Luận văn XÂY DỤNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM TRÊN MIỀN WINDOWS SERVER 2008

Cùng v i s phát tri n c a đ t n ể ủ ấ ướ ớ ự

L I M Đ U Ờ Ở Ầ c, hàng lo t công ty l n nh m c lên v i s l ớ

ỏ ọ ạ ớ ố ượ ng

i qu n lý có th qu n lý m t s l máy vi tính, v y đ làm gì đ nh ng ng ể ể ữ ậ ườ ộ ố ượ ể ả ả ng l n ng ớ ườ i

dùng l n nh v y đ c, System Policy và Group Policy ra đ i giúp nh ng ng i qu n lý m t s ư ậ ượ ớ ữ ờ ườ ộ ố ả

l c đ b o m t c a d li u… ượ ng l n ng ớ ườ i dùng m t cách d dàng, đ m b o đ ễ ả ượ ộ ả ậ ủ ữ ệ ả ộ

i dùng trên máy khách đó có m t menu Chính sách h th ng t o cho vi c ki m soát ng ạ ệ ố ệ ể ườ ộ

Start/Programs đ c bi t ho c m t màn hình Desktop đ c bi t; h n ch không cho ng i dùng ặ ệ ặ ặ ộ ệ ế ạ ườ

y ch y m t s ch ng trình nào đó ho c thay đ i màn hình Desktop; n đ nh m t s setting v ấ ộ ố ươ ạ ộ ố ặ ấ ổ ị ề

n i m ng…. ạ ố

M t vài ng d ng c a Group Policy nh : ư ủ ứ ụ ộ

Cài đ t software cho m t lo t các user khi đăng nh p vào, cho cài đ t software gì không ạ ặ ậ ặ ộ

cho cài gì….cài đ t software chia làm 3 lo i: Publish, Assign va Advanced. ặ ạ

Có th c m không cho m t s user vào các m c Control Panel, My Network Place, ộ ố ể ấ ụ

Recycle…b ng cách làm n chúng hay có th c m truy c p vào các đĩa C, D… ho c vào ể ấ ẩ ằ ậ ổ ặ

Internet Explorer…

B o m t d li u, Group Policy có chính sách m t kh u v m t kh u và tài kho n đ ậ ữ ệ ề ậ ả ậ ẩ ẩ ả ể

tránh hacker đ t nh p ậ ộ

ệ Qua đó, chính sách h th ng và chính sách nhóm có m t vai trò quan tr ng trong công vi c ệ ố ộ ọ

qu n lý các user và d li u, d i đây s trình bày rõ h n v tác d ng c a System Policy và ữ ệ ả ướ ụ ủ ẽ ề ơ

Group Policy.

Nay đ tài đã hoàn t t, nh ng ch c ch c còn nhi u thi u sót, sai ph m… ch a đ c hoàn ề ấ ư ượ ư ề ế ắ ắ ạ

ch nh, v y em r t mong đ c s đóng góp ý ki n c a th y và các b n đ hoàn ch nh đ tài và ấ ậ ỉ ượ ự ế ủ ể ề ầ ạ ỉ

ả

Page 1

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

ể ơ ơ . phát tri n nó h n. Em xin chân thành cám n

M C L C Ụ Ụ

A. CHÍNH SÁCH H TH NG

Ệ Ố

Ph n 1:Gi

ầ

ớ

i thi u ệ

I. Gi i thi u v chính sách h th ng: ớ ệ ề ệ ố

Chính sách h th ng xu t hi n trên môi tr ng WORKGROUP l n DOMAIN. ệ ố ệ ấ ườ ẫ

Trên môi tr ng WORKGROUP, chính sách h th ng xu t hi n trong công v Local Security ườ ệ ố ụ ệ ấ

Policy.

• Domain Security Policy: giúp ng

Trên môi tr ườ ng Domain , chính sách h th ng xu t hi n trên 2 công c : ụ ệ ố ệ ấ

i qu n tr thi t l p các chính sách h th ng có ườ ả ị ế ậ ệ ố

• Domain Controller Security Policy: giúp ng

ph m vi tác đ ng lên toàn mi n ề ạ ộ

i qu n tr thi t l p các chính sách h ườ ả ị ế ậ ệ

th ng có ph m tác đ ng lên các máy Domain Controller. ạ ộ ố

• Tìm hi u v các chính sách trong System policy g m

: II. M c tiêu ụ

ề ể ồ Domain Security Policy và Domain

• Bi

Controller Security Policy.

t cách áp d ng chính sách h th ng đ qu n lý các máy tr m c a ng i dùng. ế ệ ố ủ ụ ể ả ạ ườ

III. M t s chính sách h th ng ệ ố ộ ố

1. Chính sách tài kho n(Account policy) ả

Account policy đ c dùng đ ch đ nh các thông s v tài kho n ng i dùng mà nó đ ượ ể ỉ ố ề ả ị ườ ượ c

s d ng khi ti n trình logon x y ra. Nó cho phép b n c u hình các thông s b o m t máy tính ử ụ ạ ấ ố ả ế ả ậ

cho m t kh u, khóa tài kho n và ch ng th c Kerberos trong vùng. Trên Windows Server 2008 ứ ụ ả ậ ẩ

làm DC có ba th m c ư ụ Password Policy, Account Lockout Policy và Kerberos Policy. Trong

ả

Page 2

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

ụ ộ Windows Server 2008 cho phép b n qu n lý chính sách tài kho n theo hai c p đ là: c c b và ạ ả ả ấ ộ

mi n. Mu n c u hình các chính sách tài kho n ng i dùng ta vào Start > Administrative ố ấ ề ả ườ

Tools>Local Security Policy.

1.1. Chính sách m t kh u (Password Policy) ậ ẩ

Chính sách m t kh u (Password Policy) nh m đ m b o an toàn cho m t kh u c a ng ằ ẩ ủ ậ ẩ ả ả ậ ườ i

dùng đ tránh các tr ng h p đăng nh p b t h p pháp vào h th ng. Chính sách này cho phép ể ườ ấ ợ ệ ố ậ ợ

ả

Page 3

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

b n quy đ nh chi u dài ng n nh t c a m t kh u, đ ph c t p…. ạ ộ ứ ạ ấ ủ ề ắ ậ ẩ ị

ẩ : Các l a ch n trong chính sách m t kh u ự ọ ậ

Chính sách Mô tả M c đ nh ặ ị

Giá tr nhị ỏ nh tấ ị ớ Giá tr l n nh tấ

24 0 24 ặ ố ầ

Enforce password history

S l n đ t m t ậ cượ mã không đ trùng nhau

m t mã m t mã ố ữ ậ

Maximum password age Gi trong 42 ngày m t mã Gi ữ ậ trong 1 ngày ế

Gi ữ ậ trong 999 ngày ậ

Quy đ nh s ngày ị nhi u nh t mà ấ i m t mã ng ươ dùng có hi u l c ệ ự

0 999 ngày iườ

Minimum password age ấ

Quy đ nh s ngày ố ị ươ i ít nh t mà ng dùng có th thay ể đ i m t mã ậ ổ 1 ngày (ng dùng có thể thay đ i ngay ổ l p t c) ậ ứ

7 0 14 kí tự

Minimum password length Chi u dài ng n ắ nh t c a m t mã ề ấ ủ ậ

Cho phép Cho phép ạ

Không cho phép Cho phép b n cài b l c m t mã ậ ộ ọ

Password must meet complexity requirements properties

Cho phép

Không cho phép Không cho phép

Store password using reversible encryption i ườ ượ ư c l u i d ng mã hóa M t mã ng ậ dùng đ d ướ ạ

1.2.

