Tài liệu Báo cáo đồ án công nghệ mạng topic 4 domain group; group policy infrastructure, settings and management

TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN – ĐHQG TP.HCM KHOA ĐIỆN TỬ - VIỄN THÔNG Chuyên ngành: Viễn thông – Mạng ----»¤«---- BÁO CÁO ĐỒ ÁN CÔNG NGHỆ MẠNG Topic 4: Domain Group; Group Policy Infrastructure, settings and management. GVHD: Th.S Trần Thị Huỳnh Vân Nhóm thực hiện: 13 1. 2. 3. 4. 5. 6. 18200079 - Phạm Đỗ Thành Đạt 18200091 - Trần Văn Hải 18200093 - Trần Ngọc Hồng Hạnh 18200097 - Bùi Văn Hậu 18200099 - Nguyễn Thị Hậu 18200103 - Nguyễn Phùng Hiếu Tp.HCM, ngày 01 tháng 11 năm 2021 1 Lời mở đầu Trong thời đại Khoa Học - Công Nghệ đang phát triển nhanh hiện nay, công nghệ mạng cũng có những bước tiến vượt bậc. Với sự ra đời của nhiều công nghệ ngày càng hiện đại, đáp ứng nhu cầu ngày càng cao của người dùng cũng như sự phát triển của các ngành Khoa Học-Kĩ Thuật khác. Trong số các công nghệ hiện tại, nhóm chúng em đã chọn đề tài có tính thực tế được ứng dụng trong trong các doanh nghiệp. Đây là mô hình hệ thống mạng giúp việc quản lý người dùng thuận tiện cho các doanh nghiệp theo những cách khác nhau. Trong bài báo cáo này, chúng em sẽ đi từ tổng quan đến chi tiết về mô hình hệ thống này, bao gồm tổng quan, giới thiệu, cấu trúc, công dụng, những ưu nhược điểm và ứng dụng của mô hình hệ thống này. Bài báo cáo này gồm 3 phần: Phần 1 Domain Group, phần 2: Group Policy Infrastructure, Settings and Management và phần 3 Demo. Trong quá trình tìm hiểu, do kiến thức còn hạn chế và thời gian gấp rút, có thể có những sai sót, kính mong sự góp ý của cô và các bạn để bài báo cáo được hoàn thiện hơn Nhóm chúng em xin chân thành cảm hơn cô Trần Thị Huỳnh Vân, giảng viên môn Công Nghệ Mạng đã tận tình giảng dạy, chỉ dẫn chúng em, giúp chúng em hoàn thành bài báo cáo. Tp. Hồ Chí Minh, ngày 01 tháng 11 năm 2021 2 Mục Lục Lời mở đầu A. Domain Group ........................................................................ 4 I. Mô hình hệ thống mạng ........................................................................................................ 4 II. Tổng quan về AD .................................................................................................................. 5 1. Giới thiệu Active Directory ........................................................................................... 5 2. Cấu trúc của Active Directory ...................................................................................... 5 III. Domain Controllers: ......................................................................................................... 7 1. Tổng quan về Domain Controller ................................................................................. 7 2. Phân loại và ưu khuyết điểm ......................................................................................... 7 3. Cách sử dụng và vai trò, chức năng ............................................................................. 8 B. Group Policy Infrastructure, settings and management ....... 10 I. Group Policy: ....................................................................................................................... 10 1. Tổng quát về Group Policy: ........................................................................................ 