Chương 7- giới thiệu về grouppolicy

Chương 7- giới thiệu về grouppolicy

Chương 7GIỚI THIỆU VỀ GROUP POLICY

Trong phần này gồm có:

 Tạo và tổ chức các đối tượng trong Active Directory

 Tạo, soạn thảo và quản lý Group Policy

I TẠO VÀ TỔ CHỨC CÁC ĐỐI TƯỢNG TRONG GROUP POLICY

1 Giới thiệu về Group Policy

Group Policy có các chức năng sau:

 Thiết lập tập trung và phân quyền các chính sách

 Đảm bảo môi trường làm việc cho người dùng

 Điều khiển người dùng và máy tính

 Áp dụng các chính sách bắt buộc

Thiết lập các chính sách trong Group Policy

2 Các loại thiết lập trong Group Policy

Administrative Templates Thiết lập các chính sách đăng ký cơ bản

Security Thiết lập các chính sách bảo mật mạng: cục bộ,

domainSoftware Installation Các sự thiết lập quản lý tập trung và cài đặt phần

mềmScripts Các script cho shutdown, logoff, restart, startupFolder redirection Chứa các thiết lập cho việc lưu trữ các thư mục

trên một server mạng

3 Các đối tượng chính sách nhóm - GPOs

4 Các đối tượng chính sách nhóm và các Containner Active Directory

 Thiết lập GPOs có hiệu lực với đối tượng người dùng và máy tínhtrong các Containner đến các GPOs mà nó được liên kết

 Mặc định GPOs không liên kết đến các Containner Active Directory

DomainOU

OU

OU

Site GPO Domain

GPO

OU GPO

OU GPO

site

Chứa đựng các thiết lập cho Group Policy

Nội dung được lưu trong hai vị trí

Group Policy Object

Group Policy ContainnerĐược định vị trong Active Directory

Cung cấp thông tin về phiên bản được sử dụng trong Domain Controller

Group Policy TemplatesĐược định vị trong thư mục chia sẻ Sysvol của Domain Controller

Cung cấp các thiết lập chính sách nhóm cho máy tính chạy windows 2003

Các đối tượng trong chính sách nhóm

5 Tái tạo cơ sở dữ liệu Active Directory

Để tái tạo cơ sở dữ liệu Active Directory ( NTDS) của SERVER, ta làm nhưsau:

a Vào Start – Programs – Administrative – Active Directory Site AndServices

b tiếp theo nhấp chọn Sites – Default – First – Site – Name –Servers – Server – NTDS Setting, sau đó nhấp phải chuột vàod19cb5fb-905f-4c50-8a42-ce1bfc24cc22-Properties.

Active Directort Sites and Services là Microsoft Management Console –MMC mà ta có thể sử dụng để quản trị và tái tạo lại thư mục dữ liệu

c Tại mục Transport chọn IP, tiếp theo nhấp Apply để áp dụng, nhấp OK

để đóng hộp thoại

d Nhấp phải chuột vào d19cb5fb-905f-4c50-8a42-ce1bfc24cc22 chọnReplecate now

chú ý:

Tên d19cb5fb-905f-4c50-8a42-ce1bfc24cc22 quá dài và khó nhớ, vì thế ta

có thể đổi tên này thành tên dễ nhớ hơn

6 Mô hình cấu trúc của OU

Giải thích ý nghĩa:

Yêu cầu:

 Giả sử công ty có 3 phòng trong đó có một văn phòng trung tâm và haiphòng làm việc

 Để việc quản trị mạng và chia sẻ cũng như tìm kiếm dữ liệu trong công ty

dễ dàng chúng ta sét mô hình OU như trên hình minh họa

 Thiết kế một domain giả sử là hcmc.vn

 Giả sử công ty có hai phòng là : phòng kế toán và phòng kinh doanh

 Tại hai mức này ta tạo Organization Units – Ous tương đương với phòng

kế toán và phòng kinh doanh

 Tại mỗi phòng sẽ có các bộ phận kế toán (Ac), nhân sự (Hr), và quảng cáo(Ad)

 Vì tại mỗi bộ phận thuộc OU cấp dưới còn nhiều Client nữa nên ta vẫn thiết

kế chúng ở mức OU

7 Cách tạo OU

7.1 Tạo OU bằng giao diện đồ họa

1 Vào Start – Programs – Administrative Tool – Active Directory Users andComputers

 Active Directory Users and Computers có chức năng quản lý người dùng vàmáy tính, cũng như mọi thiết lập liên quan đến Active Directory.

