Thực tập 9-2: Tạo các OU và di chuyển các tài khoản user vào• Mục tiêu: Tạo các OU và di chuyển các tài khoản user vào đó • Phải quen thuộc với việc dùng các OU điều khiển ứng dụng thiết
Trang 1• Tạo các OU và di chuyển
các tài khoản user vào
Trang 2Thực tập 9-2: Tạo các OU và di chuyển các tài khoản user vào
• Mục tiêu: Tạo các OU và di chuyển các tài khoản user vào đó
• Phải quen thuộc với việc dùng các OU điều khiển ứng dụng thiết lập Group Policy
• Tạo OU mới dùng Active Directory Users and
Computers
• Di chuyển các tài khoản user vào OU mới đó
Trang 4Sửa chữa 1 GPO
Trang 5Sửa chữa 1 GPO
• Bảng 9-1 hiển thị các loại cấu hình cho cả
computer và user
• 2 thẻ trong Properties cho mỗi thiết lập:
• Thiết lập cho phép kích hoạt/cấm
• Giải thích các thông tin về thiết lập
• Nội dung GPO được lưu giữ ở 2 vị trí:
• Group Policy container (GPC)
• Group Policy template (GPT)
• Mỗi GPO được định danh bởi một globally
unique identifier (GUID) 128-bit
Trang 6Thực tập 9-4: Xóa 1 GPO
• Mục tiêu: Xóa 1 GPO dùng Active Directory
Users and Computers
• Các GPO đã tạo trước đó được xóa từ 1 OU
Trang 7Ứng dụng của Group Policy
• 2 loại chính:
• Cấu hình computer (các thiết lập áp dụng cho các
computer trong container)
• Cấu hình user (các thiết lập áp dụng cho các user trong container)
• Ngay khi computer khởi động (hoặc user đăng
nhập)
• Computer truy vấn DC về các GPO DC tìm các GPO
có thể áp dụng.
• DC trình ra 1 danh sách các GPO Client lấy các mẫu
GP, áp dụng các thiết lập và chạy các script
• Tiến trình cơ bản giống như vậy khi user đăng nhập
Trang 8Điều khiển các thiết lập User
Desktop
• Các mẫu:
• Dùng để hạn chế thao tác cấu hình user desktop và
computer
• Giảm công sức quản trị
• 7 loại chính của việc thiết lập cấu hình có thể áp dụng cho computer hoặc user của 1 GPO
Trang 9Điều khiển các thiết lập User
Desktop (tt)
Trang 10Thực tập 9-5: Cấu hình các
thiết lập User Desktop
• Mục tiêu: Cấu hình và kiểm tra ứng dụng của thiết lập GP
• Dùng Active Directory Users and Computers để truy cập thiết lập mong muốn
• Cấu hình các thiết lập dùng trình soạn thảo GPO
• Kiểm tra lại cấu hình có kết quả như y/c
Trang 11Quản lý bảo mật với Group
Policy
• Các thiết lập Password Policy, Account Policy,
Kerberos Policy chỉ có thể áp dụng trên các đối
Trang 12Quản lý bảo mật với Group
• Wireless Network Policies
• Public Key Policies
• Software Restriction Policies
• IP Security Policies on Active Directory
Trang 13Thực tập 9-6:Cấu hình các
thiết lập bảo mật GPO
• Mục tiêu: Dùng các thiết lập GPO để cấu hình 1 logon banner cho các domain user
• Dùng Directory Users and Computers để truy cập Default Domain Policy GPO
• Tạo một logon banner
• Kiểm tra là banner có xuất hiện
Trang 14Thực tập 9-7: Cấu hình các thiết lập bảo mật hệ thống file
Trang 15Gán các Script
• Windows Server 2003 có thể chạy các script trong lúc:
• User đăng nhập và đăng xuất
• Phần User của GPO
• Computer khởi động và shutdown
• Phần Computer của GPO
• Mặc định là các script chạy đồng bộ từ trên xuống dưới
• Có thể xác định các thời điểm script time-out, thực thi
không đồng bộ và ẩn các script
Trang 16• Tạo 1 file script
• Thêm script vào chính sách logon của một nhóm nào đó dùng Directory Users and Computers
• Kiểm tra lại script chỉ chạy trên các user của group này chứ không phải group khác
Trang 17Tái điều hướng các thư mục
• Cho phép tái điều hướng các nội dung của 1 user profile đến 1 vị trí trên mạng
• Nội dung có thể tái điều hướng là: dữ liệu ứng
dụng, desktop, My Documents, Start menu
• Tái điều hướng có ích vì:
• Hỗ trợ backup
• Giảm thời gian đăng nhập
• Cho phép tạo 1 desktop chuẩn cho nhiều user
Trang 18Tái điều hướng các thư mục
(tt)
Trang 19Quản lý thừa kế Group Policy
• Thứ tự đặc biệt cho ứng dụng GPO:
• Local computer Site Domain Parent OU Child OU
• Theo mặc định tất cả các thiết lập GPO được thừa kế
• Tại mỗi mức, có thể có nhiều GPO
• Các chính sách được áp dụng theo thứ tự mà chúng xuất hiện trên thẻ Group Policy cho mỗi container, bên dưới GPO đầu tiên
• Áp dụng số lượng nhiều các GPO có thể ảnh hưởng hiệu suất khởi động và đăng nhập
Trang 20Quản lý thừa kế Group Policy
Trang 21Thực tập 9-9: Liên kết 1 GPO
với nhiều Container
• Mục tiêu: Liên kết 1 GPO với nhiều Container
• Dùng Active Directory Users and Computers để tạo và cấu hình 1 GPO mới trong 1 OU
• Thêm GPO vào OU khác
Trang 22Cấu hình khóa thừa kế Policy,
No Override và Filtering
• Những tùy chọn này cho phép sửa đổi cách xử lý mặc định đ/v các container đặc biệt:
• Có thể thay đổi chính sách thừa kế mặc định
• Có thể thay đổi cách giải quyết mâu thuẫn
• Có thể thay đổi quyền cho 1 thành viên đặc biệt trong 1 group để từ chối áp dụng GPO cho thành viên đó
Trang 23Khóa thừa kế Policy
• Để thay đổi thừa kế mặc định, dùng Block Policy trong thẻ Group Policy cho 1 container con
• Con sẽ không thừa kế các chính sách của cha
• Có ích nếu 1 OU cần được quản lý riêng
Trang 24Cấu hình No Override
• Nếu 1 chính sách được cấu hình với No Override
• Nó sẽ bị ép áp dụng các mâu thuẫn trong các chính sách
ở mức thấp hơn
• Nó sẽ bị ép áp dụng trên các contairner ở mức thấp hơn với thiết lập thừa kế Block Policy
Trang 25Filtering dùng các quyền
• Ngăn cản các thiết lập policy đ/v việc áp dụng cho
1 user, group, computer nào đó trong 1 container
• Để lọc 1 GPO đ/v 1 thành viên trong 1 container,
từ chối các quyền Read and Apply Group Policy cho tài khoản của thành viên đó
Trang 26Thực tập 9-10: Cấu hình các thiết
lập thừa kế GPO
• Mục tiêu: Khảo sát và cấu hình các thiết lập thừa
kế GPO
• Cấu hình Default Domain Policy GPO dùng
Active Directory Users and Computers
• Override cấu hình Default Domain Policy tại mức
OU và kiểm tra lại
• Cấu hình No Override tại mức domain
• Kiểm tra lại No Override
Trang 27Thực tập 9-11: Lọc GPO
• Mục tiêu: Dùng các quyền bảo mật để lọc và điều khiển ứng dụng của các thiết lập GP
• Dùng Active Directory Users and Computers thêm
1 tài khoản user vào 1 group nhưng từ chối các
quyền GPO của group
• Kiểm tra lại user vừa thêm không được cấu hình với GPO của group
Trang 28Sự cố khi thiết lập Group
• Các quyền Read and Apply Group Policy
• Các ứng dụng hiển thị ảnh hưởng của các thiết lập GP
• GPRESULT
• Dòng lệnh
• Resultant Set of Policy (RSoP)
• Giao diện
Trang 29• Mở 1 MMC mới với RSoP snap-in
• Dùng RSoP đ/v Generate RSoP Data
Trang 30Thực tập 9-12 (tt)
Trang 31• Các cập nhật phần mềm (như các service packs)
• 4 giai đoạn trong cuộc đời của 1 phần mềm:
• Chuẩn bị
• Triển khai
• Bảo trì
• Gỡ bỏ
Trang 32Thực tập 9-13: Xuất bản 1 ứng dụng cho các user dùng Group
Policy
• Mục tiêu: Xuất bản 1 ứng dụng dùng các thiết lập GP
• Tạo 1 thư mục chia sẻ và copy các file vào đó
• Tạo 1 GPO để xuất bản các file phần mềm vào thư mục
• Đăng nhập như thành viên của group và cài đặt
phần mềm
Trang 33Thực tập 9-14: Chuyển 1 ứng dụng cho các user dùng Group
• Đăng nhập như 1 user trong OU
• Kiểm tra lại phần mềm có thể cài đặt và thực thi như mong muốn
Trang 34Tổng kết
• Một GPO là một đối tượng trong AD dùng để cấu hình và áp dụng các thiết lập cho các đối tượng
user & computer
• 2 kiểu GPO mặc định được tạo khi AD đã cài đặt:
• Default Domain Policy
• Default Domain Controllers Policy
• 2 cơ chế để tạo các GPO:
• Microsoft Management Console Group Policy snap-in
• Group Policy extension trong Active Directory Users and Computers
Trang 38Tổng kết (tt)
• Các GPO có thể được dùng để:
• Điều khiển các thiết lập desktop và bảo mật
• Áp dụng các script khi user đăng nhập và đăng xuất,
khi computer khởi động và shutdown
• Cho tái điều hướng thư mục
• Các GPO được áp dụng theo thứ tự xác định
• Các GPO được thừa kế theo mặc định:
• Có thể thay đổi bằng cách khóa thừa kế Group Policy, cấu hình No Override hoặc lọc dùng các quyền user
• Dùng GPRESULT hoặc công cụ RSoP để xem tác động của các thiết lập GP
Trang 39• Các ứng dụng đã cài đặt có thể được chuyển hoặc xuất bản