Tải bản đầy đủ (.docx) (43 trang)

Sử dụng chính sách nhóm trong Windows XP và Windows 2003

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (636.54 KB, 43 trang )

Tìm hiểu chính sách nhóm
Contents
1
Tìm hiểu chính sách nhóm
DANH MỤC HÌNH VẼ
2
Tìm hiểu chính sách nhóm
LỜI NÓI ĐẦU
Bảo mật và an toàn thông tin trong thời đại ngày nay đóng một vai trò thiết yếu
đối với ngành công nghệ thông tin. Hầu như mọi ngành nghề lĩnh vực đều có thể áp
dụng công nghệ thông tin để nâng cao hiệu quả công việc, gọn gàng hơn trong việc
quản lý các tư liệu, nhẹ nhàng hơn trong việc xử lý các thủ tục đầu ra. Các tiện ích do
công nghệ đem lại là không thể phủ nhận và nó không thể tách rời khỏi cuộc sống hiện
tại của toàn thế giới. Tuy vậy, đi đôi với những lợi ích đó là những mối nguy hiểm đến
từ chính môi trường này – môi trường thông tin. Việc số hóa tất cả các tư liệu, tài liệu
có thể đem lạ sự nhẹ nhàng trong lưu trữ, tìm kiếm và xử lý nhưng nó cũng đi kèm với
nguy cơ bị đánh cắp qua mạng. Với một trình độ công nghệ có hạng, ta sẽ dề dàng lấy
được những tài liệu tại những nơi có độ bảo mật kém. Việc mất đi những tư liệu then
chốt như các hợp đồng, các bí mật trong làm ăn của một tổ chức sẽ đem đến những
hậu quả không ai lường được. Do đó cần thiết phải có những biện pháp để bảo vệ các
nguồn tài nguyên của một công ty hay một tổ chức.
Xuất phát từ điều đó, nhóm chúng tôi quyết định chọn đề tài này: “Sử dụng chính
sách nhóm trong Windows XP và Windows 2003”. Đề tài này chỉ nói lên một khía
cạnh nhỏ trong vấn đề bảo mật với phạm vi hữu hạn là mạng nội bộ trong một công ty
hay một tổ chức. Mạng nội bộ của một tổ chức có thể nói là một nút trong hệ thống
mạng toàn cầu, thực hiện bảo vệ thông tin theo tôi nghĩ phải đi từ mức thấp nhất trở đi.
Trong một mạng nội bộ, các tài nguyên là tài sản dùng chung và cần thiết phải có các
quy tắc bảo vệ những tài sản chung đó, tránh trường hợp vì những lý do bất cẩn hay cố
ý của người dùng mà bị thay đổi hay nguy hiểm hơn là xoá mất.
Sử dụng chính sách nhóm là một giải pháp bảo vệ sự an toàn của tài nguyên
mạng. Chúng ta có thể thực hiện phân quyền đối với người dùng, giới hạn tính năng


phần mềm, theo dõi và kiểm tra các hoạt động của người dùng trong mạng, …
Mặc dù đây chỉ là một phần nhỏ trong lĩnh vực bảo mật nhưng tôi cũng chưa thể sử
dụng hết các tính năng của chính sách nhóm. Những kiến thức thu được từ đề tài tìm
hiểu này phần lớn là những kiến thức cơ bản, có một số phần là nâng cao. Nếu có thể
được, ở những lần tìm hiểu sau tôi sẽ hoàn chỉnh các kỹ năng với chính sách nhóm.
3
Tìm hiểu chính sách nhóm
Chương I: KHÁI QUÁT CHUNG
1.1. Hệ điều hành Windows Server 2003
Windows Server 2003 là sản phẩm mới nhất trong các hệ điều hành Windows
Server và được cải tiến rất nhiều so với các phiên bản trước đó:
- Bảo mật tốt hơn
- Độ tin cậy cao hơn
- Dễ dàng quản trị
- Hệ điều hành này có 4 phiên bản:
- Web Edition
- Standard Edition
- Enterprise Edition
- Datacenter Edition
Trong đề tài này chúng ta sẽ sử dụng phiên bản Enterprise (doanh nghiệp)
Enterprise Edition Cấu hình tối thiểu Cấu hình đề nghị
Tốc độ CPU 133 MHz 733 MHz
RAM 128 MB 256 MB
Khoảng trống đĩa 1,5 GB Càng nhiều càng tốt
Phiên bản này có các tính năng:
- Các loại dịch vụ: Thư mục, Internet, cơ sở hạ tầng, định tuyến TCP/IP, File
và in ấn, đầu cuối, bảo mật, siêu thư mục Microsoft.
- Hỗ trợ: Chuỗi máy chủ, bộ nhớ RAM cắm nóng, quản trị tài nguyên hệ
thống của Windows.
4

