1. Trang chủ
  2. » Giáo Dục - Đào Tạo

BÁO cáo đồ án CÔNG NGHỆ MẠNG topic 4 domain group; group policy infrastructure, settings and management

31 15 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Domain Group; Group Policy Infrastructure, Settings And Management
Tác giả Phạm Đỗ Thành Đạt, Trần Văn Hải, Trần Ngọc Hồng Hạnh, Bùi Văn Hậu, Nguyễn Thị Hậu, Nguyễn Phụng Hiếu
Người hướng dẫn Th.S Trần Thị Huỳnh Võ
Trường học Trường Đại Học Khoa Học Tự Nhiên - ĐHQG TP.HCM
Chuyên ngành Viễn Thông - Mạng
Thể loại báo cáo đồ án
Năm xuất bản 2021
Thành phố Tp. Hồ Chí Minh
Định dạng
Số trang 31
Dung lượng 2,24 MB

Cấu trúc

  • A. Domain Group

    • I. Mô hình hệ thống mạng

    • II. Tổng quan về AD

      • 1. Giới thiệu Active Directory

      • 2. Cấu trúc của Active Directory

    • III. Domain Controllers:

      • 1. Tổng quan về Domain Controller

      • 2. Phân loại và ưu khuyết điểm

      • 3. Cách sử dụng và vai trò, chức năng

  • B. Group Policy Infrastructure, settings and management

    • I. Group Policy:

      • 1. Tổng quát về Group Policy:

      • 2. Chức năng của Group Policy:

      • 3. Group Policy Object và một số thành phần trong Group Policy Object:

      • 4. Nhân rộng Group Policy:

      • 5. Tạo, chỉnh sửa và liên kết các GPOs

      • 6. Tính kế thừa GPO:

    • II. Thiết lập và quản lý

      • 1. Cấu hình Domain Controller

      • 2. Tạo OU

      • 3. Tạo tài khoản người dùng

      • 4. Tạo GPO

  • C. Demo

  • D. Tài liệu tham khảo

Nội dung

Domain Group

Mô hình hệ thống mạng

Một hệ thống mạng thường được xây dựng trên mô hình phổ biến đó là: Workgroup hoă ̣c

- Là một nhóm máy tính logic, mô hình quản trị và bảo mật phi tập trungòn gọi là mô hình mạng Peer-

To-Peer, là mô hình mà trong đó các máy tính có vai trò bình đẳng như nhau được nối kết với nhau.

Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, cho phép người dùng tự quản lý tài khoản và thông tin bảo mật của mình Hệ thống tự chứng thực trên máy cục bộ giúp tăng cường tính bảo mật và quyền kiểm soát của người dùng đối với dữ liệu cá nhân.

Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý, mô hình này chỉ phù hợp với các mạng nhỏ và yêu cầu bảo mật không cao, chẳng hạn như mạng gia đình, mạng phòng net, hoặc mạng của các công ty nhỏ đơn giản.

- Xác thực được cung cấp bởi cơ sở dữ liệu tài khoản cục bộ - Trình quản lý tài khoản bảo mật

+ Tài nguyên dễ chia sẻ (printers, folders)

+ Tài nguyên được phân phối trên tất cả các máy

+ Chi phí quản lý ít, thiết kế đơn giản, dễ thực hiện

+ Thuận tiện cho các nhóm nhỏ ở gần

+ Không yêu cầu máy chủ trung tâm hoặc thiết bị mạng công suất lớn (bộ định tuyến, bộ chuyển mạch, cầu nối )

+ Không kiểm soát tập trung các nguồn lực

+ Người dùng tự quản lý tài khoản của mình => vấn đề bảo mật

Hệ thống mạng hoạt động theo cơ chế Client-Server, yêu cầu tối thiểu một máy tính đóng vai trò là máy chủ điều khiển vùng (Domain Controller) Các máy tính trong mạng sẽ kết nối với nhau thông qua máy chủ này, tạo nên một cấu trúc mạng hiệu quả và có tổ chức.

Domain Controller đóng vai trò quan trọng trong việc quản lý toàn bộ hoạt động của hệ thống mạng, nhờ vào dịch vụ Active Directory Dịch vụ này được xem là yếu tố then chốt trong máy chủ Domain Controller, giúp đảm bảo sự ổn định và an toàn cho mạng lưới.

