Bài giảng Quản trị mạng - Chương 3: Quản trị Active Directory - Phan Thị Thu Hồng

 và Group Policy 
 Chính sách nhóm được áp dụng thường xuyên hơn chính 
sách hệ thống: 
 Chính sách hệ thống chỉ được áp dụng khi máy tính đăng 
nhập vào mạng. 
 Các chính sách nhóm được áp dụng khi bạn bật máy lên. 
 Có nhiều mức độ để gán chính sách nhóm cho người từng 
nhóm người hoặc từng nhóm đối tượng. 
 Chính sách nhóm chỉ áp dụng cho các hệ thống từ 
Windows 2000 
2/28/2015 81 
Giới thiệu về Group Policy - GP 
Định nghĩa 
Mục đích 
Các loại chính sách nhóm 
 Sự thừa kế 
2/28/2015 83 
Định nghĩa 
 Là tập hợp các thông tin cấu hình (configuration 
settings) 
 Tác động trên một hoặc nhiều đối tượng (users, 
computers) trong Active Directory hoặc trên một hệ 
thống (local group policy) 
2/28/2015 84 
Các thông tin cấu hình 
 Chính sách nhóm cho computers 
 Desktop 
 Security 
 Startup/shutdown scripts 
 Chính sách nhóm cho users 
 Desktop 
 Security 
 Logon/logoff scripts 
2/28/2015 85 
2/28/2015 86 
Mục đích chính sách nhóm 
Quản lý môi trường làm việc của user trong 
site, domain, organization unit hay trong từng 
hệ thống 
Đơn giản hóa một số thao tác quản trị 
Quản trị tập trung 
2/28/2015 87 
Chức năng của GP 
 Triển khai phần mềm ứng dụng 
 Gán các quyền hệ thống cho người dùng 
 Giới hạn những ứng dụng mà người dùng được phép thi 
hành 
 Kiểm soát các thiết lập hệ thống 
 Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và 
tắt máy 
 Đơn giản hóa và hạn chế các chương trình 
 Hạn chế tổng quát màn hình Desktop của người dùng 
2/28/2015 88 
Các loại chính sách nhóm 
Các thiết lập chính sách được lưu trên GPO 
(Group Policy Object, đối tượng chính sách 
nhóm) 
Có 2 dạng GPO 
Local GPO: lưu trên từng máy 
Non local GPO: lưu trên Active Directory 
2/28/2015 89 
Sự thừa kế chính sách nhóm 
 Thứ tự thừa kế chính sách nhóm 
 Local 
 Site 
 Domain 
 Organizational Unit 
 Các thiết lập có tính tích lũy (cumulative) 
 Nếu có xung đột thì không thừa kế 
 Có thể cấm sự thừa kế (block inheritance) hay buộc thừa 
kế (No override) 
2/28/2015 90 
Các GPOs mặc định 
 Local: 
 Local Group Policy trên mỗi máy 
 Trên Active Directory: 
 Default Domain Policy: 
 Liên kết với domain 
 Tác động đến tất cả user và computer trong domain 
 Default Domain Controllers Policy: 
 Liên kết với Domain Controllers OU 
 Chỉ tác động trên các domain controllers 
2/28/2015 91 
Các bước thực hiện 
 Dùng công cụ phù hợp với local, non-local GPO 
 Tạo GPO 
 Thiết lập các thông số 
 Có thể liên kết (link) một GPO cho nhiều sites, nhiều 
