Bài giảng Quản trị mạng: Chương 3 - Phan Thị Thu Hồng

Phan Thị Thu Hồng

2/28/2015 1

Nội dung chính

 Quản trị người dùng và nhóm người dùng  Quản trị OU  Chính sách (Group Policy, System Policy)

2/28/2015 2

Quản lý User  Tài khoản người dùng - user account :

 Là một đối tượng quan trọng đại diện cho người dùng  Phân biệt với nhau thông qua chuỗi nhận dạng username  User account:

 Dùng để user đăng nhập vào máy hay domain

 Công dụng:

 Authentication – Xác thực  Authorization – Cấp quyền

 Được cấp quyền truy xuất tài nguyên

 Auditing – Kiểm tra

 Theo dõi việc truy xuất tài nguyên

2/28/2015 3

Tài khoản người dùng cục bộ - local user account

 Được tạo, lưu và chỉ được phép logon trên máy cục bộ.

 Truy xuất các tài nguyên trên máy tính cục bộ.

 Được tạo với công cụ Local Users and Group trong Computer

Management (COMPMGMT.MSC).

 Các tài khoản cục bộ (stand-alone server, member server, các máy

trạm) được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager) trong thư mục \Windows\system32\config.

2/28/2015 4

Tài khoản người dùng miền - domain user account

 Được định nghĩa trên Active Directory và được phép đăng nhập

(logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng.

 Được quản lý tập trung

 Tài khoản người dùng miền được tạo bằng công cụ Active Directory

Users and Computer (DSA.MSC).

 Tài khoản người dùng miền chứa trong tập tin NTDS.DIT, theo mặc

định thì tập tin này chứa trong thư mục \Windows\NTDS.

2/28/2015 5

Các yêu cầu đối với tài khoản người dùng

 Mỗi username phải từ 1 đến 20 ký tự

 Mỗi username là chuỗi duy nhất của mỗi người dùng  tất cả tên

của người dùng và nhóm không được trùng nhau.

 Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >

 Username có thể chứa các ký tự đặc biệt: ., khoảng trắng, -, _

Nên tránh các khoảng trắng vì những tên như thế phải đặt trong

dấu ngoặc khi dùng các kịch bản hay dòng lệnh.

2/28/2015 6

2/28/2015 7

2/28/2015 8

Công cụ quản lý tài khoản cục bộ

 Tổ chức và quản lý người dùng cục bộ bằng công cụ Local Users and Groups, cho phép xóa, sửa các tài khoản người dùng và thay đổi mật mã.

 Phương thức truy cập đến công cụ Local Users and Groups:  Dùng như một MMC (Microsoft Management Console) snap-in.  Dùng thông qua công cụ Computer Management.

 Khởi động Computer Management

 Rightclick My Computer / Manage/ System Tools/ Local Users and

Groups

2/28/2015 9

Công cụ quản lý tài khoản cục bộ  Công cụ Computer Management

2/28/2015 10

Các thao tác cơ bản trên tài khoản cục bộ  Tạo tài khoản mới  Xóa tài khoản  Khóa tài khoản  Đổi tên tài khoản  Thay đổi mật khẩu

2/28/2015 11

Tạo tài khoản mới  Chọn Local Users and Groups, rightclick Users/ New User, Trong hộp thoại New User nhập các thông tin cần thiết vào, riêng mục Username là bắt buộc phải có.

2/28/2015 12

Xóa tài khoản  Nên xóa tài khoản người dùng khi chắc tài khoản này không bao giờ cần

dùng lại nữa.

 Thực hiện chọn Local Users and Groups, chọn tài khoản người dùng cần xóa, nhấp phải chuột và chọn Delete hoặc vào menu Action  Delete.

2/28/2015 13

Khóa một tài khoản

 Khi một tài khoản không sử dụng trong thời gian dài thì nên khóa lại vì lý do bảo mật và an toàn hệ thống.

 Trong công cụ Local

Users and Groups , nháy kép vào tài khoản cần khóa, chọn Properties / Tab General/ Account is disabled.

2/28/2015 14

Đổi tên tài khoản

 Có thể đổi tên bất kỳ một tài khoản người dùng  Có thể điều chỉnh các thông tin của tài khoản người dùng.  Ưu điểm: Khi thay đổi tên người dùng thì SID của tài khoản

vẫn không thay đổi.

 Muốn thay đổi tên tài khoản người dùng: mở công cụ Local Users and Groups, chọn tài khoản người dùng cần thay đổi tên, nhấp phải chuột và chọn Rename.

2/28/2015 15

Thay đổi mật khẩu

 Muốn đổi mật mã của người dùng mở công cụ Local

Users and Groups:  Chọn tài khoản người dùng cần thay đổi mật mã  Nhấp phải chuột và chọn Reset password.

2/28/2015 16

Thiết lập tính chất của local account  Các tính chất chính:

 Member of: chọn nhóm cho user làm thành viên  Profile: Các thông tin về home folder, logon script,…

2/28/2015 17

Built-in local user account  Được tạo tự động  Các users

 Administrator: có toàn quyền  Guest: Dùng cho user không thường xuyên đăng nhập vào

máy

 …

2/28/2015 18

Quản lý tài khoản trên AD

2/28/2015 19

Tạo mới tài khoản người dùng

 Dùng công cụ AD User and

Computers trong Administrative Tools trên DC để tạo các tài khoản người dùng miền

 Các bước tạo tài khoản người

dùng:  Tools / AD Users and

Computers

 Trong cửa sổ AD Users and Computers, nhấp phải chuột vào mục Users, chọn New User

2/28/2015 20

Tạo mới tài khoản người dùng

 Trong hộp thoại New Object-User, nhập tên mô tả người dùng, tên tài khoản logon vào mạng.

