Luận văn
XÂY DỤNG CHÍNH SÁCH HỆ
THỐNG VÀ CHÍNH SÁCH
NHÓM TRÊN MIỀN WINDOWS
SERVER 2008
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
LỜI MỞ ĐẦU
Cùng với sự phát triển của đất nước, hàng loạt công ty lớn nhỏ mọc lên với
số lượng máy vi tính, vậy để làm gì để những người quản lý có thể quản lý một số
lượng lớn người dùng lớn như vậy được, System Policy và Group Policy ra đời
giúp những người quản lý một số lượng lớn người dùng một cách dễ dàng, đảm
bảo được độ bảo mật của dữ liệu…
Chính sách hệ thống tạo cho việc kiểm soát người dùng trên máy khách đó
có một menu Start/Programs đặc biệt hoặc một màn hình Desktop đặc biệt; hạn chế
không cho người dùng ấy chạy một số chương trình nào đó hoặc thay đổi màn
hình Desktop; ấn định một số setting về nối mạng….
Một vài ứng dụng của Group Policy như:
Cài đặt software cho một loạt các user khi đăng nhập vào, cho cài đặt
software gì không cho cài gì….cài đặt software chia làm 3 loại: Publish, Assign va
Advanced.
Có thể cấm không cho một số user vào các mục Control Panel, My Network
Place, Recycle…bằng cách làm ẩn chúng hay có thể cấm truy cập vào các ổ đĩa C,
D… hoặc vào Internet Explorer…
Bảo mật dữ liệu, Group Policy có chính sách mật khẩu về mật khẩu và tài
khoản để tránh hacker đột nhập
Qua đó, chính sách hệ thống và chính sách nhóm có một vai trò quan trọng
trong công việc quản lý các user và dữ liệu, dưới đây sẽ trình bày rõ hơn về tác
dụng của System Policy và Group Policy.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 2

XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Nay đề tài đã hoàn tất, nhưng chắc chắc còn nhiều thiếu sót, sai phạm…
chưa được hoàn chỉnh, vậy em rất mong được sự đóng góp ý kiến của thầy và các
bạn để hoàn chỉnh đề tài và phát triển nó hơn.Em xin chân thành cám ơn.
MỤC LỤC
A. CHÍNH SÁCH HỆ THỐNG
Phần 1:Giới thiệu
I. Giới thiệu về chính sách hệ thống:
Chính sách hệ thống xuất hiện trên môi trường WORKGROUP lẫn
DOMAIN.
Trên môi trường WORKGROUP, chính sách hệ thống xuất hiện trong công vụ
Local Security Policy.
Trên môi trường Domain , chính sách hệ thống xuất hiện trên 2 công cụ:
• Domain Security Policy: giúp người quản trị thiết lập các chính sách
hệ thống có phạm vi tác động lên toàn miền
• Domain Controller Security Policy: giúp người quản trị thiết lập các
chính sách hệ thống có phạm tác động lên các máy Domain
Controller.
II. Mục tiêu :
• Tìm hiểu về các chính sách trong System policy gồm Domain Security
Policy và Domain Controller Security Policy.
• Biết cách áp dụng chính sách hệ thống để quản lý các máy trạm của người
dùng.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 3
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
III. Một số chính sách hệ thống
1. Chính sách tài khoản(Account policy)

Account policy được dùng để chỉ định các thông số về tài khoản người dùng
mà nó được sử dụng khi tiến trình logon xảy ra. Nó cho phép bạn cấu hình các
thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và chứng thục Kerberos
trong vùng. Trên Windows Server 2008 làm DC có ba thư mục Password Policy,
Account Lockout Policy và Kerberos Policy. Trong Windows Server 2008 cho
phép bạn quản lý chính sách tài khoản theo hai cấp độ là: cục bộ và miền. Muốn
cấu hình các chính sách tài khoản người dùng ta vàoStart > Administrative
Tools>Local Security Policy.
1.1. Chính sách mật khẩu (Password Policy)
Chính sách mật khẩu (Password Policy) nhằm đảm bảo an toàn cho mật
khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ
thống. Chính sách này cho phép bạn quy định chiều dài ngắn nhất của mật khẩu,
độ phức tạp….
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 4
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Các lựa chọn trong chính sách mật khẩu:
Chính sách Mô tả Mặc định Giá trị nhỏ
nhất
Giá trị lớn
nhất
Enforce password
history
Số lần đặt mật mã
không được trùng
nhau
24 0 24
Maximum
password age

