Bạn có thể cài đặt phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack trên máy tính dùng hệ điều hành sau: • Windows XP Professional Service Pack 2.. Bạn có thể cài đặt
Trang 1TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MÌNH
KHOA CÔNG NGHỆ THÔNG TIN
Trang 2MỤC LỤC
Trang 3I. Passing the buck là gì?
Trước tiên để lập kế hoạch, chúng ta nhận thấy rằng sẽ không có nhiều thời gian để bận làm những công việc như đặt lại mật khẩu hay thay đổi quyền hạn chia sẻ thư mục và nhiều nữa May mắn thay, đã có một số giải pháp cho tất cả công việc đó Để giảm thời gian làm những công việc đó, ta sẽ cũng cấp cho tài khoản của người dùng khác không phải là quản trị để đặt lại mật khẩu và các công việc hành chính khác
Có 3 sự lựa chọn:
a. Sử dụng Delegation of Control Wizard
b. Thêm máy con vào một hay nhiều các Built-In Groups để người dùng có thể làm các công việc như là người quản trị mà không phải là một người quản trị thực sự.
c. Cài đặt và cấu hình RSAT cho các máy Window 7, Window Vista, Window
XP để thao tác các công việc quản trị từ xa trên các máy Window Server
2003 hay Window Server 2008…
II. Tìm hiểu về đơn vị tổ chức (Organizational Unit (OU))
Một loại đối tượng đặc biệt hữu ích của thư viện được thiết lập bên trong domain là các đơn
vị tổ chức (OU) Các OU được chứa trong Active Directory, bạn có thể đặt user, groups,
computers, và các OU khác Một OU không thể chứa các đối tượng ở những domain khác
Một OU là phạm vi hoặc đơn vị nhỏ nhất mà bạn có thể chỉ định thiêt lập trong Group Policy hoặc uỷ quyền quản trị hành chính Sử dụng các OU, ta có thể tạo một không gian bên trong một domain đại diện cho các thứ bậc, cấu trúc hợp lý trong tổ chức của bạn Sau đó, bạn có thể quản
lý các cấu hình và sử dụng các tài khoản và các nguồn dựa trên mô hình tổ chức của mình
Các OU có thể chứa các OU khác Ta có thể mở rộng hệ thống phân cấp của các OU khi cần thiết để mô hình tổ chức phân cấp của bạn được đặt trong một domain Bằng cách sử dụng OU giúp bạn giảm thiểu số lượng các domain được yêu cầu cho mạng của mình
Trang 4Ta có thể sử dụng các OU để tạo ra một mô hình quản trị mà bạn có thể thay đổi kích cỡ của
mô hình Một user có thể quyền như quản trị cho tất cả các OU trong một domain hay cho một
OU duy nhất Một quản trị viên của một OU không có quyền như quản trị cho nhiều OU khác trong domain mà chỉ có quyền hạn trong một OU được phẩn bổ
III. Delegation of Control Wizard:
Delegation of Control Wizard cho phép bạn uỷ quyền quản trị cho users hoặc groups trong một phạm vi quản trị cụ thể và chủ yếu được sử dụng để uỷ quyền quản lý dữ liệu Công cụ này
là một hướng đi của một tập tin văn bản tuỳ chỉnh (Delegwiz.inf) và được gửi đi với một số cơ
sở của các công việc quản trị phổ biến được thiết lập
Danh sách của các công việc có thể được uỷ quyền thông qua Delegation Wizard được duy trì trong tập tin Delegwiz.inf được tạo ra trong thư mục <Windows installation directory>\Inf Quản trị viên có thể sửa đổi tập tin này để thêm hoặc xoá các khoản mục ra khỏi danh sách công việc mà có thể được giao phó
Tập tin Delegwiz.inf có trong Windows Server 2003 có thể được sử dụng để giao phó khoảng
13 tác vụ quản trị thông thường Phụ lục này chứa một phiên bản của tập tin đó có thể được sử dụng để uỷ quyền cho hơn 70 công việc quản trị
Ở window Server 2008 cũng có một chức năng Delegation cho users và groups Chức năng này có hiệu lực khi máy Window Server 2008 đã cài đặt và cấu hình DNS Server Chức năng này trong Window Server 2008 cho phép ta sử dụng để uỷ quyền cho User hoặc groups để làm các công việc quản trị như xem, xoá, tạo, chia sẻ folder, quản lý Group policy, đặt lại password… cho OU Chỉ có hiệu lực trong phạm vi đã thêm các user hoặc group vào OU
Trang 5Để mở chức năng Delegation of Control Wizard trong Window Server 2008 đã cài đặt DNS
server ta thực hiện các bước sau:
1. Để mở Active Directory Users and Computers, click Start, click Control Panel, nhấp đúp vào Administrative Tools, và sau đó nhấp dúp vào Active Directory Users and Computers.