 User logon name: giá trị bắt buộc

phải và là chuỗi duy nhất cho một tài khoản người dùng.  Chọn Next để tiếp tục.

2/28/2015 21

Tạo mới tài khoản người dùng

 Hộp thoại cho phép :  Nhập vào mật khẩu

(password) của tài khoản người dùng

 Đánh dấu vào các lựa chọn liên quan đến tài khoản như: cho phép đổi mật khẩu, yêu cầu phải đổi mật khẩu lần đăng nhập đầu tiên hay khóa tài khoản.

2/28/2015 22

Tạo mới tài khoản người dùng  Hiển thị các thông tin đã cấu hình cho người dùng. Chọn Finish để hoàn

thành, Back để chỉnh sửa lại các thông tin nếu cần.

2/28/2015 23

Các thuộc tính của tài khoản người dùng

 Quản lý các thuộc tính của các tài khoản bằng công cụ Active

Directory Users and Computers:  Server manager  Tools  Active Directory Users and

Computers

 Chọn thư mục Users và nhấp đôi chuột vào tài khoản người dùng

cần khảo sát.

 Hộp thoại Properties xuất hiện, trong hộp thoại này chứa 13 Tab  Ngoài ra có thể gom nhóm (dùng hai phím Shift, Ctrl) và hiệu chỉnh thông tin của nhiều tài khoản người dùng cùng một lúc.

2/28/2015 24

Các thông tin mở rộng của người dùng

 Tab General chứa các thông tin chung của người dùng

 Có thể nhập thêm một số thông tin như: số điện thoại, địa chỉ mail và địa chỉ trang Web cá nhân…

2/28/2015 25

Tab Account  Cho phép:

 Khai báo lại username  Quy định giờ logon vào mạng

cho người dùng

 Quy định máy trạm mà người dùng có thể sử dụng để vào mạng,

 Quy định thời điểm hết hạn của

tài khoản…

Click

2/28/2015 26

Tab Account  Logon to: chỉ định máy tính nào User vừa tạo được phép

sử dụng.

Thêm danh sách các máy được phép sử dụng

2/28/2015 27

Click

Tab Account  Logon Hours for: cho phép chọn khoảng thời gian để truy

cập.

Chọn khoảng thời gian cho phép user truy cập

2/28/2015 28

Tab Profile

 Khai báo đường dẫn đến

Profile

 Khai báo tập tin logon

script: tự động thi hành khi đăng nhập hay khai báo home folder.

2/28/2015 29

Tab Profile

 Profile chứa các qui định về màn hình Desktop, nội dung của menu Start, kiểu cách phối màu sắc, vị trí sắp xếp các icon, biểu tượng chuột…

 User profile tạo và duy trì tình trạng desktop (desktop

settings) của từng user

 User profile có thể được lưu trên server, được dùng từ các máy

client

 Có thể tạo user profile dùng cho nhiều user  Có thể không cho phép user thay đổi tình trạng desktop

2/28/2015 30

Các dạng user profile  Local profile

 Lưu trên đĩa địa phương  Cho phép thay đổi

 Roaming profile  Lưu trên server  Cho phép user cập nhật các thay đổi

 Mandatory profile  Lưu trên server  Chỉ có administrator có thể thay đổi

2/28/2015 31

Tab Profile  Khai báo logon script:

 Sử dụng công cụ Active Directory User and Computers  Khai báo thông qua Group Policy

2/28/2015 32

Tab Member Of  Tab Member Of: xem và cấu hình tài khoản người dùng hiện tại.

Một tài khoản người dùng có thể là thành viên của nhiều nhóm khác nhau và nó được thừa hưởng quyền của tất cả các nhóm này.

 Muốn gia nhập vào nhóm nhấp chuột vào nút Add, hộp thoại chọn

nhóm sẽ hiện ra.

2/28/2015 33

Quản lý groups  Các loại group  Phạm vi tác dụng của group  Tạo group trên domain

2/28/2015 34

Tài khoản nhóm – group account

 Là một đối tượng đại diện cho một nhóm người nào đó, dùng cho

việc quản lý chung các đối tượng người dùng.

 Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp

quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in.

 Cấp quyền truy xuất cho group account sẽ tác động trên các user

thành viên.

 Chú ý: tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý.

2/28/2015 35

Các kiểu nhóm

 Nhóm bảo mật (security group)

 Dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập

(permission)

 Các nhóm bảo mật đều được chỉ định các SID (Security ID)

 Nhóm phân phối (distribution group)

 Không thể gán quyền  Nhóm phi bảo mật, không có SID.  Được dùng bởi các phần mềm dịch vụ: phân phối thư (Email)

hoặc các tin nhắn (message) như dịch vụ MS Exchange.

