Mô tả:
70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003
Environment
Chương 9:
Hiện thực và dùng Group
Policy
Mục tiêu
• Tạo và quản lý các đối tượng Group Policy để
điều khiển các thiết lập dektop, bảo mật, các script
và tái điều hướng thư mục
• Quản lý và xử lý sự cố với việc thừa kế Group
Policy
• Cài đặt và quản lý phần mềm dùng Group Policy
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
2
Giới thiệu Group Policy
• Group policy tập trung hóa việc quản lý các thiết
lập cấu hình user và computer thông qua mạng
• Một đối tượng group policy là một đối tượng AD
dùng để cấu hình các thiết lập chính sách cho các
đối tượng user và computer
• Có 2 đối tượng Group Policy mặc định:
• Domain Policy mặc định (liên kết đến domain
container)
• Domain Controllers Policy mặc định (liên kết đến
domain controller OU)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
3
Giới thiệu Group Policy (tt)
• Có thể sửa chữa các GPO mặc định
• Có thể tạo các GPO mới và liên kết chúng với các
site, domain và OU
• Thiết lập policy sẽ lan truyền đến các user và computer
chứa trong các OU con
• Group policy chỉ có thể áp dụng các máy tính chạy
Windows Server 2003, Windows 2000, Windows
XP
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
4
Tạo 1 đối tượng Group Policy
• 2 cách tạo GPO:
• Group Policy standalone Microsoft Management
Console (MMC) snap-in
• Group Policy extension trong Active Directory Users
and Computers
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
5
Thực tập 9-1: Tạo 1 đối tượng
Group Policy dùng MMC
• Mục tiêu: Tạo 1 GPO dùng Group Policy Object
Editor MMC snap-in
• Tìm MMC Group Policy Object Editor snap-in
• Tạo GPO mới
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
6
Thực tập 9-1 (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
7
Thực tập 9-2: Tạo các OU và di
chuyển các tài khoản user vào
• Mục tiêu: Tạo các OU và di chuyển các tài khoản
user vào đó
• Phải quen thuộc với việc dùng các OU điều khiển ứng
dụng thiết lập Group Policy
• Tạo OU mới dùng Active Directory Users and
Computers
• Di chuyển các tài khoản user vào OU mới đó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
8
Thực tập 9-3: Tạo 1 GPO và
xem các thiết lập
• Mục tiêu: Tạo 1 GPO và dùng Active Directory
Users and Computers như cách thay thế cho
phương pháp MMC snap-in
• Từ Active Directory Users and Computers, dùng thẻ
Group Policy trong Properties của 1 OU đã có để thêm
và tạo các GPO
• Xem các thiết lập cấu hình của 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
9
Sửa chữa 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
10
Sửa chữa 1 GPO
• Bảng 9-1 hiển thị các loại cấu hình cho cả
computer và user
• 2 thẻ trong Properties cho mỗi thiết lập:
• Thiết lập cho phép kích hoạt/cấm
• Giải thích các thông tin về thiết lập
• Nội dung GPO được lưu giữ ở 2 vị trí:
• Group Policy container (GPC)
• Group Policy template (GPT)
• Mỗi GPO được định danh bởi một globally
unique identifier (GUID) 128-bit
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
11
Thực tập 9-4: Xóa 1 GPO
• Mục tiêu: Xóa 1 GPO dùng Active Directory
Users and Computers
• Các GPO đã tạo trước đó được xóa từ 1 OU
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
12
Ứng dụng của Group Policy
• 2 loại chính:
• Cấu hình computer (các thiết lập áp dụng cho các
computer trong container)
• Cấu hình user (các thiết lập áp dụng cho các user trong
container)
• Ngay khi computer khởi động (hoặc user đăng
nhập)
• Computer truy vấn DC về các GPO. DC tìm các GPO
có thể áp dụng.
• DC trình ra 1 danh sách các GPO. Client lấy các mẫu
GP, áp dụng các thiết lập và chạy các script
• Tiến trình cơ bản giống như vậy khi user đăng nhập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
13
Điều khiển các thiết lập User
Desktop
• Các mẫu:
• Dùng để hạn chế thao tác cấu hình user desktop và
computer
• Giảm công sức quản trị
• 7 loại chính của việc thiết lập cấu hình có thể áp dụng
cho computer hoặc user của 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
14
Điều khiển các thiết lập User
Desktop (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
15
Thực tập 9-5: Cấu hình các
thiết lập User Desktop
• Mục tiêu: Cấu hình và kiểm tra ứng dụng của thiết
lập GP
• Dùng Active Directory Users and Computers để
truy cập thiết lập mong muốn
• Cấu hình các thiết lập dùng trình soạn thảo GPO
• Kiểm tra lại cấu hình có kết quả như y/c
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
16
Quản lý bảo mật với Group
Policy
• Các thiết lập Password Policy, Account Policy,
Kerberos Policy chỉ có thể áp dụng trên các đối
tượng domain
• Các nút khác trong loại Security Settings có thể áp
dụng trên cả domain và các OU
• Local Policies
• Audit Policy
• User Rights Assignment
• Security Options
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
17
Quản lý bảo mật với Group
Policy (tt)
•
•
•
•
•
•
•
•
•
Event Log
Restricted Groups
System Services
Registry
File System
Wireless Network Policies
Public Key Policies
Software Restriction Policies
IP Security Policies on Active Directory
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
18
Thực tập 9-6:Cấu hình các
thiết lập bảo mật GPO
• Mục tiêu: Dùng các thiết lập GPO để cấu hình 1
logon banner cho các domain user
• Dùng Directory Users and Computers để truy cập
Default Domain Policy GPO
• Tạo một logon banner
• Kiểm tra là banner có xuất hiện
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
19
Thực tập 9-7: Cấu hình các
thiết lập bảo mật hệ thống file
dùng GPO
• Mục tiêu: Dùng các thiết lập GP để cấu hình các
quyền bảo mật
• Tạo 1 thư mục
• Dùng Active Directory Users and Computers để
cấu hình các quyền trên các thư mục
• Kiểm tra lại
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
20
- Xem thêm -