Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

3 Roaming_Mandatory profie - GPO - Share permission

1,612 views

Published on

3 Roaming_Mandatory profie - GPO - Share permission

Published in: Education
  • Be the first to comment

3 Roaming_Mandatory profie - GPO - Share permission

  1. 1. ROAMING_MANDATORY PROFIE - GPOS - SHARE PERMISSION NGƯỜI THỰC HIỆN: ============== Phạm Hoài Nam MSM: phamhoainam1215@outlook.com Yahoo: phamhoainam_1215@yahoo.com.vn Gmail & Facebook: phamhoainam1215 Skype: Nam Pham Hoai Blog: http://phamhoainam1215.wordpress.com ========================================
  2. 2.  Roaming profile là profile được lưu trên server khi client logon vào server cập nhật cấu hình lên server và sẽ lưu lại trên server mỗi khi client logoff.  Local profile: Profile được tạo ra trong lần logon đầu tiên vào hệ thống(profile mặc định).  Mandatory profile profile được admin tạo ra trên server để áp dụng cho 1 user hay group. User chỉ sử dụng profile đó và không thể nào thay đổi được. GIỚI THIỆU: 1. ROAMING, MANDATORY PROFIE
  3. 3.  Group Policy là tập các thiết lập cấu hình cho computer và user cho phép các quản trị viên IT để tự động hóa quản lý một – nhiều người dùng và máy tính, đơn giản hóa nhiệm vụ quản trị và giảm chi phí CNTT. Quản trị hiệu quả có thể thực hiện các thiết lập bảo mật, thực thi chinh sách, và các phân phối phần mềm nhất quán trên trang web, tên miền phạm vi hoặc các đơn vị tổ chức. GIỚI THIỆU: 2. GPOS(GROUP POLICY OBJECTS)
  4. 4.  Group Policy Object là một nhóm các cấu hình Group Policy. Có hai loại Group Policy Object: Local GPO, Non-local GPO  + Local GPO: một local GPO được lưu trên máy cho dù máy tính đó là thành viên trong môi trường Active Directory hoặc môi trường mạng. %systemroot%system32GroupPolicy. Một local GPO chỉ ảnh hưởng đến máy tính đang lưu trữ nó. Các thiết lập của GPO có thể bị ghi đè bởi non- local GPO => local GP ít có ý nghĩa trong Active Directory.  + Non-local GPO: được tạo ra trong Active Directory. %Systemroot%sysvolsysvoldomainnamepoliciesGPO GUIDAdm.Nonlocal GPOs được liên kết đến một site, domain, hoặc OU để áp dụng cho người dùng và máy tính. Mặc định khi dịch vụ danh bạ Active Directory được cài đặt thì hai nonlocal GPO được tạo ra:  - Default Domain Policy: GPO này liên kết với domain, và nó ảnh hưởng đến tất cả người dùng và máy tính trong domain( bao gồm cả các máy tính làm domain controller) theo qui tắc kế thừa Group Policy.  - Default Domain Controller Policy: GPO này liên kết tới OU Domain Controller, và nó chỉ ảnh hưởng đến các máy domain controller. GIỚI THIỆU: 2. GPOS(GROUP POLICY OBJECTS)
  5. 5.  Trên Windows, các quyền có ảnh hưởng trực tiếp đến các phân vùng NTFS gọi là NTFS permissions hay còn gọi là local permissions. Các quyền này sẽ ảnh hưởng trực tiếp đến người dùng truy cập local vào máy.  Ngoài NTFS permissions ra, ta còn có một kiểu phân quyền nữa gọi là Share permissions. Đây là các quyền mà ta sẽ gán cho người dùng khi truy cập vào tài nguyên được chia sẻ trên mạng.  Share permissons có 3 quyền chính:  -Read: users có thể xem dữ liệu của folder, xem các thuộc tính( attributes) . Có thể run các chương trình và truy cập vào các folders bên trong folders được share .  -Change: users có thể tạo folders, thêm file vào folders, thay đổi dữ liệu trong files, thay đổi thuộc tính của files, xóa folders và files, thực hiện các hành động trong phạm vi của Read .  -Full Control: có thể thay đổi permissions của file, lấy ownership của files, thực thi tất cả những gì mà Change cho phép. GIỚI THIỆU: 3. SHARE PERMISSION
  6. 6. Nội dung bài lab: 1. Tạo Roaming_Mandatory profie. 2. Cấp truy cập CMD – GPOs. 3. Phân quyền giữa 2 group User. Yêu cầu chuẩn bị: Chuẩn bị một máy chạy hệ điều hành Windows Server 2008 đã nâng lên Domain và 1 máy client XP đã gia nhập Domain.
  7. 7.  Vào 1 ổ đĩa bất kỳ tạo thư mục để lưu Roaming Profiles và phân quyền. 1. TẠO ROAMING, MANDATORY PROFIE 1.1 TẠO ROAMING PROFIE
  8. 8.  Trong mục Sharing chọn Advanced Sharing -> Permissions. Ta Remove Everyone và thêm vào Domain Users. 1. TẠO ROAMING, MANDATORY PROFIE 1.1 TẠO ROAMING PROFIE
  9. 9.  NTFS permission: 1. TẠO ROAMING, MANDATORY PROFIE 1.1 TẠO ROAMING PROFIE
  10. 10.  Để thực hiện ta bỏ check tại mục Include inheritable….. -> Remove. 1. TẠO ROAMING, MANDATORY PROFIE 1.1 TẠO ROAMING PROFIE
  11. 11.  Thêm lại Administrator và Domain Users với quyền Full control. 1. TẠO ROAMING, MANDATORY PROFIE 1.1 TẠO ROAMING PROFIE
  12. 12.  Liên kết đến Roaming profile: vào Active Directory Users and Group -> vào Properties của User muốn liên kết profile. 1. TẠO ROAMING, MANDATORY PROFIE 1.1 TẠO ROAMING PROFIE
  13. 13.  Liên kết đến Roaming profile: vào Active Directory Users and Group -> vào Properties của User muốn liên kết profile. 1. TẠO ROAMING, MANDATORY PROFIE 1.1 TẠO ROAMING PROFIE
  14. 14.  Tại mục Profile path thêm: “<server name hoặc IP server><tên thư mục Roaming Profiles><%username%>” 1. TẠO ROAMING, MANDATORY PROFIE 1.1 TẠO ROAMING PROFIE
  15. 15.  Tại mục Profile path thêm: “<server name hoặc IP server><tên thư mục Roaming Profiles><%username%>” 1. TẠO ROAMING, MANDATORY PROFIE 1.1 TẠO ROAMING PROFIE
  16. 16.  Đăng nhập và client kiểm tra: Properties vào computer -> Advanced -> User Profiles -> Setting. 1. TẠO ROAMING, MANDATORY PROFIE 1.1 TẠO ROAMING PROFIE
  17. 17.  B1. Tạo thư mục có thuộc tính như Roaming Profile trước.  B2. Tạo thư mục trùng với tên User bỏ vào trong thư mục ở B1.  B3. Tạo tập tin "NTUSER.MAN" bỏ vào trong thư mục ở B2. 1. TẠO ROAMING, MANDATORY PROFIE 1.2 TẠO MANDATORY PROFIE
  18. 18.  Đăng nhập và client kiểm tra: Properties vào computer -> Advanced -> User Profiles -> Setting(quá trình đăng nhập sẽ hơi lâu 1 chút). 1. TẠO ROAMING, MANDATORY PROFIE 1.2 TẠO MANDATORY PROFIE
  19. 19. DEMO http://youtu.be/HfKP4u7BmuU
  20. 20.  Mở Goup Policy Management -> Forest: server1.com -> Domains -> server1.com -> Group Policy Objects. Chuột phải tạo new GPO và đặt tên-> OK.(server1.com là tên Domain) 2. GPOS(GROUP POLICY OBJECTS)
  21. 21.  Chuột phải vào GPO vừa tạo chọn Edit để thiết lập.  Group Policy Management Editor hiện ra, có 2 phần là Computer Configuratuion(thiết lập cho máy tính) và User Configuratuion(thiết lập cho User).  Tao vào mục User Configuratuion -> Administrative Template -> System ->tìm và nhấp đúp vào “Prevent access to the command prompt Properties” -> Enable -> OK. 2. GPOS(GROUP POLICY OBJECTS)
  22. 22.  Để cấm cho 1 Group User nào đó ta chọn Group User đó tại “Group Policy Management” -> chuột phải chọn “Link an Existing GPO…” -> Chọn GPO vừa tạo -> OK. 2. GPOS(GROUP POLICY OBJECTS)
  23. 23.  Chạy lệnh gpupdate /force tại của sổ Run để cập nhật GPO.  Đăng nhập vào User bất kỳ thuộc Group vừa đặt quyền GPO để kiểm tra: 2. GPOS(GROUP POLICY OBJECTS)
  24. 24. DEMO http://youtu.be/B-iyisdt68Y
  25. 25.  Tạo thư mục “Du lieu” có 2 thư mục con là “ketoan” và “kinhdoanh”. Cấm để cho các User thuộc group kết toán không có quyền chỉnh Modifly trong thư mục “kinh doanh” và Full control trong thư mục “ketoan”. 3. SHARE PERMISSION
  26. 26.  Properties vào thư mục “Du lieu” -> tab Sharing -> Advanced Sharing -> Permissions -> chọn Group Everyone là Full control. 3. SHARE PERMISSION
  27. 27.  Properties và thư mục kế toán để phân quyền trên đó:  Tab sharing -> Edit ->tiến hành thêm Group User “Ketoan” với quyền Full control và Remove Group “Users”. 3. SHARE PERMISSION
  28. 28.  Properties và thư mục kế toán để phân quyền trên đó:  Tab sharing -> Edit ->tiến hành thêm Group User “Ketoan” với quyền Full control và Remove Group “Users”.  Làm tương tự với Group “Kinhdoanh”. 3. SHARE PERMISSION
  29. 29.  Để cấm User trong GROUP Ketoan không có quyền Modifly vào thư mục Kinhdoanh ta tiến hành add thêm Group “Ketoan” và NTFS permission bỏ check tại mục Modifly. 3. SHARE PERMISSION
  30. 30.  Để cấm User trong GROUP Ketoan không có quyền Modifly vào thư mục Kinhdoanh ta tiến hành add thêm Group “Ketoan” và NTFS permission bỏ check tại mục Modifly. 3. SHARE PERMISSION
  31. 31.  Đăng nhập bằng tài khoản bất kỳ trong Group Ketoan và kiểm tra, ta thấy User này không tạo mới được Folder... 3. SHARE PERMISSION
  32. 32. DEMO http://youtu.be/ZkVASrEekVs
  33. 33. Cám ơn các bạn đã chú ý theo dõi! Hẹn gặp các bạn ở những bài lab tiếp theo!

×