Group Policy ObjectGroup Policy GP trên Windows Server 2008 cho phép định nghĩa cấu hình trên các nhóm user và computer của hệ thống mạng.Chúng ta có thể sử dụng GP để tạo ra các chính s
Trang 1Đề tài: Trình bày các tác vụ quản lý Domain với Windows Server 2008
Nhóm 03 – Lớp 10B4 Nguyễn Cao Tú
Bùi Chương Đức Công Hoàng Gia Linh
Trang 2Đặt vấn đề
Thử hình dung chúng ta có 5 chiếc máy tính, với mỗi máy tính
sẽ cần 1 User Account để truy cập sử dụng Với mỗi máy ta cần một tài khoản để nhân viên truy cập, và người quản trị cần phải thao tác, phân quyền, cấu hình chính sách của từng máy riêng biệt Hãy hình dung nếu chúng ta có 100 máy cần kết nối thì điều gì sẽ xảy ra ?
Windows Server 2008 có tính năng Domain Controller (DC) để khắc phục những khó khăn trên Người quản trị chỉ cần thao tác trên 1 máy server, các nhân viên sẽ là Client kết nối với server để thao tác.
Trang 4Group Policy Object
Group Policy (GP) trên Windows Server 2008 cho phép định nghĩa cấu hình trên các nhóm user và computer của hệ thống mạng.Chúng ta có thể sử dụng GP để tạo ra các chính sách và áp dụng cho các đối tượng trong Active Directory như site,domain và OU
Những thiết lập trên GP được tổ chức lưu trữ trong các Group Policy Object
(GPO) Để tương tác với một GPO , sử dụng công cụ Group Policy Management
Console (GPMC) GPMC còn giúp bạn liên kết một GPO đến một trong các đối tượng site,domain hoặc OU ,để từ đó áp dụng các chính sách lên các nhóm user và computer thuộc về đối tượng đó.Lưu ý rằng một OU là đối tượng ở mức thấp nhất để bạn có thể gán GPO
Trang 5Tạo Group Policy Object
Để tạo một GPO độc lập vào Start
Administrative Tools Group Policy
Management
Tại cửa sổ GMPC,nhấp chuột phải lên mục
Group Policy Objects và chọn New
Tại bảng Name GPO nhập tên GPO và
chọn OK.
Tại bảng Group Policy Management
Editor ,chọn Polices cần cấu hình của
Computer hoặc user
Click chuột đến mục Password Policy trong
Computer Configuration Polices
Windows Settings Security Settings
Account Policy Password Policy
Trang 6Liên kết Group Policy Object
Sau khi tạo các GPO độc lập,bạn cần thực hiện thao tác liên kế GPO này vào các loại đối tượng trên Active Directory là site,domain hay OU
Vào Server Manager Roles Active
Directory Domain Services Active
Directory Users and Computers.Nhấp chuột
phải vào tên domain và chọn New
Trong bảng Select GPO chọn tên domain ở
mục Look in this domain.Đồng thời chọn
GPO tương ứng ở mục Group Policy objects
Trang 7Tạo GPO liên kết
Vào Start Administrative Tools
Group Policy Management
Tại GPM ,nhấp chuột phải vào GPO và
chọn Create a GPO in this domain,and
Link it here
Thay vì tạo các GPO độc lập,sau đó tiến hành liên kết , có thể kết hợp hai công việc này vào một để tạo ra một GPO liên kết (linked GPO).Tuy nhiên , chỉ nên tạo trực tiếp GPO liên kết khi đã có kinh nghiệm triển khai GPO và am hiểu về hệ thống của mình
Trang 8WMI Filter
WMI (Windows Management Instrumentation) Filter : Là các bộ lọc để cho phép thực thi các đối tượng trong chính sách nhóm (GPO) đã được định nghĩa Khi một GPO được liên kết (linked) tới bộ lọc WMI để áp dụng cho một số máy tính
Ví dụ: Nếu muốn triển khai office trên máy client (khách hàng) nhưng chỉ triển khai
với các máy có dung lượng ổ đĩa lớn hơn 15GB, hay máy đó phải sử dụng HĐH Windows 7, không áp dụng cho các máy chạy Windows server 2003 Khi đó chúng
ta cần sử dụng tới WMI Filter
Trang 9Tạo một VMI Filter
Ví dụ: Tạo 1 Filter áp dụng cho GPO “GiamDoc” kiểm tra xem hệ điều hành máy
tính có phải là Windows XP Professional
Tại Server Manager Chọn Feature Chọn Group Policy Manager Click chọn
Domain (nhom03.net) Chọn WMI Filter Click chột phải chọn NEW
Trang 10Tạo một VMI Filter
Để có thể làm được phần này
chúng ta cần có kiến thức về
WMI, Microsoft's Win32_Classes
hay các ngôn ngữ truy vấn của
Windows (Windows Query
Language)
Click chọn nút Add tại hộp thoại
New WMI Filter Tại ô Queery
nhập vào truy vấn cần thực hiện
VD: Select * from
Win32_OperatingSystem where
Caption = " Microsoft Windows
XP Professional
Trang 11Liên kết GPO vào WMI Filter.
