BÁO CÁO đồ án CÔNG NGHỆ MẠNG topic domain group; group policy infrastructure, settings and management

Domain Group

Mô hình hệ thống mạng

Một hệ thống mạng thường được xây dựng trên mô hình phổ biến đó là: Workgroup hoặc Domain

- Là một nhóm máy tính logic, mô hình quản trị và bảo mật phi tập trungòn gọi là mô hình mạng Peer-

To-Peer, là mô hình mà trong đó các máy tính có vai trò bình đẳng như nhau được nối kết với nhau

Dữ liệu và tài nguyên được lưu trữ phân tán trên các máy cục bộ, nơi mà các máy tự quản lý tài nguyên như tài khoản và thông tin bảo mật của riêng mình, đồng thời thực hiện việc tự chứng thực ngay trên máy cục bộ.

Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý, mô hình này phù hợp cho các mạng nhỏ với yêu cầu bảo mật thấp, chẳng hạn như mạng gia đình, mạng phòng net, hoặc mạng của các công ty nhỏ đơn giản.

- Xác thực được cung cấp bởi cơ sở dữ liệu tài khoản cục bộ - Trình quản lý tài khoản bảo mật (SAM)

+ Tài nguyên dễ chia sẻ (printers, folders)

+ Tài nguyên được phân phối trên tất cả các máy

+ Chi phí quản lý ít, thiết kế đơn giản, dễ thực hiện

+ Thuận tiện cho các nhóm nhỏ ở gần

+ Không yêu cầu máy chủ trung tâm hoặc thiết bị mạng công suất lớn (bộ định tuyến, bộ chuyển mạch, cầu nối )

+ Không kiểm soát tập trung các nguồn lực

+ Người dùng tự quản lý tài khoản của mình => vấn đề bảo mật

Hệ thống mạng hoạt động theo cơ chế Client-Server, trong đó ít nhất một máy tính đảm nhiệm vai trò điều khiển vùng (Domain Controller) Các máy tính khác kết nối với nhau thông qua máy chủ chính này.

Domain Controller đóng vai trò quan trọng trong việc quản lý hoạt động của hệ thống mạng, nhờ vào dịch vụ Active Directory, được coi là yếu tố thiết yếu trong máy chủ Domain Controller.

Mô hình này tập trung vào việc quản lý và xác thực tất cả các tài nguyên được chia sẻ, phù hợp cho các công ty vừa và lớn với yêu cầu cao về bảo mật.

- Xác thực được cung cấp thông qua Active Directory tập trung

- Hỗ trợ Single-Sign-On

• Thuận lợi + Chia sẻ tài nguyên tập trung, dễ kiểm soát, triển khai phần mềm Chia sẻ tài nguyên giữa các máy khách dễ dàng hơn

+ Hiệu suất hiệu quả cho số lượng máy trạm hầu như không giới hạn

+ Có sự phân cấp máy tính: dễ dàng quản lý quyền của người dùng ở mỗi cấp với mỗi mục đích khác nhau + Có khả năng mở rộng

• Hạn chế + Nỗ lực hành chính đáng kể + Thiết kế phức tạp, yêu cầu máy chủ mạnh và đắt tiền

+ Không có khả năng mở rộng rất cao, không hiệu quả cho hơn 20 máy trạm

+ Bảo mật phải được cấu hình thủ công

=> So với workgroup, AD có các ưu điểm:

+ Quản lý tập trung + Group policy

+ Bảo mật dữ liệu + Khả năng dự phòng, bảo mật thông tin

+ Ủy quyền quản trị + Hiệu suất và khả năng mở rộng

Tổng quan về AD

Active Directory (AD) mang lại nhiều tính năng mới, giúp bộ điều khiển miền hoạt động nhanh hơn, dễ triển khai hơn và linh hoạt hơn trong việc kiểm tra cũng như cấp quyền truy cập vào tệp Đây là dịch vụ directory trong hệ thống Windows Server, đóng vai trò quan trọng trong việc quản lý và tổ chức thông tin.

• Xác định nguồn tài nguyên mạng

• Cung cấp 1 cách phù hợp về: tên, mô tả, vị trí, truy cập, quản lý bảo mật

Khả năng mở rộng (Scalability) của Active Directory (AD) được tổ chức thành các phần, cho phép lưu trữ một lượng lớn các đối tượng Điều này có nghĩa là AD có thể dễ dàng mở rộng khi tổ chức phát triển.

