 Account: Tab cho phép định nghĩa logon name user thiết đặt thêm tuỳ chọn Logon Hours Log on to Những tuỳ chọn đặt suốt trình tạo đối tượng user sở liệu Active Directory thay đổi  Profile: Hồ sơ user tự động tạo thiết đặt desktop trì tồn mơi trường làm việc user Một đường dẫn mạng thiết lập để nhận truy cập tài nguyên mạng bổ xung kịch đăng nhập home folder gán tuỳ chọn  Telephones: Tuỳ chọn cho phép lưu trữ home phone, fax, mobile, pager (số máy tin nhắn) IP phone user Chúng ta thêm ghi  Organization: Tuỳ chọn cho phép lưu tiêu đề, giám đốc công ty, tên công ty hay tổ chức, thông tin user báo trực tiếp user  Member Of: Tuỳ chọn cho phép lưu nhóm mà user thuộc  Dial-In: Tùy chọn cho phép điều khiển user tạo kết nối dial-in từ nơi xa đến mạng Điều thực user quay số tới máy tính chạy Windows 2003 Remote access services(RAS) Có số tuỳ để thiết lập cho bảo mật quay số sau:  Allow Access: Tự động xác định thiết lập dial-in có cho phép hay không  Deny Access: Sẽ xác định dial-in có bị từ chối hay khơng  Verify Caller-ID: Sẽ xác định số điện thoại nên sử dụng cho kết nối  No Callback: Sẽ xác định RAS không gọi người user Điều cho phép user gọi từ số điện thoại Nó thiết kế cho môi trường bảo mật thấp  Set by caller: Sẽ xác định RAS đáp ứng đến user có cung cấp với số điện thoại Vì thơng tin ghi lại(logged) nên sử dụng có mơi trường bảo mật trung bình  Always Callback To: Sẽ xác định RAS đáp ứng lại với user số điện thoại xác định User nên cẩn thận để diện thời điểm RAS kết nối đến Tuỳ chọn dùng môi trường bảo mật cao  Environment: Để tạo môi trường client-working tab phải sử dụng Nó xác định hay nhiều ứng dụng khởi động tất thiết bị để kết nối user đăng nhập vào  Sessions: Tuỳ chọn sử dụng để giới hạn chiều dài sessions (phiên), tuỳ thuộc vào session có active (kích hoạt), idle (nghỉ) hay disconnect (ngắt kết nối) Chúng ta định hành động nên tiến hành trường hợp session tiến đến giới hạn thời gian  End A Disconnected Session: Chỉ định thời gian lớn mà session chưa kết nối cho phép chạy Một giới hạn thời gian session khơng thể tìm trở lại  Active Session Limit: Xác định khoảng lớn session kết nối Một giới hạn thời gian tiến đến gần, session khởi động lại ngắt kết nối rời khỏi session active server  Idle Session Limit: Xác định thời gian lớn cho trứoc session khởi tạo lại hay ngắt kết nối Nó bị ngắt kết nối sau hết thời gian hoạt động kết nối  Remote control: Sẽ xác định thiết lập điều khiển từ xa dịch vụ Terminal Bằng thiết lập điều tham gia giám sát session client máy tính đăng nhập vào Terminal Server V – USER PROFILE, HOME FOLDER VÀ DISK QUOTA User Profile Việc quản trị mạng user account bao hàm việc chỉnh sửa account, cài đặt user profile home directory Một user profile cho user tạo người đăng nhập vào máy tính lần đầu Trong thư mục Documemts and Settings tất thơng tin có liên quan thiết lập người sử dụng xác định lưu cách tự động User profile tự động cập nhật user log off Administrator thay đổi mandatory user profiles (các hồ sơ user có tính bắt buộc) User profile thực theo cách sau đây:  Khi đăng nhập vào máy client nhận thiết đặt cá nhân mà số user chia sẻ máy client khơng thích  Profile cục Default User copy đến thư mục %Systemdriver %\Documents and settings đăng nhập vào lần đầu  Nhiều file thư mục lưu thư mục user profile windows 2003 tạo thư mục My Documents desktop để dễ định vị tài liệu cá nhân  Có thể thay đổi user profile cách thay đổi thiết lập desktop 1.1 User Profile mặc định Một Default User Profile profile bản, sử dụng để xây dựng profile cho user xác định Một copy Default user profile sử dụng user khác đăng nhập vào máy chạy Windows server 2003 hay Windows XP 1.2 User profile cục Profile tạo lần đầu user đăng nhập vào máy tính ln lưu máy tính cục Bất thay đổi tạo với profile xác định máy tính đơn có nhiều user profile cục máy tính 1.3 Roaming User Profile (User Profile khơng cố định) Các Roaming User Profile (RUP) tạo cho user thao tác nhiều máy tính RUP thiết lập máy chủ mạng nên user kết nối từ nơi domain Vì user đăng nhập vào mạng, windows 2003 copy tất thơng tin có liên quan user profile từ mạng copy thiết lập cá nhân desktop hay kết nối cho dù người kết nối từ nơi đâu Khi copy file windows 2003 copy file có thay đổi từ lần thay đổi cuối cùng, làm cho trình đăng nhập ngắn lại Khi log off thay đổi user profile copy trở lại RUP server 1.4 Tạo Roaming Profile Một RUP lưu server nên để việc truy cập xảy user đăng nhập nơi mạng Để thiết lập RUP thực bước sau đây:  Cung cấp quyền điều khiển toàn phần (Full Control Permission) cho thư mục tạo server  Thư mục chia sẻ nên cung cấp đường dẫn Trong vùng chi tiết Active Directory Users and Computers nhấn phải chuột lên user account nơi mà muốn tạo roaming profile Nhấn Properties  Trong snap-in User Profile, nhấn tab Profile gõ thông tin đường dẫn, nơi xác định thư mục chia sẻ hộp Profile Path Thơng tin đường dẫn sau: \\server_name\share_folder_name\user_name Chỉ Administrator thay đổi RUP Phần thông tin registry ứng dụng đến user account, lưu trữ file Ntuser.dat 1.5 Mandatory User Profile Chúng ta tuỳ biến RUP đưa cho nhiều user để tất user có thiết lập kết nối Nên tạo mẫu User Profile chứa tất thiết lập Desktop Sau tạo mẫu nên đăng nhập với tư cách Administrator copy mẫu vào thư mục RUP server Thư mục phải xử lý tất user nên gán cho nhóm user tạo sẵn domain Sử dụng snap-in Active Directory Users and Computer hồn tồn xử lý Vì thay đổi có tác dụng tất user gán đến thư mục nên Profile Manadatory nên read-only (chỉ đọc) cách thay đổi phần mở rộng file Ntuser từ dat chuyển sang man Loại profile gọi Mandatory User Profile Administrator tạo Mandatory User Profile định thay đổi cho User Các thuộc tính local (cục bộ) hay Roaming (không cố định) Profile không cho phép user lưu lại thiết lập desktop họ Vì user huỷ đăng nhập đăng nhập vào trở lại thiết lập desktop cuối bị Do nói madatory user profile RUP đọc 1.6 Tạo User Profile loại Mandatory Để tạo user Profile loại manadatory, theo bước sau:  Tạo thư mục chia sẻ server Tạo thư mục profile bên thư mục chia sẻ để quản lý profile Các user nên cho quyền Full control thư mục Profile  Thiết lập User Profile Roaming Tạo user snap-in Active Directory Users and Computers Sau đặt đường dẫn cho User Profile cấu hình Profile  Đặt lại tên file Ntuser.dat thành Ntuser.man để làm cho Profile đọc (Read-only) Profile Mandatory Để đặt tên Mandatory Profile, đăng nhập với tư cách Administrator mở Windows Explorer Đặt lại tên Ntuser.dat thư mục Users Profile thành Ntuser.manager 1.7 Quản lý User profile Có thể thay đổi chỉnh sửa thuộc tính user account Những thay đổi sau phép user account, thay đổi có tác dụng mặt chức user account:  Enabling and Disabling User Account: Khi user khỏi khơng diện văn phòng khoảng thời gian dài disable user khoảng thời gian xác định sau cho enable trở lại user họ quay  Renaming the User Account: Sự thay đổi tên user account cần thiết muốn gán thiết đặt quyền cho phép cho user khác  Deleting User Account: Khi nhân viên thời dời khỏi cơng ty xố account user Điều đảm bảo loại trừ account không sử dụng dịch vụ Active Directory 1.8 Thiết lập lại password Chúng ta cần thiết lập lại password User password user bị hết hạn user bị quên password Chúng ta không cần biết password cũ thiết lập lại password Để thiết lập lại password làm sau:  Mở snap-in Active Directory User and Computer chọn user muốn thay đổi  Chuột phải vào user chọn Reset Password từ menu ngữ cảnh  Chọn tuỳ chọn User Must Change Password At Next Logon phép user thay đổi password user đăng nhập lại 1.9 Bỏ khoá User Account Khi user vi phạm sách vượt khỏi giới hạn group Windows 2003 khố (lock out) user account đặc biệt hiển thị thơng báo lỗi Để huỷ bỏ khố user account theo bước sau đây:  Mở snap-in Active Directory User and Computer chọn user muốn bỏ khoá  Chuột phải vào User chọn properties  Chọn tab Account xoá tuỳ chọn The Account Is Locked Out ấn OK 2.0 Home Folder Windows 2003 cho phép user bỏ xung Home Folder thư mục My Documents Home Folder cho phép user lưu trữ tài liệu cá nhân Home folder lưu máy client file server Kích thước Home folder khơng ảnh hưởng đến hiệu suất mạng suốt trình đăng nhập Home folder khơng phải phần RUP Home Folder server coi ổ đĩa mạng người quản trị tạo Home folder server cho User Người quản trị giới hạn ổ đĩa mạng User dùng server, điều giảm lãng phí dung lượng ổ đĩa so với nhu cầu chứa liệu thiết thực User 2.1 Tính chất Home Folder  Performance of the Network: Hiệu suất mạng bị thấp home folder định vị máy cục  Ability to Restore and Backup: Trách nhiệp Administrator chống mát liệu Tốt nên thực lưu tất file tập trung lưu server Nếu home folder máy cá nhân users nên lưu thơng thường máy tính  Adequate space on the Server: Nên tổ chức không gian bắt buộc server để user lưu trữ liệu họ Windows 2003 giám sát giới hạn sử dụng không gian đĩa với network-base storage với trợ giúp disk quota  User Computer with Sufficient Space: Nếu máy tính user có khoảng trống đĩa nhỏ home folder nên tạo server mạng 2.2 Tạo User Profile Home Foder cho User server  Tạo thư mục phân vùng máy chủ chia sẻ thư mục đó, đặt quyền NTFS Share Permission cho thư mục Full Control với Everyone  Mở snap-in Active Directory User and Computer chọn OU  Ở cửa sổ bên phải chọn tất User có chuột phải chọn properties  Tại cửa sổ properties chọn tab Profile, tích vào mục chọn Profile path, ô đánh địa tương đối đến thư mục vừa chia sẻ, đằng sau đường dẫn đánh vào câu lệnh %usersname% Câu lệnh cho phép hệ thống tự động nhận tên logon User Profile  Tích chọn vào mục Home Folder, chọn dòng Connect, bên cạnh mục chọn tên ổ đĩa mạng hiển thị máy client User user đăng nhập Ở dòng To địa đường dẫn tới thư mục Home folder mà chúng tạo cho user server, đánh đường dẫn vào ô ấn Ok Để tiện cho việc quản lý User Profile Home Folder cần đặt User profile Home folder vào thư mục chia sẻ server để dễ dàng việc chỉnh sửa User Profile thiết đặt hạn nghạch đĩa (disk quota) cho user mạng Sau thiết đặt Home Folder User profile xong, máy client đăng nhập với user mà thiết đặt thấy Home folder Map thành ổ đĩa My Computer Việc tránh cho User phải nhớ đường dẫn xác tới Server Và có chứa Profile User Người dùng tuỳ chỉnh thơng tin lưu liệu thư mục Mọi thay đổi profile hình desktop, tuỳ chọn menu start… lưu lại User đăng nhập máy tính client mạng thiết đặt profile user khơng bị thay đổi log-off thông tin lưu server user logon nạp xuống máy User đăng nhập Trong thư mục chia sẻ dùng để thiết đặt Home folder cho User Server có chứa Profile liệu User Mặc định người dùng khơng xem, sửa xố thơng tin liệu user đó, có user có quyền xem, sửa xố thơng tin tạo ra, kể Administrartor khơng thể xem thư mục Profile Nhưng Administrator việc có thể, Administrator dùng quyền để cướp quyền (Task Ownership) User để xem chỉnh sửa thơng tin Profile Để cướp quyền User thư mục làm sau: chuột phải vào thư mục chọn properties, cửa sổ properties chọn tab Sercurity, chọn tiếp mục Advanced Tại cửa sổ Advanced ta chọn tab Owner, mục name chọn Administrator đánh dấu tích vào dòng chữ Replace owner on subcontainers and objects Sau ấn Apply, cửa sổ thơng báo khơng có quyền xem, muốn Replace quyền chọn Yes thư mục có quyền Full control người User sở hữu thư mục bị quyền Chúng ta chọn Yes Khi Admin cướp quyền User User khơng vào thư mục nữa, muốn vào thư mục cần phải có việc Admin trả lại quyền cho User Khi User logon máy trạm khơng thể connect tới Profile Profile khác tự động tạo dạng default máy client Để người dùng sử dụng Roaming Profile lưu vào thư mục Admin cần phải cấp lại quyền cho thư mục Trên server chuột phải vào thư mục chọn Properties, chọn tab Sercurity chọn tab Advanced Tại cửa sổ Advanced đanh dấu tích vào mục chọn Replace permission entries on all child objects with entries shown here that apply to child objects ấn Apply, thông báo cho biết có muốn bỏ quyền truy cập thư mục không, ấn chọn Yes Vẫn cửa sổ tab Owner Add User vào chọn mục Replace Owner on subcontainer and objects, sau ấn Apply Ấn Ok để trở cửa sổ Properties, cửa sổ Remove tài khoản Administrator Add vào tài khoản User cho quyền Full control, sau OK Như trả lại quyền truy cập vào Profile Home folder cho User Lúc User đăng nhập máy client chỉnh sửa lưu trữ thông tin Profile User kể Administrator truy cập vào 3.0 Disk Quota 3.1 Giới thiệu Disk Quota Disk Quota – hạn nghạch đĩa, công cụ mạnh để điều khiển khơng gian đĩa trống Người quản trị điều khiển dung lượng đĩa trống phù hợp cho User sử dụng Server Disk quota cài đặt định dạng NTFS 3.2 Thiết đặt Disk quota cho Home folder User profile Để tránh lãng phí khơng cần thiết đĩa cứng Server mà User lưu trữ liệu Home folder, cần thiết đặt hạn nghạch đĩa cho User Tuỳ theo nhu cầu công việc User mà thiết đặt disk quota cho hợp lý Do Home folder Profile User đặt chung thư mục nên cần thiết đặt disk quota lần cho hai mục Để thiết đặt Disk quota ta chọn phân vùng chứa thư mục chia sẻ có chứa Home folder Profile Server, chuột phải chọn properties Tại cửa sổ properties chọn tab Quota, tích chọn vào mục Enable quota management tích ln vào mục Deny disk space to users exceeding quota limit Mục có tác dụng khơng cho người dùng lưu thêm liệu server dung lượng cho phép Nếu không chọn mục user lưu thêm liệu server có cảnh báo quota hết Tiếp theo chọn mục Limit disk space to mục cho phép điền vào dung lượng mà muốn giới hạn, ô bên cạnh cho chọn đơn vị tính dung lượng Mục Set warning level to cho phép điền vào dung lượng muốn cảnh báo người dùng hết quota Tiếp theo click vào Quota Entries… cửa sổ chứa danh sách User bị giới hạn hay không bị giới hạn Disk Quota Mặc định tài khoản Administrator tài khoản có quyền Administrator khơng bị giới hạn disk quota Do khơng thể gán disk quota cho nhóm mà gán disk quota cho User thường mà thơi Để giới hạn disk quota User ta chọn menu Quota chọn New quota entry Tại hộp đánh tên ta đánh tên User muốn giới hạn disk quota vào ấn OK Tiếp theo bảng lựa chọn, chọn Limit disk space to cho vào giá trị muốn giới hạn cho User Mục set warning level to cho vào giá trị mà muốn cảnh báo người dùng hết disk quota Sau ấn OK đóng cửa sổ Quota entries lại, cửa sổ Quota ấn OK, hoàn thành việc đặt Disk Quota cho User Lúc User bị giới hạn dung lượng ổ đĩa Server, máy trạm logon vào với User ta thấy rõ điều VI – NHĨM VÀ CHÍNH SÁCH NHĨM Giới thiệu Nhóm Trong windows 2003 server Một tập tin tài khoản người sử dụng gọi Group Một người sử dụng thành viên nhiều nhóm Khi bổ sung thêm thành viên cho nhóm cần lưu ý đến bước sau: - Khi user thành viên group user thừa hưởng quyền mà group có - Một user account thành viên nhiều group  Các nhóm Domain Các nhóm tạo domain controller lưu dịch vụ thư mục Active Directory Các nhóm sử dụng để gán quyền đến tài nguyên quyền quản trị hệ thống cho máy tính domain Các nhóm domain cho phép quản trị tập trung domain  Các nhóm Workgroup Các nhóm Workgroup tạo máy tính, khơng có chức điều khiển domain Các máy tính Client chạy Windows Xp member server chạy windows 2003 server Chúng chứa Sercurity Account Manager (SAM) sử dụng để gán quyền đến tài nguyên quyền quản trị hệ thống máy tính, nơi mà nhóm tạo 1.1 Các nhóm domain Trong domain controller có nhóm tạo sẵn, tự động tạo trình cài đặt windows 2003 Các nhóm tạo sẵn lưu trữ Active Directory User and Computer Các nhóm tạo sẵn có phạm vi hoạt động toàn cục Windows 2003 hỗ trợ nhóm đây:  Built-In Group: Các nhóm sử dụng cho user xác định trước quyền quyền để thực nhiệm vụ domain controller Active Directory Điều tạo domain controller Các nhóm loại khơng thể bị xố  Special Identify Group: Các nhóm loại tổ chức user cách tự động Người quản trị bổ sung user vào nhóm Thay vào cách mặc định user thành viên nhóm này, trở thành thành viên thực nhiệm vụ mạng  Predefined Groups: Các nhóm loại cung cấp cho người quản lý cách dễ dàng điều khiển user domain Các nhóm thuộc domain controller Chúng lưu trữ folder user Active Directory Users and Computers 1.2 Các nhóm workgroup Các nhóm cục tạo tạo nhóm workgroup Các nhóm cục tạo server thành viên máy chạy với hệ điều hành windows XP Có thể sử dụng nhóm cục để án định quyền cho phép cho nguồn tài nguyên máy tính cục Các nhóm mặc định tạo windows 2003, nhóm có quyền đặc biệt để thực nhiệm vụ hệ thống máy cục Các user bổ sung đến nhóm mặc định cách dễ dàng  Local Groups: Khi tạo nhóm cục phải biết người thành viên chúng thực Nhóm cục tạo server thành viên chạy windows 2003 server windows 2003 Advanced Server máy client chạy với windows XP Local group sử dụng theo nguyên tắc đây:  Nhóm cục khơng thể thành viên nhóm khác  Nhóm cục chứa user account cục từ máy tính mà nhóm cục tạo  Chúng ta sử dụng nhóm cục để điều khiển việc truy xuất đến nguồn tài nguyên máy cục cho việc thực nhiệm vụ hệ thống máy cục  Các nhóm cục phải thiết lập máy tính khơng phải domain Các nhóm cục sử dụng máy mà nhóm cục tạo Bất lợi việc tạo nhóm cục domain máy tính hạn chế từ nhóm quản trị trung tâm Nhóm cục khơng thấy Active Directory nhóm cục cần phải quản trị cách riêng biệt  Built-In Groups: Khi cài đặt Windows xp windows 2003 advanced server server thành viên, nhóm tạo cách tự động Các nhóm định nghĩa trước tập quyền quyền Các nhóm định nghĩa trước tập quyền quyền Các nhóm khơng thể xố Thành lập nhóm là:  Built-In local Groups: Trong nhóm thành viên thực nhiệm vụ hệ thống việc thay đổi hệ thống thời gian, khôi phục file, lưu file việc quản trị nguồn tài nguyên hệ thống Các nhóm lưu trữ nhóm folder local users and groups computer management  Special Identities / Groups: Trong nhóm user tổ chức cách tự động Thường người quản trị khơng thể sửa đổi thành viên nhóm Các user thành viên mặc định nhóm trở thành thành viên st q trình mạng hoạt động Theo mặc định Windows 2003 chứa nhóm đặc biệt Chính Sách Nhóm Tổng chi phí cho việc sở hữu, xem TCO: Total Cost of Ownership, chi phí mà bao gồm việc thực phân phối máy dành riêng mạng Chúng ta giảm bớt TCO mạng việc sử dụng sách nhóm Microsoft windows 2003 Chính sách nhóm cơng nghệ mà cho phép người quản trị để quản lý môi trường desktop qua mạng windows 2003 Việc quản lý desktop thơng qua sách nhóm thực việc áp dụng thiết lập cấu hình computer user account Các thiết lập sách nhóm tập trung đối tượng sách nhóm (GPO: Group Policy Object) Các sách nhóm cho phép người quản trị để thiết lập yêu cầu cho user computer Yêu cầu sau đem thực liên tục Chúng ta sử dụng snap-in group policy phần mở rộng MMC để mặc định nghĩa thiết lập sách nhóm Các sách nhóm mở rộng:  Administrative Templates: Dựa Registry: Cấu hình xuất desktop, thiết lập ứng dụng chạy dịch vụ hệ thống  Folder Redirection: Lưu trữ folder user mạng  Scripts: Tạo scripts mà sử dụng user logon logoff, computer khởi động tắt máy  Security: Tuỳ chọn cung cấp cho máy cục bộ, domain thiết lập an toàn mạng  Software Installation: Chủ yếu quản lý việc cài đặt phần mềm, cập nhật xoá bỏ Trong Windows 2003, thiết lập sách nhóm lưu trữ đối tượng sách nhóm (GPO) Do đó, tạo GPO sau thiết lập để chứa thiết lập sách nhóm GPO lưu trữ ảo định vị cho thiết lập sách nhóm Một GPO bao gồm tập thiết lập mà ảnh hưởng riêng user computer Mỗi GPO có cấu hình khác có ảnh hưởng riêng khác cho user conputer Nội dung GPO lưu trữ vị trí khác nhau:  Group Policy Containers (GPC)  Group Policy Templates (GPT) 2.1 Các Group Policy Containers (GPC) Group policy Container đối tượng Active Directory Nó chứa thuộc tính GPO bao gồm container cho thơng tin sách nhóm user computer GPC bao gồm thông tin đây:  Danh sách component: chứa danh sách sách nhóm mở rộng sử dụng GPO  Thông tin trạng thái: Cho biết GPO hay khơng thực  Thông tin Version: Đảm bảo thông tin GPC xảy đồng thời với thông tin GPT 2.2 Các Group Policy Template (GPT) Các Group Template folder vật lý mà tạo tạo đối tượng sách nhóm GPT folder có thứ tự foder sysvol domain controller Đây đối tượng chưa tất thơng tin sách nhóm template quản trị, script, cài đặt phần mềm, việc nhân folder Khi chúng tạo GPO, windows 2003 tạo folder GPT có thứ tự Folder tên sau GUID (globally unique identifier) GPO tạo Một directory tạo với tên DNS domain, directory sysvol Một directory khác có tên Policies tạo directory domain Dưới directory policies thư mục tạo với GUID GPO tên thư mục Ứng dụng sách nhóm Bước quan trọng q trình cài đặt sách nhóm nhóm phải hiểu cách thừa kế thứ tự thực đối tượng sách nhóm Khi ứng dụng đối tượng sách nhóm đến đối tượng chứa, thừa kế suốt cấp bậc hệ thống Đây cách thừa kế Active Directory việc đơn giản hoá nhiệm vụ quản trị Chúng ta kết hợp đối tượng chứa Active Directory với GPO q trình tạo Đối tượng chứa site, domain OU Việc thiết lập sách nhóm GPO ảnh hưởng đối tượng đối tượng chứa Việc thiết lập sách thừa kế theo thứ tự sau:  Site  Domain  OU Theo mặc định Windows 2003 ước lượng đối tượng sách nhóm từ đối tượng chứa xa đối tượng Cái mà áp dụng việc thiết lập site, domain sau OU Việc thiết lập sách OU đến computer user thuộc nó, thiết lập sau điều áp dụng cho user computer Do đó, thiết lập sách nhóm đối tượng chưa Active Directory đến user computer mâu thuẫn quan trọng việc thiết lập sách nhóm đối tượng chứa xa kể từ user computer Thiết lập sách nhóm thiết lập cho OU cha OU Trong số trường hợp, khả tương thích thiết lập xác định thiết lập áp dụng Nếu hai thiết thiết lập tương thích sau thiết lập từ OU cha OU áp dụng đối tượng OU Tuy nhiên, chúng khơng tương thích sau OU khơng thừa kế thiết lập OU cha Vì thiết lập OU áp dụng đối tượng OU Trong trường hợp này, thiết lập sách nhóm thiết kế OU cha không OU sau đối tượng OU thừa kế thiết lập OU cha Các quy tắc thừa kế mặc định windows 2003 sửa đổi Chúng ta sửa đổi quy tắc thừa kế cho GPO riêng lẻ Hai tuỳ chọn cung cấp cho việc thay đổi trình mặc định:  Block Inheritance: Chúng ta sử dụng tuỳ chọn đến khối đối tượng chứa từ việc thừa kế thiết lập đối tượng chứa cha Nó sử dụng OU cần phải thiết lập sách Khối thừa kế áp dụng đến tất đối tượng sách nhóm đối tượng chứa cha Trong trường hợp mâu thuẫn, tuỳ chọn No Override đặt quyền ưu tiên lên tùy chọn  No Override: Chúng ta sử dụng tuỳ chọn để ngăn cản OU từ việc đè lên thiết lập GPO với mức độ cao Tuỳ chọn tập lên GPO Đây điều việc thiết lập tuỳ chọn hay nhiều GPO Trong số trường hợp, GPO với tuỳ chọn No Override, cấp bậc cao Active Directory đặt quyền ưu tiên lên GPO khác Một GPO kết hợp với site ảnh hưởng đến tất computer site, domain thuộc chúng Tuy nhiên, GPO lưu trữ domain controller site Tất computer phải tiếp xúc với domain controller chứa GPO cho thiết lập sách Từ đó, site chứa nhiều domain, domain chứa nhiều domain, domain thừa kế GPO kết hợp với site Cấu hình sách nhóm Các thiết lập sách nhóm GPO cấu hình cách sử dụng snap-in Group Policy mở rộng MMC Các mở rộng sách nhóm bao gồm thiết lập cho:  Administrative Templates  Folder Redirection  Scripts  Security  Remote Installation Servies  Software Installation Để mở GPO ta làm sau: Mở Active Directory Users and Computer / Active Directory Sites and Services từ menu administrative tools Nhấp phải vào container hay OU, Nhấp propertices, Nhấp vào tab Group Policy, Chọn GPO mà muốn, nhấp New chưa có GPO nhấp Edit Thiết lập sách nhóm GPO phân thành: Computer Configuration User Configuration 4.1 Computer Configuration - Cấu hình máy tính Loại bao gồm thiết lập sách nhóm quy định môi trường desktop tuỳ ý bắt tuân theo sách bảo mật máy tính Đây thiết lập áp dụng khởi tạo hệ điều hành Các thiết lập cấu hình máy tính bao gồm tất liên kết sách rõ đây:  Software Setting o Software Installation  Windows settings o Scripts(Startup/Shutdown) o Security Settings  Account Policies  Local Policy  Event log  Restricted Groups  System Services  Registry  File system  Administrative Templates o Windows Components o System o Network o Printer 4.2 User Configuration - Cấu hình người sử dụng Loại bao gồm thiết lập sách nhóm quy định môi trường desktop tuỳ ý bắt tuân theo sách bảo mật người sử dụng Các thiết lập người sử dụng áp dụng người sử dụng đăng nhập vào máy tính Các thiết lập cấu hình người sử dụng bao gồm tất liên kết sách người sử dụng rõ đây:  Software Settings o Software Installation  Windows Settings o Remote Installation Services o Scripts(logon/logoff) o Security Setting o Folder Redirection o Internet Explorer maintenance  Administrative Templates o Windows Components o Start Menu and takbar o Desktop o Control panel o Shared Folder o Network o System Bên folder, subfolder sách không giống tuỳ theo trường hợp chọn cấu hình máy tính hay cấu hình người sử dụng Điều khiển sách nhóm nên tập trung vào domain controller Do đó, cách mặc định Việc điều hành sách tập trung primary domain controller Tuy nhiên, domain controller với vai trò điều hành sách PDC khơng có hiệu lực, thơng báo lỗi xuất Mặc dù, cho phép để chọn domain controller khác Chúng ta lấy liệu nhiều người quản trị sửa đổi GPO Trong trường hợp này, thay đổi cuối ghi đè lên thay đổi trước hồn thành GPO Thông báo lỗi nhắc nhở ghi đè Chúng ta nên chọn mục chắn điều  Một GPO không thay đổi người  Các GPO file kết hợp thay cách hoàn toàn sau thay đổi cuối 4.3 Các thiết lập Administrative Template Administrative Template chứa đăng ký dựa thiết lập sách nhóm Trong registry edit, thiết lập sách nhóm giành riêng cho người sử dụng ghi HKEY_CURRENT_USER\Software\Policies Tương tự, thiết lập sách nhóm giành riêng cho máy tính ghi HKEY_CURRENT_MACHINE\ software\ policies 4.4 Các thiết lập kịch (Script) Windows 2003 cho phép script ghi computer users Đối với computers, để ấn định script thực suốt trình trình khởi động tắt máy Đối với users, án định script thực xuốt qúa trình đăng nhập đăng xuất Chúng ta ấn định script đăng nhập / đăng xuất thông qua trang properties user account Tuy nhiên việc gán script thơng qua sách nhóm phương pháp ưu tiên Chúng ta ấn định nhiều script đến user computer Trong windows 2003, scipt thực theo mục sau  Trong trường hợp nhiều script, script trình theo thứ tự từ xuống trường hợp chúng danh sách hộp thoại properties  Windows 2003 thực script đăng xuất trước thực script tắt máy  Giá trị thời gian mặc định tối đa cho việc thực script 10 phút Tuy nhiên, thay đổi giá trị cách thay đổi thời gian chờ computer configuration \ Administrative Templates \ System\ Logon\ Maximum 4.5 Các thiết lập an tồn (Security) Chúng ta thiết lập cho hiệu lực an toàn mạng chung ta cách sử dụng thiết lập an tồn sách nhóm Chúng ta sử dụng thiết lập an tồn mở rộng sách nhóm để định rõ thiết lập an toàn Các khoản thiết lập an toàn mở rộng thảo luận bên  Account Policies: Chính sách tài khoản cho domain xác định  Thiết lập Password  Thiết lập giao thức Kerberos version  Các sách khố Account  Event Log: Chúng ta cấu hình tham số kích thước Truy xuất việc sở hữu cho ứng dụng, hệ thống an toàn với thiết lập event log  File System: Các thiết lập hệ thống file cho phép cấu hình an tồn đường dẫn file riêng biệt  IP Security Policies on Active Directory: Chúng ta cấu hình giao thức an tồn mạng interner sử dụng sách IP sercurity  Local Policies: Các thiết lập sách cục sử dụng cấu hình sách kiểm tốn, việc cấp quyền cho phép người sử dụng thiết lập mục an toàn khác cần thiết để cấu hình cục Các thiết lập sách cục đến máy tính  Public Key Policies: Các sách khố cơng khai cấu hình User configuration security settings Chúng ta sử dụng sách khố cơng khai thiết lập an tồn để cấu hình domain gốc, giao phó quyền lực việc khơi phục lại mã hố liệu  Registry: Chúng ta sử dụng thiết lập registry để cấu hình an tồn registry key R ... vào mạng, windows 20 03 copy tất thơng tin có liên quan user profile từ mạng copy thiết lập cá nhân desktop hay kết nối cho dù người kết nối từ nơi đâu Khi copy file windows 20 03 copy file có thay... đăng nhập máy client chỉnh sửa lưu trữ thơng tin Profile User kể Administrator truy cập vào 3. 0 Disk Quota 3. 1 Giới thiệu Disk Quota Disk Quota – hạn nghạch đĩa, công cụ mạnh để điều khiển không... tự động tạo trình cài đặt windows 20 03 Các nhóm tạo sẵn lưu trữ Active Directory User and Computer Các nhóm tạo sẵn có phạm vi hoạt động tồn cục Windows 20 03 hỗ trợ nhóm đây:  Built-In Group: