Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment - Chương 9: Hiện thực và dùng Group Policy - Trần Bá Nhiệm

hực tập 9-7: Cấu hình các

thiết lập bảo mật hệ thống file

dùng GPO

• Mục tiêu: Dùng các thiết lập GP để cấu hình các

quyền bảo mật

• Tạo 1 thư mục

• Dùng Active Directory Users and Computers để

cấu hình các quyền trên các thư mục

• Kiểm tra lại

Gán các Script

• Windows Server 2003 có thể chạy các script trong lúc:

• User đăng nhập và đăng xuất

• Phần User của GPO

• Computer khởi động và shutdown

• Phần Computer của GPO

• Mặc định là các script chạy đồng bộ từ trên xuống dưới

• Có thể xác định các thời điểm script time-out, thực thi

không đồng bộ và ẩn các script

Thực tập 9-8: Gán các Logon

Script cho các User dùng

Group Policy

• Mục tiêu: Dùng các GPO để gán các logon script

cho các domain user

• Tạo 1 file script

• Thêm script vào chính sách logon của một nhóm

nào đó dùng Directory Users and Computers

• Kiểm tra lại script chỉ chạy trên các user của group

này chứ không phải group khác

pdf42 trang | Chia sẻ: trungkhoi17 | Lượt xem: 486 | Lượt tải: 0download
Bạn đang xem trước 20 trang tài liệu Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment - Chương 9: Hiện thực và dùng Group Policy - Trần Bá Nhiệm, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 9: Hiện thực và dùng Group Policy 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 2 Mục tiêu • Tạo và quản lý các đối tượng Group Policy để điều khiển các thiết lập dektop, bảo mật, các script và tái điều hướng thư mục • Quản lý và xử lý sự cố với việc thừa kế Group Policy • Cài đặt và quản lý phần mềm dùng Group Policy 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 3 Giới thiệu Group Policy • Group policy tập trung hóa việc quản lý các thiết lập cấu hình user và computer thông qua mạng • Một đối tượng group policy là một đối tượng AD dùng để cấu hình các thiết lập chính sách cho các đối tượng user và computer • Có 2 đối tượng Group Policy mặc định: • Domain Policy mặc định (liên kết đến domain container) • Domain Controllers Policy mặc định (liên kết đến domain controller OU) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 4 Giới thiệu Group Policy (tt) • Có thể sửa chữa các GPO mặc định • Có thể tạo các GPO mới và liên kết chúng với các site, domain và OU • Thiết lập policy sẽ lan truyền đến các user và computer chứa trong các OU con • Group policy chỉ có thể áp dụng các máy tính chạy Windows Server 2003, Windows 2000, Windows XP 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 5 Tạo 1 đối tượng Group Policy • 2 cách tạo GPO: • Group Policy standalone Microsoft Management Console (MMC) snap-in • Group Policy extension trong Active Directory Users and Computers 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 6 Thực tập 9-1: Tạo 1 đối tượng Group Policy dùng MMC • Mục tiêu: Tạo 1 GPO dùng Group Policy Object Editor MMC snap-in • Tìm MMC Group Policy Object Editor snap-in • Tạo GPO mới 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 7 Thực tập 9-1 (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 8 Thực tập 9-2: Tạo các OU và di chuyển các tài khoản user vào • Mục tiêu: Tạo các OU và di chuyển các tài khoản user vào đó • Phải quen thuộc với việc dùng các OU điều khiển ứng dụng thiết lập Group Policy • Tạo OU mới dùng Active Directory Users and Computers • Di chuyển các tài khoản user vào OU mới đó 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 9 Thực tập 9-3: Tạo 1 GPO và xem các thiết lập • Mục tiêu: Tạo 1 GPO và dùng Active Directory Users and Computers như cách thay thế cho phương pháp MMC snap-in • Từ Active