Thực thi Microsoft Windows 2000 Server/Bài 8/ 1 of 22
Group Policy
Thực thi Microsoft Windows 2000 Server/Bài 8/ 2 of 22
Mục tiêu của bài học
•
Thảo luận về Group Policy
•
Thực thi Group Policy
Thực thi Microsoft Windows 2000 Server/Bài 8/ 3 of 22
Group Policy (GP)

Group policy (GP) là
những thiết đặt về
cấu hình của người
dùng và máy tính.

Các GP:

Software Settings

Scripts

Security Settings

Administrative
Templates

Folder Redirection
Thực thi Microsoft Windows 2000 Server/Bài 8/ 4 of 22
Group Policy Objects (GPO)


Group Policy Object (GPO) là một nhóm các GP được thiết
đặt cho một computers, sites, domains, hay organizational
units (OUs)

Each Windows 2000 computer có một
local
GPO và nhiều
nonlocal
(Active Directory-based) GPOs.

Local GPO:

Lưu trên máy tính, kể cả khi là thành viên của ADS.

Có thể bị ghi đè bởi nonlocal GPO.

Nonlocal GPO:

Được liên kết tới Sites, Domain, OUs.

Được lưu trên Domain Controller.

Nội dung của GPO được lưu trữ tại: Group Policy
Containers (GPC) và Group Policy Templates
Thực thi Microsoft Windows 2000 Server/Bài 8/ 5 of 22
Group Policy Containers (GPC)

Group Policy Container là một đối tượng của Active
Directory.


Nó chứa các thuộc tính của GPO và các mục thông tin về
Group Policy của người dùng và máy tính.
Thực thi Microsoft Windows 2000 Server/Bài 8/ 6 of 22
Group Policy Templates (GPT)

GPT là các thư mục được tạo ra khi bạn tạo một
GPO.
•
GPT là một thư mục có phân cấp trong thư mục
Sysvol của domain controllers:
(%systemroot%\SYSVOL\sysvol\<domain_name>\Policies\
GUID )
•
GUID: Globally Unique Identifier
•
GPT chứa tất cả các thông tin về group policy.
•
Ví dụ: %systemroot
%\SYSVOL\sysvol\microsoft.com\Policies\ {45265FA6-
554F-4F74-97CC-61B4663DAE61}
Thực thi Microsoft Windows 2000 Server/Bài 8/ 7 of 22
Group Policy Snap-In
Thực thi Microsoft Windows 2000 Server/Bài 8/ 8 of 22
Thứ tự sử lý các GPOs (1)
•
Các GPO được sử lý theo thứ tự sau:
•
Local GPO
•
Sites GPO

•
Domains GPO
•
Organizational Units GPO
•
Local GPO được xử lý đầu tiên và cuối cùng là OU GPO
•
Các GPO được sử lý sau sẽ ghi đè lên các GPO được xử
lý trước.
•
Ví dụ: Domain GPO cho phép User A login locally,
nhưng OU trực tiếp của User A không cho phép ->
User A không được phép login locally
Thực thi Microsoft Windows 2000 Server/Bài 8/ 9 of 22
Thứ tự sử lý các GPOs (1)
Thực thi Microsoft Windows 2000 Server/Bài 8/ 10 of 22
Sự thực hiện của Group Policy
Objects (GPO)
•
Khởi động máy máy tính:

Khi máy tính khởi động các thiết lập group
policy về máy tính được áp dụng.

Tất cả các đối tượng group policy có ảnh
hưởng đến tài khoản máy tính được xử lý trước
khi người dùng đăng nhập.
•
Người dùng đăng nhập:


Các thiết lập group policy về người dùng được
áp dụng ở đây

Các scripts đăng nhập sẽ được thực hiện ở đây
Thực thi Microsoft Windows 2000 Server/Bài 8/ 11 of 22
Quản lý GPO
Cấp phép sử dụng và quản lý
Groups Permissions
Authenticated Users Read
Apply Group Policy
System Account
Domain Admins
Enterprise Admins
Read
Write
Create All Child Objects
Delete All Child Objects
Thực thi Microsoft Windows 2000 Server/Bài 8/ 12 of 22
Quản lý GPO
Cấu hình các tuỳ chọn
•
Tạo/liên kết các GPOs Site/Domain/OU
•
Vô hiệu hoá các GPOs.
•
Xoá các GPOs
•
Thiết lập tuỳ chọn No Override
•
Thiết lập tuỳ chọn Block Policy Inheritance

Thực thi Microsoft Windows 2000 Server/Bài 8/ 13 of 22
Cấu hình Group Policies (1)
Computer Configuration User configuration
1. Desktop settings
2. Application settings
3. Security settings
4. Operating system
behavior
5. Assigned application
options
6. Startup and shutdown
script
1. Desktop settings
2. Application settings
3. Security settings
4. Operating system
behavior
5. Assigned and published
application options
6. User logon and logoff
scripts
7. Folder redirection
Thực thi Microsoft Windows 2000 Server/Bài 8/ 14 of 22
Cấu hình Group Policies (2)
•
Các thiết lập group policy trong việc cấu hình
máy tính và người dùng được phân loại như
sau:

Software settings


Windows settings

Administrative templates
Thực thi Microsoft Windows 2000 Server/Bài 8/ 15 of 22
Các thiết lập Script
•
Windows 2000 cho phép thực thi các script trong cả
Computer và User
•
Computer: startup/shutdown
•
User: logon/logoff
•
Các script được thực hiện theo các cách sau:
•
Trong trường hợp có nhiều scripts, các scripts được xử lý từ trên
xuống dưới
•
Windows 2000 xử lý các scripts logoff trước các scripts
shutdown.
•
Thời gian chờ mặc định chờ cho một script thực thi là 10 phút,
có thể thay đổi (Computer Configuration\Administrative
Templates\System\Logon\Maximun)
Thực thi Microsoft Windows 2000 Server/Bài 8/ 16 of 22
Các thiết lập bảo mật (1)
•
Policies tài khoản


Các thiết lập mật khẩu

Các thiết lập giao thức Kerberos version 5

Các policies tài khoản bị khoá
•
Bản ghi sự kiện: Bạn có thể định các thông số về kích
cỡ, truy xuất và duy trì cho ứng dụng, hệ thống và các
bản ghi bảo mật với các thiết lập bản ghi.
•
Hệ thống File: Các thiết lập hệ thống file cho phép
bạn cấu hình bảo mật trên các đường dẫn file chỉ định.
Thực thi Microsoft Windows 2000 Server/Bài 8/ 17 of 22
Các thiết lập bảo mật (2)
•
Các Policies bảo mật IP trên Active Directory: Bạn có
thể cấu hình bảo mật trên các giao thức mạng internet sử
dụng các policies bảo mật IP.
•
Các Policies cục bộ: Các thiết lập policy cục bộ có thể
được sử dụng để cấu hình kiểm tra, gán các quyền và sự
cho phép của người dùng và thiết lập các tuỳ chọn bảo
mật khác.
•
Public Key Policies: Public key policies có thể được cấu
hình trong User Configuration hoặc các thiết lập bảo mật.
Thực thi Microsoft Windows 2000 Server/Bài 8/ 18 of 22
Các thiết lập bảo mật (3)
•
Registry

•
Restricted Group
•
System Services

Network services

File and Print services

Telephony and fax services

Internet/Intranet services
Thực thi Microsoft Windows 2000 Server/Bài 8/ 19 of 22
Quản lý thư mục đặc biệt sử
dụng Group Policy
•
Microsoft Windows 2000 cho phép redirect các thư mục trong
user's profile (đặc biệt là My Document) tới một vị trí trên
mạng sử dụng chức năng Folder Redirection trong Group
Policy.
•
Ưu điểm:

User có thể truy xuất tới tài liệu từ bất cứ nơi nào trên mạng.

Khi sử dụng Roaming user profiles -> thư mục My
Documents không phải nạp về máy cục bộ mỗi khi đăng nhập.

Dữ liệu được lưu trữ ở một nơi an toàn, dẽ backup và phục hồi


Người quản trị có thể sử dụng group policy để đặt dung lượng đĩa
cho các thư mục đặc biệt của người dùng (disk quotas)

Có thể redirect các thư mục đến một vị trí cục bộ khác -> tách
giữa dữ liệu và hệ điều hành
Thực thi Microsoft Windows 2000 Server/Bài 8/ 20 of 22
Các thư mục đặc biệt được phép
redirected
•
Application
data
•
Desktop
•
My Documents
•
My Pictures
•
My Pictures
•
Start Menu
Thực thi Microsoft Windows 2000 Server/Bài 8/ 21 of 22
Redirect các thư mục đặc biệt (1)
Thực thi Microsoft Windows 2000 Server/Bài 8/ 22 of 22
Redirect các thư mục đặc biệt (2)