Bài 12

CHÍNH SÁCH NHÓM

Mục tiêu Các mục chính Bài tập bắt Bài tập làm

buộc thêm

Kết thúc bài học này cung

cấp học viên kiến thức về

Group Policy, các chính

sách đối với máy trạm,

chính sách đối với người

dùng...

I. Giới thiệu về chính sách

nhóm.

II. Triển khai một chính sách

nhóm trên miền.

III. Các ví dụ minh họa.

Dựa vào bài

tập môn Quản

trị Windows

Server 2003.

Dựa vào bài

tập môn Quản

trị Windows

Server 2003.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

311

I. GIỚI THIỆU.

I.1. So sánh giữa System Policy và Group Policy.

Vừa rồi ở chương trước, chúng ta đã tìm hiểu về chính sách hệ thống (System Policy), tiếp theo

chúng ta sẽ tìm hiểu về chính sách nhóm (Group Policy). Vậy hai chính sách này khác nhau như thế

nào.

- Chính sách nhóm chỉ xuất hiện trên miền Active Directory , nó không tồn tại trên miền NT4.

- Chính sách nhóm làm được nhiều điều hơn chính sách hệ thống. Tất nhiên chính sách nhóm chứa

tất cả các chức năng của chính sách hệ thống và hơn thế nữa, bạn có thể dùng chính sách nhóm

để triển khai một phần mềm cho một hoặc nhiều máy một cách tự động.

- Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ

thống.

- Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống. Các chính sách hệ thống

chỉ được áp dụng khi máy tính đăng nhập vào mạng thôi. Các chính sách nhóm thì được áp dụng

khi bạn bật máy lên, khi đăng nhập vào một cách tự động vào những thời điểm ngẫu nhiên trong

suốt ngày làm việc.

- Bạn có nhiều mức độ để gán chính sách nhóm này cho người từng nhóm người hoặc từng nhóm

đối tượng.

- Chính sách nhóm tuy có nhiều ưu điểm nhưng chỉ áp dụng được trên máy Win2K, WinXP và

Windows Server 2003.

I.2. Chức năng của Group Policy.

- Triển khai phần mềm ứng dụng: bạn có thể gom tất cả các tập tin cần thiết để cài đặt một phần

mềm nào đó vào trong một gói (package), đặt nó lên Server, rồi dùng chính sách nhóm hướng

một hoặc nhiều máy trạm đến gói phần mềm đó. Hệ thống sẽ tự động cài đặt phần mềm này đến

tất cả các máy trạm mà không cần sự can thiệp nào của người dùng.

- Gán các quyền hệ thống cho người dùng: chức năng này tương tự với chức năng của chính

sách hệ thống. Nó có thể cấp cho một hoặc một nhóm người nào đó có quyền tắt máy server, đổi

giờ hệ thống hay backup dữ liệu...

- Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng ta có thể kiểm soát

máy trạm của một người dùng nào đó và cho phép người dùng này chỉ chạy được một vài ứng

dụng nào đó thôi như: Outlook Express, Word hay Internet Explorer.

- Kiểm soát các thiết lập hệ thống: bạn có thể dùng chính sách nhóm để qui định hạn ngạch đĩa

cho một người dùng nào đó. Người dùng này chỉ được phép lưu trữ tối đa bao nhiêu MB trên đĩa

cứng theo qui định.

- Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ thống NT4 thì chỉ

hỗ trợ kịch bản đăng nhập (logon script), nhưng Windows 2000 và Windows Server 2003 thì hỗ

trợ cả bốn sự kiện này được kích hoạt (trigger) một kịch bản (script). Bạn có thể dùng các GPO

để kiểm soát những kịch bản nào đang chạy.

- Đơn giản hóa và hạn chế các chương trình: bạn có thể dùng GPO để gỡ bỏ nhiều tính năng

khỏi Internet Explorer, Windows Explorer và những chương trình khác.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

312

- Hạn chế tổng quát màn hình Desktop của người dùng: bạn có thể gỡ bỏ hầu hết các đề mục

trên menu Start của một người dùng nào đó, ngăn chặn không cho người dùng cài thêm máy in,

sửa đổi thông số cấu hình của máy trạm...

II. TRIỂN KHAI MỘT CHÍNH SÁCH NHÓM TRÊN MIỀN.

Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đối tượng chính sách (GPO).

