Sau đó ấn OK và đóng cửa sổ Quota entries lại, tại cửa sổ Quota ấn OK,
chúng ta đã hoàn thành việc đặt Disk Quota cho các User. Lúc này các User đã bị
giới hạn dung lượng ổ đĩa trên Server, tại máy trạm logon vào với một User ta sẽ
thấy rõ điều này.

VI – NHÓM VÀ CHÍNH SÁCH NHÓM

1. Giới thiệu các Nhóm Trong windows 2003 server
Một tập tin các tài khoản của người sử dụng được gọi là Group. Một người
sử dụng có thể là thành viên của nhiều hơn một nhóm.
Khi bổ sung thêm thành viên cho các nhóm cần lưu ý đến các bước sau:
-

Khi một user là một thành viên của một group thì user đó sẽ được thừa
hưởng các quyền mà group đó có được.

-

Một user account có thể là một thành viên của nhiều group.


 Các nhóm trong Domain
Các nhóm chỉ được tạo trong domain controller và được lưu trong dịch vụ
thư mục Active Directory. Các nhóm đã được sử dụng để gán các quyền đến các tài
nguyên và quyền quản trị hệ thống cho bất kỳ một máy tính nào trong một domain.
Các nhóm trong domain cho phép quản trị tập trung trong domain.

 Các nhóm trong Workgroup
Các nhóm trong một Workgroup được tạo trên các máy tính, nó không có
chức năng điều khiển domain. Các máy tính có thể là các Client chạy Windows Xp
hoặc các member server được chạy windows 2003 server. Chúng được chứa trong

Sercurity Account Manager (SAM) và đã được sử dụng để gán quyền đến các tài
nguyên và quyền quản trị hệ thống trên máy tính, nơi mà ở đó các nhóm được tạo
ra.
1.1 Các nhóm trong domain
Trong domain controller có các nhóm tạo sẵn, nó được tự động tạo ra trong
quá trình cài đặt windows 2003. Các nhóm tạo sẵn được lưu trữ trong Active
Directory User and Computer. Các nhóm tạo sẵn có phạm vi hoạt động là toàn cục.
Windows 2003 hỗ trợ 3 nhóm dưới đây:

 Built-In Group: Các nhóm này có thể được sử dụng cho các user được
xác định trước về các quyền và các quyền để thực hiện các nhiệm vụ
trên một domain controller và trên Active Directory. Điều này có thể
được tạo chỉ trên các domain controller. Các nhóm loại này không thể bị
xoá.

 Special Identify Group: Các nhóm loại này tổ chức các user một cách
tự động. Người quản trị không thể bổ sung các user vào nhóm này. Thay
vào đó một cách mặc định các user là các thành viên của nhóm này,
hoặc trở thành thành viên trong khi thực hiện các nhiệm vụ trên mạng.

 Predefined Groups: Các nhóm loại này cung cấp cho người quản lý
một cách dễ dàng các điều khiển các user trong domain. Các nhóm này
chỉ thuộc trong các domain controller. Chúng được lưu trữ trong folder
user trong Active Directory Users and Computers.
1.2 Các nhóm trong workgroup


Các nhóm cục bộ được tạo ra khi tạo các nhóm trong workgroup. Các nhóm
cục bộ chỉ có thể được tạo ra trên các server thành viên hoặc trên các máy đang
chạy với hệ điều hành windows XP. Có thể sử dụng các nhóm cục bộ để án định các

quyền cho phép cho các nguồn tài nguyên chỉ trên các máy tính cục bộ. Các nhóm
mặc định đã được tạo ra bởi windows 2003, đó là các nhóm có các quyền đặc biệt
để thực hiện các nhiệm vụ hệ thống trên các máy cục bộ. Các user có thể được bổ
sung đến các nhóm mặc định này một cách dễ dàng.
 Local Groups: Khi tạo các nhóm cục bộ phải biết người và các thành
viên của chúng sẽ được thực như thế nào. Nhóm cục bộ đã được tạo trên
các server thành viên đang chạy windows 2003 server hoặc windows
2003 Advanced Server hoặc trên các máy client đang chạy với windows
XP.
Local group được sử dụng theo các nguyên tắc dưới đây:
 Nhóm cục bộ không thể là một thành viên của một nhóm khác.
 Nhóm cục bộ chỉ có thể chứa các user account cục bộ từ máy tính
mà ở đó nhóm cục bộ đã được tạo.
 Chúng ta sử dụng các nhóm cục bộ để điều khiển việc truy xuất đến
các nguồn tài nguyên trên máy cục bộ và cho việc thực hiện các
nhiệm vụ hệ thống của máy cục bộ.
 Các nhóm cục bộ phải được thiết lập trên các máy tính không phải là
một domain. Các nhóm cục bộ chỉ có thể được sử dụng trên các máy
mà ở đó các nhóm cục bộ đã được tạo ra. Bất lợi của việc tạo các
nhóm cục bộ trên các domain máy tính đó là cái nó sẽ hạn chế chúng
ta từ nhóm quản trị trung tâm. Nhóm cục bộ sẽ không thấy trong
Active Directory và do đó các nhóm cục bộ cần phải quản trị một
cách riêng biệt.
 Built-In Groups: Khi chúng ta cài đặt Windows xp hoặc windows 2003
advanced server trên server thành viên, các nhóm này được tạo một cách
tự động. Các nhóm này đã được định nghĩa trước một tập các quyền và
các quyền. Các nhóm này đã được định nghĩa trước một tập các quyền


