2. Nội dung chính
2/28/2015 2
Quản trị người dùng và nhóm người dùng
Quản trị OU
Chính sách (Group Policy, System Policy)
3. Quản lý User
Tài khoản người dùng - user account :
Là một đối tượng quan trọng đại diện cho người dùng
Phân biệt với nhau thông qua chuỗi nhận dạng username
User account:
Dùng để user đăng nhập vào máy hay domain
Công dụng:
Authentication – Xác thực
Authorization – Cấp quyền
Được cấp quyền truy xuất tài nguyên
Auditing – Kiểm tra
Theo dõi việc truy xuất tài nguyên
2/28/2015 3
4. Tài khoản người dùng cục bộ - local user account
Được tạo, lưu và chỉ được phép logon trên máy cục bộ.
Truy xuất các tài nguyên trên máy tính cục bộ.
Được tạo với công cụ Local Users and Group trong Computer
Management (COMPMGMT.MSC).
Các tài khoản cục bộ (stand-alone server, member server, các máy
trạm) được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security
Accounts Manager) trong thư mục Windowssystem32config.
2/28/2015 4
5. Tài khoản người dùng miền - domain user account
Được định nghĩa trên Active Directory và được phép đăng nhập
(logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng.
Được quản lý tập trung
Tài khoản người dùng miền được tạo bằng công cụ Active Directory
Users and Computer (DSA.MSC).
Tài khoản người dùng miền chứa trong tập tin NTDS.DIT, theo mặc
định thì tập tin này chứa trong thư mục WindowsNTDS.
2/28/2015 5
6. Các yêu cầu đối với tài khoản người dùng
Mỗi username phải từ 1 đến 20 ký tự
Mỗi username là chuỗi duy nhất của mỗi người dùng tất cả tên
của người dùng và nhóm không được trùng nhau.
Username không chứa các ký tự sau: “ / [ ] : ; | = , + * ? < >
Username có thể chứa các ký tự đặc biệt: ., khoảng trắng, -, _
Nên tránh các khoảng trắng vì những tên như thế phải đặt trong
dấu ngoặc khi dùng các kịch bản hay dòng lệnh.
2/28/2015 6
9. Công cụ quản lý tài khoản cục bộ
Tổ chức và quản lý người dùng cục bộ bằng công cụ Local
Users and Groups, cho phép xóa, sửa các tài khoản người
dùng và thay đổi mật mã.
Phương thức truy cập đến công cụ Local Users and Groups:
Dùng như một MMC (Microsoft Management Console) snap-in.
Dùng thông qua công cụ Computer Management.
Khởi động Computer Management
Rightclick My Computer / Manage/ System Tools/ Local Users and
Groups
2/28/2015 9
10. Công cụ quản lý tài khoản cục bộ
Công cụ Computer Management
2/28/2015 10
11. Các thao tác cơ bản trên tài khoản cục bộ
Tạo tài khoản mới
Xóa tài khoản
Khóa tài khoản
Đổi tên tài khoản
Thay đổi mật khẩu
2/28/2015 11
12. Tạo tài khoản mới
Chọn Local Users and Groups, rightclick Users/ New User,
Trong hộp thoại New User nhập các thông tin cần thiết vào,
riêng mục Username là bắt buộc phải có.
2/28/2015 12
13. Xóa tài khoản
Nên xóa tài khoản người dùng khi chắc tài khoản này không bao giờ cần
dùng lại nữa.
Thực hiện chọn Local Users and Groups, chọn tài khoản người dùng cần
xóa, nhấp phải chuột và chọn Delete hoặc vào menu Action Delete.
2/28/2015 13
14. Khóa một tài khoản
Khi một tài khoản không
sử dụng trong thời gian
dài thì nên khóa lại vì lý
do bảo mật và an toàn hệ
thống.
Trong công cụ Local
Users and Groups , nháy
kép vào tài khoản cần
khóa, chọn Properties /
Tab General/ Account is
disabled.
2/28/2015 14
15. Đổi tên tài khoản
Có thể đổi tên bất kỳ một tài khoản người dùng
Có thể điều chỉnh các thông tin của tài khoản người dùng.
Ưu điểm: Khi thay đổi tên người dùng thì SID của tài khoản
vẫn không thay đổi.
Muốn thay đổi tên tài khoản người dùng: mở công cụ Local
Users and Groups, chọn tài khoản người dùng cần thay đổi
tên, nhấp phải chuột và chọn Rename.
2/28/2015 15
16. Thay đổi mật khẩu
Muốn đổi mật mã của người dùng mở công cụ Local
Users and Groups:
Chọn tài khoản người dùng cần thay đổi mật mã
Nhấp phải chuột và chọn Reset password.
2/28/2015 16
17. Thiết lập tính chất của local account
Các tính chất chính:
Member of: chọn nhóm cho user làm thành viên
Profile: Các thông tin về home folder, logon script,…
2/28/2015 17
18. Built-in local user account
Được tạo tự động
Các users
Administrator: có toàn quyền
Guest: Dùng cho user không thường xuyên đăng nhập vào
máy
…
2/28/2015 18
20. Tạo mới tài khoản người dùng
Dùng công cụ AD User and
Computers trong
Administrative Tools trên DC
để tạo các tài khoản người dùng
miền
Các bước tạo tài khoản người
dùng:
Tools / AD Users and
Computers
Trong cửa sổ AD Users and
Computers, nhấp phải chuột
vào mục Users, chọn New
User
2/28/2015 20
21. Tạo mới tài khoản người dùng
Trong hộp thoại New Object-User,
nhập tên mô tả người dùng, tên tài
khoản logon vào mạng.
