Mục tiêu: Trình bày cách thức để xem chính sách cục bộ của một máy tính ở xa, tạo và áp dụng các chính sách trên miền.
Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đối tượng chính sách (GPO). Các GPO là một vật chứa (container) có thể chứa nhiều chính sách áp dụng cho nhiều người, nhiều máy tính hay toàn bộ hệ thống mạng. Người quản trị có thể dùng Group Policy Object Editor để tạo ra các đối tượng chính sách. Trong cửa sổ chính của Group Policy Object Editor (hình 5.1) có hai mục chính: cấu hình máy tính (computer configuration) và cấu hình người dùng (user configuration).
63
Active Directory. Ví dụ các người dùng và máy tính vừa ở trong miền vừa ở trong OU nên sẽ nhận được các cấu hình từ cả hai chính sách cấp miền lẫn chính sách cấp OU. Các chính sách nhóm sau 90 phút sẽ được “làm tươi” và áp dụng một lần, nhưng các chính nhóm trên các Domain Controller được “làm tươi” 5 phút một lần. Các GPO hoạt động được không chỉ nhờ chỉnh sửa các thông tin trong Registry mà còn nhờ các thư viện liên kết động (DLL) làm phần mở rộng đặt tại các máy trạm. Chú ý nếu dùng chính sách nhóm thì chính sách nhóm tại chỗ trên máy cục bộ sẽ xử lý trước các chính sách dành cho site, miền hoặc OU.
2.1. Xem chính sách cục bộ của một máy tính ở xa
Để xem một chính sách cục bộ trên các máy tính khác trong miền, người xem phải có quyền quản trị trên máy đó hoặc quản trị miền. Lúc đó, có thể dùng lệnh GPEDIT.MSC /gpcomputer:machinename; ví dụ khi muốn xem chính sách trên máy PC01, gõ lệnh GPEDIT.MSC /gpcomputer: PC01. Chú ý: không thể dùng cách này để thiết lập các chính sách nhóm ở máy tính ở xa (do tính chất bảo mật Microsoft không cho phép người dùng ở xa thiết lập các chính sách nhóm).
2.2. Tạo các chính sách trên miền
Chúng ta dùng snap-in Group Policy trong Active Directory User and Computer hoặc gọi trực tiếp tiện ích Group Policy Object Editor từ dòng lệnh trên máy Domain Controller để tạo ra các chính sách nhóm cho miền. Nếu mở Group Policy từ Active Directory User and Computer, trong khung cửa sổ chính của chương trình, nhấp chuột phải vào biểu tượng tên miền (ví dụ: danavtc.edu), chọn Properties. Trong hộp thoại xuất hiện, chọn Tab Group Policy.
Hình 5.2 – Cửa sổ thuộc tính với chính sách mặc định
Nếu chưa tạo ra một chính sách nào thì cửa sổ chỉ hiển thị một chính sách tên Default Domain Policy (xem hình 5.2). Cuối hộp thoại có một checkbox tên Block Policy inheritance, chức năng của mục này là ngăn chặn các thiết định của mọi chính sách bất kỳ ở cấp cao hơn lan truyền xuống đến cấp đang xét. Chú ý rằng chính sách
được áp dụng đầu tiên ở cấp site, sau đó đến cấp miền và cuối cùng là cấp OU. Chọn chính sách Default Domain Policy và nhấp chuột vào nút Option để cấu hình các lựa chọn việc áp dụng chính sách. Trong hộp thoại Options (hình 5.3), nếu đánh dấu vào mục No Override thì các chính sách khác được áp dụng ở dòng dưới sẽ không phủ quyết được những thiết định của chính sách này, cho dù chính sách đó không đánh dấu vào mục Block Policy inheritance. Tiếp theo, nếu đánh dấu vào mục Disabled thì chính sách này sẽ không hoạt động ở cấp này; việc disabled chính sách ở một cấp không làm disabled bản thân đối tượng chính sách.
Hình 5.3 – Hộp thoại cấu hình các lựa chọn việc áp dụng chính sách
Để tạo ra một chính sách mới, nhấp chuột vào nút New, sau đó nhập tên của chính sách mới. Để khai báo thêm thông tin cho chính sách này, nhấp chuột vào nút Properties, hộp thoại xuất hiện có nhiều Tab, vào Tab Links để chỉ ra các site, domain hoặc OU nào liên kết với chính sách. Tab Security như hình 5.4 cho phép cấp quyền cho người dùng hoặc nhóm người dùng trên chính sách này.
Hình 5.4 – Cấp quyền cho người dùng hoặc nhóm người dùng
Trong hộp thoại chính của Group Policy thì các chính sách được áp dụng từ dưới lên trên, cho nên chính sách nằm trên cùng sẽ được áp dụng cuối cùng. Do đó, các GPO càng nằm trên cao trong danh sách thì càng có độ ưu tiên cao hơn, nếu chúng
65
Hình 5.5 – Thứ tự các chính sách
Nút Edit cho phép thiết lập các thiết định cho chính sách này; Dựa trên các khả năng của Group Policy, có thể thiết lập các thiết định theo yêu cầu.