Các thiết lập chính sách nhóm trong một GPO có thể được cấu hình bằng cách sử dụng snap-in Group Policy mở rộng trong MMC. Các mở rộng chính sách nhóm bao gồm các thiết lập cho:
- Administrative Templates - Folder Redirection
- Scripts - Security
- Remote Installation Servies - Software Installation
Để mở một GPO ta làm như sau: Mở Active Directory Users and Computer / Active Directory Sites and Services từ menu administrative tools. Nhấp phải vào container hay OU, Nhấp propertices, Nhấp vào tab Group Policy, Chọn GPO mà chúng ta muốn, nhấp New nếu chưa có GPO và nhấp Edit
Thiết lập chính sách nhóm GPO được phân thành: Computer Configuration và User Configuration.
* Computer Configuration - Cấu hình máy tính:
Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật trên các máy tính. Đây là các thiết lập đã được áp dụng khi khởi tạo hệ điều hành. Các thiết lập cấu hình máy tính bao gồm tất cả các liên kết chính sách được chỉ rõ dưới đây:
- Software Setting + Software Installation - Windows settings + Scripts(Startup/Shutdown) + Security Settings o Account Policies o Local Policy o Event log o Restricted Groups o System Services o Registry o File system
- Administrative Templates + Windows Components + System
+ Network + Printer
* User Configuration - Cấu hình người sử dụng:
Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật của người sử dụng. Các thiết lập người sử dụng đã được áp dụng khi người sử dụng đăng nhập vào máy tính. Các thiết lập cấu hình người sử dụng bao gồm tất cả các liên kết chính sách người sử dụng được chỉ rõ dưới đây:
- Software Settings
+ Software Installation - Windows Settings
+ Remote Installation Services + Scripts(logon/logoff)
+ Security Setting + Folder Redirection
+ Internet Explorer maintenance - Administrative Templates
+ Windows Components + Start Menu and takbar + Desktop
+ Control panel + Shared Folder + Network + System
Bên trong các folder, subfolder và các chính sách không giống nhau tuỳ theo từng trường hợp chúng ta chọn cấu hình máy tính hay cấu hình người sử dụng. Điều khiển chính sách nhóm nên tập chung vào cùng một domain controller. Do đó, bằng cách mặc định. Việc điều hành chính sách tập chung trong primary domain controller. Tuy nhiên, nếu domain controller với vai trò điều hành chính sách là PDC là không có hiệu lực, khi đó một thông báo lỗi được xuất hiện. Mặc dù, chúng ta sẽ được cho phép để chọn một domain controller khác. Chúng ta có thể lấy dữ liệu khi nhiều người quản trị đang sửa đổi trên cùng một GPO. Trong
trường hợp này, thay đổi cuối cùng sẽ ghi đè lên thay đổi trước đó khi hoàn thành một GPO. Thông báo lỗi sẽ nhắc nhở khi ghi đè. Chúng ta nên chọn mục này chỉ khi chúng ta đã chắc chắn điều đó.
- Một GPO không được thay đổi bởi bất kỳ người nào
- Các GPO và các file kết hợp đã được thay thế một cách hoàn toàn sau thay đổi cuối cùng
* Các thiết lập Administrative Template:
Administrative Template chứa các đăng ký dựa trên các thiết lập chính sách nhóm. Trong registry edit, các thiết lập chính sách nhóm giành riêng cho người sử dụng được ghi ở HKEY_CURRENT_USER\Software\Policies. Tương tự, các thiết lập chính sách nhóm giành riêng cho máy tính được ghi ở HKEY_CURRENT_MACHINE\ software\ policies.
* Các thiết lập kịch bản (Script):
Windows 2008 cho phép các script được ghi trong cả computer và users. Đối với computers, chúng ta có thể để ấn định script thực hiện trong suốt quá trình cả quá trình khởi động và tắt máy.