2 Nhấp phải chuột vào Domain hcm.vn – New – Organization Unit (OU)

Active Directory Users and Computers

 Mỗi OU là một đối tượng nằm trong Domain Trong OU có thể chứa OU,người dùng (User), máy tính (Computer), và các nhóm (Group).

 OU là đơn vị nhỏ nhất được liên kết đến các đối tượng chính sách nhóm(Group Policy Objects)

 Trong màn hình New Object nhập tên OU vào khung Name như trênhình và nhấp OK OU Phong ke toan đã được tạo

 Thực hiện tương tự để tạo OU Phong kinh doanh

 Sau khi tạo được 2 OU cùng cấp, ta được kết quả như trong hình

 Trong mỗi Phong ke toan và Phong kinh doanh lại có các bộ phận dovậy mỗi bộ phận này ta cũng có thể quản lý bằng các OU và cách tạocác OU này cũng tương tự như đã tạo các OU trước đó chỉ khác là thay

vì nhấp phải chuột vào tên Domain thì nhấp phải chuột vào tên OU

7.2 Tạo OU bằng dòng lệnh

Cú pháp:

Dsadd ou “<OrgUnitDN>” – desc “<Description>”

Giải thích:

 OrgUnitDN: Tên của OU

 Description: Mô tả của OU

7.3 Tạo OU bằng VBScript

Mở Notepad và nhập đoạn mã sau:

‘ -Đoạn mã sau sử dụng để cấu hình

-StrOrgUnit= “<OUName>” ‘ ví dụ như: Business

strOrgUnitParent=”<ParentDN>” ‘ ví dụ: OU=Business, dc= hcmc.vn,dc=com

StrOrgUnitDescr=” <Description>” ‘ ví dụ : Business Conf

‘ - Kết thúc đoạn mã cấu

hình -Set objdomain = GetObject(“ LDAP://” & strOrgUnitParent)

Set objOU=objdomain.Create(“organizationalUnit”, “OU=” & strOrgUnit)objOU.PUT “description”, strOrgUnitDescr

objOU.Setinfo

Wscript ECHO “ Successfully created “ & objOU.Name

Sau đó lưu với tên CreateOU.vbs

8 PHƯƠNG PHÁP XÓA OU

8.1 Xóa OU bằng giao diện dòng lệnh

Cú pháp: dsrm” <orgUnitDN>” – subtree

Giải thích :

 OrgUnitDN : Tên OU muốn xóa

 Subtree: Xóa tất cả các cây nằm trong OU OrgUnitDN

8.2 Xóa OU bằng VBScript

Trong màn hình soạn thảo Notepad nhập đoạn mã sau:

‘ Đây là đoạn mã dùng để xóa OU và tất cả các cây con nằm trong nó

Set objOU=Getobject(“ LDAP://<OrgUnitDN>”)

Trong màn hình soạn thảo Notepad nhập đoạn mã sau:

‘ Đây là đoạn mã hiển thị tất cả các Containers và Ous

‘ Với DomainDN là tên của Domain muốn thống kê

DisplayObjects”LDAP: //<DomainDN>”,””

‘DisplayObjects lấy AdsPath của đối tượng hiển thị đối tượng con sử dụngkhi in ra trong tham số đầu tiên

Function DisplayObjects(strADsPath, strSpace)

Set objObject= GetObject(strADsPath)

Wscript.Echo strSpace & strADsPath

objObject.Filter=Array(“container”, “organizationalUnit”)

for each objchildObject in objObject

displayObjects objchildObject.AdsPath, strSpace & “ “

OrgUnitDN: Tên OU muốn thống kê

-limit 0: Tham số cho biết tất cả các đối tượng trong OU sẽ được hiểnthị, nếu limit không được chỉ định thì hệ thống sẽ hiển thị số 100 làm giátrị mặc định

-scope onelevel: Chỉ cho tất cả các đối tượng con trong OU được hiểnthị

2 Sử dụng VBScript

Nhập đoạn mã sau vào notepad:

Function DisplayObjects( strADsPath, strSpace)

Set objObject= GetObject(strADsPath)

Wscript.Echo strSpace & strADsPath

For each objChildObject.AdsPath, strSpace & “ “

Next

End Function

Lưu với tên EnumerateOU.vbs Khi muốn thống kê các đối tượng trong OU,

ta chỉ việc thay đổi một số thông tin và chạy là xong

3 Thiết lập ủy quyền điều khiển

Giả sử ta thiết lập cho OU Business quyền users

 Vào Start – Programs – Administrative Tool – Active DirectoryUsers and Computers

 Nhấp phải chuột lên OU Business chọn Delegate Control

 Delegate Control là công cụ cho phép Administrator thiết lập các chínhsách ủy quyền cho người dùng, nhóm người dùng và máy tính.

