Bài 6:
Triển khai hạ tầng chính sách nhóm (GP)
Nội dung bài học trước
Kết nối máy trạm vào Domain
Quản trị tài khoản máy tính
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
2
Mục tiêu bài học
Tổng quan về Group Policy
Phạm vi cấu hình của các đối tượng Group Policy
Đánh giá ứng dụng của các đối tượng Group Policy
Quản lý các đối tượng Group Policy
Uỷ quyền quản trị Group Policy
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
3
Group Policy là gì?
Sử dụng Group Policy để:
• Áp đặt các cấu hình chuẩn
• Triển khai cài đặt phần mềm
Group Policy cho phép người quản trị để tự động hóa quản lý một tới nhiều người
dùng và máy tính khác nhau.
Group Policy cho phép người quản trị để tự động hóa quản lý một tới nhiều người
dùng và máy tính khác nhau.
• Triển khai cài đặt phần mềm
• Thực thi các thiết lập bảo mật
• Thực thi 1 môi trường máy tính để bàn phù hợp
Local Group Policy luôn luôn có hiệu lực cho các thiệt lập tới người dùng, máy tính
là domain nội bộ.
Local Group Policy luôn luôn có hiệu lực cho các thiệt lập tới người dùng, máy tính
là domain nội bộ.
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)

4
Các thiết lập Group Policy
• Software
• Windows
• Security
• Desktop
Group Policy
settings for
users control
these settings:
Các thiết lập GP
cho việc kiểm
soát người dùng:
Các thiết lập GP
cho việc kiểm
soát máy tính:
• Software
• Windows
• Security
• Operating systems
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
5
Group Policy được áp dụng như thế nào?
Máy tính khởi động
• Áp đặt các thiết lập cho
máy tính
• Chạy các kịch bản
khởi động
Chu kỳ Refresh: mỗi 90 phútChu kỳ Refresh: mỗi 90 phút
Người dùng đăng nhập

• Áp đặt các thiết lập cho
người dùng
• Chạy các kịch bản
đăng nhập
Chu kỳ Refresh: mỗi 90 phútChu kỳ Refresh: mỗi 90 phút
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
6
Các ngoại lệ khi xử lý Group Policy
• Windows XP and Windows Vista sử dụng lưu thông
tin bộ đệm để đăng nhập nhanh hơn.
• Nhiều thiết lập GPO tạo 2 lần đăng nhập để có hiệu
lực.
• Theo mặc định là 500 kilobits mỗi giây(kbps)
• Các phần mở rộng từ máy trạm không được xử lý.
• Trước Windows Vista, ICMP được sử dụng để phát
hiện một liên kết chậm.
• Windows Vista sử dụng Network Location
Awareness.
Các liên kết chậm
Thêm vào đó:
• Windows XP and Windows Vista sử dụng lưu thông
tin bộ đệm để đăng nhập nhanh hơn.
• Nhiều thiết lập GPO tạo 2 lần đăng nhập để có hiệu
lực.
Lưu thông tin
bộ đêm
• Các kết nối truy cập từ xa.
• Chuyển 1 đối tượng người dung hoặc máy tính trong AD DS
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
7

Các thành phần của Group Policy
Group Policy ObjectGroup Policy Object
• Lưu trữ trong AD DS
• Cung cấp thông tin phiên bản
Group Policy ContainerGroup Policy Container
• Lưu trữ trong thư mục chia sẻ SYSVOL
• Cung cấp các thiệt lập GP
• Hỗ trợ cả các mẫu ADM và
ADMX
Group Policy TemplateGroup Policy Template
• Chứa các thiết lập GP
• Lưu trữ thông tin ở 2 địa điểm:
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
8
Các files ADM và ADMX là gì?
File ADM là:
• Được sao chép vào mỗi GPO trong SYSVOL
• Khó để tùy chỉnh
File ADMX là:
• Ngôn ngữ trung lập
• Không được lưu trữ trong GPO
• Mở rộng thông quá XML
• Ngôn ngữ trung lập
• Không được lưu trữ trong GPO
• Mở rộng thông quá XML
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
9
Lưu trữ tập trung là gì?
Lưu trữ tập trung:
• Là 1 kho lưu trữ trung tâm cho các file ADM và ADMX

• Được lưu trong thư mục SYSVOL
• Phải được tạo thủ công
• Được phát hiện tự động bởi Windows Vista
hoặc Windows Server 2008
Windows Vista
hoặc máy trạm
Windows Server 2008
Windows Vista
hoặc máy trạm
Windows Server 2008
ADMX filesADMX files
Domain controller
with SYSVOL
Domain controller
with SYSVOL
Domain controller
with SYSVOL
Domain controller
with SYSVOL
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
10
Thứ tự xử lý Group Policy
Site
GPO2GPO2
GPO3GPO3
GPO1GPO1
Local groupLocal group
Domain
OU
OU

OU
OU
OU
GPO3GPO3
GPO4GPO4
GPO5GPO5
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
11
Multiple Local Group Policy Objects
là gì?
•Một lớp của các cấu hình máy tính được áp đặt cho tất cả
người dùng
•Các lớp chỉ áp dụng cho người dùng, không cho các nhóm
• Đây là 3 lớp cấu hình của User Configurations :
• Administrator
• Non-Administrator
• User-specific
• Đây là 3 lớp cấu hình của User Configurations :
• Administrator
• Non-Administrator
• User-specific
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
12
Các tùy chọn cho quá trình chỉnh sửa
Group Policy
5 phương pháp để chỉnh sửa GPO mặc định:
• Chặn quyền thừa kế
• Thực thi
• Thực thi
• Lọc bằng cách sử dụng các nhóm bảo mật hoặc các bộ lọc WMI

• Vô hiệu hóa các GPO
• Xử lý vòng lặp
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
13
Xử lý các công việc vòng lặp như thế
nào?
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
14
Báo cáo Group Policy là gì?
•Kêt quả Group Policy được cung cấp bởi GPMC
• GPResult là 1 tiện ích sử dụng dòng lệnh
Báo cáo Group Policy là một phương pháp lập kế hoạch và khắc phục sự cố cho
Group Policy
Báo cáo Group Policy là một phương pháp lập kế hoạch và khắc phục sự cố cho
Group Policy
• GPResult là 1 tiện ích sử dụng dòng lệnh
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
15
Mô hình Group Policy là gì?
Mô phỏng về Group Policy Modeling Wizard:
• Site membership
• Security group membership
• Các bộ lọc WMI
• Các liên kết chậm
• Xử lý vòng lặp
• Các ảnh hưởng của việc di chuyển người dùng hoặc máy tính
tới 1 Active Directory khác.
Group Policy Modeling Wizard tính toán việc mô phỏng các ảnh hưởng
tới GPO.
• Site membership

• Security group membership
• Các bộ lọc WMI
• Các liên kết chậm
• Xử lý vòng lặp
• Các ảnh hưởng của việc di chuyển người dùng hoặc máy tính
tới 1 Active Directory khác.
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
16
Quản lý các nhiệm vụ của GPO
Quản lý các nhiệm vụ của GPO:
• Sao lưu các GPO
• Khôi phục các GPO
• Sao chép các GPO
• Nhập các GPO có sẵn
• Sao lưu các GPO
• Khôi phục các GPO
• Sao chép các GPO
• Nhập các GPO có sẵn
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
17
Starter GPO là gì?
Lưu trữ các mẫu thiết lập quản trị GPO mới sẽ được đưa
ra
Có thể xuất ra các file .cab
Có thể được nhập từ các khu vực khác của doanh nghiệp
Xuất ra file .CABXuất ra file .CAB
starterGPOstarterGPO
.cab file.cab file
Nhập từ GPMCNhập từ GPMC
Load

cabinet file
Load
cabinet file
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
18
Tiện ích ADMX Migrator:
Di chuyển Group Policy Objects
• Có thể sử dụng để chuyển đổi file ADM sang file ADMX
• Có thể tải về từ trang download tiện ích của Microsoft
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
19
Các tùy chọn cho việc ủy quyền quản
trị GPO
Methods to delegate
control of GPOs
Tạo GPO
trong
domain
Sửa hoặc
xóa GPOs
Kết nối các
GPO vào các
container
Sử dụng các
công cụ báo
cáo
Thành viên trong nhóm Group
Policy Creator Owner hoặc
được phép để tạo các GPO
Thành viên trong nhóm Group

Policy Creator Owner hoặc
được gán quyền Sửa trong 1
chính sách cụ thể
Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
20
Thành viên trong nhóm Group
Policy Creator Owner hoặc
được gán quyền Sửa trong 1
chính sách cụ thể
Thành viên trong nhóm Group
Policy Creator Owner hoặc
được ủy quyền Kết nối GPO
vào containers
Thành viên trong nhóm Group
Policy Creator Owner hoặc
được ủy quyền sử dụng các
công cụ báo cáo Group Policy
Tổng kết bài học
Các khái niệm về Group Policy, các thành phần và cách
áp dụng GP
Triển khai phạm vi của GPO
Mô hình và báo cáo Group Policy
Quản lý các đối tượng Group Policy
Các tùy chọn ủy quyền quản trị đối tượng Group Policy
Các khái niệm về Group Policy, các thành phần và cách
áp dụng GP
Triển khai phạm vi của GPO
Mô hình và báo cáo Group Policy
Quản lý các đối tượng Group Policy
Các tùy chọn ủy quyền quản trị đối tượng Group Policy

Bài 6 - Triển khai hạ tầng chính sách nhóm (GP)
21