- Quản trị tập trung

Quản lý tài nguyên mạng hiệu quả với AD quản lý tập trung, cung cấp một cơ sở dữ liệu duy nhất dễ dàng tìm kiếm và quản trị Hệ thống này cho phép quản lý đăng nhập tập trung, giúp người dùng thực hiện đăng nhập một lần cho tất cả các tài nguyên.

AD giúp quản trị viên quản lý máy tính để bàn, dịch vụ mạng và ứng dụng phân phối từ một vị trí trung tâm, thông qua một giao diện quản lý dễ sử dụng.

Active Directory (AD) cung cấp khả năng kiểm soát truy cập tập trung đến tài nguyên mạng, cho phép người dùng sử dụng tính năng đăng nhập một lần (single sign-on) để dễ dàng truy cập đầy đủ vào các tài nguyên thông qua AD.

- Ủy quyền quản trị < Delegated administration >

Chỉ định quyền cho các quản trị viên trong các đơn vị tổ chức cụ thể là cần thiết để sửa đổi các thuộc tính của một đối tượng Điều này giúp thực hiện nhiệm vụ một cách đồng nhất trong tất cả các đơn vị tổ chức.

+ Giúp giảm trách nhiệm, công việc của quản trị ciên và tăng khả năng quản trị (tăng lượng quản trị viên)

+ Tùy chỉnh Công cụ Quản trị để: Ánh xạ đến các tác vụ quản trị được ủy quyền, Đơn giản hóa thiết kế giao diện

2 Cấu trúc của Active Directory

Logical Structure – Cấu trúc logic (luận lý)

Physical Structure – Cấu trúc vật lý

• Object: là các đối tượng được tạo ra trong Active Directory, ví dụ: user account, computer account, group account

Đơn vị Tổ chức (OU) là thành phần nhỏ nhất trong hệ thống Active Directory, đóng vai trò như một vật chứa các đối tượng (Object) nhằm sắp xếp và quản lý các đối tượng khác nhau hiệu quả.

OU có hai công dụng chính sau:

Trao quyền kiểm soát cho một nhóm người hoặc phụ tá quản trị viên trên các tài khoản người dùng, máy tính, và thiết bị mạng giúp giảm bớt công việc quản trị cho người quản trị hệ thống chính.

Kiểm soát và hạn chế một số chức năng trên máy trạm của người dùng trong tổ chức (OU) thông qua việc áp dụng các đối tượng chính sách nhóm (GPO) là một biện pháp hiệu quả nhằm nâng cao bảo mật và quản lý hệ thống.

Domain là thành phần quan trọng trong cấu trúc luận lý của Active Directory (AD), giúp xác định một tập hợp người dùng, máy tính và tài nguyên chia sẻ có các quy tắc bảo mật giống nhau Điều này tạo điều kiện thuận lợi cho việc quản lý quyền truy cập vào các máy chủ, đồng thời Domain thực hiện ba chức năng chính trong hệ thống.

Khu vực quản trị đối tượng đóng vai trò quan trọng trong việc quản lý các đối tượng chia sẻ, bao gồm việc thiết lập một cơ sở dữ liệu thư mục chung, áp dụng các chính sách bảo mật và thiết lập quan hệ ủy quyền với các miền khác.

+ Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ

+ Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các

Server này được đồng bộ với nhau

Cấu trúc Domain Tree bao gồm nhiều domain được sắp xếp theo hình dạng cây với cấp bậc rõ ràng Domain gốc, hay còn gọi là domain root, nằm ở vị trí đầu tiên trong cây thư mục Tất cả các domain được tạo ra sau đó sẽ là các domain con (child domain) và phải có tên khác biệt nhau Để hình thành một domain tree, ít nhất cần có 2 domain.

• Forest: được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các

Domain Tree có thiết lập quan hệ và ủy quyền cho nhau

Các site thể hiện cấu trúc vật lý và kiến trúc mạng của doanh nghiệp, đóng vai trò quan trọng trong việc xây dựng mô hình đồng bộ database cho dịch vụ Active Directory (AD) Đây là một trong hai địa điểm mà AD lưu trữ thông tin về kiến trúc mạng, bên cạnh các liên kết WAN.

