ádfgh

1. Phan Thị Thu Hồng
2/28/2015 1

2. Nội dung chính
2/28/2015 2
 Quản trị người dùng và nhóm người dùng
 Quản trị OU
 Chính sách (Group Policy, System Policy)

3. Quản lý User
 Tài khoản người dùng - user account :
 Là một đối tượng quan trọng đại diện cho người dùng
 Phân biệt với nhau thông qua chuỗi nhận dạng username
 User account:
 Dùng để user đăng nhập vào máy hay domain
 Công dụng:
 Authentication – Xác thực
 Authorization – Cấp quyền
 Được cấp quyền truy xuất tài nguyên
 Auditing – Kiểm tra
 Theo dõi việc truy xuất tài nguyên
2/28/2015 3

4. Tài khoản người dùng cục bộ - local user account
 Được tạo, lưu và chỉ được phép logon trên máy cục bộ.
 Truy xuất các tài nguyên trên máy tính cục bộ.
 Được tạo với công cụ Local Users and Group trong Computer
Management (COMPMGMT.MSC).
 Các tài khoản cục bộ (stand-alone server, member server, các máy
trạm) được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security
Accounts Manager) trong thư mục Windowssystem32config.
2/28/2015 4

5. Tài khoản người dùng miền - domain user account
 Được định nghĩa trên Active Directory và được phép đăng nhập
(logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng.
 Được quản lý tập trung
 Tài khoản người dùng miền được tạo bằng công cụ Active Directory
Users and Computer (DSA.MSC).
 Tài khoản người dùng miền chứa trong tập tin NTDS.DIT, theo mặc
định thì tập tin này chứa trong thư mục WindowsNTDS.
2/28/2015 5

6. Các yêu cầu đối với tài khoản người dùng
 Mỗi username phải từ 1 đến 20 ký tự
 Mỗi username là chuỗi duy nhất của mỗi người dùng  tất cả tên
của người dùng và nhóm không được trùng nhau.
 Username không chứa các ký tự sau: “ / [ ] : ; | = , + * ? < >
 Username có thể chứa các ký tự đặc biệt: ., khoảng trắng, -, _
Nên tránh các khoảng trắng vì những tên như thế phải đặt trong
dấu ngoặc khi dùng các kịch bản hay dòng lệnh.
2/28/2015 6

7. 2/28/2015 7

8. 2/28/2015 8

9. Công cụ quản lý tài khoản cục bộ
 Tổ chức và quản lý người dùng cục bộ bằng công cụ Local
Users and Groups, cho phép xóa, sửa các tài khoản người
dùng và thay đổi mật mã.
 Phương thức truy cập đến công cụ Local Users and Groups:
 Dùng như một MMC (Microsoft Management Console) snap-in.
 Dùng thông qua công cụ Computer Management.
 Khởi động Computer Management
 Rightclick My Computer / Manage/ System Tools/ Local Users and
Groups
2/28/2015 9

10. Công cụ quản lý tài khoản cục bộ
 Công cụ Computer Management
2/28/2015 10

11. Các thao tác cơ bản trên tài khoản cục bộ
 Tạo tài khoản mới
 Xóa tài khoản
 Khóa tài khoản
 Đổi tên tài khoản
 Thay đổi mật khẩu
2/28/2015 11

12. Tạo tài khoản mới
 Chọn Local Users and Groups, rightclick Users/ New User,
Trong hộp thoại New User nhập các thông tin cần thiết vào,
riêng mục Username là bắt buộc phải có.
2/28/2015 12

13. Xóa tài khoản
 Nên xóa tài khoản người dùng khi chắc tài khoản này không bao giờ cần
dùng lại nữa.
 Thực hiện chọn Local Users and Groups, chọn tài khoản người dùng cần
xóa, nhấp phải chuột và chọn Delete hoặc vào menu Action  Delete.
2/28/2015 13

14. Khóa một tài khoản
 Khi một tài khoản không
sử dụng trong thời gian
dài thì nên khóa lại vì lý
do bảo mật và an toàn hệ
thống.
 Trong công cụ Local
Users and Groups , nháy
kép vào tài khoản cần
khóa, chọn Properties /
Tab General/ Account is
disabled.
2/28/2015 14

15. Đổi tên tài khoản
 Có thể đổi tên bất kỳ một tài khoản người dùng
 Có thể điều chỉnh các thông tin của tài khoản người dùng.
 Ưu điểm: Khi thay đổi tên người dùng thì SID của tài khoản
vẫn không thay đổi.
 Muốn thay đổi tên tài khoản người dùng: mở công cụ Local
Users and Groups, chọn tài khoản người dùng cần thay đổi
tên, nhấp phải chuột và chọn Rename.
2/28/2015 15

16. Thay đổi mật khẩu
 Muốn đổi mật mã của người dùng mở công cụ Local
Users and Groups:
 Chọn tài khoản người dùng cần thay đổi mật mã
 Nhấp phải chuột và chọn Reset password.
2/28/2015 16

17. Thiết lập tính chất của local account
 Các tính chất chính:
 Member of: chọn nhóm cho user làm thành viên
 Profile: Các thông tin về home folder, logon script,…
2/28/2015 17

18. Built-in local user account
 Được tạo tự động
 Các users
 Administrator: có toàn quyền
 Guest: Dùng cho user không thường xuyên đăng nhập vào
máy
 …
2/28/2015 18

