Sau ấn OK đóng cửa sổ Quota entries lại, cửa sổ Quota ấn OK, hoàn thành việc đặt Disk Quota cho User Lúc User bị giới hạn dung lượng ổ đĩa Server, máy trạm logon vào với User ta thấy rõ điều VI – NHÓM VÀ CHÍNH SÁCH NHĨM Giới thiệu Nhóm Trong windows 2003 server Một tập tin tài khoản người sử dụng gọi Group Một người sử dụng thành viên nhiều nhóm Khi bổ sung thêm thành viên cho nhóm cần lưu ý đến bước sau: - Khi user thành viên group user thừa hưởng quyền mà group có - Một user account thành viên nhiều group  Các nhóm Domain Các nhóm tạo domain controller lưu dịch vụ thư mục Active Directory Các nhóm sử dụng để gán quyền đến tài nguyên quyền quản trị hệ thống cho máy tính domain Các nhóm domain cho phép quản trị tập trung domain  Các nhóm Workgroup Các nhóm Workgroup tạo máy tính, khơng có chức điều khiển domain Các máy tính Client chạy Windows Xp member server chạy windows 2003 server Chúng chứa Sercurity Account Manager (SAM) sử dụng để gán quyền đến tài nguyên quyền quản trị hệ thống máy tính, nơi mà nhóm tạo 1.1 Các nhóm domain Trong domain controller có nhóm tạo sẵn, tự động tạo q trình cài đặt windows 2003 Các nhóm tạo sẵn lưu trữ Active Directory User and Computer Các nhóm tạo sẵn có phạm vi hoạt động tồn cục Windows 2003 hỗ trợ nhóm đây:  Built-In Group: Các nhóm sử dụng cho user xác định trước quyền quyền để thực nhiệm vụ domain controller Active Directory Điều tạo domain controller Các nhóm loại khơng thể bị xố  Special Identify Group: Các nhóm loại tổ chức user cách tự động Người quản trị bổ sung user vào nhóm Thay vào cách mặc định user thành viên nhóm này, trở thành thành viên thực nhiệm vụ mạng  Predefined Groups: Các nhóm loại cung cấp cho người quản lý cách dễ dàng điều khiển user domain Các nhóm thuộc domain controller Chúng lưu trữ folder user Active Directory Users and Computers 1.2 Các nhóm workgroup Các nhóm cục tạo tạo nhóm workgroup Các nhóm cục tạo server thành viên máy chạy với hệ điều hành windows XP Có thể sử dụng nhóm cục để án định quyền cho phép cho nguồn tài nguyên máy tính cục Các nhóm mặc định tạo windows 2003, nhóm có quyền đặc biệt để thực nhiệm vụ hệ thống máy cục Các user bổ sung đến nhóm mặc định cách dễ dàng  Local Groups: Khi tạo nhóm cục phải biết người thành viên chúng thực Nhóm cục tạo server thành viên chạy windows 2003 server windows 2003 Advanced Server máy client chạy với windows XP Local group sử dụng theo nguyên tắc đây:  Nhóm cục khơng thể thành viên nhóm khác  Nhóm cục chứa user account cục từ máy tính mà nhóm cục tạo  Chúng ta sử dụng nhóm cục để điều khiển việc truy xuất đến nguồn tài nguyên máy cục cho việc thực nhiệm vụ hệ thống máy cục  Các nhóm cục phải thiết lập máy tính khơng phải domain Các nhóm cục sử dụng máy mà nhóm cục tạo Bất lợi việc tạo nhóm cục domain máy tính hạn chế từ nhóm quản trị trung tâm Nhóm cục khơng thấy Active Directory nhóm cục cần phải quản trị cách riêng biệt  Built-In Groups: Khi cài đặt Windows xp windows 2003 advanced server server thành viên, nhóm tạo cách tự động Các nhóm định nghĩa trước tập quyền quyền Các nhóm định nghĩa trước tập quyền quyền Các nhóm khơng thể xố Thành lập nhóm là:  Built-In local Groups: Trong nhóm thành viên thực nhiệm vụ hệ thống việc thay đổi hệ thống thời gian, khôi phục file, lưu file việc quản trị nguồn tài nguyên hệ thống Các nhóm lưu trữ nhóm folder local users and groups computer