Bài 6
Quản trị môi trƣờng mạng Group Policy
Giới thiệu:
Quản trị môi trường mạng Group policy là xác định cách thức để các
chương trình, tài nguyên mạng và hệ điều hành làm việc với người dùng và máy
tính trong 1 tổ chức. Bài học này cung cấp cho người học kiến thức sau: Hiểu rõ
được ý nghĩa của Group Policy, triển khai Group Policy trên Domain và OU,
dùng Group Policy tự động hóa các cơng tác quản trị User và Computer, xử lý
lỗi thông dụng khi triển khai Group Policy.
Bài này được trình bày thành các mục chính được sắp xếp như sau:
- Giới thiệu Group Policy Object (GPO).
- Triển khai Domain GPO
- Quản lý và triển khai GPO
- Quản lý user và Group với GPO
- Chuẩn đoán và xử lý lỗi
- Câu hỏi và bài tập.
-

Mục tiêu:
Trình bày được các thành phần của Group Policy: User Configuration,
Computer Configuration
Sử dụng thành thạo công cụ quản lý Group Policy – Group Policy
Management
Tạo, thiết lập, liên kết các GPOs đến các Container
Xử lý xung đột trong việc áp dụng Các GPOs
Xử lý các lỗi thơng dụng khi triển khai Domain Group Policy.

- Tính chính xác, đúng đắn khi ra những quyết định quản trị.
NỘI DUNG CHÍNH
6.1. Giới thiệu Group Policy.
Mục tiêu

- Nắm được các chức năng và thành phần của Group Policy.
- Hiểu được Domain Policy, các cấp độ áp dụng Group Policy (Site,
Domain, OU, Local.
- Nắm được một số vấn đề an tồn mạng thơng qua Group Policy
- Nắm được cách thức áp dụng Policy và đặc điểm của các Policy
113


6.1.1 Giới thiệu Local Policy
 Group Policy là tập các thiết lập cấu hình cho computer và user. Xác định
cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với
người dùng và máy tính trong 1 tổ chức.
 Group Policy chỉ áp dụng được với các máy Win2k/XP/WinS2k3/2k8.
 Các Group Policy chỉ có thể hiện hữu trên miền Active Directory (AD).
 Các Group Policy thì được áp dụng lúc máy khách được khởi động, lúc máy
khách đăng nhập, và vào những thời điểm ngẫu nhiên khác.
 Các Group Policy tự động mất tác dụng đối với máy trạm khi chúng được
xóa bỏ khỏi miền AD.
 Người quản trị mạng có được nhiều mức độ kiểm soát tinh vi hơn đối với vấn
đề ai được hoặc khơng được nhận một Group Policy nào đó.
 Group Policy chủ yếu chỉ được áp dụng cho các site, domain, và OU
(Organizational Unit). Gọi tắt là SDOU.
 Trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại
chỗ (Local Group Policy), sẽ được áp dụng khi máy đó không tham gia vào
miền AD nào cả. Các máy Windows XP Home thì khơng có Local Group
Policy.
 Các Group Policy dành cho SDOU được tạo ra dưới dạng các đối tượng
chính sách nhóm (Group Policy Object - GPO)
 Các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một
phần trong share SYSVOL.

 GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 nằm trong thư mục:
%Windir%\System32\GroupPolicy.
 Chương trình để tạo ra và/hoặc chỉnh sửa các GPO tên là Group Policy
Object Editor, có dạng một console MMC tên là GPEDIT.MSC. Hoặc ta
cũng có thể dùng nó dưới dạng một cơng cụ snap- in trong một console
MMC khác, ví dụ: console Active Directory Users and Computers, tức
DSA.MSC, cũng được trang bị sẵn snap- in Group Policy.
Group Policy trong Windows XP


Group Policy là một trong các thành phần của Microsoft Management
Console và phải là thành viên của nhóm Adminstrators mới được quyền sử
dụng chương trình này.
114




Khởi động chương trình: Start - > Run(Windows + R) - > nhập
gpedit.msc - > OK.

Cửa sổ Group Policy Object

Hình 6.1. Group Policy Object

Cách sử dụng chung: tìm tới các nhánh, chọn thiết lập phù hợp.
o

Not configured: không định cấu hình cho tính năng.


o

Enable: kích hoạt tính năng.

o

Disable: vơ hiệu hóa tính năng.

Gồm 2 mục chính:
o

Computer Configuration

o

User Configuration.

o

Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn
bộ người dùng trên máy.