2/28/2015 36

Phạm vi nhóm  Dựa vào phạm vi, nhóm được chia thành:

 Nhóm toàn cục (Global group)  Nhóm phổ quát (Universal group)  Nhóm cục bộ miền (Domain local group)  Nhóm cục bộ (Local group)

2/28/2015 37

Phân loại trong nhóm bảo mật

 Nhóm toàn cục - Global group: là loại nhóm nằm trong AD

và được tạo trên các DC:  Dùng để cấp phát những quyền hệ thống và quyền truy cập  Một nhóm global có thể đặt vào trong một nhóm local của các

server thành viên trong miền.

 Cách dùng:

 Áp dụng cho các đối tượng người dùng và máy tính đảm nhận nhiệm vụ

bảo trì hệ thống.

 Nhóm người dùng có những yêu cầu truy cập mạng tương tự

 Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng

công việc của Global Catalog.

2/28/2015 38

Phân loại trong nhóm bảo mật

 Nhóm phổ quát – Universal group

 Thành viên:

 Nhóm toàn cục của bất cứ domain nào trong rừng  Tài khoản người dùng và máy tính của bất kì domain nào

trong rừng

 Quyền

 Có thể gán quyền trong bất cứ domain nào trong rừng hoặc trong các domain có quan hệ tin cậy với nhau

 Cách dùng:

 Sử dụng để lồng các nhóm vào nhau trong domain

2/28/2015 39

Phân loại trong nhóm bảo mật  Nhóm cục bộ miền - Domain local group: là local group trên máy DC.

 Thành viên:

 Tài khoản từ bất cứ domain nào trong rừng

 Nhóm toàn cục từ bất cứ domain nào trong rừng

 Nhóm phổ quát từ bất cứ domain nào trong rừng

 Quyền:

 Gán quyền chỉ trong cùng domain với nhóm cục bộ

 Cách dùng:

 Xác định và quản lý truy cập tài nguyên trên domain

 Các DC có cơ sở dữ liệu AD chung và được sao chép đồng bộ với nhau local group trên một Domain Controller này thì cũng sẽ có mặt trên các Domain Controller anh em, local group này có mặt trên miền nhóm cục bộ miền.

 Các nhóm trong mục Built-in của Active Directory là các domain local.

40 2/28/2015

Phân loại trong nhóm bảo mật

 Local group (nhóm cục bộ): ý nghĩa và phạm vi hoạt đông ngay

trên máy cục bộ .

 Thành viên

 Người dùng cục bộ

 Người dùng domain

 Nhóm domain

 Quyền

 Nhóm cục bộ chỉ gán trên máy tính cục bộ

 Chú ý: Không thể tạo nhóm cục bộ trên Domain Controller.

2/28/2015 41

Quy tắc gia nhập nhóm  Tất cả các nhóm Domain local, Global, Universal đều có thể đặt

vào trong nhóm Local.

 Tất cả các nhóm Domain local, Global, Universal đều có thể đặt

vào trong chính loại nhóm của mình.

 Nhóm Global và Universal có thể đặt vào trong nhóm Domain

local.

 Nhóm Global có thể đặt vào trong nhóm Universal.

2/28/2015 42

Các quy tắc đặt tên nhóm

Cơ chế đặt tên

- Tránh tên quá dài - Tránh tên phổ biến

Sử dụng tên mô tả đúng chức năng

Sử dụng tên mô tả vị trí địa lý

Sử dụng tên dự án

- Sales - Marketing - Executives - Nước - Bang - Thành phố Nếu nhóm thiết lập cho một dự án thì đặt tên nhóm theo dự án

2/28/2015 43

Các tài khoản tạo sẵn

 Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server thì mặc định được tạo ra.

 Là tài khoản hệ thống:

 Không có quyền xóa  Có quyền đổi tên

 Tất cả các tài khoản người dùng tạo sẵn đều nằm trong

Container Users của công cụ Active Directory User and Computer.

2/28/2015 44

Tài khoản người dùng tạo sẵn Tài khoản nhóm Domain Local tạo sẵn Tài khoản nhóm Global và Universal tạo sẵn SV tự tìm hiểu

2/28/2015 45

Tài khoản tạo sẵn đặc biệt

Đại diện cho users sử dụng máy tại chỗ

Interactive

Users đang kết nối mạng đến 1 máytính khác

Tất cả mọi người dùng

Everyone

Đại diện cho hệ điều hành

Creator owner

Users tạo ra và sở hữu tài nguyên nào đó

Authenticated user Users đã được hệ thống xác thực

Anonymous logon Users đăng nhập nặc danh vào hệ thống ( sử dụng

Network System

FTP…)

Tài khoản đăng nhập với tư cách 1 dịch vụ

Service

Users đăng nhập hệ thống bằng Dialup

Dialup

2/28/2015 46

Tạo mới tài khoản nhóm trên domain

 Xác định loại nhóm cần tạo  Phạm vi hoạt động của nhóm như thế nào?

2/28/2015 47

Tạo mới tài khoản nhóm trên domain

 Chọn Server

manager  Tools  Active Directory Users and Computers để mở công cụ Active Directory Users and Computers lên.  Nhấp phải chuột vào mục Users, chọn New/ Group.

2/28/2015 48

Tạo mới tài khoản nhóm trên domain New Object – Group: nhập tên nhóm vào mục Group name, tên

nhóm cho các hệ điều hành trước Windows 2000 tự động sinh, có thể hiệu chỉnh lại cho phù hợp.

