CHƯƠNG 2: CHÍNH SÁCH NHÓM VÀ QUẢN LÝ TÀI NGUYÊN

CHƯƠNG 2: CHÍNH SÁCH NHÓM VÀ QUẢN LÝ TÀI NGUYÊN

MÔN: QUẢN TRỊ MẠNG

CHỨC NĂNG

– Thiết lập tập trung và phân quyền các chính

sách

– Đảm bảo môi trường làm việc cho người

dùng

– Điều khiển người dùng và máy tính – Áp dụng các chính sách bắt buộc

Group Policy

Thiết lập các chính sách trong Group Policy

CÁC LOẠI THIẾT LẬP TRONG GP

Các thiết lập Ý nghĩa

Thiết lập các chính sách đăng ký cơ bản Administrative Templates

Security Thiết lập các chính sách bảo mật mạng: cục bộ, domain

Software Installation

Scripts

Folder redirection Các sự thiết lập quản lý tập trung và cài đặt phần mềm Các script cho shutdown, logoff, restart, startup Chứa các thiết lập cho việc lưu trữ các thư mục trên một server mạng

Group Policy Object

Group Policy Containner Được định vị trong Active Directory. Cung cấp thông tin về phiên bản được sử dụng trong Domain Controller.

Chứa đựng các thiết lập cho Group Policy

Nội dung được lưu trong hai vị trí

Group Policy Templates Được định vị trong thư mục chia sẻ Sysvol của Domain Controller. Cung cấp các thiết lập chính sách nhóm cho máy tính chạy windows 2003.

Các đối tượng trong chính sách nhóm

Site GPO

Domain GPO

OU

OU

OU

Domain

OU GPO

OU GPO

site

Các Containner trong Active Directory

Ví dụ:

win.vtt

Phòng đào tạo

• Yêu cầu:

 Để việc quản trị mạng và chia sẻ cũng như tìm kiếm dữ liệu trong công ty dễ dàng chúng ta tạo mô hình OU như trên hình minh họa  Thiết kế một domain giả sử là win.vtt  Giả sử công ty có hai phòng là : phòng kế toán và phòng đào tạo  Tại hai mức này ta tạo Organization Units – Ous tương đương với phòng kế toán và đào tạo.  Tại mỗi phòng sẽ có các bộ phận kế toán (Account) và bộ phận kinh doanh (Account)  Chú ý: Nếu các cấp độ bộ phận còn nhiều nhân viên nữa thì ta cũng nên chia ra làm các OU bộ phận

• Cách tạo OU

 Vào Start – Programs – Administrative Tool – Active Directory Users and Computers

• Cách tạo OU

 Click phải chuột vào Domain win.vtt – New – Organization

Unit (OU)

• Tạo chính sách nhóm ở mức

độ Domain  Vào start – Programs –

Administrative Tool – Active Directory Users and Computers  Click phải chuột chọn Domain

vtt chọn Properties  Chọn tab Group Policy  Chọn Edit xuất hiện màn hình

sau

 Ta có thể ứng dụng để tạo một số chính sách nhóm sau:

 Thiết lập lại một số chính sách cho mật khẩu

 Ngoài ra còn có thể thiết lập một số quyền hệ thống khác

• Tạo chính sách nhóm cho các tài khoản trong domain

 Vào start – Programs – Administrative Tool – Active

Directory Users and Computers

 Click phải chuột chọn Domain Controler chọn Properties

Nút Edit chứa các liên kết đến Group Policy

Đây là định danh chứa liên kết đến các đối tượng chính sách nhóm

Domain vtt

Domain Controller

Các chính sách nhóm

Click chọn Edit để để mở Group Policy Object Editor

Để thiết lập chính sách về password cho tất cả các users trong các Domain

Controller phải đảm bảo tính phức tạp tức là password như: chữ hoa, chữ thường các ký tự đặc biệt và ký tự số ta làm như sau:

Sau khi Click đôi vào mục Password must meet Complexity requirements

Nhấp chọn vào mục Define this Policies Setting – Enable rồi nhấp OK để áp dụng

 Tìm hiểu về Assign Software

 Là quá trình gán ứng dụng đến người dùng trong domain.

