Họ và Tên: Đặng Quốc Hải

BÀI TẬP MẠNG MÁY TÍNH 04

Mã sinh viên: xxxx
Điểm

Nhận xét giảng viên

Câu 1: Thống kê, mơ tả các chính sách khác trên Local Group Policy
a) Local Group Policy là gì?
Local Group Policy là một trong những tính năng Windows khơng phổ biến trong
số những người dùng máy tính thơng thường, nhưng nó được nhiều người quản trị
mạng u thích.
Khi user đăng nhập thì họ chịu những áp đặt của Hệ Điều Hành, trong quá trình
quản lý ta có nhu cầu hạn chế hay thêm vào các quyền hạn của họ khi truy cập ứng
dụng hay truy cập tài nguyên.
Group Policy có thể áp dụng lên local computer hay môi trường domain.
b) Backup và Restore các chính sách
GPO cho phép bạn thực hiện backup các chính sách và restore khi có sự cố xảy ra.


c) Các tính năng mới của GPO trong Windows Server 2012
Group Policy Caching (new): khi máy tính đã cập nhật các chính sách policy mới
nhất về máy mình, nó sẽ lưu vào một thư mục trên máy đó (local) . Policy này sẽ
được đồng bộ lại vào lần tiếp theo khi computer start/reboot, nó sẽ so sánh và cập
nhật những chính sách mới mà nó chưa có. Thay vì ở phiên bản Windows Server
cũ là phải download lại toàn bộ policy mới nhất về. Điều này giúp giảm đáng kể
thời gian logon, thời gian xử lý policy và tiết kiệm băng thơng. Phù hợp với các
máy tính dùng tính năng Direct Access.

Remote Group Policy Update (New): cho phép đứng trên Group Policy
Management thực hiện lệnh gpupdate /force từ xa, áp dụng đến bất kỳ máy tính
nào trong domain. Thực hiện bằng cách chuột phải vào OU –> Group Policy
Update –> OK.


Group Policy Client Service idle state (Updated): mặc định cứ 90 phút thì GPO
được cập nhật lại một lần, nếu phát hiện người dùng khơng dùng máy tính trong 10
phút (idle time), thì sẽ tắt dịch vụ này. Mặc định được Enable sẵn, bạn cũng có thể
Disable chính sách tại đây (Computer Configuration \Policies\Administrative
Templates\System\Group Policy\Turn off Group Policy Client Service AOAC
Optimization)


Group Policy Result report improvements (Updated): bảng report chứa nhiều
thông tin hơn như kết nối slow link, thông tin về block inheritance, quá trình xử lý
của client.


d) Cơng cụ quản lý Local Group Policy
 Mở trình quản lý Local Group Policy
Cách 1: Dùng lệnh Run =>gpedit.msc

Cách 2: Run -> mmc (giao diện console root). Menu File chọn Add/Remove Snapin.

Chọn Group Policy Object Editor, để mặc định Local computer -> add rồi save lại.


 Đặc điểm của trình quản lý Local Group Policy
Policy gồm 2 phần: Computer Configuration và User Configuration.

Các giá trị có trên Policy của Windows: Not configured/Defined: khơng can thiệp
vào policy, để mặc định theo Microsoft ( giá trị mặc định có lúc sẽ là disable
policy, có lúc sẽ là enable policy). Enabled: bật policy. Disable: tắt policy.
e) Một số Local Policy thường dùng
 Display shutdown event tracker
Bật/Tắt chức năng “Display shutdown event tracker”: đây là chức năng bắt ta khai
báo lý do nếu tắt server.


 Các policy liên quan đến Control Panel
Mở danh mục liên quan đến Control Panel: User Configuration > Administrative
Templates > Control Panel.
+ Prohibit access to Control Panel and PC settings: cấm truy cập Control Panel.
Bất lợi của policy này là những thiết lập liên quan đến control panel đều bị cấm
( Screen solution, Properties Computer, v.v đều bị cấm).
+ Show only specified Control Panel items: chỉ cho phép sử dụng 1 số item trong
control panel do admin chỉ định. Bạn kích hoạt “enable” rồi click show, ta nhập
đúng tên item trên control panel mà ta cho phép hiển thị.
Ví dụ : chỉ cho phép hiển thị item fonts


Vào cmd gõ lệnh gpupdate /force thu được kết quả.


 Các policy liên quan đến Destop
Mở danh mục Policy liên quan đến Desktop: User Configuration > Administrative
Templates > Desktop.
+ Remove Recycle Bin icon from desktop: mất icon Recycle Bin ở desktop (muốn
mất thì enable policy này).


