Đang tải... (xem toàn văn)
Chương 7- giới thiệu về grouppolicy
Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy Chương GIỚI THIỆU VỀ GROUP POLICY Trong phần gồm có: + Tạo tổ chức đối tượng Active Directory + Tạo, soạn thảo quản lý Group Policy I TẠO VÀ TỔ CHỨC CÁC ĐỐI TƯỢNG TRONG GROUP POLICY Giới thiệu Group Policy Group Policy có chức sau: + Thiết lập tập trung phân quyền sách + Đảm bảo mơi trường làm việc cho người dùng + Điều khiển người dùng máy tính + Áp dụng sách bắt buộc Thiết lập sách Group Policy Giáo viên biên soạn: Võ Khơi Thọ Trang of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy Các loại thiết lập Group Policy Các thiết lập Administrative Templates Security Software Installation Ý nghĩa Thiết lập sách đăng ký Thiết lập sách bảo mật mạng: cục bộ, domain Các thiết lập quản lý tập trung cài đặt phần mềm Scripts Các script cho shutdown, logoff, restart, startup Folder redirection Chứa thiết lập cho việc lưu trữ thư mục server mạng Các đối tượng sách nhóm - GPOs Group Policy Containner Được định vị Active Directory Cung cấp thông tin phiên sử dụng Domain Controller Group Policy Object Chứa đựng thiết lập cho Group Policy Nội dung lưu hai vị trí Group Policy Templates Được định vị thư mục chia sẻ Sysvol Domain Controller Cung cấp thiết lập sách nhóm cho máy tính chạy windows 2003 Các đối tượng sách nhóm Site GPO Domain GPO OU Các đối tượng sách nhóm Containner Active Directory + Thiết lập GPOs có hiệu lực với đối tượng người dùng máy tính Domain Containner đến GPOs mà liên kết OU OU + Mặc định GPOs không liên kết đến Containner Active Directory OU GPO OU GPO site Giáo viên biên soạn: Võ Khôi Thọ Trang of 35 Các Containner Active Directory Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy Tái tạo sở liệu Active Directory Để tái tạo sở liệu Active Directory ( NTDS) SERVER, ta làm sau: a Vào Start – Programs – Administrative – Active Directory Site And Services Giáo viên biên soạn: Võ Khôi Thọ Trang of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy b nhấp chọn Sites – Default – First – Site – Name – Servers – Server – NTDS Setting, sau nhấp phải chuột vào d19cb5fb905f-4c50-8a42-ce1bfc24cc22-Properties Active Directort Sites and Services Microsoft Management Console – MMC mà ta sử dụng để quản trị tái tạo lại thư mục liệu Giáo viên biên soạn: Võ Khôi Thọ Trang of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy c Tại mục Transport chọn IP, nhấp Apply để áp dụng, nhấp OK để đóng hộp thoại d Nhấp phải chuột vào d19cb5fb-905f-4c50-8a42-ce1bfc24cc22 chọn Replecate now ý: Tên d19cb5fb-905f-4c50-8a42-ce1bfc24cc22 q dài khó nhớ, ta đổi tên thành tên dễ nhớ Mơ hình cấu trúc OU Giải thích ý nghĩa: u cầu: + Giả sử cơng ty có phịng có văn phịng trung tâm hai phòng làm việc + Để việc quản trị mạng chia sẻ tìm kiếm liệu cơng ty dễ dàng sét mơ hình OU hình minh họa + Thiết kế domain giả sử hcmc.vn Giáo viên biên soạn: Võ Khơi Thọ Trang of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy + Giả sử cơng ty có hai phịng : phịng kế tốn phịng kinh doanh + Tại hai mức ta tạo Organization Units – Ous tương đương với phịng kế tốn phịng kinh doanh + Tại phịng có phận kế toán (Ac), nhân (Hr), quảng cáo (Ad) + Vì phận thuộc OU cấp cịn nhiều Client nên ta thiết kế chúng mức OU Cách tạo OU 7.1 Tạo OU giao diện đồ họa Vào Start – Programs – Administrative Tool – Active Directory Users and Computers Giáo viên biên soạn: Võ Khôi Thọ Trang of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy + Active Directory Users and Computers có chức quản lý người dùng máy tính, thiết lập liên quan đến Active Directory Active Directory Users and Computers Nhấp phải chuột vào Domain hcm.vn – New – Organization Unit (OU) Giáo viên biên soạn: Võ Khôi Thọ Trang of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy + Mỗi OU đối tượng nằm Domain Trong OU chứa OU, người dùng (User), máy tính (Computer), nhóm (Group) + OU đơn vị nhỏ liên kết đến đối tượng sách nhóm (Group Policy Objects) + Trong hình New Object nhập tên OU vào khung Name hình nhấp OK OU Phong ke toan tạo + Thực tương tự để tạo OU Phong kinh doanh + Sau tạo OU cấp, ta kết hình