1. ð CƯƠNG TH C T P QU N TR H TH NG VÀ M NG
MÁY TÍNH
BU I 2 : CHÍNH SÁCH NHÓM (GROUP POLICY)
1. KHÁI NI M
- Chính sách nhóm: là t p các thi t ñ nh c u hình máy tính và ngư i dùng. Nó ñư c liên k t
ñ n máy tính (Computer), ñ a bàn (site), mi n (domain) và ñơn v t ch c (OU) ñ thi t l p c u
hình tác ñ ng lên cách hành x c a ngư i dùng.
- Ví d : Vi c s d ng chính sách nhóm, chúng ta có th thi t l p nh ng chương trình ng
d ng nào ngư i dùng có th s d ng, chương trình ng d ng nào xu t hi n màn hình n n và
trong menu Start.
2. CÔNG VI C CÓ TH TH C HI N TRONG CHÍNH SÁCH NHÓM
- Phát hành ho c phân b các gói ph n m m cho các ngư i dùng ho c máy.
- Phân b k ch b n kh i t o (Start-up), t t máy (shutdown), ñăng nh p (logon), và ñăng
xu t (logoff).
- Quy ñ nh các chính sách m t kh u, khóa ch t tài kho n và ki m toán cho mi n.
- Quy ñ nh và áp ñ t nh ng thông s thi t ñ nh dành cho Internet Explorer.
- Quy ñ nh và áp ñ t nh ng h n ch trên các máy desktop c a ngư i dùng.
3. ð I TƯ NG CHÍNH SÁCH NHÓM (GROUP POLICY OBJECT - GPO)
- Các ñ i tư ng chính sách nhóm (Group Policy Object) là t p các thi t ñ nh chính sách
nhóm. M i máy tính Microsoft Windows XP, 2003 ñi u có m t ñ i tư ng chính sách nhóm c c
b (Local GPO).
- M t ñ i tư ng chính sách nhóm c c b ñư c lưu tr trên m i máy tính ch ra r ng máy
tính ñó có thu c m t m i trư ng Active Directory ho c môi trư ng m ng.
- Các thi t l p c a ñ i tư ng chính sách nhóm c c b có th b lo i b b i nh ng chính
sách không c c b ( NonLocal GPO). ð i tư ng chính sách c c b là ñ i tư ng ít nh hư ng
nh t n u máy tính ñang trong môi trư ng Active Directory.
- Các ñ i tư ng chính sách không c c b ñư c liên k t v i các ñ i tư ng trong Active
Directory (site, domain, OU) và có th ñư c áp d ng cho ngư i dùng ho c máy tính. ð s d ng
các chính sách nhóm không c c b , chúng ta ph i có máy tính th c thi Microsoft Windows 2003
Server ñóng vai trò là m t domain controller.
4. THE GROUP POLICY SNAP-IN
A Microsoft Management Console (MMC) snap-in ñư c s d ng ñ t ch c và qu n tr thi t l p
chính sách nhóm trong m i GPO. Snap-in cho ñ i tư ng m c nhiên GPO trong Domain
Controllers như sau :
16
2. 5. KH I T O LOCAL GROUP POLICY SNAP-IN
T Menu StartRun. Nh p l nh GPEDIT.MSC
17
3. 6. KH I T O GPO T ACTIVE DIRECTORY USERS AND COMPUTERS
Ch n Active Directory Users and Computers.
Nh p ph i trên domain ho c OU mà b n mu n áp ñ t chính sách nhóm, ch n
Properties.
Ch n tab Group Policy, Ch n m t GPO trong danh sách, ch n Edit. (Ho c nh p New
ñ t o m t GPO m i, sau ñó ch n Edit.)
7. CÁC THI T ð NH TRONG GROUP POLICY
Các thi t ñ nh v Chính sách nhóm ñư c ch a trong ñ i tư ng chính sách và quy t ñ nh
môi trư ng làm vi c c a ngư i dùng:
Computer configuration settings: ñư c s d ng ñ thi t l p chính sách nhóm cho
máy tính, b t lu n ngư i dùng nào ñăng nh p vào máy tính. Computer
configuration settings ñư c thi t l p khi máy tính kh i ñ ng.
User configuration settings: ñư c s d ng ñ thi t l p chính sách nhóm cho
ngư i dùng, b t lu n máy tính nào ngư i dùng ñăng nh p vào. User configuration
settings ñư c thi t l p khi ngư i dùng ñăng nh p vào h th ng.
C computer configuration settings và user configuration settings ñ u ch a ñ ng
Software Settings, Windows Settings, and Administrative Templates.
8. SOFTWARE SETTINGS
C trong computer configuration và user configuration, Software Settings ch ch a
Software Installation. Software Installation settings tr giúp chúng ta thi t ñ nh các
ph n m m ñư c cài ñ t và b o trì như th nào trong h th ng.
Chúng ta có th qu n tr m t ng d ng trong m t GPO mà nó ñư c g n v i m t
Active Directory container: site, domain or OU. ng d ng có th qu n tr b i m t
trong 2 ch ñ : phân b (Assigned) ho c qu ng bá (Published).
