hực tập 9-7: Cấu hình các
thiết lập bảo mật hệ thống file
dùng GPO
• Mục tiêu: Dùng các thiết lập GP để cấu hình các
quyền bảo mật
• Tạo 1 thư mục
• Dùng Active Directory Users and Computers để
cấu hình các quyền trên các thư mục
• Kiểm tra lại
Gán các Script
• Windows Server 2003 có thể chạy các script trong lúc:
• User đăng nhập và đăng xuất
• Phần User của GPO
• Computer khởi động và shutdown
• Phần Computer của GPO
• Mặc định là các script chạy đồng bộ từ trên xuống dưới
• Có thể xác định các thời điểm script time-out, thực thi
không đồng bộ và ẩn các script
Thực tập 9-8: Gán các Logon
Script cho các User dùng
Group Policy
• Mục tiêu: Dùng các GPO để gán các logon script
cho các domain user
• Tạo 1 file script
• Thêm script vào chính sách logon của một nhóm
nào đó dùng Directory Users and Computers
• Kiểm tra lại script chỉ chạy trên các user của group
này chứ không phải group khác
42 trang |
Chia sẻ: trungkhoi17 | Lượt xem: 486 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment - Chương 9: Hiện thực và dùng Group Policy - Trần Bá Nhiệm, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
70-290: MCSE Guide to Managing
a Microsoft Windows Server 2003
Environment
Chương 9:
Hiện thực và dùng Group
Policy
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
2
Mục tiêu
• Tạo và quản lý các đối tượng Group Policy để
điều khiển các thiết lập dektop, bảo mật, các script
và tái điều hướng thư mục
• Quản lý và xử lý sự cố với việc thừa kế Group
Policy
• Cài đặt và quản lý phần mềm dùng Group Policy
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
3
Giới thiệu Group Policy
• Group policy tập trung hóa việc quản lý các thiết
lập cấu hình user và computer thông qua mạng
• Một đối tượng group policy là một đối tượng AD
dùng để cấu hình các thiết lập chính sách cho các
đối tượng user và computer
• Có 2 đối tượng Group Policy mặc định:
• Domain Policy mặc định (liên kết đến domain
container)
• Domain Controllers Policy mặc định (liên kết đến
domain controller OU)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
4
Giới thiệu Group Policy (tt)
• Có thể sửa chữa các GPO mặc định
• Có thể tạo các GPO mới và liên kết chúng với các
site, domain và OU
• Thiết lập policy sẽ lan truyền đến các user và computer
chứa trong các OU con
• Group policy chỉ có thể áp dụng các máy tính chạy
Windows Server 2003, Windows 2000, Windows
XP
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
5
Tạo 1 đối tượng Group Policy
• 2 cách tạo GPO:
• Group Policy standalone Microsoft Management
Console (MMC) snap-in
• Group Policy extension trong Active Directory Users
and Computers
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
6
Thực tập 9-1: Tạo 1 đối tượng
Group Policy dùng MMC
• Mục tiêu: Tạo 1 GPO dùng Group Policy Object
Editor MMC snap-in
• Tìm MMC Group Policy Object Editor snap-in
• Tạo GPO mới
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
7
Thực tập 9-1 (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
8
Thực tập 9-2: Tạo các OU và di
chuyển các tài khoản user vào
• Mục tiêu: Tạo các OU và di chuyển các tài khoản
user vào đó
• Phải quen thuộc với việc dùng các OU điều khiển ứng
dụng thiết lập Group Policy
• Tạo OU mới dùng Active Directory Users and
Computers
• Di chuyển các tài khoản user vào OU mới đó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
9
Thực tập 9-3: Tạo 1 GPO và
xem các thiết lập
• Mục tiêu: Tạo 1 GPO và dùng Active Directory
Users and Computers như cách thay thế cho
phương pháp MMC snap-in
• Từ Active Directory Users and Computers, dùng thẻ
Group Policy trong Properties của 1 OU đã có để thêm
và tạo các GPO
• Xem các thiết lập cấu hình của 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
10
Sửa chữa 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
11
Sửa chữa 1 GPO
• Bảng 9-1 hiển thị các loại cấu hình cho cả
computer và user
• 2 thẻ trong Properties cho mỗi thiết lập:
• Thiết lập cho phép kích hoạt/cấm
• Giải thích các thông tin về thiết lập
• Nội dung GPO được lưu giữ ở 2 vị trí:
• Group Policy container (GPC)
• Group Policy template (GPT)
• Mỗi GPO được định danh bởi một globally
unique identifier (GUID) 128-bit
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
12
Thực tập 9-4: Xóa 1 GPO
• Mục tiêu: Xóa 1 GPO dùng Active Directory
Users and Computers
• Các GPO đã tạo trước đó được xóa từ 1 OU
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
13
Ứng dụng của Group Policy
• 2 loại chính:
• Cấu hình computer (các thiết lập áp dụng cho các
computer trong container)
• Cấu hình user (các thiết lập áp dụng cho các user trong
container)
• Ngay khi computer khởi động (hoặc user đăng
nhập)
• Computer truy vấn DC về các GPO. DC tìm các GPO
có thể áp dụng.