và các quyền. Các nhóm này không thể xoá được. Thành lập các nhóm

là:
 Built-In local Groups: Trong nhóm này các thành viên có thể thực
hiện các nhiệm vụ hệ thống như là việc thay đổi hệ thống thời gian,
khôi phục các file, sao lưu các file và việc quản trị các nguồn tài
nguyên hệ thống. Các nhóm này được lưu trữ trong nhóm folder ở
local users and groups trong computer management.
 Special Identities / Groups: Trong nhóm này các user được tổ chức
một cách tự động. Thường thì người quản trị không thể sửa đổi các
thành viên trong nhóm. Các user là các thành viên mặc định của
nhóm này hoặc trở thành các thành viên trong suôt quá trình mạng
hoạt động. Theo mặc định Windows 2003 chứa các nhóm đặc biệt
này.

2. Chính Sách Nhóm
Tổng chi phí cho việc sở hữu, được xem như là TCO: Total Cost of
Ownership, là một chi phí mà nó bao gồm việc thực hiện phân phối máy dành riêng
trên mạng. Chúng ta có thể giảm bớt TCO mạng của chúng ta bằng việc sử dụng
chính sách nhóm trong Microsoft windows 2003. Chính sách nhóm là một công
nghệ mà nó cho phép người quản trị để quản lý các môi trường desktop qua một
mạng windows 2003. Việc quản lý desktop thông qua các chính sách nhóm được
thực hiện bằng việc áp dụng các thiết lập cấu hình computer và các user account.
Các thiết lập chính sách nhóm tập trung ở các đối tượng chính sách nhóm (GPO:
Group Policy Object). Các chính sách nhóm cho phép người quản trị để thiết lập
một yêu cầu cho một user hoặc một computer. Yêu cầu có thể sau đó sẽ được đem
thực hiện liên tục. Chúng ta có thể sử dụng snap-in group policy và phần mở rộng
của nó trong MMC để mặc định nghĩa thiết lập chính sách nhóm. Các chính sách
nhóm mở rộng:
 Administrative Templates: Dựa trên Registry: Cấu hình xuất hiện
desktop, thiết lập ứng dụng và chạy các dịch vụ của hệ thống.
 Folder Redirection: Lưu trữ các folder của user trên mạng.



 Scripts: Tạo các scripts mà nó có thể được sử dụng khi một user logon
hoặc logoff, khi một computer khởi động hoặc tắt máy.
 Security: Tuỳ chọn này cung cấp cho máy cục bộ, domain và các thiết
lập an toàn mạng
 Software Installation: Chủ yếu quản lý việc cài đặt phần mềm, cập nhật
và xoá bỏ.
Trong Windows 2003, các thiết lập chính sách nhóm là hầu như được lưu
trữ trong một đối tượng chính sách nhóm (GPO). Do đó, chúng ta tạo GPO và sau
đó thiết lập nó để chứa các thiết lập chính sách nhóm. GPO là một bộ lưu trữ ảo
định vị cho các thiết lập chính sách nhóm. Một GPO bao gồm một tập các thiết lập
mà nó ảnh hưởng riêng của các user và các computer. Mỗi GPO sẽ có một cấu hình
khác nhau và sẽ có các ảnh hưởng riêng khác nhau cho đối với các user và các
conputer. Nội dung của một GPO được lưu trữ trong 2 vị trí khác nhau:
 Group Policy Containers (GPC)