+ Windows Settings: cấu hình về việc sử dụng tài khoản, password tài khoản,
quản lý việc khởi động và đăng nhập hệ thống …
115


+ Administrative Templates:
- System: cấu hình về hệ thống
- Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong

Windows như: Internet Explorer, NetMeeting...
o

User Configuration: cấu hình cho tài khoản đang sử dụng. Các thành phần
có khác đơi chút nhưng việc sử dụng và cấu hình cũng tương tự như mục
Computer Configuration
6.1.2 Giới thiệu Domain Policy
Quản lý một chính sách miền

Xem chủ đề này để tìm hiểu về các nhiệm vụ bạn có thể thực hiện với một
chính sách miền trong Control Center. Ngồi ra, bạn sẽ tìm hiểu làm thế nào để
sử dụng một chính sách tên miền để theo dõi tên miền EWLM của bạn.
Trong Trung tâm Kiểm sốt EWLM, bạn có thể có nhiều chính sách miền.
Bạn có thể làm việc với các chính sách tên miền được triển khai hoặc bất kỳ
chính sách tên miền hiện có sẵn để quản lý tên miền. Các chính sách tên miền
được bao gồm trong Set các chính sách miền xem của Trung tâm kiểm soát bao
gồm tất cả các chính sách miền đã được nhập khẩu hoặc được tạo ra bằng cách
sử dụng Trung tâm Kiểm soát EWLM thuật sĩ.
Để tạo ra một chính sách tên miền mới hoặc nhập khẩu một chính sách tên
miền, chọn Thiết lập chính sách miền> trong khung bên trái của Trung tâm
Kiểm sốt EWLM. Sau đó, nhấp vào Nhập khẩu hoặc mới.
Chỉ có một chính sách tên miền có thể được triển khai cho mỗi EWLM
miền. Quản lý tên miền của miền EWLM được quy định tại các URL mà bạn sử
dụng để truy cập vào Trung tâm Kiểm soát EWLM. Để làm việc với nhiều lĩnh
vực EWLM, bạn cần riêng biệt EWLM Trung tâm Kiểm sốt các phiên trình
duyệt Web cho từng lĩnh vực quản lý mà bạn muốn làm việc.
Trong Trung tâm Kiểm sốt EWLM, bạn có thể thực hiện các nhiệm vụ
sau đây từ Thiết lập các chính sách miền>:
 New: Bạn có thể tạo ra một chính sách tên miền mới hoặc tạo ra một
chính sách tên miền mới dựa trên một chính sách tên miền hiện có.

 Nhập khẩu: Bạn có thể nhập khẩu một chính sách tên miền được lưu vào
hệ thống tập tin địa phương của bạn. Khi chính sách này được nhập khẩu,
EWLM sẽ xác minh rằng cú pháp là chính xác. Nếu khơng, chính sách sẽ khơng
mở trong Control Center EWLM. Sử dụng điều này với chức năng xuất khẩu để
sao ch p các chính sách tên miền từ một tên miền EWLM khác. Điều này làm
cho nó dễ dàng hơn để chia sẻ chính sách tên miền từ một miền khác.
116


 Xuất khẩu: Bạn có thể xuất khẩu một chính sách tên miền hệ thống tập tin địa
phương của bạn. Sử dụng điều này với chức năng nhập khẩu để sao ch p các chính
sách tên miền từ một tên miền EWLM khác. Điều này đặc biệt hữu ích nếu bạn có
hai lĩnh vực EWLM với các mục tiêu hiệu suất tương tự. Sau đó, bạn có thể sử dụng
cùng một chính sách tên miền, nhưng sửa đổi nó một chút về miền EWLM thứ hai.
Ngồi ra, nó là hữu ích để xuất khẩu một bản sao của chính sách miền cho một hệ
thống sao lưu dự phòng cho mục đích khắc phục thảm họa. Đảm bảo rằng các thư
mục mà bạn xuất khẩu các chính sách để có các thiết lập bảo mật thích hợp để bảo vệ
các dữ liệu được chứa trong các chính sách miền.
 Chỉnh sửa: Bạn có thể chỉnh sửa các chính sách tên miền được lưu trữ trên
quản lý tên miền EWLM Control Center là giao tiếp với. Ngồi ra, bạn có thể
chỉnh sửa các chính sách tên miền được triển khai vào miền EWLM. Sau đó, sau
khi bạn hồn thành việc chỉnh sửa chính sách tên miền được triển khai, các
chính sách tên miền sẽ tự động triển khai một lần nữa. Tuy nhiên, các chính sách
dịch vụ sẽ khơng được kích hoạt lại.
 Triển khai: Khi bạn muốn thực hiện một chính sách miền hiện có tên miền
EWLM, bạn cần phải triển khai nó. Khi bạn triển khai một chính sách tên miền,
bạn có thể chọn để kích hoạt một chính sách dịch vụ ngay lập tức hay khơng.
Nếu một chính sách dịch vụ được kích hoạt, EWLM sẽ bắt đầu thu thập dữ liệu
hiệu suất đó là cụ thể các chính sách dịch vụ được kích hoạt. Để triển khai một
chính sách tên miền, EWLM phải được bắt đầu vào quản lý tên miền. Để làm

việc cụ thể với chính sách dịch vụ chính sách miền, bạn có thể thực hiện các
nhiệm vụ Quản lý> chính sách dịch vụ sau đây:
 Kích hoạt: Bạn có thể kích hoạt một chính sách dịch vụ. Các chính sách
dịch vụ được liệt kê cụ thể các chính sách tên miền được triển khai. Để kích hoạt
một chính sách dịch vụ, EWLM phải được bắt đầu vào quản lý tên miền. Để tìm
hiểu thêm về cách triển khai một chính sách miền hoặc làm thế nào để tạo ra
hoặc chỉnh sửa một chính sách tên miền, kiểm soát EWLM Trung tâm trợ giúp
trực tuyến. Để xem sự giúp đỡ nhiệm vụ chính sách miền, nhấp vào Làm thế nào
để tơi> Làm việc với> chính sách miền từ Trung tâm Kiểm sốt EWLM giúp.
Tạo một chính sách miền
Q trình để tạo ra một chính sách tên miền là giống nhau cho mỗi người
sử dụng có một tập hợp cốt lõi của các thành phần của một chính sách miền. Tuy
nhiên, làm thế nào bạn xác định mỗi thành phần phụ thuộc vào môi trường kinh
doanh cụ thể của bạn.
Các bảng sau đây phác thảo giúp bạn đánh giá nhu cầu của môi trường
kinh doanh của bạn theo dõi khối lượng công việc. Sử dụng câu trả lời của bạn
117


để tạo ra một chính sách tên miền đó là dựa trên mơi trường CNTT của bạn và
đó là mục tiêu hiệu suất. Những bảng này được dự định để giúp bạn tạo ra một
chính sách tên miền.
6.1.3 Các cấp độ áp dụng Group Policy (Site, Domain, OU, Local)
6.1.3.1 Khái niệm
Thí dụ: Người quản trị mạng muốn quản lý người dùng một số thơng tin
sau:
 Các chương trình giành cho người sử dụng dùng.
 Các chương trình xuất hiện trên màn hình nền của người dùng.
 Hay đưa ra một số hạn chế buộc người dùng phải tuân theo.
Việc cài đặt các thành phần để kiểm soát các việc trên gọi là cài đặt các

Policy.
Group Policy là một nhóm các Policy chứ khơng phải là nhóm Policy. Các
Group Policy được chứa trong GPO (Group Policy Object)
Thí dụ: GPO Default Domain Policy liên kết với Domain.
Các GPO này liên kết với Site, Domain, OU để áp dụng tới các người dùng
trên Site, Domain, OU đó.
6.1.3.2 Một số vấn đề an tồn mạng thông qua Group Policy
 Phát hành (Publish), phân phát (Assign) các phần mềm tới người
dùng, tới máy tính.
 Cài đặt các Scripts: Logon, Logoff: Startup, Shutdown Scripts.
 Định nghĩa mật khẩu, khóa tài khoản (LockOut) và các vấn đề kiểm
tốn các hiện tượng (Audit) trên Domain.
 Chuẩn hóa vấn đề an toàn mạng cho các máy (Registry).
 Cài đặt các quy định bắt buộc đối với Internet Explorer.
 Định nghĩa những hạn chế bắt buộc đối với màn hình làm việc của
người dùng..
 Định lại một số thư mục về vị trí trên mạng (Document and setting
folder).
 Định hình và chuẩn hóa một số khả năng mới Offline folder, Disk
quorta.
 Quản lý các Group Policy.
118


6.1.3.3 Thời gian và cách thức áp dụng Policy
Các Policy liên quan tới người dùng sẽ được áp dụng tới khi người dùng
đăng nhập. Các Policy liên quan tới máy tính sẽ được áp dụng khi máy khởi
động hệ điều hành. Chỉ có người dùng, máy tính là có Policy áp dụng tới
Security Group khơng có Policy. Người ta chỉ dùng Security Group để thanh lọc
bớt các Policy áp dụng tới người dùng, máy tính. Thứ tự áp dụng: các Policy áp

dụng tới tất cả người dùng trên máy Local Site sau đó tới Domain, OU và OU
trong OU.
6.1.3.4 Đặc điểm của các Policy
Các Policy áp dụng sau sẽ áp dụng đè lên áp dụng trước.
Thí dụ: mức độ Domain một Policy buộc người dùng phải đăng nhập
mạng rồi mới Shutdown. mức độ OU một Policy cho ph p Shutdown trước
khi đăng nhập. Mang tính kế thừa và tích lũy.
Thí dụ:

mức độ Domain cài đặt các Policy

 Password Restrition hạn chế Password.
 Account LockOut khóa Account tới một số trường hợp.
 Chuẩn hóa an tồn mạng.