ả

Page 4

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

Chính sách khóa tài kho n (Account Lockout Policy) ả

Chính sách khóa tài kho n (Account Lockout Policy) quy đ nh cách th c th i đi m khóa tài ứ ể ả ờ ị

kho n trong vùng hay h th ng c c b . Giúp h n ch t n công thông qua hình th c logon t xa ụ ộ ệ ố ế ấ ứ ả ạ ừ

ố ấ

Các thông s c u hình chính sách khóa tài kho n Chính sách Mô tả G i ýợ

Giá trị min Giá trị max ả Giá tr m c ị ặ đ nhị

0 0 5 l nầ

Th 999ử l nầ

Account lockout threshold

ố ầ Quy đ nh s l n ị c đăng nh p tr ướ ậ khi tài kho n bả ị khóa

5 phút

99999 phút

Account lockout duration Quy đ nh th i ờ ị gian khóa tài kho nả Nh giáư tr m c ị ặ đ nhị

ả

Page 5

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

cượ t l p thì giá Là 0 nh ng n u ế ư Account lockout threshold đ thi ế ậ

5 phút

99999 phút

Reset account lockout counter after Nh giáư ị ặ tr m c đ nhị

Quy đ nh th i ờ ị ạ ố i s gian đ m l ế l n đăng nh p ậ ầ không thành công cượ t l p thì giá Là 0 nh ng n u ế ư Account lockout threshold đ thi ế ậ

1.3. Chính sách Kerberos

ạ Kerberos là m t giao th c m t mã dùng đ xác th c trong các m ng máy tính ho t ể ự ứ ậ ạ ộ

đ ng trên nh ng đ ộ ữ ườ ố ng truy n không an toàn. Giao th c Kerberos có kh năng ch ng ứ ề ả

l i vi c nghe lén hay g i l ạ ử ạ ệ ẹ ủ ữ ệ i nh ng gói tin cũ và đ m b o tính toàn v n c a d li u. ả ữ ả

ả M c tiêu c a giao th c này là nh m vào mô hình máy ch máy khách và đ m b o ủ ứ ụ ủ ằ ả

nh n th c cho c hai chi u. ự ề ả ậ

2.

Chính sách c c b (Local Policies) ụ ộ

Chính sách c c b (Local Policies) cho phép b n thi ụ ộ ạ ế ậ ố t l p các chính sách giám sát các đ i

t ượ ng trên m ng nh ng ạ ư ườ i dùng và tài nguyên chung . Đ ng th i b n có th c p quy n h ồ ờ ạ ể ấ ề ệ

ả

Page 6

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

th ng cho các ng i dùng và thi i dùng. ố ườ ế ậ t l p các l a ch n b o m tv i ng ọ ậ ớ ự ả ườ

2.1.

Chính sách ki m toán (Audit Policies) ể

ự ệ Chính sách ki m toán (Audit Policies) giúp b n có th giám sát và ghi nh n các s ki n ể ể ậ ạ

ả

Page 7

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

ng. x y ra trong h th ng trên các đ i t ệ ố ả ố ượ

Các l a ch n trong chính sách ki m toán ự ọ ể

Chính sách Mô tả

Audit account logon events ườ ộ i dùng logon, logoff hay t o m t ạ

Ghi nh n khi ng ậ k t n i m ng ế ố ạ

Audit account managements Ghi nh n khi tài kho n ng i dùng hay nhóm đ ả ậ ượ c

i dùng t o xóa hay các thao tác qu n lí ng ạ ườ ườ ả

Ghi nh n vi c truy c p các d ch v th m c ụ ư ụ ậ ệ ậ ị

Audit directory service access

Audit logon events ậ ự ệ ế

ế ậ

Audit object access Ghi nh n các s ki n liên quan đ n quá trình logon nh thi hành 1 logon script hay truy c p đ n 1 roaming ư profile Ghi nh n vi c truy c p các t p tin, th m c, máy in ư ụ ệ ậ ậ ậ

Audit policy change Ghi nh n các thay đ i trong chính sách ki m toán ể ậ ổ

Audit privilege use ệ ố ậ ạ ả

i khi b n thao tác qu n tr ặ ạ ư ấ ệ ố

Audit process tracking ng trình ạ ộ ộ ể ươ ủ

H th ng s ghi nh n l ị ẽ trên các quy n h th ng nh c p ho c xóa quy n c a ề ủ ề m t ai đó. Ki m toán này theo dõi ho t đ ng c a ch hay h đi u hành ệ ề

Audit system events i máy ở ộ ậ ạ ỗ ạ

H th ng s ghi nh n m i khi b n kh i đ ng l hay t ẽ t máy ệ ố ắ

i(User right assignment)

2.2. Quy n h th ng c a t ng ng ệ ố

ủ ừ ề ườ

Là quy n h th ng cung c p cho ng i dùng các quy n qu n tr và s d ng h th ng ệ ố ề ấ ườ ệ ố ử ụ ề ả ị

i dùng Có 2 cách c p quy n h th ng cho ng ề ệ ố ấ ườ

+ Add tài kho n ng i dùng vào các nhóm đã đ ả ườ ượ ạ ẵ c t o s n (built-in) đ th a k . ể ừ ế

ả

Page 8

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

+ Ho c dùng công c User Right Assigment đ gán t ng quy n r i r c cho ng i dùng. ề ờ ạ ừ ụ ể ặ ườ

ề

Danh sách các quy n h th ng c p cho ng ệ ố Mu n thêm hay b t quy n h n cho ng ớ ấ ạ ề ố ườ ườ i dùng và nhóm i dùng ho c nhóm, b n nh p đôi chu t vào ạ ặ ấ ộ

quy n h n đ ạ ượ ề c ch n, nó s xu t hi n h p tho i ch a danh sách ng ộ ứ ẽ ệ ấ ạ ọ ườ ệ i dùng và nhóm hi n