10 2. Chức năng của Group Policy: ..................................................................................... 10 3. Group Policy Object và một số thành phần trong Group Policy Object: ............... 10 4. Nhân rộng Group Policy: ............................................................................................ 11 5. Tạo, chỉnh sửa và liên kết các GPOs .......................................................................... 11 6. Tính kế thừa GPO: ....................................................................................................... 12 II. Thiết lập và quản lý ............................................................................................................. 13 1. Cấu hình Domain Controller ...................................................................................... 13 2. Tạo OU .......................................................................................................................... 22 3. Tạo tài khoản người dùng ........................................................................................... 24 4. Tạo GPO........................................................................................................................ 26 C. Demo ................................................................................... 28 D. Đánh giá thành viên ............................................................. 32 E. Tài liệu tham khảo ................................................................ 33 3 A. Domain Group I. Mô hình hệ thống mạng Một hệ thống mạng thường được xây dựng trên mô hình phổ biến đó là: Workgroup hoặc Domain. • Mô hình Workgroup: - Là một nhóm máy tính logic, mô hình quản trị và bảo mật phi tập trungòn gọi là mô hình mạng PeerTo-Peer, là mô hình mà trong đó các máy tính có vai trò bình đẳng như nhau được nối kết với nhau. - Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên cục bộ (tài khoản, thông tin bảo mật…) của mình, tự chứng thực trên máy cục bộ. - Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng. Mô hình này chỉ phù hợp với các mạng nhỏ và yêu cầu bảo mật không cao ví dụ như hệ thống mạng ở gia đình, mạng phòng net, mạng của các công ty nhỏ đơn giản… - Xác thực được cung cấp bởi cơ sở dữ liệu tài khoản cục bộ - Trình quản lý tài khoản bảo mật (SAM) • Thuận lợi + Tài nguyên dễ chia sẻ (printers, folders) + Tài nguyên được phân phối trên tất cả các máy + Chi phí quản lý ít, thiết kế đơn giản, dễ thực hiện + Thuận tiện cho các nhóm nhỏ ở gần + Không yêu cầu máy chủ trung tâm hoặc thiết bị mạng công suất lớn (bộ định tuyến, bộ chuyển mạch, cầu nối..) • Hạn chế + Không kiểm soát tập trung các nguồn lực + Người dùng tự quản lý tài khoản của mình => vấn đề bảo mật • Mô hình Domain: - Hoạt động theo cơ chế Client-Server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller), các máy tính kết nối với nhau thông qua máy chủ chính này. - Domain Controller này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng với sự giúp đỡ của dịch vụ Active Directory được xem là quan trọng nhất trong máy chủ Domain Controller. - Mô hình này tập trung tất cả các tài nguyên được chia sẻ, xác thực và quản trị nên được áp dụng cho các công ty vừa và lớn đòi hỏi cao về bảo mật. - Xác thực được cung cấp thông qua Active Directory tập trung - Hỗ trợ Single-Sign-On • Thuận lợi + Chia sẻ tài nguyên tập trung, dễ kiểm soát, triển khai phần mềm Chia sẻ tài nguyên giữa các máy khách dễ dàng hơn + Hiệu suất hiệu quả cho số lượng máy trạm hầu như không giới hạn + Có sự phân cấp máy tính: dễ dàng quản lý quyền của người dùng ở mỗi cấp với mỗi mục đích khác nhau. + Có khả năng mở rộng Bảo mật cao • Hạn chế + Nỗ lực hành chính đáng kể + Thiết kế phức tạp, yêu cầu máy chủ mạnh và đắt tiền 4 + Không có khả năng mở rộng rất cao, không hiệu quả cho hơn 20 máy trạm + Bảo mật phải được cấu hình thủ công => So với workgroup, AD có các ưu điểm: + Quản lý tập trung + Group policy + Bảo mật dữ liệu + Khả năng dự phòng, bảo mật thông tin + Ủy quyền quản trị + Hiệu suất và khả năng mở rộng II. Tổng quan về AD 1. Giới thiệu Active Directory Active Directory (AD) có các tính năng mới, giúp cho bộ điều khiển miền trở nên nhanh hơn và dễ triển khai hơn, linh hoạt hơn, cả để kiểm tra và cho phép truy cập vào tệp. Đó là dịch vụ directory trong hệ thống Windows Server có trách nhiệm: • Xác định nguồn tài nguyên mạng • Cung cấp 1 cách phù hợp về: tên, mô tả, vị trí, truy cập, quản lý bảo mật • Lợi ích: - Tích hợp DNS - Khả năng mở rộng < Scalability> : AD được tổ chức thành các phần cho phép lưu trữ một số lượng rất lớn các đối tượng. Do đó, AD có thể mở rộng khi tổ chức phát triển. - Quản trị tập trung + AD quản lý tập trung, cung cấp một cơ sở dữ liệu duy nhất về tài nguyên mạng dễ dàng tìm kiếm và quản trị, cung cấp quản lý đăng nhập tập trung cho các tài nguyên: cho phép người dùng đăng nhập một lần. + AD cho phép quản trị viên quản lý máy tính để bàn, dịch vụ mạng và ứng dụng được phân phối từ một vị trí trung tâm với 1 giao diện quản lý phù hợp + AD cũng cung cấp điều khiển truy câp tâp trung đến tài nguyên mạng bằng việc cho phép người sử dụng single sign-on để tăng sự truy cập đầy đủ đến tài nguyên thông qua AD - Ủy quyền quản trị < Delegated administration > + Chỉ định quyền: Đối với các đơn vị tổ chức cụ thể cho các quản trị viên khác. Để sửa đổi các thuộc tính cụ thể của một đối tượng trong một đơn vị tổ chức, để thực hiện cùng một nhiệm vụ trong tất cả các đơn vị tổ chức + Giúp giảm trách nhiệm, công việc của quản trị ciên và tăng khả năng quản trị (tăng lượng quản trị viên) + Tùy chỉnh Công cụ Quản trị để: Ánh xạ đến các tác vụ quản trị được ủy quyền, Đơn giản hóa thiết kế giao diện 2. Cấu trúc của Active Directory - Bao gồm 2 phần chính: Logical Structure – Cấu trúc logic (luận lý) Physical Structure – Cấu trúc vật lý • Cấu trúc luận lý: Object: là các đối tượng được tạo ra trong Active Directory, ví dụ: user account, computer account, group account. 5 • Organizational Unit (OU): là đơn vị nhỏ nhất trong hệ thống Active Directory, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị. Việc sử dụng OU có hai công dụng chính sau: Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống. Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO). • Domain: là thành phần chính trong cấu trúc luận lý của AD. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính: + Đóng vai trò như một khu vực quản trị các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác. + Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ. + Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được đồng bộ với nhau. • Domain Tree: là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root, nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root, gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Cần ít nhất 2 domain để tạo thành 1 domain tree. • Forest: được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. 