Group Policy là tập các thiết lập cấu hình cho computer và user. Xác định cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với người dùng và máy tính trong 1 tổ chức.
Group Policy chỉ áp dụng được với các máy Win2k/XP/WinS2k3/2k8. Các Group Policy chỉ có thể hiện hữu trên miền Active Directory (AD).
Các Group Policy thì được áp dụng lúc máy khách được khởi động, lúc máy khách đăng nhập, và vào những thời điểm ngẫu nhiên khác.
Các Group Policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bỏ khỏi miền AD.
Người quản trị mạng có được nhiều mức độ kiểm soát tinh vi hơn đối với vấn đề ai được hoặc không được nhận một Group Policy nào đó.
Group Policy chủ yếu chỉ được áp dụng cho các site, domain, và OU
(Organizational Unit). Gọi tắt là SDOU.
Trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại chỗ (Local Group Policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả. Các máy Windows XP Home thì không có Local Group Policy.
Các Group Policy dành cho SDOU được tạo ra dưới dạng các đối tượng chính sách nhóm (Group Policy Object - GPO)
Các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL.
81
GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 nằm trong thư mục:
%Windir%\System32\GroupPolicy.
Chương trình để tạo ra và/hoặc chỉnh sửa các GPO tên là Group Policy Object Editor, có dạng một console MMC tên là GPEDIT.MSC. Hoặc ta cũng có thể dùng nó dưới dạng một công cụ snap-in trong một console MMC khác.
- Ngăn chặn người dùng cài đặt các thiết bị
- Cho phép người dùng chỉ cài đặt các thiết bị trong danh sách “cho phép”. Nếu thiết bị nào đó không được liệt kê trong danh sách thì người dùng không thể cài đặt nó.
- Ngăn chặn người dùng cài đặt các thiết bị trong danh sách “ngăn cấm”. Nếu một thiết bị nào đó không có trong danh sách thì người dùng có thể cài đặt.
- Từ chối việc đọc và ghi của người dùng vào các thiết bị có thể tháo rời, hoặc sử dụng các thiết bị dễ cầm tay như ổ ghi CD, DVD, ổ đĩa mềm, ổ cứng mở rộng và các thiết bị cầm tay khác như điện thoại thông minh hoặc Pocket PC.
Việc giới hạn các thiết bị mà người dùng có thể cài đặt cho phép bạn có các lợi ích sau:
Giảm rủi ro việc mất trộm dữ liệu: nó làm khó khăn trong việc copy trái phép dữ liệu công ty nếu máy tính của người dùng không thể cài đặt thiết bị không được phép hỗ trợ cho các phương tiện có thể tháo rời. Ví dụ, nếu người dùng không thể cài đặt một ổ CD-R thì họ không thể ghi dữ liệu vào đĩa CD được. Lợi thế này tuy không thể loại trừ được những tên trộm dữ liệu song nó cũng tạo ra một hàng rào chắn đối với việc lấy dữ liệu trái phép. Bạn cũng có thể qiảm rủi ro trong việc mất trộm dữ liệu bằng cách sử dụng Group Policy để từ chối sự truy cập có thể ghi đối với người dùng thiết bị có thể tháo rời. Bạn có thể cho phép sự truy cập trên một nhóm cơ bản các thiết bị khi sử dụng Group Policy.
Giảm chi phí hỗ trợ: Bạn có thể bảo đảm rằng người dùng chỉ cài đặt các thiết bị mà bàn trợ giúp của bạn được đào tạo và được trang bị để hỗ trợ. Lợi thế này giảm chi phí hỗ trợ và sự lộn xộn.
82