mức độ OU cài đặt các Policy

 Phát hành ứng dụng.
 Hạn chế màn hình nền của người dùng
Vậy người dùng trong OU được hưởng Policy ở cả hai mức. Cho ph p
ngăn chận sự thừa kế thực thi các Policy từ phía trên (Block Inheritance). Bắt
buộc cấp dưới chấp hành các Policy (No Override). Các chu kỳ áp dụng của
Policy: chu kỳ áp dụng Policy tới người dùng là 90 giây, chu kỳ làm tươi trên
Domain Controll là 5 giây.
6.1.3.5 Điểm trọng tâm trong Group Policy SNAP- IN
Có hai điểm chính (Node) trong Group Policy trong SNAP- IN:
 User Configuration.
 Computer Configuration.
Trong từng điểm đều có ba điểm phụ giống nhau

 Software Setting.
 Windows Setting.
 Administrative Template
119


Tuy nhiên có sự khác nhau giữa hai điểm chính trên
 Các Policy trong User Configuration sẽ áp dụng cho các cài đặt cho
User.
 Và các Policy trong Computer Configuration sẽ áp dụng tới máy
tính.
6.1.3.6 Khởi tạo các Policy
a. Kiểu đặt Policy Software Setting
Trong Software Setting có điểm phụ. Software Installation cho ph p cài
đặt Software tới User dưới hai điểm: Publishing và Assigning.
 Publishing: phát hành phần mềm tạo sẵn cho người dùng tùy chọn
có cài đặt về máy mình hay khơng, bằng cơng cụ Add/Remove
Program trên Control Panel.
 Assigning: cấp phát phần mềm tới người dùng. Khi người dùng
đăng nhập mạng, mạng tự động cài đặt một số thông tin vừa đủ về
phần mềm và tạo lối tắt trên trình đơn bắt đầu. Khi người dùng mở
ứng dụng chương trình sẽ tiếp tục cài đặt đầy đủ.
b. Cài đặt Policy Software Setting
* Dịch vụ Windows Installer
Windows Installer
Windows Installer là một thành phần của Windows 2000 Server giúp đơn
giản hóa và quản lý việc cài đặt các ứng dụng vào máy. Những khả năng của
Microsoft Windows Installer:
- Trả lại trạng thái lúc khởi động cài đặt khi quá trình cài đặt ứng dụng bị
thất bại.

- Ngăn chận sự tranh chấp tài nguyên của các ứng dụng được cài đặt. Thí
dụ một ứng dụng khi cài đặt cập nhật tệp tin *.dll tới phần *.dll của một ứng
dụng khác đang sử dụng, hay khi gỡ bỏ một ứng dụng có sử dụng chung *.dll
với các ứng dụng khác.
- Là một dịch vụ đáng tin cậy trong việc gỡ bỏ các ứng dụng ra khỏi hệ
thống. Nó gỡ bỏ tất cả các tệp tin liên quan tới ứng dụng, ngoại trừ các tệp tin
dùng chung với các ứng dụng khác.
- Chẩn đoán, sửa chữa những ứng dụng bị hư hỏng.
- Khả năng cài đặt theo yêu cầu (On- Demand Installation).
120


- Khi cài đặt một ứng dụng, Windows Installer chỉ cài đặt một số chức
năng thường dùng vào máy. Các chức năng khác chỉ có tên chứ khơng chứa nội
dung. Khi người dùng cần đến những chức năng đó, Windows Installer sẽ cài
đặt thêm.
- Khả năng tự động cài đặt không cần thao tác của người dùng.
Windows Installer bao gồm các phần:
- Install Service: là dịch vụ kiểm soát quá trình cài đặt
- Trình Installer msiexec.exe sử dụng msi.dll để đọc tệp tin gói *.msi,
*.mst và các lệnh liên quan đến việc cài đặt.
- Tệp tin gói *.msi chứa một cơ sở dữ liệu tương đối kưu các lệnh và dữ
liệu cần thiết cho việc cài đặt.
- Một ứng dụng đáp ứng được yêu cầu của Windows Installer là ứng dụng
có tạo tệp tin *.msi. Thí dụ: Microsoft Office 2000.
Đối với một số phần mềm khơng có tệp tin *.msi thì dùng các trình sau để
tạo tệp tin *.msi cho phần mềm đó:
- VERITAS Software Console.
- WININSTALL Discovery.
Các bước cài đặt Policy trong Software Setting

Thí dụ cài đặt Microsoft Offiice 2000 tới các trạm.
- Cài đặt Microsoft Office 2000/Node Adimin tới phần Share của mạng:
C:\Setup/A D:\data1.msi.
- Tạo GPO để thực hiện cài đặt phần mềm.
- Gán tệp tin *.msi của phần mềm vào GPO.
c. Phát hành một ứng dụng b ng cách khởi tạo tệp tin *.zap
Tệp tin mẫu
[application]

