Ngô Văn Công Ngô Văn Công CHÍNH SÁCH NHÓM CHÍNH SÁCH NHÓM Giới thiệu Giới thiệu  Chính sách nhóm: tập hợp cấu hình về người Chính sách nhóm: tập hợp cấu hình về người dùng và máy tính chỉ ra dùng và máy tính chỉ ra  Cách các chương trình, tài nguyên mạng Cách các chương trình, tài nguyên mạng làm việc với người dùng và máy tính trong làm việc với người dùng và máy tính trong mạng mạng  GP có thể thiết lập cho sites, domains, OU, GP có thể thiết lập cho sites, domains, OU, computers computers  Ví dụ: dùng GP có thể thiết lập ứng dụng mà 1 Ví dụ: dùng GP có thể thiết lập ứng dụng mà 1 người dùng có thể chạy, chương trình xuất người dùng có thể chạy, chương trình xuất hiện trên desktop hiện trên desktop Đối tượng chính sách Đối tượng chính sách nhóm(GPO) nhóm(GPO)  Tập hợp các thiết lập chính sách nhóm Tập hợp các thiết lập chính sách nhóm  GPO mặc định GPO mặc định  Default Domain Policy: Liên kết với domain, Default Domain Policy: Liên kết với domain, và có ảnh hưởng tới tất cả người dùng và và có ảnh hưởng tới tất cả người dùng và máy tính trong miền. máy tính trong miền.  Default Domain Controllers Policy: Liên kết Default Domain Controllers Policy: Liên kết đến máy tính DC OU, thường chỉ ảnh hưởng đến máy tính DC OU, thường chỉ ảnh hưởng đến các máy tính điều khiển miền đến các máy tính điều khiển miền Các kiểu chính sách nhóm Các kiểu chính sách nhóm  Chính sách nhóm cục bộ(Local Group Policy) Chính sách nhóm cục bộ(Local Group Policy)  Mỗi máy tính sẽ có 1 chính sách cục bộ dù cho nó Mỗi máy tính sẽ có 1 chính sách cục bộ dù cho nó có tham gia vào miền hay không. có tham gia vào miền hay không.  Chỉ ảnh hưởng đến máy tính mà nó được tạo Chỉ ảnh hưởng đến máy tính mà nó được tạo  Chính sách nhóm miền(nonlocal Group Policy) Chính sách nhóm miền(nonlocal Group Policy)  Được tạo ra trong hệ thống thư mục(AD) và phải Được tạo ra trong hệ thống thư mục(AD) và phải được liên kết đến 1 site, domain, OU được liên kết đến 1 site, domain, OU  Mặc định có 2 chính sách mặc định được tạo khi Mặc định có 2 chính sách mặc định được tạo khi nâng cấp lên máy quản lý miền nâng cấp lên máy quản lý miền  Default Domain Policy: Liên kết vời miền và ảnh hưởng Default Domain Policy: Liên kết vời miền và ảnh hưởng toàn bộ máy tính và người dùng trong miền toàn bộ máy tính và người dùng trong miền  Default Domain Controller Policy: Liên kết với các DC Default Domain Controller Policy: Liên kết với các DC trong mạng trong mạng Tạo 1 đối tượng Group Tạo 1 đối tượng Group Policy Policy  2 cách tạo GPO: 2 cách tạo GPO:  Group Policy standalone Microsoft Group Policy standalone Microsoft Management Console (MMC) snap-in Management Console (MMC) snap-in  Group Policy extension trong Active Group Policy extension trong Active Directory Users and Computers Directory Users and Computers Tạo 1 đối tượng Group Tạo 1 đối tượng Group Policy dùng MMC Policy dùng MMC  Mục tiêu: Tạo 1 GPO dùng Group Mục tiêu: Tạo 1 GPO dùng Group Policy Object Editor MMC snap-in Policy Object Editor MMC snap-in  Tìm MMC Group Policy Object Editor Tìm MMC Group Policy Object Editor snap-in snap-in  Tạo GPO mới Tạo GPO mới (tt) (tt) GPO editor GPO editor  Dùng để tổ chức và quản lý các thiết lập chính Dùng để tổ chức và quản lý các thiết lập chính sách nhóm của các GPO sách nhóm của các GPO Thiết lập chính sách nhóm Thiết lập chính sách nhóm  Cấu hình máy tính Cấu hình máy tính  Các thiết lập áp dụng cho máy tính Các thiết lập áp dụng cho máy tính  không quan tâm đến người đăng nhập vào không quan tâm đến người đăng nhập vào máy tính máy tính  thường ảnh hưởng tới quá trình Hệ điều thường ảnh hưởng tới quá trình Hệ điều hành khởi động hành khởi động  Cấu hình ngưới dùng Cấu hình ngưới dùng  Các thiết lập áp dụng cho người dùng Các thiết lập áp dụng cho người dùng  không quan tâm đến máy tính mà người không quan tâm đến máy tính mà người dùng đăng nhập dùng đăng nhập  thường ảnh hưởng tới trong quá trình thường ảnh hưởng tới trong quá trình người dùng đăng nhập vào hệ thống người dùng đăng nhập vào hệ thống (tt) (tt)  Thiết lập phần mềm(Software setting) Thiết lập phần mềm(Software setting)  Thiết lập cửa sổ(Window setting) Thiết lập cửa sổ(Window setting)  Mẫu quản trị(Administrative Template) Mẫu quản trị(Administrative Template) [...]... là thành viên workgroup chỉ xử lý các chính sách nhóm cục bộ(Local GPO)  No override: Các chính sách nhóm khác không thể ghi đè lên chính sách nhóm này  Block Policy Inheritance: Không cho phép kế thừa chính sách nhóm Khóa thừa kế Policy  Để thay đổi thừa kế mặc định, dùng Block Policy trong thẻ Group Policy cho 1 container con  Con sẽ không thừa kế các chính sách của cha  Có ích nếu 1 OU cần được... các chính sách của cha  Có ích nếu 1 OU cần được quản lý riêng Cấu hình No Override  Nếu 1 chính sách được cấu hình với No Override  Nó sẽ bị ép áp dụng các mâu thuẫn trong các chính sách ở mức thấp hơn  Nó sẽ bị ép áp dụng trên các contairner ở mức thấp hơn với thiết lập thừa kế Block Policy Tạo chính sách nhóm Hạn chế chức năng của Internet Explorer  Không cho phép người dùng thay đổi bất kỳ thông... Các chính sách được áp dụng theo thứ tự mà chúng xuất hiện trên thẻ Group Policy cho mỗi container, bên dưới GPO đầu tiên  Áp dụng số lượng nhiều các GPO có thể ảnh hưởng hiệu suất khởi động và đăng nhập Quản lý thừa kế Group Policy (tt)  Các mâu thuẫn được giải quyết theo một tập các công thức  Các chính sách được cập nhật tự động tại từng thời điểm và có thể cập nhật thủ công  Các chính sách. .. dụng, desktop, My Documents, Start menu  Tái điều hướng có ích vì:  Hỗ trợ backup  Giảm thời gian đăng nhập  Cho phép tạo 1 desktop chuẩn cho nhiều user Tái điều hướng các thư mục (tt) Sự Kế Thừa Chính Sách Nhóm  Group Policy sẽ được kế thừa từ đối tượng cha sang đối tượng con trong cùng domain  Group Policy không kế thừa từ miền cha sang miền con  Nếu một thiết lập đã xác lập cho đối tượng cha thì...  Ứng dụng của Group Policy 2 loại chính:  Cấu hình computer (các thiết lập áp dụng cho các computer trong container)  Cấu hình user (các thiết lập áp dụng cho các user trong container) Ngay khi computer khởi động (hoặc user đăng nhập)  Computer truy vấn DC về các GPO DC tìm các GPO có thể áp dụng  DC trình ra 1 danh sách các GPO Client lấy các mẫu GP, áp dụng các thiết lập... thống  Hạn chế các chương trình  Hạn chế tổng quát màn hình Desktop Điều khiển các thiết lập  Các mẫu:  Dùng để hạn chế thao tác cấu hình user desktop và computer  Giảm công sức quản trị  7 loại chính của việc thiết lập cấu hình có thể áp dụng cho computer hoặc user của 1 GPO Điều khiển các thiết lập User Desktop (tt) Quản lý bảo mật với Group Policy  Các thiết lập Password Policy, Account Policy, . khiển miền Các kiểu chính sách nhóm Các kiểu chính sách nhóm  Chính sách nhóm cục bộ(Local Group Policy) Chính sách nhóm cục bộ(Local Group Policy)  Mỗi máy tính sẽ có 1 chính sách cục bộ dù cho. desktop hiện trên desktop Đối tượng chính sách Đối tượng chính sách nhóm( GPO) nhóm( GPO)  Tập hợp các thiết lập chính sách nhóm Tập hợp các thiết lập chính sách nhóm  GPO mặc định GPO mặc định  Default. Ngô Văn Công Ngô Văn Công CHÍNH SÁCH NHÓM CHÍNH SÁCH NHÓM Giới thiệu Giới thiệu  Chính sách nhóm: tập hợp cấu hình về người Chính sách nhóm: tập hợp cấu hình về người dùng và