Chương IV - Chính sách nhóm-CS hệ thống

Chương 4:
Chính sách nhóm

Nội dung
 Chính sách hệ thống
1. Chính sách tài khoản người dùng
2. Chính sách cục bộ
 Chính sách nhóm
1. Giới thiệu về chính sách nhóm (GPO- Group Policy
Object)
2. Triển khai một chính sách nhóm trên miền
3. Ví dụ minh họa
4. Ủy thác quyền quản trị chính sách nhóm
Bài 1 Chính sách hệ thống
• Chọn Start -> Administrative Tools -> Group
Policy Management
3
• Chính sách mật khẩu
4
• Chính sách mật khẩu
5
• Chính sách khóa tài khoản
6
7
2.1 Chính sách kiểm toán
8
2.1 Chính sách kiểm toán
9
2.2 Quyền hệ thống của người dùng
10
11
12
13
14
15
2.3 Các lựa chọn bảo mật
16
2.3 Các lựa chọn bảo mật
17
Bài thực hành số 4.1 Xây dựng chính
sách hệ thống với một số yêu cầu sau
18
Bài 2: Chính sách nhóm
1. Giới thiệu về chính sách nhóm (GPO-
Group Policy Object)
2. Triển khai một chính sách nhóm trên
miền
3. Ví dụ minh họa
4. Ủy thác quyền quản trị chính sách nhóm
19
1. Giới thiệu về chính sách nhóm
(GPO- Group Policy Object)
• So sánh giữa System Policy và Group Policy
20
• Chức năng chính của Group Policy
21
• Chức năng chính của Group Policy
22
2. Triển khai một chính sách nhóm
trên miền
• Để cấu hình và triển khai Group Policy bằng
cách xây dựng các đối tượng chính sách
nhóm (GPO).
• GPO có thể chứa nhiều chính sách áp dụng
cho nhiều người, nhiều máy tính hoặc toàn
bộ hệ thống mạng
• Sử dụng cửa sổ Group Policy Object Editor
để xây dựng các chính sách nhóm đó.
• Trong cửa sổ chính của Group Policy Object
Editor có 2 mục cơ bản: Cấu hình cho máy
tính (Computer Configuration) và cấu hình
cho người dùng (User Configuration)
23
trên miền
24
trên miền
• Khi triển khai Group Policy là cấu hình chính sách của Group Policy
được tích lũy và kế thừa từ vật chứa (container) bên trên của AD.
• User và Computer vừa ở trong Miền vừa ở trong OU sẽ nhận được
cấu hình từ cả hai chính sách của Miền và của OU.
• Các chính sách nhóm sau 90 phút sẽ được Refresh lại và được áp
dụng một lần
• Các chính sách nhóm trên các Domain Controller được Refresh lại
sau 5 phút một lần.
• Các GPO được hoạt động
• Nhờ vào việc chỉnh sửa trong Registry
• Và trong các thư viện liên kết động (DLL) làm phần mở rộng cho các
máy trạm
• Thứ tự:
• Chính sách nhóm tại chỗ trên các máy cục bộ được xử lý trước
• Đến chính sách dành cho Site
• Đến chính sách dành cho Miền hoặc OU
25
trên miền
• Xem chính sách cục bộ của một máy tính ở
xa
• Để xem CS cục bộ trên máy tính khác trong
miền, ta phải có quyền quản trị trên máy đó
hoặc quyền quản trị của miền.
• Có thể dùng lệnh sau:
GPEDIT.MSC/gpcomputer:machinename
• Ví dụ: để xem chính sách trên máy PC01 gõ
lệnh: GPEDIT.MSC/gpcomputer:PC01
• Với phương thức này thì không thể thiết lập
chính sách nhóm ở một máy tính ở xa (do tính
chất bảo mật của Microsoft không cho phép bạn
thiết lập chính sách nhóm từ xa)
26
trên miền
• Tạo các chính sách trên miền
• Sử dụng công cụ Group Policy
Management
• Start/Administrative Tools/Group
Policy Management
27
trên miền
• Tạo các chính sách trên miền
• Ngầm định có một Default Domain Policy
• Chức năng (hộp check box) Block Policy
inheritance để ngăn chặn các thiết định của
mọi chính sách bất kỳ ở cấp cao hơn lan truyền
xuống đến cấp đang xét
• Thứ tự áp dụng chính sách nhóm:
• Cấp Site
• Cấp miền
• Cấp OU
• Chọn Default Domain Policy và chọn 4 tab
tương ứng (scope, details, settings, delegation)
để chọn việc áp dụng chính sách, mô tả, nội
dung chính sách, và gán quyền
28
trên miền
• GPO options:
• No Override: các chính
sách ở phía dưới sẽ không
phủ quyết được chính sách
này (cho dù chính sách đó
không đánh dấu vào mục
Block Policy inheritance)
• Disabled: chính sách này
sẽ không hoạt động ở cấp
này (Việc Disable chính
sách ở một cấp không làm
ảnh hưởng tới bản thân đối
tượng chứa chính sách đó)
29
trên miền
• Tạo chính
sách mới
• Nhấn vào
Create a
GPO in
this
domain,
…
• Nhập tên
chính sách
• Click phải/
chọn edit
30
trên miền
• Links: chỉ ra các Site, Domain, OU nào liên kết với chính sách
• Delegation: Để thực hiện việc cấp quyền cho User hoặc Group
có quyền gì trên chính sách nhóm đó 31
2. Triển khai một chính sách
nhóm trên miền
• Thứ tự thực hiện các chính sách trong Danh
sách các chính sách nhóm
• Áp dụng từ dưới lên. Chính sách nằm trên cùng áp
dụng cuối cùng
• Các GPO càng nằm trên cao trong DS thì càng có
độ ưu tiên cao
• Nếu chúng có những thiết định mâu thuẫn nhau
thì chính sách nào nằm trên sẽ thắng
• Để thay đổi thứ tự này ta dùng 2 node chức năng
(Up, Down)
trên miền
• Edit: Để thiết lập các thiết định cho chính sách này
(tùy người quản trị)
33
3. Một số ví dụ minh họa
• VD1: Dùng GPO để triển khai gói phần
mềm Skype.msi
• Triển khai cho máy
• Triển khai cho người dùng Users
 Tham khảo:
http://tuhocmang.com/chuyen-de-tu-hoc/tu-
hoc-mcsa-2012-domain-network-group-policy
-object-deployment-software.html
3. Một số ví dụ minh họa
• VD2: Dùng GPO để triển khai chính
sách mật khẩu và khoá tài khoản
• Tạo GPO
• Chọn Edit/Computer Configuration/
Windows Settings/Security Settings/
Account Policies
4. Ủy thác quyền quản lý GPO
Thực hành
 Tạo các GPO
 Ủy thác quyền quản trị chính sách nhóm
 Quảng bá, phân bổ gói phần mềm

Q&A
GV: ThS.Lê Thị Hồng Vân
Khoa CNTT – HV KTMM

Chương IV - Chính sách nhóm-CS hệ thống

Uploaded by

Copyright:

Available Formats

You might also like

Chương IV - Chính sách nhóm-CS hệ thống

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Chương IV - Chính sách nhóm-CS hệ thống

Uploaded by

Copyright:

Available Formats

Chương 4:

Chính sách nhóm

 Tạo các GPO

 Ủy thác quyền quản trị chính sách nhóm

 Quảng bá, phân bổ gói phần mềm

You might also like