management  Special Identities / Groups: Trong nhóm user tổ chức cách tự động Thường người quản trị khơng thể sửa đổi thành viên nhóm Các user thành viên mặc định nhóm trở thành thành viên st q trình mạng hoạt động Theo mặc định Windows 2003 chứa nhóm đặc biệt Chính Sách Nhóm Tổng chi phí cho việc sở hữu, xem TCO: Total Cost of Ownership, chi phí mà bao gồm việc thực phân phối máy dành riêng mạng Chúng ta giảm bớt TCO mạng việc sử dụng sách nhóm Microsoft windows 2003 Chính sách nhóm cơng nghệ mà cho phép người quản trị để quản lý môi trường desktop qua mạng windows 2003 Việc quản lý desktop thơng qua sách nhóm thực việc áp dụng thiết lập cấu hình computer user account Các thiết lập sách nhóm tập trung đối tượng sách nhóm (GPO: Group Policy Object) Các sách nhóm cho phép người quản trị để thiết lập yêu cầu cho user computer Yêu cầu sau đem thực liên tục Chúng ta sử dụng snap-in group policy phần mở rộng MMC để mặc định nghĩa thiết lập sách nhóm Các sách nhóm mở rộng:  Administrative Templates: Dựa Registry: Cấu hình xuất desktop, thiết lập ứng dụng chạy dịch vụ hệ thống  Folder Redirection: Lưu trữ folder user mạng  Scripts: Tạo scripts mà sử dụng user logon logoff, computer khởi động tắt máy  Security: Tuỳ chọn cung cấp cho máy cục bộ, domain thiết lập an toàn mạng  Software Installation: Chủ yếu quản lý việc cài đặt phần mềm, cập nhật xoá bỏ Trong Windows 2003, thiết lập sách nhóm lưu trữ đối tượng sách nhóm (GPO) Do đó, tạo GPO sau thiết lập để chứa thiết lập sách nhóm GPO lưu trữ ảo định vị cho thiết lập sách nhóm Một GPO bao gồm tập thiết lập mà ảnh hưởng riêng user computer Mỗi GPO có cấu hình khác có ảnh hưởng riêng khác cho user conputer Nội dung GPO lưu trữ vị trí khác nhau:  Group Policy Containers (GPC)  Group Policy Templates (GPT) 2.1 Các Group Policy Containers (GPC) Group policy Container đối tượng Active Directory Nó chứa thuộc tính GPO bao gồm container cho thơng tin sách nhóm user computer GPC bao gồm thông tin đây:  Danh sách component: chứa danh sách sách nhóm mở rộng sử dụng GPO  Thông tin trạng thái: Cho biết GPO hay khơng thực  Thông tin Version: Đảm bảo thông tin GPC xảy đồng thời với thông tin GPT 2.2 Các Group Policy Template (GPT) Các Group Template folder vật lý mà tạo tạo đối tượng sách nhóm GPT folder có thứ tự foder sysvol domain controller Đây đối tượng chưa tất thơng tin sách nhóm template quản trị, script, cài đặt phần mềm, việc nhân folder Khi chúng tạo GPO, windows 2003 tạo folder GPT có thứ tự Folder tên sau GUID (globally unique identifier) GPO tạo Một directory tạo với tên DNS domain, directory sysvol Một directory khác có tên Policies tạo directory domain Dưới directory policies thư mục tạo với GUID GPO tên thư mục Ứng dụng sách nhóm Bước quan trọng q trình cài đặt sách nhóm nhóm phải hiểu cách thừa kế thứ tự thực đối tượng sách nhóm Khi ứng dụng đối tượng sách nhóm đến đối tượng chứa, thừa kế suốt cấp bậc hệ thống Đây cách thừa kế Active Directory việc đơn giản hoá nhiệm vụ quản trị Chúng ta kết hợp đối tượng chứa Active Directory với GPO trình tạo Đối tượng chứa site, domain OU Việc thiết lập sách nhóm GPO ảnh hưởng đối tượng đối tượng chứa Việc thiết lập sách thừa kế theo thứ tự sau:  Site  Domain  OU Theo mặc định Windows 2003 ước lượng đối tượng sách nhóm từ đối tượng chứa xa đối tượng Cái mà áp dụng việc thiết lập site, domain sau OU Việc thiết lập sách