Bài 7:
Quản trị người dùng thông qua
chính sách nhóm
Bài 7:
Quản trị người dùng thông qua
chính sách nhóm
Nội dung bài học trước
Các khái niệm về Group Policy, các thành phần và cách
áp dụng GP
Triển khai phạm vi của GPO
Mô hình và báo cáo Group Policy
Quản lý các đối tượng Group Policy
Các tùy chọn ủy quyền quản trị đối tượng Group Policy
Các khái niệm về Group Policy, các thành phần và cách
áp dụng GP
Triển khai phạm vi của GPO
Mô hình và báo cáo Group Policy
Quản lý các đối tượng Group Policy
Các tùy chọn ủy quyền quản trị đối tượng Group Policy
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
2
Mục tiêu bài học
Cấu hình các thiết lập Group Policy
Cấu hình Scripts và Folder Redirection với Group Policy
Cấu hình Administrative Templates
Triển khai cài đặt phần mềm bằng Group Policy
Cấu hình Group Policy Preferences
Giới thiệu về Group Policy Troubleshooting
Khắc phục sự cố về ứng dụng trong Group Policy
Khắc phục sự cố về thiết lập trong Group Policy
Cấu hình các thiết lập Group Policy

Cấu hình Scripts và Folder Redirection với Group Policy
Cấu hình Administrative Templates
Triển khai cài đặt phần mềm bằng Group Policy
Cấu hình Group Policy Preferences
Giới thiệu về Group Policy Troubleshooting
Khắc phục sự cố về ứng dụng trong Group Policy
Khắc phục sự cố về thiết lập trong Group Policy
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
3
Tùy chọn cho việc cấu hình các
thiết lập Group Policy
Enable / DisableEnable / Disable Multi-valued settingsMulti-valued settings
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
4
Group Policy Scripts là gì?
Bạn có thể sử dụng Scripts để thực hiện nhiều nhiệm vụ, ví dụ như xóa các Page file
MAP ổ đĩa, làm sạch các thư mục TEMP cho người dùng, v/v
Bạn có thể sử dụng Scripts để thực hiện nhiều nhiệm vụ, ví dụ như xóa các Page file
MAP ổ đĩa, làm sạch các thư mục TEMP cho người dùng, v/v
Các thiết lập Group Policy Scripts được
sử dụng:
Các thiết lập Group Policy Scripts được
sử dụng:
• Cho máy tính
 Startup scripts
 Shutdown scripts
• Cho người dùng
 Logon scripts
 Logoff scripts
Bài 7 - Quản trị người dùng thông qua chính sách nhóm

5
Folder Redirection là gì?
Folder redirection cho phép thưc mục
được đặt trên máy chủ, nhưng sẽ xuất
hiện như là 1 ổ đĩa cục bộ trên máy trạm
của mỗi người dùng.
Folder redirection cho phép thưc mục
được đặt trên máy chủ, nhưng sẽ xuất
hiện như là 1 ổ đĩa cục bộ trên máy trạm
của mỗi người dùng.
Các thư mục có thể chuyển hướng (Folder redirection):
• My Documents (Documents in Windows® Vista)
• Application Data (AppData in Windows Vista)
• Desktop
• Start Menu
• My Documents (Documents in Windows® Vista)
• Application Data (AppData in Windows Vista)
• Desktop
• Start Menu
Các thư mục phụ có thể chuyển hướng
trong Windows Vista:
• Contacts
• Downloads
• Favorites
• Searches
• Links
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
6
Folder Redirection
Accounting

Users
Accounts
N-Z
Accounts
A-M
• Sử dụng Folder Redirection cơ bản khi
tất cả người dùng lưu file của họ tới
1 vị trí
• Với Folder Redirection nâng cao,
các thư mục trên máy chủ được dựa
trên các thành viên trong nhóm
Accounts
N-Z
Accounting
Managers
Anne
Misty
• Chọn vị trí thư mục đích:
• Chuyển hướng tới thư mục home
của người dùng
• Tạo 1 thư mục cho mỗi người dùng
theo Root Path ( đường dẫn gốc)
• Chuyển hướng tới UserProfile
cục bộ
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
7
Thiết lập bảo mật cho
Redirected Folders
Full control - subfolders and files only
Administrator

