¾ Giới thiệu Windows Group Policy
¾ Triển khai Group Policy trên Domain và Organizational Units
¾ Dùng Group Policy tự động hóa các công tác quản trị User và Computer ¾ Xử lý lỗi thông dụng khi triển khai Group Policy
5.1. Giới thiệu Group Policy.
¾ Group Policy Object (GPO) là một thành phần quan trọng trong hệ quản trị của Windows. Nó giúp
người quản trị có thể đưa ra những chính sách bảo vệ, giới hạn tầm hoạt động của người sử dụng theo một khuôn phép nhất định. Hầu hết những thay đổi trên Windows như desktop, control panel, Internet Explorer... đều lưu lại trên registry. Nhưng registry lại quá phức tạp và nguy hiểm do đó hệ điều hành đưa ra một hệ thống Policy nhằm đơn giản hóa vấn đề thay đổi và bảo mật.
¾ Domain Group Policy: trong hệ thống Windows Server thì GPO hoạt động theo mô hình client/Server. Do đó người quản trị sẽ theo tác các GPO trên máy chủ để áp đặt những thay đổi cần thiết cho máy con khi máy con đăng nhập vào hệ thống.
Xét một số ví dụ:
• Trong một Công Ty, người quản trị muốn một số nhân viên nào đó không được thay đổi thông số màn hình Desktop. Hoặc không muốn vào Control Panel để chỉnh sửa, phá phách... • Một phòng ban nào đó muốn không cho họ thay đổi các thông số trên Internet Explorer hoặc
cấm họ không được phép sử dụng USB...
Tất cả những việc trên đều có thể làm trên các máy client đó. Nhưng GPO có thể làm trên máy chủ và có hiệu lực cho một OU. Nguyên lý hoạt động của GPO là khi máy client truy cập vào Server thì Server sẽ lấy thông tin registry trên máy client đó và chỉnh sữa lại theo đúng những gì mà GPO đã thiết lập và quá trình này được cập nhật thường xuyên khi có tín hiệu truy cập từ máy Client. Các group policy dành cho site, domain và OU được tạo ra dưới dạng các đối tượng chính sách nhóm (GPO), và các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL.
¾ Local Group Policy: trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại
chỗ (local group policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả (tức khi nó tham gia vào một workgroup hoặc khi nó được dùng độc lập). Các máy Windows XP Home thì không có local group policy. Khi máy Win2k/XP Pro/WinS2k3 nối vào miền AD, thì ngoài các local group policy, nó còn được áp dụng lần lượt các group policy dành cho Site, Domain, OU chứa nó (nếu thuộc nhiều OU lồng nhau, thì policy nào dành cho OU ngoài hơn sẽ được áp dụng trước). Các policy được áp dụng sau sẽ override các policy được áp dụng trước. GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 thì nằm trong thư mục %Windir%\System32\GroupPolicy.
Chương trình để tạo ra và chỉnh sửa các GPO có tên là Group Policy Object Editor, có dạng một console MMC tên là GPEDIT.MSC, hoặc cũng có thể dùng dưới dạng một công cụ snap-in trong một console MMC khác. Ví dụ: console Active Directory Users and Computers, tức dsa.msc, cũng được trang bị sẵn snap-in Group Policy.
¾ Các thành phần của Group Policy
Để tìm hiểu các thành phần GPO chúng ta cần khơi động chương trình Group Policy. Có 2 cách:
Cách 1: Vào menu Start > Run, rồi nhập lệnh mmc để khởi động Microsoft Management Console. Sau
đó vào menu File, chọn Open. Trong cửa sổ Open, tìm đến thư mục System32. Chúng ta thấy nhiều tập tin xuất hiện có phần mở rộng là *.msc nhưng chúng ta chỉ quan tâm đến file gpedit.msc, chọn file
gpedit.msc và bấm Open:
Hình 5.1: Chọn file gpedit.msc
Cách 2: Vào menu Start Æ chọn Run và nhập vào gpedit.msc rồi nhấn OK để khởi động chương trình.
Khi chương trình đã khởi động, chúng ta sẽ thấy cửa sổ giao diện như hình bên dưới:
Chương trình được phân theo dạng cây và rất dễ dùng và chúng ta hoàn toàn có thể sử dụng Group Policy mà Windows cung cấp sẵn để quản trị hệ thống, không cần phải cài thêm các phần mềm khác.
¾ Trong Group Policy có 2 thành phần chính là Computer Configuration và user configuration • Cách sử dụng chung: tìm tới các nhánh, Chọn Not configured nếu không định cấu hình cho
tính năng đó, Enable để kích hoạt tính năng, Disable để vô hiệu hóa tính năng.
• Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên
máy. Trong nhánh này chứa nhiều nhánh con như:
Windows Settings: nhánh này chức các vấn đề liên quan đến tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống...
Administrative Templates:
Windows Components: cho phép cấu hình các thành phần cài đặt trong Windows như:
Internet Explorer, NetMeeting... (adsbygoogle = window.adsbygoogle || []).push({});
System: cấu hình về hệ thống. Cần lưu ý là trước khi cấu hình cho bất kỳ thành phần nào,
chúng ta cũng cần phải tìm hiểu thật kỹ về nó. Chúng ta có thể chọn thành phần rồi nhấp chuột phải để chọn Help.
Hình 5.3: Tìm hiểu thành phần đang cấu hình
Còn một cách khác là không chọn Help mà chọn Properties. Khi cửa sổ Properties xuất hiện, chuyển sang thẻ Explain để được giải thích chi tiết về thành phần này.
Hình 5.4: Giải thích tính năng của thành phần
Mặc định thì tình trạng ban đầu của các thành phần này là Not configured. Để thay đổi tình trạng cho thành phần nào đó, chúng ta chọn thẻ Setting trong cửa sổ Properties, sẽ có 3 tùy chọn cho
chúng ta chọn lựa là: Enable (có hiệu lực), Disable (vô hiệu lực) và Not configure (không cấu hình). • User Configuration: giúp chúng ta cấu hình cho tài khoản đang sử dụng. Các thành phần có
khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như trên.
Sau đây chúng ta tìm hiểu chi tiết một số thành phần chính của GP: Computer Configuration:
¾ Windows Setting:
Tại đây chúng ta có thể hiệu chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống...
• Scripts (Startup/Shutdown):
Chúng ta có thể chỉ định cho windows sẽ chạy một đoạn mã nào đó khi Windows Startup hoặc Shutdown.
• Security settings: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn
bộ hệ thống chứ không riêng người sử dụng nào.
Account Policies Thiết lập các chính sách áp dụng cho tài khoản của người dùng.
1. Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử
dụng tài khoản trên máy.
Enforce password history: Với những người sử dụng có không có thói quen ghi nhớ nhiều
mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ để thay cho mật khẩu mới, điều này là một kẽ hở lớn lên quan trực tiếp đến việc lộ mật khẩu. Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu.
Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thây đổi mật khẩu định kỳ nhằm nâng cao độ an toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quen của chúng ta, từ đó có thể tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày. Giá trị mặc định là 42.
Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu.
Hết thời gian này chúng ta mới có thể thay đổi mật khẩu của tài khoản, hoặc chúng ta có thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày. Chúng ta cần thiết lập “Minimum password age” lớn hơn không nếu chúng ta muốn chính sách “Enforce password history” có hiệu quả, vì người sử dụng có thể thiết lập lại mật khẩu nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ.
Minimum password length: Độ dài nhỏ tối thiểu cuả mật khẩu tài khoản. (Tính bằng số ký
tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị là không nếu chúng ta không sử dụng mật khẩu. Giá trị mặc định là 0.
Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu. Nếu
tính năng này có hiệu lực. Mật khẩu của tài khoàn ít nhất phải đạt những yêu cầu sau: - Không chứa tất cả hoặc một phần tên tài khoản người dùng
- Độ dài nhỏ nhất là 6 ký tự
- Chứa từ 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a -> Z), các chữ cái hoa (A -> Z), Các chữ số (0 -> 9) và các ký tự đặc biệt.
Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu. đinh : Disable. (adsbygoogle = window.adsbygoogle || []).push({});
Store password using reversible encryption for all users in the domain: Lưu trữ mật khẩu
cho các ứng dụng sử dụng giao thức,nó yêu cầu sự am hiểu về mật khẩu của người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngươc thực chất giống như việc lưu trữ các văn bản mã hóa của thông tin bảo vệ mật khẩu. Mặc đinh : Disable.
2. Acount lockout Policy:
Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước khi việc
mở khóa đươc thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không muốn việc tự động Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập.
Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công.
Trong trường hợp này Acount sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hêt hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa.
Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một
khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập.
• Local Policies Kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng tại chỗ.
User rights Assignment: Ấn định quyền cho người sử dụng.
Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian của hệ thống…
Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục đó và nhấn nủt Add user or group để trao quyền cho user hoặc Group nào bạn muốn.
Access this computer from the network: Với những kẻ tò mò, tọc mạch thì tại sao chúng ta
lại phải cho phép chúng truy cập vào máy tính của mình. Với thiết lập này chúng ta có thể tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào.
Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định, tài khoản Aministrator có quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này.
Add workstations to domain: Thếm một tài khoản hoặc nhóm vào miền. Chính sách này
chỉ hoạt động trên hệ thống sử dụng Domain Controller. Khi được thêm vào miền, tài khoàn này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạng như một thành viên trên Domain.
Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chỉ tiêu bộ
nhớ dành cho một quá trình xử lý. Chính sách này tuy có làm tăng hiệu suất của hệ thống nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như tấn công từ chôi dịch vụ DoS (Dinal of Sevices).
Allow logon through Terminal Services: Terminal Services là một dịch vụ cho phép chúng
ta đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống.
Back up files and directories: Tương tự như các chính sách trên, ở đây sẽ cấp phép cho những ai sẽ có quyền backup dữ liệu.
Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian cuả hệ
thống.
Force shutdown from a remote system: Cho phép những ai có quyền tắt máy qua hệ thống
điều khiển từ xa.
Shut down the system: Cho phép ai có quyền Shutdown máy. Public Key Policies Các chính sách khóa dùng chung
9 Lưu ý: ở đây chúng tôi chỉ giới thiệu một số các thành phần, các bạn có thể dựa theo cách này để tự
tìm hiểu thêm. (adsbygoogle = window.adsbygoogle || []).push({});
5.2. Triển khai Group Policy
Tạo Group Policy trên Local Computer
Để tạo một GPO local, chúng ta phải được logon như là một thành viên Administrator có thể truy xuất Group Policy Object Editor từ Administrator Tools hay qua một snap-in MMC
¾ Để cài đặt một policy với những thiết lập local • Start Æ Run và nhập vào mmc Æ OK
• Vào menu Files Æ Add/Remove Snap-in…Æ Add Group Policy Ọbject Editor
• Open Group Policy Object Editor.
• In the console tree, double-click the folders to view the policy settings in the details pane.
• In the details pane, double-click a policy setting to open the Properties dialog box, and then change the policy setting.
Tạo Group Policy trên Domain
Việc thực thi Group Policy trên một domain cung cấp cho nhà quản trị mạng với quyền điều khiển lớn hơn qua những cấu hình máy tính xuyên suốt cấu trúc mạng. Cũng bằng cách sử dụng Group Policy trong Windows Server 2003, chúng ta có thể tạo một môi trường làm việc được quản lý hoàn toàn thích hợp với trách nhiệm công việc của user và mức kinh nghiệm của mình, chúng ta có thể giảm lượng hỗ trợ mạng cần thiết.
Để tạo một GPO mới hoặc link tới một GPO đang tồn tại bằng cách sử dụng Active Directory Users and Computers, tạo một GPO trong một site, domain hay OU.
¾ Sử dụng Active Directory Users and Computers
• Trong Active Directory Users and Computers, click chuột phải trên Active Directory (domain or organizational unit) mà chúng ta muốn tạo GPO, sau đó chọn Properties.
• Trong hộp thoại Properties, trên thẻ Group Policy sẽ có các lựa chọn sau:
Tạo mới một GPO, click New, nhập tên mới của GPO, sau đó bấm ENTER. Liên kết đến một GPO sẵn có, click Add, sau đó chọn GPO từ danh sách
• GPO mà chúng ta vừa tạo hoặc liên kết sẽ được hiển thị trong danh sách GPO trong Active Directory.
¾ Sử dụng Group Policy Management
• Start Æ Administrative Tools, sau đó click Group Policy Management.
• Trong Group Policy Management, trong phần console, mở rộng forest và tìm domain mà bạn muốn tạo mới GPO.
• Right-click trên Group Policy Objects, và chọn New. • Trong hộp thoại New GPO, nhập tên Group Policy Æ OK.
Edit Group Policy
Là một người quản trị hệ thống, chúng ta phải chỉnh sửa những thiết lập Group Policy. Để chỉnh sử Group Policy chúng ta thực hiện theo các bước sau:
• Trong Group Policy Management, phần console tree, tìm Group Policy Objects cần Edit. • Right-click trên GPO và sau đó click Edit.
• Trong Group Policy Object Editor, thông qua Group Policy setting mà bạn muốn edit Æ double- click vào.
• Trong hộp thoại Properties, cấu hình Group Policy setting và click OK.
Link Group Policy đến Domain hay OU
Tất cả các GPOs được lưu trữ trong một container Active Directory được gọi là Group Policy Objects. Khi một GPO được sử dụng cho site, domain hay một OU, GPO đó được link tới container Group Policy Objects. Kết quả là chúng ta có thể tập trung quản lý và triển khai GPOs tới nhiều domai hay nhiều OU.
Creating a linked GPO Khi chúng ta tạo một GPO được liên kết với một site, domain hoặc OU, chúng
ta thực hiện một cách thủ công hai hoạt động riêng biệt: tạo một GPO mới và sau đó link nó tới site,
(adsbygoogle = window.adsbygoogle || []).push({});