Domains, hay nhiều OUs 
 Có thể liên kết (link) nhiều GPOs cho một site, một 
Domain, hay một OU 
2/28/2015 92 
Công cụ GPMC 
 Giới thiệu GPMC 
 Cài đặt GPMC 
 Tương tác với GPO 
 Tạo một GPO độc lập 
 Liên kết GPO vào các đối tượng 
 Tạo một GPO liên kết 
 Hủy liên kết GPO khỏi các đối tượng 
2/28/2015 93 
Công cụ GPMC 
 Tương tác mở rộng với GPO 
 Sao lưu GPO 
 Phục hồi GPO 
 Sao chép GPO 
 Import GPO 
 Starter GPOs 
 Tạo và hiệu chỉnh Starter GPO 
 Tạo GPO mới từ Starter GPO 
 Group Policy Preferences 
2/28/2015 94 
Giới thiệu GPMC 
  Là công cụ quản lý GP đa năng, cho phép tương tác với tất cả 
GPO, Windows Management Instrumentation (WMI) filters, 
đối tượng liên quan đến GPO như: 
 Sao lưu và phục vụ GPO 
 Import và sao chép GPO 
 Tìm kiếm các GPO 
 Group Policy Modeling: tạo môi trường giả lập trước khi triển 
khai thực tế các GP 
 Group Policy Results 
 Starter GPOs: quản lý các Administrative Templates 
 Preferences: thực hiện các thiết lập liên quan đến registry, local 
account, dịch vụ, file,  
2/28/2015 95 
Cài đặt GPMC 
 Nếu đã cài AD DS, thành phần GPMC sẽ được tự động cài đặt 
2/28/2015 96 
Tương tác với GPO 
Tạo một GPO độc lập 
 Chú ý: 
 Nên tạo các GPO độc lập (unlinked GPO) và triển khai thử 
trước khi áp dụng thực tế 
 Đảm bảo các GPO hoạt động tốt mới áp dụng (link) trên các 
đối tượng (site, domain, OU) 
 Các bước tạo GPO độc lập 
1. Server manager/ Tools/ Group Policy Management 
2/28/2015 97 
2/28/2015 98 
Kích chuột phải lên Group Policy Objects, chọn New 
Nhập tên của GPO 
Bấm OK 
Nhập tên GPO 
2/28/2015 99 
Kích chuột phải lên GPO vừa tạo, chọn Edit Computer Configuration 
Hiệu chỉnh GPO 
User Configuration 
2/28/2015 
100 
Lựa chọn mục cần hiệu chỉnh Kích đúp lên chính sách cần hiệu chỉnh 
Hiệu chỉnh giá trị trong hộp Properties 
Bấm Apply, tiếp OK để kết thúc 
Chọn Enable 
Thực hiện tương tự nếu muốn hiệu chỉnh các 
chính sách khác. 
2/28/2015 101 
Tương tác với GPO 
Liên kết GPO vào các đối tượng 
 Sau khi tạo GPO độc lập, cần thực hiện liên kết GPO vào các 
đối tượng trên AD như site, domain hoặc OU 
 Mỗi GPO có thể liên kết đến nhiều đối tượng trên AD 
 Các bước thực hiện 
1. Tạo các đối tượng trên AD như OU (Quantrimang đã tạo từ 
buổi trước) 
2. Liên kết GPO vào OU theo 2 cách 
2/28/2015 102 
Cách 1 
2/28/2015 103 
Kích chuột phải lên OU (site hoặc domain) 
Chọn Link an Existing GPO Chọn tên domain 
Chọn GPO tương ứng 
Chọn OK để kết thúc 
Cách 2 
2/28/2015 104 
 Chọn GPO đồng thời giữ và rê chuột đến OU muốn liên kết. 
 Chọn OKđể hoàn thành thao tác. 