The Global Catalog (GC) serves as a repository for all objects within its domain, as well as a selection of frequently accessed objects from other domains in the forest A Global Catalog server is a Domain Controller that maintains all Active Directory (AD) objects across the entire forest.

Domain Controllers (DC) là những máy chủ chứa bản sao của cơ sở dữ liệu Active Directory (AD) Mỗi DC có khả năng xử lý các thay đổi và đồng bộ hóa các thay đổi này với tất cả các DC khác trong miền, đảm bảo tính nhất quán và khả năng truy cập thông tin trong hệ thống.

Domain Controllers

1 Tổng quan về Domain Controller

Domain controller (DC) là máy chủ quản lý bảo mật mạng và danh tính, thực hiện xác thực người dùng và cấp quyền truy cập vào các tài nguyên trong miền Nó cũng đảm bảo chính sách xác thực danh tính cho người dùng Windows trên các hệ thống, ứng dụng, máy chủ tệp và mạng.

DC sử dụng cơ chế đa máy chủ để sao chép dữ liệu từ một DC đến các máy khác, cho phép quản trị viên chỉnh sửa dữ liệu trên nhiều DC khác nhau, ngoại trừ các RODC (Read-Only Domain Controller) chỉ cho phép đọc dữ liệu.

Mỗi Domain Controller (DC) chứa thông tin về các đối tượng như người dùng, nhóm và máy tính, đồng thời lưu trữ bản sao của cơ sở dữ liệu Active Directory Domain Services (AD DS) Mỗi DC chỉ hỗ trợ một miền (Domain) và các máy chủ không phải DC được gọi là Member Server Trong hầu hết các hoạt động, mỗi DC có khả năng xử lý các thay đổi và sao chép chúng tới tất cả các DC khác trong cùng một miền Để đảm bảo tính sẵn sàng cao cho miền, có thể triển khai nhiều DC.

2 Phân loại và ưu khuyết điểm

- Primary Domain Controller (PDC): Thông tin bảo mật và tài nguyên của Domain được lưu trữ trong thư mục chính (Windows server)

Backup Domain Controller (BDC) có thể được nâng cấp lên Primary Domain Controller (PDC) khi PDC gặp sự cố Ngoài ra, BDC cũng có khả năng cân bằng khối lượng công việc trong trường hợp mạng bị nghẽn.

• Lợi ích của bộ điều khiển miền

- Quản lý người dùng tập trung

- Cho phép chia sẻ tài nguyên cho tệp và máy in

- Cấu hình liên kết để dự phòng (FSMO)

- Có thể được phân phối và nhân rộng trên các mạng lớn

- Mã hóa dữ liệu người dùng

- Có thể được làm cứng và khóa lại để cải thiện bảo mật

• Hạn chế của Bộ điều khiển miền

- Mục tiêu tấn công mạng

- Có khả năng bị tấn công

- Người dùng và hệ điều hành phải được duy trì để ổn định, bảo mật và cập nhật

- Mạng phụ thuộc vào thời gian hoạt động của DC

- Yêu cầu về phần cứng / phần mềm

3 Cách sử dụng và vai trò, chức năng

Nguyên lý hoạt động của hệ thống yêu cầu người dùng là tất cả các yêu cầu sẽ được chuyển đến Domain Controller (DC) để xác thực và ủy quyền Trước khi truy cập vào các tài nguyên theo yêu cầu, người dùng cần xác nhận danh tính bằng cách sử dụng tên người dùng và mật khẩu của mình Domain Controller đóng vai trò quan trọng trong hầu hết các phòng máy chủ của tổ chức, và nó được tích hợp như một phần cơ bản của các dịch vụ Active Directory.

DC lưu trữ dữ liệu xác định và xác thực quyền truy cập của người dùng trên mạng, bao gồm các chính sách nhóm và tên máy tính Khi người dùng đăng nhập vào miền, DC sẽ kiểm tra tên người dùng, mật khẩu và thông tin đăng nhập để cho phép hoặc từ chối quyền truy cập Tất cả thông tin mà kẻ tấn công cần để gây thiệt hại nghiêm trọng cho dữ liệu và mạng đều nằm trên DC, khiến nó trở thành mục tiêu hàng đầu trong các cuộc tấn công mạng.

DC là một thành phần quan trọng trong việc kiểm soát quyền truy cập vào tài nguyên trong một Domain, thường được sử dụng bởi các IT Admin Tại phòng máy chủ của các tổ chức, DC được tích hợp với các dịch vụ AD để nâng cao hiệu quả quản lý và bảo mật.

• Các bước triển khai một mô hình Domain Controller

Bước 1: Tiến hành đặt IP tĩnh cho máy được lựa chọn làm Domain Controller

Bước 2: Xây dựng Domain Controller trên máy Server đã được chọn làm Domain Controller Bước 3: Tạo user trong Domain Controller cho các máy Client

Bước 4: Đặt địa chỉ IP và Join các Client vào Domain

Bước 5: Đăng nhập máy Client sau đó kiểm tra Domain Controller

Các máy chủ Danh bạ Toàn cầu (Global Catalog Servers - GCS) có nhiệm vụ lưu trữ các đối tượng cho miền mà chúng được cài đặt Hệ thống này được chỉ định làm máy chủ Danh bạ Toàn cầu, lưu trữ các đối tượng từ các miền trong rừng (forest).

Operations Masters trong Active Directory (AD) thực hiện các chức năng quan trọng để đảm bảo tính thống nhất cho hệ thống Chúng giúp loại bỏ khả năng xung đột giữa các entry trong cơ sở dữ liệu AD, từ đó nâng cao hiệu quả quản lý và bảo mật thông tin.

Group Policy Infrastructure, settings and management

Group Policy

1 Tổng quát về Group Policy:

- Group Policy (GP) là một tập hợp các cài đặt có thể áp dụng lên máy tính hoặc người dùng

- GP giúp quản trị viên quản lý tập trung máy tính và người dùng, dùng để triển khai phát phần mềm

 Ủy quyền kiểm soát cho người dùng hoặc một nhóm khác

- GP được đặt cho một trang web, miền, một đơn vị tổ chức hoặc máy tính cục bộ

Không thể áp dụng Group Policy (GP) cho các vùng không phải là Organizational Unit (OU) trong Active Directory OU là một đối tượng trong Active Directory, nơi lưu trữ các đối tượng như người dùng, máy tính và nhóm Việc sử dụng OU cho phép ủy quyền quản trị và áp dụng các chính sách một cách hiệu quả.

- Khi GP được cập nhật, các chính sách cũ sẽ bị xóa hoặc cập nhật với toàn bộ khách hàng

- Cài đặt GP được lưu trữ trong đối tượng chính sách nhóm

- GP chứa cài đặt các chính sách để quản lý nhiều khía cạnh của bộ điều khiển miền, máy chủ thành viên, máy thành viên và người dùng

2 Chức năng của Group Policy:

- Triển khai các phần mềm ứng dụng

- Gán các quyền hệ thống cho người dùng

- Giới hạn ứng dụng được phép thi hành

- Kiểm soát các thiết lập hệ thống, các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy

- Đơn giản hóa và hạn chế các chương trình…

3 Group Policy Object và một số thành phần trong Group Policy Object:

- Group Policy Object (GPO) là một nhóm cấu hình nhiều GP

- Một số thành phần trong GPO: gồm 2 thành phần chính :

+ Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ máy tính trong mạng

+ User Configuration: cấu hình chính sách cho các tài khoản trong miền

+ Và một số thành phần con như:

• Software Settings: chính sách triển khai cài đặt phần mềm xuống client tự động

• Windows Settings: tinh chỉnh, áp dụng chính sách về vấn đề sử dụng tài khoản

• Script( Logon/ Logout): chỉ định cho Windows chạy một đoạn mã nào đó

• Name Resolution Policy: chính sách phân giải tên

• Local Policy: kiểm định những chính sách, những tùy chọn quyền lời và chính sách an toàn cho người dùng cục bộ

• Account Policies: các chính sách áp dụng trong tài khoản người dùng

• Public Key Policies: các chính sách khóa dùng chung

- Gồm hai loại chính: a Local GPOs:

- Local GPOs được lưu trữ trên máy tính cục bộ và được chỉnh sửa thông qua phần đính vào trình chỉnh sửa đối tượng chính sách nhóm

Các cài đặt trong Local GPOs không thể thay đổi, và những cài đặt chưa được xác định hoặc không được cấu hình theo miền GPOs có thể được chỉnh sửa cục bộ.

