Buoi2

1,024 views

Published on

Quan tri mang

Published in: Technology, Business
4 Comments
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total views
1,024
On SlideShare
0
From Embeds
0
Number of Embeds
75
Actions
Shares
0
Downloads
54
Comments
4
Likes
0
Embeds 0
No embeds

No notes for slide

Buoi2

  1. 1. ð CƯƠNG TH C T P QU N TR H TH NG VÀ M NG MÁY TÍNH BU I 2 : CHÍNH SÁCH NHÓM (GROUP POLICY) 1. KHÁI NI M - Chính sách nhóm: là t p các thi t ñ nh c u hình máy tính và ngư i dùng. Nó ñư c liên k t ñ n máy tính (Computer), ñ a bàn (site), mi n (domain) và ñơn v t ch c (OU) ñ thi t l p c u hình tác ñ ng lên cách hành x c a ngư i dùng. - Ví d : Vi c s d ng chính sách nhóm, chúng ta có th thi t l p nh ng chương trình ng d ng nào ngư i dùng có th s d ng, chương trình ng d ng nào xu t hi n màn hình n n và trong menu Start. 2. CÔNG VI C CÓ TH TH C HI N TRONG CHÍNH SÁCH NHÓM - Phát hành ho c phân b các gói ph n m m cho các ngư i dùng ho c máy. - Phân b k ch b n kh i t o (Start-up), t t máy (shutdown), ñăng nh p (logon), và ñăng xu t (logoff). - Quy ñ nh các chính sách m t kh u, khóa ch t tài kho n và ki m toán cho mi n. - Quy ñ nh và áp ñ t nh ng thông s thi t ñ nh dành cho Internet Explorer. - Quy ñ nh và áp ñ t nh ng h n ch trên các máy desktop c a ngư i dùng. 3. ð I TƯ NG CHÍNH SÁCH NHÓM (GROUP POLICY OBJECT - GPO) - Các ñ i tư ng chính sách nhóm (Group Policy Object) là t p các thi t ñ nh chính sách nhóm. M i máy tính Microsoft Windows XP, 2003 ñi u có m t ñ i tư ng chính sách nhóm c c b (Local GPO). - M t ñ i tư ng chính sách nhóm c c b ñư c lưu tr trên m i máy tính ch ra r ng máy tính ñó có thu c m t m i trư ng Active Directory ho c môi trư ng m ng. - Các thi t l p c a ñ i tư ng chính sách nhóm c c b có th b lo i b b i nh ng chính sách không c c b ( NonLocal GPO). ð i tư ng chính sách c c b là ñ i tư ng ít nh hư ng nh t n u máy tính ñang trong môi trư ng Active Directory. - Các ñ i tư ng chính sách không c c b ñư c liên k t v i các ñ i tư ng trong Active Directory (site, domain, OU) và có th ñư c áp d ng cho ngư i dùng ho c máy tính. ð s d ng các chính sách nhóm không c c b , chúng ta ph i có máy tính th c thi Microsoft Windows 2003 Server ñóng vai trò là m t domain controller. 4. THE GROUP POLICY SNAP-IN A Microsoft Management Console (MMC) snap-in ñư c s d ng ñ t ch c và qu n tr thi t l p chính sách nhóm trong m i GPO. Snap-in cho ñ i tư ng m c nhiên GPO trong Domain Controllers như sau : 16
  2. 2. 5. KH I T O LOCAL GROUP POLICY SNAP-IN T Menu StartRun. Nh p l nh GPEDIT.MSC 17
  3. 3. 6. KH I T O GPO T ACTIVE DIRECTORY USERS AND COMPUTERS Ch n Active Directory Users and Computers. Nh p ph i trên domain ho c OU mà b n mu n áp ñ t chính sách nhóm, ch n Properties. Ch n tab Group Policy, Ch n m t GPO trong danh sách, ch n Edit. (Ho c nh p New ñ t o m t GPO m i, sau ñó ch n Edit.) 7. CÁC THI T ð NH TRONG GROUP POLICY Các thi t ñ nh v Chính sách nhóm ñư c ch a trong ñ i tư ng chính sách và quy t ñ nh môi trư ng làm vi c c a ngư i dùng: Computer configuration settings: ñư c s d ng ñ thi t l p chính sách nhóm cho máy tính, b t lu n ngư i dùng nào ñăng nh p vào máy tính. Computer configuration settings ñư c thi t l p khi máy tính kh i ñ ng. User configuration settings: ñư c s d ng ñ thi t l p chính sách nhóm cho ngư i dùng, b t lu n máy tính nào ngư i dùng ñăng nh p vào. User configuration settings ñư c thi t l p khi ngư i dùng ñăng nh p vào h th ng. C computer configuration settings và user configuration settings ñ u ch a ñ ng Software Settings, Windows Settings, and Administrative Templates. 8. SOFTWARE SETTINGS C trong computer configuration và user configuration, Software Settings ch ch a Software Installation. Software Installation settings tr giúp chúng ta thi t ñ nh các ph n m m ñư c cài ñ t và b o trì như th nào trong h th ng. Chúng ta có th qu n tr m t ng d ng trong m t GPO mà nó ñư c g n v i m t Active Directory container: site, domain or OU. ng d ng có th qu n tr b i m t trong 2 ch ñ : phân b (Assigned) ho c qu ng bá (Published). 18