User logon name: giá trị bắt buộc
phải và là chuỗi duy nhất cho một tài
khoản người dùng.
Chọn Next để tiếp tục.
2/28/2015 21
22. Tạo mới tài khoản người dùng
Hộp thoại cho phép :
Nhập vào mật khẩu
(password) của tài khoản
người dùng
Đánh dấu vào các lựa
chọn liên quan đến tài
khoản như: cho phép đổi
mật khẩu, yêu cầu phải
đổi mật khẩu lần đăng
nhập đầu tiên hay khóa tài
khoản.
2/28/2015 22
23. Tạo mới tài khoản người dùng
Hiển thị các thông tin đã cấu hình cho người dùng. Chọn Finish để hoàn
thành, Back để chỉnh sửa lại các thông tin nếu cần.
2/28/2015 23
24. Các thuộc tính của tài khoản người dùng
Quản lý các thuộc tính của các tài khoản bằng công cụ Active
Directory Users and Computers:
Server manager Tools Active Directory Users and
Computers
Chọn thư mục Users và nhấp đôi chuột vào tài khoản người dùng
cần khảo sát.
Hộp thoại Properties xuất hiện, trong hộp thoại này chứa 13 Tab
Ngoài ra có thể gom nhóm (dùng hai phím Shift, Ctrl) và hiệu
chỉnh thông tin của nhiều tài khoản người dùng cùng một lúc.
2/28/2015 24
25. Các thông tin mở rộng của người dùng
Tab General chứa các
thông tin chung của
người dùng
Có thể nhập thêm một
số thông tin như: số
điện thoại, địa chỉ mail
và địa chỉ trang Web cá
nhân…
2/28/2015 25
26. Tab Account
Cho phép:
Khai báo lại username
Quy định giờ logon vào mạng
cho người dùng
Quy định máy trạm mà người
dùng có thể sử dụng để vào
mạng,
Quy định thời điểm hết hạn của
tài khoản…
2/28/2015 26
Click
27. Tab Account
Logon to: chỉ định máy tính nào User vừa tạo được phép
sử dụng.
2/28/2015 27
Click
Thêm danh sách các máy
được phép sử dụng
28. Tab Account
Logon Hours for: cho phép chọn khoảng thời gian để truy
cập.
2/28/2015 28
Chọn khoảng thời gian
cho phép user truy cập
29. Tab Profile
Khai báo đường dẫn đến
Profile
Khai báo tập tin logon
script: tự động thi hành
khi đăng nhập hay khai
báo home folder.
2/28/2015 29
30. Tab Profile
Profile chứa các qui định về màn hình Desktop, nội dung của
menu Start, kiểu cách phối màu sắc, vị trí sắp xếp các icon,
biểu tượng chuột…
User profile tạo và duy trì tình trạng desktop (desktop
settings) của từng user
User profile có thể được lưu trên server, được dùng từ các máy
client
Có thể tạo user profile dùng cho nhiều user
Có thể không cho phép user thay đổi tình trạng desktop
2/28/2015 30
31. Các dạng user profile
Local profile
Lưu trên đĩa địa phương
Cho phép thay đổi
Roaming profile
Lưu trên server
Cho phép user cập nhật các thay đổi
Mandatory profile
Lưu trên server
Chỉ có administrator có thể thay đổi
2/28/2015 31
32. Tab Profile
Khai báo logon script:
Sử dụng công cụ Active Directory User and Computers
Khai báo thông qua Group Policy
2/28/2015 32
33. Tab Member Of
Tab Member Of: xem và cấu hình tài khoản người dùng hiện tại.
Một tài khoản người dùng có thể là thành viên của nhiều nhóm khác
nhau và nó được thừa hưởng quyền của tất cả các nhóm này.
Muốn gia nhập vào nhóm nhấp chuột vào nút Add, hộp thoại chọn
nhóm sẽ hiện ra.
2/28/2015 33
34. Quản lý groups
Các loại group
Phạm vi tác dụng của group
Tạo group trên domain
2/28/2015 34
35. Tài khoản nhóm – group account
Là một đối tượng đại diện cho một nhóm người nào đó, dùng cho
việc quản lý chung các đối tượng người dùng.
Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp
quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in.
Cấp quyền truy xuất cho group account sẽ tác động trên các user
thành viên.
Chú ý: tài khoản người dùng có thể đăng nhập vào mạng nhưng tài
khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý.
2/28/2015 35
36. Các kiểu nhóm
Nhóm bảo mật (security group)
Dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập
(permission)
Các nhóm bảo mật đều được chỉ định các SID (Security ID)
Nhóm phân phối (distribution group)
Không thể gán quyền
Nhóm phi bảo mật, không có SID.
Được dùng bởi các phần mềm dịch vụ: phân phối thư (Email)
hoặc các tin nhắn (message) như dịch vụ MS Exchange.
