Bài giảng Quản trị mạng - Chương 3: Quản trị Active Directory - Phan Thị Thu Hồng
Quản lý User
Tài khoản người dùng - user account :
Là một đối tượng quan trọng đại diện cho người dùng
Phân biệt với nhau thông qua chuỗi nhận dạng username
User account:
Dùng để user đăng nhập vào máy hay domain
Công dụng:
Authentication – Xác thực
Authorization – Cấp quyền
Được cấp quyền truy xuất tài nguyên
Auditing – Kiểm tra
Theo dõi việc truy xuất tài nguyên
Tài khoản người dùng cục bộ - local user account
Được tạo, lưu và chỉ được phép logon trên máy cục bộ.
Truy xuất các tài nguyên trên máy tính cục bộ.
Được tạo với công cụ Local Users and Group trong Computer
Management (COMPMGMT.MSC).
Các tài khoản cục bộ (stand-alone server, member server, các máy
trạm) được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security
Accounts Manager) trong thư mục \Windows\system32\config.
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Trang 8
Trang 9
Trang 10
Tải về để xem bản đầy đủ
Tóm tắt nội dung tài liệu: Bài giảng Quản trị mạng - Chương 3: Quản trị Active Directory - Phan Thị Thu Hồng
và Group Policy Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống: Chính sách hệ thống chỉ được áp dụng khi máy tính đăng nhập vào mạng. Các chính sách nhóm được áp dụng khi bạn bật máy lên. Có nhiều mức độ để gán chính sách nhóm cho người từng nhóm người hoặc từng nhóm đối tượng. Chính sách nhóm chỉ áp dụng cho các hệ thống từ Windows 2000 2/28/2015 81 Giới thiệu về Group Policy - GP Định nghĩa Mục đích Các loại chính sách nhóm Sự thừa kế 2/28/2015 83 Định nghĩa Là tập hợp các thông tin cấu hình (configuration settings) Tác động trên một hoặc nhiều đối tượng (users, computers) trong Active Directory hoặc trên một hệ thống (local group policy) 2/28/2015 84 Các thông tin cấu hình Chính sách nhóm cho computers Desktop Security Startup/shutdown scripts Chính sách nhóm cho users Desktop Security Logon/logoff scripts 2/28/2015 85 2/28/2015 86 Mục đích chính sách nhóm Quản lý môi trường làm việc của user trong site, domain, organization unit hay trong từng hệ thống Đơn giản hóa một số thao tác quản trị Quản trị tập trung 2/28/2015 87 Chức năng của GP Triển khai phần mềm ứng dụng Gán các quyền hệ thống cho người dùng Giới hạn những ứng dụng mà người dùng được phép thi hành Kiểm soát các thiết lập hệ thống Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy Đơn giản hóa và hạn chế các chương trình Hạn chế tổng quát màn hình Desktop của người dùng 2/28/2015 88 Các loại chính sách nhóm Các thiết lập chính sách được lưu trên GPO (Group Policy Object, đối tượng chính sách nhóm) Có 2 dạng GPO Local GPO: lưu trên từng máy Non local GPO: lưu trên Active Directory 2/28/2015 89 Sự thừa kế chính sách nhóm Thứ tự thừa kế chính sách nhóm Local Site Domain Organizational Unit Các thiết lập có tính tích lũy (cumulative) Nếu có xung đột thì không thừa kế Có thể cấm sự thừa kế (block inheritance) hay buộc thừa kế (No override) 2/28/2015 90 Các GPOs mặc định Local: Local Group Policy trên mỗi máy Trên Active Directory: Default Domain Policy: Liên kết với domain Tác động đến tất cả user và computer trong domain Default Domain Controllers Policy: Liên kết với Domain Controllers OU Chỉ tác động trên các domain controllers 2/28/2015 91 Các bước thực hiện Dùng công cụ phù hợp với local, non-local GPO Tạo GPO Thiết lập các thông số Có thể liên kết (link) một GPO cho nhiều sites, nhiều Domains, hay nhiều OUs Có thể liên kết (link) nhiều GPOs cho một site, một Domain, hay một OU 2/28/2015 92 Công cụ GPMC Giới thiệu GPMC Cài đặt GPMC Tương tác với GPO Tạo một GPO độc lập Liên kết GPO vào các đối tượng Tạo một GPO liên kết Hủy liên kết GPO khỏi các đối