CHÍNH SÁCH NHÓM

CHÍNH SÁCH NHÓM CHÍNH SÁCH NHÓM

ề ề

ệ ệ

i thi u v chính sách nhóm. ớ i thi u v chính sách nhóm. ớ ể ể

ộ ộ

ề ề

I. Gi I. Gi II. Tri n khai m t chính sách nhóm trên mi n. II. Tri n khai m t chính sách nhóm trên mi n. III. Các ví d minh h a. ụ III. Các ví d minh h a. ụ

ọ ọ

1. So sánh gi a System Policy và

ữ

Group Policy.

Chính sách nhóm ch xu t hi n trên mi n ỉ ề Active ệ ấ

Directory c a NT5.0. ủ

Chính sách nhóm bao g m các chính sách c a h ệ ồ ủ

th ng và các chính sách c a riêng t ng nhóm. ủ ừ ố

Chính sách nhóm t đ ng h y b tác d ng khi đ c ự ộ ủ ụ ỏ ượ

g b , không gi ng nh các chính sách h th ng. ệ ố ỡ ỏ ư ố

ườ

ượ

ơ ố

ỉ ượ

ượ

ạ

ng xuyên Chính sách nhóm đ c áp d ng th ụ h n chính sách h th ng. Các chính sách h ệ ố ệ c áp d ng khi máy tính đăng nh p th ng ch đ ậ ụ vào m ng. Các chính sách nhóm thì đ c áp d ng trong su t th i gian làm vi c.

ụ

ệ

ố

ờ

ề

ứ

ộ ể ườ

ặ ừ

ừ ng.

Có nhi u m c đ đ gán chính sách nhóm này i dùng ho c t ng nhóm đ i cho t ng nhóm ng ố t ượ

c trên

ượ

ụ

ớ

ỉ

Chính sách nhóm m i ch áp d ng đ máy Win2K, WinXP và Windows Server 2003.

2. Ch c năng c a Group Policy. ủ

ứ

ặ ể ề ứ

a. Tri n khai ph n m m ng d ng ầ

ộ

ộ ồ

ạ ặ

ế ặ ế ầ

ụ : đ t m t m t gói cài đ t(ặ package) nào đó lên Server, r i dùng ng m t ho c nhi u máy tr m chính sách nhóm h ộ ề ướ đ n gói ph n m m đó. H th ng s t đ ng cài ẽ ự ộ ệ ố ề ầ t c các máy tr m mà đ t ph n m m này đ n t ạ ấ ả ề i dùng. không c n s can thi p nào c a ng ủ ự ườ ệ ầ

b. Gán các quy n h th ng cho ng

ệ ề ườ ố

ư ặ

: i dùng nh chính sách h th ng. Nó có th c p ệ ố ể ấ i nào đó có quy n ề ườ backup d li u. ng t ự ộ t máy h th ng, t ươ cho m t ho c m t nhóm ng server, đ i gi t ờ ệ ố ắ ữ ệ ộ ổ

c. Gi

i h n nh ng ng d ng mà ng i dùng ớ ữ ứ ụ ạ ườ

đ c phép thi hành : chúng ta có th ki m soát ượ ể ể

máy tr m c a m t ng i dùng nào đó và cho phép ủ ạ ộ ườ

ng i dùng này ch ch y đ ườ ạ ỉ ượ c m t vài ng d ng ứ ụ ộ

nh : Outlook Express, Word hay Internet Explorer. ư

d. Ki m soát các thi

t l p h th ng: ể ế ậ ệ ố b n có th ể ạ

dùng chính sách nhóm đ qui đ nh h n ng ch đĩa ể ạ ạ ị

cho m t ng i dùng. Ng i dùng này ch đ c ộ ườ ườ ỉ ượ

i đa bao nhiêu MB trên đĩa c ng phép l u tr t ư ữ ố ứ

theo qui đ nh. ị

ậ ấ

ả t máy

ỗ ợ ả ố

c kích ho t ( ự ệ ả ượ ạ ị

ể ể ữ

t l p các k ch b n đăng nh p, đăng xu t, e. Thi ị ế ậ : T ừ Windows 2000 và kh i đ ng và t ắ ộ ở Windows Server 2003 thì h tr c b n s ki n trigger) m t k ch b n này đ ộ (script). Ta dùng các GPO đ ki m soát nh ng k ch b n nào đang ch y. ị ả ạ

f. Đ n gi n hóa và h n ch các ch

ng trình ạ ả ươ

ơ ể ế ể ỡ ỏ ề

: Có GPO đ g b nhi u tính năng kh i th dùng ỏ Internet Explorer, Windows Explorer và nh ng ữ ch ng trình khác. ươ

g. H n ch t ng quát màn hình Desktop c a

ế ổ ủ ạ

ng i dùng: chúng ta có th g b h u h t các ườ ể ỡ ỏ ầ ế

đ m c trên menu Start c a m t ng i dùng nào ề ụ ủ ộ ườ

đó, ngăn ch n không cho ng i dùng cài thêm ặ ườ

máy in, s a đ i thông s c u hình c a máy ố ấ ử ủ ổ

tr m…ạ

ộ

II. Tri n khai m t chính sách nhóm ể trên mi nề

 Chúng ta c u hình và tri n khai

Group Policy b ng ằ

ng chính sách ( GPO). ấ cách xây d ng các đ i t ự ể ố ượ

 Các GPO có th ch a nhi u chính sách áp d ng ụ ể i, nhi u máy tính hay toàn b h ộ ệ ườ

ề

ứ ề

 Dùng ch

cho nhi u ng th ng m ng. ề ạ ố

ươ

Group Policy Object Editor đ ể (GPO) ng chính sách t o ra các đ i t ạ ng trình ố ượ

 Trong c a s chính c a

ổ

ủ ụ

ủ Group Policy Object Editor có computer ấ user (

( tính i dùng

ườ

ấ

hai m c chính: c u hình máy configuration) và c u hình ng configuration).