Người dùng sẽ nhận được ứng dụng trong lần đăng nhập kế tiếp

vào domain. Khi người dùng muốn sử dụng phần mềm mà

Server đã gán, họ chỉ việc kích hoạt phần mềm.

 Đây là tính năng chia sẻ thông tin rất tiện lợi mà hệ thống

Client – Server cung cấp. Với một mạng máy tính lớn trong

công ty, bạn không phải đi từng máy để cài đặt phần mềm mà

chỉ cần gán trực tiếp các ứng dụng trên Server. Quá trình

Assign Software chỉ làm việc với tập tin *.MSI

 Tìm hiểu về Assign Software

Gán cho một người dùng

Ứng dụng được cài đặt lần sau khi mà người dùng khởi động ứng dụng.

Gán cho một máy tính

Điểm phân phối phần mềm

Ứng dụng được cài đặt lần sau khi mà máy tính khởi động nó.

Mô hình gán phần mềm

 Lưu ý

 Gán cho một người dùng: Ứng dụng được gán cho một

người dùng trong lần đăng nhập kế tiếp.

 Gán cho một máy tính: Máy tính được người dùng khởi

động, người dùng sẽ kích hoạt ứng dụng được gán.

 Tất cả các ứng dụng được gán cho người dùng (User) và máy

tính (Computer) chỉ phải kích hoạt một lần trong lần đăng nhập

kế tiếp.

 Tìm hiểu về Publish Software

 Khi bạn sử dụng tính năng Publish Software, các ứng dụng

không được xuất hiện trên Desktop, Start Menu, cũng như

không được đăng ký trong Registry của máy tính.

 Ứng dụng được Publish sẽ xuất hiện trong các container của

Active Directory. Nếu muốn sử dụng các ứng dụng được công

bố (Publish) này bạn phải sử dụng đến Add/Remove Programs

của máy tính.

 Tìm hiểu về Publish Software

Add/Remove Programs

ứng dụng được cài đặt khi người dùng từ Add/Remove Programs trong Control Panel

Document Activation

Điểm phân phối phần mềm

ứng dụng được cài đặt khi người dùng double – clicks vào một loại tập tin chưa rõ

Mô hình Publish Software

 Sử dụng Group Policy để triển khai MS Office 2003

 Triển khai phần mềm là quá trình Assign và Publish được

ứng dụng trên Server.

 Khi muốn sử dụng phần mềm nào, người dùng chỉ việc đăng

nhập vào Workstation và kích hoạt nó.

 Quá trình Assign MS Office 2003 trên OU Phòng đào tạo

Tạo một thư mục mới trên ổ đĩa C và đặt tên là Office 2003.

Thư mục này sẽ chứa nội dung của đĩa CD Office 2003

 Quá trình Assign MS Office 2003 trên OU Phòng đào tạo

 Tại Server, vào Start – Programs – Administrative Tool –

Active Directory Users and Computers, nhấp phải chuột vào vtt

– Properties

 Quá trình Assign MS Office 2003 trên OU Phòng đào tạo

 Tạo một chính sách mới tên Office 2003 và nhấn Edit

 Quá trình Assign MS Office 2003 trên OU Phòng đào tạo

 Tạo một Package để triển khai ứng dụng

 Quá trình Assign MS Office 2003 trên OU Phòng đào tạo

 Chọn đường dẫn đến với ứng dụng muốn triển khai

 Quá trình Assign MS Office 2003 trên OU Phòng đào tạo

 Trong hộp Look In chọn thư mục chứa file .MSI sau đó nhấp

nút Open hoặc tại hộp File name nhập đường dẫn sau:

\\2k3\Office 2000\Pro11.MSI trong đó:

2k3 là tên Server Office 2003 là thư mục được chia sẻ Pro11.MSI là tập tin .MSI được chứa trong thư mục

Office 2003 trên server 2k3

 Quá trình Assign MS Office 2003 trên OU Phòng đào tạo

 Sau khi nhấp nút open hộp thoại Deploy Software xuất hiện

như sau:

 Quá trình Assign MS Office 2003 trên OU Phòng đào tạo

Hộp thoại cho thấy phần mềm đã được triển khai

 Nhấp chọn Assign sau đó nhấp OK để đóng hộp thoại này.