 Trong hộp thoại Delegate Control nhấp Next 2 lần xuất hiện màn hìnhDelegation of Control wizard

 Nhấp nút Add để chọn Users hay Groups muốn ủy quyền

 Trong hộp thoại Select Users, Computers, Groups chọn Users và nhấp OK

2 lần để trở lại màn hình Delegation of Control wizard

 Nhấp Next làm xuất hiện màn hình Tasks To Delegate và trong màn hìnhTasks To Delegate đánh dấu chọn vào m:ục Delegate the Followingcommon tasks

 Trong hộp thoại này ta có thể thiết lập các nhiệm vụ cần gán cho các Userstrong OU Business

Các nhiệm vụ cụ thể như sau:

 Create, Delete and manage User Account: Thêm, xóa và quản lý tàikhoản người dùng

 Reset user password, and force password change at next logon: Xóapassword người dùng, có hiệu lực ngay trong lần đăng nhập kế tiếp

 Read all Information: Có quyền đọc tất cả các thông tin của ngườidùng

 Create, Delete and manage Groups: Thêm xóa và quản lý nhómngười dùng

 Modify the membership of a group: Kiểm tra các thành viên củanhóm

 Manage Group Policy links: Quản lý các liên kết chính sách nhóm

 Generate Resultant Set of Policy (Planning): Thiết lập các chính sách

tự động về đặt kế hoạch

 Generate Resultant Set of Policy (Logging): Thiết lập các chính sách

tự động trong quá trình đăng nhập

 Create, Delete and manage InetOrgPerson Accounts: Thêm, xóa,sửa quản lý và tổ chức

 Reset InetOrgPerson passwords and force password change atnetwork: Cho phép quản lý và loại bỏ password

 Reset all InetOrgPerson Information: Cho phép InetOrgPerson đọc tất

cả các thông tin

Màn hình Task To Delegate như sau:

 Nhấp chọn một nhiệm vụ muốn ủy quyền sau đó nhấp next để tiếp tục

 Nhấp Finish để hoàn tất quá trình

IV TẠO, SOẠN THẢO VÀ QUẢN LÝ GROUP POLICY

 Nhấp nút Edit màn hình xuất hiện như sau:

 Nút này sẽ liên kết đến các chính sách được thiết lập trong GroupPolicy Tại đây chúng ta có thể thiết lập bất cứ chính sách nào choDomain

Ví dụ:

Giả sử ta thiết lập độ dài nhỏ nhất của password trong domain hcmc.vn

 Tại cửa sổ Group Policy Object Editor, ở ô bên trái chọn ComputerConfiguration – Windows Setting – Seccurity Setting - AccountPolicies – Password Policy

 Nhấp đúp Minimum Password Length hoặc nhấp phải chuột vàoMinimum password length chọn Properties

 Hộp thoại Minimum password length Properties xuất hiện

 Nhấp chọn mục Define this policy Setting tiếp theo nhập chiều dài tốithiểu ví dụ là 5 của password vào mục Characters

 Để chính sách được áp dụng ngay phải mở màn hình nhắc lệnh và gõlệnh sau:

C:\gpupdate /force và nhấn Enter

 Kiểm tra lại kết quả của việc thiết lập chính sách nhóm như sau:

o Mở màn hình Active Directory Users and Computers và tạomới một user như minh họa

 Trên màn hình New Object – User chọn như hình và tại mục Passwordnhập 123 tại Confirm Password nhắc lại password là 123 sau đó nhấpnext và nhấp Finish để kết thúc quá trình tạo User màn hình xuất hiệnnhư sau:

 Thông báo lỗi này là do Password đặt có chiều dài nhỏ hơn chiều dàitối thiểu được quy định trong chính sách nhóm

 Nhập lại password là 12345 nhắc lại password 12345 sau đó nhấp Next

và nhấp Finish màn hình xuất hiện cho thấy u1 đã được tạo do lúc nàypassword đã thỏa quy định được thiết lập trong chính sách nhóm