2. Trong cây giao diện điều khiển, nhấn chuột phải vào các đơn vị tổ chức (OU) mà ta muốn phân bổ quyền kiểm soát
Đường dẫn:
Active Directory Users and Computers/domain node/organizational unit
3. Chọn Delegate Control để bắt đầu chức năng Delegation of Control Wizard, và làm theo hướng dẫn
Để thực hiện được chức năng này, người dùng phải là một tài khoản của nhóm Account Operator, nhóm Domain Admins, hay nhóm Enterprise Admins trong Active Directory Domain Services (AD DS) hoặc phải có sự uỷ quyền thích đáng của chính sách Như là một sự bảo đảm
về an ninh tốt nhất, được xem xét sử dụng Run as để thực hiện các thủ tục này
Sử dụng Delegation of Control sẽ giúp cho công việc quản trị dễ dàng hơn, tốn ít thời
gian để thực hiện các công việc quản trị hàng loạt mà vẫn đảm bảo được chức năng quản trị server một cách an toàn Làm cho hệ thống quản lý chặc chẽ hơn khi sử dụng chức năng
Delegation of Control Wizard
IV. Sử dụng Administration Tools Pack quản trị các máy tính từ xa
Administration Tools Pack là một công cụ quản trị máy chủ từ xa của Window Server 2003
Trang 6Download và cài đặt Windows Server 2003 Administration Tools Pack trên Windows XP Professional 32-bit và 64-bit, Windows Server 2003 32-bit và 64-bit
Bạn có thể cài đặt phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack trên máy tính dùng hệ điều hành sau:
• Windows XP Professional Service Pack 2
• Windows XP Professional Service Pack 1
• Các phiên bản Windows Server 2003 32-bit
Bản đầu tiên của file Windows Server 2003 Adminpak.msi được gói lại trên website của Microsoft dưới cái tên Adminpak.exe từ sau khi Windows Server 2003 được phát hành Bản Windows Server 2003 Administration Tools Pack mới nhất nằm trong Windows Server 2003 Service Pack 1
Bạn có thể cài đặt phiên bản Service Pack 1 của Windows Server 2003 Administration Tools Pack trên máy tính dùng các hệ điều hành sau:
• Windows XP Professional Service Pack 2
• Windows XP Professional 64-bit Edition
• Các phiên bản Windows Server 2003 32-bit
• Các phiên bản Windows Server 2003, 64-bit
Chú ý: File Adminpak trong thư mục 1386 của đĩa cài dành cho các phiên bản 64-bit của
Windows Server 2003 được gọi là Wadminpak.msi Wadminpak.msi hoàn toàn giống và có thể hoán đổi cho Adminpak.msi (Bạn có thể download tại website của Microsoft: www.microsoft.com) File này gắn trong các phiên bản 32-bit của Windows Server 2003 Service Pack 1 Để dễ dàng hơn cho quá trình cài đặt, bạn có thể cài file Windows Server 2003 SP1 Adminpak.msi trên các phiên bản 32 bit hoặc 64 bit của Windows XP Professional hoặc các phiên bản 32 bit hoặc 64 bit của Windows Server 2003 Tương tự như thế, bạn có thể cài đặt Wadminpak.msi trên các phiên bản 32 bit hoặc 64 bit của Windows XP Professional hoặc trên các phiên bản 32 bit hoặc 64 bit của Windows Server 2003
Để cài đặt Windows Server 2003 Administration Tools Pack, thực hiện theo các bước sau:
1 Tải Windows Server 2003 Service Pack 1 Administration Tools Pack tại website của Microsoft
theo đường link sau:
Phiên bản đầu tiên (RTM) của Windows Server 2003 Adminpak vẫn sử dụng được Bạn
có thể download RTM Windows Server 2003 Adminpak tại địa chỉ:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en2
