QUẢN TRỊ GROUP POLICY

QUẢN TRỊ GROUP POLICY

QUẢN TRỊ GROUP POLICY

Group Policy (GP) trên Windows Server 2008 cho phép bạn định nghĩa cấu hình trên các nhóm user và computer của hệ thống mạng.Chúng ta có thể sử dụng GP để tạo ra các chính sách và

áp dụng cho các đối tượng trong Active Directory như site,domain và OU

Những thiết lập trên GP được tổ chức lưu trữ trong các Group Policy Object (GPO) Để tương tác với một GPO ,bạn sử dụng công cụ Group Policy Management Console (GPMC) GPMC còn giúp bạn liên kết một GPO đến một trong các đối tượng site,domain hoặc OU ,để từ đó áp dụngcác chính sách lên các nhóm user và computer thuộc về đối tượng đó.Lưu ý rằng một OU là đốitượng ở mức thấp nhất để bạn có thể gán GPO

SỬ DỤNG CÔNG CỤ GPO

GMPC là công cụ quản lý GP đa năng ,cho phép bạn tương tác với tất cả các GPO,Windows Management Instrumentation (WMI) filters và những đối tượng liên quan đến GP trên hệ thống.GMPC đem đến cho bạn những khả năng :

1 Backup và Restore GPO

2 Import và Copy GPO

3 Tìm kiếm các GPO

4 Group Policy Modeling cho phép bạn tạo môi trường giả lập trong quá trình xây dựng

kế hoạch triển khai GP trước khi bước vào giai đoạn triển khai thực tế

5 Group Policy Results cho phép bạn thu thập thông tin về GP đã áp dụng cho các đối

tượng cụ thể ,trên cơ sở đó ,giúp bạn giám sát và xử lí các sự cố xảy ra khi triển khai

6 Starter GPOs là thành phần dùng để quản lý các Aministratives Templates

7 Preferences bao gồm hơn 20 chức năng mở rộng của GP ,cho phép bạn thực hiện các

thiết lập liên quan đến registry,tài khoản cục bộ,dịch vụ,file và thư mục

CÀI ĐẶT GPMC

Để cài đặt GPMC vào Server Manager  Features  Add Features.

Sau đó chọn Group Policy Management và cài đặt bình thường

Nếu bạn đã cài đặt dịch vụ ADDS ,thành phần GMPC sẽ tự động cài đặt vào hệ thống

TƯƠNG TÁC VỚI GPO

Để bắt đầu với GPO,bạn nên tạo ra các GPO độc lập (unlinked GPO) và triển khai thử nghiệm trên các hệ thống ảo trước khi đưa vào áp dụng thực tế.Chỉ khi nào đảm bảo rằng các GPO đã hoạt động tốt,bạn mới đưa vào áp dụng trên các đối tượng thuộc hệ thống của mình

(site,domain,OU…)

Để tạo một GPO độc lập vào Start  Administrative Tools  Group Policy Management

Tại cửa sổ GMPC,nhấp chuột phải lên mục Group Policy Objects và chọn New

Tại bảng Name GPO nhập tên GPO và chọn OK.

Nhấp chuột phải vào GPO vừa tạo và chọn Edit

Tại bảng Group Policy Management Editor ,chọn Polices cần cấu hình của Computer hoặc

user

Ở đây tôi sẽ ví dụ mẫu về Password Policy ở mục Computer Configuration.Tôi sẽ thiết lập

một số chính sách về password

Click chuột đến mục Password Policy trong Computer Configuration  Polices 

Windows Settings  Security Settings  Account Policy  Password Policy

Ở đây có 6 mục.Tôi sẽ giải thích từng mục:

 Enforce password history : số lượng password bắt buộc phải lưu trữ

 Maximum password age : thời hạn tối đã để password này tồn tại.

 Minimum password age : thời hạn tối thiểu để password này tồn tại

 Minimum password length : số kí tự tối thiểu của password

 Password must meet complexity requirements : password phải thỏa mãn việc có

các kí tự (a,A,@,1…)

 Store passwords using reversible encryption: lưu trữ password,sử dụng phương

thức mã hóa

Bạn có thể thiết lập bằng cách click đúp vào từng dòng và chọn Define this policy setting sau

đó nhập thông tin thiết lập và chọn OK

Và tôi đã thiết lập chính sách về password như sau: domain ict24h.net lưu trữ tối đa 5

password.Sau khi thiết lập password 1 ngày,bạn có thể thay đổi password.Quá 30 ngày buộc bạn phải thay đổi password.Password tối thiểu là 7 kí tự và buộc phải gồm các kí tự (a,A,@,1…)trong password.Password này được lưu trữ sử dụng phương thức mã hóa

Sau khi thiết lập xong đóng cửa sổ Group Policy Management Editor.

LIÊN KẾT GPO VÀO CÁC ĐỐI TƯỢNG

Sau khi tạo các GPO độc lập,bạn cần thực hiện thao tác liên kế GPO này vào các loại đối tượng trên Active Directory là site,domain hay OU.Đây là phương pháp thuận lợi và hiệu quả nhất để

áp dụng các chính sách đã thiết lập lên các nhóm user và computer.Cần lưu ý rằng mỗi GPO có thể liên kết đến nhiều đối tượng trên Active Directory

Trước khi liên kết GPO vào các đối tượng trên Active Directory,bạn cần tạo ra các đối tượng này.Ở đây chúng ta sẽ tạo các OU

Vào Server Manager  Roles  Active Directory Domain Services  Active Directory

Users and Computers.Nhấp chuột phải vào tên domain và chọn New  Organization Unit

Gõ tên đối tượng vào

Chọn OK.Tiếp theo là tạo user và computer trong OU này.Nhấp chuột phải vào OU và chọn

New  User hoặc chọn Computer

(Việc tạo User,Computer đã hướng dẫn ở bài cài đặt ADDS)

Tôi đã tạo 3 user và 2 computer trong OU ICT24H Group

Sau khi đã tạo xong,bạn sử dụng GMPC để liên kết GPO vào OU.

