Xem mẫu
- B
ài 12 CHÍNH
SÁCH NHÓM
Tóm tắt
Lý thuyết 3 tiết -Thực hành 3 tiết
Mục tiêu Các mục chính Bài tập bắt Bài tập làm
buộc thêm
Kết thúc bài học này cung I. Giới thiệu vềchính nhóm. II. sách Dựa vào bài Dựa vào bài tập
cấp học viên kiến thức Triển khai một chính nhóm sách tập môn Quản môn Quản
vềGroup Policy, các chính trên miền. III. Các ví dụminh trịWindows trịWindows
sách đối với máy trạm, họa. Server 2003. Server 2003.
chính sách đối với người
dùng…
I. GIỚI THIỆU.
I.1. So sánh giữa System Policy và Group Policy.Vừarồi ởchương trước, chúng
ta đã tìm hiểuvềchính sách hệthống (System Policy), tiếp theo
chúng ta sẽtìm hiểuvềchính sách nhóm (Group Policy). Vậy hai chính sách này khác
nhau nhưthếnào.
-Chính sách nhóm chỉxuất hiện trên miền Active Directory , nó không tồntại trên miền NT4.
-Chính sách nhóm làm được nhiều điềuhơn chính sách hệthống. Tất nhiên chính sách nhóm
chứatấtcảcác chứcnăng của chính sách hệthống và hơn thếnữa, bạn có thểdùng chính
sách nhómđểtriển khai một phầnmềm cho một hoặc nhiều máy một cách tựđộng.
-Chính sách nhóm tựđộng hủybỏtác dụng khi đượcgỡbỏ, không giống nhưcác chính sách
hệthống.
-Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệthống. Các chính sách
hệthốngchỉđược áp dụng khi máy tính đăng nhập vào mạng thôi. Các chính sách nhóm thì
được áp dụngkhi bạnbật máy lên, khi đăng nhập vào một cách tựđộng vào những thời điểm
ngẫu nhiên trong suốt ngày làm việc.
-Bạn có nhiềumức độđểgán chính sách nhóm này cho ngườitừng nhóm người hoặctừng
nhómđốitượng.
-Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉáp dụng được trên máy Win2K, WinXP
vàWindows Server 2003.
- I.2. Chứcnăng của Group Policy. -Triển khai
phầnmềm ứng dụng:bạn có thểgom tấtcảcác tập tin cần thiết
đểcài đặtmột phần mềm nào đó vào trong một gói (package), đặt
nó lên Server,rồi dùng chính sách nhóm hướng một hoặc nhiều
máy trạm đến gói phầnmềm đó. Hệthống sẽtựđộng cài đặt
phầnmềm này đến tấtcảcác máy trạm mà không cầnsựcan thiệp
nào của người dùng. -Gán các quyềnhệthống cho người dùng:
chứcnăng này tương tựvới chứcnăng của chính sách hệthống. Nó
có thểcấp cho một hoặcmột nhóm người nào đó có quyềntắt máy
server, đổi giờhệthống hay backup dữliệu… -Giớihạn những
ứng dụng mà người dùng được phép thi hành: chúng ta có
thểkiểm soát máy trạmcủamột người dùng nào đó và cho phép
người dùng này chỉchạy đượcmột vài ứng dụng nào đó thôi như:
Outlook Express, Word hay Internet Explorer. -Kiểm soát các
thiếtlậphệthống:bạn có thểdùng chính sách nhóm đểqui định
hạn ngạch đĩa cho một người dùng nào đó. Người dùng này
chỉđược phép lưu trữtối đa bao nhiêu MB trên đĩa cứng theo qui
định. -Thiếtlập các kịch bản đăng nhập, đăng xuất, khởi động
và tắt máy: trong hệthống NT4 thì chỉhỗtrợkịch bản đăng
nhập(logon script), nhưng Windows 2000 và Windows Server
2003 thì hỗtrợcảbốnsựkiện này được kích hoạt(trigger)mộtkịch
bản(script). Bạn có thểdùng các GPO đểkiểm soát những kịch
bản nào đang chạy.
-Đơn giản hóa và hạn chếcác chương trình:bạn có thểdùng GPO đểgỡbỏnhiều tính
năngkhỏi Internet Explorer, Windows Explorer và những chương trình khác.