- Được lưu trữ tại systemroot system32 Group policy b Domain GPOs:

- Domain GPOs được lưu trữ trong Active Directory trên domain controller: được liên kết với các trang web, miền hoặc OUs

- Bao gồm hai phần riêng biệt:

• Mẫu chính sách nhóm ( GPT ):

+ Chứa tất cả các cài đặt chính sách tạo nên GPO cũng như các tệp liên quan

+ Mỗi GPT chứa ít nhất 3 mục GPT.ini

+ Chứa các cài đặt mặc định GPO mới

+ Đường dẫn đến cấu trúc GPT mặc định cho mỗi miền

• Vùng chứa chính sách nhóm ( GPC ):

+ Bao gồm vùng chứa con chứa thông tin trạng thái và thuộc tính GPO nhưng không có cài đặt chính sách

+ Hai GPOs, tương ứng với hai GPOs mặc định: chính sách miền mặc định và bộ điều khiển mặc định

+ Mỗi GPC có hai vùng chứa phụ- một vùng chứa thông tin cấu hình máy tính và một vùng khác dành cho người dùng thông tin cấu hình

+ Thông tin trong PGC: Tên của GPO, Đường dẫn tệp đến C-PI, Phiên bản, Trạng thái

- Đảm bảo rằng tất cả bộ điều khiển domain đều có bản sao của GPO ở thời điểm hiện tại

- GPC được sao chép với AD

- GPT: được sao chép bằng các phương pháp sau:

+ Dịch vụ nhân bản tệp FRS (File Replication Service)

+ Được sử dụng khi chạy trong môi trường hỗn hợp của các hệ điều hành Windows Sever khác nhau

+ Sao chép hệ thống tệp phân tán DFSR (Distributed File System Replication)

+ Được sử dụng khi tất cả DC chạy trong Windows Sever 2008

- DFSR hiệu quả hơn và đáng tin cậy hơn

- Sự cố sao chép có thể được chuẩn đoán bằng Gpotool.exe

5 Tạo, chỉnh sửa và liên kết các GPOs

Cài đặt phần mềm cho các ứng dụng cụ thể có thể được thiết lập trên máy tính, cho phép quản trị viên cung cấp ứng dụng mới và kiểm soát cấu hình mặc định.

Cài đặt Windows cho phép quản trị viên hệ thống tùy chỉnh hoạt động của hệ điều hành, với các tùy chọn được chia thành hai loại: dành cho người dùng và máy tính Cài đặt dành riêng cho người dùng cho phép cấu hình Explorer, bao gồm trang chủ mặc định và các thiết lập khác, trong khi cài đặt máy tính bao gồm các tùy chọn bảo mật như chính sách tài khoản và nhật ký sự kiện.

Các Mẫu Quản Trị được sử dụng để cấu hình các cài đặt máy tính và người dùng một cách chi tiết Ngoài các tùy chọn mặc định có sẵn, quản trị viên hệ thống có khả năng tạo ra các mẫu quản trị riêng thông qua các tùy chỉnh linh hoạt.

Group Policy Preferences trong Windows Server 2016 cung cấp hơn 20 tiện ích mở rộng cho chính sách nhóm, cho phép người dùng định cấu hình nhiều cài đặt khác nhau Những tiện ích này bao gồm cài đặt cho thư mục tùy chọn, ổ đĩa được ánh xạ, máy in, sổ đăng ký, người dùng cục bộ và nhóm, tác vụ đã lên lịch, dịch vụ, cùng với menu bắt đầu.

Để chỉnh sửa GPOs, bạn cần nhấp chuột phải vào GPOs trong GPMC và chọn chỉnh sửa, thao tác này sẽ mở GPO trong GPMT Mặc dù có thể thực hiện thay đổi đối với chính sách miền mặc định, nhưng không nên làm như vậy Phương pháp khuyến nghị là tạo một GPO mới và liên kết nó với miền GPOs sẽ được áp dụng cho các đối tượng theo thứ tự ngược lại với thứ tự đã chỉ định.

