Bà
i
12
CHÍNH
SÁCH
NHÓM
Tóm t t ắ
Lý thuy t 3 ti t - Th c hành 3 ti tế ế ự ế
M c tiêuụ
K t thúc bài h c này cung ế ọ
c p h c viên ki n th c v ấ ọ ế ứ ề
Group Policy, các chính
sách đ i v i máy tr m, ố ớ ạ
chính sách đ i v i ng i ố ớ ườ
dùng…
Các m c chínhụ
I. Gi i thi u v chính sáchớ ệ ề
nhóm.
II. Tri n khai m t chính sách ể ộ
nhóm trên mi n.ề
III. Các ví d minh h a.ụ ọ
Bài t p b tậ ắ Bài t p làmậ
bu cộthêm
D a vào bài ự
D a vào bàiự
t p môn Qu n ậ ả
t p môn Qu nậ ả
tr ịWindows tr ịWindows
Server 2003. Server 2003.
310
Download tài li u này t i di n đàn qu n tr m ng và qu n tr h th ngệ ạ ễ ả ị ạ ả ị ệ ố | http://www.adminviet.net
I. GI I THI U.Ớ Ệ
I.1. So sánh gi a System Policy và Group Policy. ữ
V a r i ch ng tr c, chúng ta đã tìm hi u v chính sách h th ng (ừ ồ ở ươ ướ ể ề ệ ố System Policy), ti p theo ế
chúng ta s tìm hi u v chính sách nhóm (ẽ ể ề Group Policy). V y hai chính sách này khác nhau nh th ậ ư ế
nào.
-Chính sách nhóm ch xu t hi n trên mi n ỉ ấ ệ ề Active Directory , nó không t n t i trên mi n ồ ạ ề NT4.
-Chính sách nhóm làm đ c nhi u đi u h n chính sách h th ng. T t nhiên chính sách nhóm ch a ượ ề ề ơ ệ ố ấ ứ
t t c các ch c năng c a chính sách h th ng và h n th n a, b n có th dùng chính sách nhóm ấ ả ứ ủ ệ ố ơ ế ữ ạ ể
đ tri n khai m t ph n m m cho m t ho c nhi u máy m t cách t đ ng. ể ể ộ ầ ề ộ ặ ề ộ ự ộ
-
Chính sách nhóm t đ ng h y b tác d ng khi đ c g b , không gi ng nh các chính sách hự ộ ủ ỏ ụ ượ ỡ ỏ ố ư ệ
th ng.ố
-Chính sách nhóm đ c áp d ng th ng xuyên h n chính sách h th ng. Các chính sách h th ng ượ ụ ườ ơ ệ ố ệ ố
ch đ c áp d ng khi máy tính đăng nh p vào m ng thôi. Các chính sách nhóm thì đ c áp d ng ỉ ượ ụ ậ ạ ượ ụ
khi b n b t máy lên, khi đăng nh p vào m t cách t đ ng vào nh ng th i đi m ng u nhiên trong ạ ậ ậ ộ ự ộ ữ ờ ể ẫ
su t ngày làm vi c. ố ệ
-B n có nhi u m c đ đ gán chính sách nhóm này cho ng i t ng nhóm ng i ho c t ng nhómạ ề ứ ộ ể ườ ừ ườ ặ ừ
đ i t ng.ố ượ
-Chính sách nhóm tuy có nhi u u đi m nh ng ch áp d ng đ c trên máy ề ư ể ư ỉ ụ ượ Win2K, WinXP và
Windows Server 2003.
I.2
.
Ch c năng c a Group Policy.ứ ủ
-
Tri n khai ph n m m ng d ngể ầ ề ứ ụ : b n có th gom t t c các t p tin c n thi t đ cài đ t m t ph nạ ể ấ ả ậ ầ ế ể ặ ộ ầ
m m nào đó vào trong m t gói (ề ộ package), đ t nó lên ặServer, r i dùng chính sách nhóm h ng ồ ướ
m tộ
ho c nhi u máy tr m đ n gói ph n m m đó. H th ng s t đ ng cài đ t ph n m m này đ n ặ ề ạ ế ầ ề ệ ố ẽ ự ộ ặ ầ ề ế
t t cấ ả
các máy tr m mà không c n s can thi p nào c a ng i dùng.ạ ầ ự ệ ủ ườ
-
Gán các quy n h th ng cho ng i dùngề ệ ố ườ : ch c năng này t ng t v i ch c năng c a chínhứ ươ ự ớ ứ ủ
sách h th ng. Nó có th c p cho m t ho c m t nhóm ng i nào đó có quy n t t máy ệ ố ể ấ ộ ặ ộ ườ ề ắ server, đ i ổgiờ
h th ng hay ệ ố backup d li u…ữ ệ
-
Gi i h n nh ng ng d ng mà ng i dùng đ c phép thi hànhớ ạ ữ ứ ụ ườ ượ : chúng ta có th ki m soátể ể
máy tr m c a m t ng i dùng nào đó và cho phép ng i dùng này ch ch y đ c m t vài ngạ ủ ộ ườ ườ ỉ ạ ượ ộ ứ
d ng nào đó thôi nh : ụ ư Outlook Express, Word hay Internet Explorer.