đang có quy n này. Nh p chu t vào nút Add đ them ng ể ề ấ ộ ườ ặ i dùng, nhóm vào danh sách, ho c

remove đ xóa ng ể ườ i dùng kh i danh sách. ỏ

Quy nề Mô tả

ườ i dùng truy c p máy tính trên ậ

Access this computer from the network Cho phép ng m ng. ạ

Cho phép các d ch v ch ng th c m c th p. ụ ứ ự ở ứ ấ ị

Act as part of the operating system

i dùng thêm 1 tài kho n máy tính ườ ả

ả

Page 9

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

Add workstations to the domain Cho phép ng trong vùng

ỉ ượ c phép đi u ch nh ch tiêu b nh ỉ ộ ỉ

Adjust memory quotas for a process

ệ

Allow log on locally ế i dùng và nhóm truy c p đ n ậ

Ch đ nh ai đ ớ ề ị dành cho m t quá trình x lý. Chính sách làm tăng ử ộ hi u su t c a h th ng ấ ủ ệ ố Cho phép nh ng ng ữ ườ máy tính c c b ụ ộ

ượ c phép s d ng d ch v Terminal ị ử ụ ụ

Allow log on through Terminal Services Cho phép ai đ đ đăng nh p vào h th ng ậ ể ệ ố

Back up files and directories ậ

i dùng sao l u d phòng các t p tin ấ ư ự ậ ư ụ

ườ

Bypass traverse checking ườ ệ ấ

ườ ư ụ ấ i đó có quy n hay không ề ư ụ i dùng duy t qua c u trúc th m c ộ i dùng không có quy n xem(list) n i ề

Change the system time Cho phép ng và th m c b t ch p các t p tin và th m c này ng Cho phép ng n u ng ườ ế dung th m c này ư ụ Cho phép ng i dùng thay đ i gi h th ng này ờ ệ ố ườ ổ

Create a pagefile Thi t l p user đ ế ậ ượ c phép t o b nh o ớ ả ạ ộ

Change the time zone Cho phép ng i dùng thay đ i múi gi ườ ổ ờ

Create a token object ộ ế ế ạ ộ

Cho phép m t ti n trình t o m t th bài n u ti n ế ẻ trình này dùng NTCreate Token API

ộ ố ượ ộ ế ạ

ư ng th m c thông qua Windows 2008 Object Manager Create permanent shared objects Cho phép m t ti n trình t o m t đ i t ụ

Debug programs ng trình debug ộ ươ

Cho phép ng i dùng g n m t ch ắ ườ vào b t kì ti n trình nào ế ấ

i dùng hay nhóm không

Deny access to this computer from the network ườ c truy c p đ n các máy tính trên m ng Cho phép b n khóa ng ạ đ ậ ượ ế ạ

Deny logon as a batch file i dùng và ườ ả

ả

Page 10

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

Cho phép b n ngăn c n nh ng ng nhóm đ ạ c phép logon nh 1 batch file ữ ư ượ

Deny logon as a service i dùng và ữ ườ

Cho phép b n ngăn c n nh ng ng nhóm truy c p nh m t services ả ư ộ ạ ậ

Deny log on locally C m User Logon c c b ụ ộ ấ

ườ ề c y quy n

Cho phép ng cho ng i dùng hay m t đ i t ượ ủ ng máy tính i dùng hay nhóm đ ộ ố ượ ườ

i dùng Shutdown h th ng t ệ ố ừ xa

Enable computer and user account to be trusted by deletgation Force shutdown from a remote system Cho phép ng ườ thông qua m ngạ

Generate security audits ườ ạ i dùng, nhóm hay m t ti n trình t o ộ ế

Cho phép ng 1 entry vào Security log

Increase scheduling priority ể ả ộ

ị u tiên đã đ Quy đ nh m t ti n trình có th tang hay gi m đ ư c g n cho ti n trình khác ế ộ ế ượ ắ

Load and upload device drivers i dùng có th cài đ t hay g b các ỡ ỏ ể ặ ườ

Cho phép ng driver c a các thi ủ t b ế ị

Lock pages in memory Khóa trang trong vùng nhớ

Log on as a batch job ệ ố

Cho phép m t ti n trình logon vào h th ng và thi hành 1 t p tin ch a các l nh h th ng ệ ộ ế ứ ệ ố ậ

Log on as a service ộ ị ộ ị ụ

Cho phép m t d ch v logon và thi hành m t d ch v riêng ụ

Log on locally Thi t l p User Logon c c b ế ậ ụ ộ

Manage auditing and security log Cho phép ng i dùng qu n lý security log ườ ả

ả

Page 11

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

Modify firmware environment values Cho phép ng ườ ch nh các bi n môi tr ế i dùng hay m t ti n trình hi u ệ ộ ế ng h th ng ệ ố ườ ỉ

Profile single process ế ườ

i dùng giám sát các ti n trình bình ng thông qua công c Performancer Logs and ụ

Profile system performance i dùng giám sát các ti n trình h ườ ế

ỡ ỏ

Remove computer from docking station Cho phép ng th ườ Alerts ệ Cho phép ng th ng thông qua công c Performance Logs and ụ ố Alerts Cho phép ng giao di n ng i dùng g b 1 Laptop thông qua i dùng ườ ườ ệ

Replace a process level token ế ộ

Cho phép m t ti n trình thay th m t token m c ặ đ nh mà đ ị ộ ế c t o b i m t ti n trình con ộ ế ượ ạ ở

Restore files and directories

i dùng ph c h i t p tin và th m c, ư ụ ụ ồ ậ ư i dùng này có quy n trên file và th ề ườ ườ

Shut down the system i dùng shutdown máy c c b ụ ộ

Cho phép ng b t ch p ng ấ ấ m c này hay không ụ Cho phép ng ườ windows 2008

ộ i dùng đ ng b d li u v i m t ộ ữ ệ ớ ồ

Synchronize directory service data Cho phép ng ườ d ch v th m c ụ ư ụ ị

i dùng t ướ ộ c quy n s h u c a m t ề ở ữ ủ

Take ownership of files or others objects Cho phép ng đ i t ố ượ ườ ng h th ng ệ ố

2.3. Các l a ch n b o m t (Security Options) ọ ả ự ậ

Các l a ch n b o m t (Security Options) cho phép ng i qu n tr Server đ nh nghĩa các ự ậ ả ọ ườ ả ị ị

quy n và giao di n t ng tác trên server giúp các ng i qu n tr thao tác trên Server d dàng và ệ ươ ề ườ ễ ả ị

ả

Page 12

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

an toàn h n.ơ

ộ ố ự

ủ

ạ ạ

Tr ng thái ho t đ ng c a Administrator ạ ộ Tr ng thái ho t đ ng User Guset ạ ộ Đăng nh p không c n password ậ ầ

