1. Trang Chủ
  2. Quản trị mạng
  3. MCSA 2012: Local group policy

MCSA 2012: Local group policy

tài liệu trình bày về Local Group policy trong Windows Server 2012. Group Policy có thể dùng để triển khai phần mềm cho một hoặc hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logout), khởi động (start up) và tắt máy (shutdown). 23/4/2019 MCSA 2012: Local Group Policy - Techno

Thể loại Tài liệu miễn phí Quản trị mạng

Số trang 17

Ngày tạo 7/8/2020 9:08:26 PM +00:00

Loại tệp PDF

Kích thước 0.59 M

Tên tệp

Tải MCSA 2012: Local group policy (.pdf)

Xem mẫu

  1. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver MCSA 2012: Local Group Policy By Quách Chí Cường - 17/09/2018 MCSA 2012: Local Group Policy – Cuongquach.com | Bài này mình xin trình bày về Local Group policy trong Windows Server 2012 . Group Policy có thể dùng để triển khai phần mềm cho một hoặc hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logout), khởi động (start up) và tắt máy (shutdown). Có thể bạn quan tâm chủ đề khác – Xử lý lỗi RDP “This could be due to CredSSP encryption oracle..” – MCSA 2012: Tìm hiểu File Server Resource Manager – MCSA 2012: Distributed File System (DFS) – Video Quản trị Windows Server 2016 – Itech https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 1/17
  2. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Contents Local Group Policy là gì ? Công cụ quản lý local group policy Mở trình quản lý Local Group Policy Đặc điểm trình quản lý Local Group Policy Một số Local Policy thường dùng 1. Display shutdown event tracker 2. Các policy liên quan đến Control Panel 3. Các policy liên quan đến Desktop 4. Các policy liên quan đến Start Menu và Taskbar 5. Các policy liên quan đến System Local Security Policy (chính sách bảo mật) Các security policy thường gặp Account Policies (chính sách tài khoản) Local Policies (các chính sách cục bộ) Các policy liên quan đến vấn đề truy cập tài nguyên mạng. Local Group Policy là gì ? Khi user đăng nhập thì họ chịu những áp đặt của Hệ Điều Hành, trong quá trình quản lý ta có nhu cầu hạn chế hay thêm vào các quyền hạn của họ khi truy cập ứng dụng hay truy cập tài nguyên. Các thời HĐH windows cũ thì ta phải mở các file system.ini để cấu hình. Từ windows 98 trở lên, Microsoft cho phép ta thực hiện cấu hình bằng Registry, bằng công cụ này thì admin có thể thiết lập các quy định áp đặt lên hệ thống, user . Vì việc chỉnh sửa registry rất phức tạp, Microsoft lấy 1 số key trong registry để tạo thành Group Policy (chính sách nhóm) giúp các admin có thể chỉnh sữa dễ dàng. Group Policy có thể áp dụng lên local computer hay môi trường domain. Group Policy trên local computer được gọi là Local Group Policy (local policy). https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 2/17
  3. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Công cụ quản lý local group policy Mở trình quản lý Local Group Policy Mở trình panel ‘Local Group Policy Editor‘ bằng 2 cách sau : + Cách 1: 1 Run > gpedit.msc + Cách 2: Run -> mmc (giao diện console root). Menu File chọn Add/Remove Snap-in. Chọn Group Policy Object Editor, để mặc định Local computer -> add rồi save lại. https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 3/17
  4. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 4/17
  5. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Đặc điểm trình quản lý Local Group Policy Policy gồm 2 phần: Computer Configuration: nếu thiết lập các policy trong phần này thì đối tượng bị tác động là computer và user account User Configuration: đối tượng bị tác động là user account. Các giá trị có trên Policy của Windows: Not configured/Defined: không can thiệp vào policy, để mặc định theo Microsoft ( giá trị mặc định có lúc sẽ là disable policy, có lúc sẽ là enable policy). Enabled: bật policy. Disable: tắt policy. Cách áp đặt policy đã hiệu chỉnh cho hệ thống: Một số đặc điểm khác như sau: Một số Policy sẽ tự động có hiệu lực. Ta vào run -> cmd, dùng lệnh: gpupdate /force để bắt buộc hệ thống cập nhật policy. Nếu gpupdate /force mà vẫn chưa thấy có hiệu lực thì log off sau đó log on lại. 3 bước trên không dùng được thì Restart server (lưu ý: chỉ dùng khi 3 cách trên không có hiệu lực). Một số Local Policy thường dùng 1. Display shutdown event tracker Bật/Tắt chức năng “Display shutdown event tracker“: đây là chức năng bắt ta khai báo lý do nếu tắt server. https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 5/17