6 • Cấu trúc vật lý Sites: Thể hiện cấu trúc vật lý, kiến trúc mạng của doanh nghiệp, sử dụng để xây dựng mô hình đồng bộ database của dịch vụ AD, là 1 trong 2 nơi AD lưu trữ thông tin về kiến trúc mạng, cùng với WAN links • Global catalog (GC): lưu trữ tất cả các object của miền chứa GC và một phần các object thường được người dùng tìm kiếm của các domain khác trong forest. Global catalog server: là một Domain Controller lưu trữ tất các AD object trong một forest • Domain Controllers (DC): chứa bản copy của database AD. Đối với hầu hết các hoạt động thì mỗi DC có thể xử lý các thay đổi và sao chép các thay đổi tới tất cả những DCkhác trong domain. III. Domain Controllers: 1. Tổng quan về Domain Controller Domain controller (DC) là một server chịu trách nhiệm quản lý vấn đề bảo mật mạng và danh tính, hoạt động như một người bảo vệ để xác thực ủy quyền user. Sau đó ủy quyền cho các tài nguyên ở trong domain. Nó cũng hoạt động như một chính sách để xác thực danh tính người dùng Windows cho các hệ thống Windows-based, ứng dụng, file server và mạng. DC sử dụng cơ chế đa máy chủ để nhân rộng quá trình sao chép dữ liệu từ một DC đến những máy khác. Điều này có nghĩa là đối với hầu hết các hoạt động quản trị của quản trị viên, dữ liệu có thể được chỉnh sửa trên các DC khác nhau, ngoại trừ những RODC (Read-Only Domain Controller hay miền chỉ đọc). Trong mỗi DC bao gồm các thông tin với các Object (Users, Group, PC, …), chứa bản copy của database AD DS. Một DC chỉ hỗ trợ 1 Domain. Các máy chủ không phải Domain controller được gọi là Member server. Đối với hầu hết các hoạt động thì mỗi DC có thể xử lý các thay đổi và sao chép các thay đổi tới tất cả những Domain Controller khác trong domain. Để Domain có tính sẵn sàng cao có thể sử dụng nhiều DC. 2. Phân loại và ưu khuyết điểm 7 • - - Phân loại: Primary Domain Controller (PDC): Thông tin bảo mật và tài nguyên của Domain được lưu trữ trong thư mục chính (Windows server). Backup Domain Controller (BDC): Một BDC mới có thể được đẩy lên PDC khi PDC đó bị lỗi. BDC còn có khả năng cân bằng khối lượng công việc lúc mạng bị nghẽn. • Lợi ích của bộ điều khiển miền Quản lý người dùng tập trung Cho phép chia sẻ tài nguyên cho tệp và máy in Cấu hình liên kết để dự phòng (FSMO) Có thể được phân phối và nhân rộng trên các mạng lớn Mã hóa dữ liệu người dùng Có thể được làm cứng và khóa lại để cải thiện bảo mật • Hạn chế của Bộ điều khiển miền Mục tiêu tấn công mạng Có khả năng bị tấn công Người dùng và hệ điều hành phải được duy trì để ổn định, bảo mật và cập nhật Mạng phụ thuộc vào thời gian hoạt động của DC Yêu cầu về phần cứng / phần mềm 3. Cách sử dụng và vai trò, chức năng • • - - • Nguyên lý: Toàn bộ Request của User sẽ được chuyển đến DC để được xác thực và ủy quyền. Trước khi truy cập theo Request tương ứng thì người dùng cần xác nhận danh tính bằng cách dùng Username và Password của mình. Trong hầu hết phòng máy chủ của các tổ chức, Domain Controller được sử dụng và chiếm vị trí quan trọng. Nó được tích hợp và trở thành thành phần cơ bản của các dịch