B ài 12 CHÍNH SÁCH NHÓM Tóm tắt Lý thuyết 3 tiết -Thực hành 3 tiết Mục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêm Kết thúc bài học này cung cấp học viên kiến thức vềGroup Policy, các chính sách đối với máy trạm, chính sách đối với người dùng… I. Giới thiệu vềchính nhóm. II. Triển khai một chính nhóm trên miền. III. Các ví dụminh họa. sách sách Dựa vào bài tập môn Quản trịWindows Server 2003. Dựa vào bài tập môn Quản trịWindows Server 2003. I. GIỚI THIỆU. I.1. So sánh giữa System Policy và Group Policy.Vừarồi ởchương trước, chúng ta đã tìm hiểuvềchính sách hệthống (System Policy), tiếp theo chúng ta sẽtìm hiểuvềchính sách nhóm (Group Policy). Vậy hai chính sách này khác nhau nhưthếnào. -Chính sách nhóm chỉxuất hiện trên miền Active Directory , nó không tồntại trên miền NT4. -Chính sách nhóm làm được nhiều điềuhơn chính sách hệthống. Tất nhiên chính sách nhóm chứatấtcảcác chứcnăng của chính sách hệthống và hơn thếnữa, bạn có thểdùng chính sách nhómđểtriển khai một phầnmềm cho một hoặc nhiều máy một cách tựđộng. -Chính sách nhóm tựđộng hủybỏtác dụng khi đượcgỡbỏ, không giống nhưcác chính sách hệthống. -Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệthống. Các chính sách hệthốngchỉđược áp dụng khi máy tính đăng nhập vào mạng thôi. Các chính sách nhóm thì được áp dụngkhi bạnbật máy lên, khi đăng nhập vào một cách tựđộng vào những thời điểm ngẫu nhiên trong suốt ngày làm việc. -Bạn có nhiềumức độđểgán chính sách nhóm này cho ngườitừng nhóm người hoặctừng nhómđốitượng. -Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉáp dụng được trên máy Win2K, WinXP vàWindows Server 2003. I.2. Chứcnăng của Group Policy. -Triển khai phầnmềm ứng dụng:bạn có thểgom tấtcảcác tập tin cần thiết đểcài đặtmột phần mềm nào đó vào trong một gói (package), đặt nó lên Server,rồi dùng chính sách nhóm hướng một hoặc nhiều máy trạm đến gói phầnmềm đó. Hệthống sẽtựđộng cài đặt phầnmềm này đến tấtcảcác máy trạm mà không cầnsựcan thiệp nào của người dùng. -Gán các quyềnhệthống cho người dùng: chứcnăng này tương tựvới chứcnăng của chính sách hệthống. Nó có thểcấp cho một hoặcmột nhóm người nào đó có quyềntắt máy server, đổi giờhệthống hay backup dữliệu… -Giớihạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thểkiểm soát máy trạmcủamột người dùng nào đó và cho phép người dùng này chỉchạy đượcmột vài ứng dụng nào đó thôi như: Outlook Express, Word hay Internet Explorer. -Kiểm soát các thiếtlậphệthống:bạn có thểdùng chính sách nhóm đểqui định hạn ngạch đĩa cho một người dùng nào đó. Người dùng này chỉđược phép lưu trữtối đa bao nhiêu MB trên đĩa cứng theo qui định. -Thiếtlập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệthống NT4 thì chỉhỗtrợkịch bản đăng nhập(logon script), nhưng Windows 2000 và Windows Server 2003 thì hỗtrợcảbốnsựkiện này được kích hoạt(trigger)mộtkịch bản(script). Bạn có thểdùng các GPO đểkiểm soát những kịch bản nào đang chạy. -Đơn giản hóa và hạn chếcác chương trình:bạn có thểdùng GPO đểgỡbỏnhiều tính năngkhỏi Internet Explorer, Windows Explorer và những chương trình khác. -Hạn chếtổng quát màn hình Desktop của người dùng:bạn có thểgỡbỏhầuhết các đềmục trên menu Start củamột người dùng nào đó, ngăn chặn không cho người dùng cài thêm máy in, sửa đổi thông sốcấu hình của máy trạm… II. TRIỂN KHAI MỘT CHÍNH SÁCH NHÓM TRÊN MIỀN. Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đốitượng chính sách (GPO). Các GPO là mộtvật chứa(container) có thểchứa nhiều chính sách áp dụng cho nhiều người, nhiều máy tính hay toàn bộhệthống mạng. Bạn dùng chương trình Group Policy Object Editor đểtạo ra các đốitượng chính sách. Trong củasổchính của Group Policy Object Editor có hai mục chính: cấu hình máy tính (computer configuration) và cấu hình người dùng (user configuration). Điềukếtiếpbạncũng chú ý khi triển khai Group Policy là các cấu hình chính sách của Group Policy được tích lũy và kềthừatừcác vật chứa(container) bên trên của Active Directory. Ví dụcác người dùng và máy tính vừa ởtrong miềnvừa ởtrong OU nên sẽnhận được các cấu hình từcảhai chính sách cấp miềnlẫn chính sách cấp OU. Các chính sách nhóm sau 90 phút sẽđược làm tươi và áp dụng mộtlần, nhưng các chính nhóm trên các Domain Controller được làm tươi 5 phút mộtlần. Các GPO hoạt động được không chỉnhờchỉnh sửa các thông tin trong Registry mà còn nhờcác thưviện liên kết động (DLL) làm phầnmởrộng đặttại các máy trạm. Chú ý nếubạn dùng chính sách nhóm thì chính sách nhóm tại chỗtrên máy cụcbộsẽxửlý trước các chính sách dành cho site, miền hoặc OU. II.1. Xem chính sách cụcbộcủamột máy tính ởxa. Đểxem một chính sách cụcbộtrên các máy tính khác trong miền, bạn phải có quyền quản trịtrên máy đó hoặc quản trịmiền. Lúc đóbạn có thểdùng lệnh GPEDIT.MSC /gpcomputer:machinename,ví dụ 312 bạn muốn xem chính sách trên máy PCO1 bạn gõ lệnh GPEDIT.MSC /gpcomputer: PCO1. Chú ý là bạn không thểdùng cách này đểthiếtlập các chính sách nhóm ởmáy tính ởxa, do tính chấtbảomật Microsoft không cho phép bạn ởxa thiếtlập các chính sách nhóm. II.2. Tạo các chính sách trên miền. Chúng ta dùng snap-in Group Policy trong Active Directory User and Computer hoặcgọi trược tiếp tiện ích Group Policy Object Editor từdòng lệnh trên máy Domain Controller đểtạo ra các chính sách nhóm cho miền. NếubạnmởGroup Policy từActive Directory User and Computer thì trong khung cửasổchính của chương trình bạn nhấp chuột phải vào biểutượng tên miền (trong ví dụnày là netclass.edu.vn), chọn Properties. Trong hộp thoại xuất hiệnbạn chọn Tab Group Policy. Nếubạn chưatạo ra một chính sách nào thì bạn chỉnhìn thấymột chính sách tên Default Domain Policy. Cuốihộp thoạicó một checkbox tên Block Policy inheritance, chứcnăng củamục này là ngăn chặn các thiết định củamọi chính sách bấtkỳởcấp cao hơn lan truyền xuống đếncấp đang xét. Chú ý rằng chính sách được áp dụng đầu tiên ởcấp site, sau đó đếncấp miền và cuối cùng là cấp OU.Bạn chọn chính sách Default Domain Policy và nhấp chuột vào nút Option đểcấu hình các lựa chọn việc áp dụng chính sách. Trong hộp thoại Options,nếubạn đánh dấu vào mục No Override thì các chính sách khác được áp dụng ởdòng dướisẽkhông phủquyết được những thiết định của chính sách này, cho dù chính sách đó không đánh dấu vào mục Block Policy inheritance. Tiếp theo nếu bạn đánh dấu vào mục Disabled, thì chính sách này sẽkhông hoạt động ởcấp này, Việc disbale chính sách ởmộtcấp không làm disable bản thân đốitượng chính sách. Đểtạo ra một chính sách mớibạn nhấp chuột vào nút New, sau đó nhập tên của chính sách mới. Đểkhai báo thêm thông tin cho chính sách này bạn có thểnhấp chuột vào nút Properties,hộp thoại xuất hiện có nhiều Tab,bạn có thểvào Tab Links đểchỉra các site, domain hoặc OU nào liên kếtvới chinh sách. Trong Tab Security cho phép bạncấp quyền cho người dùng hoặc nhóm người dùng có quyền gì trên chính sách này. Trong hộp thoại chính của Group Policy thì các chính sách được áp dụng từdưới lên trên, cho nên chính sách nằm trên cùng sẽđược áp dụng cuối cùng. Do đó, các GPO càng nằm trên cao trong danh sách thì càng có độưu tiên cao hơn, nếu chúng có những thiết định mâu thuẫn nhau thì chính sách nào nằm trên sẽthắng. Vì lý do đó nên Microsoft thiếtkếhai nút Up và Down giúp chúng ta có thểdi chuyển các chính sách này lên hay xuống. Trong các nút mà chúng ta chưa khảo sát thì có một nút quan trọng nhất trong hộp thoại này đó là nút Edit.Bạn nhấp chuột vào nút Edit đểthiếtlập các thiết định cho chính sách này, dựa trên các khảnăng của Group Policy bạn có thểthiếtlậpbấtcứthứgì mà bạn muốn. Chúng ta sẽkhảo sát mộtsốví dụminh họa ởphía sau. III. MỘT SỐ MINH HỌA GPO TRÊN NGƯỜI DÙNG VÀ CẤU HÌNH MÁY. III.1. Khai báo một logon script dùng chính sách nhóm. Trong Windows Server 2003 hỗtrợcho chúng ta bốnsựkiện đểcó thểkích hoạt các kịch bản (script) hoạt động là: startup, shutdown, logon, logoff. Trong công cụGroup Policy Object Editor, 315bạn có thểvào Computer Configuration Windows Setttings Scripts đểkhai báo các kịch bản sẽhoạt động khi startup, shutdown. Đồng thời đểkhai báo các kịch bảnsẽhoạt động khi logon, logoff thì bạn vào User Configuration Windows Setttings Scripts. Trong ví dụnày chúng ta Mởcông cụGroup Policy Object Editor, vào mục User Configuration Windows Setttings Scripts. Nhấp đúp chuột vào mục Logon bên củasổbên phải, hộp thoại xuất hiện, bạn nhấp chuột tiếp vào nút Add đểkhai báo tên tập tin kịch bảncần thi hành khi đăng nhập. Chú ý tập tin kịch bản này phải được chứa trong thưmục c:\windows\system32\ grouppolicy\user\script\logon. Thưmục này có thểthay đổi, tốt nhấtbạn nên nhấp chuột vào nút Show Files phía dướihộp thoại đểxem thưmụccụthểchứa các tập tin kịch bản này. Nội dung tập tin kịch bản có thểthay đổi tùy theo yêu cầucủabạn, bạn có thểtham khảotập tin kịch bản ởchương trước. Tiếp theo đểkiểm soát quá trình thi hành củatập tin kịch bản, bạncần hiệu chỉnh chính sách Run logon scripts visible ởtrạng thái Enable. Trạng thái này giúp bạn có thểphát hiện ra các lỗi phát sinh khi tập tin kịch bản thi hành từđó chúng ta có thểsửa chữa. Đểthay đổi chính sách này bạn nhấp chuột vào mục User Configuration Administrative Templates System Scripts, sau đó nhấp đúp chuột vào mục Run logon scripts visible đểthay đổi trạng thái. III.2. Hạn chếchứcnăng của Internet Explorer. Trong ví dụnày chúng ta muốn các người dùng dưới máy trạm không được phép thay đổibất kì thông sốnào trong Tab Security, Connection và Advanced trong hộp thoại Internet Options của công cụInternet Explorer. Đểlàm việc này, trong công cụGroup Policy Object Editor,bạn vào User Configuration Administrative Templates Windows Components Internet Explorer Internet Control Panel, chương trình sẽhiện ra các mục chứcnăng của IE có thểgiớihạn, bạn chọn khóa các chứcnăng cần thiết. III.3. Chỉcho phép mộtsốứng dụng được thi hành.Đểcấu hình Group Policy chỉcho phép các người dùng dưới máy trạm chỉsửdụng đượcmột vài ứng dụng nào đó, trong công cụGroup Policy Object Editor,bạn vào User Configuration Administrative Templates. Sau đó nhấp đúp chuột vào mục Run only allowed windows 318 applications đểchỉđịnh các phầnmềm được phép thi hành. . tựđộng. -Chính sách nhóm tựđộng hủybỏtác dụng khi đượcgỡbỏ, không giống nhưcác chính sách hệthống. -Chính sách nhóm được áp dụng thường xuyên hơn chính sách. nếubạn dùng chính sách nhóm thì chính sách nhóm tại chỗtrên máy cụcbộsẽxửlý trước các chính sách dành cho site, miền hoặc OU. II.1. Xem chính sách cụcbộcủamột