Lecture chinhsachnhom
0 likes358 views
Tài liệu trình bày về chính sách nhóm (Group Policy) trong môi trường mạng, bao gồm cách thiết lập và quản lý người dùng và máy tính thông qua các chính sách khác nhau như chính sách miền, chính sách cục bộ và áp dụng các thiết lập bảo mật. Nó cũng mô tả quy trình kế thừa và ưu tiên trong việc áp dụng các chính sách nhóm, cùng với khả năng gán các script và tái điều hướng thư mục cho người dùng. Cuối cùng, tài liệu nhấn mạnh sự hữu ích của Group Policy trong việc triển khai và bảo trì các ứng dụng phần mềm.
Lecture chinhsachnhom
- 1. CHÍNH SÁCH NHÓM Ngô Văn Công
- 2. Giới thiệu Chính sách nhóm: tập hợp cấu hình về người dùng và máy tính chỉ ra Cách các chương trình, tài nguyên mạng làm việc với người dùng và máy tính trong mạng GP có thể thiết lập cho sites, domains, OU, computers Ví dụ: dùng GP có thể thiết lập ứng dụng mà 1 người dùng có thể chạy, chương trình xuất hiện trên desktop
- 3. Đối tượng chính sách nhóm(GPO) Tập hợp các thiết lập chính sách nhóm GPO mặc định Default Domain Policy: Liên kết với domain, và có ảnh hưởng tới tất cả người dùng và máy tính trong miền. Default Domain Controllers Policy: Liên kết đến máy tính DC OU, thường chỉ ảnh hưởng đến các máy tính điều khiển miền
- 4. Các kiểu chính sách nhóm Chính sách nhóm cục bộ(Local Group Policy) Mỗi máy tính sẽ có 1 chính sách cục bộ dù cho nó có tham gia vào miền hay không. Chỉ ảnh hưởng đến máy tính mà nó được tạo Chính sách nhóm miền(nonlocal Group Policy) Được tạo ra trong hệ thống thư mục(AD) và phải được liên kết đến 1 site, domain, OU Mặc định có 2 chính sách mặc định được tạo khi nâng cấp lên máy quản lý miền Default Domain Policy: Liên kết vời miền và ảnh hưởng toàn bộ máy tính và người dùng trong miền Default Domain Controller Policy: Liên kết với các DC trong mạng
- 5. Tạo 1 đối tượng Group Policy 2 cách tạo GPO: Group Policy standalone Microsoft Management Console (MMC) snap-in Group Policy extension trong Active Directory Users and Computers
- 6. Tạo 1 đối tượng Group Policy dùng MMC Mục tiêu: Tạo 1 GPO dùng Group Policy Object Editor MMC snap-in Tìm MMC Group Policy Object Editor snap-in Tạo GPO mới
- 7. (tt)
- 8. GPO editor Dùng để tổ chức và quản lý các thiết lập chính sách nhóm của các GPO
- 9. Thiết lập chính sách nhóm Cấu hình máy tính Các thiết lập áp dụng cho máy tính không quan tâm đến người đăng nhập vào máy tính thường ảnh hưởng tới quá trình Hệ điều hành khởi động Cấu hình ngưới dùng Các thiết lập áp dụng cho người dùng không quan tâm đến máy tính mà người dùng đăng nhập thường ảnh hưởng tới trong quá trình người dùng đăng nhập vào hệ thống
- 10. (tt) Thiết lập phần mềm(Software setting) Thiết lập cửa sổ(Window setting) Mẫu quản trị(Administrative Template)
- 11. Ứng dụng của Group Policy 2 loại chính: Cấu hình computer (các thiết lập áp dụng cho các computer trong container) Cấu hình user (các thiết lập áp dụng cho các user trong container) Ngay khi computer khởi động (hoặc user đăng nhập) Computer truy vấn DC về các GPO. DC tìm các GPO có thể áp dụng. DC trình ra 1 danh sách các GPO. Client lấy các mẫu GP, áp dụng các thiết lập và chạy các script Tiến trình cơ bản giống như vậy khi user đăng nhập
- 12. Mẫu quản trị(Administrative template) 500 các thiết lập cho môi trường người dùng Not configured Enabled Disabled
- 13. Chức năng Gán quyền hệ thống cho người dùng Giới hạn ứng dụng mà người dùng có thể thi hành Kiểm soát các thiết lập hệ thống Hạn chế các chương trình Hạn chế tổng quát màn hình Desktop
- 14. Điều khiển các thiết lập Các mẫu: Dùng để hạn chế thao tác cấu hình user desktop và computer Giảm công sức quản trị 7 loại chính của việc thiết lập cấu hình có thể áp dụng cho computer hoặc user của 1 GPO
- 15. Điều khiển các thiết lập User Desktop (tt)
- 16. Quản lý bảo mật với Group Policy Các thiết lập Password Policy, Account Policy, Kerberos Policy chỉ có thể áp dụng trên các đối tượng domain Các nút khác trong loại Security Settings có thể áp dụng trên cả domain và các OU Local Policies Audit Policy User Rights Assignment Security Options