Mô hình này tối ưu hóa việc quản lý tài nguyên chia sẻ, xác thực và quản trị, phù hợp cho các công ty vừa và lớn với yêu cầu bảo mật cao.

- Xác thực được cung cấp thông qua Active Directory tập trung

- Hỗ trợ Single-Sign-On

 Thuận lợi + Chia sẻ tài nguyên tập trung, dễ kiểm soát, triển khai phần mềm Chia sẻ tài nguyên giữa các máy khách dễ dàng hơn

+ Hiệu suất hiệu quả cho số lượng máy trạm hầu như không giới hạn

+ Có sự phân cấp máy tính: dễ dàng quản lý quyền của người dùng ở mỗi cấp với mỗi mục đích khác nhau.

+ Có khả năng mở rộng Bảo mật cao

 Hạn chế+ Nỗ lực hành chính đáng kể+ Thiết kế phức tạp, yêu cầu máy chủ mạnh và đắt

+ Không có khả năng mở rộng rất cao, không hiệu quả cho hơn 20 máy trạm

+ Bảo mật phải được cấu hình thủ công tiền

=> So với workgroup, AD có các ưu điểm:

+ Quản lý tập trung + Group policy

+ Bảo mật dữ liệu + Khả năng dự phòng, bảo mật thông tin

+ Ủy quyền quản trị + Hiệu suất và khả năng mở rộng

Tổng quan về AD

Active Directory (AD) cung cấp các tính năng mới, cải thiện tốc độ và khả năng triển khai của bộ điều khiển miền, đồng thời tăng cường tính linh hoạt trong việc kiểm tra và cho phép truy cập tệp Đây là dịch vụ directory quan trọng trong hệ thống Windows Server, đảm nhận trách nhiệm quản lý và tổ chức thông tin.

 Xác định nguồn tài nguyên mạng

 Cung cấp 1 cách phù hợp về: tên, mô tả, vị trí, truy cập, quản lý bảo mật

Khả năng mở rộng của Active Directory (AD) cho phép tổ chức lưu trữ một số lượng lớn các đối tượng Điều này giúp AD có thể phát triển linh hoạt theo sự phát triển của tổ chức.

- Quản trị tập trung

Quản lý AD tập trung cung cấp một cơ sở dữ liệu duy nhất về tài nguyên mạng, giúp dễ dàng tìm kiếm và quản trị Nó cho phép quản lý đăng nhập tập trung cho các tài nguyên, cho phép người dùng thực hiện đăng nhập một lần.

AD cho phép quản trị viên quản lý máy tính để bàn, dịch vụ mạng và ứng dụng từ một vị trí trung tâm thông qua một giao diện quản lý thân thiện và hiệu quả.

Active Directory (AD) cung cấp khả năng kiểm soát truy cập tập trung đến tài nguyên mạng, cho phép người dùng sử dụng tính năng đăng nhập một lần (single sign-on) để dễ dàng truy cập đầy đủ vào các tài nguyên này.

- Ủy quyền quản trị < Delegated administration >

Chỉ định quyền cho các đơn vị tổ chức cụ thể là cần thiết để quản trị viên có thể sửa đổi các thuộc tính của đối tượng trong từng đơn vị Điều này giúp thực hiện các nhiệm vụ tương tự một cách hiệu quả trong tất cả các đơn vị tổ chức.

+ Giúp giảm trách nhiệm, công việc của quản trị ciên và tăng khả năng quản trị (tăng lượng quản trị viên)

+ Tùy chỉnh Công cụ Quản trị để: Ánh xạ đến các tác vụ quản trị được ủy quyền, Đơn giản hóa thiết kế giao diện

2 Cấu trúc của Active Directory

Logical Structure – Cấu trúc logic (luận lý)

Physical Structure – Cấu trúc vật lý

 Object: là các đối tượng được tạo ra trong Active Directory, ví dụ: user account, computer account, group account.

Đơn vị Tổ chức (OU) là thành phần nhỏ nhất trong hệ thống Active Directory, đóng vai trò là vật chứa các đối tượng (Object) nhằm sắp xếp và quản lý các đối tượng khác nhau Việc sử dụng OU giúp tối ưu hóa quản trị và tổ chức thông tin trong hệ thống.

