Sử dụng chính sách nhóm trong Windows XP và Windows 2003

Bảo mật và an toàn thông tin trong thời đại ngày nay đóng một vai trò thiết yếu đối với ngành công nghệ thông tin

Lời nói đầu

Bảo mật và an toàn thông tin trong thời đại ngày nay đóng một vai trò thiết yếuđối với ngành công nghệ thông tin Hầu như mọi ngành nghề lĩnh vực đều có thể

áp dụng công nghệ thông tin để nâng cao hiệu quả công việc, gọn gàng hơntrong việc quản lý các tư liệu, nhẹ nhàng hơn trong việc xử lý các thủ tục đầu ra.Các tiện ích do công nghệ đem lại là không thể phủ nhận và nó không thể táchrời khỏi cuộc sống hiện tại của toàn thế giới Tuy vậy, đi đôi với những lợi ích

đó là những mối nguy hiểm đến từ chính môi trường này – môi trường thông tin.Việc số hóa tất cả các tư liệu, tài liệu có thể đem lạ sự nhẹ nhàng trong lưu trữ,tìm kiếm và xử lý nhưng nó cũng đi kèm với nguy cơ bị đánh cắp qua mạng.Với một trình độ công nghệ có hạng, ta sẽ dề dàng lấy được những tài liệu tạinhững nơi có độ bảo mật kém Việc mất đi những tư liệu then chốt như các hợpđồng, các bí mật trong làm ăn của một tổ chức sẽ đem đến những hậu quả không

ai lường được Do đó cần thiết phải có những biện pháp để bảo vệ các nguồn tàinguyên của một công ty hay một tổ chức

Xuất phát từ điều đó, tôi quyết định chọn đề tài này : “Sử dụng chính sách nhómtrong Windows XP và Windows 2003” Đề tài này chỉ nói lên một khía cạnhnhỏ trong vấn đề bảo mật với phạm vi hữu hạn là mạng nội bộ trong một công tyhay một tổ chức Mạng nội bộ của một tổ chức có thể nói là một nút trong hệthống mạng toàn cầu, thực hiện bảo vệ thông tin theo tôi nghĩ phải đi từ mứcthấp nhất trở đi Trong một mạng nội bộ, các tài nguyên là tài sản dùng chung vàcần thiết phải có các quy tắc bảo vệ những tài sản chung đó, tránh trường hợp vìnhững lý do bất cẩn hay cố ý của người dùng mà bị thay đổi hay nguy hiểm hơn

là xoá mất

Sử dụng chính sách nhóm là một giải pháp bảo vệ sự an toàn của tài nguyênmạng Chúng ta có thể thực hiện phân quyền đối với người dùng, giới hạn tínhnăng phần mềm, theo dõi và kiểm tra các hoạt động của người dùng trong mạng,

…

Mặc dù đây chỉ là một phần nhỏ trong lĩnh vực bảo mật nhưng tôi cũng chưa thể

sử dụng hết các tính năng của chính sách nhóm Những kiến thức thu được từ đềtài tìm hiểu này phần lớn là những kiến thức cơ bản, có một số phần là nâng cao.Nếu có thể được, ở những lần tìm hiểu sau tôi sẽ hoàn chỉnh các kỹ năng vớichính sách nhóm

-Nội dung đề tài

Chương 1 – Khái quát chung

A Hệ điều hành Windows Server 2003……….3

B Nâng cấp thành máy chủ quản trị miền……….4

C Một số khái niệm về Active Directory………11

Chương 2 – Cơ bản về chính sách nhóm A Một số khái niệm về chính sách nhóm………13

B Một số ví dụ về ứng dụng chính sách nhóm, kiểm tra RSoP……… 23

C Giống nhưng không phải là chính sách nhóm……….27

D Tổng kết chương……….29

Chương 3 - Quản lý chính sách nhóm với GPMC A Cài đặt GPMC……….29

B Những chức năng chung của GPMC……… 31

C Bảo mật và phân quyền với GPMC………34

D Thực hiện tính toán RSoP với GPMC………39

E Sao lưu và phục hồi các đối tượng chính sách nhóm……… 41

F Tìm kiếm đối tượng chính sách nhóm với GPMC……… 42

G Tổng kết chương……….43

Chương 4 - Xử lý sự cố chính sách nhóm A Vòng đời của GPO……… 44

B Các máy trạm nhận GPO như thế nào……….46

C Tại sao chính sách nhóm không được thi hành……… 47

D Chẩn đoán trên máy trạm……… 50

E Kiểm tra các sự kiện dựa trên nhật ký hệ thống……… 51

F Tổng kết chương……….52

Chương 5 - Thực hiện bảo mật với chính sách nhóm A Hai đối tượng chính sách nhóm mặc định……….……….52

B Hiểu về các thiết lập bảo mật hiệu dụng, cục bộ……….……55

C Các chính sách kiểm định……….… 55

D Kịch bản logon, logoff, startup, shut down……….57

E Các chính sách giới hạn phần mềm……….58

F Tổng kết chương……….61

Chương 1 – Khái quát chung

A, Hệ điều hành Windows Server 2003

Windows Server 2003 là sản phẩm mới nhất trong các hệ điều hành WindowsServer và được cải tiến rất nhiều so với các phiên bản trước đó :

