Project Group Policy

Chia sẻ: Le Anh | Ngày: | Loại File: DOCX | Số trang:19

Thêm vào BST

Báo xấu

149
lượt xem 37
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Group Policy là tập các thiết lập cấu hình cho computer và user cho phép các quản trị viện IT để tự động hóa quản lý một – nhiều người dùng và máy tính, đơn giản hóa nhiệm vụ quản trị và giảm chi phí CNTT. Quản trị hiệu quả có thể thực hiện các thiết lập bảo mật, thực thi chinh sách, và các phân phối phần mềm nhất quán trên trang web, tên miền phạm vi hoặc các đơn vị tổ chức.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Project Group Policy

Phần I: Implementing Group Policy 1.1 Giới thiệu tổng quan về Group Policy: Group Policy là tập các thiết lập cấu hình cho computer và user cho phép các quản trị viện IT để tự động hóa quản lý một – nhiều người dùng và máy tính, đơn giản hóa nhiệm vụ quản trị và giảm chi phí CNTT. Quản trị hiệu quả có thể thực hiện các thiết lập bảo mật, thực thi chinh sách, và các phân phối phần mềm nhất quán trên trang web, tên miền phạm vi hoặc các đơn vị tổ chức. 1.2 Group Policy Object là gì? Group Policy Object là một nhóm các cấu hình Group Policy. Có hai loại Group Policy Object: Local GPO, Nonlocal GPO + Local GPO: một local GPO được lưu trên máy cho dù máy tính đó là thành viên trong môi trường Active Directory hoặc môi trường mạng. %systemroot %\system32\GroupPolicy. Một local GPO chỉ ảnh hưởng đến máy tính đang lưu trữ nó. Các thiết lập của GPO có thể bị ghi đè bởi nonlocal GPO => local GP ít có ý nghĩa trong Active Directory. + Nonlocal GPO: được tạo ra trong Active Directory. %Systemroot %\sysvol\sysvol\domainname\policies\GPO GUID\Adm.Nonlocal GPOs được liên kết đến một site, domain, hoặc OU để áp dụng cho người dùng và máy tính. Mặc định khi dịch vụ danh bạ Active Directory được cài đặt thì hai nonlocal GPO được tạo ra: Default Domain Policy: GPO này liên kết với domain, và nó ảnh hưởng đến tất cả người dùng và máy tính trong domain( bao gồm cả các máy tính làm domain controller) theo qui tắc kế thừa Group Policy. Default Domain Controller Policy: GPO này liên kết tới OU Domain Controller, và nó chỉ ảnh hưởng đến các máy domain controller. 1.3 Các chính sách thiết lập Group Settings + User rights Assignment: Ân đinh quyền cho người sử dung. Quyền của người sử ́ ̣ ̣ dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian của hệ thống… + Access this computer from the network: Với những kẻ tò mò, tọc mạch thì tại sao chúng ta lại phải cho phép chúng truy cập vào máy tính của mình. Với thiết lập này bạn có thể tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào. + Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định, tài khoản Aministrator có quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc
quyền này. + Add workstations to domain: Thếm một tài khoản hoặc nhóm vào miền. Chính sách này chỉ hoạt động trên hệ thống sử dụng Domain Controller. Khi được thêm vào miền, tài khoàn này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạng như một thành viên trên Domain. + Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này tuy có làm tăng hiệu suất của hệ thống nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như tấn công từ chôi dịch vụ DoS (Dinal of Sevices). + Allow logon through Terminal Services: Terminal Services l à một dịch vụ cho phép chúng ta đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống. + Back up files and directories: Tương tự như các chính sách trên, ở đây sẽ cấp phép cho những ai sẽ có quyền backup dữ liệu. + Change the system time: Cho phep người sử dung nao co quyền thay đổi thơi gian ́ ̣ ̀ ́ ̀ cua hệ thông. ̉ ́ + Create global objects: Cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung + Force shutdown from a remote system: Cho phép những ai có quyền tắt máy qua hệ thống điều khiển từ xa. + Shut down the system: Cho phép ai có quyền Shutdown máy 1.4 Starter GPOs Với Starter GPO bạn có thể có khả năng lưu các mẫu cơ bản để sử dụng khi tạo mới các đối tượng Group Policy (GPO). Các mẫu này có thể được export sang các môi trường miền khác, cho phép bạn có được khả năng linh hoạt cao. 1.5 Administrative Templates + Chứa các thiết lập Group Policy trên cơ sở Registry (registrybased Group Policy Settings) + Có hơn 550 mục thiết lập cấu hình cho Computer và user + Mỗi thiết lập trong Administrative Template có thể là: Not Configured: Không thay đổi Registry Enabled: Registry tương ứng với chích sách sẽ được chọn Disabled: Registry tương ứng với chính sách sẽ không được chọn + Các thiết lập trong mục Administrative Templates trong Computer Configuration được lưu trong registry key ở mục HKEY_LOCAL_MACHINE (HKLM): HKLM\Software\Policies HKLM\Software\Microsoft\ Windows\CurrentVersion\Policies
+ Các thiết lập trong mục Administrative Templates trong User Configuration được lưu trong registry key ở mục HKEY_CURRENT_USER(HKCU): HKEY_CURRENT_USER\Software\Policies HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies + Mục Windows Components cho phép thiết lập quản trị các thành phần trong Wins2K3 như: Microsoft NetMeeting, Internet Explorer, Application Compatibility, Task Scheduler … + Mục Systems dùng để quản lý Wins2k3 được truy cập và sử dụng như thế nào: user profiles, scripts logon ,logoff… + Mục Network dùng để thiết lập điều khiển việc truy cập và sử dụng mạng: Offline files, Network and dialup connections … + Trong Computer Configuration Chứa thêm các thiệt lập cho máy in trong mục Printers Trong User Configuration + Chừa thêm các thiết lập cho Startup menu and Taskbar, Desktop, Control Pannel, và Shared folders 1.6 Group Policy được lưu trữ ở đâu? Khi một GPO được tạo, sẽ có rất nhiều sự kiện sẽ xuất hiện trong background. Đầu tiên, khi bạn tạo một GPO mới, domain controller để điều khiển PDC Emulator role – là một thành phần phụ trách. Đây là một hành vi mặc định và có thể được thay đổi, tuy nhiên ban đầu PDC Emulator sẽ phụ trách. Những gì được cập nhật trong domain controller này là một “shell” cho các nội dung về những gì bạn đã cấu hình bên trong GPO trong quá trình soạn thảo. “Shell” cho GPO là một thư mục, thư mục này được chứa bên trong thư mục Policies. Để truy cập vào thư mục Policies, bạn cần tìm thư mục Sysvol trong domain controller. Mặc định thư mục này sẽ được định vị tại c:WindowsSysvolsysvolPolicies. Bên dưới thư mục Policies là danh sách các thư mục được thể hiện bằng một giá trị dài vừa chữ và số (alphanumeric). Giá trị alphanumeric là GUID (Global Unique Identifier) cho GPO. Hình dưới thể hiện cho bạn một thư mục Policies, ở đây bạn có thể thấy nhiều GUID được liệt kê. Danh sách các GUID hiện diện tất cả các GPO mà bạn có cho miền của mình.
Các GUID được thể hiện dưới dạng các thư mục trong thư mục Policies trên các bộ điều khiển miền Vị trí này bên trong Sysvol của domain controller được xem như là Group Policy Template (GPT). GPT được định vị trên mỗi một domain controller. Khi PDC Emulator tạo GPT cho GPO, quá trình tạo bản sao sẽ lấy các file và nhân bản chúng trên các bộ điều khiển miền khác bên trong miền. File Replication Service (FRS) quản lý quá trình tái tạo này đối với tất cả các bộ điều khiển miền. Phần II: Các bài lab liên quan 1/ Create, edit, and Scope a Group Policy Object Start > Administrative Tools > Group Policy Management Chuột phải vào Group Policy Object chọn New GPO
Tiếp theo chọn phải vào GPO vừa tạo chọn Edit.Chọn đến mục All Settings.Tất cả mọi chính sách GPO đều nằm trong này.Ta chỉ việc chọn Enable hoặc Disable tùy theo vào người quản trị. Ví dụ như hình dưới ta cấm chát
Hình dưới ta tắt chức năng Remote Destops
2/ View The Effects of Group Policy Appication Chuẩn bị + Tao 2 user: sinhtv và chungdv + Tạo 2 Group kinh doanh và kế toán + Tạo 2 OU1 và OU2 để move Group vào + Tạo GPO1 và GPO2 rồi link với U1 và U2. Lúc này U1 và U2 sẽ chịu ảnh hưởng bởi chính sách GPO tương ứng. Vào Start>Administrative tools>Active Directory User and Computer để tạo 2 use và 2 group là kinhdoanh và kế toán như hình dưới Tiếp tục chuột phải vào Domain để tạo OU1 và OU2, đồng thời Move 2 Group (đã move user ) vào OU1 và OU2 như hình dưới.
Tiếp tục ta vào Start > Administrative Tools > Group Polivy Management. Chuột phải vào Group Policy Object chọn New để tạo 2 GPO1 và GPO2 như hình bên dưới Để Link OU1 sẽ chịu ảnh hưởng với GPO1 ta kích chuột phải vào OU1 rồi chọn Link an Existing GPO…
Làm tương tự với OU2 ta Links đến GPO2 ta được kết quả như hình dưới Giờ đến phần thiết lập các chính sách cho GPO1. Kích chuột phải vào GPO1 rồi chọn Edit. Cứa sổ mới xuất hiện. Chọn Policies>Administrative templates>All
Settings. Nhìn bên tay phải là một loạt các chính sách ta tùy ý chọn theo yêu cầu của công việc. Sau khi chọn được các chính sách GPO. Ta vào Start>Run và gõ lệnh gpuadate /force để thực hiện update là xong
Kết quả hiển thị như trên hình vẽ là quá trình update đã hoàn thành Phần III: Deploy Group Policy Chức năng Software Installation and Maintenance của IntelliMirro là một ông cụ chủ yếu của quản trị viên để quản lý phần mềm bên trong tổ chức. Bạn có thể dùng chức năng Software Installation and Maintenance của IntelliMirror để tạo một môi trường phần mềm được quản lý với những đặc điểm sau:
+ User được truy cập đến những ứng dụng họ cần để làm việc của họ, không phụ thuộc vào máy tính mà họ đăng nhập. + Máy tính có những ứng dụng theo yêu cầu, mà không cần có sự can thiệp của một người hổ trợ kỹ thuật. + Những ứng dụng có thể được cập nhật, bảo trì, hoặc gỡ bỏ để phù hợp với yêu cầu của tổ chức. Chức năng Software Installation and Maintenance của IntelliMirror làm việc cùng với Group Policy và dịch vụ thư mục Active Directory, thiết lập một hệ thống quản lý phần mềm trên nền tảng Group Policy. Để triển khai phần mềm bằng cách dùng Group Policy, một tổ chức phải chạy MS Windows 2000 Server hoặc mới hơn, với Active Directory và Group Policy trên server, và MS Windows 2000 Professional hoặc mới hơn trên máy client. Các công cụ sau đây được cung cấp cho việc triển khai phần mềm với Group Policy: + Software Installation extension: đặt trong console Group Policy Object Editor trên server, extension này được dùng bởi những quản trị viên để quản lý phần mềm. + Add or Remove Programs: đặt trong Control Panel trên máy tính client, tùy chòn này được sử dụng bởi user để quản lý phần mềm trên máy tính của chính họ. Assigning Applications: Khi bạn chỉ định một ứng dụng đến một user, ứng dụng được thông báo đến user trên menu Start vào lần tới khi anh ta hoặc cô ta đăng nhập trên một trạm làm việc, và những thiết lập registry cục bộ, bao gồm cả filename extension đã được cập nhật. Việc thông báo ứng dụng đi theo user bất chấp anh ta hoặc cô ta đăng nhập trên máy tính nào. Ứng dụng này được cài đặt lần đầu tiên khi user kích hoạt dứng dụng trên máy tính, bằng một trong những cách: chọn ứng dụng trên menu Start, mở một tài liệu đã được liên kiết với dựng dụng. Publishing Applications: Khi bạn phổ biến một ứng dụng đến user, ứng dụng không hiện ra như là đã được cài đặt trên máy tính của user. Không có shotcut trên desktop hoặc menu Start, và không có những sự cập nhật được tạo ra trong registry cục bộ trên máy tính của user. Thay vào đó, những ứng dụng đã được phổ biến lưu những thuộc tính về sự thông báo của chúng trong Active Directory. Những thông tin như tên của ứng dụng và những file liên quan được phô ra cho user trong Active Directory container. Ứng dụng sẳn sàng cho user cài đặt bằng cách dụng Add Or Remove Programs trong Control Panel hoặc bằng cách click một file đã được liên kết với ứng dụng (như file .xls được liên kết với Microsoft Excel). Phần IV: Lab Deploy Group Policy
Deploy software windows xp professional Điều kiện để Deploy software: + Chuẩn bị: một máy server 2008 đã nâng cấp DC với domain :netpro.edu.vn. Một máy xpclient đã join domain + Thông số IP máy như sau: SERVER IP address 192.168.1.1 Subnet mask 255.255.255.0 Default gateway 192.168.1.3 Preferred DNS 192.168.1.1 XPCLIENT IP address 192.168.1.2 Subnet mask 255.255.255.0 Default gateway 192.168.1.3 Preferred DNS 192.168.1.1 Sau khi cài đặt IP và joindomain ta tiến hành như hình bên dưới: Computer > CD > Support > Tools > Deploy Copy file setupmgr.exe ra riêng 1 thư mục, ở đây thư mục là data
Tạo file notepad nội dung như hình vẽ lưu dưới dạng “.zap”, ở hình dưới là Deploy.zap Tiếp tục vào Start>Administrative Tools>Group Policy Management chọn Edit
Cửa sổ mới xuất hiện.Trong phần software settings ta chọn như hình dưới Sau đó ta chọn File Deploy.zap vừa tạo bên trên rồi Open
Tiếp theo ta vào run gõ gpupdate /force để update file mới thêm vào
Đăng nhập user bên máy client sau khi Join Domain
Vào Control Panel>Add New Program Tiếp theo next và chọn theo hình ảnh cho đến kết thúc