Group Policy trong Windows Server 2012
Tạo và sử dụng mẫu .................................................................................................................... 17 Cài đặt và cấu hình Windows Server 2012 R2 Chương 6. Tạo và quản lý các nhóm chính sách 6.1 Tạo GPO GPO Cài đặt và cấu hình Windows Server 2012 R2 Cấu hình Central Store Cài đặt và cấu hình Windows Server 2012 R2 name>\Policies, hoặc theo dạng tên quy ước là: \\ Sử dụng Group Policy Management Console Tạo và gắn nonlocal GPO Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ 3. Xổ nút Forest\Domain, chọn nút Group Policy Objects. Tất cả các GPO
hiện có của domain sẽ Cài đặt và cấu hình Windows Server 2012 R2 8. Đóng cửa sổ Group Policy Management Console. Chức năng lọc trong GPO 7 Cài đặt và cấu hình Windows Server 2012 R2 Starter GPO thường. Để tạo starter GPO, bạn bấm chuột phải vào mục Starter GPO, chọn New, nhập tên cho starter GPO, bấm OK để tạo. Sau khi tạo xong, bạn mở starter GPO bằng Group Policy Management Editor để cấu hình. Chú ý: khi bạn mở mục Starter GPO lần đầu, bạn sẽ được hệ thống nhắc tạo thư mục để chứa các starter GPO. Bạn bấm vào nút hướng dẫn để tạo. Sau khi tạo và cấu hình, bạn có thể sử dụng starter GPO làm nền tảng để tạo các GPO mới. Để thực hiện, bấm chuột phải vào starter GPO, chọn New GPO From Starter GPO. Hoặc bạn có thể tạo GPO mới theo cách thông thường, sau đó, trong mục Source Starter GPO, bạn chỉ định starter GPO cho GPO sắp được tạo. Lệnh New-GPO trong Windows PowerShell cũng hỗ trợ việc tạo GPO từ starter GPO. Sau khi tạo GPO, bạn sẽ tiếp tục thực hiện thêm các cấu hình khác kết hợp với các cấu hình sẵn có từ starter GPO. Cấu hình nhóm chính sách Cài đặt và cấu hình Windows Server 2012 R2 Configuration sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính nào. Windows Settings: các thiết lập nằm trong nút Computer Configuration liên quan đến bảo mật và kịch bản (script), sẽ tác động lên máy tính đang chịu sự tác động của GPO, mà không phân biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút User Configuration liên quan đến chuyển hướng thư mục (folder redirection), bảo mật và các kịch bản, sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính nào. Administrative Templates: gồm hàng ngàn các thiết lập sẵn (thiết lập mẫu), là các thiết lập dựa trên registry. Nội dung của các thiết lập được lưu trong tập tin .admx. Đây là các thiết lập liên quan đến giao diện người dùng. Để làm việc với Administrative Templates, bạn cần hiểu rõ ba trạng thái khác nhau của mỗi thiết lập: Not Configured: đây là trạng thái của hầu hết các thiết lập trong GPO. Khi thực thi nhóm chính sách, GPO sẽ không thay đổi, không ghi đè giá trị của registry. Enabled: GPO sẽ bật chức năng này trong registry, nó không quan tâm đến giá trị trước đó là gì. Disabled: GPO sẽ tắt chức năng này trong registry, nó không quan tâm đến giá trị trước đó là gì. Hiểu được ba trạng thái trên giúp bạn làm việc hiệu quả với kế thừa trong GPO và xử lý xung đột khi áp dụng nhiều GPO lên cùng một thùng chứa. Ví dụ, khi một GPO với độ ưu tiên thấp bật (enabled) một chính sách, nếu bạn muốn tắt (disabled) chính sách đó bằng GPO với độ ưu tiên cao hơn, bạn phải thiết lập trạng thái disabled chứ không thể thiết lập trạng thái Not Configured. Tạo các local GPO Cài đặt và cấu hình Windows Server 2012 R2 Local group policy: nhóm chính sách này tương tự như nhóm chính sách cục bộ trong các hệ điều hành cũ. Local group policy gồm các thiết lập cho máy tính và cho người dùng. Local group policy sẽ tác động trên mọi người dùng cục bộ, không phân biệt người quản trị hay người dùng thông thường. Trong các loại local GPO, chỉ có nhóm chính sách này mới chứa các thiết lập cho máy tính. Administrators and nonadministrators group policy: nhóm chính sách này gồm hai GPO, một áp dụng cho nhóm Administrators cục bộ, và một áp dụng cho tất cả người dùng cục bộ còn lại. Nhóm chính sách này không chứa các thiết lập cho máy tính. User-specific group policy: nhóm chính sách này gồm các GPO áp dụng cho mỗi người dùng cụ thể, không áp dụng được cho nhóm. Nhóm chính sách này không chứa các thiết lập cho máy tính. Thứ tự áp dụng các loại local GPO được thực hiện như sau: đầu tiên là Local group policy, sau đó là Administrators and nonadministrators group policy và cuối cùng là User-specific group policy. Lưu ý: các thiết lập được thực hiện sau sẽ đè lên các thiết lập trước đó nếu có tranh chấp. Trên máy tính là thành viên của domain, các local GPO sẽ được thực hiện trước, sau đó là các GPO của domain. Bạn sử dụng Group Policy Object Editor để tạo và cấu hình local GPO. Các bước thực hiện như sau: 1. Mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console. 2. Vào trình đơn File, chọn Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins. 3. Từ danh sách Available Snap-Ins, chọn Group Policy Object Editor và bấm Add để mở cửa sổ Select Group Policy Object. 4. Để tạo Local group policy GPO bấm Finish. Để tạo local GPO loại hai hoặc loại ba, bấm nút Browse để mở cửa sổ Browse For A Group Policy Object. 5. Chọn táp Users. Xem hình minh họa. 10 Cài đặt và cấu hình Windows Server 2012 R2 6. Để tạo local GPO loại hai, chọn Administrators hoặc Non-Administrators và bấm OK. Để tạo Tóm tắt nội dung 11 Cài đặt và cấu hình Windows Server 2012 R2 Câu hỏi ôn tập 1. Các công cụ làm việc với nhóm chính sách có thể truy cập loại tập tin nào trong Central Store? A. ADM B. ADMX C. Group Policy Objects D. Security templates 2. Trong máy cục bộ có nhiều local GPO, local GPO nào có quyền ưu tiên cao nhất? A. Local group policy B. Administrators group policy C. Non-Administrators group policy D. User-specific group policy 3. Để áp dụng GPO trên một nhóm người dùng cụ thể trong OU, bạn sử dụng kĩ thuật nào sau đây? A. GPO linking (gắn GPO) B. Administrative templates (thiết lập theo mẫu) C. Security filtering (lọc) D. Starter GPOs 4. Sau đây là các mô tả về stater GPO, mô tả nào phù hợp nhất? A. Starter GPO được sử dụng như một bản mẫu để tạo ra các GPO mới B. Starter GPO là GPO đầu tiên tác động trên mọi máy client của domain C. Starter GPO sử dụng một giao diện đơn giản giúp người dùng dễ thao tác D. Starter GPO chứa tất cả các thiết lập có trong default domain policy GPO 5. Có một chức năng trong hệ thống đã được thiết lập là disabled, bạn muốn thay đổi chức năng này bằng cách sử dụng GPO, cụ thể, trong GPO bạn thiết lập giá trị cho nó là Not Configured. Kết quả của thiết lập này là? A. Trạng thái của chứng năng đó vẫn là disabled B. Trạng thái của chứng năng đó sẽ chuyển thành Not Configured 12 Cài đặt và cấu hình Windows Server 2012 R2 C. Trạng thái của chứng năng đó sẽ chuyển thành enabled D. Thiết lập này sẽ tạo ra lỗi tranh chấp 6.2 Cấu hình chính sách bảo
mật Chính sách cục bộ Chính sách theo dõi người dùng Chính sách theo dõi người dùng được thiết lập trong nút audit policy. Người quản trị có thể theo dõi các hành động của người dùng khi thành công (successful), lẫn khi thất bại (failed). Ví dụ, bạn có thể theo dõi các loại hành động sau: đăng nhập, truy cập tài khoản, truy cập đối tượng. Bạn cũng có thể theo dõi các hành động của hệ thống. Trước khi thiết lập chính sách theo dõi, bạn cần xác định máy nào sẽ được theo dõi, và theo dõi các loại hành động nào. Với mỗi loại hành động, bạn lại phải quyết định là theo dõi các trường hợp thành 13 Cài đặt và cấu hình Windows Server 2012 R2 Với Windows Server 2012 R2,