Trong đề tài này chúng ta sẽ sử dụng phiên bản Enterprise (doanh nghiệp)

Khoảng trống đĩa 1,5 GB Càng nhiều càng tốt

Phiên bản này có các tính năng :

Các loại dịch vụ : Thư mục, Internet, cơ sở hạ tầng, định tuyến TCP/IP, File và

in ấn, đầu cuối, bảo mật, siêu thư mục Microsoft

Hỗ trợ : Chuỗi máy chủ, bộ nhớ RAM cắm nóng, quản trị tài nguyên hệ thốngcủa Windows

Việc cài đặt phiên bản này sẽ không được đề cập đến ở đây

-B, Nâng cấp thành máy chủ quản trị miền

Từ cửa sổ RUN ta gõ vào DCPROMO

Trình cài đặt Active Directory xuất hiện, nhấn Next để tiếp tục

Màn hình phân tích độ tương thích giữa các phiên bản xuất hiện, nhấn Next

Chọn cài đặt máy chủ quản trị miền cho 1 miền mới, nhấn Next

Chọn tạo một miền trong một rừng mới, nhấn Next

Nhập vào tên miền mà chúng ta muốn tạo, nhấn Next

Màn hình tên miền NetBIOS xuất hiện, nhấn Next

Màn hình cơ sở dữ liệu và thư mục nhật ký xuất hiện, nhấn Next

Chọn đường dẫn cho ổ đĩa hệ thống chia sẻ, nhấn Next

Chọn cài đặt máy chủ DNS trên máy tính này, nhấn Next

Chọn chế độ cấp phép, ở đây là cho Windows 2000 và 2003, nhấn Next

Cài đặt mật khẩu Administrator trong trường hợp phục hồi lại dịch vụ thư mục,nhấn Next

Màn hình tổng kết các lựa chọn cài đặt xuất hiện, nếu thấy không có gì phải thayđổi chúng ta nhấn Next

Bắt đầu tiến trình cài đặt

Sau khi cài đặt xong, kết thúc và khời động lại hệ điều hành

-C, Các khái niệm cơ bản về Active Directory

1, Phân biệt 2 mô hình Workgroup và Domain

Mô hình Workgroup (nhóm làm việc) là một nhóm từ 10 máy tính trở lại,

là hệ thống mạng nội bộ đầu tiên, có khả năng chia sẻ tài nguyên như văn bản,máy in Đối với mô hình này, không có máy chủ trung tâm, mỗi máy tính đều làserver đối với tài nguyên của mình Mô hình này chỉ thích hợp với các mạng rấtnhỏ

Mô hình Domain (miền) là mô hình mạng phỏ biến hiện nay trong các tổchức, doanh nghiệp Trong mỗi một miền sẽ có một máy chủ quản trị miền lưugiữ tất cả thông tin về mạng Tất cả các máy tính trong mạng sẽ truy cập đến tàinguyên chung ở máy chủ này

2, Dịch vụ thư mục và Active Directory

Một dịch vụ thư mục (Directory service) là một nguồn tài nguyên số hoáchứa một danh sách các tài nguyên có thể sử dụng trong một hệ thống mạng dữliệu Một dịch vụ thư mục có thể chứa các thông tin về các máy tính trong mạng,các người dùng mạng và cả các thiết bị phần cứng, phần mềm Các tài nguyênnày được lưu trữ tại một thư mục trung tâm nên mọi người đều có thể sử dụngtại mọi thời điểm

Active Directory (AD) là một dịch vụ thư mục, nhưng không chỉ giữ vai

trò là một cơ sở dữ liệu, nó chứa một danh sách các thành phần hỗ trợ bao gồm

cả các Transaction Logs (Nhật ký giao dịch) và dữ liệu hệ thống – Sysvol – nơichứa các thông tin về kịch bản đăng nhập và chính sách nhóm Nó là một dịch

vụ hỗ trợ và sử dụng các cơ sở dữ liệu này bao gồm giao thức Lightweight

Directory Access Protocol (Giao thức truy cập thư mục hạng nhẹ), giao thức bảo mật Kerberos, các chu trình đồng bộ dữ liệu và dịch vụ đồng bộ file.

Cuối cùng, AD là một bộ sưu tập các công cụ mà người quản trị mạng có thể sửdụng để quản lý dịch vụ thư mục

3, Một số khái niệm liên quan đến Active Directory

Miền (Domain) : Là một đơn vị quản trị cơ bản của dịch vụ thư mục

trong Windows Server 2003

Cây (Tree) : Là một cấu trúc logic được tạo bởi nhiều miền.

Rừng (Forest) : Nhiều cây hợp lại.