2 Dùng các đặc quyền quản trị viên (administrator), đăng nhập vào máy cục bộ.
3 Gỡ các phiên bản trước đó của Administration Tools Pack.
Bạn phải gỡ các phiên bản trước đó của Administration Tools Pack trước khi cài đặt phiên bản sau, kể cả phiên bản chính thức cuối cùng
Trang 7Nếu bạn không thể dùng chức năng Add or Remove Programs trong Control Panel để gỡ các phiên bản trước của Administration Tools Pack, bạn có thể dùng MSIZap của gói Support\Tools\Suptools.msi để loại bỏ chúng.
Nếu máy bạn đã cài Windows Server 2003 Beta 3 Administration Tools Pack, thực hiện theo các bước sau:
a Ghi đoạn văn bản sau thành một file có tên là Rrasreg.cmd:
rem rem RAS user snap-in extension - registry key cleanup, Beta 3 to RC1 rem upgrades only rem rem use Reg.exe to delete the old key that was created by the Beta 3 rem RAS user extension snapin rem reg delete HKEY_CLASSES_ROOT\RasDialin.UserAdminExt /f reg delete HKEY_CLASSES_ROOT\RasDialin.UserAdminExt.1 /f reg delete HKLM\SOFTWARE\Microsoft\MMC\NodeTypes\{19195a5b-6da0-11d0-afd3
00c04fd930c9}\Extensions\NameSpace /f
b Gõ Rrasreg.cmd trong cửa sổ lệnh.
4 Cài đặt Administration Tools Pack
Adminpak.exe là file tự giải nén, tạo ra Adminpak-readme.txt và Adminpak.msi trong một thư mục bạn chỉ định khi cài đặt file Để cài đặt Administration Tools Pack, kích phải chuột
lên file msi > Install hoặc kích đúp vào file msi Bạn cũng có thể dùng Group Policy, sử dụng
Active Directory để cài đặt từ xa hoặc cung cấp file cho máy tính dùng Windows XP hoặc Windows Server 2003 khi người dùng đăng nhập vào máy tính
Chú ý: Khi nâng cấp server Windows 2000 lên Windows Server 2003, bộ kiểm tra tương thích
hệ thống trong Windows Server 2003 Winnt32.exe hoặc trong Winnt32 /checkupgradeonly có thể xác định sai rằng Administration Tools Pack đã được cài đặt trên bộ điều khiển tên miền Windows 2000 Nguyên nhân là do chương trình Dcpromo trên Windows 2000 dùng một thành phần trong file Windows 2000 Adminpak để tạo shortcut các phần tử menu cho công cụ quản trị tên miền Bạn có thể lờ an toàn thông báo này và tiếp tục chương trình nâng cấp từ Windows
2000 lên Windows Server 2003
- Những điều nên biết về phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack
• Trước khi liên hệ với các cơ sở dịch vụ hỗ trợ sản phẩm của Microsoft (PSS - Microsoft Product Support Services), hãy xem xét kỹ các vấn đề tương thích đã được biết đến và giới thiệu trong bài này Chú ý ngày tháng cung cấp từng giải pháp của chúng
• Bạn phải gỡ bỏ các phiên bản trước đó của Adminpak.msi (Beta 3, RC1, RC2) trước khi cài đặt Windows XP SP1 trên máy dùng Windows XP Nếu bạn đã cài Windows XP Service Pack 1 trên máy dùng Windows XP có cài Administration Tools Pack beta 3, bạn không thể dùng thành phần Add or Remove Programs trong Control Panel để gỡ bỏ các phiên bản trước đó của Administration Tools Pack
• Các máy dùng Microsoft Windows XP Home Edition không thể kết hợp với tên miền trên nền Microsoft Windows NT 4.0, Windows 2000 và Windows Server 2003 Windows XP Home Edition không phải là hệ điều hành hỗ trợ cài đặt Administration Tools Pack
- Phải làm gì khi bạn gặp phải vấn đề về quản trị từ xa