2/28/2015 36
37. Phạm vi nhóm
Dựa vào phạm vi, nhóm được chia thành:
Nhóm toàn cục (Global group)
Nhóm phổ quát (Universal group)
Nhóm cục bộ miền (Domain local group)
Nhóm cục bộ (Local group)
2/28/2015 37
38. Phân loại trong nhóm bảo mật
Nhóm toàn cục - Global group: là loại nhóm nằm trong AD
và được tạo trên các DC:
Dùng để cấp phát những quyền hệ thống và quyền truy cập
Một nhóm global có thể đặt vào trong một nhóm local của các
server thành viên trong miền.
Cách dùng:
Áp dụng cho các đối tượng người dùng và máy tính đảm nhận nhiệm vụ
bảo trì hệ thống.
Nhóm người dùng có những yêu cầu truy cập mạng tương tự
Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng
công việc của Global Catalog.
2/28/2015 38
39. Phân loại trong nhóm bảo mật
Nhóm phổ quát – Universal group
Thành viên:
Nhóm toàn cục của bất cứ domain nào trong rừng
Tài khoản người dùng và máy tính của bất kì domain nào
trong rừng
Quyền
Có thể gán quyền trong bất cứ domain nào trong rừng
hoặc trong các domain có quan hệ tin cậy với nhau
Cách dùng:
Sử dụng để lồng các nhóm vào nhau trong domain
2/28/2015 39
40. Phân loại trong nhóm bảo mật
Nhóm cục bộ miền - Domain local group: là local group trên máy DC.
Thành viên:
Tài khoản từ bất cứ domain nào trong rừng
Nhóm toàn cục từ bất cứ domain nào trong rừng
Nhóm phổ quát từ bất cứ domain nào trong rừng
Quyền:
Gán quyền chỉ trong cùng domain với nhóm cục bộ
Cách dùng:
Xác định và quản lý truy cập tài nguyên trên domain
Các DC có cơ sở dữ liệu AD chung và được sao chép đồng bộ với nhau local group
trên một Domain Controller này thì cũng sẽ có mặt trên các Domain Controller anh
em, local group này có mặt trên miền nhóm cục bộ miền.
Các nhóm trong mục Built-in của Active Directory là các domain local.
2/28/2015 40
41. Phân loại trong nhóm bảo mật
Local group (nhóm cục bộ): ý nghĩa và phạm vi hoạt đông ngay
trên máy cục bộ .
Thành viên
Người dùng cục bộ
Người dùng domain
Nhóm domain
Quyền
Nhóm cục bộ chỉ gán trên máy tính cục bộ
Chú ý: Không thể tạo nhóm cục bộ trên Domain Controller.
2/28/2015 41
42. Quy tắc gia nhập nhóm
Tất cả các nhóm Domain local, Global, Universal đều có thể đặt
vào trong nhóm Local.
Tất cả các nhóm Domain local, Global, Universal đều có thể đặt
vào trong chính loại nhóm của mình.
Nhóm Global và Universal có thể đặt vào trong nhóm Domain
local.
Nhóm Global có thể đặt vào trong nhóm Universal.
2/28/2015 42
43. Các quy tắc đặt tên nhóm
Cơ chế đặt tên - Tránh tên quá dài
- Tránh tên phổ biến
Sử dụng tên mô tả đúng
chức năng
- Sales
- Marketing
- Executives
Sử dụng tên mô tả vị trí
địa lý
- Nước
- Bang
- Thành phố
Sử dụng tên dự án Nếu nhóm thiết lập cho một dự án
thì đặt tên nhóm theo dự án
2/28/2015 43
44. Các tài khoản tạo sẵn
2/28/2015 44
Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản
người dùng mà khi ta cài đặt Windows Server thì mặc định
được tạo ra.
Là tài khoản hệ thống:
Không có quyền xóa
Có quyền đổi tên
Tất cả các tài khoản người dùng tạo sẵn đều nằm trong
Container Users của công cụ Active Directory User and
Computer.
45. Tài khoản người dùng tạo sẵn
Tài khoản nhóm Domain Local tạo sẵn
Tài khoản nhóm Global và Universal tạo sẵn
SV tự tìm hiểu
2/28/2015 45
46. Tài khoản tạo sẵn đặc biệt
2/28/2015 46
Interactive Đại diện cho users sử dụng máy tại chỗ
Network Users đang kết nối mạng đến 1 máytính khác
Everyone Tất cả mọi người dùng
System Đại diện cho hệ điều hành
Creator owner Users tạo ra và sở hữu tài nguyên nào đó
Authenticated user Users đã được hệ thống xác thực
Anonymous logon Users đăng nhập nặc danh vào hệ thống ( sử dụng
FTP…)
Service Tài khoản đăng nhập với tư cách 1 dịch vụ
Dialup Users đăng nhập hệ thống bằng Dialup
47. Tạo mới tài khoản nhóm trên domain
Xác định loại nhóm cần tạo
Phạm vi hoạt động của nhóm như thế nào?
2/28/2015 47
48. Tạo mới tài khoản nhóm trên domain
Chọn Server
manager Tools
Active Directory
Users and
Computers để mở
công cụ Active
Directory Users and
Computers lên.
Nhấp phải chuột vào
mục Users, chọn
New/ Group.
2/28/2015 48
49. Tạo mới tài khoản nhóm trên domain
New Object – Group: nhập tên nhóm vào mục Group name, tên
nhóm cho các hệ điều hành trước Windows 2000 tự động sinh, có
thể hiệu chỉnh lại cho phù hợp.