OU đến computer user thuộc nó, thiết lập sau điều áp dụng cho user computer Do đó, thiết lập sách nhóm đối tượng chưa Active Directory đến user computer mâu thuẫn quan trọng việc thiết lập sách nhóm đối tượng chứa xa kể từ user computer Thiết lập sách nhóm thiết lập cho OU cha OU Trong số trường hợp, khả tương thích thiết lập xác định thiết lập áp dụng Nếu hai thiết thiết lập tương thích sau thiết lập từ OU cha OU áp dụng đối tượng OU Tuy nhiên, chúng không tương thích sau OU khơng thừa kế thiết lập OU cha Vì thiết lập OU áp dụng đối tượng OU Trong trường hợp này, thiết lập sách nhóm thiết kế OU cha khơng OU sau đối tượng OU thừa kế thiết lập OU cha Các quy tắc thừa kế mặc định windows 2003 sửa đổi Chúng ta sửa đổi quy tắc thừa kế cho GPO riêng lẻ Hai tuỳ chọn cung cấp cho việc thay đổi q trình mặc định:  Block Inheritance: Chúng ta sử dụng tuỳ chọn đến khối đối tượng chứa từ việc thừa kế thiết lập đối tượng chứa cha Nó sử dụng OU cần phải thiết lập sách Khối thừa kế áp dụng đến tất đối tượng sách nhóm đối tượng chứa cha Trong trường hợp mâu thuẫn, tuỳ chọn No Override đặt quyền ưu tiên lên tùy chọn  No Override: Chúng ta sử dụng tuỳ chọn để ngăn cản OU từ việc đè lên thiết lập GPO với mức độ cao Tuỳ chọn tập lên GPO Đây điều việc thiết lập tuỳ chọn hay nhiều GPO Trong số trường hợp, GPO với tuỳ chọn No Override, cấp bậc cao Active Directory đặt quyền ưu tiên lên GPO khác Một GPO kết hợp với site ảnh hưởng đến tất computer site, domain thuộc chúng Tuy nhiên, GPO lưu trữ domain controller site Tất computer phải tiếp xúc với domain controller chứa GPO cho thiết lập sách Từ đó, site chứa nhiều domain, domain chứa nhiều domain, domain thừa kế GPO kết hợp với site Cấu hình sách nhóm Các thiết lập sách nhóm GPO cấu hình cách sử dụng snap-in Group Policy mở rộng MMC Các mở rộng sách nhóm bao gồm thiết lập cho:  Administrative Templates  Folder Redirection  Scripts  Security  Remote Installation Servies  Software Installation Để mở GPO ta làm sau: Mở Active Directory Users and Computer / Active Directory Sites and Services từ menu administrative tools Nhấp phải vào container hay OU, Nhấp propertices, Nhấp vào tab Group Policy, Chọn GPO mà muốn, nhấp New chưa có GPO nhấp Edit Thiết lập sách nhóm GPO phân thành: Computer Configuration User Configuration 4.1 Computer Configuration - Cấu hình máy tính Loại bao gồm thiết lập sách nhóm quy định mơi trường desktop tuỳ ý bắt tuân theo sách bảo mật máy tính Đây thiết lập áp dụng khởi tạo hệ điều hành Các thiết lập cấu hình máy tính bao gồm tất liên kết sách rõ đây:  Software Setting o Software Installation  Windows settings o Scripts(Startup/Shutdown) o Security Settings  Account Policies  Local Policy  Event log  Restricted Groups  System Services  Registry  File system  Administrative Templates o Windows Components o System o Network o Printer 4.2 User Configuration - Cấu hình người sử dụng Loại bao gồm thiết lập sách nhóm quy định mơi trường desktop tuỳ ý bắt tuân theo sách bảo mật người sử dụng Các thiết lập người sử dụng áp dụng người sử dụng đăng nhập vào máy tính Các thiết lập cấu hình người sử dụng bao gồm tất liên kết sách người sử dụng rõ đây:  Software Settings o Software Installation  Windows Settings o Remote Installation Services o Scripts(logon/logoff) o Security Setting o Folder Redirection o Internet Explorer maintenance  Administrative Templates