ổ ả

ổ

ng h ố ượ

ư

ặ

ế ậ t l p ớ ơ ể

ể

ệ ố ể ầ ả

ả

Page 13

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

M t s l a ch n b o m t trong Security Options: ậ ọ ả Accounts: Administrator account status Accounts: Guest account status Accounts: Limit local account use of blank passwords to console logon only Accounts: Rename administrator account Accounts: Rename guest account Audit: Audit the access of global system objects Audit: Audit the use of Backup and Restore privilege Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings Audit: Shut down system immediately if unable to log security audits Devices: Allow undock without having to log on Devices: Allowed to format and eject Cho phép đ i tên tài kho n Administrator thành tên m iớ Cho phép đ i tên tài kho n Guest thành tên m i ớ ả Ki m toán các truy c p c a các đ i t ệ ậ ủ ể th ng toàn c c ụ ố Ki m toán vi c s d ng sao l u và ph c h i ụ ồ ệ ử ụ ể đ c quy n ặ ề Ki m toán chính sách con cài đ t (Windows ể Vista ho c m i h n) đ ghi đè lên các thi ặ ki m toán. ể ậ ứ Ki m toán: Shut down h th ng ngay l p t c ể n u không th đăng nh p ki m toán b o m t ậ ả ậ ế Cho phép undock mà không c n ph i đăng nh p ậ vào Đ c phép đ đ nh d ng và di chuy n ể ể ị ượ ạ

Không cho phép cài Printer

xa t i CD-ROM C m truy c p t ớ ấ ậ ừ

xa t i FDD C m truy c p t ớ ấ ậ ừ

ụ ậ ị

Cho phép nhóm Server Operator l p l ch tác v trên Server Tài kho n máy không đ ổ ậ ả ượ c thay đ i m t kh u ẩ

ổ ậ ả ệ Vô hi u hoá tài kho n máy thay đ i m t kh u ẩ

i đa M t kh u c a tài kho n máy có s ngày t ố ố ả ậ ẩ ủ

Yêu c u Khóa ph i m nh ạ ả ầ

i dùng cu i cùng Không hi n th tên ng ể ườ ố ị

ầ ấ

ườ ậ i dùng khi đăng nh p

Không yêu c u b m 3 phím CTRL+ALT+DEL khi logon t o câu thông báo cho ng ạ vào máy tính và Nh p dòng tiêu đ ề ậ

Cache khi log on (=0)

i dùng thay đ i m t kh u tr ổ ở ườ ắ ậ ẩ ướ c

ứ ự ể ở

Nh c nh ng khi h t h n ế ạ Yêu c u ch ng th c Domain Controller đ m ầ khóa máy tr mạ

Yêu c u thầ ẻ Lo i b th ạ ỏ ẻ

ắ ế ố ờ ế đăng nh p h t ậ

Ng t k t n i khách ]ien khi gi h nạ Cho phép administrative t đ ng đăng nh p ậ ự ộ

ả

Page 14

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

removable media Devices: Prevent users from installing printer drivers Devices: Restrict CD-ROM access to locally logged-on user only Devices: Restrict floppy access to locally logged-on user only Domain controller: Allow server operators to schedule tasks Domain controller: Refuse machine account password changes Domain member: Disable machine account password changes Domain member: Maximum machine account password age Domain member: Require strong session key Interactive logon: Do not display last user name Interactive logon: Do not require CTRL+ALT+DEL Interactive logon: Message text for users attempting to log on and Message title for users attempting to log on Interactive logon: Number of previous logons to cache (in case domain controller is not available) Interactive logon: Prompt user to change password before expiration Interactive logon: Require Domain Controller authentication to unlock workstation Interactive logon: Require smart card Interactive logon: Smart card removal behavior Microsoft network server: Disconnect clients when logon hours expire Recovery console: Allow automatic administrative logon Recovery console: Allow floppy copy and Cho phép copy đĩa m m và truy c p vào t ề ậ ấ ả t c

ổ

ệ ố

ủ ậ

đĩa và th m c các ư ụ i dùng shutdown h th ng mà Cho phép ng ườ không c n logon ầ H th ng m t mã: s d ng FIPS tuân th các ử ụ thu t toán mã hóa ệ ố ậ

ố ng cho phép m c đ nh c a các đ i ặ ị ườ ủ

ng h th ng n i b (ví d nh bi u t ệ ố ộ ộ ụ ư ể ượ ng

access to all drives and folders Shutdown: Allow system to be shut down without having to log on System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) System settings: Optional subsystems Shut down: clear vitual memory pagefile Xóa b nh o khi shutdowm Tăng c t ượ liên k t)ế Tùy ch n h th ng con ọ ệ ố ớ ả ộ

Ph n 2: Tri n khai chính sách h th ng

ệ ố

1.

ầ Các b

ể c chu n b : ị ẩ

ướ

 Ip Address: 192.168.1.1

 Subnet mask: 255.255.255.0

 DNS Address: 192.168.1.1

Chu n b m t máy o Windows Server 2008 v i các thông s sau: ị ộ ả ẩ ớ ố

 Ip Address: 192.168.1.2

 Subnet mask: 255.255.255.0

 DNS: 192.168.1.1

 Hãy ti n hành nâng c p máy Server là máy Server Stand- alone thành máy Domain

Chu n b m t máy o Win XP Professional v i các thông s sau: ị ộ ả ẩ ớ ố

ế ấ

 Ti n hành gia nh p máy tr m Window XP vào mi n THAO33.NET do máy Domain

Controller qu n lý mi n THAO33.NET. ề ả

ề ế ậ ạ

 Hãy áp d ng chính sách h th ng đ ch nh s a các chính sách m t kh u sau (video chinh

Controller qu n lý. ả

ệ ố ể ỉ ử ụ ậ ẩ

sach he thong):

 Đ nh th i gian thay đ i m t kh u c a m t tài kho n ng ậ

ả

Page 15

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

i dùng là 7 ngày ẩ ủ ả ổ ờ ộ ị ườ

 Th i gian t ờ

 Chi u dài t ề

i thi u đ m t ng ố ể ộ ể ườ i dùng có th thay đ i m t kh u là 2 ngày. ổ ể ẩ ậ

ả

Page 16

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

ố i thi u c a m t kh u là 3 ký t ậ ể ủ ẩ ự

 M t kh u không n m trong ch đ ph c t p ế ộ ứ ạ

 M t kh u đ

ằ ậ ẩ

ả

Page 17

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

c l u tr d i d ng mã hóa ẩ ượ ư ữ ướ ạ ậ

 Gi a 2 l n thay đ i m t kh u có th trùng nhau. ậ

 Đ nh nghĩa l

ữ ể ầ ẩ ổ

 N u m t tài kho n ng

i các Policies: ị ạ

ế ả ộ ườ i dùng đăng nh p gõ sai m t kh u quá 3 l n thì tài kho n đó s b ẩ ẽ ị ầ ậ ậ ả

ả

Page 18

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

khóa l i trong 30phút. ạ

 Th i gian reset l

 Vào m c ụ Security Options hi u ch nh các chính sách sao cho: ệ

i s l n đăng nh p sai m t kh u là 5 phút. ờ ạ ố ầ ậ ẩ ậ

 Cho phép ng

ỉ

ả

Page 19

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

i dùng shutdown h th ng mà không c n logon ườ ệ ố ầ

 Không yêu c u b m t

h p phím Ctr+Alt+Del khi logon h th ng ấ ầ ổ ợ ệ ố

 Không hi n th tên ng ể

ả

Page 20

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

i dùng logon tr c đó. ị ườ ướ

Cho phép đ i tên tài kho n Administrator thành tên m i. ả ổ ớ

i dung theo yêu câu sau: Vi dú ̣: V i hê thông mang trên. Hay câp quyên cho ng ớ ườ ̣ ́ ̣ ̃ ́ ̀ ̀ ̀