 Group Policy Templates (GPT)
2.1 Các Group Policy Containers (GPC)
Group policy Container là một đối tượng Active Directory. Nó chứa các
thuộc tính của GPO và bao gồm các container con cho thông tin chính sách nhóm
về các user và các computer. GPC bao gồm các thông tin dưới đây:
 Danh sách các component: chứa một danh sách các chính sách nhóm
mở rộng được sử dụng trong GPO
 Thông tin các trạng thái: Cho biết một GPO có thể hay không có thể
được thực hiện.
 Thông tin Version: Đảm bảo rằng thông tin trong GPC xảy ra đồng
thời với thông tin ở trong GPT.
2.2 Các Group Policy Template (GPT)
Các Group Template là các folder vật lý mà nó được tạo ra khi chúng ta tạo

một đối tượng chính sách nhóm. GPT là một folder có thứ tự trong foder sysvol ở
trên các domain controller. Đây là một đối tượng chưa tất cả thông tin chính sách
nhóm trên các template quản trị, các script, cài đặt phần mềm, việc nhân bản folder.


Khi chúng tạo ra một GPO, windows 2003 tạo một folder GPT có thứ tự. Folder là
một tên sau khi GUID (globally unique identifier) của GPO chúng ta được tạo. Một
directory được tạo với tên DNS của domain, dưới directory sysvol. Một directory
khác có tên là Policies được tạo dưới directory domain. Dưới directory policies này
một thư mục được tạo với GUID của GPO như là tên của một thư mục

3. Ứng dụng các chính sách nhóm
Bước quan trọng trong quá trình cài đặt chính sách nhóm nhóm là phải hiểu
cách thừa kế và thứ tự thực hiện của các đối tượng chính sách nhóm. Khi chúng ta
ứng dụng một đối tượng chính sách nhóm đến một đối tượng chứa, nó được thừa kế
trong suốt các cấp bậc của hệ thống. Đây là một cách thừa kế của Active Directory
trong việc đơn giản hoá các nhiệm vụ quản trị. Chúng ta có thể kết hợp đối tượng
chứa Active Directory với một GPO trong quá trình tạo nó. Đối tượng chứa có thể
là một site, domain hoặc một OU. Việc thiết lập chính sách nhóm trong một GPO sẽ
ảnh hưởng các đối tượng trong một đối tượng chứa.
Việc thiết lập chính sách sẽ được thừa kế theo thứ tự sau:
 Site
 Domain
 OU
Theo mặc định. Windows 2003 ước lượng các đối tượng chính sách nhóm từ
đối tượng chứa xa nhất của một đối tượng. Cái mà nó được áp dụng trong việc thiết
lập một site, domain và sau cùng là một OU. Việc thiết lập chính sách của một OU
đến computer hoặc user thuộc về nó, sẽ thiết lập sau cùng đó là điều sẽ được áp
dụng cho user hoặc computer. Do đó, một thiết lập chính sách nhóm trong đối tượng
chưa Active Directory đến user hoặc computer là mâu thuẫn quan trọng của việc

thiết lập chính sách nhóm trong một đối tượng chứa đó là cái ở xa nhất kể từ user
hoặc computer.
Thiết lập chính sách nhóm có thể được thiết lập cho các OU cha và OU con. Trong
một số trường hợp, khả năng tương thích giữa các thiết lập xác định đó là thiết lập
sẽ được áp dụng. Nếu cả hai thiết thiết lập là tương thích thì sau đó các thiết lập từ
cả OU cha và OU con sẽ được áp dụng trên các đối tượng của OU con. Tuy nhiên,
nếu chúng không tương thích thì sau đó OU con sẽ không thừa kế các thiết lập của


OU cha. Vì thế các thiết lập của OU con sẽ được áp dụng trên các đối tượng của OU
con. Trong trường hợp này, các thiết lập chính sách nhóm đã được thiết kế trên OU
cha và không ở trên OU con thì sau đó các đối tượng của OU con sẽ thừa kế các
thiết lập của OU cha.
Các quy tắc thừa kế mặc định trong windows 2003 có thể được sửa đổi. Chúng ta
cũng có thể sửa đổi các quy tắc thừa kế cho các GPO riêng lẻ. Hai tuỳ chọn đã được
cung cấp cho việc thay đổi quá trình mặc định:
 Block Inheritance: Chúng ta có thể sử dụng tuỳ chọn này đến khối của
một đối tượng chứa con từ việc thừa kế các thiết lập của đối tượng chứa
cha. Nó đã được sử dụng khi một OU cần phải thiết lập chính sách duy
nhất. Khối thừa kế được áp dụng đến tất cả các đối tượng chính sách
nhóm trong đối tượng chứa cha. Trong trường hợp mâu thuẫn, tuỳ chọn
No Override luôn đặt quyền ưu tiên lên tùy chọn này.
 No Override: Chúng ta có thể sử dụng tuỳ chọn này để ngăn cản một
OU con từ việc đè lên các thiết lập một GPO với mức độ cao nhất. Tuỳ
chọn này là một tập lên các GPO. Đây là điều có thể trong việc thiết lập
tuỳ chọn này trên một hay nhiều hơn một GPO. Trong một số trường
hợp, GPO với tuỳ chọn No Override, cấp bậc cao nhất trong Active
Directory sẽ đặt quyền ưu tiên lên trên các GPO khác.
Một GPO là được kết hợp với một site ảnh hưởng đến tất cả các computer
trong site, bất luận các domain thuộc về chúng. Tuy nhiên, GPO đã được lưu trữ chỉ