o Windows Components o Start Menu and takbar o Desktop o Control panel o Shared Folder o Network o System Bên folder, subfolder sách khơng giống tuỳ theo trường hợp chọn cấu hình máy tính hay cấu hình người sử dụng Điều khiển sách nhóm nên tập trung vào domain controller Do đó, cách mặc định Việc điều hành sách tập trung primary domain controller Tuy nhiên, domain controller với vai trò điều hành sách PDC khơng có hiệu lực, thông báo lỗi xuất Mặc dù, cho phép để chọn domain controller khác Chúng ta lấy liệu nhiều người quản trị sửa đổi GPO Trong trường hợp này, thay đổi cuối ghi đè lên thay đổi trước hồn thành GPO Thông báo lỗi nhắc nhở ghi đè Chúng ta nên chọn mục chắn điều  Một GPO khơng thay đổi người  Các GPO file kết hợp thay cách hoàn toàn sau thay đổi cuối 4.3 Các thiết lập Administrative Template Administrative Template chứa đăng ký dựa thiết lập sách nhóm Trong registry edit, thiết lập sách nhóm giành riêng cho người sử dụng ghi HKEY_CURRENT_USER\Software\Policies Tương tự, thiết lập sách nhóm giành riêng cho máy tính ghi HKEY_CURRENT_MACHINE\ software\ policies 4.4 Các thiết lập kịch (Script) Windows 2003 cho phép script ghi computer users Đối với computers, để ấn định script thực suốt trình trình khởi động tắt máy Đối với users, án định script thực xuốt qúa trình đăng nhập đăng xuất Chúng ta ấn định script đăng nhập / đăng xuất thông qua trang properties user account Tuy nhiên việc gán script thông qua sách nhóm phương pháp ưu tiên Chúng ta ấn định nhiều script đến user computer Trong windows 2003, scipt thực theo mục sau  Trong trường hợp nhiều script, script trình theo thứ tự từ xuống trường hợp chúng danh sách hộp thoại properties  Windows 2003 thực script đăng xuất trước thực script tắt máy  Giá trị thời gian mặc định tối đa cho việc thực script 10 phút Tuy nhiên, thay đổi giá trị cách thay đổi thời gian chờ computer configuration \ Administrative Templates \ System\ Logon\ Maximum 4.5 Các thiết lập an toàn (Security) Chúng ta thiết lập cho hiệu lực an toàn mạng chung ta cách sử dụng thiết lập an tồn sách nhóm Chúng ta sử dụng thiết lập an toàn mở rộng sách nhóm để định rõ thiết lập an toàn Các khoản thiết lập an toàn mở rộng thảo luận bên  Account Policies: Chính sách tài khoản cho domain xác định  Thiết lập Password  Thiết lập giao thức Kerberos version  Các sách khố Account  Event Log: Chúng ta cấu hình tham số kích thước Truy xuất việc sở hữu cho ứng dụng, hệ thống an toàn với thiết lập event log  File System: Các thiết lập hệ thống file cho phép cấu hình an toàn đường dẫn file riêng biệt  IP Security Policies on Active Directory: Chúng ta cấu hình giao thức an tồn mạng interner sử dụng sách IP sercurity  Local Policies: Các thiết lập sách cục sử dụng cấu hình sách kiểm tốn, việc cấp quyền cho phép người sử dụng thiết lập mục an toàn khác cần thiết để cấu hình cục Các thiết lập sách cục đến máy tính  Public Key Policies: Các sách khố cơng khai cấu hình User configuration security settings Chúng ta sử dụng sách khố cơng khai thiết lập an tồn để cấu hình domain gốc, giao phó quyền lực việc khơi phục lại mã hố liệu  Registry: Chúng ta sử dụng thiết lập registry để cấu hình an tồn registry key  Restricted Group: Các sách hạn chế nhóm sử dụng để quản lý thành viên nhóm tạo sẵn nhóm domain Các nhóm tạo sẵn administrators, Power Users domain admins Chúng ta bổ sung nhóm khác đến nhóm