3. Để thực hiện đợc điều này, thành viên của nhóm hoặc phải có quyền đăng nhập tại chỗ trên Server này, hoặc phải có quyền truy cập vào công cụ Active Directory Users and
2.4.2. Các khái niệm về chính sách nhóm
Các quản trị viên định cấu hình và triển khai các chính sách nhóm bằng cách xây dựng các đối tợng chính sách nhóm (Group Policy Object – GPO). Các GPO là các khoang chứa dành cho tập hợp các thiết định về quản trị và bảo mật, có thể đợc áp dụng cho các tài khoản ngời dùng và tài khoản máy trên mạng.
Có hai mục chính trong một GPO là Computer configuration và User configuration. Các chính sách thuộc Computer configuration dùng để kiểm soát các thiết định đặc trng cho máy, nên đợc áp dụng vào lúc khởi động máy và sau những khoảng thời gian định sẵn đợc làm tơi. Các chính sách thuộc User configuration dùng để kiểm soát các thiết định đặc trng cho ngời dùng, nên đợc áp dụng cho các môi trờng làm việc của ngời dùng vào lúc đăng nhập và cũng sau những khoảng thời gian định sẵn đợc làm tơi.
Trái ngợc với cái tên của chúng, các chính sách nhóm lại không đợc áp dụng một cách trực tiếp cho các nhóm hoặc ngời dùng, mà chỉ có thể áp dụng cho các địa bàn (site), các miền (domain), và các OU (Microsoft viết tắt chúng là SDOU).
Sự áp dụng một GPO cho một SDOU đợc gọi là sự liên kết (linking). Mối quan hệ giữa GPO và SDOU có thể là từ nhiều đến một hoặc là một đến nhiều, tức là có thể nhiều GPO cùng liên kết với một SDOU hoặc một GPO liên kết với nhiều SDOU.
Chỉ những ngời sử dụng, các nhóm và các tài khoản máy, trong các SDOU liên kết với một GPO, mới có thể áp dụng đợc GPO này.
•Các chính sách nhóm đợc thừa kế và tích luỹ: Các thiết định của chính sách nhóm áp dụng cho một cấp trong AD đợc tích luỹ và thừa kế từ các cấp bên trên. Ví dụ, miền KHOATIN.LOCAL có vài GPO khác nhau. Có một GPO ở cấp miền, để ấn định những chính sách về hạn chế về mật khẩu, cách phong toả tài khoản, và các thiết định bảo mật thông thờng. Mỗi OU cũng có một GPO, để triển khai và duy trì các ứng dụng máy trạm thông thờng, và các hạn chế của máy trạm. Khi đó các ngời dùng và máy mà vừa ở trong miền vừa ở trong OU sẽ nhận đợc các thiết định từ cả chính sách cấp miền lẫn chính sách cấp OU. Nh vậy một số chính sách có tính bao trùm, có thể đợc áp dụng cho toàn bộ miền, trong khi các chính sách khác lại đợc áp dụng riêng căn cứ theo OU.
•Thứ tự áp dụng chính sách nhóm: Các chính sách đợc áp dụng theo thứ tự: chính sách địa bàn, chính sách miền, chính sách OU, rồi đến các OU
bên trong OU. Nh vậy các chính sách ở mức bên trong sẽ đợc u tiên hơn các chính sách ở mức bên ngoài.
•Các tuỳ chọn No Override và Block Policy inheritance: Các tuỳ chọn này có trong GPO, dùng để lọc chặn các chính sách nhóm. Nếu chọn Block Policy inheritance thì sẽ ngăn không cho các chính sách cấp cao hơn lan truyền xuống. Nhng nếu GPO ở cấp cao hơn chọn No Override thì các chính sách của nó vẫn đợc lan truyền xuống các cấp thấp hơn, cho dù các cấp thấp hơn có chọn Block Policy Inheritance.