1.Tổng quan:
Để tiết kiệm thời gian, tập trung vào quản trị và tối ưu hệ thống. Bạn cần có một loạt các chính sách chặt chẽ để quản lý người dùng (end-user), ngăn chặn và giới hạn người dùng có những hành động vượt quá và ảnh hưởng tới hệ thống, đồng thời cũng giúp bạn tiết kiệm thời gian cho những
việc xử lý sự cố từ phía end-users. Group Policy Object (GPO) ra đời để giúp bạn thực hiện điều này.
2.Cấu tạo của GPO:
Cấu tạo của GPO bao gồm 2 phần, chúng được tách riêng và nằm ở 2 vị trí khác nhau :
Group Policy Template : chứa các thuộc tính trong chính sách. Có 2 phần thuộc tính chính đó là thuộc tính user (User configuration) và thuộc tính computer (Computer Configuration).
Group Policy Container : được xem là chính sách, bạn có thể tạo một hoặc nhiều chính sách, và để có thể cấu hình và áp dụng các chính này một cách chính xác lên người dùng. GPC sẽ dùng cấu trúc Active Directory (Forest, Domain, OU) để dựa trên đó mà áp đặt.
Các chính sách này được lưu ở đường dẫn%systemroot%\SYSVOL\sysvol\domain_name\
Policies\GUID
Mỗi chính sách đều có các thuộc tính như (Domain, Owner, Date and Time, User/Computer version, số GUID, GPO Status). Mỗi chính sách đều có một con số GUID riêng biệt.
Phần GPO Status có 4 lựa chọn :
Enabled : enable tất cả các thuộc tính của User/Computer trong chính sách
All settings disabled : disable tất cả các thuộc tính User/Computer
Computer configuration settings disabled : chỉ thực thi thuộc tính User Configuration, disable các thuộc tính thuộc về bên Computer Configuration.
User configuration settings disabled : chỉ thực thi thuộc tính Computer Configuration, disable các thuộc tính thuộc về bên User Configuration.
Group Policy bao gồm 2 loại: local policy và domain policy. Local Policy chỉnh ở đâu thì chỉ có nơi đó tác động.
Domain Policy thì chỉ cần chỉnh ở 1 nơi mà tác động ở nhiều nơi (toàn Domain hoặc các OU cụ thể).
Để triển khai bộ Domain Policy thì ta phải thông qua một đối tượng (AD object) trung gian là Group Policy Object (GPO). Local Policy thì ta chỉnh trực tiếp (gpedit.msc: Local Group Policy Editor).
GPO là 1 AD object dùng để chứa những policy được thiết lập nhằm tác động trên hệ thống. 1 GPO có thể chứa 1 hoặc nhiều Policy khác nhau. Cùng 1 Policy có thể chứa trên nhiều GPO khác nhau.
Lưu ý:
+ Trên 1 GPO chỉ nên chỉnh 1 Policy (tốt nhất là nên như thế) hoặc 1 nhóm policy có quan hệ với nhau về mặt luận lý ( 1 nhóm policy liên quan đến OU KeToan).
+ Đặt tên GPO phải tường minh, mô tả được chức năng của policy ( VD: GPO1 - restrict control panel)
+ GPO chỉ tác động lên 3 đối tượng (object) trong AD (Active Directory): OU, User, Computer account.
(GPO có thể tác động vào nhiều OU, User, computer account và ngược lại). Như vậy Group không bị tác động.
+ GPO có tính kế thừa: GPO mà tác động domain thì tất cả các đối tượng đều bị tác động. GPO tác động lên 1 OU thì các đối tượng bên trong (OU con, user, computer) đều bị tác động . Do đó các chính sách chung của công ty, của phòng ban ta có thể dùng tính kế thừa để triển khai nhanh gọn.
Mở Công cụ quản lý GPO
Run -> gpmc.msc: Group Policy Management.
gpmc.msc
Domain Controller Security Policy: Là GPO tác động đến OU Domain Controller (là OU chứa DC). GPO này chỉ tác động đến DC.
3.Các tình huống cho GPO:
1.Tình huống 1: Công ty có nhu cầu : Nhân viên công ty cấm Control Panel => Tạo GPO ở OU công ty ( lưu ý: GPO tác động tới đâu thì làm việc ở vị trí đó)
Policy
Chọn vào OU CongTy -> Create a GPO in this domain and Link it here …
Create GPO
Khai báo tên GPO -> OK
Sau khi tạo GPO xong, phải chuột GPO -> Edit để tìm policy cấm control panel
Edit Enable Policy này lên.
