្វិករួមបញ្ចូលគ្នា វាក៏បានបន្ថែមមុខងារថ្មីមួយចំនួនដល់ការគ្រប់គ្រងគោលការណ៍ក្រុមផងដែរ។ ឧទាហរណ៍ មុខងារសម្រាប់ការរក្សាទុក និងស្ដារគោលការណ៍ក្រុម មុខងារសម្រាប់ការចម្លងគោលការណ៍ក្រុមរវាងដែននៃព្រៃដូចគ្នា និងគោលការណ៍ក្រុមនាំចូល/នាំចេញ។
កុងសូលគ្រប់គ្រងគោលការណ៍ក្រុមមិនមានជាផ្នែកនៃ Windows Server 2003 ទេ។ វាត្រូវតែទាញយកពីម៉ាស៊ីនមេគេហទំព័រ Microsoft ( http://www.microsoft.com/downloads) អ្នកអាចដំឡើងកុងសូលទាំងនៅលើ Windows Server 2003 ឬនៅលើ Windows XP ប្រសិនបើអ្នកមាន Service Pack 1 និង .NET Framework ។ ដូច្នេះ ដោយប្រើកុងសូលគ្រប់គ្រងគោលការណ៍ក្រុម អ្នកអាចគ្រប់គ្រងគោលការណ៍ក្រុមដោយមិនចាំបាច់ផ្ទាល់នៅលើឧបករណ៍បញ្ជាដែន។ អ្នកអាចដំឡើងកុងសូលដោយផ្ទាល់នៅលើស្ថានីយការងារ Windows XP ហើយពីស្ថានីយការងារនេះ អ្នកអាចគ្រប់គ្រងគោលការណ៍ក្រុមទាំងអស់នៅក្នុងព្រៃ។ លើសពីនេះ កុងសូលគ្រប់គ្រងគោលការណ៍ក្រុមមានអ្នកជំនួយការពីរដែលអនុញ្ញាតឱ្យអ្នកវិភាគ និងក្លែងធ្វើដំណើរការនៃការអនុវត្តគោលការណ៍ក្រុម។ ទីមួយត្រូវបានគេហៅថា អ្នកជំនួយលទ្ធផលគោលនយោបាយក្រុម ហើយវាបង្ហាញថាគោលការណ៍ណាមួយត្រូវបានអនុវត្តចំពោះកុំព្យូទ័រពិសេសនេះ ដែលតម្លៃបានផ្លាស់ប្តូរ ហើយគោលការណ៍ណាដែលតម្លៃទាំងនោះត្រូវបានទទួលពី។ ប្រសិនបើអ្វីមួយមិនត្រូវបានអនុវត្ត អ្នកជំនួយបង្ហាញពីមូលហេតុដែលវាមិនត្រូវបានអនុវត្ត។
វាច្បាស់ណាស់ថាយន្តការនេះតម្រូវឱ្យមានការតភ្ជាប់ទៅកុំព្យូទ័រដែលកំពុងវិភាគ។ នោះគឺនៅក្នុងរបៀបតភ្ជាប់ពីចម្ងាយ អ្នកគ្រប់គ្រង ពិតណាស់អាចភ្ជាប់ទៅស្ថានីយការងារណាមួយ ហើយសួរឱ្យវិភាគពីរបៀបដែលគោលការណ៍ក្រុមត្រូវបានអនុវត្តចំពោះម៉ាស៊ីននេះ។ អ្នកអាចធ្វើវាតាមវិធីមួយផ្សេងទៀត៖ មុនពេលដាក់ពង្រាយ និងអនុវត្តប្រព័ន្ធគោលការណ៍ក្រុម អ្នកអាចយកគំរូតាមអ្វីដែលនឹងកើតឡើងចំពោះអ្នកប្រើប្រាស់ ឬកុំព្យូទ័រ នៅពេលគោលការណ៍ក្រុមត្រូវបានអនុវត្តចំពោះវា។