• DC trình ra 1 danh sách các GPO. Client lấy các mẫu
GP, áp dụng các thiết lập và chạy các script
• Tiến trình cơ bản giống như vậy khi user đăng nhập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
14
Điều khiển các thiết lập User
Desktop
• Các mẫu:
• Dùng để hạn chế thao tác cấu hình user desktop và
computer
• Giảm công sức quản trị
• 7 loại chính của việc thiết lập cấu hình có thể áp dụng
cho computer hoặc user của 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
15
Điều khiển các thiết lập User
Desktop (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
16
Thực tập 9-5: Cấu hình các
thiết lập User Desktop
• Mục tiêu: Cấu hình và kiểm tra ứng dụng của thiết
lập GP
• Dùng Active Directory Users and Computers để
truy cập thiết lập mong muốn
• Cấu hình các thiết lập dùng trình soạn thảo GPO
• Kiểm tra lại cấu hình có kết quả như y/c
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
17
Quản lý bảo mật với Group
Policy
• Các thiết lập Password Policy, Account Policy,
Kerberos Policy chỉ có thể áp dụng trên các đối
tượng domain
• Các nút khác trong loại Security Settings có thể áp
dụng trên cả domain và các OU
• Local Policies
• Audit Policy
• User Rights Assignment
• Security Options
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
18
Quản lý bảo mật với Group
Policy (tt)
• Event Log
• Restricted Groups
• System Services
• Registry
• File System
• Wireless Network Policies
• Public Key Policies
• Software Restriction Policies
• IP Security Policies on Active Directory
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
19
Thực tập 9-6:Cấu hình các
thiết lập bảo mật GPO
• Mục tiêu: Dùng các thiết lập GPO để cấu hình 1
logon banner cho các domain user
• Dùng Directory Users and Computers để truy cập
Default Domain Policy GPO
• Tạo một logon banner
• Kiểm tra là banner có xuất hiện
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
20
Thực tập 9-7: Cấu hình các
thiết lập bảo mật hệ thống file
dùng GPO
• Mục tiêu: Dùng các thiết lập GP để cấu hình các
quyền bảo mật
• Tạo 1 thư mục
• Dùng Active Directory Users and Computers để
cấu hình các quyền trên các thư mục
• Kiểm tra lại
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
21
Gán các Script
• Windows Server 2003 có thể chạy các script trong lúc:
• User đăng nhập và đăng xuất
• Phần User của GPO
• Computer khởi động và shutdown
• Phần Computer của GPO
• Mặc định là các script chạy đồng bộ từ trên xuống dưới
• Có thể xác định các thời điểm script time-out, thực thi
không đồng bộ và ẩn các script
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
22
Thực tập 9-8: Gán các Logon
Script cho các User dùng
Group Policy
• Mục tiêu: Dùng các GPO để gán các logon script
cho các domain user
• Tạo 1 file script
• Thêm script vào chính sách logon của một nhóm
nào đó dùng Directory Users and Computers
• Kiểm tra lại script chỉ chạy trên các user của group
này chứ không phải group khác
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
23
Tái điều hướng các thư mục
• Cho phép tái điều hướng các nội dung của 1 user
profile đến 1 vị trí trên mạng
• Nội dung có thể tái điều hướng là: dữ liệu ứng
dụng, desktop, My Documents, Start menu
• Tái điều hướng có ích vì:
• Hỗ trợ backup