Đối tượng : Thực chất là các bản ghi trong cơ sở dữ liệu Active

Directory, mỗi đối tượng là một phần tử thể hiện một tài nguyên mạng xác định

Có 2 loại đối tượng là đối tượng chứa và đối tượng lá

Đối tượng chứa (Container): Là đối tượng mà bản thân nó có thể chứa

các đối tượng khác Đó là các đơn vị tổ chức, nhóm

Đối tượng lá (Leaf) : Là các đối tượng không chứa được đối tượng khác.

VD: người dùng, máy tính

Đơn vị tổ chức (Organizational Unit) : Là một đối tượng chứa được sử

dụng để tạo ra các nhóm logic bao gồm các đối tượng như máy tính, người dùng

và nhóm

Máy tính (Computer) : Thể hiện một máy tính trong mạng va cung cấp

tài khoản máy tính cần thiết cho hệ thống để đăng nhập vào miền

Người dùng (User) : Thể hiện một người dùng mạng và thực hiện chức

năng là dữ liệu để nhận dạng và xác thực

Nhóm (Group) : Thể hiện một nhóm logic người dùng, máy tính hoặc

các nhóm khác Các nhóm có thể chứa các đối tượng từ OU và các miền

Chính sách nhóm (Group Policy) : Là một tính năng của AD cho phép

xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành vàcách thức hoạt động của các ứng dụng trên một máy tính mà không cần thiếtphải thực hiện trực tiếp trên máy tính đó

-Chương 2 – Cơ bản về chính sách nhóm

Ở chương trước, chúng ta đã nắm được những khái niệm cơ bản về ActiveDirectory, về miền và các đối tượng trong miền Đó là tiền đề để chúng ta tìmhiểu các chương sau Ở chương này, chúng ta sẽ đi vào chủ đề chính – Chínhsách nhóm Chương này bàn về các khái niệm cơ bản chứ chưa thao tác cụ thểvới chính sách nhóm, tuy vậy chương này rất quan trọng và nếu không nắmđược chúng ta sẽ không thể đi tiếp các chương sau Các nội dung chính ởchương này là :

Chính sách nhóm (Group Policy) : Là một tập hợp các thiết lập cấu hình người

dùng và máy tính, nó chỉ rõ cách các chương trình, tài nguyên mạng và hệ điềuhành làm việc đối với tài khoản người dùng và máy tính trong một tổ chức.Chính sách nhóm có thể thiết lập cho các máy tính (computer), các site, cácmiền (domain) hay các đơn vị tổ chức (OU) Ví dụ : Sử dụng chính sách nhómbạn có thể cho phép những chương trình nào người dùng được phép sử dụng,những chương trình nào xuất hiện trên màn hình desktop hay thanh thực đơnStart của người dùng Mặc dù có tên gọi là “Chính sách nhóm” nhưng bản chấtcác thiết lập chính sách này không phải dành cho các nhóm mà là áp dụng chocác đối tượng chứa đồng thời tác động lên tất cả các đối tượng trong các đốitượng chứa

2, Thế nào là đối tượng chính sách nhóm ?

Đối tượng chính sách nhóm (Group Policy Object - GPO) : Là một tập hợp

các thiết lập chính sách nhóm, các GPO chỉ đơn giản là các tư liệu được tạo rabởi một công cụ cài đặt chính sách nhóm (Group Policy Object Editor) CácGPO được lưư trữ ở cấp độ miền và chúng tác động lên tất cả các tài khoản máytính và người dùng chứa trong các site, các miền và các đơn vị tổ chức

3, Phân loại đối tượng chính sách nhóm

a, Chính sách nhóm cục bộ (Local GPO) : Được lưu trữ trên mỗi máy tính màkhông phải là thành viên của miền (tài khoản máy tính cục bộ) Chính sáchnhóm cục bộ chỉ tác động lên duy nhất máy tính mà nó được lưu trữ Tuy nhiênđây là kiểu chính sách nhóm ít có ảnh hưởng nhất vì nó chỉ có tác dụng trong

một máy tính và nếu máy tính này tham gia vào miền thì nó sẽ không có tácdụng gì trong miền cả Trong một môi trường không mạng hoặc một mạngWorkgroup thì chính sách cục bộ lại có ưu thế vì bản thân mỗi máy tính có tácdụng như một server đối với tài nguyên máy đó Đối tượng chính sách nhóm cục

bộ được lưu trữ tại :

%Systemroot%\System32\GroupPolicy

b, Chính sách nhóm không cục bộ (Nonlocal GPO) :

- Chính sách nhóm miền (Domain GPO) : Được lưu trữ trên máy chủ quản

trị miền, tác động lên tất cả các tài khoản người dùng và máy tính nằm trongmiền bao gồm cả máy chủ quản trị miền Đây là kiểu chính sách nhóm được

sử dụng phổ biến nhất

- Chính sách nhóm đối với máy chủ quản trị miền (Domain Controller

GPO) : Được lưu trữ trên máy chủ quản trị miền, chỉ tác động lên máy chủ

quả trị miền, tuy nhiên nó chỉ tác động lên tài khoản máy tính chứ không tácđộng lên tài khoản người dùng

