September 10, 2015

MCSA 2012 Domain Network – Group Policy Object – Phần 1

Chào các bạn, hôm nay tiếp nối seri ” Tự học MCSA 2012″ mình xin được trình bày các vấn đề về Group Policy Object
Chuẩn bị:
máy DC: 2012may1 IP: 192.168.2.100/24
1 máy computer member domain: 2012may2 192.168.2.101/21
Tạo cấu trúc OU theo hình cây: OU CongTy chứa 2 OU con là KeToan, NhanSu
Trong OU KeToan chứa: Group KT và KT1, Kt2. OU NhanSu làm tương tự 
Như đã đề cập, việc xây dựng OU ngoài mục đích dễ quản ly, dễ dàng ủy nhiệm cho việc quản lý thì chức năng quan trọng của OU là giúp ta triển khai chính sách (policy) ở cấp độ domain
Group Policy bao gồm 2 loại: local policy và domain policy. Local Policy chỉnh ở đâu thì chỉ có nơi đó tác động.
Domain Policy thì chỉ cần chỉnh ở 1 nơi mà tác động ở nhiều nơi (toàn Domain hoặc các OU cụ thể).
Để triển khai bộ Domain Policy thì ta phải thông qua một đối tượng (AD object) trung gian là  Group Policy Object (GPO). Local Policy thì ta chỉnh trực tiếp (gpedit.msc: Local Group Policy Editor).
GPO là 1 AD object dùng để chứa những policy được thiết lập nhằm tác động trên hệ thống. 1 GPO có thể chứa 1 hoặc nhiều Policy khác nhau. Cùng 1 Policy có thể chứa trên nhiều GPO khác nhau.
Lưu ý:
+ Trên 1 GPO chỉ nên chỉnh 1 Policy (tốt nhất là nên như thế) hoặc 1 nhóm policy có quan hệ với nhau về mặt luận lý ( 1 nhóm policy liên quan đến OU KeToan).
+ Đặt tên GPO phải tường minh, mô tả được chức năng của policy  ( VD: GPO1 –  restrict control panel)
+ GPO chỉ tác động lên 3 đối tượng (object) trong AD (Active Directory): OU, User, Computer account.
(GPO có thể tác động vào nhiều  OU, User, computer account và ngược lại). Như vậy Group không bị tác động.
+ GPO có tính kế thừa: GPO mà tác động domain thì tất cả các đối tượng đều bị tác động. GPO tác động lên 1 OU thì các đối tượng bên trong (OU con, user, computer) đều bị tác động . Do đó các chính sách chung của công ty, của phòng ban ta có thể dùng tính kế thừa để triển khai nhanh gọn.
Mở Công cụ quản lý GPO
Run -> gpmc.msc: Group Policy Management.
GPO 1
gpmc.msc
 Ở bài Domain Network – Phần 1, mình đã hướng dẫn cách áp đặt policy để đặt password đơn giản bằng Default Domain Policy. Thực chất Default Domain Policy là một GPO, tác động đến toàn domian (tính kế thừa xuống các đối tượng con).
Domain Controller Security Policy: Là GPO  tác động đến OU Domain Controller (là OU chứa DC).  GPO này chỉ tác động đến DC.
+ Các bạn tự  thiết lập các policy ở Phần 1 .
Công ty có nhu cầu : Nhân viên công ty cấm Control Panel  => Tạo GPO ở OU công ty ( lưu ý: GPO tác động tới đâu thì làm việc ở vị trí đó)
GPO 2
Policy
Chọn vào OU CongTy -> Create a GPO in this domain and Link it here …
GPO 3
Create GPO
Khai báo tên GPO -> OK
Sau khi tạo GPO xong, phải chuột GPO -> Edit để tìm policy cấm control panel
GPO 4
Edit
Enable Policy này lên.
GPO 5
Cấm Control Panel
Tương tự tạo thêm các policy trên OU CongTy:
+ GPO 2: ẩn Recycle Bin
Sau khi thực hiện các chính sách của công ty thì các phòng ban cũng có các chính sách riêng. 
Phòng Kế Toán: Cấm sử dụng IE
+ GPO 3: cam IE
Phòng Nhân Sự: Cấm sử dụng command line, cấm mở công cụ Active Directory Users and Computers.
+ GPO 4: cam cmd
+ GPO5: cam mo ADUC
Cách chỉnh GPO5: User configuration ->Policies ->  Administrative template -> Windwos Component -> Microsoft Management Console -> Restricted/ Permitted Snap-in ->  Active Directories Sites and Services
Ta Enbale Policy này
GPO 6
cấm ADUC
Sau đó chạy lệnh gpupdate /force
Lưu ý: Ta nên sẽ sơ đồ hình cây về tổ chức kèm theo các GPO để dễ quản lý
GPO 7
Các GPO áp đặt

GPO 8
Sơ đồ

Ta Test từng user thì thấy rằng:
User KT1, KT2 sẽ chịu ảnh hưởng của GPO:  Default Domain Policy, 1, 2, 3.
User NS1, NS2  sẽ chịu ảnh hưởng của GPO:  Default Domain Policy, 1, 2, 4, 5
Group KeToan và NhanSu không bị ảnh hưởng.
=> Chúng ta đã thấy tính kế thừa của GPO. 
Tình huống: Ta muốn cấm các user trong OU KeToan mở ADUC. Thay vì phải tạo thêm 1 GPO  tác động lên OU KeToan thì ta chỉ cần lấy GPO 5 tác động lên OU KeToan. Ta sử dụng tính năng “ Link” của GPO.
Ta chọn vào OU KetToan -> chọn Link an existing GPO 
GPO 9
Link GPO
Xuất hiện giao diện SELECT GPO
Ta chọn GPO 5 ( hoặc các GPO khác tùy nhu cầu)
GPO 10
Select GPO
Tình huống: Khi thực hiện chính sách cấm Control Panel thì nhân viên than phiền nhiều nên ta muốn bỏ tác động của GPO 1 lên người dùng. Để bỏ tác động của GPO, ta có 2 cách:
Cách 1: xóa hẳn GPO (chỉ dùng khi tổ chức bỏ hẳn chính sách đó lên toàn công ty)
GPO 4
Chọn Delete để xóa
Chọn Delete.
GPO 11
Đã xóa GPO 1
Ta thấy sau khi bỏ thì OU CongTy mất GPO 1, nhưng GPO 1 vẫn còn tồn tại ở trong Group Policies Object. Nếu muốn dùng lại GPO 1 cho OU CongTy thì lại tiếp tục sử dụng tính năng  “Link an existing GPO”.
Cách 2: Bỏ tính năng Link GPO ( Bỏ tính kế thừa của 1 GPO xuống các đối tượng con)
GPO Link
Bỏ tính kế thừa của GPO
Bỏ check  Link Enabled
Các bạn tự kiểm tra kết quả các tình huống. 
Phần 1 mình chỉ trình bày cơ bản về Group Policy Object (GPO)
http://www.slideshare.net/laonap166/group-policy-object-p1
nguồn: http://tuhocmang.com/

0 comments:

Post a Comment