Mô tả:
• Tạo các OU và di chuyển
các tài khoản user vào
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
1
Thực tập 9-2: Tạo các OU và di
chuyển các tài khoản user vào
• Mục tiêu: Tạo các OU và di chuyển các tài khoản
user vào đó
• Phải quen thuộc với việc dùng các OU điều khiển ứng
dụng thiết lập Group Policy
• Tạo OU mới dùng Active Directory Users and
Computers
• Di chuyển các tài khoản user vào OU mới đó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
2
Thực tập 9-3: Tạo 1 GPO và
xem các thiết lập
• Mục tiêu: Tạo 1 GPO và dùng Active Directory
Users and Computers như cách thay thế cho
phương pháp MMC snap-in
• Từ Active Directory Users and Computers, dùng thẻ
Group Policy trong Properties của 1 OU đã có để thêm
và tạo các GPO
• Xem các thiết lập cấu hình của 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
3
Sửa chữa 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
4
Sửa chữa 1 GPO
• Bảng 9-1 hiển thị các loại cấu hình cho cả
computer và user
• 2 thẻ trong Properties cho mỗi thiết lập:
• Thiết lập cho phép kích hoạt/cấm
• Giải thích các thông tin về thiết lập
• Nội dung GPO được lưu giữ ở 2 vị trí:
• Group Policy container (GPC)
• Group Policy template (GPT)
• Mỗi GPO được định danh bởi một globally
unique identifier (GUID) 128-bit
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
5
Thực tập 9-4: Xóa 1 GPO
• Mục tiêu: Xóa 1 GPO dùng Active Directory
Users and Computers
• Các GPO đã tạo trước đó được xóa từ 1 OU
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
6
Ứng dụng của Group Policy
• 2 loại chính:
• Cấu hình computer (các thiết lập áp dụng cho các
computer trong container)
• Cấu hình user (các thiết lập áp dụng cho các user trong
container)
• Ngay khi computer khởi động (hoặc user đăng
nhập)
• Computer truy vấn DC về các GPO. DC tìm các GPO
có thể áp dụng.
• DC trình ra 1 danh sách các GPO. Client lấy các mẫu
GP, áp dụng các thiết lập và chạy các script
• Tiến trình cơ bản giống như vậy khi user đăng nhập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
7
Điều khiển các thiết lập User
Desktop
• Các mẫu:
• Dùng để hạn chế thao tác cấu hình user desktop và
computer
• Giảm công sức quản trị
• 7 loại chính của việc thiết lập cấu hình có thể áp dụng
cho computer hoặc user của 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
8
Điều khiển các thiết lập User
Desktop (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
9
Thực tập 9-5: Cấu hình các
thiết lập User Desktop
• Mục tiêu: Cấu hình và kiểm tra ứng dụng của thiết
lập GP
• Dùng Active Directory Users and Computers để
truy cập thiết lập mong muốn
• Cấu hình các thiết lập dùng trình soạn thảo GPO
• Kiểm tra lại cấu hình có kết quả như y/c
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
10
Quản lý bảo mật với Group
Policy
• Các thiết lập Password Policy, Account Policy,
Kerberos Policy chỉ có thể áp dụng trên các đối
tượng domain
• Các nút khác trong loại Security Settings có thể áp
dụng trên cả domain và các OU
• Local Policies
• Audit Policy
• User Rights Assignment
• Security Options
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
11
Quản lý bảo mật với Group
Policy (tt)
•
•
•
•
•
•
•
•
•
Event Log
Restricted Groups
System Services
Registry
File System
Wireless Network Policies
Public Key Policies
Software Restriction Policies
IP Security Policies on Active Directory
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
12
Thực tập 9-6:Cấu hình các
thiết lập bảo mật GPO
• Mục tiêu: Dùng các thiết lập GPO để cấu hình 1
logon banner cho các domain user
• Dùng Directory Users and Computers để truy cập
Default Domain Policy GPO
• Tạo một logon banner
• Kiểm tra là banner có xuất hiện
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
13
Thực tập 9-7: Cấu hình các
thiết lập bảo mật hệ thống file
dùng GPO
• Mục tiêu: Dùng các thiết lập GP để cấu hình các
quyền bảo mật
• Tạo 1 thư mục
• Dùng Active Directory Users and Computers để
cấu hình các quyền trên các thư mục
• Kiểm tra lại
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
14
Gán các Script
• Windows Server 2003 có thể chạy các script trong lúc:
• User đăng nhập và đăng xuất
• Phần User của GPO
• Computer khởi động và shutdown
• Phần Computer của GPO
• Mặc định là các script chạy đồng bộ từ trên xuống dưới
• Có thể xác định các thời điểm script time-out, thực thi
không đồng bộ và ẩn các script
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
15
Thực tập 9-8: Gán các Logon
Script cho các User dùng
Group Policy
• Mục tiêu: Dùng các GPO để gán các logon script
cho các domain user
• Tạo 1 file script
• Thêm script vào chính sách logon của một nhóm
nào đó dùng Directory Users and Computers
• Kiểm tra lại script chỉ chạy trên các user của group
này chứ không phải group khác
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
16
Tái điều hướng các thư mục
• Cho phép tái điều hướng các nội dung của 1 user
profile đến 1 vị trí trên mạng
• Nội dung có thể tái điều hướng là: dữ liệu ứng
dụng, desktop, My Documents, Start menu
• Tái điều hướng có ích vì:
• Hỗ trợ backup
• Giảm thời gian đăng nhập
• Cho phép tạo 1 desktop chuẩn cho nhiều user
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
17
Tái điều hướng các thư mục
(tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
18
Quản lý thừa kế Group Policy
• Thứ tự đặc biệt cho ứng dụng GPO:
• Local computer Site Domain Parent OU Child OU
• Theo mặc định tất cả các thiết lập GPO được thừa kế
• Tại mỗi mức, có thể có nhiều GPO
• Các chính sách được áp dụng theo thứ tự mà chúng xuất hiện trên
thẻ Group Policy cho mỗi container, bên dưới GPO đầu tiên
• Áp dụng số lượng nhiều các GPO có thể ảnh hưởng hiệu
suất khởi động và đăng nhập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
19
Quản lý thừa kế Group Policy
(tt)
• Các mâu thuẫn được giải quyết theo một tập các
công thức
• Các chính sách được cập nhật tự động tại từng thời
điểm và có thể cập nhật thủ công
• Các chính sách có thể liên kết với 1 site, domain
hoặc các OU container
• Một GPO đơn có thể liên kết với nhiều container
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
20
- Xem thêm -