2.4. Chính sách nhóm (group policy)
2.4.4. Một số thiết định cấu hình ngời dùng và cấu hình máy trong một GPO
Để xem và sửa đổi các thiết định cho một chính sách nhóm, từ cửa sổ hình 2.25, ta chọn GPO đó, rồi nhấn Edit để hiện ra cửa sổ nh hình 2.31.
Hình 2.31. Cửa sổ đặt các thiết định của một chính sách nhóm
Nh ta thấy trong hình trên, có hai đốt chính trong cấu trúc phân cấp bậc các thiết định của một chính sách nhóm là User Configuration và Computer Configuration. Cả hai đốt đó đều có những đốt con là: Software Settings, Windows Settings, và Administrative Settings. Sự khác biệt giữa hai đốt đó là: các chính sách đợc ấn định cho User Configuration sẽ áp dụng vào các
Configuration thì sẽ áp dụng cho cấu hình máy. Đối với cả User Configuration và Computer Configuration, mục Software Installation có thể đợc dùng để phát hành, phân phối, cập nhật, và thậm chí gỡ bỏ các ứng dụng ra khỏi máy trạm của ngời dùng nào đó (chơng 4 sẽ trình bày cách dùng chính sách nhóm
để cài đặt gói phần mềm). Riêng việc trình bày đầy đủ về các thiết định của chính sách nhóm cũng cần phải có một cuốn sách dài. Trong phạm vi của giáo trình này, chỉ có thể điểm qua một số thiết định chính.
2.4.4.1. Các thiết định bảo mật trong một chính sách nhóm
Phần lớn các thiết định bảo mật đợc tìm thấy trong trong mục Computer Configuration\Windows Settings\Security Settings. Sau đây là phần tóm tắt những nhóm thiết định chính trong Security Settings.
Account Policies: Chỉ định những hạn chế đối với mật khẩu, các chính sách khoá chặt tài khoản.
Local Policies: ấn định chế độ kiểm toán, cấp phát các quyền hạn ngời dùng và các thiết định bảo mật khác.
Event Log: Tập trung hoá các tuỳ chọn cấu hình dành cho tập tin ghi chÐp sù cè (event log).
Restricted Groups: áp đặt và kiểm soát các t cách thành viên nhóm đối víi mét sè nhãm, nh nhãm Administrator.
System Services: Triển khai hàng loạt các cấu hình dịch vụ và phòng ngừa các thay đổi.
File System: Tạo ra các khuôn mẫu bảo mật đối với các quyền truy cập trên các tập tin và th mục, nhằm bảo đảm rằng các tập tin và th mục đó có và giữ các quyền truy cập mà ta cần.
Public Key Policies: Quản lý các thiết định dành cho các công ty hay cơ
quan, bằng cách sử dụng một cơ sở hạ tầng khoá công khai.
2.4.4.2. Sử dụng chính sách nhóm để ấn định mật khẩu và chính sách khoá chặt tài khoản
Một chú ý quan trọng đối với các chính sách nhóm về mật khẩu và chính sách khoá chặt tài khoản là: chúng chỉ đợc áp dụng ở cấp miền. Các máy DC sẽ nhận đợc các thiết định của chúng từ các chính sách tài khoản cấp miền, và lờ đi những thiết định trong các chính sách đợc liên kết với các OU.
Các chính sách về ấn định mật khẩu đợc tìm thấy trong Computer Configuration\Windows Settings\Security Settings\ Account Policies\
Password Policy, nh phần bên phải của hình 2.32.
Hình 2.32. Các thiết định về mật khẩu
Nh trên ta thấy các thiết định về mật khẩu ban đầu cha đợc đặt (Not defined). Muốn đặt thiết định nào ta nhấn đúp chuột tại thiết định đó. ý nghĩa của chúng khi đợc áp dụng sau:
Enforce password history: Ta sẽ phải vào một số nguyên (ví dụ 5). Khi
đó, nếu ngời dùng có đổi mật khẩu mới, thì mật khẩu đó phải khác 5 mật khẩu
đã dùng gần đây nhất.
Maximum password age: ấn định thời gian tối đa để sử dụng một mật khẩu trớc khi hệ thống yêu cầu thay mật khẩu mới.
Minimum password age: ấn định thời gian tối thiểu mà một mật khẩu phải đợc dùng trớc khi ngời dùng đợc phép thay đổi nó.
Minimum password length: Qui định số lợng ký tự tối thiểu mà mật khẩu của ngời dùng cần chứa.
Passwords must meet the complexity requirements: MËt khÈu cã cÇn phải thoả mãn các yêu cầu đặt ra hay không.
Store passwords using reversible encryption for all users in the domain: Mật khẩu có đợc mã hoá với một giải thuật mã hoá cấp thấp hay không.
Các thiết định về chính sách khoá chặt tài khoản nằm trong Computer Configuration\Windows Settings\Security Settings\ Account Policies
\Account Lockout Policy, nh phần bên phải của hình 2.33.
Hình 2.33. Các thiết định về chính sách khoá chặt tài khoản
Các thiết định trên ban đầu cũng cha đợc đặt (Not defined). Muốn đặt thiết định nào ta cũng nhấn đúp chuột tại thiết định đó. ý nghĩa của chúng khi
đợc áp dụng sau:
Account lockout threshold: ấn định số lần ngời dùng có thể đăng nhập sai, khi vợt quá số này thì tài khoản sẽ bị khoá chặt.
Reset account lockout counter after: Ta sẽ phải vào một số nguyên để chỉ số phút (ví dụ 10). Khi đó, sau lần đăng nhập sai gần nhất (chẳng hạn đã
đăng nhập sai 3 lần), nếu thời gian đã vợt quá 10 phút, thì bộ đếm số lần đăng nhập sai sẽ đợc khởi động từ đầu (về 0).
Account lockout duration: Nếu lần đăng nhập sai vợt quá ngỡng cho phép, tài khoản sẽ bị khoá chặt, nhng không bị phong toả mãi nếu có đặt giá
trị này, và nó sẽ quyết định sau bao nhiêu phút thì tài khoản sẽ không bị khoá
nữa. Từ đó ngời dùng lại có thể cố gắng đăng nhập lại.