trong một domain controller trong một site. Tất cả các computer phải tiếp xúc với
domain controller đó là cái đã chứa GPO cho các thiết lập chính sách. Từ khi đó,
site có thể chứa nhiều domain, các domain này có thể chứa nhiều domain, các
domain này có thể thừa kế GPO đã được kết hợp với site.

4. Cấu hình các chính sách nhóm
Các thiết lập chính sách nhóm trong một GPO có thể được cấu hình bằng
cách sử dụng snap-in Group Policy mở rộng trong MMC. Các mở rộng chính sách
nhóm bao gồm các thiết lập cho:
 Administrative Templates
 Folder Redirection


 Scripts
 Security
 Remote Installation Servies
 Software Installation
Để mở một GPO ta làm như sau: Mở Active Directory Users and
Computer / Active Directory Sites and Services từ menu administrative
tools. Nhấp phải vào container hay OU, Nhấp propertices, Nhấp vào tab
Group Policy, Chọn GPO mà chúng ta muốn, nhấp New nếu chưa có GPO
và nhấp Edit

Thiết lập chính sách nhóm GPO được phân thành: Computer Configuration
và User Configuration.
4.1 Computer Configuration - Cấu hình máy tính
Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường
desktop tuỳ ý hoặc bắt tuân theo các chính sách bảo mật trên các máy tính. Đây là
các thiết lập đã được áp dụng khi khởi tạo hệ điều hành. Các thiết lập cấu hình máy
tính bao gồm tất cả các liên kết chính sách được chỉ rõ dưới đây:



 Software Setting
o Software Installation
 Windows settings
o Scripts(Startup/Shutdown)
o Security Settings
 Account Policies
 Local Policy
 Event log
 Restricted Groups
 System Services
 Registry
 File system
 Administrative Templates
o Windows Components
o System
o Network
o Printer
4.2 User Configuration - Cấu hình người sử dụng


Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop
tuỳ ý hoặc bắt tuân theo các chính sách bảo mật của người sử dụng. Các thiết lập
người sử dụng đã được áp dụng khi người sử dụng đăng nhập vào máy tính. Các
thiết lập cấu hình người sử dụng bao gồm tất cả các liên kết chính sách người sử
dụng được chỉ rõ dưới đây:

 Software Settings
o Software Installation

 Windows Settings
o Remote Installation Services
o Scripts(logon/logoff)
o Security Setting
o Folder Redirection
o Internet Explorer maintenance
 Administrative Templates
o Windows Components
o Start Menu and takbar
o Desktop
o Control panel
o Shared Folder


o Network
o System
Bên trong các folder, subfolder và các chính sách không giống nhau tuỳ
theo từng trường hợp chúng ta chọn cấu hình máy tính hay cấu hình người sử dụng.
Điều khiển chính sách nhóm nên tập trung vào cùng một domain controller. Do đó,
bằng cách mặc định. Việc điều hành chính sách tập trung trong primary domain
controller. Tuy nhiên, nếu domain controller với vai trò điều hành chính sách là
PDC là không có hiệu lực, khi đó một thông báo lỗi được xuất hiện. Mặc dù, chúng
ta sẽ được cho phép để chọn một domain controller khác. Chúng ta có thể lấy dữ
liệu khi nhiều người quản trị đang sửa đổi trên cùng một GPO. Trong trường hợp
này, thay đổi cuối cùng sẽ ghi đè lên thay đổi trước đó khi hoàn thành một GPO.
Thông báo lỗi sẽ nhắc nhở khi ghi đè. Chúng ta nên chọn mục này chỉ khi chúng ta
đã chắc chắn điều đó.
 Một GPO không được thay đổi bởi bất kỳ người nào
 Các GPO và các file kết hợp đã được thay thế một cách hoàn toàn sau
thay đổi cuối cùng.

