2. Giới thiệu
Chính sách nhóm: tập hợp cấu hình về
người dùng và máy tính chỉ ra
Cách các chương trình, tài nguyên mạng
làm việc với người dùng và máy tính trong
mạng
GP có thể thiết lập cho sites, domains,
OU, computers
Ví dụ: dùng GP có thể thiết lập ứng dụng
mà 1 người dùng có thể chạy, chương
trình xuất hiện trên desktop
3. Đối tượng chính sách
nhóm(GPO)
Tập hợp các thiết lập chính sách nhóm
GPO mặc định
Default Domain Policy: Liên kết với domain,
và có ảnh hưởng tới tất cả người dùng và
máy tính trong miền.
Default Domain Controllers Policy: Liên kết
đến máy tính DC OU, thường chỉ ảnh hưởng
đến các máy tính điều khiển miền
4. Các kiểu chính sách nhóm
Chính sách nhóm cục bộ(Local Group Policy)
Mỗi máy tính sẽ có 1 chính sách cục bộ dù cho nó
có tham gia vào miền hay không.
Chỉ ảnh hưởng đến máy tính mà nó được tạo
Chính sách nhóm miền(nonlocal Group Policy)
Được tạo ra trong hệ thống thư mục(AD) và phải
được liên kết đến 1 site, domain, OU
Mặc định có 2 chính sách mặc định được tạo khi
nâng cấp lên máy quản lý miền
Default Domain Policy: Liên kết vời miền và ảnh hưởng
toàn bộ máy tính và người dùng trong miền
Default Domain Controller Policy: Liên kết với các DC
trong mạng
5. Tạo 1 đối tượng Group
Policy
2 cách tạo GPO:
Group Policy standalone Microsoft
Management Console (MMC) snap-in
Group Policy extension trong Active
Directory Users and Computers
6. Tạo 1 đối tượng Group
Policy dùng MMC
Mục tiêu: Tạo 1 GPO dùng Group
Policy Object Editor MMC snap-in
Tìm MMC Group Policy Object Editor
snap-in
Tạo GPO mới
8. GPO editor
Dùng để tổ chức và quản lý các thiết lập chính
sách nhóm của các GPO
9. Thiết lập chính sách nhóm
Cấu hình máy tính
Các thiết lập áp dụng cho máy tính
không quan tâm đến người đăng nhập vào
máy tính
thường ảnh hưởng tới quá trình Hệ điều
hành khởi động
Cấu hình ngưới dùng
Các thiết lập áp dụng cho người dùng
không quan tâm đến máy tính mà người
dùng đăng nhập
thường ảnh hưởng tới trong quá trình
người dùng đăng nhập vào hệ thống
10. (tt)
Thiết lập phần mềm(Software setting)
Thiết lập cửa sổ(Window setting)
Mẫu quản trị(Administrative Template)
11. Ứng dụng của Group Policy
2 loại chính:
Cấu hình computer (các thiết lập áp dụng cho
các computer trong container)
Cấu hình user (các thiết lập áp dụng cho các
user trong container)
Ngay khi computer khởi động (hoặc user đăng
nhập)
Computer truy vấn DC về các GPO. DC tìm các
GPO có thể áp dụng.
DC trình ra 1 danh sách các GPO. Client lấy các
mẫu GP, áp dụng các thiết lập và chạy các
script
Tiến trình cơ bản giống như vậy khi user đăng
nhập
12. Mẫu quản trị(Administrative
template)
500 các thiết lập cho
môi trường người dùng
Not configured
Enabled
Disabled
13. Chức năng
Gán quyền hệ thống cho người dùng
Giới hạn ứng dụng mà người dùng có
thể thi hành
Kiểm soát các thiết lập hệ thống
Hạn chế các chương trình
Hạn chế tổng quát màn hình Desktop
14. Điều khiển các thiết lập
Các mẫu:
Dùng để hạn chế thao tác cấu hình user
desktop và computer
Giảm công sức quản trị
7 loại chính của việc thiết lập cấu hình có
thể áp dụng cho computer hoặc user của
1 GPO
16. Quản lý bảo mật với Group
Policy
Các thiết lập Password Policy, Account
Policy, Kerberos Policy chỉ có thể áp dụng
trên các đối tượng domain
Các nút khác trong loại Security Settings có
thể áp dụng trên cả domain và các OU
Local Policies
Audit Policy
User Rights Assignment
Security Options
17. Gán các Script
Windows Server 2003 có thể chạy các script
trong lúc:
User đăng nhập và đăng xuất
Phần User của GPO
Computer khởi động và shutdown
Phần Computer của GPO
Mặc định là các script chạy đồng bộ từ trên
xuống dưới
Có thể xác định các thời điểm script time-
out, thực thi không đồng bộ và ẩn các script
18. Tái điều hướng các thư
mục
Cho phép tái điều hướng các nội dung
của 1 user profile đến 1 vị trí trên
mạng
Nội dung có thể tái điều hướng là: dữ
liệu ứng dụng, desktop, My
Documents, Start menu
Tái điều hướng có ích vì:
Hỗ trợ backup
Giảm thời gian đăng nhập
Cho phép tạo 1 desktop chuẩn cho nhiều
user
20. Sự Kế Thừa Chính Sách
Nhóm
Group Policy sẽ được kế thừa từ đối tượng cha sang
đối tượng con trong cùng domain
Group Policy không kế thừa từ miền cha sang miền
con
Nếu một thiết lập đã xác lập cho đối tượng cha thì nó
sẽ được kế thừa sang đối tượng con trong trường
hợp thiết lập này chưa được xác lập ở đối tượng con
Nếu một thiết lập đã xác lập cho đối tượng cha, và
thiết lập này cũng được xác lập ở đối tượng con thì
xác lập tại đối tượng con sẽ có độ ưu tiên cao hơn.
