CHÍNH SÁCH NHÓM I Giới thiệu sách nhóm II Triển khai sách nhóm miền III Các ví dụ minh họa 1 So sánh System Policy Group Policy Chính sách nhóm xuất miền Active Directory NT5.0 Chính sách nhóm bao gồm sách hệ thống sách riêng nhóm Chính sách nhóm tự động hủy bỏ tác dụng gỡ bỏ, không giống sách hệ thống Chính sách nhóm áp dụng thường xuyên sách hệ thống Các sách hệ thống áp dụng máy tính đăng nhập vào mạng Các sách nhóm áp dụng suốt thời gian làm việc Có nhiều mức độ để gán sách nhóm cho nhóm người dùng nhóm đối tượng Chính sách nhóm áp dụng máy Win2K, WinXP Windows Server 2003 Chức Group Policy a Triển khai phần mềm ứng dụng: đặt một gói cài đặt(package) lên Server, dùng sách nhóm hướng nhiều máy trạm đến gói phần mềm Hệ thống tự động cài đặt phần mềm đến tất máy trạm mà không cần can thiệp người dùng b Gán quyền hệ thống cho người dùng: tương tự sách hệ thống Nó cấp cho một nhóm người có quyền tắt máy server, đổi hệ thống, backup liệu c Giới hạn ứng dụng mà người dùng phép thi hành: kiểm soát máy trạm người dùng cho phép người dùng chạy vài ứng dụng như: Outlook Express, Word hay Internet Explorer d Kiểm soát thiết lập hệ thống: bạn dùng sách nhóm để qui định hạn ngạch đĩa cho người dùng Người dùng phép lưu trữ tối đa MB đĩa cứng theo qui định e Thiết lập kịch đăng nhập, đăng xuất, khởi động tắt máy: Từ Windows 2000 Windows Server 2003 hỗ trợ bốn kiện kích hoạt (trigger) kịch (script) Ta dùng GPO để kiểm soát kịch chạy f Đơn giản hóa hạn chế chương trình: Có thể dùng GPO để gỡ bỏ nhiều tính khỏi Internet Explorer, Windows Explorer chương trình khác g Hạn chế tổng quát hình Desktop người dùng: gỡ bỏ hầu hết đề mục menu Start người dùng đó, ngăn chặn không cho người dùng cài thêm máy in, sửa đổi thông số cấu hình máy trạm… II Triển khai sách nhóm miền  Chúng ta cấu hình triển khai Group Policy cách xây dựng đối tượng sách (GPO)  Các GPO chứa nhiều sách áp dụng cho nhiều người, nhiều máy tính hay toàn hệ thống mạng  Dùng chương trình Group Policy Object Editor để tạo đối tượng sách (GPO)  Trong sổ Group Policy Object Editor có hai mục chính: cấu hình máy tính (computer configuration) cấu hình người dùng (user configuration) Xem sách cục máy tính xa  Để xem sách cục máy tính khác miền, bạn phải có quyền quản trị máy quản trị miền  Lệnh: GPEDIT.MSC/gpcomputer:machinename VD: xem sách máy PCO1 ta gõ lệnh GPEDIT.MSC /gpcomputer: PCO1  Không thể dùng cách để thiết lập sách nhóm cho máy tính xa 10  Trong Tab Security cho phép bạn cấp quyền cho người dùng nhóm người dùng có quyền sách 17  Trong hộp thoại Group Policy sách áp dụng từ lên trên, sách nằm áp dụng cuối  Do đó, GPO nằm cao danh sách có độ ưu tiên cao hơn, chúng có thiết định mâu thuẫn sách nằm thắng  Vì lý nên Microsoft thiết kế hai nút Up Down giúp di chuyển sách lên hay xuống 18 19 Có thay đổi sách nhóm cách Click nút Edit 20 III Minh họa GPO người dùng cấu hình nhóm Khai báo logon script dùng sách nhóm  Windows Server 2003 hỗ trợ bốn kiện để kích hoạt kịch (script) hoạt động là: startup, shutdown, logon, logoff  Trong công cụ Group Policy Object Editor, vào Computer Configuration Windows Setttings 􀂾 Scripts để khai báo kịch hoạt động startup, shutdown 21  Đồng thời để khai báo kịch hoạt động logon, logoff bạn vào User Configuration Windows Setttings Scripts  Trong ví dụ tạo logon script, trình gồm bước sau: 22  Vào mục User Configuration Windows Setttings Scripts 23  Nhấp đúp chuột vào mục Logon bên sổ bên phải, hộp thoại xuất hiện, bạn nhấp chuột tiếp vào nút Add để khai báo tên tập tin kịch cần thi hành đăng nhập  Chú ý tập tin kịch phải chứa thư mục c: \ windows \ system32 \ grouppolicy \ user \ script \ logon 24 25  Tiếp theo để kiểm soát trình thi hành tập tin kịch bản, bạn cần hiệu chỉnh sách Run logon scripts visible trạng thái Enable  Trạng thái giúp bạn phát lỗi phát sinh tập tin kịch thi hành từ sửa chữa  Để thay đổi sách bạn nhấp chuột vào mục User Configuration Administrative Templates 􀂾 System 􀂾 Scripts, sau nhấp đúp chuột vào mục Run logon scripts visible để thay đổi trạng thái 26 27 Hạn chế chức Internet Explorer  Ví dụ muốn người dùng máy trạm không