TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: QUẢN TRỊ MẠNG Chương 5: QUẢN TRỊ MẠNG BẰNG CHÍNH SÁCH (Group Policy) Số tín chỉ: Số tiết: 60 tiết (30 LT + 30 TH) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn NỘI DUNG • Tổng quan Group Policy • GPO Active Directory • Quản trị mạng GPO • Triển khai GPO AD-DS • Quản lý GPO Tổng quan Group Policy • Chính sách nhóm (Group Policy): • Group Policy: quy định tác động đến Windows người dùng: • Khống chế, ngăn chặn… hoạt động, chức • Thiết lập, cấu hình tính Windows • Thiết lập sách bảo mật • Có dạng Group policy tác động đến máy tính: • Local Group Policy • Domain group policy Tổng quan Group Policy • Local Group Policy: • Là sách tồn máy Windows • Local group policy có hiệu lực cục máy tính • Người quản trị máy tính (local admins) thiết lập, hiệu chỉnh • Điều chỉnh công cụ GPEDIT.msc Tổng quan Group Policy • Phạm vi áp đặt Local group policy: • Computer configuration: thiết lập áp đặt cho Windows máy tính Khơng phân biệt users logon vào Windows • User configuration : sách áp đặt cho User tại, không ảnh hưởng đến Users khác GPO Active Directory • Chính sách miền (Domain Group Policy) • Là sách thiết lập từ miền quản trị (domain) • Áp đặt xuống máy tính hay người dùng thuộc domain • Mỗi sách miền gọi “Group Policy Object – GPO” • GPO miền áp đặt vào Domain, vào OU, vào Sites GPO Active Directory • Những lợi dùng GPO AD-DS: • Group Policy công cụ mạnh mẽ quản trị mạng tập trung • Áp đặt thiết lập, cấu hình số lượng lớn máy tính người dùng mạng • Những ứng dụng GPO thường dùng: • Quản lý cấu hình ứng dụng máy tính người dùng • Áp đặt thiết lập bảo mật lên toàn hệ thống • Quản lý chuyển hướng folder quan trọng người dùng • Thiết lập cấu hình giao tiếp mạng • Triển khai phần mềm qua mạng Quản trị mạng GPO • Cơng cụ quản trị GPO AD-DS: • Là Group Policy Management Console (GPMC) Group Policy Editor Command-line utilities: GPUpdate and GPResult Quản trị mạng GPO • GPO (Group Policy Object): • Là gồm hay nhiều sách (Group policy) • GPO quản lý cơng cụ GPMC • Được hiệu chỉnh “Group Policy management Editor” • Những sách GPO khơng có hiệu lực chưa liên kết (Link) với Sites, Domain, OU hay OU Quản trị mạng GPO • Link GPO: • Áp đặt GPO vào Sites, Domain, OU hay OU • Những Computers / Users / DC bên chịu áp đặt sách thiết lập GPO GPO Site GPO GPO Domain GPO OU=A OU= B OU= C 10 Quản trị mạng GPO • Các tính chất Link GPO: • Tính thừa kế (Inheritance): • Các đối tượng “con” chịu áp đặt từ GPO linked đối tượng “cha • Tính chống thừa kế (Block inheritance) • Ngăn chặn thừa kế GPO link từ đối tượng cha GPO • Áp đặt thừa kế (Enforcing): • Áp đặt tính thừa kế cho GPO bắt kể Block Inheritance Site GPO GPO Domain GPO OU OU O U 11 Quản trị mạng GPO • Vấn đề phạm vi áp đặt GPO: • Những sách thuộc “Computer configuration” có hiệu lực Computers, khơng ảnh hưởng đến Users • Những sách thuộc “User configuration” có hiệu lực Users, khơng ảnh hưởng đến Computers • 12 Triển khai GPO AD-DS • Cơng cụ triển khai: • Group Policy Management Console (GPMC) • Mỗi domain ln có sẵn GPO: • Default Domain Controller Policy: áp đặt riêng cho máy DC • Default Domain Policy: áp đặt cho toàn miền quản trị (kể máy DC) 13 Triển khai GPO AD-DS • Những sách có sẵn GPO mặc định: • Default Domain Policy: • Password: sách mật người dùng • Account lockout: sách khóa tạm thời tài khoản • Kerberos protocol: sách xác thực • Default Domain Controllers Policy: • Cấp quyền truy cập cục (local logon) tài khoản quản trị • Các sách kiểm tốn: ghi nhật ký kiện, nhật ký dịch vụ… 14 Triển khai GPO AD-DS • Triển khai GPO AD-DS: • Quy trình: • Tạo GPO (hoặc hiệu chỉnh GPO có) • Hiệu chỉnh sách GPO • Link GPO vào Sites, Domain, OU hay OU • Tạo GPO GPMC 15 Triển khai GPO AD-DS • Hiệu chỉnh GPO: • Computer Configuration -> Policies: • Software Settings: sách triển khai phần mềm cho máy tính • Windows settings: Scripts: kịch chạy Startup Security settings: sách áp đặt cho hệ thống Windows • Administrative Templates: mẫu sách áp đặt cho máy tính / hệ điều hành Windows • Computer Config -> Preferences: • Triển khai thiết lập Windows dạng trực quan 16 Triển khai GPO AD-DS • Hiệu chỉnh GPO: • User Configuration -> Policies: • Software Settings: sách triển khai phần mềm cho người dùng • Windows settings: Scripts: kịch chạy logon • Administrative Templates: mẫu sách áp đặt cho người dùng miền • User Config -> Preferences: • Triển khai thiết lập Windows dạng trực quan 17 Triển khai GPO AD-DS • Link GPO: • Áp đặt GPO vào Sites, Domain, OU hay OU • Quá trình áp đặt GPO theo mặc định: Computer starts Refresh Interval Computer settings applied • Startup scripts run • User logs on Refresh Interval User settings applied • Logon scripts run • • Cập nhật GPO tức thời lệnh: GPUPDATE /force • Với Computer settings: khởi động lại Windows để có hiệu lực • Với User settings: đa phần có hiệu 18 Triển khai GPO AD-DS • Thứ tự ưu tiên thực thi GPO: Group Policy processing order GPO1 Local policy Site GPO Domain GPO GPO OU OU OU GPO5 19 Quản lý GPO • Cơ chế lưu trữ GPO: Group Policy container GPO • Stored in AD DS • Provides version information • Contains Group Policy settings • Stores content in two locations Group Policy template • Stored in shared SYSVOL folder • Provides Group Policy settings 20 Quản lý GPO • Các thao tác quản lý GPO: • Backup Restore: lưu phục hồi GPO • Copy GPO: chép GPO hữu thành GPO • Import GPO: nhập GPO mẫu từ file nén (.cab) Back up GPOs Copy GPOs Restore GPOs Import GPOs 21 Cám ơn ! 22