2/28/2015 49
50. Tạo mới tài khoản nhóm trên domain
Bổ sung các user vào group vừa tạo:
Kích chuột phải lên tên group, chọn Properties/Members/ Chọn
adds.
Hộp thoại Select Users, Contacts, Computers, Service Accounts
or Groups, nhập user. Sử dụng Check Names để kiểm tra tính
chính xác của user, Advanced để tìm kiếm và lựa chọn user.
2/28/2015 50
51. Tạo mới tài khoản nhóm trên domain
2/28/2015 51
Kết quả sau khi bổ sung user vào group. Nếu muốn tiếp tục bổ
sung user lặp lại thao tác trước đó.
52. Tạo mới tài khoản nhóm trên domain
2/28/2015 52
Xóa một group: Chọn group tương ứng, chọn Delete.
Chọn Yes để đồng ý.
53. Quản trị OU
OU là một nhóm tài khoản người dùng, máy tính và
tài nguyên mạng được tạo ra nhằm mục đích dễ dàng
quản lý hơn và ủy quyền cho các quản trị viên địa
phương giải quyết các công việc đơn giản.
OU cho phép áp đặt các giới hạn phần mềm và giới
hạn phần cứng thông qua các Group Policy.
2/28/2015 53
54. Các bước xây dựng một Organizational Unit
Server manager Tools Active Directory User and
Computer. Kích chuột phải lên tên domain, chọn New
Organizational Unit
2/28/2015 54
55. Các bước xây dựng một Organizational Unit
Hộp thoại New-Object – OU: Nhập tên và bấm OK.
2/28/2015 55
Lựa chọn này để bảo vệ
nhóm khi xóa bất thường
Click
56. Đưa các máy trạm đã gia nhập mạng vào OU vừa tạo
Server manager/ Tools/ AD User and Computers
2/28/2015 56
57. Đưa các người dùng cần quản lý vào OU vừa tạo
2/28/2015 57
Các tài khoản người dùng và
máy tính tham gia vào OU
58. Chỉ ra người/nhóm người sẽ quản lý OU
Right click OU vừa tạo, chọn Properties, Managed By, nhấp
chuột vào nút Change để chọn người dùng quản lý OU
2/28/2015 58
59. Chính sách hệ thống - System Policy
Chính sách tài khoản người dùng
Chính sách cục bộ
IP Security
2/28/2015 59
60. Chính sách tài khoản người dùng
Account policy: được dùng để chỉ định các thông số về tài
khoản người dùng khi tiến trình logon xảy ra nhằm giảm thiểu
các mối đe dọa tới tài khoản.
Cấu hình: Server manager Tools Local Security Policy.
2/28/2015 60
61. Chính sách tài khoản người dùng
Chính sách mật khẩu
Chính sách khóa tài khoản
Chính sách Kerberos
2/28/2015 61
62. Chính sách mật khẩu – Password policy
Đảm bảo an toàn cho mật khẩu cho tài khoản người dùng.
Cho phép qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp
của mật khẩu…
2/28/2015 62
63. Chính sách mật khẩu – Password policy
2/28/2015 63
Các lựa chọn mặc định trong chính sách mật khẩu
64. Chính sách khóa tài khoản – Account
Lockout Policy
Định cách thức và thời điểm khóa tài khoản
Hạn chế tấn công thông qua hình thức logon từ xa.
Các thông số cấu hình chính sách khóa tài khoản:
2/28/2015 64
65. Chính sách Kerberos – Kerberos Policy
2/28/2015 65
Là một nhóm các chính sách bảo mật domain
Chỉ được dùng ở cấp độ domain
66. Chính sách cục bộ
Local Policies cho phép thiết lập các chính sách giám sát
các đối tượng (người dùng, tài nguyên dùng chung)
Cấp quyền hệ thống cho các người dùng và thiết lập các lựa
chọn bảo mật.
Gồm có
Chính sách kiểm toán
Quyền hệ thống của
người dùng
Các lựa chọn bảo mật
2/28/2015 66
67. Chính sách kiểm toán
Giám sát và ghi nhận các sự kiện xảy ra trong hệ thống,
trên các đối tượng và các người dùng.
Các sự kiện an nình này sẽ được gửi cho người quản trị
mạng
Thiết lập 1 audit policy để:
Theo dõi sự thành công hay thất bại của sự kiện
Giảm thiểu sử dụng trái phép các nguồn tài nguyên
Duy trì hồ sơ về hoạt động
Security events được lưu trong security logs.
2/28/2015 67
68. Chính sách kiểm toán
Xem các ghi nhận này thông qua công cụ Event Viewer
2/28/2015 68
69. Chính sách kiểm toán
Các lựa chọn trong chính sách kiểm toán
2/28/2015 69
70. Quyền hệ thống của người dùng
Cách cấp quyền hệ thống cho người dùng:
Gia nhập tài khoản người dùng vào các
nhóm tạo sẵn (built-in) để kế thừa quyền
(Phần User and Group)
Dùng công cụ User Rights Assignment để
gán từng quyền rời rạc cho người dùng.