2.Tình huống 2: Cấm Control Panel
Tương tự tạo thêm các policy trên OU CongTy:
+ GPO 2: ẩn Recycle Bin
Sau khi thực hiện các chính sách của công ty thì các phòng ban cũng có các chính sách riêng.
Phòng Kế Toán: Cấm sử dụng IE + GPO 3: cam IE
Phòng Nhân Sự: Cấm sử dụng command line, cấm mở công cụ Active Directory Users and Computers.
+ GPO 4: cam cmd + GPO5: cam mo ADUC
Cách chỉnh GPO5: User configuration ->Policies -> Administrative template -> Windwos Component -> Microsoft Management Console -> Restricted/ Permitted Snap-in -> Active Directories Sites and Services
Ta Enbale Policy này
cấm ADUC Sau đó chạy lệnh gpupdate /force
Lưu ý: Ta nên sẽ sơ đồ hình cây về tổ chức kèm theo các GPO để dễ quản lý
Các GPO áp đặt
Sơ đồ
User KT1, KT2 sẽ chịu ảnh hưởng của GPO: Default Domain Policy, 1, 2, 3.
User NS1, NS2 sẽ chịu ảnh hưởng của GPO: Default Domain Policy, 1, 2, 4, 5 Group KeToan và NhanSu không bị ảnh hưởng.
=> Chúng ta đã thấy tính kế thừa của GPO.
4.Folder Redirection
Tình huống: KT1 muốn Documents trong Profile luôn đi theo mình khi ngồi bất kể vị trí nào, ta sử dụng Roaming Profile. Tuy nhiên dùng Romaing Profile sẽ kéo theo Application Data, Desktop, v.v đi theo KT1 mà ta chỉ muốn 1 mình folder Documents. Việc sử dụng Roaming Profile đại trà như chúng ta đã biết cũng gây ra nhiều vấn đề. Trong môi trường domain, Windows cung cấp cho ta tính năng Folder Redirection (Tái định hướng profile).
Folder Redirection (FR) cho phép chúng ta lựa chọn thông tin trong profile để tái định hướng.
FR cho phép ta có thể roaming tất cả các thông tin trong profile:
Nguyên lý hoạt động : Giống với Roaming Profile nhưng sau khi chứng thực tại DC thì DC sẽ xem user đó thuộc OU nào, GPO nào tác động tới. Nếu có GPO về FR thì user đó bị tác động (cấu hình dễ hơn, ít tốn thời gian hơn Roaming Profile)
Triển khai: tại 2 vị trí
Vi trí 1 tại File Server: Tạo folder lưu trữ, share Full. Lúc này AD sẽ tự động khởi tạo folder ứng với tên user, tự phân quyền chỉ mình user tương ứng được truy cập.
Vi trí 2 tại GPMC: tạo GPO tác động lên OU có nhu cầu.
Cấu hình:
Bước 1: Tạo Folder tên: RF và share full.
Bước 2: run -> gpmc.msc
Chọn OU KeToan -> Creat a GPO ….
Name: GPO 7: Folder Redirection -> Edit để cấu hình Policy
Create GPO 7
User Configuration -> Windows Setting -> Folder Redirection
GPO: Folder Redirection Ta thấy tất cả các thông tin trong profile.
Ở tình huống trên ta chỉ muốn Roaming Documents nên ta cấu hình với Documents Chọn Documents -> Tab Target
Target Setting Ta có 2 lựa chọn
Basic: Tất cả mọi folder profile của user trong các group trong OU sẽ cùng 1 nơi lưu trữ (thường dùng).Ta sẽ triển khai cái này
Advanced: Mỗi Group trong OU có 1 folder lưu trữ riêng
Target folder location: có 4 tùy chọn
Redirect to the user’s home directory: Nếu ta đã cấu hình Home Foldercho user thì hệ thống sẽ tự đưa các thông tin profile ta thiết lập vào thư mục home folder của từng người dùng.
Create a folder for each user under the root path: Tạo ra từng folder cho từng người dùng.( Lưu trữ profile trong folder ta chỉ định theo đường dẫn)
VD: 192.168.2.100\FR. Hệ thống sẽ tự tạo các folder tương ứng với tên người dùng.
Redirect to the following location: Tất cả profile sẽ chung 1 đường dẫn.
Redirect to the local profile location: tái định hướng quay về lưu trữ trên local.