Tạo một GPO liên kết 
2/28/2015 105 
Tương tác với GPO 
Kích chuột phải lên OU (site hoặc domain) 
Chọn Create a GPO in this domain, and Link it here 
Nhập tên của GPO 
Nhấn OK để kết thúc 
Chỉ tạo trực tiếp GPO liên kết khi đã có kinh nghiệm triển 
khai GPO 
2/28/2015 106 
GPO mới được tạo ra, đồng thời liên kết đến đối tượng (OU) đã tương tác 
Hủy liên kết GPO khỏi các đối tượng 
Mở cửa sổ GPMC, chọn GPO cần hủy liên kết 
2/28/2015 107 
Chọn GPO cần hủy liên kết 
Hủy liên kết GPO khỏi các đối tượng 
2/28/2015 108 
Chọn tab Scope 
Kích chuột phải lên đối tượng 
cần hủy liên kết, Chọn Delete Link 
Chọn OK để hủy liên kết 
Hủy liên kết GPO khỏi các đối tượng 
 Chú ý: Thao tác vừa thực hiện chỉ có tác dụng hủy liên kết từ 
GPO đến các đối tượng trong AD chứ không xóa các GPO 
2/28/2015 109 
Kích chuột phải lên GPO cần xóa 
Chọn Delete 
Chọn Yes để xóa và hủy liên kết 
trên domain cntt.edu.vn 
Tương tác mở rộng với GPO 
 Công cụ GPMC cho phép dễ dàng thực hiện các thao tác 
với các GPO đang được triển khai: 
 Sao lưu 
 Phục hồi 
 Sao chép 
 Import 
 Giúp tiết kiệm thời gian, tăng tính chính xác và ổn định của 
hệ thống 
2/28/2015 110 
Sao lưu GPO 
Sao lưu tất cả các GPO 
2/28/2015 111 
Mở GPMC, kích chuột phải lên GPOs 
Chọn Back Up All 
Sao lưu GPO 
Sao lưu tất cả các GPO 
2/28/2015 112 Back up để thực hiện sao lưu 
Chọn nơi lưu trữ GPOs 
Sao lưu GPO 
Sao lưu tất cả các GPO 
2/28/2015 113 
Kết quả sao lưu 
Bấm OK để hoàn thành 
tiến trình sao lưu GPO 
Sao lưu GPO 
Sao lưu một GPO cụ thể: 
 Thao tác tương tự với sao lưu toàn bộ các GPO 
 Khác: Chỉ lựa chọn GPO cần sao lưu 
2/28/2015 114 
Quản lý các GPO sao lưu 
 Sử dụng chức năng Manage Backups 
2/28/2015 115 
Mở GPMC, kích chuột phải lên GPOs. 
Chọn Manage Backups 
Quản lý các GPO sao lưu 
 Sử dụng chức năng Manage Backups 
2/28/2015 
Nhập đường dẫn 
đến thư mục lưu 
trữ GPOs đã sao 
lưu 
Danh sách các 
GPOs 
Hiển thị các GPO được sao 
lưu gần với thời điểm gần 
đây nhất 
Xóa một GPO 
 đã sao lưu 
Xem chi tiết cấu hình 
của mỗi GPO trong 
danh sách 
116 
Phục hồi GPO 
2/28/2015 117 
Mở GPMC, kích chuột phải lên GPO 
 cần phục hồi. Chọn Restore from Backup 
Phục hồi GPO 
2/28/2015 118 
Chỉ định thư mục chứa 
GPO cần phục hồi 
Bấm Next để 
tiếp tục 
Phục hồi GPO 
2/28/2015 119 
Chọn GPO cần phục hồi 
Bấm Finish để bắt đầu 
tiến trình phục hồi 
Phục hồi GPO đã bị xóa 
2/28/2015 120 
Mở GPMC, kích chuột phải lên GPOs 
 Chọn Manage Backups 
Phục hồi GPO đã bị xóa 
2/28/2015 121 
Chọn GPO cần phục hồi 
Bấm OK để thực 
hiện phục hồi GPO 
Sao chép GPO 
 Phục hồi GPO chỉ được thực hiện trên cùng domain với 
GPO đã sao lưu. 
 Nhân bản GPO trên domain khác nhau=> sử dụng chức 
năng copy hoặc import 
 GPMC cho phép sao chép GPO trên cùng domain hoặc 
khác domain. 
