Khi bổ sung thêm thành viên cho các nhóm cần lưu ý đến các bước sau: - Khi một user là một thành viên của một group thì user đó sẽ được thừahưởng các quyền mà group đó có được.. Các nhóm
Trang 1Sau đó ấn OK và đóng cửa sổ Quota entries lại, tại cửa sổ Quota ấn OK,chúng ta đã hoàn thành việc đặt Disk Quota cho các User Lúc này các User đã bịgiới hạn dung lượng ổ đĩa trên Server, tại máy trạm logon vào với một User ta sẽthấy rõ điều này.
VI – NHÓM VÀ CHÍNH SÁCH NHÓM
1 Giới thiệu các Nhóm Trong windows 2003 server
Một tập tin các tài khoản của người sử dụng được gọi là Group Một người
sử dụng có thể là thành viên của nhiều hơn một nhóm
Khi bổ sung thêm thành viên cho các nhóm cần lưu ý đến các bước sau:
- Khi một user là một thành viên của một group thì user đó sẽ được thừahưởng các quyền mà group đó có được
- Một user account có thể là một thành viên của nhiều group
Trang 2 Các nhóm trong Domain
Các nhóm chỉ được tạo trong domain controller và được lưu trong dịch vụthư mục Active Directory Các nhóm đã được sử dụng để gán các quyền đến các tàinguyên và quyền quản trị hệ thống cho bất kỳ một máy tính nào trong một domain.Các nhóm trong domain cho phép quản trị tập trung trong domain
Các nhóm trong Workgroup
Các nhóm trong một Workgroup được tạo trên các máy tính, nó không cóchức năng điều khiển domain Các máy tính có thể là các Client chạy Windows Xphoặc các member server được chạy windows 2003 server Chúng được chứa trongSercurity Account Manager (SAM) và đã được sử dụng để gán quyền đến các tàinguyên và quyền quản trị hệ thống trên máy tính, nơi mà ở đó các nhóm được tạora
1.1 Các nhóm trong domain
Trong domain controller có các nhóm tạo sẵn, nó được tự động tạo ra trongquá trình cài đặt windows 2003 Các nhóm tạo sẵn được lưu trữ trong ActiveDirectory User and Computer Các nhóm tạo sẵn có phạm vi hoạt động là toàn cục.Windows 2003 hỗ trợ 3 nhóm dưới đây:
Built-In Group: Các nhóm này có thể được sử dụng cho các user được
xác định trước về các quyền và các quyền để thực hiện các nhiệm vụtrên một domain controller và trên Active Directory Điều này có thểđược tạo chỉ trên các domain controller Các nhóm loại này không thể bịxoá
Special Identify Group: Các nhóm loại này tổ chức các user một cách
tự động Người quản trị không thể bổ sung các user vào nhóm này Thayvào đó một cách mặc định các user là các thành viên của nhóm này,hoặc trở thành thành viên trong khi thực hiện các nhiệm vụ trên mạng
Predefined Groups: Các nhóm loại này cung cấp cho người quản lý
một cách dễ dàng các điều khiển các user trong domain Các nhóm nàychỉ thuộc trong các domain controller Chúng được lưu trữ trong folderuser trong Active Directory Users and Computers
1.2 Các nhóm trong workgroup
Trang 3Các nhóm cục bộ được tạo ra khi tạo các nhóm trong workgroup Các nhómcục bộ chỉ có thể được tạo ra trên các server thành viên hoặc trên các máy đangchạy với hệ điều hành windows XP Có thể sử dụng các nhóm cục bộ để án định cácquyền cho phép cho các nguồn tài nguyên chỉ trên các máy tính cục bộ Các nhómmặc định đã được tạo ra bởi windows 2003, đó là các nhóm có các quyền đặc biệt
để thực hiện các nhiệm vụ hệ thống trên các máy cục bộ Các user có thể được bổsung đến các nhóm mặc định này một cách dễ dàng
Local Groups: Khi tạo các nhóm cục bộ phải biết người và các thành
viên của chúng sẽ được thực như thế nào Nhóm cục bộ đã được tạo trêncác server thành viên đang chạy windows 2003 server hoặc windows
2003 Advanced Server hoặc trên các máy client đang chạy với windowsXP
Local group được sử dụng theo các nguyên tắc dưới đây:
Nhóm cục bộ không thể là một thành viên của một nhóm khác
Nhóm cục bộ chỉ có thể chứa các user account cục bộ từ máy tính
mà ở đó nhóm cục bộ đã được tạo
Chúng ta sử dụng các nhóm cục bộ để điều khiển việc truy xuất đếncác nguồn tài nguyên trên máy cục bộ và cho việc thực hiện cácnhiệm vụ hệ thống của máy cục bộ
Các nhóm cục bộ phải được thiết lập trên các máy tính không phải làmột domain Các nhóm cục bộ chỉ có thể được sử dụng trên các máy
mà ở đó các nhóm cục bộ đã được tạo ra Bất lợi của việc tạo cácnhóm cục bộ trên các domain máy tính đó là cái nó sẽ hạn chế chúng
ta từ nhóm quản trị trung tâm Nhóm cục bộ sẽ không thấy trongActive Directory và do đó các nhóm cục bộ cần phải quản trị mộtcách riêng biệt
Built-In Groups: Khi chúng ta cài đặt Windows xp hoặc windows 2003
advanced server trên server thành viên, các nhóm này được tạo một cách
tự động Các nhóm này đã được định nghĩa trước một tập các quyền vàcác quyền Các nhóm này đã được định nghĩa trước một tập các quyền
Trang 4và các quyền Các nhóm này không thể xoá được Thành lập các nhómlà:
Built-In local Groups: Trong nhóm này các thành viên có thể thựchiện các nhiệm vụ hệ thống như là việc thay đổi hệ thống thời gian,khôi phục các file, sao lưu các file và việc quản trị các nguồn tàinguyên hệ thống Các nhóm này được lưu trữ trong nhóm folder ởlocal users and groups trong computer management
Special Identities / Groups: Trong nhóm này các user được tổ chứcmột cách tự động Thường thì người quản trị không thể sửa đổi cácthành viên trong nhóm Các user là các thành viên mặc định củanhóm này hoặc trở thành các thành viên trong suôt quá trình mạnghoạt động Theo mặc định Windows 2003 chứa các nhóm đặc biệtnày
2 Chính Sách Nhóm
Tổng chi phí cho việc sở hữu, được xem như là TCO: Total Cost ofOwnership, là một chi phí mà nó bao gồm việc thực hiện phân phối máy dành riêngtrên mạng Chúng ta có thể giảm bớt TCO mạng của chúng ta bằng việc sử dụngchính sách nhóm trong Microsoft windows 2003 Chính sách nhóm là một côngnghệ mà nó cho phép người quản trị để quản lý các môi trường desktop qua mộtmạng windows 2003 Việc quản lý desktop thông qua các chính sách nhóm đượcthực hiện bằng việc áp dụng các thiết lập cấu hình computer và các user account.Các thiết lập chính sách nhóm tập trung ở các đối tượng chính sách nhóm (GPO:Group Policy Object) Các chính sách nhóm cho phép người quản trị để thiết lậpmột yêu cầu cho một user hoặc một computer Yêu cầu có thể sau đó sẽ được đemthực hiện liên tục Chúng ta có thể sử dụng snap-in group policy và phần mở rộngcủa nó trong MMC để mặc định nghĩa thiết lập chính sách nhóm Các chính sáchnhóm mở rộng:
Administrative Templates: Dựa trên Registry: Cấu hình xuất hiệndesktop, thiết lập ứng dụng và chạy các dịch vụ của hệ thống
Folder Redirection: Lưu trữ các folder của user trên mạng
Trang 5 Scripts: Tạo các scripts mà nó có thể được sử dụng khi một user logonhoặc logoff, khi một computer khởi động hoặc tắt máy.