1. Hãy kiểm chứng chắc chắn rằng bạn đang dùng bản hỗ trợ mới nhất của các snap-in Adminpak và các file DLL có trên Microsoft website Bạn cũng có thể dùng script APVer.vbs
có trong phiên bản đầu tiên của gói download Adminpak Web để xác định phiên bản Administration Tools Pack đã cài đặt trên máy Để làm điều này, chuyển đổi tới thư mục bạn
Trang 8giải nén Adminpak.exe, sau đó gõ apver /? để xem danh sách tuỳ chọn của script chẩn đoán
THÔNG TIN THÊM
Các vấn đề đã từng được biết đến trong phiên bản Adminpak.exe Windows Server 2003 đầu tiên
- Vấn đề cài đặt và nâng cấp
Chương trình Windows Server 2003 Winnt32.exe và Winnt32 /checkupgradeonly trong các bộ điều khiển tên miền Windows 2000 thông báo rằng Adminpak.msi đã được cài đặt trong khi nó chưa được cài hoặc đã bị gỡ bỏ
Nguyên nhân là do tiện ích Dcpromo trong Windows 2000 dùng một chức năng nội bộ của Windows 2000 Adminpak.msi để cài đặt các shortcut menu trên các bộ điều khiển tên miền Bạn có thể bỏ qua một cách an toàn cảnh báo này trong Winnt32.exe và tiếp tục chương trình nâng cấp Sau khi chương trình nâng cấp thực hiện xong, cài đặt Windows Server 2003 Adminpak.msi từ thư mục 1386 của đĩa cài để chắc chắn rằng bạn có phiên bản mới nhất của các công cụ quản trị tên miền
- Active Directory Domains và Mức độ tin cậy
• Phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack giới thiệu Lightweight Directory Access Protocol (LDAP) Các bộ điều khiển tên miền Windows 2000
có thể được quản trị từ bởi các máy dùng hệ điều hành Windows 2000 Service Pack 4 (SP 4), Windows XP hoặc Windows Server 2003 đang dùng chương trình thẩm định NTLM, phải cài Windows 2000 Service Pack 3 Các máy khách (client) này cũng có thể phải thay đổi thanh ghi của phần hướng dẫn các kiến thức cơ bản Microsoft (Microsoft Knowledge Base) Các bộ điều khiển tên miền Windows 2000 đòi hỏi từ SP3 trở lên nếu muốn dùng công cụ quản trị Windows Server 2003
• Nếu bạn dùng một máy tính chạy hệ điều hành Windows 2000 để quản trị tên miền trên Windows Server 2003, bạn sẽ không thấy được các thành phần giao diện người dùng (UI) nâng cao do hệ thống tên miền Windows Server 2003 hỗ trợ Chẳng hạn bạn sẽ không thấy tính năng hoặc chế độ đáng tin cậy nâng cao của domain và forest
- Active Directory Schema
• Phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack giới thiệu phần tín hiệu ADAP Các bộ điều khiển tên miền Windows 2000 được quản trị từ xa bởi các máy dùng Windows 2000 SP4, bởi các máy dùng Windows XP hoặc các máy dùng Windows Server 2003 có chế độ thẩm định NTLM và cài Windows 2000 SP3 Các máy client này cũng
có thể phải thay đổi thanh ghi của Microsoft Knowledge Base Các bộ điều khiển tên miền Windows 2000 đòi hỏi ít nhất phải cài phiên bản SP3 hoặc các Service Pack sau khi dùng công cụ quản trị Windows Server 2003
• Thành phần Schema (lược đồ) có thể được chỉnh sửa trong hộp kiểm Domain Controller
đã được đưa ra ngoài hộp thoại Change Schema Master Mặc định các bản update lược đồ này được cho phép trong bộ điều khiển tên miền trên nền Windows Server 2003 Bạn cũng có thể cho phép các bản update đó trong các bộ điều khiển tên miền cơ sở Windows 2000 bằng cách thay đổi thanh ghi của Microsoft Knowledge Base (Các bản update Schema đòi hỏi quyền truy cập ghi vào lược đồ trong Active Directory)
Trang 9- Active Directory Sites and Services
• Phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack giới thiệu phần tín hiệu ADAP Các bộ điều khiển tên miền Windows 2000 được quản trị từ xa bởi các máy dùng Windows 2000 SP4, bởi các máy dùng Windows XP hoặc các máy dùng Windows Server 2003 có chế độ thẩm định NTLM và cài Windows 2000 SP3 Các máy client này cũng
có thể phải thay đổi thanh ghi của Microsoft Knowledge Base Các bộ điều khiển tên miền Windows 2000 đòi hỏi ít nhất phải cài phiên bản SP3 hoặc các Service Pack sau khi dùng công cụ quản trị Windows Server 2003
• Không có phần hỗ trợ chỉnh sửa khuôn mẫu chứng chỉ
• Khi bạn kích vào thành phần Show Services Node trên menu View, lệnh cho phép Services Node được loại bỏ trên các client (máy khách) dùng Windows XP
• Khi phiên bản Service Pack 1 của Active Directory Sites and Services được khởi động trên hệ thống 64 bit, việc chỉnh sửa group policy có thể sẽ thất bại Thêm vào đó bạn còn nhận được thông báo lỗi sau:
Windows cannot find ‘gpedit.msc’ Make sure you typed the name correctly, and then try again To search for a file, click the Start button, and then click Search.
(Windows không thể tìm thấy file 'gpedit.msc' Hãy đảm bảo chắc chắn rằng bạn đã gõ đúng tên
và thử lại Để tìm kiếm một file, kích Start và chọn Search).
Sửa lại cú pháp dòng lệnh hoặc shortcut theo mẫu sau:
%windir%\syswow64\mmc.exe %systemroot%\system32\dssite.msc -32
• Không có vấn đề gì từng xảy ra khi các forest trên nền Windows 2000 được quản trị từ các máy client (máy khách) dùng Windows Server 2003 hoặc Windows XP Professional
- Active Directory Users và Computers
• Phiên bản đầu tiên của Windows Server 2003 Administration Tools Pack giới thiệu phần tín hiệu ADAP Các bộ điều khiển tên miền Windows 2000 được quản trị từ xa bởi các máy dùng Windows 2000 SP4, bởi các máy dùng Windows XP hoặc các máy dùng Windows Server 2003 có chế độ thẩm định NTLM và cài Windows 2000 SP3 Các máy client này cũng có thể phải thay đổi thanh ghi của Microsoft Knowledge Base Các bộ điều khiển tên miền Windows 2000 đòi hỏi ít nhất phải cài phiên bản SP3 hoặc các Service Pack sau khi dùng công cụ quản trị Windows Server 2003
• Tab Dial-in cấu hình thành phần dial-in (quay số vào) Routing and Remote Access (định hướng và truy cập từ xa) hoặc quyền truy cập VPN và các thiết lập callback (gọi lại) được loại bỏ khi phiên bản đầu tiên của Administration Tools Pack được cài đặt trên client cơ
sở Windows XP
Sửa chữa hoặc giải pháp cho các vấn đề này như sau:
• Cài đặt Q837490 trên client cơ sở Windows XP Service Pack trước 2 Chương trình sửa chữa nóng (hotfix) bổ sung thẻ dial-in RAS vào client sử dụng Windows XP Service Pack trước 2 đang chạy bản snap-in đầu tiên của Windows Server 2003 Active Directory Users and Computers (Dsa.msc) được cài đặt bởi bản đầu tiên của Windows Server 2003 Adminpak,msi Thẻ Dial-in không xuất hiện khi bạn dùng snap-in Active Directory Users and Computers để xem đặc điểm của người dùng domain trên máy dùng Windows XP
Trang 10• Cài đặt bản Windows Server 2003 Service Pack 1 của Adminpak trên các máy dùng Windows XP đã cài Windows XP Service Pack 2 hoặc mới hơn.
• Dùng Remote Access Policy (chương trình Chính sách truy cập từ xa)
• Khởi động Active Directory Users and Computers từ một máy dùng Windows Server
2003 hoặc Windows 2000 truy cập qua Terminal Services (các dịch vụ đích) hoặc Remote Desktop Access (truy cập desktop từ xa)
• Khởi động Active Directory Users and Computers từ console của một máy dùng Windows Server 2003 hoặc Windows 2000
Để quản lý các đặc trưng dial-in (quay số vào) trên tài khoản người dùng, sử dụng mô hình quản trị chính sách truy cập từ xa Mô hình này được giới thiệu trong Windows 2000 để xác định các giới hạn của mô hình đặc quyền tài khoản dial-in trước đó Mô hình quản trị chính sách truy cập từ xa dùng các nhóm Windows để quản lý quyền truy cập từ xa
Khách hàng dùng mô hình quản trị khuyến khích "remote access policy administration model" (mô hình quản trị chính sách truy cập từ xa) có thể dùng gói quản trị của Windows XP để
quản lý quyền truy cập từ xa của người dùng trong Active Directory Các thiết lập trên thẻ
Dial-in không được dùng đúng cho VPN hay các triển khai không dây Có một vài ngoại lệ như các
quản trị viên triển khai mạng dial-up (quay số) có thể dùng số callback (gọi lại) Các trường hợp này thường dùng Terminal Services (dịch vụ cuối) hoặc Remote Desktop để truy cập máy dùng Windows Server 2003 hoặc Windows 2000, hay đăng nhập vào console của máy dùng Windows
Server 2003 hoặc Windows 2000 để quản lý thẻ Dial-in
Mô hình quản trị chính sách truy cập từ xa có các ưu điểm sau:
• Quản trị chi tiết
Các quản trị viên quản lý truy cập dial-in có quyền truy cập mọi tài khoản người dùng Tài khoản người dùng có nhiều thuộc tính bảo mật hơn Trong mô hình quản trị chính sách, một nhóm phân tách có thể được tạo ra để cấp phát các quyền dial-in Các quyền quản lý truy cập cho nhóm đó có thể được cấp phát cho một quản trị viên khá
• Nhóm điều khiển truy cập
Hầu hết các chướng trình Microsoft Windows đều sử dụng nhóm các điều khiển truy cập Việc lập nhóm giúp giảm các cố gắng thừa trong quản lý quyền truy cập mạng phân tán Bạn có thể dùng các nhóm giống nhau để điều khiển truy cập dial-up, VPN, mạng không dây hoặc chia sẻ file
• Điều khiển Access Policy (chính sách truy cập) cho từng kết nối cụ thể chính xác.