 Quá trình Assign MS Office 2003 trên OU Phòng đào tạo

 Tiếp theo vào Start – Run – nhập Gpupdate /force – nhấp OK

để cập nhật các thiết lập trong Group Policy.

 Quá trình Assign MS Office 2003 trên OU Phòng đào tạo

Word 2003 và cài đặt như cài

Office trên máy cục bộ

Thư mục này được tự động thêm vào sau khi Assign trong Deploy Software

Nhấp chọn Microsoft Office Word 2003 tiến trình cài đặt bắt đầu giống như cài Office trên máy cục bộ.

 Đăng nhập Client vào Domain Tiếp theo vào Start – All Programs – Office 2003 – Microsoft Office

 Publish MS Office 2003 trên Domain hcmc.vn

Chưa có phần mềm nào ở đây

 Client1 khi chưa được Publish MS Office 2003

 Publish MS Office 2003 trên Domain hcmc.vn

Tại Server, vào Start

Programs Administrative Tool

Active Directory Users and Computers

nhấp phải chuột vào hcmc.vn

chọn Properties chọn thẻ Group Policy

Nhấn New để tạo liên kết mới

 Tiến trình thực hiện Publish Software như sau:

 Publish MS Office 2003 trên Domain hcmc.vn

Tiếp theo nhấp nút Edit để liên kết tới Group Policy Object Editor, chọn

User Configuration – Software Settings – nhấp phải chuột vào Software

Installation – New – Package. Tại mục Look In chọn My Network

Places.

Nhấp đúp Entire Network

 Tiến trình thực hiện Publish Software như sau:

 Publish MS Office 2003 trên Domain hcmc.vn

Nhấp đúp vào Microsoft Windows Network

 Tiến trình thực hiện Publish Software như sau:

 Publish MS Office 2003 trên Domain hcmc.vn

Nhấp đúp vào Domain Hcmc

 Tiến trình thực hiện Publish Software như sau:

 Publish MS Office 2003 trên Domain hcmc.vn

Nhấp chọn tập tin PRO11.MSI

Tiếp theo nhấp Open

 Tiến trình thực hiện Publish Software như sau: Tìm đến thư mục Share tập tin PRO11.MSI

 Publish MS Office 2003 trên Domain hcmc.vn

 Tiến trình thực hiện Publish Software như sau: Chọn Published nhấn OK

 Publish MS Office 2003 trên Domain hcmc.vn

OK để cập nhật sự thay đổi trong Group Policy Object Editor.

 Tiến trình thực hiện Publish Software như sau: Vào Start – Run và trong hộp Open gõ lệnh sau: gpupdate /force và nhấp

Màn hình cho thấy Microsoft Office 2003 đã được Published

 Publish MS Office 2003 trên Domain hcmc.vn

Programs, nhấp nút Add New Programs sau đó nhấp vào phần mềm muốn cài và nhấp nút Add.

Nhấp chọn phần mềm muốn cài đặt

Nhấp nút Add để cài đặt về máy Client

 Tiến trình thực hiện Publish Software như sau: Đăng nhập vào Client Để triển khai phần mềm trên máy Client ta làm như sau: Vào Start – Settings – Control Panel – Add/Remove

1. TẠO CÁC TẬP TIN ZAP

1.1 Nguyên lý hoạt động của tập tin zap

Tập tin .zap này chỉ sử dụng khi các ứng dụng không cung cấp tập tin .MSI

Chỉ sử dụng để Publish, không sử dụng để Assign.

Publish chỉ cung cấp cho user không sử dụngcho computer.

1.2 Mã nguồn trong tập tin .Zap

Giả sử muốn Publish Winrar cho người dùng trong OU Phòng kế toán ta sử dụng đoạn mã sau: [Application] FriendlyName=Winrar3.71 SetupCommand=\\2K3\Winrar\Winrar371.exe displayVersion=9.0 publisher=Winrar Company, Inc

1.3 Nguyên lý hoạt động của tập tin zap

Các bước thực hiện Tạo thư mục Winrar có chứa tập tin Winrar.exe trong ổ đĩa C. Shared thư mục Winrar Dungf Notepad soạn thảo tập tin với nội dung như sau: [Application] FriendlyName=Winrar3.71 SetupCommand=\\2K3\Winrar\Wrar371.exe DisplayVersion=3.71 Publisher=Winrar Company, Inc Sau đó lưu nội dung tập tin này với tên là Winrar.zap và lưu vào thư mục Winrar Trong đó: FriendlyName=Winrar3.71 là tên hiển thị của phần mềm Setupcommand=\\2K3\Winrar\Wrar371.exe: 2K3 là tên Server, Winrar là thư mục chia sẻ có chứa tập tin Wrar371.exe. DisplayVersion=3.71 là số phiên bản. Publisher=Winrar Company, Inc là tên công ty.

1.4 Publish các ứng dụng sử dụng tập tin .zap

Tại Server mở công cụ Active Directory Users and Computers, nhấp phải chuột lên OU Phòng kế toán chọn Properties rồi nhấp thẻ Group Policy.

1.4 Publish các ứng dụng sử dụng tập tin .zap Nhấp nút New để tạo liên kết mới đặt tên là Zap App

Sau đó nhấp nút Edit để mở Group Policy Object Editor. Tại cây bên trái chọn User ConFiguration – Software Settings, nhấp phải chuột vào Software Installation – New – Package.

1.4 Publish các ứng dụng sử dụng tập tin .zap

Lưu ý: Phải chọn ở mục File of type là ZAW Down – level application packages (*.zap)

1.4 Publish các ứng dụng sử dụng tập tin .zap

Trong hộp thoại Open ở mục Look in trỏ tới nơi chứa tập tin Winrar.zap hoặc ở mục File name gõ đường dẫn sau: \\2K3\Winrar\Winrar371.zap. Tại mục File oF type chọn ZAW Down –level application packages (*.zap). Sau đó nhấp Open làm xuất hiện hộp thoại Deploy Software

1.4 Publish các ứng dụng sử dụng tập tin .zap

Trên hộp thoại Deploy Software nhấp chọn Published rồi nhấp OK để áp dụng và đóng hộp thoại Deploy Software trở về hộp thoại Group Policy Objecy Editor như trong hình.

1.4 Publish các ứng dụng sử dụng tập tin .zap

Để kiểm tra hiệu lực của Group Policy sau khi thiết lập ta làm như sau: Đăng nhập vào Domain từ máy Client với User thuộc OU Phòng kế toán ví dụ là U1.

1.4 Publish các ứng dụng sử dụng tập tin .zap

Sau đó tại máy Client mở Control Panel – Add Or Remove Programs – Add New Programs

Đây là phần mềm đã được Publish

1.4 Publish các ứng dụng sử dụng tập tin .zap

Để cài đặt phần mềm này chúng ta chỉ cần nhấp nút Add và tiến hành cài đặt bình thường. Chúng ta chỉ triển khai phần mềm Winrar trên OU Phòng kế toán do vậy OU Phòng kinh doanh sẽ không có Winrar3.71 trong Add New Programs của các máy tính thuộc người dùng của OU Phòng kinh doanh. Chúng ta kiểm tra xem có đúng không. Đăng nhập từ máy Client vào Domain bằng tài khoản u2 thuộc OU Phòng kinh doanh

1.4 Publish các ứng dụng sử dụng tập tin .zap

1.4 Publish các ứng dụng sử dụng tập tin .zap

Nhấp chọn nút Add New Programs

Nhận thấy không có phần mềm nào được Publish ở đây

1.4 Publish các ứng dụng sử dụng tập tin .zap

1.5 Phân loại ứng dụng

Server là nơi lưu trữ và chia sẻ các ứng dụng trong mạng Công ty. Trong môi trường làm việc đa ngành và kể cả không đa ngành thì trong Công ty cũng có các dữ liệu khác nhau tương ứng với các bộ phận và phòng ban khác nhau. Vì vậy, trên Server chúng ta phải tạo ra các danh mục phân loại khác nhau để tiện cho việc truy xuất và quản lý.

a. Tạo danh sách các Categories

Tại Server mở công cụ Active Directory Users and Computers, nhấp phải chuột vào Domain hcmc.vn chọn Properties nhấp chọn thẻ Group Policy.

a. Tạo danh sách các Categories

a. Tạo danh sách các Categories

Tạo một Categories Policy

Nhấp nút Edit, tiếp theo chọn User Configuration – Software Settings

a. Tạo danh sách các Categories

Nhấp phải chuột vào Software installation chọn Properties sau đó nhấp chọn thẻ Categories.

a. Tạo danh sách các Categories

Categories là nơi lưu trữ các danh mục khác nhau, ứng với mỗi danh mục sẽ chữa các tiện ích cũng như các loại dữ liệu khác nhau.

a. Tạo danh sách các Categories

b. Add dữ liệu vào Categories

Giả sử chúng ta đã tạo ra tập tin .zap và theo mặc định tập tin này chứa trong mục All Categories. Chúng ta muốn tập tin này chứa trong mục Tool của danh mục mà ta vừa tạo. Các bước thực hiện như sau: Tại Server mở Active Directory Users and Computers – hcmc.vn. Nhấp phải chuột vào OU Phong kế toán – Properties tiếp theo chọn thẻ Group Policy

b. Add dữ liệu vào Categories

Nhấp chọn Zap App, sau đó nhấp nút Edit để mở liên kết đến Group Policy Object Editor

b. Add dữ liệu vào Categories

Tại cửa sổ Group Policy Object Editor, chọn User Configuration – Software installation sau đó nhấp phải chuột vào Winrar3.71 chọn Properties.

b. Add dữ liệu vào Categories

Hộp thoại Winrar 3.71 xuất hiện, chọn thẻ Categories. Tại danh mục Available categories nhấp chọn mục Tool sau đó nhấp nút selected để chuyển Tool sang danh mục Selected Categories, tiếp theo nhấp nút Apply để áp dụng và nhấp OK để đóng hộp thoại.

b. Add dữ liệu vào Categories

Đóng tất cả các hộp thoại. Tại Server, vào Start – Run – nhập dòng lệnh gpupdate /force để cập nhật các chính sách vừa thiết lập. . Đăng nhập vào máy Client bằng tài khoản u1 là tài khoản thuộc OU Phòng kế toán. Tại máy Client mở Control Panel – Add or Remove Programs – Add New Programs để xem kết quả

b. Add dữ liệu vào Categories

 Cấu hình hệ thống tập tin

 Cấu hình đĩa lưu trữ

 Sử dụng chương trình Disk Manager

 Quản lý việc nén dữ liệu

 Thiết lập hạn ngạch đĩa

 Mã hóa dữ liệu

Các loại File System:

Khả năng

FAT16 FAT16

FAT32 FAT32

NTFSNTFS

Hổ trợ

HHầầuu hhếếtt

NT,2000,2003,XP NT,2000,2003,XP

95,98,XP,NT, 95,98,XP,NT, 2000, 2003 2000, 2003

Hổ trợ tên file dài

256 kýký ttựự 256

256 kýký ttựự 256

256/Windows 256/Windows 8.3/Dos 8.3/Dos

NN

Không Không

CCóó

CCóó

Sử dụng hiệu quả đĩa

Nén đĩa

Không Không

Không Không

CCóó

Hạn nghạch

Không Không

Không Không

CCóó

Mã hoá

Không Không

Không Không

CCóó

Bảo mật cục bộ

Không Không

Không Không

CCóó

Bảo mật trên mạng

CCóó

CCóó

CCóó

Kích thước tối đa

4 GB4 GB

32 GB 32 GB

1024 GB 1024 GB

Chuyển đổi File System từ FAT16, FAT 32 sang

NTFS

 CCúú phphááp : p : convert␣␣[[ổổ đ đĩĩa]:a]:␣␣/fs:ntfs /fs:ntfs convert

Lưu ý: Lệnh Convert chỉ tác dụng 1 lần. Khi muốn đổi lại từ NTFS sang FAT32 phải dùng lệnh Format.

Windows Server 2003 hỗ trợ 2 loại đĩa lưu trữ : Basic và Dynamic, còn gọi là hệ thống lưu trữ căn bản và hệ thống lưu trữ động. a. Basic Disk

– Bao gồm Primary Partition và Extended

Partition

– Mỗi ổ đĩa vật lý cho phép tạo tối đa 4 Partition – Ta có thể tạo 3 Primary Partition và 1

Extended Partition.

b. Dynamic Disk

– Đĩa lưu trữ Dynamic được chia thành các Dynamic

Volume.

– Dynamic có những đặc tính mà Base disk không có là

khả năng tạo một Dynamic Volume trên nhiều ổ đĩa

vật lý và khả năng dung lỗi (fault tolerant),…

– Windows server 2000, 2003 hỗ trợ 5 loại Dynamic

Volume: Simple, Spanned, Striped, mirrored, RAID 5

Simple Volume: là loại Volume đơn giản, chỉ

chiếm chỗ trên một ổ đĩa Dynamic duy nhất. Không gian này có thể liên tục hoặc không liên tục

Spanned Volume Gồm một hoặc nhiều đĩa Dynamic (tối đa có 32 đĩa). Dùng để sử dụng để tăng kích thước Volume. Dữ liệu ghi trên Spanned Volume theo thứ tự, hết đĩa này đến đĩa khác Ghi chú: Nếu mở rộng Simple Volume sang một đĩa vật lý khác thì nó

trở thành Spanned Volume.

Mirrored Volume (RAID-1) • Dùng 2 Dynamic disk: 1 chính và 1 phụ • Dữ liệu được ghi trên đĩa chính cũng được ghi lên

đĩa phụ (bản sao).

• Mirrored Volume có khả năng dung lỗi tốt. • Dữ liệu được ghi tuần tự trên đĩa chính, đĩa phụ

nên làm giảm hiệu suất hoạt động.

RAID-5 • RAID: Redundant Arrays of Inexpensive Disk • Sử dụng ít nhất 3 Dynamic disk (tối đa là 32) • Sử dụng thêm một dải (Striped) để ghi thông tin

Parity dùng để phục hồi dữ liệu bị hỏng.

• RAID-5: tăng khả năng dung lỗi và tăng hiệu suất

hoạt động.

• Right click chuột lên ổ đĩa vật lý muốn xem thuộc tính

• Hộp thoại cung cấp

thông tin: – Số thứ tự vật lý – Loại đĩa – Trạng thái – Dung lượng – ….

• Right click chuột lên ổ đĩa logic muốn xem thuộc tính, chọn Properties

• Tab General hiển thị

thông tin về: – Nhãn, hệ thống tập tin,

dung lượng sử dụng, dụng lượng trống,…

– Nút Disk Cleanup dùng để xóa các tập tin không cần thiết, giải phóng không gian đĩa.

• Windows server 2003 hỗ trợ cơ chế nén dữ

liệu tự động và trong suốt • Chỉ có thể sử dụng trên NTFS

• Disk Quota dùng để chỉ định lượng không

gian lưu trữ tối đa của người dùng

• Chỉ có thể sử dụng trên NTFS • Lượng không gian chiếm dụng được tính

theo các tập tin và thư mục do người dùng sở hữu và tính toán dựa trên kích thước thật của tập tin (thư mục)

• Không gian còn trống là được tính toán dựa

vào hạn ngạch của người dùng

• Dùng để mã hóa dữ liệu trên các Patition • Sử dụng trên phân vùng NTFS