Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment: Chương 9 - ThS. Trần Bá Nhiệm (Biên soạn)

Chương 9 trình bày một số nội dung liên quan đến vấn đề hiện thực và dùng Group Policy trong Windows Server 2003. Mục tiêu của chương này nhằm giúp người học: Tạo và quản lý các đối tượng Group Policy để điều khiển các thiết lập dektop, bảo mật, các script và tái điều hướng thư mục; quản lý và xử lý sự cố với việc thừa kế Group Policy; cài đặt và quản lý phần mềm dùng Group Policy.

Trang 1

70-290: MCSE Guide to Managing

a Microsoft Windows Server 2003

Environment

Chương 9:

Hiện thực và dùng Group

Trang 2

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt

2

Mục tiêu

• Tạo và quản lý các đối tượng Group Policy để

điều khiển các thiết lập dektop, bảo mật, các script

và tái điều hướng thư mục

• Quản lý và xử lý sự cố với việc thừa kế Group

Policy

• Cài đặt và quản lý phần mềm dùng Group Policy

Trang 3

Giới thiệu Group Policy

• Group policy tập trung hóa việc quản lý các thiết

lập cấu hình user và computer thông qua mạng

• Một đối tượng group policy là một đối tượng AD

dùng để cấu hình các thiết lập chính sách cho các đối tượng user và computer

• Có 2 đối tượng Group Policy mặc định:

• Domain Policy mặc định (liên kết đến domain

container)

• Domain Controllers Policy mặc định (liên kết đến

domain controller OU)

Trang 4

4

Giới thiệu Group Policy (tt)

• Có thể sửa chữa các GPO mặc định

• Có thể tạo các GPO mới và liên kết chúng với các site, domain và OU

• Thiết lập policy sẽ lan truyền đến các user và computer chứa trong các OU con

• Group policy chỉ có thể áp dụng các máy tính chạy Windows Server 2003, Windows 2000, Windows XP

Trang 5

Tạo 1 đối tượng Group Policy

Trang 6

• Tìm MMC Group Policy Object Editor snap-in

• Tạo GPO mới

Trang 7

Thực tập 9-1 (tt)

Trang 8

8

Thực tập 9-2: Tạo các OU và di chuyển các tài khoản user vào

• Mục tiêu: Tạo các OU và di chuyển các tài khoản user vào đó

• Phải quen thuộc với việc dùng các OU điều khiển ứng dụng thiết lập Group Policy

• Tạo OU mới dùng Active Directory Users and

Computers

• Di chuyển các tài khoản user vào OU mới đó

Trang 10

70-290: MCSE Guide to Managing a Microsoft

Windows Server 2003 Environemnt

10

Sửa chữa 1 GPO

Trang 11

Sửa chữa 1 GPO

• Bảng 9-1 hiển thị các loại cấu hình cho cả

computer và user

• 2 thẻ trong Properties cho mỗi thiết lập:

• Thiết lập cho phép kích hoạt/cấm

• Giải thích các thông tin về thiết lập

• Nội dung GPO được lưu giữ ở 2 vị trí:

• Group Policy container (GPC)

• Group Policy template (GPT)

• Mỗi GPO được định danh bởi một globally

unique identifier (GUID) 128-bit

Trang 12

12

Thực tập 9-4: Xóa 1 GPO

• Mục tiêu: Xóa 1 GPO dùng Active Directory

Users and Computers

• Các GPO đã tạo trước đó được xóa từ 1 OU

Trang 13

Ứng dụng của Group Policy

• 2 loại chính:

• Cấu hình computer (các thiết lập áp dụng cho các

computer trong container)

• Cấu hình user (các thiết lập áp dụng cho các user trong container)

• Ngay khi computer khởi động (hoặc user đăng

nhập)

• Computer truy vấn DC về các GPO DC tìm các GPO

có thể áp dụng.

• DC trình ra 1 danh sách các GPO Client lấy các mẫu

GP, áp dụng các thiết lập và chạy các script

• Tiến trình cơ bản giống như vậy khi user đăng nhập

Trang 14

• Giảm công sức quản trị

• 7 loại chính của việc thiết lập cấu hình có thể áp dụng cho computer hoặc user của 1 GPO

Trang 15

Điều khiển các thiết lập User

Desktop (tt)

Trang 16

16

Thực tập 9-5: Cấu hình các

thiết lập User Desktop

• Mục tiêu: Cấu hình và kiểm tra ứng dụng của thiết lập GP

• Dùng Active Directory Users and Computers để truy cập thiết lập mong muốn

• Cấu hình các thiết lập dùng trình soạn thảo GPO

• Kiểm tra lại cấu hình có kết quả như y/c

Trang 17

Quản lý bảo mật với Group

Policy

• Các thiết lập Password Policy, Account Policy,

Kerberos Policy chỉ có thể áp dụng trên các đối

Trang 18

• Wireless Network Policies

• Public Key Policies

• Software Restriction Policies

• IP Security Policies on Active Directory

Trang 19

Thực tập 9-6:Cấu hình các

thiết lập bảo mật GPO

• Mục tiêu: Dùng các thiết lập GPO để cấu hình 1 logon banner cho các domain user

• Dùng Directory Users and Computers để truy cập Default Domain Policy GPO

• Tạo một logon banner

• Kiểm tra là banner có xuất hiện

Trang 20

20

Thực tập 9-7: Cấu hình các thiết lập bảo mật hệ thống file

Trang 21

Gán các Script

• Windows Server 2003 có thể chạy các script trong lúc:

• User đăng nhập và đăng xuất

• Phần User của GPO

• Computer khởi động và shutdown

• Phần Computer của GPO

• Mặc định là các script chạy đồng bộ từ trên xuống dưới

• Có thể xác định các thời điểm script time-out, thực thi

không đồng bộ và ẩn các script

Trang 22

• Tạo 1 file script

• Thêm script vào chính sách logon của một nhóm nào đó dùng Directory Users and Computers

• Kiểm tra lại script chỉ chạy trên các user của group này chứ không phải group khác

Trang 23

Tái điều hướng các thư mục

• Cho phép tái điều hướng các nội dung của 1 user profile đến 1 vị trí trên mạng

• Nội dung có thể tái điều hướng là: dữ liệu ứng

dụng, desktop, My Documents, Start menu

• Tái điều hướng có ích vì:

• Hỗ trợ backup

• Giảm thời gian đăng nhập

• Cho phép tạo 1 desktop chuẩn cho nhiều user

Trang 24

24

Tái điều hướng các thư mục

(tt)

Trang 25

Quản lý thừa kế Group Policy

• Thứ tự đặc biệt cho ứng dụng GPO:

• Local computer  Site  Domain  Parent OU  Child OU

• Theo mặc định tất cả các thiết lập GPO được thừa kế

• Tại mỗi mức, có thể có nhiều GPO

• Các chính sách được áp dụng theo thứ tự mà chúng xuất hiện trên thẻ Group Policy cho mỗi container, bên dưới GPO đầu tiên

• Áp dụng số lượng nhiều các GPO có thể ảnh hưởng hiệu suất khởi động và đăng nhập

Trang 26

Trang 27

Thực tập 9-9: Liên kết 1 GPO

với nhiều Container

• Mục tiêu: Liên kết 1 GPO với nhiều Container

• Dùng Active Directory Users and Computers để tạo và cấu hình 1 GPO mới trong 1 OU

• Thêm GPO vào OU khác

Trang 28

• Có thể thay đổi chính sách thừa kế mặc định

• Có thể thay đổi cách giải quyết mâu thuẫn

• Có thể thay đổi quyền cho 1 thành viên đặc biệt trong 1 group để từ chối áp dụng GPO cho thành viên đó

Trang 29

Khóa thừa kế Policy

• Để thay đổi thừa kế mặc định, dùng Block Policy trong thẻ Group Policy cho 1 container con

• Con sẽ không thừa kế các chính sách của cha

• Có ích nếu 1 OU cần được quản lý riêng

Trang 30

30

Cấu hình No Override

• Nếu 1 chính sách được cấu hình với No Override

• Nó sẽ bị ép áp dụng các mâu thuẫn trong các chính sách

ở mức thấp hơn

• Nó sẽ bị ép áp dụng trên các contairner ở mức thấp hơn với thiết lập thừa kế Block Policy

Trang 31

Filtering dùng các quyền

• Ngăn cản các thiết lập policy đ/v việc áp dụng cho

1 user, group, computer nào đó trong 1 container

• Để lọc 1 GPO đ/v 1 thành viên trong 1 container,

từ chối các quyền Read and Apply Group Policy cho tài khoản của thành viên đó

Trang 32

• Cấu hình Default Domain Policy GPO dùng

Active Directory Users and Computers

• Override cấu hình Default Domain Policy tại mức

OU và kiểm tra lại

• Cấu hình No Override tại mức domain

• Kiểm tra lại No Override

Trang 33

Thực tập 9-11: Lọc GPO

• Mục tiêu: Dùng các quyền bảo mật để lọc và điều khiển ứng dụng của các thiết lập GP

• Dùng Active Directory Users and Computers thêm

1 tài khoản user vào 1 group nhưng từ chối các

quyền GPO của group

• Kiểm tra lại user vừa thêm không được cấu hình với GPO của group

Trang 34

• Các quyền Read and Apply Group Policy

• Các ứng dụng hiển thị ảnh hưởng của các thiết lập GP

• Dòng lệnh

• Resultant Set of Policy (RSoP)

• Giao diện

Trang 35

• Mở 1 MMC mới với RSoP snap-in

• Dùng RSoP đ/v Generate RSoP Data

Trang 36

70-290: MCSE Guide to Managing a Microsoft

Windows Server 2003 Environemnt

36

Thực tập 9-12 (tt)

Trang 37

• Các cập nhật phần mềm (như các service packs)

• 4 giai đoạn trong cuộc đời của 1 phần mềm:

• Chuẩn bị

• Triển khai

• Bảo trì

• Gỡ bỏ

Trang 38

38

Thực tập 9-13: Xuất bản 1 ứng dụng cho các user dùng Group

Policy

• Mục tiêu: Xuất bản 1 ứng dụng dùng các thiết lập GP

• Tạo 1 thư mục chia sẻ và copy các file vào đó

• Tạo 1 GPO để xuất bản các file phần mềm vào thư mục

• Đăng nhập như thành viên của group và cài đặt

phần mềm

Trang 39

Thực tập 9-14: Chuyển 1 ứng dụng cho các user dùng Group

• Đăng nhập như 1 user trong OU

• Kiểm tra lại phần mềm có thể cài đặt và thực thi như mong muốn

Trang 40

40

Tổng kết

• Một GPO là một đối tượng trong AD dùng để cấu hình và áp dụng các thiết lập cho các đối tượng

user & computer

• 2 kiểu GPO mặc định được tạo khi AD đã cài đặt:

• Default Domain Policy

• Default Domain Controllers Policy

• 2 cơ chế để tạo các GPO:

• Microsoft Management Console Group Policy snap-in

• Group Policy extension trong Active Directory Users and Computers

Trang 41

Tổng kết (tt)

• Các GPO có thể được dùng để:

• Điều khiển các thiết lập desktop và bảo mật

• Áp dụng các script khi user đăng nhập và đăng xuất,

khi computer khởi động và shutdown

• Cho tái điều hướng thư mục

• Các GPO được áp dụng theo thứ tự xác định

• Các GPO được thừa kế theo mặc định:

• Có thể thay đổi bằng cách khóa thừa kế Group Policy, cấu hình No Override hoặc lọc dùng các quyền user

• Dùng GPRESULT hoặc công cụ RSoP để xem tác động của các thiết lập GP

Trang 42

• Các ứng dụng đã cài đặt có thể được chuyển hoặc xuất bản

Định dạng
Số trang	42
Dung lượng	1,26 MB