FriendlyName
= "WinZip Version 8.0"

SetupCommand =
\\sunlight\softwares\winzip8\winzip8.exe

DisplayVersion
= 8.0

[ext]

Zip =
d. Windows Setting
 Scripts
Có bốn loại Scripts trong Policy.
121


Đối với máy tính: có Startup và Shutdown Scripts.
Đối với người dùng: có Logon và Logoff Scripts.
Ngồi ra có thể tạo riêng Login Scripts trên trang đặc tính của tài khoản
người dùng. Scripts này được gọi là Legacy Logon Scripts.
Đối với Client Windows 2000 nên sử dụng các Scripts của Froup Policy.
Đối với Windows 95/98 không thể sử dụng Group Policy nên vẫn dùng
Legacy Logon Scripts.
So sánh Group Policy Scripts với Legacy Logon Scripts.
Group Policy Scripts có thể chạy theo kiểu Asynchnous và trong Hidden.
Hệ thống không cần đợi chấm dứt chương trình Scripts mới thực hiện chương
trình khác.
Group Policy cũng có thêm chức năng Synchronous và Visible để tương
hợp với Legacy Logon Scripts.

Ngôn ngữ Scripting:
o DOS/NT/Win2K shell commands
o Windows script host (WSH) Web:
msdn.microsoft.com/scripting/winodwshost
o Kixtart
o XLNT
o Perl Web (
)
o VB Script
o J Script
o Even python
Cấp phát các tệp tin Scripts
Các tệp tin Scripts và các tệp tin khác liên quan đến Scripts được đặt ở thư
mục C:\WinNT\SYSVOL\Sysvol\domain name\script.
Client Pre Windows 2000 sẽ tuy xuất tệp tin Scripts qua thư mục Share có
tên Net Logon.
Client Windows 2000 qua phần Share SYSVOL.
 Folder Redirection
Folder Redirection định vị trí lưu thơng tin của một số thư mục thơng dụng
trên Windows. Thay vì phải tổ chức lại máy tính cục bộ, các thư mục đó được
định lại ở thư mục trên mạng.
122


Có bốn thư mục được định vị lại:
o Application Data: cách tổ chức Internet Explorer.
o Desktop.
o My Documents.
o Start Menu.
Folder Redirection giúp người dùng dễ dàng lấy số liệu mà khơng lệ thuộc

vào máy tính. Tổ chức định hình màn hình làm việc cho người dùng theo một
chuẩn dễ dàng quản lý.
 Security Setting
Khi cài đặt, Windows 2000 Server tạo sẵn một số cài đặt mặc định vừa đủ
để bảo đảm an tồn cho hệ mạng, giảm bớt cơng tác quản trị của người quản trị
mạng. Nếucàng tăng khả năng an tồn thì khá thuận tiện cho người dùng càng bị
hạn chế.
Security Templates:
o Security Setting Template được cài đặt cùng với Windows 2000
Server là những mơ hình mẫu về Security Setting.
o Những mơ hình mẫu này được viết dưới dạng tệp tin *.inf và được
lưu ở thư mục C:\WinNT\Security\templates.
o Bạn có thể cập nhật các mơ hình này vào Group Policy tùy theo cấp
độ an toàn mà chọn tệp tin *.inf.
o Basic Workstation.
o Basic Server.
o highly Secure.
o ...
Cách cập nhật (Import):
o

Mở
Group
Policy,
chọn
Computer
configuration\Windows
setting\Security setting. Nháy phải chuột lên Security setting, chọn
Import. Chọn tệp tin tương ứng để Import.


o

Thí dụ: Security setting có khả năng buộc người dùng phải
 Nhập mật khẩu tối thiểu 8 ký tự trở lên.
 Không cho người dùng cài đặt thêm ứng dụng.
 Không thay đổi được chế độ màn hình.
123


Các chức năng trong Security Setting
Account Policies

o

Mật khẩu Policies bao gồm các option sau:
 Enforce Password History: số mật khẩu cần thay đổi, khi muốn sử
dụng lại mật khẩu.
 Maximum Password Age: thời gian tối thiểu mật khẩu được sử dụng
trước khi người dùng được ph p thay đổi.
 Password Must Meet The Complexity Requiment of Install Program
Filter: bắt buộc tạo độ phức tạp của mật khẩu (như kết hợp giữa số
với ký tự) và lọc các ký tự được ph p.
 Store Password Using Rever Sible Enryption: Client Windows
95/98 cần xác nhận đăng nhập với mật khẩu hóa cấp thấp.
 User Must Logon to Change Password: ngăn chận người dùng có tài
khoản hết hiệu lực thay đổi mật khẩu để sử dụng, hoặc kẻ lạ mặt
thay đổi mật khẩu trên cửa sổ Windows.
 Account Lockout Policy.
 Account Lockout threshold: số lần thử Login trước khi tài khoản bị
khóa.

