QUẢN TRỊ GROUP POLICY
Group Policy (GP) trên Windows Server 2008 cho phép bạn định nghĩa cấu hình trên các nhóm
user và computer của hệ thống mạng.Chúng ta có thể sử dụng GP để tạo ra các chính sách và
áp dụng cho các đối tượng trong Active Directory như site,domain và OU
Những thiết lập trên GP được tổ chức lưu trữ trong các Group Policy Object (GPO) .Để tương
tác với một GPO ,bạn sử dụng công cụ Group Policy Management Console (GPMC) .GPMC còn
giúp bạn liên kết một GPO đến một trong các đối tượng site,domain hoặc OU ,để từ đó áp dụng
các chính sách lên các nhóm user và computer thuộc về đối tượng đó.Lưu ý rằng một OU là đối
tượng ở mức thấp nhất để bạn có thể gán GPO.

SỬ DỤNG CƠNG CỤ GPO
GMPC là cơng cụ quản lý GP đa năng ,cho phép bạn tương tác với tất cả các GPO,Windows
Management Instrumentation (WMI) filters và những đối tượng liên quan đến GP trên hệ
thống.GMPC đem đến cho bạn những khả năng :
1. Backup và Restore GPO
2. Import và Copy GPO
3. Tìm kiếm các GPO
4. Group Policy Modeling cho phép bạn tạo mơi trường giả lập trong q trình xây dựng
kế hoạch triển khai GP trước khi bước vào giai đoạn triển khai thực tế
5. Group Policy Results cho phép bạn thu thập thông tin về GP đã áp dụng cho các đối
tượng cụ thể ,trên cơ sở đó ,giúp bạn giám sát và xử lí các sự cố xảy ra khi triển khai
6. Starter GPOs là thành phần dùng để quản lý các Aministratives Templates
7. Preferences bao gồm hơn 20 chức năng mở rộng của GP ,cho phép bạn thực hiện các
thiết lập liên quan đến registry,tài khoản cục bộ,dịch vụ,file và thư mục.

CÀI ĐẶT GPMC
Để cài đặt GPMC vào Server Manager  Features  Add Features.
Sau đó chọn Group Policy Management và cài đặt bình thường .
Nếu bạn đã cài đặt dịch vụ ADDS ,thành phần GMPC sẽ tự động cài đặt vào hệ thống

TƯƠNG TÁC VỚI GPO

Để bắt đầu với GPO,bạn nên tạo ra các GPO độc lập (unlinked GPO) và triển khai thử nghiệm
trên các hệ thống ảo trước khi đưa vào áp dụng thực tế.Chỉ khi nào đảm bảo rằng các GPO đã
hoạt động tốt,bạn mới đưa vào áp dụng trên các đối tượng thuộc hệ thống của mình
(site,domain,OU…) .
Để tạo một GPO độc lập vào Start  Administrative Tools  Group Policy Management


Tại cửa sổ GMPC,nhấp chuột phải lên mục Group Policy Objects và chọn New

Tại bảng Name GPO nhập tên GPO và chọn OK.

Nhấp chuột phải vào GPO vừa tạo và chọn Edit


Tại bảng Group Policy Management Editor ,chọn Polices cần cấu hình của Computer hoặc
user
Ở đây tơi sẽ ví dụ mẫu về Password Policy ở mục Computer Configuration.Tôi sẽ thiết lập
một số chính sách về password.
Click chuột đến mục Password Policy trong Computer Configuration  Polices 
Windows Settings  Security Settings  Account Policy  Password Policy
Ở đây






có 6 mục.Tơi sẽ giải thích từng mục:
Enforce password history : số lượng password bắt buộc phải lưu trữ
Maximum password age : thời hạn tối đã để password này tồn tại.

Minimum password age : thời hạn tối thiểu để password này tồn tại
Minimum password length : số kí tự tối thiểu của password
Password must meet complexity requirements : password phải thỏa mãn việc có
các kí tự (a,A,@,1…)
 Store passwords using reversible encryption: lưu trữ password,sử dụng phương
thức mã hóa.
Bạn có thể thiết lập bằng cách click đúp vào từng dòng và chọn Define this policy setting sau
đó nhập thơng tin thiết lập và chọn OK.


Và tơi đã thiết lập chính sách về password như sau: domain ict24h.net lưu trữ tối đa 5
password.Sau khi thiết lập password 1 ngày,bạn có thể thay đổi password.Quá 30 ngày buộc
bạn phải thay đổi password.Password tối thiểu là 7 kí tự và buộc phải gồm các kí tự (a,A,@,1…)
trong password.Password này được lưu trữ sử dụng phương thức mã hóa

Sau khi thiết lập xong đóng cửa sổ Group Policy Management Editor.


LIÊN KẾT GPO VÀO CÁC ĐỐI TƯỢNG
Sau khi tạo các GPO độc lập,bạn cần thực hiện thao tác liên kế GPO này vào các loại đối tượng
trên Active Directory là site,domain hay OU.Đây là phương pháp thuận lợi và hiệu quả nhất để
áp dụng các chính sách đã thiết lập lên các nhóm user và computer.Cần lưu ý rằng mỗi GPO có
thể liên kết đến nhiều đối tượng trên Active Directory.
Trước khi liên kết GPO vào các đối tượng trên Active Directory,bạn cần tạo ra các đối tượng
này.Ở đây chúng ta sẽ tạo các OU.
Vào Server Manager  Roles  Active Directory Domain Services  Active Directory
Users and Computers.Nhấp chuột phải vào tên domain và chọn New  Organization Unit
Gõ tên đối tượng vào

Chọn OK.Tiếp theo là tạo user và computer trong OU này.Nhấp chuột phải vào OU và chọn

New  User hoặc chọn Computer
(Việc tạo User,Computer đã hướng dẫn ở bài cài đặt ADDS)
Tôi đã tạo 3 user và 2 computer trong OU ICT24H Group.