Bất kỳ thiếp lập nào được cấu hình là Not Configured
thì đối tượng con sẽ không được kế thừa
21. Quản lý thừa kế Group
Policy
Thứ tự đặc biệt cho ứng dụng GPO:
Local computer Site Domain Parent OU
Child OU
Theo mặc định tất cả các thiết lập GPO
được thừa kế
Tại mỗi mức, có thể có nhiều GPO
Các chính sách được áp dụng theo thứ tự mà
chúng xuất hiện trên thẻ Group Policy cho mỗi
container, bên dưới GPO đầu tiên
Áp dụng số lượng nhiều các GPO có thể
ảnh hưởng hiệu suất khởi động và đăng
nhập
22. Quản lý thừa kế Group
Policy (tt)
Các mâu thuẫn được giải quyết theo
một tập các công thức
Các chính sách được cập nhật tự
động tại từng thời điểm và có thể cập
nhật thủ công
Các chính sách có thể liên kết với 1
site, domain hoặc các OU container
Một GPO đơn có thể liên kết với nhiều
container
23. Thứ tự xử lý GPO
Thành viên workgroup: Các máy tính là
thành viên workgroup chỉ xử lý các
chính sách nhóm cục bộ(Local GPO)
No override: Các chính sách nhóm khác
không thể ghi đè lên chính sách nhóm
này
Block Policy Inheritance: Không cho
phép kế thừa chính sách nhóm
24. Khóa thừa kế Policy
Để thay đổi thừa kế mặc định, dùng
Block Policy trong thẻ Group Policy
cho 1 container con
Con sẽ không thừa kế các chính sách
của cha
Có ích nếu 1 OU cần được quản lý riêng
25. Cấu hình No Override
Nếu 1 chính sách được cấu hình với
No Override
Nó sẽ bị ép áp dụng các mâu thuẫn trong
các chính sách ở mức thấp hơn
Nó sẽ bị ép áp dụng trên các contairner
ở mức thấp hơn với thiết lập thừa kế
Block Policy
27. Hạn chế chức năng của
Internet Explorer
Không cho phép người dùng thay đổi
bất kỳ thông số nào trong tab security-
>advanced trong internet option
Vào User configuration->Administrative
template->Window components->Internet
Explorer
31. Tổng kết
Một GPO là một đối tượng trong AD
dùng để cấu hình và áp dụng các thiết
lập cho các đối tượng user &
computer
2 kiểu GPO mặc định được tạo khi AD
đã cài đặt:
Default Domain Policy
Default Domain Controllers Policy
2 cơ chế để tạo các GPO:
Microsoft Management Console Group
Policy snap-in
Group Policy extension trong Active
Directory Users and Computers
32. Tổng kết (tt)
Các GPO có thể được dùng để:
Điều khiển các thiết lập desktop và bảo mật
Áp dụng các script khi user đăng nhập và đăng
xuất, khi computer khởi động và shutdown
Cho tái điều hướng thư mục
Các GPO được áp dụng theo thứ tự xác định
Các GPO được thừa kế theo mặc định:
Có thể thay đổi bằng cách khóa thừa kế Group
Policy, cấu hình No Override hoặc lọc dùng các
quyền user
Dùng GPRESULT hoặc công cụ RSoP để xem
tác động của các thiết lập GP
33. Tổng kết (tt)
Các GPO có ích trong việc triển khai và
bảo trì các ứng dụng phần mềm
Các GPO được dùng trong 4 giai đoạn
của 1 phần mềm
Để triển khai, GP dùng 1 file MSI chứa
các thông tin cần thiết để cài đặt theo
một số cấu hình khác nhau
Các ứng dụng đã cài đặt có thể được
chuyển hoặc xuất bản