Vào Start  Adminitrative Tools  Group Policy Management.

Nhấp chuột phải vào OU và chọn Link an Existing GPO

Trong bảng Select GPO chọn tên domain ở mục Look in this domain.Đồng thời chọn GPO tương ứng ở mục Group Policy objects.

Chọn OK để hoàn tất.

TẠO MỘT GPO LIÊN KẾT

Thay vì tạo các GPO độc lập,sau đó tiến hành liên kết ,bạn có thể kết hợp hai công việc này vàomột để tạo ra một GPO liên kết (linked GPO).Tuy nhiên ,bạn chỉ nên tạo trực tiếp GPO liên kết khi đã có kinh nghiệm triển khai GPO và am hiểu về hệ thống của mình

Vào Start  Administrative Tools  Group Policy Management

Tại GPM ,nhấp chuột phải vào GPO và chọn Create a GPO in this domain,and Link it here

Tại bảng New GPO nhập tên GPO và chọn OK

Lúc này,GPO mới đã được tạo,đồng thời liên kết đến OU mà bạn đã tương tác

Nếu bạn muốn hủy GPO khỏi OU này ,click vào GPO đó.Tại khung bên phải,tab Scope ,nhấp chuột phải vào OU đó và chọn Delete Link (s)

Thao tác trên chỉ là hủy liên kết GPO đến OU,nếu bạn muốn xóa GPO thì nhấp chuột phải vào GPO đó và chọn Delete.

Lưu ý: trước khi xóa bỏ GPO bạn phải hủy các liên kết của GPO đó với OU trên domain

TƯƠNG TÁC MỞ RỘNG VỚI GPO

Công cụ GPMC cho phép bạn dễ dàng thực hiện các thao tác như :backup,restore,copy vàimport các GPO đang được triển khai.Khả năng này là một ưu điểm rất quan trọng trong quátrình quản lý các GPO trên hệ thống mạng,giúp bạn tiết kiệm thời gian,đồng thời tăng tínhchính xác và ổn định của hệ thống

Để backup cho tất cả các GPO nhấp chuột phải vào Group Policy Objects và chọn Back Up All

Tại bảng Backup Group Policy Objects chọn đường dẫn lưu GPO ở mục Location và nhập chúthích ở mục Description

Sau đó chọn Back Up.Đợi hệ thống tiến hành backup

Sau khi hoàn tất chọn OK.

Để backup một GPO cụ thể nào đó nhấp chuột phải lên GPO đó và chọn Back up và cũng tiếnhành tương tự việc backup cho tất cả các GPO

Sau khi đã backup xong,bạn có thể quản lý GPO bằng chức năng Manage Backup

Nhấp chuột phải vào Group Policy Objects và chọn Manage Backup

Tại bảng Manage Backups,ở mục Backup location,chọn Browse và tới đường dẫn thư mục đãbackup.Sau đó,danh sách các GPO sẽ xuất hiện ở muc Backed up GPOs

Nếu bạn muốn chỉ hiển thị các GPO được backup gần với thời điểm hiện tại nhất ,bạn đánh dấuchọn Show only the lastest version of each GPO

Nếu bạn muốn xem chi tiết các thiết lập trong GPO thì chọn GPO đó và chọn View Settings

Để xóa GPO đã backup,bạn chọn GPO và chọn Delete

Nếu đã có backup thì chắc chắn sẽ có restore.Để restore một GPO bạn nhấp chuột phải vàoGPO đó và chọn Restore from Backup

Tại bảng Welcome to the Restore Group Policy Object Wizard chọn Next.

Tại bảng Backup location chọn đường dẫn thư mục đã backup

Chọn Next để tiếp tục.Tại bảng Backed up GPOs,chọn GPO muốn restore

Chọn Next.Tại bảng Completing chọn Finish để hoàn tất

Đợi hệ thống restore GPO,sau khi hoàn tất chọn OK

Để kiểm tra,click vào GPO đó,tại khung bên phải,ở tab Settings.Xem lại thời gian cũng như cácthiết lập.

STARTER GPOS

Starter GPOs là một thành phần trên GMPC,cho phép bạn quản lý các template dùng để tạo ra các GPO Starter GPOs chỉ hỗ trợ các thiết lập trên Administrative Templates,giúp bạn thực hiệncác thao tác với Administrative Templates như tạo lập,tùy chỉnh,import,export….một cách dễ dàng và nhanh chóng.Trong phần này,chúng ta sẽ thực hành tạo lập các Starter GPOs ,sau đó tạo ra GPO mới với template là các Starter GPO này

Để tạo một Starter GPO.Vào Start  Administrative Tools  Group Policy Management

Click vào Starter GPOs và chọn Create Starter GPOs Folder

Nhấp chuột phải vào Starter GPOs và chọn New.Trong bảng New Starter GPO nhập tên của Starter GPO

Chọn OK

Tiếp theo,nhấp chuột phải lên Starter GPO vừa tạo và chọn Edit

Tại bảng Group Policy Starter GPO Editor cho phép bạn thiết lập cấu hình (Sử dụng GPM Editor

đã có ở hướng dẫn trên)

Sau khi đã thiết lập xong,đóng GPM Editor lại

Để tạo GPO mới từ Starter GPO nhấp chuột phải vào Starter GPO đó và chọn New GPO from Starter GPO

Tại bảng New GPO gõ tên GPO vào

Sau đó chọn OK