- Nếu chỉnh sửa GPO đã được liên kết với vùng chứa, các thay đổi trong chính sách sẽ có hiệu lực ngay khi khách hàng tải xuống

- Trước khi thay đổi nhiều chính sách thì hãy kiểm tra chúng 1 cách riêng lẻ

- Phạm vi chính sách nhóm xác định đối tượng nào trong AD bị ảnh hưởng bởi cài đặt trong chính sách

Nếu GPO được áp dụng cho một đối tượng cụ thể và một cài đặt chỉ được cấu hình trên GPO đó, thì cài đặt này sẽ được thực thi.

- Các chính sách sẽ được dụng theo thứ tự này :

+GPOs liên kết trang web:

+ GPO được liên kết với một đối tượng trang ảnh hưởng đến tất các người dùng và máy tính

• Có thể sử dụng để thiết lập các chính khác nhau cho người dùng di động

• Trong môi trường miền và trang web số ít , tốt hơn là sử dụng GPO

+ GPO của trang web này gây nhầm lẫn cho người dùng di động về thay đổi chính sách đủ quyết liệt giữa các trang web o GPOs liên kết miền:

+ Chứa các cài đặt áp dụng cho tất cả các đối tượng trong miền

+ Chính sách tài khoản chỉ có thể áp dụng tại miền o GPOs liên kết OU:

+ Việc điều chỉnh các chính sách nhóm nên được thực hiện ở cấp OU

Người dùng và máy tính cần được đặt trong cùng một OU để áp dụng chính sách tương tự Do các OU có thể lồng vào nhau, GPOs cũng có thể được sử dụng để xử lý các trường hợp ngoại lệ đối với các chính sách đã được thiết lập ở cấp cao hơn.

Kế thừa GPO được kích hoạt mặc định, cho phép các container con trong một domain nhận các chính sách từ container cha Tuy nhiên, các domain con lại không kế thừa GPO từ domain cha.

- Cách thiết lập chính sách ở OU cha:

+ Nếu OU con có chính sách đó rồi thì sẽ được ghi đè lên OU cha

+ Nếu OU con chưa có chính sách đó thì sẽ được kế thừa từ OU cha

- Một số cách ảnh hưởng đến việc kế thừa GPO :

Để chặn sự kế thừa GPO và ngăn chặn ảnh hưởng từ vùng chứa mẹ đến vùng chứa con, bạn có thể thực hiện thao tác trong GPMC Cụ thể, hãy nhấp chuột phải vào miền con hoặc OU và chọn "Block Inheritance" Khi tính năng chặn được bật, đơn vị tổ chức hoặc đối tượng miền sẽ hiển thị với dấu chấm than màu xanh lam.

Để thực thi kế thừa GPO, bạn có thể đặt liên kết GPO thành bắt buộc bằng cách nhấn chuột phải vào liên kết trong cây bảng điều khiển và chọn tùy chọn bắt buộc Việc này sẽ buộc kế thừa GPO ghi đè mọi cấu hình xung đột ở cấp OU con Trong trường hợp có nhiều GPO được thực thi, GPO ở cấp cao nhất sẽ được ưu tiên trong các xung đột.

+ Lọc GPO cho phép thay đổi kế thừa trên một đối tượng theo một đối tượng nền tảng Có hai loại lọc GPO:

▪ Lọc bảo mật : sử dụng quyền hạn chế đối tượng, chỉ định quyền mặc định để một số người dùng hoặc máy tính nhất định nhận được cho GPO

Lọc công cụ quản lý của Windows (WMI) cho phép xác định phạm vi động của GPO dựa trên thuộc tính của máy tính mục tiêu GPO sẽ được áp dụng hoặc không áp dụng tùy thuộc vào kết quả truy vấn của WMI Nếu WMI đánh giá sai, GPO sẽ không được thực thi Để hoạt động hiệu quả, WMI và GPO cần phải thuộc cùng một miền.

Xử lý vòng lặp cung cấp một phương pháp thay thế để lấy danh sách các GPO theo thứ tự xử lý cho người dùng, với hai lựa chọn là hợp nhất và thay thế khi được bật Thông thường, các chính sách này ảnh hưởng đến cài đặt người dùng trên bất kỳ máy tính nào mà họ đăng nhập, cho phép áp dụng các cài đặt trong nút cấu hình người dùng của GPO cho tất cả người dùng trên máy tính.

