Giáo trình Quản trị và xây dụng môi trường mạng doanh nghiệp

p dữ liệu, thay đổi thời gian của hệ thống… Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục đó và nhấn nủt Add user or group để trao quyền cho user hoặc Group nào bạn muốn. Access this computer from the network: Với những kẻ tò mò, tọc mạch thì tại sao chúng ta lại phải cho phép chúng truy cập vào máy tính của mình. Với thiết lập này chúng ta có thể tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào. Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định, tài khoản Aministrator có quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này. Add workstations to domain: Thếm một tài khoản hoặc nhóm vào miền. Chính sách này chỉ hoạt động trên hệ thống sử dụng Domain Controller. Khi được thêm vào miền, tài khoàn này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạng như một thành viên trên Domain. Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này tuy có làm tăng hiệu suất của hệ thống nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như tấn công từ chôi dịch vụ DoS (Dinal of Sevices). Allow logon through Terminal Services: Terminal Services là một dịch vụ cho phép chúng ta đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống. Back up files and directories: Tương tự như các chính sách trên, ở đây sẽ cấp phép cho những ai sẽ có quyền backup dữ liệu. Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian cuả hệ thống. Create global objects: Cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung Quản trị và xây dụng môi trường mạng doanh nghiệp - 87 - Force shutdown from a remote system: Cho phép những ai có quyền tắt máy qua hệ thống điều khiển từ xa. Shut down the system: Cho phép ai có quyền Shutdown máy. Public Key Policies Các chính sách khóa dùng chung 9 Lưu ý: ở đây chúng tôi chỉ giới thiệu một số các thành phần, các bạn có thể dựa theo cách này để tự tìm hiểu thêm. 5.2. Triển khai Group Policy Tạo Group Policy trên Local Computer Để tạo một GPO local, chúng ta phải được logon như là một thành viên Administrator có thể truy xuất Group Policy Object Editor từ Administrator Tools hay qua một snap-in MMC ¾ Để cài đặt một policy với những thiết lập local • Start Æ Run và nhập vào mmc Æ OK • Vào menu Files Æ Add/Remove Snap-in…Æ Add Group Policy Ọbject Editor • Open Group Policy Object Editor. • In the console tree, double-click the folders to view the policy settings in the details pane. • In the details pane, double-click a policy setting to open the Properties dialog box, and then change the policy setting. Quản trị và xây dụng môi trường mạng doanh nghiệp - 88 - Tạo Group Policy trên Domain Việc thực thi Group Policy trên một domain cung cấp cho nhà quản trị mạng với quyền điều khiển lớn hơn qua những cấu hình máy tính xuyên suốt cấu trúc mạng. Cũng bằng cách sử dụng Group Policy trong Windows Server 2003, chúng ta có thể tạo một môi trường làm việc được quản lý hoàn toàn thích hợp với trách nhiệm công việc của user và mức kinh nghiệm của mình, chúng ta có thể giảm lượng hỗ trợ mạng cần thiết. Để tạo một GPO mới hoặc link tới một GPO đang tồn tại bằng cách sử dụng Active Directory Users and Computers, tạo một GPO trong một site, domain hay OU. ¾ Sử dụng Active Directory Users and Computers • Trong Active Directory Users and Computers, click chuột phải trên Active Directory (domain or organizational unit) mà chúng ta muốn tạo GPO, sau đó chọn Properties. • Trong hộp thoại Properties, trên thẻ Group Policy sẽ có các lựa chọn sau: Tạo mới một GPO, click New, nhập tên mới của GPO, sau đó bấm ENTER. Liên kết đến một GPO sẵn có, click Add, sau đó chọn GPO từ danh sách • GPO mà chúng ta vừa tạo hoặc liên kết sẽ được hiển thị trong danh sách GPO trong Active Directory. ¾ Sử dụng Group Policy Management • Start Æ Administrative Tools, sau đó click Group Policy Management. • Trong Group Policy Management, trong phần console, mở rộng forest và tìm domain mà bạn muốn tạo mới GPO. • Right-click trên Group Policy Objects, và chọn New. • Trong hộp thoại New GPO, nhập tên Group Policy Æ OK. Edit Group Policy Là một người quản trị hệ thống, chúng ta phải chỉnh sửa những thiết lập Group Policy. Để chỉnh sử Group Policy chúng ta thực hiện theo các bước sau: • Trong Group Policy Management, phần console tree, tìm Group Policy Objects cần Edit. • Right-click trên GPO và sau đó click Edit. • Trong Group Policy Object Editor, thông qua Group Policy setting mà bạn muốn edit Æ double- click vào. Quản trị và xây dụng môi trường mạng doanh nghiệp - 89 - • Trong hộp thoại Properties, cấu hình Group Policy setting và click OK. Link Group Policy đến Domain hay OU Tất cả các GPOs được lưu trữ trong một container Active Directory được gọi là Group Policy Objects. Khi một GPO được sử dụng cho site, domain hay một OU, GPO đó được link tới container Group Policy Objects. Kết quả là chúng ta có thể tập trung quản lý và triển khai GPOs tới nhiều domai hay nhiều OU. Creating a linked GPO Khi chúng ta tạo một GPO được liên kết với một site, domain hoặc OU, chúng ta thực hiện một cách thủ công hai hoạt động riêng biệt: tạo một GPO mới và sau đó link nó tới site, domain hay OU. Khi uỷ nhiệm quyền link GPO tới một domain, OU hay site, chúng ta phải có quyền Modify cho domain, OU hay site mà chúng ta muốn uỷ quyền. Theo mặc định, chỉ những thành viên của nhóm Domain Admins và Enterprise Adminsgroup là có đủ các quyền cần thiết để link một GPO tới domain và OU. Chỉ những thành viên của Enterprise Admins group có quyền link GPOs tới các site. Những thành viên của nhóm Group Policy Creator Owner có thể tạo GPO nhưng không thể link chúng. Sau đây là các hướng dẫn giúp cho chúng ta có thể tạo, link… GPO tới domain: ¾ Tạo và Link một GPO • Trong Group Policy Management, trong console tree chúng ta có thể tạo và link GPO tới domain hay OU Nếu tạo và link GPO tới domain thì chúng ta right-click lên domain và sau đó click Create and Link a GPO Here. Nếu tạo và link GPO tới OU (organizational unit) thì chúng ta right-click lên OU và sau đó click Create and Link a GPO Here. • Trong hộp thoại New GPO, nhập tên mới cho GPO Æ OK. ¾ Link một GPO sẵn có Để link một GPO đang tồn tại tới một site, domain hay OU. Chúng ta thực hiện theo các bước sau: • Trong Group Policy Management, phần console tree, mở rộng forest chứa domain mà bạn cần link GPO sẵn có. • Right-click trên domain, site, hoặc OU và sau đó click Link an Existing GPO. • Trong hộp thoại Select GPO, click vào GPO mà chúng ta muốn link rồi click OK. Quản trị và xây dụng môi trường mạng doanh nghiệp - 90 - 9 Chú ý: Chúng ta không thể link một GPO tới những container trong Active Directory như User và Computer. Tuy nhiên, bất kỳ GPO nào được link tới domain cũng áp dụng cho các user và computer trong container này. Quyền thừa kế (inherited) trong Active Directory Thứ tự mà Windows Server 2003 áp dụng các GPOs phụ thuộc vào Active Directory container, nơi mà GPOs được link. GPOs trước tiên áp dụng cho site, sau đó là domain và cuối cùng tới OU trong các domain. Một container con sẽ thừa kế GPOs từ container cha. Điều này có nghĩa là container con có nhiều thiết lập Group Policy được áp dụng cho các user và computer của nó mà không cần có một GPO nào được link tới nó. Tuy nhiên, không có hệ đẳng cấp các domain giống cho các OU, như là OU cha và OU con. Nếu có nhiều GPO cùng thiết lập một giá trị giống nhau, theo mặc định GPO chiếm ưu tiên trước được áp dụng. Chúng ta cũng có thể có nhiều GPOs được link tới cùng một container. Nếu kiểu kề thừa mặc định không đáp ứng những yêu cầu của tổ chức của chúng ta, chúng ta có thể chỉnh sửa quy luật thừa kế cho các GPOs cụ thể. Windows Server 2003 cung cấp 2 tuỳ chọn để thay đổi kiểu thừa kế mặc định. ¾ No Override Sử dụng tuỳ chọn này khi chúng ta muốn không có thiết lập cấu hình nào của nó có thể bị ghi đè bởi bất kì GPOs nào trong quá trình xử lý của Group Policy. Tuỳ chọn này được đặt trên từng GPO riêng biệt. Chúng ta có thể set tuỳ chọn này trên một hay nhiều GPO được yêu cầu. Khi nhiều GPO cùng được set là No Override, GPO có vị trí cao nhất trong hệ đẳng cấp Active Directory sẽ chiếm quyền ưu tiên. ¾ Block Policy inheritance Sử dụng tuỳ chọn này để ép buộc một container con ngăn cản thừa kế từ container cha. Sử dụng tuỳ chọn này khi một OU yêu cầu một thiết lập Group Policy duy nhất . Block Policy inheritance được set trên mỗi container. Trong trường hợp xung đột, tuỳ chọn No Override sẽ luôn luôn chiếm ưu tiên hơn tuỳ chọn Block Policy inheritance. Tại sao phải Block Policy? Chúng ta có thể ngăn cản một container con kế thừa bất kỳ GPO nào từ các container cha bằng cách cho phép Block Policy inheritance trên contaner con. Cách này sẽ ngăn cản container thừa kế tất cả những thiết lập Group Policy của những Group Policy được chọn. Điều này thật hữu ích khi một container Active Directory yêu cầu một Group Policy duy nhất, và chúng ta muốn bảo đảm rằng những thiết lập Group Policy không bị thừa kế. Ví dụ, chúng ta có thể sử dụng Block Policy inheritance khi người quản trị của một OU phải điều khiển tất cả các GPOs cho containter đó . Để Block Policy inheritance chúng ta thực hiện các bước sau: • Trong Group Policy Management, phần console tree, mở rộng forest mà bạn muốn block inheritance, và thực hiện các lựa chọn sau: Để block inheritance của GPO links cho domain, mở rộng Domains, và right-click the domain. Quản trị và xây dụng môi trường mạng doanh nghiệp - 91 - Để block inheritance của GPO links cho organizational unit, expand Domains, mở rộng domain chứa organizational unit, và right-click trên organizational unit. • Click Block Inheritance. Group Policy Filtering Mặc định, tất cả những thiết lập Group Policy chứa trong GPOs mà tác động tới container được áp dụng cho tất cả các user và computer trong container đó, điều này có thể đưa ra những kết quả mà chúng ta không mong muốn. Bằng cách sử dụng tính năng filtering (sàng lọc), chúng ta có thể xác định những thiết lập nào mà chúng ta muốn áp dụng cho các user và computer trong container cụ thể. Các bước để cấu hình Group Policy Filtering Để lọc phạm vi của một GPO bằng cách sử dụng security group : • Trong Group Policy Management, phần console tree, mở rộng forest tìm GPO cần filter và click vào GPO. • Trong của sổ GPO chọn Tab Scope và click Add. • Trong hộp thoại chọn User, Computer, hoặc Group, nhập tên đối tượng đã chọn vào và chọn OK. 9 Lưu ý: để những thiết lập Group Policy áp dụng tới user hay computer account, account phải có ít nhất quyền Read cho một GPO. 5.3. Quản trị môi trường User và Computer Quản lý môi trường làm việc user có nghĩa là điều khiển các user có thể làm gì khi logon vào mạng. Chúng ta làm điều này bằng cách điều khiển môi trường làm việc của họ, kết nối mạng và giao diện người dùng thông qua Group Policy. Chúng ta quản lý môi trường làm việc của user để đảm bảo rằng các user có những gì mà họ cần cho công việc của họ. Khi chúng ta cấu hình và quản lý tập trung các môi trường làm việc của user, chúng ta có thể thực hiện những thao tác sau : • Quản lý các user và computer Bằng cách quản lý các thiết lập môi trường desktop của user với việc đăng kí với những policy, chúng ta bảo đảm rằng các user có cùng môi trường làm việc, thậm chí nếu họ logon từ những máy tính khác nhau. Chúng ta có thể điều khiển Microsoft Windows Server 2003 quản lý các user profiles, bao gồm cả dữ liệu cá nhân của user được làm cho sẵn dùng. Bằng cách chuyển hướng các folder của user từ ổ cứng cục bộ trên máy tính user tới một vị trí trung tâm trên một server, chúng ta có thể bảo đảm rằng dữ liệu của user là sẵn có cho họ mà không cần biết tới máy tính mà họ logon vào. Quản trị và xây dụng môi trường mạng doanh nghiệp - 92 - • Triển khai phần mềm Phần mềm được triển khai tới máy tính hay user qua dịch vụ thư mục Active Directory. Với việc triển khai phần mềm, chúng ta có thể bảo đảm rằng các user có được những chương trình mà họ yêu cầu, các gói services pack và hotfix. • Làm cho các thiết lập bảo mật có hiệu lực Bằng cách sử dụng Group Policy trong Active Directory, nhà quản trị hệ thống có thể tập trung áp dụng các thiết lập bảo mật được yêu cầu để bảo vệ môi trường làm việc của user. Trong Windows Server 2003, chúng ta có thể sử dụng Security Settings mở rộng trong Group Policy để xác định những thiết lập bảo mật cho security policies local hay domain. • Làm cho một môi trường desktop nhất quán. Những thiết lập Group Policy cung cấp một cách hiệu quả để áp dụng các têu chuẩn, như là logon script và những thiết lập password. Ví dụ, chúng ta có thể ngăn cản các user tạo ra những thay đổi cho desktop mà có thể làm ra những môi trường làm việc của họ phức tạp hơn cần thiết. Ngoài ra, chúng ta cũng có thể áp đặt Group Policy trên local computer nhưng hiệu quả không cao bằng việc triển khai Group Policy qua mạng. Sau đây là một số trường hợp cũng như cách hướng dẫn để triển khai Group Policy cho OU, Group, Local Computer,… ¾ Gán Script vào Group Policy Chúng ta có thể sử dụng Group Policy để triển khai scripts tới các user và computer. Một script là tập tin bó hay một script Microsoft Visual Basic mà có thể thực thi code và quản lý các thao tác. Chúng ta có thể sử dụng những thiết lập Group Policy script để tự động hoá quá trình chạy scripts. Có những thiết lập script bên dưới cả hai Computer Configuration và User Configuration trong Group Policy. Chúng ta có thể sử dụng Group Policy để chạy các script khi một máy tính khởi động và shutdown và khi một user log on, log off. Giống như tất cả những thiết lập Group Policy, Chúng ta cấu hình một thiết lập Group Policy, và Windows Server 2003 tiếp tục thực thi và ép buộc nó trên mạng của chúng ta. Để add một script vào một GPO chúng ta thực hiện các bước sau: • Trong Group Policy Management, chọn edit GPO. • Màn hình Group Policy Object Editor, phần console tree, thông qua User Configuration/Windows Settings/Scripts (Logon/Logoff). • Double-click Logon. • Trên hộp thoại Logon Properties và click Add. • Trong hộp thoại Add a Script, cấu hình bất kỳ thiết lập nào mà bạn muốn sử dụng và click OK: Script Name. nhập đường dẫn đến script hoặc click Browse tìm vị trí script file share trên domain controller. Script Parameters. Nhập bất kỳ thông số vào mà bạn muốn giống như các thông số mà bạn nhập bằng command line. • Trong hộp thoại Logon Properties, cấu hình các thiết lập sau mà bạn cần sử dụng: Logon Scripts for. ở đây sẽ cho bạn thấy danh sách tất cả các script được gán cho và dùng Up or Down để thay đổi thứ tự script nào được ưu tiên xử lý trước. Add. Click Add để xác định các scripts nào mà bạn cần thêm. Edit. Click Edit để thay đôi thông tin cũng như các thông số của script. Remove. Click Remove để remove các scripts được chọn từ danh sách Logon Scripts. Show Files. Click Show Files để xem các file scripts được xác định trong GPO. 9 Lưu ý: Các script logon chạy trong ngữ cảnh của user account sẽ không chạy trong ngữ cảnh computer account. Quản trị và xây dụng môi trường mạng doanh nghiệp - 93 - ¾ Một số thao tác liên quan đến Group Policy Thao tác về Internet Explorer (IE). • Nhánh User Configuration/Windows Settings/Internet Explorer Maintenance/Browser User Interface Browser Tittle: nhấp kép rồi đánh dấu kiểm vào ô "Customize Tittle Bars", gõ vào một cái tên như ABC. Mở IE ở chế độ about:blank sẽ thấy dòng chữ "Microsoft Internet Explorer provided by ABC" Custom logo: chúng ta có thể thay logo của Microsoft ở phía trên góc phải trình duyệt IE bằng logo của riêng mình (chỉ hỗ trợ các file BMP có 16-256 màu và kích cỡ là 22x22 hay 38x38). Hộp "Customize the static logo bitmaps" dành cho hình tĩnh còn hộp "Customize the animated bitmaps" dành cho hình động. • Nhánh User Configuration/Administrative Templates/Windows Components/Internet Explorer Internet Control Panel: có tất cả 7 tùy chọn thiết lập không cho hiện 7 thẻ trong hộp thoại Internet Options như General, Security... Nếu không giấu thẻ General, chúng ta có thể quay lại folder Internet Explorer để enable phần "Disable changing home page settings" nhằm vô hiệu hóa việc thay đổi trang chủ IE. Toolbars: enable phần "Configure Toolbar Buttons" sẽ cho tùy chọn hiển thị các nút trên thanh công cụ của IE. • Nhánh Computer Configuration/Administrative Templates/Windows Components/ Internet Explorer Security Zone: Use only machine settings: bắt buộc tất cả các user đều phải chung một mức độ security như nhau. Security Zone: Do not allow users to add/delete sites: trong Security Zone có danh sách các site nguy hiểm do người dùng thiết lập, enable tùy chọn này sẽ không cho thay đổi danh sách đó (cách tốt nhất là giấu luôn thẻ Security). Disable Periodic Check for Internet Explorer software updates: ngăn không cho IE tự động tìm phiên bản mới của nó. Thao tác về Windows Explorer. • Nhánh User Configuration/ Administrative Templates/ Windows Components/ Windows Explorer: Maximum number of recent document: quy định số lượng các tài liệu đã mở hiển thị trong My Recent Documents. Do not move deleted files to the Recycle Bin: file bị xóa sẽ không được đưa vào Recycle Bin. Maximum allowed Recycle Bin size: giới hạn dung lượng của Recycle Bin, tính bằng đơn vị phần trăm dung lượng của ổ đĩa cứng. Hide the dropdown list of recent files trong folder Common Open File Dialog: không cho hiển thị danh sách recent file trong các hộp thoại Open (như Word, Excel...) Thao tác về Logon. • Nhánh Computer Configuration/Administrative Templates/Logon Always use classic logon: làm hộp thoại Logon/Shutdown của Windows XP có dạng giống Windows 2000. Run these programs at user logon: tùy chọn này cho phép người dùng lập danh sách các file cần chạy khi đăng nhập vào máy tính, chỉ nên sử dụng cho các file dữ liệu. Thao tác về System Restore. • Nhánh Computer Configuration/Administrative Templates/System Restore Turn off System Restore: tắt System Restore, khi người dùng gọi System Restore thì xuất hiện thông báo "System Restore has been turn off by group policy. To turn on System Restore, contact your domain Administrator". Turn off Configuration: chỉ có tác dụng khi System Restore được kích hoạt, tính năng này vô hiệu hóa phần thiết lập cấu hình của System Restore. Quản trị và xây dụng môi trường mạng doanh nghiệp - 94 - Thao tác về Windows Media Player. • Nhánh User Configuration/Administrative Templates/Windows Components/ Windows Media Player Phần "Set and Lock Skin" trong folder User Interface: thiết lập một skin duy nhất cho Windows Media Player. Phần "Prevent Codec Download" trong folder Playback: ngăn Windows Media Player tự động tải các codec. Thao tác về Windows Firewall với Group Policy Windows Firewall là chương trình tường lửa được tích hợp vào Windows XP Service Pack 2 hay Windows 2003 Service Pack 1, giúp người dùng an toàn hơn khi lướt web. Microsoft cũng cung cấp tập tin quản trị system.adm đã cập nhật các thiết lập cho Group Policy cho phép chúng ta có thể cấu hình tường lửa tốt hơn sử dụng AD (Active Directory) dựa trên GPO (Group Policy Object). Để truy cập vào phần thiết lập cho tường lửa của Windows trong Group Policy, vào Start – Run, gõ gpedit.msc , Enter để hộp thoại Group Policy mở ra. Tiếp theo, vào tiếp theo các nhánh sau: Computer Configuration, Administrative Templates, Network, Network Connections, Windows Firewall. Tại hộp thoại này, chúng ta có thể cấu hình cho tường lửa của Windows qua 2 thư mục: Domain Profile và Standard Profile. Domain Profile: thiết lập cho Windows Firewall khi máy tính kết nối đến mạng AD Standard Profile: thiết lập cho tường lửa khi máy tính không kết nối đến mạng. Những thiết lập này cho phép chúng ta cấu hình cho những máy đã kết nối mạng hay các máy từ xa. Phần thiết lập của 2 thư mục Domain và Standard cũng hoàn toàn giống nhau, chúng ta có thể chọn một