Group Policy Management Chuẩn bị: - Máy Windows Server 2008 (đã nâng cấp Domain): Server 1 NIC 1: 192.168.1.1/24 - Máy Windows XP: PC 1 NIC 1: 192.168.1.2/24 Mô hình: Mục tiêu bài LAB: - Cấu hình các vấn đề về Group Policy Management. - Mục tiêu cuối cùng:cấu hình thành công Group Policy Management. Lưu ý: Khi thực hiện trên máy ảo VM-ware, các card mạng sẽ thiết lập ở chế độ HOST ONLY, Nên tắt tính năng Windows Firewall trên các máy Server và PC. Thực Hiện: Bước 1(tạo 1 OU mới và thực hiện xóa thành công OU đó): Trên máy server1, vào Start -> Run rồi gõ dsa.msc để vào Active Directory Users and Computers. Trong Active Directory Users and Computers, tạo thành công OU CHA: Trong Active Directory Users and Computers, xóa thử OU CHA và thấy thông báo lỗi xóa thất bại: Để xóa thành công OU CHA, trong Active Directory Users and Computers ta sẽ chọn View rồi chọn Advanced Features: Trong CHA Prope rties, ta sang tab Object để bỏ check ở phần Protect Object from accidental deletion: Trong Active Directory Users and Computers, ta đã xóa thành công OU CHA: Bước 2(tạo 1 cấu trúc OU như sau và tạo 1 Group Policy ẩn Control Panel áp dụng trên OU CHA): Trong Active Directory Users and Computers, ta tạo thêm 1 group Test và thêm 2 user u1, u3 vào: Trên máy server1, vào Start -> Administrative Tools rồi chọn Group Policy Management: Trong Group Policy Manage ment, ta chọn Forest: athena.edu.vn -> Domain -> và chuột phải vào athena.edu.vn rồi chọn Create a GPO in this domain, and Link it here : Sau đó tạo 1 GPO với tên an control panel cho OU CHA: Trong Group Policy Manage ment, ta chọn Forest: athena.edu.vn -> Domain -> và chuột phải vào athena.edu.vn rồi chuột phải vào GPO an control panel cho OU CHA và chọn Edit. Trong Group Policy Manage ment Editor, ta chọn User Configuration-> Policies -> Administrative Templates -> Control Panel. Ta vào Prohibit access to the Control Panel Properties rồi chọn Enabled: Trở lại Group Policy Management, ta chuột phải vào OU CHA rồi chọn Link an Existing GPO: Trong cửa sổ Select GPO, ta chọn GPO an control panel cho OU CHA rồi OK: Để update cho GPO vừa tạo, ta vào Start -> Run rồi gõ CMD. Trong CMD, ta gõ gpupdate /force : Để kiểm tra GPO vừa tạo, ta đăng nhập vào user ATHENA\u1 để khảo sát: Bước 3(khóa kế thừa GPO ẩn control panel trên OU CON): Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn -> Domain -> athena.edu.vn rồi chuột phải vào OU CON rồi chọn Block Inhe ritance : Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD. Trong CMD, ta gõ gpupdate /force : Để kiểm tra, ta đăng nhập vào user u3, u4 sẽ thấy lại Control Panel: Bước 4(cấu hình Enforced trên GPO ẩn control panel): Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn -> Domain -> athena.edu.vn rồi chuột phải vào GPO an control panel rồi chọn Enforced: Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD. Trong CMD, ta gõ gpupdate /force. Để kiểm tra, ta đăng nhập vào user u3, u4 sẽ không thấy lại Control Panel. Bước 5(cấu hình order policy): Trên máy server1, trong Group Policy Management, ta tạo mới 1 GPO với tên ko an conrol panel: Trong GPO này, ta disable tính năng khóa control panel: Sau đó, ta thêm GPO ko an control panel vào OU CHA: Trong OU CHA, ta chỉnh độ ưu tiên của GPO ko an control panel cao hơn GPO an control panel: Trong OU CHA, sang tab Group Policy Inheritance thì chỉ số Precedence càng thấp thì độ ưu tiên càng cao: Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD. Trong CMD, ta gõ gpupdate /force. Để kiểm tra, ta đăng nhập bằng user u3 sẽ thấy control panel do độ ưu tiên của GPO ko an control panel cao hơn của GPO an control panel: Bước 6(cấu hình security filtering): Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn -> Domain -> athena.edu.vn rồi chọn GPO an control panel. Trong phần Security Filtering của GPO an control panel, ta xóa Authenticated Users: Trong phần Security Filtering của GPO an control panel, ta thêm vào group Test: Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD. Trong CMD, ta gõ gpupdate /force. Bước 7(xem các setting của GPO): Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn -> Domain -> athena.edu.vn rồi chọn GPO an control panel. Trong phần Setting của GPO an control panel, ta sẽ thấy các cài đặt của GPO an control panel: Bước 8(cấu hình Modeling Wizard): Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn. ta chuột phải vào Group Policy Modeling và chọn Group Policy Modeling Wizard: Trong cửa sổ Welcome to the Group Policy Modeling Wizard, ta chọn Next: Trong cửa sổ Domain Controlle r Selection, ta chọn Next: Trong cửa sổ User and Computer Selection, ta trỏ đường dẫn của User information và Computer information về OU CHA: Trong cửa sổ Advanced Simulation Options, ta chọn Next: Trong cửa sổ User Security Groups, ta chọn Next: Trong cửa sổ Computer Security Groups, ta chọn Next: Trong cửa sổ WMI Filters for Users, ta chọn Next: Trong cửa sổ WMI Filters for Computers, ta chọn Next: Trong cửa sổ Summary of Selections, ta chọn Next: Trong cửa sổ Completing the Group Policy Modeling Wizard, ta chọn Finish: Sau khi cài đặt xong Modeling Wizard, ta sẽ thấy chi tiết và các GPO được cấu hình trên OU CHA: Bước 9(cấu hình Ite m level Targeting): cấu hình Item level Targeting cho phép cấu hình 1 user có thể xem các file ẩn và các đuôi của các file Trên máy server1, ta vào Group Policy Management rồi chuột phải vào Default Domain Policy để chọn Edit: Trong Group Policy Manage ment Editor, ta chọn User Configuration -> Preferences -> Control Panel Settings -> Folde r Options. Ta chọn chuột phải vào Folder Options và chọn New -> Folder Options (Windows XP): Trong New Folde r Options (Windows XP) Properties, ta check vào Show hidden files and folders và bỏ check ở Hide extensions for knowm file types và Hide protected operating system file(Recommended): Trong New Folde r Options (Windows XP) Properties, ta sang tab Common rồi check vào Run in logged on user’s security context (user policy option) và Ite m level targeting: Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD. Trong CMD, ta gõ gpupdate /force. Sau đó đăng nhập user u4 để kiểm tra. Bước 10(disable 1 phần của GPO): Trong Group Policy Manage ment, ta chọn tab Details của GPO an control panel và chọn Computer configuration settings disabled ở phần GPO Status : Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD. Trong CMD, ta gõ gpupdate /force. Bước 11(Khao sat noi chua policy template): Trong Group Policy Manage ment, ta chọn tab Details của GPO an control panel và copy ID ở phần Unique ID: Ta truy cập vào ổ C theo đường dẫn C:\Windows\SYSVOL\sysvol\athena.edu.vn\Policies\{2583C7F0-78EC-4B8C-A38B31AACEE4EC8B}\User để khảo sát file Registry.pol: [...]... server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn -> Domain -> athena.edu.vn rồi chọn GPO an control panel Trong phần Setting của GPO an control panel, ta sẽ thấy các cài đặt của GPO an control panel: Bước 8(cấu hình Modeling Wizard): Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn ta chuột phải vào Group Policy Modeling và chọn Group Policy Modeling... Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD Trong CMD, ta gõ gpupdate /force Bước 11(Khao sat noi chua policy template): Trong Group Policy Manage ment, ta chọn tab Details của GPO an control panel và copy ID ở phần Unique ID: Ta truy cập vào ổ C theo đường dẫn C:\Windows\SYSVOL\sysvol\athena.edu.vn\Policies\{2583C7F 0-7 8EC-4B8C-A38B31AACEE4EC8B}\User để khảo... Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn -> Domain -> athena.edu.vn rồi chọn GPO an control panel Trong phần Security Filtering của GPO an control panel, ta xóa Authenticated Users: Trong phần Security Filtering của GPO an control panel, ta thêm vào group Test: Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD Trong CMD, ta... the Group Policy Modeling Wizard, ta chọn Finish: Sau khi cài đặt xong Modeling Wizard, ta sẽ thấy chi tiết và các GPO được cấu hình trên OU CHA: Bước 9(cấu hình Ite m level Targeting): cấu hình Item level Targeting cho phép cấu hình 1 user có thể xem các file ẩn và các đuôi của các file Trên máy server1, ta vào Group Policy Management rồi chuột phải vào Default Domain Policy để chọn Edit: Trong Group. .. ta sang tab Common rồi check vào Run in logged on user’s security context (user policy option) và Ite m level targeting: Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD Trong CMD, ta gõ gpupdate /force Sau đó đăng nhập user u4 để kiểm tra Bước 10(disable 1 phần của GPO): Trong Group Policy Manage ment, ta chọn tab Details của GPO an control panel và chọn Computer... Group Policy Inheritance thì chỉ số Precedence càng thấp thì độ ưu tiên càng cao: Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD Trong CMD, ta gõ gpupdate /force Để kiểm tra, ta đăng nhập bằng user u3 sẽ thấy control panel do độ ưu tiên của GPO ko an control panel cao hơn của GPO an control panel: Bước 6(cấu hình security filtering): Trên máy server1, ta vào Group. .. file Trên máy server1, ta vào Group Policy Management rồi chuột phải vào Default Domain Policy để chọn Edit: Trong Group Policy Manage ment Editor, ta chọn User Configuration -> Preferences -> Control Panel Settings -> Folde r Options Ta chọn chuột phải vào Folder Options và chọn New -> Folder Options (Windows XP): Trong New Folde r Options (Windows XP) Properties, ta check vào Show hidden files and folders... Trong cửa sổ Welcome to the Group Policy Modeling Wizard, ta chọn Next: Trong cửa sổ Domain Controlle r Selection, ta chọn Next: Trong cửa sổ User and Computer Selection, ta trỏ đường dẫn của User information và Computer information về OU CHA: Trong cửa sổ Advanced Simulation Options, ta chọn Next: Trong cửa sổ User Security Groups, ta chọn Next: Trong cửa sổ Computer Security Groups, ta chọn Next: Trong