Tìm hiểu chính sách nhóm
1.2. Nâng cấp thành máy chủ quản trị miền
- Từ cửa sổ RUN ta gõ vào DCPROMO
Hình 1. 1: Cửa sổ Run
- Trình cài đặt Active Directory xuất hiện, nhấn Next để tiếp tục
Hình 1. 2: Cửa sổ Active Directory
5
Tìm hiểu chính sách nhóm
- Màn hình phân tích độ tương thích giữa các phiên bản xuất hiện, nhấn Next
Hình 1. 3 : Màn hình tương thích giữa các phiên bản
- Chọn cài đặt máy chủ quản trị miền cho 1 miền mới, nhấn Next
Hình 1. 4 : Cài đặt máy chủ quản trị miền cho 1 miền mới
6
Tìm hiểu chính sách nhóm
- Chọn tạo một miền trong một rừng mới, nhấn Next
Hình 1. 5: Tạo một miền trong một rừng mới
- Nhập vào tên miền mà chúng ta muốn tạo, nhấn Next
Hình 1. 6: Nhập tên miền vừa tạo
- Màn hình tên miền NetBIOS xuất hiện, nhấn Next
7
Tìm hiểu chính sách nhóm
Hình 1. 7: Màn hình tên miền xuất hiện
- Màn hình cơ sở dữ liệu và thư mục nhật ký xuất hiện, nhấn Next
Hình 1. 8: Màn hình CSDL và thư mục nhật kí
- Chọn đường dẫn cho ổ đĩa hệ thống chia sẻ, nhấn Next
8
Tìm hiểu chính sách nhóm
Hình 1. 9: Màn hình chọn đường dẫn ổ đĩa
- Chọn cài đặt máy chủ DNS trên máy tính này, nhấn Next
Hình 1. 10: Chọn cài đặt DNS server

- Chọn chế độ cấp phép, ở đây là cho Windows 2000 và 2003, nhấn Next
9
Tìm hiểu chính sách nhóm
Hình 1. 11: Chọn chế độ cấp phép
- Cài đặt mật khẩu Administrator trong trường hợp phục hồi lại dịch vụ thư
mục, nhấn Next
Hình 1. 12: Cài đặt mật khẩu Admin
10
Tìm hiểu chính sách nhóm
- Màn hình tổng kết các lựa chọn cài đặt xuất hiện, nếu thấy không có gì phải
thay đổi chúng ta nhấn Next
Hình 1. 13: Màn hình tổng kết sự lựa chọn cài đặt
- Bắt đầu tiến trình cài đặt
Hình 1. 14: Bắt đầu cài đặt
- Sau khi cài đặt xong, kết thúc và khời động lại hệ điều hành
11
Tìm hiểu chính sách nhóm
Hình 1. 15: Kết thúc cài đặt
12
Tìm hiểu chính sách nhóm
1.3. Các khái niệm cơ bản về Active Directory
1.3.1. Phân biệt hai mô hình Workgroup và Domain
Mô hình Workgroup (nhóm làm việc) là một nhóm từ 10 máy tính trở lại, là hệ
thống mạng nội bộ đầu tiên, có khả năng chia sẻ tài nguyên như văn bản, máy in. Đối
với mô hình này, không có máy chủ trung tâm, mỗi máy tính đều là server đối với tài
nguyên của mình. Mô hình này chỉ thích hợp với các mạng rất nhỏ.
Mô hình Domain (miền) là mô hình mạng phỏ biến hiện nay trong các tổ chức,
doanh nghiệp. Trong mỗi một miền sẽ có một máy chủ quản trị miền lưu giữ tất cả
thông tin về mạng. Tất cả các máy tính trong mạng sẽ truy cập đến tài nguyên chung ở
máy chủ này.