tượng 2/28/2015 93 Công cụ GPMC Tương tác mở rộng với GPO Sao lưu GPO Phục hồi GPO Sao chép GPO Import GPO Starter GPOs Tạo và hiệu chỉnh Starter GPO Tạo GPO mới từ Starter GPO Group Policy Preferences 2/28/2015 94 Giới thiệu GPMC Là công cụ quản lý GP đa năng, cho phép tương tác với tất cả GPO, Windows Management Instrumentation (WMI) filters, đối tượng liên quan đến GPO như: Sao lưu và phục vụ GPO Import và sao chép GPO Tìm kiếm các GPO Group Policy Modeling: tạo môi trường giả lập trước khi triển khai thực tế các GP Group Policy Results Starter GPOs: quản lý các Administrative Templates Preferences: thực hiện các thiết lập liên quan đến registry, local account, dịch vụ, file, 2/28/2015 95 Cài đặt GPMC Nếu đã cài AD DS, thành phần GPMC sẽ được tự động cài đặt 2/28/2015 96 Tương tác với GPO Tạo một GPO độc lập Chú ý: Nên tạo các GPO độc lập (unlinked GPO) và triển khai thử trước khi áp dụng thực tế Đảm bảo các GPO hoạt động tốt mới áp dụng (link) trên các đối tượng (site, domain, OU) Các bước tạo GPO độc lập 1. Server manager/ Tools/ Group Policy Management 2/28/2015 97 2/28/2015 98 Kích chuột phải lên Group Policy Objects, chọn New Nhập tên của GPO Bấm OK Nhập tên GPO 2/28/2015 99 Kích chuột phải lên GPO vừa tạo, chọn Edit Computer Configuration Hiệu chỉnh GPO User Configuration 2/28/2015 100 Lựa chọn mục cần hiệu chỉnh Kích đúp lên chính sách cần hiệu chỉnh Hiệu chỉnh giá trị trong hộp Properties Bấm Apply, tiếp OK để kết thúc Chọn Enable Thực hiện tương tự nếu muốn hiệu chỉnh các chính sách khác. 2/28/2015 101 Tương tác với GPO Liên kết GPO vào các đối tượng Sau khi tạo GPO độc lập, cần thực hiện liên kết GPO vào các đối tượng trên AD như site, domain hoặc OU Mỗi GPO có thể liên kết đến nhiều đối tượng trên AD Các bước thực hiện 1. Tạo các đối tượng trên AD như OU (Quantrimang đã tạo từ buổi trước) 2. Liên kết GPO vào OU theo 2 cách 2/28/2015 102 Cách 1 2/28/2015 103 Kích chuột phải lên OU (site hoặc domain) Chọn Link an Existing GPO Chọn tên domain Chọn GPO tương ứng Chọn OK để kết thúc Cách 2 2/28/2015 104 Chọn GPO đồng thời giữ và rê chuột đến OU muốn liên kết. Chọn OKđể hoàn thành thao tác. Tạo một GPO liên kết 2/28/2015 105 Tương tác với GPO Kích chuột phải lên OU (site hoặc domain) Chọn Create a GPO in this domain, and Link it here Nhập tên của GPO Nhấn OK để kết thúc Chỉ tạo trực tiếp GPO liên kết khi đã có kinh nghiệm triển khai GPO 2/28/2015 106 GPO mới được tạo ra, đồng thời liên kết đến đối tượng (OU) đã tương tác Hủy liên kết GPO khỏi các đối tượng Mở cửa sổ GPMC, chọn GPO cần hủy liên kết 2/28/2015 107 Chọn GPO cần hủy liên kết Hủy liên kết GPO khỏi các đối tượng 2/28/2015 108 Chọn tab Scope Kích chuột phải lên đối tượng cần hủy liên kết, Chọn Delete Link Chọn OK để hủy liên kết Hủy liên kết GPO khỏi các đối tượng Chú ý: Thao tác vừa thực hiện chỉ có tác dụng hủy liên kết từ GPO đến các đối tượng trong AD chứ không xóa các GPO 2/28/2015 109 Kích chuột phải lên GPO cần xóa Chọn Delete Chọn Yes để xóa và hủy liên kết trên domain cntt.edu.vn Tương tác mở rộng với GPO Công cụ GPMC cho phép dễ dàng thực hiện các thao tác với các GPO đang được triển khai: Sao lưu Phục hồi Sao chép Import Giúp tiết kiệm thời gian, tăng tính chính xác và ổn định của hệ thống 2/28/2015 110 Sao lưu GPO Sao lưu tất cả các GPO 2/28/2015 111 Mở GPMC, kích chuột phải lên GPOs Chọn Back Up All Sao lưu GPO Sao lưu tất cả các GPO 2/28/2015 112 Back up để thực hiện sao lưu Chọn nơi lưu trữ GPOs Sao lưu GPO Sao lưu tất cả các GPO 2/28/2015 113 Kết quả sao lưu Bấm OK để hoàn thành tiến trình sao lưu GPO Sao lưu GPO Sao lưu một GPO cụ thể: Thao tác tương tự với sao lưu toàn bộ các GPO Khác: Chỉ lựa chọn GPO cần sao