 Reset Account Lockout Counter After: thời gian đợi để xóa bỏ các
lần thử sai.

o

 Account Lockout Duration: thời gian tài khoản bị khóa, sau thời
gian này, người dùng có thể thử Login trở lại.
Local Policies
 Audit, Policy: cho ph p ghi nhận lại các sự kiện Login vào mạng
(thử thành công, thử sai hoặc cả hai).
 User Right Assignment: cấp quyền cho người dùng hay nhóm Login
vào mạng.
 Security Option: cho ph p tạo độ an tồn cho máy tính.
 Cho ph p truy xuất đĩa mềm, CD.
 Install Drive.

o Event log: định các lựa chọn đề nghị nhận sự cố trên máy.
o Restricted group: bắt buộc kiểm soát thành viên của một số nhóm, chẳng hạn
nhóm Administrator.
124


o System Service: cho ph p chuẩn hóa các dịch vụ trên mạng , bảo vệ không
cho thay đổi các dịch vụ.
o Registry: khởi tạo các Permission về Registry key để kiểm soát việc thay đổi
các key và truy xuất các phần của Registry.
o File System: khởi tạo Security cho sự cấp ph p truy nhập tệp tin và thư mục.
o Public Key Policies: quản lý việc cài đặt và tổ chức Public Key
Infrastructure.
e. Administrative Template

Chứa các thông tin về key của bảng Registry
Tương tự System Policy ở Windows 95/98/NT dùng để thay đổi dáng vẻ
môi trường làm việc của người dùng vào cấu hình máy. User Configuration
được lưu vào HKEY_CURRENT_USER. Computer Configuration được lưu
vào
HKEY_LOCAL_MACHINE.
Tuy nhiên, với Administrative Template dễ thao tác hơn so với trình regedit.exe.


Windows Components
o Tháo gỡ tùy chỉnh thư mục trên thực đơn công cụ trên bảng điều
khiển (Control Panel), không cho ph p người dùng có thể thay đổi
thơng số để xem tệp tin ẩn hay một số thông số của Active Desktop,
Webview offline file, ....
o Ngăn cản không cho người dùng nối, truy nhập tới máy khác cũng
như đóng sự kết nối mà người quản trị cài đặt.
o Hạn chế không cho đọc nội dung ổ đĩa đã chọn từ My Computer.
o Chuyển tất cả các các Profile của người dùng ra khỏi thực đơn
chương trình.
o Vơ hiệu hóa các chương trình trên thực đơn xác lập, chẳng hạn như
Control Panel, Printer, Network Dial- Up Connection.
o Bỏ thực đơn chạy từ thực đơn bắt đầu.
o Ngăn cản không cho người dùng mở hộp thoại Taskbar & Start
menu.
Nói chung, mọi vấn đề liên quan tới thực đơn bắt đầu đều có thể kiểm sốt được.
 Control Panel
o Ngăn cản người dùng cài đặt thêm chương trình.
o Thay đổi chế độ màn hình.
125



o Đặt mật khẩu chế độ bảo vệ màn hình.
o Một số lệnh liên quan đến máy in: không cho thêm/gỡ bỏ máy in, ....
 System
o Quản lý các Group Policy.
o Chỉ cho ph p sử dụng một số chương trình được chỉ định.
o Khơng cho ph p sử dụng một số chương trình khơng được chỉ định.
f. Sàng lọc đối tƣợng áp dụng Policy
Cho ph p chọn người dùng, nhóm áp dụng hay khơng áp dụng Policy. Các
bước thực hiện áp dụng Policy liên kết với Domain hoặc OU:
 Khởi động Active Directory User and Computers.
 Nháy phải chuột lên tên Domain hay tên OU.
 Chọn Properties.
 Chọn Group Policy.
 Chọn Group policy Object Link muốn áp dụng.
 Chọn Properties.
 Tùy chọn người dùng, nhóm có áp dụng Policy hay không.
g. Quản lý các Policy
Bao gồm các Option sau:
 Group Policy Refresh Intervals for User/Computer/Domain
Controller. Định thời gian để các Policy được làm tươi ở nền trong
khi người dùng hay máy tính đang làm việc.
 Disable background Refresh: chỉ cho ph p làm tươi các Policy khi
máy khởi động hay người dùng Login, để tránh quá tải trên mạng.
 Apply Group Policy for User/Computer Synchronously During
Startup: cho ph p cập nhật các Group Policy trong khi người dùng
đang Login và các Policy đang sửa chữa.
 Allows Processing Across a Slow Network Connection: Cập nhật
Group Policy qua mạng điện thoại.
 Do not Apply During Periodie Background Peocessing: không cho

cập nhật Group Policy dưới nền trong khi máy đang dùng để tránh
xung đột làm treo máy.
126