thiết lập và xem mô tả như sau: Một vài tính năng của Windows Firewall hữu ích mà chúng ta nên kích hoạt: • Protect all network connections: thiết lập này buộc tường lửa tắt hay mở cho một định danh • Do not allow exceptions: tùy chọn chỉ thị cho tường lửa từ chối các trường hợp đặc biệt đã được chỉ định. Kích hoạt thiết lập này tương đương với việc chọn “Don’t allow exceptions” (Không cho phép các trường hợp đặc biệt) trên thẻ General trong Windows Firewall Control Panel. • Define program exceptions Properties: thiết lập cho phép chúng ta tùy chọn chỉ định các chương trình, giúp chúng ta cấp phép cho các trường hợp đặc biệt “tấm vé” để qua tường lửa. • Prohibit notifications: thiết lập dừng các thông báo của tường lửa khi một chương trình yêu cầu Windows Firewall bổ sung nó vào danh sách các chương trình cho phép. • Allow logging: tùy chọn cho phép chúng ta cấu hình cấp bậc bản ghi lưu trữ thông tin cho tường lửa, kích cỡ bản ghi, tên và vị trí. ¾ Triển khai chính sách mật khẩu miền với Active Directory Windows 2003 Trong quá trình cài đặt Windows Active Directory cho một Domain Controller, hai Group Policy Object (GPO), tức đối tượng chính sách nhóm được tạo. Các GPO này được đặt tên là Default Domain Controllers Policy và Default Domain Policy. Trách nhiệm chính của GPO này là thiết lập đặc quyền người dùng cho Domain Controller, cũng như một số thiết lập bảo mật hỗn hợp khác. Default Domain Policy liên kết tới các miền trong toàn bộ quá trình cài đặt. Trong phần này chúng ta chỉ nói đến nhiệm vụ chính đó là thiết lập Password Policy cho tất cả tài khoản người dùng trong miền. Password Policies chỉ là một trong ba phần khác nhau ở khu vực Account Policies. Bên cạnh đó còn có Account Lockout Policies và Kerberos Policies. Bên trong Default Domain Policy, các thiết lập kiểm soát mật khẩu tài khoản người dùng trong miền và giới hạn khoá được tạo, như trong các hình bên dưới. Quản trị và xây dụng môi trường mạng doanh nghiệp - 95 - Hình Các thiết lập Password Policies. Hình Các thiết lập Account Lockout Policies. Nếu các giá trị mặc định không như chúng ta mong muốn thì chúng ta có thể chỉnh sửa chúng. Có hai hướng thực hiện là update Default Domain Policy để đạt được các thiết lập Password Policy mong đợi. Hoặc không thay đổi GPO mặc định mà tạo mới một GPO khác. Sau đó liên kết nó với miền, cấu hình với các thiết lập Password Policy mong đợi cũng như các thiết lập khác và chuyển lên mức ưu tiên cao hơn Default Domain Policy, như trong hình. Hình GPO mới với mức ưu tiên cao hơn được tạo để cung cấp Password Policy cho tất cả tài khoản người dùng trong miền. ¾ Vô hiệu hóa các ổ USB, CD-ROM, Floppy Disk... bằng Group Policy Microsoft Group Policy cho phép tạo các file mẫu Administrative Template (.adm) tùy thích để áp dụng cho các thiết lập registry không có sẵn trong chế độ mặc định. Mẫu ADM trong bài viết này cho phép vô hiệu hóa bộ cài các thiết bị trên. Quản trị và xây dụng môi trường mạng doanh nghiệp - 96 - Mặc định, Group Policy không tạo diều kiện dễ dàng để vô hiệu hóa các ổ có thể di chuyển như cổng USB, ổ CD-ROM, ổ mềm và ổ mềm công suất cáo LS-120. Tuy nhiên, Group Policy có thể được mở rộng để sử dụng các tùy chọn bằng các mẫu ADM. Mẫu ADM trong bài này cho phép quản trị viên có thể vô hiệu hóa các ổ trên, bảo đảm rằng chúng không thể sử dụng. Cách thức tiến hành • Chúng ta tạo một file có phần đuôi là .adm với nội dung code bên dưới CLASS MACHINE CATEGORY !!category CATEGORY !!categoryname POLICY !!policynameusb KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR" EXPLAIN !!explaintextusb PART !!labeltextusb DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynamecd KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom" EXPLAIN !!explaintextcd PART !!labeltextcd DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 1 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynameflpy KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"