Chi co nhom Adminstrator va NS1 co quyên gia nhâp may tinh vao Domain. ̉ ́ ́ ̀ ́ ̀ ̣ ́ ́ ̀

Tai khoan KT1 co quyên sao l u d liêu-backup data. ư ữ ̀ ̉ ́ ̀ ̣

ả

Page 21

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

Tai khoan NS2 co quyên đăng nhâp cuc bô Domain Controller va co quyên tăt may t xa. ́ ừ ̀ ̉ ́ ̀ ̣ ̣ ̣ ̀ ́ ̀ ́

B. CHÍNH SÁCH NHÓM

CH

NG 1: GI

I THI U CHÍNH SÁCH GROUP POLICY

ƯƠ

Ớ

Ệ

1. Group Policy:

Group Policy là m t nhóm các Policy, các Policy này qui đ nh r t nhi u tính năng nh b o v ư ả ề ấ ộ ị ệ

m t kh u, cài đ t t xa, thay đ i h th ng…. Các Group Policy trong GPO (Group Policy ặ ừ ậ ẩ ổ ệ ố

Object).

i qu n tr m ng mu n qu n lý ng i dùng m t s thông tin nh : Thí d : ng ụ ườ ị ạ ả ả ố ườ ộ ố ư

Các ch ng trình giành cho ng i s d ng đ c phép dùng ươ ườ ử ụ ượ

Các ch ng trình xu t hi n trên màn hình n n c a ng i dùng ươ ề ủ ệ ấ ườ

Hay đ a ra m t s h n ch bu c ng ộ ố ạ ư ế ộ ườ ầ i dùng ph i tuân theo: Vi c cài đ t các thành ph n ệ ả ặ

đ ki m soát các vi c trên g i là cài đ t các Policy. ể ể ệ ặ ọ

Thí d : GPO Default Domain Policy liên k t v i các Domain. Các GPO này liên k t v i Site, ế ớ ế ớ ụ

Domain, OU đ áp d ng t i các ng i dùng trên Site, Domain, OU đó. ụ ể ớ ườ

Các Policy áp d ng theo th t sau: ứ ự ụ

Local- Site- Domain- OU- OU trong OU có hai đi m chính (Node) trong Group Policy ể

trong

User Configuration.

ả

Page 22

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

Computer Configuration: Trong t ng đi m đ u có ba đi m gi ng nhau: ừ ể ể ề ố

Software Setting

Windows Setting.

Administrative Templates: tuy nhiên có s khác nhau gi ac hai đi m chính trên ư ự ể

ấ Các Policy trong User Configuration s áp d ng cho các cài đ t cho User (b t k khi User đ y ấ ể ụ ẽ ặ

log on vào máy nào).

Và các Policy trong Computer Configuration s áp d ng t i máy tính ( b t k User nào log on t ụ ẽ ớ ấ ể ớ i

2.

máy tính đ y.)ấ

Group Policy Object (GPO):

GPO là m t Group Policy c th , có tên riêng c a nó và g m m t hay nhi u thi ụ ể ủ ề ộ ồ ộ ế t

c ch n và c u hình. l p(setting) đã đ ậ ượ ấ ọ

GPO là m t nhóm các c u hình c a Group Policy. ấ ủ ộ

Phân lo i GPO: ạ

+Local GPO.

+Non- local GPO.

Local GPO:

c l u trên m i máy cho dù máy tính đó là thành viên trong môi tr M t ộ Local GPO đ ượ ư ỗ ườ ng

%Systemroot%\sytem32\Group Policy.M t local GPO

Active Directory ho c môi tr ặ ườ ng m ng: ạ ộ

ng đ n máy tính đang l u tr nó. Các thi ch nh h ỉ ả ưở ữ ư ế ế ậ ủ ở t l p c a local GP có th b ghi đè b i ể ị

non-local GP vì v y local GP ít có ý nghĩa quan tr ng đ i v i môi tr ngAD. ố ớ ậ ọ ườ

Non-Local GPO

Non-local GPO đ c t o ra trong Active Directory %Systemroot%\Sysvol\sysvol\Domain ượ ạ

Name\Policies\GPO GUID\Adm. Non-local GPOs

đ c liên k t đ n m t site, domain, ho c OU đ áp d ng cho ng ượ ế ế ụ ể ặ ộ ườ i dùng ho c máy tính. ặ

3. Group Policy Setting

Các thi t l p c a GP thì đ c ch a trong m t GPO đ xác đ nh môi tr ế ậ ủ ượ ứ ể ộ ị ườ ệ ng và giao di n

i dùng. c a ng ủ ườ

ả

Page 23

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

Có 2 lo i Group Policy Settings: ạ

– Computer Configuration settings

– User Configuration settings

t l p mà Group Policy áp d ng cho các máy M c ụ Computer Configuration: ch a các thi ứ ế ậ ụ

tính và không quan tâm đ n ai đăng nh p vào máy tính đó. ế ậ

t l p mà Group Policy áp d ng cho ng i dùng và M c ụ User Configuration: ch a các thi ứ ế ậ ụ ườ

không quan tâm đ n ng i dùng đó đăng nh p t máy tính nào ế ườ ậ ừ

C 2 m c t l p v : ụ Computer Configuration và User Configuration ch a các thi ứ ả ế ậ ề

– Cài đ t ph n m m (M c Software Settings) ụ ề ầ ặ

– Cài đ t và truy c p h đi u hành Windows Server 2003(M c Windows Settings) ệ ề ụ ậ ặ

– Thi t l p registry (M c Administrative Templates) ế ậ ụ

M c Software Settings ụ

Xác đ nh cách th c ng d ng đ c cài đ t và duy trì. Có 2 ch đ qu n lý ng d ng là: ứ ứ ụ ị ượ ế ộ ứ ụ ặ ả

– Assigned

– Published

Không th publish m t ng d ng cho các Computer ộ ứ ụ ể

M c Windows Settings ụ

M c Scripts ụ

– Cho phép b n ch đ nh 2 lo i Script: startup/shutdown và logon/logoff ạ ạ ỉ ị

– Giá tr timeout cho vi c x lý các Script là 10 phút ệ ử ị

– Ngôn ng script ActiveX đ vi t Script: VBScript, Jscript, Perl, và MS-DOS style batch file ể ế ữ

(.bat và .cmd)

M c Security Settings: ụ

– Cho phép c u hình các c p đ b o m t gán cho local và non local GPO. ộ ả ấ ấ ậ

Trong User Configuration:

xa. – Remote Installation Service: đi u khi n cài đ t h đi u hành t ề ặ ệ ề ể ừ

– Redirect Folder: cho phép chuy n các th m c đ c bi t (Application Data, Desktop, My ư ụ ặ ể ệ

