Mỉnh đã trình bày Group Policy Object cơ bản ở Phần 1. Ở phần 2 mình xin trình bày chi tiết các thuộc tính của GPO
Chuẩn bị
– Xem cách chuẩn bị của Phần 1.
– Xem cách chuẩn bị của Phần 1.
– Cấu hình Policy: GPO 1, 2, 3, 4, 5 như Phần 1.
Tình huống: Trong hệ thống, ta có nhu cầu GPO cha không tác động vào OU con . Để giải quyết được vấn đề này ta có 2 cách thực hiện cho 2 tình huống khác nhau.
Cách 1: Tạo GPO phủ định (OU Cha cấm Recycle Bin mà OU con cho phép Recycle Bin)
Một máy tính, user có thể bị tác động của các policy như: Local Policy, Domian Policy, OU Policy, Child OU Policy, v.v ( GPO áp cho OU con) . Ngoài ra còn có Site Policy ( Policy tác động lên 1 hoặc nhiều domain). Thứ tự tác động của Policy như sau:
Đầu tiên, PC được khởi động thì sẽ bị tác động bởi:
+ Local Policy, sau đó lần lượt là
+ Site Policy
+ Domian Policy
+ OU Policy
+ Child OU Policy (OU con). ( Từ cao xuống thấp)
Đề cập sâu hơn thì: trong quá trình tác động từ khi máy tính được bật cho đến khi hiện ra màn hình đăng nhập thì PC bị áp đặt bởi các policy trong mục Computer Configuration.
+ Computer Configuration Local Policy
+ Computer Configuration Site Policy
+ Computer Configuration Domain Policy
+ Computer Configuration OU Policy
+ Computer Configuration Child OU Policy
+ Computer Configuration Child OU Policy
Khi user log on thì nó sẽ bị ảnh hưởng của các Policy trong User Configuration cũng theo thứ tự như trên.
Như vậy, nếu các Policy từ Local đến Child OU mà không bị đụng chạm ( phủ định) thì kết quả cuối cùng là bị ảnh hưởng bởi tổng các policy.
Nếu có đụng chạm ( phủ định 1 policy nào đó) thì thứ tự ưu tiên sẽ đi từ Child OU cho đến Local Policy
( VD: OU cha cấm Control Pannel mà OU con cho phép Control Pannel thì kết quả là cho phép Control Pannel).
Tình huống: OU NhanSu được phép truy cập Control Pannel
Triển khai:
Run -> gpmc.msc -> Ou NhanSu -> Create GPO …
Đặt tên: GPO 6: Cho Phep Control Pannel
Tạo GPO phủ định
Rồi Edit -> Cấu hình Policy như đã học (Disable).
Test: các bạn tự test Policy.
Cách 2: Dùng phương thức Block Inheritance ( Khóa đăc tính kế thừa của OU). Đây là 1 thuộc tính của OU
Triển khai:
Chọn OU NhanSU -> Block Inheritance
Lúc này OU NhanSu sẽ không còn chịu ảnh hưởng của GPO 1, 2 từ OU cha do đã mất tính kế thừa.
Block Inheritance
Lưu ý: Dùng cách 2 khi ta không muốn OU chịu bất kì tác động nào từ các GPO của OU cha.
Tình huống:
GPO 1: cấm control pannel là quy định chung của công ty, bắt buộc phải được áp đặt, dù có bỏ quyền thừa kế hoặc bị phủ định đi chăng nữa. Ta sử dụng tính năng Enforced có trên GPO.
Enforced
Những GPO mà Enforced sẽ có hình “ ổ khóa” .
Tình huống: Ta ủy nhiệm cho NS1 quản lý OU NhanSu mà OU NhanSu lại có GPO 5 : cấm mở ADUC.
Nên ta có nhu cầu biệt đãi người dùng ( bạc đãi hoặc ưu đãi). Do GPO là 1 AD Object nen GPO cũng có bộ quyền Security.
Sở dĩ một user chịu tác động của 1 GPO là do bất kì user nào trong domian đều có 2 quyền: Read và Apply Group Policy. Nếu user không có 1 trong 2 quyền này thì GPO không thể tác động đến user đó.
+ Nếu chỉ muốn cấm NS2 ADUC (bạc đãi) : tạo GPO cấm ADUC rồi cho 2 NS2 2 quyền trên. RỒi Group Authenticated User deny 2 quyền đó.
+ Nếu chỉ muốn NS1 được sử dụng ADUC (biệt đãi) thì cho Group Authenticated User 2 quyền, NS1 deny quyền Read, Apply ( hoặc deny 1 trong 2 quyền đều được).
Triển khai:
Biệt đãi người dùng trên GPO nào thì làm việc trên GPO đó.
Gpmc.msc -> Chọn OU Nhan Su -> Chọn GPO 5 -> Nhìn bên phải tìm tab Delegation
Chọn Advanced
Ta add user: NS1 và check vào : Deny quyền Read rồi Apply -> OK
Log on NS1 thấy mở được gpmc và GPO 5 là: inaccessible do ta Deny Read ( nếu chỉ deny Apply thì vẫn thấy GPO 5)
Trên cùng 1 OU có 2 GPO: vừa cấm Control Pannel, vừa cho phép Control Pannel . GPO nào xếp trên thì ưu tiên hơn.
CHọn OU Nhan Su, bên phải chọn tab: Linked Group Polices Object: có nút mũi tên. Ta dùng nút này để sắp xếp các Policy theo nhu cầu.
Sắp xếp GPO
GHI CHÚ:
+ Để xem tổ chức có bao nhiêu GPO: dùng Group Policy Objects trong gpmc
+ Để xem 1 GPO đang tác động đến những OU nào: chọn GPO bất kì, bên phải chọn Tab Scope
+ Để xem 1 OU đang chịu tác động của những GPO nào :
Chọn OU bất kì: chọn Tab: Group Policy Inheritance ( phủ định, thừa kế, Enforced v.v)
+ Để xem trong 1 GPO đã chỉnh những policy nào:
Chọn GPO bất kì -> bên phải chọn Tab Setting
Ghi chú: Group Authenticated User nhỏ hơn group users , chỉ những user đã log on thành công thì mới là member trong group này (tối ưu hơn)
http://www.slideshare.net/laonap166/group-policy-object-phn-2
nguồn: http://tuhocmang.com/
0 comments:
Post a Comment