 Process Event if The Group Policy Object Haver Not Change: vẫn
làm tươi các Group Policy ngay cả những lúc chúng khơng có thay
đổi.
 User Group Policy Loopback Processing Mode: Bình thường
Computer Policy được áp dụng trước khi máy khởi động, sau đó là
User Policy. Nếu gặp tranh chấp thì ưu tiên cho User Policy và
người dùng nhận được User Policy mà bất chấp máy tính đang sử
dụng. cũng có những trường hợp cần ưu tiên để thực hiện Computer
Policy hơn là User Policy. Các kiểu ưu tiên:
o Merge Mode: xử lý User Policy trước rồi tới Computer Policy.
o Replace Mode: chỉ xử lý Computer Policy, bỏ qua User Policy.
h. Vai trò của System Policy Editor
Trên hệ thống Windows 2000 Server, Group Policy đã thay thế phần lớn
các công việc của System Policy. Tuy nhiên, System Policy Editor vẫn được sử
dụng trong một số trường hợp sau:
 Quản lý các máy chạy Windows 95/98/NT4
 Quản lý các máy chạy Windows 2000 Server ở chế độ Stand- Alone
(thông qua Local Group Policy).
Thơng qua System Policy Editor, bạn có thể chỉ định cấu hình cho:


Default User: đặt thơng số mặc định cho người dùng đăng nhập mạng
Windows NT.




User: đặt thơng số có một người dùng định trước.



Group: đặt thông số cho một nhóm.



Default Computer: đặt thơng số cho máy chạy Windows NT4/2000.
Computer: cho ph p tạo System Policy cho máy.
Group Policy Objects and Active Directory

GPOs are stored within Active Directory on all domain controllers in the
\systemroot \Sysvol
folder by default. Within each root folder, there is a policy file called
Gpt.ini that contains
information about the group policy.
When GPOs are created within Active Directory there is a specific order of
inheritance (meaning how the polices are applied within the hierarchical
127


structure of Active Directory). When a user logs on to an Active Directory
domain, depending on where GPOs have been applied within the hierarchical
structure of Active Directory, the order of application is as follows:
1. Local computer policy
2. Site (group of domains)
3. Domain
4. OU

6.1.4 Các thành phần của Group Policy (Users, Computers)
Thành phần chính của GPO:
Computer Configuration: Chứa các thiêt lập áp dụng cho máy tính
(khơng quan tâm đến user logon) User Configuration: Chứa các thiết lập áp
dụng cho tài khoản người dung sau khi đăng nhập.

Hình 6.2. Computer Configuration

Các điều khoản của GPO:
Local Computer policy: Tồn tại trên các máy tính trong môi trường
Domain cũng như môi trường Workgroup, những thiết lập trên Local Computer
Policy chỉ có hiệu lực trên 1 máy tính. Để cấu hình Local Computer Policy bạn
vào Run gõ GPEDIT.MSC

Hình 6.3. Local Computer policy

128


Group Policy Object: Chứa thiết lập của các chính sách ở cấp độ domain
và mặc định được thừa hưởng bởi các máy tính là thành viên của Domain, trong
mơi trường Domain bạn có thể tạo GPO trên Site, trên Domain, trên OU và trên
các OU con bằng cách:
Vào Run gõ DSSITE.MSC để cấu hình và tạo GPO trên Site
Run gõ DSA.MSC để cấu hình và tạo GPO trên Domain GPO được sử lý theo
thứ tự Local ==> Site ==>Domain ==> OU ==> OU con, đây cũng chính là
cấu trúc thừa kế trong mơi trường Domain, điều này có nghĩa là mặc định
Domain sẽ thừa kế chính sách từ Site, OU thừa kế chính sách từ Domain và OU
con sẽ thừa kế chính sách của OU chứa nó.


Để ngăn chặn sự thừa kế này các bạn click chuột phải vào nơi không muốn
thừa kế chọn Block Inheritance

129


Kết quả:

Nhưng khi có sự xung đột chính sách giữa các cấp độ (Site, Domain, OU,
OU con) thì đối tượng chịu ảnh hưởng (Computers, Users) sẽ ưu tiên chính sách
ở gần nó nhất, điều này có nghĩa là chính sách trên OU con được ưu tiên hơn
chính sách trên OU chứa nó, chính sách trên OU được ưu tiên hơn chính sách
trên Domain, chính sách trên Domain được ưu tiên hơn trên Site. Hay nói cách
khác chính sách ở cấp độ gần đối tượng hơn được nghi đè lên chính sách ở cấp
độ xa đối tượng hơn khi có xung đột.
Vi du:
Trên chính sách Default Domain Policy cấu hình hiện tab Desktop trong
Display Setting. Trên chính sách User phịng kế tốn cấu hình ẩn tab Desktop
trong Display Setting. Kết quả users phịng kê tốn sẽ bị ẩn tab Desktop.