*** Một số chính sách nhóm 13 demo:

Chặn Command Prompt trên Windows là cần thiết vì nó cho phép người dùng thực hiện các lệnh và truy cập vào hệ thống, điều này dễ dàng tạo cơ hội cho hacker xâm nhập Do đó, việc bảo vệ lệnh này là rất quan trọng để đảm bảo an toàn cho máy tính.

Thiết lập và quản lý

Chọn card mạng VMnet2 cho Server và client Đặt 1 địa chỉ tĩnh cho máy chủ và DNS server là địa chỉ máy chủ

Tại 2 client: tạo địa chỉ tĩnh và DNS server trỏ về địa chỉ máy chủ

Cấu hình máy chủ của bạn như một bộ điều khiển miền (DC) Active Directory trong mạng là rất quan trọng, vì DNS là một phần không thể thiếu của miền Active Directory và cần được thiết lập và kiểm tra để đảm bảo hoạt động hiệu quả Mỗi miền nên có ít nhất hai DC được cài đặt để đảm bảo dự phòng và duy trì hoạt động liên tục, ngay cả khi một hệ thống gặp sự cố Hệ thống thứ hai sẽ tiếp tục xử lý thông tin đăng nhập của người dùng, yêu cầu DNS, áp dụng chính sách nhóm và duy trì môi trường Active Directory.

Ta click chọn “add roles and features” hoặc vào phần Manage

Chọn Role-based or feature – based installation => next

Chọn Select a server from the server pool => Next

Chọn Active Directory Domain Services => Next Chọn vai trò cần thiết cho máy chủ

Các tính năng cần thiết cho Active Directory như hình => add features

Chọn NET Framework 3.5 và Group Policy Management => Next

Chọn NET Framework 3.5 và Group Policy Management => Next

Nếu muốn đồng bộ dữ liệu của máy chủ Window Server lên dữ liệu đám mây ta cần tài khoản Azure

Sau khi hoàn thành cài đặt bạn sẽ bổ sung các yêu cầu và nhấn vào Promote this server to a domain controller

Chọn Add a new forest để thêm Domain Controller đầu tiên hoặc add to an existing forest thêm miền bổ sung sau đó chọn Next

When configuring Forest Functional Level and Domain Functional Level in Windows Server, select the appropriate version based on your system Ensure to check the Domain Name System (DNS) server option to install DNS for the Primary Domain Controller (PDC) Additionally, input a password in the Directory Services Restore Mode (DSRM) field, as this password will be necessary for restoring Active Directory in Restore Mode.

Tại đây bạn có thể đặt lại tên NetBIOS domain name hoặc sử dụng tên mặc định, sau đó click next

Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu của PAD, log files và SYSVOL click Next

Sau khi cài đặt hoàn tất, bạn phải khởi động lại máy tính để hoàn thành quá trình xây dựng Active Directory Domain Services

Sau khi máy tính khởi động lại, bạn có thể kiểm tra thông tin domain đã được cập nhật bằng cách nhấp chuột phải vào "This PC" và chọn "Properties" hoặc sử dụng tổ hợp phím Windows + Break.

Tại 2 máy client ta join vào domain sau đó khởi động lại máy để máy join vào domain

Mở Active Directory Users and Computers từ Server Manager Tools Menu Click chuột phải vào Users chọn New => Organizational Unit sau đó đặt tên OU rồi OK

3 Tạo tài khoản người dùng

Nhấp phải trên thư mục User => New => User

Hộp thoại tạo tài khoản người dùng xuất hiện, nhập thông tin và nhấn Next

Trong hộp thoại tiếp theo, nhập thông tin mật khẩu và nhấn Next Nếu chọn tùy chọn "User must change password at next logon", người dùng sẽ phải thay đổi mật khẩu khi đăng nhập lần tiếp theo Cuối cùng, nhấn Finish để hoàn tất quá trình tạo tài khoản người dùng Để thay đổi thuộc tính tài khoản, vào Start => Programs => Administrative Tools => Active.