 Các policy liên quan đến Start Menu và Taskbar
Mở danh mục Policy liên quan đến Start Menu và Taskbar: User Configuration >
Administrative Templates > Start Menu and Taskbar.
+ Remove Run menu from Start menu: cấm chạy menu Run (bấm Windows + R
cũng bị cấm).
 Các policy liên quan đến System
+ Prevent access to the command prompt: cấm sử dụng cmd.
+ Don’t run specified Windows application: cấm các ứng dụng của Windows. Kích
hoạt ‘enable’, chọn show.
Mỗi ứng dụng sẽ có file thực thi (*.exe), chỉ cần add file thực thi là policy cấm
được ứng dụng.
Ví dụ: cấm internet explore (IE), file thực thi của IE là iexplore.exe


f) Các security policy thường gặp
 Account Policies (chính sách tài khoản)

 Local Policies (các chính sách cục bộ)
+ User rights assignment: gán quyền cho người dùng.
+ Security Option: Trong giao diện log-on, mặc định hệ thống hiển thị các user
đang có => khơng bảo mật, ta dùng policy
g) Các policy liên quan đến vấn đề truy cập tài nguyên mạng.
+ Security Options:
Network access: Sharing and security model for local accounts: Các chế độ truy
cập mạng


Account: Limit local account use of blank password to console log on only: cấm
tài khoản khơng có password truy cập tài nguyên
+ User Rights Assignment:

Access this computer from the network: cho phép user, group truy cập tài
nguyên (mặc định là tất cả user).
Deny access to this computer from the network : cấm user, group nào đó truy
cập tài nguyên (nếu vừa allow, vừa deny thì deny ưu tiên hơn).
Start -> Run -> MMC -> Add/Remove Snap-in -> Group Policy Object Editor ->
Browse -> tab user chỉ định user cụ thể -> OK (muốn thêm bao nhiêu user thì làm
lại bấy nhiêu lần).


Lưu ý 1: Các policy lưu trong 1 file là có đường dẫn là: C:\ Windows \ System32 \
Group Policy


Câu 2: Thực hiện các chính sách trên computer policy, User Policy của
Window
Bước 1: Mở run lên => gõ lệnh gpedit.msc

Bước 2: Sau khi giao diện Local Group Policy Editor mở lên: Local Computer
Policy > Computer Configuaration >Administrator Templates > System. Ở khung
bên phải Double click vào dòng Display Shutdown Event Tracker.


Bước 3: Chọn Disabled và nhấn OK

Bước 4: Mở của sổ Control Panel. Ta thấy truy cập được cửa sổ này


Bước 5: Tiếp tục, mở run> gõ gpedit.msc. Lần lượt mở theo đường dẫn: Local
Computer Policy > User Configuration > Administrative Templates >Control
Panel.


Bước 6: Ở khung bên phải Double Click vào dòng prohibit access to Control Panel
and PC Settings. Chọn Enable và nhấn OK.


Bước 7: Kiểm tra: ta mở Control Panel sẽ xuất hiện thông báo ngăn chặn truy cập

Điểu chỉnh policy user configuration


Bước 1: Nhấn biểu tượng Windows, trở lại màn hình Destop. Mở RUN gõ lệnh
gpedit.msc. Lần lượt mở theo đường dẫn Local Computer Policy > User
Configuration > Administrative Templates > Destop

Bước 2: Ở ô bên phải, nhấn double click vào dòng Remove Recycle Bin icon from
destop >Enable và chọn OK.

Bước 3: Ta mở cmd lên và gõ lệnh: gpupdate/force


Bước 4: Vào màn hình chính kiểm tra, thốt và đăng nhập lại user sẻ thấy mất biểu
tượng rác Recycle Bin trên Destop

Bước 5: Ở bước trên ta sử dụng Command Prompt để cập nhật trực tiếp chính sách
của hệ điều hành.

Vậy để chặn không cho User truy cập vào CMD thì ta cần làm thế nào?


Bước 1: Tương tự với cách mở trên ta mở RUN len gõ: gpedit.msc. Sau đó lần

lượt mở theo đường dẫn: Local Computer Policy > User Configulation >
Administrative Templates => Systems. Ở ơ bên phải chọn Prevent access như hình

Bước 2: Sau khi chọn prevent access to the command prompt, chọn Enabled và
OK.

Bước 3: Kiểm tra vào cmd sẻ thấy thông báo lỗi.


Sau khi thực hiện xong, chúng ta trả các Policy về lại trạng thái ban đầu.

Họ và tên: Đặng Quốc Hải

THỰC HÀNH MẠNG MÁY TÍNH


Mã sinh viên: 2001170046
Điểm

Tiết 7-11, chiều thứ 4
Nhận xét của giảng viên

Bài 1: Tạo Domain Controller, thực hiện kết nối máy client vào Domain
a) Tạo Domain Controller
Bước 1: Đặt địa chỉ IP tĩnh cho máy tính được chọn làm Domain Controller

Bước 2: Mở Server Manager lên, sau đó chọn Add Roles and Features.


Lúc này xuất hiện màn hình giới thiệu chọn Next để qua bước tiếp theo


Bước 3: Màn hình Select installation type. Chọn Role based or…..Click Next


Bước 4: Màn hình Select Destination Server, chọn Select a Server from the server
pool, Click Next


Bước 5: Ở màn hình Select Server Roles, bạn đánh dấu chọn vào ơ Active
Directory Domain Services. Chương trình sẽ yêu cầu cài thêm các Features, bạn
Click Add Features,

Các bước cịn lại bạn nhấn Next theo mặc định. Màn hình Confirm installation
selections,đánh dấu chọn vào ô Restart the destination server automatically if
required (hệ thống sẽ tự khởi động lại khi có yêu cầu), Click Install, để bắt đầu cài
đặt