• Tạo các OU và di chuyển
các tài khoản user vào
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
1
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
2
Thực tập 9-2: Tạo các OU và di
chuyển các tài khoản user vào
• Mục tiêu: Tạo các OU và di chuyển các tài khoản
user vào đó
• Phải quen thuộc với việc dùng các OU điều khiển ứng
dụng thiết lập Group Policy
• Tạo OU mới dùng Active Directory Users and
Computers
• Di chuyển các tài khoản user vào OU mới đó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
3
Thực tập 9-3: Tạo 1 GPO và
xem các thiết lập
• Mục tiêu: Tạo 1 GPO và dùng Active Directory
Users and Computers như cách thay thế cho
phương pháp MMC snap-in
• Từ Active Directory Users and Computers, dùng thẻ
Group Policy trong Properties của 1 OU đã có để thêm
và tạo các GPO
• Xem các thiết lập cấu hình của 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt

4
Sửa chữa 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
5
Sửa chữa 1 GPO
• Bảng 9-1 hiển thị các loại cấu hình cho cả
computer và user
• 2 thẻ trong Properties cho mỗi thiết lập:
• Thiết lập cho phép kích hoạt/cấm
• Giải thích các thông tin về thiết lập
• Nội dung GPO được lưu giữ ở 2 vị trí:
• Group Policy container (GPC)
• Group Policy template (GPT)
• Mỗi GPO được định danh bởi một globally
unique identifier (GUID) 128-bit
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
6
Thực tập 9-4: Xóa 1 GPO
• Mục tiêu: Xóa 1 GPO dùng Active Directory
Users and Computers
• Các GPO đã tạo trước đó được xóa từ 1 OU
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
7
Ứng dụng của Group Policy
• 2 loại chính:
• Cấu hình computer (các thiết lập áp dụng cho các
computer trong container)

• Cấu hình user (các thiết lập áp dụng cho các user trong
container)
• Ngay khi computer khởi động (hoặc user đăng
nhập)
• Computer truy vấn DC về các GPO. DC tìm các GPO
có thể áp dụng.
• DC trình ra 1 danh sách các GPO. Client lấy các mẫu
GP, áp dụng các thiết lập và chạy các script
• Tiến trình cơ bản giống như vậy khi user đăng nhập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
8
Điều khiển các thiết lập User
Desktop
• Các mẫu:
• Dùng để hạn chế thao tác cấu hình user desktop và
computer
• Giảm công sức quản trị
• 7 loại chính của việc thiết lập cấu hình có thể áp dụng
cho computer hoặc user của 1 GPO
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
9
Điều khiển các thiết lập User
Desktop (tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
10
Thực tập 9-5: Cấu hình các
thiết lập User Desktop

• Mục tiêu: Cấu hình và kiểm tra ứng dụng của thiết
lập GP
• Dùng Active Directory Users and Computers để
truy cập thiết lập mong muốn
• Cấu hình các thiết lập dùng trình soạn thảo GPO
• Kiểm tra lại cấu hình có kết quả như y/c
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
11
Quản lý bảo mật với Group
Policy
• Các thiết lập Password Policy, Account Policy,
Kerberos Policy chỉ có thể áp dụng trên các đối
tượng domain
• Các nút khác trong loại Security Settings có thể áp
dụng trên cả domain và các OU
• Local Policies
• Audit Policy
• User Rights Assignment
• Security Options
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
12
Quản lý bảo mật với Group
Policy (tt)
• Event Log
• Restricted Groups
• System Services
• Registry
• File System

• Wireless Network Policies
• Public Key Policies
• Software Restriction Policies
• IP Security Policies on Active Directory
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
13
Thực tập 9-6:Cấu hình các
thiết lập bảo mật GPO
• Mục tiêu: Dùng các thiết lập GPO để cấu hình 1
logon banner cho các domain user
• Dùng Directory Users and Computers để truy cập
Default Domain Policy GPO
• Tạo một logon banner
• Kiểm tra là banner có xuất hiện
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
14
Thực tập 9-7: Cấu hình các
thiết lập bảo mật hệ thống file
dùng GPO
• Mục tiêu: Dùng các thiết lập GP để cấu hình các
quyền bảo mật
• Tạo 1 thư mục
• Dùng Active Directory Users and Computers để
cấu hình các quyền trên các thư mục
• Kiểm tra lại
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
15