ả

Page 24

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

documents và Start menu) t v trí m c đ nh c a default user profile đ n m t v trí khác ừ ị ặ ị ộ ị ủ ế

trong m ng n i mà b n có th qu n lý t p trung ể ạ ả ạ ậ ơ

– Internet Explorer Maintenance: cho phép qu n lý và thi t l p các tùy ch n Microsoft Internet ả ế ậ ọ

Explorer

M c Administrative Templates ụ

+ Ch a các thi t l p Group Policy trên c s Registry (registry-based Group PolicySettings) ứ ế ậ ơ ở

+ Có h n 550 m c thi t l p c u hình cho Computer và user ụ ơ ế ậ ấ

t l p trong Administrative Template có th là: + M i thi ỗ ế ậ ể

– Not Configured: Không thay đ i Registry ổ

– Enabled: Registry t ng ng v i chích sách s đ ươ ứ ẽ ượ ớ c ch n ọ

– Disabled: Registry t ng ng v i chính sách s không đ ươ ứ ẽ ớ ượ c ch n. ọ

+ M c Windows Components : cho phép thi ụ ế ậ t l p qu n tr các thành ph n trong Wins2K3 nh : ư ầ ả ị

– Microsoft NetMeeting, Internet Explorer, Application Compatibility, Task Scheduler …

+ M c Systems : dùng đ qu n lý Win 2003 đ ụ ể ả ượ c truy c p và s d ng nh th nào: ử ụ ư ế ậ

– user profiles, scripts logon ,logoff…

+ M c Network :dùng đ thi t l p đi u khi n vi c truy c p và s d ng m ng: ụ ể ế ậ ử ụ ể ề ệ ạ ậ

– Offline files, Network and dialup connections …

+ Trong Computer Configuration

– Ch a thêm các thi t l p cho máy in trong m c Printers ứ ệ ậ ụ

+ Trong User Configuration

– Ch a thêm các thi t l p cho Startup menu and Taskbar, Desktop, Control Pannel, vàShared ừ ế ậ

folders

4. Tính th a k c a Group Policy Object

ừ ế ủ

Tính k th a c a Group Policy object là các OU con t đ ng liên k t và áp d ng các ế ừ ủ ự ộ ụ ế

Group policy object đã đ ượ ạ ủ c t o ra và liên k t trong các OU cha. Đây là thu c tính m c đ nh c a ặ ị ế ộ

OU.

Chúng ta có th ch n tính k th a này b ng cách nhân chuôt phai vao OU muôn huy bo ể ặ ế ừ ằ ̉ ́ ̣ ̉ ̀ ́ ̉

ả

Page 25

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

tinh kê th a c a OU chon properties, đ t d u ch n tr c ặ ấ ́ ừ ủ ọ ướ Block Policy inheritance. ́ ̣

ủ Ch n tính k th a không có tính ch n l c, nghĩa là chăn h t các Group policy object c a ế ừ ọ ọ ế ặ

các đ i t ng cha chuy n xu ng. ố ượ ề ố

Các ngo i l trong quá trình x lý GP ạ ệ ử

Các thành viên Workgroup: m t máy tính là thành viên c a workgroup thì ch x lý local GPO. ủ ộ ỉ ử

No Override: B t kỳ GPO liên k t v i m t Site, domain, ho c OU có th đ c thi t l p No ế ớ ể ượ ấ ặ ộ ế ậ

Override·

Nh ng thi ữ ế ậ ử t l p chính sách c a nó không b ghi đè b i b t kỳ GPO nào trong quá trình x lý ở ấ ủ ị

nhóm chính sách·

c thi t l p No Override thì GPO c u tiên. Khi có nhi u GPO đ ề ượ ế ậ ở ấ c p cao nh t trong AD đ ấ ượ ư

Block Policy Inheritance: site, domain, ho c OU s k th a GP có th ch n Block Policy Ở ự ế ừ ể ọ ặ

Inheritance·

M t GPO đ c thi t l p No Override thì luôn luôn đ c áp d ng. · Block Policy Inheritance ộ ượ ế ậ ượ ụ

ch n s k th a t các chính sách site, domain ho c OU ặ ự ế ừ ừ ở ặ ở trên áp d ng xu ng. ụ ố

Loopback Settings: loopback là m t thi t l p chính sách m r ng thu n l i cho vi c qu n lý các ộ ế ậ ở ộ ậ ợ ệ ả

máy trính trong môi tr ng nh : n i công c ng, l p h c, phòng thí nghi m … ườ ư ơ ệ ộ ớ ọ

Loopback có th thi ể t l p ế ậ ở ế ộ 2 ch đ :

c thay th b ng danh sách GPO áp d ng cho ẽ ượ ế ằ ụ ụ

Replace: Danh sách GPO áp d ng cho user s đ máy tính(startup). Merge: Danh sách GPO áp d ng cho user là s móc n i danh sách GPO áp d ng cho user (logon) ự ụ ụ ố

5. Th t

vào danh sách GPO áp d ng cho máy tính (startup).=>computer áp dung sau. ụ

các Group Policy đ

c áp d ng

ứ ự

ượ

ụ

Khi máy kh i đ ng, Local Computer Policy áp đ t lên máy tr c. Sau khi màn hình logon ở ộ ặ ướ

xu t hi n và các user logon vào máy thì nh ng Group policy object c a Site, Domain, OU cha, ữ ủ ệ ấ

OU con áp đ t ti p lên máy theo trình t ặ ế : ự

Site policy à Domain policies à OU cha policies à OU con policies.

Theo trình t thông th ng, Policy áp sau cùng s là policy ‘‘m nh‘‘ nh t. Trình t này đ ự ườ ẽ ạ ấ ự ượ c

áp d ng đ gi i quy t khi có s xung đ t gi a các policy. ể ả ụ ữ ự ế ộ

6. C u hình m t GPO không áp d ng cho m t User

ụ

ộ

ộ

ấ

ả

Page 26

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

Mi n tr áp d ng Group policy object cho m t user trong m t OU (hay mi n tr máy tính) ộ ừ ụ ừ ễ ễ ộ

đ ượ ọ c g i là filter. Đ filter c n ph i thay đ i ph n quy n trên Group policy object. M c đ nh là ầ ặ ị ề ể ầ ả ổ

.

m i users và computers có phân quy n ề Allow read và Allow Apply Group Policy Object. Phân ọ

quy n l i cho user hay computer đ c mi n tr Deny Apply Group policy object ề ạ ượ ừ ễ

7. Kh i đ ng Group Policy

ở ộ

Có 2 cách:

Cách 1: Vào menu Start à Run, r i nh p l nh ậ ệ mmc đ kh i đ ng Microsoft Management ở ộ ể ồ

Console.

ng xuyên v i GP thì cách này s nhanh h n. Cách 2: N u b n làm vi c th ạ ế ệ ườ ẽ ớ ơ