OU có hai công dụng chính sau:

Trao quyền kiểm soát cho một nhóm người hoặc phụ tá quản trị viên đối với một tập hợp tài khoản người dùng, máy tính, hoặc thiết bị mạng giúp giảm bớt gánh nặng quản trị cho người quản trị hệ thống chính.

Kiểm soát và giới hạn một số chức năng trên máy trạm của người dùng trong tổ chức (OU) có thể được thực hiện hiệu quả thông qua việc sử dụng các đối tượng chính sách nhóm (GPO) Việc áp dụng GPO giúp quản lý và bảo mật hệ thống, đồng thời đảm bảo người dùng chỉ có quyền truy cập vào các chức năng cần thiết.

Domain là thành phần quan trọng trong cấu trúc luận lý của Active Directory (AD), đóng vai trò là phương tiện xác định một nhóm người dùng, máy tính và tài nguyên chia sẻ với các quy tắc bảo mật tương tự Điều này giúp đơn giản hóa việc quản lý quyền truy cập vào các Server Domain thực hiện ba chức năng chính, góp phần tăng cường hiệu quả quản lý và bảo mật trong hệ thống.

Khu vực quản trị đối tượng là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ, bao gồm cơ sở dữ liệu thư mục chung, chính sách bảo mật và quan hệ ủy quyền với các miền khác.

+ Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ.

+ Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các

Server này được đồng bộ với nhau.

Cấu trúc Domain Tree bao gồm nhiều domain được sắp xếp theo hình cây với cấp bậc rõ ràng Domain đầu tiên được gọi là domain root, nằm ở vị trí gốc của cây thư mục Các domain được tạo ra sau này sẽ nằm dưới domain root và được gọi là domain con (child domain) Mỗi domain con phải có tên khác biệt, và để hình thành một domain tree, cần tối thiểu hai domain.

Forest là một cấu trúc được tạo thành từ một hoặc nhiều Domain Tree, trong đó các Domain Tree này có mối quan hệ và thiết lập quyền ủy quyền lẫn nhau.

Các site trong doanh nghiệp thể hiện cấu trúc vật lý và kiến trúc mạng, đồng thời được sử dụng để xây dựng mô hình đồng bộ cơ sở dữ liệu cho dịch vụ Active Directory (AD) Đây là một trong hai địa điểm chính mà AD lưu trữ thông tin về kiến trúc mạng, bên cạnh các liên kết WAN.

The Global Catalog (GC) serves as a repository for all objects within its domain, as well as a selection of commonly searched objects from other domains in the forest A Global Catalog server is a type of Domain Controller that maintains all Active Directory (AD) objects across the entire forest, facilitating efficient access and management of directory information.

Domain Controllers

1 Tổng quan về Domain Controller

Domain controller (DC) là một máy chủ quan trọng trong việc quản lý bảo mật mạng và danh tính, đóng vai trò xác thực quyền truy cập của người dùng Nó ủy quyền cho các tài nguyên trong miền và thiết lập chính sách xác thực danh tính cho người dùng Windows trên các hệ thống, ứng dụng, máy chủ tệp và mạng.

DC áp dụng cơ chế đa máy chủ để sao chép dữ liệu hiệu quả từ một DC đến các máy chủ khác Điều này cho phép quản trị viên thực hiện hầu hết các hoạt động quản trị và chỉnh sửa dữ liệu trên nhiều DC khác nhau, ngoại trừ các RODC (Read-Only Domain Controller) chỉ cho phép truy cập dữ liệu mà không thể chỉnh sửa.

Mỗi Domain Controller (DC) chứa thông tin về các đối tượng như người dùng, nhóm và máy tính, đồng thời lưu trữ một bản sao của cơ sở dữ liệu Active Directory Domain Services (AD DS) Mỗi DC chỉ phục vụ cho một miền duy nhất, trong khi các máy chủ không phải DC được gọi là Member server Các DC có khả năng xử lý thay đổi và sao chép những thay đổi này đến tất cả các DC khác trong cùng miền, giúp đảm bảo tính sẵn sàng cao cho miền thông qua việc sử dụng nhiều DC.

2 Phân loại và ưu khuyết điểm

- Primary Domain Controller (PDC): Thông tin bảo mật và tài nguyên của Domain được lưu trữ trong thư mục chính (Windows server).

Backup Domain Controller (BDC) có thể được nâng cấp lên Primary Domain Controller (PDC) khi PDC gặp sự cố Ngoài ra, BDC còn hỗ trợ cân bằng khối lượng công việc trong trường hợp mạng bị nghẽn.