restricted, song song với thành viên chi tiết chúng Để làm thế, cho phép theo dõi quản lý nhóm phần sách an tồn Nhóm restricted quản lý thành viên nhóm tạo sẵn thành viên nhóm Cột members Of tab Properties nhóm, danh sách tất nhóm để nhóm thành viên  System Services: Chúng ta sử dụng dịch vụ nhóm hệ thống việc thiết lập đến thiết lập cấu hình an tồn khởi động dịch vụ hoạt động máy tính Các dịch vụ khác cấu hình như:  Dịch vụ mạng  Dịch vụ File Print  Dịch vụ Telephony Fax  Dịch vụ Internet / Intranet 4.6 Triển khai thiết lập sách nhóm Để hiểu rõ sách nhóm cách thiết lập sách nhóm, em xét ví dụ yêu cầu thiết lập sách nhóm doanh nghiệp sau: Cơng ty TNHH máy tính CMS có phòng ban Phòng Giám Đốc, Phòng Kinh Doanh, Phòng Bảo Hành Phòng Kế Tốn Trong đó, ban giám đốc cơng ty u cầu sau:  Phòng giám đốc: Các User Phòng giám tồn quyền domain,  Phòng Kế Tốn: Các user thuộc phòng Kế Tốn có u cầu sau: Mật phải kí tự, thời gian thay đổi mật 30 ngày, người dùng đăng nhập sai lần bị khoá account, thời gian khố phút, user khơng phải ấn tổ hợp phím Ctrl+Alt+Del đăng  Phòng Kinh Doanh: Các user phòng kinh doanh có u cầu sau: Không cho phép user client truy cập vào ổ chứa hệ điều hành (ổ C), không cài đặt BÀI trình, khơng truy cập vào registry, khơng truy cập Control panel máy client, ẩn cửa sổ run máy client không cho thay đổi trang home page http://www.cmscomputer.com  Phòng Bảo Hành: Các user phòng bảo hành có u cầu sau: Mật ngồi việc từ kí tự trở lên phải mật khó, tức phải có thêm kí tự khác chữ số *, !, ~, @, #, %, (, ) Cho phép user nhóm tắt máy từ xa, khơng cho phép thay đổi thuộc tính LAN khơng cho phép Auto play tất loại ổ đĩa kể ổ đĩa USB Để thiết lập sách với yêu cầu em làm sau: Trước hết tạo OU tương ứng với phòng ban cơng ty, mở cửa sổ Active Directory User and Computer, chuột phải vào tên domain chọn New chọn Oganizational Unit, đánh tên OU tương ứng với tên phòng ban để tạo OU, phòng ban OU Sau tạo User Group OU Mỗi phòng ban có người tạo tương ứng User tạo Group có tên phòng ban Sau tạo User Group xong add User OU vào group vừa tạo để tiện cho việc gán quyền sau Các thiết đặt sách nhóm cho phòng ban sau:  Phòng Giám Đốc: Do sách nhóm có tính thừa kế thiết đặt bên có mức ưu tiên bên ngồi nên khơng thiết đặt cho OU Phòng giám đốc mà tạo user cho phòng tạo GPO cho phòng Mặc định thiết đặt domain áp xuống phòng giám đốc thừa hưởng quyền từ domain, tức có quyền Admin Và mục Member Of add nhóm quản trị vào user phòng  Phòng Kế Tốn: Chuột phải vào OU phòng kế tốn chọn properties, chọn tab Group Policy, click New, đặt tên cho GPO click Edit Do yêu cầu thiết đặt sách nhóm Computer nên thiết đặt sách nhóm sau: oMật kí tự: chọn đến Computer Configuration\ Windows setting\ Sercurity Setting\ Account policies\ Password policy, cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp cho giá trị oThời gian thay đổi mật 30 ngày: Cũng với đường dẫn trên, cửa sổ bên phải chọn dòng chư: Maximum password age, click đúp cho giá trị 30 oNgười dùng đăng nhập sai lần bị khoá account: chọn đến Computer Configuration\ Windows setting\ Sercurity Setting\ Account policies\ Account lokout policy, cửa sổ bên phải chọn dòng chữ: Account lonkout threshold, click đúp cho giá trị oThời gian khoá phút: Với đường dẫn trên, cửa sổ bên phải chọn đế dòng chữ: Account lockout duration, click đúp cho giá trị oKhơng ấn Ctrl+Alt+Del đăng nhập: Tìm đến đường dẫn Computer configuration\ Windows Setting\ Sercurity setting\ Local policy\ Sercurity Option: Ở cửa sổ bên phải chọn đến dòng chữ: Interactive logon: Do not require Ctrl+Alt+Del, click đúp chọn Enable oThông báo Quản trị mạng hệ thống tới User: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Security setting\ Local policy\ Security Option Tại cửa sổ bên phải tìm đến dòng chữ Messenger text for users attemping to logon, click đúp đánh vào thông báo quản trị mạng nói Tiếp theo xuống dòng Messenger title đánh vào tiêu đề thơng báo quản trị mạng  Phòng Kinh Doanh: Chuột phải vào OU phòng Kinh Doanh chọn properties, chọn tab Group Policy, click New đánh tên cho GPO phòng click Edit o Khơng cho phép User truy cập vào ổ C: Tìm đến đường dẫn User Configuration\ Administrative Templates\ Windows Components\ Windows Exploprer, cửa sổ bên phải chọn dòng chữ: Prevent access to drivers from My Computer, click đúp chọn enable chọn ổ đĩa C o Khơng cài đặt phần mềm: Tìm đến đường dẫn Computer Configuration\ Administrative Templates\ Windows Components\ Windows Installer, cửa sổ bên phải chọn dòng là: Disable windows installer, click đúp chọn enable o Khơng truy cập vào Registry editor: Tìm đến đường dẫn User Configuration\ Administrative Templates\ Windows Components\ System, cửa sổ bên phải chọn dòng chữ: Prevent access to registry editing tools, click đúp chọn enable o Không truy cập Control Panel máy client: Tìm đến đường dẫn User configuration\ Administrative templates\ Control panel, cửa sổ bên phải tìm đến dòng chữ: Prohibit access to the Control Panel, click đúp chọn enable o Ẩn cửa sổ Run client: Tìm đến đường dẫn User configuration\ Administrative templates\ Start menu and Taskbar, cửa sổ bên phải tìm đến dòng chữ: Remove Run menu from start menu, click đúp chọn enable o Không cho thay đổi trang chủ http://www.cms-conputer.com: Trước tiên ta đặt trang chủ với địa trên, tìm đến đường dẫn: User configuration\ Windows settings\ Internet Explorer Maintenance\ URLs, cửa sổ bên phải click đúp vào dòng: Important URLs, đánh dấu tích vào Customize Home page URL đánh vào ô địa URL địa http://www.cmscomputer.com ấn OK Sau tìm đến đường dẫn: User configuration\ Administrative templates\ Windows Components\ Internet Explorer, cửa sổ bên phải chọn đến dòng chữ: Disable chaning home page settings, click đúp chọn enable  Phòng Bảo Hành: Chuột phải vào OU phòng bảo hành chọn properties, chọn tab Group Policy, click New đánh tên cho GPO phòng Bảo hành click Edit o Mật kí tự phải khó: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Sercurity setting\ Password policy, cửa sổ bên phải chọn dòng chữ: Minimum password length, click đúp cho vào giá trị 8, chọn đến dòng chữ: Password must meet complexity requirements, click đúp chọ enable o Cho phép User tắt máy từ xa: Tìm đến đường dẫn Computer Configuration\ Windows setting\ Sercutity setting\ Local Policy\ User Rights Assignment, cửa sổ bên phải tìm đến dòng chữ: Force shutdown from a remote system, click đúp đánh vào User hay Group phòng o Khơng cho phép thay đổi thuộc tính LAN: Tìm đến đường dẫn User Configuration\ Administrative templates\ Network\ Network Connections, cửa sổ bên phải tìm đến dòng chữ: Prohibit access to properties of LAN connection, click đúp chọn enable o Khơng cho Auto play tất ổ đĩa: Tìm đến đường dẫn Computer Configuration\ Administrative templates\ System, cửa sổ bên phải chọn dòng chữ: Turn off Autoplay, click đúp chọn enable chọn All driver Sau thiết lập sách nhóm cho OU xong, để việc thay đổi có hiệu lực phải khởi động lại máy chủ, không cần khởi động lại máy chủ, cửa sổ run ta đánh lệnh gpupdate /force, lệnh làm tươi lại Group Policy cập nhật thiết đặt mà vừa thiết đặt Group Policy 5.0 Software Installation Servies – Dịch vụ triển khai phần mềm 5.1 Mục đích Software Installation Service sử dụng Group Policy (chính sách nhóm) để triển khai gói phần mềm tự động từ xa theo yêu cầu mạng LAN để giảm tải cho Server Không giống cài phần mềm trực tiếp máy trạm, sử dụng software installation servies có hai chế độ Public: Phần mềm hiển thị danh mục Add New Programs thành phần Add or Remove Programs Người dùng máy client muốn cài đặt phải ấn vào nút Add program BÀI trình thực cài đặt Khi BÀI trình thực việc cài đặt phầm mềm tự động hoàn thành Người dùng khơng thể remove BÀI trình phần mềm Assign: Phần mềm xuất danh mục Program Start, người dùng chạy shortcut phần mềm cài đặt Người dùng khơng cài gói phần mềm remove shortcut 5.2 Phương pháp triển khai Đa số phần mềm Microsoft hãng khác cung cấp dạng file *.exe *.msi Software installation servies triển khai gói phần mềm dạng file *.msi *.zap Đối với phần mềm có dạng *.msi q trình triển khai đơn giản hỗ trợ Nếu phần mềm khơng có dạng *.msi mà dạng *.exe phải chuyển file sang dạng *.zap, dạng file mà BÀI trình triển khai phần mềm cho phép Khi triển khai gói phần mềm cần share thư mục chứa file cho nhóm Everyone quyền read Phương pháp chuyển file *.exe sang dạng file *.zap: Mở notepad viết vào đoạn mã chuyển sau: [Application] Friendlyname = “Tên gói phần mềm” Setup command = \\\\file exe Sau save lại với tên file zap Phương pháp triển khai server Software Installation Services áp dụng triển khai cho toàn domain số OU Computer mạng Ví dụ triển khai gói phần mềm Microsoft Office 2003 dạng Public cho OU Phòng Kế Tốn để User OU cài đặt Office 2003, bước thực sau: Trên server tìm đến thư mục Office 2003 chia sẻ thư mục cho nhóm Everyone có quyền read Mở cửa sổ Active Directory User and Computer, chuột phải OU phòng Kế Tốn chọn Properties, chọn tab Group Policy, click vào Edit Tại cửa sổ Group Policy Object Editor tìm đến đường dẫn User Configuration\Software Setting\Software Installation chuột phải chọ New package Tiếp theo cửa sổ mở cho chọn đến thư mục chứa phần mềm cần triển khai Nếu phần mềm dạng *.msi cần chọn đến thư mục chọn file setup Nếu khơng phải *.msi chuyển sang dạng *.zap chọn đường dẫn tới file *.zap Tiếp theo cửa sổ Deploy software mở cho phép chọn chế độ hiển thị phần mềm máy client Ở có dạng hiển thị Public, Assign Advanced, yêu cầu chọn Public để người OU cài phần mềm Add New Program ... Nội dung GPO lưu trữ vị trí khác nhau:  Group Policy Containers (GPC)  Group Policy Templates (GPT) 2.1 Các Group Policy Containers (GPC) Group policy Container đối tượng Active Directory Nó chứa... sử dụng ghi HKEY_CURRENT_USERSoftwarePolicies Tương tự, thiết lập sách nhóm giành riêng cho máy tính ghi HKEY_CURRENT_MACHINE software policies 4. 4 Các thiết lập kịch (Script) Windows 2003... home page settings, click đúp chọn enable  Phòng Bảo Hành: Chuột phải vào OU phòng bảo hành chọn properties, chọn tab Group Policy, click New đánh tên cho GPO phòng Bảo hành click Edit o Mật kí