1. Xem chính sách c c b c a m t

ộ ủ

ụ

ộ

máy tính

xa. ở ộ

ể ụ ộ

 Đ xem m t chính sách c c b trên các máy tính khác trong mi n, b n ph i có quy n qu n tr trên ả máy đó ho c qu n tr mi n.

ề ề ả ị

ạ ị ề ặ ả

 L nh: ệ

GPEDIT.MSC/gpcomputer:machinename

 Không th dùng cách này đ thi

VD: xem chính sách trên máy PCO1 ta gõ l nh ệ GPEDIT.MSC /gpcomputer: PCO1.

t l p các chính ể ể ế ậ

sách nhóm cho máy tính xa. ở

2. T o các chính sách trên mi n 2. T o các chính sách trên mi n

ề ề

ạ ạ

ể ạ

 Dùng Active Directory User and Computer

Có 2 cách g i ọ Group Policy đ t o ra các chính sách nhóm cho mi n. ề

Group Policy Object Editor ế ệ

 G i tr c ti p ti n ích ệ

ọ ư dòng l nh trên máy DC. t ừ

ế ở Group Policy t

ể ượ ử ả ươ ấ ộ

ừ Active Directory User N u m and Computer thì trong khung c a s chính c a ủ ổ ng ng trình b n nh p chu t ph i vào bi u t ch ạ tên mi n , ch n ề ọ Properties.

 Trong h p tho i xu t hi n b n ch n

ọ Tab Group Policy.

ệ

ấ

ạ

ộ

 N u ch a t o ra m t chính sách nào thì ch có m t

ế ư ạ ộ ỉ

ộ chính sách tên Default Domain Policy.

 Checkbox Block Policy inheritance, ch c năng ứ t đ nh c a m i ọ ủ ế ặ c p cao h n lan truy n xu ng

ụ ị

ấ ở ấ ơ ề ố

ế ấ

Default Domain Policy và nh p ấ Option đ c u hình các l a ch n vi c ể ấ ự ệ ọ

c a m c này là ngăn ch n các thi ủ chính sách b t kỳ đ n c p đang xét.  Ch n chính sách chu t vào nút áp d ng chính sách. ọ ộ ụ

 Trong h p tho i

ộ ế ụ

i s không ph quy t đ ướ ẽ ế

ụ ấ

ạ Options, n u đánh d u vào m c ấ c áp d ng No Override thì các chính sách khác đ ượ ụ t c nh ng thi dòng d ữ ế ượ ủ ở đ nh c a chính sách này, cho dù chính sách đó ủ ị Block Policy không đánh d u vào m c inheritance.

ấ ế ế

ạ ộ ệ

m t c p không làm ụ Disabled, thì c p này, Vi c ở ấ disable ở

 Ti p theo n u b n đánh d u vào m c ạ chính sách này s không ho t đ ng ẽ disbale chính sách b n thân đ i t

ộ ấ ng chính sách. ố ượ ả

 Đ t o ra m t chính sách m i b n nh p chu t vào

ể ạ ớ ạ ấ ộ

ộ nút New, sau đó nh p tên c a chính sách m i. ủ ậ ớ

ể

ể ộ

ể ấ

 Đ khai báo thêm thông tin cho chính sách này b n ạ Properties, h p tho i ạ Tab Links site, domain ho c ặ OU nào liên k t v i ế ớ

ể

có th nh p chu t vào nút ộ ấ ề Tab, b n có th vào xu t hi n có nhi u ạ ệ đ ch ra các ỉ chinh sách.

 Trong Tab Security cho phép b n c p quy n cho ng

ề

ạ

ấ

i ườ i dùng có quy n gì trên chính ề

ườ

dùng ho c nhóm ng ặ sách này.

ộ

 Trong h p tho i chính c a ạ c áp d ng t ượ ằ

ụ

ủ Group Policy thì các i lên trên, cho nên c áp d ng cu i ố ụ

d chính sách đ ừ ướ chính sách n m trên cùng s đ ẽ ượ cùng.

ộ ư ế ơ

 Do đó, các GPO càng n m trên cao trong danh sách ằ thì càng có đ u tiên cao h n, n u chúng có t đ nh mâu thu n nhau thì chính sách nào nh ng thi ẫ n m trên s th ng. ẽ ắ

ế ị ữ

 Vì lý do đó nên Microsoft thi

ằ

ế ế

t k hai nút ể ể

Up và Down giúp chúng ta có th di chuy n các chính sách này lên hay xu ng.ố

ằ

ổ