19. Quản lý tài khoản trên AD
2/28/2015 19

20. Tạo mới tài khoản người dùng
 Dùng công cụ AD User and
Computers trong
Administrative Tools trên DC
để tạo các tài khoản người dùng
miền
 Các bước tạo tài khoản người
dùng:
 Tools / AD Users and
Computers
 Trong cửa sổ AD Users and
Computers, nhấp phải chuột
vào mục Users, chọn New
User
2/28/2015 20

21. Tạo mới tài khoản người dùng
 Trong hộp thoại New Object-User,
nhập tên mô tả người dùng, tên tài
khoản logon vào mạng.
 User logon name: giá trị bắt buộc
phải và là chuỗi duy nhất cho một tài
khoản người dùng.
 Chọn Next để tiếp tục.
2/28/2015 21

22. Tạo mới tài khoản người dùng
 Hộp thoại cho phép :
 Nhập vào mật khẩu
(password) của tài khoản
người dùng
 Đánh dấu vào các lựa
chọn liên quan đến tài
khoản như: cho phép đổi
mật khẩu, yêu cầu phải
đổi mật khẩu lần đăng
nhập đầu tiên hay khóa tài
khoản.
2/28/2015 22

23. Tạo mới tài khoản người dùng
 Hiển thị các thông tin đã cấu hình cho người dùng. Chọn Finish để hoàn
thành, Back để chỉnh sửa lại các thông tin nếu cần.
2/28/2015 23

24. Các thuộc tính của tài khoản người dùng
 Quản lý các thuộc tính của các tài khoản bằng công cụ Active
Directory Users and Computers:
 Server manager  Tools  Active Directory Users and
Computers
 Chọn thư mục Users và nhấp đôi chuột vào tài khoản người dùng
cần khảo sát.
 Hộp thoại Properties xuất hiện, trong hộp thoại này chứa 13 Tab
 Ngoài ra có thể gom nhóm (dùng hai phím Shift, Ctrl) và hiệu
chỉnh thông tin của nhiều tài khoản người dùng cùng một lúc.
2/28/2015 24

25. Các thông tin mở rộng của người dùng
 Tab General chứa các
thông tin chung của
người dùng
 Có thể nhập thêm một
số thông tin như: số
điện thoại, địa chỉ mail
và địa chỉ trang Web cá
nhân…
2/28/2015 25

26. Tab Account
 Cho phép:
 Khai báo lại username
 Quy định giờ logon vào mạng
cho người dùng
 Quy định máy trạm mà người
dùng có thể sử dụng để vào
mạng,
 Quy định thời điểm hết hạn của
tài khoản…
2/28/2015 26
Click

27. Tab Account
 Logon to: chỉ định máy tính nào User vừa tạo được phép
sử dụng.
2/28/2015 27
Click
Thêm danh sách các máy
được phép sử dụng

28. Tab Account
 Logon Hours for: cho phép chọn khoảng thời gian để truy
cập.
2/28/2015 28
Chọn khoảng thời gian
cho phép user truy cập

29. Tab Profile
 Khai báo đường dẫn đến
Profile
 Khai báo tập tin logon
script: tự động thi hành
khi đăng nhập hay khai
báo home folder.
2/28/2015 29

30. Tab Profile
 Profile chứa các qui định về màn hình Desktop, nội dung của
menu Start, kiểu cách phối màu sắc, vị trí sắp xếp các icon,
biểu tượng chuột…
 User profile tạo và duy trì tình trạng desktop (desktop
settings) của từng user
 User profile có thể được lưu trên server, được dùng từ các máy
client
 Có thể tạo user profile dùng cho nhiều user
 Có thể không cho phép user thay đổi tình trạng desktop
2/28/2015 30

31. Các dạng user profile
 Local profile
 Lưu trên đĩa địa phương
 Cho phép thay đổi
 Roaming profile
 Lưu trên server
 Cho phép user cập nhật các thay đổi
 Mandatory profile
 Lưu trên server
 Chỉ có administrator có thể thay đổi
2/28/2015 31

32. Tab Profile
 Khai báo logon script:
 Sử dụng công cụ Active Directory User and Computers
 Khai báo thông qua Group Policy
2/28/2015 32

33. Tab Member Of
 Tab Member Of: xem và cấu hình tài khoản người dùng hiện tại.
Một tài khoản người dùng có thể là thành viên của nhiều nhóm khác
nhau và nó được thừa hưởng quyền của tất cả các nhóm này.
 Muốn gia nhập vào nhóm nhấp chuột vào nút Add, hộp thoại chọn
nhóm sẽ hiện ra.
2/28/2015 33

34. Quản lý groups
 Các loại group
 Phạm vi tác dụng của group
 Tạo group trên domain
2/28/2015 34

35. Tài khoản nhóm – group account
 Là một đối tượng đại diện cho một nhóm người nào đó, dùng cho
việc quản lý chung các đối tượng người dùng.
 Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp
quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in.
 Cấp quyền truy xuất cho group account sẽ tác động trên các user
thành viên.
 Chú ý: tài khoản người dùng có thể đăng nhập vào mạng nhưng tài
khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý.
2/28/2015 35

36. Các kiểu nhóm
 Nhóm bảo mật (security group)
 Dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập
(permission)
 Các nhóm bảo mật đều được chỉ định các SID (Security ID)
 Nhóm phân phối (distribution group)
 Không thể gán quyền
 Nhóm phi bảo mật, không có SID.
 Được dùng bởi các phần mềm dịch vụ: phân phối thư (Email)
hoặc các tin nhắn (message) như dịch vụ MS Exchange.
2/28/2015 36

