Tóm lược về Group Policy
1.Giới thiệu
a. Group Policy
Group Policy là tập các thiết lập cấu hình cho computer và user.Xác định cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với người dùng và máy tính trong 1 tổ chức.Group policy có thể thiết lập trên máy tính, site, domain, và OU
b. Group Policy Object
Group Policy Object là 1 nhóm các cấu hình Group Policy
Phân loại GPO:
– Local GPO
– Non-local GPO
· Local GPO
Một Local GPO được lưu trên mỗi máy cho dù máy tính đó là thành viên trong môi trường Active Directory hoặc môi trường mạng. %systemroot%\system32\GroupPolicy. Một local GPO chỉ ảnh hướng đến máy tính đang lưu trữ nó. Các thiết lập của local GP có thể bị ghi đè bởi non-local GP => local GP ít có ý nghĩa quan trọng trong môi trường AD
· NonLocal GPO
Nonlocal GPOs được tạo ra trong Active Directory %Systemroot%\Sysvol\sysvol\Domain Name\Policies\GPO GUID\Adm. Nonlocal GPOs được liên kết đến một site, domain, hoặc OU để áp dụng cho người dùng hoặc máy tính. Mặc định khi dịch vụ danh bạ Active Directory được cài đặt thì 2 nonlocal GPO được tạo ra:
– Default Domain Policy: GPO này liên kết tới domain, và nó ảnh hướng đến tất cả người dùng và máy tính trong domain ( bao gồm cả các máy tính làm domain controller ) theo qui tắc kế thừa Group Policy
– Default Domain Controllers Policy: GPO này liên kết tới OU Domain Controllers, và nó chỉ ảnh hướng đến các máy domain controllers
c. Group Policy Setting
Các thiết lập của GP thì được chứa trong một GPO để xác định môi trường và giao diện của người dùng. Có 2 loại Group Policy Settings:
– Computer configuration settings
– User configuration settings
Mục Computer Configuration: chứa các thiết lập mà group policy áp dụng cho các máy tính và không quan tâm đến ai đăng nhập vào máy tính đó.
Mục User Configuration: chứa các thiết lập mà group policy áp dụng cho người dùng và không quan tâm đến người dùng đó đăng nhập từ máy tính nào
Cả 2 mục Computer và User Configuration chứa các thiết lập về :
– Cài đặt phần mềm (Mục Software Settings)
– Cài đặt và truy cập hệ điều hành Windows Server 2003(Mục Windows Settings)
– Thiết lập registry (Mục Administrative Templates)
Mục Software Settings
Xác định cách thức ứng dụng được cài đặt và duy trì. Có 2 chế độ quản lý ứng dụng là:
– Assigned
– Published
Không thể publish một ứng dụng cho các computer
Mục Windows Settings
Mục Scripts
– Cho phép bạn chỉ định 2 loại script: startup/shutdown và logon/logoff
– Giá trị timeout cho việc xử lý các script là 10 phút
– Ngôn ngữ script ActiveX để viết script: VBScript, Jscript, Perl, và MS-DOS style batch file (.bat và .cmd)
Mục Security Settings:
– Cho phép cấu hình các cấp độ bảo mật gán cho local và nonlocal GPO.
Trong User Configuration:
– Remote Installation Service: điều khiển cài đặt hệ điều hành từ xa.
– Redirect Folder: cho phép chuyển các thư mục đặc biệt (Application Data, Desktop, My documents và Start menu) từ vị trí mặc định của default user profile đến một vị trí khác trong mạng nơi mà bạn có thể quản lý tập trung
– Internet Explorer Maintenance: cho phép quản lý và thiết lập các tùy chọn Microsoft Internet Explorer
Mục Administrative Templates
+ Chứa các thiết lập Group Policy trên cơ sở Registry (registry-based Group Policy Settings)
+ Có hơn 550 mục thiết lập cấu hình cho Computer và user
+ Mỗi thiết lập trong Administrative Template có thể là:
– Not Configured: Không thay đổi Registry
– Enabled: Registry tương ứng với chích sách sẽ được chọn
– Disabled: Registry tương ứng với chính sách sẽ không được chọn
+ Các thiết lập trong mục Administrative Templates trong Computer Configuration được lưu trong registry key ở mục HKEY_LOCAL_MACHINE (HKLM):
– HKLM\Software\Policies
– HKLM\Software\Microsoft\ Windows\CurrentVersion\Policies
+ Các thiết lập trong mục Administrative Templates trong User Configuration được lưu trong registry key ở mục HKEY_CURRENT_USER(HKCU):
– HKEY_CURRENT_USER\Software\Policies
– HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies
+ Mục Windows Components cho phép thiết lập quản trị các thành phần trong Wins2K3 như:
– Microsoft NetMeeting, Internet Explorer, Application Compatibility, Task Scheduler …
+ Mục Systems dùng để quản lý Wins2k3 được truy cập và sử dụng như thế nào:
– user profiles, scripts logon ,logoff…
+ Mục Network dùng để thiết lập điều khiển việc truy cập và sử dụng mạng:
– Offline files, Network and dialup connections …
+ Trong Computer Configuration
– Chứa thêm các thiệt lập cho máy in trong mục Printers
+ Trong User Configuration
– Chừa thêm các thiết lập cho Startup menu and Taskbar, Desktop, Control Pannel, và Shared folders
2.GP tác động đến Startup và Logon như thế nào
* Mạng được khởi động. Remote Procedure Call System Service và Multiple Universal Naming Convention Provider được khởi động
* Lấy danh sách các GPO áp dụng cho máy tính. Danh sách này phụ thuộc vào các nhân tố sau:
· Máy tính có là một phần của win2k hoặc wins2k3 domain hay không ?
