Tài Liệu MCSA - Group Policy Management

Trong Active Directory Users and Computers, ta tạo thêm 1 group Test và thêm 2 user u1, u3 vào: Trên máy server1, vào Start -> Administrative Tools rồi chọn Group Policy Management:... T

Group Policy Management

Mục tiêu bài LAB:

- Cấu hình các vấn đề về Group Policy Management

- Mục tiêu cuối cùng:cấu hình thành công Group Policy Management

Lưu ý:

Khi thực hiện trên máy ảo VM-ware, các card mạng sẽ thiết lập ở chế độ HOST ONLY,Nên tắt tính năng Windows Firewall trên các máy Server và PC

Thực Hiện:

Bước 1(tạo 1 OU mới và thực hiện xóa thành công OU đó):

Trên máy server1, vào Start -> Run rồi gõ dsa.msc để vào Active Directory Users and

Computers Trong Active Directory Users and Computers, tạo thành công OU CHA:

Trong Active Directory Users and Computers, xóa thử OU CHA và thấy thông báo lỗi xóa thất bại:

Để xóa thành công OU CHA, trong Active Directory Users and Computers ta sẽ chọn View rồi chọn Advanced Features:

Trong CHA Prope rties, ta sang tab Object để bỏ check ở phần Protect Object from accidental

deletion:

Trong Active Directory Users and Computers, ta đã xóa thành công OU CHA:

Bước 2(tạo 1 cấu trúc OU như sau và tạo 1 Group Policy ẩn Control Panel áp dụng trên

OU CHA):

Trong Active Directory Users and Computers, ta tạo thêm 1 group Test và thêm 2 user u1, u3

vào:

Trên máy server1, vào Start -> Administrative Tools rồi chọn Group Policy Management:

Trong Group Policy Manage ment, ta chọn Forest: athena.edu.vn -> Domain -> và chuột phải vào athena.edu.vn rồi chọn Create a GPO in this domain, and Link it here :

Sau đó tạo 1 GPO với tên an control panel cho OU CHA:

Trong Group Policy Manage ment, ta chọn Forest: athena.edu.vn -> Domain -> và chuột phải vào athena.edu.vn rồi chuột phải vào GPO an control panel cho OU CHA và chọn Edit Trong Group Policy Manage ment Editor, ta chọn User Configuration-> Policies ->

Administrative Templates -> Control Panel Ta vào Prohibit access to the Control Panel Properties rồi chọn Enabled:

Trở lại Group Policy Management, ta chuột phải vào OU CHA rồi chọn Link an Existing

GPO:

Trong cửa sổ Select GPO, ta chọn GPO an control panel cho OU CHA rồi OK:

Để update cho GPO vừa tạo, ta vào Start -> Run rồi gõ CMD Trong CMD, ta gõ gpupdate

/force :

Để kiểm tra GPO vừa tạo, ta đăng nhập vào user ATHENA\u1 để khảo sát:

Bước 3(khóa kế thừa GPO ẩn control panel trên OU CON):

Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn ->

Domain -> athena.edu.vn rồi chuột phải vào OU CON rồi chọn Block Inhe ritance :

Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD Trong CMD, ta gõ gpupdate /force :

Để kiểm tra, ta đăng nhập vào user u3, u4 sẽ thấy lại Control Panel:

Bước 4(cấu hình Enforced trên GPO ẩn control panel):

Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn ->

Domain -> athena.edu.vn rồi chuột phải vào GPO an control panel rồi chọn Enforced:

Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD Trong CMD, ta gõ gpupdate /force

Để kiểm tra, ta đăng nhập vào user u3, u4 sẽ không thấy lại Control Panel

Bước 5(cấu hình order policy):

Trên máy server1, trong Group Policy Management, ta tạo mới 1 GPO với tên ko an conrol

panel:

Trong GPO này, ta disable tính năng khóa control panel:

Sau đó, ta thêm GPO ko an control panel vào OU CHA:

Trong OU CHA, ta chỉnh độ ưu tiên của GPO ko an control panel cao hơn GPO an control

panel:

Trong OU CHA, sang tab Group Policy Inheritance thì chỉ số Precedence càng thấp thì độ ưu

tiên càng cao:

Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD Trong CMD, ta gõ gpupdate /force

Để kiểm tra, ta đăng nhập bằng user u3 sẽ thấy control panel do độ ưu tiên của GPO ko an

control panel cao hơn của GPO an control panel:

Bước 6(cấu hình security filtering):

Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn ->

Domain -> athena.edu.vn rồi chọn GPO an control panel Trong phần Security Filtering của

GPO an control panel, ta xóa Authenticated Users:

Trong phần Security Filtering của GPO an control panel, ta thêm vào group Test:

Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD

Trong CMD, ta gõ gpupdate /force

Bước 7(xem các setting của GPO):

Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn ->

Domain -> athena.edu.vn rồi chọn GPO an control panel Trong phần Setting của GPO an

control panel, ta sẽ thấy các cài đặt của GPO an control panel:

Bước 8(cấu hình Modeling Wizard):

Trên máy server1, ta vào Group Policy Management, ta chọn Forest: athena.edu.vn ta chuột

phải vào Group Policy Modeling và chọn Group Policy Modeling Wizard:

Trong cửa sổ Welcome to the Group Policy Modeling Wizard, ta chọn Next:

Trong cửa sổ Domain Controlle r Selection, ta chọn Next:

Trong cửa sổ User and Computer Selection, ta trỏ đường dẫn của User information và

Computer information về OU CHA:

Trong cửa sổ Advanced Simulation Options, ta chọn Next:

Trong cửa sổ User Security Groups, ta chọn Next:

Trong cửa sổ Computer Security Groups, ta chọn Next:

Trong cửa sổ WMI Filters for Users, ta chọn Next:

Trong cửa sổ WMI Filters for Computers, ta chọn Next:

Trong cửa sổ Summary of Selections, ta chọn Next:

Trong cửa sổ Completing the Group Policy Modeling Wizard, ta chọn Finish:

Sau khi cài đặt xong Modeling Wizard, ta sẽ thấy chi tiết và các GPO được cấu hình trên OU

CHA:

Bước 9(cấu hình Ite m level Targeting):

cấu hình Item level Targeting cho phép cấu hình 1 user có thể xem các file ẩn và các đuôi của các file

Trên máy server1, ta vào Group Policy Management rồi chuột phải vào Default Domain

Policy để chọn Edit:

Trong Group Policy Manage ment Editor, ta chọn User Configuration -> Preferences ->

Control Panel Settings -> Folde r Options Ta chọn chuột phải vào Folder Options và chọn New -> Folder Options (Windows XP):

Trong New Folde r Options (Windows XP) Properties, ta check vào Show hidden files and

folders và bỏ check ở Hide extensions for knowm file types và Hide protected operating system file(Recommended):

Trong New Folde r Options (Windows XP) Properties, ta sang tab Common rồi check vào

Run in logged on user’s security context (user policy option) và Ite m level targeting:

Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD Trong CMD, ta gõ gpupdate /force

Sau đó đăng nhập user u4 để kiểm tra

Bước 10(disable 1 phần của GPO):

Trong Group Policy Manage ment, ta chọn tab Details của GPO an control panel và chọn

Computer configuration settings disabled ở phần GPO Status :

Để update cho chỉnh sửa trong Group Policy Management, ta vào Start -> Run rồi gõ CMD Trong CMD, ta gõ gpupdate /force

Bước 11(Khao sat noi chua policy template):

Trong Group Policy Manage ment, ta chọn tab Details của GPO an control panel và copy ID ở phần Unique ID:

Ta truy cập vào ổ C theo đường dẫn

C:\Windows\SYSVOL\sysvol\athena.edu.vn\Policies\{2583C7F0-78EC-4B8C-A38B-31AACEE4EC8B}\User để khảo sát file Registry.pol: