Group policy object là gì

Bài viết này sẽ giải thích chi tiết GPO là gì, sử dụng GPO như thế nào.

Group Policy Object là gì? Dưới đây sẽ giúp bạn hiểu rõ hơn thông qua các ví dụ.

Bạn đang xem: Gpo là gì

Bạn đang xem: Gpo là gì

Group Policy hoàn toàn có thể dùng để tiến hành ứng dụng cho một hoặc hoặc nhiều máy trạm nào đó một cách tự động hóa ; để ấn định quyền hạn cho một số ít người dùng mạng, để số lượng giới hạn những ứng dụng mà người dùng được phép chạy ; để trấn áp hạn ngạch sử dụng đĩa trên những máy trạm ; để thiết lập những ngữ cảnh [ script ] đăng nhập [ logon ], đăng xuất [ logout ], khởi động [ start up ], và tắt máy [ shut down ]

Group Policy có thể được coi là một thứ System Policy [phiên bản cũ]. Các chính sách này được MS phát minh ra từ Windows 2000, áp dụng được với các hệ điều hành kể từ bản Windows 2000. Một số đặc điểm của Group Policy:

Các Group Policy chỉ có thể hiện hữu trên miền Active Directory. Các Group Policy có thể dùng để triển khai phần mềm cho một hoặc hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản [script] đăng nhập [logon], đăng xuất [logout], khởi động [start up], và tắt máy [shut down]; để đơn giản hóa và hạn chế các chương trình trên máy khách; để định hướng lại [redirector] một số folder trên máy khách [như Computer, My Document]… Group Policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bảo khỏi miền AD. Các Group Policy chỉ được áp dụng vào lúc máy khách khởi động [đối với chính sách dành cho máy] hoặc đăng nhập [đối với chính sách dành cho người dùng]. Các Group Policy được áp dụng lúc máy trạm khởi động, lúc máy trạm đăng nhập, vào mọi thời điểm [được cấu hình trước]. Tuy gọi là Group nhưng các Group Policy chủ yếu được áp dụng cho các site, domain và OU [Organizational Unit]. Thực ra cũng có thể áp dụng chúng cho các nhóm người dùng, nhưng phải sử dụng kỹ thuật lọc và chặn chính sách [policy filtering], tuy nhiên việc áp dụng kỹ thuật này gây rắc rối cho việc quản trị và troubleshooting mạng về sau, và làm chậm quá trình đăng nhập của người dùng qua mạng. Trên các máy tính local, có thể sử dụng Local Group Policy để áp dụng cho máy đó [chỉ duy nhất máy đó]. Các Group Policy áp dụng cho các đối tượng gọi là Group Policy Object [GPO]. Các GPO được lưu trữ một phần trong cơ sở dữ liệu của AD và một phần trong share SYSVOL. Phần nằm trong share SYSVOL của mỗi GPO bao gồm một số file và thư mục con bên trong thư mục WindowsINNT\SYSVOL\sysvol\Domainame\Plocyes\GUID, trong đó GUID là mã nhận diện đơn nhất toàn cầu [Global Unique Identifier] dành cho GPO. Chương trình để tạo ra và chỉnh sửa các GPO có tên là Group Policy Object Editor, có dạng mộc console MMC khác, ví dụ như: Console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group policy].

Cácchỉ có thể hiện hữu trên miền Active Directory. Cáccó thể dùng để triển khai phần mềm cho một hoặc hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản [script] đăng nhập [logon], đăng xuất [logout], khởi động [start up], và tắt máy [shut down]; để đơn giản hóa và hạn chế các chương trình trên máy khách; để định hướng lại [redirector] một số folder trên máy khách [như Computer, My Document]…tự động mất tác dụng đối với máy trạm khi chúng được xóa bảo khỏi miền AD. Cácchỉ được áp dụng vào lúc máy khách khởi động [đối với chính sách dành cho máy] hoặc đăng nhập [đối với chính sách dành cho người dùng]. Cácđược áp dụng lúc máy trạm khởi động, lúc máy trạm đăng nhập, vào mọi thời điểm [được cấu hình trước]. Tuy gọi là Group nhưng cácchủ yếu được áp dụng cho các site, domain và OU [Organizational Unit]. Thực ra cũng có thể áp dụng chúng cho các nhóm người dùng, nhưng phải sử dụng kỹ thuật lọc và chặn chính sách [policy filtering], tuy nhiên việc áp dụng kỹ thuật này gây rắc rối cho việc quản trị và troubleshooting mạng về sau, và làm chậm quá trình đăng nhập của người dùng qua mạng. Trên các máy tính local, có thể sử dụng Local Group Policy để áp dụng cho máy đó [chỉ duy nhất máy đó]. Cácáp dụng cho các đối tượng gọi là. Cácđược lưu trữ một phần trong cơ sở dữ liệu của AD và một phần trong share SYSVOL. Phần nằm trong share SYSVOL của mỗibao gồm một số file và thư mục con bên trong thư mục WindowsINNT\SYSVOL\sysvol\Domainame\Plocyes\GUID, trong đó GUID là mã nhận diện đơn nhất toàn cầu [Global Unique Identifier] dành cho GPO. Chương trình để tạo ra và chỉnh sửa cáccó tên là Group Policy Object Editor, có dạng mộc console MMC khác, ví dụ như: Console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group policy].

