1. Giới thiệu các Nhóm Trong windows 2003 server
Một tập tin các tài khoản của người sử dụng được gọi là Group. Một người sử
dụng có thể là thành viên của nhiều hơn một nhóm.
Khi bổ sung thêm thành viên cho các nhóm cần lưu ý đến các bước sau:
- Khi một user là một thành viên của một group thì user đó sẽđược thừa hưởng các quyền mà group đó có được.
¾ Các nhóm trong Domain
Các nhóm chỉ được tạo trong domain controller và được lưu trong dịch vụ thư
mục Active Directory. Các nhóm đã được sử dụng để gán các quyền đến các tài nguyên và quyền quản trị hệ thống cho bất kỳ một máy tính nào trong một domain. Các nhóm trong domain cho phép quản trị tập trung trong domain.
¾ Các nhóm trong Workgroup
Các nhóm trong một Workgroup được tạo trên các máy tính, nó không có chức năng điều khiển domain. Các máy tính có thể là các Client chạy Windows Xp hoặc các member server được chạy windows 2003 server. Chúng được chứa trong Sercurity Account Manager (SAM) và đã được sử dụng để gán quyền đến các tài nguyên và quyền quản trị hệ thống trên máy tính, nơi mà ởđó các nhóm được tạo ra.
1.1 Các nhóm trong domain
Trong domain controller có các nhóm tạo sẵn, nó được tự động tạo ra trong quá trình cài đặt windows 2003. Các nhóm tạo sẵn được lưu trữ trong Active Directory User and Computer. Các nhóm tạo sẵn có phạm vi hoạt động là toàn cục. Windows 2003 hỗ trợ
3 nhóm dưới đây:
¾ Built-In Group: Các nhóm này có thể được sử dụng cho các user được xác
định trước về các quyền và các quyền để thực hiện các nhiệm vụ trên một domain controller và trên Active Directory. Điều này có thểđược tạo chỉ trên các domain controller. Các nhóm loại này không thể bị xoá.
¾ Special Identify Group: Các nhóm loại này tổ chức các user một cách tự
động. Người quản trị không thể bổ sung các user vào nhóm này. Thay vào đó một cách mặc định các user là các thành viên của nhóm này, hoặc trở thành thành viên trong khi thực hiện các nhiệm vụ trên mạng.
¾ Predefined Groups: Các nhóm loại này cung cấp cho người quản lý một cách
dễ dàng các điều khiển các user trong domain. Các nhóm này chỉ thuộc trong các domain controller. Chúng được lưu trữ trong folder user trong Active Directory Users and Computers.
Các nhóm cục bộ được tạo ra khi tạo các nhóm trong workgroup. Các nhóm cục bộ chỉ có thể được tạo ra trên các server thành viên hoặc trên các máy đang chạy với hệ điều hành windows XP. Có thể sử dụng các nhóm cục bộđể án định các quyền cho phép cho các nguồn tài nguyên chỉ trên các máy tính cục bộ. Các nhóm mặc định đã được tạo ra bởi windows 2003, đó là các nhóm có các quyền đặc biệt để thực hiện các nhiệm vụ hệ
thống trên các máy cục bộ. Các user có thểđược bổ sung đến các nhóm mặc định này một cách dễ dàng.
¾ Local Groups: Khi tạo các nhóm cục bộ phải biết người và các thành viên
của chúng sẽđược thực như thế nào. Nhóm cục bộđã được tạo trên các server thành viên đang chạy windows 2003 server hoặc windows 2003 Advanced Server hoặc trên các máy client đang chạy với windows XP.
Local group được sử dụng theo các nguyên tắc dưới đây:
Nhóm cục bộ không thể là một thành viên của một nhóm khác.
Nhóm cục bộ chỉ có thể chứa các user account cục bộ từ máy tính mà ởđó nhóm cục bộđã được tạo.
Chúng ta sử dụng các nhóm cục bộ để điều khiển việc truy xuất đến các nguồn tài nguyên trên máy cục bộ và cho việc thực hiện các nhiệm vụ hệ
thống của máy cục bộ.
Các nhóm cục bộ phải được thiết lập trên các máy tính không phải là một domain. Các nhóm cục bộ chỉ có thể được sử dụng trên các máy mà ở đó các nhóm cục bộđã được tạo ra. Bất lợi của việc tạo các nhóm cục bộ trên các domain máy tính đó là cái nó sẽ hạn chế chúng ta từ nhóm quản trị
trung tâm. Nhóm cục bộ sẽ không thấy trong Active Directory và do đó các nhóm cục bộ cần phải quản trị một cách riêng biệt.