  4. 4. 9. WINDOWS SETTINGS C computer configuration và user configuration, Windows Settings ñ u ch a Scripts và Security Settings. Scripts cho phép chúng ta thi t l p hai lo i scripts: startup/shutdown và logon/logoff. Startup/shutdown scripts s ñư c th c thi lúc startup ho c shutdown. Logon/logoff scripts ñư c th c thi khi ngư i dùng ñăng nh p ho c ñăng xu t. Security Settings cho phép security administrator thi t l p các m c b o m t ñư c gán cho local ho c nonlocal GPO. Ch có trong user configuration, Windows Settings có ch a group policy settings cho Internet Explorer Maintenance, Remote Installation Services, and Folder Redirection. 10. ADMINISTRATIVE TEMPLATES Trong c hai computer and user configurations, Administrative Templates ch a t t c registry-based group policy settings, g m nh ng thi t ñ nh cho Windows Components, System và Network. Windows Components cho phép chúng ta qu n tr thành ph n c a Windows g m NetMeeting, Internet Explorer, Windows Explorer, Microsoft Management Console, Task Scheduler và Windows Installer. System ñư c s d ng ñ ñi u khi n ch c năng logon và logoff và group policy. Network cho phép thi t l p cho Offline Files và Network and Dial-Up Connections. ð i v i Computer Configuration, Administrative Templates ch a ñ ng thi t ñ nh chính sách nhóm cho máy in, System Settings ch a Disk Quotas, Domain Name System (DNS) Client và Windows File Protection. ð i v i User Configuration, Administrative Templates g m nh ng thi t ñ nh như Start Menu & Taskbar, Desktop, và Control Panel. 19
  5. 5. 11. CHÍNH SÁCH NHÓM ðƯ C TH C HI N NHƯ NÀO a. Local GPO. M i MS Windows XP, 2003 có duy nh t m t GPO c c b . b. Site GPO. B t kỳ GPO n i k t v i Site ñi u ñư c th c hi n m t cách ñ ng b . Nhà qu n tr có th c th hóa th t GPO n i k t vào site. c. Domain GPO. Các GPOs n i k t v i domain s ñư c th c thi ñ ng b . Nhà qu n tr có th c th hóa th t GPO n i k t vào domain. d. OU GPO. GPO ñư c n i k t v i OU b c cao hơn trong Active Directory s ñư c th c hi n trư c, sau ñó ñ n GPO trong OU con. Cu i cùng, GPO n i ñ n OU ch a user ho c computer ñư c th c thi. N u m t s GPO n i v i OU, nó s ñư c th c thi ñ ng b theo trình t ñư c thi t l p b i nhà qu n tr . 12. TÍNH TH A K TRONG CHÍNH SÁCH NHÓM T ng quát, chính sách nhóm ñư c th c hi n t cha ñ n con Tuy nhiên, n u chúng ta ñ nh nghĩa chính sách nhóm cho con thì chính sách nhóm này s ñè lên chính sách nhóm ñư c th a k t cha N u m t OU cha không ñư c thi t l p chính sách nhóm thì con c a nó không th a k N u chính sách nhóm c a cha và con không xung ñ t, thì con s th a k chính sách cha và th c thi n chính sách c a chính nó N u chính sách nhóm c a cha và con xung ñ t, con s không th a k chính sách t cha. Chính sách c a con s ñư c áp d ng 13. M T S NGO I L TH T CHÍNH SÁCH NHÓM Máy tính là thành viên c a nhóm làm vi c (Workgroup) thì ch th c thi chính sách nhóm c c b thôi. Block Policy Inheritance: Không k th a chính sách nhóm t cha. No Override: Không cho phép chính sách nhóm khác ch ng lên chính sách nhóm hi n h u. Khi No Override này ñư c b t lên c p mi n (domain) thì Block Policy Inheritance ñư c b t lên c p OU s b vô hi u hóa. N u m t ñ i tư ng có nhi u chính sách nhóm, thì th t th c hi n chính sách nhóm là t dư i lên GPO s ñư c th c hi n theo c u trúc th b c trong Active Directory: local GPO, site GPO, domain GPO, và OU GPO. Tuy nhiên th t m c nhiên này có th thay ñ i b ng tùy ch n Block Policy Inheritance, No Override 14. CH N L C (FILTER) CHÍNH SÁCH NHÓM Chính sách trong các GPO ch nh hư ng ñ n nh ng ngư i dùng ñư c phép ñ c nó. Chúng ta có th l c l i ph m vi nh hư ng c a chính sách nhóm trong GPO ñ n nhóm ngư i dùng thông qua vi c gán quy n. Do ñó, chúng ta có th ngăn không cho chính sách nhóm tác ñ ng lên m t nhóm nào ñó b ng cách c m áp d ng chính sách nhóm. 20
