SlideShare a Scribd company logo

Tìm hiểu group policy object và các ví dụ

Download as DOCX, PDF
laonap166
laonap166

Tìm hiểu group policy object và các ví dụ

Technology
1 of 18
Tìm hiểu Group Policy Object và các ví dụ Group policy có thể được coi là một thứ system policy (phiên bản cũ). Các chính sách này được MS phát minh ra từ Windows 2000, áp dụng được với các hệ điều hành kể từ bản windows 2000. Một số đặc điểm của Group Policy: – Các group policy chỉ có thể hiện hữu trên miền Active Directory. – Các group policy có thể dùng để triển khai phần mềm cho một hoặc hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logout), khở động (start up), và tắt máy (shut down); để đơn giản hóa và hạn chế các chương trình trên máy khách; để định hướng lại (redirector) một số folder trên máy khách (như Computer, My Document)… – Group policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bảo khỏi miền AD. – Các Group policy chỉ được áp dụng vào lúc máy khách khởi động (đối với chính sách dành cho máy) hoặc đăng nhập (đối với chính sách dành cho người dùng). Các group policy được áp dụng lúc máy trạm khởi động, lúc máy trạm đăng nhập, vào mọi thời điểm (được cấu hình trước). – Tuy gọi là Group nhưng các group policy chủ yếu được áp dụng cho các site, domain và OU (Organiztion Unit). Thực ra cũng có thể áp dụng chúng cho các nhóm nwgowfi dùng, nhưng phải sử dụng kỹ thuật lọc và chặn chính sách (policy filtering), tuy nhiên việc áp dụng kỹ thuật này gây rắc rối cho việc quản trị và troubleshooting mạng về sau, và làm chậm quá trình đăng nhập của người dùng qua mạng. – Trên các máy tính local, có thể sử dụng local group policy để áp dụng cho máy đó (chỉ duy nhất máy đó). – Các group policy áp dụng cho các đối tượng gọi là Group policy Objject (GPO). Các GPO được lưu trữ một phần trong cơ sở dữ liệu của AD và một phần trong share SYSVOL. Phần nằm trong share SYSVOL của mỗi GPOP bao gồm một số file và thư mục con bên trong thư mục WindowsINNTSYSVOLsysvolDomainamePlocyesGUID, trong đó GUID là mã nhận diện đơn nhất toàn cầu (Global Unique Identifier) dành cho GPO.
– Chương trình để tạo ra và chỉnh sửa các GPO có tên là Group policy object Editor, có dạng mộc console MMC khác, ví dụ như: Console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group policy). Tìm hiểu Group Policy Object và các ví dụ Các thành phần trong Group Policy Object Phần I: Computer Configuration: Windows Setting: Tại đây có thể tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, quản lý việc khởi động và đăng nhập hệ thống… – Scripts: (startup/Shutdown): Có thể chỉ định cho Windows sẽ chạy một mã nào đó khi Windows Startup hoặc Shutdown.
– Security setting: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người dùng nào. Account Policies: Các chính sách áp dụng cho tài khoản người dùng. Local Policy: Kiểm định chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng cục bộ. Public Key Policies. Các chính sách khóa dùng chung. Chi tiết từng thành phần: 1. Acount Policies: Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy.
– Enforce password history: Với những người sử dụng không có thói quen ghi nhớ nhiều mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ để thay cho mật khẩu mới, điều này là một kẽ hở lớn liên quan trực tiếp đến việc lộ mật khẩu. Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu. – Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thay đổi mật khẩu định kỳ nhằm nâng cao độ an toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quan của bạn, từ đó có thể tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày, giá trị mặc định là 42 ngày. – Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu. Hết thời gian này bạn mới có thể thay đổi mật khẩu của tài khoản, hoặc bạn có thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày. bạn cần thiết lập Minimum password age lớn hơn 0 nếu muốn chính sách enforce passwordhistory có hiệu quả vì người sử dụng có thể thiết lập lại mật khẩu nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ. – Minimum password length: Độ dài nhỏ tối thiểu của mật khẩu tài khoản (tính mằng số ký tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị là 0 nếu không muốn sử dụng mật khẩu. Giá trị mặc định là 0. – Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu, nếu tính năng này có hiệu lực, mật khẩu của tài khoản ít nhất phải đạt những yêu cầu sau: + Không chứa tất cả hoặc một phần tên tài khoản ng ười dùng. + Độ dài nhỏ nhất là 6 ký tự. + Chứa 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a->z), các chữ cái hoa (A->Z>), các chữ số (0->9) và các ký tự đặc biệt. Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu, mặc định là: Disable. Store password using reversible encryption fo all user in the domain: Lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain. Tính năng cung cấp sự hỗ trợ cho các ứng dụng giao thức, nó yêu cầu sự am hiểu về mật khẩu người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngược thực chất giống như việc lưu trữ các văn bản mã hóa các thông tin bảo vệ mật khẩu. Mặc định: Disable. b. Acount lockout Policy:
– Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước khi mở khóa được thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không muốn tự đông Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập. – Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công. Trong trường hợp này Account sẽ bị khóa. Trong trường hợp này Account sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hết hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa. – Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập.
2. Local Policy: các chính sách cục bộ – User rights Assignments: Ấn định quyền cho người dùng. Quyền của người dùng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian cho hệ thống…. Trong phần này để cấu hình cho một mục nào đó, click đúp chuột lên mục và click Add user or group để trao quyền mặc định cho user hoặc group theo yêu cầu. + Access this computer from the network: Với những kẻ tò mò, tốt nhất chúng ta không cho phép chúng truy cập vào máy tính của mình. Với thiết lập này ta có thể tùy ý thêm, bớt quyền truy cập vào máy cho bất ký tài khoàn nào hoặc nhóm nào. + Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định Administrator có quyền cao nhất, có
thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này. + Add workstation to domain: Thêm một tài khoản hoặc nhóm vào miền. Chính sách này chỉ hoạt động trên hệ thống sự dụng Domain Controller. Khi được thêm vào miền, tài khoản này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạc như một thành viên trong domain. + Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chi tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này có làm tăng hiệu suất hệ thống nhưng nó có thể bị lạm dụng phục vụ cho những mục đích xấu như tấn công từ chối dịch vụ DoS (Dial of Service). + Allow logon through Terminal Services: Terminal services là một dịch vụ cho phép đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal services để đăng nhập hệ thống. + backup files add directories: Tương tự như các chính sách trên, ở đây cấp phép ai đó có quyền backup dữ liệu. + Change the systemtime: Cho phép người sử dụng nào có quyền thay đổi thời gian của hệ thống. + Create global objects: Cấp quyền cho ai có thể tạo ra các đối tượng dùng chung. + Force shutdown from a remote system: Cho phép ai có quyền tắt máy qua hệ thống điều khiển từ xa. + Shutdown the system: Cho phép ai có quyền shutdown máy. + Deny access to this computer from the net…: Cấm user không được phép truy xuất đến máy. + Deny logon localy: Cấm User Logon cục bộ. + Deny logon through Terminal Services: Cấm User Remote Desktop. + Logon localy: Thiết lập người dùng Logon cục bộ. – Security Optins:
+ Account: Administrator account status: Trạng thái hoạt động của Administrator. + Account: Guest account status: Trạng thái hoạt động của User Guest. + Account: Limit local account use of blank password to consolo: Đăng nhập không cần password. + Account: Rename administrator account: Đổi tên Administrator. + Account: Rename guest account: Đổi tên Guest. + Devices: Prevent users from installing printer drivers: Không cho phép cài Printer + Devices: Restrict CD-ROM access to localy logged-on user only: Cấm truy nhập xa từ CD-ROM. + Interactive: Do not require CTRL + ALT + DEL: Bỏ Ctrl + alt + Del
+ Interactive: Message text for users attempting to logon: Đặt tiêu đề khi logon. + Interactive: Message title for users attempting to log on: Đặt tiêu đề khi logon + Interactive: Number of previous logons to cache in cache: Cache kho logon + Shutdown: Allow system to be shut down + Shutdown: Allow system to be shut down without having to log on: Shutdown không cần logon. + Shutdown: Clear virtual memory pagefile. Xóa bộ nhớ ảo khi Shutdown. Administrator Templates -> Windows Components -> Intenet Explorer (IE) + Security Zones: Use only machine settings: Bắt buộc tất cả các User đều chung một mức độ Security như nhau.
+ Security Zones: Do not allow users to change policies: Trong Security Zone có danh sách các Site nguy hiểm do người dùng thiết lập, Enable tùy chọn sẽ không co thay đổi danh sách đó (Tốt nhất là giấu thẻ Security). + Disable Periodic Check for Internet Explorer software updates: Ngăn không cho IE tự động Update. Administrator Templates -> System -> Logon + Don’t display the Getting Started welcome screen at logon: Ẩn màn hình Welcome khi User đăng nhập vào hệ thống. Computer Configuration -> Policies – > Administrative Templates – > System -> Systemstore
+ Turn off System Restore: Tắt System Restore, khi user gọi System Restore thì xuất hiện thông báo “System Restore has been turn off by group policy. To turn on System Restore, contact your domain Administrator”. + Turn off Configuration: Chỉ có tác dụng khi System Restore được kích hoạt, tính năng này vô hiệu hóa phần thiết lập cấu hình của System Restore. Phần II: User configuration User configuration – >Windows Setting – > Internet Explorer Maintenance – > Browse User Interface.
+ Browser Title: Thay đổi tiêu đề nội dung IE + Custom Logo: Thay đổi logo của IE (Chỉ hỗ trợ file BMP có 16-256 màu và kích cỡ 22×22 hoặc 38×38). + Browse Toolbar Customizations: Thay đổi Toolbar cho IE. User configuration – > Administrator Templates – > Windows Components – > Windows Expolorer
+ Maximum number of recent documents: Quy định số lượng tài liệu đã mở hiển thị trong My Recent Documents. + Do not move deletedfiles to the Recycle Bin: File bị xóa sẽ không được đưa vào Recycle Bin. + Maximum allowed Recycle Bin size: Giới hạn dung lượng Recycle Bin, tính bằng đơn vị phần trăm dung lượn của ổ đĩa cứng. + Removes the Folder Options menu item from the Tools menu. Ẩn Folder Option. + Remove Search button from Windows Expolorer. Ẩn Search trong Explorer. + Remove Windows Explorer’s default context menu. Ẩn context khi clickchuột phải. + Hides the manage item the Windows Expolorer context. Ẩn manage khi click chuột phải vào My Computer.
+ Hide these specfied drivers in My Computer. Ẩn ổ đĩa (access qua Addresss). + Prevent access to drivers from My Computer. Ngăn truy cập các ổ đĩa. + Remove Hardware tab. Ẩn tab Hardware. + Remove DFS tab. Ẩn tab DFS. + Remove Security tab. Ẩn tab Security. User configuration – > Administrator Templates – > Windows Components – > Windows Update + remove access to use all Windows Update features. Cấm tải các bản cập nhật. User configuration – > Administrator Templates – > Windows Components – > Windows Media Player – > Playback
+ Prevent Codec Download: Ngăn không cho Windows Media Player tự động tải các codec. + Allow Screen Saver: Cho phép thiếp lập màn hình giao diện Windows Media Player. User configuration – > Administrator Templates – > Start Menu and Taskbar
+ Remove Logff on the Start Menu. Ẩn Logff ở Start Menu. + Remove and prevent access to the Shut Down command. Ẩn Shut Down. + Remove Drag-and-drop context menus on the Start Menu. Cấm Drag Drop (kéo thả) + Prevent changes to Taskbar and Start Menu Settings. Không thay đổi các thuộc tính đã thiết lập. + Clear history of recently opened documents on exit. Không lưu tập tin trong My Document. + Lock the Taskbar. Khóa Taskbar. + Remove user name from Start Menu. Không hiển thị tên trên Start Menu. + Do not display any custom toolbars in the taskbar. Ẩn toolbars.
User configuration – > Administrator Templates – > Desktop + Hide and disbale all items on the desktop. Ẩn biểu tượng trên Desktop. + Remove My Documents icon on the desktop. Ẩn icon My Documents trên desktop. + Remove My Computer icon on the desktop. Ẩn icon My Computer trên desktop. + Remove Recycle Bin icon on the desktop. Ẩn icon Recycle Bin trên desktop. + Don’t save settings at exit. Không thay đổi thiết lập sau khi tắt máy. Điều khiển đặc quyền tài khoản Administrator Bạn có thể điều khiển các tài khoản để biết chung có khả năng làm những gì và được phép truy cập những gì ? Vì sao lại là điều khiển tài khoản Administrator ?
Có rất nhiều lý do cần kiểm soát tài khoản này. Đầu tiên, trên mỗi mạng, dù trung bình hay lớn cũng có thể có hàng nghìn tài khoản Administrator. Khả năng chúng vượt ra ngoài tầm kiểm soát là hoàn toàn có thực. Thứ hai, hầu hết các công ty đều cho phép “người dùng tiêu chuẩn” truy cập tài khoản Administrator cục bộ, có thể dẫn đến nguy cơ rủi ro hay tai nạn nào đó. Thứ ba, tài khoản administrator nguyên bản ban đầu sẽ buộc phải dùng một cách dè dặt. Vì vậy, giới hạn đặc quyền là một cách thông minh để quản lý hệ thống mạng trong doanh nghiệp. Giới hạn đặc quyền đăng nhập Chúng ta không làm được gì nhiều để giới hạn vật lý đặc quyền đăng nhập các tài khoản Administrator. Tuy nhiên không nên để chúng được sử dụng thường xuyên, cơ bản hàng ngày. Cần giới hạn chúng bằng cách hạn chế số người dùng biết mật khẩu. Với tài khoản Administrator liên quan đến Active Directory, tốt hơn hết là không để cho người dùng nào biết toàn bộ mật khẩu. Điều này có thể thực hiện dễ dàng với hai tài khoản Administrator khác nhau, chỉ nhập một phần mật khẩu, và dùng một tài liệu dẫn dắt đến các phần chưa mật khẩu đó. Nếu tài khoản chưa cần phải dùng đến, cả hai phần dữ liệu của mật khẩu có thể được giữ nguyên. Một lựa chọn khác là sử dụng chương trình tự động tạo mật khẩu, có thể tạo ra mật khẩu tổng hợp. Giới hạn khả năng truy cập Administrator cục bộ. Giảm quyền truy cập mạng