1.3.2. Dịch vụ thư mục và Active Directory
Một dịch vụ thư mục (Directory service) là một nguồn tài nguyên số hoá chứa
một danh sách các tài nguyên có thể sử dụng trong một hệ thống mạng dữ liệu. Một
dịch vụ thư mục có thể chứa các thông tin về các máy tính trong mạng, các người dùng
mạng và cả các thiết bị phần cứng, phần mềm. Các tài nguyên này được lưu trữ tại một
thư mục trung tâm nên mọi người đều có thể sử dụng tại mọi thời điểm.
Active Directory (AD) là một dịch vụ thư mục, nhưng không chỉ giữ vai trò là
một cơ sở dữ liệu, nó chứa một danh sách các thành phần hỗ trợ bao gồm cả các
Transaction Logs (Nhật ký giao dịch) và dữ liệu hệ thống – Sysvol – nơi chứa các
thông tin về kịch bản đăng nhập và chính sách nhóm. Nó là một dịch vụ hỗ trợ và sử
dụng các cơ sở dữ liệu này bao gồm giao thức Lightweight Directory Access
Protocol (Giao thức truy cập thư mục hạng nhẹ), giao thức bảo mật Kerberos, các
chu trình đồng bộ dữ liệu và dịch vụ đồng bộ file. Cuối cùng, AD là một bộ sưu tập
các công cụ mà người quản trị mạng có thể sử dụng để quản lý dịch vụ thư mục.
1.3.3. Một số khái niệm liên quan đến Active Directory
Miền (Domain): Là một đơn vị quản trị cơ bản của dịch vụ thư mục trong
Windows Server 2003.
Cây (Tree): Là một cấu trúc logic được tạo bởi nhiều miền.
Rừng (Forest): Nhiều cây hợp lại.
Đối tượng: Thực chất là các bản ghi trong cơ sở dữ liệu Active Directory, mỗi
đối tượng là một phần tử thể hiện một tài nguyên mạng xác định. Có 2 loại đối tượng
là đối tượng chứa và đối tượng lá.
13
Tìm hiểu chính sách nhóm
Đối tượng chứa (Container): Là đối tượng mà bản thân nó có thể chứa các đối
tượng khác. Đó là các đơn vị tổ chức, nhóm.
Đối tượng lá (Leaf): Là các đối tượng không chứa được đối tượng khác. VD:
người dùng, máy tính.
Đơn vị tổ chức (Organizational Unit): Là một đối tượng chứa được sử dụng để
tạo ra các nhóm logic bao gồm các đối tượng như máy tính, người dùng và nhóm.