• Giảm thời gian đăng nhập
• Cho phép tạo 1 desktop chuẩn cho nhiều user
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
24
Tái điều hướng các thư mục
(tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
25
Quản lý thừa kế Group Policy
• Thứ tự đặc biệt cho ứng dụng GPO:
• Local computer Site Domain Parent OU Child OU
• Theo mặc định tất cả các thiết lập GPO được thừa kế
• Tại mỗi mức, có thể có nhiều GPO
• Các chính sách được áp dụng theo thứ tự mà chúng xuất hiện trên
thẻ Group Policy cho mỗi container, bên dưới GPO đầu tiên
• Áp dụng số lượng nhiều các GPO có thể ảnh hưởng hiệu
suất khởi động và đăng nhập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
26
Quản lý thừa kế Group Policy
(tt)
• Các mâu thuẫn được giải quyết theo một tập các
công thức
• Các chính sách được cập nhật tự động tại từng thời
điểm và có thể cập nhật thủ công
• Các chính sách có thể liên kết với 1 site, domain
hoặc các OU container
• Một GPO đơn có thể liên kết với nhiều container
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
27
Thực tập 9-9: Liên kết 1 GPO
với nhiều Container
• Mục tiêu: Liên kết 1 GPO với nhiều Container
• Dùng Active Directory Users and Computers để
tạo và cấu hình 1 GPO mới trong 1 OU
• Thêm GPO vào OU khác
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
28
Cấu hình khóa thừa kế Policy,
No Override và Filtering
• Những tùy chọn này cho phép sửa đổi cách xử lý
mặc định đ/v các container đặc biệt:
• Có thể thay đổi chính sách thừa kế mặc định
• Có thể thay đổi cách giải quyết mâu thuẫn
• Có thể thay đổi quyền cho 1 thành viên đặc biệt trong 1
group để từ chối áp dụng GPO cho thành viên đó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
29
Khóa thừa kế Policy
• Để thay đổi thừa kế mặc định, dùng Block Policy
trong thẻ Group Policy cho 1 container con
• Con sẽ không thừa kế các chính sách của cha
• Có ích nếu 1 OU cần được quản lý riêng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
30
Cấu hình No Override
• Nếu 1 chính sách được cấu hình với No Override
• Nó sẽ bị ép áp dụng các mâu thuẫn trong các chính sách
ở mức thấp hơn
• Nó sẽ bị ép áp dụng trên các contairner ở mức thấp hơn
với thiết lập thừa kế Block Policy
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
31
Filtering dùng các quyền
• Ngăn cản các thiết lập policy đ/v việc áp dụng cho
1 user, group, computer nào đó trong 1 container
• Để lọc 1 GPO đ/v 1 thành viên trong 1 container,
từ chối các quyền Read and Apply Group Policy
cho tài khoản của thành viên đó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
32
Thực tập 9-10: Cấu hình các thiết
lập thừa kế GPO
• Mục tiêu: Khảo sát và cấu hình các thiết lập thừa
kế GPO
• Cấu hình Default Domain Policy GPO dùng
Active Directory Users and Computers
• Override cấu hình Default Domain Policy tại mức
OU và kiểm tra lại
• Cấu hình No Override tại mức domain
• Kiểm tra lại No Override
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
33
Thực tập 9-11: Lọc GPO
• Mục tiêu: Dùng các quyền bảo mật để lọc và điều
khiển ứng dụng của các thiết lập GP
• Dùng Active Directory Users and Computers thêm
1 tài khoản user vào 1 group nhưng từ chối các
quyền GPO của group
• Kiểm tra lại user vừa thêm không được cấu hình
với GPO của group