4.3 Các thiết lập Administrative Template
Administrative Template chứa các đăng ký dựa trên các thiết lập chính sách
nhóm. Trong registry edit, các thiết lập chính sách nhóm giành riêng cho người sử
dụng được ghi ở HKEY_CURRENT_USER\Software\Policies. Tương tự, các thiết
lập

chính

sách

nhóm

giành

riêng

cho

máy

tính

được

ghi

ở

HKEY_CURRENT_MACHINE\ software\ policies.
4.4 Các thiết lập kịch bản (Script)

Windows 2003 cho phép các script được ghi trong cả computer và users.
Đối với computers, chúng ta có thể để ấn định script thực hiện trong suốt quá trình
cả quá trình khởi động và tắt máy. Đối với users, chúng ta có thể án định các script
thực hiện trong xuốt qúa trình đăng nhập và đăng xuất. Chúng ta có thể ấn định các
script đăng nhập / đăng xuất thông qua trang properties của user account. Tuy nhiên
việc gán script thông qua chính sách nhóm là phương pháp được ưu tiên hơn.
Chúng ta có thể ấn định nhiều script đến một user hoặc một computer.
Trong windows 2003, các scipt được thực hiện theo các mục sau.


 Trong trường hợp nhiều script, các script đã là một quá trình theo thứ tự
từ trên xuống dưới trong trường hợp này chúng đã là một danh sách trong
hộp thoại properties.
 Windows 2003 thực hiện các script đăng xuất trước khi thực hiện các
script tắt máy.
 Giá trị thời gian mặc định tối đa cho việc thực hiện các script là 10 phút.
Tuy nhiên, chúng ta có thể thay đổi giá trị này bằng cách thay đổi thời
gian chờ trong computer configuration \ Administrative Templates \
System\ Logon\ Maximum.
4.5 Các thiết lập an toàn (Security)
Chúng ta có thể thiết lập và cho hiệu lực an toàn trong mạng của chung ta
bằng cách sử dụng các thiết lập an toàn chính sách nhóm. Chúng ta sử dụng các
thiết lập an toàn mở rộng trong chính sách nhóm để định rõ các thiết lập an toàn.
Các khoản trong các thiết lập an toàn mở rộng đã được thảo luận ở bên dưới.
 Account Policies: Chính sách tài khoản cho một domain xác định.
 Thiết lập Password
 Thiết lập giao thức Kerberos version 5
 Các chính sách khoá Account
 Event Log: Chúng ta có thể cấu hình các tham số như kích thước. Truy
xuất và việc sở hữu cho các ứng dụng, hệ thống và an toàn với thiết lập

event log.
 File System: Các thiết lập hệ thống file cho phép chúng ta cấu hình an
toàn trên các đường dẫn file riêng biệt.
 IP Security Policies on Active Directory: Chúng ta có thể cấu hình các
giao thức an toàn trên mạng interner khi sử dụng chính sách IP sercurity.
 Local Policies: Các thiết lập chính sách cục bộ có thể được sử dụng cấu
hình các chính sách kiểm toán, việc cấp các quyền và cho phép đối với
người sử dụng và thiết lập các mục an toàn khác cần thiết để cấu hình
cục bộ. Các thiết lập chính sách này là cục bộ đến các máy tính.


 Public Key Policies: Các chính sách khoá công khai có thể được cấu
hình hoặc là User configuration hoặc security settings. Chúng ta có thể
sử dụng các chính sách khoá công khai trong thiết lập an toàn để cấu
hình các domain gốc, giao phó các quyền lực và việc khôi phục lại mã
hoá dữ liệu.
 Registry: Chúng ta có thể sử dụng thiết lập registry để cấu hình an toàn
các registry key.
 Restricted Group: Các chính sách hạn chế nhóm có thể được sử dụng
để quản lý các thành viên của các nhóm tạo sẵn và các nhóm domain.
Các nhóm tạo sẵn là administrators, Power Users và domain admins.
Chúng ta có thể bổ sung các nhóm khác nhau đến nhóm restricted, song
song với các thành viên chi tiết của chúng. Để làm được như thế, cho
phép chúng ta theo dõi và quản lý các nhóm này như là một phần của
chính sách an toàn. Nhóm restricted quản lý các thành viên của các
nhóm được tạo sẵn và cũng như các thành viên của các nhóm này. Cột
members Of trong tab Properties của một nhóm, danh sách tất cả các
nhóm để nhóm này là một thành viên.
 System Services: Chúng ta có thể sử dụng các dịch vụ nhóm hệ thống
của việc thiết lập đến các thiết lập cấu hình an toàn và khởi động đối với

các dịch vụ đang hoạt động trên một máy tính. Các dịch vụ khác nhau
này có thể được cấu hình như:
 Dịch vụ mạng
 Dịch vụ File và Print
 Dịch vụ Telephony và Fax
 Dịch vụ Internet / Intranet