-
Ki m soát các thi t l p h th ngể ế ậ ệ ố : b n có th dùng chính sách nhóm đ qui đ nh h n ng ch đĩaạ ể ể ị ạ ạ
cho m t ng i dùng nào đó. Ng i dùng này ch đ c phép l u tr t i đa bao nhiêu MB trên đĩaộ ườ ườ ỉ ượ ư ữ ố
c ng theo qui đ nh.ứ ị
-Thi t l p các k ch b n đăng nh p, đăng xu t, kh i đ ng và t t máyế ậ ị ả ậ ấ ở ộ ắ : trong h th ng NT4 thì chệ ố ỉ
h tr k ch b n đăng nh p (ỗ ợ ị ả ậ logon script), nh ng ưWindows 2000 và Windows Server 2003 thì h ỗ
tr cợ ả
b n s ki n này đ c kích ho t (ố ự ệ ượ ạ trigger) m t k ch b n (ộ ị ả script). B n có th dùng các ạ ể GPO
đ ki mể ể
soát nh ng k ch b n nào đang ch y.ữ ị ả ạ
-
Đ n gi n hóa và h n ch các ch ng trìnhơ ả ạ ế ươ : b n có th dùng ạ ể GPO đ g b nhi u tính năngể ỡ ỏ ề
kh i Internet ỏExplorer, Windows Explorer và nh ng ch ng trình khác.ữ ươ
311
Download tài li u này t i di n đàn qu n tr m ng và qu n tr h th ngệ ạ ễ ả ị ạ ả ị ệ ố | http://www.adminviet.net
-
H n ch t ng quát màn hình Desktop c a ng i dùngạ ế ổ ủ ườ : b n có th g b h u h t các đ m c ạ ể ỡ ỏ ầ ế ề ụ
trên menu Start c a m t ng i dùng nào đó, ngăn ch n không cho ng i dùng cài thêm máy in, ủ ộ ườ ặ ườ
s a đ i thông s c u hình c a máy tr m… ử ổ ố ấ ủ ạ
II. TRI N KHAI M T CHÍNH SÁCH NHÓM TRÊN MI N. Ể Ộ Ề
Chúng ta c u hình và tri n khai ấ ể Group Policy b ng cách xây d ng các đ i t ng chính sách (ằ ự ố ượ GPO). Các
GPO là m t v t ch a (ộ ậ ứ container) có th ch a nhi u chính sách áp d ng cho nhi u ng i, nhi u máy tínhể ứ ề ụ ề ườ ề
hay toàn b h th ng m ng. B n dùng ch ng trình ộ ệ ố ạ ạ ươ Group Policy Object Editor đ t o ra ể ạ
các đ i t ngố ượ
chính sách. Trong c a s chính c a ủ ổ ủ Group Policy Object Editor có hai m c chính: c u hình máy tínhụ ấ
(computer configuration) và c u hình ng i dùng (ấ ườ user configuration).
Đi u k ti p b n cũng chú ý khi tri n khai ề ế ế ạ ể Group Policy là các c u hình chính sách c a ấ ủ Group Policy
đ c tích lũy và k th a t các v t ch a (ượ ề ừ ừ ậ ứ container) bên trên c a ủActive Directory. Ví d các ng i ụ ườ
dùng và máy tính v a trong mi n v a trong ừ ở ề ừ ở OU nên s nh n đ c các c u hình t c hai chính ẽ ậ ượ ấ ừ ả
sách c p mi n l n chính sách c p ấ ề ẫ ấ OU. Các chính sách nhóm sau 90 phút s đ c làm t i và áp d ng ẽ ượ ươ ụ
m t l n, nh ng các chính nhóm trên các ộ ầ ư Domain Controller đ c làm t i 5 phút m t l n. Các ượ ươ ộ ầ GPO
ho t đ ng đ c không ch nh ch nh s a các thông tin trong ạ ộ ượ ỉ ờ ỉ ử Registry mà còn nh các th vi n liên ờ ư ệ
k t đ ng (ế ộ DLL) làm ph n m r ng đ t t i các máy tr m. Chú ý n u b n dùng chính sách nhóm thì ầ ở ộ ặ ạ ạ ế ạ
chính sách nhóm t i ch trên máy c c b s x lý tr c các chính sách dành cho ạ ỗ ụ ộ ẽ ử ướ site, mi n ho c ề ặ OU.
