1. ROAMING_MANDATORY
PROFIE - GPOS - SHARE
PERMISSION
NGƯỜI THỰC HIỆN:
==============
Phạm Hoài Nam
MSM: phamhoainam1215@outlook.com
Yahoo: phamhoainam_1215@yahoo.com.vn
Gmail & Facebook: phamhoainam1215
Skype: Nam Pham Hoai
Blog: http://phamhoainam1215.wordpress.com
========================================
2. Roaming profile là profile được lưu trên server khi
client logon vào server cập nhật cấu hình lên server và
sẽ lưu lại trên server mỗi khi client logoff.
Local profile: Profile được tạo ra trong lần logon đầu
tiên vào hệ thống(profile mặc định).
Mandatory profile profile được admin tạo ra trên
server để áp dụng cho 1 user hay group. User chỉ sử
dụng profile đó và không thể nào thay đổi được.
GIỚI THIỆU:
1. ROAMING, MANDATORY PROFIE
3. Group Policy là tập các thiết lập cấu hình cho
computer và user cho phép các quản trị viên IT để tự
động hóa quản lý một – nhiều người dùng và máy tính,
đơn giản hóa nhiệm vụ quản trị và giảm chi phí CNTT.
Quản trị hiệu quả có thể thực hiện các thiết lập bảo
mật, thực thi chinh sách, và các phân phối phần mềm
nhất quán trên trang web, tên miền phạm vi hoặc các
đơn vị tổ chức.
GIỚI THIỆU:
2. GPOS(GROUP POLICY OBJECTS)
4. Group Policy Object là một nhóm các cấu hình Group Policy. Có hai loại
Group Policy Object: Local GPO, Non-local GPO
+ Local GPO: một local GPO được lưu trên máy cho dù máy tính đó là thành
viên trong môi trường Active Directory hoặc môi trường mạng.
%systemroot%system32GroupPolicy. Một local GPO chỉ ảnh hưởng đến
máy tính đang lưu trữ nó. Các thiết lập của GPO có thể bị ghi đè bởi non-
local GPO => local GP ít có ý nghĩa trong Active Directory.
+ Non-local GPO: được tạo ra trong Active Directory.
%Systemroot%sysvolsysvoldomainnamepoliciesGPO
GUIDAdm.Nonlocal GPOs được liên kết đến một site, domain, hoặc OU để
áp dụng cho người dùng và máy tính. Mặc định khi dịch vụ danh bạ Active
Directory được cài đặt thì hai nonlocal GPO được tạo ra:
- Default Domain Policy: GPO này liên kết với domain, và nó ảnh hưởng
đến tất cả người dùng và máy tính trong domain( bao gồm cả các máy tính
làm domain controller) theo qui tắc kế thừa Group Policy.
- Default Domain Controller Policy: GPO này liên kết tới OU Domain
Controller, và nó chỉ ảnh hưởng đến các máy domain controller.
GIỚI THIỆU:
2. GPOS(GROUP POLICY OBJECTS)
5. Trên Windows, các quyền có ảnh hưởng trực tiếp đến các phân vùng NTFS
gọi là NTFS permissions hay còn gọi là local permissions. Các quyền này sẽ
ảnh hưởng trực tiếp đến người dùng truy cập local vào máy.
Ngoài NTFS permissions ra, ta còn có một kiểu phân quyền nữa gọi là Share
permissions. Đây là các quyền mà ta sẽ gán cho người dùng khi truy cập vào
tài nguyên được chia sẻ trên mạng.
Share permissons có 3 quyền chính:
-Read: users có thể xem dữ liệu của folder, xem các thuộc tính(
attributes) . Có thể run các chương trình và truy cập vào các folders bên
trong folders được share .
-Change: users có thể tạo folders, thêm file vào folders, thay đổi dữ liệu
trong files, thay đổi thuộc tính của files, xóa folders và files, thực hiện
các hành động trong phạm vi của Read .
-Full Control: có thể thay đổi permissions của file, lấy ownership của
files, thực thi tất cả những gì mà Change cho phép.
GIỚI THIỆU:
3. SHARE PERMISSION
6. Nội dung bài lab:
1. Tạo Roaming_Mandatory profie.
2. Cấp truy cập CMD – GPOs.
3. Phân quyền giữa 2 group User.
Yêu cầu chuẩn bị:
Chuẩn bị một máy chạy hệ điều hành
Windows Server 2008 đã nâng lên Domain và
1 máy client XP đã gia nhập Domain.