Vào menu Start à ch n Run và nh p vào gpedit.msc r i nh n OK đ kh i đ ng ch ng trình. ậ ọ ở ộ ể ấ ồ ươ

Khi ch i: ươ ng trình đã kh i đ ng, b n s th y c a s giao di n nh hình bên d ạ ẽ ấ ử ổ ở ộ ư ệ ướ

Computer Configuration: Các thay đ i trong ph n này s áp d ng cho toàn b ng ộ ườ i ụ ẽ ầ ổ

dùng trên máy. Trong nhánh này ch a nhi u nhánh con nh : ư ứ ề

ả + Windows Settings: b n s c u hình v vi c s d ng tài kho n, password tài kho n, ề ệ ử ụ ạ ẽ ấ ả

qu n lý vi c kh i đ ng và đăng nh p h th ng… ở ộ ệ ố ệ ả ậ

+ Administrative Templates:

ư - Windows Components: b n s c u hình các thành ph n cài đ t trong Windows nh : ạ ẽ ấ ầ ặ

Internet Explorer, NetMeeting…

- System: c u hình v h th ng. C n l u ý là tr ề ệ ố ầ ư ấ ướ ầ c khi c u hình cho b t kỳ thành ph n ấ ấ

ộ nào, b n cũng c n ph i tìm hi u th t k v nó. B n có th ch n thành ph n r i nh p chu t ậ ỹ ề ể ọ ầ ồ ể ầ ả ạ ạ ấ

ph i đ ch n Help. ả ể ọ

ấ Còn m t cách khác là không ch n Help mà ch n Properties. Khi c a s Properties xu t ử ổ ộ ọ ọ

hi n, chuy n sang th Explain đ đ c gi i thích chi ti t v thành ph n này. ể ượ ẻ ệ ể ả ế ề ầ

ổ M c đ nh thì tình tr ng ban đ u c a các thành ph n này là “Not configured”. Đ thay đ i ầ ủ ặ ị ể ạ ầ

ọ tình tr ng cho thành ph n nào đó, b n ch n th Setting trong c a s Properties, s có 3 tùy ch n ử ổ ẻ ẽ ầ ạ ạ ọ

ấ cho b n ch n l a là: Enable (có hi u l c), Disable (vô hi u l c) và Not configure (không c u ệ ự ệ ự ọ ự ạ

ả

Page 27

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

hình).

* User Configuration: giúp b n c u hình cho tài kho n đang s d ng. Các thành ph n có ạ ấ ử ụ ả ầ

ng t nh trên. khác đôi chút nh ng vi c s d ng và c u hình cũng t ệ ử ụ ư ấ ươ ự ư

Ộ Ố Ứ

Ụ

Ủ

CH I.

ƯƠ Cài đ t win server 2008

NG 2: M T S NG D NG C A GROUP POLICY ặ

1.

Nâng c p Win Server 2008 thành Domain Controller.

ấ

2.

Join Domain

Click đúp vào bi u t ng Local Area Connection ể ượ à Properties à Ch n Internet Protocol ọ

(TCP/IP) àPropertiesàCh n Use the following IP address à Đánh vào IP address đây ta có ọ ở

th nh p nh hình à OK à Đóng h t c a s l i. ư ể ậ ế ủ ổ ạ

à à Ch n Change… à Ch n Domain ộ ả ọ ọ ọ

ả

Page 28

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

àChu t ph i My Computer ch n tab Computer name đánh vào thao33.net

àOK

Join Domain thành công. II.

ng d ng c a Group Policy

Ứ

ủ

ụ

Mô hinh :

ả

Page 29

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

̀

Security Policy 1. C u hình

ấ

Menu Start Login vào Domain Controller v i quy n h n Administrative=> t ớ ề ừ

ả

Page 30

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

ạ Administrative Tools=>Group Policy Management.

ả

ở ộ ạ ộ ở ộ ư ạ

M r ng nhánh thao33.net=> click chu t ph i vào Default Domain Policy ch n Edit. ọ ộ T i h p tho i Group Policy Management Editor m r ng các nhánh nh sau: Computer Congiuration =>Windows setting=> Sercurity Setting=> Account policies=> Password Policy.

C a s bên ph i hi n th các thông tin chính sách v Password. ử ổ ề ể ả ị

i h n Password (Domain Security Policy->Account->Password Policy)

ả

Page 31

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

T o Organizational Unit và user ạ -B gi ỏ ớ ạ -T o OU “QUY NHON’’ ạ

à Programs à Administrator Tools à Active Directory Users and Computers à à New à Organizational Unit à Name đánh tên OU ( đây ta

ướ ộ ở

à OK

B c 1: Vào Start Chu t ph i vào THAO33.NET ả nh p QUY NHON) ậ

“nhan su’’, “Ke toan’’, ‘‘ kinh doanh ’ ạ

à New à Organizational Unit à Name đánh tên OU (đây ta ộ ở

Trong OU QUY NHON t o 3 OU Chu t ph i vào THAO33.NET ả nh p vào là ke toan) à OK ậ

ả

Page 32

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

T ng t cho vi c t o OU nhan su và OU kinh doanh. ươ ự ệ ạ

: “kt1” và “kt2”

Trong OU “ke toan’’ t o 2 user ạ Chu t ph i vào ke toan ả ộ à New à User à Nh p vào kt1 nh hình d ậ ư i ướ

ả

Page 33

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

T ng t ượ ự ta t o kt2 ạ

àNext à Finish

: kd1 và kd2. ươ ươ trong OU “nhan su” t o 2 user : “thach thach’’ và “ns1’’. ng t ự trong OU « ng t ạ ự

à Local ạ Kinh doanh » t o 2 user ề

à Ch n Add User or Group ọ à Add User vào à OK và c p nh t ậ ậ

ng d ng c a Group Policy

+T +T +Cho group Users quy n Allow Logon Locally (Default Domain Controller Policy Policies à User Right Assignment) Ch n Allow log on locally ọ Policy (gpupdate /force) ủ 2.

Ứ

ụ

2.1. Group Policy cài đ t Software thông qua qu n tr viên

ặ

ả

ị

ả

Page 34

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

H p tho i Group Policy Management click chu t ph i vào OU ch n ọ Create a GPO ạ ả ộ ộ

in this domain, and Link it here…

ả

Page 35

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

H p tho i New GPO nh p tên c n vào m c Name sau đó ch n OK ầ ụ ậ ạ ộ ọ

Trong h p tho i Group Policy click chu t ph i vào GPO m i v a t o ch n Edit ộ ớ ừ ạ ạ ả ộ ọ

ọ ộ ạ Group Policy Management Editor .Theo đ ngườ

Computer Congiuration =>Administrative Template=> System=> Troubleshooting and Sau khi click ch n vào Edit. Trong h p tho i d n sau: ẫ

ả

Page 36

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

Diagnostics=>Application Compatibility Diagnostics.