18
4. 9. WINDOWS SETTINGS
C computer configuration và user configuration, Windows Settings ñ u ch a
Scripts và Security Settings.
Scripts cho phép chúng ta thi t l p hai lo i scripts: startup/shutdown và
logon/logoff. Startup/shutdown scripts s ñư c th c thi lúc startup ho c
shutdown. Logon/logoff scripts ñư c th c thi khi ngư i dùng ñăng nh p ho c
ñăng xu t.
Security Settings cho phép security administrator thi t l p các m c b o m t ñư c
gán cho local ho c nonlocal GPO.
Ch có trong user configuration, Windows Settings có ch a group policy settings
cho Internet Explorer Maintenance, Remote Installation Services, and Folder
Redirection.
10. ADMINISTRATIVE TEMPLATES
Trong c hai computer and user configurations, Administrative Templates ch a t t c
registry-based group policy settings, g m nh ng thi t ñ nh cho Windows Components,
System và Network.
Windows Components cho phép chúng ta qu n tr thành ph n c a Windows g m
NetMeeting, Internet Explorer, Windows Explorer, Microsoft Management
Console, Task Scheduler và Windows Installer.
System ñư c s d ng ñ ñi u khi n ch c năng logon và logoff và group policy.
Network cho phép thi t l p cho Offline Files và Network and Dial-Up
Connections.
ð i v i Computer Configuration, Administrative Templates ch a ñ ng thi t
ñ nh chính sách nhóm cho máy in, System Settings ch a Disk Quotas, Domain
Name System (DNS) Client và Windows File Protection.
ð i v i User Configuration, Administrative Templates g m nh ng thi t ñ nh
như Start Menu & Taskbar, Desktop, và Control Panel.
19
5. 11. CHÍNH SÁCH NHÓM ðƯ C TH C HI N NHƯ NÀO
a. Local GPO. M i MS Windows XP, 2003 có duy nh t m t GPO c c b .
b. Site GPO. B t kỳ GPO n i k t v i Site ñi u ñư c th c hi n m t cách ñ ng b . Nhà
qu n tr có th c th hóa th t GPO n i k t vào site.
c. Domain GPO. Các GPOs n i k t v i domain s ñư c th c thi ñ ng b . Nhà qu n tr
có th c th hóa th t GPO n i k t vào domain.
d. OU GPO. GPO ñư c n i k t v i OU b c cao hơn trong Active Directory s ñư c
th c hi n trư c, sau ñó ñ n GPO trong OU con. Cu i cùng, GPO n i ñ n OU ch a
user ho c computer ñư c th c thi. N u m t s GPO n i v i OU, nó s ñư c th c thi
ñ ng b theo trình t ñư c thi t l p b i nhà qu n tr .
12. TÍNH TH A K TRONG CHÍNH SÁCH NHÓM
T ng quát, chính sách nhóm ñư c th c hi n t cha ñ n con
Tuy nhiên, n u chúng ta ñ nh nghĩa chính sách nhóm cho con thì chính sách nhóm
này s ñè lên chính sách nhóm ñư c th a k t cha
N u m t OU cha không ñư c thi t l p chính sách nhóm thì con c a nó không th a
k
N u chính sách nhóm c a cha và con không xung ñ t, thì con s th a k chính
sách cha và th c thi n chính sách c a chính nó
N u chính sách nhóm c a cha và con xung ñ t, con s không th a k chính sách
t cha. Chính sách c a con s ñư c áp d ng
13. M T S NGO I L TH T CHÍNH SÁCH NHÓM
Máy tính là thành viên c a nhóm làm vi c (Workgroup) thì ch th c thi chính sách
nhóm c c b thôi.
Block Policy Inheritance: Không k th a chính sách nhóm t cha.
No Override: Không cho phép chính sách nhóm khác ch ng lên chính sách nhóm
hi n h u. Khi No Override này ñư c b t lên c p mi n (domain) thì
Block Policy Inheritance ñư c b t lên c p OU s b vô hi u hóa.
N u m t ñ i tư ng có nhi u chính sách nhóm, thì th t th c hi n chính sách
nhóm là t dư i lên
GPO s ñư c th c hi n theo c u trúc th b c trong Active Directory: local GPO,
site GPO, domain GPO, và OU GPO. Tuy nhiên th t m c nhiên này có th thay
ñ i b ng tùy ch n Block Policy Inheritance, No Override
14. CH N L C (FILTER) CHÍNH SÁCH NHÓM
Chính sách trong các GPO ch nh hư ng ñ n nh ng ngư i dùng ñư c phép ñ c
nó. Chúng ta có th l c l i ph m vi nh hư ng c a chính sách nhóm trong GPO
ñ n nhóm ngư i dùng thông qua vi c gán quy n. Do ñó, chúng ta có th ngăn
không cho chính sách nhóm tác ñ ng lên m t nhóm nào ñó b ng cách c m áp
d ng chính sách nhóm.