Recommended

Mcsa 2012 local group policy
Mcsa 2012 local group policyMcsa 2012 local group policy
Mcsa 2012 local group policylaonap166
 
Huynh hongkhoi
Huynh hongkhoiHuynh hongkhoi
Huynh hongkhoiHôKa Huyn
 
Báo Cáo Thực Tập Athena
Báo Cáo Thực Tập AthenaBáo Cáo Thực Tập Athena
Báo Cáo Thực Tập AthenaHôKa Huyn
 
Audit policy giám sát hệ thống
Audit policy giám sát hệ thốngAudit policy giám sát hệ thống
Audit policy giám sát hệ thốnglaonap166
 
Chuyên đề group policy
Chuyên đề group policyChuyên đề group policy
Chuyên đề group policyBình Trọng Án
 
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...MasterCode.vn
 
Gpo
GpoGpo
Gpoit
 
Password cracking
Password crackingPassword cracking
Password crackinghuuhauit
 

Recommended

Mcsa 2012 local group policy
Mcsa 2012 local group policyMcsa 2012 local group policy
Mcsa 2012 local group policylaonap166
 
Huynh hongkhoi
Huynh hongkhoiHuynh hongkhoi
Huynh hongkhoiHôKa Huyn
 
Báo Cáo Thực Tập Athena
Báo Cáo Thực Tập AthenaBáo Cáo Thực Tập Athena
Báo Cáo Thực Tập AthenaHôKa Huyn
 
Audit policy giám sát hệ thống
Audit policy giám sát hệ thốngAudit policy giám sát hệ thống
Audit policy giám sát hệ thốnglaonap166
 
Chuyên đề group policy
Chuyên đề group policyChuyên đề group policy
Chuyên đề group policyBình Trọng Án
 
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...
Bài 8: Triển khai bảo mật sử dụng chính sách nhóm (Group policy) - Giáo trình...MasterCode.vn
 
Gpo
GpoGpo
Gpoit
 
Password cracking
Password crackingPassword cracking
Password crackinghuuhauit
 
Gpedit.msc
Gpedit.mscGpedit.msc
Gpedit.msclaonap166
 
Part 6 local policy - local sercurity policy -www.key4_vip.info
Part 6 local policy - local sercurity policy -www.key4_vip.infoPart 6 local policy - local sercurity policy -www.key4_vip.info
Part 6 local policy - local sercurity policy -www.key4_vip.infolaonap166
 
Phan1.3
Phan1.3Phan1.3
Phan1.3Hungsusi Ong
 
Isa2004
Isa2004Isa2004
Isa2004Informatics Institute of Technology
 
C04 2 quản lý tài khoản người dùng và nhóm
C04 2 quản lý tài khoản người dùng và nhómC04 2 quản lý tài khoản người dùng và nhóm
C04 2 quản lý tài khoản người dùng và nhómdlmonline24h
 
Lecture chinhsachnhom
Lecture chinhsachnhomLecture chinhsachnhom
Lecture chinhsachnhomLã Đạt
 
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chúLecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chúLã Đạt
 
Khoa.pptx
Khoa.pptxKhoa.pptx
Khoa.pptxHongHoi11
 
HIGHLIGHT TÍNH NĂNG CRM HAY TRONG PHIÊN BẢN PHẦN MỀM CRM PRO 2015
HIGHLIGHT TÍNH NĂNG CRM HAY TRONG PHIÊN BẢN PHẦN MỀM CRM PRO 2015HIGHLIGHT TÍNH NĂNG CRM HAY TRONG PHIÊN BẢN PHẦN MỀM CRM PRO 2015
HIGHLIGHT TÍNH NĂNG CRM HAY TRONG PHIÊN BẢN PHẦN MỀM CRM PRO 2015OnlineCRM - Phần mềm CRM chuyên sâu theo ngành
 
Trình bày các tác vụ quản lý Domain với Windows Server 2008
Trình bày các tác vụ quản lý Domain với Windows Server 2008Trình bày các tác vụ quản lý Domain với Windows Server 2008
Trình bày các tác vụ quản lý Domain với Windows Server 2008Tú Cao
 
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...Lương Kiên
 
Mcsa 2012 local user and group
Mcsa 2012 local user and groupMcsa 2012 local user and group
Mcsa 2012 local user and grouplaonap166
 
Mcsa 2012 domain network
Mcsa 2012 domain networkMcsa 2012 domain network
Mcsa 2012 domain networklaonap166
 
Bai 04 chinh sach he thong
Bai 04 chinh sach he thongBai 04 chinh sach he thong
Bai 04 chinh sach he thongVan Pham
 
Bao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucBao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucTư vấn môi trường
 
Slideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 Fithou
Slideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 FithouSlideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 Fithou
Slideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 FithouTú Cao
 
Tuan5
Tuan5Tuan5
Tuan5Vương Nguyễn
 
Bao mat may chu cua mot to chuc
Bao mat may chu cua mot to chucBao mat may chu cua mot to chuc
Bao mat may chu cua mot to chucTư vấn môi trường
 
120 cau mon quan tri mang public_sv
120 cau mon quan tri mang public_sv120 cau mon quan tri mang public_sv
120 cau mon quan tri mang public_svTin Thấy
 
Tai lieuhuongdansudung
Tai lieuhuongdansudungTai lieuhuongdansudung
Tai lieuhuongdansudungdanhhui2002
 
Huong dan xu ly cac loi khi su dung phan mem reset may in
Huong dan xu ly cac loi khi su dung phan mem reset may inHuong dan xu ly cac loi khi su dung phan mem reset may in
Huong dan xu ly cac loi khi su dung phan mem reset may inlaonap166
 
Huong dan reset muc l200 epson
Huong dan reset muc l200 epsonHuong dan reset muc l200 epson
Huong dan reset muc l200 epsonlaonap166
 

More Related Content

Similar to Tìm hiểu group policy object và các ví dụ

Part 6 local policy - local sercurity policy -www.key4_vip.info
Part 6 local policy - local sercurity policy -www.key4_vip.infoPart 6 local policy - local sercurity policy -www.key4_vip.info
Part 6 local policy - local sercurity policy -www.key4_vip.infolaonap166
 
C04 2 quản lý tài khoản người dùng và nhóm
C04 2 quản lý tài khoản người dùng và nhómC04 2 quản lý tài khoản người dùng và nhóm
C04 2 quản lý tài khoản người dùng và nhómdlmonline24h
 
Lecture chinhsachnhom
Lecture chinhsachnhomLecture chinhsachnhom
Lecture chinhsachnhomLã Đạt
 
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chúLecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chúLã Đạt
 
Trình bày các tác vụ quản lý Domain với Windows Server 2008
Trình bày các tác vụ quản lý Domain với Windows Server 2008Trình bày các tác vụ quản lý Domain với Windows Server 2008
Trình bày các tác vụ quản lý Domain với Windows Server 2008Tú Cao
 
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...Lương Kiên
 
Mcsa 2012 local user and group
Mcsa 2012 local user and groupMcsa 2012 local user and group
Mcsa 2012 local user and grouplaonap166
 
Mcsa 2012 domain network
Mcsa 2012 domain networkMcsa 2012 domain network
Mcsa 2012 domain networklaonap166
 
Bai 04 chinh sach he thong
Bai 04 chinh sach he thongBai 04 chinh sach he thong
Bai 04 chinh sach he thongVan Pham
 
Slideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 Fithou
Slideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 FithouSlideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 Fithou
Slideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 FithouTú Cao
 
120 cau mon quan tri mang public_sv
120 cau mon quan tri mang public_sv120 cau mon quan tri mang public_sv
120 cau mon quan tri mang public_svTin Thấy
 
Tai lieuhuongdansudung
Tai lieuhuongdansudungTai lieuhuongdansudung
Tai lieuhuongdansudungdanhhui2002
 

Similar to Tìm hiểu group policy object và các ví dụ (20)

Gpedit.msc
Gpedit.mscGpedit.msc
Gpedit.msc
 
Part 6 local policy - local sercurity policy -www.key4_vip.info
Part 6 local policy - local sercurity policy -www.key4_vip.infoPart 6 local policy - local sercurity policy -www.key4_vip.info
Part 6 local policy - local sercurity policy -www.key4_vip.info
 
Phan1.3
Phan1.3Phan1.3
Phan1.3
 
Isa2004
Isa2004Isa2004
Isa2004
 
C04 2 quản lý tài khoản người dùng và nhóm
C04 2 quản lý tài khoản người dùng và nhómC04 2 quản lý tài khoản người dùng và nhóm
C04 2 quản lý tài khoản người dùng và nhóm
 
Lecture chinhsachnhom
Lecture chinhsachnhomLecture chinhsachnhom
Lecture chinhsachnhom
 
Lecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chúLecture5 userandgroup có ghi chú
Lecture5 userandgroup có ghi chú
 
Khoa.pptx
Khoa.pptxKhoa.pptx
Khoa.pptx
 
HIGHLIGHT TÍNH NĂNG CRM HAY TRONG PHIÊN BẢN PHẦN MỀM CRM PRO 2015
HIGHLIGHT TÍNH NĂNG CRM HAY TRONG PHIÊN BẢN PHẦN MỀM CRM PRO 2015HIGHLIGHT TÍNH NĂNG CRM HAY TRONG PHIÊN BẢN PHẦN MỀM CRM PRO 2015
HIGHLIGHT TÍNH NĂNG CRM HAY TRONG PHIÊN BẢN PHẦN MỀM CRM PRO 2015
 
Trình bày các tác vụ quản lý Domain với Windows Server 2008
Trình bày các tác vụ quản lý Domain với Windows Server 2008Trình bày các tác vụ quản lý Domain với Windows Server 2008
Trình bày các tác vụ quản lý Domain với Windows Server 2008
 
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
Báo cáo chuyên đề mạng -Tìm hiểu và cấu hinh Group policy trên windows server...
 