4.6 Triển khai thiết lập chính sách nhóm
Để hiểu rõ về chính sách nhóm và cách thiết lập chính sách nhóm, em xét
một ví dụ về yêu cầu thiết lập chính sách nhóm ở doanh nghiệp như sau: Công ty
TNHH máy tính CMS có 4 phòng ban là Phòng Giám Đốc, Phòng Kinh Doanh,


Phòng Bảo Hành và Phòng Kế Toán. Trong đó, ban giám đốc công ty yêu cầu như
sau:

 Phòng giám đốc: Các User của Phòng giám đó toàn quyền trên domain,
 Phòng Kế Toán: Các user thuộc phòng Kế Toán có các yêu cầu như
sau: Mật khẩu ít nhất phải 8 kí tự, thời gian thay đổi mật khẩu là 30
ngày, người dùng đăng nhập sai 3 lần sẽ bị khoá account, thời gian khoá
sẽ là 5 phút, user không phải ấn tổ hợp phím Ctrl+Alt+Del khi đăng.
 Phòng Kinh Doanh: Các user phòng kinh doanh có các yêu cầu như
sau: Không cho phép user trên client truy cập vào ổ chứa hệ điều hành
(ổ C), không được cài đặt BÀI trình, không được truy cập vào registry,
không được truy cập Control panel trên máy client, ẩn cửa sổ run trên
máy client và không cho thay đổi trang home page là .
 Phòng Bảo Hành: Các user phòng bảo hành có các yêu cầu sau: Mật
khẩu ngoài việc từ 8 kí tự trở lên thì còn phải là mật khẩu khó, tức là
phải có thêm các kí tự khác chữ và số như *, !, ~, @, #, %, (, ). Cho
phép các user trong nhóm này tắt máy từ xa, không cho phép thay đổi

các thuộc tính của LAN và không cho phép Auto play tất cả các loại ổ
đĩa kể cả ổ đĩa USB.
Để thiết lập các chính sách với các yêu cầu như trên em làm như sau:
Trước hết tạo các OU tương ứng với các phòng ban của công ty, mở cửa sổ
Active Directory User and Computer, chuột phải vào tên domain chọn New và
chọn Oganizational Unit, đánh tên OU tương ứng với tên của các phòng ban để tạo
các OU, mỗi phòng ban là một OU. Sau đó tạo các User và Group trong từng OU.
Mỗi một phòng ban có bao nhiêu người chúng ta tạo tương ứng từng đó User và tạo
một Group cũng có tên là phòng ban đó. Sau khi tạo User và Group xong thì add
các User của OU đó vào group vừa tạo để tiện cho việc gán quyền sau này. Các thiết
đặt chính sách nhóm cho các phòng ban như sau:
 Phòng Giám Đốc: Do trong chính sách nhóm có tính thừa kế và các
thiết đặt bên trong có mức ưu tiên hơn bên ngoài nên chúng ta không
thiết đặt gì cho OU Phòng giám đốc mà chỉ tạo các user cho phòng đó


rồi tạo một GPO cho phòng này. Mặc định mọi thiết đặt trên domain sẽ
được áp xuống và phòng giám đốc thừa hưởng quyền từ domain, tức là
có mọi quyền như Admin. Và ở mục Member Of chúng ta add các nhóm
quản trị vào user của phòng này.
 Phòng Kế Toán: Chuột phải vào OU phòng kế toán chọn properties,
chọn tab Group Policy, click New, đặt tên cho GPO và click Edit. Do
yêu cầu thiết đặt chính sách nhóm ở đây là đối với Computer nên chúng
ta thiết đặt chính sách nhóm như sau:
oMật khẩu 8 kí tự: chọn đến Computer Configuration\ Windows
setting\ Sercurity Setting\ Account policies\ Password policy, ở cửa
sổ bên phải chọn dòng chữ: Minimum password length, click đúp
và cho giá trị là 8.

oThời gian thay đổi mật khẩu là 30 ngày: Cũng với đường dẫn như

trên, ở cửa sổ bên phải chọn dòng chư: Maximum password age,
click đúp và cho giá trị là 30.
oNgười dùng đăng nhập sai 3 lần sẽ bị khoá account: chọn đến
Computer Configuration\ Windows setting\ Sercurity Setting\