Hai kiểu đối tượng chính sách nhóm trên được lưu trữ tại :

%Systemroot%\SYSVOL\sysvol\Domain Name\Policíes\GPO GUID\ADM

Lưu ý : GPO chỉ được áp dụng cho các hệ điều hành Windows XP, Windows

2000, Windows 2003 và không áp dụng cho Windows 95, Windows 98,Windows ME hay Windows NT

Một GPO liên kết đến một site sẽ tác động lên tất cả các máy tính trong site đó.Bởi thông tin thư mục được đồng bộ hoá giữa các máy chủ quản trị miền trongmột site và đến bất kì mấy chủ quản trị miền nào mà site đó liên kết đến Do đómột GPO có thể áp đặt cho nhiều miền trong một rừng ngay cả khi GPO đóđược lưu trữ trong một miền nhất định và chỉ được đọc tại miền đó trong khi cácmáy khách chịu tác động đọc GPO liên kết đến site của chúng

4, Công cụ chỉnh sửa chính sách nhóm

Công cụ chỉnh sửa chính sách nhóm (Group Policy Object Editor - GPOE) : Làthứ mà bạn sử dụng để tổ chức và quản lý các thiết lập chính sách nhóm trongmỗi GPO Chúng ta sẽ xem xét đến 3 loại GPOE :

- Local Group Policy Object Editor (Hình 1)

- Domain Group Policy Object Editor (Hình 2)

- Domain Controller Group Policy Object Editor (Hình 3)

(*) Để sử dụng công cụ cục bộ, bạn vào Start/Run gõ GPEDIT.MSC :

Hình 1

Hình 2

Hình 3(*) Để sử dụng Domain GPO :

- Tại máy chủ Windows 2003, vào Start/Programs/Administrative Tools

chọn Active Directory users and computers hoặc vào Start/Run gõ

dsa.msc.

- Nhấp chuột phải vào tên Domain, chọn properties

- Chọn thẻ Group Policy, chọn Edit Giao diện bạn nhìn được sẽ như hình

2

(*) Cuối cùng để sử dụng Domain Controller GPO thì phức tạp hơn :

- Vào Start/Run gõ mmc

- Vào File chọn Add/Remove Snap-in hoặc sử dụng phím tắt Ctrl-m.

- Tại thẻ Standalone, chọn Add

- Trong hộp thoại Add Standalone Snap-in hiện ra chọn Group Policy

- Trong hộp thoại Select Group Policy Object chọn Browse

- Cửa sổ Browse for a Group Policy Object hiện ra, nhấp đúp vào thư mục Domain Controller và chọn Default Domain Controller Policy

- Nhấn Finish, OK và ta được giao diện như hình 3

5, Thực thể chính sách nhóm và các thiết lập chính sách

Mỗi GPO chia làm 2 nửa, 1 nửa cho Computer, 1 nửa cho User, chúng ta có

thể nhìn vào hình dưới đây để thấy được điều đó :

Hai nửa này được gọi là nodes hoặc cũng có tên khác là “nhánh người dùng”

hoặc “nhánh máy tính”

Nhìn hình chúng ta thấy, mức đầu tiên dưới hai nhánh chính là Software

Settings, Windows Settings, Administrative Templates Ta sẽ đi cụ thể vào

từng node :

a, Các thiết lập phần mềm (Software Settings) :

Tại node này chỉ có một phần mở rộng duy nhất là Software installation, nó

cho phép ta quy định những phần mềm nào được cài đặt và bảo trì trong mạngcủa chúng ta

Khi cấu hình các chính sách trong mục này, chúng ta có thể quản lý các ứngdụng dưới hai hình thức :

- Assign : Khi ta muốn một tài khoản người dùng hay máy tính nằm trongphạm vi tác động của GPO có được ứng dụng này

- Publish : Khi ta muốn một ứng dụng nào đó sẵn sàng cho ngườidùng được quản lý bởi GPO

b, Các thiết lập Windows (Windows Settings) :

Trong cả 2 nhánh máy tính và người dùng đều có các Script mở rộng (Scripts)

và các thiết lập bảo mật (Security Settings).

Khi chúng ta thực hiện tắt máy, Windows đầu tiên sẽ thực hiện Script logoff, sau

đó mới đến Script shutdown Mặc định, giá trị thời gian trễ tạm ngừng (timeout)

là 10 phút Nếu các Script trên đòi hỏi hơn 10 phút để xử lý, ta cần phải điềuchỉnh lại giá trị bằng chính sách phần mềm Chúng ta có thể sử dụng bất cứngôn ngữ kịch bản ActiveX nào để viết các Script như VBScript, JScript, PERL

hay các tệp bat (Batch Files).

Lưu ý : Một điểm mới trong Windows Server 2003 là các Script logon nằmtrong thư mục chia sẻ ở một rừng khác sẽ hỗ trợ việc đăng nhập “xuyên rừng”

(Across Forests).

