Tài liệu Hiện thực và dùng group policy

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 9: Hiện thực và dùng Group Policy Mục tiêu • Tạo và quản lý các đối tượng Group Policy để điều khiển các thiết lập dektop, bảo mật, các script và tái điều hướng thư mục • Quản lý và xử lý sự cố với việc thừa kế Group Policy • Cài đặt và quản lý phần mềm dùng Group Policy 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 2 Giới thiệu Group Policy • Group policy tập trung hóa việc quản lý các thiết lập cấu hình user và computer thông qua mạng • Một đối tượng group policy là một đối tượng AD dùng để cấu hình các thiết lập chính sách cho các đối tượng user và computer • Có 2 đối tượng Group Policy mặc định: • Domain Policy mặc định (liên kết đến domain container) • Domain Controllers Policy mặc định (liên kết đến domain controller OU) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 3 Giới thiệu Group Policy (tt) • Có thể sửa chữa các GPO mặc định • Có thể tạo các GPO mới và liên kết chúng với các site, domain và OU • Thiết lập policy sẽ lan truyền đến các user và computer chứa trong các OU con • Group policy chỉ có thể áp dụng các máy tính chạy Windows Server 2003, Windows 2000, Windows XP 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 4 Tạo 1 đối tượng Group Policy • 2 cách tạo GPO: • Group Policy standalone Microsoft Management Console (MMC) snap-in • Group Policy extension trong Active Directory Users and Computers 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 5 Thực tập 9-1: Tạo 1 đối tượng Group Policy dùng MMC • Mục tiêu: Tạo 1 GPO dùng Group Policy Object Editor MMC snap-in • Tìm MMC Group Policy Object Editor snap-in • Tạo GPO mới 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 6 Thực tập 9-1 (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 7 Thực tập 9-2: Tạo các OU và di chuyển các tài khoản user vào • Mục tiêu: Tạo các OU và di chuyển các tài khoản user vào đó • Phải quen thuộc với việc dùng các OU điều khiển ứng dụng thiết lập Group Policy • Tạo OU mới dùng Active Directory Users and Computers • Di chuyển các tài khoản user vào OU mới đó 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 8 Thực tập 9-3: Tạo 1 GPO và xem các thiết lập • Mục tiêu: Tạo 1 GPO và dùng Active Directory Users and Computers như cách thay thế cho phương pháp MMC snap-in • Từ Active Directory Users and Computers, dùng thẻ Group Policy trong Properties của 1 OU đã có để thêm và tạo các GPO • Xem các thiết lập cấu hình của 1 GPO 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 9 Sửa chữa 1 GPO 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 10 Sửa chữa 1 GPO • Bảng 9-1 hiển thị các loại cấu hình cho cả computer và user • 2 thẻ trong Properties cho mỗi thiết lập: • Thiết lập cho phép kích hoạt/cấm • Giải thích các thông tin về thiết lập • Nội dung GPO được lưu giữ ở 2 vị trí: • Group Policy container (GPC) • Group Policy template (GPT) • Mỗi GPO được định danh bởi một globally unique identifier (GUID) 128-bit 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 11 Thực tập 9-4: Xóa 1 GPO • Mục tiêu: Xóa 1 GPO dùng Active Directory Users and Computers • Các GPO đã tạo trước đó được xóa từ 1 OU 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 12 Ứng dụng của Group Policy • 2 loại chính: • Cấu hình computer (các thiết lập áp dụng cho các computer trong container) • Cấu hình user (các thiết lập áp dụng cho các user trong container) • Ngay khi computer khởi động (hoặc user đăng nhập) • Computer truy vấn DC về các GPO. DC tìm các GPO có thể áp dụng. • DC trình ra 1 danh sách các GPO. Client lấy các mẫu GP, áp dụng các thiết lập và chạy các script • Tiến trình cơ bản giống như vậy khi user đăng nhập 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 13 Điều khiển các thiết lập User Desktop • Các mẫu: • Dùng để hạn chế thao tác cấu hình user desktop và computer • Giảm công sức quản trị • 7 loại chính của việc thiết lập cấu hình có thể áp dụng cho computer hoặc user của 1 GPO 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 14 Điều khiển các thiết lập User Desktop (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 15 Thực tập 9-5: Cấu hình các thiết lập User Desktop • Mục tiêu: Cấu hình và kiểm tra ứng dụng của thiết lập GP • Dùng Active Directory Users and Computers để truy cập thiết lập mong muốn • Cấu hình các thiết lập dùng trình soạn thảo GPO • Kiểm tra lại cấu hình có kết quả như y/c 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 16 Quản lý bảo mật với Group Policy • Các thiết lập Password Policy, Account Policy, Kerberos Policy chỉ có thể áp dụng trên các đối tượng domain • Các nút khác trong loại Security Settings có thể áp dụng trên cả domain và các OU • Local Policies • Audit Policy • User Rights Assignment • Security Options 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 17 Quản lý bảo mật với Group Policy (tt) • • • • • • • • • Event Log Restricted Groups System Services Registry File System Wireless Network Policies Public Key Policies Software Restriction Policies IP Security Policies on Active Directory 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 18 Thực tập 9-6:Cấu hình các thiết lập bảo mật GPO • Mục tiêu: Dùng các thiết lập GPO để cấu hình 1 logon banner cho các domain user • Dùng Directory Users and Computers để truy cập Default Domain Policy GPO • Tạo một logon banner • Kiểm tra là banner có xuất hiện 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 19 Thực tập 9-7: Cấu hình các thiết lập bảo mật hệ thống file dùng GPO • Mục tiêu: Dùng các thiết lập GP để cấu hình các quyền bảo mật • Tạo 1 thư mục • Dùng Active Directory Users and Computers để cấu hình các quyền trên các thư mục • Kiểm tra lại 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environemnt 20