Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
Chương 7
GIỚI THIỆU VỀ GROUP POLICY
Trong phần này gồm có:
+ Tạo và tổ chức các đối tượng trong Active Directory
+ Tạo, soạn thảo và quản lý Group Policy
I. TẠO VÀ TỔ CHỨC CÁC ĐỐI TƯỢNG TRONG GROUP POLICY
1. Giới thiệu về Group Policy
Group Policy có các chức năng sau:
+ Thiết lập tập trung và phân quyền các chính sách
+ Đảm bảo môi trường làm việc cho người dùng
+ Điều khiển người dùng và máy tính
+ Áp dụng các chính sách bắt buộc
Giáo viên biên soạn: Võ Khôi Thọ Trang 1 of 35
Thiết lập các chính sách trong Group Policy
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
2. Các loại thiết lập trong Group Policy
Các thiết lập Ý nghĩa
Administrative Templates Thiết lập các chính sách đăng ký cơ bản
Security
Thiết lập các chính sách bảo mật mạng: cục bộ,
domain
Software Installation
Các sự thiết lập quản lý tập trung và cài đặt phần
mềm
Scripts Các script cho shutdown, logoff, restart, startup
Folder redirection
Chứa các thiết lập cho việc lưu trữ các thư mục
trên một server mạng
3. Các đối tượng chính sách nhóm - GPOs
4. Các đối tượng chính sách nhóm và các Containner Active Directory

+ Thiết lập GPOs có hiệu lực với đối tượng người dùng và máy tính
trong các Containner đến các GPOs mà nó được liên kết.
+ Mặc định GPOs không liên kết đến các Containner Active Directory.
Giáo viên biên soạn: Võ Khôi Thọ Trang 2 of 35
Domain
OU
OU
OU
Site GPO
Domain
GPO
OU GPO
OU GPO
site
Các Containner trong Active Directory
Chứa đựng các thiết lập cho Group Policy
Nội dung được lưu trong hai vị trí
Group Policy Object
Group Policy Containner
Được định vị trong Active Directory.
Cung cấp thông tin về phiên bản được sử
dụng trong Domain Controller.
Group Policy Templates
Được định vị trong thư mục chia sẻ
Sysvol của Domain Controller.
Cung cấp các thiết lập chính sách nhóm
cho máy tính chạy windows 2003.
Các đối tượng trong chính sách nhóm
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
5. Tái tạo cơ sở dữ liệu Active Directory

Để tái tạo cơ sở dữ liệu Active Directory ( NTDS) của SERVER, ta làm như
sau:
a. Vào Start – Programs – Administrative – Active Directory Site And
Services.
Giáo viên biên soạn: Võ Khôi Thọ Trang 3 of 35
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
b. tiếp theo nhấp chọn Sites – Default – First – Site – Name – Servers
– Server – NTDS Setting, sau đó nhấp phải chuột vào d19cb5fb-
905f-4c50-8a42-ce1bfc24cc22-Properties.
Active Directort Sites and Services là Microsoft Management Console – MMC
mà ta có thể sử dụng để quản trị và tái tạo lại thư mục dữ liệu.
Giáo viên biên soạn: Võ Khôi Thọ Trang 4 of 35
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
c. Tại mục Transport chọn IP, tiếp theo nhấp Apply để áp dụng, nhấp OK
để đóng hộp thoại.
d. Nhấp phải chuột vào d19cb5fb-905f-4c50-8a42-ce1bfc24cc22 chọn
Replecate now .
chú ý:
Tên d19cb5fb-905f-4c50-8a42-ce1bfc24cc22 quá dài và khó nhớ, vì thế ta có
thể đổi tên này thành tên dễ nhớ hơn
6. Mô hình cấu trúc của OU
Giải thích ý nghĩa:
Yêu cầu:
+ Giả sử công ty có 3 phòng trong đó có một văn phòng trung tâm và hai
phòng làm việc.
+ Để việc quản trị mạng và chia sẻ cũng như tìm kiếm dữ liệu trong công ty dễ
dàng chúng ta sét mô hình OU như trên hình minh họa
+ Thiết kế một domain giả sử là hcmc.vn
Giáo viên biên soạn: Võ Khôi Thọ Trang 5 of 35
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy

+ Giả sử công ty có hai phòng là : phòng kế toán và phòng kinh doanh
+ Tại hai mức này ta tạo Organization Units – Ous tương đương với phòng kế
toán và phòng kinh doanh.
+ Tại mỗi phòng sẽ có các bộ phận kế toán (Ac), nhân sự (Hr), và quảng cáo
(Ad).
+ Vì tại mỗi bộ phận thuộc OU cấp dưới còn nhiều Client nữa nên ta vẫn thiết
kế chúng ở mức OU.
7. Cách tạo OU
7.1. Tạo OU bằng giao diện đồ họa
1. Vào Start – Programs – Administrative Tool – Active Directory Users and
Computers
Giáo viên biên soạn: Võ Khôi Thọ Trang 6 of 35
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
+ Active Directory Users and Computers có chức năng quản lý người dùng và
máy tính, cũng như mọi thiết lập liên quan đến Active Directory.
2. Nhấp phải chuột vào Domain hcm.vn – New – Organization Unit (OU)
Giáo viên biên soạn: Võ Khôi Thọ Trang 7 of 35
Active Directory Users and Computers
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
+ Mỗi OU là một đối tượng nằm trong Domain. Trong OU có thể chứa OU,
người dùng (User), máy tính (Computer), và các nhóm (Group).
+ OU là đơn vị nhỏ nhất được liên kết đến các đối tượng chính sách nhóm
(Group Policy Objects).
+ Trong màn hình New Object nhập tên OU vào khung Name như trên hình
và nhấp OK. OU Phong ke toan đã được tạo.
+ Thực hiện tương tự để tạo OU Phong kinh doanh
+ Sau khi tạo được 2 OU cùng cấp, ta được kết quả như trong hình.

Giáo viên biên soạn: Võ Khôi Thọ Trang 8 of 35
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy

+ Trong mỗi Phong ke toan và Phong kinh doanh lại có các bộ phận do vậy
mỗi bộ phận này ta cũng có thể quản lý bằng các OU và cách tạo các OU
này cũng tương tự như đã tạo các OU trước đó chỉ khác là thay vì nhấp
phải chuột vào tên Domain thì nhấp phải chuột vào tên OU.
7.2. Tạo OU bằng dòng lệnh
Cú pháp:
Dsadd ou “<OrgUnitDN>” – desc “<Description>”
Giải thích:
 OrgUnitDN: Tên của OU
 Description: Mô tả của OU.
7.3. Tạo OU bằng VBScript
Mở Notepad và nhập đoạn mã sau:
‘---------Đoạn mã sau sử dụng để cấu hình ------
StrOrgUnit= “<OUName>” ‘ ví dụ như: Business
strOrgUnitParent=”<ParentDN>” ‘ ví dụ: OU=Business, dc= hcmc.vn, dc=com
StrOrgUnitDescr=” <Description>” ‘ ví dụ : Business Conf.
‘--------- Kết thúc đoạn mã cấu hình----------
Set objdomain = GetObject(“ LDAP://” & strOrgUnitParent)
Set objOU=objdomain.Create(“organizationalUnit”, “OU=” & strOrgUnit)
objOU.PUT “description”, strOrgUnitDescr.
objOU.Setinfo
Wscript. ECHO “ Successfully created “ & objOU.Name
Sau đó lưu với tên CreateOU.vbs
8. PHƯƠNG PHÁP XÓA OU
8.1. Xóa OU bằng giao diện dòng lệnh
Cú pháp: dsrm” <orgUnitDN>” – subtree
Giải thích :
Giáo viên biên soạn: Võ Khôi Thọ Trang 9 of 35
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
 OrgUnitDN : Tên OU muốn xóa

 Subtree: Xóa tất cả các cây nằm trong OU OrgUnitDN
8.2. Xóa OU bằng VBScript
Trong màn hình soạn thảo Notepad nhập đoạn mã sau:
‘ Đây là đoạn mã dùng để xóa OU và tất cả các cây con nằm trong nó
Set objOU=Getobject(“ LDAP://<OrgUnitDN>”)
ObjOU.DeleteObject(0)
Lưu với tên DeleteOU.vbs khi muốn xóa OU ta chỉ cần nhập một số thông tin
nhỏ vào file này và chạy nó là xong
II. PHƯƠNG PHÁP THỐNG KÊ OU TRONG DOMAIN
1. Sử dụng giao diện dòng lệnh
+ Cú pháp: dsquery ou Domainroot
+ Giải thích: Domainroot là tên domain gốc
2. Sử dụng VBScript
Trong màn hình soạn thảo Notepad nhập đoạn mã sau:
‘ Đây là đoạn mã hiển thị tất cả các Containers và Ous
‘ Với DomainDN là tên của Domain muốn thống kê
DisplayObjects”LDAP: //<DomainDN>”,””
‘DisplayObjects lấy AdsPath của đối tượng hiển thị đối tượng con sử dụng
khi in ra trong tham số đầu tiên.
Function DisplayObjects(strADsPath, strSpace)
Set objObject= GetObject(strADsPath)
Wscript.Echo strSpace & strADsPath
objObject.Filter=Array(“container”, “organizationalUnit”)
for each objchildObject in objObject
displayObjects objchildObject.AdsPath, strSpace & “ “.
Next
Giáo viên biên soạn: Võ Khôi Thọ Trang 10 of 35
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
End Function.
Lưu đoạn mã trên với tên EnumerateDomain.vbs. Khi muốn thống kê các

Ous trong Domain chỉ cần chạy file này.
III. PHƯƠNG PHÁP THỐNG KÊ CÁC ĐỐI TƯỢNG TRONG OU
1. Sử dụng giao diện dòng lệnh
+ Cú pháp: dsquery * “<OrgUnitDN>” –limit 0 –scope onelevel
Giải thích:
OrgUnitDN: Tên OU muốn thống kê
-limit 0: Tham số cho biết tất cả các đối tượng trong OU sẽ được hiển thị,
nếu limit không được chỉ định thì hệ thống sẽ hiển thị số 100 làm giá trị
mặc định.
-scope onelevel: Chỉ cho tất cả các đối tượng con trong OU được hiển thị.
2. Sử dụng VBScript
Nhập đoạn mã sau vào notepad:
Function DisplayObjects( strADsPath, strSpace)
Set objObject= GetObject(strADsPath)
Wscript.Echo strSpace & strADsPath
For each objChildObject.AdsPath, strSpace & “ “
Next
End Function
Lưu với tên EnumerateOU.vbs. Khi muốn thống kê các đối tượng trong OU,
ta chỉ việc thay đổi một số thông tin và chạy là xong.
3. Thiết lập ủy quyền điều khiển
Giả sử ta thiết lập cho OU Business quyền users
+ Vào Start – Programs – Administrative Tool – Active Directory
Users and Computers.
Giáo viên biên soạn: Võ Khôi Thọ Trang 11 of 35
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
+ Nhấp phải chuột lên OU Business chọn Delegate Control
Giáo viên biên soạn: Võ Khôi Thọ Trang 12 of 35
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
+ Delegate Control là công cụ cho phép Administrator thiết lập các chính

sách ủy quyền cho người dùng, nhóm người dùng và máy tính.
+ Trong hộp thoại Delegate Control nhấp Next 2 lần xuất hiện màn hình
Delegation of Control wizard
+ Nhấp nút Add để chọn Users hay Groups muốn ủy quyền
Giáo viên biên soạn: Võ Khôi Thọ Trang 13 of 35
Giáo trình Quản trị mạng Windows Server 2003 Chương 7 - Giới thiệu về Group Policy
+ Trong hộp thoại Select Users, Computers, Groups chọn Users và nhấp OK 2
lần để trở lại màn hình Delegation of Control wizard
+ Nhấp Next làm xuất hiện màn hình Tasks To Delegate và trong màn hình
Tasks To Delegate đánh dấu chọn vào m:ục Delegate the Following
common tasks .
Giáo viên biên soạn: Võ Khôi Thọ Trang 14 of 35