Các chính sách nhóm thì được áp dụngkhi bạnbật máy lên, khi đăng nhập vào một cách tựđộng vào những thời điểm ngẫu nhiên trong suốt ngày làm việc.. -Triển khai phầnmềm ứng dụng:bạn có th
Trang 1ài 12 CHÍNH SÁCH NHÓM
Tóm tắt
Lý thuyết 3 tiết -Thực hành 3 tiết
Mục tiêu Các mục chính Bài tập bắt Bài tập làm
buộc thêm
Kết thúc bài học này cung
cấp học viên kiến thức
vềGroup Policy, các chính
sách đối với máy trạm,
chính sách đối với người
dùng…
I Giới thiệu vềchính nhóm II
Triển khai một chính nhóm trên miền III Các ví dụminh
họa
sách sách tập môn QuảnDựa vào bài
trịWindows Server 2003
Dựa vào bài tập môn Quản trịWindows Server 2003
I GIỚI THIỆU
I.1 So sánh giữa System Policy và Group Policy.Vừarồi ởchương trước,
chúng ta đã tìm hiểuvềchính sách hệthống (System Policy), tiếp theo
chúng ta sẽtìm hiểuvềchính sách nhóm (Group Policy) Vậy hai chính sách này khác
nhau nhưthếnào
-Chính sách nhóm chỉxuất hiện trên miền Active Directory , nó không tồntại trên miền NT4
-Chính sách nhóm làm được nhiều điềuhơn chính sách hệthống Tất nhiên chính sách nhóm
chứatấtcảcác chứcnăng của chính sách hệthống và hơn thếnữa, bạn có thểdùng chính sách nhómđểtriển khai một phầnmềm cho một hoặc nhiều máy một cách tựđộng
-Chính sách nhóm tựđộng hủybỏtác dụng khi đượcgỡbỏ, không giống nhưcác chính sách
hệthống
-Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệthống Các chính sách
hệthốngchỉđược áp dụng khi máy tính đăng nhập vào mạng thôi Các chính sách nhóm thì
được áp dụngkhi bạnbật máy lên, khi đăng nhập vào một cách tựđộng vào những thời điểm ngẫu nhiên trong suốt ngày làm việc
-Bạn có nhiềumức độđểgán chính sách nhóm này cho ngườitừng nhóm người hoặctừng
nhómđốitượng
-Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉáp dụng được trên máy Win2K, WinXP
vàWindows Server 2003.
Trang 2I.2 Chứcnăng của Group Policy -Triển khai
phầnmềm ứng dụng:bạn có thểgom tấtcảcác tập tin cần thiết
đểcài đặtmột phần mềm nào đó vào trong một gói (package), đặt
nó lên Server,rồi dùng chính sách nhóm hướng một hoặc nhiều
máy trạm đến gói phầnmềm đó Hệthống sẽtựđộng cài đặt
phầnmềm này đến tấtcảcác máy trạm mà không cầnsựcan thiệp
nào của người dùng -Gán các quyềnhệthống cho người dùng:
chứcnăng này tương tựvới chứcnăng của chính sách hệthống Nó
có thểcấp cho một hoặcmột nhóm người nào đó có quyềntắt máy
server, đổi giờhệthống hay backup dữliệu… -Giớihạn những
ứng dụng mà người dùng được phép thi hành: chúng ta có
thểkiểm soát máy trạmcủamột người dùng nào đó và cho phép
người dùng này chỉchạy đượcmột vài ứng dụng nào đó thôi như:
Outlook Express, Word hay Internet Explorer -Kiểm soát các
thiếtlậphệthống:bạn có thểdùng chính sách nhóm đểqui định hạn
ngạch đĩa cho một người dùng nào đó Người dùng này chỉđược
phép lưu trữtối đa bao nhiêu MB trên đĩa cứng theo qui định
-Thiếtlập các kịch bản đăng nhập, đăng xuất, khởi động và tắt
máy: trong hệthống NT4 thì chỉhỗtrợkịch bản đăng nhập(logon
script), nhưng Windows 2000 và Windows Server 2003 thì
hỗtrợcảbốnsựkiện này được kích hoạt(trigger)mộtkịch bản(script).
Bạn có thểdùng các GPO đểkiểm soát những kịch bản nào đang
chạy
-Đơn giản hóa và hạn chếcác chương trình:bạn có thểdùng GPO đểgỡbỏnhiều tính năngkhỏi Internet Explorer, Windows Explorer và những chương trình khác.
-Hạn chếtổng quát màn hình Desktop của người dùng:bạn có thểgỡbỏhầuhết các đềmục trên menu Start củamột người dùng nào đó, ngăn chặn không cho người dùng cài thêm máy
in, sửa đổi thông sốcấu hình của máy trạm…
II TRIỂN KHAI MỘT CHÍNH SÁCH NHÓM TRÊN MIỀN
Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đốitượng chính sách (GPO) Các GPO là mộtvật chứa(container) có thểchứa nhiều chính sách áp dụng cho nhiều người, nhiều máy tính hay toàn bộhệthống mạng Bạn dùng chương trình Group Policy Object
Editor đểtạo ra các đốitượng chính sách Trong củasổchính của Group Policy Object Editor có
hai mục chính: cấu hình máy tính (computer configuration) và cấu hình người dùng (user
configuration)
Trang 3Điềukếtiếpbạncũng chú ý khi triển khai Group Policy là các cấu hình chính sách của
Group Policy được tích lũy và kềthừatừcác vật chứa(container) bên trên của Active
Directory Ví dụcác người dùng và máy tính vừa ởtrong miềnvừa ởtrong OU nên
sẽnhận được các cấu hình từcảhai chính sách cấp miềnlẫn chính sách cấp OU Các
chính sách nhóm sau 90 phút sẽđược làm tươi và áp dụng mộtlần, nhưng các chính
nhóm trên các Domain Controller được làm tươi 5 phút mộtlần Các GPO hoạt động
được không chỉnhờchỉnh sửa các thông tin trong Registry mà còn nhờcác thưviện liên
kết động (DLL) làm phầnmởrộng đặttại các máy trạm Chú ý nếubạn dùng chính sách
nhóm thì chính sách nhóm tại chỗtrên máy cụcbộsẽxửlý trước các chính sách dành
cho site, miền hoặc OU
II.1 Xem chính sách cụcbộcủamột máy tính ởxa
Đểxem một chính sách cụcbộtrên các máy tính khác trong miền, bạn phải có quyền quản trịtrên
máy đó hoặc quản trịmiền Lúc đóbạn có thểdùng lệnh GPEDIT.MSC
/gpcomputer:machinename,ví dụ312 bạn muốn xem chính sách trên máy PCO1 bạn gõ lệnh
GPEDIT.MSC /gpcomputer: PCO1 Chú ý là bạn không thểdùng cách này đểthiếtlập các chính
sách nhóm ởmáy tính ởxa, do tính chấtbảomật Microsoft không cho phép bạn ởxa thiếtlập các
chính sách nhóm
II.2 Tạo các chính sách trên miền Chúng ta dùng snap-in Group Policy trong
Active Directory User and Computer hoặcgọi trược tiếp tiện ích Group Policy Object Editor
Trang 4từdòng lệnh trên máy Domain Controller đểtạo ra các chính sách nhóm cho miền
NếubạnmởGroup Policy từActive Directory User and Computer thì trong
khung cửasổchính của chương trình bạn nhấp chuột phải vào biểutượng tên miền (trong ví
dụnày là netclass.edu.vn), chọn Properties Trong hộp thoại xuất hiệnbạn chọn Tab Group
Policy
Nếubạn chưatạo ra một chính sách nào thì bạn chỉnhìn thấymột chính sách tên Default
Domain Policy Cuốihộp thoạicó một checkbox tên Block Policy inheritance,
chứcnăng củamục này là ngăn chặn các thiết định củamọi chính sách bấtkỳởcấp cao hơn lan truyền xuống đếncấp đang xét Chú ý rằng chính sách được áp dụng đầu tiên
ởcấp site, sau đó đếncấp miền và cuối cùng là cấp OU.Bạn chọn chính sách Default
Domain Policy và nhấp chuột vào nút Option đểcấu hình các lựa chọn việc áp dụng
chính sách Trong hộp thoại Options,nếubạn đánh dấu vào mục No Override thì các
chính sách khác được áp dụng ởdòng dướisẽkhông phủquyết được những thiết định
của chính sách này, cho dù chính sách đó không đánh dấu vào mục Block Policy
inheritance Tiếp theo nếu bạn đánh dấu vào mục Disabled, thì chính sách này
sẽkhông hoạt động ởcấp này, Việc disbale chính sách ởmộtcấp không làm disable
bản thân đốitượng chính sách
Trang 5Đểtạo ra một chính sách mớibạn nhấp chuột vào nút New, sau đó nhập tên của chính sách mới Đểkhai báo thêm thông tin cho chính sách này bạn có thểnhấp chuột vào nút Properties,hộp thoại xuất hiện có nhiều Tab,bạn có thểvào Tab Links đểchỉra các site, domain hoặc OU nào liên kếtvới chinh sách Trong Tab Security cho phép bạncấp quyền cho người dùng hoặc nhóm
người dùng có quyền gì trên chính sách này
Trong hộp thoại chính của Group Policy thì các chính sách được áp dụng từdưới lên
trên, cho nên chính sách nằm trên cùng sẽđược áp dụng cuối cùng Do đó, các GPO
càng nằm trên cao trong danh sách thì càng có độưu tiên cao hơn, nếu chúng có
những thiết định mâu thuẫn nhau thì chính sách nào nằm trên sẽthắng Vì lý do đó nên
Microsoft thiếtkếhai nút Up và Down giúp chúng ta có thểdi chuyển các chính sách
Trang 6này lên hay xuống
Trong các nút mà chúng ta chưa khảo sát thì có một nút quan trọng nhất trong hộp thoại này đó
là nút Edit.Bạn nhấp chuột vào nút Edit đểthiếtlập các thiết định cho chính sách này, dựa trên các khảnăng của Group Policy bạn có thểthiếtlậpbấtcứthứgì mà bạn muốn Chúng ta sẽkhảo
sát mộtsốví dụminh họa ởphía sau
III MỘT SỐ MINH HỌA GPO TRÊN NGƯỜI DÙNG
VÀ CẤU HÌNH MÁY
Trang 7III.1 Khai báo một logon script dùng chính sách nhóm
Trong Windows Server 2003 hỗtrợcho chúng ta bốnsựkiện đểcó thểkích hoạt các kịch bản (script) hoạt động là: startup, shutdown, logon, logoff Trong công cụGroup Policy Object
Editor, 315bạn có thểvào Computer Configuration Windows Setttings Scripts đểkhai báo các kịch bản sẽhoạt động khi startup, shutdown Đồng thời đểkhai báo các kịch bảnsẽhoạt động khi logon, logoff thì bạn vào User Configuration Windows Setttings Scripts Trong ví dụnày chúng ta Mởcông cụGroup Policy Object Editor, vào mục User Configuration
Windows Setttings Scripts
Nhấp đúp chuột vào mục Logon bên củasổbên phải, hộp thoại xuất hiện, bạn nhấp chuột tiếp vào nút Add đểkhai báo tên tập tin kịch bảncần thi hành khi đăng nhập Chú ý tập tin kịch bản này phải được chứa trong thưmục c:\windows\system32\ grouppolicy\user\script\logon Thưmục này có thểthay đổi, tốt nhấtbạn nên nhấp chuột vào nút Show Files phía dướihộp thoại
đểxem thưmụccụthểchứa các tập tin kịch bản này Nội dung tập tin kịch bản có thểthay đổi tùy theo yêu cầucủabạn, bạn có thểtham khảotập tin kịch bản ởchương trước
Trang 8Tiếp theo đểkiểm soát quá trình thi hành củatập tin kịch bản, bạncần hiệu chỉnh chính
sách Run logon scripts visible ởtrạng thái Enable Trạng thái này giúp bạn có
thểphát hiện ra các lỗi phát sinh khi tập tin kịch bản thi hành từđó chúng ta có thểsửa
chữa Đểthay đổi chính sách này bạn nhấp chuột vào mục User Configuration
Administrative Templates System Scripts, sau đó nhấp đúp chuột vào mục Run
logon scripts visible đểthay đổi trạng thái
III.2 Hạn chếchứcnăng của Internet Explorer
Trong ví dụnày chúng ta muốn các người dùng dưới máy trạm không được phép thay đổibất kì
thông sốnào trong Tab Security, Connection và Advanced trong hộp thoại Internet Options của công cụInternet Explorer Đểlàm việc này, trong công cụGroup Policy Object Editor,bạn vào User Configuration Administrative Templates Windows Components Internet
Explorer Internet Control Panel, chương trình sẽhiện ra các mục chứcnăng của IE có
Trang 9thểgiớihạn, bạn chọn khóa các chứcnăng cần thiết
III.3 Chỉcho phép mộtsốứng dụng được thi hành.Đểcấu hình Group Policy
chỉcho phép các người dùng dưới máy trạm chỉsửdụng đượcmột vài ứng dụng nào đó, trong
công cụGroup Policy Object Editor,bạn vào User Configuration
Administrative Templates Sau đó nhấp đúp chuột vào mục Run only allowed windows 318
applications đểchỉđịnh các phầnmềm được phép thi hành