Security: Tuỳ chọn này cung cấp cho máy cục bộ, domain và các thiếtlập an toàn mạng
Software Installation: Chủ yếu quản lý việc cài đặt phần mềm, cập nhật
Group Policy Containers (GPC)
Group Policy Templates (GPT)
2.1 Các Group Policy Containers (GPC)
Group policy Container là một đối tượng Active Directory Nó chứa cácthuộc tính của GPO và bao gồm các container con cho thông tin chính sách nhóm
về các user và các computer GPC bao gồm các thông tin dưới đây:
Danh sách các component: chứa một danh sách các chính sách nhóm
mở rộng được sử dụng trong GPO
Thông tin các trạng thái: Cho biết một GPO có thể hay không có thểđược thực hiện
Thông tin Version: Đảm bảo rằng thông tin trong GPC xảy ra đồngthời với thông tin ở trong GPT
2.2 Các Group Policy Template (GPT)
Các Group Template là các folder vật lý mà nó được tạo ra khi chúng ta tạomột đối tượng chính sách nhóm GPT là một folder có thứ tự trong foder sysvol ởtrên các domain controller Đây là một đối tượng chưa tất cả thông tin chính sáchnhóm trên các template quản trị, các script, cài đặt phần mềm, việc nhân bản folder
Trang 6Khi chúng tạo ra một GPO, windows 2003 tạo một folder GPT có thứ tự Folder làmột tên sau khi GUID (globally unique identifier) của GPO chúng ta được tạo Mộtdirectory được tạo với tên DNS của domain, dưới directory sysvol Một directorykhác có tên là Policies được tạo dưới directory domain Dưới directory policies nàymột thư mục được tạo với GUID của GPO như là tên của một thư mục
3 Ứng dụng các chính sách nhóm
Bước quan trọng trong quá trình cài đặt chính sách nhóm nhóm là phải hiểucách thừa kế và thứ tự thực hiện của các đối tượng chính sách nhóm Khi chúng taứng dụng một đối tượng chính sách nhóm đến một đối tượng chứa, nó được thừa kếtrong suốt các cấp bậc của hệ thống Đây là một cách thừa kế của Active Directorytrong việc đơn giản hoá các nhiệm vụ quản trị Chúng ta có thể kết hợp đối tượngchứa Active Directory với một GPO trong quá trình tạo nó Đối tượng chứa có thể
là một site, domain hoặc một OU Việc thiết lập chính sách nhóm trong một GPO sẽảnh hưởng các đối tượng trong một đối tượng chứa
Việc thiết lập chính sách sẽ được thừa kế theo thứ tự sau:
Thiết lập chính sách nhóm có thể được thiết lập cho các OU cha và OU con Trongmột số trường hợp, khả năng tương thích giữa các thiết lập xác định đó là thiết lập
sẽ được áp dụng Nếu cả hai thiết thiết lập là tương thích thì sau đó các thiết lập từ
cả OU cha và OU con sẽ được áp dụng trên các đối tượng của OU con Tuy nhiên,nếu chúng không tương thích thì sau đó OU con sẽ không thừa kế các thiết lập của
Trang 7OU cha Vì thế các thiết lập của OU con sẽ được áp dụng trên các đối tượng của OUcon Trong trường hợp này, các thiết lập chính sách nhóm đã được thiết kế trên OUcha và không ở trên OU con thì sau đó các đối tượng của OU con sẽ thừa kế cácthiết lập của OU cha.