2/28/2015 49

Tạo mới tài khoản nhóm trên domain  Bổ sung các user vào group vừa tạo:

 Kích chuột phải lên tên group, chọn Properties/Members/ Chọn

adds.

 Hộp thoại Select Users, Contacts, Computers, Service Accounts or Groups, nhập user. Sử dụng Check Names để kiểm tra tính chính xác của user, Advanced để tìm kiếm và lựa chọn user.

2/28/2015 50

Tạo mới tài khoản nhóm trên domain  Kết quả sau khi bổ sung user vào group. Nếu muốn tiếp tục bổ

sung user lặp lại thao tác trước đó.

2/28/2015 51

Tạo mới tài khoản nhóm trên domain  Xóa một group: Chọn group tương ứng, chọn Delete.  Chọn Yes để đồng ý.

2/28/2015 52

Quản trị OU  OU là một nhóm tài khoản người dùng, máy tính và tài nguyên mạng được tạo ra nhằm mục đích dễ dàng quản lý hơn và ủy quyền cho các quản trị viên địa phương giải quyết các công việc đơn giản.

 OU cho phép áp đặt các giới hạn phần mềm và giới

hạn phần cứng thông qua các Group Policy.

2/28/2015 53

Các bước xây dựng một Organizational Unit  Server manager  Tools  Active Directory User and

Computer. Kích chuột phải lên tên domain, chọn New  Organizational Unit

2/28/2015 54

Các bước xây dựng một Organizational Unit  Hộp thoại New-Object – OU: Nhập tên và bấm OK.

Lựa chọn này để bảo vệ nhóm khi xóa bất thường

2/28/2015 55

Click

 Đưa các máy trạm đã gia nhập mạng vào OU vừa tạo  Server manager/ Tools/ AD User and Computers

2/28/2015 56

 Đưa các người dùng cần quản lý vào OU vừa tạo

Các tài khoản người dùng và máy tính tham gia vào OU

2/28/2015 57

 Chỉ ra người/nhóm người sẽ quản lý OU

 Right click OU vừa tạo, chọn Properties, Managed By, nhấp

chuột vào nút Change để chọn người dùng quản lý OU

2/28/2015 58

Chính sách hệ thống - System Policy

 Chính sách tài khoản người dùng  Chính sách cục bộ  IP Security

2/28/2015 59

Chính sách tài khoản người dùng  Account policy: được dùng để chỉ định các thông số về tài

khoản người dùng khi tiến trình logon xảy ra nhằm giảm thiểu các mối đe dọa tới tài khoản.

 Cấu hình: Server manager  Tools  Local Security Policy.

2/28/2015 60

Chính sách tài khoản người dùng

 Chính sách mật khẩu  Chính sách khóa tài khoản  Chính sách Kerberos

2/28/2015 61

Chính sách mật khẩu – Password policy  Đảm bảo an toàn cho mật khẩu cho tài khoản người dùng.  Cho phép qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp

của mật khẩu…

2/28/2015 62

Chính sách mật khẩu – Password policy  Các lựa chọn mặc định trong chính sách mật khẩu

2/28/2015 63

Chính sách khóa tài khoản – Account Lockout Policy

 Định cách thức và thời điểm khóa tài khoản  Hạn chế tấn công thông qua hình thức logon từ xa.  Các thông số cấu hình chính sách khóa tài khoản:

2/28/2015 64

Chính sách Kerberos – Kerberos Policy

 Là một nhóm các chính sách bảo mật domain  Chỉ được dùng ở cấp độ domain

2/28/2015 65

Chính sách cục bộ  Local Policies cho phép thiết lập các chính sách giám sát

các đối tượng (người dùng, tài nguyên dùng chung)

 Cấp quyền hệ thống cho các người dùng và thiết lập các lựa

chọn bảo mật.

 Gồm có

 Chính sách kiểm toán  Quyền hệ thống của người dùng  Các lựa chọn bảo mật

2/28/2015 66

Chính sách kiểm toán

 Giám sát và ghi nhận các sự kiện xảy ra trong hệ thống,

trên các đối tượng và các người dùng.

 Các sự kiện an nình này sẽ được gửi cho người quản trị

mạng

 Thiết lập 1 audit policy để:

 Theo dõi sự thành công hay thất bại của sự kiện  Giảm thiểu sử dụng trái phép các nguồn tài nguyên  Duy trì hồ sơ về hoạt động

 Security events được lưu trong security logs.

2/28/2015 67

Chính sách kiểm toán

 Xem các ghi nhận này thông qua công cụ Event Viewer

2/28/2015 68

Chính sách kiểm toán  Các lựa chọn trong chính sách kiểm toán

2/28/2015 69

Quyền hệ thống của người dùng  Cách cấp quyền hệ thống cho người dùng:  Gia nhập tài khoản người dùng vào các

nhóm tạo sẵn (built-in) để kế thừa quyền (Phần User and Group)

 Dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho người dùng.