· Vị trí của máy tính trong Active Directory
· Nếu danh sách GPO không thay đổi thì không cần xử lý.
* Các thiết lập cấu hình máy tính được xử lý theo trình tự sau: local GPO, các Site GPO, các Domain GPO và các OU GPO.
* Các script Startup được thực thi.
* Người dùng nhấn Ctrl+Alt+Del để log on
* Sau khi chứng thực người dùng hợp lệ thì user profile được load và các thiết lập của GP có hiệu quả
* Lấy danh sách GPO cần áp dụng cho user. Danh sách này phụ thuộc vào:
· User này có là thành viên trong win2k hoặc win2k3 domain không.
· Chính sách loopback có được thiết lập hay không.
· Vị trí của user trong Active Directory
· Nếu danh sách GPO được áp dụng không thay đổi thì không cần xử lý
* Các thiết lập cấu hình của user được xử lý.( thứ tự local GPO, Site GPOs, Domain GPOs, OU GPOs )
* Các script Logon được chạy
* Giao diện người dùng hệ điều hành được qui định bởi GP
3.Cách thức áp dụng GP
Các nonlocal GPO được áp dụng theo trình tự sau:
· Local GPO
· Các GPO liên kết với Site.
· Các GPO liên kết với Domain.
· Các GPO liên kết với OU.
Sự kế thừa GP
Group Policy được áp dụng xuống từ container cha đến tất cả container con bên trong một domain.
Domain con không kế thừa Group Policy từ domain cha.
Group Policy được kế thừa theo các cách sau:
· Các thiết lập chính sách ở OU cha không được cấu hình thì OU con không kế thừa
· Các thiết lập chính sách ở OU cha được cấu hình thì:
- Nếu ở OU con có cấu hình chính sách đó thì ghi đè thiết lập ở OU cha.
- Nếu ở OU con không cấu hình thì kế thừa ở OU cha.
Các ngoại lệ trong quá trình xử lý GP
Các thành viên Workgroup: một máy tính là thành viên của workgroup thì chỉ xử lý local GPO.
No Override: Bất kỳ GPO liên kết với một Site, domain, hoặc OU có thể được thiết lập No Override
· Những thiết lập chính sách của nó không bị ghi đè bởi bất kỳ GPO nào trong quá trình xử lý nhóm chính sách.
· Khi có nhiều GPO được thiết lập No Override thì GPO ở cấp cao nhất trong AD được ưu tiên.
Block Policy Inheritance: Ở site, domain, hoặc OU sự kế thừa GP có thể chọn Block Policy Inheritance
· Một GPO được thiết lập No Override thì luôn luôn được áp dụng.
· Block Policy Inheritance chặn sự kế thừa từ các chính sách ở site, domain hoặc OU ở trên áp dụng xuống.
Loopback Settings: loopback là một thiết lập chính sách mở rộng thuận lợi cho việc quản lý các máy trính trong môi trường như: nơi công cộng, lớp học, phòng thí nghiệm …
Loopback có thể thiết lập ở 2 chế độ:
· Replace: Danh sách GPO áp dụng cho user sẽ được thay thế bằng danh sách GPO áp dụng cho máy tính(startup).
· Merge: Danh sách GPO áp dụng cho user là sự móc nối danh sách GPO áp dụng cho user (logon) vào danh sách GPO áp dụng cho máy tính (startup).=>computer áp dung sau.