2/28/2015 70
72. Thêm/ bớt quyền người dùng
Chọn quyền sẽ thay đổi
Chọn Add User or Group khi
muốn thêm quyền
Romove khi muốn bớt quyền
2/28/2015 72
Quyền hệ thống của người dùng
73. Danh sách các quyền hệ thống cấp cho người dùng và nhóm:
2/28/2015 73
Quyền hệ thống của người dùng
74. Các lựa chọn bảo mật - Security Options
Cho phép khai báo thêm các thông số nhằm tăng tính bảo mật
cho hệ thống như: không cho phép hiển thị người dùng đã
logon trước đó hay đổi tên tài khoản người dùng tạo sẵn
(administrator, guest).
2/28/2015 74
75. Các lựa chọn bảo mật - Security Options
Một số lựa chọn bảo mật thông dụng
2/28/2015 75
76. IP Security (IPSec)
IP Security (IPSec) là một giao thức hỗ trợ thiết lập các kết
nối an toàn dựa trên IP.
IPSec hoạt động ở tầng ba (Network) trong mô hình OSI
Các tác động bảo mật
Block transmissons: ngăn chặn những gói dữ liệu được truyền
Encrypt transmissions: mã hóa những gói dữ liệu được truyền
Sign transmissions: ký tên vào các gói dữ liệu truyền (digitally
signing).
Permit transmissions: cho phép dữ liệu được truyền qua, dùng để tạo
ra các qui tắc (rule) hạn chế một số điều và không hạn chế một số điều
khác. Ví dụ một qui tắc dạng này “Hãy ngăn chặn tất cả những dữ liệu
truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 443”.
2/28/2015 76
77. IP Security (IPSec)
Để sử dụng IPSec phải tạo ra các qui tắc (rule)
IPSec rule = IPSec (filter) + IPSec (actions).
Các bộ lọc IPSec:
Có tác dụng thống kê các điều kiện để qui tắc hoạt động.
Giới hạn tầm tác dụng của các tác động bảo mật .
Bộ lọc IPSec dựa trên các yếu tố sau:
Địa chỉ IP, subnet hoặc tên DNS của máy nguồn.
Địa chỉ IP, subnet hoặc tên DNS của máy đích.
Theo số hiệu cổng (port) và kiển cổng (TCP, UDP,
ICMP…)
2/28/2015 77
79. Group Policy
Giới thiệu về Group Policy
Công cụ GPMC
Tương tác với GPOs và Starter GPOs
Group Policy Preferences
2/28/2015 79
80. So sánh giữa System Policy và Group Policy
GP chỉ xuất hiện trên miền AD, không tồn tại trên
miền NT4.
Chính sách nhóm làm được nhiều điều hơn chính sách
hệ thống:
Chính sách nhóm chứa tất cả các chức năng của chính sách
hệ thống.
Có thể dùng chính sách nhóm để triển khai một phần mềm
cho một hoặc nhiều máy một cách tự động.
Chính sách nhóm tự động hủy bỏ tác dụng khi được
gỡ bỏ, không giống như các chính sách hệ thống.
2/28/2015 80
81. So sánh giữa System Policy và Group Policy
Chính sách nhóm được áp dụng thường xuyên hơn chính
sách hệ thống:
Chính sách hệ thống chỉ được áp dụng khi máy tính đăng
nhập vào mạng.
Các chính sách nhóm được áp dụng khi bạn bật máy lên.
Có nhiều mức độ để gán chính sách nhóm cho người từng
nhóm người hoặc từng nhóm đối tượng.
Chính sách nhóm chỉ áp dụng cho các hệ thống từ
Windows 2000
2/28/2015 81
82. Giới thiệu về Group Policy - GP
Định nghĩa
Mục đích
Các loại chính sách nhóm
Sự thừa kế
2/28/2015 83
83. Định nghĩa
Là tập hợp các thông tin cấu hình (configuration
settings)
Tác động trên một hoặc nhiều đối tượng (users,
computers) trong Active Directory hoặc trên một hệ
thống (local group policy)
2/28/2015 84
84. Các thông tin cấu hình
Chính sách nhóm cho computers
Desktop
Security
Startup/shutdown scripts
Chính sách nhóm cho users
Desktop
Security
Logon/logoff scripts
2/28/2015 85
86. Mục đích chính sách nhóm
Quản lý môi trường làm việc của user trong
site, domain, organization unit hay trong từng
hệ thống
Đơn giản hóa một số thao tác quản trị
Quản trị tập trung
2/28/2015 87
87. Chức năng của GP
Triển khai phần mềm ứng dụng
Gán các quyền hệ thống cho người dùng
Giới hạn những ứng dụng mà người dùng được phép thi
hành
Kiểm soát các thiết lập hệ thống
Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và
tắt máy
Đơn giản hóa và hạn chế các chương trình
Hạn chế tổng quát màn hình Desktop của người dùng
2/28/2015 88
88. Các loại chính sách nhóm
Các thiết lập chính sách được lưu trên GPO
(Group Policy Object, đối tượng chính sách
nhóm)
Có 2 dạng GPO
Local GPO: lưu trên từng máy
Non local GPO: lưu trên Active Directory
2/28/2015 89
89. Sự thừa kế chính sách nhóm
Thứ tự thừa kế chính sách nhóm
Local
Site
Domain
Organizational Unit
Các thiết lập có tính tích lũy (cumulative)
Nếu có xung đột thì không thừa kế
Có thể cấm sự thừa kế (block inheritance) hay buộc thừa
kế (No override)
2/28/2015 90
90. Các GPOs mặc định
Local:
Local Group Policy trên mỗi máy
Trên Active Directory:
Default Domain Policy:
Liên kết với domain
Tác động đến tất cả user và computer trong domain
Default Domain Controllers Policy:
Liên kết với Domain Controllers OU
Chỉ tác động trên các domain controllers
2/28/2015 91
91. Các bước thực hiện
Dùng công cụ phù hợp với local, non-local GPO
Tạo GPO
Thiết lập các thông số
Có thể liên kết (link) một GPO cho nhiều sites, nhiều
Domains, hay nhiều OUs
Có thể liên kết (link) nhiều GPOs cho một site, một
Domain, hay một OU
2/28/2015 92
92. Công cụ GPMC
Giới thiệu GPMC
Cài đặt GPMC
Tương tác với GPO
Tạo một GPO độc lập
Liên kết GPO vào các đối tượng
Tạo một GPO liên kết
Hủy liên kết GPO khỏi các đối tượng
2/28/2015 93
93. Công cụ GPMC
Tương tác mở rộng với GPO
Sao lưu GPO
Phục hồi GPO
Sao chép GPO
Import GPO
Starter GPOs
Tạo và hiệu chỉnh Starter GPO
Tạo GPO mới từ Starter GPO
Group Policy Preferences
2/28/2015 94
94. Giới thiệu GPMC
Là công cụ quản lý GP đa năng, cho phép tương tác với tất cả
GPO, Windows Management Instrumentation (WMI) filters,
đối tượng liên quan đến GPO như:
Sao lưu và phục vụ GPO
Import và sao chép GPO
Tìm kiếm các GPO
Group Policy Modeling: tạo môi trường giả lập trước khi triển
khai thực tế các GP
Group Policy Results
Starter GPOs: quản lý các Administrative Templates
Preferences: thực hiện các thiết lập liên quan đến registry, local
account, dịch vụ, file, …
2/28/2015 95
95. Cài đặt GPMC
Nếu đã cài AD DS, thành phần GPMC sẽ được tự động cài đặt
2/28/2015 96
96. Tương tác với GPO
Tạo một GPO độc lập
Chú ý:
Nên tạo các GPO độc lập (unlinked GPO) và triển khai thử
trước khi áp dụng thực tế
Đảm bảo các GPO hoạt động tốt mới áp dụng (link) trên các
đối tượng (site, domain, OU)
Các bước tạo GPO độc lập
1. Server manager/ Tools/ Group Policy Management
2/28/2015 97
97. 2/28/2015 98
Kích chuột phải lên Group Policy Objects, chọn New
Nhập tên của GPO
Bấm OK
Nhập tên GPO
98. 2/28/2015 99
Kích chuột phải lên GPO vừa tạo, chọn Edit Computer Configuration
Hiệu chỉnh GPO
User Configuration
99. 2/28/2015
100
Lựa chọn mục cần hiệu chỉnh Kích đúp lên chính sách cần hiệu chỉnh
Hiệu chỉnh giá trị trong hộp Properties
Bấm Apply, tiếp OK để kết thúc
Chọn Enable
100. Thực hiện tương tự nếu muốn hiệu chỉnh các
chính sách khác.
2/28/2015 101
101. Tương tác với GPO
Liên kết GPO vào các đối tượng
Sau khi tạo GPO độc lập, cần thực hiện liên kết GPO vào các
đối tượng trên AD như site, domain hoặc OU
Mỗi GPO có thể liên kết đến nhiều đối tượng trên AD
Các bước thực hiện
1. Tạo các đối tượng trên AD như OU (Quantrimang đã tạo từ
buổi trước)
2. Liên kết GPO vào OU theo 2 cách
2/28/2015 102
102. Cách 1
2/28/2015 103
Kích chuột phải lên OU (site hoặc domain)
Chọn Link an Existing GPO… Chọn tên domain
Chọn GPO tương ứng
Chọn OK để kết thúc
103. Cách 2
2/28/2015 104
Chọn GPO đồng thời giữ và rê chuột đến OU muốn liên kết.
Chọn OKđể hoàn thành thao tác.
104. Tạo một GPO liên kết
2/28/2015 105
Tương tác với GPO
Kích chuột phải lên OU (site hoặc domain)
Chọn Create a GPO in this domain, and Link it here
Nhập tên của GPO
Nhấn OK để kết thúc
Chỉ tạo trực tiếp GPO liên kết khi đã có kinh nghiệm triển
khai GPO
105. 2/28/2015 106
GPO mới được tạo ra, đồng thời liên kết đến đối tượng (OU) đã tương tác
106. Hủy liên kết GPO khỏi các đối tượng
Mở cửa sổ GPMC, chọn GPO cần hủy liên kết
2/28/2015 107
Chọn GPO cần hủy liên kết
107. Hủy liên kết GPO khỏi các đối tượng
2/28/2015 108
Chọn tab Scope
Kích chuột phải lên đối tượng
cần hủy liên kết, Chọn Delete Link
Chọn OK để hủy liên kết
108. Hủy liên kết GPO khỏi các đối tượng
Chú ý: Thao tác vừa thực hiện chỉ có tác dụng hủy liên kết từ
GPO đến các đối tượng trong AD chứ không xóa các GPO
2/28/2015 109
Kích chuột phải lên GPO cần xóa
Chọn Delete
Chọn Yes để xóa và hủy liên kết
trên domain cntt.edu.vn
109. Tương tác mở rộng với GPO
Công cụ GPMC cho phép dễ dàng thực hiện các thao tác
với các GPO đang được triển khai:
Sao lưu
Phục hồi
Sao chép
Import
Giúp tiết kiệm thời gian, tăng tính chính xác và ổn định của
hệ thống
2/28/2015 110
110. Sao lưu GPO
Sao lưu tất cả các GPO
2/28/2015 111
Mở GPMC, kích chuột phải lên GPOs
Chọn Back Up All…
111. Sao lưu GPO
Sao lưu tất cả các GPO
2/28/2015 112Back up để thực hiện sao lưu
Chọn nơi lưu trữ GPOs
112. Sao lưu GPO
Sao lưu tất cả các GPO
2/28/2015 113
Kết quả sao lưu
Bấm OK để hoàn thành
tiến trình sao lưu GPO
113. Sao lưu GPO
Sao lưu một GPO cụ thể:
Thao tác tương tự với sao lưu toàn bộ các GPO
Khác: Chỉ lựa chọn GPO cần sao lưu
2/28/2015 114
114. Quản lý các GPO sao lưu
Sử dụng chức năng Manage Backups
2/28/2015 115
Mở GPMC, kích chuột phải lên GPOs.