Các thành phần trong Group Policy Object.

Phần I: Computer Configuration:

Windows Setting: 

Tại đây hoàn toàn có thể điều khiển và tinh chỉnh, vận dụng những chủ trương về yếu tố sử dụng thông tin tài khoản, quản trị việc khởi động và đăng nhập mạng lưới hệ thống …

– Scripts: [startup/Shutdown]: Có thể chỉ định cho Windows sẽ chạy một mã nào đó khi Windows Startup hoặc Shutdown.

– Security setting: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người dùng nào.

Account Policies: Các chính sách áp dụng cho tài khoản người dùng.

Local Policy: Kiểm định chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng cục bộ.

Public Key Policies. Các chính sách khóa dùng chung.

Chi tiết từng thành phần :

1. Account Policies:

a.Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy.

– Enforce password history: Với những người sử dụng không có thói quen ghi nhớ nhiều mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ để thay cho mật khẩu mới, điều này là một kẽ hở lớn liên quan trực tiếp đến việc lộ mật khẩu. Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu.

– Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thay đổi mật khẩu định kỳ nhằm nâng cao độ an toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quen của bạn, từ đó có thể tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày, giá trị mặc định là 42 ngày.

– Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu. Hết thời gian này bạn mới có thể thay đổi mật khẩu của tài khoản, hoặc bạn có thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày.

– Minimum password length: Độ dài nhỏ tối thiểu của mật khẩu tài khoản [tính bằng số ký tự nhập vào]. Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị là 0 nếu không muốn sử dụng mật khẩu. Giá trị mặc định là 0.

– Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu, nếu tính năng này có hiệu lực, mật khẩu của tài khoản ít nhất phải đạt những yêu cầu sau:

+ Không chứa tổng thể hoặc một phần tên thông tin tài khoản người dùng. + Độ dài nhỏ nhất là 6 ký tự. + Chứa 3 hoặc 4 loại ký tự sau : Các vần âm thường [ a -> z ], những vần âm hoa [ A -> Z > ], những chữ số [ 0 -> 9 ] và những ký tự đặc biệt quan trọng. Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc đổi khác mật khẩu, mặc định là : Disable.

Store password using reversible encryption fo all user in the domain: Lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain. Tính năng cung cấp sự hỗ trợ cho các ứng dụng giao thức, nó yêu cầu sự am hiểu về mật khẩu người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngược thực chất giống như việc lưu trữ các văn bản mã hóa các thông tin bảo vệ mật khẩu. Mặc định: Disable.

b. Account lockout Policy: 

– Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước khi mở khóa được thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không muốn tự đông Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập.

– Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công. Trong trường hợp này Account sẽ bị khóa. Trong trường hợp này Account sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hết hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa.

– Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập.

2. Local Policy: các chính sách cục bộ.

– User rights Assignments: Ấn định quyền cho người dùng.

Quyền của người dùng ở đây gồm có những quyền truy vấn, quyền backup dữ liệu, biến hóa thời hạn cho mạng lưới hệ thống …. Trong phần này để thông số kỹ thuật cho một mục nào đó, click đúp chuột lên mục và click Add user or group để trao quyền mặc định cho user hoặc group theo nhu yếu.

+ Access this computer from the network: Với những kẻ tò mò, tốt nhất chúng ta không cho phép chúng truy cập vào máy tính của mình. Với thiết lập này ta có thể tùy ý thêm, bớt quyền truy cập vào máy cho bất ký tài khoàn nào hoặc nhóm nào.

+ Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định Administrator có quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này.

+ Add workstation to domain: Thêm một tài khoản hoặc nhóm vào miền. Chính sách này chỉ hoạt động trên hệ thống sự dụng Domain Controller. Khi được thêm vào miền, tài khoản này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục [Active Directory], có thể truy cập tài nguyên mạc như một thành viên trong domain.

+ Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chi tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này có làm tăng hiệu suất hệ thống nhưng nó có thể bị lạm dụng phục vụ cho những mục đích xấu như tấn công từ chối dịch vụ DoS [Dial of Service].

+ Allow logon through Terminal Services: Terminal services là một dịch vụ cho phép đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal services để đăng nhập hệ thống.

+ backup files add directories: Tương tự như các chính sách trên, ở đây cấp phép ai đó có quyền backup dữ liệu.

+ Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian của hệ thống.

+ Create global objects: Cấp quyền cho ai có thể tạo ra các đối tượng dùng chung.

+ Force shutdown from a remote system: Cho phép ai có quyền tắt máy qua hệ thống điều khiển từ xa.

+ Shutdown the system: Cho phép ai có quyền shutdown máy.

+ Deny access to this computer from the net…: Cấm user không được phép truy xuất đến máy.

+ Deny logon localy: Cấm User Logon cục bộ.

+ Deny logon through Terminal Services: Cấm User Remote Desktop.

+ Logon localy: Thiết lập người dùng Logon cục bộ.

– Security Options:

+ Account: Administrator account status: Trạng thái hoạt động của Administrator.

+ Account: Limit local account use of blank password to console: Đăng nhập không cần password.