¾ Built-In Groups: Khi chúng ta cài đặt Windows xp hoặc windows 2003
advanced server trên server thành viên, các nhóm này được tạo một cách tự động. Các nhóm này đã được định nghĩa trước một tập các quyền và các quyền. Các nhóm này đã được định nghĩa trước một tập các quyền và các quyền. Các nhóm này không thể xoá được. Thành lập các nhóm là:
Built-In local Groups: Trong nhóm này các thành viên có thể thực hiện các nhiệm vụ hệ thống như là việc thay đổi hệ thống thời gian, khôi phục các file, sao lưu các file và việc quản trị các nguồn tài nguyên hệ thống. Các nhóm này được lưu trữ trong nhóm folder ở local users and groups trong computer management.
Special Identities / Groups: Trong nhóm này các user được tổ chức một cách tự động. Thường thì người quản trị không thể sửa đổi các thành viên trong nhóm. Các user là các thành viên mặc định của nhóm này hoặc trở
thành các thành viên trong suôt quá trình mạng hoạt động. Theo mặc định Windows 2003 chứa các nhóm đặc biệt này.
2. Chính Sách Nhóm
Tổng chi phí cho việc sở hữu, được xem như là TCO: Total Cost of Ownership, là một chi phí mà nó bao gồm việc thực hiện phân phối máy dành riêng trên mạng. Chúng ta có thể giảm bớt TCO mạng của chúng ta bằng việc sử dụng chính sách nhóm trong Microsoft windows 2003. Chính sách nhóm là một công nghệ mà nó cho phép người quản trịđể quản lý các môi trường desktop qua một mạng windows 2003. Việc quản lý desktop thông qua các chính sách nhóm được thực hiện bằng việc áp dụng các thiết lập cấu hình computer và các user account. Các thiết lập chính sách nhóm tập trung ở các đối tượng chính sách nhóm (GPO: Group Policy Object). Các chính sách nhóm cho phép người quản trị để thiết lập một yêu cầu cho một user hoặc một computer. Yêu cầu có thể sau đó sẽđược đem thực hiện liên tục. Chúng ta có thể sử dụng snap-in group policy và phần mở
rộng của nó trong MMC để mặc định nghĩa thiết lập chính sách nhóm. Các chính sách nhóm mở rộng:
¾ Administrative Templates: Dựa trên Registry: Cấu hình xuất hiện desktop, thiết lập ứng dụng và chạy các dịch vụ của hệ thống.
¾ Folder Redirection: Lưu trữ các folder của user trên mạng.
¾ Scripts: Tạo các scripts mà nó có thể được sử dụng khi một user logon hoặc logoff, khi một computer khởi động hoặc tắt máy.
¾ Security: Tuỳ chọn này cung cấp cho máy cục bộ, domain và các thiết lập an toàn mạng
¾ Software Installation: Chủ yếu quản lý việc cài đặt phần mềm, cập nhật và xoá bỏ.
Trong Windows 2003, các thiết lập chính sách nhóm là hầu như được lưu trữ
trong một đối tượng chính sách nhóm (GPO). Do đó, chúng ta tạo GPO và sau đó thiết lập nó để chứa các thiết lập chính sách nhóm. GPO là một bộ lưu trữảo định vị cho các thiết lập chính sách nhóm. Một GPO bao gồm một tập các thiết lập mà nó ảnh hưởng riêng của các user và các computer. Mỗi GPO sẽ có một cấu hình khác nhau và sẽ có các ảnh hưởng riêng khác nhau cho đối với các user và các conputer. Nội dung của một GPO được lưu trữ trong 2 vị trí khác nhau:
¾ Group Policy Containers (GPC) ¾ Group Policy Templates (GPT)
2.1 Các Group Policy Containers (GPC)
Group policy Container là một đối tượng Active Directory. Nó chứa các thuộc tính của GPO và bao gồm các container con cho thông tin chính sách nhóm về các user và các computer. GPC bao gồm các thông tin dưới đây:
¾ Danh sách các component: chứa một danh sách các chính sách nhóm mở
rộng được sử dụng trong GPO
¾ Thông tin các trạng thái: Cho biết một GPO có thể hay không có thểđược thực hiện.