Chọn Manage Backups…
115. Quản lý các GPO sao lưu
Sử dụng chức năng Manage Backups
2/28/2015
Nhập đường dẫn
đến thư mục lưu
trữ GPOs đã sao
lưu
Danh sách các
GPOs
Hiển thị các GPO được sao
lưu gần với thời điểm gần
đây nhất
Xóa một GPO
đã sao lưu
Xem chi tiết cấu hình
của mỗi GPO trong
danh sách
116
116. Phục hồi GPO
2/28/2015 117
Mở GPMC, kích chuột phải lên GPO
cần phục hồi. Chọn Restore from Backup…
118. Phục hồi GPO
2/28/2015 119
Chọn GPO cần phục hồi
Bấm Finish để bắt đầu
tiến trình phục hồi
119. Phục hồi GPO đã bị xóa
2/28/2015 120
Mở GPMC, kích chuột phải lên GPOs
Chọn Manage Backups…
120. Phục hồi GPO đã bị xóa
2/28/2015 121
Chọn GPO cần phục hồi
Bấm OK để thực
hiện phục hồi GPO
121. Sao chép GPO
Phục hồi GPO chỉ được thực hiện trên cùng domain với
GPO đã sao lưu.
Nhân bản GPO trên domain khác nhau=> sử dụng chức
năng copy hoặc import
GPMC cho phép sao chép GPO trên cùng domain hoặc
khác domain.
2/28/2015 122
122. Sao chép GPO
2/28/2015 123
Mở GPMC, kích chuột phải lên
GPO cần sao chép,
Chọn Copy
Nếu trên cùng domain,
rightclick lên mục GPOs,
chọn Paste
123. Sao chép GPO
2/28/2015 124
Thiết lập các quyền cho GPO vừa
sao chép như 1 GPO mới
Hệ thống giữ lại các quyền
đã tồn tại trên GPO
Kết quả sao chép GPO
Chú ý: Nếu sao
chép GPO đến một
domain khác, phải
rightclick lên GPOs
của domain đó
124. Import GPO
Cho phép áp dụng các thiết lập (policy settings) của một
GPO đã sao lưu (backed-up GPO) vào GPO đang tồn tại
trên hệ thống (destination GPO)
Không làm thay dổi thiết lập trên Links hoặc Security
Filtering của GPO đang tồn tại
2/28/2015 125
125. Import GPO
2/28/2015 126
Mở GPMC, kích chuột phải lên GPO
muốn import. Chọn Import Settings…
Chọn Next để tiếp tục
126. Import GPO
2/28/2015 127
Chọn Backup để sao
lưu trước khi import
Chọn thư mục chứa
GPO sẽ import
Chọn Next để tiếp tục
127. 2/28/2015 128
Import GPO
Chọn GPO muốn import tại
danh sách Backed up GPOs
Hệ thống tiến hành quét các
thiết lập trên GPO sắp import
Chọn Next để tiếp tục
128. 2/28/2015 129
Import GPO
Hiển thị các
thông
tin đã lựa chọn
Bắt đầu tiến
trình import
GPO
Kết quả tiến
trình import
Bấm OK để
kết thúc
129. Starter GPOs
Cho phép quản lý các template dùng để tạo ra các GPO
Chỉ hỗ trợ các thiết lập trên Administrative Templates: tạo
lập, hiệu chỉnh, import, export,…
2/28/2015 130
130. Tạo và hiệu chỉnh Starter GPO
2/28/2015 131
Mở GPMC, chọn mục Starter GPOs,
Chọn Create Starter GPOs Folder để tạo thư mục lưu trữ các Starter GPO
Kích chuột phải vào
Starter GPO, chọn New
Nhập tên của Starter GPO
Bấm OK để tiếp tục
131. Tạo và hiệu chỉnh Starter GPO
2/28/2015 132
Rightclick vào Starter GPO,
chọn Edit để hiệu chỉnh
132. Tạo và hiệu chỉnh Starter GPO
2/28/2015 133
Mở rộng Administrative
Template
Chọn mục cần
hiệu chỉnh
Thay đổi giá trị
trong hộp thoại
Propeties
Bấm OK để
hoàn thành
133. Hiệu chỉnh Starter GPO
Lặp lại thao tác trên để hiệu chỉnh chính sách khác
2/28/2015 134
134. Tạo GPO mới từ Starter GPO
Cách 1
2/28/2015 135
Nhập tên GPO
Starter GPO xuất hiện Bấm OK
Kích chuột phải lên Starter GPO
Chọn New GPO From Starter GPO
135. Tạo GPO mới từ Starter GPO
Cách 2
2/28/2015 136
Kích chuột phải lên GPOs
Chọn New
Nhập tên GPO
Chọn Starter
GPO tương ứng
Chọn OK để
kết thúc
138. Ví dụ 1: Cho phép domain users
đăng nhập tại server
2/28/2015 139
139. Ví dụ 1: Cho phép domain users
đăng nhập tại server
Group Policy Management
Domain Controllers Container
Rightclick Default Domain Controller Policy
Edit
Computer Configuration
Windows Settings
Security settings
Local policies
User Rights Assignment
Logon locally => thêm nhóm Domain Users