kết quả theo dõi các hành động được lưu ở hai nơi: lưu trên domain Để cấu hình theo dõi người dùng, bạn cần xác định hành động nào cần theo dõi, và theo dõi trên đối tượng nào. Sau đây là các bước thực hiện: 1. Mở Server Manager, chọn trình đơn Tools, chọn mục Group Policy Management để mở cửa sổ Group Policy Management. 2. Theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm, chọn mục Group Policy Objects, trong này sẽ chứa tất cả các GPO hiện có của domain. 14 Cài đặt và cấu hình Windows Server 2012 R2 6. Đánh dấu chọn vào mục Define These Policy Settings. 15 Cài đặt và cấu hình Windows Server 2012 R2 Thiết lập quyền hạn của người dùng Ví dụ, người dùng muốn đăng nhập trực
tiếp (locally) vào domain controller thì họ phải được cho phép Các cấu hình bảo mật khác 16 Cài đặt và cấu hình Windows Server 2012 R2 Thiết lập mẫu Thiết lập mẫu (security template) là tập hợp các thiết lập bảo mật được lưu trong tập tin .inf. Các mẫu này chứa hầu hết các thiết lập có trong một GPO, chỉ khác là chúng được tổ chức theo một hình thức thống nhất, do vậy, bạn có thể dễ dàng: tạo, cấu hình và tái sử dụng. Các thiết lập có thể triển khai trong mẫu gồm: theo dõi người dùng, thiết lập quyền hạn người dùng, cấu hình bảo mật. Bạn có thể kết hợp các mẫu với nhóm chính sách và kịch bản. Tạo và sử dụng mẫu 17 Cài đặt và cấu hình Windows Server 2012 R2 Mẫu vừa được tạo là mẫu trắng, cho phép thực hiện nhiều thiết lập giống với trong GPO. Bạn có thể thay đổi giá trị của các thiết lập như khi làm việc với GPO. Sau khi thực hiện thiết lập cho mẫu, để sử dụng mẫu, bạn sẽ thực hiện khớp mẫu vào GPO. Khi khớp mẫu vào GPO, các thiết lập của mẫu được chuyển thành các thiết lập của GPO. Sau đây là các bước để khớp mẫu vào GPO: 1. Mở Server Manager, vào trình đơn Tools, chọn Group Policy Management để mở cửa sổ Group Policy Management. 2. Duyệt theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm. Chọn mục Group Policy Objects, các GPO hiện có sẽ xuất hiện ở cửa sổ bên phải. 3. Bấm chuột phải vào GPO mà bạn muốn khớp mẫu, bấm Edit để mở cửa sổ Group Policy Management Editor. 4. Duyệt theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings. Bấm chuột phải vào nút Security Settings, chọn mục Import Policy để mở cửa sổ Import Policy From. 5. Tìm tới nơi chứa mẫu, chọn mẫu, bấm Open để khớp các thiết lập có trong mẫu vào GPO. 6. Đóng cửa sổ Group Policy Management Editor và Group Policy Management. 18 Cài đặt và cấu hình Windows Server 2012 R2 Người dùng và nhóm người dùng cục bộ Local Users And Groups: giao diện này cho phép thực hiện tất cả các cấu hình liên quan đến tài khoản, nhóm. Khi cài đặt, Windows Server 2012 R2 luôn tạo sẵn hai tài khoản người dùng là Administrator và Guest. Mặc định, tài khoản Guest bị vô hiệu (disable). Sau khi được cài đặt, do trên hệ thống Windows Server 2012 R2 chỉ có tài khoản Administrator là có hiệu lực, nên bạn sẽ đăng nhập vào hệ thống bằng tài khoản này. Đây là tài khoản có quyền quản trị cao nhất, bạn có thể sử dụng tài khoản này để tạo các tài khoản mới hoặc thực hiện các cấu hình khác. Sử dụng User Accounts Để ý: chỉ khi Windows Server 2012 R2 đang hoạt động ở chế độ Workgroup mới có mục User Accounts trong Control Panel. Nếu máy tính đã kết nối vào domain thì bạn phải sử dụng snap-in Local Users And Groups để tạo tài khoản người dùng. Nếu máy tính đã được nâng cấp thành domain controller thì sẽ không có tài khoản cục bộ và nhóm cục bộ. Mặc định, mục User Accounts trong Control Panel chỉ cho phép tạo tài khoản người dùng bình thường (standard account), để thiết lập một tài khoản có quyền quản trị, bạn phải thay đổi kiểu (type) của nó trong mục Change Your Account Type. Trong Change Your Account Type, việc lựa chọn giữa hai loại tài khoản Standard và Administrator thực chất là đưa tài khoản vào làm thành viên của nhóm, Standard là nhóm Users, Administrator là nhóm Administrators. Sử dụng snap-in Users And Groups Users And Groups là một phần của Computer Managerment. Để tạo tài khoản người dùng cục bộ bằng Users And Groups, bạn thực hiện các bước sau: 1. Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ Computer Management. 2. Ở khung bên trái, chọn mục Local Users And Groups, chọn Users để xem danh sách các tài khoản người dùng cục bộ hiện có. 3. Bấm chuột phải vào mục Users, chọn New User để mở cửa sổ New User. Xem hình minh họa. 19 Cài đặt và cấu hình Windows Server 2012 R2 4. Nhập tên (tên đăng nhập) cho tài khoản trong mục User Name. Đây là phần thông tin bắt buộc. Cài đặt và cấu hình
Windows Server 2012 R2 nhau bởi dấu “;”. Bạn cũng có thể gõ một phần của tên, sau đó bấm nút Check Names; hoặc bạn cũng có thể sử dụng nút Advanced để tìm các thành viên. Bấm OK. 7. Bấm nút Create để tạo nhóm. 8. Bấm Close. 9. Đóng cửa sổ Computer Management. Nhóm cục bộ không thể chứa thành viên là nhóm cục bộ khác. Tuy nhiên, nếu máy tính đã được kết nối vào domain, nhóm cục bộ có thể chứa thành viên là các nhóm hoặc người dùng domain. Cơ chế kiểm soát tài khoản người dùng (UAC) Cài đặt và cấu hình Windows Server 2012 R2 Trong Windows Server 2012 R2, nhờ có UAC nên người dùng bình thường sẽ luôn nhận thẻ bình thường, nhưng người quản trị sẽ nhận được cả hai thẻ: bình thường và quản trị. Mặc định người quản trị sẽ thao tác dựa trên thẻ bình thường. Khi nào họ thực hiện thao tác cần đến quyền quản trị thì hệ thống sẽ xuất hiện cửa sổ, yêu cầu cung cấp tên và mật khẩu của tài khoản quản trị. Lúc này, người quản trị sẽ thao tác dựa trên thẻ quản trị. Cơ chế này gọi là Admin Approval Mode. Xem hình minh họa. Trước khi người quản trị thực hiện công việc, hệ thống có thể sẽ yêu cầu xác minh lại công việc sẽ Chế độ secure desktop 22 Cài đặt và cấu hình Windows Server 2012 R2 Cấu hình
UAC Có bốn mức độ bạn có thể thiết lập cho UAC gồm: Always Notify Me: mức độ cảnh báo cao nhất. Notify Me Only When Apps Try To Make Changes To My Computer: mức độ cảnh báo thấp hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều hành. Notify Me Only When Apps Try To Make Changes To My Computer (Do Not Dim My Desktop): mức độ cảnh báo thấp hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều hành, khi cảnh báo không sử dụng chế độ secure desktop. Never Notify Me: không cảnh báo, vô hiệu UAC. Bạn có thể cấu hình thêm các thuộc tính của UAC trong mục Security Options của Nhóm chính sách (Group Policy) và trong chính sách bảo mật cục bộ (Local Security Policy). Tóm tắt nội dung 23 Cài đặt và cấu hình Windows Server 2012 R2 Câu hỏi ôn tập 1. Để triển khai một mẫu bảo mật cho tất cả các máy tính trong AD DS, bạn sử dụng các công cụ nào sau đây (chọn nhiều đáp án)? A. Active Directory Users and Computers B. Security Templates snap-in C. Group Policy Object Editor D. Group Policy Management 2. Bạn có thể thêm thành viên cho nhóm nào sau đây bằng Control Panel (chọn nhiều đáp án)? A. Users B. Power Users C. Administrators D. Non-Administrators 3. Công cụ nào sau đây được sử dụng để thực hiện các cấu hình cho thiết lập mẫu? A. Active Directory Users and Computers B. Security Templates snap-in C. Group Policy Object Editor D. Group Policy Management 24 Cài đặt và cấu hình Windows Server 2012 R2 A. Sử dụng Active Directory Users and Computers để lựa chọn các đối tượng trong Active Directory sẽ bị theo dõi B. Phải đợi cho tới khi chính sách theo dõi được gửi tới tất cả các domain controller trong mạng C. Phải mở Audit Directory Service Access Properties và chọn tất cả các đối tượng cần theo dõi trong Active Directory D. Thêm dấu gạch thấp ( _ ) vào tên của các đối tượng Active Directory mà bạn muốn theo dõi 6.3 Chính sách hạn chế phần mềm ứng dụng Cấu hình Software Restriction Policies |