vụ Active Directory. Vai trò: DC chứa dữ liệu xác định và xác thực quyền truy cập của người dùng trên mạng, bao gồm mọi chính sách nhóm và tất cả các tên máy tính. Khi người dùng đăng nhập vào miền của họ, DC sẽ kiểm tra tên người dùng, mật khẩu và các thông tin đăng nhập khác của họ để cho phép hoặc từ chối quyền truy cập cho người dùng đó. Mọi thứ mà kẻ tấn công có thể cần để gây ra thiệt hại lớn cho dữ liệu và mạng của bạn đều nằm trên DC, điều này khiến DC trở thành mục tiêu chính trong một cuộc tấn công mạng DC đóng vai trò quan trọng và là một giải pháp hữu hiệu nhằm kiểm soát quyền truy cập vào các tài nguyên trong một Domain. DC thường được dành cho các IT Admin. Tại phòng máy chủ của các tổ chức, DC được tích hợp giống như các dịch vụ AD. Các bước triển khai một mô hình Domain Controller Bước 1: Tiến hành đặt IP tĩnh cho máy được lựa chọn làm Domain Controller. Bước 2: Xây dựng Domain Controller trên máy Server đã được chọn làm Domain Controller. Bước 3: Tạo user trong Domain Controller cho các máy Client. Bước 4: Đặt địa chỉ IP và Join các Client vào Domain. 8 Bước 5: Đăng nhập máy Client sau đó kiểm tra Domain Controller. • - - Chức năng Global Catalog Servers (GCS): DC có nhiệm vụ lưu trữ các đối tượng cho domain mà chúng được cài đặt. Hệ thống này được chỉ định để làm Global Catalog Servers lưu trữ các đối tượng từ những domain trong forest. Operations Masters: DC thực hiện các chức năng cụ thể nhằm đảm bảo tính thống nhất cho hệ thống. Đồng thời chúng còn có tác dụng loại bỏ khả năng xung đột của các entry bên trong cơ sở dữ liệu AD. 9 B. Group Policy Infrastructure, settings and management I. Group Policy: 1. Tổng quát về Group Policy: Group Policy (GP) là một tập hợp các cài đặt có thể áp dụng lên máy tính hoặc người dùng. GP giúp quản trị viên quản lý tập trung máy tính và người dùng, dùng để triển khai phát phần mềm.  Ủy quyền kiểm soát cho người dùng hoặc một nhóm khác. GP được đặt cho một trang web, miền, một đơn vị tổ chức hoặc máy tính cục bộ. Không thể đặt GP cho vùng chưa thư mục không phải OU: o OU là một đối tượng trong Active Directore, là nơi chứa các đối tượng Active Directory như user, computer và group. Dùng ủy quyền quản trị, dùng áp dụng các chính sách. Khi GP được cập nhật, các chính sách cũ sẽ bị xóa hoặc cập nhật với toàn bộ khách hàng. Cài đặt GP được lưu trữ trong đối tượng chính sách nhóm. GP chứa cài đặt các chính sách để quản lý nhiều khía cạnh của bộ điều khiển miền, máy chủ thành viên, máy thành viên và người dùng. Chức năng của Group Policy: - - 2. Triển khai các phần mềm ứng dụng. Gán các quyền hệ thống cho người dùng. Giới hạn ứng dụng được phép thi hành. Kiểm soát các thiết lập hệ thống, các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy. Đơn giản hóa và hạn chế các chương trình…. 3. Group Policy Object và một số thành phần trong Group Policy Object: - - Group Policy Object (GPO) là một nhóm cấu hình nhiều GP - Một số thành phần trong GPO: gồm 2 thành phần chính : + Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ máy tính trong mạng. + User Configuration: cấu hình chính sách cho các tài khoản trong miền. + Và một số thành phần con như: • Software Settings: chính sách triển khai cài đặt phần mềm xuống client tự động. • Windows Settings: tinh chỉnh, áp dụng chính sách về vấn đề sử dụng tài