Quy định số ngày
nhiếu nhất mà mật
mã ngươi dùng có
hiệu lực
Giữ mật mã
trong 42 ngày
Giữ mật mã
trong 1 ngày
Giữ mật mã
trong 999
ngày
Minimum
password age
Quy định số ngày
ít nhất mà ngươi
dùng có thể thay
đổi mật mã
1 ngày (người
dùng có thể
thay đổi ngay
lập tức)
0 999 ngày
Minimum
password length
Chiều dài ngắn
nhất của mật mã
7 0 14 kí tự
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 5
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM

TRÊN MIỀN WINDOWS SERVER 2008
Password must
meet complexity
requirements
properties
Cho phép bạn cài
bộ lọc mật mã
Cho phép Không cho
phép
Cho phép
Store password
using reversible
encryption
Mật mã người
dùng được lưu
dưới dạng mã hóa
Không cho
phép
Không cho
phép
Cho phép
1.2. Chính sách khóa tài khoản (Account Lockout Policy)
Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức
thời điểm khóa tài khoản trong vùng hay hệ thống cục bộ. Giúp hạn chế tấn công
thông qua hình thức logon từ xa
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 6
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Các thông số cấu hình chính sách khóa tài khoản

Chính sách Mô tả Giá trị mặc
định
Giá trị
min
Giá trị
max
Gợi ý
Account
lockout
threshold
Quy định số
lần đăng
nhập trước
khi tài khoản
bị khóa
0 0 Thử 999
lần
5 lần
Account
lockout
duration
Quy định
thời gian
khóa tài
khoản
Là 0 nhưng
nếu Account
lockout
threshold
được thiết lập

thì giá trị này
là 30 phút
Như
giá trị
mặc
định
99999
phút
5 phút
Reset
account
Quy định
thời gian
Là 0 nhưng
nếu Account
Như
giá trị
99999
phút
5 phút
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 7
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
lockout
counter
after
đếm lại số
lần đăng
nhập không

thành công
lockout
threshold
được thiết lập
thì giá trị này
là 5 phút
mặc
định
1.3. Chính sách Kerberos
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng
máy tính hoạt động trên những đường truyền không an toàn. Giao thức
Kerberos có khả năng chống lại việc nghe lén hay gửi lại những gói tin
cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu của giao thức này là
nhằm vào mô hình máy chủ máy khách và đảm bảo nhận thực cho cả hai
chiều.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 8
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
2. Chính sách cục bộ(Local Policies)
Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách
giám sát các đối tượng trên mạng như người dùng và tài nguyên chung.Đồng thời
bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo
mậtvới người dùng.
2.1. Chính sách kiểm toán(Audit Policies)
Chính sách kiểm toán(Audit Policies) giúp bạn có thể giám sát và ghi nhận
các sự kiện xảy ra trong hệ thống trên các đối tượng.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 9
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM

TRÊN MIỀN WINDOWS SERVER 2008
Các lựa chọn trong chính sách kiểm toán
Chính sách Mô tả
Audit account logon events Ghi nhận khi người dùng logon, logoff hay tạo một kết
nối mạng
Audit account managements Ghi nhận khi tài khoản người dùng hay nhóm được tạo
xóa hay các thao tác quản lí người dùng
Audit directory service
access
Ghi nhận việc truy cập các dịch vụ thư mục
Audit logon events Ghi nhận các sự kiện liên quan đến quá trình logon như
thi hành 1 logon script hay truy cập đến 1 roaming
profile
Audit object access Ghi nhận việc truy cập các tập tin, thư mục, máy in
Audit policy change Ghi nhận các thay đổi trong chính sách kiểm toán
Audit privilege use Hệ thống sẽ ghi nhận lại khi bạn thao tác quản trị trên
các quyền hệ thống như cấp hoặc xóa quyền của một ai
đó.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 10
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Audit process tracking Kiểm toán này theo dõi hoạt động của chương trình hay
hệ điều hành
Audit system events Hệ thống sẽ ghi nhận mỗi khi bạn khởi động lại máy
hay tắt máy
2.2. Quyền hệ thống của từng người(User right assignment)
Là quyền hệ thống cung cấp cho người dùng các quyền quản trị và sử dụng
hệ thống
Có 2 cách cấp quyền hệ thống cho người dùng

