Chính sách nhóm: tập hợp cấu hình về người dùng và máy tính chỉ ra Cách các chương trình, tài nguyên mạng làm việc với người dùng và máy tính trong mạng GP có thể thiết lập cho sites, domains, OU, computers
CHÍNH SÁCH NHĨM Ngơ Văn Cơng Giới thiệu Chính sách nhóm: tập hợp cấu hình người dùng máy tính Cách chương trình, tài nguyên mạng làm việc với người dùng máy tính mạng GP thiết lập cho sites, domains, OU, computers Ví dụ: dùng GP thiết lập ứng dụng mà người dùng chạy, chương trình xuất desktop Đối tượng sách nhóm(GPO) Tập hợp thiết lập sách nhóm GPO mặc định Default Domain Policy: Liên kết với domain, có ảnh hưởng tới tất người dùng máy tính miền Default Domain Controllers Policy: Liên kết đến máy tính DC OU, thường ảnh hưởng đến máy tính điều khiển miền Các kiểu sách nhóm Chính sách nhóm cục bộ(Local Group Policy) Mỗi máy tính có sách cục có tham gia vào miền hay không Chỉ ảnh hưởng đến máy tính mà tạo Chính sách nhóm miền(nonlocal Group Policy) Được tạo hệ thống thư mục(AD) phải liên kết đến site, domain, OU Mặc định có sách mặc định tạo nâng cấp lên máy quản lý miền Default Domain Policy: Liên kết vời miền ảnh hưởng tồn máy tính người dùng miền Default Domain Controller Policy: Liên kết với DC mạng Tạo đối tượng Group Policy cách tạo GPO: Group Policy standalone Microsoft Management Console (MMC) snap-in Group Policy extension Active Directory Users and Computers Tạo đối tượng Group Policy dùng MMC Mục tiêu: Tạo GPO dùng Group Policy Object Editor MMC snap-in Tìm MMC Group Policy Object Editor snap-in Tạo GPO (tt) GPO editor Dùng để tổ chức quản lý thiết lập sách nhóm GPO Thiết lập sách nhóm Cấu hình máy tính Các thiết lập áp dụng cho máy tính khơng quan tâm đến người đăng nhập vào máy tính thường ảnh hưởng tới trình Hệ điều hành khởi động Cấu hình ngưới dùng Các thiết lập áp dụng cho người dùng khơng quan tâm đến máy tính mà người dùng đăng nhập thường ảnh hưởng tới trình người dùng đăng nhập vào hệ thống (tt) Thiết lập phần mềm(Software setting) Thiết lập cửa sổ(Window setting) Mẫu quản trị(Administrative Template) Tái điều hướng thư mục (tt) Sự Kế Thừa Chính Sách Nhóm Group Policy kế thừa từ đối tượng cha sang đối tượng domain Group Policy không kế thừa từ miền cha sang miền Nếu thiết lập xác lập cho đối tượng cha kế thừa sang đối tượng trường hợp thiết lập chưa xác lập đối tượng Nếu thiết lập xác lập cho đối tượng cha, thiết lập xác lập đối tượng xác lập đối tượng có độ ưu tiên cao Bất kỳ thiếp lập cấu hình Not Configured đối tượng không kế thừa Quản lý thừa kế Group Policy Thứ tự đặc biệt cho ứng dụng GPO: Local computer Site Domain Parent OU Child OU Theo mặc định tất thiết lập GPO thừa kế Tại mức, có nhiều GPO Các sách áp dụng theo thứ tự mà chúng xuất thẻ Group Policy cho container, bên GPO Áp dụng số lượng nhiều GPO ảnh hưởng hiệu suất khởi động đăng nhập Quản lý thừa kế Group Policy (tt) Các mâu thuẫn giải theo tập công thức Các sách cập nhật tự động thời điểm cập nhật thủ cơng Các sách liên kết với site, domain OU container Một GPO đơn liên kết với nhiều container Thứ tự xử lý GPO Thành viên workgroup: Các máy tính thành viên workgroup xử lý sách nhóm cục bộ(Local GPO) No override: Các sách nhóm khác khơng thể ghi đè lên sách nhóm Block Policy Inheritance: Khơng cho phép kế thừa sách nhóm Khóa thừa kế Policy Để thay đổi thừa kế mặc định, dùng Block Policy thẻ Group Policy cho container Con không thừa kế sách cha Có ích OU cần quản lý riêng Cấu hình No Override Nếu sách cấu hình với No Override Nó bị ép áp dụng mâu thuẫn sách mức thấp Nó bị ép áp dụng contairner mức thấp với thiết lập thừa kế Block Policy Tạo sách nhóm Hạn chế chức Internet Explorer Không cho phép người dùng thay đổi thông số tab security->advanced internet option Vào User configuration->Administrative template->Window components->Internet Explorer (tt) Chỉ cho phép số ứng dụng thi hành Vào User configuration->Administrative template->Run only allowed windows applications (tt) Tổng kết Một GPO đối tượng AD dùng để cấu hình áp dụng thiết lập cho đối tượng user & computer kiểu GPO mặc định tạo AD cài đặt: Default Domain Policy Default Domain Controllers Policy chế để tạo GPO: Microsoft Management Console Group Policy snap-in Group Policy extension Active Directory Users and Computers Tổng kết (tt) Các GPO dùng để: Điều khiển thiết lập desktop bảo mật Áp dụng script user đăng nhập đăng xuất, computer khởi động shutdown Cho tái điều hướng thư mục Các GPO áp dụng theo thứ tự xác định Các GPO thừa kế theo mặc định: Có thể thay đổi cách khóa thừa kế Group Policy, cấu hình No Override lọc dùng quyền user Dùng GPRESULT công cụ RSoP để xem tác động thiết lập GP Tổng kết (tt) Các GPO có ích việc triển khai bảo trì ứng dụng phần mềm Các GPO dùng giai đoạn phần mềm Để triển khai, GP dùng file MSI chứa thông tin cần thiết để cài đặt theo số cấu hình khác Các ứng dụng cài đặt chuyển xuất ... miền Các kiểu sách nhóm Chính sách nhóm cục bộ(Local Group Policy) Mỗi máy tính có sách cục có tham gia vào miền hay khơng Chỉ ảnh hưởng đến máy tính mà tạo Chính sách nhóm miền(nonlocal... viên workgroup xử lý sách nhóm cục bộ(Local GPO) No override: Các sách nhóm khác khơng thể ghi đè lên sách nhóm Block Policy Inheritance: Khơng cho phép kế thừa sách nhóm Khóa thừa kế Policy... Object Editor snap-in Tạo GPO (tt) GPO editor Dùng để tổ chức quản lý thiết lập sách nhóm GPO Thiết lập sách nhóm Cấu hình máy tính Các thiết lập áp dụng cho máy tính khơng quan tâm đến