Mcsa 2012 local user and group
Mcsa 2012 local user and groupMcsa 2012 local user and group
Mcsa 2012 local user and group
 
Mcsa 2012 domain network
Mcsa 2012 domain networkMcsa 2012 domain network
Mcsa 2012 domain network
 
Bai 04 chinh sach he thong
Bai 04 chinh sach he thongBai 04 chinh sach he thong
Bai 04 chinh sach he thong
 
Bao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucBao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chuc
 
Slideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 Fithou
Slideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 FithouSlideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 Fithou
Slideshow - Tạo và quản lý người dùng, phân quyền trong ubuntu - 10b4 Fithou
 
Tuan5
Tuan5Tuan5
Tuan5
 
Bao mat may chu cua mot to chuc
Bao mat may chu cua mot to chucBao mat may chu cua mot to chuc
Bao mat may chu cua mot to chuc
 
120 cau mon quan tri mang public_sv
120 cau mon quan tri mang public_sv120 cau mon quan tri mang public_sv
120 cau mon quan tri mang public_sv
 
Tai lieuhuongdansudung
Tai lieuhuongdansudungTai lieuhuongdansudung
Tai lieuhuongdansudung
 

More from laonap166

Huong dan xu ly cac loi khi su dung phan mem reset may in
Huong dan xu ly cac loi khi su dung phan mem reset may inHuong dan xu ly cac loi khi su dung phan mem reset may in
Huong dan xu ly cac loi khi su dung phan mem reset may inlaonap166
 
Huong dan reset muc l200 epson
Huong dan reset muc l200 epsonHuong dan reset muc l200 epson
Huong dan reset muc l200 epsonlaonap166
 
NEC Server Documents
NEC Server DocumentsNEC Server Documents
NEC Server Documentslaonap166
 
Mtcv giám đốc tt cntt
Mtcv giám đốc tt cnttMtcv giám đốc tt cntt
Mtcv giám đốc tt cnttlaonap166
 
Nếu bạn làm it bạn cần biết
Nếu bạn làm it bạn cần biếtNếu bạn làm it bạn cần biết
Nếu bạn làm it bạn cần biếtlaonap166
 
Nhạp mon lap trinh khong code
Nhạp mon lap trinh khong code Nhạp mon lap trinh khong code
Nhạp mon lap trinh khong code laonap166
 
Ha active active bang gfs2
Ha active active bang gfs2Ha active active bang gfs2
Ha active active bang gfs2laonap166
 
Hướng dẫn cài đặt phần mềm turnoffmonitor
Hướng dẫn cài đặt phần mềm turnoffmonitorHướng dẫn cài đặt phần mềm turnoffmonitor
Hướng dẫn cài đặt phần mềm turnoffmonitorlaonap166
 
Bao cao web cake php
Bao cao web cake phpBao cao web cake php
Bao cao web cake phplaonap166
 
He 74 a-thltht-lãxuântâm-11tlt
He 74 a-thltht-lãxuântâm-11tltHe 74 a-thltht-lãxuântâm-11tlt
He 74 a-thltht-lãxuântâm-11tltlaonap166
 
Quản lý cua hang giai khat lxt
Quản lý cua hang giai khat lxtQuản lý cua hang giai khat lxt
Quản lý cua hang giai khat lxtlaonap166
 
Ve ngoi nha lap trinh do hoa bang c
Ve ngoi nha lap trinh do hoa bang cVe ngoi nha lap trinh do hoa bang c
Ve ngoi nha lap trinh do hoa bang claonap166
 
Don xin thanh lap doanh nghiep lien doanh
Don xin thanh lap doanh nghiep lien doanhDon xin thanh lap doanh nghiep lien doanh
Don xin thanh lap doanh nghiep lien doanhlaonap166
 
Thu cam on khach hang
Thu cam on khach hangThu cam on khach hang
Thu cam on khach hanglaonap166
 
Cai dat su_dung_acronis_snapdeployforpc_debungfilebackuphangloat
Cai dat su_dung_acronis_snapdeployforpc_debungfilebackuphangloatCai dat su_dung_acronis_snapdeployforpc_debungfilebackuphangloat
Cai dat su_dung_acronis_snapdeployforpc_debungfilebackuphangloatlaonap166
 
Xd email server zimbra
Xd email server zimbraXd email server zimbra
Xd email server zimbralaonap166
 
Tom tat ly thuyet thi bằng lái xe b2
Tom tat ly thuyet thi bằng lái xe b2Tom tat ly thuyet thi bằng lái xe b2
Tom tat ly thuyet thi bằng lái xe b2laonap166
 
Policy Based Assignment DHCP – Windows Server 2012
Policy Based Assignment DHCP – Windows Server 2012Policy Based Assignment DHCP – Windows Server 2012
Policy Based Assignment DHCP – Windows Server 2012laonap166
 
How to backup active directory domain services database in windows server 201...
How to backup active directory domain services database in windows server 201...How to backup active directory domain services database in windows server 201...
How to backup active directory domain services database in windows server 201...laonap166
 
Dns backup and recovery in windows server 2012 r2
Dns backup and recovery in windows server 2012 r2Dns backup and recovery in windows server 2012 r2
Dns backup and recovery in windows server 2012 r2laonap166
 

More from laonap166 (20)

Huong dan xu ly cac loi khi su dung phan mem reset may in
Huong dan xu ly cac loi khi su dung phan mem reset may inHuong dan xu ly cac loi khi su dung phan mem reset may in
Huong dan xu ly cac loi khi su dung phan mem reset may in
 