  6. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver 1 Computer configuration > Administrative Templates > System – bên phải chọn Display shutdown event tracker . https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 6/17
  7. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver 2. Các policy liên quan đến Control Panel Mở danh mục Policy liên quan đến Control Panel. 1 User Configuration > Administrative Templates > Control Panel + Show only specified Control Panel items: chỉ cho phép sử dụng 1 số item trong control panel do admin chỉ định. Bạn kích hoạt “enable” rồi click show, ta nhập đúng tên item trên control panel mà ta cho phép hiển thị Ví dụ : chỉ cho phép hiển thị item fonts https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 7/17
  8. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver – Gõ lệnh cập nhật trên cmd . 1 gpupdate /force Kết quả: https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 8/17
  9. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver + Prohibit access to Control Panel and PC settings: cấm truy cập Control Panel. Bất lợi của policy này là những thiết lập liên quan đến control panel đều bị cấm ( Screen solution, Properties Computer, v.v đều bị cấm). 3. Các policy liên quan đến Desktop Mở danh mục Policy liên quan đến Desktop. 1 User Configuration > Administrative Templates > Desktop + Remove Recycle Bin icon from desktop: mất icon Recycle Bin ở desktop (muốn mất thì enable policy này). https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 9/17
  10. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver 4. Các policy liên quan đến Start Menu và Taskbar Mở danh mục Policy liên quan đến Start Menu và Taskbar. 1 User Configuration > Administrative Templates > Start Menu and Taskbar + Remove Run menu from Start menu: cấm chạy menu Run (bấm Windows + R cũng bị cấm). 5. Các policy liên quan đến System + Prevent access to the command prompt: cấm sử dụng cmd. + Don’t run specified Windows application: cấm các ứng dụng của Windows. Kích hoạt ‘enable’, chọn show. Mỗi ứng dụng sẽ có file thực thi (*.exe), chỉ cần add file thực thi là policy cấm được ứng dụng. Ví dụ: cấm internet explore (IE), file thực thi của IE là iexplore.exe https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 10/17
  11. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver + Run only specified Windows application: chỉ cho chạy các ứng dụng được chỉ định. Local Security Policy (chính sách bảo mật) Nó nằm trong danh mục đường dẫn như sau: 1 Computer Configuration\ Windows Settings\ Security Settings hoặc có thể mở nó bằng lệnh 1 > secpol.msc Các security policy thường gặp Account Policies (chính sách tài khoản) 1/ Password Policies: những chính sách liên quan đến mật khẩu https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 11/17
  12. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Minimum password length: quy định chiều dài tối thiểu của mật khẩu. Minimum password age: tuổi thọ tối thiểu của 1 password, nếu quy định là 2 thì sau 2 ngày password mới có thể được đổi. Maximum password age: tuổi thọ tối đa của 1 password (mặc định 42 ngày). Lúc này user nếu không muốn thay đổi password thì có thể đặt lại password cũ, do đó ta cần 1 policy để ngăn cản việc này như dưới : Enforce password history: nếu chọn 3 thì nó sẽ nhớ 3 password trước đó của user. Lần 1 đặt pass: 12 3 thì nó sẽ nhớ lại, và nó sẽ nhớ tối đa cái số mà ta chỉ định. Theo yêu cầu của Microsoft thì nên để 24 (!!). Password must meet complexity requirements: phải đặt password phức tạp (xem lại bà Local User and Group). Nếu không muốn đặt phức tạp thì disable. Store passwords using reversible encryption: mặc định windows lưu user, password dưới dạng mã hóa trong file SAM (Security Account Manager), có 2 dạng mã hóa là Reversible (có thể dịch ngược – mã hóa 2 chiều) và Irreversible ( không thể dịch ngược – mã hóa 1 chiều). Nếu enable thì hệ thống sẽ mã hóa 2 chiều, làm giảm độ an toàn khi có người nào đó lấy được file SAM. 2/ Account lockout Policy: các chính sách khóa tài khoản https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 12/17