Các thiết lập bảo mật :

Cho phép người quản trị cấu hình các mức độ bảo mật gán cho GPO cục bộhoặc không cục bộ

Trong nhánh người dùng, ngoài các Script và thiết lập bảo mật còn có :

- Remote Installation Services (RIS) : Dùng để điều khiển quá trình cài

đặt hệ điều hành từ xa

- Folder Redirection : Cho phép gửi lại (redirect) các thư mục đặc biệt như

Application Data, Desktop, My Documents, Start menu từ địa chỉ profilengười dùng mặc định đến địa chỉ thay thế trên mạng, nơi các profile nàyđược quản lý chung

- Internet Explorer Maintenance : Cho phép quản trị và tuỳ biến Trình

duyệt web IE trên máy tính chạy Windows Server 2003

c, Các khuôn mẫu quản trị (Administrative Templates – AT)

Trong cả 2 nhánh máy tính và người dùng, nút khuôn mẫu quản trị đều bao gồm

các thiết lập chính sách dựa trên nền Registry (Sổ đăng ký hệ thống) Có hơn

550 thiết lập trong số này dùng cho cấu hình môi trường người dùng Nhữngngười quản trị mạng nên dành một khoảng thời gian nhất định để xử lý các thiếtlập này Windows Server 2003 có 3 hình thức giúp đỡ chúng ta cho các thiết lậpnày :

- Khi bạn chọn Properties từ một chính sách bất kỳ đều có 2 thẻ là Setting

và Explain, thẻ Explain sẽ miêu tả về chức năng của chính sách này

- Trong mục Help, ở Windows 2003 danh sách các hệ điều hành đòi hỏicho các thiết lập được liẹt kê ra

- Thẻ Extended trong GPOE cung cấp sự miêu tả cho mỗi thiết lập được lựachọn, hệ điều hành yêu cầu cho mỗi thiết lập cũng được liệt kê

Mỗi thiết lập trong AT đều có 3 sự lựa chọn :

- Not Configured : Registry không bị sửa đổi.

- Enabled : Registry ánh xạ các thiết lập chính sách được lựa chọn.

- Disabled : Registry ánh xạ các thiết lập chính sách không được lựa chọn

Các thiết lập trong AT tại nhánh máy tính được lưu lại trong khoá

HKEY_LOCAL_MACHINE của Registry, còn của nhánh người dùng được

lưu tại khoá HKEY_CURRENT_USER Thông tin về chính sách ở các khoá

này được lưu trữ tại 1 trong 4 cây sau :

- HKEY_LOCAL_MACHINE\Software\Policies (Thiết lập máy tính)

- HKEY_CURRENT_USER\Software\Policies (Thiết lập người dùng)

- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Policies (Thiết lập máy tính)

- HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Policies (Thiết lập người dùng)

Trong cả 2 nhánh máy tính và người dùng, nút AT đều có 3 nút con WindowsComponents, System, Network

- Windows Components : Cho phép quản trị các thành phần Windows bao

gồm Microsoft NetMeeting, Internet Explorer, Application Compatibility,Task Scheduler, Terminal Services, Microsoft Windows Installer,Microsoft Windows Messenger, Microsoft Media Player và MicrosoftsUpdate

- System : Sử dụng để điều khiển cách mà Windows được truy cập và sử

dụng bao gồm các thiết lập cho profile người dùng, các Script, các hàmđăng nhập, đăng xuất và cả Group Policy nữa Riêng đối với nhánh máytính còn có cả Disk Quota, dịch vụ Net Logon, Remote Assistant, SystemRestore, Error Reporting, Windows File Protection, Remote ProcedureCall và Windows Time Service Đối với nhánh người dùng thì lại có tuỳchọn CTRL + ALT + DEL và Power Management

- Network : Cho phép điều khiển cách mạng được truy cập và sử dụng.

Bao gồm các thiết lập cho Offline File, mạng và kết nối quay số Đối vớinhánh máy tính các thiết lập còn có dịch vụ DNS cho máy trạm, Quality

of Service (QoS) Packet Scheduler và Simple Network ManagementProtocol (SNMP)

Ngoài 3 nút con trên, đối với nhánh máy tính còn có các thiết lập cho máy in(Printers) Còn đối với nhánh người dùng là Start menu and taskbar, Desktop,Control Panel và Shared Folders

Chúng ta thấy có vô vàn các thiết lập trong AT, do đó các bộ lọc đã được pháttriển để làm giảm sự lộn xộn khi quan sát trên màn hình Chúng ta có thể lọc ratất cả những gì muốn quan sát Để sử dụng bộ lọc chúng ta làm như sau :

- Trong cửa sổ GPOE nhấp chuột phải vào Administrative Templates chọnView, chọn Filtering

- Chọn Filtering by Requirements information nếu muốn loại bỏ một

thành phần nào đó đang được hiển hị ở GPOE

- Chọn Only Show Configured Policy Settings nếu muốn ẩn các thiết lập

không được cấu hình

- Chọn Only Show Policy Settings That Can Be Fully Managed nếu muốn

ẩn các thiết lập hệ thống Windows NT 4style Mặc định là được lựa chọn

- Chọn OK

6, Chính sách nhóm trên nền Active Directory

(*) Môi trường AD không có gì đặc biệt, sự thật nó chỉ bao gồm một máy chủWindows Server 2000 hoặc 2003 được nâng cấp thành máy chủ quản trị miền vàmột máy trạm Windows 2000 hoặc XP được gia nhập miền (Join Domain)