  6. 6. PH M VI GPO THI T L P QUY N K T QU Thành viên c a Thi t l p Apply Group- GPO s ñư c áp d ng lên thành viên nhóm áp d ng Policy (AGP) là Allow. nhóm tr khi Apply Group Policy là Deny GPO Thi t l p Read là Allow ho c Read là Deny ho c c hai Thành viên c a Thi t l p AGP là Deny Chính sách nhóm không ñư c áp d ng nhóm không áp Thi t l p Read là Deny trên nhóm này d ng GPO này Thành viên trong Thi t l p AGP ho c là M i ngư i dùng có th thu c nhi u nhóm, nhóm không ch c Allow ho c Deny chính sách ch áp d ng cho ngư i dùng có là có áp d ng Thi t l p Read là Allow AGP là Allow và Read là Allow chính sách nhóm ho c Deny 15. T O ð I TƯ NG CHÍNH SÁCH NHÓM (GPO) Click StartProgramsAdministrative ToolsActive Directory Users and Computers Click ph i chu t ch n OU Sales, ch n Properties. Ch n tab Group Policy Click New, ñ t tên GPO là Sales GPO Double click Sales GPO (ho c click ch n Edit) 21
  7. 7. Trong User Configuration, ch n Administrative Templates. Trong Administrative Templates ch n Start Menu and Taskbar Start Menu and Taskbar double click ch n thi t ñ nh Remove Network Connections from Start Menu 22
  8. 8. Ch n Enabled, click Apply, click OK Tương t , trong Control Panel, b t (enabled) thi t ñ nh Prohibit access to Control Panel Trong Desktop, b t thi t ñ nh Remove Recycle Bin icon from desktop ðóng GPO liên k t v i Sales l i. Click OK ñóng h p tho i GPO c a Sales l i 16. T O CONSOLE CHO GPO Click StartRun. Nh p l nh MMC. OK Click File, ch n Add/Remove Snap-in… 23
  9. 9. Click Add, ch n Group Policy Editor, click Add 24
  10. 10. Click Browse 25
  11. 11. Double click ch n Sales.ctu.edu.vn Ch n Sales GPO, click OK 26
  12. 12. Click Finish, click Close. Click OK Click menu File, ch n Save in. ð t tên Sales GPO. 27
  13. 13. Click Start/Programs/Administrative Tools ñ ki m tra xem Sales GPO ñã t n t i chưa ? 17. C P QUY N Allow log on locally CHO NHÓM Domain Users. Click Start/Programs/Administrive Tools/Domain Controller Security Policy Ch n Local Policies/User Rights Assignment Double click ch n Allow log on locally Click Add User or Group… Ch n Browse, ch n Advanced… Click Find Now. Tìm nhóm Domain Users, double click ch n Domain Users. Click OK. Click OK. Click Apply. Click OK. Restart domain controller. ðăng nh p vào b ng các tài kho n trong Sales : pctrinh, dtdiem ñ ki m tra xem các thi t ñ nh GPO có ho t ñ ng không ? 18. LIÊN K T GPO M c nhiên, m t GPO s ñư c liên k t ñ n domain, site, OU ñư c ch n trong MMC khi nó t o ra. Vì th , GPO ch áp d ng trên các ñ i tư ng ñó thôi. Mu n s d ng GPO cho các ñ i tư ng khác, ta ph i t o thêm liên k t trong GPO 28
  14. 14. Liên k t GPO c a OU Sales v i OU Marketing : ðăng nh p vào b ñi u khi n mi n b ng tài kho n Administrator Th c thi Active Directory Users and Computers, click ph i chu t vào OU Marketing. Ch n Properties. Ch n tab Group Policy. Click Add. 29
  15. 15. Click tab All, ch n Sales GPO 30
  16. 16. 31
  17. 17. 19. CH N L C CHÍNH SÁCH NHÓM V I NHÓM NGƯ I DÙNG Khi chúng ta t o ra GPO trong site, domain, OU thì nh ng tài kho n ngư i dùng trong site, domain, OU s ch u tác ñ ng c a các thi t ñ nh trong GPO ñó. N u mu n các thi t ñ nh không tác ñ ng lên các tài kho n ngư i dùng trong nh ng trư ng h p ñ c bi t, chúng ta thư ng t o ra m t nhóm ngư i dùng sau ñó ñưa các tài kho n ngư i dùng làm thành viên c a nhóm này. Sau ñó thi t l p quy n Read và Apply Group Policy cho nhóm này là Deny T o nhóm GVIP ðưa tài kho n ngư i dùng pctrinh trong OU Sales và hxhuong trong OU Marketing làm thành viên c a nhóm GVIP. M Console c a Sales GPO, c p quy n truy c p Read, Apply Group Policy cho nhóm GVIP là Deny 32
  18. 18. Log off tài kho n Administrator L n lư t ñăng nh p b ng các tài kho n pctrinh, dtdiem, thdao, hxhuong ñ ki m tra. So sánh gi a tài kho n pctrinh, hxhuong v i dtdiem, thdao. Gi i thích ? 33

×