Giáo viên biên soạn: Võ Khơi Thọ Trang of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy + Trong Phong ke toan Phong kinh doanh lại có phận phận ta quản lý OU cách tạo OU tương tự tạo OU trước khác thay nhấp phải chuột vào tên Domain nhấp phải chuột vào tên OU 7.2 Tạo OU dòng lệnh Cú pháp: Dsadd ou “” – desc “” Giải thích: OrgUnitDN: Tên OU Description: Mơ tả OU 7.3 Tạo OU VBScript Mở Notepad nhập đoạn mã sau: ‘ -Đoạn mã sau sử dụng để cấu hình -StrOrgUnit= “” ‘ ví dụ như: Business strOrgUnitParent=”” ‘ ví dụ: OU=Business, dc= hcmc.vn, dc=com StrOrgUnitDescr=” ” ‘ ví dụ : Business Conf ‘ - Kết thúc đoạn mã cấu hình -Set objdomain = GetObject(“ LDAP://” & strOrgUnitParent) Set objOU=objdomain.Create(“organizationalUnit”, “OU=” & strOrgUnit) objOU.PUT “description”, strOrgUnitDescr objOU.Setinfo Wscript ECHO “ Successfully created “ & objOU.Name Sau lưu với tên CreateOU.vbs PHƯƠNG PHÁP XĨA OU 8.1 Xóa OU giao diện dịng lệnh Cú pháp: dsrm” ” – subtree Giải thích : Giáo viên biên soạn: Võ Khơi Thọ Trang of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy OrgUnitDN : Tên OU muốn xóa Subtree: Xóa tất nằm OU OrgUnitDN 8.2 Xóa OU VBScript Trong hình soạn thảo Notepad nhập đoạn mã sau: ‘ Đây đoạn mã dùng để xóa OU tất nằm Set objOU=Getobject(“ LDAP://”) ObjOU.DeleteObject(0) Lưu với tên DeleteOU.vbs muốn xóa OU ta cần nhập số thông tin nhỏ vào file chạy xong II PHƯƠNG PHÁP THỐNG KÊ OU TRONG DOMAIN Sử dụng giao diện dòng lệnh + Cú pháp: dsquery ou Domainroot + Giải thích: Domainroot tên domain gốc Sử dụng VBScript Trong hình soạn thảo Notepad nhập đoạn mã sau: ‘ Đây đoạn mã hiển thị tất Containers Ous ‘ Với DomainDN tên Domain muốn thống kê DisplayObjects”LDAP: //”,”” ‘DisplayObjects lấy AdsPath đối tượng hiển thị đối tượng sử dụng in tham số Function DisplayObjects(strADsPath, strSpace) Set objObject= GetObject(strADsPath) Wscript.Echo strSpace & strADsPath objObject.Filter=Array(“container”, “organizationalUnit”) for each objchildObject in objObject displayObjects objchildObject.AdsPath, strSpace & “ “ Next Giáo viên biên soạn: Võ Khơi Thọ Trang 10 of 35 Giáo trình Quản trị mạng Windows Server 2003 Giáo viên biên soạn: Võ Khôi Thọ Chương - Giới thiệu Group Policy Trang 21 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy + Trên hình New Object – User chọn hình mục Password nhập 123 Confirm Password nhắc lại password 123 sau nhấp next nhấp Finish để kết thúc trình tạo User hình xuất sau: + Thơng báo lỗi Password đặt có chiều dài nhỏ chiều dài tối thiểu quy định sách nhóm + Nhập lại password 12345 nhắc lại password 12345 sau nhấp Next nhấp Finish hình xuất cho thấy u1 tạo lúc password thỏa quy định thiết lập sách nhóm Giáo viên biên soạn: Võ Khơi Thọ Trang 22 of 35 Giáo trình Quản trị mạng Windows Server 2003 V Chương - Giới thiệu Group Policy THIẾT LẬP CÁC CHÍNH SÁCH TRÊN DOMAIN CONTROLLER + Mở start – Programs – Administrative Tools – Active Directory Users and Computers + Nhấp phải chuột vào Domain Controller – Properties chọn thẻ Group Policy Giáo viên biên soạn: Võ Khơi Thọ Trang 23 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy Đây định danh chứa liên kết đến đối tượng sách nhóm Nút Edit chứa liên kết đến Group Policy Domain hcmc.vn Domain Controller Các sách nhóm + Nhấp nút Edit để mở Group Policy Object Editor Giáo viên biên soạn: Võ Khôi Thọ Trang 24 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy + Để thiết lập sách password cho tất users Domain Controller phải đảm bảo tính phức tạp tức password –phải kết hợp chữ hoa, chữ thường ký tự đặc biệt ký tự số ta làm sau: + Tại bên trái hình Group Policy Object Editor chọn windows Settings – Account Policies – Password Policy + Nhấp đúp vào mục Password must meet Complexity requirements + Nhấp chọn vào mục Define this Policies Setting – Enable nhấp OK để áp dụng Giáo viên biên soạn: Võ Khơi Thọ Trang 25 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy Ví dụ 2: Để ngăn số người dùng đăng nhập vào máy tính cục ta làm sau: + Mở hình Group Policy Object Editor Domain Controller + Tại bên trái chọn windows Settings – Local Policies – User Right Assignment + Tại hình