Các GPO là một vật chứa (container) có thể chứa nhiều chính sách áp dụng cho nhiều người, nhiều

máy tính hay toàn bộ hệ thống mạng. Bạn dùng chương trình Group Policy Object Editor để tạo ra

các đối tượng chính sách. Trong của sổ chính của Group Policy Object Editor có hai mục chính: cấu

hình máy tính (computer configuration) và cấu hình người dùng (user configuration).

Điều kế tiếp bạn cũng chú ý khi triển khai Group Policy là các cấu hình chính sách của Group Policy

được tích lũy và kề thừa từ các vật chứa (container) bên trên của Active Directory. Ví dụ các người

dùng và máy tính vừa ở trong miền vừa ở trong OU nên sẽ nhận được các cấu hình từ cả hai chính

sách cấp miền lẫn chính sách cấp OU. Các chính sách nhóm sau 90 phút sẽ được làm tươi và áp dụng

một lần, nhưng các chính nhóm trên các Domain Controller được làm tươi 5 phút một lần. Các GPO

hoạt động được không chỉ nhờ chỉnh sửa các thông tin trong Registry mà còn nhờ các thư viện liên

kết động (DLL) làm phần mở rộng đặt tại các máy trạm. Chú ý nếu bạn dùng chính sách nhóm thì

chính sách nhóm tại chỗ trên máy cục bộ sẽ xử lý trước các chính sách dành cho site, miền hoặc OU.

II.1. Xem chính sách cục bộ của một máy tính ở xa.

Để xem một chính sách cục bộ trên các máy tính khác trong miền, bạn phải có quyền quản trị trên máy

đó hoặc quản trị miền. Lúc đó bạn có thể dùng lệnh GPEDIT.MSC /gpcomputer:machinename, ví dụ

bạn muốn xem chính sách trên máy PCO1 bạn gõ lệnh GPEDIT.MSC /gpcomputer: PCO1. Chú ý là

bạn không thể dùng cách này để thiết lập các chính sách nhóm ở máy tính ở xa, do tính chất bảo mật

Microsoft không cho phép bạn ở xa thiết lập các chính sách nhóm.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

313

II.2. Tạo các chính sách trên miền.

Chúng ta dùng snap-in Group Policy trong Active Directory User and Computer hoặc gọi trược tiếp

tiện ích Group Policy Object Editor từ dòng lệnh trên máy Domain Controller để tạo ra các chính

sách nhóm cho miền. Nếu bạn mở Group Policy từ Active Directory User and Computer thì trong

khung cửa sổ chính của chương trình bạn nhấp chuột phải vào biểu tượng tên miền (trong ví dụ này là

netclass.edu.vn), chọn Properties. Trong hộp thoại xuất hiện bạn chọn Tab Group Policy.

Nếu bạn chưa tạo ra một chính sách nào thì bạn chỉ nhìn thấy một chính sách tên Default Domain

Policy. Cuối hộp thoại có một checkbox tên Block Policy inheritance, chức năng của mục này là

ngăn chặn các thiết định của mọi chính sách bất kỳ ở cấp cao hơn lan truyền xuống đến cấp đang xét.

Chú ý rằng chính sách được áp dụng đầu tiên ở cấp site, sau đó đến cấp miền và cuối cùng là cấp

OU. Bạn chọn chính sách Default Domain Policy và nhấp chuột vào nút Option để cấu hình các lựa

chọn việc áp dụng chính sách. Trong hộp thoại Options, nếu bạn đánh dấu vào mục No Override thì

các chính sách khác được áp dụng ở dòng dưới sẽ không phủ quyết được những thiết định của chính

sách này, cho dù chính sách đó không đánh dấu vào mục Block Policy inheritance. Tiếp theo nếu

bạn đánh dấu vào mục Disabled, thì chính sách này sẽ không hoạt động ở cấp này, Việc disbale

chính sách ở một cấp không làm disable bản thân đối tượng chính sách.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

314

Để tạo ra một chính sách mới bạn nhấp chuột vào nút New, sau đó nhập tên của chính sách mới. Để

khai báo thêm thông tin cho chính sách này bạn có thể nhấp chuột vào nút Properties, hộp thoại xuất

hiện có nhiều Tab, bạn có thể vào Tab Links để chỉ ra các site, domain hoặc OU nào liên kết với

chinh sách. Trong Tab Security cho phép bạn cấp quyền cho người dùng hoặc nhóm người dùng có

quyền gì trên chính sách này.

