Thứ Năm, 19/7/2018 | 2:44 UTC+7

Hướng dẫn cấu hình Group Poilicy Object trên Windows server 2012

 

Group Policy Object là 1 Active Directory object dùng để chứa những policy được thiết lập nhằm tác động trên hệ thống. 1 Group Policy Object có thể chứa 1 hoặc nhiều Policy khác nhau. Cùng 1 Policy có thể chứa trên nhiều Group Policy Object khác nhau

I. Khái niệm

1. Các công cụ dùng để quản trị Active Directory Domain Services  

a. Active Directory Users and Computers: Được sử dụng để quản lý các đối tượng trong Active Directory như users, groups, computers, và OUs

b. Active Direcory Sites and Services: Sử dụng để quả lý sites, bạn có thể sử dụng để replication 1 folder, network topology và các dịch vụ liên quan tới tất cả các sites ở trong 1 Active Directory Domain Services forest

c. Active Directory Domains and Trusts: Dùng để quản lý trust replationship và forest function level

d. Active Directory Schema: dùng để quản lý schema và không được cài mặc định do mọi thay đổi như mở rộng schema field cho user account khi dùng mail exchange sẽ được exchange thực hiện trong quá trình cài đặt. Nếu bạn cần chỉnh sửa thủ công đây chính là công cụ

e. Windows PowerShell: sử dụng để tạo và quản lý 1 đối tượng trong AD bằng scripting

2. User Account 

+ A User Account là 1 đối tượng trong Active Directory Domain Service . User Account với nhiều thuộc tính dùng để kiểm soát việc chứng thực và truy cập tài nguyên ở trong mạng. A User Account trong AD đại diện cho 1 người dùng ( thực ) với các quyền truy cập các dịch vụ trong mạng nội bộ

3. Group Account Management 

A Group Account là 1 đối tượng trong Active Directory Domain Services được sử dụng trong việc quản lý quyền cho 1 hoặc nhóm users có quyền giống nhau ở trong mạng. Khi chúng ta cấp quyền truy cập trên 1 tài nguyên nào đó, thay vì việc cấp quyền cho từng user. Chúng ta có thể cấp quyền cho 1 group account ( gồm nhiều users có cùng quyền trên tài nguyên đó ). Giúp giảm bớt thao tác và dễ dàng trong việc quản lý.

+ Có 2 loại Group Account

  • Security: Một security group là một tập hợp các users có cùng một quyền đến tài nguyên, và quyền thực thi các tác vụ. Mỗi user thuộc về một group sẽ có cùng quyền. Mỗi email đc gửi đến một security group thì mỗi user trong group sẽ nhận đc email đó.Khi một security group đc tạo ra, nó sẽ nhận một SID. SID này sẽ thể hiện quyền của groups-SID có thể có trong DACL(discretionary access control list) của tài nguyên. Một token access sẽ được tạo ra khi 1 user đăng nhập vào hệ thống. Access token này chứa SID của user và security group của user đó. Access token này được sử dụng khi user truy cập đến tài nguyên- access token sẽ được so sánh với DACL của tài nguyên để xác định quyền mà user đó sẽ nhận đối với tài nguyên đó.
  • Distribution : không được tạo ra với mục đích security. Distribution group không chứa một SID khi đc tạo. Là 1 group trong AD được Exchange cung cấp 1 địa chỉ email và có chức năng phân phối email cùng lúc cho nhiều đối tượng ( không có chức năng gửi email )

Group scopes : được sử dụng để xác định xem group bị giới hạn trên 1 domain hay có thể mở rộng ra nhiều domain. Group scope được dùng để gán quyền cho các tài nguyên. Một scope của 1 group định nghĩa nơi nào trong mạng mà group được sử dụng, tức là phạm vi quyền của group. Trong AD, có 3 kiểu groups scopes:

  • Global groups: chứa user account và computer account trong domain, được sử dụng để gán quyền cho các objects bên trong bất cứ domain nào của tree hay forest.
  • Universal group: cho phép truy cập đến tất cả các trusted domains. Chỉ được sử dụng cho một security group. Có thể bao gồm các thành viên từ bất kỳ domain nào trong forest. Universal group giúp củng cố và quản lý các groups dàn trải trên nhiều domains và thực hiện chung các tác vụ của groups.
  • Domain local groups: bao gồm các groups và user hoặc computer khác. được định nghĩa và quản lý truy cập đến các tài nguyên bên trong một domain. Các thành viên trong domain local group có thể được gán quyền chỉ trong một domain.

Microsoft  khuyến cáo sử dụng global groups hoặc universal groups thay vì domain local groups khi xác định quyền trong domain.

4. Computer Account 

+ Toàn bộ máy tính chạy hệ điều hành Windows khi joints vào 1 domain sẽ tạo ra 1 computer account. Chúng ta có thể tạo mới computer account tư AD sau đó login computer vừa tạo với domain.  Cũng giống như user accounts, computer accounts dùng để chứng thực và kiểm soát truy cập tài nguyên trong domain.

+ Mỗi computer account có SID là duy nhất. Khi delete sau đó tạo lại 1 computer account cùng name nhưng là 2 object khác nhau ( SID khác nhau )

5. Organization Unit ( OU )

+ OU là 1 đối tượng trong AD dùng để chứa các đối tượng khác như user, computer, group. Trong AD có 2 nhóm OU do người dùng tạo ra và OU mặc định của AD. Điểm khác biệt giữa 2 đối tượng OU này là OU do người dùng tạo ra có thể áp dụng chính sách nhóm ( Group Policy Object – GPO ) còn OU mặc định thì không thể câp nhập GPO lên nó.

6. Group Policy Object (GPO)

+ Group Policy Object ra đời giúp người quản trị mạng thiết lập những chính sách để quản lý người dùng, máy tính, và các tài nguyên mạng tránh được những rủi ro về an toàn thông tin đồng thời phải thuận tiện trong việc sử dụng các tài nguyên trong hệ thống.

+ Group Policy Object chỉ tác động lên 3 đối tượng (object) trong AD (Active Directory): OU, User, Computer account.

+ Group Policy Object có tính kế thừa: GPO mà tác động domain thì tất cả các đối tượng đều bị tác động. GPO tác động lên 1 OU thì các đối tượng bên trong (OU con, user, computer) đều bị tác động . Do đó các chính sách chung của công ty, của phòng ban ta có thể dùng tính kế thừa để triển khai nhanh gọn.

+ Các chính sách có thể được áp đặt trên OU, Domain, Site, Local GPO. Mặc định, GPO sẽ xử lý các chính sách theo độ ưu tiên như sau : OU, Domain, Site, Local GPO. Ví dụ, bạn áp dụng chính sách Folder Redirection cho tất cả user trên Site cho phép thư mục My Document được redirect về File Server ở văn phòng chính, đồng thời bạn cũng áp dụng chính sách Folder Redirection cho tất cả user trong OU, cho phép thư mục My Document được redirect về File Server ở chi nhánh. Thì lúc này GPO sẽ ưu tiên chính sách OU, các user sẽ redirect thư mục Document về File Server chi nhánh.

II. Cấu hình GPO

1. Yêu cầu 

Thiết lập hình nền, chặn truy cập “Control Panel” và “Registry” cho toàn bộ màn hình máy tính jointed domain itlabvn.net bằng Group Policy Object

Tự động Map Network Drives khi user trong OU “Sales” đăng nhập với Group Policy Preferences

2. Thực hiện

a. Thiết lập hình nền, chặn truy cập “Control Panel” và “Registry” cho toàn bộ màn hình máy tính jointed domain itlabvn.net bằng Group Policy Object

+ Trên máy DC tạo thư mục picture chứa hình ảnh sẽ làm nền cho các máy trạm đã jointed domain itlabvn.net. Sau đó shared thư mục với full quyền

+ Trên Server Manager -> chọn Tool -> chọn “Group Policy Management” . Như hình dưới toàn bộ GPO được tạo sẽ nằm trong thư mục “Group Policy Objects” . Tùy vào phạn vi áp dụng chính sách trong GPO như áp dụng cho domain, site, hay OU mà chúng ta link GPO tới domain, site hay OU đó. Mặc định GPO “Default Domain Policy” đã được link tới domain itlabvn.net. Do vậy mọi chính sách trong GPO này sẽ có tác dụng với toàn bộ object nằm trong domain itlabvn.net . Do vậy tôi sẽ cấu hình GPO đặt hình nền trên “Default Domain Policy”

+ Cài đặt hình nền :  Chuột phải chọn “Edit” từ “Default Domain Policy” -> chọn “User Configuration -> Administrative Templates Policy ->Desktop -> Desktop -> Desktop Wallpaper”

+ Ở bảng Desktop Wallpaper, chọn “Enabled” và thêm đường dẫn file ảnh đã shared trên server Domain Controller vào “Wallpaper Name” như hình dưới -> click OK

+ Kiểm tra kết quả: login từ máy PC WIN7 đã jointed domain itlabvn.net với account sale1 trong OU “sales” ta được kết quả như sau

 

b. Tự động Map Network Drives khi user trong OU “Sales” đăng nhập với Group Policy Preferences

+ Tạo group “sales” với 2 users member là sale1, sale2

+ Shared thư mục E:\Data-Sales với group “sales” có quyền đọc, ghi dữ liệu

+ Open “Group Policy Management” , chuột phải vào OU “Sales” -> chọn “Create a GPO in this domain, and link it here…”

+ Đặt tên cho GPO là “GPO Preference”

+ Chuột phải vào GPO vừa tạo chọn “Edit”

+ Chọn “User Configuration -> Preferences -> Windows Settings”. Chuột phải vào  Drive Maps -> New -> Mapped Drive với thông số như hình.

+ Từ PC client chạy câu lệnh “gpupdate /force” -> logout -> login và kiểm tra kết quả.

Tham khảo tại iTLaban

ĐỂ LẠI LỜI NHẮN

Địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu ( cần thiết )