Directory Users and Computers, dùng thẻ Group Policy trong Properties của 1 OU đã có để thêm và tạo các GPO • Xem các thiết lập cấu hình của 1 GPO 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 10 Sửa chữa 1 GPO 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 11 Sửa chữa 1 GPO • Bảng 9-1 hiển thị các loại cấu hình cho cả computer và user • 2 thẻ trong Properties cho mỗi thiết lập: • Thiết lập cho phép kích hoạt/cấm • Giải thích các thông tin về thiết lập • Nội dung GPO được lưu giữ ở 2 vị trí: • Group Policy container (GPC) • Group Policy template (GPT) • Mỗi GPO được định danh bởi một globally unique identifier (GUID) 128-bit 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 12 Thực tập 9-4: Xóa 1 GPO • Mục tiêu: Xóa 1 GPO dùng Active Directory Users and Computers • Các GPO đã tạo trước đó được xóa từ 1 OU 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 13 Ứng dụng của Group Policy • 2 loại chính: • Cấu hình computer (các thiết lập áp dụng cho các computer trong container) • Cấu hình user (các thiết lập áp dụng cho các user trong container) • Ngay khi computer khởi động (hoặc user đăng nhập) • Computer truy vấn DC về các GPO. DC tìm các GPO có thể áp dụng. • DC trình ra 1 danh sách các GPO. Client lấy các mẫu GP, áp dụng các thiết lập và chạy các script • Tiến trình cơ bản giống như vậy khi user đăng nhập 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 14 Điều khiển các thiết lập User Desktop • Các mẫu: • Dùng để hạn chế thao tác cấu hình user desktop và computer • Giảm công sức quản trị • 7 loại chính của việc thiết lập cấu hình có thể áp dụng cho computer hoặc user của 1 GPO 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 15 Điều khiển các thiết lập User Desktop (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 16 Thực tập 9-5: Cấu hình các thiết lập User Desktop • Mục tiêu: Cấu hình và kiểm tra ứng dụng của thiết lập GP • Dùng Active Directory Users and Computers để truy cập thiết lập mong muốn • Cấu hình các thiết lập dùng trình soạn thảo GPO • Kiểm tra lại cấu hình có kết quả như y/c 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 17 Quản lý bảo mật với Group Policy • Các thiết lập Password Policy, Account Policy, Kerberos Policy chỉ có thể áp dụng trên các đối tượng domain • Các nút khác trong loại Security Settings có thể áp dụng trên cả domain và các OU • Local Policies • Audit Policy • User Rights Assignment • Security Options 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 18 Quản lý bảo mật với Group Policy (tt) • Event Log • Restricted Groups • System Services • Registry • File System • Wireless Network Policies • Public Key Policies • Software Restriction Policies • IP Security Policies on Active Directory 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 19 Thực tập 9-6:Cấu hình các thiết lập bảo mật GPO • Mục tiêu: Dùng các thiết lập GPO để cấu hình 1 logon banner cho các domain user • Dùng Directory Users and Computers để truy cập Default Domain Policy GPO • Tạo một logon banner • Kiểm tra là banner có xuất hiện 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 20 Thực tập 9-7: Cấu hình các thiết lập bảo mật hệ thống file dùng GPO • Mục tiêu: Dùng các thiết lập GP để cấu hình các quyền bảo mật • Tạo 1 thư mục • Dùng Active Directory Users and Computers để cấu hình các quyền trên các thư mục • Kiểm tra lại 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 21 Gán các Script • Windows Server 2003 có thể chạy các script trong lúc: • User đăng nhập và đăng xuất • Phần User của GPO • Computer khởi động và shutdown • Phần Computer của GPO • Mặc định là các script chạy đồng bộ từ trên xuống