Professional Documents
Culture Documents
Chapter 5 Group Policy v2
Chapter 5 Group Policy v2
I. MÔ HÌNH
Mô hình dùng 3 máy tính và 1 switch
- 01 Windows Server 2008
- 02 Windows 7
AD - DNS – PRINT SERVER
B3: Click đúp chuột vào dòng Internet Protocol Nâng cấp lên Domain Controller
1
Version 4 (TCP/Ipv4) – Khai báo như hình B4: nút Start → gõ dcpromo → Enter
2
B10: Mục Forest functional level: Chọn B11: nút Next
Windows Server 2008 R2 → Next
3
2. Bổ sung thông số DNS Server
2.1. Tạo Reverse lookup zone và pointer B3: Nút Next
B1: nút Start → Programs → Administrative
Tools → DNS
B2: Click phải Reverse Lookup Zones → New
Zone …
B4: Chọn Primary zone, và đảm bảo có dấu B5: nút Next
“Store the zone in Active Directory…
4
B10: Click phải 11.168.192.in-addr.arp → New B11: Nhập giá trị host ID: 254 → Browse
Pointer (PTR)…
B12: Click đúp chuột vào mục TENSV B13: Click đúp vào Forward Lookup Zones
B14: Chọn tên miền DHXDMT.COM B15: chọn tensv (tên server) → OK
B16: Trở lại hộp thoại New Resource Record 2.2. Cấu hình Forwarder
→ OK B1: Click phải TENSV (SERVER) →
Properties
B2: Chọn thẻ Forwarders - nút Edit
5
B3: Chọn “Click here to add an IP…” → nhập B4: nút OK
192.168.11.254 → OK
Gia nhập máy trạm vào Domain B2: Click phải Local Area Connection -
Thiết lập địa chỉ IP cùng lớp với máy chủ Properties
domain.
B1: Start → Control Panel → Network and
Internet → Network and Sharing Center →
Change adapter settings
B3: Click đúp chuột vào dòng Internet Protocol B4: Nhập địa chỉ IP như hình bên dưới OK
Version 4 (TCP/Ipv4) DNS Server: là địa chỉ của máy chủ DC
B5: Start click phải chuột Computer B6: click nút Change
Properties click mục Change settings
6
B7: chọn mục Domain nhập tên miền B8: Nhập tài khoản KT1 và mật khẩu OK
(dhxdmt.com) OK
3. Xây dựng cấu trúc Organizational Unit, phân bổ các user account và group account
B1: Start → Administrative Tools → Active B2: Click phải tên miên (DHXDMT.COM) →
Directory Users and Computers New → Organizational Unit
7
B3: đặt tên group name: KETOAN → OK B4: Tương tự, tạo thêm group NHANSU
Kết quả có 2 group KETOAN, NHANSU
trong OU XAYDUNG
B9: Tương tự tạo các tài khoản còn lại KT1, KT2 và thêm vào group KETOAN, user
NS1, NS2 và thêm vào group NHANSU
B10: Click phải group KETOAN → Properties
8
B11: Thẻ Members → B12: nhập tài khoản KT1;
nút Add KT2 → nút Check Names
→ OK
B5: nút Next B6: Chọn hết tất cả các quyền → Next
B4: chọn Share this folder → nút Permission B5: cột Allow chọn Full Control → OK →
OK
10
B6: Thẻ Security → nút Edit B7: Chọn Users → cột Allow chọn Modiy →
nút OK → nút Close
Mở chương trình Active Directory Users and B10: Thẻ Profile → chọn Connect: nhập vào
Computers To: \\192.168.11.254\Home_Folder\%Username%
B8: Start → Administrative Tools → Active nhấn nút Apply
Directory Users and Computers
B9: Click phải vào KT1 → Properties
11
6. Tạo Roamming Profile cho Domain User
B1: Tạo thư mục Profile trong đĩa C: B3: Mở Active Directory Users and Computers
B2: Share permission: Everyone với quyền Full B4: Mở OU DHXDMT. Click phải vào KT1 →
Control → NTFS permission: User Allow Properties
Modify
B5: Thẻ Profile → mục Profile path: nhập
\\192.168.11.254\Profile\%UserName% → Apply
B6: Quan sát thành phần %UserName% đã đổi B7: Kiểm tra
thành KT1 → OK - KT1 log on trên máy trạm 1 → Trên desktop
tạo thư mục HoSoKT1 → Log off
- KT1 log on trên máy trạm 2 → Trên desktop
quan sát thấy có thư mục HoSoKT1
12
B4: Start → Administrative Tools → Active B6: Chọn OU XAYDUNG → OK
Directory Users and Computers
B5: Click chuột Computer → Click phải vào
PC client (TIEN-PC) → Move
B7: Kết quả máy Client đã vào OU Triển khai chính sách nhóm
XAYDUNG B8: Start → Administrative Tools → Group
Policy Management
B9: Click phải vào XAYDUNG → chọn “Create
a GPO in this domain, and …”
13
B13: Nhập địa chỉ đến máy chủ B14: Chọn tập tin PRO11.MSI → Open
\\192.168.12.10 → mở Office 2003
B15: Chọn Assigned → OK B17: Start → gõ lệnh Gpupdate /force (cập nhật
chính sách mới)
14
B4: Thẻ Security → chọn Advanced B5: Thẻ Auditing → chọn Edit
B8: Cột Succssful chọn Full control để chọn tất B9: nút OK → OK → OK
cả → OK
15
B10: Start → Administrative Tools → Group B12: Click phải vào Audit object access →
Policy Management Properties
B11: Click phải vào Default Domain Policy →
Edit …
B14: Chọn Define these policy settings → chọn B15: Trên máy Client → log on KT1 → truy
Success và Failure → OK cập vào thư mục NHANSU → báo lỗi không
có quyền truy cập.
B16: Trên máy Server → Start →
Administrative Tools → Event Viewer
B17: Mở Windows Logs → Security → mở
các event Audit Failure (& event id 4656).
Nhận xét mô tả thông tin về tài khoản KT1 đã
truy cập vào thư mục NHANSU
9. Ngăn chặn sử dụng ứng dụng (Software restriction): Cấm mọi user thuộc OU
XAYDUNG không được dùng Internet Explorer, ngoại trừ user Manager
B1: Mở Group Policy Management B3: Đặt tên Name: Deny_IE → OK
B2: Click phải lên OU XAYDUNG → chọn “
Create a GPO in this domain, and Link it here”
16
B5: Click phải lên Software Restrition Policy B6: Click phải Additional Rules → New Hash
→ New Software Restriction Policies Rule…
B7: Chọn nút Browse… B8: Chọn đường dẫn C:\Program Files\ Internet
Explorer\iexplorer.exe → Open
B9: OK → Group Policy Management Editor B10: Chọn Deny_IE → thẻ Delegation → Chọn
nút Advanced
17
B11: Chọn nút Add… B12: Nhập Manager → Check Names → OK
18
B3: nút Next B4: Next → Next … Finish
Triển khai Group Policy để cài máy in trên các tài khoản trong OU XAYDUNG
B1: Mở Group Policy Management B3: Đặt tên Name: Deploy Printer
B2: Click phải OU XAYDUNG → chọn
“Create a GPO in this domain, and Link it …”
B4: Click phải lên Printers → New → Shared B5: Khai báo như hộp thoại
Printer Action: Create (tạo mới)
Share path: đường dẫn đến máy chủ DC
12. Cài đặt DHCP và phân phối địa chỉ IP cho Client
13. Trên client, cài đặt công cụ quản trị server
14.
20