Có nhiều thách thức được đưa ra khi bạn triển khai nhiều hơn một kỹ thuật truy cập cùng một lúc Các đặc quyền và thiết lập cho dial-up, mạng riêng ảo VPN và kỹ thuật không dây có thể khác nhau Ví dụ những người thầu khoán có thể được quyền truy cập các mạng không dây nhưng không được quyền kết nối từ nhà vào mạng riêng ảo VPN Mạng không dây có thể đòi hỏi nhiều thiết lập bảo mật khác nhau đánh giá cao ở mạng riêng ảo VPN và các bộ kết nối số dial-up.Các thiết lập callback (gọi lại) có thể hữu ích khi bạn kết nối từ mã nguồn khu vực địa phương, nhưng có thể bạn muốn ngắt các cuộc gọi lại khi người dùng kết nối từ một số điện thoại nội bộ
Trang 11• Bạn có thể cấu hình mô hình quản trị chính sách truy cập từ xa trong nút Remote Access Policies của snap-in Routing and Remote Access khi domain (tên miền) được cấu hình trong
mô hình tự nhiền của Windows 2000 hoặc các mô hình mới hơn Để quản lý từ xa thẻ dial-in (quay số vào) RAS trong Active Directory Users and Computers hoặc Internet Authentication Server (IAS - Dịch vụ thẩm định Internet) bằng một máy chạy Windows XP, dùng các dịch vụ cuối Terminal Services hoặc Remote Desktop để truy cập máy Windows Server 2003 hoặc Windows 2000 Bạn cũng có thể đăng nhập vào console của máy dùng Windows Server 2003 hoặc của máy dùng Windows 2000 để cấu hình các thiết lập này một cách trực tiếp
• Các máy dùng Windows XP được kết nối với các bộ điều khiển tên miền cơ sở Windows
2000 Tên miền không hỗ trợ tính năng nâng cao để chọn đa người dùng và chỉnh sửa hàng loạt các thuộc tính như thư mục chủ (home folder) và đường dẫn profile Tính năng đa chọn lựa được hỗ trợ trong các forest (rừng mạng) có phiên bản lược đồ (schema) là 15 hoặc mới hơn Ví dụ, thực thi Windows Server 2003 ADDPREP /ForestPrep và /DomainPrep trong forest và domain trên nền Windows 2000 cho phép hỗ trợ chức năng đa lựa chọn trên hệ thống cài đặt snap-in Windows Server 2003 Active Directory Users and Computers
• Khi phiên bản Service Pack 1 của Active Directory Users and Computers được khởi động trên các hệ thống 64-bit, nó có thể thất bại trong chỉnh sửa chính sách nhóm Ngoài ra bạn còn nhận được thông báo lỗi sau:
Windows cannot find ‘gpedit.msc’ Make sure you typed the name correctly, and then try again To search for a file, click the Start button, and then click Search
(Windows không thể tìm thấy file 'gpedit.msc' Hãy đảm bảo chắc chắn rằng bạn đã gõ đúng tên và thử lại Để tìm kiếm một file, kích Start và chọn Search)
Sửa lại cú pháp dòng lệnh hoặc shortcut theo mẫu sau:
%windir%\syswow64\mmc.exe %systemroot%\system32\dssite.msc -32 back
- Quản lý cấp phép (Authorization Manager)
Chức năng này đã được bổ sung vào Administration Tools Pack trong phiên bản Windows Server
2003 RC1 và các phiên bản sau
- Cấp phát chứng chỉ
Do có những thay đổi lớn trong khung lược đồ (schema) mở rộng, bạn không thể dùng các client trên nền Windows XP Professional để quản trị máy tính chạy hệ điều hành Windows 2000 Bạn cũng không thể dùng client Windows 2000 để quản trị máy chạy Windows Server 2003 Để quản trị máy dùng Windows Server 2003, thực hiện quản trị từ xa trên các console hoặc từ phiên Terminal Services (dịch vụ cuối) trên máy đích, hoặc dùng client chạy nền Windows 2000 để quản lý máy Windows 2000 Server và client Windows XP, Windows Server 2003
- Quản trị Cluster
Nếu bạn đang dùng Windows XP Professional Service Pack 2 và Windows Server 2003 Administration Tools Pack, bạn không thể quản trị các server Cluster Nhưng nếu bạn dùng Windows XP Professional Service Pack 1 và Windows Server 2003 Administration Tools Pack, bạn lại có thể làm được việc này
- Kết nối quản lý bộ quản trị
Microsoft không khuyền khích hoạt động quản trị "chéo phiên bản" từ Windows 2000 đến Windows Server 2003 vì điều này không tạo ra các profile Windows XP