- 17. Gán các Script Windows Server 2003 có thể chạy các script trong lúc: User đăng nhập và đăng xuất Phần User của GPO Computer khởi động và shutdown Phần Computer của GPO Mặc định là các script chạy đồng bộ từ trên xuống dưới Có thể xác định các thời điểm script time- out, thực thi không đồng bộ và ẩn các script
- 18. Tái điều hướng các thư mục Cho phép tái điều hướng các nội dung của 1 user profile đến 1 vị trí trên mạng Nội dung có thể tái điều hướng là: dữ liệu ứng dụng, desktop, My Documents, Start menu Tái điều hướng có ích vì: Hỗ trợ backup Giảm thời gian đăng nhập Cho phép tạo 1 desktop chuẩn cho nhiều user
- 19. Tái điều hướng các thư mục (tt)
- 20. Sự Kế Thừa Chính Sách Nhóm Group Policy sẽ được kế thừa từ đối tượng cha sang đối tượng con trong cùng domain Group Policy không kế thừa từ miền cha sang miền con Nếu một thiết lập đã xác lập cho đối tượng cha thì nó sẽ được kế thừa sang đối tượng con trong trường hợp thiết lập này chưa được xác lập ở đối tượng con Nếu một thiết lập đã xác lập cho đối tượng cha, và thiết lập này cũng được xác lập ở đối tượng con thì xác lập tại đối tượng con sẽ có độ ưu tiên cao hơn. Bất kỳ thiếp lập nào được cấu hình là Not Configured thì đối tượng con sẽ không được kế thừa
- 21. Quản lý thừa kế Group Policy Thứ tự đặc biệt cho ứng dụng GPO: Local computer Site Domain Parent OU Child OU Theo mặc định tất cả các thiết lập GPO được thừa kế Tại mỗi mức, có thể có nhiều GPO Các chính sách được áp dụng theo thứ tự mà chúng xuất hiện trên thẻ Group Policy cho mỗi container, bên dưới GPO đầu tiên Áp dụng số lượng nhiều các GPO có thể ảnh hưởng hiệu suất khởi động và đăng nhập
- 22. Quản lý thừa kế Group Policy (tt) Các mâu thuẫn được giải quyết theo một tập các công thức Các chính sách được cập nhật tự động tại từng thời điểm và có thể cập nhật thủ công Các chính sách có thể liên kết với 1 site, domain hoặc các OU container Một GPO đơn có thể liên kết với nhiều container
- 23. Thứ tự xử lý GPO Thành viên workgroup: Các máy tính là thành viên workgroup chỉ xử lý các chính sách nhóm cục bộ(Local GPO) No override: Các chính sách nhóm khác không thể ghi đè lên chính sách nhóm này Block Policy Inheritance: Không cho phép kế thừa chính sách nhóm
- 24. Khóa thừa kế Policy Để thay đổi thừa kế mặc định, dùng Block Policy trong thẻ Group Policy cho 1 container con Con sẽ không thừa kế các chính sách của cha Có ích nếu 1 OU cần được quản lý riêng
- 25. Cấu hình No Override Nếu 1 chính sách được cấu hình với No Override Nó sẽ bị ép áp dụng các mâu thuẫn trong các chính sách ở mức thấp hơn Nó sẽ bị ép áp dụng trên các contairner ở mức thấp hơn với thiết lập thừa kế Block Policy
- 26. Tạo chính sách nhóm
- 27. Hạn chế chức năng của Internet Explorer Không cho phép người dùng thay đổi bất kỳ thông số nào trong tab security- >advanced trong internet option Vào User configuration->Administrative template->Window components->Internet Explorer
- 28. (tt)
- 29. Chỉ cho phép một số ứng dụng thi hành Vào User configuration->Administrative template->Run only allowed windows applications
- 30. (tt)
- 31. Tổng kết Một GPO là một đối tượng trong AD dùng để cấu hình và áp dụng các thiết lập cho các đối tượng user & computer 2 kiểu GPO mặc định được tạo khi AD đã cài đặt: Default Domain Policy Default Domain Controllers Policy 2 cơ chế để tạo các GPO: Microsoft Management Console Group Policy snap-in Group Policy extension trong Active Directory Users and Computers
- 32. Tổng kết (tt) Các GPO có thể được dùng để: Điều khiển các thiết lập desktop và bảo mật Áp dụng các script khi user đăng nhập và đăng xuất, khi computer khởi động và shutdown Cho tái điều hướng thư mục Các GPO được áp dụng theo thứ tự xác định Các GPO được thừa kế theo mặc định: Có thể thay đổi bằng cách khóa thừa kế Group Policy, cấu hình No Override hoặc lọc dùng các quyền user Dùng GPRESULT hoặc công cụ RSoP để xem tác động của các thiết lập GP
- 33. Tổng kết (tt) Các GPO có ích trong việc triển khai và bảo trì các ứng dụng phần mềm Các GPO được dùng trong 4 giai đoạn của 1 phần mềm Để triển khai, GP dùng 1 file MSI chứa các thông tin cần thiết để cài đặt theo một số cấu hình khác nhau Các ứng dụng đã cài đặt có thể được chuyển hoặc xuất bản