130


Đê ngăn cản sự nghi đè của chính sách ở cấp độ thấp lên chính sách ở cấp
độ cao hơn các bạn click chuot phải vào chính sách khơng muốn bị nghi đè rồi
chọn Enforced

Điều này có nghĩa rằng nếu chính sách cấp độ trên được chọn Enforced thì
tất cả các đối tương (Computers, Users) thuộc cấp độ dưới bắt buộc phải chịu
ảnh hướng.

Vi dụ:
Trên chính sách Technet.com.vn chọn Enforced và cấu hình hiện tab
Desktop trong Display Setting. Trên chính sách User phịng kế tốn cấu hình
ẩn tab Desktop trong Display Setting

Kết quả User phịng kê tốn khi login vẫn hiện tab Desktop
Câu hỏi đặt ra: Nếu chính sách ở cấp độ trên chọn Enforced, chính sách ở
cấp độ dưới chọn Block Inheritance thì chuyện gì sẽ xẩy ra.
131


Câu trả lời: Cấp độ ở dưới chịu thừa kế chính sách ở cấp độ trên
(Enforced được ưu tien hơn Block Inheritance), và khi có xung đột chính sách
xẩy ra những thiết lâp trên chính sách được Enforced sẽ ưu tiên hơn.

6.2. Triển khai Group Policy
Mục tiêu
- Nắm được các công cụ triển khai GPO, các thành phần của GPO.
- Nắm được các bước triển khai Group Policy.
Group Policy hướng dẫn từng bước cho ta cách làm thế nào để kiểm soát
được vấn đề cài đặt và sử dụng thiết bị trên các máy tính mà ta đang quản lý.
6.2.1 Các công cụ triển khai GPO: Default GP Tools, Gpedit.msc, GP
Management (Gpmc.msi)
Group Policy là cơng cụ hữu ích đặc trưng của Windows, cho ph p người
quản trị mạng:
 Triển khai phần mềm cho một hoặc nhiều máy một cách tự động:
MS Office, Foxit, Firefox...
 Quy định quyền cho một số người dùng
 Giới hạn các ứng dụng chạy: IE, Calculator...
 Thiết lập kịch bản (script) khi log on, log off, shutdown, restart...

 Cấu hình My Documents, Desktop cho người dùng.
 ...
a. Các điều khoản của GPO:
 Local Computer Policy: những thiết lập trên Local Computer
Policy chỉ có hiệu lực trên 1 máy tính. Để cấu hình Local Computer
Policy bạn vào Run gõ GPEDIT.MSC
132


o Group Policy Object: Chứa thiết lập của các chính sách ở cấp độ
domain và mặc định được thừa hưởng bởi các máy tính là thành viên
của Domain, trong mơi trường Domain bạn có thể tạo GPO trên
Site, trên Domain, trên OU và trên các OU con bằng cách:
o Run gõ DSSITE.MSC để cấu hình và tạo GPO trên Site.
o Run gõ DSA.MSC để cấu hình và tạo GPO trên Domain.
b. Triển khai GPO
Sử dụng công cụ Group Policy Management Console (GPMC).
GPMC là một công cụ hỗ trợ nhằm giảm bớt thao tác cũng như thời gian
của người admin cho việc quản lý, triển khai GPO trong môi trường Domain.
Trong cấu trúc OU phân cấp, GPMC giúp người admin dễ dàng quản lý GPO
trên các OU, và admin nhìn thấy được ngay những thiết lập đã được cấu hình
trên các chính sách đó. Mặc định cơng cụ GPMC khơng có sẵn trên
windows2003.
Có thể GPMC download tại
/>Sau khi cài đặt xong, để sử dụng GPMC thực hiện như sau:
Start - > Programs - > Administrative Tools - > Group Policy Management hoặc
Start - > Run, gõ gpmc.msc

Hình 6.4. Group Policy Management


133


Bước 1: Để tạo GPO, chọn Group Policy Objects, click phải chọn New

Chọn Edit

134


Thành phần chính của GPO:
- Computer Configuration: Chứa các chính sách áp dụng cho máy tính
(khơng quan tâm đến user logon)
- User Configuration: Chứa các chính sách áp dụng cho tài khoản người
dùng sau khi đăng nhập.

Bước 2: Chọn OU, click phải chọn Link an Existing GPO…

135


Start - > Run, gõ gpupdate /force
Bước 3: Trên máy client, log on vào sẽ bị Mất Recycle Bin
6.2.2 Các bƣớc triển khai Group Policy
Start - > Run, gõ gpmc.msc

136


137