AD có thể mở rộng từ một máy chủ đơn ban đầu Một mạng AD có cấu tạo từ 4thành phần riêng biệt sau :

- Máy tính đơn (Local computer)

a, Chính sách nhóm và Active Directory

(*) Khi bạn thiết lập chính sách nhóm ở mức cục bộ, tất cả mọi người sử dụngmáy tính cục bộ đó sẽ chịu tác động ngay, tuy nhiên khi nâng cấp máy để sửdụng AD các chính sách được tạo ra sẽ có sự sàng lọc và phân loại cẩn thậnngười dùng và máy tính nào phải chịu tác động Phải lưu ý rằng khác với cơ chếcục bộ, với AD ta chỉ có thể áp dụng tối đa 999 chính sách cho một người dùnghoặc máy tính bất kỳ

(*) Môi trường AD có cấu trúc phân cấp được thiết kế thành 3 lớp : Site,Domain và OU

Do OU có thể chứa các OU khác nên AD có 1 khả năng chứa đựng gần như vôhạn

Lưu ý :

- Nếu 1 GPO được thiết lập ở mức site, các thiết lập đó sẽ tác động đến tất

cả các tài khoản nằm trong phạm vi của site Phải chắc chắn rằng các tàikhoản này phải cùng một miền tuy nhiên chúng chỉ chịu tác động củachính sách trong một site xác định

- Khi một GPO được thiết lập ở mức miền, nó sẽ tác động đến phần lớnnhững gì nằm trong miền, đến tất cả các OU cũng như các OU chứa trong

ở mức miền Kết quả rất đơn giản : Thiết lập ở mức OU sẽ được thức hiện vìtheo mặc định các thiết lập càng ở mức sâu hơn càng có hiệu lực Điều này cónghĩa là các chính sách ở mức OU sẽ tác động đè lên các chính sách mức miền

và các chính sách mức miền lại đè lên các chính sách mức site Hình bên dướiminh hoạ cho quy luật này :

Nếu không thích cơ chế làm việc này ở các mức thấp hơn có thể sử dụng thuộctính khoá kế thừa (Block Inheritance) Điều này sẽ được bàn cụ thể hơn ởchương sau

b, Liên kết các GPO

Khái niệm cuối cùng mà tôi muốn nói đến trong phần này đó là liên kết cácGPO Khi một GPO được tạo ra ở một mức nào đó có thể là site, miền hay OUbằng cách sử dụng công cụ đồ hoạ người dùng, hệ thống tự động sẽ kết hợpGPO đó với mức mà nó vừa được tạo ra Sự kết hợp này được gọi là liên kết

(Linking).

Bạn hãy tưởng tượng về các GPO bạn tạo ra trong AD như là những đứa trẻtrong một cái hồ bơi lớn, mỗi đứa trẻ được buộc vào hông một sợi dây và mộtngười bảo vệ sẽ nắm đầu còn lại của sợi dây, thực tế có thể có rất nhiều sợi dâybuộc vào đứa trẻ và nhiều người bảo vệ giữ dây cũng như sẽ có những đứa trẻkhông có sợi dây nào cả và sẽ chịu nhiều nguy hiểm nhất Từ sự tưởng tượngnày ta có thể thấy sự liên hệ ở đây :

- Cái hồ bơi là một công cụ chứa AD được gọi là Policies (sẽ được bàn đến

sau)

- Các GPO được tạo ra và tồn tại trong một miền, chính là đứa trẻ

- Người bảo vệ là một mức trong AD (site, miền, OU)

Trong một hồ bơi, nhiều người có thể cùng bảo vệ một đứa trẻ Trong AD nhiềumức có thể liên kết đến một GPO

động trong một công ty - ở đây là Sparrow.com

Nhìn vào hình ta thấy công ty này có 2 máy chủ quản trị miền là DC1 và DC2 đặt lần lượt tại các vị trí Ha Noi site và Thai Nguyen site Máy chủ quản trị miền sử dụng Active Directory Sites and Services.

Trong sparrow.com có 1 OU là Human Resource và bên trong OU này có 1

OU khác là Security Trong OU Human Resource có 1 tài khoản máy tính là

Long PC và 1 người dùng là Hoang, tương tự trong OU Security là Nam PC và Giang Ngoài ra còn có một tài khoản máy tính là Hung PC thuộc miền

sparrow.com và không thuộc OU nào, nằm ở Thai Nguyen site

Thêm nữa trong miền sparrow.com có một miền con là sales.sparrow.com (Domain Child) Trong miền này có 1 máy chủ miền là DC3 cũng đặt tại Thái

Nguyên site

Cuối cùng là Hoa PC thuộc miền sales.sparrow.com nằm tại Da Nang site

Trên đây là những thành phần lý thuyết của miền sparrow.com, tiếp theo chúng

ta sẽ xét đến tác động cụ thể của chính sách nhóm

b, Tác động của GPOs :

Như đã đề cập từ phần trước, AD có 3 mức là Site, Domain và OU Các GPOtác động lên 1 máy tính hay người dùng nào sau tất cả các mức này và thu được

kết quả cuối cùng được gọi là kết quả tập hợp chính sách – Resultant Set of

Policy (RSoP) đôi khi được gọi là phép tính RsoP (RSoP Calculation).

