CHÍNH SÁCH NHĨM

I. Giới thiệu về chính sách nhóm.
II. Triển khai một chính sách nhóm trên miền.
III. Các ví dụ minh họa.

1


1. So sánh giữa System Policy và
Group Policy.
Chính sách nhóm chỉ xuất hiện trên miền Active
Directory của NT5.0.
Chính sách nhóm bao gồm các chính sách của hệ
thống và các chính sách của riêng từng nhóm.
Chính sách nhóm tự động hủy bỏ tác dụng khi được
gỡ bỏ, không giống như các chính sách hệ thống.

2


Chính sách nhóm được áp dụng thường xun
hơn chính sách hệ thống. Các chính sách hệ
thống chỉ được áp dụng khi máy tính đăng nhập
vào mạng. Các chính sách nhóm thì được áp
dụng trong suốt thời gian làm việc.
Có nhiều mức độ để gán chính sách nhóm này
cho từng nhóm người dùng hoặc từng nhóm đối
tượng.
Chính sách nhóm mới chỉ áp dụng được trên
máy Win2K, WinXP và Windows Server 2003.

3


2. Chức năng của Group Policy.
a.

Triển khai phần mềm ứng dụng: đặt một một gói
cài đặt(package) nào đó lên Server, rồi dùng
chính sách nhóm hướng một hoặc nhiều máy trạm
đến gói phần mềm đó. Hệ thống sẽ tự động cài đặt
phần mềm này đến tất cả các máy trạm mà không
cần sự can thiệp nào của người dùng.

b.

Gán các quyền hệ thống cho người dùng:
tương tự như chính sách hệ thống. Nó có thể cấp
cho một hoặc một nhóm người nào đó có quyền
tắt máy server, đổi giờ hệ thống, backup dữ liệu.
4


c.

Giới hạn những ứng dụng mà người dùng
được phép thi hành: chúng ta có thể kiểm sốt
máy trạm của một người dùng nào đó và cho phép
người dùng này chỉ chạy được một vài ứng dụng
như: Outlook Express, Word hay Internet Explorer.


d.

Kiểm sốt các thiết lập hệ thống: bạn có thể
dùng chính sách nhóm để qui định hạn ngạch đĩa
cho một người dùng. Người dùng này chỉ được
phép lưu trữ tối đa bao nhiêu MB trên đĩa cứng
theo qui định.
5


e.

Thiết lập các kịch bản đăng nhập, đăng xuất,
khởi động và tắt máy: Từ Windows 2000 và
Windows Server 2003 thì hỗ trợ cả bốn sự kiện
này được kích hoạt (trigger) một kịch bản (script).
Ta dùng các GPO để kiểm soát những kịch bản
nào đang chạy.

f.

Đơn giản hóa và hạn chế các chương trình: Có
thể dùng GPO để gỡ bỏ nhiều tính năng khỏi
Internet Explorer, Windows Explorer và những
chương trình khác.

6


g.


Hạn chế tổng quát màn hình Desktop của
người dùng: chúng ta có thể gỡ bỏ hầu hết các
đề mục trên menu Start của một người dùng nào
đó, ngăn chặn khơng cho người dùng cài thêm
máy in, sửa đổi thông số cấu hình của máy trạm…

7


II. Triển khai một chính sách nhóm
trên miền


Chúng ta cấu hình và triển khai Group Policy bằng
cách xây dựng các đối tượng chính sách (GPO).



Các GPO có thể chứa nhiều chính sách áp dụng
cho nhiều người, nhiều máy tính hay tồn bộ hệ
thống mạng.



Dùng chương trình Group Policy Object Editor để
tạo ra các đối tượng chính sách (GPO)

8





Trong của sổ chính của Group Policy Object Editor có
hai mục chính: cấu hình máy tính (computer
configuration) và cấu hình người dùng (user
configuration).

9


1.

Xem chính sách cục bộ của một máy
tính ở xa.



Để xem một chính sách cục bộ trên các máy tính
khác trong miền, bạn phải có quyền quản trị trên
máy đó hoặc quản trị miền.



Lệnh: GPEDIT.MSC/gpcomputer:machinename
VD: xem chính sách trên máy PCO1 ta gõ lệnh
GPEDIT.MSC /gpcomputer: PCO1.