2.2. Làm m t Control Panel

Ch n ọ Detect application installers that need to be run

ấ

ả

Page 37

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

đây ta làm m t Control Panel trong OU ke toan. Ở ấ

ả

Page 38

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

2.3. Làm m t bi u t

ng Recycle Bin

ể ượ

ấ

đây ta làm m t bi u t ng Recycle Bin đ i v i các user n m trong OU nhan su. Ở ể ượ ấ ố ớ ằ

2.4. Lam mât biêu t

ng Run cho OU. ̉ ượ ̀ ́

ả

Page 39

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

đây ta làm m t bi u t ng Run OU QUY NHON Ở ể ượ ấ

2.5. B ch c năng k th a cho OU.

ỏ ứ

ế ừ

đây ta b ch c năng k th a cho OU ke toan Ở ỏ ứ ế ừ

ả

Page 40

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

Khi vao tai khoan ns1 trong nhom nhan su thi đa mât Run ̀ ̀ ̉ ́ ̃ ́

2.6. Cài đ t Software cho Users.

Nh ng vao tai khoan kt1 thi Run con: ư ̀ ̀ ̉ ̀ ̀

ặ

đây ta cài đ t Software cho Users thu c OU ke toan.(cài đ t t đ ngvà không t đ ng) ặ ộ ặ ự ộ ự ộ

ả

Page 41

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

Ở Ta có th dùng Group policy object đ cài software t đ ng cho User/computer. ự ộ ể ể

đ ng g b . ỡ ỏ

ặ ự ộ ặ i khi software b h ng. ạ ị ỏ

ả i thi u ph i có quy n read trên folder ch a software g c. ư ể ề ố ố

ể ề ỏ

* u đi m Ư ể : -T đ ng cài đ t, và/ho c t ự ộ -T đ ng cài l ự ộ Đi u ki n: ệ ề -Software ph i là file có đuôi *.msi, *mst, *zap -M i user t ả ỗ -M t s software khi cài cho user đòi h i user ph i có quy n Local Admin. Có th thay th b ng ế ằ ả ộ ố khai báo thêm trong Registry… .

ỉ ầ ộ ứ

ầ

ơ ả ề ể ế ụ Ứ

ẽ ượ c cài đ t khi restart l à Click vao Add Or Remove Programs đ ti n hành cài đ t. ặ c cài đ t khi ặ ấ i máy (c u ạ ặ ẽ ượ ấ ặ

ậ ầ

ư ư ả ọ

ề ự ự ử ả ả ạ

c nâng c p nh th nào. ư ế ư ế ượ ượ ấ ầ ỏ

c hay không hay ph n m m đ c khi th c hi n ph n này c n m t software có ph n m r ng là .msi copy Software này vào ộ ng trình đó ra kh i máy đ ầ ủ ề ở ộ ự ầ ầ

và ti n hành Sharing th m c này lên. Các c ch cài: ơ ế ụ -Publish: C ch cài này ch có trong ph n User Configuration. Khi ta publish m t ng d ng, ế User c n ph i vào Control Panel -Assign: Đ u có trong Configuration và Computer Configuration. ng d ng s đ user đăng nh p (c u hình trong user Configuration) ho c s đ hình trong ph n Computer Configuration). -Advanced: Có c Publish và Assign nh trên nh ng kèm thêm nhi u s l a ch n khác nh khi ư m t tài kho n user hay computer ra ngoài ph m vi qu n lý c a GPO thì x lý nh th nào – có ộ g ch ỡ ươ Tr ướ ệ ư ụ phân mêm th m c ư ụ ế ̀ ̀

Start => Administrative Tools=> Group Policy Manegement click chu t vào OU Nhan ừ ộ

ả

Page 42

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

T menu Su ch n ọ Create a GPO in this domain, and Link it here…. Trong h p tho i New GPO nh p tên Deploy Software vào m c Name sau đó ch n OK ụ ậ ạ ộ ọ

ệ ạ ự ộ ớ ộ

sách m i v a t o ch n Edit.. Sau khi th c hi n thành công vi c t o m i m t chính sách click chu t vào chính ớ ừ ạ ệ ọ

H p tho i Group Policy Management Editor th c hi n cài đ t Software cho User khi ự ệ ạ ặ ộ

login vào Domain. Tìm theo c u trúc nh sau: ư ấ

User Configuration => Software instation => Click chu t ph i vào New=> ộ ả

Package…

Trong h p tho i Open ch đ nh đ ng d n đ n gói Package theo cú pháp:\ ộ ạ ị ỉ

ườ ư ụ ầ

ẻ

ả

Page 43

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

T o h p tho i Group Policy Management Editor m t gói Packed đã đ ầ c cài đ t thi t l p ế ẫ + \\Tên máy tính\th m c chia s \tên Software c n cài: ẻ +\\Tên máy tính\Tên Domain\th m c chia s \tên Software c n cài ư ụ ặ ạ ượ ạ ộ ộ ế ậ

H p tho i Deploy Software xu t hi n đánh d u ch n vào Assigned sau đó ch n OK ệ ấ ạ ấ ộ ọ ọ

Ta đăng nh p vào tài kho n thach trong OU Nhan Su bên máy Win XP ta th y Mobipocket Reader ả ậ ấ

ả

Page 44

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

hay

2.7. Folger redirection

Folger redirection là m t Group policy object chuy n m t s folder c a user này v ể ộ ố ủ ề

ấ

ng d n UNC đ ch t i Share folder. Folger redirection áp ấ ả ể ỉ ớ ẫ

ộ ố ườ ư

ầ ấ ỉ

ọ

ộ ộ ọ ỗ ỉ

ộ c t trên server thay vì c t local. ấ -Khi c u hình ph i dùng đ d ng cho m t s folder nh : Appliction Data, Desktop, My Documents, Stars Menu. ụ - Folger redirection ch có trong ph n User Configuration. Khi c u hình có 2 options đ l a ể ự ch n: Basic và Advanced. +Basic: Ch cho m t share folder chung cho m i users trong đó m i user co m t folder riêng. +Advanced: Cho t o nhi u share folder khác nhau theo group. ề ạ

: Đ chuy n m t s folder c a user này, v c t trên server thay vì c t local ta làm nh sau ộ ố ề ấ ủ ư ể ể ấ

B c 1:Logon Administrator à vào C:\ t o folder tên “Mydocs” share cho group Everyone ướ ạ

ả

Page 45

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

quy n full Control (share cho group Everyone quy n full Control làm gi ng nh trên) ư ề ề ố

ả

Page 46

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

B c 2:Tao môt GPO đăt tên: Folder redirection ướ ̣ ̣ ̣

Đăng nhâp băng tai khoan ns1 .Chu t ph i

Target ta th y C:\Mydocs\ns1\My Documents. ấ

Logoff ns1 à Logon Administrator à C:\Mydocs (Th y trong Mydocs h th ng t t o ra ệ ố ấ ự ạ

ả

Page 47

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị

th m c ns1 ch My Documents c a User ns1) ư ụ ủ ứ

ả

Page 48

Nhóm SV: Võ Tr n Th ch Th o ầ Nguy n Th Tâm ễ

ạ ị