-Hạn chếtổng quát màn hình Desktop của người dùng :bạn có thểgỡbỏhầuhết các đềmục
trên menu Start củamột người dùng nào đó, ngăn chặn không cho người dùng cài thêm
máy in, sửa đổi thông sốcấu hình của máy trạm…
II. TRIỂN KHAI MỘT CHÍNH SÁCH NHÓM TRÊN MIỀN.
Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đốitượng chính sách
(GPO). Các GPO là mộtvật chứa(container) có thểchứa nhiều chính sách áp dụng cho nhiều
người, nhiều máy tính hay toàn bộhệthống mạng. Bạn dùng chương trình Group Policy Object
Editor đểtạo ra các đốitượng chính sách. Trong củasổchính của Group Policy Object Editor
có hai mục chính: cấu hình máy tính ( computer configuration) và cấu hình người dùng (user
configuration).
- Điềukếtiếpbạncũng chú ý khi triển khai Group Policy là các cấu hình chính sách của
Group Policy được tích lũy và kềthừatừcác vật chứa(container) bên trên của Active
Directory. Ví dụcác người dùng và máy tính vừa ởtrong miềnvừa ởtrong OU nên
sẽnhận được các cấu hình từcảhai chính sách cấp miềnlẫn chính sách cấp OU. Các
chính sách nhóm sau 90 phút sẽđược làm tươi và áp dụng mộtlần, nhưng các chính
nhóm trên các Domain Controller được làm tươi 5 phút mộtlần. Các GPO hoạt động
được không chỉnhờchỉnh sửa các thông tin trong Registry mà còn nhờcác thưviện liên
kết động (DLL) làm phầnmởrộng đặttại các máy trạm. Chú ý nếubạn dùng chính sách
nhóm thì chính sách nhóm tại chỗtrên máy cụcbộsẽxửlý trước các chính sách dành
cho site, miền hoặc OU.
II.1. Xem chính sách cụcbộcủamột máy tính ởxa.
Đểxem một chính sách cụcbộtrên các máy tính khác trong miền, bạn phải có quyền quản trịtrên
máy đó hoặc quản trịmiền. Lúc đóbạn có thểdùng lệnh GPEDIT.MSC
/gpcomputer:machinename,ví dụ312 bạn muốn xem chính sách trên máy PCO1 bạn gõ lệnh
GPEDIT.MSC /gpcomputer: PCO1. Chú ý là bạn không thểdùng cách này đểthiếtlập các chính
sách nhóm ởmáy tính ởxa, do tính chấtbảomật Microsoft không cho phép bạn ởxa thiếtlập các
chính sách nhóm.
II.2. Tạo các chính sách trên miền. Chúng ta dùng snap-in Group Policy trong
Active Directory User and Computer hoặcgọi trược tiếp tiện ích Group Policy Object Editor
- từdòng lệnh trên máy Domain Controller đểtạo ra các chính sách nhóm cho miền.
NếubạnmởGroup Policy từActive Directory User and Computer thì trong
khung cửasổchính của chương trình bạn nhấp chuột phải vào biểutượng tên miền (trong ví
dụnày là netclass.edu.vn), chọn Properties. Trong hộp thoại xuất hiệnbạn chọn Tab Group
Policy.
Nếubạn chưatạo ra một chính sách nào thì bạn chỉnhìn thấymột chính sách tên
Default Domain Policy. Cuốihộp thoạicó một checkbox tên Block Policy
inheritance, chứcnăng củamục này là ngăn chặn các thiết định củamọi chính sách
bấtkỳởcấp cao hơn lan truyền xuống đếncấp đang xét. Chú ý rằng chính sách được áp
dụng đầu tiên ởcấp site, sau đó đếncấp miền và cuối cùng là cấp OU.Bạn chọn chính
sách Default Domain Policy và nhấp chuột vào nút Option đểcấu hình các lựa chọn
việc áp dụng chính sách. Trong hộp thoại Options,nếubạn đánh dấu vào mục No
Override thì các chính sách khác được áp dụng ởdòng dướisẽkhông phủquyết được
những thiết định của chính sách này, cho dù chính sách đó không đánh dấu vào mục
Block Policy inheritance. Tiếp theo nếu bạn đánh dấu vào mục Disabled, thì chính
sách này sẽkhông hoạt động ởcấp này, Việc disbale chính sách ởmộtcấp không làm
disable bản thân đốitượng chính sách.
- Đểtạo ra một chính sách mớibạn nhấp chuột vào nút New, sau đó nhập tên của chính sách mới.
Đểkhai báo thêm thông tin cho chính sách này bạn có thểnhấp chuột vào nút Properties,hộp
thoại xuất hiện có nhiều Tab,bạn có thểvào Tab Links đểchỉra các site, domain hoặc OU nào
liên kếtvới chinh sách. Trong Tab Security cho phép bạncấp quyền cho người dùng hoặc nhóm
người dùng có quyền gì trên chính sách này.