2/28/2015

70

Quyền hệ thống của người dùng

2/28/2015 71

Quyền hệ thống của người dùng

 Thêm/ bớt quyền người dùng  Chọn quyền sẽ thay đổi  Chọn Add User or Group khi muốn thêm quyền  Romove khi muốn bớt quyền

2/28/2015 72

Quyền hệ thống của người dùng Danh sách các quyền hệ thống cấp cho người dùng và nhóm:

2/28/2015 73

Các lựa chọn bảo mật - Security Options  Cho phép khai báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng đã logon trước đó hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest).

2/28/2015 74

Các lựa chọn bảo mật - Security Options  Một số lựa chọn bảo mật thông dụng

2/28/2015 75

IP Security (IPSec)

 IP Security (IPSec) là một giao thức hỗ trợ thiết lập các kết

nối an toàn dựa trên IP.

 IPSec hoạt động ở tầng ba (Network) trong mô hình OSI

 Các tác động bảo mật

 Block transmissons: ngăn chặn những gói dữ liệu được truyền  Encrypt transmissions: mã hóa những gói dữ liệu được truyền

 Sign transmissions: ký tên vào các gói dữ liệu truyền (digitally

signing).

 Permit transmissions: cho phép dữ liệu được truyền qua, dùng để tạo ra các qui tắc (rule) hạn chế một số điều và không hạn chế một số điều khác. Ví dụ một qui tắc dạng này “Hãy ngăn chặn tất cả những dữ liệu truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 443”.

2/28/2015 76

IP Security (IPSec)  Để sử dụng IPSec phải tạo ra các qui tắc (rule)  IPSec rule = IPSec (filter) + IPSec (actions).

 Các bộ lọc IPSec:

 Có tác dụng thống kê các điều kiện để qui tắc hoạt động.

 Giới hạn tầm tác dụng của các tác động bảo mật .

 Bộ lọc IPSec dựa trên các yếu tố sau:

 Địa chỉ IP, subnet hoặc tên DNS của máy nguồn.

 Địa chỉ IP, subnet hoặc tên DNS của máy đích.

 Theo số hiệu cổng (port) và kiển cổng (TCP, UDP,

ICMP…)

2/28/2015 77

Triển khai IPSec SV tự tìm hiểu

2/28/2015 78

Group Policy

 Giới thiệu về Group Policy  Công cụ GPMC  Tương tác với GPOs và Starter GPOs  Group Policy Preferences

2/28/2015 79

So sánh giữa System Policy và Group Policy

 GP chỉ xuất hiện trên miền AD, không tồn tại trên

miền NT4.

 Chính sách nhóm làm được nhiều điều hơn chính sách

hệ thống:  Chính sách nhóm chứa tất cả các chức năng của chính sách

hệ thống.

 Có thể dùng chính sách nhóm để triển khai một phần mềm

cho một hoặc nhiều máy một cách tự động.

 Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống.

2/28/2015 80

So sánh giữa System Policy và Group Policy  Chính sách nhóm được áp dụng thường xuyên hơn chính

sách hệ thống:  Chính sách hệ thống chỉ được áp dụng khi máy tính đăng

nhập vào mạng.

 Các chính sách nhóm được áp dụng khi bạn bật máy lên.  Có nhiều mức độ để gán chính sách nhóm cho người từng

nhóm người hoặc từng nhóm đối tượng.

 Chính sách nhóm chỉ áp dụng cho các hệ thống từ

Windows 2000

2/28/2015 81

Giới thiệu về Group Policy - GP

 Định nghĩa  Mục đích  Các loại chính sách nhóm  Sự thừa kế

2/28/2015 83

Định nghĩa  Là tập hợp các thông tin cấu hình (configuration

settings)

 Tác động trên một hoặc nhiều đối tượng (users,

computers) trong Active Directory hoặc trên một hệ thống (local group policy)

2/28/2015 84

Các thông tin cấu hình  Chính sách nhóm cho computers

 Desktop  Security  Startup/shutdown scripts  Chính sách nhóm cho users

 Desktop  Security  Logon/logoff scripts

2/28/2015 85

2/28/2015 86

Mục đích chính sách nhóm

 Quản lý môi trường làm việc của user trong

site, domain, organization unit hay trong từng hệ thống

 Đơn giản hóa một số thao tác quản trị  Quản trị tập trung

2/28/2015 87

Chức năng của GP  Triển khai phần mềm ứng dụng  Gán các quyền hệ thống cho người dùng  Giới hạn những ứng dụng mà người dùng được phép thi

hành

 Kiểm soát các thiết lập hệ thống  Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và

tắt máy

 Đơn giản hóa và hạn chế các chương trình  Hạn chế tổng quát màn hình Desktop của người dùng

2/28/2015 88

Các loại chính sách nhóm  Các thiết lập chính sách được lưu trên GPO

(Group Policy Object, đối tượng chính sách nhóm)

 Có 2 dạng GPO

 Local GPO: lưu trên từng máy  Non local GPO: lưu trên Active Directory

2/28/2015 89

Sự thừa kế chính sách nhóm  Thứ tự thừa kế chính sách nhóm

 Local  Site  Domain  Organizational Unit

 Các thiết lập có tính tích lũy (cumulative)  Nếu có xung đột thì không thừa kế  Có thể cấm sự thừa kế (block inheritance) hay buộc thừa

kế (No override)

2/28/2015 90

Các GPOs mặc định  Local:

 Local Group Policy trên mỗi máy

 Trên Active Directory:

 Default Domain Policy:  Liên kết với domain  Tác động đến tất cả user và computer trong domain

 Default Domain Controllers Policy:  Liên kết với Domain Controllers OU  Chỉ tác động trên các domain controllers

2/28/2015 91

Các bước thực hiện  Dùng công cụ phù hợp với local, non-local GPO  Tạo GPO  Thiết lập các thông số  Có thể liên kết (link) một GPO cho nhiều sites, nhiều

Domains, hay nhiều OUs

 Có thể liên kết (link) nhiều GPOs cho một site, một

Domain, hay một OU

2/28/2015 92

Công cụ GPMC

 Giới thiệu GPMC  Cài đặt GPMC  Tương tác với GPO

 Tạo một GPO độc lập  Liên kết GPO vào các đối tượng  Tạo một GPO liên kết

 Hủy liên kết GPO khỏi các đối tượng

2/28/2015 93

Công cụ GPMC  Tương tác mở rộng với GPO

 Sao lưu GPO  Phục hồi GPO  Sao chép GPO  Import GPO  Starter GPOs

 Tạo và hiệu chỉnh Starter GPO  Tạo GPO mới từ Starter GPO

 Group Policy Preferences

2/28/2015 94

Giới thiệu GPMC  Là công cụ quản lý GP đa năng, cho phép tương tác với tất cả GPO, Windows Management Instrumentation (WMI) filters, đối tượng liên quan đến GPO như:  Sao lưu và phục vụ GPO  Import và sao chép GPO  Tìm kiếm các GPO  Group Policy Modeling: tạo môi trường giả lập trước khi triển

khai thực tế các GP  Group Policy Results  Starter GPOs: quản lý các Administrative Templates  Preferences: thực hiện các thiết lập liên quan đến registry, local

account, dịch vụ, file, …

2/28/2015 95

Cài đặt GPMC  Nếu đã cài AD DS, thành phần GPMC sẽ được tự động cài đặt

2/28/2015 96

Tương tác với GPO Tạo một GPO độc lập  Chú ý:

 Nên tạo các GPO độc lập (unlinked GPO) và triển khai thử

trước khi áp dụng thực tế

 Đảm bảo các GPO hoạt động tốt mới áp dụng (link) trên các

đối tượng (site, domain, OU)

 Các bước tạo GPO độc lập

1. Server manager/ Tools/ Group Policy Management

2/28/2015 97

Kích chuột phải lên Group Policy Objects, chọn New

Nhập tên GPO

Bấm OK

Nhập tên của GPO

2/28/2015 98

Hiệu chỉnh GPO

Kích chuột phải lên GPO vừa tạo, chọn Edit

Computer Configuration

User Configuration

2/28/2015 99

Lựa chọn mục cần hiệu chỉnh

Kích đúp lên chính sách cần hiệu chỉnh

Chọn Enable

Hiệu chỉnh giá trị trong hộp Properties

2/28/2015

Bấm Apply, tiếp OK để kết thúc

100

Thực hiện tương tự nếu muốn hiệu chỉnh các chính sách khác.

2/28/2015 101

Tương tác với GPO Liên kết GPO vào các đối tượng  Sau khi tạo GPO độc lập, cần thực hiện liên kết GPO vào các

đối tượng trên AD như site, domain hoặc OU

 Mỗi GPO có thể liên kết đến nhiều đối tượng trên AD  Các bước thực hiện

1. Tạo các đối tượng trên AD như OU (Quantrimang đã tạo từ

buổi trước)

2. Liên kết GPO vào OU theo 2 cách

2/28/2015 102

Cách 1

Chọn tên domain

Kích chuột phải lên OU (site hoặc domain) Chọn Link an Existing GPO…

Chọn GPO tương ứng

2/28/2015 103

Chọn OK để kết thúc

Cách 2  Chọn GPO đồng thời giữ và rê chuột đến OU muốn liên kết.  Chọn OKđể hoàn thành thao tác.

2/28/2015 104

Tương tác với GPO Tạo một GPO liên kết Kích chuột phải lên OU (site hoặc domain) Chọn Create a GPO in this domain, and Link it here

Nhập tên của GPO

Chỉ tạo trực tiếp GPO liên kết khi đã có kinh nghiệm triển khai GPO

Nhấn OK để kết thúc

2/28/2015 105

GPO mới được tạo ra, đồng thời liên kết đến đối tượng (OU) đã tương tác

2/28/2015 106

Hủy liên kết GPO khỏi các đối tượng Mở cửa sổ GPMC, chọn GPO cần hủy liên kết

Chọn GPO cần hủy liên kết

2/28/2015 107

Hủy liên kết GPO khỏi các đối tượng

Chọn tab Scope

Kích chuột phải lên đối tượng cần hủy liên kết, Chọn Delete Link

Chọn OK để hủy liên kết

2/28/2015 108

Hủy liên kết GPO khỏi các đối tượng  Chú ý: Thao tác vừa thực hiện chỉ có tác dụng hủy liên kết từ GPO đến các đối tượng trong AD chứ không xóa các GPO