dưới • Có thể xác định các thời điểm script time-out, thực thi không đồng bộ và ẩn các script 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 22 Thực tập 9-8: Gán các Logon Script cho các User dùng Group Policy • Mục tiêu: Dùng các GPO để gán các logon script cho các domain user • Tạo 1 file script • Thêm script vào chính sách logon của một nhóm nào đó dùng Directory Users and Computers • Kiểm tra lại script chỉ chạy trên các user của group này chứ không phải group khác 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 23 Tái điều hướng các thư mục • Cho phép tái điều hướng các nội dung của 1 user profile đến 1 vị trí trên mạng • Nội dung có thể tái điều hướng là: dữ liệu ứng dụng, desktop, My Documents, Start menu • Tái điều hướng có ích vì: • Hỗ trợ backup • Giảm thời gian đăng nhập • Cho phép tạo 1 desktop chuẩn cho nhiều user 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 24 Tái điều hướng các thư mục (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 25 Quản lý thừa kế Group Policy • Thứ tự đặc biệt cho ứng dụng GPO: • Local computer  Site  Domain  Parent OU  Child OU • Theo mặc định tất cả các thiết lập GPO được thừa kế • Tại mỗi mức, có thể có nhiều GPO • Các chính sách được áp dụng theo thứ tự mà chúng xuất hiện trên thẻ Group Policy cho mỗi container, bên dưới GPO đầu tiên • Áp dụng số lượng nhiều các GPO có thể ảnh hưởng hiệu suất khởi động và đăng nhập 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 26 Quản lý thừa kế Group Policy (tt) • Các mâu thuẫn được giải quyết theo một tập các công thức • Các chính sách được cập nhật tự động tại từng thời điểm và có thể cập nhật thủ công • Các chính sách có thể liên kết với 1 site, domain hoặc các OU container • Một GPO đơn có thể liên kết với nhiều container 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 27 Thực tập 9-9: Liên kết 1 GPO với nhiều Container • Mục tiêu: Liên kết 1 GPO với nhiều Container • Dùng Active Directory Users and Computers để tạo và cấu hình 1 GPO mới trong 1 OU • Thêm GPO vào OU khác 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 28 Cấu hình khóa thừa kế Policy, No Override và Filtering • Những tùy chọn này cho phép sửa đổi cách xử lý mặc định đ/v các container đặc biệt: • Có thể thay đổi chính sách thừa kế mặc định • Có thể thay đổi cách giải quyết mâu thuẫn • Có thể thay đổi quyền cho 1 thành viên đặc biệt trong 1 group để từ chối áp dụng GPO cho thành viên đó 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 29 Khóa thừa kế Policy • Để thay đổi thừa kế mặc định, dùng Block Policy trong thẻ Group Policy cho 1 container con • Con sẽ không thừa kế các chính sách của cha • Có ích nếu 1 OU cần được quản lý riêng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 30 Cấu hình No Override • Nếu 1 chính sách được cấu hình với No Override • Nó sẽ bị ép áp dụng các mâu thuẫn trong các chính sách ở mức thấp hơn • Nó sẽ bị ép áp dụng trên các contairner ở mức thấp hơn với thiết lập thừa kế Block Policy 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 31 Filtering dùng các quyền • Ngăn cản các thiết lập policy đ/v việc áp dụng cho 1 user, group, computer nào đó trong 1 container • Để lọc 1 GPO đ/v 1 thành viên trong 1 container, từ chối các quyền Read and Apply Group Policy cho tài khoản của thành viên đó 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 32 Thực tập 9-10: Cấu hình các thiết lập thừa kế GPO • Mục tiêu: Khảo sát và cấu hình các thiết lập thừa kế GPO • Cấu hình Default Domain Policy GPO dùng Active Directory Users and Computers • Override cấu hình Default Domain Policy tại mức OU và kiểm tra lại • Cấu hình No Override tại