2/28/2015 140
140. Ví dụ 2: Loại bỏ Run khỏi Start
menu và Control Panel khỏi Settings
Active Directory Users and Computers
Tạo GPO cho OU
Rightclick GPO - Edit
User Configuration
Administrative Template
Start Menu & Task bar:
Remove Run menu from Start Menu: Enabled
Control Panel
Prohibit access to the Control Panel: Enabled
2/28/2015 141
141. Ví dụ 3: Di chuyển folder My Documents
Rightclick GPO - Edit
User Configuration
Windows Settings
Folder Redirection
My Documents - Properties
Target:
Basic - Redirect everyone’s folder to the same location
Target folder location:
Redirect to the user’s home folder
2/28/2015 142
142. Ví dụ 3: Di chuyển folder My Documents
2/28/2015 143
143. Ví dụ 4: Hạn chế chức năng của
Internet Explorer
Mục đích: người dùng máy trạm không được phép
thay đổi bất kì thông số nào trong Tab Security,
Connection và Advanced trong hộp thoại Internet
Options của công cụ Internet Explorer.
2/28/2015 144
144. Ví dụ 4: Hạn chế chức năng của
Internet Explorer
Cách thức thực hiện
Group Policy Object Editor
User Configuration
Administrative Templates
Windows Components
Internet Explorer
Internet Control Panel
Disable the Connection page - Enable
Disable the Security page – Enable
Disable the Advanced page – Enable
2/28/2015 145
145. Ví dụ 4: Hạn chế chức năng của
Internet Explorer
2/28/2015 146
146. Ví dụ 5: Chỉ cho phép một số
ứng dụng được thi hành
Group Policy Object Editor
User Configuration
Administrative Templates
System.
Run only allowed windows applications
Show: để chỉ định các phần mềm được phép thi hành
2/28/2015 147
147. Ví dụ 5: Chỉ cho phép một số
ứng dụng được thi hành
2/28/2015 148
148. Ví dụ 5: Chỉ cho phép một số
ứng dụng được thi hành
2/28/2015 149
Chỉ ngăn được các chương trình chạy bởi tiến trình
Windows Explorer
Các chương trình chạy từ RUN như CMD.EXE hay
MSPaint.EXE không bị ảnh hưởng
Xem tab Explain để biết chi tiết
149. Có 3 dạng phân phối phần mềm từ group policy
Assigning Software - Gán phần mềm
Gán phần mềm cho users hay computers
Phần mềm được cài đặt khi đăng nhập
Publishing Software - Công bố phần mềm
Công bố phần mềm cho users
Phần mềm được hiển thị từ hộp thoại Add or Remove
Programs
User thực hiện cài đặt
Advanced Software - Cài đặt nâng cao
Cho phép người dùng cài đặt thêm một số tùy chọn
2/28/2015 150
Ví dụ 6: Cài đặt phần mềm
150. Tạo điểm phân phối (Distribution point)
Tạo share folder
Sao chép cài đặt phần mềm dạng *.MSI
Tạo Group Policy Object
2/28/2015 151
Các bước cài đặt phần mềm từ
group policy
151. Các bước cài đặt phần mềm từ
group policy
Gán phần mềm (Assign a Package)
User Configuration
Software Settings
Software Installation
New _ Package _ Assigned
Package được cài đặt khi client computer khởi
động
2/28/2015 152
152. Công bố phần mềm (Publish a Package)
User Configuration
Software Settings
Software Installation
New _ Package _ Published
Package được hiển thị tại máy trạm:
Add or Remove Programs/ Add New Programs
Add programs from your network
Package được cài đặt khi chọn Add
2/28/2015 153
Các bước cài đặt phần mềm từ
group policy
153. Các bước cài đặt phần mềm từ
group policy
Cài lại phần mềm (Redeploy a Package)
User/Computer Configuration
Software Settings
Software Installation
Chọn package
All Tasks _ Redeploy application
2/28/2015 154
154. Gỡ bỏ phần mềm (Remove a Package)
User/Computer Configuration
Software Settings
Software Installation
Chọn package
All Tasks _ Remove
Chọn một trong các tùy chọn:
Immediate uninstall the software from users and
computers
Allow users to continue to use the software but prevent new
installation
2/28/2015 155