Sau khi đã tạo xong,bạn sử dụng GMPC để liên kết GPO vào OU.
Vào Start  Adminitrative Tools  Group Policy Management.
Nhấp chuột phải vào OU và chọn Link an Existing GPO

Trong bảng Select GPO chọn tên domain ở mục Look in this domain.Đồng thời chọn GPO
tương ứng ở mục Group Policy objects.


Chọn OK để hồn tất.

TẠO MỘT GPO LIÊN KẾT
Thay vì tạo các GPO độc lập,sau đó tiến hành liên kết ,bạn có thể kết hợp hai cơng việc này vào
một để tạo ra một GPO liên kết (linked GPO).Tuy nhiên ,bạn chỉ nên tạo trực tiếp GPO liên kết
khi đã có kinh nghiệm triển khai GPO và am hiểu về hệ thống của mình.
Vào Start  Administrative Tools  Group Policy Management
Tại GPM ,nhấp chuột phải vào GPO và chọn Create a GPO in this domain,and Link it here


Tại bảng New GPO nhập tên GPO và chọn OK

Lúc này,GPO mới đã được tạo,đồng thời liên kết đến OU mà bạn đã tương tác.


Nếu bạn muốn hủy GPO khỏi OU này ,click vào GPO đó.Tại khung bên phải,tab Scope ,nhấp
chuột phải vào OU đó và chọn Delete Link (s)



Thao tác trên chỉ là hủy liên kết GPO đến OU,nếu bạn muốn xóa GPO thì nhấp chuột phải vào
GPO đó và chọn Delete.
Lưu ý: trước khi xóa bỏ GPO bạn phải hủy các liên kết của GPO đó với OU trên domain .

TƯƠNG TÁC MỞ RỘNG VỚI GPO
Công cụ GPMC cho phép bạn dễ dàng thực hiện các thao tác như :backup,restore,copy và
import các GPO đang được triển khai.Khả năng này là một ưu điểm rất quan trọng trong quá
trình quản lý các GPO trên hệ thống mạng,giúp bạn tiết kiệm thời gian,đồng thời tăng tính
chính xác và ổn định của hệ thống
Để backup cho tất cả các GPO nhấp chuột phải vào Group Policy Objects và chọn Back Up All

Tại bảng Backup Group Policy Objects .chọn đường dẫn lưu GPO ở mục Location và nhập chú
thích ở mục Description .


Sau đó chọn Back Up.Đợi hệ thống tiến hành backup


Sau khi hoàn tất chọn OK.
Để backup một GPO cụ thể nào đó nhấp chuột phải lên GPO đó và chọn Back up và cũng tiến
hành tương tự việc backup cho tất cả các GPO.
Sau khi đã backup xong,bạn có thể quản lý GPO bằng chức năng Manage Backup
Nhấp chuột phải vào Group Policy Objects và chọn Manage Backup

Tại bảng Manage Backups,ở mục Backup location,chọn Browse và tới đường dẫn thư mục đã
backup.Sau đó,danh sách các GPO sẽ xuất hiện ở muc Backed up GPOs



Nếu bạn muốn chỉ hiển thị các GPO được backup gần với thời điểm hiện tại nhất ,bạn đánh dấu
chọn Show only the lastest version of each GPO
Nếu bạn muốn xem chi tiết các thiết lập trong GPO thì chọn GPO đó và chọn View Settings.


Để xóa GPO đã backup,bạn chọn GPO và chọn Delete
Nếu đã có backup thì chắc chắn sẽ có restore.Để restore một GPO bạn nhấp chuột phải vào
GPO đó và chọn Restore from Backup..


Tại bảng Welcome to the Restore Group Policy Object Wizard chọn Next.


Tại bảng Backup location chọn đường dẫn thư mục đã backup

Chọn Next để tiếp tục.Tại bảng Backed up GPOs,chọn GPO muốn restore.


Chọn Next.Tại bảng Completing chọn Finish để hoàn tất

Đợi hệ thống restore GPO,sau khi hoàn tất chọn OK


Để kiểm tra,click vào GPO đó,tại khung bên phải,ở tab Settings.Xem lại thời gian cũng như các
thiết lập.


STARTER GPOS
Starter GPOs là một thành phần trên GMPC,cho phép bạn quản lý các template dùng để tạo ra
các GPO .Starter GPOs chỉ hỗ trợ các thiết lập trên Administrative Templates,giúp bạn thực hiện

các thao tác với Administrative Templates như tạo lập,tùy chỉnh,import,export….một cách dễ
dàng và nhanh chóng.Trong phần này,chúng ta sẽ thực hành tạo lập các Starter GPOs ,sau đó
tạo ra GPO mới với template là các Starter GPO này.
Để tạo một Starter GPO.Vào Start  Administrative Tools  Group Policy Management.
Click vào Starter GPOs và chọn Create Starter GPOs Folder


Nhấp chuột phải vào Starter GPOs và chọn New.Trong bảng New Starter GPO nhập tên của
Starter GPO

Chọn OK.
Tiếp theo,nhấp chuột phải lên Starter GPO vừa tạo và chọn Edit