Máy tính (Computer): Thể hiện một máy tính trong mạng va cung cấp tài khoản
máy tính cần thiết cho hệ thống để đăng nhập vào miền.
Người dùng (User): Thể hiện một người dùng mạng và thực hiện chức năng là
dữ liệu để nhận dạng và xác thực.
Nhóm (Group): Thể hiện một nhóm logic người dùng, máy tính hoặc các nhóm
khác. Các nhóm có thể chứa các đối tượng từ OU và các miền.
Chính sách nhóm (Group Policy) : Là một tính năng của AD cho phép xác định
các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành và cách thức hoạt
động của các ứng dụng trên một máy tính mà không cần thiết phải thực hiện trực tiếp
trên máy tính đó.
14
Tìm hiểu chính sách nhóm
Chương II: CƠ BẢN VỀ CHÍNH SÁCH NHÓM
Ở chương trước, chúng ta đã nắm được những khái niệm cơ bản về Active
Directory, về miền và các đối tượng trong miền. Đó là tiền đề để chúng ta tìm hiểu các
chương sau. Ở chương này, chúng ta sẽ đi vào chủ đề chính – Chính sách nhóm.
Chương này bàn về các khái niệm cơ bản chứ chưa thao tác cụ thể với chính sách
nhóm, tuy vậy chương này rất quan trọng và nếu không nắm được chúng ta sẽ không
thể đi tiếp các chương sau. Các nội dung chính ở chương này là:
- Các khái niệm về chính sách nhóm.
- Một số VD về chính sách nhóm.
- Một số công cụ dễ gây nhầm lẫn với chính sách nhóm.
2.1. Một số khái niệm về chính sách nhóm
2.1.1. Chính sách nhóm là gì?
Ở chương 1 chúng tôi đã nói khái lược về chính sách nhóm, bây giờ chúng ta sẽ
nói rõ hơn.
Chính sách nhóm (Group Policy): Là một tập hợp các thiết lập cấu hình người
dùng và máy tính, nó chỉ rõ cách các chương trình, tài nguyên mạng và hệ điều hành
làm việc đối với tài khoản người dùng và máy tính trong một tổ chức. Chính sách
nhóm có thể thiết lập cho các máy tính (computer), các site, các miền (domain) hay

các đơn vị tổ chức (OU). Ví dụ: Sử dụng chính sách nhóm bạn có thể cho phép những
chương trình nào người dùng được phép sử dụng, những chương trình nào xuất hiện
trên màn hình desktop hay thanh thực đơn Start của người dùng. Mặc dù có tên gọi là
“Chính sách nhóm” nhưng bản chất các thiết lập chính sách này không phải dành cho
các nhóm mà là áp dụng cho các đối tượng chứa đồng thời tác động lên tất cả các đối
tượng trong các đối tượng chứa.
2.1.2. Thế nào là đối tượng chính sách nhóm?
Đối tượng chính sách nhóm (Group Policy Object - GPO): Là một tập hợp các
thiết lập chính sách nhóm, các GPO chỉ đơn giản là các tư liệu được tạo ra bởi một
công cụ cài đặt chính sách nhóm (Group Policy Object Editor). Các GPO được lưư trữ
ở cấp độ miền và chúng tác động lên tất cả các tài khoản máy tính và người dùng chứa
trong các site, các miền và các đơn vị tổ chức.
2.1.3. Phân loại đối tượng chính sách nhóm.
2.1.3.1. Chính sách nhóm cục bộ
15
Tìm hiểu chính sách nhóm
Được lưu trữ trên mỗi máy tính mà không phải là thành viên của miền (tài
khoản máy tính cục bộ). Chính sách nhóm cục bộ chỉ tác động lên duy nhất máy tính
mà nó được lưu trữ. Tuy nhiên đây là kiểu chính sách nhóm ít có ảnh hưởng nhất vì nó
chỉ có tác dụng trong một máy tính và nếu máy tính này tham gia vào miền thì nó sẽ
không có tác dụng gì trong miền cả. Trong một môi trường không mạng hoặc một
mạng Workgroup thì chính sách cục bộ lại có ưu thế vì bản thân mỗi máy tính có tác
dụng như một server đối với tài nguyên máy đó. Đối tượng chính sách nhóm cục bộ
được lưu trữ tại : %Systemroot%\System32\GroupPolicy
2.1.3.2. Chính sách nhóm không cục bộ
Chính sách nhóm miền (Domain GPO): Được lưu trữ trên máy chủ quản trị
miền, tác động lên tất cả các tài khoản người dùng và máy tính nằm trong miền bao
gồm cả máy chủ quản trị miền. Đây là kiểu chính sách nhóm được sử dụng phổ biến
nhất.
Chính sách nhóm đối với máy chủ quản trị miền (Domain Controller GPO):

Được lưu trữ trên máy chủ quản trị miền, chỉ tác động lên máy chủ quả trị miền, tuy
nhiên nó chỉ tác động lên tài khoản máy tính chứ không tác động lên tài khoản người
dùng. Hai kiểu đối tượng chính sách nhóm trên được lưu trữ tại: %Systemroot
%\SYSVOL\sysvol\Domain Name\Policíes\GPO GUID\ADM.
Lưu ý: GPO chỉ được áp dụng cho các hệ điều hành Windows XP, Windows
2000, Windows 2003 và không áp dụng cho Windows 95, Windows 98, Windows ME
hay Windows NT.
Một GPO liên kết đến một site sẽ tác động lên tất cả các máy tính trong site đó.
Bởi thông tin thư mục được đồng bộ hoá giữa các máy chủ quản trị miền trong một
site và đến bất kì mấy chủ quản trị miền nào mà site đó liên kết đến. Do đó một GPO
có thể áp đặt cho nhiều miền trong một rừng ngay cả khi GPO đó được lưu trữ trong
một miền nhất định và chỉ được đọc tại miền đó trong khi các máy khách chịu tác
động đọc GPO liên kết đến site của chúng.
2.1.4. Công cụ chỉnh sửa chính sách nhóm
Công cụ chỉnh sửa chính sách nhóm (Group Policy Object Editor - GPOE) : Là
thứ mà bạn sử dụng để tổ chức và quản lý các thiết lập chính sách nhóm trong mỗi
GPO. Chúng ta sẽ xem xét đến 3 loại GPOE :
- Local Group Policy Object Editor (Hình 2.1)
16
Tìm hiểu chính sách nhóm
- Domain Group Policy Object Editor (Hình 2.2)
- Domain Controller Group Policy Object Editor (Hình 2.3)
(*) Để sử dụng công cụ cục bộ, bạn vào Start/Run gõ GPEDIT.MSC :
Hình 2. 1: Local Group Policy Object Editor
Hình 2. 2: Domain Group Policy Object Editor
17
Tìm hiểu chính sách nhóm
Hình 2. 3: Domain Controller Group Policy Object Editor

18

Tìm hiểu chính sách nhóm
(*) Để sử dụng Domain GPO:
- Tại máy chủ Windows 2003, vào Start/Programs/Administrative Tools chọn
Active Directory users and computers hoặc vào Start/Run gõ dsa.msc.
- Nhấp chuột phải vào tên Domain, chọn properties
- Chọn thẻ Group Policy, chọn Edit. Giao diện bạn nhìn được sẽ như hình 2.
(*) Cuối cùng để sử dụng Domain Controller GPO thì phức tạp hơn :
- Vào Start/Run gõ mmc
- Vào File chọn Add/Remove Snap-in hoặc sử dụng phím tắt Ctrl-m.
- Tại thẻ Standalone, chọn Add
- Trong hộp thoại Add Standalone Snap-in hiện ra chọn Group Policy
- Trong hộp thoại Select Group Policy Object chọn Browse
- Cửa sổ Browse for a Group Policy Object hiện ra, nhấp đúp vào thư mục
Domain Controller và chọn Default Domain Controller Policy
Nhấn Finish, OK và ta được giao diện như hình 3
2.1.5. Thực thể chính sách nhóm và các thiết lập chính sách
Mỗi GPO chia làm 2 nửa, 1 nửa cho Computer, 1 nửa cho User, chúng ta có thể
nhìn vào hình dưới đây để thấy được điều đó:
Hình 2. 4: Thực thể chính sách nhóm
Hai nửa này được gọi là nodes hoặc cũng có tên khác là “nhánh người dùng”
hoặc “nhánh máy tính”.
Nhìn hình chúng ta thấy, mức đầu tiên dưới hai nhánh chính là Software
Settings, Windows Settings, Administrative Templates. Ta sẽ đi cụ thể vào từng
node:
19
Tìm hiểu chính sách nhóm
2.1.6. Các thiết lập phần mềm (Software settings)
Hình 2. 5: Thiết lập phần mềm
Tại node này chỉ có một phần mở rộng duy nhất là Software installation, nó
cho phép ta quy định những phần mềm nào được cài đặt và bảo trì trong mạng của

chúng ta.
Khi cấu hình các chính sách trong mục này, chúng ta có thể quản lý các ứng
dụng dưới hai hình thức:
- Assign: Khi ta muốn một tài khoản người dùng hay máy tính nằm trong phạm vi
tác động của GPO có được ứng dụng này.
- Publish: Khi ta muốn một ứng dụng nào đó sẵn sàng cho người dùng được quản
lý bởi GPO.
2.1.6.1. Các thiết lập Windows (Windows settings)
Hình 2. 6: Thiết lập Windows
Trong cả 2 nhánh máy tính và người dùng đều có các Script mở rộng (Scripts)
và các thiết lập bảo mật (Security Settings).
20
Tìm hiểu chính sách nhóm
Các Script mở rộng gồm 2 kiểu:
- Khởi động/Kết thúc (Startup/Shutdown – Nhánh máy tính): Chạy khi máy tính khởi
động hoặc tắt.
- Đăng nhập/Đăng xuất (Logon/Logoff – Nhánh người dùng): Chạy khi người dùng
đăng nhập hoặc đăng xuất.
Windows Server 2003 thực thi các Script theo thứ tự từ trên xuống dưới và ta
hoàn toàn có thể điều chỉnh thứ tự các Script sao cho hợp lý trong hộp thoại
Properties.
Khi chúng ta thực hiện tắt máy, Windows đầu tiên sẽ thực hiện Script logoff, sau
đó mới đến Script shutdown. Mặc định, giá trị thời gian trễ tạm ngừng (timeout) là 10
phút. Nếu các Script trên đòi hỏi hơn 10 phút để xử lý, ta cần phải điều chỉnh lại giá trị
bằng chính sách phần mềm. Chúng ta có thể sử dụng bất cứ ngôn ngữ kịch bản
ActiveX nào để viết các Script như VBScript, JScript, PERL hay các tệp bat (Batch
Files).
Lưu ý : Một điểm mới trong Windows Server 2003 là các Script logon nằm trong
thư mục chia sẻ ở một rừng khác sẽ hỗ trợ việc đăng nhập “xuyên rừng” (Across
Forests).

Các thiết lập bảo mật:
Cho phép người quản trị cấu hình các mức độ bảo mật gán cho GPO cục bộ hoặc
không cục bộ.
Trong nhánh người dùng, ngoài các Script và thiết lập bảo mật còn có :
- Remote Installation Services (RIS): Dùng để điều khiển quá trình cài đặt hệ điều
hành từ xa.
- Folder Redirection : Cho phép gửi lại (redirect) các thư mục đặc biệt như Application
Data, Desktop, My Documents, Start menu từ địa chỉ profile người dùng mặc định đến
địa chỉ thay thế trên mạng, nơi các profile này được quản lý chung.
- Internet Explorer Maintenance: Cho phép quản trị và tuỳ biến Trình duyệt web IE
trên máy tính chạy Windows Server 2003.
21
Tìm hiểu chính sách nhóm
2.1.6.2. Các khuôn mẫu quản trị (Administrative Templates AT)
Hình 2. 7: Khuôn mẫu quản trị
Trong cả 2 nhánh máy tính và người dùng, nút khuôn mẫu quản trị đều bao gồm
các thiết lập chính sách dựa trên nền Registry (Sổ đăng ký hệ thống). Có hơn 550 thiết
lập trong số này dùng cho cấu hình môi trường người dùng. Những người quản trị
mạng nên dành một khoảng thời gian nhất định để xử lý các thiết lập này. Windows
Server 2003 có 3 hình thức giúp đỡ chúng ta cho các thiết lập này:
- Khi bạn chọn Properties từ một chính sách bất kỳ đều có 2 thẻ là Setting và Explain,
thẻ Explain sẽ miêu tả về chức năng của chính sách này.
- Trong mục Help, ở Windows 2003 danh sách các hệ điều hành đòi hỏi cho các thiết
lập được liẹt kê ra.
- Thẻ Extended trong GPOE cung cấp sự miêu tả cho mỗi thiết lập được lựa chọn, hệ
điều hành yêu cầu cho mỗi thiết lập cũng được liệt kê.
Mỗi thiết lập trong AT đều có 3 sự lựa chọn:
- Not Configured: Registry không bị sửa đổi.
- Enabled: Registry ánh xạ các thiết lập chính sách được lựa chọn.
- Disabled : Registry ánh xạ các thiết lập chính sách không được lựa chọn

Các thiết lập trong AT tại nhánh máy tính được lưu lại trong khoá
HKEY_LOCAL_MACHINE của Registry, còn của nhánh người dùng được lưu tại
khoá HKEY_CURRENT_USER. Thông tin về chính sách ở các khoá này được lưu
trữ tại 1 trong 4 cây sau :
22
Tìm hiểu chính sách nhóm
- HKEY_LOCAL_MACHINE\Software\Policies (Thiết lập máy tính).
- HKEY_CURRENT_USER\Software\Policies (Thiết lập người dùng).
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
(Thiết lập máy tính).
- HKEY_CURRENT_USER\ Software\Microsoft\Windows\ CurrentVersion\ Policies
(Thiết lập người dùng).
Trong cả 2 nhánh máy tính và người dùng, nút AT đều có 3 nút con Windows
Components, System, Network.
- Windows Components : Cho phép quản trị các thành phần Windows bao gồm
Microsoft NetMeeting, Internet Explorer, Application Compatibility, Task Scheduler,
Terminal Services, Microsoft Windows Installer, Microsoft Windows Messenger,
Microsoft Media Player và Microsofts Update.
- System : Sử dụng để điều khiển cách mà Windows được truy cập và sử dụng bao gồm
các thiết lập cho profile người dùng, các Script, các hàm đăng nhập, đăng xuất và cả
Group Policy nữa. Riêng đối với nhánh máy tính còn có cả Disk Quota, dịch vụ Net
Logon, Remote Assistant, System Restore, Error Reporting, Windows File Protection,
Remote Procedure Call và Windows Time Service. Đối với nhánh người dùng thì lại
có tuỳ chọn CTRL + ALT + DEL và Power Management.
- Network : Cho phép điều khiển cách mạng được truy cập và sử dụng. Bao gồm các
thiết lập cho Offline File, mạng và kết nối quay số. Đối với nhánh máy tính các thiết
lập còn có dịch vụ DNS cho máy trạm, Quality of Service (QoS) Packet Scheduler và
Simple Network Management Protocol (SNMP).
Ngoài 3 nút con trên, đối với nhánh máy tính còn có các thiết lập cho máy in
(Printers). Còn đối với nhánh người dùng là Start menu and taskbar, Desktop, Control

Panel và Shared Folders.
Chúng ta thấy có vô vàn các thiết lập trong AT, do đó các bộ lọc đã được phát triển
để làm giảm sự lộn xộn khi quan sát trên màn hình. Chúng ta có thể lọc ra tất cả những
gì muốn quan sát. Để sử dụng bộ lọc chúng ta làm như sau :
- Trong cửa sổ GPOE nhấp chuột phải vào Administrative Templates, chọn View, chọn
Filtering.
- Chọn Filtering by Requirements information nếu muốn loại bỏ một thành phần nào
đó đang được hiển hị ở GPOE
23
Tìm hiểu chính sách nhóm
- Chọn Only Show Configured Policy Settings nếu muốn ẩn các thiết lập không được
cấu hình.
- Chọn Only Show Policy Settings That Can Be Fully Managed nếu muốn ẩn các thiết
lập hệ thống Windows NT 4style. Mặc định là được lựa chọn.
- Chọn OK.
2.1.7. Chính sách nhóm trên nền Active Directory
Môi trường AD không có gì đặc biệt, sự thật nó chỉ bao gồm một máy chủ
Windows Server 2000 hoặc 2003 được nâng cấp thành máy chủ quản trị miền và một
máy trạm Windows 2000 hoặc XP được gia nhập miền (Join Domain).
AD có thể mở rộng từ một máy chủ đơn ban đầu. Một mạng AD có cấu tạo từ 4
thành phần riêng biệt sau:
- Máy tính đơn (Local computer)
- Site
- Miền
- Các đơn vị tổ chức (OUs)
Quy tắc tổ chức của AD là mọi máy chủ và máy trạm đều phải là thành viên của
một miền đồng thời chỉ được định vị trong một site.
Trong Windows NT (New Technology), các miền thêm (Additional Domain)
thường được tạo ra thành các phân vùng có trách nhiệm quản trị hoặc để kiềm chế sự
lủng củng giữa các máy chủ quản trị miền. Trong AD, trách nhiệm quản trị được uỷ

thác cho các OU.
2.1.7.1. Chính sách nhóm và Active Directory
Khi bạn thiết lập chính sách nhóm ở mức cục bộ, tất cả mọi người sử dụng máy
tính cục bộ đó sẽ chịu tác động ngay, tuy nhiên khi nâng cấp máy để sử dụng AD các
chính sách được tạo ra sẽ có sự sàng lọc và phân loại cẩn thận người dùng và máy tính
nào phải chịu tác động. Phải lưu ý rằng khác với cơ chế cục bộ, với AD ta chỉ có thể
áp dụng tối đa 999 chính sách cho một người dùng hoặc máy tính bất kỳ.
Môi trường AD có cấu trúc phân cấp được thiết kế thành 3 lớp : Site, Domain
và OU. Do OU có thể chứa các OU khác nên AD có 1 khả năng chứa đựng gần như vô
hạn.
Lưu ý : Nếu 1 GPO được thiết lập ở mức site, các thiết lập đó sẽ tác động đến tất cả
các tài khoản nằm trong phạm vi của site. Phải chắc chắn rằng các tài khoản này phải
24
Tìm hiểu chính sách nhóm
cùng một miền tuy nhiên chúng chỉ chịu tác động của chính sách trong một site xác
định
- Khi một GPO được thiết lập ở mức miền, nó sẽ tác động đến phần lớn những gì nằm
trong miền, đến tất cả các OU cũng như các OU chứa trong đó (OU con)
- Khi một GPO được thiết lập ở mức OU nó sẽ tác động đến phần lớn những gì nằm
trong OU và tất cả các OU con.
Theo mặc định, khi một chính sách được thiết lập ở một mức nào đó, các mức bên
dưới sẽ thừa kế các thiết lập của mức trên nó.
Đọc đến đây bạn có thể thắc mắc rằng điều gì sẽ xảy ra nếu 2 chính sách xung đột ?
Giả sử như có một chính sách được thiết lập ở mức miền, còn một chính sách khác lại
được thiết lập ở mức OU và trái ngược với cái mà nó được kế thừa ở mức miền. Kết
quả rất đơn giản : Thiết lập ở mức OU sẽ được thức hiện vì theo mặc định các thiết lập
càng ở mức sâu hơn càng có hiệu lực. Điều này có nghĩa là các chính sách ở mức OU
sẽ tác động đè lên các chính sách mức miền và các chính sách mức miền lại đè lên các
chính sách mức site. Hình bên dưới minh hoạ cho quy luật này :
25

×