2/28/2015 122 
Sao chép GPO 
2/28/2015 123 
Mở GPMC, kích chuột phải lên 
GPO cần sao chép, 
 Chọn Copy 
Nếu trên cùng domain, 
rightclick lên mục GPOs, 
chọn Paste 
Sao chép GPO 
2/28/2015 124 
Thiết lập các quyền cho GPO vừa 
sao chép như 1 GPO mới 
Hệ thống giữ lại các quyền 
 đã tồn tại trên GPO 
Kết quả sao chép GPO 
Chú ý: Nếu sao 
chép GPO đến một 
domain khác, phải 
rightclick lên GPOs 
của domain đó 
Import GPO 
 Cho phép áp dụng các thiết lập (policy settings) của một 
GPO đã sao lưu (backed-up GPO) vào GPO đang tồn tại 
trên hệ thống (destination GPO) 
 Không làm thay dổi thiết lập trên Links hoặc Security 
Filtering của GPO đang tồn tại 
2/28/2015 125 
Import GPO 
2/28/2015 126 
Mở GPMC, kích chuột phải lên GPO 
muốn import. Chọn Import Settings 
Chọn Next để tiếp tục 
Import GPO 
2/28/2015 127 
Chọn Backup để sao 
lưu trước khi import 
Chọn thư mục chứa 
GPO sẽ import 
Chọn Next để tiếp tục 
2/28/2015 128 
Import GPO 
Chọn GPO muốn import tại 
danh sách Backed up GPOs 
Hệ thống tiến hành quét các 
thiết lập trên GPO sắp import 
Chọn Next để tiếp tục 
2/28/2015 129 
Import GPO 
Hiển thị các 
thông 
tin đã lựa chọn 
Bắt đầu tiến 
trình import 
GPO 
Kết quả tiến 
trình import 
Bấm OK để 
kết thúc 
Starter GPOs 
 Cho phép quản lý các template dùng để tạo ra các GPO 
 Chỉ hỗ trợ các thiết lập trên Administrative Templates: tạo 
lập, hiệu chỉnh, import, export, 
2/28/2015 130 
Tạo và hiệu chỉnh Starter GPO 
2/28/2015 131 
Mở GPMC, chọn mục Starter GPOs, 
Chọn Create Starter GPOs Folder để tạo thư mục lưu trữ các Starter GPO 
Kích chuột phải vào 
Starter GPO, chọn New 
Nhập tên của Starter GPO 
Bấm OK để tiếp tục 
Tạo và hiệu chỉnh Starter GPO 
2/28/2015 132 
Rightclick vào Starter GPO, 
chọn Edit để hiệu chỉnh 
Tạo và hiệu chỉnh Starter GPO 
2/28/2015 133 
Mở rộng Administrative 
Template 
Chọn mục cần 
 hiệu chỉnh 
Thay đổi giá trị 
trong hộp thoại 
Propeties 
Bấm OK để 
hoàn thành 
Hiệu chỉnh Starter GPO 
 Lặp lại thao tác trên để hiệu chỉnh chính sách khác 
2/28/2015 134 
Tạo GPO mới từ Starter GPO 
Cách 1 
2/28/2015 135 
Nhập tên GPO 
Starter GPO xuất hiện Bấm OK 
Kích chuột phải lên Starter GPO 
Chọn New GPO From Starter GPO 
Tạo GPO mới từ Starter GPO 
Cách 2 
2/28/2015 136 
Kích chuột phải lên GPOs 
Chọn New 
Nhập tên GPO 
Chọn Starter 
GPO tương ứng 
Chọn OK để 
 kết thúc 
Group Policy Preferences 
SV tự tìm hiểu 
2/28/2015 137 
Một số ví dụ 
2/28/2015 138 
Ví dụ 1: Cho phép domain users 
đăng nhập tại server 
2/28/2015 139 
Ví dụ 1: Cho phép domain users 
đăng nhập tại server 
 Group Policy Management 
 Domain Controllers Container 
 Rightclick Default Domain Controller Policy 
 Edit 
 Computer Configuration 
 Windows Settings 
 Security settings 
 Local policies 
 User Rights Assignment 
 Logon locally => thêm nhóm Domain Users 
2/28/2015 140 
Ví dụ 2: Loại bỏ Run khỏi Start 
menu và Control Panel khỏi Settings 
 Active Directory Users and Computers 
 Tạo GPO cho OU 
 Rightclick GPO - Edit 
 User Configuration 
 Administrative Template 
 Start Menu & Task bar: 
 Remove Run menu from Start Menu: Enabled 
 Control Panel 
 Prohibit access to the Control Panel: Enabled 
2/28/2015 141 
Ví dụ 3: Di chuyển folder My Documents 
 Rightclick GPO - Edit 
 User Configuration 
 Windows Settings 
 Folder Redirection 
 My Documents - Properties 
 Target: 
 Basic - Redirect everyone’s folder to the same location 
 Target folder location: 
 Redirect to the user’s home folder 
2/28/2015 142 
Ví dụ 3: Di chuyển folder My Documents 
2/28/2015 143 
Ví dụ 4: Hạn chế chức năng của 
Internet Explorer 
 Mục đích: người dùng máy trạm không được phép 
thay đổi bất kì thông số nào trong Tab Security, 
Connection và Advanced trong hộp thoại Internet 
Options của công cụ Internet Explorer. 
2/28/2015 144 
Ví dụ 4: Hạn chế chức năng của 
Internet Explorer 
Cách thức thực hiện 
 Group Policy Object Editor 
 User Configuration 
 Administrative Templates 
 Windows Components 
 Internet Explorer 
 Internet Control Panel 
 Disable the Connection page - Enable 
 Disable the Security page – Enable 
 Disable the Advanced page – Enable 
2/28/2015 145 
Ví dụ 4: Hạn chế chức năng của 
Internet Explorer 
2/28/2015 146 
Ví dụ 5: Chỉ cho phép một số 
ứng dụng được thi hành 
 Group Policy Object Editor 
 User Configuration 
 Administrative Templates 
 System. 
 Run only allowed windows applications 
 Show: để chỉ định các phần mềm được phép thi hành 
2/28/2015 147 
Ví dụ 5: Chỉ cho phép một số 
ứng dụng được thi hành 
2/28/2015 148 
Ví dụ 5: Chỉ cho phép một số 
ứng dụng được thi hành 
2/28/2015 149 
 Chỉ ngăn được các chương trình chạy bởi tiến trình 
Windows Explorer 
 Các chương trình chạy từ RUN như CMD.EXE hay 
MSPaint.EXE không bị ảnh hưởng 
 Xem tab Explain để biết chi tiết 
 Có 3 dạng phân phối phần mềm từ group policy 
 Assigning Software - Gán phần mềm 
 Gán phần mềm cho users hay computers 
 Phần mềm được cài đặt khi đăng nhập 
 Publishing Software - Công bố phần mềm 
 Công bố phần mềm cho users 
 Phần mềm được hiển thị từ hộp thoại Add or Remove 
Programs 
 User thực hiện cài đặt 
 Advanced Software - Cài đặt nâng cao 
 Cho phép người dùng cài đặt thêm một số tùy chọn 
 2/28/2015 150 
Ví dụ 6: Cài đặt phần mềm 
 Tạo điểm phân phối (Distribution point) 
 Tạo share folder 
 Sao chép cài đặt phần mềm dạng *.MSI 
 Tạo Group Policy Object 
2/28/2015 151 
Các bước cài đặt phần mềm từ 
group policy 
Các bước cài đặt phần mềm từ 
group policy 
 Gán phần mềm (Assign a Package) 
 User Configuration 
 Software Settings 
 Software Installation 
 New _ Package _ Assigned 
 Package được cài đặt khi client computer khởi 
động 
2/28/2015 152 
 Công bố phần mềm (Publish a Package) 
 User Configuration 
 Software Settings 
 Software Installation 
 New _ Package _ Published 
 Package được hiển thị tại máy trạm: 
 Add or Remove Programs/ Add New Programs 
 Add programs from your network 
 Package được cài đặt khi chọn Add 
2/28/2015 153 
Các bước cài đặt phần mềm từ 
group policy 
Các bước cài đặt phần mềm từ 
group policy 
 Cài lại phần mềm (Redeploy a Package) 
 User/Computer Configuration 
 Software Settings 
 Software Installation 
 Chọn package 
 All Tasks _ Redeploy application 
2/28/2015 154 
Gỡ bỏ phần mềm (Remove a Package) 
 User/Computer Configuration 
 Software Settings 
 Software Installation 
 Chọn package 
 All Tasks _ Remove 
 Chọn một trong các tùy chọn: 
 Immediate uninstall the software from users and 
computers 
 Allow users to continue to use the software but prevent new 
installation 
2/28/2015 155