Group policy object phần 2

1. Group Policy Object Ph n 2ầ
M nh ã trình bày Group Policyỉ đ
Object c b nơ ả ở Ph n 1ầ . Ở
ph n 2 mình xin trình bày chiầ
ti t các thu c tính c a GPOế ộ ủ
Chu n bẩ ị
– Xem cách chu n b c a Ph nẩ ị ủ ầ
1.
– C u hình Policy: GPO 1, 2, 3,ấ
4, 5 nh Ph n 1.ư ầ
Tình hu ng: Trong h th ng, taố ệ ố
có nhu c u GPO cha không tácầ
ng vào OU conđộ . gi iĐể ả
quy t c v n này ta có 2ế đượ ấ đề
cách th c hi n cho 2 tìnhự ệ
hu ng khác nhau.ố
Cách 1: T o GPO ph nh (OUạ ủ đị
Cha c m Recycle Bin mà OUấ
con cho phép Recycle Bin)
M t máy tính, user có th b tácộ ể ị
ng c a các policyđộ ủ nh : Localư
Policy, Domian Policy, OU

2. Policy, Child OU Policy, v.v
( GPO áp cho OU con) . Ngoài
ra còn có Site Policy ( Policy
tác ng lên 1 ho c nhi uđộ ặ ề
domain). Th t tác ng c aứ ự độ ủ
Policy nh sau:ư
u tiên, PC c kh i ng thìĐầ đượ ở độ
s b tác ng b i:ẽ ị độ ở
+ Local Policy, sau ó l n l tđ ầ ượ
là
+ Site Policy
+ Domian Policy
+ OU Policy
+ Child OU Policy (OU con). ( Từ
cao xu ng th p)ố ấ
c p sâu h n thì:Đề ậ ơ trong quá
trình tác ng t khi máy tínhđộ ừ
c b t cho n khi hi n rađượ ậ đế ệ
màn hình ng nh p thì PC bđă ậ ị
áp t b i các policy trong m cđặ ở ụ
Computer Configuration.

3. + Computer Configuration Local
Policy
+ Computer Configuration Site
Policy
+ Computer Configuration
Domain Policy
+ Computer Configuration OU
Policy
+ Computer Configuration
Child OU Policy
Khi user log on thì nó s b nhẽ ị ả
h ng c a các Policy trongưở ủ
User Configuration c ng theoũ
th t nh trên.ứ ự ư
Nh v y, n u các Policy t Localư ậ ế ừ
n Child OU mà không bđế ị
ng ch m ( ph nh) thì k tđụ ạ ủ đị ế
qu cu i cùng là b nh h ngả ố ị ả ưở
b i t ng các policy.ở ổ
N u có ng ch m ( ph nh 1ế đụ ạ ủ đị
policy nào ó) thì th t uđ ứ ự ư

4. tiên s i t Child OU cho nẽ đ ừ đế
Local Policy
( VD: OU cha c m Controlấ
Pannel mà OU con cho phép
Control Pannel thì k t qu làế ả
cho phép Control Pannel).
Tình hu ng:ố OU NhanSu cđượ
phép truy c p Control Pannelậ
Tri n khai:ể
Run -> gpmc.msc -> Ou NhanSu
-> Create GPO …
t tên: GPO 6: Cho PhepĐặ
Control Pannel

5. T o GPO ph nhạ ủ đị
R i Edit -> C u hình Policy nhồ ấ ư
ã h c (Disable).đ ọ
Test: các b n t test Policy.ạ ự
Cách 2: Dùng ph ng th cươ ứ Block
Inheritance ( Khóa c tính kđă ế
th a c a OU).ừ ủ âyĐ là 1 thu cộ
tính c a OUủ
Tri n khai:ể

6. Ch n OU NhanSU ->ọ Block
Inheritance
Lúc này OU NhanSu s khôngẽ
còn ch u nh h ng c a GPOị ả ưở ủ
1, 2 t OU cha do ã m t tínhừ đ ấ
k th a.ế ừ
Block Inheritance
L u ý: Dùng cách 2ư khi ta không
mu n OU ch u b t kì tác ngố ị ấ độ
nào t các GPO c a OU cha.ừ ủ

7. Tình hu ng:ố
GPO 1: c m control pannel làấ
quy nh chung c a côngđị ủ
ty, b t bu cắ ộ ph i c ápả đượ
t,đặ dù có b quy n th a kỏ ề ừ ế
ho c b ph nh i ch ng n a.ặ ị ủ đị đ ă ữ
Ta s d ng tínhử ụ
n ngă Enforced có trên GPO.
Enforced
Nh ng GPOữ mà Enforced s cóẽ
hình “ khóa”ổ .

8. Tình hu ng:ố Ta y nhi mủ ệ cho
NS1 qu n lý OU NhanSu màả
OU NhanSu l i có GPO 5 :ạ
c m m ADUC.ấ ở
Nên ta có nhu c u bi t ãi ng iầ ệ đ ườ
dùng ( b c ãi ho c u ãi). Doạ đ ặ ư đ
GPO là 1 AD Object nen GPO
c ng có b quy n Security.ũ ộ ề
S d m t userở ĩ ộ ch u tác ngị độ
c a 1 GPO là do b t kì userủ ấ
nào trong domian u có 2đề
quy n:ề Read và Apply Group
Policy. N u user không cóế 1
trong 2 quy nề này thì GPO
không th tác ng n userể độ đế
ó.đ
+ N u ch mu n c m NS2ế ỉ ố ấ
ADUC (b c ãi)ạ đ : t o GPO c mạ ấ
ADUC r i cho 2 NS2 2 quy nồ ề
trên. R i Group AuthenticatedỒ
User deny 2 quy n ó.ề đ
+ N u chế ỉ mu n NS1 c số đượ ử
d ngụ ADUC (bi t ãi)ệ đ thì cho

9. Group Authenticated User 2
quy n, NS1 deny quy n Read,ề ề
Apply ( ho c denyặ 1 trong 2
quy n u c).ề đề đượ
Tri n khai:ể
Bi t ãiệ đ ng i dùng trên GPO nàoườ
thì làm vi c trên GPO ó.ệ đ
Gpmc.msc -> Ch n OU Nhan Suọ
-> Ch n GPO 5 -> Nhìn bênọ
ph i tìm tab Delegationả
Ch nọ Advanced

10. Ta add user: NS1 và check vào :
Deny quy n Read r i Apply ->ề ồ
OK
Log on NS1 th y m c gpmcấ ở đượ
và GPO 5 là: inaccessible do
ta Deny Read ( n u chế ỉ deny
Apply thì v n th y GPO 5)ẫ ấ

11. Trên cùng 1 OU có 2 GPO: v aừ
c m Control Pannel, v a choấ ừ
phép Control Pannel . GPO
nào x p trên thì u tiên h n.ế ư ơ
CH n OU Nhan Su, bên ph iọ ả
ch n tab: Linked Group Policesọ
Object: có nút m i tên. Ta dùngũ
nút này s p x p các Policyđể ắ ế
theo nhu c u.ầ

12. S p x p GPOắ ế
GHI CHÚ:
+ xem t ch c có bao nhiêuĐể ổ ứ
GPO: dùng Group Policy
Objects trong gpmc
+ xem 1 GPO ang tác ngĐể đ độ
n nh ng OU nào:đế ữ ch n GPOọ
b t kì, bên ph i ch nấ ả ọ
Tab Scope

13. + xem 1 OU ang ch u tácĐể đ ị
ng c a nh ng GPO nào :độ ủ ữ
Ch n OU b t kì: ch nọ ấ ọ Tab:
Group Policy Inheritance ( phủ
nh, th a k , Enforced v.v)đị ừ ế
+ xemĐể trong 1 GPO ã ch nhđ ỉ
nh ng policy nào:ữ
Ch n GPO b t kì -> bên ph iọ ấ ả
ch n Tabọ Setting

14. Ghi chú: Group Authenticated
User nh h n group users , chỏ ơ ỉ
nh ng user ã log on thànhữ đ
công thì m i là memberớ trong
group này (t i u h n)ố ư ơ