Trong hộp thoại chính của Group Policy thì các chính sách được áp dụng từdưới lên
trên, cho nên chính sách nằm trên cùng sẽđược áp dụng cuối cùng. Do đó, các GPO
càng nằm trên cao trong danh sách thì càng có độưu tiên cao hơn, nếu chúng có
những thiết định mâu thuẫn nhau thì chính sách nào nằm trên sẽthắng. Vì lý do đó
nên Microsoft thiếtkếhai nút Up và Down giúp chúng ta có thểdi chuyển các chính
- sách này lên hay xuống.
Trong các nút mà chúng ta chưa khảo sát thì có một nút quan trọng nhất trong hộp thoại này đó
là nút Edit.Bạn nhấp chuột vào nút Edit đểthiếtlập các thiết định cho chính sách này, dựa trên
các khảnăng của Group Policy bạn có thểthiếtlậpbấtcứthứgì mà bạn muốn. Chúng ta sẽkhảo
sát mộtsốví dụminh họa ởphía sau.
III. MỘT SỐ MINH HỌA GPO TRÊN NGƯỜI DÙNG
VÀ CẤU HÌNH MÁY.
- III.1. Khai báo một logon script dùng chính sách nhóm.
Trong Windows Server 2003 hỗtrợcho chúng ta bốnsựkiện đểcó thểkích hoạt các kịch bản
(script) hoạt động là: startup, shutdown, logon, logoff. Trong công cụGroup Policy Object
Editor, 315bạn có thểvào Computer Configuration Windows Setttings Scripts đểkhai báo
các kịch bản sẽhoạt động khi startup, shutdown. Đồng thời đểkhai báo các kịch bảnsẽhoạt
động khi logon, logoff thì bạn vào User Configuration Windows Setttings Scripts. Trong ví
dụnày chúng ta Mởcông cụGroup Policy Object Editor, vào mục User Configuration
Windows Setttings Scripts.
Nhấp đúp chuột vào mục Logon bên củasổbên phải, hộp thoại xuất hiện, bạn nhấp chuột tiếp
vào nút Add đểkhai báo tên tập tin kịch bảncần thi hành khi đăng nhập. Chú ý tập tin kịch bản
này phải được chứa trong thưmục c:\windows\system32\ grouppolicy\user\script\logon.
Thưmục này có thểthay đổi, tốt nhấtbạn nên nhấp chuột vào nút Show Files phía dướihộp thoại
đểxem thưmụccụthểchứa các tập tin kịch bản này. Nội dung tập tin kịch bản có thểthay đổi tùy
theo yêu cầucủabạn, bạn có thểtham khảotập tin kịch bản ởchương trước.
- Tiếp theo đểkiểm soát quá trình thi hành củatập tin kịch bản, bạncần hiệu chỉnh chính
sách Run logon scripts visible ởtrạng thái Enable. Trạng thái này giúp bạn có
thểphát hiện ra các lỗi phát sinh khi tập tin kịch bản thi hành từđó chúng ta có thểsửa
chữa. Đểthay đổi chính sách này bạn nhấp chuột vào mục User Configuration
Administrative Templates System Scripts, sau đó nhấp đúp chuột vào mục Run
logon scripts visible đểthay đổi trạng thái.
III.2. Hạn chếchứcnăng của Internet Explorer.
Trong ví dụnày chúng ta muốn các người dùng dưới máy trạm không được phép thay đổibất kì
thông sốnào trong Tab Security, Connection và Advanced trong hộp thoại Internet Options
của công cụInternet Explorer. Đểlàm việc này, trong công cụGroup Policy Object Editor,bạn
vào User Configuration Administrative Templates Windows Components Internet
Explorer Internet Control Panel, chương trình sẽhiện ra các mục chứcnăng của IE có
- thểgiớihạn, bạn chọn khóa các chứcnăng cần thiết.
III.3. Chỉcho phép mộtsốứng dụng được thi hành.Đểcấu hình Group Policy
chỉcho phép các người dùng dưới máy trạm chỉsửdụng đượcmột vài ứng dụng nào đó, trong
công cụGroup Policy Object Editor,bạn vào User Configuration
Administrative Templates. Sau đó nhấp đúp chuột vào mục Run only allowed windows 318
applications đểchỉđịnh các phầnmềm được phép thi hành.
nguon tai.lieu . vn