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
34
Sự cố khi thiết lập Group
Policy
• Các vùng tiềm ẩn:
• Thứ tự xử lý GP
• Dùng không đúng các thiết lập thừa kế No Override hoặc Block
Policy
• Các quyền Read and Apply Group Policy
• Các ứng dụng hiển thị ảnh hưởng của các thiết lập GP
• GPRESULT
• Dòng lệnh
• Resultant Set of Policy (RSoP)
• Giao diện
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
35
Thực tập 9-12: Xác định các
thiết lập GP dùng RSoP
• Mục tiêu: Dùng RSoP để xác định hiệu quả các
thiết lập GP
• Dùng Active Directory Users and Computers để
cấu hình Default Domain Policy
• Mở 1 MMC mới với RSoP snap-in
• Dùng RSoP đ/v Generate RSoP Data
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
36
Thực tập 9-12 (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
37
Triển khai các phần mềm dùng
Group Policy
• Các ứng dụng có thể được triển khai dùng GP
gồm:
• Các ứng dụng thương mại (như Microsoft Office)
• Phần mềm chống virus
• Các cập nhật phần mềm (như các service packs)
• 4 giai đoạn trong cuộc đời của 1 phần mềm:
• Chuẩn bị
• Triển khai
• Bảo trì
• Gỡ bỏ
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
38
Thực tập 9-13: Xuất bản 1 ứng
dụng cho các user dùng Group
Policy
• Mục tiêu: Xuất bản 1 ứng dụng dùng các thiết lập
GP
• Tạo 1 thư mục chia sẻ và copy các file vào đó
• Tạo 1 GPO để xuất bản các file phần mềm vào thư
mục
• Đăng nhập như thành viên của group và cài đặt
phần mềm
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
39
Thực tập 9-14: Chuyển 1 ứng
dụng cho các user dùng Group
Policy
• Mục tiêu: Chuyển 1 ứng dụng dùng các thiết lập
GP
• Tạo và cấu hình 1 GPO mới để chuyển phần cài
đặt phần mềm đến các user trong OU
• Đăng nhập như 1 user trong OU
• Kiểm tra lại phần mềm có thể cài đặt và thực thi
như mong muốn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
40
Tổng kết
• Một GPO là một đối tượng trong AD dùng để cấu
hình và áp dụng các thiết lập cho các đối tượng
user & computer
• 2 kiểu GPO mặc định được tạo khi AD đã cài đặt:
• Default Domain Policy
• Default Domain Controllers Policy
• 2 cơ chế để tạo các GPO:
• Microsoft Management Console Group Policy snap-in
• Group Policy extension trong Active Directory Users
and Computers
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
41
Tổng kết (tt)
• Các GPO có thể được dùng để:
• Điều khiển các thiết lập desktop và bảo mật
• Áp dụng các script khi user đăng nhập và đăng xuất,
khi computer khởi động và shutdown
• Cho tái điều hướng thư mục
• Các GPO được áp dụng theo thứ tự xác định
• Các GPO được thừa kế theo mặc định:
• Có thể thay đổi bằng cách khóa thừa kế Group Policy,
cấu hình No Override hoặc lọc dùng các quyền user
• Dùng GPRESULT hoặc công cụ RSoP để xem tác động
của các thiết lập GP
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
42
Tổng kết (tt)
• Các GPO có ích trong việc triển khai và bảo trì các
ứng dụng phần mềm
• Các GPO được dùng trong 4 giai đoạn của 1 phần
mềm
• Để triển khai, GP dùng 1 file MSI chứa các thông
tin cần thiết để cài đặt theo một số cấu hình khác
nhau
• Các ứng dụng đã cài đặt có thể được chuyển hoặc
xuất bản
Các file đính kèm theo tài liệu này:
- bai_giang_70_290_mcse_guide_to_managing_a_microsoft_windows.pdf