Các quy tắc thừa kế mặc định trong windows 2003 có thể được sửa đổi Chúng tacũng có thể sửa đổi các quy tắc thừa kế cho các GPO riêng lẻ Hai tuỳ chọn đã đượccung cấp cho việc thay đổi quá trình mặc định:
Block Inheritance: Chúng ta có thể sử dụng tuỳ chọn này đến khối của
một đối tượng chứa con từ việc thừa kế các thiết lập của đối tượng chứacha Nó đã được sử dụng khi một OU cần phải thiết lập chính sách duynhất Khối thừa kế được áp dụng đến tất cả các đối tượng chính sáchnhóm trong đối tượng chứa cha Trong trường hợp mâu thuẫn, tuỳ chọn
No Override luôn đặt quyền ưu tiên lên tùy chọn này
No Override: Chúng ta có thể sử dụng tuỳ chọn này để ngăn cản một
OU con từ việc đè lên các thiết lập một GPO với mức độ cao nhất Tuỳchọn này là một tập lên các GPO Đây là điều có thể trong việc thiết lậptuỳ chọn này trên một hay nhiều hơn một GPO Trong một số trườnghợp, GPO với tuỳ chọn No Override, cấp bậc cao nhất trong ActiveDirectory sẽ đặt quyền ưu tiên lên trên các GPO khác
Một GPO là được kết hợp với một site ảnh hưởng đến tất cả các computertrong site, bất luận các domain thuộc về chúng Tuy nhiên, GPO đã được lưu trữ chỉtrong một domain controller trong một site Tất cả các computer phải tiếp xúc vớidomain controller đó là cái đã chứa GPO cho các thiết lập chính sách Từ khi đó,site có thể chứa nhiều domain, các domain này có thể chứa nhiều domain, cácdomain này có thể thừa kế GPO đã được kết hợp với site
4 Cấu hình các chính sách nhóm
Các thiết lập chính sách nhóm trong một GPO có thể được cấu hình bằngcách sử dụng snap-in Group Policy mở rộng trong MMC Các mở rộng chính sáchnhóm bao gồm các thiết lập cho:
Administrative Templates
Folder Redirection
Trang 8và nhấp Edit
Thiết lập chính sách nhóm GPO được phân thành: Computer Configuration
và User Configuration.
4.1 Computer Configuration - Cấu hình máy tính
Loại này bao gồm các thiết lập chính sách nhóm quy định môi trườngdesktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật trên các máy tính Đây làcác thiết lập đã được áp dụng khi khởi tạo hệ điều hành Các thiết lập cấu hình máytính bao gồm tất cả các liên kết chính sách được chỉ rõ dưới đây:
Trang 10Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktoptuỳ ý hoặc bắt tuân theo các chính sách bảo mật của người sử dụng Các thiết lậpngười sử dụng đã được áp dụng khi người sử dụng đăng nhập vào máy tính Cácthiết lập cấu hình người sử dụng bao gồm tất cả các liên kết chính sách người sửdụng được chỉ rõ dưới đây:
Trang 11o Network
o SystemBên trong các folder, subfolder và các chính sách không giống nhau tuỳtheo từng trường hợp chúng ta chọn cấu hình máy tính hay cấu hình người sử dụng.Điều khiển chính sách nhóm nên tập trung vào cùng một domain controller Do đó,bằng cách mặc định Việc điều hành chính sách tập trung trong primary domaincontroller Tuy nhiên, nếu domain controller với vai trò điều hành chính sách làPDC là không có hiệu lực, khi đó một thông báo lỗi được xuất hiện Mặc dù, chúng
ta sẽ được cho phép để chọn một domain controller khác Chúng ta có thể lấy dữliệu khi nhiều người quản trị đang sửa đổi trên cùng một GPO Trong trường hợpnày, thay đổi cuối cùng sẽ ghi đè lên thay đổi trước đó khi hoàn thành một GPO.Thông báo lỗi sẽ nhắc nhở khi ghi đè Chúng ta nên chọn mục này chỉ khi chúng ta
đã chắc chắn điều đó
Một GPO không được thay đổi bởi bất kỳ người nào
Các GPO và các file kết hợp đã được thay thế một cách hoàn toàn sauthay đổi cuối cùng