II.1. Xem chính sách c c b c a m t máy tính xa. ụ ộ ủ ộ ở
Đ xem m t chính sách c c b trên các máy tính khác trong mi n, b n ph i có quy n qu n tr trên máy ể ộ ụ ộ ề ạ ả ề ả ị
đó ho c qu n tr mi n. Lúc đó b n có th dùng l nh ặ ả ị ề ạ ể ệ GPEDIT.MSC /gpcomputer:machinename, ví d ụ312
b n mu n xem chính sách trên máy PCO1 b n gõ l nh ạ ố ạ ệ GPEDIT.MSC /gpcomputer: PCO1. Chú ý là
b nạ
không th dùng cách này đ thi t l p các chính sách nhóm máy tính xa, do tính ch t b o m t ể ể ế ậ ở ở ấ ả ậ Microsoft
không cho phép b n xa thi t l p các chính sách nhóm. ạ ở ế ậ
Download tài li u này t i di n đàn qu n tr m ng và qu n tr h th ngệ ạ ễ ả ị ạ ả ị ệ ố | http://www.adminviet.net
II.2. T o các chính sách trên mi n. ạ ề
Chúng ta dùng snap-in Group Policy trong Active Directory User and Computer ho c g i tr c ti p ặ ọ ượ ế
ti n ích ệGroup Policy Object Editor t dòng l nh trên máy ừ ệ Domain Controller đ t o ra các chính ể ạ
sách nhóm cho mi n. N u b n m ề ế ạ ở Group Policy t ừActive Directory User and Computer thì trong
khung c a s chính c a ch ng trình b n nh p chu t ph i vào bi u t ng tên mi n (trong ví d này là ử ổ ủ ươ ạ ấ ộ ả ể ượ ề ụ
netclass.edu.vn), ch n ọProperties. Trong h p tho i xu t hi n b n ch n ộ ạ ấ ệ ạ ọ Tab Group Policy.
N u b n ch a t o ra m t chính sách nào thì b n ch nhìn th y m t chính sách tên ế ạ ư ạ ộ ạ ỉ ấ ộ Default Domain
Policy. Cu i h p tho i có m t ố ộ ạ ộ checkbox tên Block Policy inheritance, ch c năng c a m c này là ứ ủ ụ
ngăn
ch n các thi t đ nh c a m i chính sách b t kỳ c p cao h n lan truy n xu ng đ n c p đang xét. ặ ế ị ủ ọ ấ ở ấ ơ ề ố ế ấ
Chú ý r ngằ
chính sách đ c áp d ng đ u tiên c p ượ ụ ầ ở ấ site, sau đó đ n c p mi n và cu i cùng là c p ế ấ ề ố ấ
OU. B n ch nạ ọ
chính sách Default Domain Policy và nh p chu t vào nút ấ ộ Option đ c u hình các l a ch n vi c áp d ngể ấ ự ọ ệ ụ
chính sách. Trong h p tho i ộ ạ Options, n u b n đánh d u vào m c ế ạ ấ ụ No Override thì
các chính sách khác đ cượ
áp d ng dòng d i s không ph quy t đ c nh ng thi t đ nh c a chính ụ ở ướ ẽ ủ ế ượ ữ ế ị ủ
sách này, cho dù chính sách đó
không đánh d u vào m c ấ ụ Block Policy inheritance. Ti p theo n u ế ế
b n đánh d u vào m c ạ ấ ụ Disabled, thì
chính sách này s không ho t đ ng c p này, Vi c ẽ ạ ộ ở ấ ệ disbale chính sách m t c p không làm ở ộ ấ disable b nả
thân đ i t ng chính sách. ố ượ
313
Download tài li u này t i di n đàn qu n tr m ng và qu n tr h th ngệ ạ ễ ả ị ạ ả ị ệ ố | http://www.adminviet.net
Đ t o ra m t chính sách m i b n nh p chu t vào nút ể ạ ộ ớ ạ ấ ộ New, sau đó nh p tên c a chính sách m i. Đ khaiậ ủ ớ ể
báo thêm thông tin cho chính sách này b n có th nh p chu t vào nút ạ ể ấ ộ Properties, h p tho i xu t ộ ạ ấ
hi n cóệ
nhi u ềTab, b n có th vào ạ ể Tab Links đ ch ra các ể ỉ site, domain ho c ặOU nào liên k t v i ế ớ
chinh sách.
Trong Tab Security cho phép b n c p quy n cho ng i dùng ho c nhóm ng i dùng có quy n gì trênạ ấ ề ườ ặ ườ ề
chính sách này.
Trong h p tho i chính c a ộ ạ ủ Group Policy thì các chính sách đ c áp d ng t d i lên trên, cho nênượ ụ ừ ướ
chính sách n m trên cùng s đ c áp d ng cu i cùng. Do đó, các ằ ẽ ượ ụ ố GPO càng n m trên cao trong danh ằ
sách
thì càng có đ u tiên cao h n, n u chúng có nh ng thi t đ nh mâu thu n nhau thì chính sách ộ ư ơ ế ữ ế ị ẫ
nào n mằ
trên s th ng. Vì lý do đó nên ẽ ắ Microsoft thi t k hai nút ế ế Up và Down giúp chúng ta có th di chuy n cácể ể
chính sách này lên hay xu ng. ố
314
Download tài li u này t i di n đàn qu n tr m ng và qu n tr h th ngệ ạ ễ ả ị ạ ả ị ệ ố | http://www.adminviet.net
![Tài liệu học tập Hệ thống thông tin quản lý [mới nhất, đầy đủ]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250716/vijiraiya/135x160/512_tai-lieu-hoc-tap-he-thong-thong-tin-quan-ly.jpg)