khoản. • Script( Logon/ Logout): chỉ định cho Windows chạy một đoạn mã nào đó. • Name Resolution Policy: chính sách phân giải tên. • Local Policy: kiểm định những chính sách, những tùy chọn quyền lời và chính sách an toàn cho người dùng cục bộ. • Account Policies: các chính sách áp dụng trong tài khoản người dùng. • Public Key Policies: các chính sách khóa dùng chung. - Gồm hai loại chính: a. Local GPOs: 10 Local GPOs được lưu trữ trên máy tính cục bộ và được chỉnh sửa thông qua phần đính vào trình chỉnh sửa đối tượng chính sách nhóm. - Không thể thay đổi cài đặt trong Local GPOs, các cài đặt chưa xác định được hoặc không được định cấu hình theo miền GPOs có thể chỉnh sửa cục bộ. - Được lưu trữ tại systemroot system32 Group policy. b. Domain GPOs: - Domain GPOs được lưu trữ trong Active Directory trên domain controller: được liên kết với các trang web, miền hoặc OUs - Bao gồm hai phần riêng biệt: • Mẫu chính sách nhóm ( GPT ): + Chứa tất cả các cài đặt chính sách tạo nên GPO cũng như các tệp liên quan. + Mỗi GPT chứa ít nhất 3 mục GPT.ini. + Chứa các cài đặt mặc định GPO mới. + Đường dẫn đến cấu trúc GPT mặc định cho mỗi miền • Vùng chứa chính sách nhóm ( GPC ): + Bao gồm vùng chứa con chứa thông tin trạng thái và thuộc tính GPO nhưng không có cài đặt chính sách . + Hai GPOs, tương ứng với hai GPOs mặc định: chính sách miền mặc định và bộ điều khiển mặc định + Mỗi GPC có hai vùng chứa phụ- một vùng chứa thông tin cấu hình máy tính và một vùng khác dành cho người dùng thông tin cấu hình. + Thông tin trong PGC: Tên của GPO, Đường dẫn tệp đến C-PI, Phiên bản, Trạng thái 4. Nhân rộng Group Policy: - Đảm bảo rằng tất cả bộ điều khiển domain đều có bản sao của GPO ở thời điểm hiện tại. GPC được sao chép với AD. GPT: được sao chép bằng các phương pháp sau: + Dịch vụ nhân bản tệp FRS (File Replication Service) + Được sử dụng khi chạy trong môi trường hỗn hợp của các hệ điều hành Windows Sever khác nhau. + Sao chép hệ thống tệp phân tán DFSR (Distributed File System Replication) + Được sử dụng khi tất cả DC chạy trong Windows Sever 2008 - DFSR hiệu quả hơn và đáng tin cậy hơn. - Sự cố sao chép có thể được chuẩn đoán bằng Gpotool.exe. 5. Tạo, chỉnh sửa và liên kết các GPOs - + Software Settings: các tùy chọn cài đặt phần mềm cho các ứng dụng và phần mềm cụ thể có thể được được cài đặt trên máy tính. Quản trị viên có thể sử dụng các cài đặt này để cung cấp các ứng dụng mới cho người dùng cuối và kiểm soát cấu hình mặc định cho những ứng dụng này. + Windows Settings: cho phép quản trị viên hệ thống tùy chỉnh hoạt động của hệ điều hành Windows, các tùy chọn cụ thể có thể sẵn ở đây được chia thành 2 loại: người dùng và máy tính. Cài đặt dành riêng cho người dùng cho phép bạn định cấu hình Explorer ( bao gồm trang chủ 11 - - mặc định và các cài đặt khác). Cài đặt của máy tính bao gồm các tùy chọn bảo mật như là chính sách tài khoản và nhật ký sự kiện. + Administrative Templates: được sử dụng để cấu hình thêm cài đặt máy tính và người dùng. Ngoài các tùy chọn mặc định có sẵn, quản trị viên hệ thống có thể tạo ra các mẫu quản trị iên của họ bởi các tùy chỉnh. + Group Policy Preferences: hệ điều hành Windows Sever 2016 bao gồm nhóm tùy chỉnh chính sách (GPP), cung cấp cho bạn hơn 20 tiện ích mở rộng của chính sách nhóm. Ngược lại, phần mở rộng sẽ cung cấp cho bạn một loạt