37. Phạm vi nhóm
 Dựa vào phạm vi, nhóm được chia thành:
 Nhóm toàn cục (Global group)
 Nhóm phổ quát (Universal group)
 Nhóm cục bộ miền (Domain local group)
 Nhóm cục bộ (Local group)
2/28/2015 37

38. Phân loại trong nhóm bảo mật
 Nhóm toàn cục - Global group: là loại nhóm nằm trong AD
và được tạo trên các DC:
 Dùng để cấp phát những quyền hệ thống và quyền truy cập
 Một nhóm global có thể đặt vào trong một nhóm local của các
server thành viên trong miền.
 Cách dùng:
 Áp dụng cho các đối tượng người dùng và máy tính đảm nhận nhiệm vụ
bảo trì hệ thống.
 Nhóm người dùng có những yêu cầu truy cập mạng tương tự
 Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng
công việc của Global Catalog.
2/28/2015 38

39. Phân loại trong nhóm bảo mật
 Nhóm phổ quát – Universal group
 Thành viên:
 Nhóm toàn cục của bất cứ domain nào trong rừng
 Tài khoản người dùng và máy tính của bất kì domain nào
trong rừng
 Quyền
 Có thể gán quyền trong bất cứ domain nào trong rừng
hoặc trong các domain có quan hệ tin cậy với nhau
 Cách dùng:
 Sử dụng để lồng các nhóm vào nhau trong domain
2/28/2015 39

40. Phân loại trong nhóm bảo mật
 Nhóm cục bộ miền - Domain local group: là local group trên máy DC.
 Thành viên:
 Tài khoản từ bất cứ domain nào trong rừng
 Nhóm toàn cục từ bất cứ domain nào trong rừng
 Nhóm phổ quát từ bất cứ domain nào trong rừng
 Quyền:
 Gán quyền chỉ trong cùng domain với nhóm cục bộ
 Cách dùng:
 Xác định và quản lý truy cập tài nguyên trên domain
 Các DC có cơ sở dữ liệu AD chung và được sao chép đồng bộ với nhau local group
trên một Domain Controller này thì cũng sẽ có mặt trên các Domain Controller anh
em, local group này có mặt trên miền nhóm cục bộ miền.
 Các nhóm trong mục Built-in của Active Directory là các domain local.
2/28/2015 40

41. Phân loại trong nhóm bảo mật
 Local group (nhóm cục bộ): ý nghĩa và phạm vi hoạt đông ngay
trên máy cục bộ .
 Thành viên
 Người dùng cục bộ
 Người dùng domain
 Nhóm domain
 Quyền
 Nhóm cục bộ chỉ gán trên máy tính cục bộ
 Chú ý: Không thể tạo nhóm cục bộ trên Domain Controller.
2/28/2015 41

42. Quy tắc gia nhập nhóm
 Tất cả các nhóm Domain local, Global, Universal đều có thể đặt
vào trong nhóm Local.
 Tất cả các nhóm Domain local, Global, Universal đều có thể đặt
vào trong chính loại nhóm của mình.
 Nhóm Global và Universal có thể đặt vào trong nhóm Domain
local.
 Nhóm Global có thể đặt vào trong nhóm Universal.
2/28/2015 42

43. Các quy tắc đặt tên nhóm
Cơ chế đặt tên - Tránh tên quá dài
- Tránh tên phổ biến
Sử dụng tên mô tả đúng
chức năng
- Sales
- Marketing
- Executives
Sử dụng tên mô tả vị trí
địa lý
- Nước
- Bang
- Thành phố
Sử dụng tên dự án Nếu nhóm thiết lập cho một dự án
thì đặt tên nhóm theo dự án
2/28/2015 43

44. Các tài khoản tạo sẵn
2/28/2015 44
 Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản
người dùng mà khi ta cài đặt Windows Server thì mặc định
được tạo ra.
 Là tài khoản hệ thống:
 Không có quyền xóa
 Có quyền đổi tên
 Tất cả các tài khoản người dùng tạo sẵn đều nằm trong
Container Users của công cụ Active Directory User and
Computer.

45. Tài khoản người dùng tạo sẵn
Tài khoản nhóm Domain Local tạo sẵn
Tài khoản nhóm Global và Universal tạo sẵn
SV tự tìm hiểu
2/28/2015 45

46. Tài khoản tạo sẵn đặc biệt
2/28/2015 46
Interactive Đại diện cho users sử dụng máy tại chỗ
Network Users đang kết nối mạng đến 1 máytính khác
Everyone Tất cả mọi người dùng
System Đại diện cho hệ điều hành
Creator owner Users tạo ra và sở hữu tài nguyên nào đó
Authenticated user Users đã được hệ thống xác thực
Anonymous logon Users đăng nhập nặc danh vào hệ thống ( sử dụng
FTP…)
Service Tài khoản đăng nhập với tư cách 1 dịch vụ
Dialup Users đăng nhập hệ thống bằng Dialup

47. Tạo mới tài khoản nhóm trên domain
 Xác định loại nhóm cần tạo
 Phạm vi hoạt động của nhóm như thế nào?
2/28/2015 47

48. Tạo mới tài khoản nhóm trên domain
 Chọn Server
manager  Tools 
Active Directory
Users and
Computers để mở
công cụ Active
Directory Users and
Computers lên.
 Nhấp phải chuột vào
mục Users, chọn
New/ Group.
2/28/2015 48

49. Tạo mới tài khoản nhóm trên domain
New Object – Group: nhập tên nhóm vào mục Group name, tên
nhóm cho các hệ điều hành trước Windows 2000 tự động sinh, có
thể hiệu chỉnh lại cho phù hợp.
2/28/2015 49

50. Tạo mới tài khoản nhóm trên domain
 Bổ sung các user vào group vừa tạo:
 Kích chuột phải lên tên group, chọn Properties/Members/ Chọn
adds.
 Hộp thoại Select Users, Contacts, Computers, Service Accounts
or Groups, nhập user. Sử dụng Check Names để kiểm tra tính
chính xác của user, Advanced để tìm kiếm và lựa chọn user.
2/28/2015 50

51. Tạo mới tài khoản nhóm trên domain
2/28/2015 51
 Kết quả sau khi bổ sung user vào group. Nếu muốn tiếp tục bổ
sung user lặp lại thao tác trước đó.

