Bài 6 Quản trị môi trƣờng mạng Group Policy Giới thiệu: Quản trị môi trường mạng Group policy là xác định cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với người dùng và máy tính trong 1 tổ chức. Bài học này cung cấp cho người học kiến thức sau: Hiểu rõ được ý nghĩa của Group Policy, triển khai Group Policy trên Domain và OU, dùng Group Policy tự động hóa các công tác quản trị User và Computer, xử lý lỗi thông dụng khi triển khai Group Policy. Bài này được trình bày thành các mục chính được sắp xếp như sau: - Giới thiệu Group Policy Object (GPO). - Triển khai Domain GPO - Quản lý và triển khai GPO - Quản lý user và Group với GPO - Chuẩn đoán và xử lý lỗi - Câu hỏi và bài tập.
Mục tiêu: - Trình bày được các thành phần của Group Policy: User Configuration, Computer Configuration - Sử dụng thành thạo công cụ quản lý Group Policy – Group Policy Management - Tạo, thiết lập, liên kết các GPOs đến các Container - Xử lý xung đột trong việc áp dụng Các GPOs - Xử lý các lỗi thông dụng khi triển khai Domain Group Policy. - Tính chính xác, đúng đắn khi ra những quyết định quản trị. NỘI DUNG CHÍNH 6. Giới thiệu Group Policy.
Mục tiêu - Nắm được các chức năng và thành phần của Group Policy. - Hiểu được Domain Policy, các cấp độ áp dụng Group Policy (Site, Domain, OU, Local. - Nắm được một số vấn đề an toàn mạng thông qua Group Policy - Nắm được cách thức áp dụng Policy và đặc điểm của các Policy 113 6.1 Giới thiệu Local Policy Group Policy là tập các thiết lập cấu hình cho computer và user. Xác định cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với người dùng và máy tính trong 1 tổ chức.
Group Policy chỉ áp dụng được với các máy Win2k/XP/WinS2k3/2k8. Các Group Policy chỉ có thể hiện hữu trên miền Active Directory (AD). Các Group Policy thì được áp dụng lúc máy khách được khởi động, lúc máy khách đăng nhập, và vào những thời điểm ngẫu nhiên khác. Các Group Policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bỏ khỏi miền AD.
Người quản trị mạng có được nhiều mức độ kiểm soát tinh vi hơn đối với vấn đề ai được hoặc không được nhận một Group Policy nào đó. Group Policy chủ yếu chỉ được áp dụng cho các site, domain, và OU (Organizational Unit). Gọi tắt là SDOU. Trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại chỗ (Local Group Policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả.
Các máy Windows XP Home thì không có Local Group Policy. Các Group Policy dành cho SDOU được tạo ra dưới dạng các đối tượng chính sách nhóm (Group Policy Object - GPO) Các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL. GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 nằm trong thư mục: %Windir%\System32\GroupPolicy. Chương trình để tạo ra và/hoặc chỉnh sửa các GPO tên là Group Policy Object Editor, có dạng một console MMC tên là GPEDIT.
Hoặc ta cũng có thể dùng nó dưới dạng một công cụ snap- in trong một console MMC khác, ví dụ: console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap- in Group Policy. Group Policy trong Windows XP Group Policy là một trong các thành phần của Microsoft Management Console và phải là thành viên của nhóm Adminstrators mới được quyền sử dụng chương trình này. 114 Khởi động chương trình: Start - > Run(Windows + R) - > nhập gpedit. Cửa sổ Group Policy Object Hình 6.
Group Policy Object Cách sử dụng chung: tìm tới các nhánh, chọn thiết lập phù hợp. o Not configured: không định cấu hình cho tính năng. o Enable: kích hoạt tính năng. o Disable: vô hiệu hóa tính năng.
Gồm 2 mục chính: o Computer Configuration o User Configuration. o Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy. + Windows Settings: cấu hình về việc sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống … 115 + Administrative Templates: - System: cấu hình về hệ thống - Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong Windows như: Internet Explorer, NetMeeting. o User Configuration: cấu hình cho tài khoản đang sử dụng.
Các thành phần có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như mục Computer Configuration 6.2 Giới thiệu Domain Policy Quản lý một chính sách miền Xem chủ đề này để tìm hiểu về các nhiệm vụ bạn có thể thực hiện với một chính sách miền trong Control Center. Ngoài ra, bạn sẽ tìm hiểu làm thế nào để sử dụng một chính sách tên miền để theo dõi tên miền EWLM của bạn. Trong Trung tâm Kiểm soát EWLM, bạn có thể có nhiều chính sách miền. Bạn có thể làm việc với các chính sách tên miền được triển khai hoặc bất kỳ chính sách tên miền hiện có sẵn để quản lý tên miền.
Các chính sách tên miền được bao gồm trong Set các chính sách miền xem của Trung tâm kiểm soát bao gồm tất cả các chính sách miền đã được nhập khẩu hoặc được tạo ra bằng cách sử dụng Trung tâm Kiểm soát EWLM thuật sĩ. Để tạo ra một chính sách tên miền mới hoặc nhập khẩu một chính sách tên miền, chọn Thiết lập chính sách miền> trong khung bên trái của Trung tâm Kiểm soát EWLM. Sau đó, nhấp vào Nhập khẩu hoặc mới. Chỉ có một chính sách tên miền có thể được triển khai cho mỗi EWLM miền.
Quản lý tên miền của miền EWLM được quy định tại các URL mà bạn sử dụng để truy cập vào Trung tâm Kiểm soát EWLM. Để làm việc với nhiều lĩnh vực EWLM, bạn cần riêng biệt EWLM Trung tâm Kiểm soát các phiên trình duyệt Web cho từng lĩnh vực quản lý mà bạn muốn làm việc. Trong Trung tâm Kiểm soát EWLM, bạn có thể thực hiện các nhiệm vụ sau đây từ Thiết lập các chính sách miền>: New: Bạn có thể tạo ra một chính sách tên miền mới hoặc tạo ra một chính sách tên miền mới dựa trên một chính sách tên miền hiện có. Nhập khẩu: Bạn có thể nhập khẩu một chính sách tên miền được lưu vào hệ thống tập tin địa phương của bạn.
Khi chính sách này được nhập khẩu, EWLM sẽ xác minh rằng cú pháp là chính xác. Nếu không, chính sách sẽ không mở trong Control Center EWLM. Sử dụng điều này với chức năng xuất khẩu để sao ch p các chính sách tên miền từ một tên miền EWLM khác. Điều này làm cho nó dễ dàng hơn để chia sẻ chính sách tên miền từ một miền khác.
116 Xuất khẩu: Bạn có thể xuất khẩu một chính sách tên miền hệ thống tập tin địa phương của bạn. Sử dụng điều này với chức năng nhập khẩu để sao ch p các chính sách tên miền từ một tên miền EWLM khác. Điều này đặc biệt hữu ích nếu bạn có hai lĩnh vực EWLM với các mục tiêu hiệu suất tương tự. Sau đó, bạn có thể sử dụng cùng một chính sách tên miền, nhưng sửa đổi nó một chút về miền EWLM thứ hai.
Ngoài ra, nó là hữu ích để xuất khẩu một bản sao của chính sách miền cho một hệ thống sao lưu dự phòng cho mục đích khắc phục thảm họa. Đảm bảo rằng các thư mục mà bạn xuất khẩu các chính sách để có các thiết lập bảo mật thích hợp để bảo vệ các dữ liệu được chứa trong các chính sách miền. Chỉnh sửa: Bạn có thể chỉnh sửa các chính sách tên miền được lưu trữ trên quản lý tên miền EWLM Control Center là giao tiếp với. Ngoài ra, bạn có thể chỉnh sửa các chính sách tên miền được triển khai vào miền EWLM.
Sau đó, sau khi bạn hoàn thành việc chỉnh sửa chính sách tên miền được triển khai, các chính sách tên miền sẽ tự động triển khai một lần nữa. Tuy nhiên, các chính sách dịch vụ sẽ không được kích hoạt lại. Triển khai: Khi bạn muốn thực hiện một chính sách miền hiện có tên miền EWLM, bạn cần phải triển khai nó. Khi bạn triển khai một chính sách tên miền, bạn có thể chọn để kích hoạt một chính sách dịch vụ ngay lập tức hay không.
Nếu một chính sách dịch vụ được kích hoạt, EWLM sẽ bắt đầu thu thập dữ liệu hiệu suất đó là cụ thể các chính sách dịch vụ được kích hoạt. Để triển khai một chính sách tên miền, EWLM phải được bắt đầu vào quản lý tên miền. Để làm việc cụ thể với chính sách dịch vụ chính sách miền, bạn có thể thực hiện các nhiệm vụ Quản lý> chính sách dịch vụ sau đây: Kích hoạt: Bạn có thể kích hoạt một chính sách dịch vụ. Các chính sách dịch vụ được liệt kê cụ thể các chính sách tên miền được triển khai.
Để kích hoạt một chính sách dịch vụ, EWLM phải được bắt đầu vào quản lý tên miền. Để tìm hiểu thêm về cách triển khai một chính sách miền hoặc làm thế nào để tạo ra hoặc chỉnh sửa một chính sách tên miền, kiểm soát EWLM Trung tâm trợ giúp trực tuyến. Để xem sự giúp đỡ nhiệm vụ chính sách miền, nhấp vào Làm thế nào để tôi> Làm việc với> chính sách miền từ Trung tâm Kiểm soát EWLM giúp. Tạo một chính sách miền Quá trình để tạo ra một chính sách tên miền là giống nhau cho mỗi người sử dụng có một tập hợp cốt lõi của các thành phần của một chính sách miền.
Tuy nhiên, làm thế nào bạn xác định mỗi thành phần phụ thuộc vào môi trường kinh doanh cụ thể của bạn. Các bảng sau đây phác thảo giúp bạn đánh giá nhu cầu của môi trường kinh doanh của bạn theo dõi khối lượng công việc. Sử dụng câu trả lời của bạn 117 để tạo ra một chính sách tên miền đó là dựa trên môi trường CNTT của bạn và đó là mục tiêu hiệu suất. Những bảng này được dự định để giúp bạn tạo ra một chính sách tên miền.3 Các cấp độ áp dụng Group Policy (Site, Domain, OU, Local) 6.1 Khái niệm Thí dụ: Người quản trị mạng muốn quản lý người dùng một số thông tin sau: Các chương trình giành cho người sử dụng dùng.
Các chương trình xuất hiện trên màn hình nền của người dùng. Hay đưa ra một số hạn chế buộc người dùng phải tuân theo. Việc cài đặt các thành phần để kiểm soát các việc trên gọi là cài đặt các Policy. Group Policy là một nhóm các Policy chứ không phải là nhóm Policy.
Các Group Policy được chứa trong GPO (Group Policy Object) Thí dụ: GPO Default Domain Policy liên kết với Domain.