các cài đặ có thể định cấu hình trong chính sách nhóm. Bao gồm các tiện ích mở rộng tùy chọn chính sách nhóm chính là cài đặt cho thư mục tùy chọn, ổ đĩa được ánh xạ, máy in, sổ đăng ký, người dùng cục bộ và nhóm, tác vụ đã lên lịch, dịch vụ và menu bắt đầu. Chỉnh sửa GPOs: Để chỉnh sửa thì ta nhấp chuột phải vào GPOs trong GPMC và nhấp vào chỉnh sửa , thao tác này sẽ mở ra GPO trong GPMT. Có thể thực hiện thay đổi đối với chính sách miền mặc định nhưng điều này là không nên. Phương pháp được đề xuất để thực hiện đối với chính sách miền là tạo ra một GPO mới và liên kết nó với miền. GPOs được áp dụng cho các đối tượng ngược lại với thứ tự được chỉ định. Nếu chỉnh sửa GPO đã được liên kết với vùng chứa, các thay đổi trong chính sách sẽ có hiệu lực ngay khi khách hàng tải xuống. Trước khi thay đổi nhiều chính sách thì hãy kiểm tra chúng 1 cách riêng lẻ. Phạm vi chính sách nhóm xác định đối tượng nào trong AD bị ảnh hưởng bởi cài đặt trong chính sách. Nếu GPO được áp dụng cho một đối tượng và một cài đặt được định cấu hình trên một GPO chứ không phải đối tượng khác, thì cài đặt đã được định cấu hình sẽ được áp dụng. Các chính sách sẽ được dụng theo thứ tự này : +Chính sách địa phương +GPOs liên kết trang web: + GPO được liên kết với một đối tượng trang ảnh hưởng đến tất các người dùng và máy tính. • Có thể sử dụng để thiết lập các chính khác nhau cho người dùng di động. • Trong môi trường miền và trang web số ít , tốt hơn là sử dụng GPO. + GPO của trang web này gây nhầm lẫn cho người dùng di động về thay đổi chính sách đủ quyết liệt giữa các trang web. o GPOs liên kết miền: + Chứa các cài đặt áp dụng cho tất cả các đối tượng trong miền. + Chính sách tài khoản chỉ có thể áp dụng tại miền. o GPOs liên kết OU: + Việc điều chỉnh các chính sách nhóm nên được thực hiện ở cấp OU. + Người dùng và máy tính có yêu cầu chính sách tương tự phải được đặt trong cùng một OU + Vì các OU có thể được lồng vào nhau nên GPOs cũng vậy. nên được sử dụng cho các trường hơp ngoại lệ đối với các chính sách được đặt ở cấp cao hơn. 6. Tính kế thừa GPO: - Kế thừa GPO được bật theo mặc định, áp dụng từ container cha đến các container con trong một domain. Nhưng các domain con thì lại không kế thừa GP từ domain cha 12 - - Cách thiết lập chính sách ở OU cha: + Nếu OU con có chính sách đó rồi thì sẽ được ghi đè lên OU cha + Nếu OU con chưa có chính sách đó thì sẽ được kế thừa từ OU cha Một số cách ảnh hưởng đến việc kế thừa GPO : + Chặn sự kế thừa: ngăn chặn GPO được liên kết với vùng chứa mẹ để không ảnh hưởng đến vùng chứa con.Để chặn thừa kế GPO, trong GPMC, nhấp chuột phải vào miền con hoặc OU và click vào Block Inheritance. Nếu chặn được bật, đơn vị tổ chức hoặc đối tượng miền sẽ được hiển thị với dấu chấm than màu xanh lam. + Thực thi kế thừa GPO: Một liên kết GPO có thể đặt thành bắt buộc. Để thực thi kế thừa GPO, nhấn chuột phải vào liên kết GPO trong cây bảng điều khiển , sau đó chọn tùy chọn bắt buộc. Buộc kế thừa GPO ghi đè mọi cấu hình xung đột ở cấp OU con . Nếu nhiều GPO được thực thi, thì GPO trong cấp cao nhất sẽ được thực thi trong một xung đột. + Lọc GPO cho phép thay đổi kế thừa trên một đối tượng theo một đối tượng nền tảng. Có hai loại lọc GPO: ▪ Lọc bảo mật : sử dụng quyền hạn chế đối tượng, chỉ định quyền mặc định để một số người dùng hoặc máy tính nhất định nhận được cho GPO. ▪ Lọc công cụ quản lý của Window (WMI): cho phép xác định động phạm vi của GPO dựa trên thuộc tính của mục tiêu máy vi tính. Sau đó áp dụng hoặc không áp dụng các chính sách dựa trên kết quả truy vấn. Nếu WMI đánh giá sai, GPO sẽ không được áp dụng và ngược lại. WMI và GPO khi được liên kết phải cùng một miền. + Xử lý vòng lặp cung cấp một phương pháp thay thế để lấy danh sách các GPO có thứ tự sẽ được xử lý cho người dùng. Khi bật thì có hai sự lựa chọn đó là: hợp nhất và thay thế. Thông thường, các chính sách ảnh hưởng đến cài đặt người dùng đối với bất kì máy tính nà mà họ đăng nhập. Nó cho phép các cài đặt trong nút cấu hình người dùng của GPO được được áp dụng cho tất cả người đăng nhập máy tính. *** Một số chính sách nhóm 13 demo: - Chặn Command prompt: vì Command prompt trên Windows cho phép bạn đưa ra những câu lệnh để máy tính thực hiện lệnh đó và truy caaph hệ thống. Vì vậy rất dễ bị hacker xâm nhập. Nên chúng ta phải chặn lệnh này. - Đổi hình nền trong Group Policy: nếu như bạn đã quá chán ngẫm nền đen trong Group Policy, thì hãy đổi nền với một vài bước cơ bản giống demo nhé. - Để máy tính chào bạn mõi ngày lúc bạn đăng nhâp. Hãy tạo lời chào trên logon. - Cài phần mềm: Group Policy cài đặt software để tải phần mềm tự động . II. Thiết lập và quản lý 1. Cấu hình Domain Controller 13 Đặt 1 địa chỉ tĩnh cho máy chủ và DNS server là địa chỉ máy chủ Chọn card mạng VMnet2 cho Server và client Tại 2 client: tạo địa chỉ tĩnh và DNS server trỏ về địa chỉ máy chủ 14 Ta cấu hình máy chủ của mình làm bộ điều khiển miền (DC) Active Directory trên mạng. DNS là một phần không thể thiếu của Miền Active Directory và sẽ cần được thiết lập cũng như kiểm tra. Đầu tiên để đảm bảo nó chạy đúng cách. Trong 1 miền thì sẽ có ít nhất hai DC được cài đặt để điều khiển miền cho phép dự phòng và tiêp tục hoạt động ngay cả khi một trong các hệ thống không hoạt động. Hệ thống thứ 2 sẽ tiếp tục xử lý thông tin đăng nhập của người dùng và yêu cầu DNS, tiếp tục áp dụng chính sách nhóm và duy trì môi trường AD. Ta click chọn “add roles and features” hoặc vào phần Manage 15 Chọn Role-based or feature – based installation => next Chọn Select a server from the server pool => Next Chọn Active Directory Domain Services => Next. Chọn vai trò cần thiết cho máy chủ 16 Các tính năng cần thiết cho Active Directory như hình => add features Chọn NET Framework 3.5 và Group Policy Management => Next 17 Chọn NET Framework 3.5 và Group Policy Management => Next Nếu muốn đồng bộ dữ liệu của máy chủ Window Server lên dữ liệu đám mây ta cần tài khoản Azure Sau khi hoàn thành cài đặt bạn sẽ bổ sung các yêu cầu và nhấn vào Promote this server to a domain controller. 18 Chọn Add a new forest để thêm Domain Controller đầu tiên hoặc add to an existing forest thêm miền bổ sung sau đó chọn Next 19 Forest functional Level và Domain functional Level: tùy theo hệ thống của bạn đang sử dụng các phiên bản Windows Server nào thì ta chọn cho tương ứng. Chọn vào ô Domain Name System (DNS) server để cài đặt thêm DNS cho PDC. Bên dưới là mục Type the Directory Services Restore Mode (DSRM) password, bạn nhập vào mật khẩu. Mật khẩu này sẽ được dùng để khôi phục AD ở chế độ Restore Mode. Chọn Next Tại đây bạn có thể đặt lại tên NetBIOS domain name hoặc sử dụng tên mặc định, sau đó click next. 20