52. Tạo mới tài khoản nhóm trên domain
2/28/2015 52
 Xóa một group: Chọn group tương ứng, chọn Delete.
 Chọn Yes để đồng ý.

53. Quản trị OU
 OU là một nhóm tài khoản người dùng, máy tính và
tài nguyên mạng được tạo ra nhằm mục đích dễ dàng
quản lý hơn và ủy quyền cho các quản trị viên địa
phương giải quyết các công việc đơn giản.
 OU cho phép áp đặt các giới hạn phần mềm và giới
hạn phần cứng thông qua các Group Policy.
2/28/2015 53

54. Các bước xây dựng một Organizational Unit
 Server manager  Tools  Active Directory User and
Computer. Kích chuột phải lên tên domain, chọn New 
Organizational Unit
2/28/2015 54

55. Các bước xây dựng một Organizational Unit
 Hộp thoại New-Object – OU: Nhập tên và bấm OK.
2/28/2015 55
Lựa chọn này để bảo vệ
nhóm khi xóa bất thường
Click

56.  Đưa các máy trạm đã gia nhập mạng vào OU vừa tạo
 Server manager/ Tools/ AD User and Computers
2/28/2015 56

57.  Đưa các người dùng cần quản lý vào OU vừa tạo
2/28/2015 57
Các tài khoản người dùng và
máy tính tham gia vào OU

58.  Chỉ ra người/nhóm người sẽ quản lý OU
 Right click OU vừa tạo, chọn Properties, Managed By, nhấp
chuột vào nút Change để chọn người dùng quản lý OU
2/28/2015 58

59. Chính sách hệ thống - System Policy
 Chính sách tài khoản người dùng
 Chính sách cục bộ
 IP Security
2/28/2015 59

60. Chính sách tài khoản người dùng
 Account policy: được dùng để chỉ định các thông số về tài
khoản người dùng khi tiến trình logon xảy ra nhằm giảm thiểu
các mối đe dọa tới tài khoản.
 Cấu hình: Server manager  Tools  Local Security Policy.
2/28/2015 60

61. Chính sách tài khoản người dùng
 Chính sách mật khẩu
 Chính sách khóa tài khoản
 Chính sách Kerberos
2/28/2015 61

62. Chính sách mật khẩu – Password policy
 Đảm bảo an toàn cho mật khẩu cho tài khoản người dùng.
 Cho phép qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp
của mật khẩu…
2/28/2015 62

63. Chính sách mật khẩu – Password policy
2/28/2015 63
 Các lựa chọn mặc định trong chính sách mật khẩu

64. Chính sách khóa tài khoản – Account
Lockout Policy
 Định cách thức và thời điểm khóa tài khoản
 Hạn chế tấn công thông qua hình thức logon từ xa.
 Các thông số cấu hình chính sách khóa tài khoản:
2/28/2015 64

65. Chính sách Kerberos – Kerberos Policy
2/28/2015 65
 Là một nhóm các chính sách bảo mật domain
 Chỉ được dùng ở cấp độ domain

66. Chính sách cục bộ
 Local Policies cho phép thiết lập các chính sách giám sát
các đối tượng (người dùng, tài nguyên dùng chung)
 Cấp quyền hệ thống cho các người dùng và thiết lập các lựa
chọn bảo mật.
 Gồm có
 Chính sách kiểm toán
 Quyền hệ thống của
người dùng
 Các lựa chọn bảo mật
2/28/2015 66

67. Chính sách kiểm toán
 Giám sát và ghi nhận các sự kiện xảy ra trong hệ thống,
trên các đối tượng và các người dùng.
 Các sự kiện an nình này sẽ được gửi cho người quản trị
mạng
 Thiết lập 1 audit policy để:
 Theo dõi sự thành công hay thất bại của sự kiện
 Giảm thiểu sử dụng trái phép các nguồn tài nguyên
 Duy trì hồ sơ về hoạt động
 Security events được lưu trong security logs.
2/28/2015 67

68. Chính sách kiểm toán
 Xem các ghi nhận này thông qua công cụ Event Viewer
2/28/2015 68

69. Chính sách kiểm toán
 Các lựa chọn trong chính sách kiểm toán
2/28/2015 69

70. Quyền hệ thống của người dùng
 Cách cấp quyền hệ thống cho người dùng:
 Gia nhập tài khoản người dùng vào các
nhóm tạo sẵn (built-in) để kế thừa quyền
(Phần User and Group)
 Dùng công cụ User Rights Assignment để
gán từng quyền rời rạc cho người dùng.
2/28/2015 70

71. 2/28/2015 71
Quyền hệ thống của người dùng

72.  Thêm/ bớt quyền người dùng
 Chọn quyền sẽ thay đổi
 Chọn Add User or Group khi
muốn thêm quyền
 Romove khi muốn bớt quyền
2/28/2015 72
Quyền hệ thống của người dùng