Kích chuột phải lên GPO cần xóa Chọn Delete

Chọn Yes để xóa và hủy liên kết trên domain cntt.edu.vn

2/28/2015 109

Tương tác mở rộng với GPO  Công cụ GPMC cho phép dễ dàng thực hiện các thao tác

với các GPO đang được triển khai:  Sao lưu  Phục hồi  Sao chép  Import Giúp tiết kiệm thời gian, tăng tính chính xác và ổn định của

hệ thống

2/28/2015 110

Sao lưu GPO Sao lưu tất cả các GPO

Mở GPMC, kích chuột phải lên GPOs Chọn Back Up All…

2/28/2015 111

Sao lưu GPO Sao lưu tất cả các GPO

Chọn nơi lưu trữ GPOs

2/28/2015 112

Back up để thực hiện sao lưu

Sao lưu GPO Sao lưu tất cả các GPO

Kết quả sao lưu

Bấm OK để hoàn thành tiến trình sao lưu GPO

2/28/2015 113

Sao lưu GPO Sao lưu một GPO cụ thể:  Thao tác tương tự với sao lưu toàn bộ các GPO  Khác: Chỉ lựa chọn GPO cần sao lưu

2/28/2015 114

Quản lý các GPO sao lưu  Sử dụng chức năng Manage Backups

Mở GPMC, kích chuột phải lên GPOs. Chọn Manage Backups…

2/28/2015 115

Quản lý các GPO sao lưu  Sử dụng chức năng Manage Backups

Nhập đường dẫn đến thư mục lưu trữ GPOs đã sao lưu

Danh sách các GPOs

Xóa một GPO đã sao lưu

Xem chi tiết cấu hình của mỗi GPO trong danh sách

Hiển thị các GPO được sao lưu gần với thời điểm gần đây nhất

2/28/2015 116

Phục hồi GPO

Mở GPMC, kích chuột phải lên GPO cần phục hồi. Chọn Restore from Backup…

2/28/2015 117

Phục hồi GPO

Bấm Next để tiếp tục

Chỉ định thư mục chứa GPO cần phục hồi

2/28/2015 118

Phục hồi GPO

Chọn GPO cần phục hồi

Bấm Finish để bắt đầu tiến trình phục hồi

2/28/2015 119

Phục hồi GPO đã bị xóa

Mở GPMC, kích chuột phải lên GPOs Chọn Manage Backups…

2/28/2015 120

Phục hồi GPO đã bị xóa

Chọn GPO cần phục hồi

Bấm OK để thực hiện phục hồi GPO

2/28/2015 121

Sao chép GPO

 Phục hồi GPO chỉ được thực hiện trên cùng domain với

GPO đã sao lưu.

 Nhân bản GPO trên domain khác nhau=> sử dụng chức

năng copy hoặc import

 GPMC cho phép sao chép GPO trên cùng domain hoặc

khác domain.

2/28/2015 122

Mở GPMC, kích chuột phải lên GPO cần sao chép, Chọn Copy

Sao chép GPO

Nếu trên cùng domain, rightclick lên mục GPOs, chọn Paste

2/28/2015 123

Thiết lập các quyền cho GPO vừa sao chép như 1 GPO mới

Sao chép GPO

Hệ thống giữ lại các quyền đã tồn tại trên GPO

Kết quả sao chép GPO

Chú ý: Nếu sao chép GPO đến một domain khác, phải rightclick lên GPOs của domain đó

2/28/2015 124

Import GPO  Cho phép áp dụng các thiết lập (policy settings) của một GPO đã sao lưu (backed-up GPO) vào GPO đang tồn tại trên hệ thống (destination GPO)

 Không làm thay dổi thiết lập trên Links hoặc Security

Filtering của GPO đang tồn tại

2/28/2015 125

Import GPO

Mở GPMC, kích chuột phải lên GPO muốn import. Chọn Import Settings…

Chọn Next để tiếp tục

2/28/2015 126

Import GPO

Chọn thư mục chứa GPO sẽ import

Chọn Backup để sao lưu trước khi import

Chọn Next để tiếp tục

2/28/2015 127

Import GPO

Chọn GPO muốn import tại danh sách Backed up GPOs

Hệ thống tiến hành quét các thiết lập trên GPO sắp import

Chọn Next để tiếp tục

2/28/2015 128

Import GPO

Kết quả tiến trình import

Hiển thị các thông tin đã lựa chọn

Bắt đầu tiến trình import GPO

Bấm OK để kết thúc

2/28/2015 129

Starter GPOs  Cho phép quản lý các template dùng để tạo ra các GPO  Chỉ hỗ trợ các thiết lập trên Administrative Templates: tạo

lập, hiệu chỉnh, import, export,…

2/28/2015 130

Tạo và hiệu chỉnh Starter GPO

Mở GPMC, chọn mục Starter GPOs, Chọn Create Starter GPOs Folder để tạo thư mục lưu trữ các Starter GPO