Trong hộp thoại chính của Group Policy thì các chính sách được áp dụng từ dưới lên trên, cho nên

chính sách nằm trên cùng sẽ được áp dụng cuối cùng. Do đó, các GPO càng nằm trên cao trong danh

sách thì càng có độ ưu tiên cao hơn, nếu chúng có những thiết định mâu thuẫn nhau thì chính sách

nào nằm trên sẽ thắng. Vì lý do đó nên Microsoft thiết kế hai nút Up và Down giúp chúng ta có thể di

chuyển các chính sách này lên hay xuống.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

315

Trong các nút mà chúng ta chưa khảo sát thì có một nút quan trọng nhất trong hộp thoại này đó là nút

Edit. Bạn nhấp chuột vào nút Edit để thiết lập các thiết định cho chính sách này, dựa trên các khả

năng của Group Policy bạn có thể thiết lập bất cứ thứ gì mà bạn muốn. Chúng ta sẽ khảo sát một số

ví dụ minh họa ở phía sau.

III. MỘT SỐ MINH HỌA GPO TRÊN NGƯỜI DÙNG VÀ CẤU HÌNH

MÁY.

III.1. Khai báo một logon script dùng chính sách nhóm.

Trong Windows Server 2003 hỗ trợ cho chúng ta bốn sự kiện để có thể kích hoạt các kịch bản

(script) hoạt động là: startup, shutdown, logon, logoff. Trong công cụ Group Policy Object Editor,

bạn có thể vào Computer Configuration Windows Setttings Scripts để khai báo các kịch bản

sẽ hoạt động khi startup, shutdown. Đồng thời để khai báo các kịch bản sẽ hoạt động khi logon,

logoff thì bạn vào User Configuration Windows Setttings Scripts. Trong ví dụ này chúng ta

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

316

tạo một logon script, quá trình gồm các bước sau:

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

317

Mở công cụ Group Policy Object Editor, vào mục User Configuration Windows Setttings

Scripts.

Nhấp đúp chuột vào mục Logon bên của sổ bên phải, hộp thoại xuất hiện, bạn nhấp chuột tiếp vào nút

Add để khai báo tên tập tin kịch bản cần thi hành khi đăng nhập. Chú ý tập tin kịch bản này phải được

chứa trong thư mục c:\windows\system32\ grouppolicy\user\script\logon. Thư mục này có thể thay

đổi, tốt nhất bạn nên nhấp chuột vào nút Show Files phía dưới hộp thoại để xem thư mục cụ thể chứa

các tập tin kịch bản này. Nội dung tập tin kịch bản có thể thay đổi tùy theo yêu cầu của bạn, bạn có thể

tham khảo tập tin kịch bản ở chương trước.

Tiếp theo để kiểm soát quá trình thi hành của tập tin kịch bản, bạn cần hiệu chỉnh chính sách Run

logon scripts visible ở trạng thái Enable. Trạng thái này giúp bạn có thể phát hiện ra các lỗi phát sinh

khi tập tin kịch bản thi hành từ đó chúng ta có thể sửa chữa. Để thay đổi chính sách này bạn nhấp

chuột vào mục User Configuration Administrative Templates System Scripts, sau đó nhấp

đúp chuột vào mục Run logon scripts visible để thay đổi trạng thái.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

318

III.2. Hạn chế chức năng của Internet Explorer.

Trong ví dụ này chúng ta muốn các người dùng dưới máy trạm không được phép thay đổi bất kì thông

số nào trong Tab Security, Connection và Advanced trong hộp thoại Internet Options của công cụ

Internet Explorer. Để làm việc này, trong công cụ Group Policy Object Editor, bạn vào User

Configuration Administrative Templates Windows Components Internet Explorer

Internet Control Panel, chương trình sẽ hiện ra các mục chức năng của IE có thể giới hạn, bạn chọn

khóa các chức năng cần thiết.

III.3. Chỉ cho phép một số ứng dụng được thi hành.

Để cấu hình Group Policy chỉ cho phép các người dùng dưới máy trạm chỉ sử dụng được một vài ứng

dụng nào đó, trong công cụ Group Policy Object Editor, bạn vào User Configuration

Administrative Templates. Sau đó nhấp đúp chuột vào mục Run only allowed windows

applications để chỉ định các phần mềm được phép thi hành.

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

319

Download tài liệu này tại diễn đàn quản trị mạng và quản trị hệ thống | http://www.adminviet.net

320

Tóm tắt

Lý thuyết 3 tiết - Thực hành 5 tiết