V THIẾT LẬP CÁC CHÍNH SÁCH TRÊN DOMAIN CONTROLLER

 Mở start – Programs – Administrative Tools – Active Directory Usersand Computers

 Nhấp phải chuột vào Domain Controller – Properties chọn thẻ GroupPolicy

 Nhấp nút Edit để mở Group Policy Object Editor

 Để thiết lập chính sách về password cho tất cả các users trong cácDomain Controller phải đảm bảo tính phức tạp tức là password –phảiđược kết hợp giữa chữ hoa, chữ thường các ký tự đặc biệt và ký tự số talàm như sau:

 Tại cây bên trái của màn hình Group Policy Object Editor chọn windowsSettings – Account Policies – Password Policy



N

hấp đúp vào mục Password must meet Complexity requirements

 Nhấp chọn vào mục Define this Policies Setting – Enable rồi nhấp OK để

áp dụng

Ví dụ 2:

Để ngăn một số người dùng đăng nhập vào máy tính cục bộ ta làm nhưsau:

 Mở màn hình Group Policy Object Editor của Domain Controller

 Tại cây bên trái chọn windows Settings – Local Policies – UserRight Assignment

 Tại màn hình bên phải nhấp đúp vào Deny log on locally màn hìnhDeny log on locally Properties xuất hiện như sau:

 Nhấp nút Add User or Group, tiếp theo nhấp nút Browse

 Trên màn hình xuất hiện nhấp nút Advance sau đó nhấp Find now

 Giả sử muốn ngăn chặn User Guest đăng nhập vào máy tính cục bộ, ta sẽchọn Guests tiếp theo nhấp OK 3 lần để trở về hộp thoại Select Users,Computers or Groups

 Sau đó nhấp OK để áp dụng

1 Sử dụng giao diện đồ họa :

Mở Active Directory User and Computer

Trong màn hình Active Directory User and Computer nhấp phải chuột vào

OU Phongkinhdoanh – News – User (xem hình)

 Tại mục First Name nhập tên giả sử Nguyễn Văn A

 Tại mục Last name Nhập Nguyễn Văn A

 Tại mục User Logon nhập tên đăng nhập là: U1 (xem hình )

Tiếp tục làm việc với hộp thoại New Object User

password nhập vào password lưu ý password phải từ 7 ký tự và baogồm ký tự, số và ký tự đặc biệt

 Nhấp chọn mục User cannot change password rồi nhấp Next sau đónhấp Finish để kết thúc (xem hình ).

Hộp thoại này có 4 lựa chọn:

 User must change password at next logon: User phảithay đổi password trong lần đăng nhập kế tiếp

 User cannot change password: User không thể thay đổipassword

 Password never expires: Password không bao giờ hếthiệu lực

 Account is disabled: Tài khoản bị vô hiệu hóa sau khi tạo

2 Sử dụng giao diện dòng lệnh (cập nhật sau)

3 Sử dụng VBScript (cập nhật sau)

4 Tạo Member cho các user

Để các users sau khi tạo có đủ không gian làm việc cũng như có nhữngquyền tối thiểu trên domain ta phải tạo Member of cho mỗi user là thànhviên của nhóm domain users

Cách tạo member of như sau:

 Đăng nhập client1 vào máy cục bộ với user là Administrator Tiếptheo nhấp phải chuột vào My Computer trên Destop chọn Managehộp thoại Computer Management xuất hiện (xem hình )

 Tại ô bên trái chọn Local User and Groups Tiếp theo tại cửa sổ bênphải nhấp phải chuột vào biểu tượng Power Users chọn Properties( xem hình )

 Nhấp nút Add để mở hộp thoại Select User, Computer or Groups(xem hình ) Hộp thoại này chứa các user, computer và Group trongdomain và trong máy tính cục bộ Lưu ý để thực hiện chức năng nàymáy workstation phải là thành viên của domain hcmc.vn

 Nhấp nút Advanced xuất hiện màn hình yêu cầu đăng nhập bằng tàikhoản có hiệu lực trên domain hcmc.vn Nhập username làadministrator và password để trống (tài khoản administrator trênserver có password rỗng) Sau đó nhấp OK

 Tiếp theo nhấp nút Find now để tìm tất cả các users, Computer orGroups (xem hình)

 Kéo thanh trượt xuống dưới rồi nhấp chọn domain users sau đó nhấp

OK (xem hình ) Lựa chọn này có chức năng thêm user trong domainvào nhóm Power Users , nhóm này chứa các quyền tối thiểu của user

tronghệthống.Chọn Domain Users và nhấp OK

 Tiếp theo nhấp OK để đóng hộp thoại Select Users, Computer orGroups nhấp Apply trên hộp thoại Power User Properties để áp dụng

và nhấp OK để đóng hộp thoại này