mức domain • Kiểm tra lại No Override 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 33 Thực tập 9-11: Lọc GPO • Mục tiêu: Dùng các quyền bảo mật để lọc và điều khiển ứng dụng của các thiết lập GP • Dùng Active Directory Users and Computers thêm 1 tài khoản user vào 1 group nhưng từ chối các quyền GPO của group • Kiểm tra lại user vừa thêm không được cấu hình với GPO của group 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 34 Sự cố khi thiết lập Group Policy • Các vùng tiềm ẩn: • Thứ tự xử lý GP • Dùng không đúng các thiết lập thừa kế No Override hoặc Block Policy • Các quyền Read and Apply Group Policy • Các ứng dụng hiển thị ảnh hưởng của các thiết lập GP • GPRESULT • Dòng lệnh • Resultant Set of Policy (RSoP) • Giao diện 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 35 Thực tập 9-12: Xác định các thiết lập GP dùng RSoP • Mục tiêu: Dùng RSoP để xác định hiệu quả các thiết lập GP • Dùng Active Directory Users and Computers để cấu hình Default Domain Policy • Mở 1 MMC mới với RSoP snap-in • Dùng RSoP đ/v Generate RSoP Data 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 36 Thực tập 9-12 (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 37 Triển khai các phần mềm dùng Group Policy • Các ứng dụng có thể được triển khai dùng GP gồm: • Các ứng dụng thương mại (như Microsoft Office) • Phần mềm chống virus • Các cập nhật phần mềm (như các service packs) • 4 giai đoạn trong cuộc đời của 1 phần mềm: • Chuẩn bị • Triển khai • Bảo trì • Gỡ bỏ 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 38 Thực tập 9-13: Xuất bản 1 ứng dụng cho các user dùng Group Policy • Mục tiêu: Xuất bản 1 ứng dụng dùng các thiết lập GP • Tạo 1 thư mục chia sẻ và copy các file vào đó • Tạo 1 GPO để xuất bản các file phần mềm vào thư mục • Đăng nhập như thành viên của group và cài đặt phần mềm 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 39 Thực tập 9-14: Chuyển 1 ứng dụng cho các user dùng Group Policy • Mục tiêu: Chuyển 1 ứng dụng dùng các thiết lập GP • Tạo và cấu hình 1 GPO mới để chuyển phần cài đặt phần mềm đến các user trong OU • Đăng nhập như 1 user trong OU • Kiểm tra lại phần mềm có thể cài đặt và thực thi như mong muốn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 40 Tổng kết • Một GPO là một đối tượng trong AD dùng để cấu hình và áp dụng các thiết lập cho các đối tượng user & computer • 2 kiểu GPO mặc định được tạo khi AD đã cài đặt: • Default Domain Policy • Default Domain Controllers Policy • 2 cơ chế để tạo các GPO: • Microsoft Management Console Group Policy snap-in • Group Policy extension trong Active Directory Users and Computers 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 41 Tổng kết (tt) • Các GPO có thể được dùng để: • Điều khiển các thiết lập desktop và bảo mật • Áp dụng các script khi user đăng nhập và đăng xuất, khi computer khởi động và shutdown • Cho tái điều hướng thư mục • Các GPO được áp dụng theo thứ tự xác định • Các GPO được thừa kế theo mặc định: • Có thể thay đổi bằng cách khóa thừa kế Group Policy, cấu hình No Override hoặc lọc dùng các quyền user • Dùng GPRESULT hoặc công cụ RSoP để xem tác động của các thiết lập GP 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 42 Tổng kết (tt) • Các GPO có ích trong việc triển khai và bảo trì các ứng dụng phần mềm • Các GPO được dùng trong 4 giai đoạn của 1 phần mềm • Để triển khai, GP dùng 1 file MSI chứa các thông tin cần thiết để cài đặt theo một số cấu hình khác nhau • Các ứng dụng đã cài đặt có thể được chuyển hoặc xuất bản

Các file đính kèm theo tài liệu này:

  • pdfbai_giang_70_290_mcse_guide_to_managing_a_microsoft_windows.pdf
Tài liệu liên quan