Chúng ta hãy quan sát và mô hình miền Sparrow.com và sẽ thấy được phạm vitác động của chính sách nhóm lên các tài khoản máy tính và người dùng nhưsau:

- Ở mức site :

PC, DC1, DC2, Hoang, Giang

- Ở mức OU :

Human Resource Long PC, Hoang, Nam PC, Giang

đều chịu tác động khi GPO được ápdụng cho OU này

GPO được áp dụng cho OU này

Sau khi liệt kê các nức tác động lên tài khoản người dùng và máy tính, bây giờchúng ta lập một bảng tổng hợp về RSoP của 1 số người dùng và máy tính :

các mức : Ha Noi site, miềnsparrow.com, OU Human Resource.Hoa PC Chịu tác động : Da Nang site và

sales.sparrow.com, không thuộc OUnào

Nam PC Chịu tác động của TPHCM site,

sparrow.com, OU Human Resource,

OU Security

Hoang sử dụng Nam PC Nam PC chịu tác động của 4 mức ở

trên Hoang là 1 tài khoản người

dùng thuộc OU Human Resource,khi Hoang sử dụng Nam PC, Hoang

sẽ chịu tavs động của GPO ở 3 mức

là TPHCM site, sparrow.com, OUHuman Resource

Thêm một điểm cần lưu ý là miền sales.sparrow.com là miền con củasparrow.com nên sẽ kế thừa tất cả các GPO từ sparrow.com

2, Ví dụ thực tế

a, Tạo một GPO mới : Ta đã có miền sparrow.com, OU human Resource và 1

OU bên trong là Security, trong OU Human Resource có 1 người dùng làHoang, trong OU Security có 1 người dùng là Giang Ta sẽ tạo ra 1 GPO cho

OU Security :

Đầu tiên vào cửa sổ MMC và tạo 1 Snap-in mới (đã được đề cập từ trước).

Tại thẻ Standalone chọn Add, trong hộp thoại Add Standalone Snap-in chọn

Group Policy Object Editor

Trong cửa sổ Select Group Policy Object, chọn Browse, hiện ra danh sách các

thư mục và GPO để lựa chọn :

OU Security nằm trong OU Human Resource nên ta sẽ nhấp đúp vào OU này.

Vì trong OU Security chưa có GPO nào nên ta sẽ phải tạo 1 GPO mới, nhấn vào

nút Create New Group Policy Object, đặt cho GPO này tên là Chinh sach bao

mat.

Nhấn OK để hoàn thành, sau cùng khi trở về cửa sổ MMC, ta lưu GPO này lại

với tên là chinh sach bao mat Kết quả thu được cuối cùng :

b, Gán quyền điều khiển GPO

Để làm được điều này ta phải gán cấp phép đối với OU Security cho 1 tài khoản

người dùng nào đó, trong VD này ta gán cho Administrator.

Vào Start/Run gõ dsa.msc, cửa sổ Active Directory Users and Computers hiện

ra, nhấp chuột phải vào OU Security, chọn Delegate Control

Cửa sổ Delegation of Control Wizard hiện ra, nhấn Next, chọn Add, gõ vàoAdministrator và nhấn Next

Trong cửa sổ gán quyền, lựa chọn các tác vụ cần thiết và nhấn Next

Nhấn Finish để hoàn thành.

c, Cấu hình thiết lập chính sách nhóm

Mở Chinh sach bao mat.msc trong Administrative Tools

Ta sẽ thiết lập chính sách cho Start Menu and Taskbar.

Chẳng hạn ta muốn những thành viên của OU Security sẽ không có công cụ

Search trong thanh thực đơn Start của họ, ta sẽ chọn Remove Search menu from Start Menu.

Cửa sổ Properties hiện ra, chọn Enabled Nhấn OK.

Vào Start/Run gõ gpupdate, câu lệnh này sẽ khởi tạo lại chính sách nhóm và

làm cho thiết lập ta vừa cấu hình có hiệu lực

Từ giờ, tất cả các thành viên trong OU Security khi đăng nhập vào bất kỳ máytính nào trong miền sẽ không có công cụ tìm kiếm trong thực đơn Start

C, Giống nhưng không phải là chính sách nhóm

Windows Server 2003 là một môi trường rộng lớn, có rất nhiều ngóc ngách tạiđây và lẽ tất nhiên là sẽ có những thứ trông tương tự như nhau mặc dù chúng

chẳng có mối liên quan gì Trong phạm vị của đề tài này tôi muốn nói đến 2 thứnhư vậy đối với chính sách nhóm (GP) và chúng hoàn toàn là riêng biệt.