20
6. PH M VI GPO THI T L P QUY N K T QU
Thành viên c a Thi t l p Apply Group- GPO s ñư c áp d ng lên thành viên
nhóm áp d ng Policy (AGP) là Allow. nhóm tr khi Apply Group Policy là Deny
GPO Thi t l p Read là Allow ho c Read là Deny ho c c hai
Thành viên c a Thi t l p AGP là Deny Chính sách nhóm không ñư c áp d ng
nhóm không áp Thi t l p Read là Deny trên nhóm này
d ng GPO này
Thành viên trong Thi t l p AGP ho c là M i ngư i dùng có th thu c nhi u nhóm,
nhóm không ch c Allow ho c Deny chính sách ch áp d ng cho ngư i dùng có
là có áp d ng Thi t l p Read là Allow AGP là Allow và Read là Allow
chính sách nhóm ho c Deny
15. T O ð I TƯ NG CHÍNH SÁCH NHÓM (GPO)
Click StartProgramsAdministrative ToolsActive Directory Users and Computers
Click ph i chu t ch n OU Sales, ch n Properties. Ch n tab Group Policy
Click New, ñ t tên GPO là Sales GPO
Double click Sales GPO (ho c click ch n Edit)
21
7. Trong User Configuration, ch n Administrative Templates.
Trong Administrative Templates ch n Start Menu and Taskbar
Start Menu and Taskbar double click ch n thi t ñ nh Remove Network
Connections from Start Menu
22
8. Ch n Enabled, click Apply, click OK
Tương t , trong Control Panel, b t (enabled) thi t ñ nh Prohibit access to Control
Panel
Trong Desktop, b t thi t ñ nh Remove Recycle Bin icon from desktop
ðóng GPO liên k t v i Sales l i.
Click OK ñóng h p tho i GPO c a Sales l i
16. T O CONSOLE CHO GPO
Click StartRun. Nh p l nh MMC. OK
Click File, ch n Add/Remove Snap-in…
23
11. Double click ch n Sales.ctu.edu.vn
Ch n Sales GPO, click OK
26
12. Click Finish, click Close.
Click OK
Click menu File, ch n Save in. ð t tên Sales GPO.
27
13. Click Start/Programs/Administrative Tools ñ ki m tra xem Sales GPO ñã t n t i chưa ?
17. C P QUY N Allow log on locally CHO NHÓM Domain Users.
Click Start/Programs/Administrive Tools/Domain Controller Security Policy
Ch n Local Policies/User Rights Assignment
Double click ch n Allow log on locally
Click Add User or Group…
Ch n Browse, ch n Advanced…
Click Find Now. Tìm nhóm Domain Users, double click ch n Domain Users. Click OK.
Click OK. Click Apply. Click OK.
Restart domain controller.
ðăng nh p vào b ng các tài kho n trong Sales : pctrinh, dtdiem ñ ki m tra xem các thi t
ñ nh GPO có ho t ñ ng không ?
18. LIÊN K T GPO
M c nhiên, m t GPO s ñư c liên k t ñ n domain, site, OU ñư c ch n trong MMC khi
nó t o ra. Vì th , GPO ch áp d ng trên các ñ i tư ng ñó thôi. Mu n s d ng GPO cho
các ñ i tư ng khác, ta ph i t o thêm liên k t trong GPO
28
14. Liên k t GPO c a OU Sales v i OU Marketing :
ðăng nh p vào b ñi u khi n mi n b ng tài kho n Administrator
Th c thi Active Directory Users and Computers, click ph i chu t vào OU Marketing.
Ch n Properties. Ch n tab Group Policy. Click Add.
29
17. 19. CH N L C CHÍNH SÁCH NHÓM V I NHÓM NGƯ I DÙNG
Khi chúng ta t o ra GPO trong site, domain, OU thì nh ng tài kho n ngư i dùng trong
site, domain, OU s ch u tác ñ ng c a các thi t ñ nh trong GPO ñó. N u mu n các
thi t ñ nh không tác ñ ng lên các tài kho n ngư i dùng trong nh ng trư ng h p ñ c
bi t, chúng ta thư ng t o ra m t nhóm ngư i dùng sau ñó ñưa các tài kho n ngư i
dùng làm thành viên c a nhóm này. Sau ñó thi t l p quy n Read và Apply Group
Policy cho nhóm này là Deny
T o nhóm GVIP
ðưa tài kho n ngư i dùng pctrinh trong OU Sales và hxhuong trong OU Marketing
làm thành viên c a nhóm GVIP.
M Console c a Sales GPO, c p quy n truy c p Read, Apply Group Policy cho
nhóm GVIP là Deny
32
18. Log off tài kho n Administrator
L n lư t ñăng nh p b ng các tài kho n pctrinh, dtdiem, thdao, hxhuong ñ ki m tra.
So sánh gi a tài kho n pctrinh, hxhuong v i dtdiem, thdao. Gi i thích ?
33