Directory User and Computers => chọn miền => Users

Để thay đổi thông tin tài khoản người dùng, bạn hãy nhấp chuột phải vào tài khoản cần chỉnh sửa, chọn Properties, sau đó chuyển đến tab Account Để thêm tài khoản vào nhóm, hãy chọn tab Member of và nhấn Add để thêm tài khoản vào nhóm người dùng mong muốn.

In Server Manager, navigate to Tools and select Group Policy Management In the console pane, expand the Domain section, locate itforvn.vcode.ovh, and then select Hanoi and Phong_Ke_Toan Right-click on Phong_Ke_Toan and choose "Create a GPO in this domain and Link it here" to establish a Group Policy for the Phong_Ke_Toan Organizational Unit.

OU Hanoi Đặt tên cho GPO

Demo

Click chuột phải vào link GPO ta vừa mới tạo và chọn Edit

Chọn mục User Configuration vì ta sẽ cấu hình đổi hình nền theo user chứ không chọn theo

Computer , để user đó log on bất cứ máy nào cũng được đổi hình nền Chọn Policies /

Administrative Templates : Policy… / Desktop /Desktop

To set a desktop wallpaper via group policy, double-click on the Desktop wallpaper option and enable the policy In the Wallpaper name field, enter the file share path and image name in the format \\192.168.2.2\wallpaper\abc.jpg.

The IP address 192.168.2.2 belongs to the DC server where we shared the image files I renamed the image file to abc.jpg for easier reference, so please enter this name and then click Apply and OK.

Sau khi cấu hình Group Policy xong, bạn cần mở CMD và gõ lệnh gpupdate /force để cập nhật chính sách cho các client Đây là bước bắt buộc để đảm bảo các thay đổi được áp dụng.

Cài đặt phần mềm cho client từ server:

Vào Network: gõ đường dẫn đến server để chọn file cần cài đặt

Đánh giá thành viên

1 BẢNG PHÂN CÔNG CÔNG VIỆC

Họ và tên Mssv Nội dung chuẩn bị

• Tìm và tổng hợp các tài liệu liên quan đến Domain Group (Tổng quan về AD)

• Tìm và tổng hợp các tài liệu liên quan đến Domain Group(Domain Controllers)

• Phân công công việc cho các thành viên

• Tìm và tổng hợp các tài liệu liên quan đến Domain Group(Domain Controllers)

• Tìm và tổng hợp các tài liệu liên quan đến Domain Group (Tổng quan về AD)

• Tìm và tổng hợp các tài liệu liên quan đến Group Policy Infrastructure, settings and management (Group Policy)

• Tìm và tổng hợp các tài liệu liên quan đến Group Policy Infrastructure, settings and management (Thiết lập và quản lý)

• Tìm và tổng hợp các tài liệu liên quan đến Group Policy Infrastructure, settings and management (Thiết lập và quản lý)

• Tìm tài liệu liên quan đến nội dung thuyết trình

• Triển khai và thực hiện phần Demo

• Tìm tài liệu mô phỏng liên quan đến nội dung

• Tìm và tổng hợp các tài liệu liên quan đến Group Policy Infrastructure, settings and management (Group Policy)

• Làm Word từ tài liệu đã được tổng hợp bởi các thành viên

• Làm Powerpoint thuyết trình từ tài liệu đã được tổng hợp bởi các thành viên

• Tìm và tổng hợp các tài liệu liên quan đến Domain Group (Tổng quan về AD)

• Làm Word từ tài liệu đã được tổng hợp bởi các thành viên

• Tìm tài liệu liên quan đến nội dung thuyết trình

2 BẢNG ĐIỂM CÁC THÀNH VIÊN

Mức độ hoàn thành công việc được giao:

Họ và Tên MSSV Chức vụ Đánh giá

Phạm Đỗ Thành Đạt 18200079 Thành viên 100%

Trần Văn Hải 18200091 Nhóm trưởng 100%

Trần Ngọc Hồng Hạnh 18200093 Thành viên 100%

Bùi Văn Hậu 18200097 Thành viên 100%

Nguyễn Thị Hậu 18200099 Thư ký 100%

Nguyễn Phùng Hiếu 18200103 Thành viên 100%

Dương Đình Đạt 18200003 Thành viên 50%