lưu 2/28/2015 114 Quản lý các GPO sao lưu Sử dụng chức năng Manage Backups 2/28/2015 115 Mở GPMC, kích chuột phải lên GPOs. Chọn Manage Backups Quản lý các GPO sao lưu Sử dụng chức năng Manage Backups 2/28/2015 Nhập đường dẫn đến thư mục lưu trữ GPOs đã sao lưu Danh sách các GPOs Hiển thị các GPO được sao lưu gần với thời điểm gần đây nhất Xóa một GPO đã sao lưu Xem chi tiết cấu hình của mỗi GPO trong danh sách 116 Phục hồi GPO 2/28/2015 117 Mở GPMC, kích chuột phải lên GPO cần phục hồi. Chọn Restore from Backup Phục hồi GPO 2/28/2015 118 Chỉ định thư mục chứa GPO cần phục hồi Bấm Next để tiếp tục Phục hồi GPO 2/28/2015 119 Chọn GPO cần phục hồi Bấm Finish để bắt đầu tiến trình phục hồi Phục hồi GPO đã bị xóa 2/28/2015 120 Mở GPMC, kích chuột phải lên GPOs Chọn Manage Backups Phục hồi GPO đã bị xóa 2/28/2015 121 Chọn GPO cần phục hồi Bấm OK để thực hiện phục hồi GPO Sao chép GPO Phục hồi GPO chỉ được thực hiện trên cùng domain với GPO đã sao lưu. Nhân bản GPO trên domain khác nhau=> sử dụng chức năng copy hoặc import GPMC cho phép sao chép GPO trên cùng domain hoặc khác domain. 2/28/2015 122 Sao chép GPO 2/28/2015 123 Mở GPMC, kích chuột phải lên GPO cần sao chép, Chọn Copy Nếu trên cùng domain, rightclick lên mục GPOs, chọn Paste Sao chép GPO 2/28/2015 124 Thiết lập các quyền cho GPO vừa sao chép như 1 GPO mới Hệ thống giữ lại các quyền đã tồn tại trên GPO Kết quả sao chép GPO Chú ý: Nếu sao chép GPO đến một domain khác, phải rightclick lên GPOs của domain đó Import GPO Cho phép áp dụng các thiết lập (policy settings) của một GPO đã sao lưu (backed-up GPO) vào GPO đang tồn tại trên hệ thống (destination GPO) Không làm thay dổi thiết lập trên Links hoặc Security Filtering của GPO đang tồn tại 2/28/2015 125 Import GPO 2/28/2015 126 Mở GPMC, kích chuột phải lên GPO muốn import. Chọn Import Settings Chọn Next để tiếp tục Import GPO 2/28/2015 127 Chọn Backup để sao lưu trước khi import Chọn thư mục chứa GPO sẽ import Chọn Next để tiếp tục 2/28/2015 128 Import GPO Chọn GPO muốn import tại danh sách Backed up GPOs Hệ thống tiến hành quét các thiết lập trên GPO sắp import Chọn Next để tiếp tục 2/28/2015 129 Import GPO Hiển thị các thông tin đã lựa chọn Bắt đầu tiến trình import GPO Kết quả tiến trình import Bấm OK để kết thúc Starter GPOs Cho phép quản lý các template dùng để tạo ra các GPO Chỉ hỗ trợ các thiết lập trên Administrative Templates: tạo lập, hiệu chỉnh, import, export, 2/28/2015 130 Tạo và hiệu chỉnh Starter GPO 2/28/2015 131 Mở GPMC, chọn mục Starter GPOs, Chọn Create Starter GPOs Folder để tạo thư mục lưu trữ các Starter GPO Kích chuột phải vào Starter GPO, chọn New Nhập tên của Starter GPO Bấm OK để tiếp tục Tạo và hiệu chỉnh Starter GPO 2/28/2015 132 Rightclick vào Starter GPO, chọn Edit để hiệu chỉnh Tạo và hiệu chỉnh Starter GPO 2/28/2015 133 Mở rộng Administrative Template Chọn mục cần hiệu chỉnh Thay đổi giá trị trong hộp thoại Propeties Bấm OK để hoàn thành Hiệu chỉnh Starter GPO Lặp lại thao tác trên để hiệu chỉnh chính sách khác 2/28/2015 134 Tạo GPO mới từ Starter GPO Cách 1 2/28/2015 135 Nhập tên GPO Starter GPO xuất hiện Bấm OK Kích chuột phải lên Starter GPO Chọn New GPO From Starter GPO Tạo GPO mới từ Starter GPO Cách 2 2/28/2015 136 Kích chuột phải lên GPOs Chọn New Nhập tên GPO Chọn Starter GPO tương ứng Chọn OK để kết thúc Group Policy Preferences SV tự tìm hiểu 2/28/2015 137 Một số ví dụ 2/28/2015 138 Ví dụ 1: Cho phép domain users đăng nhập tại server 2/28/2015 139 Ví dụ 1: Cho phép domain users đăng nhập tại server Group Policy Management Domain Controllers Container Rightclick Default Domain Controller Policy Edit Computer Configuration Windows Settings Security