Security group of
users that
put data on share
Local System
Creator/Owner
• None
• List Folder/Read Data, Create Folders/Append Data - This Folder
Only
• Full control
NTFS permissions for root folder
Share permissions for root folder
Full control - subfolders and files only
Creator/Owner
Security group of
users that
put data on share
• Full control
%Username%
• Full control, owner of folder
• None
• Full Control
NTFS permissions for each users’ redirected folder
Administrators
Local system
Full control - subfolders and files only
Creator/Owner
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
8
Administrative Templates là gì?
Administrative Templates

cho máy tính:
• Windows components
• System
• Network
• Printers
Administrative Templates cho
người dùng:
• Windows components
• Start menu and taskbar
• Desktop
• Control panel
• Shared folders
• Network
• System
• Applications
Administrative Templates cho phép bạn kiểm soát cả môi trường của hệ điều hành
và người dùng
Administrative Templates cho phép bạn kiểm soát cả môi trường của hệ điều hành
và người dùng
• Windows components
• System
• Network
• Printers
• Windows components
• Start menu and taskbar
• Desktop
• Control panel
• Shared folders
• Network
• System

• Applications
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
9
Chỉnh sửa Administrative Templates
ADMX files:
• Có khả năng mở rộng
• Có thể chỉnh sửa bằng nhiều trình soạn thảo
Các file ADMX mới có thể được thêm vào thư mục Policy Definitions hoặc
Central Store
Các file ADMX mới có thể được thêm vào thư mục Policy Definitions hoặc
Central Store
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
10
Chuẩn bị
11
Tùy chọn cho triển khai và quản lý
phần mềm sử dụng Group Policy
Triển khai
1.0
22
Duy trì
2.0
33
Gỡ bỏ
44
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
11
Software Distribution làm việc như thế
nào?
Windows Installer

Windows Installer service
Tự động hoàn toàn khi cài đặt
và cấu hình phần mềm
Sửa đổi hay sửa chữa một cài
đặt ứng dụng đã tồn tại
Windows Installer service
Tự động hoàn toàn khi cài đặt
và cấu hình phần mềm
Sửa đổi hay sửa chữa một cài
đặt ứng dụng đã tồn tại
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứng
dụng
Một file .MSI hay bất kìa 1 file theo nguồn
bên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứng
dụng
Một file .MSI hay bất kìa 1 file theo nguồn
bên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Windows Installer service
Tự động hoàn toàn khi cài đặt
và cấu hình phần mềm
Sửa đổi hay sửa chữa một cài
đặt ứng dụng đã tồn tại
Windows Installer service

Tự động hoàn toàn khi cài đặt
và cấu hình phần mềm
Sửa đổi hay sửa chữa một cài
đặt ứng dụng đã tồn tại
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứng
dụng
Một file .MSI hay bất kìa 1 file theo nguồn
bên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Windows Installer package contains
Thông tin về việc cài đặt hay gỡ bỏ 1 ứng
dụng
Một file .MSI hay bất kìa 1 file theo nguồn
bên ngoài
Tóm tắt thông tin về ứng dụng
Tham khảo thời 1 điểm cài đặt
Lợi ích khi
sử dụng
Windows
Installer
Tùy chỉnh khi
cài đặt
Khả năng phục hồi
các ứng dụng
Gỡ bỏ hoàn toàn
Tùy chỉnh khi
cài đặt
Khả năng phục hồi

các ứng dụng
Gỡ bỏ hoàn toàn
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
12
Điểm phân bố phần
mềm
Điểm phân bố phần
mềm
Tùy chọn cho việc cài đặt phần mềm
Gán phần mềm trong khi
cấu hình máy tính
Gán phần mềm trong khi
cấu hình máy tính
Điểm phân bố phần
mềm
Điểm phân bố phần
mềm
Áp dụng phần mềm sử dụng
document activation
Áp dụng phần mềm sử dụng
document activation
?
Áp dụng phần mềm bằng
cách dùng chức năng
Add or Remove
Programs
Áp dụng phần mềm bằng
cách dùng chức năng
Add or Remove
Programs

Gán phần mềm trong khi
cấu hình người dùng
Gán phần mềm trong khi
cấu hình người dùng
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
13
Tùy chọn cho chỉnh sửa Software
Distribution
Các tùy chọn:
Phần mềm có thể được phân loại trong Add Programs

Phần mềm triển khai có thể được tùy chỉnh bằng cách sử dụng
file MST

Phần mở rộng có thể được liên kết với các ứng dụng cụ thể

Công bố các gói:
Ấn định các gói:
Advertised trong Active Directory có sẵn cho người dùng để cài đặt bằng Add or
Remove Programs trong Control Panel

Ứng dụng được cài đặt tự động và sẽ được tự động cài đặt lại nếu bị gỡ bỏ

Bài 7 - Quản trị người dùng thông qua chính sách nhóm
14
Duy trì phần mềm đã được cài đặt bằng
Group Policy
Bắt buộc nâng cấp
Người dùng chỉ có
thể sử dụng

phiên bản đã
nâng cấp
Người dùng có
thể quyết định
việc nâng cấp.
2.0
1.0
2.0
Triển khai nâng cấp
phiên bản mới của
ứng dụng
Triển khai nâng cấp
phiên bản mới của
ứng dụng
Tùy chọn nâng cấp
Người dùng có
thể quyết định
việc nâng cấp.
Chọn lựa để nâng câp
Bạn có thể chọn
các người dùng
đặc biết cho 1 lần
nâng cấp
2.0
1.0
2.0
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
15
Group Policy Preferences là gì?
Group Policy Preferences mở rộng phạm vi của cấu hình các

thiết lập bên trong một GPO
Không được thực thi

Cho phép quản trị viên cấu hình, triển khai, quản lý hệ điều
hành và cài ứng dụng mà không được có khả năng quản lý
bằng Group Policy
Cho phép quản trị viên cấu hình, triển khai, quản lý hệ điều
hành và cài ứng dụng mà không được có khả năng quản lý
bằng Group Policy

Bài 7 - Quản trị người dùng thông qua chính sách nhóm
16
Sự khác nhau giữa Group Policy
Settings và Preferences
Group Policy settings Group Policy preferences
Thực thi các thiết lập chính sách
bằng cách viết các thiết lập cho các
khu vực của registry mà người
dùng không thể sửa đổi
Được ghi vào vị trí bình thường trong
registry mà các ứng dụng hoặc tính
năng hệ điều hành sử dụng để lưu trữ
các thiết lập
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
17
Vô hiệu hóa giao diện người dùng
cho các thiết lập Group Policy được
quản lý
Không gây ra các ứng dụng hoặc hệ
điều hành để vô hiệu hóa giao diện

người dùng cho các thiết lập cấu hình
Làm mới thiết lập chính sách tại
một khoảng thời thường xuyên
Làm mới thiết lập chính sách cùng
khoảng thời gian như các thiết lập
Group Policy mặc định
Các tính năng của Group Policy
Preferences
Targeting Features
Common Tab
Được sử dụng để cấu hình các tùy chọn
bổ sung để điều khiển hoạt động của 1
Group Policy preference
Xác định để người dùng và máy tính
được áp dụng
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
18
Triển khai Group Policy Preferences
Windows Server 2008 đã bao gồm Group Policy preferences.
Mặc định như 1 phần của GPMC

Windows Server 2008 đã bao gồm Group Policy preferences.
Mặc định như 1 phần của GPMC
Group Policy preferences Client side extension (CSE) phải được triển khai tới
bất kỳ các máy trạm nào bạn muốn ưu tiên triển khai

Bài 7 - Quản trị người dùng thông qua chính sách nhóm
19
Các kịch bản cho Group Policy
Troubleshooting

Các kịch bản yêu cầu khi khắc phục sự cố
Chính sách được áp dụng, nhưng các thiết lập không phù hợp

Không áp đặt các chính sách

Bài 7 - Quản trị người dùng thông qua chính sách nhóm
20
Chuẩn bị cho việc khắc phục sự cố
Group Policy
Các bước khắc phục sự cố đơn giản:
Đảm bảo rằng DNS đang hoạt động bằng cách sử dụng nslookup
Thực hiện các kiểm tra cơ bản để kiểm tra kết nối mạng: sử dụng các
công cụ như netdiag hoặc ping


Kiểm tra Event Viewer
Kiểm tra domain controller đang hoạt động và có thể truy cập: Sử dụng
lệnh dcdiag hoặc công cụ Kerbtray
Use Group Policy Results để biết rằng các chính sách đang được áp dụng



Bài 7 - Quản trị người dùng thông qua chính sách nhóm
21
Các công cụ để khắc phục sự cố
Group Policy
Một số công cụ để khắc phục sự cố Group
Policy:
 Group Policy reporting – RSoP
 GPResult

 Gpotool
• Gpupdate
• Dcgpofix
• GPOLogView
• Group Policy log files
• Group Policy Management Scripts
 Group Policy reporting – RSoP
 GPResult
 Gpotool
• Gpupdate
• Dcgpofix
• GPOLogView
• Group Policy log files
• Group Policy Management Scripts
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
22
Khắc phục sự cố thừa kế Group Policy
Production
Domain
GPOs
Ngăn chặn thừa kế chính sách
từ việc áp dụng toàn bộ subtrees OU
Sales
No GPO
settings apply
No GPO
settings apply
Ngăn chặn thừa kế chính sách
từ việc áp dụng toàn bộ subtrees OU
Bài 7 - Quản trị người dùng thông qua chính sách nhóm

23
Khắc phục sự cố khi lọc Group Policy
Production
Domain
GPO
WMI
filter
Lọc Group Policy có thể
chỉ ảnh hưởng đến một
số người dùng và máy
tính trong OU.
Sales
Mengph
Kimyo
Group
Apply
Group Policy
Apply
Group Policy
Deny
Read and
Apply
Group Policy
Read and
Apply
Group Policy
Allow
Lọc Group Policy có thể
chỉ ảnh hưởng đến một
số người dùng và máy

tính trong OU.
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
24
Khắc phục sự cố khi đồng bộ
Group Policy
• Group Policy objects bao gồm các mẫu Group Policy
và Group Policy containers
• Group Policy Templates (GPT) và GPOs được nhân rộng
và đồng bộ theo nhiều cơ chế khác nhau.
• Vấn đề đồng bộ có thế là nguyên nhân domain controllers
không có các phiên bản phù hợp với Group Policy
• Công cụ GPOTool có thể kiểm tra chính sách nhất quán
trên tất cả các domain controllers
GPTGPT
GPCGPC
• Group Policy objects bao gồm các mẫu Group Policy
và Group Policy containers
• Group Policy Templates (GPT) và GPOs được nhân rộng
và đồng bộ theo nhiều cơ chế khác nhau.
• Vấn đề đồng bộ có thế là nguyên nhân domain controllers
không có các phiên bản phù hợp với Group Policy
• Công cụ GPOTool có thể kiểm tra chính sách nhất quán
trên tất cả các domain controllers
DC1 DC2
GPO1
Version 3
GPO1
Version 2
AD DS Replication
File Replication Service

GPTGPT
GPCGPC
Bài 7 - Quản trị người dùng thông qua chính sách nhóm
25