Nhập tên của Starter GPO

Kích chuột phải vào Starter GPO, chọn New

Bấm OK để tiếp tục

2/28/2015 131

Tạo và hiệu chỉnh Starter GPO

Rightclick vào Starter GPO, chọn Edit để hiệu chỉnh

2/28/2015 132

Tạo và hiệu chỉnh Starter GPO

Mở rộng Administrative Template

Thay đổi giá trị trong hộp thoại Propeties

Chọn mục cần hiệu chỉnh

Bấm OK để hoàn thành

2/28/2015 133

Hiệu chỉnh Starter GPO  Lặp lại thao tác trên để hiệu chỉnh chính sách khác

2/28/2015 134

Tạo GPO mới từ Starter GPO Cách 1

Nhập tên GPO

Kích chuột phải lên Starter GPO Chọn New GPO From Starter GPO

Starter GPO xuất hiện

Bấm OK

2/28/2015 135

Tạo GPO mới từ Starter GPO Cách 2

Nhập tên GPO

Kích chuột phải lên GPOs Chọn New

Chọn Starter GPO tương ứng

Chọn OK để kết thúc

2/28/2015 136

Group Policy Preferences SV tự tìm hiểu

2/28/2015 137

Một số ví dụ

2/28/2015 138

Ví dụ 1: Cho phép domain users đăng nhập tại server

2/28/2015 139

Ví dụ 1: Cho phép domain users đăng nhập tại server  Group Policy Management  Domain Controllers Container  Rightclick Default Domain Controller Policy  Edit  Computer Configuration  Windows Settings  Security settings  Local policies  User Rights Assignment  Logon locally => thêm nhóm Domain Users

2/28/2015 140

Ví dụ 2: Loại bỏ Run khỏi Start menu và Control Panel khỏi Settings

 Active Directory Users and Computers  Tạo GPO cho OU  Rightclick GPO - Edit  User Configuration  Administrative Template  Start Menu & Task bar:

 Remove Run menu from Start Menu: Enabled

 Control Panel

 Prohibit access to the Control Panel: Enabled

2/28/2015 141

Ví dụ 3: Di chuyển folder My Documents

 Rightclick GPO - Edit  User Configuration  Windows Settings  Folder Redirection  My Documents - Properties

 Target:

 Basic - Redirect everyone’s folder to the same location

 Target folder location:

 Redirect to the user’s home folder

2/28/2015 142

Ví dụ 3: Di chuyển folder My Documents

2/28/2015 143

Ví dụ 4: Hạn chế chức năng của Internet Explorer

 Mục đích: người dùng máy trạm không được phép thay đổi bất kì thông số nào trong Tab Security, Connection và Advanced trong hộp thoại Internet Options của công cụ Internet Explorer.

2/28/2015 144

Ví dụ 4: Hạn chế chức năng của Internet Explorer

Cách thức thực hiện  Group Policy Object Editor  User Configuration  Administrative Templates  Windows Components  Internet Explorer  Internet Control Panel

 Disable the Connection page - Enable  Disable the Security page – Enable  Disable the Advanced page – Enable

2/28/2015 145

Ví dụ 4: Hạn chế chức năng của Internet Explorer

2/28/2015 146

Ví dụ 5: Chỉ cho phép một số ứng dụng được thi hành  Group Policy Object Editor  User Configuration  Administrative Templates  System.

 Run only allowed windows applications

 Show: để chỉ định các phần mềm được phép thi hành

2/28/2015 147

Ví dụ 5: Chỉ cho phép một số ứng dụng được thi hành

2/28/2015 148

Ví dụ 5: Chỉ cho phép một số ứng dụng được thi hành  Chỉ ngăn được các chương trình chạy bởi tiến trình

Windows Explorer

 Các chương trình chạy từ RUN như CMD.EXE hay

MSPaint.EXE không bị ảnh hưởng

 Xem tab Explain để biết chi tiết

2/28/2015 149

Ví dụ 6: Cài đặt phần mềm

 Có 3 dạng phân phối phần mềm từ group policy

 Assigning Software - Gán phần mềm  Gán phần mềm cho users hay computers  Phần mềm được cài đặt khi đăng nhập

 Publishing Software - Công bố phần mềm

 Công bố phần mềm cho users  Phần mềm được hiển thị từ hộp thoại Add or Remove

Programs

 User thực hiện cài đặt

 Advanced Software - Cài đặt nâng cao

 Cho phép người dùng cài đặt thêm một số tùy chọn

2/28/2015 150

Các bước cài đặt phần mềm từ group policy  Tạo điểm phân phối (Distribution point)

 Tạo share folder  Sao chép cài đặt phần mềm dạng *.MSI  Tạo Group Policy Object

2/28/2015 151

Các bước cài đặt phần mềm từ group policy

 Gán phần mềm (Assign a Package)

 User Configuration  Software Settings  Software Installation  New _ Package _ Assigned  Package được cài đặt khi client computer khởi

động

2/28/2015 152

Các bước cài đặt phần mềm từ group policy  Công bố phần mềm (Publish a Package)

 User Configuration  Software Settings  Software Installation  New _ Package _ Published  Package được hiển thị tại máy trạm:

 Add or Remove Programs/ Add New Programs

 Add programs from your network  Package được cài đặt khi chọn Add

2/28/2015 153

Các bước cài đặt phần mềm từ group policy  Cài lại phần mềm (Redeploy a Package)

 User/Computer Configuration  Software Settings  Software Installation  Chọn package  All Tasks _ Redeploy application

2/28/2015 154

Gỡ bỏ phần mềm (Remove a Package)

 User/Computer Configuration

 Software Settings  Software Installation  Chọn package  All Tasks _ Remove  Chọn một trong các tùy chọn:

 Immediate uninstall the software from users and

computers

 Allow users to continue to use the software but prevent new

installation

2/28/2015 155