settings Local policies User Rights Assignment Logon locally => thêm nhóm Domain Users 2/28/2015 140 Ví dụ 2: Loại bỏ Run khỏi Start menu và Control Panel khỏi Settings Active Directory Users and Computers Tạo GPO cho OU Rightclick GPO - Edit User Configuration Administrative Template Start Menu & Task bar: Remove Run menu from Start Menu: Enabled Control Panel Prohibit access to the Control Panel: Enabled 2/28/2015 141 Ví dụ 3: Di chuyển folder My Documents Rightclick GPO - Edit User Configuration Windows Settings Folder Redirection My Documents - Properties Target: Basic - Redirect everyone’s folder to the same location Target folder location: Redirect to the user’s home folder 2/28/2015 142 Ví dụ 3: Di chuyển folder My Documents 2/28/2015 143 Ví dụ 4: Hạn chế chức năng của Internet Explorer Mục đích: người dùng máy trạm không được phép thay đổi bất kì thông số nào trong Tab Security, Connection và Advanced trong hộp thoại Internet Options của công cụ Internet Explorer. 2/28/2015 144 Ví dụ 4: Hạn chế chức năng của Internet Explorer Cách thức thực hiện Group Policy Object Editor User Configuration Administrative Templates Windows Components Internet Explorer Internet Control Panel Disable the Connection page - Enable Disable the Security page – Enable Disable the Advanced page – Enable 2/28/2015 145 Ví dụ 4: Hạn chế chức năng của Internet Explorer 2/28/2015 146 Ví dụ 5: Chỉ cho phép một số ứng dụng được thi hành Group Policy Object Editor User Configuration Administrative Templates System. Run only allowed windows applications Show: để chỉ định các phần mềm được phép thi hành 2/28/2015 147 Ví dụ 5: Chỉ cho phép một số ứng dụng được thi hành 2/28/2015 148 Ví dụ 5: Chỉ cho phép một số ứng dụng được thi hành 2/28/2015 149 Chỉ ngăn được các chương trình chạy bởi tiến trình Windows Explorer Các chương trình chạy từ RUN như CMD.EXE hay MSPaint.EXE không bị ảnh hưởng Xem tab Explain để biết chi tiết Có 3 dạng phân phối phần mềm từ group policy Assigning Software - Gán phần mềm Gán phần mềm cho users hay computers Phần mềm được cài đặt khi đăng nhập Publishing Software - Công bố phần mềm Công bố phần mềm cho users Phần mềm được hiển thị từ hộp thoại Add or Remove Programs User thực hiện cài đặt Advanced Software - Cài đặt nâng cao Cho phép người dùng cài đặt thêm một số tùy chọn 2/28/2015 150 Ví dụ 6: Cài đặt phần mềm Tạo điểm phân phối (Distribution point) Tạo share folder Sao chép cài đặt phần mềm dạng *.MSI Tạo Group Policy Object 2/28/2015 151 Các bước cài đặt phần mềm từ group policy Các bước cài đặt phần mềm từ group policy Gán phần mềm (Assign a Package) User Configuration Software Settings Software Installation New _ Package _ Assigned Package được cài đặt khi client computer khởi động 2/28/2015 152 Công bố phần mềm (Publish a Package) User Configuration Software Settings Software Installation New _ Package _ Published Package được hiển thị tại máy trạm: Add or Remove Programs/ Add New Programs Add programs from your network Package được cài đặt khi chọn Add 2/28/2015 153 Các bước cài đặt phần mềm từ group policy Các bước cài đặt phần mềm từ group policy Cài lại phần mềm (Redeploy a Package) User/Computer Configuration Software Settings Software Installation Chọn package All Tasks _ Redeploy application 2/28/2015 154 Gỡ bỏ phần mềm (Remove a Package) User/Computer Configuration Software Settings Software Installation Chọn package All Tasks _ Remove Chọn một trong các tùy chọn: Immediate uninstall the software from users and computers Allow users to continue to use the software but prevent new installation 2/28/2015 155
File đính kèm:
- bai_giang_quan_tri_mang_chuong_3_quan_tri_active_directory_p.pdf