Đối với users, chúng ta có thể án định các script thực hiện trong xuốt qúa trình đăng nhập và đăng xuất. Chúng ta có thểấn định các script đăng nhập / đăng xuất thông qua trang properties của user account. Tuy nhiên việc gán script thông qua chính sách nhóm là phương pháp được ưu tiên hơn. Chúng ta có thể ấn định nhiều script đến một user hoặc một computer.
Trong windows 2008, các scipt được thực hiện theo các mục sau:
- Trong trường hợp nhiều script, các script đã là một quá trình theo thứ tự từ trên xuống dưới trong trường hợp này chúng đã là một danh sách trong hộp thoại properties.
- Windows 2008 thực hiện các script đăng xuất trước khi thực hiện các script tắt máy.
- Giá trị thời gian mặc định tối đa cho việc thực hiện các script là 10 phút. Tuy nhiên, chúng ta có thể thay đổi giá trị này bằng cách thay đổi thời gian chờ trong computer configuration \ Administrative Templates \ System\ Logon\ Maximum
* Các thiết lập an toàn (Security):
Chúng ta có thể thiết lập và cho hiệu lực an toàn trong mạng của chung ta bằng cách sử dụng các thiết lập an toàn chính sách nhóm. Chúng ta sử dụng các
thiết lập an toàn mở rộng trong chính sách nhóm để định rõ các thiết lập an toàn. Các khoản trong các thiết lập an toàn mở rộng đã được thảo luận ở bên dưới
- Account Policies: Chính sách tài khoản cho một domain xác định. + Thiết lập Password
+ Thiết lập giao thức Kerberos + Các chính sách khoá Account
- Event Log: Chúng ta có thể cấu hình các tham số như kích thước. Truy xuất và việc sở hữu cho các ứng dụng, hệ thống và an toàn với thiết lập event log. - File System: Các thiết lập hệ thống file cho phép chúng ta cấu hình an toàn trên các đường dẫn file riêng biệt.
- IP Security Policies on Active Directory: Chúng ta có thể cấu hình các giao thức an toàn trên mạng interner khi sử dụng chính sách IP sercurity.
- Local Policies: Các thiết lập chính sách cục bộ có thể được sử dụng cấu hình các chính sách kiểm toán, việc cấp các quyền và cho phép đối với người sử dụng và thiết lập các mục an toàn khác cần thiết để cấu hình cục bộ. Các thiết lập chính sách này là cục bộ đến các máy tính.
- Public Key Policies: Các chính sách khoá công khai có thể được cấu hình hoặc là User configuration hoặc security settings. Chúng ta có thể sử dụng các chính sách khoá công khai trong thiết lập an toàn để cấu hình các domain gốc, giao phó các quyền lực và việc khôi phục lại mã hoá dữ liệu.
- Registry: Chúng ta có thể sử dụng thiết lập registry để cấu hình an toàn các registry key.
- Restricted Group: Các chính sách hạn chế nhóm có thể được sử dụng để quản lý các thành viên của các nhóm tạo sẵn và các nhóm domain. Các nhóm tạo sẵn là administrators, Power Users và domain admins. Chúng ta có thể bổ sung các nhóm khác nhau đến nhóm restricted, song song với các thành viên chi tiết của chúng. Để làm được như thế, cho phép chúng ta theo dõi và quản lý các nhóm này như là một phần của chính sách an toàn. Nhóm restricted quản lý các thành viên của các nhóm được tạo sẵn và cũng như các thành viên của các nhóm này. Cột members Of trong tab Properties của một nhóm, danh sách tất cả các nhóm để nhóm này là một thành viên.
- System Services: Chúng ta có thể sử dụng các dịch vụ nhóm hệ thống của việc thiết lập đến các thiết lập cấu hình an toàn và khởi động đối với các dịch vụ đang hoạt động trên một máy tính. Các dịch vụ khác nhau này có thể được cấu hình như:
+ Dịch vụ mạng
+ Dịch vụ File và Print + Dịch vụ Telephony và Fax + Dịch vụ Internet / Intranet