Click đúp chuột trái vào
WMI Filter vừa tạo, hoặc
click vào WMI Filter chọn
WMI Filter vừa tạo được ở
trên (Check Windows XP)
Hộp thoại “Select GPO”
được mở ra, chọn các GPO
mà bạn muốn áp dụng bộ
lọc “Check Windows XP”
Trang 12Tạo và liên kết với WMI Filter
Trang 13Sao lưu và khôi phục WMI Filter
WMI cho phép bạn Import (thêm
vào) và Export (Xuất ra) để có thể sử
dụng WMI được nhiều lần và ở nhiều
hệ thống khác nhau
Với việc Restore WMI FILTER thì
chỉ cần nhấn phải chuột vào WMI
Filter chọn Import và tìm tới file đã
Export trước đó
Trang 14
Kiểm tra GPO đã được áp dụng
Cách dễ nhất là sử dụng Resultant Set of Policy Management Console Các bạn vào
Run và gõ rsop.msc
Trang 15Kiểm tra GPO đã được áp dụng
Một popup hiện ra
thông báo rằng quá
trình tìm kiếm đang
thực hiện
Trang 16Kiểm tra GPO đã được áp dụng
Và sau đó những gì
thiết lập trong GP
sẽ hiện ra
Trang 17Kiểm tra GPO bằng cách dùng command
Vào Run gõ CMD rồi nhấn enter
Gõ tiếp
" gpresult /Scope User /v "
rồi nhấn enter Kéo xuống bạn sẽ
thấy Resultant Set Of Policies for
User section
Nếu bạn muốn tìm tất cả thiết lập
thì bạn gõ " gpresult /Scope
Computer /v“
Trang 18Starter GPOS
Starter GPOs là một thành phần trên GMPC,cho phép bạn quản lý các
template dùng để tạo ra các GPO
Để tạo một Starter GPO.Vào Start
Administrative Tools Group Policy Management.
Tiếp theo,nhấp chuột phải lên Starter
GPO vừa tạo và chọn Edit
Tại bảng Group Policy Starter GPO Editor cho phép bạn thiết lập cấu hình Sau khi đã thiết lập xong,đóng GPM Editor lại
Trang 19Domain Controller
Domain controller là một máy server được cài đặt window server và lưu trữ bản sao của thư mục tên miền (Domain Directory) Một domain có thể có một hay nhiều domain controller khác nhau Domain controller có nhiệm vụ chứng thực cho user
và đảm bảo các chính sách bảo mật (Group Policy) được thực thi
Domain controller có các chức năng chính sau:
Mỗi domain controller lưu trữ các bản sao thông tin của Active Directory cho chính domain đó
Domain Controller trong một Domain có khả năng tự động đồng bộ dữ liệu với các domain controller khác trong cùng một domain
Domain Controller tự động đồng bộ hóa ngay lập tức các thay đổi quan trọng đối với cả domain
Domain Controller quản lí các vấn đề trong việc tương tác với domain của users
Trang 20Ủy thác quyền điều khiển DC cho một user
Tại desktop chọn Start Administrative Tools Active Directory Domains and Trusts
tại đây, click chuột phải chọn Manage Tại Active Directory Users and Computers chọn nhom03.net Domain Controller Delegate Control…
Trang 21Ủy thác quyền điều khiển DC cho một user
Delegate Control yêu cầu ta chọn một user hay group để ủy quyền
Trang 22Thiết lập Read-Only Domain Controllers
Read-Only Domain Controllers (RODCs) là một dạng mới của domain controller trong Windows Server 2008 Cùng với RODC, các tổ chức có thể dễ dàng triển khai một domain controller tại vị trí mà bảo mật thông thường không thể đảm bảo
Để thiết lập RODC ta phải thực hiện các bước sau:
Tại cửa sổ Active Directory Users and Computers click chuột phải vào Domain Controller Pre-create Read-only Domain Controller account…
Tại cửa sổ này ta đánh dấu vào Use advanced mode installation Next
Trang 23Thiết lập Read-Only Domain Controllers
Tiếp theo, trong hộp thoại Operating
System Compatibility hiện ra thông báo chi
tiết và những lưu ý khi thiết lập
Tiếp theo, yêu cầu xác định thông tin tài khoản để thực hiện cài đặt, ta chọn chính tài khoản admin