7. Vào 1 ổ đĩa bất kỳ tạo thư mục để lưu Roaming
Profiles và phân quyền.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
8. Trong mục Sharing chọn Advanced Sharing ->
Permissions. Ta Remove Everyone và thêm vào
Domain Users.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
10. Để thực hiện ta bỏ check tại mục Include
inheritable….. -> Remove.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
11. Thêm lại Administrator và Domain Users với
quyền Full control.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
12. Liên kết đến Roaming profile: vào Active Directory Users and
Group -> vào Properties của User muốn liên kết profile.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
13. Liên kết đến Roaming profile: vào Active Directory Users and
Group -> vào Properties của User muốn liên kết profile.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
14. Tại mục Profile path thêm: “<server name hoặc IP server><tên thư mục
Roaming Profiles><%username%>”
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
15. Tại mục Profile path thêm: “<server name hoặc IP server><tên thư mục
Roaming Profiles><%username%>”
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
16. Đăng nhập và client kiểm tra: Properties vào computer -> Advanced -> User
Profiles -> Setting.
1. TẠO ROAMING, MANDATORY PROFIE
1.1 TẠO ROAMING PROFIE
17. B1. Tạo thư mục có thuộc tính như Roaming Profile trước.
B2. Tạo thư mục trùng với tên User bỏ vào trong thư mục ở B1.
B3. Tạo tập tin "NTUSER.MAN" bỏ vào trong thư mục ở B2.
1. TẠO ROAMING, MANDATORY PROFIE
1.2 TẠO MANDATORY PROFIE
18. Đăng nhập và client kiểm tra: Properties vào computer -> Advanced -> User
Profiles -> Setting(quá trình đăng nhập sẽ hơi lâu 1 chút).
1. TẠO ROAMING, MANDATORY PROFIE
1.2 TẠO MANDATORY PROFIE
20. Mở Goup Policy Management -> Forest: server1.com -> Domains ->
server1.com -> Group Policy Objects. Chuột phải tạo new GPO và đặt tên->
OK.(server1.com là tên Domain)
2. GPOS(GROUP POLICY OBJECTS)
21. Chuột phải vào GPO vừa tạo chọn Edit để thiết lập.
Group Policy Management Editor hiện ra, có 2 phần là Computer Configuratuion(thiết lập cho máy
tính) và User Configuratuion(thiết lập cho User).
Tao vào mục User Configuratuion -> Administrative Template -> System ->tìm và nhấp đúp vào
“Prevent access to the command prompt Properties” -> Enable -> OK.
2. GPOS(GROUP POLICY OBJECTS)
22. Để cấm cho 1 Group User nào đó ta chọn Group User đó tại “Group Policy Management” ->
chuột phải chọn “Link an Existing GPO…” -> Chọn GPO vừa tạo -> OK.
2. GPOS(GROUP POLICY OBJECTS)
23. Chạy lệnh gpupdate /force tại của sổ Run để cập nhật GPO.
Đăng nhập vào User bất kỳ thuộc Group vừa đặt quyền GPO để kiểm tra:
2. GPOS(GROUP POLICY OBJECTS)
25. Tạo thư mục “Du lieu” có 2 thư mục con là “ketoan” và “kinhdoanh”. Cấm để
cho các User thuộc group kết toán không có quyền chỉnh Modifly trong thư
mục “kinh doanh” và Full control trong thư mục “ketoan”.
3. SHARE PERMISSION
26. Properties vào thư mục “Du lieu” -> tab Sharing -> Advanced Sharing ->
Permissions -> chọn Group Everyone là Full control.
3. SHARE PERMISSION
27. Properties và thư mục kế toán để phân quyền trên đó:
Tab sharing -> Edit ->tiến hành thêm Group User “Ketoan” với quyền Full
control và Remove Group “Users”.
3. SHARE PERMISSION
28. Properties và thư mục kế toán để phân quyền trên đó:
Tab sharing -> Edit ->tiến hành thêm Group User “Ketoan” với quyền Full
control và Remove Group “Users”.
Làm tương tự với Group “Kinhdoanh”.
3. SHARE PERMISSION
29. Để cấm User trong GROUP Ketoan không có quyền Modifly vào thư mục
Kinhdoanh ta tiến hành add thêm Group “Ketoan” và NTFS permission bỏ
check tại mục Modifly.
3. SHARE PERMISSION
30. Để cấm User trong GROUP Ketoan không có quyền Modifly vào thư mục
Kinhdoanh ta tiến hành add thêm Group “Ketoan” và NTFS permission bỏ
check tại mục Modifly.
3. SHARE PERMISSION
31. Đăng nhập bằng tài khoản bất kỳ trong Group Ketoan và kiểm tra, ta thấy
User này không tạo mới được Folder...
3. SHARE PERMISSION