4.3 Các thiết lập Administrative Template
Administrative Template chứa các đăng ký dựa trên các thiết lập chính sáchnhóm Trong registry edit, các thiết lập chính sách nhóm giành riêng cho người sửdụng được ghi ở HKEY_CURRENT_USER\Software\Policies Tương tự, các thiếtlập chính sách nhóm giành riêng cho máy tính được ghi ởHKEY_CURRENT_MACHINE\ software\ policies
Trong windows 2003, các scipt được thực hiện theo các mục sau
Trang 12 Trong trường hợp nhiều script, các script đã là một quá trình theo thứ tự
từ trên xuống dưới trong trường hợp này chúng đã là một danh sách tronghộp thoại properties
Windows 2003 thực hiện các script đăng xuất trước khi thực hiện cácscript tắt máy
Giá trị thời gian mặc định tối đa cho việc thực hiện các script là 10 phút.Tuy nhiên, chúng ta có thể thay đổi giá trị này bằng cách thay đổi thờigian chờ trong computer configuration \ Administrative Templates \System\ Logon\ Maximum
4.5 Các thiết lập an toàn (Security)
Chúng ta có thể thiết lập và cho hiệu lực an toàn trong mạng của chung tabằng cách sử dụng các thiết lập an toàn chính sách nhóm Chúng ta sử dụng cácthiết lập an toàn mở rộng trong chính sách nhóm để định rõ các thiết lập an toàn.Các khoản trong các thiết lập an toàn mở rộng đã được thảo luận ở bên dưới
Account Policies: Chính sách tài khoản cho một domain xác định.
Thiết lập Password
Thiết lập giao thức Kerberos version 5
Các chính sách khoá Account
Event Log: Chúng ta có thể cấu hình các tham số như kích thước Truy
xuất và việc sở hữu cho các ứng dụng, hệ thống và an toàn với thiết lậpevent log
File System: Các thiết lập hệ thống file cho phép chúng ta cấu hình an
toàn trên các đường dẫn file riêng biệt
IP Security Policies on Active Directory: Chúng ta có thể cấu hình các
giao thức an toàn trên mạng interner khi sử dụng chính sách IP sercurity
Local Policies: Các thiết lập chính sách cục bộ có thể được sử dụng cấu
hình các chính sách kiểm toán, việc cấp các quyền và cho phép đối vớingười sử dụng và thiết lập các mục an toàn khác cần thiết để cấu hìnhcục bộ Các thiết lập chính sách này là cục bộ đến các máy tính
Trang 13 Public Key Policies: Các chính sách khoá công khai có thể được cấu
hình hoặc là User configuration hoặc security settings Chúng ta có thể
sử dụng các chính sách khoá công khai trong thiết lập an toàn để cấuhình các domain gốc, giao phó các quyền lực và việc khôi phục lại mãhoá dữ liệu
Registry: Chúng ta có thể sử dụng thiết lập registry để cấu hình an toàn
các registry key
Restricted Group: Các chính sách hạn chế nhóm có thể được sử dụng
để quản lý các thành viên của các nhóm tạo sẵn và các nhóm domain.Các nhóm tạo sẵn là administrators, Power Users và domain admins.Chúng ta có thể bổ sung các nhóm khác nhau đến nhóm restricted, songsong với các thành viên chi tiết của chúng Để làm được như thế, chophép chúng ta theo dõi và quản lý các nhóm này như là một phần củachính sách an toàn Nhóm restricted quản lý các thành viên của cácnhóm được tạo sẵn và cũng như các thành viên của các nhóm này Cộtmembers Of trong tab Properties của một nhóm, danh sách tất cả cácnhóm để nhóm này là một thành viên
System Services: Chúng ta có thể sử dụng các dịch vụ nhóm hệ thống
của việc thiết lập đến các thiết lập cấu hình an toàn và khởi động đối vớicác dịch vụ đang hoạt động trên một máy tính Các dịch vụ khác nhaunày có thể được cấu hình như: