Tài liệu tham khảo về lý thuyết chính sách nhóm

Bài 12  CHÍNH SÁCH NHÓM

Tóm t

t ắ

Lý thuy t 3 ti t - Th c hành 3 ti ế ế ự t ế

M c tiêu ụ Các m c chính ụ Bài t p làmậ thêm Bài t p b t ắ ậ bu cộ

310

Download tài li u này t

i di n đàn qu n tr m ng và qu n tr h th ng

ệ

ạ ễ

ị ệ ố | http://www.adminviet.net

ị ạ

ả

ả

I. Gi i thi u v chính sách ệ ề ọ ớ nhóm. ọ ế ứ ế ấ D a vào bài ự ả t p môn Qu n ả ậ Windows II. Tri n khai m t chính sách ể D a vào bài ự t p môn Qu n ậ tr ị Windows Server 2003. tr ị Server 2003. ố ộ nhóm trên mi n.ề ạ ườ ớ III. Các ví d minh h a. ụ ọ K t thúc bài h c này cung c p h c viên ki n th c v ề Group Policy, các chính sách đ i v i máy tr m, ớ chính sách đ i v i ng i ố dùng…

I.

GI

I THI U.

Ớ

Ệ

I.1. So sánh gi a System Policy và Group Policy.

ữ

ừ ươ ồ ở ể ề ệ ế ố System Policy), ti p theo Group Policy). V y hai chính sách này khác nhau nh th ế ng tr ể ch ẽ ư ậ V a r i c, chúng ta đã tìm hi u v chính sách h th ng ( ướ chúng ta s tìm hi u v chính sách nhóm ( ề nào.

i trên mi n - Chính sách nhóm ch xu t hi n trên mi n ề Active Directory , nó không t n t ồ ạ ệ ấ ỉ ề NT4.

ề ề ấ - Chính sách nhóm làm đ ượ ủ ứ ể ơ c nhi u đi u h n chính sách h th ng. T t nhiên chính sách nhóm ch a ứ t c các ch c năng c a chính sách h th ng và h n th n a, b n có th dùng chính sách nhóm t ấ ả đ tri n khai m t ph n m m cho m t ho c nhi u máy m t cách t ể ể ệ ố ế ữ ộ ơ ệ ố ặ ạ đ ng. ự ộ ề ề ầ ộ ộ

đ ng h y b tác d ng khi đ c g b , không gi ng nh các chính sách h - Chính sách nhóm t ự ộ ủ ụ ỏ ượ ỡ ỏ ư ố ệ th ng.ố

ng xuyên h n chính sách h th ng. Các chính sách h th ng - Chính sách nhóm đ ượ c áp d ng th ụ ườ ệ ố ụ ậ ệ ố c áp d ng ụ ơ ạ đ ng vào nh ng th i đi m ng u nhiên trong ỉ ượ ạ c áp d ng khi máy tính đăng nh p vào m ng thôi. Các chính sách nhóm thì đ ượ ẫ ự ộ ữ ể ậ ộ ờ ch đ khi b n b t máy lên, khi đăng nh p vào m t cách t ậ su t ngày làm vi c. ệ ố

i t ng nhóm ng i ho c t ng nhóm - B n có nhi u m c đ đ gán chính sách nhóm này cho ng ộ ể ứ ề ườ ừ ườ ặ ừ ng. ạ đ i t ố ượ

I.2. Ch c năng c a Group Policy. ủ

ứ

c trên máy Win2K, WinXP và - Chính sách nhóm tuy có nhi u u đi m nh ng ch áp d ng đ ề ư ư ụ ể ỉ ượ Windows Server 2003.

t c các t p tin c n thi - ầ ề ứ ụ : b n có th gom t ạ ầ ậ ế ể ặ ộ ể ề ặ ấ ả ể package), đ t nó lên ầ ề ế ạ ộ Server, r i dùng chính sách nhóm h ặ t đ cài đ t m t ph n ầ ặ ướ m tộ ng t cấ ả ế t đ ng cài đ t ph n m m này đ n ầ ồ ẽ ự ộ ề i dùng. Tri n khai ph n m m ng d ng m m nào đó vào trong m t gói ( ho c nhi u máy tr m đ n gói ph n m m đó. H th ng s t ệ ố các máy tr m mà không c n s can thi p nào c a ng ủ ự ầ ề ệ ườ ạ

ng t v i ch c năng c a chính - Gán các quy n h th ng cho ng ệ ố ề ườ ự ớ ươ i nào đó có quy n t ủ t máy : ch c năng này t i dùng ườ ặ ộ ứ ộ ứ ề ắ server, đ i ổ giờ ệ ố ể ấ sách h th ng. Nó có th c p cho m t ho c m t nhóm ng h th ng hay backup d li u…ữ ệ ệ ố

i dùng đ c phép thi hành - Gi ườ ượ i dùng này ch ch y đ ớ ạ ạ i h n nh ng ng d ng mà ng ứ ộ ườ : chúng ta có th ki m soát ộ ể ượ ể ạ ỉ ứ c m t vài ng ụ ữ máy tr m c a m t ng ườ ủ d ng nào đó thôi nh : ụ i dùng nào đó và cho phép ng ư Outlook Express, Word hay Internet Explorer.

ể ế ậ ệ ố : b n có th dùng chính sách nhóm đ qui đ nh h n ng ch đĩa ạ ạ ị c phép l u tr i đa bao nhiêu MB trên đĩa ườ ể ạ i dùng này ch đ ườ ỉ ượ ư ể t ữ ố - Ki m soát các thi cho m t ng ộ c ng theo qui đ nh. ứ t l p h th ng i dùng nào đó. Ng ị

- t l p các k ch b n đăng nh p, đăng xu t, kh i đ ng và t ậ ở ộ ả ấ : trong h th ng NT4 thì ch ỉ ệ ố ắ

311

script). B n có th dùng các t máy ậ logon script), nh ng ư Windows 2000 và Windows Server 2003 thì h ỗ tr cợ ả GPO đ ki mể ể ạ trigger) m t k ch b n ( ộ ị ể ả ạ ế ậ ỗ ợ ị ố ượ Thi ị h tr k ch b n đăng nh p ( ả b n s ki n này đ ự ệ soát nh ng k ch b n nào đang ch y. ả ữ c kích ho t ( ạ ị

Download tài li u này t

i di n đàn qu n tr m ng và qu n tr h th ng

ệ

ạ ễ

ị ệ ố | http://www.adminviet.net

ị ạ

ả

ả

ng trình GPO đ g b nhi u tính năng - Đ n gi n hóa và h n ch các ch ế ạ ươ ể ỡ ỏ ề ả kh i Internet Explorer, Windows Explorer và nh ng ch ơ ỏ : b n có th dùng ể ng trình khác. ươ ạ ữ

- H n ch t ng quát màn hình Desktop c a ng ế ổ ạ ủ ề ụ ườ ế ạ i dùng cài thêm máy in, i dùng : b n có th g b h u h t các đ m c i dùng nào đó, ngăn ch n không cho ng ặ ể ỡ ỏ ầ ườ ộ trên menu Start c a m t ng ườ s a đ i thông s c u hình c a máy tr m… ủ ử ủ ố ấ ạ ổ

II. TRI N KHAI M T CHÍNH SÁCH NHÓM TRÊN MI N.

Ộ

Ể

Ề

Group Policy b ng cách xây d ng các đ i t ể ằ ố ượ ự ứ container) có th ch a nhi u chính sách áp d ng cho nhi u ng ụ ể ề Group Policy Object Editor đ t o ra ề ng trình ạ ứ ươ ể ạ ạ ổ GPO). Các ng chính sách ( i, nhi u máy tính ề ườ ố ượ ng các đ i t ủ Group Policy Object Editor có hai m c chính: c u hình máy tính ụ ấ Chúng ta c u hình và tri n khai ấ GPO là m t v t ch a ( ộ ậ hay toàn b h th ng m ng. B n dùng ch ộ ệ ố chính sách. Trong c a s chính c a ủ (computer configuration) và c u hình ng i dùng ( user configuration). ườ ấ

xa.

II.1. Xem chính sách c c b c a m t máy tính ụ

ộ ủ

ộ

ở

ế ế ạ c tích lũy và k th a t ừ ề ượ Group Policy là các c u hình chính sách c a ấ container) bên trên c a ủ Active Directory. Ví d các ng ườ trong ề ừ ừ ở ứ trong mi n v a ừ ở OU nên s nh n đ ẽ ượ ậ ấ ấ OU. Các chính sách nhóm sau 90 phút s đ Domain Controller đ c làm t ượ ươ c không ch nh ch nh s a các thông tin trong c các c u hình t ấ c làm t ẽ ượ i 5 phút m t l n. Các ư ệ ộ ầ ạ ỉ ế ầ ạ ủ Group Policy i ụ c hai chính ừ ả i và áp d ng ươ ụ GPO ộ ầ Registry mà còn nh các th vi n liên ờ i các máy tr m. Chú ý n u b n dùng chính sách nhóm thì ạ c các chính sách dành cho Đi u k ti p b n cũng chú ý khi tri n khai ể đ các v t ch a ( ậ dùng và máy tính v a ề sách c p mi n l n chính sách c p ề ẫ m t l n, nh ng các chính nhóm trên các ư ho t đ ng đ ử ượ ộ ỉ k t đ ng ( DLL) làm ph n m r ng đ t t ặ ạ ộ ế chính sách nhóm t ộ ẽ ử ờ ở ộ i ch trên máy c c b s x lý tr ụ site, mi n ho c ề ặ OU. ướ ạ ỗ

312

ể ề ề ạ ả ộ ị Đ xem m t chính sách c c b trên các máy tính khác trong mi n, b n ph i có quy n qu n tr trên máy ụ đó ho c qu n tr mi n. Lúc đó b n có th dùng l nh ả ệ GPEDIT.MSC /gpcomputer:machinename, ví d ụ ộ ả ề ể ặ ạ ị

Download tài li u này t

i di n đàn qu n tr m ng và qu n tr h th ng

ệ

ạ ễ

ị ệ ố | http://www.adminviet.net

ị ạ

ả

ả

ạ ạ t l p các chính sách nhóm xa, do tính ch t b o m t máy tính ố ể ế ậ ệ GPEDIT.MSC /gpcomputer: PCO1. Chú ý là b nạ ậ Microsoft ấ ả ở ở b n mu n xem chính sách trên máy PCO1 b n gõ l nh không th dùng cách này đ thi không cho phép b n t l p các chính sách nhóm. ể xa thi ế ậ ạ ở

II.2. T o các chính sách trên mi n.

ề

ạ

ượ ọ dòng l nh trên máy ệ ặ ể ạ ừ

c ti p ế Domain Controller đ t o ra các chính ừ Active Directory User and Computer thì trong ng tên mi n (trong ví d này là ươ ụ ủ ử ề ạ ấ ả Chúng ta dùng snap-in Group Policy trong Active Directory User and Computer ho c g i tr ti n ích Group Policy Object Editor t ệ sách nhóm cho mi n. N u b n m ạ ế ề khung c a s chính c a ch ng trình b n nh p chu t ph i vào bi u t ổ netclass.edu.vn), ch n ọ Properties. Trong h p tho i xu t hi n b n ch n ở Group Policy t ộ ấ ể ượ ọ Tab Group Policy. ệ ạ ạ ộ

313

Download tài li u này t

i di n đàn qu n tr m ng và qu n tr h th ng

ệ

ạ ễ

ị ệ ố | http://www.adminviet.net

ị ạ

ả

ả

ỉ ộ ộ ạ ạ ạ ế ạ ấ ộ checkbox tên Block Policy inheritance, ch c năng c a m c này là ủ c p cao h n lan truy n xu ng đ n c p đang xét. ặ ủ ở ấ ứ ố ế ấ ọ c áp d ng đ u tiên ụ ấ ố ạ ấ c p ấ ề ề ể ấ ự ệ ộ ạ ấ ộ i s không ph quy t đ ướ ẽ ế ế ượ ế ị ủ ở ụ Block Policy inheritance. Ti p theo n u ạ ấ m t c p không làm c p này, Vi c Default Domain ngăn ụ Chú ý r ngằ ấ OU. B n ch n ở ấ site, sau đó đ n c p mi n và cu i cùng là c p ọ ụ Option đ c u hình các l a ch n vi c áp d ng ọ cượ ụ No Override thì các chính sách khác đ sách này, cho dù chính sách đó ụ Disabled, thì disable b nả ạ Options, n u b n đánh d u vào m c t đ nh c a chính ủ ế b n đánh d u vào m c ở ộ ấ c nh ng thi ữ ế ệ disbale chính sách ở ấ ạ ộ N u b n ch a t o ra m t chính sách nào thì b n ch nhìn th y m t chính sách tên ư Policy. Cu i h p tho i có m t ố ộ t đ nh c a m i chính sách b t kỳ ch n các thi ơ ế ị chính sách đ ế ầ ượ chính sách Default Domain Policy và nh p chu t vào nút chính sách. Trong h p tho i dòng d áp d ng ụ không đánh d u vào m c ấ chính sách này s không ho t đ ng ẽ ng chính sách. thân đ i t ố ượ

ộ ể ạ ớ ạ ủ ấ ộ Properties, h p tho i xu t ộ ể ạ ộ ể New, sau đó nh p tên c a chính sách m i. Đ khai ể ớ ấ hi n có ệ ế ớ chinh sách. i dùng có quy n gì trên ề i dùng ho c nhóm ng ặ ỉ ề ườ ạ ấ Đ t o ra m t chính sách m i b n nh p chu t vào nút ậ báo thêm thông tin cho chính sách này b n có th nh p chu t vào nút ấ ạ site, domain ho c ặ OU nào liên k t v i Tab Links đ ch ra các nhi u ề Tab, b n có th vào ể ạ Trong Tab Security cho phép b n c p quy n cho ng ườ chính sách này.

314

Download tài li u này t

i di n đàn qu n tr m ng và qu n tr h th ng

ệ

ạ ễ

ị ệ ố | http://www.adminviet.net

ị ạ

ả

ả

ộ ụ d ượ ừ ướ GPO càng n m trên cao trong danh ụ ố c áp d ng t ằ t đ nh mâu thu n nhau thì chính sách ủ Group Policy thì các chính sách đ c áp d ng cu i cùng. Do đó, các ế ẫ Microsoft thi i lên trên, cho nên sách nào n mằ ế ị Up và Down giúp chúng ta có th di chuy n các ẽ ắ ế ế ể ể Trong h p tho i chính c a ạ chính sách n m trên cùng s đ ẽ ượ ằ thì càng có đ u tiên cao h n, n u chúng có nh ng thi ữ ơ ộ ư trên s th ng. Vì lý do đó nên t k hai nút chính sách này lên hay xu ng. ố

ấ ạ ọ t l p các thi ấ ạ ộ ự ể t l p b t c th gì mà b n mu n. Chúng ta s kh o sát m t s ả ư Edit đ thi ế ậ ấ ứ ứ ế ậ ộ ạ ể ả ố phía sau. Edit. Trong các nút mà chúng ta ch a kh o sát thì có m t nút quan tr ng nh t trong h p tho i này đó là nút ộ ả năng c aủ t đ nh cho chính sách này, d a trên các kh B n nh p chu t vào nút ế ị Group Policy b n có th thi ọ ộ ố ví d minh h a ụ ẽ ạ ở

III. M T S MINH H A GPO TRÊN NG

I DÙNG VÀ C U HÌNH

Ộ Ố

Ọ

ƯỜ

Ấ

MÁY.

III.1. Khai báo m t logon script dùng chính sách nhóm.

ộ

315

Download tài li u này t

i di n đàn qu n tr m ng và qu n tr h th ng

ệ

ạ ễ

ị ệ ố | http://www.adminviet.net

ị ạ

ả

ả

ỗ ợ ự ệ ể ể ả ạ ố ị startup, shutdown, logon, logoff. Trong công c ụ Group Policy Object Editor, ể ị Computer Configuration C Windows Setttings W Scripts đ khai báo các k ch b n ả logon, startup, shutdown. Đ ng th i đ khai báo các k ch b n s ho t đ ng khi ẽ ả ạ ồ ộ ờ ị ạ ể User Configuration U Windows Setttings W Scripts. Trong ví d này chúng ta Trong Windows Server 2003 h tr cho chúng ta b n s ki n đ có th kích ho t các k ch b n (script) ho t đ ng là: ạ ộ b n có th vào ể ạ s ho t đ ng khi ộ ẽ logoff thì b n vào ạ ụ

316

Download tài li u này t

i di n đàn qu n tr m ng và qu n tr h th ng

ệ

ạ ễ

ị ệ ố | http://www.adminviet.net

ị ạ

ả

ả

c sau: t o m t ạ ộ logon script, quá trình g m các b ồ ướ

ở ụ Group Policy Object Editor, vào m c ụ User Configuration U Windows Setttings W M công c Scripts.

ộ ổ ấ ủ ụ Logon bên c a s bên ph i, h p tho i xu t hi n, b n nh p chu t ti p vào nút ạ ộ ế ấ ạ ấ ả ộ ậ ể ả ậ ầ ả ị ệ ậ ư ụ ể Show Files phía d ướ ộ ạ ể ộ ả ượ ư ụ c:\windows\system32\ grouppolicy\user\script\logon. Th m c này có th thay đ i, t ổ ố ậ ả ậ ụ ể ạ ư ụ ạ ứ ể ủ ể ầ ả ổ ị ấ ộ ch c. Add Nh p đúp chu t vào m c c ch a ứ đ khai báo tên t p tin k ch b n c n thi hành khi đăng nh p. Chú ý t p tin k ch b n này ph i đ ị ấ t nh t trong th m c b n nên nh p chu t vào nút i h p tho i đ xem th m c c th ch a các t p tin k ch ạ ị b n này. N i dung t p tin k ch b n có th thay đ i tùy theo yêu c u c a b n, b n có th tham kh o t p tin ả k ch b n ị ậ ng tr ướ ả ở ươ

317

Download tài li u này t

i di n đàn qu n tr m ng và qu n tr h th ng

ệ

ạ ễ

ị ệ ố | http://www.adminviet.net

ị ạ

ả

ả

ể ể ế ủ ệ ầ ạ ị ỉ tr ng thái ở ạ ả ạ ệ ể ạ ỗ Run Enable. Tr ng thái này giúp b n có th phát hi n ra các l i phát sinh đó chúng ta có th s a ch a. Đ thay đ i chính sách này b n nh p ể ử ữ ừ ể ấ ạ ả ổ ị ụ User Configuration U Administrative Templates A System S Scripts, sau đó nh p ấ ậ ộ Ti p theo đ ki m soát quá trình thi hành c a t p tin k ch b n, b n c n hi u ch nh chính sách ậ logon scripts visible khi t p tin k ch b n thi hành t chu t vào m c đúp chu t vào m c ộ ụ Run logon scripts visible đ thay đ i tr ng thái. ổ ạ ể

III.2. H n ch ch c năng c a Internet Explorer.

ế ứ

ủ

ạ

i dùng d ố ụ ườ ướ ượ ạ i máy tr m không đ Tab Security, Connection và Advanced trong h p tho i ố ổ ấ ủ ộ c phép thay đ i b t kì thông ạ Internet Options c a công c ụ User ụ Group Policy Object Editor, b n vào ệ ể

c thi hành.

III.3. Ch cho phép m t s ng d ng đ

ộ ố ứ

ụ

ỉ

ượ

ng trình s hi n ra các m c ch c năng c a i h n, b n ch n khóa ủ IE có th gi ể ớ ạ ẽ ệ ươ ụ ứ ạ ọ Trong ví d này chúng ta mu n các ng s nào trong Internet Explorer. Đ làm vi c này, trong công c ạ Configuration C Administrative Templates A Windows Components W Internet Explorer I  Internet Control Panel, ch t. các ch c năng c n thi ứ ế ầ

318

Download tài li u này t

i di n đàn qu n tr m ng và qu n tr h th ng

ệ

ạ ễ

ị ệ ố | http://www.adminviet.net

ị ạ

ả

ả

i dùng d i máy tr m ch s d ng đ c m t vài ng Group Policy ch cho phép các ng ỉ ườ ướ ạ ỉ ử ụ ượ ứ ộ User Configuration  ể ấ ụ ụ Group Policy Object Editor, b n vào ạ ộ ụ Run only allowed windows c phép thi hành. Đ c u hình d ng nào đó, trong công c Administrative Templates. Sau đó nh p đúp chu t vào m c applications đ ch đ nh các ph n m m đ ị ấ ượ ề ể ầ ỉ

319

Download tài li u này t

i di n đàn qu n tr m ng và qu n tr h th ng

ệ

ạ ễ

ị ệ ố | http://www.adminviet.net

ị ạ

ả

ả