Đang tải... (xem toàn văn)
Tài liệu tham khảo về lý thuyết chính sách nhóm
Bài 12 CHÍNH SÁCH NHĨM Tóm tắt Lý thuyết tiết - Thực hành tiết Mục tiêu Kết thúc học cung cấp học viên kiến thức Group Policy, sách máy trạm, sách người dùng… Các mục Bài tập bắt buộc I Giới thiệu sách nhóm II Triển khai nhóm miền sách Bài tập làm thêm Dựa vào Dựa vào tập môn Quản tập môn Quản trị Windows trị Windows Server 2003 Server 2003 III Các ví dụ minh họa 310 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net I GIỚI THIỆU I.1 So sánh System Policy Group Policy Vừa chương trước, tìm hiểu sách hệ thống (System Policy), tìm hiểu sách nhóm (Group Policy) Vậy hai sách khác - Chính sách nhóm xuất miền Active Directory , khơng tồn miền NT4 - Chính sách nhóm làm nhiều điều sách hệ thống Tất nhiên sách nhóm chứa tất chức sách hệ thống nữa, bạn dùng sách nhóm để triển khai phần mềm cho nhiều máy cách tự động - Chính sách nhóm tự động hủy bỏ tác dụng gỡ bỏ, không giống sách hệ thống - Chính sách nhóm áp dụng thường xuyên sách hệ thống Các sách hệ thống áp dụng máy tính đăng nhập vào mạng thơi Các sách nhóm áp dụng bạn bật máy lên, đăng nhập vào cách tự động vào thời điểm ngẫu nhiên suốt ngày làm việc - Bạn có nhiều mức độ để gán sách nhóm cho người nhóm người nhóm đối tượng - Chính sách nhóm có nhiều ưu điểm áp dụng máy Win2K, WinXP Windows Server 2003 I.2 Chức Group Policy - Triển khai phần mềm ứng dụng: bạn gom tất tập tin cần thiết để cài đặt phần mềm vào gói (package), đặt lên Server, dùng sách nhóm hướng nhiều máy trạm đến gói phần mềm Hệ thống tự động cài đặt phần mềm đến tất máy trạm mà không cần can thiệp người dùng - Gán quyền hệ thống cho người dùng: chức tương tự với chức sách hệ thống Nó cấp cho một nhóm người có quyền tắt máy server, đổi hệ thống hay backup liệu… - Giới hạn ứng dụng mà người dùng phép thi hành: kiểm sốt máy trạm người dùng cho phép người dùng chạy vài ứng dụng thơi như: Outlook Express, Word hay Internet Explorer - Kiểm soát thiết lập hệ thống: bạn dùng sách nhóm để qui định hạn ngạch đĩa cho người dùng Người dùng phép lưu trữ tối đa MB đĩa cứng theo qui định - Thiết lập kịch đăng nhập, đăng xuất, khởi động tắt máy: hệ thống NT4 hỗ trợ kịch đăng nhập (logon script), Windows 2000 Windows Server 2003 hỗ trợ bốn kiện kích hoạt (trigger) kịch (script) Bạn dùng GPO để kiểm sốt kịch chạy - Đơn giản hóa hạn chế chương trình: bạn dùng GPO để gỡ bỏ nhiều tính khỏi Internet Explorer, Windows Explorer chương trình khác Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 311 - II Hạn chế tổng quát hình Desktop người dùng: bạn gỡ bỏ hầu hết đề mục menu Start người dùng đó, ngăn chặn khơng cho người dùng cài thêm máy in, sửa đổi thơng số cấu hình máy trạm… TRIỂN KHAI MỘT CHÍNH SÁCH NHĨM TRÊN MIỀN Chúng ta cấu hình triển khai Group Policy cách xây dựng đối tượng sách (GPO) Các GPO vật chứa (container) chứa nhiều sách áp dụng cho nhiều người, nhiều máy tính hay tồn hệ thống mạng Bạn dùng chương trình Group Policy Object Editor để tạo đối tượng sách Trong sổ Group Policy Object Editor có hai mục chính: cấu hình máy tính (computer configuration) cấu hình người dùng (user configuration) Điều bạn ý triển khai Group Policy cấu hình sách Group Policy tích lũy kề thừa từ vật chứa (container) bên Active Directory Ví dụ người dùng máy tính vừa miền vừa OU nên nhận cấu hình từ hai sách cấp miền lẫn sách cấp OU Các sách nhóm sau 90 phút làm tươi áp dụng lần, nhóm Domain Controller làm tươi phút lần Các GPO hoạt động không nhờ chỉnh sửa thơng tin Registry mà cịn nhờ thư viện liên kết động (DLL) làm phần mở rộng đặt máy trạm Chú ý bạn dùng sách nhóm sách nhóm chỗ máy cục xử lý trước sách dành cho site, miền OU II.1 Xem sách cục máy tính xa Để xem sách cục máy tính khác miền, bạn phải có quyền quản trị máy quản trị miền Lúc bạn dùng lệnh GPEDIT.MSC /gpcomputer:machinename, ví dụ bạn muốn xem sách máy PCO1 bạn gõ lệnh GPEDIT.MSC /gpcomputer: PCO1 Chú ý bạn dùng cách để thiết lập sách nhóm máy tính xa, tính chất bảo mật Microsoft khơng cho phép bạn xa thiết lập sách nhóm Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 312 II.2 Tạo sách miền Chúng ta dùng snap-in Group Policy Active Directory User and Computer gọi trược tiếp tiện ích Group Policy Object Editor từ dịng lệnh máy Domain Controller để tạo sách nhóm cho miền Nếu bạn mở Group Policy từ Active Directory User and Computer khung cửa sổ chương trình bạn nhấp chuột phải vào biểu tượng tên miền (trong ví dụ netclass.edu.vn), chọn Properties Trong hộp thoại xuất bạn chọn Tab Group Policy Nếu bạn chưa tạo sách bạn nhìn thấy sách tên Default Domain Policy Cuối hộp thoại có checkbox tên Block Policy inheritance, chức mục ngăn chặn thiết định sách cấp cao lan truyền xuống đến cấp xét Chú ý sách áp dụng cấp site, sau đến cấp miền cuối cấp OU Bạn chọn sách Default Domain Policy nhấp chuột vào nút Option để cấu hình lựa chọn việc áp dụng sách Trong hộp thoại Options, bạn đánh dấu vào mục No Override sách khác áp dụng dịng khơng phủ thiết định sách này, cho dù sách khơng đánh dấu vào mục Block Policy inheritance Tiếp theo bạn đánh dấu vào mục Disabled, sách khơng hoạt động cấp này, Việc disbale sách cấp khơng làm disable thân đối tượng sách 313 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Để tạo sách bạn nhấp chuột vào nút New, sau nhập tên sách Để khai báo thêm thơng tin cho sách bạn nhấp chuột vào nút Properties, hộp thoại xuất có nhiều Tab, bạn vào Tab Links để site, domain OU liên kết với chinh sách Trong Tab Security cho phép bạn cấp quyền cho người dùng nhóm người dùng có quyền sách Trong hộp thoại Group Policy sách áp dụng từ lên trên, sách nằm áp dụng cuối Do đó, GPO nằm cao danh sách có độ ưu tiên cao hơn, chúng có thiết định mâu thuẫn sách nằm thắng Vì lý nên Microsoft thiết kế hai nút Up Down giúp di chuyển sách lên hay xuống 314 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Trong nút mà chưa khảo sát có nút quan trọng hộp thoại nút Edit Bạn nhấp chuột vào nút Edit để thiết lập thiết định cho sách này, dựa khả Group Policy bạn thiết lập thứ mà bạn muốn Chúng ta khảo sát số ví dụ minh họa phía sau III MỘT SỐ MINH HỌA GPO TRÊN NGƯỜI DÙNG VÀ CẤU HÌNH MÁY III.1 Khai báo logon script dùng sách nhóm Trong Windows Server 2003 hỗ trợ cho bốn kiện để kích hoạt kịch (script) hoạt động là: startup, shutdown, logon, logof Trong công cụ Group Policy Object Editor, bạn vào Computer Configuration Windows Setttings Scripts để khai báo kịch hoạt động startup, shutdown Đồng thời để khai báo kịch hoạt động logon, logof bạn vào User Configuration Windows Setttings Scripts Trong ví dụ Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 315 tạo logon script, trình gồm bước sau: 316 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net Mở công cụ Group Policy Object Editor, vào mục User Configuration Windows Setttings Scripts Nhấp đúp chuột vào mục Logon bên sổ bên phải, hộp thoại xuất hiện, bạn nhấp chuột tiếp vào nút Add để khai báo tên tập tin kịch cần thi hành đăng nhập Chú ý tập tin kịch phải chứa thư mục c:\windows\system32\ grouppolicy\user\script\logon Thư mục thay đổi, tốt bạn nên nhấp chuột vào nút Show Files phía hộp thoại để xem thư mục cụ thể chứa tập tin kịch Nội dung tập tin kịch thay đổi tùy theo yêu cầu bạn, bạn tham khảo tập tin kịch chương trước Tiếp theo để kiểm sốt q trình thi hành tập tin kịch bản, bạn cần hiệu chỉnh sách Run logon scripts visible trạng thái Enable Trạng thái giúp bạn phát lỗi phát sinh tập tin kịch thi hành từ sửa chữa Để thay đổi sách bạn nhấp chuột vào mục User Configuration Administrative Templates System Scripts, sau nhấp đúp chuột vào mục Run logon scripts visible để thay đổi trạng thái Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 317 III.2 Hạn chế chức Internet Explorer Trong ví dụ muốn người dùng máy trạm khơng phép thay đổi thơng số Tab Security, Connection Advanced hộp thoại Internet Options công cụ Internet Explorer Để làm việc này, công cụ Group Policy Object Editor, bạn vào User Configuration Administrative Templates Windows Components Internet Explorer Internet Control Panel, chương trình mục chức IE giới hạn, bạn chọn khóa chức cần thiết III.3 Chỉ cho phép số ứng dụng thi hành Để cấu hình Group Policy cho phép người dùng máy trạm sử dụng vài ứng dụng đó, cơng cụ Group Policy Object Editor, bạn vào User Configuration Administrative Templates Sau nhấp đúp chuột vào mục Run only allowed windows applications để định phần mềm phép thi hành Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net 318 319 Download tài liệu diễn đàn quản trị mạng quản trị hệ thống | http://www.adminviet.net ... hiểu sách hệ thống (System Policy), tìm hiểu sách nhóm (Group Policy) Vậy hai sách khác - Chính sách nhóm xuất miền Active Directory , khơng tồn miền NT4 - Chính sách nhóm làm nhiều điều sách. .. nhiên sách nhóm chứa tất chức sách hệ thống nữa, bạn dùng sách nhóm để triển khai phần mềm cho nhiều máy cách tự động - Chính sách nhóm tự động hủy bỏ tác dụng gỡ bỏ, khơng giống sách hệ thống - Chính. .. phần mở rộng đặt máy trạm Chú ý bạn dùng sách nhóm sách nhóm chỗ máy cục xử lý trước sách dành cho site, miền OU II.1 Xem sách cục máy tính xa Để xem sách cục máy tính khác miền, bạn phải có