phép thay đổi thông số Tab Security, Connection Advanced hộp thoại Internet Options công cụ Internet Explorer  Để làm việc này, công cụ Group Policy Object Editor, bạn vào User Configuration Administrative  Templates Windows Components Internet Explorer  Internet Control Panel, chương trình mục chức IE giới hạn, bạn chọn khóa chức cần thiết 28 29 Cho phép số ứng dụng thi hành  Để cấu hình Group Policy cho phép người dùng máy trạm sử dụng vài ứng dụng ta làm sau:  Trong công cụ Group Policy Object Editor  User Configuration  Administrative Templates  System  Sau nhấp đúp chuột vào mục Run only allowed windows applications để định phần mềm phép thi hành 30 31 [...]... Override thì các chính sách khác được áp dụng ở dòng dưới sẽ không phủ quyết được những thiết định của chính sách này, cho dù chính sách đó không đánh dấu vào mục Block Policy inheritance  Tiếp theo nếu bạn đánh dấu vào mục Disabled, thì chính sách này sẽ không hoạt động ở cấp này, Việc disbale chính sách ở một cấp không làm disable bản thân đối tượng chính sách 14 15  Để tạo ra một chính sách mới bạn... chính sách mới  Để khai báo thêm thông tin cho chính sách này bạn có thể nhấp chuột vào nút Properties, hộp thoại xuất hiện có nhiều Tab, bạn có thể vào Tab Links để chỉ ra các site, domain hoặc OU nào liên kết với chinh sách 16  Trong Tab Security cho phép bạn cấp quyền cho người dùng hoặc nhóm người dùng có quyền gì trên chính sách này 17  Trong hộp thoại chính của Group Policy thì các chính sách. .. Policy 12  Nếu chưa tạo ra một chính sách nào thì chỉ có một chính sách tên Default Domain Policy  Checkbox Block Policy inheritance, chức năng của mục này là ngăn chặn các thiết định của mọi chính sách bất kỳ ở cấp cao hơn lan truyền xuống đến cấp đang xét Chọn chính sách Default Domain Policy và nhấp chuột vào nút Option để cấu hình các lựa chọn việc áp dụng chính sách  13  Trong hộp thoại Options,... lên trên, cho nên chính sách nằm trên cùng sẽ được áp dụng cuối cùng  Do đó, các GPO càng nằm trên cao trong danh sách thì càng có độ ưu tiên cao hơn, nếu chúng có những thiết định mâu thuẫn nhau thì chính sách nào nằm trên sẽ thắng  Vì lý do đó nên Microsoft thiết kế hai nút Up và Down giúp chúng ta có thể di chuyển các chính sách này lên hay xuống 18 19 Có thay đổi chính sách nhóm bằng cách Click...2 Tạo các chính sách trên miền Có 2 cách gọi Group Policy để tạo ra các chính sách nhóm cho miền  Dùng Active Directory User and Computer  Gọi trưc tiếp tiện ích Group Policy Object Editor từ dòng lệnh trên máy DC Nếu mở Group Policy từ Active Directory User and Computer thì trong khung cửa sổ chính của chương trình bạn nhấp chuột phải vào biểu tượng... và Down giúp chúng ta có thể di chuyển các chính sách này lên hay xuống 18 19 Có thay đổi chính sách nhóm bằng cách Click nút Edit 20 III Minh họa GPO trên người dùng và cấu hình nhóm 1 Khai báo 1 logon script dùng chính sách nhóm  Windows Server 2003 hỗ trợ bốn sự kiện để có thể kích hoạt các kịch bản (script) hoạt động là: startup, shutdown, logon, logoff  Trong công cụ Group Policy Object Editor,... \ logon 24 25  Tiếp theo để kiểm soát quá trình thi hành của tập tin kịch bản, bạn cần hiệu chỉnh chính sách Run logon scripts visible ở trạng thái Enable  Trạng thái này giúp bạn có thể phát hiện ra các lỗi phát sinh khi tập tin kịch bản thi hành từ đó chúng ta có thể sửa chữa  Để thay đổi chính sách này bạn nhấp chuột vào mục User Configuration Administrative Templates 􀂾 System 􀂾 Scripts, sau ... Policy Chính sách nhóm xuất miền Active Directory NT5.0 Chính sách nhóm bao gồm sách hệ thống sách riêng nhóm Chính sách nhóm tự động hủy bỏ tác dụng gỡ bỏ, không giống sách hệ thống Chính sách nhóm. .. xuyên sách hệ thống Các sách hệ thống áp dụng máy tính đăng nhập vào mạng Các sách nhóm áp dụng suốt thời gian làm việc Có nhiều mức độ để gán sách nhóm cho nhóm người dùng nhóm đối tượng Chính sách. .. GPEDIT.MSC/gpcomputer:machinename VD: xem sách máy PCO1 ta gõ lệnh GPEDIT.MSC /gpcomputer: PCO1  Không thể dùng cách để thiết lập sách nhóm cho máy tính xa 10 Tạo sách miền Có cách gọi Group Policy để tạo sách nhóm cho miền