73. Danh sách các quyền hệ thống cấp cho người dùng và nhóm:
2/28/2015 73
Quyền hệ thống của người dùng

74. Các lựa chọn bảo mật - Security Options
 Cho phép khai báo thêm các thông số nhằm tăng tính bảo mật
cho hệ thống như: không cho phép hiển thị người dùng đã
logon trước đó hay đổi tên tài khoản người dùng tạo sẵn
(administrator, guest).
2/28/2015 74

75. Các lựa chọn bảo mật - Security Options
 Một số lựa chọn bảo mật thông dụng
2/28/2015 75

76. IP Security (IPSec)
 IP Security (IPSec) là một giao thức hỗ trợ thiết lập các kết
nối an toàn dựa trên IP.
 IPSec hoạt động ở tầng ba (Network) trong mô hình OSI
 Các tác động bảo mật
 Block transmissons: ngăn chặn những gói dữ liệu được truyền
 Encrypt transmissions: mã hóa những gói dữ liệu được truyền
 Sign transmissions: ký tên vào các gói dữ liệu truyền (digitally
signing).
 Permit transmissions: cho phép dữ liệu được truyền qua, dùng để tạo
ra các qui tắc (rule) hạn chế một số điều và không hạn chế một số điều
khác. Ví dụ một qui tắc dạng này “Hãy ngăn chặn tất cả những dữ liệu
truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 443”.
2/28/2015 76

77. IP Security (IPSec)
 Để sử dụng IPSec phải tạo ra các qui tắc (rule)
 IPSec rule = IPSec (filter) + IPSec (actions).
 Các bộ lọc IPSec:
 Có tác dụng thống kê các điều kiện để qui tắc hoạt động.
 Giới hạn tầm tác dụng của các tác động bảo mật .
 Bộ lọc IPSec dựa trên các yếu tố sau:
 Địa chỉ IP, subnet hoặc tên DNS của máy nguồn.
 Địa chỉ IP, subnet hoặc tên DNS của máy đích.
 Theo số hiệu cổng (port) và kiển cổng (TCP, UDP,
ICMP…)
2/28/2015 77

78. Triển khai IPSec
SV tự tìm hiểu
2/28/2015 78

79. Group Policy
 Giới thiệu về Group Policy
 Công cụ GPMC
 Tương tác với GPOs và Starter GPOs
 Group Policy Preferences
2/28/2015 79

80. So sánh giữa System Policy và Group Policy
 GP chỉ xuất hiện trên miền AD, không tồn tại trên
miền NT4.
 Chính sách nhóm làm được nhiều điều hơn chính sách
hệ thống:
 Chính sách nhóm chứa tất cả các chức năng của chính sách
hệ thống.
 Có thể dùng chính sách nhóm để triển khai một phần mềm
cho một hoặc nhiều máy một cách tự động.
 Chính sách nhóm tự động hủy bỏ tác dụng khi được
gỡ bỏ, không giống như các chính sách hệ thống.
2/28/2015 80

81. So sánh giữa System Policy và Group Policy
 Chính sách nhóm được áp dụng thường xuyên hơn chính
sách hệ thống:
 Chính sách hệ thống chỉ được áp dụng khi máy tính đăng
nhập vào mạng.
 Các chính sách nhóm được áp dụng khi bạn bật máy lên.
 Có nhiều mức độ để gán chính sách nhóm cho người từng
nhóm người hoặc từng nhóm đối tượng.
 Chính sách nhóm chỉ áp dụng cho các hệ thống từ
Windows 2000
2/28/2015 81

82. Giới thiệu về Group Policy - GP
 Định nghĩa
 Mục đích
 Các loại chính sách nhóm
 Sự thừa kế
2/28/2015 83

83. Định nghĩa
 Là tập hợp các thông tin cấu hình (configuration
settings)
 Tác động trên một hoặc nhiều đối tượng (users,
computers) trong Active Directory hoặc trên một hệ
thống (local group policy)
2/28/2015 84

84. Các thông tin cấu hình
 Chính sách nhóm cho computers
 Desktop
 Security
 Startup/shutdown scripts
 Chính sách nhóm cho users
 Desktop
 Security
 Logon/logoff scripts
2/28/2015 85

85. 2/28/2015 86

86. Mục đích chính sách nhóm
 Quản lý môi trường làm việc của user trong
site, domain, organization unit hay trong từng
hệ thống
 Đơn giản hóa một số thao tác quản trị
 Quản trị tập trung
2/28/2015 87

87. Chức năng của GP
 Triển khai phần mềm ứng dụng
 Gán các quyền hệ thống cho người dùng
 Giới hạn những ứng dụng mà người dùng được phép thi
hành
 Kiểm soát các thiết lập hệ thống
 Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và
tắt máy
 Đơn giản hóa và hạn chế các chương trình
 Hạn chế tổng quát màn hình Desktop của người dùng
2/28/2015 88

88. Các loại chính sách nhóm
 Các thiết lập chính sách được lưu trên GPO
(Group Policy Object, đối tượng chính sách
nhóm)
 Có 2 dạng GPO
 Local GPO: lưu trên từng máy
 Non local GPO: lưu trên Active Directory
2/28/2015 89

89. Sự thừa kế chính sách nhóm
 Thứ tự thừa kế chính sách nhóm
 Local
 Site
 Domain
 Organizational Unit
 Các thiết lập có tính tích lũy (cumulative)
 Nếu có xung đột thì không thừa kế
 Có thể cấm sự thừa kế (block inheritance) hay buộc thừa
kế (No override)
2/28/2015 90

90. Các GPOs mặc định
 Local:
 Local Group Policy trên mỗi máy
 Trên Active Directory:
 Default Domain Policy:
 Liên kết với domain
 Tác động đến tất cả user và computer trong domain
 Default Domain Controllers Policy:
 Liên kết với Domain Controllers OU
 Chỉ tác động trên các domain controllers
2/28/2015 91

91. Các bước thực hiện
 Dùng công cụ phù hợp với local, non-local GPO
 Tạo GPO
 Thiết lập các thông số
 Có thể liên kết (link) một GPO cho nhiều sites, nhiều
Domains, hay nhiều OUs
 Có thể liên kết (link) nhiều GPOs cho một site, một
Domain, hay một OU
2/28/2015 92

92. Công cụ GPMC
 Giới thiệu GPMC
 Cài đặt GPMC
 Tương tác với GPO
 Tạo một GPO độc lập
 Liên kết GPO vào các đối tượng
 Tạo một GPO liên kết
 Hủy liên kết GPO khỏi các đối tượng
2/28/2015 93

93. Công cụ GPMC
 Tương tác mở rộng với GPO
 Sao lưu GPO
 Phục hồi GPO
 Sao chép GPO
 Import GPO
 Starter GPOs
 Tạo và hiệu chỉnh Starter GPO
 Tạo GPO mới từ Starter GPO
 Group Policy Preferences
2/28/2015 94

94. Giới thiệu GPMC
 Là công cụ quản lý GP đa năng, cho phép tương tác với tất cả
GPO, Windows Management Instrumentation (WMI) filters,
đối tượng liên quan đến GPO như:
 Sao lưu và phục vụ GPO
 Import và sao chép GPO
 Tìm kiếm các GPO
 Group Policy Modeling: tạo môi trường giả lập trước khi triển
khai thực tế các GP
 Group Policy Results
 Starter GPOs: quản lý các Administrative Templates
 Preferences: thực hiện các thiết lập liên quan đến registry, local
account, dịch vụ, file, …
2/28/2015 95

95. Cài đặt GPMC
 Nếu đã cài AD DS, thành phần GPMC sẽ được tự động cài đặt
2/28/2015 96

96. Tương tác với GPO
Tạo một GPO độc lập
 Chú ý:
 Nên tạo các GPO độc lập (unlinked GPO) và triển khai thử
trước khi áp dụng thực tế
 Đảm bảo các GPO hoạt động tốt mới áp dụng (link) trên các
đối tượng (site, domain, OU)
 Các bước tạo GPO độc lập
1. Server manager/ Tools/ Group Policy Management
2/28/2015 97

97. 2/28/2015 98
Kích chuột phải lên Group Policy Objects, chọn New
Nhập tên của GPO
Bấm OK
Nhập tên GPO

98. 2/28/2015 99
Kích chuột phải lên GPO vừa tạo, chọn Edit Computer Configuration
Hiệu chỉnh GPO
User Configuration

99. 2/28/2015
100
Lựa chọn mục cần hiệu chỉnh Kích đúp lên chính sách cần hiệu chỉnh
Hiệu chỉnh giá trị trong hộp Properties
Bấm Apply, tiếp OK để kết thúc
Chọn Enable

100. Thực hiện tương tự nếu muốn hiệu chỉnh các
chính sách khác.
2/28/2015 101

101. Tương tác với GPO
Liên kết GPO vào các đối tượng
 Sau khi tạo GPO độc lập, cần thực hiện liên kết GPO vào các
đối tượng trên AD như site, domain hoặc OU
 Mỗi GPO có thể liên kết đến nhiều đối tượng trên AD
 Các bước thực hiện
1. Tạo các đối tượng trên AD như OU (Quantrimang đã tạo từ
buổi trước)
2. Liên kết GPO vào OU theo 2 cách
2/28/2015 102

102. Cách 1
2/28/2015 103
Kích chuột phải lên OU (site hoặc domain)
Chọn Link an Existing GPO… Chọn tên domain
Chọn GPO tương ứng
Chọn OK để kết thúc

103. Cách 2
2/28/2015 104
 Chọn GPO đồng thời giữ và rê chuột đến OU muốn liên kết.
 Chọn OKđể hoàn thành thao tác.

104. Tạo một GPO liên kết
2/28/2015 105
Tương tác với GPO
Kích chuột phải lên OU (site hoặc domain)
Chọn Create a GPO in this domain, and Link it here
Nhập tên của GPO
Nhấn OK để kết thúc
Chỉ tạo trực tiếp GPO liên kết khi đã có kinh nghiệm triển
khai GPO

105. 2/28/2015 106
GPO mới được tạo ra, đồng thời liên kết đến đối tượng (OU) đã tương tác

106. Hủy liên kết GPO khỏi các đối tượng
Mở cửa sổ GPMC, chọn GPO cần hủy liên kết
2/28/2015 107
Chọn GPO cần hủy liên kết

107. Hủy liên kết GPO khỏi các đối tượng
2/28/2015 108
Chọn tab Scope
Kích chuột phải lên đối tượng
cần hủy liên kết, Chọn Delete Link
Chọn OK để hủy liên kết

108. Hủy liên kết GPO khỏi các đối tượng
 Chú ý: Thao tác vừa thực hiện chỉ có tác dụng hủy liên kết từ
GPO đến các đối tượng trong AD chứ không xóa các GPO
2/28/2015 109
Kích chuột phải lên GPO cần xóa
Chọn Delete
Chọn Yes để xóa và hủy liên kết
trên domain cntt.edu.vn