 Lợi ích của bộ điều khiển miền

- Quản lý người dùng tập trung

- Cho phép chia sẻ tài nguyên cho tệp và máy in

- Cấu hình liên kết để dự phòng (FSMO)

- Có thể được phân phối và nhân rộng trên các mạng lớn

- Mã hóa dữ liệu người dùng

- Có thể được làm cứng và khóa lại để cải thiện bảo mật

 Hạn chế của Bộ điều khiển miền

- Mục tiêu tấn công mạng

- Có khả năng bị tấn công

- Người dùng và hệ điều hành phải được duy trì để ổn định, bảo mật và cập nhật

- Mạng phụ thuộc vào thời gian hoạt động của DC

- Yêu cầu về phần cứng / phần mềm

3 Cách sử dụng và vai trò, chức năng

Nguyên lý hoạt động của hệ thống yêu cầu người dùng là chuyển toàn bộ Request đến Domain Controller (DC) để xác thực và ủy quyền Trước khi truy cập, người dùng cần xác nhận danh tính bằng Username và Password Trong hầu hết các phòng máy chủ của tổ chức, Domain Controller đóng vai trò quan trọng và là thành phần cốt lõi trong các dịch vụ Active Directory.

DC chứa thông tin quan trọng về quyền truy cập người dùng trên mạng, bao gồm chính sách nhóm và tên máy tính Khi người dùng đăng nhập, DC sẽ xác minh tên người dùng, mật khẩu và thông tin đăng nhập để cấp quyền truy cập Do đó, DC trở thành mục tiêu hàng đầu trong các cuộc tấn công mạng, vì nó lưu trữ dữ liệu thiết yếu mà kẻ tấn công có thể lợi dụng để gây thiệt hại cho hệ thống và mạng của bạn.

DC là một yếu tố quan trọng trong việc kiểm soát quyền truy cập tài nguyên trong một Domain, thường được sử dụng bởi các IT Admin Tại phòng máy chủ của các tổ chức, DC được tích hợp cùng với các dịch vụ AD, mang lại giải pháp hiệu quả cho việc quản lý và bảo mật.

 Các bước triển khai một mô hình Domain Controller

Bước 1: Tiến hành đặt IP tĩnh cho máy được lựa chọn làm Domain Controller.

Bước 2: Xây dựng Domain Controller trên máy Server đã được chọn làm Domain Controller.

Bước 3: Tạo user trong Domain Controller cho các máy Client.

Bước 4: Đặt địa chỉ IP và Join các Client vào Domain.

Bước 5: Đăng nhập máy Client sau đó kiểm tra Domain Controller.

Global Catalog Servers (GCS) là các máy chủ chịu trách nhiệm lưu trữ các đối tượng của miền mà chúng được cài đặt Hệ thống này được chỉ định để làm Global Catalog Servers, giúp lưu trữ các đối tượng từ các miền trong forest.

Các Operations Masters trong Active Directory (AD) thực hiện các chức năng quan trọng để đảm bảo tính thống nhất cho hệ thống Chúng giúp ngăn chặn xung đột giữa các entry trong cơ sở dữ liệu AD, từ đó duy trì hiệu suất và độ tin cậy của hệ thống.

Group Policy Infrastructure, settings and management

Group Policy

1 Tổng quát về Group Policy:

- Group Policy (GP) là một tập hợp các cài đặt có thể áp dụng lên máy tính hoặc người dùng.

- GP giúp quản trị viên quản lý tập trung máy tính và người dùng, dùng để triển khai phát phần mềm.

 Ủy quyền kiểm soát cho người dùng hoặc một nhóm khác.

- GP được đặt cho một trang web, miền, một đơn vị tổ chức hoặc máy tính cục bộ.

Trong Active Directory, không thể đặt Group Policy (GP) cho các vùng không phải Organizational Unit (OU) OU là một đối tượng quan trọng trong Active Directory, nơi lưu trữ các đối tượng như người dùng, máy tính và nhóm Việc sử dụng ủy quyền quản trị trong OU giúp áp dụng các chính sách một cách hiệu quả.

- Khi GP được cập nhật, các chính sách cũ sẽ bị xóa hoặc cập nhật với toàn bộ khách hàng.