Huong dan reset muc l200 epson
Huong dan reset muc l200 epsonHuong dan reset muc l200 epson
Huong dan reset muc l200 epson
 
NEC Server Documents
NEC Server DocumentsNEC Server Documents
NEC Server Documents
 
Mtcv giám đốc tt cntt
Mtcv giám đốc tt cnttMtcv giám đốc tt cntt
Mtcv giám đốc tt cntt
 
Nếu bạn làm it bạn cần biết
Nếu bạn làm it bạn cần biếtNếu bạn làm it bạn cần biết
Nếu bạn làm it bạn cần biết
 
Nhạp mon lap trinh khong code
Nhạp mon lap trinh khong code Nhạp mon lap trinh khong code
Nhạp mon lap trinh khong code
 
Ha active active bang gfs2
Ha active active bang gfs2Ha active active bang gfs2
Ha active active bang gfs2
 
Hướng dẫn cài đặt phần mềm turnoffmonitor
Hướng dẫn cài đặt phần mềm turnoffmonitorHướng dẫn cài đặt phần mềm turnoffmonitor
Hướng dẫn cài đặt phần mềm turnoffmonitor
 
Bao cao web cake php
Bao cao web cake phpBao cao web cake php
Bao cao web cake php
 
He 74 a-thltht-lãxuântâm-11tlt
He 74 a-thltht-lãxuântâm-11tltHe 74 a-thltht-lãxuântâm-11tlt
He 74 a-thltht-lãxuântâm-11tlt
 
Quản lý cua hang giai khat lxt
Quản lý cua hang giai khat lxtQuản lý cua hang giai khat lxt
Quản lý cua hang giai khat lxt
 
Ve ngoi nha lap trinh do hoa bang c
Ve ngoi nha lap trinh do hoa bang cVe ngoi nha lap trinh do hoa bang c
Ve ngoi nha lap trinh do hoa bang c
 
Don xin thanh lap doanh nghiep lien doanh
Don xin thanh lap doanh nghiep lien doanhDon xin thanh lap doanh nghiep lien doanh
Don xin thanh lap doanh nghiep lien doanh
 
Thu cam on khach hang
Thu cam on khach hangThu cam on khach hang
Thu cam on khach hang
 
Cai dat su_dung_acronis_snapdeployforpc_debungfilebackuphangloat
Cai dat su_dung_acronis_snapdeployforpc_debungfilebackuphangloatCai dat su_dung_acronis_snapdeployforpc_debungfilebackuphangloat
Cai dat su_dung_acronis_snapdeployforpc_debungfilebackuphangloat
 
Xd email server zimbra
Xd email server zimbraXd email server zimbra
Xd email server zimbra
 
Tom tat ly thuyet thi bằng lái xe b2
Tom tat ly thuyet thi bằng lái xe b2Tom tat ly thuyet thi bằng lái xe b2
Tom tat ly thuyet thi bằng lái xe b2
 
Policy Based Assignment DHCP – Windows Server 2012
Policy Based Assignment DHCP – Windows Server 2012Policy Based Assignment DHCP – Windows Server 2012
Policy Based Assignment DHCP – Windows Server 2012
 
How to backup active directory domain services database in windows server 201...
How to backup active directory domain services database in windows server 201...How to backup active directory domain services database in windows server 201...
How to backup active directory domain services database in windows server 201...
 
Dns backup and recovery in windows server 2012 r2
Dns backup and recovery in windows server 2012 r2Dns backup and recovery in windows server 2012 r2
Dns backup and recovery in windows server 2012 r2
 

Tìm hiểu group policy object và các ví dụ

  • 1. Tìm hiểu Group Policy Object và các ví dụ Group policy có thể được coi là một thứ system policy (phiên bản cũ). Các chính sách này được MS phát minh ra từ Windows 2000, áp dụng được với các hệ điều hành kể từ bản windows 2000. Một số đặc điểm của Group Policy: – Các group policy chỉ có thể hiện hữu trên miền Active Directory. – Các group policy có thể dùng để triển khai phần mềm cho một hoặc hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logout), khở động (start up), và tắt máy (shut down); để đơn giản hóa và hạn chế các chương trình trên máy khách; để định hướng lại (redirector) một số folder trên máy khách (như Computer, My Document)… – Group policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bảo khỏi miền AD. – Các Group policy chỉ được áp dụng vào lúc máy khách khởi động (đối với chính sách dành cho máy) hoặc đăng nhập (đối với chính sách dành cho người dùng). Các group policy được áp dụng lúc máy trạm khởi động, lúc máy trạm đăng nhập, vào mọi thời điểm (được cấu hình trước). – Tuy gọi là Group nhưng các group policy chủ yếu được áp dụng cho các site, domain và OU (Organiztion Unit). Thực ra cũng có thể áp dụng chúng cho các nhóm nwgowfi dùng, nhưng phải sử dụng kỹ thuật lọc và chặn chính sách (policy filtering), tuy nhiên việc áp dụng kỹ thuật này gây rắc rối cho việc quản trị và troubleshooting mạng về sau, và làm chậm quá trình đăng nhập của người dùng qua mạng. – Trên các máy tính local, có thể sử dụng local group policy để áp dụng cho máy đó (chỉ duy nhất máy đó). – Các group policy áp dụng cho các đối tượng gọi là Group policy Objject (GPO). Các GPO được lưu trữ một phần trong cơ sở dữ liệu của AD và một phần trong share SYSVOL. Phần nằm trong share SYSVOL của mỗi GPOP bao gồm một số file và thư mục con bên trong thư mục WindowsINNTSYSVOLsysvolDomainamePlocyesGUID, trong đó GUID là mã nhận diện đơn nhất toàn cầu (Global Unique Identifier) dành cho GPO.
  • 2. – Chương trình để tạo ra và chỉnh sửa các GPO có tên là Group policy object Editor, có dạng mộc console MMC khác, ví dụ như: Console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group policy). Tìm hiểu Group Policy Object và các ví dụ Các thành phần trong Group Policy Object Phần I: Computer Configuration: Windows Setting: Tại đây có thể tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, quản lý việc khởi động và đăng nhập hệ thống… – Scripts: (startup/Shutdown): Có thể chỉ định cho Windows sẽ chạy một mã nào đó khi Windows Startup hoặc Shutdown.
  • 3. – Security setting: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người dùng nào. Account Policies: Các chính sách áp dụng cho tài khoản người dùng. Local Policy: Kiểm định chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng cục bộ. Public Key Policies. Các chính sách khóa dùng chung. Chi tiết từng thành phần: 1. Acount Policies: Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy.
  • 4. – Enforce password history: Với những người sử dụng không có thói quen ghi nhớ nhiều mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ để thay cho mật khẩu mới, điều này là một kẽ hở lớn liên quan trực tiếp đến việc lộ mật khẩu. Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu. – Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thay đổi mật khẩu định kỳ nhằm nâng cao độ an toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quan của bạn, từ đó có thể tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày, giá trị mặc định là 42 ngày. – Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu. Hết thời gian này bạn mới có thể thay đổi mật khẩu của tài khoản, hoặc bạn có thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày. bạn cần thiết lập Minimum password age lớn hơn 0 nếu muốn chính sách enforce passwordhistory có hiệu quả vì người sử dụng có thể thiết lập lại mật khẩu nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ. – Minimum password length: Độ dài nhỏ tối thiểu của mật khẩu tài khoản (tính mằng số ký tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị là 0 nếu không muốn sử dụng mật khẩu. Giá trị mặc định là 0. – Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu, nếu tính năng này có hiệu lực, mật khẩu của tài khoản ít nhất phải đạt những yêu cầu sau: + Không chứa tất cả hoặc một phần tên tài khoản ng ười dùng. + Độ dài nhỏ nhất là 6 ký tự. + Chứa 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a->z), các chữ cái hoa (A->Z>), các chữ số (0->9) và các ký tự đặc biệt. Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu, mặc định là: Disable. Store password using reversible encryption fo all user in the domain: Lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain. Tính năng cung cấp sự hỗ trợ cho các ứng dụng giao thức, nó yêu cầu sự am hiểu về mật khẩu người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngược thực chất giống như việc lưu trữ các văn bản mã hóa các thông tin bảo vệ mật khẩu. Mặc định: Disable. b. Acount lockout Policy:
  • 5. – Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước khi mở khóa được thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không muốn tự đông Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập. – Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công. Trong trường hợp này Account sẽ bị khóa. Trong trường hợp này Account sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hết hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa. – Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập.
  • 6. 2. Local Policy: các chính sách cục bộ – User rights Assignments: Ấn định quyền cho người dùng. Quyền của người dùng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian cho hệ thống…. Trong phần này để cấu hình cho một mục nào đó, click đúp chuột lên mục và click Add user or group để trao quyền mặc định cho user hoặc group theo yêu cầu. + Access this computer from the network: Với những kẻ tò mò, tốt nhất chúng ta không cho phép chúng truy cập vào máy tính của mình. Với thiết lập này ta có thể tùy ý thêm, bớt quyền truy cập vào máy cho bất ký tài khoàn nào hoặc nhóm nào. + Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định Administrator có quyền cao nhất, có
  • 7. thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này. + Add workstation to domain: Thêm một tài khoản hoặc nhóm vào miền. Chính sách này chỉ hoạt động trên hệ thống sự dụng Domain Controller. Khi được thêm vào miền, tài khoản này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạc như một thành viên trong domain. + Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chi tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này có làm tăng hiệu suất hệ thống nhưng nó có thể bị lạm dụng phục vụ cho những mục đích xấu như tấn công từ chối dịch vụ DoS (Dial of Service). + Allow logon through Terminal Services: Terminal services là một dịch vụ cho phép đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal services để đăng nhập hệ thống. + backup files add directories: Tương tự như các chính sách trên, ở đây cấp phép ai đó có quyền backup dữ liệu. + Change the systemtime: Cho phép người sử dụng nào có quyền thay đổi thời gian của hệ thống. + Create global objects: Cấp quyền cho ai có thể tạo ra các đối tượng dùng chung. + Force shutdown from a remote system: Cho phép ai có quyền tắt máy qua hệ thống điều khiển từ xa. + Shutdown the system: Cho phép ai có quyền shutdown máy. + Deny access to this computer from the net…: Cấm user không được phép truy xuất đến máy. + Deny logon localy: Cấm User Logon cục bộ. + Deny logon through Terminal Services: Cấm User Remote Desktop. + Logon localy: Thiết lập người dùng Logon cục bộ. – Security Optins:
  • 8. + Account: Administrator account status: Trạng thái hoạt động của Administrator. + Account: Guest account status: Trạng thái hoạt động của User Guest. + Account: Limit local account use of blank password to consolo: Đăng nhập không cần password. + Account: Rename administrator account: Đổi tên Administrator. + Account: Rename guest account: Đổi tên Guest. + Devices: Prevent users from installing printer drivers: Không cho phép cài Printer + Devices: Restrict CD-ROM access to localy logged-on user only: Cấm truy nhập xa từ CD-ROM. + Interactive: Do not require CTRL + ALT + DEL: Bỏ Ctrl + alt + Del
  • 9. + Interactive: Message text for users attempting to logon: Đặt tiêu đề khi logon. + Interactive: Message title for users attempting to log on: Đặt tiêu đề khi logon + Interactive: Number of previous logons to cache in cache: Cache kho logon + Shutdown: Allow system to be shut down + Shutdown: Allow system to be shut down without having to log on: Shutdown không cần logon. + Shutdown: Clear virtual memory pagefile. Xóa bộ nhớ ảo khi Shutdown. Administrator Templates -> Windows Components -> Intenet Explorer (IE) + Security Zones: Use only machine settings: Bắt buộc tất cả các User đều chung một mức độ Security như nhau.
  • 10. + Security Zones: Do not allow users to change policies: Trong Security Zone có danh sách các Site nguy hiểm do người dùng thiết lập, Enable tùy chọn sẽ không co thay đổi danh sách đó (Tốt nhất là giấu thẻ Security). + Disable Periodic Check for Internet Explorer software updates: Ngăn không cho IE tự động Update. Administrator Templates -> System -> Logon + Don’t display the Getting Started welcome screen at logon: Ẩn màn hình Welcome khi User đăng nhập vào hệ thống. Computer Configuration -> Policies – > Administrative Templates – > System -> Systemstore
  • 11. + Turn off System Restore: Tắt System Restore, khi user gọi System Restore thì xuất hiện thông báo “System Restore has been turn off by group policy. To turn on System Restore, contact your domain Administrator”. + Turn off Configuration: Chỉ có tác dụng khi System Restore được kích hoạt, tính năng này vô hiệu hóa phần thiết lập cấu hình của System Restore. Phần II: User configuration User configuration – >Windows Setting – > Internet Explorer Maintenance – > Browse User Interface.
  • 12. + Browser Title: Thay đổi tiêu đề nội dung IE + Custom Logo: Thay đổi logo của IE (Chỉ hỗ trợ file BMP có 16-256 màu và kích cỡ 22×22 hoặc 38×38). + Browse Toolbar Customizations: Thay đổi Toolbar cho IE. User configuration – > Administrator Templates – > Windows Components – > Windows Expolorer
  • 13. + Maximum number of recent documents: Quy định số lượng tài liệu đã mở hiển thị trong My Recent Documents. + Do not move deletedfiles to the Recycle Bin: File bị xóa sẽ không được đưa vào Recycle Bin. + Maximum allowed Recycle Bin size: Giới hạn dung lượng Recycle Bin, tính bằng đơn vị phần trăm dung lượn của ổ đĩa cứng. + Removes the Folder Options menu item from the Tools menu. Ẩn Folder Option. + Remove Search button from Windows Expolorer. Ẩn Search trong Explorer. + Remove Windows Explorer’s default context menu. Ẩn context khi clickchuột phải. + Hides the manage item the Windows Expolorer context. Ẩn manage khi click chuột phải vào My Computer.
  • 14. + Hide these specfied drivers in My Computer. Ẩn ổ đĩa (access qua Addresss). + Prevent access to drivers from My Computer. Ngăn truy cập các ổ đĩa. + Remove Hardware tab. Ẩn tab Hardware. + Remove DFS tab. Ẩn tab DFS. + Remove Security tab. Ẩn tab Security. User configuration – > Administrator Templates – > Windows Components – > Windows Update + remove access to use all Windows Update features. Cấm tải các bản cập nhật. User configuration – > Administrator Templates – > Windows Components – > Windows Media Player – > Playback
  • 15. + Prevent Codec Download: Ngăn không cho Windows Media Player tự động tải các codec. + Allow Screen Saver: Cho phép thiếp lập màn hình giao diện Windows Media Player. User configuration – > Administrator Templates – > Start Menu and Taskbar
  • 16. + Remove Logff on the Start Menu. Ẩn Logff ở Start Menu. + Remove and prevent access to the Shut Down command. Ẩn Shut Down. + Remove Drag-and-drop context menus on the Start Menu. Cấm Drag Drop (kéo thả) + Prevent changes to Taskbar and Start Menu Settings. Không thay đổi các thuộc tính đã thiết lập. + Clear history of recently opened documents on exit. Không lưu tập tin trong My Document. + Lock the Taskbar. Khóa Taskbar. + Remove user name from Start Menu. Không hiển thị tên trên Start Menu. + Do not display any custom toolbars in the taskbar. Ẩn toolbars.
  • 17. User configuration – > Administrator Templates – > Desktop + Hide and disbale all items on the desktop. Ẩn biểu tượng trên Desktop. + Remove My Documents icon on the desktop. Ẩn icon My Documents trên desktop. + Remove My Computer icon on the desktop. Ẩn icon My Computer trên desktop. + Remove Recycle Bin icon on the desktop. Ẩn icon Recycle Bin trên desktop. + Don’t save settings at exit. Không thay đổi thiết lập sau khi tắt máy. Điều khiển đặc quyền tài khoản Administrator Bạn có thể điều khiển các tài khoản để biết chung có khả năng làm những gì và được phép truy cập những gì ? Vì sao lại là điều khiển tài khoản Administrator ?
  • 18. Có rất nhiều lý do cần kiểm soát tài khoản này. Đầu tiên, trên mỗi mạng, dù trung bình hay lớn cũng có thể có hàng nghìn tài khoản Administrator. Khả năng chúng vượt ra ngoài tầm kiểm soát là hoàn toàn có thực. Thứ hai, hầu hết các công ty đều cho phép “người dùng tiêu chuẩn” truy cập tài khoản Administrator cục bộ, có thể dẫn đến nguy cơ rủi ro hay tai nạn nào đó. Thứ ba, tài khoản administrator nguyên bản ban đầu sẽ buộc phải dùng một cách dè dặt. Vì vậy, giới hạn đặc quyền là một cách thông minh để quản lý hệ thống mạng trong doanh nghiệp. Giới hạn đặc quyền đăng nhập Chúng ta không làm được gì nhiều để giới hạn vật lý đặc quyền đăng nhập các tài khoản Administrator. Tuy nhiên không nên để chúng được sử dụng thường xuyên, cơ bản hàng ngày. Cần giới hạn chúng bằng cách hạn chế số người dùng biết mật khẩu. Với tài khoản Administrator liên quan đến Active Directory, tốt hơn hết là không để cho người dùng nào biết toàn bộ mật khẩu. Điều này có thể thực hiện dễ dàng với hai tài khoản Administrator khác nhau, chỉ nhập một phần mật khẩu, và dùng một tài liệu dẫn dắt đến các phần chưa mật khẩu đó. Nếu tài khoản chưa cần phải dùng đến, cả hai phần dữ liệu của mật khẩu có thể được giữ nguyên. Một lựa chọn khác là sử dụng chương trình tự động tạo mật khẩu, có thể tạo ra mật khẩu tổng hợp. Giới hạn khả năng truy cập Administrator cục bộ. Giảm quyền truy cập mạng