bên phải nhấp đúp vào Deny log on locally hình Deny log on locally Properties xuất sau: Giáo viên biên soạn: Võ Khôi Thọ Trang 26 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy + Nhấp nút Add User or Group, nhấp nút Browse + Trên hình xuất nhấp nút Advance sau nhấp Find now Giáo viên biên soạn: Võ Khơi Thọ Trang 27 of 35 Giáo trình Quản trị mạng Windows Server 2003 + Chương - Giới thiệu Group Policy Giả sử muốn ngăn chặn User Guest đăng nhập vào máy tính cục bộ, ta chọn Guests nhấp OK lần để trở hộp thoại Select Users, Computers or Groups + Sau nhấp OK để áp dụng VI TẠO USER TRONG OU Sử dụng giao diện đồ họa : Mở Active Directory User and Computer Trong hình Active Directory User and Computer nhấp phải chuột vào OU Phongkinhdoanh – News – User (xem hình) Giáo viên biên soạn: Võ Khơi Thọ Trang 28 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy Hộp thoại New Object xuất Giáo viên biên soạn: Võ Khôi Thọ Trang 29 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy + Tại mục First Name nhập tên giả sử Nguyễn Văn A + Tại mục Last name Nhập Nguyễn Văn A + Tại mục User Logon nhập tên đăng nhập là: U1 (xem hình ) Tiếp tục làm việc với hộp thoại New Object User + Tại mục password nhập vào password lưu ý password phải từ ký tự bao gồm ký tự, số ký tự đặc biệt + Nhấp chọn mục User cannot change password nhấp Next sau nhấp Finish để kết thúc (xem hình ) Hộp thoại có lựa chọn: Giáo viên biên soạn: Võ Khơi Thọ Trang 30 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy + User must change password at next logon: User phải thay đổi password lần đăng nhập + User cannot change password: User thay đổi password + Password never expires: Password không hết hiệu lực + Account is disabled: Tài khoản bị vơ hiệu hóa sau tạo Sử dụng giao diện dòng lệnh (cập nhật sau) Sử dụng VBScript (cập nhật sau) Tạo Member cho user Để users sau tạo có đủ khơng gian làm việc có quyền tối thiểu domain ta phải tạo Member of cho user thành viên nhóm domain users Cách tạo member of sau: • Đăng nhập client1 vào máy cục với user Administrator Tiếp theo nhấp phải chuột vào My Computer Destop chọn Manage hộp thoại Computer Management xuất (xem hình ) • Tại bên trái chọn Local User and Groups Tiếp theo cửa sổ bên phải nhấp phải chuột vào biểu tượng Power Users chọn Properties ( xem hình ) Giáo viên biên soạn: Võ Khơi Thọ Trang 31 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy • Nhấp nút Add để mở hộp thoại Select User, Computer or Groups (xem hình ) Hộp thoại chứa user, computer Group domain Giáo viên biên soạn: Võ Khôi Thọ Trang 32 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy máy tính cục Lưu ý để thực chức máy workstation phải thành viên domain hcmc.vn • Nhấp nút Advanced xuất hình u cầu đăng nhập tài khoản có hiệu lực domain hcmc.vn Nhập username administrator password để trống (tài khoản administrator server có password rỗng) Sau nhấp OK • Tiếp theo nhấp nút Find now để tìm tất users, Computer or Groups (xem hình) Giáo viên biên soạn: Võ Khôi Thọ Trang 33 of 35 Chọn Domain Users nhấp OK Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy • Kéo trượt xuống nhấp chọn domain users sau nhấp OK (xem hình ) Lựa chọn có chức thêm user domain vào nhóm Power Users , nhóm chứa quyền tối thiểu user hệ thống Giáo viên biên soạn: Võ Khôi Thọ Trang 34 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy • Tiếp theo nhấp OK để đóng hộp thoại Select Users, Computer or Groups nhấp Apply hộp thoại Power User Properties để áp dụng nhấp OK để đóng hộp thoại Giáo viên biên soạn: Võ Khôi Thọ Trang 35 of 35 ... Server 2003 Giáo viên biên soạn: Võ Khôi Thọ Chương - Giới thiệu Group Policy Trang 21 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy + Trên hình New Object... Server 2003 Chương - Giới thiệu Group Policy Hộp thoại New Object xuất Giáo viên biên soạn: Võ Khôi Thọ Trang 29 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương - Giới thiệu Group Policy... 2003 Chương - Giới thiệu Group Policy + Nhấp phải chuột lên OU Business chọn Delegate Control Giáo viên biên soạn: Võ Khôi Thọ Trang 12 of 35 Giáo trình Quản trị mạng Windows Server 2003 Chương