Account policies\ Account lokout policy, cửa sổ bên phải chọn dòng
chữ: Account lonkout threshold, click đúp và cho giá trị là 3.
oThời gian khoá là 5 phút: Với đường dẫn vẫn như trên, ở cửa sổ bên
phải chọn đế dòng chữ: Account lockout duration, click đúp và cho
giá trị là 5.
oKhông ấn Ctrl+Alt+Del khi đăng nhập: Tìm đến đường dẫn
Computer configuration\ Windows Setting\ Sercurity setting\ Local
policy\ Sercurity Option: Ở cửa sổ bên phải chọn đến dòng chữ:
Interactive logon: Do not require Ctrl+Alt+Del, click đúp và chọn
Enable.
oThông báo của Quản trị mạng hệ thống tới các User: Tìm đến
đường dẫn Computer Configuration\ Windows setting\ Security
setting\ Local policy\ Security Option. Tại cửa sổ bên phải tìm đến
dòng chữ Messenger text for users attemping to logon, click đúp và
đánh vào thông báo của quản trị mạng như trên đã nói. Tiếp theo
xuống dòng dưới là Messenger title đánh vào tiêu đề thông báo của
quản trị mạng như trên.

 Phòng Kinh Doanh: Chuột phải vào OU phòng Kinh Doanh chọn
properties, chọn tab Group Policy, click New đánh tên cho GPO của
phòng này và click Edit.
o Không cho phép User truy cập vào ổ C: Tìm đến đường dẫn
User


Configuration\

Administrative

Templates\

Windows

Components\ Windows Exploprer, ở cửa sổ bên phải chọn dòng
chữ: Prevent access to drivers from My Computer, click đúp
chọn enable và chọn ổ đĩa C.


o Không được cài đặt phần mềm: Tìm đến đường dẫn Computer
Configuration\ Administrative Templates\ Windows Components\
Windows Installer, ở cửa sổ bên phải chọn dòng đầu tiên là:
Disable windows installer, click đúp và chọn enable.
o Không được truy cập vào Registry editor: Tìm đến đường dẫn
User

Configuration\

Administrative

Templates\

Windows

Components\ System, ở cửa sổ bên phải chọn dòng chữ: Prevent
access to registry editing tools, click đúp và chọn enable.

o Không truy cập Control Panel trên máy client: Tìm đến
đường dẫn User configuration\ Administrative templates\ Control
panel, ở cửa sổ bên phải tìm đến dòng chữ: Prohibit access to the
Control Panel, click đúp và chọn enable.
o Ẩn cửa sổ Run trên client: Tìm đến đường dẫn User
configuration\ Administrative templates\ Start menu and Taskbar,
ở cửa sổ bên phải tìm đến dòng chữ: Remove Run menu from
start menu, click đúp và chọn enable.
o Không cho thay đổi trang chủ :
Trước tiên ta đặt trang chủ với địa chỉ như trên, tìm đến đường
dẫn: User configuration\ Windows settings\ Internet Explorer


Maintenance\ URLs, ở cửa sổ bên phải click đúp vào dòng:
Important URLs, đánh dấu tích vào Customize Home page URL
và đánh vào ô địa chỉ URL là địa chỉ và ấn OK. Sau đó tìm đến đường dẫn: User
configuration\ Administrative templates\ Windows Components\
Internet Explorer, ở cửa sổ bên phải chọn đến dòng chữ: Disable
chaning home page settings, click đúp và chọn enable.

 Phòng Bảo Hành: Chuột phải vào OU phòng bảo hành chọn properties,
chọn tab Group Policy, click New đánh tên cho GPO của phòng Bảo
hành và click Edit.
o Mật khẩu 8 kí tự và phải khó: Tìm đến đường dẫn Computer
Configuration\ Windows setting\ Sercurity setting\ Password
policy, cửa sổ bên phải chọn dòng chữ: Minimum password
length, click đúp và cho vào giá trị 8, tiếp theo chọn đến dòng
chữ: Password must meet complexity requirements, click đúp và
chọ enable.
o Cho phép User tắt máy từ xa: Tìm đến đường dẫn Computer

Configuration\ Windows setting\ Sercutity setting\ Local Policy\
User Rights Assignment, ở cửa sổ bên phải tìm đến dòng chữ:
Force shutdown from a remote system, click đúp và đánh vào
User hay Group của phòng này.