¾ Thông tin Version: Đảm bảo rằng thông tin trong GPC xảy ra đồng thời với thông tin ở trong GPT.
2.2 Các Group Policy Template (GPT)
Các Group Template là các folder vật lý mà nó được tạo ra khi chúng ta tạo một
đối tượng chính sách nhóm. GPT là một folder có thứ tự trong foder sysvol ở trên các domain controller. Đây là một đối tượng chưa tất cả thông tin chính sách nhóm trên các template quản trị, các script, cài đặt phần mềm, việc nhân bản folder.
Khi chúng tạo ra một GPO, windows 2003 tạo một folder GPT có thứ tự. Folder là một tên sau khi GUID (globally unique identifier) của GPO chúng ta được tạo. Một directory
được tạo với tên DNS của domain, dưới directory sysvol. Một directory khác có tên là Policies được tạo dưới directory domain. Dưới directory policies này một thư mục được tạo với GUID của GPO như là tên của một thư mục
3. Ứng dụng các chính sách nhóm
Bước quan trọng trong quá trình cài đặt chính sách nhóm nhóm là phải hiểu cách thừa kế và thứ tự thực hiện của các đối tượng chính sách nhóm. Khi chúng ta ứng dụng một đối tượng chính sách nhóm đến một đối tượng chứa, nó được thừa kế trong suốt các cấp bậc của hệ thống. Đây là một cách thừa kế của Active Directory trong việc đơn giản hoá các nhiệm vụ quản trị. Chúng ta có thể kết hợp đối tượng chứa Active Directory với một GPO trong quá trình tạo nó. Đối tượng chứa có thể là một site, domain hoặc một OU. Việc thiết lập chính sách nhóm trong một GPO sẽảnh hưởng các đối tượng trong một đối tượng chứa.
Việc thiết lập chính sách sẽđược thừa kế theo thứ tự sau:
¾ Site
¾ Domain
¾ OU
Theo mặc định. Windows 2003 ước lượng các đối tượng chính sách nhóm từ đối tượng chứa xa nhất của một đối tượng. Cái mà nó được áp dụng trong việc thiết lập một site, domain và sau cùng là một OU. Việc thiết lập chính sách của một OU đến computer hoặc user thuộc về nó, sẽ thiết lập sau cùng đó là điều sẽ được áp dụng cho user hoặc computer. Do đó, một thiết lập chính sách nhóm trong đối tượng chưa Active Directory
đến user hoặc computer là mâu thuẫn quan trọng của việc thiết lập chính sách nhóm trong một đối tượng chứa đó là cái ở xa nhất kể từ user hoặc computer.
Thiết lập chính sách nhóm có thểđược thiết lập cho các OU cha và OU con. Trong một số
trường hợp, khả năng tương thích giữa các thiết lập xác định đó là thiết lập sẽ được áp dụng. Nếu cả hai thiết thiết lập là tương thích thì sau đó các thiết lập từ cả OU cha và OU con sẽ được áp dụng trên các đối tượng của OU con. Tuy nhiên, nếu chúng không tương
thích thì sau đó OU con sẽ không thừa kế các thiết lập của OU cha. Vì thế các thiết lập của OU con sẽ được áp dụng trên các đối tượng của OU con. Trong trường hợp này, các thiết lập chính sách nhóm đã được thiết kế trên OU cha và không ở trên OU con thì sau đó các đối tượng của OU con sẽ thừa kế các thiết lập của OU cha.
Các quy tắc thừa kế mặc định trong windows 2003 có thểđược sửa đổi. Chúng ta cũng có thể sửa đổi các quy tắc thừa kế cho các GPO riêng lẻ. Hai tuỳ chọn đã được cung cấp cho việc thay đổi quá trình mặc định:
¾ Block Inheritance: Chúng ta có thể sử dụng tuỳ chọn này đến khối của một
đối tượng chứa con từ việc thừa kế các thiết lập của đối tượng chứa cha. Nó
đã được sử dụng khi một OU cần phải thiết lập chính sách duy nhất. Khối thừa kế được áp dụng đến tất cả các đối tượng chính sách nhóm trong đối tượng chứa cha. Trong trường hợp mâu thuẫn, tuỳ chọn No Override luôn đặt quyền
ưu tiên lên tùy chọn này.