- Cài đặt GP được lưu trữ trong đối tượng chính sách nhóm.

- GP chứa cài đặt các chính sách để quản lý nhiều khía cạnh của bộ điều khiển miền, máy chủ thành viên, máy thành viên và người dùng.

2 Chức năng của Group Policy:

- Triển khai các phần mềm ứng dụng.

- Gán các quyền hệ thống cho người dùng.

- Giới hạn ứng dụng được phép thi hành.

- Kiểm soát các thiết lập hệ thống, các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy.

- Đơn giản hóa và hạn chế các chương trình….

3 Group Policy Object và một số thành phần trong Group Policy Object:

- Group Policy Object (GPO) là một nhóm cấu hình nhiều GP

- Một số thành phần trong GPO: gồm 2 thành phần chính :

+ Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ máy tính trong mạng.

+ User Configuration: cấu hình chính sách cho các tài khoản trong miền.

+ Và một số thành phần con như:

Software Settings: chính sách triển khai cài đặt phần mềm xuống client tự động.

Windows Settings: tinh chỉnh, áp dụng chính sách về vấn đề sử dụng tài khoản.

Script( Logon/ Logout): chỉ định cho Windows chạy một đoạn mã nào đó.

Name Resolution Policy: chính sách phân giải tên.

Local Policy: kiểm định những chính sách, những tùy chọn quyền lời và chính sách an toàn cho người dùng cục bộ.

Account Policies: các chính sách áp dụng trong tài khoản người dùng.

Public Key Policies: các chính sách khóa dùng chung.

- Local GPOs được lưu trữ trên máy tính cục bộ và được chỉnh sửa thông qua phần đính vào trình chỉnh sửa đối tượng chính sách nhóm.

Không thể thay đổi cài đặt trong Local GPOs; tuy nhiên, các cài đặt chưa xác định hoặc không được cấu hình theo miền GPOs có thể được chỉnh sửa cục bộ.

- Được lưu trữ tại systemroot system32 Group policy. b Domain GPOs:

- Domain GPOs được lưu trữ trong Active Directory trên domain controller: được liên kết với các trang web, miền hoặc OUs

- Bao gồm hai phần riêng biệt:

 Mẫu chính sách nhóm ( GPT ):

+ Chứa tất cả các cài đặt chính sách tạo nên GPO cũng như các tệp liên quan.

+ Mỗi GPT chứa ít nhất 3 mục GPT.ini.

+ Chứa các cài đặt mặc định GPO mới.

+ Đường dẫn đến cấu trúc GPT mặc định cho mỗi miền

 Vùng chứa chính sách nhóm ( GPC ):

+ Bao gồm vùng chứa con chứa thông tin trạng thái và thuộc tính GPO nhưng không có cài đặt chính sách

+ Hai GPOs, tương ứng với hai GPOs mặc định: chính sách miền mặc định và bộ điều khiển mặc định

+ Mỗi PGC có hai vùng chứa phụ- một vùng chứa thông tin cấu hình máy tính và một vùng khác dành cho người dùng thông tin cấu hình.

+ Thông tin trong PGC: Tên của GPO, Đường dẫn tệp đến C-PI, Phiên bản, Trạng thái

- Đảm bảo rằng tất cả bộ điều khiển domain đều có bản sao của GPO ở thời điểm hiện tại.

- GPC được sao chép với AD.

- GPT: được sao chép bằng các phương pháp sau:

+ Dịch vụ nhân bản tệp FRS (File Replication Service)

+ Được sử dụng khi chạy trong môi trường hỗn hợp của các hệ điều hành Windows Sever khác nhau.

+ Sao chép hệ thống tệp phân tán DFSR (Distributed File System Replication)

+ Được sử dụng khi tất cả DC chạy trong Windows Sever 2008

- DFSR hiệu quả hơn và đáng tin cậy hơn.

- Sự cố sao chép có thể được chuẩn đoán bằng Gpotool.exe.

5 Tạo, chỉnh sửa và liên kết các GPOs

Cài đặt phần mềm cho phép quản trị viên thiết lập các tùy chọn cho các ứng dụng cụ thể trên máy tính Những cài đặt này không chỉ giúp triển khai các ứng dụng mới cho người dùng cuối mà còn kiểm soát cấu hình mặc định của các ứng dụng đó.

Cài đặt Windows cho phép quản trị viên hệ thống tùy chỉnh hoạt động của hệ điều hành, với các tùy chọn được chia thành hai loại: người dùng và máy tính Các cài đặt dành riêng cho người dùng cho phép cấu hình Explorer, bao gồm trang chủ mặc định và các tùy chọn khác Trong khi đó, cài đặt của máy tính bao gồm các tùy chọn bảo mật như chính sách tài khoản và nhật ký sự kiện.

Các Mẫu Quản Trị (Administrative Templates) cho phép cấu hình cài đặt cho máy tính và người dùng một cách linh hoạt Ngoài các tùy chọn mặc định, quản trị viên hệ thống có thể tạo ra các mẫu tùy chỉnh riêng để đáp ứng nhu cầu cụ thể của tổ chức.

Group Policy Preferences (GPP) trong hệ điều hành Windows Server 2016 cung cấp hơn 20 tiện ích mở rộng cho chính sách nhóm, cho phép người dùng cấu hình nhiều cài đặt khác nhau Các tiện ích mở rộng này bao gồm cài đặt cho thư mục tùy chọn, ổ đĩa được ánh xạ, máy in, sổ đăng ký, người dùng cục bộ và nhóm, tác vụ đã lên lịch, dịch vụ, và menu bắt đầu, giúp quản lý hiệu quả môi trường làm việc.

Để chỉnh sửa GPOs, bạn cần nhấp chuột phải vào GPOs trong GPMC và chọn "Chỉnh sửa", thao tác này sẽ mở GPO trong GPMT Mặc dù có thể thay đổi chính sách miền mặc định, nhưng điều này không được khuyến khích Phương pháp tốt nhất là tạo một GPO mới và liên kết nó với miền Lưu ý rằng GPOs sẽ được áp dụng cho các đối tượng theo thứ tự ngược lại với thứ tự được chỉ định.

- Nếu chỉnh sửa GPO đã được liên kết với vùng chứa, các thay đổi trong chính sách sẽ có hiệu lực ngay khi khách hàng tải xuống.

- Trước khi thay đổi nhiều chính sách thì hãy kiểm tra chúng 1 cách riêng lẻ.

- Phạm vi chính sách nhóm xác định đối tượng nào trong AD bị ảnh hưởng bởi cài đặt trong chính sách.

Nếu một GPO được áp dụng cho một đối tượng cụ thể và có cài đặt được cấu hình trên GPO đó mà không có trên đối tượng khác, thì cài đặt đó sẽ được thực thi.

- Các chính sách sẽ được dụng theo thứ tự này :

+GPOs liên kết trang web:

+ GPO được liên kết với một đối tượng trang ảnh hưởng đến tất các người dùng và máy tính.

 Có thể sử dụng để thiết lập các chính khác nhau cho người dùng di động.

 Trong môi trường miền và trang web số ít , tốt hơn là sử dụng GPO.

+ GPO của trang web này gây nhầm lẫn cho người dùng di động về thay đổi chính sách đủ quyết liệt giữa các trang web. o GPOs liên kết miền:

+ Chứa các cài đặt áp dụng cho tất cả các đối tượng trong miền.

+ Chính sách tài khoản chỉ có thể áp dụng tại miền. o GPOs liên kết OU:

+ Việc điều chỉnh các chính sách nhóm nên được thực hiện ở cấp OU.

Người dùng và máy tính cần phải được tổ chức trong cùng một OU để áp dụng chính sách tương tự Do các OU có thể lồng vào nhau, GPOs cũng có thể được sử dụng để xử lý các trường hợp ngoại lệ cho các chính sách đã được thiết lập ở cấp cao hơn.

Kế thừa GPO được kích hoạt mặc định, cho phép các container con trong một miền nhận chính sách từ container cha Tuy nhiên, các miền con không kế thừa GPO từ miền cha.

- Cách thiết lập chính sách ở OU cha:

+ Nếu OU con có chính sách đó rồi thì sẽ được ghi đè lên OU cha

+ Nếu OU con chưa có chính sách đó thì sẽ được kế thừa từ OU cha

- Một số cách ảnh hưởng đến việc kế thừa GPO :

Để chặn sự kế thừa của GPO, bạn cần ngăn chặn GPO được liên kết với vùng chứa mẹ, nhằm đảm bảo rằng nó không ảnh hưởng đến vùng chứa con Trong GPMC, hãy nhấp chuột phải vào miền con để thực hiện thao tác này.

OU và click vào Block Inheritance Nếu chặn được bật, đơn vị tổ chức hoặc đối tượng miền sẽ được hiển thị với dấu chấm than màu xanh lam.

Để thực thi kế thừa GPO, bạn có thể đặt liên kết GPO thành bắt buộc bằng cách nhấn chuột phải vào liên kết trong cây bảng điều khiển và chọn tùy chọn bắt buộc Khi thực thi kế thừa GPO, nó sẽ ghi đè mọi cấu hình xung đột ở cấp OU con Trong trường hợp có nhiều GPO được thực thi, GPO ở cấp cao nhất sẽ được ưu tiên trong các tình huống xung đột.

+ Lọc GPO cho phép thay đổi kế thừa trên một đối tượng theo một đối tượng nền tảng Có hai loại lọc GPO:

 Lọc bảo mật : sử dụng quyền hạn chế đối tượng, chỉ định quyền mặc định để một số người dùng hoặc máy tính nhất định nhận được cho GPO.

Lọc công cụ quản lý của Windows (WMI) cho phép xác định phạm vi động của GPO dựa trên thuộc tính của máy tính mục tiêu Điều này giúp áp dụng hoặc không áp dụng các chính sách dựa trên kết quả truy vấn Nếu WMI đánh giá sai, GPO sẽ không được áp dụng, và ngược lại Để hoạt động hiệu quả, WMI và GPO cần phải được liên kết trong cùng một miền.

Xử lý vòng lặp cung cấp một phương pháp thay thế để xác định danh sách các GPO sẽ được xử lý cho người dùng, với hai tùy chọn là hợp nhất và thay thế Các chính sách này thường ảnh hưởng đến cài đặt người dùng trên bất kỳ máy tính nào mà họ đăng nhập, cho phép áp dụng các cài đặt trong nút cấu hình người dùng của GPO cho tất cả người dùng đăng nhập trên máy tính đó.

*** Một số chính sách nhóm 13 demo:

Chặn Command Prompt trên Windows là cần thiết vì nó cho phép người dùng thực hiện các lệnh và truy cập vào hệ thống, điều này có thể tạo cơ hội cho hacker xâm nhập Do đó, việc ngăn chặn tính năng này giúp bảo vệ an toàn cho hệ thống máy tính của bạn.

Thiết lập và quản lý

Chọn card mạng VMnet2 cho Server và client

Để cấu hình máy chủ làm bộ điều khiển miền (DC) Active Directory, việc thiết lập và kiểm tra DNS là rất quan trọng Đầu tiên, cần đặt một địa chỉ tĩnh cho máy chủ, đồng thời chỉ định địa chỉ máy chủ làm DNS server.

Tại 2 client: tạo địa chỉ tĩnh và DNS server trỏ về địa chỉ máy chủ tiên để đảm bảo nó chạy đúng cách Trong 1 miền thì sẽ có ít nhất hai DC được cài đặt để điều khiển miền cho phép dự phòng và tiêp tục hoạt động ngay cả khi một trong các hệ thống không hoạt động Hệ thống thứ 2 sẽ tiếp tục xử lý thông tin đăng nhập của người dùng và yêu cầu DNS, tiếp tục áp dụng chính sách nhóm và duy trì môi trường AD.

Ta click chọn “add roles and features” hoặc vào phần Manage

Chọn Role-based or feature – based installation => next

Chọn Select a server from the server pool => Next

Chọn Active Directory Domain Services => Next Chọn vai trò cần thiết cho máy chủ

Các tính năng cần thiết cho Active Directory như hình => add features

Framework 3.5 và Group Policy Management => Next

Chọn NET Framework 3.5 và Group Policy Management => Next

Nếu muốn đồng bộ dữ liệu của máy chủ Window Server lên dữ liệu đám mây ta cần tài khoản Azure

Sau khi hoàn thành cài đặt bạn sẽ bổ sung các yêu cầu và nhấn vào Promote this server to a domain controller.

Chọn Add a new forest để thêm Domain Controller đầu tiên hoặc add to an existing forest thêm miền bổ sung sau đó chọn Next

When configuring your Windows Server, select the appropriate Forest Functional Level and Domain Functional Level based on your system version Ensure to check the Domain Name System (DNS) server option to install DNS for the Primary Domain Controller (PDC) Additionally, enter a password in the Directory Services Restore Mode (DSRM) password field, as this will be required to restore Active Directory in Restore Mode.

Tại đây bạn có thể đặt lại tên NetBIOS domain name hoặc sử dụng tên mặc định, sau đó click next.

Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu của PAD, log files và SYSVOL click Next

Sau khi cài đặt hoàn tất, bạn phải khởi động lại máy tính để hoàn thành quá trình xây dựng Active Directory Domain Services.

Sau khi khởi động lại máy tính, bạn có thể xem thông tin về domain đã được cập nhật bằng cách nhấp chuột phải vào This PC và chọn Properties, hoặc sử dụng tổ hợp phím Windows + Break.

Tại 2 máy client ta join vào domain sau đó khởi động lại máy để máy join vào domain

Mở Active Directory Users and Computers từ Server Manager Tools Menu Click chuột phải vào Users chọn New

=> Organizational Unit sau đó đặt tên OU rồi OK

3 Tạo tài khoản người dùng

Nhấp phải trên thư mục User => New => User

Hộp thoại tạo tài khoản người dùng xuất hiện, nhập thông tin và nhấn Next

Để tạo tài khoản người dùng, bạn cần nhập thông tin mật khẩu trong hộp thoại kế tiếp và nhấn Next Nếu chọn tùy chọn "User must change password at next logon", người dùng sẽ phải thay đổi mật khẩu khi đăng nhập lần kế tiếp Cuối cùng, nhấn Finish để hoàn tất quá trình tạo tài khoản Để thay đổi thuộc tính tài khoản, bạn có thể truy cập theo đường dẫn: Start => Programs => Administrative Tools => Active.

Directory User and Computers => chọn miền => Users

Để thay đổi thông tin tài khoản người dùng, hãy nhấp chuột phải vào tài khoản cần chỉnh sửa, chọn Properties, sau đó chuyển đến tab Account Để thêm tài khoản vào nhóm, chọn tab Member of và nhấn Add để thêm thông tin nhóm người dùng cho tài khoản.

In Server Manager, navigate to Tools and select Group Policy Management In the console pane, choose Domain, then itforvn.vcode.ovh, followed by Hanoi and Phong_Ke_toan Right-click and select "Create a GPO in this domain and Link it here" to establish a Group Policy for the Phong_ke_toan OU within Hanoi Finally, assign a name to the newly created GPO.

Demo

Click chuột phải vào link GPO ta vừa mới tạo và chọn Edit

Select the User Configuration option to set the desktop wallpaper for users, ensuring that it applies regardless of which computer they log onto Navigate to Policies to configure the wallpaper settings effectively.

Administrative Templates : Policy… / Desktop /Desktop

To enable the desktop wallpaper policy, double-click on the desktop wallpaper setting and enter the wallpaper path in the "Wallpaper name" option as follows: \\192.168.2.2\wallpaper\abc.jpg The IP address 192.168.2.2 corresponds to the DC server where the image file has been shared I renamed the image file to abc.jpg for easier reference Finally, click Apply and then OK to save the changes.

Sau khi cấu hình Group Policy xong, bạn cần mở CMD và gõ lệnh gpupdate /force để cập nhật chính sách cho các client Đây là bước bắt buộc để đảm bảo các thay đổi được áp dụng.

Cài đặt phần mềm cho client từ server:

Vào Network: gõ đường dẫn đến server để chọn file cần cài đặt

Ngày đăng: 12/01/2022, 10:25

HÌNH ẢNH LIÊN QUAN

Hình này chỉ phù hợp với các mạng nhỏ và yêu cầu - BÁO cáo đồ án CÔNG NGHỆ MẠNG topic 4 domain group; group policy infrastructure, settings and management
Hình n ày chỉ phù hợp với các mạng nhỏ và yêu cầu (Trang 5)
Hình đồng bộ database của dịch vụ AD, là 1 trong 2 nơi AD lưu trữ thông tin về kiến trúc mạng, cùng với WAN links - BÁO cáo đồ án CÔNG NGHỆ MẠNG topic 4 domain group; group policy infrastructure, settings and management
nh đồng bộ database của dịch vụ AD, là 1 trong 2 nơi AD lưu trữ thông tin về kiến trúc mạng, cùng với WAN links (Trang 8)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w