KẾ HOẠCH GIẢNG DẠY QUẢN TRỊ CHÍNH SÁCH NHÓM 1 Nôi dung 2 Chính sách nhóm là gì? Các thiết lập chính sách nhóm Trình tự xử lý chính sách nhóm Thừa kế chính sách nhóm Backup và Restore GPO Khá.
QUẢN TRỊ CHÍNH SÁCH NHĨM Nơi dung Chính sách nhóm gì? Các thiết lập sách nhóm Trình tự xử lý sách nhóm Thừa kế sách nhóm Backup Restore GPO Khái niệm Group Policy (GP) Group Policy Object (GPO) GP thiết đặt cấu hình người dùng máy tính như: Software Settings Scripts Security Settings Administrative Templates Folder Redirection GPO nhóm GP thiết đặt cho computers, sites, domain hay OUs Chính sách nhóm gì? Chính sách nhóm cho phép quản trị mạng thực việc quản lý tự động đến nhóm người dùng máy tính Sử dụng sách nhóm để: Áp dụng cấu hình chuẩn Triển khai phần mềm Thực thi thiết lập bảo mật Thực thi môi trường làm việc phù hợp Chính sách nhóm cục (Local Group Policy) ln có hiệu lực cho thiết lập người dùng cục - miền máy tính cục Các thiết lập sách nhóm Các thiết lập sách nhóm điều khiển người dùng: • • • • Software Windows Security Desktop Các thiết lập sách nhóm điều khiển máy tính: • • • • Software Windows Security Operating systems Các thiết lập sách nhóm Có hai loại thiết lập sách nhóm: Thiết lập cho cấu hình máy tính: Computer Configuration Settings -> áp dụng trình khởi động máy tính Thiết lập cho cấu hình người dùng: User Configuration Settings -> áp dụng sau người dùng đăng nhập Các thiết lập cấu hình máy tính người dùng gồm: Thiết lập phần mềm: Software settings Thiết lập Windows: Windows settings Các khuôn mẫu quản trị: Administrative Templates Các loại GPO Máy tính Win2012 có GPO cục (local GPO) và/hoặc nhiều GPO không cục (nonlocal Active Directory-based GPOs Local GPO: Lưu máy tính, kể thành viên AD DS Có thể bị ghi đè nonlocal GPO Nonlocal GPO Được liên kết tới Sites, Domain, OUs Được lưu Domain Controller 02 Nonlocal GPO mặc định domain Default Domain Policy Default Domain Controllers Policy Các thành phần sách nhóm Group Policy Container Group Policy Object • Lưu AD DS • Cung cấp thơng tin phiên Group Policy Template • Chứa thiết lập sách nhóm • Lưu nội dung hai địa điểm • Lưu thư mục chia sẻ SYSVOL • Cung cấp thiết lập sách nhóm • Hỗ trợ mẫu ADM ADMX Áp dụng sách nhóm Máy tính khởi động Refresh interval: Mỗi 90 phút • Áp dụng thiết lập máy tính • Thực thi mã khởi động Người dùng đăng nhập Refresh interval : Mỗi 90 phút • Áp dụng thiết lập người dùng • Thực thi mã đăng nhập Tập tin ADM ADMX gì? Tập tin ADM là: Sao chép vào GPO SYSVOL Tùy chỉnh khó khăn Tập tin ADMX là: Ngơn ngữ trung tính Khơng lưu trữ GPO Mở rộng thông qua XML 10 Trung tâm lưu trữ gì? Trung tâm lưu trữ: Là kho lưu trữ trung tâm cho tập tin ADMX ADML Được lưu SYSVOL Phải tạo thủ công Được phát tự động Windows Vista trở sau Tập tin ADMX Máy trạm Windows Bộ điều khiển miền với SYSVOL Bộ điều khiển miền với SYSVOL 11 Cho phép Group Users logon máy Domain Controller Vào Computer Configuration \ Policies \ Windows Settings \ Security Settings \ Local Policies \ User Rights Assignment \ Double click vào Allow log on locally 13 Tạo sách nhóm (Group Policy) cho OU Vào Server Manager \ Tools \ Group Policy Management Click phải lên mục cần tạo \ Chọn Create a GPO in this domain Nhập tên Sales Group Policy Object Click phải lên Group Policy Object \ Chọn Edit 14 Trình tự xử lý sách nhóm GPO Các GPO xử lý theo thứ tự sau: Local GPO Sites GPO Domains GPO Organizational Unit GPO Local GPO xử lý trước tiên cuối OU GPO Mặc định GPO xử lý sau ghi đè lên GPO xử lý trước 15 Trình tự xử lý sách nhóm GPO1 Chính sách cục GPO2 Site GPO3 Domain GPO4 OU GPO5 OU OU 16 Thừa kế sách nhóm Mặc định chứa thừa kế sách nhóm từ • chứa cha Nếu thiết lập sách OU cha khơng cấu hình chúng khơng thừa kế OU Các thiết lập sách bị vơ hiệu hóa thừa kế dạng • bị vơ hiệu hóa Nếu thiết lập sách cha khơng tương ứng với sách sách cấu hình cho thiết lập cấu hình áp dụng 17 Các ngoại lệ Các máy tính người dùng khơng tham gia vào miền (cục bộ) bị chi phối GPO cục Không ghi đè – No Override: đảm bảo thiết lập sách GPO khơng bị đè GPO áp dụng sau Ngăn chặn kế thừa sách – block Policy Inheritance: khơng thừa hưởng thiết lập sách GPO cha Việc ngăn chặn thừa kế sách bị vô hiệu thiết lập No Override cấu hình GPO cha Thiết lập Loopback – loopback Setting: thiết lập làm thay đổi thứ tự áp dụng GPO cho người dùng 18 Block Inheritance Block Inheritance : thường cấu hình OU, cho phép bỏ qua tất sách cấp Site, Domain Chỉ áp dụng sách OU 19 Enforced Thường cấu hình Domain, Site Bắt buộc áp tất sách xuống cho OU Loại bỏ tất sách OU, kể bạn có cấu hình Block Inheritance cho OU 20 ... Sites GPO Domains GPO Organizational Unit GPO Local GPO xử lý trước tiên cuối OU GPO Mặc định GPO xử lý sau ghi đè lên GPO xử lý trước 15 Trình tự xử lý sách nhóm GPO1 Chính sách cục GPO2 ... Các khuôn mẫu quản trị: Administrative Templates Các loại GPO Máy tính Win2012 có GPO cục (local GPO) và/hoặc nhiều GPO không cục (nonlocal Active Directory-based GPOs Local GPO: Lưu máy... Create a GPO in this domain Nhập tên Sales Group Policy Object Click phải lên Group Policy Object \ Chọn Edit 14 Trình tự xử lý sách nhóm GPO Các GPO xử lý theo thứ tự sau: Local GPO Sites