¾ No Override: Chúng ta có thể sử dụng tuỳ chọn này để ngăn cản một OU con
từ việc đè lên các thiết lập một GPO với mức độ cao nhất. Tuỳ chọn này là một tập lên các GPO. Đây là điều có thể trong việc thiết lập tuỳ chọn này trên một hay nhiều hơn một GPO. Trong một số trường hợp, GPO với tuỳ chọn No Override, cấp bậc cao nhất trong Active Directory sẽ đặt quyền ưu tiên lên trên các GPO khác.
Một GPO là được kết hợp với một site ảnh hưởng đến tất cả các computer trong site, bất luận các domain thuộc về chúng. Tuy nhiên, GPO đã được lưu trữ chỉ trong một domain controller trong một site. Tất cả các computer phải tiếp xúc với domain controller
đó là cái đã chứa GPO cho các thiết lập chính sách. Từ khi đó, site có thể chứa nhiều domain, các domain này có thể chứa nhiều domain, các domain này có thể thừa kế GPO
đã được kết hợp với site.
4. Cấu hình các chính sách nhóm
Các thiết lập chính sách nhóm trong một GPO có thểđược cấu hình bằng cách sử
dụng snap-in Group Policy mở rộng trong MMC. Các mở rộng chính sách nhóm bao gồm các thiết lập cho:
¾ Administrative Templates ¾ Folder Redirection
¾ Scripts ¾ Security
¾ Remote Installation Servies ¾ Software Installation
Để mở một GPO ta làm như sau: Mở Active Directory Users and Computer / Active Directory Sites and Services từ menu administrative tools. Nhấp phải vào container hay OU, Nhấp propertices, Nhấp vào tab Group Policy, Chọn GPO mà chúng ta muốn, nhấp New nếu chưa có GPO và nhấp Edit
Thiết lập chính sách nhóm GPO được phân thành: Computer Configuration và
User Configuration.
4.1 Computer Configuration - Cấu hình máy tính
Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ
ý hoặc bắt tuân theo các chính sách bảo mật trên các máy tính. Đây là các thiết lập đã
được áp dụng khi khởi tạo hệ điều hành. Các thiết lập cấu hình máy tính bao gồm tất cả
¾ Software Setting o Software Installation ¾ Windows settings o Scripts(Startup/Shutdown) o Security Settings Account Policies Local Policy Event log Restricted Groups System Services Registry File system ¾ Administrative Templates o Windows Components o System o Network o Printer
4.2 User Configuration - Cấu hình người sử dụng
Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật của người sử dụng. Các thiết lập người sử dụng
đã được áp dụng khi người sử dụng đăng nhập vào máy tính. Các thiết lập cấu hình người sử dụng bao gồm tất cả các liên kết chính sách người sử dụng được chỉ rõ dưới đây:
¾ Software Settings
o Software Installation ¾ Windows Settings
o Remote Installation Services
o Scripts(logon/logoff)
o Security Setting
o Folder Redirection
o Internet Explorer maintenance ¾ Administrative Templates
o Windows Components
o Start Menu and takbar
o Desktop
o Shared Folder
o Network
o System
Bên trong các folder, subfolder và các chính sách không giống nhau tuỳ theo từng trường hợp chúng ta chọn cấu hình máy tính hay cấu hình người sử dụng. Điều khiển chính sách nhóm nên tập trung vào cùng một domain controller. Do đó, bằng cách mặc
định. Việc điều hành chính sách tập trung trong primary domain controller. Tuy nhiên, nếu domain controller với vai trò điều hành chính sách là PDC là không có hiệu lực, khi
đó một thông báo lỗi được xuất hiện. Mặc dù, chúng ta sẽ được cho phép để chọn một domain controller khác. Chúng ta có thể lấy dữ liệu khi nhiều người quản trị đang sửa đổi trên cùng một GPO. Trong trường hợp này, thay đổi cuối cùng sẽ ghi đè lên thay đổi trước đó khi hoàn thành một GPO. Thông báo lỗi sẽ nhắc nhở khi ghi đè. Chúng ta nên chọn mục này chỉ khi chúng ta đã chắc chắn điều đó.
¾ Một GPO không được thay đổi bởi bất kỳ người nào
¾ Các GPO và các file kết hợp đã được thay thế một cách hoàn toàn sau thay đổi