Giáo trình Quản lý và duy trì hệ điều hành Microsoft Windows Server 2003 (Phần 1)

nh sau:
dsmod computer CN=webserverl, CN=Computers, DC=ACNA, DC=com - 
disabled yes
Để khởi tạo lại tài khoản máy tính, sử dụng dòng lệnh sau
dsmod computer CN=webserverl, CN=Computers, DC=ACNA, DC=com - 
Reset
Xóa Đối tượng Máy tính bằng Dsrm.exe
Dsmod.exe có thể chỉnh sửa Đối tượng Máy tính nhưng không xoá chúng 
được. Đe xoá Đối tượng Máy tính bạn phải sử dụng tiện ích Dsrm.exe. Bạn 
cần chỉ ra DN cuả đối tượng mà bạn muốn xoá tại dòng lệnh Dsrm.exe, sử 
dụng cú pháp sau:
Dsrm ObjectDN
Khi bạn xác nhận yêu cầu xoá, chương trình sẽ xoá đối tượng này. Một ví dụ 
của chương trình Dsrm.exe như sau:
dsrm CN=webserverl,CN=Computers,DC=ACNA,DC=com
KHẤC PHỤC s ự CỐ TÀI KHOẢN MÁY TÍNH
Active Directory xem Đối tượng Máy tính như là Chủ thể Bảo mật 
(iSercurity Principal). Điều này có nghĩa là máy tính cũng giống người dùng 
là có các thuộc tính như tên, mật khấu và SID, cho phép nó được đưa vào 
Danh sách Kiểm soát Truy nhập (ACLs) của các đối tượng khác. Các tài 
khoản máy tính và quan hệ bảo mật giữa các máy tính và Miền thường rất
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 375 -
LÀM V IỆCyớI TÀI KHOẢN MÁY TÍNH
mạnh. Tuy nhiên, giống như các tài khoản người dùng, các tài khoản máy 
tính đôi khi yêu cầu được bảo trì và khắc phục sự cố. Hiếm khi gặp tình 
huống là một tài khoản hoặc kênh bảo mật bị bẻ gẫy, các dấu hiệu của lồi 
thường rất rõ ràng.
Các dấu hiệu phổ biến của sự cố tài khoản máy tính như sau:
• Thông báo lúc đăng nhập chỉ ra là không thế liên hệ được với Máy 
chủ Điều khiến Miền, tài khoản máy tính đó có thể bị mất hoặc quan 
hệ tin cậy (cách khác chỉ tới kênh bảo mật) giừa máy tính này và Miền 
bị mất. Một ví dụ thông báo lỗi từ máy trạm Windows XP, như hình
8-15.
• Thông báo lỗi hoặc ghi lại các sự kiện chỉ ra các vấn đề tương tự hoăc 
gợi ỷ là mật khẩu, sự tin cậy, kênh bảo mật, hoặc quan hệ với Miền 
hoặc Máy chủ Điều khiển Miền bị lỗi.
• Tài khoản máy tính trong Active Directory bị mất.
Windows cannot connect to the doman, either because the domain controller is down or 
J \ otherwise unavailable, or because your computer account was not found. Please try
agam later. If this message continues to appear, contact your system administrator for 
assistance.
d E U
Logon Messdge
Hình 8-15 Thông báo đăng nhập Windows XP chỉ ra có thể tài khoăn 
máy tính gặp sự cố
LUÏ7 Ỷ Mục đích kỳ thi Mục đích của kỳ thi 70-290 yêu cầu thỉ sinh 
có khả năng “khắc phục sự cổ tài khoản máy tính ” và “dự đoán và 
giải quyết các vấn đề liên quan đến các tài khoản máy tính bằng 
cách sử dụng bảng điều khiến Active Directory Users and 
Computers. ”
Nếu một trong các tình huống này xảy ra thì bạn phải khắc phục sự cố Tài 
khoản Máy tính. Bạn đã được học ở phần trên là làm thể nào đe xóa, vô hiệu 
hóa, và khởi tạo lại tài khoản máy tính và làm thế nào đế nhập được máy 
tính vào Miền. Các quy tắc khắc phục sự cố tài khoản máy tính khi một 
trong các sự kiện xảy ra như sau:
1. Nếu tài khoản máy tính đã có trong Active Directory thì bạn phải khởi 
tạo lại nó.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 376 -
LÀM V IỆCyớI TÀI KHOẢN MÁY TÍNH
2. Nếu tài khoản máy tính bị mất trong Active Directory thì bạn phải tạo 
lại tài khoản máy tính.
3. Nếu máy tính vẫn thuộc Miền thì bạn phải di chuyển nó ra khỏi miền 
bằng cách thay đối quan hệ thành viên của nó sang Nhóm làm việc 
( Worrkgroup). Tên của Nhóm làm việc là không quan trọng.
4. Nhập lại máy tính vào Miền. Cách khác là nhập một máy tính khác 
vào Miền này, nhưng máy tính mới phải có cùng tên như tài khoản 
máy tính.
Để khắc phục bất kỳ sự cố nào của tài khoàn máy tính bạn áp dụng tất cả 
các quy tắc này. Chúng có thế được tiến hành theo một thứ tự bất kỳ, trừ quy 
tắc 4, nhập lại máy tính vào Miền phải luôn là bước cuối cùng. Hai tình 
huống dưới đây minh hoạ việc sử dụng các quy tắc này:
• Người dùng phàn nàn là khi cô ấy đăng nhập, hệ thống xuất hiện 
thông báo lỗi thống báo tài khoản máy tính có thế bị mất. Áp dụng 
quy tắc 1, bạn mở Active Directory Users And Computers và tìm thấy 
tài khoản máy tính trong Miền. Bạn khởi tạo lại đối tượng này. Không 
áp dụng quy tắc 2 - đối tượng đã tồn tại. Sau đó, sử dụng quy tắc 3, 
bạn tách rời hệ thong này ra khởi Miền và theo quy tắc 4, kêt nối lại 
nó vào Miền này.
• Tài khoản máy tính bị khởi tạo lại do rủi ro, vì thể quy tắc 1 là đã 
được áp dụng. Dù cho việc khởi tạo lại là ngẫu nhiên, bạn vẫn phải 
tiếp tục cứu lại bằng cách áp dụng ba quy tắc còn lại. Quy tắc 2 không 
áp dụng do Đối tượng Máy tính đã tồn tại trong Miền. Theo quy tắc 3 
và 4, tách máy tính ra khòi Miền và sau đó nhập lại.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 377 -
LÀM V IỆCyớI TÀI KHOẢN MÁY TÍNH
TỎNG KÉT
• Đe người dùng đăng nhập vào Miền Active Directory, họ không chỉ 
cần có Đối tượng Người dùng, mà còn phải có cả đối tượng đại diện 
cho máy tính của họ. Đối tượng Máy tính đại diện cho một hệ thống 
cụ thể trên mạng và chứa các thông tin thuộc tính về hệ thống.
• Các Đối tượng Máy tính có chức năng như là Chủ thể Bảo m ậ t. Bạn 
có thể đưa chúng vào các nhóm và gán cho chúng các cấp phép.
• Để thêm máy tính vào Miền, bạn phải tạo Đối tượng Máy tính cho nó 
trong Active Directory và sau đó kết nối máy vật lý với Miền. Đối 
tượng Máy tính có the được tạo trước hoặc trong tiến trình kết nối.
• Bạn phải đăng nhập với tư cách như là thành viên của nhóm 
Administrators cục bộ để thay đổi quan hệ thành viên Miền của máy 
tính.
• Để tạo Đối tượng Máy tính bạn có thể sử dụng bảng điều khiển Active 
Directory Users And Computers, tiện ích Dsadd.exe hoặc 
Netdom.exe. Nhóm Administrators và Account Operators có đủ 
quyền tạo Đối tượng Máy tính mới và bạn cũng có thế uỷ quyền thích 
họp tới người dùng và nhóm khác.
• Đối tượng Máy tính mà không đóng vai trò là Máy chủ Điều khiển 
Miền mặc định được đặt tại Đối tượng Chứa Computers . Bạn không 
thể áp dụng chính sách nhóm cho Đối tượng Chứa này, bởi vậy các 
Đối tượng Máy tính thường được đặt tại ou thay cho việc đặt tại vị trí 
mặc định này.
• Đe nhập một máy tính vào Miền, bạn sử dụng thẻ Computer Name tại 
hộp thoại System Properties hoặc dùng tiện ích Netdom.exe. Neu Đối 
tượng Máy tính của máy tính chưa tồn tại thì khi bạn tiến hành nhập 
nó vào Miền thì hệ thống sẽ tạo ra đối tượng này (giả thiết là bạn có 
đủ các Cấp phép cần thiết đế tạo nó.)
• Sử dụng bảng điều khiển Active Directory Users and Computers, tiện 
ích Dsmod.exe và Dsrm.exe, bạn có thể quản lý các thuộc tính của 
Đối tượng Máy tính cũng như xoá, vô hiệu hoá và khởi tạo lại chúng.
• Đối tượng Máy tính có Mã Định danh Bảo mật - SID mà Active 
Directory sử dụng để chỉ dẫn đến các quan hệ thành viên nhóm của nó 
và các Cấp phép khác. Việc bị xoá ngẫu nhiên là nguyên nhân làm 
cho SID của nó bị mất không cứu lại được, bắt buộc bạn phải tạo lại
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 378 -
LÀM V IỆCyớI TÀI KHOẢN MÁY TÍNH
các Cấp phép. Phải cấn thận khi xoá Đối tượng Máy tính, thay vào đó 
hãy vô hiệu hóa chúng và ta có thê kích hoạt lại chúng mà không mất 
thông tin.
• Các bước chính để giải quyết sự cố của Đối tượng Máy tính bao gồm 
việc tạo hoặc khởi tạo lại đối tượng, loại bỏ máy tính khỏi Miền và 
nhập lại nó vào Miền.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 379 -
LÀM V IỆCyớI TÀI KHOẢN MÁY TÍNH
BÀI TẬP THỤ C HÀNH
Bài tập thực hành 8-1: Tạo Đối tượng Máy tính sử dụng Active 
Directory Users And Computers
Trong bài tập thực hành thực hành này, bạn tạo Đối tượng Máy tính mới sử 
dụng bảng điều khiển Active Directory Users and Computers.
1. Đăng nhập vào Máy chủ Điều khiến Mien Windows Server 2003 với 
tư cách là Administrator.
2. Bấm Start, trỏ tới Administrative tools và chọn Active Directory 
Users And Computers. Xuất hiện Băng điều khiến Active Directory 
Users And Computers.
3. Chọn Computers Đối tượng Chứa và thực đơn Action trỏ tới New và 
chọn Computer. Xuất hiện New Object - Computer trình hướng dẫn.
4. Tại hộp Computer N am e , gõ Computer 1 và tiếp theo chọn Next.
5. Bam Next và sau đó bam Finish. Đối tượng Máy tính của Computer 1 
xuất hiện trong Computers Đối tượng Chứa.
Bài tập thực hành 8-2: Tạo Đối tượng Máy tính sử dụng 
Dsadd.exe
Trong bài tập thực hành này, bạn tạo Đối tượng Máy tính mới sử dụng tiện 
ích Dsadd.exe.
1. Đăng nhập vào Máy chủ Điều khiển Miền Windows Server 2003 với 
tư cách là Administrator.
2. Bấm Start chạy Command Prompt. Xuất hiện dấu nhắc lệnh.
3. Tại dấu nhắc, gõ lệnh sau (với XX là số hiệu của bạn) và nhấn Enter.
dsadd computer "CN=Computer2, CN=Computers,
DC=ACNAxv, DC=com" -desc "M ark Lee's W orkstation"
4. Bam Start, trỏ tới Administrative tools và chọn Active Directory 
Users And Computers. Xuất hiện hảng điều khien Active Directory 
Users And Computers.
5. Chọn Đối tượng Chứa Computers . Xác nhận là Đối tượng Máy tính 
của máy tính Computer2 xuất hiện trong Đối tượng Chứa và có diễn 
giải Description là “Mark Lee’s Workstation” trong thẻ General của 
hộp thoại Properties của Đối tượng.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 380 -
LÀM V IỆCyớI TÀI KHOẢN MÁY TÍNH
Bài tập thực hành 8-3: Vô hiệu hoá và kích hoạt Đối tượng 
Máy tinh
Trong bài tập thực hành này, bạn sẽ vô hiệu hoá và kích hoạt lại Đối tượng 
Máy tính sử dụng Bảng điều khiến Active Directory Users And Computers.
1. Đăng nhập vào Máy chủ Điều khiển Miền Windows Server với tư 
cách là Administrator.
2. Bam Start, trỏ tới Administrative tools và chọn Active Directory 
Users And Computers. Xuất hiện Bảng điều khiến Active Directory 
Users And Computers.
3. Chọn Đối tượng Chứa Computers . Sau đó chọn Đối tượng Máy tính 
Computerl bạn đã tạo ở bài tập thực hành 8-1 và tại thục đơn Action 
chọn Disable Account. Xuất hiện thông báo của Active Directory 
nhắc bạn xác nhận lại lệnh.
4. Bấm Yes. Xuất hiện thông báo khác xác nhận là Đối tượng 
Computerl đã bị vô hiệu hoá.
5. Bấm Yes. Biểu tượng Computerl xuất hiện cùng với dấu X màu đỏ.
6. Chọn lại Đối tượng Máy tính của máy tính Computerl và tại thực đơn 
Action chọn Enable Account. Xuất hiện thông báo của Active 
Directory cho bạn biết là Đối tượng đã được kích hoạt.
7. Bấm Yes. Biểu tượng Computerl xuất hiện không có dấu X màu đỏ 
nữa.
CÁC CÂU HỎI ÔN TẬP
1. Tối thiểu cần phải là thành viên của nhóm nào đe có thể tạo được tài 
khoản máy tính Windows Server 2003 trong một o u của Miền? Cân 
nhắc tất cả các bước xử lý và giả thiết là Đối tượng Máy tính của hệ 
thống này chưa từng tồn tại trong Active Directory. (Chọn tất cả các 
câu trả lời đúng.)
a. Domain Admins
b. Enterprise Admins
c. Administrators trên Máy chủ Điều khiển Miền
d. Account Operators trên Máy chủ Điều khiến Miền
e. Server Operators trên Máy chủ Điều khiển Miền
f. Account Operators trên máy tính này
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
-381 -
LÀM V IỆCyớI TÀI KHOẢN MÁY TÍNH
g. Server Operators trên máy tính này
h. Administrators trên máy tính này
2. Các công cụ dòng lệnh nào sau đây có thể tạo được Đối tượng Máy 
tính trong Active Directory?
a. Dsmod.exe
b. Dsrm.exe
c. Netdom.exe
d. Dsadd.exe
e. Netexe
3. Trên nền Windows nào sau đây có khả năng nhập một Đối tượng Máy 
tính vào Mien Active Directoryl
a. Windows 95
b. Windows NT 4
c. Windows 98
d. Windows 2000
e. Windows Me
f. Windows XP
g. Windows Server 2003
4. Khi bạn mở hộp thoại Properties của Đối tượng Máy tính trong Bảng 
điều khiên Active Directory Users And Computers, bạn phát hiện ra 
rằng không có thuộc tính nào được hiển thị trong thẻ Operating 
System. Các nguyên nhân nào làm cho các thuộc tính này bị vắng 
mặt?