Gán các Script
• Windows Server 2003 có thể chạy các script trong lúc:
• User đăng nhập và đăng xuất
• Phần User của GPO
• Computer khởi động và shutdown
• Phần Computer của GPO
• Mặc định là các script chạy đồng bộ từ trên xuống dưới
• Có thể xác định các thời điểm script time-out, thực thi
không đồng bộ và ẩn các script
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
16
Thực tập 9-8: Gán các Logon
Script cho các User dùng
Group Policy
• Mục tiêu: Dùng các GPO để gán các logon script
cho các domain user
• Tạo 1 file script
• Thêm script vào chính sách logon của một nhóm
nào đó dùng Directory Users and Computers
• Kiểm tra lại script chỉ chạy trên các user của group
này chứ không phải group khác
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
17
Tái điều hướng các thư mục
• Cho phép tái điều hướng các nội dung của 1 user
profile đến 1 vị trí trên mạng
• Nội dung có thể tái điều hướng là: dữ liệu ứng
dụng, desktop, My Documents, Start menu

• Tái điều hướng có ích vì:
• Hỗ trợ backup
• Giảm thời gian đăng nhập
• Cho phép tạo 1 desktop chuẩn cho nhiều user
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
18
Tái điều hướng các thư mục
(tt)
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
19
Quản lý thừa kế Group Policy
• Thứ tự đặc biệt cho ứng dụng GPO:
• Local computer  Site  Domain  Parent OU  Child OU
• Theo mặc định tất cả các thiết lập GPO được thừa kế
• Tại mỗi mức, có thể có nhiều GPO
• Các chính sách được áp dụng theo thứ tự mà chúng xuất hiện trên
thẻ Group Policy cho mỗi container, bên dưới GPO đầu tiên
• Áp dụng số lượng nhiều các GPO có thể ảnh hưởng hiệu
suất khởi động và đăng nhập
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
20
Quản lý thừa kế Group Policy
(tt)
• Các mâu thuẫn được giải quyết theo một tập các
công thức
• Các chính sách được cập nhật tự động tại từng thời
điểm và có thể cập nhật thủ công

• Các chính sách có thể liên kết với 1 site, domain
hoặc các OU container
• Một GPO đơn có thể liên kết với nhiều container
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
21
Thực tập 9-9: Liên kết 1 GPO
với nhiều Container
• Mục tiêu: Liên kết 1 GPO với nhiều Container
• Dùng Active Directory Users and Computers để
tạo và cấu hình 1 GPO mới trong 1 OU
• Thêm GPO vào OU khác
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
22
Cấu hình khóa thừa kế Policy,
No Override và Filtering
• Những tùy chọn này cho phép sửa đổi cách xử lý
mặc định đ/v các container đặc biệt:
• Có thể thay đổi chính sách thừa kế mặc định
• Có thể thay đổi cách giải quyết mâu thuẫn
• Có thể thay đổi quyền cho 1 thành viên đặc biệt trong 1
group để từ chối áp dụng GPO cho thành viên đó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
23
Khóa thừa kế Policy
• Để thay đổi thừa kế mặc định, dùng Block Policy
trong thẻ Group Policy cho 1 container con
• Con sẽ không thừa kế các chính sách của cha

• Có ích nếu 1 OU cần được quản lý riêng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
24
Cấu hình No Override
• Nếu 1 chính sách được cấu hình với No Override
• Nó sẽ bị ép áp dụng các mâu thuẫn trong các chính sách
ở mức thấp hơn
• Nó sẽ bị ép áp dụng trên các contairner ở mức thấp hơn
với thiết lập thừa kế Block Policy
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environemnt
25
Filtering dùng các quyền
• Ngăn cản các thiết lập policy đ/v việc áp dụng cho
1 user, group, computer nào đó trong 1 container
• Để lọc 1 GPO đ/v 1 thành viên trong 1 container,
từ chối các quyền Read and Apply Group Policy
cho tài khoản của thành viên đó