4. Quản trị GP với RSoP
RSoP là kết quả của GP được áp dụng cho một user hoặc máy tính
Trong Windows Server 2003, bạn có thể phát sinh một truy vấn RSoP để xác định các chính sách được áp dụng cho một user hoặc máy tính xác định
Windows Server 2003 cung cấp 3 công cụ để phát sinh truy vấn RSoP:
-Resultant Set of Policy Winzard
- Dùng lệnh GPresult
- Công cụ Advanced System Information
a. Group Policy
Group Policy là tập các thiết lập cấu hình cho computer và user.Xác định cách thức để các chương trình, tài nguyên mạng và hệ điều hành làm việc với người dùng và máy tính trong 1 tổ chức.Group policy có thể thiết lập trên máy tính, site, domain, và OU
b. Group Policy Object
Group Policy Object là 1 nhóm các cấu hình Group Policy
Phân loại GPO:
– Local GPO
– Non-local GPO
· Local GPO
Một Local GPO được lưu trên mỗi máy cho dù máy tính đó là thành viên trong môi trường Active Directory hoặc môi trường mạng. %systemroot%\system32\GroupPolicy. Một local GPO chỉ ảnh hướng đến máy tính đang lưu trữ nó. Các thiết lập của local GP có thể bị ghi đè bởi non-local GP => local GP ít có ý nghĩa quan trọng trong môi trường AD
· NonLocal GPO
Nonlocal GPOs được tạo ra trong Active Directory %Systemroot%\Sysvol\sysvol\Domain Name\Policies\GPO GUID\Adm. Nonlocal GPOs được liên kết đến một site, domain, hoặc OU để áp dụng cho người dùng hoặc máy tính. Mặc định khi dịch vụ danh bạ Active Directory được cài đặt thì 2 nonlocal GPO được tạo ra:
– Default Domain Policy: GPO này liên kết tới domain, và nó ảnh hướng đến tất cả người dùng và máy tính trong domain ( bao gồm cả các máy tính làm domain controller ) theo qui tắc kế thừa Group Policy
– Default Domain Controllers Policy: GPO này liên kết tới OU Domain Controllers, và nó chỉ ảnh hướng đến các máy domain controllers
c. Group Policy Setting
Các thiết lập của GP thì được chứa trong một GPO để xác định môi trường và giao diện của người dùng. Có 2 loại Group Policy Settings:
– Computer configuration settings
– User configuration settings
Mục Computer Configuration: chứa các thiết lập mà group policy áp dụng cho các máy tính và không quan tâm đến ai đăng nhập vào máy tính đó.
Mục User Configuration: chứa các thiết lập mà group policy áp dụng cho người dùng và không quan tâm đến người dùng đó đăng nhập từ máy tính nào
Cả 2 mục Computer và User Configuration chứa các thiết lập về :
– Cài đặt phần mềm (Mục Software Settings)
– Cài đặt và truy cập hệ điều hành Windows Server 2003(Mục Windows Settings)
– Thiết lập registry (Mục Administrative Templates)
Mục Software Settings
Xác định cách thức ứng dụng được cài đặt và duy trì. Có 2 chế độ quản lý ứng dụng là:
– Assigned
– Published
Không thể publish một ứng dụng cho các computer
Mục Windows Settings
Mục Scripts
– Cho phép bạn chỉ định 2 loại script: startup/shutdown và logon/logoff
– Giá trị timeout cho việc xử lý các script là 10 phút
– Ngôn ngữ script ActiveX để viết script: VBScript, Jscript, Perl, và MS-DOS style batch file (.bat và .cmd)
Mục Security Settings:
– Cho phép cấu hình các cấp độ bảo mật gán cho local và nonlocal GPO.
Trong User Configuration:
– Remote Installation Service: điều khiển cài đặt hệ điều hành từ xa.
– Redirect Folder: cho phép chuyển các thư mục đặc biệt (Application Data, Desktop, My documents và Start menu) từ vị trí mặc định của default user profile đến một vị trí khác trong mạng nơi mà bạn có thể quản lý tập trung
– Internet Explorer Maintenance: cho phép quản lý và thiết lập các tùy chọn Microsoft Internet Explorer
Mục Administrative Templates
+ Chứa các thiết lập Group Policy trên cơ sở Registry (registry-based Group Policy Settings)
+ Có hơn 550 mục thiết lập cấu hình cho Computer và user
+ Mỗi thiết lập trong Administrative Template có thể là:
– Not Configured: Không thay đổi Registry
– Enabled: Registry tương ứng với chích sách sẽ được chọn
– Disabled: Registry tương ứng với chính sách sẽ không được chọn
+ Các thiết lập trong mục Administrative Templates trong Computer Configuration được lưu trong registry key ở mục HKEY_LOCAL_MACHINE (HKLM):
– HKLM\Software\Policies
– HKLM\Software\Microsoft\ Windows\CurrentVersion\Policies
+ Các thiết lập trong mục Administrative Templates trong User Configuration được lưu trong registry key ở mục HKEY_CURRENT_USER(HKCU):
– HKEY_CURRENT_USER\Software\Policies
– HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies
+ Mục Windows Components cho phép thiết lập quản trị các thành phần trong Wins2K3 như:
– Microsoft NetMeeting, Internet Explorer, Application Compatibility, Task Scheduler …
+ Mục Systems dùng để quản lý Wins2k3 được truy cập và sử dụng như thế nào:
– user profiles, scripts logon ,logoff…
+ Mục Network dùng để thiết lập điều khiển việc truy cập và sử dụng mạng:
– Offline files, Network and dialup connections …
+ Trong Computer Configuration
– Chứa thêm các thiệt lập cho máy in trong mục Printers
+ Trong User Configuration
– Chừa thêm các thiết lập cho Startup menu and Taskbar, Desktop, Control Pannel, và Shared folders
2.GP tác động đến Startup và Logon như thế nào
* Mạng được khởi động. Remote Procedure Call System Service và Multiple Universal Naming Convention Provider được khởi động
* Lấy danh sách các GPO áp dụng cho máy tính. Danh sách này phụ thuộc vào các nhân tố sau:
· Máy tính có là một phần của win2k hoặc wins2k3 domain hay không ?
· Vị trí của máy tính trong Active Directory
· Nếu danh sách GPO không thay đổi thì không cần xử lý.
* Các thiết lập cấu hình máy tính được xử lý theo trình tự sau: local GPO, các Site GPO, các Domain GPO và các OU GPO.
* Các script Startup được thực thi.
* Người dùng nhấn Ctrl+Alt+Del để log on
* Sau khi chứng thực người dùng hợp lệ thì user profile được load và các thiết lập của GP có hiệu quả
* Lấy danh sách GPO cần áp dụng cho user. Danh sách này phụ thuộc vào:
· User này có là thành viên trong win2k hoặc win2k3 domain không.
· Chính sách loopback có được thiết lập hay không.
· Vị trí của user trong Active Directory
· Nếu danh sách GPO được áp dụng không thay đổi thì không cần xử lý
* Các thiết lập cấu hình của user được xử lý.( thứ tự local GPO, Site GPOs, Domain GPOs, OU GPOs )
* Các script Logon được chạy
* Giao diện người dùng hệ điều hành được qui định bởi GP
3.Cách thức áp dụng GP
Các nonlocal GPO được áp dụng theo trình tự sau:
· Local GPO
· Các GPO liên kết với Site.
· Các GPO liên kết với Domain.
· Các GPO liên kết với OU.
Sự kế thừa GP
Group Policy được áp dụng xuống từ container cha đến tất cả container con bên trong một domain.
Domain con không kế thừa Group Policy từ domain cha.
Group Policy được kế thừa theo các cách sau:
· Các thiết lập chính sách ở OU cha không được cấu hình thì OU con không kế thừa
· Các thiết lập chính sách ở OU cha được cấu hình thì:
- Nếu ở OU con có cấu hình chính sách đó thì ghi đè thiết lập ở OU cha.
- Nếu ở OU con không cấu hình thì kế thừa ở OU cha.
Các ngoại lệ trong quá trình xử lý GP
Các thành viên Workgroup: một máy tính là thành viên của workgroup thì chỉ xử lý local GPO.
No Override: Bất kỳ GPO liên kết với một Site, domain, hoặc OU có thể được thiết lập No Override
· Những thiết lập chính sách của nó không bị ghi đè bởi bất kỳ GPO nào trong quá trình xử lý nhóm chính sách.
· Khi có nhiều GPO được thiết lập No Override thì GPO ở cấp cao nhất trong AD được ưu tiên.
Block Policy Inheritance: Ở site, domain, hoặc OU sự kế thừa GP có thể chọn Block Policy Inheritance
· Một GPO được thiết lập No Override thì luôn luôn được áp dụng.
· Block Policy Inheritance chặn sự kế thừa từ các chính sách ở site, domain hoặc OU ở trên áp dụng xuống.
Loopback Settings: loopback là một thiết lập chính sách mở rộng thuận lợi cho việc quản lý các máy trính trong môi trường như: nơi công cộng, lớp học, phòng thí nghiệm …
Loopback có thể thiết lập ở 2 chế độ:
· Replace: Danh sách GPO áp dụng cho user sẽ được thay thế bằng danh sách GPO áp dụng cho máy tính(startup).
· Merge: Danh sách GPO áp dụng cho user là sự móc nối danh sách GPO áp dụng cho user (logon) vào danh sách GPO áp dụng cho máy tính (startup).=>computer áp dung sau.
4. Quản trị GP với RSoP
RSoP là kết quả của GP được áp dụng cho một user hoặc máy tính
Trong Windows Server 2003, bạn có thể phát sinh một truy vấn RSoP để xác định các chính sách được áp dụng cho một user hoặc máy tính xác định
Windows Server 2003 cung cấp 3 công cụ để phát sinh truy vấn RSoP:
-Resultant Set of Policy Winzard
- Dùng lệnh GPresult
- Công cụ Advanced System Information
Nhận xét
Đăng nhận xét