5. Sau một thời kỳ dài, công ty của bạn tạo Miền thứ hai. Tuần cuối
cùng, một số các máy tính mà đã từng trong Miền của bạn được
chuyến tới Miền mới. Khi bạn mở Active Directory Users And
Computers thì Đối tượng của máy tính này vẫn ở Miền của bạn và 
xuất hiện biếu tượng X mà đỏ. Việc thích hợp tiếp theo là gì?
a. Kích hoạt Đổi tượng này
b. Vô hiệu hoá Đối tượng này
c. Khởi tạo lại Đối tượng này
d. Xoá Đối tượng này
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 382 -
LÀM V IỆCyớI TÀI KHOẢN MÁY TÍNH
6. Người dùng thông báo là khi tiến hành đăng nhập, anh ấy nhận được 
thông báo tình trạng máy tính không thê liên hệ được với Miền vì 
Máy chủ Điều khiển Miền bị tắt hoặc tài khoản máy tính có thế bị 
mất. Bạn mở Active Directory Users And Computers và phát hiện ra 
là tài khoản của máy tính bị mất. Các bước bạn nên làm là gì?
7. Một người dùng thông báo là khi tiến hành đăng nhập, anh ấy nhận 
được thông báo tình trạng máy tính không thể liên hệ được với Miền 
vì Máy chủ Điều khiển Miền bị tắt hoặc tài khoản máy tính có thể bị 
mất. Bạn mở Active Directory Users And Computers và nhìn thấy tài 
khoản xuất hiện bình thường. Các bước bạn nên làm là gì?
CÁC KỊCH BẢN TÌNH HUỐNG
Kich bản 8-1: Khởi tao lai Đối tương Máy tính• • • • ơ %}
Tại Windows Server 2003 Miền ACNA.com , bạn có Đối tượng Máy tính của 
một Máy chủ Thành viên (Member Server) có tên là PserverOl trong o u có 
tên là Pservers. Đối tượng này đại diện cho máy chủ Print server bị rớt 
mạng trong thời gian dài và không liên hệ được với máy tính khác trong 
Miền để chấp nhận lệnh in. Bạn xác định là mật khấu của tài khoản máy tính 
trong Miền cần phải được khởi tạo lại. Lệnh nào bạn có thể sử dụng để khởi 
tạo lại chính xác tài khoản máy tính này?
a. dsmod CN=pserver01, CN=PSERVERS, DC=ACNA, 
DC=com -Reset
b. dsmod computerpserver01.ACNA.com -Reset
c. dsmodACNA\pserver01 -Reset
d. dsmod computer CN=pserver01, CN=PSERVERS, 
DC=ACNA, DC=com -Reset
Kịch bản 8-2: Khắc phục sự cố Đối tượng Máy tính
Sau khi thực hiện bảo trì các máy tính ở văn phòng chi nhánh tại phía Đông 
vào cuối tuần, người dùng phàn nàn gặp trục trặc đăng nhập. Bạn kiếm tra 
các nhật ký sự kiện của máy tính tại chi nhánh này, thấy ghi lại như sau:
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 383 -
LÀM V IỆCyớI TÀI KHOẢN MÁY TÍNH
Event P roperties
Event
Date: 4/3/2003 Source u seren V
Tiirje: 12:09:08AM Category: None
Type: Enot Event ỊD: 1097
User NT AUTHORITY'iSYSTEM
Computer: SERVER1
description:
21*1 
□
Windows cannot find the machine account. The logon attempt failed
For moie information, see Help and Support Center at
httD://ao. miciosoft.com/fwlink/events aso.
Jatff (• Bytes Wo'ds
"3
OK Cancel Apply
Dường như có vấn đề với tài khoản máy tính. Chỉ ra tại các bước nào sau 
đây bạn nên thực hiện đế giải quyết vấn đề này, theo đúng trật tự.
a. Xoá tài khoản máy tính.
b. Khởi tạo lại tài khoản người dùng.
c. Nhập máy tính vào Nhóm làm việc.
d. Vô hiệu hoá tài khoản máy tính.
e. Khởi tạo lại tài khoản máy tính.
f. Kích hoạt tài khoản máy tính.
g. Tạo tài khoản máy tính mới.
h. Nhập máy tính vào Miền.
QUẢN LÝ VÀ DUY TRÌ HỆ ĐIỀU HÀNH MICROSOFT WINDOWS SERVER 2003
- 384 -