Ta chọn Create a folder for each user under the root path.
\\192.168.2.100\FR
Đánh lệnh: gpupdate/ force
Chú ý: ta chỉ cần tạo policy trong Group Policies Objects rồi link đến các OU cho đỡ công cấu hình.
5.Triển khai Script
Bản chất script là 1 file chứa đoạn code thực thi các công việc thường dùng. GPO có thể thông qua các đoạn script để tác động lên user, computer ( các đoạn script thường dùng: *.bat, *.vbs, v.v) Ta muốn: rename, change password, disable account local administrator thì có thể dùng script để triển khai đến các member computer (automatic tác động)
Script chỉ tác động đến user account và computer account và chỉ chạy trong 4 thời điểm Đối với user account (2 thời điểm): Khi log on hoặc log off.
Đối với computer (2 thời điểm) : khi khởi động hoặc chạy trước khi shut down.
Triển khai:
Tạo file Map.bat : New -> text.txt sau đó dánh lệnh: net user Z: \\192.168.2.100\Data Sau đó đổi tên file thành *.bat ( Map.bat)
Trên OU NhanSu tạo GPO 8 : Script – MapNetworkDrive – Logon (nghĩa là cứ mỗi lần user log on là chạy script Map.bat)
GPO: Scripts
Sau đó Edit -> User Configuration -> Windows Setting -> Scripts
Double click vào log on (Log on Properties)
Do đã tạo sẵn file script (map.bat) ta chỉ cần bỏ file đó vào folder lưu trữ bằng cách chọn:
Show File.
Những script log on sẽ nằm trong foler Log on, những script log off sẽ nhằm trong folder Log off.
Cả 2 folder này đều lưu trong folder Sysvol của máy DC.
copy file script vào folder log on
Sau đó quay lại cửa sổ Log on Properties Chọn Add -> Browse -> chọn Map.bat -> OK
Add scripts vào Đánh lệnh : Gpupdate /force
6.Deployment Software
Tình huống: Công ty có nhu cầu 100 máy tinh trong công ty phải có phần Microsoft office =>
phải cài trên từng máy => tốn thời gian Triển khai:
Bước 1: share source cài đặt tại File Server.
Lưu ý: khi share source phải tạo folder cha, sau đó tạo thêm folder con và chứa source phần mềm trong đó. Rồi Share folder cha (nếu chỉ tạo 1 folder thì lúc deploy được, lúc deploy không được).
(Share folder Deploy Software: everyone: Read là đủ)
Phân Quyền Share Bước 2: tạo GPO
Gpmc.msc -> chọn OU Nhan Su -> Creat a GPO ….
Name: GPO 9: deploy Adobe Reader -> Edit
User Configuration -> Policies -> Software Setting -> Software Installation-> New -> Packet
Deploy Adobe Reader
Ở dòng File Name nhập nơi lưu trữ source software ( phải dùng đường dẫn UNC)
\\192.168.2.100\Deploy Sofware
Đường dẫn đến folder lưu trữ Source Ta Browse về file msi trong folder Adobe Reader
Sau khi chọn file msi xong xuất hiện bảng thông báo cho ta chọn các phương thức deploy:
Ta chọn Published
Chọn phương thức deploy
Ta double click vào Adobe Reader X (bên phải) -> Tab Deployment Ta có thể tùy chỉnh lại phương thức deploy.
Tùy chỉnh lại các phương thức deploy
Lưu ý: nếu ta chọn Advanced (trong phần chọn phương pháp deploy) thì nó sẽ tự động vào cửa sổ Deployment.
Phần: Deployment Options:
Ta thấy có option: Uninstall this application when it falls out of the scope of management (quan trọng nhất).
Nếu ta không chọn option này thì NS1 thuộc OU NhanSu, khi ta muốn đổi NS1 qua OU KeToan thì cái Adobe Reader ta deploy cho OU NhanSU vẫn còn trên máy NS1. ( CÔng ty có quy định là OU KeToan được được deploy Adode Reader)
Nếu chọn thì khi move NS1 qua OU KeToan , sau khi NS1 log off thì hệ thống sẽ gỡ Adobe vì NS1 không còn là thanh viên OU NhanSu
Option: Do not display this packet … Nếu dùng phương pháp published thì không được check Tab Upgrades: Nếu ứng dụng có bản update thì ta Add vào, tự động GPO sẽ cài bản update hoặc deploy xuống cho người dùng cài.
đánh lệnh: Gpupdate /force