ដំណើរការនៃការបង្កើតគំរូបែបនេះត្រូវបានអនុវត្តដោយប្រើកុងសូលដែលមានទីតាំងនៅក្នុងកុងសូលគ្រប់គ្រងគោលការណ៍ក្រុម ហើយហៅថាដំណើរការគំរូ។ ការក្លែងធ្វើមិនតម្រូវឱ្យមានការតភ្ជាប់ទៅកុំព្យូទ័រដែលកំពុងសិក្សាទេ។ វាដំណើរការតែជាមួយព័ត៌មានដែលរក្សាទុកក្នុង Active Directory ប៉ុណ្ណោះ។ គ្រាន់តែមានសិទ្ធិចូលប្រើ Windows Server 2003 Active Directory controller គឺគ្រប់គ្រាន់ហើយ។ ជាឧទាហរណ៍ អ្នកអាចស្រមៃមើលថាតើនឹងមានអ្វីកើតឡើង ប្រសិនបើអ្នកប្រើចូលទៅក្នុងក្រុមសុវត្ថិភាពមួយចំនួន អ្នកអាចដាក់អ្នកប្រើប្រាស់តាមលក្ខខណ្ឌក្នុងកុងតឺន័រមួយចំនួន ហើយមើលថាតើមានអ្វីកើតឡើង។
វាក៏មានលក្ខណៈពិសេសថ្មីមួយចំនួននៃកុងសូលគ្រប់គ្រងគោលការណ៍ក្រុមផងដែរ - ការរក្សាទុក និងស្ដារគោលការណ៍ក្រុមឡើងវិញ។ វត្ថុខ្លួនឯងអាចត្រូវបានរក្សាទុកជាឯកសារនៅក្នុងថតជាក់លាក់មួយ។ បន្ទាប់មកពួកវាអាចត្រូវបានស្ដារឡើងវិញក្នុងករណីមានបញ្ហាមួយចំនួន ឬនៅពេលពិសោធន៍ជាមួយដែន ថតសកម្ម ឬគោលការណ៍ក្រុម។ វាជាការសំខាន់ណាស់ដែលអ្នកអាចស្តារគោលការណ៍ក្រុមបានតែនៅក្នុងដែនដូចគ្នាដែលវាត្រូវបានទុកក្នុងប័ណ្ណសារ។ មានតែ GPO ខ្លួនវាត្រូវបានស្ដារឡើងវិញ: អ្វីដែលត្រូវបានភ្ជាប់បន្ថែមទៅវាមិនអាចរក្សាទុកក្នុងប័ណ្ណសារបានទេហើយដូច្នេះក៏មិនអាចស្ដារឡើងវិញដែរ។
ឥឡូវនេះ សូមបន្តទៅកាន់ Windows Management Instrumentations (WMI)។ នេះគឺជាបច្ចេកវិទ្យាដែលឥឡូវនេះកំពុងពេញនិយមនៅក្នុងការគ្រប់គ្រងប្រព័ន្ធ។ WMI ត្រូវបានប្រើស្ទើរគ្រប់ទីកន្លែង៖ រាល់សេវាកម្មប្រើ WMI ក្នុងមធ្យោបាយមួយឬផ្សេង។
ដោយប្រើ WMI អ្នកអាចទទួលបានព័ត៌មានអំពីវត្ថុទាំងអស់ដែលមាននៅក្នុងប្រព័ន្ធ មិនថាជាឧបករណ៍ផ្នែករឹង ឬសមាសធាតុផ្នែកទន់មួយចំនួន។ ព័ត៌មានទាំងអស់អាចទទួលបានដោយការសាកសួរមូលដ្ឋានទិន្នន័យ WMI ។ ដោយសារយន្តការបែបនេះមានស្រាប់ Microsoft បានបង្កើតមុខងារបន្ថែមសម្រាប់ការអនុវត្តគោលការណ៍ក្រុម។ ឥឡូវនេះវាអាចត្រងកម្មវិធីគោលការណ៍ក្រុមដោយផ្អែកលើការចូលទៅកាន់មូលដ្ឋានទិន្នន័យ WMI ។ នោះគឺអ្នកអាចកំណត់តម្រងតាមន័យត្រង់នៅក្នុងគោលការណ៍ក្រុម។ ឧទាហរណ៍ ប្រសិនបើការឆ្លើយតបទៅនឹងសំណើដែលត្រូវបានផ្ញើទៅ WMI គឺវិជ្ជមាន នោះគោលការណ៍ក្រុមត្រូវបានអនុវត្ត ហើយប្រសិនបើវាអវិជ្ជមាន នោះគោលការណ៍ក្រុមមិនត្រូវបានអនុវត្តទេ។
គោលការណ៍រឹតបន្តឹងកម្មវិធី
នេះគឺជាគោលនយោបាយកណ្តាលដែលអាចអនុវត្តបាននៅកម្រិតសហគ្រាសទាំងមូល។ ដោយមានជំនួយរបស់វា អ្នកគ្រប់គ្រងមានលទ្ធភាពកំណត់បញ្ជីកម្មវិធីដែលអ្នកប្រើប្រាស់អាចដំណើរការនៅលើស្ថានីយការងាររបស់ពួកគេ។ ផ្ទុយទៅវិញ អ្នកគ្រប់គ្រងអាចបញ្ជាក់បញ្ជីកម្មវិធីដែលអ្នកប្រើប្រាស់មិនអាចដំណើរការលើម៉ាស៊ីនរបស់ពួកគេក្នុងកាលៈទេសៈណាក៏ដោយ។ដើម្បីអនុវត្តយន្តការនេះ គោលការណ៍ត្រូវបានប្រើប្រាស់៖ កម្រិតមូលដ្ឋាន បូកនឹងករណីលើកលែងមួយ។ ដូច្នោះហើយ បន្ទាត់មូលដ្ឋានអាចមានពីរប្រភេទសម្រាប់សេណារីយ៉ូផ្សេងៗគ្នា។ កម្រិតមូលដ្ឋានទីមួយត្រូវបានគេហៅថា "មិនអនុញ្ញាត"៖ កម្មវិធីទាំងអស់ត្រូវបានហាមឃាត់តាមលំនាំដើម លើកលែងតែកម្មវិធីដែលត្រូវបានអនុញ្ញាតក្នុងករណីលើកលែង នៅក្នុងច្បាប់បន្ថែម។ ទីពីរត្រូវបានគេហៅថា Unrestricted៖ កម្មវិធីទាំងអស់ត្រូវបានអនុញ្ញាត ប៉ុន្តែបញ្ជីនៃច្បាប់បន្ថែមមានករណីលើកលែង ពោលគឺបញ្ជីខ្មៅនៃកម្មវិធីដែលមិនអាចដំណើរការបាន។
ច្បាប់អាចមានបួនប្រភេទ (ចាត់ថ្នាក់តាមអាទិភាព)៖ វិញ្ញាបនបត្រ (អាទិភាពអតិបរមា) ហាស ផ្លូវ និងតំបន់។ អាទិភាពគឺពាក់ព័ន្ធនៅពេលដែលមានគោលការណ៍ជាច្រើនដែលកំណត់កម្មវិធីដូចគ្នាជាមួយនឹងច្បាប់ផ្សេងៗគ្នា។ ឧទាហរណ៍ គោលការណ៍មួយអនុញ្ញាតឱ្យដំណើរការកម្មវិធីទាំងអស់ដែលមាននៅក្នុងថត "ABCD" ខណៈដែលគោលការណ៍មួយទៀតហាមឃាត់ការដំណើរការកម្មវិធីដែលមានសញ្ញាបែបនេះ។ ប្រសិនបើវាបង្ហាញថាកម្មវិធីនេះ ដែលត្រូវបានហាមឃាត់មិនឱ្យដំណើរការ មានទីតាំងនៅក្នុងថតដែលបានអនុញ្ញាត ABCD នោះច្បាប់បដិសេធនឹងខ្លាំងជាង ព្រោះច្បាប់ hash "ចាញ់" ច្បាប់ផ្លូវ។ នេះគឺជាអ្វីដែលអាទិភាពត្រូវបានប្រើ។