+ Add tài khoản người dùng vào các nhóm đã được tạo sẵn (built-in) để thừa
kế.
+ Hoặc dùng công cụ User Right Assigment để gán từng quyền rời rạc cho
người dùng.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 11
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Danh sách các quyền hệ thống cấp cho người dùng và nhóm
Muốn thêm hay bớt quyền hạn cho người dùng hoặc nhóm, bạn nhấp đôi
chuột vào quyền hạn được chọn, nó sẽ xuất hiện hộp thoại chứa danh sách người
dùng và nhóm hiện đang có quyền này. Nhấp chuột vào nút Add để them người
dùng, nhóm vào danh sách, hoặc remove để xóa người dùng khỏi danh sách.
Quyền Mô tả
Access this computer from the
network
Cho phép người dùng truy cập máy tính trên mạng.
Act as part of the operating
system
Cho phép các dịch vụ chứng thực ở mức thấp.
Add workstations to the
domain
Cho phép người dùng thêm 1 tài khoản máy tính
trong vùng
Adjust memory quotas for a
process
Chỉ định ai được phép điều chỉnh chỉ tiêu bộ nhớ
dành cho một quá trình xử lý. Chính sách làm tăng
hiệu suất của hệ thống
Allow log on locally Cho phép những người dùng và nhóm truy cập đến

máy tính cục bộ
Allow log on through Terminal
Services
Cho phép ai được phép sử dụng dịch vụ Terminal
để đăng nhập vào hệ thống
Back up files and directories Cho phép người dùng sao lưu dự phòng các tập tin
và thư mục bất chấp các tập tin và thư mục này
người đó có quyền hay không
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 12
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Bypass traverse checking Cho phép người dùng duyệt qua cấu trúc thư mục
nếu người dùng không có quyền xem(list) nội dung
thư mục này
Change the system time Cho phép người dùng thay đổi giờ hệ thống này
Create a pagefile Thiết lập user được phép tạo bộ nhớ ảo
Change the time zone Cho phép người dùng thay đổi múi giờ
Create a token object Cho phép một tiến trình tạo một thẻ bài nếu tiến
trình này dùng NTCreate Token API
Create permanent shared
objects
Cho phép một tiến trình tạo một đối tượng thư
mục thông qua Windows 2008 Object Manager
Debug programs Cho phép người dùng gắn một chương trình debug
vào bất kì tiến trình nào
Deny access to this computer
from the network
Cho phép bạn khóa người dùng hay nhóm không
được truy cập đến các máy tính trên mạng

Deny logon as a batch file Cho phép bạn ngăn cản những người dùng và
nhóm được phép logon như 1 batch file
Deny logon as a service Cho phép bạn ngăn cản những người dùng và
nhóm truy cập như một services
Deny log on locally Cấm User Logon cục bộ
Enable computer and user
account to be trusted by
deletgation
Cho phép người dùng hay nhóm được ủy quyền
cho người dùng hay một đối tượng máy tính
Force shutdown from a remote
system
Cho phép người dùng Shutdown hệ thống từ xa
thông qua mạng
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 13
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Generate security audits Cho phép người dùng, nhóm hay một tiến trình tạo
1 entry vào Security log
Increase scheduling priority Quy định một tiến trình có thể tang hay giảm độ ưu
tiên đã được gắn cho tiến trình khác
Load and upload device drivers Cho phép người dùng có thể cài đặt hay gỡ bỏ các
driver của các thiết bị
Lock pages in memory Khóa trang trong vùng nhớ
Log on as a batch job Cho phép một tiến trình logon vào hệ thống và thi
hành 1 tập tin chứa các lệnh hệ thống
Log on as a service Cho phép một dịch vụ logon và thi hành một dịch
vụ riêng
Log on locally Thiết lập User Logon cục bộ

Manage auditing and security
log
Cho phép người dùng quản lý security log
Modify firmware environment
values
Cho phép người dùng hay một tiến trình hiệu chỉnh
các biến môi trường hệ thống
Profile single process Cho phép người dùng giám sát các tiến trình bình
thường thông qua công cụ Performancer Logs and
Alerts
Profile system performance Cho phép người dùng giám sát các tiến trình hệ
thống thông qua công cụ Performance Logs and
Alerts
Remove computer from docking
station
Cho phép người dùng gỡ bỏ 1 Laptop thông qua
giao diện người dùng
Replace a process level token Cho phép một tiến trình thay thế một token mặc
định mà được tạo bởi một tiến trình con
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 14
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Restore files and directories Cho phép người dùng phục hồi tập tin và thư mục,
bất chấp người dùng này có quyền trên file và thư
mục này hay không
Shut down the system Cho phép người dùng shutdown máy cục bộ
windows 2008
Synchronize directory service
data

Cho phép người dùng đồng bộ dữ liệu với một dịch
vụ thư mục
Take ownership of files or others
objects
Cho phép người dùng tước quyền sở hữu của một
đối tượng hệ thống
2.3. Các lựa chọn bảo mật (Security Options)
Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server
định nghĩa các quyền và giao diện tương tác trên server giúp các người quản trị
thao tác trên Server dễ dàng và an toàn hơn.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 15
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Một số lựa chọn bảo mật trong Security Options:
Accounts: Administrator account status Trạng thái hoạt động của Administrator
Accounts: Guest account status Trạng thái hoạt động User Guset
Accounts: Limit local account use of
blank passwords to console logon only
Đăng nhập không cần password
Accounts: Rename administrator
account
Cho phép đổi tên tài khoản Administrator thành
tên mới
Accounts: Rename guest account Cho phép đổi tên tài khoản Guest thành tên mới
Audit: Audit the access of global system
objects
Kiểm toán các truy cập của các đối tượng hệ
thống toàn cục
Audit: Audit the use of Backup and

Restore privilege
Kiểm toán việc sử dụng sao lưu và phục hồi đặc
quyền
Audit: Force audit policy subcategory
settings (Windows Vista or later) to
override audit policy category settings
Kiểm toán chính sách con cài đặt (Windows Vista
hoặc mới hơn) để ghi đè lên các thiết lập kiểm
toán.
Audit: Shut down system immediately if
unable to log security audits
Kiểm toán: Shut down hệ thống ngay lập tức nếu
không thể đăng nhập kiểm toán bảo mật
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 16
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Devices: Allow undock without having to
log on
Cho phép undock mà không cần phải đăng nhập
vào
Devices: Allowed to format and eject
removable media
Được phép để định dạng và di chuyển
Devices: Prevent users from installing
printer drivers
Không cho phép cài Printer
Devices: Restrict CD-ROM access to
locally logged-on user only
Cấm truy cập từ xa tới CD-ROM

Devices: Restrict floppy access to locally
logged-on user only
Cấm truy cập từ xa tới FDD
Domain controller: Allow server
operators to schedule tasks
Cho phép nhóm Server Operator lập lịch tác vụ
trên Server
Domain controller: Refuse machine
account password changes
Tài khoản máy không được thay đổi mật khẩu
Domain member: Disable machine
account password changes
Vô hiệu hoá tài khoản máy thay đổi mật khẩu
Domain member: Maximum machine
account password age
Mật khẩu của tài khoản máy có số ngày tối đa
Domain member: Require strong session
key
Yêu cầu Khóa phải mạnh
Interactive logon: Do not display last
user name
Không hiển thị tên người dùng cuối cùng
Interactive logon: Do not require
CTRL+ALT+DEL
Không yêu cầu bấm 3 phím CTRL+ALT+DEL
khi logon
Interactive logon: Message text for users
attempting to log on and Message title for
users attempting to log on
tạo câu thông báo cho người dùng khi đăng nhập

vào máy tính và Nhập dòng tiêu đề
Interactive logon: Number of previous
logons to cache (in case domain controller
is not available)
Cache khi log on (=0)
Interactive logon: Prompt user to change
password before expiration
Nhắc nhở người dùng thay đổi mật khẩu trước
khi hết hạn
Interactive logon: Require Domain
Controller authentication to unlock
workstation
Yêu cầu chứng thực Domain Controller để mở
khóa máy trạm
Interactive logon: Require smart card Yêu cầu thẻ
Interactive logon: Smart card removal Loại bỏ thẻ
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 17
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
behavior
Microsoft network server: Disconnect
clients when logon hours expire
Ngắt kết nối khách •ien khi giờ đăng nhập hết
hạn
Recovery console: Allow automatic
administrative logon
Cho phép administrative tự động đăng nhập
Recovery console: Allow floppy copy and
access to all drives and folders

Cho phép copy đĩa mềm và truy cập vào tất cả
các ổ đĩa và thư mục
Shutdown: Allow system to be shut
down without having to log on
Cho phép người dùng shutdown hệ thống mà
không cần logon
System cryptography: Use FIPS
compliant algorithms for encryption,
hashing, and signing
Hệ thống mật mã: sử dụng FIPS tuân thủ các
thuật toán mã hóa
System objects: Strengthen default
permissions of internal system objects
(e.g. Symbolic Links)
Tăng cường cho phép mặc định của các đối tượng
hệ thống nội bộ (ví dụ như biểu tượng liên kết)
System settings: Optional subsystems Tùy chọn hệ thống con
Shut down: clear vitual memory pagefile Xóa bộ nhớ ảo khi shutdowm
Phần 2: Triển khai chính sách hệ thống
1. Các bước chuẩn bị:
Chuẩn bị một máy ảo Windows Server 2008 với các thông số sau:
 Ip Address: 192.168.1.1
 Subnet mask: 255.255.255.0
 DNS Address: 192.168.1.1
Chuẩn bị một máy ảo Win XP Professional với các thông số sau:
 Ip Address: 192.168.1.2
 Subnet mask: 255.255.255.0
 DNS: 192.168.1.1
 Hãy tiến hành nâng cấp máy Server là máy Server Stand- alone thành máy
Domain Controller quản lý miền THAO33.NET.

 Tiến hành gia nhập máy trạm Window XP vào miền THAO33.NET do máy
Domain Controller quản lý.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 18
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
 Hãy áp dụng chính sách hệ thống để chỉnh sửa các chính sách mật khẩu sau
(video chinh sach he thong):
 Định thời gian thay đổi mật khẩu của một tài khoản người dùng là 7 ngày
 Thời gian tối thiểu để một người dùng có thể thay đổi mật khẩu là 2 ngày.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 19
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
 Chiều dài tối thiểu của mật khẩu là 3 ký tự
 Mật khẩu không nằm trong chế độ phức tạp
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 20
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
 Mật khẩu được lưu trữ dưới dạng mã hóa
 Giữa 2 lần thay đổi mật khẩu có thể trùng nhau.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 21
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
 Định nghĩa lại các Policies:
 Nếu một tài khoản người dùng đăng nhập gõ sai mật khẩu quá 3 lần thì tài
khoản đó sẽ bị khóa lại trong 30phút.
Nhóm SV: Võ Trần Thạch Thảo

Nguyễn Thị Tâm Page 22
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
 Thời gian reset lại số lần đăng nhập sai mật khẩu là 5 phút.
 Vào mục Security Options hiệu chỉnh các chính sách sao cho:
 Cho phép người dùng shutdown hệ thống mà không cần logon
 Không yêu cầu bấm tổ hợp phím Ctr+Alt+Del khi logon hệ thống
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 23
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
 Không hiển thị tên người dùng logon trước đó.
Cho phép đổi tên tài khoản Administrator thành tên mới.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 24
XÂY DỰNG CHÍNH SÁCH HỆ THỐNG VÀ CHÍNH SÁCH NHÓM
TRÊN MIỀN WINDOWS SERVER 2008
Ví dụ: Với hệ thống mạng trên. Hãy cấp quyền cho người dùng theo yêu cầu
sau:
Chỉ có nhóm Adminstrator và NS1 có quyền gia nhập máy tính vào Domain.
Tài khoản KT1 có quyền sao lưu dữ liệu-backup data.
Tài khoản NS2 có quyền đăng nhập cục bộ Domain Controller và có quyền
tắt máy từ xa.
Nhóm SV: Võ Trần Thạch Thảo
Nguyễn Thị Tâm Page 25