o Không cho phép thay đổi các thuộc tính của LAN: Tìm đến
đường dẫn User Configuration\ Administrative templates\
Network\ Network Connections, ở cửa sổ bên phải tìm đến dòng
chữ: Prohibit access to properties of LAN connection, click đúp
và chọn enable.
o Không cho Auto play tất cả các ổ đĩa: Tìm đến đường dẫn
Computer Configuration\ Administrative templates\ System, ở
cửa sổ bên phải chọn dòng chữ: Turn off Autoplay, click đúp
chọn enable và chọn All driver.
Sau khi thiết lập các chính sách nhóm cho các OU xong, để việc thay đổi có
hiệu lực thì chúng ta phải khởi động lại máy chủ, nhưng chúng ta cũng có thể không
cần khởi động lại máy chủ, tại cửa sổ run ta đánh lệnh gpupdate /force, lệnh này sẽ
làm tươi lại Group Policy và cập nhật các thiết đặt mới mà chúng ta vừa thiết đặt
trong Group Policy.

5.0 Software Installation Servies – Dịch vụ triển khai phần mềm
5.1 Mục đích
Software Installation Service sử dụng Group Policy (chính sách nhóm) để
triển khai gói phần mềm tự động từ xa theo yêu cầu trong mạng LAN để giảm tải


cho Server. Không giống như cài phần mềm trực tiếp trên máy trạm, sử dụng
software installation servies có hai chế độ.
Public: Phần mềm sẽ được hiển thị trong danh mục Add New Programs

của thành phần Add or Remove Programs. Người dùng trên máy client muốn cài đặt
phải ấn vào nút Add program thì BÀI trình thực sự mới được cài đặt. Khi đó BÀI
trình sẽ thực hiện việc cài đặt phầm mềm tự động cho đến khi hoàn thành. Người
dùng không thể remove BÀI trình phần mềm.
Assign: Phần mềm sẽ xuất hiện trong danh mục Program trên thanh Start,
khi người dùng chạy shortcut thì phần mềm mới được cài đặt. Người dùng có thể
không cài gói phần mềm này và remove shortcut đi.
5.2 Phương pháp triển khai
Đa số các phần mềm của Microsoft hoặc các hãng khác đều được cung cấp
dưới dạng file *.exe và *.msi. Software installation servies chỉ triển khai được các
gói phần mềm dạng file *.msi và *.zap. Đối với các phần mềm có dạng *.msi thì
quá trình triển khai đơn giản vì nó được hỗ trợ. Nếu phần mềm không có dạng *.msi
mà ở dạng *.exe thì chúng ta phải chuyển file sang dạng *.zap, dạng file mà BÀI
trình triển khai phần mềm cho phép. Khi triển khai gói phần mềm thì chúng ta cần
share thư mục chứa file đó và cho nhóm Everyone được quyền read.
Phương pháp chuyển file *.exe sang dạng file *.zap:
Mở notepad và viết vào đoạn mã chuyển như sau:
[Application]
Friendlyname = “Tên gói phần mềm”
Setup command = \\<Ip hoặc host của server>\<thư mục chia sẻ>\file .exe
Sau đó save lại với tên file là .zap
Phương pháp triển khai trên server
Software Installation Services có thể được áp dụng triển khai cho toàn
domain hoặc một số OU hoặc Computer nào đó trong mạng. Ví dụ triển khai gói
phần mềm Microsoft Office 2003 dưới dạng Public cho OU Phòng Kế Toán để mọi
User trong OU này có thể cài đặt được Office 2003, các bước thực hiện như sau:
Trên server tìm đến thư mục Office 2003 và chia sẻ thư mục này cho nhóm
Everyone có quyền read. Mở cửa sổ Active Directory User and Computer, chuột



phải OU phòng Kế Toán chọn Properties, chọn tab Group Policy, click vào Edit. Tại
cửa sổ Group Policy Object Editor tìm đến đường dẫn User Configuration\Software
Setting\Software Installation chuột phải chọ New package

Tiếp theo một cửa sổ mở ra cho chúng ta chọn đến thư mục chứa phần mềm
cần triển khai. Nếu phần mềm ở dạng *.msi thì chúng ta chỉ cần chọn đến thư mục
và chọn file setup trong đó. Nếu không phải *.msi thì chúng ta chuyển sang dạng
*.zap rồi chọn đường dẫn tới file *.zap tại đây. Tiếp theo một cửa sổ Deploy
software mở ra cho phép chúng ta chọn chế độ hiển thị của phần mềm trên máy
client. Ở đây có 3 dạng hiển thị là Public, Assign và Advanced, do yêu cầu chúng ta
chọn Public để mọi người trong OU đều có thể cài phần mềm trong Add New
Program.