1, Dịch vụ đầu cuối (Terminal Services)

Đây là dịch vụ được xây dựng sẵn trong Windows Server 2003, để cấu hình dịch

vụ này ta sử dụng công cụ Terminal Services Configuration trong

Administrative Tools, hoặc vào Start/Run gõ tscc.msc.

Thoạt trông đây có vẻ giống cấu hình chính sách nhóm, thực tế là không Tuynhiên Windows 2003 có rất nhiều thiết lập chính sách và có 1 số được ánh xạsang bảng điều khiển này

2, Dịch vụ chọn đường và truy cập từ xa (Routing and Remote Access)

Đây là dịch vụ cho phép người dùng kết nối đến Windows Server 2003 sử dụngthông qua Dial-in hay mạng riêng ảo (Virtual Private Network - VPN) Để quyđịnh ai co quyền truy cập thông qua các cổng, Windows Server 2003 đã cung

cấp 1 loạt các quy tắc được gọi là Remote Access Policies Đây là lý do dễ gây

nhầm lẫn với chính sách nhóm

E, Tổng kết chương

Kết thúc chương 2 chúng ta đã tìm hiểu được những khái niệm cơ bản nhất vềchính sách nhóm như thế nào là chính sách nhóm, đối tượng chính sách nhóm,công cụ cấu hình chính sách nhóm

Đi sâu hơn vào các khái niệm bên trong chúng ta còn hiểu được về các thực thểchính sách nhóm được phân thành các node hay các nhánh Các thực thể nàychia thành 2 nửa chính là cấu hình máy tính và cấu hình người dùng Thànhphần nhỏ nhất chính là các thiết lập chính sách nhóm

Để làm rõ hơn về chính sách nhóm chúng ta cũng đã đi qua 2 ví dụ 1 tổng quátvà1 cụ thể và có kết quả rõ ràng

Cuối cùng là sự phân biệt đối với những công cụ hay dịch vụ dễ gây lầm tưởng

- Cài đặt GPMC

- Những chức năng chung của GPMC

- Bảo mật và phân quyền với GPMC

- Tính toán RSoP với GPMC

- Sao lưu và phục hồi các GPO

- Tìm kiếm GPO với GPMC

2, Mục tiêu của việc thiết kế và sử dụng GPMC

Tại sao chúng ta phải sử dụng GPMC trong khi chúng ta đã có các công cụ đượccung cấp sẵn khi cài đặt AD ?

Mục đích chính của GPMC là cung cấp một cái nhìn trung tâm nhất đối vớichính sách nhóm.

GPMC được Microsoft tạo ra với một giao diện hết sức trong sáng và dễ hiểu đểquản lý một cách tập trung gần như mọi thứ liên quan đến chính sách trongmiền Microsoft đã phát triển nó vì tương lai của môi trường Active Directory vàkèm theo rất nhiều thứ hỗ trợ như White Papers, TechNet Articles, paid phonesupport, free newsgroup support, Microsoft Official Curriculum

GPMC thực chất cũng là một Snap-in của bảng điều khiển MMC có thể quản lý

cơ chế hoạt động đăng sau các chính sách nhóm, giúp chúng ta đào sâu và tiếpcận với những yếu tố được dựng sẵn trong AD

3, Môi trường hoạt động của GPMC

GPMC có thể chạy cả trên máy tính cục bộ và trên miền Tuy nhiên nó đòi hỏi

có NET Framework và Service Pack 1 được cài đặt sẵn

4, Cài đặt GPMC trên máy chủ quản trị miền

Để có thể cài đặt GPMC bạn phải download bộ cài đặt GPMC từ địa chỉ sau:

Khi chúng ta đã chạy GPMC trong hệ thống thì sẽ có kết quả thể hiện ngay :

Trong hình trên ta thấy trong cửa sổ Properties của OU Security, tại thẻ GroupPolicy có liên kết đến GPMC

B, Những thành phần và chức năng chung của GPMC

GPMC có thể nói là tổng hợp cả hai công cụ quản lý Domain Policy và DomainController Policy và dù là quản lý trên toàn miền, trên 1 OU nào đó hay chỉriêng máy chủ quản trị miền thì đều xuất hiện 4 thẻ sau :

- Scope : Cung cấp cho ta một cái nhìn lướt qua về thời gian và địa điểm

mà đối tượng chính sách nhóm được thi hành

- Details : Chứa các thông tin chi tiết về miền, người tạo ra (sở hữu) GPO,thời gian GPO được tạo ra, thời gian lần cuối cùng GPO được sửa đổi,trạng thái của GPO,…

- Settings : Cho ta thấy 1 cách tổng quát những gì được thiết lập bên trong

1 GPO

Trong hình trên ta thấy có 1 số chính sách đã được thiết lập chẳng hạn như

Disabled với Password must meet, Disabled với Store passwords using.