Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống. Các chính sách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào mạng. Các chính sách nhóm thì được áp dụng trong suốt thời gian làm việc. Có nhiều mức độ để gán chính sách nhóm này cho từng nhóm người dùng hoặc từng nhóm đối tượng. Chính sách nhóm mới chỉ áp dụng được trên máy Win2K, WinXP và Windows Server 2003...
CHÍNH SÁCH NHĨM I Giới thiệu sách nhóm II Triển khai sách nhóm miền III Các ví dụ minh họa 1 So sánh System Policy Group Policy Chính sách nhóm xuất miền Active Directory NT5.0 Chính sách nhóm bao gồm sách hệ thống sách riêng nhóm Chính sách nhóm tự động hủy bỏ tác dụng gỡ bỏ, không giống sách hệ thống Chính sách nhóm áp dụng thường xun sách hệ thống Các sách hệ thống áp dụng máy tính đăng nhập vào mạng Các sách nhóm áp dụng suốt thời gian làm việc Có nhiều mức độ để gán sách nhóm cho nhóm người dùng nhóm đối tượng Chính sách nhóm áp dụng máy Win2K, WinXP Windows Server 2003 Chức Group Policy a Triển khai phần mềm ứng dụng: đặt một gói cài đặt(package) lên Server, dùng sách nhóm hướng nhiều máy trạm đến gói phần mềm Hệ thống tự động cài đặt phần mềm đến tất máy trạm mà không cần can thiệp người dùng b Gán quyền hệ thống cho người dùng: tương tự sách hệ thống Nó cấp cho một nhóm người có quyền tắt máy server, đổi hệ thống, backup liệu c Giới hạn ứng dụng mà người dùng phép thi hành: kiểm soát máy trạm người dùng cho phép người dùng chạy vài ứng dụng như: Outlook Express, Word hay Internet Explorer d Kiểm soát thiết lập hệ thống: bạn dùng sách nhóm để qui định hạn ngạch đĩa cho người dùng Người dùng phép lưu trữ tối đa MB đĩa cứng theo qui định e Thiết lập kịch đăng nhập, đăng xuất, khởi động tắt máy: Từ Windows 2000 Windows Server 2003 hỗ trợ bốn kiện kích hoạt (trigger) kịch (script) Ta dùng GPO để kiểm soát kịch chạy f Đơn giản hóa hạn chế chương trình: Có thể dùng GPO để gỡ bỏ nhiều tính khỏi Internet Explorer, Windows Explorer chương trình khác g Hạn chế tổng quát hình Desktop người dùng: gỡ bỏ hầu hết đề mục menu Start người dùng đó, ngăn chặn không cho người dùng cài thêm máy in, sửa đổi thơng số cấu hình máy trạm… II Triển khai sách nhóm miền Chúng ta cấu hình triển khai Group Policy cách xây dựng đối tượng sách (GPO) Các GPO chứa nhiều sách áp dụng cho nhiều người, nhiều máy tính hay tồn hệ thống mạng Dùng chương trình Group Policy Object Editor để tạo đối tượng sách (GPO) Trong sổ Group Policy Object Editor có hai mục chính: cấu hình máy tính (computer configuration) cấu hình người dùng (user configuration) Xem sách cục máy tính xa Để xem sách cục máy tính khác miền, bạn phải có quyền quản trị máy quản trị miền Lệnh: GPEDIT.MSC/gpcomputer:machinename VD: xem sách máy PCO1 ta gõ lệnh GPEDIT.MSC /gpcomputer: PCO1 Không thể dùng cách để thiết lập sách nhóm cho máy tính xa 10 Trong Tab Security cho phép bạn cấp quyền cho người dùng nhóm người dùng có quyền sách 17 Trong hộp thoại Group Policy sách áp dụng từ lên trên, sách nằm áp dụng cuối Do đó, GPO nằm cao danh sách có độ ưu tiên cao hơn, chúng có thiết định mâu thuẫn sách nằm thắng Vì lý nên Microsoft thiết kế hai nút Up Down giúp di chuyển sách lên hay xuống 18 19 Có thay đổi sách nhóm cách Click nút Edit 20 III Minh họa GPO người dùng cấu hình nhóm Khai báo logon script dùng sách nhóm Windows Server 2003 hỗ trợ bốn kiện để kích hoạt kịch (script) hoạt động là: startup, shutdown, logon, logoff Trong công cụ Group Policy Object Editor, vào Computer Configuration Windows Setttings Scripts để khai báo kịch hoạt động startup, shutdown 21 Đồng thời để khai báo kịch hoạt động logon, logoff bạn vào User Configuration Windows Setttings Scripts Trong ví dụ tạo logon script, trình gồm bước sau: 22 Vào mục User Configuration Windows Setttings Scripts 23 Nhấp đúp chuột vào mục Logon bên sổ bên phải, hộp thoại xuất hiện, bạn nhấp chuột tiếp vào nút Add để khai báo tên tập tin kịch cần thi hành đăng nhập Chú ý tập tin kịch phải chứa thư mục c: \ windows \ system32 \ grouppolicy \ user \ script \ logon 24 25 Tiếp theo để kiểm sốt q trình thi hành tập tin kịch bản, bạn cần hiệu chỉnh sách Run logon scripts visible trạng thái Enable Trạng thái giúp bạn phát lỗi phát sinh tập tin kịch thi hành từ sửa chữa Để thay đổi sách bạn nhấp chuột vào mục User Configuration Administrative Templates System Scripts, sau nhấp đúp chuột vào mục Run logon scripts visible để thay đổi trạng thái 26 27 Hạn chế chức Internet Explorer Ví dụ muốn người dùng máy trạm không phép thay đổi thơng số Tab Security, Connection Advanced hộp thoại Internet Options công cụ Internet Explorer Để làm việc này, công cụ Group Policy Object Editor, bạn vào User Configuration Administrative Templates Windows Components Internet Explorer Internet Control Panel, chương trình mục chức IE giới hạn, bạn chọn khóa chức cần thiết 28 29 Cho phép số ứng dụng thi hành Để cấu hình Group Policy cho phép người dùng máy trạm sử dụng vài ứng dụng ta làm sau: Trong công cụ Group Policy Object Editor User Configuration Administrative Templates System Sau nhấp đúp chuột vào mục Run only allowed windows applications để định phần mềm phép thi hành 30 31 ... Policy Chính sách nhóm xuất miền Active Directory NT5.0 Chính sách nhóm bao gồm sách hệ thống sách riêng nhóm Chính sách nhóm tự động hủy bỏ tác dụng gỡ bỏ, khơng giống sách hệ thống Chính sách nhóm. .. xun sách hệ thống Các sách hệ thống áp dụng máy tính đăng nhập vào mạng Các sách nhóm áp dụng suốt thời gian làm việc Có nhiều mức độ để gán sách nhóm cho nhóm người dùng nhóm đối tượng Chính sách. .. GPEDIT.MSC/gpcomputer:machinename VD: xem sách máy PCO1 ta gõ lệnh GPEDIT.MSC /gpcomputer: PCO1 Không thể dùng cách để thiết lập sách nhóm cho máy tính xa 10 Tạo sách miền Có cách gọi Group Policy để tạo sách nhóm cho miền