1, Lọc phạm vi của GPO
Chúng ta đã biết rằng chính sách nhóm không áp dụng cho một nhóm cụ thể nào cả mà áp dụng cho site, domain hay OU. Do đó để 1 nhóm hay 1 người dùng nào đó chịu tác động của chính sách nhóm thì phải đặt vào 1 OU nào đó. Sau đó ta sẽ cho GPO liên kết đến OU đó. Điều này có nghĩa là toàn OU sẽ chịu tác
động của GPO, không có người dùng nào trong OU có đặc quyền hơn những người còn lại. Vấn đề đặt ra là liệu ta có thể áp dụng GPO cho một cá nhân riêng biệt nào đó trong OU không ? Điều này hoàn toàn có thể nếu chúng ta lọc chính sách nhóm (Filter Group Policy). Việc lọc chính sách nhóm này sẽ làm cho việc quản lý chặt chẽ hơn do nó tạo ra các phạm vi quản lý (Scope of Management - SOM)
Để lọc chính sách nhóm chúng ta có 2 phương pháp sau :
a, Sử dụng “Security Filtering” để lọc ra những người chịu tác động
Khi ta liên kết một GPO cho một OU nào đó thì mặc định trong mục Security Filtering tại thẻ Scope chỉ có những người dùng đã được xác thực (Authenticated Users) tức là các thành viên của OU đó :
Muốn chỉ một cá nhân nào đó của OU chịu tác động của GPO ta phải loại bỏ Authenticated Users bằng nút Remove và thêm người dùng đó vào bằng nút
Add :
Như vậy theo hình trên ta thấy được chỉ có tài khoản vinh là chịu tác động của “Chinh sach bao mat” còn các thành viên khác của OU Security thì không. Một điều nữa là khi ta thêm một tài khoản người dùng vào danh sách lọc này thì người dùng đó chỉ có 2 quyền là “read” và “Apply Group Policy”
b, Định ra những người không chịu tác động
Ở phương pháp 1 ta đã sử dụng Security Filtering để lọc ra những người chịu sự tác động của chính sách nhóm, còn đối với phương pháp này thì lại ngược lại, ta sẽ chỉ ra người nào không chịu sự tác động của chính sách. Thực ra phương pháp này rất đơn giản : Nhìn vào hình trên các bạn thấy mỗi tài khoản người dùng có 2 dạng cấp phép là “Allow” và “Deny”, nếu muốn người dùng có quyền gì ta sử dụng Allow còn ngược lại thì sử dụng Deny. Nếu ta muốn người dùng không chịu tác động của chính sách nhóm chỉ cần chọn Deny ở lựa chọn Apply Group Policy.
Để thêm vào các người dùng và bỏ quyền chịu sự tác động của chính sách nhóm ta nhấn vào nút Advanced tại thẻ Delegation.
2, Gán cấp phép cho người dùng đối với một GPO đã tồn tại
Một GPO chỉ có thể được chỉnh sửa và thay đổi bởi một trong những tài khoản người dùng sau :
- Thành viên của nhóm Domain Admins - Thành viên của nhóm Enterprise Admins - Người đã tạo ra GPO đó.
Mặc định là vậy, tuy nhiên ta có thể cấp phép cho một người dùng nào đấy không thuộc một trong ba dạng trên có thể thay đổi GPO bất kỳ.
Để thực hiện điều này, tại thẻ Delegation ta nhấn nút Add để thêm một người dùng vào, sẽ có một danh sách các quyền mà người dùng này được cung cấp :
Nhìn hình trên ta thấy trong danh sách này có 3 lựa chọn là : - Chỉ đọc
- Chỉnh sửa các thiết lập
- Chỉnh sửa các thiết lập, xoá, thay đổi bảo mật (Gần như toàn bộ quyền đối với một GPO).
3, Gán quyền tạo GPO trong miền cho người dùng
Ta biết rằng chỉ có tài khoản người dùng thuộc nhóm Group Policy Creators Owner mới có quyền tạo ra GPO, người dùng bình thường không thể tạo GPO
được. Tuy vậy trong GPMC chúng ta có thể gán quyền tạo GPO cho một người dùng bất kỳ.
Để thực hiện điều này, tại khung bên trái của GPMC ta chọn Group Policy Objects. Đây là nơi chứa tất cả các GPO của miền. Phần quản lý chi tiết xuất hiện ở khung bên phải, ta chọn thẻ Delegation, chọn Add để thêm vào tài khoản người dùng mà ta muốn cấp quyền tạo GPO. Bất kỳ người dùng nào xuất hiện trong danh sách này đều có quyền tạo GPO :
4, Các cấp phép đặc biệt đối với Group Policy
Ở cấp độ miền và OU chúng ta có ba cấp phép đặc biệt. Để tìm hiểu về 3 cấp phép này ta sẽ lựa chọn một OU bất kỳ từ khung bên trái của GPMC, ta lấy OU Security làm ví dụ. Tại khung bên phải ta chọn thẻ Delegation, tại hộp thả dọc
Permission sẽ xuất hiện 3 cấp phép :
- Link GPOs : Đây là cấp phép duy nhất trong ba cấp phép có thể cấu hình ở cả ba mức site, miền và OU. Ở chương 2 ta có nói đến việc gán quyền điều khiển một OU cho một người dùng bằng công cụ “Active Directory Users and Computers”, “Link GPOs” trong GPMC chính là sự thay thế cho “Delegate Control”.
- Perform Group Policy Modeling analyses : Có cùng chức năng như “Delegation of Control” trong Active Directory Users and Computers khi gán cấp phép “Generate RSoP (Planning)”. Mặc định, chỉ có các thành viên của nhóm Domain Admins là có quyền thực hiện chức năng này, thành viên
nhóm Domain Admins cũng có thể cho phép người dùng khác quyền thực hiện chức năng này.
- Read Group Policy Results Data : Có cùng chức năng như “Delegation of Control” trong Active Directory Users and Computers khi gán cấp phép “Generate RSoP (Logging)”.
5, Cấp phép tạo và sử dụng các bộ lọc WMI
a, Cấp phép cho người dùng tạo bộ lọc WMI
Mặc định, chỉ có Domain Administrator có khả năng tạo bộ lọc WMI và Domain Administrator có khả năng cấp cho 1 số tài khoản đặc biệt quyền tạo bộ lọc WMI. Nếu bạn là Domain Administrator, để gán quyền tạo bộ lọc WMI cho một người dùng nào đó, đầu tiên chọn WMI Filters tại khung bên phải của GPMC, khung điều khiển xuất hiện bên phải, chọn thẻ Delegation, thêm người dùng vào bằng cách nhấn nút Add :
Ta thấy người dùng có hai lựa chọn để phân quyền :
- Creator owner : chỉ có thể tạo và sửa đổi bộ lọc do mình tạo ra.
- Full control : có thể tạo và sửa đổi cả các bộ lọc của người dùng khác. b, Cấp cho người dùng quyền sử dụng bộ lọc WMI
Giả sử ta đã có một bộ lọc tên là “Bo loc 1”, để gán quyền cho một người dùng nào đó sử dụng bộ lọc này, tại khung bên trái của GPMC chọn bộ lọc, khung bên phải sẽ xuất hiện chi tiết về người sử dụng bộ lọc tại thẻ Delegation. Muốn thêm người sử dụng vào ta nhấn vào nút Add :
- Edit : Có thể chỉnh sửa bộ lọc
- Full Control : Ngoài khả năng chỉnh sửa bộ lọc còn có thể xoá hay tác động đến bảo mật.