Không thể dùng cách này để thiết lập các chính
sách nhóm cho máy tính ở xa.

10


2. Tạo các chính sách trên miền
Có 2 cách gọi Group Policy để tạo ra các chính
sách nhóm cho miền.


Dùng Active Directory User and Computer



Gọi trưc tiếp tiện ích Group Policy Object Editor
từ dòng lệnh trên máy DC.

Nếu mở Group Policy từ Active Directory User
and Computer thì trong khung cửa sổ chính của
chương trình bạn nhấp chuột phải vào biểu tượng
tên miền , chọn Properties.
11




Trong hộp thoại xuất hiện bạn chọn Tab Group Policy.

12





Nếu chưa tạo ra một chính sách nào thì chỉ có một
chính sách tên Default Domain Policy.



Checkbox Block Policy inheritance, chức năng
của mục này là ngăn chặn các thiết định của mọi
chính sách bất kỳ ở cấp cao hơn lan truyền xuống
đến cấp đang xét.
Chọn chính sách Default Domain Policy và nhấp
chuột vào nút Option để cấu hình các lựa chọn việc
áp dụng chính sách.



13




Trong hộp thoại Options, nếu đánh dấu vào mục
No Override thì các chính sách khác được áp dụng
ở dịng dưới sẽ khơng phủ quyết được những thiết
định của chính sách này, cho dù chính sách đó
khơng đánh dấu vào mục Block Policy
inheritance.




Tiếp theo nếu bạn đánh dấu vào mục Disabled, thì
chính sách này sẽ khơng hoạt động ở cấp này, Việc
disbale chính sách ở một cấp khơng làm disable
bản thân đối tượng chính sách.

14


15




Để tạo ra một chính sách mới bạn nhấp chuột vào
nút New, sau đó nhập tên của chính sách mới.



Để khai báo thêm thơng tin cho chính sách này bạn
có thể nhấp chuột vào nút Properties, hộp thoại
xuất hiện có nhiều Tab, bạn có thể vào Tab Links
để chỉ ra các site, domain hoặc OU nào liên kết với
chinh sách.

16





Trong Tab Security cho phép bạn cấp quyền cho người
dùng hoặc nhóm người dùng có quyền gì trên chính
sách này.

17




Trong hộp thoại chính của Group Policy thì các
chính sách được áp dụng từ dưới lên trên, cho nên
chính sách nằm trên cùng sẽ được áp dụng cuối
cùng.



Do đó, các GPO càng nằm trên cao trong danh sách
thì càng có độ ưu tiên cao hơn, nếu chúng có những
thiết định mâu thuẫn nhau thì chính sách nào nằm
trên sẽ thắng.



Vì lý do đó nên Microsoft thiết kế hai nút Up và
Down giúp chúng ta có thể di chuyển các chính
sách này lên hay xuống.
18



19


Có thay đổi chính sách nhóm bằng cách Click nút
Edit

20


III. Minh họa GPO trên người dùng
và cấu hình nhóm
1. Khai báo 1 logon script dùng chính sách nhóm


Windows Server 2003 hỗ trợ bốn sự kiện để có
thể kích hoạt các kịch bản (script) hoạt động là:
startup, shutdown, logon, logoff.



Trong công cụ Group Policy Object Editor, vào
Computer Configuration Windows Setttings 􀂾
Scripts để khai báo các kịch bản sẽ hoạt động khi
startup, shutdown.

21





Đồng thời để khai báo các kịch bản sẽ hoạt động
khi logon, logoff thì bạn vào User Configuration
Windows Setttings Scripts.



Trong ví dụ này chúng ta tạo một logon script,
q trình gồm các bước sau:

22




Vào mục User Configuration Windows Setttings
Scripts.

23




Nhấp đúp chuột vào mục Logon bên của sổ bên
phải, hộp thoại xuất hiện, bạn nhấp chuột tiếp vào
nút Add để khai báo tên tập tin kịch bản cần thi
hành khi đăng nhập.




Chú ý tập tin kịch bản này phải được chứa trong thư
mục
c: \ windows \ system32 \ grouppolicy \ user \
script \ logon.

24


25