109. Tương tác mở rộng với GPO
 Công cụ GPMC cho phép dễ dàng thực hiện các thao tác
với các GPO đang được triển khai:
 Sao lưu
 Phục hồi
 Sao chép
 Import
Giúp tiết kiệm thời gian, tăng tính chính xác và ổn định của
hệ thống
2/28/2015 110

110. Sao lưu GPO
Sao lưu tất cả các GPO
2/28/2015 111
Mở GPMC, kích chuột phải lên GPOs
Chọn Back Up All…

111. Sao lưu GPO
Sao lưu tất cả các GPO
2/28/2015 112Back up để thực hiện sao lưu
Chọn nơi lưu trữ GPOs

112. Sao lưu GPO
Sao lưu tất cả các GPO
2/28/2015 113
Kết quả sao lưu
Bấm OK để hoàn thành
tiến trình sao lưu GPO

113. Sao lưu GPO
Sao lưu một GPO cụ thể:
 Thao tác tương tự với sao lưu toàn bộ các GPO
 Khác: Chỉ lựa chọn GPO cần sao lưu
2/28/2015 114

114. Quản lý các GPO sao lưu
 Sử dụng chức năng Manage Backups
2/28/2015 115
Mở GPMC, kích chuột phải lên GPOs.
Chọn Manage Backups…

115. Quản lý các GPO sao lưu
 Sử dụng chức năng Manage Backups
2/28/2015
Nhập đường dẫn
đến thư mục lưu
trữ GPOs đã sao
lưu
Danh sách các
GPOs
Hiển thị các GPO được sao
lưu gần với thời điểm gần
đây nhất
Xóa một GPO
đã sao lưu
Xem chi tiết cấu hình
của mỗi GPO trong
danh sách
116

116. Phục hồi GPO
2/28/2015 117
Mở GPMC, kích chuột phải lên GPO
cần phục hồi. Chọn Restore from Backup…

117. Phục hồi GPO
2/28/2015 118
Chỉ định thư mục chứa
GPO cần phục hồi
Bấm Next để
tiếp tục

118. Phục hồi GPO
2/28/2015 119
Chọn GPO cần phục hồi
Bấm Finish để bắt đầu
tiến trình phục hồi

119. Phục hồi GPO đã bị xóa
2/28/2015 120
Mở GPMC, kích chuột phải lên GPOs
Chọn Manage Backups…

120. Phục hồi GPO đã bị xóa
2/28/2015 121
Chọn GPO cần phục hồi
Bấm OK để thực
hiện phục hồi GPO

121. Sao chép GPO
 Phục hồi GPO chỉ được thực hiện trên cùng domain với
GPO đã sao lưu.
 Nhân bản GPO trên domain khác nhau=> sử dụng chức
năng copy hoặc import
 GPMC cho phép sao chép GPO trên cùng domain hoặc
khác domain.
2/28/2015 122

122. Sao chép GPO
2/28/2015 123
Mở GPMC, kích chuột phải lên
GPO cần sao chép,
Chọn Copy
Nếu trên cùng domain,
rightclick lên mục GPOs,
chọn Paste

123. Sao chép GPO
2/28/2015 124
Thiết lập các quyền cho GPO vừa
sao chép như 1 GPO mới
Hệ thống giữ lại các quyền
đã tồn tại trên GPO
Kết quả sao chép GPO
Chú ý: Nếu sao
chép GPO đến một
domain khác, phải
rightclick lên GPOs
của domain đó

124. Import GPO
 Cho phép áp dụng các thiết lập (policy settings) của một
GPO đã sao lưu (backed-up GPO) vào GPO đang tồn tại
trên hệ thống (destination GPO)
 Không làm thay dổi thiết lập trên Links hoặc Security
Filtering của GPO đang tồn tại
2/28/2015 125

125. Import GPO
2/28/2015 126
Mở GPMC, kích chuột phải lên GPO
muốn import. Chọn Import Settings…
Chọn Next để tiếp tục

126. Import GPO
2/28/2015 127
Chọn Backup để sao
lưu trước khi import
Chọn thư mục chứa
GPO sẽ import
Chọn Next để tiếp tục

127. 2/28/2015 128
Import GPO
Chọn GPO muốn import tại
danh sách Backed up GPOs
Hệ thống tiến hành quét các
thiết lập trên GPO sắp import
Chọn Next để tiếp tục

128. 2/28/2015 129
Import GPO
Hiển thị các
thông
tin đã lựa chọn
Bắt đầu tiến
trình import
GPO
Kết quả tiến
trình import
Bấm OK để
kết thúc

129. Starter GPOs
 Cho phép quản lý các template dùng để tạo ra các GPO
 Chỉ hỗ trợ các thiết lập trên Administrative Templates: tạo
lập, hiệu chỉnh, import, export,…
2/28/2015 130

130. Tạo và hiệu chỉnh Starter GPO
2/28/2015 131
Mở GPMC, chọn mục Starter GPOs,
Chọn Create Starter GPOs Folder để tạo thư mục lưu trữ các Starter GPO
Kích chuột phải vào
Starter GPO, chọn New
Nhập tên của Starter GPO
Bấm OK để tiếp tục

131. Tạo và hiệu chỉnh Starter GPO
2/28/2015 132
Rightclick vào Starter GPO,
chọn Edit để hiệu chỉnh

132. Tạo và hiệu chỉnh Starter GPO
2/28/2015 133
Mở rộng Administrative
Template
Chọn mục cần
hiệu chỉnh
Thay đổi giá trị
trong hộp thoại
Propeties
Bấm OK để
hoàn thành