  13. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Account lockout threshold: ngưỡng để quy định khóa tài khoản (mặc định là không khóa). Nếu ta chỉ định threshold là 3 thì nếu nhập sai password 3 lần thì sẽ khóa tài khoản (lần 4 nhập đúng cũng không được). Dùng để chống dò mật khẩu. Account lockout duration (T1): khóa tài khoản trong vòng bao nhiêu phút (giả sử ta khóa trong 30 phút) Reset account lockout counter after (T2): nhờ có bộ đếm (counter) mà hệ thống thống kê được số lần đăng nhập sai, policy này quy định thời gian bộ đếm reset lại về 0. Lúc này người dùng mới có thể tiếp tục đăng nhập Lưu ý: thời gian T1 >= T2. Khi tài khoản bị khóa thì sẽ hiện dấu check “Account is locked out” . Nếu người dùng không muốn đợi đến hết thời gian T2 để đăng nhập thì có thể nhờ admin bỏ check . Nếu T1 = 0 thì tài khoản sẽ bị khóa cho đến khi admin bỏ check. Local Policies (các chính sách cục bộ) 1/ User rights assignment: gán quyền cho người dùng. https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 13/17
  14. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Allow log on locally: cho phép đăng nhập trên máy. Deny log on locally: cấm đăng nhập trên máy ( nếu user vừa được Allow, vừa bị Deny thì Deny mạnh hơn => bị cấm log on). Shut down the system: cho phép user nào được tắt máy. Change the system time: cho phép chỉnh giờ hệ thống. 2/ Security Option Trong giao diện log-on, mặc định hệ thống hiển thị các user đang có => không bảo mật, ta dùng policy Interactive logon: Do not display last user name (không hiển thị user name cuối cùng và đồng thời không hiện ra các user khi đăng nhập). Interactive logon: Do not require CTRL + ALT + DEL : khi log-on không cần bấm tỗ hợp 3 phím Shutdown: Allow system to be shutdown without having to log on: cho phép tắt máy mà không cần log on. Account: Rename administrator account : đổi tên tài khoản administrator. Các policy liên quan đến vấn đề truy cập tài nguyên mạng. 1 secpol.msc -> security options -> local policies 1./ Security Options Network access: Sharing and security model for local accounts: Các chế độ truy cập mạng Classic (default) : cho phép chứng thực bằng các tài khoản trên local computer của máy chia sẻ. Guest: chỉ cho phép vào bằng tài khoản guest. Account: Limit local account use of blank password to console log on only: cấm tài khoản không có password truy cập tài nguyên https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 14/17
  15. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver 2./ User Rights Assignment Access this computer from the network: cho phép user, group truy cập tài nguyên (mặc định là tất cả user). Deny access to this computer from the network : cấm user, group nào đó truy cập tài nguyên (nếu vừa allow, vừa deny thì deny ưu tiên hơn). ******************************************************************* Như mình đã trình bày, các policy ta vừa kể trên là Local Group Policy áp đặt cho tất cả user trên hệ thống. Từ Windows Vista trở lên, Microsoft hỗ trợ công cụ áp policy cho 1 user cụ thể là Local User Policy. Start -> Run -> MMC -> Add/Remove Snap-in -> Group Policy Object Editor -> Browse - > tab user chỉ định user cụ thể -> OK (muốn thêm bao nhiêu user thì làm lại bấy nhiêu lần). https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 15/17
  16. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Lưu ý 1: Các policy lưu trong 1 file là có đường dẫn là: 1 C:\ Windows \ System32 \ Group Policy Mặc định folder Group Policy bị ẩn, ta phải hiển thị các file ẩn. https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 16/17
  17. 23/4/2019 MCSA 2012: Local Group Policy - Technology Diver Machine: lưu các policy của máy tính, User: các policy liên quan đến user. Ta xóa folder này và restart thì Windows sẽ phát sinh cấu hình default => mất policy. Lưu ý 2: Ta nhận thấy Administrator có thể đăng nhập vào safe mode khi bị disable, thì để bảo mật tài khoản Administrator (built-in) ta cần làm các bước sau: Tạo user add vào group Administrators. Rename tài khoản Administrator built-in. Đặt password phức tạp cho Administrator built-in. Nếu các bạn muốn tìm hiểu thêm về các policy thì download file này : Tài liệu GPEDIT.MSC Nguồn: https://cuongquach.com Quách Chí Cường https://cuongquach.com/ Bạn đang theo dõi website "https://cuongquach.com/" nơi lưu trữ những kiến thức tổng hợp và chia sẻ cá nhân về Quản Trị Hệ Thống Dịch Vụ & Mạng, được xây dựng lại dưới nền tảng kinh nghiệm của bản thân mình, Quách Chí Cường. Hy vọng bạn sẽ thích nơi này !        https://cuongquach.com/mcsa-2012-local-group-policy.html#Account_Policies_chinh_sach_tai_khoan 17/17
nguon tai.lieu . vn
Tin học văn phòng Đồ họa - Thiết kế - Flash Quản trị Web Cơ sở dữ liệu Quản trị mạng Kỹ thuật lập trình Hệ điều hành Phần cứng An ninh - Bảo mật Chứng chỉ quốc tế Thủ thuật máy tính Điện - Điện tử Kinh tế học Hoá học Xã hội học Môi trường