133. Hiệu chỉnh Starter GPO
 Lặp lại thao tác trên để hiệu chỉnh chính sách khác
2/28/2015 134

134. Tạo GPO mới từ Starter GPO
Cách 1
2/28/2015 135
Nhập tên GPO
Starter GPO xuất hiện Bấm OK
Kích chuột phải lên Starter GPO
Chọn New GPO From Starter GPO

135. Tạo GPO mới từ Starter GPO
Cách 2
2/28/2015 136
Kích chuột phải lên GPOs
Chọn New
Nhập tên GPO
Chọn Starter
GPO tương ứng
Chọn OK để
kết thúc

136. Group Policy Preferences
SV tự tìm hiểu
2/28/2015 137

137. Một số ví dụ
2/28/2015 138

138. Ví dụ 1: Cho phép domain users
đăng nhập tại server
2/28/2015 139

139. Ví dụ 1: Cho phép domain users
đăng nhập tại server
 Group Policy Management
 Domain Controllers Container
 Rightclick Default Domain Controller Policy
 Edit
 Computer Configuration
 Windows Settings
 Security settings
 Local policies
 User Rights Assignment
 Logon locally => thêm nhóm Domain Users
2/28/2015 140

140. Ví dụ 2: Loại bỏ Run khỏi Start
menu và Control Panel khỏi Settings
 Active Directory Users and Computers
 Tạo GPO cho OU
 Rightclick GPO - Edit
 User Configuration
 Administrative Template
 Start Menu & Task bar:
 Remove Run menu from Start Menu: Enabled
 Control Panel
 Prohibit access to the Control Panel: Enabled
2/28/2015 141

141. Ví dụ 3: Di chuyển folder My Documents
 Rightclick GPO - Edit
 User Configuration
 Windows Settings
 Folder Redirection
 My Documents - Properties
 Target:
 Basic - Redirect everyone’s folder to the same location
 Target folder location:
 Redirect to the user’s home folder
2/28/2015 142

142. Ví dụ 3: Di chuyển folder My Documents
2/28/2015 143

143. Ví dụ 4: Hạn chế chức năng của
Internet Explorer
 Mục đích: người dùng máy trạm không được phép
thay đổi bất kì thông số nào trong Tab Security,
Connection và Advanced trong hộp thoại Internet
Options của công cụ Internet Explorer.
2/28/2015 144

144. Ví dụ 4: Hạn chế chức năng của
Internet Explorer
Cách thức thực hiện
 Group Policy Object Editor
 User Configuration
 Administrative Templates
 Windows Components
 Internet Explorer
 Internet Control Panel
 Disable the Connection page - Enable
 Disable the Security page – Enable
 Disable the Advanced page – Enable
2/28/2015 145

145. Ví dụ 4: Hạn chế chức năng của
Internet Explorer
2/28/2015 146

146. Ví dụ 5: Chỉ cho phép một số
ứng dụng được thi hành
 Group Policy Object Editor
 User Configuration
 Administrative Templates
 System.
 Run only allowed windows applications
 Show: để chỉ định các phần mềm được phép thi hành
2/28/2015 147

147. Ví dụ 5: Chỉ cho phép một số
ứng dụng được thi hành
2/28/2015 148

148. Ví dụ 5: Chỉ cho phép một số
ứng dụng được thi hành
2/28/2015 149
 Chỉ ngăn được các chương trình chạy bởi tiến trình
Windows Explorer
 Các chương trình chạy từ RUN như CMD.EXE hay
MSPaint.EXE không bị ảnh hưởng
 Xem tab Explain để biết chi tiết

149.  Có 3 dạng phân phối phần mềm từ group policy
 Assigning Software - Gán phần mềm
 Gán phần mềm cho users hay computers
 Phần mềm được cài đặt khi đăng nhập
 Publishing Software - Công bố phần mềm
 Công bố phần mềm cho users
 Phần mềm được hiển thị từ hộp thoại Add or Remove
Programs
 User thực hiện cài đặt
 Advanced Software - Cài đặt nâng cao
 Cho phép người dùng cài đặt thêm một số tùy chọn
2/28/2015 150
Ví dụ 6: Cài đặt phần mềm

150.  Tạo điểm phân phối (Distribution point)
 Tạo share folder
 Sao chép cài đặt phần mềm dạng *.MSI
 Tạo Group Policy Object
2/28/2015 151
Các bước cài đặt phần mềm từ
group policy

151. Các bước cài đặt phần mềm từ
group policy
 Gán phần mềm (Assign a Package)
 User Configuration
 Software Settings
 Software Installation
 New _ Package _ Assigned
 Package được cài đặt khi client computer khởi
động
2/28/2015 152

152.  Công bố phần mềm (Publish a Package)
 User Configuration
 Software Settings
 Software Installation
 New _ Package _ Published
 Package được hiển thị tại máy trạm:
 Add or Remove Programs/ Add New Programs
 Add programs from your network
 Package được cài đặt khi chọn Add
2/28/2015 153
Các bước cài đặt phần mềm từ
group policy

153. Các bước cài đặt phần mềm từ
group policy
 Cài lại phần mềm (Redeploy a Package)
 User/Computer Configuration
 Software Settings
 Software Installation
 Chọn package
 All Tasks _ Redeploy application
2/28/2015 154

154. Gỡ bỏ phần mềm (Remove a Package)
 User/Computer Configuration
 Software Settings
 Software Installation
 Chọn package
 All Tasks _ Remove
 Chọn một trong các tùy chọn:
 Immediate uninstall the software from users and
computers
 Allow users to continue to use the software but prevent new
installation
2/28/2015 155